一种基于区块链的跨领域共享数据安全决策方法及模型与流程

本发明涉及数据安全技术领域，特别是一种基于区块链的跨领域共享数据安全决策方法及模型。

背景技术：

现有的权限系统设计模型通常有：自主访问控制（dac）、强制访问控制（mac）、基于角色的访问控制（rbac)、基于属性的权限控制（abac）等。但这些权限模型通常无法满足跨网跨域数据共享场景下，数据确权确责、追踪溯源、细粒度管控、跨域权限管控等安全需求。

技术实现要素：

本发明所要解决的技术问题是：针对上述存在的问题，提供了一种基于区块链的跨领域共享数据安全决策方法及模型。

本发明采用的技术方案如下：一种基于区块链的跨领域共享数据安全决策方法，具体包括以下过程：

步骤1，共享数据发布方通过安全策略执行点拟定安全策略，发布共享数据，并上报策略信息到安全策略管理点；

步骤2，共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求；

步骤3，安全策略决策点响应决策请求，从安全策略管理点上获取共享数据安全策略，基于安全策略结合区块链共识机制进行策略决策，反馈决策结果给安全策略执行点；

步骤4，使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。

进一步的，所述步骤1的具体过程为：步骤11，共享数据发布方进行共享数据发布时，依据主体、客体、环境、权限属性拟定共享数据安全策略；步骤12，安全策略执行点依据安全策略对共享数据进行封装保护后通过共享交换平台进行共享发布；步骤13，安全策略执行点将安全策略上报到安全策略管理点。

进一步的，所述基于区块链的跨领域共享数据安全决策方法还包括以下过程：安全策略执行点将发布方身份、共享数据信息、安全策略标识通过策略执行点提交到策略决策点，记录到不可篡改信息资源共享账簿。

进一步的，所述步骤2的具体过程为：步骤21，共享数据使用方从共享交换平台获取共享数据信息，向使用方安全策略执行点发起共享数据访问请求；步骤22，使用方安全策略执行点响应该请求，向安全策略决策点发起共享数据访问决策请求。

进一步的，所述步骤3的具体过程为：步骤31，安全策略决策点响应使用方决策请求，向安全策略管理点查询共享数据的安全策略信息；步骤32，安全策略决策点将返回的安全策略信息，以及使用方身份信息、使用环境信息作为决策条件，交予区块链决策模块；步骤33，区块链决策模块基于智能合约机制进行授权决策，并将决策结果返回给安全策略执行点。

进一步的，所述步骤4的具体过程为：步骤41，使用方安全策略执行点获取安全策略决策点决策结果；步骤42，若决策结果为合法，则安全策略执行点允许访问共享数据，若结果为非法，则拒绝访问共享数据。

进一步的，所述基于区块链的跨领域共享数据安全决策方法还包括以下过程：安全策略执行点将处理结果上报安全策略决策点，记录到不可篡改信息资源共享账簿。

本发明还公开了一种基于区块链的跨领域共享数据安全决策模型，包括：

安全策略执行点，部署在共享数据发布方和使用方；用于对接共享业务系统，响应共享业务系统的共享数据请求；用于对接策略决策点，向策略决策点发起数据访问决策请求；

安全策略决策点，用于负责响应策略执行点决策请求，依据安全策略，基于共识决策算法决策使用方是否具备请求的操作权限，并将决策结果反馈给策略执行点；

安全策略管理点，用于集中配置并管理安全策略，为安全策略决策点提供安全策略查询服务。

进一步的，所述安全策略决策点还包括不可篡改信息资源共享账簿，用于记录将发布方身份、共享数据信息、安全策略标识。

进一步的，所述安全策略包括数据单元、授权用户、授权权限、授权环境和扩展属性。

与现有技术相比，采用上述技术方案的有益效果为：

（1）通过构建跨领域共享数据安全决策模型，分离安全策略的管理、决策和执行功能，简化跨领域权限系统设计和实现的复杂性。安全策略管理点实现策略的集中管理，策略决策点基于区块链实现安全策略共识决策、共享数据确权和访问行为的追踪溯源，策略执行点对接业务系统，实现业务系统和权限系统的解耦。

（2）基于区块链智能合约、共识算法和账簿不可篡改等特性实现安全策略决策点，可保证策略决策的权威性和可靠性，同时基于区块链的分布式特征，可支撑共享数据权限的跨域验证和管控。

（3）通过主体、客体、环境、行为等实体属性、以及实体关系的组合制定安全策略，可基于策略描述实现共享数据权限的细粒度、跨域权限管控。

附图说明

图1是本发明基于区块链的跨领域共享数据安全决策模型示意图。

图2是本发明基于区域链的安全决策点示意图。

图3是本发明共享数据安全策略示意图。

具体实施方式

下面结合附图对本发明做进一步描述。

如图1所示，数据提供方和数据使用方是跨领域的两个主体，两个主体之间是共享业务系统，通过本发明的决策方法来实现两个主体之间的安全共享业务。

（1）共享数据发布方通过安全策略执行点拟定安全策略，发布共享数据，并上报策略信息到安全策略管理点；

具体的：（11）共享数据发布方进行共享数据发布时，依据主体、客体、环境、权限属性拟定共享数据安全策略；（12）安全策略执行点依据安全策略对共享数据进行封装保护后通过共享交换平台进行共享发布；（13）安全策略执行点将安全策略上报到安全策略管理点。安全策略管理点作用是集中配置管理安全策略。

优选地，为了数据确权，安全策略执行点将发布方身份、共享数据信息(数据标识、数据指纹)、安全策略标识通过策略执行点提交到策略决策点（区块链），记录到不可篡改信息资源共享账簿。

（2）共享数据使用方通过安全策略执行点向安全策略决策点发起数据访问决策请求；

具体的：（21）共享数据使用方从共享交换平台获取共享数据信息，向使用方安全策略执行点发起共享数据访问请求；（22）使用方安全策略执行点响应该请求，向安全策略决策点发起共享数据访问决策请求。

（3）安全策略决策点响应决策请求，从安全策略管理点上获取共享数据安全策略，基于安全策略结合区块链共识机制进行策略决策，反馈决策结果给安全策略执行点；

具体地：（31）安全策略决策点响应使用方决策请求，向安全策略管理点查询共享数据的安全策略信息；（32）安全策略决策点将返回的安全策略信息，以及使用方身份信息、使用环境信息作为决策条件，交予区块链决策模块；（33）区块链决策模块基于智能合约机制进行授权决策，并将决策结果返回给安全策略执行点。

（4）使用方安全策略执行点根据决策结果对共享数据访问请求进行允许或拒绝处理。

具体地：（41）使用方安全策略执行点获取安全策略决策点决策结果；（42）若决策结果为合法，则安全策略执行点允许访问共享数据，若结果为非法，则拒绝访问共享数据。

上述决策方法中包括以下几个重要的组成部分：安全策略执行点、安全策略决策点、安全策略管理点：

a.安全策略执行点：部署在共享数据发布方和使用方。一方面，对接业务系统，响应业务系统的共享数据请求；另一方面，对接策略决策点，向策略决策点发起数据访问决策请求；

b.安全策略决策点：基于区块链技术实现，一方面，负责登记数据发布方发布的共享数据信息，实现共享数据确权和追踪溯源；另一方面，负责响应策略执行点数据访问请求，依据安全策略，基于共识决策算法决策使用方是否具备请求的操作权限，并将决策结果反馈给策略执行点，同时在账簿中记录该访问行为，实现共享数据访问记录的追溯。基于区块链的安全策略决策点设计如图2；基于区块链的安全决策点包括证书管理节点、智能合约验证节点、共识节点、态势呈现节点，不可篡改信息资源共享账簿。所述不可篡改信息资源共享账簿记录用于以下两个方面：

一、为了用于数据确权，安全策略执行点将发布方身份、共享数据信息(数据标识、数据指纹)、安全策略标识通过策略执行点提交到策略决策点（区块链），记录到不可篡改信息资源共享账簿。

二、为了数据追踪溯源，安全策略执行点根据决策结果做出相应处理之后，安全策略执行点将处理结果上报安全策略决策点（区块链），并记录到不可篡改信息资源共享账簿。

c.安全策略管理点：实现安全策略的集中配置管理，为策略决策点提供安全策略查询服务。

如图3所示，安全策略作为跨领域数据共享的规则描述语言，包括授权用户（主体）、数据单元（客体）、授权环境（例如授权使用时间等，环境）、授权权限（行为）等实体，各实体通过属性进行描述。通过对各实体属性赋值、以及实体之间关系的组合，为细粒度的权限管控和跨领域权限验证提供策略支持。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员，在不脱离本发明的精神所做的非实质性改变或改进，都应该属于本发明权利要求保护的范围。