[发明专利]一种边缘计算环境下基于区块链的跨域访问控制方法及系统

说明书

本发明提出了一种边缘计算环境下基于区块链的跨域访问控制方法及系统，数据所有者通过属性信息向域内的可信中心TC进行注册；各域管理员构建域间身份认证区块链IA_BC；对共享数据M进行加密处理，获得数据存储地址；将对称密钥KS和数据存储地址进行加密后上传至数据访问区块链DA_BC；域间身份认证区块链IA_BC对数据用户进行身份验证并颁发跨域证书Cert(L)；数据用户通过所述跨域证书Cert(L)访问目标域中的数据访问区块链DA_BC，获得目标域的对称密钥KS和数据存储地址，并最终获得共享数据M的明文。本发明通过域间区块链完成跨域证书颁发和用户身份认证，用户的访问行为以及认证授权结果都不可篡改的记录在区块链上，实现了去中心、透明可溯源的跨域访问控制。

技术领域

本申请涉及信息安全领域，尤其涉及一种边缘计算环境下基于区块链的跨域访问控制方法及系统。

背景技术

近年来边缘计算及相关应用发展迅速，在2020年，全球边缘计算的市场规模已经达到了46.8亿美元。然而边缘计算出现的安全问题也层出不穷，传统云计算场景中常见的攻击开始面向防范力相对薄弱的边缘层。为此，边缘计算的安全机制研究至关重要。

作为传统的安全技术的重要组成部分，访问控制同样需要考虑如何将相关方案合理、准确的迁移至全新的边缘计算环境的问题。首先，传统云端访问控制部署多为集中方式，以每个云系统为单位，作用于云系统中的数据所有者和访问用户。然而在边缘计算环境中，庞大的用户设备和访问管理需要按照地理、机构等因素划分到不同的域进行，因此，传统的中心式访问控制方案需要优先考虑跨域的部署与管理需求。其次，针对单点授权性能瓶颈问题研究人员也进行了相关改进，但是仍然基于了中心化的思路来构建边缘计算的分布式授权方案，无法从根本上解决单点瓶颈。另外，访问控制流程不透明的问题也未得到有效解决。如何迎合边缘计算环境的访问需求设计访问控制机制成为了亟待解决的问题。

发明内容

为解决上述技术问题之一，本发明提供了一种边缘计算环境下基于区块链的跨域访问控制方法及系统。

本发明实施例第一方面提供了边缘计算环境下基于区块链的跨域访问控制方法，所述方法包括：

数据所有者通过属性信息向域内的可信中心TC进行注册获得公私钥信息；

各域管理员在各域内的边缘云中心EC设立跨域节点，构建域间身份认证区块链IA_BC，并建立跨域服务；

数据所有者通过对称密钥K_S对共享数据M进行加密处理后上传至边缘云中心EC，获得边缘云中心EC返回的数据存储地址；

数据所有者和边缘云中心EC共同将对称密钥K_S和数据存储地址进行加密后上传至数据所有者所在域内的数据访问区块链DA_BC；

域间身份认证区块链IA_BC通过数据用户的属性信息和公私钥信息对数据用户进行身份验证并颁发跨域证书Cert(L)；

数据用户通过所述跨域证书Cert(L)访问目标域中的数据访问区块链DA_BC，获得目标域的对称密钥K_S和数据存储地址，并根据所述目标域的对称密钥K_S和数据存储地址获得共享数据M的明文。

优选地，所述数据所有者通过属性信息向域内的可信中心TC进行注册获得公私钥信息的过程包括：

数据所有者将所有者属性发送至域内的可信中心TC，并向域内的可信中心TC发出注册请求；

可信中心TC根据所述数据所有者的所有者属性生成公钥PK和私钥MK，并将所述公钥PK返回至数据所有者。

优选地，所述各域管理员在各域内的边缘云中心EC设立跨域节点，构建域间身份认证区块链IA_BC，并建立跨域服务的过程包括：

各域管理员设置各域的跨域节点；