(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210969950.X (22)申请日 2022.08.12 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 刘敖迪　杜学绘　王娜　谭铭　 尚思远　王潇涵　韩旺达　单棣斌　 杨钱涛　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/14(2006.01)H04L 67/10(2022.01) H04L 67/1097(2022.01) (54)发明名称 基于区块链的跨 域访问控制方法及系统 (57)摘要 本发明属于数据跨域安全共享技术领域， 特 别涉及一种基于区块链的跨域访问控制方法及 系统， 将信任锚用户身份认证标识设置在用户注 册属性证书中， 依据域内及域间需求来制定对应 数据域中的访问控制策略， 利用可信权威机构生 成公钥算法所需密钥； 利用SM4加密算法对访问 控制策略内容进行对称加密， 并利用CP ‑ABE属性 基加密算法对对称密钥进行属性基加密， 将相关 密文上传至区块链网络， 以智能合约形式分布式 存储有关访问控制信息； 当前用户申请访问目标 数据域中的数据资源时， 依据其访问请求并利用 自身属性密钥解密对称密钥密文， 并利用解密得 到的对称密钥对属性基加密密文进行解密来获 取策略明文， 进而获取相关数据资源。 本发明兼 顾数据安全性与应用成本， 在实现跨域数据资源 细粒度访问控制的前提下， 能够提高数据资源的 共享效率。 权利要求书2页 说明书11页 附图3页 CN 115426136 A 2022.12.02 CN 115426136 A 1.一种基于区块链的跨 域访问控制方法， 其特 征在于， 包 含如下内容： 设置信任锚用户， 将信任锚用户身份认证标识设置在用户注册属性证书中， 依据域内 及域间需求来制定对应数据域中的访问控制策略， 利用可信权威机构生成公钥算法所需密 钥； 利用SM4加密算法对访问控制策略内容进行对称加密， 并利用CP ‑ABE属性基加密算法 对对称密钥进行属 性基加密， 将对称加密密文及属 性基加密密文上传至区块链网络， 在区 块链网络中以智能合约形式约定分布式存 储有关访问控制信息； 当前用户申请访问目标数据域中的数据资源时， 依据其访问请求并利用自身属性密钥 解密对称密钥密 文， 并利用解密得到的对称密钥对属性基加密密 文进行解密来获取策略明 文， 依据策略明文来获取目标 数据域中的数据资源。 2.根据权利要求1所述的基于区块链的跨域访问控制方法， 其特征在于， 针对可信用户 所在数据域的客体资源， 将上传访问控制策略的执行用户作为当前数据域资源权限管理 者， 将该资源权限管理者作为当前数据域中参与联盟链网络维护和共识的信任锚用户， 各 数据域之间的信任 锚用户之间通过共识机制进行互相监 督。 3.根据权利要求1所述的基于区块链的跨域访问控制方法， 其特征在于， 生成对称密钥 密文及属性基加密密 文中， 首先， 生成用户及 对称密钥的属性集合及访问结构； 然后， 利用， 并依据设置参数Setup算法生成公钥参数和主密钥， 其中， 设置参数至少 包含安全参数、 属 性空间大小及用户空间大小； 接着， 依据主密钥及访问结构 并利用KeyGen算法生成用户私 钥； 最后， 利用S M4加密算法及 对称密钥对访问控制策略进 行加密， 生成对称密钥 密文， 并利 用Encrypt 算法对公钥参数、 对称密钥及访问结构进行加密生 成属性基加密密 文， 将对称密 钥密文及属性基加密 密文进行连接， 以策略集的形式上传至区块链网络 。 4.根据权利要求1所述的基于区块链的跨域访问控制方法， 其特征在于， 在区块链网络 中以信任锚管理合约、 用户管理合约、 策略存储合约及权限判决合约来约定存储有关访问 控制信息， 其中， 信任锚管理合约为信任锚用户提供注册和查看的接口函数， 并采用预设数 据结构来存储信任锚用户主体信息； 用户管理合约为用户提供注册和查看的接口函数并利 用预设数据结构存储用户主体信息； 策略存储合约为信任锚用户提供存储和查看策略的接 口函数， 利用预设数据结构存储策略信息； 权限判决合约用于依据主体及客体属 性来判断 当前主体属性的用户是否具 备权限访问文本资源。 5.根据权利要求4所述的基于区块链的跨域访问控制方法， 其特征在于， 信任锚管理合 约中， 针对发出加入联盟链请求的信任锚用户， 设置联盟链中2/3以上的信任锚成员同意 后， 再在联盟链中进行 该发出加入联盟链请求的信任 锚用户的数字身份注 册。 6.根据权利要求4或5所述的基于区块链的跨域访 问控制方法， 其特征在于， 信任锚用 户注册流程包含如下内容： 首先， 发出加入联盟链请求的信任锚用户在本地安全环境中生 成一对公私密钥， 本地秘密存储私钥； 然后， 通过调用信任锚 管理合约 将生成的公钥 及相关 身份注册信息上传 存储至区块链中仅能被信任锚成员查看的安全数据结构中进行存储， 联 盟链中其他成员查看该数据结构 中的注册请求， 若认定可以注册， 则在信任锚管理合约中 保存该参与方的公钥信息， 并为该参与方生成唯一的ID、 在信任锚管理合约中存储其相应 的身份信息， 完成信任 锚的数字身份注 册过程。 7.根据权利要求6所述的基于区块链的跨域访问控制方法， 其特征在于， 针对信任锚的权　利　要　求　书 1/2 页 2 CN 115426136 A 2私钥泄露和丢失情形， 信任锚用户通过安全信道将重新注册信息发送给联盟链内其他信任 锚成员， 并在本地安全环境中重新生成一对公私密钥， 重新注册数字身份， 达到注册条件 后， 在信任 锚管理合约中更新该信任 锚用户的身份信息 。 8.根据权利要求4所述的基于区块链的跨域访问控制方法， 其特征在于， 用户管理合约 中， 利用可信属 性授权机构来维护用户身份及属 性信息， 并基于用户管理合约 实现用户向 可信属性授权 机构申请用户私钥和 属性私钥。 9.根据权利要求4所述的基于区块链的跨域访问控制方法， 其特征在于， 权限判决合约 中， 允许客体资源在满足相似度策略阈值时进行逻辑策略判决， 且逻辑策略默认禁止所有 主体访问资源， 每一条策略内容由策略主键、 主体属性、 主体属性值、 客体属 性及客体属性 值组成的属性元素表示， 以实现依据主体属性和客体属性来寻找策略对应的主体属性允许 访问的客体属性。 10.一种基于区块链的跨域访问控制系统， 其特征在于， 包含： 数据处理模块、 加密上传 模块和数据获取模块， 其中， 数据处理模块， 用于通过设置信任锚用户， 将信任锚用户身份认证标识设置在用户注 册属性证书中， 依据域内及域间需求来制 定对应数据域中的访问控制策略， 利用可信权威 机构生成公钥算法所需密钥； 加密上传模块， 用于利用SM4加密算法对访问控制策略内容进行对称加密， 并利用CP ‑ ABE属性基加密算法对对称密钥进行属性基加密， 将对称加密密文及属性基加密密文上传 至区块链网络， 在区块链网络中以智能合约形式约定分布式存 储有关访问控制信息； 数据获取模块， 用于当前用户申请访 问目标数据域中的数据资源时， 依据其访 问请求 并利用自身属性密钥解密 对称密钥 密文， 并利用解密得到的对称密钥对属性基加密密文进 行解密来获取 策略明文， 依据策略明文来获取目标 数据域中的数据资源。权　利　要　求　书 2/2 页 3 CN 115426136 A 3