一种基于多链的物联数据分层访问控制方法和系统技术方案

本发明专利技术涉及一种基于多链的物联数据分层访问控制方法和系统，方法包括：客体将数据进行存储，并将数据的索引消息存入二级区块链；客体制定访问策略并发送到

【技术实现步骤摘要】
一种基于多链的物联数据分层访问控制方法和系统


[0001]本专利技术涉及信息安全
，尤其是指一种基于多链的物联数据分层访问控制方法和系统
。

技术介绍

[0002]随着物联网的快速发展，大量的智能设备和传感器接入网络，助推了智慧城市的发展，为人民生活提供着越来越多的智能服务，如智慧医疗
、
智慧物流
、
智慧交通等
。
然而，不同部门
、
不同层级的大量异构物联设备的直接接入，很难保护用户数据安全并造成隐私泄露问题，实现大规模物联数据资源安全共享成为当前的一项重大挑战
。
访问控制作为保护数据安全共享的关键技术之一，通过授权用户访问关键资源，能够限制对资源的非法访问，很大程度上保护了数据的安全共享，是优化智慧城市信息安全的有效解决方案
。
然而，传统的访问控制模型采用集中式服务器进行访问授权决策，可能存在单点故障和数据传输不可信等弊端
。
此外，访问控制权限的设计也容易出现漏洞，导致恶意用户会篡改访问权限策略并允许非法访问请求获取数据
。
因此需要设计出一种方法以有效解决访问控制中的单点故障和隐私泄露问题
。

技术实现思路

[0003]为此，本专利技术所要解决的技术问题在于克服现有技术中访问控制中的单点故障和隐私泄露问题
。
[0004]为解决上述技术问题，本专利技术提供了一种基于多链的物联数据分层访问控制方法，包括：
[0005]步骤
S1
：资源拥有者将数据存入数据库
SQL
，并将所述数据的索引消息存入二级区块链，其中，所述二级区块链隶属于主区块链；
[0006]步骤
S2
：资源拥有者根据所述数据的隐私敏感程度制定对应的访问策略，发送到策略管理点
PAP
进行存储和管理，并通过代理重加密机构对所述数据的索引消息进行代理重加密；
[0007]步骤
S3
：访问者向主区块链提出访问请求，策略执行点
PEP
接收所述访问请求并生成相关消息发送至策略决策点
PDP
；
[0008]步骤
S4
：策略决策点
PDP
接收到所述相关消息，查询策略管理点
PAP
的访问策略来判断访问者的访问请求是否合法，若不合法，将结果发送至策略执行点
PEP
；若合法，则将策略信息点
PIP
的属性信息和策略管理点
PAP
的访问策略进行对比，最终将决策结果发送至策略执行点
PEP
；
[0009]步骤
S5
：策略执行点
PEP
执行判决结果，所述判决结果为许可或拒绝；
[0010]步骤
S6
：若策略执行点
PEP
执行判决结果为许可，访问者通过所述代理重加密机构检索加密后数据的索引消息并解密，解密后通过二级区块链访问数据库
SQL
中的数据，完成对数据资源的访问；
[0011]其中，所述策略管理点
PAP、
策略执行点
PEP、
策略决策点
PDP
和策略信息点
PIP
构成访问控制模型
。
[0012]在本专利技术的一个实施例中，所述步骤
S1
中资源拥有者将数据存入数据库
SQL
，并将所述数据的索引消息存入二级区块链，方法包括：
[0013]在存储阶段中，资源拥有者将物联网平台获取的数据存入数据库
SQL
，所述数据的索引消息被打包成一个交易记录，所述交易记录包括输入地址
、
输出地址
、
签名和时间戳；
[0014]所述交易记录被发送到相应的二级区块链中，由二级区块链中的节点进行验证和共识，确定所述交易记录是否合法和有效；
[0015]经过验证和共识的交易记录被添加到二级区块链的最新区块中，形成一个不可篡改
、
可追溯的数据索引消息记录
。
[0016]在本专利技术的一个实施例中，所述步骤
S2
中通过代理重加密机构对所述数据的索引消息进行代理重加密，方法包括：
[0017]在代理重加密机构中，资源拥有者将所述数据的索引消息
M
用公钥
PK
A
加密后得到密文
[0018]在本专利技术的一个实施例中，所述步骤
S3
中访问者向主区块链提出访问请求，策略执行点
PEP
接收所述访问请求并生成相关消息发送至策略决策点
PDP
，方法包括：
[0019]在访问控制阶段中，访问者向主区块链提出访问请求，访问控制模型中策略执行点
PEP
接收访问请求，根据访问者的属性和从策略信息点
PIP
获取的属性信息分析生成属性访问请求
AAR
，并将属性访问请求
AAR
发送至策略决策点
PDP
，其中，所述属性访问请求
AAR
为相关消息
。
[0020]在本专利技术的一个实施例中，所述步骤
S4
中策略决策点
PDP
接收到所述相关消息，查询策略管理点
PAP
的访问策略来判断访问者的访问请求是否合法，若不合法，将结果发送至策略执行点
PEP
；若合法，则将策略信息点
PIP
的属性信息和策略管理点
PAP
的访问策略进行对比，最终将决策结果发送至策略执行点
PEP
，方法包括：
[0021]策略决策点
PDP
收到所述属性访问请求
AAR
后，通过智能合约向策略管理点
PAP
发起访问策略查询，请求判断访问者的访问请求是否合法；
[0022]若不合法，则终止访问请求，并将不合法结果发送至策略执行点
PEP
；
[0023]若合法，则计算并获取访问者的信誉度级别作为请求向策略信息点
PIP
和策略管理点
PAP
获取访问者的请求属性信息和资源拥有者的访问策略集，策略决策点
PDP
将访问者的请求属性信息和资源拥有者的访问控制策略集进行对比，并将决策结果发送到策略执行点
PEP
，再由策略执行点
PEP
执行判决结果
。
[0024]在本专利技术的一个实施例中，所述访问者的信誉度级别公式为：
[0025][0026][0027][0028][0029]其中，
k
表示访问者的访问总次数，常数
p...

【技术保护点】

【技术特征摘要】
1.
一种基于多链的物联数据分层访问控制方法，其特征在于：包括：步骤
S1
：资源拥有者将数据存入数据库
SQL
，并将所述数据的索引消息存入二级区块链，其中，所述二级区块链隶属于主区块链；步骤
S2
：资源拥有者根据所述数据的隐私敏感程度制定对应的访问策略，发送到策略管理点
PAP
进行存储和管理，并通过代理重加密机构对所述数据的索引消息进行代理重加密；步骤
S3
：访问者向主区块链提出访问请求，策略执行点
PEP
接收所述访问请求并生成相关消息发送至策略决策点
PDP
；步骤
S4
：策略决策点
PDP
接收到所述相关消息，查询策略管理点
PAP
的访问策略来判断访问者的访问请求是否合法，若不合法，将结果发送至策略执行点
PEP
；若合法，则将策略信息点
PIP
的属性信息和策略管理点
PAP
的访问策略进行对比，最终将决策结果发送至策略执行点
PEP
；步骤
S5
：策略执行点
PEP
执行判决结果，所述判决结果为许可或拒绝；步骤
S6
：若策略执行点
PEP
执行判决结果为许可，访问者通过所述代理重加密机构检索加密后数据的索引消息并解密，解密后通过二级区块链访问数据库
SQL
中的数据，完成对数据资源的访问；其中，所述策略管理点
PAP、
策略执行点
PEP、
策略决策点
PDP
和策略信息点
PIP
构成访问控制模型
。2.
根据权利要求1所述的基于多链的物联数据分层访问控制方法，其特征在于：所述步骤
S1
中资源拥有者将数据存入数据库
SQL
，并将所述数据的索引消息存入二级区块链，方法包括：在存储阶段中，资源拥有者将物联网平台获取的数据存入数据库
SQL
，所述数据的索引消息被打包成一个交易记录，所述交易记录包括输入地址
、
输出地址
、
签名和时间戳；所述交易记录被发送到相应的二级区块链中，由二级区块链中的节点进行验证和共识，确定所述交易记录是否合法和有效；经过验证和共识的交易记录被添加到二级区块链的最新区块中，形成一个不可篡改
、
可追溯的数据索引消息记录
。3.
根据权利要求1所述的基于多链的物联数据分层访问控制方法，其特征在于：所述步骤
S2
中通过代理重加密机构对所述数据的索引消息进行代理重加密，方法包括：在代理重加密机构中，资源拥有者将所述数据的索引消息
M
用公钥
PK
A
加密后得到密文
4.
根据权利要求1所述的基于多链的物联数据分层访问控制方法，其特征在于：所述步骤
S3
中访问者向主区块链提出访问请求，策略执行点
PEP
接收所述访问请求并生成相关消息发送至策略决策点
PDP
，方法包括：在访问控制阶段中，访问者向主区块链提出访问请求，访问控制模型中策略执行点
PEP
接收访问请求，根据访问者的属性和从策略信息点
PIP
获取的属性信息分析生成属性访问请求
AAR
，并将属性访问请求
AAR
发送至策略决策点
PDP
，其中，所述属性访问请求
AAR
为相关消息
。
5.
根据权利要求4所述的基于多链的物联数据分层访问控制方法，其特征在于：所述步骤
S4
中策略决策点
PDP
接收到所述相关消息，查询策略管理点
PAP
的访问策略来判断访问者的访问请求是否合法，若不合法，将结果发送至策略执行点
PEP
；若合法，则将策略信息点
PIP
的属性信息和策略管理点
PAP
的访问策略进行对比，最终将决策结果发送至策略执行点
PEP
，方法包括：策略决策点
PDP
收到所述属性访问请求
AAR
后，通过智能合约向策略管理点
PAP
发起访问策略查询，请求判断访问者的访问请求是否合法；若不合法，则终止访问请求，并将不合法结果发送至策略执行点
PEP
；若合法，则计算并获取访问者的信誉度级别作为请求向策略信息点
PIP
和策略管理点
PAP
获取访问者的请求属性信息和资源拥有者的访问策略集，策略决策点
PDP
将访问者的请求属性信息和资源拥有者的访问控制策略集进行对比，并将决策结果发送到策略执行点
PEP

【专利技术属性】
技术研发人员：戴欢，王陆平，王飞，顾娇娇，
申请(专利权)人：苏州爱宝康养科技有限公司，
类型：发明
国别省市：