基于區塊鏈的數據訪問控制方法及應用研究

樊樹偉

摘要區塊鏈已廣泛應用到政府、軍事、金融等組織。為了維護系統的順運作，區塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。

訪問控制技術是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數據和資源在規范下合理使用。訪問控制技術通常用于設置服務器、文件等資源的訪問權限，來限制用戶的訪問。本文將從區塊鏈和訪問控制技術的概念的角度出發，淺析基于區塊鏈的數據訪問控制方法及應用。

關鍵詞：區塊鏈 訪問控制 用戶信息 安全

1緒論

1.1研究目的及意義

隨著計算機技術在不同行業中的不斷深化、創新，區塊鏈已廣泛應用到政府、軍事、金融等組織。其快速發展得到的各個領域的高度重視。通過對區塊鏈下的數據訪問控制技術進行研究，各類組織在管理相應的數據時能夠保障用戶信息的安全、不外泄，從而促進我國信息技術事業的發展。

1.2研究方法

本文使用文獻資料法獲取區塊鏈技術和訪問控制技術的理論研究結果。通過閱讀相關內容書籍、查詢互聯網資料，系統地學習、研究在區塊鏈影響下數據訪問控制的方法及應用。

1.3研究內容

本文通過大量的查閱、探討、剖析相關區塊鏈技術和訪問控制技術的文獻，研究了以下幾方面相關內容：（1）區塊鏈的概念、特征及核心技術（2）訪問控制技術的定義、功能及模式;（3）基于區塊鏈的數據訪問控制方法及應用

2區塊鏈

2.1區塊鏈的概念

“區塊鏈”這個詞匯最早出現在2008年。區塊鏈并不是一種新的技術，而是一種多維交叉的應用模式。它是在分布數據存儲、P2P傳輸、數據庫、加密算法、時間戳等等多種成熟的IT技術基礎上，相互融合而產生的技術。它是比特幣中具備相當權重的觀念。作為一種底層技術的去中心化數據庫，區塊鏈應用信息加密的方法使不同的數據塊產生聯系。而每一個數據塊中包含的比特幣網絡交易信息，用于驗證、防偽，和產生下一個區塊。

2.2區塊鏈的特征

區塊鏈是一種多維交叉的信息技術。它是在分布數據存儲、P2P傳輸、數據庫、加密算法、時間戳等多種已成熟的技術基礎上，相互組合而成，并非是一種新的技術。它能夠實現系統在無工作人員的管理下而自動運行的目的。為了維護系統的順暢運作，區塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。

（1）去中心化。

這個特點是相對于“中心化”，即節點選定中心而言在中心化中，節點和中心相互依賴和生存。而去中心化是將二者分開，各自獨立。在傳統的貨幣交易機制下，不論是我們的個人交易信息還是網頁瀏覽信息，均由相應的數據庫進行記錄和存儲，如銀行存款掏寶購物、跨境消費等等。凡是涉及我們自身貨幣變化的信息都將被相應的機構進行保存。而這些機構也會在“信任”的基礎上保證我們的交易信息安全。但是在區塊鏈中是沒有這樣的中心機構的。他主要是通過分布式核算和存儲，所有節點實現了信息的自我驗證記錄和管理。去中心化是區塊鏈最基本的特征。

（2）保護個人隱私

相較于銀行開戶，區塊鏈采取非對稱密鑰算法。這種算法在很大程度上能夠保護用戶的個人信息。在區塊鏈系統中，用戶的ID為字符密碼，其產生的節點不需要進行實名驗證。因此用戶即便可以開設多個地址，其個人隱私信息也較難被確認。

（3）開放透明性

用戶可以通過區塊鏈的端口瀏覽數據和相關應用。除交易信息以外，所有人都可以在該系統下進行相應的查詢。因此，區塊鏈具備開放透明性。

（4）安全性。

區塊鏈間是由加密的數據相關聯。如果發生人為的數據篡改，會導致前后數據同時發生錯誤。而且，用戶極難獲取全部數據節點的51%。因此，區塊鏈相對而言具備一定的安全性。

2.3核心技術

（1）分布式賬本

分布式賬本是一種能夠使用戶間共享、拷貝和同步交易信息的數據庫。分布式賬本記載了用戶之間資產或者數據的交易信息。由于交易時需要不同地方的節點共同進行操作，它具備一定的監督功能。

（2）非對稱加密

從字面上來看，非對稱加密算法是一種密鑰加密方法。非對稱加密算法一般為一對密鑰，即公鑰和私鑰。用戶所保存在區塊鏈上的交易信息具有透明性，但是其賬戶隱私信息是加密不可見的。只有擁有私鑰的用戶才能夠進行訪問。

（3）共識機制

共識機制是區塊鏈的關鍵。它能夠維護區塊鏈系統的正常運行，對同一時間內發生交易行為進行排序。目前常見的共識機制有：工作量證明機制、權益證明機制、拜占庭共識算法。

（3）智能合約

智能合約是一種計算機協議。它能夠對用戶信息進行驗證和操作。智能合約可以去中心化的條件進行資產的交換，且數據可追溯但不可篡改。相對于傳統合約，智能合約更為安全，能夠更有效的降低交易成本。

3訪問控制技術

3.1定義

所謂訪問控制技術，是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數據和資源在規范下合理使用。訪問控制技術通常用于設置服務器、文件等資源的訪問權限，來限制用戶的訪問。訪問控制能夠確保數據和資源不外泄、不損失以及重復利用，極大程度上保證了系統的安全。

3.2功能

訪問控制技術的功能意在保護網絡資源，防止非法的主體獲取網絡資源信息。在用戶進行訪問前，訪問控制技術會對該用戶身份進行驗證和管理。當用戶身份和訪問權限通過驗證后，還會對其操作行為進行監管。

3.3訪問技術的模式

訪問控制技術通常而言主要有自主訪問控制、強制訪問控制和基于角色訪問控制這三種模式。

（1）自主訪問控制

自我訪問控制是一種客體自我管理的、自主的控制方法。簡單而言就是用戶可以根據自己的偏好，有選擇的與其他用戶共享擁有的資源。自我訪問控制具備一定的靈活便捷性，可以根據不同的系統環境，提供數據訪問的方法。就目前來說，它是應用頻率最高的訪問控制策略。但是，他的安全系數較低，很可能被非法用戶獲取訪問資源的權限，從而導致權限外露。

（2）強制訪問控制

強制訪問控制是一種由系統限制主體訪問權限的方法。在實踐過程中，系統管理員對訪問權限進行集中管理，根據用戶的安全等級給予其相應的訪問權限，且用戶自身不能進行更改。除此之外，強制訪問控制禁止經過進程生成共享文件。它對所有的用戶和資源強制進行安全控制。強制訪問控制通常應用于專用或者簡單的系統，對通用或大型系統效果不佳。

（3）基于角色的訪問控制模型

基于角色的訪問控制模型，即RBAC模型。它是將訪問權限分配給指定的角色，用戶從不同的角色中獲取訪問權限。RBAC以主體為基礎，按照職權和職責進行劃分，將訪問權限與角色相關聯。這與以往的強制訪問控制和自主訪問控制有一定的差別;通過給予用戶角色，使用戶與訪問權限產生關聯。角色成為訪問主體和受控對象間的紐帶。

然而大多數企業并不愿意使用基于角色的訪問控制方法。其原因在于，完成該矩陣的周期時間較長，且訪問權限一旦發生變化勢必會對工作效率帶來影響。為了應對這個問題，企業可以通過人力資源系統對員工相關的數據信息進行收集，并創建不同級別的訪問角色，使數據能夠共享。在數據共享的基礎上，逐步標準化，確保平每個角色具備訪問權限。基于角色的訪問控制應用與人力資源系統結合使用，可以幫助企業實現信息自動更新，保障訪問權限的正確性。

4基于區塊鏈的數據訪問控制方法及應用

4.1強制訪問控制

4.1.1模型的設計

如果企業文件資源都保存在服務器中，且服務器具有開放性。員工和其他用戶可以訪問普通文件。而對于企業內部較為機密的文件，系統管理員會嚴格進行訪問限制。由此可見，企業可以將員工和其他用戶進行等級劃分，即負責人、員工和其他用戶;文件的等級界定為機密、秘密和常規。其他用戶僅有訪問普通等級文件的權限，員工可以訪問常規和機密的文件，負責人可以訪問機密文件，具體如表3—1所示。

此訪問控制方法屬于強制訪問控制模式。該方法嚴格限定了訪問的條件。只有在用戶具備對應的等級，才能擁有訪問相關文件的權限。由于該模式下的訪問者權限按照一定的條件嚴格進行劃分且具備相對的固定性，可以將不同用戶的訪問權限和相對應的文件等信息存入在區塊鏈中，加載至每個節點上。通過區塊鏈的永久記錄、不可篡改和透明性，保證系統被訪問時能夠安全運行。

4.1.2模型的實現

將既定的用戶信息和文件的等級、訪問權限以及規則寫入智能合約中，并加載至每個節點上。PC端經過調整使用智能合約對用戶等級進行劃分并將信息記載到區塊鏈中;PC端經過調整使用智能合約對相對應的加密文件進行創建，并將信息記載到區塊鏈中;在用戶訪問不同等級的加密文件時，需要通過調整使用智能合約查詢自己的訪問權限，從而滿足預定義的訪問規則。在這種模式下，區塊鏈中的用戶和文件的訪問權限和條件將不能直接進行改變。

4.2基于區塊鏈技術的角色訪問控制模型

4.2.1模型的設計

如果企業一家生產制造公司，那么它勢必會具備研發、設計、生產和銷售部門。一般而言，在企業各部門組織架構中均設有總監、經理和普通員工這三個級別的職位。因此，每個部門的文件管理也分為三個級別，即機密、秘密和常規。具體用戶訪問權限如表3—2所示

由此可見，員工可以訪問所在部門的常規文件;經理和總監可以訪問相對應級別及以下的秘密和常規文件。而員工若想訪問所在部門或者其他部門的秘密文件需要與本部門上級領導和其他部門領導申請并經過其批準方可進行操作。如果員工想要查看本部門的機密文件需要經過本部門的上級領導和總監的批準。

這種訪問控制方法屬于基于角色訪問控制模型。角色和訪問權限按照嚴格的規定進行劃分，使這種模式具有一定的固定性，能夠把總監、經理、員工等用戶的角色、訪問權限、訪問規則等信息保存至區塊鏈中，加載到每個節點上。通過區塊鏈的永久記錄、不可篡改和透明性，保證系統被訪問時能夠安全運行。

4.2.2模型的實現

將既定的角色、訪問權限條件以及規則錄入到智能合約中，加載至節點上。PC端經過調整使用通智能合約完成角色的劃分，并把角色信息錄入到區塊鏈中;PC端經過調整使用智能合約對相對應加密文件進行創建，并將信息錄入到區塊鏈中;角色需要訪問不同級別的加密文件時，經過調整使用智能合約對自己的訪問權限進行查詢。如果訪問的文件超出等級訪問權限范圍，需要向上級進行申請并在批準方可進行下一步操作。

5結論

本文對區塊鏈下的數據訪問技術方法及應用進行了淺析。區塊鏈并不是一種新的技術，而是一種多維交叉的應用模式。它是在分布數據存儲、P2P傳輸、數據庫、加密算法、時間戳等等多種成熟的IT技術基礎上，相互融合而產生的技術。為了維護系統的順暢運作，區塊鏈不僅具備去中心化，在一定程度上能夠保護用戶信息，具有安全性。訪問控制技術，是一種限制用戶對資源進行操作的方法。它的主要目的是限制主體對客體的訪問權限，以此來保護數據和資源在規范下合理使用。而區塊鏈技術和訪問技術的相互結合還需要經過不斷的實踐進行驗證。

參考文獻

[1]董貴山，陳宇翔，范佳，郝堯，李楓.區塊鏈應用中的隱私保護策略研究[J].計算機科學，2019，46（05）：29-35.

[2]焦英楠，陳英華.基于區塊鏈技術的物聯網安全研究[J].軟件，2018，39（02）：88-92.

[3]紀蒙.試論區塊鏈技術及其在信息安全領域的研究進展[J].計算機產品與流通，2018（02）：130.

[4]梅穎.基于區塊鏈的物聯網訪問控制簡化模型構建[J].中國傳媒大學學報（自然科學版），2017，24（05）：7-12.