1.一种基于区块链的属性基访问控制方法,其特征在于,所述基于区块链的属性基访问控制方法包括:
每个设备由系统中定义的属性进行描述,属性授权机构会根据其身份或能力为其分发对应的属性;同时使用区块链来记录属性的分发;
属性授权机构之间共同维护一个公开可信的记录“属性交易”的分布式账本;
参与数据交互的双方只需要做一些简单的签名和哈希操作即可完成访问控制的功能。
2.如权利要求1所述的基于区块链的属性基访问控制方法,其特征在于,所述每个设备由系统中定义的属性进行描述,属性授权机构会根据其身份或能力为其分发对应的属性;同时使用区块链来记录属性的分发只有拥有与访问策略相匹配的属性集,才拥有访问权限。
3.如权利要求1所述的基于区块链的属性基访问控制方法,其特征在于,所述属性授权机构之间共同维护一个公开可信的记录“属性交易”的分布式账本中,一旦被记录,区块中的数据就不能被篡改,任何人在需要时查询区块链上的记录。
4.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
每个设备由系统中定义的属性进行描述,属性授权机构会根据其身份或能力为其分发对应的属性;同时使用区块链来记录属性的分发;
属性授权机构之间共同维护一个公开可信的记录“属性交易”的分布式账本;
参与数据交互的双方只需要做一些简单的签名和哈希操作即可完成访问控制的功能。
5.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现权利要求1~3任意一项所述的基于区块链的属性基访问控制方法。
6.一种实施如权利要求1~3任意一项所述基于区块链的属性基访问控制方法的属性基访问控制系统,其特征在于,所述属性基访问控制系统,包括:
智能物联网设备,负责收集、处理和共享物联网系统中的数据;不参与交易的验证,只拥有区块链的读取权限;
属性授权机构是属性的授权者,同时也是区块链的管理者;每个设备在进入系统前都需要在属性授权机构完成注册;
区块链,为一串通过哈希函数相连接的区块;每个区块包含两部分:区块头和区块体。
7.如权利要求6所述的属性基访问控制系统,其特征在于,所述智能物联网设备不参与交易的验证,拥有区块链的读取权限具体为:
在共享数据前获得数据拥有者的访问授权,使用属性授权机构授权的属性来向数据拥有者证明所拥有所需的权限;
当数据使用者拥有的属性满足数据拥有者设置的访问策略要求时,数据拥有者才允许数据使用者访问数据。
8.如权利要求6所述的属性基访问控制系统,其特征在于,所述属性授权机构首先会基于身份密码技术为每个管理的设备分发一对公私钥,用来与其他设备进行双向认证与密钥协商;
然后会根据每个设备的身份、特征或角色为其授权合适的属性;属性的授权将以交易的形式被记录在区块链中,作为联盟链的共识节点,属性授权机构在交易生成后会将其放入自己的交易池中,在与其他属性授权机构达成共识后,交易才会被写入到区块链中;
一旦被成功记录,数据将不能被篡改,除非共识节点之间达成了新的共识;共识节点可能会因为各种恶意攻击而成为拜占庭节点,所提方案允许最多(n-1)/3个节点为拜占庭节点,n为属性授权机构的总数;每个属性授权机构拥有一对公私钥,公钥用来生成自己的地址,私钥用来对交易进行签名,每个属性授权机构将私钥妥善保管。
9.如权利要求6所述的属性基访问控制系统,其特征在于,所述区块中包含的所有交易信息组成了区块体,区块头包含上一个区块头的哈希值,时间戳和交易数据的merkle根;
区块按顺序相连,最终形成一条链;merkle根用来高效的验证交易数据的完整性;时间戳用来显示区块生成的时间,以及保证区块能按时间顺序排列;上一个区块头的哈希值包含与该区块有关的所有信息,确保区块数据的完整性。
10.如权利要求9所述的属性基访问控制系统,其特征在于,所述之前的区块中的某些交易数据被恶意篡改,则该区块中交易数据的merkle根也将产生变化,进而导致其区块头的哈希值改变;这种变化将迭代地扩展到后续所有的区块,最后形成一条叉链;
个区块体都由验证者从交易池打包的属性交易构成,一笔属性交易代表属性授权机构对该属性的授权,将该属性分配给目标地址。