基于智能合約的分類分級屬性訪問控制方法

摘 要： 傳統醫療數據共享模型存在訪問效率低下和訪問控制中心化問題。針對醫療數據動態性強、數據量大和隱私度高的特點，提出一種基于智能合約的分類分級屬性訪問控制方法。首先，對屬性和級別進行劃分，形成屬性類別和資源隱私等級，根據資源等級設計不同粒度的訪問控制策略，合理配置屬性信息，提升用戶訪問效率；然后，利用智能合約為訪問控制提供去中心化的執行環境，允許自動化策略判決，解決集中式訪問控制帶來的安全隱患；最后，實驗結果表明該方案能夠有效提高訪問控制效率，實現訪問控制智能判決，保證醫療數據的安全共享。

關鍵詞： 智能合約； 分級分類； 訪問控制； 安全共享

中圖分類號： TP309"" 文獻標志碼： A

文章編號： 1001-3695（2022）05-005-1313-06

doi：10.19734/j.issn.1001-3695.2021.10.0458

Classified and hierarchical attribute access control method based on smart contract

Liu Weia，b， Sheng Zhaoyanga，c， She Weia，b， Tian Zhaoa

（a.School of Software， b.Henan Collaborative Innovation Center of Internet Medical amp; Health Services， c.School of Information Engineering， Zhengzhou University， Zhengzhou 450000， China）

Abstract： The traditional medical data sharing model had the problems of inefficient access and centralized access control.Aiming at the characteristics of strong dynamism，large amounts of data and high privacy of medical data，this paper proposed a classified and hierarchical attribute access control method based on smart contract.Firstly，this method divided attributes and levels to respectively form attribute categories and resource privacy levels，and designed access control policies of different granularity according to resource levels to make the attribute configuration more reasonable，thus improving user access efficiency.Then，smart contract provided decentralized execution environment for access control and realized automatic policy judgment，which could solve the security hidden danger brought by centralized access control.Finally，the experiment proves that the scheme can effectively improve the efficiency of access control and realize the security sharing of medical data.

Key words： smart contract； classified and hierarchical； access control； security sharing

0 引言

近年來，醫療信息化建設得到了穩步發展，用戶之間的電子病歷共享在提高診療水平、處理突發公共衛生事件中發揮了重要作用。訪問控制作為信息安全技術的重要組成部分，在數據共享流程中是不可或缺的。但當前數據共享機制大多采用傳統訪問控制模型完成訪問控制工作，靈活度不高，用戶訪問效率低下。另外，選用第三方中心化機構實現訪問控制管理會存在許多安全監管漏洞，面臨著內部違規操作和外部違法攻擊等多重威脅，且不易于溯源查證［1～3］。國內外針對數據共享過程中的訪問控制模型做了很多研究工作。文獻［4，5］采用基于角色的訪問控制（role-based access control，RBAC）模型實現訪問控制工作，在用戶和權限之間引入角色的概念，通過為用戶授予角色來控制用戶的訪問權限。這種方式簡化了用戶、權限的管理，一定程度上提高了用戶訪問效率。然而，RBAC模型僅能夠實現用戶到角色、角色到權限的單一映射授權，靈活性差、可擴展性不高，不利于強隱私數據的保護。文獻［6］針對域內、域外物聯網設備應用環境，選用一種基于屬性的訪問控制（attribute-based access control，ABAC）模型設計出基于屬性的細粒度訪問控制策略，并為屬性度量增添信任值與誠實度評估參數，用來評估設備之間的信任關系。文獻［7］針對現有的訪問控制機制存在靈活性不足、擴展性差、效率低等缺陷，提出了一種大數據背景下的訪問控制機制。將區塊鏈技術與ABAC模型相結合，使用Bloom Filter策略管理方法提高了策略檢索效率，利用智能合約實現了訪問控制的可信判決。文獻［6，7］實現了靈活且細粒度的訪問控制，但相較于RBAC模型，ABAC模型在訪問效率方面有所降低。在保證訪問控制靈活性的基礎上提高用戶的訪問效率是亟待解決的問題。

傳統訪問控制模型存在訪問控制單點化和策略決策中心化問題，使得訪問控制機制本身并不可信［8］。智能合約是區塊鏈去中心化的重要代表，具有自動化、可追溯、可審計等特性，使用智能合約實現訪問控制可以幫助緩解訪問控制單點化和策略決策中心化現狀，為醫療數據隱私保護提供新的思路。文獻［9］提到了醫療智能合約的概念，用戶可以通過自定義智能合約設計訪問控制機制，實現安全高效的點對點數據共享，無須擔心數據泄露或者竄改，數據可靠性得到充分保障。針對醫療保健領域射頻識別（radio frequency identification，RFID）系統面臨的隱私安全問題，文獻［10］使用去中心化應用程序執行ABAC訪問控制策略，一方面解決了醫療保健領域的集中式系統問題，另一方面增強了基礎設施的靈活性與可擴展性。文獻［11］分析了物聯網架構的需求，構造出一個去中心化的IoT架構，提供了安全、可信的訪問控制環境。文獻［12］設計了包含設備合約、策略合約和訪問合約的智能合約系統來實現基于區塊鏈和ABAC模型的物聯網訪問控制模型。文獻［13］設計出醫療智能合約MeDShare，該合約能夠有效地跟蹤數據的行為，在發現違規實體時會及時撤銷其訪問權，另外可為數據共享提供溯源及審計服務。文獻［11～13］利用智能合約的去中心化和可審計特性實現了訪問控制過程的可信、可控。但去中心化的醫療數據共享方式還處于研究階段，訪問控制功能有待加強。

綜上所述，當前數據共享模型中的訪問控制方法依照傳統訪問控制模型進行設計，缺乏靈活性和可擴展性，可通過改進訪問控制模型細化屬性、權限分配，提高用戶訪問效率［14］。而智能合約在醫療數據共享中的應用還處于探索階段，去中心化的訪問控制過程可以增強其可信度，從而保證隱私數據安全共享［15］。本文提出一種基于智能合約的分類分級屬性訪問控制方法，在屬性層面進行細粒度的劃分，根據數據隱私級別設計出相應粒度的訪問控制策略，提高用戶訪問效率。同時，利用智能合約實現可自控、可審計且去中心化的訪問控制過程，增強其可信度，保證數據安全。

1 相關技術

1.1 區塊鏈與智能合約

區塊鏈是一種分布式公共賬本，其本質是系統各節點在P2P網絡環境下通過可信共識機制生成區塊，并按照時間順序鏈接而成的一種數據結構。其中，非對稱密碼學方法保證事務數據不被竄改、偽造，分布式共識機制幫助構建節點間的信任關系，所有節點共同參與區塊的生成與驗證，維護區塊鏈的穩定運轉與數據安全。因此，區塊鏈具備去中心化、去信任、可擴展和匿名性等特點，適用于多種分布式應用場景［16，17］。

智能合約是區塊鏈去中心化的重要代表，如圖1所示，用戶通過外部事件，如發送交易，觸發相應的智能合約，在去中心化的環境下完成一系列自動化操作，而復雜任務可通過合約之間進行交互來實現。智能合約執行狀態以及結果數據會以事務的形式記錄在區塊鏈上且不可撤銷［18］。

在醫療數據共享場景中運用智能合約主要有以下兩個方面的優勢：a）去中心化，智能合約為訪問控制過程提供去中心化的執行環境，取代第三方集中式機構，提升其可信度；b）透明可審計，智能合約將訪問控制過程以交易的形式存儲在區塊鏈上，實現事務透明，出現已授權用戶違規使用數據的情況時便于審計。

1.2 基于屬性的訪問控制

ABAC模型基于主體、資源、操作、環境屬性以及屬性間的關系來描述訪問請求和訪問控制策略，表達能力強且靈活性高，滿足分布式環境下醫療病歷共享所需的細粒度、靈活性等需求。可擴展訪問控制標記語言（extensible access control markup language，XACML）作為一種訪問控制策略和請求描述語言，定義了訪問控制策略的標準表示格式和授權決策方法，XACML架構中包括四種控制節點：

a）策略信息點（policy information point，PIP），對主體、資源、操作以及環境屬性信息進行管理；

b）策略管理點（policy administrator point，PAP），管理訪問控制策略規則，提供策略查詢服務；

c）策略實施點（policy enforcement point，PEP），根據PIP提供的屬性信息將原始訪問請求（natural access request，NAR）轉變成基于屬性的訪問請求（attribute-based access request，AAR），并需要執行判決結果；

d）策略決策點（policy decision point，PDP），根據PAP提供的訪問控制策略對AAR作出授權判決。

2 分類分級屬性訪問控制方法

在傳統ABAC模型基礎上對屬性進行分類分級處理，根據資源隱私等級設計訪問控制策略，合理配置屬性信息，同時，利用智能合約技術為訪問控制過程提供去中心化的執行環境，提高訪問控制效率，保證醫療數據的安全共享。

2.1 數據共享流程

本文采用聯盟鏈技術構建出一條醫療數據共享鏈（medical data sharing chain，MDS-Chain），實現不同共享實體間的電子醫療病歷共享。與公有鏈中所有節點都可以參與的高成本工作量證明機制不同的是，MDS-Chain會從醫療數據共享聯盟中選擇部分醫療機構作為礦工節點，這些節點負責系統交易的收集、驗證工作，維護MDS-Chain的正常運轉［19］。

圖2所示的醫療數據共享場景中包含訪問者、患者、醫療機構、IPFS和代理重加密機構五種實體，共享流程主要包括數據存儲階段、訪問控制階段和數據轉發階段三個階段。

第一階段：數據存儲

診療結束后，醫院生成醫療病歷M并發送給患者；

患者根據隱私級別制定相應的訪問控制策略，然后發送到PAP進行存儲和管理；

患者使用公鑰PKA加密M后得到密文CPKA，上傳到IPFS中進行分布式存儲。

第二階段：訪問控制

2-1由訪問者向策略執行點PEP發送原始訪問請求NAR，調用訪問請求函數；

2-2PEP向PIP請求主體屬性、資源屬性、操作屬性和環境屬性信息以補全NAR；

2-3PIP接收到屬性請求后整理相關屬性信息，向PEP返回屬性事務；

2-4PEP根據返回的屬性信息構建出基于屬性的訪問請求AAR，并發送到PDP；

2-5PDP接收AAR調用策略判斷函數，向PAP發送訪問策略請求觸發策略判斷事件；

2-6PAP整理相關訪問控制策略到訪問控制策略集中，隨后發送至PDP；

2-7PDP根據訪問控制策略集對AAR進行判定，得出最終判決結果；

2-8PEP執行判決結果。

第三階段：數據轉發

3-1PEP將判決結果發送至代理重加密機構；

3-2若判決結果為PERMIT，患者需要使用自己的私鑰SKA和訪問者公鑰PKB生成轉換對稱密鑰RK并發送給代理重加密機構；

3-3代理重加密機構需要從IPFS中檢索加密文件，使用轉換密鑰RK將密文CPKA轉換成訪問者私鑰SKB能夠解密的密文CPKB。在這個過程中，代理重加密機構只起到密文轉換作用，無法獲取到明文；

3-4代理重加密處理后將重加密文件CPKB發送給訪問者；

3-5只有擁有訪問者私鑰SKB的訪問者才能進行解密，完成電子病歷的安全共享。

共享模型中的訪問控制方法是在傳統ABAC模型基礎上對屬性信息進行細粒度的分級和分類處理，并將屬性級別比較作為策略判決的首要工作，結合智能合約實現高效、安全的訪問控制。聯盟鏈應用于醫療數據共享場景主要由以下兩點安全性保障：

a）可控性強。與公有鏈海量節點相比，聯盟鏈節點數量有限，在所有節點中超過一定比例達成共識就可以對區塊數據進行更改。另外，聯盟鏈易滿足監管需求，可以實現礦工節點實名認證以及特殊情況下的干預，增強可信度以及監管力。

b）隱私保護嚴密。聯盟鏈的數據只對聯盟成員開放，即只有MDS-Chain的參與節點才能有權限訪問鏈上數據。如果發生礦工節點泄露訪問控制策略事件，聯盟鏈監管機構會及時移除該礦工節點，并通知該訪問控制策略發布者，棄用被泄露的訪問控制策略并上傳新的訪問控制策略，盡量減小隱私泄露帶來的危害。

2.2 屬性分類分級

在現有的ABAC方案中，屬性以事務形式打包并存儲到區塊鏈上，隨著用戶數量的增加，屬性事務呈線性增長，逐漸為區塊鏈帶來存儲負擔。低隱私數據使用少量屬性信息便可滿足訪問控制需求，否則易造成屬性冗余，增加訪問控制策略的查詢和判決時延；高隱私數據可以通過增加屬性數量提高訪問控制強度，保護隱私數據的安全。本文通過分類分級屬性訪問控制方法實現屬性的細粒度劃分，為不同隱私級別的主體和資源匹配不同粒度的訪問控制策略，有助于用戶實現合理、高效的細粒度訪問控制。

2.2.1 屬性分類

定義1 屬性集合。

ATT={atti|i∈1，2，…，n}

其中：atti為第i個屬性；n為屬性個數；ATT是包含n個屬性的屬性集合。

定義2 屬性分類。

AttSi={attij|j∈1，2，…，mi}

其中：AttSi為第i類屬性；i=1，2，…，q；q為屬性分類個數；mi是第i類屬性的個數；attij∈ATT，∪i=1，2，…，qAttSi=ATT，且i≠j；有AttSi∩AttSj=，稱AttSi是有效屬性分類。

定義3 屬性值域。

domain（atti）={attvij|j∈1，2，…，ni}

其中：attvij為第i個屬性的第j個取值；ni為第i個屬性所有取值的個數；domain（atti）是第i個屬性的屬性值域。

以醫療病歷共享場景為例，按照XACML標準對訪問請求屬性進行分類設計，定義ATT屬性分類結構，具體內容如圖3所示。

共享醫療病歷時，訪問者發送的訪問請求中包含七個屬性：訪問者角色att1=SA_Role、訪問者所屬科室att2=SA_Office、資源類型att3=RA_Classes、資源所屬科室att4=RA_Office、操作類型att5=OA_Classes、操作目的att6=OA_Purpose和訪問時間att7=EA_Time。對以上屬性進行分類后，得到的ATT屬性分類結構中包含四類屬性信息，分別是主體屬性AttS1=SA、資源屬性AttS2=RA、操作屬性AttS3=OA和環境屬性AttS4=EA。即AttS1中包含att1和att2兩個屬性，AttS2中包含att3和att4兩個屬性，AttS3中包含att5和att6兩個屬性，

AttS4中包含att7一個屬性。

在電子病歷應用場景下，屬性值如表1所示。att1主要包括醫療人員、研究機構與患者三類人群，擔任數據共享流程中的訪問者角色；att2與att4的屬性值集合相同，共享屬性信息；att3中包含五種文件類型，將患者基本信息與病歷分開存放，并使用唯一標號串連患者所有類型病歷；att5限定了操作類型為讀取、寫入和打印，允許一次申請多種操作；att6提供醫療、研究和教學三種訪問類型，允許多種訪問目的并存；att7限制訪問時間為9：00-17：00，訪問者只能在規定時間內進行訪問操作。

2.2.2 屬性分級

OMAHA對于個人健康隱私信息有著明確的定義。對患者而言，個人基本信息屬于敏感數據，在共享過程中有著嚴格的隱私保護要求［20］。本文針對數據的隱私程度進行劃分，根據資源隱私級別確定訪問控制策略粒度，資源安全級別定義如下所示。

定義4 安全等級集合。

G=｛garde1，garde2，…，gardek｝ k∈Euclid Math TwoNAp+

其中：garde1≥garde2≥…≥gradek-1≥gardek；G稱為安全等級集合。

domain（att1）={α1，α2，α3，α4，α5，α6，α7，α8，α9，α10}代表訪問者集合，其中α1～α10對應表1中att1的屬性值；資源類型集合domain（att3）={β1，β2，β3，β4，β5}，其中β1～β5對應表1中att3的屬性值。如表2所示，屬性共分為三個等級。按照安全序列集合的定義，訪問者可以支配小于或等于其等級的資源。

以醫療數據共享場景為例，根據數據隱私程度對五種訪問資源類型進行分級，患者隱私信息β1歸類為grade1數據，門診病歷β2、住院病歷β3以及護理病歷β4主要記錄患者病情和診療記錄，因此歸類為grade2數據，醫囑β5是醫生在醫療活動中下達的醫療指令，無較多隱私內容，歸類為grade3數據。在att1中，存在醫生、護士、研究機構和患者這四類訪問者角色，其中醫生和護士又可分為多種類型。不同職稱訪問者對應的訪問權限也應有所區別，即訪問者級別將決定能夠訪問的資源類型。

2.3 分類分級屬性訪問控制智能合約

訪問控制的實現主要依賴PDP的判決和PEP的執行，但判決和執行過程都易出現訪問控制單點化和策略決策中心化問題，單一集中的授權模式存在被收買、攻擊的風險。智能合約可以為訪問控制過程提供去中心化的執行環境，實現可信判決。同時，智能合約會將訪問授權過程記錄在區塊鏈上，保證操作的透明性和可追溯性。本節給出智能合約中的算法細節，首先由資源擁有者根據資源隱私等級為其設置相應粒度的訪問控制策略，隨后上傳到PAP中進行管理；然后在訪問控制預處理階段由PIP提供屬性查詢服務，并由PAP提供訪問控制策略查詢服務；最后在策略判決階段針對分類分級屬性進行訪問控制判決，得到授權結果。算法流程如圖4所示。

2.3.1 訪問控制策略生成

資源擁有者根據資源隱私等級為其設置相應粒度的訪問控制策略，合理分配屬性數量。當資源等級為grade1時，其訪問控制策略需要所有屬性不為空，且滿足att2與att4的屬性值相同；當資源等級為grade2時，其訪問控制策略可以省去屬性att7；當資源等級為grade3時，其訪問控制策略可以省去屬性att2、att6、att7。具體內容如算法1所示。

算法1 訪問控制策略生成

輸入：電子病歷M。

輸出：訪問控制策略Policy。

a）grade1，grade2，grade3←M

b）grade1.Policy←{att1，att2，att3，att4，att5，att6，att7}

not 1 and att2==att4

c）grade2.Policy←{att1，att2，att3，att4，att5，att6}

not 1 and att7 is 1

d）grade3.Policy←{att1，att3，att4，att5}

not 1 and {att2，att6，att7} is 1

e）return（grade1.Policy，grade2.Policy，grade3.Policy）

2.3.2 訪問控制預處理

PEP接收到NAR后會向PIP發送屬性信息查詢請求attrRequest，PIP需要整理主體、資源、操作和環境屬性的取值列表和屬性值間的關系。屬性的選取范圍為domain（ATT），屬性值之間的等級關系使用hierarchy來進行表示，如果hierarchy=1，表示訪問者等級大于等于所要訪問資源的等級，如果hierarchy=0，則表示訪問者等級小于所要訪問資源的等級。具體內容如算法2所示。

算法2 屬性信息查詢

輸入：屬性信息查詢請求attrRequest。

輸出：相關屬性信息attrSet{attr1，attr2，… ，attrn}，hierarchy。

a）Attrs=Read（attrRequest）

b）for block=1 to blockchains.length{

c） for j=1 to block.attr_datablocks.length{

d）" "if（Attrs∈（AttrValue‖AttrRelation））{

attrSet=AttrValue

Hierarchy=hierarchy}

}}

e）return attrSet{attr1，attr2，…，attrn}，Hierarchy

獲取相關屬性信息后需要對訪問請求以及訪問控制策略作初步處理，首先根據PIP返回的屬性信息將NAR轉換成AAR，然后解析AAR得到相關att3和att4屬性信息，遍歷訪問策略事務區塊，接著找到與該資源相關的策略，添加到臨時策略池relevantPolicy中，最后向策略判斷點合約PDP返回relevantPolicy，進行下一步的策略判決。具體內容如算法3所示。

算法3 訪問控制策略查詢

輸入：原始訪問請求NAR，attrSet{attr1，attr2，…，attrn}。

輸出：相關策略RelevantPolicy。

a）attrTuple=parsing（NAR）

b）AAR←NAR，attrSet{attr1，attr2，… ，attrn}

c）（SA_Type，SA_Classes）=parsing（AAR）

d）for block=1 to blockchains.length{

for j=1 to policy_datablocks.length{

if（（att3，att4）==（SA_Type，SA_Classes））

{RelevantPolicy.add（policy）}

e）return RelevantPolicy

2.3.3 訪問策略判決

在分類分級屬性基礎上，可以先對att1和att3的等級進行比較，如果att1的等級大于等于att3的等級，可以繼續進行其他屬性的對比；如果att1的等級小于att3的等級，則直接返回DENY，結束策略判斷過程。以上操作可以簡化策略判決操作，在一定程度上節省策略判決時間。具體內容如算法4所示。

算法4 策略判決

輸入：屬性訪問請求AAR；相關策略集RelevantPolicy。

輸出：PERNET/DENY。

a）if（AAR.att1.gradegt;=AAR.att3.grade）

b） {for strategy to strategy_set

c）" {for i to strategy.length

d）"" if（AAR［i］not conform to strategy［i］）

{return DENY}

else

{return PERMIT}

}

}

屬性分類分級可以針對不同資源合理分配訪問控制策略屬性數量，在傳統訪問控制模型基礎上優化訪問控制策略，增強靈活性與可擴展性。另外，在策略判決之前增加屬性值等級比較，如果返回PERMIT則繼續進行策略判決；如果返回DENY則可以直接中斷策略判決，省略屬性和策略查詢時間，從而提高訪問控制策略判決效率。

3 實驗結果與分析

本文通過仿真實驗對基于智能合約的分類分級屬性訪問控制方法進行有效性測試，驗證該模型是否能夠實現安全、高效的訪問控制過程。實驗環境如下：操作系統為Windows 10專業版64位，CPU為Intel CoreTM i5-6500 CPU @ 3.20 GHz，機帶RAM 16.0 GB，solidity版本為 0.7.0≤versionlt;0.8.3，使用Ganache仿真以太坊網絡、部署智能合約，通過Python庫Web3實現以太坊交互。

3.1 分類分級屬性訪問時延測試

本實驗針對分類分級屬性設計下的訪問控制時延進行測試，由表2可知，RA_Classes中包含三種等級的訪問資源，按照資源級別gradek（k=1，2，3）設計出三組對比實驗，訪問控制策略以及訪問請求由表1提供的屬性組成。

實驗1 針對grade1資源“患者基本信息”設置1 000條訪問請求，記錄平均訪問控制時延；

實驗2 針對grade2資源“門診病歷”“住院病歷”和“護理病歷”設置1 000條訪問請求，記錄平均訪問控制時延；

實驗3 針對grade3資源“醫囑”設置1 000條訪問請求，記錄平均訪問控制時延；

重復10次實驗得到三組時延數據。如圖5所示，一級數據的訪問時延最高，二級數據次之，三級數據最低。這是由于為隱私程度高的資源設置復雜的訪問控制策略，訪問控制過程中需要檢索、對比的屬性就更多，訪問時延也就更長；但隱私程度低的資源需要檢索、對比的屬性較少，訪問時延自然降低。高等級資源以犧牲訪問時延為代價增強了隱私保護能力，安全性得到提升；低等級資源簡化訪問控制策略，降低了訪問控制時延。從整體層面上看，屬性分類分級方法能夠根據資源需要合理配置訪問控制策略，實現更為安全、高效、細粒度的訪問控制。

3.2 訪問判決性能分析

策略規則數量和訪問請求條數是影響訪問控制時延的兩個關鍵因素。為了測試訪問控制方法的性能，本文設置了兩組實驗。第一組實驗測試訪問控制方案在不同策略規模下的訪問控制時延。首先從策略集中分別取1 000、2 000、3 000、4 000、5 000條不同的訪問控制策略構成五組測試集樣本，然后另外構建4 000條不同的訪問請求，對訪問控制判決時延進行記錄。由圖6所示，隨著訪問控制策略條數的增加，訪問判決時延呈現出增長的趨勢，且隨著數值的增大，時延的增長也逐漸明顯，這是由于策略集中策略數量越多，越容易出現策略沖突現象，智能合約需要花額外時間處理異常情況。

本文與BBAC-BD機制［7］的訪問判決時延增長率作出對比，由圖7可以看出隨著策略條數的增加，本文的策略判決時延增長速度要小于BBAC-BD，時延增長率的差值分別為4.5%、17%、14.6%和23.1%，由此說明本文的訪問控制方法能夠實現更加高效、平穩的訪問控制過程。

在第二組實驗中，從策略集隨機選取1 000條訪問控制策略，并分別構建50、100、200、500、1 000條不同的訪問請求，記錄下訪問控制時延。實驗結果如圖8所示，可以看出本文方案的訪問控制時延要遠小于Fabric-iot方案［12］，擁有較高的訪問控制效率。在策略規則數量一定時，訪問請求數量越多，訪問控制時延越長。圖9所示是單條訪問請求時延對比，單條訪問請求時延隨著訪問請求數的增加而減少，且當請求數量達到一定值時趨向穩定，沒有明顯下降的趨勢。另外，本文方案的單條訪問請求時延低于Fabric-iot方案，且數值更為穩定，訪問控制時延分別下降了103 ms、66 ms、62 ms、54 ms和52 ms。以上實驗結果體現了屬性分類分級方法的優良性，不僅明顯縮短訪問控制時延，而且實現了穩定的訪問控制過程。

3.3 智能合約開銷測試

本實驗使用Solidity語言編寫智能合約，通過Remix網絡進行合約部署以及調用，測試部署合約、調用主要函數的gas消耗，具體數值如表3所示。部署策略生成合約時由于訪問控制策略存儲而產生較高的gas消耗，但屬性分類分級方法明顯降低了策略評估以及策略判決時的gas消耗。

4 結束語

針對醫療病歷共享過程中存在的訪問效率低下和訪問控制中心化問題，本文提出了一種基于智能合約的分類分級屬性訪問控制方法。分類分級屬性設計可以根據資源的隱私等級靈活地制定訪問控制策略，縮短用戶訪問時延，提高訪問效率；智能合約實現去中心化、可追溯且可審計的訪問控制過程，提高訪問控制可信度，增強數據共享過程的安全性。但本文采用遍歷方式進行策略查詢，如何在保證用戶隱私的情況下實現高效策略查詢是未來的主要工作，同時針對訪問控制策略隱藏方法進行改進，以實現更佳的隱私保護效果。

參考文獻：

［1］

Yang Xiaodong，Li Ting，Liu Rui，et al.Blockchain-based secure and searchable EHR sharing scheme［C］//Proc of the 4th International Conference on Mechanical，Control and Computer Engineering.NJ：IEEE Press，2019：822-825.

［2］蔡楚君，柳毅.基于以太坊平臺的醫療數據安全共享方案［J］.計算機應用研究，2022，39（1）：24-30. （Cai Chujun，Liu Yi.Secure sharing solution for medical data based on Ethereum［J］.Journal of Application Research of Computers，2022，39（1）：24-30.）

［3］劉明達，陳左寧，拾以娟，等.區塊鏈在數據安全領域的研究進展［J］.計算機學報，2020，44（1）：1-27. （Liu Mingda，Chen Zuo-ning，Shi Yijuan，et al.Research progress of blockchain in data security［J］.Chinese Journal of Computers，2020，44（1）：1-27.）

［4］Akkaoui R，Hei Xiaojun，Guo C，et al.RBAC-HDE：on the design of a role-based access control with smart contract for healthcare data exchange［C］//Proc of International Conference on Consumer Electro-nics.Piscataway，NJ：IEEE Press，2019：1-2.

［5］Jason P C，Kaji Y，Yanai N.RBAC-SC：role-based access control using smart contract［J］.IEEE Access，2018，6（6）：12240-12251.

［6］杜瑞忠，劉妍，田俊峰.物聯網中基于智能合約的訪問控制方法［J］.計算機研究與發展，2019，56（10）：2287-2298. （Du Ruizhong，Liu Yan，Tian Junfeng.An access control method using smart contract for Internet of Things［J］.Journal of Computer Research and Development，2019，56（10）：2287-2298.）

［7］劉敖迪，杜學繪，王娜，等.基于區塊鏈的大數據訪問控制機制［J］.軟件學報，2019，30（9）：2636-2654. （Liu Aodi，Du Xuehui，Wang Na，et al.Blockchain-based access control mechanism for big data［J］.Journal of Software，2019，30（9）：2636-2654.）

［8］李莉，曾慶賢，文義紅，等.基于區塊鏈與代理重加密的數據共享方案［J］.信息網絡安全，2020，20（8）：16-24. （Li Li，Zeng Qing-xian，Wen Yihong，et al.Data sharing scheme based on the blockchain and the proxy re-encryption［J］.Netinfo Security，2020，20（8）：16-24.）

［9］歐陽麗煒，王帥，王飛躍 等.智能合約：架構及進展［J］.自動化學報，2019，45（3）：445-457. （Ouyang Liwei，Wang Shuai，Wang Feiyue，et al.Smart contracts：architecture and research progresses［J］.Journal of Automatica Sinica，2019，45（3）：445-457.）

［10］曹宛恬，于鵬飛.XACML的移動應用安全策略及測試方法［J］.計算機科學，2017，44（11）：134-145. （Cao Wantian，Yu Pengfei.Mobile application security policies and testing research on XACML［J］.Journal of Computer Science，2017，44（11）：134-145.）

［11］Zhang Xukun，Jiang Xiaoning.IoT architecture based on ABAC smart contract［C］//Proc of the 3rd International Conference on Advanced Electronic Materials，Computers and Software Engineering.Pisca-taway，NJ：IEEE Press，2020：122-128.

［12］Liu Han，Han Dezhi，Li Dun.Fabirc-iot：a blockchain-based access control system in IoT［J］.IEEE Access，2020，1：18207-18218.

［13］Qi Xia，Sifah E B，Asamoah K O，et al.MeDShare：trust-less medical data sharing among cloud service providers via blockchain［J］.IEEE Access，2017，5：14757-14767.

［14］Wu Guangfu，Wang Yingjun.The security and privacy of blockchain-enabled EMR storage management scheme［C］//Proc of the 16th International Conference on Computational Intelligence and Security.Piscataway，NJ：IEEE Press，2020：283-287.

［15］Hang Li，Yu Keping，Liu Bin，et al.An efficient ciphertext-policy weighted attribute-based encryption for the internet of health things［J/OL］.Journal of Biomedical and Health Informatics.2021-04-27.https：//doi.org/10.1109/JBHI.2021.3075995.

［16］張建標，張兆乾，徐萬山，等.一種基于區塊鏈的域間訪問控制模型［J］.軟件學報，2021，32（5）：1547-1564. （Zhang Jianbiao，Zhang Zhaoqian，Xu Wanshan，et al.Inter-domain access control model based on blockchain［J］.Journal of Software，2021，32（5）：1547-1564.）

［17］蔡婷，林暉，陳武輝，等.區塊鏈賦能的高效物聯網數據激勵共享方案［J］.軟件學報，2021，32（4）：953-972. （Cai Ting，Lin Hui，Chen Wuhui，et al.Efficient blockchain-empowered data sharing incentive scheme for Internet of Things［J］.Journal of Software，2021，32（4）：953-972.）

［18］郭上銅，王瑞錦，張鳳荔.區塊鏈技術原理與應用綜述［J］.計算機科學，2021，48（2）：271-281. （Guo Shangtong，Wang Ruijin，Zhang Fengli.Summary of principle and application of blockchain［J］.Computer Science，2021，48（2）：271-281.）

［19］李朝陽.基于區塊鏈的分布式系統隱私保護方法研究［D］.北京：北京郵電大學，2021. （Li Chaoyang.Research on privacy protection method of distributed system based on blockchain［D］.Beijing：Beijing University of Posts and telecommunications，2021.）

［20］OMAHA秘書處.“當歸”個人健康檔案項目白皮書［EB/OL］.（2018-07-11）［2021-08-02］.http：//www.omaha.org.cn. （OMAHA Secretariat.White paper of “Danggui” personal health record project［EB/OL］.（2018-07-11）［2021-08-02］.http：//www.omaha.org.cn.）