一种基于区块链的零信任网络访问系统的制作方法

1.本申请涉及区块链技术领域，更具体地说，尤其涉及一种基于区块链的零信任网络访问系统。


背景技术：

2.零信任网络访问(以下简称ztna)是一种产品和服务，这些产品以及服务创建了一个基于身份和上下文的逻辑访问边界，该边界围住了一个用户和一个应用程序或者一组应用程序。ztna的访问策略主要是基于用户、设备以及应用程序的身份，实现只允许访问特定的应用程序或者应用系统，而非底层网络。相对于vpn、dmz这类传统手段而言，ztna限制了用户对所有端口和协议或所有应用程序的过度访问，规避系统被任意入侵的风险。
3.目前，典型的零信任网络访问系统架构主要包括：端点启动ztna以及服务启动ztna，实际市面上也有同时混合这两种技术架构的产品。在上述零信任网络访问的系统组成中，用户访问需要依赖于“信任代理”来实现身份权限的验证。而“信任代理”需要与后端集成组织的企业目录身份数据端，实现共享和更新控制策略、用户令牌等配置数据。基于此，现有零信任网络访问系统会存在一些不足：信任代理可能成为失效单点；如果部署多个信任代理解决单点失效问题，则会遇到在多个信任代理之间控制策略、用户令牌、用户身份等关键数据共享和同步不及时性、不一致性和安全性低的问题；并且当应用系统的授权用户群体是跨组织主体、跨国家地区的情况下，由于数据格式差异、合规规则差异、系统接口差异，会面临用户身份数据难以集成的问题。
4.因此，如何提供一种基于区块链的零信任网络访问系统，其能够解决单点失效问题，可以及时一致地共享以及同步更新网络访问中的关键数据，统一数据格式以及控制规则，实现安全高效集成，已经成为本领域技术人员亟待解决的技术问题。


技术实现要素：

5.为解决上述技术问题，本申请提供一种基于区块链的零信任网络访问系统，能够解决单点失效问题，可以及时一致地共享以及同步更新网络访问中的关键数据，统一数据格式以及控制规则，实现安全高效集成。
6.本申请提供的技术方案如下：
7.本申请提供一种基于区块链的零信任网络访问系统，包括：用以接收用户设备访问请求并验证用户身份权限的信任代理组件；与所述信任代理组件连接的接入控制组件；所述接入控制组件一端连接所述信任代理组件，另一端连接用户设备请求访问的应用系统；所述接入控制组件与应用系统设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统；所述企业目录区块链系统包括多个区块链共识节点；所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。
8.进一步地，在发明一种优选方式中，所述信任代理组件包括：身份验证模块、访问许可模块以及会话管理模块；所述身份验证模块、访问许可模块以及会话管理模块与所述
企业目录区块链系统通信连接，读取以及上传更新零信任网络访问的关键数据。
9.进一步地，在发明一种优选方式中，所述身份验证模块用以读取所述关键数据并验证发起访问请求的用户身份有效性；所述访问许可模块连接所述身份验证模块，基于所述关键数据生成许可令牌以及建立会话访问连接；所述会话管理模块连接所述访问许可模块，用以管理许可令牌、会话状态以及许可连接数据。
10.进一步地，在发明一种优选方式中，所述访问许可模块包括：与所述企业目录区块链系统通信连接的许可令牌生成单元；与所述许可令牌生成单元并联设置的访问会话建立单元。
11.进一步地，在发明一种优选方式中，所述会话管理模块包括：与所述企业目录区块链系统通信连接的许可令牌管理单元；与所述许可令牌管理单元并联设置的会话状态管理单元以及许可连接管理单元。
12.进一步地，在发明一种优选方式中，所述信任代理组件还包括：与用户设备通信连接，用以接收用户设备访问请求的前端对接模块；所述前端对接模块与所述身份验证模块连接，将访问请求发送至所述身份验证模块。
13.进一步地，在发明一种优选方式中，所述信任代理组件设置多个，多个所述信任代理组件设置于不同网络中；应用系统设置有多个，多个应用系统分别设置于不同组织主体中；多个所述区块链共识节点分别与不同网络中的所述信任代理组件以及不同组织主体中的应用系统通信连接。
14.进一步地，在发明一种优选方式中，所述关键数据包括：用户身份数据、访问策略数据、许可令牌数据以及应用程序连接配置数据。
15.进一步地，在发明一种优选方式中，所述企业目录区块链系统包括：数据层、网络层、共识层以及合约层。
16.进一步地，在发明一种优选方式中，所述信任代理组件包括网络访问控制器；所述接入控制组件包括：接入网关以及网络访问连接器；所述接入控制组件与所述企业目录区块链系统通信连接，用以读取以及上传更新所述关键数据。
17.本发明提供的一种基于区块链的零信任网络访问系统，与现有技术相比，包括：用以接收用户设备访问请求并验证用户身份权限的信任代理组件；与所述信任代理组件连接的接入控制组件；所述接入控制组件一端连接所述信任代理组件，另一端连接用户设备请求访问的应用系统；所述接入控制组件与应用系统设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统；所述企业目录区块链系统包括多个区块链共识节点；所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。其中，所述用户设备发出访问请求，利用所述信任代理组件，接收访问请求；所述企业目录区块链系统储存网络访问的关键数据，利用所述信任代理组件连接所述企业目录区块链系统，通过读取以及更新所述关键数据，验证访问用户的身份有效性；所述接入控制组件，连接应用系统以及所述信任代理组件，若用户验证有效则建立访问连接；其次，利用所述区块链共识节点，所述区块链共识节点与所述信任代理组件、所述接入控制组件以及所述应用系统通信连接，能够将所述关键数据及时上传更新，确保关键数据的安全一致性，统一数据格式以及控制规则。本发明涉及的技术方案，相较于现有技术而言，能够解决单点失效问题，可以及时一致地共享以及同步更新网络访问中的关键数据，统一数据格式以及控
制规则，实现安全高效集成。
附图说明
18.为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1为本发明实施例提供的基于区块链的零信任网络访问系统的结构示意框图；
20.图2为本发明实施例中设置多个信任代理组件的基于区块链的零信任网络访问系统的结构示意框图；
21.图3为本发明实施例涉及的信任代理组件的结构示意框图；
22.图4为本发明实施例涉及的企业目录区块链系统的结构示意框图。
23.附图标记说明：
24.用户设备1；应用系统2；信任代理组件3；前端对接模块301；身份验证模块302；访问许可模块303；会话管理模块304；企业目录区块链系统4；合约层501；共识层502；网络层503；数据层504；区块链共识节点6；接入控制组件7；内网系统8；访问会话建立单元9；许可令牌生成单元10；会话状态管理单元11；生命周期管理单元12；许可令牌管理单元13；许可连接管理单元14；数据验证模块15；节点管理模块16；数据传播模块17；接入管理模块18；数据共享模块19；时间戳模块20；非对称加密模块21；数据开发模块22；哈希函数模块23；随机数模块24；数字签名模块25。
具体实施方式
25.为了使本领域的技术人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
26.需要说明的是，当元件被称为“固定于”或“设置于”另一个元件上，它可以直接在另一个元件上或者间接设置在另一个元件上；当一个元件被称为是“连接于”另一个元件，它可以是直接连接到另一个元件或间接连接至另一个元件上。
27.需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“第一”、“第二”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。
28.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，“多个”、“若干个”的含义是两个或两个以上，除非另有明确具体的限定。
29.须知，本说明书附图所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的
内容，以供熟悉此技术的人士了解与阅读，并非用以限定本申请可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本申请所能产生的功效及所能达成的目的下，均应仍落在本申请所揭示的技术内容得能涵盖的范围内。
30.请如图1至图4所示，本申请实施例提供的基于区块链的零信任网络访问系统，与现有技术相比，包括：用以接收用户设备1访问请求并验证用户身份权限的信任代理组件3；与所述信任代理组件3连接的接入控制组件7；所述接入控制组件7一端连接所述信任代理组件3，另一端连接用户设备1请求访问的应用系统2；所述接入控制组件7与应用系统2设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统4；所述企业目录区块链系统4包括多个区块链共识节点6；所述区块链共识节点6与所述信任代理组件3、所述接入控制组件7以及应用系统2相互连通。
31.本发明提供一种基于区块链的零信任网络访问系统，具体包括：用以接收用户设备1访问请求并验证用户身份权限的信任代理组件3；与所述信任代理组件3连接的接入控制组件7；所述接入控制组件7一端连接所述信任代理组件3，另一端连接用户设备1请求访问的应用系统2；所述接入控制组件7与应用系统2设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统4；所述企业目录区块链系统4包括多个区块链共识节点6；所述区块链共识节点6与所述信任代理组件3、所述接入控制组件7以及应用系统2相互连通。其中，所述用户设备1发出访问请求，利用所述信任代理组件3，接收访问请求；所述企业目录区块链系统4储存网络访问的关键数据，利用所述信任代理组件3连接所述企业目录区块链系统4，通过读取以及更新所述关键数据，验证访问用户的身份有效性；所述接入控制组件7，连接应用系统2以及所述信任代理组件3，若用户验证有效则建立访问连接；其次，利用所述区块链共识节点6，所述区块链共识节点6与所述信任代理组件3、所述接入控制组件7以及应用系统2连接，能够将所述关键数据及时上传更新至所述企业目录区块链系统4，统一数据格式以及控制规则，确保关键数据的安全一致性。本发明涉及的技术方案，相较于现有技术而言，能够解决单点失效问题，可以及时一致地共享以及同步更新网络访问中的关键数据，统一数据格式以及控制规则，实现安全高效集成。
32.具体地，在本发明的实施例中，所述关键数据包括：用户身份数据、访问策略数据、许可令牌数据以及应用程序连接配置数据。
33.具体地，在本发明的实施例中，所述信任代理组件3包括：身份验证模块302、访问许可模块303以及会话管理模块304；所述身份验证模块302、访问许可模块303以及会话管理模块304与所述企业目录区块链系统4通信连接，读取以及上传更新零信任网络访问的关键数据。
34.其中，所述身份验证模块302，基于所述关键数据验证访问用户的身份有效性；若验证身份有效，则准许访问进入下一访问环节，若验证身份无效，则拒绝用户访问请求。
35.具体地，在本发明的实施例中，所述身份验证模块302用以读取所述关键数据并验证发起访问请求的用户身份有效性；所述访问许可模块303连接所述身份验证模块302，基于所述关键数据生成许可令牌以及建立会话访问连接；所述会话管理模块304连接所述访问许可模块303，用以管理许可令牌、会话状态以及许可连接数据。
36.其中，所述访问许可模块303，一方面从所述企业目录区块链系统4中读取所述访
问控制策略数据、所述应用程序连接配置数据生成许可令牌，另一方面向所述企业目录区块链系统4写入生成的许可令牌、会话状态数据、应用程序连接属性数据；所述会话管理模块304，向所述企业目录区块链系统4，读取或者写入更新所述许可令牌、会话状态数据、应用程序连接属性等数据。
37.具体地，在本发明的实施例中，所述访问许可模块303包括：与所述企业目录区块链系统4通信连接的许可令牌生成单元10；与所述许可令牌生成单元10并联设置的访问会话建立单元9。
38.具体地，在本发明的实施例中，所述会话管理模块304包括：与所述企业目录区块链系统4通信连接的许可令牌管理单元13；与所述许可令牌管理单元13并联设置的会话状态管理单元11以及许可连接管理单元14。
39.具体地，在本发明的实施例中，所述会话管理模块304还包括：与所述企业目录区块链系统4连接的生命周期管理单元12；所述生命周期管理单元12包括：许可令牌周期管理单元以及会话周期管理单元。
40.具体地，在本发明的实施例中，所述信任代理组件3还包括：与所述用户设备1通信连接，用以接收所述用户设备1访问请求的前端对接模块301；所述前端对接模块301与所述身份验证模块302连接，将访问请求发送至所述身份验证模块302。
41.具体地，在本发明的实施例中，所述信任代理组件3设置有多个，多个所述信任代理组件3设置于不同网络中；应用系统2设置有多个，多个应用系统2分别设置于不同组织主体中；多个所述区块链共识节点6分别与不同网络中的所述信任代理组件3以及不同组织主体中的应用系统2通信连接。
42.具体地，在本发明的实施例中，不同的所述组织主体包括不同企业主体的内网系统8以及同一企业主体中不同的内网系统8。
43.其中，多个所述信任代理组件3、应用系统2分别设于不同的所述组织主体中，所述企业目录区块链系统4分别连接多个所述信任代理组件3以及多个应用系统2，使零信任网络访问系统从单一组织主体下的系统架构转变为可支持跨组织主体的分布式系统架构，实现跨组织主体的分布式的关键数据共享，实现用户跨设备、跨位置、跨组织主体的无缝接入，能够跨越不同的云、不同的企业主体之间搭建服务，扩大了系统的适用范围，提升安全性。
44.具体地，在本发明的实施例中，所述企业目录区块链系统4包括：数据层504、网络层503、共识层502以及合约层501。
45.具体地，在本发明的实施例中，所述数据层505包括：时间戳模块20、哈希函数模块23、随机数模块24、非对称加密模块21以及数字签名模块25；所述网络层504包括：数据传播模块17以及数据验证模块15。
46.其中，所述数据层505，分布式储存网络访问的所述关键数据；所述区块链共识节点6，通过所述共识层503以共识算法维持所述数据层505中所述关键数据的一致性，结合所述非对称加密模块21、所述哈希函数模块23确保所述关键数据的不可篡改和可追溯性，使零信任网络访问更加安全。
47.具体地，在本发明的实施例中，所述数据层505还包括：与所述时间戳模块20、所述哈希函数模块23、所述随机数模块24、所述非对称加密模块21以及所述数字签名模块25连
接的数据共享模块19以及数据开发模块22。
48.具体地，在本发明的实施例中，所述网络层504还包括：与所述数据传播模块17以及所述数据验证模块15连接的接入管理模块18以及节点管理模块16。
49.具体地，在本发明的实施例中，所述信任代理组件3包括网络访问控制器；所述接入控制组件7包括：接入网关以及网络访问连接器；所述接入控制组件7与所述企业目录区块链系统4通信连接，用以读取以及上传更新所述关键数据。
50.其中，所述接入控制组件7，用以建立以及访问用户访问连接；所述接入控制组件7连接所述企业目录区块链系统4，一方面从所述企业目录区块链系统4中读取所需要的所述关键数据，另一方面也向所述企业目录区块链系统4写入更新访问连接状态等数据。
51.具体地，在本发明的实施例中，用户设备通过所述信任代理组件3获得访问授权之后，会建立用户设备与应用系统2的连接通路。
52.其中，所述建立连接通路的方式包括：携带着许可令牌的用户设备访问请求先经过所述信任代理组件3转发，再经接入控制组件7转发，最终到达应用系统2，并将回复消息按照来源路径返回；携带着许可令牌的用户设备访问请求直接由所述接入控制组件7转发到达应用系统2，回复消息按来源路径返回。
53.更为具体地阐述，目前，典型的零信任网络访问系统架构主要包括：端点启动ztna以及服务启动ztna，实际市面上也有同时混合这两种技术架构的产品。在上述零信任网络访问的系统组成中，用户访问需要依赖于“信任代理”来实现身份权限的验证。而“信任代理”需要与后端集成组织的企业目录身份数据端，实现共享和更新控制策略、用户令牌等配置数据。基于此，现有零信任网络访问系统会存在一些不足：信任代理可能成为失效单点；如果部署多个信任代理解决单点失效问题，则会遇到在多个信任代理之间控制策略、用户令牌、用户身份等关键数据共享和同步不及时性、不一致性和安全性低的问题；并且当应用系统的授权用户群体是跨组织主体、跨国家地区的情况下，由于数据格式差异、合规规则差异、系统接口差异，会面临用户身份数据难以集成的问题。
54.由上所述，本发明实施例涉及的基于区块链的零信任网络访问系统，所述用户设备1发出访问请求，利用所述信任代理组件3，接收访问请求；所述企业目录区块链系统4储存网络访问的关键数据，利用所述信任代理组件3连接所述企业目录区块链系统4，通过读取以及更新所述关键数据，验证访问用户的身份有效性；所述接入控制组件7，连接应用系统2以及所述信任代理组件3，若用户验证有效则建立访问连接；其次，利用所述企业目录区块链系统4以及所述区块链共识节点6，所述区块链共识节点6与所述信任代理组件3以及应用系统2通信连接，能够将所述关键数据及时上传更新至所述企业目录区块链系统4，确保关键数据的安全一致性；并且，所述企业目录区块链系统4分别连接多个所述信任代理组件3以及多个不同组织主体中的应用系统2，使零信任网络访问系统从单一组织主体下的系统架构转变为可支持跨组织主体的分布式系统架构，实现跨组织主体的分布式的关键数据共享，实现用户跨设备、跨位置、跨组织主体的无缝接入，能够跨越不同的云、在不同的企业主体之间搭建服务，利用企业目录区块链系统4的防篡改性、可追溯性，使网络访问过程满足安全、透明、合规的审查要求。
55.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的
一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征：
1.一种基于区块链的零信任网络访问系统，其特征在于，包括：用以接收用户设备访问请求并验证用户身份权限的信任代理组件；与所述信任代理组件连接的接入控制组件；所述接入控制组件一端连接所述信任代理组件，另一端连接用户设备请求访问的应用系统；所述接入控制组件与应用系统设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统；所述企业目录区块链系统包括多个区块链共识节点；所述区块链共识节点与所述信任代理组件、接入控制组件以及应用系统相互连通。2.根据权利要求1所述的基于区块链的零信任网络访问系统，其特征在于，所述信任代理组件包括：身份验证模块、访问许可模块以及会话管理模块；所述身份验证模块、访问许可模块以及会话管理模块与所述企业目录区块链系统通信连接，读取以及上传更新零信任网络访问的关键数据。3.根据权利要求2所述的基于区块链的零信任网络访问系统，其特征在于，所述身份验证模块用以读取所述关键数据并验证发起访问请求的用户身份有效性；所述访问许可模块连接所述身份验证模块，基于所述关键数据生成许可令牌以及建立会话访问连接；所述会话管理模块连接所述访问许可模块，用以管理许可令牌、会话状态以及许可连接数据。4.根据权利要求3所述的基于区块链的零信任网络访问系统，其特征在于，所述访问许可模块包括：与所述企业目录区块链系统通信连接的许可令牌生成单元；与所述许可令牌生成单元并联设置的访问会话建立单元。5.根据权利要求4所述的基于区块链的零信任网络访问系统，其特征在于，所述会话管理模块包括：与所述企业目录区块链系统通信连接的许可令牌管理单元；与所述许可令牌管理单元并联设置的会话状态管理单元以及许可连接管理单元。6.根据权利要求2所述的基于区块链的零信任网络访问系统，其特征在于，所述信任代理组件还包括：与用户设备通信连接，用以接收用户设备访问请求的前端对接模块；所述前端对接模块与所述身份验证模块连接，将访问请求发送至所述身份验证模块。7.根据权利要求1所述的基于区块链的零信任网络访问系统，其特征在于，所述信任代理组件设置多个，多个所述信任代理组件设置于不同网络中；所述应用系统设置有多个，多个应用系统分别设置于不同的组织主体中；多个所述区块链共识节点分别与不同网络中的所述信任代理组件以及不同组织主体中的应用系统通信连接。8.根据权利要求1所述的基于区块链的零信任网络访问系统，其特征在于，所述关键数据包括：用户身份数据、访问策略数据、许可令牌数据以及应用程序连接配置数据。9.根据权利要求8所述的基于区块链的零信任网络访问系统，其特征在于，所述企业目录区块链系统包括：数据层、网络层、共识层以及合约层。10.根据权利要求9所述的基于区块链的零信任网络访问系统，其特征在于，所述信任代理组件包括网络访问控制器；所述接入控制组件包括：接入网关以及网络访问连接器；所述接入控制组件与所述企业目录区块链系统通信连接，用以读取以及上传更新所述关键数据。
技术总结
本申请公开的基于区块链的零信任网络访问系统，连接用户设备以及请求访问的应用系统，包括：信任代理组件；与所述信任代理组件连接的接入控制组件；所述接入控制组件一端连接所述信任代理组件，另一端连接所述应用系统；所述接入控制组件与所述应用系统设于同一网络中；用以储存以及分发零信任网络访问的关键数据的企业目录区块链系统；所述企业目录区块链系统包括多个区块链共识节点；所述区块链共识节点与所述信任代理组件、所述接入控制组件以及所述应用系统相互连通。相较于现有技术而言，其能够解决单点失效问题，可以及时一致地共享以及同步更新网络访问中的关键数据，统一数据格式以及控制规则，实现安全高效集成。实现安全高效集成。实现安全高效集成。


技术研发人员：贺梅青
受保护的技术使用者：湖南链聚信息科技有限责任公司
技术研发日：2021.04.26
技术公布日：2021/6/29