CN115022070A - 一种基于属性的区块链数据访问控制方法及系统 - Google Patents
一种基于属性的区块链数据访问控制方法及系统 Download PDFInfo
- Publication number
- CN115022070A CN115022070A CN202210703894.5A CN202210703894A CN115022070A CN 115022070 A CN115022070 A CN 115022070A CN 202210703894 A CN202210703894 A CN 202210703894A CN 115022070 A CN115022070 A CN 115022070A
- Authority
- CN
- China
- Prior art keywords
- data
- contract
- access control
- attribute
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于属性的区块链数据访问控制方法及系统,属于数据访问控制领域,区块链数据访问控制方法包括:数据拥有者向信息合约发送数据资源,向管理合约发送数据资源的访问控制策略;将数据资源和访问控制策略存储至共享存储池中;数据请求者向执行合约发起访问请求;执行合约将访问请求发送至决策合约;决策合约对数据资源的访问控制策略与数据请求者属性进行比对,若比对成功,则执行合约根据访问控制策略将数据资源的访问权限授予数据请求者;数据请求者使用访问权限向执行合约提交访问申请;执行合约根据访问权限将数据资源发送至数据请求者。提高了访问控制过程中权限分配的细粒度及可扩展性,并提高了数据访问的安全性。
Description
技术领域
本发明涉及数据访问控制领域,特别是涉及一种基于属性的区块链数据访问控制方法及系统。
背景技术
随着互联网的不断发展,互联网大数据的隐私保护问题越发的引起更多人的注意。为了充分实现数据的价值,离不开各类分散数据源间的数据流通和相互共享,但是难免会影响原本的数据管理的安全性以及增加数据在分享中的风险。对于数据隐私保护来说,访问控制技术的完善与成熟对其至关重要。访问控制技术是管理系统维护的资源和数据的每个请求,并确定是否准许或拒绝该请求的过程。然而传统的访问控制系统面临访问管理复杂、中心化缺乏可信度等问题,采用不当的访问控制系统可能对个人和企业造成巨大的隐私风险和经济损失。
发明内容
本发明的目的是提供一种基于属性的区块链数据访问控制方法及系统,可提高访问控制过程中权限分配的细粒度及可扩展性,并提高数据访问的安全性。
为实现上述目的,本发明提供了如下方案:
一种基于属性的区块链数据访问控制方法,包括:
通过信息合约接收数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中;
通过管理合约接收数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中;所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性;所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间;
通过执行合约接收数据请求者发起的访问请求;所述访问请求包括数据请求者属性;
通过执行合约将所述访问请求发送至决策合约;
通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若比对不成功,则通过执行合约向所述数据请求者发送访问控制策略比对不成功的信息;
通过执行合约接收所述数据请求者使用所述数据资源的访问权限提交的访问申请;
通过执行合约根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者;所述数据拥有者及所述数据请求者均为区块链中的节点;所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中。
可选地,所述通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,具体包括:
通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过检查合约检查所述数据资源的访问控制策略的完整性;所述检查合约为智能合约,且所述检查合约部署在区块链中;
若访问控制策略完整,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若访问控制策略不完整,则通过执行合约向所述数据请求者发送访问控制策略不完整的信息。
可选地,所述访问请求还包括数据名;
所述通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过检查合约检查所述数据资源的访问控制策略的完整性,具体包括:
通过决策合约根据所述数据名,确定对应的数据资源的访问控制策略集合;
通过决策合约采用匹配靶标的方法在所述访问控制策略集合中查找对应所述数据请求者属性的访问控制策略;
若所述访问控制策略集合中存在对应所述数据请求者属性的访问控制策略,则通过检查合约检查所述数据资源的访问控制策略的完整性,否则通过执行合约向所述数据请求者发送未找到对应的访问控制策略的信息。
可选地,所述基于属性的区块链数据访问控制方法还包括:
通过信息合约接收数据拥有者发送的资源删除指令;所述资源删除指令中包括数据拥有者属性集数据名;
通过信息合约根据资源删除指令将共享存储池中对应的数据资源删除。
可选地,所述管理合约、信息合约、执行合约及决策合约均部署在区块链的超级账本中。
为实现上述目的,本发明还提供了如下方案:
一种基于属性的区块链数据访问控制系统,包括:数据拥有者、数据请求者、管理合约、信息合约、执行合约及决策合约;所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中;所述数据拥有者及所述数据请求者均为区块链中的节点;
所述信息合约用于接收所述数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中;
所述管理合约用于接收所述数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中;所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性;所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间;
所述执行合约用于接收所述数据请求者发起的访问请求,并将所述访问请求发送至决策合约,以及接收所述数据请求者使用数据资源的访问权限提交的访问申请,根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者;所述访问请求包括数据请求者属性;
所述决策合约用于对所述数据资源的访问控制策略与所述数据请求者属性进行比对;
所述执行合约还用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,在数据资源的访问控制策略与所述数据请求者属性比对不成功时,向所述数据请求者发送访问控制策略比对不成功的信息。
可选地,所述基于属性的区块链数据访问控制系统还包括检查合约;所述检查合约为智能合约,且所述检查合约部署在区块链中;
所述检查合约用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,检查所述数据资源的访问控制策略的完整性;
所述执行合约还用于在访问控制策略完整时,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者。
可选地,所述信息合约还用于根据数据拥有者发送的资源删除指令将共享存储池中对应的数据资源删除。
可选地,所述管理合约、信息合约、执行合约及决策合约均部署在区块链的超级账本中。
根据本发明提供的具体实施例,本发明公开了以下技术效果:基于属性的访问控制模型结合区块链技术构建多个智能合约:管理合约、信息合约、执行合约、决策合约,通过合约之间的相互配合,提高了数据访问权限分配的细粒度,通过智能合约本身具备的计算能力增强数据访问控制机制的可扩展性,并提高了数据访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于属性的区块链数据访问控制方法的流程图;
图2为数据访问控制策略的匹配流程图;
图3为数据访问控制方法的执行流程图;
图4为本发明基于属性的区块链数据访问控制方法的一种实例流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于属性的区块链数据访问控制方法及系统,结合基于属性的访问控制模型及区块链技术构建多个智能合约,通过合约之间的相互配合,提高了数据访问权限分配的细粒度,并提高了数据访问的安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,本发明基于属性的区块链数据访问控制方法包括:
S1:通过信息合约接收数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中。
S2:通过管理合约接收数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中。
所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性。所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间。其中,所述数据拥有者属性表示一个数据拥有者的属性,包括唯一用户标识、用户组以及资源标识符。数据请求者属性表示数据请求者的属性,包括唯一标识用户、用户角色、用户组。操作属性表示符合属性匹配的数据请求者可对资源进行的操作,包括读取、写入、删除。环境属性表示访问控制所需的环境属性,环境属性包括:访问控制策略的创建时间、到期时间和允许IP。创建时间晚于到期时间时,该策略无效。允许IP旨在防止网段外的IP地址访问。
将访问控制策略及数据资源上传至区块链,保证数据资源的可靠性及不可篡改性。
S3:通过执行合约接收数据请求者发起的访问请求;所述访问请求包括数据请求者属性。
S4:通过执行合约将所述访问请求发送至决策合约。
S5:通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若比对不成功,则通过执行合约向所述数据请求者发送访问控制策略比对不成功的信息。
S6:通过执行合约接收所述数据请求者使用所述数据资源的访问权限提交的访问申请。
S7:通过执行合约根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者。所述数据拥有者及所述数据请求者均为区块链中的节点。所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中。优选地,所述管理合约、信息合约、执行合约及决策合约均部署在区块链的超级账本中。
当有请求者通过执行合约对数据资源发起访问请求时,决策合约获取数据资源下的访问控制策略以及数据拥有者属性、数据请求者属性、环境属性进行属性比对,若属性比对成功则调用检查合约检查访问控制策略的完整性,检查正确则执行合约接收决策合约的请求结果并将数据访问权限授予数据请求者。当数据请求者使用已获取的数据访问权限向执行合约提交数据访问申请时,执行合约将申请发送至决策合约查找数据请求者的已获取权限列表,通过后则做出响应。
为了进一步提高数据的安全性,步骤S5具体包括:通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过检查合约检查所述数据资源的访问控制策略的完整性;所述检查合约为智能合约,且所述检查合约部署在区块链中。
若访问控制策略完整,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若访问控制策略不完整,则通过执行合约向所述数据请求者发送访问控制策略不完整的信息。
进一步地,所述访问请求还包括数据名。通过决策合约根据所述数据名,确定对应的数据资源的访问控制策略集合。通过决策合约采用匹配靶标的方法在所述访问控制策略集合中查找对应所述数据请求者属性的访问控制策略。若所述访问控制策略集合中存在对应所述数据请求者属性的访问控制策略,则通过检查合约检查所述数据资源的访问控制策略的完整性,否则通过执行合约向所述数据请求者发送未找到对应的访问控制策略的信息。
具体地,由于同一数据资源下可能存在多个由数据拥有者设置的访问控制策略,因此决策合约在接收到匹配访问控制策略需要的参数后,决策合约中使用HyperledgerFabric区块链平台官方提供的GetHistoryForKey函数查找该数据资源下的访问控制策略集合。
决策合约根据数据请求者属性通过匹配靶标的方式在访问控制策略集合中寻找对应的访问控制策略。若寻找到对应的访问控制策略,则进行属性信息匹配计算。否则通知数据请求者未找到其对应的访问控制策略。
数据请求者属性与靶标中的信息若匹配通过,则决策合约判定对当前数据请求者的授权结果为允许,并在访问控制策略的完整性检查结束后,将数据资源授予数据请求者。若比对结果为不相同,则授权结果为拒绝,并返回错误信息。
此外,本发明基于属性的区块链数据访问控制方法还包括:通过信息合约接收数据拥有者发送的资源删除指令;所述资源删除指令中包括数据拥有者属性集数据名。通过信息合约根据资源删除指令将共享存储池中对应的数据资源删除。
本发明针对在大数据平台下的数据发布场景中,数据在进行存储与流转的过程中,会被恶意用户非法访问与窃取,进而对数据恶意散播或者篡改,给整个数据的流通造成严重威胁的问题,参照基于属性的访问控制模型结合区块链技术构建多个智能合约,通过合约之间的相互配合提高数据访问权限分配的细粒度,并将访问策略以智能合约的方式部署在超级账本中,通过智能合约本身具备的计算能力增强数据访问控制机制的可扩展性。
本发明首先设计部署到区块链网络中的访问控制模型,然后再根据访问控制模型生成访问控制策略。访问控制模型由令牌、期限、标签以及请求结果组成。
令牌由数据拥有者提前设置用于对访问控制策略的使用做出限制。数据请求者在申请访问数据权限时若数据未得到令牌信息,则无法通过提前部署在区块链上的智能合约授权决策。
期限由数据拥有者提前设置,以规定数据请求者对该数据的剩余访问时间,到达期限后数据请求者则无法访问该数据,再次访问需重新向数据拥有者申请权限。
标签是在模型策略中通过多个要素的配合,以区分不同请求者对数据资源权限申请的标识,达到正确分配数据访问权限给请求者的目的。标签由数据资源、请求者以及数据名三个要素组成。其中资源定义为数据拥有者为可访问数据设置的权限如数据读取、写入、删除等。
请求结果指当数据请求者的属性满足标签中的属性并且令牌相同,请求结果将为允许,若数据请求者的属性信息未通过检查则请求结果为拒绝,最终将请求结果反馈给数据请求者。如图2所示为数据访问控制策略的匹配流程。
如图3所示,本发明基于属性的区块链数据访问控制系统包括:数据拥有者、数据请求者、管理合约、信息合约、执行合约及决策合约。
所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中。优选地,所述管理合约、信息合约、执行合约、决策合约及检查合约均部署在超级账本中。本发明首先基于属性的访问控制模型框架为区块链设计对应的智能合约。
所述数据拥有者及所述数据请求者均为区块链中的节点。
其中,所述信息合约用于接收所述数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中。具体地,所述信息合约还用于根据数据拥有者发送的资源删除指令将共享存储池中对应的数据资源删除。信息合约主要为数据拥有者提供管理、添加数据资源以及在区块链中注册身份信息。信息合约负责为数据拥有者添加数据访问权限以及删除已上传至区块链网络中的数据资源。
所述管理合约用于接收所述数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中。所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性;所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间。具体地,管理合约主要为数据拥有者提供生成、管理数据资源的访问控制策略,并将同一数据资源下的访问控制策略形成一个信息集。管理合约主要负责将访问控制策略上传到区块链中。在本实施例中,数据资源可为物联网设备。
所述执行合约用于接收所述数据请求者发起的访问请求,并将所述访问请求发送至决策合约,以及接收所述数据请求者使用数据资源的访问权限提交的访问申请,根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者。所述访问请求包括数据请求者属性。
所述决策合约用于对所述数据资源的访问控制策略与所述数据请求者属性进行比对。具体地,决策合约作为基于区块链的访问控制模型中授权与策略判断的关键部分,负责策略判断外还对数据请求者使用数据访问权限时对其进行检查,判断数据请求者是否符合所申请数据的访问控制策略。决策合约还用于查询数据请求者可访问的数据资源。
所述执行合约还用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,在数据资源的访问控制策略与所述数据请求者属性比对不成功时,向所述数据请求者发送访问控制策略比对不成功的信息。
具体地,执行合约的主要功能为接收来自其他合约的相关信息。执行合约还用于确定数据请求者的可访问权限中是否包含该数据资源。
为了进一步提高数据访问的安全性,本发明基于属性的区块链数据访问控制系统还包括检查合约。所述检查合约为智能合约,且所述检查合约部署在区块链中。
所述检查合约用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,检查所述数据资源的访问控制策略的完整性。具体地,检查合约主要负责检查访问控制策略的完整性并将结果反馈给执行合约。检查合约负责为访问控制策略添加标识符与策略密钥,对比密钥并检查访问控制策略的完整性。
所述执行合约还用于在访问控制策略完整时,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者。
图3中,1.1、1.2、1.3表示数据拥有者通过管理合约以及信息合约上传为该数据资源设置的访问控制策略和资源信息,并存储在区块链中。
2.1表示数据请求者需要访问数据资源时通过执行合约发起对该资源的访问请求。
3.1、3.2表示为进行策略比对,决策合约需要获取资源下的访问控制策略与数据请求者的属性信息。
4.1表示决策合约比对数据请求者的属性信息和该资源的访问控制策略中设定的属性信息,若决策结果是允许,则等待检查合约检查访问控制策略的完整性,检查通过后将决策结果发送至执行合约。
5.1、5.2表示执行合约接收决策合约的决策结果,并将访问控制策略中规定的权限返回给数据请求者,数据请求者获得数据资源访问权限。
6.1、6.2、6.3表示数据请求者向执行合约发出使用数据资源访问申请,执行合约将申请转发至决策合约,由决策合约进行计算。决策合约查找数据请求者的已获取数据资源权限列表,确认通过后向执行合约返回确认信息。
为了更好的理解本发明的方案,下面结合具体实例进一步详细描述本发明的技术方案:
如图4所示,首先选择以Linux为内核的Ubuntu操作系统作为底层系统,HyperledgerFabric作为系统的网络层区块链架构。
数据拥有者预先设置该数据资源的访问控制策略以及使用期限,包括数据拥有者属性、数据请求者属性、操作属性以及环境属性。并通过管理合约以及信息合约将设置好的访问控制策略以及数据资源上传至区块链网络,保证信息的可靠性及不可篡改性。
当有数据请求者对数据资源发起访问请求时,首先执行合约查找是否存在该数据资源的访问控制策略集,若区块链中存在该数据资源的访问控制策略集,决策合约获取数据资源下的访问控制策略以及数据拥有者属性、数据请求者属性、环境属性进行属性比对,若属性比对成功则调用检查合约检查访问控制策略的完整性,检查正确则执行合约接收决策合约的请求结果并将数据请求者申请的数据资源权限授予数据请求者。
当数据请求者使用已获取的数据访问权限向执行合约提交访问申请时,执行合约将访问申请发送至决策合约查找数据请求者的已获取数据访问权限列表,通过后则对数据请求做出响应,数据请求者可访问该数据资源。
区块链是基于数字加密货币的技术之上逐渐发展起来的分布式数据库技术,而将区块链技术应用于大数据共享、访问控制机制以及用户数据隐私保护是近几年新的研究方向。区块链旨在作为一个安全的分布式数据库架构,用于存储平台内进行的所有数字资产交易,具有去中心化、拜占庭式容错以及不可篡改的特点,能够在利用时间戳、数字加密、共识机制等技术手段,为解决目前中心化机构存在的高成本、数据存储安全性问题、低效率问题提供了解决方案。区块链的时序数据特点也有很大的应用空间:区块链的链式区块结构在存储数据时因为带有时间戳,从而为数据增加了时间维度,具有极强的可验证性和可追溯性。
本发明结合基于属性的访问控制模型提出一种更加轻量级的区块链数据访问控制方法,不再需要为模型中的每个用户创建访问控制列表,每个设备(数据资源)都可以用一组属性来描述,这些属性由数据拥有者预先定义并由智能合约发布,除非属性信息与访问策略相匹配否则不允许任何用户访问。提高了访问控制模型的权限分配细粒度与可扩展性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种基于属性的区块链数据访问控制方法,其特征在于,所述基于属性的区块链数据访问控制方法包括:
通过信息合约接收数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中;
通过管理合约接收数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中;所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性;所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间;
通过执行合约接收数据请求者发起的访问请求;所述访问请求包括数据请求者属性;
通过执行合约将所述访问请求发送至决策合约;
通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若比对不成功,则通过执行合约向所述数据请求者发送访问控制策略比对不成功的信息;
通过执行合约接收所述数据请求者使用所述数据资源的访问权限提交的访问申请;
通过执行合约根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者;所述数据拥有者及所述数据请求者均为区块链中的节点;所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中。
2.根据权利要求1所述的基于属性的区块链数据访问控制方法,其特征在于,所述通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,具体包括:
通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过检查合约检查所述数据资源的访问控制策略的完整性;所述检查合约为智能合约,且所述检查合约部署在区块链中;
若访问控制策略完整,则通过执行合约根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,若访问控制策略不完整,则通过执行合约向所述数据请求者发送访问控制策略不完整的信息。
3.根据权利要求2所述的基于属性的区块链数据访问控制方法,其特征在于,所述访问请求还包括数据名;
所述通过决策合约对所述数据资源的访问控制策略与所述数据请求者属性进行比对,若比对成功,则通过检查合约检查所述数据资源的访问控制策略的完整性,具体包括:
通过决策合约根据所述数据名,确定对应的数据资源的访问控制策略集合;
通过决策合约采用匹配靶标的方法在所述访问控制策略集合中查找对应所述数据请求者属性的访问控制策略;
若所述访问控制策略集合中存在对应所述数据请求者属性的访问控制策略,则通过检查合约检查所述数据资源的访问控制策略的完整性,否则通过执行合约向所述数据请求者发送未找到对应的访问控制策略的信息。
4.根据权利要求1所述的基于属性的区块链数据访问控制方法,其特征在于,所述基于属性的区块链数据访问控制方法还包括:
通过信息合约接收数据拥有者发送的资源删除指令;所述资源删除指令中包括数据拥有者属性集数据名;
通过信息合约根据资源删除指令将共享存储池中对应的数据资源删除。
5.根据权利要求1所述的基于属性的区块链数据访问控制方法,其特征在于,所述管理合约、信息合约、执行合约及决策合约均部署在区块链的超级账本中。
6.一种基于属性的区块链数据访问控制系统,其特征在于,所述基于属性的区块链数据访问控制系统包括:数据拥有者、数据请求者、管理合约、信息合约、执行合约及决策合约;所述管理合约、信息合约、执行合约及决策合约均为智能合约,且所述管理合约、信息合约、执行合约及决策合约均部署在区块链中;所述数据拥有者及所述数据请求者均为区块链中的节点;
所述信息合约用于接收所述数据拥有者发送的数据资源,并将所述数据资源存储至区块链的共享存储池中;
所述管理合约用于接收所述数据拥有者发送的数据资源的访问控制策略,并将所述访问控制策略存储至区块链的共享存储池中;所述访问控制策略中包括数据拥有者属性、数据请求者属性、操作属性和环境属性;所述操作属性包括对数据资源的读取、写入和/或删除操作;所述环境属性包括访问控制策略的创建时间及到期时间;
所述执行合约用于接收所述数据请求者发起的访问请求,并将所述访问请求发送至决策合约,以及接收所述数据请求者使用数据资源的访问权限提交的访问申请,根据所述访问权限将共享存储池中对应的数据资源发送至所述数据请求者;所述访问请求包括数据请求者属性;
所述决策合约用于对所述数据资源的访问控制策略与所述数据请求者属性进行比对;
所述执行合约还用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者,在数据资源的访问控制策略与所述数据请求者属性比对不成功时,向所述数据请求者发送访问控制策略比对不成功的信息。
7.根据权利要求6所述的基于属性的区块链数据访问控制系统,其特征在于,所述基于属性的区块链数据访问控制系统还包括检查合约;所述检查合约为智能合约,且所述检查合约部署在区块链中;
所述检查合约用于在数据资源的访问控制策略与所述数据请求者属性比对成功后,检查所述数据资源的访问控制策略的完整性;
所述执行合约还用于在访问控制策略完整时,根据所述访问控制策略将所述数据资源的访问权限授予所述数据请求者。
8.根据权利要求6所述的基于属性的区块链数据访问控制系统,其特征在于,所述信息合约还用于根据数据拥有者发送的资源删除指令将共享存储池中对应的数据资源删除。
9.根据权利要求6所述的基于属性的区块链数据访问控制系统,其特征在于,所述管理合约、信息合约、执行合约及决策合约均部署在区块链的超级账本中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210703894.5A CN115022070A (zh) | 2022-06-21 | 2022-06-21 | 一种基于属性的区块链数据访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210703894.5A CN115022070A (zh) | 2022-06-21 | 2022-06-21 | 一种基于属性的区块链数据访问控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115022070A true CN115022070A (zh) | 2022-09-06 |
Family
ID=83076753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210703894.5A Pending CN115022070A (zh) | 2022-06-21 | 2022-06-21 | 一种基于属性的区块链数据访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022070A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115550010A (zh) * | 2022-09-22 | 2022-12-30 | 四川启睿克科技有限公司 | 一种基于区块链的关键环境访问控制方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190268284A1 (en) * | 2016-07-26 | 2019-08-29 | NEC Laboratories Europe GmbH | Method for controlling access to a shared resource |
| CN111709056A (zh) * | 2020-08-24 | 2020-09-25 | 北京邮电大学 | 基于区块链的数据共享方法及系统 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
-
2022
- 2022-06-21 CN CN202210703894.5A patent/CN115022070A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190268284A1 (en) * | 2016-07-26 | 2019-08-29 | NEC Laboratories Europe GmbH | Method for controlling access to a shared resource |
| CN111709056A (zh) * | 2020-08-24 | 2020-09-25 | 北京邮电大学 | 基于区块链的数据共享方法及系统 |
| CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
Non-Patent Citations (1)
| Title |
|---|
| 张江徽: "基于区块链的物联网访问控制系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)2021年第12期》, pages 1 - 3 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115550010A (zh) * | 2022-09-22 | 2022-12-30 | 四川启睿克科技有限公司 | 一种基于区块链的关键环境访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121247A1 (en) | Systems and methods for managing digital identities | |
| US11257073B2 (en) | Systems, methods, and apparatuses for implementing machine learning models for smart contracts using distributed ledger technologies in a cloud based computing environment | |
| EP3864797B1 (en) | Distributed ledger for encrypted digital identity | |
| CA3002235C (en) | Methods and systems for identity creation, verification and management | |
| US20210073806A1 (en) | Data processing system utilising distributed ledger technology | |
| CN104683362B (zh) | 一种细粒度隐私安全的访问控制系统及其访问控制方法 | |
| CN112565453B (zh) | 一种物联网下的区块链访问控制策略模型及策略保护方案 | |
| CN110851796B (zh) | 一种基于区块链智能合约的音乐版权保护系统 | |
| US20190141048A1 (en) | Blockchain identification system | |
| CN102546664A (zh) | 用于分布式文件系统的用户与权限管理方法及系统 | |
| EP3805962B1 (en) | Project-based permission system | |
| CN101677352A (zh) | 文档管理系统、文档制作设备、文档使用管理设备、以及文档管理方法 | |
| CN112364366B (zh) | 基于区块链的联盟数据共享访问控制方法及系统 | |
| Hossan et al. | Securing ride-sharing service using IPFS and hyperledger based on private blockchain | |
| US20240039731A1 (en) | Authenticated Modification of Blockchain-Based Data | |
| CN115022070A (zh) | 一种基于属性的区块链数据访问控制方法及系统 | |
| CN112350863B (zh) | 一种基于交易的去中心化访问控制方法和系统 | |
| Ardina et al. | Design of A blockchain-based employee attendance system | |
| CN116800541A (zh) | 一种航班运行数据分类分级访问控制及访问方法 | |
| Xu et al. | CL‐BC: A Secure Data Storage Model for Social Networks | |
| CN115514536A (zh) | 一种云辅助的物联网环境下可追溯的数据的安全共享方法 | |
| CN110717153B (zh) | 一种权限验证方法和装置 | |
| BR102020009344A2 (pt) | Sistema e método para registro, análise, armazenamento e recuperação de evidências digitais baseados em contratos inteligentes com blockchain para composição de cadeia de custódia digital | |
| Hameed et al. | A Blockchain-based Decentralised and Dynamic Authorisation Scheme for the Internet of Things | |
| JP2002324053A (ja) | 利用権限管理システム、利用権限管理方法および利用権限管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |