基于區(qū)塊鏈的大數(shù)據(jù)訪問控制機(jī)制*

劉敖迪,杜學(xué)繪,王 娜,李少卓

1(信息工程大學(xué),河南 鄭州 450001)

2(河南省信息安全重點(diǎn)實(shí)驗(yàn)室,河南 鄭州 450001)

通訊作者:杜學(xué)繪,E-mail:dxh37139@sina.com

目前,大數(shù)據(jù)已經(jīng)在生產(chǎn)生活中得到了非常廣泛的應(yīng)用,所帶來的社會(huì)變革也已深入到我們生活的方方面面.例如:通過分析大量病人的臨床醫(yī)療大數(shù)據(jù)[1],能夠使醫(yī)生更好地理解病癥,實(shí)現(xiàn)病情的精準(zhǔn)診斷與治療,并且能夠提高流行病的預(yù)警能力,有助于采取有效措施預(yù)防流行病的爆發(fā);通過將能源大數(shù)據(jù)[2]與人口、地理、氣象等相關(guān)領(lǐng)域數(shù)據(jù)進(jìn)行整合及分析利用,能夠?qū)崿F(xiàn)能源生產(chǎn)、運(yùn)營(yíng)、消費(fèi)產(chǎn)出的最大化,促進(jìn)能源產(chǎn)業(yè)發(fā)展及商業(yè)模式創(chuàng)新;通過對(duì)大量網(wǎng)絡(luò)交易及行為等金融大數(shù)據(jù)[3]的分析,可提高金融企業(yè)在資本管理、交易執(zhí)行、安全和反欺詐等方面的數(shù)據(jù)洞察力,提高企業(yè)核心競(jìng)爭(zhēng)力.由此可見,在大數(shù)據(jù)時(shí)代,數(shù)據(jù)已成為一種能夠流動(dòng)的資產(chǎn)寶庫(kù),通過分析、利用大數(shù)據(jù),能夠創(chuàng)造出巨大的社會(huì)和經(jīng)濟(jì)價(jià)值,并且數(shù)據(jù)量越大、來源越廣泛,產(chǎn)生的價(jià)值也會(huì)越大.

然而,大數(shù)據(jù)在帶來新的發(fā)展機(jī)遇的同時(shí),也面臨著嚴(yán)峻的數(shù)據(jù)安全挑戰(zhàn):一方面,為了更好地挖掘數(shù)據(jù)中的價(jià)值,離不開分布式數(shù)據(jù)源間數(shù)據(jù)的流通與共享,但由此必然會(huì)打破原有數(shù)據(jù)管理的安全邊界,增加了數(shù)據(jù)在共享過程中所面臨的安全風(fēng)險(xiǎn);另一方面,由于大數(shù)據(jù)資源具有巨大的經(jīng)濟(jì)價(jià)值,針對(duì)大數(shù)據(jù)資源的竊取、攻擊與濫用等行為越來越嚴(yán)重,對(duì)國(guó)家及相關(guān)機(jī)構(gòu)數(shù)據(jù)安全防護(hù)能力提出了更高的要求.在多因素壓力下,導(dǎo)致大數(shù)據(jù)安全事故頻發(fā).特別是近期引起廣泛關(guān)注的Facebook 數(shù)據(jù)外泄事件,使大數(shù)據(jù)資源的非授權(quán)使用問題引起了安全專家的廣泛關(guān)注.2018 年3 月曝出,Facebook 超過5 000 萬用戶信息數(shù)據(jù)遭到外泄,一家名為Cambridge Analytica 的數(shù)據(jù)分析公司在未經(jīng)過用戶授權(quán)的前提下搜集了超過5 000 萬用戶的個(gè)人數(shù)據(jù),并利用該數(shù)據(jù)建立數(shù)學(xué)模型來分析用戶的政治偏好,通過有針對(duì)性地向美國(guó)選民投放精準(zhǔn)政治廣告的形式,從而影響了2016 年美國(guó)總統(tǒng)大選的結(jié)果.由此可以看出:大數(shù)據(jù)的非授權(quán)共享不單會(huì)影響用戶自身的數(shù)據(jù)安全,更會(huì)對(duì)國(guó)家安全造成嚴(yán)重的安全威脅.實(shí)現(xiàn)安全、可控的大數(shù)據(jù)資源流通與共享,是大數(shù)據(jù)應(yīng)用及其發(fā)展所面臨的核心科學(xué)問題.

作為保護(hù)數(shù)據(jù)安全的重要手段,訪問控制技術(shù)通過對(duì)用戶權(quán)限進(jìn)行管理,使合法用戶只能依照其所擁有的權(quán)限訪問系統(tǒng)內(nèi)相應(yīng)的數(shù)據(jù),禁止用戶對(duì)數(shù)據(jù)的非授權(quán)訪問,從而保障數(shù)據(jù)安全和業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn).在大數(shù)據(jù)時(shí)代,訪問控制技術(shù)[4,5]仍將作為保護(hù)大數(shù)據(jù)安全、可控共享的重要手段.但大數(shù)據(jù)的分布式、動(dòng)態(tài)性環(huán)境[6],使大數(shù)據(jù)的管理場(chǎng)景和安全需求變得更加復(fù)雜,傳統(tǒng)的訪問控制技術(shù)已不再適用.大數(shù)據(jù)訪問控制面臨訪問控制策略制定以及授權(quán)管理難度增加、訪問控制客體描述困難、受訪問數(shù)據(jù)的主體集合構(gòu)成復(fù)雜、訪問控制對(duì)數(shù)據(jù)客體中個(gè)人隱私保護(hù)難度高、缺乏對(duì)大數(shù)據(jù)分析過程安全性考慮等若干挑戰(zhàn)[7].不同于針對(duì)上述挑戰(zhàn)的研究,本文主要針對(duì)其分布式訪問控制需求、訪問控制動(dòng)態(tài)性需求這兩個(gè)易被忽略的需求挑戰(zhàn)展開研究:

(1)分布式訪問控制需求挑戰(zhàn).

大數(shù)據(jù)由眾多分布式的數(shù)據(jù)源匯聚生成,不同的數(shù)據(jù)源可能位于不同的機(jī)構(gòu)、公司以及組織內(nèi)部,不同機(jī)構(gòu)基于自身的數(shù)據(jù)安全保護(hù)需求,不可能直接與其他機(jī)構(gòu)共享所有大數(shù)據(jù)資源,大數(shù)據(jù)資源具有藩籬化特征,需要在分布式復(fù)雜環(huán)境下實(shí)現(xiàn)對(duì)共享大數(shù)據(jù)資源有效的訪問控制,其分布式體現(xiàn)在如下兩個(gè)方面.

a)訪問控制策略分布式制定:為提高訪問控制策略的管理效率,傳統(tǒng)集中式的訪問控制機(jī)制需要由安全管理員統(tǒng)一進(jìn)行策略管理,難以滿足分布式大數(shù)據(jù)的安全共享需求,大數(shù)據(jù)共享與流通需要由資源的擁有者制定并維護(hù)其所擁有數(shù)據(jù)資源的訪問控制策略,實(shí)現(xiàn)由擁有者驅(qū)動(dòng)的訪問控制策略分布式制定.另外,由于開放共享更有助于大數(shù)據(jù)價(jià)值的挖掘,這就要求大數(shù)據(jù)資源的策略需要進(jìn)行可信公開,便于資源使用方進(jìn)行策略查詢與其真實(shí)性驗(yàn)證,促進(jìn)大數(shù)據(jù)資源在擁有訪問權(quán)限的資源使用方間高效流通和共享;

b)訪問控制分布式判決:大數(shù)據(jù)不宜只存在一個(gè)集中式的權(quán)限判決點(diǎn),集中式權(quán)限判決不符合大數(shù)據(jù)的應(yīng)用場(chǎng)景,大數(shù)據(jù)的流通與共享是由多方參與、群智感知的應(yīng)用過程,需要參與方的多元交互,才能充分挖掘大數(shù)據(jù)價(jià)值,提高大數(shù)據(jù)資源利用率.并且,傳統(tǒng)由第三方機(jī)構(gòu)進(jìn)行的單一權(quán)限判決,可能存在用戶不可知的越權(quán)行為,存在權(quán)限判決透明度的問題.另外,當(dāng)單一權(quán)限判決點(diǎn)發(fā)生故障時(shí),將導(dǎo)致整個(gè)大數(shù)據(jù)系統(tǒng)停止運(yùn)轉(zhuǎn),也存在單點(diǎn)故障的問題.

(2)訪問控制動(dòng)態(tài)性需求挑戰(zhàn).

大數(shù)據(jù)動(dòng)態(tài)產(chǎn)生且增長(zhǎng)速度快,需要對(duì)動(dòng)態(tài)生成的新數(shù)據(jù)及時(shí)進(jìn)行訪問控制管理.傳統(tǒng)集中式的訪問控制機(jī)制一般針對(duì)靜態(tài)資源進(jìn)行管理,動(dòng)態(tài)擴(kuò)展能力弱,靈活性低且存在數(shù)據(jù)訪問控制管理的滯后性,無法對(duì)新生成的數(shù)據(jù)資源進(jìn)行高時(shí)效的訪問控制管理.

近年來,區(qū)塊鏈[8]作為一項(xiàng)從數(shù)字加密貨幣領(lǐng)域誕生的新興技術(shù),引起了各領(lǐng)域研究人員的廣泛關(guān)注.傳統(tǒng)社會(huì)的信任建立在可信第三方信用背書的信任機(jī)制下,而區(qū)塊鏈技術(shù)通過將P2P 網(wǎng)絡(luò)、密碼學(xué)技術(shù)、共識(shí)機(jī)制以及智能合約等多種技術(shù)進(jìn)行深度整合,解決了去中心化系統(tǒng)節(jié)點(diǎn)間信任建立的問題,實(shí)現(xiàn)了去中心化、分布式、信息不可篡改的信任建立機(jī)制,能夠在信息傳輸?shù)耐瑫r(shí)完成價(jià)值的轉(zhuǎn)移.區(qū)塊鏈技術(shù)的分布式架構(gòu)與智能合約技術(shù)恰好與大數(shù)據(jù)環(huán)境下分布式、動(dòng)態(tài)訪問控制需求相吻合,基于此,本文針對(duì)大數(shù)據(jù)訪問控制中所面臨的挑戰(zhàn),基于區(qū)塊鏈的事務(wù)管理和智能合約技術(shù)實(shí)現(xiàn)了對(duì)分布式環(huán)境下大數(shù)據(jù)資源動(dòng)態(tài)、靈活的訪問控制.本文的主要工作包括:將區(qū)塊鏈技術(shù)與ABAC 模型[9,10]相結(jié)合,提出了一種基于區(qū)塊鏈的分布式大數(shù)據(jù)訪問控制機(jī)制BBAC-BD(blockchain-based access control mechanism for big data environment),通過改進(jìn)區(qū)塊鏈?zhǔn)聞?wù)存儲(chǔ)結(jié)構(gòu),利用區(qū)塊鏈?zhǔn)聞?wù)來實(shí)現(xiàn)訪問控制策略的分布式管理,針對(duì)策略管理效率較低的問題,提出了基于Bloom Filter 的策略管理方法,以實(shí)現(xiàn)訪問控制策略的快速檢索;利用智能合約技術(shù)實(shí)現(xiàn)策略的分布式自動(dòng)、可信判決,以此實(shí)現(xiàn)用戶對(duì)大數(shù)據(jù)資源的靈活管控,在禁止非法用戶對(duì)數(shù)據(jù)資源訪問的同時(shí),提高大數(shù)據(jù)資源的共享與流通效率,實(shí)現(xiàn)面向分布式大數(shù)據(jù)資源的高效、透明、安全的自動(dòng)化訪問控制.

本文將區(qū)塊鏈應(yīng)用于訪問控制技術(shù)主要有以下5 個(gè)方面的優(yōu)勢(shì):(1)資源的管理使用權(quán)真正掌握在資源擁有者手中,存儲(chǔ)在區(qū)塊鏈上的策略信息對(duì)所有主體可見,策略的可信公開更利于促進(jìn)大數(shù)據(jù)資源的共享,有助于大數(shù)據(jù)資源價(jià)值的挖掘與利用;(2)基于智能合約,能夠?qū)崿F(xiàn)對(duì)大數(shù)據(jù)資源自動(dòng)化、可信的訪問控制,無需安全管理員人為參與,基于資源擁有者發(fā)布的策略進(jìn)行訪問控制,判決過程公開透明;(3)基于ABAC 模型,策略由資源擁有者發(fā)布到區(qū)塊鏈上,隨著大數(shù)據(jù)資源的動(dòng)態(tài)變化,資源擁有者可及時(shí)生成、調(diào)整所屬資源的訪問控制策略,提高訪問控制的靈活性與可擴(kuò)展性;(4)區(qū)塊鏈基于分布式共享總賬技術(shù),能夠有效保證策略制定來源可靠、存儲(chǔ)可信,通過分布式節(jié)點(diǎn)的共識(shí)機(jī)制,提高了訪問控制系統(tǒng)的抗攻擊能力,有效防止單點(diǎn)故障的發(fā)生,保證系統(tǒng)可用性;(5)區(qū)塊鏈?zhǔn)且环N只增不刪的數(shù)據(jù)管理模式,事務(wù)數(shù)據(jù)永遠(yuǎn)存儲(chǔ)在區(qū)塊鏈,區(qū)塊鏈上存儲(chǔ)的數(shù)據(jù)無法被篡改,能夠?qū)崿F(xiàn)對(duì)共享和流通過程中大數(shù)據(jù)資源的全流程追蹤管控,便于系統(tǒng)審計(jì).

1 相關(guān)工作

當(dāng)前,針對(duì)大數(shù)據(jù)訪問控制領(lǐng)域的研究還處于起步階段,但是在該方向,國(guó)內(nèi)外的研究已經(jīng)取得了一定的研究進(jìn)展.針對(duì)醫(yī)療大數(shù)據(jù)中安全管理員難以預(yù)測(cè)醫(yī)生實(shí)際的數(shù)據(jù)訪問需求、授權(quán)管理難度增加的問題,惠榛等人[11]提出了面向醫(yī)療大數(shù)據(jù)的風(fēng)險(xiǎn)自適應(yīng)的訪問控制模型,該模型通過分析醫(yī)生的訪問歷史,使用信息熵和EM(expectation maximization)算法量化醫(yī)生侵犯隱私的風(fēng)險(xiǎn),以此來適應(yīng)性地調(diào)整醫(yī)生的訪問能力,防止過度授權(quán)的發(fā)生.針對(duì)傳統(tǒng)訪問控制模型難以描述大數(shù)據(jù)所具有的時(shí)空屬性、訪問控制客體描述困難的問題,文獻(xiàn)[12,13]分別提出了基于位置感知的訪問控制模型LARB 與GEO-RBAC,將用戶空間位置信息引入基于角色的訪問控制模型中,結(jié)合用戶位置屬性來授予用戶相應(yīng)的訪問控制權(quán)限.針對(duì)大數(shù)據(jù)環(huán)境存在海量角色難以進(jìn)行權(quán)限管理的問題,文獻(xiàn)[14-16]基于角色工程,通過自上向下或自下而上的形式對(duì)用戶角色進(jìn)行挖掘,高效地為用戶提供個(gè)性化服務(wù),以此提高大數(shù)據(jù)環(huán)境下權(quán)限管理的效率.另外,為了實(shí)現(xiàn)對(duì)大數(shù)據(jù)中個(gè)人隱私數(shù)據(jù)的保護(hù),以基于屬性加密的訪問控制為代表的密文訪問控制技術(shù),作為一種利用密文機(jī)制實(shí)現(xiàn)訪問控制的方法,也得到了很多學(xué)者[17,18]的廣泛研究.但該技術(shù)還存在策略表達(dá)能力不足、安全性與效率性能不能兼顧等問題,在實(shí)際應(yīng)用中還面臨諸多挑戰(zhàn)[19].

目前,分布式訪問控制的研究主要圍繞分布式實(shí)體間跨域互操作的問題[20],一般采用角色映射或?qū)傩赞D(zhuǎn)換的方法實(shí)現(xiàn)域間權(quán)限轉(zhuǎn)換.根據(jù)域間協(xié)作架構(gòu)的不同,可分為聯(lián)邦式架構(gòu)和松耦合式架構(gòu)[21,22]:聯(lián)邦式架構(gòu)是一種中心式架構(gòu),由單一授權(quán)中心與多個(gè)訪問控制代理組成,通過授權(quán)中心設(shè)置面向分布式系統(tǒng)的全局角色來實(shí)現(xiàn)用戶在不同域內(nèi)權(quán)限的轉(zhuǎn)換;松耦合式架構(gòu)是一種多中心式架構(gòu),由多授權(quán)中心與多個(gè)訪問控制代理組成,通過各域內(nèi)的授權(quán)中心對(duì)域外用戶權(quán)限進(jìn)行轉(zhuǎn)換.角色映射或?qū)傩赞D(zhuǎn)換機(jī)制需要提前進(jìn)行協(xié)商,建立信任關(guān)系,僅適用于少量實(shí)體參與的有限分布式場(chǎng)景中,難以滿足大數(shù)據(jù)環(huán)境高動(dòng)態(tài)性、強(qiáng)靈活性的需求.

另外,當(dāng)前基于區(qū)塊鏈的訪問控制研究漸漸興起.為了提高分布式訪問控制策略管理的靈活性,Damiano 等人[23]探索使用基于區(qū)塊鏈交易的形式來創(chuàng)建、管理、執(zhí)行訪問控制策略的可行性,并通過比特幣平臺(tái)進(jìn)行了實(shí)現(xiàn),但僅僅是將區(qū)塊鏈作為策略管理的數(shù)據(jù)庫(kù),還需要第三方應(yīng)用來提供集中式訪問控制服務(wù).Zyskind[24]基于區(qū)塊鏈技術(shù)實(shí)現(xiàn)了移動(dòng)應(yīng)用程序的粗粒度權(quán)限管理,交易Taccess用于管理策略,交易Tdata用于存儲(chǔ)和索引數(shù)據(jù),區(qū)塊鏈中每個(gè)用戶和服務(wù)都對(duì)應(yīng)一個(gè)公鑰地址作為身份的憑證,可由用戶公鑰(資源擁有方)與服務(wù)公鑰(資源請(qǐng)求方)共同以聯(lián)合身份的形式對(duì)權(quán)限進(jìn)行管理.針對(duì)物聯(lián)網(wǎng)數(shù)據(jù)的訪問控制問題,FairAccess[25-28]則將策略以(resource,requester)的形式存儲(chǔ)在區(qū)塊鏈交易中,引入比特幣中Wallet 的概念,為不同的IoT 設(shè)備安裝自己的Wallet.Wallet 起到訪問控制代理的功能,通過向被授權(quán)的訪問請(qǐng)求方賬戶發(fā)送授權(quán)令牌的形式進(jìn)行權(quán)限管理,令牌由資源擁有者使用其私鑰進(jìn)行簽名來保證其不可偽造.針對(duì)醫(yī)療數(shù)據(jù)的訪問控制問題,MedRec 框架[29,30]基于以太坊平臺(tái)將智能合約與訪問控制相結(jié)合進(jìn)行自動(dòng)化的權(quán)限管理,實(shí)現(xiàn)了對(duì)不同組織的分布式醫(yī)療數(shù)據(jù)的整合和權(quán)限管理.MedRec 框架包括3 個(gè)層次的合約:Registrar Contract,Patient Provider Relationship,Summary Contract,但MedRec 權(quán)限管理不夠靈活,且選擇將策略直接存儲(chǔ)在智能合約,隨著策略規(guī)模的增大,智能合約的運(yùn)行成本將變得十分高昂,不適用于大規(guī)模的動(dòng)態(tài)授權(quán)應(yīng)用場(chǎng)景.

綜上分析可知,當(dāng)前,針對(duì)大數(shù)據(jù)訪問控制的研究還處于起步階段,缺少對(duì)訪問控制分布式與動(dòng)態(tài)性特點(diǎn)的考慮,而傳統(tǒng)面向分布式系統(tǒng)訪問控制的研究又難以適用于大數(shù)據(jù)環(huán)境.另外,目前基于區(qū)塊鏈的訪問控制技術(shù)還沒有同時(shí)實(shí)現(xiàn)策略管理與訪問控制決策的分布式.

2 預(yù)備知識(shí)

本節(jié)定義基于區(qū)塊鏈的大數(shù)據(jù)訪問控制機(jī)制使用到的預(yù)備知識(shí),為后文闡述方便,主要對(duì)區(qū)塊鏈技術(shù)及智能合約的基本概念進(jìn)行簡(jiǎn)要介紹,并對(duì)基于屬性的訪問控制模型進(jìn)行形式化定義.

2.1 區(qū)塊鏈技術(shù)基本原理

區(qū)塊鏈?zhǔn)且环N在對(duì)等網(wǎng)絡(luò)環(huán)境下,基于透明和可信共識(shí)規(guī)則,并按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以鏈條的方式組合形成的特定數(shù)據(jù)結(jié)構(gòu),并以密碼學(xué)方式保證其數(shù)據(jù)不可篡改、不可偽造、可追溯的去中心化、去信任的分布式共享總賬系統(tǒng).區(qū)塊鏈的“分布式”不僅體現(xiàn)為數(shù)據(jù)備份存儲(chǔ)的分布式,也體現(xiàn)在數(shù)據(jù)記錄的分布式,即:由所有節(jié)點(diǎn)共同參與數(shù)據(jù)維護(hù),單一節(jié)點(diǎn)的數(shù)據(jù)被篡改或被破壞不會(huì)對(duì)區(qū)塊鏈所存儲(chǔ)的數(shù)據(jù)產(chǎn)生影響,能夠有效避免單點(diǎn)故障的發(fā)生.并且由于大數(shù)據(jù)自身的特點(diǎn),大數(shù)據(jù)的采集、存儲(chǔ)、分析等同樣是分布式的應(yīng)用場(chǎng)景,同樣需要進(jìn)行信息及價(jià)值的交換.因此,區(qū)塊鏈技術(shù)與大數(shù)據(jù)的訪問控制需求具有高度的契合點(diǎn).

區(qū)塊鏈并不是單一的技術(shù)創(chuàng)新,而P2P 網(wǎng)絡(luò)技術(shù)、密碼學(xué)技術(shù)、Merkle 樹、共識(shí)機(jī)制、智能合約等多種技術(shù)深度整合的結(jié)果,能夠通過透明和可信規(guī)則,實(shí)現(xiàn)事務(wù)的管理.如圖1 所示.

Fig.1 Blockchain technology features圖1 區(qū)塊鏈技術(shù)特點(diǎn)

圖1 中,加密的鏈?zhǔn)浇Y(jié)構(gòu)用來驗(yàn)證和存儲(chǔ)數(shù)據(jù),P2P 網(wǎng)絡(luò)技術(shù)和共識(shí)機(jī)制用來實(shí)現(xiàn)分布式節(jié)點(diǎn)的驗(yàn)證和通信,智能合約能夠?qū)崿F(xiàn)復(fù)雜業(yè)務(wù)邏輯功能并對(duì)數(shù)據(jù)進(jìn)行自動(dòng)化操作.這些技術(shù)整合到一起,形成了一種新的數(shù)據(jù)記錄、存儲(chǔ)和表達(dá)的方法.

2.2 智能合約技術(shù)

智能合約[31,32]存儲(chǔ)在區(qū)塊鏈上,是能夠在每個(gè)分布式網(wǎng)絡(luò)節(jié)點(diǎn)上自動(dòng)運(yùn)行的腳本.1994 年,由Szabo 首次提出智能合約的概念,定義其是通過計(jì)算機(jī)執(zhí)行合同條款的交易協(xié)議,即通過代碼程序來自動(dòng)執(zhí)行合同[33].只要滿足合同條款,交易將無需第三方監(jiān)督自動(dòng)進(jìn)行.雖然智能合約的概念很早就被提出,但由于缺乏支持可編程智能合約運(yùn)行的信息平臺(tái)及相關(guān)技術(shù),智能合約一直停留在概念階段,直到能夠作為信任機(jī)器的區(qū)塊鏈的出現(xiàn),才為智能合約技術(shù)的應(yīng)用落地提供了平臺(tái)支撐.由于區(qū)塊鏈具有去中心化、安全、不可篡改、透明可追蹤等優(yōu)點(diǎn),為智能合約提供了可信的執(zhí)行環(huán)境.作為區(qū)塊鏈2.0 的核心特性,智能合約能夠在去信任環(huán)境下,按順序觸發(fā)設(shè)定的合約內(nèi)容并完成一系列安全的自動(dòng)化操作.同時(shí),區(qū)塊鏈數(shù)據(jù)具有完備可追溯的屬性,還可支持事后審計(jì)以追蹤合約動(dòng)態(tài).第二大區(qū)塊鏈平臺(tái)以太坊[34]設(shè)計(jì)了一種基于EVM 虛擬機(jī)的圖靈完備腳本語言,極大地?cái)U(kuò)寬了區(qū)塊鏈的應(yīng)用領(lǐng)域.智能合約為區(qū)塊鏈提供了應(yīng)用層的擴(kuò)展接口,任何開發(fā)人員都可基于底層區(qū)塊鏈技術(shù),通過腳本實(shí)現(xiàn)其所要實(shí)現(xiàn)的工作,為區(qū)塊鏈的應(yīng)用落地奠定了基礎(chǔ).

2.3 基于屬性的訪問控制模型

針對(duì)傳統(tǒng)訪問控制模型難以解決的動(dòng)態(tài)、細(xì)粒度訪問控制問題,研究人員提出了基于屬性的訪問控制模型(attribute-based access control,簡(jiǎn)稱ABAC).ABAC 模型基于實(shí)體屬性而不是用戶身份來判決允許或拒絕用戶對(duì)資源的訪問控制請(qǐng)求.ABAC 模型的核心要素包括主體、資源、操作以及環(huán)境約束,這些要素統(tǒng)一使用屬性和屬性值來進(jìn)行表示,屬性間的關(guān)系可以根據(jù)訪問控制需求進(jìn)行靈活的設(shè)置,提高了訪問控制策略語義的表達(dá)能力和模型的靈活性,并且能夠?qū)⑵渌L問控制模型中權(quán)限、安全標(biāo)簽、角色等概念用屬性來進(jìn)行統(tǒng)一描述,適用于解決分布式環(huán)境下動(dòng)態(tài)大數(shù)據(jù)的訪問控制問題.基于如下原因,我們認(rèn)為,ABAC 模型相比其他模型能更好地適用于大數(shù)據(jù)訪問控制場(chǎng)景.

(1)細(xì)粒度訪問控制:ABAC 模型通過屬性來對(duì)實(shí)體及約束進(jìn)行描述,能夠嚴(yán)格控制訪問者取得權(quán)限的各種條件,精確設(shè)定屬性-權(quán)限關(guān)系,實(shí)現(xiàn)最小權(quán)限原則;

(2)自主授權(quán):ABAC 模型可為資源擁有者提供策略管理接口,策略無需由管理員統(tǒng)一設(shè)定,資源擁有者可以根據(jù)自身實(shí)際資源保護(hù)需求發(fā)布、更新、撤銷策略,保證資源能夠按照資源擁有者的意愿被訪問;

(3)動(dòng)態(tài)訪問控制:ABAC 模型依據(jù)請(qǐng)求者所具有的屬性集合決定是否賦予其訪問權(quán)限,實(shí)現(xiàn)了策略管理和權(quán)限判定的分離,且屬性的設(shè)置與更新具有極大的靈活性和擴(kuò)展性,可滿足不同應(yīng)用場(chǎng)景需求;

(4)較小的系統(tǒng)開銷:在用戶和資源數(shù)量大幅度增加的情形下,傳統(tǒng)DAC,RBAC 等訪問控制模型策略數(shù)目將呈指數(shù)級(jí)增長(zhǎng),系統(tǒng)維護(hù)難度及開銷將極大增加.而ABAC 模型中,策略隨用戶和資源的增長(zhǎng)呈線性增加,當(dāng)達(dá)到一定規(guī)模后,系統(tǒng)開銷趨于平穩(wěn)[35].

為了便于本文的敘述,給出如下定義.

定義 1.屬性項(xiàng)(attribute item)是表示屬性的基本單元,用{xAttrName=attrValue},(xAttrName∈attrSet,attrValue∈Range(xAttrName),x∈{s,r,a,e})表示,xAttrName表示屬性名,attrValue表示屬性值.為了對(duì)不同類型的屬性表示方便,用x表示屬性類型,s,r,a,e分別代表主體屬性、資源屬性、動(dòng)作屬性和環(huán)境屬性.

定義2.屬性元組(attribute tuple)是同類型屬性項(xiàng)的集合,用xAttrTuple,x∈{s,r,a,e}表示,即:

定義3.屬性訪問請(qǐng)求(attribute access request,簡(jiǎn)稱AAR)由一組主體屬性、資源屬性、動(dòng)作屬性和環(huán)境屬性組成,用AAR:{sAttrTuple∧rAttrTuple∧aAttrTuple∧eAttrTuple}來表示,AAR的含義是:屬性為sAttrTuple的請(qǐng)求者在環(huán)境屬性eAttrTuple下,對(duì)資源rAttrTuple請(qǐng)求進(jìn)行操作aAttrTuple.

定義4(訪問控制策略).針對(duì)資源的訪問控制規(guī)則,體現(xiàn)了資源擁有者的授權(quán)行為,規(guī)定了訪問受保護(hù)資源所需要具有的屬性集合,記為Policy:result(R,action,pid)←Θ{xAttrTupleSet}signature_owner,x∈{s,r,a,e}.其 中,Θ{xAttrTupleSet}表示由屬性項(xiàng)集合xAttrTupleSet中的屬性通過合取、析取等邏輯關(guān)系構(gòu)成的邏輯表達(dá)式,pid表示策略ID.當(dāng)請(qǐng)求方所擁有的屬性使Θ{xAttrTupleSet}為真時(shí),請(qǐng)求方能夠被允許或拒絕對(duì)資源R進(jìn)行action操作,result∈{Permit,Deny}.另外,策略需要被資源擁有者或策略發(fā)行方簽名后在區(qū)塊鏈中保存,從而保證發(fā)布策略的真實(shí)性.

3 BBAC-BD 機(jī)制框架與工作流程

3.1 大數(shù)據(jù)訪問控制架構(gòu)

大數(shù)據(jù)訪問控制涉及大數(shù)據(jù)資源的采集、匯聚、管理、控制等.大數(shù)據(jù)訪問控制架構(gòu)主要由數(shù)據(jù)層、資源匯聚層、基礎(chǔ)設(shè)施層、事務(wù)層、共識(shí)層、訪問控制合約層6 部分(如圖2 所示)組成.各層結(jié)構(gòu)相互協(xié)同又各司其職,共同構(gòu)成一個(gè)完整的大數(shù)據(jù)訪問控制架構(gòu).

Fig.2 Big data access control technology architecture圖2 大數(shù)據(jù)訪問控制技術(shù)架構(gòu)

(1)數(shù)據(jù)層:真實(shí)的大數(shù)據(jù)資源,包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù),分布式地存儲(chǔ)于不同的位置,邏輯上受資源匯聚層的統(tǒng)一管理;

(2)資源匯聚層:基于區(qū)塊鏈技術(shù)對(duì)大數(shù)據(jù)資源進(jìn)行資源管理,實(shí)現(xiàn)不同來源大數(shù)據(jù)資源的匯聚.雖然真實(shí)的大數(shù)據(jù)資源在實(shí)際上是由不同的數(shù)據(jù)擁有方分布式地存儲(chǔ),但是通過區(qū)塊鏈技術(shù),在邏輯上形成對(duì)大數(shù)據(jù)資源的統(tǒng)一管理.本文的研究重點(diǎn)是訪問控制機(jī)制,資源匯聚層不做詳細(xì)的闡述;

(3)基礎(chǔ)設(shè)施層:由區(qū)塊鏈平臺(tái)為大數(shù)據(jù)訪問控制提供基礎(chǔ)設(shè)施,是整個(gè)架構(gòu)的基礎(chǔ),需要全網(wǎng)節(jié)點(diǎn)、礦工來維持系統(tǒng)的正常運(yùn)行,是大數(shù)據(jù)訪問控制平臺(tái)事務(wù)和智能合約的載體.事務(wù)層、合約層、資源匯聚層都是以區(qū)塊鏈為基礎(chǔ)的上層應(yīng)用;

(4)事務(wù)層:包括數(shù)據(jù)事務(wù)、策略事務(wù)、屬性事務(wù)、合約事務(wù)這4 種類型的訪問控制類事務(wù):數(shù)據(jù)事務(wù)用于對(duì)大數(shù)據(jù)資源進(jìn)行管理,服務(wù)于資源匯聚層;策略事務(wù)用于對(duì)訪問控制策略的管理,包括策略的發(fā)布、更新和撤銷,為合約層的PAP CONTRACT 提供數(shù)據(jù)支撐;屬性事務(wù)用于對(duì)實(shí)體屬性的管理,包括屬性的發(fā)布、更新和撤銷,為合約層AA CONTRACT 提供數(shù)據(jù)支撐;合約事務(wù)用于為智能合約提供運(yùn)行環(huán)境,服務(wù)于合約層;

(5)共識(shí)層:主要包括共識(shí)機(jī)制,通過各類共識(shí)算法來保證分布式節(jié)點(diǎn)間訪問控制數(shù)據(jù)的一致性和真實(shí)性,從而在節(jié)點(diǎn)間達(dá)成穩(wěn)定的共識(shí);

(6)訪問控制合約層:包括 PAP CONTRACT,PDP CONTRACT,AA CONTRACT 這 3 種合約:PAP CONTRACT 用于訪問控制策略管理,PDP CONTRACT 用于訪問控制請(qǐng)求判決,AA CONTRACT 用于實(shí)體屬性管理.

3.2 BBAC-BD框架及工作流程

本文提出的基于區(qū)塊鏈的大數(shù)據(jù)訪問控制框架如圖3 所示,框架基于ABAC 模型進(jìn)行了改進(jìn),將區(qū)塊鏈技術(shù)與訪問控制技術(shù)相結(jié)合.框架包括策略執(zhí)行點(diǎn)(policy enforcement point,簡(jiǎn)稱 PEP)、屬性權(quán)威(attribute authority,簡(jiǎn)稱AA)、策略管理點(diǎn)(point administration point,簡(jiǎn)稱PAP)、策略決策點(diǎn)(policy decision point,簡(jiǎn)稱PDP)這4 個(gè)核心部分.其中,AA,PAP,PDP 用智能合約的方式來實(shí)現(xiàn).為了能夠確保區(qū)塊鏈中訪問控制策略的正確執(zhí)行,用戶需要使用PEP 作為訪問控制客戶端來與區(qū)塊鏈進(jìn)行訪問控制的交互.

Fig.3 BBAC-BD framework圖3 BBAC-BD 框架

BBAC-BD 框架中,訪問控制工作流是對(duì)標(biāo)準(zhǔn)ABAC 模型工作流的擴(kuò)展.訪問控制工作流程可分為準(zhǔn)備階段和執(zhí)行階段(如圖3 示).準(zhǔn)備階段主要進(jìn)行訪問控制策略及屬性的管理,包括策略及屬性的發(fā)布、更新、撤銷以及對(duì)策略與屬性查詢結(jié)果的響應(yīng);而執(zhí)行階段主要進(jìn)行訪問請(qǐng)求的判決、響應(yīng)與執(zhí)行.

· 準(zhǔn)備階段:(1)由屬性發(fā)布方向區(qū)塊鏈中發(fā)布屬性及屬性關(guān)系信息,由AA CONTRACT 預(yù)先收集、整合區(qū)塊鏈?zhǔn)聞?wù)中屬性信息,以供PEP CLIENT 和PAP CONTRACT 使用;(2)由策略發(fā)布方向區(qū)塊鏈中發(fā)布訪問控制策略,由PAP CONTRACT 結(jié)合屬性信息描述、收集、整合區(qū)塊鏈?zhǔn)聞?wù)中訪問控制策略,以供PDP CONTRACT 進(jìn)行訪問請(qǐng)求的判決;

· 執(zhí)行階段:(1)當(dāng)PEP CLIENT 收到用戶向其發(fā)送對(duì)某一資源執(zhí)行某項(xiàng)操作的請(qǐng)求時(shí),PEP CLIENT 分析得到原始訪問請(qǐng)求中主體、客體和操作語義,根據(jù)從AA CONTRACT 得到的屬性信息生成基于屬性的訪問請(qǐng)求AAR,將AAR 發(fā)往PDP CONTRACT;(2)PDP CONTRACT 向PAP CONTRACT 查詢與被請(qǐng)求大數(shù)據(jù)資源相關(guān)的訪問控制策略集,進(jìn)行訪問控制判決,將判決結(jié)果響應(yīng)發(fā)送回PEP CLIENT;(3)由PEP CLIENT 根據(jù)響應(yīng)結(jié)果對(duì)大數(shù)據(jù)資源進(jìn)行授權(quán)的訪問操作.

由于訪問控制策略是存儲(chǔ)在區(qū)塊鏈中,策略信息對(duì)任何人都是可驗(yàn)證、可追溯且不可篡改的,大數(shù)據(jù)資源的訪問控制擺脫了傳統(tǒng)集中式訪問控制管理可能存在的單點(diǎn)故障和訪問控制判決透明度的問題,實(shí)現(xiàn)了訪問控制策略的分布式管理,有效地提高了系統(tǒng)的魯棒性和可信性.另外,通過智能合約的形式來實(shí)現(xiàn)訪問控制策略的判決過程,無需第三方中心機(jī)構(gòu)參與,避免了第三方中心可能存在的越權(quán)行為,基于區(qū)塊鏈系統(tǒng)實(shí)現(xiàn)共識(shí)下的訪問控制自動(dòng)判決,是一種真正實(shí)現(xiàn)了去中心化的訪問控制機(jī)制,符合大數(shù)據(jù)資源的訪問控制管理需求.

4 面向BBAC-BD 策略管理的事務(wù)結(jié)構(gòu)

4.1 區(qū)塊鏈中事務(wù)存儲(chǔ)結(jié)構(gòu)

在區(qū)塊鏈中,數(shù)據(jù)以事務(wù)的形式存儲(chǔ)在區(qū)塊鏈中,我們使用區(qū)塊鏈中事務(wù)的形式來對(duì)訪問控制策略進(jìn)行管理.如圖4 所示,區(qū)塊中事務(wù)數(shù)據(jù)是以基于哈希算法的Merkle 樹這種數(shù)據(jù)結(jié)構(gòu)進(jìn)行存儲(chǔ),通過哈希算法將大小不一致的事務(wù)數(shù)據(jù)映射成固定大小的字符串,存儲(chǔ)在Merkle 樹的葉子節(jié)點(diǎn)上,Merkle 樹的非葉子節(jié)點(diǎn)存儲(chǔ)的都是其子節(jié)點(diǎn)的哈希值.在P2P 網(wǎng)絡(luò)中,使用Merkle 樹能夠快速的驗(yàn)證數(shù)據(jù)是否被篡改或接收到的數(shù)據(jù)是否損壞,區(qū)塊鏈中所有的事務(wù)數(shù)據(jù)通過Merkle 樹生成唯一的Merkle 根存儲(chǔ)在區(qū)塊頭中.

區(qū)塊鏈包括實(shí)體賬戶、數(shù)據(jù)區(qū)塊、事務(wù)集數(shù)據(jù)、配置數(shù)據(jù)等,它們之間的數(shù)據(jù)視圖關(guān)系如圖5 所示.

1)實(shí)體賬戶:是區(qū)塊鏈中各類事務(wù)請(qǐng)求的發(fā)起者及相關(guān)數(shù)據(jù)的擁有者,是訪問控制機(jī)制中數(shù)據(jù)資源的實(shí)際擁有者,擁有一對(duì)由PKI 體系產(chǎn)生的公鑰與私鑰,系統(tǒng)中,賬戶由公鑰唯一進(jìn)行標(biāo)識(shí),由資源擁有者發(fā)布的事務(wù)數(shù)據(jù)都需由實(shí)體賬戶用私鑰對(duì)其進(jìn)行簽名,以供其他用戶驗(yàn)證區(qū)塊中事務(wù)的真實(shí)性;

2)數(shù)據(jù)區(qū)塊:是區(qū)塊鏈網(wǎng)絡(luò)中底層的數(shù)據(jù),多個(gè)區(qū)塊共同形成鏈?zhǔn)浇Y(jié)構(gòu),以不可篡改的形式將一定時(shí)期內(nèi)的事務(wù)處理結(jié)果持久化;

3)事務(wù)集數(shù)據(jù):是基于區(qū)塊鏈的訪問控制機(jī)制中存儲(chǔ)執(zhí)行實(shí)際業(yè)務(wù)活動(dòng)的數(shù)據(jù),包括訪問控制類事務(wù)和智能合約類事務(wù).訪問控制類事務(wù)用于訪問控制策略的管理,主要涵蓋策略管理中策略信息的發(fā)布、更新與撤銷操作.智能合約類事務(wù)用于訪問控制的判決過程,響應(yīng)訪問請(qǐng)求,生成訪問控制響應(yīng).在區(qū)塊鏈上發(fā)布事務(wù)需要消耗一定數(shù)據(jù)的代幣,作為用戶使用區(qū)塊鏈服務(wù)的開支;

4)配置數(shù)據(jù):是區(qū)塊鏈系統(tǒng)正常運(yùn)行所需的配置信息,包括協(xié)議版本號(hào)、通信節(jié)點(diǎn)信息等配置信息.

Fig.4 Merkle tree storing transaction information圖4 存儲(chǔ)事務(wù)信息的Merkle 樹

Fig.5 Entity relationship in the block圖5 區(qū)塊中數(shù)據(jù)視圖實(shí)體間關(guān)系

4.2 基于事務(wù)的訪問控制策略管理

我們以區(qū)塊鏈中的事務(wù)為載體對(duì)訪問控制策略進(jìn)行管理.訪問控制策略管理包括策略信息管理和屬性信息管理,分別以策略類事務(wù)和屬性類事務(wù)的形式發(fā)布到區(qū)塊鏈,包括信息的發(fā)布、更新與撤銷操作.策略管理信息由大數(shù)據(jù)資源的擁有者制定,對(duì)大數(shù)據(jù)資源的訪問控制策略權(quán)限信息和屬性及屬性間關(guān)系進(jìn)行管理.數(shù)據(jù)被發(fā)布到區(qū)塊鏈后,可以被任意次更新,直到數(shù)據(jù)被撤銷,才結(jié)束策略或?qū)傩孕畔⒌耐暾芷?無論數(shù)據(jù)當(dāng)前處于何種狀態(tài)(發(fā)布、更新、撤銷),其歷史操作信息都將被永久記錄在區(qū)塊鏈中,便于審計(jì)和掌握訪問控制動(dòng)態(tài).區(qū)塊鏈非合約事務(wù)的消息格式如圖6 示.其中,

·ID表示事務(wù)消息標(biāo)識(shí)號(hào);

·PK表示事務(wù)發(fā)布者公鑰;

·transactionType代表事務(wù)消息類型,用p表示策略類事務(wù)消息,a表示屬性類事務(wù)消息;

·action代表操作類型,用c表示發(fā)布操作,u表示更新操作,r表示撤銷操作;

·transaction_data代表具體的事務(wù)消息數(shù)據(jù),與事務(wù)消息類型相對(duì)應(yīng),分別訪問控制策略信息和屬性及屬性關(guān)系信息,根據(jù)事務(wù)消息數(shù)據(jù)規(guī)模的不同,存在鏈上與鏈上鏈下相結(jié)合兩種存儲(chǔ)方法:針對(duì)小規(guī)模策略數(shù)據(jù),直接在鏈上存儲(chǔ)策略信息;針對(duì)較大規(guī)模策略數(shù)據(jù),在鏈上存儲(chǔ)數(shù)據(jù)摘要Hash 和鏈下數(shù)據(jù)鏈接Url;

·timestamp表示消息發(fā)布的時(shí)間戳;

·signature_message表示對(duì)前4 項(xiàng)事務(wù)數(shù)據(jù)的消息簽名.

對(duì)于發(fā)布操作,需要消耗一定數(shù)量的數(shù)字代幣,更新與撤銷操作無需消耗數(shù)字代幣.

Fig.6 Transaction management level relationship圖6 事務(wù)管理層級(jí)關(guān)系

下面是礦工節(jié)點(diǎn)接收事務(wù)數(shù)據(jù)生成新區(qū)塊的具體工作過程.

步驟1:策略信息發(fā)布者向區(qū)塊鏈提交策略事務(wù)請(qǐng)求,并且使用發(fā)布者公鑰作為事務(wù)標(biāo)識(shí);

步驟2:由代表礦工節(jié)點(diǎn)接受策略信息請(qǐng)求,并向節(jié)點(diǎn)網(wǎng)絡(luò)廣播所接受到的信息請(qǐng)求;

步驟3:由當(dāng)值的代表礦工節(jié)點(diǎn)根據(jù)用戶的公鑰將事務(wù)記錄到child_block;

步驟4:由當(dāng)值的代表礦工節(jié)點(diǎn)將child_block的確認(rèn)信息向節(jié)點(diǎn)網(wǎng)絡(luò)進(jìn)行廣播;

步驟5:校驗(yàn)代表礦工節(jié)點(diǎn)對(duì)事務(wù)數(shù)據(jù)進(jìn)行校驗(yàn),其他礦工節(jié)點(diǎn)同步更新事務(wù)數(shù)據(jù);

步驟6:每隔一個(gè)時(shí)間間隔對(duì)child_block中的策略事務(wù)數(shù)量進(jìn)行檢查,當(dāng)數(shù)據(jù)達(dá)到5 個(gè)時(shí),將所有更新事務(wù)數(shù)據(jù)打包封裝成一個(gè)數(shù)據(jù)區(qū)塊,計(jì)算該區(qū)塊的根Merkle 值,并將該區(qū)塊數(shù)據(jù)存入本節(jié)點(diǎn)數(shù)據(jù)庫(kù);

步驟7:返回步驟1.

5 面向BBAC-BD 的智能合約

5.1 策略管理合約PAP CONTRACT

訪問控制策略以事務(wù)的形式存放在區(qū)塊鏈中,并且每個(gè)事務(wù)中可能存在一條或多條訪問控制策略.PAP 需要對(duì)區(qū)塊鏈中存儲(chǔ)的策略事務(wù)進(jìn)行整合,將與訪問請(qǐng)求相關(guān)的策略發(fā)送給PDP,以供PDP 進(jìn)行策略判決.如圖7所示,為訪問控制策略的融合流程,圖7 中,在區(qū)塊鏈存儲(chǔ)的每條策略信息的第1 個(gè)操作類型字段表示了該策略信息被發(fā)布的意圖,c表示發(fā)布操作,u表示更新操作,r表示撤銷操作.并且每條策略信息都有對(duì)應(yīng)的時(shí)間戳為該信息增加了時(shí)間維度,根據(jù)時(shí)間維度,當(dāng)操作類型字段為c時(shí),創(chuàng)建相應(yīng)ID 的新策略信息;當(dāng)操作類型字段為u時(shí),更新相應(yīng)ID 的策略信息;當(dāng)操作類型字段為r時(shí),撤銷相應(yīng)ID 的策略信息.訪問控制策略的融合流程即是沿著相應(yīng)ID 策略的時(shí)間維度管理整合策略的過程.策略管理合約PAP CONTRACT 將AAR 所請(qǐng)求資源相關(guān)策略的進(jìn)行整合,為PDP CONTRACT 進(jìn)行訪問控制判決提供策略支撐.

Fig.7 Access control policy fusion process圖7 訪問控制策略融合流程

訪問控制策略分布式存儲(chǔ)后面臨的關(guān)鍵問題是策略查詢效率的問題,為了提高策略管理過程中策略檢索與查詢的效率,本文設(shè)計(jì)了基于Bloom Filter 的策略管理合約(如圖8 所示).作為一種具有極高空間利用效率的概率性數(shù)據(jù)結(jié)構(gòu),Bloom Filter 通過二進(jìn)制向量來描述數(shù)據(jù)集合,能夠快速判斷該集合中是否包含某一特定元素.Bloom Filter 的缺點(diǎn)是存在一定的錯(cuò)誤查詢概率,Bloom Filter 不會(huì)把集合中存在的元素判斷為不存在,但存在把集合中不存在的元素判斷為存在集合中的可能.Bloom Filter 正是通過允許存在少量的錯(cuò)誤,以此來減少存儲(chǔ)空間,提高查詢效率.在策略管理合約中,允許非相關(guān)策略被判定為相關(guān)策略,這里,該非相關(guān)策略將成為冗余策略,而不允許相關(guān)策略被判定為非相關(guān)策略,這與Bloom Filter 的特點(diǎn)正好吻合.

Bloom Filter 中包括長(zhǎng)度為n比特的二進(jìn)制向量BF={b0,b1,…,bn-1}與m個(gè)獨(dú)立的哈希函數(shù)H(x)={h0(x),h1(x),…,hm-1(x)},初始化階段,將BF的所有比特位都設(shè)定成0,通過H(x)的計(jì)算,可以得到于0～n-1 范圍內(nèi)分布均勻的哈希值.對(duì)于原始策略事務(wù)數(shù)據(jù)集合中的屬性關(guān)鍵字集合DB_SET={DB0,DB1,…,DBk-1},將屬性關(guān)鍵字DBi(0≤i≤k)插入到BF中時(shí),計(jì)算與m個(gè)哈希函數(shù)H(x)對(duì)應(yīng)的m個(gè)哈希值h0(DBi),h1(DBi),…,hm-1(DBi),并將在BF中m個(gè)哈希值所相對(duì)應(yīng)位置的值設(shè)定成1.當(dāng)需要驗(yàn)證某一資源的相關(guān)策略屬性關(guān)鍵字R是否存在于該BF中時(shí),只需要計(jì)算h0(R),h1(R),…,hm-1(R),并再查看BF中h0(R),h1(R),…,hm-1(R)對(duì)應(yīng)位置的值是否全部為1:若不全部為1,則證明該BF中涉及的資源數(shù)據(jù)集合不包含資源R的相關(guān)策略;若對(duì)應(yīng)位置的值全部為1,則認(rèn)為資源R相關(guān)策略以(1-PR)的概率存在于該事務(wù)數(shù)據(jù)集合.mop為最優(yōu)哈希個(gè)數(shù):

Fig.8 Access control policy management based on Bloom Filter圖8 基于Bloom Filter 訪問控制策略管理

PAP CONTRACT 合約的偽代碼見算法1.

算法1.策略管理合約PAP CONTRACT.

輸入:屬性訪問請(qǐng)求AAR,區(qū)塊鏈blocks;

輸出:資源相關(guān)策略集RELEVANT_POLICY_SET.

PAP CONTRACT 算法流程描述.

1)解析AAR得到所請(qǐng)求的資源屬性信息rAttrTuple;

2)遍歷區(qū)塊鏈各區(qū)塊內(nèi)策略類事務(wù)數(shù)據(jù)塊;

3)獲取策略類事務(wù)數(shù)據(jù)塊所對(duì)應(yīng)的屬性布隆過濾器BF;

4)根據(jù)該BF所對(duì)應(yīng)的哈希函數(shù),計(jì)算rAttrTuple所對(duì)應(yīng)的哈希值;

5)若計(jì)算rAttrTuple得到的哈希值與BF中對(duì)應(yīng)位全部為1,則在RELEVANT_POLICY_SET中添加該數(shù)據(jù)塊內(nèi)策略;否則,該數(shù)據(jù)塊中無rAttrTuple的相關(guān)策略;

6)當(dāng)對(duì)所有區(qū)塊內(nèi)策略類事務(wù)遍歷完成后,向PDP 返回資源相關(guān)策略集RELEVANT_POLICY_SET用于權(quán)限判決.

5.2 策略判決合約PDP CONTRACT

· 訪問控制的判決結(jié)果分為兩種類型,分別是允許訪問(PERMIT)和拒絕訪問(DENY):針對(duì)PDP 收到的AAR,若該AAR滿足某一訪問控制策略中的約束和謂詞,則此判決請(qǐng)求為滿足策略,根據(jù)策略描述來PERMIT(PID)或DENY(PID)該AAR請(qǐng)求;

· 如果判決請(qǐng)求不滿足策略,則包括兩種情況:一是AAR中所提供的請(qǐng)求屬性信息不足,從而無法做出判決,使用表示UNKNOWN;另一類是策略集沒有任何一條策略能夠與AAR進(jìn)行匹配,從而無法做出判決UNSATISFY.

因此,訪問控制策略判決階段包括4 類判決結(jié)果PERMIT,DENY,UNKNOWN 和UNSATISFY.

AAR所包括的全部屬性構(gòu)成了訪問請(qǐng)求的關(guān)聯(lián)屬性集,用ATTR_SETAAR來表示.訪問控制策略policy中所包括的全部屬性構(gòu)成了訪問控制策略的關(guān)聯(lián)屬性集,用AAT_SETpolicy來表示.針對(duì)特定的訪問請(qǐng)求,訪問控制的判決PolicyDecide可以表示成如下形式:

PolicyDecide流程如下.

1)若AAT_SETpolicy?ATTR_SETAAR,PolicyDecide(policy)=UNKNOWN;

2)若AAT_SETpolicy?ATTR_SETAAR,且ATTR_SETAAR中屬性值范圍全部符合AAT_SETpolicy中策略屬性約束要求,則PolicyDecide(policy)=SATISFY,SATISFY∈{PERMIT,DENY};

3)若AAT_SETpolicy?ATTR_SETAAR,且ATTR_SETAAR中存在至少一個(gè)屬性值不符合AAT_SETpolicy中策略屬性約束要求,則PolicyDecide(policy)=UNSATISFY.

策略判決過程由策略判決合約PDP CONTRACT 來進(jìn)行,合約的偽代碼見算法2.

算法2.策略判決合約PDP CONTRACT.

輸入:屬性訪問請(qǐng)求AAR,訪問控制策略集POLICY_SET;

輸出:策略判決結(jié)果PERMIT,DENY,UNKNOWN,UNSATISFY.

PDP CONTRACT 算法流程描述.

1)將所有待判決策略放入U(xiǎn)NKNOWN_SET,作為預(yù)判決策略集;

2)遍歷預(yù)判決策略,分別得到 4 個(gè)策略判決結(jié)果集:PERMINT_RESULT_SET,DENY_RESULT_SET,UNSATISFY_RESULT_SET,UNKNOWN_RESULT_SET;

3)根據(jù)判決結(jié)果集,得出AAR請(qǐng)求的最終判決結(jié)果:若存在沖突的判決結(jié)果,進(jìn)行沖突處理后,得到最后的判決結(jié)果.沖突處理可依據(jù)肯定優(yōu)先或否定優(yōu)先等處理原則進(jìn)行沖突消解.

5.3 屬性權(quán)威合約AA CONTRACT

PEP,AAR,PDP 中,屬性語義與屬性值賦值都來源于屬性權(quán)威AA.系統(tǒng)中可能存在多個(gè)AA,AA 中存儲(chǔ)主體屬性、資源屬性、動(dòng)作屬性和環(huán)境屬性的屬性值和屬性間關(guān)系的列表.表1 左側(cè)數(shù)據(jù)表示相關(guān)屬性的屬性值,右側(cè)表示相關(guān)屬性間的屬性關(guān)系.

Table 1 Attribute and attribute relationship表1 屬性及屬性關(guān)系

屬性信息同樣是以事務(wù)的形式存儲(chǔ)在區(qū)塊鏈中,基于Bloom Filter 進(jìn)行屬性管理,AA CONTRACT 相當(dāng)于提供AA 查詢服務(wù)的代理,合約的偽代碼見表3.

算法3.屬性權(quán)威合約AA CONTRACT.

輸入:屬性類事務(wù)atribute_transaction,屬性請(qǐng)求attributeRequest;

輸出:相關(guān)屬性集RELEVANT_ATTRIBUTE_SET.

AA CONTRACT 算法流程描述.

1)接收屬性查詢請(qǐng)求attributeRequest;

2)遍歷區(qū)塊鏈各區(qū)塊內(nèi)屬性類事務(wù)數(shù)據(jù)塊;

3)獲取屬性類事務(wù)數(shù)據(jù)塊所對(duì)應(yīng)的屬性布隆過濾器BF;

4)根據(jù)該BF所對(duì)應(yīng)的哈希函數(shù),計(jì)算對(duì)應(yīng)屬性的哈希值;

5)若計(jì)算得到的哈希值與BF中對(duì)應(yīng)位全部為1,則在RELEVANT_ATTRIBUTE_SET中添加該數(shù)據(jù)塊內(nèi)屬性信息;否則,該數(shù)據(jù)塊中無相關(guān)屬性信息;

6)當(dāng)對(duì)所有區(qū)塊內(nèi)屬性類事務(wù)遍歷完成后,將RELEVANT_POLICY_SET作為響應(yīng)進(jìn)行返回.

6 實(shí)驗(yàn)仿真與分析

通過仿真實(shí)驗(yàn)對(duì)本文所提出的BBAC-BD 機(jī)制有效性進(jìn)行測(cè)試,以驗(yàn)證BBAC-BD 機(jī)制是否能夠?qū)崿F(xiàn)訪問控制策略管理與訪問控制策略判決功能.本文基于XACML 提供的標(biāo)準(zhǔn)策略一致性測(cè)試包中屬性集和策略集進(jìn)行測(cè)試,1 組～6 組的Policy Sample 分別與1 000,2 000,3 000,4 000,5 000,8 000 條單一策略測(cè)試集樣本對(duì)應(yīng),對(duì)開源區(qū)塊鏈平臺(tái)EbCoin 進(jìn)行了擴(kuò)展與改進(jìn),改用PoW 機(jī)制,將PAP CONTRACT,PDP CONTRACT,AA CONTRACT 這3 部分合約代碼與EbCoin 進(jìn)行整合在PC 機(jī)上構(gòu)建3 節(jié)點(diǎn)仿真實(shí)驗(yàn)環(huán)境.實(shí)驗(yàn)環(huán)境如下:操作系統(tǒng)為Windows 10 家庭中文版64 位,CPU 為Intel(R)Core(TM)i7-4710MQ@2.50GHz,內(nèi)存大小為16.00GB,nodejs版本為v8.11.1,npm 版本為5.6.0.

6.1 策略檢索效率測(cè)試

本實(shí)驗(yàn)針對(duì)基于Bloom Filter 策略管理方法對(duì)策略檢索效率的優(yōu)化效果進(jìn)行性能測(cè)試,實(shí)驗(yàn)分別針對(duì)不同查詢規(guī)模的測(cè)試集進(jìn)行匹配查詢測(cè)試,為Bloom Filter 設(shè)置不同參數(shù)進(jìn)行誤差率與檢索時(shí)延的測(cè)試,用于評(píng)估Bloom Filter 不同參數(shù)對(duì)檢索性能的影響.單次時(shí)延的計(jì)算方法是總時(shí)延/總的匹配次數(shù).優(yōu)化效果主要通過策略管理合約中策略的檢索時(shí)延進(jìn)行衡量,時(shí)延越小,其執(zhí)行效率越高,檢索優(yōu)化的效果越好.

由表2 測(cè)試結(jié)果可知,n/k的比值越大,優(yōu)化效果越好.比值越大,所對(duì)應(yīng)的誤判率會(huì)越低,但同時(shí)也會(huì)占用更多的空間成本.同時(shí),誤判率的真實(shí)值一般小于誤判率的理論值.

圖9 與圖10 結(jié)果表明,當(dāng)Hash 的性能較好,即Hash 分布結(jié)果較均勻時(shí),在m=3 的條件下,就能夠達(dá)到預(yù)期使用所能接受的誤判率,Hash 次數(shù)的增加并不會(huì)帶來明顯的收益增加.因此,在條件允許的情況下,盡量擴(kuò)大n/k的值,能夠有效提高查詢性能.這主要是由于Bloom Filter 在策略檢測(cè)的屬性關(guān)鍵字過濾過程中,其檢索時(shí)間受策略集合規(guī)模影響較小,故相比于遍歷檢索過程,基于Bloom Filter 的策略檢索與匹配能夠達(dá)到較高的性能,基于Bloom Filter 的策略檢索能夠有效節(jié)約緩存空間,減少對(duì)緩存的請(qǐng)求次數(shù),提升策略查詢效率以及策略管理業(yè)務(wù)隔離性.

Table 2 Policy retrieval test results表2 策略檢索測(cè)試結(jié)果

Fig.9 Policy retrieval performance圖9 策略檢索性能比較

Fig.10 Effect of m value on the accuracy圖10 m值對(duì)檢索結(jié)果準(zhǔn)確性的影響

6.2 策略判決功能測(cè)試

為了驗(yàn)證BBAC-BD 訪問控制機(jī)制的有效性,本文在不同策略規(guī)模下,對(duì)基于智能合約的訪問控制策略判決功能進(jìn)行了功能性測(cè)試,測(cè)試內(nèi)容包括策略判決的效率與判決結(jié)果的成功率.1 組～5 組的Policy Sample 分別與1 000,2 000,3 000,4 000,5 000 條單一策略測(cè)試集樣本對(duì)應(yīng).測(cè)試集樣本面向80 個(gè)用戶標(biāo)識(shí)構(gòu)建800 次不同的訪問請(qǐng)求,每個(gè)標(biāo)識(shí)平均擁有5 個(gè)屬性值,每個(gè)請(qǐng)求共隨機(jī)發(fā)送5 次,策略判決時(shí)延通過計(jì)算所有請(qǐng)求的平均響應(yīng)時(shí)延得到.

由圖11 可知,策略判決時(shí)延與策略規(guī)模直接相關(guān),隨著策略規(guī)則的增加,訪問控制判決時(shí)延增長(zhǎng)較為明顯.同時(shí),由圖12 可知,隨著策略規(guī)則的增加,策略判決成功率有所下降,這是由于策略集中存在部分沖突策略,針對(duì)沖突策略,策略判決合約無法得到一致性的判決結(jié)果.需要說明的是,本文還未將策略沖突處理部分引入策略判決合約,沖突策略的消解還未有效解決,這部分內(nèi)容將在后續(xù)研究工作中繼續(xù)完善.

Fig.11 Policy decision performance圖11 策略判決性能比較

Fig.12 Policy decision success rate圖12 策略判決結(jié)果成功率比較

6.3 區(qū)塊鏈安全性分析

由于區(qū)塊鏈所面臨的主要安全風(fēng)險(xiǎn)來源于攻擊者對(duì)共識(shí)機(jī)制的攻擊,以此來達(dá)到修改區(qū)塊數(shù)據(jù)的攻擊目標(biāo).為了對(duì)區(qū)塊鏈自身抗攻擊安全性進(jìn)行分析,以采用普遍的PoW 共識(shí)機(jī)制為例,采取文獻(xiàn)[36,37]提出的攻擊模型來分析區(qū)塊鏈所面臨的潛在安全風(fēng)險(xiǎn).誠(chéng)實(shí)節(jié)點(diǎn)可信鏈與惡意節(jié)點(diǎn)攻擊鏈間的競(jìng)爭(zhēng)關(guān)系可以用Binomial Random Walk 過程來進(jìn)行描述,攻擊者偽造的攻擊鏈長(zhǎng)度成功超過可信鏈長(zhǎng)度,從而彌補(bǔ)z個(gè)區(qū)塊差距可能性的問題可被近似地當(dāng)成Gambler’s Ruin Problem.所以,攻擊者成功彌補(bǔ)z個(gè)區(qū)塊差距,成功完成對(duì)區(qū)塊鏈數(shù)據(jù)篡改攻擊的概率計(jì)算方法如下:

其中,p表示誠(chéng)實(shí)節(jié)點(diǎn)獲得下一區(qū)塊記賬權(quán)的概率,q表示攻擊者獲得下一區(qū)塊記賬權(quán)的概率,且p+q=1;qz表示攻擊者最終成功彌補(bǔ)z個(gè)區(qū)塊差距的概率.我們假設(shè)誠(chéng)實(shí)節(jié)點(diǎn)以平均預(yù)期時(shí)間生成一個(gè)新區(qū)塊,攻擊者潛在區(qū)塊鏈延伸長(zhǎng)度符合泊松分布,其期望值如下:

為了計(jì)算攻擊者所生成的區(qū)塊鏈長(zhǎng)度追趕上誠(chéng)實(shí)節(jié)點(diǎn)所生成區(qū)塊鏈長(zhǎng)度的概率,將攻擊者所生成區(qū)塊長(zhǎng)度的泊松分布概率密度與該時(shí)刻攻擊者能夠成功追趕誠(chéng)實(shí)節(jié)點(diǎn)可信鏈的概率相乘,即為攻擊者成功篡改區(qū)塊數(shù)據(jù)的概率pa為

通過Matlab 進(jìn)行仿真,分析攻擊者成功篡改區(qū)塊數(shù)據(jù)的概率pa與區(qū)塊差距z及攻擊者獲得下一區(qū)塊記賬權(quán)的概率p之間的關(guān)系如圖13 所示.由仿真結(jié)果可知:攻擊者成功篡改區(qū)塊數(shù)據(jù)概率隨著區(qū)塊鏈距離的增加呈現(xiàn)指數(shù)下降趨勢(shì),并且當(dāng)區(qū)塊距離相同時(shí),成功篡改區(qū)塊概率隨著攻擊者攻擊能力的提升顯著增加,當(dāng)攻擊者獲取區(qū)塊鏈網(wǎng)絡(luò)內(nèi)50%以上的奪取記賬權(quán)能力時(shí),才能夠控制整個(gè)區(qū)塊鏈全部數(shù)據(jù).當(dāng)攻擊者所掌握的奪取記賬權(quán)能力較低時(shí),通過采取適當(dāng)?shù)膮^(qū)塊距離,區(qū)塊鏈能夠達(dá)到較好的抗攻擊效果.

Fig.13 Attacker success probability圖13 攻擊者成功概率

7 結(jié)束語

本文提出一種面向大數(shù)據(jù)資源的訪問控制機(jī)制BBAC-BD,該機(jī)制將區(qū)塊鏈技術(shù)與ABAC 模型相結(jié)合,借助區(qū)塊鏈所具有的可追溯、不可篡改等特點(diǎn),通過區(qū)塊鏈?zhǔn)聞?wù)管理訪問控制策略及屬性,實(shí)現(xiàn)了策略發(fā)布、更新以及撤銷全流程的策略管理與追蹤.策略以公開、透明的形式存放在區(qū)塊鏈中,任何用戶都可以對(duì)其進(jìn)行查詢,從傳統(tǒng)基于第三方提供訪問控制服務(wù)的模式中解脫出來,解決了權(quán)限判決透明度的問題.同時(shí),通過智能合約,基于資源擁有者發(fā)布到區(qū)塊鏈上的策略,實(shí)現(xiàn)對(duì)大數(shù)據(jù)資源自動(dòng)化的訪問控制,判決過程更加靈活、判決結(jié)果更加可信.BBAC-BD 機(jī)制實(shí)現(xiàn)了安全、可靠、透明的新型訪問控制架構(gòu),能夠有效促進(jìn)大數(shù)據(jù)的安全流通與共享.