區塊鏈:區塊鏈權限專欄 | 誰允許你訪問了？_RPC

作為一種去中心化的分布式系統，區塊鏈系統在生產環境中會受到網絡條件、節點規模、監管政策等多方面因素的影響，因此系統需要解決運維與合規問題，以保證分布式系統線上運行的安全與穩定。

在計算機系統中，廣義上的權限體系一般包括三個部分：授權、鑒權及受保護資源。受保護資源指的是訪問需要受到一定條件約束的資源；授權指的是用戶主動或被動獲取訪問受限資源能力的過程；鑒權指的是用戶訪問受限資源時通過特定機制和憑證校驗用戶是否具有訪問能力的過程。

區塊鏈系統中的權限體系，會根據受保護資源對系統的影響范圍被劃分成若干層級。每個層級又可以細分出不同的受保護資源。不同的受保護資源可具有截然不同的權限管理機制。

總體上，在區塊鏈系統中，權限體系所保護的資源一般可以從資源對區塊鏈系統的影響層級范圍的維度劃分成四類：對整個鏈運轉產生影響的鏈級權限、對單個智能合約運行產生影響的合約權限、對區塊鏈上單個賬號產生影響的賬號權限及只對區塊鏈系統中單個節點產生影響的節點權限。

聲音 | 武漢大學教授：需引入區塊鏈等多個技術層面的支持，發力并賦能社會救治:2月12日，武漢大學教授、卓爾智聯研究院執行院長在中國青年報上刊文稱，在這次疫情之中，如何用技術有效賦能社會救治，成為社會熱議的話題。目前，醫療機器人已被用來救治患者，人工智能算法和大數據技術也被用來模擬病演化過程。筆者認為，除了這些努力，還有必要利用人工智能、大數據等技術，設計并實施面向未來的緊急情況應對系統。這套應對系統，需要引入人工智能、超級計算、區塊鏈等多個技術層面的支持，發力并賦能社會救治。[2020/2/12]

▲鏈級權限

鏈級資源：區塊鏈系統中需要所有節點保持一致的參數配置集合。

鏈級資源的訪問：在區塊鏈系統中對上述配置進行統一變更的操作。

鏈級權限就是保護鏈級資源的權限機制。鏈級資源一般在區塊鏈系統創世時就穩定地存在于區塊鏈系統中，一般需要通過特殊的交易來訪問，保證節點間的一致性；其訪問必須在一定程度上受限，不可以輕易被訪問，一旦被隨意訪問，容易導致功能的混亂，進而整個系統受到不可逆的損害。

聲音 | 聯想集團全球供應鏈高級副總裁：區塊鏈技術非常有益于未來整個信用體系的搭建:金色財經報道，聯想集團全球供應鏈高級副總裁關偉在接受采訪時表示，區塊鏈技術非常有益于未來整個信用體系的搭建。具體到聯想集團，供應商可以隨時通過系統來上傳產品的供需情況。聯想集團在兩年之前所做的各類數據協調與配合，一定程度上就是所謂的區塊鏈技術。這些正在完善的鏈路，對于聯想自身以及供應商的成本控制與利潤增長大有裨益。[2019/11/16]

▲合約權限

合約權限：業務智能合約操作接口的訪問控制。

受保護的操作包括智能合約的維護與調用。智能合約的維護一般指的是智能合約代碼的更新、智能合約的狀態變更等，其維護權限默認賦予智能合約的部署者。

不論是智能合約的維護還是調用，都需要通過特定的標識符來指向所訪問的合約，基于智能合約的標識符，在區塊鏈執行器層面可以提供黑白名單的機制對智能合約的接口進行整體保護。

聲音 | 洪崎：區塊鏈等技術為民生銀行實體經濟轉型開辟路徑:據中國證券報消息，1月18日，在“升級中國智造——2019中國智能制造全產業鏈應用大會”上，中國民生銀行董事長洪崎表示，民生銀行將金融賦能“中國制造”向“中國智造”升級；區塊鏈、大數據、人工智能等技術的出現，生態圈理念的興起，為民生銀行支持實體經濟轉型升級的理想找到了更為清晰的實現路徑，也為民生銀行更好的服務民營企業、中小和小微企業找到了新路徑。[2019/1/19]

▲賬號權限

在區塊鏈賬本上的主體，除了智能合約一般還包括區塊鏈賬號。賬號權限核心就是保護區塊鏈賬本上的賬號，使其不會被隨意使用，它既包含了交易發起方的驗證，又包含了發起方是否有權限向交易接收方發起操作的驗證。

▲節點權限

上述三類權限受保護的主體，不論是鏈級參數、合約接口或區塊鏈賬號，都是一個區塊鏈系統中全局的概念，因此上述三類權限控制機制在區塊鏈系統中所有的節點上，都是以相同的方式運作的。

聲音 | 鏈塔智庫：Q3區塊鏈新增項目共36個 環比下降71.88%:2018年前三季度區塊鏈新增項目數量呈下降趨勢。第一季度新增項目共計197個，第二季度新增項目共計128個，環比下降35.02%。第三季度新增項目共計36個，環比下降71.88%。

其中，亞洲地區新增項目最多，共計214個，占比85%，其次是北美洲，新增項目24個，占比10%，歐洲新增項目10個，大洋洲新增項目2個，歐洲和大洋洲合計占比5%。中國新增項目最多，共計168個，其次是新加坡，共計38個項目。北美洲中美國領先，共計新增14個項目。

中國的新增區塊鏈項目中，北京市新增區塊鏈項目依然保持領先，共計新增72個項目，占比43%，其次是廣東省，共計新增26個項目，占比15%，然后是上海市，共計新增23個項目，占比14%。前三合計新增項目121個，占比72%。香港和浙江省分別新增12個項目和9個項目，占比7%和5%。[2018/10/11]

節點權限相比上述三類權限來說，是一個單點的概念。理論上一個區塊鏈系統中的節點只需要滿足特定的協議，可以用不同的方式來實現，也可以對客戶端提供不同的接口。節點權限所保護的資源對象就是實現區塊鏈節點協議的服務器端對其客戶端暴露的接口，確保接口不可以被隨意訪問。

久其軟件：目前區塊鏈研究主要涉及資產管理系統等三方面:久其軟件在互動平臺上表示，關于區塊鏈技術與應用的研究工作，公司目前研究方向主要涉及三個方面，一是基于區塊鏈技術的資產管理系統，包括固定資產、無形資產和金融資產的數字化全生命周期管理；二是基于區塊鏈技術的新一代數據資產管理解決方案；三是基于區塊鏈技術的供應鏈金融平臺方案。上述內容均處于研究階段。[2018/1/16]

介紹了權限體系所保護的資源，下面將介紹權限管理模型：如何進行授權和鑒權。

目前在區塊鏈系統中使用權限管理模型有多種，例如基于公鑰密碼學的權限管理模型、基于鏈下多重簽名的權限管理模型、基于提案投票的權限管理模型、基于角色的權限管理模型等，在實際區塊鏈系統設計和實現中，往往會使用多個權限管理模型組合形成其權限體系，此處主要介紹基于提案投票的權限管理模型。

▲基于提案投票的權限管理模型

基于提案投票的權限管理模型：通過在內置智能合約或在業務智能合約中設計一套提案投票機制來保護特定資源的機制。在整個體系中包含兩方面要素，參與者管理與提案投票管理。

參與者管理：管理有哪些用戶可以參與提案投票管理，此處則是基于角色的權限管理模型來對參與者進行管理的；提案投票管理則：訪問受保護資源必須以提案的形式發起交易，然后由參與者發起投票交易，通過投票來決定提案是否能夠被執行。基于提案投票的權限管理模型初始化時，需要初始化投票系統的狀態，并且記錄在區塊鏈賬本上。

首先，要進行的是參與者的初始化，包括初始化所有可以參與投票的參與者的標識符和參與者的投票權重。然后是投票機制參數的初始化，包括同意票閾值、反對票閾值、提案失效條件等。一般來說，提案需要一個最長有效期，這個有效期可以通過區塊高度或交易打包時間來規定，也就是說，一個提案在賬本上成功創建之后，在高度小于一定值或打包時間小于一定值的區塊內才允許被投票或執行。最后就是資源訪問接口的初始化，一般來說，最通用的做法是將資源的訪問接口以類似RPC接口注冊的方式注冊為一個可以通過提案投票機制調用的接口。值得注意的是，通常可以將參與者與提案投票的參數變更接口注冊為提案可訪問的資源，實現系統的自維護。基于提案投票的權限管理模型的授權鑒權流程如下圖所示，訪問系統資源主要有以下三個需要用戶操作的環節：

基于提案投票的權限管理模型的授權鑒權流程

1）提案

提案環節，一般需要結合數字簽名來證明提案的發起者在參與者列表中。此外，發起提案需要將資源接口調用所需要的參數全部包含在交易參數中發到區塊鏈系統上。提案交易執行時，一般會嵌入檢查條件來檢查是否能夠進行提案創建。通過檢查后，調用參數將包含在提案數據中存放在區塊鏈賬本上，供后續使用。當提案產生之后，可以通過多種交互機制來通知所有參與者，如消息隊列或客戶端輪詢等。

2）投票

提案創建之后，參與者通過各自的手段獲取到提案信息，并根據自己對調用的認可情況來選擇是否使用密鑰簽署投票交易，對提案發起同意票或反對票。區塊鏈系統執行時會在賬本上記錄參與者的投票信息。

3）執行

當提案的同意票達到要求的閾值，參與者就可以使用密鑰簽署執行交易來使提案生效了。具體方法是從賬本上讀出資源調用參數，然后進行調用。

上述環節描述了基于提案投票的權限管理模型初始化和運作的一般機制，具體在區塊鏈系統實現中，一般基于該模型做一定程度的簡化或擴展。例如，可能會合并其中的投票和請求執行的步驟，以實現自動執行；還可以根據對提案執行順序的要求引入一些順序保障機制等。在該模型中，授權涉及初始化、提案、投票三個過程；鑒權則是通過執行提案時檢查同意票是否達到閾值來進行。

本文從權限體系的三個部分入手，根據權限體系受保護資源對區塊鏈系統的影響層級范圍，介紹了在區塊鏈系統中不同范圍的受保護資源，并闡述了一種用于授權和鑒權的權限管理模型——基于提案投票的權限管理模型。后續我們還會對基于提案投票的權限管理模型是如何對鏈級權限進行管理的進行詳細介紹。

作者簡介

劉明美趣鏈科技基礎平臺部區塊鏈網絡研究小組

參考文獻

《區塊鏈技術指南》

Tags：區塊鏈人工智能RPC區塊鏈dapp開發語言人工智能幣交易RPC幣

火必下載