摘要：為解決大數(shù)據(jù)與云計(jì)算環(huán)境下策略沖突檢測與管理的難題，首先，介紹了區(qū)塊鏈技術(shù)與基于屬性的訪問控制（attribute-based access control，ABAC）模型的基本概念，為后續(xù)算法設(shè)計(jì)奠定了理論基礎(chǔ)；其次，設(shè)計(jì)了ABAC靜態(tài)策略沖突優(yōu)化算法，包括基本元素、優(yōu)化流程、相似度值計(jì)算、策略區(qū)塊分組以及沖突策略優(yōu)化算法設(shè)計(jì)；最后，實(shí)驗(yàn)結(jié)果表明，ABAC靜態(tài)策略沖突優(yōu)化算法在沖突檢測、決策效率、存儲優(yōu)化等方面具有顯著優(yōu)勢。該算法可以實(shí)現(xiàn)策略沖突的高效檢測與智能優(yōu)化，大幅提升了策略管理的效率與精確性，同時也為基于區(qū)塊鏈的ABAC策略管理提供了新的思路和有益參考。

關(guān)鍵詞：區(qū)塊鏈；ABAC；靜態(tài)策略；策略沖突優(yōu)化算法

中圖分類號：TP311.13 文獻(xiàn)標(biāo)識碼：A

0 引言

隨著大數(shù)據(jù)與云計(jì)算技術(shù)的迅速發(fā)展，基于屬性的訪問控制（attribute-based access control，ABAC）策略在確保信息安全中扮演重要的角色。然而，現(xiàn)有ABAC靜態(tài)策略在復(fù)雜環(huán)境中可能面臨沖突問題，管理與檢測效率低，影響系統(tǒng)響應(yīng)速度與安全性。這種背景下，充分利用區(qū)塊鏈不可篡改性與智能合約自動執(zhí)行等特性，設(shè)計(jì)ABAC靜態(tài)策略沖突優(yōu)化算法具有重要現(xiàn)實(shí)意義，這不僅有助于提升策略沖突的解決能力，增強(qiáng)策略管理的透明性，還能夠保證大規(guī)模信息系統(tǒng)長期可靠

運(yùn)行。

1 ABAC模型

ABAC模型作為分布式系統(tǒng)中訪問權(quán)限管理的核心框架，其核心思想在于依據(jù)實(shí)體屬性而非傳統(tǒng)角色進(jìn)行訪問授權(quán)。該模型將訪問控制要素分為客體、主體、操作和環(huán)境四大屬性集，通過邏輯操作與屬性值謂詞定義授權(quán)策略，確保訪問控制的靈活性與細(xì)粒度。ABAC模型中的主體攜帶特定屬性以請求訪問，客體代表被訪問資源，環(huán)境屬性動態(tài)反映了訪問時的系統(tǒng)狀態(tài)，而操作屬性則定義了訪問的具體行為[1]。策略集作為訪問控制的依據(jù)，借助策略決策點(diǎn)來評估屬性訪問請求，最終由策略執(zhí)行點(diǎn)執(zhí)行訪問控制決策。ABAC模型示意圖如圖1所示。

圖1 ABAC模型示意圖

ABAC靜態(tài)策略在復(fù)雜系統(tǒng)中易產(chǎn)生沖突，從而影響訪問控制的準(zhǔn)確性。為此，結(jié)合區(qū)塊鏈技術(shù)的不可篡改性與智能合約的自動化特性，提出并設(shè)計(jì)了ABAC靜態(tài)策略沖突優(yōu)化算法。該算法借助區(qū)塊鏈存儲策略集，利用哈希值來確保策略一致性，而智能合約用于自動檢測并解決策略沖突，大幅提升了策略管理的安全性與效率。具體來說，本文首先引入Jaccard相似系數(shù)作為衡量策略屬性間相似度的標(biāo)準(zhǔn)，用以量化布爾與符號度量間的重疊程度；其次，明確定義靜態(tài)策略沖突的條件，即策略間決策屬性相反、操作行為存在交集且策略條件屬性與值具有重疊，則視為沖突；最后，構(gòu)建基于區(qū)塊鏈的訪問控制策略架構(gòu)，充分利用區(qū)塊鏈不可篡改性及智能合約自動化特性，存儲與管理訪問控制策略，確保策略執(zhí)行的透明度與高效性[2]。其中，智能合約作為策略表示與執(zhí)行的載體，由資源所有者創(chuàng)建并永久存儲在區(qū)塊鏈上，支持訪問請求的即時評估與決策生成，全程自動化處理，大幅提升了策略沖突檢測與優(yōu)化的效率與精度。

2 ABAC靜態(tài)策略沖突優(yōu)化算法設(shè)計(jì)

2.1 基本元素

基本元素定義了訪問控制的核心組成部分。主體作為訪問請求的發(fā)起者，利用其主體屬性如安全等級、年齡、身份等特征來識別其身份或特性?？腕w是指被訪問的目標(biāo)服務(wù)或資源，其對象屬性描述了安全級別、資源類型等信息。資源屬性進(jìn)一步細(xì)化了被訪問實(shí)體的具體特征，如文件創(chuàng)建日期、類型及大小。環(huán)境屬性動態(tài)反映了訪問發(fā)生時的上下文狀態(tài)，包括但不限于安全級別、位置、時間等信息。操作屬性定義了訪問的具體行為，如執(zhí)行、讀、寫等。決策屬性指示了訪問請求的結(jié)果，通常包括拒絕、允許，以及在不明確時返回未知狀態(tài)。此外，相似值（Jaccard相似系數(shù)）用于量化兩個策略屬性間的相似程度，而相似度待定值是一個0～1的數(shù)值，用于策略沖突優(yōu)化過程中的比較與判斷[3]。

2.2 優(yōu)化流程

為確保策略的有效性與一致性，ABAC靜態(tài)策略沖突優(yōu)化算法需遵循以下系統(tǒng)化流程：①在策略分析階段，將策略集中的規(guī)則按照資源、主體、操作、環(huán)境屬性進(jìn)行解析，構(gòu)建屬性集，以反映策略的決策效果（允許或拒絕）。②結(jié)合Jaccard相似系數(shù)來計(jì)算策略間的相似值，用以量化策略間的重疊程度。在處理沖突檢測過程中，算法通過比較策略條件與訪問請求，識別并標(biāo)記出對同一請求產(chǎn)生不一致決策的策略集，即策略沖突。③為進(jìn)一步管理這些沖突，策略區(qū)塊分組負(fù)責(zé)將策略集按照操作屬性與資源屬性的相似度完成邏輯分組，確保有針對性地處理沖突。④策略沖突優(yōu)化階段采用了一種高效算法，其在維持策略的基礎(chǔ)上，優(yōu)先處理拒絕決策，通過刪除、拆分、合并策略的方式，系統(tǒng)性地解決策略沖突問題。ABAC靜態(tài)策略沖突優(yōu)化流程如圖2所示。

2.3 相似度值計(jì)算

ABAC靜態(tài)策略沖突優(yōu)化算法遵循Jaccard相似系數(shù)原理，客觀量化了策略間同名屬性的相似程度。該計(jì)算過程將策略屬性視為一個集合，通過比較兩個策略中同名屬性的并集與交集的大小，得到一個0～1的相似度值。該數(shù)值直接反映了策略屬性間的重疊程度，為后續(xù)的沖突檢測與策略優(yōu)化提供了堅(jiān)實(shí)的數(shù)據(jù)支撐。

2.4 策略區(qū)塊分組

策略區(qū)塊分組作為處理沖突策略的關(guān)鍵步驟，主要過程是從原策略集中選取策略，并基于數(shù)據(jù)引用完成區(qū)塊細(xì)分。每個區(qū)塊的生成涉及對輸入?yún)?shù)的特定處理與更新，以確保新策略集的準(zhǔn)確性與一致性。策略沖突僅可能發(fā)生在針對同一資源執(zhí)行相同操作的策略之間，因此，策略區(qū)塊分組的關(guān)鍵依據(jù)為操作屬性與資源屬性的相似度。為避免策略被錯誤地分配至多個組，優(yōu)化算法要求兩個策略在操作屬性與資源屬性上的相似度值必須為1，這主要借助智能合約的嚴(yán)格管理來實(shí)現(xiàn)。智能合約由資源所有者創(chuàng)建，并存儲到區(qū)塊鏈上，保證策略執(zhí)行的不可篡改性與透明性。函數(shù)調(diào)用需嚴(yán)格按照順序執(zhí)行，并允許參與者驗(yàn)證最后結(jié)果，以此維護(hù)策略分組的精確性與系統(tǒng)整體安全性[4]。

2.5 沖突策略優(yōu)化算法設(shè)計(jì)

針對ABAC靜態(tài)策略中的沖突問題，本文基于區(qū)塊鏈設(shè)計(jì)了一種ABAC靜態(tài)策略沖突優(yōu)化算法。首先，該算法依據(jù)操作屬性與資源屬性的相似度值來區(qū)塊分組策略集。其次，深入分析各組中環(huán)境屬性與主體屬性的相似度，在保持策略完整性的前提下，優(yōu)化算法旨在通過精準(zhǔn)操作去除沖突部分，同時，最大限度地保留原策略的有效內(nèi)容。優(yōu)化過程中，若兩組策略在環(huán)境屬性與主體屬性上的相似度均為最高（相似度值為1），則采取拒絕優(yōu)先原則，直接刪除允許訪問的策略，并保留拒絕訪問的策略，以確保系統(tǒng)安全。針對相似度非完全一致的情況，該算法會識別并剝離沖突屬性范圍，嘗試?yán)媒徊娼M合來生成新的策略組合。若策略間存在屬性范圍包含關(guān)系，應(yīng)優(yōu)先保留范圍更廣泛的策略，同時刪除或調(diào)整相關(guān)策略部分[5]。該優(yōu)化算法設(shè)計(jì)一方面體現(xiàn)了對策略細(xì)節(jié)的精準(zhǔn)把控；另一方面通過引入?yún)^(qū)塊鏈技術(shù)，有效保證了策略管理與執(zhí)行的不可篡改性與透明性，為大規(guī)模分布式系統(tǒng)中的靜態(tài)策略沖突管理提供有力的技術(shù)支撐。

3 實(shí)驗(yàn)及結(jié)果分析

本文采用一臺配置為Intel（R）Core（TM）i7-6700HQ的中央處理器（central processing unit，CPU），其主頻為2.60 GHz、內(nèi)存為16 GB，并將其用于運(yùn)行Windows 10專業(yè)版操作系統(tǒng)的計(jì)算機(jī)上以完成實(shí)驗(yàn)部署。通過對ABAC靜態(tài)策略優(yōu)化算法進(jìn)行仿真，旨在驗(yàn)證其在現(xiàn)實(shí)應(yīng)用場景中的效能。為了全面且深入地評估該算法的性能，本文構(gòu)建了一個包含豐富屬性的綜合數(shù)據(jù)集，具體涵蓋6個操作屬性、5個資源屬性、12個環(huán)境屬性以及10個主體屬性。在實(shí)驗(yàn)過程中，本文遵循可擴(kuò)展訪問控制標(biāo)記語言（eXtensible access control markup language，XACML）規(guī)范，將策略庫定義成數(shù)據(jù)集，同時選取了不同規(guī)模的策略集（如5 000、

10 000、15 000、20 000個）完成測試，以便深入分析沖突檢測的決策結(jié)果、決策時間、準(zhǔn)確性及總存儲量的變化情況。為客觀準(zhǔn)確評估算法在策略沖突檢測方面的性能，本文進(jìn)行了10次實(shí)驗(yàn)，每次實(shí)驗(yàn)都針對不同數(shù)量的策略沖突進(jìn)行測試。策略沖突檢測率結(jié)果如表1所示。

本文提出的基于區(qū)塊鏈的ABAC靜態(tài)策略沖突優(yōu)化算法展現(xiàn)了卓越的性能，其平均檢測率高達(dá)93.42%，充分證明了該算法在策略沖突檢測方面的強(qiáng)大能力。即使策略沖突次數(shù)不斷增加，該算法的檢測率依然保持在一個較高的水平，這進(jìn)一步證明了其在處理復(fù)雜策略沖突時的有效性。此外，本文還對沖突檢測準(zhǔn)確率與策略數(shù)量之間的關(guān)系進(jìn)行了深入分析。

無論策略數(shù)量如何變化，本文提出的算法的沖突檢測準(zhǔn)確率均穩(wěn)定在95%左右，這充分表明該算法在識別與處理策略沖突方面具有較高的準(zhǔn)確性與穩(wěn)定性。這一結(jié)果證明了該算法在策略沖突檢測領(lǐng)域的可靠性與實(shí)用性。為更全面地評估算法的效率，本文比較了優(yōu)化前后的算法運(yùn)行時間。在不同策略數(shù)量下，優(yōu)化后的算法運(yùn)行時間都顯著少于優(yōu)化前的算法。特別是在策略數(shù)量為20 000時，優(yōu)化后算法的運(yùn)行時間僅為1 357 s，而優(yōu)化前算法的運(yùn)行時間則長達(dá)4 295 s，因此優(yōu)化后算法在提升運(yùn)行效率方面具有顯著優(yōu)勢。為進(jìn)一步探究優(yōu)化策略對決策效率的影響，本文還比較了策略優(yōu)化前后針對特定請求發(fā)送最終決策所需的時間。策略優(yōu)化后所需的決策時間明顯少于策略優(yōu)化前所需的時間，并且隨著策略數(shù)量的不斷增加，二者的差異更加明顯。該結(jié)果充分證明了優(yōu)化策略在顯著提高決策效率方面的優(yōu)勢，尤其是在處理大量策略時。

此外，為確保優(yōu)化策略不會對最終訪問請求產(chǎn)生負(fù)面影響，本文對優(yōu)化前后的決策結(jié)果（允許與拒絕）進(jìn)行了比較。在優(yōu)化后的策略中，允許的決策結(jié)果相似度保持在較高水平（95%以上），而拒絕的決策結(jié)果相似度則保持不變（100%）。該結(jié)果充分說明優(yōu)化策略在保持決策結(jié)果一致性的同時，有效地減少了策略數(shù)量并提高了處理效率。最后，本文對優(yōu)化前后策略集存儲所需的空間變化完成深入分析。實(shí)驗(yàn)結(jié)果表明，優(yōu)化后的策略大大節(jié)省了存儲空間并提高了存儲效率。隨著策略數(shù)量的增加，存儲效率的提高程度也逐漸增大。該結(jié)果充分證明了優(yōu)化算法在減少存儲空間占用和提高存儲效率方面具有顯著優(yōu)勢。

4 結(jié)語

綜上，本文設(shè)計(jì)的基于區(qū)塊鏈的ABAC靜態(tài)策略沖突優(yōu)化算法，能夠有效解決傳統(tǒng)ABAC策略在復(fù)雜環(huán)境中管理困難、沖突頻發(fā)等問題。該算法有效利用區(qū)塊鏈不可篡改、去中心化的特性，同時結(jié)合智能合約自動化執(zhí)行，大幅提升了策略沖突的處理效率與檢測精度，增強(qiáng)了策略管理的透明性與可靠性。未來，將持續(xù)深化相關(guān)研究，以進(jìn)一步完善策略沖突優(yōu)化算法，以使該算法在更多應(yīng)用場景中發(fā)揮積極作用。

參考文獻(xiàn)

[1] 王鳳領(lǐng)，王涵，馮偉功.一種基于區(qū)塊鏈的ABAC靜態(tài)策略沖突優(yōu)化算法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（5）：35-39.

[2] 李健，戚湧.可撤銷屬性加密的區(qū)塊鏈數(shù)據(jù)訪問控制方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2024，45（2）：348-355.

[3] 王苗苗.基于區(qū)塊鏈技術(shù)的私有數(shù)據(jù)訪問控制模型設(shè)計(jì)[J].電腦知識與技術(shù)，2024，20（10）：88-90.

[4] 何壽奎，李潔，王俊杰.政府動靜態(tài)獎懲機(jī)制下基于區(qū)塊鏈的工程信息共享策略演化博弈研究[J].科技與經(jīng)濟(jì)，2023，36（5）：6-10.

[5] 胡睿，張功萱，寇小勇.一種基于Fabric區(qū)塊鏈的云端數(shù)據(jù)動態(tài)訪問控制方案[J].數(shù)據(jù)與計(jì)算發(fā)展前沿，2024，6（1）：150-161.