基于區塊鏈的協作流程數據共享與訪問控制

韋懿杰，陳耀旺

（杭州電子科技大學計算機學院，浙江杭州 310018）

0 引言

隨著全球商業環境變得日益復雜和動蕩，許多商業體通過加強跨組織的業務協作和資源共享來達成更多業務目標。協作業務流程執行涉及到廣泛的信息與資源交換，相應的數據文件中可能包含用戶的敏感信息，如果沒有安全的數據共享與訪問機制，用戶并不愿意共享其數據。

近年來，隨著數字加密貨幣熱度越來越高，區塊鏈作為其底層支持技術得到了廣泛關注。目前已經有許多研究者將區塊鏈技術應用于協作業務流程管理領域，允許流程參與者在鏈上執行或監控業務流程。但現有研究多關注流程的執行控制，缺乏數據存儲和訪問控制的有效方案。

1 相關研究

近年來，區塊鏈技術由于具有去中心化、不可篡改和可追溯等特性而得到廣泛關注。例如，徐倩倩將現有區塊鏈研究劃分為區塊鏈基礎理論與區塊鏈技術在金融等領域的應用兩個方面；饒東寧等分析了區塊鏈與供應鏈的現狀，探究了在物流供應鏈中引入區塊鏈技術的應用前景；Mendling等指出使用區塊鏈技術能夠促進業務流程管理領域系統跨網絡執行、監測或改進等相關研究的發展；López-Pintado等開發了基于以太坊區塊鏈的業務流程執行引擎Caterpillar；Mercenne等在該引擎上的基礎上開發了Blockchain Studio框架，該框架能夠在以太坊區塊鏈上支持基于角色的業務工作流生成和自動化；Abid等擴展了Caterpillar工具，通過將業務流程模型中的時間約束轉換為智能合約代碼以支持時間感知的業務流程；Ladleif等在智能合約中提供了支持時間度量的解決方案并采用準確性和信任度比較時間度量的屬性，最后將該解決方案應用于業務流程執行過程中；Viriyasitavat等從“工業4.0”角度出發，提出一種基于區塊鏈技術的自動化業務流程管理方案，能夠在開放環境下支持選擇和組合服務；Prybila等探索了使用比特幣區塊鏈支持業務流程執行的方案，并為該方案設計了實現原型，然而該方案沒有考慮到共享數據的隱私性，且比特幣編程技術的局限性也限制了該原型的功能；Sturm等基于業務流程建模標注（Business Process Modeling Notation，BPMN）過程圖提出一種基于區塊鏈的去中心化流程執行體系；唐玄昭等提出一種基于區塊鏈的業務流程互操作框架以支持多方跨組織流程協同。

為解決傳統訪問控制技術中訪問權限難以界定、第三方難以信任等問題，許多研究者基于區塊鏈提出訪問控制方案并取得了不少成果。例如，Maesa等提出一種基于區塊鏈技術的訪問控制方法，該方法能夠發布用于表示訪問資源權限的策略。此外，該學者還提出一種基于智能合約的訪問控制方法，該方法結合傳統訪問控制技術與區塊鏈技術，將XACML體系架構的部分功能轉化為以太坊智能合約以支持防篡改的鏈上訪問控制。Cruz等提出一個名為RBAC-SC（Role-based Access Control using Smart Contract）的智能合約訪問控制方法，該方法使用以太坊智能合約作為組織角色授權的基礎設施，并提出用于驗證用戶角色所有權的質詢響應認證協議；Steichen等提出一種基于區塊鏈的星際文件系統（Inter Planetary File System，IPFS）分布式訪問控制方法，該方法解決了區塊鏈無法存儲大規模數據的缺點；López-Pintado等提出一種用于協作業務流程執行的角色綁定模型和綁定策略規范語言，同時還對該規范語言賦予petri網語義以檢測綁定策略是否會發生死鎖；Rondanini等提出在不同組織間建立協作與資源共享的訪問控制方法，該方法在智能合約中部署一組授權策略，允許任務執行者在任務激活期間訪問任務執行所需資源；Akhtar等針對分布式工作流中資源缺乏可審計的訪問控制方案等問題，提出一種能夠生成最優復合訪問控制策略的方法并開發了基于以太坊區塊鏈的實現原型。

目前，基于區塊鏈的訪問控制技術多為訪問控制策略的鏈上化，沒有考慮到基于區塊鏈協作業務流程中的數據文件如何存儲以及任務動態性對于訪問權限的影響。針對以上問題，本文提出一個基于區塊鏈的協作業務流程管理框架，該框架基于BPMN編排圖模型支持協作業務流程的鏈上執行過程，同時引入IPFS實現數據的鏈下存儲，最終通過鏈上存儲文件哈希值和鏈下存儲文件內容的方式緩解了區塊鏈存儲文件的壓力，提高了協作業務流程數據的安全性，降低了區塊鏈數據存儲成本。此外，本文還提出一個基于任務和屬性的訪問控制模型（Task-Attribute-Based Access Control，TABAC），該模型能在區塊鏈上驗證資源訪問者擁有的權限，為協作業務流程提供了動態、靈活、細粒度和可追溯的數據訪問控制支持。

2 設計方案

2.1 協作業務流程執行引擎

為了在區塊鏈上支持協作業務流程的數據共享與訪問控制，本文提出一個基于智能合約的協作業務流程引擎，該引擎基于BPMN編排圖驅動，能夠在以太坊區塊鏈上支持協作業務流程的執行。該引擎采用通用智能合約的設計方法，即設計了能夠提供編排圖模型數據存儲和流程實例執行等功能的智能合約，合約內部包含了通用數據結構體和合約函數。該引擎的執行概念如圖1所示。

Fig.1 Conceptual diagram of execution engine圖1 執行引擎概念

首先需要部署通用智能合約，通過翻譯器將編排圖模型解析為符合通用數據結構體格式的模型數據文件，通過部署器發送交易將模型導入至通用智能合約中。隨后流程創建者調用合約函數創建流程實例，完成實例創建后，按照相應的編排任務和消息狀態決定如何發送消息。當消息被接收者確認后，該框架能夠自動執行相應的編排任務并根據模型數據以及消息內容決定是否啟用下一編排任務，直至最后一個編排任務到達已完成狀態時表示該實例執行完成。

2.2 數據存儲方案

協作業務流程執行過程往往會涉及到數據文件的交互與共享，而當前區塊鏈無法在鏈上支持大量數據存儲。針對該問題，本文在區塊鏈上存儲文件的資源地址標識符，使數據文件脫離區塊鏈保存，訪問者需要根據鏈上存儲的資源地址標識符訪問數據文件。協作業務流程執行過程中的數據文件具有隱私性和時效性。為此，本文在框架內部增加了鏈上文件管理合約、訪問控制合約和鏈下IPFS代理層組件，其中文件管理合約是一個用于存儲數據文件哈希值的智能合約；訪問控制合約是一個用于驗證資源訪問者權限的智能合約；IPFS代理層用于攔截流程參與者對IPFS中存儲數據文件的訪問請求。在本文框架中，流程參與者不再直接與IPFS進行交互，而是通過IPFS代理層上傳或下載文件。

流程參與者上傳文件的時序如圖2所示，當流程參與者上傳文件時，IPFS代理層將調用鏈上訪問控制智能合約以驗證流程參與者是否擁有對應文件的寫入權限，如果擁有該權限，IPFS代理層將使用內部保存的以太坊賬戶公鑰加密文件，將加密后的文件上傳至IPFS并將其產生的哈希值寫入到文件管理智能合約中。如果流程參與者沒有該文件的寫入權限，IPFS代理層將拒絕流程參與者的上傳文件請求。流程參與者請求下載文件的過程與上傳過程類似，同樣需要由IPFS代理層和鏈上訪問控制智能合約進行權限驗證。當流程參與者擁有文件的讀取權限時，代理層在IPFS中檢索到相應的文件資源并使用以太坊私鑰解密文件，然后將解密后的文件返回給流程參與者。

Fig.2 Sequence diagram of uploading file圖2 上傳文件時序圖

2.3 訪問控制方案

基于區塊鏈的業務流程管理相關工作的重點在于業務流程模型的執行控制，但這些工作沒有考慮到協作業務流程執行過程中涉及到的數據資源訪問控制問題。

本文提出的TABAC模型結合了基于任務的訪問控制（Task-Based Access Control，TBAC）和基于屬性的訪問控制（Attribute-Based Access Control，ABAC）模型的優點，能夠為數據資源提供靈活、動態的訪問控制。該模型中業務流程可被分解為若干任務，任務包含任務屬性，這些屬性用于描述任務的特征，如任務名稱、任務狀態和任務類型等。用戶包含用戶屬性，在協作業務流程環境下用戶的屬性可能來自多個不同的組織。TABAC模型通過用戶屬性和任務屬性以及由這些屬性組成的訪問控制策略驗證用戶在協作業務流程執行過程中擁有的權限。

TABAC模型的訪問控制策略實施過程如圖3所示。資源請求者向策略執行點發送資源請求，策略執行點向策略決策點發起驗證權限請求。策略決策點根據從策略管理點中獲得的策略規則（屬性條件表示式）和從策略信息點處獲得的用戶屬性以及任務屬性評估資源訪問者是否擁有權限，然后將決策結果返回給策略執行點。當決策結果為拒絕時，策略執行點將拒絕資源請求者；當決策結果為允許時，策略執行點允許資源請求者對資源進行訪問。

Fig.3 TABAC access control strategy implementation process圖3 TABAC訪問控制策略實施過程

在協作業務流程執行過程中，組織間缺乏信任，因此策略實施過程往往是交給可信的第三方執行，但這種方式存在單點故障引起訪問控制失效、訪問控制不透明和難以追溯等問題。TABAC方案支持在智能合約中驗證資源訪問者擁有的權限，基本思想是將用戶、任務屬性和訪問控制策略存儲于智能合約中，當用戶訪問資源時，根據鏈上存儲的訪問控制策略以及獲取的用戶屬性和任務屬性計算用戶是否擁有資源訪問權限。通過該方案，本文框架能夠支持動態、靈活和細粒度的數據訪問控制，且資源訪問請求的決策結果均以不可篡改的交易形式存儲在區塊鏈之中，任何用戶都能夠對資源訪問請求的執行結果進行追溯。

3 協作業務流程管理框架

本文提出的協作業務流程管理框架鏈上合約主要涉及屬性管理合約、文件管理合約、實例合約和訪問控制合約等，其結構如圖4所示。以下將給出相應智能合約的定義與功能。

3.1 屬性管理合約（AMC）

AMC是一個存儲流程組織庫OL、用戶庫UL和屬性庫AL的智能合約，即AMC={OL，UL，AL}。其中OL表示協作業務流程中的流程組織集合；UL表示參與協作業務流程的用戶集合，即UL={U，U，…，U}，其中U表示業務流程的參與用戶；AL表示描述用戶相關特征或信息的屬性集合。

Fig.4 On-chain contract structure圖4 鏈上合約結構

3.2 文件管理合約（FC）

FC是一個用于存儲共享數據文件哈希地址的智能合約，由合約創建者FCC和數據文件庫FL組成，即FC={FCC，FL}。其中，FCC用于記錄該智能合約創建者的以太坊賬戶；FL表示協作業務流程中產生的共享數據文件集合，即FL={F，F，…，F}，F表示協作業務流程中產生的共享數據文件。FC能在區塊鏈上管理協作業務流程執行過程中產生的共享數據文件，并將對應數據文件的哈希值存儲于鏈上，當資源訪問者擁有共享數據文件的訪問權限時，其能通過IPFS代理層和數據文件哈希值獲取文件。

3.3 實例合約（IC）

IC是一個用于存儲流程模型PM以及流程實例庫IL的智能合約，即IC={PM，IL}。其中PM包含模型執行的控制流程邏輯，IL包含多個流程實例的執行狀態與執行過程。

3.4 訪問請求庫（ARL）

ARL中存儲著所有的資源訪問請求R，即ARL={R，R，…，R}。一個資源訪問請求R描述了資源訪問者對資源文件發起的一次訪問請求，該請求由資源訪問者RU、訪問資源文件RF、對資源執行的操作RA和資源訪問請求結果RR組成，即R={RU，RF，RA，RR}。

資源訪問者對于資源文件的每一次訪問請求都會被記錄到訪問請求庫ARL中。在資源訪問請求R中，RU的實際傳入值為資源訪問者的以太坊賬戶地址，通過該地址能夠在AMC中查詢到該資源訪問者的相關屬性；RF的實際傳入值為資源文件名稱、實例合約地址和實例id的三元組，該三元組能夠唯一標識一個業務流程實例執行過程中產生的資源文件，且通過IC地址和實例標識id能夠在IC中獲取對應流程實例的任務屬性；RA的傳入值為Write或Read，表示對相應資源文件進行寫入或讀取操作；RR表示資源訪問請求的結果，其值在資源訪問請求上傳后產生，有許可和拒絕兩種結果。

3.5 訪問策略庫（APL）

APL中存儲著所有的資源訪問控制策略P，即APL={P，P，…，P}。資源訪問控制策略P是指當滿足一定條件后即可對資源文件進行相應操作的許可，該策略由資源文件PF、資源操作PO和策略規則PR組成，即P={PF，PO，PR}，其中PF用于描述訪問資源的名稱；PO描述了能夠對該資源進行的操作；PR描述了允許訪問的資源規則，其能夠被更進一步細分為用戶屬性策略規則UPR和任務屬性策略規則TPR，即PR={UPR，TPR}。

3.6 訪問控制合約（ACC）

ACC是一個由訪問請求庫ARL和訪問策略庫APL組成的智能合約，即ACC={ARL，APL}。該合約用于存儲相關的資源訪問請求和控制策略，其內部包含匹配資源訪問請求和資源訪問控制策略的合約函數，能夠對IPFS代理層上傳的資源訪問請求進行評估，進而匹配相應資源訪問控制策略并得出最后的資源訪問請求結果RR。

4 實驗評估

4.1 案例與實驗環境

本文建模、分析和執行了1個以HE助聽器公司為主導的真實商品訂購業務流程，該流程執行過程涉及4個組織（門店客戶、生產商、物流商、發貨承運商）、14個元素和11條消息。4個組織之間通過發送消息推動流程實例執行，共同完成商品訂購目標。其中門店客戶為HE公司的加盟商，負責出售醫療助聽器；生產商為HE公司總部，負責處理訂單請求、聯系物流商；物流商為物流公司，負責管理HE公司商品庫存并處理發貨請求；發貨承運商為負責運輸助聽器的快遞公司。在傳統分布式業務流程執行環境下，該業務流程必須在一個可信任第三方的協作下執行，否則不同組織之間產生沖突時將難以解決。本文框架引入區塊鏈技術，不同組織間產生的交互記錄都會被存儲在區塊鏈上，不需要第三方介入即可實現可信任的流程執行。

本文框架中所有鏈下組件基于JavaScript和Java實現，鏈上智能合約使用solidity編寫并通過remix進行調試和編譯，完成編譯后將其部署于Ganache搭建的以太坊私鏈中。此外，本文框架在鏈下搭建了IPFS，鏈上流程實例執行過程中產生的數據文件將會被存儲到IPFS中。

4.2 成本分析

選取10個執行過程覆蓋模型所有路徑的流程實例，將流程實例的軌跡在框架中重播，并以此分析框架的成本開銷。本文框架的執行總成本主要分為框架部署成本、數據導入成本、實例創建與執行成本以及文件管理與訪問控制成本4個部分。其中，框架部署成本表示將本文框架中包含的智能合約部署到以太坊區塊鏈上需要消耗的Gas數量，為11 673 340；數據導入成本表示將流程模型、協作流程組織、文件訪問控制策略部署到相應的智能合約中需要消耗的gas數量，合計10 091 757。

本文案例中創建并執行10個流程實例需要消耗的Gas數量為28 808 682，詳細Gas消耗見表1。實例創建與執行成本由執行創建實例、發送消息、確認消息以及完成任務4個函數執行成本合計而成，每一個流程實例的平均執行成本約為288萬Gas。

Table1 Cost of instance creation and execution（10 instances）表1 實例創建與執行成本（10個實例）

本文案例中上傳、下載文件資源以及發送資源訪問請求需要消耗的Gas數量為22 677 354，詳細Gas消耗見表2。文件管理與訪問控制成本由新增文件、更新文件、刪除文件以及新增資源訪問請求4個函數執行成本合計而成，每個流程實例在文件管理和訪問控制上需要消耗約227萬Gas。

采用本文框架的案例執行總成本見圖5，共需要付出11 673 340Gas的框架部署成本與10 091 757Gas的數據導入成本，即在創建流程實例前需要付出21 765 097Gas的成本。而在此之后，本文框架需要為每一個流程實例付出2 880 868Gas的實例創建與執行成本以及2 267 735Gas的文件管理與訪問控制成本，即每個流程實例的執行需要消耗5 148 603Gas。

Table 2 Cost of document management and access control（10 instances）表2 文件管理與訪問控制成本（10個實例）

Fig.5 Frameexecution total cost圖5 框架執行總成本

5 結語

針對現有區塊鏈協作業務流程執行過程中難以存儲大規模數據文件和缺乏動態訪問控制方案的問題，本文提出基于區塊鏈的協作業務流程管理框架。與現有框架相比，本文框架引入IPFS技術，能大幅度降低鏈上數據存儲的成本開銷。此外，本文提出TABAC訪問控制方案，該方案不需要第三方提供訪問控制服務，能夠支持細粒度、靈活和動態的數據訪問控制，且訪問控制策略和權限驗證結果可被存儲在智能合約中，為協作業務流程執行過程中的數據訪問提供透明化、防篡改的記錄。下一步將進一步優化本文框架，降低實例執行成本，使用更多用戶和任務屬性進行測試并開發相應的可視化界面。