(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210338074.0 (22)申请日 2022.04.01 (65)同一申请的已公布的文献号 申请公布号 CN 114430350 A (43)申请公布日 2022.05.03 (73)专利权人 南京智人云信息技 术有限公司 地址 210000 江苏省南京市雨 花台区宁双 路19号云密城5幢12层1202- 053 (72)发明人 李彪　陶圣　罗浩　徐元昌　 (74)专利代理 机构 南京明杰知识产权代理事务 所(普通合伙) 32464 专利代理师 周丹 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)G06N 3/04(2006.01) G06N 3/08(2006.01) (56)对比文件 CN 112671808 A,2021.04.16 CN 113094730 A,2021.07.09 CN 112087413 A,2020.12.15 审查员 马文文 (54)发明名称 基于区块链智能合约的网络安全通信系统 (57)摘要 本发明公开了基于区块链智能合约 的网络 安全通信系统， 属于数字信息传输技术领域。 该 系统包括网络隔离模块、 自定义配置模块、 授权 访问模块、 智能合约模块、 证书管理模块、 自动化 部署模块、 哨兵验证模块； 通过网络隔离模块采 用ebpf网络防火墙利用微分段技术进行网络隔 离； 通过自定义配置模块系统管 理员在平台上配 置自定义资源和授权规则并发起投票； 利用授权 访问模块使管理员通过区块链上的托管及安全 合约， 对管理事件进行投票和管理； 通过智 能合 约模块查询合约， 获取对应的状态变更； 利用证 书管理模块生 成CA证书； 利用自动化部署 模块根 据CA证书信息注入， 自动化部署客户端和服务队 哨兵； 利用哨兵验证模块对指定 接口进行访问。 权利要求书4页 说明书9页 附图4页 CN 114430350 B 2022.06.24 CN 114430350 B 1.基于区块链智能合约的网络安全通信系统， 其特征在于： 该系统包括网络隔离模块、 自定义配置模块、 授权访问模块、 智能合约模块、 证书 管理模块、 自动化部署模块、 哨兵验证 模块； 所述网络隔离模块用于通过ebpf网络防火墙利用微分段技术进行网络隔离； 所述自定 义配置模块用于系统管理员在平台上配置自定义资源和授权规则并发起投票； 所述授权访 问模块用于管理员通过区块链上 的托管及安全合约， 对管理事件进行投票和管理， 授权内 外部程序对敏感信息进行访问； 所述智能合约模块用于管理平台查询合约， 获取对应的状 态变更； 所述证书管理模块用于管理平台生成CA证书； 所述 自动化部署模块用于根据CA证 书信息注入， 并自动化部署客户端和服务端哨兵； 所述哨兵验证模块用于外部服务或者人 员通过客户端哨兵对指定 接口进行访问。 2.根据权利要求1所述的基于区块链智能合约的网络安全通信系统， 其特征在于： 所述 网络隔离模块包括： 管理员在控制面上配置安全规则和服务安全组， 并持久化保存于Mysql中， 通过安全规 则和服务安全组的绑定， 产生 微分段的规则定义， 控制服 务的流量； 结合服务的识别号unique_id， 组装成cilium的数据格式， 通过k8s提供的接口， 将微分 段的规则定义应用于k8s内部； Cilium‑Agent将会对微分段的规则感应， 并将规则应用于ebpf网络防火墙规则中， 从 而实现ebpf微分段安全隔离 。 3.根据权利要求1所述的基于区块链智能合约的网络安全通信系统， 其特征在于： 所述 自定义配置模块包括： 系统管理员通过控制面配置资源定义、 授权规则； 控制面将授权规则通过区块链的接口发送至链上。 4.根据权利要求1所述的基于区块链智能合约的网络安全通信系统， 其特征在于： 所述 授权访问模块包括： 区块链合约接收到控制面的授权规则 信息后， 发起投票事 件； 管理员通过链上的托管及安全合约， 对管理事 件进行投票和管理； 当投票通过时， 会通过合约配置的回调地址通知各个可用区的控制面， 并返回相应的 投票ID。 5.根据权利要求4所述的基于区块链智能合约的网络安全通信系统， 其特征在于： 所述 授权访问模块还 包括投票验证子模块； 所述投票验证子模块用于验证管理员对管理事 件进行投票的合 规性； 所述验证包括： 获取历史管理员投票中token的反馈时间， 记为集合 ； 其中 分别代表每次管理员投票中to ken的反馈时间； 将集合 中以9:1的方式分为训练样本集与测试样本集， 并对训练样本集和测试样本集 进行归一 化， 得到归一 化训练样本集V和 测试样本集T； 根据归一 化训练样本集V构建LSTM网络：权　利　要　求　书 1/4 页 2 CN 114430350 B 2其中， 代表遗忘门的输出， 决定了上一时刻单元状态 保留到当前时刻单元状态 的份额； 是遗忘门的权重矩阵； 表示把 两个向量连接成一个更长的 向量； 是遗忘门的偏置项； 代表sigmoid函数； 代表输入门的输出， 决定当前时刻的输入 保留到单 元状态 的份额； 代表输入门的权 重矩阵； 代表输入门的偏置项； 代表输出门的输出， 控制当前时刻单 元状态 输出到LSTM的当前输出值 ； 代表输出门的权 重矩阵； 代表输出门的偏置项； 根据公式： 其中， 代表点乘； 将测试样本集T输入到生成的LSTM网络中， 获取预测的管理员投票中token的反馈时 间， 并根据实际值， 计算偏差值： 其中， 代表偏差值； 代表LSTM网络的输出值； 代表实际值； 对所有偏差值进行平均值 求解， 作为预测偏差值存在， 记为 ； 通过LSTM网络获取当前时刻的管理员投票中token的反馈时间的预测值， 记为 ， 则最 终输出预测值为 ； 所述验证还 包括： 获取确认点击方式： 所述确认点击方式为管理员投票过程中的点击位置； 根据历史数据， 获取点击位置的散点图， 构建点击区域P； 若点击方式不在点击区域内， 则进行标记， 并获取点击方式与点击区域之间的最小距权　利　要　求　书 2/4 页 3 CN 114430350 B 3