基于區塊鏈的供應鏈數據分級訪問控制機制

葉 進，龐承杰，李曉歡，張 鑫，劉 亮

(1. 廣西大學計算機與電子信息學院 南寧 530004；2. 廣西綜合交通大數據研究院 南寧 530025；3. 南寧威耀集采集配供應鏈管理有限公司 南寧 530201；4. 廣西交通運輸廳信息中心 南寧 530000)

供應鏈是一種復雜的網鏈，由一系列不同類型的企業組成，每個企業作為數據源，在供應鏈各階段不斷產生海量、異構的數據，這些數據在供應鏈管理中具有重要價值。供應鏈網絡中涉及企業和部門眾多，不同企業間既存在合作關系，又存在競爭關系，給企業間數據共享帶來挑戰[1]。一方面，供應鏈各階段迫切需要諸如生產信息、流轉信息的透明化訪問與共享，來解決上下游企業間的信息不對稱問題，提高企業合作效率，減少成本。以農產品供應鏈溯源為例，企業間的信息共享能有效提高整體追溯的效率，從而保障農產品質量，減少偽劣產品的產生[2]。但另一方面，供應鏈核心企業間，如同級供應商之間存在競爭關系，企業出于對自身隱私的保護，不希望商業機密、財務信息等隱私數據被他人獲取。這使得企業或部門間共享數據的積極性降低，供應鏈運轉效率大打折扣。如何既保證企業間必要的數據透明化訪問與共享，又實現部分隱私數據的保護，是供應鏈亟待解決的問題。

為了實現數據的授權訪問和隱私保護，學者們提出了一些解決方案，其中訪問控制是保護數據安全的主要手段，通過對用戶權限進行分配和管理，使得用戶在授權后可以合法訪問特定的數據。本文主要關注訪問控制機制在供應鏈場景下的應用?，F有的訪問控制機制包括自主訪問控制(discretionary access control, DAC)、基于角色的訪問控制(rolebased access control, RBAC)、基于屬性的訪問控制(attribute-based access control, ABAC)等， 其 中ABAC 將實體屬性作為關鍵要素構造訪問策略實現靈活的訪問控制[3-4]。這些訪問控制機制大多使用集中授權的方式實現授權訪問，即通過一臺中心服務器進行授權，這種授權過程缺乏透明性，存在性能瓶頸和單點故障問題。由于供應鏈參與方眾多且分散，同時存在著復雜的訪問需求，上述訪問控制機制已不能很好地適用，不僅不符合供應鏈多方參與的場景，更難以實現授權過程的可靠追溯。

近年來，將區塊鏈技術與訪問控制技術相結合受到越來越多的關注，并在各領域得到應用[5-6]，區塊鏈的共識機制能確保供應鏈參與方對訪問授權結果的分布式一致性，實現授權過程的透明化。這為供應鏈數據訪問與共享提供了新的思路[7]，但也還存在一些挑戰。供應鏈各階段產生多源異構的流轉信息、溯源信息、存證信息等數據，其重要性或隱私程度不一，訪問控制機制應當根據不同的數據等級制定訪問與共享策略，實現更細粒度的訪問控制。

1 相關工作

根據區塊鏈在訪問控制中的作用，將現有的訪問控制架構分為以下3 種。

1) 第三方維護的架構。將區塊鏈作為第三方維護的可信分布式賬本，而訪問控制機制運行在中心化的授權服務器。文獻[8]將區塊鏈與ABAC 訪問控制模型結合，以區塊鏈交易的方式實現了訪問策略的創建、更新、撤銷和權限轉移等，區塊鏈授權過程由鏈下服務器完成。文獻[9]提出了一種區塊鏈與DAC 結合的物聯網訪問控制機制BlendCAC，通過訪問控制矩陣實現授權訪問，區塊鏈用于存儲訪問控制矩陣。這一類架構雖然在一定程度上解決了傳統訪問控制中訪問授權的透明性問題，但仍然存在授權服務器的公正性和單點故障問題。

2) 參與方共同維護架構。由參與方來共同維護區塊鏈，利用智能合約實現訪問控制。文獻[10]提出了物聯網場景下的訪問控制框架，設計了訪問控制合約、注冊合約和審判合約，其中，審判合約實現了對惡意訪問行為的懲罰。文獻[11]提出了MedRec框架應用于醫療數據的訪問控制場景，將醫療服務提供者及患者接入區塊鏈網絡，通過智能合約實現數據安全訪問與共享。文獻[12]提出了一種基于環簽名技術的醫療區塊鏈隱私數據共享模型。文獻[13]以ABAC 為基礎，提出了大數據場景下基于區塊鏈的訪問控制機制，使用智能合約實現訪問控制并且改進了策略檢索效率。文獻[14]提出了一種域間訪問控制模型，劃分不同的安全域，通過跨域節點的智能合約實現細粒度和靈活的訪問控制。文獻[15]提出了物聯網下的訪問控制系統，設計了資源子系統存儲數據，區塊鏈子系統管理訪問策略并處理訪問事務。這類工作將授權服務器去中心化，利用區塊鏈的智能合約和存儲結構的特點，增強了授權過程的透明性與可審計性，但缺乏對訪問控制數據的隔離存儲與保護。

3) 多鏈架構訪問控制機制[16-19]。文獻[18]提出一種企業場景下的數據訪問控制模型，包含企業區塊鏈和行業區塊鏈，行業區塊鏈由企業區塊鏈選出節點組成，負責實現各企業鏈之間的數據訪問控制與共享，但尚未給出具體實現。文獻[19]設計了一種協同鏈機制，用于物聯網場景下多條異構鏈的數據訪問控制和安全共享，協同鏈存儲訪問記錄與待共享數據，根據數據等級決定共享操作。這種多鏈訪問控制能夠實現業務數據與訪問控制數據的隔離與保護，但需要相對復雜的鏈間操作。

綜上，基于區塊鏈的訪問控制研究在供應鏈場景中的應用仍處于起步階段，現有工作的訪問控制模型難以適應供應鏈多方參與的場景，缺乏對供應鏈數據本身重要性和隱私程度的關注，以及對數據進行分級以滿足不同訪問控制需求。因此，本文提出了一種基于區塊鏈的供應鏈數據分級訪問控制機制，將區塊鏈技術與基于屬性的訪問控制模型結合，主要貢獻如下。

1) 設計了面向供應鏈數據訪問控制的多鏈架構。該架構由數據區塊鏈與訪問控制鏈組成，數據區塊鏈托管存儲供應鏈企業在各階段產生的業務數據，實現供應鏈數據的隔離，以保護數據的安全和隱私性。訪問控制鏈負責存儲屬性信息、訪問策略、訪問記錄等信息，并實現鏈上策略管理以及用戶對數據的訪問控制功能。

2) 提出了基于區塊鏈的分級訪問控制模型?；贏BAC 模型，在客體屬性中引入分級屬性描述數據等級，根據供應鏈數據的隱私和重要程度建立訪問策略，實現細粒度的訪問控制。設計了策略管理合約、策略判定合約并部署到訪問控制鏈，通過訪問事件觸發合約調用執行訪問控制工作流程。訪問控制過程去中心化、透明化、鏈上留痕可追溯。

3) 基于Hyperledger Fabric 平臺實現了本文的訪問控制機制。通過實驗分析表明該機制具有穩定的性能，有較好的可行性。

2 訪問控制結構設計

供應鏈中包含供應商、物流企業、經銷商、消費者、監管部門等實體，在訪問控制機制中存在對應的用戶角色。供應商負責生產和供貨，通過物流企業將貨物運輸至經銷商，經銷商從倉儲中取貨，將產品銷售給消費者。生產到銷售中的各環節可能存在多個企業或部門。

2.1 訪問控制架構

本文基于多鏈架構設計了基于區塊鏈的供應鏈數據分級訪問控制機制，總體架構由數據區塊鏈和訪問控制鏈兩部分組成，其中包含普通節點、跨鏈節點、審計節點和共識節點，如圖1 所示。

圖1 訪問控制機制架構

數據區塊鏈是由同類企業或部門組成的一條聯盟鏈，鏈內包含若干普通節點。該鏈存儲各企業或部門的業務數據，如生產信息、交易信息、物流信息和溯源存證等，實現數據的分布式安全存儲。供應鏈中的供應商、物流企業、經銷商和監管部門等實體分別構建并維護各自的數據區塊鏈，各鏈之間數據隔離存儲。

訪問控制鏈作為供應鏈各方共同參與和維護的聯盟鏈，由跨鏈節點、審計節點和共識節點組成。該鏈在網絡中負責存儲訪問策略、屬性信息、分級信息和授權訪問記錄等訪問控制相關信息，通過鏈上節點及智能合約實現分級訪問控制模型，為不同企業或部門提供數據訪問控制服務。數據區塊鏈和訪問控制鏈中的4 種類型節點功能具體如下。

1) 普通節點：代表單個企業或部門，與其他同類企業或部門的普通節點組成和維護數據區塊鏈，用戶通過客戶端與之交互。部署并運行數據管理合約，負責向數據區塊鏈上傳、查詢和下載數據，負責企業或部門內部分布式賬本的存儲。

2) 跨鏈節點：由數據區塊鏈中的任一普通節點擔任，并同時加入訪問控制鏈，維護該鏈的賬本。部署和運行分級訪問控制模型的智能合約，處理來自普通節點的訪問請求，實現企業或部門間的數據訪問控制與共享。

3) 審計節點：負責訪問控制鏈的管理，記錄訪問控制鏈的運行日志，為供應鏈監管用戶提供歷史授權訪問記錄的追溯和責任確權，減少非法授權行為的產生。

4) 共識節點：組成和維護訪問控制鏈中的Raft共識集群，負責將訪問控制過程的交易進行排序并打包成區塊，將區塊廣播到該鏈的其他節點，確保訪問控制結果在區塊鏈網絡的分布式一致性。

2.2 存儲結構

本文設計的訪問控制鏈利用區塊存儲結構來存放訪問控制所需信息，如圖2 所示。在訪問控制鏈中，新增策略、更新策略以及授權訪問等操作均通過智能合約以交易的形式執行。區塊中Merkle 樹的葉子節點存儲著交易數據，包括屬性、訪問策略、授權記錄及發起訪問時提交的交易，葉子節點的交易數據經過哈希函數運算后存儲在其父節點中，遞歸直到生成唯一Merkle 根哈希存儲在區塊頭部。

圖2 區塊存儲結構

通過區塊頭部的Merkle 根哈希能夠間接校驗交易數據是否被篡改，實現交易數據的不可篡改和安全存儲[17]。而訪問控制鏈的共識機制保證鏈上各節點存儲相同的分布式賬本。

3 分級訪問控制模型

3.1 訪問控制模型

本文在ABAC 模型基礎上引入數據分級的思想，提出分級訪問控制模型，根據供應鏈場景的需求來對數據客體進行分級。在分級訪問控制模型中，屬性與權限存在多對多的映射關系。定義1 對分級訪問控制模型進行形式化描述。

定義 1 分級訪問控制模型形式化表示為：

其中，P為屬性四元組組成的訪問策略；SA 代表主體屬性，包含用戶、角色和所屬企業；RA*為客體屬性，包含數據名稱、數據分級和子分級，數據分級用于描述數據的重要或隱私程度，由數據擁有者根據供應鏈場景需求進行配置；EA 代表環境屬性，如訪問時間、用戶位置等；PA 代表訪問操作屬性，其中包含讀(R)、寫(W)、執行(X)、上傳(U)和下載(D)等操作；f表示對訪問策略進行判定， result={permit,deny}表示判定結果，允許訪問則返回permit，拒絕訪問則返回deny。

在客體屬性中，數據分級屬性 R A?.level用于描述當前數據客體的等級， RA?.level ∈[0,n]，n≥0，當level 取值0 時，表示當前數據等級最低，即數據可以被公開訪問，而取值n則表示等級上限。

面對供應鏈多源異構數據的累積，以及企業內部對數據分級的更細需求，通過配置客體屬性中的數據子分級屬性可實現更細粒度的數據分級訪問策略。數據子分級 RA?.sublevel是對level 的擴充和細分，其作用是在當前分級level 的基礎上再進行一層 分 級。其 中， RA?.sublevel ∈[0,si]， 0 ≤si≤m，si表示當前level 為i時，其對應的sublevel 的等級上限。圖3 描述了供應鏈數據經過level 及sublevel分級的過程。

圖3 供應鏈數據分級

在分級訪問控制機制中，主體角色屬性與客體數據分級屬性之間的對應關系通過分級表LevelMap進行記錄，并托管到訪問控制鏈進行存儲。分級表LevelMap 借助類哈希表存儲結構，記錄用戶角色、每個角色所支持訪問的數據分級以及對應的訪問權限，用于訪問授權過程中對角色與訪問數據等級的比對和匹配，由訪問控制鏈進行更新維護。

3.2 訪問控制工作流程

在標準的ABAC[20]訪問控制機制中，屬性庫、策略庫分別是存儲屬性信息以及訪問策略的數據庫。策略信息點(policy information point, PIP)、策略管理點(policy administration point, PAP)、策略執行點(policy enforcement point, PEP)和策略決策點(policy decision point, PDP)分別用于訪問策略的檢索、管理、匹配與訪問授權。本文的訪問控制機制工作流程以標準ABAC 授權過程為基礎，并結合區塊鏈技術實現。使用訪問控制鏈作為屬性庫、訪問策略庫，實現屬性信息、分級信息和訪問策略在區塊鏈上的分布式記賬存儲。鏈上部署的策略管理合約PolicySC 實現了PIP 屬性檢索與PAP 策略管理的功能，負責對訪問策略進行全局管理。策略判定合約AccessSC 整合了PEP 和PDP 的功能，通過合約調用實現分布式策略判定與訪問授權。基于區塊鏈的供應鏈數據分級訪問控制機制工作流程如圖4 所示。

圖4 訪問控制工作流程

數據擁有者是企業或部門中持有數據的用戶，可以建立和新增數據的訪問策略，通過與普通節點交互，發送請求到跨鏈節點，調用該節點部署的PolicySC 發起新增策略交易。交易發起后，跨鏈節點收集訪問控制鏈上的多數節點簽名，提交至共識集群對交易排序，并將共識后的交易以區塊形式打包分發至鏈內所有節點，鏈上各個節點驗證該交易的背書簽名以及版本號，之后將包含訪問策略的區塊追加到該鏈各個節點的分布式賬本中。

供應鏈用戶訪問數據時，通過客戶端與普通節點交互，發送訪問請求至跨鏈節點。收到訪問請求后，跨鏈節點調用PolicySC 從訪問控制鏈上查找相關屬性并構造帶屬性的訪問請求(attribute access request, AAR)，由AccessSC 執 行 訪 問 策 略 判 定。AccessSC 解析請求AAR 后，跨合約調用PolicySC合約在鏈上查詢與AAR 相關的訪問策略，匹配該策略中的屬性并進行判定，決定是否對用戶主體授權。

訪問授權過程通過交易的形式產生區塊，記錄在訪問控制鏈上，授權后跨鏈節點回調DataSC 合約，將數據URL 返回到用戶所屬的普通節點。

3.3 智能合約設計

智能合約是實現分級訪問控制機制的核心，本文設計了數據管理合約DataSC、策略管理合約PolicySC 和策略判定合約AccessSC。

1) DataSC 合約負責對供應鏈數據進行操作，包含數據的上傳、查詢和下載等。上傳操作負責將數據上傳到企業的數據區塊鏈中進行存儲，查詢操作通過數據的鍵在鏈上查找數據并返回。

2) PolicySC 合約負責對存儲在訪問控制鏈上的訪問策略進行管理，包含新增策略AddPolicy()、查詢策略QueryPolicy()、更新策略UpdatePolicy()、失效策略InvalidPolicy()以及屬性解析GetAttrs()函數。通過該合約，數據擁有者可以新增訪問策略到鏈上存儲，更新已有策略和使某些策略失效，并查詢鏈上存儲的策略。

算法流程描述：

1) 通過GetAttrs()函數解析AAR 中的屬性元組Attrs；

2) 通過QueryPolicy()函數在鏈上查詢與Attrs屬性匹配的訪問策略，存入策略集PolicySet；

3) 遍歷PolicySet，查找與Attrs 屬性相匹配的訪問策略P；

4) 判定Attrs 與訪問策略P中的各個屬性是否匹配，以及角色與訪問策略P中的數據等級是否匹配；

5) 若匹配則返回permit，否則返回deny，并通過PutACChain()函數將訪問控制過程上鏈存儲。

4 實驗與分析

基于Hyperledger Fabric[21]區塊鏈平臺實現分級訪問控制機制，并利用Fabric tape 工具進行性能測試。實驗采用操作系統macOS 11.5 64 位，處理器Intel Core i5 2.7 GHz，內存8 GB，Hyperledger Fabric 版本為1.4.1，Golang 版本為1.14，Docker版本為19.03。仿真實驗利用Fabric 多通道機制搭建區塊鏈網絡，設置2 條數據區塊鏈 (各包含2 個普通節點)和1 條訪問控制鏈(包含2 個跨鏈節點)，Raft 共識集群包含5 個共識節點。

4.1 訪問結果與分析

以南寧公立學校的食材集采集配供應鏈場景為例進行分析。實例的區塊鏈網絡中包含供應商(鏈A)、集采集配基地(鏈B)、監管部門(鏈C)和消費者(鏈D)這4 條數據區塊鏈及各方共同維護的訪問控制鏈，分別使用supplier、base、consumer 和regulator 表示上述供應鏈實體中的用戶角色。4 種角色分別對應上述4 條數據區塊鏈內的普通節點。在供應鏈中由基地向供應商采購訂貨，貨物送達后經過質檢進入基地存放，待基地分揀后出庫，發車配送至各消費者。期間，具有資質的供應商產生采購信息、貨物信息、發車信息和財務信息，基地則不斷產生貨物出入庫信息、質檢信息、分揀信息、車輛在途信息和配送簽收信息。供應鏈從食材采購到配送的過程，需要各個實體進行一定程度的信息共享以實現協助配合。因此需要根據數據的重要程度，制定分級訪問策略進行訪問控制。

根據供應鏈場景需求，按照數據隱私程度將分級level 設置為0(公開)、1(限制)、2(隱私)的等級，每個level 下的sublevel 可分為1、2 等級，表1給出了分級示例。

表1 供應鏈數據分級示例

同時，各企業數據擁有者與監管用戶根據場景需求，共同確定角色與數據分級的對應關系及其訪問權限，如表2 所示，再共同制定對數據的訪問策略。

表2 角色與數據分級的訪問權限關系

由于供應商與基地存在供貨關系，基地用戶以角色base 通過普通節點的DataSC 合約對質檢信息、入庫信息等數據進行上傳，以便供應商用戶以supplier 角色訪問，保證食材供貨信息暢通。出于溯源的需求，消費者以角色consumer 通過跨鏈節點的AccessSC 合約訪問配送信息、車輛在途信息等溯源相關數據。監管用戶以角色regulator 對供應商的注冊信息進行訪問查看和下載存檔，實現對供應商資質的審查和監督。

當監管部門履行對供應商的監督職責時，通過新增訪問策略，實現監管用戶對所有實體注冊信息的訪問和下載，同時阻止其他角色對該數據的非授權訪問。該訪問策略以JSON 形式描述如下：

permit = {“SA”:{“user”: “zhangsan”,“role”: “regulator”, “company”: “CFDA”},“RA”:{“data”: “*注冊信息”, “level”: 2,“sublevel”: 1}, “EA”:{“time”: “any”,“location”: “any”}, “PA”:{R, D}}

通過PolicySC 合約AddPolicy()函數新增該策略到訪問控制鏈中。當監管用戶對供應商的注冊信息發起訪問時，觸發AccessSC 中的CheckAccess()函數進行策略判定，只有滿足上述訪問策略屬性的請求才能得到訪問授權permit。其他角色請求訪問該數據時，CheckAccess()判定訪問請求與上述訪問策略不匹配，則拒絕該訪問請求。訪問過程由訪問控制鏈上所有節點分布式記賬留痕以供審計。

4.2 策略分析

為驗證本文機制在不同規模訪問策略數量下的策略查詢及判定效果，通過腳本生成策略數目為500、1 000、1 500、2 000、2 500、3 000、3 500、4 000 的測試樣本，測試在不同數量策略下發送單條交易及并發交易時，訪問控制機制調用智能合約策略查詢以及策略判定的響應時間。

實驗設置不同分級下的策略查詢和判定。不分級情況下，本文模型相當于ABAC 模型在訪問控制鏈上的實現，并將其與鏈下實現的ABAC 模型對比。分級1 代表該策略僅配置分級屬性level，并設置為3 個等級，sublevel 設置為0，策略判定時需要對角色與數據的等級進行匹配。分級2 代表數據客體屬性，同時設置分級屬性level 和子分級屬性sublevel，每個level 下的sublevel 設置5 個等級，策略判定時需要先后匹配角色能否訪問策略規定的level 和sublevel 等級的數據，因此，時間開銷相應增加。實驗多次測試取平均值后，結果如圖5所示。

圖5 不同策略規模查詢與判定時間比較

可以看出，隨著策略規模增加，訪問控制機制的策略查詢及判定時間均有所上升。鏈下ABAC由于在單一服務器上實現訪問控制，大部分情況下，其策略查詢和判定時間開銷相對最低。在發送單條交易且不分級時，策略查詢與判定過程均能在較低的時間內完成，大部分情況下均維持在20 ms內。對數據分級后，策略判定的時間開銷略微上升，且分級2 情況下的策略判定時間開銷相對最高。并發交易下，在策略數量達到4 000 時，其響應時間能控制在4 s 以內?？梢姳疚臋C制的時間開銷相比現有ABAC 稍有增加，但仍能保證策略查詢與判定的執行效率，在多條并發交易下，同樣具有較為穩定的性能表現。

4.3 吞吐量測試

吞吐量在區塊鏈性能測試中通常描述為TPS(transactions per second)。為了測試訪問控制機制中訪問控制鏈的交易性能，實驗使用Fabric tape 生成不同數量的交易對吞吐量進行測試。本節設置每個節點連接10 個客戶端，客戶端與節點的并發連接數分別設置為10、20，觀察分級和不同連接數下吞吐量的變化。實驗結果如圖6 所示。

圖6 發送交易數量與吞吐量比較

當客戶端與節點并發連接數從10 增加到20 時，訪問控制鏈的吞吐量隨之增加，隨著發送交易數量的增加，訪問控制鏈的吞吐量稍有下降，在發送交易數量達到3 000 時，其吞吐量最低維持在90 tps以上?？梢钥闯觯L問控制機制性能較為平穩，即便在引入分級的情況下也能夠保持相對穩定的吞吐量。

5 結 束 語

本文提出了一種基于區塊鏈的供應鏈數據分級訪問控制機制，面向供應鏈場景設計了數據區塊鏈與訪問控制鏈結合的多鏈架構。訪問控制鏈負責存儲供應鏈所有實體的屬性信息、分級信息與訪問策略等，通過鏈上部署訪問控制合約進行分布式訪問授權，授權過程透明且可追溯。借助Hyperledger Fabric 平臺驗證本文分級訪問控制機制的可行性與有效性，實驗表明本文所提機制在大規模策略數量的情況下仍具有相對平穩的性能，在供應鏈數據訪問與共享的實際場景中具有可行性。