(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111484839.3 (22)申请日 2021.12.07 (71)申请人 东软集团股份有限公司 地址 110179 辽宁省沈阳市 浑南新区新秀 街2号 (72)发明人 刘思瀚　徐石成　何光宇　赵赫　 (74)专利代理 机构 北京英创嘉友知识产权代理 事务所(普通 合伙) 11447 代理人 温易娜 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 区块链零信任系统以及用 于区块链零信任 系统的方法 (57)摘要 本公开涉及一种区块链零信任系统以及用 于区块链 零信任系统的方法， 所述系统包括多个 网络实体， 由区块链网络中的多个区块链节点组 成的分布式信任代理节点集合， 由多个区块链节 点组成的分布式可信验证节点集合， 任意网络实 体通过分布式信任代理节点集合访问多个网络 实体中的其他网络实体； 分布式信任代理节点集 合用于， 在接收到第一网络实体针对目标网络实 体的第一访问请求的情况下， 向分布式可信验证 节点集合发送可信验证请求， 第一网络实体为所 述多个网络实体中的任一网络实体； 分布式可信 验证节点集合用于， 响应于所述可信验证请求， 对第一网络实体进行可信验证； 在所述可信验证 通过的情况下， 所述第一网络实体访问所述目标 网络实体 。 权利要求书3页 说明书14页 附图3页 CN 114172665 A 2022.03.11 CN 114172665 A 1.一种区块链零信任系统， 其特征在于， 包括多个网络实体， 由区块链网络 中的多个区 块链节点组成的分布式信任代理节点集合， 由多个区块链节点组成的分布式可信验证节点 集合， 其中， 任意所述网络实体通过所述分布式信任代理节点集合访问所述多个网络实体 中的其他网络实体； 所述分布式信任代理节点集合用于， 在接收到第 一网络实体针对目标网络实体的第 一 访问请求的情况下， 向所述分布式可信验证节点集合发送可信验证请求， 所述第一网络实 体为所述多个网络实体中的任一网络实体； 所述分布式可信验证节点集合用于， 响应于所述可信验证请求， 对所述第一网络实体 进行可信验证； 其中， 在所述可信验证通过的情况 下， 所述第一网络实体访问所述目标网络实体。 2.根据权利要求1所述的区块链零信任系统， 其特征在于， 所述分布式信任代 理节点集 合还用于， 在所述可信验证通过的情况 下， 将所述访问请求 转发至所述目标网络实体。 3.根据权利要求1所述的区块链零信任系统， 其特征在于， 还包括由多个区块链节点组 成的分布式授权管理节点集合， 所述分布式授权管理节点集合在数字身份区块链网络中注 册， 所述分布式授权管理节点集合用于， 在所述可信验证通过的情况下， 生成访问凭证， 并 将所述访问凭证发送至所述第一网络实体， 其中， 所述访问凭证包括所述数字身份区块链 网络的访问地址， 以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的 私钥生成的签名信息； 所述第一网络实体用于， 向所述目标网络实体发送第二访 问请求， 所述第二访 问请求 包括所述访问凭证； 所述目标网络实体用于， 在接收到所述第二访 问请求之后， 基于所述访 问地址获取所 述分布式授权管理节 点集合的第一数字身份信息， 并通过所述第一数字身份信息对所述访 问凭证进行验证； 其中， 在所述访 问凭证验证通过的情况下， 所述目标网络实体执行与所述第二访 问请 求相对应的操作。 4.根据权利要求1所述的区块链零信任系统， 其特征在于， 所述 区块链网络 中部署有可 信验证智能合约， 所述分布式可信验证节点集合具体用于， 通过所述可信验证智能合约对 所述第一网络实体进行 可信验证。 5.根据权利要求1至4任一项所述的区块链零信任系统， 其特征在于， 所述第一访 问请 求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息， 以及 所述数字身份区块链网络的访问地址， 所述分布式可信验证节点集合包括身份认证节点集 合， 所述身份认证节点集合用于， 响应于所述可信验证请求， 获取所述第一网络实体的目 标数字身份信息， 并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信 验证； 其中， 所述目标数字身份信 息为所述数字身份区块链网络的区块链中保存的所述第 一 网络实体的数字身份信息 。 6.根据权利要求1至4任一项所述的区块链零信任系统， 其特征在于， 所述分布式可信权　利　要　求　书 1/3 页 2 CN 114172665 A 2验证节点 集合还包括信任认证节点 集合， 所述信任认证节点 集合用于执 行如下步骤： 响应于所述可信验证请求， 获取 所述第一网络实体的历史访问数据； 根据所述历史访问数据确定所述第一网络实体的历史访问行为； 基于所述历史访 问行为， 以及各种访 问行为类型所对应的信任权重参数， 计算所述第 一网络实体的信任描述 参数； 根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信 验证。 7.根据权利要求6所述的区块链零信任系统， 其特征在于， 所述访问行为类型为一种或 多种， 所述访问行为类型包括多个访问行为子类别， 所述信任权 重参数通过如下 方式确定： 针对同一访问行为类型所包括的多个访问行为子类别， 确定每一访问行为子类别的访 问信任等级； 基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级， 构建所述访问 行为类型的模糊一 致性矩阵； 通过所述模糊一 致性矩阵计算所述访问行为类型的信任权 重参数。 8.根据权利要求7所述的区块链零信任系统， 其特征在于， 所述信任认证节点集合具体 通过如下方式计算所述第一网络实体的信任描述参数： 基于所述第一网络实体的历史访问 行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩 阵； 计算所述第一网络实体的访问行为矩阵与所述信任权重参数 的乘积， 得到信任描述矩 阵， 所述信任描述 参数包括所述信任描述矩阵； 所述信任认证节点集合具体通过如下方式对所述第 一网络实体进行可信验证： 计算所 述信任描述矩阵的行列式取值， 得到所述第一网络实体的访问信任度； 根据所述访问信任 度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。 9.一种用于区块链零信任系统的方法， 其特征在于， 应用于权利要求1至8任一项所述 的区块链零信任系统， 所述方法包括： 分布式信任代理节点集合在接收到第一网络实体针对目标网络实体的第一访问请求 的情况下， 向分布式可信验证节点集合发送可信验证请求， 所述第一网络实体为多个网络 实体中的任一网络实体； 所述分布式可信验证节点集合响应于所述可信验证请求， 对所述第 一网络实体进行可 信验证； 其中， 在所述可信验证通过的情况 下， 所述第一网络实体访问所述目标网络实体。 10.根据权利要求9所述的方法， 其特征在于， 所述区块链零信任系统还包括由多个区 块链节点组成的分布式授权管理节点集合， 所述分布式授权管理节点集合在数字身份区块 链网络中注 册， 所述方法还 包括： 所述分布式授权管理节点集合在所述可信验证通过的情况下， 生成访 问凭证， 并将所 述访问凭证发送至所述第一网络实体， 其中， 所述访问凭证包括所述数字身份区块链网络 的访问地址， 以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥 生成的签名信息； 所述第一网络实体向所述目标网络实体发送第 二访问请求， 所述第 二访问请求包括所 述访问凭证；权　利　要　求　书 2/3 页 3 CN 114172665 A 3