本發(fā)明涉及網(wǎng)絡(luò)安全，特別涉及一種支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法及系統(tǒng)。

背景技術(shù)：

1、隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等科技的迅猛發(fā)展，網(wǎng)絡(luò)在極大方便人類的同時，不可避免提高了數(shù)據(jù)泄露和身份竊取的風(fēng)險。與此同時，隨著高級持續(xù)性威脅、未授權(quán)訪問、內(nèi)部安全風(fēng)險以及惡意數(shù)據(jù)泄露等新型網(wǎng)絡(luò)攻擊手法的日益增多，傳統(tǒng)軟件邊界網(wǎng)絡(luò)安全，如防火墻、殺毒軟件、入侵防御系統(tǒng)等在新形勢下已無法滿足當(dāng)前安全防護(hù)等級的需要。為了彌補傳統(tǒng)軟件定義邊界的不足，更好保護(hù)資源、抵御各種威脅和攻擊，零信任網(wǎng)絡(luò)模型應(yīng)運而生，通過認(rèn)證、監(jiān)測、追蹤等過程確保整個過程安全可靠，保證資源的安全和身份的合法。零信任網(wǎng)絡(luò)模型顛覆了傳統(tǒng)以網(wǎng)絡(luò)為中心的安全防護(hù)，轉(zhuǎn)為以用戶為核心、實施最小權(quán)限訪問控制的新理念，而單包授權(quán)技術(shù)可以滿足零信任的安全需求，通過隱藏服務(wù)器的端口、設(shè)定默認(rèn)的廢棄策略，達(dá)到了服務(wù)的隱秘效果，可以很好的提升網(wǎng)絡(luò)系統(tǒng)的安全性能。雖然單包授權(quán)機制作為當(dāng)前零信任架構(gòu)的重要關(guān)鍵技術(shù)，但現(xiàn)有方案普遍采用傳統(tǒng)集中式的密鑰存儲分發(fā)方案，對訪問者的隱私信息不能有效保護(hù)，且也無法對用戶的身份進(jìn)行溯源監(jiān)管。因此，如何實現(xiàn)零信任體系下用戶隱私信息的合法保護(hù)、如何追溯監(jiān)管用戶的身份，成為當(dāng)前零信任架構(gòu)下認(rèn)證方案亟待解決的問題。

2、為了實現(xiàn)在認(rèn)證過程中的安全認(rèn)證和隱私保護(hù)問題，ibm公司提出的identitymixer屬于一個經(jīng)典的匿名身份認(rèn)證方案，在身份驗證的過程中，用戶可以選擇性地出示自己的真實身份屬性，將不需要出示的身份屬性進(jìn)行隱藏，經(jīng)過轉(zhuǎn)換后的用戶身份標(biāo)記在ca的公鑰下仍可被正確驗證。又如，基于身份的兩種環(huán)簽名方案，通過減少雙線性配對操作的次數(shù)和多項式計算，提高了匿名認(rèn)證的效率。再如，基于橢圓密碼曲線的改進(jìn)匿名認(rèn)證方案，既可以降低通信雙方的成本，也可以抵抗眾多密碼攻擊，安全性較高。針對隱私信息保護(hù)的問題，有在軟件定義邊界框架下使用指定驗證者簽名實現(xiàn)零信任匿名訪問的方案，既降低了通信開銷，也具有較強的安全性。為滿足當(dāng)前醫(yī)療、物聯(lián)網(wǎng)、云服務(wù)等多種場景下的隱私保護(hù)需求，針對車載自組織網(wǎng)絡(luò)用戶隱私保護(hù)問題，有建立基于群簽名的前向安全匿名認(rèn)證協(xié)議，保證了車輛隱私信息的安全。

3、雖然當(dāng)前的匿名身份隱私保護(hù)技術(shù)可以保護(hù)用戶隱私，但是完全采用匿名也會產(chǎn)生匿名濫用問題，因此需要進(jìn)行相應(yīng)的監(jiān)管?，F(xiàn)有的單包授權(quán)認(rèn)證方案缺乏對訪問者身份信息的保護(hù)，導(dǎo)致訪問用戶的身份信息暴露，產(chǎn)生失陷風(fēng)險。采用環(huán)簽名、橢圓曲線、零知識證明等方式進(jìn)行匿名認(rèn)證，實現(xiàn)了對用戶信息隱藏，但是由于未對其進(jìn)行認(rèn)證，缺乏對其監(jiān)管，容易導(dǎo)致匿名濫用，影響資源安全。

技術(shù)實現(xiàn)思路

1、為此，本發(fā)明提供一種支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法及系統(tǒng)，解決現(xiàn)有單包授權(quán)機制缺乏對用戶身份信息的隱私保護(hù)、無法對訪問者身份進(jìn)行有效追溯識別的問題。

2、按照本發(fā)明所提供的設(shè)計方案，一方面，提供一種支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，包含：

3、利用雙層ca管理和頒發(fā)數(shù)字證書，所述雙層ca包括用于向不同用戶客戶端頒發(fā)數(shù)字證書的子ca，和用于生成群簽名密鑰和追蹤密鑰并向子ca授權(quán)并頒發(fā)數(shù)字證書的根ca，所述子ca和所述根ca均部署在區(qū)塊鏈網(wǎng)絡(luò)中；

4、用戶客戶端和零信任網(wǎng)關(guān)向sdp控制器進(jìn)行注冊，所述sdp控制器部署在區(qū)塊鏈中，并利用合法用戶列表和合法網(wǎng)關(guān)列表對注冊成功的用戶客戶端和零信任網(wǎng)關(guān)客戶端進(jìn)行維護(hù)，將注冊完成后的用戶客戶端身份信息進(jìn)行上鏈存證；

5、sdp控制器對匿名訪問請求中的用戶客戶端匿名身份有效性進(jìn)行認(rèn)證，若用戶客戶端匿名身份認(rèn)證通過，則將用戶客戶端的匿名證書存儲至區(qū)塊鏈網(wǎng)絡(luò)，并依據(jù)用戶客戶端單包授權(quán)認(rèn)證請求對單包授權(quán)認(rèn)證請求進(jìn)行認(rèn)證，使用戶客戶端通過與對應(yīng)的零信任網(wǎng)關(guān)之間進(jìn)行密鑰協(xié)商并獲取匿名訪問請求對應(yīng)的服務(wù)資源；

6、針對匿名身份的追溯請求，利用子ca并提取區(qū)塊鏈中存儲的用戶匿名證書，并基于用戶匿名證書獲取用戶真實身份信息。

7、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，利用雙層ca生成管理和頒發(fā)數(shù)字證書，包含：

8、根ca隨機選取隨機數(shù)參數(shù)并生成私鑰和公鑰，利用雙線性映射獲取公開參數(shù)，并設(shè)置追蹤密鑰、群私鑰和群公鑰，所述公開參數(shù)包括加法循環(huán)群、乘法循環(huán)群、加法循環(huán)群生成元、隨機簽名密鑰、單包授權(quán)信息密鑰參數(shù)及哈希函數(shù)；

9、子ca向根ca申請注冊身份請求并提供自身真實身份信息，根ca依據(jù)子ca提供的不同服務(wù)資源屬性信息為子ca生成私鑰并向其頒發(fā)數(shù)字證書；子ca得到自身數(shù)字證書及私鑰后，公布自身公鑰，并通過選擇隨機數(shù)設(shè)置自身對應(yīng)的群追蹤密鑰、群公鑰和群私鑰。

10、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，用戶客戶端向sdp控制器進(jìn)行注冊，包含：

11、依據(jù)用戶客戶端所需子ca出示的屬性值集合生成用于驗證的輔助信息，并利用輔助信息獲取用戶客戶端挑戰(zhàn)值，對子ca身份進(jìn)行校驗；

12、子ca依據(jù)用戶客戶端注冊請求對用戶客戶端進(jìn)行注冊并將用戶客戶端的身份信息及私鑰信息進(jìn)行存儲；

13、用戶客戶端向子ca請求證書，子ca生成挑戰(zhàn)值并發(fā)送給用戶客戶端，使用戶客戶端提交屬性值并生成證書請求；

14、子ca對證書請求進(jìn)行驗證，并依據(jù)用戶提交的屬性值生成匿名數(shù)字證書并頒發(fā)給用戶客戶端；

15、用戶客戶端利用自身信息向sdp控制器發(fā)送注冊請求，所述自身信息包括：匿名數(shù)字證書、密鑰協(xié)商參數(shù)及在線標(biāo)識；

16、sdp控制器對用戶客戶端注冊請求進(jìn)行驗證，將驗證通過后的用戶客戶端自身信息記錄到合法用戶列表中，并將合法用戶列表發(fā)送給零信任網(wǎng)關(guān)。

17、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，零信任網(wǎng)關(guān)向sdp控制器進(jìn)行注冊，包含：

18、零信任網(wǎng)關(guān)利用自身信息生成網(wǎng)關(guān)注冊請求并發(fā)送給sdp控制器，所述零信任網(wǎng)關(guān)自身信息包括：網(wǎng)關(guān)身份標(biāo)識、網(wǎng)關(guān)數(shù)字證書、網(wǎng)關(guān)在線狀態(tài)表示、訪問網(wǎng)關(guān)所需網(wǎng)絡(luò)信息、網(wǎng)關(guān)密鑰協(xié)商參數(shù)；

19、sdp控制器提取網(wǎng)關(guān)注冊請求中的網(wǎng)關(guān)身份標(biāo)識及網(wǎng)關(guān)數(shù)字證書并進(jìn)行比對驗證，將驗證通過的零信任網(wǎng)關(guān)自身信息存儲到合法網(wǎng)關(guān)列表中，并將合法網(wǎng)關(guān)列表發(fā)送給用戶客戶端。

20、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，用戶客戶端和零信任網(wǎng)關(guān)向sdp控制器進(jìn)行注冊，還包含：

21、sdp控制器對合法用戶列表及合法網(wǎng)關(guān)列表進(jìn)行維護(hù)，若有新的零信任網(wǎng)關(guān)和用戶客戶端注冊成功時，則對合法用戶列表及合法網(wǎng)關(guān)列表進(jìn)行更新。

22、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，sdp控制器對匿名訪問請求中的用戶客戶端匿名身份有效性進(jìn)行認(rèn)證，包含：

23、用戶客戶端向sdp發(fā)送匿名證書；

24、sdp控制器對匿名證書合法性進(jìn)行驗證，若驗證通過，則依據(jù)用戶客戶端出示的屬性計算用于驗證的輔助信息，并利用輔助信息生成挑戰(zhàn)值，以利用該挑戰(zhàn)值對用戶匿名訪問進(jìn)行認(rèn)證，若驗證未通過，則禁止該用戶客戶端的匿名訪問。

25、作為本發(fā)明支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方法，進(jìn)一步地，依據(jù)用戶客戶端單包授權(quán)認(rèn)證請求對單包授權(quán)認(rèn)證請求進(jìn)行認(rèn)證，包含：

26、用戶客戶端依據(jù)所要訪問的服務(wù)資源信息生成單包信息，調(diào)整自身在線狀態(tài)標(biāo)識，依據(jù)單包信息及調(diào)整后的在線狀態(tài)標(biāo)識生成單包授權(quán)認(rèn)證請求，并將單包授權(quán)認(rèn)證請求及匿名證書發(fā)送給sdp控制器；

27、sdp控制器依據(jù)單包授權(quán)認(rèn)證請求中的單包信息觸發(fā)對應(yīng)服務(wù)資源的零信任網(wǎng)關(guān)上線，并依據(jù)合法網(wǎng)關(guān)列表對當(dāng)前上線的零信任網(wǎng)關(guān)進(jìn)行驗證，以在零信任網(wǎng)關(guān)驗證通過后，使用戶客戶端與零信任網(wǎng)關(guān)建立通信。

28、再一方面，本發(fā)明還提供一種支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證系統(tǒng)，包含：雙層ca、sdp客戶端、零信任網(wǎng)關(guān)、sdp控制器、資源服務(wù)器和區(qū)塊鏈網(wǎng)絡(luò)，其中，

29、雙層ca，用于管理和頒發(fā)數(shù)字證書，所述雙層ca包括用于向不同用戶客戶端頒發(fā)數(shù)字證書的子ca，和用于生成群簽名密鑰和追蹤密鑰并向子ca授權(quán)并頒發(fā)數(shù)字證書的根ca，所述子ca和所述根ca均部署在區(qū)塊鏈網(wǎng)絡(luò)中；

30、sdp客戶端，用于獲取用戶訪問需求相應(yīng)資源服務(wù)器中服務(wù)資源的授權(quán)并進(jìn)行訪問；

31、零信任網(wǎng)關(guān)，用于控制sdp客戶端對資源服務(wù)器中服務(wù)資源的訪問；

32、sdp控制器，用于對sdp客戶端和零信任網(wǎng)關(guān)進(jìn)行注冊驗證，且sdp控制器部署在區(qū)塊鏈中，利用合法用戶列表和合法網(wǎng)關(guān)列表對注冊成功的用戶客戶端和零信任網(wǎng)關(guān)客戶端進(jìn)行維護(hù)，將注冊完成后的用戶客戶端身份信息進(jìn)行上鏈存證；

33、且，sdp控制器對匿名訪問請求中的用戶客戶端匿名身份有效性進(jìn)行認(rèn)證，若用戶客戶端匿名身份認(rèn)證通過，則將用戶客戶端的匿名證書存儲至區(qū)塊鏈網(wǎng)絡(luò)，依據(jù)用戶客戶端單包授權(quán)認(rèn)證請求對單包授權(quán)認(rèn)證請求進(jìn)行認(rèn)證，使用戶客戶端通過與對應(yīng)的零信任網(wǎng)關(guān)之間進(jìn)行密鑰協(xié)商并獲取匿名訪問請求對應(yīng)的服務(wù)資源；并針對匿名身份的追溯請求，利用子ca并提取區(qū)塊鏈中存儲的用戶匿名證書，并基于用戶匿名證書獲取用戶真實身份信息。

34、本發(fā)明的有益效果：

35、本發(fā)明針對身份認(rèn)證技術(shù)的優(yōu)點和存在的不足，基于區(qū)塊鏈來實現(xiàn)支持隱私保護(hù)和可追溯的零信任單包授權(quán)認(rèn)證方案，在原有的零信任網(wǎng)絡(luò)單包授權(quán)認(rèn)證技術(shù)的基礎(chǔ)上，采用群簽名方案，實現(xiàn)匿名認(rèn)證技術(shù)，從而實現(xiàn)對用戶身份的隱藏保護(hù)；以區(qū)塊鏈網(wǎng)絡(luò)為載體，利用其公開透明、不可篡改等特點，對用戶身份匿名認(rèn)證方案進(jìn)行擴展，在認(rèn)證的同時支持身份的追溯監(jiān)管，可采用國密sm2算法完成密鑰認(rèn)證交換協(xié)議過程，使得用戶身份信息可驗證，可追溯，可監(jiān)管，有效抵御了匿名身份認(rèn)證的問題。并進(jìn)一步對本方案和現(xiàn)有方案進(jìn)行性能評估實驗，實驗結(jié)果說明本方案具有良好的安全性、實用性和方便性，最終使得身份認(rèn)證技術(shù)在零信任網(wǎng)絡(luò)架構(gòu)中形成完整閉環(huán)，完善了傳統(tǒng)的單包授權(quán)認(rèn)證技術(shù)，為未來身份認(rèn)證技術(shù)提供了新思路和新觀點，具有廣泛的兼容適應(yīng)性，可廣泛利用在物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等領(lǐng)域，具有較好的應(yīng)用前景。