示例操作可以包括以下各項中的一項或多項：將與用戶簡檔相關聯的公鑰和一個或多個對應地址存儲在區塊鏈中；基于所述公鑰創建用于所述用戶簡檔的憑證；將所述憑證轉發到所述一個或多個地址；從與所述用戶簡檔相關聯的用戶設備接收對站點的訪問請求；以及基于所述一個或多個地址從所述區塊鏈檢索所述憑證。

技術領域

本申請總體上涉及授權訪問的管理，并且更具體地涉及經由硬/軟令牌驗證的區塊鏈認證。

背景技術

區塊鏈是一種類型的計算架構，該計算架構使得對等分布式(共享和復制)數據庫或分類賬能夠不受單個組織或實體控制，而是受許多不同的組織或實體控制。通過跨獨立機器的網絡，該配置允許節點可靠地跟蹤和維持系統中的信息狀態。這樣一來，區塊鏈使得能夠經濟高效地創建商用網絡而不需要中心控制點。這種配置與傳統的面向數據庫的系統操作相反，在傳統的面向數據庫的系統中，獨立的各方維護自己的記錄系統，并在效率低下，有時甚至復雜的組織間流程之間相互協調更新，這需要獨立，可信賴的第三方管理員的服務。

雙要素認證是由大多數主要政府機構(如國防部(DoD))批準的事實上的認證類型。通過使用公共訪問卡(CAC)和/或硬件的軟件狗(諸如安全識別密鑰‘fob’)來執行雙要素認證。CAC依賴于用于驗證卡中存在的ID/EDIPI號的集中式服務器。硬件令牌不需要與后端服務器通信，因為它們具有生成一次性代碼(例如，一次性密碼)以訪問系統所需的必要組件。這樣的令牌需要被驗證，因為后端系統將需要驗證由用戶提供的令牌匹配。

雙要素認證是應用于不同計算系統和網絡的公知類型的安全過程。社交媒體站點和電子郵件提供商使用移動設備作為第二形式的認證(例如，發送到移動電話的密碼+訪問代碼)。DoD已經指定所有DoD網絡必須受到CAC保護。為了使用CAC，系統需要支持DoD PKI，DoD PKI是創建、管理、分發、使用、存儲和撤銷數字證書和管理公鑰加密所需的一組角色、策略和過程。PKI在假設系統在DoD網絡內的情況下工作。當試圖在不訪問DoD網絡(例如，戰術環境)的情況下認證用戶時，這成為挑戰。DoD/DoJ能夠通過CAC卡及其相應的PKI通過使用橋來交叉認證用戶。部署這種基礎設施可能很復雜。鑒于大多數硬件令牌是防篡改的，它們通常比移動設備更可信，然而，管理這些設備是另一個挑戰。

在常規認證機制中，認證過程可以使用CAC卡或硬件令牌。這種方法將允許專用網絡內部的用戶使用CAC卡進行認證，因為該內部用戶在網絡內。專用網絡外的用戶可以具有有效的CAC，并且可以嘗試向附屬于專用網絡的第三方站點注冊，然而，由于外部用戶不在專用網絡內，因此請求將被拒絕并且外部用戶將被拒絕訪問專用網絡。

發明內容

一個示例性實施例可以包括一種方法，該方法提供了以下各項中的一項或多項：將與用戶簡檔相關聯的公鑰和對應地址存儲在區塊鏈中；基于公鑰創建用于用戶簡檔的一組憑證；將憑證轉發到一個或多個地址；從與用戶簡檔相關聯的用戶設備接收對站點的訪問請求；以及基于基于一個或多個地址從區塊鏈檢索憑證。該過程可以被隨機化以提高安全性，并且系統管理員可以定義請求要素的策略。

另一個示例性實施例可以包括一種裝置，該裝置包括處理器，該處理器被配置為執行以下各項中的一項或多項：將與用戶簡檔相關聯的公鑰和一個或多個對應地址存儲在區塊鏈中；基于公鑰創建用于用戶簡檔的憑證；將憑證轉發至一個或多個地址；接收器，該接收器被配置為從與用戶簡檔相關聯的用戶設備接收對于站點的訪問請求；并且該處理器被進一步被配置為基于一個或多個地址從區塊鏈檢索憑證。

又一個示例性實施例可以包括非瞬態計算機可讀存儲介質，該非瞬態計算機可讀存儲介質被配置為存儲指令，這些指令在被執行時使處理器執行以下各項中的一項或多項：將與用戶簡檔相關聯的公鑰和對應地址存儲在區塊區塊鏈中；基于公鑰創建用于用戶簡檔的一組憑證；將憑證轉發到一個或多個地址；從與用戶簡檔相關聯的用戶設備接收對站點的訪問請求；以及基于一個或多個地址從區塊鏈檢索憑證。該過程可以被隨機化以提高安全性，并且系統管理員可以定義請求要素的策略。

附圖說明