基于區塊鏈的ABAC靜態策略沖突優化算法

摘要：為解決大數據與云計算環境下策略沖突檢測與管理的難題，首先，介紹了區塊鏈技術與基于屬性的訪問控制（attribute-based access control，ABAC）模型的基本概念，為后續算法設計奠定了理論基礎；其次，設計了ABAC靜態策略沖突優化算法，包括基本元素、優化流程、相似度值計算、策略區塊分組以及沖突策略優化算法設計；最后，實驗結果表明，ABAC靜態策略沖突優化算法在沖突檢測、決策效率、存儲優化等方面具有顯著優勢。該算法可以實現策略沖突的高效檢測與智能優化，大幅提升了策略管理的效率與精確性，同時也為基于區塊鏈的ABAC策略管理提供了新的思路和有益參考。

關鍵詞：區塊鏈；ABAC；靜態策略；策略沖突優化算法

中圖分類號：TP311.13 文獻標識碼：A

0 引言

隨著大數據與云計算技術的迅速發展，基于屬性的訪問控制（attribute-based access control，ABAC）策略在確保信息安全中扮演重要的角色。然而，現有ABAC靜態策略在復雜環境中可能面臨沖突問題，管理與檢測效率低，影響系統響應速度與安全性。這種背景下，充分利用區塊鏈不可篡改性與智能合約自動執行等特性，設計ABAC靜態策略沖突優化算法具有重要現實意義，這不僅有助于提升策略沖突的解決能力，增強策略管理的透明性，還能夠保證大規模信息系統長期可靠

運行。

1 ABAC模型

ABAC模型作為分布式系統中訪問權限管理的核心框架，其核心思想在于依據實體屬性而非傳統角色進行訪問授權。該模型將訪問控制要素分為客體、主體、操作和環境四大屬性集，通過邏輯操作與屬性值謂詞定義授權策略，確保訪問控制的靈活性與細粒度。ABAC模型中的主體攜帶特定屬性以請求訪問，客體代表被訪問資源，環境屬性動態反映了訪問時的系統狀態，而操作屬性則定義了訪問的具體行為[1]。策略集作為訪問控制的依據，借助策略決策點來評估屬性訪問請求，最終由策略執行點執行訪問控制決策。ABAC模型示意圖如圖1所示。

圖1 ABAC模型示意圖

ABAC靜態策略在復雜系統中易產生沖突，從而影響訪問控制的準確性。為此，結合區塊鏈技術的不可篡改性與智能合約的自動化特性，提出并設計了ABAC靜態策略沖突優化算法。該算法借助區塊鏈存儲策略集，利用哈希值來確保策略一致性，而智能合約用于自動檢測并解決策略沖突，大幅提升了策略管理的安全性與效率。具體來說，本文首先引入Jaccard相似系數作為衡量策略屬性間相似度的標準，用以量化布爾與符號度量間的重疊程度；其次，明確定義靜態策略沖突的條件，即策略間決策屬性相反、操作行為存在交集且策略條件屬性與值具有重疊，則視為沖突；最后，構建基于區塊鏈的訪問控制策略架構，充分利用區塊鏈不可篡改性及智能合約自動化特性，存儲與管理訪問控制策略，確保策略執行的透明度與高效性[2]。其中，智能合約作為策略表示與執行的載體，由資源所有者創建并永久存儲在區塊鏈上，支持訪問請求的即時評估與決策生成，全程自動化處理，大幅提升了策略沖突檢測與優化的效率與精度。

2 ABAC靜態策略沖突優化算法設計

2.1 基本元素

基本元素定義了訪問控制的核心組成部分。主體作為訪問請求的發起者，利用其主體屬性如安全等級、年齡、身份等特征來識別其身份或特性。客體是指被訪問的目標服務或資源，其對象屬性描述了安全級別、資源類型等信息。資源屬性進一步細化了被訪問實體的具體特征，如文件創建日期、類型及大小。環境屬性動態反映了訪問發生時的上下文狀態，包括但不限于安全級別、位置、時間等信息。操作屬性定義了訪問的具體行為，如執行、讀、寫等。決策屬性指示了訪問請求的結果，通常包括拒絕、允許，以及在不明確時返回未知狀態。此外，相似值（Jaccard相似系數）用于量化兩個策略屬性間的相似程度，而相似度待定值是一個0～1的數值，用于策略沖突優化過程中的比較與判斷[3]。

2.2 優化流程

為確保策略的有效性與一致性，ABAC靜態策略沖突優化算法需遵循以下系統化流程：①在策略分析階段，將策略集中的規則按照資源、主體、操作、環境屬性進行解析，構建屬性集，以反映策略的決策效果（允許或拒絕）。②結合Jaccard相似系數來計算策略間的相似值，用以量化策略間的重疊程度。在處理沖突檢測過程中，算法通過比較策略條件與訪問請求，識別并標記出對同一請求產生不一致決策的策略集，即策略沖突。③為進一步管理這些沖突，策略區塊分組負責將策略集按照操作屬性與資源屬性的相似度完成邏輯分組，確保有針對性地處理沖突。④策略沖突優化階段采用了一種高效算法，其在維持策略的基礎上，優先處理拒絕決策，通過刪除、拆分、合并策略的方式，系統性地解決策略沖突問題。ABAC靜態策略沖突優化流程如圖2所示。

2.3 相似度值計算

ABAC靜態策略沖突優化算法遵循Jaccard相似系數原理，客觀量化了策略間同名屬性的相似程度。該計算過程將策略屬性視為一個集合，通過比較兩個策略中同名屬性的并集與交集的大小，得到一個0～1的相似度值。該數值直接反映了策略屬性間的重疊程度，為后續的沖突檢測與策略優化提供了堅實的數據支撐。

2.4 策略區塊分組

策略區塊分組作為處理沖突策略的關鍵步驟，主要過程是從原策略集中選取策略，并基于數據引用完成區塊細分。每個區塊的生成涉及對輸入參數的特定處理與更新，以確保新策略集的準確性與一致性。策略沖突僅可能發生在針對同一資源執行相同操作的策略之間，因此，策略區塊分組的關鍵依據為操作屬性與資源屬性的相似度。為避免策略被錯誤地分配至多個組，優化算法要求兩個策略在操作屬性與資源屬性上的相似度值必須為1，這主要借助智能合約的嚴格管理來實現。智能合約由資源所有者創建，并存儲到區塊鏈上，保證策略執行的不可篡改性與透明性。函數調用需嚴格按照順序執行，并允許參與者驗證最后結果，以此維護策略分組的精確性與系統整體安全性[4]。

2.5 沖突策略優化算法設計

針對ABAC靜態策略中的沖突問題，本文基于區塊鏈設計了一種ABAC靜態策略沖突優化算法。首先，該算法依據操作屬性與資源屬性的相似度值來區塊分組策略集。其次，深入分析各組中環境屬性與主體屬性的相似度，在保持策略完整性的前提下，優化算法旨在通過精準操作去除沖突部分，同時，最大限度地保留原策略的有效內容。優化過程中，若兩組策略在環境屬性與主體屬性上的相似度均為最高（相似度值為1），則采取拒絕優先原則，直接刪除允許訪問的策略，并保留拒絕訪問的策略，以確保系統安全。針對相似度非完全一致的情況，該算法會識別并剝離沖突屬性范圍，嘗試利用交叉組合來生成新的策略組合。若策略間存在屬性范圍包含關系，應優先保留范圍更廣泛的策略，同時刪除或調整相關策略部分[5]。該優化算法設計一方面體現了對策略細節的精準把控；另一方面通過引入區塊鏈技術，有效保證了策略管理與執行的不可篡改性與透明性，為大規模分布式系統中的靜態策略沖突管理提供有力的技術支撐。

3 實驗及結果分析

本文采用一臺配置為Intel（R）Core（TM）i7-6700HQ的中央處理器（central processing unit，CPU），其主頻為2.60 GHz、內存為16 GB，并將其用于運行Windows 10專業版操作系統的計算機上以完成實驗部署。通過對ABAC靜態策略優化算法進行仿真，旨在驗證其在現實應用場景中的效能。為了全面且深入地評估該算法的性能，本文構建了一個包含豐富屬性的綜合數據集，具體涵蓋6個操作屬性、5個資源屬性、12個環境屬性以及10個主體屬性。在實驗過程中，本文遵循可擴展訪問控制標記語言（eXtensible access control markup language，XACML）規范，將策略庫定義成數據集，同時選取了不同規模的策略集（如5 000、

10 000、15 000、20 000個）完成測試，以便深入分析沖突檢測的決策結果、決策時間、準確性及總存儲量的變化情況。為客觀準確評估算法在策略沖突檢測方面的性能，本文進行了10次實驗，每次實驗都針對不同數量的策略沖突進行測試。策略沖突檢測率結果如表1所示。

本文提出的基于區塊鏈的ABAC靜態策略沖突優化算法展現了卓越的性能，其平均檢測率高達93.42%，充分證明了該算法在策略沖突檢測方面的強大能力。即使策略沖突次數不斷增加，該算法的檢測率依然保持在一個較高的水平，這進一步證明了其在處理復雜策略沖突時的有效性。此外，本文還對沖突檢測準確率與策略數量之間的關系進行了深入分析。

無論策略數量如何變化，本文提出的算法的沖突檢測準確率均穩定在95%左右，這充分表明該算法在識別與處理策略沖突方面具有較高的準確性與穩定性。這一結果證明了該算法在策略沖突檢測領域的可靠性與實用性。為更全面地評估算法的效率，本文比較了優化前后的算法運行時間。在不同策略數量下，優化后的算法運行時間都顯著少于優化前的算法。特別是在策略數量為20 000時，優化后算法的運行時間僅為1 357 s，而優化前算法的運行時間則長達4 295 s，因此優化后算法在提升運行效率方面具有顯著優勢。為進一步探究優化策略對決策效率的影響，本文還比較了策略優化前后針對特定請求發送最終決策所需的時間。策略優化后所需的決策時間明顯少于策略優化前所需的時間，并且隨著策略數量的不斷增加，二者的差異更加明顯。該結果充分證明了優化策略在顯著提高決策效率方面的優勢，尤其是在處理大量策略時。

此外，為確保優化策略不會對最終訪問請求產生負面影響，本文對優化前后的決策結果（允許與拒絕）進行了比較。在優化后的策略中，允許的決策結果相似度保持在較高水平（95%以上），而拒絕的決策結果相似度則保持不變（100%）。該結果充分說明優化策略在保持決策結果一致性的同時，有效地減少了策略數量并提高了處理效率。最后，本文對優化前后策略集存儲所需的空間變化完成深入分析。實驗結果表明，優化后的策略大大節省了存儲空間并提高了存儲效率。隨著策略數量的增加，存儲效率的提高程度也逐漸增大。該結果充分證明了優化算法在減少存儲空間占用和提高存儲效率方面具有顯著優勢。

4 結語

綜上，本文設計的基于區塊鏈的ABAC靜態策略沖突優化算法，能夠有效解決傳統ABAC策略在復雜環境中管理困難、沖突頻發等問題。該算法有效利用區塊鏈不可篡改、去中心化的特性，同時結合智能合約自動化執行，大幅提升了策略沖突的處理效率與檢測精度，增強了策略管理的透明性與可靠性。未來，將持續深化相關研究，以進一步完善策略沖突優化算法，以使該算法在更多應用場景中發揮積極作用。

參考文獻

[1] 王鳳領，王涵，馮偉功.一種基于區塊鏈的ABAC靜態策略沖突優化算法[J].網絡安全技術與應用，2023（5）：35-39.

[2] 李健，戚湧.可撤銷屬性加密的區塊鏈數據訪問控制方法[J].計算機工程與設計，2024，45（2）：348-355.

[3] 王苗苗.基于區塊鏈技術的私有數據訪問控制模型設計[J].電腦知識與技術，2024，20（10）：88-90.

[4] 何壽奎，李潔，王俊杰.政府動靜態獎懲機制下基于區塊鏈的工程信息共享策略演化博弈研究[J].科技與經濟，2023，36（5）：6-10.

[5] 胡睿，張功萱，寇小勇.一種基于Fabric區塊鏈的云端數據動態訪問控制方案[J].數據與計算發展前沿，2024，6（1）：150-161.