CN110390213A

CN110390213A - 区块链网络环境下智能合约的安全部署方法及系统

Info

Publication number: CN110390213A
Application number: CN201910699733.1A
Authority: CN
Inventors: 李海平; 李东丽; 黄剑; 刘彦平
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2019-07-31
Filing date: 2019-07-31
Publication date: 2019-10-29
Anticipated expiration: 2039-07-31
Also published as: CN110390213B

Abstract

本发明提供的一种区块链网络环境下智能合约的安全部署方法及系统，通过将需要部署在各节点的源代码编译形成静态库文件，然后将智能合约的代码包和命令源码文件进行编译，使得编译后的命令源码文件为可执行文件，进而可以直接调取智能合约的编译后的代码包和静态库文件中需要的文件，从而在不暴露源代码的前提下，能够执行智能合约，保障了底层源代码的安全性。

Description

区块链网络环境下智能合约的安全部署方法及系统

技术领域

本发明涉及区块链技术领域，更具体的，涉及一种区块链网络环境下智能合约的安全部署方法及系统。

背景技术

在区块链的部署层中，一般需要将区块链的底层源代码部署在每个节点上，这样对于一些非可信或者可信度比较低的节点，存在暴露源代码的风险，因此存在诸多不足。

发明内容

为了解决上述问题中的至少一个，本申请提供一种区块链网络环境下智能合约的安全部署方法，包括：

通过第一运行命令将区块链的底层代码库编译为底层静态库文件，并将所述底层静态库文件部署在区块链的各节点中；

通过第二运行命令将智能合约中的多个代码包对应编译为代码包中间文件；

将所述代码包中间文件重命名，形成与所述底层静态库文件格式相同的多个静态库文件；

通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件。

在某些实施例中，所述通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件，包括：

通过go tool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件；

通过go tool link指令将所述命令源码中间文件编译为所述可执行文件。

在某些实施例中，通过第一运行命令将区块链的底层代码库编译为底层静态库文件，包括：

运行go install将区块链的底层代码库编译为底层静态库文件。

在某些实施例中，所述代码包包括：attach代码包和funcpackage代码包，通过第二运行命令将智能合约中的多个代码包编译为代码包中间文件，包括：

执行go tool compile-pack./attach/*.go，将attach代码包和funcpackage代码包编译为文件格式为*.a的代码包中间文件。

在某些实施例中，所述将所述代码包中间文件重命名，包括：

将文件格式为*.a的代码包中间文件重命名为文件格式为.a的静态库文件。

在某些实施例中，所述安全部署方法还包括：

将重命名后的静态库文件移动到指定文件目录下。

在某些实施例中，所述命令源码文件为fptpSimulationTransfer.go文件，所述通过go tool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件，包括：

执行go tool compile-I％GOROOT/pkg/linux_amd64fptpSimulationTransfer.go，将fptpSimulationTransfer.go文件编译为fptpSimulationTransfer.o文件。

在某些实施例中，所述通过go tool link指令将所述命令源码中间文件编译为所述可执行文件，包括：

执行go tool link-o fptpSimulationTransfer-L$GOROOT/pkg/linux_amd64fptpSimulationTransfer.o，将fptpSimulationTransfer.o编译为可执行文件fptpSimulationTransfer。

在某些实施例中，所述将重命名后的静态库文件移动到指定文件目录下，包括：

将重命名后的静态库文件$GOROOT/pkg/$GOOS_$GOARCH目录下。

本申请还提供一种区块链网络环境下智能合约的安全部署系统，包括：

底层静态库编译模块，通过第一运行命令将区块链的底层代码库编译为底层静态库文件，并将所述底层静态库文件部署在区块链的各节点中；

代码包中间文件编译模块，通过第二运行命令将智能合约中的多个代码包对应编译为代码包中间文件；

重命名模块，将所述代码包中间文件重命名，形成与所述底层静态库文件格式相同的多个静态库文件；

可执行文件编译模块，通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件。

在某些实施例中，所述可执行文件编译模块包括：

命令源码中间文件编译单元，通过go tool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件；

可执行文件编译单元，通过go tool link指令将所述命令源码中间文件编译为所述可执行文件。

在某些实施例中，所述第一运行命令为go install命令。

在某些实施例中，所述代码包包括：attach代码包和funcpackage代码包，所述代码包中间文件包括：attach*.a和funcpackage*.a。

在某些实施例中，所述静态库文件包括：attach.a和funcpackage.a。

在某些实施例中，所述安全部署系统还包括：

文件移动模块，将重命名后的静态库文件移动到指定文件目录下。

在某些实施例中，所述命令源码文件为fptpSimulationTransfer.go文件，所述命令源码中间文件为fptpSimulationTransfer.o文件。

在某些实施例中，所述可执行文件为fptpSimulationTransfer。

在某些实施例中，所述文件移动模块将重命名后的静态库文件$GOROOT/pkg/$GOOS_$GOARCH目录下。

本申请还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的方法的步骤。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上所述的方法的步骤。

本发明具有如下有益效果：

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了现有技术中智能合约执行方式示意图。

图2示出了现有技术中智能合约开发包的安装路径示意图。

图3示出了现有技术中区块链的部署系统示意图。

图4示出了本申请实施例中区块链网络环境下智能合约的安全部署方法流程示意图。

图5示出了本申请实施例中区块链网络环境下智能合约的安全部署系统结构示意图。

图6示出适于用来实现本申请实施例的计算机设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前在区块链的环境部署中，需要将区块链的源代码部署在每个节点上，

Hyperledger Fabric的智能合约叫做Chaincode，是业务的承载体，负责业务的具体逻辑实现。Fabric使用docker技术，将Chaincode运行在容器中，作为智能合约的执行环境。基于docker执行的智能合约，是独立于Hyperledger Fabric节点进程之外的进程，与区块链节点服务进程通过网络接口进行联动，如图1所示。

Hyperledger Fabric是用go语言开发的，而智能合约Chaincode的代码可以使用Go，Java，Node.js语言开发，Golang是目前为主比较成熟稳定的。以Golang为例：

Chaincode主要由下面几个组成:

·必须在main包下

·引用必要的依赖

·定义一个结构体，并为结构体绑定Init、Invoke、Query方法

·main方法

图2显示的是一个智能合约开发包的安装路径。/github.com/hyperledger/fabirc路径下是fabric底层代码库，它包含提供智能合约调用的库包，同时也可以编译成区块链的服务进程。attach,funcpackage是智能合约自己开发的代码包，fptpSimulationTransfer.go就是属于智能合约的命令源码文件，其示例代码如下所示：

在import语句内，

“samplecode/fptpSimulationTransfer/attach”表明了attach代码包的引入路径，“samplecode/fptpSimulationTransfer/funcpackage”表明了funcpackage代码包的引入路径，attach和funcpackage属于应用为了丰富智能合约业务功能开发的代码包“github.com/hyperledger/fabric/core/chaincode/shim”表明了智能合约调用区块链fabric底层提供的shim代码包的引入路径。智能合约的命令源码文件就是通过Import方式调用外部依赖包，包括fabic底层和自己开发的代码包。

通常情况下，将智能合约原代码包和fabric源代码包放到$GOPATH/src路径下，然后在智能合约包路径下，执行go build命令，生成fptpSimulationTransfer可执行文件，完成对智能合约示例的编译。

上述现有技术中，需要将区块链的源代码部署到外部环境(第三方环境)，如图3所示，联盟各方在部署运行自己新的智能合约时，为了编译智能合约代码，就有暴露fabric底层代码的风险。因此需要对底层代码做一些保护，将合约的编译方式做一些调整。

图4示出了本申请实施例中一种区块链网络环境下智能合约的安全部署方法流程示意图，包括：

S1：通过第一运行命令将区块链的底层代码库编译为底层静态库文件，并将所述底层静态库文件部署在区块链的各节点中；

S2：通过第二运行命令将智能合约中的多个代码包对应编译为代码包中间文件；

S3：将所述代码包中间文件重命名，形成与所述底层静态库文件格式相同的多个静态库文件；

S4：通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件。

本发明提供的一种区块链网络环境下智能合约的安全部署方法，通过将需要部署在各节点的源代码编译形成静态库文件，然后将智能合约的代码包和命令源码文件进行编译，使得编译后的命令源码文件为可执行文件，进而可以直接调取智能合约的编译后的代码包和静态库文件中需要的文件，从而在不暴露源代码的前提下，能够执行智能合约，保障了底层源代码的安全性。

下面对上述方法进行详细说明。

在具体实施时，步骤S1具体包括：

运行go install将区块链的底层代码库编译为底层静态库文件。

底层静态库文件为.a文件，因为智能合约会调用底层fabric代码提供的库，Golang语言又要求库名与库所在文件夹同名，所以需要通过程序依序将fabric代码按照各个文件夹维度编译成.a的静态库文件。节点部署区块链网络时，就是将fabric底层代码的静态库文件部署上去。

智能合约是在生产环境的节点服务器上编译，此时节点服务器上只部署了底层fabric的静态库文件。

在一些实施例中，所述代码包包括：attach代码包和funcpackage代码包，步骤S2具体包括：

在该实施例中，步骤S3具体包括：

智能合约代码包可能包含应用自己开发的代码包，供合约代码自己调用，那么在编译智能合约的命令源码文件前，需要将各个代码包先编译成静态库文件。

比如上述智能合约的示例中包含的两个代码包attach,funcpackage。

因为当前节点服务器没有底层fabric的源码文件，只有静态库文件，所以编译上述代码包时，不能用go install命令，需要执行下述命令：

go tool compile-pack./attach/*.go

此命令会在当前命令生成以第一个go文件名命名的*.a文件，然后再将库文件重命名为attach.a，再将文件移动到$GOROOT/pkg/$GOOS_$GOARCH/对应目录下。

进一步的，在一些实施例中，步骤S4具体包括：

S41：通过go tool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件；

S42：通过go tool link指令将所述命令源码中间文件编译为所述可执行文件。

在编译完库文件后，可以通过如下命令，编译fptpSimulationTransfer.go命令源码文件，

go tool compile-I％GOROOT/pkg/linux_amd64 fptpSimulationTransfer.go在当前目录下生成fptpSimulationTransfer.o文件，接着再执行下述命令：

go tool link-o fptpSimulationTransfer-L $GOROOT/pkg/linux_amd64fptpSimulationTransfer.o

命令执行完成后，在对应目录生成智能合约的可执行文件fptpSimulationTransfer。

可以理解，区块链网络是运行在linux或者Ubuntu环境下，Golang支持在此运行环境下生成静态库文件(.a)和动态库文件(.so)。

静态库是编译产生的二进制文件，在使用静态库的程序的最终编译过程中，链接器从库中复制这些函数与数据并把它们和应用程序的其他模块组合起来，生成可执行文件。库是不可以被执行的——或者说，库没有执行这个概念。

动态库与静态库一样，都是库，但是动态库编译方式和静态库不一样，静态库可以不提供源码，直接使用静态库编译，而动态库不行。

本申请借助静态库的编译方式来解决智能合约在编译过程中暴露底层源代码的风险，通过将智能合约的命令源码文件编译为可执行文件，在执行时，可以调用静态库文件运行，即可以直接调用.a的静态库文件，包括所述底层静态库文件、所述多个静态库文件。从而，在不需要提供底层代码的前提下，通过静态库调用的方式运行智能合约，因此不会暴露底层代码。

基于相同的发明构思，本申请还提供一种区块链网络环境下智能合约的安全部署系统，如图5所示，包括：

底层静态库编译模块1，通过第一运行命令将区块链的底层代码库编译为底层静态库文件，并将所述底层静态库文件部署在区块链的各节点中；

代码包中间文件编译模块2，通过第二运行命令将智能合约中的多个代码包对应编译为代码包中间文件；

重命名模块3，将所述代码包中间文件重命名，形成与所述底层静态库文件格式相同的多个静态库文件；

可执行文件编译模块4，通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件。

本发明提供的一种区块链网络环境下智能合约的安全部署系统，通过将需要部署在各节点的源代码编译形成静态库文件，然后将智能合约的代码包和命令源码文件进行编译，使得编译后的命令源码文件为可执行文件，进而可以直接调取智能合约的编译后的代码包和静态库文件中需要的文件，从而在不暴露源代码的前提下，能够执行智能合约，保障了底层源代码的安全性。

基于相同的发明构思，在某些实施例中，所述可执行文件编译模块包括：

基于相同的发明构思，在某些实施例中，所述第一运行命令为go install命令。

基于相同的发明构思，在某些实施例中，所述代码包包括：attach代码包和funcpackage代码包，所述代码包中间文件包括：attach*.a和funcpackage*.a。

基于相同的发明构思，在某些实施例中，所述静态库文件包括：attach.a和funcpackage.a。

基于相同的发明构思，在某些实施例中，所述安全部署系统还包括：

基于相同的发明构思，在某些实施例中，所述命令源码文件为fptpSimulationTransfer.go文件，所述命令源码中间文件为fptpSimulationTransfer.o文件。

基于相同的发明构思，在某些实施例中，所述可执行文件为fptpSimulationTransfer。

基于相同的发明构思，在某些实施例中，所述文件移动模块将重命名后的静态库文件$GOROOT/pkg/$GOOS_$GOARCH目录下。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备，具体的，计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

在一个典型的实例中计算机设备具体包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的由客户端执行的方法，或者，所述处理器执行所述程序时实现如上所述的由服务器执行的方法。

下面参考图6，其示出了适于用来实现本申请实施例的计算机设备600的结构示意图。

如图6所示，计算机设备600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM))603中的程序而执行各种适当的工作和处理。在RAM603中，还存储有系统600操作所需的各种程序和数据。CPU601、ROM602、以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡，调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口606。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装如存储部分608。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种区块链网络环境下智能合约的安全部署方法，其特征在于，包括：

2.根据权利要求1所述的安全部署方法，其特征在于，所述通过编译将所述智能合约的命令源码文件转换为可调用所述底层静态库文件、所述多个静态库文件的可执行文件，包括：

通过gotool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件；

3.根据权利要求1所述的安全部署方法，其特征在于，通过第一运行命令将区块链的底层代码库编译为底层静态库文件，包括：

运行go install将区块链的底层代码库编译为底层静态库文件。

4.根据权利要求1所述的安全部署方法，其特征在于，所述代码包包括：attach代码包和funcpackage代码包，通过第二运行命令将智能合约中的多个代码包编译为代码包中间文件，包括：

5.根据权利要求4所述的安全部署方法，其特征在于，所述将所述代码包中间文件重命名，包括：

6.根据权利要求4所述的安全部署方法，其特征在于，所述安全部署方法还包括：

将重命名后的静态库文件移动到指定文件目录下。

7.根据权利要求2所述的安全部署方法，其特征在于，所述命令源码文件为fptpSimulationTransfer.go文件，所述通过go tool compile指令将所述智能合约中的命令源码文件编译为命令源码中间文件，包括：

执行go tool compile-I％GOROOT/pkg/linux_amd64 fptpSimulationTransfer.go，将fptpSimulationTransfer.go文件编译为fptpSimulationTransfer.o文件。

8.根据权利要求7所述的安全部署方法，其特征在于，所述通过go tool link指令将所述命令源码中间文件编译为所述可执行文件，包括：

9.根据权利要求6所述的安全部署方法，其特征在于，所述将重命名后的静态库文件移动到指定文件目录下，包括：

将重命名后的静态库文件$GOROOT/pkg/$GOOS_$GOARCH目录下。

10.一种区块链网络环境下智能合约的安全部署系统，其特征在于，包括：

11.根据权利要求10所述的安全部署系统，其特征在于，所述可执行文件编译模块包括：

12.根据权利要求10所述的安全部署系统，其特征在于，所述第一运行命令为goinstall命令。

13.根据权利要求10所述的安全部署系统，其特征在于，所述代码包包括：attach代码包和funcpackage代码包，所述代码包中间文件包括：attach*.a和funcpackage*.a。

14.根据权利要求13所述的安全部署系统，其特征在于，所述静态库文件包括：attach.a和funcpackage.a。

15.根据权利要求10所述的安全部署系统，其特征在于，所述安全部署系统还包括：

16.根据权利要求11所述的安全部署系统，其特征在于，所述命令源码文件为fptpSimulationTransfer.go文件，所述命令源码中间文件为fptpSimulationTransfer.o文件。

17.根据权利要求10所述的安全部署系统，其特征在于，所述可执行文件为fptpSimulationTransfer。

18.根据权利要求15所述的安全部署系统，其特征在于，所述文件移动模块将重命名后的静态库文件$GOROOT/pkg/$GOOS_$GOARCH目录下。

19.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至9任一项所述的方法的步骤。

20.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至9任一项所述的方法的步骤。