[发明专利]基于区块链的跨域访问控制方法及系统

说明书

本发明属于数据跨域安全共享技术领域，特别涉及一种基于区块链的跨域访问控制方法及系统，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP‑ABE属性基加密算法对对称密钥进行属性基加密，将相关密文上传至区块链网络，以智能合约形式分布式存储有关访问控制信息；当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，进而获取相关数据资源。本发明兼顾数据安全性与应用成本，在实现跨域数据资源细粒度访问控制的前提下，能够提高数据资源的共享效率。

技术领域

本发明属于数据跨域安全共享技术领域，特别涉及一种基于区块链的跨域访问控制方法及系统。

背景技术

数据资源在不同安全域之间的流通共享已成为当前互联网发展的趋势，但人们在利用数据资源所创造的巨大价值的同时，也面临着实际应用问题与严峻的安全挑战。一方面，在大数据环境下，数据资源所具有的海量性、动态性、多样性等特点使得数据流通与共享更加复杂，传统的访问控制技术难以满足安全性与可用性的要求；另一方面，在数据的流通和共享过程中，原有的数据安全责权边界会变得模糊，权限管理中存在主体权限控制不足、责任划分不清、权限控制的灵活性与扩展性较差等问题，使得数据资源被非授权使用的风险不断升高。因此，建立安全可控的跨域数据资源流通、共享机制，实现用户对敏感数据资源的“受控访问”，已经成为数据跨域共享所面临的核心问题。如何设计出面向开放大数据环境的访问控制方法已成为数据资源跨域共享领域的当务之急。

发明内容

为此，本发明提供一种基于区块链的跨域访问控制方法及系统，兼顾数据安全性与应用成本的同时，在实现跨域数据资源细粒度访问控制的前提下，通过区块链技术来提高数据资源的共享效率，具有较高的可扩展性，便于实际场景应用。

按照本发明所提供的设计方案，提供一种基于区块链的跨域访问控制方法，包含如下内容：

设置信任锚用户，将信任锚用户身份认证标识设置在用户注册属性证书中，依据域内及域间需求来制定对应数据域中的访问控制策略，利用可信权威机构生成公钥算法所需密钥；

利用SM4加密算法对访问控制策略内容进行对称加密，并利用CP-ABE属性基加密算法对对称密钥进行属性基加密，将对称加密密文及属性基加密密文上传至区块链网络，在区块链网络中以智能合约形式约定分布式存储有关访问控制信息；

当前用户申请访问目标数据域中的数据资源时，依据其访问请求并利用自身属性密钥解密对称密钥密文，并利用解密得到的对称密钥对属性基加密密文进行解密来获取策略明文，依据策略明文来获取目标数据域中的数据资源。

作为本发明中基于区块链的跨域访问控制方法，进一步地，针对可信用户所在数据域的客体资源，将上传访问控制策略的执行用户作为当前数据域资源权限管理者，将该资源权限管理者作为当前数据域中参与联盟链网络维护和共识的信任锚用户，各数据域之间的信任锚用户之间通过共识机制进行互相监督。

作为本发明中基于区块链的跨域访问控制方法，进一步地，生成对称密钥密文及属性基加密密文中，首先，生成用户及对称密钥的属性集合及访问结构；然后，利用，并依据设置参数Setup算法生成公钥参数和主密钥，其中，设置参数至少包含安全参数、属性空间大小及用户空间大小；接着，依据主密钥及访问结构并利用KeyGen算法生成用户私钥；最后，利用SM4加密算法及对称密钥对访问控制策略进行加密，生成对称密钥密文，并利用Encrypt算法对公钥参数、对称密钥及访问结构进行加密生成属性基加密密文，将对称密钥密文及属性基加密密文进行连接，以策略集的形式上传至区块链网络。