区块链:区块链权限专栏 | 谁允许你访问了？

作为一种去中心化的分布式系统，区块链系统在生产环境中会受到网络条件、节点规模、监管政策等多方面因素的影响，因此系统需要解决运维与合规问题，以保证分布式系统线上运行的安全与稳定。

在计算机系统中，广义上的权限体系一般包括三个部分：授权、鉴权及受保护资源。受保护资源指的是访问需要受到一定条件约束的资源；授权指的是用户主动或被动获取访问受限资源能力的过程；鉴权指的是用户访问受限资源时通过特定机制和凭证校验用户是否具有访问能力的过程。

区块链系统中的权限体系，会根据受保护资源对系统的影响范围被划分成若干层级。每个层级又可以细分出不同的受保护资源。不同的受保护资源可具有截然不同的权限管理机制。

总体上，在区块链系统中，权限体系所保护的资源一般可以从资源对区块链系统的影响层级范围的维度划分成四类：对整个链运转产生影响的链级权限、对单个智能合约运行产生影响的合约权限、对区块链上单个账号产生影响的账号权限及只对区块链系统中单个节点产生影响的节点权限。

区块链初创公司GigLabs完成800万美元A轮融资:8月9日消息，专注于体育和娱乐市场的区块链初创公司GigLabs宣布完成800万美元A轮融资，投资方信息暂未披露。

GigLabs 联合创始人 Douglas Dimola 透露，他们计划利用这笔融资探索NFT数字营销并构建能与客户共享价值的Web3工具。目前，GigLabs的合作伙伴包括新闻媒体CNN、NBA亚特兰大老鹰队和Turner Sports，美国航空集团公司旗下ConciergeKey客户奖励计划也使用GigLabs的软件为会员提供NFT。（bizjournals）[2022/8/10 12:13:55]

▲链级权限

链级资源：区块链系统中需要所有节点保持一致的参数配置集合。

链级资源的访问：在区块链系统中对上述配置进行统一变更的操作。

美股区块链概念股普遍收涨:今日美股收盘，美股区块链概念股普遍收涨。柯达收涨1.21%，埃森哲收涨1.03%，Overstock.com收涨2.21%，Riot Blockchain收涨1.3%，Marathon Patent收涨12.5%，Square收跌1.99%。[2020/4/3]

链级权限就是保护链级资源的权限机制。链级资源一般在区块链系统创世时就稳定地存在于区块链系统中，一般需要通过特殊的交易来访问，保证节点间的一致性；其访问必须在一定程度上受限，不可以轻易被访问，一旦被随意访问，容易导致功能的混乱，进而整个系统受到不可逆的损害。

▲合约权限

合约权限：业务智能合约操作接口的访问控制。

受保护的操作包括智能合约的维护与调用。智能合约的维护一般指的是智能合约代码的更新、智能合约的状态变更等，其维护权限默认赋予智能合约的部署者。

声音 | 微众银行副行长：银行业发展区块链有五大重点:据金融界12月26日消息，微众银行副行长兼首席信息官马智涛在接受采访时表示，银行业在区块链发展中有五大重点：首先，在管理方式上，区块链等金融科技产品的孵化有别于传统的银行产品，其业务场景复杂，合作模式创新，合作机构多样化。第二，数据安全与隐私保护，银行应注意数据主权权益的保护并进行相应的脱敏和隐私保护处理。第三，技术安全，要制定严格的风险防控措施，将传统的技术手段与新型技术手段相结合，用以防范新技术的应用可能带来的技术风险。第四，科技人力配备，银行要着力提升科技人员的配备数量并保障科技人才在全行人员中的人力配比，强化高科技人才引进和人员技能培训管理。第五，监管合作，银行要主动向监管机构提供监管科技（RegTech）解决方案和配套手段用以支持创新业务监管，降低合规风险。[2019/12/26]

不论是智能合约的维护还是调用，都需要通过特定的标识符来指向所访问的合约，基于智能合约的标识符，在区块链执行器层面可以提供黑白名单的机制对智能合约的接口进行整体保护。

动态 | 经济日报：区块链可以从根本上改变文化生产模式和商业模式:12月15日消息，经济日报发文“文化经济如何数字化转型？”，文中表示，区块链技术的全程留痕、可追溯以及不可篡改等特点，将从根本上改变电视收视率、网络点击量、电影票房等造假的问题，为文化经济的生产、消费以及再生产提供可以充分信赖的科学依据。

进一步而言，区块链可以从根本上改变文化生产模式和商业模式，让文化生产整合更多资源，变得更高效、更智能。[2019/12/15]

▲账号权限

在区块链账本上的主体，除了智能合约一般还包括区块链账号。账号权限核心就是保护区块链账本上的账号，使其不会被随意使用，它既包含了交易发起方的验证，又包含了发起方是否有权限向交易接收方发起操作的验证。

▲节点权限

上述三类权限受保护的主体，不论是链级参数、合约接口或区块链账号，都是一个区块链系统中全局的概念，因此上述三类权限控制机制在区块链系统中所有的节点上，都是以相同的方式运作的。

金色财经现场报道 华为区块链高级产品经理刘再耀：2024年市场整体空间达到607亿美金:金色财经现场报道，在2018大数据产业峰会上，华为区块链高级产品经理刘再耀表示，区块链到2024年市场整体空间达到607亿美金，目前区块链产品和服务市场总规模超过7亿美元。[2018/4/19]

节点权限相比上述三类权限来说，是一个单点的概念。理论上一个区块链系统中的节点只需要满足特定的协议，可以用不同的方式来实现，也可以对客户端提供不同的接口。节点权限所保护的资源对象就是实现区块链节点协议的服务器端对其客户端暴露的接口，确保接口不可以被随意访问。

介绍了权限体系所保护的资源，下面将介绍权限管理模型：如何进行授权和鉴权。

目前在区块链系统中使用权限管理模型有多种，例如基于公钥密码学的权限管理模型、基于链下多重签名的权限管理模型、基于提案投票的权限管理模型、基于角色的权限管理模型等，在实际区块链系统设计和实现中，往往会使用多个权限管理模型组合形成其权限体系，此处主要介绍基于提案投票的权限管理模型。

▲基于提案投票的权限管理模型

基于提案投票的权限管理模型：通过在内置智能合约或在业务智能合约中设计一套提案投票机制来保护特定资源的机制。在整个体系中包含两方面要素，参与者管理与提案投票管理。

参与者管理：管理有哪些用户可以参与提案投票管理，此处则是基于角色的权限管理模型来对参与者进行管理的；提案投票管理则：访问受保护资源必须以提案的形式发起交易，然后由参与者发起投票交易，通过投票来决定提案是否能够被执行。基于提案投票的权限管理模型初始化时，需要初始化投票系统的状态，并且记录在区块链账本上。

首先，要进行的是参与者的初始化，包括初始化所有可以参与投票的参与者的标识符和参与者的投票权重。然后是投票机制参数的初始化，包括同意票阈值、反对票阈值、提案失效条件等。一般来说，提案需要一个最长有效期，这个有效期可以通过区块高度或交易打包时间来规定，也就是说，一个提案在账本上成功创建之后，在高度小于一定值或打包时间小于一定值的区块内才允许被投票或执行。最后就是资源访问接口的初始化，一般来说，最通用的做法是将资源的访问接口以类似RPC接口注册的方式注册为一个可以通过提案投票机制调用的接口。值得注意的是，通常可以将参与者与提案投票的参数变更接口注册为提案可访问的资源，实现系统的自维护。基于提案投票的权限管理模型的授权鉴权流程如下图所示，访问系统资源主要有以下三个需要用户操作的环节：

基于提案投票的权限管理模型的授权鉴权流程

1）提案

提案环节，一般需要结合数字签名来证明提案的发起者在参与者列表中。此外，发起提案需要将资源接口调用所需要的参数全部包含在交易参数中发到区块链系统上。提案交易执行时，一般会嵌入检查条件来检查是否能够进行提案创建。通过检查后，调用参数将包含在提案数据中存放在区块链账本上，供后续使用。当提案产生之后，可以通过多种交互机制来通知所有参与者，如消息队列或客户端轮询等。

2）投票

提案创建之后，参与者通过各自的手段获取到提案信息，并根据自己对调用的认可情况来选择是否使用密钥签署投票交易，对提案发起同意票或反对票。区块链系统执行时会在账本上记录参与者的投票信息。

3）执行

当提案的同意票达到要求的阈值，参与者就可以使用密钥签署执行交易来使提案生效了。具体方法是从账本上读出资源调用参数，然后进行调用。

上述环节描述了基于提案投票的权限管理模型初始化和运作的一般机制，具体在区块链系统实现中，一般基于该模型做一定程度的简化或扩展。例如，可能会合并其中的投票和请求执行的步骤，以实现自动执行；还可以根据对提案执行顺序的要求引入一些顺序保障机制等。在该模型中，授权涉及初始化、提案、投票三个过程；鉴权则是通过执行提案时检查同意票是否达到阈值来进行。

本文从权限体系的三个部分入手，根据权限体系受保护资源对区块链系统的影响层级范围，介绍了在区块链系统中不同范围的受保护资源，并阐述了一种用于授权和鉴权的权限管理模型——基于提案投票的权限管理模型。后续我们还会对基于提案投票的权限管理模型是如何对链级权限进行管理的进行详细介绍。

作者简介

刘明美趣链科技基础平台部区块链网络研究小组

参考文献

《区块链技术指南》

标签：区块链GLAABSLABS区块链工程好就业吗GLAD价格SIRIN LABSBee AI Labs

MATIC热门资讯