(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111640065.9 (22)申请日 2021.12.2 9 (71)申请人 四川启睿 克科技有限公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府四街 199号1栋33层 (72)发明人 范静雯　唐博　杨超　黄德俊　 (74)专利代理 机构 四川省成 都市天策商标专利 事务所(有限合 伙) 51213 代理人 张秀敏 (51)Int.Cl. H04L 67/104(2022.01) H04L 67/12(2022.01) H04L 9/40(2022.01) G16Y 30/10(2020.01)G06F 21/64(2013.01) G06F 21/60(2013.01) G06F 21/45(2013.01) G06F 21/31(2013.01) (54)发明名称 基于区块链的物联网零信任系统及访问方 法 (57)摘要 本发明公开了基于区块链的物联网零信任 系统， 包括访问主体、 访问客体和零信任安全系 统， 零信任安全系统包括 分布式策略决策点DPDP 和分布式策略执行点DPEP， DPDP， 初始化访问策 略、 对访问主体、 访问客体进行信任评估、 并对整 个访问过程进行持续安全检测、 信任评估、 访问 决策和动态更新访 问策略； DPEP， 接收访 问主体 的访问请求并重定向到DPDP， 启动、 监测或关闭 主体和客体的通信连接， 并加密和转发流量。 还 公开了基于区块链的物联网零信任访问方法。 本 发明将零信任与物联网系统架构结合， 统一管理 主客体信任关系的策略， 设备或资源集合能够灵 活执行策略， 实现了物联网设备动态的、 细粒度 的安全访问控制。 权利要求书2页 说明书11页 附图6页 CN 114338701 A 2022.04.12 CN 114338701 A 1.一种基于区块链的物联网零信任系统， 其特征在于， 包括访问主体、 访问客体和零信 任安全系统， 零信任安全系统包括分布式策略决策点D PDP和分布式策略执 行点DPEP， 其中： 访问主体， 用于向区块链进行身份注册和身份验证， 向零信任安全系统上报安全状态， 通过零信任安全系统向访问客体发起访问请求， 在获得授权后与访问客体进行通信； 访问客体， 用于向区块链进行身份注册和身份验证， 向零信任安全系统上报安全状态， 通过零信任安全系统与访问主体进行通信； 分布式策略决策点DPDP， 用于初始化访问策略、 对访问主体、 访问客体进行信任评估、 并对整个访问过程进行持续 安全检测、 信任评估、 访问决策和动态更新访问策略； 分布式策略执行点DPEP， 用于接收访问主体的访问请求并重定向到DPDP， 根据DPDP的 访问策略启动、 监测或关闭访问主体和访问客体之间的通信连接； 以及在访问主体和访问 客体之间加密流 量和转发流 量。 2.根据权利要求1所述的基于区块链的物联网零信任系统， 其特征在于， 所述分布式策 略决策点DPDP包括基于智能合约实现且运行在区块链节 点上的策略管 理模块PA、 信任引擎 模块TE和策略引擎模块PE， 其中： 策略管理模块PA， 用于设置对访 问策略执行读写操作的控制逻辑， 以及用于根据策略 引擎模块PE的决策 结果控制D PEP建立/关闭访问主体和访问客体之间的通信通道； 信任引擎模块TE， 用于监测多源数据， 并根据多源数据进行持续的安全分析， 实时评估 访问主体和访问客体当前 的信任状态， 维护访问主体和访问客体之间的信任关系； 多源数 据包括访 访问主体 状态、 访问客体 状态、 访问客体反馈的信息、 通信链路和外 部威胁情 报； 策略引擎模块PE， 用于根据信任引擎模块TE对访问主体的信任评估结果和策略管理模 块PA返回的访问策略， 判断是否授权访问主体对访问客体进行访问， 以及根据信任评估结 果动态更新访问策略。 3.根据权利要求2所述的一种基于区块链的物联网零信任系统， 其特征在于， 所述策略 引擎模块PE还用于实现基于角色的访问控制、 基于属 性的访问控制、 基于能力的访问控制 以及细粒度的访问控制。 4.一种基于区块链的物联网零信任访问方法， 其特 征在于， 包括： 步骤S10、 访问主体和访问客体向区块链进行身份注册及验证， 建立设备间信任管理， 初始化访问策略和策略执 行代理； 步骤S20、 访问主体发起对访问客体的访问请求， 分布式策略执行点DPEP重定向访问请 求到分布式策略决策点DPDP， DPDP查找针对访问主体、 访问客体的访问策略， 并分别对访问 主体、 访问客体进行信任评估， 信任评估通过则根据查找到的访问策略授权访问主体对访 问客体进行访问， 并控制D PEP建立访问主体、 访问客体之间的安全通信 信道； 步骤S30、 DPEP执行访问策略， 在访问主体与访问客体之间安全的转发流量； DPDP持续 监测访问过程， 更新信任关系， 对访问主体的访问权限进行动态调整。 5.根据权利要求4所述的基于区块链的物联网零信任访问方法， 其特征在于， 所述步骤 S20具体包括： 步骤S21、 访问主体发起对访问客体的访问请求， 分布式策略执行点DPEP重定向访问请 求， 并发送到分布式策略决策点DPDP， DPDP查找针对访问主体、 访问客体的访问策略， 并对 访问主体进 行信任评估， 并根据信任评估结果判断是否对访问主体授权， 若授权， 进入步骤权　利　要　求　书 1/2 页 2 CN 114338701 A 2S22， 否则DPDP终结本次访问并通知 访问主体， 并通知D PEP阻断本次访问操作； 步骤S22、 DPDP通知DPEP创建一条到访问主体到访问客体的安全通信信道， DPDP对访问 客体进行信任评估， 如果信任评估通过， 进入步骤S3 0； 否则通知D PEP阻断本次访问操作。 6.根据权利要求5所述的基于区块链的物联网零信任访问方法， 其特征在于， 分布式策 略执行点DPEP分别部署在访问主体侧和访问客体侧， 当访问主体的信任评估不通过时， DPDP通知访问主体侧的DPEP阻断本次访问操作； 当访问客体的信任评估不通过时， DPDP通 知访问客体侧的D PEP阻断本次访问操作。 7.根据权利要求6所述的基于区块链的物联网零信任访问方法， 其特征在于， 访问主体 侧的DPEP和访问客体侧的D PEP为终端D PEP或统一D PEP。 8.根据权利要求4所述的基于区块链的物联网零信任访问方法， 其特征在于， 所述步骤 S10具体包括： 步骤S11、 访问主体和访问客体向区块链注册身份和验证身份信息， 经过验证后的身份 信息与零信任安全系统中的区块链网络共享并安全管理； 步骤S12、 建立设备间信任关系并相互验证； 步骤S13、 初始化访问策略： 根据物联网场景配置对应的访问策略， 配置参数包括用户 信息、 应用信息、 设备信息、 信任等级和访问权限； 步骤S14、 初始化DPDP组件： 初始化区块链网络， 部署智能合约， 部署基于智能合约实现 且运行在区块链节点上 的策略引擎模块、 策略管理模块和信任引擎模块， 将访问策略和设 备间信任关系记录在区块链上； 步骤S15、 初始化策略执行代理： 为访问主体配置策略执行点并配置参数， 为访问客体 配置策略执 行点并配置域名解析指向该 策略执行点。 9.根据权利要求4所述的基于区块链的物联网零信任访问方法， 其特征在于， 对访问主 体的访问权限进行动态调整包括 修改访问策略以及更新访问主体和访问客体的信任关系。 10.根据权利要求4所述的基于区块链 的物联网零信任访 问方法， 其特征在于， DPEP还 用于为设备生成唯一标识、 采集终端设备安全信息、 安全保管设备密钥以及加密流 量。权　利　要　求　书 2/2 页 3 CN 114338701 A 3