一种基于区块链技术的物联网隐私保护访问控制方法技术

本发明专利技术公开了一种基于区块链技术的物联网隐私保护访问控制方法，包括：资源拥有者对请求者的资源请求定义访问权限策略；资源拥有者的策略管理点对该访问权限策略进行语言转化，同时产生一个Token，并用请求者的公钥对该Token进行加密，资源拥有者将访问权限策略当做交易发送至请求者；资源拥有者的策略管理点向物联网网络进行交易广播，确定交易有效后将该交易打包至区块链中；请求者通过资源拥有者发送过来的Token发起该交易，同时向资源拥有者发送语言转化后的访问权限策略的解密脚本；资源拥有者验证该解密脚本的正确性，根据验证结果确定是否给予请求者对资源的访问控制权限，解密脚本正确后，将该交易的记录在区块链中上链。

A privacy protection access control method of Internet of things based on blockchain Technology

The invention discloses an access control method for privacy protection of Internet of things based on blockchain technology, which includes: resource owner defines access right policy for resource request of requester; policy management point of resource owner converts the access right policy into language, generates a token, encrypts the token with public key of requester, and resource owner will access right The limited policy is sent to the requester as a transaction; the policy management point of the resource owner broadcasts the transaction to the Internet of things network, and packages the transaction into the blockchain after confirming that the transaction is effective; the requester initiates the transaction through the token sent by the resource owner, and at the same time sends the decryption script of the access rights policy after language transformation to the resource owner; the resource owner verifies the transaction The correctness of the decryption script determines whether to give the requester access control rights to the resources according to the verification results. After the decryption script is correct, the transaction is recorded in the blockchain.

【技术实现步骤摘要】
一种基于区块链技术的物联网隐私保护访问控制方法
本专利技术实施例涉及物联网
，具体涉及一种基于区块链技术的物联网隐私保护访问控制方法。
技术介绍
物联网设备需通过服务器进行识别、认证和连接，即使有的设备之间只有几英尺的距离，也必须通过服务器进行连接。访问控制机制用于管理物联网中资源，实现对资源的可控使用，主体对资源的使用权限通过访问控制策略来表示，当主体请求访问某个资源时，会根据当时的访问环境和访问控制策略进行评估，以判断其是否具有对该资源的访问权限。在集中式物联网模型中，有许多传统的访问控制模型被引入。例如基于角色的访问控制(RBAC)模型，在该模型中，根据从物理对象的环境中收集的特征和信息将权限分配给角色，但是其在能力受限设备中的可行性尚未得到证实。基于能力的访问控制模型(CapBAC)，它可以在资源受限的设备上直接实现，该模型属于完全分布式的安全方法，但是其控制粒度是粗粒度的，而且不是用户驱动的。这些典型的安全和访问控制标准是建立在引入集中式可信实体的信任概念的基础上的，为每个访问请求包含一个中心实体显然损害了端到端的安全属性。另外，具有大量设备的物联网的动态性质会使中心实体的信任管理复杂化，从而影响可扩展性。在进行授权管理的时候大多采用集中式管理，然而集中式管理具有节点不可信的隐患，节点被攻击后授权易失效，集中式管理的优势是效率高，缺点是节点信任垄断；分布式管理的优点是可信，缺点是效率低。
技术实现思路
为此，本专利技术实施例提供一种基于区块链技术的物联网隐私保护访问控制方法，采用智能合约对物联网设备进行授权管理，并引入了Token进行授权管理，设置执行访问控制策略，实现对物联网隐私访问控制，解决在进行授权管理的时候大多采用集中式管理，然而集中式管理具有节点不可信的隐患，节点被攻击后授权易失效以及分布式管理的效率低的问题。为了实现上述目的，本专利技术的实施方式提供如下技术方案：一种基于区块链技术的物联网隐私保护访问控制方法，包括步骤：S100、资源拥有者对请求者的资源请求定义访问权限策略；S200、资源拥有者的策略管理点对该访问权限策略进行语言转化，同时策略管理点产生一个身份认证临时令牌Token，并用请求者的公钥对所述身份认证临时令牌Token进行加密,资源拥有者将该访问权限策略当做访问交易发送至请求者；S300、资源拥有者的策略管理点向物联网网络进行访问交易广播，并通过物联网网络的各个节点验证访问交易的有效性，确定访问交易有效后将该访问交易的记录信息打包至区块链中；S400、请求者通过资源拥有者发送过来的身份认证临时令牌Token向资源拥有者发起接入交易，同时向资源拥有者发送一个语言转化后的访问权限策略的解密脚本；S500、资源拥有者验证该解密脚本的正确性，并根据验证结果确定是否给予请求者对资源的访问控制权限，解密脚本正确后，将该交易的记录在区块链中上链。作为本专利技术的一种优选方案，将S100至S300定义为资源拥有者对请求者的资源请求的授权接入交易阶段，将S400至S500定义为请求者对资源拥有者对于资源的访问接入阶段，且资源拥有者和请求者均为连接至物联网网络的设备。作为本专利技术的一种优选方案，在S200中，所述资源拥有者是作为服务端产生身份认证临时令牌Token，并将身份认证临时令牌Token作为所述资源拥有者的资源被访问时的自定义访问控制策略，在资源拥有者的资源被请求者访问时强制执行身份认证临时令牌Token的访问控制策略。作为本专利技术的一种优选方案，在S200中，资源拥有者产生的Token的包括：资源拥有者的资源rs和请求者的地址rq，记作TKNrs，rq。作为本专利技术的一种优选方案，请求者的公钥对所述身份认证临时令牌Token进行加密的过程包括：S201、将资源拥有者的资源rs和请求者的地址rq信息进行Base64加密，形成TKNpayload，header形式的密文字符串；S202、将形成的TKNpayload，header的密文字符串用句号链接起来，用资源拥有者的密钥进行HS256加密，生成签名；S203、将形成的TKNpayload，header的密文字符串后面用句号链接签名形成最终的身份认证临时令牌Token返回给资源拥有者。作为本专利技术的一种优选方案，所述资源拥有者的策略管理点向物联网网络进行访问交易广播，并通过物联网网络的各个节点验证访问交易的有效性，若验证访问交易有效，在区块链中上链后，由区块链向策略管理点进行通证分发，确定资源拥有者授予请求者使用该资源的权力，若验证交易无效，则物联网网络直接向策略管理点发送拒绝交易的请求。作为本专利技术的一种优选方案，在S400中，所述请求者携带资源拥有者发送过来的身份认证临时令牌Token发起接入交易时，请求者扫描资源拥有者的策略管理点的权限数据库进行解密脚本匹配。作为本专利技术的一种优选方案，请求者发起接入交易时，携带的Token先经过请求者的策略管理点进行运算，形成访问接入策略，并将该访问接入策略转化为解密脚本语言发送至资源拥有者的策略管理点，资源拥有者利用相同的Base64运算和HS256进行解密，然后将访问交易和接入交易过程中的身份认证临时令牌Token的签名进行对比，确定身份认证临时令牌Token的合法性，同时通过Base64运算获取请求者的地址的授权时间和有效期。作为本专利技术的一种优选方案，所述资源拥有者验证由请求者的访问接入策略转化为解密脚本语言的正确性，并确定正确性后，将该访问接入交易广播至物联网网络，若该解密脚本语言不正确，则不进行交易广播，直接向请求者返回不正确结果。作为本专利技术的一种优选方案，所述资源拥有者的策略管理点在比特币中定义为钱包。本专利技术的实施方式具有如下优点：本专利技术采用智能合约来做授权管理，我们在该机制中引入了Token，并且强制的执行访问控制策略，物联网IOT设备动态的数据交互使系统的设计具有复杂性，采用p2p技术，使设备即是客户端又是服务器。本专利技术通过发送Token来实现访问控制，用Token来代表自定义的访问控制策略，区块链以交易的形式存储这些访问控制策略，我们还用区块链做审计功能，防止伪造的电子货币产生，以及避免双花。本专利技术能够有效实现物联网隐私保护访问控制，在保证信任的基础上，尽可能的提升资源数据访问授权效率。附图说明为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本专利技术可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本专利技术所能产生的功效及所本文档来自技高网...

【技术保护点】
1.一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，包括步骤：/nS100、资源拥有者对请求者的资源请求定义访问权限策略；/nS200、资源拥有者的策略管理点对该访问权限策略进行语言转化，同时策略管理点产生一个身份认证临时令牌Token，并用请求者的公钥对所述身份认证临时令牌Token进行加密,资源拥有者将该访问权限策略当做访问交易发送至请求者；/nS300、资源拥有者的策略管理点向物联网网络进行访问交易广播，并通过物联网网络的各个节点验证访问交易的有效性，确定访问交易有效后将该访问交易的记录信息打包至区块链中；/nS400、请求者通过资源拥有者发送过来的身份认证临时令牌Token向资源拥有者发起接入交易，同时向资源拥有者发送一个语言转化后的访问权限策略的解密脚本；/nS500、资源拥有者验证该解密脚本的正确性，并根据验证结果确定是否给予请求者对资源的访问控制权限，解密脚本正确后，将该交易的记录在区块链中上链。/n

【技术特征摘要】
1.一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，包括步骤：
S100、资源拥有者对请求者的资源请求定义访问权限策略；
S200、资源拥有者的策略管理点对该访问权限策略进行语言转化，同时策略管理点产生一个身份认证临时令牌Token，并用请求者的公钥对所述身份认证临时令牌Token进行加密,资源拥有者将该访问权限策略当做访问交易发送至请求者；
S300、资源拥有者的策略管理点向物联网网络进行访问交易广播，并通过物联网网络的各个节点验证访问交易的有效性，确定访问交易有效后将该访问交易的记录信息打包至区块链中；
S400、请求者通过资源拥有者发送过来的身份认证临时令牌Token向资源拥有者发起接入交易，同时向资源拥有者发送一个语言转化后的访问权限策略的解密脚本；
S500、资源拥有者验证该解密脚本的正确性，并根据验证结果确定是否给予请求者对资源的访问控制权限，解密脚本正确后，将该交易的记录在区块链中上链。


2.根据权利要求1所述的一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，将S100至S300定义为资源拥有者对请求者的资源请求的授权接入交易阶段，将S400至S500定义为请求者对资源拥有者对于资源的访问接入阶段，且资源拥有者和请求者均为连接至物联网网络的设备。


3.根据权利要求1所述的一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，在S200中，所述资源拥有者是作为服务端产生身份认证临时令牌Token，并将身份认证临时令牌Token作为所述资源拥有者的资源被访问时的自定义访问控制策略，在资源拥有者的资源被请求者访问时强制执行身份认证临时令牌Token的访问控制策略。


4.根据权利要求3所述的一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，在S200中，资源拥有者产生的Token的包括：资源拥有者的资源rs和请求者的地址rq，记作TKNrs,rq。


5.根据权利要求4所述的一种基于区块链技术的物联网隐私保护访问控制方法，其特征在于，请求者的公钥对所述身份认证临时令牌Token进行加密的过程包括：
S201、将资源拥有者的资源rs和请求者的地址rq信息进行...

【专利技术属性】
技术研发人员：袁咏诗，袁志坚，翟柱新，邹钟璐，朱辉青，瞿振，陈皓宁，全源，黄志才，李为，黄贺平，温思行，陈寿瑜，邓建中，冯奕军，陈小群，聂滢，
申请(专利权)人：广东电网有限责任公司，广东电网有限责任公司东莞供电局，
类型：发明
国别省市：广东;44