舒展翔 李騰飛 余祥,3 李強

1.國防科技大學(xué)電子對抗學(xué)院安徽合肥230037 2.解放軍61428 部隊北京100072 3.國防科技大學(xué)計算機學(xué)院湖南長沙410073

指揮信息系統(tǒng)作為現(xiàn)代軍事活動的重要組成部分,扮演著軍隊的“大腦中樞” 角色.基于傳統(tǒng)C/S體系結(jié)構(gòu)的指揮信息系統(tǒng)用戶權(quán)限管理機制依賴于中心化的數(shù)據(jù)庫,用戶信息及其操作權(quán)限通常以“鍵–值對”(Key-Value Pairs)的形式存儲在數(shù)據(jù)庫中,消耗大量的存儲資源,而且安全性也難以保證,一旦發(fā)生宕機、數(shù)據(jù)泄漏、非法入侵等現(xiàn)象,都將對指揮信息系統(tǒng)的工作效能產(chǎn)生嚴(yán)重影響[1?4].同時,現(xiàn)有的指揮信息系統(tǒng)用戶權(quán)限管理機制完全由系統(tǒng)的開發(fā)、維護(hù)人員主導(dǎo),即由這些人員負(fù)責(zé)對用戶權(quán)限進(jìn)行授權(quán).這種授權(quán)方式存在權(quán)限劃分模式單一、受人為因素影響較大等問題,使系統(tǒng)面臨著內(nèi)部用戶越級訪問、惡意篡改敏感數(shù)據(jù)的威脅[3].

區(qū)塊鏈?zhǔn)且环N去中心化、去信任化、時序數(shù)據(jù)、集體維護(hù)、可編程的基礎(chǔ)架構(gòu)與計算范式[5?11],將指揮信息系統(tǒng)建立在區(qū)塊鏈上,利用區(qū)塊鏈的分布式、高冗余的數(shù)據(jù)存儲功能以及無可抵賴、無法篡改的數(shù)據(jù)記錄功能,能夠極大地提高指揮信息系統(tǒng)的健壯性.本文提出一種基于區(qū)塊鏈的指揮信息系統(tǒng)用戶權(quán)限管理方案,該方案基于區(qū)塊鏈的“多鏈”架構(gòu)和BLP 訪問控制模型,實現(xiàn)了針對不同類型用戶的權(quán)限管理功能.

本文第1 節(jié)提出一種基于區(qū)塊鏈的指揮信息系統(tǒng)用戶權(quán)限管理方案,詳細(xì)描述該方案的基本架構(gòu)和相關(guān)定義,第2 節(jié)提出了適用于指揮信息系統(tǒng)的用戶權(quán)限策略,并從實現(xiàn)過程的角度對策略進(jìn)行了設(shè)計與分析,第3 節(jié)通過實驗和對比分析的形式驗證本文方法的可行性,第4 節(jié)總結(jié)全文并指明下一步的研究方向.

1 基于區(qū)塊鏈的指揮信息系統(tǒng)用戶權(quán)限管理

1.1 技術(shù)基礎(chǔ)

1.1.1 “多鏈”區(qū)塊鏈

“多鏈”區(qū)塊鏈拋棄了傳統(tǒng)的區(qū)塊鏈的“單鏈”架構(gòu),采用“一鏈一合約”、“多鏈多業(yè)務(wù)”的設(shè)計,通過在每條區(qū)塊鏈上掛載智能合約的方式保障了業(yè)務(wù)資源的隔離性,同時降低了“單鏈”中數(shù)據(jù)的處理壓力,確保了一條“鏈”上的數(shù)據(jù)吞吐量激增不會對另一條“鏈” 的效率產(chǎn)生影響.這一創(chuàng)新極大地簡化了區(qū)塊鏈的架構(gòu),增強了區(qū)塊鏈的靈活性和可擴展性,目前已被Hyperledger[12]、Corda[13]、Cosmos[14]等開源區(qū)塊鏈項目所廣泛應(yīng)用.

1.1.2 BLP 訪問控制模型

BLP 模型[15?16]是由D Elliott Bell 和J Leonard LaPadula 于1973年提出并于1976年整合完善的一種多級安全模型,是最早也是最流行的保密性訪問控制模型,目前已在國內(nèi)外的軍方部門和政府機構(gòu)中得到廣泛的應(yīng)用.該模型從保密性策略的角度出發(fā),結(jié)合了強制訪問控制模型(MAC 模型) 和自主訪問控制模型(DAC 模型),通過“禁止上讀、禁止下寫”的策略控制數(shù)據(jù)的流通方向,防止數(shù)據(jù)信息從高密級主體流向低密級主體,其安全公理可概括為:1)簡單安全特性: 當(dāng)且僅當(dāng)主體安全等級大于或等于客體安全等級時,讀操作被允許; 2)*- 特性: 當(dāng)且僅當(dāng)主體安全等級小于或等于客體安全等級時,寫操作被允許.

1.1.3 區(qū)塊鏈智能合約

智能合約的概念最早由學(xué)者Nick Szabo 提出[17],定義其為一種“通過計算機執(zhí)行合同條款的交易協(xié)議”,即通過代碼程序來自動執(zhí)行合同.在區(qū)塊鏈系統(tǒng)中,智能合約是指存儲在區(qū)塊鏈上能夠自動運行的程序,具備可編程性、原子性、一致性等特點,區(qū)塊鏈系統(tǒng)可借助封裝、部署在其分布式節(jié)點中的智能合約自動執(zhí)行區(qū)塊鏈的業(yè)務(wù)邏輯,而無需第三方的監(jiān)督.

1.2 基本架構(gòu)和定義

傳統(tǒng)的指揮信息系統(tǒng)用戶權(quán)限管理機制普遍存在授權(quán)模式單一化、中心化、缺乏有效的記錄和審計手段等問題,在實際應(yīng)用中存在較大的安全隱患,為此,設(shè)計了基于區(qū)塊鏈的指揮信息系統(tǒng)用戶權(quán)限管理方案.該方案的設(shè)計過程分為兩個步驟:

1)基于“多鏈”區(qū)塊鏈對指揮信息系統(tǒng)中不同的業(yè)務(wù)席位進(jìn)行劃分.其中,每個業(yè)務(wù)席位都需要維護(hù)一條區(qū)塊鏈,不同的區(qū)塊鏈上分別存儲不同的數(shù)據(jù)區(qū)塊,從而在指揮信息系統(tǒng)中實現(xiàn)業(yè)務(wù)數(shù)據(jù)之間的相互隔離.

2)基于BLP 訪問控制模型的安全公理,設(shè)計指揮信息系統(tǒng)的用戶權(quán)限管理策略,將這些策略寫入?yún)^(qū)塊鏈智能合約,并掛載到不同的業(yè)務(wù)席位中.所有的業(yè)務(wù)席位操作用戶都需要在用戶權(quán)限策略的指導(dǎo)下完成對應(yīng)的安全操作行為,策略的執(zhí)行記錄都將不可逆地存儲到區(qū)塊鏈中.通過用戶權(quán)限策略的執(zhí)行,能夠有效防止內(nèi)部用戶對指揮信息系統(tǒng)敏感數(shù)據(jù)的越權(quán)訪問、惡意篡改等行為,從而保證指揮信息系統(tǒng)的安全性.

如圖1所示,基于區(qū)塊鏈的指揮信息系統(tǒng)用戶權(quán)限管理方案(以下簡稱“用戶權(quán)限管理方案”)的底層架構(gòu)為“多鏈”區(qū)塊鏈,其中圖1(a)表示基于“多鏈”的指揮信息系統(tǒng)架構(gòu),圖1(b)代表指揮信息系統(tǒng)業(yè)務(wù)分群的組成結(jié)構(gòu).

圖1 基于“多鏈”的指揮信息系統(tǒng)體系組成圖

相關(guān)的定義描述:

定義1.用戶集合U={u1,u2,··· ,un}.U表示指揮信息系統(tǒng)的外部用戶集合,所有用戶都需要通過遠(yuǎn)程客戶端登入指揮信息系統(tǒng)之后,才能夠執(zhí)行對應(yīng)的數(shù)據(jù)操作.

定義2.業(yè)務(wù)分群BKx={bkx1,bkx2,··· ,bkxn},BKx表示擁有相同安全等級標(biāo)識的“單鏈”區(qū)塊鏈集合.BKx中的子元素bkx1,x2,···稱作業(yè)務(wù)席位,是記錄不同業(yè)務(wù)數(shù)據(jù)的“單鏈”,并且處于同一安全等級.

定義3.共識節(jié)點群.共識節(jié)點群由高性能數(shù)據(jù)處理節(jié)點組成,為參與到同一業(yè)務(wù)分群的業(yè)務(wù)席位提供對應(yīng)的共識服務(wù),即對單位時間內(nèi)產(chǎn)生的區(qū)塊按照時間序列進(jìn)行接收、封裝、排序,并轉(zhuǎn)發(fā)送到不同的業(yè)務(wù)席位中.

定義4.記賬節(jié)點.記賬節(jié)點是最基本的工作節(jié)點,每一個記賬節(jié)點都需要加入到不同的業(yè)務(wù)席位中,負(fù)責(zé)驗證從共識節(jié)點群轉(zhuǎn)發(fā)的區(qū)塊數(shù)據(jù)的正確性,并且每個記賬節(jié)點都會維持區(qū)塊鏈的數(shù)據(jù)備份.

定義5.通信節(jié)點.通信節(jié)點是一種特殊的記賬節(jié)點,它負(fù)責(zé)與共識節(jié)點群進(jìn)行通信,接收、轉(zhuǎn)發(fā)來自業(yè)務(wù)席位或共識節(jié)點群的消息.

定義6.訪問權(quán)限集合b.其中b(s:x,y,··· ,z)=b?×O×A.S為訪問主體集,O為訪問客體集,A={r,a,w}為訪問屬性集(r表示只讀操作、a表示只寫操作、w表示讀寫操作).

定義7.安全等級標(biāo)識表示安全等級函數(shù),是安全等級l的有效映射,即fS:S→lS,可用fux、fbky分別表示用戶、業(yè)務(wù)席位的安全等級函數(shù)；g表示可操作對象的部門類別,g是的子集.

定義8.支配關(guān)系.表示狀態(tài)控制的二元關(guān)系,例如xy,表示x能夠支配y的狀態(tài).則可表示f1≥f2∧g1?g2,結(jié)合定義6 和定義7 可得,BLP 模型的安全規(guī)則可表示如下:

1)實現(xiàn)SS 屬性當(dāng)且僅當(dāng):

2)設(shè)是S的一個子集,表示是受*-屬性控制的訪問主體集合,則實現(xiàn)*-屬性當(dāng)且僅當(dāng):

“用戶權(quán)限管理方案” 通過“多鏈” 區(qū)塊鏈架構(gòu)劃分了處于同一安全級別lx下不同的業(yè)務(wù)席位,將同一安全等級的業(yè)務(wù)席位組成業(yè)務(wù)分群BKi(i=0,1,2,···),每一個業(yè)務(wù)分群分別包含若干業(yè)務(wù)席位bkij(j=0,1,2,···),而這些業(yè)務(wù)席位由指揮信息系統(tǒng)中的若干分布式節(jié)點組成,這些節(jié)點分別存儲并維護(hù)一條相同的區(qū)塊鏈.用戶ux不同于數(shù)據(jù)節(jié)點,它是業(yè)務(wù)席位bky的實際操作者,在此假設(shè)所有的用戶ux均擁有可信身份,且?guī)в邪踩燃墭?biāo)簽

此外,為了滿足“用戶權(quán)限管理方案”的相關(guān)需求,本文對數(shù)據(jù)區(qū)塊的組成結(jié)構(gòu)進(jìn)行了一定的調(diào)整,新的區(qū)塊結(jié)構(gòu)如圖2所示.新的數(shù)據(jù)區(qū)塊在保留區(qū)塊Hash 值、時間戳、數(shù)字簽名等原有字段的基礎(chǔ)之上,添加了DHT 索引值、業(yè)務(wù)數(shù)據(jù)、策略名稱、訪問類型、用戶標(biāo)識、業(yè)務(wù)席位標(biāo)識等字段.其中,區(qū)塊體上的數(shù)據(jù)通過分布式哈希技術(shù)(Distributed Hash Table,簡稱DHT)映射到本地的分布式數(shù)據(jù)庫中,操作者可將區(qū)塊的DHT 索引值經(jīng)過Hash 運算得到一個地址值,對區(qū)塊體數(shù)據(jù)進(jìn)行尋址.這種數(shù)據(jù)存儲方式有效地降低了單個區(qū)塊的存儲空間和工作帶寬,并且最大限度地保留了區(qū)塊鏈的傳統(tǒng)優(yōu)勢.DHT 的實現(xiàn)原理以及具體的使用方法不在本文的討論范圍之內(nèi),故在此不作詳述.

圖2 ”權(quán)限數(shù)據(jù)”區(qū)塊結(jié)構(gòu)圖

2 用戶權(quán)限策略

用戶權(quán)限策略是指揮信息系統(tǒng)安全操作行為的準(zhǔn)則,它以區(qū)塊鏈智能合約作為執(zhí)行載體,能夠被所有的操作用戶調(diào)用,并按照策略邏輯自動執(zhí)行.用戶權(quán)限策略按照功能劃分可分為訪問控制策略、業(yè)務(wù)數(shù)據(jù)共享策略和安全等級修正策略3 類.

2.1 訪問控制策略

“用戶權(quán)限管理方案”需要對外部登入用戶的訪問請求進(jìn)行判別,并依據(jù)用戶的安全等級實現(xiàn)對外部用戶的訪問控制.訪問控制策略是驗證用戶單次訪問合法性的策略,通過執(zhí)行訪問控制策略,業(yè)務(wù)席位能夠?qū)Σ煌愋偷挠脩粼L問請求的合法性進(jìn)行判別,并作出自動的響應(yīng).

設(shè)用戶u為業(yè)務(wù)席bk的外部訪問者,u首先需要向bk中的某一個對等節(jié)點發(fā)送訪問請求,對等節(jié)點根據(jù)訪問請求類型觸發(fā)訪問控制策略,并在策略執(zhí)行完成后將執(zhí)行結(jié)果通過共識節(jié)點群在bk的全網(wǎng)節(jié)點中廣播,在得到全網(wǎng)節(jié)點共識后,bk將訪問控制策略的執(zhí)行結(jié)果計入到自身的區(qū)塊鏈中.訪問控制策略的一次成功的執(zhí)行過程如圖3所示.

訪問控制策略的實現(xiàn)算法描述如下:

算法1.AccessControl()

//描述: 依據(jù)用戶的安全等級,對用戶的訪問行為進(jìn)行控制.

//輸入: 用戶訪問請求Reqaccess

//輸出:bk對訪問請求進(jìn)行判定,如果允許訪問,輸出訪問動作Actu和訪問行為記錄區(qū)塊Blockaccess；如果拒絕訪問,輸出False.

算法1 是實現(xiàn)訪問控制策略的總體算法.算法的輸入是用戶對業(yè)務(wù)席位的訪問請求Reqaccess,它的組成如式(3)所示.

該算法首先定義了用戶u和業(yè)務(wù)席位bk的身份標(biāo)識IDx,由定義8,通過計算兩者安全等級之間的支配關(guān)系,得到匹配用戶u安全等級的合法訪問類型Taccess,并將它與Reqaccess中的子元素b?(u:x)進(jìn)行匹配,匹配成功則允許用戶u執(zhí)行Taccess,否則返回False.訪問請求執(zhí)行完畢后,用戶u將執(zhí)行結(jié)果進(jìn)行Hash 散列處理后使用自身的私鑰簽名,得到簽名值S igu,再將S igu與訪問權(quán)限類型、用戶身份信息一同進(jìn)行打包,組成新的數(shù)據(jù)區(qū)塊Blockaccess并輸出.最后,Blockaccess由業(yè)務(wù)席位bk中的某一對等節(jié)點接收,經(jīng)由共識節(jié)點進(jìn)行全網(wǎng)廣播后加入到bk的區(qū)塊鏈中,策略執(zhí)行過程結(jié)束.

圖3 訪問控制策略執(zhí)行時序圖

算法1 通過用戶與業(yè)務(wù)席位的安全等級標(biāo)識對比,判定用戶訪問請求的合法性,并將判定結(jié)果記錄到區(qū)塊鏈中.算法1 的執(zhí)行過程為線性過程,其算法復(fù)雜度為O(c+CN),其中c、CN均為常數(shù),數(shù)值由用戶和業(yè)務(wù)席位所處的網(wǎng)絡(luò)環(huán)境以及共識節(jié)點群的性能所決定.

2.2 業(yè)務(wù)數(shù)據(jù)共享策略

在“用戶權(quán)限管理方案” 限定的同一業(yè)務(wù)分群中,不同的業(yè)務(wù)席位之間可能需要涉及相關(guān)業(yè)務(wù)數(shù)據(jù)的交換,來達(dá)到分群內(nèi)資源共享的目的.

規(guī)定用戶u1對業(yè)務(wù)席位bk1擁有“讀寫” 權(quán)限b(u1:w),用戶u2對業(yè)務(wù)席位bk2擁有“讀寫”權(quán)限b(u2:w),且由于業(yè)務(wù)需要,u1需要將其在bk1中處理的數(shù)據(jù)集Tdata向u2共享,那么指揮信息系統(tǒng)就需要執(zhí)行業(yè)務(wù)數(shù)據(jù)共享策略,實現(xiàn)業(yè)務(wù)數(shù)據(jù)集Tdata在bk1、bk2中共享的目的.業(yè)務(wù)數(shù)據(jù)共享策略的執(zhí)行過程如圖4所示.業(yè)務(wù)數(shù)據(jù)共享策略的實現(xiàn)算法描述如下:

算法2.DataSharing()

//描述: 在業(yè)務(wù)分群內(nèi)實現(xiàn)不同業(yè)務(wù)席位之間的業(yè)務(wù)數(shù)據(jù)共享.

//輸入: 業(yè)務(wù)數(shù)據(jù)集Tdata

//輸出:數(shù)據(jù)區(qū)塊New_Block

圖4 業(yè)務(wù)數(shù)據(jù)共享策略執(zhí)行時序圖

算法2 通過用戶在不同業(yè)務(wù)席位之間的區(qū)塊傳遞,實現(xiàn)了業(yè)務(wù)數(shù)據(jù)的共享過程.其中,算法規(guī)定了“用戶u1和u2都需要擁有‘讀寫’權(quán)限”的前提條件,這是為了限定業(yè)務(wù)席位數(shù)據(jù)的共享范圍,防止任意用戶對業(yè)務(wù)席位數(shù)據(jù)的共享操作.在該算法中,用戶u1首先生成數(shù)據(jù)集Tdata,并將Tdata打包生成初始區(qū)塊Genesis_Block,Genesis_Block的組成如式(4)所示.

其中,TimeS tamp表示區(qū)塊的時間戳,HashBlock為區(qū)塊整體的Hash 散列值,M代表區(qū)塊的數(shù)據(jù)信息,S igu1=M×S Ku1表示用戶u1的簽名值.M的組成如式(5)所示.

在式(5) 中,IDu1、IDbk1分別表示用戶u1和其所在的業(yè)務(wù)席位bk1的身份標(biāo)識,POLICY表示u1所執(zhí)行的策略名稱.

u1將初始區(qū)塊Genesis-Block發(fā)送到共識節(jié)點群,由共識節(jié)點群轉(zhuǎn)發(fā)給u2,u2在驗證Genesis-Block的正確性后,使用自身的私鑰S Ku2對Genesis-Block進(jìn)行簽名,生成新的區(qū)塊New-Block.在New-Block生成完畢后,u2將New-Block加入bk2中,并根據(jù)New-Block中的數(shù)據(jù)修改本地數(shù)據(jù)庫,再通過共識節(jié)點群轉(zhuǎn)發(fā)New-Block至u1,由u1驗證新區(qū)塊的簽名值.如果驗證成功,將New-Block加入到bk1的區(qū)塊鏈中,結(jié)束本次策略執(zhí)行過程.算法的復(fù)雜度為O(c1+c2+2CN),其中c1、c2、CN均為常數(shù),數(shù)值分別由用戶u1和u2所處的網(wǎng)絡(luò)環(huán)境以及共識節(jié)點群的性能決定.

2.3 安全等級修正策略

隨著指揮信息系統(tǒng)實際業(yè)務(wù)需求的發(fā)展,業(yè)務(wù)分群中的某些業(yè)務(wù)席位需要進(jìn)行適當(dāng)?shù)恼{(diào)整,這些席位可能需要離開原有的業(yè)務(wù)分群而加入到其他業(yè)務(wù)分群中.“用戶權(quán)限管理方案”的安全等級修正策略能夠有效地適應(yīng)這一需求.策略的執(zhí)行過程如圖5所示.

在圖5所示的策略執(zhí)行過程中,規(guī)定用戶u3對業(yè)務(wù)席位bk3擁有“讀寫” 權(quán)限b(u3:w),用戶u4對業(yè)務(wù)席位bk4擁有“讀寫” 權(quán)限b(u4:w),且產(chǎn)生修正請求Reqtransfer并將其封裝到一個數(shù)據(jù)區(qū)塊中發(fā)送至共識節(jié)點群,從而觸發(fā)業(yè)務(wù)席位安全等級修正策略.該策略的實現(xiàn)算法如下:

算法3.Sec-LevelChange()

//描述: 更改業(yè)務(wù)席位bk3的安全等級,使其加入到另一業(yè)務(wù)分群中.

//輸入: 安全等級修正請求Reqtransfer

//輸出: 數(shù)據(jù)區(qū)塊New-Block,安全等級標(biāo)識

圖5 業(yè)務(wù)席位安全等級修正策略執(zhí)行時序圖

該算法的輸入是面向業(yè)務(wù)席位bk3的安全等級修正請求Reqtransfer,由用戶u3提交,其中u3擁有“讀寫”權(quán)限.u3首先將修正請求Reqtransfer打包,封裝入初始區(qū)塊GenesisBlock(組成結(jié)構(gòu)見式(4)、式(5)) 中,再將GenesisBlock發(fā)送到共識節(jié)點群,由共識節(jié)點群轉(zhuǎn)發(fā)給從屬于另一業(yè)務(wù)分群的用戶u4,u4在驗證GenesisBlock的正確性后,使用自身的私鑰S Ku4對GenesisBlock進(jìn)行簽名,生成新的區(qū)塊NewBlock.隨后,u4將NewBlock加入bk4中,并通過共識節(jié)點群將NewBlock轉(zhuǎn)發(fā)給u3,u3通過解密u4的簽名值確認(rèn)區(qū)塊信息,最后將NewBlock加入到bk3中,并將bk3的安全等級標(biāo)識更改為,從而完成策略的執(zhí)行過程.

算法3 描述了業(yè)務(wù)席位安全等級的修改過程,算法通過從屬于不同業(yè)務(wù)分群的用戶u3、u4之間的區(qū)塊傳遞與驗證,從而實現(xiàn)了業(yè)務(wù)席位bk3的安全等級標(biāo)識由到的替換.算法3 的復(fù)雜度為O(c3+c4+2CN),c3、c4、CN均為常數(shù),數(shù)值由用戶u3和u4所處的網(wǎng)絡(luò)環(huán)境以及共識節(jié)點群的性能決定.

3 可行性分析

為驗證“用戶權(quán)限管理方案” 的可行性,基于區(qū)塊鏈平臺Hyperledger Fabric v1.0.0 模擬一個包含若干數(shù)據(jù)節(jié)點的分布式網(wǎng)絡(luò)環(huán)境,使用“鏈碼”(Hyperledger Fabric 系統(tǒng)中的智能合約) 實現(xiàn)3種用戶權(quán)限策略,由測試工具wrk[18]模擬網(wǎng)絡(luò)中的數(shù)據(jù)區(qū)塊產(chǎn)生過程,對“多鏈”架構(gòu)和傳統(tǒng)“單鏈”架構(gòu)的單位時間數(shù)據(jù)吞吐量(Transactions Per Seconds,TPS)進(jìn)行測試.

測試結(jié)果表明,基于“多鏈” 架構(gòu)的“用戶權(quán)限管理方案”的TPS 平均值達(dá)到了290.84,而同等測試環(huán)境下的“單鏈”TPS 平均值僅為86.59.因此,基于“多鏈”架構(gòu)的指揮信息系統(tǒng)用戶權(quán)限管理機制具備更高的數(shù)據(jù)利用率.此外,該方案相較于傳統(tǒng)的指揮信息系統(tǒng)用戶權(quán)限管理機制,還具備以下優(yōu)勢:

1) 基于區(qū)塊鏈技術(shù)建立了去中心、無法篡改、不可抵賴的權(quán)限執(zhí)行記錄,對用戶的操作行為進(jìn)行有效控制的同時,提高了指揮信息系統(tǒng)用戶權(quán)限管理機制的容災(zāi)備份能力；

2)充分利用了區(qū)塊鏈智能合約強制性、原子性和自動化的特點,使得用戶權(quán)限策略的執(zhí)行過程無法受到人為不可控因素的影響；

3) 由于區(qū)塊鏈數(shù)據(jù)公開化、透明化的特點,使得用戶權(quán)限策略的執(zhí)行結(jié)果公開可見,便于第三方監(jiān)督機構(gòu)對用戶的權(quán)限執(zhí)行記錄進(jìn)行實時的驗證、審計.

綜上所述,基于“多鏈” 架構(gòu)的“用戶權(quán)限管理方案”相比于原有的指揮信息系統(tǒng)權(quán)限管理機制,具備更佳的安全性和可受監(jiān)管性.同時擴展了原有的“單鏈”區(qū)塊鏈架構(gòu),提升了數(shù)據(jù)的利用效率,符合當(dāng)前高載荷、高并發(fā)的指揮信息系統(tǒng)架構(gòu)建設(shè)需求.

4 結(jié)論

本文針對傳統(tǒng)的指揮信息系統(tǒng)用戶權(quán)限管理方法存在的權(quán)限數(shù)據(jù)存儲中心化、權(quán)限劃分模式單一化、安全性難以保證等問題,結(jié)合指揮信息系統(tǒng)的工作特性,基于“多鏈”區(qū)塊鏈架構(gòu)和BLP 訪問控制模型,提出了一種全新的用戶權(quán)限管理方案,設(shè)計了相關(guān)的用戶權(quán)限策略,并通過實驗的對比與分析驗證了方案的可行性.下一步將利用區(qū)塊鏈和國產(chǎn)CFL認(rèn)證體制[19],研究面向指揮信息系統(tǒng)操作用戶的可信認(rèn)證機制,實現(xiàn)非法用戶過濾、傳輸信息安全性驗證以及可信用戶的安全等級標(biāo)識生成等技術(shù),進(jìn)一步提升指揮信息系統(tǒng)的安全性.