[发明专利]一种基于区块链构建的身份授权安全访问方法

说明书

本发明涉及身份认证的技术领域，具体涉及一种基于区块链构建的身份授权访问方法和系统，包括如下步骤：S1：发送查询请求；S2：获取主体和客体的属性，并将获取的主体和客体的属性集合发送给策略进行判断；S3：进行策略判断是否获得授权，若是，执行S4；否则，查询失败，结束循环；S4：执行请求操作；S5：记录审计，结束循环。本发明将区块链的共识和策略判定方法相结合，提高现有的访问控制可靠性、透明度、授权系统扩展性。

技术领域

本发明涉及身份认证的技术领域，具体涉及一种基于区块链构建的身份授权安全访问方法。

背景技术

身份认证，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证与身份授权相联系，授权控制是指用户通过身份认证后，用户可以访问哪些资源、可以以何种方式进行访问操作等问题。现有的身份认证方式，简单的身份认证方式就是通过核对用户输入的用户名和口令与系统中存储的是否一致，复杂一些的身份认证方式是通过用户提供更多的信息来证明自己的身份。

现有的身份识别机制有一次性口令、基于令牌的鉴别机制、基于智能卡鉴别机制、基于生物特征的鉴别机制、基于PKI的身份认证。现有的访问控制具有可靠性低、透明度低、授权系统扩展性不足等缺陷。

发明内容

本发明克服了上述的访问控制的技术缺陷，提供了一种基于区块链构建的身份授权安全访问方法。

为解决上述技术问题，本发明的技术方案如下：

一种基于区块链构建的身份授权安全访问方法，基于区块链构建的身份授权安全访问方法包括如下步骤：S1：发送查询请求至区块链节点模块；S2：获取主体和客体的属性，并将获取的主体和客体的属性集合发送给策略进行判断；S3：进行策略判断是否获得授权，若是，执行S4；否则，查询失败，结束循环；S4：执行请求操作；

S5：记录审计，结束循环。

S3是指将接收到的主体和客体的属性集合，与数据库中的访问策略进行检索和匹配，若匹配，则获得授权；否则，没有获得授权。

步骤S1发送查询请求之前还包括如下步骤：

S1.1：向数据库提交资源名称、类型、大小和所有者，并上传资源数据库至区块链；

S1.2：数据存储单元将资源的客体属性发布到区块链中，用业务流记录资源客体属性的变化；

S1.3：向策略管理单元提交访问策略，访问策略包括：策略表示、匹配目标、策略内容和所有者；

S1.4：对策略管理单元进行校验，若通过校验则将策略存储在数据库中。

步骤S1.4的校验包括：判断策略标识是否与策略数据库中已有的策略冲突、判断匹配目标的格式是否为三个实体的属性集合、判断策略内容是否满足定义的格式并能转换成多叉树、资源所有者与当前提交的用户是否相同，若都通过校验则策略管理单元将策略存储至数据库中。

S5记录审计是将策略判断、执行的全部记录上传至联盟节点、区块链。

一种基于区块链构建的身份授权安全访问系统，包括：

区块链模块：用于存储属性信息和策略信息以及执行结果记录；

属性管理模块：用于管理主体的属性、客体和动作的属性；

策略管理模块：用于确定主体是否对客体有访问权限；

执行模块：用于执行访问操作或者拒绝访问操作，并将上传访问记录；

审计模块：用于记录授权访问、主体的访问行为，并且对系统中所有的用户需求和行为进行后验分析。