本發(fā)明公開了一種基于屬性的區(qū)塊鏈物聯(lián)網(wǎng)分布式訪問控制方法，本發(fā)明利用塊鏈技術(shù)，提出了一種基于屬性的物聯(lián)網(wǎng)分布式訪問控制框架(ADAC)。在ADAC框架中，考慮了制造商和對(duì)象特有屬性等屬性，以便在開放的和輕量級(jí)物聯(lián)網(wǎng)設(shè)備中進(jìn)行更細(xì)致的訪問控制。本方法中，我們?cè)O(shè)計(jì)了一個(gè)智能合約系統(tǒng)，它包括一個(gè)主體合約(SC)、一個(gè)客體合約(OC)、一個(gè)訪問控制合約(ACC)和多個(gè)策略合約(PCs)。該系統(tǒng)在分布式可信訪問控制(DTAC)環(huán)境下用于管理和訪問物聯(lián)網(wǎng)設(shè)備的屬性。其中，SC和OC分別負(fù)責(zé)管理主體屬性和客體屬性信息，PC用于管理訪問控制策略，ACC通過訪問屬性和策略來執(zhí)行授權(quán)判斷。

技術(shù)領(lǐng)域

本發(fā)明屬于電子信息技術(shù)領(lǐng)域，涉及一種基于屬性的分布式訪問控制方法。該方法是在基于物聯(lián)網(wǎng)屬性的訪問控制的基礎(chǔ)上，融合區(qū)塊鏈技術(shù)和智慧合約系統(tǒng)來實(shí)現(xiàn)安全高效的物聯(lián)網(wǎng)分布式訪問控制。

背景技術(shù)

隨著物聯(lián)網(wǎng)技術(shù)的飛速進(jìn)步，物聯(lián)網(wǎng)與我們生活的聯(lián)系越來越密切。然而，物聯(lián)網(wǎng)在給我們帶來更多便利的同時(shí)，也增加了我們安全和隱私方面的風(fēng)險(xiǎn)。由于物聯(lián)網(wǎng)的運(yùn)作環(huán)境規(guī)模龐大、開放性高，且每個(gè)設(shè)備節(jié)點(diǎn)都可能會(huì)為其他設(shè)備節(jié)點(diǎn)提供服務(wù)，所以傳統(tǒng)的集中式訪問控制方法不適合分布式的物聯(lián)網(wǎng)系統(tǒng)。為了構(gòu)造出一種安全可靠的分布式訪問控制方法，研究學(xué)者們紛紛將目光投向了區(qū)塊鏈技術(shù)并且提出了一些有效的措施。這些措施主要可分為三種方案，但這三種方案都有各自的缺點(diǎn)和不足。第一種方案是利用區(qū)塊鏈技術(shù)設(shè)計(jì)出一個(gè)訪問控制的算法，但是這種方案僅僅確保了訪問策略的安全，卻忽視了區(qū)塊鏈可以提供安全可靠的運(yùn)行環(huán)境的能力。第二種方案是在訪問控制方法中應(yīng)用區(qū)塊鏈鎖定腳本的計(jì)算能力，可是我們需要注意的是鎖定腳本的計(jì)算能力是有限的。第三種方案是基于以太坊智慧合約利用訪問控制列表去實(shí)現(xiàn)訪問控制，但是后期的擴(kuò)展和維護(hù)對(duì)于這種利用列表的方式將會(huì)顯得比較困難和麻煩。總的來說，這些方案沒有充分利用物聯(lián)網(wǎng)設(shè)備的計(jì)算和存儲(chǔ)能力去維持塊鏈的安全。

發(fā)明內(nèi)容

本發(fā)明設(shè)計(jì)了一個(gè)基于屬性的分布式訪問控制框架，將每個(gè)物聯(lián)網(wǎng)設(shè)備看做一個(gè)的賬戶、訪問控制請(qǐng)求看做區(qū)塊鏈交易，利用區(qū)塊鏈技術(shù)來保證訪問控制框架的安全，以此來實(shí)現(xiàn)安全的基于屬性的物聯(lián)網(wǎng)分布式訪問控制方法。

本發(fā)明是通過以下技術(shù)方案來實(shí)現(xiàn)：

在智慧合約上基于屬性的分布式訪問控制框架，包括：

主體合約，管理合法制造商的賬戶、物聯(lián)網(wǎng)設(shè)備的賬戶以及物聯(lián)網(wǎng)的所有主體屬性(SA)數(shù)據(jù)，并提供相應(yīng)的應(yīng)用程序二進(jìn)制接口(ABI)。

客體合約，與主體合約類似，負(fù)責(zé)管理所有物聯(lián)網(wǎng)設(shè)備的客體屬性(OA)，提供相應(yīng)的應(yīng)用程序二進(jìn)制接口(ABI)。

多個(gè)策略合約，通過一個(gè)用戶創(chuàng)建并且在訪問控制合約中必須綁定一個(gè)用戶的設(shè)備。所有的PC可以符合多個(gè)物聯(lián)網(wǎng)設(shè)備，但是只能有一個(gè)擁有者，并且只有這個(gè)擁有者才有權(quán)對(duì)策合約略進(jìn)行添加和刪除操作。該策略合約提供管理客體屬性信息的應(yīng)用程序二進(jìn)制接口。

訪問控制合約，用來判定請(qǐng)求是否符合用戶自定義的策略，返回判定結(jié)果并履行某些義務(wù)。

在區(qū)塊鏈上利用基于屬性的分布式訪問控制框架實(shí)現(xiàn)可靠的訪問控制，包括如下步驟：

步驟1：合法物聯(lián)網(wǎng)設(shè)備制造商通過主體合約為其各自設(shè)備進(jìn)行注冊(cè)，并且設(shè)置相應(yīng)的制造商屬性。設(shè)備擁有者通過主體合約和客體合約未設(shè)備賬戶設(shè)置主客隊(duì)屬性和客體屬性，通過策略合約設(shè)計(jì)控制策略，通過訪問控制合約將控制策略與物聯(lián)網(wǎng)設(shè)備綁定。

步驟2：物聯(lián)網(wǎng)設(shè)備提交訪問請(qǐng)求。如果是超輕量節(jié)點(diǎn)，則提交給網(wǎng)關(guān)或網(wǎng)關(guān)代理。

步驟3：網(wǎng)關(guān)在智能合約中運(yùn)行的訪問控制程序，訪問控制合約(ACC)在收到請(qǐng)求后，將從主體合約(SC)、客體合約(OC)和區(qū)鏈中獲取屬性，然后從多個(gè)策略合約(PCs)獲取策略，最后做出授權(quán)判斷。若授權(quán)訪問，則將交易廣播到網(wǎng)絡(luò)中，