基于區塊鏈的訪問控制技術探索

王棟　張云龍　馬斌

摘要：訪問控制系統是計算機科學領域里對系統資源訪問的規范化控制的一種機制。現存的訪問控制系統面臨著許多問題，如：需要第三方驗證，隱私保護差，低效率等。訪問控制的這些問題可以通過近年來備受關注的區塊鏈解決。本文首先概述了當前訪問控制系統的現狀和問題，然后簡要介紹了區塊鏈技術的特性。最后研究基于區塊鏈技術對訪問控制的改進。

Abstract： Access control system is a mechanism of standardized access control to system resources in the field of Computer Science. The existing access control system faces many problems，such as the need for third-party authentication， poor privacy protection， low efficiency， and so on. These problems of access control can be solved by blockchain， which has attracted much attention in recent years. This paper firstly summarizes the current situation and problems of access control system， and then briefly introduces the characteristics of blockchain technology. Finally， the improvement of access control based on blockchain technology is studied.

關鍵詞：訪問控制;區塊鏈;隱私保護

Key words： access control;blockchain;privacy protection

中圖分類號：TP309;TP391.44? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2020）14-0227-02

0? 引言

比特幣為代表的數字貨幣近年持續火熱，其價格由最初的0.25美分漲至幾千美元一枚。人們在關注比特幣的同時對實現比特幣的區塊鏈技術投來了越來越多的目光。近年來區塊鏈技術因其良好的隱私保護、去中心化、抗抵賴等特性從最初金融領域的應用開始轉向政務、供應鏈、專利、物聯網等領域[1]。目前對系統資源訪問控制主要存在通過中心化的第三方進行認證，其認證效率低下、隱私保護弱、系統健壯性差。因此急需一種新型訪問控制技術對資源進行更好的保護。

1? 訪問控制簡介

訪問控制是對信息資源進行保護的重要措施之一。它主要通過對訪問行為的主體進行授權來控制主體對客體即資源的可操作屬性。一般情況下訪問控制模型由主體、客體（資源）、權限構成。主體可以是用戶或程序、權限就是對資源的操作、資源就是信息系統中的網絡、數據。訪問控制主要目的是保護信息或網絡資源不被非授權的進行訪問[2]。

傳統上廣泛使用的訪問控制策略為自主訪問控制、強制訪問控制、角色訪問控制三種[3]。自主訪問控制就是對資源具有讀寫權限的主體可以將權限授權給其他主體。因為權限的可傳遞性其安全性較差。強制訪問控制即所有的權限集中管理，不存在授權給其他主體問題。權限集中管理實現復雜，管理難度大。

近年傳統訪問控制技術也通過吸收新的IT技術進行改進，提出了一些新的模型，如：基于屬性的訪問控制模型、基于任務的訪問控制模型、基于信用度的訪問控制模型等。這些模型存在如下問題：若中心系統不可用，則整個訪問控制系統不可用;若中心系統數據泄露，則所有用戶信息泄露;若惡意用戶偽造身份，中心系統無法進行鑒別。

2? 區塊鏈技術

2.1 區塊鏈的概念

區塊鏈技術是一系列IT技術的有機組合。按照工信部的《區塊鏈技術和應用發展白皮書2016》的解釋為：區塊鏈是一種按照時間順序將數據區塊以順序相聯的方式組合成的一種鏈式數據結構，并以密碼學方式保證的不可篡改和不可偽造的分布式賬本。賬本即按照一定的格式記錄流水等交易信息[4]。

區塊鏈的數據結構如下描述：區塊是鏈式結構的基本數據單元，聚合了所有交易相關信息，主要包括區塊頭和區塊體兩部分。區塊頭由父區塊哈希值、時間戳、默克爾樹根等信息組成。區塊體一般包含一串交易的列表。每個區塊中的區塊頭保存的父區塊的哈希值唯一確定了該區塊的父區塊，從而構成連接關系，形成區塊鏈。

區塊鏈使用到的關鍵技術有：哈希運算、數字簽名、共識算法、智能合約、P2P網絡等。區塊鏈通過哈希運算用來構建區塊鏈的鏈式結構，實現防篡改：即通過哈希運算構建默克爾樹，實現內容改變的快速檢測。數字簽名在區塊鏈中驗證收到消息的完整性和消息發送者身份的合法性。共識算法用來保證所有節點都記錄一分相同的正確數據。智能合約確保去中心化的區塊鏈各節點有統一的觸發邏輯。

2.2 區塊鏈的特性

根據區塊鏈的技術特點和實現原理可知區塊鏈技術是已有多種技術的集成創新，主要用于實現多方信任和高效協同[5]。區塊鏈系統具有透明可信、防篡改可追溯、隱私安全保障、系統高可靠四大特點。

區塊鏈系統中因為其去中心化的設計，網絡中所有節點均是對等節點，發送和接收消息平等。系統中的每個節點都可以完整的觀察其他節點的全部行為，并將觀察到的這些行為在各個節點記錄，從而實現信息透明。

防篡改指交易一旦在全網范圍內經過驗證并添加至區塊鏈，就很難被修改或者抹除。這是因為區塊鏈使用的共識算法保證了一旦寫入就很難篡改，若攻擊者強制篡改則需要控制整個系統超過51%的節點。可追溯性是指區塊鏈上的任意交易都是有完整記錄可追溯的。

隱私安全保障是區塊鏈中的任意節點都包含了完整的校驗邏輯，所以任意節點都不需要依賴其他節點完成交易的確認過程。因此節點之間不需要公開身份。

區塊鏈系統的高可靠性體現在每個節點都參與系統共識并維護賬本，某一節點出錯不影響整個系統。區塊鏈系統因使用P2P網絡通信，不受節點數量限制和某一鏈路故障導致的通信問題。

2.3 區塊鏈應用價值

區塊鏈提供一種在不可信環境中，進行信息與價值交換的機制。目前區塊鏈正往這幾個方向發展：第一，行業應用加速。區塊鏈正在金融、醫療、物聯網身份認證和供應鏈領域應用。第二，區塊鏈成為一種市場工具，減少中間環節降低流通成本。第三，區塊鏈有望推進計算機底層通信協議的發展，讓數據記錄、傳播、存儲模式進行轉變。第四，區塊鏈與云計算結合緊密，有望成為公信基礎設施[6]。

3? 區塊鏈在訪問控制中的應用

傳統的訪問控制系統存在中心化系統缺點，用戶的角色和訪問控制信息存在于中心節點上，中心節點對用戶的隱私缺少保護，系統的健壯性較弱，如果用戶較多并且同一時間對資源的訪問量較多，則易發生負載過大，響應遲緩等故障。傳統的訪問控制系統也無法對惡意偽裝用戶進行鑒別，對系統資源保護能力較差。針對傳統訪問控制的缺點，基于區塊鏈技術的訪問控制技術通過去中心化、全員參與、操作可追溯、抗抵賴、高可靠性等特點，可以有效的對資源進行訪問控制保護，確保用戶的隱私不泄露，提升訪問控制效率。

3.1 基于區塊鏈訪問控制模型

通過分析區塊鏈技術的實現原理可設計基于區塊鏈訪問控制的模型，該模型中區塊鏈節點為訪問控制的主體，客體為存有大量客體的服務器，作為單獨的節點存在。角色存在于各節點的區塊鏈中，發生訪問時，服務器只需要驗證發起訪問區塊鏈的角色屬性即可。這一模型去除了第三方的授權系統，主體隱私得以保護。該模型如圖1所示。

圖1中NODE0節點為資源節點，NODE1到NODEn為主體節點，若要發起訪問，可根據智能合約定義閾值，每個主體節點的角色值在某區間則對應對資源的某種權限。當新的客體出現時則按照區塊鏈原理計算并納入鏈中。若需要修改權限，管理人員根據規則讓某節點進行角色值的增加，增加后按照區塊鏈規則進行全節點的通信記賬。

當客體資源允許某個主體訪問時，可利用該主體節點按照區塊鏈傳輸要求進行非對稱加密，即公鑰加密、私鑰解密。在整個鏈上的傳輸過程中，只有授權訪問節點可以通過自己的私鑰進行數據解密，其他節點即使獲取到數據也無法得知信息內容。當某個節點根據智能合約取得資源的訪問權限之后，通過此加密傳輸方法可以保證資源的安全保密，也可以防止獲取資源節點非法的將資源轉移給第三方。

3.2 基于區塊鏈訪問控制優點

由于基于區塊鏈的訪問控制優勢如下：

①去中心化的結構可以增強每個訪問主體的隱私性，通過秘鑰公鑰對進行加密傳輸，被訪問端只可驗證訪問的合法性不能知道具體的訪問者身份。

②訪問控制成本的降低：由于去掉了第三方授權中心，每個節點只需要在本地運行程序即可實現訪問控制，因此硬件成本大大降低。

③訪問控制效率增強：由于通過P2P網絡進行傳輸，主體節點任一損壞不影響整個系統;主體直接和資源進行通信，免去第三方判定，提高了訪問控制效率。

4? 結論

訪問控制是計算機科學重要的安全技術之一，是信息安全防御體系的重要組成部分。由于區塊鏈技術對于目前面臨的隱私保護、抗抵賴、可追溯性有較強優勢，用以訪問控制可以去除傳統方式存在的依賴第三方、效率低下、安全性差等問題。如何利用區塊鏈技術提高信息安全是將來IT行業的一個熱點研究方向。

參考文獻：

[1]中國工信部.中國區塊鏈技術和應用發展白皮書[OL].中國區塊鏈技術和產業發展論壇，2016，10.

[2]李昊，張敏，馮登國.大數據訪問控制研究[J].計算機學報， 2017（1）：72-91.

[3]ZHANG Y， WU X.Access Control in Internet of Things：ASurvey [J]. 2016.

[4]華為區塊鏈技術開發團隊.區塊鏈技術及應用[M].北京：清華大學出版社，2019，3.

[5]METTLER M. Blockchain technology in healthcare： The revolution starts here. proceedings of the IEEE International Conference on E-Health Networking， Applications and Services， F，2016[C].

[6]馬昂，潘曉，吳雷，郭景峰，黃倩文.區塊鏈技術基礎及應用研究綜述[J].信息安全研究，2017，3（11）：968-980.