1562                                     Journal of Software  软件学报 Vol.32, No.5,  May 2021

                             Table 4    Comparative analysis between the model and existing research programs
                                             表 4   本模型和已有研究方案对比分析
                       模型     基于区块链  基于 ABAC  细粒度性          安全性         便于访问          自主授权     判决透明
                                                                      对不同的资源域
                    BD-ABAC [33]    否      是       具备    访问控制机制        需要发送不同         不具备       不具备
                                                                      请求,不便于访问
                                                         访问控制机制
                                                                         同上,
                     MDSM [28]    是        否      不具备     非对称加密        不便于访问          不具备       不具备
                                                           锚定公链
                    BBAC-BD  [11]    是     是       具备    访问控制机制          同上,          自主制定       具备
                                                            区块链        不便于访问           策略
                                                         访问控制机制     链上资源域统一访问       自主制定策略
                      本模型        是         是       具备       区块链      控制标准,无需发送        自主授予       具备
                                                          非对称加密      不同请求,便于访问        资源 url

                    结合表 4 可以看出,本文所述模型在多域环境下具有以下几个方面的优势.
                    (1)  细粒度性:细粒度的 ABAC 访问控制可以针对动态数据进行及时的管控,同时,本文提出了建立标准
                        化的属性对访问控制策略进行描述,属性统一和策略定制相结合,既可以准确描述各域访问控制策
                        略,又便于用户访问,易于系统管理.
                    (2)  安全性:本文模型通过改进 ABAC 访问控制模型实施访问控制;各域自行维护的区块链令数据更可
                        信,区块链数据动态不断增长,攻击难度不断加大,有效防止恶意节点攻击、篡改;若请求域不希望公开
                        具体访问信息,可采用非对称加密技术对隐私信息进行加密处理,从而保障隐私安全.
                    (3)  便于用户访问:若需要请求多个安全域资源,请求域只需根据需求发出一条原始请求即可.若对具体
                        请求不作加密处理,则 PEP 封装成一个请求事务发出;若请求域不公开具体请求,根据标准的属性信
                        息,同样只需要构造一条原始请求即可,然后 PEP 使用多个资源拥有域的公钥分别加密后,封装成多个
                        请求事务发出,无需根据不同安全域的访问控制策略发出不同的原始请求.
                    (4)  自主授权:访问控制策略由安全域根据自身需求制定并维护;资源拥有域根据智能合约的自动化授权
                        结果,自主决定是否授予访问资源 url,令资源拥有域具有更强的自主性.
                    (5)  判决透明:属性信息由区块链存储,保证属性的真实可信;策略信息包括策略执行过程和结果也存储
                        在区块链中,保障信息真实可信的同时,有效防止中心化判定存在的判定不透明或越权行为的发生.
                 6    结束语

                    将区块链应用于访问控制,是当前区块链研究的一大趋势.本文模型将区块链和 ABAC 相结合,基于
                 Hyperledger Fabric 实现域间访问控制.一方面,充分发挥了区块链“共享”的特点;另一方面,通过细粒度的访问控
                 制,对各域资源进行有效的控制管理.本文的核心思想是:使用区块链作为访问控制策略的载体,利用区块链的
                 特点将“中心化”策略决策方式改为由智能合约自动化进行,策略执行过程和结果公开且可验证;区块链由各安
                 全域维护,进一步提高策略执行的可信性,同时,策略由各域根据自身需要制定,且对权限授予与否拥有最终决
                 定权,进一步提高资源拥有者的自主性,保障资源的访问权由资源拥有者决定;本文所述访问控制模型基于
                 ABAC 模型,并提出了对属性信息和访问控制策略标准化的概念,在更加准确地描述策略的同时,增加对整个动
                 态系统管理的灵活性;使用非对称密钥对隐私信息进行加密处理,有效地保障各安全域的隐私安全.本文所述模
                 型在新型计算环境下能有效地保障域间访问和数据的共享安全,同时增强了用户的自主性,提高了系统的灵活
                 性、扩展性和可管理性.因此,本模型具有广泛的应用价值.


                 References:
                 [1]    Feng DG, Zhang M, Li H. Big  data security and  privacy  protection. Chinese  Journal  of Computers,  2014,37(1):246−258 (in
                     Chinese with English abstract). [doi: 10.3724/SP.J.1016.2014.00246]