[发明专利]一种基于区块链的跨域资源隔离共享系统

权利要求书

1.一种基于区块链的跨域资源隔离共享系统，其特征在于，包括用户管理模块、访问控制模块和共识信任模块；

所述用户管理模块用于管理用户信息，是系统的前端，负责系统用户的注册、审核、授权、注销，并提供发起访问请求的功能，以及为用户提供可视化的操作界面；

所述访问控制模块包含多个后台服务器负责对访问请求进行处理，将访问请求包含的信息与访问策略进行匹配与违规研判，并将结果提交给用户管理模块；所述访问请求是指用户需要申请访问某个资源时，将会向请求管理模块的后台服务器发起访问请求，后台服务器响应是否允许该用户的访问；

所述请求包含的信息：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)；

所述访问策略是指访问控制策略，本系统采用基于身份识别的访问控制、基于角色的访问控制、基于属性的访问控制三种访问控制方法建立了可信的访问控制策略；

所述共识信任模块包含多个区块链节点，用于建立信任机制，并初始化、存储、读取、修改访问策略。

2.根据权利要求1所述的一种基于区块链的跨域资源隔离共享系统，其特征在于，二者匹配/违规的研判需要匹配的信息如下：

访问用户结构体(subInfo)，内容包括：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)，由后台服务器从访问请求中解析出来的；

访问对象结构体(objInfo)，内容包括：资源的身份(Pid)、角色(Role)、类型(Type)、操作类型(Operate)、资源的url地址(objURL)，由后台服务器访问资源数据库得到；

可信域名单(TrustedPlatforms)。名单由后台服务器向共识信任模块中的区块链发起获取访问策略的请求得到；

两者匹配需要满足下列条件：

访问用户的身份在可信域名单(TrustedPlatforms)中；

访问用户的角色权限要大于等于访问对象的角色权限(共有三种角色，以权限大小从大到小排序分别是：管理者(ADMIN)、操作者(OPERATOR)、访客(VIEWER))。

访问用户的服务类型、操作类型要与访问对象的服务类型、操作类型一致；

不满足以上条件，将会拒绝本次访问请求。

如果匹配，将匹配成功的信息以及资源的url地址一起传输到用户管理模块。如果违规，拒绝用户的访问请求，将拒绝访问信息传输到用户管理模块；

在“跨域资源隔离共享”中：

“域”指的就是同一个单位中形成了信息孤岛的不同地域；

跨域是指提供安全的方式，使不同域间的封闭资源可以进行共享；

“隔离”是预先假设的条件，是指各个域对云计算资源进行封闭式的管理，只有拥有正确url地址的用户才能对特定资源进行访问；

“共享”的实现：当用户想对隔离资源进行访问时，通过用户管理模块发起访问请求。访问控制模块结合访问控制策略(访问控制策略在区块链模块进行初始化、存储、读取、修改)判断是否允许本次访问，若允许本次访问，访问控制模块将资源的url传输到用户管理模块，通过url，对资源进行访问，由此达成“共享”的目的。