CN115499131B - 基于令牌的政务材料链上链下数据协同访问方法及系统 - Google Patents

Abstract

本发明提供了一种基于令牌的政务材料链上链下数据协同访问方法及系统，涉及数据访问控制技术领域。所述方法包括元数据设置步骤、数据上链步骤和访问控制实施步骤，具体的，采用链上链下的数据协同技术体系，针对该体系进行了数据加密下的链上摘要、链下原材料的元数据设计，并结合智能合约控制下的去中心化共享方案和基于Token令牌的访问控制方法，减轻了链上合约负担和链上链下通讯的非必要消耗。本发明根据政务需求，通过链上链下协同实现存储、性能、算力的拓展，运用Merkle树结构验证数据完整性与真实性，并通过多链协同方法解决了节点不断扩张和链下资源增长引起的性能下降问题。

Description

基于令牌的政务材料链上链下数据协同访问方法及系统

技术领域

本发明涉及数据访问控制技术领域，尤其涉及一种基于令牌的政务材料链上链下数据协同访问方法及系统。

背景技术

为了在保留现有政务体制下分布式的材料存储和各部门分散管理机制的前提下，实现各部门间安全可靠、传输高效的政务材料共享应用，并同时最大限度地发挥区块链的去中心化和安全可信特色，以提升区块链对海量数据的处理能力，并推动区块链在政务领域的应用落地。这就使得在政务体制下应用区块链来满足实际政务工作的需求成为急需解决的热点问题。

根据上述需求，优选通过链上链下数据协同的方式，实现政务材料的共享和应用，来满足实际政务工作的需求。链上链下数据协同(On-chain and Off-chain DataCollaboration，缩写为OODC)又称链上链下协同访问。所述OODC有狭义和广义之分。狭义的OODC主要指“链上存数据索引和哈希，链下存储完整数据”的元数据设计和访问方法；广义的OODC是指除元数据设计访问外，还包含链上性能调优、链下存储算力协同拓展和部分跨链协同等多个区块链分支技术。

实施OODC方案的优势在于，能够兼顾存储容量和安全的链上链下元数据设计、保证数据一致性安全性协同访问及访问性能的提升。

然而，为了使OODC的方案应用更贴合政务分布式系统高安全等级、权限动态发布和更新的需求，优选具有非前置性、轻量级、临时性、不可预测性特点的Token，来作为访问控制中允许其拥有者在某段时间内操作或控制计算机系统中某实体或材料权力人的一则独立消息或特殊帧就非常必要。

所述Token具有“临时”、“令牌”、“代币”、“卡牌”等意思。基于Token的访问控制方法主要通过令牌生成、真实性检验、有效性检验这三个过程实现。其中，Token生成过程CreatToken可定义为：

既假设主体为S、访问客体为O、访问权限为P_C、从时刻x₁到x₂的访问时长

写入Token，USig为使用者签名，Uid为令牌持有人。

公式(2)和(3)分别对应真实性检验、有效性检验，即：

VerifyU(Token_S,O,USig,isvalid(Uid))→[0,1] (2)，和

其中，公式(2)用以验证Token申请者的真实性，往往通过验证申请者是否属于合法用户实现；公式(3)也称为策略能力验证，用以确认Token的有效性以及完整性，部分辅以客体权力人签名验证。当验证通过返回1，否则返回0；Sig(O.owner)是访问客体O的所有人O.owner的签名函数Sign()，isvalid(Uid)表示Uid是合法的令牌申请用户，

表示主体申请的策略P_T要符合客体允许的策略要求P_O。在实际操作中，公式(2)(3)也可以合并实施。

另外，Token还拥有便捷灵活的传递(或继承)能力，即：

TransToken_S,O→[Uid₁,Uid₂,Token_S,O] (4)。

公式(4)表示在该TransToken_S,O过程中，将Token从用户Uid₁转移给Uid₂使用。

在上述访问控制操作中需要考虑多个因素，例如：当单个签名人对应到材料所有人时，这样的操作可能会增加材料被攻击和被篡改的可能性，这对材料的信息的安全保障是非常不利的，因此，需要设计多个签名人对材料进行共同签名的情形，以实现材料共有权属下的访问需求。

同时，考虑到属性值的赋予、读取方法生成可分割实体的约束条件的限制，需要通过基于Token令牌的访问控制传递权限规则，设置合理的触发条件和时序参数的模块化合约编写，来完成基于OODC的访问控制。

并且，为了区分共识节点、存证节点和轻量化节点，精简链上存储，减少资源消耗，故需要着重对日志存证内容、资源搜索方法、链下材料调用协同和一致性保证等相关合约进行优化和改进。

另外，在安全性和合约编写上，要尽可能遵循“增加动态条件触发、最少静态合约变更”的原则，需要同时分离授权访问合约以便于修改替换，并在合约中增加回滚、权限冲突、紧急制动方案。

综上，本申请提供了一种基于令牌的政务材料链上链下数据协同访问方法及系统，能够更加贴合政务分布式系统高安全等级、权限动态发布和更新的需求，同时实现安全、去中心化、性能三方面较为平衡、并重的链上链下共享访问，是当前亟需解决的技术问题。

发明内容

本发明的目的在于：克服现有技术的不足，提供一种基于令牌的政务材料链上链下数据协同访问方法及系统，本发明能够根据政务需求，通过链上链下协同实现存储、性能、算力的拓展，运用Merk le树结构验证数据完整性与真实性，并通过多链协同方法解决节点不断扩张和链下资源增长引起的性能下降问题。

为解决现有的技术问题，本发明提供了如下技术方案：

一种基于令牌的政务材料链上链下数据协同访问方法，所述政务材料链被配置为材料索引链IC1、合约控制链SC1和日志链LC1，所述政务材料链用以实现链上链下信息的协同访问操作；所述链上链下信息的协同访问操作包括步骤：

元数据设置步骤：根据预设的政务材料元数据的设置规则，设置政务材料元数据；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳；

数据上链步骤：对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成；

访问控制实施步骤：根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理。

进一步，所述材料索引链IC1按时间戳顺序存储多个链上摘要数据块Ind(i)，i为根据上链时间戳给出的链上顺序编号；合约控制链SC1包括上链阶段和访问阶段，所述上链阶段用于响应上链申请，调整单件材料访问策略，完成多权力人签名个人部分，以保证链上摘要数据块Ind(i)和链下元数据Fil(i)的一致性和完整性；所述访问阶段用于承担访问策略决策、属性策略辅助、环境变量监听导致的访问权限变化，以及，在合约运行中突发攻击、冲突制定的紧急制动方案；所述日志链LC1用以记录链上确权和访问日志Olog，同时存储链下元数据被访问日志的哈希值。

进一步，数据上链步骤包括：

步骤S210，进行预上链申请，以对每个用户和实体进行身份认证，并对每个用户设置链上唯一编号；

步骤S220，执行上链前预判定；

步骤S230，调整数字签名和原文件个体的访问权限；

步骤S240，生成元数据及Merkle树；将原文件个体M_S转化为个体策略补集P(i)及加密链下地址对应的链上Ind(i)数据格式，添加多重数字签名Msig，从而上链为材料索引链IC1中编号ID的Ind(i)，将Ind(i)转化为Merkle树结构，以便于快速访问；统一时间戳t，将链下元数据Fil(i)同时存入链下存储OF^F连接的链数据提供池ODP^F；

步骤S250，生成日志记录；通过在ODP^F上增加链下日志、链下日志哈希O-Has^F和链上日志clog，使得LC1上的链下日志、链下日志哈希O-Has^F和链上日志clog分别增加M_S上链记录，来实现M_S上链溯源。

进一步，所述执行上链前预判定的步骤如下：

步骤S2201，通过OF^F上预置的材料策略预判点PreP，与IC1和SC1建立通信，搜索已有上链索引中是否已有前述材料，并获取该材料的有效期数据，判断前述材料是否涉及重复上链和过期情况，以确定材料的有效性；

步骤S2202，读取所有已上链同类型材料的整体策略集合CodeP，使所述材料能够通过共识方法raft(AC1)，从SC1的策略管理智能合约PA-SC上所属的全策略集OnP中获得，即

当/>

时，生成访问M_S的正式整体策略集MP，即MP(M_S.tcode)←CodeP(M_S.tcode)；否则，策略管理智能合约PA-SC对新策略进行合规预判，以规避错误的策略设置，并在确认整体策略集合CodeP所需的修改后，更新正式整体策略集MP。

进一步，所述调整数字签名和原文件个体的访问权限，包括步骤：

步骤S2301，在通过Mad(M_S)验证后，由SCl的签名策略合约Sign-SC向材料所有人Owner(M_S)发送准备上链的签名邀请；

步骤S2302，对客体O的所有权限主体集合(Ot₁,Ot₁…Ot_n)∈Φ的多重权利人签名Sig(n)，n为签名人数，M_S的共同签名人为管理者和所有者，同时，允许Owner(M_S)对MP(M_S.tcode)进行不超出该策略的调整，即

所述个体策略PP(M_S)最小允许零访问，最大使用整体策略；/>

步骤S2303，确认后获得LC1给出的链上M_S唯一顺序号i，将原文件个体对整体策略修改的个体策略补集P(i)和ModP_i存储在Ind(i)中，其中，P(i)＝|PP(M_S)-PreP(M_S.tcode)|，

所述ModP_i表示材料整体策略是否被个人修改的修改参数。

进一步，访问控制实施步骤具体如下：

步骤S310，提交事务r，生成材料检索语句；在生成前述材料检索语句时，使用用户User通过链下应用系统OAP^a，向节点N^a发送检索语句，得到

其中，kword表示索引账本关键词，/>

表示满足条件Cond1的J个材料或材料组索引，1≤j≤J，j为符合要求的材料编号，kword.attr表示kword中的多个属性值attr；

步骤S320，生成个体访问策略；根据每个Ind(j)的材料类型，向SC1上的策略管理智能合约PA-SC申请获取整体策略MP(j)＝MP(Ind(j).Tcode)，同时读取Ind(j).P(j)，以获得j的访问策略PP(j)，即

步骤S330，生成事务时间区间控制下的资源令牌；对每个客体j，读取本次事务r中对客体j申请的访问策略rP_j，生成该事务申请访问的政务材料元数据Meta(j)对应的Token(j)，并根据Token生成智能合约TC-SC生成令牌，并将该令牌暂存在TC-SC中，即CreatToken_r,j→[r,rP_j,t_{trend-systime},USig_r]，其中，t_{trend-systime}表示访问时长，systime为现在时间戳，trend参数为事务r的结束时间，USig_r表示事务发起人签名；

步骤S340，进行真实性和有效性验证，所述真实性和有效性公式为

其中，Ownerlist表示SCl的Sign-SC向材料所有人Owner(j)进行去重操作后生成的集合；

步骤S350，返回资源令牌，获取链下资源；

步骤S360，记录访问日志，将链下申请节点日志哈希ologH^A、链下文件读取节点日志哈希ologH^C和链上日志clog存入日志链LC1。

进一步，在进行真实性和有效性验证时，包括步骤：

步骤S3401，由Token真实性验证智能合约TAV-SC向SC1确认事务r是否合法，并对事务发起人签名USig_r进行验证；

步骤S3402，根据预设的政策规定，SCl的Sign-SC向材料所有人Owner(j)进行去重操作，生成Ownerlist集合，以使所有材料的使用均需材料所有人的确认，且针对材料所有人的重复材料仅需一次签名；

步骤S3403，Token有效性验证智能合约TVV-SC参照基于属性的访问控制方法读取属性管理合约AA-AC中的O.attr，以及，事务r获取环境条件trAttr中符合设定相关环境属性EVAttr,得到真实性和有效性公式中

的判定方法:

进一步，返回资源令牌和链下资源获取的步骤，包括：

步骤S3501，User获取令牌后，解密Ind(j)中的链上地址Ad；

步骤S3502，将带有USig、Uid、控制者签名CSig的令牌认证结果CToken，一起发送给符合要求的Meta(j)所在链下节点OF^c的策略执行点PHP^c；

步骤S3503，所述PHP^c根据令牌认证结CToken再次进行身份和签名验证，并通过地址验证和Fil(j)哈希验证，确认链下文件未失效和未篡改；

步骤S3504，将Fil(j)所在OF^c的链接地址明文、原文件个体密文点对点传输至Uid，并通过PHP^c对链下资源Fil(j)进行访问。

进一步，访问控制实施步骤还包括判断材料是否存在委托授权，具体包括步骤：

步骤S410，转移授权访问，Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，即：

TransToken_r,j→[Permitid_j,Uid_j,Token_r,j]；

步骤S420，撤销Token，所述Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，并通过真实性验证确认Token真伪，以及Permitid_j是否有获取该Token的资格,即：DestroyToken_r,j(Uid_j,Token_r,j,SCSig,td)，所述撤销由链上PT-SC发出，SCSig表示签名，td表示要求撤销时间。

一种基于令牌的政务材料链上链下数据协同访问系统,包括:

政务材料链配置单元，所述政务材料链被配置为材料索引链IC1、合约控制链SC1和日志链LC1，用以实现链上链下信息的协同访问操作；

元数据设置单元，用于根据预设的政务材料元数据的设置规则，设置政务材料元数据；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳；

数据上链单元，用于对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成；

访问控制实施单元，用于根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理。

基于上述优点和积极效果，本发明的优势在于：设计政务材料链为链上摘要、链下元数据的结构，在控制策略存储上采用了链上中心存储整体策略和索引上链个体策略补集的方式，以尽可能缩小链上存储量和减少共识消耗。

进一步，设计合理的智能合约和节点功能点，通过链上链下交互实现政务材料链全面控制下的去中心化应用运转，同时减轻链上合约负担和减少不必要的链上链下通讯消耗。

进一步，采用基于事务、属性的访问策略，保证符合属性要求的用户实施访问。

进一步，设定Token令牌权限传递下的链上链下协同访问策略，拓展系统的性能和保证合约运转的高可用性，同时设置一次性的Token生成和失效条件，来保证用户访问的安全可控。

附图说明

图1为本发明实施例提供的方法的流程图。

图2为本发明实施例提供的政务材料链共享网络的结构示意图。

图3为本发明实施例提供的政务材料链的跨链结构示意图。

图4为本发明实施例提供的系统的示意图。

附图标记说明：

系统100，政务材料链配置单元110，元数据设置单元120，数据上链单元130，访问控制实施单元140。

具体实施方式

以下结合附图和具体实施例对本发明公开的一种基于令牌的政务材料链上链下数据协同访问方法及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

需要说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

对本实施例中涉及的相关技术术语进行如下说明：

1.链上链下协同下的政务材料共享网络架构涉及的实体名称和承担功能存在如下定义和说明：

材料索引链Index-chain1(其缩写用IC1表示)：按时间戳顺序存储多个链上摘要数据块，其中，i为根据上链时间戳给出的链上顺序编号。

合约控制链AC1-SC-chain1(其缩写用SC1表示)：负责上链和访问时的合约控制，上链阶段负责上链申请响应，调整单件材料访问策略，完成多权力人签名个人部分，保证链上摘要数据块Ind(i)和链下元数据Fil(i)的一致性和完整性；访问时，承担访问策略决策、属性策略辅助、环境变量监听导致的访问权限变化，以及合约运行中为突发攻击和冲突制定紧急制动方案。

日志链Log-Chain1(其缩写用LC1表示)：记录链上确权和访问日志Onchain-log(用Olog表示)，同时存储链下元数据被访问日志的哈希值。

链下系统Off-AP(其缩写用OAP^F表示，F上标为所链接Node节点ID)：承担与材料共享相关的线下业务(例如房产证办理、户籍转移业务受理应用等)，并记录所有成功的访问申请链下系统日志OAP^F-log。

链下存储Off-F^F(其缩写用OF^F表示)：由原文件临时池OPool^F和链数据提供池ODP^F组成。其中，OPool^F用于临时存储从OAP^F接口导入的原文件个体M_S，ODP^F用于存储加有数字签名和部分加密的链，以及链下元数据Fil(i)，同时记录Fil(i)和被访问日志ODP^F-log。

链节点Node^F(其缩写用N^F表示)：N^F是共识节点，参与共识。上链时，负责提交本节点链接的所有带管理人签名和访问策略的上链文件申请，进行策略预判定；访问时，负责链下系统OAP^F策略执行；收集OAP^F-log、链下存储日志OF^F-log，生成链下日志Off-log^F，并生成链下日志哈希值O-Hash^F上传至LC1进行存储。

轻量级节点Mobile^pe(其缩写用Mb^pe表示，上标pe为所在链给材料所有人Owner分配的接入节点编号)，用于所有人名下所有材料的个体策略调整管理、本人名下材料使用和授权权限转移，所述轻量级节点不参与共识。

2.整体参与架构的三主体包括材料管理者Mad、材料所有人Owner和使用用户User。

材料管理者Mad：将所管辖同一类型的材料批量发布上链，同时设置整体访问策略；对材料集TM批量生成管理者签名，后续与材料所有人签名共同合成多重权利人签名Sig(i)。

材料所有人Owner：读取其名下材料的整体访问策略，并基于整体访问策略对原文件个体M_S的访问策略进行调整，同时叠加数字签名，与Mad共同生成Sig(i)。

使用用户User：通过OAP^F向链递交所需的材料客体查询条件，通过访问策略获取相关客体资源。

3.访问控制实施过程中，涉及的相关技术术语包括：

参与访问控制的策略集包括：链下整体策略集CodeP(M_S.Tcode)、链上策略集合约OnP和分布式账本上个体策略补集P(i)。

链下节点参与控制点包含：材料策略预判点(PreTcodePolicyJ udge Point，其缩写用PreP表示)和策略执行点(Policy Handle Point，其缩写用PHP表示)。

其中，PreP在上链申请时用于预判材料是否有效，整体策略是否有误；PHP用于解析Token中携带的信息，对私钥加密材料地址实施访问。

链上功能合约包含：策略管理智能合约PA-SC、属性管理合约(Attributeadministration smart contract，其缩写用AA-SC表示)、Token生成智能合约(Tokencreat smart contract，其缩写用TC-SC表示)、Token真实性验证智能合约(Tokenauthenticity verification smart contract，其缩写用TAV-SC表示)和Token有效性验证智能合约(Token validity verification smart contr act，其缩写用TVV-SC表示)。

其中，策略管理智能合约PA-SC：对整体策略进行管理，上链时根据P_i和ModP_i合成P(i)存储，访问时根据反向方法生成访问策略PP(i)。

Token生成智能合约TC-SC：申请访问时，读取PP(i)和相关参数，实时生成Token；验证完成后传输Token至PHP，临时Token销毁。

属性管理合约AA-SC：包含所有属性attr，用以帮助TVV-SC判定Token是否符合加入属性的规则要求。

Token真实性验证智能合约TAV-SC：用以实现实体唯一身份验证、各类签名验证等验证操作。

Token有效性验证智能合约TVV-SC：用以确认Token权限是否有效。

实施例

参见图1所示，为本发明基于令牌的政务材料链上链下数据协同访问方法提供的一个流程图。

在本实施例中，所述政务材料链用以实现链上链下信息的协同访问操作，所述政务材料链被配置为材料索引链IC1、合约控制链SC1和日志链LC1，所述政务材料链用以实现链上链下信息的协同访问操作。

其中，所述材料索引链IC1按时间戳顺序存储多个链上摘要数据块Ind(i)，i为根据上链时间戳给出的链上顺序编号。

所述合约控制链SC1包括上链阶段和访问阶段，所述上链阶段用于响应上链申请，调整单件材料访问策略，完成多权力人签名个人部分，以保证链上摘要数据块Ind(i)和链下元数据Fil(i)的一致性和完整性；所述访问阶段用于承担访问策略决策、属性策略辅助、环境变量监听导致的访问权限变化，以及，在合约运行中突发攻击、冲突制定的紧急制动方案。

所述日志链LC1用以记录链上确权和访问日志Olog，同时存储链下元数据被访问日志的哈希值。

所述链上链下信息的协同访问操作包括步骤：

元数据设置步骤S100：根据预设的政务材料元数据的设置规则，设置政务材料元数据；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳。

需要说明的是，所述唯一编号、数据位置、访问权限、负载和时间戳分别起到唯一性保证、确定相互访问位置、实现加密可控访问、确定具体材料内容，以及根据时间戳顺序溯源和排列多个区块的作用。

元数据上链步骤S200：对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成。

访问控制实施步骤S300：根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理。

在本实施例的优选实施方式中，以链下申请节点A和链下读取节点C为例，图2为本实施例提供的政务材料链共享网络的结构示意图。所述图2中各名词及其功能已在前进行逐一说明，故不再一一赘述。

针对元数据上链步骤S200，所述上链包括上链前处理和元数据链上链下分类存储部分。所述数据上链的整个操作步骤，包括：

步骤S210，进行预上链申请，对每个用户和实体进行身份认证，并对每个用户设置链上唯一编号。

在本实施例中，假设每个用户和实体均已在注册阶段进行过身份认证，并且每个使用用户已获得了链上唯一编号。TM_tcode为材料管理者Mad()管理下的与M_S类型编码tcode一致的所有材料的集合，M_S∈TM_tcode，该集合能够伴随执行统一上链操作，对于材料管理者而言，针对存量数据的上链操作可以一次性进行。

所述材料管理者能够提出初始策略PreP(M_S.tcode)，并向所在节点OF^c提出上链申请。

所述节点OF^c上预置有材料策略预判点PreP。

步骤S220，执行上链前预判定。

具体的，执行上链前预判定步骤，包括：

步骤S2201，通过OF^F上预置的材料策略预判点PreP，与IC1和SC1建立通信，搜索已有上链索引中是否已有前述材料，并获取该材料的有效期数据，判断前述材料是否涉及重复上链和过期情况，以确定材料的有效性。

步骤S2202，读取所有已上链同类型材料的整体策略集合CodeP，使所述材料能够通过共识方法raft(AC1)，从SC1的策略管理智能合约PA-SC上所属的全策略集OnP中获得，即：

需要说明的是，当

时，生成访问M_S的正式整体策略集MP，即MP(M_S.tcode)←CodeP(M_S.tcode)；否则，策略管理智能合约PA-SC对新策略进行合规预判，以规避错误的策略设置，并在确认整体策略集合CodeP所需的修改后，更新正式整体策略集MP。

步骤S230，调整数字签名和原文件个体的访问权限。

具体的，调整数字签名和原文件个体的访问权限，包括步骤：

步骤S2301，在通过Mad(M_S)验证后，由SCl的签名策略合约Sign-SC向材料所有人Owner(M_S)发送准备上链的签名邀请。

步骤S2302，对客体O的所有权限主体集合(Ot₁,Ot₁…Ot_n)∈Φ的多重权利人签名Sig(n)，n为签名人数，M_S的共同签名人为材料管理者和材料所有人。

同时，允许Owner(M_S)对MP(M_S.tcode)进行不超出该策略的调整，即

所述个体策略PP(M_S)最小可允许零访问，最大可使用整体策略。

步骤S2303，确认后获得LC1给出的链上M_S唯一顺序号i，将原文件个体对整体策略修改的个体策略补集P(i)和ModP_i存储在Ind(i)中，其中，P(i)＝|PP(M_S)-PreP(M_S.tcode)|，

所述ModP_i表示材料整体策略是否被个人修改的修改参数。/>

以上操作的优势在于，参考以往相关办事系统数据，由于85％以上的所有者不对整体策略进行修改，这节省了以往系统单个客体的访问策略存储，同时链上合约及各节点的材料策略预判点PreP中只需存储材料的类别策略集，使得存储量非常有限；另外，在访问时，如果满足快捷读取的条件，则无需继续读取个体策略补集P(i)，从而节省大量计算开销。

步骤S240，生成元数据及Merkle树；将原文件个体M_S转化为个体策略补集P(i)及加密链下地址对应的链上Ind(i)数据格式，添加多重数字签名Msig，从而上链为材料索引链IC1中编号ID的Ind(i)，将Ind(i)转化为Merkle树结构，以便于快速访问；统一时间戳t，将链下元数据Fil(i)同时存入链下存储OF^F连接的链数据提供池ODP^F。

步骤S250，生成日志记录；通过在ODP^F上增加链下日志、链下日志哈希O-Has^F和链上日志clog，使得LC1上的链下日志、链下日志哈希O-Has^F和链上日志clog分别增加M_S上链记录，来实现M_S上链溯源。

所述数据上链的优势在于：利用整体策略代替了大量重复个体策略进行存储，将材料策略预判点PreP设置在节点上减少链上链下交互，并通过将补集P(i)和修改参数加入Ind(i)减少共识消耗；并通过链上链下元数据、日志同步生成策略保证一致性；通过链下日志哈希上链，防止链下数据篡改。

针对访问控制步骤S300，具体包括步骤：

步骤S310，提交事务r，生成材料检索语句；在生成前述材料检索语句时，使用用户User通过链下应用系统OAP^a，向节点N^a发送检索语句，得到

其中，kword表示索引账本关键词，/>

表示满足条件Cond1的J个材料或材料组索引，1≤j≤J，j为符合要求的材料编号，kword.attr表示kword中的多个属性值attr。

步骤S320，生成个体访问策略；根据每个Ind(j)的材料类型，向SC1上的策略管理智能合约PA-SC申请获取整体策略MP(j)＝MP(Ind(j).Tcode)，同时读取Ind(j).P(j)，所述Ind(j).P(j)表示Ind(j)上的P(j)，以获得j的访问策略PP(j)，即

步骤S330，生成事务时间区间控制下的资源令牌；对每个客体j，读取本次事务r中对客体j申请的访问策略rP_j，生成该事务申请访问的政务材料元数据Meta(j)对应的Token(j)，并根据Token生成智能合约TC-SC生成令牌，并将该令牌暂存在TC-SC中，即CreatToken_r,j→[r,rP_j,t_{trend-systime},USig_r]，其中，t_{trend-systime}表示访问时长，systime为现在时间戳，trend参数为事务r的结束时间，另外，trend可作为环境变量后期从链上读取。

步骤S340，进行真实性和有效性验证，所述真实性和有效性公式为：

其中，USig_r表示事务发起人签名，Ownerlist表示SCl的Sign-SC向材料所有人Owner(j)进行去重操作后生成的集合。

具体的，在进行真实性和有效性验证时，包括步骤：

步骤S3401，由Token真实性验证智能合约TAV-SC向SC1确认事务r是否合法，并对事务发起人签名USig_r进行验证。

步骤S3402，根据预设的政策规定，SCl的Sign-SC向材料所有人Owner(j)进行去重操作，生成Ownerlist集合，以使所有材料的使用均需材料所有人的确认，且针对材料所有人的重复材料仅需一次签名。

步骤S3403，Token有效性验证智能合约TVV-SC参照基于属性的访问控制方法读取属性管理合约AA-AC中的O.attr，以及，事务r获取环境条件trAttr中符合设定相关环境属性EVAttr,得到真实性和有效性公式中

的判定方法:

步骤S350，返回资源令牌，获取链下资源。

具体的，返回资源令牌，获取链下资源时，涉及步骤包括：

步骤S3501，User获取令牌后，解密Ind(j)中的链上地址Ad。

步骤S3502，将带有USig、Uid、控制者签名CSig的令牌认证结果CToken，一起发送给符合要求的Meta(j)所在链下节点OF^c的策略执行点PHP^c。

步骤S3503，所述PHP^c根据令牌认证结CToken再次进行身份和签名验证，并通过地址验证和Fil(j)哈希验证，确认链下文件未失效和未篡改。

步骤S3504，将Fil(j)所在OF^c的链接地址明文、原文件个体密文点对点传输至Uid，并通过PHP^c对链下资源Fil(j)进行访问。

步骤S360，记录访问日志，将链下申请节点日志哈希ologH^A、链下文件读取节点日志哈希ologH^C和链上日志clog存入日志链LC1。

还需要说明的是，所述访问控制实施步骤还包括判断材料是否存在委托授权，具体包括步骤：

步骤S410，转移授权访问，Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，即

TransToken_r,j→[Permitid_j,Uid_j,Token_r,j]。

此外，在转移授权访问的过程中，基于传递获得的Token会生成Token转移日志记录Trans-log。

步骤S420，撤销Token，所述Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，并通过真实性验证确认Token真伪，以及Permitid_j是否有获取该Token的资格,即：DestroyToken_r,j(Uid_j,Token_r,j,SCSig,td)，所述撤销统一由链上PT-SC发出，SCSig表示签名，td表示要求撤销时间。

需要说明的是，所述td往往优选设置为当前系统时刻。

在本实施例中，所述撤销方法主要用于配合发现临时访问错误后的操作，Token传递语句后可选择关闭原用户访问、紧急消除越权访问等操作来避免安全隐患。

所述访问控制过程中，通过设计智能合约对策略进行管理、对访问Token进行生成和验证；控制每个置于共识节点的Prep进行策略预审、PHP执行线下数据访问策略。进一步，在保证安全、去中心化控制的基础上，减少了链上链下通信以及共识消耗。

另外，针对本实施例中政务材料链而言，值得说明的是，图2中所示的政务材料链共享网络结构代表整个区块链，视为AC1，即图3中的AC1。

参见图3所示，对应着前述AC1，设置有平行区块链AC2，所述AC2具有和前述ACI相同的结构，用于平行拓展ACI，来保证节点大幅增加后链性能。

所述跨链单元Crosschain-Unit(其缩写用CUnit表示)能够负责链间权限映射、生成跨链索引账本，并配置有防火墙以规避网络风险。

其它技术特征参见在前实施例，在此不再赘述。

参见图4所示，在本实施例的另一实施方式中，提供了一种基于令牌的政务材料链上链下数据协同访问系统100，所述系统100包括政务材料链配置单元110、元数据设置单元120、数据上链单元130和访问控制实施单元140。

政务材料链配置单元110，所述政务材料链被配置为材料索引链IC1、合约控制链SC1和日志链LC1，用以实现链上链下信息的协同访问操作。

元数据设置单元120，用于根据预设的政务材料元数据的设置规则，设置政务材料元数据；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳。

数据上链单元130，用于对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成。

访问控制实施单元140，用于根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理。

所述系统还可以包括用户接口模块，用以采集用户的输入信息以及向用户输出信息。

优选的，为实现可视化，所述用户接口模块包括图形用户界面(GU I)，以便用户查看和分析结果。

此外，所述系统还可以包括通常在计算系统中找到的其它组件，诸如存储在存储器中并由处理器执行的操作系统、队列管理器、设备驱动程序、数据库驱动程序或一个或多个网络协议等。

其它技术特征参见在前实施例，在此不再赘述。

在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。

虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。

Claims (7)

1.一种基于令牌的政务材料链上链下数据协同访问方法，其特征在于，所述政务材料被配置为材料索引链IC1、合约控制链SC1和日志链LC1，其中，所述材料索引链IC1按时间戳顺序存储多个链上摘要数据块Ind(i)，i为根据上链时间戳给出的链上顺序编号；所述合约控制链SC1包括上链阶段和访问阶段，所述上链阶段用于响应上链申请，调整单件材料访问策略，完成多权力人签名个人部分，以保证链上摘要数据块Ind(i)和链下元数据Fil(i)的一致性和完整性；所述访问阶段用于承担访问策略决策、属性策略辅助和环境变量监听导致的访问权限变化，以及，在合约运行中突发攻击和冲突制定的紧急制动方案；所述日志链LC1用以记录链上确权和访问日志Olog，同时存储链下元数据被访问日志的哈希值；

所述链上链下信息的协同访问操作包括步骤：

元数据设置步骤：根据预设的政务材料元数据Meta(i)的设置规则，设置政务材料元数据Meta(i)；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳；

数据上链步骤：对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成；所述数据上链步骤具体包括：

步骤S210，进行预上链申请，以对每个用户和实体进行身份认证，并对每个用户设置链上唯一编号；

步骤S220，执行上链前预判定；

步骤S230，调整数字签名和原文件个体的访问权限；

步骤S240，生成元数据及Merkle树；将原文件个体M_S转化为个体策略补集P(i)及加密链下地址对应的链上Ind(i)数据格式，添加多重数字签名Msig，从而上链为材料索引链IC1中编号ID的Ind(i)，将Ind(i)转化为Merkle树结构，以便于快速访问；统一时间戳t，将链下元数据Fil(i)同时存入链下存储OF^F连接的链数据提供池ODP^F；

步骤S250，生成日志记录；通过在ODP^F上增加链下日志、链下日志哈希O-Has^F和链上日志clog，使得LC1上的链下日志、链下日志哈希O-Has^F和链上日志clog分别增加M_S上链记录，来实现M_S上链溯源；

访问控制实施步骤：根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理；所述访问控制实施步骤具体如下：

步骤S310，提交事务r，生成材料检索语句；在生成前述材料检索语句时，使用用户User通过链下应用系统OAP^a，向节点N^a发送检索语句，得到

其中，kword表示索引账本关键词，/>

表示满足条件Cond1的J个材料或材料组索引，1≤j≤J，j为符合要求的材料编号，kword.attr表示kword中的多个属性值attr；

步骤S320，生成个体访问策略；根据每个Ind(j)的材料类型，向SC1上的策略管理智能合约PA-SC申请获取整体策略MP(j)＝MP(Ind(j).tcode)，同时读取Ind(j).P(j)，以获得第j个材料的访问策略PP(j)，即

步骤S330，生成事务时间区间控制下的资源令牌；对每个第j个材料，读取本次事务r中对第j个材料申请的访问策略rP_j，生成该事务申请访问的政务材料元数据Meta(j)对应的Token(j)，并根据Token生成智能合约TC-SC生成令牌，并将该令牌暂存在TC-SC中，即CreatToken_r,j→[r,rP_j,t_{trend-systime},USig_r]，其中，t_{trend-systime}表示访问时长，systime为现在时间戳，trend参数为事务r的结束时间，USig_r表示事务发起人签名；

步骤S340，进行真实性和有效性验证，所述真实性和有效性公式为

其中，Ownerlist表示SCl的Sign-SC向材料所有人Owner(j)进行去重操作后生成的集合；

步骤S350，返回资源令牌，获取链下资源；

步骤S360，记录访问日志，将链下申请节点日志哈希ologH^A、链下文件读取节点日志哈希ologH^C和链上日志clog存入日志链LC1。

2.根据权利要求1所述的方法，其特征在于，所述执行上链前预判定的步骤如下：

步骤S2201，通过OF^F上预置的材料策略预判点PreP，与IC1和SC1建立通信，搜索已有上链索引中是否已有前述材料，并获取该材料的有效期数据，判断前述材料是否涉及重复上链和过期情况，以确定材料的有效性；

步骤S2202，读取所有已上链同类型材料的整体策略集合CodeP，所述材料能够通过共识方法raft(AC1)，从SC1的策略管理智能合约PA-SC上所属的全策略集OnP中获得，即

当/>

时，生成访问M_S的正式整体策略集MP，即MP(M_S.tcode)←CodeP(M_S.tcode)；否则，策略管理智能合约PA-SC对新策略进行合规预判，以规避错误的策略设置，并在确认整体策略集合CodeP所需的修改后，更新正式整体策略集MP。

3.根据权利要求1所述的方法，其特征在于，所述调整数字签名和原文件个体的访问权限，包括步骤：

步骤S2301，在通过Mad(M_S)验证后，由SCl的签名策略合约Sign-SC向材料所有人Owner(M_S)发送准备上链的签名邀请；

步骤S2302，对客体O的所有权限主体集合(Ot₁,Ot₁…Ot_n)∈Φ的多重权利人签名Sig(n)，n为签名人数，M_S的共同签名人为管理者和所有者，同时，允许Owner(M_S)对MP(M_S.tcode)进行不超出该个体策略PP(M_S)的调整，即

所述个体策略PP(M_S)最小允许零访问，最大使用整体策略；

步骤S2303，确认后获得LC1给出的链上M_S唯一顺序号i，将原文件个体对整体策略修改的个体策略补集P(i)和ModP_i存储在Ind(i)中，其中，P(i)＝|PP(M_S)-PreP(M_S.tcode)|，

所述ModP_i表示材料整体策略是否被个人修改的修改参数。

4.根据权利要求1所述的方法，其特征在于，在进行真实性和有效性验证时，包括步骤：

步骤S3401，由Token真实性验证智能合约TAV-SC向SC1确认事务r是否合法，并对事务发起人签名USig_r进行验证；

步骤S3402，根据预设的政策规定，SCl的Sign-SC向材料所有人Owner(j)进行去重操作，生成Ownerlist集合，以使所有材料的使用均需材料所有人的确认，且针对材料所有人的重复材料仅需一次签名；

步骤S3403，Token有效性验证智能合约TVV-SC参照基于属性的访问控制方法读取属性管理合约AA-AC中的O.attr，以及，事务r获取环境条件trAttr中符合设定相关环境属性EVAttr,得到真实性和有效性公式中

的判定方法:

5.根据权利要求4所述的方法，其特征在于，返回资源令牌和链下资源获取的步骤，包括：

步骤S3501，User获取令牌后，解密Ind(j)中的链上地址Ad；

步骤S3502，将带有USig、Uid、控制者签名CSig的令牌认证结果CT oken，一起发送给符合要求的Meta(j)所在链下节点OF^c的策略执行点PHP^c；

步骤S3503，所述PHP^c根据令牌认证结CToken再次进行身份和签名验证，并通过地址验证和Fil(j)哈希验证，确认链下文件未失效和未篡改；

步骤S3504，将Fil(j)所在OF^c的链接地址明文、原文件个体密文点对点传输至Uid，并通过PHP^c对链下资源Fil(j)进行访问。

6.根据权利要求5所述的方法，其特征在于，访问控制实施步骤还包括判断材料是否存在委托授权，具体包括步骤：

步骤S410，转移授权访问，Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，即：

TransToken_r,j→[Permitid_j,Uid_j,Token_r,j]；

步骤S420，撤销Token，所述Token被允许Uid_j通过点对点传递的方法，交给信任用户Permitid_j使用，并通过真实性验证确认Token真伪，以及Permitid_j是否有获取该Token的资格,即：

DestroyToken_r,j(Uid_j,Token_r,j,SCSig,td)，

所述撤销由链上PT-SC发出，SCSig表示签名，td表示要求撤销时间。

7.一种以实施权利要求1-6中任一项所述的基于令牌的政务材料链上链下数据协同访问方法的系统,其特征在于，包括:

政务材料链配置单元，所述政务材料被配置为材料索引链IC1、合约控制链SC1和日志链LC1；

元数据设置单元，用于根据预设的政务材料元数据Meta(i)的设置规则，设置政务材料元数据Meta(i)；所述政务材料元数据Meta(i)为原文件个体M_S的上链规范化数据，所述Meta(i)包括链上摘要数据块Ind(i)和链下元数据Fil(i)；所述Ind(i)和Fil(i)均包括唯一编号、数据位置、访问权限、负载和时间戳；

数据上链单元，用于对前述政务材料元数据进行上链操作，以实现链上链下元数据共享查询和访问操作，所述上链操作由同一类型材料的管理者批量完成；

访问控制实施单元，用于根据单一材料所有人的访问请求，调整个体访问策略，生成访问Token并进行验证；控制每个置于共识节点的材料策略预判点PreP和策略执行点PHP；其中，所述材料策略预判点PreP能够进行策略预审，所述策略执行点PHP能够执行线下数据访问策略；所述个体访问策略由预设的智能合约进行管理。

Images