CN112565453B - 一种物联网下的区块链访问控制策略模型及策略保护方案 - Google Patents

一种物联网下的区块链访问控制策略模型及策略保护方案 Download PDF

Info

Publication number
CN112565453B
CN112565453B CN202011525214.2A CN202011525214A CN112565453B CN 112565453 B CN112565453 B CN 112565453B CN 202011525214 A CN202011525214 A CN 202011525214A CN 112565453 B CN112565453 B CN 112565453B
Authority
CN
China
Prior art keywords
access control
strategy
chain
resource
control strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011525214.2A
Other languages
English (en)
Other versions
CN112565453A (zh
Inventor
李茹
张江徽
史锦山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inner Mongolia University
Original Assignee
Inner Mongolia University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inner Mongolia University filed Critical Inner Mongolia University
Priority to CN202011525214.2A priority Critical patent/CN112565453B/zh
Publication of CN112565453A publication Critical patent/CN112565453A/zh
Application granted granted Critical
Publication of CN112565453B publication Critical patent/CN112565453B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种物联网下的区块链访问控制策略模型及策略保护方案,首先将物联网设备的访问控制权限序列化,通过智能合约上传至区块链中,资源拥有者根据访问控制策略模型为物联网设备设置访问控制策略,由智能合约根据策略进行权限的授予,实现了细粒度的访问控制,防止过度授权、越权访问等情况的出现。其次,由于区块链中的所有信息对参与节点来说公开透明,其中的访问控制策略信息包含用户敏感属性等隐私数据,极易被他人非法利用,因此本发明设计了一种访问控制策略的保护方案配合访问控制策略模型的使用,保证访问控制策略的信息安全与完整性。

Description

一种物联网下的区块链访问控制策略模型及策略保护方案
技术领域
本发明涉及基于区块链的访问控制领域,尤其涉及一种物联网下的区块链访问控制策略模型与策略保护方案。
背景技术
物联网设备在使用过程中会产生海量的数据,这些海量数据中又包含着具有明显指向性的个人隐私数据,如果这些隐私数据发生泄漏,则代表着用户隐私的消失。访问控制作为数据保护的关键技术之一,可保障数据仅能被拥有相应权限的用户访问。因此,研究物联网下的访问控制机制也就成为了物联网安全和隐私保护的重要研究内容之一。
区块链是一种去中心化的分布式技术,它可在无信任中心的网络环境中建立信任关系。区块链从技术上解决了使用集中式授权决策实体带来的安全问题。区块链与访问控制的结合,可以降低访问控制对单一可信实体的依赖程度,提高访问控制的可靠性和数据的安全性。但是目前的访问控制模型对于权限的划分粒度过粗和对于角色属性的判定上过于宽泛,并且没有对访问控制策略的隐私性加以保护,这都是需要去解决的问题。
发明内容
针对现有技术的不足,本发明提出了一种物联网下的区块链访问控制策略模型与策略保护方案,对物联网设备的访问控制权限进行细粒度的划分、并进行详细的角色属性判定,同时也将访问控制策略于其他数据分离,保护了访问控制策略的数据隐私性。
本发明的目的是通过以下技术方案来实现的:一种物联网下的区块链访问控制策略模型与策略保护方案,包括两个部分,一类是物联网下基于区块链的访问控制策略模型,资源拥有者根据该模型设置访问控制策略,每一个物联网设备对应一个访问控制策略,每个策略又对应了多种请求情况的发生,智能合约也根据这个模型进行授权计算;另一类是在区块链环境下使用的访问控制策略保护方案,一条信息链,包含全部参与节点,一条策略链只包含相关节点,两条链之间通过唯一标识符进行策略的匹配。
一种物联网下基于区块链的访问控制策略模型,模型中包括靶标、规则、规则联合算法、策略等组成部分,其中靶标由请求者、资源、动作、关系四个元素组成,规则由靶标、先决条件、有效期限、决策结果、规则联合算法组成,策略是多个规则的集合体。资源拥有者将设置好的属性信息写入进该模型后,生成对应的访问控制策略,所有的资源申请者在申请资源的使用权时,他们的属性信息会与策略中属性信息进行比对,通过后,将获得资源的访问控制权限。
一种区块链环境下使用的访问控制策略保护方案,使用两条特定区块链,一条称为信息链,包含参与访问控制过程的全部实体节点与除访问控制策略之外的所有信息,另一条称为策略链,只包含负责设置访问控制策略的实体节点与访问控制策略。信息链安全性高,但是隐私性较低,策略链隐私性高但安全性校低,两条区块链之间使用唯一标识符共同标记一个访问控制策略,智能合约在策略链中将策略信息与申请者的属性信息进行比对后,若比对通过,智能合约将在信息链中查询唯一标识符,确认访问控制策略的完整性后,智能合约才会将访问控制权限授予资源请求者。
本发明的有益效果如下:
本发明通过基于区块链物联网访问控制模型对物联网设备的访问控制权限进行细粒度的划分,防止了越权访问、过度授权、混乱授权等情况的发生;通过访问控制策略保护方案,保护了访问控制策略中属性信息的隐私性,并且通过唯一标识符与秘钥对的验证保证了访问控制策略的完整性,防止访问策略遭受恶意攻击、篡改等问题的出现。
附图说明
图1是本发明的方法中物联网下基于区块链的访问控制策略模型图。
图2是本发明的方法中智能合约进行授权计算的流程图。
图3是本发明的方法中访问控制策略保护方案示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下对本申请中所用的专业名词进行解释:
信息链:一条存储访问控制的所有相关信息的区块链,但不包括访问控制策略,
策略链:一条只存储访问控制策略的区块链,
访问控制策略模型:该模型规范了访问控制策略的组成部分。
如图1所示,图1是本发明方案涉及的物联网下基于区块链的访问控制策略模型图。对该模型的具体解释如下:
(1)靶标是访问控制策略中每种请求情况的一个标记,减少搜索次数,提高响应时间。靶标由四个元素构成,分别是主体:请求资源的访问控制权限的个人或组织,保证某设备被特定的资源申请者使用;资源:被请求使用的设备、数据等;操作:所要获取资源的权限,如开关权限、读写数据权限。实现细粒度的划分,不需要的权限不会授予;关系:需要通过与资源所有者的关系来区分相同主体名称的不同主体的访问请求,
(2)规则是获得设备访问控制权限的标准,由靶标,先决条件,有效期限,决策结果还有规则组合算法组成,其中先决条件:对规则的应用时间、应用空间,设备的使用原因等一些客观条件做出限定;有效期限:规定对该规则的使用次数或使用时间,避免出现无限使用该设备的情况发生,
(3)规则联合算法是为了防止规则冲突的情况发生,资源拥有者可以选择不同的规则选择算法,有首先应用算法、许可优先算法、唯一应用算法,
(4)策略是由一个或多个规则构成,物联网环境中每一个设备对应一个策略,策略包含了所有可能出现的访问请求。
本方法中所设计的访问控制策略模型是一个抽象的逻辑模型,资源使用者输入各项属性信息时,智能合约根据所有属性信息以及访问控制策略模型生成符合的访问控制策略。此外智能合约在进行访问控制授权计算时也会根据该模型进行策略的查找与授权计算。
如图2所示,图2为本发明方法中智能合约进行授权计算的流程图,智能合约根据访问控制策略进行授权计算的步骤如下:
第一步:智能合约在区块链中查找资源请求者申请的资源是否存在,若存在则进行匹配计算,
第二步:智能合约根据资源申请者的属性信息找到在访问控制策略中寻找靶标,由靶标找到对应的规则,
第三步:资源申请者的属性信息与靶标中的信息匹配后,智能合约自动匹配规则中的客观信息即先决条件,
第四步:资源申请者的属性信息与规则匹配,并且先决条件也符合规则中的要求,则智能合约将资源的访问控制权限与使用次数发送给资源申请者。
如图3所示,图3为本发明方法中访问控制策略保护方案流程图,两条特定区块链之间的访问控制策略流动与完整性判断过程如下:
第一步:智能合约向策略链中写入访问控制策略时,为其生成唯一标识符,标记该策略,同时智能合约会根据固定算法为该策略的信息生成一个随机字符串,这个字符串将会作为比对秘钥与唯一标识符以键值对的形式写入信息链中;
第二步:智能合约在策略链中查找对应的访问控制策略,将资源请求者的属性与访问控制策略进行比对,比对通过后,智能合约会根据访问控制策略生成一个临时的策略秘钥,此次比对检查申请者的合法性;
第三步:智能合约根据该策略的唯一标识符在信息链中进行查找,查找到的秘钥与第二步中生成的临时秘钥进行比对;
第四步:若比对成功,则智能合约会将访问控制权限授予资源请求者,若比对失败,则提醒策略链中的参与节点,访问控制策略遭受攻击,已被篡改,此次比对检查访问控制策略的完整性。
经过双重检查,既可以保证资源申请者的用户合法性,也可以保证访问控制策略的完整性。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。

Claims (6)

1.一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,包括:物联网下基于区块链的访问控制策略模型以及工作流程,工作流程中的参与实体分为:资源拥有者、资源请求者、资源、权限,还包括一种使用双链标识的访问控制策略保护方案;
所述双链为两条特定区块链,第一条为信息链,包含参与访问控制过程的全部实体节点与除访问控制策略之外的所有信息,第二条为策略链,只包含负责设置访问控制策略的实体节点与访问控制策略;
所述访问控制策略保护方案:使用两条特定区块链,两条区块链之间使用唯一标识符共同标记一个访问控制策略,智能合约在策略链中将策略信息与申请者的属性信息进行比对后,若比对通过,智能合约将在信息链中查询唯一标识符,确认访问控制策略的完整性后,智能合约才会将访问控制权限授予资源请求者。
2.根据权利要求1所述的一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,所述权限是资源拥有者对资源操作的范围和程度,权限包括数据的读、写、新建、删除和对物联网设备的操作,可以细粒度的选择将某个权限授予资源请求者。
3.根据权利要求1所述的一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,所述物联网下基于区块链的访问控制策略模型,模型中包括靶标、规则、规则联合算法、策略组成部分,其中靶标由请求者、资源、动作、关系四个元素组成,规则由靶标、先决条件、有效期限、决策结果、规则联合算法组成,策略是多个规则的集合体。
4.根据权利要求1所述的一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,智能合约进行决策授权时,包括以下步骤:
第一步:智能合约根据资源申请者的属性信息找到在访问控制策略中寻找靶标,由靶标找到对应的规则,
第二步:资源申请者的属性信息与靶标中的信息匹配后,智能合约自动匹配规则中的客观信息即先决条件,
第三步:资源申请者的属性信息与规则匹配,并且先决条件也符合规则中的要求,则智能合约将资源的访问控制权限与使用次数发送给资源申请者。
5.根据权利要求1所述的一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,包括一种区块链环境下的访问控制策略保护方案,两条私有区块链之间使用唯一标识符标记每一个访问控制策略,在决策机构进行决策判断之后,权限授予之前,由智能合约进行访问控制策略完整性的判断。
6.根据权利要求1所述的一种物联网下的区块链访问控制策略模型的策略保护方法,其特征在于,包括使用双链标识的访问控制策略保护方案:
第一步:智能合约向策略链中写入访问控制策略时,为其生成唯一标识符,标记该策略,同时智能合约会根据固定算法为该策略的信息生成一个随机字符串,这个字符串将会作为比对秘钥与唯一标识符以键值对的形式写入信息链中,
第二步:智能合约在策略链中查找对应的访问控制策略,将资源申请者的属性与访问控制策略进行比对,比对通过后,智能合约会根据访问控制策略生成一个临时的策略秘钥,此次比对检查资源申请者的合法性,
第三步:智能合约根据该策略的唯一标识符在信息链中进行查找,查找到的秘钥与第二步中生成的临时秘钥进行比对,
第四步:若比对成功,则智能合约会将访问控制权限授予资源申请者,若比对失败,则提醒策略链中的参与节点,访问控制策略遭受攻击,已被篡改,此次比对检查访问控制策略的完整性。
CN202011525214.2A 2020-12-22 2020-12-22 一种物联网下的区块链访问控制策略模型及策略保护方案 Active CN112565453B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011525214.2A CN112565453B (zh) 2020-12-22 2020-12-22 一种物联网下的区块链访问控制策略模型及策略保护方案

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011525214.2A CN112565453B (zh) 2020-12-22 2020-12-22 一种物联网下的区块链访问控制策略模型及策略保护方案

Publications (2)

Publication Number Publication Date
CN112565453A CN112565453A (zh) 2021-03-26
CN112565453B true CN112565453B (zh) 2022-10-28

Family

ID=75031227

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011525214.2A Active CN112565453B (zh) 2020-12-22 2020-12-22 一种物联网下的区块链访问控制策略模型及策略保护方案

Country Status (1)

Country Link
CN (1) CN112565453B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242230B (zh) * 2021-05-07 2022-09-06 中国科学技术大学 一种基于智能合约的多级认证与访问控制系统及方法
CN113726747B (zh) * 2021-08-11 2022-07-12 东南大学 一种基于区块链的工业互联网数据访问控制系统
CN114157487A (zh) * 2021-12-03 2022-03-08 上海交通大学 一种基于区块链技术的大规模物联网访问控制方法
CN114726639B (zh) * 2022-04-24 2023-08-22 国网河南省电力公司信息通信公司 一种访问控制策略自动编排方法及系统
CN115051851B (zh) * 2022-06-09 2023-04-07 北京交通大学 物联网场景下的用户访问行为管控系统和方法
CN115022070A (zh) * 2022-06-21 2022-09-06 天津理工大学 一种基于属性的区块链数据访问控制方法及系统
CN116112264B (zh) * 2023-01-31 2024-04-02 深圳市艾莉诗科技有限公司 一种基于区块链的策略隐藏大数据访问控制方法和装置
CN116455645B (zh) * 2023-04-24 2024-02-02 中国工程物理研究院计算机应用研究所 一种用于网络靶场数据的细粒度隔离防护方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450856A (zh) * 2018-10-12 2019-03-08 西安电子科技大学 基于区块链的数据链信息流转控制系统及方法
CN111629057A (zh) * 2020-05-27 2020-09-04 广西师范大学 基于区块链具有隐私保护的物联网访问控制方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10419446B2 (en) * 2017-07-10 2019-09-17 Cisco Technology, Inc. End-to-end policy management for a chain of administrative domains
WO2019195639A1 (en) * 2018-04-05 2019-10-10 Neji, Inc. Programmatic creation of blockchains
CN110086804B (zh) * 2019-04-25 2021-08-31 广州大学 一种基于区块链及可信硬件的物联网数据隐私保护方法
US11263333B2 (en) * 2019-04-25 2022-03-01 International Business Machines Corporation Multi-subject device access authorization
CN110109930B (zh) * 2019-05-15 2020-07-03 山东省计算中心(国家超级计算济南中心) 基于区块链双链结构的政务数据存储、查询方法及系统
CN110855637A (zh) * 2019-10-28 2020-02-28 西北工业大学 一种基于属性的区块链物联网分布式访问控制方法
CN110809006A (zh) * 2019-11-14 2020-02-18 内蒙古大学 一种基于区块链的物联网访问控制架构及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450856A (zh) * 2018-10-12 2019-03-08 西安电子科技大学 基于区块链的数据链信息流转控制系统及方法
CN111629057A (zh) * 2020-05-27 2020-09-04 广西师范大学 基于区块链具有隐私保护的物联网访问控制方法

Also Published As

Publication number Publication date
CN112565453A (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN112565453B (zh) 一种物联网下的区块链访问控制策略模型及策略保护方案
KR102430649B1 (ko) 익명화를 위해 속성들을 자동으로 식별하기 위한 컴퓨터 구현 시스템 및 방법
US7085925B2 (en) Trust ratings in group credentials
US6978366B1 (en) Secure document management system
JP3640339B2 (ja) 電子データ・ファイルを検索するシステムおよびその維持方法
US7827403B2 (en) Method and apparatus for encrypting and decrypting data in a database table
KR100450402B1 (ko) 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법
US20190141048A1 (en) Blockchain identification system
CN104216907A (zh) 一种用于提供数据库访问控制的方法、装置与系统
US11089028B1 (en) Tokenization federation service
NO326590B1 (no) Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva.
US20080263630A1 (en) Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application
US11658978B2 (en) Authentication using blockchains
Peng et al. BlockShare: A Blockchain empowered system for privacy-preserving verifiable data sharing.
CN109829333B (zh) 一种基于OpenID的关键信息保护方法及系统
KR20230122003A (ko) 블록체인에 비밀 데이터 저장
CN100574210C (zh) 一种基于无等级角色间映射的访问控制方法
CN111932261A (zh) 一种基于可验证声明的资产数据管理方法和装置
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
EP3742320B1 (en) Method and system for granting access to data in an immutable ledger system
CN115022070A (zh) 一种基于属性的区块链数据访问控制方法及系统
Sri et al. A Framework for Uncertain Cloud Data Security and Recovery Based on Hybrid Multi-User Medical Decision Learning Patterns
Raja et al. An enhanced study on cloud data services using security technologies
Hariharasudan et al. Single Identity System for Identification papers based on Blockchain
Hua et al. An Improved Access Control Scheme of Highway Engineering Evaluation System Based on Blockchain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant