基于区块链的数据访问控制方法及应用研究

樊树伟

摘要区块链已广泛应用到政府、军事、金融等组织。为了维护系统的顺运作，区块链不仅具备去中心化，在一定程度上能够保护用户信息，具有安全性。

访问控制技术是一种限制用户对资源进行操作的方法。它的主要目的是限制主體对客体的访问权限，以此来保护数据和资源在规范下合理使用。访问控制技术通常用于设置服务器、文件等资源的访问权限，来限制用户的访问。本文将从区块链和访问控制技术的概念的角度出发，浅析基于区块链的数据访问控制方法及应用。

关键词：区块链 访问控制 用户信息 安全

1绪论

1.1研究目的及意义

随着计算机技术在不同行业中的不断深化、创新，区块链已广泛应用到政府、军事、金融等组织。其快速发展得到的各个领域的高度重视。通过对区块链下的数据访问控制技术进行研究，各类组织在管理相应的数据时能够保障用户信息的安全、不外泄，从而促进我国信息技术事业的发展。

1.2研究方法

本文使用文献资料法获取区块链技术和访问控制技术的理论研究结果。通过阅读相关内容书籍、查询互联网资料，系统地学习、研究在区块链影响下数据访问控制的方法及应用。

1.3研究内容

本文通过大量的查阅、探讨、剖析相关区块链技术和访问控制技术的文献，研究了以下几方面相关内容：（1）区块链的概念、特征及核心技术（2）访问控制技术的定义、功能及模式;（3）基于区块链的数据访问控制方法及应用

2区块链

2.1区块链的概念

“区块链”这个词汇最早出现在2008年。区块链并不是一种新的技术，而是一种多维交叉的应用模式。它是在分布数据存储、P2P传输、数据库、加密算法、时间戳等等多种成熟的IT技术基础上，相互融合而产生的技术。它是比特币中具备相当权重的观念。作为一种底层技术的去中心化数据库，区块链应用信息加密的方法使不同的数据块产生联系。而每一个数据块中包含的比特币网络交易信息，用于验证、防伪，和产生下一个区块。

2.2区块链的特征

区块链是一种多维交叉的信息技术。它是在分布数据存储、P2P传输、数据库、加密算法、时间戳等多种已成熟的技术基础上，相互组合而成，并非是一种新的技术。它能够实现系统在无工作人员的管理下而自动运行的目的。为了维护系统的顺畅运作，区块链不仅具备去中心化，在一定程度上能够保护用户信息，具有安全性。

（1）去中心化。

这个特点是相对于“中心化”，即节点选定中心而言在中心化中，节点和中心相互依赖和生存。而去中心化是将二者分开，各自独立。在传统的货币交易机制下，不论是我们的个人交易信息还是网页浏览信息，均由相应的数据库进行记录和存储，如银行存款掏宝购物、跨境消费等等。凡是涉及我们自身货币变化的信息都将被相应的机构进行保存。而这些机构也会在“信任”的基础上保证我们的交易信息安全。但是在区块链中是没有这样的中心机构的。他主要是通过分布式核算和存储，所有节点实现了信息的自我验证记录和管理。去中心化是区块链最基本的特征。

（2）保护个人隐私

相较于银行开户，区块链采取非对称密钥算法。这种算法在很大程度上能够保护用户的个人信息。在区块链系统中，用户的ID为字符密码，其产生的节点不需要进行实名验证。因此用户即便可以开设多个地址，其个人隐私信息也较难被确认。

（3）开放透明性

用户可以通过区块链的端口浏览数据和相关应用。除交易信息以外，所有人都可以在该系统下进行相应的查询。因此，区块链具备开放透明性。

（4）安全性。

区块链间是由加密的数据相关联。如果发生人为的数据篡改，会导致前后数据同时发生错误。而且，用户极难获取全部数据节点的51%。因此，区块链相对而言具备一定的安全性。

2.3核心技术

（1）分布式账本

分布式账本是一种能够使用户间共享、拷贝和同步交易信息的数据库。分布式账本记载了用户之间资产或者数据的交易信息。由于交易时需要不同地方的节点共同进行操作，它具备一定的监督功能。

（2）非对称加密

从字面上来看，非对称加密算法是一种密钥加密方法。非对称加密算法一般为一对密钥，即公钥和私钥。用户所保存在区块链上的交易信息具有透明性，但是其账户隐私信息是加密不可见的。只有拥有私钥的用户才能够进行访问。

（3）共识机制

共识机制是区块链的关键。它能够维护区块链系统的正常运行，对同一时间内发生交易行为进行排序。目前常见的共识机制有：工作量证明机制、权益证明机制、拜占庭共识算法。

（3）智能合约

智能合约是一种计算机协议。它能够对用户信息进行验证和操作。智能合约可以去中心化的条件进行资产的交换，且数据可追溯但不可篡改。相对于传统合约，智能合约更为安全，能够更有效的降低交易成本。

3访问控制技术

3.1定义

所谓访问控制技术，是一种限制用户对资源进行操作的方法。它的主要目的是限制主体对客体的访问权限，以此来保护数据和资源在规范下合理使用。访问控制技术通常用于设置服务器、文件等资源的访问权限，来限制用户的访问。访问控制能够确保数据和资源不外泄、不损失以及重复利用，极大程度上保证了系统的安全。

3.2功能

访问控制技术的功能意在保护网络资源，防止非法的主体获取网络资源信息。在用户进行访问前，访问控制技术会对该用户身份进行验证和管理。当用户身份和访问权限通过验证后，还会对其操作行为进行监管。

3.3访问技术的模式

访问控制技术通常而言主要有自主访问控制、强制访问控制和基于角色访问控制这三种模式。

（1）自主访问控制

自我访问控制是一种客体自我管理的、自主的控制方法。简单而言就是用户可以根据自己的偏好，有选择的与其他用户共享拥有的资源。自我访问控制具备一定的灵活便捷性，可以根据不同的系统环境，提供数据访问的方法。就目前来说，它是应用频率最高的访问控制策略。但是，他的安全系数较低，很可能被非法用户获取访问资源的权限，从而导致权限外露。

（2）强制访问控制

强制访问控制是一种由系统限制主体访问权限的方法。在实践过程中，系统管理员对访问权限进行集中管理，根据用户的安全等级给予其相应的访问权限，且用户自身不能进行更改。除此之外，强制访问控制禁止经过进程生成共享文件。它对所有的用户和资源强制进行安全控制。强制访问控制通常应用于专用或者简单的系统，对通用或大型系统效果不佳。

（3）基于角色的访问控制模型

基于角色的访问控制模型，即RBAC模型。它是将访问权限分配给指定的角色，用户从不同的角色中获取访问权限。RBAC以主体为基础，按照职权和职责进行划分，将访问权限与角色相关联。这与以往的强制访问控制和自主访问控制有一定的差别;通过给予用户角色，使用户与访问权限产生关联。角色成为访问主体和受控对象间的纽带。

然而大多数企业并不愿意使用基于角色的访问控制方法。其原因在于，完成该矩阵的周期时间较长，且访问权限一旦发生变化势必会对工作效率带来影响。为了应对这个问题，企业可以通过人力资源系统对员工相关的数据信息进行收集，并创建不同级别的访问角色，使数据能够共享。在数据共享的基础上，逐步标准化，确保平每个角色具备访问权限。基于角色的访问控制应用与人力资源系统结合使用，可以帮助企业实现信息自动更新，保障访问权限的正确性。

4基于区块链的数据访问控制方法及应用

4.1强制访问控制

4.1.1模型的设计

如果企业文件资源都保存在服务器中，且服务器具有开放性。员工和其他用户可以访问普通文件。而对于企业内部较为机密的文件，系统管理员会严格进行访问限制。由此可见，企业可以将员工和其他用户进行等级划分，即负责人、员工和其他用户;文件的等级界定为机密、秘密和常规。其他用户仅有访问普通等级文件的权限，员工可以访问常规和机密的文件，负责人可以访问机密文件，具体如表3—1所示。

此访问控制方法属于强制访问控制模式。该方法严格限定了访问的条件。只有在用户具备对应的等级，才能拥有访问相关文件的权限。由于该模式下的访问者权限按照一定的条件严格进行划分且具备相对的固定性，可以将不同用户的访问权限和相对应的文件等信息存入在区块链中，加载至每个节点上。通过区块链的永久记录、不可篡改和透明性，保证系统被访问时能够安全运行。

4.1.2模型的实现

将既定的用户信息和文件的等级、访问权限以及规则写入智能合约中，并加载至每个节点上。PC端经过调整使用智能合约对用户等级进行划分并将信息记载到区块链中;PC端经过调整使用智能合约对相对应的加密文件进行创建，并将信息记载到区块链中;在用户访问不同等级的加密文件时，需要通过调整使用智能合约查询自己的访问权限，从而满足预定义的访问规则。在这种模式下，区块链中的用户和文件的访问权限和条件将不能直接进行改变。

4.2基于区块链技术的角色访问控制模型

4.2.1模型的设计

如果企业一家生产制造公司，那么它势必会具备研发、设计、生产和销售部门。一般而言，在企业各部门组织架构中均设有总监、经理和普通员工这三个级别的职位。因此，每个部门的文件管理也分为三个级别，即机密、秘密和常规。具体用户访问权限如表3—2所示

由此可见，员工可以访问所在部门的常规文件;经理和总监可以访问相对应级别及以下的秘密和常规文件。而员工若想访问所在部门或者其他部门的秘密文件需要与本部门上级领导和其他部门领导申请并经过其批准方可进行操作。如果员工想要查看本部门的机密文件需要经过本部门的上级领导和总监的批准。

这种访问控制方法属于基于角色访问控制模型。角色和访问权限按照严格的规定进行划分，使这种模式具有一定的固定性，能够把总监、经理、员工等用户的角色、访问权限、访问规则等信息保存至区块链中，加载到每个节点上。通过区块链的永久记录、不可篡改和透明性，保证系统被访问时能够安全运行。

4.2.2模型的实现

将既定的角色、访问权限条件以及规则录入到智能合约中，加载至节点上。PC端经过调整使用通智能合约完成角色的划分，并把角色信息录入到区块链中;PC端经过调整使用智能合约对相对应加密文件进行创建，并将信息录入到区块链中;角色需要访问不同级别的加密文件时，经过调整使用智能合约对自己的访问权限进行查询。如果访问的文件超出等级访问权限范围，需要向上级进行申请并在批准方可进行下一步操作。

5结论

本文对区块链下的数据访问技术方法及应用进行了浅析。区块链并不是一种新的技术，而是一种多维交叉的应用模式。它是在分布数据存储、P2P传输、数据库、加密算法、时间戳等等多种成熟的IT技术基础上，相互融合而产生的技术。为了维护系统的顺畅运作，区块链不仅具备去中心化，在一定程度上能够保护用户信息，具有安全性。访问控制技术，是一种限制用户对资源进行操作的方法。它的主要目的是限制主体对客体的访问权限，以此来保护数据和资源在规范下合理使用。而區块链技术和访问技术的相互结合还需要经过不断的实践进行验证。

参考文献

[1]董贵山，陈宇翔，范佳，郝尧，李枫.区块链应用中的隐私保护策略研究[J].计算机科学，2019，46（05）：29-35.

[2]焦英楠，陈英华.基于区块链技术的物联网安全研究[J].软件，2018，39（02）：88-92.

[3]纪蒙.试论区块链技术及其在信息安全领域的研究进展[J].计算机产品与流通，2018（02）：130.

[4]梅颖.基于区块链的物联网访问控制简化模型构建[J].中国传媒大学学报（自然科学版），2017，24（05）：7-12.