本发明涉及身份认证的技术领域,具体涉及一种基于区块链构建的身份授权安全访问方法。
背景技术:
身份认证,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证与身份授权相联系,授权控制是指用户通过身份认证后,用户可以访问哪些资源、可以以何种方式进行访问操作等问题。现有的身份认证方式,简单的身份认证方式就是通过核对用户输入的用户名和口令与系统中存储的是否一致,复杂一些的身份认证方式是通过用户提供更多的信息来证明自己的身份。
现有的身份识别机制有一次性口令、基于令牌的鉴别机制、基于智能卡鉴别机制、基于生物特征的鉴别机制、基于pki的身份认证。现有的访问控制具有可靠性低、透明度低、授权系统扩展性不足等缺陷。
技术实现要素:
本发明克服了上述的访问控制的技术缺陷,提供了一种基于区块链构建的身份授权安全访问方法。
为解决上述技术问题,本发明的技术方案如下:
一种基于区块链构建的身份授权安全访问方法,基于区块链构建的身份授权安全访问方法包括如下步骤:s1:发送查询请求至区块链节点模块;s2:获取主体和客体的属性,并将获取的主体和客体的属性集合发送给策略进行判断;s3:进行策略判断是否获得授权,若是,执行s4;否则,查询失败,结束循环;s4:执行请求操作;
s5:记录审计,结束循环。
s3是指将接收到的主体和客体的属性集合,与数据库中的访问策略进行检索和匹配,若匹配,则获得授权;否则,没有获得授权。
步骤s1发送查询请求之前还包括如下步骤:
s1.1:向数据库提交资源名称、类型、大小和所有者,并上传资源数据库至区块链;
s1.2:数据存储单元将资源的客体属性发布到区块链中,用业务流记录资源客体属性的变化;
s1.3:向策略管理单元提交访问策略,访问策略包括:策略表示、匹配目标、策略内容和所有者;
s1.4:对策略管理单元进行校验,若通过校验则将策略存储在数据库中。
步骤s1.4的校验包括:判断策略标识是否与策略数据库中已有的策略冲突、判断匹配目标的格式是否为三个实体的属性集合、判断策略内容是否满足定义的格式并能转换成多叉树、资源所有者与当前提交的用户是否相同,若都通过校验则策略管理单元将策略存储至数据库中。
s5记录审计是将策略判断、执行的全部记录上传至联盟节点、区块链。
一种基于区块链构建的身份授权安全访问系统,包括:
区块链模块:用于存储属性信息和策略信息以及执行结果记录;
属性管理模块:用于管理主体的属性、客体和动作的属性;
策略管理模块:用于确定主体是否对客体有访问权限;
执行模块:用于执行访问操作或者拒绝访问操作,并将上传访问记录;
审计模块:用于记录授权访问、主体的访问行为,并且对系统中所有的用户需求和行为进行后验分析。
属性管理模块包括:主体属性模块、客体属性模块、动作属性模块。
附图说明
图1为本发明基于区块链的身份授权访问方法的原理流程图;
图2为本发明基于区块链的身份授权访问系统的结构示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1:
如图1所示,一种基于区块链构建的身份授权安全访问方法,基于区块链构建的身份授权安全访问方法包括如下步骤:
s1.1:向数据库提交资源名称、类型、大小和所有者,并上传资源数据库至区块链;
s1.2:数据存储单元将资源的客体属性发布到区块链中,用业务流记录资源客体属性的变化;
s1.3:向策略管理单元提交访问策略,访问策略包括:策略表示、匹配目标、策略内容和所有者;
s1.4:对策略管理单元进行校验,若通过校验则将策略存储在数据库中;步骤s1.4的校验包括:判断策略标识是否与策略数据库中已有的策略冲突、判断匹配目标的格式是否为三个实体的属性集合、判断策略内容是否满足定义的格式并能转换成多叉树、资源所有者与当前提交的用户是否相同,若都通过校验则策略管理单元将策略存储至数据库中。
s1:用户将访问请求发送至区块链节点模块,区块链节点将访问请求中的主体访问记录交易广播至所有节点;
s2:获取主体、客体和动作的属性,并将获取的主体和客体的属性集合发送给策略进行判断;对于主体属性,根据用户的身份标识,调用属性管理模块提供的函数接口获得该用户对应的主体属性集合;对于客体属性,根据统一资源标识符,调用链操作单元的读方法获得对应资源的业务流,通过遍历计算该资源的客体属性集合,可提取出客体属性集合;对于动作属性,根据动作标识,将其转换成动作属性集合;
s3:将接收到的主体和课题的属性集合,与数据库中的访问策略进行检索和匹配,若匹配则,则获得授权,执行s4;否则,没有获得授权,查询失败,结束循环;
s4:执行请求操作;根据s3策略判断的结果进行执行操作,并且将执行过程的全部流程记录并上传至区块链;
s5:记录审计,结束循环。记录审计是将策略判断、执行的全部记录上传至联盟节点、区块链,对主体操作记录进行可信任的审查。
参考图2,本发明还提供了一种基于区块链构建的身份授权安全访问系统,基于区块链构建的身份授权安全访问系统包括:
区块链模块:用于存储属性信息和策略信息以及执行结果记录;
属性管理模块:用于管理主体的属性、客体和动作的属性;属性管理模块包括:主体属性模块、客体属性模块、动作属性模块;
策略管理模块:在主体发送访问操作请求后,用于确定主体是否对客体有访问权限;
执行模块:用于执行访问操作或者拒绝访问操作,并将上传访问记录;
审计模块:用于记录授权访问、主体的访问行为,并且对系统中所有的用户需求和行为进行后验分析。
与现有技术相比,本发明技术方案的有益效果是:
本发明提供了一种基于区块链的透明可控的身份授权访问方法和系统,本发明结合了区块链的共识和策略判定方法,可以实现对判断结果在全网上一致性检验,提高了透明度、可靠性,并提高了现有的访问授权系统的扩展性。
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。