[发明专利]一种基于区块链的分布式访问控制方法

说明书

本发明涉及一种基于区块链的分布式访问控制方法，属于信息安全领域。该方法包括：分布式访问授权流程设计：根据基于区块链的分布式访问控制模型B‑ABAC中各组件功能，设计分布式授权流程；同时设计在授权过程中，将产生的授权访问记录都记录在区块链上；S2：属性与策略智能合约设计：分离出属性权威和策略权威的职能，将这些职能分散到B‑ABAC模型中的智能合约与区块链账本中；S3：共识算法设计：使用分布式决策网络代替原有的决策点，设计并使用改进后的共识算法对分布式决策网络进行共识维护。本发明在非信任环境下，能提供细粒度、动态地访问授权，同时提高访问模型的安全性、可审计性并减少授权过程中的人为干预。

技术领域

本发明属于信息安全领域，涉及一种基于区块链的分布式访问控制方法。

背景技术

访问控制作为信息安全中关键的一环，其对信息系统的保护作用尤为凸显。访问控制技术可以根据预先设定的访问控制策略，保障资源只能被合法用户执行合法操作，防止了信息的非授权访问。

传统访问控制诸如自主访问控制(DAC)与强制访问控制(MAC)均是根据管理员预先设置的访问策略进行访问授权，其不易扩展、约束颗粒较大、主客体之间联系较弱等特点并不适合现阶段的分布式系统。

近年来，随着云计算和物联网的迅猛发展，访问控制域中的节点呈现出海量性、动态性、异构性等特点，这也对传统访问控制的安全提出了新的挑战。基于属性的访问控制(ABAC)也是在这种情况下应运而生的，ABAC使用属性作为访问控制的关键要素，使其可以细粒度地处理授权访问，同时解决了节点无法动态加入访问控制域的问题。

ABAC模型授权流程主要分为准备阶段和执行阶段。准备阶段首先由属性权威生成、存储、管理访问控制所需要的属性集合与属性权限-管理关系。之后由策略权威根据属性权威提供的属性集合及属性权限的关联关系对访问控制策略进行形式化描述。准备阶段主要是为执行阶段准备属性与策略的物料。在执行阶段中，当策略执行点收到原始访问请求后，会向属性权威请求主体属性、客体属性以及相关的环境属性，生成基于属性的访问请求并发送给策略决策点。策略决策点对请求中的身份信息进行判定后，根据策略权威提供的策略对请求进行判定，决定是否对其授权，并将判定结果传给策略执行点。最终由策略执行点执行判定结果。

不过，如同很多传统的访问控制模型一样，ABAC模型采用中心化的管理布局，由策略决策点对访问请求全权处理。在物联网或云环境等开放网络环境中，节点的海量性和异构性凸显，这使得传统访问控制集中式的授权模式管理和维护压力巨大。在授权过程中，每一次访问均依赖于中心化的实体来进行访问决策，存在权限判决透明度的问题。而且，在访问控制域中存在大量安全防护较低的设备，攻击者很有可能通过掌控大量低防护设备的控制权后对访问控制授权服务器进行DDoS、共谋、中间人等攻击。当单一的决策点受攻击或发生故障时，将导致整个访问控制系统停止运转，所以采用中心化布局的访问控制模型，在这种威胁下，就面临极大的挑战。

区块链作为一种分布式的技术范式，将点对点通信技术、分布式共识技术、智能合约技术、分布式存储技术、隐私保护技术有效的结合起来。从而使其具有去中心化、不可篡改、公开透明等特点。区块链技术也是第一个能够在不依赖第三方信任机构的条件下，打破陌生节点间的信任壁垒，使节点间可以进行安全有效的价值传递的技术。区块链技术的独特性使其应用前景非常广阔，有望推动目前的信息互联网向价值互联网转变。

发明内容

有鉴于此，本发明的目的在于提供一种基于区块链的分布式访问控制方法，在非信任环境下，能提供细粒度、动态地访问授权，同时提高访问模型的安全性、可审计性并减少授权过程中的人为干预。

为达到上述目的，本发明提供如下技术方案：