(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210536152.8 (22)申请日 2022.05.18 (71)申请人 山东省计算中心 （国家超 级计算济 南中心） 地址 250014 山东省济南市历下区科院路 19号 (72)发明人 徐淑奖　张朝阳　王连海　王英龙　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 马海波 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 基于区块链和ABAC的跨数据中心访问控制 方法和系统 (57)摘要 本发明提出了基于区块链和ABAC的跨数据 中心访问控制方法和系统， 建立基于数据拥有者 所在的第一数据中心的访问控制节点和数据请 求者所在的第二数据中心的访问控制节点的区 块链系统； 在所述区块链系统上基于第一数据中 心和第二数据中心共同建立的全局属性集和 ABAC模型部署访问判定智能合约； 基于第一数据 中心的访问控制节点， 数据拥有者将数据资源及 所对应的访问控制策略在所述区块链系统进行 发布； 通过所述区块链系统上的访问判定智能合 约判定数据请求者所请求的数据资源是否符合 访问条件， 所述数据请求者所请求的数据资源是 通过第二数据中心的访问控制节 点请求的。 实现 了跨数据中心用户细粒度访问控制。 权利要求书2页 说明书8页 附图2页 CN 114640473 A 2022.06.17 CN 114640473 A 1.基于区块链和ABAC的跨数据中心访问控制方法， ABAC是一种可信关系访问控制模 型， 其特征是， 包括： 建立基于数据拥有者所在的第一数据中心 的访问控制节点和数据请求者所在的第二 数据中心的访问控制节点的区块链系统； 在所述区块链系统上基于第一数据中心和第二数据中心共同建立的全局属性集和 ABAC模型部署访问判定智能合约； 基于第一数据中心的访问控制节点， 数据拥 有者将数据资源及所对应的访问控制策略 在所述区块链系统进行发布； 通过所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否 符合访问条件， 所述数据请求者所请求的数据资源是通过第二数据中心的访问控制节点请 求的。 2.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 对所 建立的区块链系统进行初始化， 具体为： 传入安全参数， 生成公共参数； 根据公共参数生成 数据中心公私钥并在所述区块链上发布。 3.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 每一 个数据中心有 多个访问控制节点加入所建立的区块链系统。 4.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 基于 第一数据中心的访问控制节点， 数据拥有者将数据资源及所对应的访问控制策略在所述区 块链系统进行发布， 具体为： 数据拥有者发送数据上传请求， 所述数据上传请求包括原始数据资源和访问控制策 略； 通过对称加密算法对所述原始数据进行加密， 存储至所述区块链系统外的数据存储 器， 数据存 储器并返回数据存 储哈希地址给 数据拥有者； 将数据密文分组哈希建立哈希值梅克尔树， 获得根哈希值， 通过数据拥有者所在的第 一数据中心的访问控制节点将包含梅克尔树的根哈希值的元数据及对应的访问控制策略 上传至所述区块链系统。 5.如权利要求4所述的基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 所述 区块链系统建立数据资源目录， 数据拥有者所 上传的元 数据写入所述数据资源目录 。 6.如权利要求1所述的基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 通过 所述区块链系统上的访问判定智能合约判定数据请求者所请求的数据资源是否符合访问 条件， 所述数据请求者所请求的数据资源是基于第二数据中心的访问控制节点所请求的， 具体包括： 数据请求者发送数据访问请求， 通过区块链系统上预存的预授权信 息库判断所述数据 请求者是否符合预授权条件； 若所述数据请求者不符合预授权条件， 通过所述 区块链系统将所述数据访问请求转发 至数据拥有者所在的第一数据中心的访问控制节点， 数据拥有者所在的第一数据中心的访 问控制节点调用所述区块链系统上预设的访问判定智能合约对所述数据访问请求进行访 问控制判定； 在访问判定智能合约的判定结果为允许访问的情况下， 数据拥 有者所在的第 一数据中权　利　要　求　书 1/2 页 2 CN 114640473 A 2心的访问控制节点， 根据所述数据访问请求将所对应的数据存储地址及数据加密秘钥， 通 过所述区块链系统发送至数据请求 者所在的第二数据中心的访问控制节点。 7.如权利要求6所述的一种基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 在访问判定智能合约的判定结果为允许访问的情况下， 将数据请求者信息保存至区块链系 统上的用户预授权信息库。 8.如权利要求1所述的一种基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 第一数据中心和第二数据中心协商建立共同维护的全局属性集， 基于全局属性集和ABAC构 建基于区块链的属性访问控制模型并存储至区块链上， 通过区块链上部署的智能合约可自 动调用执 行属性访问控制。 9.如权利要求1所述的一种基于区块链和ABAC的跨数据中心访问控制方法， 其特征是， 所述访问判定智能合约调用主体属 性管理合约、 客体属 性管理合约、 属 性策略管理合约进 行访问控制的判定 。 10.基于区块链和ABAC的跨数据中心访问控制系统， 其特 征是， 包括： 第一数据中心， 其被配置为： 与第二数据中心共 同建立区块链系统并共 同申请部署访 问判定智能合约， 并实现数据拥有者通过第一数据中心上传数据资源至所建立的区块链系 统； 调用访问判定智能合约对数据请求者的数据访问请求进 行判定并执行访问判定智能合 约对数据请求 者的数据访问请求判定的结果； 第二数据中心， 其被配置为： 与第一数据中心中心共 同建立区块链系统并共 同申请部 署访问判定智能合约， 通过区块链上的预授权信息库进行数据请求者的数据访问请求的判 定； 将数据请求者的数据访问请求通过区块链系统转发至数据拥有者所在的第一数据中 心； 数据存储器， 其被配置为： 存储数据拥有者所加密后的数据资源， 并允许授权的数据请 求者进行数据的访问下 载。权　利　要　求　书 2/2 页 3 CN 114640473 A 3