本發明屬于物聯網訪問控制領域，具體涉及一種基于區塊鏈和信任系統的訪問控制方法，包括搭建聯盟鏈平臺，管理員對區塊鏈網絡進行初始化，編寫策略管理鏈碼、權限驗證鏈碼、信任管理鏈碼、資源管理鏈碼，將鏈碼安裝到區塊鏈并初始化；制定訪問管理策略，由管理員將制定的訪問策略上傳到區塊鏈中；管理員對用戶的屬性進行驗證，利用策略管理鏈碼將用戶屬性保存在區塊鏈上；調用資源管理鏈碼，將資源URL儲存到區塊鏈上；戶通過區塊鏈向資源請求訪問，訪問后調用信用管理鏈碼對用戶的信任值進行計算，得出的結果將儲存在區塊鏈上，并對用戶的信任值屬性進行更新保存；本發明保證區塊鏈網絡的安全，使用令牌減少區塊鏈的存儲壓力，加快訪問速度。

技術領域

本發明屬于物聯網訪問控制領域，具體涉及一種基于區塊鏈和信任系統的訪問控制方法。

背景技術

隨著智能設備和通信技術的快速發展，物聯網作為資源受限的低功耗網絡的主要標準得到了廣泛的接受和普及，已經應用到智能家居、智能交通、智能醫療等眾多領域，使人們進入萬物互聯時代。物聯網在給我們帶來極大的便利的同時，也伴隨著一些安全問題。同時，物聯網會產生海量的數據，這些數據中包含著大量的個人隱私，一旦產生泄露將會對用戶造成嚴重的后果。所以，如何讓保護物聯網上的資源，防止未經授權的訪問成為了物聯網訪問控制的重大挑戰。

傳統的使用較多的物聯網訪問控制有自主訪問控制(Discretionary?AccessControl，DAC)、強制訪問控制(Mandatory?Access?Control，MAC)、基于角色的訪問控制(Role?Based?Access?Control，RBAC)、基于屬性的訪問控制(Attributes?Based?AccessControl，ABAC)。傳統的訪問控制模型多使用一個中心實體或一個可信第三方來集中管理用戶權限和訪問信息，隨著越來越多的智能設備接入物聯網，中央實體需要管理大量的智能設備，容易發生單點故障，且存在缺乏透明度等問題。區塊鏈所具有的去中心化，不可纂改，可溯源的特性，可以極好的擔任物聯網訪問控制中可信第三方的角色，為物聯網中的訪問控制提供一個可信的計算環境。同時，聯盟鏈作為一種由多個機構公同參與管理的區塊鏈，它的交易確認時間，每秒交易數比私有鏈和公有鏈有較大區別，對安全和性能要求較高，并且沒有交易費用，更加適合物聯網體系。

發明內容

為了解決解決物聯網中訪問控制中心化，權限的動態授予以及區塊鏈中節點安全的問題，本發明提出一種基于區塊鏈和信任系統的訪問控制方法，具體包括以下步驟：

S1、搭建聯盟鏈平臺，管理員對區塊鏈網絡進行初始化，包括為該網絡中的用戶創建證書；

S2、在Hyperledger?Fabric平臺上使用golang編寫鏈碼，包括策略管理鏈碼、權限驗證鏈碼、信任管理鏈碼、資源管理鏈碼，將鏈碼安裝到區塊鏈并進行初始化；

S3、用戶和管理員一起制定訪問管理策略，由管理員將制定的訪問策略上傳到區塊鏈中；同時管理員對用戶的屬性進行驗證，利用策略管理鏈碼將用戶屬性保存在區塊鏈上；

S4、調用資源管理鏈碼，將資源URL儲存到區塊鏈上；

S5、用戶通過區塊鏈向資源請求訪問，用戶發送請求后，鏈碼將檢查相應的訪問策略和用戶的屬性，如果用戶的屬性和策略匹配，則生成一個令牌發送給用戶，并將令牌的哈希值保存在區塊鏈上，以便進行權限驗證；

S6、區塊鏈記錄步驟S5中的并調用信用管理鏈碼對用戶的信任值進行計算，得出的結果將儲存在區塊鏈上，并對用戶的信任值屬性進行更新保存。

進一步的，策略管理鏈碼用于實現用戶的屬性認證和儲存，并為系統添加基于屬性的訪問控制模型的訪問控制策略，該鏈碼包括以下接口：

Auth()結構，用于存儲用于屬性，即當用戶向管理員發送屬性注冊請求，管理員根據規范驗證其屬性，驗證完成后通過該接口將用戶屬性儲存到區塊鏈中；