技术领域
本发明涉及身份认证和访问控制技术领域,具体的说是一种面向智慧城市的区块链身份认证和访问控制方法及系统。
背景技术
近几年,Blockchain和Smart contract作为分布式分类账技术的扩展方式,正在使物联网和智慧城市等业务模式、甚至身份认证和访问控制流程的不同方面发生积极的变化。通过引入以太网,智能合约被添加到该技术中。基于区块链的应用程序在智慧城市背景下智慧政务中的使用仍然非常有限,缺乏着实的经验证据。区块链在使用层面面临的挑战主要表现为可拓展性、安全性、和灵活性等技术方面,同时缺乏监督和管理被认为是主要障碍。
身份认证作为一种安全的机制,能够检验和证明成员用户或者终端设备的身份,同时也是资源访问的首要条件。认证有包括四个主要条件:1)基于知识的认证:这些因素基于用户的知识,如用户身份和登录密钥。2)基于拥有的身份认证:这些因素基于用户的拥有,如射频识别或其他只有主要用户才能拥有的个人识别码。3)基于固有的认证或基于生物特征的认证:这些因素是生物特征,如人脸数据、指纹数据等。4)多因素认证:综合之前的方法,传统的身份认证方法使用中央机构进行判别评估请求,这个中央机构可能是系统的主要的单一故障点。
身份认证和访问控制作为维护系统安全的首要步骤,在所有业务流程中扮演重要的角色,身份认证作用是防止非法用户进入系统;而访问控制作用是防止合法用户对系统资源的非法使用。针对身份认证以及访问控制,区块链能够更好的给他们带来高性能的保密性和完整性,同时能通过对系统中单点故障的清除去增强系统的可使用性和可拓展性。并且身份认证和访问控制在资源和信息的访问保护中重要至极,伴随着近年来不同领域成员用户数量的激增,身份认证和访问控制逐渐成为信息访问系统中一个引人注目的话题。访问控制就是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是“谁是否对某资源具有实施某个动作(运动、计算)的权限”。返回的结果只有“有、没有、权限引擎异常了”三种。简而言之,访问控制就是一种安全技术,规范制约着谁可以对计算环境中的资源进行操作(例如使用、读取、写入、执行或查看等)。不同的是,身份认证是另一个概念,意味着验证执行操作的主体。
与基于角色的访问控制(RBAC)相比较,基于属性的访问控制(ABAC)是一种动态的访问控制模型。基于属性的访问控制(ABAC)提供了一种灵活的、动态的访问控制,这与基于角色的访问控制(RBAC)需要先设置某一个成员角色的权限大不相同,基于属性的访问控制(ABAC)将主体和客体都用一组独特的属性来表示,通过属性的多种结合返回一个结果来判断某个访问请求是否合法,而且,因为属性可以自由随机组合,所以更加适用于智慧城市下用户身份认证访问的场景。
另外,IPFS(星际文件系统)是一个面向世界范围内点对点的分布式文件系统。然而现有的网络都是采用http协议的中心化网络,在访问、存储各方面都十分依赖中心节点。好在IPFS可以帮助网络实现去中心化,让数据存储、访问效率等方面发生巨大的变化。IPFS能够和区块链完美的匹配,和区块链技术之间创造了一种有益的关系。由于区块链技术并不适合存储大量数据,所以使用IPFS处理大量数据,并且将不可变的IPFS链接到区块链事务中,这样既可以减轻区块链的存储压力,也可以保护内容。
国内外学者在基于区块链和智慧城市结合的研究已经取得的效果尚可。但是在面向智慧城市的身份认证访问控制中结合IPFS(星际文件系统)的还是比较少。
发明内容
本发明针对目前技术发展的需求和不足之处,提供一种面向智慧城市的区块链身份认证和访问控制方法及系统,以在用户认证之后更好的进行政务信息的访问,解决认证时的单一故障,以及没有限制进行访问导致的隐私安全问题。
首先,本发明公开一种面向智慧城市的区块链身份认证和访问控制方法,解决上述技术问题采用的技术方案如下:
一种面向智慧城市的区块链身份认证和访问控制方法,在智慧城市的政务工作中应用IPFS系统,该方法的实现包括区块链身份认证部分和区块链访问控制部分;
(一)在区块链身份认证部分:
用户终端和政务终端之间使用椭圆曲线加密算法生成公钥,公钥的哈希值作为访问用户终端的认证ID,
用户通过用户终端输入信息,政务终端将用户终端的输入信息注册到区块链的块中,
用户终端将交易信息发送到管理政务终端的智能合约账户,建立联系,
用户终端与政务终端建立联系后,用户通过用户终端获取政务终端的读取权限和操作权限,
用户终端与政务终端通信过程中,块中的节点验证交易信息的签名,从而验证用户终端和政务终端的合法性,防止用户终端篡改和发送虚假的信息;
(二)在区块链访问控制部分:
用户通过用户终端发送请求,
用户终端根据请求调用ABAC智能合约,ABAC智能合约即ABAC由智能合约实现,
ABAC智能合约根据收到的请求向IPFS系统询问该用户终端当前访问操作所需要的文件,
IPFS系统根据询问向ABAC智能合约返回文件,ABAC智能合约通过返回的结果判断用户终端对政务终端的权限,并调用管理政务终端的智能合约执行返回的结果,并将数据传送至区块链。
进一步的,在区块链身份认证部分,用户终端和政务终端之间使用椭圆曲线加密算法首先生成私钥k,基于给定的椭圆曲线E和已知基点G,私钥k与基点G的乘积即为公钥。
进一步的,用户终端与政务终端通信过程中,块中的节点利用数字签名技术验证交易信息是否是由用户终端发出的,如果是,则成功验证用户终端和政务终端的合法性。
进一步的,在区块链访问控制部分,用户终端通过REST API发送请求,以调用ABAC智能合约。
进一步的,在区块链访问控制部分,IPFS系统通过JAVA API与用户终端、ABAC智能合约进行通信。
其次,本发明公开一种面向智慧城市的区块链身份认证和访问控制系统,解决上述技术问题采用的技术方案如下:
一种面向智慧城市的区块链身份认证和访问控制系统,该系统涉及智慧城市政务工作中的IPFS系统、用户终端、政务终端、多个政务终端建立的区块链,该系统还涉及算法模块、智能合约、验证模块和ABAC智能合约,其中,
用户终端和政务终端之间使用算法模块生成公钥,算法模块将公钥的哈希值作为访问用户终端的认证ID,
智能合约用于管理政务终端,
验证模块部署于区块链中,用于验证交易信息是否是由用户终端发出的,
ABAC智能合约,即ABAC由智能合约实现,用于实现访问控制;
该系统的实现包括区块链身份认证部分和区块链访问控制部分:
(一)在区块链身份认证部分:
用户终端和政务终端之间使用算法模块生成公钥,算法模块将公钥的哈希值作为访问用户终端的认证ID,
用户通过用户终端输入信息,政务终端将用户终端的输入信息注册到区块链的块中,
用户终端将交易信息发送到智能合约账户,建立联系,
用户终端与政务终端建立联系后,用户通过用户终端获取政务终端的读取权限和操作权限,
用户终端与政务终端通信过程中,块中的节点通过验证模块验证用户终端和政务终端的合法性,防止用户终端篡改和发送虚假的信息;
(二)在区块链访问控制部分:
用户通过用户终端发送请求,
用户终端根据请求调用ABAC智能合约,
ABAC智能合约根据收到的请求向IPFS系统询问该用户终端当前访问操作所需要的文件,
IPFS系统根据询问向ABAC智能合约返回文件,ABAC智能合约通过返回的结果判断用户终端对政务终端的权限,并调用智能合约执行返回的结果,随后将数据传送至区块链。
进一步的,算法模块为椭圆曲线加密算法,用户终端和政务终端之间使用椭圆曲线加密算法首先生成私钥k,基于给定的椭圆曲线E和已知基点G,私钥k与基点G的乘积即为公钥。
进一步的,验证模块采用数字签名技术,块中的节点利用数字签名技术验证交易信息是否是由用户终端发出的,如果是,则成功验证用户终端和政务终端的合法性。
进一步的,在区块链访问控制部分,用户终端通过REST API发送请求,以调用ABAC智能合约。
进一步的,在区块链访问控制部分,IPFS系统通过JAVA API与用户终端、ABAC智能合约进行通信。
本发明的一种面向智慧城市的区块链身份认证和访问控制方法及系统,与现有技术相比具有的有益效果是:
(1)本发明的实现涉及区块链身份认证和区块链访问控制两个流程,可以防止非法用户进入IPFS系统,同时,防止合法进入IPFS系统的用户非法使用IPFS系统的资源,解决了身份认证发生故障时没有限制进行访问导致的隐私安全问题;
(2)本发明通过区块链和ABAC智能合约,可以更好的监管和规范用户的访问,通过在政务工作中使用IPFS系统,可以更好的减轻区块链的存储压力。
附图说明
附图1是本发明实施例一的区块链身份认证流程框图;
附图2是本发明实施例一的区块链访问控制流程框图;
附图3是本发明实施例二的架构连接框图。
附图中各标号信息表示:
1、IPFS系统,2、用户终端,3、政务终端,4、区块链,
5、算法模块,6、智能合约,7、验证模块,8、ABAC智能合约。
具体实施方式
为使本发明的技术方案、解决的技术问题和技术效果更加清楚明白,以下结合具体实施例,对本发明的技术方案进行清楚、完整的描述。
实施例一:
本实施例提出一种面向智慧城市的区块链身份认证和访问控制方法,在智慧城市的政务工作中应用IPFS系统,该方法的实现包括区块链身份认证部分和区块链访问控制部分。
(一)结合附图1,在区块链身份认证部分:
S11、用户终端和政务终端之间使用椭圆曲线加密算法生成私钥k,基于给定的椭圆曲线E和已知基点G,私钥k与基点G的乘积即为公钥,将公钥的哈希值作为访问用户终端的认证ID。
S12、用户通过用户终端输入信息,政务终端将用户终端的输入信息注册到区块链的块中。
S13、用户终端将交易信息发送到管理政务终端的智能合约账户,建立联系。
S14、用户终端与政务终端建立联系后,用户通过用户终端获取政务终端的读取权限和操作权限。
S15、用户终端与政务终端通信过程中,块中的节点利用数字签名技术验证交易信息是否是由用户终端发出的,如果是,则成功验证用户终端和政务终端的合法性,进而防止用户终端篡改和发送虚假的信息。
成功验证用户终端和政务终端的合法性后,使用该用户终端的用户为合法用户,合法用户随后方可通过用户终端访问IPFS系统的资源。
(二)结合附图2,在区块链访问控制部分:
S21、用户通过用户终端的REST API发送请求。
S22、用户终端根据请求调用ABAC智能合约,ABAC智能合约即ABAC由智能合约实现。
S23、ABAC智能合约根据收到的请求向IPFS系统询问该用户终端当前访问操作所需要的文件。
S24、IPFS系统根据询问通过其JAVA API向ABAC智能合约返回文件,ABAC智能合约通过返回的结果判断用户终端对政务终端的权限,并调用管理政务终端的智能合约执行返回的结果,并将数据传送至区块链。
实施例二:
结合附图3,本实施例提出一种面向智慧城市的区块链身份认证和访问控制系统,该系统涉及智慧城市政务工作中的IPFS系统、用户终端、政务终端、多个政务终端建立的区块链,该系统还涉及算法模块、智能合约、验证模块和ABAC智能合约,其中,
用户终端和政务终端之间使用算法模块生成公钥,算法模块将公钥的哈希值作为访问用户终端的认证ID,
智能合约用于管理政务终端,
验证模块部署于区块链中,采用数字签名技术验证交易信息是否是由用户终端发出的,
ABAC智能合约,即ABAC由智能合约实现,用于实现访问控制。
(一)结合附图1,在区块链身份认证部分:
S11、用户终端和政务终端之间使用算法模块生成公钥,算法模块将公钥的哈希值作为访问用户终端的认证ID。本步骤中,算法模块选用椭圆曲线加密算法,用户终端和政务终端之间使用椭圆曲线加密算法首先生成私钥k,基于给定的椭圆曲线E和已知基点G,私钥k与基点G的乘积即为公钥。
S12、用户通过用户终端输入信息,政务终端将用户终端的输入信息注册到区块链的块中。
S13、用户终端将交易信息发送到智能合约账户,建立联系。
S14、用户终端与政务终端建立联系后,用户通过用户终端获取政务终端的读取权限和操作权限。
S15、用户终端与政务终端通信过程中,块中的节点利用数字签名技术验证交易信息是否是由用户终端发出的,如果是,则成功验证用户终端和政务终端的合法性。进而防止用户终端篡改和发送虚假的信息。
成功验证用户终端和政务终端的合法性后,使用该用户终端的用户为合法用户,合法用户随后方可通过用户终端访问IPFS系统的资源。
(二)结合附图2,在区块链访问控制部分:
S21、用户通过用户终端的REST API发送请求。
S22、用户终端根据请求调用ABAC智能合约。
S23、ABAC智能合约根据收到的请求向IPFS系统询问该用户终端当前访问操作所需要的文件。
S24、IPFS系统根据询问通过其JAVA API向ABAC智能合约返回文件,ABAC智能合约通过返回的结果判断用户终端对政务终端的权限,并调用智能合约执行返回的结果,随后将数据传送至区块链。
综上可知,采用本发明的一种面向智慧城市的区块链身份认证和访问控制方法及系统,可以防止非法用户进入IPFS系统,同时,防止合法进入IPFS系统的用户非法使用IPFS系统的资源,解决了身份认证发生故障时没有限制进行访问导致的隐私安全问题。
以上应用具体个例对本发明的原理及实施方式进行了详细阐述,这些实施例只是用于帮助理解本发明的核心技术内容。基于本发明的上述具体实施例,本技术领域的技术人员在不脱离本发明原理的前提下,对本发明所作出的任何改进和修饰,皆应落入本发明的专利保护范围。
机译: 基于区块链凭证的身份认证系统及其控制方法
机译: 基于区块链的访问控制方法和系统,管理终端和访问控制终端
机译: 基于区块链的访问控制方法和系统,管理终端和访问控制终端
