访问控制方法及装置、电子设备、存储介质制造方法及图纸

本申请公开了一种访问控制方法及装置、设备、存储介质，该方法包括：通过区块链的访问管理合约接收第一用户对第一文件的访问请求；基于所述第一文件对应的第一属性策略，通过所述访问管理合约调用所述区块链的属性子链确定所述第一用户的属性信息；基于所述身份标识，通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息；通过所述访问管理合约验证所述第一用户的属性信息和所述身份信息；在所述第一用户通过验证的情况下，通过所述区块链的文件访问合约向所述第一用户授权。本申请实施例采用多链结构，使用了属性策略与身份认证结合的方式来对数据请求者进行授权，确保安全可追溯的安全验证。确保安全可追溯的安全验证。确保安全可追溯的安全验证。

【技术实现步骤摘要】
访问控制方法及装置、电子设备、存储介质


[0001]本申请涉及电子设备
，涉及但不限定于访问控制方法及装置、电子设备、存储介质。

技术介绍

[0002]基于用户、资源、操作和运行上下文属性所提出的基于属性策略的访问控制(Attribute
‑
base Access control，ABAC)将主体和客体的属性作为基本的决策要素，灵活利用请求者所具有的属性集合决定是否赋予其访问权限，能够很好地将策略管理和权限判定相分离。由于属性是主体和客体内在固有的，不需要手工分配，同时访问控制是多对多的方式，使得ABAC管理上相对简单。并且属性可以多个角度对实体进行描述，因此可根据实际情况改变策略。
[0003]然而各方机构的身份、属性信息的分布具有分散性，例如医院拥有医生患者的身份信息，而金融机构拥有着用户的财产状况的属性信息，因此，区块链平台集中验证时，无法从数据孤岛中实现统一的用户访问控制。

技术实现思路

[0004]本申请提供一种访问控制方法及装置、电子设备、存储介质，至少解决了相关技术中区块链平台集中验证时安全可追溯的安全验证，无法从数据孤岛中实现统一的用户访问控制的问题。
[0005]本申请的技术方案是这样实现的：
[0006]第一方面，本申请提供一种访问控制方法，应用于区块链，所述方法包括：
[0007]通过所述区块链的访问管理合约接收第一用户对第一文件的访问请求；所述访问请求中包括所述用户的身份标识；
[0008]基于所述第一文件对应的第一属性策略，通过所述访问管理合约调用所述区块链的属性子链确定所述第一用户的属性信息；所述属性子链为用于对用户属性信息进行管理的私有链；
[0009]基于所述身份标识，通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息；所述身份子链为用于存储身份认证记录的私有链；
[0010]通过所述访问管理合约验证所述第一用户的属性信息和所述身份信息；
[0011]在所述第一用户通过验证的情况下，通过所述区块链的文件访问合约向所述第一用户授权。
[0012]第二方面，本申请提供一种访问控制装置，包括：
[0013]第一接收模块，用于通过所述区块链的访问管理合约接收第一用户对第一文件的访问请求；所述访问请求中包括所述第一用户的身份标识；
[0014]第一确定模块，用于基于所述第一文件对应的第一属性策略，通过所述访问管理合约调用所述区块链的属性子链确定所述第一用户的属性信息；所述属性子链为用于对用
户属性信息进行管理的私有链；
[0015]第二确定模块，用于基于所述身份标识，通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息；所述身份子链为用于存储身份认证记录的私有链；
[0016]属性验证模块，用于通过所述访问管理合约验证所述第一用户的属性信息和所述身份信息；
[0017]授权模块，用于在所述第一用户通过验证的情况下，通过所述区块链的文件访问合约向所述第一用户授权。
[0018]第三方面，本申请提供一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述访问控制方法中的步骤。
[0019]第四方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述访问控制方法中的步骤。
[0020]本申请提供的技术方案带来的有益效果至少包括：
[0021]在本申请实施例中，当用户向区块链请求文件访问权限时，通过区块链上的访问管理合约分别从属性子链和身份子链中获取属性信息和身份信息进行属性验证，并通知文件访问合约属性验证成功，由文件访问合约向用户授权。本申请实施例采用了多链结构，由属性子链存储属性策略与文件之间的映射关系，由身份子链实现身份管理映射(由身份验证服务者提供)，实现了可拓展的属性分配，确保安全可追溯的安全验证。
附图说明
[0022]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图，其中：
[0023]图1A为相关技术中基于CP
‑
ABE算法的区块链数据访问控制方案的系统框架；
[0024]图1B为相关技术基于CP
‑
ABE算法的区块链数据访问控制方案的流程示意图；
[0025]图2为本申请实施例提供的一种访问控制方法的流程示意图；
[0026]图3为本申请实施例提供的一种访问控制方法的流程示意图；
[0027]图4为本申请实施例提供的一种访问控制方法的流程示意图；
[0028]图5为本申请实施例提供的一种访问控制方法的流程示意图；
[0029]图6为本申请实施例提供的访问控制方法的整体框图；
[0030]图7为本申请实施例提供的一种访问控制装置的组成结构示意图；
[0031]图8为本申请实施例提供的一种电子设备的硬件实体示意图。
具体实施方式
[0032]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。以下实施例用于说明本申请，但不用来限制本
申请的范围。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0033]在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。
[0034]需要指出，本申请实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
[0035]本
技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本申请实施例所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。
[0036]区块链：作为一个信息
的术语，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链是比特币的一个重要概念，它本质上是一个去中心化的数据库，同时作为比特币的底层技术，是一串使用密码学方法相关联产生的数据块，相当于账本的内容。区块链本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，应用于区块链，所述方法包括：通过所述区块链的访问管理合约接收第一用户对第一文件的访问请求；所述访问请求中包括所述第一用户的身份标识；基于所述第一文件对应的第一属性策略，通过所述访问管理合约调用所述区块链的属性子链确定所述第一用户的属性信息；所述属性子链为用于对用户属性信息进行管理的私有链；基于所述身份标识，通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息；所述身份子链为用于存储身份认证记录的私有链；通过所述访问管理合约验证所述第一用户的属性信息和所述身份信息；在所述第一用户通过验证的情况下，通过所述区块链的文件访问合约向所述第一用户授权。2.如权利要求1所述的方法，其特征在于，所述第一文件存储在分布式文件系统，所述方法还包括：所述访问管理合约获取所述第一文件在所述分布式文件系统的哈希值；所述访问管理合约基于所述第一文件的哈希值，从预设的哈希属性映射表中，确定所述第一文件对应的第一属性策略；所述哈希属性映射表用于记录文件哈希值与属性策略之间对应关系。3.如权利要求1所述的方法，其特征在于，所述基于所述身份标识，通过所述访问管理合约调用所述区块链的身份子链确定所述第一用户的身份信息，包括：在所述属性子链中存在所述第一用户的属性信息的情况下，通过所述访问管理合约转发所述访问请求至所述区块链的身份子链；基于所述身份标识，通过所述身份子链确定所述第一用户的身份信息。4.如权利要求2所述的方法，其特征在于，所述在所述第一用户通过验证的情况下，通过所述区块链的文件访问合约向所述第一用户授权，包括：在所述第一用户通过验证的情况下，通过所述文件访问合约确定所述第一属性策略对应的第一密钥；所述第一密钥用于对所述第一文件对应的密文进行解密；通过所述文件访问合约以所述第一用户的公钥加密所述第一密钥，得到第二密钥；通过所述文件访问合约以所述第二密钥作为输入发起交易请求并将所述交易请求提交至所述属性子链，以实现对所述第一用户的授权；其中，所述第二密钥用于所述第一用户以自己的私钥进行解密得到所述第一密钥。5.如权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：响应于接收到存储第二文件的存储请求，通过所述区块链的存储管理合约对所述第二文件进行加密，得到所述第二文件对应的密文；所述存储管理合约用于将待存储文件与对应属性策略关联；通过所述区块链的文件存储合约执行发布文件操作将所述密文发布在所述分布式文件系统上；其中，所述分布式文件系统用于存储所述密文并确定所述密文的哈希；通过所述文件存储合约将所述发布文件操作作为一次交易记录在所述区块链中。6.如权利要求5所述的方法，其特征在于，所述通过所述区块链的存储管理合约对所述第二文件进行加密，得到所述第二文件对应的密文，包括：
通过所述存储管理合约从所述属性子链中查找所述第二文件对应的第二属性策略；通过所述存储管理合约确定所述第二属性策略对应的第三密钥...

【专利技术属性】
技术研发人员：刘利军，柏洪涛，万莉莉，吴菡，王晓，严子易，谭飞越，龙云云，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：