CN111327618A - 一种基于区块链的精准访问控制方法、装置及系统 - Google Patents
一种基于区块链的精准访问控制方法、装置及系统 Download PDFInfo
- Publication number
- CN111327618A CN111327618A CN202010117288.6A CN202010117288A CN111327618A CN 111327618 A CN111327618 A CN 111327618A CN 202010117288 A CN202010117288 A CN 202010117288A CN 111327618 A CN111327618 A CN 111327618A
- Authority
- CN
- China
- Prior art keywords
- owner
- resource
- access control
- holder
- visitor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及区块链技术领域,具体涉及一种基于区块链的精准访问控制方法、装置及系统,所述方法为:所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源,本发明提供的技术方案具有自主访问控制权,能够实现安全的访问控制机制。
Description
技术领域
本发明涉及区块链技术领域,具体涉及一种基于区块链的精准访问控制方法、装置及系统。
背景技术
区块链是一种利用密码学方法、计算机网络和分布式存储等技术综合实现的复合型技术。它能提供或创造一个可信计算或交易环境,其中的数据和针对数据的操作不可被恶意操纵或篡改。目前的区块链系统可以保证链上的数据有强可追溯性,不可伪造性和不可篡改性,籍此可以实现区块链防伪、存证、追溯、数字资产等新型应用。区块链系统的三个核心组成部分是分布式网络架构、共识算法和分布式账本结构,分布式网络架构形成区块链的互相制约型去中心化拓扑结构,共识算法驱动区块链系统达成一致向一个共同的方向运行,通过分布式账本结构可以安全存储区块链中的数据。
区块链的共识算法不停地产生新的、可信赖的数据和操作,它们进一步被存储在安全分布式账本中,以保证按照时序生成的数据不能再被修改,最后由互相制约的去中心化拓扑结构各存一份,共同公开监督、共同保护。基于这个特点,区块链系统中承认的操作必须正确可信,被区块链系统中的所有节点共同验证和承认。
现有的主流访问控制机制有如下几种:基于访问控制列表(Access ControlList,ACL)、基于面向身份的访问控制(Role based Access Control,RBAC)、基于口令(Token,如OAuth)、基于中心化访问控制服务器(Access Server,AS)。现有的访问控制机制普遍存在以下问题:
由于访问控制权作为一种虚拟权利,资源(当前设备)的所有者对访问控制权的兑换和使用没有强约束能力,访问控制权不能安全、合法地转移。资源的访问控制机制权利并不是被其所有人掌握,而仍然在厂家手中,所有者没有任何能力监控自己设备的使用情况,所有者对于厂家是否做出违规操控自己的设备,是否受到攻击做出恶意攻击行为没有任何防范、记录和控制机制。
发明内容
为解决上述问题,本发明提供一种基于区块链的精准访问控制方法、装置及系统,具有自主访问控制权,能够实现安全的访问控制机制。
为了实现上述目的,本发明提供以下技术方案:
根据本发明第一方面实施例提供的一种基于区块链的精准访问控制方法,包括:
所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。
进一步,所述权限通证可被所有者在任意时间修改、撤销,所述权限通证可被持有者转移或者兑换。
进一步,所述权限通证可由持有者利用区块链数字资产交易方法交易给被认可的访问者。
进一步,所述方法还包括:
当所有者发出了一个权限通证时,该所有者会以基交易的形式创建一个URPO记录在区块链中。
进一步,所述基交易包括:唯一的交易ID,上一个URPO作为输入URPI,所有者和当前合法持有者的数字签名,权限精准兑换规则和一个最终的URPO输出,其中,URPI的输入栏地址的内容全为0。
进一步,所述方法还包括:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
根据本发明第二方面实施例提供的一种基于区块链的精准访问控制装置,其特征在于,包括:
权限通证发行模块,用于所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
兑换模块,用于当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。
进一步,所述装置还包括交易模块,所述交易模块具体用于:
访问者利用区块链数字资产交易方法将所述权限通证交易给另一个被认可的访问者。
进一步,所述装置还包括操作模块,所述操作模块还用于:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
根据本发明第三方面实施例提供的一种基于区块链的精准访问控制系统,所述系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的精准访问控制程序,所述精准访问控制程序被所述处理器执行时实现如权利要求1至6中任一项所述的基于区块链的精准访问控制方法的步骤。
本发明的有益效果是:本发明公开一种基于区块链的精准访问控制方法、装置及系统,所述方法为:所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。本发明提供的技术方案具有自主访问控制权,能够实现安全的访问控制机制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中基于中心化访问控制服务器和访问控制列表的访问控制机制示意图;
图2是本发明实施例一种基于区块链的精准访问控制方法的流程示意图;
图3是本发明实施例管理权限通证的URPO模型在链内的数据结构示意图;
图4是本发明实施例TBAC访问控制模型示意图;
图5是本发明实施例权限通证从开始创建到流通到修改到兑换的全生命周期过程示意图;
图6是本发明实施例一种基于区块链的精准访问控制装置的结构示意图。
具体实施方式
以下将结合实施例和附图对本发明公开的构思、具体结构及产生的技术效果进行清楚、完整的描述,以充分地理解本发明公开的目的、方案和效果。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面首先对本发明公开中涉及的技术术语进行解释:
区块链:一种利用密码学方法、计算机网络和分布式系统实现的一种可信计算或交易环境,其中的数据和针对数据的操作不可被恶意操纵或篡改。
访问控制:对于某些虚拟或物理资源,其拥有者或管理者向访问者发放使用权限、查询许可状态、验证使用者身份并兑换资源和修改或吊销其使用权限等过程称之为访问控制。一个正确的访问控制机制应当保证允许合法访问者访问,阻止无权访问者访问。
精准访问控制:即在执行上述访问控制机制时,其所规定的兑换条件更精准,兑换的资源也更准确,即兑换的资源不会多(本技术领域中称之为越权访问),也不会少(本技术领域中称之为访问错误),并且资源拥有者拥有随时修改或撤销使用权限的能力。
参考图1,图1是现有技术中物联网设备常用的中心化访问控制服务器(AS)和访问控制列表(ACL)混合的访问控制机制。例如,当用户购买了厂家A的物联网设备后,当用户想要控制物联网设备,用户不能直接控制该物联网设备,而只能向厂家A维护的AS发送请求,请求厂家A帮助用户控制该物联网设备做出某操作;AS收到请求后,会查询自己维护的访问控制列表(ACL),如果ACL显示用户确实是该物联网设备的所有者,AS会替用户发出控制设备1的指令,完成操作。
此类访问控制机制被国内外主流物联网设备生产企业,如亚马逊、谷歌等公司所广泛采用。近几年常见的Amazon Alexa和Google Home被攻击,发现设备偷偷录音的攻击全部是因为此种设计的系统性缺陷。而且在智慧家居等物联网领域,如果外国厂商能随意控制他们的设备(例如监听和偷录、远程开门),对我国的社会信息安全危害更大。
为此,本发明提供以下实施例,以解决上述问题。
参考图2,如图2所示为一种基于区块链的精准访问控制方法,包括以下步骤:
步骤S100、所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
步骤S200、当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。其中,所述权限兑换规则通过外部嵌入式传感器进行验证。
本实施例提出了一种新的基于权限通证(Token Coin,Tokoin)的访问控制理论模型TBAC(Tokoin-Based Access Control),将访问控制权(Access Token)实体化为数字资产(Coin),并利用区块链数字资产级别的安全保护方式对其进行保护。TBAC可以允许更加复杂的访问控制能力,比如某用户(下文称为所有者)拥有一个物联网设备(下文称为资源),该所有者可以允许他人访问自己的资源(比如出租自己的设备给他人,或者让他人帮自己代办某种操作)。
当所有者允许他人访问自己的设备时,所有者通过发行一个权限通证(Tokoin)给想要给的人(下文称为访问者)使用。所述权限通证包含精准访问权限兑换规则(下文称规则),即,使用此权限通证兑换资源时必须满足的规则(例如限制在某一时间段内使用)。当访问者要访问所有者的资源的时候,所述访问者必须合法拥有该权限通证,然后向所有者兑换。只有合法拥有该权限通证,并且访问时满足权限通证的精准访问控制规则,所有者的资源才能向访问者安全释放一次。
本实施例采用的方法由于受到区块链保护,可以保证权限通证有数字资产的属性,即不能被凭空伪造、数量确定、流通过程和当前状态可溯,针对权限的全过程可追责地记录在区块链上。所有者的资源具有密码级别的安全性,所有者的资源只能由所有者或所有者认可的访问者访问,而不会被其他违法用户或攻击者访问。例如,所有者还可以在手机上监测当前是什么人拥有自己的访问控制权限,有几个人拥有自己的访问控制权限。
在一个优选的实施例中,所述权限通证可被所有者在任意时间修改、撤销,所述权限通证可被持有者转移或者兑换。
所有者和持有者的权限不同,所有者可以在任意时间修改权限通证的任何内容,可以撤销权限通证,而持有者只能转移给他人或者兑换,不能修改。
在一个改进的实施例中,所述方法还包括:所述权限通证可由持有者利用区块链数字资产交易方法交易给被认可的访问者。
本实施例中,如果持有者临时有事或者需要其他人再代办,持有者就变成流通者,可以利用区块链数字资产交易办法把此权限通证安全、可审计地交易给访问者,由访问者访问资源。
所述被认可的访问者可以是由所有者在提前确定的、允许访问所有资源的个体;也可以是满足设定特征的群体,所述设定特征为所有者预先设定的条件。
在一个优选的实施例中,当所有者发出了一个权限通证时,该所有者会以基交易的形式创建一个URPO记录在区块链中。
本实施例中,所述权限通证在区块链内以URPO的形式存在,一个基交易对应一个对权限的修改,并且输出一个URPO,以URPO为形式保存这个当前最新的合法权限。
基交易(Coin-base)在比特币中专门负责产生新的比特币挖矿奖励给挖矿成功的矿工。通过基交易创造比特币是创造比特币的唯一方法,因此被认为是创造区块链系统中原生的数字通证的常规办法。在比特币系统中,基交易只能由系统发起,因为比特币这种数字通证不属于任何一个个体,只能由系统公平地按规则签发。
然而在本发明实施例中的数字通证(即权限通证)明确属于发行者所有,所以基交易可以直接在权限通证中由所有者发起创建自己的权限通证。
参考图3,图3是本发明实施例TBAC访问控制模型示意图,在一个优选的实施例中,所述基交易包括:唯一的交易ID,作为输入URPI的上一个基交易的URPO,所有者和当前合法持有者的数字签名,权限精准兑换规则和一个最终的URPO输出,其中,URPI的输入栏地址的内容全为0。
本实施例中,交易ID代表了基交易的独特编号。URPI必须是上一个URPO,是因为未兑换的访问控制必须做到一对一以保证权限通证转移的原子性。基交易需要合法凭空创造一个URPO,所以Coinbase Tx这里的URPI是空值。所有者和当前合法持有者的数字签名保证了区块链网络可以用它来确认当前发出针对权限通证操作的操作人是所有者或持有者。所有者和持有者的权限不同,所有者可以在任意时间修改权限通证的任何内容,可以撤销权限通证,而持有者只能转移给他人或者兑换,不能修改。本实施例中,权限精准兑换规则以JSON键值的形式存储,用户可以自定义兑换权限通证时必须满足的要求,每一个交易都会输出一个URPO,作为一个权限通证的存储形式。
URPI的输入栏地址不需要是前一个URPO的输入栏地址,只要内容全0即可。即,URPI的输入栏地址的内容为0x0000,由所有者发起基交易操作,在发起交易消息包内提供标志“创建”操作的opcode,即可被认可创建一个新的URPO。而且基交易在权限通证中不强制必须是每个块中的第一条交易,与常规的“修改”、“撤销”、“兑换”等操作相同罗列即可。
在一个改进的实施例中,所述方法还包括:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
本实施例中,当需要对权限通证发起操作的时候,包括将权限通证传递给访问者,对权限通证规则发起修改,撤销权限通证,兑换权限通证等,操作人会广播自己的公钥和想要对权限通证发起的操作信息。区块链网络在通过块内的数字签名确认这个公钥来自于合法所有者或访问者后,解析并执行这个操作。
参考图4和图5,图4是TBAC访问控制模型示意图,图5是权限通证从开始创建到流通到修改到兑换的全过程示意图,包括了系统主要操作、链内URPO数据结构和工作流程图。
包括以下步骤:
步骤S101、所有者创造并发行权限通证,将此权限通证发放给持有者;
步骤S102、持有者将权限通证合法的转移给访问者;
步骤S103、访问者按照访问控制规定兑换此权限通证,请求兑换权限通证约定的资源;
步骤S104、所有者验证权限通证有效性,在验证权限兑换规则通过后,兑换权限通证约定的资源。其中,所述权限兑换规则通过外部嵌入式传感器进行验证。
权限通证约定的资源为:所有者的物联网设备资源,所有者可随时修改访问控制规定,如:访问者身份、权限通证兑换规则(如访问时间等)。上述步骤均通过区块链记录和批准。
通过以上公开的技术方案,可以得出本发明提供的技术方案具有以下技术效果:
1.本发明提出了一种基于权限通证(Token Coin,Tokoin)的访问控制理论模型TBAC(Tokoin-Based Access Control),首次将过去虚拟的访问控制权(Access Token)实体化为数字实体(Coin),对访问控制权的管理更加清晰、安全、可审计、可公开监督。
2.利用区块链数字资产级别的安全方法,本发明保护了访问控制权限不能被凭空伪造、数量确定、流通过程和当前状态可溯,针对权限的全过程可追责地记录在区块链上。只有由资源所有者许可的访问者和访问方式才能安全地访问此资源。基于密码级别的安全性,用户可以100%确定自己的资源不会被不知情地非法访问。
3.本发明提出了创新的URPO(Un-Redeemed Policy Output,未兑换的访问控制输出)模型来管理和存储权限通证访问控制权限通证。基于此模型对本发明进行了详细的实现。
参考图6,本发明实施例还提供一种基于区块链的精准访问控制装置,包括:
权限通证发行模块100,用于所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
兑换模块200,用于当持有者访问资源时,所有者响应访问者的兑换请求,向访问者安全释放一次所述资源。
在一个优选的实施例中,所述权限通证可被所有者在任意时间修改、撤销,所述权限通证可被持有者转移或者兑换。
在一个优选的实施例中,所述装置还包括交易模块,所述交易模块具体用于:
访问者利用区块链数字资产交易方法将所述权限通证交易给另一个被认可的访问者。
在一个优选的实施例中,当所有者发出了一个权限通证时,该所有者会以基交易的形式创建一个URPO记录在区块链中。
在一个优选的实施例中,所述基交易包括:唯一的交易ID,作为输入URPI的上一个基交易的URPO,所有者和当前合法持有者的数字签名,权限精准兑换规则和一个最终的URPO输出,其中,URPI的输入栏地址的内容全为0。
在一个优选的实施例中,所述装置还包括操作模块,所述操作模块还用于:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
根据本发明第三方面实施例提供的一种基于区块链的精准访问控制系统,所述系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的精准访问控制程序,所述精准访问控制程序被所述处理器执行时实现上述方法实施例中任一项所述的基于区块链的精准访问控制方法的步骤。
可见,上述方法实施例中的内容均适用于本装置实施例中,本装置实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件的实现方式,以软件形式加载到处理器中,进行基于区块链的精准访问控制。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来。
尽管本公开的描述已经相当详尽且特别对几个所述实施例进行了描述,但其并非旨在局限于任何这些细节或实施例或任何特殊实施例,而是应当将其视作是通过参考所附权利要求,考虑到现有技术为这些权利要求提供广义的可能性解释,从而有效地涵盖本公开的预定范围。此外,上文以发明人可预见的实施例对本公开进行描述,其目的是为了提供有用的描述,而那些目前尚未预见的对本公开的非实质性改动仍可代表本公开的等效改动。
Claims (10)
1.一种基于区块链的精准访问控制方法,其特征在于,包括:
所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。
2.根据权利要求1所述的一种基于区块链的精准访问控制方法,其特征在于,所述权限通证可被所有者在任意时间修改、撤销,所述权限通证可被持有者转移或者兑换。
3.根据权利要求2所述的一种基于区块链的精准访问控制方法,其特征在于,所述权限通证可由持有者利用区块链数字资产交易方法交易给被认可的访问者。
4.根据权利要求3所述的一种基于区块链的精准访问控制方法,其特征在于,所述方法还包括:
当所有者发出了一个权限通证时,该所有者会以基交易的形式创建一个URPO记录在区块链中。
5.根据权利要求4所述的一种基于区块链的精准访问控制方法,其特征在于,所述基交易包括:唯一的交易ID,上一个URPO作为输入URPI,所有者和当前合法持有者的数字签名,权限精准兑换规则和一个最终的URPO输出,其中,URPI的输入栏地址的内容全为0。
6.根据权利要求2所述的一种基于区块链的精准访问控制方法,其特征在于,所述方法还包括:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
7.一种基于区块链的精准访问控制装置,其特征在于,包括:
权限通证发行模块,用于所有者向持有者发行一个权限通证以授权持有者访问资源,所述权限通证包含精准访问资源的权限兑换规则,所述资源为所有者拥有;
兑换模块,用于当持有者访问资源时,所有者响应访问者的兑换请求,在验证权限兑换规则通过后,向访问者安全释放一次所述资源。
8.根据权利要求7所述的一种基于区块链的精准访问控制装置,其特征在于,还包括交易模块,所述交易模块具体用于:
访问者利用区块链数字资产交易方法将所述权限通证交易给另一个被认可的访问者。
9.根据权利要求8所述的一种基于区块链的精准访问控制装置,其特征在于,还包括操作模块,所述操作模块还用于:
当需要对权限通证发起操作时,向区块链网络广播自己的公钥和操作信息;
区块链网络通过块内的数字签名确认所述公钥来自于合法所有者或访问者后,解析并执行所述操作,所述操作包括传递、修改、撤销、兑换。
10.一种基于区块链的精准访问控制系统,其特征在于,所述系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的精准访问控制程序,所述精准访问控制程序被所述处理器执行时实现如权利要求1至6中任一项所述的基于区块链的精准访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010117288.6A CN111327618B (zh) | 2020-02-25 | 2020-02-25 | 一种基于区块链的精准访问控制方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010117288.6A CN111327618B (zh) | 2020-02-25 | 2020-02-25 | 一种基于区块链的精准访问控制方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327618A true CN111327618A (zh) | 2020-06-23 |
| CN111327618B CN111327618B (zh) | 2023-04-18 |
Family
ID=71168899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010117288.6A Active CN111327618B (zh) | 2020-02-25 | 2020-02-25 | 一种基于区块链的精准访问控制方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327618B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865580A (zh) * | 2020-07-13 | 2020-10-30 | 深圳前海益链网络科技有限公司 | token生成及验证方法、装置、计算机设备和存储介质 |
| CN112702315A (zh) * | 2020-12-07 | 2021-04-23 | 深圳供电局有限公司 | 跨域设备访问控制方法、装置、计算机设备和存储介质 |
| CN114629684A (zh) * | 2022-02-16 | 2022-06-14 | 深圳番多拉信息科技有限公司 | 基于区块链的权限令牌处理方法、系统、装置及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107103252A (zh) * | 2017-04-27 | 2017-08-29 | 电子科技大学 | 基于区块链的数据访问控制方法 |
| EP3340559A1 (en) * | 2016-12-20 | 2018-06-27 | Private Giant | Method and system for facilitating secure communication between two or more devices |
| US20180225469A1 (en) * | 2015-07-31 | 2018-08-09 | British Telecommunications Public Limited Company | Expendable access control |
| US20190199531A1 (en) * | 2016-08-30 | 2019-06-27 | Commonwealth Scientific And Industrial Research Organisation | Dynamic access control on blockchain |
| CN110049066A (zh) * | 2019-05-23 | 2019-07-23 | 中国科学院软件研究所 | 一种基于数字签名和区块链的资源访问授权方法 |
| CN110096857A (zh) * | 2019-05-07 | 2019-08-06 | 百度在线网络技术(北京)有限公司 | 区块链系统的权限管理方法、装置、设备和介质 |
| CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| CN110519066A (zh) * | 2019-09-29 | 2019-11-29 | 广东电网有限责任公司 | 一种基于区块链技术的物联网隐私保护访问控制方法 |
| CN110557384A (zh) * | 2019-08-12 | 2019-12-10 | 杭州云象网络技术有限公司 | 一种基于区块链的物联网管理控制方法 |
-
2020
- 2020-02-25 CN CN202010117288.6A patent/CN111327618B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180225469A1 (en) * | 2015-07-31 | 2018-08-09 | British Telecommunications Public Limited Company | Expendable access control |
| US20190199531A1 (en) * | 2016-08-30 | 2019-06-27 | Commonwealth Scientific And Industrial Research Organisation | Dynamic access control on blockchain |
| EP3340559A1 (en) * | 2016-12-20 | 2018-06-27 | Private Giant | Method and system for facilitating secure communication between two or more devices |
| CN107103252A (zh) * | 2017-04-27 | 2017-08-29 | 电子科技大学 | 基于区块链的数据访问控制方法 |
| CN110096857A (zh) * | 2019-05-07 | 2019-08-06 | 百度在线网络技术(北京)有限公司 | 区块链系统的权限管理方法、装置、设备和介质 |
| CN110049066A (zh) * | 2019-05-23 | 2019-07-23 | 中国科学院软件研究所 | 一种基于数字签名和区块链的资源访问授权方法 |
| CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| CN110557384A (zh) * | 2019-08-12 | 2019-12-10 | 杭州云象网络技术有限公司 | 一种基于区块链的物联网管理控制方法 |
| CN110519066A (zh) * | 2019-09-29 | 2019-11-29 | 广东电网有限责任公司 | 一种基于区块链技术的物联网隐私保护访问控制方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865580A (zh) * | 2020-07-13 | 2020-10-30 | 深圳前海益链网络科技有限公司 | token生成及验证方法、装置、计算机设备和存储介质 |
| CN112702315A (zh) * | 2020-12-07 | 2021-04-23 | 深圳供电局有限公司 | 跨域设备访问控制方法、装置、计算机设备和存储介质 |
| CN114629684A (zh) * | 2022-02-16 | 2022-06-14 | 深圳番多拉信息科技有限公司 | 基于区块链的权限令牌处理方法、系统、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327618B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230091605A1 (en) | Accessing an internet of things device using blockchain metadata | |
| US10454927B2 (en) | Systems and methods for managing relationships among digital identities | |
| EP3618398B1 (en) | Cryptologic blockchain interoperation | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| CN111327618B (zh) | 一种基于区块链的精准访问控制方法、装置及系统 | |
| US20060287959A1 (en) | Software license manager employing license proofs for remote execution of software functions | |
| US20070271618A1 (en) | Securing access to a service data object | |
| JP2018537022A (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
| KR100621318B1 (ko) | 조건들의 검증에 의해 접근과 자원사용을 관리하기 위한 방법 | |
| US20180218364A1 (en) | Managing distributed content using layered permissions | |
| CN116324844A (zh) | 用于联合权限和分级密钥管理的方法、装置和计算机可读介质 | |
| Akbarfam et al. | Dlacb: Deep learning based access control using blockchain | |
| Hu et al. | Enhancing Account Privacy in Blockchain-based IoT Access Control via Zero Knowledge Proof | |
| CN116263817A (zh) | 一种数据访问控制方法及相关系统 | |
| Tapas et al. | Toward Trustless Internet of Things: a Blockchain-based approach | |
| CN117294489A (zh) | 一种基于授权策略的自适应动态访问控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230202 Address after: No. 400 Fangchun Road, Pudong New Area Free Trade Pilot Area, Shanghai, 200120 Applicant after: Shanghai Lianmin Information Technology Co.,Ltd. Address before: 266000 room 4105, 4th floor, Tencent maker space, 151 huizhiqiao Road, high tech Zone, Qingdao, Shandong Applicant before: Qingdao Wanmin Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |