(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210872257.0 (22)申请日 2022.07.20 (71)申请人 慧之安信息技 术股份有限公司 地址 100000 北京市海淀区昆明湖南路51 号A座二层217号 (72)发明人 余丹　兰雨晴　邢智涣　王丹星　 张腾怀　 (74)专利代理 机构 北京广技专利代理事务所 (特殊普通 合伙) 11842 专利代理师 张国香 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于区块链权能令牌的域内访问控制方法 (57)摘要 本发明提供了基于区块链权能令牌的域内 访问控制方法， 并通过第一用户终端直接向第二 用户终端发送数据访问请求， 通过对 数据访问请 求进行分析， 确定向第一用户终端分配相应的权 能令牌和令牌发送策略， 并且对权能令牌预处理 形成令牌数据包， 并返回至第一用户终端； 通过 第一用户终端对权能令牌进行激活， 从而实现对 区块链中与第二用户终端相对应的数据存储区 块进行访问； 再根据第一用户终端当前进行的数 据访问状态， 调整第一用户终端当前持有的权能 令牌的权能状态； 上述方法在不需要设置中心化 的认证服务终端的情况下， 直接通过不同用户终 端之间的交互通信进行权能令牌的分配， 使 得用 户终端对区块链进行高效访问， 保证对区块链的 访问持续稳定 。 权利要求书2页 说明书6页 附图1页 CN 115361172 A 2022.11.18 CN 115361172 A 1.基于区块链权能令牌的域内访问控制方法， 其特 征在于， 其包括如下步骤： 步骤S1， 当第一用户终端向第二用户终端发送数据访 问请求时， 所述第二用户终端根 据所述数据访问请求， 对区块链的用户终端名单区块进行查询处理， 判断所述数据访问请 求合法性； 根据上述判断结果， 确定是否进一步根据所述数据访问请求， 获取所述第一用户 终端期望访问的数据信息； 步骤S2， 根据所述第一用户终端期望访问的数据信息， 从区块链 的权能令牌区间中选 取相匹配的权能令牌及其 发送策略； 根据所述 发送策略， 对所述权能令牌进行预 处理， 生成 相应的令牌数据包； 步骤S3， 通过所述第二用户终端将所述令牌数据包返回至所述第一用户终端， 以使所 述第一用户终端从所述令牌数据包中获取相对应的权能令牌； 通过所述第一用户终端对所 述权能令牌进 行激活后， 利用激活成功的权能令牌对区块链中与所述第二用户终端相对应 的数据存 储区块进行访问； 步骤S4， 根据所述第一用户终端当前进行的数据访 问状态， 调整所述第一用户终端当 前持有的权能令牌的权能状态。 2.如权利要求1所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S1中， 当第一用户终端向第二用户终端发送数据访问请求时， 所述第二用 户终端根据所述数据访问请求， 对区块链的用户终端名单区块进行查询处理， 判断所述数 据访问请求 合法性具体包括： 当第一用户终端向第 二用户终端发送数据访问请求 时， 所述第 二用户终端从所述数据 访问请求中获取 所述第一用户终端的终端 身份信息； 通过所述第 二用户终端以所述终端身份信 息为基准， 对区块链的用户终端名单区块进 行查询处理， 确定所述 终端身份信息是否存在于所述用户终端名单区块， 若存在， 则判断所 述数据访问请求为合法数据访问请求； 若不存在， 则判断所述数据访问请求为非法数据访 问请求。 3.如权利要求2所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S1中， 根据上述判断结果， 确定是否进一步根据 所述数据访问请求， 获取所 述第一用户终端期望访问的数据信息具体包括： 当判断所述数据访问请求为非法数据访问请求， 则通过所述第 二用户终端直接销毁所 述数据访问请求； 当判断所述数据访问请求为合法数据访问请求， 则通过所述第 二用户终端对所述数据 访问请求进 行分析处理， 确定所述第一用户终端期 望访问的数据类型； 其中， 所述数据类型 是指所述第一用户终端期望访问的数据属于文本代码数据还是图像数据。 4.如权利要求3所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S2中， 根据所述第一用户终端期望访 问的数据信息， 从区块链 的权能令牌 区间中选取相匹配的权能令牌及其发送策略具体包括： 当所述第一用户终端期 望访问的数 据为文本代码数据， 则从区块链的权能令牌区间中选取与所述第二用户终端的终端身份信 息相匹配的权能令牌， 以及对所述权能令牌赋予第一发送策略， 从而根据所述第一发送策 略发送所述权能令牌； 当所述第一用户终端期望访问的数据为图像数据， 则从区块链的权能令牌区间中选取权　利　要　求　书 1/2 页 2 CN 115361172 A 2与所述第二用户终端的终端身份信息相匹配的权能令牌， 以及 对所述权能令牌赋予第二 发 送策略， 从而根据所述第二 发送策略发送所述权能令牌； 其中， 所述第一 发送策略的发送周 期小于所述第二发送策略的发送周期。 5.如权利要求 4所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S2中， 根据所述发送策略， 对所述权能令牌进行预处理， 生成相应的令牌数 据包具体包括： 当以第一发送策略发送所述权能令牌时， 对所述权能令牌进行一次加密预处理， 从而 生成相应的令牌数据包； 当以第二发送策略发送所述权能令牌时， 对所述权能令牌进行双次加密预处理， 从而 生成相应的令牌数据包。 6.如权利要求5所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S3中， 通过所述第二用户终端将所述令牌数据包返回至所述第一用户终 端， 以使所述第一用户终端从所述令牌数据包中获取相对应的权能令牌具体包括： 通过所述第 二用户终端将所述令牌数据包定向返回至所述第 一用户终端， 通过所述第 一用户终端对所述令牌数据包进行解密处 理， 得到其中包 含的权能令牌。 7.如权利要求6所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S3中， 通过所述第一用户终端对所述权能令牌进行激活后， 利用激活成功 的权能令牌对区块链中与所述第二用户终端相对应的数据存 储区块进行访问具体包括： 通过所述第 一用户终端对所述权能令牌进行签名操作， 当所述签名操作对应的签名密 钥正确， 则对所述权能令牌的激活成功； 当所述签名操作对应的签名密钥不正确， 则对所述 权能令牌的激活失败； 通过所述第一用户终端利用激活成功的权能令牌开启区块链中与所述第二用户终端 相对应的数据存 储区块， 从而对所述数据存 储区块进行访问。 8.如权利要求7 所述的基于区块链权能令牌的域内访问控制方法， 其特 征在于： 在所述步骤S4中， 根据所述第一用户终端当前进行的数据访问状态， 调整所述第一用 户终端当前持有的权能令牌的权能状态具体包括： 获取所述第 一用户终端当前对所述数据存储区块的访问持续 时间， 若所述访问持续 时 间小于所述第一用户终端当前持有的权能令牌的生命周期， 则保持所述第一用户终端当前 持有的权能令牌的权能状态不变； 否则， 终止所述第一用户终端当前持有的权能令牌的权 能状态； 其中， 所述权能状态是指所述权能令牌对所述数据存 储区块进行开启的有效性。权　利　要　求　书 2/2 页 3 CN 115361172 A 3