大数据区块链的可信机制权限管理方法和系统.pdf

《大数据区块链的可信机制权限管理方法和系统.pdf》由会员分享，可在线阅读，更多相关《大数据区块链的可信机制权限管理方法和系统.pdf（25页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010809486.9 (22)申请日 2020.08.12 (71)申请人 北京大学 地址 100871 北京市海淀区颐和园路5号 (72)发明人 黄罡胡凌绚姜海鸥蔡华谦 (74)专利代理机构 北京润泽恒知识产权代理有 限公司 11319 代理人 苟冬梅 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种大数据区块链的可信机制权限管理方 法和系统 (57)摘要 本发明实施例提供了一种大数据区块链的 可信机制权限管理方法和系统， 所述方法。

2、具体是 将系统资源划分为用户角色资源、 数据资源、 节 点资源； 基于RTBAC模型中的RBAC模块获取用户 的当前角色， 并获取所述当前角色的操作权限值 范围； 监测用户在所述操作系统中的操作行为， 基于所述RBAC模块， 依据所述当前角色的操作权 限值范围， 检测用户的当前角色对所述操作是否 具有角色操作权限； 基于所述RTBAC模型中的 TBAC模块， 在合约实例或任务实例的运行中， 检 测所述合约实例或任务实例的任务操作权限； 基 于所述RTBAC模型， 用户在被授权的操作权限范 围内完成所述操作。 本发明实施例提供的权限管 理方法和系统， 用于提高大数据区块链中数据资 源可信流通的访。

3、问正确率和管理效率。 权利要求书3页 说明书16页 附图5页 CN 112118224 A 2020.12.22 CN 112118224 A 1.一种大数据区块链的可信机制权限管理方法， 其特征在于， 所述方法包括： 预先将所述大数据区块链中的系统资源划分为用户角色资源、 数据资源、 节点资源； 监测用户在大数据区块链操作系统中的登录行为， 基于R-TBAC模型中的RBAC模块获取 用户的当前角色， 并获取所述用户的当前角色在所述大数据区块链中的操作权限值范围； 监测用户在所述大数据区块链中的操作行为， 基于所述RBAC模块， 依据所述当前角色 的操作权限值范围， 检测用户的当前角色对所述操。

4、作是否具有角色操作权限； 若所述用户 的当前角色不具有所述角色操作权限， 则根据所述操作需要的操作权限值， 提醒用户进行 相应的用户角色的认证； 若所述用户的当前角色具有所述角色操作权限， 则完成所述操作， 或者， 创建并运行相应的合约实例或任务实例； 所述合约实例为所述数据资源对所述节点 资源的访问进程， 所述任务实例为所述用户角色资源对所述数据资源的访问进程； 基于所述R-TBAC模型中的TBAC模块， 在所述合约实例或任务实例的运行中， 检测所述 合约实例或任务实例的任务操作权限； 若所述合约实例或任务实例不具有所述任务操作权 限， 则所述合约实例或任务实例申请或者添加所述任务操作权限；。

5、 若所述合约实例或任务 实例具有所述任务操作权限， 则所述合约实例或任务实例正常运行， 完成所述操作； 基于所述R-TBAC模型， 用户在被授权的角色操作权限和任务操作权限范围内完成所述 操作； 所述R-TBAC模型， 基于预先设计的不同的动态约束规则， 分别对所述模型中的各类映 射关系集合进行授权管理。 2.根据权利要求1所述的方法， 其特征在于， 所述用户角色资源包括： 准入管理员 (CenterManager)、 节点管理员(Node Manager)、 智能合约管理员(Smart Contract Instance Manager)、 智能合约提供者(Smart Contract Pr。

6、ovider)、 智能合约使用者 (Smart ContractUser)、 匿名用户(Anonymous)； 所述数据资源包括： 智能合约代码、 合约实例、 合约运行时信息、 智能合约日志； 所述节点资源包括： CPU、 I/O、 网络、 存储器。 3.根据权利要求1所述的方法， 其特征在于， 监测用户在大数据区块链操作系统中的登 录行为， 基于R-TBAC模型中的RBAC模块获取用户的当前角色， 并获取所述用户的当前角色 在所述大数据区块链中的操作权限值范围， 包括： 通过用户的签名认证， 检测所述用户是否首次登录； 如果用户不是首次登录， 则从用户 管理数据库中获取用户的当前角色； 如果。

7、用户是首次登录， 则获取会话ID和当前公私钥信 息， 根据当前公私钥签名验证的过程， 确定用户当前是合法节点， 再从用户管理数据库查找 公钥， 获取用户的当前角色； 所述用户的当前角色， 基于不同用户在节点上提供功能和工作 流程的关系， 按角色的最小特权原则进行划分， 以此减少所有角色的操作权限值范围的重 叠和遗漏； 如果所述用户管理数据库中没有公钥， 则将用户的公钥存入用户管理数据库并标记为 默认的当前角色， 获取用户默认的当前角色； 所述默认的当前角色， 根据所述大数据区块链 的分布场景进行预先部署， 具体包括： 准入管理员(CenterManager)和节点管理员(Node Manage。

8、r)； 将所述用户的当前角色在所述大数据区块链的操作权限值复制给用户， 以使当前用户 可以进行所述操作权限值范围内的操作； 对所述所有角色对应的操作权限值范围进行整理， 以此减少所述所有角色的操作权限 权利要求书 1/3 页 2 CN 112118224 A 2 值范围的重叠和遗漏， 包括： 为冲突操作或不相容操作分配两个或者两个以上不相关的角 色进行对应。 4.根据权利要求1所述的方法， 其特征在于， 所述操作行为对应的操作包括： 认证节点管理员加入网络、 查看节点管理员的状态、 查看申请授权列表、 查看可信执行 集群列表、 分配可信执行集群、 认证节点角色、 查看已授权未授权用户、 启动合。

9、约、 停止合 约、 执行合约、 上传合约、 下载合约、 删除合约、 查看合约代码统计数据、 静态分析、 查看合约 进程、 查看合约权限、 查看合约状态、 查看合约日志、 查看节点状态、 查看节点日志、 回滚、 备 份、 迁移、 配置节点信息。 5.根据权利要求1所述的方法， 其特征在于， 基于所述R-TBAC模型中的TBAC模块， 在所 述合约实例或任务实例的运行中， 检测所述合约实例或任务实例的任务操作权限； 若所述 合约实例或任务实例不具有所述任务操作权限， 则所述合约实例或任务实例申请或者添加 所述任务操作权限； 若所述合约实例或任务实例具有所述任务操作权限， 则所述合约实例 或任务实例。

10、正常运行， 完成所述操作， 包括： 将所述合约实例或任务实例从不同的任务组合而成的工作流中抽象出来， 授予运行时 的合约实例或任务实例相应的任务操作权限， 所述任务操作权限随着所述合约实例或任务 实例的上下文环境改变而改变， 随着所述合约实例或任务实例的执行， 授权步通过自治管 理改变内部参数或者状态， 所述状态包括： 睡眠状态、 激活状态、 有效状态、 挂起状态、 无效 状态； 所述任务按照 “任务被执行时所需的最小权限原则” 和 “任务与任务之间职责分离原 则” 进行划分。 6.一种大数据区块链的可信机制权限管理系统， 其特征在于， 所述系统包括： 资源分类模块， 用于预先将所述大数据区块。

11、链中的系统资源划分为用户角色资源、 数 据资源、 节点资源； 角色获取模块， 用于监测用户在大数据区块链操作系统中的登录行为， 基于R-TBAC模 型中的RBAC模块获取用户的当前角色， 并获取所述用户的当前角色在所述大数据区块链中 的操作权限值范围； 角色处理模块， 用于监测用户在所述大数据区块链中的操作行为， 基于所述RBAC模块， 依据所述当前角色的操作权限值范围， 检测用户的当前角色对所述操作是否具有角色操作 权限； 若所述用户的当前角色不具有所述角色操作权限， 则根据所述操作需要的操作权限 值， 提醒用户进行相应的用户角色的认证； 若所述用户的当前角色具有所述角色操作权限， 则完成所。

12、述操作， 或者， 创建并运行相应的合约实例或任务实例； 所述合约实例为所述数据 资源对所述节点资源的访问进程， 所述任务实例为所述用户角色资源对所述数据资源的访 问进程； 任务处理模块， 用于基于所述R-TBAC模型中的TBAC模块， 在所述合约实例或任务实例 的运行中， 检测所述合约实例或任务实例的任务操作权限； 若所述合约实例或任务实例不 具有所述任务操作权限， 则所述合约实例或任务实例申请或者添加所述任务操作权限； 若 所述合约实例或任务实例具有所述任务操作权限， 则所述合约实例或任务实例正常运行， 完成所述操作； 总控模块， 用于基于所述R-TBAC模型， 用户在被授权的角色操作权限和。

13、任务操作权限 范围内完成所述操作； 所述R-TBAC模型， 基于预先设计的不同的动态约束规则， 分别对所述 权利要求书 2/3 页 3 CN 112118224 A 3 模型中的各类映射关系集合进行授权管理。 7.根据权利要求6所述的系统， 其特征在于， 所述用户角色资源包括： 准入管理员 (CenterManager)、 节点管理员(Node Manager)、 智能合约管理员(Smart Contract Instance Manager)、 智能合约提供者(Smart Contract Provider)、 智能合约使用者 (Smart ContractUser)、 匿名用户(Anony。

14、mous)； 所述数据资源包括： 智能合约代码、 合约实例、 合约运行时信息、 智能合约日志； 所述节点资源包括： CPU、 I/O、 网络、 存储器。 8.根据权利要求6所述的系统， 其特征在于， 所述角色获取模块， 包括： 登录模块， 用于通过用户的签名认证， 检测所述用户是否首次登录； 角色分配模块， 用于如果用户不是首次登录， 则从用户管理数据库中获取用户的当前 角色； 如果用户是首次登录， 则获取会话ID和当前公私钥信息， 根据当前公私钥签名验证的 过程， 确定用户当前是合法节点， 再从用户管理数据库查找公钥， 获取用户的当前角色； 角色划分模块， 用于基于不同用户在节点上提供功能和。

15、工作流程的关系， 对所述用户 的当前角色， 按角色的最小特权原则进行划分， 以此减少所有角色的操作权限值范围的重 叠和遗漏； 公钥存储模块， 用于如果所述用户管理数据库中没有公钥， 则将用户的公钥存入用户 管理数据库并标记为默认的当前角色， 获取用户默认的当前角色； 所述默认的当前角色， 根 据所述大数据区块链的分布场景进行预先部署， 具体包括： 准入管理员(CenterManager)和 节点管理员(Node Manager)； 权限授予模块， 用于将所述用户的当前角色在所述大数据区块链的操作权限值复制给 当前用户， 以使当前用户可以进行所述操作权限值范围内的操作； 权限整理模块， 用于对所。

16、述所有角色对应的操作权限值范围进行整理， 以此减少所述 所有角色的操作权限值范围的重叠和遗漏， 包括： 为冲突操作或不相容操作分配两个或者 两个以上不相关的角色进行对应。 9.根据权利要求6所述的系统， 其特征在于， 所述操作行为对应的操作包括： 认证节点管理员加入网络、 查看节点管理员的状态、 查看申请授权列表、 查看可信执行 集群列表、 分配可信执行集群、 认证节点角色、 查看已授权未授权用户、 启动合约、 停止合 约、 执行合约、 上传合约、 下载合约、 删除合约、 查看合约代码统计数据、 静态分析、 查看合约 进程、 查看合约权限、 查看合约状态、 查看合约日志、 查看节点状态、 查看。

17、节点日志、 回滚、 备 份、 迁移、 配置节点信息。 10.根据权利要求6所述的系统， 其特征在于， 所述任务处理模块， 包括： 将所述合约实例或任务实例从不同的任务组合而成的工作流中抽象出来， 授予运行时 的合约实例或任务实例相应的任务操作权限， 所述任务操作权限随着所述合约实例或任务 实例的上下文环境改变而改变， 随着所述合约实例或任务实例的执行， 授权步通过自治管 理改变内部参数或者状态， 所述状态包括： 睡眠状态、 激活状态、 有效状态、 挂起状态、 无效 状态； 所述任务按照 “任务被执行时所需的最小权限原则” 和 “任务与任务之间职责分离原 则” 进行划分。 权利要求书 3/3 页。

18、 4 CN 112118224 A 4 一种大数据区块链的可信机制权限管理方法和系统 技术领域 0001 本发明涉及大数据区块链技术领域， 特别是涉及一种大数据区块链的可信机制权 限管理方法和一种大数据区块链的可信机制权限管理系统。 背景技术 0002 访问控制是指允许特定的授权主体对象对客体对象进行访问， 同时可以阻止为没 有授权的主体提供服务的一种策略。 即， 对 “谁可以访问什么数据资源” 、“谁对数据资源可 以进行操作” 、“可以进行什么样的操作” 等一系列问题的相关访问权限进行管理。 0003 在当下大数据区块链的访问控制应用场景中， 一个用户可能会有两个及以上的身 份信息， 身份信。

19、息还有可能发生重叠， 导致访问的授权异常； 同时， 被操作对象除了CPU、 网 络等硬件资源， 还有多源实时交互的智能合约日志、 合约运行时信息等数据资源， 面对大数 据区块链中众多维度的各类资源， 现有的访问控制模型所具备的权限管理机制不能覆盖复 杂多样的应用场景， 无法满足各类资源之间的访问控制需求， 也不适用于各类数据资源的 可信流通， 存在访问授权正确率不高、 权限管理效率低下、 数据的安全性不足等问题。 发明内容 0004 鉴于上述问题， 提出了本发明实施例提供一种克服上述问题或者至少部分地解决 上述问题的一种大数据区块链的可信机制权限管理方法和一种大数据区块链的可信机制 权限管理系。

20、统。 0005 为了解决上述问题， 本发明实施例提供了一种大数据区块链的可信机制权限管理 方法， 所述方法包括： 预先将所述大数据区块链中的系统资源划分为用户角色资源、 数据资 源、 节点资源； 监测用户在大数据区块链操作系统中的登录行为， 基于R-TBAC模型中的RBAC 模块获取用户的当前角色， 并获取所述用户的当前角色在所述大数据区块链中的操作权限 值范围； 监测用户在所述大数据区块链中的操作行为， 基于所述RBAC模块， 依据所述当前角 色的操作权限值范围， 检测用户的当前角色对所述操作是否具有角色操作权限； 若所述用 户的当前角色不具有所述角色操作权限， 则根据所述操作需要的操作权限。

21、值， 提醒用户进 行相应的用户角色的认证； 若所述用户的当前角色具有所述角色操作权限， 则完成所述操 作， 或者， 创建并运行相应的合约实例或任务实例； 所述合约实例为所述数据资源对所述节 点资源的访问进程， 所述任务实例为所述用户角色资源对所述数据资源的访问进程； 基于 所述R-TBAC模型中的TBAC模块， 在所述合约实例或任务实例的运行中， 检测所述合约实例 或任务实例的任务操作权限； 若所述合约实例或任务实例不具有所述任务操作权限， 则所 述合约实例或任务实例申请或者添加所述任务操作权限； 若所述合约实例或任务实例具有 所述任务操作权限， 则所述合约实例或任务实例正常运行， 完成所述操。

22、作； 基于所述R-TBAC 模型， 用户在被授权的角色操作权限和任务操作权限范围内完成所述操作； 所述R-TBAC模 型， 基于预先设计的不同的动态约束规则， 分别对所述模型中的各类映射关系集合进行授 权管理。 说明书 1/16 页 5 CN 112118224 A 5 0006 可选地， 所述用户角色资源包括： 准入管理员(CenterManager)、 节点管理员(Node Manager)、 智能合约管理员(Smart Contract Instance Manager)、 智能合约提供者(Smart Contract Provider)、 智能合约使用者(Smart Contract 。

23、User)、 匿名用户(Anonymous)； 0007 所述数据资源包括： 智能合约代码、 合约实例、 合约运行时信息、 智能合约日志； 0008 所述节点资源包括： CPU、 I/O、 网络、 存储器。 0009 可选地， 监测用户在大数据区块链操作系统中的登录行为， 基于R-TBAC模型中的 RBAC模块获取用户的当前角色， 并获取所述用户的当前角色在所述大数据区块链中的操作 权限值范围， 包括： 0010 通过用户的签名认证， 检测所述用户是否首次登录； 如果用户不是首次登录， 则从 用户管理数据库中获取用户的当前角色； 如果用户是首次登录， 则获取会话ID和当前公私 钥信息， 根据当。

24、前公私钥签名验证的过程， 确定用户当前是合法节点， 再从用户管理数据库 查找公钥， 获取用户的当前角色； 所述用户的当前角色， 基于不同用户在节点上提供功能和 工作流程的关系， 按角色的最小特权原则进行划分， 以此减少所有角色的操作权限值范围 的重叠和遗漏； 0011 如果所述用户管理数据库中没有公钥， 则将用户的公钥存入用户管理数据库并标 记为默认的当前角色， 获取用户默认的当前角色； 所述默认的当前角色， 根据所述大数据区 块链的分布场景进行预先部署， 具体包括： 准入管理员(CenterManager)和节点管理员 (Node Manager)； 0012 将所述用户的当前角色在所述大数。

25、据区块链的操作权限值复制给当前用户， 以使 当前用户可以进行所述操作权限值范围内的操作； 0013 对所述所有角色对应的操作权限值范围进行整理， 以此减少所述所有角色的操作 权限值范围的重叠和遗漏， 包括： 为冲突操作或不相容操作分配两个或者两个以上不相关 的角色进行对应。 0014 可选地， 所述操作行为对应的操作包括： 0015 认证节点管理员加入网络、 查看节点管理员的状态、 查看申请授权列表、 查看可信 执行集群列表、 分配可信执行集群、 认证节点角色、 查看已授权未授权用户、 启动合约、 停止 合约、 执行合约、 上传合约、 下载合约、 删除合约、 查看合约代码统计数据、 静态分析、。

26、 查看合 约进程、 查看合约权限、 查看合约状态、 查看合约日志、 查看节点状态、 查看节点日志、 回滚、 备份、 迁移、 配置节点信息。 0016 可选地， 基于所述R-TBAC模型中的TBAC模块， 在所述合约实例或任务实例的运行 中， 检测所述合约实例或任务实例的任务操作权限； 若所述合约实例或任务实例不具有所 述任务操作权限， 则所述合约实例或任务实例申请或者添加所述任务操作权限； 若所述合 约实例或任务实例具有所述任务操作权限， 则所述合约实例或任务实例正常运行， 完成所 述操作， 还包括： 0017 将所述合约实例或任务实例从不同的任务组合而成的工作流中抽象出来， 授予运 行时的合。

27、约实例或任务实例相应的任务操作权限， 所述任务操作权限随着所述合约实例或 任务实例的上下文环境改变而改变， 随着所述合约实例或任务实例的执行， 授权步通过自 治管理改变内部参数或者状态， 所述状态包括： 睡眠状态、 激活状态、 有效状态、 挂起状态、 无效状态； 所述任务按照 “任务被执行时所需的最小权限原则” 和 “任务与任务之间职责分 说明书 2/16 页 6 CN 112118224 A 6 离原则” 进行划分。 0018 本发明实施例还提供了一种大数据区块链的可信机制权限管理系统， 所述系统具 体包括： 0019 资源分类模块， 用于预先将所述大数据区块链中的系统资源划分为用户角色资 。

28、源、 数据资源、 节点资源； 0020 角色获取模块， 用于监测用户在大数据区块链操作系统中的登录行为， 基于R- TBAC模型中的RBAC模块获取用户的当前角色， 并获取所述用户的当前角色在所述大数据区 块链中的操作权限值范围； 0021 角色处理模块， 用于监测用户在所述大数据区块链中的操作行为， 基于所述RBAC 模块， 依据所述当前角色的操作权限值范围， 检测用户的当前角色对所述操作是否具有角 色操作权限； 若所述用户的当前角色不具有所述角色操作权限， 则根据所述操作需要的操 作权限值， 提醒用户进行相应的用户角色的认证； 若所述用户的当前角色具有所述角色操 作权限， 则完成所述操作，。

29、 或者， 创建并运行相应的合约实例或任务实例； 所述合约实例为 所述数据资源对所述节点资源的访问进程， 所述任务实例为所述用户角色资源对所述数据 资源的访问进程； 0022 任务处理模块， 用于基于所述R-TBAC模型中的TBAC模块， 在所述合约实例或任务 实例的运行中， 检测所述合约实例或任务实例的任务操作权限； 若所述合约实例或任务实 例不具有所述任务操作权限， 则所述合约实例或任务实例申请或者添加所述任务操作权 限； 若所述合约实例或任务实例具有所述任务操作权限， 则所述合约实例或任务实例正常 运行， 完成所述操作； 0023 总控模块， 用于基于所述R-TBAC模型， 用户在被授权的。

30、角色操作权限和任务操作 权限范围内完成所述操作； 所述R-TBAC模型， 基于预先设计的不同的动态约束规则， 分别对 所述模型中的各类映射关系集合进行授权管理。 0024 可选地， 所述用户角色资源包括： 准入管理员(CenterManager)、 节点管理员(Node Manager)、 智能合约管理员(Smart Contract Instance Manager)、 智能合约提供者(Smart Contract Provider)、 智能合约使用者(Smart Contract User)、 匿名用户(Anonymous)； 0025 所述数据资源包括： 智能合约代码、 合约实例、 合约。

31、运行时信息、 智能合约日志； 0026 所述节点资源包括： CPU、 I/O、 网络、 存储器。 0027 可选地， 所述角色获取模块， 包括： 0028 登录模块， 用于通过用户的签名认证， 检测所述用户是否首次登录； 0029 角色分配模块， 用于如果用户不是首次登录， 则从用户管理数据库中获取用户的 当前角色； 如果用户是首次登录， 则获取会话ID和当前公私钥信息， 根据当前公私钥签名验 证的过程， 确定用户当前是合法节点， 再从用户管理数据库查找公钥， 获取用户的当前角 色； 0030 角色划分模块， 用于基于不同用户在节点上提供功能和工作流程的关系， 对所述 用户的当前角色， 按角色。

32、的最小特权原则进行划分， 以此减少所有角色的操作权限值范围 的重叠和遗漏； 0031 公钥存储模块， 用于如果所述用户管理数据库中没有公钥， 则将用户的公钥存入 用户管理数据库并标记为默认的当前角色， 获取用户默认的当前角色； 所述默认的当前角 说明书 3/16 页 7 CN 112118224 A 7 色 ， 根 据所述大数 据区 块链的 分布场景进行预先部署 ， 具体包括 ： 准入管理 员 (CenterManager)和节点管理员(Node Manager)； 0032 权限授予模块， 用于将所述用户的当前角色在所述大数据区块链的操作权限值复 制给当前用户， 以使当前用户可以进行所述操作。

33、权限值范围内的操作； 0033 权限整理模块， 用于对所述所有角色对应的操作权限值范围进行整理， 以此减少 所述所有角色的操作权限值范围的重叠和遗漏， 包括： 为冲突操作或不相容操作分配两个 或者两个以上不相关的角色进行对应。 0034 可选地， 所述操作行为对应的操作包括： 0035 认证节点管理员加入网络、 查看节点管理员的状态、 查看申请授权列表、 查看可信 执行集群列表、 分配可信执行集群、 认证节点角色、 查看已授权未授权用户、 启动合约、 停止 合约、 执行合约、 上传合约、 下载合约、 删除合约、 查看合约代码统计数据、 静态分析、 查看合 约进程、 查看合约权限、 查看合约状态。

34、、 查看合约日志、 查看节点状态、 查看节点日志、 回滚、 备份、 迁移、 配置节点信息。 0036 可选地， 所述任务处理模块， 还包括： 0037 将所述合约实例或任务实例从不同的任务组合而成的工作流中抽象出来， 授予运 行时的合约实例或任务实例相应的任务操作权限， 所述任务操作权限随着所述合约实例或 任务实例的上下文环境改变而改变， 随着所述合约实例或任务实例的执行， 授权步通过自 治管理改变内部参数或者状态， 所述状态包括： 睡眠状态、 激活状态、 有效状态、 挂起状态、 无效状态； 所述任务按照 “任务被执行时所需的最小权限原则” 和 “任务与任务之间职责分 离原则” 进行划分。 0。

35、038 从上述技术方案可以看出， 本发明实施例提供了一种大数据区块链的可信机制权 限管理方法和系统， 所述方法和系统基于访问权限管理的需求， 对大数据区块链中的系统 资源进行了有效的划分， 并充分利用R-TBAC模型中的RBAC模块和TBAC模块， 分别对不同维 度的系统资源之间的访问进行控制， 同时进一步对其具体的访问过程和访问操作权限进行 优化， 既保障了节点提供者、 数据提供者、 数据使用者等角色对系统资源的使用权、 收益权、 处置权， 也保障了合约提供者和合约使用者的管理权和配置权， 实现大数据区块链中数据 的可信流通， 并有效地提高大数据区块链中多维度系统资源的访问正确率和权限管理效。

36、 率。 附图说明 0039 图1是一种大数据区块链系统的技术架构图； 0040 图2是本发明提供的一种大数据区块链的可信机制权限管理方法的步骤流程图； 0041 图3是本发明实施例提供的一种对大数据区块链系统资源进行划分的结构示意 图； 0042 图4是本发明实施例提供的一种RBAC模块的流程设计图； 0043 图5是本发明实施例提供的一种为用户授权角色的方法流程图； 0044 图6是本发明实施例提供的一种节点管理员登录后的管理页面门户首页设计图； 0045 图7是本发明实施例提供的一种基于RBAC进行访问控制的UML类图； 0046 图8是本发明实施例提供的一种基于形式化定义的TBAC方法流。

37、程图； 说明书 4/16 页 8 CN 112118224 A 8 0047 图9是本发明实施例提供的一种TBAC授权状态迁移变化的流程示意图； 0048 图10是本发明实施例提供的一种对不同维度的系统资源进行授权管理的结构示 意图； 0049 图11是本发明提供的一种大数据区块链的可信机制权限管理系统的结构框图。 具体实施方式 0050 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例， 。

38、都属于本发明保护的范围。 0051 大数据区块链是立足于大数据领域， 结合区块链的思想， 通过大数据智能可信操 作系统， 来保障数据资产安全可信的共享、 流动、 开放、 融合变现等功能。 0052 图1示出了一种大数据区块链系统的技术架构图， 其可信计算层的运行基于可信 智能合约引擎技术， 通过定制化的智能合约语言， 实现随机多节点相互校验的可信计算， 并 支持调用可信存储层的接口将合约执行过程信息存证到可信存储层。 同时基于自定义的编 程语言和框架， 对上层提供编写说明和远程调用接口， 按照框架编写程序即可以实现可信 计算并且存证， 围绕智能合约语言， 可信计算层提供合约开发环境、 运行环境。

39、和其他编程语 言的第三方库调用模块。 0053 随着数据的爆炸式增长， 大数据区块链中的数据获取方式、 获取数据的角色、 应用 场景， 都分别呈现出其各自的多样性， 随之而来的问题是， 多维度数据管控和访问控制的难 度变得越来越大。 0054 访问控制最早的概念源于美国登记信息的多层安全手段中的保护技术， 是对对象 中敏感信息的标签显示和授权保护。 在后续的发展中， 因为对系统中资源梳理和安全保护 显示出良好的条理性和安全性， 所以在现在计算机系统中成为不可缺少的安全保护措施中 一个重要部分。 0055 目前大数据区块链的应用中， 还没有一种能够实现各种资源之间可信流通的访问 控制机制， 本发。

40、明实施例中， 将所述大数据区块链中的系统资源划分为用户角色资源、 数据 资源、 节点资源这三大类， 面对这三种不同维度的资源之间的互相操作， 基于R-TBAC访问控 制模型， 设计不同的权限管理机制， 又让各类权限管理机制之间互相映射， 并且各权限管理 机制充分优化自身， 以此进一步完善访问授权流程， 进行高效安全的权限管理， 实现大数据 区块链中数据资源的可信流通。 0056 实施例一 0057 图2是本发明提供的一种大数据区块链的可信机制权限管理方法的步骤流程图。 0058 参照图2所示， 本实施例提供的可信机制权限管理方法应用于大数据区块链， 具体 包括如下步骤： 0059 步骤S101。

41、， 预先将所述大数据区块链中的系统资源划分为用户角色资源、 数据资 源、 节点资源。 0060 访问控制由三个主要元素组成:主体、 客体和策略， 也称为三元组， 分别是主体用 户Subject(主体)、 客体资源0bject(对象)、 控制策略Permission(权限)。 主体是指直接访 说明书 5/16 页 9 CN 112118224 A 9 问系统的用户或者其他子系统等； 对象其实就是接受访问控制的实体， 即， 在系统中指收到 权限保护的相关操作、 数据、 属性、 任务流等等； 权限即工作流操作的集合， 一般有授权或者 拒绝两类操作。 0061 在本发明实施例中， 所述用户角色资源、 。

42、所述数据资源、 所述节点资源之间， 各自 分别以主体和对象之间的关系， 依据相应的权限， 进行互相操作。 0062 如： 节点管理员(用户角色资源)对节点中的各种日志和物理资源(节点资源)进行 管理、 合约实例(数据资源)引用工具类对节点资源使用和消耗、 合约使用者(用户角色资 源)对智能合约代码(数据资源)进行静态分析等等。 0063 在本发明实施例中， 所述用户角色资源， 能够代表用户以什么样的身份去访问其 他资源， 对于各类资源， 不同的身份所具有的访问权限也不同， 0064 参照图3所示， 本发明实施例中， 所述用户角色资源包括： 准入管理员(Center Manager)、 节点管理。

43、员(Node Manager)、 智能合约管理员(Smart Contract Instance Manager)、 智能合约提供者(Smart Contract Provider)、 智能合约使用者(Smart ContractUser)、 匿名用户(Anonymous)； 0065 所述数据资源包括： 智能合约代码、 合约实例、 合约运行时信息、 智能合约日志； 0066 所述节点资源包括： CPU、 I/O、 网络、 存储器。 0067 步骤S102， 监测用户在大数据区块链操作系统中的登录行为， 基于R-TBAC模型中 的RBAC模块获取用户的当前角色， 并获取所述用户的当前角色在所述。

44、大数据区块链中的操 作权限值范围。 0068 R-TBAC模型(Role-Task-BasedAccess Control基于角色和任务的访问控制)， 由 RBAC(Role-Based Access Control基于角色的访问控制)和TBAC(Task-BasedAccess Control基于任务的访问控制)两个模块组成， 既可以实现基于角色的访问控制， 也可以实 现基于任务的访问控制。 0069 现有的RBAC模型由自主访问控制和强制访问控制衍生而来， 又创新的提出在模型 中运用角色的相关定义， 分别设置不同的集合， 基于用户、 角色和角色、 权限的多对多 映射关系， 即， 角色与权限。

45、的交集， 实现用户的权限管理。 基于角色的访问控制的步骤为， 授 予用户对应的角色， 通过角色找到对应的权限集合， 之后在所述权限集合的范围内， 用户可 以实现一系列操作。 而在这个过程中， 用户和权限没有直接映射关系， 完成了逻辑上的分 离。 0070 在本发明实施例中， 设计了一种R-TBAC模型中的RBAC模块。 图4示出了本发明实施 例提供的一种RBAC模块的流程设计图。 0071 如图4所示， 所述RBAC模块包含以下基本数据元素： 用户的集合(Users)、 角色的集 合(Roles)、 会话的集合(Session)、 操作的集合(Operations)、 权限的集合(Permis。

46、sions)、 资源对象(Resource Objects)。 所述模块的流程具体包括： 用户集通过用户角色的分配， 来 调用角色集； 角色集通过角色权限的分配， 来调用权限集； 所述权限集包括操作集和资源对 象集； 其中， 用户集中已经建立了与会话集的关联关系， 如果用户是第一次登录， 则需要先 获取一个具有唯一性质的会话ID， 并存入会话集； 通过会话ID判定用户的角色， 激活角色 集。 0072 在本实施例中， 将会话作为一个身份认证的基本流程， 每次使用系统都会产生一 说明书 6/16 页 10 CN 112118224 A 10 个会话ID同时， 会话与角色的激活关系可以是多个会话都。

47、是由一个角色产生的， 也可以是 一个角色只拥有一个会话， 取决于用户如何使用。 0073 在本发明实施例中， 使用用户签名来判定角色， 使用角色来对应权限， 角色将作为 用户和权限之间对应关系的通信接口， 增加了系统使用的灵活性； 角色层次的概念可以让 系统管理员进行分布式结构的管理， 对于满足权限管理的各种需求更加方便。 0074 使用访问控制模型的的嵌入式模型是比较独立的， 相比其他的安全措施来说更加 策略中立(policy-neutral)， 通过访问资源和操作的细粒度控制， 可以覆盖整个系统或者 是对数据库字段的控制。 0075 以节点管理员登录节点管理中心为例， 图5示出了本发明实施。

48、例提供的一种为用 户授权角色的方法流程图。 0076 参照图5所示， 在本发明实施例中， 基于R-TBAC模型中的RBAC模块获取用户的当前 角色， 包括： 第一步， 检测到用户进入节点中心NodeCenter页面， 获取打开页面的公私钥对； 第二步， 通过用户的签名认证， 检测所述用户是否第一次打开， 即， 首次登录； 如果用户不是 首次登录， 则从用户管理数据库中获取用户的当前角色； 如果用户是首次登录， 则获取会话 ID和当前公私钥信息， 根据当前公私钥签名验证的过程， 确定用户当前是合法节点， 再从用 户管理数据库查找公钥， 获取用户的当前角色； 第三步， 如果所述用户管理数据库中没有。

49、公 钥， 则将用户的公钥存入用户管理数据库并标记为默认的当前角色， 获取用户默认的当前 角色， 在节点管理中心登录的用户角色则会获取到节点管理员的角色； 第四步， 节点管理员 可以决定是否授权其他用户的角色， 其中， 在授权角色之后， 其他用户的角色还可以叠加， 获取相应角色对应的操作权限， 如果未授权角色， 则角色对应的相应操作不可用。 0077 本发明实施例中， 基于公私钥对的方法对登录的用户进行验证， 即， 不同的用户登 录时， 系统使用公钥对用户的私钥签名进行验证， 以保证用户当前为合法节点， 并将公钥记 录的用户对应的角色信息提供给用户。 并且， 除了可以展示用户的当前角色， 还可以。

50、展示用 户的当前角色所拥有的操作权限。 0078 本发明实施例中， 所述用户的当前角色， 基于不同用户在节点上提供功能和工作 流程的关系， 按角色的最小特权原则进行划分， 以此减少所有角色的操作权限值范围的重 叠和遗漏。 0079 所述角色的最小特权原则， 即每个任务需要授权时， 只对任务所需要的角色进行 授权， 不会授权多余的角色权限集， 以此控制每个任务拥有或者分配的都是最小角色权限 集。 0080 所述默认的当前角色， 根据所述大数据区块链的分布场景进行预先部署， 包括： 准 入管理员(CenterManager)和节点管理员(Node Manager)。 0081 本发明实施例中， 可。