[发明专利]一种基于联盟区块链具有动态共识的物联网访问控制方法

权利要求书

1.一种基于联盟区块链具有动态共识的物联网访问控制方法，其特征在于：将一个物联网场景划分成多个IoT域，每个IoT域下都包含一个IoT网关以及IoT设备，选取经过CA认证的IoT网关作为对等方节点加入到联盟区块链网络，且在IoT网关上部署链码以提供访问控制、访问策略管理以及信任评估接口功能，IoT设备与对应域中的IoT网关相连并使用MQTT协议进行访问控制相关的数据交互；

所述链码包括策略管理链码、访问控制链码和信任评估链码，策略管理链码和访问控制链码部署在同一数据通道上，以实现对访问控制策略的管理并获取访问权限；信任评估链码用于记录从IoT网关和IoT设备节点收集的行为特征并计算IoT域的综合信任度，信任评估链码部署在另一个通道上，从而实现与访问控制策略相关业务数据的隔离；借助所述信任评估链码设计了一种基于信任评估的Raft共识机制，所述Raft共识机制通过不同IoT域的综合信任度指标进行共识排序节点的动态选择，之后再执行共识排序服务验证交易；

所述基于信任评估的Raft共识机制包括：

步骤1：IoT网关通过信任评估链码周期性计算所在IoT域的综合信任度评估指标；

步骤2：根据各个IoT域的综合信任度评估指标，周期性地动态选取综合信任度评估指标高于设定阈值的IoT域的IoT网关成为排序节点；

步骤3：当一项交易发起后，每个IoT网关需要验证新区块中的每个交易是否都得到背书策略中指定的所有必需对等方的背书，若是，那么执行步骤4，否则认定为交易发起失败，需等候重新发起新的交易；

步骤4：检查所需背书对等方的特定交易结果是否相同，若是，那么执行步骤5，否则认定为交易发起失败，需等候重新发起新的交易；

步骤5：已动态选取的一组排序节点对接收的交易使用Raft算法进行共识排序，然后按照区块生成策略，将一批交易打包到一起，生成新的区块；

步骤6：对新区块中的每笔交易进行校验，检查交易依赖的输入输出是否符合当前区块链的状态，完成后将区块追加到本地的区块链，并修改世界状态。

2.根据权利要求1所述的物联网访问控制方法，其特征在于：当用户通过用户设备访问其他IoT设备中的资源时，通过链码提供的接口发送访问控制请求，链码会根据访问控制策略会返回访问权限，用户根据访问权限方可获取相关资源；管理者一方面负责维护修改访问控制策略，另一方面负责联盟区块链网络中各类节点CA证书的发放。

3.根据权利要求2所述的物联网访问控制方法，其特征在于：访问控制策略包括主体属性、客体属性、环境属性以及动作权限，所述主体属性用于描述用户或操纵设备的属性，所述客体属性用于描述访问对象的属性。

4.根据权利要求3所述的物联网访问控制方法，其特征在于：所述环境属性包括：授权截止时间、允许访问IP段、位置信息，所述动作权限包括读、写、执行；所述主体属性包括ID、角色、所处成员组、所处域，所述客体属性包括客体ID以及设备MAC值。

5.根据权利要求4所述的物联网访问控制方法，其特征在于：所述策略管理链码提供了添加、删除、更新、查找访问控制策略的功能，每一条访问控制策略都通过策略管理链码以Json格式存储在区块链状态数据库中；

所述访问控制链码用于提供访问控制的授权以及权限委派功能，根据提供的主体属性、客体属性以及环境属性，所述访问控制链码会查询匹配是否有相应的访问控制策略，若发现匹配的访问控制策略，则返回对应的动作权限；此外，所述访问控制链码支持权限委派，用户可以将自己获得的权限委派给其他指定用户，以满足不同应用场景的需求；

所述信任评估链码用于记录IoT域内各个设备的行为特征并根据历史记录计算IoT域的信任度；IoT域的综合信任度由以下5项数据计算而来，包括：平均IP包丢失率指数、平均IP包重复率指数、平均传输延迟指数、平均访问成功率指数、网关节点性能指数。