一种基于区块链的跨域资源隔离共享系统技术方案

本发明专利技术公开了一种基于区块链的跨域资源隔离共享系统，包括用户管理模块、访问控制模块和共识信任模块；所述用户管理模块用于管理用户信息，是该系统的前端，负责系统用户的注册、审核、授权、注销，并提供发起访问请求的功能，并为用户提供可视化的操作界面；所述访问控制模块包含多个后台服务器负责对访问请求进行处理，将请求包含的信息与访问策略进行匹配与违规研判，并将结果提交给用户管理模块；所述共识信任模块包含多个区块链节点，用于建立信任机制，并初始化、存储、读取、修改访问策略。本发明专利技术利用区块链来创建、管理访问控制策略，以异构资源安全隔离共享的方式实现分布式跨域协同计算与管控，使得海量云计算资源的能够安全流转。够安全流转。够安全流转。

【技术实现步骤摘要】
一种基于区块链的跨域资源隔离共享系统


[0001]本专利技术属于区块链
，具体涉及一种基于区块链的跨域资源隔离共享系统。

技术介绍

[0002]随着云计算技术的发展，网络上的云计算资源不断地增长。但是现有云计算资源的差异性与独立性使其难以大规模扩展，并形成大量的信息孤岛，无法有效地整合利用云计算资源以提高云计算机的生产效率和服务能力。因此，如何实现云计算资源统一利用与水平扩展，使得云计算资源的能够安全流转成为亟待解决的问题。
[0003]Foraker等人提出的建立数据“公共空间”来共享信息的方法，虽然可以有效利用各个区域医疗部门所拥有的医疗信息，但是该方法需要建立大量基础公共设施，花费极大的资金。同时常期维护这些基础设施也需要消耗很大的成本。因此并不适用于云计算资源的共享上。
[0004]Zhang等人提出的移动边缘
‑
云计算网络框架，使得移动边缘设备与云之间能够高效率共享计算资源。但是其应用场景限制在了同一个组织或域内。对于不同域间的信息共享，此框架并没有给出相应的解决方案。
[0005]Si等人基于区块链技术的物联网信息共享安全框架，要求通过工作量证明完成数据上链，并且所有雾节点都需要备份一份完整的信息。对于拥有海量云计算资源的环境来说，使用这样的框架会造成极大的资源浪费。
[0006]Feng等人提出的基于区块链的安全有效的分布式认证机制，虽然可以使处于不同域的通信双方进行有效的身份认证与安全的数据传输。但是，该机制更适用于通信双方点对点的认证与通信；对于多对多的云计算资源共享环境，该机制并不适用。

技术实现思路

[0007]为了克服上述现有技术存在的不足，本专利技术的目的在于提供一种基于区块链的跨域资源隔离共享系统，利用区块链来创建、管理访问控制策略，以异构资源安全隔离共享的方式实现分布式跨域协同计算与管控，使得海量云计算资源能够安全流转。
[0008]为了实现上述目的，本专利技术采用的技术方案是：
[0009]一种基于区块链的跨域资源隔离共享系统，包括用户管理模块、访问控制模块和共识信任模块；
[0010]所述用户管理模块用于管理用户信息，是系统的前端，负责系统用户的注册、审核、授权、注销，并提供发起访问请求的功能，以及为用户提供可视化的操作界面；
[0011]所述访问控制模块包含多个后台服务器负责对访问请求进行处理，将访问请求包含的信息与访问策略进行匹配与违规研判，并将结果提交给用户管理模块；
[0012]所述访问请求是指用户需要申请访问某个资源时，将会向请求管理模块的后台服务器发起访问请求，后台服务器响应是否允许该用户的访问；
[0013]所述请求包含的信息：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)；所述访问策略是指访问控制策略，本系统采用基于身份识别的访问控制、基于角色的访问控制、基于属性的访问控制三种访问控制方法建立了可信的访问控制策略；
[0014]所述共识信任模块包含多个区块链节点，用于建立信任机制，并初始化、存储、读取、修改访问策略。
[0015]二者匹配/违规的研判需要匹配的信息如下：
[0016]访问用户结构体(subInfo)，内容包括：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)，由后台服务器从访问请求中解析出来的；
[0017]访问对象结构体(objInfo)，内容包括：资源的身份(Pid)、角色(Role)、类型(Type)、操作类型(Operate)、资源的url地址(objURL)，由后台服务器访问资源数据库得到；
[0018]可信域名单(TrustedPlatforms)。名单由后台服务器向共识信任模块中的区块链发起获取访问策略的请求得到；
[0019]两者匹配需要满足下列条件：
[0020]访问用户的身份在可信域名单(TrustedPlatforms)中；
[0021]访问用户的角色权限要大于等于访问对象的角色权限(共有三种角色，以权限大小从大到小排序分别是：管理者(ADMIN)、操作者(OPERATOR)、访客(VIEWER))。
[0022]访问用户的服务类型、操作类型要与访问对象的服务类型、操作类型一致；
[0023]不满足以上条件，将会拒绝本次访问请求。
[0024]如果匹配，将匹配成功的信息以及资源的url地址一起传输到用户管理模块。如果违规，拒绝用户的访问请求，将拒绝访问信息传输到用户管理模块；
[0025]在“跨域资源隔离共享”中：
[0026]“域”指的就是同一个单位中形成了信息孤岛的不同地域；
[0027]跨域是指提供安全的方式，使不同域间的封闭资源可以进行共享；
[0028]“隔离”是预先假设的条件，是指各个域对云计算资源进行封闭式的管理，只有拥有正确url地址的用户才能对特定资源进行访问；
[0029]“共享”的实现：当用户想对隔离资源进行访问时，通过用户管理模块发起访问请求。访问控制模块结合访问控制策略(访问控制策略在区块链模块进行初始化、存储、读取、修改)判断是否允许本次访问，若允许本次访问，访问控制模块将资源的url传输到用户管理模块，通过url，对资源进行访问，由此达成“共享”的目的。
[0030]所述用户管理模块包括用户授权子模块、用户登录子模块、请求发起子模块；
[0031]1)用户授权子模块：管理员注册新的用户，并在注册时定义新用户的身份、角色信息，以达到授权的目的，相应的用户信息会存储到用户信息数据库当中，此外管理员审核当前已有的用户，注销一些用户，以达到权限回收的目的；
[0032]2)用户登录子模块：用户使用已注册的账号与密码进行登录，后台从用户信息数据库读取当中当前用户的身份、角色以及所属的域相关信息；
[0033]3)请求发起子模块：用户申请访问某个资源时，将会向请求管理模块的后台服务
器发起访问请求，并等待服务器响应。
[0034]资源是云计算资源，在本系统中特指由云计算机对外提供的服务，以url地址的方式展示。资源的相关信息，包括身份(Pid)、角色(Role)、类型(Type)、操作类型(Operate)、url地址(objURL)均存储在访问控制模块的资源数据库中，请求管理模块的后台服务器读取资源数据库可以获得资源相关信息，资源本身是不处于系统中的其他云计算机对外提供的服务，本系统只提供其url地址。
[0035]所述访问控制模块包括访问策略获取子模块、访问决策子模块、访问策略修改子模块；
[0036]访问策略获取子模块与访问决策子模块协同实现跨域共享策略的匹配与违规研判功能，访问策略修改子模块实现跨域共享策略的修改功能，具体功能如下：
[0037]1)访问策略获取子本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的跨域资源隔离共享系统，其特征在于，包括用户管理模块、访问控制模块和共识信任模块；所述用户管理模块用于管理用户信息，是系统的前端，负责系统用户的注册、审核、授权、注销，并提供发起访问请求的功能，以及为用户提供可视化的操作界面；所述访问控制模块包含多个后台服务器负责对访问请求进行处理，将访问请求包含的信息与访问策略进行匹配与违规研判，并将结果提交给用户管理模块；所述访问请求是指用户需要申请访问某个资源时，将会向请求管理模块的后台服务器发起访问请求，后台服务器响应是否允许该用户的访问；所述请求包含的信息：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)；所述访问策略是指访问控制策略，本系统采用基于身份识别的访问控制、基于角色的访问控制、基于属性的访问控制三种访问控制方法建立了可信的访问控制策略；所述共识信任模块包含多个区块链节点，用于建立信任机制，并初始化、存储、读取、修改访问策略。2.根据权利要求1所述的一种基于区块链的跨域资源隔离共享系统，其特征在于，二者匹配/违规的研判需要匹配的信息如下：访问用户结构体(subInfo)，内容包括：用户的身份(Pid)、角色(Role)、请求的服务类型(SvcType)、服务对象名称(SvcName)以及操作类型(Operate)，由后台服务器从访问请求中解析出来的；访问对象结构体(objInfo)，内容包括：资源的身份(Pid)、角色(Role)、类型(Type)、操作类型(Operate)、资源的url地址(objURL)，由后台服务器访问资源数据库得到；可信域名单(TrustedPlatforms)。名单由后台服务器向共识信任模块中的区块链发起获取访问策略的请求得到；两者匹配需要满足下列条件：访问用户的身份在可信域名单(TrustedPlatforms)中；访问用户的角色权限要大于等于访问对象的角色权限(共有三种角色，以权限大小从大到小排序分别是：管理者(ADMIN)、操作者(OPERATOR)、访客(VIEWER))。访问用户的服务类型、操作类型要与访问对象的服务类型、操作类型一致；不满足以上条件，将会拒绝本次访问请求。如果匹配，将匹配成功的信息以及资源的url地址一起传输到用户管理模块。如果违规，拒绝用户的访问请求，将拒绝访问信息传输到用户管理模块；在“跨域资源隔离共享”中：“域”指的就是同一个单位中形成了信息孤岛的不同地域；跨域是指提供安全的方式，使不同域间的封闭资源可以进行共享；“隔离”是预先假设的条件，是指各个域对云计算资源进行封闭式的管理，只有拥有正确url地址的用户才能对特定资源进行访问；“共享”的实现：当用户想对隔离资源进行访问时，通过用户管理模块发起访问请求。访问控制模块结合访问控制策略(访问控制策略在区块链模块进行初始化、存储、读取、修改)判断是否允许本次访问，若允许本次访问，访问控制模块将资源的url传输到用户管理模
块，通过url，对资源进行访问，由此达成“共享”的目的。3.根据权利要求1所述的一种基于区块链的跨域资源隔离共享系统，其特征在于，所述用户管理模块包括用户授权子模块、用户登录子模块、请求发起子模块；1)用户授权子模块：管理员注册新的用户，并在注册时定义新用户的身份、角色信息，以达到授权的目的，相应的用户信息会存储到用户信息数据库当中，此外管理员审核当前已有的用户，注销一些用户，以达到权限回收的目的；2)用户登录子模块：用户使用已注册的账号与密码进行登录，后台从用户信息数据库读取当中当前用户的身份、角色以及所属的域相关信息；3)请求发起子模块：用户申请访问某个资源时，将会向请求管理模块的后台服务器发起访问请求，并等待服务器响应。资源是云计算资源，在本系统中特指由云计算机对外提供的...

【专利技术属性】
技术研发人员：覃伯君，习宁，曾辉祥，李雅洁，刘瑾，程珂，穆旭彤，沈玉龙，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：