【技术实现步骤摘要】
访问控制方法及装置、电子设备、存储介质
[0001]本申请涉及电子设备
,涉及但不限定于访问控制方法及装置、电子设备、存储介质。
技术介绍
[0002]基于用户、资源、操作和运行上下文属性所提出的基于属性策略的访问控制(Attribute
‑
base Access control,ABAC)将主体和客体的属性作为基本的决策要素,灵活利用请求者所具有的属性集合决定是否赋予其访问权限,能够很好地将策略管理和权限判定相分离。由于属性是主体和客体内在固有的,不需要手工分配,同时访问控制是多对多的方式,使得ABAC管理上相对简单。并且属性可以多个角度对实体进行描述,因此可根据实际情况改变策略。
[0003]然而各方机构的身份、属性信息的分布具有分散性,例如医院拥有医生患者的身份信息,而金融机构拥有着用户的财产状况的属性信息,因此,区块链平台集中验证时,无法从数据孤岛中实现统一的用户访问控制。
技术实现思路
[0004]本申请提供一种访问控制方法及装置、电子设备、存储介质,至少解决了相关技术中区块链平台集中验证时安全可追溯的安全验证,无法从数据孤岛中实现统一的用户访问控制的问题。
[0005]本申请的技术方案是这样实现的:
[0006]第一方面,本申请提供一种访问控制方法,应用于区块链,所述方法包括:
[0007]通过所述区块链的访问管理合约接收第一用户对第一文件的访问请求;所述访问请求中包括所述用户的身份标识;
[0008]基于所述第一文件对应的第 ...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,应用于区块链,所述方法包括:通过所述区块链的访问管理合约接收第一用户对第一文件的访问请求;所述访问请求中包括所述第一用户的身份标识;基于所述第一文件对应的第一属性策略,通过所述访问管理合约调用所述区块链的属性子链确定所述第一用户的属性信息;所述属性子链为用于对用户属性信息进行管理的私有链;基于所述身份标识,通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息;所述身份子链为用于存储身份认证记录的私有链;通过所述访问管理合约验证所述第一用户的属性信息和所述身份信息;在所述第一用户通过验证的情况下,通过所述区块链的文件访问合约向所述第一用户授权。2.如权利要求1所述的方法,其特征在于,所述第一文件存储在分布式文件系统,所述方法还包括:所述访问管理合约获取所述第一文件在所述分布式文件系统的哈希值;所述访问管理合约基于所述第一文件的哈希值,从预设的哈希属性映射表中,确定所述第一文件对应的第一属性策略;所述哈希属性映射表用于记录文件哈希值与属性策略之间对应关系。3.如权利要求1所述的方法,其特征在于,所述基于所述身份标识,通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息,包括:在所述属性子链中存在所述第一用户的属性信息的情况下,通过所述访问管理合约转发所述访问请求至所述区块链的身份子链;基于所述身份标识,通过所述身份子链确定所述第一用户的身份信息。4.如权利要求2所述的方法,其特征在于,所述在所述第一用户通过验证的情况下,通过所述区块链的文件访问合约向所述第一用户授权,包括:在所述第一用户通过验证的情况下,通过所述文件访问合约确定所述第一属性策略对应的第一密钥;所述第一密钥用于对所述第一文件对应的密文进行解密;通过所述文件访问合约以所述第一用户的公钥加密所述第一密钥,得到第二密钥;通过所述文件访问合约以所述第二密钥作为输入发起交易请求并将所述交易请求提交至所述属性子链,以实现对所述第一用户的授权;其中,所述第二密钥用于所述第一用户以自己的私钥进行解密得到所述第一密钥。5.如权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:响应于接收到存储第二文件的存储请求,通过所述区块链的存储管理合约对所述第二文件进行加密,得到所述第二文件对应的密文;所述存储管理合约用于将待存储文件与对应属性策略关联;通过所述区块链的文件存储合约执行发布文件操作将所述密文发布在所述分布式文件系统上;其中,所述分布式文件系统用于存储所述密文并确定所述密文的哈希;通过所述文件存储合约将所述发布文件操作作为一次交易记录在所述区块链中。6.如权利要求5所述的方法,其特征在于,所述通过所述区块链的存储管理合约对所述第二文件进行加密,得到所述第二文件对应的密文,包括:
通过所述存储管理合约从所述属性子链中查找所述第二文件对应的第二属性策略;通过所述存储管理合约确定所述第二属性策略对应的第三密钥...
【专利技术属性】
技术研发人员:刘利军,柏洪涛,万莉莉,吴菡,王晓,严子易,谭飞越,龙云云,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。