一种基于区块链的跨域访问方法及系统与流程

1.本发明涉及跨区域访问信息技术领域，具体而言，涉及一种基于区块链的跨域访问方法及系统。


背景技术：

2.随着云计算和物联网技术的发展，分布式系统和分布式存储已被广泛使用。在分布式环境中，设备和资源分散在不同的域中。迫切需要域之间的资源共享和设备互操作性。例如，政府通过共享政务系统数据来了解各地政策的实施效果与改进方法。公司通过共享交通和旅行数据来促进当地旅游业的发展。基于上述的原因，跨域访问控制技术是一种在互联网时代分布式系统广泛使用的背景下，解决资源共享问题的有效方法。
3.目前的跨域访问技术多种多样，有基于属性的、基于角色的和基于行为的，但基本都是采用一个中心化的架构，需要经过可信第三方获取认证授权信息。但是，在中心化架构容易出现单点故障问题，一旦中心服务器无法提供服务，授权信息将无法被读取；其次，由于可信第三方的存在，导致各个应用域之间往来信息流变得更加复杂，维护也变得更加困难，导致维护成本的增加；另外，中心化架构依靠第三方的绝对可信，而在目前网络环境中，很难有某个节点能做到绝对的可信和安全，产生可信第三方信任问题。因此，需要一种能够去中心化、克服单点故障、增加可靠性的系统跨域访问方法。


技术实现要素：

4.本发明实施例提供了一种基于区块链的跨域访问方法及系统，通过集成区块链技术，实现去中心化的区块链技术，提高跨域访问可靠性。
5.根据本发明的一实施例，提供了一种基于区块链的跨域访问方法，包括以下步骤：基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器；
6.当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链；
7.基于跨域访问请求，区块链调用请求端的规则信息；
8.当规则信息满足要求时，则区块链发送允许访问决策至接受端服务器；
9.当收到允许访问决策时，接受端服务器将允许访问决策发送至接受端；
10.当收到允许访问决策时，接受端发出请求端请求获得的数据至请求端。
11.进一步地，在基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器之前还包括：
12.为请求端和接受端配置规则信息；
13.将规则信息上传至区块链。
14.进一步地，基于跨域访问请求，区块链调用请求端的规则信息具体包括：
15.调用请求端的角色、映射规则的及访问控制策略。
16.进一步地，当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链具体为：
17.将跨域访问请求发送至区块链内的智能合约；
18.智能合约将审核记录记录在区块链上，并将允许访问请求的允许访问决策添加到访问历史列表中进行记录。
19.进一步地，允许访问决策具体包括：
20.基于用户角色和访问控制策略做出访问决策；或，
21.基于用户访问历史列表做出访问决策。
22.一种基于区块链的跨域访问系统，包括：区块链、域管理服务器及域组织，域组织与域管理服务器连接，域管理服务器与区块链连接；其中，域组织包括请求端域组织和接受端域组织，域管理服务器包括请求端域管理服务器和接受端域管理服务器；
23.请求端域组织，用于基于接收到的跨域请求指令时，请求端域组织发出跨域访问请求至请求端域管理服务器；
24.请求端域管理服务器，用于当收到跨域访问请求时，请求端域管理服务器将跨域访问请求发送至区块链；
25.区块链用于，基于跨域访问请求，区块链调用请求端的规则信息；
26.当规则信息满足要求时，则区块链发送允许访问决策至接受端域管理服务器；
27.接受端域组织，用于当收到允许访问决策时，接受端域组织发出请求端域组织请求获得的数据至请求端域组织。
28.进一步地，
29.系统还包括：系统初始化设置，用于为请求端和接受端配置规则信息，将规则信息上传至区块链。
30.进一步地，规则信息具体包括：
31.请求端域组织的角色、映射规则及访问控制策略。
32.进一步地，区块链包括：
33.智能合约，用于接收请求端服务器发送的跨域访问请求；
34.历史列表模块，用于将智能合约的审核记录记录在历史列表上，并将允许访问请求的允许访问决策添加到访问历史列表中进行记录。
35.进一步地，允许访问决策具体包括：
36.基于用户角色和访问控制策略做出访问决策；或，
37.基于用户访问历史列表做出访问决策。
38.本发明实施例中的基于区块链的跨域访问方法及系统，基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器；当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链；基于跨域访问请求，区块链调用请求端的规则信息；当规则信息满足要求时，则区块链发送允许访问决策至接受端服务器；当收到允许访问决策时，接受端服务器将允许访问决策发送至接受端；当收到允许访问决策时，接受端发出请求端请求获得的数据至请求端。本发明中基于区块链的分布式网络结构提出了一种去中心化的跨域访问控制方法，解决了单服务器所存在的问题；通过采用了基于区块链的技术，解决现有跨域访问技术中心架构易产生单点故障、第三方服务不绝对可靠、易受攻击等缺陷的问题。
附图说明
39.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
40.图1为本发明基于区块链的跨域访问方法的流程图；
41.图2为本发明基于区块链的跨域访问系统的原理图。
具体实施方式
42.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
43.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
44.实施例1
45.如图1和图2所示，根据本发明一实施例，提供了一种基于区块链的跨域访问方法，包括以下步骤：
46.s101：基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器；
47.s102：当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链；
48.s103：基于跨域访问请求，区块链调用请求端的规则信息；
49.s104：当规则信息满足要求时，则区块链发送允许访问决策至接受端服务器；
50.s105：当收到允许访问决策时，接受端服务器将允许访问决策发送至接受端；
51.s106：当收到允许访问决策时，接受端发出请求端请求获得的数据至请求端。
52.本发明实施例中的基于区块链的跨域访问方法及系统，基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器；当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链；基于跨域访问请求，区块链调用请求端的规则信息；当规则信息满足要求时，则区块链发送允许访问决策至接受端服务器；当收到允许访问决策时，接受端服务器将允许访问决策发送至接受端；当收到允许访问决策时，接受端发出请求端请求获得的数据至请求端。本发明中基于区块链的分布式网络结构提出了一种去中心化的跨域访问控制方法，通过采用了基于区块链的技术，解决现有跨域访问技术中心架构易产生单点故障、第三方服务不绝对可靠、易受攻击等缺陷的问题。
53.具体地，现有技术中，对用户信息的授权采用的是单服务器的架构，即中心化架构，这种架构通常缺乏安全性和可靠性，单服务器无法提供受信任的访问决策，因为恶意或受感染的服务器可以轻松地阻止授权用户禁止访问资源或允许非法用户访问资源。本发明
中基于区块链的分布式网络结构提出了一种去中心化的跨域访问控制方法，解决了单服务器所存在的问题。
54.具体地，每一个域组织内包括设备和用户；其中，用户是跨域的请求者，设备是资源所有者，通过本技术技术方案可以定义访问控制策略来决定谁可以访问设备内的资源；
55.域管理服务器负责制定域组织之间的角色映射规则。域管理服务器将角色映射规则，用户角色和设备的访问策略上传到区块链上。此外，所有域管理服务器共同维护区块链。
56.区块链包括多个服务器节点和智能合约，服务器节点用于记录角色映射规则、设备访问策略和跨域访问记录，智能合约定义事务调用的接口，并根据角色映射规则和设备访问策略做出访问决策，如图2中的节点1至节点n。
57.具体地，跨域访问方法是由域组织、域管理服务器、区块链三个部分合作完成的，其中域组织的用户是申请跨域访问的主体，设备是跨域访问的客体。域管理服务器上传设备的用户角色、角色映射规则和策略至区块链。区块链通过调用功能接口做出访问决策。
58.区块链技术和智能合约：
59.为解决现有跨域访问系统不安全、不可靠、易产生单点故障、缺乏完整性和机密性等技术缺陷，本发明通过使用区块链技术来实现分布式跨域访问系统，增强跨域访问系统的安全性和防篡改功能。区块链的基础架构包含数据层、网络层、共识层、激励层、合约层、应用层等6层，其中合约层使用了智能合约等算法。区块链作为一种可追溯的分布式网络，每个节点都维护相同的分类账，包括系统的角色、规则、策略和访问记录，因此不需要第三方来提供数据服务。当交易同步到区块链时，无法对其进行修改或删除，因此所有交易都可在区块链分类账上追溯。该方法解决了中心化跨域访问系统的单点故障问题，大大提高了跨域访问的安全性和可靠性。
60.为了提供受信任的访问控制过程，智能合约被安装在区块链中，并定义了一些接口功能，以供系统调用。区块链智能合约是数据透明的，交易的任何一方都可以查看其代码和数据。还是不可篡改的，因此部署在区块链上的智能合约代码以及运行产生的数据输出也是不可篡改的，运行智能合约的节点不必担心其他节点恶意修改代码与数据。并且，由于支撑区块链网络的节点往往达到数百甚至上千，因此部分节点的失效并不会导致智能合约的停止，其可靠性理论上接近于永久运行，这样就保证了智能合约能像纸质合同一样每时每刻都有效。
61.域管理服务器使用智能合约将用户角色、域组织之间的角色映射规则以及设备的访问策略上传到区块链上。此外，智能合约添加并管理用户访问历史列表，该列表记录了用户的允许访问请求，使用此列表，用户可以轻松地证明他具有对该设备的访问权限。因此，智能合约制定访问决策有两种方法，一是基于用户角色和访问控制策略做出访问决策，二是基于用户访问历史列表做出访问决策。该方法大大提高了跨域访问控制的效率和信任度。
62.为了提供受信任的访问控制过程，智能合约被安装在区块链中，并定义了一些接口功能，智能合约提供以下功能接口：
63.ur(上传用户名)：此功能由域管理服务器调用，用于将域组织的用户名上传到区块链上。
64.um(上传角色映射规则)：此功能由域管理服务器调用，用于将域组织之间的角色映射规则上传到区块链上。
65.uap(上传访问策略)：此功能由域管理服务器调用，用于将设备的访问策略上传到区块链上。
66.gur(获取用户角色)：一旦收到用户的id，此功能将返回用户的角色。
67.ra(记录审计)：此功能用于记录来自用户的请求以及来自于区块链上的访问决策。
68.mr(角色映射)：一旦收到角色和两个域组织之间的规则映射规则的唯一标识符，此函数就会根据角色映射规则来映射角色。
69.gp(获取策略)：收到设备的公用密钥后，此函数将返回设备的访问策略。
70.下面通过具体实施例对本技术发明进行详细说明：
71.如图2中的标记
②
所示，当用户希望发布跨域访问请求时，用户就会广播其跨域访问请求。例如，a域用户a想要读取属于b域的设备b的数据；此时，由用户构造的请求(标签|用户id|设备id|访问控制命令|签名)，例如a域用户a想请求b域设备b的资源c，则发送的申请为：01|用户_a_域a|设备_b_域b|r|isk，其中标签01表示用户a之前已经访问过该资源，访问控制命令为r表示只读，isk表示用户签名。
72.如图2中的标记
③
所示，用户在域管理服务器网络中广播该请求；a域和b域的域管理服务器都收到用户a的跨域请求，收到访问请求后，将访问请求发送给智能合约。
73.如图2中的标记
④
所示，智能合约通过调用ra将审核记录记录在区块链上，并将允许的访问请求添加到访问历史列表中。
74.如图2中的标记
⑤
所示，智能合约将通过调用gur(获取用户角色)获取用户的角色，通过调用mr(角色映射)映射用户的角色，并通过调用gp(获取策略)获取设备的策略；根绝跨域请求标记来确定访问决策方法，其中访问决策有两种，如果标记为00，则域管理服务器调用访问决策；如果标记为01，则域管理服务器调用基于访问历史列表的访问决策。然后，确定设备的访问策略是否满足映射角色，做出访问决策或允许访问决策并返回给域管理服务器。
75.如图2中的标记
⑥
所示，与域组织b连接的域管理服务器收到访问决策后将改访问决策返回给设备b。
76.如图2中的标记
⑦
所示，收到访问决策结果后，设备会将数据返回给被允许访问数据资源的用户。设备生成一个会话密钥以加密数据并签署数据的哈希值，然后返回给用户。
77.进一步地，用户可以验证访问决策。域管理服务器可以追溯到用户的访问记录来检测用户的异常访问行为。此外，审核记录还可以为访问历史列表提供证据。
78.实施例中，在基于接收到的跨域请求指令，请求端发出跨域访问请求至请求端服务器之前还包括：
79.为请求端和接受端配置规则信息；
80.将规则信息上传至区块链。
81.如图2中的标记
①
所示，首先为域组织内用户和设备以及管理服务器配置id。例如，在a域，则命名设备为“设备_名称_域a”；用户为“用户_名称_域a”；管理服务器为“管理服务器_域a”。域管理服务器共同制定角色映射规则，然后通过调用ur(上传用户名)、um(上
传角色映射规则)、uap(上传访问策略)功能将用户的角色，角色映射规则和访问策略上传到区块链上，每个域管理服务器只能上传将外地角色映射为本地角色的规则集。
82.实施例中，基于跨域访问请求，区块链调用请求端的规则信息具体包括：
83.调用请求端的角色、映射规则的及访问控制策略。
84.具体地，域管理服务器使用将用户角色、域组织之间的角色映射规则以及设备的访问策略上传到区块链上；智能合约则调用的角色映射规则、设备访问策略和跨域访问记录，并根据角色映射规则和设备访问策略做出访问决策。
85.实施例中，当收到跨域访问请求时，请求端服务器将跨域访问请求发送至区块链具体为：
86.将跨域访问请求发送至区块链内的智能合约；
87.智能合约将审核记录记录在区块链上，并将允许访问请求的允许访问决策添加到访问历史列表中进行记录。
88.在智能合约中添加了历史访问列表，基于区块链的效率，发明了一种高效的智能合约来基于历史访问列表做出访问决策。
89.实施例中，允许访问决策具体包括：
90.基于用户角色和访问控制策略做出访问决策；或，
91.基于用户访问历史列表做出访问决策。
92.智能合约添加并管理用户访问历史列表，该列表记录了用户的允许访问请求；使用此列表，用户可以轻松地证明他具有对该设备的访问权限。因此，智能合约制定访问决策有两种方法，一是基于用户角色和访问控制策略做出访问决策，二是基于用户访问历史列表做出访问决策。该方法大大提高了跨域访问控制的效率和信任度。
93.实施例2
94.如图2所示，根据本发明的另一实施例，提供了一种基于区块链的跨域访问系统，包括：
95.区块链、域管理服务器及域组织，域组织与域管理服务器连接，域管理服务器与区块链连接；其中，域组织包括请求端域组织和接受端域组织，域管理服务器包括请求端域管理服务器和接受端域管理服务器；
96.请求端域组织，用于基于接收到的跨域请求指令时，请求端域组织发出跨域访问请求至请求端域管理服务器；
97.请求端域管理服务器，用于当收到跨域访问请求时，请求端域管理服务器将跨域访问请求发送至区块链；
98.区块链用于，基于跨域访问请求，区块链调用请求端的规则信息；
99.当规则信息满足要求时，则区块链发送允许访问决策至接受端域管理服务器；
100.接受端域组织，用于当收到允许访问决策时，接受端域组织发出请求端域组织请求获得的数据至请求端域组织。
101.系统总体架构如图2所示，主要包括域组织、域管理服务器、区块链。
102.域组织包括用户和设备，用户是跨域请求者，设备是资源所有者，可以定义访问控制策略来决定谁可以访问其资源。
103.域管理服务器负责制定域组织之间的角色映射规则。域管理服务器将角色映射规
则，用户角色和设备的访问策略上传到区块链上。此外，所有域管理服务器共同维护区块链。
104.区块链包括多个服务器节点和智能合约，如图2中的节点1至节点n；服务器节点用于记录角色映射规则、设备访问策略和跨域访问记录，智能合约定义事务调用的接口，并根据角色映射规则和设备访问策略做出访问决策。区块链用于监督域管理服务器；它记录用户角色，角色映射规则，访问控制策略以及包含请求和访问控制决策的审核记录；为了防止恶意攻击者，它使用共识算法来确保区块链分类账是一致的。
105.具体地，每一个域组织内包括设备和用户；其中，用户是跨域的请求者，设备是资源所有者，通过本技术技术方案可以定义访问控制策略来决定谁可以访问设备内的资源。
106.具体地，跨域访问技术及特点如下：
107.跨域访问方法是由域组织、域管理服务器、区块链三个部分合作完成的，其中域组织的用户是申请跨域访问的主体，设备是跨域访问的客体。域管理服务器上传设备的用户角色、角色映射规则和策略至区块链。区块链通过调用功能接口做出访问决策。
108.区块链技术和智能合约：
109.为解决现有跨域访问系统不安全、不可靠、易产生单点故障、缺乏完整性和机密性等技术缺陷，本发明通过使用区块链技术来实现分布式跨域访问系统，增强跨域访问系统的安全性和防篡改功能。区块链的基础架构包含数据层、网络层、共识层、激励层、合约层、应用层等6层，其中合约层使用了智能合约等算法。区块链作为一种可追溯的分布式网络，每个节点都维护相同的分类账，包括系统的角色、规则、策略和访问记录，因此不需要第三方来提供数据服务。当交易同步到区块链时，无法对其进行修改或删除，因此所有交易都可在区块链分类账上追溯。该方法解决了中心化跨域访问系统的单点故障问题，大大提高了跨域访问的安全性和可靠性。
110.为了提供受信任的访问控制过程，智能合约被安装在区块链中，并定义了一些接口功能，以供系统调用。区块链智能合约是数据透明的，交易的任何一方都可以查看其代码和数据。还是不可篡改的，因此部署在区块链上的智能合约代码以及运行产生的数据输出也是不可篡改的，运行智能合约的节点不必担心其他节点恶意修改代码与数据。并且，由于支撑区块链网络的节点往往达到数百甚至上千，因此部分节点的失效并不会导致智能合约的停止，其可靠性理论上接近于永久运行，这样就保证了智能合约能像纸质合同一样每时每刻都有效。
111.域管理服务器使用智能合约将用户角色、域组织之间的角色映射规则以及设备的访问策略上传到区块链上。此外，智能合约添加并管理用户访问历史列表，该列表记录了用户的允许访问请求，使用此列表，用户可以轻松地证明他具有对该设备的访问权限。因此，智能合约制定访问决策有两种方法，一是基于用户角色和访问控制策略做出访问决策，二是基于用户访问历史列表做出访问决策。该方法大大提高了跨域访问控制的效率和信任度。
112.为了提供受信任的访问控制过程，智能合约被安装在区块链中，并定义了一些接口功能，智能合约提供以下功能接口：
113.ur(上传用户名)：此功能由域管理服务器调用，用于将域组织的用户名上传到区块链上。
114.um(上传角色映射规则)：此功能由域管理服务器调用，用于将域组织之间的角色映射规则上传到区块链上。
115.uap(上传访问策略)：此功能由域管理服务器调用，用于将设备的访问策略上传到区块链上。
116.gur(获取用户角色)：一旦收到用户的id，此功能将返回用户的角色。
117.ra(记录审计)：此功能用于记录来自用户的请求以及来自于区块链上的访问决策。
118.mr(角色映射)：一旦收到角色和两个域组织之间的规则映射规则的唯一标识符，此函数就会根据角色映射规则来映射角色。
119.gp(获取策略)：收到设备的公用密钥后，此函数将返回设备的访问策略。
120.角色映射规则：
121.基于角色的访问控制模型表述了用户、角色和权限之间的复杂关系,解决了在传统的访问控制中主体始终是和特定的实体捆绑的不灵活问题,实现了主体的灵活授权，是最经典的访问控制模型。基于角色的访问控制模型通过建立用户与角色之间的映射关系，来实现用户在不同域下的权限转换，使得用户可以灵活地获取权限。因此，在本发明中，域管理服务器共同制定各域之间的角色映射关系，并将外部域角色到本地域角色的映射规则上传到区块链。
122.具体地，系统运行主要分为四个阶段，分别是系统初始化、访问控制、数据传输和处理争端。下面通过具体实施例对本技术发明进行详细说明：
123.系统初始化，如图2中的标记
①
所示，首先为域内用户和设备以及管理服务器配置id；例如，在a域，则命名设备为“设备_名称_域a”，用户为“用户_名称_域a”，管理服务器为“管理服务器_域a”。域管理服务器共同制定角色映射规则，然后通过调用ur(上传用户名)、um(上传角色映射规则)、uap(上传访问策略)功能将用户的角色，角色映射规则和访问策略上传到区块链上，每个域管理服务器只能上传将外地角色映射为本地角色的规则集。
124.访问控制，如图2中的标记
②
所示，当用户希望发布跨域访问请求时，用户就会广播其跨域访问请求。例如，a域用户a想要读取属于b域的设备b的数据；此时，由用户构造的请求(标签|用户id|设备id|访问控制命令|签名)，例如a域用户a想请求b域设备b的资源c，则发送的申请为：01|用户_a_域a|设备_b_域b|r|isk，其中标签01表示用户a之前已经访问过该资源，访问控制命令为r表示只读，isk表示用户签名。
125.如图2中的标记
③
所示，用户在域管理服务器网络中广播该请求；a域和b域的域管理服务器都收到用户a的跨域请求，收到访问请求后，将访问请求发送给智能合约。
126.如图2中的标记
④
所示，智能合约通过调用ra将审核记录记录在区块链上，并将允许的访问请求添加到访问历史列表中。
127.如图2中的标记
⑤
所示，智能合约将通过调用gur(获取用户角色)获取用户的角色，通过调用mr(角色映射)映射用户的角色，并通过调用gp(获取策略)获取设备的策略；根绝跨域请求标记来确定访问决策方法，其中访问决策有两种，如果标记为00，则域管理服务器调用访问决策；如果标记为01，则域管理服务器调用基于访问历史列表的访问决策。然后，确定设备的访问策略是否满足映射角色，做出访问决策或允许访问决策并返回给域管理服务器。
128.如图2中的标记
⑥
所示，与域组织b连接的域管理服务器收到访问决策后将改访问决策返回给设备b。
129.数据传输，如图2中的标记
⑦
所示，收到访问决策结果后，设备会将数据返回给被允许访问数据资源的用户。设备生成一个会话密钥以加密数据并签署数据的哈希值，然后返回给用户。
130.处理争议，用户可以验证访问决策。域管理服务器可以追溯到用户的访问记录来检测用户的异常访问行为。此外，审核记录还可以为访问历史列表提供证据。
131.具体地，现有技术中，对用户信息的授权采用的是单服务器的架构，即中心化架构，这种架构通常缺乏安全性和可靠性，单服务器无法提供受信任的访问决策，因为恶意或受感染的服务器可以轻松地阻止授权用户禁止访问资源或允许非法用户访问资源。本发明中基于区块链的分布式网络结构提出了一种去中心化的跨域访问控制方法，解决了单服务器所存在的问题。
132.实施例中，系统还包括：系统初始化设置模块，用于为请求端和接受端配置规则信息，将规则信息上传至区块链。系统初始换设置，在上述已经说明，此处不再赘述。
133.实施例中，规则信息具体包括：
134.请求端域组织的角色、映射规则及访问控制策略。
135.具体地，域管理服务器使用将用户角色、域组织之间的角色映射规则以及设备的访问策略上传到区块链上；智能合约则调用的角色映射规则、设备访问策略和跨域访问记录，并根据角色映射规则和设备访问策略做出访问决策。
136.实施例中，区块链包括：
137.智能合约，用于接收请求端服务器发送的跨域访问请求；
138.历史列表模块，用于将智能合约的审核记录记录在历史列表上，并将允许访问请求的允许访问决策添加到访问历史列表中进行记录。
139.在智能合约中添加了历史访问列表，基于区块链的效率，发明了一种高效的智能合约来基于历史访问列表做出访问决策。
140.实施例中，允许访问决策具体包括：
141.基于用户角色和访问控制策略做出访问决策；或，
142.基于用户访问历史列表做出访问决策。
143.智能合约添加并管理用户访问历史列表，该列表记录了用户的允许访问请求；使用此列表，用户可以轻松地证明他具有对该设备的访问权限。因此，智能合约制定访问决策有两种方法，一是基于用户角色和访问控制策略做出访问决策，二是基于用户访问历史列表做出访问决策。该方法大大提高了跨域访问控制的效率和信任度。
144.本发明的有益效果在于：
145.1.现有技术中，对用户信息的授权采用的是单服务器的架构，即中心化架构，这种架构通常缺乏安全性和可靠性，单服务器无法提供受信任的访问决策，因为恶意或受感染的服务器可以轻松地阻止授权用户禁止访问资源或允许非法用户访问资源。本发明中基于区块链的分布式网络结构提出了一种去中心化的跨域访问控制方法，解决了单服务器所存在的问题。通过采用了基于区块链的技术，解决现有跨域访问技术中心架构易产生单点故障、第三方服务不绝对可靠、易受攻击等缺陷的问题。
146.2.现有技术中多采用基于第三方服务器的跨域访问控制，缺乏完整性和机密性。本发明中采用了区块链节点来进行信息的记录和维护，提高了跨域访问系统的机密性。
147.3.现有系统中多使用基于访问策略和角色映射关系的访问控制，效率较低，而本发明使用了智能合约，添加了历史访问列表，可根据用户的历史访问记录来做出访问决策，大大提高了跨域访问效率。
148.4.现有访问控制方法多使用单一的基于角色或属性的访问控制，而本发明将区块链和角色映射技术结合使用，系统将用户的角色，角色映射规则和访问策略上传到区块链上，实现了可信的访问控制过程。
149.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。