基于區塊鏈的訪問控制技術研究進展

高振升，曹利峰，杜學繪

（信息工程大學，河南 鄭州 450001）

1 引言

隨著物聯網、云計算等技術的興起，人們悄然進入大數據時代，與此同時，數據成為重要的經濟資產[1]，成為新的生產因素滲透到各行各業。隨著數據資源的廣泛共享，數據資源的安全問題受到越來越多的關注，特別是對敏感數據的安全防護正面臨著嚴峻的挑戰。首先，數據資源的外包存儲服務使個人的數據不受自己掌控，分布式存儲數據的流通共享變得愈加復雜，這帶來了潛在的安全風險。其次，利用數據挖掘技術，原有的“低價值”數據經過聚類分類能夠推導出固定的用戶模式，導致信息泄露。最后，由于龐大的數據量以及數據的非結構化，針對性的數據竊取、篡改、勒索等惡意攻擊更難防范。實際上，相應的安全事件已經屢見不鮮，2014年5月，eBay的用戶數據庫遭到冒充員工的黑客的攻擊，導致1.45億用戶的賬號信息泄露；2018年3月，Facebook被曝出約5000萬條的用戶信息被第三方公司違規收集并使用；2018年3月，圓通10億條用戶快遞信息在暗網被兜售，至今未溯源到泄露原因。2018年互聯網大會上發布的《大數據安全白皮書》中指出，要在大數據平臺基本組件安全的基礎上為數據和應用提供安全機制保障，并在數據安全的基礎上實現對個人敏感信息的安全防護[2]。

訪問控制技術最早可以追溯到20世紀70年代，它的誕生是為了滿足當時大型主機系統內的數據訪問需求。訪問控制作為一種重要的信息安全技術，它通過某種途徑顯式地準許或限制主體對客體訪問能力及范圍[3]，實現保證用戶在其合法權限內訪問數據，并禁止非授權用戶的違規和越界操作。在大數據的環境中，訪問控制技術仍是重要的數據保護手段，但大數據的4V特點，即Volume（體量大）、Variety（模態繁多）、Velocity（生成快速）和Value（價值巨大但密度低）[4]，給現有的訪問控制技術帶來了挑戰。傳統的訪問控制機制無法應對大數據環境下信息共享程度高、數據流通快、分布式存儲的特點，面臨著上文示例的數據主權難維護、訪問權限難界定、第三方泄露難防范等問題，這給訪問控制技術的發展帶來了“桎梏”。

區塊鏈最早出現于2008年中本聰發表的Bitcoin: a peer-to-peer electronic cash system[5]，而且準確地說其中只提出了“區塊”（block）和“鏈”（chain），還沒有出現“區塊鏈”（blockchain）這個詞。早期的區塊鏈作為虛擬貨幣系統的底層技術，還沒有引起人們的重視，直到比特幣系統穩定運行三四年后，業界才漸漸關注到區塊鏈技術去中心化、安全可信的特點，并將其拓展應用到各個領域。

區塊鏈具有分布式、交易透明、難以篡改的特點以及無須第三方背書的可信機制，這與大數據環境下訪問控制需要解決的分布式部署、審計機制、信任機制的需求不謀而合。正因如此，基于區塊鏈的訪問控制自從提出就受到了諸多學者的關注，圖1顯示了在Web of Science數據庫中，以blockchain和access control為關鍵詞檢索得到的文獻情況（截至2020年12月），可以看到目前結合區塊鏈的訪問控制機制正處在研究的上升期。在大數據背景下，諸多基于區塊鏈的訪問控制機制已經在物聯網、云計算、醫療、工業自動化等多個領域被提出并應用，且仍有較大的改進空間和廣闊的應用場景。

圖1 Web of Science中檢索相關論文按年份發表情況Figure 1 Relevant papers retrieved in Web of Science published by year

2 大數據訪問控制分析

2.1 大數據下的熱點技術

移動互聯網、物聯網以及云計算等熱點的崛起在很大限度上是大數據產生的原因[6]。如果將大數據比作數據分析員，那么物聯網作為感知器官，負責時時刻刻收集周邊的各種信息，云計算則是大腦，負責存儲海量的數據，并提供強大的計算能力以支持數據分析，而網絡通信技術則作為神經器官，負責信息的傳遞與共享，如圖2所示。

圖2 大數據與物聯網、云計算、通信網絡的關系Figure 2 The relationship between big data and the internet of things,cloud computing, communication network

物聯網的概念在1999年首次被提出，它強調在互聯網的基礎上實現物品與網絡的互聯，并在物品設備間進行信息通信和交換，形成智能化功能的網絡。經過20多年的發展，特別是隨著智能攝像頭、可穿戴設備、智能汽車等設備的普及，對物聯網設備的數據保護問題已經引起越來越多研究者的注意。物聯網場景下數據的訪問控制技術主要面臨3個方面的挑戰：① 物聯網設備的部署多是分布式架構，對網絡中終端設備的針對性攻擊難以防范，要求訪問控制機制應具備一定的容錯性，避免少量虛假數據造成整個系統的癱瘓；② 數據的存儲呈現分布式的特征，設計的訪問控制機制應具備多地協作統一的能力；③ 物聯網中存在著大量以攝像頭、傳感器為代表的信息采集設備，其產生的數據價值密度低但是數量巨大，如何實現對這些“數據原料”的安全防護也是需要研究的問題。

云計算依托于互聯網，通過在網絡上提供快速的云計算服務與數據存儲服務，讓用戶可以使用網絡上的外包數據庫與計算資源，它的普及為企業和用戶提供了靈活高效的數字資源管理服務。但是近些年來云平臺上的數據泄密事件，讓人們意識到云計算中數據安全管控的重要性。云計算場景下，對數據的訪問控制技術主要面臨3個方面的挑戰：① 云計算環境中用戶對個人數據難以管控，云服務商對訪問權限的履行情況難以確定，導致個人敏感數據的泄露；② 云計算環境中用戶來源廣泛且數據類型多樣，如何在滿足用戶數據分享需求的前提下，制定訪問控制策略，實現細粒度的數據訪問控制并杜絕非必要信息的泄露也是待解決的問題；③ 云計算環境中數據資源更新速度快，數據的上傳和下載影響著用戶的數據狀態，靜態的權限授予策略有時難以應對數據的快速演變，因此設計實現動態的訪問控制機制顯得尤為必要。

2.2 大數據下訪問控制的需求

結合2.1節對大數據環境下關鍵場景的分析，總結目前訪問控制技術面臨以下6個方面的挑戰。

挑戰1：分布式架構的部署。大數據特別是物聯網的興起，引發了分布式的浪潮，大量的數據在信息共享系統的存儲呈現出地理區域隔離、安全域隔離的特點。這要求訪問控制系統在分布式架構下要具有協調統一的跨域管理機制，特別是在不同的數據域有著不同的安全需求時，相應的管理機制更加復雜。

挑戰2：權限管理策略。大數據環境中的訪問控制主體組成復雜，信息共享頻繁，數據流通管理困難。巨大的數據量、用戶的多樣需求和服務商的多類型業務都給權限管理帶來了挑戰，權限管理策略應當具有可信的授予、更新、刪除機制。

挑戰3：細粒度訪問控制。由于數據體量浩大和模態繁多的特點，傳統的授權模式難以滿足最小授權原則[7]。為了維護訪問邊界，禁止越權訪問，需制定適宜應用場景的近似最小授權訪問策略。

挑戰4：敏感數據保護。大數據環境下，包括聊天信息、購物記錄、醫療數據、瀏覽記錄等個人數據都在未經授權的情況下被第三方收集。這些看似“低價值”的數據經過挖掘，往往可以推導出用戶的身份信息、喜愛偏好、健康情況等，而泄露的信息被第三方惡意使用，就會出現商品“殺熟”、虛假廣告、隱私敲詐等問題，這就需要設計針對敏感數據的隱私保護機制。

挑戰5：動態訪問控制。大數據環境中的數據更新速度快，用戶和服務商時時刻刻都在進行數據的上傳和下載，所以相應的訪問控制機制也應具有調整策略，并考慮到訪問控制策略實施滯后性，部署能夠靈活地根據客體屬性和主體需求變化進行實時動態調整的訪問控制機制。

挑戰6：權限核查。數據的體量大且模態繁多的情況下，相應的權限分配會愈加復雜，特別是在多方信息共享的情景下，不信任的雙方進行通信時需要互相核查對方的身份和權限，這需要建立相應的保證機制，減少雙方的審核開銷。

2.3 傳統訪問控制機制的不足

訪問控制作為數據保護的基石性技術之一，用以控制訪問主體和客體之間的數據安全交互。隨著計算機技術的發展，對訪問控制的要求愈加細化，訪問控制技術也隨之得到完善和發展。目前主要的訪問控制模型有基于角色的訪問控制（RBAC，role-based access control）[8]、基于屬性的訪問控制（ABAC，attributes based access control）[9]、基于任務的訪問控制（TBAC，task-based access control）[10-11]等。

基于角色的訪問控制的核心思想是在用戶集和權限集之間建立一層角色集，對每種角色設定一組對應的訪問權限，在對用戶進行授權時只需建立起用戶到角色的映射，這樣用戶直接擁有該角色的全部權限。RBAC的出現簡化了用戶的權限管理，減少了系統的操作開銷，適用于企業級的數據安全管控。但是在大數據環境下，RBAC仍面臨兩個問題。一是復雜的系統環境讓角色的設計成為一項艱巨的挑戰，角色挖掘的需求顯得尤為突出。Molloy等[12-14]致力于復雜數據集下的角色挖掘工作，這給基于RBAC的大數據管理帶來了顯著的改進，但是大數據應用中的訪問權限依然難以細化到各個角色上，過度授權和授權不足的現象難以避免。二是難以實現分布式環境下的授權需求，文獻[15]提出將RBAC與證書認證相結合，用以克服RBAC模型中集中式管理的缺陷，但是證書的頒發工作仍需要中心化的權威服務器執行，不能普及到節點完全對等的分布式環境中。

基于屬性的訪問控制核心思想是基于實體的屬性來判決是否允許用戶對資源的訪問，其中訪問控制策略可以根據屬性值以及屬性之間的關系靈活制定。ABAC克服了角色身份的限制，能夠通過屬性對訪問權限進行描述，具備實現最小授權原則的條件。例如，文獻[16-17]探索了將ABAC應用于大數據訪問控制的可能性，并提出將機器學習算法應用于復雜組織集和屬性集下的訪問控制策略制定，能夠應對較大數據規模下的訪問控制需求。但是在大數據不可信的網絡環境下，ABAC也存在著安全問題：一是訪問策略由用戶自定義制定，策略的執行依然依托第三方背書的權威機構，其執行結果往往用戶無法跟蹤，個人的數據泄露難以察覺；二是用戶制定的策略存儲在服務器上，也有受到黑客篡改的可能，致使數據的泄露。

基于任務的訪問控制是從工作流的角度出發，通過將業務劃分為多個任務，然后依據任務和任務狀態對權限進行動態管理，適用于解決分布式環境下多機構參與的信息管控需求。TBAC的訪問權限與任務相綁定，任務執行完則權限被消耗，所以主體對客體的訪問具有時間窗口，提升了安全性。但是TBAC僅關注工作流，沒有設計對主體和客體的約束，不符合實際的應用情況，因此它往往作為補充機制與其他的訪問控制模型結合使用。

此外，有學者將基于風險的訪問控制引入大數據領域，文獻[18]提出使用基于風險的訪問控制來管理患者醫療數據，通過對醫生的訪問行為進行評估，給每位醫生量化其風險，進而限制高風險醫生的過度訪問。文獻[19]則將風險概念引入云計算中，云租戶和服務商可以通過自定義的風險策略來管理自己的數據，從而適應云環境下資源和用戶靈活度高、可伸縮性強的特點。總體來說，基于風險的訪問控制能夠適應動態性強、可擴展性高的系統，但是也存在風險量化標準難確定、風險衡量結果不可信的問題。

3 區塊鏈技術

區塊鏈技術是一種去中心化、去信任化的分布式數據庫技術方案[20]，它并不是一項新的技術，而是革命性的技術組合。一個完整的區塊鏈系統通過哈希算法和時間戳保證數據區塊難以篡改和不可偽造；利用數字簽名實現交易的確認與驗證；利用對等網絡上的共識機制實現各個誠實節點記賬的一致性；利用Merkle樹實現區塊數據的快速歸納和校驗。區塊鏈技術帶來的顛覆性思想，讓業界將其作為“價值互聯網”的基礎協議[21]，在訪問控制領域具有天然的安全優勢。

3.1 區塊鏈架構

自2008年比特幣誕生以來，區塊鏈技術一直在持續地改進和發展，特別是隨著以太坊、EOS等項目的提出，讓人們看到它在多種場景下的應用潛力。Swan發表的Blockchain：Blueprint for a new economy中將區塊鏈技術的應用分為3個層次，即區塊鏈1.0、區塊鏈2.0、區塊鏈3.0[22]。其中，區塊鏈1.0架構應用于虛擬貨幣系統，即與支付、轉賬、審計相關的密碼學貨幣的應用。區塊鏈2.0架構的主要關注點在于智能合約的應用，其核心理念在于利用區塊鏈的高可信性，把其作為一個可編程的分布式可信任基礎設施，從而將其應用拓展到認證、拍賣、知識產權保護等需要建立信任機制的領域。區塊鏈3.0架構還沒有準確的定義，但其核心思想是在區塊鏈2.0的基礎上，建立起實際的分布式系統，將其應用領域再次拓展到政務、工業、醫療、藝術等領域，實現廣義的可信任“資產”交易。

區塊鏈的基礎架構如圖3所示，區塊鏈系統可分為基礎網絡層、中間協議層以及應用服務層。其中，基礎網絡層可細分為數據層和網絡層，中間協議層可細分為共識層、激勵層和合約層。接下來分析架構中與基于區塊鏈的訪問控制機制相關的關鍵技術。

圖3 區塊鏈的基礎架構Figure 3 Blockchain infrastructure

3.2 數據區塊結構

區塊鏈的區塊結構保證了數據只增不減、難以篡改、可以溯源的特性。如圖4所示，區塊鏈在區塊體內以Merkle樹的形式存儲交易數據，在區塊頭存儲時間戳、區塊哈希、隨機數、Merkle根等信息。Merkle樹以二叉樹的結構進行哈希運算，實現交易信息的“壓縮”和防篡改，達到數據校驗和快速歸納的目的。時間戳用于記錄當前區塊數據的寫入時間，它為區塊數據增加了一個時間維度，增強數據的可追溯性。此外，每個區塊利用哈希算法，結合隨機數和Merkle根等信息得到其區塊頭的哈希值，并將其作為下一區塊的目標哈希，以實現記賬權的競爭機制。在此機制下，區塊頭的哈希值成為區塊間的鏈接“指針”，實現了區塊鏈的鏈式結構，保證了區塊數據的存儲可信性。

圖4 區塊鏈的數據結構Figure 4 Data structure of blockchain

3.3 共識機制

作為去中心化的記賬系統，區塊鏈通過共識機制來實現互不信任的分布式節點之間就交易的合法性達成一致性共識。區塊鏈的共識機制解決了分布式記賬數據庫的兩個問題：賬本的寫入權歸屬和節點之間的賬本同步。研究者認為區塊鏈的共識問題可被歸納為文獻[23]提出的拜占庭將軍問題，而文獻[24]提出的Fischer-Lynch-Paterson定理證明：在含有多個確定性進程的異步系統中，只要有一個進程可能發生故障，就不存在協議能保證在有限時間內使所有進程達成一致。因此，研究者根據實際的工程模型，通過附加同步性假設、時間假設等限制條件提出了許多共識算法，并根據設定的條件可分為強一致性共識和最終一致性共識兩大類。

強一致性共識算法一般應用在節點數較少且具備節點準入機制的聯盟鏈和私有鏈環境中，如實用拜占庭容錯機制（PBFT）和Raft機制等。而目前應用比較廣泛的工作量證明機制（PoW）、權益證明機制（PoS）以及股份授權證明（DPoS）都屬于最終一致性共識算法，它們多應用在節點數量巨大的公開鏈環境中。通過查閱相關資料以及參考文獻[25]的工作，將常見的共識機制歸納如表1所示。

表1 常見的共識機制對比Table 1 Comparison of consensus mechanisms

3.4 智能合約

智能合約可以被看作一種計算機程序，是開發者根據已經制定好的合約條款轉換成的運算邏輯，它會時刻監督用戶的數據狀態和行為信息，并根據已經制定好的邏輯規則，保證合約的順利執行。智能合約的概念在1994年被提出，并將其描述為“由計算機處理的、可執行合約條款的交易協議”[26]，但由于當時的技術不成熟以及安全機制不完善，這個概念難以應用落地。而區塊鏈有著難以篡改、公開透明、安全可信的特點，能夠為智能合約提供高可信度的存儲和執行環境，使智能合約重新受到許多研究者的重視，得以快速發展。特別是在以以太坊為代表的區塊鏈架構2.0下，智能合約成為其核心關鍵組件，已經成為未來互聯網合約的重要研究方向，有著廣泛的應用空間。智能合約的工作機制可劃分為智能合約的部署和智能合約的執行兩個部分。

以以太坊為例，如圖5所示，智能合約的部署首先由開發人員按照預定的協議編寫智能合約代碼，再編譯為字節碼后通過geth客戶端上傳至區塊鏈網絡，包含有該合約的區塊在經過全網驗證后會被寫入每個節點管理的區塊鏈上，一段時間后通過記賬節點完成智能合約上鏈。在完成智能合約的部署后，智能合約以賬戶的形式保存在區塊鏈上，用戶通過該賬戶的地址訂閱智能合約。如圖6所示，智能合約會定期檢查用戶是否滿足觸發條件，在條件觸發后通過一筆事務調用合約，合約代碼會在本地的以太坊智能合約虛擬機（EVM）上執行，之后再對執行結果打包、廣播、驗證，在其他節點確認無誤的情況下將執行結果上傳到區塊鏈上。

圖5 智能合約的部署流程Figure 5 Deployment process of smart contract

圖6 智能合約的執行流程Figure 6 Execution process of smart contract

4 基于區塊鏈的訪問控制機制分析

區塊鏈具有分布式、交易透明、難以篡改的特點以及無須第三方背書的可信機制，這與大數據環境下訪問控制需要解決的分布式部署、審計機制、信任機制的需求不謀而合，區塊鏈技術與訪問控制技術結合有以下6點優勢。

1) 策略和權限可信任。由于區塊鏈難以篡改的特點，訪問權限數據以及部署的智能合約在經過共識機制存儲到區塊之后將無法刪除和更改，這避免了針對性的權限篡改、刪除等惡意攻擊，為權限管理機制提供了安全保障。

2) 策略和權限可核查。區塊鏈上的數據公開可查詢，這在多方信息共享系統中有著重要作用。策略的透明建立起了參與方對系統安全的信任，避免“后門”問題。權限透明且難以篡改，使通信雙方可以在無須第三方背書的情況下建立起信任機制，簡化了交易流程，降低了信任成本。

3) 分布式賬本。區塊鏈去中心化的思想與大數據時代的分布式環境相符合，區塊鏈中的P2P(peer-to-peer)網絡、共識算法和分布式數據庫等機制適合應用于分布式架構的系統。同時區塊鏈中的賬本分布式地存儲各個節點上，增強了系統的健壯性，網絡中部分節點出現故障不會影響系統的運行或者造成數據的丟失，也避免了集中式管理帶來的針對性攻擊問題。

4) 訪問策略自動化實現。用戶可以根據需求，自定義智能合約并將其部署在區塊鏈上，當有訪問請求時，系統會根據智能合約的邏輯策略并依據請求者的屬性、角色等信息自動化地判決，且無人工干預。

5) 細粒度訪問控制。用戶個人數據的訪問權限可以通過主體?客體對的形式存儲在區塊鏈上，具備對用戶數據進行細粒度劃分的能力，訪問者被局限在規定的訪問邊界內，防止了服務商對用戶數據的過度收集。鏈上的信息公開、客體的所有權明確，方便服務商直接對主權方發出請求，同時服務商的操作信息能夠以只增不減的方式記錄在區塊鏈上，越權訪問、泄露數據等行為能夠經過日志分析發現，實現安全、透明、高效的數據資源共享。

6) 數據流通可溯源。現有的針對區塊鏈溯源的研究，主要是面對商品或代幣的全周期追蹤記錄。同樣可以借鑒這種思想，將用戶的數據看作商品，利用鏈上訪問權限和鏈下的訪問日志，結合時間戳和簽名信息，聯合分析用戶數據的全周期流通過程，掌握數據的演變歷程，從而溯源越權訪問等違規操作。

4.1 基于區塊鏈的訪問控制實現機制

目前基于區塊鏈的訪問控制技術的主要實現方式有兩種：基于交易的訪問控制機制和基于智能合約的訪問控制機制。

基于交易的訪問控制機制核心思想是借助區塊鏈的可信存儲特性，將區塊鏈作為訪問控制系統內的存儲單元，用戶通過事務交易（transaction）實現訪問權限的授予和撤銷，系統通過查詢鏈上的交易能夠判斷是否允許其他用戶的訪問。同時可以將訪問控制策略、主體和客體信息以及管理員操作日志等數據打包，然后以事務交易的形式存儲到區塊鏈上，保證信息的公開透明和不被篡改。

基于智能合約的訪問控制機制基本原理是借助區塊鏈的可信計算特性，用戶將其訪問控制策略轉化為智能合約代碼上傳至區塊鏈，在訪問主體滿足合約預置的條件時，自動化地賦予其對客體的訪問權限，并以交易事務的形式存儲在區塊鏈上。進一步拓展，用戶可以利用智能合約控制訪問主客體之間所有的數據交互過程，實現對主體和客體的屬性狀態、權限授予溯源信息、策略更新歷史記錄等所有數據的監督和管理。

4.1.1基于交易的訪問控制機制

基于交易的訪問控制機制在區塊鏈研究的早期被提出，是訪問控制技術與區塊鏈技術融合的開始。Zyskind等[27]針對移動應用的數據訪問控制需求，提出將訪問控制策略以用戶與服務商的聯合身份發布，并將聯合身份表示為代表用戶的公鑰，代表服務商的公鑰)。該機制的原理如圖7所示，由于區塊鏈只增不減的特性，規定聯合身份最新發布的交易為有效交易，這樣通過查找最近的權限交易Taccess就可以實現權限的授予、更改和撤銷。通過數據交易Tdata提交服務商的訪問請求，并同時將數據的訪問操作記錄在區塊鏈上，保證訪問操作可溯源。該機制巧妙地引入聯合身份的概念，使得用戶可以針對不同的服務商實現不同類型數據的訪問控制策略，同時使用訪問控制列表（ACL，access control list）的策略描述方式，適宜低復雜度的訪問控制策略、較小數據量的個人數據保護需求。

圖7 Zyskind機制原理Figure 7 Principle of Zyskind mechanism

文獻[28]探索了在物聯網背景下，使用多條區塊鏈分類別存儲主客體信息和權限決策信息，以實現靈活自動的訪問控制決策機制。如圖8所示，作者提出的ControlChain機制規定使用關系鏈（relationship blockchain）存儲主體和客體之間的關系數據，使用上下文鏈（context blockchain）存儲傳感器數據、處理后的數據和人為輸入的數據。并定義解碼器（decoder）用于在自定義的訪問控制模型下（RBAC、ABAC、OrBAC等），將主客體的屬性角色數據和關系鏈中的數據等自動轉換為訪問控制模塊可以直接識別的數據結構類型（ACL等），并最終將授權決策信息存儲在責任鏈（accountability blockchain），以實現授權的溯源和問責制度。該機制實現了傳統訪問控制模型和區塊鏈的融合，可以在用戶自定義的訪問控制模型下完成訪問控制決策。

圖8 ControlChain機制框架Figure 8 Architecture of ControlChain mechanism

文獻[29]提出在鏈上以交易的形式完成訪問控制策略和訪問權限的創建、更新和撤銷。作者定義了兩種類型的交易：一是策略創建交易（PCT，policy creation transaction），用于實現策略的創建；二是權限轉移交易（RTT，right transfer transaction），用于實現主體間權限的更替。為了在只增不減的區塊鏈上實現策略的更新和撤銷，作者利用區塊鏈的代幣機制，規定在進行更新和刪除的PCT交易時必須花費該策略先前的交易輸出，即每次交易的輸入是先前的策略信息和一定的交易費用（比特幣），輸出是新的策略信息和交易后剩下的費用。同時作者又規定數據操作權限的擁有者RT（right holder）在進行RTT交易時，可以將原有的訪問控制策略限制得更加嚴格，只有在交易方滿足條件時才給予其操作權限并完成交易。文獻[29]提出的系統模型Maesa機制原理如圖9所示，可以看到區塊鏈在該系統中作為存儲組件，通過與策略管理點（PAP）交互，為授權系統提供訪問控制策略的全周期信息，然后策略執行點根據授權系統的處理結果控制用戶與數據資源的交互。該系統通過利用區塊鏈上的交易機制，實現了ABAC模型下的安全可信、修改靈活、全周期溯源的訪問控制機制，在數據規模較大時也能滿足細粒度的訪問控制需求。

圖9 Maesa機制原理Figure 9 Principle of Maesa mechanism

總的來說，目前基于交易的訪問控制機制通過利用區塊鏈可信存儲的特性，可分為以下4個方面。

1) 存儲訪問權限。文獻[27, 30]利用區塊鏈公開透明和數據可信的特性，在鏈上存儲訪問權限，使得權限的信息公開可查詢，可以在無第三方背書的情況下建立信任。同時由于區塊鏈只增不減的特性，鏈上的權限數據只能以覆蓋的方式修改而無法撤回，保證了請求者不能私自越權訪問，授權者也不能反悔抵賴。其中文獻[30]引入虛擬鏈（virtualchain）[31-32]的概念，提出通過虛擬鏈將高級的數據存儲功能轉化為基礎的邏輯存儲單元，以實現在不修改區塊鏈數據結構的基礎上，將云存儲系統的數據以虛擬鏈的形式有序上鏈。

2) 存儲訪問控制策略。文獻[33-35]分別提出在物聯網、云聯盟和云存儲的環境下將訪問控制策略放在區塊鏈上，使得策略公開透明，保證訪問控制策略的可信任性，避免存在利用“后門”等暗箱操作的行為。Maesa等[29]還考慮到訪問控制策略的存儲空間問題，提出使用自定義的符號映射表，將各類屬性映射為固定長度的數值，以實現策略的壓縮存儲和高效拓展。

3) 存儲關鍵敏感數據。文獻[36]利用區塊鏈難以篡改和不可刪除的特性，在醫療數據分享中應用區塊鏈技術，保證用以研究的數據真實可靠，不被惡意篡改。Pinno等[28]則利用區塊鏈分布式特性，在物聯網中搭建專門用來存儲數據的上下文鏈（context blockchain），存儲分布的傳感器數據和人工輸入數據。文獻[37]提出了一種利用區塊鏈技術實現的防篡改的數據存儲管理框架，利用哈希指針樹型索引結構實現數據的高效查詢。但值得注意的是，考慮到鏈上信息全透明，在某些需要隱私保護的情景下必須通過某些機制實現“信息隱匿”。同時，由于區塊鏈的共識機制和競爭記賬機制，在鏈上存儲大規模數據開銷較大，因此多數的基于區塊鏈訪問控制系統往往在鏈下存儲原始數據，而在鏈上只維護數據的分布式哈希表（DHT，distributed hash table）[27,38]或地址指針等簡略信息，以達到在節省鏈上空間同時保證數據完整性的目的。

4) 存儲訪問控制操作記錄。利用區塊鏈可查、可信、可溯源的特性，建立審計追責系統，實時記錄主體的操作記錄，以監察授權者的不當授權和操作者的違規操作，同時能夠逐級溯源，實現相應的按級懲戒。文獻[39]以互聯網租車作為背景，提出將租車平臺對用戶數據的訪問記錄存儲在區塊鏈上，在用戶發現個人隱私泄露時，可以此為依據進行溯源，實現對互聯網租車軟件平臺的追責機制。喬蕊等[40-41]則針對動態數據的安全問題，設計了基于區塊鏈的動態數據安全存儲機制。以云計算為代表的數據存儲技術，有著數據流通快、更新快的特點，帶來了攻擊行為難界定、數據偽造難發現、數據篡改難定責的問題，喬蕊等首先在文獻[40]中提出了動態數據存儲體系，通過改進區塊鏈共識機制杜絕攻擊者對數據賬本的非授權篡改。之后在文獻[41]中針對物聯網下的數據安全問題引入動態數據存儲體系，并將所有的動態操作永久地記錄在區塊鏈上，通過雙聯盟鏈實現多維授權和動態數據存儲，通過馮·諾依曼?摩根斯坦效用評估節點的操作收益，并以此為依據結合鏈上的操作日志找尋攻擊節點，實現動態數據攻擊溯源。

上述代表性的機制匯總如表2所示。

表2 基于交易的訪問控制機制代表文獻匯總Table 2 Summary of representative literature on access control mechanisms based on transaction

4.1.2基于智能合約的訪問控制機制

隨著以太坊上圖靈完備的鏈上腳本的出現，智能合約的應用也得以落地。作為區塊鏈2.0架構的核心模塊，智能合約使得區塊鏈的應用由“虛擬貨幣”拓展到更廣泛的“交易平臺”。在訪問控制領域，智能合約通過區塊鏈提供的分布式信用基礎設施，將數據的交互作為主體之間的“交易”，這樣通過自定義的腳本語言就可以實現可信、細粒度、無人為干預的訪問控制機制。

文獻[42]提出了使用智能合約的基于角色訪問控制框架（RBAC-SC）。該框架利用以太坊平臺的智能合約技術，提出跨組織的質詢?響應身份驗證協議，解決了在跨組織情景下的角色利用問題，為基于角色的訪問控制提供了安全高效的角色管理和驗證機制。作者的思想是利用區塊鏈可信、公開、透明的特點，讓用戶都通過以太坊上的賬戶地址或者系統分配的公鑰表示，并允許組織可以發布帶有簽名的角色管理合約。這樣跨組織的其他用戶就可以通過該組織發布的智能合約查詢接口，查詢該組織內訪問控制系統用戶的角色身份，從而實現了跨組織的角色驗證。

Zhang等[43]提出了一種基于智能合約的框架，通過多個訪問控制合約、一個法官合約和一個注冊合約實現了分布式可信的訪問控制（如圖10所示）。

圖10 Zhang Y機制框架結構Figure 10 Architecture of Zhang Y mechanism

該框架包含了多個訪問控制合約（ACC，access control contract），每一個都實現了訪問控制策略中一個主客體對的具體訪問控制方法，并同時維護著策略實施列表和不當行為懲罰列表。法官合約（JC，judge contract）用以接收不當行為報告并確定相應的懲罰。而注冊合約（RC，register contract）則用來管理JC和ACC并提供它們的簡略匯總信息。該機制通過將訪問控制策略拆分為多個訪問控制合約，可以細化主客體交互行為，有利于訪問控制策略的細粒度實現。

在醫療數據保護領域，Azaria等針對患者數據碎片化嚴重、交流渠道少、共享效率低、隱私保護機制不完善等問題，提出了MedRec框架[44-45]。作者的思想是利用智能合約讓病人能夠管理自己的數據訪問權限，并通過區塊鏈實現跨組織的訪問控制。如圖11所示，作者設計注冊合約來管理患者信息，并將患者賬戶與其匯總合約綁定；匯總合約（SC，summary contract）則用來關聯患者的數據權限及其狀態；而醫患關系合約（PPR，patient provider relationship）負責患者數據的查詢及訪問權限管理。通過MedRec機制，患者在數據庫中的數據都被附上相應的操作權限信息，并在患者的SC地址上可以查詢到相應的PPR的狀態，這樣患者的醫療數據就被嚴格地控制在患者手中，違法的操作都會因為權限不足而被拒絕。而出于研究目的的醫療數據訪問者也可以通過查詢RC上公開的患者賬戶地址，向相應的患者提出申請，在經過患者同意后方可訪問。同時可以注意到由于區塊鏈的匿名性，雖然鏈上的數據都是公開的，但患者的身份是通過以太坊賬戶表示的，而且隱私的醫療數據存儲在鏈下，只有操作權限是公開可查的，這樣就在保護了患者隱私的前提下提高了數據的共享率。

圖11 MedRec框架結構Figure 11 Architecture of MedRec

文獻[46]提出了一種針對大數據資源的訪問控制機制BBAC-BD。作者結合大數據資源的特點，以分布式訪問控制需求和訪問控制動態性需求為著眼點，利用區塊鏈事務實現訪問控制策略的全流程分布式管理，利用智能合約實現策略的自動化判決，利用ABAC模型實現基于請求者屬性的動態訪問控制，有利于大數據資源的靈活管控和安全共享。該機制的工作原理如圖12所示。

圖12 BBAC-BD機制原理框架Figure 12 Architecture of BBAC-BD mechanism

BBAC-BD工作流程如下。

Step 1在準備階段，由屬性權威（AA，attribute authority）合約預先收集區塊鏈事務的屬性信息，并提供給策略執行點（PEP，policy enforcement point）和策略管理點（PAP，policy administration point）。

Step 2在PAP上的智能合約結合屬性信息收集整合區塊鏈事務中的訪問控制策略。

Step 3進入執行階段，當PEP上的代理收到資源操作請求后，根據從AA合約得到的信息生成基于屬性的訪問控制請求（AAR）并將其發往策略決策點（PDP，policy decision point）。

Step 4PDP上的智能合約根據從PAP合約響應返回的訪問控制策略集對操作是否允許進行判決，并將結果發往PEP。

Step 5PEP代理根據判決結果對資源進行操作。

可以看到，該機制中的屬性收集與整合、策略管理、訪問權限決策都是通過智能合約自動、透明、公開地執行，而且無須第三方背書，降低了信用成本，有利于大數據下主體間資源的高效共享。同時考慮到大數據環境中數據變化快、主體身份復雜的特點，作者對BBAC-BD進行了仿真測試，在訪問控制策略設計得當的情況下，該系統的判決時延能夠滿足動態性的需求。

文獻[47]針對企業間的數據共享需求，提出了一種基于聯盟鏈的、利用屬性基加密（ABE）[48]進行改進的企業級訪問控制模型，同樣采用了智能合約來實現基于屬性的訪問控制策略。作者設計利用企業的誠信值來實現共識機制，在降低了企業間的信任成本的同時起到違規懲戒作用。

總體來說，目前基于智能合約的訪問控制機制通過利用區塊鏈可信計算的特性，可分為以下5個方面。

1) 用戶信息管理。文獻[42, 44, 49]都是利用智能合約管理系統內的用戶，以不可篡改的方式記錄用戶信息，并將用戶與其以太坊地址、公鑰等信息綁定，在無第三方背書的情況下保證用戶身份的可信任。此外，將主體以以太坊地址或公鑰的形式表示，也有利于懲戒機制的追根溯源。

2) 鏈上數據管理。利用智能合約管理鏈上的數據，實現包括訪問控制策略集、主體訪問權限集、主客體屬性信息等數據的增添、更新和刪除。文獻[44]設計的醫患關系合約（PPR）針對醫療數據的權限管理問題，將數據所屬方、數據請求方、數據指針和訪問權限綁定，用戶通過改寫合約內的屬性值，自定義地控制訪問控制策略，管理鏈下存儲在數據庫內的數據。文獻[50]提出的FairAccess機制，通過向訪問請求方賬戶發送帶有簽名的授權令牌的形式進行權限管理，由授權令牌規定能夠訪問對應的資源，權限的撤銷由令牌上的時間戳和約定的失效時間控制。而授權令牌的管理則是通過鏈上腳本，也就是智能合約進行。作者在文獻[51]中詳細地介紹了FairAccess框架中如何通過智能合約將訪問控制策略轉化為授權令牌，并探討了這一方案的可行性和安全性。

3) 數據整合與查詢。區塊鏈上的數據公開透明，任何用戶都可以查詢鏈上的訪問控制策略，但在數據量較大或者訪問控制策略較復雜的情景下，人工在鏈上查詢收集數據的工作量大且效率低，所以可以利用智能合約自動化地整合和歸納鏈上數據。例如，文獻[43]設計的注冊合約（RC）將細化的訪問控制合約（ACC）匯總，并與法官合約交互（JC），提供了各個ACC的接口，自動化地維護著策略實施列表和不當行為懲罰列表，實現了策略和權限的高效查詢。文獻[44, 49]都設計了具有歸納匯總功能的智能合約，它們通過指針、關鍵字的形式將患者擁有的所有醫療數據匯總，便于患者直觀地了解所有數據的權限授予情況。文獻[46]考慮到大數據下訪問控制策略分布式存儲后查詢效率低的問題，提出了基于Bloom Filter[52]的策略管理合約，通過哈希函數將屬性值映射為二進制向量，進而用二進制向量來描述數據集合，根據資源屬性的二進制向量是否與策略事務數據塊匹配，達到快速篩選關聯策略集的目的，整個查詢過程通過部署的智能合約進行，公開透明。

4) 違規行為監測。區塊鏈上的數據只增不減，可以通過時間戳、用戶簽名等方式溯源，這保證了在區塊鏈上運行監視組件和存儲訪問日志不會被破壞和篡改，因此基于區塊鏈的監測機制可以監察違規行為，并通過懲戒機制的反饋來完善訪問控制系統。Ferdous等[53]針對云環境下的分布式訪問控制系統節點的安全性難以保證、訪問控制組件易被攻擊的問題，提出一種基于區塊鏈的分布式訪問控制系統實時監控方案DRAMS。它通過在分布式訪問控制系統節點上搭建數據探針、日志記錄合約和行為分析合約，可以在運行時通過智能合約來記錄訪問行為，并分析其是否符合規定的訪問控制策略，并且考慮到存儲在鏈上的日志內可能包含用戶的某些敏感信息，存儲的日志通過AES-256算法加密。

5) 訪問權限判決。利用智能合約根據訪問請求者的身份、角色、屬性等信息判斷其是否滿足訪問控制策略的約束，返回允許、拒絕或者無法判決的結果，整個過程無人工干預，無須第三方背書，依靠在EVM中的合約代碼執行，為資源擁有者和請求者雙方都建立起高信任度。例如文獻[46]提出的策略判決合約根據訪問請求者的屬性集是否滿足與其關聯的訪問控制策略集，將自動化判決并返回允許、拒絕、屬性信息不足或策略集不匹配的任一結果。

上述具有代表性的機制匯總如表3所示。

表3 基于智能合約的訪問控制機制代表文獻匯總Table 3 Summary of representative literature on access control mechanism based on smart contract

4.1.3基于區塊鏈的訪問控制實現機制總結

基于交易的訪問控制機制利用區塊鏈可信存儲的特性，可從存儲訪問權限、訪問控制策略、關鍵敏感數據以及訪問控制操作記錄4個方面進行劃分。該機制將區塊鏈作為可信存儲實體，與傳統的訪問控制模型結合，解決用戶間的信任問題，通用性與移植性較好。同時鏈上數據公開透明，有利于授權操作的查驗與審計。但是該機制依然依賴中心授權服務器發布權限交易，沒有完全解決訪問控制單點化的問題。

基于智能合約的訪問控制機制利用區塊鏈可信計算的特性，從用戶信息管理、鏈上數據管理、數據整合與查詢、違規行為監測以及訪問權限判決5個方面的需求出發，通過開發智能合約，實現自動化、無干預的訪問控制操作，其擺脫了對中心授權服務器的依賴，具備更高的安全性。但是該機制下如何實現訪問控制策略向智能合約代碼的轉化，是開發者需要面臨的挑戰，因此，如何提高該機制的通用性是待解決的問題。

4.2 關鍵技術分析

基于區塊鏈的訪問控制技術有著廣泛的應用空間和巨大的應用潛力，但是由于大數據的4V特性，目前針對大數據資源的訪問控制需求仍存在諸多挑戰。基于2.2節提出的大數據下訪問控制現有的需求，結合目前的研究現狀，本文將從動態訪問控制、數據存儲空間優化和隱私數據保護3個方面對現有研究成果進行分析。

4.2.1動態訪問控制

大數據時代，數據動態演變性強且資源流通速度快，靜態的訪問控制機制無法適應主客體的快速變化，往往會出現控制策略失效或者不匹配的問題，因此解決訪問控制的動態性需求顯得至關重要。而動態的訪問控制機制主要體現在兩個方面：一是靈活性，即能夠跟隨主客體的屬性變化，及時準確地制定出適宜的訪問控制策略；二是低時延，即在收到訪問請求后，能夠在一定的時間窗口內完成策略的決策并實行。

文獻[54]基于FairAccess機制，提出使用機器學習算法改進訪問控制策略，通過反饋信息鼓勵代理選擇更安全的訪問控制方法，并將相關信息更新到智能合約上。機器學習組件的調用不依賴訪問控制模型，反饋信息基于客體數據是否收到損壞，因此能夠應用于多種訪問控制框架，實現動態優化和自調整的安全策略。劉敖迪等[46]則著手于大數據下的動態訪問控制需求，使用ABAC模型以適應大數據下資源種類繁多、主客體屬性變化快的特點，資源擁有者根據資源屬性制定訪問控制策略，提高訪問控制的適應性和靈活性。同時為了提高系統的響應速度，利用智能合約實現基于Bloom Filter的訪問控制策略管理機制，以允許低概率的誤差為代價減少存儲空間，同時提高查詢的效率以降低檢索的時延。Decker等[55]引入區塊鏈中微支付通道的概念，提出在鏈下構建用戶之間的低時延傳輸通道，區塊鏈只在通道的設置和關閉時對雙方進行交易保障，從而實現用戶間鏈下動態交易以及鏈上資產擔保，但是該機制下用戶交易的數據必須是提前經過區塊鏈確認鎖定的。

除此之外，改進區塊鏈的共識機制以更快速地達成共識和完成記賬也是降低系統時延的有效手段。根據3.3節的分析，區塊鏈的共識機制決定了鏈上權限交易的寫入和驗證速度，選擇適用的共識協議，能夠在符合安全需求的限定條件下達到權限信息快速記賬并確認的目的，從而提升整個系統的響應速度。

薛騰飛等[56]提出的MDSN框架通過使用DPoS共識機制，并將其與具備信譽機制的醫療和審計服務器聯盟結合，減輕了節點的計算壓力，有效提升了訪問控制系統的響應速度。此外，閔新平等[57]針對區塊鏈共識機制中存在的算力消耗大、交易時延高、數據吞吐量低的問題，提出許可鏈多中心動態共識機制(PBCM)。作者首先構建主從多鏈結構，其中，從鏈負責存儲交易數據，主鏈負責維護已經確認的交易的摘要，同時提出了基于PBFT機制改進的多主節點PBFT協議（MPBFT），利用該協議實現構成多鏈的多節點之間的共識。PBCM機制有效克服了PoW等機制存在的時延高，能耗大的問題，在具備動態響應需求的數字資產存儲、管理、保護領域有著獨有的優勢，但是該機制局限于許可鏈，只能在具備一定可信度的環境下才能應用，具有一定的局限性。共識協議達成共識的速度與區塊鏈的抗攻擊能力是矛盾的，更快地達成共識意味著數據的驗證過程更加簡化，因此基于區塊鏈的訪問控制系統在選擇共識協議組件時，必須結合實際的應用場景，在安全閾值內選擇適用的共識機制。

4.2.2數據存儲空間優化

區塊鏈作為只增不減的分布式賬本，賬本的多副本特性需要大量的額外存儲空間[58]，上鏈的數據不僅要通過共識協議消耗巨大算力，實現一致性記賬，還要永久地存儲在區塊上增加維護成本，因此如何在受限的存儲空間內高效安全地完成權限交易的記錄成為重要的研究問題。尤其是在物聯網等資源受限的場景下，存儲空間的優化顯得至關重要。

目前主流的解決思路有兩個：一是通過提前規定的數據格式或者字符映射，實現數據的壓縮存儲；二是將原始數據存儲在鏈下，鏈上只存儲必要的簡略信息或關鍵字。文獻[29]提出了一種自定義的編碼格式用來壓縮存儲到區塊鏈上的訪問控制策略數據，它通過字符映射表將復雜的策略數據、屬性名稱和操作信息表示為定長的字符碼，在實現壓縮存儲的同時實現基于關鍵字的高效查詢。而文獻[27, 37-38, 44]則是選擇將包含大量數據的訪問控制事務存儲在鏈外，僅向區塊鏈上傳指向鏈外的哈希值。這個解決方案的好處是可以有效減少鏈上的數據量，但缺點是鏈外的數據不再受區塊鏈技術保護，數據的存儲由本地的數據庫單點負責，不再具有分布式賬本的可靠性，在發生單點故障時會導致指針失效，影響整個訪問控制系統的正常運行。Poon等[59]在微支付通道的基礎上提出的閃電網絡，其核心思想是在用戶間構建鏈下支付通道，鏈上只存儲簡略信息保證雙方的可信性，從而大大提高用戶間交易的吞吐量。該機制的思想同樣可以應用于訪問控制系統中用戶間策略數據的交換，通過用戶間“私信”的方式實現低開銷的數據存儲交換，但是其安全性也相應地減弱。

除此之外，有學者從數據區塊的結構著手，通過增加區塊的數據量來緩解存儲壓力。Eyal等[60]提出的Bitcoin-NG區塊鏈架構，增加了微區塊的概念，選舉出的首領節點可以在預先劃分的時間窗口內向區塊鏈附加多個微區塊，從而提高單位時間內區塊鏈的存儲空間。如圖13所示，其中正方形表示的是關鍵區塊，圓形表示的是微區塊，微區塊使用與關鍵區塊的公鑰相對應的私鑰簽名，在規定的時間內以恒定的速度產生。該機制通過關鍵區塊選舉首領節點，它的產生仍需要PoW機制，但是微區塊的產生只需首領的簽名，所以微區塊并不會增加區塊鏈的重量，增強了區塊鏈的存儲能力。但是微區塊上數據的準確性僅由其首領節點負責，首領的選舉過程顯得至關重要，因此更適用于具備許可準入機制的聯盟鏈環境中。此外，文獻[61]提出的GHOST規則通過改進區塊鏈節點構建方式，以重建區塊鏈的方法提高了交易的吞吐量。

圖13 Bitcoin-NG區塊鏈架構Figure 13 Architecture of Bitcoin-NG

4.2.3隱私數據保護

區塊鏈是完全公開透明的系統，鏈上的交易和智能合約暴露給所有的用戶，這在增強系統公信度的同時給用戶的隱私帶來了隱患。雖然區塊鏈具有匿名性，但是實際情況下攻擊者可以根據鏈上公開的交易信息，通過數據挖掘的方式獲得用戶的各種特征，從而鎖定用戶身份，文獻[62-63]證明了通過分析加密貨幣的交易圖結構進行去匿名攻擊的可行性。除此之外，對用戶敏感數據的管理，更要求系統具有隱私保護的功能，如文獻[44-45, 49, 64]等針對醫療數據共享的研究，系統具有完善的隱私保護機制是用戶選擇使用此系統并提高數據共享率的必然要求。因此，此方面的研究也受到了諸多學者的關注。

Zyskind等[38]針對區塊鏈數據的隱私安全管理，將哈希指針與安全多方計算（MPC，multi-party computation）相結合，提出了分布式的數據管理框架Enigma。針對不同的隱私保護需求，Enigma將數據的管理分為Public ledger、DHT和MPC共3種類型，其中鏈上Public ledger的數據對全部用戶公開，而DHT和MPC的數據只在鏈上存儲數據的哈希指針。DHT的數據具有一定的隱私保護，它只在鏈上存儲對數據的引用，同時通過哈希函數校驗鏈下數據是否被篡改。而MPC的數據通過使用安全多方計算[65]、數據的查詢以分布式進行，數據被分割到不同的節點進行處理，沒有任何一方能夠訪問全部數據，從而在無須第三方背書的情況下實現敏感數據的存儲和運算。

Kosba等[66]同樣針對區塊鏈的隱私保護問題，提出了智能合約開發平臺Hawk。與Zerocash類似，Hawk采用zk-SNARK零知識證明技術[63]，用來保證在驗證過程中礦工可以在不知道交易的具體信息的情況下判定交易的有效性，從而實現對交易中敏感信息的隱私保護。Hawk平臺原理架構如圖14所示，Hawk借鑒了Zerocash中的mint（鑄幣）和pour（消費）操作，用戶可以通過這兩個操作來隱匿智能合約中的交易地址。根據數據的敏感性，用戶將負責交易數據的智能合約劃分為公開部分和私密部分，通過編程人員開發的編譯器自動轉化為“秘密合約”。代理人則作為用戶的代理，在不透露用戶身份的前提下代替用戶進行交易。

圖14 Hawk平臺原理架構Figure 14 Principle of Hawk platform

此外，有學者利用密碼學技術對區塊鏈數據進行加密，實現用戶的隱私保護。Le等[67]則將密碼加密技術與區塊鏈結合，提出了針對物聯網設備隱私保護需求的CapChain框架。它采用FairAccess機制中授權令牌的形式對物聯網設備進行權限管理，同時采用密碼學知識，通過公鑰地址、一次性地址和域地址進行交易，來預防針對用戶交易地址的關聯分析。文獻[68]同樣將密碼學知識與區塊鏈結合，提出了通過多密鑰生成中心(KGC)的群簽名隱匿交易節點身份信息，實現鏈上用戶的匿名保護，但目前該機制是以聯盟鏈為基礎，無法拓展到完全公開的公共鏈。李少卓等[69]提出了一種基于RSA的區塊鏈按需披露隱私保護機制（PPM-ODB），通過Quorum鏈實現了隱私信息持有者和知情者間的密鑰分發，支持知情者的匿名分析、隱私信息的加密解密以及數據的流通追溯。

屬性基加密（ABE）作為一種新興的加密技術，實現了一對多的通信加密，適用于解決分布式環境的數據保護需求，可以解決區塊鏈的隱私保護問題。ABE以屬性為公鑰，將密文和用戶私鑰與屬性關聯，能夠靈活地表示訪問控制策略，可以低開銷地實現密文的加解密。田有亮等[70]基于Waters的CP-ABE方案[71-72]，提出基于屬性加密的區塊鏈數據溯源算法，針對溯源信息難以動態共享這一問題，通過改進的屬性加密算法完成對交易的隱私保護，該數據加密方式具有通用性，同樣可以應用在其他區塊鏈系統。邱云翔等[73]同樣提出了一種基于CP-ABE算法的區塊鏈數據訪問控制方案，并結合超級賬本平臺上原有的Fabric CA模塊支持密鑰的管理工作，實現了用戶屬性私鑰的安全分發。

將上述不同需求下的代表文獻及其核心思想總結如表4所示。

表4 不同訪問需求下的代表文獻總結Table 4 Summary of representative literature under different access requirements

5 基于區塊鏈的訪問控制技術研究展望

（1）提升通用性與可移植性

訪問控制技術經過幾十年的發展，提出了諸多優良的訪問控制模型，并且經過應用證明其訪問控制機制的可行性，同時已經廣泛應用在現有的系統上。若能對已有的訪問控制系統進行改進，使區塊鏈技術與其結合，在保證原功能的基礎上實現數據上鏈，便能利用區塊鏈分布式存儲、透明公開、難以篡改的特性，增強系統的安全性和可信性。因此，如何設計區塊鏈系統使其擁有較好的通用性，能夠通過接口與現有的訪問控制系統互聯，并對各類訪問控制模型都擁有完善的處理機制，成為研究的一個重點內容。

此外，如何實現可拓展訪問控制標記語言（XACML）向智能合約代碼的轉化也是值得研究的一個方向。XACML作為一種通用的訪問控制策略定義語言，標準化地描述各個系統間的訪問控制策略和過程。如果實現了XACML向智能合約代碼的高效轉化機制，那么就能實現基于XACML框架的訪問控制系統向區塊鏈的遷移，而且標準化的描述語言還能保證遷移后的系統仍具備與其他系統的互操作性。

（2）跨域與跨鏈訪問

大數據環境下，網絡中存在諸多各自封閉的可信域，如何利用區塊鏈公開可信的技術，“鏈通”各個可信域，建立起低成本的信任機制，滿足用戶的跨域訪問控制需求，也是研究的重點方向。目前針對單鏈的跨域認證與訪問控制，已經取得一定的研究進展[74-77]。但是，在大數據龐大的數據管理需求下，只通過一條區塊鏈實現所有的數據管理是不現實的，必然需要多條鏈并行運作實現各個組織下的數據管理機制。如何鏈接起多條區塊鏈，解決訪問控制策略沖突、用戶身份重復、智能合約不通用等問題，也是實現跨鏈的協同數據管理需要解決的難題。

（3）訪問控制性能優化

區塊鏈誕生的最初目的是作為比特幣的底層技術，服務于電子貨幣的，其挖礦機制并不適宜訪問控制需求，同樣在以太坊平臺上也面臨著區塊產生過慢、數據存儲開銷過大的問題，這直接制約了基于區塊鏈的訪問控制系統的性能。同時，根據Seth等提出的CAP理論[78]，區塊鏈在滿足分區容錯性的前提下，必須在一致性和可用性之間進行權衡，即必須在安全性和高效性之間進行取舍。因此，如何改進區塊鏈的共識機制、記賬機制和存儲結構等，使其適宜訪問控制需求也是未來必須解決的一個問題。

（4）數據隱私保護

區塊鏈作為公開的賬本，在應用中必須考慮對敏感關鍵數據的隱私保護，雖然已有研究者提出通過同態加密、屬性基加密等機制實現對鏈上交易信息的保護，但是這些加密算法的引入帶來了計算開銷，必然會引起額外的響應時延。如何設計適用于區塊鏈的分布式密碼協議，是解決這一性能瓶頸的研究重點。此外，區塊鏈上共識機制要求相關驗證節點能夠獲取到交易信息，惡意節點雖然無法影響共識的達成，但是依舊可以獲取所有的賬本數據，雖然零知識證明可以避免這個問題，但是其也需要較大的算力支持，在現有的ZCash平臺上這一過程需要30~40 s，并且其安全性未得到證實，這也是需要繼續進行研究的方向。

（5）區塊鏈+人工智能

將人工智能引入基于區塊鏈的訪問控制機制中，可以在減少開發員工作量的同時進一步提升系統的安全性。首先可以利用深度學習算法改進訪問控制策略，優化授權范圍，解決訪問策略沖突問題。其次可以利用人工智能算法對開發的智能合約代碼進行漏洞分析，保證合約執行結果的可靠性和完備性。最后可以研究基于人工智能的共識機制，利用機器學習算法分配計算資源，加快共識達成速度，減少授權請求響應時間。

6 結束語

大數據環境下信息流通快，存在著數據主權難維護、訪問權限難界定、第三方泄露難防范等問題，給現有的訪問控制機制帶來了挑戰。而基于區塊鏈的訪問控制機制利用區塊鏈公開透明、可信度高、難以篡改的特點，能夠實現去中心化的訪問控制管理。本文從基于區塊鏈實現機制出發，總結了現有的基于交易和基于智能合約的訪

問控制機制，重點分析了動態訪問控制、鏈上空間優化和隱私數據保護3個關鍵技術，并結合現有的研究展望，基于區塊鏈的訪問控制技術面臨的挑戰，以期對未來的研究提供參考與啟發。總體而言，目前國內基于區塊鏈的訪問控制機制仍處于研究的初步階段，尚未形成統一的技術標準與成熟的技術方案，在云租戶數據管理、物聯網數據保護、醫療信息共享、企業數據管理等領域仍有廣闊的研究空間。