基于区块链和ABAC的跨数据中心访问控制方法和系统技术方案

本发明专利技术提出了基于区块链和ABAC的跨数据中心访问控制方法和系统，建立基于数据拥有者所在的第一数据中心的访问控制节点和数据请求者所在的第二数据中心的访问控制节点的区块链系统；在所述区块链系统上基于第一数据中心和第二数据中心共同建立的全局属性集和ABAC模型部署访问判定智能合约；基于第一数据中心的访问控制节点，数据拥有者将数据资源及所对应的访问控制策略在所述区块链系统进行发布；通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问条件，所述数据请求者所请求的数据资源是通过第二数据中心的访问控制节点请求的。实现了跨数据中心用户细粒度访问控制。了跨数据中心用户细粒度访问控制。了跨数据中心用户细粒度访问控制。

【技术实现步骤摘要】
基于区块链和ABAC的跨数据中心访问控制方法和系统


[0001]本专利技术属于信息安全
，尤其涉及一种基于区块链和ABAC的跨数据中心访问控制方法和系统。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]随着大数据和云计算等新一代信息技术的快速发展，数据已成为网络时代重要的基础性战略资源。作为最具时代特征的生产要素，数据是经济发展的新动能、社会发展的新引擎。目前国家正在加快培育数据要素市场，推动数据的安全共享和有序流通。当前，数据呈现出多来源、分散存储、型态各异等特点。面对多样化的数据需求，来源分散的海量数据如何实现跨系统跨平台跨数据中心的数据安全共享已成为数字经济高速发展的瓶颈问题。访问控制技术是解决数据安全共享和有序流通问题的有效技术手段，可以避免非授权用户的非法接入。使用访问控制技术打破不同企业、机构、组织的多个数据中心原有数据流通壁垒，实现安全可信的跨数据中心数据共享已经成为当前大数据领域的重要研究内容之一。
[0004]在跨数据中心应用场景下，访问控制技术对具有数据共享需求的用户和相关数据资源进行权限的设置和管理，保障授权用户只能按照其对应的访问权限访问指定资源。传统的访问控制技术难以满足新型计算环境的跨数据中心细粒度访问控制需求。基于属性的细粒度访问控制是当前的热门研究方向。然而在实际应用中，各个数据中心采用不同的属性集合，各自制定访问控制请求和策略。用户在进行跨数据中心访问时，由于访问请求语义不一致，难以与其他数据中心的访问控制策略匹配，给跨数据中心的数据安全可信共享带来严峻的挑战。另外，现有访问控制属性和策略匹配以及访问控制判定的效率也有待于提高。

技术实现思路

[0005]为克服上述现有技术的不足，本专利技术提供了一种基于区块链和ABAC的跨数据中心访问控制方法和系统，以实现跨数据中心用户细粒度访问。
[0006]为实现上述目的，本专利技术的一个或多个实施例提供了如下技术方案：一种基于区块链和ABAC的跨数据中心访问控制方法，ABAC是一种可信关系访问控制模型，包括：建立基于数据拥有者所在的第一数据中心的访问控制节点和数据请求者所在的第二数据中心的访问控制节点的区块链系统；在所述区块链系统上基于第一数据中心和第二数据中心共同建立的全局属性集和ABAC模型部署访问判定智能合约；基于第一数据中心的访问控制节点，数据拥有者将数据资源及所对应的访问控制策略在所述区块链系统进行发布；
通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问条件，所述数据请求者所请求的数据资源是通过第二数据中心的访问控制节点请求的。
[0007]进一步的，对所建立的区块链系统进行初始化，具体为：传入安全参数，生成公共参数；根据公共参数生成数据中心公私钥并在所述区块链上发布。
[0008]进一步的，每一个数据中心有多个访问控制节点加入所建立的区块链系统。
[0009]进一步的，基于第一数据中心的访问控制节点，数据拥有者将数据资源及所对应的访问控制策略在所述区块链系统进行发布，具体为：数据拥有者发送数据上传请求，所述数据上传请求包括原始数据资源和访问控制策略；通过对称加密算法对所述原始数据进行加密，存储至所述区块链系统外的数据存储器，数据存储器并返回数据存储哈希地址给数据拥有者；将数据密文分组哈希建立哈希值梅克尔树，获得根哈希值，通过数据拥有者所在的第一数据中心的访问控制节点将包含梅克尔树根哈希值的元数据及对应的访问控制策略上传至所述区块链系统。
[0010]进一步的，所述区块链系统还建立数据资源目录，数据拥有者所上传的元数据写入所述的数据资源目录。
[0011]进一步的，通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问条件，所述数据请求者所请求的数据资源是基于第二数据中心的访问控制节点所请求的，具体包括：数据请求者发送数据访问请求，通过区块链系统上预存的预授权信息库判断所述数据请求者是否符合预授权条件；若所述数据请求者不符合预授权条件，通过所述区块链系统将所述数据访问请求转发至数据拥有者所在的第一数据中心的访问控制节点，数据拥有者所在的第一数据中心的访问控制节点调用所述区块链系统上预设的访问判定智能合约对所述数据访问请求进行访问控制判定；在访问判定智能合约的判定结果为允许访问的情况下，数据拥有者所在的第一数据中心的访问控制节点，根据所述数据访问请求将所对应的数据存储地址及数据加密秘钥，通过所述区块链系统发送至数据请求者所在的第二数据中心的访问控制节点。
[0012]进一步的，在访问判定智能合约的判定结果为允许访问的情况下，将数据请求者信息保存至区块链系统上的用户预授权信息库。
[0013]进一步的，第一数据中心和第二数据中心协商建立共同维护的全局属性集，基于全局属性集和ABAC构建基于区块链的属性访问控制模型并存储至区块链上，通过区块链上部署的智能合约可自动调用执行属性访问控制。
[0014]进一步的，所述访问判定智能合约调用主体属性管理合约、客体属性管理合约、属性策略管理合约进行访问控制的判定。
[0015]基于区块链和ABAC的跨数据中心访问控制系统，包括：第一数据中心，其被配置为：与第二数据中心共同建立区块链系统并共同申请部署访问判定智能合约，并实现数据拥有者通过第一数据中心上传数据资源至所建立的区块
链系统；调用访问判定智能合约对数据请求者的数据访问请求进行判定并执行访问判定智能合约对数据请求者的数据访问请求判定的结果；第二数据中心，其被配置为：与第一数据中心中心共同建立区块链系统并共同申请部署访问判定智能合约，通过区块链上的预授权信息库对数据请求者的数据访问请求进行判定；将数据请求者的数据访问请求通过区块链系统转发至数据拥有者所在的第一数据中心；数据存储器，其被配置为：存储数据拥有者所加密后的数据资源，并允许授权的数据请求者进行数据的访问下载。
[0016]以上一个或多个技术方案存在以下有益效果：1、本专利技术的各数据中心通过共同建立并维护全局属性集，可信度高，安全性好；解决了各数据中心属性语义和访问控制策略不一致的问题，实现了用户跨数据中心细粒度访问控制。
[0017]2、本专利技术基于区块链实现数据资源发布、跨数据中心访问控制，访问判定由智能合约自动化执行，解决了现有跨数据中心访问技术中心架构易产生单点故障、第三方不完全可信、易受欺诈攻击等缺陷。
[0018]3、本专利技术对ABAC模型进行适当改进，通过在区块链上存储用户的预授权信息，避免了短时间内的重复判定，有效提高用户访问授权效率。
[0019]4、在本专利技术中，数据上传时，使用哈希算法可保证即使数据不存在链上，数据也不可篡改；使用梅克尔树，在数据拥有者进行数据更新时，仅需计算对应数据分组的哈希值及其父亲节点的哈希值，而无需计算其他哈希值，可以在数据更新时减少工作量。
[0020]5、在本专利技术中，数据拥有者在向区块链上传元数据的同时本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于区块链和ABAC的跨数据中心访问控制方法，ABAC是一种可信关系访问控制模型，其特征是，包括：建立基于数据拥有者所在的第一数据中心的访问控制节点和数据请求者所在的第二数据中心的访问控制节点的区块链系统；在所述区块链系统上基于第一数据中心和第二数据中心共同建立的全局属性集和ABAC模型部署访问判定智能合约；基于第一数据中心的访问控制节点，数据拥有者将数据资源及所对应的访问控制策略在所述区块链系统进行发布；通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问条件，所述数据请求者所请求的数据资源是通过第二数据中心的访问控制节点请求的。2.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法，其特征是，对所建立的区块链系统进行初始化，具体为：传入安全参数，生成公共参数；根据公共参数生成数据中心公私钥并在所述区块链上发布。3.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法，其特征是，每一个数据中心有多个访问控制节点加入所建立的区块链系统。4.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法，其特征是，基于第一数据中心的访问控制节点，数据拥有者将数据资源及所对应的访问控制策略在所述区块链系统进行发布，具体为：数据拥有者发送数据上传请求，所述数据上传请求包括原始数据资源和访问控制策略；通过对称加密算法对所述原始数据进行加密，存储至所述区块链系统外的数据存储器，数据存储器并返回数据存储哈希地址给数据拥有者；将数据密文分组哈希建立哈希值梅克尔树，获得根哈希值，通过数据拥有者所在的第一数据中心的访问控制节点将包含梅克尔树的根哈希值的元数据及对应的访问控制策略上传至所述区块链系统。5.如权利要求4所述的基于区块链和ABAC的跨数据中心访问控制方法，其特征是，所述区块链系统建立数据资源目录，数据拥有者所上传的元数据写入所述数据资源目录。6.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法，其特征是，通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问条件，所述数据请求者所请求的数据资源是基于第二数据中心的访问控制节点所请求的，具体包括：数据请求者发...

【专利技术属性】
技术研发人员：徐淑奖，张朝阳，王连海，王英龙，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：