[发明专利]一种基于联盟链的动态双访问控制机制

权利要求书

1.一种基于联盟链的动态双访问控制机制，其特征在于，在联盟链框架HyperledgerFabric上采用基于属性的访问控制ABAC模型，将链上数据通过合约函数进行读写，同时将离链数据与合约函数统一抽象成资源实体，并由资源的拥有者通过调用智能合约为该资源绑定访问策略。

2.根据权利要求1所述的基于联盟链的动态双访问控制机制，其特征在于，所述动态双访问控制机制的架构包括三层：

区块链数据层，用于存储所有区块链数据，包括访问控制数据域和业务状态数据域，其中所述访问控制数据域存储访问控制相关的User实体与Resource实体，所述业务状态数据域存储业务逻辑相关的全局状态；

能合约层，用于实现访问控制与业务相关的功能，包括访问控制子模块与业务逻辑子模块，其中访问控制子模块包括有链上拦截点PEPb；

应用层，用于实现用户间的数据共享，包括离链拦截点PEPo与需要相互共享数据的用户。

3.根据权利要求2所述的基于联盟链的动态双访问控制机制，其特征在于，所述访问控制数据域中的User实体持有证书中心颁发的数字证书,User实体保存有用于校验数字签名的公钥,所述访问控制数据域中的Resource实体保存有资源的访问策略。

4.根据权利要求1所述的基于联盟链的动态双访问控制机制，其特征在于，由所述联盟链框架Hyperledger Fabric中的证书中心作为所述动态双访问控制机制在基于属性的访问控制ABAC模型运行时的属性中心AA，在为User实体颁发数字证书的同时为该User实体绑定属性。

5.根据权利要求2所述的基于联盟链的动态双访问控制机制，其特征在于，所述智能合约中的策略执行点PDP通过访问控制框架casbin实现，传入所述策略执行点PDP的访问请求被用于决策引擎进行决策，最后得出发出该访问请求的请求用户是否拥有可以访问所述Resource实体中的资源客体的权限。

6.根据权利要求5所述的基于联盟链的动态双访问控制机制，其特征在于，访问请求在传至所述策略执行点PDP之前，由所述策略拦截点PEP进行数据解析。

7.根据权利要求2所述的基于联盟链的动态双访问控制机制，其特征在于，所述链上拦截点PEPb负责拦截链上资源的访问，所述离链拦截点PEPo负责拦截离链资源的访问。

8.根据权利要求1所述的基于联盟链的动态双访问控制机制，其特征在于，所述智能合约中的策略管理点PAP采用分布式结构构成。

9.根据权利要求7所述的基于联盟链的动态双访问控制机制，其特征在于，在访问离链数据时，还包括对发起离链数据访问请求的用户的身份进行伪造校验识别，在由所述离链拦截点PEPo将该离链数据访问请求进行数据解析后，由所述智能合约中的访问控制子模块中的CheckUser模块配合，通过数字签名校验来对该发起离链数据访问请求的用户身份进行识别，防止身份伪造的用户对离链数据进行非法访问。