CN116260656A - 基于区块链的零信任网络中主体可信认证方法和系统 - Google Patents
基于区块链的零信任网络中主体可信认证方法和系统 Download PDFInfo
- Publication number
- CN116260656A CN116260656A CN202310515066.3A CN202310515066A CN116260656A CN 116260656 A CN116260656 A CN 116260656A CN 202310515066 A CN202310515066 A CN 202310515066A CN 116260656 A CN116260656 A CN 116260656A
- Authority
- CN
- China
- Prior art keywords
- authentication
- zero
- trust
- access
- sdp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于区块链的零信任网络中主体可信认证方法和系统,采用区块链技术对零信任SDP技术框架中的访问主体进行可信认证。访问主体信息在首次注册和生成时,根据提前分配好的认证策略进行访问主体身份可信认证,认证通过后,则采用区块链技术将访问主体标识信息进行上链存储,上链成功后,访问主体标识信息将同步到系统的每个区块链共识节点;在后续的业务访问过程中,零信任SDP控制框架通过控制中心和网关在每个节点快速的查询和验证主体身份标识;精简访问主体认证处理流程,提升认证效率,规避过度收集用户隐私信息的风险,避免“访问主体信息被恶意篡改”的风险,能够实现防篡改、保护用户隐私和有效提高认证效率。
Description
技术领域
本发明属于计算机网络信息安全技术领域,具体涉及一种基于区块链的零信任网络中主体可信认证方法和系统。
背景技术
云计算、大数据、物联网、移动互联网等技术的发展重塑了企业网络空间环境,云资源访问、远程办公、远程协作等成为企业运营新常态。企业通过网络办公需要满足任意员工能够在任意时间、任意地点通过任意设备对企业任意应用进行访问的需求,但却存在冒名登录、非法下载、入侵审批、敏感信息外泄等业务风险,而企业传统的网络边界正在逐渐模糊和失效,企业花费重金打造的边界防御壁垒也无法有效应对威胁诸如DDoS、0DAY漏洞等高级攻击方式。
零信任安全是在网络发展的历程中由需求推动产生。CSA提出基于零信任(ZeroTrust)理念的新一代网络安全技术架构SDP(Software Defined Perimeter-软件定义边界),要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权,然后,在请求系统和应用程序基础设施之间实时创建加密连接。零信任SDP将用户的数据和基础设施等关键IT资产隐藏在用户自己的黑云里,对外提供零可见性和零连接,只有在访问主体证明他们可以被信任之后才可以建立连接,允许合法流量通过,这种方法可以有效预防所有基于网络的攻击。
零信任SDP是主动防御的安全架构,本质是以身份为基石的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多维的因素,对信任进行持续评估,并通过信任等级对权限进行动态调整,形成具备较强风险应对能力的动态自适应的安全闭环体系,保障主体对客体的安全可信访问。在零信任SDP架构中,需要先对访问主体进行安全认证,认证通过后,才允许根据对应的访问控制策略,进行后续的业务访问操作,因此,确保访问主体可信是整个安全业务流程的基础和前提。这里的“访问主体”是业务访问请求的发起方,是人、终端设备及环境、终端应用等业务访问相关要素的有机组合。
目前,在零信任SDP架构中,对访问主体进行安全可信认证,主要采用以下方法:
①在访问主体首次生成阶段,分别对组成访问主体的各要素进行可信认证,如人员身份认证、终端设备认证、终端应用认证等,均认证通过后,零信任客户端获取人员身份、终端设备及应用等信息,上传到零信任SDP控制中心记录、绑定并存储,生成一条“访问主体”信息记录;
②在业务访问阶段,零信任客户端首先获取访问主体相关信息,向SDP控制中心请求认证,SDP控制中心查询是否对应的“访问主体”记录,如存在,则按照策略进行后续的认证及业务访问流程;如不存在,则按照策略进行相关处理,如终止访问或重新进行访问主体生成操作。
现有技术中的零信任SDP架构,其访问主体可信认证方法主要存在以下缺点:
一是,认证处理步骤多,导致认证耗时长,认证效率相对较低。现有方案的访问主体认证的主要处理步骤包括:进行单独的主体要素可信认证(如用户身份认证、终端可信认证、应用认证等)--》向数据库请求查询主体要素的绑定关系--》数据库查询处理,并返回查询结果--》比对验证绑定关系--》验证通过,签发认证令牌--》客户端携带令牌访问SDP安全网关--》SDP安全网关验证令牌,通过后,则证明访问主题合法,允许进行后续的业务访问操作,因此,整个认证过程处理步骤多、耗时长,认证效率相对较低。
二是,存在过度收集用户隐私信息的风险。访问主体信息中包含大量的用户隐私信息,如用户账号、手机号、终端设备标志等,随着《个人信息保护法》的发布和实施,现有技术方案存在过度收集用户隐私信息的风险。
三是,“访问主体”信息记录存在被恶意篡改的风险。“访问主体”信息一般集中存储在零信任SDP控制中心的数据中,如果数据完整性防护机制不完备,则访问主体信息存在被恶意篡改的风险。
发明内容
为了解决现有技术存在的上述问题,本发明目的在于提供一种基于区块链的零信任网络中主体可信认证方法和系统,精简访问主体认证处理流程,提升认证效率,规避过度收集用户隐私信息的风险,避免“访问主体信息被恶意篡改”的风险。
本发明所采用的技术方案为:
一种基于区块链的零信任网络中主体可信认证系统,包括有零信任SDP客户端、零信任SDP控制中心和若干个零信任SDP安全网关,若干个零信任SDP安全网关构成网关集群;
所述零信任SDP客户端用于接收用户输入的身份认证信息,采集主体要素信息,获取业务访问令牌,请求与零信任SDP安全网关建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信;
所述零信任SDP控制中心用于对访问主体进行可信认证,管理生成动态访问控制策略,接收访问主体标识信息上链请求,进行上链处理,存储区块链数据并提供链上数据查询功能;
所述零信任SDP安全网关用于接收零信任SDP控制中心下发的动态访问控制策略和零信任SDK客户端的业务访问请求,对业务访问请求进行动态访问控制,与零信任SDP客户端建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
进一步地,所述零信任SDP客户端设置有登录认证模块和客户端安全通信模块;
登录认证模块用于接收用户输入的身份认证信息,采集主体要素信息,向零信任SDP控制中心请求登录认证;并接收零信任SDP控制中心返回的登录认证结果和业务访问令牌;
客户端安全通信模块用于获取业务访问令牌,请求与零信任SDP安全网关建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
进一步地,所述零信任SDP控制中心设置有统一认证中心、动态访问控制引擎、控制中心区块链共识节点和控制中心区块链数据模块;
统一认证中心用于对访问主体进行可信认证,可信认证包括主体要素认证和主体要素绑定关系认证;
动态访问控制引擎用于管理生成动态访问控制策略,并实时下发给零信任SDP安全网关;
控制中心区块链共识节点用于接收统一认证中心的访问主体标识信息上链请求,并对其进行上链处理;
控制中心区块链数据模块用于存储区块链数据,并提供链上数据查询功能。
进一步地,所述主体要素认证包括用户身份认证、终端可信认证、应用可信认证;
所述主体要素绑定关系认证为用户、终端和应用之间的绑定关系认证;
所述统一认证中心还用于根据主体要素信息采用特定算法生成一串哈希值,作为访问主体标识信息。
进一步地,所述动态访问控制引擎还用于为终端用户动态分配访问权限,生成业务访问令牌,并将其分发给零信任SDP客户端。
进一步地,每个所述零信任SDP安全网关分别设置有网关安全通信模块、动态访问控制模块、网关区块链共识节点和网关区块链数据模块;
每个所述零信任SDP安全网关分别通过网关安全通信模块与零信任SDP客户端建立安全传输通道,网关安全通信模块负责用户终端与零信任SDP安全网关之间的安全通信;
动态访问控制模块用于接收零信任SDP控制中心下发的动态访问控制策略,并对业务访问请求进行动态访问控制;
网关区块链共识节点用于接收访问主体标识信息上链请求,并对其进行上链处理;
网关区块链数据模块用于存储区块链数据,并提供链上数据查询功能。
进一步地,所述动态访问控制模块还用于对业务请求信息进行解析和计算,得到访问主体标识信息,并向网关区块链数据模块请求查询和验证访问主体信息,验证通过,则根据动态访问控制策略和业务访问权限,动态向受保护的业务资源转发业务访问请求。
本发明还涉及一种基于区块链的零信任网络中主体可信认证方法,使用上述基于区块链的零信任网络中主体可信认证系统,包括访问主体注册生成流程和访问主体分布式认证流程;
首先在访问主体注册生成流程通过访问主体要素的采集、认证、绑定和上链存储进行注册生成访问主体:零信任SDP客户端向统一认证中心请求登录认证,统一认证中心完成各主体要素可信认证后,零信任SDP控制中心的统一认证中心检测区块链数据中是否存在访问主体标识信息,并执行相应业务处理流程或者主体要素绑定操作;
其次在访问主体分布式认证流程对访问主体进行分布式认证:用户通过零信任SDP客户端向任意一个零信任SDP安全网关发起访问业务请求,零信任SDP安全网关按照特定算法实时计算生成访问主体标识信息,然后向网关区块链数据模块查询和验证,并引导执行后续业务操作或者注册生成访问主体。
再进一步地,所述访问主体注册生成流程包括有以下步骤:
S01,用户通过终端设备输入身份认证信息,身份认证信息包括用户名、密码、短信验证码,并请求登录认证;零信任SDP客户端采集终端环境信息、应用信息,并携带终端环境信息、应用信息、用户身份认证信息,向零信任SDP控制中心的统一认证中心请求进行登录认证;
S02,零信任SDP控制中心的统一认证中心分别对主体要素进行可信认证,包括用户身份认证、终端可信认证、应用可信认证;若认证不通过,则直接返回,流程结束;若认证通过,则对主体要素标识进行哈希运算,生成访问主体标识信息;
S03,统一认证中心携带访问主体标识信息向区块链数据请求查询和验证访问主体标识信息是否存在,如果存在,则返回登录认证成功,进行后续业务流程处理;如果不存在,则启动主体要素绑定确认流程;
S04,统一认证中心向零信任SDP客户端推送主体要素绑定确认信息,用户输入验证信息,请求进行主体要素绑定操作;
S05,零信任SDP客户端携带用户的认证信息,向统一认证中心请求进行主体要素绑定操作;统一认证中心验证通过后,则向控制中心区块链共识节点请求进行上链操作;
S06,零信任SDP控制中心的控制中心区块链共识节点对访问主体标识信息进行上链操作,操作成功后,基于区块链共识机制,访问主体标识信息将同步写入并存储到每一个节点的区块链数据中;
S07,访问主体标识信息上链操作成功后,则登录认证操作成功,进行后续业务流程处理。
再进一步地,所述访问主体分布式认证流程包括有以下步骤:
S08,用户在零信任SDP客户端中输入身份认证信息,身份认证信息包括用户名、密码、短信验证码,并请求登录认证;零信任SDP客户端采集终端环境信息、应用信息,并携带终端环境信息、应用信息和用户身份认证信息,向零信任SDP控制中心的统一认证中心请求进行登录认证,若认证失败,则返回,流程结束;若认证通过,则统一认证中心向动态访问控制引擎请求查询访问权限;
S09,动态访问控制引擎进行访问权限查询操作,并反馈查询结果;同时,生成动态访问控制策略,并将其实时发送给对应的零信任SDP安全网关;
S10,统一认证中心根据权限查询结果生成业务访问令牌,并返回;
S11,零信任SDP客户端携带业务访问令牌、业务请求信息、主体要素标识信息,向零信任SDP安全网关请求进行业务访问操作;
S12,零信任SDP安全网关实时计算访问主体标识信息,向网关区块链数据模块查询并验证,若网关区块链数据模块中不存在访问主体标识信息,则重新访问主体信息注册认证流程,引导用户对访问主体信息进行绑定确认;
S13,若网关区块链数据模块中存在访问主体标识信息,则说明访问主体可信,零信任SDP安全网关解析并验证业务访问令牌;若验证不通过,则返回,流程结束;若验证通过,则零信任SDP安全网关向受保护的业务资源代理转发业务操作请求,进行后续的业务操作,并返回业务操作结果。
本发明的有益效果为:
一种基于区块链的零信任网络中主体可信认证方法和系统,采用区块链技术对零信任SDP技术框架中的访问主体进行可信认证。访问主体信息在首次注册和生成时,根据提前分配好的认证策略进行访问主体身份可信认证,认证通过后,则采用区块链技术将访问主体标识信息进行上链存储,上链成功后,访问主体标识信息将同步到系统的每个区块链共识节点;在后续的业务访问过程中,零信任SDP控制框架通过控制中心和网关在每个节点快速的查询和验证主体身份标识;精简访问主体认证处理流程,提升认证效率,规避过度收集用户隐私信息的风险,避免“访问主体信息被恶意篡改”的风险,能够实现防篡改、保护用户隐私和有效提高认证效率。
一可以精简访问主体认证处理流程,有效提升认证效率。采用区块链技术,主体要素绑定关系认证过程直接在分布式SDP安全网关上进行,不需要在零信任SDP控制中心的数据库中集成存储、查询并比对主体要素绑定关系,能够精简认证处理流程,显著提升认证效率。
二可以有效规避过度收集用户隐私信息的风险。在区块链中只写入访问主体信息的哈希值,服务端不需要存储和记录跟访问主体相关的用户隐私信息,可以有效规避过度收集用户隐私信息的风险。
三可以有效应对“访问主体信息被恶意篡改”的风险。访问主体信息的哈希值存储在区块链中,基于区块链数据不可篡改的技术特性,能够有效应对“访问主体信息被恶意篡改”的风险。
附图说明
图1是本发明基于区块链的零信任网络中主体可信认证系统的逻辑架构示意图;
图2是本发明基于区块链的零信任网络中主体可信认证方法中访问主体注册生成流程示意图;
图3是本发明基于区块链的零信任网络中主体可信认证方法中访问主体分布式认证流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1~3所示,为解决现有技术中普遍存在的问题,本发明提供一种基于区块链的零信任网络中主体可信认证方法和系统,整体策划方案为:
提供一种基于区块链技术的零信任网络中访问主体可信认证系统和方法,创新性的采用区块链技术,进行访问客体认证,以有效解决现有技术中存在的三方面问题。
采用区块链技术对零信任SDP技术框架中的访问主体进行可信认证。访问主体信息在首次注册和生成时,需要根据提前分配好的认证策略进行访问主体身份可信认证,认证通过后,则采用区块链技术将访问主体标识信息进行上链存储,上链成功后,访问主体标识信息将同步到系统的每个区块链共识节点;在后续的业务访问过程中,零信任SDP控制框架(包括零信任SDP控制中心和若干个零信任SDP安全网关)可在每个节点快速的查询和验证主体身份标识。从而变爱保护的业务资源的业务系统、数据资源和API接口提供防篡改防护,保护用户隐私和有效提高认证效率。
系统包括客户端侧的零信任SDP客户端,以及服务端侧的零信任SDP控制中心和SDP安全网关;服务端侧的每一个SDP控制服务或SDP安全网关服务实例都是一个区块链共识节点,受保护的业务系统页部署在服务端,客户端侧的访问主体(包括用户、终端、应用等访问要素的唯一组合,用户是访问主体的必备要素之一)通过SDP安全网关代理访问受保护的业务系统;系统的逻辑架构图如图1所示。
具体地,本发明首先提供一种基于区块链的零信任网络中主体可信认证系统,主要结构是通过终端设备的浏览器和/或业务客户端设置零信任SDP客户端;在系统服务端设置零信任SDP控制中心和若干个零信任SDP安全网关,通过若干个零信任SDP安全网关构成网关集群。
通过零信任SDP控制中心和若干个零信任SDP安全网关控制管理零信任SDP客户端对爱保护的业务资源的业务系统、数据资源和API接口的业务访问请求和业务流程操作处理。
一、零信任SDP客户端(以下简称零信任客户端、SDP客户端或者客户端)包括登录认证模块和客户端安全通信模块。
登录认证模块:接收用户输入的身份认证信息,并采集必要的主体要素信息(包括终端设备信息、终端系统环境信息、终端应用信息等),然后向零信任SDP控制中心请求登录认证;并接收零信任SDP控制中心返回的登录认证结果和业务访问令牌。
客户端安全通信模块:获取并解析业务访问令牌,请求与零信任SDP安全网关建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
二、零信任SDP控制中心(以下简称零信任控制中心、SDP控制中心或者控制中心)主要包括统一认证中心、动态访问控制引擎、控制中心区块链共识节点和控制中心区块链数据模块四个模块。
①统一认证中心:对访问主体进行可信认证,包括主体要素认证和主体要素绑定关系认证;主体要素认证包括但不限于用户身份认证、终端可信认证、应用可信认证;主体要素绑定认证主要是指用户、终端、应用等要素的绑定关系认证,确保“只要合法用户、在绑定终端上、使用可信应用,才允许访问受保护的资源”。当访问主体进行首次注册登录时,统一认证中心在主体可信认证通过后,还将根据主体要素标识,采用特定算法,计算生成访问主体标识信息,并请求控制中心区块链共识节点对其进行上链处理。
访问主体标识信息是采用特定算法生成的一串哈希值,其计算示例:访问主体标识信息 = SHA256(用户id + 终端设备ID + 应用ID),其中,SHA256是哈希算法。
主体要素标识包括但不限于设备ID、用户ID、应用ID。
当访问主体进行首次注册登录时,统一认证中心在主体可信认证通过后,还将根据主体要素标识,采用特定算法,计算生成访问主体标识信息,并请求区块链共识节点对其进行上链处理。(访问主体标识信息是采用特定算法生成的一串哈希值,其计算示例:访问主体标识信息 = SHA256(用户id + 终端设备ID + 应用ID),其中,SHA256是哈希算法。)
②动态访问控制引擎:主要功能包括管理生成动态访问控制策略,并将其实时下发给零信任SDP安全网关;同时,为终端用户动态分配访问权限,并生成业务访问令牌,并将其分发给零信任SDP客户端。零信任SDP客户端在请求访问受保护业务资源时,需携带业务访问令牌。
③控制中心区块链共识节点:主要负责接收统一认证中心的访问主体标识信息上链请求,并对其进行上链处理。
④控制中心区块链数据模块:存储区块链数据,并提供链上数据查询功能。
三、零信任SDP安全网关(以下简称零信任安全网关、SDP安全网关或者安全网关)主要包括网关安全通信模块、动态访问控制模块、网关区块链共识节点和网关区块链数据模块四个模块。
①网关安全通信模块:主要负责与SDP客户端建立安全传输通道,并负责用户终端与SDP安全网关之间的安全通信;
②动态访问控制模块:主要负责接收SDP控制中心下发的动态访问控制策略,并对业务访问请求进行动态访问控制;同时,还负责对业务请求信息进行解析和计算,得到访问主体标识信息,并向网关区块链数据模块请求查询和验证访问主体信息,验证通过,则根据动态访问控制策略和业务访问权限,动态向受保护的业务资源转发业务访问请求。
③网关区块链共识节点:主要负责接收访问主体标识信息上链请求,并对其进行上链处理。
④网关区块链数据模块:存储区块链数据,并提供链上数据查询功能。
零信任SDP客户端的客户端安全通信模块与零信任SDP安全网关的网关安全通信模块,一个集成安装在零信任终端设备上,一个集成安装在服务端的零信任安全网关设备上;两个组件配合完成客户端和服务端之间的通信加密传输。
零信任SDP安全网关用于接收零信任SDP控制中心下发的动态访问控制策略和零信任SDK客户端的业务访问请求,对业务访问请求进行动态访问控制,与零信任SDP客户端建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
其次,本发明还提供一种使用上述基于区块链的零信任网络中主体可信认证系统的方法,基于区块链技术的零信任网络中访问主体可信认证过程主要包括:1)访问主体注册生成 2)访问主体分布式认证,两个处理流程。
一是在访问主体注册生成流程通过访问主体要素的采集、认证、绑定和上链存储进行注册生成访问主体:零信任SDP客户端向统一认证中心请求登录认证,统一认证中心完成各主体要素可信认证后,检测控制中心区块链数据模块中是否存在访问主体标识信息,并执行相应业务处理流程或者主体要素绑定操作;
二是在访问主体分布式认证流程对访问主体进行分布式认证:用户通过零信任SDP客户端向任意一个零信任SDP安全网关发起访问业务请求,零信任SDP安全网关按照特定算法实时计算生成访问主体标识信息,然后向网关区块链数据模块查询和验证,并引导执行后续业务操作或者注册生成访问主体。
统一认证中心的特定算法与零信任SDP安全网关的特定算法一互相一致,具体算法如下:
例如访问主体标识信息是采用特定算法生成的一串哈希值,其计算示例:访问主体标识信息 = SHA256(用户id + 终端设备ID + 应用ID),其中,SHA256是哈希算法。
一、访问主体注册生成流程,主要包括访问主体要素信息的采集、认证、绑定和上链存储等处理过程,如图2所示,主要过程如下:
1、访问主体首次注册登录时,用户输入身份认证信息(如用户名、密码、短信验证码等),并请求登录认证;零信任客户端采集必要的终端环境信息、应用信息等;然后,零信任客户端携带终端环境信息、应用信息、用户身份认证信息等,向零信任SDP控制中心的统一认证中心请求进行登录认证;
2、零信任SDP控制中心的统一认证中心分别对主体要素进行可信认证,包括用户身份认证、终端可信认证、应用可信认证等,若认证不通过,则直接返回,向零信任客户端反馈认证失败信息,流程结束;若认证通过,则对主体要素标识进行哈希运算,生成访问主体标识信息;
3、统一认证中心携带访问主体标识信息向控制中心区块链数据模块请求查询和验证访问主体标识信息是否存在,如果存在,则返回登录认证成功,进行后续业务流程处理;如果不存在,则启动主体要素绑定确认流程;
4、统一认证中心向零信任客户端推送主体要素绑定确认信息,用户输入验证信息,请求进行主体要素绑定操作;
5、零信任客户端携带用户的认证信息,向统一认证中心请求进行主体要素绑定操作;统一认证中心验证通过后,则向控制中心区块链共识节点请求进行上链操作;
6、零信任SDP控制中心的控制中心区块链共识节点对访问主体标识信息进行上链操作,操作成功后,基于区块链共识机制,访问主体标识信息将同步写入并存储到每一个节点的区块链数据中;
此为区块链技术的基础核心功能。每一个节点的上链数据,都会同步到所有的区块链节点上;统一认证中心、每个分布式零信任SDP安全网关上都有区块链节点。
7、访问主体标识信息上链操作成功后,则登录认证操作成功,进行后续业务流程处理。
二、访问主体分布式认证流程如图3所示,主要流程如下:
1、用户在零信任客户端中输入身份认证信息(如用户名、密码、短信验证码等),并请求登录认证;零信任客户端采集必要的终端环境信息、应用信息等;然后,零信任客户端携带终端环境信息、应用信息、用户身份认证信息等,向零信任SDP控制中心的统一认证中心请求进行登录认证,若认证失败,则返回,流程结束;若认证通过,则统一认证中心向动态访问控制请求查询访问权限;
2、动态访问控制引擎进行访问权限查询操作,并反馈查询结果;同时,生成动态访问控制策略,并将其实时发送给相对应的零信任SDP安全网关;
3、统一认证中心根据权限查询结果生成业务访问令牌,并返回;
4、零信任客户端携带业务访问令牌、业务请求信息、主体要素标识信息(如用户id、设备id、应用id等),向零信任SDP安全网关请求进行业务访问操作;
5、零信任SDP安全网关实时计算访问主体标识信息,并向网关区块链数据模块查询并验证,若区块链数据中不存在访问主体标识信息,则重新访问主体信息注册认证流程,引导用户对访问主体信息进行绑定确认;
6、如果区块链数据中存在访问主体标识信息,则说明访问主体可信,SDP安全网关解析并验证业务访问令牌,若验证不通过,则返回,流程结束;若验证通过,则SDP网关向受保护的业务资源代理转发业务操作请求,进行后续的业务操作,并返回业务操作结果。
本发明基于区块链的零信任网络中主体可信认证方法和系统,采用区块链技术对零信任SDP技术框架中的访问主体进行可信认证。访问主体信息在首次注册和生成时,根据提前分配好的认证策略进行访问主体身份可信认证,认证通过后,则采用区块链技术将访问主体标识信息进行上链存储,上链成功后,访问主体标识信息将同步到系统的每个区块链共识节点;在后续的业务访问过程中,零信任SDP控制框架通过控制中心和网关在每个节点快速的查询和验证主体身份标识,能够实现防篡改、保护用户隐私和有效提高认证效率;
一可以精简访问主体认证处理流程,有效提升认证效率。采用区块链技术,主体要素绑定关系认证过程直接在分布式SDP安全网关上进行,不需要在零信任SDP控制中心的数据库中集成存储、查询并比对主体要素绑定关系,能够精简认证处理流程,显著提升认证效率。
二可以有效规避过度收集用户隐私信息的风险。在区块链中只写入访问主体信息的哈希值,服务端不需要存储和记录跟访问主体相关的用户隐私信息,可以有效规避过度收集用户隐私信息的风险。
三可以有效应对“访问主体信息被恶意篡改”的风险。访问主体信息的哈希值存储在区块链中,基于区块链数据不可篡改的技术特性,能够有效应对“访问主体信息被恶意篡改”的风险。
本发明是一种基于区块链技术的零信任网络中访问主体可信认证方法和系统,创新性的采用区块链技术,对零信任SDP技术框架中的访问主体进行可信认证。其关键点和欲保护点如下:
1、访问主体信息注册生成的方法,包括访问主体信息的采集、认证、绑定和上链存储等过程。即零信任客户端向统一认证中心请求登录认证,统一认证中心完成各主体要素可信认证(包括用户身份认证、终端设备认证、终端应用认证等)后,检测到区块链数据中不存在访问主体标识信息,则根据主体要素标识,采用特定算法,计算生成访问主体标识信息,并请求区块链共识节点对其进行上链处理。(访问主体标识信息是采用特定算法生成的一串哈希值,其计算示例:访问主体标识信息 = SHA256(用户id + 终端设备ID + 应用ID),其中,SHA256是哈希算法)。具体处理过程详见“访问主体注册生成流程”。
2、访问主体分布式认证方法。用户在通过零信任客户端访问业务时,可以采用区块链技术在任意一台SDP网关(网关区块链共识节点)上快速进行访问主体可信认证,即SDP网关接收到业务访问请求信息后,首先按照特定算法实时计算生成访问主体标识信息,然后向网关区块链数据模块查询和验证,如果主体标识信息存在,则说明访问主体可信,则允许进行后续业务操作;如果主体标识信息不存在,则重新引导用户进行访问主体信息注册认证流程,生成新的访问主体标识信息并上链处理。具体处理过程详见“访问主体分布式认证流程”。
本发明是一种基于区块链技术的零信任网络中访问主体可信认证方法和系统,创新性的采用区块链技术,对零信任SDP技术框架中的访问主体进行可信认证,有效的解决了现有技术方案中存在的认证步骤多耗时长、存在过度收集用户隐私风险、存在恶意篡改风险等问题。与现有技术方案相比,本发明可有效提升认证效率,同时,还具备防篡改、保护用户隐私等诸多优点。
本发明不局限于上述可选实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是落入本发明权利要求界定范围内的技术方案,均落在本发明的保护范围之内。
Claims (10)
1.一种基于区块链的零信任网络中主体可信认证系统,其特征在于:包括有零信任SDP客户端、零信任SDP控制中心和若干个零信任SDP安全网关,若干个零信任SDP安全网关构成网关集群;
所述零信任SDP客户端用于接收用户输入的身份认证信息,采集主体要素信息,获取业务访问令牌,请求与零信任SDP安全网关建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信;
所述零信任SDP控制中心用于对访问主体进行可信认证,管理生成动态访问控制策略,接收访问主体标识信息上链请求,进行上链处理,存储区块链数据并提供链上数据查询功能;
所述零信任SDP安全网关用于接收零信任SDP控制中心下发的动态访问控制策略和零信任SDK客户端的业务访问请求,对业务访问请求进行动态访问控制,与零信任SDP客户端建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
2.根据权利要求1所述基于区块链的零信任网络中主体可信认证系统,其特征在于:所述零信任SDP客户端设置有登录认证模块和客户端安全通信模块;
登录认证模块用于接收用户输入的身份认证信息,采集主体要素信息,向零信任SDP控制中心请求登录认证;并接收零信任SDP控制中心返回的登录认证结果和业务访问令牌;
客户端安全通信模块用于获取业务访问令牌,请求与零信任SDP安全网关建立安全传输通道,并负责用户终端与零信任SDP安全网关之间的安全通信。
3.根据权利要求1所述基于区块链的零信任网络中主体可信认证系统,其特征在于:
所述零信任SDP控制中心设置有统一认证中心、动态访问控制引擎、控制中心区块链共识节点和控制中心区块链数据模块;
统一认证中心用于对访问主体进行可信认证,可信认证包括主体要素认证和主体要素绑定关系认证;
动态访问控制引擎用于管理生成动态访问控制策略,并实时下发给零信任SDP安全网关;
控制中心区块链共识节点用于接收统一认证中心的访问主体标识信息上链请求,并对其进行上链处理;
控制中心区块链数据模块用于存储区块链数据,并提供链上数据查询功能。
4.根据权利要求3所述基于区块链的零信任网络中主体可信认证系统,其特征在于:
所述主体要素认证包括用户身份认证、终端可信认证、应用可信认证;
所述主体要素绑定关系认证为用户、终端和应用之间的绑定关系认证;
所述统一认证中心还用于根据主体要素信息采用特定算法生成一串哈希值,作为访问主体标识信息。
5.根据权利要求3所述基于区块链的零信任网络中主体可信认证系统,其特征在于:
所述动态访问控制引擎还用于为终端用户动态分配访问权限,生成业务访问令牌,并将其分发给零信任SDP客户端。
6.根据权利要求1所述基于区块链的零信任网络中主体可信认证系统,其特征在于:
每个所述零信任SDP安全网关分别设置有网关安全通信模块、动态访问控制模块、网关区块链共识节点和网关区块链数据模块;
每个所述零信任SDP安全网关分别通过网关安全通信模块与零信任SDP客户端建立安全传输通道,网关安全通信模块负责用户终端与零信任SDP安全网关之间的安全通信;
动态访问控制模块用于接收零信任SDP控制中心下发的动态访问控制策略,并对业务访问请求进行动态访问控制;
网关区块链共识节点用于接收访问主体标识信息上链请求,并对其进行上链处理;
网关区块链数据模块用于存储区块链数据,并提供链上数据查询功能。
7.根据权利要求6所述基于区块链的零信任网络中主体可信认证系统,其特征在于:
所述动态访问控制模块还用于对业务请求信息进行解析和计算,得到访问主体标识信息,并向网关区块链数据模块请求查询和验证访问主体信息,验证通过,则根据动态访问控制策略和业务访问权限,动态向受保护的业务资源转发业务访问请求。
8.一种基于区块链的零信任网络中主体可信认证方法,其特征在于:使用权利要求1~7之一所述基于区块链的零信任网络中主体可信认证系统,包括访问主体注册生成流程和访问主体分布式认证流程;
首先在访问主体注册生成流程通过访问主体要素的采集、认证、绑定和上链存储进行注册生成访问主体:零信任SDP客户端向统一认证中心请求登录认证,统一认证中心完成各主体要素可信认证后,零信任SDP控制中心的统一认证中心检测区块链数据中是否存在访问主体标识信息,并执行相应业务处理流程或者主体要素绑定操作;
其次在访问主体分布式认证流程对访问主体进行分布式认证:用户通过零信任SDP客户端向任意一个零信任SDP安全网关发起访问业务请求,零信任SDP安全网关按照特定算法实时计算生成访问主体标识信息,然后向网关区块链数据模块查询和验证,并引导执行后续业务操作或者注册生成访问主体。
9.根据权利要求8所述基于区块链的零信任网络中主体可信认证方法,其特征在于:所述访问主体注册生成流程包括有以下步骤:
S01,用户通过终端设备输入身份认证信息,身份认证信息包括用户名、密码、短信验证码,并请求登录认证;零信任SDP客户端采集终端环境信息、应用信息,并携带终端环境信息、应用信息、用户身份认证信息,向零信任SDP控制中心的统一认证中心请求进行登录认证;
S02,零信任SDP控制中心的统一认证中心分别对主体要素进行可信认证,包括用户身份认证、终端可信认证、应用可信认证;若认证不通过,则直接返回,流程结束;若认证通过,则对主体要素标识进行哈希运算,生成访问主体标识信息;
S03,统一认证中心携带访问主体标识信息向控制中心区块链数据模块请求查询和验证访问主体标识信息是否存在,如果存在,则返回登录认证成功,进行后续业务流程处理;如果不存在,则启动主体要素绑定确认流程;
S04,统一认证中心向零信任SDP客户端推送主体要素绑定确认信息,用户输入验证信息,请求进行主体要素绑定操作;
S05,零信任SDP客户端携带用户的认证信息,向统一认证中心请求进行主体要素绑定操作;统一认证中心验证通过后,则向控制中心区块链共识节点请求进行上链操作;
S06,零信任SDP控制中心的控制中心区块链共识节点对访问主体标识信息进行上链操作,操作成功后,基于区块链共识机制,访问主体标识信息将同步写入并存储到每一个节点的区块链数据中;
S07,访问主体标识信息上链操作成功后,则登录认证操作成功,进行后续业务流程处理。
10.根据权利要求8所述基于区块链的零信任网络中主体可信认证方法,其特征在于:所述访问主体分布式认证流程包括有以下步骤:
S08,用户在零信任SDP客户端中输入身份认证信息,身份认证信息包括用户名、密码、短信验证码,并请求登录认证;零信任SDP客户端采集终端环境信息、应用信息,并携带终端环境信息、应用信息和用户身份认证信息,向零信任SDP控制中心的统一认证中心请求进行登录认证,若认证失败,则返回,流程结束;若认证通过,则统一认证中心向动态访问控制引擎请求查询访问权限;
S09,动态访问控制引擎进行访问权限查询操作,并反馈查询结果;同时,生成动态访问控制策略,并将其实时发送给对应的零信任SDP安全网关;
S10,统一认证中心根据权限查询结果生成业务访问令牌,并返回;
S11,零信任SDP客户端携带业务访问令牌、业务请求信息、主体要素标识信息,向零信任SDP安全网关请求进行业务访问操作;
S12,零信任SDP安全网关实时计算访问主体标识信息,向网关区块链数据模块查询并验证,若网关区块链数据模块中不存在访问主体标识信息,则重新访问主体信息注册认证流程,引导用户对访问主体信息进行绑定确认;
S13,若网关区块链数据模块中存在访问主体标识信息,则说明访问主体可信,零信任SDP安全网关解析并验证业务访问令牌;若验证不通过,则返回,流程结束;若验证通过,则零信任SDP安全网关向受保护的业务资源代理转发业务操作请求,进行后续的业务操作,并返回业务操作结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310515066.3A CN116260656B (zh) | 2023-05-09 | 2023-05-09 | 基于区块链的零信任网络中主体可信认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310515066.3A CN116260656B (zh) | 2023-05-09 | 2023-05-09 | 基于区块链的零信任网络中主体可信认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116260656A true CN116260656A (zh) | 2023-06-13 |
| CN116260656B CN116260656B (zh) | 2023-07-14 |
Family
ID=86684566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310515066.3A Active CN116260656B (zh) | 2023-05-09 | 2023-05-09 | 基于区块链的零信任网络中主体可信认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116260656B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116827668A (zh) * | 2023-07-31 | 2023-09-29 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170359708A1 (en) * | 2014-12-31 | 2017-12-14 | Huawei Technologies Co., Ltd. | Call Transfer Method and Terminal |
| WO2019227225A1 (en) * | 2018-05-30 | 2019-12-05 | Skrumble Technologies Inc. | Systems and methods for establishing communications via blockchain |
| CN113872944A (zh) * | 2021-09-07 | 2021-12-31 | 湖南大学 | 一种面向区块链的零信任安全架构及其集群部署框架 |
| CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
| CN114567492A (zh) * | 2022-03-04 | 2022-05-31 | 云南电网有限责任公司 | 基于dht网络的控制器隐藏方法、装置、系统及存储介质 |
| CN114666341A (zh) * | 2022-03-15 | 2022-06-24 | 数界(深圳)科技有限公司 | 一种去中心化sdp控制器实现方法及计算机存储介质 |
| CN115361186A (zh) * | 2022-08-11 | 2022-11-18 | 哈尔滨工业大学(威海) | 一种面向工业互联网平台的零信任网络架构 |
| CN115914300A (zh) * | 2022-11-25 | 2023-04-04 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任实现系统及方法 |
| CN115987696A (zh) * | 2023-03-21 | 2023-04-18 | 深圳市永达电子信息股份有限公司 | 一种基于区块链结构的零信任安全网关实现方法及装置 |
-
2023
- 2023-05-09 CN CN202310515066.3A patent/CN116260656B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170359708A1 (en) * | 2014-12-31 | 2017-12-14 | Huawei Technologies Co., Ltd. | Call Transfer Method and Terminal |
| WO2019227225A1 (en) * | 2018-05-30 | 2019-12-05 | Skrumble Technologies Inc. | Systems and methods for establishing communications via blockchain |
| CN113872944A (zh) * | 2021-09-07 | 2021-12-31 | 湖南大学 | 一种面向区块链的零信任安全架构及其集群部署框架 |
| CN114338701A (zh) * | 2021-12-29 | 2022-04-12 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任系统及访问方法 |
| CN114567492A (zh) * | 2022-03-04 | 2022-05-31 | 云南电网有限责任公司 | 基于dht网络的控制器隐藏方法、装置、系统及存储介质 |
| CN114666341A (zh) * | 2022-03-15 | 2022-06-24 | 数界(深圳)科技有限公司 | 一种去中心化sdp控制器实现方法及计算机存储介质 |
| CN115361186A (zh) * | 2022-08-11 | 2022-11-18 | 哈尔滨工业大学(威海) | 一种面向工业互联网平台的零信任网络架构 |
| CN115914300A (zh) * | 2022-11-25 | 2023-04-04 | 四川启睿克科技有限公司 | 基于区块链的物联网零信任实现系统及方法 |
| CN115987696A (zh) * | 2023-03-21 | 2023-04-18 | 深圳市永达电子信息股份有限公司 | 一种基于区块链结构的零信任安全网关实现方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116827668A (zh) * | 2023-07-31 | 2023-09-29 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
| CN116827668B (zh) * | 2023-07-31 | 2024-02-23 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116260656B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| US8683607B2 (en) | Method of web service and its apparatus | |
| US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
| CN107181720B (zh) | 一种软件定义网路sdn安全通信的方法及装置 | |
| US20210136068A1 (en) | Telecom node control via blockchain | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| Zhong et al. | Distributed blockchain‐based authentication and authorization protocol for smart grid | |
| CN110417790B (zh) | 区块链实名制排队系统及方法 | |
| CN112311530A (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
| CN109218981B (zh) | 基于位置信号特征共识的Wi-Fi接入认证方法 | |
| Sharma et al. | BlockAPP: Using blockchain for authentication and privacy preservation in IoV | |
| Oktian et al. | BorderChain: Blockchain-based access control framework for the Internet of Things endpoint | |
| CN115333840B (zh) | 资源访问方法、系统、设备及存储介质 | |
| CN114666341B (zh) | 一种去中心化sdp控制器实现方法及计算机存储介质 | |
| CN115996122A (zh) | 访问控制方法、装置及系统 | |
| CN116260656B (zh) | 基于区块链的零信任网络中主体可信认证方法和系统 | |
| CN116760633B (zh) | 一种安全可信物理网网关的实现方法 | |
| Song | Security in Internet of Things | |
| CN118316693A (zh) | 一种基于api网关的权限验证的方法及设备 | |
| Fang et al. | Zero‐Trust‐Based Protection Scheme for Users in Internet of Vehicles | |
| WO2017210914A1 (zh) | 传输信息的方法和装置 | |
| KR20100060130A (ko) | 개인정보 보호 관리 시스템 및 그 방법 | |
| KR20220121045A (ko) | 에지 컴퓨팅 시스템 그리고 이의 네트워크 접근 제어 방법 | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| KR20210026710A (ko) | 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |