本申请公开的基于区块链的零信任网络访问系统,连接用户设备以及请求访问的应用系统,包括:信任代理组件;与所述信任代理组件连接的接入控制组件;所述接入控制组件一端连接所述信任代理组件,另一端连接所述应用系统;所述接入控制组件与所述应用系统设于同一网络中;用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统;所述企业目录区块链系统包括多个区块链共识节点;所述区块链共识节点与所述信任代理组件、所述接入控制组件以及所述应用系统相互连通。相较于现有技术而言,其能够解决单点失效问题,可以及时一致地共享以及同步更新网络访问中的关键数据,统一数据格式以及控制规则,实现安全高效集成。实现安全高效集成。实现安全高效集成。
【技术实现步骤摘要】
一种基于区块链的零信任网络访问系统
[0001]本申请涉及区块链
,更具体地说,尤其涉及一种基于区块链的零信任网络访问系统。
技术介绍
[0002]零信任网络访问(以下简称ZTNA)是一种产品和服务,这些产品以及服务创建了一个基于身份和上下文的逻辑访问边界,该边界围住了一个用户和一个应用程序或者一组应用程序。ZTNA的访问策略主要是基于用户、设备以及应用程序的身份,实现只允许访问特定的应用程序或者应用系统,而非底层网络。相对于VPN、DMZ这类传统手段而言,ZTNA限制了用户对所有端口和协议或所有应用程序的过度访问,规避系统被任意入侵的风险。
[0003]目前,典型的零信任网络访问系统架构主要包括:端点启动ZTNA以及服务启动ZTNA,实际市面上也有同时混合这两种技术架构的产品。在上述零信任网络访问的系统组成中,用户访问需要依赖于“信任代理”来实现身份权限的验证。而“信任代理”需要与后端集成组织的企业目录身份数据端,实现共享和更新控制策略、用户令牌等配置数据。基于此,现有零信任网络访问系统会存在一些不足:信任代理可能成为失效单点;如果部署多个信任代理解决单点失效问题,则会遇到在多个信任代理之间控制策略、用户令牌、用户身份等关键数据共享和同步不及时性、不一致性和安全性低的问题;并且当应用系统的授权用户群体是跨组织主体、跨国家地区的情况下,由于数据格式差异、合规规则差异、系统接口差异,会面临用户身份数据难以集成的问题。
[0004]因此,如何提供一种基于区块链的零信任网络访问系统,其能够解决单点失效问题,可以及时一致地共享以及同步更新网络访问中的关键数据,统一数据格式以及控制规则,实现安全高效集成,已经成为本领域技术人员亟待解决的技术问题。
技术实现思路
[0005]为解决上述技术问题,本申请提供一种基于区块链的零信任网络访问系统,能够解决单点失效问题,可以及时一致地共享以及同步更新网络访问中的关键数据,统一数据格式以及控制规则,实现安全高效集成。
[0006]本申请提供的技术方案如下:
[0007]本申请提供一种基于区块链的零信任网络访问系统,包括:用以接收用户设备访问请求并验证用户身份权限的信任代理组件;与所述信任代理组件连接的接入控制组件;所述接入控制组件一端连接所述信任代理组件,另一端连接用户设备请求访问的应用系统;所述接入控制组件与应用系统设于同一网络中;用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统;所述企业目录区块链系统包括多个区块链共识节点;所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。
[0008]进一步地,在专利技术一种优选方式中,所述信任代理组件包括:身份验证模块、访问许可模块以及会话管理模块;所述身份验证模块、访问许可模块以及会话管理模块与所述
企业目录区块链系统通信连接,读取以及上传更新零信任网络访问的关键数据。
[0009]进一步地,在专利技术一种优选方式中,所述身份验证模块用以读取所述关键数据并验证发起访问请求的用户身份有效性;所述访问许可模块连接所述身份验证模块,基于所述关键数据生成许可令牌以及建立会话访问连接;所述会话管理模块连接所述访问许可模块,用以管理许可令牌、会话状态以及许可连接数据。
[0010]进一步地,在专利技术一种优选方式中,所述访问许可模块包括:与所述企业目录区块链系统通信连接的许可令牌生成单元;与所述许可令牌生成单元并联设置的访问会话建立单元。
[0011]进一步地,在专利技术一种优选方式中,所述会话管理模块包括:与所述企业目录区块链系统通信连接的许可令牌管理单元;与所述许可令牌管理单元并联设置的会话状态管理单元以及许可连接管理单元。
[0012]进一步地,在专利技术一种优选方式中,所述信任代理组件还包括:与用户设备通信连接,用以接收用户设备访问请求的前端对接模块;所述前端对接模块与所述身份验证模块连接,将访问请求发送至所述身份验证模块。
[0013]进一步地,在专利技术一种优选方式中,所述信任代理组件设置多个,多个所述信任代理组件设置于不同网络中;应用系统设置有多个,多个应用系统分别设置于不同组织主体中;多个所述区块链共识节点分别与不同网络中的所述信任代理组件以及不同组织主体中的应用系统通信连接。
[0014]进一步地,在专利技术一种优选方式中,所述关键数据包括:用户身份数据、访问策略数据、许可令牌数据以及应用程序连接配置数据。
[0015]进一步地,在专利技术一种优选方式中,所述企业目录区块链系统包括:数据层、网络层、共识层以及合约层。
[0016]进一步地,在专利技术一种优选方式中,所述信任代理组件包括网络访问控制器;所述接入控制组件包括:接入网关以及网络访问连接器;所述接入控制组件与所述企业目录区块链系统通信连接,用以读取以及上传更新所述关键数据。
[0017]本专利技术提供的一种基于区块链的零信任网络访问系统,与现有技术相比,包括:用以接收用户设备访问请求并验证用户身份权限的信任代理组件;与所述信任代理组件连接的接入控制组件;所述接入控制组件一端连接所述信任代理组件,另一端连接用户设备请求访问的应用系统;所述接入控制组件与应用系统设于同一网络中;用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统;所述企业目录区块链系统包括多个区块链共识节点;所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。其中,所述用户设备发出访问请求,利用所述信任代理组件,接收访问请求;所述企业目录区块链系统储存网络访问的关键数据,利用所述信任代理组件连接所述企业目录区块链系统,通过读取以及更新所述关键数据,验证访问用户的身份有效性;所述接入控制组件,连接应用系统以及所述信任代理组件,若用户验证有效则建立访问连接;其次,利用所述区块链共识节点,所述区块链共识节点与所述信任代理组件、所述接入控制组件以及所述应用系统通信连接,能够将所述关键数据及时上传更新,确保关键数据的安全一致性,统一数据格式以及控制规则。本专利技术涉及的技术方案,相较于现有技术而言,能够解决单点失效问题,可以及时一致地共享以及同步更新网络访问中的关键数据,统一数据格式以及控
制规则,实现安全高效集成。
附图说明
[0018]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为本专利技术实施例提供的基于区块链的零信任网络访问系统的结构示意框图;
[0020]图2为本专利技术实施例中设置多个信任代理组件的基于区块链的零信任网络访问系统的结构示意框图;
[0021]图3为本专利技术实施例涉及的信任代理组件的结构示意框图;
[0022]图4为本专利技术实施例涉及的企业目录区块链系统的结构示意框图。
[0023]附图标记说明:...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的零信任网络访问系统,其特征在于,包括:用以接收用户设备访问请求并验证用户身份权限的信任代理组件;与所述信任代理组件连接的接入控制组件;所述接入控制组件一端连接所述信任代理组件,另一端连接用户设备请求访问的应用系统;所述接入控制组件与应用系统设于同一网络中;用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统;所述企业目录区块链系统包括多个区块链共识节点;所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。2.根据权利要求1所述的基于区块链的零信任网络访问系统,其特征在于,所述信任代理组件包括:身份验证模块、访问许可模块以及会话管理模块;所述身份验证模块、访问许可模块以及会话管理模块与所述企业目录区块链系统通信连接,读取以及上传更新零信任网络访问的关键数据。3.根据权利要求2所述的基于区块链的零信任网络访问系统,其特征在于,所述身份验证模块用以读取所述关键数据并验证发起访问请求的用户身份有效性;所述访问许可模块连接所述身份验证模块,基于所述关键数据生成许可令牌以及建立会话访问连接;所述会话管理模块连接所述访问许可模块,用以管理许可令牌、会话状态以及许可连接数据。4.根据权利要求3所述的基于区块链的零信任网络访问系统,其特征在于,所述访问许可模块包括:与所述企业目录区块链系统通信连接的许可令牌生成单元;与所述许可令牌生成单元并联设置的访问会话建立单元。5.根据权利要求4所述的...
【专利技术属性】
技术研发人员:贺梅青,
申请(专利权)人:湖南链聚信息科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。