传统的权限管理技术主要依赖于可信第三方完成权限的分配管理,数据的拥有者无法直接控制数据访问权限的授予和撤销,数据具有泄露的风险。利用区块链去中心化的特性,可以在无可信第三方的场景下实现个人自主可控的数据访问权限管理。为了实现细粒度的权限管理,现有基于区块链的权限管理实现方案通常采用密文策略属性基加密算法（CP-ABE,Ciphertext-Policy Attribute-Based Encryption）。数据拥有者可以根据数据使用者的自身属性为其生成相应的解密密钥,将权限分配信息通过特定的访问控制结构加密,符合属性要求的数据使用者可通过区块链得到权限分配信息进而获得数据访问权限。但现有基于CP-ABE模型和区块链技术相结合的权限管理方案在企业级应用场景下会因为用户数过多出现管理复杂度高的问题;同时数据使用者一旦通过区块链获得数据访问权限后无法进行动态撤销。因此,现有基于区块链的权限管理方案并未完全实现数据拥有者自主可控的权限分配管理。针对以上问题,本文提出了一种新型的用户可自主控制的链上权限管理方案。该方案通过对CP-ABE模型的扩展,实现了权限继承,权限授予,以及权限撤销等权限操作,使其可以灵活的应用在企业级应用场景中。该方案采用多叉树结构实现属性集合的规约描述,在此基础上支持基于角色分配的权限继承;利用基于用户属性匹配的智能合约生成协议实现了数据拥有者对数据使用者的权限授予;并利用时间戳技术以及子集覆盖算法实现了权限撤销管理,有效期一旦过期或数据拥有者主动撤销,已分配的权限即被撤销。本文主要工作以及创新点如下:1.针对CP-ABE在企业级应用场景下随着用户数的增多而复杂度增加的问题,本文提出了一种基于角色分配的CP-ABE扩展模型。该模型在CP-ABE的基础上引入属性树的概念,该属性树满足严格偏序关系,可实现数据使用者角色划分与权限继承操作。系统可以根据角色间的权限包含关系构造属性树,树内除根节点与叶子节点外的每一节点代表角色,树内的叶子节点代表每个角色的固有属性。如果属性树内两个角色间存在通路,则代表这两个角色的所有者所拥有的权限具有继承关系。CP-ABE在进行数据加密时,基于属性树内角色间的可达关系以及角色的固有属性构造访问控制结构实现权限继承,根据角色间的层次关系实现了层次化的权限管理,降低了权限管理的复杂度。2.本文提出了一种基于智能合约的链上权限分配模型,该模型可基于属性实现数据拥有者对数据使用者的权限授予。该模型将权限管理的过程编写为智能合约,并将该智能合约部署在区块链节点上,当需要进行权限分配时,模型参与各方通过调用智能合约发起交易实现。数据拥有者可以通过链上交易在不依赖于可信第三方的情况下直接实现权限分配,权限分配根据数据使用者拥有的属性实现。3.针对当前在区块链上利用CP-ABE进行权限分配后难以进行权限撤销的问题,本文提出了两种权限撤销机制以实现有效期一旦过期或数据拥有者主动撤销时权限的自动撤销。前者基于时间戳实现,通过为每一数据使用者分配有效访问时间,当时间过期权限即自动撤销;后者通过构造二叉树为不同数据使用者分配不同的版本号,当数据拥有者想主动撤销权限时即可通过改变访问控制结构内的版本号信息来实现权限撤销。通过上述两种机制,在降低权限撤销操作复杂性的同时提升了灵活性。4.在上述方案的基础上,完成了链上权限管理原型系统的实现及验证。该原型系统可在区块链上实现数据拥用者自主可控的权限分配、权限继承以及权限撤销功能。经测试表明,在区块链上进行状态数据查询时,吞吐量在400TPS以上,在进行交易时,吞吐量在130TPS以上,可有效部署在企业级应用场景下。