移动边缘计算中基于区块链的跨域访问控制方法
阅读说明:本技术 移动边缘计算中基于区块链的跨域访问控制方法 (Cross-domain access control method based on block chain in mobile edge calculation ) 是由 林晖 胡嘉 汪晓丁 刘文新 于 2021-06-24 设计创作,主要内容包括:本发明公开了移动边缘计算中基于区块链的跨域访问控制方法;跨域请求用户端向其所在的源域内的网关节点发送跨域访问的跨域请求;源域内的网关节点对跨域请求用户端的域内信誉和综合信誉进行评估,并发送给目的域内的网关节点;目的域内的网关节点对接收到的跨域请求用户端的相关属性值进行验证评估,并返回将请求的结果;目的域同意所述跨域请求用户端的跨域请求后,则跨域请求用户端需要在目的域中的域内区块链上进行注册,以访问其所需要的资源;源域删除跨域请求用户端在源域的域内区块链上的数据资源访问权限;本发明以实现隐私保护为目标,利用区块链技术,来实现动态的信誉评估和跨域数据资源访问,保护不同域内数据资源的安全性。(The invention discloses a block chain-based cross-domain access control method in mobile edge calculation; a cross-domain request user side sends a cross-domain request of cross-domain access to a gateway node in a source domain where the cross-domain request user side is located; the gateway node in the source domain evaluates the in-domain credit and the comprehensive credit of the cross-domain request user side and sends the in-domain credit and the comprehensive credit to the gateway node in the target domain; the gateway node in the target domain verifies and evaluates the received related attribute value of the cross-domain request user side and returns a request result; after the target domain agrees with the cross-domain request of the cross-domain request user terminal, the cross-domain request user terminal needs to register on the intra-domain block chain in the target domain to access the required resources; deleting the data resource access authority of the cross-domain request user side on the intra-domain block chain of the source domain by the source domain; the invention aims to realize privacy protection, and utilizes the block chain technology to realize dynamic credit evaluation and cross-domain data resource access and protect the safety of data resources in different domains.)
技术领域
本发明涉及区块链技术和访问控制技术领域,尤其涉及一种移动边缘计算中基于区块链的跨域访问控制方法。
背景技术
随着移动边缘计算(MEC)技术的快速发展,基于MEC的新型服务模式和业务将呈现爆炸性增长趋势,而其中所产生的数据量也呈爆炸式的增长。然而,基于MEC的新型服务模式中存在着固有的安全威胁,尤其是数据访问期间的数据安全威胁。这些安全威胁将导致资源数据的未经授权/越权访问、被篡改和泄露等问题,从而影响数据的机密性和完整性。
Ma等(Ma M,Shi G,Li F.Privacy-oriented blockchain-based distributedkey management architecture for hierarchical access control in the IoTscenario[J].IEEE Access,2019,7:34045-34059.)提出了一种基于区块链的分布式密钥管理机制,在云中运行多个区块链以实现跨域访问,并引入了多种权限分配和组访问模式以增强可扩展性。Gauhar等(Gauhar A,Ahmad N,Cao Y,et al.xDBAuth:Blockchain basedcross domain authentication and authorization framework for Internet ofThings[J].IEEE Access,2020,8:58800-58816.)提出了一种基于分布式区块链的跨域权限委派的访问控制机制xDBAuth,基于本地和全局智能合约为内外部用户提供访问权限。Sun等(Sun S,Chen S,Du R.Trusted and Efficient Cross-Domain Access ControlSystem Based on Blockchain[J].Scientific Programming,2020.doi:10.1155/2020/8832568.)提出了一种基于区块链的可信跨域访问控制系统,基于角色映射规则和访问策略,利用区块链技术为实现用户认证和可靠的跨域访问控制。Zhu等(Zhu X,Zheng J,RenB,et al.MicrothingsChain:Blockchain-based Controlled Data Sharing Platform inMulti-domain IoT[J].Journal of Networking and Network Applications,2021,1(1):19-27.)提出了一种多域数据共享机制,使得不同应用程序之间的异构数据可以通过区块链实现域内和跨域的访问。
现有的访问控制方法存在策略粗颗粒度、可扩展性和准确性差、缺少内部攻击考虑等缺点,不能满足MEC实际应用中数据安全性的需求。因此,结合移动边缘计算的特点,设计出基于跨域的访问控制方法成为本领域技术人员亟待解决的技术课题。
发明内容
本发明所要解决的技术问题是:提供移动边缘计算中基于区块链的跨域访问控制方法。
为了解决上述技术问题,本发明采用的技术方案为:
移动边缘计算中基于区块链的跨域访问控制方法,包括步骤:
S1、跨域请求用户端向其所在的源域内的网关节点发送跨域访问的跨域请求,以请求目的域内的数据资源;
S2、所述源域内的网关节点对所述跨域请求用户端的域内信誉和综合信誉进行评估,并将所述跨域请求用户端的所述综合信誉以统一格式发送给所述目的域内的网关节点;
S3、所述目的域内的网关节点对接收到的所述跨域请求用户端的相关属性值进行验证评估,并将是否同意跨域请求的结果返回至所述源域的网关节点,所述源域内的网关节点将评估结果返回给所述跨域请求用户端;
S4、所述目的域同意跨域请求用户端的跨域请求后,则所述跨域请求用户端需要在所述目的域中的域内区块链上进行注册,以访问其所需要的资源;
S5、所述源域删除所述跨域请求用户端在所述源域的域内区块链上的数据资源访问权限。
本发明的有益效果在于:本发明通过根据用户行为动态评估所述跨域请求用户端的信誉值,处理跨域请求,并通过区块链跨链技术实现不同域内用户的跨域数据资源访问。同时采用多级区块链,来实现对于不同安全级别数据的分级访问。
附图说明
图1为本发明实施例的一种移动边缘计算中基于区块链的跨域访问控制方法的流程示意图;
图2为本发明实施例的一种移动边缘计算中基于区块链的跨域访问控制方法的流程图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
本发明最关键的构思在于:通过根据用户行为动态评估所述跨域请求用户端的信誉值,处理跨域请求,并通过区块链跨链技术实现不同域内用户的跨域数据资源访问,同时采用多级区块链,来实现对于不同安全级别数据的分级访问。
请参照图1以及图2,移动边缘计算中基于区块链的跨域访问控制方法,包括步骤:
S1、跨域请求用户端向其所在的源域内的网关节点发送跨域访问的跨域请求,以请求目的域内的数据资源;
S2、所述源域内的网关节点对所述跨域请求用户端的域内信誉和综合信誉进行评估,并将所述跨域请求用户端的所述综合信誉以统一格式发送给所述目的域内的网关节点;
S3、所述目的域内的网关节点对接收到的所述跨域请求用户端的相关属性值进行验证评估,并将是否同意跨域请求的结果返回至所述源域的网关节点,所述源域内的网关节点将评估结果返回给所述跨域请求用户端;
S4、所述目的域同意所述跨域请求用户端的请求后,则所述跨域请求用户端需要在所述目的域中的域内区块链上进行注册,以访问其所需要的资源;
S5、所述源域删除所述跨域请求用户端在所述源域的域内区块链上的数据资源访问权限。
进一步地,所述源域和目的域的域内实体包含所述域内区块链和所述网关节点。
进一步地,所述跨域访问即为跨不同区域内的域内链访问。
进一步地,所述域内区块链为多通道区块链,实现不同安全级别的数据隔离,用户只能访问符合其所在通道安全级别的数据。
进一步地,所述源域内的网关节点和所述目的域内的网关节点均为域内网关节点;
所述域内网关节点通过信誉评估智能合约对所述跨域请求用户端的信誉值进行更新;
所述步骤S2具体包括:
S21、当所述源域内的网关节点收到所述跨域请求用户端的所述跨域请求时,信誉评估智能合约根据公式(1)、(2)更新所述跨域请求用户端当前的域内信誉值Rdis;
Rdis=Rsum+ξ (1)
其中,ξ是所述跨域请求用户端的信誉动态变化值,m为数据级别的总类别数,κs和κf是不同数据级别针对访问成功和访问失败所设定的权重,AFs和AFf分别是不同数据级别所对应的用户访问成功和失败的次数,AFtotal则是不同数据级别用户访问的总次数,Rsum是所述跨域请求用户端在源域内的原始信誉值;
S22、所述源域内的网关节点调用信誉评估智能合约,根据公式(3)计算所述跨域请求用户端的综合信誉值Rsyn;
其中,k是所述跨域请求用户端所在过的区域数量,pl和plmax分别是所述跨域请求用户端在所述源域内的优先度以及所述源域的最大优先度,Rdis是所述跨域请求用户端在所述源域的域内信誉值;
S23、所述源域内的网关节点将所述跨域请求用户端的综合信誉值发送给所述目的域内的网关节点,待其进行评估验证。
进一步地,所述目的域内的网关结点调用交互链中的跨域智能合约进行对所述跨域请求进行评估;
所述步骤S3具体包括:
S31、所述跨域智能合约首先对所述跨域请求用户端所在的所述源域进行判断,判断所述源域是否属于所述目的域的子域;
S32、若所述源域属于所述目的域的子域,则进一步判断所述跨域请求用户端的综合信誉值Rsyn是否满足所述目的域所设置的对域内阈值σ1要求,若满足,同意所述跨域请求用户端的所述跨域请求;否则,拒绝所述跨域请求用户端的所述跨域请求;
S33、若所述源域不属于所述目的域的子域,则所述跨域智能合约判断所述跨域请求用户端的跨域属性项与所述目的域所设定的属性项是否匹配,若不匹配拒绝所述跨域请求,若匹配则进入步骤S34;
S34、所述跨域智能合约进一步判断所述跨域请求用户端的综合信誉值是否满足所述目的域设置的对域外阈值σ2,其中所述对域外阈值大于对所述域内阈值,即σ2>σ1。若满足,同意该所述跨域请求用户端的所述跨域请求;否则,拒绝所述跨域请求用户端的所述跨域请求;
S35、所述目的域将所述跨域请求用户端的跨域请求结果发送至所述源域的网关节点,所述源域的网关节点将此转发给所述跨域请求用户端。
进一步地,所述步骤S4中,用户所在通道的安全级别决定了其能够访问数据的权限,用户只能访问与其所在通道安全级别符合的数据资源,且对于同一安全级别下的数据,具有高优先度的用户将会先获得对数据的访问权。
进一步地,所述步骤S5具体包括:
所述目的域内的网关节点需在交互链上以广播的形式通知其他所述边缘区域,所述跨域请求用户端已在此区域中,并在链上记录所述跨域请求用户端的当前跨域信誉值Qdis,所述源域将所述跨域请求用户端对所述源域内数据的访问权限进行清除。
由上述描述可知,本发明应用于移动边缘计算中的跨域访问,以实现隐私保护为目标,利用区块链技术,来实现动态的信誉评估和跨域数据资源访问,保护不同域内数据资源的安全性。
请参照图1和图2,本发明的实施例一为:
移动边缘计算中基于区块链的跨域访问控制方法,所定义的系统模型如下:每个MEC边缘区域内维护一个域内区块链以及一个网关节点,域内区块链用于管理用户对该域数据资源的访问,网关节点用于对数据的验证。每个MEC边缘区域间维护一个交互链,用于实现用户的跨链请求。
如图2所示,移动边缘计算中基于区块链的跨域访问控制方法,包括步骤:
S1、跨域请求用户端向其所在的源域内的网关节点发送跨域访问的跨域请求,以请求目的域内的数据资源;
转入步骤S2;
S2、所述源域内的网关节点对所述跨域请求用户端的域内信誉和综合信誉进行评估,并将所述跨域请求用户端的所述综合信誉以统一格式发送给所述目的域内的网关节点;
所述步骤S2具体包括:
S21、当所述源域内的网关节点收到所述跨域请求用户端的所述跨域请求时,信誉评估智能合约根据公式(1)、(2)更新所述跨域请求用户端当前的域内信誉值Rdis;
Rdis=Rsum+ξ (1)
其中,ξ是所述跨域请求用户端的信誉动态变化值,m为数据级别的总类别数,κs和κf是不同数据级别针对访问成功和访问失败所设定的权重,AFs和AFf分别是不同数据级别所对应的用户访问成功和失败的次数,AFtotal则是不同数据级别用户访问的总次数,Rsum是所述跨域请求用户端在源域内的原始信誉值;
S22、所述源域内的网关节点调用信誉评估智能合约,根据公式(3)计算所述跨域请求用户端的综合信誉值Rsyn;
其中,k是所述跨域请求用户端所在过的区域数量,pl和plmax分别是所述跨域请求用户端在所述源域内的优先度以及所述源域的最大优先度,Rdis是所述跨域请求用户端在所述源域的域内信誉值;
S23、所述源域内的网关节点将所述跨域请求用户端的综合信誉值发送给所述目的域内的网关节点,待其进行评估验证。
转入步骤S3;
S3、所述目的域内的网关节点对接收到的所述跨域请求用户端的相关属性值进行验证评估,并将是否同意跨域请求的结果返回至所述源域的网关节点,所述源域内的网关节点将评估结果返回给所述跨域请求用户端;
所述步骤S3具体包括:
S31、所述跨域智能合约首先对所述跨域请求用户端所在的所述源域进行判断,判断所述源域是否属于所述目的域的子域;
S32、若所述源域属于所述目的域的子域,则进一步判断所述跨域请求用户端的综合信誉值Rsyn是否满足所述目的域所设置的对域内阈值σ1要求,若满足,同意所述跨域请求用户端的所述跨域请求;否则,拒绝所述跨域请求用户端的所述跨域请求;
S33、若所述源域不属于所述目的域的子域,则所述跨域智能合约判断所述跨域请求用户端的跨域属性项与所述目的域所设定的属性项是否匹配,若不匹配拒绝所述跨域请求,若匹配则进入步骤S34;
S34、所述跨域智能合约进一步判断所述跨域请求用户端的综合信誉值是否满足所述目的域设置的对域外阈值σ2,其中所述对域外阈值大于对所述域内阈值,即σ2>σ1。若满足,同意该所述跨域请求用户端的所述跨域请求;否则,拒绝所述跨域请求用户端的所述跨域请求;
S35、所述目的域将所述跨域请求用户端的跨域请求结果发送至所述源域的网关节点,所述源域的网关节点将此转发给所述跨域请求用户端。
转入步骤S4;
S4、所述目的域同意所述跨域请求用户端的请求后,则所述跨域请求用户端需要在所述目的域中的域内区块链上进行注册,以访问其所需要的资源;
所述步骤S4中,用户所在通道的安全级别决定了其能够访问数据的权限,用户只能访问与其所在通道安全级别符合的数据资源,且对于同一安全级别下的数据,具有高优先度的用户将会先获得对数据的访问权。
转入步骤S5;
S5、所述源域删除所述跨域请求用户端在所述源域的域内区块链上的数据资源访问权限;
所述步骤S5具体包括:
所述目的域内的网关节点需在交互链上以广播的形式通知其他所述边缘区域,所述跨域请求用户端已在此区域中,并在链上记录所述跨域请求用户端的当前跨域信誉值Qdis,所述源域将所述跨域请求用户端对所述源域内数据的访问权限进行清除。
综上所述,本发明提供的移动边缘计算中基于区块链的跨域访问控制方法,具有以下有益效果:
(1)每个边缘区域维护一个域内区块链,并在此基础架构上构建交互链,通过不同边缘区域网关节点之间的协作,实现不同区域间的用户跨域访问。
(2)通过智能合约动态评估用户信誉;同时根据用户安全级别分配不同的优先度,激励用户规范访问行为以提高自身信誉。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种利用隐藏服务器防止网络攻击的方法