(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210559425.0 (22)申请日 2022.05.23 (71)申请人 南京理工大 学 地址 210094 江苏省南京市玄武区孝陵卫 200号 (72)发明人 苏铓　梅东　 (74)专利代理 机构 北京文慧专利代理事务所 (特殊普通 合伙) 11955 专利代理师 戴丽伟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/10(2022.01) H04L 67/12(2022.01) (54)发明名称 一种边缘计算环境下基于区块链的跨域访 问控制方法及系统 (57)摘要 本发明提出了一种边缘计算环境下基于区 块链的跨域访问控制方法及系统， 数据所有者通 过属性信息向域内的可信中心TC进行注册； 各域 管理员构建域间身份认证区块链IA_BC； 对共享 数据M进行加密处理， 获得数据存储地址； 将对称 密钥KS和数据存储地址进行加密后上传至数据 访问区块链DA_BC； 域间身份认 证区块链IA _BC对 数据用户进行身份验证并颁发跨域证书Cert (L)； 数据用户通过所述跨域证书Cert(L)访问目 标域中的数据访 问区块链DA_BC， 获得目标域的 对称密钥KS和数据存储地址， 并最终获得共享数 据M的明文。 本发明通过域间区块链完成跨域证 书颁发和用户身份认证， 用户的访问行为以及认 证授权结果都不可篡改 的记录在区块链上， 实现 了去中心、 透明可溯源的跨 域访问控制。 权利要求书3页 说明书9页 附图4页 CN 114866328 A 2022.08.05 CN 114866328 A 1.一种边 缘计算环境下基于区块链的跨 域访问控制方法， 其特 征在于， 所述方法包括： 数据所有者 通过属性信息向域内的可信中心TC进行注 册获得公私钥 信息； 各域管理员在各域内的边缘云中心EC设立跨域节点， 构 建域间身份认证区块链IA_BC， 并建立跨域服务； 数据所有 者通过对称密钥KS对共享数据M进行加密处理后上传至边缘 云中心EC， 获得边 缘云中心E C返回的数据存 储地址； 数据所有 者和边缘 云中心EC共同将对称密钥KS和数据存储地址进行加密后上传至 数据 所有者所在域内的数据访问区块链DA_BC； 域间身份认证区块链IA_BC通过数据用户的属性信息和公私钥信息对数据用户进行身 份验证并颁发跨 域证书Cer t(L)； 数据用户通过所述跨域证书Cert(L)访问目标域中的数据访问区块链DA_BC， 获得目标 域的对称密钥KS和数据存储地址， 并根据所述目标域的对称密钥KS和数据存储地址获得共 享数据M的明文。 2.根据权利要求1所述的方法， 其特征在于， 所述数据所有者通过属性信 息向域内的可 信中心TC进行注 册获得公私钥 信息的过程包括： 数据所有者将所有者属性发送至域内的可信中心TC， 并向域内的可信中心TC发出注册 请求； 可信中心TC根据所述数据所有者的所有者属性生成公钥PK和私钥MK， 并将所述公钥PK 返回至数据所有者。 3.根据权利要求2所述的方法， 其特征在于， 所述各域管理员在各域内的边缘云中心EC 设立跨域节点， 构建域间身份认证区块链IA_BC， 并建立 跨域服务的过程包括： 各域管理员设置各域的跨 域节点； 以各域的跨域节点为域间区块链节点在各域的边缘云中心EC之间构建域间身份认证 区块链IA_BC； 设置各域之间的属性映射和跨 域身份认证服 务的智能合约， 完成跨 域服务建立。 4.根据权利要求3所述的方法， 其特征在于， 所述数据所有者和边缘云中心EC共同将对 称密钥KS和数据存储地址进行加密后上传至数据所有者所在域内的数据访问区块链DA_BC 的过程包括： 数据所有者对 对称密钥KS和数据存 储地址进行非密集型加密计算 生成密文CTNCI； 边缘云中心EC对对称密钥KS和数据存储地址进行密集型加密计算生成密文CTCI， 并将 所述密文CTCI返回至数据所有者； 数据所有者根据密文CTNCI和密文CTCI生成密文CT， 并将所述密文CT上传至数据所有者 所在域内的数据访问区块链DA_BC 。 5.根据权利要求4所述的方法， 其特征在于， 所述域间身份认证区块链IA_BC通过数据 用户的属性信息和公私钥信息对 数据用户进行身份验证并颁 发跨域证书Cert(L)的过程包 括： 数据用户向证书机构CA发送用户属性和公私钥 信息； 证书机构CA根据所述数据用户的用户属性和公私钥 信息颁发属性证书Cer t(R)； 数据用户使用所述属性证书Cert(R)向域内的边缘云中心EC发送跨域请求， 所述跨域权　利　要　求　书 1/3 页 2 CN 114866328 A 2请求中包 含目标域信息； 边缘云中心E C根据所述目标域信息判断访问类型； 当所述访问类型为域间访问时， 所述域间身份认证区块链IA_BC验证所述属性证书 Cert(R)的合法性； 属性证书Cert(R)合法性验证成功后， 域间身份认证区块链IA_BC根据所述各域之间的 属性映射进行 数据用户所在域与目标域之间的属性 转换， 生成跨 域证书Cer t(L)。 6.根据权利 要求5所述的方法， 其特征在于， 属性证书Cert(R)合法性验证失败时， 域间 身份认证区块链IA_BC向数据用户发送非法操作指示。 7.根据权利要求5所述的方法， 其特征在于， 所述数据用户通过所述跨域证书Cert(L) 访问目标域中的数据访问区块链DA_BC， 并获得目标域的对称密钥KS和数据存储地址， 并根 据所述目标域的对称密钥KS和数据存 储地址获得共享数据M的明文的过程包括： 目标域的可信中心TC通过所述跨域证书C ert(L)生成数据用户的属性密钥SKr和属性密 钥SKv， 目标域的边 缘云中心E C通过所述跨域证书Cer t(L)生成数据用户的属性密钥SKu； 目标域的可信中心TC根据所述属性密钥SKr、 属性密钥SKv和属性密钥SKu获得属性密 钥SK1， 并发送至数据用户； 域间身份认证区块链IA_BC通过目标域的边缘云中心EC向目标域的数据访问区块链 DA_BC发出 数据访问请求； 数据访问区块链DA_BC根据所述数据访问请求将加密的对称密钥KS和数据存储地址密 文CT发送至数据用户； 数据用户通过属性密钥SK1对所述密文CT进行解密后获得目标域的对称密钥KS和数据 存储地址的明文； 根据所述目标域的数据存储地址获得共享数据M的密文， 并根据所述目标域的对称密 钥KS对所述共享数据M的密文 进行解密后获得共享数据M的明文。 8.根据权利要求7所述的方法， 其特征在于， 所述数据用户通过属性密钥SK1对所述密 文CT进行解密后获得目标域的对称密钥KS和数据存 储地址的明文的过程包括： 数据用户所在域的边缘云中心EC通过属性密钥SKu对所述密文CT进行解密后获得中间 密文PTCI； 数据用户通过属性密钥SK1对所述中间密文PTCI进行解密后获得目标域的对称密钥KS 和数据存 储地址的明文。 9.根据权利要求7所述的方法， 其特征在于， 当访 问类型为域内访 问时， 数据用户所在 域的域内可信中心TC通过所述属性证书Cert(R)生 成属性密钥SK2， 数据用户通过属性密钥 SK2对域内的数据访问区块链DA_BC中所存储的密文CT进行解密后获得对称密钥KS和数据 存储地址的明文。 10.一种边缘计算环境下基于区块链的跨域访问控制系统， 其特征在于， 所述系统包 括： 可信中心TC、 边 缘云中心E C、 域间身份认证区块链IA_BC和数据访问区块链DA_BC； 数据所有者 通过属性信息向域内的可信中心TC进行注 册获得公私钥 信息； 各域管理员在各域内的边缘云中心EC设立跨域节点， 构 建域间身份认证区块链IA_BC， 并建立跨域服务； 数据所有 者通过对称密钥KS对共享数据M进行加密处理后上传至边缘 云中心EC， 获得边权　利　要　求　书 2/3 页 3 CN 114866328 A 3