基于主从多链的数据分类分级访问控制模型

doi:10.11772/j.issn.1001-9081.2023040529

《计算机应用》唯一官方网站 ›› 2024, Vol. 44 ›› Issue (4): 1148-1157.DOI: 10.11772/j.issn.1001-9081.2023040529

所属专题：网络空间安全

基于主从多链的数据分类分级访问控制模型

陈美宏¹, 袁凌云¹^,²(), 夏桐¹

^1.云南师范大学信息学院，昆明 650500
^2.民族教育信息化教育部重点实验室（云南师范大学），昆明 650500

收稿日期:2023-05-06 修回日期:2023-08-03 接受日期:2023-08-07 发布日期:2023-12-04 出版日期:2024-04-10
通讯作者: 袁凌云
作者简介:陈美宏（1999—），女（土家族），湖北恩施人，硕士研究生，主要研究方向：区块链、访问控制、联邦学习
袁凌云（1980—），女，云南昭通人，教授，博士，CCF会员，主要研究方向：物联网安全、区块链、传感器网络 blues520@sina.com
夏桐（1998—），女，河南信阳人，硕士研究生，主要研究方向：访问控制、可解释机器学习。
基金资助:
国家自然科学基金资助项目(62262073);云南省重大科技专项计划项目(202202AE090011);云南省应用基础研究计划项目(202101AT070098);云南省万人计划青年拔尖人才项目(YNWR?QNBJ?2019?237);云南师范大学研究生创新基金资助项目(YJSJJ23?B179)

Data classified and graded access control model based on master-slave multi-chain

Meihong CHEN¹, Lingyun YUAN¹^,²(), Tong XIA¹

^1.School of Information Science and Technology，Yunnan Normal University，Kunming Yunnan 650500，China
^2.Key Laboratory of Educational Informatization for Nationlities，Ministry of Education （Yunnan Normal University），Kunming Yunnan 650500，China

Received:2023-05-06 Revised:2023-08-03 Accepted:2023-08-07 Online:2023-12-04 Published:2024-04-10
Contact: Lingyun YUAN
About author:CHEN Meihong， born in 1999， M. S.candidate. Her research interests include blockchain， access control， federated learning.
YUAN Lingyun， born in 1980， Ph. D.， professor. Her research interests include IoT security， blockchain， sensor network.
XIA Tong， born in 1998， M. S.candidate. Her research interests include access control， interpretable machine learning.
Supported by:
National Natural Science Foundation of China(62262073);Yunnan Province Major Science and Technology Special Plan(202202AE090011);Applied Basic Research Program Project of Yunnan Province(202101AT070098);Youth Top Talent Project of Yunnan Ten-Thousand Talents Plan(YNWR-QNBJ-2019-237);Graduate Innovation Fund of Yunnan Normal University(YJSJJ23-B179)

摘要/Abstract

摘要：

为解决数据混合存储导致精准查找速度慢、数据未分类分级管理造成安全治理难等问题，构建基于主从多链的数据分类分级访问控制模型，实现数据的分类分级保障与动态安全访问。首先，构建链上链下混合式可信存储模型，以平衡区块链面临的存储瓶颈问题；其次，提出主从多链架构，并设计智能合约，将不同隐私程度的数据自动存储于从链；最后，以基于角色的访问控制为基础，构建基于主从多链与策略分级的访问控制（MCLP-RBAC）机制并给出具体访问控制流程设计。在分级访问控制策略下，所提模型的吞吐量稳定在360 TPS（Transactions Per Second）左右。与BC-BLPM方案相比，发送速率与吞吐量之比达到1∶1，具有一定优越性；与无访问策略相比，内存消耗降低35.29%；与传统单链结构相比，内存消耗平均降低52.03%；与数据全部上链的方案相比，平均存储空间缩小36.32%。实验结果表明，所提模型能有效降低存储负担，实现分级安全访问，具有高扩展性，适用于多分类数据的管理。

关键词: 区块链, 星际文件系统, 访问控制, 多分类, 数据安全

Abstract:

In order to solve the problems of slow accurate search speed due to mixed data storage and difficult security governance caused by unclassified and graded data management， a data classified and graded access control model based on master-slave multi-chain was built to achieve classified and graded protection of data and dynamic secure access. Firstly， a hybrid on-chain and off-chain trusted storage model was constructed to balance the storage bottleneck faced by blockchain. Secondly， a master-slave multi-chain architecture was proposed and smart contracts were designed to automatically store data with different privacy levels in the slave chain. Finally， based on Role-Based Access Control， a Multi-Chain and Level Policy-Role Based Access Control （MCLP-RBAC） mechanism was constructed and its specific access control process design was provided. Under the graded access control policy， the throughput of the proposed model is stabilized at around 360 TPS （Transactions Per Second）. Compared with the BC-BLPM scheme， it has a certain superiority in throughput， with the ratio of sending rate to throughput reaching 1∶1. Compared with no access strategy， the memory consumption is reduced by about 35.29%； compared with the traditional single chain structure， the memory average consumption is reduced by 52.03%. And compared with the scheme with all the data on the chain， the average storage space is reduced by 36.32%. The experimental results show the proposed model can effectively reduce the storage burden， achieve graded secure access， and suitable for the management of multi-class data with high scalability.

Key words: blockchain, Inter Planetary File System (IPFS), access control, multi-class, data security

中图分类号:

TP309.2

陈美宏, 袁凌云, 夏桐. 基于主从多链的数据分类分级访问控制模型[J]. 计算机应用, 2024, 44(4): 1148-1157.

Meihong CHEN, Lingyun YUAN, Tong XIA. Data classified and graded access control model based on master-slave multi-chain[J]. Journal of Computer Applications, 2024, 44(4): 1148-1157.

图/表 17

图1 本文模型架构

Fig. 1 Architecture of proposed model

图2 主从多链结构

Fig. 2 Master-slave multi-chain structure

图3 IPFS数据存储模式

Fig. 3 IPFS data storage mode

表1 角色-权限映射表

Tab. 1 Role permission mapping table

角色	等级	权限	安全等级
Admin	Ⅲ级	R、W_all、Q、U_all、D	4
DO	Ⅱ级	R、W_own、Q、U_own、D	$[1,4]$
DU	Ⅰ级	R、Q、D	$[1,4]$

表1 角色-权限映射表

Tab. 1 Role permission mapping table

角色	等级	权限	安全等级
Admin	Ⅲ级	R、W_all、Q、U_all、D	4
DO	Ⅱ级	R、W_own、Q、U_own、D	$[1,4]$
DU	Ⅰ级	R、Q、D	$[1,4]$

表2 符号说明

Tab. 2 Description of symbols

符号	含义	符号	含义
$U$	用户	$C e r t$	数字证书
$P K U$	$U$ 的公钥	$P o l i c y$	策略信息
$S K U$	$U$ 的私钥	$h a s h i p f s$	文件在IPFS的索引
$S i g ()$	签名	$S A$	主体属性，包括 $I D u s e r 、 r o l e$
$T 1, T 2, ⋯, T n$	时间戳	$R A$	客体属性，包括 $T y p e d a t a 、 l e v e l$
$M C$	主链	$O p A$	操作属性，包括读、写等
$S C$	从链	$r q$	用户请求request
$A c k$	确认信息	Time	证书的有效时长

表2 符号说明

Tab. 2 Description of symbols

符号	含义	符号	含义
$U$	用户	$C e r t$	数字证书
$P K U$	$U$ 的公钥	$P o l i c y$	策略信息
$S K U$	$U$ 的私钥	$h a s h i p f s$	文件在IPFS的索引
$S i g ()$	签名	$S A$	主体属性，包括 $I D u s e r 、 r o l e$
$T 1, T 2, ⋯, T n$	时间戳	$R A$	客体属性，包括 $T y p e d a t a 、 l e v e l$
$M C$	主链	$O p A$	操作属性，包括读、写等
$S C$	从链	$r q$	用户请求request
$A c k$	确认信息	Time	证书的有效时长

图4 访问控制流程

Fig. 4 Flow of access control

表3 响应测试说明

Tab. 3 Response test instructions

用户请求	访问策略	预设结果	实验组数	成功组数	失败组数
$D U i {I D, R e a d, A}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A = A & & P o l i c y i . o p = R e a d & & l e v e l i > l e v e l D a t a, 验证通过$	100	100	0
$D U i {I D, W r i t e, A}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$P o l i c y i . o p ≠ W r i t e, 验证不通过$	100	0	100
$D U i {I D, R e a d, B}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ A, 验证不通过$	100	0	100
$D U i {I D, W r i t e, B}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ B & & P o l i c y i . o p ≠ W r i t e, 验证不通过$	100	0	100
$D U i {I D, R e a d, C}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ C & & l e v e l i < l e v e l D a t a, 验证不通过$	100	0	100
$D U i {I D, W r i t e, C}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ C & & P o l i c y i . o p ≠ W r i t e & & l e v e l i < l e v e l D a t a, 验证不通过$	100	0	100

表3 响应测试说明

Tab. 3 Response test instructions

用户请求	访问策略	预设结果	实验组数	成功组数	失败组数
$D U i {I D, R e a d, A}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A = A & & P o l i c y i . o p = R e a d & & l e v e l i > l e v e l D a t a, 验证通过$	100	100	0
$D U i {I D, W r i t e, A}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$P o l i c y i . o p ≠ W r i t e, 验证不通过$	100	0	100
$D U i {I D, R e a d, B}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ A, 验证不通过$	100	0	100
$D U i {I D, W r i t e, B}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ B & & P o l i c y i . o p ≠ W r i t e, 验证不通过$	100	0	100
$D U i {I D, R e a d, C}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ C & & l e v e l i < l e v e l D a t a, 验证不通过$	100	0	100
$D U i {I D, W r i t e, C}$	$P o l i c y i D a t a A (R e a d ⋂ l e v e l i = 2)$	$D a t a A ≠ C & & P o l i c y i . o p ≠ W r i t e & & l e v e l i < l e v e l D a t a, 验证不通过$	100	0	100

表4 实验环境配置

Tab. 4 Experimental environment configuration

名称	详细配置
CPU	Intel Core i7-11700 @ 2.50 GHz
操作系统	Ubuntu 20.4，内存4 GB
开发平台	Hyperledger Fabric2.0.0，Docker20.10.7
账本数据库	CouchDB
编程语言	GO语言
IPFS	ipfs 0.18.1

图5 一段时间内单链和主从链吞吐量和交易成功数对比

Fig. 5 Comparison of throughput and transaction success between single chain and master-slave chain in a period of time

图6 不同从链数的最大时延

Fig. 6 Maximum latency with different number of slave chains

表5 单链和主从链资源开销对比

Tab. 5 Comparison of resource costs between single chain and master-slave chain

类型	CPU占用率/%		内存开销/MB		TrafficIn/MB	TrafficOut/MB
类型	max	avg	max	avg	TrafficIn/MB	TrafficOut/MB
单链	54.81	44.90	143.78	143.35	65.08	85.50
主从链	22.11	17.52	69.16	68.77	70.13	115.22

图7 存储空间占用对比

Fig. 7 Comparison of storage space occupancy

图8 不同策略下的吞吐量

Fig. 8 Throughput under different strategies

图9 不同策略下的资源开销

Fig. 9 Resource overhead under different strategies

表6 不同方案的功能性对比

Tab. 6 Comparison of scheme functions

方案	细粒度	灵活性	分类管理	策略分级	可扩展性	图片视频存储
文献［ 15］方案	√	√	×	√	×	×
文献［ 21］方案	√	×	×	×	√	√
文献［ 22］方案	√	√	×	√	√	√
本文方案	√	√	√	√	√	√

图10 一定发送速率下各方案吞吐量

Fig. 10 Throughputs of different schemes at certain send rate

表7 一定发送速率下各方案的时延对比

Tab. 7 Comparison of latency between different schemes at certain send rate

方案	发送速率/TPS	平均时延/s
文献［ 21］方案	390	6.07
文献［ 22］方案	50	0.74
本文方案	50	0.01
本文方案	390	0.01

参考文献 22

1	YANG L. The blockchain： state-of-the-art and research challenges［J］. Journal of Industrial Information Integration， 2019， 15： 80- 90. 10.1016/j.jii.2019.04.002
2	HERBADJI A， GOUMIDI H， HARBI Y， et al. Blockchain for the Internet of Vehicles security［M］// Blockchain for Cybersecurity and Privacy. Boca Raton： CRC Press， 2020： 159- 197. 10.1201/9780429324932-10
3	DI FRANCESCO MAESA D， MORI P. Blockchain 3.0 applications survey［J］. Journal of Parallel and Distributed Computing， 2020， 138： 99- 144. 10.1016/j.jpdc.2019.12.019
4	KUMAR R， TRIPATHI R. Implementation of distributed file storage and access framework using IPFS and blockchain［C］// Proceeding of the 2019 Fifth International Conference on Image Information Processing. Piscataway： IEEE， 2019： 246- 251. 10.1109/iciip47207.2019.8985677
5	AHMAD A， ASSD M， NJILLA L， et al. BlockTrail： a scalable multichain solution for blockchain-based audit trails［C］// Proceeding of the 2019 IEEE International Conference on Communications. Piscataway： IEEE， 2019： 1- 6. 10.1109/icc.2019.8761448
6	KAN L， WEI Y， MUHAMMAD A H， et al. A multiple blockchains architecture on inter-blockchain communication［C］// Proceeding of the 2018 IEEE International Conference on Software Quality， Reliability and Security Companion. Piscataway： IEEE， 2018： 139- 145. 10.1109/qrs-c.2018.00037
7	梁秀波，吴俊涵，赵昱，等. 区块链数据安全管理和隐私保护技术研究综述［J］. 浙江大学学报（工学版）， 2022， 56（ 1）： 1- 15.
	LIANG X B， WU J H， ZHAO Y， et al. Review of blockchain data security management and privacy protection technology research［J］. Journal of Zhejiang University （Engineering Science）， 2022， 56（ 1）： 1- 15.
8	ANDROUTSELLIS-THEOTOKIS S， SPINELLIS D. A survey of peer-to-peer content distribution technologies［J］. ACM Computing Surveys， 2004， 36（ 4）： 335- 371. 10.1145/1041680.1041681
9	苗新亮，常瑞，潘少平，等. 可信执行环境访问控制建模与安全性分析［J］. 软件学报， 2023， 34（ 8）： 3637- 3658.
	MIAO X L， CHANG R， PAN S P， et al. Modeling and security analysis of access control in trusted execution environment［J］. Journal of Software， 2023， 34（ 8）： 3637- 3658.
10	HASAN S S， SULTAN N H， BARBHUIYA F A. Cloud data provenance using IPFS and blockchain technology［C］// Proceedings of the Seventh International Workshop on Security in Cloud Computing. NewYork： ACM， 2019： 5- 12. 10.1145/3327962.3331457
11	ZHENG Q， LI Y， CHEN P， et al. An innovative IPFS-based storage model for blockchain ［C］ // Proceedings of the 2018 IEEE/WIC/ACM International Conference on Web Intelligence. Piscataway： IEEE， 2018： 704- 708. 10.1109/wi.2018.000-8
12	刘扬，胡学先，周刚，等. 基于多层次区块链的医疗数据共享模型［J］. 计算机应用研究， 2022， 39（ 5）： 1307- 1312，1318.
	LIU Y， HU X X， ZHOU G， et al. Multi-level blockchain based model for medical data sharing［J］. Application Research of Computers， 2022， 39（ 5）： 1307- 1312， 1318.
13	I-T CHOU， SU H-H， Y-L HSUEH， et al. BC-Store： a scalable design for blockchain storage［C］// Proceedings of the 2nd International Electronics Communication Conference. New York： ACM， 2020： 33- 38. 10.1145/3409934.3409940
14	蒋家昊，张璇，邓宏镜，等. 基于区块链的多部门数据共享访问控制流程建模［J］. 计算机集成制造系统， 2022， 28（ 10）： 3202- 3211.
	JIANG J H， ZHANG X， DENG H J， et al. Multi-departmental data sharing access control scheme on blockchain［J］. Computer Integrated Manufacturing System， 2022， 28（ 10）： 3202- 3211.
15	HUANG J， WU D. Access control model scheme based on policy grading in natural language processing blockchain environment［J］. Mobile Information Systems， 2022， 2022： 4365944. 10.1155/2022/4365944
16	CHANG J， NI J， XIAO J， et al. SynergyChain： a multichain-based data-sharing framework with hierarchical access control［J］. IEEE Internet of Things Journal， 2023， 9（ 16）： 14767- 14778. 10.1109/jiot.2021.3061687
17	ABDI A I， EASSA F E， JAMBI K， et al. Hierarchical blockchain-based multi-chaincode access control for securing IoT systems［J］. Electronics， 2022， 11（ 5）： 711. 10.3390/electronics11050711
18	RAKIB M H， HOSSAIN S， JAHAN M， et al. A blockchain-enabled scalable network log management system［J］. Journal of Computer Science， 2022， 18（ 6）： 496- 508. 10.3844/jcssp.2022.496.508
19	BENET J. IPFS — content addressed， versioned， P2P file system［EB/OL］. ［ 2023-04-01］. .
20	LIN I-C， LIAO T-C. A survey of blockchain security issues and challenges［J］. International Journal of Network Security， 2017， 19（ 5）： 653- 659.
21	JIANG Y， WANG C， WANG Y， et al. A cross-chain solution to integrating multiple blockchains for IoT data management［J］. Sensors， 2019， 19（ 9）： 2042. 10.3390/s19092042
22	YU X， SHU Z， LI Q， et al. BC-BLPM： a multi-level security access control model based on blockchain technology［J］. China Communications， 2021， 18（ 2）： 110- 135. 10.23919/jcc.2021.02.008

[1]	陈廷伟, 张嘉诚, 王俊陆. 面向联邦学习的随机验证区块链构建[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2770-2776.
[2]	孙淳, 胡春龙, 黄树成. 一致性保留的集成排序年龄估计方法[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2381-2386.
[3]	孙晓玲, 王丹辉, 李姗姗. 基于区块链的动态密文排序检索方案[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2500-2505.
[4]	黄河, 金瑜. 基于投票和以太坊智能合约的云数据审计方案[J]. 《计算机应用》唯一官方网站, 2024, 44(7): 2093-2101.
[5]	李皎, 张秀山, 宁远航. 降低跨分片交易比例的区块链分片方法[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1889-1896.
[6]	赵莉朋, 郭兵. 基于BDLS的区块链共识改进算法[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1139-1147.
[7]	李欣, 保利勇, 丁洪伟, 官铮. 基于MEC服务器优先服务的路侧单元MAC层调度策略[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1227-1235.
[8]	高改梅, 张瑾, 刘春霞, 党伟超, 白尚旺. 基于区块链与CP-ABE策略隐藏的众包测试任务隐私保护方案[J]. 《计算机应用》唯一官方网站, 2024, 44(3): 811-818.
[9]	马海峰, 李玉霞, 薛庆水, 杨家海, 高永福. 用于实现区块链隐私保护的属性基加密方案[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 485-489.
[10]	王伊婷, 万武南, 张仕斌, 张金全, 秦智. 基于SM9算法的可链接环签名方案[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3709-3716.
[11]	刘德渊, 张金全, 张鑫, 万武南, 张仕斌, 秦智. 基于无证书签密的跨链身份认证方案[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3731-3740.
[12]	孙科硕, 高海英, 宋杨. 面向公有区块链上的私有区块链的多权威属性加密方案[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3699-3708.
[13]	方鹏, 赵凡, 王保全, 王轶, 蒋同海. 区块链3.0的发展、技术与应用[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3647-3657.
[14]	陈姿芊, 牛科迪, 姚中原, 斯雪明. 适用于物联网的区块链轻量化技术综述[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3688-3698.
[15]	高婷婷, 姚中原, 贾淼, 斯雪明. 链上链下一致性保护技术综述[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3658-3668.

基于主从多链的数据分类分级访问控制模型

Data classified and graded access control model based on master-slave multi-chain

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 17

参考文献 22

相关文章 15

编辑推荐

Metrics