买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：浙江省科技信息研究院;浙江天正信息科技有限公司

摘要：本发明公开了一种基于区块链的协作流程执行系统及其数据访问控制方法。该系统能够在以太坊区块链上支持协作业务流程的执行过程并为执行过程中涉及的资源数据文件提供一种数据访问控制方案，其协作业务流程执行由以太坊上部署的流程合约控制执行，数据访问控制方案由以太坊上部署的访问控制合约和文件管理合约、链下IPFS及其代理层和流程合约共同控制执行。使用本发明公开的系统能够解决协作业务流程中不同组织间缺乏信任问题，为不同组织提供去中心化的协作业务流程执行过程，并且在以太坊区块链上提供动态、灵活、细粒度和可追溯的数据访问控制支持。

主权项：1.一种基于协作流程执行系统的数据访问控制方法，其特征在于：所述协作流程执行系统为基于区块链的协作流程执行系统，该系统包含前端系统、后端系统、星际文件系统以及以太坊区块链四个部分；前端系统包含建模器与执行界面；其中建模器用于支持协作流程建模，执行界面用于管理协作流程的执行过程中对数据文件的上传和下载；后端系统包含链下组件、Web3接口和星际文件系统代理层；其中链下组件用于处理前端系统传入的数据；Web3接口是一个集合库，用于提供包括检索用户账户、发送交易和与智能合约交互在内的功能接口；星际文件系统代理层用于在后端系统中拦截用户对于星际文件系统的请求并通过Web3接口向智能合约转发该请求用于对访问者进行权限验证，同时根据监听到验证结果决定是否向星际文件系统发送上传或下载文件的请求；星际文件系统用于存储跨组织流程执行过程中产生的共享数据文件；以太坊区块链包括数据存储模块、访问控制模块和流程执行引擎；其中数据存储模块包含文件管理合约和属性管理合约，所述文件管理合约用于存储文件在星际文件系统中的哈希值，所述属性管理合约用于管理用户和组织相关信息；访问控制模块包含访问控制合约，用于在用户访问相应资源时验证访问者是否拥有对于被访问资源的操作权限；流程执行引擎包含与协作流程执行相关的流程合约，用于支持链上流程实例的执行过程；所述属性管理合约为存储有流程组织库、用户库和属性库的智能合约；在属性管理合约中，合约创建者将导入协作业务流程包含的流程组织并设置其组织管理员，组织管理员能够在相应的组织中管理组织包含的属性集合以及共享资源文件相关信息；所述文件管理合约为用于管理共享数据文件信息的智能合约，由其合约创建者和数据文件库组成，能够在区块链上管理协作业务流程执行过程中产生的共享数据文件，并将数据文件的哈希值存储于链上，当资源访问者拥有数据文件的访问权限时，能够通过星际文件系统代理层和数据文件的哈希值获取数据文件；所述流程合约为用于存储流程模型以及流程实例库的智能合约，其中流程模型包含模型执行的控制流程逻辑，流程实例库包含多个流程实例的执行状态与执行过程；所述访问控制合约为由访问请求库和访问策略库组成的智能合约，其内部包含匹配资源访问请求和资源访问控制策略的合约函数，能够根据星际文件系统代理层上传的资源访问请求来评估资源访问者的访问权限，匹配相关资源访问控制策略并得出最后的资源访问请求结果；该数据访问控制方法具体包括以下步骤：S1、通过执行界面将以太坊区块链中涉及的智能合约部署到以太坊私链上；所述智能合约包括属性管理合约、访问控制合约、文件管理合约以及流程合约；S2、将包括通过建模器构建的流程模型、参与协作流程执行的组织与用户属性、协作流程执行涉及的流程文件及其访问控制策略在内的数据导入到S1中部署的所述智能合约中；S3、根据所述智能合约中存储的流程模型创建协作流程实例；当协作流程实例的执行不涉及对共享数据文件的操作时，参与协作流程执行的流程执行者能够通过在流程执行引擎上通过调用流程合约的合约函数来执行协作流程；S4、当协作流程实例的执行涉及到共享数据文件的操作时，流程执行者将向星际文件系统代理层发送资源访问请求，星际文件系统代理层将调用访问控制模块中的访问控制合约的函数接口，将该请求转发到访问控制合约中，访问控制合约将根据该资源访问请求涉及到的数据文件、资源访问者的属性、协作流程实例的状态以及对共享数据文件的操作，在合约内检索相应的访问控制策略并评估资源访问者对文件的访问权限；完成评估后将产生事件，记录该资源访问请求的访问结果；S5、星际文件系统代理层监听访问控制智能合约中产生的事件，获取对应资源访问请求的访问结果，根据访问结果允许或拒绝流程执行者对于星际文件系统的访问；所述以太坊区块链中，每个智能合约中都包含其余智能合约的合约地址全局变量，在完成合约部署后需要为每个智能合约导入其余智能合约的合约地址；且文件管理合约中还存储有一个保存在链下星际文件系统代理层的账户地址，只有该账户地址能够对文件管理合约的合约函数进行调用，所有上传到链下星际文件系统的数据文件都会使用该账户地址进行加密，确保无法绕开星际文件系统代理层直接和星际文件系统进行交互；所述S4中，评估资源访问者对文件的访问权限的方法如下：完成访问控制策略的检索后，访问控制合约遍历检索到的每一个访问控制策略，解析其中包含的策略规则，根据策略规则中的用户属性策略规则和任务属性策略规则分别向属性管理合约和流程合约发送请求，查询相关的用户属性值以及任务属性值，将用户属性值和任务属性值分别与用户属性策略规则和任务属性策略规则进行匹配，当用户属性值满足用户属性策略规则的条件表达式且任务属性值满足任务属性策略规则的条件表示式时视为当前访问控制策略匹配成功；如果能匹配到至少一个访问控制策略，则明该资源访问者具有对资源文件的访问权限，否则视为该资源访问者没有对资源文件的访问权限。

全文数据：

权利要求：

百度查询： 浙江省科技信息研究院 浙江天正信息科技有限公司 基于区块链的协作流程执行系统及其数据访问控制方法