CN114389933A - 一种平台联盟治理系统与方法 - Google Patents
一种平台联盟治理系统与方法 Download PDFInfo
- Publication number
- CN114389933A CN114389933A CN202111471939.2A CN202111471939A CN114389933A CN 114389933 A CN114389933 A CN 114389933A CN 202111471939 A CN202111471939 A CN 202111471939A CN 114389933 A CN114389933 A CN 114389933A
- Authority
- CN
- China
- Prior art keywords
- baas
- alliance
- information
- chain
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种平台联盟治理系统与方法,本系统包含一个区块链联盟链网络,身份管理组件,业务智能合约,监管组件;其中区块链联盟链网络与身份管理组件为成熟组件应用,业务智能合约与监管组件特性为本系统关键实现。本发明基于区块链联盟的方式来管理BaaS平台,再由BaaS平台管理其他应用联盟链,是以链治链的具体实现方案,在区块链以及其他平台应用领域具有推广价值;运用联盟链身份管理,可以有效的通过技术手段实现监管自动化识别,相对于现有的BaaS平台网站备案监管,具有技术先进性,同时针对分散的权力去中心化分布式系统实时监管信息收集提供了区块链的具体实现方案,也填补了目前该领域的空白。
Description
技术领域
本发明涉及区块链新兴技术领域,特别涉及一种平台联盟治理系统与方法。
背景技术
现有区块链BaaS平台都是各家公司独立研发,相互独立运营,同一用户只能基于一家BaaS平台进行区块链网络构建,不同公司的区块链异构BaaS平台所管理的节点无法交互组网。
随着区块链应用场景落地的增多,新的需求也在迭代,在甜橙区块链服务平台研发过程中,遇到用户基于不同BaaS平台需要组建一个区块链联盟链场景,但现阶段各家BaaS服务平台之间无交互,无法友好的跨BaaS平台构建区块链网络,例如用户A在阿里云BaaS创建区块链组织节点,用户B在华为云BaaS创建区块链组织节点,用户C在甜橙BaaS创建区块链组织节点,他们之间由于BaaS层的隔离,使得即使底层互联网是相通以及底层链技术参数相同的情况,区块链层联网组网配置也是异常复杂,且无标准可循,后续维护异常困难,监管不友好;
如图1,Ofin-BaaS为解决该问题,组建了BaaS治理联盟链。通过联盟链治理BaaS的方式,打通多BaaS之间隔离,形成基于联盟链的统一标准交互功能,促使BaaS之间进行联盟构建,共识监督监管。运用联盟链身份管理,通过技术手段有效的实现监管自动化识别。针对BaaS及类似分散的权力去中心化分布式系统的实时监管信息收集提供了区块链的具体实现方案,也填补了目前该领域的空白。基于区块链联盟链的准入身份控制,共识,隐私加密,多方记账,不可篡改等特性也保证了改治理系统的安全性与可靠性。
应用场景:
异构BaaS平台之间交互:针对不同公司之间的异构或同构BaaS平台之间交互提供区块链联盟链解决方案,例如跨异构BaaS区块链组网场景,BaaS之间需要了解其他异构平台信息,从而进行交互组网。
区块链监管:目前区块链监管除了各自BaaS平台管理外无其他有效手段,BaaS本身依托于各公司管理,这中间技术监管能力存在断层。本案提出将BaaS也赋予身份属性进行监管,外加BaaS对其创建的区块链组织网络也进行身份属性进行监管,从而形成有效的区块链连环监管手段。
解决的核心问题:
1.BaaS之间协作:由于区块链本身是多方协作的场景,BaaS平台本身可以管理区块链使得同一平台之间的区块链网络协作起来相对简单,但是目前BaaS之间的多方协作却是空白,本案便是解决该问题,本案利用去中心化技术解决平台之间协作交互问题,避免BaaS平台本身维护较重的BaaS之外的联盟信息,采用区块链联盟链进行数据同步,既实现高可用避免数据出错丢失,又有安全保证。
2.跨BaaS的区块链组网:目前异构BaaS平台之间均为公司独立研发运营,没有一个通用的交互途径,异构BaaS创建的区块链网络无法进行简单快速的组网,本案可以解决异构BaaS之间的组网问题。
3.以链治链:本案提出一种以链治链思想的实现方案,本案通过区块链管理BaaS平台的方式进行BaaS管理联盟链与应用联盟链的分层管理。
4.BaaS身份管理:BaaS目前只与公司进行信息绑定,并没有一个技术手段进行BaaS身份管理,本案描述了BaaS平台的区块链合法身份颁发,只有具有合法区块链身份BaaS所创建的区块链组织节点才能进行合法的区块链网络组建加入,从而通过身份技术手段真正实现区块链网络安全合法、易监管。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种平台联盟治理系统与方法。
为了解决上述技术问题,本发明提供了如下的技术方案:
本发明提供一种平台联盟治理系统与方法,本系统包含一个区块链联盟链网络,身份管理组件,业务智能合约,监管组件;其中区块链联盟链网络与身份管理组件为成熟组件应用,业务智能合约与监管组件特性为本系统关键实现;业务智能合约中有BaaS之间业务交互的功能标准接口,上链数据标准格式,具体为以下所示:
Ⅰ、BaaS治理联盟网络:包含治理联盟网络组建,后期加入、退出,以及被动踢出;
Ⅱ、身份管理颁发系统:BaaS平台身份颁发及管理,由治理联盟进行颁发;
Ⅲ、BaaS平台系统:一般异构BaaS平台,需要实现本系统规定的标准方法,拥有本系统颁发的身份证书,BaaS平台创建新的区块链资源时需要平台身份信息签名;
Ⅳ、联盟身份角色权限及合约:
该联盟分为监管角色与参与角色,在合约中实现角色权限控制,合约中实现了BaaS平台上链信息及交互信息:
(1)当监管角色查询时可以查询联盟所有参与方信息,合约采用一般角色权限控制方式;
(2)当参与角色查询时仅支持授权查询,实现方式采用工作流与一般定向授权加密方式;
Ⅴ、BaaS平台上链信息:
(1)身份信息:包含证书信息,BaaS开发公司,运营公司,版本技术相关信息;
(2)运营信息:BaaS用户信息,BaaS平台底层链技术指标信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途信息;
VI、跨BaaS组网能力:本系统关键功能也是主要解决问题,异构BaaS之间区块链联盟应用网络组建;
BaaS将组网信息发布到区块链治理联盟链上,消息类型:
(1)申请加入某网络:消息包含BaaS平台信息,用户信息,组织信息;
(2)邀请组织节点加入网络:消息包含BaaS平台信息,用户信息,网络信息;
VII、监管治理:BaaS用户,业务信息等上报,业务监管,平台行为监控;对有非法业务的BaaS进行身份撤销,踢出区块链联盟网络,并及时全网同步相关信息;为本治理联盟的延伸应用系统,针对治理联盟链中的BaaS运营信息进行相应的奖惩措施,例如允许同一公司多BaaS实例接入联盟链,或将违规BaaS踢出联盟链,限制其与其他BaaS合作;监管力度:BaaS到BaaS联盟之间监管,不进行BaaS到业务链的监管;
核心组件包括以下:
(1).BaaS联盟PKI身份管理组件:管理BaaS及BaaS治理联盟链参与方数字身份信息;
(2).BaaS治理联盟链网络:进行BaaS联盟各BaaS之间的信息交互通信;
(3).治理联盟链合约:实现BaaS联盟各BaaS之间的交互业务逻辑;
(4).治理联盟平台:监管方用于监管BaaS联盟相关业务操作平台;
(5)BaaS平台:参与BaaS联盟的各参与方BaaS平台;
关于上述核心组件的步骤如下:
总体步骤:
(1).BaaS联盟PKI身份管理组件对BaaS参与方进行数字身份创建、颁发;
(2).BaaS参与方创建治理联盟链网络;
(3).各参与方制定交互规则,上链业务与数据,实现治理联盟链业务智能合约;
(4).各参与方根据制定的标准交互接口实现各自BaaS上链业务;
(5).各参与方BaaS平台创建具有BaaS身份标识的区块链组织节点服务;
(6).各参与方BaaS平台通过治理联盟链进行跨BaaS平台区块链组网;
(6).通过治理联盟链进行BaaS联盟之间组网信息交互需验证BaaS合法身份信息;
(8)监管方通过治理联盟平台对所有参与方BaaS进行管理;
该系统主要实现部分包含:身份证书颁发管理及联盟构建方法、联盟合约实现方法、BaaS平台与治理联盟链交互实现方法、跨BaaS组网方法;各部分核心实现步骤:
一、身份证书颁发管理及联盟构建方法
整个系统主要部分为治理联盟组建,在联盟组建过程中伴随身份证书管理及使用,该部分基于区块链联盟链的实现:
①BaaS联盟成立方提供证书管理服务,BaaS平台方申请身份证书,平台方通过提交运营方和BaaS信息向BaaS治理联盟申请身份证书材料;
②BaaS联盟所有参与方对新BaaS身份进行审核并共识,只有满足联盟中规定的票数审核通过后,进行相关证书颁发,并将证书信息加入到治理联盟成员组当中;
③BaaS运营方获取颁发的BaaS证书及加入BaaS联盟相关准入信息,自主搭建治理联盟链组织节点;
④多方异构BaaS治理时重复①~③步骤进行身份及联盟组建;
⑤退出或踢出,联盟中任何参与方均可对其他联盟参与方的行为进行监管,一旦发现异常可提交踢出提案到联盟,当审核共识完成后系统自动踢出该参与方,同理参与方也可主动提交退出申请,当完成审核共识后退出该参与方;
二、联盟合约实现方法
在治理联盟链成立组建完成后需要对整个监管治理业务进行实现,采用区块链智能合约的方式进行实现,该部分相对灵活,这里主要描述本方案核心点:
①定义统一BaaS描述结构:包含BaaS研发方公司信息,BaaS软著信息,BaaS运营方信息,该信息结构为被治理BaaS需要实现上链的数据结构;
②定义运营时BaaS业务结构:BaaS平台用户信息,BaaS平台底层链技术信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途等信息;
③合约中业务角色定义:监管角色、参与角色、其他角色;监管角色针对监管合约中数据进行读取监控,能获取权限较高的功能及数据,如全局BaaS信息,BaaS运营信息等;参与角色针对部分治理功能进行操作,如提案非法节点踢出,拒绝异构BaaS应用联盟创建等;其他角色由业务需要可进一步定义扩展;
④功能合约划分:监管合约、治理合约、通信合约等,监管合约实现监管功能对监管角色提供全局监管数据,并通过分析全局数据作部分决策通过调用治理合约进行联盟治理,治理合约通过定义各类操作进行实际治理实现,如参与方行为冻结解冻,操作撤销,节点踢出等操作;通信合约定义通信标准格式实现异构BaaS之间的交互通信;合约中按功能进行链上事件生成并广播;
三、BaaS平台联盟接入方法
本治理过程中针对第二部分合约实现中定义了与BaaS交互的功能统一格式,BaaS研发方如果加入治理联盟并参与联盟功能需要在BaaS平台研发过程中实现本联盟定义功能对接模块:
①BaaS证书模块,该模块实现联盟身份证书读取,并在BaaS新建应用区块链资源时进行身份签发,整体实现基于多级CA实现方式,BaaS平台基于联盟颁发的证书形成BaaS层CA管理模块,对其创建的区块链组织节点身份进行签发,所有该BaaS平台创建的区块链运行均读取平台签发的身份证书配置;
②BaaS上链模块,该模块实现BaaS信息与治理联盟链上链操作,BaaS通过该模块读取BaaS平台运营信息,如用户,区块链应用等信息,并将该信息定义上链共联盟治理;实现上通常采用集成联盟链SDK与治理链节点进行交互;
③BaaS间通信模块,该模块也采用与治理联盟链交互的方式进行;通过监听处理解析治理联盟链中的事件来获取其他参与方BaaS的交互信息;
四、跨BaaS组网方法
该本分为本系统主要解决问题,基于前三部分实现,分为邀请其他BaaS资源加入联盟和申请加入其他BaaS联盟,具体方法流程如下:
①BaaS平台已经完成自身身份签发创建区块链组织节点资源并将该资源信息上链到治理联盟链;
②BaaS平台已完成自身身份签发创建应用联盟链资源并将该联盟链资源信息上链到治理联盟链;
③BaaS平台获取被邀请方BaaS信息及区块链资源信息;
④针对邀请加入流程,BaaS平台生成邀请提案发到治理联盟链上;
⑤治理联盟链合约对邀请提案进行执行验证,包括邀请提案签名验证,邀请方被邀请方身份信息验证,联盟及组织资源信息校验;校验通过后继续流程,否则终止流程;
⑥验证通过后对邀请方消息进行解析定向广播至被邀请方;
⑦被邀请方接受到链上消息后进行解析处理,返回确认或拒绝加入联盟信息到治理链;
⑧治理链合约处理上链信息,并定向广播至邀请发起方;
⑨邀请发起方接受到反馈信息进行解析处理,进行异构BaaS组网操作;
⑩针对申请加入流程类似于邀请流程,中间处理方法由邀请消息处理替换为申请消息处理。
与现有技术相比,本发明的有益效果如下:
1.本专利基于区块链联盟的方式来管理BaaS平台,再由BaaS平台管理其他应用联盟链,是以链治链的具体实现方案,在区块链以及其他平台应用领域具有推广价值;
2.运用联盟链身份管理,可以有效的通过技术手段实现监管自动化识别,相对于现有的BaaS平台网站备案监管,具有技术先进性,同时针对分散的权力去中心化分布式系统实时监管信息收集提供了区块链的具体实现方案,也填补了目前该领域的空白;
3.同时基于区块链联盟链的准入身份控制,共识,隐私加密,多方记账,不可篡改等特性也保证了改治理系统的安全性与可靠性。相对于中心化监管监控系统具有更好的可信度与推广价值;
4.同时该方案可以形成区块链领域基础设施标准应用标准规范。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是BaaS现状独立运营改进交互示意图;
图2是本发明的系统实现总体结构;
图3是Ofin-BaaS治理联盟链网络示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1
本发明如图1-3所示,本发明提供一种平台联盟治理系统与方法,其特征在于,本系统包含一个区块链联盟链网络,身份管理组件,业务智能合约,监管组件;其中区块链联盟链网络与身份管理组件为成熟组件应用,业务智能合约与监管组件特性为本系统关键实现;业务智能合约中有BaaS之间业务交互的功能标准接口,上链数据标准格式,具体为以下所示:
Ⅰ、BaaS治理联盟网络:包含治理联盟网络组建,后期加入、退出,以及被动踢出;
Ⅱ、身份管理颁发系统:BaaS平台身份颁发及管理,由治理联盟进行颁发;
Ⅲ、BaaS平台系统:一般异构BaaS平台,需要实现本系统规定的标准方法,拥有本系统颁发的身份证书,BaaS平台创建新的区块链资源时需要平台身份信息签名;
Ⅳ、联盟身份角色权限及合约:
该联盟分为监管角色与参与角色,在合约中实现角色权限控制,合约中实现了BaaS平台上链信息及交互信息:
(1)当监管角色查询时可以查询联盟所有参与方信息,合约采用一般角色权限控制方式;
(2)当参与角色查询时仅支持授权查询,实现方式采用工作流与一般定向授权加密方式;
Ⅴ、BaaS平台上链信息:
(1)身份信息:包含证书信息,BaaS开发公司,运营公司,版本技术相关信息;
(2)运营信息:BaaS用户信息,BaaS平台底层链技术指标信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途信息;
VI、跨BaaS组网能力:本系统关键功能也是主要解决问题,异构BaaS之间区块链联盟应用网络组建;
BaaS将组网信息发布到区块链治理联盟链上,消息类型:
(1)申请加入某网络:消息包含BaaS平台信息,用户信息,组织信息;
(2)邀请组织节点加入网络:消息包含BaaS平台信息,用户信息,网络信息;
VII、监管治理:BaaS用户,业务信息等上报,业务监管,平台行为监控;对有非法业务的BaaS进行身份撤销,踢出区块链联盟网络,并及时全网同步相关信息;为本治理联盟的延伸应用系统,针对治理联盟链中的BaaS运营信息进行相应的奖惩措施,例如允许同一公司多BaaS实例接入联盟链,或将违规BaaS踢出联盟链,限制其与其他BaaS合作;监管力度:BaaS到BaaS联盟之间监管,不进行BaaS到业务链的监管;
核心组件包括以下:
(1).BaaS联盟PKI身份管理组件:管理BaaS及BaaS治理联盟链参与方数字身份信息;
(2).BaaS治理联盟链网络:进行BaaS联盟各BaaS之间的信息交互通信;
(3).治理联盟链合约:实现BaaS联盟各BaaS之间的交互业务逻辑;
(4).治理联盟平台:监管方用于监管BaaS联盟相关业务操作平台;
(5)BaaS平台:参与BaaS联盟的各参与方BaaS平台;
关于上述核心组件的步骤如下:
总体步骤:
(1).BaaS联盟PKI身份管理组件对BaaS参与方进行数字身份创建、颁发;
(2).BaaS参与方创建治理联盟链网络;
(3).各参与方制定交互规则,上链业务与数据,实现治理联盟链业务智能合约;
(4).各参与方根据制定的标准交互接口实现各自BaaS上链业务;
(5).各参与方BaaS平台创建具有BaaS身份标识的区块链组织节点服务;
(6).各参与方BaaS平台通过治理联盟链进行跨BaaS平台区块链组网;
(6).通过治理联盟链进行BaaS联盟之间组网信息交互需验证BaaS合法身份信息;
(8)监管方通过治理联盟平台对所有参与方BaaS进行管理;
该系统主要实现部分包含:身份证书颁发管理及联盟构建方法、联盟合约实现方法、BaaS平台与治理联盟链交互实现方法、跨BaaS组网方法;各部分核心实现步骤:
一、身份证书颁发管理及联盟构建方法
整个系统主要部分为治理联盟组建,在联盟组建过程中伴随身份证书管理及使用,该部分基于区块链联盟链的实现:
①BaaS联盟成立方提供证书管理服务,BaaS平台方申请身份证书,平台方通过提交运营方和BaaS信息向BaaS治理联盟申请身份证书材料;
②BaaS联盟所有参与方对新BaaS身份进行审核并共识,只有满足联盟中规定的票数审核通过后,进行相关证书颁发,并将证书信息加入到治理联盟成员组当中;
③BaaS运营方获取颁发的BaaS证书及加入BaaS联盟相关准入信息,自主搭建治理联盟链组织节点;
④多方异构BaaS治理时重复①~③步骤进行身份及联盟组建;
⑤退出或踢出,联盟中任何参与方均可对其他联盟参与方的行为进行监管,一旦发现异常可提交踢出提案到联盟,当审核共识完成后系统自动踢出该参与方,同理参与方也可主动提交退出申请,当完成审核共识后退出该参与方;
二、联盟合约实现方法
在治理联盟链成立组建完成后需要对整个监管治理业务进行实现,采用区块链智能合约的方式进行实现,该部分相对灵活,这里主要描述本方案核心点:
①定义统一BaaS描述结构:包含BaaS研发方公司信息,BaaS软著信息,BaaS运营方信息,该信息结构为被治理BaaS需要实现上链的数据结构;
②定义运营时BaaS业务结构:BaaS平台用户信息,BaaS平台底层链技术信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途等信息;
③合约中业务角色定义:监管角色、参与角色、其他角色;监管角色针对监管合约中数据进行读取监控,能获取权限较高的功能及数据,如全局BaaS信息,BaaS运营信息等;参与角色针对部分治理功能进行操作,如提案非法节点踢出,拒绝异构BaaS应用联盟创建等;其他角色由业务需要可进一步定义扩展;
④功能合约划分:监管合约、治理合约、通信合约等,监管合约实现监管功能对监管角色提供全局监管数据,并通过分析全局数据作部分决策通过调用治理合约进行联盟治理,治理合约通过定义各类操作进行实际治理实现,如参与方行为冻结解冻,操作撤销,节点踢出等操作;通信合约定义通信标准格式实现异构BaaS之间的交互通信;合约中按功能进行链上事件生成并广播;
三、BaaS平台联盟接入方法
本治理过程中针对第二部分合约实现中定义了与BaaS交互的功能统一格式,BaaS研发方如果加入治理联盟并参与联盟功能需要在BaaS平台研发过程中实现本联盟定义功能对接模块:
①BaaS证书模块,该模块实现联盟身份证书读取,并在BaaS新建应用区块链资源时进行身份签发,整体实现基于多级CA实现方式,BaaS平台基于联盟颁发的证书形成BaaS层CA管理模块,对其创建的区块链组织节点身份进行签发,所有该BaaS平台创建的区块链运行均读取平台签发的身份证书配置;
②BaaS上链模块,该模块实现BaaS信息与治理联盟链上链操作,BaaS通过该模块读取BaaS平台运营信息,如用户,区块链应用等信息,并将该信息定义上链共联盟治理;实现上通常采用集成联盟链SDK与治理链节点进行交互;
③BaaS间通信模块,该模块也采用与治理联盟链交互的方式进行;通过监听处理解析治理联盟链中的事件来获取其他参与方BaaS的交互信息;
四、跨BaaS组网方法
该本分为本系统主要解决问题,基于前三部分实现,分为邀请其他BaaS资源加入联盟和申请加入其他BaaS联盟,具体方法流程如下:
①BaaS平台已经完成自身身份签发创建区块链组织节点资源并将该资源信息上链到治理联盟链;
②BaaS平台已完成自身身份签发创建应用联盟链资源并将该联盟链资源信息上链到治理联盟链;
③BaaS平台获取被邀请方BaaS信息及区块链资源信息;
④针对邀请加入流程,BaaS平台生成邀请提案发到治理联盟链上;
⑤治理联盟链合约对邀请提案进行执行验证,包括邀请提案签名验证,邀请方被邀请方身份信息验证,联盟及组织资源信息校验;校验通过后继续流程,否则终止流程;
⑥验证通过后对邀请方消息进行解析定向广播至被邀请方;
⑦被邀请方接受到链上消息后进行解析处理,返回确认或拒绝加入联盟信息到治理链;
⑧治理链合约处理上链信息,并定向广播至邀请发起方;
⑨邀请发起方接受到反馈信息进行解析处理,进行异构BaaS组网操作;
⑩针对申请加入流程类似于邀请流程,中间处理方法由邀请消息处理替换为申请消息处理。
本方案中实施例一如图3所示。
Ofin-BaaS多实例之间区块链组网:
Ofin-BaaS为实现多BaaS以及异构BaaS之间的治理问题,从大局出发,设计构建了统一BaaS治理联盟链,如图所示。
最上层为基于Ofin-BaaS治理联盟链网络的治理应用,包含网络监管、节点监管、应用监管、交易监管等。
核心治理网络由各BaaS部署方组建形成,并安装设计相关业务合约与共识机制。
每个BaaS部署方部署一个治理联盟节点到自己机房,通过该治理节点与其他BaaS平台治理节点进行信息同步。图示共4各BaaS实例,每个实例持有一个治理节点,四个节点之间组成区块链治理联盟链,通过P2P网络通信进行信息交互。
每个BaaS管理自己的区块链组织节点资源,并于其他BaaS资源进行组网形成跨BaaS的区块链网络
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种平台联盟治理系统与方法,其特征在于,本系统包含一个区块链联盟链网络,身份管理组件,业务智能合约,监管组件;其中区块链联盟链网络与身份管理组件为成熟组件应用,业务智能合约与监管组件特性为本系统关键实现;业务智能合约中有BaaS之间业务交互的功能标准接口,上链数据标准格式,具体为以下所示:
Ⅰ、BaaS治理联盟网络:包含治理联盟网络组建,后期加入、退出,以及被动踢出;
Ⅱ、身份管理颁发系统:BaaS平台身份颁发及管理,由治理联盟进行颁发;
Ⅲ、BaaS平台系统:一般异构BaaS平台,需要实现本系统规定的标准方法,拥有本系统颁发的身份证书,BaaS平台创建新的区块链资源时需要平台身份信息签名;
Ⅳ、联盟身份角色权限及合约:
该联盟分为监管角色与参与角色,在合约中实现角色权限控制,合约中实现了BaaS平台上链信息及交互信息:
(1)当监管角色查询时可以查询联盟所有参与方信息,合约采用一般角色权限控制方式;
(2)当参与角色查询时仅支持授权查询,实现方式采用工作流与一般定向授权加密方式;
Ⅴ、BaaS平台上链信息:
(1)身份信息:包含证书信息,BaaS开发公司,运营公司,版本技术相关信息;
(2)运营信息:BaaS用户信息,BaaS平台底层链技术指标信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途信息;
VI、跨BaaS组网能力:本系统关键功能也是主要解决问题,异构BaaS之间区块链联盟应用网络组建;
BaaS将组网信息发布到区块链治理联盟链上,消息类型:
(1)申请加入某网络:消息包含BaaS平台信息,用户信息,组织信息;
(2)邀请组织节点加入网络:消息包含BaaS平台信息,用户信息,网络信息;
VII、监管治理:BaaS用户,业务信息等上报,业务监管,平台行为监控;对有非法业务的BaaS进行身份撤销,踢出区块链联盟网络,并及时全网同步相关信息;为本治理联盟的延伸应用系统,针对治理联盟链中的BaaS运营信息进行相应的奖惩措施,例如允许同一公司多BaaS实例接入联盟链,或将违规BaaS踢出联盟链,限制其与其他BaaS合作;监管力度:BaaS到BaaS联盟之间监管,不进行BaaS到业务链的监管;
核心组件包括以下:
(1).BaaS联盟PKI身份管理组件:管理BaaS及BaaS治理联盟链参与方数字身份信息;
(2).BaaS治理联盟链网络:进行BaaS联盟各BaaS之间的信息交互通信;
(3).治理联盟链合约:实现BaaS联盟各BaaS之间的交互业务逻辑;
(4).治理联盟平台:监管方用于监管BaaS联盟相关业务操作平台;
(5)BaaS平台:参与BaaS联盟的各参与方BaaS平台;
关于上述核心组件的步骤如下:
总体步骤:
(1).BaaS联盟PKI身份管理组件对BaaS参与方进行数字身份创建、颁发;
(2).BaaS参与方创建治理联盟链网络;
(3).各参与方制定交互规则,上链业务与数据,实现治理联盟链业务智能合约;
(4).各参与方根据制定的标准交互接口实现各自BaaS上链业务;
(5).各参与方BaaS平台创建具有BaaS身份标识的区块链组织节点服务;
(6).各参与方BaaS平台通过治理联盟链进行跨BaaS平台区块链组网;
(6).通过治理联盟链进行BaaS联盟之间组网信息交互需验证BaaS合法身份信息;
(8)监管方通过治理联盟平台对所有参与方BaaS进行管理;
该系统主要实现部分包含:身份证书颁发管理及联盟构建方法、联盟合约实现方法、BaaS平台与治理联盟链交互实现方法、跨BaaS组网方法;各部分核心实现步骤:
一、身份证书颁发管理及联盟构建方法
整个系统主要部分为治理联盟组建,在联盟组建过程中伴随身份证书管理及使用,该部分基于区块链联盟链的实现:
①BaaS联盟成立方提供证书管理服务,BaaS平台方申请身份证书,平台方通过提交运营方和BaaS信息向BaaS治理联盟申请身份证书材料;
②BaaS联盟所有参与方对新BaaS身份进行审核并共识,只有满足联盟中规定的票数审核通过后,进行相关证书颁发,并将证书信息加入到治理联盟成员组当中;
③BaaS运营方获取颁发的BaaS证书及加入BaaS联盟相关准入信息,自主搭建治理联盟链组织节点;
④多方异构BaaS治理时重复①~③步骤进行身份及联盟组建;
⑤退出或踢出,联盟中任何参与方均可对其他联盟参与方的行为进行监管,一旦发现异常可提交踢出提案到联盟,当审核共识完成后系统自动踢出该参与方,同理参与方也可主动提交退出申请,当完成审核共识后退出该参与方;
二、联盟合约实现方法
在治理联盟链成立组建完成后需要对整个监管治理业务进行实现,采用区块链智能合约的方式进行实现,该部分相对灵活,这里主要描述本方案核心点:
①定义统一BaaS描述结构:包含BaaS研发方公司信息,BaaS软著信息,BaaS运营方信息,该信息结构为被治理BaaS需要实现上链的数据结构;
②定义运营时BaaS业务结构:BaaS平台用户信息,BaaS平台底层链技术信息,BaaS平台管理的组织节点概要信息,创建组织节点详细信息,组织节点用途等信息;
③合约中业务角色定义:监管角色、参与角色、其他角色;监管角色针对监管合约中数据进行读取监控,能获取权限较高的功能及数据,如全局BaaS信息,BaaS运营信息等;参与角色针对部分治理功能进行操作,如提案非法节点踢出,拒绝异构BaaS应用联盟创建等;其他角色由业务需要可进一步定义扩展;
④功能合约划分:监管合约、治理合约、通信合约等,监管合约实现监管功能对监管角色提供全局监管数据,并通过分析全局数据作部分决策通过调用治理合约进行联盟治理,治理合约通过定义各类操作进行实际治理实现,如参与方行为冻结解冻,操作撤销,节点踢出等操作;通信合约定义通信标准格式实现异构BaaS之间的交互通信;合约中按功能进行链上事件生成并广播;
三、BaaS平台联盟接入方法
本治理过程中针对第二部分合约实现中定义了与BaaS交互的功能统一格式,BaaS研发方如果加入治理联盟并参与联盟功能需要在BaaS平台研发过程中实现本联盟定义功能对接模块:
①BaaS证书模块,该模块实现联盟身份证书读取,并在BaaS新建应用区块链资源时进行身份签发,整体实现基于多级CA实现方式,BaaS平台基于联盟颁发的证书形成BaaS层CA管理模块,对其创建的区块链组织节点身份进行签发,所有该BaaS平台创建的区块链运行均读取平台签发的身份证书配置;
②BaaS上链模块,该模块实现BaaS信息与治理联盟链上链操作,BaaS通过该模块读取BaaS平台运营信息,如用户,区块链应用等信息,并将该信息定义上链共联盟治理;实现上通常采用集成联盟链SDK与治理链节点进行交互;
③BaaS间通信模块,该模块也采用与治理联盟链交互的方式进行;通过监听处理解析治理联盟链中的事件来获取其他参与方BaaS的交互信息;
四、跨BaaS组网方法
该本分为本系统主要解决问题,基于前三部分实现,分为邀请其他BaaS资源加入联盟和申请加入其他BaaS联盟,具体方法流程如下:
①BaaS平台已经完成自身身份签发创建区块链组织节点资源并将该资源信息上链到治理联盟链;
②BaaS平台已完成自身身份签发创建应用联盟链资源并将该联盟链资源信息上链到治理联盟链;
③BaaS平台获取被邀请方BaaS信息及区块链资源信息;
④针对邀请加入流程,BaaS平台生成邀请提案发到治理联盟链上;
⑤治理联盟链合约对邀请提案进行执行验证,包括邀请提案签名验证,邀请方被邀请方身份信息验证,联盟及组织资源信息校验;校验通过后继续流程,否则终止流程;
⑥验证通过后对邀请方消息进行解析定向广播至被邀请方;
⑦被邀请方接受到链上消息后进行解析处理,返回确认或拒绝加入联盟信息到治理链;
⑧治理链合约处理上链信息,并定向广播至邀请发起方;
⑨邀请发起方接受到反馈信息进行解析处理,进行异构BaaS组网操作;
⑩针对申请加入流程类似于邀请流程,中间处理方法由邀请消息处理替换为申请消息处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111471939.2A CN114389933A (zh) | 2021-12-06 | 2021-12-06 | 一种平台联盟治理系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111471939.2A CN114389933A (zh) | 2021-12-06 | 2021-12-06 | 一种平台联盟治理系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114389933A true CN114389933A (zh) | 2022-04-22 |
Family
ID=81195157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111471939.2A Pending CN114389933A (zh) | 2021-12-06 | 2021-12-06 | 一种平台联盟治理系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114389933A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114565326A (zh) * | 2022-04-29 | 2022-05-31 | 深圳市誉兴通科技股份有限公司 | 基于物联网的药品管理方法及系统 |
| CN115086353A (zh) * | 2022-05-06 | 2022-09-20 | 讯飞智元信息科技有限公司 | 区块链事件处理方法及相关装置、设备、平台和存储介质 |
| CN115086352A (zh) * | 2022-05-06 | 2022-09-20 | 讯飞智元信息科技有限公司 | 区块链事件处理方法及相关装置、平台和存储介质 |
| CN115334038A (zh) * | 2022-08-20 | 2022-11-11 | 信通院(江西)科技创新研究院有限公司 | 一种基于区块链的appid申请管理方法和系统 |
| CN115811442A (zh) * | 2023-02-09 | 2023-03-17 | 上海特高信息技术有限公司 | 一种基于积木形式的联盟链BaaS平台搭建方法 |
-
2021
- 2021-12-06 CN CN202111471939.2A patent/CN114389933A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114565326A (zh) * | 2022-04-29 | 2022-05-31 | 深圳市誉兴通科技股份有限公司 | 基于物联网的药品管理方法及系统 |
| CN115086353A (zh) * | 2022-05-06 | 2022-09-20 | 讯飞智元信息科技有限公司 | 区块链事件处理方法及相关装置、设备、平台和存储介质 |
| CN115086352A (zh) * | 2022-05-06 | 2022-09-20 | 讯飞智元信息科技有限公司 | 区块链事件处理方法及相关装置、平台和存储介质 |
| CN115334038A (zh) * | 2022-08-20 | 2022-11-11 | 信通院(江西)科技创新研究院有限公司 | 一种基于区块链的appid申请管理方法和系统 |
| CN115334038B (zh) * | 2022-08-20 | 2024-03-26 | 信通院(江西)科技创新研究院有限公司 | 一种基于区块链的appid申请管理方法和系统 |
| CN115811442A (zh) * | 2023-02-09 | 2023-03-17 | 上海特高信息技术有限公司 | 一种基于积木形式的联盟链BaaS平台搭建方法 |
| CN115811442B (zh) * | 2023-02-09 | 2023-05-05 | 上海特高信息技术有限公司 | 一种基于积木形式的联盟链BaaS平台搭建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114389933A (zh) | 一种平台联盟治理系统与方法 | |
| CN109151013B (zh) | 基于联盟区块链的物流业信息平台 | |
| CN108765058B (zh) | 一种基于区块链的制造环节多实体安全协同方法 | |
| CN106878071B (zh) | 一种基于Raft算法的区块链共识机制 | |
| CN109165944B (zh) | 基于区块链的多方签名认证方法、装置、设备及存储介质 | |
| CN113965329A (zh) | 一种跨链互操作系统、方法、介质及数据处理终端 | |
| CN101453346B (zh) | Ims体系中的多点分层式会议的控制方法 | |
| CN110266817A (zh) | 基于区块链的跨通道数据分享模型、分享方法和装置 | |
| CN109816524A (zh) | 一种通过区块链公链管理联盟链成员的方法 | |
| CN112907252A (zh) | 一种基于多人链下通道的区块链交易方法及系统 | |
| CN110175178B (zh) | 一种数据处理的方法、节点设备和系统 | |
| CN111047316A (zh) | 一种反篡改的智能区块链系统及实现方法 | |
| CN113850599B (zh) | 一种应用于联盟链的跨链交易方法及系统 | |
| WO2022152008A1 (zh) | 一种跨链协同治理系统、方法、设备及存储介质 | |
| CN114090983A (zh) | 一种异构联邦学习平台联通方法及装置 | |
| CN111798234B (zh) | 一种轻量级区块链系统及构造方法 | |
| CN111338906A (zh) | 终端设备、边缘节点及基于区块链的应用监管方法和系统 | |
| CN104809551B (zh) | 一种基于移动Agent客户端的跨系统工作流协同方法 | |
| CN111371863A (zh) | 基于联盟链技术的化学数据存储、共享平台及方法 | |
| CN116611840A (zh) | 一种基于区块链的分布式数据资产流转追溯系统及方法 | |
| CN113783899B (zh) | 节点退出方法和区块链系统 | |
| CN111652617A (zh) | 跨区块链平台的业务处理系统 | |
| CN112989317B (zh) | 一种统一的分布式pki证书身份管理系统 | |
| CN110061874A (zh) | 一种联盟区块链可视化通道管理的方法 | |
| CN116739537A (zh) | 一种共同协作的多单位树形关系网构建方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Changshuai Inventor after: He Wei Inventor after: Liu Guiqing Inventor after: Zhang Xin Inventor after: Li Peng Inventor before: Wang Changshuai Inventor before: He Wei Inventor before: Ma Songhua Inventor before: Liu Guiqing Inventor before: Zhang Xin Inventor before: Li Peng |