[发明专利]一种基于联盟链的动态双访问控制机制

说明书

本发明公开了一种基于联盟链的动态双访问控制机制，涉及区块链数据安全技术领域。该的动态双访问控制机制在联盟链框架Hyperledger Fabric上采用基于属性的访问控制ABAC模型，将链上数据通过合约函数进行读写，同时将离链数据与合约函数统一抽象成资源实体，并由资源的拥有者通过调用智能合约为该资源绑定访问策略。本发明针对联盟链链应用系统中链上和离链结合的应用模式，可同时对链上数据以及离链数据的两类数据进行访问控制，可从数据读写的源头保护系统数据的安全。另外，通过调用智能合约的形式动态更新访问策略，可在系统运行时动态更新访问策略。

技术领域

本发明涉及区块链数据安全技术领域，具体涉及一种基于联盟链的动态双访问控制机制。

背景技术

随着加密货币大热，其底层技术区块链也开始受到各界关注。近年来，国内外许多行业建立了不少区块链应用，如金融、证券等对数据公信力和可靠性要求高的行业都逐渐将原有的数据系统慢慢迁移至区块链。区块链在发展过程中也出现了不少新的区块链平台，如现在加密货币中的比特币和后面加入了智能合约的以太坊平台。以太坊的引入使得区块链技术的应用访问从金融领域扩展至教育、公益等社会领域，可见区块链有望成为下一代互联网的核心。

然而考虑到降低区块链存储负担和数据访问安全的风险，目前区块链应用系统较多采用链上数据与离链数据相结合的应用模式。现有的应用模式及其缺陷如下：

1、现有的访问控制访问方案集中在离链数据的访问安全，对于离链数据的访问控制，传统的访问控制的方法是借助第三方可信实体为系统中的节点提供访问控制的性能，但会面临单点故障或数据篡改的风险。现有的研究主要考虑利用区块链存储和共享访问权限，利用区块链去中心化的特心保证权限能够被安全存储。然而这些方案假设节点管理员相互可信，不会任意读写访问权限，从而忽略了链上数据的保护；

2、链上数据的访问控制只有与合约函数静态绑定的形式，无法动态更新访问策略。以太坊和Hyperledger Fabric等区块链平台支持使用智能合约维护和读写全局状态，为了保证合约函数被正确调用使得区块链上的数据能够被安全访问，以太坊和HyperledgerFaberic都提供了静态访问控制的方式。这种方式通过为合约函数绑定有效调用者集合的方式，保证了区块链上的数据只被特定调用者成功调用，从而保证了数据的读写安全。然而，这种静态访问控制的方式会增加合约开发者的管理负担，而且合约以合约账户或容器实例的形式部署在网络中。当需要更新访问策略时，需要对合约进行升级并重新部署，且升级期间系统不能响应用户需求，因此无法适应需要频繁更新访问策略的场景。

因此，上述的应用模式在现有的访问控制机制下无法满足对源头数据的安全保护要求以及策略更新时系统的运行稳定性要求。

发明内容

鉴于现有技术的不足，本发明旨在于提供一种基于联盟链的动态双访问控制机制。

为了实现上述目的，本发明采用的技术方案如下：

一种基于联盟链的动态双访问控制机制，在联盟链框架Hyperledger Fabric上采用基于属性的访问控制ABAC模型，将链上数据通过合约函数进行读写，同时将离链数据与合约函数统一抽象成资源实体，并由资源的拥有者通过调用智能合约为该资源绑定访问策略。

优选地，在上述的基于联盟链的动态双访问控制机制中，所述动态双访问控制机制的架构包括三层：

区块链数据层，用于存储所有区块链数据，包括访问控制数据域和业务状态数据域，其中所述访问控制数据域存储访问控制相关的User实体与Resource实体，所述业务状态数据域存储业务逻辑相关的全局状态；

能合约层，用于实现访问控制与业务相关的功能，包括访问控制子模块与业务逻辑子模块，其中访问控制子模块包括有链上拦截点PEPb；

应用层，用于实现用户间的数据共享，包括离链拦截点PEPo与需要相互共享数据的用户。