一种基于CP-ABE的动态权限管理方法、电子设备和存储介质

技术领域

本发明涉及区块链数据跨域权限管理的技术领域，特别是涉及一种基于CP-ABE的动态权限管理方法、电子设备和存储介质。

背景技术

基于属性的访问控制(ABAC)是一种为解决区块链行业分布式应用可信关系的访问控制模型，它利用相关实体的属性作为授权的基础来研究如何进行访问控制，进一步分为密钥策略属性加密(key-policy，KP-ABE)和密文策略属性加密(Ciphertext-policy，CP-ABE)，密文策略属性加密的密文对应于一个访问结构且密钥对应于属性集合，解密当且仅当属性集合中的属性能够满足此访问结构。

域被视为不同管理机构、系统的管控范围，域内根据属性标准制定满足安全需求的访问控制策略，但在域之间，出于不信任外部数据和害怕本域数据被非法导出的担忧，域之间面临着实现安全数据传输与数据访问功能的需求。

现有的，跨域的关于数据管理的权限控制方案，如申请号202111663685.4的跨子网交互的权限控制方法及装置、电子设备、存储介质，在智能合约中写入跨区块链网络的访问或操作请求，进而根据已设定的区块链网络间操作权限判定该访问或操作请求是否满足，该方案在跨域访问或操作时存在动态扩展性受到限制的问题；如申请号202010337246.3的一种基于调度机构级别的跨系统访问权限控制方法及系统，在进行权限判定时，采用基于角色的访问控制方案，当所需权限类别增多时，需要通过增加更多的角色以满足访问控制权限，容易产生角色爆炸的问题，而相反，为避免角色爆炸，只能在系统中规定有限的角色提供给用户使用，则造成灵活性不足的问题。

发明内容

为解决上述技术问题中的至少之一，本发明提出一种基于CP-ABE的动态权限管理方法、电子设备和存储介质。

本发明的目的通过以下技术方案实现：

本发明提供了一种基于CP-ABE的动态权限管理方法，包括如下步骤：

S1、在区块链网络的每个域中分别各指定一个节点作为跨域接口节点；

S2、在每个跨域接口节点上分别设置调用本域内对应数据所需的数据属性信息，并初始化生成每个跨域接口节点的公共公钥与主密钥，将公共公钥在区块链网络公开；

S3、数据需求节点注册上链后生成需求密钥对，将需求密钥对中的需求公钥在区块链网络公开，并根据数据需求向对应的跨域接口节点发送数据访问请求信息；

S4、跨域接口节点根据数据访问请求信息结合调用数据所需的数据属性信息生成调用属性策略，根据跨域接口节点的公共公钥和调用属性策略将需要的数据信息生成密文数据；向数据需求节点获取身份属性信息后生成身份属性集合，并结合主密钥生成数据解密信息，将密文数据和数据解密信息发送给数据需求节点；

S5、数据需求节点根据请求的跨域接口节点的公共公钥、密文数据和数据解密信息对密文数据进行解密，当数据需求节点的身份属性集合信息符合调用属性策略时，解密密文数据并获得需要的数据信息。

作为进一步的改进，在步骤S2中，设置调用本域内对应数据所需的数据属性信息时，数据属性信息以键值对的形式存储在跨域接口节点上；在步骤S4中跨域接口节点向数据需求节点获取身份属性信息时，通过数据属性信息的键信息获得身份属性信息中对应的值信息。

作为进一步的改进，在步骤S4中，跨域接口节点向数据需求节点获取身份属性信息时，数据需求节点的身份属性信息包含在数据访问请求信息中，跨域接口节点从数据访问请求信息中获取身份属性信息。

作为进一步的改进，在步骤S4中，跨域接口节点向数据需求节点获取身份属性信息时，跨域接口节点向数据需求节点发送获取对应身份属性信息的请求，数据需求节点通过智能合约根据请求将自身的身份属性信息发给跨域接口节点。

作为进一步的改进，在步骤S4中，将密文数据和数据解密信息发送给数据需求节点时，跨域接口节点将数据解密信息结合数据需求节点的需求公钥生成加密传输信息发送给数据需求节点；在步骤S5中，数据需求节点接收加密传输信息后，先通过需求密钥对中的需求私钥解密获得数据解密信息。

作为进一步的改进，在步骤S4中，生成的调用属性策略中包括跨域接口节点授予数据需求节点的访问数据有效时长；以及在生成数据解密信息的同时将获取数据需求节点的身份属性信息值的时间戳一起生成；在步骤S5中，数据需求节点需在值时间戳加访问数据有效时长的时间内对密文数据进行解密。

作为进一步的改进，在步骤S3中，数据需求节点注册上链后，在数据需求节点通过非对称密钥法生成包括需求公钥和需求私钥的需求密钥对。

作为进一步的改进，在步骤S1中，区块链网络的每个域中分别各指定一个除跨域接口节点外的一个节点作为备用跨域接口节点，备用跨域接口节点具有跨域接口节点的功能和数据，在跨域接口节点出现异常时，备用跨域接口节点替代跨域接口节点执行权限管理功能。

本发明提供的一种基于CP-ABE的动态权限管理方法，包括步骤：S1、在区块链网络的每个域中分别各指定一个节点作为跨域接口节点；S2、在每个跨域接口节点上分别设置调用本域内对应数据所需的数据属性信息，并初始化生成每个跨域接口节点的公共公钥与主密钥，将公共公钥在区块链网络公开；S3、数据需求节点注册上链后生成需求密钥对，将需求密钥对中的需求公钥在区块链网络公开，并根据数据需求向对应的跨域接口节点发送数据访问请求信息；S4、跨域接口节点根据数据访问请求信息结合调用数据所需的数据属性信息生成调用属性策略，根据跨域接口节点的公共公钥和调用属性策略将需要的数据信息生成密文数据；向数据需求节点获取身份属性信息后生成身份属性集合，并结合主密钥生成数据解密信息，将密文数据和数据解密信息发送给数据需求节点；

S5、数据需求节点根据请求的跨域接口节点的公共公钥、密文数据和数据解密信息对密文数据进行解密，当数据需求节点的身份属性集合信息符合调用属性策略时，解密密文数据并获得需要的数据信息。本发明由跨域接口节点根据本域内数据所属隐私级别或保护级别等条件设置调用本域内对应数据所需的数据属性信息，来实现动态配置数据访问控制权限，使权限控制方案具有可扩展性，采用基于属性的访问控制方案，基于属性的灵活组合方式根据数据需求节点提供的身份属性信息与跨域接口节点设置的数据属性信息进行权限验证，避免随访问需求增加产生的角色爆炸问题，实现权限的灵活变更，使跨域权限控制更加便捷。

本发明还提供一种电子设备，包括存储器和处理器，所述存储器上存储上述所述的一种基于CP-ABE的动态权限管理方法中任一项进一步改进的计算机程序，所述处理器通过调用存储器中的计算机程序，用于执行一种基于CP-ABE的动态权限管理方法。由于采用了一种基于CP-ABE的动态权限管理方法的所述技术内容，其应当具有相同或相应的技术效果，因此不再进行赘述。

本发明还提供一种计算机可读取的存储介质，用于存储上述所述的一种基于CP-ABE的动态权限管理方法的任一项进一步改进。由于采用了一种基于CP-ABE的动态权限管理方法的所述技术内容，其应当具有相同或相应的技术效果，因此不再进行赘述。

附图说明

图1为本发明的流程示意图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面结合附图和具体实施例对本发明作进一步详细的描述，需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

结合图1所示，本发明实施例提供一种基于CP-ABE的动态权限管理方法，包括如下步骤：

S1、在区块链网络的每个域中分别各指定一个节点作为跨域接口节点。跨域接口节点用于执行与其它域之间的通信与访问控制管理，选取方式由各域内根据情况自行决定，一个域内有且仅有一个跨域接口节点，包括但不仅限可在区块链网络的每个域中分别各指定一个除跨域接口节点外的一个节点作为备用跨域接口节点，备用跨域接口节点具有跨域接口节点的功能和数据，在跨域接口节点出现出现宕机等等异常情况时，备用跨域接口节点替代跨域接口节点执行权限管理功能。其中，备用跨域接口节点通过备份跨域接口节点的程序和数据的方式具有跨域接口节点同样的功能和数据。

S2、在每个跨域接口节点上分别设置调用本域内对应数据所需的数据属性信息，数据属性信息根据本域内数据的隐私级别、保护级别等设置，如数据需求节点的身份、角色、职位、能力、位置、行政关系和相关证书等，可选但不仅限，数据属性信息以键值对的形式存储在跨域接口节点上，键值对存储是数据库的组织形式，包括键信息(key)和值信息(value)，键信息用作值元素的索引，值信息则表示所存储和读取的数据。并初始化生成每个跨域接口节点的公共公钥与主密钥，将公共公钥在区块链网络公开，具体的，跨域接口节点选择随机的安全参数λ，通过SetUp(λ)→(PK，MK)，生成公共密钥PK与主密钥MK，SetUp为初始化算法，该算法接受隐式的安全参数作为输入，输出公共密钥和主密钥。

S3、数据需求节点注册上链后生成需求密钥对，将需求密钥对中的需求公钥在区块链网络公开，并根据数据需求向对应的跨域接口节点发送数据访问请求信息。包括但不仅限数据需求节点在注册时需提供对应的身份属性信息用于在进行数据访问请求时使用，身份属性信息根据使用需求可在后期进行维护或验证。优选的，数据访问请求信息中包含需要调用的数据需求外还包括数据需求节点的身份属性信息。生成需求密钥对时，可选但不仅限通过对称密钥法或非对称密钥法，本实施例通过非对称密钥法生成包括需求公钥PK

S4、跨域接口节点根据数据访问请求信息结合调用数据所需的数据属性信息生成调用属性策略，本实施例中，跨域接口节点查询本域内调用该数据所需的数据属性信息，即对应的键值对，通过键值对生成访问结构A，同时，在生成访问结构A中包括跨域接口节点授予数据需求节点的访问数据有效时长t。

根据跨域接口节点的公共公钥PK和调用属性策略的访问结构A将需要的数据信息通过Encrypt(PK，M，A)→CM，生成密文数据CM，Encrypt为加密密文算法，输入公共公钥PK，需要调用的数据信息M和访问结构A，对M进行加密，产生密文CM。

向数据需求节点获取身份属性信息后生成身份属性集合S，本实施例中，跨域接口接点根据访问结构A中的键信息向数据需求节点获取与键信息对应的值信息，即数据需求节点的身份属性信息。获取身份属性信息的方式，可选但不仅限，在向数据需求节点获取身份属性信息时，数据需求节点的身份属性信息包含在数据访问请求信息中，跨域接口节点从数据访问请求信息中获取身份属性信息；还能通过跨域接口节点向数据需求节点发送获取对应身份属性信息的请求，数据需求节点通过智能合约根据请求将自身的身份属性信息发给跨域接口节点，具体的，在数据需求节点部署智能合约，该智能合约在跨域接口节点需要获取身份属性信息时，根据键信息提供对应的数据需求节点的值信息给跨域接口节点。

将身份属性集合S结合主密钥MK通过KeyGeneration(MK，S)→SK，生成数据解密信息SK，KeyGeneration为获取解密信息算法，输入主密钥MK和描述身份属性集合S，输出解密信息SK。优选的，在生成数据解密信息的同时将获取数据需求节点的身份属性信息的值时间戳T一起生成，用于与跨域接口节点授予数据需求节点的访问数据有效时长t一起验证数据需求节点解密时的时效。

将密文数据CM和数据解密信息SK发送给数据需求节点，优选的，为保障数据解密信息SK的传输安全，跨域接口节点将数据解密信息SK结合数据需求节点的需求公钥PK

S5、数据需求节点根据请求的跨域接口节点的公共公钥PK、密文数据CM和数据解密信息SK对密文数据进行解密，本实施例中，因接收的数据解密信息SK采用了需求公钥PK

当数据需求节点的身份属性集合信息符合调用属性策略时，解密密文数据并获得需要的数据信息，具体的，若身份属性集合S与访问结构A中键值对的值信息相同时，则表示数据需求节点具有数据访问权限，通过Decrypt(PK，CM，SK)对密文数据进行解密，得到需要调用的数据信息明文M；否则，无法对密文数据解密。优选的，本实施例中，数据需求节点需在值时间戳T加访问数据有效时长t的时间内对密文数据进行解密，当超出该解密时效后，数据需求节点需再次提交具有新的值时间戳T的身份属性集合S，以获取新的解密密钥SK，从而保证在访问结构A所约束的访问条件失效后，数据需求节点无法使用已获取的解密密钥继续访问跨域接口节点提供的数据，保证数据安全。

本发明实施例由跨域接口节点根据本域内数据所属隐私级别或保护级别等条件设置调用本域内对应数据所需的数据属性信息，来实现动态配置数据访问控制权限，使权限控制方案具有可扩展性，采用基于属性的访问控制方案，基于属性的灵活组合方式根据数据需求节点提供的身份属性信息与跨域接口节点设置的数据属性信息进行权限验证，避免随访问需求增加产生的角色爆炸问题，实现权限的灵活变更，使跨域权限控制更加便捷。

本发明实施例还提供一种电子设备，包括存储器和处理器，所述存储器上存储包括如上述所述一种基于CP-ABE的动态权限管理方法的任一项优选的实施方式的计算机程序，计算机程序中包括上述一种基于CP-ABE的动态权限管理方法的任一项优选的实施方式，以及在不冲突的情况下各任一项优选的实施方式之间的组合，所述处理器通过调用存储器中的计算机程序，用于执行基于CP-ABE的动态权限管理方法，其应当具有一种基于CP-ABE的动态权限管理方法相同的技术作用和产生的效果，在此不再赘述。

本发明实施例还提供一种计算机可读取的存储介质，用于存储如上述所述一种基于CP-ABE的动态权限管理方法的任一项优选的实施方式，以及在不冲突的情况下各任一项优选的实施方式之间的组合，其应当具有一种基于CP-ABE的动态权限管理方法相同的技术作用和产生的效果，在此不再赘述。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。