[发明专利]一种基于区块链的分布式访问控制方法

权利要求书

1.一种基于区块链的分布式访问控制方法，其特征在于，该方法具体包括以下步骤：

S1：设计分布式访问授权流程；

根据基于区块链的分布式访问控制模型B-ABAC中各组件功能，设计分布式授权流程；同时设计在授权过程中，将产生的授权访问记录都记录在区块链上；

设计分布式访问授权流程，具体包括以下步骤：

S11：请求者向主体端策略执行点发送一个访问请求；

S12：在主体端策略执行点收到请求后，首先验证请求的合法性，之后将按请求中的参数转换成基于属性的形式化描述，组成基于属性的访问请求AAR发送给策略决策网络；

S13：当策略决策网络中任一节点收到AAR后，检验其合法性，调用策略评估智能合约，评估AAR中的访问请求；最后经过策略决策网络的共识，对访问请求形成决定，将决定保存在评估记录Tx中，并记录于区块链账本上；

S14：策略决策网络将授权结果以评估记录号TxID方式传给请求者和资源所有者；

S15：资源所有者在收到TxID后，申请查询策略决策网络的区块链账本；

S16：策略决策网络根据TxID查找对应的Tx，向资源所有者返回Tx；

S17：资源所有者在收到相应Tx后，解密得到会话密钥k；

S2：设计属性与策略智能合约；

分离出属性权威和策略权威的职能，将这些职能分散到B-ABAC模型中的智能合约与区块链账本中；

S3：设计共识算法；

使用分布式决策网络代替原有的决策点，设计并使用改进后的共识算法对分布式决策网络进行共识维护，消除模型中单点失败的可能。

2.根据权利要求1所述的分布式访问控制方法，其特征在于，步骤S11中，访问请求包含的信息为：

其中，ReqL与ResL分别表示请求者与资源的定位地址，action表示请求者想发起的访问操作，E表示用资源所有者的公钥Pk_ro对会话密钥k进行的非对称加密E＝Enc(k,Pk_ro)；σ_req＝Sig(hash(Req),Sk_req)表示请求者的签名，其中hash(Req)代表对资源请求者所发送的访问请求包Req的哈希值，SK_req资源请求者的私钥。

3.根据权利要求2所述的分布式访问控制方法，其特征在于，步骤S12中，组成基于属性的访问请求AAR包含的信息为：

AAR＝(Req,C_sub,policyID)_σS-PEP

其中，C_sub表示主体端策略执行点为请求者提供的主体属性证书，policyID是主体端策略执行点根据Req中资源和动作参数所对应的访问控制规则的策略的ID，σ_S-PEP是主体端策略执行点用自己私钥进行的签名。

4.根据权利要求3所述的分布式访问控制方法，其特征在于，步骤S13中，评估记录Tx包含的信息为：

Tx＝(Req,Decision,T)

每一个评估记录Tx都包含一个TxID＝Hash(Tx)，TxID是每一个评估记录都拥有唯一的ID，Decision是经过共识的决定，值用布尔型表示同意或拒绝；T为此TxID的过期时间。

5.根据权利要求4所述的分布式访问控制方法，其特征在于，步骤S17中，解密得到的会话密钥k为：

k＝Dec(E,Sk_ro)

其中，Sk_ro表示资源所有者的私钥。

6.根据权利要求1所述的分布式访问控制方法，其特征在于，步骤S2中，设计属性与策略智能合约，具体包括以下步骤：

S21：设计属性智能合约，包括属性创建与属性分配；

S22：设计策略智能合约，包括策略创建与策略撤销；

S23：设计策略评估智能合约，系统AAR请求后，调用策略评估合约；合约验证请求者的属性证书，从请求中的属性证书中提取属性集，从策略库中获取到适用策略，进行属性与策略比对；最后根据比对结果生成评估记录，经共识后存于链上。

7.根据权利要求6所述的分布式访问控制方法，其特征在于，步骤S3中，设计共识算法，具体包括以下步骤：

S31：当共识网络中的某一节点发现任意验证节点无法继续执行共识操作后，向其他验证节点发送弹劾消息；

S32：当任意验证节点收到大于2倍作恶节点数个指认某节点需要被弹劾的消息后，将被弹劾节点信息从现有验证节点列表中移除，并进入选举阶段；

S33：进入选举阶段后，共识网络进行一次证节点列表强制同步；

S34：验证节点向所有候选节点发送VRF请求，验证返回的VRF回复消息的合法性，并比较收到的VRF计算值；设定拥有VRF计算值最小的候选节点作为获选节点；向获选节点发送获选消息；并更新验证节点列表；

S35：任意候选节点收到大于2倍作恶节点数个获选消息后；变更身份为验证节点，加入共识网络，与共识网络同步账本。