(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210375935.2 (22)申请日 2022.04.11 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 申请人 国家工业信息安全发展研究中心 (72)发明人 熊翱　孙岩　李俊　刘奕彤　 刘雨潇　郭少勇　王祖浩　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 薛海波 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 67/133(2022.01) (54)发明名称 一种零信任访问控制方法及装置 (57)摘要 本发明提供一种零信任访问控制方法及装 置， 用户在访问过程中通过客户端连接接入节点 后， 根据需要访问的指定服务的统一资源定位符 查询相应的第一动态角色， 以获得访问控制规则 文本进行用户的身份认证。 在此过程中， 第一动 态角色、 第一动态角色引用的相关动态角色， 用 户的注册信息和访问记录都是在区块链上进行 记录和存储， 在每次访问控制过程中还需要依靠 区块链对访问控制交易进行共识认证， 这使 得每 次访问控制都是暂时性的、 动态的， 针对指定服 务设置的第一动态角色及其引用的相关动态角 色也是自由可变的， 为访问控制的认证提供了丰 富的验证 选项， 符合 零信任理念。 权利要求书2页 说明书12页 附图3页 CN 114938278 A 2022.08.23 CN 114938278 A 1.一种零信任访问控制方法， 其特征在于， 所述方法用于在区块链网络上运行， 所述 区 块链网络包括多个共识 节点以及多个接入节点， 所述方法包括： 用户验证登录客户 端， 通过所述客户 端将对指定服务的访问请求发送至第一接入节 点； 所述第一接入节点获取所述指定服务的统一资源定位符， 根据 所述统一资源定位符查 找所述指定服务相关的最新区块， 并获取所述指定服务对应最新的第一动态角色； 查询所 述第一动态角色的引用关系， 获取所述第一动态角色所引用的所有相关动态角色； 所述第 一动态角色和所述相关动态角色是由所述接入节点执行的判断用户是否有访问权限的访 问控制规则文本； 所述第一接入节点根据所述第一动态角色和所述相关动态角色的索引 检索并验证区 块链上所述用户的注册信息和以往的访问记录， 所述第一接入节点根据所述第一动态角色 和所述相关动态角色记载的访问控制规则文本向所述客户端 下发验证命令， 在 验证通过的 情况下所述第一接入节点授权所述用户对所述指定服务进行访问通信并上传新的访问记 录； 所述第一接入节点向任意数量个已连接的共识节点发送所述访问记录， 以发起访问控 制交易； 各共识节点对所述访 问控制交易共识认证成功后， 将所述访 问控制交易加入交易池， 在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时 长时， 由各共识 节点将所述交易池内的访问控制交易打包区块后上链存 储。 2.根据权利要求1所述的零信任访问控制方法， 其特征在于， 用户验证登录客户端之 前， 所述方法还 包括： 所述客户端采用第 一设定算法为所述用户生成唯一标识符， 并采用第 二设定算法为所 述用户生成密钥对； 所述客户端采用所述密钥对将所述用户所属的机构部门标识和所述唯一标识符作为 注册信息进行加密后， 发送至任意一个接入节点并接收由该接入节点颁 发和返回的数字证 书； 所述客户端将所述密钥对中的私钥加密， 并将加密后的私钥和所述数字证书保存在本 地， 用于登录验证； 以及， 由接收加密后所述注册信 息的接入节点将所述注册信 息和对应的数字证书作为 注册交易发送至任意数量个已连接的共识 节点进行共识 认证和上链存 储。 3.根据权利要求2所述的零信任访问控制方法， 其特征在于， 所述第一设定算法为UUID 算法， 所述第二设定算法为RSA算法。 4.根据权利要求1所述的零信任访问控制方法， 其特征在于， 由各共识节点将所述交易 池内的访问控制交易打包区块后上链存 储， 还包括： 对所述访问控制交易增加第 一字段， 用于标记所述用户对所述指定服务访问并进行身 份验证时， 采用的所述第一动态角色所在区块的哈希值。 5.根据权利要求1所述的零信任访 问控制方法， 其特征在于， 所述方法还包括： 由所述 用户通过客户端创建或修改所述指 定服务对应的第一动态角色， 并通过任意一个接入节点 作为动态角色交易上传至一个或多个所述共识 节点进行 上链存储；权　利　要　求　书 1/2 页 2 CN 114938278 A 2所述第一动态角色对应的动态角色交易中包含第 二字段， 所述第 二字段记载所述第 一 动态角色所引用的相关动态角色所在区块的哈希值以供检索。 6.根据权利要求1所述的零信任访问控制方法， 其特征在于， 由各共识节点将所述交易 池内的访问控制交易打包区块后上链存 储， 还包括： 每条访问控制交易中增加第 三字段， 用于记载所述用户上一条访问控制交易所在区块 的哈希值， 直至指向所述用户对应的注 册交易所在区块。 7.根据权利要求2所述的零信任访问控制方法， 其特征在于， 各共识节点对所述访问控 制交易共识认证成功后， 将所述访问控制交易加入交易池， 在所述交易池内的访问控制交 易数量达到 设定数值或距离上次区块提交时间达到 设定时长时， 由各共识节点将所述交易 池内的访问控制交易打包区块后上链存 储， 包括： 接收到所述访问控制交易的多个共识节点分别对所述访问控制交易的数字证书进行 完整性认证， 在认证通过 的情况下检查所述访问控制交易的哈希值和序列号， 判断是否已 经收到过所述访问控制交易， 若判断未收到过所述访问控制交易则将其加入各共识节点对 应的交易池中； 为各共识节点配置编号， 并根据设定规则选取一个共识节点作为提案节点， 标记所述 提案节点对应的交易池为 提案交易池； 在所述提案交易池包含的访问控制交易数量达到设定数值或距离上次区块提交时间 达到设定时长时， 所述提案节点将所述提案交易池内所有的访问控制交易打包成候选区块 并广播； 由所述提案节点以外的其他共识节点对所述候选区块的序号以及区块头数据进行验 证， 在验证通过的情况 下向所述 提案节点反馈验证通过信息； 所述提案节点接收到验证通过信 息的数量达到指定阈值 时， 正式提交所述候选区块以 加入区块链。 8.根据权利要求7所述的零信任访问控制方法， 其特征在于， 所述设定规则为随机选 取； 所述指定阈值 为2f+1， f为所述共识 节点中故障节点或作恶节点的最大容忍数量。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的 步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现权利要求1至8任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114938278 A 3