一种访问控制方法、装置、设备及可读存储介质

技术领域

本申请涉及信息交互技术领域，更具体地说，涉及一种访问控制方法、装置、设备及可读存储介质。

背景技术

随着大数据时代的到来，人们开始挖掘数据的价值，让信息资源最大化的被利用，一些关于信息共享的研究陆续开展。

跨组织访问控制指的就是如何让不同组织的用户能够访问其他组织的信息资源。现有的许多方法是选择将不同组织的数据集中起来进行访问，但这种方式存在着信息泄露的安全问题，可能会对被泄露信息的组织造成损失。

因此，如何提高访问信息过程中的安全性是一个值得研究的问题。

发明内容

有鉴于此，本申请提供了一种访问控制方法、装置、设备及可读存储介质，用于提高访问信息过程中的安全性。

为了实现上述目的，现提出的方案如下：

一种访问控制方法，应用于区块链，包括：

接收包含用户所要访问的目标服务提供方的信息的访问请求；

判断所述用户是否拥有与所述访问请求对应的目标角色，所述目标角色包含访问所述目标服务提供方的信息所必需的权限；

若是，则获取所述用户的综合信用度，所述综合信用度由所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成；

若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

可选的，所述获取所述用户的综合信用度，包括：

获取所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度；

分别确定所述当前信用度、所述历史信用度以及所述推荐信用度的权重系数；

对所述当前信用度、所述历史信用度以及所述推荐信用度分别与各自对应的权重系数的积求和，得到所述综合信用度。

可选的，确定所述当前信用度的过程，包括：

确定所述用户的各个行为特性以及每个所述行为特性对应的各个证据类型；

根据各个所述行为特性以及其对应的所述证据类型，确定所述当前信用度。

可选的，所述根据各个所述行为特性以及其对应的所述证据类型，确定所述当前信用度，包括：

确定每个所述行为特性的权重系数，以及每个所述证据类型的权重系数；

根据各个所述行为特性的权重系数和各个所述证据类型的权重系数确定所述用户的当前信用度。

可选的，确定所述历史信用度的过程，包括：

确定所述用户对所述目标服务提供方的访问次数，以及每次访问的访问时长；

根据所述访问次数及对应的访问时长确定所述用户的历史信用度。

可选的，确定所述推荐信用度的过程，包括：

确定所述用户对每个其它服务提供方的历史信用度以及成功访问次数；

根据所述用户对每个其它服务提供方的历史信用度以及成功访问次数，确定所有所述其它服务提供方对所述用户的推荐信用度。

可选的，所述当前信用度的权重系数大于所述历史信用度的权重系数与所述推荐信用度的权重系数；

所述历史信用度的权重系数大于所述推荐信用度的权重系数。

一种访问控制装置，应用于区块链，包括：

请求接收单元，用于接收包含用户所要访问的目标服务提供方的信息的访问请求；

角色判断单元，用于判断所述用户是否拥有与所述访问请求对应的目标角色，所述目标角色包含访问所述目标服务提供方的信息所必需的权限；

综合信用度获取单元，用于若所述用户拥有与所述访问请求对应的目标角色，则获取所述用户的综合信用度，所述综合信用度由所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成；

请求通过单元，用于若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

一种访问控制设备，包括存储器和处理器；

所述存储器，用于存储程序；

所述处理器，用于执行所述程序，实现上述访问控制方法的各个步骤。

一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现上述访问控制方法的各个步骤。

从上述方案可以看出，本申请提供的访问控制方法，先接收包含用户请求访问的目标服务提供方的信息的访问请求，进而判断该用户是否拥有包含访问该信息所必需的权限的角色，对拥有访问权限的角色的用户，获取其综合信用度，若该用户的综合信用度满足智能合约上设定的允许访问阈值信用度，则可以通过访问请求，以供用户访问目标服务提供方的信息。

显然，本申请方法将用户综合信用度结合到访问控制中，而基于多方面确定的综合信用度更具可靠性，并且，由区块链上的智能合约监督访问控制的过程，因此访问控制执行过程不可逆、公开透明，据此，由用户的综合信用度来确定是否允许该用户访问目标服务提供方的信息，可以提高访问信息过程的安全性。另外，用户的综合信用度随时间变化而变化，使得对用户访问过程的安全性评判更具动态性和细粒度。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种访问控制方法的流程示意图；

图2为本申请实施例公开的一种访问控制装置的结构示意图；

图3为本申请实施例公开的一种访问控制设备的硬件结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

接下来对本申请的访问控制方法进行详细的介绍，请参照图1，图1为本申请实施例中提供的一种访问控制方法的流程示意图，该方法应用于区块链，包括：

步骤S100：接收包含用户所要访问的目标服务提供方的信息的访问请求。

具体的，服务提供方可以将自身的一些信息资源向满足其设定条件的、不属于该服务提供方组织内部的用户开放访问，实现信息共享。

当用户需要访问目标服务提供方的信息时，需要发起访问请求，访问请求可以包含需要访问的目标服务提供方以及所要访问的信息，其中，访问请求包含的所要访问的信息可以是所要访问的信息的索引，示例如：与某些关键字相关的信息、书籍的名字或目录等，或其它可选形式的索引。

因此，用户发起访问请求后，可以接收该访问请求。

步骤S110：判断所述用户是否拥有与所述访问请求对应的目标角色，若是，则执行步骤S120。

具体的，角色发布方可以为用户分配角色，制定相应的角色许可权限，因此角色可以是一组权限的集合，用户可以拥有多个不同的角色，每个角色可以拥有多个不同的权限，不同的角色也可以拥有相同的权限。

对于发起访问请求的用户，可以判断其是否拥有目标角色，目标角色可以包含访问目标服务提供方的信息所必需的权限。若用户拥有目标角色，则可以执行步骤S120。

步骤S120：获取所述用户的综合信用度。

具体的，获取到的用户的综合信用度可以由多个与用户相关的信用度组成，其可以由用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成。

上述介绍的当前信用度，可以是用户发起访问请求时，用户当前状态的信用度，而历史信用度可以是用户在本次对目标服务提供方访问前，目标服务提供方对用户评估的信用度，推荐信用度则可以是其它服务提供方对用户评估的信用度。

步骤S130：若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

具体的，对于综合信用度达到智能合约上设定的允许范围跟阈值信用度的用户，可以通过该用户的访问请求，以供该用户访问目标服务提供方的信息。

上述的方法可以部署在区块链上的智能合约中，因此，本申请实施还可以增加记录分配给用户的各个角色、删除用户的账户、撤销用户的角色、暂停使用本申请实施例的访问控制方法等步骤，以及输出执行各个步骤的时间戳。

从上述方案可以看出，本申请实施例的访问控制方法，部署在区块链的智能合约中，在访问控制过程的每个步骤都有公开透明的记录，且不可伪造，区块链技术的可靠性为本申请实施例的访问控制方法提供了安全可靠的运行环境。并且，基于由用户当前信用度、历史信用度以及其它服务提供方对用户评估的推荐信用度组成的综合信用度，来判断用户是否满足设定的服务条件，可以极大程度地提高服务信息过程的安全性，避免了目标服务提供方泄露信息。

在本申请的一些实施例中，介绍了上述步骤S120，获取所述用户的综合信用度的过程，接下来将对该过程作进一步说明。

具体的，该过程可以包括以下步骤：

S1、获取所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度。

具体的，可以获取区块链上记录的用户当前信用度、历史信用度以及推荐信用度。

S2、分别确定所述当前信用度、所述历史信用度以及所述推荐信用度的权重系数。

具体的，上述三种信用度均有各自对应的权重系数，因此可以分别确定当前信用度、历史信用度以及推荐信用度的权重系数。

三种信用度的权重系数的大小关系可以根据实际情况确定，在本申请实施例中，当前信用度的权重系数可以大于历史信用度和推荐信用度的权重系数，而历史信用度的权重系数可以大于推荐信用度的权重系数，且三个权限系数的和可以为1。

S3、对所述当前信用度、所述历史信用度以及所述推荐信用度分别与各自对应的权重系数的积求和，得到所述综合信用度。

具体的，当前信用度、历史信用度以及推荐信用度分别与各自的权重系数相乘，得到三个信用度对应的计算结果，进而可以将三个计算结果相加，得到综合信用度。

从上述方案可以看出，可以根据实际情况确定三种信用度的权重系数的大小，即三种信用度各自对综合信用度的影响所占的比重，基于此得到的综合信用度可以真实反映用户当前的信用情况，进而根据综合信用度来判断是否允许用户访问目标服务提供方的信息的安全性可以得到有效提高。

接下来，将对确定用户当前信用度的过程作详细说明。

具体的，该过程可以包括以下步骤：

S1、确定所述用户的各个行为特性以及每个所述行为特性对应的各个证据类型。

具体的，可以先确定用户当前的各个行为特性，进而再确定各个行为特性对应的证据类型。其中，依据不同的用户可以确定不同的行为特性，本申请实施例的行为特性可以包括：功能特性、可靠特性以及安全特性。

此外，上述的各个证据类型可以选取能够被软硬件检测到的证据类型，因此，功能特性对应的各个证据类型可以包括：平均IP包传输延迟、平均IP包延迟抖动时间、平均用户IP响应时间等；可靠特性对应的各个证据类型可以包括：平均用户误码率、平均IP丢包率、平均链接建立失败率、用户平均故障服务次数等；安全特性对应的各个证据类型可以包括：平均用户非法连接次数、平均尝试越权次数、平均用户感染实体病毒数等。

S2、根据各个所述行为特性以及其对应的所述证据类型，确定所述当前信用度。

具体的，本过程可以包括以下步骤：

S21、确定每个所述行为特性的权重系数，以及每个所述证据类型的权重系数。

具体的，每个行为特性均有各自对应的权重系数，而每个证据类型的重要程度可以不相同，其各自对应的权重系数也可以不相同。

S22、根据各个所述行为特性的权重系数和各个所述证据类型的权重系数确定所述用户的当前信用度。

具体的，根据各个行为特性的权重系数和各个证据类型的权重系数可以得到各个行为特性的评估值，基于各个评估值可以确定用户的当前信用度。

接下来，将以具体示例说明确定用户的当前信用度的过程。

具体的，可以用n表示用户的行为特性数，m取各个行为特性中对应证据类型的数目的最大值，那么初始证据数据可以表示为矩阵A＝(a

然后，对每个行为特性分别求其中m个证据(不足m项的用零补齐)的权重向量，先求出初始判断矩阵EQ＝(eg

再将初始判断矩阵转换成模糊一致性矩阵Q＝(g

则该特性m个证据的权重向量W＝(ω

将n个特性的权重向量合起来形成权重矩阵W＝(ω

从上述方案可以看出，确定用户当前各个证据类型的重要程度，并据此求出用户的当前信用度，可以准确地得到用户当前的信用状态的情况。

接下来，将对确定用户历史信用度的过程作详细说明。

具体的，该过程可以包括以下步骤：

S1、确定所述用户对所述目标服务提供方的访问次数，以及每次访问的访问时长。

具体的，可以获取用户在本次访问目标服务提供方前，对目标服务提高方的访问次数，以及每次访问的时长，其中，访问时长的时间范围可以包括从用户对目标服务提供方开始访问至退出访问的时间。

S2、根据所述访问次数及对应的访问时长确定所述用户的历史信用度。

具体的，可以根据用户对目标服务提供方的历史访问次数，以及每次访问的时长，确定用户的历史信用度。

接下来，将以具体示例说明确定用户的历史信用度的过程。

具体的，当用户首次对目标服务提供方访问时，可以将用户的当前信用度设为该用户的首个历史信用度。随着访问次数的增加，用户的历史信用度会不断改变，计算公式如下：

其中，n是访问次数，P

从上述方案可以看出，确定用户历史访问次数及每次的访问时长，并据此求出用户的历史信用度，可以准确地得到用户历史的信用状态的情况。

接下来，将对确定用户推荐信用度的过程作详细说明。

具体的，该过程可以包括以下步骤：

S1、确定所述用户对每个其它服务提供方的历史信用度以及成功访问次数。

具体的，其它服务提供方可以存在多个，可以确定用户对每个其它服务提供方的历史信用度，以对每个其它服务提供方的成功访问次数。

S2、根据所述用户对每个其它服务提供方的历史信用度以及成功访问次数，确定所有所述其它服务提供方对所述用户的推荐信用度。

具体的，可以结合用户对每个其它服务提供方的历史信用度及对应的成功访问次数，确定所有其它服务提供方对用户的推荐信用度。

接下来，将以具体示例说明确定用户的推荐信用度的过程。

具体的，假设存在n个可信的其它服务提供方s，s＝(s

其中，T和N分别代表其它服务提供方s

从上述方案可以看出，确定用户对每个其它服务提供方的历史信用度及对应的成功访问次数，并据此求出所有其它服务提供方对用户的推荐信用度，可以准确地得到用户推荐的信用状态的情况。

下面对本申请实施例提供的访问控制装置进行描述，下文描述的访问控制装置与上文描述的访问控制方法可相互对应参照。

首先，结合图2对访问控制装置进行介绍，如图2所示，该访问控制装置可以包括：

请求接收单元100，用于接收包含用户所要访问的目标服务提供方的信息的访问请求；

角色判断单元110，用于判断所述用户是否拥有与所述访问请求对应的目标角色，所述目标角色包含访问所述目标服务提供方的信息所必需的权限；

综合信用度获取单元120，用于若所述用户拥有与所述访问请求对应的目标角色，则获取所述用户的综合信用度，所述综合信用度由所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成；

请求通过单元130，用于若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

可选的，所述综合信用度获取单元120，可以包括：

信用度获取单元，用于获取所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度；

第一权重系数确定单元，用于分别确定所述当前信用度、所述历史信用度以及所述推荐信用度的权重系数；

综合信用度确定单元，用于对所述当前信用度、所述历史信用度以及所述推荐信用度分别与各自对应的权重系数的积求和，得到所述综合信用度。

可选的，所述信用度获取单元可以包括当前信用度获取单元，所述当前信用度获取单元，可以包括：

用户行为确定单元，用于确定所述用户的各个行为特性以及每个所述行为特性对应的各个证据类型；

当前信用度确定单元，用于根据各个所述行为特性以及其对应的所述证据类型，确定所述当前信用度。

可选的，所述当前信用度确定单元，可以包括：

第二权重系数确定单元，用于确定每个所述行为特性的权重系数，以及每个所述证据类型的权重系数；

当前信用度计算单元，用于根据各个所述行为特性的权重系数和各个所述证据类型的权重系数确定所述用户的当前信用度。

可选的，所述信用度获取单元可以包括历史信用度获取单元，所述历史信用度获取单元，可以包括：

历史访问数据确定单元，用于确定所述用户对所述目标服务提供方的访问次数，以及每次访问的访问时长；

历史信用度计算单元，用于根据所述访问次数及对应的访问时长确定所述用户的历史信用度。

可选的，所述信用度获取单元可以包括推荐信用度获取单元，所述推荐信用度获取单元，可以包括：

历史数据确定单元，用于确定所述用户对每个其它服务提供方的历史信用度以及成功访问次数；

推荐信用度计算单元，用于根据所述用户对每个其它服务提供方的历史信用度以及成功访问次数，确定所有所述其它服务提供方对所述用户的推荐信用度。

可选的，所述当前信用度的权重系数大于所述历史信用度的权重系数与所述推荐信用度的权重系数；

所述历史信用度的权重系数大于所述推荐信用度的权重系数。

本申请实施例提供的访问控制装置可应用于访问控制设备。图3示出了访问控制设备的硬件结构框图，参照图3，访问控制设备的硬件结构可以包括：至少一个处理器1，至少一个通信接口2，至少一个存储器3和至少一个通信总线4；

在本申请实施例中，处理器1、通信接口2、存储器3、通信总线4的数量为至少一个，且处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信；

处理器1可能是一个中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路等；

存储器3可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatilememory)等，例如至少一个磁盘存储器；

其中，存储器存储有程序，处理器可调用存储器存储的程序，所述程序用于：

接收包含用户所要访问的目标服务提供方的信息的访问请求；

判断所述用户是否拥有与所述访问请求对应的目标角色，所述目标角色包含访问所述目标服务提供方的信息所必需的权限；

若是，则获取所述用户的综合信用度，所述综合信用度由所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成；

若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

可选的，所述程序的细化功能和扩展功能可参照上文描述。

本申请实施例还提供一种存储介质，该存储介质可存储有适于处理器执行的程序，所述程序用于：

接收包含用户所要访问的目标服务提供方的信息的访问请求；

判断所述用户是否拥有与所述访问请求对应的目标角色，所述目标角色包含访问所述目标服务提供方的信息所必需的权限；

若是，则获取所述用户的综合信用度，所述综合信用度由所述用户的当前信用度、历史信用度以及其它服务提供方对所述用户评估的推荐信用度组成；

若所述综合信用度达到智能合约上设定的允许访问阈值信用度，则通过所述访问请求，以供所述用户访问所述目标服务提供方的信息。

可选的，所述程序的细化功能和扩展功能可参照上文描述。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。