一种零信任网络中基于区块链的碳数据共享访问方法及装置

本发明涉及碳数据共享访问控制，尤其涉及一种零信任网络中基于区块链的碳数据共享访问方法及装置。

背景技术：

1、碳交易和碳核查对于应对全球气候变化至关重要，但在数据共享过程中，存在着跨域碳数据流通信任弱、碳数据权限控制不透明等问题。同时，相较于访问控制业务中常见的物联网、工业互联网等数据而言，碳数据具有种类多、访问控制参与主体繁杂、主体间数据交互复杂等特点。且其中包含碳交易、碳排放核查等特殊业务，需要在访问控制中设计针对以上业务场景的特殊机制来支撑碳数据的可信共享。现有针对物联网数据、工业互联网等该数据的访问控制方法研究比较丰富，但是在碳交易业务背景下针对碳数据而设计的访问控制机制研究较少。

2、现有访问控制技术方案包括传统访问控制、基于区块链的访问控制和零信任网络下的访问控制等。其中，传统访问控制中，现存的访问控制平台多是基于集中式的平台构建，如根云，寄云等，在使用中可能会出现单点故障，将会导致大范围的数据丢失，造成严重后果。基于区块链的访问控制中，多数关于区块链及碳交易的研究主要集中在区块链与碳排放交易系统整体的构建上，而利用区块链技术对已有碳数据建立访问控制的详细研究比较少，并没有直接在碳交易环境下建立对于碳数据的访问控制。

3、专利号“cn116488866a”的专利提供了一种基于区块链与属性加密的碳核查系统及方法，应用区块链和属性加密技术结合保证数据与访问安全，碳核查主要参与者可通过加入区块链接节点实现可信互联，原始数据上链存证，数据的真实性得到有效保证；碳排放量、排放报告、核查报告、监管数据等及时归集上链，同时通过属性加密技术实现数据细粒度访问控制及问题数据预警处理，实现信息的隐私保护与精准共享；上链的所有数据都会保留痕迹、各节点之间数据一致且透明，实现数据可追溯性。该专利能够解决现有技术中数据共享存在的局限性、隐私保护较差、数据可追溯性较差的问题，但不能满足碳数据共享的其他应用场景，并且采用传统网络安全模型，随着网络攻击的不断增加，已经不能满足各碳数据共享各主体的安全需求。

4、专利号“cn113822605a”的专利提出了基于区块链的碳资产管理系统、方法及电子设备，包括：数据中台、碳排放管理模块、ccer项目管理模块、碳资产管理模块以及碳交易管理模块；数据中台用于基于数据访问控制策略，根据用户的身份信息确定访问权限并显示碳数据概览页面；碳排放管理模块用于基于数据访问控制策略，根据用户的访问权限通过调用智能合约自动执行报送、核算、上报以及审核，当出现违约或碳排放达到预设阈值时，自动推送预警消息并记录到区块链上。该专利通过数据访问控制策略为不同用户展示不同的信息页面，提高了用户体验，但该方案并未针对碳数据的需求对访问控制方法进行对应的调整，且同样采用传统网络安全模型，无法对碳资产管理各主体的数据进行有效安全防护。

技术实现思路

1、鉴于此，本发明实施例提供了一种零信任网络中基于区块链的碳数据共享访问方法及装置，以消除或改善现有技术中存在的一个或更多个缺陷，解决现有访问控制技术不适用于碳数据共享应用场景、难以保证碳数据真实性和隐私性、在数据共享中可能存在身份欺诈、非法用户攻击、单点攻击、数据泄露的问题。

2、一方面，本发明提供了一种零信任网络中基于区块链的碳数据共享访问方法，所述方法在区块链平台上执行，在所述区块链平台上部署有属性权威智能合约、碳数据核查机制智能合约、访问控制判决智能合约和零信任智能合约，所述方法包括以下步骤：

3、用户通过终端向所述区块链平台对目标数据发起原始访问请求；

4、所述属性权威智能合约根据所述原始访问请求收集所述用户的属性信息，基于所述属性信息构建属性访问请求，将所述属性访问请求返回给所述访问控制判决智能合约；所述属性信息包括身份信息和层级信息；

5、所述访问控制判决智能合约通过所述碳数据核查机制智能合约获取当前被请求访问的目标数据的碳核查任务状态信息，通过所述零信任智能合约对所述用户进行信任评估，生成综合信任值；所述碳核查任务状态信息包括已完成碳核查任务和未完成碳核查任务；

6、根据所述用户的属性信息和综合信任值、以及存储在所述区块链平台上的目标数据的碳核查任务状态信息和访问策略，在零信任网络中进行访问控制判决；

7、当通过所述访问控制判决时，所述用户获得所述区块链平台提供的访问控制令牌，利用自己的私钥从所述区块链平台获取所述目标数据并进行解密，以访问目标数据。

8、在本发明的一些实施例中，在用户通过终端向所述区块链平台对目标数据发起原始访问请求之前，还包括：

9、所述用户在所述区块链平台上进行注册，生成公钥和私钥；在发起所述原始访问请求之前进行身份认证；

10、碳数据提供者将碳数据资源使用预设的数据传输保护机制进行加密后上链存储；所述区块链平台根据所述碳数据资源生成相应的访问策略，将所述访问策略存储在所述区块链平台；

11、所述碳数据提供者定期更新碳数据资源信息；所述碳数据资源信息包括所述碳数据资源对应的访问策略、核查周期和核查任务。

12、在本发明的一些实施例中，所述数据传输保护机制结合双重rsa算法和双鱼算法，所述方法还包括：

13、当所述碳数据提供者将所述碳数据资源的地址上传至所述区块链平台时，使用所述双重rsa算法对所述碳数据资源的地址进行加密；

14、当所述碳数据提供者将所述碳数据资源的数据文件上传至所述区块链平台时，使用所述双重rsa算法和双鱼算法混合的加密算法对所述碳数据资源的数据文件进行加密。

15、在本发明的一些实施例中，所述碳核查任务依次包括以下步骤：

16、被核查单位对碳排放数据进行准备工作；所述准备工作包括碳排放数据自查；

17、第三方管控机构向核查机构发放碳数据核查资质证书；

18、所述核查机构对所述被核查单位进行碳排放数据核查；

19、所述核查机构生成核查结果，并上报至所述第三方管控机构；

20、所述第三方管控机构向所述被核查单位发放碳配额数据；

21、所述被核查单位向所述第三方管控机构按照所述碳配额数据进行清缴。

22、在本发明的一些实施例中，通过所述零信任智能合约对所述用户进行信任评估，生成综合信任值，还包括：

23、将所述用户的多个度量指标按照预设规则转化为相应的指标信任值；所述度量指标包括所述用户的身份信息、设备信息和网络信息；

24、将多个指标信任值放入一个集合，并为每个度量指标赋予一个指标影响因子；

25、使用逻辑回归模型计算出当前时刻所述用户每个度量指标对应的信任值；

26、基于预设权重，综合每个度量指标的信任值，得到所述用户当前时刻的信任值；

27、将所有时间段的所述用户的信任值进行加权平均，得到综合信任值。

28、在本发明的一些实施例中，所述方法还包括威胁行为防控机制：

29、将各类危险操作构成集合，为每个危险操作赋予一个危险影响因子；

30、根据各类危险操作对应的危险影响因子值计算针对所述原始访问请求的综合危险影响因子；

31、当检测到出现所述危险操作时，所述危险操作对应的危险影响因子值改为0，使得所述用户的综合信任值无法达到预设阈值，以无法通过所述访问控制判决。

32、在本发明的一些实施例中，所述方法还包括：

33、获取所述用户的历史度量指标记录容量；

34、当所述历史度量指标记录容量大于预设容量值时，则距离当前时间最近的容量值为所述预设容量值的指标值均进行信任值计算，不在距离当前时间最近的容量值为所述预设容量值的指标值进行伯努利抽样后，对抽取得到的指标值进行信任值计算；

35、为抽样部分和非抽样部分赋予不同的权重，以得到所述综合信任值。

36、在本发明的一些实施例中，所述方法还包括：

37、根据基于属性的访问控制模型对所述碳数据进行分级分类，包括主体属性、客体属性、操作属性和环境属性；

38、根据四类属性生成相应的属性值，构建四维访问矩阵；

39、根据所述碳数据提供者的需求为所述四维访问矩阵进行赋值，将所述四维访问矩阵中的访问权限转换为所述访问策略，加密后存储在所述区块链平台。

40、另一方面，本发明提供一种零信任网络中基于区块链的碳数据共享访问装置，所述装置包括：

41、资源消耗层，所述资源消耗层包含需求碳数据资源的用户，所述用户通过终端进行用户注册、发起对目标数据的原始访问请求；

42、访问控制层，所述访问控制层包括区块链平台和信任评估机制，用于对所述原始访问请求进行处理，生成访问控制判决结果；所述区块链平台上部署有属性权威智能合约、碳数据核查机制智能合约、访问控制判决智能合约和零信任智能合约；所述信任评估机制根据所述用户的多个度量指标计算综合信任值，用于访问控制判决；

43、资源发布层，所述资源发布层包含碳数据资源的提供者，碳数据提供者将碳数据存放在数据库和/或服务器中，将碳数据资源及预设访问策略上传至所述区块链平台。

44、另一方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中提及的任意一项所述方法的步骤。

45、本发明的有益效果至少是：

46、本发明提供一种零信任网络中基于区块链的碳数据共享访问方法及装置，用户通过终端向区块链平台发起原始访问请求；属性权威智能合约根据用户属性信息构建属性访问请求，并发送至访问控制判决智能合约；访问控制判决智能合约通过碳数据核查机制智能合约获取当前被请求访问的目标数据的碳核查任务状态信息，通过零信任智能合约对用户进行信任评估，生成综合信任值；根据用户的属性信息和综合信任值、目标数据的碳核查任务状态信息和访问策略，在零信任网络中进行访问控制判决；当通过访问控制判决时，用户获得访问控制令牌，利用私钥从区块链平台获取并访问目标数据。本发明构建了适用于碳数据的访问控制框架及方法，并添加基于区块链实现的碳数据核查机制和碳数据分级分类访问权限设置，适用于碳交易、碳核查等碳数据独有的业务场景；进一步的，在基于属性访问控制的基础上加入动态信任值计算，保证数据共享安全；同时，构建双重rsa算法和双鱼算法混合的加密算法，防止数据地址等敏感信息的明文传输导致信息泄露等问题发生。

47、本发明的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。

48、本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。