[发明专利]一种基于区块链的跨域访问控制方法

权利要求书

1.一种基于区块链的跨域访问控制方法，其特征在于，包括以下步骤：

步骤1：注册阶段：未注册的用户与服务提供者向域所有者进行注册，获得唯一标识EID，域所有者维护本地配置数据库，提供身份验证功能；

步骤2：能力令牌的生成：已注册的用户向域所有者发起请求服务提供者资源的请求，用户作为访问控制的主体，服务提供者作为客体，域所有者执行预定义的决策策略，评估主体的请求后生成能力令牌，并与区块链中的智能合约进行同步；

步骤3：能力令牌的动态验证：主体向客体发起服务请求，客体根据主体的EID调用用区块链中的智能合约对能力令牌进行动态验证，检查主体是否存在不良行为；

步骤4：能力令牌的静态验证：对于不存在不良行为的主体，进行能力令牌的静态验证，检查其权限；

步骤5：响应或拒绝服务：根据动态验证与静态验证的结果，客体将决策响应主体的请求并提供服务或拒绝请求。

2.根据权利要求1所述的一种基于区块链的跨域访问控制方法，其特征在于：所述步骤2包括以下步骤：

步骤2.1：已注册用户作为访问控制的主体，服务提供者作为被访问的客体，主体向域所有者发送请求访问客体资源的请求；

步骤2.2：域所有者收到请求后，执行预定义的能力令牌生成策略，生成主体的能力令牌；

步骤2.3：域所有者发起交易，向区块链中的智能合约更新能力令牌，自此所有区块链中的节点都可以同步或验证能力令牌；

步骤2.4：域所有者向主体返回其能力令牌的智能合约地址。

3.根据权利要求1所述的一种基于区块链的跨域访问控制方法，其特征在于：所述步骤3包括以下步骤：

步骤3.1：主体向客体发起包含自己EID的访问请求；

步骤3.2：客体收到请求后根据主体的EID向智能合约请求主体的能力令牌进行动态验证；

步骤3.3：智能合约首先根据主体EID判断令牌是否存在，不存在则将拒绝请求并记录此次访问控制记录

步骤3.4：智能合约检查令牌是否处于可用状态，即根据主体能力令牌中的属性：被禁用开始时间DT以及禁用时长TOM，与发起请求的时间进行比较，判断主体是否在被禁用时间内发起请求；

步骤3.5：智能合约根据令牌中记录的该主体上一次对客体发起访问请求的时间LRT，计算与此次发起请求的时间差，根据预定义的频繁访问时间阈值，判断主体是否存在频繁访问的不良行为；

步骤3.6：智能合约根据访问控制记录表查询该主体的前n次请求的结果，若均被拒绝仍发起请求，则判定主体存在不良行为；

步骤3.7：若主体存在不良行为，将拒绝其访问请求并根据发生不良行为的次数Times计算能力令牌的禁用时间ToM，禁用主体的能力令牌，并更新不良行为记录表与访问控制记录表；如主体通过验证，则开始进行能力令牌的静态验证。

4.根据权利要求1所述的一种基于区块链的跨域访问控制方法，其特征在于：所述步骤4包括以下步骤：

步骤4.1：静态验证首先检查主体能力令牌中是否已授予对客体的访问权限，若无权限则直接拒绝请求；

步骤4.2：对主体的权限进行验证，验证令牌中上下文条件的属性是否满足客体需要在本地满足的访问控制条件；

步骤4.3：若满足条件则提供服务并更新访问控制记录表，若不满足条件则继续检查主体的下一组权限，重复步骤4.2，直至所有权限均被验证。

5.根据权利要求1所述的一种基于区块链的跨域访问控制方法，其特征在于：所述步骤5包括以下步骤：

步骤5.1：智能合约将动态与静态权限验证的检查结果返回给客体；

步骤5.2：若无异常情况，客体将响应请求并对主体提供服务，若结果中包含令牌封锁时间，客体将该时间返回给主体。