[发明专利]基于区块链技术的网络安全漏洞响应平台的管理方法

权利要求书

1.基于区块链技术的网络安全漏洞响应平台的管理方法，其特征在于，所述网络安全漏洞响应平台的参与者包括安全服务提供方、安全服务用户、平台运行管理方、业务仲裁方和监管方，各方参与者作为区块链网络的节点，所述管理方法包括：

所述安全服务用户在网络安全漏洞响应平台上通过区块链智能协议发布安全漏洞检测需求智能合约；

所述安全服务提供方在区块链智能协议中提交漏洞报告，对漏洞报告进行分块、加密处理，确保无任何第三方有权限或能力知晓完整漏洞详情；

所述业务仲裁方通过匿名随机选举的方式被选举出，对安全服务提供方与安全服务用户无法达成一致意见的漏洞报告进行仲裁；

所述网络安全漏洞响应平台中各方参与者的操作记录以及各环节信息和数据均被存储于区块链分布式账本上；

所述平台运行管理方通过区块链智能系统基于透明可溯源的链上数据对各方参与者进行自动化信用评级；

以及所述监管方作为区块链网络的中央节点，具有最高的权限，能够管理并访问所有加密存储的业务数据及漏洞信息，并进行漏洞库的收录；

所述安全漏洞检测需求智能合约加密存储于区块链上，该合约在网络安全漏洞响应平台内广播并告知安全服务提供方，符合资质及等级要求的安全服务提供方将被授权能够读取相应的合约内容，在同意合约内容并确认后根据合约内容自行进行漏洞检测；

若安全服务提供方与安全服务用户对于漏洞数据无法达成一致意见，双方将提交仲裁申请，区块链智能系统收到仲裁申请后，通过匿名随机选举的方式选举出多个业务仲裁方，对该漏洞报告进行验证和评级，并进行仲裁；

每个候选的业务仲裁方利用私钥对漏洞编号进行可验证随机函数运算，生成一个随机数，当该随机数满足预先设定的阈值时说明该候选的业务仲裁方被选中作为仲裁节点，只有各候选的业务仲裁方知道自己是否被选为仲裁节点，且无法知道其他仲裁节点的身份；

在进行仲裁时，将单一漏洞进行拆分，形成能被单独验证的若干部分，并将不同部分的访问权限匿名分发给对应的业务仲裁方，业务仲裁方对自己收到的部分漏洞信息进行解密验证，并生成审核报告，最终通过多方验证，实现对漏洞的完整审核；

安全服务提供方将自己检测出的漏洞分成多个片段，并抽取其中共同的知识以进行逻辑的衔接；安全服务提供方将其中一个片段以及前述抽取的共同知识发送给其中一个业务仲裁方，片段和知识都会被进行加密，只有安全服务提供方、该业务仲裁方和中央节点才能对这个片段和知识进行解密；安全服务提供方将其他也涉及到该知识的片段和该知识发送给其他业务仲裁方，其片段和知识同样被进行加密。

2.根据权利要求1所述基于区块链技术的网络安全漏洞响应平台的管理方法，其特征在于，所述安全漏洞检测需求智能合约包括安全漏洞检测服务合同、安全服务提供方的操作日志以及最终完整的漏洞报告；

所述安全漏洞检测服务合同的内容包括但不限于：所需要检测的系统介绍、安全服务提供方能够使用的权限范围和不同等级漏洞的奖励方式；

所述操作日志包含对于漏洞数据的挖掘、漏洞报告的生成和提交的过程，该操作日志由网络安全漏洞响应平台的区块链智能系统自动生成，并存储在区块链相应的安全漏洞检测需求智能合约上，且任意一方均不能篡改。

3.根据权利要求1所述基于区块链技术的网络安全漏洞响应平台的管理方法，其特征在于，平台运行管理方将依据所注册的安全服务提供方的资质、业务能力及平台内网络安全服务的历史纪录，包括漏洞质量、准确率、响应速度、成功率的指标，对安全服务提供方和其他参与方进行评级，并进行分级管理；所述评级将影响到平台中各方参与者的业务参与权限。

4.根据权利要求1所述基于区块链技术的网络安全漏洞响应平台的管理方法，其特征在于，所有漏洞数据在存储时使用非对称加密方式，数据在存储时使用中央节点的公钥对相应的加密密钥进行非对称加密并与漏洞一并存储在区块链上，当中央节点读取该数据时，中央节点使用中央节点的私钥解密得到相应加密密钥，再使用加密密钥对漏洞进行解密，读取相关数据。

5.根据权利要求1所述基于区块链技术的网络安全漏洞响应平台的管理方法，其特征在于，当任意两方或多方在网络安全漏洞响应平台内进行数据通信时，双方或多方使用其自身公钥协商产生加密密钥，并使用该生成的加密密钥对通信数据进行加密及解密。