樊樹偉

摘要區(qū)塊鏈已廣泛應用到政府、軍事、金融等組織。為了維護系統(tǒng)的順運作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。

訪問控制技術是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數(shù)據(jù)和資源在規(guī)范下合理使用。訪問控制技術通常用于設置服務器、文件等資源的訪問權限，來限制用戶的訪問。本文將從區(qū)塊鏈和訪問控制技術的概念的角度出發(fā)，淺析基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應用。

關鍵詞：區(qū)塊鏈 訪問控制 用戶信息 安全

1緒論

1.1研究目的及意義

隨著計算機技術在不同行業(yè)中的不斷深化、創(chuàng)新，區(qū)塊鏈已廣泛應用到政府、軍事、金融等組織。其快速發(fā)展得到的各個領域的高度重視。通過對區(qū)塊鏈下的數(shù)據(jù)訪問控制技術進行研究，各類組織在管理相應的數(shù)據(jù)時能夠保障用戶信息的安全、不外泄，從而促進我國信息技術事業(yè)的發(fā)展。

1.2研究方法

本文使用文獻資料法獲取區(qū)塊鏈技術和訪問控制技術的理論研究結果。通過閱讀相關內(nèi)容書籍、查詢互聯(lián)網(wǎng)資料，系統(tǒng)地學習、研究在區(qū)塊鏈影響下數(shù)據(jù)訪問控制的方法及應用。

1.3研究內(nèi)容

本文通過大量的查閱、探討、剖析相關區(qū)塊鏈技術和訪問控制技術的文獻，研究了以下幾方面相關內(nèi)容：（1）區(qū)塊鏈的概念、特征及核心技術（2）訪問控制技術的定義、功能及模式;（3）基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應用

2區(qū)塊鏈

2.1區(qū)塊鏈的概念

“區(qū)塊鏈”這個詞匯最早出現(xiàn)在2008年。區(qū)塊鏈并不是一種新的技術，而是一種多維交叉的應用模式。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等等多種成熟的IT技術基礎上，相互融合而產(chǎn)生的技術。它是比特幣中具備相當權重的觀念。作為一種底層技術的去中心化數(shù)據(jù)庫，區(qū)塊鏈應用信息加密的方法使不同的數(shù)據(jù)塊產(chǎn)生聯(lián)系。而每一個數(shù)據(jù)塊中包含的比特幣網(wǎng)絡交易信息，用于驗證、防偽，和產(chǎn)生下一個區(qū)塊。

2.2區(qū)塊鏈的特征

區(qū)塊鏈是一種多維交叉的信息技術。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等多種已成熟的技術基礎上，相互組合而成，并非是一種新的技術。它能夠實現(xiàn)系統(tǒng)在無工作人員的管理下而自動運行的目的。為了維護系統(tǒng)的順暢運作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。

（1）去中心化。

這個特點是相對于“中心化”，即節(jié)點選定中心而言在中心化中，節(jié)點和中心相互依賴和生存。而去中心化是將二者分開，各自獨立。在傳統(tǒng)的貨幣交易機制下，不論是我們的個人交易信息還是網(wǎng)頁瀏覽信息，均由相應的數(shù)據(jù)庫進行記錄和存儲，如銀行存款掏寶購物、跨境消費等等。凡是涉及我們自身貨幣變化的信息都將被相應的機構進行保存。而這些機構也會在“信任”的基礎上保證我們的交易信息安全。但是在區(qū)塊鏈中是沒有這樣的中心機構的。他主要是通過分布式核算和存儲，所有節(jié)點實現(xiàn)了信息的自我驗證記錄和管理。去中心化是區(qū)塊鏈最基本的特征。

（2）保護個人隱私

相較于銀行開戶，區(qū)塊鏈采取非對稱密鑰算法。這種算法在很大程度上能夠保護用戶的個人信息。在區(qū)塊鏈系統(tǒng)中，用戶的ID為字符密碼，其產(chǎn)生的節(jié)點不需要進行實名驗證。因此用戶即便可以開設多個地址，其個人隱私信息也較難被確認。

（3）開放透明性

用戶可以通過區(qū)塊鏈的端口瀏覽數(shù)據(jù)和相關應用。除交易信息以外，所有人都可以在該系統(tǒng)下進行相應的查詢。因此，區(qū)塊鏈具備開放透明性。

（4）安全性。

區(qū)塊鏈間是由加密的數(shù)據(jù)相關聯(lián)。如果發(fā)生人為的數(shù)據(jù)篡改，會導致前后數(shù)據(jù)同時發(fā)生錯誤。而且，用戶極難獲取全部數(shù)據(jù)節(jié)點的51%。因此，區(qū)塊鏈相對而言具備一定的安全性。

2.3核心技術

（1）分布式賬本

分布式賬本是一種能夠使用戶間共享、拷貝和同步交易信息的數(shù)據(jù)庫。分布式賬本記載了用戶之間資產(chǎn)或者數(shù)據(jù)的交易信息。由于交易時需要不同地方的節(jié)點共同進行操作，它具備一定的監(jiān)督功能。

（2）非對稱加密

從字面上來看，非對稱加密算法是一種密鑰加密方法。非對稱加密算法一般為一對密鑰，即公鑰和私鑰。用戶所保存在區(qū)塊鏈上的交易信息具有透明性，但是其賬戶隱私信息是加密不可見的。只有擁有私鑰的用戶才能夠進行訪問。

（3）共識機制

共識機制是區(qū)塊鏈的關鍵。它能夠維護區(qū)塊鏈系統(tǒng)的正常運行，對同一時間內(nèi)發(fā)生交易行為進行排序。目前常見的共識機制有：工作量證明機制、權益證明機制、拜占庭共識算法。

（3）智能合約

智能合約是一種計算機協(xié)議。它能夠對用戶信息進行驗證和操作。智能合約可以去中心化的條件進行資產(chǎn)的交換，且數(shù)據(jù)可追溯但不可篡改。相對于傳統(tǒng)合約，智能合約更為安全，能夠更有效的降低交易成本。

3訪問控制技術

3.1定義

所謂訪問控制技術，是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數(shù)據(jù)和資源在規(guī)范下合理使用。訪問控制技術通常用于設置服務器、文件等資源的訪問權限，來限制用戶的訪問。訪問控制能夠確保數(shù)據(jù)和資源不外泄、不損失以及重復利用，極大程度上保證了系統(tǒng)的安全。

3.2功能

訪問控制技術的功能意在保護網(wǎng)絡資源，防止非法的主體獲取網(wǎng)絡資源信息。在用戶進行訪問前，訪問控制技術會對該用戶身份進行驗證和管理。當用戶身份和訪問權限通過驗證后，還會對其操作行為進行監(jiān)管。

3.3訪問技術的模式

訪問控制技術通常而言主要有自主訪問控制、強制訪問控制和基于角色訪問控制這三種模式。

（1）自主訪問控制

自我訪問控制是一種客體自我管理的、自主的控制方法。簡單而言就是用戶可以根據(jù)自己的偏好，有選擇的與其他用戶共享擁有的資源。自我訪問控制具備一定的靈活便捷性，可以根據(jù)不同的系統(tǒng)環(huán)境，提供數(shù)據(jù)訪問的方法。就目前來說，它是應用頻率最高的訪問控制策略。但是，他的安全系數(shù)較低，很可能被非法用戶獲取訪問資源的權限，從而導致權限外露。

（2）強制訪問控制

強制訪問控制是一種由系統(tǒng)限制主體訪問權限的方法。在實踐過程中，系統(tǒng)管理員對訪問權限進行集中管理，根據(jù)用戶的安全等級給予其相應的訪問權限，且用戶自身不能進行更改。除此之外，強制訪問控制禁止經(jīng)過進程生成共享文件。它對所有的用戶和資源強制進行安全控制。強制訪問控制通常應用于專用或者簡單的系統(tǒng)，對通用或大型系統(tǒng)效果不佳。

（3）基于角色的訪問控制模型

基于角色的訪問控制模型，即RBAC模型。它是將訪問權限分配給指定的角色，用戶從不同的角色中獲取訪問權限。RBAC以主體為基礎，按照職權和職責進行劃分，將訪問權限與角色相關聯(lián)。這與以往的強制訪問控制和自主訪問控制有一定的差別;通過給予用戶角色，使用戶與訪問權限產(chǎn)生關聯(lián)。角色成為訪問主體和受控對象間的紐帶。

然而大多數(shù)企業(yè)并不愿意使用基于角色的訪問控制方法。其原因在于，完成該矩陣的周期時間較長，且訪問權限一旦發(fā)生變化勢必會對工作效率帶來影響。為了應對這個問題，企業(yè)可以通過人力資源系統(tǒng)對員工相關的數(shù)據(jù)信息進行收集，并創(chuàng)建不同級別的訪問角色，使數(shù)據(jù)能夠共享。在數(shù)據(jù)共享的基礎上，逐步標準化，確保平每個角色具備訪問權限。基于角色的訪問控制應用與人力資源系統(tǒng)結合使用，可以幫助企業(yè)實現(xiàn)信息自動更新，保障訪問權限的正確性。

4基于區(qū)塊鏈的數(shù)據(jù)訪問控制方法及應用

4.1強制訪問控制

4.1.1模型的設計

如果企業(yè)文件資源都保存在服務器中，且服務器具有開放性。員工和其他用戶可以訪問普通文件。而對于企業(yè)內(nèi)部較為機密的文件，系統(tǒng)管理員會嚴格進行訪問限制。由此可見，企業(yè)可以將員工和其他用戶進行等級劃分，即負責人、員工和其他用戶;文件的等級界定為機密、秘密和常規(guī)。其他用戶僅有訪問普通等級文件的權限，員工可以訪問常規(guī)和機密的文件，負責人可以訪問機密文件，具體如表3—1所示。

此訪問控制方法屬于強制訪問控制模式。該方法嚴格限定了訪問的條件。只有在用戶具備對應的等級，才能擁有訪問相關文件的權限。由于該模式下的訪問者權限按照一定的條件嚴格進行劃分且具備相對的固定性，可以將不同用戶的訪問權限和相對應的文件等信息存入在區(qū)塊鏈中，加載至每個節(jié)點上。通過區(qū)塊鏈的永久記錄、不可篡改和透明性，保證系統(tǒng)被訪問時能夠安全運行。

4.1.2模型的實現(xiàn)

將既定的用戶信息和文件的等級、訪問權限以及規(guī)則寫入智能合約中，并加載至每個節(jié)點上。PC端經(jīng)過調(diào)整使用智能合約對用戶等級進行劃分并將信息記載到區(qū)塊鏈中;PC端經(jīng)過調(diào)整使用智能合約對相對應的加密文件進行創(chuàng)建，并將信息記載到區(qū)塊鏈中;在用戶訪問不同等級的加密文件時，需要通過調(diào)整使用智能合約查詢自己的訪問權限，從而滿足預定義的訪問規(guī)則。在這種模式下，區(qū)塊鏈中的用戶和文件的訪問權限和條件將不能直接進行改變。

4.2基于區(qū)塊鏈技術的角色訪問控制模型

4.2.1模型的設計

如果企業(yè)一家生產(chǎn)制造公司，那么它勢必會具備研發(fā)、設計、生產(chǎn)和銷售部門。一般而言，在企業(yè)各部門組織架構中均設有總監(jiān)、經(jīng)理和普通員工這三個級別的職位。因此，每個部門的文件管理也分為三個級別，即機密、秘密和常規(guī)。具體用戶訪問權限如表3—2所示

由此可見，員工可以訪問所在部門的常規(guī)文件;經(jīng)理和總監(jiān)可以訪問相對應級別及以下的秘密和常規(guī)文件。而員工若想訪問所在部門或者其他部門的秘密文件需要與本部門上級領導和其他部門領導申請并經(jīng)過其批準方可進行操作。如果員工想要查看本部門的機密文件需要經(jīng)過本部門的上級領導和總監(jiān)的批準。

這種訪問控制方法屬于基于角色訪問控制模型。角色和訪問權限按照嚴格的規(guī)定進行劃分，使這種模式具有一定的固定性，能夠把總監(jiān)、經(jīng)理、員工等用戶的角色、訪問權限、訪問規(guī)則等信息保存至區(qū)塊鏈中，加載到每個節(jié)點上。通過區(qū)塊鏈的永久記錄、不可篡改和透明性，保證系統(tǒng)被訪問時能夠安全運行。

4.2.2模型的實現(xiàn)

將既定的角色、訪問權限條件以及規(guī)則錄入到智能合約中，加載至節(jié)點上。PC端經(jīng)過調(diào)整使用通智能合約完成角色的劃分，并把角色信息錄入到區(qū)塊鏈中;PC端經(jīng)過調(diào)整使用智能合約對相對應加密文件進行創(chuàng)建，并將信息錄入到區(qū)塊鏈中;角色需要訪問不同級別的加密文件時，經(jīng)過調(diào)整使用智能合約對自己的訪問權限進行查詢。如果訪問的文件超出等級訪問權限范圍，需要向上級進行申請并在批準方可進行下一步操作。

5結論

本文對區(qū)塊鏈下的數(shù)據(jù)訪問技術方法及應用進行了淺析。區(qū)塊鏈并不是一種新的技術，而是一種多維交叉的應用模式。它是在分布數(shù)據(jù)存儲、P2P傳輸、數(shù)據(jù)庫、加密算法、時間戳等等多種成熟的IT技術基礎上，相互融合而產(chǎn)生的技術。為了維護系統(tǒng)的順暢運作，區(qū)塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。訪問控制技術，是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數(shù)據(jù)和資源在規(guī)范下合理使用。而區(qū)塊鏈技術和訪問技術的相互結合還需要經(jīng)過不斷的實踐進行驗證。

參考文獻

[1]董貴山，陳宇翔，范佳，郝堯，李楓.區(qū)塊鏈應用中的隱私保護策略研究[J].計算機科學，2019，46（05）：29-35.

[2]焦英楠，陳英華.基于區(qū)塊鏈技術的物聯(lián)網(wǎng)安全研究[J].軟件，2018，39（02）：88-92.

[3]紀蒙.試論區(qū)塊鏈技術及其在信息安全領域的研究進展[J].計算機產(chǎn)品與流通，2018（02）：130.

[4]梅穎.基于區(qū)塊鏈的物聯(lián)網(wǎng)訪問控制簡化模型構建[J].中國傳媒大學學報（自然科學版），2017，24（05）：7-12.