【技术实现步骤摘要】
【国外来华专利技术】在企业环境中区块链,管理组权限和访问的集成
[0001]相关申请交叉引用
[0002]本申请要求2020年3月24日提交的美国专利申请号16/828,003的优先权和权益,其通过引用整体并入本文。
[0003]本申请涉及管理对安全文件系统的访问,更具体地,涉及在企业环境中管理组权限和对安全文件系统的访问的方法和系统。
技术介绍
[0004]我们的计算系统今天面临的主要问题是内部威胁——即来自我们依赖集中式基础架构以及管理和提供它的人员的威胁——是整体威胁模型的一部分。根据微软SharePoint管理员角色文档,“全局管理员和SharePoint管理员没有对所有站点和每个用户的OneDrive的自动访问权,但他们可以给予自己对任何站点或OneDrive的访问权”。我们当前的基础架构方法通过管理员集中管理和提供安全性和访问控制,使人们能够访问信息而无需知道该信息。因此,无权读取存储在他们管理的服务器上的数据的管理员在没有权限的情况下仍然可以访问并读取数据。
[0005]概述
[0006]本文提供的是一种系统,该系统通过仅将访问权授予被授权访问文件系统的用户来管理安全文件系统和访问文件系统的权限。授予用户的访问权不能超出用户的权限。系统内的用户是使用每个用户独特的密码化密钥来标识的。以线性序列记录用户的权限,类似于分布在多个设备中的区块链。多个设备中的每一个独立地验证线性序列中每个区块的有效性,从而防止失陷(compromised)的中央服务器授予未经授权的访问。线性序列的有效性是通过防止对 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法,包括:通过以下方式创建包括多个区块的区块链:创建定义用户的权限的区块,所述区块包括标识所述用户的密码化用户ID和与所述密码化用户ID相关联的所述权限,所述权限定义与所述密码化用户ID相关联的在所述区块链上执行的至少一个操作;将所述区块附加到所述区块链的末尾,其中所述区块链未被加密;从请求设备接收访问所述区块链的请求,所述请求包括与发出所述请求的所述用户相关联的密码化用户ID;通过计算记录在所述区块链上的权限,确定发出所述请求的所述用户是否有访问所述区块链的所述权限;在确定发出所述请求的所述用户具有访问所述区块链的所述权限后,生成授予发出所述请求的所述用户访问所述区块链的权限的令牌;以及将所述令牌发送到所述请求设备。2.根据权利要求1所述的方法,所述生成所述令牌包括:创建标识保密根密钥的密钥标识符;创建由所述令牌授予的对所述区块链的许可;创建所述保密根密钥和所述许可的密码化哈希;以及将所述密钥标识符,所述许可和所述密码化哈希添加到所述令牌中。3.根据权利要求1所述的方法,所述确定发出所述请求的所述用户是否具有所述权限包括:通过确定所述请求是否使用恢复密钥来签名来确定发出所述请求的所述用户是否有访问所述区块链的所述权限,无需计算所述区块链中记录的所述权限,包括检查所述区块链从初始区块到最后一个区块;以及在确定所述请求已使用所述恢复密钥签名后,生成向发出所述请求的所述用户授予对所述区块链的无限制访问的第二令牌。4.根据权利要求3所述的方法,包括:将所述恢复密钥分成多个部分;加密所述多个部分中的至少一个部分子集;以及将所述加密的部分子集和所述多个部分的其余部分分布给多个设备。5.如权利要求1所述的方法,包括:将第一密码化密钥存储在服务器上;向用户设备发送第二密码化密钥;从所述用户设备接收对所述第一密码化密钥的请求;在接收到所述请求时,确定所述用户设备是否被许可接收所述第一密码化密钥;以及在确定所述用户设备不被许可接收所述第一密码化密钥时拒绝发送所述第一密码化密钥。6.根据权利要求1所述的方法,包括:接收关于所述区块链的语义解释的更新;通过将所述更新存储在所述区块链中,确保跨多个用户设备的所述区块链的所述语义
解释的一致性。7.一种计算机实现的方法,包括:获得授予对区块链的访问的令牌,对所述区块链的所述访问由所述区块链定义的第一权限源许可,所述令牌包括标识保密根密钥的密钥标识符,访问所述区块链的第一许可由所述区块链定义的所述第一权限源授权,以及所述保密根秘钥和所述第一许可的第一密码化哈希;接收来自请求设备的访问所述区块链的请求和来自限制与所述请求设备相关联的访问的第二权限源的第二许可;通过将来自所述第二权限源的所述第二许可添加到所述令牌,计算所述第一密码化哈希和所述第二许可的第二密码化哈希,并从所述令牌中移除所述第一密码化哈希,从而获得减弱的令牌,来减弱由所述令牌授予的所述访问;以及将所述减弱的令牌发送给所述请求设备。8.根据权利要求7所述的方法,其中所述区块链包括多个区块,其中所述区块链中的区块定义了密码化用户ID的权限,所述权限至少定义了要在所述区块链上执行的与所述密码化用户ID相关联的操作,所述获得所述令牌包括:通过计算记录在所述区块链中的所述权限,包括从初始区块到最末区块检查所述区块链,来确定发出所述请求的用户是否具有访问所述区块链的权限;以及在确定发出所述请求的所述用户具有访问所述区块链的所述权限后,生成授予发出所述请求的所述用户访问所述区块链的所述令牌。9.根据权利要求7所述的方法,所述第一许可包括被授予所述第一许可的密码化用户ID,以及所述密码化用户ID有权访问的所述区块链的至少一部分的标识。10.根据权利要求7所述的方法,所述第二许可包括时间限制或地理位置限制。11.根据权利要求7所述的方法,包括:接收访问所述区块链和所述减弱的令牌的第二请求;获得所述保密根密钥;计算所述保密根密钥和所述第一许可的密码化哈希来获得第三密码化哈希;计算所述第三密码化哈希和所述第二许可的所述密码化哈希来获得第四密码化哈希;通过比较包括在所述减弱的令牌中的所述第二密码化哈希和所述第四密码化哈希来确定包括在所述减弱的令牌中的所述第二密码化哈希是否与所述第四密码化哈希匹配;以及在确定所述减弱的令牌中包含的所述第二密码化哈希和所述第四密码化哈希匹配时,授予所述第二请求访问所述区块链。12.根据权利要求7所述的方法,包括:接收所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。