[go: up one dir, main page]

CN110677407A - 轻量化区块链平台的安全控制方法 - Google Patents

轻量化区块链平台的安全控制方法 Download PDF

Info

Publication number
CN110677407A
CN110677407A CN201910919048.5A CN201910919048A CN110677407A CN 110677407 A CN110677407 A CN 110677407A CN 201910919048 A CN201910919048 A CN 201910919048A CN 110677407 A CN110677407 A CN 110677407A
Authority
CN
China
Prior art keywords
data
provider
requester
micro
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910919048.5A
Other languages
English (en)
Other versions
CN110677407B (zh
Inventor
杨文韬
陈昌
易晓春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Bixin Internet Technology Co Ltd
Original Assignee
Beijing Bixin Internet Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Bixin Internet Technology Co Ltd filed Critical Beijing Bixin Internet Technology Co Ltd
Priority to CN201910919048.5A priority Critical patent/CN110677407B/zh
Publication of CN110677407A publication Critical patent/CN110677407A/zh
Application granted granted Critical
Publication of CN110677407B publication Critical patent/CN110677407B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供一种轻量化区块链平台的安全控制方法,包括:安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法;若判断结果为访问请求的请求方和提供方的身份均合法,则安全管理模块根据智能合约和访问控制规则列表判断请求方是否具有访问提供方的权限;若判断结果为具有,则安全管理模块允许请求方访问提供方。本发明实施例提供的轻量化区块链平台的安全控制方法,基于多安全策略的数据访问控制、动态审计分析、存证链、数据传输审计等技术,为终端建立完备的平台内生安全机制,在数据安全访问、数据确权与监管、数据传输、数据交互、数据服务等方面,全面保障数据与服务的安全。

Description

轻量化区块链平台的安全控制方法
技术领域
本发明涉及计算机技术领域,更具体地,涉及一种轻量化区块链平台的安全控制方法。
背景技术
在一些特定的安全、监管应用场景下,需要使用智能移动终端作为区块链节点,构成轻量化区块链平台。在复杂环境下,业务数据的安全性对处理结果有着至关重要的影响。
智能移动终端作为直接执行数据采集、处理、传输、计算的现场设备,具有资源受限、网络连接不稳定、易受干扰等特点,其内生安全机制是保障终端数据及服务安全的基石。
现有轻量化区块链平台在安全控制上存在不足,难以保障数据与服务的安全。
发明内容
本发明实施例提供一种轻量化区块链平台的安全控制方法,用以解决或者至少部分地解决现有技术数据与服务的安全性不足的缺陷。
本发明实施例提供一种轻量化区块链平台的安全控制方法,包括:
安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法;
若判断结果为所述访问请求的请求方和提供方的身份均合法,则安全管理模块根据所述智能合约和访问控制规则列表判断所述请求方是否具有访问所述提供方的权限;
若判断结果为具有,则安全管理模块允许所述请求方访问所述提供方。
优选地,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
通过分布式数据存储装置和硬件私钥存储设备,记录所述请求方的安全属性标识。
优选地,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
基于存证链,对各数据的安全属性标识进行注册。
优选地,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
基于微服务框架,对各微服务的安全属性标识进行注册。
优选地,所述安全管理模块允许所述请求方访问所述提供方之后还包括:
所述请求方向动态审计分析装置发送微服务请求;
所述动态审计分析装置对所述微服务请求所请求的微服务进行全生命周期监控和审计。
优选地,所述动态审计分析装置包括请求方动态审计模块、提供方动态审计模块和链上审计分析模块;
相应地,所述请求方向动态审计分析装置发送微服务请求的具体步骤包括:
所述请求方动态审计模块对所述微服务请求进行合规性检查;
若检查通过,则所述请求方动态审计模块保存请求方日志,将所述微服务请求发送至所述提供方动态审计模块;
所述动态审计分析装置对所述微服务请求所请求的微服务进行全生命周期监控和审计的具体步骤包括:
所述请求方动态审计模块将所述请求方日志发送至所述链上审计分析模块;
所述提供方动态审计模块对所述微服务请求进行合规性检查;
若检查通过,则所述提供方动态审计模块保存提供方日志,将所述微服务请求发送至所述提供方的微服务模块;
所述提供方动态审计模块将所述提供方日志发送至所述链上审计分析模块;
所述动态审计分析装置根据所述请求方日志和所述提供方日志,对所述微服务请求所请求的微服务进行全生命周期监控和审计。
优选地,更新所述存证链的具体步骤包括:
对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中。
优选地,所述对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中的具体步骤包括:
获取所述生成的数据的哈希值,将所述生成的数据的哈希值作为所述生成的数据的安全属性标识;
所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中。
优选地,所述对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中之后,还包括:
所述任一智能移动终端向区块链网络发出共识请求;
所述区块链网络中的各节点接收所述共识请求,对所述生成的数据的安全属性标识进行共识;
所述区块链网络中的各节点记录所述生成的数据的安全属性标识。
优选地,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中之前还包括:
对所述生成的数据的安全属性标识进行数据传输审计。
本发明实施例提供的轻量化区块链平台的安全控制方法,通过基于多安全策略的数据访问控制、动态审计分析、存证链、数据传输审计等技术,为智能移动终端建立完备的平台内生安全机制,在数据安全访问、数据确权与监管、数据传输、数据交互、数据服务等方面,全面保障数据与服务的安全,能提高轻量化区块链平台的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例提供的轻量化区块链平台的安全控制方法的流程示意图;
图2为根据本发明实施例提供的轻量化区块链平台的安全控制方法中动态审计分析步骤的交互示意图;
图3为根据本发明实施例提供的轻量化区块链平台的安全控制方法中存证链的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了克服现有技术的上述问题,本发明实施例提供一种轻量化区块链平台的安全控制方法,其发明构思是,通过研究轻量级区块链节点,构建分布式信任与安全基础,通过研究智能移动终端内生安全机制,融合通信、安全、保密等多方要素的综合设计技术,实现基于多安全策略的数据安全访问控制技术,确保智能终端数据域服务的安全性。
图1为根据本发明实施例提供的轻量化区块链平台的安全控制方法的流程示意图。如图1所示,该方法包括:步骤S101、安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法。
需要说明的是,本发明实施例提供的安全控制方法,适用于轻量化区块链平台。轻量化区块链平台,指各区块链节点为智能移动终端的区块链平台。
本发明实施例采用基于多安全策略的数据访问控制方法,涉及到对主体身份的证明、识别、动态调整,对客体及其安全属性的注册与记录,对主客体之间安全访问控制规则的确认与执行。
主体,指访问请求的请求方,为某一智能移动终端。
客体,指访问请求所请求的对象,包括数据和微服务。访问请求的提供方,指存储访问请求所请求的数据或提供访问请求所请求的微服务的智能移动终端。
需要说明的是,预先定义主体的安全属性标识,并通过分布式数据存储模块和硬件私钥存储设备完成各主体的安全属性标识的记录。
主体的安全属性标识,用于表示主体的安全属性
安全管理模块可以通过智能合约识别访问请求的请求方的身份,并根据已记录的各主体的安全属性标识,判断访问请求的请求方的身份是否合法。
若合法,则执行判断访问请求的请求方的身份是否合法的步骤;若不合法,则不允许该访问请求的请求方对提供方进行访问。
需要说明的是,预先定义客体(数据或服务)的安全属性标识,并通过数据存证和微服务注册完成各客体的安全属性标识在链上的记录。
安全管理模块可以通过智能合约识别访问请求的提供方的身份,并根据已记录的各客体的安全属性标识,判断访问请求的提供方的身份是否合法。
若合法,则执行步骤S102;若不合法,则不允许该访问请求的请求方对提供方进行访问。
步骤S102、若判断结果为访问请求的请求方和提供方的身份均合法,则安全管理模块根据智能合约和访问控制规则列表判断请求方是否具有访问提供方的权限。
需要说明的是,预先在在分布式数据存储模块上定义访问控制规则列表,规定每一主体对每一客体的访问权限。
安全管理模块可以通过智能合约,执行访问控制规则列表中的访问控制规则,判断请求方对该访问请求所请求的对象的访问是否符合访问控制规则,从而可以判断出请求方对该访问请求所请求的对象是否具有访问权限。
步骤S103、若判断结果为具有,则安全管理模块允许请求方访问提供方。
具体地,请求方对该访问请求所请求的对象是否具有访问权限,则通过各个区块链节点的签名背书,完成主体对客体访问的授权,从而实现安全访问控制。
本发明实施例通过基于多安全策略的数据访问控制,能在数据安全访问和数据交互等方面保障数据与服务的安全,能提高轻量化区块链平台的安全性。
基于上述各实施例的内容,安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:通过分布式数据存储装置和硬件私钥存储设备,记录请求方的安全属性标识。
具体地,可以将身份信息作定义为主体的安全属性标识。
采用硬件私钥存储设备完成对主体身份证明。硬件私钥可以唯一确认主体身份,同时该私钥存储在安全的硬件中,能够确保私钥不明文流出,有效抵御攻击与探测。
采用密钥链与CA(Certificate Authority,证书颁发机构)白名单共同完成对主体身份的识别。
密钥链,用于整个区块链网络的节点管理,包括区块链网络的节点注册、加入与退出。密钥链,为一条区块链。
CA白名单,用于对事先确定的区块节点进行身份识别,支持区块节点加入、服务注册、设备通信等功能。
采用分布式身份标识技术完成主体身份的动态调整,即去中心化的区块节点实时加入与剔除。当发现区块链网络中已有节点失效后,单一节点可以发起对该特定节点身份失效的申明,若失效申明收集到足够多的其他节点签名背书,则将该节点从区块链网络中剔除。
本发明实施例通过分布式数据存储装置和硬件私钥存储设备,记录并识别主体的安全属性标识,能保证主体的安全属性标识不易被篡改和泄露,能提高轻量化区块链平台的安全性。
基于上述各实施例的内容,安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:基于存证链,对各数据的安全属性标识进行注册。
具体地,若客体为数据,则可以将数据的内容及安全等级定义为安全属性标识,通过存证链完成对数据的内容及安全等级的注册与识别。
存证链,用于对数据信息进行实时链上存证。存证链,为一条区块链。
本发明实施例基于存证链对各数据的安全属性标识进行注册,通过区块链共识机制、不可篡改、安全透明等技术特性,能实现数据的存证,为事后数据梳理、总结分析提供可信的数据源。
基于上述各实施例的内容,安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:基于微服务框架,对各微服务的安全属性标识进行注册。
具体地,若客体为微服务,则可以将微服务的信息定义为安全属性标识,结合智能移动终端的低功耗、轻量化的要求,利用区块链节点构建高效、轻量级、可剪裁的微服务框架,基于微服务框架实现相应的微服务注册与发现。
该微服务框架中,微服务的注册与发现,基于各微服务的提供方作为区块链节点,共同维护的一条微服务注册链实现。微服务注册链,为一条区块链。微服务的提供方,为智能移动终端。微服务框架,软件层面由各微服务构成,硬件层面由微服务网关和各智能移动终端构成。
本发明实施例基于微服务框架对各微服务的安全属性标识进行注册与发现,能提高轻量化区块链平台的安全性。
基于上述各实施例的内容,安全管理模块允许请求方访问提供方之后还包括:请求方向动态审计分析装置发送微服务请求。
需要说明的是,为加强实际应用场景下,智能终端数据和服务的安全性,轻量化区块链平台还可以包括基于区块链的动态审计分析装置。
访问请求为微服务的调用请求时,请求方智能移动终端上的应用层通过安全管理模块发送微服务的调用请求。具体向安全管理模块包括的微服务管理子模块发送微服务的调用请求。
微服务管理子模块通过微服务注册链进行安全访问控制检测,具体为向微服务注册链发起验证请求,微服务注册链验证该调用请求是否符合安全访问控制规则,将对应的审批信息给微服务管理子模块,实现访问控制。
微服务注册链上存有所有主体的权限、所有已注册客体的权限及二者的匹配关系,并通过智能合约自动执行安全访问控制规则。实现访问控制的具体步骤详见前述各实施例,此处不再赘述。
微服务管理子模块向请求方智能移动终端上的应用层返回审批信息。
若审批信息为允许访问,即安全管理模块允许请求方访问提供方之后,请求方向动态审计分析装置发送微服务请求。
动态审计分析装置,用于对每一微服务进行全生命周期监控和审计。
动态审计分析装置对微服务请求所请求的微服务进行全生命周期监控和审计。
具体地,该微服务的调用请求启动之后,动态审计分析装置对微服务请求所请求的微服务进行全生命周期监控和审计。
对微服务进行全生命周期监控和审计,可以采用通常的对服务进行监控和审计的方法,本发明实施例对此不作具体限制。
本发明实施例通过对微服务进行全生命周期监控和审计,能通过审计管理支撑手段获得用于责任追踪的相关证据,能实现对敏感数据、执行服务及其结果进行有效的权限控制,能提高轻量化区块链平台的安全性。并且,能提供一种轻量级安全通信协议,在资源受限的条件下,能实现终端之间数据与服务的安全、可信交互,进一步提高轻量化区块链平台的安全性。
图2为根据本发明实施例提供的轻量化区块链平台的安全控制方法中动态审计分析步骤的交互示意图。基于上述各实施例的内容,如图2所示,动态审计分析装置包括请求方动态审计模块、提供方动态审计模块和链上审计分析模块。
需要说明的是,动态审计分析装置由请求方动态审计模块、提供方动态审计模块和链上审计分析模块。
轻量化区块链平台中的每一智能移动终端均包括一个动态审计模块。若该智能移动终端为请求方,则该智能移动终端中的动态审计模块为请求方动态审计模块;若该智能移动终端为提供方,则该智能移动终端中的动态审计模块为提供方动态审计模块。
动态审计模块,用于向链上审计分析模块上报智能移动终端上的微服务请求、调用和被使用情况。
链上审计分析模块独立于各智能移动终端,与每一动态审计模块通信连接。
相应地,请求方向动态审计分析装置发送微服务请求的具体步骤包括:请求方动态审计模块对微服务请求进行合规性检查;若检查通过,则请求方动态审计模块保存请求方日志,将微服务请求发送至提供方动态审计模块。
具体地,若审批结果为允许访问,即微服务管理子模块同意微服务请求,则请求方通过请求方动态审计模块对该微服务请求进行合规性检查。
若检查不通过,则不将微服务请求发送至提供方动态审计模块。
若检查通过,则将请求方上的该微服务的请求情况记录为请求方日志并保存;日志留存后,将该微服务请求转发至提供方动态审计模块。
需要说明的是,请求方通过请求方动态审计模块对该微服务请求进行合规性检查之前,微服务管理子模块向链上审计分析模块上报审批信息。
动态审计分析装置对微服务请求所请求的微服务进行全生命周期监控和审计的具体步骤包括:请求方动态审计模块将请求方日志发送至链上审计分析模块。
具体地,请求方动态审计模块进行日志留存后,将请求方日志上报至链上审计分析模块。
提供方动态审计模块对微服务请求进行合规性检查;若检查通过,则提供方动态审计模块保存提供方日志,将微服务请求发送至提供方的微服务模块。
具体地,提供方通过提供方动态审计模块对接收到的微服务请求进行合规性检查。
若检查不通过,则不将微服务请求发送至提供方的微服务模块。微服务模块,用于提供该微服务。
若检查通过,则将提供方上的该微服务的调用和被使用情况记录为提供方日志并保存;日志留存后,将该微服务请求转发至提供方的微服务模块。
提供方的微服务模块,根据该微服务请求,对外提供该微服务请求所请求的微服务。
提供方动态审计模块将提供方日志发送至链上审计分析模块。
具体地,提供方动态审计模块进行日志留存后,将提供方日志上报至链上审计分析模块。
动态审计分析装置根据请求方日志和提供方日志,对微服务请求所请求的微服务进行全生命周期监控和审计。
具体地,动态审计分析装置可以根据请求方日志和提供方日志,对该微服务的请求、调用和被使用情况进行监控、审计和分析,实现对该微服务的全生命周期监控和审计。
本发明实施例通过对微服务进行全生命周期监控和审计,能通过审计管理支撑手段获得用于责任追踪的相关证据,能实现对敏感数据、执行服务及其结果进行有效的权限控制,能提高轻量化区块链平台的安全性。
图3为根据本发明实施例提供的轻量化区块链平台的安全控制方法中存证链的示意图。基于上述各实施例的内容,如图3所示,更新存证链的具体步骤包括:对于任一智能移动终端生成的数据,任一智能移动终端将生成的数据的安全属性标识添加至存证链中。
需要说明的是,在复杂的实际应用环境当中,智能移动终端之间的信息交互频繁,针对该场景下的信息安全、数据保密、数据存证和事后总结的需求,可以基于区块链共识机制、不可篡改、安全透明等技术特性,进行数据的存证。
具体地,对于任一智能移动终端生成的数据,可以生成该数据的安全属性标识,该智能移动终端基于区块链技术,可以将该数据的安全属性标识上链,添加至存证链中,实现在实际环境中数据信息的实时链上存证。
智能移动终端生成的数据为存证数据。
作为信息存证的底层支撑环境,区块链系统需具备高并发、不可篡改、数据安全隐私等特性,以保证实时复杂数据的及时存证以及事后数据验证和分析的需求。
本发明实施例通过存证链对数据的信息进行链上存证,能为事后数据梳理、总结分析提供可信的数据源,能提高轻量化区块链平台的安全性。
基于上述各实施例的内容,对于任一智能移动终端生成的数据,任一智能移动终端将生成的数据的安全属性标识添加至存证链中的具体步骤包括:获取生成的数据的哈希值,将生成的数据的哈希值作为生成的数据的安全属性标识。
具体地,存证链的更新主要包括数据生产、数据哈希、数据上链、数据共识和数据验证几个步骤。
数据生产步骤包括:根据业务需要,进行实时数据生产,在智能移动终端中生成数据并完成本地存储。该步骤生成的数据可以包括音频、视频、图片、文字等多种类型。
数据哈希步骤包括:数据生产完成后,在本地完成数据哈希计算,将计算获得的哈希值作为数据的安全属性标识。
需要说明的是,数据本身并不作为链上存储的信息,而是对数据的哈希值实施上链存证操作。数据的哈希值与数据文件是一一对应关系。
任一智能移动终端将生成的数据的安全属性标识添加至存证链中。
数据上链步骤包括:数据哈希计算完成后,本地区块链节点将数据的哈希值完成上链操作。
根据数据的哈希值生成数字指纹,结合存证时间,生成上链的区块。
本发明实施例通过将数据的哈希值添加至存证链中进行存证,能通过哈希值与数据的意义对应关系,保证存证的可信性,从而能为事后数据梳理、总结分析提供可信的数据源,能提高轻量化区块链平台的安全性。
基于上述各实施例的内容,对于任一智能移动终端生成的数据,任一智能移动终端将生成的数据的安全属性标识添加至存证链中之后,还包括:任一智能移动终端向区块链网络发出共识请求。
具体地,数据上链步骤还包括:本地区块链节点将数据的哈希值上链之后,向区块链网络发出共识请求。
区块链网络中的各节点接收共识请求,对生成的数据的安全属性标识进行共识。
数据共识步骤包括:区块链网络中的各个节点接收共识请求,对上链数据进行确认和背书。
区块链网络中的各节点记录生成的数据的安全属性标识。
具体地,在完成共识过程之后,区块链网络中的各节点统一记录该数据的哈希值,实现存证链副本的更新。
需要说明的是,轻量化区块链平台执行的现场业务结束后,区块链网络中各节点存储了各类信息资料以及信息的流转记录。通过文件和链上信息的提取、对比,可以完成对业务现场数据的验证、梳理和分析,对优化业务流程提供了可信的数据支持。
本发明实施例通过区块链共识机制,能实现数据的存证,能为事后数据梳理、总结分析提供可信的数据源。
基于上述各实施例的内容,任一智能移动终端将生成的数据的安全属性标识添加至存证链中之前还包括:对生成的数据的安全属性标识进行数据传输审计。
具体地,需要对数据的安全属性标识进行上链时,传输数据的安全属性标识之前,对上链数据进行数据传输审计。
需要说明的是,作为真实世界信息进入区块链的通道,数据传输审计为区块链提供了可信的外部数据接入服务。通过数据传输审计服务,可以实现链下信息触发链上动作,打破区块链与现实世界的信息壁垒。数据传输审计服务可以帮助链上业务平台对接经由环境传感设备采集并经由安全硬件确认的各类数据,满足上层业务需求。
数据传输审计主要包括通过引入验证机构约束上链服务提供方,在密码学方法的辅助下,以不影响正常网络通信为前提,确保上链服务被约束为能且只能发送可信数据源提供的数据上链,且该约束过程可被验证。同时,每次提供上链服务的同时,也会生成证明文件,任何第三方都可以通过该文件,验证整个服务过程和结果的有效性。
数据传输审计可以向第三方审计方提供证据,证明第三方审计方和通信对手方之间发生的网络流量。只要第三方审计方信任对手方的公钥,证据就无可辩驳。数据传输审计允许受审核方使用https与对手方会话,以便第三方审计方可以通过暂时隐藏一小部分密钥来验证该会话的某些部分。受审核方在任何时候都不会向第三方审计方或其他任何人透露任何会话密钥,也不会在未经身份验证的情况下呈现或解密任何数据。因此,会话的完整安全模型得到维护。
本发明实施例通过对上链数据进行数据传输审计,能保证上链数据的安全性,能进一步提高轻量化区块链平台的安全性。
需要说明的是,进行数据访问时,首先进行基于多安全策略的数据访问控制;在数据访问的客体为微服务时,授权访问之后,可以通过动态审计分析装置对微服务的调用进行动态审计分析。但是在实际的服务调用过程中,会涉及到通过该服务调用某些特定的数据,因此,动态审计分析装置还可以用于对上述特定的数据进行动态审计分析。
访问控制及动态审计分析步骤中,智能移动终端都会产生数据,上述访问控制或动态审计分析步骤产生的数据均可以通过存证链进行存证。还可以对智能移动终端产生的其他数据,通过存证链进行存证。
轻量化区块链平台的外部数据上链,则需要通过数据传输审计保证安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行上述各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种轻量化区块链平台的安全控制方法,其特征在于,包括:
安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法;
若判断结果为所述访问请求的请求方和提供方的身份均合法,则安全管理模块根据所述智能合约和访问控制规则列表判断所述请求方是否具有访问所述提供方的权限;
若判断结果为具有,则安全管理模块允许所述请求方访问所述提供方。
2.根据权利要求1所述的轻量化区块链平台的安全控制方法,其特征在于,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
通过分布式数据存储装置和硬件私钥存储设备,记录所述请求方的安全属性标识。
3.根据权利要求1所述的轻量化区块链平台的安全控制方法,其特征在于,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
基于存证链,对各数据的安全属性标识进行注册。
4.根据权利要求1所述的轻量化区块链平台的安全控制方法,其特征在于,所述安全管理模块通过智能合约判断访问请求的请求方和提供方的身份是否合法之前还包括:
基于微服务框架,对各微服务的安全属性标识进行注册。
5.根据权利要求4所述的轻量化区块链平台的安全控制方法,其特征在于,所述安全管理模块允许所述请求方访问所述提供方之后还包括:
所述请求方向动态审计分析装置发送微服务请求;
所述动态审计分析装置对所述微服务请求所请求的微服务进行全生命周期监控和审计。
6.根据权利要求5所述的轻量化区块链平台的安全控制方法,其特征在于,所述动态审计分析装置包括请求方动态审计模块、提供方动态审计模块和链上审计分析模块;
相应地,所述请求方向动态审计分析装置发送微服务请求的具体步骤包括:
所述请求方动态审计模块对所述微服务请求进行合规性检查;
若检查通过,则所述请求方动态审计模块保存请求方日志,将所述微服务请求发送至所述提供方动态审计模块;
所述动态审计分析装置对所述微服务请求所请求的微服务进行全生命周期监控和审计的具体步骤包括:
所述请求方动态审计模块将所述请求方日志发送至所述链上审计分析模块;
所述提供方动态审计模块对所述微服务请求进行合规性检查;
若检查通过,则所述提供方动态审计模块保存提供方日志,将所述微服务请求发送至所述提供方的微服务模块;
所述提供方动态审计模块将所述提供方日志发送至所述链上审计分析模块;
所述动态审计分析装置根据所述请求方日志和所述提供方日志,对所述微服务请求所请求的微服务进行全生命周期监控和审计。
7.根据权利要求3所述的轻量化区块链平台的安全控制方法,其特征在于,更新所述存证链的具体步骤包括:
对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中。
8.根据权利要求7所述的轻量化区块链平台的安全控制方法,其特征在于,所述对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中的具体步骤包括:
获取所述生成的数据的哈希值,将所述生成的数据的哈希值作为所述生成的数据的安全属性标识;
所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中。
9.根据权利要求8所述的轻量化区块链平台的安全控制方法,其特征在于,所述对于任一智能移动终端生成的数据,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中之后,还包括:
所述任一智能移动终端向区块链网络发出共识请求;
所述区块链网络中的各节点接收所述共识请求,对所述生成的数据的安全属性标识进行共识;
所述区块链网络中的各节点记录所述生成的数据的安全属性标识。
10.根据权利要求7至9任一所述的轻量化区块链平台的安全控制方法,其特征在于,所述任一智能移动终端将所述生成的数据的安全属性标识添加至所述存证链中之前还包括:
对所述生成的数据的安全属性标识进行数据传输审计。
CN201910919048.5A 2019-09-26 2019-09-26 轻量化区块链平台的安全控制方法 Active CN110677407B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910919048.5A CN110677407B (zh) 2019-09-26 2019-09-26 轻量化区块链平台的安全控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910919048.5A CN110677407B (zh) 2019-09-26 2019-09-26 轻量化区块链平台的安全控制方法

Publications (2)

Publication Number Publication Date
CN110677407A true CN110677407A (zh) 2020-01-10
CN110677407B CN110677407B (zh) 2022-04-22

Family

ID=69079368

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910919048.5A Active CN110677407B (zh) 2019-09-26 2019-09-26 轻量化区块链平台的安全控制方法

Country Status (1)

Country Link
CN (1) CN110677407B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111597585A (zh) * 2020-05-26 2020-08-28 牛津(海南)区块链研究院有限公司 区块链数据的隐私保护方法、系统及相关组件
CN111723126A (zh) * 2020-05-11 2020-09-29 杭州电子科技大学 基于区块链的冷热时序数据分类处理方法及存储系统
CN112417496A (zh) * 2020-10-28 2021-02-26 北京八分量信息科技有限公司 一种基于深度学习来实现基于智能合约的白名单方法
CN113411191A (zh) * 2021-08-20 2021-09-17 深圳前海微众银行股份有限公司 数据审计方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106296359A (zh) * 2016-08-13 2017-01-04 深圳市樊溪电子有限公司 基于区块链技术的可信电力网络交易平台
CN106991035A (zh) * 2017-04-06 2017-07-28 北京计算机技术及应用研究所 一种基于微服务架构的主机监控系统
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
CN109117668A (zh) * 2018-08-10 2019-01-01 广东工业大学 一种基于区块链构建的身份授权安全访问方法
CN109190410A (zh) * 2018-09-26 2019-01-11 华中科技大学 一种云存储环境下的基于区块链的日志行为审计方法
CN109302415A (zh) * 2018-11-09 2019-02-01 四川虹微技术有限公司 一种认证方法、区块链节点及存储介质
CN109376275A (zh) * 2018-10-29 2019-02-22 上海点融信息科技有限责任公司 用于监控区块链上的业务指标的方法、装置及介质
US20190228393A1 (en) * 2018-01-19 2019-07-25 Alibaba Group Holding Limited Fund flow processing method and device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106296359A (zh) * 2016-08-13 2017-01-04 深圳市樊溪电子有限公司 基于区块链技术的可信电力网络交易平台
CN106991035A (zh) * 2017-04-06 2017-07-28 北京计算机技术及应用研究所 一种基于微服务架构的主机监控系统
CN108737348A (zh) * 2017-04-21 2018-11-02 中国科学院信息工程研究所 一种基于区块链的智能合约的物联网设备访问控制方法
US20190228393A1 (en) * 2018-01-19 2019-07-25 Alibaba Group Holding Limited Fund flow processing method and device
CN109117668A (zh) * 2018-08-10 2019-01-01 广东工业大学 一种基于区块链构建的身份授权安全访问方法
CN109190410A (zh) * 2018-09-26 2019-01-11 华中科技大学 一种云存储环境下的基于区块链的日志行为审计方法
CN109376275A (zh) * 2018-10-29 2019-02-22 上海点融信息科技有限责任公司 用于监控区块链上的业务指标的方法、装置及介质
CN109302415A (zh) * 2018-11-09 2019-02-01 四川虹微技术有限公司 一种认证方法、区块链节点及存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111723126A (zh) * 2020-05-11 2020-09-29 杭州电子科技大学 基于区块链的冷热时序数据分类处理方法及存储系统
CN111723126B (zh) * 2020-05-11 2022-09-02 杭州电子科技大学 基于区块链的冷热时序数据分类处理方法及存储系统
CN111597585A (zh) * 2020-05-26 2020-08-28 牛津(海南)区块链研究院有限公司 区块链数据的隐私保护方法、系统及相关组件
CN111597585B (zh) * 2020-05-26 2023-08-11 牛津(海南)区块链研究院有限公司 区块链数据的隐私保护方法、系统及相关组件
CN112417496A (zh) * 2020-10-28 2021-02-26 北京八分量信息科技有限公司 一种基于深度学习来实现基于智能合约的白名单方法
CN113411191A (zh) * 2021-08-20 2021-09-17 深圳前海微众银行股份有限公司 数据审计方法及装置
CN113411191B (zh) * 2021-08-20 2021-11-23 深圳前海微众银行股份有限公司 数据审计方法及装置

Also Published As

Publication number Publication date
CN110677407B (zh) 2022-04-22

Similar Documents

Publication Publication Date Title
CN110677407B (zh) 轻量化区块链平台的安全控制方法
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
CN114338105B (zh) 一种基于零信任信创堡垒机系统
CN119766556B (zh) 一种基于物联网节点的分布式数据安全防护系统
CN119155129B (zh) 一种煤矿多服务间快速认证的方法及系统
CN115801472B (zh) 一种基于鉴权网关的权限管理方法及系统
CN111526156A (zh) 基于大数据的安全云平台系统
CN120474681A (zh) 政务云跨部门数据安全共享方法及装置
CN116208401A (zh) 一种基于零信任的云主站访问控制方法及装置
CN112634040B (zh) 一种数据处理方法及装置
CN108694329A (zh) 一种基于软硬件结合的移动智能终端安全事件可信记录系统及方法
CN120342741A (zh) 云架构分布式数据处理方法、装置、设备以及存储介质
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
CN116260656B (zh) 基于区块链的零信任网络中主体可信认证方法和系统
CN102972005A (zh) 交付认证方法
CN120528613A (zh) 一种基于数字签名的信息访问控制方法及系统
CN119271745A (zh) 基于联盟链的征信数据处理方法、装置和服务器
CN116684875A (zh) 一种电力5g网络切片的通信安全认证方法
Shengyong Information disclosure of network platform and corporate social responsibility based on cloud computing
CN119337349B (zh) 交易数据的处理方法、装置和服务器
CN120074954B (zh) 一种基于sdp的云边协同安全管理方法及装置
CN120034395B (zh) 支持kmip协议的全生命周期密钥管理服务方法及系统
CN118842585B (zh) 基于密码资源池的密码应用监管方法及系统
Astrakhantsev et al. Computational Intelligence for Voice Call Security: Encryption and Mutual User Authentication
CN119854022A (zh) 一种基于动态属性配置服务的数据空间安全访问控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant