区块链服务与应用的智能防御系统及方法.pdf

《区块链服务与应用的智能防御系统及方法.pdf》由会员分享，可在线阅读，更多相关《区块链服务与应用的智能防御系统及方法.pdf（9页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010549284.5 (22)申请日 2020.06.16 (71)申请人 深圳市迈科龙电子有限公司 地址 518000 广东省深圳市南山区高新南 六道迈科龙大厦17层 (72)发明人 周保琢尹立东蒋鑫秦明 李磊张磊 (74)专利代理机构 深圳市康弘知识产权代理有 限公司 44247 代理人 孙洁敏 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种区块链服务与应用的智能防御系统及 方法 (57)摘要 本发明公开了一种区块链服务与应用的。

2、智 能防御系统及方法， 所述系统包括节点访问监听 与采集引擎、 区块链服务与应用安全接入认证单 元、 区块链服务与应用访问代理单元、 敏感数据 资源安全服务单元， 所述节点访问监听与采集引 擎， 用于将访问者对区块链服务与应用的访问请 求进行过滤； 所述区块链服务与应用安全接入认 证单元， 用于对区块链服务与应用的访问请求进 行强制接入认证； 所述敏感数据资源安全服务单 元， 用于按照配置的数据安全防护策略对从区块 链服务与应用数据流中的敏感数据进行加密或 脱敏， 然后将加密或脱敏后的数据替换原来的敏 感数据并嵌入到数据流中。 采用本发明的技术方 案， 可保障基于区块链系统的业务应用能够持续 。

3、稳定安全运行。 权利要求书2页 说明书4页 附图2页 CN 111740973 A 2020.10.02 CN 111740973 A 1.一种区块链服务与应用的智能防御系统， 其特征在于， 包括节点访问监听与采集引 擎、 区块链服务与应用安全接入认证单元、 区块链服务与应用访问代理单元、 敏感数据资源 安全服务单元， 所述节点访问监听与采集引擎， 用于将访问者对区块链服务与应用的访问请求进行过 滤， 并实时提取所述访问请求的安全属性信息； 所述区块链服务与应用安全接入认证单元， 用于对区块链服务与应用的访问请求进行 强制接入认证； 所述区块链服务与应用访问代理单元， 用于为通过接入认证的访问。

4、者建立区块链服务 与应用的网络安全代理通道， 并从区块链服务与应用数据流中获取敏感数据； 所述敏感数据资源安全服务单元， 用于按照配置的数据安全防护策略对从区块链服务 与应用数据流中的敏感数据进行加密或脱敏， 然后将加密或脱敏后的数据替换原来的敏感 数据并嵌入到数据流中。 2.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 还包括： 访问者终端代理单元， 用于将访问者对区块链服务与应用的访问请求导入到所述服务 访问监听与采集引擎。 3.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 还包括： 统一管理服务单元， 用于配置区块链服务与应用系统中每个区块链服务与。

5、应用的安全 防护策略。 4.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 还包括： 区块链服务与应用动态访问控制单元， 用于使用动态评估模型对区块链服务与应用系 统的整体安全态势进行全方位评估， 并实时调整对区块链服务与应用访问请求的安全等 级， 根据安全等级实施防护策略和访问通道控制。 5.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 还包括： 资源目录管控单元， 用于为通过接入认证的用户动态生成该用户可以查看的区块链服 务与应用清单， 并对区块链服务与应用的地址进行动态随机化加密。 6.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于，。

6、 还包括： 区块链服务与应用访问监控审计单元， 用于采用大数据分析技术手段， 对所有区块链 服务与应用的访问规律进行统计分析， 生成访问图谱。 7.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 所述访问请求 的安全属性信息包括请求者、 运行环境、 区块链服务与应用、 访问通道。 8.如权利要求1所述的区块链服务与应用的智能防御系统， 其特征在于， 所述区块链服务与应用安全接入认证单元对未通过认证的访问请求进行资源隔离和 隐藏， 对通过认证的访问请求按照安全策略进行服务与应用资源授权和细粒度访问控制。 9.一种区块链服务与应用的智能防御方法， 其特征在于， 包括： 对区块链服。

7、务与应用的访问请求进行强制接入认证； 为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道， 并从区块链服 务与应用数据流中获取敏感数据； 按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密 或脱敏， 然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。 权利要求书 1/2 页 2 CN 111740973 A 2 10.如权利要求9所述的区块链服务与应用的智能防御方法， 其特征在于， 还包括： 为通过接入认证的访问者动态生成该访问者可以查看的区块链服务与应用清单， 并对 区块链服务与应用的地址进行动态随机化加密。 权利要求书 2/2 页 3 CN 111。

8、740973 A 3 一种区块链服务与应用的智能防御系统及方法 技术领域 0001 本发明涉及区块链领域， 尤其涉及一种区块链服务与应用智能的防御系统及方 法。 背景技术 0002 当前随着区块链技术的发展， 区块链技术的应用范围已经延伸到物联网、 智能制 造、 供应链管理、 数字资产交易等多个领域， 区块链服务与应用系统的部署规模也呈现指数 级增加， 由于区块链系统是一个典型的分布式系统， 其管理、 计算与存储节点均存在访问客 户端身份冒用、 业务数据泄露与外部攻击等信息安全风险， 特别是在跨越多个网络结构上 部署的区块链系统其面临的风险更大， 如何防护区块链系统的各类节点， 保障基于区块链。

9、 系统的业务应用能够持续稳定安全运行， 是亟待解决的重要问题。 发明内容 0003 针对现有技术中部署于物理主机和虚拟主机上的区块链服务与应用节点无法有 效防止身份冒用、 数据泄露与外部攻击等安全问题， 本发明提出了一种区块链服务与应用 的智能防御系统及方法。 0004 本发明实施例中， 提供了一种区块链服务与应用的智能防御系统， 其包括节点访 问监听与采集引擎、 区块链服务与应用安全接入认证单元、 区块链服务与应用访问代理单 元、 敏感数据资源安全服务单元， 所述节点访问监听与采集引擎， 用于将访问者对区块链服务与应用的访问请求进行过 滤， 并实时提取所述访问请求的安全属性信息； 所述区块链。

10、服务与应用安全接入认证单元， 用于对区块链服务与应用的访问请求进行 强制接入认证； 所述区块链服务与应用访问代理单元， 用于为通过接入认证的访问者建立区块链服务 与应用的网络安全代理通道， 并从区块链服务与应用数据流中获取敏感数据； 所述敏感数据资源安全服务单元， 用于按照配置的数据安全防护策略对从区块链服务 与应用数据流中的敏感数据进行加密或脱敏， 然后将加密或脱敏后的数据替换原来的敏感 数据并嵌入到数据流中。 0005 本发明实施例中， 所述的区块链服务与应用的智能防御系统， 还包括： 访问者终端代理单元， 用于将访问者对区块链服务与应用的访问请求导入到所述服务 访问监听与采集引擎。 00。

11、06 本发明实施例中， 所述的区块链服务与应用的智能防御系统， 还包括： 统一管理服务单元， 用于配置区块链服务与应用系统中每个区块链服务与应用的安全 防护策略。 0007 本发明实施例中， 所述的区块链服务与应用的智能防御系统， 还包括： 区块链服务与应用动态访问控制单元， 用于使用动态评估模型对区块链服务与应用系 说明书 1/4 页 4 CN 111740973 A 4 统的整体安全态势进行全方位评估， 并实时调整对区块链服务与应用访问请求的安全等 级， 根据安全等级实施防护策略和访问通道控制。 0008 本发明实施例中， 所述的区块链服务与应用的智能防御系统， 还包括： 资源目录管控单元。

12、， 用于为通过接入认证的用户动态生成该用户可以查看的区块链服 务与应用清单， 并对区块链服务与应用的地址进行动态随机化加密。 0009 本发明实施例中， 所述的区块链服务与应用的智能防御系统， 还包括： 区块链服务与应用访问监控审计单元， 用于采用大数据分析技术手段， 对所有区块链 服务与应用的访问规律进行统计分析， 生成访问图谱。 0010 本发明实施例中， 所述访问请求的安全属性信息包括请求者、 运行环境、 区块链服 务与应用、 访问通道。 0011 本发明实施例中， 所述区块链服务与应用安全接入认证单元对未通过认证的访问 请求进行资源隔离和隐藏， 对通过认证的访问请求按照安全策略进行服务。

13、与应用资源授权 和细粒度访问控制。 0012 本发明实施例中， 还提供了一种区块链服务与应用的智能防御方法， 其包括： 对区块链服务与应用的访问请求进行强制接入认证； 为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道， 并从区块链服 务与应用数据流中获取敏感数据； 按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密 或脱敏， 然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。 0013 本发明实施例中， 所述的区块链服务与应用的智能防御方法， 还包括： 为通过接入认证的访问者动态生成该访问者可以查看的区块链服务与应用清单， 并对 区块链服务与应用的地。

14、址进行动态随机化加密。 0014 与现有技术相比较， 采用本发明的区块链服务与应用的智能防御和方法， 为区块 链业务应用提供集访问防护、 权限控制、 数据资源加密与脱敏等安全防御功能于一体的综 合智能安全服务， 可以满足未来大型企业和机构数据中心的区块链服务与业务应用系统的 安全防御要求， 有效降低区块链系统的管理、 计算与存储节点的访问客户端身份冒用、 业务 数据泄露与外部攻击等信息安全风险， 保障基于区块链系统的业务应用能够持续稳定安全 运行。 附图说明 0015 图1是本发明实施例的区块链服务与应用的智能防御系统的结构示意图； 图2是本发明实施例的区块链服务与应用的智能防御系统的网络部署。

15、示意图； 图3是本发明实施例的区块链服务与应用的智能防御系统的工作流程图。 具体实施方式 0016 如图1所示， 本发明实施例提供了一种区块链服务与应用的智能防御系统， 其包 括： 节点访问监听与采集引擎、 区块链服务与应用安全接入认证单元、 资源目录管控单元、 区块链服务与应用访问代理单元、 敏感数据资源安全服务单元、 区块链服务与应用动态访 问控制单元、 统一管理服务单元、 区块链服务与应用访问监控审计单元和访问者终端代理 说明书 2/4 页 5 CN 111740973 A 5 单元。 下面分别进行说明。 0017 所述节点访问监听与采集引擎， 用于将访问者对区块链服务与应用的访问请求进。

16、 行过滤， 并实时提取所述访问请求的安全属性信息。 所述访问请求的安全属性信息包括请 求者、 运行环境、 区块链服务与应用、 访问通道。 0018 所述区块链服务与应用安全接入认证单元， 用于对区块链服务与应用的访问请求 进行强制接入认证。 所述区块链服务与应用安全接入认证单元对未通过认证的访问请求进 行资源隔离和隐藏， 对通过认证的访问请求按照安全策略进行服务与应用资源授权和细粒 度访问控制。 0019 所述资源目录管控单元， 用于为通过接入认证的用户动态生成该用户可以查看的 区块链服务与应用清单， 并对区块链服务与应用的地址进行动态随机化加密。 0020 所述区块链服务与应用访问代理单元，。

17、 用于为通过接入认证的访问者建立区块链 服务与应用的网络安全代理通道， 并从区块链服务与应用数据流中获取敏感数据。 0021 所述敏感数据资源安全服务单元， 用于按照配置的数据安全防护策略对从区块链 服务与应用数据流中的敏感数据进行加密或脱敏， 然后将加密或脱敏后的数据替换原来的 敏感数据并嵌入到数据流中。 0022 所述统一管理服务单元， 用于配置区块链服务与应用系统中每个区块链服务与应 用的安全防护策略。 0023 区块链服务与应用动态访问控制单元， 用于使用动态评估模型对区块链服务与应 用系统的整体安全态势进行全方位评估， 并实时调整对区块链服务与应用访问请求的安全 等级， 根据安全等级。

18、实施防护策略和访问通道控制。 0024 所述区块链服务与应用访问监控审计单元用于采用大数据分析技术手段， 对所有 区块链服务与应用访问规律进行统计分析， 生成访问图谱， 并支持访问过程回溯和定责。 0025 所述访问者终端代理单元， 用于将访问者对区块链服务与应用的访问请求导入到 所述服务访问监听与采集引擎。 0026 图2示出了所述区块链服务与应用的智能防御系统在网络中的部署。 0027 下面结合图3对所述区块链服务与应用的智能防御系统的工作过程进行说明。 0028 在进行安全防护之前， 首先需要配置区块链服务与应用防护策略， 具体过程如下： 采用区块链节点智能扫描工具自动扫描数据中心内所有。

19、区块链服务与应用， 生成区块 链服务与应用清单， 并采用所述统一管理单元配置每个区块链服务与应用的安全防护策 略。 0029 当检测到对区块链服务与应用的访问请求时， 采用上述安全防护策略进行防护， 具体防护过程包括： 首先， 对区块链服务与应用的访问请求进行强制接入认证； 然后， 为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道， 并从区 块链服务与应用数据流中获取敏感数据； 最后， 按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行 加密或脱敏， 然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。 0030 其中， 区块链服务与应用安全接入认证过程如。

20、下： 首先进行访问者接入认证与控制， 采用安全网卡捕获所有访问数据流， 对数据流进行 说明书 3/4 页 6 CN 111740973 A 6 网络层安全过滤与内容检测， 通过检测的流量会被强制重定向到上述服务安全接入认证单 元中进行接入认证， 对于通过接入认证的访问者， 系统通过所述资源与目录管控单元动态 生成该访问者可以查看的区块链服务与应用清单， 并对服务与应用链接地址进行动态随机 化加密， 保障任意服务与应用资源的一人一链接。 0031 构建安全代理通道与提取敏感数据资源过程如下： 采用所述区块链服务与应用访问代理单元为点击区块链服务与应用链接的访问者建 立网络安全代理通道， 所述区块。

21、链服务与应用访问代理单元捕获交互数据流， 并对数据流 进行区块链服务与应用协议解析， 根据敏感数据字典或数据安全标识提取协议文本、 文件 内容和音视频内容等数据资源， 从区块链服务与应用数据流中获取敏感数据资源。 0032 实施敏感数据多级防护过程如下： 按照配置的数据安全防护策略对数据进行多级加密或脱敏， 或者根据数据资源访问权 限配置直接拦截该敏感数据资源， 然后将加密与脱敏后的数据封装入新数据包， 将该新数 据包替换原有数据包， 并嵌入数据流中， 发送到访问者侧或服务侧， 实现区块链服务与应用 系统的透明数据防护能力。 0033 进一步地， 所述区块链服务与应用的智能防御系统还对区块链服。

22、务与应用访问行 为监控及审计分析， 具体过程如下： 实时提取访问者访问行为并实时发送到监控平台， 同时将行为数据存入日志数据库 中， 进行行为图谱分析、 时空热点分析、 特征提取与智能分析等分析审计工作， 发现异常访 问行为和潜在数据泄露风险， 并实时提出预警， 同时根据审计分析结果调整安全防护策略， 从而实现区块链服务与应用智能防御工作的PDCA循环与防护策略持续优化。 0034 综上所述， 采用本发明的技术方案， 为区块链服务与应用构建集安全访问控制、 区 块链数据透明加解密、 区块链数据脱敏、 区块链数据访问行为分析等功能为一体的智能防 御系统， 为请求者访问区块链服务与应用构建透明多维。

23、度联合接入认证服务， 对区块链服 务与应用实施动态授权和细粒度控制， 持续分析区块链服务与应用访问行为， 全方位动态 评估访问风险， 给出安全对策和实时控制， 并实时阻断区块链服务与应用的恶意请求； 提供 多密级、 颗粒化高效透明加密和脱敏服务， 具备灵活的脱敏、 加密策略配置， 满足多区块链 业务应用程序敏感数据在线应用与协同实时交互需求， 防止未经授权访问者在访问区块链 服务与应用时， 造成敏感数据泄漏； 分析并构建区块链服务与应用访问图谱， 对访问服务与 应用过程回溯与定责； 可以满足未来大型企业和机构数据中心的区块链服务与业务应用系 统的安全防御要求， 为区块链业务应用提供集访问防护、。

24、 权限控制、 数据资源加密与脱敏等 安全防御功能于一体的综合智能安全服务， 有效降低区块链系统的管理、 计算与存储节点 的访问客户端身份冒用、 业务数据泄露与外部攻击等信息安全风险， 保障基于区块链系统 的业务应用能够持续稳定安全运行。 0035 以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡在本发明的精 神和原则之内所作的任何修改、 等同替换和改进等， 均应包含在本发明的保护范围之内。 说明书 4/4 页 7 CN 111740973 A 7 图1 图2 说明书附图 1/2 页 8 CN 111740973 A 8 图3 说明书附图 2/2 页 9 CN 111740973 A 9 。