[发明专利]一种基于区块链技术的访问控制方法及系统

权利要求书

1.一种基于区块链技术的访问控制方法，执行访问控制方法的系统包括：联盟节点模块UNM、区块链模块BCM、策略管理模块PAM 和属性获取模块AGM；所述联盟节点模块UNM 包括链操作单元COU、策略执行单元PEU、策略判定单元PDU 和数据存储单元DSU；

所述访问控制方法通过用户将访问请求发送至联盟节点模块UNM，由策略执行单元PEU接收并进行处理，并将访问请求重新组织其数据结构形成访问记录交易atx，发送至策略判定单元PDU，数据存储单元DSU 调用链操作单元COU 的读read 方法查询访问记录交易atx是否存在于区块链模块BCM 中，以获取其访问请求的判定结果；若链操作单元COU 返回访问记录交易atx，则表明判定成功，策略执行单元PEU要求数据存储单元DSU 执行访问请求中的操作；否则，策略执行单元PEU 丢弃该访问请求；其特征在于，访问控制方法的具体步骤为：

步骤1）用户将访问请求发送至联盟节点模块UNM，所述联盟节点模块UNM 中的策略执行单元PEU 提取访问请求中的实体，并将访问请求中的实体组织成访问记录交易atx 发送至策略判定单元PDU 中；

步骤2）查询实体属性：策略判定单元PDU 接收并处理访问记录交易atx，提取访问记录交易atx 中的实体，分别向属性获取模块AGM和链操作单元COU 获取实体的属性集合，并将获取得到的实体的属性集合发送给策略判定单元PDU；

步骤3）策略匹配：所述策略判定单元PDU 将接收到的所述实体的属性集合发送给策略管理模块PAM 请求适用的策略，所述策略管理模块PAM 根据得到的实体的属性集合与策略数据库中存储的访问策略进行检索和匹配，策略管理模块PAM 将检索和匹配结果返回给策略判定单元PDU；

步骤4）计算判定结果：所述策略判定单元PDU 根据收集的实体属性集合和策略集合的匹配结果，计算判定结果，并动态地调用属性获取模块AGM 的getenv 方法获取当前环境条件，如果通过判定，则将访问记录交易atx 发送给链操作单元COU 并调用其写write 方法；进入步骤5）；如果判定不通过，则丢弃访问记录交易atx；

步骤5）执行请求操作：策略执行单元PEU 向数据存储单元DSU 请求访问资源，数据存储单元DSU 调用链操作单元COU 的读read 方法查询区块链模块BCM 中是否存在该访问记录交易atx；如果存在，则响应该请求并将执行结果返回；如果不存在，则丢弃该访问请求。

2.根据权利要求1 所述的访问控制方法，其特征在于，所述访问控制方法的步骤1）之前还包括以下步骤：

资源发布步骤： 资源数据存取：数据存储单元DSU 接收拥有者发送的资源描述和内容，将资源存储到对象数据库中；

客体属性入链：数据存储单元DSU 根据拥有者提交的描述和资源提取客体属性，发送至联盟节点模块UNM 中；

策略发布：策略管理模块PAM 接收拥有者为上传资源制定的策略文件，并存储至策略数据库中。

3.根据权利要求1 所述的访问控制方法，其特征在于，所述步骤3）中的策略由多个规则的任意布尔代数组合形成，每个所述规则由多个谓词的任意布尔代数组合形成。

4.根据权利要求1 所述的访问控制方法，其特征在于，所述的将访问请求中的实体组织成访问记录交易atx 具体步骤为：对用户u 利用身份认证技术验证其身份的合法性并获得用户的身份标识sid，将资源r 转换成统一资源标识符uri，操作o 转换成动作标识act，添加系统设置默认的有效期exp，最后附带上节点k 的公钥PKn_k，封装成交易，格式如下：

atx={sid,uri,act,exp,PKn_k,sig}，

用户向区块链中的节点k 发起访问请求，由节点k 完成对实体的转换和交易数据格式的封装，对交易签名并将交易数据扩散至网络中等待被记录入块，节点k 签名计算如下：

sig=Sign(SKn_k,sid||uri||act||exp||PKn_k)。