[发明专利]一种基于联盟链和多重签名的跨组织访问控制方法

权利要求书

1.一种基于联盟链和多重签名的跨组织访问控制方法，首先，对相关定义进行说明：

定义1：联盟链网络

是指提供跨行政域分布式信任的机器，基础设施网络的节点分为共识节点和合约节点，节点由各方组织提供；联盟链网络具有准入机制，仅获得许可的参与组织和它的用户能够访问链上数据并调用智能合约；联盟链网络存储跨行政域访问控制策略和部署智能合约；

其中，共识节点是指运行联盟链共识协议，打包事务并产生新区块的联盟链节点，保证联盟链存储事务的一致性；

其中，合约节点是指联盟链网络中部署智能合约的节点；合约节点接收跨组织的访问请求，执行智能合约对访问请求授权；

定义2：系统用户

是指跨组织资源共享和管理系统的使用者，包括普通用户和管理员两种类型；系统在用户注册时为其分配签名密钥对，用于区块链处理用户行为时的身份验证；系统用户注册客户端与联盟链网络交互；

其中，管理员是被各方组织授权管理本组织内访问控制权限的系统用户；

其中，普通用户是指各参与方提交跨组织访问请求的系统用户；

其中，客户端是指用户使用其签名密钥对注册的应用，用于与联盟链网络交互；

定义3：智能合约

一种旨在以信息化方式传播、验证或执行合同的计算机协议；智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转；跨组织资源管理和访问控制系统存在两种合约，访问控制策略存储合约和访问请求处理合约；

其中，访问控制策略存储合约是指提供对访问控制权限的分配、更新和回收操作的合约逻辑；所述合约逻辑设置准入权限，仅被授权的管理员用户能够在权限范围内调用合约对本组织的访问控制权限进行操作；

其中，访问请求处理合约是指提供对跨组织访问请求验证和授权的合约逻辑；所述合约基于链上存储的访问控制权限处理和授权访问请求；

定义4：基于角色的访问控制RBAC

指所使用并扩展的一种访问控制方式；RBAC中用户与权限不是直接相关联，而是通过用户关联角色，角色关联权限的方式将权限间接赋予用户；被分配角色的用户拥有该角色相关的访问权限；

定义5：多重签名

指被分配签名密钥对的一组签名者能够使用私钥对消息m共同生成一个数字签名，该签名能够通过原始消息m和这组签名者的公钥集合进行合法性验证；

定义6：共治资源

是指与多个组织业务相关的共享资源，其访问控制权限应由相关组织共同管理；对共治服务的访问请求由访问控制树实现；

其中，共治资源提供的服务为共治服务；

其中，访问控制树是指定义在访问请求处理合约中的树形结构，描述和管理对共治服务的访问控制规则，使用一组属于不同组织的角色对一项共治服务进行管理；

定义7：监测节点

指各组织部署的用于监视联盟链新增区块，提取合法的被授权访问请求，并将访问请求发送至本组织相关共享资源的服务器节点；

定义8：多签处理节点

指各组织部署的用于处理多重签名协议过程的服务器节点；

其特征在于，包括以下步骤：

步骤1：系统初始化；

各参与组织提供节点搭建联盟链网络，为跨组织访问控制提供信任机器；公布多重签名协议公共参数，为系统用户提供注册服务并分发签名密钥对；

步骤2：基于角色的访问控制扩展，各参与组织选择管理员用户，调用智能合约管理本组织访问控制权限；

其中，访问控制权限的管理为对“用户-角色”和“角色-权限”关系对的分配、更新与回收；

步骤3：用户对于共治服务的访问，通过多签处理节点选择一组共同签名者，共同构造对于共治服务访问请求的多重签名，请求者将访问请求和多重签名共同提交至联盟链相关合约，合约基于多重签名的合法性为访问请求授权；

步骤4：联盟链节点执行智能合约，打包访问请求和授权结果，产生新区块，各组织监测节点监测新增区块，并将授权的合法访问请求指令转发至共享资源。