基于数字身份及其信誉度的区块链访问控制研究.pdfVIP

摘要

随着互联网技术的蓬勃发展，信息安全问题已逐渐成为人们所关注的焦点，

而访问控制技术作为信息安全的保护手段之一，其重要性也不言而喻。传统的

访问控制存在着依赖中心化机构、决策过程不透明、数据缺乏隐私保护等问题，

因此各领域的学者开始将访问控制技术与其他新兴技术相结合，旨在完善访问

控制技术的不足。区块链作为新一代信息技术的产物，因其具备去中心化、不

可篡改、消息可审计等特性，使得访问控制和区块链技术的结合成为了可能。

因此，本文以传统ABAC（Attributed-BasedAccessControl）模型为基础，提出

一种基于数字身份及其信誉度的区块链访问控制模型。利用区块链技术的特性

对访问控制模型实现去中心化、决策透明等改进，通过密码学相关知识实现隐

私保护功能，从而解决传统访问控制模型中所存在的问题。最后通过仿真实验

表明，本文提出的区块链访问控制模型，在模型对比、隐私保护、共识效率上

比现有的访问控制研究有着更强的性能与功能。本文具体研究内容主要有以下

两点：

（1）提出一种基于数字身份及其信誉度的区块链访问控制模型。首先，利

用去中心化身份标识DID（DecentralizedIdentifiers）实现模型角色的数字身份

管理，利用DID实现用户的身份验证和权限自主管理。其次，构建数字身份信

誉度评估算法，利用模糊层次分析法将复杂的属性集指标量化，实现访问主体

的信誉度能力评估。然后基于传统的XACML（extensibleAccessControl

MarkupLanguage）框架思想，使用智能合约实现基于信誉度的访问控制策略的

执行、判决和管理流程，引入令牌token加快策略判决效率。另一方面，在模

型中利用零知识证明和同态加密算法，实现信誉度属性的隐私保护功能。在本

文设计的区块链访问控制模型中，对于访问控制策略的判决和执行过程，利用

零知识证明理论，将主体信誉度和策略信誉度阈值实现隐藏，使得访问策略的

判决过程不会出现任何有关的明文数据，从而对区块链访问控制模型中的属性

和策略实现隐私保护功能。最后通过实验和分析证明，该模型在效率、功能和

可用性上具备明显优势，并且设计的隐私保护方案具备数据隐私保护能力和零

知识性。

（2）针对数据量发展快、访问请求量大的需求背景，本文以企业联盟链为

应用场景对传统的PBFT（PracticalByzantineFaultTolerance）共识算法做出改

进，实现共识效率的提升，从而提高访问控制模型的效率。本文构建一套区块

链节点信誉度评估算法，以节点信誉度作为选举共识节点的基础，并采用聚类

的思想将满足信誉度阈值的节点进行分组，分组内使用可验证随机函数VRF

（VerifiableRandomFunction）来保障组内主节点的选举随机性，配合节点信誉

度奖惩机制提高节点的积极性和可用性。最后通过实验证明，本文所设计的

CG-PBFT（CredibilityGrouping—PBFT）共识算法解决了传统PBFT算法的弊

端，并实现了区块共识效率的提升。

关键词：访问控制；区块链；隐私保护；共识效率

Abstract

WiththeboomingdevelopmentofInternettechnology,theissueofinformation

securityhasgraduallybecomethefocusofpeoplesattention,andtheimportanceof

accesscontroltechnologyasoneoftheprotectionmeansofinformationsecurityis

self-evident.Thetraditionalaccesscontrolhasproblemssuchasrelyingon

centralizedinstitutions,non-transparentdecision-makingprocess,