System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及区块链数据跨域权限管理的,特别是涉及一种基于cp-abe的动态权限管理方法、电子设备和存储介质。
技术介绍
1、基于属性的访问控制(abac)是一种为解决区块链行业分布式应用可信关系的访问控制模型,它利用相关实体的属性作为授权的基础来研究如何进行访问控制,进一步分为密钥策略属性加密(key-policy,kp-abe)和密文策略属性加密(ciphertext-policy,cp-abe),密文策略属性加密的密文对应于一个访问结构且密钥对应于属性集合,解密当且仅当属性集合中的属性能够满足此访问结构。
2、域被视为不同管理机构、系统的管控范围,域内根据属性标准制定满足安全需求的访问控制策略,但在域之间,出于不信任外部数据和害怕本域数据被非法导出的担忧,域之间面临着实现安全数据传输与数据访问功能的需求。
3、现有的,跨域的关于数据管理的权限控制方案,如申请号202111663685.4的跨子网交互的权限控制方法及装置、电子设备、存储介质,在智能合约中写入跨区块链网络的访问或操作请求,进而根据已设定的区块链网络间操作权限判定该访问或操作请求是否满足,该方案在跨域访问或操作时存在动态扩展性受到限制的问题;如申请号202010337246.3的一种基于调度机构级别的跨系统访问权限控制方法及系统,在进行权限判定时,采用基于角色的访问控制方案,当所需权限类别增多时,需要通过增加更多的角色以满足访问控制权限,容易产生角色爆炸的问题,而相反,为避免角色爆炸,只能在系统中规定有限的角色提供给用户使用,则造成灵活性
技术实现思路
1、为解决上述技术问题中的至少之一,本专利技术提出一种基于cp-abe的动态权限管理方法、电子设备和存储介质。
2、本专利技术的目的通过以下技术方案实现:
3、本专利技术提供了一种基于cp-abe的动态权限管理方法,包括如下步骤:
4、s1、在区块链网络的每个域中分别各指定一个节点作为跨域接口节点;
5、s2、在每个跨域接口节点上分别设置调用本域内对应数据所需的数据属性信息,并初始化生成每个跨域接口节点的公共公钥与主密钥,将公共公钥在区块链网络公开;
6、s3、数据需求节点注册上链后生成需求密钥对,将需求密钥对中的需求公钥在区块链网络公开,并根据数据需求向对应的跨域接口节点发送数据访问请求信息;
7、s4、跨域接口节点根据数据访问请求信息结合调用数据所需的数据属性信息生成调用属性策略,根据跨域接口节点的公共公钥和调用属性策略将需要的数据信息生成密文数据;向数据需求节点获取身份属性信息后生成身份属性集合,并结合主密钥生成数据解密信息,将密文数据和数据解密信息发送给数据需求节点;
8、s5、数据需求节点根据请求的跨域接口节点的公共公钥、密文数据和数据解密信息对密文数据进行解密,当数据需求节点的身份属性集合信息符合调用属性策略时,解密密文数据并获得需要的数据信息。
9、作为进一步的改进,在步骤s2中,设置调用本域内对应数据所需的数据属性信息时,数据属性信息以键值对的形式存储在跨域接口节点上;在步骤s4中跨域接口节点向数据需求节点获取身份属性信息时,通过数据属性信息的键信息获得身份属性信息中对应的值信息。
10、作为进一步的改进,在步骤s4中,跨域接口节点向数据需求节点获取身份属性信息时,数据需求节点的身份属性信息包含在数据访问请求信息中,跨域接口节点从数据访问请求信息中获取身份属性信息。
11、作为进一步的改进,在步骤s4中,跨域接口节点向数据需求节点获取身份属性信息时,跨域接口节点向数据需求节点发送获取对应身份属性信息的请求,数据需求节点通过智能合约根据请求将自身的身份属性信息发给跨域接口节点。
12、作为进一步的改进,在步骤s4中,将密文数据和数据解密信息发送给数据需求节点时,跨域接口节点将数据解密信息结合数据需求节点的需求公钥生成加密传输信息发送给数据需求节点;在步骤s5中,数据需求节点接收加密传输信息后,先通过需求密钥对中的需求私钥解密获得数据解密信息。
13、作为进一步的改进,在步骤s4中,生成的调用属性策略中包括跨域接口节点授予数据需求节点的访问数据有效时长;以及在生成数据解密信息的同时将获取数据需求节点的身份属性信息值的时间戳一起生成;在步骤s5中,数据需求节点需在值时间戳加访问数据有效时长的时间内对密文数据进行解密。
14、作为进一步的改进,在步骤s3中,数据需求节点注册上链后,在数据需求节点通过非对称密钥法生成包括需求公钥和需求私钥的需求密钥对。
15、作为进一步的改进,在步骤s1中,区块链网络的每个域中分别各指定一个除跨域接口节点外的一个节点作为备用跨域接口节点,备用跨域接口节点具有跨域接口节点的功能和数据,在跨域接口节点出现异常时,备用跨域接口节点替代跨域接口节点执行权限管理功能。
16、本专利技术提供的一种基于cp-abe的动态权限管理方法,包括步骤:s1、在区块链网络的每个域中分别各指定一个节点作为跨域接口节点;s2、在每个跨域接口节点上分别设置调用本域内对应数据所需的数据属性信息,并初始化生成每个跨域接口节点的公共公钥与主密钥,将公共公钥在区块链网络公开;s3、数据需求节点注册上链后生成需求密钥对,将需求密钥对中的需求公钥在区块链网络公开,并根据数据需求向对应的跨域接口节点发送数据访问请求信息;s4、跨域接口节点根据数据访问请求信息结合调用数据所需的数据属性信息生成调用属性策略,根据跨域接口节点的公共公钥和调用属性策略将需要的数据信息生成密文数据;向数据需求节点获取身份属性信息后生成身份属性集合,并结合主密钥生成数据解密信息,将密文数据和数据解密信息发送给数据需求节点;
17、s5、数据需求节点根据请求的跨域接口节点的公共公钥、密文数据和数据解密信息对密文数据进行解密,当数据需求节点的身份属性集合信息符合调用属性策略时,解密密文数据并获得需要的数据信息。本专利技术由跨域接口节点根据本域内数据所属隐私级别或保护级别等条件设置调用本域内对应数据所需的数据属性信息,来实现动态配置数据访问控制权限,使权限控制方案具有可扩展性,采用基于属性的访问控制方案,基于属性的灵活组合方式根据数据需求节点提供的身份属性信息与跨域接口节点设置的数据属性信息进行权限验证,避免随访问需求增加产生的角色爆炸问题,实现权限的灵活变更,使跨域权限控制更加便捷。
18、本专利技术还提供一种电子设备,包括存储器和处理器,所述存储器上存储上述所述的一种基于cp-abe的动态权限管理方法中任一项进一步改进的计算机程序,所述处理器通过调用存储器中的计算机程序,用于执行一种基于cp-abe的动态权限管理方法。由于采用了一种基于cp-abe的动态权限管理方法的所述
技术实现思路
,其应当具有相同或相应的技术效果,因此不再进行赘述。
19、本专利技术还提供一种计算机可读取的存储介质,用于存储上述所述的一种基于cp本文档来自技高网...
【技术保护点】
1.一种基于CP-ABE的动态权限管理方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S2中,设置调用本域内对应数据所需的数据属性信息时,数据属性信息以键值对的形式存储在跨域接口节点上;在步骤S4中跨域接口节点向数据需求节点获取身份属性信息时,通过数据属性信息的键信息获得身份属性信息中对应的值信息。
3.根据权利要求1或2所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S4中,跨域接口节点向数据需求节点获取身份属性信息时,数据需求节点的身份属性信息包含在数据访问请求信息中,跨域接口节点从数据访问请求信息中获取身份属性信息。
4.根据权利要求1或2所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S4中,跨域接口节点向数据需求节点获取身份属性信息时,跨域接口节点向数据需求节点发送获取对应身份属性信息的请求,数据需求节点通过智能合约根据请求将自身的身份属性信息发给跨域接口节点。
5.根据权利要求1所述的一种基于CP-ABE的动态权限管理方法
6.根据权利要求1所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S4中,生成的调用属性策略中包括跨域接口节点授予数据需求节点的访问数据有效时长;以及在生成数据解密信息的同时将获取数据需求节点的身份属性信息值的时间戳一起生成;在步骤S5中,数据需求节点需在值时间戳加访问数据有效时长的时间内对密文数据进行解密。
7.根据权利要求1所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S3中,数据需求节点注册上链后,在数据需求节点通过非对称密钥法生成包括需求公钥和需求私钥的需求密钥对。
8.根据权利要求1所述的一种基于CP-ABE的动态权限管理方法,其特征在于,在步骤S1中,区块链网络的每个域中分别各指定一个除跨域接口节点外的一个节点作为备用跨域接口节点,备用跨域接口节点具有跨域接口节点的功能和数据,在跨域接口节点出现异常时,备用跨域接口节点替代跨域接口节点执行权限管理功能。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器上存储包括如权利要求1至8中任一项所述的一种基于CP-ABE的动态权限管理方法的计算机程序,所述处理器通过调用存储器中的计算机程序,用于执行基于CP-ABE的动态权限管理方法。
10.一种计算机可读取的存储介质,其特征在于,用于存储如权利要求1至8中任一项所述的一种基于CP-ABE的动态权限管理方法。
...【技术特征摘要】
1.一种基于cp-abe的动态权限管理方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于cp-abe的动态权限管理方法,其特征在于,在步骤s2中,设置调用本域内对应数据所需的数据属性信息时,数据属性信息以键值对的形式存储在跨域接口节点上;在步骤s4中跨域接口节点向数据需求节点获取身份属性信息时,通过数据属性信息的键信息获得身份属性信息中对应的值信息。
3.根据权利要求1或2所述的一种基于cp-abe的动态权限管理方法,其特征在于,在步骤s4中,跨域接口节点向数据需求节点获取身份属性信息时,数据需求节点的身份属性信息包含在数据访问请求信息中,跨域接口节点从数据访问请求信息中获取身份属性信息。
4.根据权利要求1或2所述的一种基于cp-abe的动态权限管理方法,其特征在于,在步骤s4中,跨域接口节点向数据需求节点获取身份属性信息时,跨域接口节点向数据需求节点发送获取对应身份属性信息的请求,数据需求节点通过智能合约根据请求将自身的身份属性信息发给跨域接口节点。
5.根据权利要求1所述的一种基于cp-abe的动态权限管理方法,其特征在于,在步骤s4中,将密文数据和数据解密信息发送给数据需求节点时,跨域接口节点将数据解密信息结合数据需求节点的需求公钥生成加密传输信息发送给数据需求节点;在步骤s5中,数据需求节点接收加密传输信息后,先通过需求密钥对中的需求私钥解密获得数据解...
【专利技术属性】
技术研发人员:姚锋,张忠山,王涛,沈大勇,王沛,闫俊刚,陈英武,吕济民,何磊,陈宇宁,陈盈果,刘晓路,杜永浩,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。