本发明涉及访问安全领域,具体是一种基于区块链的访问授权系统及方法。
背景技术:
1、随着互联网技术的飞速发展,企业网络边界逐渐模糊,不再是传统企业的既定边界。由于企业系统及设备远程维护、数据跨域共享等场景逐渐增多,企业面临更多的安全威胁。现有访问控制技术的访问授权是由策略决策点依据用户、系统访问时提交的属性执行授权策略以决定是否允许访问,但现有策略执行方式存在策略被篡改、策略同步不一致、访问过程不可追溯等问题,授权策略执行的可信无法保障,使企业面临一定的风险。
技术实现思路
1、为了提高访问安全性,本申请提供了一种基于区块链的访问授权系统及方法。
2、本发明解决上述问题所采用的技术方案是:
3、基于区块链的访问授权系统,包括:
4、访问主体单元:用于访问主体发起访问请求;与网关连接进行资源访问;
5、资源提供方单元:用于资源提供方发布资源基础信息;资源提供方审核访问主体的访问请求;提供基于访问授权策略的链下资源;
6、区块链基础设施单元:用于实现资源基础信息共享;实现访问主体与资源提供方的访问授权策略协商,向网关下发协商后的访问授权策略;
7、网关:根据访问授权策略对访问主体的访问进行控制。
8、进一步地,所述区块链基础设施单元还用于对网关控制结果进行存证。
9、基于区块链的访问授权方法,包括:
10、步骤1、在预设位置部署网关;
11、步骤2、资源提供方将资源基础信息发布到区块链;
12、步骤3、访问主体查看已发布到链上的资源基础信息,并发送访问指定资源的请求信息;
13、步骤4、资源提供方对访问主体的请求内容进行审核,并与访问主体进行链上访问授权策略协商;
14、步骤5、访问授权策略协商完成后,生成访问授权策略并将访问授权策略同步到网关;
15、步骤6、访问主体访问网关并请求访问资源,网关依据访问授权策略进行访问决策,并根据决策结果执行允许或拒绝访问主体的访问请求。
16、进一步地,所述步骤1中,预设位置为:资源提供方/访问主体内外网边界或dmz区。
17、进一步地,所述步骤2中,资源基础信息包括资源标识、资源名称、数据共享场景的数据目录字段、字段描述及目录描述。
18、进一步地,所述步骤3中,请求信息中包括:访问资源的名称或数据目录字段,访问时间段及访问次数。
19、进一步地,所述步骤4中,访问授权策略协商包括:访问的资源范围、时间及次数。
20、进一步地,所述步骤5中,生成基于abac模型的访问授权策略,所述访问授权策略包含访问主体的属性信息及访问主体能够访问的资源属性信息。
21、进一步地,所述步骤6具体为:
22、访问主体访问网关并请求访问资源,网关依据访问主体及所要访问的资源生成访问属性信息,所述访问属性信息包括:访问主体的标识,访问主体的ip,访问时间,访问资源名称,访问资源标识或数据目录字段;
23、策略决策模块将访问属性信息基于abac模型与访问授权策略进行匹配,如果匹配通过,则决策结果为允许,如果不通过,则决策结果为拒绝。
24、进一步地,所述步骤6还包括:将访问决策结果上链存证。
25、本发明相比于现有技术具有的有益效果是:本申请采用交易方式进行链上授权策略协商,生成访问授权策略,实现了策略生成的全流程上链及可信,采用动态生成策略的方式,效率更高,且更符合需求。
1.基于区块链的访问授权系统,其特征在于,包括:
2.根据权利要求1所述的基于区块链的访问授权系统,其特征在于,所述区块链基础设施单元还用于对网关控制结果进行存证。
3.基于区块链的访问授权方法,其特征在于,包括:
4.根据权利要求3所述的基于区块链的访问授权方法,其特征在于,所述步骤1中,预设位置为:资源提供方/访问主体内外网边界或dmz区。
5.根据权利要求3所述的基于区块链的访问授权方法,其特征在于,所述步骤2中,资源基础信息包括资源标识、资源名称、数据共享场景的数据目录字段、字段描述及目录描述。
6.根据权利要求5所述的基于区块链的访问授权方法,其特征在于,所述步骤3中,请求信息中包括:访问资源的名称或数据目录字段,访问时间段及访问次数。
7.根据权利要求6所述的基于区块链的访问授权方法,其特征在于,所述步骤4中,访问授权策略协商包括:访问的资源范围、时间及次数。
8.根据权利要求3所述的基于区块链的访问授权方法,其特征在于,所述步骤5中,生成基于abac模型的访问授权策略,所述访问授权策略包含访问主体的属性信息及访问主体能够访问的资源属性信息。
9.根据权利要求8所述的基于区块链的访问授权方法,其特征在于,所述步骤6具体为:
10.根据权利要求3-9任意一项所述的基于区块链的访问授权方法,其特征在于,所述步骤6还包括:将访问决策结果上链存证。