基于區(qū)塊鏈的汽車(chē)產(chǎn)業(yè)鏈權(quán)限委托方法

摘 要：針對(duì)汽車(chē)產(chǎn)業(yè)鏈資源信息多源異構(gòu)、跨平臺(tái)交互建立困難的問(wèn)題，提出了一種基于區(qū)塊鏈的跨域權(quán)限委托方法（BCPDM）。該方法首先將區(qū)塊鏈技術(shù)與基于屬性的訪問(wèn)控制（ABAC）模型相結(jié)合，并建立權(quán)限過(guò)濾功能，以避免平臺(tái)間權(quán)限沖突；其次，引入權(quán)限收回機(jī)制，提高模型授權(quán)的靈活性，避免長(zhǎng)時(shí)間授權(quán)可能導(dǎo)致的信息泄露問(wèn)題，旨在以靈活、動(dòng)態(tài)、高效和可信的方式解決復(fù)雜汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境下的訪問(wèn)授權(quán)問(wèn)題。經(jīng)安全性分析與實(shí)驗(yàn)表明：所提方法在復(fù)雜汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境中能夠保證用戶(hù)的安全訪問(wèn)和各平臺(tái)之間的數(shù)據(jù)信息交互，并且計(jì)算開(kāi)銷(xiāo)低。該方法能夠滿(mǎn)足汽車(chē)產(chǎn)業(yè)鏈協(xié)同交互的實(shí)時(shí)要求，為解決復(fù)雜汽車(chē)產(chǎn)業(yè)鏈中的訪問(wèn)控制問(wèn)題提供了一種可行的解決方案。

關(guān)鍵詞：汽車(chē)產(chǎn)業(yè)鏈； 跨域訪問(wèn)； 區(qū)塊鏈； 權(quán)限委托

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2024）08-006-2284-08

doi：10.19734/j.issn.1001-3695.2023.12.0584

Blockchain-based permission delegation method for automotive industry chain

Deng Liangming1， Li Binyong1，2， Deng Xianhui1

（1.School of Cybersecurity（Xin Gu Industrial College）， Chengdu University of Information Technology， Chengdu 610225， China; 2.Advanced Cryptography & System Security Key Laboratory of Sichuan Province， Chengdu 610225， China）

Abstract：Aiming at the problems of multi-source heterogeneity of automotive industry chain resource information and the difficulty of establishing cross-platform interaction， this paper proposed a blockchain-based cross-domain permission delegation mode（BCPDM）. Firstly， it combined blockchain technology with attribute-based access control（ABAC） model， and established a permission filtering function to avoid inter-platform permission conflicts. Secondly， it introduced a permission retraction mechanism to improve the flexibility of the model authorization and avoid the problem of information leakage that might be caused by prolonged authorization， aiming to solve the access authorization problem under the multidomain environment of complex automotive industry chain in a flexible， dynamic， efficient and trustworthy way. The security analysis and experimental results show that the proposed method can ensure the safe access of users and data and information interaction between platforms in the multi-domain environment of complex automotive industry chain， and the computational overhead is low. The method can meet the real-time requirements of automobile industry chain cooperative interaction， and provides a feasible solution for solving the access control problem in complex automobile industry chain.

Key words：automotive industry chain; cross-domain access; blockchain; delegation of authority

0 引言

汽車(chē)產(chǎn)業(yè)鏈?zhǔn)侵负w汽車(chē)設(shè)計(jì)、研發(fā)、制造、銷(xiāo)售和售后服務(wù)等各個(gè)環(huán)節(jié)的產(chǎn)業(yè)體系。它由多個(gè)相關(guān)的產(chǎn)業(yè)和環(huán)節(jié)組成，包括原材料供應(yīng)平臺(tái)、零部件制造平臺(tái)、汽車(chē)制造平臺(tái)、銷(xiāo)售平臺(tái)、經(jīng)銷(xiāo)平臺(tái)、售后服務(wù)提供平臺(tái)等。這些環(huán)節(jié)共同合作，形成一個(gè)相互依存的產(chǎn)業(yè)生態(tài)系統(tǒng)，以滿(mǎn)足汽車(chē)市場(chǎng)的需求。這個(gè)龐大的產(chǎn)業(yè)鏈為汽車(chē)行業(yè)的發(fā)展和運(yùn)作提供了支撐，同時(shí)也促進(jìn)了相關(guān)產(chǎn)業(yè)的發(fā)展和經(jīng)濟(jì)的增長(zhǎng)［1，2］。

汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境是指在汽車(chē)產(chǎn)業(yè)鏈中存在多個(gè)相互獨(dú)立的域，每個(gè)域都代表著一個(gè)獨(dú)立的組織，擁有自己的管理策略、訪問(wèn)控制規(guī)則和資源。在這樣的環(huán)境中，不同部門(mén)或者業(yè)務(wù)單元可能運(yùn)行在不同的域中，每個(gè)域有自己的用戶(hù)賬號(hào)和訪問(wèn)權(quán)限控制。

汽車(chē)產(chǎn)業(yè)鏈上不同參與方之間需要進(jìn)行數(shù)據(jù)交換和協(xié)作，因此，汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境下平臺(tái)間的信任安全和平臺(tái)間數(shù)據(jù)權(quán)限交互安全問(wèn)題是汽車(chē)產(chǎn)業(yè)鏈發(fā)展的兩個(gè)障礙，為解決這些問(wèn)題，汽車(chē)產(chǎn)業(yè)鏈需要建立健全的訪問(wèn)策略和機(jī)制。研究表明，基于屬性的訪問(wèn)控制［3］是解決汽車(chē)產(chǎn)業(yè)鏈上平臺(tái)安全訪問(wèn)的一種優(yōu)秀策略。相對(duì)于傳統(tǒng)的訪問(wèn)控制機(jī)制，如訪問(wèn)控制列表（ACL）［4］、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC）［5］，ABAC具有以下優(yōu)勢(shì)：面向ACL的伸縮性和粒度有限，MAC存在動(dòng)態(tài)適應(yīng)性差的問(wèn)題，RBAC需要事先定義大量角色并將用戶(hù)綁定到某個(gè)角色進(jìn)行授權(quán)，可能導(dǎo)致角色爆炸等問(wèn)題，ABAC基于主體和客體的屬性進(jìn)行訪問(wèn)決策，通過(guò)預(yù)定義的合法用戶(hù)列表和屬性或?qū)傩约?］，以訪問(wèn)策略約束某個(gè)用戶(hù)在特定條件下對(duì)數(shù)據(jù)的操作，從而實(shí)現(xiàn)更細(xì)粒度的訪問(wèn)控制決策。然而，隨著計(jì)算機(jī)的不斷發(fā)展，ABAC也面臨著一些挑戰(zhàn)。隨著模型中屬性和屬性集的增長(zhǎng)，系統(tǒng)開(kāi)銷(xiāo)會(huì)增加，訪問(wèn)效率會(huì)降低。此外，大多數(shù)ABAC模型都依賴(lài)于集中式的授權(quán)實(shí)體進(jìn)行訪問(wèn)決策，存在單點(diǎn)故障的風(fēng)險(xiǎn)。區(qū)塊鏈作為一種可用且安全的體系結(jié)構(gòu)［7～12］，在與訪問(wèn)控制結(jié)合的場(chǎng)景下［13，14］具有良好的應(yīng)用前景，可以解決訪問(wèn)控制模型中的單點(diǎn)故障問(wèn)題。葉進(jìn)等人［15］針對(duì)供應(yīng)鏈引入數(shù)據(jù)分級(jí)的思想，可以實(shí)現(xiàn)更細(xì)粒度的訪問(wèn)控制策略，但隨著策略數(shù)量的不斷增多，訪問(wèn)控制機(jī)制在時(shí)間開(kāi)銷(xiāo)上的成本也會(huì)相應(yīng)擴(kuò)大，并出現(xiàn)策略管理困難的問(wèn)題。張建標(biāo)等人［16］提出了一種基于區(qū)塊鏈的跨域ABAC模型，利用統(tǒng)一的屬性標(biāo)準(zhǔn)來(lái)控制域之間的訪問(wèn)策略，并根據(jù)訪問(wèn)策略進(jìn)行授權(quán)。TACE［17］針對(duì)利益沖突域?qū)е碌男畔⑿孤秵?wèn)題提出了一種集成區(qū)塊鏈的轉(zhuǎn)移訪問(wèn)檢查和執(zhí)行以及可能的權(quán)限路徑檢測(cè)的算法，然而，該算法沒(méi)有進(jìn)行正式的建模和驗(yàn)證。BCAI［18］是一種應(yīng)用于物聯(lián)網(wǎng)的去中心化權(quán)限委托模型，實(shí)現(xiàn)了物聯(lián)網(wǎng)交互所需的權(quán)限轉(zhuǎn)移、分散用戶(hù)權(quán)力和協(xié)同工作的功能，從而實(shí)現(xiàn)對(duì)資源的安全細(xì)粒度訪問(wèn)，然而，該模型沒(méi)有解決跨域環(huán)境下的權(quán)限授權(quán)問(wèn)題。BCCA［19］為了解決多個(gè)域認(rèn)證方案的安全性和效率問(wèn)題，提出了一種基于區(qū)塊鏈信任模型和系統(tǒng)架構(gòu)的方法，該方法在PKI認(rèn)證體系的基礎(chǔ)上驗(yàn)證簽名在聯(lián)盟鏈上的認(rèn)證效率更好。

針對(duì)數(shù)據(jù)權(quán)限交互安全，研究表明，權(quán)限委托能很好地解決汽車(chē)產(chǎn)業(yè)鏈上不同平臺(tái)無(wú)法獲取其他域的完整信息，能更加精確地將用戶(hù)權(quán)限轉(zhuǎn)移并解決復(fù)雜環(huán)境下的權(quán)限轉(zhuǎn)移安全性問(wèn)題。在復(fù)雜的汽車(chē)產(chǎn)業(yè)鏈環(huán)境中，M-PBDM模型［20］針對(duì)汽車(chē)生產(chǎn)中的復(fù)雜工作流和非工作流場(chǎng)景為工作人員分配合理的生產(chǎn)權(quán)限，以避免制造協(xié)同工作效率低下的問(wèn)題。然而，模型無(wú)法滿(mǎn)足跨域訪問(wèn)的需求，在委托元素?cái)U(kuò)大時(shí)處理能力有限，由于汽車(chē)產(chǎn)業(yè)鏈上需供關(guān)系的多樣復(fù)雜性，該方案無(wú)法滿(mǎn)足產(chǎn)業(yè)鏈上所有平臺(tái)用戶(hù)的需求。為了滿(mǎn)足企業(yè)內(nèi)部復(fù)雜的權(quán)限訪問(wèn)與數(shù)據(jù)共享，王秀利等人［21］提出一種屬性基加密的訪問(wèn)控制模型，較好地解決了企業(yè)內(nèi)部訪問(wèn)權(quán)限難以控制的問(wèn)題。為解決訪問(wèn)控制系統(tǒng)中無(wú)法細(xì)粒度管理令牌中權(quán)限的問(wèn)題，UNFTO［22］根據(jù)有向超圖進(jìn)行權(quán)限流通路徑追溯，并實(shí)現(xiàn)了令牌中權(quán)限的分割與組合，但該方案缺少對(duì)鏈上惡意節(jié)點(diǎn)的預(yù)防識(shí)別處理。現(xiàn)有的汽車(chē)產(chǎn)業(yè)鏈權(quán)限委托仍存在一些局限性，主要局限于關(guān)注用戶(hù)訪問(wèn)主體資源的安全性和權(quán)限授予的靈活性較低。目前的權(quán)限授予方式僅限于單次的授予，并且無(wú)法對(duì)被授權(quán)權(quán)限的主體進(jìn)行有效管理。這種情況無(wú)法滿(mǎn)足汽車(chē)產(chǎn)業(yè)鏈多平臺(tái)之間數(shù)據(jù)權(quán)限交互的需求。本文認(rèn)為，解決鏈上供需關(guān)系的多樣復(fù)雜性、滿(mǎn)足平臺(tái)用戶(hù)需求的關(guān)鍵在于實(shí)現(xiàn)汽車(chē)產(chǎn)業(yè)鏈跨多平臺(tái)之間的動(dòng)態(tài)權(quán)限委托。因此，提出了一種基于汽車(chē)產(chǎn)業(yè)鏈的多域權(quán)限委托機(jī)制，具體方案為：

a）為確保權(quán)限在委托過(guò)程中不會(huì)被非法用戶(hù)獲取，在基于屬性的訪問(wèn)控制（ABAC）模型的基礎(chǔ)上，設(shè)計(jì)了權(quán)限委托智能合約，支持對(duì)權(quán)限委托的安全性和可行性進(jìn)行限制。通過(guò)設(shè)定權(quán)限委托的期限、次數(shù)、深度和路徑等參數(shù)，可以確保權(quán)限委托的安全性。

b）針對(duì)多域之間信息交互可能出現(xiàn)的域間利益沖突和多個(gè)域同時(shí)向一個(gè)域申請(qǐng)權(quán)限的安全性問(wèn)題，本文提出了權(quán)限過(guò)濾算法。該算法能夠在權(quán)限委托過(guò)程中對(duì)權(quán)限進(jìn)行過(guò)濾，以確保委托的安全性，并提供沖突警告。通過(guò)對(duì)權(quán)限請(qǐng)求進(jìn)行分析和比較，可以檢測(cè)潛在的利益沖突，并及時(shí)發(fā)出警告，避免權(quán)限被濫用或沖突引起的安全問(wèn)題。

c）針對(duì)以往權(quán)限委托僅限于單次授予權(quán)限和無(wú)法對(duì)授予權(quán)限的主體進(jìn)行管理的問(wèn)題，本文設(shè)計(jì)了能夠滿(mǎn)足一次多個(gè)權(quán)限委托的算法，并支持自動(dòng)和手動(dòng)撤銷(xiāo)已授予的權(quán)限。這使得模型能夠提供更細(xì)粒度、更安全的權(quán)限管理，保障汽車(chē)產(chǎn)業(yè)鏈上用戶(hù)的信息共享。通過(guò)自動(dòng)化的權(quán)限收回機(jī)制，可以防止被授權(quán)對(duì)象濫用權(quán)限或進(jìn)行惡意操作，確保權(quán)限的有效管理和使用。同時(shí)，通過(guò)安全分析對(duì)模型的性能進(jìn)行驗(yàn)證，可保證其在實(shí)際應(yīng)用中的安全性。

1 基于區(qū)塊鏈的跨域權(quán)限委托模型

1.1 模型構(gòu)建

面對(duì)以整車(chē)平臺(tái)為核心，將其他企業(yè)和分支機(jī)構(gòu)分成上下游平臺(tái)的汽車(chē)產(chǎn)業(yè)鏈，在汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境下的訪問(wèn)控制面臨以下安全問(wèn)題：

a）跨域訪問(wèn)控制。不同域之間可能存在跨域訪問(wèn)的需求，如整車(chē)平臺(tái)、合作伙伴或其他分支機(jī)構(gòu)需要訪問(wèn)核心系統(tǒng)或敏感數(shù)據(jù)，這涉及到如何確?？缬蛟L問(wèn)的安全性，以防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露。

b）權(quán)限管理和策略一致性。在多域環(huán)境中，管理權(quán)限和策略的一致性是關(guān)鍵問(wèn)題，不同域可能具有不同的訪問(wèn)控制策略、角色定義和權(quán)限規(guī)則。

c）數(shù)據(jù)隔離和隱私保護(hù)。域之間的數(shù)據(jù)共享和訪問(wèn)需要確保數(shù)據(jù)的隔離，需要采用適當(dāng)?shù)谋Ｗo(hù)措施，以確保個(gè)人和敏感信息的保密性和合規(guī)性。

為了解決汽車(chē)產(chǎn)業(yè)鏈在多域環(huán)境下面臨跨域訪問(wèn)的安全性和權(quán)限委托的可靠性和精確性問(wèn)題，避免汽車(chē)產(chǎn)業(yè)鏈高投入、低效益的死循環(huán)情景，實(shí)現(xiàn)多方資源平臺(tái)上下協(xié)同，提升產(chǎn)業(yè)競(jìng)爭(zhēng)力，本文提出一種基于區(qū)塊鏈的跨域權(quán)限委托模型（blockchain-based cross-domain permission delegation mode，BCPDM）。BCPDM部署在多域信息平臺(tái)的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，旨在實(shí)現(xiàn)在不同域之間安全、可控的委托和管理訪問(wèn)權(quán)限，以實(shí)現(xiàn)資源共享和協(xié)同工作。在該模型中，合法節(jié)點(diǎn)只有在特定的地點(diǎn)、時(shí)間等一系列因素通過(guò)的情況下，通過(guò)跨域節(jié)點(diǎn)結(jié)合區(qū)塊鏈才能對(duì)其他域的資源信息進(jìn)行授權(quán)訪問(wèn)，以保證數(shù)據(jù)傳遞的安全性，實(shí)現(xiàn)鏈上智能合約權(quán)限傳遞。BCPDM的工作流程如圖2所示，主要包括域間訪問(wèn)模塊（S流程）和域間授權(quán)模塊（R流程），其中域間訪問(wèn)模塊將ABAC模型與區(qū)塊鏈結(jié)合，將ABAC模型中的各個(gè)功能執(zhí)行點(diǎn)以智能合約的形式來(lái)實(shí)現(xiàn)，確保訪問(wèn)控制過(guò)程中的去中心化和透明性；域間授權(quán)模塊中被委托方需要經(jīng)過(guò)權(quán)限過(guò)濾和權(quán)限授予設(shè)計(jì)，只有在權(quán)限授予不沖突的情況下方可實(shí)現(xiàn)多域間的權(quán)限委托，很好地確保權(quán)限委托的可靠性和安全性，實(shí)現(xiàn)跨域資源的協(xié)同利用，提升整個(gè)產(chǎn)業(yè)鏈的效益和競(jìng)爭(zhēng)力。

1.2 問(wèn)題定義

針對(duì)不同域間的交互，使用Duser和Dobject分別表示源域和目標(biāo)域，U表示不同域上的用戶(hù)集合，用戶(hù)U在源域上對(duì)目標(biāo)源的訪問(wèn)請(qǐng)求將根據(jù)策略集合policy作為判斷依據(jù)，對(duì)每次訪問(wèn)請(qǐng)求進(jìn)行評(píng)估，只有當(dāng)主體屬性（S）、環(huán)境屬性（E）、時(shí)間屬性（T）、等級(jí)屬性（L）為合法屬性時(shí)，才能使合法的主體授權(quán)訪問(wèn)。BCPDM涉及的各種符號(hào)定義如表1、2所示。

1.3 跨域訪問(wèn)

域間訪問(wèn)模塊包括PEP合約、屬性權(quán)威（AA）、PDP合約、PAP合約。當(dāng)某一域上的用戶(hù)節(jié)點(diǎn)發(fā)起訪問(wèn)請(qǐng)求時(shí)，跨域節(jié)點(diǎn)會(huì)保存用戶(hù)的訪問(wèn)請(qǐng)求，并為PEP合約提供原始訪問(wèn)請(qǐng)求（NAR）。PEP合約會(huì)將請(qǐng)求發(fā)送給屬性權(quán)威（AA），以獲取相關(guān)屬性信息。然后，PEP合約將基于屬性的訪問(wèn)請(qǐng)求（AAR）發(fā)送給PDP合約，并請(qǐng)求PAP合約提供策略信息。最終，PDP合約根據(jù)策略決定是否授權(quán)，并將結(jié)果返回。

在跨域訪問(wèn)中，保障屬性權(quán)威的可靠性是一個(gè)重要問(wèn)題，本文利用區(qū)塊鏈提供的去中心化和不可竄改的特性，來(lái)記錄和驗(yàn)證屬性數(shù)據(jù)的變更和訪問(wèn)控制決策，通過(guò)將屬性數(shù)據(jù)存儲(chǔ)在區(qū)塊鏈上，并利用智能合約來(lái)執(zhí)行訪問(wèn)控制規(guī)則，有效地避免了第三方機(jī)構(gòu)介入可能導(dǎo)致的屬性數(shù)據(jù)泄露和竄改問(wèn)題，從而在一定程度上增加了屬性權(quán)威的可靠性。

定義1 基于屬性的訪問(wèn)請(qǐng)求（attribute-based access request，AAR）是由主體屬性（S）、環(huán)境屬性（E）、時(shí)間屬性（T）、等級(jí)屬性（L）構(gòu)成的四元組，即 AAR=〈S，E，T，L〉。其中，環(huán)境屬性E是由物理地址（physical location，PL）和網(wǎng)絡(luò)環(huán)境（net location，NL）構(gòu)成的二元組，即E=〈PL，NL〉。時(shí)間屬性T是對(duì)訪問(wèn)流程的時(shí)間約束集合。等級(jí)屬性L實(shí)現(xiàn)主體和客體之間的多級(jí)安全聯(lián)系，它由主體訪問(wèn)等級(jí)（Luser）和客體最低訪問(wèn)等級(jí)（Lobject）構(gòu)成的二元組，即L=〈Luser，Lobject〉。

AAR提供了一種靈活的訪問(wèn)請(qǐng)求表示方式，考慮了主體的屬性、環(huán)境的屬性、時(shí)間約束以及等級(jí)聯(lián)系。主體屬性描述了訪問(wèn)請(qǐng)求的源頭，環(huán)境屬性描述了訪問(wèn)請(qǐng)求發(fā)起的物理和網(wǎng)絡(luò)環(huán)境，時(shí)間屬性約束了訪問(wèn)請(qǐng)求的時(shí)間范圍，而等級(jí)屬性則實(shí)現(xiàn)了主體和客體之間的安全聯(lián)系和權(quán)限控制。通過(guò)對(duì)這些屬性的綜合判斷，可以確定是否授權(quán)訪問(wèn)請(qǐng)求。需要滿(mǎn)足以下條件才能進(jìn)行合法授權(quán)訪問(wèn)：主體必須屬于合法的主體集合Slegal，訪問(wèn)請(qǐng)求必須在合法規(guī)定的時(shí)間區(qū)域內(nèi)發(fā)起，訪問(wèn)請(qǐng)求的物理和網(wǎng)絡(luò)地址必須在合法的環(huán)境范圍內(nèi)，同時(shí)主體訪問(wèn)用戶(hù)的等級(jí)Luser 必須大于等于被訪問(wèn)資源的訪問(wèn)等級(jí)Lobject。只有當(dāng)這些條件都滿(mǎn)足時(shí)，才能進(jìn)行合法授權(quán)訪問(wèn)，并將訪問(wèn)等級(jí)設(shè)置為object，這樣的定義和約束機(jī)制可以有效控制訪問(wèn)權(quán)限，確保只有符合條件的主體才能獲得授權(quán)訪問(wèn)。

下面將以汽車(chē)產(chǎn)業(yè)鏈上三包期間出現(xiàn)汽車(chē)損壞問(wèn)題為切入，在客戶(hù)向服務(wù)平臺(tái)提出修理賠償業(yè)務(wù)，并希望在責(zé)任評(píng)定完成后，請(qǐng)示服務(wù)平臺(tái)能夠跨域請(qǐng)求供應(yīng)平臺(tái)提供相應(yīng)的汽車(chē)零件為實(shí)例，在確保兩方平臺(tái)間安全訪問(wèn)和避免客戶(hù)信息泄露的前提下，提出了一種基于區(qū)塊鏈的域間訪問(wèn)方案，如圖3所示。該方案將策略管理點(diǎn)、策略決策點(diǎn)和策略執(zhí)行點(diǎn)以智能合約的形式表現(xiàn)，如算法1～3所示。這些智能合約部署在區(qū)塊鏈上，通過(guò)域上用戶(hù)的身份信息綁定的數(shù)據(jù)庫(kù)地址在鏈下的對(duì)應(yīng)數(shù)據(jù)庫(kù)中獲取數(shù)據(jù)信息，完成授權(quán)服務(wù)的域間訪問(wèn)。

算法1 策略管理點(diǎn)合約算法

輸入：policy［］。

輸出：new_policy_data_set。

a）init policies［name， subject， resource， action， environment， decision］ and init new_policy［］;//初始化策略信息

b）create new_policy［］：for new_policy［］=policies［name， subject， resource， action， environment， decision］， then new_policy.append（policies）;//創(chuàng)建策略列表

c）delete policy［name］：for policy in policies：

if policy.name==name then policy.remove（policies）;

//刪除指定名稱(chēng)的策略

d）else return false;

e）modify_policy（name，new_decision）：for policy in policies：

if policy.name=name then policy.deciosn=new_decision;

//修改指定名稱(chēng)的策略決策

f）else return false；

算法2 策略決策點(diǎn)合約算法

輸入：policy，DSPuseri.ARR。

輸出：boolean。

a）evaluate［subject，resourse，action，environment］;

//從PAP_SC獲取策略信息進(jìn)行評(píng)估檢查

b）for policy in policies： if match（subject && resource && action && environment）∈policy_data_set

then return policy.decision;

//遍歷策略進(jìn)行匹配

c）if（Suseri∈Slegal&&〈PLuseri，NLuseri〉∈Elegal）&& LSPuseri≥LPPobject&& TSPuseri∈［TPPstart，TPPend］） then

result←（policy_decision（DSPuseri.AAR，policy_data_set））;

//根據(jù)主體的基于屬性的訪問(wèn)請(qǐng)求和對(duì)應(yīng)策略集進(jìn)行決策評(píng)估

d）if（result==deny） then

e） send result to PEP_SC;

f） return false;

g）else if（result==permit）;

h） send result to PEP_SC; return true;

算法3 策略執(zhí)行點(diǎn)合約算法

輸入：DSPuseri ，NAR，result。

輸出：access_license。

a）send NAR from DSPuseri to cross_node;

//將用戶(hù)的原始訪問(wèn)請(qǐng)求發(fā)送至跨域節(jié)點(diǎn)

b）check if NAR.origin in access_allow_list（cross_node）;

//判斷NAR上的原始請(qǐng)求來(lái)源origin是否在可允許訪問(wèn)列表中

c） if true then send NAR to AA return AAR;

d）if get PDP_SC.result=='permit' &&

determine if DSPuseri.ARR is viable in PolicyData&&

decision（DSPuseri.ARR+Useri.sid == permit）;

e） do execute_action（action，source）;

f）else return deny_access（）;

1.4 域間授權(quán)

域間授權(quán)模塊主要包括權(quán)限過(guò)濾合約和權(quán)限授予合約，如圖4所示。當(dāng)B域作為委托方的跨域節(jié)點(diǎn)需要為A域的用戶(hù)提供權(quán)限委托時(shí)，首先會(huì)經(jīng)過(guò)權(quán)限過(guò)濾合約進(jìn)行判斷，確定A域的用戶(hù)節(jié)點(diǎn)是否具備合法訪問(wèn)的條件，包括判斷A域用戶(hù)是否有權(quán)使用授予的權(quán)限以及是否會(huì)造成授權(quán)沖突的情況。如果不符合條件，則直接拒絕授權(quán)。若通過(guò)初步過(guò)濾，請(qǐng)求將進(jìn)入權(quán)限授予合約，根據(jù)委托方的ID生成的尋址地址來(lái)查找相應(yīng)的權(quán)限數(shù)據(jù)庫(kù)，并將獲取的權(quán)限作為結(jié)果返回給A域用戶(hù)節(jié)點(diǎn)，完成權(quán)限委托的過(guò)程。

當(dāng)服務(wù)平臺(tái)經(jīng)過(guò)域間訪問(wèn)模塊獲得供應(yīng)平臺(tái)的訪問(wèn)許可后，可以對(duì)供應(yīng)平臺(tái)上的資源進(jìn)行最低級(jí)別的讀取操作。然而，對(duì)于更復(fù)雜的車(chē)輛報(bào)修問(wèn)題（例如車(chē)輛發(fā)生重大事故），服務(wù)平臺(tái)和供應(yīng)平臺(tái)需要共同參與責(zé)任評(píng)定，供應(yīng)平臺(tái)需要向服務(wù)平臺(tái)請(qǐng)求更復(fù)雜的操作來(lái)協(xié)助完成責(zé)任評(píng)定。簡(jiǎn)單的讀取操作已無(wú)法滿(mǎn)足兩個(gè)平臺(tái)之間的信息交互需求，因此某個(gè)平臺(tái)需要通過(guò)域間授權(quán)模塊，授予其他平臺(tái)不同的操作權(quán)限。

以服務(wù)平臺(tái)和供應(yīng)平臺(tái)之間的域間授權(quán)為例，實(shí)現(xiàn)用戶(hù)方、服務(wù)方和供應(yīng)方之間的三方責(zé)任評(píng)定。當(dāng)服務(wù)平臺(tái)的用戶(hù)節(jié)點(diǎn)通過(guò)訪問(wèn)控制流程獲得供應(yīng)平臺(tái)上節(jié)點(diǎn)的授權(quán)認(rèn)可時(shí)，供應(yīng)平臺(tái)可以通過(guò)權(quán)限授予流程將自己的一個(gè)或多個(gè)權(quán)限授予被委托節(jié)點(diǎn)。這個(gè)過(guò)程首先經(jīng)過(guò)權(quán)限過(guò)濾過(guò)程，如算法3所示，對(duì)雙方節(jié)點(diǎn)之間的權(quán)限和利益沖突進(jìn)行篩選；然后根據(jù)策略庫(kù)的要求，將符合條件的權(quán)限集合整合返回給被委托方，如算法4所示；最后，根據(jù)供應(yīng)平臺(tái)協(xié)作授予的權(quán)限，完成兩個(gè)平臺(tái)的責(zé)任評(píng)定。

通過(guò)域間授權(quán)模塊的運(yùn)作，服務(wù)平臺(tái)和供應(yīng)平臺(tái)可以有效協(xié)作，在需要更復(fù)雜的操作和信息交互時(shí)進(jìn)行授權(quán)和權(quán)限管理。這種方式確保了平臺(tái)間的合作和協(xié)同，以完成車(chē)輛報(bào)修問(wèn)題的責(zé)任評(píng)定。

定義2 過(guò)濾約束機(jī)制（filter constraint mechanism，filter〈C〉）是在域間權(quán)限傳遞之前進(jìn)行的初步過(guò)濾操作。其中，C是各種限制條件的集合，是由授權(quán)時(shí)間（data）、允許的授權(quán)傳遞次數(shù)（times）、權(quán)限傳遞路徑（path）和允許信任值（L_truth）構(gòu)成的四元組，即C=〈data，times，path，L_truth〉。其中，L_truth是獨(dú)立于前三個(gè)條件的過(guò)濾判斷指標(biāo)，它由主體業(yè)務(wù)類(lèi)型（Se）和主體業(yè)務(wù)訪問(wèn)次數(shù)（At）共同決定，滿(mǎn)足L_truth=Se（）⊕（Lag（n-1）×At（）+Lag（n-2）×At（）），其中Lag是時(shí)間衰減因子，隨著時(shí)間的推移而衰減。

過(guò)濾約束機(jī)制通過(guò)限制條件集合C對(duì)權(quán)限傳遞進(jìn)行過(guò)濾和約束。這些限制條件包括授權(quán)時(shí)間、允許的授權(quán)傳遞次數(shù)、權(quán)限傳遞路徑和允許信任值。其中，授權(quán)時(shí)間指明了授權(quán)的有效時(shí)間范圍，允許的授權(quán)傳遞次數(shù)表示權(quán)限可以被傳遞的次數(shù)限制，權(quán)限傳遞路徑定義了授權(quán)傳遞的路徑限制，而允許信任值是一個(gè)過(guò)濾判斷指標(biāo)。

過(guò)濾約束機(jī)制在域間授權(quán)和權(quán)限管理中起著重要作用，能夠提供額外的保障和約束，以確保權(quán)限傳遞的安全性和有效性。

算法4 權(quán)限過(guò)濾合約算法（動(dòng)態(tài)過(guò)濾）

輸入：DfromPPuseri，DtoSPobjectj，CSPobjectj ，CPPuseri。

輸出：boolean。

a）if（do PEP_SC.execute_action（）&&（Useri∪Objectj∈Matrixij）&&（DfromPPuserihave rights to use DtoSPobjectj′permissions） then

/*判斷被委托方是否能合法訪問(wèn)委托方，并判斷被委托域上的接受用戶(hù)節(jié)點(diǎn)是否屬于訪問(wèn)控制矩陣且有權(quán)使用委托節(jié)點(diǎn)的權(quán)限*/

b） if（datauser<tertimeobject）&&（times≥1） && no path conflict） return true;

c） else evalute→value（Se（）+At（））; return L_trust;

//計(jì)算主體業(yè)務(wù)類(lèi)型以及業(yè)務(wù)訪問(wèn)次數(shù)返回信任評(píng)估等級(jí)

d） while L_trust>=minimun_trust; return true;;

/*當(dāng)主體的信任等級(jí)達(dá)到最小評(píng)估等級(jí)返回允許授權(quán)，避免因?yàn)楣潭ㄖ笜?biāo)而被初步過(guò)濾掉*/

e） emit result==permit to PermissionDelegated_SC;

f）else return false;

g）emit result==deny to PermissionDelegated_SC;

算法5 權(quán)限委托合約算法

輸入：result， useri.sid。

輸出：permission_set。

a）if（result==permit） then

b） do decryption（useri.sid） → PermissionData；

//對(duì)用戶(hù)節(jié)點(diǎn)i身份進(jìn)行解密操作

c）if（decision（useri.sid，PermissionData））==permit then

d） permission_set ← permission_decsion（permission_set.buffer）;

//將篩選合法的權(quán)限與主體權(quán)限賦值給權(quán)限集的臨時(shí)區(qū)

e） return permission_set to DfromPPuseri;

2 跨多域的權(quán)限授予和權(quán)限收回

為了避免某個(gè)域過(guò)高的權(quán)限分配導(dǎo)致信息壟斷，每個(gè)域上的業(yè)務(wù)分配需要滿(mǎn)足職責(zé)分離原則。在復(fù)雜的汽車(chē)多域貿(mào)易環(huán)境中，例如當(dāng)消費(fèi)者需要報(bào)修或更換汽車(chē)損壞零件時(shí)，首先他們會(huì)跨域請(qǐng)求服務(wù)平臺(tái)提供售后服務(wù)。服務(wù)平臺(tái)需要向供應(yīng)平臺(tái)請(qǐng)求協(xié)助完成責(zé)任評(píng)定。如果責(zé)任確認(rèn)歸屬于汽車(chē)廠商，服務(wù)平臺(tái)就需要向物流平臺(tái)請(qǐng)求配送新的更換零件。因此，本章設(shè)計(jì)了一種汽車(chē)多域委托機(jī)制（AMDM），該機(jī)制部署在跨域節(jié)點(diǎn)上。當(dāng)允許傳遞次數(shù)的參數(shù)times大于1時(shí)，該機(jī)制會(huì)被調(diào)用，以確保跨域節(jié)點(diǎn)在未作惡的情況下，根據(jù)上一個(gè)跨域節(jié)點(diǎn)返回的數(shù)據(jù)驗(yàn)證上一個(gè)跨域節(jié)點(diǎn)的路徑是否合法且數(shù)據(jù)是否完整安全。如果發(fā)現(xiàn)路徑被修改，傳遞過(guò)程會(huì)被直接斷開(kāi)，有效避免了惡意節(jié)點(diǎn)對(duì)授權(quán)傳遞過(guò)程的干擾。

汽車(chē)多域貿(mào)易問(wèn)題模型如圖5所示，汽車(chē)產(chǎn)業(yè)鏈中的一個(gè)平臺(tái)可能會(huì)為另一個(gè)平臺(tái)提供業(yè)務(wù)需求，同時(shí)也會(huì)向其他平臺(tái)提供業(yè)務(wù)需求。例如，一個(gè)供應(yīng)平臺(tái)可以同時(shí)為多個(gè)獨(dú)立的物流平臺(tái)提供零件配送請(qǐng)求。針對(duì)這種需要委托多個(gè)平臺(tái)的跨域請(qǐng)求，設(shè)置date、times、depth、path參數(shù)來(lái)嚴(yán)格控制委托的路徑，以避免出現(xiàn)委托路徑中的惡意節(jié)點(diǎn)攔截導(dǎo)致信息泄露問(wèn)題。對(duì)于授予出去的權(quán)限，可以進(jìn)行強(qiáng)制的主動(dòng)回收和被動(dòng)回收。

通過(guò)汽車(chē)多域委托機(jī)制（AMDM），可以在汽車(chē)多域貿(mào)易環(huán)境中實(shí)現(xiàn)安全可靠的跨域請(qǐng)求和委托，保護(hù)數(shù)據(jù)的完整性和隱私，并確保權(quán)限的有效管理和回收。AMDM算法如算法6所示。

算法6 automotive multi-domain delegation mechanism

a）for i=1 to N do

b） if（from_userx to DLPorderx is a legal path）&&（data<tertime∩times=N-1） then

c） for i=1 to N do;

d） send Pfromx0 to nextDorderx ;times--;

e） return true;

f） else return false;

g） if（date==tertime||times==0）then

h） revokePermission（DLPorderx to userx）;

//到期限時(shí)間或可允許傳遞次數(shù)等于0，回收從委托域發(fā)出的權(quán)限集

i） when DLPorderxneed active revoke permissions then

j） set tertime==CurrentTime && Permission_Set.buffer/PermissionData.Plegal then

k） re-authenticate（userx to DLPorderx）;

//通過(guò)重認(rèn)證核實(shí)委任雙方之間斷開(kāi)授權(quán)鏈接

l） if（userx can’t access to DLPOrderx） then

m） return ture;

n） else return false;

3 安全與實(shí)驗(yàn)分析

針對(duì)跨域權(quán)限委托機(jī)制的安全性，本章從簡(jiǎn)單安全問(wèn)題和簡(jiǎn)單可用性問(wèn)題兩個(gè)方面進(jìn)行分析，證明了該模型方案的安全性。簡(jiǎn)單安全問(wèn)題的思想是確認(rèn)是否存在一種情況，在某種狀態(tài)下，未授權(quán)的用戶(hù)可以訪問(wèn)特定的資源。如果不存在這種情況，則說(shuō)明該方案是安全的，沒(méi)有權(quán)限泄露的問(wèn)題；如果存在這種情況，則意味著系統(tǒng)不安全。簡(jiǎn)單可用性問(wèn)題的思想是確認(rèn)授權(quán)用戶(hù)是否可以在可達(dá)狀態(tài)下對(duì)指定資源進(jìn)行訪問(wèn)。如果授權(quán)用戶(hù)可以在可達(dá)狀態(tài)下訪問(wèn)指定資源，則說(shuō)明方案是可用的，能夠確保正確的權(quán)限授予；否則，方案是不可用的。

為了更好地分析跨域權(quán)限委托機(jī)制的安全性，本文采用了狀態(tài)機(jī)模型來(lái)進(jìn)行分析［23］。狀態(tài)機(jī)模型是一個(gè)抽象的數(shù)學(xué)模型，用于研究系統(tǒng)中的各個(gè)狀態(tài)和過(guò)程，并通過(guò)描述系統(tǒng)中的規(guī)則來(lái)證明其安全性。根據(jù)狀態(tài)機(jī)模型的定義，可以分為狀態(tài)變量和狀態(tài)轉(zhuǎn)移規(guī)則，其中狀態(tài)變量表示系統(tǒng)的當(dāng)前狀態(tài)，而狀態(tài)轉(zhuǎn)移規(guī)則描述了每個(gè)狀態(tài)之間的變化過(guò)程。其中安全模型各實(shí)體間的關(guān)系如表3所示，通過(guò)關(guān)系集合可以將各個(gè)實(shí)體集合連接，實(shí)現(xiàn)實(shí)體中元素之間的操作。

建立的安全模型使用狀態(tài)機(jī)來(lái)證明其安全性，具體理論如下：a）首先證明方案中每個(gè)狀態(tài)之間的狀態(tài)轉(zhuǎn)移規(guī)則都是合理可行的；b）接下來(lái)證明方案的初始狀態(tài)是安全的。當(dāng)步驟a）和b）得證時(shí)，就可以證明整個(gè)方案無(wú)論處于哪個(gè)狀態(tài)，均是合理可行的。

通過(guò)以上分析和證明，可以確?？缬驒?quán)限委托機(jī)制在安全性方面是可靠的，能夠有效防止未授權(quán)用戶(hù)訪問(wèn)資源，并確保授權(quán)用戶(hù)在可達(dá)狀態(tài)下正確訪問(wèn)指定資源。

3.1 狀態(tài)機(jī)模型的定義

定義3 基于跨域權(quán)限委托機(jī)制的狀態(tài)機(jī)系統(tǒng)（state machine system，SMS）被定義為一個(gè)四元組SMS=（StateSet，ss0，Inp，Π）。其中：StateSet是狀態(tài)機(jī)模型的有限集合；ss0是模型的初始狀態(tài)，ss0∈StateSet;Inp是輸入事件集合；Π：ss×inp→ss′（ss&ss′∈StateSet，inp∈Inp）為系統(tǒng)狀態(tài)轉(zhuǎn)移規(guī)則，表示在一個(gè)輸入事件驅(qū)動(dòng)下方案從一個(gè)狀態(tài)ss過(guò)渡到另一個(gè)狀態(tài)ss′。StateSet和Inp包含的集合如表4所示，SMS包含的狀態(tài)傳遞規(guī)則如表5所示。

定義4 安全狀態(tài)不定式。如果SMS在狀態(tài)ss下是安全的，將其標(biāo)記為safe（ss），access（u）→o代表某個(gè)用戶(hù)u能夠訪問(wèn)客體o，當(dāng)且僅當(dāng)ss滿(mǎn)足

（u，o）（（u，o）ss∧p）→access（u）=o（1）

式（1）表示了簡(jiǎn)單安全問(wèn)題：不存在任何一個(gè)非授權(quán)用戶(hù)能訪問(wèn)數(shù)據(jù)。（u，o）（（u，o）∈ss∧p（u）∈P）→access（u）=o（2）

式（2）表示了簡(jiǎn)單可用性問(wèn)題：對(duì)任意授權(quán)用戶(hù)都可以根據(jù)指定權(quán)限訪問(wèn)相應(yīng)數(shù)據(jù)。

定義5 狀態(tài)轉(zhuǎn)移規(guī)則的安全性。當(dāng)且僅當(dāng)任何狀態(tài)的狀態(tài)轉(zhuǎn)移規(guī)則π∈Π滿(mǎn)足式（3）時(shí)，表明狀態(tài)轉(zhuǎn)移規(guī)則轉(zhuǎn)換之間是安全的。

（π）（inp）（ss）（π∈Π∧inp∈Inp∧ss∈

StateSet∧Π：ss×inp→ss′∧safe （ss））→（safe（ss′））（3）

定義6 系統(tǒng)安全表達(dá)。SMS是安全的，當(dāng)且僅當(dāng)SMS在初始狀態(tài)ss0中是安全的，并且任何狀態(tài)轉(zhuǎn)移規(guī)則π是保持合理可行的。

3.2 模型安全性證明

定理1 狀態(tài)轉(zhuǎn)移規(guī)則Π是安全保持、合理可行的。

證明 a）分別展開(kāi)定義4中的表達(dá)式，對(duì)于基于區(qū)塊鏈的跨域權(quán)限委托機(jī)制，有以下三種情況用戶(hù)u將不被授權(quán)：

（a）用戶(hù)u沒(méi)有認(rèn)證成功，即uU。

（b）用戶(hù)屬性匹配失敗，即（A，att（u.s，u.e，u.t，u.l））UA。

（c）客體權(quán)限匹配失敗，即（a，p（o.s，o.e，o.t，o.l））OP。

對(duì)式（1）進(jìn)行展開(kāi)：

（u，o）（（u，o）∈ss∧

（（uU）∨（A，att（u.s，u.e，u.t，u.l））OP））→access（u）（4）

同樣地，對(duì)于用戶(hù)u能獲得授權(quán)的也是三種情形，將式（2）進(jìn)行展開(kāi)：

（u，o）（（u，o）∈ss∧（（uU）∨（A，att（u.s，u.e，u.t，u.l））∈

UA∧（a，p（o.s，o.emo.t，o.l））∈OP））→access（u）=o（5）

b）假設(shè)SMS的當(dāng)前狀態(tài)是ss，且ss狀態(tài)是安全的，根據(jù)定義4，當(dāng)SMS的狀態(tài)在輸入一個(gè)事件后可以安全地到另一個(gè)狀態(tài)，則說(shuō)明這個(gè)狀態(tài)轉(zhuǎn)移規(guī)則是合理可行的。

由π0可知是對(duì)設(shè)定的用戶(hù)集進(jìn)行增添用戶(hù)操作，即U′=U∪（u）。任選一個(gè)uU，可得

uUU′=U∪（u）u∈U′∧U∈U′

（u，o）（（u，o）∈ss′∧（（u∈U′）））→access（u）=o（6）

根據(jù)式（4），當(dāng)uU與屬性匹配和客體權(quán)限匹配無(wú)關(guān)時(shí)，π0滿(mǎn)足式（4），對(duì)于用戶(hù)u是設(shè)立好的用戶(hù)的情況，顯然在π0狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，所以可以看出π0狀態(tài)是安全的。針對(duì)π1和π2狀態(tài)轉(zhuǎn)移規(guī)則亦是對(duì)用戶(hù)集進(jìn)行相應(yīng)修改刪除狀態(tài)轉(zhuǎn)換，顯然可以證明π1和π2狀態(tài)是安全的。

由π3可知是對(duì)建立的用戶(hù)分配屬性操作，即UA′=UA∪{（u，att）}。任選一對(duì)（u，att）UA，可得

（u，att）∈UAu∈U∧att∈AUA′=UA＼{（u，att）}（u，att（u.s，u.e，u.t，u.l））UA

u∈U∧u.attA（u，att（u.s，u.e，u.l））UA

（u，0）（（u，0）∈ss′∧（（u，att（u.s，u.e，u.t，u.l）′）∈UA））→access（u）=o（7）

根據(jù)式（4），當(dāng)（u，att）UA與合法用戶(hù)接入以及客體權(quán)限匹配無(wú)關(guān)時(shí)，π3滿(mǎn)足式（4），對(duì)于（u，att）∈UA情形，在π3狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π3狀態(tài)是安全的。

由π4可知是對(duì)已有的用戶(hù)移除屬性操作，即UA′=UA＼{（u，att）}。任選一對(duì)（u，att）∈UA，可得

（u，att）UAu∈U∧attA

UA′=UA∪{（u，att）}（u，att（u.s，u.e，u.t，u.l））∈UA

u∈U∧u.att∈A（A，att（u.s，u.e，u.l））∈UA

（u，o）（（u，o）∈ss′∧（（A，att（u.s，u.e，u.t，u.l）′）∈UA））→

access（u）=o（8）

根據(jù)式（3），（u，att（u.s，u.e，u.t，u.l）UA）和（u，att）∈UA有關(guān)，移除無(wú)關(guān)項(xiàng)（uU）和（a，p（o.s，o.e，o.t，o.l））∈OP，π4滿(mǎn)足式（3），對(duì)于（u，att）UA情形，在π4狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π4狀態(tài)是安全的。

由π5可知是對(duì)客體分配權(quán)限操作，即OP′=OP∪{（o，p）}。任選一對(duì)（a，p）OP，可得

（a，p）OPaA∧pP

OP′=OP∪{（a，p）}A′=A∪a∧P′=P∪p

p′∈P∧d∈A（d，p（o.s，o.e，o.t，o.l））∈OP

（u，o）（（u，o）∈ss′∧（（d，p（o.s，o.e，o.t，o.l）′）∈OP））→

access（u）=o（9）

根據(jù)式（4），當(dāng)（a，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）OP有關(guān)，且與合法用戶(hù)接入以及客體權(quán)限分配結(jié)果無(wú)關(guān)時(shí)，移除無(wú)關(guān)項(xiàng)，π5滿(mǎn)足式（4），對(duì)于（a，p）∈OP情形，在π5狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π5狀態(tài)是安全的。

由π6可知是對(duì)客體權(quán)限收回操作，即OP′=OP＼{（o，p）}。任選一對(duì)（a，p）∈OP，可得

（a，p）∈OPa∈A∧p∈P

OP′=OP＼{（o，p）} A′=A＼a∨P′=P＼p

p′P∨a′A（a′，p（o.s，o.e，o.t，o.l）′）OP

（u，o）（（u，o）∈ss′∧（（a′，p（o.s，o.e，o.t，o.l）′）OP））→

access（u）=o（10）

根據(jù)式（3），只有（a′，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）∈OP有關(guān)，移除無(wú)關(guān)項(xiàng)（u∈U）和（A，att（u.s，u.e，u.t，u.l））UA，π6滿(mǎn)足式（3），對(duì)于（a，p）OP情形，在π6狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π6狀態(tài)是安全的。

綜上所述，狀態(tài)轉(zhuǎn)移規(guī)則π0～π6都是合理可行的，這表明該模型能夠安全可信地處理用戶(hù)的訪問(wèn)請(qǐng)求，可以看出跨域權(quán)限委托系統(tǒng)可以為用戶(hù)和客體提供一個(gè)安全和可信的操作環(huán)境，同時(shí)根據(jù)π0是保持安全的，能夠證明SMS的初始狀態(tài)ss0也是安全的。

定理2 BCPDM模型方案是安全可行的。

證明 根據(jù)定義5和定理1，可知SMS的狀態(tài)轉(zhuǎn)移規(guī)則Π是合理可行的且初始狀態(tài)ss0也是安全的，因此根據(jù)上述分析可知，基于區(qū)塊鏈的跨域訪問(wèn)委托模型方案是安全可行的。

3.3 實(shí)驗(yàn)環(huán)境設(shè)置

本文實(shí)驗(yàn)的操作運(yùn)行選擇在英特爾11th Gen Intel CoreTM i7-11800H@ 2.30 Hz八核處理器、16 GB內(nèi)存和64位Windows 10操作系統(tǒng)的PC機(jī)上進(jìn)行，使用Jet-Brains PyCharm 2019.1.1 x64作為集成開(kāi)發(fā)環(huán)境，基于Hyperledger Fabric區(qū)塊鏈平臺(tái)實(shí)現(xiàn)域間訪問(wèn)控制機(jī)制，進(jìn)行性能測(cè)試。

在Hyperledger Fabric中，共識(shí)機(jī)制的選擇是靈活的，允許參與者根據(jù)業(yè)務(wù)需求選擇合適的共識(shí)算法。本文針對(duì)汽車(chē)產(chǎn)業(yè)鏈多域環(huán)境下的網(wǎng)絡(luò)規(guī)模、性能要求、安全性需求，選擇了Kafka共識(shí)算法，使用分布式日志來(lái)實(shí)現(xiàn)共識(shí)過(guò)程，通過(guò)將交易發(fā)送到Kafka通道，對(duì)多位訂閱者進(jìn)行排序和復(fù)制，確保了數(shù)據(jù)的一致性和可靠性，防止竄改和錯(cuò)誤的發(fā)生，這種機(jī)制實(shí)現(xiàn)了高吞吐量和容錯(cuò)性，能夠滿(mǎn)足汽車(chē)產(chǎn)業(yè)鏈的需求。

3.4 實(shí)驗(yàn)及分析

本文使用以下指標(biāo)評(píng)估實(shí)驗(yàn)中的模型算法性能：

a）判決時(shí)間（judgment elapsed time）。訪問(wèn)主體的源節(jié)點(diǎn)生成并成功投遞到客體目標(biāo)節(jié)點(diǎn)，訪問(wèn)客體處理不同數(shù)量級(jí)訪問(wèn)請(qǐng)求所需的耗時(shí)。

b）授權(quán)總耗時(shí)（total authorization time）。被委托方的源節(jié)點(diǎn)生成并成功投遞到委托方目標(biāo)節(jié)點(diǎn)，委托方的目標(biāo)節(jié)點(diǎn)處理完不同規(guī)模屬性集并完成權(quán)限授予的總耗時(shí)。

本文共設(shè)定了兩組實(shí)驗(yàn)。為了防止原始請(qǐng)求數(shù)據(jù)之間的差異會(huì)對(duì)結(jié)果產(chǎn)生影響，本文對(duì)數(shù)據(jù)進(jìn)行了歸一化處理。第一組實(shí)驗(yàn)旨在檢測(cè)訪問(wèn)請(qǐng)求處理算法的有效性，驗(yàn)證不同類(lèi)型的訪問(wèn)請(qǐng)求對(duì)訪問(wèn)策略（混合型數(shù)據(jù)集）的及時(shí)處理能力，通過(guò)比較本文模型與FFADC［6］、BCAI［9］以及UNFTO［22］模型在混合型數(shù)據(jù)上的處理性能，分析四者之間的差異。第二組實(shí)驗(yàn)旨在評(píng)估BCPDM在授權(quán)耗時(shí)處理性能方面的表現(xiàn)。通過(guò)設(shè)置不同規(guī)模的屬性集，驗(yàn)證在高復(fù)雜度數(shù)據(jù)請(qǐng)求下，BCPDM是否能夠成功授權(quán)。為了驗(yàn)證BCPDM的高效可用性，本輪實(shí)驗(yàn)進(jìn)行了多次，實(shí)驗(yàn)結(jié)果如圖6、7所示。根據(jù)本輪實(shí)驗(yàn)結(jié)果顯示，BCPDM在復(fù)雜的多域訪問(wèn)請(qǐng)求環(huán)境下表現(xiàn)出了較好的高效處理訪問(wèn)請(qǐng)求的能力。

選擇多個(gè)具有代表性的模型，并從是否使用區(qū)塊鏈技術(shù)、支持動(dòng)態(tài)訪問(wèn)、細(xì)粒度化、支持多平臺(tái)、授權(quán)靈活性、管理難度和數(shù)據(jù)安全性七個(gè)維度進(jìn)行比較。具體的對(duì)比細(xì)節(jié)如表6所示。通過(guò)比較可以看出，本文模型在汽車(chē)產(chǎn)業(yè)鏈這種復(fù)雜環(huán)境中具有明顯的優(yōu)勢(shì)，能夠很好地保證用戶(hù)的安全訪問(wèn)和各平臺(tái)之間的數(shù)據(jù)信息交互，并支持汽車(chē)產(chǎn)業(yè)鏈基本的跨域授權(quán)功能。

4 結(jié)束語(yǔ)

本文提出了一種基于區(qū)塊鏈的跨域權(quán)限委托模型（BCPDM），旨在解決復(fù)雜的汽車(chē)產(chǎn)業(yè)鏈多平臺(tái)網(wǎng)絡(luò)環(huán)境下無(wú)法靈活高效、動(dòng)態(tài)實(shí)施訪問(wèn)控制的問(wèn)題。該模型保留了傳統(tǒng)屬性基礎(chǔ)訪問(wèn)控制（ABAC）的動(dòng)態(tài)特性，并引入了權(quán)限委托機(jī)制，實(shí)現(xiàn)了域間授權(quán)的訪問(wèn)控制。此外，針對(duì)多平臺(tái)之間的特殊情景，還引入了權(quán)限收回機(jī)制，實(shí)現(xiàn)了更主動(dòng)和細(xì)粒度的權(quán)限授予過(guò)程，并確保了一個(gè)可信可靠的多域訪問(wèn)環(huán)境。BCPDM設(shè)計(jì)了六個(gè)智能合約算法來(lái)實(shí)現(xiàn)核心功能，實(shí)現(xiàn)了一個(gè)去中心化、透明的訪問(wèn)控制過(guò)程。

為了防止惡意節(jié)點(diǎn)對(duì)智能合約進(jìn)行攻擊，本文在合約算法設(shè)計(jì)上對(duì)合約的權(quán)限進(jìn)行了精準(zhǔn)限制。設(shè)計(jì)的智能合約只擁有必要的權(quán)限，并且只允許其對(duì)特定的資源進(jìn)行訪問(wèn)，從而避免了合約被濫用的風(fēng)險(xiǎn)。對(duì)于跨域節(jié)點(diǎn)的惡意行為，本文模型采用去中心化的結(jié)構(gòu)。在確保節(jié)點(diǎn)身份的真實(shí)性和合法性的前提下，任何一個(gè)惡意節(jié)點(diǎn)都不能對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生破壞性影響。此外，本文模型還驗(yàn)證了跨域節(jié)點(diǎn)身份的真實(shí)性和合法性，防止未經(jīng)授權(quán)的節(jié)點(diǎn)加入網(wǎng)絡(luò)，進(jìn)一步增強(qiáng)了安全性。對(duì)于鏈下數(shù)據(jù)，本文模型采用MySQL數(shù)據(jù)庫(kù)來(lái)進(jìn)行存儲(chǔ)。對(duì)于敏感的鏈下數(shù)據(jù)，進(jìn)行了加密處理，只有授權(quán)用戶(hù)特有的安全標(biāo)識(shí)（sid）才能夠解密和訪問(wèn)數(shù)據(jù)。這種加密處理能夠有效防止未授權(quán)訪問(wèn)和竊取敏感信息，保護(hù)了數(shù)據(jù)的安全完整性。

通過(guò)簡(jiǎn)單的安全性問(wèn)題、簡(jiǎn)單的可用性問(wèn)題以及鏈上數(shù)據(jù)安全等方面的驗(yàn)證，證明了本文模型的安全可用性。最后，與其他經(jīng)典訪問(wèn)控制模型進(jìn)行多維度比較，結(jié)果表明本文模型在復(fù)雜的汽車(chē)產(chǎn)業(yè)鏈場(chǎng)景中具有廣泛的應(yīng)用空間。

未來(lái)的工作可以將提出的方案擴(kuò)展到更多的訪問(wèn)控制場(chǎng)景，例如基于博弈論的獎(jiǎng)懲訪問(wèn)控制場(chǎng)景等。這將進(jìn)一步提升模型的適用性和靈活性，使其適用于更廣泛的應(yīng)用場(chǎng)景。

參考文獻(xiàn)：

［1］李斌勇， 孫林夫， 王淑營(yíng)， 等. 面向汽車(chē)產(chǎn)業(yè)鏈的云服務(wù)平臺(tái)信息支撐體系［J］. 計(jì)算機(jī)集成制造系統(tǒng)， 2015， 21（10）： 2787-2797. （Li Binyong， Sun Linfu， Wang Shuying， et al. Information support system of cloud services platform for automobile industrial chain［J］. Computer Integrated Manufacturing Systems， 2015， 21（10）： 2787-2797.）

［2］張春賀. 新能源汽車(chē)產(chǎn)業(yè)鏈上市公司財(cái)務(wù)競(jìng)爭(zhēng)力評(píng)價(jià)研究［D］. 北京： 北京化工大學(xué)， 2023. （Zhang Chunhe. Research on the evaluation of the financial competitiveness of listed companies in the new energy vehicle industry chain［D］. Beijing： Beijing University of Chemical Technology， 2023.）

［3］Yuan E， Tong J. Attributed based access control（ABAC） for Web services［C］//Proc of IEEE International Conference on Web Ser-vices. Piscataway， NJ： IEEE Press， 2005： 569-577.

［4］諸曄. 用ACL實(shí)現(xiàn)系統(tǒng)的安全訪問(wèn)控制［J］. 計(jì)算機(jī)應(yīng)用與軟件， 2005， 22（3）： 111-114. （Zhu Ye. Using ACL to realize the system’s safe access control［J］. Computer Applications and Software， 2005， 22（3）： 111-114.）

［5］Aftab M U， Habib M A， Mehmood N， et al. Attributed role based access control model［C］//Proc of Information Assurance and Cyber Security. Piscataway， NJ： IEEE Press， 2015： 83-89.

［6］Mehraj S， Banday M T. A flexible fine grained dynamic access control approach for cloud computing［J］. Cluster Computing， 2021， 24（4）： 1413-1434.

［7］Nakamoto S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. （2009-03）. https：//bitcoin.org/en/bitcoin-paper.

［8］韋可欣， 李雷孝， 高昊昱， 等. 區(qū)塊鏈訪問(wèn)控制技術(shù)在車(chē)聯(lián)網(wǎng)中的應(yīng)用研究綜述與展望［J］. 計(jì)算機(jī)工程與應(yīng)用， 2023， 59（24）： 26-45. （Wei Kexin， Li Leixiao， Gao Haoyu， et al. Review and prospect of blockchain access control technology in Internet of Vehicles［J］. Computer Engineering and Applications， 2023， 59（24）： 26-45.）

［9］Maesa D D F， Mori P， Ricci L. Blockchain based access control［M］//Chen L Y， Reiser H P. Distributed Applications and Intero-perable Systems. Cham： Springer， 2017： 206-220.

［10］甘臣權(quán)， 楊宏鵬， 祝清意， 等. 基于訪問(wèn)控制的可驗(yàn)證醫(yī)療區(qū)塊鏈數(shù)據(jù)搜索機(jī)制［J］. 重慶郵電大學(xué)學(xué)報(bào)： 自然科學(xué)版， 2023， 35（5）： 873-887. （Gan Chenquan， Yang Hongpeng， Zhu Qingyi， et al. A verifiable medical blockchain data search mechanism with access control［J］. Journal of Chongqing University of Posts and Telecommunications： Natural Science Edition， 2023， 35（5）： 873-887.）

［11］曹萌， 余孫婕， 曾輝， 等. 基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)分級(jí)訪問(wèn)控制與共享系統(tǒng)［J］. 計(jì)算機(jī)應(yīng)用， 2023， 43（5）： 1518-1526. （Cao Meng， Yu Sunjie， Zeng Hui， et al. Hierarchical access control and sharing system of medical data based on blockchain［J］. Journal of Computer Applications， 2023， 43（5）： 1518-1526.）

［12］包俊， 張新有， 馮力， 等. 一種基于區(qū)塊鏈的車(chē)聯(lián)網(wǎng)安全認(rèn)證協(xié)議［J］. 計(jì)算機(jī)應(yīng)用研究， 2023，40（10）： 2908-2915， 2921. （Bao Jun， Zhang Xinyou， Feng Li， et al. Security authentication protocol for Internet of Vehicles based on blockchain［J］. Application Research of Computers， 2023， 40（10）： 2908-2915，2921.）

［13］王利朋， 關(guān)志， 李青山， 等. 區(qū)塊鏈數(shù)據(jù)安全服務(wù)綜述［J］. 軟件學(xué)報(bào)， 2023，34（1）： 1-32. （Wang Lipeng， Guan Zhi， Li Qingshan， et al. Survey on blockchain-based security services［J］. Journal of Software， 2023， 34（1）： 1-32.）

［14］張利華， 張贛哲， 曹宇， 等. 基于區(qū)塊鏈的智能家居認(rèn)證與訪問(wèn)控制方案［J］. 計(jì)算機(jī)應(yīng)用研究， 2022， 39（3）： 863-867，873. （Zhang Lihua， Zhang Ganzhe， Cao Yu， et al. Authentication and access control scheme for smart home based on blockchain［J］. Application Research of Computers， 2022， 39（3）： 863-867，873.）

［15］葉進(jìn)， 龐承杰， 李曉歡， 等. 基于區(qū)塊鏈的供應(yīng)鏈數(shù)據(jù)分級(jí)訪問(wèn)控制機(jī)制［J］. 電子科技大學(xué)學(xué)報(bào)， 2022， 51（3）： 408-415. （Ye Jin， Pang Chengjie， Li Xiaohuan， et al. Blockchain-based supply chain data hierarchical access control mechanism［J］. Journal of University of Electronic Science and Technology of China， 2022， 51（3）： 408-415.）

［16］張建標(biāo)， 張兆乾， 徐萬(wàn)山， 等. 一種基于區(qū)塊鏈的域間訪問(wèn)控制模型［J］. 軟件學(xué)報(bào)， 2021， 32（5）： 1547-1564. （Zhang Jianbiao， Zhang Zhaoqian， Xu Wanshan， et al. Inter-domain access control model based on blockchain［J］. Journal of Software， 2021， 32（5）： 1547-1564.）

［17］Ali G， Ahmad N， Cao Y， et al. BCON： blockchain based access control across multiple conflict of interest domains［J］. Journal of Network and Computer Applications， 2019， 147： 102440.

［18］Ali G， Ahmad N， Cao Yue， et al. Blockchain based permission delegation and access control in Internet of Things［J］. Computers & Security， 2019， 86： 318-314.

［19］周致成， 李立新， 李作輝. 基于區(qū)塊鏈技術(shù)的高效跨域認(rèn)證方案［J］. 計(jì)算機(jī)應(yīng)用， 2018， 38（2）： 316-320，326. （Zhou Zhicheng， Li Lixin， Li Zuohui. Efficient cross-domain authentication scheme based on blockchain technology［J］. Journal of Computer Applications， 2018， 38（2）： 316-320，326.）

［20］趙雪巖. 基于汽車(chē)生產(chǎn)管控系統(tǒng)的授權(quán)委托模型的研究與應(yīng)用［D］. 吉林： 吉林大學(xué)， 2017. （Zhao Xueyan. Research and application of authorization delegation model based on automobile production management and control system［D］. Jilin： Jilin University， 2017.）

［21］王秀利， 江曉舟， 李洋. 應(yīng)用區(qū)塊鏈的數(shù)據(jù)訪問(wèn)控制與共享模型［J］. 軟件學(xué)報(bào)， 2019， 30（6）： 1661-1669. （Wang Xiuli， Jiang Xiaozhou， Li Yang. Model for data access control and sharing based on blockchain［J］. Journal of Software， 2019， 30（6）： 1661-1669.）

［22］史錦山. 物聯(lián)網(wǎng)多域合作下基于區(qū)塊鏈的訪問(wèn)控制技術(shù)研究 ［D］. 呼和浩特： 內(nèi)蒙古大學(xué)， 2022. （Shi Jinshan. Blockchain-based access control technology for IoT multi-domain cooperation［D］. Hohhot： Inner Mongolia University， 2022.）

［23］熊厚仁， 陳性元， 杜學(xué)繪， 等. 基于角色的訪問(wèn)控制模型安全性分析研究綜述［J］. 計(jì)算機(jī)應(yīng)用研究， 2015， 32（11）： 3201-3208. （Xiong Houren， Chen Xingyuan， Du Xuehui， et al. Survey of security analysis for role-based access control［J］. Application Research of Computers， 2015， 32（11）： 3201-3208.）