吴晓晖 黄昌军 吴梦蝶 陈石

摘 要：传统的访问控制技术是通过管理策略和权限，设置了用户对信息数据的访问能力及范围，从而保证信息资源不被恶意非法地使用和访问。目前信息环境中访问控制技术被广泛使用，但仍存在一些需要第三方认证、低效率等问题。区块链技术作为一种新技术，可以有效地解决传统访问控制技术存在的问题。本文介绍了访问控制技术的研究现状和问题，结合区块链技术的发展，简述了区块链技术的特性以及当前区块链技术在访问控制的应用，最后指出未来区块链技术在访问控制应用中的可以改进的地方及其发展方向。

关键词：访问控制;区块链;第三方认证

随着信息技术的发展，数据量越来越庞大，已进入了大数据时代。为了有效地保护数据的安全，访问控制技术是首当其冲的手段。但传统的访问控制技术存在一定缺点，它需要引入第三方认证，效率低下。最初网络环境不成熟，数据的流动性低，因此传统的访问控制能够满足当时的数据管理。目前分布式网络环境，信息数据量大、流动性强，对数据的管理和保护提出了更高的要求。

区块链是近几年最为火热的技术。区块链技术因其特点使它具有去中心化，不需第三方机构以及信息不可篡改，隐私保护能力强等优点，使区块链技术可以在众多领域应用，例如物联网、政府、医院等。故区块链可以解决传统访问控制的缺点。因此本文介绍了访问控制技术，区块链技术以及基于区块链技术在访问控制的研究进展和未来的发展。

1 访问控制简介

目前对信息、数据等资源进行保护的重要手段之一是访问控制技术[1]。访问控制主要是通过对访问用户的权限进行分配和管理来管理用户可进行的操作行为。传统访问控制目的是保证信息资源不被恶意非法地使用和访问。它主要包括主体、客体（资源）、权限三部分，其中主体可以是用户或程序，客体（资源）是信息系统中的数据等，权限是主体（用户）对客体（资源）的操作行为。

20世纪70年代访问控制被提出后得到广泛关注和发展，在传统的访问控制技术发展上被广泛使用的访问控制策略有三种：一是自主访问控制，其主体具有自主性，主体可以决定是否将客体访问权限权限授权给其他主体。因此自主访问控制方式权限的可传递性和安全性较差。二是强制访问控制，它主要注重保护系统的机密性，它所有的权限集中管理，不存在授权给其他主体的问题。但是权限集中管理实现复杂，管理难度大。三是基于角色的访问控制，它引入角色，将权限与角色相关联，通过赋予用户角色来管理用户的权限。在此基础上访问控制进行了大量的改进和发展，并提出了一些新的模型，如：引入属性的基于属性的访问控制模型（ABAC）、基于行为的访问控制、基于任务的访问控制模型将任务作为授权依据、引入信用度的基于信用度的访问控制模型和基于角色和属性混合的访问控制等。这些模型都需要第三方中心机构，如果第三方机构出现问题，就会造成整个访问控制策略的不可靠，出现安全问题，甚至数据泄露。

2 区块链技术概述

2.1 区块链的简介

区块链没有明确的定义，但根据2016年白皮书区块链技术可描述为：区块链技术是众多技术融合的一种新技术，它的数据结构是一种按照时间顺序将数据块组合成的链式结构，并以密码学方式保护数据不可被篡改、不可伪造的分布式账本[2]。因区块链是链式结构，它分为区块头和区块体两部分，区块头主要有前一区块链的Hash值、时间戳和Merkle树等信息，区块体主要是交易信息。

2.2 区块链的特性及应用价值

区块链框架主要由数据层、网络层、共识层、智能合约层和应用层共五层构成。这五层每层分别包括不同的技术决定了区块链所有的特性。数据层主要进行数据的存储和管理，就是区块链的数据结构，包括哈希函数、时间戳、Merkles树、数字签名、非对称加密技术等，使其在数据保护方面具有不可篡改，可溯源性，完整性。网络层进行数据的传输及交易，包括P2P等技术，使区块链具有分布式特性。共识层包括共识机制、激励机制和发行机制等，保证分布式数据的一致性。智能合约层通过虚拟机等技术构造出适合用户进行交易、创建、存储数据等操作的智能合约框架，不需要第三方机构，实现去中心化。应用层让区块链可以和各种应用场景连接，提供了可编程的接口。

区块链的特性使它在众多的领域有良好的应用价值。第一，不可篡改，可溯源性;在金融的信用记录，教育医疗的信息记录等领域的应用。第二，分布式数据，去中心化;在访问控制中对数据的保护和管理，增加了效率，降低了流通成本。第三，区块链可以和云计算、大数据、物联网等技术紧密相结合，解决很多信息安全问题。

3 区块链在访问控制中的应用

目前已有一些区块链在访问控制中的研究成果。王栋等人[3]提出了基于区块链的访问控制模型，分析了基于区块链访问控制的优点：克服了传统的访问控制系统存在中心化系统的缺点，提高隐秘性，降低成本，增强效率。刘雪贞等人[4]将区块链与基于属性的访问控制模型结合，防止了客体资源被恶意访问的情况。

目前基于区块链技术的访问控制方面的研究主要是基于交易进行策略、权限的管理和基于智能合约的访问控制这两大方面。在基于策略、权限的管理方面，Damiano[5]利用区块链交易技术对ABAC模型进行扩展，通过交易来进行访问控制策略的管理，替代了传统的关系型数据库存储策略。Zyskind[6]提出了使用用户公钥和服务公钥共同对权限进行管理，实现了更细粒度的权限管理策略。FairAccess[7]将比特币中Wallet概念引入到访问控制策略中，实现了由用户驱动且更透明的访问控制策略。这三种策略在公有链上的性能比較见下表。

在基于智能合约的访问控制方面，最具代表性的是MedRec框架[8]的提出，该框架将智能合约与访问控制相结合，实现了权限的自动化管理。在医疗环境下可以对不同组织的分布式医疗数据进行整合和权限管理。在此模型基础上有提出了MSDN框架[9]，采用代理重加密的方法对医疗数据进行访问控制。这两种策略相比较，MSDN框架在计算开销方面更低。

4 结论

本文介绍一些区块链技术在访问控制中的应用，虽然区块链技术性能解决了传统访问控制需要第三方认证、低效率等缺点，在访问控制方面得到了很好的应用。但是也因区块链的一些特性存在安全性问题，例如：目前大数据和区块链的快速发展，会产生大量的数据，对访问控制策略更新以及权限的更新提出了很大的挑战，而区块链在交易记录上有具有不可撤销性，对访问控制策略的更新以及权限的更新带来影响，进一步加大了访问控制策略及权限的难度，如何解决这一问题值得研究;另外在区块链上所有的交易信息，策略以及权限信息是透明的，容易被非法分子恶意攻击，如何避免恶意攻击，需要研究有效的方法进行保护等。

参考文献：

[1]李昊，张敏，冯登国，等.大数据访问控制研究[J].计算机学报，2017（01）：72-91.

[2]华为区块链技术开发团队.《区块链技术及应用》[J].当代广西，2019（23）.

[3]王棟，张云龙，马斌.基于区块链的访问控制技术探索[J].价值工程，2020，039（014）：227-228.

[4]刘雪贞，孙从翔.基于区块链技术的安全访问控制机制[J].信息与电脑，2020，032（007）：191-193.

[5]Damiano Di Francesco Maesa，Paolo Mori，Laura Ricci.Blockchain Based Access Control[J].2017.

[6]Zyskind G，Zekrifa D M S，Alex P，et al.Decentralizing Privacy：Using Blockchain to Protect Personal Data[C].IEEE Security & Privacy Workshops.IEEE，2015.

[7]Aafaf Ouaddah，Anas Abou Elkalam，Abdellah Ait Ouahman.FairAccess：a new Blockchain-based access control framework for the Internet of Things[J].Security and Communication Networks，2017.

[8]Azaria A，Ekblaw A，Vieira T，et al.[IEEE 2016 2nd International Conference on Open and Big Data（OBD）-Vienna，Austria（2016.8.22-2016.8.24）]2016 2nd International Conference on Open and Big Data（OBD）-MedRec：Using Blockchain for Medical Data Access and Permission Management[J].2016：25-30.

[9]Xue T F，Fu Q C，Wang C，et al.A Medical Data Sharing Model via Blockchain[J].Zidonghua Xuebao/Acta Automatica Sinica，2017，43（9）：1555-1562.