[发明专利]一种基于区块链的跨域访问控制方法

说明书

本发明属于信息安全技术领域，具体涉及一种基于区块链的跨域访问控制方法。本发明根据更严谨的权限验证逻辑与对能力令牌结构的优化，提供了更加细粒度、更安全的访问控制，根据令牌生成阶段对令牌的处理可以防止伪造令牌的行为，根据动态验证可以抵抗中间人攻击，防止恶意节点对系统进行泛洪攻击，防止单点故障导致系统异常的行为发生，基于区块链的透明与公开特性，所有节点均可以通过访问区块链中的交易和智能合约来同步状态。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于区块链的跨域访问控制方法。

背景技术

目前物联网环境已经随着技术的发展而展示出大规模、分布式、动态化和异构化等特点，依赖可信第三方的传统身份认证与访问控制存在着许多安全威胁，如：隐私问题、缺乏透明度等，单域的数据共享和信息交互已经无法满足人们的需求，如何跨越这种限制，提供多域间的高效信息服务成为亟待解决的问题。

区块链技术越来越受到世界各国和公司的重视和采用，区块链目前正在金融、医疗、供应链、保险和物联网等许多行业掀起一场科技革命，除了加密技术外，区块链还可以帮助许多行业提高效率，克服瓶颈。使用区块链可以加快交易结算速度，降低成本，提供透明度、可审计性、高效率、安全性等。

区块链是确保所有参与者在多域环境中进行分布式交易的理想架构，将传统跨域访问控制技术进行优化并与区块链技术相结合，在保证可行性与安全性的基础上对其进行创新，提高效率，提供一个更加安全和细粒度的方案。

发明内容

本发明的目的在于提供一种可以进行跨域访问的、动态与静态验证相结合的，更加细粒度的基于区块链的访问控制方法。

一种基于区块链的跨域访问控制方法，包括以下步骤：

步骤1：注册阶段：未注册的用户与服务提供者向域所有者进行注册，获得唯一标识EID，域所有者维护本地配置数据库，提供身份验证功能；

步骤2：能力令牌的生成：已注册的用户向域所有者发起请求服务提供者资源的请求，用户作为访问控制的主体，服务提供者作为客体，域所有者执行预定义的决策策略，评估主体的请求后生成能力令牌，并与区块链中的智能合约进行同步；

步骤3：能力令牌的动态验证：主体向客体发起服务请求，客体根据主体的EID调用用区块链中的智能合约对能力令牌进行动态验证，检查主体是否存在不良行为；

步骤4：能力令牌的静态验证：对于不存在不良行为的主体，进行能力令牌的静态验证，检查其权限；

步骤5：响应或拒绝服务：根据动态验证与静态验证的结果，客体将决策响应主体的请求并提供服务或拒绝请求。

进一步地，所述步骤2包括以下步骤：

步骤2.1：已注册用户作为访问控制的主体，服务提供者作为被访问的客体，主体向域所有者发送请求访问客体资源的请求；

步骤2.2：域所有者收到请求后，执行预定义的能力令牌生成策略，生成主体的能力令牌；

步骤2.3：域所有者发起交易，向区块链中的智能合约更新能力令牌，自此所有区块链中的节点都可以同步或验证能力令牌；

步骤2.4：域所有者向主体返回其能力令牌的智能合约地址。

进一步地，所述步骤3包括以下步骤：

步骤3.1：主体向客体发起包含自己EID的访问请求；

步骤3.2：客体收到请求后根据主体的EID向智能合约请求主体的能力令牌进行动态验证；

步骤3.3：智能合约首先根据主体EID判断令牌是否存在，不存在则将拒绝请求并记录此次访问控制记录