(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210295467.8 (22)申请日 2022.03.24 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 申请人 北京海联捷讯科技股份有限公司 (72)发明人 孙岩　陈春丽　王志博　罗红　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 薛海波 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种在线学习平台教学资源共享的访问控 制方法及装置 (57)摘要 本发明提供一种在线学习平台教学资源共 享的访问控制方法及装置， 该方法用于在包含多 个学校节点和多个管理员节点的联盟链网络上 运行， 其中， 各学校节点还组成按照区域划分的 多个区域群组， 各管理员节点形成授权管理中心 群组， 所述联盟链网络还 连接至少一个平台云服 务器用于 各学校节点的信息审核和请求认证， 所 述方法包括： 联盟链初始化、 区域群组内访问控 制流程和跨区域群组访问控制流程。 相比于传统 访问控制技术， 保证了用户访问的安全性和可信 性， 提升了平台内资源共享的效率， 避免了仅依 靠单个中心服务器进行权限管 理， 服务器被攻击 或出现故障而导 致整个系统瘫 痪的风险。 权利要求书3页 说明书13页 附图7页 CN 114760065 A 2022.07.15 CN 114760065 A 1.一种在线学习平台教学资源共享的访问控制方法， 其特征在于， 所述方法用于在包 含多个学校节点和多个管理员节点的联盟链网络上运行， 其中， 各学校节点还组成按照区 域划分的多个区域群组， 各管理员节点形成授权管理中心群组， 所述联盟链网络还连接至 少一个平台云服务器用于各学校节点的信息审核和请求认证， 所述方法包括： 联盟链初始 化、 区域群组内访问控制流 程和跨区域群组访问控制流 程； 所述联盟链初始化包括： 对各学校节点划分区域群组， 由所述授权管理中心群组配置 数字签名和签名认证算法涉及的系统参数， 对各学校节点配置身份标识， 并在所述联盟链 网络上部署智能合约； 所述区域群组内访问控制流程是第一指定学校节点对所属的第一指定区域群组进行 的访问， 包括区域群组内认证访问流 程， 所述区域群组内认证访问流 程包括： 由所述第一指定学校节点向所述平台云服务器发送访问隶群组内资源请求信 息， 所述 访问隶群组内资源请求信息 至少包括所述第一指定学 校节点ID和访问行为信息； 所述平台云服务器根据 所述第一指定学校节点ID查询对应的身份证书， 并向所述第一 指定区域群组发送身份认证请求信息， 所述身份认证请求信息包括所述第一指 定学校节点 ID及其采用预设签名算法对所述第一指定学校节点的身份证书进行加密得到的第一签名 证书； 所述第一指定区域群组根据所述第一签名证书对所述第一指定学校节点进行身份认 证， 在身份认证成功的情况 下， 将身份认证结果发送至所述云平台服 务器； 所述云平台服务器对所述身份认证结果进行判断， 在身份认证成功 的情况下， 指示所 述授权管理中心群组向所述第一指 定区域群组发送共识上链请求， 将所述第一指 定学校节 点的访问行为信息记录在所述第一指定区域群组的链上； 所述云平台服 务器实施第一指定学 校节点的访问行为并进行 结果反馈； 所述跨区域群组访问控制流程是第二指定学校节点对非所属的第二指定区域群组进 行的访问， 包括 跨群组认证访问流 程， 所述跨群组认证访问流 程包括： 由所述第二指定学校节点向所述平台云服务器发送对所述第二指定区域群组的跨群 组访问请求， 所述跨群组访问请求至少包括所述第二指定学校节点的ID、 所述第二指定区 域群组标识信息以及 访问行为信息； 所述平台云服务器根据 所述第二指定学校节点ID查询对应的身份证书， 并向所述第二 指定区域群组发送身份认证请求信息， 所述身份认证请求信息包括所述第二指 定学校节点 ID及其采用预设签名算法对所述第二指定学校节点的身份证书进行加密得到的第二签名 证书； 所述第二指定区域群组根据所述第二签名证书对所述第二指定学校节点进行身份认 证， 在身份认证成功的情况 下， 将身份认证结果发送至所述云平台服 务器； 所述云平台服务器对所述身份认证结果进行判断， 在身份认证成功 的情况下， 指示所 述授权管理中心群组向所述第二指 定区域群组发送共识上链请求， 将所述第二指 定学校节 点的访问行为信息分别记录在所述第二指定区域群组和所述第二指定学校节点所属的区 域群组的链上； 所述云平台服 务器实施第二指定学 校节点的访问行为并进行 结果反馈 。 2.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法， 其特征在于， 所权　利　要　求　书 1/3 页 2 CN 114760065 A 2述区域群组内访问控制流程还包括群组内注册流程， 以在所述第一指 定区域群组内认证访 问流程之前对新注 册的学校节点签发身份 证书， 所述群组内注 册流程包括： 由新注册的第 一指定学校节点向所述平台云服务器发送身份证书注册请求信 息， 所述 身份证书注册请求信息至少包括所述第一指定学校节点的身份标识信息， 所述身份标识信 息至少包括所述第一指定学 校节点的ID和隶属区域； 所述平台云服务器审核所述第 一指定学校节点的身份标识信 息， 并向所述授权管理中 心群组发起身份证书签发请求信息， 所述身份证书签发请求信息至少包括所述第一指 定学 校节点的身份标识信息； 所述授权管理中心群组收到所述身份证书签发请求信 息后， 调用所述智能合约 为所述 第一指定学校节点生成身份证书并计算得到第一哈希值， 由所述授权管理中心群组将所述 第一指定学校节点的身份证书及其对应的第一哈希值记录至所述授权管理中心群组的链 上； 由所述授权管理中心群组向所述第 一指定区域群组发起共识上链请求， 将所述第 一指 定学校节点的身份 证书及其对应的第一哈希值记录 至所述第一指定区域群组的链上； 由所述授权管理中心群组为所述第 一指定学校节点生成签名密钥， 并将所述第 一指定 学校节点的身份 证书和签名密钥返回保存至所述云平台服 务器中。 3.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法， 其特征在于， 所 述跨区域群组访问控制流程还包括跨群组授权流程， 以在所述跨区域群组认证访问流程之 前对所述第二指定学校节点跨群组访问所述第二指 定区域群组的行为进 行授权， 所述跨群 组授权流 程包括： 由所述第二指定学校节点向所述平台云服务器发送跨群组访问权限申请信 息， 所述跨 群组访问权限申请信息至少包括所述第二指定学校节点的ID和申请访问的所述第二指定 区域群组的标识信息； 所述平台云服务器审核所述跨群组访问权限申请信 息， 并向所述授权管理中心群组发 送共识上链请求信息， 所述共识上链请求信息至少包括所述第二指 定学校节点的ID和申请 访问的所述第二指定区域群组的标识信息； 所述授权管理中心群组收到所述共识上链请求信 息后， 调用所述智能合约 为所述第 二 指定学校节点生成身份授权信息， 其中， 所述身份授权信息至少包括所述第二指定学校节 点的ID、 所述第二指定学校节点的身份证书及其对应的第二哈希值， 所述授权管理中心群 组向所述第二指定区域群组发送共识上链请求信息， 将所述第二指定学校节点的身份授权 信息记录 至所述第二指定区域群组的链上； 所述授权管理中心群组向所述第二指定学校节点所属的区域群组发起共识上链请求 信息， 将所述第二指 定学校节点的身份授权信息记录至所述第二指定学校节点所属的区域 群组的链上； 所述授权管理中心群组将授权结果反馈 至所述第二指定学 校节点。 4.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法， 其特征在于， 所 述联盟链初始化中， 所述签名认证算法为SM9算法， 所述数字签名是基于所述SM9算法产生 的。 5.根据权利要求1所述的在线学习平台教学资源共享的访问控制方法， 其特征在于， 所权　利　要　求　书 2/3 页 3 CN 114760065 A 3