[发明专利]一种基于区块链的访问控制方法及装置

说明书

本发明实施例提供一种基于区块链的访问控制方法及装置，访问控制策略设置在区块链的智能合约中，该方法包括：客户端接收后台服务器发送的用户权限信息，用户权限信息中包含用户角色、可操作的数据对象以及对数据对象的操作权限；客户端生成访问权限请求，访问权限请求中包含用户权限信息、操作信息和被操作数据对象；客户端将访问权限请求发送至所述区块链，以使访问控制策略根据预设算法和用户权限信息、操作信息、被操作数据对象确定决策结果，并通过区块链的共识机制在区块链中存证决策结果。上述方法中，访问控制策略设置在智能合约，用户权限信息设置在后台服务器，既能实现细粒度访问控制，又能提高访问控制的安全性，降低区块链计算量。

技术领域

本申请涉及网络技术领域，尤其涉及一种基于区块链的访问控制方法及装置。

背景技术

访问控制是指允许特定的授权主体对象对客体对象进行访问，同时可以阻止为没有授权的主体提供服务的一种策略。即，对“谁可以访问什么数据资源”、“谁对数据资源可以进行操作”、“可以进行什么样的操作”等一系列问题的相关访问权限进行管理。

传统的基于角色的访问控制(RBAC，Role-Based Access Control)为典型的且最为广泛应用的访问控制应用场景，该种方法可以简单灵活的进行访问控制，但是用户权限更改困难，存在控制粒度较粗的问题；且由于该方法通常都由一个集中式的授权认证中心依据访问控制策略和用户信息进行访问控制决策，每个访问请求都指向同一个中心化机构或组织，存在单点故障和安全问题。

因此，目前亟需一种基于区块链的访问控制方法及装置，能够既能实现细粒度的进行访问控制，又能提高访问控制的安全性。

发明内容

本发明实施例提供一种基于区块链的访问控制方法及装置，能够既能实现细粒度的进行访问控制，又能提高访问控制的安全性。

第一方面，本发明实施例提供一种基于区块链的访问控制方法，访问控制策略设置在所述区块链的智能合约中，该方法包括：

客户端接收后台服务器发送的用户权限信息，所述用户权限信息中包含用户角色、可操作的数据对象以及对所述数据对象的操作权限；

所述客户端生成访问权限请求，所述访问权限请求中包含所述用户权限信息、操作信息和被操作数据对象；

所述客户端将所述访问权限请求发送至所述区块链，以使所述访问控制策略根据预设算法和所述用户权限信息、所述操作信息、所述被操作数据对象确定决策结果，并通过所述区块链的共识机制在所述区块链中存证所述决策结果。

上述方法中，将访问控制策略设置在区块链的智能合约中，相比于现有的传统的基于角色的访问控制来说，本申请可以通过区块链实现数据的操作不可被恶意操纵或篡改，以及数据有强可追溯性，不可伪造性和不可篡改性等，提高访问控制的安全性。且相比于传统的基于角色的访问控制中设置用户组对应的权限，本申请针对每个用户设置权限，实现细粒度的访问控制。提高用户权限定制的细化和修改的灵活度。另外，所述客户端将包含用户权限信息、操作信息和被操作数据对象的所述访问权限请求发送至所述区块链。如此，使访问控制机制中的预设算法得到该算法的输入，进而该预设算法根据所述用户权限信息、所述操作信息、所述被操作数据对象确定决策结果，并通过所述区块链的共识机制在所述区块链中存证所述决策结果。改善了区块链中‘一步流程一共识’的原则；只需要将用户权限信息、操作信息、被操作数据对象作为输入，输入到预设算法，使得预设算法输出的决策结果，最后直接将决策结果共识存证即可，降低区块链中共识节点‘一步流程一共识’原则的记录数据-存证数据量，加快访问控制效率。

可选的，客户端接收后台服务器发送的用户权限信息，包括：所述客户端根据用户登录信息生成权限获取请求；所述客户端将所述权限获取请求发送至所述后台服务器，以使得所述后台服务器根据所述用户登录信息和用户权限记录确定用户权限信息，所述用户权限记录中包含针对每个用户的用户权限信息；所述客户端接收所述后台服务器发送的所述用户权限信息。