本發明公開了一種基于區塊鏈的物聯網訪問控制架構及方法，本發明通過將訪問控制的授權決策實體部署在區塊鏈上實現了物聯網中多機構間的相互信任并杜絕了單點故障，通過將權限抽象為非同質通證并通過通證一次申請、多次使用的方法減少了區塊鏈共識對訪問控制性能的影響，通過將區塊鏈部署在云端實現了對輕量級物聯網設備的支持。物聯網中存在復雜的訪問控制場景，本發明通過將訪問控制架構與決策模型分離，解決了物聯網中不同場景需要不同訪問控制模型的問題，使物聯網中可以同時運行多種訪問模型，無論是基于屬性的訪問或者是基于角色的訪問等，都可以嵌入到本架構中。

本發明涉及基于區塊鏈的訪問控制領域，尤其涉及一種基于區塊鏈的物聯網訪問控制架構及方法。

背景技術

物聯網中產生了海量的數據，其中具有大量的個人隱私，這些隱私信息一旦泄漏會給用戶帶來巨大的損失。作為數據保護的基石性技術之一，訪問控制可保障數據僅能被擁有相應權限的用戶訪問。因此，研究物聯網下的訪問控制機制也就成為了物聯網安全和隱私保護的重要研究內容之一。

區塊鏈是一種去中心化的分布式技術，從技術上解決了基于信任的中心化模型帶來的安全問題，因此將區塊鏈與訪問控制結合來作為物聯網數據保護的關鍵技術。盡管有許多將區塊鏈與訪問控制相結合的研究，但是目前這些訪問控制模型并不成熟，沒有統一考慮物聯網海量性、動態性和設備輕量級的特征。事實上這三個特征在物聯網中是內在聯系并同時存在的，物聯網中存在海量的用戶，用戶會隨時移動，每個用戶通常都擁有多個物聯網終端設備，且這些設備多數是輕量級的。因此物聯網中的訪問控制應該滿足海量性、動態性和設備輕量級所帶來的挑戰。

發明內容

針對現有技術的不足，本發明提出了一種基于區塊鏈的物聯網訪問控制架構及方法，既解決了物聯網環境下海量性、動態性和設備輕量級給訪問控制帶來的問題，同時又在一定程度上減少了區塊鏈對訪問控制性能的影響。

本發明的目的是通過以下技術方案來實現的：一種基于區塊鏈的物聯網訪問控制架構，該架構包括模型和工作流程。架構該架構在權限授權中引入屬性的概念滿足了對海量性的支持；由區塊鏈自身分布式結構和身份認證方式為模型提供了動態性的支持；區塊鏈自身提供的安全性和多機構信任使訪問控制可以將需要大規模計算和存儲的部分部署在區塊鏈中，因此本模型支持輕量級的物聯網設備；將訪問控制將客體資源的權限獨立出來，然后權限組合成通證，通過通證的一次申請、多次使用來減少對訪問控制性能的影響。

一種基于區塊鏈的物聯網訪問控制模型，模型包括實體、實體間關系和屬性三部分。實體分別是主體、客體、權限、資源擁有者、通證和事件；實體間的關系包括：主體和通證的關系(ST)、通證和權限(TP)、權限和客體(PO)、客體和資源擁有者(OR)、以及事件與其他主體之間的關系。由于事件的不同，各種事件與主體之間的關系也各不相同。屬性包括實體屬性和環境屬性兩類，實體屬性會出現繼承的現象。

一種基于區塊鏈的訪問控制流程，訪問控制的流程包括：用戶注冊、請求權限、訪問請求、權限傳遞、策略更新。其中請求權限的步驟如下：

第一步：主體向區塊鏈發出請求某個資源擁有者的某個資源的某個權限的消息，請求中需要附帶主體的身份標識，同時請求的權限可以是一個也可以是多個，但必須是一個資源下的權限。

第二步：區塊鏈收到消息后首先驗證消息是否正確，驗證的內容包括訪問請求消息發送者身份的驗證、資源擁有者存在性驗證和客體和資源擁有者關系驗證。

第三步：區塊鏈中的訪問控制決策智能合約根據訪問請求消息獲得的參數做出決策。

第四步：如果確定權限授予，則根據主體、客體和權限的信息生成一個對應的通證。

若所述訪問請求流程中，主體使用已請求到的通證訪問客體資源，主體向客體出示通證，客體需驗證如下內容：訪問資源消息發送者身份的驗證、資源擁有者存在性驗證、客體和資源擁有者關系驗證、主體和通證的關系、通證是否有效，通證是否和客體對應。如果驗證通過主體即可訪問客體。