樊樹偉

摘要區(qū)塊鏈已廣泛應(yīng)用到政府、軍事、金融等組織。為了維護(hù)系統(tǒng)的順運(yùn)作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護(hù)用戶信息，具有安全性。

訪問控制技術(shù)是一種限制用戶對資源進(jìn)行操作的方法。它的主要目的是限制主體對客體的訪問權(quán)限，以此來保護(hù)數(shù)據(jù)和資源在規(guī)范下合理使用。訪問控制技術(shù)通常用于設(shè)置服務(wù)器、文件等資源的訪問權(quán)限，來限制用戶的訪問。本文將從區(qū)塊鏈和訪問控制技術(shù)的概念的角度出發(fā)，淺析基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應(yīng)用。

關(guān)鍵詞：區(qū)塊鏈 訪問控制 用戶信息 安全

1緒論

1.1研究目的及意義

隨著計算機(jī)技術(shù)在不同行業(yè)中的不斷深化、創(chuàng)新，區(qū)塊鏈已廣泛應(yīng)用到政府、軍事、金融等組織。其快速發(fā)展得到的各個領(lǐng)域的高度重視。通過對區(qū)塊鏈下的數(shù)據(jù)訪問控制技術(shù)進(jìn)行研究，各類組織在管理相應(yīng)的數(shù)據(jù)時能夠保障用戶信息的安全、不外泄，從而促進(jìn)我國信息技術(shù)事業(yè)的發(fā)展。

1.2研究方法

本文使用文獻(xiàn)資料法獲取區(qū)塊鏈技術(shù)和訪問控制技術(shù)的理論研究結(jié)果。通過閱讀相關(guān)內(nèi)容書籍、查詢互聯(lián)網(wǎng)資料，系統(tǒng)地學(xué)習(xí)、研究在區(qū)塊鏈影響下數(shù)據(jù)訪問控制的方法及應(yīng)用。

1.3研究內(nèi)容

本文通過大量的查閱、探討、剖析相關(guān)區(qū)塊鏈技術(shù)和訪問控制技術(shù)的文獻(xiàn)，研究了以下幾方面相關(guān)內(nèi)容：（1）區(qū)塊鏈的概念、特征及核心技術(shù)（2）訪問控制技術(shù)的定義、功能及模式;（3）基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應(yīng)用

2區(qū)塊鏈

2.1區(qū)塊鏈的概念

“區(qū)塊鏈”這個詞匯最早出現(xiàn)在2008年。區(qū)塊鏈并不是一種新的技術(shù)，而是一種多維交叉的應(yīng)用模式。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等等多種成熟的IT技術(shù)基礎(chǔ)上，相互融合而產(chǎn)生的技術(shù)。它是比特幣中具備相當(dāng)權(quán)重的觀念。作為一種底層技術(shù)的去中心化數(shù)據(jù)庫，區(qū)塊鏈應(yīng)用信息加密的方法使不同的數(shù)據(jù)塊產(chǎn)生聯(lián)系。而每一個數(shù)據(jù)塊中包含的比特幣網(wǎng)絡(luò)交易信息，用于驗證、防偽，和產(chǎn)生下一個區(qū)塊。

2.2區(qū)塊鏈的特征

區(qū)塊鏈?zhǔn)且环N多維交叉的信息技術(shù)。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等多種已成熟的技術(shù)基礎(chǔ)上，相互組合而成，并非是一種新的技術(shù)。它能夠?qū)崿F(xiàn)系統(tǒng)在無工作人員的管理下而自動運(yùn)行的目的。為了維護(hù)系統(tǒng)的順暢運(yùn)作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護(hù)用戶信息，具有安全性。

（1）去中心化。

這個特點(diǎn)是相對于“中心化”，即節(jié)點(diǎn)選定中心而言在中心化中，節(jié)點(diǎn)和中心相互依賴和生存。而去中心化是將二者分開，各自獨(dú)立。在傳統(tǒng)的貨幣交易機(jī)制下，不論是我們的個人交易信息還是網(wǎng)頁瀏覽信息，均由相應(yīng)的數(shù)據(jù)庫進(jìn)行記錄和存儲，如銀行存款掏寶購物、跨境消費(fèi)等等。凡是涉及我們自身貨幣變化的信息都將被相應(yīng)的機(jī)構(gòu)進(jìn)行保存。而這些機(jī)構(gòu)也會在“信任”的基礎(chǔ)上保證我們的交易信息安全。但是在區(qū)塊鏈中是沒有這樣的中心機(jī)構(gòu)的。他主要是通過分布式核算和存儲，所有節(jié)點(diǎn)實現(xiàn)了信息的自我驗證記錄和管理。去中心化是區(qū)塊鏈最基本的特征。

（2）保護(hù)個人隱私

相較于銀行開戶，區(qū)塊鏈采取非對稱密鑰算法。這種算法在很大程度上能夠保護(hù)用戶的個人信息。在區(qū)塊鏈系統(tǒng)中，用戶的ID為字符密碼，其產(chǎn)生的節(jié)點(diǎn)不需要進(jìn)行實名驗證。因此用戶即便可以開設(shè)多個地址，其個人隱私信息也較難被確認(rèn)。

（3）開放透明性

用戶可以通過區(qū)塊鏈的端口瀏覽數(shù)據(jù)和相關(guān)應(yīng)用。除交易信息以外，所有人都可以在該系統(tǒng)下進(jìn)行相應(yīng)的查詢。因此，區(qū)塊鏈具備開放透明性。

（4）安全性。

區(qū)塊鏈間是由加密的數(shù)據(jù)相關(guān)聯(lián)。如果發(fā)生人為的數(shù)據(jù)篡改，會導(dǎo)致前后數(shù)據(jù)同時發(fā)生錯誤。而且，用戶極難獲取全部數(shù)據(jù)節(jié)點(diǎn)的51%。因此，區(qū)塊鏈相對而言具備一定的安全性。

2.3核心技術(shù)

（1）分布式賬本

分布式賬本是一種能夠使用戶間共享、拷貝和同步交易信息的數(shù)據(jù)庫。分布式賬本記載了用戶之間資產(chǎn)或者數(shù)據(jù)的交易信息。由于交易時需要不同地方的節(jié)點(diǎn)共同進(jìn)行操作，它具備一定的監(jiān)督功能。

（2）非對稱加密

從字面上來看，非對稱加密算法是一種密鑰加密方法。非對稱加密算法一般為一對密鑰，即公鑰和私鑰。用戶所保存在區(qū)塊鏈上的交易信息具有透明性，但是其賬戶隱私信息是加密不可見的。只有擁有私鑰的用戶才能夠進(jìn)行訪問。

（3）共識機(jī)制

共識機(jī)制是區(qū)塊鏈的關(guān)鍵。它能夠維護(hù)區(qū)塊鏈系統(tǒng)的正常運(yùn)行，對同一時間內(nèi)發(fā)生交易行為進(jìn)行排序。目前常見的共識機(jī)制有：工作量證明機(jī)制、權(quán)益證明機(jī)制、拜占庭共識算法。

（3）智能合約

智能合約是一種計算機(jī)協(xié)議。它能夠?qū)τ脩粜畔⑦M(jìn)行驗證和操作。智能合約可以去中心化的條件進(jìn)行資產(chǎn)的交換，且數(shù)據(jù)可追溯但不可篡改。相對于傳統(tǒng)合約，智能合約更為安全，能夠更有效的降低交易成本。

3訪問控制技術(shù)

3.1定義

所謂訪問控制技術(shù)，是一種限制用戶對資源進(jìn)行操作的方法。它的主要目的是限制主體對客體的訪問權(quán)限，以此來保護(hù)數(shù)據(jù)和資源在規(guī)范下合理使用。訪問控制技術(shù)通常用于設(shè)置服務(wù)器、文件等資源的訪問權(quán)限，來限制用戶的訪問。訪問控制能夠確保數(shù)據(jù)和資源不外泄、不損失以及重復(fù)利用，極大程度上保證了系統(tǒng)的安全。

3.2功能

訪問控制技術(shù)的功能意在保護(hù)網(wǎng)絡(luò)資源，防止非法的主體獲取網(wǎng)絡(luò)資源信息。在用戶進(jìn)行訪問前，訪問控制技術(shù)會對該用戶身份進(jìn)行驗證和管理。當(dāng)用戶身份和訪問權(quán)限通過驗證后，還會對其操作行為進(jìn)行監(jiān)管。

3.3訪問技術(shù)的模式

訪問控制技術(shù)通常而言主要有自主訪問控制、強(qiáng)制訪問控制和基于角色訪問控制這三種模式。

（1）自主訪問控制

自我訪問控制是一種客體自我管理的、自主的控制方法。簡單而言就是用戶可以根據(jù)自己的偏好，有選擇的與其他用戶共享擁有的資源。自我訪問控制具備一定的靈活便捷性，可以根據(jù)不同的系統(tǒng)環(huán)境，提供數(shù)據(jù)訪問的方法。就目前來說，它是應(yīng)用頻率最高的訪問控制策略。但是，他的安全系數(shù)較低，很可能被非法用戶獲取訪問資源的權(quán)限，從而導(dǎo)致權(quán)限外露。

（2）強(qiáng)制訪問控制

強(qiáng)制訪問控制是一種由系統(tǒng)限制主體訪問權(quán)限的方法。在實踐過程中，系統(tǒng)管理員對訪問權(quán)限進(jìn)行集中管理，根據(jù)用戶的安全等級給予其相應(yīng)的訪問權(quán)限，且用戶自身不能進(jìn)行更改。除此之外，強(qiáng)制訪問控制禁止經(jīng)過進(jìn)程生成共享文件。它對所有的用戶和資源強(qiáng)制進(jìn)行安全控制。強(qiáng)制訪問控制通常應(yīng)用于專用或者簡單的系統(tǒng)，對通用或大型系統(tǒng)效果不佳。

（3）基于角色的訪問控制模型

基于角色的訪問控制模型，即RBAC模型。它是將訪問權(quán)限分配給指定的角色，用戶從不同的角色中獲取訪問權(quán)限。RBAC以主體為基礎(chǔ)，按照職權(quán)和職責(zé)進(jìn)行劃分，將訪問權(quán)限與角色相關(guān)聯(lián)。這與以往的強(qiáng)制訪問控制和自主訪問控制有一定的差別;通過給予用戶角色，使用戶與訪問權(quán)限產(chǎn)生關(guān)聯(lián)。角色成為訪問主體和受控對象間的紐帶。

然而大多數(shù)企業(yè)并不愿意使用基于角色的訪問控制方法。其原因在于，完成該矩陣的周期時間較長，且訪問權(quán)限一旦發(fā)生變化勢必會對工作效率帶來影響。為了應(yīng)對這個問題，企業(yè)可以通過人力資源系統(tǒng)對員工相關(guān)的數(shù)據(jù)信息進(jìn)行收集，并創(chuàng)建不同級別的訪問角色，使數(shù)據(jù)能夠共享。在數(shù)據(jù)共享的基礎(chǔ)上，逐步標(biāo)準(zhǔn)化，確保平每個角色具備訪問權(quán)限。基于角色的訪問控制應(yīng)用與人力資源系統(tǒng)結(jié)合使用，可以幫助企業(yè)實現(xiàn)信息自動更新，保障訪問權(quán)限的正確性。

4基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應(yīng)用

4.1強(qiáng)制訪問控制

4.1.1模型的設(shè)計

如果企業(yè)文件資源都保存在服務(wù)器中，且服務(wù)器具有開放性。員工和其他用戶可以訪問普通文件。而對于企業(yè)內(nèi)部較為機(jī)密的文件，系統(tǒng)管理員會嚴(yán)格進(jìn)行訪問限制。由此可見，企業(yè)可以將員工和其他用戶進(jìn)行等級劃分，即負(fù)責(zé)人、員工和其他用戶;文件的等級界定為機(jī)密、秘密和常規(guī)。其他用戶僅有訪問普通等級文件的權(quán)限，員工可以訪問常規(guī)和機(jī)密的文件，負(fù)責(zé)人可以訪問機(jī)密文件，具體如表3—1所示。

此訪問控制方法屬于強(qiáng)制訪問控制模式。該方法嚴(yán)格限定了訪問的條件。只有在用戶具備對應(yīng)的等級，才能擁有訪問相關(guān)文件的權(quán)限。由于該模式下的訪問者權(quán)限按照一定的條件嚴(yán)格進(jìn)行劃分且具備相對的固定性，可以將不同用戶的訪問權(quán)限和相對應(yīng)的文件等信息存入在區(qū)塊鏈中，加載至每個節(jié)點(diǎn)上。通過區(qū)塊鏈的永久記錄、不可篡改和透明性，保證系統(tǒng)被訪問時能夠安全運(yùn)行。

4.1.2模型的實現(xiàn)

將既定的用戶信息和文件的等級、訪問權(quán)限以及規(guī)則寫入智能合約中，并加載至每個節(jié)點(diǎn)上。PC端經(jīng)過調(diào)整使用智能合約對用戶等級進(jìn)行劃分并將信息記載到區(qū)塊鏈中;PC端經(jīng)過調(diào)整使用智能合約對相對應(yīng)的加密文件進(jìn)行創(chuàng)建，并將信息記載到區(qū)塊鏈中;在用戶訪問不同等級的加密文件時，需要通過調(diào)整使用智能合約查詢自己的訪問權(quán)限，從而滿足預(yù)定義的訪問規(guī)則。在這種模式下，區(qū)塊鏈中的用戶和文件的訪問權(quán)限和條件將不能直接進(jìn)行改變。

4.2基于區(qū)塊鏈技術(shù)的角色訪問控制模型

4.2.1模型的設(shè)計

如果企業(yè)一家生產(chǎn)制造公司，那么它勢必會具備研發(fā)、設(shè)計、生產(chǎn)和銷售部門。一般而言，在企業(yè)各部門組織架構(gòu)中均設(shè)有總監(jiān)、經(jīng)理和普通員工這三個級別的職位。因此，每個部門的文件管理也分為三個級別，即機(jī)密、秘密和常規(guī)。具體用戶訪問權(quán)限如表3—2所示

由此可見，員工可以訪問所在部門的常規(guī)文件;經(jīng)理和總監(jiān)可以訪問相對應(yīng)級別及以下的秘密和常規(guī)文件。而員工若想訪問所在部門或者其他部門的秘密文件需要與本部門上級領(lǐng)導(dǎo)和其他部門領(lǐng)導(dǎo)申請并經(jīng)過其批準(zhǔn)方可進(jìn)行操作。如果員工想要查看本部門的機(jī)密文件需要經(jīng)過本部門的上級領(lǐng)導(dǎo)和總監(jiān)的批準(zhǔn)。

這種訪問控制方法屬于基于角色訪問控制模型。角色和訪問權(quán)限按照嚴(yán)格的規(guī)定進(jìn)行劃分，使這種模式具有一定的固定性，能夠把總監(jiān)、經(jīng)理、員工等用戶的角色、訪問權(quán)限、訪問規(guī)則等信息保存至區(qū)塊鏈中，加載到每個節(jié)點(diǎn)上。通過區(qū)塊鏈的永久記錄、不可篡改和透明性，保證系統(tǒng)被訪問時能夠安全運(yùn)行。

4.2.2模型的實現(xiàn)

將既定的角色、訪問權(quán)限條件以及規(guī)則錄入到智能合約中，加載至節(jié)點(diǎn)上。PC端經(jīng)過調(diào)整使用通智能合約完成角色的劃分，并把角色信息錄入到區(qū)塊鏈中;PC端經(jīng)過調(diào)整使用智能合約對相對應(yīng)加密文件進(jìn)行創(chuàng)建，并將信息錄入到區(qū)塊鏈中;角色需要訪問不同級別的加密文件時，經(jīng)過調(diào)整使用智能合約對自己的訪問權(quán)限進(jìn)行查詢。如果訪問的文件超出等級訪問權(quán)限范圍，需要向上級進(jìn)行申請并在批準(zhǔn)方可進(jìn)行下一步操作。

5結(jié)論

本文對區(qū)塊鏈下的數(shù)據(jù)訪問技術(shù)方法及應(yīng)用進(jìn)行了淺析。區(qū)塊鏈并不是一種新的技術(shù)，而是一種多維交叉的應(yīng)用模式。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等等多種成熟的IT技術(shù)基礎(chǔ)上，相互融合而產(chǎn)生的技術(shù)。為了維護(hù)系統(tǒng)的順暢運(yùn)作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護(hù)用戶信息，具有安全性。訪問控制技術(shù)，是一種限制用戶對資源進(jìn)行操作的方法。它的主要目的是限制主體對客體的訪問權(quán)限，以此來保護(hù)數(shù)據(jù)和資源在規(guī)范下合理使用。而區(qū)塊鏈技術(shù)和訪問技術(shù)的相互結(jié)合還需要經(jīng)過不斷的實踐進(jìn)行驗證。

參考文獻(xiàn)

[1]董貴山，陳宇翔，范佳，郝堯，李楓.區(qū)塊鏈應(yīng)用中的隱私保護(hù)策略研究[J].計算機(jī)科學(xué)，2019，46（05）：29-35.

[2]焦英楠，陳英華.基于區(qū)塊鏈技術(shù)的物聯(lián)網(wǎng)安全研究[J].軟件，2018，39（02）：88-92.

[3]紀(jì)蒙.試論區(qū)塊鏈技術(shù)及其在信息安全領(lǐng)域的研究進(jìn)展[J].計算機(jī)產(chǎn)品與流通，2018（02）：130.

[4]梅穎.基于區(qū)塊鏈的物聯(lián)網(wǎng)訪問控制簡化模型構(gòu)建[J].中國傳媒大學(xué)學(xué)報（自然科學(xué)版），2017，24（05）：7-12.