CN116455645A - 一种用于网络靶场数据的细粒度隔离防护方法及系统 - Google Patents

Abstract

本发明涉及安全技术领域，提供了一种用于网络靶场数据的细粒度隔离防护方法及系统，其主旨在能够实现靶场中对敏感数据的访问权限的精细化管控。主要方案包括凭证生成阶段。数据拥有者将数据的元数据、可授权访问次数值、访问时间限制发送存储在区块链中；数据用户在区块链中检索数据的元数据并向区块链发送访问请求，区块链生成访问凭证并返回给数据用户。用户访问阶段。当用户需要访问数据时，用户首先确认授权密钥，然后计算用于访问的请求密钥QK并发起访问请求。权限验证阶段。当区块链系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

Description

一种用于网络靶场数据的细粒度隔离防护方法及系统

技术领域

本发明涉及网络靶场技术领域，特别涉及一种用于网络靶场数据的细粒度隔离防护方法及系统。

背景技术

在军工企业，面临的网络安全风险较大，需要在网络对抗演练中主动发现安全漏洞、测试验证新技术和新产品、培养网络安全人才等，为达到“以攻促防”的目的网络靶场应运而生。目前，主流的的网络靶场是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。

然而，在这些可以被称为网络靶场的产品中，也存在很大的差异：支持规模的量级差异、模拟环境的复杂程度、各行业应用场景的不同、网络靶场对现实的复现程度(即仿真程度)等等。网络靶场作为支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估的重要基础设施，成为新兴网络安全战略、专业人才队伍建设的重要支撑手段。

正因为靶场是网络安全技术演练、模拟、仿真、孪生的平台，需要对靶场的计算资源、试验数据等反复利用，但是其中一些敏感数据，比如安全漏洞需要严格保护，如果泄漏出去会造成严重的危害。又比如同时有多个试验进行时，必须要保障试验间相互独立，互不干扰，防止一个试验的数据被意外被另外一个试验的参与者访问。因此，如何对网络靶场中各类敏感数据的进行隔离防护，是当前一个技术难点。

目前的网络靶场方案中，一般采用网络隔离的方式方法来实现对数据的分离管控，常见的方式是在网络第二层，即数据链路层实现隔离，通过在交换机上划分VLAN、监听ARP包、组播或广播包，实现了在数据链路层网络帧的转发控制。现有技术具体实现方式如下图3所示：

1、网络靶场根据演练需求对资源进行虚拟化，如图示例，有两个演练场景A和B；

2、靶场根据设置虚拟了场景A环境，以及虚拟机A-1、A-2和虚拟交换机A，将虚拟交换A与物理交换机中的一个VLAN相连，并将场景A需要的试验数据从靶场的数据池中复制到场景A的虚拟环境中，即数据1、数据2；

3、靶场根据设置虚拟了场景B中虚拟了虚拟机B-1、B-2和虚拟交换机B，将虚拟交换B与物理交换机中的另一个VLAN相连，并将场景B需要的试验数据从靶场的数据池中复制到场景B的虚拟环境中，即数据2、数据3；

4、场景A中的用户因为无法跨VLAN访问场景B，即场景A用户无法访问场景B中的试验数据，从而实现了对场景A和场景B中数据的隔离。

这种方案有一定的局限性：扩展性差，VLAN技术最多支持4096多个VLAN，无法适用于上万台虚拟节点的靶场场景；最重要的是，管控粒度不够细，无法感知到靶场内数据具体被访问情况，如上面所述，靶场将试验数据复制给演练场景后，用户在场景中对数据如何使用是无法管控的，另外数据的复制也造成了额外的存储开销。

总的来说，目前的网络靶场只支持场景级的数据隔离方式，并且对场景内数据的具体使用情况无法管控。而在网络攻防演练中，对数据的使用情况，特别是如漏洞等敏感数据的使用情况不仅关系到对演练效果的评估结果，还关系到漏洞被意外使用导致的严重安全问题。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种用于网络靶场数据的细粒度隔离防护方法及系统，能够实现网络靶场中关键重要数据(如靶标、漏洞等敏感数据)的防护与细粒度管控。

为实现上述技术目的本发明采用以下技术手段：

本发明提供了一种用于网络靶场数据的细粒度隔离防护方法及系统，能够实现靶场中对敏感数据(如漏洞等靶标数据)的访问权限的精细化管控。

一种用于网络靶场数据的细粒度隔离防护方法，包括以下步骤：

步骤1：凭证生成阶段。数据拥有者将靶标数据的元数据(包括数据的哈希值(hash)、数据的存储位置等)、可授权访问次数值(n)、访问时间限制(t)发送存储在本发明系统中；数据用户在本发明系统的区块链中检索数据的元数据并向本发明系统发送访问请求，本发明系统生成访问凭证并返回给数据用户。

步骤2：用户访问阶段。当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥(QK)并发起对本发明系统的访问请求。

步骤3：权限验证阶段。当本发明系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

上述步骤1具体包括以下步骤：

步骤1.1：数据用户向本发明系统发送访问请求Req＝{TAG_i，ID_d}，其中TAG_i是元数据中包含的靶标数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：本发明系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：本发明系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：本发明系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管(相当于私钥)并记录自己访问靶标数据的次数，例如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：本发明系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约(Access control contract，ACC)，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

上述步骤2具体包括以下步骤：

步骤2.1：根据靶标数据的V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥(QK)，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向本发明系统发送QK以请求靶标数据访问权限验证。

上述步骤3具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+v₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，例如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，V₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。

本发明还提供了一种用于网络靶场数据安全防护的可配置限制的访问控制系统，包括以下模块：

凭证生成阶段模块：数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中；数据用户在区块链中检索数据的元数据并向区块链发送访问请求，区块链生成访问凭证并返回给数据用户；

用户访问阶段模块：当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求；

权限验证阶段模块：当区块链系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

上述凭证生成阶段模块的实现包括以下步骤：

步骤1.1：数据用户向区块链系统发送访问请求Req＝{TAG_i,ID_d}，其中TAG_i是元数据中包含的数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：区块链系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：区块链系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管并记录自己访问数据的次数，如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：区块链系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约ACC，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

上述技术方案中，用户访问阶段模块的实现具体包括以下步骤：

步骤2.1：根据数据的凭证V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥QK，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向区块链系统发送QK以请求数据访问权限验证。

上述技术方案中，权限验证阶段模块的实现具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+v₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，v₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。

因为本发明采用上述技术手段，因此具备以下有益效果：

1.数据的细粒度访问控制(对数据用户的访问权限的精细化授权)，原因：通过智能合约技术和哈希链实现。

智能合约：是部署在区块链系统上的一种自动化执行程序，具有自动化、强制性的特点，提前将参数(访问次数n、截止日期t等)和函数功能写入智能合约再部署到区块链上，通过调用合约来“启动”执行，从而到达了防止恶意攻击者篡改执行内容。

哈希链：(h₁，h₂，h₃，…，h_n，h_n+1，…)，其中h_i是一个由哈希函数生成的哈希值，而从h₃开始后面的哈希值都由前两个哈希值产生，如h₃＝Hash(h₁+h₂)，从而形成了一个哈希链，哈希算法的一个特点是不可逆向计算，即通过h₁和h₂可以计算出h₃，但无法根据h₃计算出h₁+h₂。从而攻击者无法推导出访问请求key(即，前面提到QK)

2.可信审计，原因：本发明系统基于区块链实现，智能合约部署在区块链上，可保证每次数据用户的访问记录都被区块链记录，区块链的防篡改和可追溯性特点保证了记录的可信性，可用于后续的审计和取证。

3.本发明提出的方法及系统结合了区块链系统、智能合约技术和哈希链，实现了面向网络靶场数据的细粒度隔离防护方法，该方法及系统对于网络靶场能够提升靶场中数据的安全保护能力，实现网络靶场中对敏感数据的精细化管控，该方法相较于已有的网络靶场数据隔离防护方法，具有以下优点：

3.1、对应步骤1的技术方案，实现了离线一对多数据访问控制，数据拥有者不需要一直在线，可以通过将数据托管给本系统，系统可以完成对不同数据用户的自动授权、访问权限验证等。

3.2、可以对数据的具体使用次数、使用期限做限制，并且每次使用都有记录，可用于审计。

3.3、相较于现有方案中对场景级的数据隔离，本发明能够实现对单个数据文件(如一个靶标/漏洞数据包)的数据隔离。

3.4不再对数据进行复制，数据用户每次对数据使用都是对原始数据的调用，降低了整个网络靶场的存储开销。

附图说明

图1为本发明的一种用于网络靶场数据的细粒度隔离防护系统的组成示意图

图2访问控制机制的具体执行方式图；为本发明的一种用于网络靶场数据的细粒度隔离防护方法的执行方式图

图3为一种常见的网络靶场数据隔离方法的实现方式示意图

图4为本发明的网络靶场数据的细粒度隔离防护方法的实现方式示意图

具体实施方式

以下将对本发明的实施例给出详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明，但需要注意的是本发明并不仅仅只局限于这些实施方式。相反，对本发明进行的修改或者等同替换，均应涵盖在本发明的权利要求范围当中。

另外，为了更好的说明本发明，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员将理解，没有这些具体细节，本发明同样可以实施。

本发明提供了一种用于网络靶场数据的细粒度隔离防护方法及系统，能够实现靶场中对敏感数据(如漏洞等靶标数据)的访问权限的精细化管控。

一种用于网络靶场数据的细粒度隔离防护方法及系统，通过区块链系统、哈希链和智能合约实现对网络靶场中靶标数据细粒度地访问控制。明确地说，我们的方法可以限制靶场用户在特定时间范围内访问靶标数据的总次数。例如，假设对用户的授权访问次数为n，则用户在截止时间之前最多可以访问n次靶标数据。

当网络靶场建立试验场景后，会向数据池请求所需的靶标数据，数据拥有者(或靶场管理员)根据请求将所需的靶标数据发布到本发明系统上，本发明系统接收到靶标数据后，将执行如下方法(即本发明的方法)实现对靶标数据的细粒度管控，方法具体包括凭证生成阶段、用户访问阶段和权限验证阶段三个阶段：

步骤1：凭证生成阶段。数据拥有者将靶标数据的元数据(包括数据的哈希值(hash)、数据的存储位置等)、可授权访问次数值(n)、访问时间限制(t)发送存储在本发明系统中；数据用户在本发明系统的区块链中检索数据的元数据并向本发明系统发送访问请求，本发明系统生成访问凭证并返回给数据用户。

步骤2：用户访问阶段。当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥(QK)并发起对本发明系统的访问请求。

步骤3：权限验证阶段。当本发明系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

上述步骤1具体包括以下步骤：

步骤1.1：数据用户向本发明系统发送访问请求Req＝{TAG_i，ID_d}，其中TAG_i是元数据中包含的靶标数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：本发明系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：本发明系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：本发明系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管(相当于私钥)并记录自己访问靶标数据的次数，例如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：本发明系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约(Access control contract，ACC)，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

上述步骤2具体包括以下步骤：

步骤2.1：根据靶标数据的V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥(QK)，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向本发明系统发送QK以请求靶标数据访问权限验证。

上述步骤3具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+v₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，例如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，v₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。

本发明还提供了一种用于网络靶场数据安全防护的可配置限制的访问控制系统，包括以下模块：

凭证生成阶段模块：数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中；数据用户在区块链中检索数据的元数据并向区块链发送访问请求，区块链生成访问凭证并返回给数据用户；

用户访问阶段模块：当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求；

权限验证阶段模块：当区块链系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

上述凭证生成阶段模块的实现包括以下步骤：

步骤1.1：数据用户向区块链系统发送访问请求Req＝{TAG_i，ID_d}，其中TAG_i是元数据中包含的数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：区块链系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：区块链系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管并记录自己访问数据的次数，如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：区块链系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约ACC，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

上述技术方案中，用户访问阶段模块的实现具体包括以下步骤：

步骤2.1：根据数据的凭证V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥QK，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向区块链系统发送QK以请求数据访问权限验证。

上述技术方案中，权限验证阶段模块的实现具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+v₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，v₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。

实施例：如图2显示了本发明的访问控制机制的具体执行方式。在图中，访问最大次数n设置为3，数据用户持有V_key，即(x₀，x₁，3，t，0)，而V＝(x₃，x₄，t)已经存储在ACC智能合约中，其中t是截止日期；第一次访问时，数据用户发送QK＝x₂，ACC将使用QK和V来验证数据用户是否具有访问权限(具体方法如步骤3所述)，如果数据用户通过验证，ACC将更新V；第二次访问时，数据用户需要通过发送QK＝x₁来通过验证，也就是说，X₂只能使用一次。如此这样，数据用户总共可以通过3次验证；最后一次(第三次)访问时，数据用户向智能合约发送x₀以通过验证。由于数据用户无法生成另一个QK来满足第步骤3中的验证条件，因此数据用户无法再通过验证。

本技术提案有如下特点：结合采用的手段，逐条进行优点说明

本申请提案的关键点和欲保护点

我们提出的方法及系统结合了区块链系统、智能合约技术和哈希链，实现了可配置限制条件的数据细粒度访问控制方法，该方法使数据拥有者能够托管其数据，并实现离线的一对多数据访问控制。同时，由于区块链的防篡改和可追溯特性，该方法还确保了数据的访问记录的不可否认性。

这种方法能够提升网络靶场中数据的安全保护能力，实现网络靶场中对敏感数据的访问权限的精细化管控。目前未检索到面向靶场中的数据细粒度访问控制方法。

Claims (8)

1.一种用于网络靶场数据的细粒度隔离防护方法，其特征在于，包括以下步骤：

步骤1：凭证生成阶段，数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中；数据用户在区块链中检索数据的元数据并向区块链发送访问请求，区块链生成访问凭证并返回给数据用户；

步骤2：用户访问阶段。当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求；

步骤3：权限验证阶段，当区块链系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

2.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法，其特征在于，上述步骤1具体包括以下步骤：

步骤1.1：数据用户向区块链系统发送访问请求Req＝{TAG_i，ID_d}，其中TAG_i是元数据中包含的数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：区块链系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：区块链系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管并记录自己访问数据的次数，如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：区块链系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约ACC，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

3.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法，其特征在于，上述步骤2具体包括以下步骤：

步骤2.1：根据数据的凭证V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥QK，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向区块链系统发送QK以请求数据访问权限验证。

4.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法，其特征在于，上述步骤3具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+V₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，v₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。

5.一种用于网络靶场数据的细粒度隔离防护系统，其特征在于，包括以下模块：

凭证生成阶段模块：数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中；数据用户在区块链中检索数据的元数据并向区块链发送访问请求，区块链生成访问凭证并返回给数据用户；

用户访问阶段模块：当用户需要访问靶标数据时，用户首先确认自己拥有数据的授权密钥，然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求；

权限验证阶段模块：当区块链系统收到访问权限验证请求时，会调用ACC对接收到的QK进行权限验证，确认发起请求的数据用户是否具有访问权限，ACC输出通过请求或拒绝请求的结果。

6.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统，其特征在于，上述凭证生成阶段模块的实现包括以下步骤：

步骤1.1：数据用户向区块链系统发送访问请求Req＝{TAG_i，ID_d}，其中TAG_i是元数据中包含的数据唯一标识符(即，数据的哈希值)，ID_d是数据用户的标识；

步骤1.2：区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制；

步骤1.3：区块链系统选择两个随机数x₀、x₁，然后通过哈希链生成算法生成哈希链；

步骤1.4：区块链系统将V_key＝(x₀，x₁，n，t)作为请求访问的凭证发送给用户，数据用户收到凭证V_key后，用户需要妥善保管并记录自己访问数据的次数，如(V_key，i)即(x₀，x₁，n，t，i)，其中i表示已经访问了i次；

步骤1.5：区块链系统将V＝(x_n，x_n+1，t)作为授权的凭证发送给访问控制智能合约ACC，ACC将收到的凭证存储在凭证列表中V_table＝[V₁，V₂，…，V_i](i∈Z)，该表以V_i＝(v₁，v₂，t)的形式存储不同用户的授权凭证，用于验证访问权限。

7.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统，其特征在于，用户访问阶段模块的实现具体包括以下步骤：

步骤2.1：根据数据的凭证V_key＝(x₀，x₁，n，t，i)，数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i；

步骤2.2：数据用户根据i计算访问请求密钥QK，然后得到QK＝x_n-i，使用与上述步骤1.3中相同的哈希链生成算法；

步骤2.3：数据用户向区块链系统发送QK以请求数据访问权限验证。

8.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统，其特征在于，权限验证阶段模块的实现具体包括以下步骤：

步骤3.1：当ACC接收到QK后开始遍历凭证列表V_table；

步骤3.2：ACC会检查V_table中是否存在满足v₂＝H(QK+v₁)的(v₁，v₂，t)，其中H是一个安全哈希函数，如SHA1算法；

步骤3.3：ACC会检查当前时间t′是否满足t′＜＝t；

步骤3.4：如果步骤3.2和步骤3.3都满足，则通过访问验证，ACC将凭证(v₁，v₂，t)中的v₂替换为v₁，将v₁替换为QK，即新凭证更新为(QK，v₁，t)，ACC将输出通过请求的结果，否则输出拒绝请求的结果。