[发明专利]一种基于区块链和拜占庭容错算法的跨域访问控制方案

权利要求书

1.一种基于区块链和拜占庭容错算法的跨域访问控制方案，其特征在于，包括以下步骤：

接收设备所有者制定的设备中资源对应的访问控制策略，对所述访问控制策略进行验证通过后，将所述访问控制策略提交至域内联盟链，并更新策略默克尔树根至域间公有链；

在安全域间完成跨域策略同步，当目标安全域接收到所述访问控制策略信息后，在所述域内管理委员会间运行共识算法并向所述域内联盟链更新策略，并同步策略默克尔树根值至域间公有链；

接收用户提交的访问控制请求，并运行共识算法完成用户身份认证和策略验证后，通过请求方委员会向应答方委员会发送跨域请求元组，由所述应答方委员会内运行共识算法完成认证和验证过程后，向所述请求方委员会回复应答消息，以使得所述请求方委员会和所述应答方委员会向用户和设备发送允许访问的消息，建立请求方与应答方之间的数据交换。

2.根据权利要求1所述的方案，其特征在于，在接收设备所有者制定的设备中资源对应的访问控制策略之前，还包括：

初始化所述域间公有链和所述域内联盟链，初始化策略默克尔树，初始化领导者节点选举算法与委员会成员选举算法，初始化HotStuff算法参数；

通过用户调用智能合约注册成为设备所有者，注册其拥有的设备及其中资源。

3.根据权利要求1所述的方案，其特征在于，对所述访问控制策略进行验证通过后，将所述访问控制策略提交至所述域内联盟链，并更新策略默克尔树根至域间公有链，包括：

通过所述应答方委员会的领导者节点对所述访问控制策略的策略元组进行验证，计算新的默克尔树，运行HotStuff算法在委员会节点间就策略及默克尔树达成共识，并输出共识证明，由节点将对应的交易保存至所述域内联盟链中；

通过所述应答方委员会的领导者节点收集节点对默克尔树根值的签名，构造完整签名后，通过所述域间公有链提交默克尔树根值信息。

4.根据权利要求1所述的方案，其特征在于，在安全域间完成跨域策略同步，当目标安全域接收到所述访问控制策略信息后，在所述域内管理委员会间运行共识算法并向域内联盟链更新策略，并同步策略默克尔树根值至域间公有链，包括：

通过所述应答方委员会的领导者节点向所述请求方委员会的领导者节点发送跨域策略定义消息，其中包含策略、默克尔树根值，以及对默克尔树根的门限签名；

所述请求方委员会的领导者节点验证所述跨域策略定义消息，计算新的默克尔树，运行HotStuff算法在委员会节点间就策略及默克尔树达成共识，并输出证明，由节点将对应的交易保存至所述域内联盟链中；

通过所述请求方委员会收集节点对默克尔树根值的签名，构造完整签名后，通过所述域间公有链提交默克尔树根值信息。

5.根据权利要求1所述的方案，其特征在于，接收用户提交的访问控制请求，并运行共识算法完成用户身份认证和策略验证，包括：

通过用户对资源提交所述访问控制请求，并将加密和签名后的请求元组发送给所在的域内管理委员会的领导者节点；

通过所述请求方委员会的领导者节点对所述请求元组进行验证与认证，包括验证证书内容、验证请求元组的合法性、及匹配元组中的策略与联盟链中储存信息。

6.根据权利要求1所述的方案，其特征在于，通过所述请求方委员会向所述应答方委员会发送跨域请求元组，由所述应答方委员会内运行共识算法完成认证和验证过程，包括：

通过所述请求方委员会的领导者节点运行HotStuff算法，与所述请求方委员会的其余节点就所述跨域请求元组信息达成共识，通过所述请求方委员会的领导者节点转发所述跨域请求元组信息及共识证明至所述应答方委员会；

通过所述应答方委员会的领导者节点对所述跨域请求元组消息进行认证及验证，验证包括验证证书内容、验证请求元组的合法性、验证共识证明及匹配元组中的策略与联盟链中储存信息，并将策略默克尔根植信息与所述域间公有链中存储值相比较。