CN113726747B - 一种基于区块链的工业互联网数据访问控制系统 - Google Patents
一种基于区块链的工业互联网数据访问控制系统 Download PDFInfo
- Publication number
- CN113726747B CN113726747B CN202110919166.3A CN202110919166A CN113726747B CN 113726747 B CN113726747 B CN 113726747B CN 202110919166 A CN202110919166 A CN 202110919166A CN 113726747 B CN113726747 B CN 113726747B
- Authority
- CN
- China
- Prior art keywords
- access control
- data
- block chain
- workflow
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于区块链的工业互联网数据访问控制系统,包含基于区块链的工业互联网访问控制框架和面向工业互联网工作流的访问控制框架;基于区块链的工业互联网访问控制框架包含分布式账本模块,身份认证模块,访问控制模块;面向工业互联网工作流的访问控制框架包含分布式账本模块,访问控制模块和工作流模块。在基于区块链的工业互联网访问控制框架的分布式账本模块的基础上,面向工业互联网工作流的访问控制框架的分布式账本模块增加了对工作流信息的存储功能,以更好的支持访问控制模块;工作流模块是对工作流进行管理,使工作流运行于区块链平台之上;访问控制模块在分布式账本模块和工作流模块的支撑下,实现工作流环境下的访问控制。
Description
技术领域
本发明涉及工业互联网的数据共享领域,尤其涉及一种基于区块链的工业互联网数据访问控制系统。
背景技术
在工业互联网环境中,数据是工业领域各类信息的核心载体,通过数据共享可以实现对工业领域各类资源的统筹管理和调配,进而最大化工业互联网效用。基于工业互联网的供应链通过全链范围内数据和信息共享实现全面连接,在此基础上,以供应链整体的降本增效为目标,进行智能化的管理和控制决策,实现供应链成员的高效协同。例如,通过分析制造商的订单数据以及供货商的原料数据,制造商可以合理安排生产计划,实现产能最优化。
然而,工业数据通常具有机密性,数据共享时需要进行受控共享,访问控制是实现数据受控共享的有效手段,因此,工业互联网环境下进行数据共享的首要问题便是进行访问控制,保证数据不被非法访问;其次,工业互联网环境下的各参与方通常处于复杂的供应链流程中,数据在多方之间进行共享,此时进行访问控制需要考虑供应链运行流程信息,使得未准备好的数据不被提前访问。
现有的访问控制系统根据数据的存储位置可以分为两种形式:数据云端存储的访问控制系统和数据本地化存储的访问控制系统。由于工业数据通常具有较高的机密性,与企业利益息息相关,不适合上传至云端,因此,数据云端存储的访问控制系统在工业互联网环境下不并不适用。在数据本地化存储的访问控制系统中,数据存储在本地以保证数据的安全性,系统仅存储访问控制相关信息以完成访问控制判决。然而,此类系统的控制判决结果是由集中的平台计算得到,如果访问控制相关信息被篡改,将导致错误的访问控制判决结果,引发数据安全性问题;此外,由于系统并未存储数据信息,多方之间数据共享时系统难以获知全局的数据共享流程,也会导致错误的访问控制判决结果。
在此基础之上,为了解决多方之间数据共享时由于缺少全局的数据共享信息导致的数据被提前访问问题,本专利将工作流技术引入访问控制系统的构建之中。工作流,是对工作流程及其各操作步骤之间业务规则的抽象、概括描述。工作流能够很好地表示在工业生产流程中各参与方之间数据共享流程的进展,清晰地展示其目前所处的数据共享流程阶段,通过共享数据共享流程进展的方式为多方数据共享场景下的访问控制提供帮助。
综上所述,本专利将围绕工业互联网环境下的数据共享平台展开,设计适用于工业互联网环境下的访问控制系统。以数据本地化存储的访问控制系统为基础,借助区块链提供的存储可信性,保证访问控制相关信息的可信存储;借助智能合约提供的计算可信性,保证访问控制判决的可信性,基于此构建可信的访问控制系统;在此基础之上,借助工作流技术建模多方之间的数据共享流程,并将工作流运行于区块链平台之上,使得系统可以借由区块链平台的工作流了解全局的数据共享流程,进而完成多方之间数据共享时的访问控制需求。
发明内容
为解决上述问题,本发明公开了一种基于区块链的工业互联网数据访问控制系统,着重优化工业互联网环境下多方的数据共享需求,而且能满足由访问控制相关信息可能被篡改而带来的数据安全性问题。在此基础之上,借助工作流技术建模多方之间的数据共享流程,并将工作流运行于区块链平台之上,使得系统可以借由区块链平台的工作流了解全局的数据共享流程,进而完成多方之间数据共享时的访问控制需求。
技术方案:为实现本发明的目的,本发明所采用的技术方案是:一种基于区块链的工业互联网数据访问控制系统,该系统包含两个重要框架,即基于区块链的工业互联网访问控制框架和面向工业互联网工作流的访问控制框架;所述基于区块链的工业互联网访问控制框架包括分布式账本模块、身份认证模块和访问控制模块, 本框架通过将基于属性的访问控制模型的各个功能点以智能合约的形式部署在区块链平台上,以实现区块链上的属性访问控制;所述面向工业互联网工作流的访问控制框架包括分布式账本模块、访问控制模块和工作流模块,其中,所述工作流模块是对工作流进行管理,使工作流运行于区块链平台之上。
作为本发明的进一步改进,所述分布式账本模块负责记录数据访问过程中的相关信息,保证参与访问控制判决的信息不可篡改,为访问控制模块和身份认证模块提供支持;同时,使得系统的访问控制行为可溯源可追责,满足相关部门的审计需求;所述身份认证模块负责实现对数据访问请求的合法性认证功能,通过身份认证模块实现令牌的合法性认证,以确保访问请求为已经被访问控制模块判断通过的请求,身份认证模块通过非对称密钥技术和智能合约技术实现身份认证功能;所述访问控制模块实现基于属性的访问控制功能,以基于属性的访问控制模型为基础实现。
作为本发明的进一步改进,所述基于区块链的工业互联网访问控制框架的控制方法包括以下步骤:
步骤(1)数据需求方预先将自身的信息上传至区块链平台,数据提供方将数据资源信息以及数据的访问控制策略上传至区块链平台;
步骤(2)数据需求方向区块链平台发起访问请求;
步骤(3)区块链平台根据预先上传的数据需求方属性信息以及目标数据的访问控制策略,进行访问控制判决,以确定数据需求方是否具有目标数据的访问权限,如果判决通过则进入步骤(4),否则过程结束;
步骤(4)区块链平台向数据需求方提供目标数据地址;
步骤(5)数据需求方向数据提供方发起数据访问请求;
步骤(6)此次访问完成后,区块链平台将此次访问控制过程的日志信息记录到区块链平台分布式账本中,以保证日志信息的不可篡改。
作为本发明的进一步改进,分布式账本模块功能是存储和记录访问控制框架所需要的相关信息,保证参与访问控制判决的信息不可篡改,因此,分布式账本模块需要实现以下功能:(1)访问控制过程中,任何与访问控制相关的信息都应该被记录,分布式账本中的信息至少包括,谁在何时因为什么原因以何种方式对数据进行了怎样的操作。(2)访问控制判决时需要的相关信息应该从分布式账本中获得,因此,数据的访问控制策略以及属性信息应该存入分布式账本中。(3)由于工业数据量大,无法将工业数据全量存储到分布式账本中,转而存储数据的地址,同时,为了进行数据完整性校验,数据的哈希结果应该存储在分布式账本中。分布式账本模块中,需要包含如下信息:属性信息、访问控制策略信息、用户信息、数据资源信息、数据资源访问请求、日志信息。
作为本发明的进一步改进,身份认证模块的的功能是,当区块链平台收到令牌认证请求时,通过身份认证模块实现令牌的合法性认证,以确保访问请求为已经被访问控制模块判断通过的请求。身份认证模块通过非对称密钥技术和智能合约技术实现身份认证功能。当数据需求方发起数据访问请求并通过访问控制判断后,数据需求方会获得由公钥加密过后的仓储数据地址 ,此时,数据需求方可以通过数据提供方的私钥解密地址(通过访问控制判决后,数据需求方可以向数据提供方请求私钥)。
作为本发明的进一步改进,访问控制模块负责实现基于属性的访问控制功能,以基于属性的访问控制模型为基础实现。本框架通过将基于属性的访问控制模型的各个功能点以智能合约的形式部署在区块链平台上,以实现区块链上的属性访问控制。新增数据需求方信息智能合约和新增数据提供方数据资源智能合约分别负责将数据需求方信息和数据提供方数据资源信息新增至区块链平台,属性信息查询智能合约负责从区块链分布式账本中取出数据需求方的属性信息,上述三个智能合约一起完成ABAC模型中的策略信息功能点(PIP)功能;访问控制策略查询智能合约负责从区块链分布式账本中取出数据提供方数据的访问控制策略信息,该智能合约完成ABAC模型中的策略管理功能点(PAP)功能;访问控制判决智能合约负责对此次访问行为进行访问控制判决,完成ABAC模型中的策略决策功能点(PDP)功能;访问控制判决结果执行智能合约负责根据访问控制判决结果,执行相应的业务逻辑,并将此次访问控制判决结果存入区块链分布式账本中。
作为本发明的进一步改进,所述步骤(1)中,数据需求方自身的信息描述如下:自身信息表示为由名称和值一起组成的配对信息,属性值可以有多个,以{key:value}的形式存储在系统中,格式为[主键类型]→[属性值]。
作为本发明的进一步改进,所述步骤(1)中,数据资源信息的描述如下:数据资源信息由仓储数据资源id(注册数据资源时系统自动生成),数据资源的访问控制策略,数据资源拥有者的公钥,经过数据资源拥有者公钥加密后的数据资源地址信息以及数据资源的哈希校验码构成,存入区块链时,键为数据资源id的哈希结果。
作为本发明的进一步改进,所述步骤(3)中,访问控制策略的描述如下:访问控制策略由若干属性值限定,并将这些限定通过逻辑连接符连接构成。
作为本发明的进一步改进,所述步骤(5)中,数据资源访问请求的描述如下:数据需求方访问数据提供方数据资源的请求由数据需方用户ID和数据提供方数据资源ID构成,其语义为数据需求方对数据提供方数据资源发起的访问请求。
作为本发明的进一步改进,所述步骤(6)中,日志信息的描述如下:日志信息是对数据需求方此次的访问行为的记录,以用作审计归档;日志信息由数据资源请求,数据需求方的公钥信息,此次访问控制的访问结果、访问时间、访问令牌、访问令牌有效次数,以及数据资源的访问控制策略构成;存入区块链时,键为访问控制令牌。
作为本发明的进一步改进,所述面向工业互联网工作流的访问控制框架的控制方法具体如下,工作流环境下的访问控制判决,当收到访问请求后,调用访问控制模块,从分布式账本中取出对应任务的状态信息,如果任务状态不为完成状态,则表示任务尚未完成,工作流尚未运行至此,此时拒绝该访问请求;如果任务状态为提交状态,则表示任务已经完成,工作流已经运行至此,此时,调用基于区块链的工业互联网访问控制框架,完成后续的访问控制步骤。
作为本发明的进一步改进,所述面向工业互联网工作流的访问控制框架中分布式账本模块,在基于区块链的工业互联网访问控制框架的分布式账本模块基础上,额外实现以下功能:(1)在区块链平台运行工作流,工作流的相关信息存入分布式账本中;(2)对工作流的相关操作的记录信息也存入分布式账本中;工业互联网中,制造商、销售商、原材料供应商三方协商以确定供应链工作流,其包括供应链包含哪些任务,以及各任务的关键属性,包括任务的前驱后继信息,任务的访问控制策略信息,任务的状态信息等。
本发明一种基于区块链的工业互联网数据访问控制系统,其具体控制方法如下:
步骤(1)定义工作流。以工业互联网为背景,制造商、销售商、原材料供应商三方协商以确定供应链工作流,包括供应链包含哪些任务,以及各任务的关键属性,包括任务的前驱后继信息,任务的访问控制策略信息,任务的状态信息等。
步骤(2)工作流部署。确定供应链工作流所包含的任务列表,及各任务的关键属性后,调用工作流模块,将供应链工作流相关信息存入区块链平台分布式账本,以完成供应链工作流在区块链平台的部署。
步骤(3)工作流任务状态更新。当供应链工作流中的任务状态发生改变时,向区块链平台发起工作流任务状态更新请求,调用工作流模块,更新分布式账本中对应任务的状态信息。如果更新后的任务状态为完成状态或者失败状态,则表示该任务已经完成运行,此时,从该任务的后继任务列表中取出对应的任务并更新其状态,以完成工作流在区块链平台的运行。
步骤(4)数据访问。在工作流环境下,向区块链平台发起数据访问请求。
步骤(5)工作流环境下的访问控制判决。当收到访问请求后,调用访问控制模块,从分布式账本中取出对应任务的状态信息,如果任务状态不为完成状态,则表示任务尚未完成,工作流尚未运行至此,此时拒绝该访问请求;如果任务状态为提交状态,则表示任务已经完成,工作流已经运行至此,此时,调用基于区块链的工业互联网访问控制框架,完成后续的访问控制步骤。
步骤(6)数据需求方预先将自身的信息上传至区块链平台,数据提供方将数据资源信息以及数据的访问控制策略上传至区块链平台。
步骤(7)数据需求方向区块链平台发起访问请求。
步骤(8)区块链平台根据预先上传的数据需求方属性信息以及目标数据的访问控制策略,进行访问控制判决,以确定数据需求方是否具有目标数据的访问权限,如果判决通过则进入步骤(9),否则过程结束。
步骤(9)区块链平台向数据需求方提供目标数据地址。
步骤(10)数据需求方可以根据向数据提供方发起数据访问请求。
步骤(11)此次访问完成后,区块链平台会将此次访问控制过程的日志信息记录到区块链平台分布式账本中,以保证日志信息的不可篡改。
作为本发明的进一步改进,在步骤(2)中,工作流信息由工作流ID,工作流描述信息,以及工作流分解后产生的任务列表信息构成。存入区块链时,键为工作流ID的哈希结果。
作为本发明的进一步改进,在步骤(2)中,任务信息由任务ID,任务所属的工作流ID,该任务当前所处的状态,执行该任务所需的访问控制策略,该任务所包含的资源信息列表,该任务执行完成后的后继任务信息构成。存入区块链时,键为任务ID的哈希结果。
作为本发明的进一步改进,在步骤(3)中,当工业互联网环境下影响工作流状态的事件发生后,需要将任务的状态改变更新至区块链平台,因此需要任务状态更新请求。该请求由工作流管理员ID,任务ID,更新后的任务状态构成,其语义为工作流管理员请求将任务的状态更新至提交状态。
作为本发明的进一步改进,在步骤(4)中,工作流环境下访问请求由数据需求方ID和数据提供方数据资源ID以及工作流环境下的任务ID构成,其语义为数据需求方在工作流环境下对数据资源发起的访问请求。
作为本发明的进一步改进,在步骤(6)中,所述数据需求方自身的信息描述如下:
自身信息表示为由名称和值一起组成的配对信息,属性值可以有多个,以{key:value}的形式存储在系统中,格式如下所示:
[主键类型]→[属性值]。
作为本发明的进一步改进,在步骤(7)中,对数据提供方的描述如下:数据提供方则需要将准备进行共享的数据在框架进行注册,向区块链平台新增数据资源的访问控制策略,数据资源的地址信息,数据资源的哈希校验码等,其中,数据资源的地址信息经过数据提供方管理员的公钥加密后再存储至区块链平台。
作为本发明的进一步改进,步骤(9)中,访问控制策略的描述如下:访问控制策略由若干属性值限定,并将这些限定通过逻辑连接符连接构成。
作为本发明的进一步改进,步骤(11)中,日志信息的描述如下:日志信息是对数据需求方此次的访问行为的记录,以用作审计归档。日志信息由数据资源请求,数据需求方的公钥信息,此次访问控制的访问结果、访问时间、访问令牌、访问令牌有效次数,以及数据资源的访问控制策略构成。存入区块链时,键为访问控制令牌。
附图说明
图1基于区块链的工业互联网数据访问控制系统总体框架图;
图2基于区块链的工业互联网访问控制框架工作原理示意图;
图3面向工业互联网工作流的访问控制框架工作原理示意图。
具体实施方式
下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
本发明的目标是公开了一种基于区块链的工业互联网数据访问控制系统,该访问控制系统包含两个重要框架,即基于区块链的工业互联网访问控制框架和面向工业互联网工作流的访问控制框架。
基于区块链的工业互联网访问控制框架主要包含三个重要模块,分布式账本模块,身份认证模块,访问控制模块等。数据需求方预先将自己的属性信息上传至区块链平台,然后向区块链平台发起访问请求,区块链平台进行访问控制判决。通过访问控制判决后,数据需求方会获得区块链平台提供的目标数据地址,数据需求方可以根据向数据提供方发起数据访问请求,此次访问完成后,区块链平台会将此次访问控制过程的日志信息记录到区块链平台分布式账本中。本发明不仅能满足在工业互联网环境下多方的数据共享需求,而且能解决由访问控制相关信息可能被篡改而带来的数据安全性问题。
面向工业互联网工作流的访问控制框架主要包含三个重要模块,分布式账本模块,访问控制模块和工作流模块。在基于区块链的工业互联网访问控制框架分布式账本模块的基础上,面向工业互联网工作流的访问控制框架的分布式账本模块增加了对工作流信息的存储功能,以更好的支持访问控制模块;工作流模块为新增模块,该模块的主要功能是对工作流进行管理,使工作流运行于区块链平台之上;访问控制模块则在分布式账本模块和工作流模块的支撑下,实现工作流环境下的访问控制。
本发明将工业互联网中多方信息存储在区块链中,根据工作流的流程,数据需求方预先将自己的属性信息上传至区块链平台,然后向区块链平台发起访问请求,区块链平台进行访问控制判决。通过访问控制判决后,数据需求方会获得区块链平台提供的目标数据地址,数据需求方可以根据向数据提供方发起数据访问请求,具体流程如附图1所示。本发明具体执行步骤如下:
步骤(1)定义工作流。以工业互联网为背景,制造商、销售商、原材料供应商三方协商以确定供应链工作流,包括供应链包含哪些任务,以及各任务的关键属性,包括任务的前驱后继信息,任务的访问控制策略信息,任务的状态信息等。
步骤(2)工作流部署。确定供应链工作流所包含的任务列表,及各任务的关键属性后,调用工作流模块,将供应链工作流相关信息存入区块链平台分布式账本,以完成供应链工作流在区块链平台的部署。
步骤(2.1)将工作流信息定义为由工作流ID,工作流描述信息,以及工作流分解后产生的任务列表信息构成的信息。存入区块链时,键为工作流ID的哈希结果。
步骤(2.2)将任务信息定义为由任务ID,任务所属的工作流ID,该任务当前所处的状态,执行该任务所需的访问控制策略,该任务所包含的资源信息列表,该任务执行完成后的后继任务信息构成的信息。存入区块链时,键为任务ID的哈希结果。
步骤(3)工作流任务状态更新。当供应链工作流中的任务状态发生改变时,向区块链平台发起工作流任务状态更新请求,调用工作流模块,更新分布式账本中对应任务的状态信息。如果更新后的任务状态为完成状态或者失败状态,则表示该任务已经完成运行,此时,从该任务的后继任务列表中取出对应的任务并更新其状态,以完成工作流在区块链平台的运行。
步骤(3.1)当工业互联网环境下影响工作流状态的事件发生后,需要将任务的状态改变更新至区块链平台,因此需要任务状态更新请求。该请求由工作流管理员ID,任务ID,更新后的任务状态构成,其语义为工作流管理员请求将任务的状态更新至提交状态。
步骤(4)数据访问。在工作流环境下,向区块链平台发起数据访问请求。
步骤(4.1)工作流环境下访问请求由数据需求方ID和数据提供方数据资源ID以及工作流环境下的任务ID构成,其语义为数据需求方在工作流环境下对数据资源发起的访问请求。
步骤(5)工作流环境下的访问控制判决。当收到访问请求后,调用访问控制模块,从分布式账本中取出对应任务的状态信息,如果任务状态不为完成状态,则表示任务尚未完成,工作流尚未运行至此,此时拒绝该访问请求;如果任务状态为提交状态,则表示任务已经完成,工作流已经运行至此,此时,调用基于区块链的工业互联网访问控制框架,完成后续的访问控制步骤。
步骤(6)数据需求方预先将自身的信息上传至区块链平台,数据提供方将数据资源信息以及数据的访问控制策略上传至区块链平台。
步骤(6.1)所述数据需求方自身的信息描述如下:自身信息表示为由名称和值一起组成的配对信息,属性值可以有多个,以{key:value}的形式存储在系统中,格式如下所示:[主键类型]→[属性值]。
步骤(7)数据需求方向区块链平台发起访问请求。
步骤(7.1)对数据提供方的描述如下:数据提供方则需要将准备进行共享的数据在框架进行注册,向区块链平台新增数据资源的访问控制策略,数据资源的地址信息,数据资源的哈希校验码等,其中,数据资源的地址信息经过数据提供方管理员的公钥加密后再存储至区块链平台。
步骤(8)区块链平台根据预先上传的数据需求方属性信息以及目标数据的访问控制策略,进行访问控制判决,以确定数据需求方是否具有目标数据的访问权限,如果判决通过则进入步骤(9),否则过程结束。
步骤(9)区块链平台向数据需求方提供目标数据地址。
步骤(9.1)访问控制策略的描述如下:访问控制策略由若干属性值限定,并将这些限定通过逻辑连接符连接构成。
步骤(10)数据需求方可以根据向数据提供方发起数据访问请求。
步骤(11)此次访问完成后,区块链平台会将此次访问控制过程的日志信息记录到区块链平台分布式账本中,以保证日志信息的不可篡改。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。
Claims (9)
1.一种基于区块链的工业互联网数据访问控制系统,其特征在于,包括基于区块链的工业互联网访问控制框架和面向工业互联网工作流的访问控制框架,所述基于区块链的工业互联网访问控制框架包括分布式账本模块、身份认证模块和访问控制模块,本框架通过将基于属性的访问控制模型的各个功能点以智能合约的形式部署在区块链平台上,以实现区块链上的属性访问控制,其中,所述分布式账本模块负责记录数据访问过程中的相关信息,保证参与访问控制判决的信息不可篡改,为访问控制模块和身份认证模块提供支持;同时,使得系统的访问控制行为可溯源可追责,满足相关部门的审计需求;所述身份认证模块负责实现对数据访问请求的合法性认证功能,通过身份认证模块实现令牌的合法性认证,以确保访问请求为已经被访问控制模块判断通过的请求,身份认证模块通过非对称密钥技术和智能合约技术实现身份认证功能;所述访问控制模块实现基于属性的访问控制功能,以基于属性的访问控制模型为基础实现;所述面向工业互联网工作流的访问控制框架包括分布式账本模块、访问控制模块和工作流模块,其中,所述工作流模块是对工作流进行管理,使工作流运行于区块链平台之上,所述访问控制模块在分布式账本模块和工作流模块的支撑下,实现工作流环境下的访问控制。
2.根据权利要求1所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述基于区块链的工业互联网访问控制框架的控制方法包括以下步骤:
步骤(1)数据需求方预先将自身的信息上传至区块链平台,数据提供方将数据资源信息以及数据的访问控制策略上传至区块链平台;
步骤(2)数据需求方向区块链平台发起访问请求;
步骤(3)区块链平台根据预先上传的数据需求方属性信息以及目标数据的访问控制策略,进行访问控制判决,以确定数据需求方是否具有目标数据的访问权限,如果判决通过则进入步骤(4),否则过程结束;
步骤(4)区块链平台向数据需求方提供目标数据地址;
步骤(5)数据需求方向数据提供方发起数据访问请求;
步骤(6)此次访问完成后,区块链平台将此次访问控制过程的日志信息记录到区块链平台分布式账本中,以保证日志信息的不可篡改。
3.根据权利要求2所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述步骤(1)中,数据需求方自身的信息描述如下:自身信息表示为由名称和值一起组成的配对信息,属性值可以有多个,以{key:value}的形式存储在系统中,格式为[主键类型]→[属性值]。
4.根据权利要求2所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述步骤(1)中,数据资源信息的描述如下:数据资源信息由仓储数据资源id,数据资源的访问控制策略,数据资源拥有者的公钥,经过数据资源拥有者公钥加密后的数据资源地址信息以及数据资源的哈希校验码构成,存入区块链时,键为数据资源id的哈希结果。
5.根据权利要求2所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述步骤(3)中,访问控制策略的描述如下:访问控制策略由若干属性值限定,并将这些限定通过逻辑连接符连接构成。
6.根据权利要求2所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述步骤(5)中,数据访问请求的描述如下:数据需求方访问数据提供方数据资源的请求由数据需方用户ID和数据提供方数据资源ID构成,其语义为数据需求方对数据提供方数据资源发起的访问请求。
7.根据权利要求2所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述步骤(6)中,日志信息的描述如下:日志信息是对数据需求方此次的访问行为的记录,以用作审计归档;日志信息由数据资源请求,数据需求方的公钥信息,此次访问控制的访问结果、访问时间、访问令牌、访问令牌有效次数,以及数据资源的访问控制策略构成;存入区块链时,键为访问控制令牌。
8.根据权利要求1所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述面向工业互联网工作流的访问控制框架的控制方法具体如下,工作流环境下的访问控制判决,当收到访问请求后,调用访问控制模块,从分布式账本中取出对应任务的状态信息,如果任务状态不为完成状态,则表示任务尚未完成,工作流尚未运行至此,此时拒绝该访问请求;如果任务状态为提交状态,则表示任务已经完成,工作流已经运行至此,此时,调用基于区块链的工业互联网访问控制框架,完成后续的访问控制步骤。
9.根据权利要求1所述的一种基于区块链的工业互联网数据访问控制系统,其特征在于,所述面向工业互联网工作流的访问控制框架中的分布式账本模块,在基于区块链的工业互联网访问控制框架的分布式账本模块基础上,额外实现以下功能:(1)在区块链平台运行工作流,工作流的相关信息存入分布式账本中;(2)对工作流的相关操作的记录信息也存入分布式账本中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110919166.3A CN113726747B (zh) | 2021-08-11 | 2021-08-11 | 一种基于区块链的工业互联网数据访问控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110919166.3A CN113726747B (zh) | 2021-08-11 | 2021-08-11 | 一种基于区块链的工业互联网数据访问控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726747A CN113726747A (zh) | 2021-11-30 |
| CN113726747B true CN113726747B (zh) | 2022-07-12 |
Family
ID=78675530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110919166.3A Active CN113726747B (zh) | 2021-08-11 | 2021-08-11 | 一种基于区块链的工业互联网数据访问控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726747B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051989B (zh) * | 2022-06-10 | 2024-04-05 | 中国华能集团清洁能源技术研究院有限公司 | 工业物联网中基于区块链的精细化分布式访问控制方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109918878A (zh) * | 2019-04-24 | 2019-06-21 | 中国科学院信息工程研究所 | 一种基于区块链的工业物联网设备身份认证及安全交互方法 |
| CN110088793A (zh) * | 2018-12-19 | 2019-08-02 | 阿里巴巴集团控股有限公司 | 区块链网络中的数据隔离 |
| CN111131229A (zh) * | 2019-12-26 | 2020-05-08 | 湖南天河国云科技有限公司 | 一种基于区块链的工业互联网可信控制方法、装置和系统 |
| WO2020151322A1 (zh) * | 2019-01-22 | 2020-07-30 | 平安科技(深圳)有限公司 | 基于区块链的身份管理方法、装置、设备及存储介质 |
| CN112100635A (zh) * | 2020-09-17 | 2020-12-18 | 博雅正链(北京)科技有限公司 | 基于智能合约与工作流架构的执法返还系统及方法 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| CN113035376A (zh) * | 2021-04-23 | 2021-06-25 | 清华大学 | 基于工业互联网的智能工厂及其构建方法 |
| CN113242230A (zh) * | 2021-05-07 | 2021-08-10 | 中国科学技术大学 | 一种基于智能合约的多级认证与访问控制系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200348662A1 (en) * | 2016-05-09 | 2020-11-05 | Strong Force Iot Portfolio 2016, Llc | Platform for facilitating development of intelligence in an industrial internet of things system |
-
2021
- 2021-08-11 CN CN202110919166.3A patent/CN113726747B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110088793A (zh) * | 2018-12-19 | 2019-08-02 | 阿里巴巴集团控股有限公司 | 区块链网络中的数据隔离 |
| WO2020151322A1 (zh) * | 2019-01-22 | 2020-07-30 | 平安科技(深圳)有限公司 | 基于区块链的身份管理方法、装置、设备及存储介质 |
| CN109918878A (zh) * | 2019-04-24 | 2019-06-21 | 中国科学院信息工程研究所 | 一种基于区块链的工业物联网设备身份认证及安全交互方法 |
| CN111131229A (zh) * | 2019-12-26 | 2020-05-08 | 湖南天河国云科技有限公司 | 一种基于区块链的工业互联网可信控制方法、装置和系统 |
| CN112100635A (zh) * | 2020-09-17 | 2020-12-18 | 博雅正链(北京)科技有限公司 | 基于智能合约与工作流架构的执法返还系统及方法 |
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
| CN113035376A (zh) * | 2021-04-23 | 2021-06-25 | 清华大学 | 基于工业互联网的智能工厂及其构建方法 |
| CN113242230A (zh) * | 2021-05-07 | 2021-08-10 | 中国科学技术大学 | 一种基于智能合约的多级认证与访问控制系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| "Smart Pharmaceutical Manufacturing: Ensuring End-to-End Traceability and Data Integrity in Medicine Production";Leal, F等;《BIG DATA RESEARCH》;20210515;第24卷;全文 * |
| 面向工业互联网场景的新型分布式账本技术;张正等;《情报工程》;20180615(第03期);第22-29页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726747A (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Du et al. | An optimized consortium blockchain for medical information sharing | |
| CN113114498B (zh) | 一种可信区块链服务平台的架构系统及其构建方法 | |
| CN112463843A (zh) | 基于区块链和数据资源目录的电网数据共享方法及系统 | |
| Vo et al. | Internet of blockchains: Techniques and challenges ahead | |
| US20070288275A1 (en) | It services architecture planning and management | |
| US20060155738A1 (en) | Monitoring method and system | |
| CN114445010B (zh) | 一种基于区块链的多式联运系统和方法 | |
| CN112347194A (zh) | 一种基于区块链技术的钢铁供应链产品溯源系统 | |
| CN108694189A (zh) | 共同所有权的数据库系统的管理 | |
| CN110580148B (zh) | 一种面向一体化的epc项目管理平台 | |
| US20220083936A1 (en) | Access control method | |
| US20230344813A1 (en) | Method and system for securing asset data in a computing environment | |
| US20230267387A1 (en) | Computer-Guided Corporate Relationship Management | |
| CN113726747B (zh) | 一种基于区块链的工业互联网数据访问控制系统 | |
| CN112835985A (zh) | 一种基于分布式账本的空间数据共享系统及方法 | |
| US20070088595A1 (en) | Method and system for secured virtual relationship management | |
| US11121874B2 (en) | Method for analyzing data using a blockchain, a data provider and a data customer therefor | |
| US7693185B1 (en) | Method and apparatus for creation and management of intelligent packets | |
| CN117172641A (zh) | 基于区块链与数字孪生的生产物流管理平台及实现方法 | |
| CN109474706B (zh) | 一种数据安全集中服务方法和系统 | |
| CN113449014B (zh) | 一种基于区块链的选择性云数据查询系统 | |
| CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
| Cui et al. | Blockchain-based supply chain architecture adapted to digital business ecosystems | |
| CN114298694A (zh) | 区块链服务平台管理方法、装置、计算机设备和存储介质 | |
| CN106993032A (zh) | 基于移动互联网应用的嵌入式精准沟通云服务平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |