基于區塊鏈的汽車產業鏈權限委托方法

摘 要：針對汽車產業鏈資源信息多源異構、跨平臺交互建立困難的問題，提出了一種基于區塊鏈的跨域權限委托方法（BCPDM）。該方法首先將區塊鏈技術與基于屬性的訪問控制（ABAC）模型相結合，并建立權限過濾功能，以避免平臺間權限沖突；其次，引入權限收回機制，提高模型授權的靈活性，避免長時間授權可能導致的信息泄露問題，旨在以靈活、動態、高效和可信的方式解決復雜汽車產業鏈多域環境下的訪問授權問題。經安全性分析與實驗表明：所提方法在復雜汽車產業鏈多域環境中能夠保證用戶的安全訪問和各平臺之間的數據信息交互，并且計算開銷低。該方法能夠滿足汽車產業鏈協同交互的實時要求，為解決復雜汽車產業鏈中的訪問控制問題提供了一種可行的解決方案。

關鍵詞：汽車產業鏈； 跨域訪問； 區塊鏈； 權限委托

中圖分類號：TP309 文獻標志碼：A

文章編號：1001-3695（2024）08-006-2284-08

doi：10.19734/j.issn.1001-3695.2023.12.0584

Blockchain-based permission delegation method for automotive industry chain

Deng Liangming1， Li Binyong1，2， Deng Xianhui1

（1.School of Cybersecurity（Xin Gu Industrial College）， Chengdu University of Information Technology， Chengdu 610225， China; 2.Advanced Cryptography & System Security Key Laboratory of Sichuan Province， Chengdu 610225， China）

Abstract：Aiming at the problems of multi-source heterogeneity of automotive industry chain resource information and the difficulty of establishing cross-platform interaction， this paper proposed a blockchain-based cross-domain permission delegation mode（BCPDM）. Firstly， it combined blockchain technology with attribute-based access control（ABAC） model， and established a permission filtering function to avoid inter-platform permission conflicts. Secondly， it introduced a permission retraction mechanism to improve the flexibility of the model authorization and avoid the problem of information leakage that might be caused by prolonged authorization， aiming to solve the access authorization problem under the multidomain environment of complex automotive industry chain in a flexible， dynamic， efficient and trustworthy way. The security analysis and experimental results show that the proposed method can ensure the safe access of users and data and information interaction between platforms in the multi-domain environment of complex automotive industry chain， and the computational overhead is low. The method can meet the real-time requirements of automobile industry chain cooperative interaction， and provides a feasible solution for solving the access control problem in complex automobile industry chain.

Key words：automotive industry chain; cross-domain access; blockchain; delegation of authority

0 引言

汽車產業鏈是指涵蓋汽車設計、研發、制造、銷售和售后服務等各個環節的產業體系。它由多個相關的產業和環節組成，包括原材料供應平臺、零部件制造平臺、汽車制造平臺、銷售平臺、經銷平臺、售后服務提供平臺等。這些環節共同合作，形成一個相互依存的產業生態系統，以滿足汽車市場的需求。這個龐大的產業鏈為汽車行業的發展和運作提供了支撐，同時也促進了相關產業的發展和經濟的增長［1，2］。

汽車產業鏈多域環境是指在汽車產業鏈中存在多個相互獨立的域，每個域都代表著一個獨立的組織，擁有自己的管理策略、訪問控制規則和資源。在這樣的環境中，不同部門或者業務單元可能運行在不同的域中，每個域有自己的用戶賬號和訪問權限控制。

汽車產業鏈上不同參與方之間需要進行數據交換和協作，因此，汽車產業鏈多域環境下平臺間的信任安全和平臺間數據權限交互安全問題是汽車產業鏈發展的兩個障礙，為解決這些問題，汽車產業鏈需要建立健全的訪問策略和機制。研究表明，基于屬性的訪問控制［3］是解決汽車產業鏈上平臺安全訪問的一種優秀策略。相對于傳統的訪問控制機制，如訪問控制列表（ACL）［4］、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）［5］，ABAC具有以下優勢：面向ACL的伸縮性和粒度有限，MAC存在動態適應性差的問題，RBAC需要事先定義大量角色并將用戶綁定到某個角色進行授權，可能導致角色爆炸等問題，ABAC基于主體和客體的屬性進行訪問決策，通過預定義的合法用戶列表和屬性或屬性集［6］，以訪問策略約束某個用戶在特定條件下對數據的操作，從而實現更細粒度的訪問控制決策。然而，隨著計算機的不斷發展，ABAC也面臨著一些挑戰。隨著模型中屬性和屬性集的增長，系統開銷會增加，訪問效率會降低。此外，大多數ABAC模型都依賴于集中式的授權實體進行訪問決策，存在單點故障的風險。區塊鏈作為一種可用且安全的體系結構［7～12］，在與訪問控制結合的場景下［13，14］具有良好的應用前景，可以解決訪問控制模型中的單點故障問題。葉進等人［15］針對供應鏈引入數據分級的思想，可以實現更細粒度的訪問控制策略，但隨著策略數量的不斷增多，訪問控制機制在時間開銷上的成本也會相應擴大，并出現策略管理困難的問題。張建標等人［16］提出了一種基于區塊鏈的跨域ABAC模型，利用統一的屬性標準來控制域之間的訪問策略，并根據訪問策略進行授權。TACE［17］針對利益沖突域導致的信息泄露問題提出了一種集成區塊鏈的轉移訪問檢查和執行以及可能的權限路徑檢測的算法，然而，該算法沒有進行正式的建模和驗證。BCAI［18］是一種應用于物聯網的去中心化權限委托模型，實現了物聯網交互所需的權限轉移、分散用戶權力和協同工作的功能，從而實現對資源的安全細粒度訪問，然而，該模型沒有解決跨域環境下的權限授權問題。BCCA［19］為了解決多個域認證方案的安全性和效率問題，提出了一種基于區塊鏈信任模型和系統架構的方法，該方法在PKI認證體系的基礎上驗證簽名在聯盟鏈上的認證效率更好。

針對數據權限交互安全，研究表明，權限委托能很好地解決汽車產業鏈上不同平臺無法獲取其他域的完整信息，能更加精確地將用戶權限轉移并解決復雜環境下的權限轉移安全性問題。在復雜的汽車產業鏈環境中，M-PBDM模型［20］針對汽車生產中的復雜工作流和非工作流場景為工作人員分配合理的生產權限，以避免制造協同工作效率低下的問題。然而，模型無法滿足跨域訪問的需求，在委托元素擴大時處理能力有限，由于汽車產業鏈上需供關系的多樣復雜性，該方案無法滿足產業鏈上所有平臺用戶的需求。為了滿足企業內部復雜的權限訪問與數據共享，王秀利等人［21］提出一種屬性基加密的訪問控制模型，較好地解決了企業內部訪問權限難以控制的問題。為解決訪問控制系統中無法細粒度管理令牌中權限的問題，UNFTO［22］根據有向超圖進行權限流通路徑追溯，并實現了令牌中權限的分割與組合，但該方案缺少對鏈上惡意節點的預防識別處理?，F有的汽車產業鏈權限委托仍存在一些局限性，主要局限于關注用戶訪問主體資源的安全性和權限授予的靈活性較低。目前的權限授予方式僅限于單次的授予，并且無法對被授權權限的主體進行有效管理。這種情況無法滿足汽車產業鏈多平臺之間數據權限交互的需求。本文認為，解決鏈上供需關系的多樣復雜性、滿足平臺用戶需求的關鍵在于實現汽車產業鏈跨多平臺之間的動態權限委托。因此，提出了一種基于汽車產業鏈的多域權限委托機制，具體方案為：

a）為確保權限在委托過程中不會被非法用戶獲取，在基于屬性的訪問控制（ABAC）模型的基礎上，設計了權限委托智能合約，支持對權限委托的安全性和可行性進行限制。通過設定權限委托的期限、次數、深度和路徑等參數，可以確保權限委托的安全性。

b）針對多域之間信息交互可能出現的域間利益沖突和多個域同時向一個域申請權限的安全性問題，本文提出了權限過濾算法。該算法能夠在權限委托過程中對權限進行過濾，以確保委托的安全性，并提供沖突警告。通過對權限請求進行分析和比較，可以檢測潛在的利益沖突，并及時發出警告，避免權限被濫用或沖突引起的安全問題。

c）針對以往權限委托僅限于單次授予權限和無法對授予權限的主體進行管理的問題，本文設計了能夠滿足一次多個權限委托的算法，并支持自動和手動撤銷已授予的權限。這使得模型能夠提供更細粒度、更安全的權限管理，保障汽車產業鏈上用戶的信息共享。通過自動化的權限收回機制，可以防止被授權對象濫用權限或進行惡意操作，確保權限的有效管理和使用。同時，通過安全分析對模型的性能進行驗證，可保證其在實際應用中的安全性。

1 基于區塊鏈的跨域權限委托模型

1.1 模型構建

面對以整車平臺為核心，將其他企業和分支機構分成上下游平臺的汽車產業鏈，在汽車產業鏈多域環境下的訪問控制面臨以下安全問題：

a）跨域訪問控制。不同域之間可能存在跨域訪問的需求，如整車平臺、合作伙伴或其他分支機構需要訪問核心系統或敏感數據，這涉及到如何確?？缬蛟L問的安全性，以防止未經授權的訪問和數據泄露。

b）權限管理和策略一致性。在多域環境中，管理權限和策略的一致性是關鍵問題，不同域可能具有不同的訪問控制策略、角色定義和權限規則。

c）數據隔離和隱私保護。域之間的數據共享和訪問需要確保數據的隔離，需要采用適當的保護措施，以確保個人和敏感信息的保密性和合規性。

為了解決汽車產業鏈在多域環境下面臨跨域訪問的安全性和權限委托的可靠性和精確性問題，避免汽車產業鏈高投入、低效益的死循環情景，實現多方資源平臺上下協同，提升產業競爭力，本文提出一種基于區塊鏈的跨域權限委托模型（blockchain-based cross-domain permission delegation mode，BCPDM）。BCPDM部署在多域信息平臺的網絡結構如圖1所示，旨在實現在不同域之間安全、可控的委托和管理訪問權限，以實現資源共享和協同工作。在該模型中，合法節點只有在特定的地點、時間等一系列因素通過的情況下，通過跨域節點結合區塊鏈才能對其他域的資源信息進行授權訪問，以保證數據傳遞的安全性，實現鏈上智能合約權限傳遞。BCPDM的工作流程如圖2所示，主要包括域間訪問模塊（S流程）和域間授權模塊（R流程），其中域間訪問模塊將ABAC模型與區塊鏈結合，將ABAC模型中的各個功能執行點以智能合約的形式來實現，確保訪問控制過程中的去中心化和透明性；域間授權模塊中被委托方需要經過權限過濾和權限授予設計，只有在權限授予不沖突的情況下方可實現多域間的權限委托，很好地確保權限委托的可靠性和安全性，實現跨域資源的協同利用，提升整個產業鏈的效益和競爭力。

1.2 問題定義

針對不同域間的交互，使用Duser和Dobject分別表示源域和目標域，U表示不同域上的用戶集合，用戶U在源域上對目標源的訪問請求將根據策略集合policy作為判斷依據，對每次訪問請求進行評估，只有當主體屬性（S）、環境屬性（E）、時間屬性（T）、等級屬性（L）為合法屬性時，才能使合法的主體授權訪問。BCPDM涉及的各種符號定義如表1、2所示。

1.3 跨域訪問

域間訪問模塊包括PEP合約、屬性權威（AA）、PDP合約、PAP合約。當某一域上的用戶節點發起訪問請求時，跨域節點會保存用戶的訪問請求，并為PEP合約提供原始訪問請求（NAR）。PEP合約會將請求發送給屬性權威（AA），以獲取相關屬性信息。然后，PEP合約將基于屬性的訪問請求（AAR）發送給PDP合約，并請求PAP合約提供策略信息。最終，PDP合約根據策略決定是否授權，并將結果返回。

在跨域訪問中，保障屬性權威的可靠性是一個重要問題，本文利用區塊鏈提供的去中心化和不可竄改的特性，來記錄和驗證屬性數據的變更和訪問控制決策，通過將屬性數據存儲在區塊鏈上，并利用智能合約來執行訪問控制規則，有效地避免了第三方機構介入可能導致的屬性數據泄露和竄改問題，從而在一定程度上增加了屬性權威的可靠性。

定義1 基于屬性的訪問請求（attribute-based access request，AAR）是由主體屬性（S）、環境屬性（E）、時間屬性（T）、等級屬性（L）構成的四元組，即 AAR=〈S，E，T，L〉。其中，環境屬性E是由物理地址（physical location，PL）和網絡環境（net location，NL）構成的二元組，即E=〈PL，NL〉。時間屬性T是對訪問流程的時間約束集合。等級屬性L實現主體和客體之間的多級安全聯系，它由主體訪問等級（Luser）和客體最低訪問等級（Lobject）構成的二元組，即L=〈Luser，Lobject〉。

AAR提供了一種靈活的訪問請求表示方式，考慮了主體的屬性、環境的屬性、時間約束以及等級聯系。主體屬性描述了訪問請求的源頭，環境屬性描述了訪問請求發起的物理和網絡環境，時間屬性約束了訪問請求的時間范圍，而等級屬性則實現了主體和客體之間的安全聯系和權限控制。通過對這些屬性的綜合判斷，可以確定是否授權訪問請求。需要滿足以下條件才能進行合法授權訪問：主體必須屬于合法的主體集合Slegal，訪問請求必須在合法規定的時間區域內發起，訪問請求的物理和網絡地址必須在合法的環境范圍內，同時主體訪問用戶的等級Luser 必須大于等于被訪問資源的訪問等級Lobject。只有當這些條件都滿足時，才能進行合法授權訪問，并將訪問等級設置為object，這樣的定義和約束機制可以有效控制訪問權限，確保只有符合條件的主體才能獲得授權訪問。

下面將以汽車產業鏈上三包期間出現汽車損壞問題為切入，在客戶向服務平臺提出修理賠償業務，并希望在責任評定完成后，請示服務平臺能夠跨域請求供應平臺提供相應的汽車零件為實例，在確保兩方平臺間安全訪問和避免客戶信息泄露的前提下，提出了一種基于區塊鏈的域間訪問方案，如圖3所示。該方案將策略管理點、策略決策點和策略執行點以智能合約的形式表現，如算法1～3所示。這些智能合約部署在區塊鏈上，通過域上用戶的身份信息綁定的數據庫地址在鏈下的對應數據庫中獲取數據信息，完成授權服務的域間訪問。

算法1 策略管理點合約算法

輸入：policy［］。

輸出：new_policy_data_set。

a）init policies［name， subject， resource， action， environment， decision］ and init new_policy［］;//初始化策略信息

b）create new_policy［］：for new_policy［］=policies［name， subject， resource， action， environment， decision］， then new_policy.append（policies）;//創建策略列表

c）delete policy［name］：for policy in policies：

if policy.name==name then policy.remove（policies）;

//刪除指定名稱的策略

d）else return false;

e）modify_policy（name，new_decision）：for policy in policies：

if policy.name=name then policy.deciosn=new_decision;

//修改指定名稱的策略決策

f）else return false；

算法2 策略決策點合約算法

輸入：policy，DSPuseri.ARR。

輸出：boolean。

a）evaluate［subject，resourse，action，environment］;

//從PAP_SC獲取策略信息進行評估檢查

b）for policy in policies： if match（subject && resource && action && environment）∈policy_data_set

then return policy.decision;

//遍歷策略進行匹配

c）if（Suseri∈Slegal&&〈PLuseri，NLuseri〉∈Elegal）&& LSPuseri≥LPPobject&& TSPuseri∈［TPPstart，TPPend］） then

result←（policy_decision（DSPuseri.AAR，policy_data_set））;

//根據主體的基于屬性的訪問請求和對應策略集進行決策評估

d）if（result==deny） then

e） send result to PEP_SC;

f） return false;

g）else if（result==permit）;

h） send result to PEP_SC; return true;

算法3 策略執行點合約算法

輸入：DSPuseri ，NAR，result。

輸出：access_license。

a）send NAR from DSPuseri to cross_node;

//將用戶的原始訪問請求發送至跨域節點

b）check if NAR.origin in access_allow_list（cross_node）;

//判斷NAR上的原始請求來源origin是否在可允許訪問列表中

c） if true then send NAR to AA return AAR;

d）if get PDP_SC.result=='permit' &&

determine if DSPuseri.ARR is viable in PolicyData&&

decision（DSPuseri.ARR+Useri.sid == permit）;

e） do execute_action（action，source）;

f）else return deny_access（）;

1.4 域間授權

域間授權模塊主要包括權限過濾合約和權限授予合約，如圖4所示。當B域作為委托方的跨域節點需要為A域的用戶提供權限委托時，首先會經過權限過濾合約進行判斷，確定A域的用戶節點是否具備合法訪問的條件，包括判斷A域用戶是否有權使用授予的權限以及是否會造成授權沖突的情況。如果不符合條件，則直接拒絕授權。若通過初步過濾，請求將進入權限授予合約，根據委托方的ID生成的尋址地址來查找相應的權限數據庫，并將獲取的權限作為結果返回給A域用戶節點，完成權限委托的過程。

當服務平臺經過域間訪問模塊獲得供應平臺的訪問許可后，可以對供應平臺上的資源進行最低級別的讀取操作。然而，對于更復雜的車輛報修問題（例如車輛發生重大事故），服務平臺和供應平臺需要共同參與責任評定，供應平臺需要向服務平臺請求更復雜的操作來協助完成責任評定。簡單的讀取操作已無法滿足兩個平臺之間的信息交互需求，因此某個平臺需要通過域間授權模塊，授予其他平臺不同的操作權限。

以服務平臺和供應平臺之間的域間授權為例，實現用戶方、服務方和供應方之間的三方責任評定。當服務平臺的用戶節點通過訪問控制流程獲得供應平臺上節點的授權認可時，供應平臺可以通過權限授予流程將自己的一個或多個權限授予被委托節點。這個過程首先經過權限過濾過程，如算法3所示，對雙方節點之間的權限和利益沖突進行篩選；然后根據策略庫的要求，將符合條件的權限集合整合返回給被委托方，如算法4所示；最后，根據供應平臺協作授予的權限，完成兩個平臺的責任評定。

通過域間授權模塊的運作，服務平臺和供應平臺可以有效協作，在需要更復雜的操作和信息交互時進行授權和權限管理。這種方式確保了平臺間的合作和協同，以完成車輛報修問題的責任評定。

定義2 過濾約束機制（filter constraint mechanism，filter〈C〉）是在域間權限傳遞之前進行的初步過濾操作。其中，C是各種限制條件的集合，是由授權時間（data）、允許的授權傳遞次數（times）、權限傳遞路徑（path）和允許信任值（L_truth）構成的四元組，即C=〈data，times，path，L_truth〉。其中，L_truth是獨立于前三個條件的過濾判斷指標，它由主體業務類型（Se）和主體業務訪問次數（At）共同決定，滿足L_truth=Se（）⊕（Lag（n-1）×At（）+Lag（n-2）×At（）），其中Lag是時間衰減因子，隨著時間的推移而衰減。

過濾約束機制通過限制條件集合C對權限傳遞進行過濾和約束。這些限制條件包括授權時間、允許的授權傳遞次數、權限傳遞路徑和允許信任值。其中，授權時間指明了授權的有效時間范圍，允許的授權傳遞次數表示權限可以被傳遞的次數限制，權限傳遞路徑定義了授權傳遞的路徑限制，而允許信任值是一個過濾判斷指標。

過濾約束機制在域間授權和權限管理中起著重要作用，能夠提供額外的保障和約束，以確保權限傳遞的安全性和有效性。

算法4 權限過濾合約算法（動態過濾）

輸入：DfromPPuseri，DtoSPobjectj，CSPobjectj ，CPPuseri。

輸出：boolean。

a）if（do PEP_SC.execute_action（）&&（Useri∪Objectj∈Matrixij）&&（DfromPPuserihave rights to use DtoSPobjectj′permissions） then

/*判斷被委托方是否能合法訪問委托方，并判斷被委托域上的接受用戶節點是否屬于訪問控制矩陣且有權使用委托節點的權限*/

b） if（datauser<tertimeobject）&&（times≥1） && no path conflict） return true;

c） else evalute→value（Se（）+At（））; return L_trust;

//計算主體業務類型以及業務訪問次數返回信任評估等級

d） while L_trust>=minimun_trust; return true;;

/*當主體的信任等級達到最小評估等級返回允許授權，避免因為固定指標而被初步過濾掉*/

e） emit result==permit to PermissionDelegated_SC;

f）else return false;

g）emit result==deny to PermissionDelegated_SC;

算法5 權限委托合約算法

輸入：result， useri.sid。

輸出：permission_set。

a）if（result==permit） then

b） do decryption（useri.sid） → PermissionData；

//對用戶節點i身份進行解密操作

c）if（decision（useri.sid，PermissionData））==permit then

d） permission_set ← permission_decsion（permission_set.buffer）;

//將篩選合法的權限與主體權限賦值給權限集的臨時區

e） return permission_set to DfromPPuseri;

2 跨多域的權限授予和權限收回

為了避免某個域過高的權限分配導致信息壟斷，每個域上的業務分配需要滿足職責分離原則。在復雜的汽車多域貿易環境中，例如當消費者需要報修或更換汽車損壞零件時，首先他們會跨域請求服務平臺提供售后服務。服務平臺需要向供應平臺請求協助完成責任評定。如果責任確認歸屬于汽車廠商，服務平臺就需要向物流平臺請求配送新的更換零件。因此，本章設計了一種汽車多域委托機制（AMDM），該機制部署在跨域節點上。當允許傳遞次數的參數times大于1時，該機制會被調用，以確保跨域節點在未作惡的情況下，根據上一個跨域節點返回的數據驗證上一個跨域節點的路徑是否合法且數據是否完整安全。如果發現路徑被修改，傳遞過程會被直接斷開，有效避免了惡意節點對授權傳遞過程的干擾。

汽車多域貿易問題模型如圖5所示，汽車產業鏈中的一個平臺可能會為另一個平臺提供業務需求，同時也會向其他平臺提供業務需求。例如，一個供應平臺可以同時為多個獨立的物流平臺提供零件配送請求。針對這種需要委托多個平臺的跨域請求，設置date、times、depth、path參數來嚴格控制委托的路徑，以避免出現委托路徑中的惡意節點攔截導致信息泄露問題。對于授予出去的權限，可以進行強制的主動回收和被動回收。

通過汽車多域委托機制（AMDM），可以在汽車多域貿易環境中實現安全可靠的跨域請求和委托，保護數據的完整性和隱私，并確保權限的有效管理和回收。AMDM算法如算法6所示。

算法6 automotive multi-domain delegation mechanism

a）for i=1 to N do

b） if（from_userx to DLPorderx is a legal path）&&（data<tertime∩times=N-1） then

c） for i=1 to N do;

d） send Pfromx0 to nextDorderx ;times--;

e） return true;

f） else return false;

g） if（date==tertime||times==0）then

h） revokePermission（DLPorderx to userx）;

//到期限時間或可允許傳遞次數等于0，回收從委托域發出的權限集

i） when DLPorderxneed active revoke permissions then

j） set tertime==CurrentTime && Permission_Set.buffer/PermissionData.Plegal then

k） re-authenticate（userx to DLPorderx）;

//通過重認證核實委任雙方之間斷開授權鏈接

l） if（userx can’t access to DLPOrderx） then

m） return ture;

n） else return false;

3 安全與實驗分析

針對跨域權限委托機制的安全性，本章從簡單安全問題和簡單可用性問題兩個方面進行分析，證明了該模型方案的安全性。簡單安全問題的思想是確認是否存在一種情況，在某種狀態下，未授權的用戶可以訪問特定的資源。如果不存在這種情況，則說明該方案是安全的，沒有權限泄露的問題；如果存在這種情況，則意味著系統不安全。簡單可用性問題的思想是確認授權用戶是否可以在可達狀態下對指定資源進行訪問。如果授權用戶可以在可達狀態下訪問指定資源，則說明方案是可用的，能夠確保正確的權限授予；否則，方案是不可用的。

為了更好地分析跨域權限委托機制的安全性，本文采用了狀態機模型來進行分析［23］。狀態機模型是一個抽象的數學模型，用于研究系統中的各個狀態和過程，并通過描述系統中的規則來證明其安全性。根據狀態機模型的定義，可以分為狀態變量和狀態轉移規則，其中狀態變量表示系統的當前狀態，而狀態轉移規則描述了每個狀態之間的變化過程。其中安全模型各實體間的關系如表3所示，通過關系集合可以將各個實體集合連接，實現實體中元素之間的操作。

建立的安全模型使用狀態機來證明其安全性，具體理論如下：a）首先證明方案中每個狀態之間的狀態轉移規則都是合理可行的；b）接下來證明方案的初始狀態是安全的。當步驟a）和b）得證時，就可以證明整個方案無論處于哪個狀態，均是合理可行的。

通過以上分析和證明，可以確?？缬驒嘞尬袡C制在安全性方面是可靠的，能夠有效防止未授權用戶訪問資源，并確保授權用戶在可達狀態下正確訪問指定資源。

3.1 狀態機模型的定義

定義3 基于跨域權限委托機制的狀態機系統（state machine system，SMS）被定義為一個四元組SMS=（StateSet，ss0，Inp，Π）。其中：StateSet是狀態機模型的有限集合；ss0是模型的初始狀態，ss0∈StateSet;Inp是輸入事件集合；Π：ss×inp→ss′（ss&ss′∈StateSet，inp∈Inp）為系統狀態轉移規則，表示在一個輸入事件驅動下方案從一個狀態ss過渡到另一個狀態ss′。StateSet和Inp包含的集合如表4所示，SMS包含的狀態傳遞規則如表5所示。

定義4 安全狀態不定式。如果SMS在狀態ss下是安全的，將其標記為safe（ss），access（u）→o代表某個用戶u能夠訪問客體o，當且僅當ss滿足

（u，o）（（u，o）ss∧p）→access（u）=o（1）

式（1）表示了簡單安全問題：不存在任何一個非授權用戶能訪問數據。（u，o）（（u，o）∈ss∧p（u）∈P）→access（u）=o（2）

式（2）表示了簡單可用性問題：對任意授權用戶都可以根據指定權限訪問相應數據。

定義5 狀態轉移規則的安全性。當且僅當任何狀態的狀態轉移規則π∈Π滿足式（3）時，表明狀態轉移規則轉換之間是安全的。

（π）（inp）（ss）（π∈Π∧inp∈Inp∧ss∈

StateSet∧Π：ss×inp→ss′∧safe （ss））→（safe（ss′））（3）

定義6 系統安全表達。SMS是安全的，當且僅當SMS在初始狀態ss0中是安全的，并且任何狀態轉移規則π是保持合理可行的。

3.2 模型安全性證明

定理1 狀態轉移規則Π是安全保持、合理可行的。

證明 a）分別展開定義4中的表達式，對于基于區塊鏈的跨域權限委托機制，有以下三種情況用戶u將不被授權：

（a）用戶u沒有認證成功，即uU。

（b）用戶屬性匹配失敗，即（A，att（u.s，u.e，u.t，u.l））UA。

（c）客體權限匹配失敗，即（a，p（o.s，o.e，o.t，o.l））OP。

對式（1）進行展開：

（u，o）（（u，o）∈ss∧

（（uU）∨（A，att（u.s，u.e，u.t，u.l））OP））→access（u）（4）

同樣地，對于用戶u能獲得授權的也是三種情形，將式（2）進行展開：

（u，o）（（u，o）∈ss∧（（uU）∨（A，att（u.s，u.e，u.t，u.l））∈

UA∧（a，p（o.s，o.emo.t，o.l））∈OP））→access（u）=o（5）

b）假設SMS的當前狀態是ss，且ss狀態是安全的，根據定義4，當SMS的狀態在輸入一個事件后可以安全地到另一個狀態，則說明這個狀態轉移規則是合理可行的。

由π0可知是對設定的用戶集進行增添用戶操作，即U′=U∪（u）。任選一個uU，可得

uUU′=U∪（u）u∈U′∧U∈U′

（u，o）（（u，o）∈ss′∧（（u∈U′）））→access（u）=o（6）

根據式（4），當uU與屬性匹配和客體權限匹配無關時，π0滿足式（4），對于用戶u是設立好的用戶的情況，顯然在π0狀態轉移規則中不受影響，所以可以看出π0狀態是安全的。針對π1和π2狀態轉移規則亦是對用戶集進行相應修改刪除狀態轉換，顯然可以證明π1和π2狀態是安全的。

由π3可知是對建立的用戶分配屬性操作，即UA′=UA∪{（u，att）}。任選一對（u，att）UA，可得

（u，att）∈UAu∈U∧att∈AUA′=UA＼{（u，att）}（u，att（u.s，u.e，u.t，u.l））UA

u∈U∧u.attA（u，att（u.s，u.e，u.l））UA

（u，0）（（u，0）∈ss′∧（（u，att（u.s，u.e，u.t，u.l）′）∈UA））→access（u）=o（7）

根據式（4），當（u，att）UA與合法用戶接入以及客體權限匹配無關時，π3滿足式（4），對于（u，att）∈UA情形，在π3狀態轉移規則中不受影響，可以得出π3狀態是安全的。

由π4可知是對已有的用戶移除屬性操作，即UA′=UA＼{（u，att）}。任選一對（u，att）∈UA，可得

（u，att）UAu∈U∧attA

UA′=UA∪{（u，att）}（u，att（u.s，u.e，u.t，u.l））∈UA

u∈U∧u.att∈A（A，att（u.s，u.e，u.l））∈UA

（u，o）（（u，o）∈ss′∧（（A，att（u.s，u.e，u.t，u.l）′）∈UA））→

access（u）=o（8）

根據式（3），（u，att（u.s，u.e，u.t，u.l）UA）和（u，att）∈UA有關，移除無關項（uU）和（a，p（o.s，o.e，o.t，o.l））∈OP，π4滿足式（3），對于（u，att）UA情形，在π4狀態轉移規則中不受影響，可以得出π4狀態是安全的。

由π5可知是對客體分配權限操作，即OP′=OP∪{（o，p）}。任選一對（a，p）OP，可得

（a，p）OPaA∧pP

OP′=OP∪{（a，p）}A′=A∪a∧P′=P∪p

p′∈P∧d∈A（d，p（o.s，o.e，o.t，o.l））∈OP

（u，o）（（u，o）∈ss′∧（（d，p（o.s，o.e，o.t，o.l）′）∈OP））→

access（u）=o（9）

根據式（4），當（a，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）OP有關，且與合法用戶接入以及客體權限分配結果無關時，移除無關項，π5滿足式（4），對于（a，p）∈OP情形，在π5狀態轉移規則中不受影響，可以得出π5狀態是安全的。

由π6可知是對客體權限收回操作，即OP′=OP＼{（o，p）}。任選一對（a，p）∈OP，可得

（a，p）∈OPa∈A∧p∈P

OP′=OP＼{（o，p）} A′=A＼a∨P′=P＼p

p′P∨a′A（a′，p（o.s，o.e，o.t，o.l）′）OP

（u，o）（（u，o）∈ss′∧（（a′，p（o.s，o.e，o.t，o.l）′）OP））→

access（u）=o（10）

根據式（3），只有（a′，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）∈OP有關，移除無關項（u∈U）和（A，att（u.s，u.e，u.t，u.l））UA，π6滿足式（3），對于（a，p）OP情形，在π6狀態轉移規則中不受影響，可以得出π6狀態是安全的。

綜上所述，狀態轉移規則π0～π6都是合理可行的，這表明該模型能夠安全可信地處理用戶的訪問請求，可以看出跨域權限委托系統可以為用戶和客體提供一個安全和可信的操作環境，同時根據π0是保持安全的，能夠證明SMS的初始狀態ss0也是安全的。

定理2 BCPDM模型方案是安全可行的。

證明 根據定義5和定理1，可知SMS的狀態轉移規則Π是合理可行的且初始狀態ss0也是安全的，因此根據上述分析可知，基于區塊鏈的跨域訪問委托模型方案是安全可行的。

3.3 實驗環境設置

本文實驗的操作運行選擇在英特爾11th Gen Intel CoreTM i7-11800H@ 2.30 Hz八核處理器、16 GB內存和64位Windows 10操作系統的PC機上進行，使用Jet-Brains PyCharm 2019.1.1 x64作為集成開發環境，基于Hyperledger Fabric區塊鏈平臺實現域間訪問控制機制，進行性能測試。

在Hyperledger Fabric中，共識機制的選擇是靈活的，允許參與者根據業務需求選擇合適的共識算法。本文針對汽車產業鏈多域環境下的網絡規模、性能要求、安全性需求，選擇了Kafka共識算法，使用分布式日志來實現共識過程，通過將交易發送到Kafka通道，對多位訂閱者進行排序和復制，確保了數據的一致性和可靠性，防止竄改和錯誤的發生，這種機制實現了高吞吐量和容錯性，能夠滿足汽車產業鏈的需求。

3.4 實驗及分析

本文使用以下指標評估實驗中的模型算法性能：

a）判決時間（judgment elapsed time）。訪問主體的源節點生成并成功投遞到客體目標節點，訪問客體處理不同數量級訪問請求所需的耗時。

b）授權總耗時（total authorization time）。被委托方的源節點生成并成功投遞到委托方目標節點，委托方的目標節點處理完不同規模屬性集并完成權限授予的總耗時。

本文共設定了兩組實驗。為了防止原始請求數據之間的差異會對結果產生影響，本文對數據進行了歸一化處理。第一組實驗旨在檢測訪問請求處理算法的有效性，驗證不同類型的訪問請求對訪問策略（混合型數據集）的及時處理能力，通過比較本文模型與FFADC［6］、BCAI［9］以及UNFTO［22］模型在混合型數據上的處理性能，分析四者之間的差異。第二組實驗旨在評估BCPDM在授權耗時處理性能方面的表現。通過設置不同規模的屬性集，驗證在高復雜度數據請求下，BCPDM是否能夠成功授權。為了驗證BCPDM的高效可用性，本輪實驗進行了多次，實驗結果如圖6、7所示。根據本輪實驗結果顯示，BCPDM在復雜的多域訪問請求環境下表現出了較好的高效處理訪問請求的能力。

選擇多個具有代表性的模型，并從是否使用區塊鏈技術、支持動態訪問、細粒度化、支持多平臺、授權靈活性、管理難度和數據安全性七個維度進行比較。具體的對比細節如表6所示。通過比較可以看出，本文模型在汽車產業鏈這種復雜環境中具有明顯的優勢，能夠很好地保證用戶的安全訪問和各平臺之間的數據信息交互，并支持汽車產業鏈基本的跨域授權功能。

4 結束語

本文提出了一種基于區塊鏈的跨域權限委托模型（BCPDM），旨在解決復雜的汽車產業鏈多平臺網絡環境下無法靈活高效、動態實施訪問控制的問題。該模型保留了傳統屬性基礎訪問控制（ABAC）的動態特性，并引入了權限委托機制，實現了域間授權的訪問控制。此外，針對多平臺之間的特殊情景，還引入了權限收回機制，實現了更主動和細粒度的權限授予過程，并確保了一個可信可靠的多域訪問環境。BCPDM設計了六個智能合約算法來實現核心功能，實現了一個去中心化、透明的訪問控制過程。

為了防止惡意節點對智能合約進行攻擊，本文在合約算法設計上對合約的權限進行了精準限制。設計的智能合約只擁有必要的權限，并且只允許其對特定的資源進行訪問，從而避免了合約被濫用的風險。對于跨域節點的惡意行為，本文模型采用去中心化的結構。在確保節點身份的真實性和合法性的前提下，任何一個惡意節點都不能對整個網絡產生破壞性影響。此外，本文模型還驗證了跨域節點身份的真實性和合法性，防止未經授權的節點加入網絡，進一步增強了安全性。對于鏈下數據，本文模型采用MySQL數據庫來進行存儲。對于敏感的鏈下數據，進行了加密處理，只有授權用戶特有的安全標識（sid）才能夠解密和訪問數據。這種加密處理能夠有效防止未授權訪問和竊取敏感信息，保護了數據的安全完整性。

通過簡單的安全性問題、簡單的可用性問題以及鏈上數據安全等方面的驗證，證明了本文模型的安全可用性。最后，與其他經典訪問控制模型進行多維度比較，結果表明本文模型在復雜的汽車產業鏈場景中具有廣泛的應用空間。

未來的工作可以將提出的方案擴展到更多的訪問控制場景，例如基于博弈論的獎懲訪問控制場景等。這將進一步提升模型的適用性和靈活性，使其適用于更廣泛的應用場景。

參考文獻：

［1］李斌勇， 孫林夫， 王淑營， 等. 面向汽車產業鏈的云服務平臺信息支撐體系［J］. 計算機集成制造系統， 2015， 21（10）： 2787-2797. （Li Binyong， Sun Linfu， Wang Shuying， et al. Information support system of cloud services platform for automobile industrial chain［J］. Computer Integrated Manufacturing Systems， 2015， 21（10）： 2787-2797.）

［2］張春賀. 新能源汽車產業鏈上市公司財務競爭力評價研究［D］. 北京： 北京化工大學， 2023. （Zhang Chunhe. Research on the evaluation of the financial competitiveness of listed companies in the new energy vehicle industry chain［D］. Beijing： Beijing University of Chemical Technology， 2023.）

［3］Yuan E， Tong J. Attributed based access control（ABAC） for Web services［C］//Proc of IEEE International Conference on Web Ser-vices. Piscataway， NJ： IEEE Press， 2005： 569-577.

［4］諸曄. 用ACL實現系統的安全訪問控制［J］. 計算機應用與軟件， 2005， 22（3）： 111-114. （Zhu Ye. Using ACL to realize the system’s safe access control［J］. Computer Applications and Software， 2005， 22（3）： 111-114.）

［5］Aftab M U， Habib M A， Mehmood N， et al. Attributed role based access control model［C］//Proc of Information Assurance and Cyber Security. Piscataway， NJ： IEEE Press， 2015： 83-89.

［6］Mehraj S， Banday M T. A flexible fine grained dynamic access control approach for cloud computing［J］. Cluster Computing， 2021， 24（4）： 1413-1434.

［7］Nakamoto S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. （2009-03）. https：//bitcoin.org/en/bitcoin-paper.

［8］韋可欣， 李雷孝， 高昊昱， 等. 區塊鏈訪問控制技術在車聯網中的應用研究綜述與展望［J］. 計算機工程與應用， 2023， 59（24）： 26-45. （Wei Kexin， Li Leixiao， Gao Haoyu， et al. Review and prospect of blockchain access control technology in Internet of Vehicles［J］. Computer Engineering and Applications， 2023， 59（24）： 26-45.）

［9］Maesa D D F， Mori P， Ricci L. Blockchain based access control［M］//Chen L Y， Reiser H P. Distributed Applications and Intero-perable Systems. Cham： Springer， 2017： 206-220.

［10］甘臣權， 楊宏鵬， 祝清意， 等. 基于訪問控制的可驗證醫療區塊鏈數據搜索機制［J］. 重慶郵電大學學報： 自然科學版， 2023， 35（5）： 873-887. （Gan Chenquan， Yang Hongpeng， Zhu Qingyi， et al. A verifiable medical blockchain data search mechanism with access control［J］. Journal of Chongqing University of Posts and Telecommunications： Natural Science Edition， 2023， 35（5）： 873-887.）

［11］曹萌， 余孫婕， 曾輝， 等. 基于區塊鏈的醫療數據分級訪問控制與共享系統［J］. 計算機應用， 2023， 43（5）： 1518-1526. （Cao Meng， Yu Sunjie， Zeng Hui， et al. Hierarchical access control and sharing system of medical data based on blockchain［J］. Journal of Computer Applications， 2023， 43（5）： 1518-1526.）

［12］包俊， 張新有， 馮力， 等. 一種基于區塊鏈的車聯網安全認證協議［J］. 計算機應用研究， 2023，40（10）： 2908-2915， 2921. （Bao Jun， Zhang Xinyou， Feng Li， et al. Security authentication protocol for Internet of Vehicles based on blockchain［J］. Application Research of Computers， 2023， 40（10）： 2908-2915，2921.）

［13］王利朋， 關志， 李青山， 等. 區塊鏈數據安全服務綜述［J］. 軟件學報， 2023，34（1）： 1-32. （Wang Lipeng， Guan Zhi， Li Qingshan， et al. Survey on blockchain-based security services［J］. Journal of Software， 2023， 34（1）： 1-32.）

［14］張利華， 張贛哲， 曹宇， 等. 基于區塊鏈的智能家居認證與訪問控制方案［J］. 計算機應用研究， 2022， 39（3）： 863-867，873. （Zhang Lihua， Zhang Ganzhe， Cao Yu， et al. Authentication and access control scheme for smart home based on blockchain［J］. Application Research of Computers， 2022， 39（3）： 863-867，873.）

［15］葉進， 龐承杰， 李曉歡， 等. 基于區塊鏈的供應鏈數據分級訪問控制機制［J］. 電子科技大學學報， 2022， 51（3）： 408-415. （Ye Jin， Pang Chengjie， Li Xiaohuan， et al. Blockchain-based supply chain data hierarchical access control mechanism［J］. Journal of University of Electronic Science and Technology of China， 2022， 51（3）： 408-415.）

［16］張建標， 張兆乾， 徐萬山， 等. 一種基于區塊鏈的域間訪問控制模型［J］. 軟件學報， 2021， 32（5）： 1547-1564. （Zhang Jianbiao， Zhang Zhaoqian， Xu Wanshan， et al. Inter-domain access control model based on blockchain［J］. Journal of Software， 2021， 32（5）： 1547-1564.）

［17］Ali G， Ahmad N， Cao Y， et al. BCON： blockchain based access control across multiple conflict of interest domains［J］. Journal of Network and Computer Applications， 2019， 147： 102440.

［18］Ali G， Ahmad N， Cao Yue， et al. Blockchain based permission delegation and access control in Internet of Things［J］. Computers & Security， 2019， 86： 318-314.

［19］周致成， 李立新， 李作輝. 基于區塊鏈技術的高效跨域認證方案［J］. 計算機應用， 2018， 38（2）： 316-320，326. （Zhou Zhicheng， Li Lixin， Li Zuohui. Efficient cross-domain authentication scheme based on blockchain technology［J］. Journal of Computer Applications， 2018， 38（2）： 316-320，326.）

［20］趙雪巖. 基于汽車生產管控系統的授權委托模型的研究與應用［D］. 吉林： 吉林大學， 2017. （Zhao Xueyan. Research and application of authorization delegation model based on automobile production management and control system［D］. Jilin： Jilin University， 2017.）

［21］王秀利， 江曉舟， 李洋. 應用區塊鏈的數據訪問控制與共享模型［J］. 軟件學報， 2019， 30（6）： 1661-1669. （Wang Xiuli， Jiang Xiaozhou， Li Yang. Model for data access control and sharing based on blockchain［J］. Journal of Software， 2019， 30（6）： 1661-1669.）

［22］史錦山. 物聯網多域合作下基于區塊鏈的訪問控制技術研究 ［D］. 呼和浩特： 內蒙古大學， 2022. （Shi Jinshan. Blockchain-based access control technology for IoT multi-domain cooperation［D］. Hohhot： Inner Mongolia University， 2022.）

［23］熊厚仁， 陳性元， 杜學繪， 等. 基于角色的訪問控制模型安全性分析研究綜述［J］. 計算機應用研究， 2015， 32（11）： 3201-3208. （Xiong Houren， Chen Xingyuan， Du Xuehui， et al. Survey of security analysis for role-based access control［J］. Application Research of Computers， 2015， 32（11）： 3201-3208.）