(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210865501.0 (22)申请日 2022.07.21 (71)申请人 北京云集智造科技有限公司 地址 100000 北京市朝阳区来广营西路5号 院5号楼5层5 06室 (72)发明人 许黄超　熊亚军　朱品燕　 (74)专利代理 机构 北京博识智 信专利代理事务 所(普通合伙) 16067 专利代理师 邓凌云 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于区块链的多租户权限管理装置 (57)摘要 本发明涉及一种基于区块链的多租户权限 管理装置， 包括(1)基于区块链框架创建区块链 平台； (2)获取用户对应的用户信息， 并将其写入 所述区块链平台中； (3)接受用户发送的读取请 求， 进行参数校验和加密操作， 完成后按照预设 规则将读取请求写入所述区块链平台； (4)根据 预设的对应关系返回用户所需的平台信息。 本发 明优点： (1)区块链平台的数据公开透明， 任意用 户可以随时查询所需信息， 增强了用户间的信任 度； (2)区块链的篡改难度大， 智能合约的修改需 要各节点同时部署， 能够多方面防止恶意篡改， 确保业务数据的安全； (3)对读取请求提供了更 完整安全的设计—参数校验和加密处理， 满足客 户在实际业 务场景中的需求， 具有可扩 展性。 权利要求书1页 说明书4页 附图1页 CN 115314209 A 2022.11.08 CN 115314209 A 1.一种基于区块链的多租户权限管理装置， 其特 征在于， 包括以下步骤， (1)基于区块链框架创建区块链 平台； (2)获取用户对应的用户信息， 并将其写入所述区块链 平台中； (3)接受用户发送的读取请求， 进行参数校验和加密操作， 完成后按照预设规则将读取 请求写入所述区块链 平台； (4)根据预设的对应关系返回用户所需的平台信息 。 2.根据权利要求1所述的一种基于区块链的多租户权限管理装置， 其特征在于， 所述步 骤(1)在区块链中主要通过数字签名来 实现权限控制， 识别交易 发起方的合法身份， 在区块 链中主要通过数字签名来实现权限控制， 识别交易发起方 的合法身份， 在区块链中主要通 过数字签名来实现权限控制， 识别交易发起方的合法身份。 3.根据权利要求1所述的一种基于区块链的多租户权限管理装置， 其特征在于， 所述步 骤(2)中创建区块链平台后， 将用户信息写入 该平台， 其中用户信息至少包含所属租户的标 识和职位信息， 所属租户标记了该用户隶属的公司和部门信息， 按照租户的职级和权限， 可 以将租户至少分为低级租户、 中级租户、 高级租户和管理者， 不同级别的租户在用户访问对 应了不同的访问权限和请求结果。 4.根据权利要求1所述的一种基于区块链的多租户权限管理装置， 其特征在于， 所述步 骤(3)包括以下两个部分： (1)利用密码学领域的相关算法对签名内容进行处理， 获取一段用于表示签名的字符； 在密码学领域， 一套数字签名包含签名和验签两种运算； 数字签名通常采用非对称加密算 法， 即每个节点都需要私钥、 公钥这样的密钥对； 私钥即只有本人可以拥有的密钥， 在签名 时使用， 公钥即所有人都可以获取的密钥， 在验证时使用； 因为公钥人人都可以获得， 因此 所有节点都可以校验身份的合法性； (2)调用区块链平台的写入接口接收用户发送 的请求， 首先对数据写入请求中的参数 进行参数校验， 若校验不通过， 则结束流程； 校验通过后根据用户发送请求中的参数判断是 否需要加密， 若是， 则对主体数据进 行加密处理得到加密数据， 将加密数据和请求中的其他 数据设为待转换数据， 并将该请求标记为待解密数据， 用于返回数据时进 行解密处理； 反之 则将原请求数据记为待转换 数据， 将待转换 数据按照预设规则进行转换并写入区块链中。 5.根据权利要求1所述的一种基于区块链的多租户权限管理装置， 其特征在于， 所述步 骤(4)是根据用户携带的租户和职 位信息， 根据预设的用户权限和业务数据对应关系， 确定 该用户能够读取的业 务数据， 然后将相应的信息返回给用户。权　利　要　求　书 1/1 页 2 CN 115314209 A 2一种基于区块链的多租户权限管理装 置 技术领域 [0001]本发明涉及权限管理领域， 具体是一种基于区块链的多租户权限管理装置 。 背景技术 [0002]多租户系统是指一套系统实例可同时服务多个 组织即租户， 组织之间的资源相互 隔离。 现有的多租户权限管理是在RBAC(Role ‑Based Access Control， 基于角色的访问控 制)模型的基础上增 加基于组织的访问控制。 [0003]多租户系统的权限管理逻辑具体如下： [0004](1)将平台资源打包 成为独立的功能权限， 资源包含前端代码、 后端 资源和业务数 据等 [0005](2)设定角色权限以访问系统资源， 完成角色权限与平台 内功能的关联 [0006]对于目前的业务系统来说， 权限模型一般采用传统的RBAC模型。 权限包括控制对 象和操作， 控制对象一般为资源， 包括菜单、 页面、 文件等资源， 而操作一般包括增删 改查 等， 给角色赋予权限时， 授予的是颗粒最小的权限， 所以我们将系统操作权限授予某些角 色。 一个角色可以拥有多个系统操作， 一个系统操作也可以属于多个角色， 两者为多对多的 关系。 [0007](3)角色可以关联用户或用户组， 即将系统资源授权给用户或用户组处理， 完成访 问系统资源的操作 [0008]如果有一类的用户都要属于某个角色， 挨个给用户授予角色会导致大量的操作和 数据冗余。 我们可以对用户进行分类,也就是用户组。 然后直接对用户组赋予角色,减少 重 复的工作量。 用户所拥有的的所有权限,是用户所属角色拥有的权限和用户所在用户组所 属角色拥有的权限之和。 用户组和用户是多对多关系： 一个用户可以属于多个用户组， 一个 用户组也可以包括多个用户。 [0009](4)用户或用户组配置组织外键字段， 搭建组织间的归属关系， 实现不同组织的数 据隔离 [0010]在实际操作 中， 每个租户下的用户都需要单独生成账号密码， 用户通过账号才能 登录租户系统使用软件服务。 租户和用户是一对多的关系， 在实际业务场景中， 不同公司租 户之间业务数据需要隔离， 而同一 公司租户系统内根据业务模式区分为销售、 运营、 技术人 员等多种用户角色， 这些用户需要共享同一 公司的部 分数据， 但又 因为业务模式不同， 所享 受的功能权限不同。 [0011]在多租户系统中， 为用户或用户组配置组织外键字段， 通过该字段的过滤可以实 现不同公司租户的全局隔离。 同一 公司的租户之间存在 归属关系， 按照租户的职级和权限， 可以将租户至少分为低级租户、 中级租户、 高级租户和管理者。 虽然高级租户可以访问其分 支下所有的中级租户或低级租户的资源， 但却无法访问其他高级租户分支下的中级租户或 低级租户的资源。 两个低级租户之间也无法相互访问彼此 的资源。 这样既能够保证业务流 转过程中前后端数据统一， 又能让每 个用户业 务单独运营， 更能满足多样化的业 务场景。说　明　书 1/4 页 3 CN 115314209 A 3