CN115426136A

CN115426136A - 基于区块链的跨域访问控制方法及系统

Info

Publication number: CN115426136A
Application number: CN202210969950.XA
Authority: CN
Inventors: 刘敖迪; 杜学绘; 王娜; 谭铭; 尚思远; 王潇涵; 韩旺达; 单棣斌; 杨钱涛
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2022-08-12
Filing date: 2022-08-12
Publication date: 2022-12-02
Anticipated expiration: 2042-08-12
Also published as: CN115426136B

Abstract

本发明属于数据跨域安全共享技术领域，特别涉及一种基于区块链的跨域访问控制方法及系统，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP‑ABE属性基加密算法对对称密钥进行属性基加密，将相关密文上传至区块链网络，以智能合约形式分布式存储有关访问控制信息；当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，进而获取相关数据资源。本发明兼顾数据安全性与应用成本，在实现跨域数据资源细粒度访问控制的前提下，能够提高数据资源的共享效率。

Description

基于区块链的跨域访问控制方法及系统

技术领域

本发明属于数据跨域安全共享技术领域，特别涉及一种基于区块链的跨域访问控制方法及系统。

背景技术

数据资源在不同安全域之间的流通共享已成为当前互联网发展的趋势，但人们在利用数据资源所创造的巨大价值的同时，也面临着实际应用问题与严峻的安全挑战。一方面，在大数据环境下，数据资源所具有的海量性、动态性、多样性等特点使得数据流通与共享更加复杂，传统的访问控制技术难以满足安全性与可用性的要求；另一方面，在数据的流通和共享过程中，原有的数据安全责权边界会变得模糊，权限管理中存在主体权限控制不足、责任划分不清、权限控制的灵活性与扩展性较差等问题，使得数据资源被非授权使用的风险不断升高。因此，建立安全可控的跨域数据资源流通、共享机制，实现用户对敏感数据资源的“受控访问”，已经成为数据跨域共享所面临的核心问题。如何设计出面向开放大数据环境的访问控制方法已成为数据资源跨域共享领域的当务之急。

发明内容

为此，本发明提供一种基于区块链的跨域访问控制方法及系统，兼顾数据安全性与应用成本的同时，在实现跨域数据资源细粒度访问控制的前提下，通过区块链技术来提高数据资源的共享效率，具有较高的可扩展性，便于实际场景应用。

按照本发明所提供的设计方案，提供一种基于区块链的跨域访问控制方法，包含如下内容：

设置信任锚用户，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；

利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP-ABE属性基加密算法对对称密钥进行属性基加密，将对称加密密文及属性基加密密文上传至区块链网络，在区块链网络中以智能合约形式约定分布式存储有关访问控制信息；

当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，依据策略明文来获取目标数据域中的数据资源。

作为本发明中基于区块链的跨域访问控制方法，进一步地，针对可信用户所在数据域的客体资源，将上传访问控制策略的执行用户作为当前数据域资源权限管理者，将该资源权限管理者作为当前数据域中参与联盟链网络维护和共识的信任锚用户，各数据域之间的信任锚用户之间通过共识机制进行互相监督。

作为本发明中基于区块链的跨域访问控制方法，进一步地，生成对称密钥密文及属性基加密密文中，首先，生成用户及对称密钥的属性集合及访问结构；然后，利用，并依据设置参数Setup算法生成公钥参数和主密钥，其中，设置参数至少包含安全参数、属性空间大小及用户空间大小；接着，依据主密钥及访问结构并利用KeyGen算法生成用户私钥；最后，利用SM4加密算法及对称密钥对访问控制策略进行加密，生成对称密钥密文，并利用Encrypt算法对公钥参数、对称密钥及访问结构进行加密生成属性基加密密文，将对称密钥密文及属性基加密密文进行连接，以策略集的形式上传至区块链网络。

作为本发明中基于区块链的跨域访问控制方法，进一步，在区块链网络中以信任锚管理合约、用户管理合约、策略存储合约及权限判决合约来约定存储有关访问控制信息，其中，信任锚管理合约为信任锚用户提供注册和查看的接口函数，并采用预设数据结构来存储信任锚用户主体信息；用户管理合约为用户提供注册和查看的接口函数并利用预设数据结构存储用户主体信息；策略存储合约为信任锚用户提供存储和查看策略的接口函数，利用预设数据结构存储策略信息；权限判决合约用于依据主体及客体属性来判断当前主体属性的用户是否具备权限访问文本资源。

作为本发明基于区块链的跨域访问控制方法，进一步地，信任锚管理合约中，针对发出加入联盟链请求的信任锚用户，设置联盟链中2/3以上的信任锚成员同意后，再在联盟链中进行该发出加入联盟链请求的信任锚用户的数字身份注册。

作为本发明基于区块链的跨域访问控制方法，进一步地，信任锚用户注册流程包含如下内容：首先，发出加入联盟链请求的信任锚用户在本地安全环境中生成一对公私密钥，本地秘密存储私钥；然后，通过调用信任锚管理合约将生成的公钥及相关身份注册信息上传存储至区块链中仅能被信任锚成员查看的安全数据结构中进行存储，联盟链中其他成员查看该数据结构中的注册请求，若认定可以注册，则在信任锚管理合约中保存该参与方的公钥信息，并为该参与方生成唯一的ID、在信任锚管理合约中存储其相应的身份信息，完成信任锚的数字身份注册过程。

作为本发明基于区块链的跨域访问控制方法，进一步地，针对信任锚的私钥泄露和丢失情形，信任锚用户通过安全信道将重新注册信息发送给联盟链内其他信任锚成员，并在本地安全环境中重新生成一对公私密钥，重新注册数字身份，达到注册条件后，在信任锚管理合约中更新该信任锚用户的身份信息。

作为本发明基于区块链的跨域访问控制方法，进一步地，用户管理合约中，利用可信属性授权机构来维护用户身份及属性信息，并基于用户管理合约实现用户向可信属性授权机构申请用户私钥和属性私钥。

作为本发明基于区块链的跨域访问控制方法，进一步地，权限判决合约中，允许客体资源在满足相似度策略阈值时进行逻辑策略判决，且逻辑策略默认禁止所有主体访问资源，每一条策略内容由策略主键、主体属性、主体属性值、客体属性及客体属性值组成的属性元素表示，以实现依据主体属性和客体属性来寻找策略对应的主体属性允许访问的客体属性。

进一步地，本发明还提供一种基于区块链的跨域访问控制系统，包含：数据处理模块、加密上传模块和数据获取模块，其中，

数据处理模块，用于通过设置信任锚用户，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；

加密上传模块，用于利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP-ABE属性基加密算法对对称密钥进行属性基加密，将对称加密密文及属性基加密密文上传至区块链网络，在区块链网络中以智能合约形式约定分布式存储有关访问控制信息；

数据获取模块，用于当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，依据策略明文来获取目标数据域中的数据资源。

本发明的有益效果：

本发明采用无中心模式数据跨域共享方案，以ABAC为基础，将策略、属性等相应参数存储至区块链，实现权限管理与访问控制高效化、细粒度化；针对域间信任问题，利用基于SM4和CP-ABE的域间策略隐私保护方案，能够对存储在区块链上不同域的策略进行封装加密，保证未建立信任关系的域无法相互获取策略，实现了区块链上域间策略信息的隐私保护；针对数据资源跨域访问控制成本高、访问控制判决过程不透明的问题，在区块链中以智能合约的形式约定存储和判决函数，实现属性、策略的可信存储和可信判决，实现跨域权限信息的分布式管理与授权，，具有良好的安全性和可行性，可以用于各类数据资源的跨域安全共享的访问控制与授权，有利保障数据共享的安全性与有效性，具有广阔的应用场景。

附图说明：

图1为实施例中基于区块链的跨域访问控制流程示意；

图2为实施例中系统模型示意；

图3为实施例中ABE机制框架示意；

图4为实施例中合约架构示意；

图5为实施例中用户向AA申请用户私钥示意；

图6为实施例中策略集数据结构示意；

图7为实施例中权限判决流程示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

随着通信技术、网络技术和信息技术的广泛应用，逐渐形成了具有开放性、移动性、异构性、多安全域并存等诸多特性的复杂网络环境。在复杂网络环境中存在大量拥有自己独立数据库与信息系统的安全域，如政务系统、银行系统、医疗系统等。同时，由于云计算、大数据等新型计算范式的快速发展，数据共享与利用的效率也得到了极大地提高，不同安全域之间的数据资源共享已成为常态，并由此创造出巨大价值。在大数据环境下，针对海量数据的共享需求，信息系统可采用无中心模式实现数据共享，能够解决传统资源共享方案中对身份认证、共享数据的安全性及数据的访问控制考虑不足的问题。本发明实施例，参见图1所示，提供一种基于区块链的跨域访问控制方法，包含：

S101、设置信任锚用户，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；

S102、利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP-ABE属性基加密算法对对称密钥进行属性基加密，将对称加密密文及属性基加密密文上传至区块链网络，在区块链网络中以智能合约形式约定分布式存储有关访问控制信息；

S103、当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，依据策略明文来获取目标数据域中的数据资源。

在多机构的分布式环境下，数据资源的跨域访问控制关键在于访问控制权限的安全管理和灵活快速授权。针对数据资源跨域访问控制困难的问题，本案实施例中，基于区块链的跨域访问控制机制，并利用基于属性的访问控制(Attribute based access control,ABAC)模型来实现设计简洁、明确的策略语言，以对访问控制策略进行形式化描述，能够满足动态权限管理以及细粒度访问控制的要求；结合区块链防篡改性与SM4+CP-ABE加密算法，实现权限信息的可信存储与信任域间策略隐私共享技术，具有良好的安全性和可行性，可用于各类数据资源的跨域安全共享的访问控制与授权，有利保障数据共享的安全性与有效性，具有广阔的应用场景。

作为优选实施例，进一步地，针对可信用户所在数据域的客体资源，将上传访问控制策略的执行用户作为当前数据域资源权限管理者，将该资源权限管理者作为当前数据域中参与联盟链网络维护和共识的信任锚用户，各数据域之间的信任锚用户之间通过共识机制进行互相监督。

参见图2所示，信任锚作为安全域中资源权限的管理者，参与系统联盟链网络的维护与共识，各安全域的信任锚之间通过共识机制或者其它规则相互监督，故各安全域提供的主体属性也是安全的(不会越权)、可信的。本案实施例中，将信任锚归为可信用户，针对其所在安全域的客体资源，将策略上传的执行用户作为信任锚，其信任锚身份认证标识包含在用户注册的属性证书中。信任锚针对安全域的数据资源制定相应的访问控制策略后，采用基于SM4和CP-ABE的信任域间策略隐私共享技术，利用国密SM4加密算法与CP-ABE属性基加密算法相结合的方式，对策略内容进行对称加密，对对称密钥进行属性基加密，最后将对称密钥密文与策略密文上传至区块链网络。采用两种加密算法相结合的混合加密模式，提高信任域间的策略管理效率，在保证策略存储在区块链的同时，只可被拥有相应属性的用户主体查看到明文，实现了策略在信任的域间的安全共享，同时也提高了策略的加解密效率。

作为优选实施例，进一步地，生成对称密钥密文及属性基加密密文中，首先，生成用户及对称密钥的属性集合及访问结构；然后，利用，并依据设置参数Setup算法生成公钥参数和主密钥，其中，设置参数至少包含安全参数、属性空间大小及用户空间大小；接着，依据主密钥及访问结构并利用KeyGen算法生成用户私钥；最后，利用SM4加密算法及对称密钥对访问控制策略进行加密，生成对称密钥密文，并利用Encrypt算法对公钥参数、对称密钥及访问结构进行加密生成属性基加密密文，将对称密钥密文及属性基加密密文进行连接，以策略集的形式上传至区块链网络。

属性基加密算法在具体实现过程中可分为准备阶段与执行阶段两个部分，算法框架如图3所示。

(1)准备阶段：

Step1：AA生成、存储、管理访问控制所需的属性集合与访问结构；

Step2：AA为Authority提供属性集合及访问结构；

Step3：Authority根据属性及访问结构生成加解密所需密钥。

(2)执行阶段：

Step1：数据资源根据访问控制策略请求加密密钥；

Step2：Authority返回加密密钥，对资源进行加密；

Step3：用户根据属性请求解密密钥；

Step4：Authority返回解密密钥；

Step5：用户请求对资源进行解密并申请访问；

Step6：解密成功并返回相应资源。

基本ABE算法、KP-ABE算法、CP-ABE算法在复杂性假设、策略灵活性和适用范围方面有着明显的差别。基本ABE和KP-ABE均采取DBDH假设，而CP-ABE采取一般群模型。基本ABE仅表示门限策略，适用于对策略要求简单的应用。KP-ABE和CP-ABE机制支持复杂策略，适用于细粒度数据共享的应用。KP-ABE机制中，用户规定对接收消息的要求，而发送方仅能使用属性对数据进行描述，无法设定相应的访问控制策略，因此对其数据的控制较弱，故KP-ABE机制适用于查询类的应用，如付费电视系统、视频点播系统、数据库访问等；而CP-ABE机制中，发送方自由度较高，可以根据相应的安全需求规定访问密文的策略，故CP-ABE适合访问控制类应用，如社交网站的访问、电子医疗系统等。由于CP-ABE机制数据发送方制定访问策略的特点，本案实施例中，选择CP-ABE机制构建云环境中数据安全共享方案。方案涉及的相关参数及其含义可如表1所示。

表1 CP-ABE算法符号说明

基本ABE机制包括4种算法：Setup，Extract，Encrypt，Decrypt。系统初始化时根据安全参数运行BDH参数生成器，产生两个阶为素数q的群G₁、G₂，以及双线性对e:G₁×G₁→G₂。d为门限参数。

Step1：Setup(d)，授权机构执行，选择y，t₁，t₂，...，t_n∈Z_q，系统公钥PK为

主密钥MK为

(y，t₁，t₂，...，t_n)

Step2：KeyGen，授权机构执行，生成用户u的私钥。随机选择一个(d一1)次多项式p，令p(0)＝y，用户私钥SK为

Step3：Encrypt，发送方执行，用属性集A_C加密消息M∈G₂。随机选择s∈Z_q，密文为

Step4：Decrypt，接收方执行。若|A_u ∩ A_C|＞d，则选择了d个属性i∈A_u ∩ A_C，计算e(E_i，D_i)＝e(g，g)^p(i)，再用拉格朗日插值找到Y^s＝e(g，g)^p(i)s＝e(g，g)^ys，得到

上述基本ABE机制中，KeyGen算法采用Shamir门限秘密共享机制，将秘密y嵌入到SK的各个构件D_i中，实现门限策略；SK与随机多项式p有关，使得不同用户无法结合私钥实施串谋攻击。Encrypt算法采用双线性对加密消息，并且密文构件E_i与属性相关，从而规定了解密必须的属性；随机数s可以防止多次加密情况下用户首次解密成功即可解密后续密文的问题。

SM4算法是一种分组算法，分组长度和密钥长度均为128bit。SM4内部的加解密运算和密钥扩展运算都是32轮的非线性迭代结构，而非线性变换里的基本运算单元为S盒。其主要运算结构以字

为单位，一次运算为一轮变换。方案涉及的相关参数及其含义如表2所示。

表2 SM4加密算法相关参数

(1)加解密算法

输入：

为轮密钥；

输出：

Step1：

Step2：(Y₀,Y₁,Y₂,Y₃)＝(X₃₂,X₃₃,X₃₄,X₃₅)。

其中，F为轮变换函数；T为合成置换，包含了非线性变换τ和线性变换L，即T(.)＝L(τ(.))；τ内部为四个并行S盒，L为线性变换。

(2)合成置换T算法

输入：

输出：

Step1：B＝(b₀,b₁,b₂,b₃)＝τ(A)＝(Sbox(a₀),Sbox(a₁),Sbox(a₂),Sbox(a₃))；

Step2：

解密算法与加密算法的运算流程相同，只是轮密钥的使用次序与加密相反。

(3)密钥扩展算法

输入：

输出：

Step1：

Step2：

其中，T′中的线性变换为

其余部分与加解密运算中的T变换相同。

SM4+CP-ABE联合加密算法方案中涉及的相关参数及其含义如表3所示。

表3相关参数

本案实施例中，基于SM4和CP-ABE的信任域间策略隐私共享技术可设计为包含如下三个步骤，分别是“预处理”、“数据加密”和“属性验证”。

(1)预处理

Step1：AA生成、存储、管理访问控制所需的属性集合与访问结构，并为Authority提供用户与对称密钥K的属性集合γ及访问结构A；

Step2：利用Setup算法，输入安全参数、属性空间大小、用户空间大小等参数d，计算得到公钥参数PK、主密钥MK；

Step3：利用KeyGen算法，通过公式KeyGen(MK,S)＝SK，生成用户私钥SK。

(2)数据加密

Step1：利用SM4分组密码算法，通过公式SM4(K,M)＝CT加密访问控制策略，计算得到策略密文；

Step2：利用Encrypt算法，通过公式Encrypt(PK,K,A)＝CK加密对称密钥，计算得到对称密钥密文；

Step3：将策略密文和对称密钥密文连接C＝CT||CK，并以策略集的形式上传至区块链网络。

(3)属性验证

Step1：利用Decrypt算法验证用户主体是否拥有查看访问控制策略的权限，并通过公式Decrypt(PK,CK,SK)＝K计算得到加密访问控制策略的对称密钥。

作为优选实施例中，进一步，在区块链网络中以信任锚管理合约、用户管理合约、策略存储合约及权限判决合约来约定存储有关访问控制信息，其中，信任锚管理合约为信任锚用户提供注册和查看的接口函数，并采用预设数据结构来存储信任锚用户主体信息；用户管理合约为用户提供注册和查看的接口函数并利用预设数据结构存储用户主体信息；策略存储合约为信任锚用户提供存储和查看策略的接口函数，利用预设数据结构存储策略信息；权限判决合约用于依据主体及客体属性来判断当前主体属性的用户是否具备权限访问文本资源。

本案实施例中可使用基于solidity语言和EVM环境实现的以太坊智能合约。以太坊智能合约是区块链和自然世界的接口，是可以被触发执行的一段程序代码，这些代码实现了某种预定的规则，是存在于以太坊执行环境中的“自治代理”。通过设计以太坊智能合约来实现系统权限管理与存储、深度学习模型存储、日志元数据存储，实现了多节点跨域数据共享、数据高效的流转、输入数据可信且不可篡改、分布式数据服务等功能。参见图4所示，针对不同模块中的数据信息，可利用以下智能合约：信任锚管理合约(Trust anchormanages contract，TAMC)，用户管理合约(Users management contract，UMC)、策略存储合约(Policy storage contract，PSC)、权限判决合约(Jurisdiction judgment contract，JJC)。主体信息合约中主要功能为：为用户注册提供接口函数、采用特殊的数据结构存储用户主体信息、为主体信息的查看提供接口函数。策略存储合约的主要功能为：为信任锚用户提供存储策略的接口函数，采用特殊的数据结构存储策略信息、为策略的查看提供接口函数。权限判决合约的主要功能为：通过输入主体和客体属性，判断具备该主体属性的用户是否拥有权限访问具备该客体属性的文本资源，并返回判决结果。

进一步地，本案实施例信任锚管理合约中，针对发出加入联盟链请求的信任锚用户，设置联盟链中2/3以上的信任锚成员同意后，再在联盟链中进行该发出加入联盟链请求的信任锚用户的数字身份注册。

信任锚，即策略制定的参与方，每一个安全域中有唯一的信任锚，负责制定针对本安全域数据资源的访问控制策略，并对策略实施基于SM4和属性基加密的数字信封加密方式，将信任域所特有的属性嵌入SM4密钥密文中，从而实现本域资源的访问控制策略在信任域间的加密共享。每个希望加入联盟的信任锚都需要获得2/3以上信任锚成员的同意，方可完成在该策略共享联盟中数字身份的注册。具体流程为：首先加入联盟的信任锚基于公钥算法在本地安全环境中生成一对公私密钥<PKj,SKj>，本地秘密存储私钥SKj。然后，通过调用合约函数将PKj，及其相关身份注册信息上传存储至区块链中某个仅能被信任锚成员查看的安全的存储结构，其他成员通过查看数据结构中的注册请求，若认定可以注册，则在TAMC合约中保存该参与方的公钥信息，并为其生成唯一的ID、在TAMC中存储其相应的身份信息，完成信任锚的数字身份注册过程。若信任锚的私钥泄露和丢失，则信任锚通过可靠信道将重新注册信息发送给联盟内的其他信任锚成员，并在本地安全环境中重新生成一对公私密钥<PK’,SK’>，同身份注册流程一样重新注册数字身份，达到注册条件后，在TAMC合约中更新该信任锚的身份信息。

进一步地，本案实施例的用户管理合约中，利用可信属性授权机构来维护用户身份及属性信息，并基于用户管理合约实现用户向可信属性授权机构申请用户私钥和属性私钥。

合约对参与策略数据共享的用户身份进行管理。不同安全域中的用户具有不同的属性信息，根据属性信息获取相应的访问权限。在本系统中，由可信的属性授权机构AA负责用户公钥信息的生成与属性密钥的分发工作，即用户的身份信息与属性信息均由AA负责管理与维护。基于UMC合约实现用户向AA申请用户私钥和属性私钥的过程如图5所示。

在①②中，用户向CMC合约发送用户注册请求以及用户的注册信息，同时获取AA的公钥。在③中，AA获取到User的注册请求和注册信息，验证User合法后，制作该User的用户私钥和属性密钥。在④⑤中，AA通过安全信道将用户私钥和属性密钥发送给User，同时User利用私钥应答AA的分发操作。在⑥中，AA将User的用户公钥存储至UMC，表示User注册成功。

策略存储合约存储信任锚制定的针对域内资源制定访问控制策略，为域内、域外主体授予访问本域内资源的权限。信任锚以固定的字符串格式制定策略，利用国密SM4加密算法与CP-ABE属性基加密算法相结合的方式，对策略内容进行对称加密，对对称密钥进行属性基加密，最后将对称密钥密文与策略密文共同上传至区块链网络。采用两种加密算法相结合的模式，只允许拥有相应属性的主体访问链上的策略密文，实现了策略的域间共享；同时，采用对称密码算法处理策略，提高了加解密效率。访问控制策略与对称密钥密文以策略集的形式存储于区块链网络中，本发明设计的策略存储数据结构如图6所示。

进一步地，本案实施例的权限判决合约中，允许客体资源在满足相似度策略阈值时进行逻辑策略判决，且逻辑策略默认禁止所有主体访问资源，每一条策略内容由策略主键、主体属性、主体属性值、客体属性及客体属性值组成的属性元素表示，以实现依据主体属性和客体属性来寻找策略对应的主体属性允许访问的客体属性。

策略满足基于相似度策略的最小权限原则，即只有客体资源在满足相似度策略阈值时，才可继续进行逻辑策略判决；而逻辑策略默认禁止所有主体访问资源，所有未明确存储在区块链网络上的策略都被禁止。采用该原则可以有效减小攻击面。

每一条策略内容由包含5个元素的属性元组表示：

num＝{"id","sa_j","f(s_i,sa_j)","oa_j","g(o_i,oa_j)"}

其中，“id”表示“策略主键”，即每条策略唯一标识符；“sa_j”、“f(s_i,sa_j)”、“oa_j”、“g(o_i,oa_j)”分别表示“主体属性”、“主体属性值”、“客体属性”、“客体属性值”。对于任意一条逻辑策略，主体属性与客体属性表示为一个或多个属性的某种排列(和主体属性值、客体属性值一一对应)。每条策略记录表达的含义为“同时具有一个或多个主体属性的主体对同时具有一个或多个客体属性的客体进行访问行为时是被允许(permitted)的。

基于传统的逻辑策略：以主体属性、客体属性和判决结果三元组的形式。本系统的策略只包含主体属性和客体属性，能找到策略表示该主体属性可以访问客体属性，否则默认拒绝访问。其具体流程如图7所示。

Step1：安全域A中的信任锚A使用利用SM4加密算法与CP-ABE属性基加密算法相结合的方式，对策略内容进行对称加密，上传至区块链并存储至策略集数据结构；

Step2：安全域B中的用户B申请访问域A中的某一数据资源时，申请获取策略密文；

Step3：用户B利用自身属性密钥解密获取SM4对称密钥，再利用对称密钥解密策略信息，获取策略明文；

Step4：用户B根据策略明文信息访问域A中相应的数据资源。

进一步地，基于上述的方法，本发明实施例还提供一种基于区块链的跨域访问控制系统，包含：数据处理模块、加密上传模块和数据获取模块，其中，

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种基于区块链的跨域访问控制方法，其特征在于，包含如下内容：

2.根据权利要求1所述的基于区块链的跨域访问控制方法，其特征在于，针对可信用户所在数据域的客体资源，将上传访问控制策略的执行用户作为当前数据域资源权限管理者，将该资源权限管理者作为当前数据域中参与联盟链网络维护和共识的信任锚用户，各数据域之间的信任锚用户之间通过共识机制进行互相监督。

3.根据权利要求1所述的基于区块链的跨域访问控制方法，其特征在于，生成对称密钥密文及属性基加密密文中，首先，生成用户及对称密钥的属性集合及访问结构；然后，利用，并依据设置参数Setup算法生成公钥参数和主密钥，其中，设置参数至少包含安全参数、属性空间大小及用户空间大小；接着，依据主密钥及访问结构并利用KeyGen算法生成用户私钥；最后，利用SM4加密算法及对称密钥对访问控制策略进行加密，生成对称密钥密文，并利用Encrypt算法对公钥参数、对称密钥及访问结构进行加密生成属性基加密密文，将对称密钥密文及属性基加密密文进行连接，以策略集的形式上传至区块链网络。

4.根据权利要求1所述的基于区块链的跨域访问控制方法，其特征在于，在区块链网络中以信任锚管理合约、用户管理合约、策略存储合约及权限判决合约来约定存储有关访问控制信息，其中，信任锚管理合约为信任锚用户提供注册和查看的接口函数，并采用预设数据结构来存储信任锚用户主体信息；用户管理合约为用户提供注册和查看的接口函数并利用预设数据结构存储用户主体信息；策略存储合约为信任锚用户提供存储和查看策略的接口函数，利用预设数据结构存储策略信息；权限判决合约用于依据主体及客体属性来判断当前主体属性的用户是否具备权限访问文本资源。

5.根据权利要求4所述的基于区块链的跨域访问控制方法，其特征在于，信任锚管理合约中，针对发出加入联盟链请求的信任锚用户，设置联盟链中2/3以上的信任锚成员同意后，再在联盟链中进行该发出加入联盟链请求的信任锚用户的数字身份注册。

6.根据权利要求4或5所述的基于区块链的跨域访问控制方法，其特征在于，信任锚用户注册流程包含如下内容：首先，发出加入联盟链请求的信任锚用户在本地安全环境中生成一对公私密钥，本地秘密存储私钥；然后，通过调用信任锚管理合约将生成的公钥及相关身份注册信息上传存储至区块链中仅能被信任锚成员查看的安全数据结构中进行存储，联盟链中其他成员查看该数据结构中的注册请求，若认定可以注册，则在信任锚管理合约中保存该参与方的公钥信息，并为该参与方生成唯一的ID、在信任锚管理合约中存储其相应的身份信息，完成信任锚的数字身份注册过程。

7.根据权利要求6所述的基于区块链的跨域访问控制方法，其特征在于，针对信任锚的私钥泄露和丢失情形，信任锚用户通过安全信道将重新注册信息发送给联盟链内其他信任锚成员，并在本地安全环境中重新生成一对公私密钥，重新注册数字身份，达到注册条件后，在信任锚管理合约中更新该信任锚用户的身份信息。

8.根据权利要求4所述的基于区块链的跨域访问控制方法，其特征在于，用户管理合约中，利用可信属性授权机构来维护用户身份及属性信息，并基于用户管理合约实现用户向可信属性授权机构申请用户私钥和属性私钥。

9.根据权利要求4所述的基于区块链的跨域访问控制方法，其特征在于，权限判决合约中，允许客体资源在满足相似度策略阈值时进行逻辑策略判决，且逻辑策略默认禁止所有主体访问资源，每一条策略内容由策略主键、主体属性、主体属性值、客体属性及客体属性值组成的属性元素表示，以实现依据主体属性和客体属性来寻找策略对应的主体属性允许访问的客体属性。

10.一种基于区块链的跨域访问控制系统，其特征在于，包含：数据处理模块、加密上传模块和数据获取模块，其中，