CN115314248B - 基于区块链的节点分层访问控制方法 - Google Patents

基于区块链的节点分层访问控制方法 Download PDF

Info

Publication number
CN115314248B
CN115314248B CN202210782283.4A CN202210782283A CN115314248B CN 115314248 B CN115314248 B CN 115314248B CN 202210782283 A CN202210782283 A CN 202210782283A CN 115314248 B CN115314248 B CN 115314248B
Authority
CN
China
Prior art keywords
network
node
voter
attribute
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210782283.4A
Other languages
English (en)
Other versions
CN115314248A (zh
Inventor
盖珂珂
卫亦航
祝烈煌
徐蕾
蒋芃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Publication of CN115314248A publication Critical patent/CN115314248A/zh
Application granted granted Critical
Publication of CN115314248B publication Critical patent/CN115314248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于区块链的节点分层访问控制方法,属于区块链系统安全提升技术领域。本发明的一种基于区块链的节点分层访问控制方法,基于入网访问控制、区块链账本、网络管理员、属性服务器、投票者节点、投票者权重、共识机制、网络管理员等待决策时间阈值以及网络活跃度实现;通过网络管理员及节点注册、发送入网请求、分发入网请求、获取节点属性、属性验证及决策,实现网络节点的入网控制。本发明的一种基于区块链的节点分层访问控制方法,发送的一切数据为加密数据,保证在属性传输及验证过程中的数据安全性;能够动态调整投票者权重的评估,具有良好的可靠性;能够抵御女巫攻击,具有良好的安全性;数据存储成本及通讯成本低。

Description

基于区块链的节点分层访问控制方法
技术领域
本发明涉及一种基于区块链的节点分层访问控制方法,属于区块链系统安全提升技术领域。
背景技术
互联网中的实体数量和连接密度已达到空前的高度,这使得横跨于不同设备的交互操作安全性变得愈发重要;但是,由于系统和互连设备的高度异构性和动态变化性,保证交互操作安全性存在许多挑战;使用区块链,如通过加强访问控制,能够提升互操作场景支持可信度和安全性。
目前,利用区块链强化互联网的访问控制有诸多优势:
首先,利用区块链能够更好地进行网络自治化管理,区块链技术由于其去中心化架构,能够实现网络去中心化,简化网络管理,提升网络性能;
其次,需要进行授权才能进入的联盟区块链还能够实现无需第三方背书的节点身份验证,对互不信任的网络实体间进行安全、有效的访问控制管理;
最后,区块链还能够用于互联网的无线波段管理,目前已有多个基于区块链的波段访问协议与方案被提出。
但是,基于区块链的网络访问控制仍存在诸多问题:存储在公共区块链上的数据能够提供给所有参与者节点使用,而底层区块链容易受到来自恶意节点的阴谋或女巫攻击;此外,在基于区块链的网络中验证交易所需的哈希能力会对安全性产生不利影响。
发明内容
本发明的目的在于针对现有访问控制存在的挑战,提出一种基于区块链的节点分层访问控制方法。
本发明的目的是通过以下技术方案实现的:
本发明的一种基于区块链的节点分层访问控制方法,包括:入网访问控制、区块链账本、网络管理员、属性服务器、投票者节点、投票者权重、共识机制、网络管理员等待决策时间阈值以及网络活跃度;
所述入网访问控制,是对网络节点在加入网络前进行的一系列节点身份验证和匹配过程;
所述区块链账本,用于实现和存储入网访问控制结果的基础设施,是集合点对点传输、共识机制以及密码算法的分布式数据库;
所述网络管理员,管理整个网络的节点,负责节点注册、请求分发以及结果反馈;
所述属性服务器,用于打破区块链存储瓶颈,将数据量较大的给节点属性数据进行存储的服务器,优选云服务器;
进一步的,所述属性服务器的数量根据使用场景确定,每个属性服务器存储一种节点的属性数据;
所述投票者节点,是在当某一节点发送入网请求后,已经加入网络中,并基于网络管理员分发的请求信息进行属性匹配和验证的节点;
所述投票者权重,由网络管理员依据投票者节点属性优异程度分配的投票者节点在进行最终验证过程中具备的权重;
所述共识机制,是在区块链网络中,通过投票者节点的投票在短期内完成对交易的验证和确认;
所述网络管理员等待决策时间阈值,是网络管理员等待各投票者节点进行属性匹配过程结果的最长等待时间;
进一步的,所述网络管理员等待决策时间阈值由使用者确定;
所述网络活跃度,是在一次入网访问控制中,进行属性验证并向网络管理员反馈结果的投票者节点占总投票者节点数量的比值;
更进一步的,本发明的一种基于区块链的节点分层访问控制方法,包括:网络管理员及节点注册、发送入网请求、分发入网请求、获取节点属性、属性验证及决策,具体包括以下步骤:
步骤1、系统初始化,具体包括以下子步骤:
步骤1.1网络管理员以及节点注册:
网络管理员通过选择特定随机数,采用非对称加密方法生成公私钥对,并基于此公私钥对生成网络管理员的数字签名及证书;
节点在初次进入系统时,需要在系统中注册,注册过程中,网络管理员会为节点分配公私钥对,并将节点的属性值记录在属性服务器中,以供后续使用;
步骤1.2合约部署与实例化:
在网络管理员成功初始化后,网络管理员将合约部署并实例化,包括:请求分发合约以及验证合约;
步骤2、发送入网请求:
当已注册的节点欲加入网络时,用自己节点的属性值以及节点的公私钥对产生的数字签名构造入网请求,入网请求中包含已注册的节点的数字签名以及加密后的已注册的节点当前属性值,入网请求发送给网络管理员;
步骤3、分发入网请求:
网络管理员在接收到已注册的节点发送的入网请求后,网络管理员对已注册节点的入网请求的格式正确性以及合法性进行验证,网络管理员验证通过后,网络管理员将加密后的入网请求分发给各投票者节点,并附上网络管理员的数字签名;
其中,入网请求的合法性包括:数字签名合法性以及时效合法性;
步骤4、获取节点属性:
投票者节点在收到网络管理员分发的加密后的入网请求并验证通过后,根据加密后的入网请求中已注册的节点的属性值,向属性服务器获取已注册的节点的属性信息,并验证属性值信息是否与入网请求所给信息匹配,并将匹配结果发送给网络管理员,具体包括以下子步骤:
步骤4.1投票者节点根据入网请求中包含的已注册的节点数字签名,向属性服务器发送属性获取请求;
其中,属性获取请求包含:投票者节点自身的数字签名及证书哈希值、待验证节点的数字签名以及时间戳;
步骤4.2属性服务器在接收到投票者节点发送的属性获取请求后,对属性获取请求进行格式验证以及合法性验证;
其中,属性获取请求的合法性验证包括:数字签名及证书合法性以及时效合法性;
步骤5、属性验证及决策:
网络管理员在收到所有投票者节点验证信息或等待时间达到网络管理员等待决策时间阈值后,将根据各投票者节点的属性优异程度为投票者节点分配投票者权重,并形成网络分层投票者节点结构,基于网络分层投票者节点结构,网络管理员将根据分配的投票者权重和属性验证结果对待入网节点的准入结果形成最终决策,具体包括以下子步骤:
步骤5.1发送属性验证结果:
各投票者节点将自身的决策结果以消息的形式发送给网络管理员;
步骤5.2确定投票者权重:
网络管理员根据各投票者节点的属性优异程度和使用者预先确定的投票者权重分配方法为投票者节点分配投票者权重;
步骤5.3投票者权重发送:
网络管理员确定投票者权重后,将所有投票者节点的投票者权重结果广播给各投票者节点;
步骤5.4投票者节点分层:
各投票者节点基于分配的投票者权重形成网络分层投票者节点结构;
步骤5.5共识形成:
网络管理员将验证当前网络活跃度,当网络活跃度达到网络活跃度阈值时将不同意入网的投票者节点的投票者权重进行累加,若其和超过网络管理员等待决策时间阈值,则不允许已注册的节点加入网络,否则将允许该已注册的节点加入网络。
有益效果:
1、本发明的一种基于区块链的节点分层访问控制方法,发送的一切数据为加密数据,所使用的加解密方法动态变化,使用者根据不同需求选取适合的加解密方法,保证在属性传输及验证过程中的数据安全性;
2、本发明的一种基于区块链的节点分层访问控制方法,对于投票者节点的性能衡量将涉及到延迟、安全性以及能耗三个方面,使用者针对不同的访问控制需求灵活地对投票者权重的评估做动态调整,具有良好的可靠性;
3、本发明的一种基于区块链的节点分层访问控制方法,依据投票者节点性能的优异程度为投票者节点确定不同的投票者权重,避免联盟链中的恶意组织或机构使用大量低成本恶意节点对投票共识结果的影响,能够抵御女巫攻击,具有良好的安全性;
4、本发明的一种基于区块链的节点分层访问控制方法,整体步骤中所传递的数字签名、属性集合、属性类型、时间戳均不超过1kb,且在每个步骤中,待验证节点、投票者节点以及网络管理员之间的通讯最多为1次,数据存储成本及通讯成本低,耗时短、效率高。
附图说明
图1是为本发明一种基于区块链的节点分层访问控制方法流程图。
具体实施方式
为了更好的说明本发明的目的和优点,下面结合附图和实例对发明内容做进一步说明。
实施例1:
实施例是应用本发明的一种基于区块链的节点分层访问控制方法实现对边缘计算场景的入网控制,解决边缘计算网络中存在的边缘设备高度异构问题、边缘设备所属机构或企业垄断或作恶问题。
实施例中,节点为边缘计算网络中具有的边缘设备,数量为150,且分别属于6个不同的机构;每个边缘设备进行抽象后具有3种属性,分别为设备类型、CPU属性以及GPU属性;
其中设备类型以及CPU属性不可为空。
如附图1所示,应用本发明的一种基于区块链的节点分层访问控制方法实现对边缘计算场景的入网控制,包括:入网访问控制、区块链账本、网络管理员、属性服务器、投票者节点、投票者权重、共识机制、网络管理员等待决策时间阈值以及网络活跃度;
入网访问控制,是对网络节点在加入网络前进行的一系列节点身份验证和匹配过程;
区块链账本,用于实现和存储入网访问控制结果的基础设施,是集合点对点传输、共识机制以及密码算法的分布式数据库;
网络管理员,管理整个网络的节点,负责节点注册、请求分发以及结果反馈;
属性服务器,用于打破区块链存储瓶颈,将数据量较大的给节点属性数据进行存储的服务器;
实施例中,采用三台云服务器作为属性服务器,每个属性服务器存储一种边缘设备的属性数据,每个属性服务器保存注册成功的边缘设备的证书,用于进行属性传递以及身份验证,每个属性服务器具备数据处理能力;
投票者节点,是在当某一节点发送入网请求后,已经加入网络中,并基于网络管理员分发的请求信息进行属性匹配和验证的节点;
投票者权重,由网络管理员依据投票者节点属性优异程度分配的投票者节点在进行最终验证过程中具备的权重;
共识机制,在区块链网络中通过投票者节点的投票在短期内完成对交易的验证和确认;
网络管理员等待决策时间阈值,是网络管理员等待各投票者节点进行属性匹配过程结果的最长等待时间;
进一步的,网络管理员等待决策时间阈值由使用者确定;
实施例中,网络管理员等待决策时间阈值为15.37秒;
网络活跃度,是在一次入网访问控制中,进行属性验证并向网络管理员反馈结果的投票者节点占总投票者节点数量的比值;
实施例中,网络活跃度的阈值为边缘设备总数的66%,即99;
更进一步的,如附图1所示,应用本发明的一种基于区块链的节点分层访问控制方法,实现对边缘计算场景的入网控制,包括:网络管理员及节点注册、发送入网请求、分发入网请求、获取节点属性、属性验证及决策,具体包括以下步骤:
步骤1、系统初始化,具体包括以下子步骤:
步骤1.1网络管理员以及节点注册:
网络管理员通过选择特定随机数,采用非对称加密方法生成公私钥对,并基于此公私钥对生成网络管理员的数字签名及证书;
节点在初次进入系统时,需要在系统中注册,注册过程中,网络管理员会为节点分配公私钥对,并将节点的属性值记录在属性服务器中,以供后续使用;
实施例中,当边缘设备作为节点在初次进入边缘计算网络时,需要在边缘计算网络中注册,注册过程中,边缘设备发送注册请求(A,T);
其中,A为边缘设备的属性集合,T为时间戳;
网络管路员在收到注册请求后,将边缘设备的属性集合A发进行拆解,并分析边缘设备的属性类型,并根据边缘设备的属性类型将边缘设备的属性数据发送给各属性服务器,属性服务器在收到边缘设备的属性数据并验证后向网络管理员发送属性服务器反馈(a,Atype,Addr);
其中,a为边缘设备的属性数据,Atype为边缘设备的属性类型,Addr为属性服务器的地址;
在成功传入属性服务器后,网络管理员为边缘设备分配公私钥对及以及证书,并将证书发送给属性服务器;
步骤1.2合约部署与实例化:
在网络管理员成功初始化后,网络管理员将合约部署并实例化,包括:请求分发合约以及验证合约;
步骤2、发送入网请求:
当已注册的节点欲加入网络时,用自己节点的属性值以及节点的公私钥对产生的数字签名构造入网请求,入网请求中包含节点的数字签名以及加密后的节点当前属性值,入网请求发送给网络管理员;
实施例中,已注册的边缘设备请求加入到边缘计算网络时,向网络管理员发送入网请求R(A,Sig,T,H(A,Sig,T));
其中,H(A,Sig,T)为入网请求的整体哈希值,Sig为请求入网的边缘设备的数字签名;
实施例中,已注册的边缘设备将加密后的入网请求EUski(A,Sig,T,H(A,Sig,T))发送给网络管理员,网络管理员利用已注册的边缘设备的公私钥对,通过解密DUpki(EUski(A,Sig,T,H(A,Sig,T)))获得边缘设备的入网请求R(A,Sig,T,H(A,Sig,T));
步骤3、分发入网请求:
网络管理员在接收到已注册的边缘设备的入网请求后,网络管理员已注册的边缘设备的入网请求的格式正确性以及合法性进行验证,网络管理员验证通过后,网络管理员将加密后的入网请求EUski分发给各投票者节点,并附上网络管理员的数字签名;
其中,已注册的边缘设备入网请求的合法性包括:数字签名合法性以及时效合法性;
步骤4、获取节点属性:
投票者节点在收到网络管理员分发的加密后的入网请求并验证通过后,根据加密后的入网请求中已注册的边缘设备的属性值,向属性服务器获取已注册的边缘设备的属性数据,并验证已注册的边缘设备的属性值数据是否与入网请求中已注册的边缘设备的属性值匹配,并将匹配结果发送给网络管理员,具体包括以下子步骤:
步骤4.1投票者节点根据入网请求中包含的节点数字签名,向属性服务器发送属性获取请求;
其中,属性获取请求包含:投票者节点自身的数字签名及证书哈希值、待验证边缘设备的数字签名以及时间戳;
步骤4.2属性服务器在接收到投票者节点发送的属性获取请求后,对属性获取请求进行格式验证以及合法性验证;
其中,属性获取请求的合法性验证包括:数字签名合法性、证书合法性以及时效合法性;
实施例中,属性服务器将边缘设备的属性数据(T,SigAS,a,Atype,Sig,H(T,SigAS,a,Atype,Sig))发送给投票者节点;
其中,SigAS为属性服务器的数字签名,H(T,SigAS,a,Atype,Sig)为属性获取请求的整体哈希值;
并调用属性验证合约对属性获取请求中包含内容及其哈希值H进行匹配验证、时间戳进行时效验证、属性服务器的数字签名进行合法验证;
步骤5、属性验证及决策:
网络管理员在收到所有投票者节点验证信息或等待时间达到网络管理员等待决策时间阈值后,将根据各投票者节点的属性优异程度为投票者节点分配投票者权重,并形成网络分层投票者节点结构,基于网络分层投票者节点结构,网络管理员将根据分配的投票者权重和属性验证结果对待入网节点的准入结果形成最终决策,具体包括以下子步骤:
步骤5.1发送属性验证结果:
各投票者节点将自身的决策结果以消息的形式发送给网络管理员;
实施例中,完成属性验证后,各投票者节点将自身的决策结果(R,Sigvoter)发送给网络管理员;
其中,R为决策结果,Sigvoter为投票者节点的数字签名;
步骤5.2确定投票者权重:
网络管理员根据各投票者节点的属性优异程度和使用者预先确定的投票者权重分配方法为投票者节点分配投票者权重;
步骤5.3投票者权重发送:
网络管理员确定投票者权重后,将所有投票者节点的投票者权重结果广播给各投票者节点;
步骤5.4投票者节点分层:
各投票者节点基于分配的投票者权重形成网络分层投票者节点结构;
步骤5.5共识形成:
网络管理员将验证当前网络活跃度L,网络活跃度为参与属性验证并投票的投票者节点数量,当网络活跃度达到使用者确定的网络活跃度阈值时将不同意待加入节点加入网络;之后,网络管理员将投票者节点的投票者权重进行累加,若投票者权重的累加值W超过网络管理员所确定的权重阈值T,则不允许待加入节点加入网络,否则将允许该节点加入网络;
实施例中,网络管理员收到各个投票者节点的反馈后,首先从投票者节点的决策集D中提取每个投票者节点的签名,并验证投票者节点签名正确性,若存在投票者节点签名验证不通过的情况,则拒绝边缘设备加入网络;若所有投票者节点签名验证通过,网络管理员将验证当前网络活跃度L,并在网络管理员确定投票者权重后,确定投票者权重的累加值,当网络活跃度小于使用者确定的网络活跃度阈值或投票者权重的累加值超过拒绝入网请求的投票者权重阈值T时,拒绝边缘设备加入网络,否则,允许边缘设备加入网络;
当1-2个机构使用低成本、多数量的边缘设备作为恶意边缘设备进行恶意投票,故意拒绝入网请求时,在不同的恶意边缘设备占比下,本发明方法与基于遗传算法的权重确定方法、基于线性规划的权重确定方法正确执行访问控制的概率的对比结果如表1所示:
表1不同恶意边缘设备比率下系统正确执行访问控制的概率(%)
恶意边缘设备比率(%) 25 30 35 40 45 50
本发明方法 100 100 97 95 93 89
基于遗传算法的权重确定方法 97 90 77 66 58 49
基于线性规划的权重确定方法 90 75 66 55 50 40
不使用任何方法 26 25 21 20 15 10
如表1所示,在不同的恶意边缘设备占比下,本发明方法都要优于基于遗传算法的权重确定方法、基于线性规划的权重确定方法,在恶意边缘设备占比50%的情况下,本发明方法正确执行访问控制的概率都接近90%,鲁棒性以及安全性好;
在访问控制任务量为100时,不同边缘设备数量下本发明方法的运行时间如表2所示:
表2时间消耗随边缘设备数量变化(100任务量)
边缘设备数量 250 260 270 280 290 300 310
时间(微秒) 16 16 20 20 22 26 28
边缘设备数量 320 330 340 350 360 370 380
时间(微秒) 28 32 34 36 38 40 42
如表2所示,边缘设备数量的增加对时间消耗影响小,且即使边缘设备数量达到较高的数量时,本发明方法能够在微秒级时间内对入网请求作出相应,本发明方法产生的延迟低、效率高,同时本发明方法需要传输的数据量小,具有高扩展性以及普适性;
实施例是本发明方法在边缘计算网络中的访问控制应用,本发明中的投票者节点权重由投票者节点的性能、安全性及能耗共同确定,并由使用者根据具体场景自由调整,本发明方法适应大多数访问控制的应用场景。
以上所述的具体描述,对发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.基于区块链的节点分层访问控制方法,其特征在于:基于入网访问控制、区块链账本、网络管理员、属性服务器、投票者节点、投票者权重、共识机制、网络管理员等待决策时间阈值以及网络活跃度实现;
入网访问控制,是对网络节点在加入网络前进行的一系列节点身份验证和匹配过程;
区块链账本,是用于实现和存储入网访问控制结果的基础设施,是集合点对点传输、共识机制以及密码算法的分布式数据库;
网络管理员,管理整个网络的节点,负责节点注册、请求分发以及结果反馈;
属性服务器,是用于打破区块链存储瓶颈,将数据量较大的节点属性数据进行存储的服务器;
投票者节点,是在当某一节点发送入网请求后,已经加入网络中,并基于网络管理员分发的请求信息进行属性匹配和验证的节点;
投票者权重,是由网络管理员依据投票者节点属性优异程度分配的投票者节点在进行最终验证过程中具备的权重;
共识机制,是在区块链网络中,通过投票者节点的投票在短期内完成对交易的验证和确认;
网络管理员等待决策时间阈值,是网络管理员等待各投票者节点进行属性匹配过程结果的最长等待时间;
网络活跃度,是在一次入网访问控制中,进行属性验证并向网络管理员反馈结果的投票者节点占总投票者节点数量的比值;
所述基于区块链的节点分层访问控制方法,包括网络管理员及节点注册、发送入网请求、分发入网请求、获取节点属性、属性验证及决策,具体包括以下步骤:
步骤1、系统初始化,具体包括以下子步骤:
步骤1.1网络管理员以及节点注册:
网络管理员通过选择特定随机数,采用非对称加密方法生成公私钥对,并基于此公私钥对生成网络管理员的数字签名及证书;
节点在初次进入系统时,需要在系统中注册,注册过程中,网络管理员会为节点分配公私钥对,并将节点的属性值记录在属性服务器中,以供后续使用;
步骤1.2合约部署与实例化:
在网络管理员成功初始化后,网络管理员将合约部署并实例化,包括:请求分发合约以及验证合约;
步骤2、发送入网请求:
当已注册的节点欲加入网络时,用自己节点的属性值以及节点的公私钥对产生的数字签名构造入网请求,入网请求中包含已注册的节点的数字签名以及加密后的已注册的节点当前属性值,入网请求发送给网络管理员;
步骤3、分发入网请求:
网络管理员在接收到已注册的节点发送的入网请求后,网络管理员对已注册节点的入网请求的格式正确性以及合法性进行验证,网络管理员验证通过后,网络管理员将加密后的入网请求分发给各投票者节点,并附上网络管理员的数字签名;
其中,入网请求的合法性包括:数字签名合法性以及时效合法性;
步骤4、获取节点属性:
投票者节点在收到网络管理员分发的加密后的入网请求并验证通过后,根据加密后的入网请求中已注册的节点的属性值,向属性服务器获取已注册的节点的属性信息,并验证属性值信息是否与入网请求所给信息匹配,并将匹配结果发送给网络管理员,具体包括以下子步骤:
步骤4.1投票者节点根据入网请求中包含的已注册的节点数字签名,向属性服务器发送属性获取请求;
其中,属性获取请求包含:投票者节点自身的数字签名及证书哈希值、待验证节点的数字签名以及时间戳;
步骤4.2属性服务器在接收到投票者节点发送的属性获取请求后,对属性获取请求进行格式验证以及合法性验证;
其中,属性获取请求的合法性验证包括:数字签名及证书合法性以及时效合法性;
步骤5、属性验证及决策:
网络管理员在收到所有投票者节点验证信息或等待时间达到网络管理员等待决策时间阈值后,将根据各投票者节点的属性优异程度为投票者节点分配投票者权重,并形成网络分层投票者节点结构,基于网络分层投票者节点结构,网络管理员将根据分配的投票者权重和属性验证结果对待入网节点的准入结果形成最终决策,具体包括以下子步骤:
步骤5.1发送属性验证结果:
各投票者节点将自身的决策结果以消息的形式发送给网络管理员;
步骤5.2确定投票者权重:
网络管理员根据各投票者节点的属性优异程度和使用者预先确定的投票者权重分配方法为投票者节点分配投票者权重;
步骤5.3投票者权重发送:
网络管理员确定投票者权重后,将所有投票者节点的投票者权重结果广播给各投票者节点;
步骤5.4投票者节点分层:
各投票者节点基于分配的投票者权重形成网络分层投票者节点结构;
步骤5.5共识形成:
网络管理员将验证当前网络活跃度,当网络活跃度达到网络活跃度阈值时将不同意入网的投票者节点的投票者权重进行累加,若其和超过网络管理员等待决策时间阈值,则不允许已注册的节点加入网络,否则将允许该已注册的节点加入网络。
2.如权利要求1的基于区块链的节点分层访问控制方法,其特征在于:属性服务器的数量为一至多个,每个属性服务器存储一种节点的属性数据。
3.如权利要求1的基于区块链的节点分层访问控制方法,其特征在于:网络管理员等待决策时间阈值由使用者确定。
CN202210782283.4A 2021-09-28 2022-06-24 基于区块链的节点分层访问控制方法 Active CN115314248B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2021111427373 2021-09-28
CN202111142737 2021-09-28

Publications (2)

Publication Number Publication Date
CN115314248A CN115314248A (zh) 2022-11-08
CN115314248B true CN115314248B (zh) 2023-11-10

Family

ID=83857004

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210782283.4A Active CN115314248B (zh) 2021-09-28 2022-06-24 基于区块链的节点分层访问控制方法

Country Status (1)

Country Link
CN (1) CN115314248B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450856A (zh) * 2018-10-12 2019-03-08 西安电子科技大学 基于区块链的数据链信息流转控制系统及方法
CN109472593A (zh) * 2018-10-10 2019-03-15 远光软件股份有限公司 一种基于区块链技术的结算方法、装置及区块链网络
CN109934608A (zh) * 2017-12-18 2019-06-25 厦门本能管家科技有限公司 一种区块链共识机制
CN111435239A (zh) * 2019-01-15 2020-07-21 费希尔-罗斯蒙特系统公司 过程控制系统中的分布式账本
CN112104685A (zh) * 2020-03-18 2020-12-18 上海魔橙网络科技有限公司 一种基于区块链的联盟链底层系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190364051A1 (en) * 2018-05-25 2019-11-28 Uptake Technologies, Inc. Organization based access control system
US20210028977A1 (en) * 2019-07-26 2021-01-28 Hewlett Packard Enterprise Development Lp Reduced quorum for a distributed system to provide improved service availability

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109934608A (zh) * 2017-12-18 2019-06-25 厦门本能管家科技有限公司 一种区块链共识机制
CN109472593A (zh) * 2018-10-10 2019-03-15 远光软件股份有限公司 一种基于区块链技术的结算方法、装置及区块链网络
CN109450856A (zh) * 2018-10-12 2019-03-08 西安电子科技大学 基于区块链的数据链信息流转控制系统及方法
CN111435239A (zh) * 2019-01-15 2020-07-21 费希尔-罗斯蒙特系统公司 过程控制系统中的分布式账本
CN112104685A (zh) * 2020-03-18 2020-12-18 上海魔橙网络科技有限公司 一种基于区块链的联盟链底层系统

Also Published As

Publication number Publication date
CN115314248A (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
US11651109B2 (en) Permission management method, permission verification method, and related apparatus
Wang et al. Survey on blockchain for Internet of Things
Zhao et al. Secure pub-sub: Blockchain-based fair payment with reputation for reliable cyber physical systems
CN110289966B (zh) 基于拜占庭容错的抗自适应攻击联盟链共识方法
Luu et al. Scp: A computationally-scalable byzantine consensus protocol for blockchains
US6275859B1 (en) Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority
CN108769230B (zh) 交易数据存储方法、装置、服务器及存储介质
CN111797159A (zh) 数据库中的信息管理和访问控制
Li et al. BCSE: Blockchain-based trusted service evaluation model over big data
CN112600678B (zh) 一种数据处理方法、装置、设备及存储介质
CN113609222A (zh) 区块链网络的证书处理方法、装置、电子设备及存储介质
CN111556120A (zh) 基于区块链的数据处理方法、装置、存储介质及设备
CN110177124A (zh) 基于区块链的身份认证方法及相关设备
CN101193103A (zh) 一种分配和验证身份标识的方法及系统
Bouchaala et al. Enhancing security and efficiency in cloud computing authentication and key agreement scheme based on smart card
CN110990790B (zh) 一种数据处理方法及设备
Li et al. EdgeWatch: Collaborative investigation of data integrity at the edge based on blockchain
CN113919846B (zh) 区块链节点动态分组方法、装置、计算机设备和存储介质
Marson et al. MITOSIS: practically scaling permissioned blockchains
CN115314248B (zh) 基于区块链的节点分层访问控制方法
CN110071966B (zh) 基于云平台的区块链组网及数据处理方法
CN111866181A (zh) 一种基于区块链的雾网络中任务卸载优化方法
Rizwan et al. SAID: ECC-based secure authentication and incentive distribution mechanism for blockchain-enabled data sharing system
Misra et al. Geographic server distribution model for key revocation
KR101028609B1 (ko) 유비쿼터스 환경에서의 다중알에프아이디 관리 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant