【技术实现步骤摘要】
基于政务联盟链的政务数据访问控制方法及系统
[0001]本专利技术涉及数据访问控制
,尤其涉及一种基于政务联盟链的政务数据访问控制方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
[0003]现代电子政务不仅集成了各级政府内各部门协同运作的需求,而且利于打造社会一体生态政务、智慧城市。其中,电子政务数据的共享应用,是电子政务中体量巨大、每日必行、紧扣民生的重要社会化服务场景之一。近年来,许多学者在政务数据共建共享领域基于大数据、云计算方法展开了相关的研究,并取得了一定的成效和经验。然而,由于政务数据资源的覆盖范围广、分散、复杂、高价值、涉及隐私信息等特点,在分布式访问控制、安全互信和隐私保护等方面还存在一定的不足。
[0004]区块链技术作为一种综合性技术,其核心由对等式网络、分布式存储技术、密码算法、共识机制、智能合约技术等组成,其去中心化、可追溯性、动态扩展性的特点,符合电子政务中信息公开、政府职能扁平化、社会信任建设等需求,可以用于改进政务数据共享中存在的分布式存储、链上可追溯、难以篡改、安全可信等问题。目前,区块链技术作为一剂解决数据资源共建、共享类应用的良方,受到了各国政府的追捧,被用于构建养老金发放链、数字身份证验证链、地方政府政务链等。
[0005]然而,区块链作为新兴技术,虽然可以从基础层面确保数据的完整性和可信度,但在细粒度化确权、动态化响应和数据安全保证等方面仍存在一些问题。同时,当前的区块链研究主要聚焦于公 ...
【技术保护点】
【技术特征摘要】
1.一种基于政务联盟链的政务数据访问控制方法,其特征在于,包括:主体客体管理步骤:根据预设的权限分割规则,将材料客体对应的访问主体S分别配置为定义者S_RD、所有者S_OS、控制者S_RC和使用者S_RU以进行访问权限划分;所述材料客体包括链下材料本体和链上索引,所述链下材料本体的允许访问属性默认为不可访问,所述材料客体由政务联盟链GCB和材料所在各节点控制;其中,所述政务联盟链GCB被配置为包括材料索引主链MI
‑
Bchain、确权控制子链RC
‑
Bchain和服务日志子链SL
‑
Bchain,所述材料索引主链MI
‑
Bchain用于存储所有材料客体的索引信息,所述确权控制子链RC
‑
Bchain用于存储所有确权与访问控制规则合约,所述服务日志子链SL
‑
Bchain用于根据既有规则进行服务运营和日志记录;访问控制初始化步骤:构建确权控制子链RC_Bchain的智能合约内容,包括加密访问主体唯一性标识表S.Gid、属性表S.At和事务可调用材料类目对应表OtoT_t1;以及根据上述合约内容生成访问控制加密策略并添加到确权控制子链RC_Bchain的智能合约;访问控制实施步骤:根据使用者向政务联盟链GCB的服务日志子链SL
‑
Bchain提出的办理事务申请,获取目标所有者;在材料索引主链MI
‑
Bchain搜索以获取所有者为前述目标所有者的材料并形成相关信息列表;将所述相关信息列表对应的数据集合中的所有材料,按所有者、定义者、控制者的公私钥值实施顺序签名后,由主控制者和服务日志子链SL
‑
Bchain同步发起同一事务下的批量签名验证:对照所述相关信息列表中材料,由材料索引主链MI
‑
Bchain获取确权控制子链RC
‑
Bchain内的合约内容后,进行基于事务的批量双层解密,解密后进行哈希核验,核验完成后将对应材料的材料本体的允许访问属性配置为允许访问。2.根据权利要求1所述的方法,其特征在于:访问完成后,通过材料索引主链MI
‑
Bchain将本次事务的访问结果添加到服务日志子链SL
‑
Bchain的日志块数据中,然后将前述对应材料的材料本体的允许访问属性重新配置为不可访问。3.根据权利要求2所述的方法,其特征在于:对应每个材料本体设置有允许访问属性参数,所述允许访问属性参数的值被配置为0或1,当允许访问属性参数的值为0时表示该材料本体不可访问,当允许访问属性参数的值为1时表示该材料本体允许访问;各材料本体的允许访问属性参数的值默认全部置0,当材料本体被允许访问时将该材料本体的允许访问属性参数的值置1,材料本体的当次访问完成后将允许访问属性参数的值重新置0。4.根据权利要求1所述的方法,其特征在于,访问控制初始化步骤具体如下:步骤S210,构建确权控制子链RC_Bchain智能合约内容:由各定义者S_RD统一对各材料类型定义各主体{S}的主体唯一性标识{S.Gid}和主体属性{S.At};由事务定义者Tr_RD定义OtoT_tl;以及根据上述合约内容生成访问控制加密策略算法后加入到确权控制子链RC_Bchain的智能合约;步骤S220,全局参数生成:主体公私钥由确权控制子链RC_Bchain对各访问主体进行链上注册,算法输出系统公共参数PP,即,Setup(1
λ
)
→
(PP)
ꢀꢀꢀꢀ
(1)步骤S230,给每个主体S输出Gid作为各主体合法的链上唯一加密标识信息,并生成公私钥对(USK
Gid
,UPK
Gid
),即,
Setup_RC(PP)
→
(USK
Gid
,UPK
Gid
)
ꢀꢀꢀꢀ
(2)步骤S240,确权控制子链RC_Bchain根据各个主体提供的私钥SSK
sg
和属性集中的ATT个属性的集合,为其生成对应的使用者属性私钥AK
Gid
和转化密钥TAK
Gid
,即,KeyGen(S,PP,Gid,USK
Gid
)
→
(AK
Gid
,TAK
Gid
)
ꢀꢀꢀꢀ
(3)步骤S250,对每个材料客体O上链索引O_in和索引中的资源地址O_add实施基于属性的加密方法,即,Menc(PP,M,P(A,p),{UPK
Gid
})
→
CT
ꢀꢀꢀꢀ
(4)其中,PP为系统公共参数,M是材料明文,P(A,p)为访问策略函数,{UPK
Gid
}为公钥集合;所述访问策略函数P(A,p)由对照事务可调用材料类目对应表OtoT_tl生成的事务跳转访问规则P
tr
和直接文件访问策略p0共同构成,即,P(A,p)=(A
tr
,OtoT_tl,p
tr
)∩(A
t
,p
o
)
ꢀꢀꢀꢀ
(5)其中,A
tr
,A
t
为对应策略矩阵。5.根据权利要求4所述的方法,其特征在于,访问控制实施步骤具体如下:步骤S310,接收使用者向政务联盟链gCB的服务日志子链SL
‑
Bchain提出的办理事务tr申请,根据该事务tr申请中请求的材料信息,获取该材料的所有者作为目标所有者os;步骤S320,在材料索引主链MI
‑
Bchain中通过Find函数进行索引,函数返回事务tr下符合所有者是os的j个材料相关信息列表{O
s_os.Gid,j,tr
},如下,Find(O_in(i),S_OS(i),tr,OtoT_tl)
→
{O
s_os(j),tr,j
}
ꢀꢀꢀꢀ
(6)其中,1≤j≤i;O_in(i)为第i个材料客体的上链索引O_in,S_OS(i)第i个材料客体的所有者,tr表示当前申请的事务,OtoT_tl为事务可调用材料类目对应表;其他未返回列表的i
‑
j个材料,通过采集使用者的操作信息进行增加;步骤S330,将{O
s_os(j),tr,j
}集合中的所有材料,按所有者、定义者、控制者的公私钥值作为解密参数进行顺序签名;然后,由主控制者和服务日志子链SL
‑
Bchain同步发起同一事务下的批量签名验证算法,即,其中,J表示相关信息列表中的材料总数,j=1,2,
……
,J;order(S
(tr,j)
)=(S_os.Gid,S_rd.Gid,S_rc.Gid)为签名先后顺序信息,S_os.Gid表示所有者标识,S_rd.Gid表示定义者标识,S_rc.Gid表示控制者标识;L
tr,j
表示签名人的公钥集合;σ
tr,j
表示每个材料的聚合签名值;获取各材料权属方的签名授权输出函数的结果值isV,当结果值isV等于1时判定授权通过,否则判定授权错误;步骤S340,对照前述{O
s_os.Gid,j,tr
}列表,由材料索引主链MI
‑
Bchain读取确权控制子链RC
‑
Bchain内的合约内容后,进行基于事务的批量双层解密算法,即,其中,MM
j
为第j个材料的中间一次解密结果,AK
...
【专利技术属性】
技术研发人员:朱俊伟,王茜,张晓东,陈祺,方海宾,贝聿运,徐智蕴,贝文馨,
申请(专利权)人:上海市大数据中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。