基于区块链的物联网零信任实现系统及方法技术方案

本发明专利技术涉及区块链技术领域，为了有效实现动态持续验证，提供了基于区块链的物联网零信任实现系统，包括零信任访问核心组件及区块链功能组件，还包括外部引用信息源模块、持续验证服务模块及数据共享服务模块。基于区块链的物联网零信任实现方法，包括：1、身份注册并存储；2、制定访问策略并存储；3、发起访问请求进行身份认证，认证成功则转发至dPDP进行决策；4、dPDP接收到请求后进行身份验证，并从外部获取相关信息源用以决策允许/拒绝，若拒绝，则丢弃此请求；若允许，则告知零信任代理模块和被请求的零信任网关模块，以允许此次访问；5、建立动态数据访问通道；6、实现数据访问过程。采用上述方式可以有效实现动态持续验证。用上述方式可以有效实现动态持续验证。

【技术实现步骤摘要】
基于区块链的物联网零信任实现系统及方法


[0001]本专利技术涉及区块链
，具体是一种基于区块链的物联网零信任实现系统及方法。

技术介绍

[0002]随着物联网技术的高速发展，为了提供给用户更便捷的智能生活，海量且异构的物联网设备改变了现有的网络结构。在智慧家庭中，这些设备采集环境和用户数据，响应用户的访问控制请求，通过网关访问控制其他设备为用户提供智能服务。然而，这些设备，尤其是需要进行访问控制决策的网关，受限于有限的资源，存在一定安全风险。一旦恶意用户仿冒网关或伪造访问控制命令，如仿冒合法用户设置冰箱温度导致食物变质，或控制空调在高温下打开暖风造成中暑等，极易威胁到家中成员特别是老人小孩的人身安全。随着云计算、大数据等技术和物联网的融合，安全逐步从传统的有边界转变为无边界，零信任概念打破了默认的“信任”，始终“持续验证，永不信任”。在物联网架构中实现零信任，存在问题如下：
[0003](1)物联网设备大都资源受限，无法有效实现动态持续验证。
[0004](2)实现访问控制决策的物联网设备，尤其是网关设备易被攻击导致存储的策略被篡改，无法保证策略完整性。

技术实现思路

[0005]为了有效实现动态持续验证，本申请提供了一种基于区块链的物联网零信任实现系统及方法。
[0006]本专利技术解决上述问题所采用的技术方案是：
[0007]基于区块链的物联网零信任实现系统，包括用于实现物联网中零信任访问的零信任访问核心组件及区块链功能组件，还包括支撑组件，所述支撑组件用于为零信任访问提供支撑服务，所述支撑组件包括用于提供外部相关信息源的外部引用信息源模块、用于服务验证的持续验证服务模块及用于数据共享的数据共享服务模块。
[0008]进一步地，所述零信任访问核心组件包括数据面和控制面：所述控制面由分布式策略决策点dPDP中配对的策略引擎模块和策略管理器实现安全的访问决策；所述数据面由策略执行点PEP之间动态构建的数据访问通道实现物联网主体到物联网资源之间的安全访问，所述PEP包括零信任代理模块和零信任网关模块。
[0009]进一步地，所述区块链功能组件包括策略管理模块、身份管理模块及日志管理模块。
[0010]基于区块链的物联网零信任实现方法，应用于基于区块链的物联网零信任实现系统，包括：
[0011]步骤1、访问主体和访问客体向区块链进行身份注册，由零信任访问核心组件共识后通过区块链存储管理；
[0012]步骤2、制定访问策略，由访问客体上传至零信任访问核心组件，共识后通过区块链存储；
[0013]步骤3、用户通过零信任代理模块发起访问请求进行身份认证，身份认证成功则转发至分布式策略决策点dPDP进行决策；
[0014]步骤4、分布式策略决策点dPDP接收到请求后，策略引擎模块通过区块链检索身份进行身份验证，检索策略核验权限，并从外部获取相关信息源用以决策允许/拒绝，若拒绝，则丢弃此请求；若允许，则告知零信任代理模块和被请求的零信任网关模块，以允许此次访问；
[0015]步骤5、零信任代理模块及零信任网关模块收到允许访问的请求通知后，进行双向认证，认证成功后，零信任代理模块与零信任网关模块间建立动态数据访问通道；
[0016]步骤6、用户实现数据访问过程。
[0017]进一步地，所述步骤6还包括采用零信任网关模块监控用户数据访问过程，若出现违规行为，则报告给数据共享服务模块。
[0018]进一步地，还包括步骤7、记录访问日志。
[0019]本专利技术相比于现有技术具有的有益效果是：从外部获取相关信息源用以决策允许/拒绝可以实现数控分离，更易实施部署；相关信息源更真实；通过区块链存证保证数据的完整性，解放了dPDP；在动态持续验证中，由于所需的信息源很大，需要的存储和计算代价较高，在均使用区块链技术的场景下，对于这些数据的分布式外部引用，攻击的代价成本高于存储在中心化的dPDP处，因此从外部获取不仅实时性较强，安全性也较高，能有效实现动态持续验证。
附图说明
[0020]图1为基于区块链的物联网零信任架构图；
[0021]图2为基于区块链的物联网零信任实现方法结构图；
[0022]图3为基于区块链的物联网零信任方法的时序图。
具体实施方式
[0023]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合实施例，对本专利技术进行进一步的详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。
[0024]基于区块链的物联网零信任实现系统，包括用于实现物联网中零信任访问的零信任访问核心组件及区块链功能组件，还包括支撑组件，所述支撑组件用于为零信任访问提供支撑服务，所述支撑组件包括用于提供外部相关信息源的外部引用信息源模块、用于服务验证的持续验证服务模块及用于数据共享的数据共享服务模块。
[0025]具体地，所述零信任访问核心组件包括数据面和控制面：所述控制面由分布式策略决策点dPDP中配对的策略引擎模块和策略管理器实现安全的访问决策；所述数据面由策略执行点PEP之间动态构建的数据访问通道实现物联网主体到物联网资源之间的安全访问，所述PEP包括零信任代理模块和零信任网关模块。所述区块链功能组件包括策略管理模块、身份管理模块及日志管理模块。
[0026]基于区块链的物联网零信任架构图如图1所示，包括：零信任访问核心组件、支撑组件、区块链功能组件。
[0027]零信任访问核心组件实现物联网中零信任访问，分为数据面和控制面。控制面由分布式策略决策点dPDP中配对的策略引擎模块和策略管理器实现安全的访问决策；数据面由策略执行点PEP之间动态构建的数据访问通道实现物联网主体到物联网资源之间的安全访问，PEP主要包括零信任代理模块和零信任网关模块。
[0028]支撑组件为零信任访问提供支撑服务，包括外部引用信息源模块、持续验证服务模块、数据共享服务模块，为零信任决策提供“永不信任，一直验证”服务。
[0029]区块链功能组件为支撑组件和零信任访问核心组件提供基于区块链的功能性组件，包括策略管理模块、身份管理模块、日志管理模块。
[0030]如图2所示，物联网主体实现为用户通过系统、应用、设备发起访问请求；
[0031]物联网资源实现为对数据、感知器的访问和对执行器的控制；
[0032]策略执行点PEP实现为零信任代理的区块链客户端和零信任网关中的区块链轻节点；
[0033]分布式策略决策点dPDP实现为具有共识能力的全节点。
[0034]具体的，由分布式策略决策点dPDP中的策略管理器模块管理历史访问日志和分布式身份；
[0035]持续验证服务模块可实现从策略管理器模块处检索获取分布式身份和历史日志进行身份持续验证和日志分析；
[0036]持续验证服务模块将身份持续验证和日志分析结果发送给信息源模块和数据共享服务模块进行同步；
[0037]数据共享服务模块为分本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于区块链的物联网零信任实现系统，包括用于实现物联网中零信任访问的零信任访问核心组件及区块链功能组件，其特征在于，还包括支撑组件，所述支撑组件用于为零信任访问提供支撑服务，所述支撑组件包括用于提供外部相关信息源的外部引用信息源模块、用于服务验证的持续验证服务模块及用于数据共享的数据共享服务模块。2.根据权利要求1所述的基于区块链的物联网零信任实现系统，其特征在于，所述零信任访问核心组件包括数据面和控制面：所述控制面由分布式策略决策点dPDP中配对的策略引擎模块和策略管理器实现安全的访问决策；所述数据面由策略执行点PEP之间动态构建的数据访问通道实现物联网主体到物联网资源之间的安全访问，所述PEP包括零信任代理模块和零信任网关模块。3.根据权利要求2所述的基于区块链的物联网零信任实现系统，其特征在于，所述区块链功能组件包括策略管理模块、身份管理模块及日志管理模块。4.基于区块链的物联网零信任实现方法，应用于权利要求3所述的基于区块链的物联网零信任实现系统，其特征在于，包括：步骤1、访问主体和访问客体向区块链进行身份注册...

【专利技术属性】
技术研发人员：石娜，黄德俊，唐博，李努锲，
申请(专利权)人：四川长虹电子控股集团有限公司，
类型：发明
国别省市：