基于区块链的SDP访问控制方法及系统技术方案

本发明专利技术提供一种基于区块链的SDP访问控制方法和系统，SDP连接接受主机将SDP连接接受主机信息和支持的连接策略发送到区块链系统节点并进行区块链节点验证及共识，并记录到区块链账本中；SDP连接发起主机向区块链系统节点提交身份认证请求；区块链系统节点对身份认证请求信息进行验证，查找SDP连接发起主机可以访问的SDP连接接受主机列表返回SDP连接发起主机；SDP连接发起主机发起连接请求，连接请求包括区块链系统节点对SDP连接接受主机的签名；SDP连接接受主机对SDP连接发起主机发起的连接请求进行验证，验证成功后提供接入服务。本发明专利技术可以避免SDP控制器遭受DDoS攻击，防止SDP控制器实施错误的授权。SDP控制器实施错误的授权。SDP控制器实施错误的授权。

【技术实现步骤摘要】
基于区块链的SDP访问控制方法及系统


[0001]本专利技术涉及网络安全
，具体涉及一种基于区块链的SDP访问控制方法及系统。

技术介绍

[0002]软件定义边界(Software Defined Perimeter，SDP)，目的在于使应用程序所有者能够在需要时部署边界安全，以便将服务与不安全的网络隔离开来。SDP使用应用所有者可控的逻辑组件取代了物理设备，只有在设备认证和身份认证之后，SDP才允许访问应用基础设施。
[0003]参见图1，SDP包含两部分：SDP主机和SDP控制器。SDP主机可以创建连接或者接受连接。SDP控制器(Controller)主要进行主机认证和策略下发。SDP主机和SDP控制器之间通过一个安全的控制信道进行交互。SDP主机又分为SDP连接发起主机(IH)和SDP连接接受主机(AH)。
[0004]SDP改变了传统的网站连接方式。在传统的连接中，客户端需要建立与服务器端的连接，这一步骤使服务端暴露在公网中，若服务端有漏洞，则有可能被利用；用户通过登录页面输入用户名和密码，该方式有可能使用户名和密本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的SDP访问控制方法，其特征在于，包括：SDP连接接受主机将待验证信息发送给区块链系统节点，所述待验证信息包括：所述SDP连接接受主机的主机信息和支持的连接策略，以使得所述区块链系统节点验证所述待验证信息，并在验证通过后记录到区块链账本中；SDP连接接受主机接收SDP连接发起主机发送的连接请求，所述连接请求中包括区块链系统节点对SDP连接接受主机列表中SDP连接接受主机的签名信息；若所述SDP连接接受主机处于所述SDP连接接受主机列表中，所述SDP连接接受主机根据所述支持的连接策略验证所述签名信息，验证成功后向所述SDP连接发起主机发送请求响应。2.根据权利要求1所述的基于区块链的SDP访问控制方法，其特征在于，所述SDP连接接受主机信息包括以下至少一项：IP地址、端口和协议信息；所述支持的连接策略包括以下至少一项：接入用户的登录ID、IP地址、地理位置以及区块链节点验证或背书策略。3.根据权利要求2所述的基于区块链的SDP访问控制方法，其特征在于，所述区块链系统节点对SDP连接接受主机列表中SDP连接接受主机的签名信息，是一个或多个区块链系统节点的签名，所述一个或多个区块链系统节点根据所述区块链节点验证或背书策略确定。4.根据权利要求1所述的基于区块链的SDP访问控制方法，其特征在于，所述待验证信息还包括：所述SDP连接接受主机的主机信息和支持的连接策略的签名。5.一种基于区块链的SDP访问控制方法，其特征在于，包括：区块链系统节点接收SDP连接接受主机发送的待验证信息，所述待验证信息包括：所述SDP连接接受主机的主机信息和支持的连接策略；所述区块链系统节点验证所述待验证信息，并在验证通过后记录到区块链账本中；所述区块链系统节点接收SDP连接发起主机提交的身份认证请求；所述区块链系统节点对所述身份认证请求信息进行验证，验证通过后，在区块链中查找所述SDP连接发起主机能够访问的SDP连接接受主机列表，将所述SDP连接接受主机列表返回所述SDP连接发起主机。6.根据权利要求5所述的基于区块链的SDP访问控制方法，其特征在于，所述待验证信息还包括：所述SDP连接接受主机的主机信息和支持的连接策略的签名。7.根据权利要求5所述的基于区块链的SDP访问控制方法，其特征在于，若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名；所述区块链系统节点对所述身份认证请求信息进行验证包括：所述区块链系统节点对SDP连接发起主机提交的签名和时间戳进行验证。8.根据权利要求5所述的基于区块链的SDP访问控制方法，其特征在于，若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息；所述区块链系统节点对所述身份认证请求信息进行验证包括：所述区块链系统节点验证所述KDF是否正确。9.根据权利要求5所述的基于区块链的SDP访问控制方法，其特征在于，若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息；所述区块链系统节点对所述身份认证请求信息进行验证包括：所述区块链系统节点验证所述令牌是否正确。
10.一种基于区块链的SDP访问控制方法，其特征在于，包括：SDP连接发起主机向区块链系统节点发送身份认证请求；所述SDP连接发起主机接收所述区块链系统节点发送的能够访问的SDP连接接受主机列表；所述SDP连接发起主机向SDP连接接受主机发送连接请求，所述连接请求中包括区块链系统节点对所述SDP连接接受主机列表中SDP连接接受主机的签名信息；所述SDP连接发起主机接收所述SDP连接接受主机发送的请求响应。11.根据权利要求10所述的基于区块链的SDP访问控制方法，其特征在于，在所述身份认证请求中，所述SDP连接发起主机采用自身的私钥对时间戳进行签名。12.根据...

【专利技术属性】
技术研发人员：阎军智，杨波，粟栗，何申，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：