CN111405005B - 区块链的运行管控方法、系统及可控网络端设备 - Google Patents

Abstract

本申请涉及一种区块链的运行管控方法、系统及可控网络端设备，传统技术中区块链网络形成后难以控制，是因为其参与节点运行于公网之上，这将导致区块链网络的不可控性。本申请通过引入可控网络层，在区块链网络的底层设置可控网络，将其作为区块链的网络容器，并基于可控网络对待接入的共识节点进行基于身份验证的接入控制，初步实现了对区块链参与各方的接入源控制，可有效保证接入区块链的各节点的可靠性；另外，还可以基于所引入的可控网络对区块链进行运行管控、受限内容管控等多方面风险管控，可有效解决传统区块链技术面临的管理失控问题，实现了在不影响区块链技术去中心化特性的前提下，为管理方提供对所管辖区块链基础设施的管控能力。

Description

区块链的运行管控方法、系统及可控网络端设备

技术领域

本申请属于区块链管理技术领域，尤其涉及一种区块链的运行管控方法、系统及可控网络端设备。

背景技术

区块链是一种在对等网络(P2P)中，通过透明和可信规则，结合密码学原理构建的不可伪造、不可篡改和可追溯的块链式数据结构。区块链技术最基本的特征包括：分布式数据存储、点对点传输、多方共识机制、不可伪造和篡改。目前，区块链技术已在国家层面得到了重视，其应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域。

作为比特币的底层技术，区块链以其去中心化特性、信任保障机制等独特优势受到越来越多的关注。区块链的去中心化机制为各个应用场景中参与各方提供了信任机制，为多方参与提供了支撑能力；然而，去中心化机制也带来了管理失控的问题，例如一旦链上出现有害信息无法及时阻断。

为此，提供一种区块链的运行管控方案以解决传统区块链技术面临的管理失控问题，于本领域而言十分必要。

发明内容

有鉴于此，本申请提供了一种区块链的运行管控方法、系统及可控网络端设备，通过引入可控网络层来解决传统区块链技术面临的管理失控问题，实现在不影响区块链技术去中心化特性的前提下，为管理方提供对所管辖区块链基础设施的管控能力。

为此，本申请公开如下技术方案：

一种区块链的运行管控方法，应用于可控网络，所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

所述方法包括：

可控网络获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息；

可控网络基于所述身份验证信息验证所述共识节点的身份；

若验证结果表明所述共识节点通过身份验证，则可控网络授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链；

若验证结果表明所述共识节点未通过身份验证，则可控网络拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

上述方法，优选的，还包括：

根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点；

若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

上述方法，优选的，利用可控网络的接入控制网关执行对所述共识节点的基于身份验证的网络接入控制，和/或对区块链中节点的基于运行状况的撤销接入控制。

上述方法，优选的，还包括：

可控网络获取区块链上层应用发出的用于请求目标内容的内容请求；

可控网络检测所述内容请求中包括的请求参数是否为受限请求参数；若否，可控网络将所述内容请求传递至区块链；

可控网络拦截区块链响应于所述内容请求从指定区块获得的目标内容；

可控网络检测拦截的所述目标内容是否为受限内容，若否，将所述目标内容返回至所述区块链上层应用；

若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向区块链上层应用返回空信息。

上述方法，优选的，利用可控网络的受限内容管理组件执行如权利要求4所述的处理；

其中，所述受限内容管理组件包括请求过滤组件及内容过滤组件；

所述请求过滤组件用于检测所述内容请求中包括的请求参数是否为受限请求参数；所述内容过滤组件用于检测拦截的目标内容是否为受限内容。

一种可控网络端设备，运行于可控网络，所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

所述可控网络端设备，包括：

接入管控单元，用于执行以下操作：

获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息；

基于所述身份验证信息验证所述共识节点的身份；

若验证结果表明所述共识节点通过身份验证，则授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链；

若验证结果表明所述共识节点未通过身份验证，则拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

上述可控网络端设备，优选的，还包括：

运行管控单元，用于：

根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点；

若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

上述可控网络端设备，优选的，还包括：

受限内容管控单元，用于：

获取区块链上层应用发出的用于请求目标内容的内容请求；

检测所述内容请求中包括的请求参数是否为受限请求参数；若否，可控网络将所述内容请求传递至区块链；

拦截区块链响应于所述内容请求从指定区块获得的目标内容；

检测拦截的所述目标内容是否为受限内容，若否，将所述目标内容返回至所述区块链上层应用；

若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向区块链上层应用返回空信息。

上述可控网络端设备，优选的，所述可控网络端设备的功能通过可控网络的接入控制网关以及受限内容管理组件实现；

所述接入控制网关，用于执行所述可控网络端设备的接入管控单元和运行管控单元的功能；所述受限内容管理组件，用于执行所述可控网络端设备的受限内容管控单元的功能；

其中，所述受限内容管理组件包括请求过滤组件及内容过滤组件；

所述请求过滤组件用于检测所述内容请求中包括的请求参数是否为受限请求参数；所述内容过滤组件用于检测拦截的目标内容是否为受限内容。

一种区块链的运行管控系统，包括：区块链、可控网络以及区块链上层应用；所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

其中，所述可控网络通过执行如权利要求1-5任一项所述的区块链的运行管控方法，实现对区块链进行共识节点接入控制、运行控制，和/或受限内容管控。

发明人经研究发现，传统技术中区块链网络形成后难以控制，是因为其参与节点运行于公网之上，这将导致区块链网络的不可控性，所有接入区块链对等网络的任何节点均能够直接访问任意区块的任意数据。本申请通过引入可控网络层，在区块链网络的底层设置可控网络，将其作为区块链的网络容器，并基于引入的可控网络对待接入区块链的共识节点进行基于身份验证的接入控制，初步实现了对区块链参与各方的接入源控制，可有效保证接入区块链的各共识节点的可靠性；另外，还可以基于所引入的可控网络对区块链进行运行管控、受限内容管控等多方面风险管控，可有效解决传统区块链技术面临的管理失控问题，实现了在不影响区块链技术去中心化特性的前提下，为管理方提供对所管辖区块链基础设施的管控能力。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本申请实施例提供的区块链的运行管控方法的一种流程示意图；

图2是本申请实施例提供的基于可控网络的区块链网络结构示意图；

图3是本申请实施例提供的基于可控网络的区块链节点接入工作流示意图；

图4是本申请实施例提供的区块链的运行管控方法的另一种流程示意图；

图5是本申请实施例提供的区块链的运行管控方法的又一种流程示意图；

图6是本申请实施例提供的基于可控网络的区块链受限内容管理原理示意图；

图7是本申请实施例提供的基于可控网络的区块链受限内容管理处理流程示意图；

图8是本申请实施例提供的可控网络端设备的一种结构示意图；

图9是本申请实施例提供的可控网络端设备的另一种结构示意图；

图10是本申请实施例提供的可控网络端设备的又一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

当前，区块链的运行管理方式是：区块链各个参与节点(共识节点、普通节点)组成一张对等网络(P2P)，以去中心化机制运行于非可控网络(如因特网)之上，如比特币(BTC)网络、以太坊(ETH)网络等，其区块数据完全公开，一旦生成，则所有接入该对等网络的任何节点均能够直接访问任意区块的任意数据。发明人发现，该运行方式会导致区块链存在管理失控的问题，以下举例说明：

1)区块链运行出现问题难以采取有效行动：由区块链各个参与节点组成的对等网络形成后，该区块链网络即进入了不可管控的状态，即便是出现了严重漏洞也难以采取行动。以以太坊网络为例，此前因代码漏洞出现了DAO攻击事件，造成了巨大的损失并最终导致了以太坊的硬分叉。区块链网络形成后难以控制，是因为其参与节点运行于公网之上，任意节点只要连入比特币网络成为其矿工节点则自动维护整个比特币网络。

2)区块链内容风险不可控：区块链中，一旦参与各方达成共识，完成了某一区块数据的生成，区块链网络中的各个节点均能够直接访问区块中的所有数据，无论该数据内容被访问是否会造成诸如隐私泄露等风险。以以太坊网络为例，一旦在某一区块中写入了具有内容风险的数据(如故意泄露个人隐私、秘密等)，则该区块不可删除并完全公开可访问，无法阻断。

针对传统区块链技术面临的以上管理失控的问题，本申请提出了一种区块链的运行管控方法、系统及可控网络端设备，通过引入可控网络层，实现了在不影响区块链技术去中心化特性的前提下，为管理方提供对所管辖区块链基础设施的管控能力。以下将通过具体实施例对本申请的区块链的运行管控方法、系统及可控网络端设备进行详细阐述。

在本申请一可选实施例中，提供了一种区块链的运行管控方法，参阅图1示出的该方法的流程示意图，该方法可以包括以下处理步骤：

步骤101、可控网络获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息。

针对现有区块链因运行于公网之上而导致的不可控性，为了实现对区块链的风险可控，本申请对现有区块链运行管理方式进行改进，有目的性地引入了可控网络层，并设计了一种基于可控网络的区块链运行管理方案，以此实现在不改变已有区块链特征的条件下，解决区块链节点接入风险以及已上链数据内容风险的控制难题。

从体系结构上来说，当前区块链是作为应用运行于网络协议栈的应用层。本申请提出，将承载区块链运行的非可控网络协议栈变换为可控网络协议栈。如图2所示，可控网络作为下层运行环境，可视作区块链的底层网络或网络容器，通过在可控网络对区块链进行管理，可以在不影响上层区块链应用的条件下，实现区块链的可控运行。

实际实施中，可将本申请提出的区块链的运行管控方法应用于可控网络，更具体地，可将运行于可控网络的相应可控网络端设备作为本申请方法的执行主体，该用于执行本申请方法的可控网络端设备不限于特指一个设备实体，既可以采用一个设备实体执行本申请的方法，也可以采用基于多个装置或组件构成的不同设备实体执行本申请方法。示例性地，比如可以分别采用可控网络的接入控制网关和受限内容管理组件来分别执行本申请方法包括的不同处理等。

本实施例的步骤101-步骤104，主要描述基于可控网络对待接入共识节点接入区块链时的接入控制过程。

参阅图3示出的区块链节点接入工作流，当某一待接入的共识节点需接入区块链时，与传统技术相区别的是，本申请中，共识节点向可控网络而非区块链网络发出接入请求，如具体地，可向可控网络的接入控制网关发出携带有该共识节点的身份验证信息的接入请求，以向可控网络的接入控制网关提供身份验证信息。

相匹配的，可控网络，如可控网络的接入控制网关则接收待接入共识节点发出的该用于接入区块链的接入请求。

步骤102、可控网络基于所述身份验证信息验证所述共识节点的身份。

可控网络的接入控制网关在接收到该请求后，解析该请求，获得其中携带的待接入共识节点的身份验证信息，并基于该身份验证信息对待接入的共识节点进行身份验证。

可选地，共识节点的接入请求中携带的身份验证信息，可以包括但不限于共识节点通过身份信息登记注册而得到的CA(Certificate Authority)中心颁发的数字证书，相对应地，可控网络的接入控制网关可基于CA认证方式来实现对待接入共识节点进行身份验证，关于CA认证方式可参阅现有技术中通用的CA认证方法，这里不再详述。

步骤103、若验证结果表明所述共识节点通过身份验证，则可控网络授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链。

具体地，若待接入的共识节点通过身份验证，则表示该共识节点为获得认证的非风险节点，此种情形下，如图3所示，可控网络的接入控制网关授予该共识节点接入可控网络的权限；该共识节点获得授权后，相应可接入可控网络。

其中，共识节点接入可控网络之后，请继续参阅图3，会进一步连接运行于可控网络之上的区块链的对等网络(P2P)，在经过区块链对等节点验证之后成功加入区块链网络，并参与区块链维护、共识计算等。这里，区块链对等节点对该待接入的共识节点的验证，同样可以但不限于采用CA认证方式实现。

步骤104、若验证结果表明所述共识节点未通过身份验证，则可控网络拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

反之，若待接入的共识节点未通过身份验证，则表示该共识节点为未获得认证的风险节点，一旦将其接入，可能会为区块链带来风险状况，如在共识过程中恶意破坏共识的形成，扰乱其它节点工作秩序，或共识过程中提供错误信息等情况，由此，在该情形下，可控网络的接入控制网关不授予该共识节点接入可控网络的权限，拒绝该待接入共识节点接入可控网络。

由于区块链网络运行于可控网络之上，在拒绝该共识节点接入可控网络的基础上，可有效阻断该待接入共识节点作为区块链节点而加入区块链的可能，避免了将该共识节点加入区块链网络，实现了从参与各方接入源角度对区块链进行风险管控。

本实施例中，可控网络作为区块链的运行环境，各个参与节点需要首先获得可控网络的授权才能作为区块链节点加入区块链。作为可控网络的一种直观实现，以VPN(虚拟专网)为例说明，区块链运行于虚拟专网中，作为区块链的参与节点，各个节点首先需要获得虚拟专网的使用权，即加入网络的权限，才能实现与区块链中其它节点的连接。具体实施中，依据实际应用情况，区块链可能会有不同的参与方，例如，金融机构的区块链中参与各方则是各家金融机构，咨询类应用中，区块链的参与各方则是各家新闻内容发布机构等。

综上所述，本申请实施例通过引入可控网络层，在区块链网络的底层设置可控网络，将其作为区块链的网络容器，并基于引入的可控网络对待接入区块链的共识节点进行基于身份验证的接入控制，初步实现了对区块链参与各方的接入源控制，可有效保证接入区块链的各共识节点的可靠性；另外，还可以基于所引入的可控网络对区块链进行运行管控、受限内容管控等多方面风险管控，可有效解决传统区块链技术面临的管理失控问题，实现了在不影响区块链技术去中心化特性的前提下，为管理方提供对所管辖区块链基础设施的管控能力。

图4示出了本申请中另一实施例提供的区块链的运行管控方法流程示意图，本实施例中，如图4所示，所述区块链的运行管控方法除了包括图1所示的处理，还可以包括以下处理步骤：

步骤401、监控区块链的运行状况；

步骤402、根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点。

基于引入的可控网络，除了可以对待接入共识节点进行基于身份验证的接入控制，还可以监控区块链中各个已接入的链上节点的运行状况，并由可控网络的接入控制网关基于各链上节点的运行状况判定是否存在满足恶意条件的目标节点。该恶意条件可以是但不限于链上节点存在以下的任意一种或多种恶意行为：

在共识过程中恶意破坏共识的形成；

扰乱其它节点工作秩序；

共识过程中提供错误信息。

步骤403、若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

具体的，在判定出存在满足恶意条件的目标节点的情形下，如存在执行了(或开始执行、正在执行)上述任意一种或多种恶意行为的目标节点的情形下，可控网络的接入控制网关则撤销所检测出的该目标节点的网络接入权限，断开其与可控网络的连接，以阻断其作为区块链节点的功能，将其移出区块链，反之，若当前判定出不存在满足恶意条件的目标节点，则继续监控，从而实现了对区块链运行过程的风险控制。

图5示出了本申请中另一实施例提供的区块链的运行管控方法流程示意图，如图5所示，本实施例中，所述区块链的运行管控方法除了包括图1、图4所示的处理，还可以包括：

步骤501、可控网络获取区块链上层应用发出的用于请求目标内容的内容请求。

其中，区块链上层应用可以是但不限于各种各样的移动app或桌面应用。

参阅图6与图7，当区块链上层应用具有针对区块链的内容获取需求时，向区块链接入节点(或者也可称之为区块链服务节点)发出用于请求目标内容的内容请求。区块链接入节点/区块链服务节点传递该请求到可控网络层。相匹配的，可控网络则获得区块链上层应用发出的该用于请求目标内容的内容请求。

步骤502、可控网络检测所述内容请求中包括的请求参数是否为受限请求参数；若否，则执行步骤503，若是，则执行步骤507。

步骤503、可控网络将所述内容请求传递至区块链。

之后，可控网络的受限内容管理组件中的请求过滤组件，通过比照受限请求列表，查验该内容请求中的请求参数是否受限，若请求参数受限，则通过步骤507直接返回空结果；否则，若请求参数不受限，则传递该内容请求进入区块链网络。

以下举例说明：

作为一种可选的实现方式，例如在微信应用中，会通过链接来请求访问具体的内容，若链接内容经判定为谣言、虚假内容，则可将链接标记为受限链接，并将其作为受限参数加入受限请求列表，后续，当应用基于连接进行内容请求时，可通过将请求中携带的链接与受限请求列表中的信息进行比对，检测出携带相应链接的请求为是否为受限请求，相应实现对携带受限链接的请求进行过滤，直接返回空结果；反之，若请求中携带的链接不是受限链接，则将请求传递至区块链网络。

在该示例中，链接本身可理解为一种请求参数。

其中，区块链节点在收到内容请求后，响应于该请求，从指定区块中取出对应于该请求的特定内容，也即所述目标内容，并将取出的该目标内容经区块链网络返回至请求方。

步骤504、可控网络拦截区块链响应于所述内容请求从指定区块获得的目标内容。

步骤505、可控网络检测拦截的所述目标内容是否为受限内容，若否，若否，则执行步骤506，若是，则执行步骤507。

步骤506、将所述目标内容返回至所述区块链上层应用。

在区块链网络向请求方返回其所请求的目标内容时，可控网络拦截区块链返回的所述目标内容，并通过可控网络受限内容管理组件中的内容过滤组件，对区块链返回的目标内容进行检测，若检测到受限内容，则返回空包(如步骤507)；否则返回目标内容的原始报文到请求方。

如图6所示，具体实施中，若受限内容管理组件中的内容过滤组件检测出目标内容为受限内容，如谣言、虚假内容或者个人隐私、秘密信息等，则向区块链接入节点/区块链服务节点返回空包，并进而由区块链接入节点/区块链服务节点向请求方(也即区块链上层应用)作出应答给出空包响应，反之，若受限内容管理组件中的内容过滤组件检测出目标内容不是受限内容，则向区块链接入节点/区块链服务节点传递目标内容的原始报文，由区块链接入节点/区块链服务节点将目标内容的原始报文返回至请求方。

其中，内容过滤组件可以但不限于通过深度包检测(DPI，Deep PacketInspection)等技术，对区块链返回的目标内容进行受限与否的检测。

步骤507、若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向所述区块链上层应用返回空信息。

本申请实施例中，具体在网络层实现可控网络对区块链特定内容的管控，以当前主流TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/网际协议)协议为例，可控网络中可以部署专用软硬件实现如受限请求(参数)检测、深度包检测等功能，可以在第四、第五层(传输层、应用层)实现对特定区块、特定内容的传输阻断。在网络层实现此功能可以达到对上层区块链完全透明的效果，即不影响上层区块链与风险内容无关的功能运行。

与上述的区块链的运行管控方法相对应，本申请实施例还公开了一种可控网络端设备，该可控网络端设备不限于特指一个设备实体，既可以是一个设备实体，也可以是基于多个装置和/或组件构成的不同设备实体。

参阅图8示出的该可控网络端设备的组成结构示意图，该可控网络端设备可以包括：

接入管控单元801，用于执行以下操作：

获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息；

基于所述身份验证信息验证所述共识节点的身份；

若验证结果表明所述共识节点通过身份验证，则授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链；

若验证结果表明所述共识节点未通过身份验证，则拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

在本申请实施例的一可选实施方式中，如图9所示，上述的可控网络端设备，还可以包括：

运行管控单元802，用于：

根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点；

若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

在本申请实施例的一可选实施方式中，如图10所示，上述的可控网络端设备，还可以包括：

受限内容管控单元803，用于：

获取区块链上层应用发出的用于请求目标内容的内容请求；

检测所述内容请求中包括的请求参数是否为受限请求参数；若否，可控网络将所述内容请求传递至区块链；

拦截区块链响应于所述内容请求从指定区块获得的目标内容；

检测拦截的所述目标内容是否为受限内容，若否，将所述目标内容返回至所述区块链上层应用；

若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向所述区块链上层应用返回空信息。

在本申请实施例的一可选实施方式中，所述可控网络端设备的功能通过可控网络的接入控制网关以及受限内容管理组件实现；其中：

所述接入控制网关，用于执行所述可控网络端设备的接入管控单元和运行管控单元的功能；所述受限内容管理组件，用于执行所述可控网络端设备的受限内容管控单元的功能；

所述受限内容管理组件包括请求过滤组件及内容过滤组件；

所述请求过滤组件用于检测所述内容请求中包括的请求参数是否为受限请求参数；所述内容过滤组件用于检测拦截的目标内容是否为受限内容。

对于本申请实施例公开的可控网络端设备而言，由于其与上文各实施例公开的区块链的运行管控方法相对应，所以描述的比较简单，相关相似之处请参见上文各实施例中区块链的运行管控方法部分的说明即可，此处不再详述。

另外，本申请实施例还公开了一种区块链的运行管控系统，该系统包括区块链、可控网络以及区块链上层应用；其中，所述可控网络之上运行有区块链，用于作为所述区块链的网络容器。

所述可控网络可通过执行如上任一实施例所述的区块链的运行管控方法，来实现对区块链进行共识节点接入控制、运行控制，和/或受限内容管控。

本实施例的系统，引入了可控网络层，可控网络作为下层运行环境，可视作区块链的底层网络或网络容器，通过在可控网络对区块链进行管理，可以在不影响上层区块链应用的条件下，实现区块链的可控运行。其中，基于可控网络对区块链进行可控管理的具体处理过程，具体可参阅上文各个实施例对本申请的“区块链的运行管控方法”的相关说明，这里不再赘述。

综上所述，本申请实施例公开的区块链的运行管控方法、系统及可控网络端设备，与传统区块链技术相比，可具备以下优势：

通过引入可控网络(包括但不限于虚拟专网VPN等)，基于对网络层的控制实现了对区块链的风险管控，能够实现联盟区块链的可控运行，并通过在网络层嵌入过滤组件实现了对区块链已上链内容的管控，同时在具备上述技术效果的同时，不改变区块链已有运行特性。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

为了描述的方便，描述以上系统或装置时以功能分为各种模块或单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

最后，还需要说明的是，在本文中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种区块链的运行管控方法，其特征在于，应用于可控网络，所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

所述方法包括：

可控网络获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息；

可控网络基于所述身份验证信息验证所述共识节点的身份；

若验证结果表明所述共识节点通过身份验证，则可控网络授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链；

若验证结果表明所述共识节点未通过身份验证，则可控网络拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

2.根据权利要求1所述的方法，其特征在于，还包括：

根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点；

若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

3.根据权利要求2所述的方法，其特征在于，利用可控网络的接入控制网关执行对所述共识节点的基于身份验证的网络接入控制，和/或对区块链中节点的基于运行状况的撤销接入控制。

4.根据权利要求2所述的方法，其特征在于，还包括：

可控网络获取区块链上层应用发出的用于请求目标内容的内容请求；

可控网络检测所述内容请求中包括的请求参数是否为受限请求参数；若否，可控网络将所述内容请求传递至区块链；

可控网络拦截区块链响应于所述内容请求从指定区块获得的目标内容；

可控网络检测拦截的所述目标内容是否为受限内容，若否，将所述目标内容返回至所述区块链上层应用；

若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向区块链上层应用返回空信息。

5.根据权利要求4所述的方法，其特征在于，利用可控网络的受限内容管理组件执行如权利要求4所述的方法；

其中，所述受限内容管理组件包括请求过滤组件及内容过滤组件；

所述请求过滤组件用于检测所述内容请求中包括的请求参数是否为受限请求参数；所述内容过滤组件用于检测拦截的目标内容是否为受限内容。

6.一种可控网络端设备，其特征在于，运行于可控网络，所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

所述可控网络端设备，包括：

接入管控单元，用于执行以下操作：

获得待接入的共识节点发出的用于接入区块链的接入请求；所述接入请求中包括身份验证信息；

基于所述身份验证信息验证所述共识节点的身份；

若验证结果表明所述共识节点通过身份验证，则授予所述共识节点接入所述可控网络的权限；其中，所述共识节点在接入所述可控网络后，连接区块链的对等网络，并在通过区块链对等节点的验证后加入区块链；

若验证结果表明所述共识节点未通过身份验证，则拒绝所述共识节点接入所述可控网络，以避免将所述共识节点加入区块链。

7.根据权利要求6所述的可控网络端设备，其特征在于，还包括：

运行管控单元，用于：

根据区块链的运行状况确定区块链中是否存在满足恶意条件的目标节点；

若存在，撤销所述目标节点的网络接入权限，以断开所述目标节点与所述可控网络的连接，使得将所述目标节点移出区块链。

8.根据权利要求7所述的可控网络端设备，其特征在于，还包括：

受限内容管控单元，用于：

获取区块链上层应用发出的用于请求目标内容的内容请求；

检测所述内容请求中包括的请求参数是否为受限请求参数；若否，可控网络将所述内容请求传递至区块链；

拦截区块链响应于所述内容请求从指定区块获得的目标内容；

检测拦截的所述目标内容是否为受限内容，若否，将所述目标内容返回至所述区块链上层应用；

若检测出所述内容请求中包括的请求参数是受限请求参数，或者，检测出所述目标内容是受限内容，则可控网络向区块链上层应用返回空信息。

9.根据权利要求8所述的可控网络端设备，其特征在于，所述可控网络端设备的功能通过可控网络的接入控制网关以及受限内容管理组件实现；

所述接入控制网关，用于执行所述可控网络端设备的接入管控单元和运行管控单元的功能；所述受限内容管理组件，用于执行所述可控网络端设备的受限内容管控单元的功能；

其中，所述受限内容管理组件包括请求过滤组件及内容过滤组件；

所述请求过滤组件用于检测所述内容请求中包括的请求参数是否为受限请求参数；所述内容过滤组件用于检测拦截的目标内容是否为受限内容。

10.一种区块链的运行管控系统，其特征在于，包括：区块链、可控网络以及区块链上层应用；所述可控网络之上运行有区块链，用于作为所述区块链的网络容器；

其中，所述可控网络通过执行如权利要求1-5任一项所述的区块链的运行管控方法，实现对区块链进行共识节点接入控制、运行控制，和/或受限内容管控。

Images