基于區(qū)塊鏈的訪問(wèn)控制技術(shù)研究進(jìn)展

高振升，曹利峰，杜學(xué)繪

（信息工程大學(xué)，河南 鄭州 450001）

1 引言

隨著物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的興起，人們悄然進(jìn)入大數(shù)據(jù)時(shí)代，與此同時(shí)，數(shù)據(jù)成為重要的經(jīng)濟(jì)資產(chǎn)[1]，成為新的生產(chǎn)因素滲透到各行各業(yè)。隨著數(shù)據(jù)資源的廣泛共享，數(shù)據(jù)資源的安全問(wèn)題受到越來(lái)越多的關(guān)注，特別是對(duì)敏感數(shù)據(jù)的安全防護(hù)正面臨著嚴(yán)峻的挑戰(zhàn)。首先，數(shù)據(jù)資源的外包存儲(chǔ)服務(wù)使個(gè)人的數(shù)據(jù)不受自己掌控，分布式存儲(chǔ)數(shù)據(jù)的流通共享變得愈加復(fù)雜，這帶來(lái)了潛在的安全風(fēng)險(xiǎn)。其次，利用數(shù)據(jù)挖掘技術(shù)，原有的“低價(jià)值”數(shù)據(jù)經(jīng)過(guò)聚類(lèi)分類(lèi)能夠推導(dǎo)出固定的用戶(hù)模式，導(dǎo)致信息泄露。最后，由于龐大的數(shù)據(jù)量以及數(shù)據(jù)的非結(jié)構(gòu)化，針對(duì)性的數(shù)據(jù)竊取、篡改、勒索等惡意攻擊更難防范。實(shí)際上，相應(yīng)的安全事件已經(jīng)屢見(jiàn)不鮮，2014年5月，eBay的用戶(hù)數(shù)據(jù)庫(kù)遭到冒充員工的黑客的攻擊，導(dǎo)致1.45億用戶(hù)的賬號(hào)信息泄露；2018年3月，F(xiàn)acebook被曝出約5000萬(wàn)條的用戶(hù)信息被第三方公司違規(guī)收集并使用；2018年3月，圓通10億條用戶(hù)快遞信息在暗網(wǎng)被兜售，至今未溯源到泄露原因。2018年互聯(lián)網(wǎng)大會(huì)上發(fā)布的《大數(shù)據(jù)安全白皮書(shū)》中指出，要在大數(shù)據(jù)平臺(tái)基本組件安全的基礎(chǔ)上為數(shù)據(jù)和應(yīng)用提供安全機(jī)制保障，并在數(shù)據(jù)安全的基礎(chǔ)上實(shí)現(xiàn)對(duì)個(gè)人敏感信息的安全防護(hù)[2]。

訪問(wèn)控制技術(shù)最早可以追溯到20世紀(jì)70年代，它的誕生是為了滿(mǎn)足當(dāng)時(shí)大型主機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)訪問(wèn)需求。訪問(wèn)控制作為一種重要的信息安全技術(shù)，它通過(guò)某種途徑顯式地準(zhǔn)許或限制主體對(duì)客體訪問(wèn)能力及范圍[3]，實(shí)現(xiàn)保證用戶(hù)在其合法權(quán)限內(nèi)訪問(wèn)數(shù)據(jù)，并禁止非授權(quán)用戶(hù)的違規(guī)和越界操作。在大數(shù)據(jù)的環(huán)境中，訪問(wèn)控制技術(shù)仍是重要的數(shù)據(jù)保護(hù)手段，但大數(shù)據(jù)的4V特點(diǎn)，即Volume（體量大）、Variety（模態(tài)繁多）、Velocity（生成快速）和Value（價(jià)值巨大但密度低）[4]，給現(xiàn)有的訪問(wèn)控制技術(shù)帶來(lái)了挑戰(zhàn)。傳統(tǒng)的訪問(wèn)控制機(jī)制無(wú)法應(yīng)對(duì)大數(shù)據(jù)環(huán)境下信息共享程度高、數(shù)據(jù)流通快、分布式存儲(chǔ)的特點(diǎn)，面臨著上文示例的數(shù)據(jù)主權(quán)難維護(hù)、訪問(wèn)權(quán)限難界定、第三方泄露難防范等問(wèn)題，這給訪問(wèn)控制技術(shù)的發(fā)展帶來(lái)了“桎梏”。

區(qū)塊鏈最早出現(xiàn)于2008年中本聰發(fā)表的Bitcoin: a peer-to-peer electronic cash system[5]，而且準(zhǔn)確地說(shuō)其中只提出了“區(qū)塊”（block）和“鏈”（chain），還沒(méi)有出現(xiàn)“區(qū)塊鏈”（blockchain）這個(gè)詞。早期的區(qū)塊鏈作為虛擬貨幣系統(tǒng)的底層技術(shù)，還沒(méi)有引起人們的重視，直到比特幣系統(tǒng)穩(wěn)定運(yùn)行三四年后，業(yè)界才漸漸關(guān)注到區(qū)塊鏈技術(shù)去中心化、安全可信的特點(diǎn)，并將其拓展應(yīng)用到各個(gè)領(lǐng)域。

區(qū)塊鏈具有分布式、交易透明、難以篡改的特點(diǎn)以及無(wú)須第三方背書(shū)的可信機(jī)制，這與大數(shù)據(jù)環(huán)境下訪問(wèn)控制需要解決的分布式部署、審計(jì)機(jī)制、信任機(jī)制的需求不謀而合。正因如此，基于區(qū)塊鏈的訪問(wèn)控制自從提出就受到了諸多學(xué)者的關(guān)注，圖1顯示了在Web of Science數(shù)據(jù)庫(kù)中，以blockchain和access control為關(guān)鍵詞檢索得到的文獻(xiàn)情況（截至2020年12月），可以看到目前結(jié)合區(qū)塊鏈的訪問(wèn)控制機(jī)制正處在研究的上升期。在大數(shù)據(jù)背景下，諸多基于區(qū)塊鏈的訪問(wèn)控制機(jī)制已經(jīng)在物聯(lián)網(wǎng)、云計(jì)算、醫(yī)療、工業(yè)自動(dòng)化等多個(gè)領(lǐng)域被提出并應(yīng)用，且仍有較大的改進(jìn)空間和廣闊的應(yīng)用場(chǎng)景。

圖1 Web of Science中檢索相關(guān)論文按年份發(fā)表情況Figure 1 Relevant papers retrieved in Web of Science published by year

2 大數(shù)據(jù)訪問(wèn)控制分析

2.1 大數(shù)據(jù)下的熱點(diǎn)技術(shù)

移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及云計(jì)算等熱點(diǎn)的崛起在很大限度上是大數(shù)據(jù)產(chǎn)生的原因[6]。如果將大數(shù)據(jù)比作數(shù)據(jù)分析員，那么物聯(lián)網(wǎng)作為感知器官，負(fù)責(zé)時(shí)時(shí)刻刻收集周邊的各種信息，云計(jì)算則是大腦，負(fù)責(zé)存儲(chǔ)海量的數(shù)據(jù)，并提供強(qiáng)大的計(jì)算能力以支持?jǐn)?shù)據(jù)分析，而網(wǎng)絡(luò)通信技術(shù)則作為神經(jīng)器官，負(fù)責(zé)信息的傳遞與共享，如圖2所示。

圖2 大數(shù)據(jù)與物聯(lián)網(wǎng)、云計(jì)算、通信網(wǎng)絡(luò)的關(guān)系Figure 2 The relationship between big data and the internet of things,cloud computing, communication network

物聯(lián)網(wǎng)的概念在1999年首次被提出，它強(qiáng)調(diào)在互聯(lián)網(wǎng)的基礎(chǔ)上實(shí)現(xiàn)物品與網(wǎng)絡(luò)的互聯(lián)，并在物品設(shè)備間進(jìn)行信息通信和交換，形成智能化功能的網(wǎng)絡(luò)。經(jīng)過(guò)20多年的發(fā)展，特別是隨著智能攝像頭、可穿戴設(shè)備、智能汽車(chē)等設(shè)備的普及，對(duì)物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)保護(hù)問(wèn)題已經(jīng)引起越來(lái)越多研究者的注意。物聯(lián)網(wǎng)場(chǎng)景下數(shù)據(jù)的訪問(wèn)控制技術(shù)主要面臨3個(gè)方面的挑戰(zhàn)：① 物聯(lián)網(wǎng)設(shè)備的部署多是分布式架構(gòu)，對(duì)網(wǎng)絡(luò)中終端設(shè)備的針對(duì)性攻擊難以防范，要求訪問(wèn)控制機(jī)制應(yīng)具備一定的容錯(cuò)性，避免少量虛假數(shù)據(jù)造成整個(gè)系統(tǒng)的癱瘓；② 數(shù)據(jù)的存儲(chǔ)呈現(xiàn)分布式的特征，設(shè)計(jì)的訪問(wèn)控制機(jī)制應(yīng)具備多地協(xié)作統(tǒng)一的能力；③ 物聯(lián)網(wǎng)中存在著大量以攝像頭、傳感器為代表的信息采集設(shè)備，其產(chǎn)生的數(shù)據(jù)價(jià)值密度低但是數(shù)量巨大，如何實(shí)現(xiàn)對(duì)這些“數(shù)據(jù)原料”的安全防護(hù)也是需要研究的問(wèn)題。

云計(jì)算依托于互聯(lián)網(wǎng)，通過(guò)在網(wǎng)絡(luò)上提供快速的云計(jì)算服務(wù)與數(shù)據(jù)存儲(chǔ)服務(wù)，讓用戶(hù)可以使用網(wǎng)絡(luò)上的外包數(shù)據(jù)庫(kù)與計(jì)算資源，它的普及為企業(yè)和用戶(hù)提供了靈活高效的數(shù)字資源管理服務(wù)。但是近些年來(lái)云平臺(tái)上的數(shù)據(jù)泄密事件，讓人們意識(shí)到云計(jì)算中數(shù)據(jù)安全管控的重要性。云計(jì)算場(chǎng)景下，對(duì)數(shù)據(jù)的訪問(wèn)控制技術(shù)主要面臨3個(gè)方面的挑戰(zhàn)：① 云計(jì)算環(huán)境中用戶(hù)對(duì)個(gè)人數(shù)據(jù)難以管控，云服務(wù)商對(duì)訪問(wèn)權(quán)限的履行情況難以確定，導(dǎo)致個(gè)人敏感數(shù)據(jù)的泄露；② 云計(jì)算環(huán)境中用戶(hù)來(lái)源廣泛且數(shù)據(jù)類(lèi)型多樣，如何在滿(mǎn)足用戶(hù)數(shù)據(jù)分享需求的前提下，制定訪問(wèn)控制策略，實(shí)現(xiàn)細(xì)粒度的數(shù)據(jù)訪問(wèn)控制并杜絕非必要信息的泄露也是待解決的問(wèn)題；③ 云計(jì)算環(huán)境中數(shù)據(jù)資源更新速度快，數(shù)據(jù)的上傳和下載影響著用戶(hù)的數(shù)據(jù)狀態(tài)，靜態(tài)的權(quán)限授予策略有時(shí)難以應(yīng)對(duì)數(shù)據(jù)的快速演變，因此設(shè)計(jì)實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)控制機(jī)制顯得尤為必要。

2.2 大數(shù)據(jù)下訪問(wèn)控制的需求

結(jié)合2.1節(jié)對(duì)大數(shù)據(jù)環(huán)境下關(guān)鍵場(chǎng)景的分析，總結(jié)目前訪問(wèn)控制技術(shù)面臨以下6個(gè)方面的挑戰(zhàn)。

挑戰(zhàn)1：分布式架構(gòu)的部署。大數(shù)據(jù)特別是物聯(lián)網(wǎng)的興起，引發(fā)了分布式的浪潮，大量的數(shù)據(jù)在信息共享系統(tǒng)的存儲(chǔ)呈現(xiàn)出地理區(qū)域隔離、安全域隔離的特點(diǎn)。這要求訪問(wèn)控制系統(tǒng)在分布式架構(gòu)下要具有協(xié)調(diào)統(tǒng)一的跨域管理機(jī)制，特別是在不同的數(shù)據(jù)域有著不同的安全需求時(shí)，相應(yīng)的管理機(jī)制更加復(fù)雜。

挑戰(zhàn)2：權(quán)限管理策略。大數(shù)據(jù)環(huán)境中的訪問(wèn)控制主體組成復(fù)雜，信息共享頻繁，數(shù)據(jù)流通管理困難。巨大的數(shù)據(jù)量、用戶(hù)的多樣需求和服務(wù)商的多類(lèi)型業(yè)務(wù)都給權(quán)限管理帶來(lái)了挑戰(zhàn)，權(quán)限管理策略應(yīng)當(dāng)具有可信的授予、更新、刪除機(jī)制。

挑戰(zhàn)3：細(xì)粒度訪問(wèn)控制。由于數(shù)據(jù)體量浩大和模態(tài)繁多的特點(diǎn)，傳統(tǒng)的授權(quán)模式難以滿(mǎn)足最小授權(quán)原則[7]。為了維護(hù)訪問(wèn)邊界，禁止越權(quán)訪問(wèn)，需制定適宜應(yīng)用場(chǎng)景的近似最小授權(quán)訪問(wèn)策略。

挑戰(zhàn)4：敏感數(shù)據(jù)保護(hù)。大數(shù)據(jù)環(huán)境下，包括聊天信息、購(gòu)物記錄、醫(yī)療數(shù)據(jù)、瀏覽記錄等個(gè)人數(shù)據(jù)都在未經(jīng)授權(quán)的情況下被第三方收集。這些看似“低價(jià)值”的數(shù)據(jù)經(jīng)過(guò)挖掘，往往可以推導(dǎo)出用戶(hù)的身份信息、喜愛(ài)偏好、健康情況等，而泄露的信息被第三方惡意使用，就會(huì)出現(xiàn)商品“殺熟”、虛假?gòu)V告、隱私敲詐等問(wèn)題，這就需要設(shè)計(jì)針對(duì)敏感數(shù)據(jù)的隱私保護(hù)機(jī)制。

挑戰(zhàn)5：動(dòng)態(tài)訪問(wèn)控制。大數(shù)據(jù)環(huán)境中的數(shù)據(jù)更新速度快，用戶(hù)和服務(wù)商時(shí)時(shí)刻刻都在進(jìn)行數(shù)據(jù)的上傳和下載，所以相應(yīng)的訪問(wèn)控制機(jī)制也應(yīng)具有調(diào)整策略，并考慮到訪問(wèn)控制策略實(shí)施滯后性，部署能夠靈活地根據(jù)客體屬性和主體需求變化進(jìn)行實(shí)時(shí)動(dòng)態(tài)調(diào)整的訪問(wèn)控制機(jī)制。

挑戰(zhàn)6：權(quán)限核查。數(shù)據(jù)的體量大且模態(tài)繁多的情況下，相應(yīng)的權(quán)限分配會(huì)愈加復(fù)雜，特別是在多方信息共享的情景下，不信任的雙方進(jìn)行通信時(shí)需要互相核查對(duì)方的身份和權(quán)限，這需要建立相應(yīng)的保證機(jī)制，減少雙方的審核開(kāi)銷(xiāo)。

2.3 傳統(tǒng)訪問(wèn)控制機(jī)制的不足

訪問(wèn)控制作為數(shù)據(jù)保護(hù)的基石性技術(shù)之一，用以控制訪問(wèn)主體和客體之間的數(shù)據(jù)安全交互。隨著計(jì)算機(jī)技術(shù)的發(fā)展，對(duì)訪問(wèn)控制的要求愈加細(xì)化，訪問(wèn)控制技術(shù)也隨之得到完善和發(fā)展。目前主要的訪問(wèn)控制模型有基于角色的訪問(wèn)控制（RBAC，role-based access control）[8]、基于屬性的訪問(wèn)控制（ABAC，attributes based access control）[9]、基于任務(wù)的訪問(wèn)控制（TBAC，task-based access control）[10-11]等。

基于角色的訪問(wèn)控制的核心思想是在用戶(hù)集和權(quán)限集之間建立一層角色集，對(duì)每種角色設(shè)定一組對(duì)應(yīng)的訪問(wèn)權(quán)限，在對(duì)用戶(hù)進(jìn)行授權(quán)時(shí)只需建立起用戶(hù)到角色的映射，這樣用戶(hù)直接擁有該角色的全部權(quán)限。RBAC的出現(xiàn)簡(jiǎn)化了用戶(hù)的權(quán)限管理，減少了系統(tǒng)的操作開(kāi)銷(xiāo)，適用于企業(yè)級(jí)的數(shù)據(jù)安全管控。但是在大數(shù)據(jù)環(huán)境下，RBAC仍面臨兩個(gè)問(wèn)題。一是復(fù)雜的系統(tǒng)環(huán)境讓角色的設(shè)計(jì)成為一項(xiàng)艱巨的挑戰(zhàn)，角色挖掘的需求顯得尤為突出。Molloy等[12-14]致力于復(fù)雜數(shù)據(jù)集下的角色挖掘工作，這給基于RBAC的大數(shù)據(jù)管理帶來(lái)了顯著的改進(jìn)，但是大數(shù)據(jù)應(yīng)用中的訪問(wèn)權(quán)限依然難以細(xì)化到各個(gè)角色上，過(guò)度授權(quán)和授權(quán)不足的現(xiàn)象難以避免。二是難以實(shí)現(xiàn)分布式環(huán)境下的授權(quán)需求，文獻(xiàn)[15]提出將RBAC與證書(shū)認(rèn)證相結(jié)合，用以克服RBAC模型中集中式管理的缺陷，但是證書(shū)的頒發(fā)工作仍需要中心化的權(quán)威服務(wù)器執(zhí)行，不能普及到節(jié)點(diǎn)完全對(duì)等的分布式環(huán)境中。

基于屬性的訪問(wèn)控制核心思想是基于實(shí)體的屬性來(lái)判決是否允許用戶(hù)對(duì)資源的訪問(wèn)，其中訪問(wèn)控制策略可以根據(jù)屬性值以及屬性之間的關(guān)系靈活制定。ABAC克服了角色身份的限制，能夠通過(guò)屬性對(duì)訪問(wèn)權(quán)限進(jìn)行描述，具備實(shí)現(xiàn)最小授權(quán)原則的條件。例如，文獻(xiàn)[16-17]探索了將ABAC應(yīng)用于大數(shù)據(jù)訪問(wèn)控制的可能性，并提出將機(jī)器學(xué)習(xí)算法應(yīng)用于復(fù)雜組織集和屬性集下的訪問(wèn)控制策略制定，能夠應(yīng)對(duì)較大數(shù)據(jù)規(guī)模下的訪問(wèn)控制需求。但是在大數(shù)據(jù)不可信的網(wǎng)絡(luò)環(huán)境下，ABAC也存在著安全問(wèn)題：一是訪問(wèn)策略由用戶(hù)自定義制定，策略的執(zhí)行依然依托第三方背書(shū)的權(quán)威機(jī)構(gòu)，其執(zhí)行結(jié)果往往用戶(hù)無(wú)法跟蹤，個(gè)人的數(shù)據(jù)泄露難以察覺(jué)；二是用戶(hù)制定的策略存儲(chǔ)在服務(wù)器上，也有受到黑客篡改的可能，致使數(shù)據(jù)的泄露。

基于任務(wù)的訪問(wèn)控制是從工作流的角度出發(fā)，通過(guò)將業(yè)務(wù)劃分為多個(gè)任務(wù)，然后依據(jù)任務(wù)和任務(wù)狀態(tài)對(duì)權(quán)限進(jìn)行動(dòng)態(tài)管理，適用于解決分布式環(huán)境下多機(jī)構(gòu)參與的信息管控需求。TBAC的訪問(wèn)權(quán)限與任務(wù)相綁定，任務(wù)執(zhí)行完則權(quán)限被消耗，所以主體對(duì)客體的訪問(wèn)具有時(shí)間窗口，提升了安全性。但是TBAC僅關(guān)注工作流，沒(méi)有設(shè)計(jì)對(duì)主體和客體的約束，不符合實(shí)際的應(yīng)用情況，因此它往往作為補(bǔ)充機(jī)制與其他的訪問(wèn)控制模型結(jié)合使用。

此外，有學(xué)者將基于風(fēng)險(xiǎn)的訪問(wèn)控制引入大數(shù)據(jù)領(lǐng)域，文獻(xiàn)[18]提出使用基于風(fēng)險(xiǎn)的訪問(wèn)控制來(lái)管理患者醫(yī)療數(shù)據(jù)，通過(guò)對(duì)醫(yī)生的訪問(wèn)行為進(jìn)行評(píng)估，給每位醫(yī)生量化其風(fēng)險(xiǎn)，進(jìn)而限制高風(fēng)險(xiǎn)醫(yī)生的過(guò)度訪問(wèn)。文獻(xiàn)[19]則將風(fēng)險(xiǎn)概念引入云計(jì)算中，云租戶(hù)和服務(wù)商可以通過(guò)自定義的風(fēng)險(xiǎn)策略來(lái)管理自己的數(shù)據(jù)，從而適應(yīng)云環(huán)境下資源和用戶(hù)靈活度高、可伸縮性強(qiáng)的特點(diǎn)?？傮w來(lái)說(shuō)，基于風(fēng)險(xiǎn)的訪問(wèn)控制能夠適應(yīng)動(dòng)態(tài)性強(qiáng)、可擴(kuò)展性高的系統(tǒng)，但是也存在風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)難確定、風(fēng)險(xiǎn)衡量結(jié)果不可信的問(wèn)題。

3 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)是一種去中心化、去信任化的分布式數(shù)據(jù)庫(kù)技術(shù)方案[20]，它并不是一項(xiàng)新的技術(shù)，而是革命性的技術(shù)組合。一個(gè)完整的區(qū)塊鏈系統(tǒng)通過(guò)哈希算法和時(shí)間戳保證數(shù)據(jù)區(qū)塊難以篡改和不可偽造；利用數(shù)字簽名實(shí)現(xiàn)交易的確認(rèn)與驗(yàn)證；利用對(duì)等網(wǎng)絡(luò)上的共識(shí)機(jī)制實(shí)現(xiàn)各個(gè)誠(chéng)實(shí)節(jié)點(diǎn)記賬的一致性；利用Merkle樹(shù)實(shí)現(xiàn)區(qū)塊數(shù)據(jù)的快速歸納和校驗(yàn)。區(qū)塊鏈技術(shù)帶來(lái)的顛覆性思想，讓業(yè)界將其作為“價(jià)值互聯(lián)網(wǎng)”的基礎(chǔ)協(xié)議[21]，在訪問(wèn)控制領(lǐng)域具有天然的安全優(yōu)勢(shì)。

3.1 區(qū)塊鏈架構(gòu)

自2008年比特幣誕生以來(lái)，區(qū)塊鏈技術(shù)一直在持續(xù)地改進(jìn)和發(fā)展，特別是隨著以太坊、EOS等項(xiàng)目的提出，讓人們看到它在多種場(chǎng)景下的應(yīng)用潛力。Swan發(fā)表的Blockchain：Blueprint for a new economy中將區(qū)塊鏈技術(shù)的應(yīng)用分為3個(gè)層次，即區(qū)塊鏈1.0、區(qū)塊鏈2.0、區(qū)塊鏈3.0[22]。其中，區(qū)塊鏈1.0架構(gòu)應(yīng)用于虛擬貨幣系統(tǒng)，即與支付、轉(zhuǎn)賬、審計(jì)相關(guān)的密碼學(xué)貨幣的應(yīng)用。區(qū)塊鏈2.0架構(gòu)的主要關(guān)注點(diǎn)在于智能合約的應(yīng)用，其核心理念在于利用區(qū)塊鏈的高可信性，把其作為一個(gè)可編程的分布式可信任基礎(chǔ)設(shè)施，從而將其應(yīng)用拓展到認(rèn)證、拍賣(mài)、知識(shí)產(chǎn)權(quán)保護(hù)等需要建立信任機(jī)制的領(lǐng)域。區(qū)塊鏈3.0架構(gòu)還沒(méi)有準(zhǔn)確的定義，但其核心思想是在區(qū)塊鏈2.0的基礎(chǔ)上，建立起實(shí)際的分布式系統(tǒng)，將其應(yīng)用領(lǐng)域再次拓展到政務(wù)、工業(yè)、醫(yī)療、藝術(shù)等領(lǐng)域，實(shí)現(xiàn)廣義的可信任“資產(chǎn)”交易。

區(qū)塊鏈的基礎(chǔ)架構(gòu)如圖3所示，區(qū)塊鏈系統(tǒng)可分為基礎(chǔ)網(wǎng)絡(luò)層、中間協(xié)議層以及應(yīng)用服務(wù)層。其中，基礎(chǔ)網(wǎng)絡(luò)層可細(xì)分為數(shù)據(jù)層和網(wǎng)絡(luò)層，中間協(xié)議層可細(xì)分為共識(shí)層、激勵(lì)層和合約層。接下來(lái)分析架構(gòu)中與基于區(qū)塊鏈的訪問(wèn)控制機(jī)制相關(guān)的關(guān)鍵技術(shù)。

圖3 區(qū)塊鏈的基礎(chǔ)架構(gòu)Figure 3 Blockchain infrastructure

3.2 數(shù)據(jù)區(qū)塊結(jié)構(gòu)

區(qū)塊鏈的區(qū)塊結(jié)構(gòu)保證了數(shù)據(jù)只增不減、難以篡改、可以溯源的特性。如圖4所示，區(qū)塊鏈在區(qū)塊體內(nèi)以Merkle樹(shù)的形式存儲(chǔ)交易數(shù)據(jù)，在區(qū)塊頭存儲(chǔ)時(shí)間戳、區(qū)塊哈希、隨機(jī)數(shù)、Merkle根等信息。Merkle樹(shù)以二叉樹(shù)的結(jié)構(gòu)進(jìn)行哈希運(yùn)算，實(shí)現(xiàn)交易信息的“壓縮”和防篡改，達(dá)到數(shù)據(jù)校驗(yàn)和快速歸納的目的。時(shí)間戳用于記錄當(dāng)前區(qū)塊數(shù)據(jù)的寫(xiě)入時(shí)間，它為區(qū)塊數(shù)據(jù)增加了一個(gè)時(shí)間維度，增強(qiáng)數(shù)據(jù)的可追溯性。此外，每個(gè)區(qū)塊利用哈希算法，結(jié)合隨機(jī)數(shù)和Merkle根等信息得到其區(qū)塊頭的哈希值，并將其作為下一區(qū)塊的目標(biāo)哈希，以實(shí)現(xiàn)記賬權(quán)的競(jìng)爭(zhēng)機(jī)制。在此機(jī)制下，區(qū)塊頭的哈希值成為區(qū)塊間的鏈接“指針”，實(shí)現(xiàn)了區(qū)塊鏈的鏈?zhǔn)浇Y(jié)構(gòu)，保證了區(qū)塊數(shù)據(jù)的存儲(chǔ)可信性。

圖4 區(qū)塊鏈的數(shù)據(jù)結(jié)構(gòu)Figure 4 Data structure of blockchain

3.3 共識(shí)機(jī)制

作為去中心化的記賬系統(tǒng)，區(qū)塊鏈通過(guò)共識(shí)機(jī)制來(lái)實(shí)現(xiàn)互不信任的分布式節(jié)點(diǎn)之間就交易的合法性達(dá)成一致性共識(shí)。區(qū)塊鏈的共識(shí)機(jī)制解決了分布式記賬數(shù)據(jù)庫(kù)的兩個(gè)問(wèn)題：賬本的寫(xiě)入權(quán)歸屬和節(jié)點(diǎn)之間的賬本同步。研究者認(rèn)為區(qū)塊鏈的共識(shí)問(wèn)題可被歸納為文獻(xiàn)[23]提出的拜占庭將軍問(wèn)題，而文獻(xiàn)[24]提出的Fischer-Lynch-Paterson定理證明：在含有多個(gè)確定性進(jìn)程的異步系統(tǒng)中，只要有一個(gè)進(jìn)程可能發(fā)生故障，就不存在協(xié)議能保證在有限時(shí)間內(nèi)使所有進(jìn)程達(dá)成一致。因此，研究者根據(jù)實(shí)際的工程模型，通過(guò)附加同步性假設(shè)、時(shí)間假設(shè)等限制條件提出了許多共識(shí)算法，并根據(jù)設(shè)定的條件可分為強(qiáng)一致性共識(shí)和最終一致性共識(shí)兩大類(lèi)。

強(qiáng)一致性共識(shí)算法一般應(yīng)用在節(jié)點(diǎn)數(shù)較少且具備節(jié)點(diǎn)準(zhǔn)入機(jī)制的聯(lián)盟鏈和私有鏈環(huán)境中，如實(shí)用拜占庭容錯(cuò)機(jī)制（PBFT）和Raft機(jī)制等。而目前應(yīng)用比較廣泛的工作量證明機(jī)制（PoW）、權(quán)益證明機(jī)制（PoS）以及股份授權(quán)證明（DPoS）都屬于最終一致性共識(shí)算法，它們多應(yīng)用在節(jié)點(diǎn)數(shù)量巨大的公開(kāi)鏈環(huán)境中。通過(guò)查閱相關(guān)資料以及參考文獻(xiàn)[25]的工作，將常見(jiàn)的共識(shí)機(jī)制歸納如表1所示。

表1 常見(jiàn)的共識(shí)機(jī)制對(duì)比Table 1 Comparison of consensus mechanisms

3.4 智能合約

智能合約可以被看作一種計(jì)算機(jī)程序，是開(kāi)發(fā)者根據(jù)已經(jīng)制定好的合約條款轉(zhuǎn)換成的運(yùn)算邏輯，它會(huì)時(shí)刻監(jiān)督用戶(hù)的數(shù)據(jù)狀態(tài)和行為信息，并根據(jù)已經(jīng)制定好的邏輯規(guī)則，保證合約的順利執(zhí)行。智能合約的概念在1994年被提出，并將其描述為“由計(jì)算機(jī)處理的、可執(zhí)行合約條款的交易協(xié)議”[26]，但由于當(dāng)時(shí)的技術(shù)不成熟以及安全機(jī)制不完善，這個(gè)概念難以應(yīng)用落地。而區(qū)塊鏈有著難以篡改、公開(kāi)透明、安全可信的特點(diǎn)，能夠?yàn)橹悄芎霞s提供高可信度的存儲(chǔ)和執(zhí)行環(huán)境，使智能合約重新受到許多研究者的重視，得以快速發(fā)展。特別是在以以太坊為代表的區(qū)塊鏈架構(gòu)2.0下，智能合約成為其核心關(guān)鍵組件，已經(jīng)成為未來(lái)互聯(lián)網(wǎng)合約的重要研究方向，有著廣泛的應(yīng)用空間。智能合約的工作機(jī)制可劃分為智能合約的部署和智能合約的執(zhí)行兩個(gè)部分。

以以太坊為例，如圖5所示，智能合約的部署首先由開(kāi)發(fā)人員按照預(yù)定的協(xié)議編寫(xiě)智能合約代碼，再編譯為字節(jié)碼后通過(guò)geth客戶(hù)端上傳至區(qū)塊鏈網(wǎng)絡(luò)，包含有該合約的區(qū)塊在經(jīng)過(guò)全網(wǎng)驗(yàn)證后會(huì)被寫(xiě)入每個(gè)節(jié)點(diǎn)管理的區(qū)塊鏈上，一段時(shí)間后通過(guò)記賬節(jié)點(diǎn)完成智能合約上鏈。在完成智能合約的部署后，智能合約以賬戶(hù)的形式保存在區(qū)塊鏈上，用戶(hù)通過(guò)該賬戶(hù)的地址訂閱智能合約。如圖6所示，智能合約會(huì)定期檢查用戶(hù)是否滿(mǎn)足觸發(fā)條件，在條件觸發(fā)后通過(guò)一筆事務(wù)調(diào)用合約，合約代碼會(huì)在本地的以太坊智能合約虛擬機(jī)（EVM）上執(zhí)行，之后再對(duì)執(zhí)行結(jié)果打包、廣播、驗(yàn)證，在其他節(jié)點(diǎn)確認(rèn)無(wú)誤的情況下將執(zhí)行結(jié)果上傳到區(qū)塊鏈上。

圖5 智能合約的部署流程Figure 5 Deployment process of smart contract

圖6 智能合約的執(zhí)行流程Figure 6 Execution process of smart contract

4 基于區(qū)塊鏈的訪問(wèn)控制機(jī)制分析

區(qū)塊鏈具有分布式、交易透明、難以篡改的特點(diǎn)以及無(wú)須第三方背書(shū)的可信機(jī)制，這與大數(shù)據(jù)環(huán)境下訪問(wèn)控制需要解決的分布式部署、審計(jì)機(jī)制、信任機(jī)制的需求不謀而合，區(qū)塊鏈技術(shù)與訪問(wèn)控制技術(shù)結(jié)合有以下6點(diǎn)優(yōu)勢(shì)。

1) 策略和權(quán)限可信任。由于區(qū)塊鏈難以篡改的特點(diǎn)，訪問(wèn)權(quán)限數(shù)據(jù)以及部署的智能合約在經(jīng)過(guò)共識(shí)機(jī)制存儲(chǔ)到區(qū)塊之后將無(wú)法刪除和更改，這避免了針對(duì)性的權(quán)限篡改、刪除等惡意攻擊，為權(quán)限管理機(jī)制提供了安全保障。

2) 策略和權(quán)限可核查。區(qū)塊鏈上的數(shù)據(jù)公開(kāi)可查詢(xún)，這在多方信息共享系統(tǒng)中有著重要作用。策略的透明建立起了參與方對(duì)系統(tǒng)安全的信任，避免“后門(mén)”問(wèn)題。權(quán)限透明且難以篡改，使通信雙方可以在無(wú)須第三方背書(shū)的情況下建立起信任機(jī)制，簡(jiǎn)化了交易流程，降低了信任成本。

3) 分布式賬本。區(qū)塊鏈去中心化的思想與大數(shù)據(jù)時(shí)代的分布式環(huán)境相符合，區(qū)塊鏈中的P2P(peer-to-peer)網(wǎng)絡(luò)、共識(shí)算法和分布式數(shù)據(jù)庫(kù)等機(jī)制適合應(yīng)用于分布式架構(gòu)的系統(tǒng)。同時(shí)區(qū)塊鏈中的賬本分布式地存儲(chǔ)各個(gè)節(jié)點(diǎn)上，增強(qiáng)了系統(tǒng)的健壯性，網(wǎng)絡(luò)中部分節(jié)點(diǎn)出現(xiàn)故障不會(huì)影響系統(tǒng)的運(yùn)行或者造成數(shù)據(jù)的丟失，也避免了集中式管理帶來(lái)的針對(duì)性攻擊問(wèn)題。

4) 訪問(wèn)策略自動(dòng)化實(shí)現(xiàn)。用戶(hù)可以根據(jù)需求，自定義智能合約并將其部署在區(qū)塊鏈上，當(dāng)有訪問(wèn)請(qǐng)求時(shí)，系統(tǒng)會(huì)根據(jù)智能合約的邏輯策略并依據(jù)請(qǐng)求者的屬性、角色等信息自動(dòng)化地判決，且無(wú)人工干預(yù)。

5) 細(xì)粒度訪問(wèn)控制。用戶(hù)個(gè)人數(shù)據(jù)的訪問(wèn)權(quán)限可以通過(guò)主體?客體對(duì)的形式存儲(chǔ)在區(qū)塊鏈上，具備對(duì)用戶(hù)數(shù)據(jù)進(jìn)行細(xì)粒度劃分的能力，訪問(wèn)者被局限在規(guī)定的訪問(wèn)邊界內(nèi)，防止了服務(wù)商對(duì)用戶(hù)數(shù)據(jù)的過(guò)度收集。鏈上的信息公開(kāi)、客體的所有權(quán)明確，方便服務(wù)商直接對(duì)主權(quán)方發(fā)出請(qǐng)求，同時(shí)服務(wù)商的操作信息能夠以只增不減的方式記錄在區(qū)塊鏈上，越權(quán)訪問(wèn)、泄露數(shù)據(jù)等行為能夠經(jīng)過(guò)日志分析發(fā)現(xiàn)，實(shí)現(xiàn)安全、透明、高效的數(shù)據(jù)資源共享。

6) 數(shù)據(jù)流通可溯源?，F(xiàn)有的針對(duì)區(qū)塊鏈溯源的研究，主要是面對(duì)商品或代幣的全周期追蹤記錄。同樣可以借鑒這種思想，將用戶(hù)的數(shù)據(jù)看作商品，利用鏈上訪問(wèn)權(quán)限和鏈下的訪問(wèn)日志，結(jié)合時(shí)間戳和簽名信息，聯(lián)合分析用戶(hù)數(shù)據(jù)的全周期流通過(guò)程，掌握數(shù)據(jù)的演變歷程，從而溯源越權(quán)訪問(wèn)等違規(guī)操作。

4.1 基于區(qū)塊鏈的訪問(wèn)控制實(shí)現(xiàn)機(jī)制

目前基于區(qū)塊鏈的訪問(wèn)控制技術(shù)的主要實(shí)現(xiàn)方式有兩種：基于交易的訪問(wèn)控制機(jī)制和基于智能合約的訪問(wèn)控制機(jī)制。

基于交易的訪問(wèn)控制機(jī)制核心思想是借助區(qū)塊鏈的可信存儲(chǔ)特性，將區(qū)塊鏈作為訪問(wèn)控制系統(tǒng)內(nèi)的存儲(chǔ)單元，用戶(hù)通過(guò)事務(wù)交易（transaction）實(shí)現(xiàn)訪問(wèn)權(quán)限的授予和撤銷(xiāo)，系統(tǒng)通過(guò)查詢(xún)鏈上的交易能夠判斷是否允許其他用戶(hù)的訪問(wèn)。同時(shí)可以將訪問(wèn)控制策略、主體和客體信息以及管理員操作日志等數(shù)據(jù)打包，然后以事務(wù)交易的形式存儲(chǔ)到區(qū)塊鏈上，保證信息的公開(kāi)透明和不被篡改。

基于智能合約的訪問(wèn)控制機(jī)制基本原理是借助區(qū)塊鏈的可信計(jì)算特性，用戶(hù)將其訪問(wèn)控制策略轉(zhuǎn)化為智能合約代碼上傳至區(qū)塊鏈，在訪問(wèn)主體滿(mǎn)足合約預(yù)置的條件時(shí)，自動(dòng)化地賦予其對(duì)客體的訪問(wèn)權(quán)限，并以交易事務(wù)的形式存儲(chǔ)在區(qū)塊鏈上。進(jìn)一步拓展，用戶(hù)可以利用智能合約控制訪問(wèn)主客體之間所有的數(shù)據(jù)交互過(guò)程，實(shí)現(xiàn)對(duì)主體和客體的屬性狀態(tài)、權(quán)限授予溯源信息、策略更新歷史記錄等所有數(shù)據(jù)的監(jiān)督和管理。

4.1.1基于交易的訪問(wèn)控制機(jī)制

基于交易的訪問(wèn)控制機(jī)制在區(qū)塊鏈研究的早期被提出，是訪問(wèn)控制技術(shù)與區(qū)塊鏈技術(shù)融合的開(kāi)始。Zyskind等[27]針對(duì)移動(dòng)應(yīng)用的數(shù)據(jù)訪問(wèn)控制需求，提出將訪問(wèn)控制策略以用戶(hù)與服務(wù)商的聯(lián)合身份發(fā)布，并將聯(lián)合身份表示為代表用戶(hù)的公鑰，代表服務(wù)商的公鑰)。該機(jī)制的原理如圖7所示，由于區(qū)塊鏈只增不減的特性，規(guī)定聯(lián)合身份最新發(fā)布的交易為有效交易，這樣通過(guò)查找最近的權(quán)限交易Taccess就可以實(shí)現(xiàn)權(quán)限的授予、更改和撤銷(xiāo)。通過(guò)數(shù)據(jù)交易Tdata提交服務(wù)商的訪問(wèn)請(qǐng)求，并同時(shí)將數(shù)據(jù)的訪問(wèn)操作記錄在區(qū)塊鏈上，保證訪問(wèn)操作可溯源。該機(jī)制巧妙地引入聯(lián)合身份的概念，使得用戶(hù)可以針對(duì)不同的服務(wù)商實(shí)現(xiàn)不同類(lèi)型數(shù)據(jù)的訪問(wèn)控制策略，同時(shí)使用訪問(wèn)控制列表（ACL，access control list）的策略描述方式，適宜低復(fù)雜度的訪問(wèn)控制策略、較小數(shù)據(jù)量的個(gè)人數(shù)據(jù)保護(hù)需求。

圖7 Zyskind機(jī)制原理Figure 7 Principle of Zyskind mechanism

文獻(xiàn)[28]探索了在物聯(lián)網(wǎng)背景下，使用多條區(qū)塊鏈分類(lèi)別存儲(chǔ)主客體信息和權(quán)限決策信息，以實(shí)現(xiàn)靈活自動(dòng)的訪問(wèn)控制決策機(jī)制。如圖8所示，作者提出的ControlChain機(jī)制規(guī)定使用關(guān)系鏈（relationship blockchain）存儲(chǔ)主體和客體之間的關(guān)系數(shù)據(jù)，使用上下文鏈（context blockchain）存儲(chǔ)傳感器數(shù)據(jù)、處理后的數(shù)據(jù)和人為輸入的數(shù)據(jù)。并定義解碼器（decoder）用于在自定義的訪問(wèn)控制模型下（RBAC、ABAC、OrBAC等），將主客體的屬性角色數(shù)據(jù)和關(guān)系鏈中的數(shù)據(jù)等自動(dòng)轉(zhuǎn)換為訪問(wèn)控制模塊可以直接識(shí)別的數(shù)據(jù)結(jié)構(gòu)類(lèi)型（ACL等），并最終將授權(quán)決策信息存儲(chǔ)在責(zé)任鏈（accountability blockchain），以實(shí)現(xiàn)授權(quán)的溯源和問(wèn)責(zé)制度。該機(jī)制實(shí)現(xiàn)了傳統(tǒng)訪問(wèn)控制模型和區(qū)塊鏈的融合，可以在用戶(hù)自定義的訪問(wèn)控制模型下完成訪問(wèn)控制決策。

圖8 ControlChain機(jī)制框架Figure 8 Architecture of ControlChain mechanism

文獻(xiàn)[29]提出在鏈上以交易的形式完成訪問(wèn)控制策略和訪問(wèn)權(quán)限的創(chuàng)建、更新和撤銷(xiāo)。作者定義了兩種類(lèi)型的交易：一是策略創(chuàng)建交易（PCT，policy creation transaction），用于實(shí)現(xiàn)策略的創(chuàng)建；二是權(quán)限轉(zhuǎn)移交易（RTT，right transfer transaction），用于實(shí)現(xiàn)主體間權(quán)限的更替。為了在只增不減的區(qū)塊鏈上實(shí)現(xiàn)策略的更新和撤銷(xiāo)，作者利用區(qū)塊鏈的代幣機(jī)制，規(guī)定在進(jìn)行更新和刪除的PCT交易時(shí)必須花費(fèi)該策略先前的交易輸出，即每次交易的輸入是先前的策略信息和一定的交易費(fèi)用（比特幣），輸出是新的策略信息和交易后剩下的費(fèi)用。同時(shí)作者又規(guī)定數(shù)據(jù)操作權(quán)限的擁有者RT（right holder）在進(jìn)行RTT交易時(shí)，可以將原有的訪問(wèn)控制策略限制得更加嚴(yán)格，只有在交易方滿(mǎn)足條件時(shí)才給予其操作權(quán)限并完成交易。文獻(xiàn)[29]提出的系統(tǒng)模型Maesa機(jī)制原理如圖9所示，可以看到區(qū)塊鏈在該系統(tǒng)中作為存儲(chǔ)組件，通過(guò)與策略管理點(diǎn)（PAP）交互，為授權(quán)系統(tǒng)提供訪問(wèn)控制策略的全周期信息，然后策略執(zhí)行點(diǎn)根據(jù)授權(quán)系統(tǒng)的處理結(jié)果控制用戶(hù)與數(shù)據(jù)資源的交互。該系統(tǒng)通過(guò)利用區(qū)塊鏈上的交易機(jī)制，實(shí)現(xiàn)了ABAC模型下的安全可信、修改靈活、全周期溯源的訪問(wèn)控制機(jī)制，在數(shù)據(jù)規(guī)模較大時(shí)也能滿(mǎn)足細(xì)粒度的訪問(wèn)控制需求。

圖9 Maesa機(jī)制原理Figure 9 Principle of Maesa mechanism

總的來(lái)說(shuō)，目前基于交易的訪問(wèn)控制機(jī)制通過(guò)利用區(qū)塊鏈可信存儲(chǔ)的特性，可分為以下4個(gè)方面。

1) 存儲(chǔ)訪問(wèn)權(quán)限。文獻(xiàn)[27, 30]利用區(qū)塊鏈公開(kāi)透明和數(shù)據(jù)可信的特性，在鏈上存儲(chǔ)訪問(wèn)權(quán)限，使得權(quán)限的信息公開(kāi)可查詢(xún)，可以在無(wú)第三方背書(shū)的情況下建立信任。同時(shí)由于區(qū)塊鏈只增不減的特性，鏈上的權(quán)限數(shù)據(jù)只能以覆蓋的方式修改而無(wú)法撤回，保證了請(qǐng)求者不能私自越權(quán)訪問(wèn)，授權(quán)者也不能反悔抵賴(lài)。其中文獻(xiàn)[30]引入虛擬鏈（virtualchain）[31-32]的概念，提出通過(guò)虛擬鏈將高級(jí)的數(shù)據(jù)存儲(chǔ)功能轉(zhuǎn)化為基礎(chǔ)的邏輯存儲(chǔ)單元，以實(shí)現(xiàn)在不修改區(qū)塊鏈數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，將云存儲(chǔ)系統(tǒng)的數(shù)據(jù)以虛擬鏈的形式有序上鏈。

2) 存儲(chǔ)訪問(wèn)控制策略。文獻(xiàn)[33-35]分別提出在物聯(lián)網(wǎng)、云聯(lián)盟和云存儲(chǔ)的環(huán)境下將訪問(wèn)控制策略放在區(qū)塊鏈上，使得策略公開(kāi)透明，保證訪問(wèn)控制策略的可信任性，避免存在利用“后門(mén)”等暗箱操作的行為。Maesa等[29]還考慮到訪問(wèn)控制策略的存儲(chǔ)空間問(wèn)題，提出使用自定義的符號(hào)映射表，將各類(lèi)屬性映射為固定長(zhǎng)度的數(shù)值，以實(shí)現(xiàn)策略的壓縮存儲(chǔ)和高效拓展。

3) 存儲(chǔ)關(guān)鍵敏感數(shù)據(jù)。文獻(xiàn)[36]利用區(qū)塊鏈難以篡改和不可刪除的特性，在醫(yī)療數(shù)據(jù)分享中應(yīng)用區(qū)塊鏈技術(shù)，保證用以研究的數(shù)據(jù)真實(shí)可靠，不被惡意篡改。Pinno等[28]則利用區(qū)塊鏈分布式特性，在物聯(lián)網(wǎng)中搭建專(zhuān)門(mén)用來(lái)存儲(chǔ)數(shù)據(jù)的上下文鏈（context blockchain），存儲(chǔ)分布的傳感器數(shù)據(jù)和人工輸入數(shù)據(jù)。文獻(xiàn)[37]提出了一種利用區(qū)塊鏈技術(shù)實(shí)現(xiàn)的防篡改的數(shù)據(jù)存儲(chǔ)管理框架，利用哈希指針樹(shù)型索引結(jié)構(gòu)實(shí)現(xiàn)數(shù)據(jù)的高效查詢(xún)。但值得注意的是，考慮到鏈上信息全透明，在某些需要隱私保護(hù)的情景下必須通過(guò)某些機(jī)制實(shí)現(xiàn)“信息隱匿”。同時(shí)，由于區(qū)塊鏈的共識(shí)機(jī)制和競(jìng)爭(zhēng)記賬機(jī)制，在鏈上存儲(chǔ)大規(guī)模數(shù)據(jù)開(kāi)銷(xiāo)較大，因此多數(shù)的基于區(qū)塊鏈訪問(wèn)控制系統(tǒng)往往在鏈下存儲(chǔ)原始數(shù)據(jù)，而在鏈上只維護(hù)數(shù)據(jù)的分布式哈希表（DHT，distributed hash table）[27,38]或地址指針等簡(jiǎn)略信息，以達(dá)到在節(jié)省鏈上空間同時(shí)保證數(shù)據(jù)完整性的目的。

4) 存儲(chǔ)訪問(wèn)控制操作記錄。利用區(qū)塊鏈可查、可信、可溯源的特性，建立審計(jì)追責(zé)系統(tǒng)，實(shí)時(shí)記錄主體的操作記錄，以監(jiān)察授權(quán)者的不當(dāng)授權(quán)和操作者的違規(guī)操作，同時(shí)能夠逐級(jí)溯源，實(shí)現(xiàn)相應(yīng)的按級(jí)懲戒。文獻(xiàn)[39]以互聯(lián)網(wǎng)租車(chē)作為背景，提出將租車(chē)平臺(tái)對(duì)用戶(hù)數(shù)據(jù)的訪問(wèn)記錄存儲(chǔ)在區(qū)塊鏈上，在用戶(hù)發(fā)現(xiàn)個(gè)人隱私泄露時(shí)，可以此為依據(jù)進(jìn)行溯源，實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)租車(chē)軟件平臺(tái)的追責(zé)機(jī)制。喬蕊等[40-41]則針對(duì)動(dòng)態(tài)數(shù)據(jù)的安全問(wèn)題，設(shè)計(jì)了基于區(qū)塊鏈的動(dòng)態(tài)數(shù)據(jù)安全存儲(chǔ)機(jī)制。以云計(jì)算為代表的數(shù)據(jù)存儲(chǔ)技術(shù)，有著數(shù)據(jù)流通快、更新快的特點(diǎn)，帶來(lái)了攻擊行為難界定、數(shù)據(jù)偽造難發(fā)現(xiàn)、數(shù)據(jù)篡改難定責(zé)的問(wèn)題，喬蕊等首先在文獻(xiàn)[40]中提出了動(dòng)態(tài)數(shù)據(jù)存儲(chǔ)體系，通過(guò)改進(jìn)區(qū)塊鏈共識(shí)機(jī)制杜絕攻擊者對(duì)數(shù)據(jù)賬本的非授權(quán)篡改。之后在文獻(xiàn)[41]中針對(duì)物聯(lián)網(wǎng)下的數(shù)據(jù)安全問(wèn)題引入動(dòng)態(tài)數(shù)據(jù)存儲(chǔ)體系，并將所有的動(dòng)態(tài)操作永久地記錄在區(qū)塊鏈上，通過(guò)雙聯(lián)盟鏈實(shí)現(xiàn)多維授權(quán)和動(dòng)態(tài)數(shù)據(jù)存儲(chǔ)，通過(guò)馮·諾依曼?摩根斯坦效用評(píng)估節(jié)點(diǎn)的操作收益，并以此為依據(jù)結(jié)合鏈上的操作日志找尋攻擊節(jié)點(diǎn)，實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)攻擊溯源。

上述代表性的機(jī)制匯總?cè)绫?所示。

表2 基于交易的訪問(wèn)控制機(jī)制代表文獻(xiàn)匯總Table 2 Summary of representative literature on access control mechanisms based on transaction

4.1.2基于智能合約的訪問(wèn)控制機(jī)制

隨著以太坊上圖靈完備的鏈上腳本的出現(xiàn)，智能合約的應(yīng)用也得以落地。作為區(qū)塊鏈2.0架構(gòu)的核心模塊，智能合約使得區(qū)塊鏈的應(yīng)用由“虛擬貨幣”拓展到更廣泛的“交易平臺(tái)”。在訪問(wèn)控制領(lǐng)域，智能合約通過(guò)區(qū)塊鏈提供的分布式信用基礎(chǔ)設(shè)施，將數(shù)據(jù)的交互作為主體之間的“交易”，這樣通過(guò)自定義的腳本語(yǔ)言就可以實(shí)現(xiàn)可信、細(xì)粒度、無(wú)人為干預(yù)的訪問(wèn)控制機(jī)制。

文獻(xiàn)[42]提出了使用智能合約的基于角色訪問(wèn)控制框架（RBAC-SC）。該框架利用以太坊平臺(tái)的智能合約技術(shù)，提出跨組織的質(zhì)詢(xún)?響應(yīng)身份驗(yàn)證協(xié)議，解決了在跨組織情景下的角色利用問(wèn)題，為基于角色的訪問(wèn)控制提供了安全高效的角色管理和驗(yàn)證機(jī)制。作者的思想是利用區(qū)塊鏈可信、公開(kāi)、透明的特點(diǎn)，讓用戶(hù)都通過(guò)以太坊上的賬戶(hù)地址或者系統(tǒng)分配的公鑰表示，并允許組織可以發(fā)布帶有簽名的角色管理合約。這樣跨組織的其他用戶(hù)就可以通過(guò)該組織發(fā)布的智能合約查詢(xún)接口，查詢(xún)?cè)摻M織內(nèi)訪問(wèn)控制系統(tǒng)用戶(hù)的角色身份，從而實(shí)現(xiàn)了跨組織的角色驗(yàn)證。

Zhang等[43]提出了一種基于智能合約的框架，通過(guò)多個(gè)訪問(wèn)控制合約、一個(gè)法官合約和一個(gè)注冊(cè)合約實(shí)現(xiàn)了分布式可信的訪問(wèn)控制（如圖10所示）。

圖10 Zhang Y機(jī)制框架結(jié)構(gòu)Figure 10 Architecture of Zhang Y mechanism

該框架包含了多個(gè)訪問(wèn)控制合約（ACC，access control contract），每一個(gè)都實(shí)現(xiàn)了訪問(wèn)控制策略中一個(gè)主客體對(duì)的具體訪問(wèn)控制方法，并同時(shí)維護(hù)著策略實(shí)施列表和不當(dāng)行為懲罰列表。法官合約（JC，judge contract）用以接收不當(dāng)行為報(bào)告并確定相應(yīng)的懲罰。而注冊(cè)合約（RC，register contract）則用來(lái)管理JC和ACC并提供它們的簡(jiǎn)略匯總信息。該機(jī)制通過(guò)將訪問(wèn)控制策略拆分為多個(gè)訪問(wèn)控制合約，可以細(xì)化主客體交互行為，有利于訪問(wèn)控制策略的細(xì)粒度實(shí)現(xiàn)。

在醫(yī)療數(shù)據(jù)保護(hù)領(lǐng)域，Azaria等針對(duì)患者數(shù)據(jù)碎片化嚴(yán)重、交流渠道少、共享效率低、隱私保護(hù)機(jī)制不完善等問(wèn)題，提出了MedRec框架[44-45]。作者的思想是利用智能合約讓病人能夠管理自己的數(shù)據(jù)訪問(wèn)權(quán)限，并通過(guò)區(qū)塊鏈實(shí)現(xiàn)跨組織的訪問(wèn)控制。如圖11所示，作者設(shè)計(jì)注冊(cè)合約來(lái)管理患者信息，并將患者賬戶(hù)與其匯總合約綁定；匯總合約（SC，summary contract）則用來(lái)關(guān)聯(lián)患者的數(shù)據(jù)權(quán)限及其狀態(tài)；而醫(yī)患關(guān)系合約（PPR，patient provider relationship）負(fù)責(zé)患者數(shù)據(jù)的查詢(xún)及訪問(wèn)權(quán)限管理。通過(guò)MedRec機(jī)制，患者在數(shù)據(jù)庫(kù)中的數(shù)據(jù)都被附上相應(yīng)的操作權(quán)限信息，并在患者的SC地址上可以查詢(xún)到相應(yīng)的PPR的狀態(tài)，這樣患者的醫(yī)療數(shù)據(jù)就被嚴(yán)格地控制在患者手中，違法的操作都會(huì)因?yàn)闄?quán)限不足而被拒絕。而出于研究目的的醫(yī)療數(shù)據(jù)訪問(wèn)者也可以通過(guò)查詢(xún)RC上公開(kāi)的患者賬戶(hù)地址，向相應(yīng)的患者提出申請(qǐng)，在經(jīng)過(guò)患者同意后方可訪問(wèn)。同時(shí)可以注意到由于區(qū)塊鏈的匿名性，雖然鏈上的數(shù)據(jù)都是公開(kāi)的，但患者的身份是通過(guò)以太坊賬戶(hù)表示的，而且隱私的醫(yī)療數(shù)據(jù)存儲(chǔ)在鏈下，只有操作權(quán)限是公開(kāi)可查的，這樣就在保護(hù)了患者隱私的前提下提高了數(shù)據(jù)的共享率。

圖11 MedRec框架結(jié)構(gòu)Figure 11 Architecture of MedRec

文獻(xiàn)[46]提出了一種針對(duì)大數(shù)據(jù)資源的訪問(wèn)控制機(jī)制BBAC-BD。作者結(jié)合大數(shù)據(jù)資源的特點(diǎn)，以分布式訪問(wèn)控制需求和訪問(wèn)控制動(dòng)態(tài)性需求為著眼點(diǎn)，利用區(qū)塊鏈?zhǔn)聞?wù)實(shí)現(xiàn)訪問(wèn)控制策略的全流程分布式管理，利用智能合約實(shí)現(xiàn)策略的自動(dòng)化判決，利用ABAC模型實(shí)現(xiàn)基于請(qǐng)求者屬性的動(dòng)態(tài)訪問(wèn)控制，有利于大數(shù)據(jù)資源的靈活管控和安全共享。該機(jī)制的工作原理如圖12所示。

圖12 BBAC-BD機(jī)制原理框架Figure 12 Architecture of BBAC-BD mechanism

BBAC-BD工作流程如下。

Step 1在準(zhǔn)備階段，由屬性權(quán)威（AA，attribute authority）合約預(yù)先收集區(qū)塊鏈?zhǔn)聞?wù)的屬性信息，并提供給策略執(zhí)行點(diǎn)（PEP，policy enforcement point）和策略管理點(diǎn)（PAP，policy administration point）。

Step 2在PAP上的智能合約結(jié)合屬性信息收集整合區(qū)塊鏈?zhǔn)聞?wù)中的訪問(wèn)控制策略。

Step 3進(jìn)入執(zhí)行階段，當(dāng)PEP上的代理收到資源操作請(qǐng)求后，根據(jù)從AA合約得到的信息生成基于屬性的訪問(wèn)控制請(qǐng)求（AAR）并將其發(fā)往策略決策點(diǎn)（PDP，policy decision point）。

Step 4PDP上的智能合約根據(jù)從PAP合約響應(yīng)返回的訪問(wèn)控制策略集對(duì)操作是否允許進(jìn)行判決，并將結(jié)果發(fā)往PEP。

Step 5PEP代理根據(jù)判決結(jié)果對(duì)資源進(jìn)行操作。

可以看到，該機(jī)制中的屬性收集與整合、策略管理、訪問(wèn)權(quán)限決策都是通過(guò)智能合約自動(dòng)、透明、公開(kāi)地執(zhí)行，而且無(wú)須第三方背書(shū)，降低了信用成本，有利于大數(shù)據(jù)下主體間資源的高效共享。同時(shí)考慮到大數(shù)據(jù)環(huán)境中數(shù)據(jù)變化快、主體身份復(fù)雜的特點(diǎn)，作者對(duì)BBAC-BD進(jìn)行了仿真測(cè)試，在訪問(wèn)控制策略設(shè)計(jì)得當(dāng)?shù)那闆r下，該系統(tǒng)的判決時(shí)延能夠滿(mǎn)足動(dòng)態(tài)性的需求。

文獻(xiàn)[47]針對(duì)企業(yè)間的數(shù)據(jù)共享需求，提出了一種基于聯(lián)盟鏈的、利用屬性基加密（ABE）[48]進(jìn)行改進(jìn)的企業(yè)級(jí)訪問(wèn)控制模型，同樣采用了智能合約來(lái)實(shí)現(xiàn)基于屬性的訪問(wèn)控制策略。作者設(shè)計(jì)利用企業(yè)的誠(chéng)信值來(lái)實(shí)現(xiàn)共識(shí)機(jī)制，在降低了企業(yè)間的信任成本的同時(shí)起到違規(guī)懲戒作用。

總體來(lái)說(shuō)，目前基于智能合約的訪問(wèn)控制機(jī)制通過(guò)利用區(qū)塊鏈可信計(jì)算的特性，可分為以下5個(gè)方面。

1) 用戶(hù)信息管理。文獻(xiàn)[42, 44, 49]都是利用智能合約管理系統(tǒng)內(nèi)的用戶(hù)，以不可篡改的方式記錄用戶(hù)信息，并將用戶(hù)與其以太坊地址、公鑰等信息綁定，在無(wú)第三方背書(shū)的情況下保證用戶(hù)身份的可信任。此外，將主體以以太坊地址或公鑰的形式表示，也有利于懲戒機(jī)制的追根溯源。

2) 鏈上數(shù)據(jù)管理。利用智能合約管理鏈上的數(shù)據(jù)，實(shí)現(xiàn)包括訪問(wèn)控制策略集、主體訪問(wèn)權(quán)限集、主客體屬性信息等數(shù)據(jù)的增添、更新和刪除。文獻(xiàn)[44]設(shè)計(jì)的醫(yī)患關(guān)系合約（PPR）針對(duì)醫(yī)療數(shù)據(jù)的權(quán)限管理問(wèn)題，將數(shù)據(jù)所屬方、數(shù)據(jù)請(qǐng)求方、數(shù)據(jù)指針和訪問(wèn)權(quán)限綁定，用戶(hù)通過(guò)改寫(xiě)合約內(nèi)的屬性值，自定義地控制訪問(wèn)控制策略，管理鏈下存儲(chǔ)在數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)。文獻(xiàn)[50]提出的FairAccess機(jī)制，通過(guò)向訪問(wèn)請(qǐng)求方賬戶(hù)發(fā)送帶有簽名的授權(quán)令牌的形式進(jìn)行權(quán)限管理，由授權(quán)令牌規(guī)定能夠訪問(wèn)對(duì)應(yīng)的資源，權(quán)限的撤銷(xiāo)由令牌上的時(shí)間戳和約定的失效時(shí)間控制。而授權(quán)令牌的管理則是通過(guò)鏈上腳本，也就是智能合約進(jìn)行。作者在文獻(xiàn)[51]中詳細(xì)地介紹了FairAccess框架中如何通過(guò)智能合約將訪問(wèn)控制策略轉(zhuǎn)化為授權(quán)令牌，并探討了這一方案的可行性和安全性。

3) 數(shù)據(jù)整合與查詢(xún)。區(qū)塊鏈上的數(shù)據(jù)公開(kāi)透明，任何用戶(hù)都可以查詢(xún)鏈上的訪問(wèn)控制策略，但在數(shù)據(jù)量較大或者訪問(wèn)控制策略較復(fù)雜的情景下，人工在鏈上查詢(xún)收集數(shù)據(jù)的工作量大且效率低，所以可以利用智能合約自動(dòng)化地整合和歸納鏈上數(shù)據(jù)。例如，文獻(xiàn)[43]設(shè)計(jì)的注冊(cè)合約（RC）將細(xì)化的訪問(wèn)控制合約（ACC）匯總，并與法官合約交互（JC），提供了各個(gè)ACC的接口，自動(dòng)化地維護(hù)著策略實(shí)施列表和不當(dāng)行為懲罰列表，實(shí)現(xiàn)了策略和權(quán)限的高效查詢(xún)。文獻(xiàn)[44, 49]都設(shè)計(jì)了具有歸納匯總功能的智能合約，它們通過(guò)指針、關(guān)鍵字的形式將患者擁有的所有醫(yī)療數(shù)據(jù)匯總，便于患者直觀地了解所有數(shù)據(jù)的權(quán)限授予情況。文獻(xiàn)[46]考慮到大數(shù)據(jù)下訪問(wèn)控制策略分布式存儲(chǔ)后查詢(xún)效率低的問(wèn)題，提出了基于Bloom Filter[52]的策略管理合約，通過(guò)哈希函數(shù)將屬性值映射為二進(jìn)制向量，進(jìn)而用二進(jìn)制向量來(lái)描述數(shù)據(jù)集合，根據(jù)資源屬性的二進(jìn)制向量是否與策略事務(wù)數(shù)據(jù)塊匹配，達(dá)到快速篩選關(guān)聯(lián)策略集的目的，整個(gè)查詢(xún)過(guò)程通過(guò)部署的智能合約進(jìn)行，公開(kāi)透明。

4) 違規(guī)行為監(jiān)測(cè)。區(qū)塊鏈上的數(shù)據(jù)只增不減，可以通過(guò)時(shí)間戳、用戶(hù)簽名等方式溯源，這保證了在區(qū)塊鏈上運(yùn)行監(jiān)視組件和存儲(chǔ)訪問(wèn)日志不會(huì)被破壞和篡改，因此基于區(qū)塊鏈的監(jiān)測(cè)機(jī)制可以監(jiān)察違規(guī)行為，并通過(guò)懲戒機(jī)制的反饋來(lái)完善訪問(wèn)控制系統(tǒng)。Ferdous等[53]針對(duì)云環(huán)境下的分布式訪問(wèn)控制系統(tǒng)節(jié)點(diǎn)的安全性難以保證、訪問(wèn)控制組件易被攻擊的問(wèn)題，提出一種基于區(qū)塊鏈的分布式訪問(wèn)控制系統(tǒng)實(shí)時(shí)監(jiān)控方案DRAMS。它通過(guò)在分布式訪問(wèn)控制系統(tǒng)節(jié)點(diǎn)上搭建數(shù)據(jù)探針、日志記錄合約和行為分析合約，可以在運(yùn)行時(shí)通過(guò)智能合約來(lái)記錄訪問(wèn)行為，并分析其是否符合規(guī)定的訪問(wèn)控制策略，并且考慮到存儲(chǔ)在鏈上的日志內(nèi)可能包含用戶(hù)的某些敏感信息，存儲(chǔ)的日志通過(guò)AES-256算法加密。

5) 訪問(wèn)權(quán)限判決。利用智能合約根據(jù)訪問(wèn)請(qǐng)求者的身份、角色、屬性等信息判斷其是否滿(mǎn)足訪問(wèn)控制策略的約束，返回允許、拒絕或者無(wú)法判決的結(jié)果，整個(gè)過(guò)程無(wú)人工干預(yù)，無(wú)須第三方背書(shū)，依靠在EVM中的合約代碼執(zhí)行，為資源擁有者和請(qǐng)求者雙方都建立起高信任度。例如文獻(xiàn)[46]提出的策略判決合約根據(jù)訪問(wèn)請(qǐng)求者的屬性集是否滿(mǎn)足與其關(guān)聯(lián)的訪問(wèn)控制策略集，將自動(dòng)化判決并返回允許、拒絕、屬性信息不足或策略集不匹配的任一結(jié)果。

上述具有代表性的機(jī)制匯總?cè)绫?所示。

表3 基于智能合約的訪問(wèn)控制機(jī)制代表文獻(xiàn)匯總Table 3 Summary of representative literature on access control mechanism based on smart contract

4.1.3基于區(qū)塊鏈的訪問(wèn)控制實(shí)現(xiàn)機(jī)制總結(jié)

基于交易的訪問(wèn)控制機(jī)制利用區(qū)塊鏈可信存儲(chǔ)的特性，可從存儲(chǔ)訪問(wèn)權(quán)限、訪問(wèn)控制策略、關(guān)鍵敏感數(shù)據(jù)以及訪問(wèn)控制操作記錄4個(gè)方面進(jìn)行劃分。該機(jī)制將區(qū)塊鏈作為可信存儲(chǔ)實(shí)體，與傳統(tǒng)的訪問(wèn)控制模型結(jié)合，解決用戶(hù)間的信任問(wèn)題，通用性與移植性較好。同時(shí)鏈上數(shù)據(jù)公開(kāi)透明，有利于授權(quán)操作的查驗(yàn)與審計(jì)。但是該機(jī)制依然依賴(lài)中心授權(quán)服務(wù)器發(fā)布權(quán)限交易，沒(méi)有完全解決訪問(wèn)控制單點(diǎn)化的問(wèn)題。

基于智能合約的訪問(wèn)控制機(jī)制利用區(qū)塊鏈可信計(jì)算的特性，從用戶(hù)信息管理、鏈上數(shù)據(jù)管理、數(shù)據(jù)整合與查詢(xún)、違規(guī)行為監(jiān)測(cè)以及訪問(wèn)權(quán)限判決5個(gè)方面的需求出發(fā)，通過(guò)開(kāi)發(fā)智能合約，實(shí)現(xiàn)自動(dòng)化、無(wú)干預(yù)的訪問(wèn)控制操作，其擺脫了對(duì)中心授權(quán)服務(wù)器的依賴(lài)，具備更高的安全性。但是該機(jī)制下如何實(shí)現(xiàn)訪問(wèn)控制策略向智能合約代碼的轉(zhuǎn)化，是開(kāi)發(fā)者需要面臨的挑戰(zhàn)，因此，如何提高該機(jī)制的通用性是待解決的問(wèn)題。

4.2 關(guān)鍵技術(shù)分析

基于區(qū)塊鏈的訪問(wèn)控制技術(shù)有著廣泛的應(yīng)用空間和巨大的應(yīng)用潛力，但是由于大數(shù)據(jù)的4V特性，目前針對(duì)大數(shù)據(jù)資源的訪問(wèn)控制需求仍存在諸多挑戰(zhàn)?；?.2節(jié)提出的大數(shù)據(jù)下訪問(wèn)控制現(xiàn)有的需求，結(jié)合目前的研究現(xiàn)狀，本文將從動(dòng)態(tài)訪問(wèn)控制、數(shù)據(jù)存儲(chǔ)空間優(yōu)化和隱私數(shù)據(jù)保護(hù)3個(gè)方面對(duì)現(xiàn)有研究成果進(jìn)行分析。

4.2.1動(dòng)態(tài)訪問(wèn)控制

大數(shù)據(jù)時(shí)代，數(shù)據(jù)動(dòng)態(tài)演變性強(qiáng)且資源流通速度快，靜態(tài)的訪問(wèn)控制機(jī)制無(wú)法適應(yīng)主客體的快速變化，往往會(huì)出現(xiàn)控制策略失效或者不匹配的問(wèn)題，因此解決訪問(wèn)控制的動(dòng)態(tài)性需求顯得至關(guān)重要。而動(dòng)態(tài)的訪問(wèn)控制機(jī)制主要體現(xiàn)在兩個(gè)方面：一是靈活性，即能夠跟隨主客體的屬性變化，及時(shí)準(zhǔn)確地制定出適宜的訪問(wèn)控制策略；二是低時(shí)延，即在收到訪問(wèn)請(qǐng)求后，能夠在一定的時(shí)間窗口內(nèi)完成策略的決策并實(shí)行。

文獻(xiàn)[54]基于FairAccess機(jī)制，提出使用機(jī)器學(xué)習(xí)算法改進(jìn)訪問(wèn)控制策略，通過(guò)反饋信息鼓勵(lì)代理選擇更安全的訪問(wèn)控制方法，并將相關(guān)信息更新到智能合約上。機(jī)器學(xué)習(xí)組件的調(diào)用不依賴(lài)訪問(wèn)控制模型，反饋信息基于客體數(shù)據(jù)是否收到損壞，因此能夠應(yīng)用于多種訪問(wèn)控制框架，實(shí)現(xiàn)動(dòng)態(tài)優(yōu)化和自調(diào)整的安全策略。劉敖迪等[46]則著手于大數(shù)據(jù)下的動(dòng)態(tài)訪問(wèn)控制需求，使用ABAC模型以適應(yīng)大數(shù)據(jù)下資源種類(lèi)繁多、主客體屬性變化快的特點(diǎn)，資源擁有者根據(jù)資源屬性制定訪問(wèn)控制策略，提高訪問(wèn)控制的適應(yīng)性和靈活性。同時(shí)為了提高系統(tǒng)的響應(yīng)速度，利用智能合約實(shí)現(xiàn)基于Bloom Filter的訪問(wèn)控制策略管理機(jī)制，以允許低概率的誤差為代價(jià)減少存儲(chǔ)空間，同時(shí)提高查詢(xún)的效率以降低檢索的時(shí)延。Decker等[55]引入?yún)^(qū)塊鏈中微支付通道的概念，提出在鏈下構(gòu)建用戶(hù)之間的低時(shí)延傳輸通道，區(qū)塊鏈只在通道的設(shè)置和關(guān)閉時(shí)對(duì)雙方進(jìn)行交易保障，從而實(shí)現(xiàn)用戶(hù)間鏈下動(dòng)態(tài)交易以及鏈上資產(chǎn)擔(dān)保，但是該機(jī)制下用戶(hù)交易的數(shù)據(jù)必須是提前經(jīng)過(guò)區(qū)塊鏈確認(rèn)鎖定的。

除此之外，改進(jìn)區(qū)塊鏈的共識(shí)機(jī)制以更快速地達(dá)成共識(shí)和完成記賬也是降低系統(tǒng)時(shí)延的有效手段。根據(jù)3.3節(jié)的分析，區(qū)塊鏈的共識(shí)機(jī)制決定了鏈上權(quán)限交易的寫(xiě)入和驗(yàn)證速度，選擇適用的共識(shí)協(xié)議，能夠在符合安全需求的限定條件下達(dá)到權(quán)限信息快速記賬并確認(rèn)的目的，從而提升整個(gè)系統(tǒng)的響應(yīng)速度。

薛騰飛等[56]提出的MDSN框架通過(guò)使用DPoS共識(shí)機(jī)制，并將其與具備信譽(yù)機(jī)制的醫(yī)療和審計(jì)服務(wù)器聯(lián)盟結(jié)合，減輕了節(jié)點(diǎn)的計(jì)算壓力，有效提升了訪問(wèn)控制系統(tǒng)的響應(yīng)速度。此外，閔新平等[57]針對(duì)區(qū)塊鏈共識(shí)機(jī)制中存在的算力消耗大、交易時(shí)延高、數(shù)據(jù)吞吐量低的問(wèn)題，提出許可鏈多中心動(dòng)態(tài)共識(shí)機(jī)制(PBCM)。作者首先構(gòu)建主從多鏈結(jié)構(gòu)，其中，從鏈負(fù)責(zé)存儲(chǔ)交易數(shù)據(jù)，主鏈負(fù)責(zé)維護(hù)已經(jīng)確認(rèn)的交易的摘要，同時(shí)提出了基于PBFT機(jī)制改進(jìn)的多主節(jié)點(diǎn)PBFT協(xié)議（MPBFT），利用該協(xié)議實(shí)現(xiàn)構(gòu)成多鏈的多節(jié)點(diǎn)之間的共識(shí)。PBCM機(jī)制有效克服了PoW等機(jī)制存在的時(shí)延高，能耗大的問(wèn)題，在具備動(dòng)態(tài)響應(yīng)需求的數(shù)字資產(chǎn)存儲(chǔ)、管理、保護(hù)領(lǐng)域有著獨(dú)有的優(yōu)勢(shì)，但是該機(jī)制局限于許可鏈，只能在具備一定可信度的環(huán)境下才能應(yīng)用，具有一定的局限性。共識(shí)協(xié)議達(dá)成共識(shí)的速度與區(qū)塊鏈的抗攻擊能力是矛盾的，更快地達(dá)成共識(shí)意味著數(shù)據(jù)的驗(yàn)證過(guò)程更加簡(jiǎn)化，因此基于區(qū)塊鏈的訪問(wèn)控制系統(tǒng)在選擇共識(shí)協(xié)議組件時(shí)，必須結(jié)合實(shí)際的應(yīng)用場(chǎng)景，在安全閾值內(nèi)選擇適用的共識(shí)機(jī)制。

4.2.2數(shù)據(jù)存儲(chǔ)空間優(yōu)化

區(qū)塊鏈作為只增不減的分布式賬本，賬本的多副本特性需要大量的額外存儲(chǔ)空間[58]，上鏈的數(shù)據(jù)不僅要通過(guò)共識(shí)協(xié)議消耗巨大算力，實(shí)現(xiàn)一致性記賬，還要永久地存儲(chǔ)在區(qū)塊上增加維護(hù)成本，因此如何在受限的存儲(chǔ)空間內(nèi)高效安全地完成權(quán)限交易的記錄成為重要的研究問(wèn)題。尤其是在物聯(lián)網(wǎng)等資源受限的場(chǎng)景下，存儲(chǔ)空間的優(yōu)化顯得至關(guān)重要。

目前主流的解決思路有兩個(gè)：一是通過(guò)提前規(guī)定的數(shù)據(jù)格式或者字符映射，實(shí)現(xiàn)數(shù)據(jù)的壓縮存儲(chǔ)；二是將原始數(shù)據(jù)存儲(chǔ)在鏈下，鏈上只存儲(chǔ)必要的簡(jiǎn)略信息或關(guān)鍵字。文獻(xiàn)[29]提出了一種自定義的編碼格式用來(lái)壓縮存儲(chǔ)到區(qū)塊鏈上的訪問(wèn)控制策略數(shù)據(jù)，它通過(guò)字符映射表將復(fù)雜的策略數(shù)據(jù)、屬性名稱(chēng)和操作信息表示為定長(zhǎng)的字符碼，在實(shí)現(xiàn)壓縮存儲(chǔ)的同時(shí)實(shí)現(xiàn)基于關(guān)鍵字的高效查詢(xún)。而文獻(xiàn)[27, 37-38, 44]則是選擇將包含大量數(shù)據(jù)的訪問(wèn)控制事務(wù)存儲(chǔ)在鏈外，僅向區(qū)塊鏈上傳指向鏈外的哈希值。這個(gè)解決方案的好處是可以有效減少鏈上的數(shù)據(jù)量，但缺點(diǎn)是鏈外的數(shù)據(jù)不再受區(qū)塊鏈技術(shù)保護(hù)，數(shù)據(jù)的存儲(chǔ)由本地的數(shù)據(jù)庫(kù)單點(diǎn)負(fù)責(zé)，不再具有分布式賬本的可靠性，在發(fā)生單點(diǎn)故障時(shí)會(huì)導(dǎo)致指針失效，影響整個(gè)訪問(wèn)控制系統(tǒng)的正常運(yùn)行。Poon等[59]在微支付通道的基礎(chǔ)上提出的閃電網(wǎng)絡(luò)，其核心思想是在用戶(hù)間構(gòu)建鏈下支付通道，鏈上只存儲(chǔ)簡(jiǎn)略信息保證雙方的可信性，從而大大提高用戶(hù)間交易的吞吐量。該機(jī)制的思想同樣可以應(yīng)用于訪問(wèn)控制系統(tǒng)中用戶(hù)間策略數(shù)據(jù)的交換，通過(guò)用戶(hù)間“私信”的方式實(shí)現(xiàn)低開(kāi)銷(xiāo)的數(shù)據(jù)存儲(chǔ)交換，但是其安全性也相應(yīng)地減弱。

除此之外，有學(xué)者從數(shù)據(jù)區(qū)塊的結(jié)構(gòu)著手，通過(guò)增加區(qū)塊的數(shù)據(jù)量來(lái)緩解存儲(chǔ)壓力。Eyal等[60]提出的Bitcoin-NG區(qū)塊鏈架構(gòu)，增加了微區(qū)塊的概念，選舉出的首領(lǐng)節(jié)點(diǎn)可以在預(yù)先劃分的時(shí)間窗口內(nèi)向區(qū)塊鏈附加多個(gè)微區(qū)塊，從而提高單位時(shí)間內(nèi)區(qū)塊鏈的存儲(chǔ)空間。如圖13所示，其中正方形表示的是關(guān)鍵區(qū)塊，圓形表示的是微區(qū)塊，微區(qū)塊使用與關(guān)鍵區(qū)塊的公鑰相對(duì)應(yīng)的私鑰簽名，在規(guī)定的時(shí)間內(nèi)以恒定的速度產(chǎn)生。該機(jī)制通過(guò)關(guān)鍵區(qū)塊選舉首領(lǐng)節(jié)點(diǎn)，它的產(chǎn)生仍需要PoW機(jī)制，但是微區(qū)塊的產(chǎn)生只需首領(lǐng)的簽名，所以微區(qū)塊并不會(huì)增加區(qū)塊鏈的重量，增強(qiáng)了區(qū)塊鏈的存儲(chǔ)能力。但是微區(qū)塊上數(shù)據(jù)的準(zhǔn)確性?xún)H由其首領(lǐng)節(jié)點(diǎn)負(fù)責(zé)，首領(lǐng)的選舉過(guò)程顯得至關(guān)重要，因此更適用于具備許可準(zhǔn)入機(jī)制的聯(lián)盟鏈環(huán)境中。此外，文獻(xiàn)[61]提出的GHOST規(guī)則通過(guò)改進(jìn)區(qū)塊鏈節(jié)點(diǎn)構(gòu)建方式，以重建區(qū)塊鏈的方法提高了交易的吞吐量。

圖13 Bitcoin-NG區(qū)塊鏈架構(gòu)Figure 13 Architecture of Bitcoin-NG

4.2.3隱私數(shù)據(jù)保護(hù)

區(qū)塊鏈?zhǔn)峭耆_(kāi)透明的系統(tǒng)，鏈上的交易和智能合約暴露給所有的用戶(hù)，這在增強(qiáng)系統(tǒng)公信度的同時(shí)給用戶(hù)的隱私帶來(lái)了隱患。雖然區(qū)塊鏈具有匿名性，但是實(shí)際情況下攻擊者可以根據(jù)鏈上公開(kāi)的交易信息，通過(guò)數(shù)據(jù)挖掘的方式獲得用戶(hù)的各種特征，從而鎖定用戶(hù)身份，文獻(xiàn)[62-63]證明了通過(guò)分析加密貨幣的交易圖結(jié)構(gòu)進(jìn)行去匿名攻擊的可行性。除此之外，對(duì)用戶(hù)敏感數(shù)據(jù)的管理，更要求系統(tǒng)具有隱私保護(hù)的功能，如文獻(xiàn)[44-45, 49, 64]等針對(duì)醫(yī)療數(shù)據(jù)共享的研究，系統(tǒng)具有完善的隱私保護(hù)機(jī)制是用戶(hù)選擇使用此系統(tǒng)并提高數(shù)據(jù)共享率的必然要求。因此，此方面的研究也受到了諸多學(xué)者的關(guān)注。

Zyskind等[38]針對(duì)區(qū)塊鏈數(shù)據(jù)的隱私安全管理，將哈希指針與安全多方計(jì)算（MPC，multi-party computation）相結(jié)合，提出了分布式的數(shù)據(jù)管理框架Enigma。針對(duì)不同的隱私保護(hù)需求，Enigma將數(shù)據(jù)的管理分為Public ledger、DHT和MPC共3種類(lèi)型，其中鏈上Public ledger的數(shù)據(jù)對(duì)全部用戶(hù)公開(kāi)，而DHT和MPC的數(shù)據(jù)只在鏈上存儲(chǔ)數(shù)據(jù)的哈希指針。DHT的數(shù)據(jù)具有一定的隱私保護(hù)，它只在鏈上存儲(chǔ)對(duì)數(shù)據(jù)的引用，同時(shí)通過(guò)哈希函數(shù)校驗(yàn)鏈下數(shù)據(jù)是否被篡改。而MPC的數(shù)據(jù)通過(guò)使用安全多方計(jì)算[65]、數(shù)據(jù)的查詢(xún)以分布式進(jìn)行，數(shù)據(jù)被分割到不同的節(jié)點(diǎn)進(jìn)行處理，沒(méi)有任何一方能夠訪問(wèn)全部數(shù)據(jù)，從而在無(wú)須第三方背書(shū)的情況下實(shí)現(xiàn)敏感數(shù)據(jù)的存儲(chǔ)和運(yùn)算。

Kosba等[66]同樣針對(duì)區(qū)塊鏈的隱私保護(hù)問(wèn)題，提出了智能合約開(kāi)發(fā)平臺(tái)Hawk。與Zerocash類(lèi)似，Hawk采用zk-SNARK零知識(shí)證明技術(shù)[63]，用來(lái)保證在驗(yàn)證過(guò)程中礦工可以在不知道交易的具體信息的情況下判定交易的有效性，從而實(shí)現(xiàn)對(duì)交易中敏感信息的隱私保護(hù)。Hawk平臺(tái)原理架構(gòu)如圖14所示，Hawk借鑒了Zerocash中的mint（鑄幣）和pour（消費(fèi)）操作，用戶(hù)可以通過(guò)這兩個(gè)操作來(lái)隱匿智能合約中的交易地址。根據(jù)數(shù)據(jù)的敏感性，用戶(hù)將負(fù)責(zé)交易數(shù)據(jù)的智能合約劃分為公開(kāi)部分和私密部分，通過(guò)編程人員開(kāi)發(fā)的編譯器自動(dòng)轉(zhuǎn)化為“秘密合約”。代理人則作為用戶(hù)的代理，在不透露用戶(hù)身份的前提下代替用戶(hù)進(jìn)行交易。

圖14 Hawk平臺(tái)原理架構(gòu)Figure 14 Principle of Hawk platform

此外，有學(xué)者利用密碼學(xué)技術(shù)對(duì)區(qū)塊鏈數(shù)據(jù)進(jìn)行加密，實(shí)現(xiàn)用戶(hù)的隱私保護(hù)。Le等[67]則將密碼加密技術(shù)與區(qū)塊鏈結(jié)合，提出了針對(duì)物聯(lián)網(wǎng)設(shè)備隱私保護(hù)需求的CapChain框架。它采用FairAccess機(jī)制中授權(quán)令牌的形式對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行權(quán)限管理，同時(shí)采用密碼學(xué)知識(shí)，通過(guò)公鑰地址、一次性地址和域地址進(jìn)行交易，來(lái)預(yù)防針對(duì)用戶(hù)交易地址的關(guān)聯(lián)分析。文獻(xiàn)[68]同樣將密碼學(xué)知識(shí)與區(qū)塊鏈結(jié)合，提出了通過(guò)多密鑰生成中心(KGC)的群簽名隱匿交易節(jié)點(diǎn)身份信息，實(shí)現(xiàn)鏈上用戶(hù)的匿名保護(hù)，但目前該機(jī)制是以聯(lián)盟鏈為基礎(chǔ)，無(wú)法拓展到完全公開(kāi)的公共鏈。李少卓等[69]提出了一種基于RSA的區(qū)塊鏈按需披露隱私保護(hù)機(jī)制（PPM-ODB），通過(guò)Quorum鏈實(shí)現(xiàn)了隱私信息持有者和知情者間的密鑰分發(fā)，支持知情者的匿名分析、隱私信息的加密解密以及數(shù)據(jù)的流通追溯。

屬性基加密（ABE）作為一種新興的加密技術(shù)，實(shí)現(xiàn)了一對(duì)多的通信加密，適用于解決分布式環(huán)境的數(shù)據(jù)保護(hù)需求，可以解決區(qū)塊鏈的隱私保護(hù)問(wèn)題。ABE以屬性為公鑰，將密文和用戶(hù)私鑰與屬性關(guān)聯(lián)，能夠靈活地表示訪問(wèn)控制策略，可以低開(kāi)銷(xiāo)地實(shí)現(xiàn)密文的加解密。田有亮等[70]基于Waters的CP-ABE方案[71-72]，提出基于屬性加密的區(qū)塊鏈數(shù)據(jù)溯源算法，針對(duì)溯源信息難以動(dòng)態(tài)共享這一問(wèn)題，通過(guò)改進(jìn)的屬性加密算法完成對(duì)交易的隱私保護(hù)，該數(shù)據(jù)加密方式具有通用性，同樣可以應(yīng)用在其他區(qū)塊鏈系統(tǒng)。邱云翔等[73]同樣提出了一種基于CP-ABE算法的區(qū)塊鏈數(shù)據(jù)訪問(wèn)控制方案，并結(jié)合超級(jí)賬本平臺(tái)上原有的Fabric CA模塊支持密鑰的管理工作，實(shí)現(xiàn)了用戶(hù)屬性私鑰的安全分發(fā)。

將上述不同需求下的代表文獻(xiàn)及其核心思想總結(jié)如表4所示。

表4 不同訪問(wèn)需求下的代表文獻(xiàn)總結(jié)Table 4 Summary of representative literature under different access requirements

5 基于區(qū)塊鏈的訪問(wèn)控制技術(shù)研究展望

（1）提升通用性與可移植性

訪問(wèn)控制技術(shù)經(jīng)過(guò)幾十年的發(fā)展，提出了諸多優(yōu)良的訪問(wèn)控制模型，并且經(jīng)過(guò)應(yīng)用證明其訪問(wèn)控制機(jī)制的可行性，同時(shí)已經(jīng)廣泛應(yīng)用在現(xiàn)有的系統(tǒng)上。若能對(duì)已有的訪問(wèn)控制系統(tǒng)進(jìn)行改進(jìn)，使區(qū)塊鏈技術(shù)與其結(jié)合，在保證原功能的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)上鏈，便能利用區(qū)塊鏈分布式存儲(chǔ)、透明公開(kāi)、難以篡改的特性，增強(qiáng)系統(tǒng)的安全性和可信性。因此，如何設(shè)計(jì)區(qū)塊鏈系統(tǒng)使其擁有較好的通用性，能夠通過(guò)接口與現(xiàn)有的訪問(wèn)控制系統(tǒng)互聯(lián)，并對(duì)各類(lèi)訪問(wèn)控制模型都擁有完善的處理機(jī)制，成為研究的一個(gè)重點(diǎn)內(nèi)容。

此外，如何實(shí)現(xiàn)可拓展訪問(wèn)控制標(biāo)記語(yǔ)言（XACML）向智能合約代碼的轉(zhuǎn)化也是值得研究的一個(gè)方向。XACML作為一種通用的訪問(wèn)控制策略定義語(yǔ)言，標(biāo)準(zhǔn)化地描述各個(gè)系統(tǒng)間的訪問(wèn)控制策略和過(guò)程。如果實(shí)現(xiàn)了XACML向智能合約代碼的高效轉(zhuǎn)化機(jī)制，那么就能實(shí)現(xiàn)基于XACML框架的訪問(wèn)控制系統(tǒng)向區(qū)塊鏈的遷移，而且標(biāo)準(zhǔn)化的描述語(yǔ)言還能保證遷移后的系統(tǒng)仍具備與其他系統(tǒng)的互操作性。

（2）跨域與跨鏈訪問(wèn)

大數(shù)據(jù)環(huán)境下，網(wǎng)絡(luò)中存在諸多各自封閉的可信域，如何利用區(qū)塊鏈公開(kāi)可信的技術(shù)，“鏈通”各個(gè)可信域，建立起低成本的信任機(jī)制，滿(mǎn)足用戶(hù)的跨域訪問(wèn)控制需求，也是研究的重點(diǎn)方向。目前針對(duì)單鏈的跨域認(rèn)證與訪問(wèn)控制，已經(jīng)取得一定的研究進(jìn)展[74-77]。但是，在大數(shù)據(jù)龐大的數(shù)據(jù)管理需求下，只通過(guò)一條區(qū)塊鏈實(shí)現(xiàn)所有的數(shù)據(jù)管理是不現(xiàn)實(shí)的，必然需要多條鏈并行運(yùn)作實(shí)現(xiàn)各個(gè)組織下的數(shù)據(jù)管理機(jī)制。如何鏈接起多條區(qū)塊鏈，解決訪問(wèn)控制策略沖突、用戶(hù)身份重復(fù)、智能合約不通用等問(wèn)題，也是實(shí)現(xiàn)跨鏈的協(xié)同數(shù)據(jù)管理需要解決的難題。

（3）訪問(wèn)控制性能優(yōu)化

區(qū)塊鏈誕生的最初目的是作為比特幣的底層技術(shù)，服務(wù)于電子貨幣的，其挖礦機(jī)制并不適宜訪問(wèn)控制需求，同樣在以太坊平臺(tái)上也面臨著區(qū)塊產(chǎn)生過(guò)慢、數(shù)據(jù)存儲(chǔ)開(kāi)銷(xiāo)過(guò)大的問(wèn)題，這直接制約了基于區(qū)塊鏈的訪問(wèn)控制系統(tǒng)的性能。同時(shí)，根據(jù)Seth等提出的CAP理論[78]，區(qū)塊鏈在滿(mǎn)足分區(qū)容錯(cuò)性的前提下，必須在一致性和可用性之間進(jìn)行權(quán)衡，即必須在安全性和高效性之間進(jìn)行取舍。因此，如何改進(jìn)區(qū)塊鏈的共識(shí)機(jī)制、記賬機(jī)制和存儲(chǔ)結(jié)構(gòu)等，使其適宜訪問(wèn)控制需求也是未來(lái)必須解決的一個(gè)問(wèn)題。

（4）數(shù)據(jù)隱私保護(hù)

區(qū)塊鏈作為公開(kāi)的賬本，在應(yīng)用中必須考慮對(duì)敏感關(guān)鍵數(shù)據(jù)的隱私保護(hù)，雖然已有研究者提出通過(guò)同態(tài)加密、屬性基加密等機(jī)制實(shí)現(xiàn)對(duì)鏈上交易信息的保護(hù)，但是這些加密算法的引入帶來(lái)了計(jì)算開(kāi)銷(xiāo)，必然會(huì)引起額外的響應(yīng)時(shí)延。如何設(shè)計(jì)適用于區(qū)塊鏈的分布式密碼協(xié)議，是解決這一性能瓶頸的研究重點(diǎn)。此外，區(qū)塊鏈上共識(shí)機(jī)制要求相關(guān)驗(yàn)證節(jié)點(diǎn)能夠獲取到交易信息，惡意節(jié)點(diǎn)雖然無(wú)法影響共識(shí)的達(dá)成，但是依舊可以獲取所有的賬本數(shù)據(jù)，雖然零知識(shí)證明可以避免這個(gè)問(wèn)題，但是其也需要較大的算力支持，在現(xiàn)有的ZCash平臺(tái)上這一過(guò)程需要30~40 s，并且其安全性未得到證實(shí)，這也是需要繼續(xù)進(jìn)行研究的方向。

（5）區(qū)塊鏈+人工智能

將人工智能引入基于區(qū)塊鏈的訪問(wèn)控制機(jī)制中，可以在減少開(kāi)發(fā)員工作量的同時(shí)進(jìn)一步提升系統(tǒng)的安全性。首先可以利用深度學(xué)習(xí)算法改進(jìn)訪問(wèn)控制策略，優(yōu)化授權(quán)范圍，解決訪問(wèn)策略沖突問(wèn)題。其次可以利用人工智能算法對(duì)開(kāi)發(fā)的智能合約代碼進(jìn)行漏洞分析，保證合約執(zhí)行結(jié)果的可靠性和完備性。最后可以研究基于人工智能的共識(shí)機(jī)制，利用機(jī)器學(xué)習(xí)算法分配計(jì)算資源，加快共識(shí)達(dá)成速度，減少授權(quán)請(qǐng)求響應(yīng)時(shí)間。

6 結(jié)束語(yǔ)

大數(shù)據(jù)環(huán)境下信息流通快，存在著數(shù)據(jù)主權(quán)難維護(hù)、訪問(wèn)權(quán)限難界定、第三方泄露難防范等問(wèn)題，給現(xiàn)有的訪問(wèn)控制機(jī)制帶來(lái)了挑戰(zhàn)。而基于區(qū)塊鏈的訪問(wèn)控制機(jī)制利用區(qū)塊鏈公開(kāi)透明、可信度高、難以篡改的特點(diǎn)，能夠?qū)崿F(xiàn)去中心化的訪問(wèn)控制管理。本文從基于區(qū)塊鏈實(shí)現(xiàn)機(jī)制出發(fā)，總結(jié)了現(xiàn)有的基于交易和基于智能合約的訪

問(wèn)控制機(jī)制，重點(diǎn)分析了動(dòng)態(tài)訪問(wèn)控制、鏈上空間優(yōu)化和隱私數(shù)據(jù)保護(hù)3個(gè)關(guān)鍵技術(shù)，并結(jié)合現(xiàn)有的研究展望，基于區(qū)塊鏈的訪問(wèn)控制技術(shù)面臨的挑戰(zhàn)，以期對(duì)未來(lái)的研究提供參考與啟發(fā)?？傮w而言，目前國(guó)內(nèi)基于區(qū)塊鏈的訪問(wèn)控制機(jī)制仍處于研究的初步階段，尚未形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)與成熟的技術(shù)方案，在云租戶(hù)數(shù)據(jù)管理、物聯(lián)網(wǎng)數(shù)據(jù)保護(hù)、醫(yī)療信息共享、企業(yè)數(shù)據(jù)管理等領(lǐng)域仍有廣闊的研究空間。