基于区块链的跨域设备访问控制策略强制实施方法及装置

本技术涉及信息安全，特别涉及一种基于区块链的跨域设备访问控制策略强制实施方法及装置。

背景技术：

1、一个完备的认证和访问控制机制是不同组织、部门之间进行安全高效的数据访问与交换的“神经中枢”。现有的访问控制方案可以划分为两大类，一类是传统的中心化访问控制机制，如应用在路由器接口的访问控制列表等，这一类依靠单一中心化网络拓扑结构以及集中的存储和计算系统的传统访问控制机制存在如单点崩溃、信任集中等弊端。第二类访问控制方案是基于区块链的访问控制机制，但这类分布式架构的访问控制系统中使用区块链技术取代传统的中心化机构，可信第三方的缺失会导致纠纷问题的发生，难以通过第三方实现纠纷仲裁、交易监管等，数据交换双方出现矛盾时难以实现责任的判定。

2、访问控制的过程可以简化描述为请求方请求访问某设备的某资源，应答方核对请求方身份后，返回相应数据，但是为了最大限度的保护数据，用户需要交换的数据不应由可信第三方保管，而是由设备独立存储与发送。由于点对点的数据发送形式，系统中可能存在请求方提交不满足策略的访问控制请求的情况，以及已经请求方满足了访问控制策略，但应答方不诚实，拒不发送数据或者发送伪造数据的情况，此时需要定义一个广义的访问控制，即在保证资源不受未授权访问的情况下，保证满足访问控制条件的请求者的数据访问权限不受侵犯，在资源所有方进行访问控制的强制执行。

技术实现思路

1、本技术提供一种基于区块链的跨域设备访问控制策略强制实施方法及装置，有效解决节点间关于数据真实性的纠纷。

2、本技术第一方面实施例提供一种基于区块链的跨域设备访问控制策略强制实施方法，包括以下步骤：通过应答方定义访问策略，并由域内管理委员会达成共识，通过智能合约将跨域设备访问控制策略的默克尔树根提交到域间公有链；利用请求方发起访问请求后，控制所述请求方与所述应答方的委员会调用所述域间公有链中的智能合约，并分别抵押预设金额，建立所述请求方与所述应答方间的数据交换；判断所述请求方是否接收到所述应答方发送的正确数据，在未接收到时，通过请求方向所述智能合约进行请求开始强制执行访问控制过程，并通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚。

3、可选地，在本技术的一个实施例中，还包括：在所述请求方接收到所述应答方发送的正确数据时，将抵押的预设金额分别返还至所述请求方和所述应答方的账户。

4、可选地，在本技术的一个实施例中，通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚，包括：通过所述智能合约控制所述请求方在第一预设时间内提交策略合法证明，并对所述策略合法证明进行验证，若验证通过，则继续执行所述跨域设备访问控制策略，并在策略执行结束后，分别返还所述请求方和所述应答方的抵押金额，否则将所述请求方的抵押金额转移给所述应答方。

5、可选地，在本技术的一个实施例中，通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚，包括：通过所述智能合约控制所述应答方在第二预设时间内提交数据合法性证明，并通过所述智能合约对所述数据合法性证明进行存储；通过所述请求方获取所述智能合约内的所述数据合法性证明，并对所述数据合法性证明进行验证，若验证通过，则继续执行所述跨域设备访问控制策略，并在策略执行结束后，分别返还所述请求方和所述应答方的抵押金额，否则，继续验证密钥合法性。

6、可选地，在本技术的一个实施例中，对所述数据合法性证明进行验证，验证未通过时，继续验证密钥合法性，包括：通过所述请求方向所述域内管理委员会发送验证时解密所得的密钥，通过所述域内管理委员会将所述密钥与公钥结合后，提交至所述智能合约。通过所述智能合约执行明文可验证加密的验证算法，验证对称密钥与密文是否匹配，若匹配，则协议继续进行，否则，进行应答方数据合法性验证；通过所述智能合约根据对称密钥，验证数据能否被正确解密，若能，则所述请求方为虚假申诉，对所述请求方进行惩罚；若不能，则所述应答方发送错误数据元组，对所述应答方进行惩罚。

7、可选地，在本技术的一个实施例中，所述进行应答方数据合法性验证，包括：通过所述智能合约要求所述应答方提供证据，以证明所述应答方拥有合法数据；通过所述应答方使用合约公钥加密合法对称密钥，并提交给所述智能合约，所述智能合约使用明文可验证算法，验证数据元组与当前对称密钥是否匹配，并根据算法的输出结果，决定惩罚所述请求方、所述应答方，或没收双方的抵押金额。

8、本技术第二方面实施例提供一种基于区块链的跨域设备访问控制策略强制实施装置，包括：共识模块，用于通过应答方定义访问策略，并由域内管理委员会达成共识，通过智能合约将跨域设备访问控制策略的默克尔树根提交到域间公有链；交换模块，用于利用请求方发起访问请求后，控制所述请求方与所述应答方的委员会调用所述域间公有链中的智能合约，并分别抵押预设金额，建立所述请求方与所述应答方间的数据交换；控制模块，用于判断所述请求方是否接收到所述应答方发送的正确数据，在未接收到时，通过请求方向所述智能合约进行请求开始强制执行访问控制过程，并通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚。

9、可选地，在本技术的一个实施例中，控制模块进一步用于，在所述请求方接收到所述应答方发送的正确数据时，将抵押的预设金额分别返还至所述请求方和所述应答方的账户。

10、可选地，在本技术的一个实施例中，通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚，包括：通过所述智能合约控制所述请求方在第一预设时间内提交策略合法证明，并对所述策略合法证明进行验证，若验证通过，则继续执行所述跨域设备访问控制策略，并在策略执行结束后，分别返还所述请求方和所述应答方的抵押金额，否则将所述请求方的抵押金额转移给所述应答方。

11、可选地，在本技术的一个实施例中，通过预设验证方式确定所述数据交换中的恶意方，以及对所述恶意方进行惩罚，包括：

12、通过所述智能合约控制所述应答方在第二预设时间内提交数据合法性证明，并通过所述智能合约对所述数据合法性证明进行存储；通过所述请求方获取所述智能合约内的所述数据合法性证明，并对所述数据合法性证明进行验证，若验证通过，则继续执行所述跨域设备访问控制策略，并在策略执行结束后，分别返还所述请求方和所述应答方的抵押金额，否则，继续验证密钥合法性。

13、本技术的基于区块链的跨域设备访问控制策略强制实施方法及装置，面向去中心化访问控制系统中请求方与应答方数据交换时的公平性需求，针对当前系统中可信第三方缺失导致的交易监管，以及发生纠纷时的交易仲裁等为题，拟结合透明开放、不可篡改、去中心化的区块链技术、智能合约技术，以及明文可验证算法，研究访问控制场景下请求方与应答方之间的强制执行功能，保证数据的访问不受恶意请求与应答方的影响。

14、本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。