CN115277059A - 一种基于区块链的飞机档案权限管理的控制方法 - Google Patents

一种基于区块链的飞机档案权限管理的控制方法 Download PDF

Info

Publication number
CN115277059A
CN115277059A CN202210653772.XA CN202210653772A CN115277059A CN 115277059 A CN115277059 A CN 115277059A CN 202210653772 A CN202210653772 A CN 202210653772A CN 115277059 A CN115277059 A CN 115277059A
Authority
CN
China
Prior art keywords
user
fabric
organizations
identity
airplane
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210653772.XA
Other languages
English (en)
Other versions
CN115277059B (zh
Inventor
刘园
包轩宇
苏申
田志宏
徐光侠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202210653772.XA priority Critical patent/CN115277059B/zh
Publication of CN115277059A publication Critical patent/CN115277059A/zh
Application granted granted Critical
Publication of CN115277059B publication Critical patent/CN115277059B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及互联网技术领域,公开了一种基于区块链的飞机档案权限管理的控制方法,包括以下步骤:S1、登录系统并启动服务器、S2、FabricCA客户端注册引导标识、S3、注册新身份、S4、确认组织、S5、撤销证书和身份。本发明提供的基于区块链的飞机档案权限管理的控制方法,利用区块链技术去中心化、不可篡改性和可追溯性等特性,实现关于飞机档案管理的权限管理控制,监督赋权过程由区块链网络多方参与,基于区块链技术实现关于飞机档案管理的权限管理控制能够解决传统飞机档案管理中出现的安全和信任问题,在一定程度上有效保护数据隐私,用户只能管理属于自己权限的飞机数据,不属于用户权限的数据用户无权查看。

Description

一种基于区块链的飞机档案权限管理的控制方法
技术领域
本发明涉及互联网技术领域,具体为一种基于区块链的飞机档案权限管理的控制方法。
背景技术
区块链技术是当前互联网的前沿技术之一,区块链技术具有分布式去中心化的特点,不需要第三方机构背书;区块链技术通过算法约束节点不法行为,具有不法行为的节点会遭到排斥;同时区块链技术具有不可篡改性和加密安全性,区块链技术采用单向哈希算法结合区块按照时间顺序排序,这使在区块链网络上存在的行为容易被追溯,有效限制节点不法行为。
Hyperledger Fabric是由Linux基金会发起创建的开源区块链分布式账本,它是一个独特的模块化的分布式账本解决方案支撑平台,提供高度的保密性、弹性、灵活性与可扩展性,Hyperledger Fabric是一个开源区块链实现,开发环境建立在VirtualBox虚拟机上,部署环境可以自建网络,部署方式可传统可Docker化,共识达成算法插件化,支持用Go、Java和JavaScript开发智能合约,Hyperledger Fabric目的是支持不同组件的可插入实现并适应经济系统中存在的复杂性,Hyperledger Fabric提出了一个独特的高弹性且可扩展的体系结构,此结构使Fabric区别于其他区块链解决方案。
飞机档案负责记录飞机制造数据等信息,是飞机制造企业管理必不可少的重要组成部分和飞机型号产品制造过程中的重要环节之一,目前传统飞机档案管理工作多是使用纸质资料以文件化的履历本形式进行管理,具有效率低下、数据易丢失和数据管理权限不清晰等缺点,纸质资料数量较大,对其分类工作量较大,同时纸质资料权限管理工作主要依靠人力完成,不同权限用户查询飞机档案信息对应流程较为繁琐复杂。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供一种基于区块链的飞机档案权限管理的控制方法,管理和控制飞机档案负责记录飞机制造数据等信息,其是飞机制造企业管理必不可少的重要组成部分和飞机型号产品制造过程中的重要环节之一,具备能够解决传统飞机档案管理中出现的安全和信任问题、有效保护数据隐私等优点,以解决传统飞机档案管理中出现的控制效率低等问题。
(二)技术方案
为实现上述解决传统飞机档案管理中出现的效率低等问题的目的,本发明提供如下技术方案:
一种基于区块链的飞机档案权限管理的控制方法,包括以下步骤:
S1、登录系统并启动服务器
系统管理员登录系统,Fabric CA服务器自动初始化并启动,其中Fabric CA服务器负责存储身份和证书,在Fabric CA服务器初始化阶段,根据fabric-ca-server-config.yaml配置文件生成ca.certfile和ca.keyfile文件,在fabric-ca-server-config.yaml配置文件中证书签名请求信息包含系统信息:包括服务器所在国家是中国和服务器所在城市为沈阳等,服务器使用ECDSA算法生成密钥,密钥大小设置为256字节,在Fabric CA服务器启动阶段需要配置至少一个预先注册的引导身份以便能够注册和注册其他身份,将tls.enabled设置为真以便使Fabric CA服务器侦听https,这种设置保证FabricCA服务器在启用TLS的情况下启动,能够尽量避免服务器受到可以访问网络流量的攻击者的攻击,通过将配置文件中的registry.maxenrollments值设置为1,即允许对特定注册ID使用一次密码以保证系统安全性。
S2、Fabric CA客户端注册引导标识
为Fabric CA服务器配置一个CA发放证书,管理员在前端页面点击新建用户并发放证书后,Fabric CA客户端注册引导标识,通过Fabric CA客户端与Fabric CA服务器进行交互,通过REST API与Fabric CA服务器进行通信,系统用户在创建相应客户端时需要定义用户ID、用户姓名和密码,通过注册命令将注册证书、自身私钥和公钥存储在Fabric CA客户端的MSP目录的子目录中,其中用户ID由系统自动生成,用户姓名和密码在新建用户时由用户输入,例如用户姓名为张三、密码为123456。
S3、注册新身份
在已经注册引导标识后,方可注册新身份,且在注册新身份时,Fabric CA服务器会进行注册身份类型和注册身份隶属关系等授权检查以确保新身份注册成功,在注册新身份时需要设置hf.Registrar.DelegateRoles存储角色列表,角色列表包括系统管理员、沈飞管理员、军方管理员、沈飞职工和军方职工五种角色,用户可以注册列表中的角色;设置hf.GenCRL属性值为真保证身份能够生成证书撤销列表;设置hf.Revoker属性值为真保证身份能够撤销身份和证书;设置hf.AffiliationMgr属性值为真保证身份能够管理隶属关系,由于Fabric CA使用Viper来读取配置,Viper将映射键视为不区分大小写并始终返回小写值,因此Affiliations配置文件以小写形式存储隶属关系。其中用户角色和部门由用户输入,例如用户角色为沈飞职工,部门为沈飞技术开发部,在新身份注册成功同时将该用户对应证书加入组织MSP文件夹以帮助该用户加入该组织,在加入组织后用户可以对属于自身权限的飞机档案数据进行管理。
S4、确认组织
在确认系统中的参与者是否可以成为一个组织时,需要满足以下标准:(1)对区块链中的数据具有有效性检查的权利;(2)具有独立发展下属成员的权利和资格;(3)对系统的核心业务不可或缺;同时具有以上条件的系统参与者都可以成为系统的组织,参与者成为组织后,会拥有组织编号、域名和证书等信息,负责Channel维护,同时能够通过认证服务器管理组织内部节点,在组织确认后需要确认系统对组织的管理方式,添加或删除组织是重要的管理方式,由于业务变化等原因,区块链系统会通过制定相关规则添加新组织或删除已存在组织,由于Fabric是联盟链,因此在Fabric区块链网络中,如果希望添加新组织或者删除已存在组织则需要所有组织签名进行确认,实际操作中组织使用证书进行签名确认。
S5、撤销证书和身份
在执行撤销证书和身份操作时,撤销证书将使单个证书失效,撤销身份将撤销该身份拥有的所有证书,撤销身份只能撤销与撤销身份的隶属关系相等或前缀为隶属关系的证书或身份,此外,撤销者只能撤销具有在撤销者的hf.Registrar.Roles属性中列出的类型的身份,用户在撤销身份后,Fabric CA服务器从该身份接收到的所有未来请求都将被拒绝,并阻止该身份获得任何新证书,在Fabric CA服务器中撤销证书后需要更新Hyperledger Fabric中的相应MSP,包括Peer的本地MSP以及适当通道配置块中的MSP,通过将PEM编码的证书撤销列表文件必须放在MSP的crls文件夹中,证书撤销列表包含在特定时期内被撤销的所有证书的序列号。
优选的,所述步骤S1中,身份是指区块链网络中每个参与者都具有封装在X.509数字证书的数字身份,身份可以用于确定对于参与者在区块链网络中拥有信息的访问权限、确定对于资源的确切权限和确定权限一些其他属性。
优选的,所述步骤S1中,证书是包含与证书持有者相关的属性的文档,文档中包含用于身份识别的信息,证书授权中心(CA)负责颁发证书,同时证书授权中心能够安全保存私钥等加密信息以保证证书的不可篡改性。
优选的,所述步骤S2中,在这一阶段,用户获取证书,用户拥有进入区块链系统资格,但是由于用户并不属于区块链中的任一组织,因此无法参与区块链网络交易,用户无法在区块链网络中对飞机档案数据进行管理。
优选的,所述步骤S3中,MSP是成员服务提供者,它通过列出成员身份或通过确定哪些是为其成员授权颁发有效身份的CA来识别和接受来自CA所定义的信任域成员,MSP定义受到网络成员信任的组织并在网络中为成员提供一系列角色和权限的机制并可以作为一个可让身份被信任而不需要暴露成员的私钥的机制,MSP出现在区块链网络中两个位置,本地MSP是在参与者节点本地,通道MSP是在通道配置中,两者区别在于其管理范围,在本地还是在通道层面上定义了管理权和参与权。
优选的,所述步骤S3中,组织是Fabric中非常重要的概念,Peer节点和组织是多对多的关系,飞链系统使用Fabric框架,Fabric组织是具有承担数据信用责任的区块链系统参与方,在确定飞链系统参与者后,在参与者中选择组织,不同参与者属于不同组织,组织需要确定管理方式以确保在遇到问题时的协作方式,在飞链系统中区块链共识以组织为单位。因此在Fabric架构中组织规划需要确认组织和确认组织之间管理方式。
优选的,所述步骤S4中,在飞链系统中,所有组织都必须对彼此的业务熟悉才能保证飞机相关数据的安全,因此本发明对组织使用联盟式管理方式,组织负责存储关于组织、组织用户和组织中所有节点的证书,并在后期自行维护证书,使用联盟式管理方式能够保证系统参与组织对等,所有组织能够共同参与联盟链管理。
优选的,所述步骤S4中,Hyperledger Fabric的Channel是两个或多个特定网络成员之间通信的专用“子网”,用于进行私有和机密的交易,Channel具有数据隔离的作用,在飞链系统中,不同的组织加入不同的通道,最后可以实现不同组织的用户可以访问不同的数据,实现了飞机数据的隔离和隐私,提高了飞机数据的安全性,假设Fabric CA客户端注册证书即将到期或已被泄露,可以更新注册证书以保证客户端能够继续正常使用。
(三)有益效果
与现有技术相比,本发明提供的基于区块链的飞机档案权限管理的控制方法,具备以下有益效果:
1、该基于区块链的飞机档案权限管理的控制方法,利用区块链技术去中心化、不可篡改性和可追溯性等特性,实现关于飞机档案管理的权限管理控制,本发明通过签发证书实现赋权过程,通过使指定身份的人或账号具有指定权限并访问指定资源实现访问控制,在赋权同时全过程开启监督权限,监督赋权过程由区块链网络多方参与,基于区块链技术实现关于飞机档案管理的权限管理控制能够解决传统飞机档案管理中出现的安全和信任问题,在一定程度上有效保护数据隐私,用户只能管理属于自己权限的飞机数据,不属于用户权限的数据用户无权查看。
2、该基于区块链的飞机档案权限管理的控制方法,通过飞链系统以提供面向飞机档案管理的权限管理控制的实现方法,系统中存储数据为航空数据,由于部分参数涉密,因此需严格把控访问权限,所有可访问该系统的用户均由管理员统一赋权,系统对系统管理员、沈飞管理员、军方管理员、沈飞职工和军方职工五种具有不同权限的角色用户展示不同的系统界面,并且支持以飞机架次数据为最小访问粒度,为不同职工赋予访问权限,以此保障数据访问可控制性。
附图说明
图1为本发明实施例Channel实现数据隔离图;
图2为本发明实施例组织动态添加时序图;
图3为本发明实施例组织动态删除时序图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
请参阅图1-3,本发明提供的基于区块链的飞机档案权限管理的控制方法,其包括以下步骤:
S1、登录系统并启动服务器
系统管理员登录系统,Fabric CA服务器自动初始化并启动,其中Fabric CA服务器负责存储身份和证书,在Fabric CA服务器初始化阶段,根据fabric-ca-server-config.yaml配置文件生成ca.certfile和ca.keyfile文件,在fabric-ca-server-config.yaml配置文件中证书签名请求信息包含系统信息:包括服务器所在国家是中国和服务器所在城市为沈阳等,服务器使用ECDSA算法生成密钥,密钥大小设置为256字节,在Fabric CA服务器启动阶段需要配置至少一个预先注册的引导身份以便能够注册和注册其他身份,将tls.enabled设置为真以便使Fabric CA服务器侦听https,这种设置保证FabricCA服务器在启用TLS的情况下启动,能够尽量避免服务器受到可以访问网络流量的攻击者的攻击,通过将配置文件中的registry.maxenrollments值设置为1,即允许对特定注册ID使用一次密码以保证系统安全性;
身份是指区块链网络中每个参与者都具有封装在X.509数字证书的数字身份,身份可以用于确定对于参与者在区块链网络中拥有信息的访问权限、确定对于资源的确切权限和确定权限一些其他属性;
证书是包含与证书持有者相关的属性的文档,文档中包含用于身份识别的信息,证书授权中心(CA)负责颁发证书,同时证书授权中心能够安全保存私钥等加密信息以保证证书的不可篡改性。
S2、Fabric CA客户端注册引导标识
为Fabric CA服务器配置一个CA发放证书,管理员在前端页面点击新建用户并发放证书后,Fabric CA客户端注册引导标识,通过Fabric CA客户端与Fabric CA服务器进行交互,通过REST API与Fabric CA服务器进行通信,系统用户在创建相应客户端时需要定义用户ID,用户姓名和密码,通过注册命令将注册证书、自身私钥和公钥存储在Fabric CA客户端的MSP目录的子目录中,其中用户ID由系统自动生成,用户姓名和密码在新建用户时由用户输入,例如用户姓名为张三、密码为123456;
在这一阶段,用户获取证书,用户拥有进入区块链系统资格,但是由于用户并不属于区块链中的任一组织,因此无法参与区块链网络交易,用户无法在区块链网络中对飞机档案数据进行管理。
S3、注册新身份
在已经注册引导标识后,方可注册新身份,且在注册新身份时,Fabric CA服务器会进行注册身份类型和注册身份隶属关系等授权检查以确保新身份注册成功,在注册新身份时需要设置hf.Registrar.DelegateRoles存储角色列表,角色列表包括系统管理员、沈飞管理员、军方管理员、沈飞职工和军方职工五种角色,用户可以注册列表中的角色;设置hf.GenCRL属性值为真保证身份能够生成证书撤销列表;设置hf.Revoker属性值为真保证身份能够撤销身份和证书;设置hf.AffiliationMgr属性值为真保证身份能够管理隶属关系,由于Fabric CA使用Viper来读取配置,Viper将映射键视为不区分大小写并始终返回小写值,因此Affiliations配置文件以小写形式存储隶属关系。其中用户角色和部门由用户输入,例如用户角色为沈飞职工,部门为沈飞技术开发部,在新身份注册成功同时将该用户对应证书加入组织MSP文件夹以帮助该用户加入该组织,在加入组织后用户可以对属于自身权限的飞机档案数据进行管理;
MSP是成员服务提供者,它通过列出成员身份或通过确定哪些是为其成员授权颁发有效身份的CA来识别和接受来自CA所定义的信任域成员,MSP定义受到网络成员信任的组织并在网络中为成员提供一系列角色和权限的机制并可以作为一个可让身份被信任而不需要暴露成员的私钥的机制,MSP出现在区块链网络中两个位置,本地MSP是在参与者节点本地,通道MSP是在通道配置中,两者区别在于其管理范围,在本地还是在通道层面上定义了管理权和参与权,组织是Fabric中非常重要的概念,Peer节点和组织是多对多的关系,飞链系统使用Fabric框架,Fabric组织是具有承担数据信用责任的区块链系统参与方,在确定飞链系统参与者后,在参与者中选择组织,不同参与者属于不同组织,组织需要确定管理方式以确保在遇到问题时的协作方式,在飞链系统中区块链共识以组织为单位。因此在Fabric架构中组织规划需要确认组织和确认组织之间管理方式。
S4、确认组织
在确认系统中的参与者是否可以成为一个组织时,需要满足以下标准:(1)对区块链中的数据具有有效性检查的权利;(2)具有独立发展下属成员的权利和资格;(3)对系统的核心业务不可或缺;同时具有以上条件的系统参与者都可以成为系统的组织,参与者成为组织后,会拥有组织编号、域名和证书等信息,负责Channel维护,同时能够通过认证服务器管理组织内部节点,在组织确认后需要确认系统对组织的管理方式,添加或删除组织是重要的管理方式,由于业务变化等原因,区块链系统会通过制定相关规则添加新组织或删除已存在组织,由于Fabric是联盟链,因此在Fabric区块链网络中,如果希望添加新组织或者删除已存在组织则需要所有组织签名进行确认,实际操作中组织使用证书进行签名确认;
在飞链系统中,所有组织都必须对彼此的业务熟悉才能保证飞机相关数据的安全,因此本发明对组织使用联盟式管理方式,组织负责存储关于组织、组织用户和组织中所有节点的证书,并在后期自行维护证书,使用联盟式管理方式能够保证系统参与组织对等,所有组织能够共同参与联盟链管理;
Hyperledger Fabric的Channel是两个或多个特定网络成员之间通信的专用“子网”,用于进行私有和机密的交易,Channel具有数据隔离的作用,在飞链系统中,不同的组织加入不同的通道,最后可以实现不同组织的用户可以访问不同的数据,实现了飞机数据的隔离和隐私,提高了飞机数据的安全性,假设Fabric CA客户端注册证书即将到期或已被泄露,可以更新注册证书以保证客户端能够继续正常使用。
S5、撤销证书和身份
在执行撤销证书和身份操作时,撤销证书将使单个证书失效,撤销身份将撤销该身份拥有的所有证书,撤销身份只能撤销与撤销身份的隶属关系相等或前缀为隶属关系的证书或身份,此外,撤销者只能撤销具有在撤销者的hf.Registrar.Roles属性中列出的类型的身份,用户在撤销身份后,Fabric CA服务器从该身份接收到的所有未来请求都将被拒绝,并阻止该身份获得任何新证书,在Fabric CA服务器中撤销证书后需要更新Hyperledger Fabric中的相应MSP,包括Peer的本地MSP以及适当通道配置块中的MSP,通过将PEM编码的证书撤销列表文件必须放在MSP的crls文件夹中,证书撤销列表包含在特定时期内被撤销的所有证书的序列。
本发明上述实施例提供的基于区块链的飞机档案权限管理的控制方法,利用区块链技术去中心化、不可篡改性和可追溯性等特性,实现关于飞机档案管理的权限管理控制,监督赋权过程由区块链网络多方参与,基于区块链技术实现关于飞机档案管理的权限管理控制能够解决传统飞机档案管理中出现的安全和信任问题,在一定程度上有效保护数据隐私,用户只能管理属于自己权限的飞机数据,不属于用户权限的数据用户无权查看。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (8)

1.一种基于区块链的飞机档案权限管理的控制方法,其特征在于,包括以下步骤:
S1、登录系统并启动服务器
系统管理员登录系统,Fabric CA服务器自动初始化并启动,其中Fabric CA服务器负责存储身份和证书,在Fabric CA服务器初始化阶段,根据fabric-ca-server-config.yaml配置文件生成ca.certfile和ca.keyfile文件,在fabric-ca-server-config.yaml配置文件中证书签名请求信息包含系统信息:包括服务器所在国家是中国和服务器所在城市为沈阳等,服务器使用ECDSA算法生成密钥,密钥大小设置为256字节,在Fabric CA服务器启动阶段需要配置至少一个预先注册的引导身份以便能够注册和注册其他身份,将tls.enabled设置为真以便使Fabric CA服务器侦听https,这种设置保证Fabric CA服务器在启用TLS的情况下启动,能够尽量避免服务器受到可以访问网络流量的攻击者的攻击,通过将配置文件中的registry.maxenrollments值设置为1,即允许对特定注册ID使用一次密码以保证系统安全性;
S2、Fabric CA客户端注册引导标识
为Fabric CA服务器配置一个CA发放证书,管理员在前端页面点击新建用户并发放证书后,Fabric CA客户端注册引导标识,通过Fabric CA客户端与Fabric CA服务器进行交互,通过REST API与Fabric CA服务器进行通信,系统用户在创建相应客户端时需要定义用户ID、用户姓名和密码,通过注册命令将注册证书、自身私钥和公钥存储在Fabric CA客户端的MSP目录的子目录中,其中用户ID由系统自动生成,用户姓名和密码在新建用户时由用户输入;
S3、注册新身份
在已经注册引导标识后,方可注册新身份,且在注册新身份时,Fabric CA服务器会进行注册身份类型和注册身份隶属关系等授权检查以确保新身份注册成功,在注册新身份时需要设置hf.Registrar.DelegateRoles存储角色列表,角色列表包括系统管理员、沈飞管理员、军方管理员、沈飞职工和军方职工五种角色,用户可以注册列表中的角色;设置hf.GenCRL属性值为真保证身份能够生成证书撤销列表;设置hf.Revoker属性值为真保证身份能够撤销身份和证书;设置hf.AffiliationMgr属性值为真保证身份能够管理隶属关系,由于Fabric CA使用Viper来读取配置,Viper将映射键视为不区分大小写并始终返回小写值,因此Affiliations配置文件以小写形式存储隶属关系。其中用户角色和部门由用户输入,例如用户角色为沈飞职工,部门为沈飞技术开发部,在新身份注册成功同时将该用户对应证书加入组织MSP文件夹以帮助该用户加入该组织,在加入组织后用户可以对属于自身权限的飞机档案数据进行管理;
S4、确认组织
在确认系统中的参与者是否可以成为一个组织时,需要满足以下标准:(1)对区块链中的数据具有有效性检查的权利;(2)具有独立发展下属成员的权利和资格;(3)对系统的核心业务不可或缺;同时具有以上条件的系统参与者都可以成为系统的组织,参与者成为组织后,会拥有组织编号、域名和证书等信息,负责Channel维护,同时能够通过认证服务器管理组织内部节点,在组织确认后需要确认系统对组织的管理方式,添加或删除组织是重要的管理方式,由于业务变化等原因,区块链系统会通过制定相关规则添加新组织或删除已存在组织,由于Fabric是联盟链,因此在Fabric区块链网络中,如果希望添加新组织或者删除已存在组织则需要所有组织签名进行确认,实际操作中组织使用证书进行签名确认;
S5、撤销证书和身份
在执行撤销证书和身份操作时,撤销证书将使单个证书失效,撤销身份将撤销该身份拥有的所有证书,撤销身份只能撤销与撤销身份的隶属关系相等或前缀为隶属关系的证书或身份,此外,撤销者只能撤销具有在撤销者的hf.Registrar.Roles属性中列出的类型的身份,用户在撤销身份后,Fabric CA服务器从该身份接收到的所有未来请求都将被拒绝,并阻止该身份获得任何新证书,在Fabric CA服务器中撤销证书后需要更新HyperledgerFabric中的相应MSP,包括Peer的本地MSP以及适当通道配置块中的MSP,通过将PEM编码的证书撤销列表文件必须放在MSP的crls文件夹中,证书撤销列表包含在特定时期内被撤销的所有证书的序列号。
2.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S1中,身份是指区块链网络中每个参与者都具有封装在X.509数字证书的数字身份,身份用于确定对于参与者在区块链网络中拥有信息的访问权限、确定对于资源的确切权限和确定权限一些其他属性。
3.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S1中,证书是包含与证书持有者相关的属性的文档,文档中包含用于身份识别的信息,证书授权中心(CA)负责颁发证书,同时证书授权中心能够安全保存私钥等加密信息以保证证书的不可篡改性。
4.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S2中,在这一阶段,用户获取证书,用户拥有进入区块链系统资格,但是由于用户并不属于区块链中的任一组织,因此无法参与区块链网络交易,用户无法在区块链网络中对飞机档案数据进行管理。
5.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S3中,MSP是成员服务提供者,它通过列出成员身份或通过确定哪些是为其成员授权颁发有效身份的CA来识别和接受来自CA所定义的信任域成员,MSP定义受到网络成员信任的组织并在网络中为成员提供一系列角色和权限的机制并可以作为一个可让身份被信任而不需要暴露成员的私钥的机制,MSP出现在区块链网络中两个位置,本地MSP是在参与者节点本地,通道MSP是在通道配置中,两者区别在于其管理范围,在本地还是在通道层面上定义了管理权和参与权。
6.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S3中,组织是Fabric中非常重要的概念,Peer节点和组织是多对多的关系,飞链系统使用Fabric框架,Fabric组织是具有承担数据信用责任的区块链系统参与方,在确定飞链系统参与者后,在参与者中选择组织,不同参与者属于不同组织,组织需要确定管理方式以确保在遇到问题时的协作方式,在飞链系统中区块链共识以组织为单位。因此在Fabric架构中组织规划需要确认组织和确认组织之间管理方式。
7.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S4中,在飞链系统中,所有组织都必须对彼此的业务熟悉才能保证飞机相关数据的安全,因此本发明对组织使用联盟式管理方式,组织负责存储关于组织、组织用户和组织中所有节点的证书,并在后期自行维护证书,使用联盟式管理方式能够保证系统参与组织对等,所有组织能够共同参与联盟链管理。
8.根据权利要求1所述的基于区块链的飞机档案权限管理的控制方法,其特征在于,所述步骤S4中,Hyperledger Fabric的Channel是两个或多个特定网络成员之间通信的专用“子网”,用于进行私有和机密的交易,Channel具有数据隔离的作用,在飞链系统中,不同的组织加入不同的通道,最后可以实现不同组织的用户可以访问不同的数据,实现了飞机数据的隔离和隐私,提高了飞机数据的安全性,假设Fabric CA客户端注册证书即将到期或已被泄露,则更新注册证书以保证客户端能够继续正常使用。
CN202210653772.XA 2022-06-10 2022-06-10 一种基于区块链的飞机档案权限管理的控制方法 Active CN115277059B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210653772.XA CN115277059B (zh) 2022-06-10 2022-06-10 一种基于区块链的飞机档案权限管理的控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210653772.XA CN115277059B (zh) 2022-06-10 2022-06-10 一种基于区块链的飞机档案权限管理的控制方法

Publications (2)

Publication Number Publication Date
CN115277059A true CN115277059A (zh) 2022-11-01
CN115277059B CN115277059B (zh) 2023-05-12

Family

ID=83760377

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210653772.XA Active CN115277059B (zh) 2022-06-10 2022-06-10 一种基于区块链的飞机档案权限管理的控制方法

Country Status (1)

Country Link
CN (1) CN115277059B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117349895A (zh) * 2023-12-05 2024-01-05 北京极致车网科技有限公司 基于区块链的汽车金融数字档案管理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540198A (zh) * 2018-02-01 2018-09-14 北京航空航天大学 基于区块链技术的民航飞行数据防篡改记录方法及装置
CN112671580A (zh) * 2020-12-23 2021-04-16 厦门大学 一种基于区块链技术的qar数据管理方法
CN113807700A (zh) * 2021-09-18 2021-12-17 厦门大学 基于区块链的飞机在翼指挥调度发布、接收方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540198A (zh) * 2018-02-01 2018-09-14 北京航空航天大学 基于区块链技术的民航飞行数据防篡改记录方法及装置
CN112671580A (zh) * 2020-12-23 2021-04-16 厦门大学 一种基于区块链技术的qar数据管理方法
CN113807700A (zh) * 2021-09-18 2021-12-17 厦门大学 基于区块链的飞机在翼指挥调度发布、接收方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117349895A (zh) * 2023-12-05 2024-01-05 北京极致车网科技有限公司 基于区块链的汽车金融数字档案管理方法及装置
CN117349895B (zh) * 2023-12-05 2024-03-01 北京极致车网科技有限公司 基于区块链的汽车金融数字档案管理方法及装置

Also Published As

Publication number Publication date
CN115277059B (zh) 2023-05-12

Similar Documents

Publication Publication Date Title
CN112311530B (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN108270780B (zh) 一种异构网络环境多中心数字身份管理方法
CN108768988B (zh) 区块链访问控制方法、设备及计算机可读存储介质
US7316027B2 (en) Techniques for dynamically establishing and managing trust relationships
US7367044B2 (en) System and method for network operation
US20110167483A1 (en) Role-based access control utilizing token profiles having predefined roles
CN112199726A (zh) 一种基于区块链的联盟信任分布式身份认证方法及系统
US20070101400A1 (en) Method of providing secure access to computer resources
US8095960B2 (en) Secure synchronization and sharing of secrets
CN111049835B (zh) 分布式公共证书服务网络的统一身份管理系统
EP1943769A1 (en) Method of providing secure access to computer resources
Abraham et al. Revocable and offline-verifiable self-sovereign identities
CN113824563B (zh) 一种基于区块链证书的跨域身份认证方法
US20080072282A1 (en) Intelligent overlay for providing secure, dynamic communication between points in a network
Mell et al. Smart contract federated identity management without third party authentication services
Yakubov et al. BlockPGP: A blockchain-based framework for PGP key servers
Blum et al. E2e encryption for zoom meetings
CN115277059A (zh) 一种基于区块链的飞机档案权限管理的控制方法
CN111953491B (zh) 一种基于SSH Certificate和LDAP两步鉴权审计方法
CN112039910B (zh) 一种认证与权限的统一管理的方法、系统、设备及介质
Dumas et al. LocalPKI: An interoperable and IoT friendly PKI
CN110945833A (zh) 一种用于多模标识网络隐私保护与身份管理的方法及系统
CN114679473A (zh) 基于分布式数字身份的金融账户治理系统及方法
CN114422189A (zh) 一种基于区块链技术的园区安防管理系统及方法
Ahn et al. Secure information sharing using role-based delegation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant