[发明专利]基于区块链的物联网零信任系统及访问方法

说明书

本发明公开了基于区块链的物联网零信任系统，包括访问主体、访问客体和零信任安全系统，零信任安全系统包括分布式策略决策点DPDP和分布式策略执行点DPEP，DPDP，初始化访问策略、对访问主体、访问客体进行信任评估、并对整个访问过程进行持续安全检测、信任评估、访问决策和动态更新访问策略；DPEP，接收访问主体的访问请求并重定向到DPDP，启动、监测或关闭主体和客体的通信连接，并加密和转发流量。还公开了基于区块链的物联网零信任访问方法。本发明将零信任与物联网系统架构结合，统一管理主客体信任关系的策略，设备或资源集合能够灵活执行策略，实现了物联网设备动态的、细粒度的安全访问控制。

技术领域

本发明涉及区块链技术领域，具体的说，是一种基于区块链的物联网零信任系统及访问方法。

背景技术

如今的网络时刻处于威胁中，包括来自外部和内部的威胁，传统的边界安全保护技术包括使用防火墙、VPN等各种安全防护设备检测和过滤访问网络资源的请求，并依据网络位置判定对象的可信程度。但是这种情况下，一旦攻击者突破其中一个安全边界，就可以任意访问网络内的资源。因此，传统的边界安全防护在如今的网络环境下并不适用，需要采用零信任架构，保证所有的设备、用户和网络流量都是经过认证和授权的，并保证访问策略是基于环境和访问历史动态调整的。

零信任的核心思想是：默认情况下，企业内/外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。零信任技术响应了企业网络发展趋势下的安全需求，适用于网络安全访问控制和资源保护。越来越多的用户安全的远程接入企业内部网络、用户使用自己的设备安全办公、企业在云服务上安全部署和访问应用系统等。

现有技术中的零信任框架NIST如图1所示，包括主体、企业资源、代理主体访问请求的系统、PDP和PEP。其中，PDP/PEP拆分成为了两个逻辑功能组件。PEP负责实施主体的访问请求，PDP包括策略引擎(PE,Policy Engine)和策略管理(PA,Policy Administrator)两个主要部分。PA负责接受PEP的访问请求，找到对应策略信息，并转发给PE。PE负责策略的决策过程，即根据策略信息、主体和资源信任情况，判断是否允许主体访问资源。其余周边组件主要功能如下：ID Management负责资源标识管理；PKI负责证书管理和认证，DataAccess Policy负责数据访问策略管理；Activity Logs负责记录网络流量、资源访问动作、其它会影响主体和资源信任度的安全事件；Threat Intelligence负责向PE输入外部威胁情报，动态配置主体和资源的信任度；CDM系统负责对资源的安全风险的持续评估和响应，并向PE提供资源当前的状态，例如是否运行更新补丁后的系统、软件的完整性、以及资源是否具有某些脆弱性；Industry Compliiance系统负责策略的合规性；SIEM负责收集用于后续安全分析的信息，用于后续修正访问策略。

但是，其NIST架构针对企业资源访问，不是针对物联网资源(特别是设备资源)的访问控制系统，相较于一般IT网络，物联网中由于数量庞大的物联网设备资源异构接入网络，并且设备状态可能持续变化，物联网的分布式系统架构导致访问策略不便于根据设备信任关系灵活实施，物联网的安全边界更不容易定义。由于任意设备间的信任关系难以定义，基于设备间信任关系的访问策略难以统一管理，难以针对单独设备或自定义设备资源集合灵活实施访问控制，传统的NIST架构不适用于物联网资源。如何将零信任与物联网系统架构结合，统一管理主客体信任关系的策略以及具体设备或自定义设备资源集合灵活执行策略，现有技术中尚没有一种可行的方法。

发明内容

本发明的目的在于提供一种基于区块链的物联网零信任系统，用于解决现有技术中尚没有一种可行的方法能够将零信任与物联网系统架构结合，统一管理主客体信任关系的策略以及具体设备或自定义设备资源集合灵活执行策略的问题。

本发明通过下述技术方案解决上述问题：