[发明专利]一种零信任访问控制方法及装置

权利要求书

1.一种零信任访问控制方法，其特征在于，所述方法用于在区块链网络上运行，所述区块链网络包括多个共识节点以及多个接入节点，所述方法包括：

用户验证登录客户端，通过所述客户端将对指定服务的访问请求发送至第一接入节点；

所述第一接入节点获取所述指定服务的统一资源定位符，根据所述统一资源定位符查找所述指定服务相关的最新区块，并获取所述指定服务对应最新的第一动态角色；查询所述第一动态角色的引用关系，获取所述第一动态角色所引用的所有相关动态角色；所述第一动态角色和所述相关动态角色是由所述接入节点执行的判断用户是否有访问权限的访问控制规则文本；

所述第一接入节点根据所述第一动态角色和所述相关动态角色的索引检索并验证区块链上所述用户的注册信息和以往的访问记录，所述第一接入节点根据所述第一动态角色和所述相关动态角色记载的访问控制规则文本向所述客户端下发验证命令，在验证通过的情况下所述第一接入节点授权所述用户对所述指定服务进行访问通信并上传新的访问记录；

所述第一接入节点向任意数量个已连接的共识节点发送所述访问记录，以发起访问控制交易；

各共识节点对所述访问控制交易共识认证成功后，将所述访问控制交易加入交易池，在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时，由各共识节点将所述交易池内的访问控制交易打包区块后上链存储。

2.根据权利要求1所述的零信任访问控制方法，其特征在于，用户验证登录客户端之前，所述方法还包括：

所述客户端采用第一设定算法为所述用户生成唯一标识符，并采用第二设定算法为所述用户生成密钥对；

所述客户端采用所述密钥对将所述用户所属的机构部门标识和所述唯一标识符作为注册信息进行加密后，发送至任意一个接入节点并接收由该接入节点颁发和返回的数字证书；

所述客户端将所述密钥对中的私钥加密，并将加密后的私钥和所述数字证书保存在本地，用于登录验证；

以及，由接收加密后所述注册信息的接入节点将所述注册信息和对应的数字证书作为注册交易发送至任意数量个已连接的共识节点进行共识认证和上链存储。

3.根据权利要求2所述的零信任访问控制方法，其特征在于，所述第一设定算法为UUID算法，所述第二设定算法为RSA算法。

4.根据权利要求1所述的零信任访问控制方法，其特征在于，由各共识节点将所述交易池内的访问控制交易打包区块后上链存储，还包括：

对所述访问控制交易增加第一字段，用于标记所述用户对所述指定服务访问并进行身份验证时，采用的所述第一动态角色所在区块的哈希值。

5.根据权利要求1所述的零信任访问控制方法，其特征在于，所述方法还包括：由所述用户通过客户端创建或修改所述指定服务对应的第一动态角色，并通过任意一个接入节点作为动态角色交易上传至一个或多个所述共识节点进行上链存储；

所述第一动态角色对应的动态角色交易中包含第二字段，所述第二字段记载所述第一动态角色所引用的相关动态角色所在区块的哈希值以供检索。

6.根据权利要求1所述的零信任访问控制方法，其特征在于，由各共识节点将所述交易池内的访问控制交易打包区块后上链存储，还包括：

每条访问控制交易中增加第三字段，用于记载所述用户上一条访问控制交易所在区块的哈希值，直至指向所述用户对应的注册交易所在区块。