CN114448646A - 一种跨链交易的权限管理方法、系统、设备及介质 - Google Patents

一种跨链交易的权限管理方法、系统、设备及介质 Download PDF

Info

Publication number
CN114448646A
CN114448646A CN202210286474.1A CN202210286474A CN114448646A CN 114448646 A CN114448646 A CN 114448646A CN 202210286474 A CN202210286474 A CN 202210286474A CN 114448646 A CN114448646 A CN 114448646A
Authority
CN
China
Prior art keywords
organization
request
certificate
chain
cross
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210286474.1A
Other languages
English (en)
Inventor
李文强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OneConnect Financial Technology Co Ltd Shanghai
Original Assignee
OneConnect Financial Technology Co Ltd Shanghai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OneConnect Financial Technology Co Ltd Shanghai filed Critical OneConnect Financial Technology Co Ltd Shanghai
Priority to CN202210286474.1A priority Critical patent/CN114448646A/zh
Publication of CN114448646A publication Critical patent/CN114448646A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及区块链技术领域,提供一种跨链交易的权限管理方法、系统、设备及介质,应用于中继链,包括:接收到第一机构发送的携带有第二机构签名的身份请求,验证所述第二机构的签名是否合法,若合法,则为所述第一机构签发证书,其中,所述证书与所述第一机构的权限信息相对应;接收到第一机构发送的跨链请求,解析所述跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与所述证书中的权限信息是否一致,若一致,则发送所述跨链请求至所述第二机构。本发明的中继链的身份管理功能在确保了区块链间安全可信的信息交换的同时,还延续了区块链去中心化的特性,具有安全可信性和通用性,适用于多种应用场景。

Description

一种跨链交易的权限管理方法、系统、设备及介质
技术领域
本发明涉及区块链技术领域,特别是涉及一种跨链交易的权限管理方法、系统、设备及介质。
背景技术
目前区块链底层技术飞速发展,百花齐放,在医疗、海关、政务等场景中已经有很多落地场景。区块链是一个去中心化的体系,通过共识机制以及密码学算法来现数据可信存取,但是只在一个单独的区块链平台内部形成闭环,在两个或者多个区块链平台之间进行交互访问时,突破了原有平台的安全边界,区块链间安全可信的信息交换是一个亟待解决的问题,因此跨链技术应运而生。
当前的跨链技术主要包括公正人机制、哈希时间锁和中继链。其中公正人机制是一个中心化的架构,基于中心化交易所的跨链资产交换,依赖于可信的第三方,不适用于去中心化的网络;哈希时间锁更多的场景应用在资产交换,应用场景优先;中继链是一种去中心化的公正人机制,但当前的中继链架构中对终端区块链的接入仍依赖于中心化的管理员审批。缺乏一种安全可信、通用普适的去中心化的身份认证和权限管理体系,来延续区块链的安全可信性,同时保持整体的去中心化。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种跨链交易的权限管理方法、系统、设备及介质,用于解决现有技术中多采用端对端的方式,导致分割的眼底彩照图像出现类间不平衡和缺乏连续性的问题。
本发明的第一方面提供一种跨链交易的权限管理方法,应用于中继链,所述权限管理方法包括:
接收到第一机构发送的携带有第二机构签名的身份请求,验证所述第二机构的签名是否合法,若合法,则为所述第一机构签发证书,其中,所述身份请求包括权限信息,所述证书与所述第一机构的权限信息相对应;
接收到第一机构发送的跨链请求,解析所述跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与所述证书中的权限信息是否一致,若一致,则发送所述跨链请求至所述第二机构。
本发明的第二方面还提供一种跨链交易的权限管理系统,应用于中继链,所述权限管理系统包括:
接收单元,用于接收第一机构发送的携带有第二机构签名的身份请求;
还用于接收所述第一机构发送的跨链请求;
验证单元,用于验证所述第二机构的签名是否合法,若合法,则为所述第一机构签发证书,其中,所述身份请求包括权限信息,所述证书与所述第一机构的权限信息相对应;
判断单元,用于解析所述跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与所述证书中的权限信息是否一致;
发送单元,用于发送所述证书至所述第一机构;
还用于当本次请求执行的操作与所述证书中的权限信息一致时,发送所述跨链请求至所述第二机构。
本发明的第三方面还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明第一方面的一种跨链交易的权限管理方法中所述的方法步骤。
本发明的第四方面还提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如本发明第一方面的一种跨链交易的权限管理方法中所述的方法步骤。
如上所述,本发明的一种跨链交易的权限管理方法、系统、设备及介质,具有以下有益效果:
本发明的中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证该签名的合法性,若合法,则为第一机构签发与身份请求的权限相对应的证书,并返回至第一机构;同时,中继链接收到第一机构发送的跨链请求,判断该跨链请求是否符合证书的要求,若符合,才发送跨链请求至所述第二机构。本发明的中继链的身份管理功能在确保了区块链间安全可信的信息交换的同时,还延续了区块链去中心化的特性,具有安全可信性和通用性,适用于多种应用场景。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1显示为本发明第一实施方式中所涉及的区块链系统的连接示意图。
图2显示为本发明第一实施方式中的权限管理方法的流程示意图。
图3显示为本发明第一实施方式中区块链系统的信息交互示意图。
图4显示为本发明第一实施方式中第一机构获取携带有第二机构签名的身份请求的流程示意图。
图5显示为本发明第一实施方式中中继链判断跨链请求是否符合第一机构的证书内容的流程示意图;
图6显示为本发明第二实施方式中权限管理系统的结构框图。
图7显示为本发明第三实施方式中的计算机设备的示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本发明的第一实施方式涉及一种跨链交易的权限管理方法,该权限管理方法应用于中继链。
请参阅图1,图1所示为本实施方式中一种跨链交易的权限管理方法所涉及的区块链系统的连接示意图。该区块链系统具有去中心化的特性,即没有中心化的硬件或者管理机构,任意参与交易和区块存储、验证、转发的网络节点之间的权利和义务都是均等的,且任一节点的损坏或者失去都会不影响整个系统的运作,因此也可以认为区块链具有极好的健壮性。中继链本身也属于区块链体系,通常根据区块链是否具备信息中转功能将区块链划分为中继区块链(简称中继链)和应用区块链(简称应用链)。其中,具备信息中转功能的区块链为中继链,而不具备信息中转功能的区块链为应用链。两个或多个区块链平台之间进行跨链交易时,可通过中继链进行信息中转和身份验证。应理解,本实施例的中继链包括至少一个中继链平台设备,该中继链平台设备上配置有可信执行环境,例如采用英特尔的软件保护扩展程序(software guard extension,SGX),中继链在该可信执行环境下进行信息中转及身份验证操作,从而保证运行在安全区域中的程序和数据的机密性和完整性,不会泄露跨链交易相关的信息;同时,还可以进行远程认证以识别其他设备上的可信执行环境。此外,各区块链平台还配置有至少一个跨链网关,用于实现本区块链平台内部或各区块链平台之间的信息交互。在一个可行的实施例中,分属于不同区块链平台的第一机构和第二机构,第一机构想要加入跨链体系,与第二机构进行跨链交易,需要中继链进行监听、验证、代理来自于第一机构的跨链消息,验证合格后最终将该跨链交易传输至第二机构。
以下对本实施方式的跨链交易的权限管理方法进行详细说明:
请参阅图2和图3,图2所示为本实施方式中一种跨链交易的权限管理方法的流程示意图,图3所示为本实施方式中跨链交易时的信息交互示意图;该权限管理方法的执行主体为中继链,具体包括步骤S21-步骤S22:
步骤S21、接收到第一机构发送的携带有第二机构签名的身份请求,验证第二机构的签名是否合法,若合法,则为第一机构签发证书Org1Cert,并返回证书至第一机构。
具体的说,第一机构想要与分属于不同区块链平台的第二机构进行跨链交易,需要取得第二机构的信任,即从第二机构获取携带有第二机构签名的身份请求。
请参阅图3和图4,图4所示为第一机构从第二机构获取携带有第二机构签名的身份请求获取的流程示意图,具体包括步骤S41-步骤S44:
步骤S41、第一机构创建身份请求R1。
步骤S42、第一机构并发送身份请求至第二机构。
步骤S43、第二机构解析身份请求,若该身份信息合法,且同意身份请求中携带的权限信息,则对身份请求进行签名。
步骤S44、第二机构将携带有签名的身份请求Org2AdminSign发送至第一机构。
具体的说,第一机构构建的身份请求中包含该机构的身份信息和操作权限,其中,第一机构的身份信息为第一机构在区块链系统中的区块链身份,该区块链身份是第一机构在区块链系统中的唯一标识,被用于第一机构接入区块链系统,且该第一机构的身份信息被预先存储于第二机构的存储模块中。
第二机构在与第一机构进行跨链交易前,应通过第二机构中预存的权限规则,确定第一机构所请求的操作权限是否合法,若合法,才允许第一机构的操作行为,从而避免第二机构被恶意攻击,导致数据泄露问题,提高了数据的安全性。应理解,预存的权限规则可以以代码形式直接写入第二机构的存储模块,也可以在第二机构上存储该权限规则的存储地址,通过访问该存储地址调用该权限规则。
在一个可行的实施例中,通过第二机构中预存的权限规则,确定第一机构所请求的操作权限是否合法的操作包括:例如第一机构包括多条应用链,当需要对每条应用链进行权限控制时,可采用树形结构来构建操作权限体系,将第一机构划分为三个层次,即层次一/层次二/层次三,层次一以机构为基础,例如第一机构写为/Org1;层次二为机构下的链,可选项为应用链(Application)或审计链(Audit),例如写为/Org1/Application;层级三为权限,可选权限有只读(Read),即只能读取中继链上的跨链交易、可写(Write),即可进行跨链交易;可读可写(Admin),即可修改该机构权限,例如写为/Org1/Application/Read。上述操作体系的操作权限被作为权限规则被预先写入第二机构中,当第二机构接收到第一机构发送的身份请求,首先确认区块链系统中是否包含第一机构的身份信息,若存在,则继续判断操作权限是否符合预存的权限规则,若符合,即此次请求的操作权限为/Org1/Application/Read,则对该身份请求进行签名,并将携带有签名的身份请求返回第一机构;若不符合,例如此次请求的操作权限为/Org1/Application/Write,则认为该身份请求不合法,拒绝此次身份请求。
继续说明,第二机构对第一机构发送的身份请求进行签名的步骤包括:第二机构对第一机构发送的身份请求进行数字签名,其中,数字签名有多种实现方式,例如使用国家密码算法SM2数字签名算法,本方案对此不做具体限定。
继续说明,中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证第二机构的签名的合法性,其中,签名和验证的步骤包括:第二机构对第一机构发送的身份请求计算摘要值,并采用私钥对摘要值进行签名得到签名值,再将身份请求和签名值一同发给第一机构;中继链接收到携带有第二机构签名的身份请求后拆分出身份请求和第一签名值,使用公钥对身份请求进行运算得到第二摘要值,比较第一摘要值和第二摘要值,若相同,则验证成功,该签名为合法的,为第一机构签发与身份请求相对应的证书,并返回证书至第一机构;否则,验证失败。应理解,中继链在为第一机构签发证书之前的步骤还包括:存储第一机构的操作权限,例如第一机构包括第一应用链chain1、第二应用链chain2及第三应用链chain3,且各应用链的操作权限不同,则各应用链的操作权限可保存为/Org1/Application-chain1/Write、/Org1/Application-chain2/Admin、Org1/Application-chain3/Read。
继续说明,本实施例中的中继链基于PKI((Public Key Infrastructure))密码体系为第一机构签发与操作权限相对应的证书,并依据x.509证书中的Certificate.SignatureAlgorithm.Subject域中的OU字段作为权限标识:
OU=Admin对应于/Org1/Application/Admin权限;
OU=write对应于/Org1/Application/Write权限;
OU=read对应于/Org1/Application/Read权限;
最后中继链将签发好的证书Org1Cert发送给第一机构的各应用链。
应理解,PKI密码体系采用“双密钥对”,即签名密钥对和加密密钥对模式来实现,证书持有者有一对签名用途的密钥对,分别为签名用途公钥与签名用途私钥;证书持有者还持有一对加密用途的密钥对,分别是加密用途公钥和加密用途私钥;当中继链为第一机构签发证书时,对加密用途的密钥对进行备案,并交由密钥管理中心存放,当需要对某条记录进行审计时,从密钥管理中心提取出用户的加密私钥,即可解出其中数据。PKI密码体系的核心为证书颁发体系(CA,Certificate Authority),CA体系是负责签发证书、认证证书、管理已颁发证书的机关,它通过制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。PKI密码体系中的X.509是密码学里公钥证书的格式标准,是一套成熟的密码体系,被外界广泛认可。X.509证书里含有公钥、身份信息和签名信息,可灵活定制;此外X.509认证体系还附带了证书吊销、冻结列表,对跨链方的信任时间节点和惩处、冻结措施可进行精确控制。
步骤S22、接收到第一机构发送的跨链请求R2,解析该跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与证书中的权限信息是否一致,若一致,则发送跨链请求至第二机构。
具体的说,为了保证跨链交易的请求信息不被泄露,提高跨链交易的安全性和可靠性,第一机构在发送跨链请求之前的步骤包括:第一机构组装跨链请求R2,并使用证书Org1Cert对跨链请求进行加密处理,加密处理所得到的结果为EncOrg1Ccert(R2),第一机构发送该加密结果至中继链。中继链接收到加密后的跨链请求之后,判断跨链请求是否符合第一机构的证书内容之前的步骤包括:采用CA体系对加密后的跨链请求进行解密。应理解,中继链上集成有CA体系,从而使得本实施例中的中继链既是完成资产交换的去中心化治理区块链,又是一个去中心化的CA证书颁发机构。
请参阅图5,图5所示为中继链判断跨链请求是否符合第一机构的证书内容的流程示意图,具体包括步骤S51-步骤S53:
步骤S51、验证第一机构的证书的正确性;
步骤S52、验证证书中的权限信息;
步骤S53、判断跨链请求执行的操作与证书中的权限信息是否一致,若一致,则符合要求。
具体的说,中继链使用CA体系解析EncOrg1Ccert(R2),判断证书的正确性及证书中的操作权限信息并校验证书中的权限信息与跨链请求请求要做的操作是否一致。例如,证书中的权限标识OU=read,即跨链请求R2想要做的操作为跨链交易,则中继链拒绝该请求,因为跨链请求需要Write权限。本实施例中设置权限优先级为Admin>Write>Read,需要使用对应优先级的权限或者更高优先级的权限才能进行相应的操作。当证书中的权限标识OU=Write或者权限标识OU=Admin时,可进行跨链交易,中继链将跨链请求R2发送给第二机构,第二机构处理跨链请求R2,并响应回执A2至中继链,中继链将该回执A2发送至第一机构,从而完成第一机构通过中继链与第二机构进行信息交互的过程。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
可见,本实施方式的中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证该签名的合法性,若合法,则为第一机构签发与身份请求的权限相对应的证书,并返回至第一机构;同时,中继链接收到第一机构发送的跨链请求,判断该跨链请求是否符合证书的要求,若符合,才发送跨链请求至所述第二机构。本发明的中继链的身份管理功能在确保了区块链间安全可信的信息交换的同时,还延续了区块链去中心化的特性,具有安全可信性和通用性,适用于多种应用场景。此外,中继链基于PKI密码体系的X.509进行证书认证,X.509证书里含有公钥、身份信息和签名信息,可灵活定制证书认证方式;同时X.509认证体系还附带了证书吊销、冻结列表,中继链可对跨链方的信任时间节点和惩处、冻结措施可进行精确控制。
请参阅图6,本发明的第二实施方式涉及一种跨链交易的权限管理系统,该跨链交易的权限管理系统与上述第一实施方式中跨链交易的权限管理方法一一对应,该跨链交易的权限管理系统应用于中继链。中继链本身也属于区块链体系,通常根据区块链是否具备信息中转功能将区块链划分为中继区块链(简称中继链)和应用区块链(简称应用链)。其中,具备信息中转功能的区块链为中继链,而不具备信息中转功能的区块链为应用链。本实施例中的区块链体系具有去中心化的特性,即没有中心化的硬件或者管理机构,任意参与交易和区块存储、验证、转发的网络节点之间的权利和义务都是均等的,且任一节点的损坏或者失去都会不影响整个系统的运作,因此也可以认为区块链具有极好的健壮性。两个或多个区块链平台之间进行跨链交易时,可通过中继链进行信息中转和身份验证。应理解,本实施例的中继链包括至少一个中继链平台设备,该中继链平台设备上配置有可信执行环境,例如采用英特尔的软件保护扩展程序(software guard extension,SGX),中继链在该可信执行环境下进行信息中转及身份验证操作,从而保证运行在安全区域中的程序和数据的机密性和完整性,不会泄露跨链交易相关的信息;同时,还可以进行远程认证以识别其他设备上的可信执行环境。此外,各区块链平台还配置有至少一个跨链网关,用于实现本区块链平台内部或各区块链平台之间的信息交互。在一个可行的实施例中,分属于不同区块链平台的第一机构和第二机构,第一机构想要加入跨链体系,与第二机构进行跨链交易,需要中继链进行监听、验证、代理来自于第一机构的跨链消息,验证合格后最终将该跨链交易传输至第二机构。
以下对本实施方式的跨链交易的权限管理系统进行详细说明:
接收单元,用于接收第一机构发送的携带有第二机构签名的身份请求。
具体的说,第一机构想要与分属于不同区块链平台的第二机构进行跨链交易,需要取得第二机构的信任,即从第二机构获取携带有第二机构签名的身份请求,其中,第一机构从第二机构获取携带有第二机构签名的身份请求的步骤包括步骤一-步骤四:
步骤一、第一机构创建身份请求R1。
步骤二、第一机构并发送身份请求至第二机构。
步骤三、第二机构解析身份请求,若该身份信息合法,且同意身份请求中携带的权限信息,则对身份请求进行签名。
步骤四、第二机构将携带有签名的身份请求Org2AdminSign发送至第一机构。
具体的说,第一机构构建的身份请求中包含该机构的身份信息和操作权限,其中,第一机构的身份信息为第一机构在区块链系统中的区块链身份,该区块链身份是第一机构在区块链系统中的唯一标识,被用于第一机构接入区块链系统,且该第一机构的身份信息被预先存储于第二机构的存储模块中。
第二机构在与第一机构进行跨链交易前,应通过第二机构中预存的权限规则,确定第一机构所请求的操作权限是否合法,若合法,才允许第一机构的操作行为,从而避免第二机构被恶意攻击,导致数据泄露问题,提高了数据的安全性。应理解,预存的权限规则可以以代码形式直接写入第二机构的存储模块,也可以在第二机构上存储该权限规则的存储地址,通过访问该存储地址调用该权限规则。
在一个可行的实施例中,通过第二机构中预存的权限规则,确定第一机构所请求的操作权限是否合法的操作包括:例如第一机构包括多条应用链,当需要对每条应用链进行权限控制时,可采用树形结构来构建操作权限体系,将第一机构划分为三个层次,即层次一/层次二/层次三,层次一以机构为基础,例如第一机构写为/Org1;层次二为机构下的链,可选项为应用链(Application)或审计链(Audit),例如写为/Org1/Application;层级三为权限,可选权限有只读(Read),即只能读取中继链上的跨链交易、可写(Write),即可进行跨链交易;可读可写(Admin),即可修改该机构权限,例如写为/Org1/Application/Read。上述操作体系的操作权限被作为权限规则被预先写入第二机构中,当第二机构接收到第一机构发送的身份请求,首先确认区块链系统中是否包含第一机构的身份信息,若存在,则继续判断操作权限是否符合预存的权限规则,若符合,即此次请求的操作权限为/Org1/Application/Read,则对该身份请求进行签名,并将携带有签名的身份请求返回第一机构;若不符合,例如此次请求的操作权限为/Org1/Application/Write,则认为该身份请求不合法,拒绝此次身份请求。
继续说明,第二机构对第一机构发送的身份请求进行签名的步骤包括:第二机构对第一机构发送的身份请求进行数字签名,其中,数字签名有多种实现方式,例如使用国家密码算法SM2数字签名算法,本方案对此不做具体限定。
接收单元,还用于接收第一机构发送的跨链请求。
具体的说,为了保证跨链交易的请求信息不被泄露,提高跨链交易的安全性和可靠性,第一机构在发送跨链请求之前的步骤包括:第一机构组装跨链请求R2,并使用证书Org1Cert对跨链请求进行加密处理,加密处理所得到的结果为EncOrg1Ccert(R2),第一机构发送该加密结果至接收单元。接收单元接收到加密后的跨链请求之后,判断跨链请求是否符合第一机构的证书内容之前的步骤包括:采用CA体系对加密后的跨链请求进行解密。应理解,中继链上集成有CA体系,从而使得本实施例中的中继链既是完成资产交换的去中心化治理区块链,又是一个去中心化的CA证书颁发机构。
验证单元,用于验证第二机构的签名是否合法,若合法,则为第一机构签发与权限信息相对应的证书。
具体的说,中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证第二机构的签名的合法性,其中,签名和验证的步骤包括:第二机构对第一机构发送的身份请求计算摘要值,并采用私钥对摘要值进行签名得到签名值,再将身份请求和签名值一同发给第一机构;中继链接收到携带有第二机构签名的身份请求后拆分出身份请求和第一签名值,使用公钥对身份请求进行运算得到第二摘要值,比较第一摘要值和第二摘要值,若相同,则验证成功,该签名为合法的,为第一机构签发与身份请求相对应的证书,并返回证书至第一机构;否则,验证失败。应理解,中继链在为第一机构签发证书之前的步骤还包括:存储第一机构的操作权限,例如第一机构包括第一应用链chain1、第二应用链chain2及第三应用链chain3,且各应用链的操作权限不同,则各应用链的操作权限可保存为/Org1/Application-chain1/Write、/Org1/Application-chain2/Admin、Org1/Application-chain3/Read。
继续说明,本实施例中的中继链基于PKI((Public Key Infrastructure))密码体系为第一机构签发与操作权限相对应的证书,并依据x.509证书中的Certificate.SignatureAlgorithm.Subject域中的OU字段作为权限标识:
OU=Admin对应于/Org1/Application/Admin权限;
OU=write对应于/Org1/Application/Write权限;
OU=read对应于/Org1/Application/Read权限;
最后中继链将签发好的证书Org1Cert发送给第一机构的各应用链。
应理解,PKI密码体系采用“双密钥对”,即签名密钥对和加密密钥对模式来实现,证书持有者有一对签名用途的密钥对,分别为签名用途公钥与签名用途私钥;证书持有者还持有一对加密用途的密钥对,分别是加密用途公钥和加密用途私钥;当中继链为第一机构签发证书时,对加密用途的密钥对进行备案,并交由密钥管理中心存放,当需要对某条记录进行审计时,从密钥管理中心提取出用户的加密私钥,即可解出其中数据。PKI密码体系的核心为证书颁发体系(CA,Certificate Authority),CA体系是负责签发证书、认证证书、管理已颁发证书的机关,它通过制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。PKI密码体系中的X.509是密码学里公钥证书的格式标准,是一套成熟的密码体系,被外界广泛认可。X.509证书里含有公钥、身份信息和签名信息,可灵活定制;此外X.509认证体系还附带了证书吊销、冻结列表,对跨链方的信任时间节点和惩处、冻结措施可进行精确控制。
判断单元,用于判断跨链请求是否符合第一机构的证书内容。
具体的说,判断单元判断跨链请求是否符合第一机构的证书内容的步骤包括步骤一-步骤三:
步骤一、验证第一机构的证书的正确性;
步骤二、验证证书中的权限信息;
步骤三、判断跨链请求执行的操作与证书中的权限信息是否一致,若一致,则符合要求。
具体的说,中继链使用CA体系解析EncOrg1Ccert(R2),判断证书的正确性及证书中的操作权限信息并校验证书中的权限信息与跨链请求请求要做的操作是否一致。例如,证书中的权限标识OU=read,即跨链请求R2想要做的操作为跨链交易,则中继链拒绝该请求,因为跨链请求需要Write权限。本实施例中设置权限优先级为Admin>Write>Read,需要使用对应优先级的权限或者更高优先级的权限才能进行相应的操作。当证书中的权限标识OU=Write或者权限标识OU=Admin时,可进行跨链交易,中继链将跨链请求R2发送给第二机构,第二机构处理跨链请求R2,并响应回执A2至中继链,中继链将该回执A2发送至第一机构,从而完成第一机构通过中继链与第二机构进行信息交互的过程。
发送单元,用于发送证书至第一机构;还用于当跨链请求符合第一机构的证书内容时,发送跨链请求至第二机构。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
可见,本实施方式的中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证该签名的合法性,若合法,则为第一机构签发与身份请求的权限相对应的证书,并返回至第一机构;同时,中继链接收到第一机构发送的跨链请求,判断该跨链请求是否符合证书的要求,若符合,才发送跨链请求至所述第二机构。本发明的中继链的身份管理功能在确保了区块链间安全可信的信息交换的同时,还延续了区块链去中心化的特性,具有安全可信性和通用性,适用于多种应用场景。此外,中继链基于PKI密码体系的X.509进行证书认证,X.509证书里含有公钥、身份信息和签名信息,可灵活定制证书认证方式;同时X.509认证体系还附带了证书吊销、冻结列表,中继链可对跨链方的信任时间节点和惩处、冻结措施可进行精确控制。
请参阅图7,本发明的第三实施方式涉及一种计算机设备,包括存储器701、处理器702及存储在存储器701上并可在处理器702上运行的计算机程序,处理器702执行所述计算机程序时实现以下步骤:
接收到第一机构发送的携带有第二机构签名的身份请求,验证第二机构的签名是否合法,若合法,则为第一机构签发证书,其中,身份请求包括权限信息,证书与权限信息相对应;
接收到第一机构发送的跨链请求,解析跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与证书中的权限信息是否一致,若一致,则发送跨链请求至第二机构。
其中,存储器701和处理器702采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器702和存储器701的各种电路连接在一起。总线还可以将诸如外围设备703、稳压器704和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器702处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器702。
处理器702负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器701可以被用于存储处理器702在执行操作时所使用的数据。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明的第四实施方式涉及一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收到第一机构发送的携带有第二机构签名的身份请求,验证第二机构的签名是否合法,若合法,则为第一机构签发证书,其中,身份请求包括权限信息,证书与权限信息相对应;
接收到第一机构发送的跨链请求,解析跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与证书中的权限信息是否一致,若一致,则发送跨链请求至第二机构。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
综上所述,本发明的一种跨链交易的权限管理方法、系统、设备及介质,中继链接收到第一机构发送的携带有第二机构签名的身份请求,验证该签名的合法性,若合法,则为第一机构签发与身份请求的权限相对应的证书,并返回至第一机构;同时,中继链接收到第一机构发送的跨链请求,判断该跨链请求是否符合证书的要求,若符合,才发送跨链请求至所述第二机构。本发明的中继链的身份管理功能在确保了区块链间安全可信的信息交换的同时,还延续了区块链去中心化的特性,具有安全可信性和通用性,适用于多种应用场景。此外,中继链基于PKI密码体系的X.509进行证书认证,X.509证书里含有公钥、身份信息和签名信息,可灵活定制证书认证方式;同时X.509认证体系还附带了证书吊销、冻结列表,中继链可对跨链方的信任时间节点和惩处、冻结措施可进行精确控制。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (10)

1.一种跨链交易的权限管理方法,其特征在于,应用于中继链,所述权限管理方法包括:
接收到第一机构发送的携带有第二机构签名的身份请求,验证所述第二机构的签名是否合法,若合法,则为所述第一机构签发证书,其中,所述身份请求包括权限信息,所述证书与所述权限信息相对应;
接收到第一机构发送的跨链请求,解析所述跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与所述证书中的权限信息是否一致,若一致,则发送所述跨链请求至所述第二机构。
2.根据权利要求1所述的权限管理方法,其特征在于:
所述携带有第二机构签名的身份请求为所述第二机构响应于所述第一机构发送的身份请求而签发的,其中,所述身份请求还包括身份信息;
所述第二机构解析所述身份请求,若所述身份信息合法,且同意所述权限信息,则对所述身份请求进行签名。
3.根据权利要求2所述的权限管理方法,其特征在于:
所述中继链基于PKI密码体系,为所述第一机构签发与所述操作权限对应的证书。
4.根据权利要求1所述的权限管理方法,其特征在于:
所述跨链请求构建于所述第一机构,并经过所述第一机构采用所述证书加密处理的。
5.根据权利要求4所述的权限管理方法,其特征在于:
所述中继链采用CA体系,对加密后的所述跨链请求进行解密。
6.根据权利要求1所述的权限管理方法,其特征在于,还包括:
验证所述证书的正确性,验证成功,则判断本次请求执行的操作与所述证书中的权限信息是否一致。
7.根据权利要求6所述的权限管理方法,其特征在于,还包括:
验证所述证书中的权限信息与所述中继链中存储的所述权限信息是否一致,若一致,则判断本次请求执行的操作与所述证书中的权限信息是否一致。
8.一种跨链交易的权限管理系统,其特征在于,应用于中继链,所述权限管理系统包括:
接收单元,用于接收第一机构发送的携带有第二机构签名的身份请求;
还用于接收所述第一机构发送的跨链请求;
验证单元,用于验证所述第二机构的签名是否合法,若合法,则为所述第一机构签发证书,其中,所述身份请求包括权限信息,所述证书与所述第一机构的权限信息相对应;
判断单元,用于解析所述跨链请求,得到证书和本次请求执行的操作,判断本次请求执行的操作与所述证书中的权限信息是否一致;
发送单元,用于发送所述证书至所述第一机构;
还用于当本次请求执行的操作与所述证书中的权限信息一致时,发送所述跨链请求至所述第二机构。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于:所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述方法的步骤。
CN202210286474.1A 2022-03-22 2022-03-22 一种跨链交易的权限管理方法、系统、设备及介质 Pending CN114448646A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210286474.1A CN114448646A (zh) 2022-03-22 2022-03-22 一种跨链交易的权限管理方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210286474.1A CN114448646A (zh) 2022-03-22 2022-03-22 一种跨链交易的权限管理方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN114448646A true CN114448646A (zh) 2022-05-06

Family

ID=81358507

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210286474.1A Pending CN114448646A (zh) 2022-03-22 2022-03-22 一种跨链交易的权限管理方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN114448646A (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650189A (zh) * 2019-09-20 2020-01-03 深圳供电局有限公司 一种基于中继的区块链的交互系统及方法
CN111262860A (zh) * 2020-01-16 2020-06-09 航天信息股份有限公司 跨链模式下的身份认证方法及装置
US20210051023A1 (en) * 2018-09-04 2021-02-18 Advanced New Technologies Co., Ltd. Cross-chain authentication method, system, server, and computer-readable storage medium
CN112398853A (zh) * 2020-11-16 2021-02-23 东软集团股份有限公司 一种实现联盟链跨链通信的方法、装置及系统
CN112615915A (zh) * 2020-12-10 2021-04-06 浙商银行股份有限公司 一种在私有链之间构建联盟链的方法
CN112733174A (zh) * 2020-10-29 2021-04-30 腾讯科技(深圳)有限公司 区块链系统的认证管理方法、系统及电子设备
US20210150065A1 (en) * 2018-11-16 2021-05-20 Advanced New Technologies Co., Ltd. Cross-chain authentication
CN113111126A (zh) * 2021-04-12 2021-07-13 浙江永旗区块链科技有限公司 一种区块链跨链转发系统及其转发方法
WO2021175057A1 (zh) * 2020-03-05 2021-09-10 支付宝(杭州)信息技术有限公司 一种业务处理系统、业务处理的方法、装置及设备
CN113420090A (zh) * 2021-06-29 2021-09-21 北京百度网讯科技有限公司 跨链处理方法、装置、电子设备及可读存储介质
CN113595735A (zh) * 2021-07-12 2021-11-02 中债金科信息技术有限公司 一种基于cp-abe的可监管的隐私保护跨区块链系统
CN113656780A (zh) * 2021-03-30 2021-11-16 支付宝(杭州)信息技术有限公司 一种跨链访问控制方法和装置
CN113746858A (zh) * 2021-09-10 2021-12-03 云南大学 一种基于可验证随机函数的跨链通信方法
CN113783949A (zh) * 2021-08-26 2021-12-10 浙商银行股份有限公司 一种基于合约管理的跨链去中心化方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210051023A1 (en) * 2018-09-04 2021-02-18 Advanced New Technologies Co., Ltd. Cross-chain authentication method, system, server, and computer-readable storage medium
US20210150065A1 (en) * 2018-11-16 2021-05-20 Advanced New Technologies Co., Ltd. Cross-chain authentication
CN110650189A (zh) * 2019-09-20 2020-01-03 深圳供电局有限公司 一种基于中继的区块链的交互系统及方法
CN111262860A (zh) * 2020-01-16 2020-06-09 航天信息股份有限公司 跨链模式下的身份认证方法及装置
WO2021175057A1 (zh) * 2020-03-05 2021-09-10 支付宝(杭州)信息技术有限公司 一种业务处理系统、业务处理的方法、装置及设备
CN112733174A (zh) * 2020-10-29 2021-04-30 腾讯科技(深圳)有限公司 区块链系统的认证管理方法、系统及电子设备
CN112398853A (zh) * 2020-11-16 2021-02-23 东软集团股份有限公司 一种实现联盟链跨链通信的方法、装置及系统
CN112615915A (zh) * 2020-12-10 2021-04-06 浙商银行股份有限公司 一种在私有链之间构建联盟链的方法
CN113656780A (zh) * 2021-03-30 2021-11-16 支付宝(杭州)信息技术有限公司 一种跨链访问控制方法和装置
CN113111126A (zh) * 2021-04-12 2021-07-13 浙江永旗区块链科技有限公司 一种区块链跨链转发系统及其转发方法
CN113420090A (zh) * 2021-06-29 2021-09-21 北京百度网讯科技有限公司 跨链处理方法、装置、电子设备及可读存储介质
CN113595735A (zh) * 2021-07-12 2021-11-02 中债金科信息技术有限公司 一种基于cp-abe的可监管的隐私保护跨区块链系统
CN113783949A (zh) * 2021-08-26 2021-12-10 浙商银行股份有限公司 一种基于合约管理的跨链去中心化方法
CN113746858A (zh) * 2021-09-10 2021-12-03 云南大学 一种基于可验证随机函数的跨链通信方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LING CAO,等: "Blockchain cross-chain protocol and platform research and development", 2021 INTERNATIONAL CONFERENCE ON ELECTRONICS, CIRCUITS AND INFORMATION ENGINEERING (ECIE), pages 264 - 269 *
康博涵,等: "基于区块链的智能服务交易跨链服务框架与通信机制", 《网络与信息安全学报》, vol. 7, no. 3, pages 105 - 114 *
雷志伟,等: "一种可监管的区块链跨链平台设计", 《计算机与数字工程》, 20 December 2021 (2021-12-20), pages 2544 - 2550 *

Similar Documents

Publication Publication Date Title
Yavari et al. An improved blockchain-based authentication protocol for IoT network management
CN112311735B (zh) 可信认证方法,网络设备、系统及存储介质
JP4113274B2 (ja) 認証装置および方法
WO2018112946A1 (zh) 注册及授权方法、装置及系统
CN107742212B (zh) 基于区块链的资产验证方法、装置及系统
CN110691088B (zh) 一种基于区块链的物联网设备认证方法
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
KR101634158B1 (ko) 일종의 신분 인증 및 공유키 생성방법
US20050149722A1 (en) Session key exchange
JPH06223041A (ja) 広域環境利用者認証方式
CN101241528A (zh) 终端接入可信pda的方法和接入系统
CN110381075B (zh) 基于区块链的设备身份认证方法和装置
CN106790045A (zh) 一种基于云环境分布式虚拟机代理架构及数据完整性保障方法
CN111614621A (zh) 物联网通信方法和系统
CN109981287A (zh) 一种代码签名方法及其存储介质
CN111932261A (zh) 一种基于可验证声明的资产数据管理方法和装置
US20030037239A1 (en) Method and apparatus to mutually authentication software modules
CN113328854B (zh) 基于区块链的业务处理方法及系统
CN113890768A (zh) 设备认证方法和系统、物联网设备和认证服务器
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN107026729B (zh) 用于传输软件的方法和装置
CN117196618A (zh) 一种基于区块链的分布式交易用户跨域认证方法及系统
CN116707983A (zh) 授权认证方法及装置、接入认证方法及装置、设备、介质
CN113872986B (zh) 配电终端认证方法、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination