(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210655404.9 (22)申请日 2022.06.10 (71)申请人 中国华能集团清洁能源技 术研究院 有限公司 地址 102209 北京市昌平区北七家未来科 技城华能人才创新创业基地实验楼A 楼 申请人 大连理工大 学 (72)发明人 李小翔　孙伟峰　周一鸣　邸智　 韦玮　杨永前　冯帆　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 专利代理师 赵迪 (51)Int.Cl. H04L 67/10(2022.01)H04L 67/12(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) G06F 21/62(2013.01) G06F 21/64(2013.01) (54)发明名称 工业物联网中基于区块链的精细化分布式 访问控制方法 (57)摘要 本发明公开了工业物联网中基于区块链的 精细化分布式访问控制方法， 该方法包括： 获取 访问控制模型ABAC并基于ABAC对区块链网络进 行初始化； 在初始化完成后对AB AC访问控制策略 进行制定与更新； 在访问控制策略更新后基于区 块链网络通过多种协议接入AB AC访问控制； 在接 入ABAC访问控制后基于ABA C获取Token并进行验 证操作； 在验证操作后获取Token并通过智能网 关访问工业物联网设备。 本发明提出使用签名的 标准化Token来携带经过区块链网络验证后的 ABAC策略来降低区块链网络负载同时解决访问 控制接入可扩展性问题。 同时使用LS TM提出基于 访问日志的ABAC环境属性预测来细化ABAC策略 粒度， 降低用户权 限， 更有效保证工业物联网的 访问控制安全。 权利要求书2页 说明书6页 附图3页 CN 115051989 A 2022.09.13 CN 115051989 A 1.一种工业物联网中基于区块链的精细化分布式访问控制方法， 其特征在于， 包括以 下步骤： 获取访问控制模型ABAC并基于所述ABAC对区块链网络进行初始化； 在初始化完成后对ABAC访问控制策略进行制定与更新； 在访问控制策略更新后基于所述区块链网络通过多种协议接入ABAC访问控制； 在接入ABAC访问控制后基于所述ABAC获取To ken并进行验证操作； 在所述验证操作后获取To ken并通过智能网关访问工业物联网设备。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述ABAC对区块链网络进行初始 化， 包括： 通过Fabric的CA证书为网络中所有成员创建证书， 并构 建区块链网络将各节点打包到 对应的Docker容器中； 进行节点配置成功后创建通道， 并加入独立的区块链和分类账； 为对等节点 安装链码， 链码安装完后通过区块链网络进行初始化。 3.根据权利要求2所述的方法， 其特征在于， 所述对所述ABAC访问控制策略进行制定与 更新， 包括： 制定ABAC访问控制策略， 并进行增删改操作； 根据访问日志上 下文信息， 进行基于 长短期记 忆网络LSTM的ABAC访问控制策略细化； 通过所述区块链网络将细化后的ABAC访问控制策略存 储。 4.根据权利要求3所述的方法， 其特征在于， 所述基于所述 区块链网络通过多种协议接 入ABAC访问控制， 包括： 通过MQTT协议将IIoTID与SecretKey发送到智能网关解析消息并通过RPC协议进行封 装； 通过所述RPC协议将 所述IIoTID与S ecretKey发送到区块链网络， 并存储所述IIoTID与 SecretKey。 5.根据权利要求4所述的方法， 其特征在于， 所述基于所述ABAC获取Token并进行验证 操作， 包括： 获取Token请求数据， 并根据策略验证合约验证是否满足ABAC访问控制策略， 得到验证 结果； 若不满足ABAC访问控制策略时向用户返回deny， 终止流程； 若满足ABAC策略时调用 Token配置合约生成To ken； 在Token生成之后， 将To ken转移给用户。 6.根据权利要求5所述的方法， 其特征在于， 所述通过智能网关访 问工业物联网设备， 包括： 对Token进行过滤、 验证和解析， 得到对应用户操作数据； 将所述对应用户操作数据发送到工业物联网设备， 并通过智能网关解析消息后通过 RPC协议进行封装； 将封装后的解析消息发送给用户。 7.一种工业物联网中基于区块链的精细化分布式访问控制装置， 其特 征在于， 包括： 初始化模块， 用于获取访问控制模型ABAC并对区块链网络进行初始化；权　利　要　求　书 1/2 页 2 CN 115051989 A 2策略更新模块， 用于对ABAC访问控制策略进行制定与更新； 数据接入 模块， 用于基于所述区块链网络通过多种协议接入ABAC访问控制； 验证操作模块， 用于基于所述ABAC获取To ken并进行验证操作； 数据访问模块， 用于通过智能网关进行访问。 8.根据权利要求7 所述的装置， 其特 征在于， 所述初始化模块， 包括： 网络构建模块， 用于通过Fabric的CA证书为网络中所有成员创建证书， 并构建区块链 网络将各节点打包到对应的Docker容器中； 通道建立模块， 用于进行节点配置成功后创建通道， 并加入独立的区块链和分类账； 链码安装 模块， 用于为对等节点 安装链码， 链码安装完后通过区块链网络进行初始化。 9.根据权利要求8所述的装置， 其特 征在于， 所述策略更新模块， 包括： 策略制定模块， 用于制定ABAC访问控制策略， 并进行增删改操作； 策略细化模块， 用于根据访问日志上下文信息， 进行基于长短期记忆网络LSTM的ABAC 访问控制策略细化； 策略存储模块， 用于通过 所述区块链网络将细化后的ABAC访问控制策略存 储。 10.根据权利要求9所述的装置， 其特 征在于， 所述数据接入 模块， 包括： 协议封装模块， 用于通过MQTT协议将IIoTID与SecretKey发送到智能网关解析消息并 通过RPC协议进行封装； 网络寸尺模块， 用于通过所述RPC协议将所述IIoTID与SecretKey发送到区块链网络， 并存储所述IIoTID与SecretK ey。权　利　要　求　书 2/2 页 3 CN 115051989 A 3