一种基于区块链的工业互联网标识解析访问控制方法与流程

本发明涉及区块链技术领域，尤其涉及一种基于区块链的工业互联网标识解析访问控制方法。

背景技术：

工业互联网标识解析体系作为工业互联网的“中枢神经”，是工业互联网网络架构的重要组成部分，为工业设备、机器、物料、零部件和产品等物理资源和算法、工序等虚拟资源提供编码、注册与解析服务，从而对机器和物品进行唯一性的定位和信息查询，是实现全球供应链系统和企业生产系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。我国积极布局标识解析全球根节点、辅根节点、国家顶级节点、二级节点等建设，工业互联网标识数量可达到数以千亿计，并发解析请求可达千万量级，如此大量级的标识解析系统对安全保障能力提出了非常高的要求。标识解析安全是保障工业互联网安全的关键。

工业互联网标识数据包含大量敏感隐私信息，数据在存储和使用过程中存在数据泄露、非法访问、非授权拷贝和传播等安全风险；标识解析服务器、缓存与代理服务器都有可能被篡改导致返回错误的标识解析结果；攻击者还可以滥用标识注册、非法注册、伪造标识管理与代理机构，引发标识资源失信、标识解析结果失真等安全风险。

技术实现要素：

有鉴于此，本发明提供了一种基于区块链的工业互联网标识解析访问控制方法，用以解决目前工业互联网标识数据包含大量敏感隐私信息，数据在存储和使用过程中存在数据泄露、非法访问、非授权拷贝和传播等安全风险；标识解析服务器、缓存与代理服务器都有可能被篡改导致返回错误的标识解析结果；攻击者还可以滥用标识注册、非法注册、伪造标识管理与代理机构，引发标识资源失信、标识解析结果失真等安全风险的问题。具体方案如下：

一种基于区块链的工业互联网标识解析访问控制方法，预先将工业互联网中的各个标识的相关信息存储在目标区块链中，包括：

在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；

若是，获取所述待访问标识的映射信息，计算所述映射信息的待访问哈希值；

将所述待访问哈希值与所述目标区块链上存储的哈希值进行比对；

若比对成功，将所述待访问标识的映射信息发送给所述用户。

上述的方法，可选的，还包括：

若对比失败，将所述待访问标识进行标记。

上述的方法，可选的，还包括：

若否，拒绝所述解析请求并告知用户。

上述的方法，可选的，预先将工业互联网中的各个标识存储在目标区块链中，包括：

获取所述各个标识的映射信息，其中，标识和映射信息存在关联关系；

针对每一个标识，分别计算该标识和其对应的映射信息的哈希值；

将各个哈希值存储在所述目标区块链中。

上述的方法，可选的，将所述待访问哈希值与所述目标区块链上存储的哈希值进行比对包括：

查找历史解析记录集中是否存在所述待访问标识，其中，所述历史解析记录集中存储有针对所述工业互联网的历史待访问标识和所述历史待访问标识的历史映射信息；

若否，依据所述待访问标识确定所述目标区块链中的目标标识；

判断所述待访问哈希值与所述目标标识的目标哈希值是否相同。

上述的方法，可选的，还包括:

若是，在所述历史解析记录集中获取所述待访问标识的历史解析记录；

在所述历史解析记录中获取与所述待访问标识对应的映射信息。

一种基于区块链的工业互联网标识解析访问控制装置，预先将工业互联网中的各个标识存储在目标区块链中，包括：

验证模块，用于在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；

获取和计算模块，用于若是，获取所述待访问标识的映射信息，计算所述映射信息的待访问哈希值；

比对模块，用于将所述待访问哈希值与所述目标区块链上存储的哈希值进行比对；

发送模块，用于若比对成功，将所述待访问标识的映射信息发送给所述用户。

上述的装置，可选的，所述控制装置中预先将工业互联网中的各个标识存储在目标区块链中，包括：

第一获取单元，用于获取所述各个标识的映射信息，其中，标识和映射信息存在关联关系；

计算单元，用于针对每一个标识，分别计算该标识和其对应的映射信息的哈希值；

存储单元，用于将各个哈希值存储在所述目标区块链中。

上述的装置，可选的，所述比对模块包括：

查找单元，用于查找历史解析记录集中是否存在所述待访问标识，其中，所述历史解析记录集中存储有针对所述工业互联网的历史待访问标识和所述历史待访问标识的历史映射信息；

确定单元，用于若否，依据所述待访问标识确定所述目标区块链中的目标标识；

判断单元，用于判断所述待访问哈希值与所述目标标识的目标哈希值是否相同。

上述的装置，可选的，还包括:

第二获取单元，用于若是，在所述历史解析记录集中获取所述待访问标识的历史解析记录；

第三获取单元，用于在所述历史解析记录中获取与所述待访问标识对应的映射信息。

与现有技术相比，本发明包括以下优点：

本发明公开了一种基于区块链的工业互联网标识解析访问控制方法，预先将工业互联网中的各个标识的相关信息存储在目标区块链中，包括：在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；若是，获取待访问标识的映射信息，计算映射信息的待访问哈希值；将待访问哈希值与所述目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给所述用户。上述的方法，将各个标识存储在目标区块链中，确保了标识资源的可信，依据智能合约验证用户是否具有访问权限；若是，将待访问哈希值与目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给用户，避免了解析结果失真。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种标识存储过程流程图；

图2为本申请实施例公开的一种基于区块链的工业互联网标识解析访问控制方法流程图；

图3为本申请实施例公开的一种基于区块链的工业互联网标识解析访问控制方法执行过程示意图；

图4为本申请实施例公开的一种基于区块链的工业互联网标识解析访问控制装置结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

本发明公开了一种基于区块链的工业互联网标识解析访问控制方法，应用在对工业互联网标识解析的访问控制过程中，其中，工业互联网标识解析体系是工业互联网网络的重要组成部分，是支撑工业互联网互联互通的神经枢纽，其作用类似于互联网领域的域名解析系统（dns）。工业互联网标识解析体系的核心包括标识编码、标识解析系统、标识数据服务等。我国工业互联网标识解析体系由国际根节点、国家顶级根节点、二级节点、递归节点等要素组成。

本发明实施例中，通过将工业互联网节点编码、实体标识编码及其对应的映射信息的哈希值上链存储，解决了标识编码被非法注册、标识数据被非法篡改等问题，确保标识资源可信；通过将标识解析访问控制策略上链，使用智能合约验证访问权限进而控制解析过程，并将解析得到的映射信息的哈希值与链上存储的哈希值比对，解决了非法访问、解析结果失真等问题；通过将标识解析结果存储在区块链上，解决了标识数据难追溯等问题，实现数据源可追溯、数据共享有记录，保护标识资源提供者的利益，增强标识数据安全治理能力，大幅提升标识解析安全监测与防护能力，所述控制方法预先将工业互联网中的各个标识存储在目标区块链中，存储过程的执行流程如图1所示，包括步骤:

s101、获取所述各个标识的映射信息，其中，标识和映射信息存在关联关系；

本发明实施例中，预先将所述工业互联网中的各个标识进行备案，备案过程如下，国家顶级节点将二级节点编码上链备案；二级节点将企业节点编码上链备案，备案过程如下：二级节点向国家顶级节点申请二级节点编码，提交二级节点申请表及营业执照；国家顶级节点审核通过后，核发二级节点编码，在区块链上存储二级节点编码、申请表及营业执照，并全网广播；企业节点向二级节点申请企业节点编码，提交企业节点申请表及营业执照；二级节点审核通过后，核发企业节点编码，并在区块链上存储企业节点编码、申请表及营业执照，并全网广播。

备案完成后，进行存储，存储过程如下，国家顶级节点存证，由国家顶级节点向二级节点分配二级节点编码并将编码记录在区块链上；二级节点存证，由二级节点向企业节点分配企业节点编码并将编码记录在区块链上；企业节点存证，企业节点为其实体分配标识编码，将标识编码及其对应的映射信息的哈希值上链存证，其中，每一个标识均对应一个映射信息，其中，所述映射信息可以是文章、电话号码等等，将标识与映射信息的对应关系进行存储，可以存储在所述目标区块链中或者指定位置的数据中，本发明实施例中，对对所述对应关系的存储位置不进行限定。对存储过程进行举例，例如：国家顶级节点（例如，中国是86.）为审核通过的二级节点分配二级节点编码（例如86.1.），将审核过程上链存证；二级节点为审核通过的企业节点分配企业节点编码（例如86.1.123456/），将审核过程上链存证；企业节点为物理或逻辑实体分配标识(例如86.1.123456/1），将标识及其对应的映射信息的哈希值进行上链存储。

s102、针对每一个标识，分别计算该标识和其对应的映射信息的哈希值；

本发明实施例中，采用哈希算法计算该标识和其对应的映射信息的哈希值。

s103、将各个哈希值存储在所述目标区块链中。

本发明实施例中，将标识或者标识和其对应的哈希值，以及其对应的映射信息的哈希值存储在所述目标区块链中，并全网广播。优选的，将标识解析访问控制策略上链存储，并全网广播。其中，所述访问控制策略是网络安全防范和保护的主要策略，其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用，而访问控制策略是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容，其中，所述访问控制策略可以为上述7个方面的任意组合，本发明实施例中对所述访问控制策略的具体存在形式不进行限定。

本发明实施例中，所述访问控制方法的执行流程示意图如图2所示，包括步骤：

s201、在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；

本发明实施例中，在接收到用户对待访问标识的解析请求的情况下，依据智能合约对所述用户是否具有访问权限进行验证，其中，所述解析请求可以为用户向国家顶级节点或者二级节点或者企业节点提交标识解析请求，并全网广播。所述智能合约是一套以数字形式定义的承诺（promises），包括合约参与方可以在上面执行这些承诺的协议，一旦相关事件触发，节点就会执行这个代码，进而更新总账，验证过程如下：首先企业节点为每个标识生成访问控制策略,并将其写入所述目标区块链智能合约中，智能合约收到标识解析用户的标识资源解析请求时,根据访问控制策略决定是否授予其访问权限，其中，所述访问控制策略可以为用户名密码验证、指纹验证或者人脸验证等。

s202、获取所述待访问标识的映射信息，计算所述映射信息的待访问哈希值；

本发明实施例中，若智能合约中的访问控制策略同意授予标识解析用户访问权限，则为其返回访问权限，当接收到所述访问请求时，获取所述解析请求中包含的待访问标识，获取的方式可以是在解析请求的指定位置，或者某一标志位相邻的位置等，本发明实施例中，对获取的方法不进行限定。在所述目标区块链中或者指定位置的数据中库获取与所述待访问标识对应的映射信息，依据哈希算法计算所述映射信息的哈希值。

若智能合约中的访问控制策略不同意授予标识解析用户访问权限，拒绝所述解析访问请求并告知用户无访问权限，最后将解析状态上链存储。标识监管部门对节点、标识编码等上链信息进行监管。

s203、将所述待访问哈希值与所述目标区块链上存储的哈希值进行比对；

本发明实施例中，优选的，针对历史解析请求，会将历史解析请求中的历史待访问标识和所述历史待访问标识对应的映射信息作为一条历史解析记录存储在历史解析记录集中，在接收到用户对待访问标识的解析请求的情况下，首先查找历史解析记录集中是否存在所述待访问标识，若否，依据所述待访问标识在所述目标区块链中查找与所述待访问标识相同的目标标识，获取所述目标标识的目标哈希值，将所述待访问哈希值与所述目标标识的目标哈希值进行比较，判断所述待访问哈希值与所述目标标识的目标哈希值是否相同。

s204、若比对成功，将所述待访问标识的映射信息发送给所述用户。

本发明实施例中，若待访问哈希值与所述目标哈希值相同，则判定对比成功，则可以将与所述待访问标识对应的映射信息发送给用户。反之若待访问哈希值与所述目标哈希值不相同，说明解析异常，所异常的情况可能是述待访问标识、所述待访问标识的映射信息被篡改或者其它异常情况，本发明实施例中对所述异常情况不进行限定，针对上述的解析异常情况，可以发出标识异常警告，并对将所述待访问标识进行标记，例如，解析成功时标记状态为0，解析异常时，标记状态为1，不具有访问权限时，标记状态为2。

进一步的，对上述标识解析访问控制过程进行举例，例如，以所述待访问标识为86.1.12345/1为例，首先用户发出标识解析请求，缓存/递归解析服务节点收到请求后，若是以前解析过的标识编码且存储在缓存中，则通过缓存直接找到解析后的信息，否则从根节点依次向下递归解析：解析服务节点将标识发送给根节点，根节点通过86.判定为中国的标识编码，将标识解析任务分配给一个辅根节点（即为国家根节点），并将相关信息反馈给解析服务节点；解析服务节点根据收到的反馈信息找到相应的国家顶级节点，国家顶级节点根据86.1.确定标识编码所属行业，并将行业节点（二级节点）的相关信息反馈给解析服务节点；二级节点根据86.1.12345/确定标识编码所属企业，并将企业节点相关信息反馈给解析服务节点的位置；企业节点将86.1.12345/1的解析信息反馈给解析服务节点；最后反馈给解析用户。

本发明公开了一种基于区块链的工业互联网标识解析访问控制方法，预先将工业互联网中的各个标识的相关信息存储在目标区块链中，包括：在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；若是，获取待访问标识的映射信息，计算映射信息的待访问哈希值；将待访问哈希值与所述目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给所述用户。上述的方法，将各个标识存储在目标区块链中，确保了标识资源的可信，依据智能合约验证用户是否具有访问权限；若是，将待访问哈希值与目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给用户，避免了解析结果失真。

本发明实施例中，基于上述的方法构建的目标区块链平台的示意图如图3所示，执行过程如下：

（1）国家顶级节点存证，由国家顶级节点向二级节点分配二级节点编码并将编码记录在区块链上；

（2）二级节点存证，由二级节点向企业节点分配企业节点编码并将编码记录在区块链上；

（3）企业节点存证，企业节点为其实体分配标识，将标识及其对应的映射信息的哈希值上链存证，并将标识解析访问控制策略上链存储；

（4）标识解析，用户向国家顶级节点或者二级节点或者企业节点提交标识解析请求，节点将解析请求上链存储，然后执行标识解析访问控制智能合约，即通过区块链验证用户的访问权限，如果验证通过则授予用户访问权限并执行解析过程，将解析得到的映射信息的哈希值与链上存储的哈希值进行比对，当二者相同时表明解析成功（记为状态0），将解析所得的映射信息返回给用户，否则解析异常（记为状态1），发出标识资源异常警告；如果验证不通过，则不执行解析过程（记为状态2），并告知用户无访问权限，最后将解析状态上链存储。

进一步的，标识体系相关监管部门以及国家顶级节点可通过所述目标区块链追溯所有二级节点编码、企业节点编码、实体标识编码及其解析情况；二级节点可追溯其下属所有企业节点的标识编码注册和解析情况；企业节点可追溯其所有的标识编码及其解析情况，并维护自身标识的所有权。

本发明实施例中，所述控制方法将每个工业互联网标识节点（包括国家顶级节点、二级节点、企业节点）作为联盟链的一个节点构建工业互联网标识联盟链；建立区块链身份管理机制，提供接入区块链成员管理能力；由监管部门建立区块链监控与管理模块，提供区块链运行状态及解析过程监控能力;最上层为区块链工业互联网标识解析平台，提供标识节点备案、标识资源存证、标识解析权限控制、标识解析追溯的能力。

基于上述的一种基于区块链的工业互联网标识解析访问控制方法，本发明实施例中，还提供了一种基于区块链的工业互联网标识解析访问控制装置，所述控制装置预先将工业互联网中的各个标识存储在目标区块链中，所述控制装置的结构框图如图4所示，包括：

验证模块301、获取和计算模块302、比对模块303和发送模块304。

其中，

所述验证模块301，用于在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；

所述获取和计算模块302，用于若是，获取所述待访问标识的映射信息，计算所述映射信息的待访问哈希值；

所述比对模块303，用于将所述待访问哈希值与所述目标区块链上存储的哈希值进行比对；

所述发送模块304，用于若比对成功，将所述待访问标识的映射信息发送给所述用户。

本发明公开了一种基于区块链的工业互联网标识解析访问控制装置，预先将工业互联网中的各个标识的相关信息存储在目标区块链中，包括：在接收到用户对待访问标识的解析请求的情况下，依据智能合约验证所述用户是否具有访问权限；若是，获取待访问标识的映射信息，计算映射信息的待访问哈希值；将待访问哈希值与所述目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给所述用户。上述的装置，将各个标识存储在目标区块链中，确保了标识资源的可信，依据智能合约验证用户是否具有访问权限；若是，将待访问哈希值与目标区块链上存储的哈希值进行比对；若比对成功，将待访问标识的映射信息发送给用户，避免了解析结果失真。

本发明实施例中，所述控制装置中预先将工业互联网中的各个标识存储在目标区块链中，包括：

第一获取单元305、计算单元306和存储单元307。

所述第一获取单元305，用于获取所述各个标识的映射信息，其中，标识和映射信息存在关联关系；

所述计算单元306，用于针对每一个标识，分别计算该标识和其对应的映射信息的哈希值；

所述存储单元307，用于将各个哈希值存储在所述目标区块链中。

本发明实施例中，所述比对模块303包括：

查找单元308、确定单元309和判断单元310。

其中，

所述查找单元308，用于查找历史解析记录集中是否存在所述待访问标识，其中，所述历史解析记录集中存储有针对所述工业互联网的历史待访问标识和所述历史待访问标识的历史映射信息；

所述确定单元309，用于若否，依据所述待访问标识确定所述目标区块链中的目标标识；

所述判断单元310，用于判断所述待访问哈希值与所述目标标识的目标哈希值是否相同。

本发明实施例中，所述比对模块303还包括:

第二获取单元311和第三获取单元312。

其中，

所述第二获取单元311，用于若是，在所述历史解析记录集中获取所述待访问标识的历史解析记录；

所述第三获取单元312，用于在所述历史解析记录中获取与所述待访问标识对应的映射信息。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明所提供的一种基于区块链的工业互联网标识解析访问控制方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。