本發明公開了基于區塊鏈的分布式可擴展訪問控制授權系統和方法。本方案以區塊鏈智能合約為載體，提出了新架構，結合傳統的訪問控制模型，引入屬性序號值對和前綴標識的概念對系統策略檢索方法進行了優化。架構層面，方案在區塊鏈網絡和各管理域的中間引入智能網關作訪問請求和數據請求代理，由管理員對設備注冊、屬性進行管理；智能合約層面，本方案設計了策略實施合約、策略合約和策略管理合約，共同對訪問控制進行授權管理；策略檢索方法層面，為訪問請求和策略生成前綴標識，通過對兩者進行位計算，進行策略初步匹配，同時引入策略沖突配置，大大優化了策略檢索速度。故本方案相較于其他的訪問控制解決方案有一定的優勢。

技術領域

本發明屬于訪問控制技術領域，涉及屬性的分布式可擴展訪問控制授權方案，方案提出了以一種新的分布式架構，結合傳統的基于屬性的訪問控制模型，引入屬性序號值對和前綴標識的概念對系統策略檢索方法進行了優化。

背景技術

工業數據的隱私和安全至關重要，關乎企業及其客戶的根本經濟利益。訪問控制技術是數據安全防護的核心技術之一，可以依據預先定義的訪問授權策略授予主體訪問客體的權限，并對主體使用權限的過程進行有效控制，從而實現數據的授權訪問，防止非授權的信息泄露。物聯網場景下常見的訪問控制模型包括基于角色的訪問控制(RBAC)、基于權能的訪問控制(CapBAC)、基于使用的訪問控制(UCON)以及基于屬性的訪問控制(ABAC)等。其中基于屬性的訪問控制模型通過使用屬性作為訪問控制的關鍵要素，有效解決了具有大規模、強動態性及強隱私性等特點的新型計算環境下細粒度訪問控制的問題。

現有的訪問控制方案主要為中心化的解決方案，存在單點故障、性能瓶頸的問題。此外因為需要借助第三方服務，這種方案也對數據安全和隱私構成了極大的挑戰。

現有的訪問控制方案對系統可擴展性考慮不足，主要有：1)架構層面上：現有方案沒有考慮到工業現場存在大量能力不足的設備；沒有考慮到工廠布局和設備具有高度的動態性。2)具體實現方案上：區塊鏈的計算和存儲資源都是較為昂貴的資源，將實體屬性、訪問控制策略以及控制邏輯都放在區塊鏈上，必須要考慮系統的擴展性問題，即隨著屬性、策略、設備的增多，訪問控制的計算和存儲成本增加以及訪問控制的低效。

發明內容

本發明的目的在于解決現有的訪問控制方案架構層面上沒有考慮到工業現場存在大量能力不足的設備、工廠布局和設備具有高度的動態性的問題，具體實現方案上隨著屬性、策略、設備的增多，訪問控制的計算和存儲成本增加以及訪問控制的低效的問題，通過以區塊鏈智能合約為載體，基于區塊鏈提出了以一種新的分布式架構，結合傳統的基于屬性的訪問控制模型，引入屬性序號值對和前綴標識的概念對系統策略檢索方法進行了優化。

本發明的核心技術思路是基于區塊鏈新的分布式架構引入屬性序號值對和前綴標識的概念對系統策略檢索方法進行優化，方案主要包括三個層面。1)架構層面：方案在區塊鏈網絡和各管理域的中間引入智能網關作訪問請求和數據請求代理，由管理員對設備注冊、屬性進行管理。2)智能合約設計層面：方案設計了策略實施合約PEC、策略合約PC和策略管理合約三種合約，共同對訪問控制進行授權管理。3)策略檢索方法實現層面：為訪問請求和策略生成前綴標識，通過對兩者進行位計算，進行策略初步匹配，同時引入策略沖突配置，從而大大優化了策略檢索速度。

本發明解決問題的整體方案包含面向智能工廠的基于以太坊區塊鏈和智能合約的訪問架構、智能合約和策略檢索方法。