[发明专利]一种零信任访问控制方法及装置

说明书

本发明提供一种零信任访问控制方法及装置，用户在访问过程中通过客户端连接接入节点后，根据需要访问的指定服务的统一资源定位符查询相应的第一动态角色，以获得访问控制规则文本进行用户的身份认证。在此过程中，第一动态角色、第一动态角色引用的相关动态角色，用户的注册信息和访问记录都是在区块链上进行记录和存储，在每次访问控制过程中还需要依靠区块链对访问控制交易进行共识认证，这使得每次访问控制都是暂时性的、动态的，针对指定服务设置的第一动态角色及其引用的相关动态角色也是自由可变的，为访问控制的认证提供了丰富的验证选项，符合零信任理念。

技术领域

本发明涉及访问控制技术领域，尤其涉及一种零信任访问控制方法及装置。

背景技术

企业的内网和外网之间有着明确的界限。一方面，这意味着对企业内网的设备无条件信任，而另一方面，来自互联网的设备则必须采取某种技术手段实现对内网的访问。虚拟专用网络(VPN)是一种常用的远程访问技术。为了使用VPN，需要在内网中架设一台VPN服务器。用户连接互联网后，通过互联网连接VPN服务器，然后验证身份，通过VPN服务器访问企业内网。配合远程访问技术，往往还需要一种访问控制方法，以实现对于资源的授权访问。基于角色的访问控制(RBAC)是最常用的访问控制方式，其对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。用户被分配适当的角色，而每一种角色对应一组相应的权限。

对于内网设备的无条件信任存在安全隐患，一旦内网设备被入侵，那么整个内网就为入侵者敞开了大门。同时，在处理多个机构间互相访问的需求时，传统的解决方案没有提供直接的支持，更无法达到开透明与安全可信。因此，亟需一种访问控制方法用于实现用户和服务之间的远程安全访问。

发明内容

本发明提供了一种零信任访问控制方法及装置，以消除或改善现有技术中存在的一个或更多个缺陷，以克服传统方法中通过用户名和密码进行静态认证时的信息泄露风险。

本发明的技术方案如下：

一方面，本发明提供一种零信任访问控制方法，所述方法用于在区块链网络上运行，所述区块链网络包括多个共识节点以及多个接入节点，所述方法包括：

用户验证登录客户端，通过所述客户端将对指定服务的访问请求发送至第一接入节点；

所述第一接入节点获取所述指定服务的统一资源定位符，根据所述统一资源定位符查找所述指定服务相关的最新区块，并获取所述指定服务对应最新的第一动态角色；查询所述第一动态角色的引用关系，获取所述第一动态角色所引用的所有相关动态角色；所述第一动态角色和所述相关动态角色是由所述接入节点执行的判断用户是否有访问权限的访问控制规则文本；

所述第一接入节点根据所述第一动态角色和所述相关动态角色的索引检索并验证区块链上所述用户的注册信息和以往的访问记录，所述第一接入节点根据所述第一动态角色和所述相关动态角色记载的访问控制规则文本向所述客户端下发验证命令，在验证通过的情况下所述第一接入节点授权所述用户对所述指定服务进行访问通信并上传新的访问记录；所述第一接入节点向任意数量个已连接的共识节点发送所述访问记录，以发起访问控制交易；

各共识节点对所述访问控制交易共识认证成功后，将所述访问控制交易加入交易池，在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时，由各共识节点将所述交易池内的访问控制交易打包区块后上链存储。

在一些实施例中，用户验证登录客户端之前，所述方法还包括：

所述客户端采用第一设定算法为所述用户生成唯一标识符，并采用第二设定算法为所述用户生成密钥对；

所述客户端采用所述密钥对将所述用户所属的机构部门标识和所述唯一标识符作为注册信息进行加密后，发送至任意一个接入节点并接收由该接入节点颁发和返回的数字证书；