CN117424747A - 基于多区块链的跨域访问控制方法及*** - Google Patents
基于多区块链的跨域访问控制方法及*** Download PDFInfo
- Publication number
- CN117424747A CN117424747A CN202311536545.XA CN202311536545A CN117424747A CN 117424747 A CN117424747 A CN 117424747A CN 202311536545 A CN202311536545 A CN 202311536545A CN 117424747 A CN117424747 A CN 117424747A
- Authority
- CN
- China
- Prior art keywords
- domain
- access control
- cross
- chain
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000011156 evaluation Methods 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 35
- 238000006243 chemical reaction Methods 0.000 claims description 31
- 230000009471 action Effects 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 8
- 238000011217 control strategy Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 5
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000007613 environmental effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 15
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000013524 data verification Methods 0.000 abstract description 5
- IESVDEZGAHUQJU-ZLBXKVHBSA-N 1-hexadecanoyl-2-(4Z,7Z,10Z,13Z,16Z,19Z-docosahexaenoyl)-sn-glycero-3-phosphocholine Chemical compound CCCCCCCCCCCCCCCC(=O)OC[C@H](COP([O-])(=O)OCC[N+](C)(C)C)OC(=O)CC\C=C/C\C=C/C\C=C/C\C=C/C\C=C/C\C=C/CC IESVDEZGAHUQJU-ZLBXKVHBSA-N 0.000 description 18
- IIZPXYDJLKNOIY-JXPKJXOSSA-N 1-palmitoyl-2-arachidonoyl-sn-glycero-3-phosphocholine Chemical compound CCCCCCCCCCCCCCCC(=O)OC[C@H](COP([O-])(=O)OCC[N+](C)(C)C)OC(=O)CCC\C=C/C\C=C/C\C=C/C\C=C/CCCCC IIZPXYDJLKNOIY-JXPKJXOSSA-N 0.000 description 8
- 101000735376 Homo sapiens Protocadherin-8 Proteins 0.000 description 8
- 102100034958 Protocadherin-8 Human genes 0.000 description 8
- 238000013461 design Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013138 pruning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及区块链信息安全技术领域,特别涉及一种基于多区块链的跨域访问控制方法及***,通过在各安全域内部署基于属性的访问控制模型的访问控制链,将域内和域间的访问决策下放至各域内访问控制链,利用中继链跨链技术兼容各安全域内的异构访问控制链,实现跨域访问控制信息的转发与记录;基于智能合约在域内和域间访问控制流程中引入ABAC模型中的策略决策合约、策略管理合约、属性权威合约、域间中介合约及信任管理的信任评估合约,实现域内、域间无需第三方接入的可信跨域访问控制;基于跨链互操作和SPV数据验证算法实现跨域访问访问控制数据的安全保证。本发明能够适用于多域环境下的跨域访问控制场景,可以满足多域环境下域间隐私性和扩展性需求。
Description
技术领域
本发明涉及区块链信息安全技术领域,特别涉及一种基于多区块链的跨域访问控制方法及***。
背景技术
随着大数据、物联网、云计算等信息技术的快速发展,人们逐步认识到数据的价值,数据已经成为包含医疗、金融和科学研究在内各个领域的新生产要素。在大数据背景下,数据呈***式增长且分散在不同机构建立的业务信息***中,这些机构为了满足数据隐私性需求往往被划分为不同的安全域,各安全域根据不同业务需求设计不同的安全策略,使各安全域呈现域内互通、域间孤立的特征,导致数据未被充分利用。因此,打破不同信息***的信息隔离现状,使不同安全域的数据进行流动,实现从封闭式单域向协作式跨域的数据共享是十分必要的。但是数据共享过程中安全性事件层出不穷,所以必须降低多域环境下数据共享过程中的数据泄露风险,保证数据安全性。
访问控制技术是保证多域数据共享***中数据安全的重要安全技术,通过限制用户对数据的访问权限,防止非法用户的访问行为以及合法用户的非法访问行为。同时,访问控制技术还可以帮助管理者控制和限制用户对***中各项资源的访问权限,保证数据的机密性、完整性和可用性,维持***的安全和稳定运行。目前如自主访问控制、强制访问控制和基于角色的访问控制的传统访问控制模型已十分成熟且已被大规模用于保护资源,但是上述模型并不能在多域环境下的直接应用,亟需细粒度、灵活性的访问控制模型满足多域环境下的访问控制需求。基于属性的访问控制模型通过实体属性描述权限信息,能够更加灵活、细粒度地应对多域复杂环境下的访问需求,但是基于属性的访问控制模型在实现判决透明性和可审计性等方面有所缺失,这就需要引入新的技术进行完善。
近些年,多域数据共享下的访问控制研究大多聚焦于使用集中式架构,即各域依赖“中心化”的第三方服务器去执行数据操作,但集中式架构会面临单点故障、策略篡改、权限判定可靠性等问题。区块链技术为实现访问控制***提供了新的思路,其天然具备的分布式、防篡改、公开透明等特性以及无需第三方背书的可信执行特性可以有效解决集中式访问控制架构所带来的风险。但是,目前基于区块链的访问控制更多关注单域内的实现,单链式区块链架构的账本对参与节点公开透明,所以不能处理跨信任域数据,基于区块链的跨域方法可扩展性和域间隐私不理想。
发明内容
为此,本发明提供一种基于多区块链的跨域访问控制方法及***,利用区块链技术建立低成本、高效且能够保证域间隐私性的可信任跨域访问控制机制,以解决现有区块链访问控制中不能处理跨信任域数据、扩展性和域间隐私不理想的情形。
按照本发明所提供的设计方案,提供一种基于多区块链的跨域访问控制方法,包含:
未注册的用户与服务提供者基于属性权威将各自属性注册至对应业务区块链安全域中,并通过调用域内智能合约将属性、属性对应关系及服务提供者自定义的访问控制策略在各安全域的访问控制链上进行上链存储;
各业务区块链安全域内的访问控制链部署至策略执行客户端节点,各策略执行客户端节点通过中继链跨域链接其他业务区块链安全域内的访问控制链,其中,访问控制链以域内智能合约形式部署ABAC访问控制模型中的属性权威、策略管理点和策略决策点,中继链利用域间智能合约形式执行域间数据传输;
访问请求域中资源请求者发起域内访问请求时,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换;访问请求域中资源请求者发起域间访问请求时,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换。
作为本发明基于多区块链的跨域访问控制方法,进一步地,域内智能合约包含:用于对访问控制策略进行增加、删除和更新操作的策略处理合约函数,用于对实体属性进行删除更新操作的属性处理合约函数,用于通过解析访问请求来对访问控制进行判决的访问控制处理合约函数,及对接入域内的策略执行客户端节点进行跨域访问控制请求响应处理的域间数据流处理合约函数。
作为本发明基于多区块链的跨域访问控制方法,进一步地,域间智能合约包含:用于跨链数据转换的数据转换合约函数,用于跨链数据路由转发的路由合约函数,和用于将访问实体进行跨链身份注册和链内身份映射的注册合约函数。
作为本发明基于多区块链的跨域访问控制方法,进一步地,中继链中各节点通过节点部署的域间智能合约来判定当前节点担任角色类型,且各节点中的角色类型分为适配器节点角色类型、路由节点角色类型和注册节点角色类型,其中,适配器节点角色类型基于数据转换合约函数对异构业务区块链安全域上跨链数据进行格式转换处理,路由节点角色类型基于路由合约函数判定路由节点身份并维护链上跨链路由信息,注册节点角色类型基于注册合约函数对跨链用户信息进行注册标识。
作为本发明基于多区块链的跨域访问控制方法,进一步地,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换,包含:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并通过主客体相关属性列表来查询访问请求的相关控制策略,以判定主客体属性是否满足相关控制策略要求并基于合法用户信任管理对主客体进行实时信任评估,其中,原始访问控制请求包括主体唯一标识、客体唯一标识和主体要求对客体的动作,相关属性列表包括主客体属性、环境属性及表示主客体当前信任关系的信任属性;
然后,基于实时信任评估结果,策略执行客户端节点将判决结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
作为本发明基于多区块链的跨域访问控制方法,进一步地,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换,包含:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,该对应请求域内的策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并获取主体属性列表,基于主体属性列表调整访问控制请求并将调整后的访问控制请求发送至中继链,其中,原始访问控制请求包括请求域主体唯一标识、目标域客体唯一标识和主体要求对客体的动作;
接着,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,以寻找目标域策略执行客户端节点并生成请求域标识和目标域标识,基于请求域标识和目标域标识重构访问控制请求并将重构后的访问控制请求发送至目标域策略执行客户端节点;
然后,目标域策略执行客户端节点解析访问控制请求并基于域内智能合约获取访问客体属性信息和代表跨域主客体当前信任关系的信任属性,以基于属性来匹配符合条件的访问控制策略,并基于合法用户信任管理对主客体进行实时信任评估;
最后,基于实时信任评估结果,目标域策略执行客户端节点将访问控制策略匹配结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
作为本发明基于多区块链的跨域访问控制方法,进一步地,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,包含:
通过调用域间智能合约对访问接入的请求域访问控制链相关访问请求数据进行数据转换,对访问中跨链请求进行路由转发,对跨链数据事务在中继链上的区块交易历史进行隐式记录,其中,数据转换包含:去除冗余参数,提取跨链具体参数及将跨链具体参数封装为跨链数据事务,其中,所述跨链具体参数包括请求域标识、目标域标识、主客体标识、主体属性信息及主体要求对壳体的动作信息。
作为本发明基于多区块链的跨域访问控制方法,进一步地,对访问中跨链请求进行路由转发,包含:设置路由器区块链节点,根据访问中跨链请求的传输连接要求及路由器区块链中路由表来进行路由转发,其中,路由器区块链中的路由信息以链上事务形式进行存储,以使跨链请求通过已存的路由信息来查找跨链数据转换处理的中继链节点并通过该中继链节点进行数据转发。
作为本发明基于多区块链的跨域访问控制方法,进一步地,对跨链数据事务在中继链上的区块交易历史进行隐式记录,还包含:利用简单支付验证SPV算法对中继链中的跨链数据事务真实性进行验证,该验证过程包括:
首先,中继链依据跨链数据事务中的跨链请求标识并通过布隆过滤器查找跨链交易所在区块,并根据区块号返回哈希认证路径,其中,哈希认证路径由跨链交易所在Merkle子树相邻叶子结点的哈希值及相邻子树的根节点哈希值组成;
然后,源链依据哈希认证路径并根据存储的中继链区块头信息进行Merkle证明,并依据证明结果来判定跨链数据事务在中继链上的真实存在性。
进一步地,本发明还提供一种基于多区块链的跨域访问控制***,包含:访问控制域、中继链跨域***、访问控制实体及访问控制链,其中,
访问控制域,依据访问角色划分为访问控制请求域和访问控制目标域,各访问控制域内均部署有用于对域内和域间访问请求进行控制的访问控制链;
中继链跨域***,通过中继节点连接各域内节点,以接入各访问控制域内的访问控制链;
访问控制实体,由将域内实体属性上传至域内访问控制链上的访问控制主体和将自定义客体访问控制策略上传至域内访问控制链上的访问控制客体组成;
访问控制链,以链上事务形式存储ABAC访问控制模型中访问控制机制相关属性、策略和访问行为记录;
该跨域访问控制***在具体实现中:
首先,未注册的用户与服务提供者基于属性权威将各自属性注册至对应业务区块链安全域中,并通过调用域内智能合约将属性、属性对应关系及服务提供者自定义的访问控制策略在各安全域的访问控制链上进行上链存储;
各业务区块链安全域内的访问控制链部署至策略执行客户端节点,各策略执行客户端节点通过中继链跨域链接其他业务区块链安全域内的访问控制链,其中,访问控制链以域内智能合约形式部署ABAC访问控制模型中的属性权威、策略管理点和策略决策点,中继链利用域间智能合约形式执行域间数据传输;
访问请求域中资源请求者发起域内访问请求时,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换;访问请求域中资源请求者发起域间访问请求时,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换。
本发明的有益效果:
本发明通过在各安全域内部署基于属性的访问控制模型的访问控制链,将域内和域间的访问决策下放至各域内访问控制链,支持域内自主授权,实现细粒度、可追溯的访问控制,通过中继链跨链技术兼容各安全域内的异构访问控制链,实现跨域访问控制信息的转发与记录;基于跨域访问控制的智能合约在域内和域间访问控制流程中引入ABAC模型中的策略决策合约、策略管理合约、属性权威合约、域间中介合约,引入信任管理的信任评估合约,实现域内、域间无需第三方接入的可信跨域访问控制机制;通过中继链的跨链控制数据转发机制,基于跨链互操作和SPV数据验证算法实现跨域访问访问控制数据的安全保证,能够适用于多域环境下的跨域访问控制场景,可以满足多域环境下域间隐私性和扩展性需求,具有较好的应用前景。
附图说明:
图1为实施例中基于多区块链的跨域访问控制架构示意;
图2为实施例中域内访问控制流程示意;
图3为实施例中域内访问控制流程示意;
图4为实施例中基于中继链的跨链互操作框架。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
目前大多区块链业务***使用单链架构,整体区块链网络中数据必须经过所有节点达成共识后再添加至账本,这种串行方式极大降低整体网络的吞吐量,所以并不适用于多域下实体域内和域间访问请求频繁的场景,而且各安全域根据实际需求设定不同的访问控制策略,单链架构很难在一条公开透明的链上处理所有的跨链数据。针对现有区块链跨域访问控制方法无法满足多域环境下域间隐私性和扩展性需求,本发明实施例,提供一种基于多区块链的跨域访问控制***,包含:访问控制域、中继链跨域***、访问控制实体及访问控制链,其中,
访问控制域,依据访问角色划分为访问控制请求域和访问控制目标域,各访问控制域内均部署有用于对域内和域间访问请求进行控制的访问控制链;
中继链跨域***,通过中继节点连接各域内节点,以接入各访问控制域内的访问控制链;
访问控制实体,由将域内实体属性上传至域内访问控制链上的访问控制主体和将自定义客体访问控制策略上传至域内访问控制链上的访问控制客体组成;
访问控制链,以链上事务形式存储ABAC访问控制模型中访问控制机制相关属性、策略和访问行为记录。
参见图1所示,从访问控制跨域角色将访问控制域划分为访问控制请求域和目标域,其中,域内部署一个域内区块链平台的访问控制***,负责对域内和域间传递的访问请求进行访问控制。可将ABAC模型中的属性权威(Attribute Authority,AA)、策略管理点(Policy Administration Point,PAP)和策略执行点(Policy Decision Point,PDP)以智能合约的形式进行编译部署,域内拥有与中继链连接的节点同时也作为策略执行客户端(PEP Client),负责对访问请求进行转发,如果是域内访问请求则将请求转发至域内访问控制链,如果是域外访问请求则转发至中继链,通过中继链获取访问结果。加入信任评估合约TEC,实现对合法用户的信任管理,支持动态访问控制。跨域***也称为中继链跨链***,通过中继节点连接各域内节点实现中继链平台接入各安全域内的访问控制区块链。通过部署中介合约ICC实现域间数据传输和数据转换,接入的域内访问控制链也可以通过轻节点下载中继链区块头数据进行跨域数据验证。访问控制实体中,资源使用者(Data User,DU),资源使用者作为访问控制主体,负责将域内实体属性上传至域内访问控制链。资源拥有者(Data Owner,DO),资源拥有者作为定义访问控制客体的实体,客体的访问控制策略由资源所有者进行定义和上传。访问控制链中,各安全域内通过区块链上智能合约实现一个基于ABAC模型的访问控制***主体逻辑,访问控制链以链上事务形式存储访问控制机制相关的属性、策略和访问行为记录,链上所有事务公开透明、可追溯、不可篡改,基于区块链实现域内访问控制***可以降低受单点攻击的影响。
基于上述的***架构,本发明实施例,还提供一种基于多区块链的跨域访问控制方法,包含:
S101、未注册的用户与服务提供者基于属性权威将各自属性注册至对应业务区块链安全域中,并通过调用域内智能合约将属性、属性对应关系及服务提供者自定义的访问控制策略在各安全域的访问控制链上进行上链存储。
参与访问流程的实体可划分为访问主体和访问客体,主体即向服务或资源请求访问的实体,客体通常为服务提供者或资源提供者,所有实体需要通过注册来参与访问流程控制。
S102、各业务区块链安全域内的访问控制链部署至策略执行客户端节点,各策略执行客户端节点通过中继链跨域链接其他业务区块链安全域内的访问控制链,其中,访问控制链以域内智能合约形式部署ABAC访问控制模型中的属性权威、策略管理点和策略决策点,中继链利用域间智能合约形式执行域间数据传输。
其中,域内智能合约包含:用于对访问控制策略进行增加、删除和更新操作的策略处理合约函数,用于对实体属性进行删除更新操作的属性处理合约函数,用于通过解析访问请求来对访问控制进行判决的访问控制处理合约函数,及对接入域内的策略执行客户端节点进行跨域访问控制请求响应处理的域间数据流处理合约函数。域间智能合约包含:用于跨链数据转换的数据转换合约函数,用于跨链数据路由转发的路由合约函数,和用于将访问实体进行跨链身份注册和链内身份映射的注册合约函数。
各智能合约具体设计的功能函数详见下表1所示。
表1各智能合约功能
(a)PAPC负责策略相关操作
DO通过调用PAPC中的AddPolicy、DeletePolicy、UpdatePolicy方法来对区块中的TXpolicy进行增加、删除和更新操作。PAPC必须通过DO属性列表的哈希值与TXpolicy中的Pid进行匹配,匹配成功后才可进行后续删改操作。
PAPC中的QueryPolicy函数只有PDPC可以调用,根据PDPC所提供的AAR来查询符合条件的访问控制策略,并将查询到的访问控制相关策略以策略集的形式返回,以供PDPC进行策略判决。
(b)AAC负责属性相关操作
安全域内管理者通过调用AddAttribute、DeleteAttribute、UpdateAttribute实现实体的属性上传、删除、更新,AAC通过获取调用智能合约了解合约调用者的身份是否符合条件,如调用智能合约者是否拥有某个属性来验证智能合约调用者身份。
PDPC调用AAC的QueryAttribute方法实现获取属性关系,属性的查找操作对由PEP发送至PDPC进行解构后的主客体属性列表,查找成功后返回给PDPC。
(c)PDPC负责访问控制判决相关操作
PDPC负责接收并解析链下PEP客户端发送的自然访问请求(Nautural AccessRequest,NAR),通过解析NAR后获取已上传的链上属性、链上访问控制策略,PDPC最后根据获取的三种访问控制原语进行自动化访问控制判决,并将结果返回给PEP客户端。
(d)ICC负责域间数据流处理
ICC由跨域***即中继链跨链***进行部署,负责对接入域内的PEP客户端发送的跨域访问控制请求与响应进行处理。
中继链中各节点可通过节点部署的域间智能合约来判定当前节点担任角色类型,且各节点中的角色类型分为适配器节点角色类型、路由节点角色类型和注册节点角色类型,其中,适配器节点角色类型基于数据转换合约函数对异构业务区块链安全域上跨链数据进行格式转换处理,路由节点角色类型基于路由合约函数判定路由节点身份并维护链上跨链路由信息,注册节点角色类型基于注册合约函数对跨链用户信息进行注册标识。
S103、访问请求域中资源请求者发起域内访问请求时,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换;访问请求域中资源请求者发起域间访问请求时,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换。
具体地,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换,可设计为包含如下内容:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并通过主客体相关属性列表来查询访问请求的相关控制策略,以判定主客体属性是否满足相关控制策略要求并基于合法用户信任管理对主客体进行实时信任评估,其中,原始访问控制请求包括主体唯一标识、客体唯一标识和主体要求对客体的动作,相关属性列表包括主客体属性、环境属性及表示主客体当前信任关系的信任属性;
然后,基于实时信任评估结果,策略执行客户端节点将判决结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
访问控制流程的初始化,即区块链网络初始化、智能合约部署和跨链***的介入必须由管理员提前完成。在授权之前,主客体必须完成属性注册,将属性注册到所在的属性权威中属性,调用AA Contract中AddAttribute接口将属性链及属性对应关系的哈希值注册上链。同时客体拥有者定义访问控制策略PDO,调用PAP Contract中AddPolicy进行策略的上链。如图2所示,资源与资源请求者在同域时,由域内访问控制链进行访问控制判决,域内访问控制详细步骤可描述如下:
(a)资源请求者作为访问控制主体向PEP客户端发送原始访问控制请求(NaturalAccess Request,NAR),NAR参数包含:主体唯一标识IDDU,客体唯一标识IDDO,主体要求对客体的动作TDO。
(b)PEP客户端将NAR传递至PDPC,PDPC进行NAR解析,获取NAR中主客体标识和动作。
(c)PDPC将主体客体标识发送至AAC中,通过调用AAC中QueryAttribute获取存储至链上TXattr中的相关属性列表AL,包括主客体属性、环境属性和代表主客体当前信任关系的信任属性。
(d)PDPC将返回的属性列表进行组合成属性访问请求(Attribute AccessRequest,AAR),然后将AAR发送给PAPC进行相关策略查询,将查询到的TXpolicy返回至PDPC。
(e)PDPC首先判断信任属性是否满足策略要求,满足要求后对PAPC和AAC返回的属性列表AL和TXpolicy集中策略PDO集进行访问控制判决,判决结束后将判决结果和访问行为返回至PEP客户端和TEC,TEC根据反馈进行实时信任评估,而PEP客户端再返回至客体,客体对访问控制结果进行响应。
具体地,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换,可设计为包含如下内容:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,该对应请求域内的策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并获取主体属性列表,基于主体属性列表调整访问控制请求并将调整后的访问控制请求发送至中继链,其中,原始访问控制请求包括请求域主体唯一标识、目标域客体唯一标识和主体要求对客体的动作;
接着,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,以寻找目标域策略执行客户端节点并生成请求域标识和目标域标识,基于请求域标识和目标域标识重构访问控制请求并将重构后的访问控制请求发送至目标域策略执行客户端节点;
然后,目标域策略执行客户端节点解析访问控制请求并基于域内智能合约获取访问客体属性信息和代表跨域主客体当前信任关系的信任属性,以基于属性来匹配符合条件的访问控制策略,并基于合法用户信任管理对主客体进行实时信任评估;
最后,基于实时信任评估结果,目标域策略执行客户端节点将访问控制策略匹配结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
如图3所示,中继链作为跨域平台,在两个域内基于区块链访问控制起纽带作用,实现跨域访问控制数据的转发,域间访问控制流程如下所示:
(a)主体向请求域PEP客户端发送跨域原始访问控制请求(Cross-domain NaturalAccess Request,C-NAR),C-NAR会根据具体情形变化其中参数。请求域内的称为C-NAR1,请求参数包含:请求域主体唯一标识C-UIDDU,目标域客体的唯一标识C-UIDDO和主体要求对客体的动作TDO。
(b)请求域PEP客户端向本域AAC请求访问主体的属性列表,PEP客户端在收到返回属性列表后向中继链上的ICC发送变更后的C-NAR2,C-NAR2请求参数包括:请求域主体唯一标识C-UIDDU和主体属性信息ALDU,目标域客体的唯一标识C-UIDDO,主体要求对客体的动作TDO。
(c)跨域***,即中继链跨链***中ICC接收到C-NAR中客体的跨域统一身份标识对C-UIDDO进行路由寻址,寻到目标域的PEP客户端后,重构成C-NAR3,参数包括:来源域标识LDU,目标域标识LDO,请求域主体唯一标识C-UIDDU和主体属性信息ALDU,目标域客体的唯一标识C-UIDDO,主体要求对客体的动作TDO。
(d)目标域中PEP客户端接收到寻址成功后的C-NAR3后,生成新的C-NAR4,参数包括:来源域标识LDU,请求域主体唯一标识C-UIDDU和主体属性信息ALDU,目标域客体的唯一标识C-UIDDO,主体要求对客体的动作TDO。将C-NAR4发送至PDP进行访问控制判决。
(e)目标域中PDPC首先将传递至C-UIDDU,C-UIDDO至本域的AAC获取客体属性信息和代表跨域主客体当前信任关系的信任属性。PDPC将传递来的所有属性信息生成AAR发送至目标域PAPC匹配符合条件的访问控制策略集,PAPC找寻到符合条件的访问控制策略集后返回PDPC。
(f)目标域PDPC对访问控制策略集进行集中判决,将判决结果返回至目标域PEP客户端,目标域客户端再讲判决结果传递至ICC,返回参数为:请求域主体唯一标识C-UIDDU,目标域客体的唯一标识C-UIDDO和访问控制结果。
其中,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,可包含:
通过调用域间智能合约对访问接入的请求域访问控制链相关访问请求数据进行数据转换,对访问中跨链请求进行路由转发,对跨链数据事务在中继链上的区块交易历史进行隐式记录,其中,数据转换包含:去除冗余参数,提取跨链具体参数及将跨链具体参数封装为跨链数据事务,其中,所述跨链具体参数包括请求域标识、目标域标识、主客体标识、主体属性信息及主体要求对壳体的动作信息。
对访问中跨链请求进行路由转发,可设计为包含:设置路由器区块链节点,根据访问中跨链请求的传输连接要求及路由器区块链中路由表来进行路由转发,其中,路由器区块链中的路由信息以链上事务形式进行存储,以使跨链请求通过已存的路由信息来查找跨链数据转换处理的中继链节点并通过该中继链节点进行数据转发。
目前集中式的跨域访问控制机制通过安全域外第三方服务器统一进行跨域控制信息的转发,无法保证跨域信息的可追溯性和可审计性,而且各安全域的基于区块链的访问控制***因为事先未协商平台的一致性,所以无法直接进行跨链的数据交换,为此,本案实施例中,基于中继链实现跨链控制信息转发机制,通过中继链对各安全域内的平行异构链进行兼容,同时保证跨域访问控制的安全可信、可审计。其中,基于中继链的跨链互操作框架如图4所示,可由以下三个部分构成:
(a)平行链:平行链在跨链控制信息交换中扮演跨链操作的请求者和接收者,负责实现各信任域内的业务***。每个平行链都是一个独立的区块链网络,但是为了能够将异构区块链平台进行链接,平行链不仅可以利用链上智能合约实现自我审计也可通过基于SPV的数据验证算法来验证本地存储的中继链交易区块头,证明区块头中跨链请求信息的存在真实性以实现链间的可信审计。通过中继链链接平行链的模式可以连接多条并行运行的独立区块链,可以形成“绳状结构”,增强区块链与区块链之间的跨链互操作性,支持跨域应用以跨链的形式进行实现。
(b)中继链:中继链作为链接各平行区块链的主链,负责对平行链上的节点所发送跨链请求进行数据转换解析及路由转发,实现链与链间的数据传递,同时中继链对各平行链传递来的每一个交易进行隐式记录,各平行链客户端可根据中继链存储的接入各平行链的区块头数据进行在验证环节,利用SPV进行交易验证。架构如图4所示,中继链上节点主要分为三类角色,为适配器节点、路由节点和注册节点,中继链上节点角色不固定且可以兼任,主要以节点部署智能合约来判定某时刻节点所担任角色。适配器节点连接平行链与中继链,允许发送交易和查询不同类型区块链协议和网络,可通过部署数据转换合约(DataConversion Contract,DCC)实现对异构区块链上跨链数据格式的处理,如对使用Fabric中基于Goland的链码发送的跨链数据原语进行解析、存储和转换;路由节点是实现链间路由寻址和路由转发,通过中继链上的部署路由合约(Router Contract,RC)来判定路由节点身份,同时路由节点负责维护链上跨链路由信息;注册节点也整体中继链上负责对跨链用户进行信息注册的节点,通过统一用户标识来对每个用户进行标识。
(c)跨链交易实体:主要分为源链请求方和目标链接收者,跨链交易实体可以是部署跨链智能合约的异构平行链中任意链,但是必须保证所有跨链交易实体拥有统一的跨链身份标识。
中继链上域间智能合约的设计可描述如下:
(a)数据转换合约DCC
区块链是一个封闭而独立的***,而不同安全域内基于区块链的应用***平台在使用中继链进行链接前彼此之间是未知的,所以存在区块链上事务不兼容问题。为了实现链之间的连接,必须增加一个特定的角色来作为连接方,方便进行双方之间的信息交换。适配器节点就负责中继链和平行链的信息交换,而部署在适配器节点的DCC主要负责跨链数据的转换,即将从平相链传递的跨链数据进行解析、修改和封装。DCC首先负责将平行链发送的跨链信息进行解析,转换并去除其中如区块高度等冗余参数,只获取跨链具体参数,如跨链访问控制请求中的主客体标识等具体信息。然后将具体内容封装进跨链事务中,中继链上所有操作除路由表信息外都通过跨链事务来进行,其中,DCC将经过数据转换后的具体内容封装至跨链事务封装跨链数据事务,跨链数据事务具体信息可表示为:
TXcross-chain={SourceChainID,DestinationChainID,Type,Txid,Timestamp,Content}
其中,SourceChai-nID为源链标识,DestinationChainID为目标链标识,Type为跨链事务类型,可以为访问控制类,Txid为事务唯一标识,也可以为其他事务类型,Timestamp为跨链事务生成时间戳,Content为封装的从平行链传递的具体内容。
(b)路由合约RC
区块链路由可以将一些区块链实体或节点作为路由器,在不同的区块链网络之间发送请求在区块链路由器网络中,区块链扮演路由器的功能,根据通信协议分析和传输连接请求,保留区块链网络的动态通信布局。在本方法中选择使用智能合约的形式,即使用路由合约进行路由转发,保证跨链数据可以通过已存的路由信息查找与平行链链接的适配器节点,再通过适配器节点上的进行数据解包与转发,其中,路由交易由路由器节点根据路由器区块链中写入的路由表进行传输。路由信息以链上事务形式存储,具体表示如下:
TXRouting={BlockchainID,Pority,Timestamp,AdapterAddr}
其中,Block-chainID为区块链应用***的唯一标识,Pority为路由优先级,优先级最高的包含最新接入跨链***的区块链信息,Timestamp为路由信息生成的时间戳,Address为连接区块链网络的适配器节点地址。
(3)注册合约RCC
注册合约负责将实体在各链中账户进行统一映射方便跨链管理,用户通过调用RCC合约上注册函数进行跨链身份注册和链内身份映射。
根据以上合约,中继链上数据转换算法如下表2所示:
表2基于中继链数据交换
其中,利用简单支付验证SPV算法对中继链中的跨链数据事务真实性进行验证,该验证过程可设计为包括如下内容:
首先,中继链依据跨链数据事务中的跨链请求标识并通过布隆过滤器查找跨链交易所在区块,并根据区块号返回哈希认证路径,其中,哈希认证路径由跨链交易所在Merkle子树相邻叶子结点的哈希值及相邻子树的根节点哈希值组成;
然后,源链依据哈希认证路径并根据存储的中继链区块头信息进行Merkle证明,并依据证明结果来判定跨链数据事务在中继链上的真实存在性。
中继链负责对接入的异构平行链进行数据转换和对跨链请求进行路由转发,同时对发送的跨链事务在中继链上的区块交易历史中进行隐式记录,但是各异构链无法确定发出的跨链事务是否在中继区块链完整地进行相对应处理,这时就需要一个各平行链通过跨链事务验证算法来验证所提交的跨链事务在中继链上存在的真实性。简单支付验证(SPV)是一种基于默克尔树结构的数据存在性校验算法。在区块体中,每笔交易都挂载在默克尔树的一个叶子节点上,用户只需要保存每个区块的区块头信息即可完成对某笔交易的支付验证(其本质为验证某笔交易所在的区块是否为共识区块)。基于此,本案实施例中,选择使用SPV算法对存储中继链上交易进行存在真实性验证,其中,基于SPV的数据验证算法伪代码可如下表3所示:
表3基于SPV的跨链数据存在性验证算法
节点发送跨链请求后的会接收到CCId,即CCId在Merkle二叉哈希树中以叶子节点的形式进行存储。平行链首先向中继链发送CCId,中继链通过布隆过滤器快速查询交易所在区块,中继链根据区块号返回由交易所在子树相邻叶子结点的哈希值和相邻子树的根节点哈希值组成的哈希认证路径;源链接收到哈希认证路径后根据存储的中继链区块头信息进行Merkle证明,证明成功后则表示跨链事务在中继链上存在。
针对现有区块链跨域访问控制方案无法满足多域环境下域间隐私性和扩展性需求,本案实施例中,通过在各安全域内部署基于属性的访问控制模型的访问控制链,将域内和域间的访问决策下放至各域内访问控制链,支持域内自主授权,实现细粒度、可追溯的访问控制,通过中继链链通各安全域内的异构访问控制链,实现跨域访问请求响应的转发与记录;设计支持跨域访问控制的智能合约,通过在域内和域间访问控制流程中引入域内策略决策合约、策略管理合约、属性权威合约、信任评估合约和域间中介合约,实现域内、域间无需第三方接入的可信跨域访问控制流程;并通过设计中继链上转发智能合约和基于SPV的跨链数据存在性算法,保证跨链的可审计性和可验证性,能够适用于多域环境下的跨域访问控制场景,可以满足多域环境下域间隐私性和扩展性需求。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于多区块链的跨域访问控制方法,其特征在于,包含:
未注册的用户与服务提供者基于属性权威将各自属性注册至对应业务区块链安全域中,并通过调用域内智能合约将属性、属性对应关系及服务提供者自定义的访问控制策略在各安全域的访问控制链上进行上链存储;
各业务区块链安全域内的访问控制链部署至策略执行客户端节点,各策略执行客户端节点通过中继链跨域链接其他业务区块链安全域内的访问控制链,其中,访问控制链以域内智能合约形式部署ABAC访问控制模型中的属性权威、策略管理点和策略决策点,中继链利用域间智能合约形式执行域间数据传输;
访问请求域中资源请求者发起域内访问请求时,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换;访问请求域中资源请求者发起域间访问请求时,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换。
2.根据权利要求1所述的基于多区块链的跨域访问控制方法,其特征在于,域内智能合约包含:用于对访问控制策略进行增加、删除和更新操作的策略处理合约函数,用于对实体属性进行删除更新操作的属性处理合约函数,用于通过解析访问请求来对访问控制进行判决的访问控制处理合约函数,及对接入域内的策略执行客户端节点进行跨域访问控制请求响应处理的域间数据流处理合约函数。
3.根据权利要求1或2所述的基于多区块链的跨域访问控制方法,其特征在于,域间智能合约包含:用于跨链数据转换的数据转换合约函数,用于跨链数据路由转发的路由合约函数,和用于将访问实体进行跨链身份注册和链内身份映射的注册合约函数。
4.根据权利要求3所述的基于多区块链的跨域访问控制方法,其特征在于,中继链中各节点通过节点部署的域间智能合约来判定当前节点担任角色类型,且各节点中的角色类型分为适配器节点角色类型、路由节点角色类型和注册节点角色类型,其中,适配器节点角色类型基于数据转换合约函数对异构业务区块链安全域上跨链数据进行格式转换处理,路由节点角色类型基于路由合约函数判定路由节点身份并维护链上跨链路由信息,注册节点角色类型基于注册合约函数对跨链用户信息进行注册标识。
5.根据权利要求1所述的基于多区块链的跨域访问控制方法,其特征在于,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换,包含:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并通过主客体相关属性列表来查询访问请求的相关控制策略,以判定主客体属性是否满足相关控制策略要求并基于合法用户信任管理对主客体进行实时信任评估,其中,原始访问控制请求包括主体唯一标识、客体唯一标识和主体要求对客体的动作,相关属性列表包括主客体属性、环境属性及表示主客体当前信任关系的信任属性;
然后,基于实时信任评估结果,策略执行客户端节点将判决结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
6.根据权利要求1所述的基于多区块链的跨域访问控制方法,其特征在于,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换,包含:
首先,针对资源请求者作为访问控制主体发送的原始访问控制请求,该对应请求域内的策略执行客户端节点基于域内智能合约对原始访问控制请求进行解析并获取主体属性列表,基于主体属性列表调整访问控制请求并将调整后的访问控制请求发送至中继链,其中,原始访问控制请求包括请求域主体唯一标识、目标域客体唯一标识和主体要求对客体的动作;
接着,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,以寻找目标域策略执行客户端节点并生成请求域标识和目标域标识,基于请求域标识和目标域标识重构访问控制请求并将重构后的访问控制请求发送至目标域策略执行客户端节点;
然后,目标域策略执行客户端节点解析访问控制请求并基于域内智能合约获取访问客体属性信息和代表跨域主客体当前信任关系的信任属性,以基于属性来匹配符合条件的访问控制策略,并基于合法用户信任管理对主客体进行实时信任评估;
最后,基于实时信任评估结果,目标域策略执行客户端节点将访问控制策略匹配结果反馈至访问客体,以使访问客体对访问控制请求进行响应。
7.根据权利要求6所述的基于多区块链的跨域访问控制方法,其特征在于,中继链解析访问控制请求并基于域间智能合约对客体进行路由寻址,包含:
通过调用域间智能合约对访问接入的请求域访问控制链相关访问请求数据进行数据转换,对访问中跨链请求进行路由转发,对跨链数据事务在中继链上的区块交易历史进行隐式记录,其中,数据转换包含:去除冗余参数,提取跨链具体参数及将跨链具体参数封装为跨链数据事务,其中,所述跨链具体参数包括请求域标识、目标域标识、主客体标识、主体属性信息及主体要求对壳体的动作信息。
8.根据权利要求7所述的基于多区块链的跨域访问控制方法,其特征在于,对访问中跨链请求进行路由转发,包含:设置路由器区块链节点,根据访问中跨链请求的传输连接要求及路由器区块链中路由表来进行路由转发,其中,路由器区块链中的路由信息以链上事务形式进行存储,以使跨链请求通过已存的路由信息来查找跨链数据转换处理的中继链节点并通过该中继链节点进行数据转发。
9.根据权利要求7所述的基于多区块链的跨域访问控制方法,其特征在于,对跨链数据事务在中继链上的区块交易历史进行隐式记录,还包含:利用简单支付验证SPV算法对中继链中的跨链数据事务真实性进行验证,该验证过程包括:
首先,中继链依据跨链数据事务中的跨链请求标识并通过布隆过滤器查找跨链交易所在区块,并根据区块号返回哈希认证路径,其中,哈希认证路径由跨链交易所在Merkle子树相邻叶子结点的哈希值及相邻子树的根节点哈希值组成;
然后,源链依据哈希认证路径并根据存储的中继链区块头信息进行Merkle证明,并依据证明结果来判定跨链数据事务在中继链上的真实存在性。
10.一种基于多区块链的跨域访问控制***,其特征在于,包含:访问控制域、中继链跨域***、访问控制实体及访问控制链,其中,
访问控制域,依据访问角色划分为访问控制请求域和访问控制目标域,各访问控制域内均部署有用于对域内和域间访问请求进行控制的访问控制链;
中继链跨域***,通过中继节点连接各域内节点,以接入各访问控制域内的访问控制链;
访问控制实体,由将域内实体属性上传至域内访问控制链上的访问控制主体和将自定义客体访问控制策略上传至域内访问控制链上的访问控制客体组成;
访问控制链,以链上事务形式存储ABAC访问控制模型中访问控制机制相关属性、策略和访问行为记录;
该跨域访问控制***在具体实现中:
首先,未注册的用户与服务提供者基于属性权威将各自属性注册至对应业务区块链安全域中,并通过调用域内智能合约将属性、属性对应关系及服务提供者自定义的访问控制策略在各安全域的访问控制链上进行上链存储;
各业务区块链安全域内的访问控制链部署至策略执行客户端节点,各策略执行客户端节点通过中继链跨域链接其他业务区块链安全域内的访问控制链,其中,访问控制链以域内智能合约形式部署ABAC访问控制模型中的属性权威、策略管理点和策略决策点,中继链利用域间智能合约形式执行域间数据传输;
访问请求域中资源请求者发起域内访问请求时,策略执行客户端节点利用访问控制链并通过调用域内智能合约建立资源请求者和资源拥有者之间的数据交换;访问请求域中资源请求者发起域间访问请求时,策略执行客户端节点利用中继链并通过调用域间智能合约建立请求域资源请求者和目标域资源拥有者之间的数据交换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311536545.XA CN117424747A (zh) | 2023-11-17 | 2023-11-17 | 基于多区块链的跨域访问控制方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311536545.XA CN117424747A (zh) | 2023-11-17 | 2023-11-17 | 基于多区块链的跨域访问控制方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117424747A true CN117424747A (zh) | 2024-01-19 |
Family
ID=89522948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311536545.XA Pending CN117424747A (zh) | 2023-11-17 | 2023-11-17 | 基于多区块链的跨域访问控制方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117424747A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117708181A (zh) * | 2024-02-05 | 2024-03-15 | 人民法院信息技术服务中心 | 一种私有链的异构数据跨链查询方法、装置、***及设备 |
-
2023
- 2023-11-17 CN CN202311536545.XA patent/CN117424747A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117708181A (zh) * | 2024-02-05 | 2024-03-15 | 人民法院信息技术服务中心 | 一种私有链的异构数据跨链查询方法、装置、***及设备 |
| CN117708181B (zh) * | 2024-02-05 | 2024-04-30 | 人民法院信息技术服务中心 | 一种私有链的异构数据跨链查询方法、装置、***及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11995618B2 (en) | Blockchain network interaction controller | |
| JP7019697B2 (ja) | ブロックチェーン上の動的アクセス制御 | |
| US9667654B2 (en) | Policy directed security-centric model driven architecture to secure client and cloud hosted web service enabled processes | |
| US8522306B2 (en) | System, method and computer program product for implementing at least one policy for facilitating communication among a plurality of entities | |
| CN112005264A (zh) | 实施跨链事务的区块链 | |
| CN108173850A (zh) | 一种基于区块链智能合约的身份认证***和身份认证方法 | |
| JP7511629B2 (ja) | ブロックチェーンを構成するためのセキュリティ層 | |
| JP7228322B2 (ja) | ブロックチェーン・ネットワークにおける自動コミット・トランザクション管理 | |
| US20060106748A1 (en) | System and method for orchestrating composite web services in constrained data flow environments | |
| CN111950019A (zh) | 一种基于区块链的物联网访问控制***及方法 | |
| CN117424747A (zh) | 基于多区块链的跨域访问控制方法及*** | |
| Pathak et al. | TABI: Trust-based ABAC mechanism for edge-IoT using blockchain technology | |
| Cui et al. | IoT data management and lineage traceability: A blockchain-based solution | |
| Zeydan et al. | Blockchain-Based Service Orchestration for 5G Vertical Industries in Multicloud Environment | |
| Goncalves et al. | Distributed network slicing management using blockchains in E-health environments | |
| Llambias et al. | Gateway-based Interoperability for Distributed Ledger Technology | |
| di Vimercati et al. | Empowering owners with control in digital data markets | |
| Rahman et al. | Blockchain-enabled SLA compliance for crowdsourced edge-based network function virtualization | |
| Xi et al. | Decentralized access control for secure microservices cooperation with blockchain | |
| Khalil et al. | IoT-MAAC: Multiple attribute access control for IoT environments | |
| Nelson | Wide-Area Software-Defined Storage | |
| JP4967056B2 (ja) | ポリシ判定装置、方法及びプログラム | |
| JP4967055B2 (ja) | 情報処理システム、方法及びプログラム | |
| CN115225647B (zh) | 基于智能合约的制造业数据演化实体部门间安全交互方法 | |
| Kalapaaking et al. | Blockchain-Based Access Control for Secure Smart Industry Management Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |