(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210782283.4 (22)申请日 2022.06.24 (66)本国优先权数据 202111142737.3 2021.09.28 CN (71)申请人 北京理工大 学 地址 100081 北京市海淀区中关村南大街5 号 (72)发明人 盖珂珂　卫亦航　祝烈煌　徐蕾　 蒋芃　 (74)专利代理 机构 北京正阳理工知识产权代理 事务所(普通 合伙) 11639 专利代理师 邬晓楠 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于区块链的节点分层 访问控制方法 (57)摘要 本发明公开一种基于区块链的节点分层访 问控制方法， 属于区块链系统安全提升技术领 域。 本发明的一种基于区块链的节 点分层访问控 制方法， 基于入网访问控制、 区块链账本、 网络管 理员、 属性服务器、 投票者节点、 投票者权重、 共 识机制、 网络管理员等待决策时间阈值以及网络 活跃度实现； 通过网络管理员及节点注册、 发送 入网请求、 分发入网请求、 获取节点属性、 属性验 证及决策， 实现网络节点的入网控制。 本发明的 一种基于区块链的节点分层访问控制方法， 发送 的一切数据为加密数据， 保证在属性传输及验证 过程中的数据安全性； 能够动态调整投票者权重 的评估， 具有良好的可靠性； 能够抵御女巫攻击， 具有良好的安全性； 数据存储成本及通讯成本 低。 权利要求书2页 说明书8页 附图1页 CN 115314248 A 2022.11.08 CN 115314248 A 1.基于区块链的节点分层访问控制方法， 其特征在于： 基于入网访问控制、 区块链账 本、 网络管理员、 属性服务器、 投票者节点、 投票者权重、 共识机制、 网络管理员等待决策时 间阈值以及网络活跃度实现； 入网访问控制， 是对网络节点在加入网络前进行的一系列节点身份验证和匹配过程； 区块链账本， 用于实现和存储入 网访问控制结果的基础 设施， 是集合点对点传输、 共识 机制以及 密码算法的分布式数据库； 网络管理员， 管理整个网络的节点， 负责节点注 册、 请求分发以及结果反馈； 属性服务器， 用于打破区块链存储瓶颈， 将数据量较大的给节点属性数据进行存储的 服务器； 投票者节点， 是在 当某一节点发送入 网请求后， 已经加入 网络中， 并基于网络管理员分 发的请求信息进行属性匹配和验证的节点； 投票者权重， 由网络管理员依据投票者节点属性优异程度分配的投票者节点在进行最 终验证过程中具 备的权重； 共识机制， 是在区块链网络中， 通过投票者节点的投票在短期内完成对交易的验证和 确认； 网络管理员等待决策时间阈值， 是网络管理员等待各投票者节点进行属性匹配过程结 果的最长等待时间； 网络活跃度， 是在一次入网访 问控制中， 进行属性验证并向网络管理员反馈结果的投 票者节点占总投票 者节点数量的比值； 所述一种基于区块链的节点分层访 问控制方法， 包括网络管理员及节点注册、 发送入 网请求、 分发入网请求、 获取节点属性、 属性验证及决策， 具体包括以下步骤： 步骤1、 系统初始化， 具体包括以下子步骤： 步骤1.1网络管理员以及节点注 册： 网络管理员通过选择特定随机数， 采用非对称加密方法生成公私钥对， 并基于此公私 钥对生成网络管理员的数字签名及证书； 节点在初次进入系统时， 需要在系统中注册， 注册过程中， 网络管理员会为节点分配公 私钥对， 并将节点的属性 值记录在属性 服务器中， 以供后续使用； 步骤1.2合约部署与实例化： 在网络管理员成功初始化后， 网络管理员将合约部署并实例化， 包括： 请求分发合约以 及验证合约； 步骤2、 发送入网请求： 当已注册的节点欲加入 网络时， 用自己节点的属性值以及节点的公私钥对产生的数字 签名构造入网请求， 入网请求中包含已注册的节点的数字签名以及加密后的已注册的节点 当前属性 值， 入网请求发送给网络管理员； 步骤3、 分发入网请求： 网络管理员在接收到已注册的节点发送的入 网请求后， 网络管理员对已注册节点的入 网请求的格式正确 性以及合法性进行验证， 网络管理员验证通过后， 网络管理员将加密后 的入网请求分发给 各投票者节点， 并附上网络管理员的数字签名； 其中， 入网请求的合法性包括： 数字签名合法性以及时效合法性；权　利　要　求　书 1/2 页 2 CN 115314248 A 2步骤4、 获取节点属性： 投票者节点在收到网络管理员分发的加密后的入 网请求并验证通过后， 根据加密后的 入网请求中已注册的节点的属 性值， 向属 性服务器获取已注册的节点的属 性信息， 并验证 属性值信息是否与入网请求所给信息匹配， 并将匹配结果发送给网络管理员， 具体包括以 下子步骤： 步骤4.1投票者节点根据入网请求中包含的已注册 的节点数字签名， 向属性服务器发 送属性获取请求； 其中， 属性获取请求包含： 投票者节点自身的数字签名及证书哈希值、 待验证节点的数 字签名以及时间戳； 步骤4.2属性服务器在接收到投票者节点发送 的属性获取请求后， 对属性获取请求进 行格式验证以及合法性验证； 其中， 属性获取请求的合法性验证包括： 数字签名及证书合法性以及时效合法性； 步骤5、 属性验证及决策： 网络管理员在收到所有投票者节点验证信息或等待时间达到网络管理员 等待决策时 间阈值后， 将根据各投票者节点的属 性优异程度为投票者节点分配投票者权重， 并形成网 络分层投票者节点结构， 基于网络分层投票者节点结构， 网络管理员将根据分配的投票者 权重和属性验证结果对待入网节点的准入结果形成最终决策， 具体包括以下子步骤： 步骤5.1发送属性验证结果： 各投票者节点将自身的决策 结果以消息的形式发送给网络管理员； 步骤5.2确定投票 者权重： 网络管理员根据各投票者节点的属性优异程度和使用者预先确定的投票者权重分配 方法为投票 者节点分配投票 者权重； 步骤5.3投票 者权重发送： 网络管理员确定投票者权重后， 将所有投票者节点的投票者权重结果广播给各投票者 节点； 步骤5.4投票 者节点分层： 各投票者节点基于分配的投票 者权重形成网络分层投票 者节点结构； 步骤5.5共识形成： 网络管理员将验证当前网络活跃度， 当网络活跃度达到网络活跃度阈值 时将不同意入 网的投票者节点的投票者权重进行累加， 若其和超过网络管理员等待 决策时间阈值， 则不 允许已注 册的节点加入网络， 否则将允许 该已注册的节点加入网络 。 2.如权利要求1的基于区块链的节点分层访问控制方法， 其特征在于： 属性服务器的数 量为一至多个， 每 个属性服务器存储一种节点的属性数据。 3.如权利要求1的基于区块链的节点分层访问控制方法， 其特征在于： 网络管理员等待 决策时间阈值由使用者确定 。权　利　要　求　书 2/2 页 3 CN 115314248 A 3