(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210562634.0 (22)申请日 2022.05.23 (65)同一申请的已公布的文献号 申请公布号 CN 114666067 A (43)申请公布日 2022.06.24 (73)专利权人 成都信息工程大学 地址 610225 四川省成 都市西南 航空港经 济开发区学府路1段24 号 (72)发明人 万武南　蒲槐霖　蒋秋璐　张仕斌　 张金全　秦智　韩慧　邱晓芳　 郭锦良　 (74)专利代理 机构 北京元本知识产权代理事务 所(普通合伙) 11308 专利代理师 曹广生(51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (56)对比文件 CN 113572734 A,2021.10.2 9 CN 111062807 A,2020.04.24 审查员 刘珍 (54)发明名称 基于区块链的跨域细粒度属性访问控制方 法及系统 (57)摘要 本发明公开了一种基于区块链的跨域细粒 度属性访问控制方法及系统， 本发 明以区块链和 基于属性访问控制方法作为基础， 任务状态属性 引入属性访问控制模型中， 可以根据任务的状 态、 所需条件等信息来动态的分配请求者的权 限， 并且利用主体节点属性、 环境属性等来计算 主体节点信任值的方法， 能够帮助客体节点判断 主体节点能否访问自己的资源， 还能够实时更新 主体节点的综合信任值， 再通过主体节点的综合 信任值来动态的分配请求者的权限， 请求者只会 拥有访问资源的最小的权限， 达到了基于属性细 粒度访问控制， 使得恶意请求者 没有能够利用的 额外权限， 降低了跨域访问控制的计算开销和空 间开销， 同时还可 以很好地抵御越权攻击、 伪造 冒充式攻击和共谋攻击 。 权利要求书5页 说明书13页 附图2页 CN 114666067 B 2022.08.16 CN 114666067 B 1.一种基于区块链的跨 域细粒度属性访问控制方法， 其特 征在于， 所述方法包括： 接收主体节点的加密身份、 所述主体节点所在的区域以及所述主体节点的资源请求， 所述主体节点的加密身份通过 所述主体节点将其身份用对应私钥进行加密得到； 选择一个随机数N发送给 所述主体节点； 接收所述主体节点的二 次加密身份和所述主体节点的公钥， 所述二 次加密身份是所述 主体节点在接收到随机数N后用私钥进行签名得到； 验证所述 二次加密身份中的随机数 是否是随机数N； 在所述二次加密身份中的随机数是随机数N的情况下， 根据主体节点的公钥解密所述 二次加密 身份得到所述主体节点的身份， 根据所述主体节点的身份和所述主体节点的公钥 计算得到所述主体节点对应的地址， 然后从区块链中查出 所述主体节点的属性 值； 根据所述主体节点的区域号查询出区域所对应的主信任节点在区块链上的地址对所 述主体节点的综合信任值， 并与所述主体节点的属性值以及资源环境属性计算出主体节点 的直接信任值， 根据基础信任值和所述主体节点的直接信任值计算得到推荐信任值； 根据所述 直接信任值和所述推荐信任值更新综合信任值； 在综合信任值达到预设的信任值阈值要求 时， 通过任务状态属性查看当前资源所执行 的任务的状态， 并在当前资源所执行的任务的状态满足任务状态要求的情况下同意主体节 点的资源请求。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述主体节点的属性值计算与 所 述主体节点的直接信任值， 包括： 根据主体节点的主体属性和所访问资源环境属性， 通过如下公式计算主体节点当前直 接信任 ： 其中， 表示主体节点相关主体属性种类， 表示所访问资源的相关环境属性种类， 与 是常数， 取值在[0,1]区间范围内， 表示主体属性与所访问的资源的相关度， 表示 每个主体属性所占的权重， 表示环境属性与所访问的资源的相关度， 表示每个环境属 性所占的权 重， 满足 ， ， ； 根据时间衰减函数， 计算时间衰减权重， 所述时间衰减函数表示为 ， 其中 是 常数， 取值在[0,1]区间范围内， 表示上一次与主体节点之间交 互距离此次交 互的时间； 通过如下公式计算历史信任值HV： 其中， 表示上一次的访问控制流程， 表示与主体节点之前交互过的最新的 综合信任值； 通过如下公式计算主体节点的直接信任值： 其中， 是常数， 取值在[0,1]区间范围内， 如果与主体节点是第一次进行交互， 则不存权　利　要　求　书 1/5 页 2 CN 114666067 B 2在历史信任值， 只有当前信任值， 令 ， 即计算出来的当前信任值就是与主体节点之间 的直接信任值。 3.根据权利要求1或2所述的方法， 其特征在于， 所述根据基础信任值和所述主体节点 的直接信任值计算得到推荐信任值， 包括： 通过如下公式计算区域主信任节点对域中各主体节点的直接信任值： 其中， 表示区域号为i的区域主信任节点对于区域的主体节点的直接信 任值， 直接信任值 随着访问次数， 访问成功和访问失败的次数进行调节， 表示 主体节点进行访问控制的成功的次数， 表示主体节点进行访问控制的失败的 次数， 表示主体节点进行访问控制的总的次数； 计算不同区域的主信任节点之间的基础信任值 ： 若主体节点访 问失败， 则减少区域主信任节点i对区域主信任节点j的基础信任值， 计 算公式如下： 其中 取值在[0,1]区间范围内， 根据系统来进 行设定， 默认为 ， 为减少因子， 取值在[0,1]区间范围内； 若主体节点访 问成功， 则增加区域主信任节点i对区域主信任节点j的基础信任值， 计 算公式如下： 其中 取值在[0,1]区间范围内， 根据系统来进行设定， 默认为 ， 为增加因 子， 取值在[0,1]区间范围内； 计算主体节点的推荐信任值 。 4.根据权利要求1所述的方法， 其特征在于， 根据 所述直接信任值和所述推荐信任值计 算得到综合信任值， 包括： 通过如下公式计算综合信任值TV： 其中， 是常数， 取值在[0,1]区间范围内， 表示当前正在进行的访问控制流程中 所计算出来的直接信任值， RV为推荐信任值。 5.一种基于区块链的跨域细粒度属性访问控制系统， 其特征在于， 所述系统包括主信 任节点、 主体节点、 客体节点、 矿工节点、 资源节点和密钥管理中心， 所述主信任节点是区块链上的节点， 也是每个区域的中心， 被配置为分区域管理对应 区域中主体节点和 客体节点的角色值、 属 性值和信任值， 将区域中主体节点和客体节点的权　利　要　求　书 2/5 页 3 CN 114666067 B 3