[发明专利]一种基于区块链的物联网访问控制架构及方法

说明书

本发明公开了一种基于区块链的物联网访问控制架构及方法，本发明通过将访问控制的授权决策实体部署在区块链上实现了物联网中多机构间的相互信任并杜绝了单点故障，通过将权限抽象为非同质通证并通过通证一次申请、多次使用的方法减少了区块链共识对访问控制性能的影响，通过将区块链部署在云端实现了对轻量级物联网设备的支持。物联网中存在复杂的访问控制场景，本发明通过将访问控制架构与决策模型分离，解决了物联网中不同场景需要不同访问控制模型的问题，使物联网中可以同时运行多种访问模型，无论是基于属性的访问或者是基于角色的访问等，都可以嵌入到本架构中。

本发明涉及基于区块链的访问控制领域，尤其涉及一种基于区块链的物联网访问控制架构及方法。

背景技术

物联网中产生了海量的数据，其中具有大量的个人隐私，这些隐私信息一旦泄漏会给用户带来巨大的损失。作为数据保护的基石性技术之一，访问控制可保障数据仅能被拥有相应权限的用户访问。因此，研究物联网下的访问控制机制也就成为了物联网安全和隐私保护的重要研究内容之一。

区块链是一种去中心化的分布式技术，从技术上解决了基于信任的中心化模型带来的安全问题，因此将区块链与访问控制结合来作为物联网数据保护的关键技术。尽管有许多将区块链与访问控制相结合的研究，但是目前这些访问控制模型并不成熟，没有统一考虑物联网海量性、动态性和设备轻量级的特征。事实上这三个特征在物联网中是内在联系并同时存在的，物联网中存在海量的用户，用户会随时移动，每个用户通常都拥有多个物联网终端设备，且这些设备多数是轻量级的。因此物联网中的访问控制应该满足海量性、动态性和设备轻量级所带来的挑战。

发明内容

针对现有技术的不足，本发明提出了一种基于区块链的物联网访问控制架构及方法，既解决了物联网环境下海量性、动态性和设备轻量级给访问控制带来的问题，同时又在一定程度上减少了区块链对访问控制性能的影响。

本发明的目的是通过以下技术方案来实现的：一种基于区块链的物联网访问控制架构，该架构包括模型和工作流程。架构该架构在权限授权中引入属性的概念满足了对海量性的支持；由区块链自身分布式结构和身份认证方式为模型提供了动态性的支持；区块链自身提供的安全性和多机构信任使访问控制可以将需要大规模计算和存储的部分部署在区块链中，因此本模型支持轻量级的物联网设备；将访问控制将客体资源的权限独立出来，然后权限组合成通证，通过通证的一次申请、多次使用来减少对访问控制性能的影响。

一种基于区块链的物联网访问控制模型，模型包括实体、实体间关系和属性三部分。实体分别是主体、客体、权限、资源拥有者、通证和事件；实体间的关系包括：主体和通证的关系(ST)、通证和权限(TP)、权限和客体(PO)、客体和资源拥有者(OR)、以及事件与其他主体之间的关系。由于事件的不同，各种事件与主体之间的关系也各不相同。属性包括实体属性和环境属性两类，实体属性会出现继承的现象。

一种基于区块链的访问控制流程，访问控制的流程包括：用户注册、请求权限、访问请求、权限传递、策略更新。其中请求权限的步骤如下：

第一步：主体向区块链发出请求某个资源拥有者的某个资源的某个权限的消息，请求中需要附带主体的身份标识，同时请求的权限可以是一个也可以是多个，但必须是一个资源下的权限。

第二步：区块链收到消息后首先验证消息是否正确，验证的内容包括访问请求消息发送者身份的验证、资源拥有者存在性验证和客体和资源拥有者关系验证。

第三步：区块链中的访问控制决策智能合约根据访问请求消息获得的参数做出决策。

第四步：如果确定权限授予，则根据主体、客体和权限的信息生成一个对应的通证。

若所述访问请求流程中，主体使用已请求到的通证访问客体资源，主体向客体出示通证，客体需验证如下内容：访问资源消息发送者身份的验证、资源拥有者存在性验证、客体和资源拥有者关系验证、主体和通证的关系、通证是否有效，通证是否和客体对应。如果验证通过主体即可访问客体。