POW:區塊鏈權限專欄 | 誰允許你訪問了？_POW3R價格

作為一種去中心化的分布式系統，區塊鏈系統在生產環境中會受到網絡條件、節點規模、監管政策等多方面因素的影響，因此系統需要解決運維與合規問題，以保證分布式系統線上運行的安全與穩定。

在計算機系統中，廣義上的權限體系一般包括三個部分：授權、鑒權及受保護資源。受保護資源指的是訪問需要受到一定條件約束的資源；授權指的是用戶主動或被動獲取訪問受限資源能力的過程；鑒權指的是用戶訪問受限資源時通過特定機制和憑證校驗用戶是否具有訪問能力的過程。

區塊鏈系統中的權限體系，會根據受保護資源對系統的影響范圍被劃分成若干層級。每個層級又可以細分出不同的受保護資源。不同的受保護資源可具有截然不同的權限管理機制。

總體上，在區塊鏈系統中，權限體系所保護的資源一般可以從資源對區塊鏈系統的影響層級范圍的維度劃分成四類：對整個鏈運轉產生影響的鏈級權限、對單個智能合約運行產生影響的合約權限、對區塊鏈上單個賬號產生影響的賬號權限及只對區塊鏈系統中單個節點產生影響的節點權限。

區塊鏈公司Power Ledger推出基于區塊鏈的太陽能交易平臺:澳大利亞區塊鏈公司Power Ledger與珀斯住宅開發商Nicheliving簽署了一項協議，將在未來三年內為當地居民推出區塊鏈太陽能交易平臺。該系統將通過嵌入式電網、太陽能光伏和存儲微電網為居民提供100%的可再生能源。Power Ledger的區塊鏈平臺跟蹤能源消耗，使用戶能夠將剩余的太陽能賣給其他居民，目的是優化能源分配，降低投資和使用的成本。（Cointelegraph）[2020/4/22]

▲鏈級權限

鏈級資源：區塊鏈系統中需要所有節點保持一致的參數配置集合。

鏈級資源的訪問：在區塊鏈系統中對上述配置進行統一變更的操作。

鏈級權限就是保護鏈級資源的權限機制。鏈級資源一般在區塊鏈系統創世時就穩定地存在于區塊鏈系統中，一般需要通過特殊的交易來訪問，保證節點間的一致性；其訪問必須在一定程度上受限，不可以輕易被訪問，一旦被隨意訪問，容易導致功能的混亂，進而整個系統受到不可逆的損害。

聲音 | 經濟日報：合理探索區塊鏈等信息技術在司法中的運用潛力:《經濟日報》今日發表題為“以法治方式構建網絡空間命運共同體”的評論文章。文中表示，以法治方式推動建立網絡空間命運共同體，在為數字經濟發展營造良好的營商環境方面，各國應秉持開放合作、互利共享、兼容并蓄、可持續發展的理念，共同應對互聯網時代挑戰，努力推動形成互聯網領域的國際規則，推進全球網絡空間治理；維護公平公正、公開透明、便捷高效、可信賴的司法體系，合理探索人工智能、區塊鏈等信息技術在司法中的運用潛力，提供智能、普惠、便捷的司法服務；遵循科技倫理和司法倫理，適應數字經濟創新發展需要，保護知識產權和虛擬財產權利，維護公平公正、有效競爭的經濟秩序。尤其是依據各國國內法及其參加或締結的國際公約，在職權范圍內保護個人信息和隱私，明確企業、組織及用戶的行為規范和權利邊界，避免信息濫用，為所有用戶營造安全的互聯網環境。[2019/12/10]

▲合約權限

動態 | 德國法蘭克學院將頒發基于區塊鏈的課程證書:據cointelegraph報道，德國法蘭克福金融與管理學院（FS）將為學生頒發基于區塊鏈的課程證書。據悉，FS與區塊鏈領域領先的軟件公司Consensys合作推出該試點項目，FS區塊鏈技術課程的畢業生將能夠通過區塊鏈認證來證明他們已成功完成課程。[2018/9/19]

合約權限：業務智能合約操作接口的訪問控制。

受保護的操作包括智能合約的維護與調用。智能合約的維護一般指的是智能合約代碼的更新、智能合約的狀態變更等，其維護權限默認賦予智能合約的部署者。

不論是智能合約的維護還是調用，都需要通過特定的標識符來指向所訪問的合約，基于智能合約的標識符，在區塊鏈執行器層面可以提供黑白名單的機制對智能合約的接口進行整體保護。

▲賬號權限

A股開盤：區塊鏈概念板塊微漲0.04% :A股開盤，區塊鏈板塊微漲0.04%，81只概念股中，36只上漲，24只下跌，15只平盤，6只停牌。漲幅前三為：嘉澤新能（+4.27%），先進數通（+1.68%），光環新網（+1.06%）；跌幅前三為：科藍軟件（-1.91%），高偉達（-1.78%），御銀股份（-1.17%）。[2018/6/12]

在區塊鏈賬本上的主體，除了智能合約一般還包括區塊鏈賬號。賬號權限核心就是保護區塊鏈賬本上的賬號，使其不會被隨意使用，它既包含了交易發起方的驗證，又包含了發起方是否有權限向交易接收方發起操作的驗證。

▲節點權限

上述三類權限受保護的主體，不論是鏈級參數、合約接口或區塊鏈賬號，都是一個區塊鏈系統中全局的概念，因此上述三類權限控制機制在區塊鏈系統中所有的節點上，都是以相同的方式運作的。

金色財經現場報道 華為區塊鏈高級產品經理劉再耀：未來基于區塊鏈的云服務預計將占6成以上的收入:金色財經現場報道，在2018大數據產業峰會上，華為區塊鏈高級產品經理劉再耀表示，區塊鏈的市場空間主要來自產品（服務器，存儲設備，網絡設備以及相應的區塊鏈軟件產品和工具等）和服務的收入，未來基于區塊鏈的云服務預計將占6成以上的收入。[2018/4/19]

節點權限相比上述三類權限來說，是一個單點的概念。理論上一個區塊鏈系統中的節點只需要滿足特定的協議，可以用不同的方式來實現，也可以對客戶端提供不同的接口。節點權限所保護的資源對象就是實現區塊鏈節點協議的服務器端對其客戶端暴露的接口，確保接口不可以被隨意訪問。

介紹了權限體系所保護的資源，下面將介紹權限管理模型：如何進行授權和鑒權。

目前在區塊鏈系統中使用權限管理模型有多種，例如基于公鑰密碼學的權限管理模型、基于鏈下多重簽名的權限管理模型、基于提案投票的權限管理模型、基于角色的權限管理模型等，在實際區塊鏈系統設計和實現中，往往會使用多個權限管理模型組合形成其權限體系，此處主要介紹基于提案投票的權限管理模型。

▲基于提案投票的權限管理模型

基于提案投票的權限管理模型：通過在內置智能合約或在業務智能合約中設計一套提案投票機制來保護特定資源的機制。在整個體系中包含兩方面要素，參與者管理與提案投票管理。

參與者管理：管理有哪些用戶可以參與提案投票管理，此處則是基于角色的權限管理模型來對參與者進行管理的；提案投票管理則：訪問受保護資源必須以提案的形式發起交易，然后由參與者發起投票交易，通過投票來決定提案是否能夠被執行。基于提案投票的權限管理模型初始化時，需要初始化投票系統的狀態，并且記錄在區塊鏈賬本上。

首先，要進行的是參與者的初始化，包括初始化所有可以參與投票的參與者的標識符和參與者的投票權重。然后是投票機制參數的初始化，包括同意票閾值、反對票閾值、提案失效條件等。一般來說，提案需要一個最長有效期，這個有效期可以通過區塊高度或交易打包時間來規定，也就是說，一個提案在賬本上成功創建之后，在高度小于一定值或打包時間小于一定值的區塊內才允許被投票或執行。最后就是資源訪問接口的初始化，一般來說，最通用的做法是將資源的訪問接口以類似RPC接口注冊的方式注冊為一個可以通過提案投票機制調用的接口。值得注意的是，通常可以將參與者與提案投票的參數變更接口注冊為提案可訪問的資源，實現系統的自維護。基于提案投票的權限管理模型的授權鑒權流程如下圖所示，訪問系統資源主要有以下三個需要用戶操作的環節：

基于提案投票的權限管理模型的授權鑒權流程

1）提案

提案環節，一般需要結合數字簽名來證明提案的發起者在參與者列表中。此外，發起提案需要將資源接口調用所需要的參數全部包含在交易參數中發到區塊鏈系統上。提案交易執行時，一般會嵌入檢查條件來檢查是否能夠進行提案創建。通過檢查后，調用參數將包含在提案數據中存放在區塊鏈賬本上，供后續使用。當提案產生之后，可以通過多種交互機制來通知所有參與者，如消息隊列或客戶端輪詢等。

2）投票

提案創建之后，參與者通過各自的手段獲取到提案信息，并根據自己對調用的認可情況來選擇是否使用密鑰簽署投票交易，對提案發起同意票或反對票。區塊鏈系統執行時會在賬本上記錄參與者的投票信息。

3）執行

當提案的同意票達到要求的閾值，參與者就可以使用密鑰簽署執行交易來使提案生效了。具體方法是從賬本上讀出資源調用參數，然后進行調用。

上述環節描述了基于提案投票的權限管理模型初始化和運作的一般機制，具體在區塊鏈系統實現中，一般基于該模型做一定程度的簡化或擴展。例如，可能會合并其中的投票和請求執行的步驟，以實現自動執行；還可以根據對提案執行順序的要求引入一些順序保障機制等。在該模型中，授權涉及初始化、提案、投票三個過程；鑒權則是通過執行提案時檢查同意票是否達到閾值來進行。

本文從權限體系的三個部分入手，根據權限體系受保護資源對區塊鏈系統的影響層級范圍，介紹了在區塊鏈系統中不同范圍的受保護資源，并闡述了一種用于授權和鑒權的權限管理模型——基于提案投票的權限管理模型。后續我們還會對基于提案投票的權限管理模型是如何對鏈級權限進行管理的進行詳細介紹。

作者簡介

劉明美趣鏈科技基礎平臺部區塊鏈網絡研究小組

參考文獻

《區塊鏈技術指南》

Tags：區塊鏈POWERPower LedgerPOW開發區塊鏈數字貨幣globalhashpowerPOW3R價格

幣贏