摘 要：針對汽車產(chǎn)業(yè)鏈資源信息多源異構(gòu)、跨平臺交互建立困難的問題，提出了一種基于區(qū)塊鏈的跨域權(quán)限委托方法（BCPDM）。該方法首先將區(qū)塊鏈技術(shù)與基于屬性的訪問控制（ABAC）模型相結(jié)合，并建立權(quán)限過濾功能，以避免平臺間權(quán)限沖突；其次，引入權(quán)限收回機制，提高模型授權(quán)的靈活性，避免長時間授權(quán)可能導致的信息泄露問題，旨在以靈活、動態(tài)、高效和可信的方式解決復雜汽車產(chǎn)業(yè)鏈多域環(huán)境下的訪問授權(quán)問題。經(jīng)安全性分析與實驗表明：所提方法在復雜汽車產(chǎn)業(yè)鏈多域環(huán)境中能夠保證用戶的安全訪問和各平臺之間的數(shù)據(jù)信息交互，并且計算開銷低。該方法能夠滿足汽車產(chǎn)業(yè)鏈協(xié)同交互的實時要求，為解決復雜汽車產(chǎn)業(yè)鏈中的訪問控制問題提供了一種可行的解決方案。

關(guān)鍵詞：汽車產(chǎn)業(yè)鏈； 跨域訪問； 區(qū)塊鏈； 權(quán)限委托

中圖分類號：TP309 文獻標志碼：A

文章編號：1001-3695（2024）08-006-2284-08

doi：10.19734/j.issn.1001-3695.2023.12.0584

Blockchain-based permission delegation method for automotive industry chain

Deng Liangming1， Li Binyong1，2， Deng Xianhui1

（1.School of Cybersecurity（Xin Gu Industrial College）， Chengdu University of Information Technology， Chengdu 610225， China; 2.Advanced Cryptography & System Security Key Laboratory of Sichuan Province， Chengdu 610225， China）

Abstract：Aiming at the problems of multi-source heterogeneity of automotive industry chain resource information and the difficulty of establishing cross-platform interaction， this paper proposed a blockchain-based cross-domain permission delegation mode（BCPDM）. Firstly， it combined blockchain technology with attribute-based access control（ABAC） model， and established a permission filtering function to avoid inter-platform permission conflicts. Secondly， it introduced a permission retraction mechanism to improve the flexibility of the model authorization and avoid the problem of information leakage that might be caused by prolonged authorization， aiming to solve the access authorization problem under the multidomain environment of complex automotive industry chain in a flexible， dynamic， efficient and trustworthy way. The security analysis and experimental results show that the proposed method can ensure the safe access of users and data and information interaction between platforms in the multi-domain environment of complex automotive industry chain， and the computational overhead is low. The method can meet the real-time requirements of automobile industry chain cooperative interaction， and provides a feasible solution for solving the access control problem in complex automobile industry chain.

Key words：automotive industry chain; cross-domain access; blockchain; delegation of authority

0 引言

汽車產(chǎn)業(yè)鏈是指涵蓋汽車設(shè)計、研發(fā)、制造、銷售和售后服務(wù)等各個環(huán)節(jié)的產(chǎn)業(yè)體系。它由多個相關(guān)的產(chǎn)業(yè)和環(huán)節(jié)組成，包括原材料供應平臺、零部件制造平臺、汽車制造平臺、銷售平臺、經(jīng)銷平臺、售后服務(wù)提供平臺等。這些環(huán)節(jié)共同合作，形成一個相互依存的產(chǎn)業(yè)生態(tài)系統(tǒng)，以滿足汽車市場的需求。這個龐大的產(chǎn)業(yè)鏈為汽車行業(yè)的發(fā)展和運作提供了支撐，同時也促進了相關(guān)產(chǎn)業(yè)的發(fā)展和經(jīng)濟的增長［1，2］。

汽車產(chǎn)業(yè)鏈多域環(huán)境是指在汽車產(chǎn)業(yè)鏈中存在多個相互獨立的域，每個域都代表著一個獨立的組織，擁有自己的管理策略、訪問控制規(guī)則和資源。在這樣的環(huán)境中，不同部門或者業(yè)務(wù)單元可能運行在不同的域中，每個域有自己的用戶賬號和訪問權(quán)限控制。

汽車產(chǎn)業(yè)鏈上不同參與方之間需要進行數(shù)據(jù)交換和協(xié)作，因此，汽車產(chǎn)業(yè)鏈多域環(huán)境下平臺間的信任安全和平臺間數(shù)據(jù)權(quán)限交互安全問題是汽車產(chǎn)業(yè)鏈發(fā)展的兩個障礙，為解決這些問題，汽車產(chǎn)業(yè)鏈需要建立健全的訪問策略和機制。研究表明，基于屬性的訪問控制［3］是解決汽車產(chǎn)業(yè)鏈上平臺安全訪問的一種優(yōu)秀策略。相對于傳統(tǒng)的訪問控制機制，如訪問控制列表（ACL）［4］、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）［5］，ABAC具有以下優(yōu)勢：面向ACL的伸縮性和粒度有限，MAC存在動態(tài)適應性差的問題，RBAC需要事先定義大量角色并將用戶綁定到某個角色進行授權(quán)，可能導致角色爆炸等問題，ABAC基于主體和客體的屬性進行訪問決策，通過預定義的合法用戶列表和屬性或?qū)傩约?］，以訪問策略約束某個用戶在特定條件下對數(shù)據(jù)的操作，從而實現(xiàn)更細粒度的訪問控制決策。然而，隨著計算機的不斷發(fā)展，ABAC也面臨著一些挑戰(zhàn)。隨著模型中屬性和屬性集的增長，系統(tǒng)開銷會增加，訪問效率會降低。此外，大多數(shù)ABAC模型都依賴于集中式的授權(quán)實體進行訪問決策，存在單點故障的風險。區(qū)塊鏈作為一種可用且安全的體系結(jié)構(gòu)［7～12］，在與訪問控制結(jié)合的場景下［13，14］具有良好的應用前景，可以解決訪問控制模型中的單點故障問題。葉進等人［15］針對供應鏈引入數(shù)據(jù)分級的思想，可以實現(xiàn)更細粒度的訪問控制策略，但隨著策略數(shù)量的不斷增多，訪問控制機制在時間開銷上的成本也會相應擴大，并出現(xiàn)策略管理困難的問題。張建標等人［16］提出了一種基于區(qū)塊鏈的跨域ABAC模型，利用統(tǒng)一的屬性標準來控制域之間的訪問策略，并根據(jù)訪問策略進行授權(quán)。TACE［17］針對利益沖突域?qū)е碌男畔⑿孤秵栴}提出了一種集成區(qū)塊鏈的轉(zhuǎn)移訪問檢查和執(zhí)行以及可能的權(quán)限路徑檢測的算法，然而，該算法沒有進行正式的建模和驗證。BCAI［18］是一種應用于物聯(lián)網(wǎng)的去中心化權(quán)限委托模型，實現(xiàn)了物聯(lián)網(wǎng)交互所需的權(quán)限轉(zhuǎn)移、分散用戶權(quán)力和協(xié)同工作的功能，從而實現(xiàn)對資源的安全細粒度訪問，然而，該模型沒有解決跨域環(huán)境下的權(quán)限授權(quán)問題。BCCA［19］為了解決多個域認證方案的安全性和效率問題，提出了一種基于區(qū)塊鏈信任模型和系統(tǒng)架構(gòu)的方法，該方法在PKI認證體系的基礎(chǔ)上驗證簽名在聯(lián)盟鏈上的認證效率更好。

針對數(shù)據(jù)權(quán)限交互安全，研究表明，權(quán)限委托能很好地解決汽車產(chǎn)業(yè)鏈上不同平臺無法獲取其他域的完整信息，能更加精確地將用戶權(quán)限轉(zhuǎn)移并解決復雜環(huán)境下的權(quán)限轉(zhuǎn)移安全性問題。在復雜的汽車產(chǎn)業(yè)鏈環(huán)境中，M-PBDM模型［20］針對汽車生產(chǎn)中的復雜工作流和非工作流場景為工作人員分配合理的生產(chǎn)權(quán)限，以避免制造協(xié)同工作效率低下的問題。然而，模型無法滿足跨域訪問的需求，在委托元素擴大時處理能力有限，由于汽車產(chǎn)業(yè)鏈上需供關(guān)系的多樣復雜性，該方案無法滿足產(chǎn)業(yè)鏈上所有平臺用戶的需求。為了滿足企業(yè)內(nèi)部復雜的權(quán)限訪問與數(shù)據(jù)共享，王秀利等人［21］提出一種屬性基加密的訪問控制模型，較好地解決了企業(yè)內(nèi)部訪問權(quán)限難以控制的問題。為解決訪問控制系統(tǒng)中無法細粒度管理令牌中權(quán)限的問題，UNFTO［22］根據(jù)有向超圖進行權(quán)限流通路徑追溯，并實現(xiàn)了令牌中權(quán)限的分割與組合，但該方案缺少對鏈上惡意節(jié)點的預防識別處理?，F(xiàn)有的汽車產(chǎn)業(yè)鏈權(quán)限委托仍存在一些局限性，主要局限于關(guān)注用戶訪問主體資源的安全性和權(quán)限授予的靈活性較低。目前的權(quán)限授予方式僅限于單次的授予，并且無法對被授權(quán)權(quán)限的主體進行有效管理。這種情況無法滿足汽車產(chǎn)業(yè)鏈多平臺之間數(shù)據(jù)權(quán)限交互的需求。本文認為，解決鏈上供需關(guān)系的多樣復雜性、滿足平臺用戶需求的關(guān)鍵在于實現(xiàn)汽車產(chǎn)業(yè)鏈跨多平臺之間的動態(tài)權(quán)限委托。因此，提出了一種基于汽車產(chǎn)業(yè)鏈的多域權(quán)限委托機制，具體方案為：

a）為確保權(quán)限在委托過程中不會被非法用戶獲取，在基于屬性的訪問控制（ABAC）模型的基礎(chǔ)上，設(shè)計了權(quán)限委托智能合約，支持對權(quán)限委托的安全性和可行性進行限制。通過設(shè)定權(quán)限委托的期限、次數(shù)、深度和路徑等參數(shù)，可以確保權(quán)限委托的安全性。

b）針對多域之間信息交互可能出現(xiàn)的域間利益沖突和多個域同時向一個域申請權(quán)限的安全性問題，本文提出了權(quán)限過濾算法。該算法能夠在權(quán)限委托過程中對權(quán)限進行過濾，以確保委托的安全性，并提供沖突警告。通過對權(quán)限請求進行分析和比較，可以檢測潛在的利益沖突，并及時發(fā)出警告，避免權(quán)限被濫用或沖突引起的安全問題。

c）針對以往權(quán)限委托僅限于單次授予權(quán)限和無法對授予權(quán)限的主體進行管理的問題，本文設(shè)計了能夠滿足一次多個權(quán)限委托的算法，并支持自動和手動撤銷已授予的權(quán)限。這使得模型能夠提供更細粒度、更安全的權(quán)限管理，保障汽車產(chǎn)業(yè)鏈上用戶的信息共享。通過自動化的權(quán)限收回機制，可以防止被授權(quán)對象濫用權(quán)限或進行惡意操作，確保權(quán)限的有效管理和使用。同時，通過安全分析對模型的性能進行驗證，可保證其在實際應用中的安全性。

1 基于區(qū)塊鏈的跨域權(quán)限委托模型

1.1 模型構(gòu)建

面對以整車平臺為核心，將其他企業(yè)和分支機構(gòu)分成上下游平臺的汽車產(chǎn)業(yè)鏈，在汽車產(chǎn)業(yè)鏈多域環(huán)境下的訪問控制面臨以下安全問題：

a）跨域訪問控制。不同域之間可能存在跨域訪問的需求，如整車平臺、合作伙伴或其他分支機構(gòu)需要訪問核心系統(tǒng)或敏感數(shù)據(jù)，這涉及到如何確?？缬蛟L問的安全性，以防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。

b）權(quán)限管理和策略一致性。在多域環(huán)境中，管理權(quán)限和策略的一致性是關(guān)鍵問題，不同域可能具有不同的訪問控制策略、角色定義和權(quán)限規(guī)則。

c）數(shù)據(jù)隔離和隱私保護。域之間的數(shù)據(jù)共享和訪問需要確保數(shù)據(jù)的隔離，需要采用適當?shù)谋Ｗo措施，以確保個人和敏感信息的保密性和合規(guī)性。

為了解決汽車產(chǎn)業(yè)鏈在多域環(huán)境下面臨跨域訪問的安全性和權(quán)限委托的可靠性和精確性問題，避免汽車產(chǎn)業(yè)鏈高投入、低效益的死循環(huán)情景，實現(xiàn)多方資源平臺上下協(xié)同，提升產(chǎn)業(yè)競爭力，本文提出一種基于區(qū)塊鏈的跨域權(quán)限委托模型（blockchain-based cross-domain permission delegation mode，BCPDM）。BCPDM部署在多域信息平臺的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，旨在實現(xiàn)在不同域之間安全、可控的委托和管理訪問權(quán)限，以實現(xiàn)資源共享和協(xié)同工作。在該模型中，合法節(jié)點只有在特定的地點、時間等一系列因素通過的情況下，通過跨域節(jié)點結(jié)合區(qū)塊鏈才能對其他域的資源信息進行授權(quán)訪問，以保證數(shù)據(jù)傳遞的安全性，實現(xiàn)鏈上智能合約權(quán)限傳遞。BCPDM的工作流程如圖2所示，主要包括域間訪問模塊（S流程）和域間授權(quán)模塊（R流程），其中域間訪問模塊將ABAC模型與區(qū)塊鏈結(jié)合，將ABAC模型中的各個功能執(zhí)行點以智能合約的形式來實現(xiàn)，確保訪問控制過程中的去中心化和透明性；域間授權(quán)模塊中被委托方需要經(jīng)過權(quán)限過濾和權(quán)限授予設(shè)計，只有在權(quán)限授予不沖突的情況下方可實現(xiàn)多域間的權(quán)限委托，很好地確保權(quán)限委托的可靠性和安全性，實現(xiàn)跨域資源的協(xié)同利用，提升整個產(chǎn)業(yè)鏈的效益和競爭力。

1.2 問題定義

針對不同域間的交互，使用Duser和Dobject分別表示源域和目標域，U表示不同域上的用戶集合，用戶U在源域上對目標源的訪問請求將根據(jù)策略集合policy作為判斷依據(jù)，對每次訪問請求進行評估，只有當主體屬性（S）、環(huán)境屬性（E）、時間屬性（T）、等級屬性（L）為合法屬性時，才能使合法的主體授權(quán)訪問。BCPDM涉及的各種符號定義如表1、2所示。

1.3 跨域訪問

域間訪問模塊包括PEP合約、屬性權(quán)威（AA）、PDP合約、PAP合約。當某一域上的用戶節(jié)點發(fā)起訪問請求時，跨域節(jié)點會保存用戶的訪問請求，并為PEP合約提供原始訪問請求（NAR）。PEP合約會將請求發(fā)送給屬性權(quán)威（AA），以獲取相關(guān)屬性信息。然后，PEP合約將基于屬性的訪問請求（AAR）發(fā)送給PDP合約，并請求PAP合約提供策略信息。最終，PDP合約根據(jù)策略決定是否授權(quán)，并將結(jié)果返回。

在跨域訪問中，保障屬性權(quán)威的可靠性是一個重要問題，本文利用區(qū)塊鏈提供的去中心化和不可竄改的特性，來記錄和驗證屬性數(shù)據(jù)的變更和訪問控制決策，通過將屬性數(shù)據(jù)存儲在區(qū)塊鏈上，并利用智能合約來執(zhí)行訪問控制規(guī)則，有效地避免了第三方機構(gòu)介入可能導致的屬性數(shù)據(jù)泄露和竄改問題，從而在一定程度上增加了屬性權(quán)威的可靠性。

定義1 基于屬性的訪問請求（attribute-based access request，AAR）是由主體屬性（S）、環(huán)境屬性（E）、時間屬性（T）、等級屬性（L）構(gòu)成的四元組，即 AAR=〈S，E，T，L〉。其中，環(huán)境屬性E是由物理地址（physical location，PL）和網(wǎng)絡(luò)環(huán)境（net location，NL）構(gòu)成的二元組，即E=〈PL，NL〉。時間屬性T是對訪問流程的時間約束集合。等級屬性L實現(xiàn)主體和客體之間的多級安全聯(lián)系，它由主體訪問等級（Luser）和客體最低訪問等級（Lobject）構(gòu)成的二元組，即L=〈Luser，Lobject〉。

AAR提供了一種靈活的訪問請求表示方式，考慮了主體的屬性、環(huán)境的屬性、時間約束以及等級聯(lián)系。主體屬性描述了訪問請求的源頭，環(huán)境屬性描述了訪問請求發(fā)起的物理和網(wǎng)絡(luò)環(huán)境，時間屬性約束了訪問請求的時間范圍，而等級屬性則實現(xiàn)了主體和客體之間的安全聯(lián)系和權(quán)限控制。通過對這些屬性的綜合判斷，可以確定是否授權(quán)訪問請求。需要滿足以下條件才能進行合法授權(quán)訪問：主體必須屬于合法的主體集合Slegal，訪問請求必須在合法規(guī)定的時間區(qū)域內(nèi)發(fā)起，訪問請求的物理和網(wǎng)絡(luò)地址必須在合法的環(huán)境范圍內(nèi)，同時主體訪問用戶的等級Luser 必須大于等于被訪問資源的訪問等級Lobject。只有當這些條件都滿足時，才能進行合法授權(quán)訪問，并將訪問等級設(shè)置為object，這樣的定義和約束機制可以有效控制訪問權(quán)限，確保只有符合條件的主體才能獲得授權(quán)訪問。

下面將以汽車產(chǎn)業(yè)鏈上三包期間出現(xiàn)汽車損壞問題為切入，在客戶向服務(wù)平臺提出修理賠償業(yè)務(wù)，并希望在責任評定完成后，請示服務(wù)平臺能夠跨域請求供應平臺提供相應的汽車零件為實例，在確保兩方平臺間安全訪問和避免客戶信息泄露的前提下，提出了一種基于區(qū)塊鏈的域間訪問方案，如圖3所示。該方案將策略管理點、策略決策點和策略執(zhí)行點以智能合約的形式表現(xiàn)，如算法1～3所示。這些智能合約部署在區(qū)塊鏈上，通過域上用戶的身份信息綁定的數(shù)據(jù)庫地址在鏈下的對應數(shù)據(jù)庫中獲取數(shù)據(jù)信息，完成授權(quán)服務(wù)的域間訪問。

算法1 策略管理點合約算法

輸入：policy［］。

輸出：new_policy_data_set。

a）init policies［name， subject， resource， action， environment， decision］ and init new_policy［］;//初始化策略信息

b）create new_policy［］：for new_policy［］=policies［name， subject， resource， action， environment， decision］， then new_policy.append（policies）;//創(chuàng)建策略列表

c）delete policy［name］：for policy in policies：

if policy.name==name then policy.remove（policies）;

//刪除指定名稱的策略

d）else return false;

e）modify_policy（name，new_decision）：for policy in policies：

if policy.name=name then policy.deciosn=new_decision;

//修改指定名稱的策略決策

f）else return false；

算法2 策略決策點合約算法

輸入：policy，DSPuseri.ARR。

輸出：boolean。

a）evaluate［subject，resourse，action，environment］;

//從PAP_SC獲取策略信息進行評估檢查

b）for policy in policies： if match（subject && resource && action && environment）∈policy_data_set

then return policy.decision;

//遍歷策略進行匹配

c）if（Suseri∈Slegal&&〈PLuseri，NLuseri〉∈Elegal）&& LSPuseri≥LPPobject&& TSPuseri∈［TPPstart，TPPend］） then

result←（policy_decision（DSPuseri.AAR，policy_data_set））;

//根據(jù)主體的基于屬性的訪問請求和對應策略集進行決策評估

d）if（result==deny） then

e） send result to PEP_SC;

f） return false;

g）else if（result==permit）;

h） send result to PEP_SC; return true;

算法3 策略執(zhí)行點合約算法

輸入：DSPuseri ，NAR，result。

輸出：access_license。

a）send NAR from DSPuseri to cross_node;

//將用戶的原始訪問請求發(fā)送至跨域節(jié)點

b）check if NAR.origin in access_allow_list（cross_node）;

//判斷NAR上的原始請求來源origin是否在可允許訪問列表中

c） if true then send NAR to AA return AAR;

d）if get PDP_SC.result=='permit' &&

determine if DSPuseri.ARR is viable in PolicyData&&

decision（DSPuseri.ARR+Useri.sid == permit）;

e） do execute_action（action，source）;

f）else return deny_access（）;

1.4 域間授權(quán)

域間授權(quán)模塊主要包括權(quán)限過濾合約和權(quán)限授予合約，如圖4所示。當B域作為委托方的跨域節(jié)點需要為A域的用戶提供權(quán)限委托時，首先會經(jīng)過權(quán)限過濾合約進行判斷，確定A域的用戶節(jié)點是否具備合法訪問的條件，包括判斷A域用戶是否有權(quán)使用授予的權(quán)限以及是否會造成授權(quán)沖突的情況。如果不符合條件，則直接拒絕授權(quán)。若通過初步過濾，請求將進入權(quán)限授予合約，根據(jù)委托方的ID生成的尋址地址來查找相應的權(quán)限數(shù)據(jù)庫，并將獲取的權(quán)限作為結(jié)果返回給A域用戶節(jié)點，完成權(quán)限委托的過程。

當服務(wù)平臺經(jīng)過域間訪問模塊獲得供應平臺的訪問許可后，可以對供應平臺上的資源進行最低級別的讀取操作。然而，對于更復雜的車輛報修問題（例如車輛發(fā)生重大事故），服務(wù)平臺和供應平臺需要共同參與責任評定，供應平臺需要向服務(wù)平臺請求更復雜的操作來協(xié)助完成責任評定。簡單的讀取操作已無法滿足兩個平臺之間的信息交互需求，因此某個平臺需要通過域間授權(quán)模塊，授予其他平臺不同的操作權(quán)限。

以服務(wù)平臺和供應平臺之間的域間授權(quán)為例，實現(xiàn)用戶方、服務(wù)方和供應方之間的三方責任評定。當服務(wù)平臺的用戶節(jié)點通過訪問控制流程獲得供應平臺上節(jié)點的授權(quán)認可時，供應平臺可以通過權(quán)限授予流程將自己的一個或多個權(quán)限授予被委托節(jié)點。這個過程首先經(jīng)過權(quán)限過濾過程，如算法3所示，對雙方節(jié)點之間的權(quán)限和利益沖突進行篩選；然后根據(jù)策略庫的要求，將符合條件的權(quán)限集合整合返回給被委托方，如算法4所示；最后，根據(jù)供應平臺協(xié)作授予的權(quán)限，完成兩個平臺的責任評定。

通過域間授權(quán)模塊的運作，服務(wù)平臺和供應平臺可以有效協(xié)作，在需要更復雜的操作和信息交互時進行授權(quán)和權(quán)限管理。這種方式確保了平臺間的合作和協(xié)同，以完成車輛報修問題的責任評定。

定義2 過濾約束機制（filter constraint mechanism，filter〈C〉）是在域間權(quán)限傳遞之前進行的初步過濾操作。其中，C是各種限制條件的集合，是由授權(quán)時間（data）、允許的授權(quán)傳遞次數(shù)（times）、權(quán)限傳遞路徑（path）和允許信任值（L_truth）構(gòu)成的四元組，即C=〈data，times，path，L_truth〉。其中，L_truth是獨立于前三個條件的過濾判斷指標，它由主體業(yè)務(wù)類型（Se）和主體業(yè)務(wù)訪問次數(shù)（At）共同決定，滿足L_truth=Se（）⊕（Lag（n-1）×At（）+Lag（n-2）×At（）），其中Lag是時間衰減因子，隨著時間的推移而衰減。

過濾約束機制通過限制條件集合C對權(quán)限傳遞進行過濾和約束。這些限制條件包括授權(quán)時間、允許的授權(quán)傳遞次數(shù)、權(quán)限傳遞路徑和允許信任值。其中，授權(quán)時間指明了授權(quán)的有效時間范圍，允許的授權(quán)傳遞次數(shù)表示權(quán)限可以被傳遞的次數(shù)限制，權(quán)限傳遞路徑定義了授權(quán)傳遞的路徑限制，而允許信任值是一個過濾判斷指標。

過濾約束機制在域間授權(quán)和權(quán)限管理中起著重要作用，能夠提供額外的保障和約束，以確保權(quán)限傳遞的安全性和有效性。

算法4 權(quán)限過濾合約算法（動態(tài)過濾）

輸入：DfromPPuseri，DtoSPobjectj，CSPobjectj ，CPPuseri。

輸出：boolean。

a）if（do PEP_SC.execute_action（）&&（Useri∪Objectj∈Matrixij）&&（DfromPPuserihave rights to use DtoSPobjectj′permissions） then

/*判斷被委托方是否能合法訪問委托方，并判斷被委托域上的接受用戶節(jié)點是否屬于訪問控制矩陣且有權(quán)使用委托節(jié)點的權(quán)限*/

b） if（datauser<tertimeobject）&&（times≥1） && no path conflict） return true;

c） else evalute→value（Se（）+At（））; return L_trust;

//計算主體業(yè)務(wù)類型以及業(yè)務(wù)訪問次數(shù)返回信任評估等級

d） while L_trust>=minimun_trust; return true;;

/*當主體的信任等級達到最小評估等級返回允許授權(quán)，避免因為固定指標而被初步過濾掉*/

e） emit result==permit to PermissionDelegated_SC;

f）else return false;

g）emit result==deny to PermissionDelegated_SC;

算法5 權(quán)限委托合約算法

輸入：result， useri.sid。

輸出：permission_set。

a）if（result==permit） then

b） do decryption（useri.sid） → PermissionData；

//對用戶節(jié)點i身份進行解密操作

c）if（decision（useri.sid，PermissionData））==permit then

d） permission_set ← permission_decsion（permission_set.buffer）;

//將篩選合法的權(quán)限與主體權(quán)限賦值給權(quán)限集的臨時區(qū)

e） return permission_set to DfromPPuseri;

2 跨多域的權(quán)限授予和權(quán)限收回

為了避免某個域過高的權(quán)限分配導致信息壟斷，每個域上的業(yè)務(wù)分配需要滿足職責分離原則。在復雜的汽車多域貿(mào)易環(huán)境中，例如當消費者需要報修或更換汽車損壞零件時，首先他們會跨域請求服務(wù)平臺提供售后服務(wù)。服務(wù)平臺需要向供應平臺請求協(xié)助完成責任評定。如果責任確認歸屬于汽車廠商，服務(wù)平臺就需要向物流平臺請求配送新的更換零件。因此，本章設(shè)計了一種汽車多域委托機制（AMDM），該機制部署在跨域節(jié)點上。當允許傳遞次數(shù)的參數(shù)times大于1時，該機制會被調(diào)用，以確?？缬蚬?jié)點在未作惡的情況下，根據(jù)上一個跨域節(jié)點返回的數(shù)據(jù)驗證上一個跨域節(jié)點的路徑是否合法且數(shù)據(jù)是否完整安全。如果發(fā)現(xiàn)路徑被修改，傳遞過程會被直接斷開，有效避免了惡意節(jié)點對授權(quán)傳遞過程的干擾。

汽車多域貿(mào)易問題模型如圖5所示，汽車產(chǎn)業(yè)鏈中的一個平臺可能會為另一個平臺提供業(yè)務(wù)需求，同時也會向其他平臺提供業(yè)務(wù)需求。例如，一個供應平臺可以同時為多個獨立的物流平臺提供零件配送請求。針對這種需要委托多個平臺的跨域請求，設(shè)置date、times、depth、path參數(shù)來嚴格控制委托的路徑，以避免出現(xiàn)委托路徑中的惡意節(jié)點攔截導致信息泄露問題。對于授予出去的權(quán)限，可以進行強制的主動回收和被動回收。

通過汽車多域委托機制（AMDM），可以在汽車多域貿(mào)易環(huán)境中實現(xiàn)安全可靠的跨域請求和委托，保護數(shù)據(jù)的完整性和隱私，并確保權(quán)限的有效管理和回收。AMDM算法如算法6所示。

算法6 automotive multi-domain delegation mechanism

a）for i=1 to N do

b） if（from_userx to DLPorderx is a legal path）&&（data<tertime∩times=N-1） then

c） for i=1 to N do;

d） send Pfromx0 to nextDorderx ;times--;

e） return true;

f） else return false;

g） if（date==tertime||times==0）then

h） revokePermission（DLPorderx to userx）;

//到期限時間或可允許傳遞次數(shù)等于0，回收從委托域發(fā)出的權(quán)限集

i） when DLPorderxneed active revoke permissions then

j） set tertime==CurrentTime && Permission_Set.buffer/PermissionData.Plegal then

k） re-authenticate（userx to DLPorderx）;

//通過重認證核實委任雙方之間斷開授權(quán)鏈接

l） if（userx can’t access to DLPOrderx） then

m） return ture;

n） else return false;

3 安全與實驗分析

針對跨域權(quán)限委托機制的安全性，本章從簡單安全問題和簡單可用性問題兩個方面進行分析，證明了該模型方案的安全性。簡單安全問題的思想是確認是否存在一種情況，在某種狀態(tài)下，未授權(quán)的用戶可以訪問特定的資源。如果不存在這種情況，則說明該方案是安全的，沒有權(quán)限泄露的問題；如果存在這種情況，則意味著系統(tǒng)不安全。簡單可用性問題的思想是確認授權(quán)用戶是否可以在可達狀態(tài)下對指定資源進行訪問。如果授權(quán)用戶可以在可達狀態(tài)下訪問指定資源，則說明方案是可用的，能夠確保正確的權(quán)限授予；否則，方案是不可用的。

為了更好地分析跨域權(quán)限委托機制的安全性，本文采用了狀態(tài)機模型來進行分析［23］。狀態(tài)機模型是一個抽象的數(shù)學模型，用于研究系統(tǒng)中的各個狀態(tài)和過程，并通過描述系統(tǒng)中的規(guī)則來證明其安全性。根據(jù)狀態(tài)機模型的定義，可以分為狀態(tài)變量和狀態(tài)轉(zhuǎn)移規(guī)則，其中狀態(tài)變量表示系統(tǒng)的當前狀態(tài)，而狀態(tài)轉(zhuǎn)移規(guī)則描述了每個狀態(tài)之間的變化過程。其中安全模型各實體間的關(guān)系如表3所示，通過關(guān)系集合可以將各個實體集合連接，實現(xiàn)實體中元素之間的操作。

建立的安全模型使用狀態(tài)機來證明其安全性，具體理論如下：a）首先證明方案中每個狀態(tài)之間的狀態(tài)轉(zhuǎn)移規(guī)則都是合理可行的；b）接下來證明方案的初始狀態(tài)是安全的。當步驟a）和b）得證時，就可以證明整個方案無論處于哪個狀態(tài)，均是合理可行的。

通過以上分析和證明，可以確?？缬驒?quán)限委托機制在安全性方面是可靠的，能夠有效防止未授權(quán)用戶訪問資源，并確保授權(quán)用戶在可達狀態(tài)下正確訪問指定資源。

3.1 狀態(tài)機模型的定義

定義3 基于跨域權(quán)限委托機制的狀態(tài)機系統(tǒng)（state machine system，SMS）被定義為一個四元組SMS=（StateSet，ss0，Inp，Π）。其中：StateSet是狀態(tài)機模型的有限集合；ss0是模型的初始狀態(tài)，ss0∈StateSet;Inp是輸入事件集合；Π：ss×inp→ss′（ss&ss′∈StateSet，inp∈Inp）為系統(tǒng)狀態(tài)轉(zhuǎn)移規(guī)則，表示在一個輸入事件驅(qū)動下方案從一個狀態(tài)ss過渡到另一個狀態(tài)ss′。StateSet和Inp包含的集合如表4所示，SMS包含的狀態(tài)傳遞規(guī)則如表5所示。

定義4 安全狀態(tài)不定式。如果SMS在狀態(tài)ss下是安全的，將其標記為safe（ss），access（u）→o代表某個用戶u能夠訪問客體o，當且僅當ss滿足

（u，o）（（u，o）ss∧p）→access（u）=o（1）

式（1）表示了簡單安全問題：不存在任何一個非授權(quán)用戶能訪問數(shù)據(jù)。（u，o）（（u，o）∈ss∧p（u）∈P）→access（u）=o（2）

式（2）表示了簡單可用性問題：對任意授權(quán)用戶都可以根據(jù)指定權(quán)限訪問相應數(shù)據(jù)。

定義5 狀態(tài)轉(zhuǎn)移規(guī)則的安全性。當且僅當任何狀態(tài)的狀態(tài)轉(zhuǎn)移規(guī)則π∈Π滿足式（3）時，表明狀態(tài)轉(zhuǎn)移規(guī)則轉(zhuǎn)換之間是安全的。

（π）（inp）（ss）（π∈Π∧inp∈Inp∧ss∈

StateSet∧Π：ss×inp→ss′∧safe （ss））→（safe（ss′））（3）

定義6 系統(tǒng)安全表達。SMS是安全的，當且僅當SMS在初始狀態(tài)ss0中是安全的，并且任何狀態(tài)轉(zhuǎn)移規(guī)則π是保持合理可行的。

3.2 模型安全性證明

定理1 狀態(tài)轉(zhuǎn)移規(guī)則Π是安全保持、合理可行的。

證明 a）分別展開定義4中的表達式，對于基于區(qū)塊鏈的跨域權(quán)限委托機制，有以下三種情況用戶u將不被授權(quán)：

（a）用戶u沒有認證成功，即uU。

（b）用戶屬性匹配失敗，即（A，att（u.s，u.e，u.t，u.l））UA。

（c）客體權(quán)限匹配失敗，即（a，p（o.s，o.e，o.t，o.l））OP。

對式（1）進行展開：

（u，o）（（u，o）∈ss∧

（（uU）∨（A，att（u.s，u.e，u.t，u.l））OP））→access（u）（4）

同樣地，對于用戶u能獲得授權(quán)的也是三種情形，將式（2）進行展開：

（u，o）（（u，o）∈ss∧（（uU）∨（A，att（u.s，u.e，u.t，u.l））∈

UA∧（a，p（o.s，o.emo.t，o.l））∈OP））→access（u）=o（5）

b）假設(shè)SMS的當前狀態(tài)是ss，且ss狀態(tài)是安全的，根據(jù)定義4，當SMS的狀態(tài)在輸入一個事件后可以安全地到另一個狀態(tài)，則說明這個狀態(tài)轉(zhuǎn)移規(guī)則是合理可行的。

由π0可知是對設(shè)定的用戶集進行增添用戶操作，即U′=U∪（u）。任選一個uU，可得

uUU′=U∪（u）u∈U′∧U∈U′

（u，o）（（u，o）∈ss′∧（（u∈U′）））→access（u）=o（6）

根據(jù)式（4），當uU與屬性匹配和客體權(quán)限匹配無關(guān)時，π0滿足式（4），對于用戶u是設(shè)立好的用戶的情況，顯然在π0狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，所以可以看出π0狀態(tài)是安全的。針對π1和π2狀態(tài)轉(zhuǎn)移規(guī)則亦是對用戶集進行相應修改刪除狀態(tài)轉(zhuǎn)換，顯然可以證明π1和π2狀態(tài)是安全的。

由π3可知是對建立的用戶分配屬性操作，即UA′=UA∪{（u，att）}。任選一對（u，att）UA，可得

（u，att）∈UAu∈U∧att∈AUA′=UA＼{（u，att）}（u，att（u.s，u.e，u.t，u.l））UA

u∈U∧u.attA（u，att（u.s，u.e，u.l））UA

（u，0）（（u，0）∈ss′∧（（u，att（u.s，u.e，u.t，u.l）′）∈UA））→access（u）=o（7）

根據(jù)式（4），當（u，att）UA與合法用戶接入以及客體權(quán)限匹配無關(guān)時，π3滿足式（4），對于（u，att）∈UA情形，在π3狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π3狀態(tài)是安全的。

由π4可知是對已有的用戶移除屬性操作，即UA′=UA＼{（u，att）}。任選一對（u，att）∈UA，可得

（u，att）UAu∈U∧attA

UA′=UA∪{（u，att）}（u，att（u.s，u.e，u.t，u.l））∈UA

u∈U∧u.att∈A（A，att（u.s，u.e，u.l））∈UA

（u，o）（（u，o）∈ss′∧（（A，att（u.s，u.e，u.t，u.l）′）∈UA））→

access（u）=o（8）

根據(jù)式（3），（u，att（u.s，u.e，u.t，u.l）UA）和（u，att）∈UA有關(guān)，移除無關(guān)項（uU）和（a，p（o.s，o.e，o.t，o.l））∈OP，π4滿足式（3），對于（u，att）UA情形，在π4狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π4狀態(tài)是安全的。

由π5可知是對客體分配權(quán)限操作，即OP′=OP∪{（o，p）}。任選一對（a，p）OP，可得

（a，p）OPaA∧pP

OP′=OP∪{（a，p）}A′=A∪a∧P′=P∪p

p′∈P∧d∈A（d，p（o.s，o.e，o.t，o.l））∈OP

（u，o）（（u，o）∈ss′∧（（d，p（o.s，o.e，o.t，o.l）′）∈OP））→

access（u）=o（9）

根據(jù)式（4），當（a，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）OP有關(guān)，且與合法用戶接入以及客體權(quán)限分配結(jié)果無關(guān)時，移除無關(guān)項，π5滿足式（4），對于（a，p）∈OP情形，在π5狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π5狀態(tài)是安全的。

由π6可知是對客體權(quán)限收回操作，即OP′=OP＼{（o，p）}。任選一對（a，p）∈OP，可得

（a，p）∈OPa∈A∧p∈P

OP′=OP＼{（o，p）} A′=A＼a∨P′=P＼p

p′P∨a′A（a′，p（o.s，o.e，o.t，o.l）′）OP

（u，o）（（u，o）∈ss′∧（（a′，p（o.s，o.e，o.t，o.l）′）OP））→

access（u）=o（10）

根據(jù)式（3），只有（a′，p（o.s，o.e，o.t，o.l）′）∈OP和（a，p）∈OP有關(guān)，移除無關(guān)項（u∈U）和（A，att（u.s，u.e，u.t，u.l））UA，π6滿足式（3），對于（a，p）OP情形，在π6狀態(tài)轉(zhuǎn)移規(guī)則中不受影響，可以得出π6狀態(tài)是安全的。

綜上所述，狀態(tài)轉(zhuǎn)移規(guī)則π0～π6都是合理可行的，這表明該模型能夠安全可信地處理用戶的訪問請求，可以看出跨域權(quán)限委托系統(tǒng)可以為用戶和客體提供一個安全和可信的操作環(huán)境，同時根據(jù)π0是保持安全的，能夠證明SMS的初始狀態(tài)ss0也是安全的。

定理2 BCPDM模型方案是安全可行的。

證明 根據(jù)定義5和定理1，可知SMS的狀態(tài)轉(zhuǎn)移規(guī)則Π是合理可行的且初始狀態(tài)ss0也是安全的，因此根據(jù)上述分析可知，基于區(qū)塊鏈的跨域訪問委托模型方案是安全可行的。

3.3 實驗環(huán)境設(shè)置

本文實驗的操作運行選擇在英特爾11th Gen Intel CoreTM i7-11800H@ 2.30 Hz八核處理器、16 GB內(nèi)存和64位Windows 10操作系統(tǒng)的PC機上進行，使用Jet-Brains PyCharm 2019.1.1 x64作為集成開發(fā)環(huán)境，基于Hyperledger Fabric區(qū)塊鏈平臺實現(xiàn)域間訪問控制機制，進行性能測試。

在Hyperledger Fabric中，共識機制的選擇是靈活的，允許參與者根據(jù)業(yè)務(wù)需求選擇合適的共識算法。本文針對汽車產(chǎn)業(yè)鏈多域環(huán)境下的網(wǎng)絡(luò)規(guī)模、性能要求、安全性需求，選擇了Kafka共識算法，使用分布式日志來實現(xiàn)共識過程，通過將交易發(fā)送到Kafka通道，對多位訂閱者進行排序和復制，確保了數(shù)據(jù)的一致性和可靠性，防止竄改和錯誤的發(fā)生，這種機制實現(xiàn)了高吞吐量和容錯性，能夠滿足汽車產(chǎn)業(yè)鏈的需求。

3.4 實驗及分析

本文使用以下指標評估實驗中的模型算法性能：

a）判決時間（judgment elapsed time）。訪問主體的源節(jié)點生成并成功投遞到客體目標節(jié)點，訪問客體處理不同數(shù)量級訪問請求所需的耗時。

b）授權(quán)總耗時（total authorization time）。被委托方的源節(jié)點生成并成功投遞到委托方目標節(jié)點，委托方的目標節(jié)點處理完不同規(guī)模屬性集并完成權(quán)限授予的總耗時。

本文共設(shè)定了兩組實驗。為了防止原始請求數(shù)據(jù)之間的差異會對結(jié)果產(chǎn)生影響，本文對數(shù)據(jù)進行了歸一化處理。第一組實驗旨在檢測訪問請求處理算法的有效性，驗證不同類型的訪問請求對訪問策略（混合型數(shù)據(jù)集）的及時處理能力，通過比較本文模型與FFADC［6］、BCAI［9］以及UNFTO［22］模型在混合型數(shù)據(jù)上的處理性能，分析四者之間的差異。第二組實驗旨在評估BCPDM在授權(quán)耗時處理性能方面的表現(xiàn)。通過設(shè)置不同規(guī)模的屬性集，驗證在高復雜度數(shù)據(jù)請求下，BCPDM是否能夠成功授權(quán)。為了驗證BCPDM的高效可用性，本輪實驗進行了多次，實驗結(jié)果如圖6、7所示。根據(jù)本輪實驗結(jié)果顯示，BCPDM在復雜的多域訪問請求環(huán)境下表現(xiàn)出了較好的高效處理訪問請求的能力。

選擇多個具有代表性的模型，并從是否使用區(qū)塊鏈技術(shù)、支持動態(tài)訪問、細粒度化、支持多平臺、授權(quán)靈活性、管理難度和數(shù)據(jù)安全性七個維度進行比較。具體的對比細節(jié)如表6所示。通過比較可以看出，本文模型在汽車產(chǎn)業(yè)鏈這種復雜環(huán)境中具有明顯的優(yōu)勢，能夠很好地保證用戶的安全訪問和各平臺之間的數(shù)據(jù)信息交互，并支持汽車產(chǎn)業(yè)鏈基本的跨域授權(quán)功能。

4 結(jié)束語

本文提出了一種基于區(qū)塊鏈的跨域權(quán)限委托模型（BCPDM），旨在解決復雜的汽車產(chǎn)業(yè)鏈多平臺網(wǎng)絡(luò)環(huán)境下無法靈活高效、動態(tài)實施訪問控制的問題。該模型保留了傳統(tǒng)屬性基礎(chǔ)訪問控制（ABAC）的動態(tài)特性，并引入了權(quán)限委托機制，實現(xiàn)了域間授權(quán)的訪問控制。此外，針對多平臺之間的特殊情景，還引入了權(quán)限收回機制，實現(xiàn)了更主動和細粒度的權(quán)限授予過程，并確保了一個可信可靠的多域訪問環(huán)境。BCPDM設(shè)計了六個智能合約算法來實現(xiàn)核心功能，實現(xiàn)了一個去中心化、透明的訪問控制過程。

為了防止惡意節(jié)點對智能合約進行攻擊，本文在合約算法設(shè)計上對合約的權(quán)限進行了精準限制。設(shè)計的智能合約只擁有必要的權(quán)限，并且只允許其對特定的資源進行訪問，從而避免了合約被濫用的風險。對于跨域節(jié)點的惡意行為，本文模型采用去中心化的結(jié)構(gòu)。在確保節(jié)點身份的真實性和合法性的前提下，任何一個惡意節(jié)點都不能對整個網(wǎng)絡(luò)產(chǎn)生破壞性影響。此外，本文模型還驗證了跨域節(jié)點身份的真實性和合法性，防止未經(jīng)授權(quán)的節(jié)點加入網(wǎng)絡(luò)，進一步增強了安全性。對于鏈下數(shù)據(jù)，本文模型采用MySQL數(shù)據(jù)庫來進行存儲。對于敏感的鏈下數(shù)據(jù)，進行了加密處理，只有授權(quán)用戶特有的安全標識（sid）才能夠解密和訪問數(shù)據(jù)。這種加密處理能夠有效防止未授權(quán)訪問和竊取敏感信息，保護了數(shù)據(jù)的安全完整性。

通過簡單的安全性問題、簡單的可用性問題以及鏈上數(shù)據(jù)安全等方面的驗證，證明了本文模型的安全可用性。最后，與其他經(jīng)典訪問控制模型進行多維度比較，結(jié)果表明本文模型在復雜的汽車產(chǎn)業(yè)鏈場景中具有廣泛的應用空間。

未來的工作可以將提出的方案擴展到更多的訪問控制場景，例如基于博弈論的獎懲訪問控制場景等。這將進一步提升模型的適用性和靈活性，使其適用于更廣泛的應用場景。

參考文獻：

［1］李斌勇， 孫林夫， 王淑營， 等. 面向汽車產(chǎn)業(yè)鏈的云服務(wù)平臺信息支撐體系［J］. 計算機集成制造系統(tǒng)， 2015， 21（10）： 2787-2797. （Li Binyong， Sun Linfu， Wang Shuying， et al. Information support system of cloud services platform for automobile industrial chain［J］. Computer Integrated Manufacturing Systems， 2015， 21（10）： 2787-2797.）

［2］張春賀. 新能源汽車產(chǎn)業(yè)鏈上市公司財務(wù)競爭力評價研究［D］. 北京： 北京化工大學， 2023. （Zhang Chunhe. Research on the evaluation of the financial competitiveness of listed companies in the new energy vehicle industry chain［D］. Beijing： Beijing University of Chemical Technology， 2023.）

［3］Yuan E， Tong J. Attributed based access control（ABAC） for Web services［C］//Proc of IEEE International Conference on Web Ser-vices. Piscataway， NJ： IEEE Press， 2005： 569-577.

［4］諸曄. 用ACL實現(xiàn)系統(tǒng)的安全訪問控制［J］. 計算機應用與軟件， 2005， 22（3）： 111-114. （Zhu Ye. Using ACL to realize the system’s safe access control［J］. Computer Applications and Software， 2005， 22（3）： 111-114.）

［5］Aftab M U， Habib M A， Mehmood N， et al. Attributed role based access control model［C］//Proc of Information Assurance and Cyber Security. Piscataway， NJ： IEEE Press， 2015： 83-89.

［6］Mehraj S， Banday M T. A flexible fine grained dynamic access control approach for cloud computing［J］. Cluster Computing， 2021， 24（4）： 1413-1434.

［7］Nakamoto S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. （2009-03）. https：//bitcoin.org/en/bitcoin-paper.

［8］韋可欣， 李雷孝， 高昊昱， 等. 區(qū)塊鏈訪問控制技術(shù)在車聯(lián)網(wǎng)中的應用研究綜述與展望［J］. 計算機工程與應用， 2023， 59（24）： 26-45. （Wei Kexin， Li Leixiao， Gao Haoyu， et al. Review and prospect of blockchain access control technology in Internet of Vehicles［J］. Computer Engineering and Applications， 2023， 59（24）： 26-45.）

［9］Maesa D D F， Mori P， Ricci L. Blockchain based access control［M］//Chen L Y， Reiser H P. Distributed Applications and Intero-perable Systems. Cham： Springer， 2017： 206-220.

［10］甘臣權(quán)， 楊宏鵬， 祝清意， 等. 基于訪問控制的可驗證醫(yī)療區(qū)塊鏈數(shù)據(jù)搜索機制［J］. 重慶郵電大學學報： 自然科學版， 2023， 35（5）： 873-887. （Gan Chenquan， Yang Hongpeng， Zhu Qingyi， et al. A verifiable medical blockchain data search mechanism with access control［J］. Journal of Chongqing University of Posts and Telecommunications： Natural Science Edition， 2023， 35（5）： 873-887.）

［11］曹萌， 余孫婕， 曾輝， 等. 基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)分級訪問控制與共享系統(tǒng)［J］. 計算機應用， 2023， 43（5）： 1518-1526. （Cao Meng， Yu Sunjie， Zeng Hui， et al. Hierarchical access control and sharing system of medical data based on blockchain［J］. Journal of Computer Applications， 2023， 43（5）： 1518-1526.）

［12］包俊， 張新有， 馮力， 等. 一種基于區(qū)塊鏈的車聯(lián)網(wǎng)安全認證協(xié)議［J］. 計算機應用研究， 2023，40（10）： 2908-2915， 2921. （Bao Jun， Zhang Xinyou， Feng Li， et al. Security authentication protocol for Internet of Vehicles based on blockchain［J］. Application Research of Computers， 2023， 40（10）： 2908-2915，2921.）

［13］王利朋， 關(guān)志， 李青山， 等. 區(qū)塊鏈數(shù)據(jù)安全服務(wù)綜述［J］. 軟件學報， 2023，34（1）： 1-32. （Wang Lipeng， Guan Zhi， Li Qingshan， et al. Survey on blockchain-based security services［J］. Journal of Software， 2023， 34（1）： 1-32.）

［14］張利華， 張贛哲， 曹宇， 等. 基于區(qū)塊鏈的智能家居認證與訪問控制方案［J］. 計算機應用研究， 2022， 39（3）： 863-867，873. （Zhang Lihua， Zhang Ganzhe， Cao Yu， et al. Authentication and access control scheme for smart home based on blockchain［J］. Application Research of Computers， 2022， 39（3）： 863-867，873.）

［15］葉進， 龐承杰， 李曉歡， 等. 基于區(qū)塊鏈的供應鏈數(shù)據(jù)分級訪問控制機制［J］. 電子科技大學學報， 2022， 51（3）： 408-415. （Ye Jin， Pang Chengjie， Li Xiaohuan， et al. Blockchain-based supply chain data hierarchical access control mechanism［J］. Journal of University of Electronic Science and Technology of China， 2022， 51（3）： 408-415.）

［16］張建標， 張兆乾， 徐萬山， 等. 一種基于區(qū)塊鏈的域間訪問控制模型［J］. 軟件學報， 2021， 32（5）： 1547-1564. （Zhang Jianbiao， Zhang Zhaoqian， Xu Wanshan， et al. Inter-domain access control model based on blockchain［J］. Journal of Software， 2021， 32（5）： 1547-1564.）

［17］Ali G， Ahmad N， Cao Y， et al. BCON： blockchain based access control across multiple conflict of interest domains［J］. Journal of Network and Computer Applications， 2019， 147： 102440.

［18］Ali G， Ahmad N， Cao Yue， et al. Blockchain based permission delegation and access control in Internet of Things［J］. Computers & Security， 2019， 86： 318-314.

［19］周致成， 李立新， 李作輝. 基于區(qū)塊鏈技術(shù)的高效跨域認證方案［J］. 計算機應用， 2018， 38（2）： 316-320，326. （Zhou Zhicheng， Li Lixin， Li Zuohui. Efficient cross-domain authentication scheme based on blockchain technology［J］. Journal of Computer Applications， 2018， 38（2）： 316-320，326.）

［20］趙雪巖. 基于汽車生產(chǎn)管控系統(tǒng)的授權(quán)委托模型的研究與應用［D］. 吉林： 吉林大學， 2017. （Zhao Xueyan. Research and application of authorization delegation model based on automobile production management and control system［D］. Jilin： Jilin University， 2017.）

［21］王秀利， 江曉舟， 李洋. 應用區(qū)塊鏈的數(shù)據(jù)訪問控制與共享模型［J］. 軟件學報， 2019， 30（6）： 1661-1669. （Wang Xiuli， Jiang Xiaozhou， Li Yang. Model for data access control and sharing based on blockchain［J］. Journal of Software， 2019， 30（6）： 1661-1669.）

［22］史錦山. 物聯(lián)網(wǎng)多域合作下基于區(qū)塊鏈的訪問控制技術(shù)研究 ［D］. 呼和浩特： 內(nèi)蒙古大學， 2022. （Shi Jinshan. Blockchain-based access control technology for IoT multi-domain cooperation［D］. Hohhot： Inner Mongolia University， 2022.）

［23］熊厚仁， 陳性元， 杜學繪， 等. 基于角色的訪問控制模型安全性分析研究綜述［J］. 計算機應用研究， 2015， 32（11）： 3201-3208. （Xiong Houren， Chen Xingyuan， Du Xuehui， et al. Survey of security analysis for role-based access control［J］. Application Research of Computers， 2015， 32（11）： 3201-3208.）