CN114760065A - 一种在线学习平台教学资源共享的访问控制方法及装置 - Google Patents

一种在线学习平台教学资源共享的访问控制方法及装置 Download PDF

Info

Publication number
CN114760065A
CN114760065A CN202210295467.8A CN202210295467A CN114760065A CN 114760065 A CN114760065 A CN 114760065A CN 202210295467 A CN202210295467 A CN 202210295467A CN 114760065 A CN114760065 A CN 114760065A
Authority
CN
China
Prior art keywords
group
designated
identity
node
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210295467.8A
Other languages
English (en)
Other versions
CN114760065B (zh
Inventor
孙岩
陈春丽
王志博
罗红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING MT-HIRISUN INFORMATION TECHNOLOGY DEVELOPMENT CO LTD
Beijing University of Posts and Telecommunications
Original Assignee
BEIJING MT-HIRISUN INFORMATION TECHNOLOGY DEVELOPMENT CO LTD
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING MT-HIRISUN INFORMATION TECHNOLOGY DEVELOPMENT CO LTD, Beijing University of Posts and Telecommunications filed Critical BEIJING MT-HIRISUN INFORMATION TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202210295467.8A priority Critical patent/CN114760065B/zh
Publication of CN114760065A publication Critical patent/CN114760065A/zh
Application granted granted Critical
Publication of CN114760065B publication Critical patent/CN114760065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种在线学习平台教学资源共享的访问控制方法及装置,该方法用于在包含多个学校节点和多个管理员节点的联盟链网络上运行,其中,各学校节点还组成按照区域划分的多个区域群组,各管理员节点形成授权管理中心群组,所述联盟链网络还连接至少一个平台云服务器用于各学校节点的信息审核和请求认证,所述方法包括:联盟链初始化、区域群组内访问控制流程和跨区域群组访问控制流程。相比于传统访问控制技术,保证了用户访问的安全性和可信性,提升了平台内资源共享的效率,避免了仅依靠单个中心服务器进行权限管理,服务器被攻击或出现故障而导致整个系统瘫痪的风险。

Description

一种在线学习平台教学资源共享的访问控制方法及装置
技术领域
本发明涉及访问控制技术领域,尤其涉及一种在线学习平台教学资源共享的访问控制方法及装置。
背景技术
互联网技术的高速发展改变了传统教育的模式,在线学习平台出现在大众视野中。在“互联网+教育”的背景下,在线教育政策相继出台,在线教育成为热潮。学校和在线学习平台建立合作关系,通过平台为学生进行学习辅导,提高了学校的教学效率,学生获取知识的渠道不再受地域限制,学习方式也更加灵活多样。随着在线教育技术的成熟,越来越多的学校将教学资源上传至平台共享,但由于无法保障访问者身份的可信性、教学资源被恶意盗取侵权等诸多问题,多数学校仅与同区域(省、市、区)的其他学校建立内部合作关系,合作的学校彼此间共享教学资源,而区域与区域彼此间不进行共享。这种方式虽然保证了教学资源的隐私性和安全性,但极大的降低了平台内资源共享的效率。
于是引进访问控制技术来解决资源安全共享问题。访问控制技术是保护数据安全的基础性技术之一,用户根据系统设定的访问控制策略对授权的计算机资源进行合法的使用,避免对未授权的资源进行非法访问。访问控制技术虽然保证教学资源数据共享的安全性,但平台中的学校以区域划分,由区域内部授权管理机构统一进行内部学生的访问授权管理,不同域内授权管理机构不能跨区域为学生进行授权,管理不便。此外,所有的访问授权及认证过程均由平台云服务器管理,存在平台云服务器单点故障而导致访问认证失败、非法授权、授权信息被篡改等诸多问题。
实现一个可以保证可信任性和权威性的中心化授权管理机构共同管理和一个公开透明、安全性高的分布式系统共同管理,是一个亟待解决的问题。
发明内容
鉴于此,本发明实施例提供了一种在线学习平台教学资源共享的访问控制方法,以解决现有技术中存在的一个或更多个缺陷,克服传统的访问控制模型仅依靠单个中心服务器进行权限管理,服务器被攻击或出现故障而导致整个系统瘫痪的问题。
本发明的技术方案如下:
一方面,本发明提供一种在线学习平台教学资源共享的访问控制方法,方法用于在包含多个学校节点和多个管理员节点的联盟链网络上运行,其中,各学校节点还组成按照区域划分的多个区域群组,各管理员节点形成授权管理中心群组,所述联盟链网络还连接至少一个平台云服务器用于各学校节点的信息审核和请求认证,所述方法包括:联盟链初始化、区域群组内访问控制流程和跨区域群组访问控制流程;
所述联盟链初始化包括:对各学校节点划分区域群组,由所述授权管理中心群组配置数字签名和签名认证算法涉及的系统参数,对各学校节点配置身份标识,并在所述联盟链网络上部署智能合约;
所述区域群组内访问控制流程是第一指定学校节点对所属的第一指定区域群组进行的访问,包括区域群组内认证访问流程,所述区域群组内认证访问流程包括:
由所述第一指定学校节点向所述平台云服务器发送访问隶群组内资源请求信息,所述访问隶群组内资源请求信息至少包括所述第一指定学校节点ID和访问行为信息;所述平台云服务器根据所述第一指定学校节点ID查询对应的身份证书,并向所述第一指定区域群组发送身份认证请求信息,所述身份认证请求信息包括所述第一指定学校节点ID及其采用预设签名算法对所述第一指定学校节点的身份证书进行加密得到的第一签名证书;所述第一指定区域群组根据所述第一签名证书对所述第一指定学校节点进行身份认证,在身份认证成功的情况下,将身份认证结果发送至所述云平台服务器;所述云平台服务器对所述身份认证结果进行判断,在身份认证成功的情况下,指示所述授权管理中心群组向所述第一指定区域群组发送共识上链请求,将所述第一指定学校节点的访问行为信息记录在所述第一指定区域群组的链上;所述云平台服务器实施第一指定学校节点的访问行为并进行结果反馈;
所述跨区域群组访问控制流程是第二指定学校节点对非所属的第二指定区域群组进行的访问,包括跨群组认证访问流程,所述跨群组认证访问流程包括:
由所述第二指定学校节点向所述平台云服务器发送对所述第二指定区域群组的跨群组访问请求,所述跨群组访问请求至少包括所述第二指定学校节点的ID、所述第二指定区域群组标识信息以及访问行为信息;所述平台云服务器根据所述第二指定学校节点ID查询对应的身份证书,并向所述第二指定区域群组发送身份认证请求信息,所述身份认证请求信息包括所述第二指定学校节点ID及其采用预设签名算法对所述第二指定学校节点的身份证书进行加密得到的第二签名证书;所述第二指定区域群组根据所述第二签名证书对所述第二指定学校节点进行身份认证,在身份认证成功的情况下,将身份认证结果发送至所述云平台服务器;所述云平台服务器对所述身份认证结果进行判断,在身份认证成功的情况下,指示所述授权管理中心群组向所述第二指定区域群组发送共识上链请求,将所述第二指定学校节点的访问行为信息分别记录在所述第二指定区域群组和所述第二指定学校节点所属的区域群组的链上,所述云平台服务器实施第二指定学校节点的访问行为并进行结果反馈。
优选地,所述区域群组内访问控制流程还包括群组内注册流程,以在所述第一指定区域群组内认证访问流程之前对新注册的学校节点签发身份证书,所述群组内注册流程包括:由新注册的第一指定学校节点向所述平台云服务器发送身份证书注册请求信息,所述身份证书注册请求信息至少包括所述第一指定学校节点的身份标识信息,所述身份标识信息至少包括所述第一指定学校节点的ID和隶属区域;所述平台云服务器审核所述第一指定学校节点的身份标识信息,并向所述授权管理中心群组发起身份证书签发请求信息,所述身份证书签发请求信息至少包括所述第一指定学校节点的身份标识信息;所述授权管理中心群组收到所述身份证书签发请求信息后,调用所述智能合约为所述第一指定学校节点生成身份证书并计算得到第一哈希值,由所述授权管理中心群组将所述第一指定学校节点的身份证书及其对应的第一哈希值记录至所述授权管理中心群组的链上;由所述授权管理中心群组向所述第一指定区域群组发起共识上链请求,将所述第一指定学校节点的身份证书及其对应的第一哈希值记录至所述第一指定区域群组的链上;由所述授权管理中心群组为所述第一指定学校节点生成签名密钥,并将所述第一指定学校节点的身份证书和签名密钥返回保存至所述云平台服务器中。
优选地,所述跨区域群组访问控制流程还包括跨群组授权流程,以在所述跨区域群组认证访问流程之前对所述第二指定学校节点跨群组访问所述第二指定区域群组的行为进行授权,所述跨群组授权流程包括:由所述第二指定学校节点向所述平台云服务器发送跨群组访问权限申请信息,所述跨群组访问权限申请信息至少包括所述第二指定学校节点的ID和申请访问的所述第二指定区域群组的标识信息;所述平台云服务器审核所述跨群组访问权限申请信息,并向所述授权管理中心群组发送共识上链请求信息,所述共识上链请求信息至少包括所述第二指定学校节点的ID和申请访问的所述第二指定区域群组的标识信息;所述授权管理中心群组收到所述共识上链请求信息后,调用所述智能合约为所述第二指定学校节点生成身份授权信息,其中,所述身份授权信息至少包括所述第二指定学校节点的ID、所述第二指定学校节点的身份证书及其对应的第二哈希值,所述授权管理中心群组向所述第二指定区域群组发送共识上链请求信息,将所述第二指定学校节点的身份授权信息记录至所述第二指定区域群组的链上;所述授权管理中心群组向所述第二指定学校节点所属的区域群组发起共识上链请求信息,将所述第二指定学校节点的身份授权信息记录至所述第二指定学校节点所属的区域群组的链上;所述授权管理中心群组将授权结果反馈至所述第二指定学校节点。
优选地,所述联盟链初始化中,所述签名认证算法为SM9算法,所述数字签名是基于所述SM9算法产生的。
优选地,所述区域群组内认证访问流程中,所述第一指定区域群组根据所述第一签名证书对所述第一指定学校节点进行身份认证,还包括:由所述第一指定区域群组对所述第一签名证书解签名得到所述第一指定学校节点的身份证书并,计算所述第一指定学校节点的身份证书的第三哈希值,调用所述智能合约查询所述第一指定区域群组的链上记载的所述第一哈希值,将所述第一哈希值与所述第三哈希值作比较,在数值相等的情况下判断身份认证成功,由所述第一指定区域群组将身份认证结果发送至所述云平台服务器。
优选地,所述跨区域群组访问控制流程中,所述第二指定区域群组根据所述第二签名证书对所述第二指定学校节点进行身份认证,还包括:由所述第二指定区域群组对所述第二签名证书解签名得到所述第二指定学校节点的身份证书,并计算所述第二指定学校节点的身份证书的第四哈希值,调用所述智能合约查询所述第二指定区域群组的链上记载的所述第二指定学校节点的身份证书及其对应的第二哈希值,将所述第二哈希值与所述第四哈希值作比较,在数值相等的情况下判断身份认证成功,由所述第二指定区域群组将身份认证结果发送至所述云平台服务器。
优选地,所述身份证书至少包括版本、序列号、签名算法标识符、证书起止时间、主体名称、主体属性集合、主题唯一表示符号和授权密钥标识符,其中,所述序列号由18位数字随机生成。
优选地,所述区域群组按照地域或业务类型进行划分。
另一方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如前所述方法的步骤。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述方法的步骤。
本发明的有益效果至少是:
所述在线学习平台教学资源共享的访问控制方法中,利用联盟链群组的特性,将各区域学校以群组的形式进行划分,各群组学校节点共同参与权限管理与访问控制,利用联盟链的信息可追溯、防篡改等特性保证了用户访问的安全性和可信性,同时避免了传统的访问控制模型仅依靠单个中心服务器进行权限管理,服务器被攻击或出现故障而导致整个系统瘫痪的风险。
进一步的,提供以联盟链为基础基于联盟链初始化、群组内访问控制流程和跨群组访问控制流程的访问控制方案。采用签名证书作为群组内访问和跨群组访问的权限判断凭证,可以写入更多类型的权限信息,有利于兼容不同区域的权限设置。引用哈希算法,在联盟链上存储群组内访问和跨群组访问的权限判断凭证对应的哈希值,利用哈希算法的不可逆性保证的权限凭证的安全性,单一的哈希数据比权限凭证数据占用空间更小,降低了联盟链各节点的储存负担。
进一步的,采用基于SM9的数字签名和签名认证算法,使得在群组内访问和跨群组访问通信传输中具备更高的安全性。
本发明的附加优点、目的,以及特征将在下面的描述中将部分地加以阐述,且将对于本领域普通技术人员在研究下文后部分地变得明显,或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在书面说明及其权利要求书以及附图中具体指出的结构实现到并获得。
本领域技术人员将会理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明联盟链访问控制模型示意图。
图2为本发明一实施例中区域群组内认证访问流程的流程示意图。
图3为本发明一实施例中跨区域群组访问控制流程的流程示意图。
图4为本发明一实施例中区域群组内注册流程的流程示意图。
图5为本发明一实施例中跨区域群组授权流程的流程示意图。
图6为本发明一实施例中区域群组内注册流程和区域群组内认证访问流程的实现流程示意图。
图7为本发明一实施例中跨区域群组授权流程和跨区域群组访问控制流程的实现流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
应该强调,术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
在此,还需要说明的是,如果没有特殊说明,术语“连接”在本文不仅可以指直接连接,也可以表示存在中间物的间接连接。
为了克服现有技术中学校教学资源在区域与区域彼此间不进行共享、依靠单个中心服务器进行权限管理、缺乏公开透明、安全性高的分布式系统共同管理等问题,本发明实施例将联盟链与访问控制相结合,设计联盟链访问控制模型。利用联盟链群组的特性,将各区域学校以群组的形式进行划分,各群组学校节点共同参与权限管理与访问控制,利用联盟链的信息可追溯、防篡改等特性保证了用户访问的安全性和可信性,同时避免了传统的访问控制模型仅依靠单个中心服务器进行权限管理,服务器被攻击或出现故障而导致整个系统瘫痪的风险,还包括联盟链初始化、群组内访问控制流程和跨群组访问控制流程三个基于联盟链的访问控制方案。
本发明的提供一种在线学习平台教学资源共享的访问控制方法,所述方法用于在包含多个学校节点和多个管理员节点的联盟链网络上运行,其中,各学校节点还组成按照区域划分的多个区域群组,各管理员节点形成授权管理中心群组,联盟链网络还连接至少一个平台云服务器用于各学校节点的信息审核和请求认证。
图1为本发明联盟链访问控制模型示意图,包括:
学校节点、管理员节点、由多个学校节点构成的区域群组、由多个管理员节点组成的授权管理中心群组和平台云服务器。进一步的,各区域群组和授权管理中心群组的所有节点上装载智能合约。需要预先说明的是,各区域群组和授权管理中心群组通过打包生成区块链的形式记载相应的信息。其中,下文中提及的链就是指区块链。
联盟链由授权管理中心群组和区域群组共同组成。授权管理中心群组由来自各区域的管理员节点共同组成,模型中的管理员节点依次对应各区域授权管理中心,授权管理中心群组负责联盟链节点注册和访问授权审核,所有管理员节点共同维护记录各学校身份信息和访问授权信息。区域群组由各区域(以市级为单位划分区域)学校共同组成,也可以基于涉及不同业务内容的主体进行区别建立,学校节点共同维护记录群组内授权和访问信息,访问控制智能合约用于群组间节点的访问授权和认证的实现,具体应用于证书注册、授权及认证,还连接至少一个平台云服务器用于各学校节点的信息审核和请求认证。
基于联盟链设置了三部分访问控制流程,包括:联盟链初始化、区域群组内访问控制流程和跨区域群组访问控制流程。
联盟链初始化包括:对各学校节点划分区域群组,由授权管理中心群组配置数字签名和签名认证算法涉及的系统参数,对各学校节点配置身份标识,并在联盟链网络上部署智能合约。其中,身份标识是区域群组为群组内的学校节点生成的,身份标识至少包括学校节点的ID,并且,生成的学校节点的ID是唯一值。
区域群组内访问控制流程是第一指定学校节点对所属的第一指定区域群组进行的访问,包括区域群组内认证访问流程,群组内认证流程用于对群组内访问者的身份验证,图2所示为本发明一实施例中区域群组内认证访问流程的流程示意图,如图2所示,本实施例的方法包括以下步骤S101~S105:
步骤S101,由第一指定学校节点向平台云服务器发送访问隶群组内资源请求信息,访问隶群组内资源请求信息至少包括第一指定学校节点ID和访问行为信息。其中,第一指定学校节点的ID可以采用预设格式的数字、符号或字母组成。访问行为信息用于记载第一指定学校节点所要访问的数据内容,所要进行的操作步骤等。
步骤S102,平台云服务器根据第一指定学校节点ID查询并获取对应的身份证书,向第一指定区域群组发送身份认证请求信息,身份认证请求信息包括第一指定学校节点ID及其采用预设签名算法对第一指定学校节点的身份证书进行加密得到的第一签名证书。其中,第一指定学校节点的身份证书存储于第一指定区域群组的链上,在区域群组内认证访问流程中,第一指定学校节点的身份证书作为区域群组内认证访问权限判断的凭证。
步骤S103,第一指定区域群组根据第一签名证书对第一指定学校节点进行身份认证,在身份认证成功的情况下,第一指定区域群组将身份认证结果发送至云平台服务器。其中,第一指定区域群组要先将第一签名证书解签名,获得第一指定学校节点的身份证书,再进行身份认证,在身份认证成功的情况下,第一指定学校节点的身份证书的状态变为“已授权”,在身份认证失败的情况下,第一指定学校节点的身份证书的状态变为“已撤销”。
步骤S104,云平台服务器对身份认证结果进行判断,在身份认证成功的情况下,指示授权管理中心群组向第一指定区域群组发送共识上链请求,将第一指定学校节点的访问行为信息记录在第一指定区域群组的链上。其中,访问行为信息指已授权的第一指定学校节点的具体访问行为信息,具体访问行为信息至少包括积分交易和资源访问。
步骤S105,云平台服务器实施第一指定学校节点的访问行为并进行结果反馈。
跨区域群组访问控制流程是第二指定学校节点对非所属的第二指定区域群组进行的访问,包括跨群组认证访问流程,跨群组认证流程用于学校跨群组访问的身份验证,图3所示为本发明一实施例中跨区域群组访问控制流程的流程示意图,如图3所示,本实施例的方法包括以下步骤S201~S205:
步骤S201,由第二指定学校节点向平台云服务器发送对第二指定区域群组的跨群组访问请求,跨群组访问请求至少包括第二指定学校节点的ID、第二指定区域群组标识信息以及访问行为信息。其中,第二指定学校节点的ID可以采用预设格式的数字、符号或字母组成。访问行为信息用于记载第二指定学校节点所要访问的数据内容,所要进行的操作步骤等。
步骤S202,平台云服务器根据第二指定学校节点ID查询并获取对应的身份证书,向第二指定区域群组发送身份认证请求信息,身份认证请求信息包括第二指定学校节点ID及其采用预设签名算法对第二指定学校节点的身份证书进行加密得到的第二签名证书。其中,第二指定学校节点的身份证书存储于第二指定区域群组的链上,在跨区域群组访问控制流程中,第二指定学校节点的身份证书作为跨区域群组访问控制权限判断的凭证。
步骤S203,第二指定区域群组根据第二签名证书对第二指定学校节点进行身份认证,在身份认证成功的情况下,将身份认证结果发送至云平台服务器。其中,第二指定区域群组要先将第二签名证书解签名,获得第二指定学校节点的身份证书,再进行身份认证,在身份认证成功的情况下,第二指定学校节点的身份证书的状态变为“已授权”,在身份认证失败的情况下,第二指定学校节点的身份证书的状态变为“已撤销”。
步骤S204,云平台服务器对身份认证结果进行判断,在身份认证成功的情况下,指示授权管理中心群组向第二指定区域群组发送共识上链请求,将第二指定学校节点的访问行为信息分别记录在第二指定区域群组和第二指定学校节点所属的区域群组的链上。其中,访问行为信息指已授权的第一指定学校节点的具体访问行为信息,具体访问行为信息至少包括积分交易和资源访问。
步骤S205,云平台服务器实施第二指定学校节点的访问行为并进行结果反馈。
在本发明实施例中,第一指定区域群组内访问控制流程还包括群组内注册流程,以在第一指定区域群组内认证访问流程之前对新注册的学校节点签发身份证书,图4所示为本发明一实施例中区域群组内注册流程的流程示意图,如图4所示,本实施例的方法包括以下步骤S301~S305:
步骤S301,由新注册的第一指定学校节点向平台云服务器发送身份证书注册请求信息,身份证书注册请求信息至少包括第一指定学校节点的身份标识信息,身份标识信息至少包括所述第一指定学校节点的ID和隶属区域。其中,新注册的第一指定学校节点是指在第一指定区域群组内新增加的学校节点,新的学校节点需要进行注册得到对应的身份证书,凭借身份证书才可以实现区域群组内认证访问。本发明中,学校节点以市级为单位划分区域,学校节点组成区域群组,因此隶属区域指新注册的第一指定学校节点所属的第一区域群组。
步骤S302,平台云服务器审核第一指定学校节点的身份标识信息,并向授权管理中心群组发起身份证书签发请求信息,身份证书签发请求信息至少包括所述第一指定学校节点的身份标识信息。其中,第一指定学校节点的身份标识信息至少包括第一指定学校节点的名称、地址、师资设备情况、教育阶段、ID、IP地址和隶属区域。
步骤S303,授权管理中心群组收到身份证书签发请求信息后,调用智能合约为第一指定学校节点生成身份证书并计算得到第一哈希值,并将第一指定学校节点的身份证书及其对应的第一哈希值记录至授权管理中心群组的链上。其中,第一哈希值指由新注册的第一指定学校节点注册得到的身份证书计算得到。哈希算法是单向且不可逆的,保证了身份证书的安全性。
步骤S304,由授权管理中心群组向第一指定区域群组发起共识上链请求,将第一指定学校节点的身份证书及其对应的第一哈希值记录至第一指定区域群组的链上。第一指定学校节点的身份证书是区域群组内认证访问权限判断的凭证,实现区域群组内认证访问时,需要调用第一指定区域群组的链上记录的第一指定学校节点的身份证书及其对应的第一哈希值进行身份认证。
步骤S305,由授权管理中心群组为第一指定学校节点生成签名密钥,并将第一指定学校节点的身份证书和签名密钥返回保存至所述云平台服务器中。其中,签名密钥指私钥保存于云平台服务器,公钥由第一指定学校节点的身份标识自动生成。
在本发明实施例中,跨区域群组访问控制流程还包括跨区域群组授权流程,以在跨群组认证访问流程之前对第二指定学校节点跨群组访问第二指定区域群组的行为进行授权,图5所示为本发明一实施例中跨区域群组授权流程的流程示意图,如图5所示,本实施例的方法包括以下步骤S401~S406:
步骤S401,由第二指定学校节点向平台云服务器发送跨群组访问权限申请信息,跨群组访问权限申请信息至少包括所述第二指定学校节点的ID和申请访问的第二指定区域群组的标识信息。其中,申请访问的第二指定区域群组内不包括第二指定学校节点,并且第二指定学校节点没有执行过跨区域群组授权流程,在第二指定区域群组的链上没有第二指定学校节点的身份授权信息。
步骤S402,平台云服务器审核跨群组访问权限申请信息,并向授权管理中心群组发送共识上链请求信息,共识上链请求信息至少包括所述第二指定学校节点的ID和申请访问的第二指定区域群组的标识信息。其中第二指定区域群组的标识信息至少包括第二指定区域群组所属的区域和名称。
步骤S403,授权管理中心群组收到所述共识上链请求信息后,调用智能合约为第二指定学校节点生成身份授权信息,其中,身份授权信息至少包括第二指定学校节点的ID、第二指定学校节点的身份证书及其对应的第二哈希值。其中,第二哈希值指由新注册的第二指定学校节点注册得到的身份证书计算得到。
步骤S404,授权管理中心群组向第二指定区域群组发送共识上链请求信息,将第二指定学校节点的身份授权信息记录至第二指定区域群组的链上。其中,身份授权信息至少包括第二指定学校节点的ID、第二指定学校节点的身份证书及其对应的第二哈希值,第二指定学校节点的身份证书是跨区域群组认证访问权限判断的凭证,实现跨区域群组认证访问时,需要调用第二指定区域群组的链上预先记录的第二指定学校节点的身份证书及其对应的第二哈希值进行身份认证。
步骤S405,授权管理中心群组向第二指定学校节点所属的区域群组发起共识上链请求信息,将第二指定学校节点的身份授权信息记录至第二指定学校节点所属的区域群组的链上。
步骤S406,授权管理中心群组将授权结果反馈至第二指定学校节点。
在本发明实施例中,联盟链初始化中,签名认证算法为SM9算法,数字签名是基于SM9算法产生的。
签名认证算法包括以下方法:授权管理中心群组采用SM9签名私钥生成算法生成签名密钥,在算法流程中,需要用到的参数包括加法循环群G1的生成元P1,加法循环群G2的生成元P2,乘法循环群GT。其中,加法循环群G1、加法循环群G2、以及乘法循环群GT的阶均为N。e为G1*G2→GT的双线性映射。签名私钥的生成函数标识符为hid,用户的身份标识为IDA。H1(.)和H2(.)分别是从加密哈希函数派生的两个加密函数,随机选取S∈[1,N]作为主私钥Ppri-s,基于主私钥Ppri-s生成主公钥Ppub-s=[s]P2,得到系统主密钥对(S,[s]P2)。计算t1=H1(IDA||hid,N)+s mod N,t2=s*t1 -1 mod N,则私钥SKA=[t2]P1=[s/H1(IDA||hid,N)+s)]P1
数字签名算法包括以下方法:签名密钥与身份证书采用SM9数字签名算法生成数字签名,得到实体自身的私钥SKA之后,用户可以将乘法循环群GT的阶数N、域中的主公钥Ppub-s、加法循环群G1的生成元P1、私钥SKA、加密函数H2(.)、需要发送的明文信息M(本发明中M为身份证书)作为参数(N,Ppub-s,P1,SKA,H2(.),M),生成对应的数字签名(h,S)。
在本发明实施例中,区域群组内认证访问流程中,第一指定区域群组根据第一签名证书对第一指定学校节点进行身份认证,还包括:
第一指定区域群组对第一签名证书解签名得到第一指定学校节点的身份证书,并计算第三哈希值,调用智能合约查询第一指定区域群组的链上记载的第一指定学校节点的身份证书及其对应的第一哈希值,将第一哈希值与第三哈希值作比较,在数值相等的情况下判断身份认证成功,由第一指定区域群组将身份认证结果发送至云平台服务器。其中,第三哈希值指第一签名证书解签名后得到的身份证书的哈希值。
在本发明实施例中,身份证书,还至少包括版本、序列号、签名算法标识符、证书起止时间、主体名称、主体属性集合、主题唯一表示符号和授权密钥标识符技术内容,其中,版本用于记录身份证书当前版本,默认为V1;序列号用于识别定位身份证书,由18位数字随机生成;签名算法标识符用于标记证书签名算法及相关参数;主体唯一表示符号用于识别定位身份证书拥有者。
在本发明实施例中,区域群组按照地域或业务类型进行划分。本发明中,学校节点以市级为单位划分区域,是按照地域进行划分,也可以按照业务类型进行划分。例如学校节点A、B、C拥有大量优质的文学专业相关的教学资源,学校节点E、F、G拥有大量优质的数理专业相关的教学资源,则学校节点A、B、C可划分为一个区域,学校节点E、F、G可划分为一个区域,以实现具有针对性的跨区域资源共享。
下面结合一实施例对本发明进行具体说明:
所述方法包括联盟链初始化、群组内访问控制流程和跨群组访问控制流程三部分。由于包含较多的参与者和交互过程,因此对涉及的相关符号做简要概述,如表1所示。
表1符号说明
Figure BDA0003563139940000121
联盟链初始化时,首先按照地域划分群组集合Domain={Center,DomainA,DomainB,DomainC...DomainN}。由授权管理中心群组Center统一生成SM9数字签名和签名认证算法涉及的系统参数,执行参数初始化,参数初始化完成后授权管理中心群组Center将生成的系统参数和系统密钥对发送至各区域群组中。区域群组对应地域学校节点的集合DomainA={School1 A,School2 A,School3 A...Schoolz A},区域群组为组内学校节点生成唯一身份识别信息IDz,在联盟链上部署访问控制智能合约Contracta
区域群组内访问控制流程包括区域群组内注册和区域群组内认证两部分。
图6为本发明一实施例中区域群组内注册流程和区域群组内认证访问流程的实现流程示意图,如图6上半部分所示,区域群组内注册流程方法包括以下步骤:
步骤1
Figure BDA0003563139940000131
学校
Figure BDA0003563139940000132
向云平台服务器Platform发起身份证书Certz的注册申请,注册请求信息包括学校
Figure BDA0003563139940000133
的Messagez和IDz
步骤2Platform:audit(Messagez)
Platform收到请求后,对学校的详细信息Messagez进行审批。
步骤3Platform→Center:request(Messagez,IDz,reg)
审核通过后Platform向授权管理中心群组Center发起身份证书Certz的签发请求,请求信息包括学校
Figure BDA0003563139940000134
的Messagez和IDz
步骤4Center:Contracta:create(Certz)
Center收到请求后,调用智能合约Contracta为学校
Figure BDA0003563139940000135
生成身份证书Certz,并计算证书的哈希值Hash(Certz)。
步骤5Center:transaction(IDz,Hash(Certz),auth)
Center将新注册的学校身份证书信息(学校身份ID、证书哈希值和证书状态)记录至Center群组的链上。
步骤6Center→DomainA:transaction(IDz,Hash(Certz),auth)
Center向区域A群组DomainA发起共识上链请求,将新注册的学校信息(包括学校身份ID、证书哈希值和证书状态)记录至DomainA群组的链上。
步骤7Center→Platform:response(Certz,Psign-pri-z)
上链完成后,Center为生成学校
Figure BDA0003563139940000136
的SM9签名密钥Psign-pri-z,并将身份证书Certz和密钥Psign-pri-z返回并保存至云平台服务器中,身份注册完成。
如图6下半部分所示,区域群组内认证访问流程方法包括以下步骤:
步骤1
Figure BDA0003563139940000137
学校
Figure BDA0003563139940000138
向云平台服务器Platform发起访问隶群组内资源的请求,请求信息包括
Figure BDA0003563139940000139
的IDz和访问的具体行为信息Action。
步骤2Platform→DomainA:request(Sign(Certz),IDz,acc)
Platform依据IDz查询并获取身份证书Certz,向群组DomainA请求学校
Figure BDA00035631399400001310
的身份认证,请求信息包括签名证书Sign(Certz)和IDz
步骤3DomainA:Contracta:verify(Certz)
DomainA收到请求后,首先对Sign(Certz)解签名并计算Hash(Certz)’,其次调用智能合约Contracta查询
Figure BDA00035631399400001311
的链上授权信息并进行验证,将链上查询的Hash(Certz)和访问者Hash(Certz)’作比较,若数值相等,则继续判断链上证书状态Status(Certz)是否为‘auth’,若均满足条件则身份认证成功。若数值不等或证书状态为‘revoke’,则访问者身份认证失败。
步骤4DomainA→Platform:response(Resultverify)
DomainA对将
Figure BDA0003563139940000141
的身份认证结果反馈至Platform。
步骤5Platform→DomainA:transaction(IDz,Action)
Platform根据认证结果进行判断,若认证成功,则Center向DomainA发起共识上链请求,将
Figure BDA0003563139940000142
的访问行为信息(包括学校ID和具体访问行为信息Action)记录至DomainA群组的链上。若认证失败,将失败结果反馈至
Figure BDA0003563139940000143
步骤6
Figure BDA0003563139940000144
Platform实施
Figure BDA0003563139940000145
的具体访问请求并予以结果反馈。
图7为本发明一实施例中跨区域群组授权流程和跨区域群组访问控制流程的实现流程示意图,如图7上半部分所示,跨区域群组授权流程方法包括以下步骤:
步骤1
Figure BDA0003563139940000146
学校
Figure BDA0003563139940000147
向云平台服务器Platform发起跨群组访问DomainB的权限申请,请求信息包括学校
Figure BDA0003563139940000148
的IDz和申请的区域群组DomainB
步骤2Platform:audit(IDz,DomainB)
Platform收到请求后,审批学校
Figure BDA0003563139940000149
的权限申请,若审批未通过,将失败结果反馈至学校
Figure BDA00035631399400001410
步骤3Platform→Center:request(IDz,apply,DomainB)
审核通过后Platform向授权管理中心群组Center发起授权上链请求,请求信息包括学校
Figure BDA00035631399400001411
的IDz和申请的区域群组DomainB
步骤4Center:Contracta:auth(Certz)
Center收到请求后,调用智能合约Contracta生成
Figure BDA00035631399400001412
访问DomainB的身份授权信息。
步骤5Center→DomainB:transaction(IDz,Hash(Certz),auth)
Center向DomainB发起共识上链请求,将学校
Figure BDA00035631399400001413
的身份授权信息(学校IDz、证书哈希值和证书状态)记录至DomainB群组的链上。
步骤6Center→DomainA:transaction(IDz,auth,DomainB)
Center向DomainA发起共识上链请求,将学校
Figure BDA00035631399400001414
的授权通过信息(学校IDz、证书状态、授权群组DomainB)记录至DomainA群组的链上。
步骤7
Figure BDA00035631399400001415
Center将授权结果反馈至学校
Figure BDA00035631399400001416
如图7下半部分所示,跨区域群组访问控制流程方法包括以下步骤:
步骤1
Figure BDA00035631399400001417
学校
Figure BDA0003563139940000151
向云平台服务器Platform发起跨群组访问DomainB的请求,请求信息包括
Figure BDA0003563139940000152
的IDz、访问群组DomainB和访问行为信息Action。
步骤2Platform→DomainB:request(Sign(Certz),IDz,acc)
Platform依据IDz查询并获取身份证书Certz,向DomainB请求学校
Figure BDA0003563139940000153
的身份认证,请求信息包括已签名证书Sign(Certz)和IDz
步骤3DomainB:Contracta:verify(Certz)
DomainB收到请求后,首先对Sign(Certz)解签名并计算Hash(Certz)’,其次调用智能合约Contracta查询
Figure BDA0003563139940000154
的链上授权信息并进行验证,将链上查询的Hash(Certz)和访问者Hash(Certz)’作比较,若数值相等,则继续判断链上证书状态Status(Certz)是否为‘auth’,若均满足条件则身份认证成功。若数值不等或证书状态为‘revoke’,则访问者身份认证失败。
步骤4DomainB→Platform:response(Resultverify)
DomainB
Figure BDA0003563139940000155
的身份认证结果反馈至Platform。
步骤5Platform→(DomainB&&DomainA):transaction(IDz,Action)
Platform根据认证结果进行判断,若认证成功,则Center向DomainB发起共识上链请求,将
Figure BDA0003563139940000156
的访问行为信息(包括学校ID和具体访问行为信息Action)分别记录至DomainB和DomainA群组的链上。若认证失败,将失败结果反馈至
Figure BDA0003563139940000157
步骤6
Figure BDA0003563139940000158
Platform实施
Figure BDA0003563139940000159
的具体访问请求并予以结果反馈。
综上所述,本发明所述的一种在线学习平台教学资源共享的访问控制方法,实现了学校资源在区域与区域彼此间进行共享,提升了平台内资源共享的效率。利用联盟链的信息可追溯、防篡改等特性保证了用户访问的安全性和可信性,同时避免了传统的访问控制模型仅依靠单个中心服务器进行权限管理,服务器被攻击或出现故障而导致整个系统瘫痪的风险。还包括联盟链初始化、群组内访问控制流程和跨群组访问控制流程三个基于联盟链的访问控制方案。采用数字证书作为跨群组权限判断的凭证,可以写入更多类型的权限信息,有利于兼容不同区域的权限设置。引用哈希算法,在联盟链上存储权限凭证信息的对应的哈希值,利用哈希算法的不可逆性保证的权限凭证的安全性,单一的哈希数据比权限凭证数据占用空间更小,降低了联盟链各节点的储存负担。采用基于SM9的数字签名和签名认证算法,保证在跨群组访问通信传输中具备更高的安全性。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
本发明中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种在线学习平台教学资源共享的访问控制方法,其特征在于,所述方法用于在包含多个学校节点和多个管理员节点的联盟链网络上运行,其中,各学校节点还组成按照区域划分的多个区域群组,各管理员节点形成授权管理中心群组,所述联盟链网络还连接至少一个平台云服务器用于各学校节点的信息审核和请求认证,所述方法包括:联盟链初始化、区域群组内访问控制流程和跨区域群组访问控制流程;
所述联盟链初始化包括:对各学校节点划分区域群组,由所述授权管理中心群组配置数字签名和签名认证算法涉及的系统参数,对各学校节点配置身份标识,并在所述联盟链网络上部署智能合约;
所述区域群组内访问控制流程是第一指定学校节点对所属的第一指定区域群组进行的访问,包括区域群组内认证访问流程,所述区域群组内认证访问流程包括:
由所述第一指定学校节点向所述平台云服务器发送访问隶群组内资源请求信息,所述访问隶群组内资源请求信息至少包括所述第一指定学校节点ID和访问行为信息;
所述平台云服务器根据所述第一指定学校节点ID查询对应的身份证书,并向所述第一指定区域群组发送身份认证请求信息,所述身份认证请求信息包括所述第一指定学校节点ID及其采用预设签名算法对所述第一指定学校节点的身份证书进行加密得到的第一签名证书;
所述第一指定区域群组根据所述第一签名证书对所述第一指定学校节点进行身份认证,在身份认证成功的情况下,将身份认证结果发送至所述云平台服务器;
所述云平台服务器对所述身份认证结果进行判断,在身份认证成功的情况下,指示所述授权管理中心群组向所述第一指定区域群组发送共识上链请求,将所述第一指定学校节点的访问行为信息记录在所述第一指定区域群组的链上;
所述云平台服务器实施第一指定学校节点的访问行为并进行结果反馈;
所述跨区域群组访问控制流程是第二指定学校节点对非所属的第二指定区域群组进行的访问,包括跨群组认证访问流程,所述跨群组认证访问流程包括:
由所述第二指定学校节点向所述平台云服务器发送对所述第二指定区域群组的跨群组访问请求,所述跨群组访问请求至少包括所述第二指定学校节点的ID、所述第二指定区域群组标识信息以及访问行为信息;
所述平台云服务器根据所述第二指定学校节点ID查询对应的身份证书,并向所述第二指定区域群组发送身份认证请求信息,所述身份认证请求信息包括所述第二指定学校节点ID及其采用预设签名算法对所述第二指定学校节点的身份证书进行加密得到的第二签名证书;
所述第二指定区域群组根据所述第二签名证书对所述第二指定学校节点进行身份认证,在身份认证成功的情况下,将身份认证结果发送至所述云平台服务器;
所述云平台服务器对所述身份认证结果进行判断,在身份认证成功的情况下,指示所述授权管理中心群组向所述第二指定区域群组发送共识上链请求,将所述第二指定学校节点的访问行为信息分别记录在所述第二指定区域群组和所述第二指定学校节点所属的区域群组的链上;
所述云平台服务器实施第二指定学校节点的访问行为并进行结果反馈。
2.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述区域群组内访问控制流程还包括群组内注册流程,以在所述第一指定区域群组内认证访问流程之前对新注册的学校节点签发身份证书,所述群组内注册流程包括:
由新注册的第一指定学校节点向所述平台云服务器发送身份证书注册请求信息,所述身份证书注册请求信息至少包括所述第一指定学校节点的身份标识信息,所述身份标识信息至少包括所述第一指定学校节点的ID和隶属区域;
所述平台云服务器审核所述第一指定学校节点的身份标识信息,并向所述授权管理中心群组发起身份证书签发请求信息,所述身份证书签发请求信息至少包括所述第一指定学校节点的身份标识信息;
所述授权管理中心群组收到所述身份证书签发请求信息后,调用所述智能合约为所述第一指定学校节点生成身份证书并计算得到第一哈希值,由所述授权管理中心群组将所述第一指定学校节点的身份证书及其对应的第一哈希值记录至所述授权管理中心群组的链上;
由所述授权管理中心群组向所述第一指定区域群组发起共识上链请求,将所述第一指定学校节点的身份证书及其对应的第一哈希值记录至所述第一指定区域群组的链上;
由所述授权管理中心群组为所述第一指定学校节点生成签名密钥,并将所述第一指定学校节点的身份证书和签名密钥返回保存至所述云平台服务器中。
3.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述跨区域群组访问控制流程还包括跨群组授权流程,以在所述跨区域群组认证访问流程之前对所述第二指定学校节点跨群组访问所述第二指定区域群组的行为进行授权,所述跨群组授权流程包括:
由所述第二指定学校节点向所述平台云服务器发送跨群组访问权限申请信息,所述跨群组访问权限申请信息至少包括所述第二指定学校节点的ID和申请访问的所述第二指定区域群组的标识信息;
所述平台云服务器审核所述跨群组访问权限申请信息,并向所述授权管理中心群组发送共识上链请求信息,所述共识上链请求信息至少包括所述第二指定学校节点的ID和申请访问的所述第二指定区域群组的标识信息;
所述授权管理中心群组收到所述共识上链请求信息后,调用所述智能合约为所述第二指定学校节点生成身份授权信息,其中,所述身份授权信息至少包括所述第二指定学校节点的ID、所述第二指定学校节点的身份证书及其对应的第二哈希值,所述授权管理中心群组向所述第二指定区域群组发送共识上链请求信息,将所述第二指定学校节点的身份授权信息记录至所述第二指定区域群组的链上;
所述授权管理中心群组向所述第二指定学校节点所属的区域群组发起共识上链请求信息,将所述第二指定学校节点的身份授权信息记录至所述第二指定学校节点所属的区域群组的链上;
所述授权管理中心群组将授权结果反馈至所述第二指定学校节点。
4.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述联盟链初始化中,所述签名认证算法为SM9算法,所述数字签名是基于所述SM9算法产生的。
5.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述区域群组内认证访问流程中,所述第一指定区域群组根据所述第一签名证书对所述第一指定学校节点进行身份认证,还包括:
由所述第一指定区域群组对所述第一签名证书解签名得到所述第一指定学校节点的身份证书,并计算所述第一指定学校节点的身份证书的第三哈希值,调用所述智能合约查询所述第一指定区域群组的链上记载的所述第一哈希值,将所述第一哈希值与所述第三哈希值作比较,在数值相等的情况下判断身份认证成功,由所述第一指定区域群组将身份认证结果发送至所述云平台服务器。
6.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述跨区域群组访问控制流程中,所述第二指定区域群组根据所述第二签名证书对所述第二指定学校节点进行身份认证,还包括:
由所述第二指定区域群组对所述第二签名证书解签名得到所述第二指定学校节点的身份证书,并计算所述第二指定学校节点的身份证书的第四哈希值,调用所述智能合约查询所述第二指定区域群组的链上记载的所述第二指定学校节点的身份证书及其对应的第二哈希值,将所述第二哈希值与所述第四哈希值作比较,在数值相等的情况下判断身份认证成功,由所述第二指定区域群组将身份认证结果发送至所述云平台服务器。
7.根据权利要求2所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述身份证书至少包括版本、序列号、签名算法标识符、证书起止时间、主体名称、主体属性集合、主题唯一表示符号和授权密钥标识符,其中,所述序列号由18位数字随机生成。
8.根据权利要求4所述的在线学习平台教学资源共享的访问控制方法,其特征在于,所述区域群组按照地域或业务类型进行划分。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
CN202210295467.8A 2022-03-24 2022-03-24 一种在线学习平台教学资源共享的访问控制方法及装置 Active CN114760065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210295467.8A CN114760065B (zh) 2022-03-24 2022-03-24 一种在线学习平台教学资源共享的访问控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210295467.8A CN114760065B (zh) 2022-03-24 2022-03-24 一种在线学习平台教学资源共享的访问控制方法及装置

Publications (2)

Publication Number Publication Date
CN114760065A true CN114760065A (zh) 2022-07-15
CN114760065B CN114760065B (zh) 2024-03-19

Family

ID=82327843

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210295467.8A Active CN114760065B (zh) 2022-03-24 2022-03-24 一种在线学习平台教学资源共享的访问控制方法及装置

Country Status (1)

Country Link
CN (1) CN114760065B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115550315A (zh) * 2022-08-10 2022-12-30 北京中关村软件园发展有限责任公司 一种基于下一代互联网的数字化云服务管理方法和系统
CN117113312A (zh) * 2023-10-19 2023-11-24 江西省教育评估监测研究院 一种基于身份基础数据库的身份管理方法及系统
CN117408846A (zh) * 2023-12-14 2024-01-16 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117749526A (zh) * 2024-02-06 2024-03-22 成都工业学院 一种基于云计算的教育资源共享方法及系统
CN117749526B (zh) * 2024-02-06 2024-05-28 成都工业学院 一种基于云计算的教育资源共享方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108876669A (zh) * 2018-05-28 2018-11-23 浙江大学 应用于多平台教育资源共享的课程公证系统及方法
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
US20190312877A1 (en) * 2016-12-23 2019-10-10 Cloudminds (Shenzhen) Robotics Systems Co., Ltd. Block chain mining method, device, and node apparatus
US20190363889A1 (en) * 2016-12-16 2019-11-28 Visa International Service Association System and method for securely processing an electronic identity
WO2020140931A1 (zh) * 2019-01-03 2020-07-09 菜鸟智能物流控股有限公司 区块链的访问控制方法和装置以及电子设备
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统
CN113660206A (zh) * 2021-07-12 2021-11-16 北京理工大学 一种基于联盟链和多重签名的跨组织访问控制方法
EP3913886A1 (de) * 2020-05-14 2021-11-24 Bundesdruckerei GmbH Ausstellen digitaler dokumente mit einer blockchain
CN113783696A (zh) * 2021-08-14 2021-12-10 西安电子科技大学 物联网感知数据共享交易平台、控制方法、设备、终端

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190363889A1 (en) * 2016-12-16 2019-11-28 Visa International Service Association System and method for securely processing an electronic identity
US20190312877A1 (en) * 2016-12-23 2019-10-10 Cloudminds (Shenzhen) Robotics Systems Co., Ltd. Block chain mining method, device, and node apparatus
CN108876669A (zh) * 2018-05-28 2018-11-23 浙江大学 应用于多平台教育资源共享的课程公证系统及方法
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
WO2020140931A1 (zh) * 2019-01-03 2020-07-09 菜鸟智能物流控股有限公司 区块链的访问控制方法和装置以及电子设备
EP3913886A1 (de) * 2020-05-14 2021-11-24 Bundesdruckerei GmbH Ausstellen digitaler dokumente mit einer blockchain
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统
CN113660206A (zh) * 2021-07-12 2021-11-16 北京理工大学 一种基于联盟链和多重签名的跨组织访问控制方法
CN113783696A (zh) * 2021-08-14 2021-12-10 西安电子科技大学 物联网感知数据共享交易平台、控制方法、设备、终端

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
曾志峰: "区块链在教育领域中的技术应用", 《中国科技信息》, no. 15 *
梁青青;张刚要;: "融入课程质量的在线学习成果认证区块链模型及实现机理研究", 电化教育研究, no. 04 *
胡莹;李志宏;刘杰容;: "基于区块链技术的学历学位证书认证设计", 广州大学学报(自然科学版), no. 04 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115550315A (zh) * 2022-08-10 2022-12-30 北京中关村软件园发展有限责任公司 一种基于下一代互联网的数字化云服务管理方法和系统
CN115550315B (zh) * 2022-08-10 2023-08-29 北京中关村软件园发展有限责任公司 一种基于下一代互联网的数字化云服务管理方法和系统
CN117113312A (zh) * 2023-10-19 2023-11-24 江西省教育评估监测研究院 一种基于身份基础数据库的身份管理方法及系统
CN117113312B (zh) * 2023-10-19 2024-01-16 江西省教育评估监测研究院 一种基于身份基础数据库的身份管理方法及系统
CN117408846A (zh) * 2023-12-14 2024-01-16 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117408846B (zh) * 2023-12-14 2024-03-01 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117749526A (zh) * 2024-02-06 2024-03-22 成都工业学院 一种基于云计算的教育资源共享方法及系统
CN117749526B (zh) * 2024-02-06 2024-05-28 成都工业学院 一种基于云计算的教育资源共享方法及系统

Also Published As

Publication number Publication date
CN114760065B (zh) 2024-03-19

Similar Documents

Publication Publication Date Title
CN108768988B (zh) 区块链访问控制方法、设备及计算机可读存储介质
JP6154413B2 (ja) ルート証明書の無効化
US11711222B1 (en) Systems and methods for providing authentication to a plurality of devices
CN108964885B (zh) 鉴权方法、装置、系统和存储介质
CN109963282B (zh) 在ip支持的无线传感网络中的隐私保护访问控制方法
US7600123B2 (en) Certificate registration after issuance for secure communication
US10567370B2 (en) Certificate authority
CN114186248B (zh) 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法
US7526649B2 (en) Session key exchange
CN114760065B (zh) 一种在线学习平台教学资源共享的访问控制方法及装置
CN105915338B (zh) 生成密钥的方法和系统
CN106790261B (zh) 分布式文件系统及用于其中节点间认证通信的方法
CN103856478A (zh) 一种可信网络的证书签发、认证方法及相应的设备
CN112528250A (zh) 通过区块链实现数据隐私和数字身份的系统及方法
CN113507458A (zh) 一种基于区块链的跨域身份认证方法
CN109391617B (zh) 一种基于区块链的网络设备配置管理方法及客户端
EP2608477A1 (en) Trusted certificate authority to create certificates based on capabilities of processes
US11228450B2 (en) Method and apparatus for performing multi-party secure computing based-on issuing certificate
WO2020020008A1 (zh) 一种鉴权方法及鉴权系统
CN115694838A (zh) 基于可验证凭证与零知识证明的匿名可信访问控制方法
Larsen et al. Direct anonymous attestation on the road: Efficient and privacy-preserving revocation in c-its
CN115174091A (zh) 一种面向分布式数字身份的同态加密隐私保护方法
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN114697061A (zh) 接入控制方法、装置、网络侧设备、终端及区块链节点

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant