CN112152778A - 一种节点管理方法、装置、及电子设备 - Google Patents
一种节点管理方法、装置、及电子设备 Download PDFInfo
- Publication number
- CN112152778A CN112152778A CN202011006346.4A CN202011006346A CN112152778A CN 112152778 A CN112152778 A CN 112152778A CN 202011006346 A CN202011006346 A CN 202011006346A CN 112152778 A CN112152778 A CN 112152778A
- Authority
- CN
- China
- Prior art keywords
- node
- nodes
- type change
- transaction data
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
Abstract
本申请实施例提出一种节点管理方法、装置及电子设备。应用于联盟链网络,联盟链网络包括多个节点,多个节点包括管理节点、记账节点和普通节点,该方法包括:第一节点获取交易数据,第一节点为多个节点中的任意一个;第一节点确定交易数据的访问权限控制策略,并根据访问权限控制策略对交易数据进行加密,以生成交易数据对应的加密数据,访问权限控制策略包括多个节点中目标节点的节点属性集合;第一节点在联盟链网络中广播加密数据,以使目标节点在接收到加密数据后,利用自身的属性信息对加密数据进行解密后得到交易数据。通过本申请,可以实现在联盟链中对节点的权限控制功能以及隐私保护的功能,从而降低了对节点管理的复杂度。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种节点管理方法、装置、及电子设备。
背景技术
区块链具有的分布式结构、透明可信、信息不可篡改等特性,利用区块链构建数据共享平台,可在不依赖于第三方数据共享平台信用背书情况下实现可信数据交换,区块链分为三种类型:公有链、私有链和联盟链。
目前,管理联盟链的技术主要涉及Fabric、JPMorgan Quorum、Corda等,这些技术普遍通过使用了公钥基础设施(Public Key Infrastructure,PKI)体系来解决联盟链中存在的节点管理问题,但是PKI体系涉及到对节点管理的操作流程较为繁琐,例如当交易发起者需要向联盟链网络中的其它N个节点发送交易数据时,需要对交易数据进行N次加密分别发送给N个节点,这种方式操作效率低下,浪费系统资源。
发明内容
本申请实施例提出了一种节点管理方法、装置、电子设备及存储介质,可以实现在联盟链中对节点的权限控制功能以及隐私保护的功能,从而降低了对节点管理的复杂度。
本申请实施例一方面提供一种节点管理方法,应用于联盟链网络,所述联盟链网络包括多个节点,所述多个节点包括管理节点、记账节点和普通节点,所述方法包括:
第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
所述第一节点确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
所述第一节点在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
本申请实施例一方面提供了一种节点管理装置,该装置具有实现上述的节点管理方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括:
获取单元,用于第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
处理单元,用于所述第一节点确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
广播单元,用于所述第一节点在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
本申请实施例一方面提供了一种电子设备,该设备包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,用于执行上述节点管理方法所涉及到的操作。
本申请实施例一方面提供了一种计算机存储介质,计算机存储介质存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时,执行上述各实施例中的方法。
本申请实施例一方面提供了一种计算机程序产品或计算机程序,计算机程序产品或计算机程序包括计算机指令,计算机指令存储在计算机可读存储介质中,计算机指令被计算机设备的处理器执行时,执行上述各实施例中的方法。
通过本申请实施例提供的节点管理方法,联盟链中的任意节点通过节点属性集合确定交易数据的访问权限控制策略,根据访问权限控制策略对交易数据进行加密,只有访问权限控制策略中指定的目标节点能够解密加密数据,提高了对交易数据的隐私保护,进一步地,不管目标节点数量为多少,只需对交易数据加密一次,并将加密后的加密数据广播到联盟链中,提高了节点的处理效率,从而降低了对节点管理的复杂度。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是本申请实施例提供的一种区块链数据共享系统的结构示意图;
图1B是本申请实施例提供的一种区块链的结构示意图;
图1C是本申请实施例提供的一种区块生成的流程示意图;
图2是本申请实施例提供的一种节点管理系统的架构示意图;
图3是本申请实施例提供的一种节点管理方法的流程示意图;
图4是本申请实施例提供的另一种节点管理方法的流程示意图;
图5是本申请实施例提供的另一种节点管理方法的流程示意图;
图6是本申请实施例提供的另一种节点管理方法的流程示意图;
图7是本申请实施例提供的一种节点管理装置的结构示意图;
图8是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,尽管在本文可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本文范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语"如果"可以被解释成为“在……时”或“当……时”或“响应于确定”。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念,分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同对外提供数据存储和业务访问功能的一个存储系统。
由于区块链中涉及到大量的数据计算以及数据存储服务,大量的数据计算以及数据存储服务需要花费大量的计算机运营成本,因此本申请所涉及到的区块链中的交易数据、加密数据等均可以由云技术中的云存储技术进行实现。即,将区块链通过云存储技术存储在“云”上,当需要将交易数据、加密数据存储至区块链时,可以通过云存储技术将这些数据上传到“云”上的区块链中,且当需要读取这些数据时,也可以随时从“云”上的区块链中读取数据,可以降低对电子设备的存储要求,扩大区块链的应用范围。
请参见图1A,图1A是本申请实施例提供的一种区块链数据共享系统的结构示意图,数据共享系统100是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点101,多个节点101可以是指数据共享系统中各个客户端。每个节点101在进行正常工作可以接收到输入信息(例如交易数据、加密数据),并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
数据共享系统中的节点可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息,表1中仅以IP地址为例进行说明。
| 节点名称 | 节点标识 |
| 节点1 | 117.114.151.174 |
| 节点2 | 117.116.189.145 |
| … | … |
| 节点N | 119.123.789.258 |
区块链数据共享系统中的每个节点均存储一条相同的区块链。区块链由多个区块组成,请参见图1B,图1B是本申请实施例提供的一种区块链的结构示意图,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
在生成区块链中的各个区块时,请参见图1C,图1C是本申请实施例提供的一种生成新区块的流程示意图。区块链所在的节点在接收到输入信息时,对输入信息进行校验,完成校验后,将输入信息存储至内存池中,并更新其用于记录输入信息的哈希树;之后,将更新时间戳更新为接收到输入信息的时间,并尝试不同的随机数,多次进行特征值计算,使得计算得到的特征值可以满足下述公式(1):
SHA256(SHA256(version+prev_hash+merkle_root+ntime+nbits+x) (1)
公式(1)中,安全散列算法256(Secure Hash Algorithm256,SHA256)为计算特征值所用的特征值算法;version(版本号)为区块链中相关区块协议的版本信息;prev_hash为当前区块的父区块的区块头特征值;merkle_root为输入信息的特征值;ntime为更新时间戳的更新时间;nbits为当前难度,在一段时间内为定值,并在超出固定时间段后再次进行确定;x为随机数;TARGET为特征值阈值,该特征值阈值可以根据nbits确定得到。
这样,当计算得到满足上述公式的随机数时,便可将信息对应存储,生成区块头和区块主体,得到当前区块。随后,区块链所在节点根据区块链数据共享系统中其他节点的节点标识,将新生成的区块分别发送给其所在的区块链数据共享系统中的其他节点,由其他节点对新生成的区块进行校验,并在完成校验后将新生成的区块添加至其存储的区块链中。
需要说明的是,区块链可以分为公有链、私有链以及联盟链。其中,公有链无官方组织以及管理机构,无中心服务器,参与的节点按照系统规则自由接入网络,不受控制,节点间基于共识机制开展工作。私有链建立在一个集团内部,系统的运作规则根据集团要求进行设定,修改或者读取权限都被进行了一定的限制,同时保留着区块链的真实性和部分去中心化的特性。联盟链由若干机构联合发起,介于公有链和私有链之间,兼具部分去中心化的特性,这区快链上的读权限可能是公开的,也有可能是部分公开的,也就是说通过内部指定多个预选的节点为记账人,预选人争夺记账权限,其他接入节点可以参与交易,但不过问记账过程。本申请主要涉及的区块链为联盟链。
请参见图2,图2是本申请实施例提供的一种节点管理系统的架构示意图。该节点管理的系统架构图可以包括:授权服务器210、管理节点220、普通节点230以及记账节点240。其中,管理节点220、普通节点230以及记账节点240的数量可以为一个或者多个,图2中的数量仅用于示例,并不构成对本申请的限定。
在一种可能的实现方式中,管理节点220、普通节点230以及记账节点240之间相互建立通信连接,可以通过无线网或者有线网的方式进行通信,并且可以构成点对点(P2P,Peer To Peer)网络,本申请涉及的P2P网络具体可以为联盟链。另外,授权服务器210与管理节点220和普通节点230之间相互建立通信连接,可以通过无线网或者有线网的方式进行通信。授权服务器210可以对管理节点220进行管控,普通节点230可以通过网络从授权服务器210中获取相应的节点密钥等。
在一种可能的实现方式中,管理节点220主要职能是管理当前联盟链中的其它节点,所谓其它节点包括联盟链中除管理节点220以外的所有节点,管理节点220拥有审核认证普通节点230的节点身份以及记账节点240的节点身份、撤销普通节点230以及记账节点240、安全审计等功能。具体的,管理节点220可以为每个加入联盟链的节点生成节点密钥,其中,每个节点的节点密钥唯一。该节点密钥可用于联盟链的基本加解密操作,并且节点密钥和地址构成了节点的唯一标识,其中地址作为属性联盟链中的属性之一。同时,管理节点220可以定期变更节点类型来提高全网的安全性,比如可以定期修改记账节点的类型,将记账节点的类型改为普通节点,同理将普通节点的类型也可以变更为记账节点。这样联盟链中的节点类型永远在动态变化,这样可以很好的抵御非法分子对节点的攻击。当某个节点怀疑受到攻击后,管理节点220也可以马上修改该节点的权限,降级甚至剔除节点。需要说明的是,管理节点220只会对联盟链中节点的类型进行管理,并不会影响节点本地存储的交易数据,这样也保证了联盟链的去中心化。
在一种可能的实现方式中,授权服务器210管理数据库,该数据库中可以包含联盟链中所有节点的节点秘钥以及所有节点的节点属性,并且可以将联盟链中每个节点的节点属性与节点密钥之间进行关联存储,以使联盟链中的管理节点220、普通节点230以及记账节点240可以通过网络登录授权服务器210,从而获取相应节点自身的节点密钥。
在一种可能的实现方式中,记账节点240相当于公链中的矿工角色,可以对联盟链中任意节点发起的交易数据进行身份验证以及区块共识,具体的,记账节点240可以对当前的交易数据对应的相关信息做校验,包括校验交易签名及智能合约的正确性等要素。当区块共识通过后记账节点240将该节点发起的交易数据进行区块打包并广播该交易数据。普通节点230可以正常使用联盟链中涉及的基本功能,例如存储交易数据已经发起一笔交易数据等。
需要说明的是,本申请涉及到的授权服务器210可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。另外,管理节点220、普通节点230以及记账节点240可以是手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(MID,mobile internet device)、车辆、路边设备、飞行器、可穿戴设备,例如智能手表、智能手环、计步器等智能设备。
可以理解的是,本申请实施例描述的系统架构示意图是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
请参见图3,图3为本申请实施例提供的一种节点管理方法的流程示意图。该方法应用于联盟链网络,所述联盟链网络包括多个节点,多个节点包括管理节点、记账节点和普通节点,该方法包括但不限于如下步骤S310~S330:
步骤S310:第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个。
具体实现时,第一节点可以为联盟链中的管理节点、记账节点和普通节点中的任意一个节点,即第一节点可以为管理节点或者记账节点或者普通节点,本申请对此不作限定,第一节点获取交易数据可以是第一节点发起一笔交易,该交易可以用于联盟链中第一节点与其它节点之间进行交易,假设该交易运用于金融场景,例如第一节点可以为供应商,该供应商需要向该联盟链中的属于该供应商下属的经销商发送一笔交易数据,其中,属于该供应商下属的经销商可以为该联盟链中除去该第一节点以外的任意一个或者多个节点,经销商在联盟链中的角色可以为管理节点或者记账节点或者普通节点。
在一种可能的实现方式中,第一节点获取的交易数据也可以为第一节点接收该联盟链中的其它节点发送的交易数据。第一节点对发送该交易数据的节点的身份信息进行校验,若第一节点对发送该交易数据的节点的身份信息校验通过,则第一节点获取该节点发送的交易数据。
步骤S320:所述第一节点确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合。
在一种可能的实现方式中,第一节点从联盟链中包含的多个节点中确定目标节点,所述目标节点包括多个节点中的至少一个节点,例如目标节点为记账节点或者目标节点为普通节点或者目标节点既包含记账节点也包含普通节点。需要说明的是,在联盟链中,管理节点、记账节点和普通节点分别对应的节点数量可以为一个或者多个。
在一种可能的实现方式中,第一节点根据目标节点的属性信息确定节点属性集合,属性信息包括网络地址和配置参数中的一种或两种。其中,配置参数为联盟链中记账节点所具有的特有的记账节点属性,该记账节点属性的具体表现形式可以为配置参数,并且,配置参数的数据类型可以为数字或者字符串等,本方案对此不作限定。具体的,如果目标节点的节点类型为记账节点,记账节点对应的属性信息包括网络地址和配置参数,如果目标节点的节点类型为普通节点,普通节点对应的属性信息包括网络地址。
在一种可能的实现方式中,第一节点根据节点属性集合设置交易数据的访问权限控制策略。具体实现时,例如,第一节点设置的访问权限控制策略可以是允许指定网络地址的节点可以解密该交易数据,则第一节点确定的节点属性集合包含网络地址,例如该节点属性集合包含3个网络地址,分别为address1、address2以及address3,那么,网络地址为address1对应的节点1、网络地址为address2对应的节点2以及网络地址为address3对应的节点3为目标节点。又如,第一节点设置的访问权限控制策略还可以是允许包含配置参数的节点可以解密该交易数据,则第一节点确定的节点属性集合包含配置参数,例如该节点属性集合包含的配置参数为package_attr,则意味着在联盟链中的所有记账节点都可以作为目标节点。还如,第一节点设置的访问权限控制策略还可以是允许包含配置参数以及指定网络地址的节点可以解密该交易数据,则第一节点确定的节点属性集合包含网络地址和配置参数,例如该节点属性集合包含3个网络地址和配置参数,其中,这3个网络地址分别为address1、address2以及address3,配置参数假设为package_attr。那么,目标节点可以为联盟链中所有的记账节点以及网络地址为address1对应的普通节点1、网络地址为address2对应的普通节点2以及网络地址为address3对应的普通节点3;或者目标节点可以为联盟链中所有的记账节点中对应网络地址为address1对应的记账节点1、网络地址为address2对应的记账节点2以及网络地址为address3对应的记账节点3。
举例来说,首先,第一节点从授权服务器获取第一节点的节点密钥,假设第一节点的节点密钥为nodekey1,第一节点输入第一节点的节点密钥为nodekey1,通过随机算法,输出公开参数PK和一个主密钥MK。然后,第一节点输入交易数据m,访问权限控制策略A以及公开参数PK,通过属性加密(Attribute-Base Encryption,ABE)算法中的基于密文策略的属性加密(Ciphertext Policy Attribute Based Encryption,CP-ABE)算法,输出该交易数据m被加密后对应的加密数据E。具体的,访问权限控制策略A可以是通过与或逻辑关系进行组合成的策略,假设A可以为(“计算机学院”且“硕士”且“研二”)和(“网络实验室”或“云实验室”),需要说明的是,同一节点发起的不同交易对应该节点不同的节点密钥,即第一节点每发起一笔新的交易,第一节点需要向授权服务器申请一次节点密钥。举例来说,第一节点发起第一交易对应的第一交易数据时,第一节点从授权服务器获取到的节点密钥为nodekey1,第一节点发起第二交易对应的第二交易数据时,第一节点从授权服务器获取到的节点密钥为nodekey2。
通过这种方式设置的访问权限控制策略,根据第一节点设置的节点属性集合既可以应用于使得记账节点解密该交易数据,也可以应用于使得普通节点解密该交易数据或者应用于使得一部分记账节点与一部分普通节点解密该交易数据的场景中,可以根据第一节点自身的需求,灵活合理的根据节点属性集合设置相应的访问权限控制策略,提高了第一节点的操作效率以及交易数据的隐私性和安全性。
步骤S330:所述第一节点在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
在一种可能的实现方式中,目标节点收到加密数据后,对加密数据进行解密之后得到的交易数据进行合法性验证,若交易数据合法,则获取该交易数据。比如验证交易发起方(第一节点)地址和交易接收方(目标节点)地址是否合法以及签名是否正确。特别的,如果该交易数据为智能合约,则目标节点运行合约并检查合约的有效性,如果交易数据合法即可打包并向全网扩散并且同步。
在一种可能的实现方式中,第一节点向联盟链中广播该加密数据。联盟链中的所有节点接收来自第一节点广播的加密数据之后,这些节点将自身的属性信息Y、主密钥MK以及公开参数PK,输入随机算法,然后输出解密密钥D。若这些节点中的节点属性满足第一节点设置的访问权限控制策略,则该节点为目标节点,也只有目标节点可以解密该加密数据。然后,目标节点通过解密秘钥D对加密数据进行解密,从而目标节点可以获得交易数据m。
举例来说,假设访问权限控制策略可以为(“计算机学院”且“硕士”且“研二”)和(“网络实验室”或“云实验室”),若节点1的属性信息为(“计算机学院”且“硕士”且“研一”)和(“网络实验室”),则节点1的属性信息不能满足访问权限控制策略,则节点1不能对该加密数据进行解密得到交易数据;若节点2的属性信息为(“计算机学院”且“硕士”且“研二”)和(“网络实验室”),则节点2的属性信息满足访问权限控制策略,则节点2可以对该加密数据进行解密,从而节点2可以获取到第一节点广播的交易数据。
需要说明的是,配置参数的有效性是有时间限制,因此可以保证在配置参数过期后,旧的记账节点无法解密新的交易信息。随着记账节点对应的配置参数的过期,加密信息除了指定权限的节点可以打开之外没有任何节点可以解密。这样就永久的保护了信息的隐私。同时也带来区块信息无法回溯的问题,这个问题可以通过遍历区块头来校验交易双方的合法性和校验密文哈希的有效性来替代。
通过本申请实施例所提供的节点管理方法,第一节点可以根据自身需求,所谓自身需求是指第一节点希望联盟链中的哪些节点(目标节点)可以获取第一节点广播的交易数据,则第一节点根据目标节点对应的节点属性设置节点属性集合,从而确定交易数据的访问权限控制策略。只有节点的属性信息满足访问权限控制策略中包含的节点属性,才可以获取交易数据。第一节点可以灵活并合理的决定接收交易数据的节点,提高了交易数据的隐私安全性。并且,第一节点每发送一次交易数据,无论接收交易数据的节点的节点数量为一个还是多个,仅需要对交易数据进行一次加密操作,从而降低了联盟链中对节点管理的复杂度,并且以较小的代价完成了隐私保护。
请参见图4,图4是本申请实施例提供的另一种节点管理方法的流程示意图。应用于联盟链网络,联盟链网络包括多个节点,多个节点包括管理节点、记账节点和普通节点,该方法涉及的具体操作步骤由管理节点执行。该方法包括但不限于如下步骤S410~S440:
需要说明的是,第一节点为管理节点,第二节点为联盟链网络中除管理节点以外的其它所有节点中在线的节点。
步骤S410:第一节点接收授权服务器发送的节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议。
在一种可能的实现方式中,授权服务器可以在固定周期内给第一节点发送的节点类型变更指令,比如固定周期可以为一个月,则每经过一个月,第一节点接收授权服务器发送的节点类型变更指令,节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议。具体的,第一节点可以根据节点类型变更协议定期修改记账节点的节点类型,例如将记账节点的节点类型修改为普通节点,同理,第一节点还可以将普通节点的节点类型修改为记账节点。需要说明的是,针对每次节点类型的更新,授权服务器都会重新生成主公钥和各个节点对应的私钥。
在一种可能的实现方式中,节点类型变更协议的数据部分可以使用CP-ABE属性加密算法隐藏协议明文,并将加密后的节点类型变更协议广播到联盟链网络中。其中,将节点类型变更协议通过CP-ABE属性加密算法进行加密,可以由第一节点指定该联盟链网络中的节点进行节点类型变更。具体的,第一节点可以设置节点变更权限控制策略,并根据节点变更权限控制策略对节点类型变更协议进行加密,以生成节点类型变更协议对应的加密协议。需要说明的是,该场景为图3实施例涉及的一个具体应用场景,第一节点的具体操作步骤详细可以参见图3实施例中第一节点的操作步骤,本申请在此不再赘述。
步骤S420:第一节点获取所述联盟链网络中在线节点的数量。
举例来说,在联盟链网络中,获取所有节点中在线节点的数量,假设该联盟链网络中在线的节点有记账节点a、记账节点b、记账节点c、普通节点d、普通节点e以及普通节点f,则第一节点获取到的在线节点的数量为6。
步骤S430:第一节点获取数量阈值,并将在线节点的数量于数量阈值进行比较。
举例来说,第一节点将获取到的在线节点的数量与数量阈值进行比较,若在线节点的数量小于数量阈值,说明此次上线节点不够,则放弃本次节点类型的更新,只有当在线节点的数量达到大于或者等于数量阈值时,第一节点对联盟链网络中的节点类型的更新才能完成。
步骤S440:当所述在线节点的数量达到数量阈值时,所述第一节点向所述在线节点发送所述节点类型变更指令。
具体实现时,节点类型变更指令用于指示在线节点从节点类型变更协议中获取自身的类型变更信息,并根据自身的类型变更信息更新自身的节点类型配置文件。
在一种可能的实现方式中,第二节点(即在线节点)接收来自第一节点发送的节点类型变更指令,第二节点从节点类型变更指令中获取第二节点的类型变更信息,所述类型变更信息可以为指示第二节点变更第二节点的节点类型,具体为第二节点根据第二节点的类型变更信息更新第二节点的节点类型配置文件。假如第二节点的节点类型为记账节点,则第二节点的类型变更信息可以为将记账节点变更为普通节点,那么,第二节点根据类型变更信息,可以将自身的节点类型由记账节点变为普通节点。
举例来说,第二节点可以通过执行密钥传输协议向授权服务器发起更新密钥请求,更新密钥请求用于指示授权服务器生成第二节点更新后的密钥;授权服务器收到第二节点发送的密钥传输请求后,授权服务器将最新生成的第二节点的节点密钥通过密钥传输协议发送至第二节点,第二节点接收授权服务器发送的最新的节点密钥,并将最新的密钥进行本地存储。
通过这种方式,授权服务器可以定期对联盟链网络中的节点的节点类型进行变更,使得联盟链网络中的所有节点的节点身份信息处于动态变化中,这样可以使得该联盟链网络能够很好的抵御恶意节点的攻击,从而提高联盟链网络的安全性。
在一种可能的实现方式中,若未到达固定的更新周期,某个节点遭受到恶意攻击或者由于节点自身的设备故障导致该节点处于工作异常状态,则此时第一节点可以获取该工作异常的节点(第二节点),第一节点确定第二节点的权限更新策略,并根据权限更新策略调整第二节点的权限,权限更新策略包括变更节点类型、调整节点权限级别和从联盟链网络中剔除中的一种或多种。
举例来说,假设权限更新策略包括变更节点类型,首先,第一节点向授权服务器发送节点类型变更请求,节点类型变更请求用于指示授权服务器生成第二节点的类型变更信息;然后,第一节点向第二节点发送第二节点的类型变更信息,第二节点接收第二节点的类型变更信息之后,第二节点根据第二节点的类型变更信息更新自身的节点类型配置文件。
举例来说,假设权限更新策略包括调整节点权限级别,具体可以降低第二节点的节点权限级别,若第二节点的节点权限为记账节点权限,则将第二节点的节点权限级别降低为普通节点权限级别,若第二节点的节点权限为普通节点权限,则将第二节点的节点权限级别降低为只能获取数据的节点权限。
通过这种方式,可以实时的监控联盟链中的所有节点的工作状态,只要发现工作状态为工作异常的第二节点,则第一节点将该第二节点进行变更节点类型,或者降低第二节点的节点权限级别,甚至从联盟链网络中剔除第二节点。从而及时处理工作异常的节点,保障了联盟链网络的安全性,降低风险。
请参见图5,图5是本申请实施例提供的另一种节点管理方法的流程示意图。应用于联盟链网络,联盟链网络包括多个节点,多个节点包括管理节点、记账节点和普通节点,该方法涉及的具体操作步骤由管理节点执行。该方法包括但不限于如下步骤S510~S560:
需要说明的是,第一节点为管理节点,第二节点为记账节点。
步骤S510:第一节点接收授权服务器发送的节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议。
步骤S520:第一节点获取所述联盟链网络中在线节点的数量。
步骤S530:第一节点获取数量阈值,并将在线节点的数量于数量阈值进行比较。
步骤S540:当所述在线节点的数量达到数量阈值时,所述第一节点向所述在线节点发送所述节点类型变更指令。
需要说明的是,本申请实施例中步骤S510~步骤S540第一节点所涉及的具体操作步骤详细可参见图4实施例中步骤S410~步骤S440第一节点所涉及到的操作,本申请在此不再赘述。
步骤S550:第一节点随机生成字符串,并将字符串作为记账节点的配置参数。
具体实现时,第一节点向在线节点发送节点类型变更指令之后,第一节点通过随机函数随机生成数字或者字符串package_attr,将随机生成的数字或者字符串package_attr作为记账节点的配置参数。例如,package_attr为数字1,则第一节点将1作为记账节点的配置参数。
步骤S560:第一节点通过加密信道发送配置参数。
具体实现时,第一节点通过加密信道将配置参数package_attr发送至联盟链网络中的记账节点,其中,分发通道采用加密信道,可以避免package_attr泄漏。记账节点接收到第一节点发送的配置参数package_attr后,记账节点将配置参数package_attr添加到自身的属性配置文件中。
在一种可能的实现方式中,为了确保没有节点欺骗或者泄露信息,第一节点在一定时间段内会对交易做审计工作,其中,审计的内容包括:向节点发送配置参数package_attr的记账节点是否为合法节点,即对节点的身份信息进行校验,若对节点的身份信息校验通过,则证明该节点为合法节点;任意节点发起交易对应的交易数据是否存在异常等,所谓交易数据是否异常是指该交易数据是否合法以及安全等。通过这种方式,第一节点定期对联盟链网络中的节点进行安全审计,可以实时监控联盟链网络中的交易数据以及所有节点的工作状态,进一步提高了联盟链网络的安全性。
请参见图6,图6是本申请实施例提供的另一种节点管理方法的流程示意图。应用于联盟链网络,联盟链网络包括多个节点,多个节点包括管理节点、记账节点和普通节点,该方法涉及的具体操作步骤由管理节点执行。该方法包括但不限于如下步骤S610~S660:
步骤S610:获取节点加入请求。
具体实现时,第三节点(新节点)向联盟链网络发送节点加入请求,节点加入请求包括封装申请协议,封装申请协议是由第三节点通过第三节点的公钥对申请协议进行封装后得到的。管理节点接收来自第三节点发送的节点加入请求。
步骤S620:对所述节点加入请求进行联盟链共识。
在一种可能的实现方式中,节点加入请求包括第三节点的身份标识,管理节点接收来自第三节点发送的节点加入请求之后,管理节点邀请联盟链网络中具有授权功能的节点参与联盟链共识。其中,具有授权功能的节点为管理节点,管理节点将该节点加入请求发送给联盟链网络中的多个第二管理节点,联盟链网络中的多个第二管理节点接收管理节点发送的节点加入请求之后,对第三节点的身份标识进行校验,得到多个校验结果,需要说明的是,不管校验结果为通过或者未通过,联盟链网络中的各个第二管理节点均可以向管理节点发送节点加入请求的校验结果。其中,来自联盟链网络中的各个管理节点的交易数据校验响应所包含的针对交易数据的校验结果可以是相互独立的,即各个管理节点针对交易数据进行的校验过程可以是不受其他管理节点影响的。例如,来自一个管理节点的交易数据校验结果可以是校验通过,来自另一个管理节点的交易数据校验结果可以是校验未通过。管理节点获取多个第二管理节点发送的多个校验结果,以及管理节点获取预设阈值,管理节点根据预设阈值与多个校验结果确定对节点加入请求的共识结果。其中,预设阈值的可以有多种参数形式,如正整数、或者百分比。
步骤S630:返回共识结果。
在一种可能的实现方式中,管理节点根据预设阈值与多个校验结果确定对节点加入请求的共识结果,具体可以包括:假设预设阈值为10,第二管理节点为15,15个第二管理节点对应的15个校验结果中有12个校验结果为校验通过,则管理节点确定校验通过的节点数量大于预设阈值,管理节点确定对节点加入请求的联盟链共识结果为共识通过,则区块链将该共识结果广播至联盟链网络。
步骤S640:为所述第三节点生成目标节点密钥。
具体实现时,管理节点为新加入联盟链网络的第三节点生成相应的节点密钥,其中,每个节点的节点密钥唯一,并且节点密钥可以用于联盟链的基本加解密操作,节点密钥和地址构成了节点的唯一标识。
步骤S650:发送加密后的目标节点密钥。
具体实现时,管理节点获取第三节点的公钥,通过第三节点的公钥为第三节点的节点密钥进行加密,得到加密后的目标节点密钥,并将加密后的目标节点密钥发送至授权服务器。
步骤S660:授权服务器进行本地存储。
具体实现时,授权服务器接收管理节点发送的针对第三节点的加密后的目标节点密钥,授权服务器对目标节点密钥进行本地存储,其中,授权服务器可以将第三节点的身份标识与目标节点密钥进行关联存储。后续,第三节点可以通过第三节点的身份标识登录授权服务器获取第三节点的目标节点密钥。
请参见图7,图7是本申请实施例提供的一种节点管理装置的结构示意图。如图7所示,节点管理装置可以应用于上述图3~图6对应的方法实施例中第一节点,具体的,节点管理装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该节点管理装置为一个应用软件;该节点管理装置可以用于执行本申请实施例提供的方法中的相应步骤。该节点管理装置可包括:
获取单元710,用于第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
处理单元720,用于确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
广播单元730,用于在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
在一种可能的实现方式中,处理单元720确定所述交易数据的访问权限控制策略,包括:
所述第一节点从所述多个节点中确定目标节点,所述目标节点包括所述多个节点中的至少一个节点;
所述第一节点根据所述目标节点的属性信息确定节点属性集合,所述属性信息包括网络地址和配置参数中的一种或两种;
所述第一节点根据所述节点属性集合设置所述交易数据的访问权限控制策略。
在一种可能的实现方式中,对于所述目标节点包括的记账节点,对应的属性信息包括网络地址和配置参数中的一种或两种;
对于所述目标节点包括的普通节点,对应的属性信息包括网络地址。
在一种可能的实现方式中,该节点管理装置还包括接收单元740。
接收单元740,用于接收授权服务器发送的节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
获取单元710获取所述联盟链网络中在线节点的数量;
当所述在线节点的数量达到数量阈值时,广播单元730向所述在线节点发送所述节点类型变更指令,所述节点类型变更指令用于指示所述在线节点从所述节点类型变更协议中获取自身的类型变更信息,并根据所述自身的类型变更信息更新自身的节点类型配置文件。
在一种可能的实现方式中,该节点管理装置还包括调整单元750。
调整单元750,用于在获取单元710获取工作异常的第二节点之后,确定所述第二节点的权限更新策略,并根据所述权限更新策略调整所述第二节点的权限,所述权限更新策略包括变更节点类型、调整节点权限级别和从所述联盟链网络中剔除中的一种或多种。
在一种可能的实现方式中,权限更新策略包括所述变更节点类型,调整单元750根据所述权限更新策略调整所述第二节点的权限,包括:
向所述授权服务器发送节点类型变更请求,所述节点类型变更请求用于指示所述授权服务器生成所述第二节点的类型变更信息;
向所述第二节点发送所述第二节点的类型变更信息,以使所述第二节点根据所述第二节点的类型变更信息更新自身的节点类型配置文件。
在一种可能的实现方式中,广播单元730向所述在线节点发送所述节点类型变更指令之后,所述方法还包括:
随机生成字符串,并将所述字符串作为记账节点的配置参数;
通过加密信道将所述配置参数发送至所述联盟链网络中的记账节点,以使所述记账节点将所述配置参数添加到自身的属性配置文件中。
在一种可能的实现方式中,接收单元740接收所述管理节点发送的所述节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
处理单元720响应所述节点类型变更指令从所述节点类型变更协议中获取自身的属性变更信息,并根据所述自身的属性变更信息更新自身的节点类型配置文件;
广播单元730向授权服务器发送更新密钥请求,所述更新密钥请求用于指示所述授权服务器生成所述第一节点更新后的密钥;
接收单元740接收所述授权服务器发送的所述更新后的密钥。
通过本申请实施例提供的节点管理装置,联盟链中的任意节点通过节点属性集合确定交易数据的访问权限控制策略,根据访问权限控制策略对交易数据进行加密,只有访问权限控制策略中指定的目标节点能够解密加密数据,提高了对交易数据的隐私保护,进一步地,不管目标节点数量为多少,只需对交易数据加密一次,并将加密后的加密数据广播到联盟链中,提高了节点的处理效率,从而降低了对节点管理的复杂度。
请参见图8,图8是本申请实施例提供的一种电子设备的结构示意图,该电子设备可以为上述图3~图6对应的方法实施例中的第一节点。该电子设备包括:一个或多个处理器810;一个或多个输入设备820,一个或多个输出设备830和存储器840。上述处理器810、输入设备820、输出设备830和存储器840通过总线850连接。存储器820用于存储计算机程序,所述计算机程序包括程序指令,处理器810用于执行存储器840存储的程序指令,执行以下操作:
第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
在一种可能的实现方式中,处理器810确定所述交易数据的访问权限控制策略,包括:
所述第一节点从所述多个节点中确定目标节点,所述目标节点包括所述多个节点中的至少一个节点;
所述第一节点根据所述目标节点的属性信息确定节点属性集合,所述属性信息包括网络地址和配置参数中的一种或两种;
所述第一节点根据所述节点属性集合设置所述交易数据的访问权限控制策略。
在一种可能的实现方式中,对于所述目标节点包括的记账节点,对应的属性信息包括网络地址和配置参数中的一种或两种;
对于所述目标节点包括的普通节点,对应的属性信息包括网络地址。
在一种可能的实现方式中,第一节点为所述管理节点,处理器810还用于执行以下操作:
接收授权服务器发送的节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
获取所述联盟链网络中在线节点的数量;
当所述在线节点的数量达到数量阈值时,向所述在线节点发送所述节点类型变更指令,所述节点类型变更指令用于指示所述在线节点从所述节点类型变更协议中获取自身的类型变更信息,并根据所述自身的类型变更信息更新自身的节点类型配置文件。
在一种可能的实现方式中,处理器810还用于执行以下操作:
获取工作异常的第二节点;
确定所述第二节点的权限更新策略,并根据所述权限更新策略调整所述第二节点的权限,所述权限更新策略包括变更节点类型、调整节点权限级别和从所述联盟链网络中剔除中的一种或多种。
在一种可能的实现方式中,权限更新策略包括所述变更节点类型,处理器810根据所述权限更新策略调整所述第二节点的权限,包括:
向所述授权服务器发送节点类型变更请求,所述节点类型变更请求用于指示所述授权服务器生成所述第二节点的类型变更信息;
向所述第二节点发送所述第二节点的类型变更信息,以使所述第二节点根据所述第二节点的类型变更信息更新自身的节点类型配置文件。
在一种可能的实现方式中,向所述在线节点发送所述节点类型变更指令之后,处理器810还用于执行以下操作:
随机生成字符串,并将所述字符串作为记账节点的配置参数;
通过加密信道将所述配置参数发送至所述联盟链网络中的记账节点,以使所述记账节点将所述配置参数添加到自身的属性配置文件中。
在一种可能的实现方式中,第一节点为所述普通节点,处理器810还用于执行以下操作:
接收所述管理节点发送的所述节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
响应所述节点类型变更指令从所述节点类型变更协议中获取自身的属性变更信息,并根据所述自身的属性变更信息更新自身的节点类型配置文件;
向授权服务器发送更新密钥请求,所述更新密钥请求用于指示所述授权服务器生成所述第一节点更新后的密钥;
接收所述授权服务器发送的所述更新后的密钥。
通过本申请实施例提供的电子设备,联盟链中的任意节点通过节点属性集合确定交易数据的访问权限控制策略,根据访问权限控制策略对交易数据进行加密,只有访问权限控制策略中指定的目标节点能够解密加密数据,提高了对交易数据的隐私保护,进一步地,不管目标节点数量为多少,只需对交易数据加密一次,并将加密后的加密数据广播到联盟链中,提高了节点的处理效率,从而降低了对节点管理的复杂度。
本发明实施例中还提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述节点管理方法所涉及的操作。
本发明实施例中还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时,可执行上述实施例中电子设备所执行的方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述节点管理方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccess Memory,RAM)等。
以上所揭露的仅为本发明的部分实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种节点管理方法,其特征在于,应用于联盟链网络,所述联盟链网络包括多个节点,所述多个节点包括管理节点、记账节点和普通节点,所述方法包括:
第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
所述第一节点确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
所述第一节点在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
2.根据权利要求1所述的方法,其特征在于,所述第一节点确定所述交易数据的访问权限控制策略,包括:
所述第一节点从所述多个节点中确定目标节点,所述目标节点包括所述多个节点中的至少一个节点;
所述第一节点根据所述目标节点的属性信息确定节点属性集合,所述属性信息包括网络地址和配置参数中的一种或两种;
所述第一节点根据所述节点属性集合设置所述交易数据的访问权限控制策略。
3.根据权利要求2所述的方法,其特征在于,
对于所述目标节点包括的记账节点,对应的属性信息包括网络地址和配置参数中的一种或两种;
对于所述目标节点包括的普通节点,对应的属性信息包括网络地址。
4.根据权利要求1~3中任一项所述的方法,其特征在于,所述第一节点为所述管理节点,所述方法还包括:
所述第一节点接收授权服务器发送的节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
所述第一节点获取所述联盟链网络中在线节点的数量;
当所述在线节点的数量达到数量阈值时,所述第一节点向所述在线节点发送所述节点类型变更指令,所述节点类型变更指令用于指示所述在线节点从所述节点类型变更协议中获取自身的类型变更信息,并根据所述自身的类型变更信息更新自身的节点类型配置文件。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述第一节点获取工作异常的第二节点;
所述第一节点确定所述第二节点的权限更新策略,并根据所述权限更新策略调整所述第二节点的权限,所述权限更新策略包括变更节点类型、调整节点权限级别和从所述联盟链网络中剔除中的一种或多种。
6.根据权利要求5所述的方法,其特征在于,所述权限更新策略包括所述变更节点类型,所述根据所述权限更新策略调整所述第二节点的权限,包括:
所述第一节点向所述授权服务器发送节点类型变更请求,所述节点类型变更请求用于指示所述授权服务器生成所述第二节点的类型变更信息;
所述第一节点向所述第二节点发送所述第二节点的类型变更信息,以使所述第二节点根据所述第二节点的类型变更信息更新自身的节点类型配置文件。
7.根据权利要求4所述的方法,其特征在于,所述第一节点向所述在线节点发送所述节点类型变更指令之后,所述方法还包括:
所述第一节点随机生成字符串,并将所述字符串作为记账节点的配置参数;
所述第一节点通过加密信道将所述配置参数发送至所述联盟链网络中的记账节点,以使所述记账节点将所述配置参数添加到自身的属性配置文件中。
8.根据权利要求1所述的方法,其特征在于,所述第一节点为所述普通节点,所述方法还包括:
所述第一节点接收所述管理节点发送的所述节点类型变更指令,所述节点类型变更指令携带有包括各个节点的类型变更信息的节点类型变更协议;
所述第一节点响应所述节点类型变更指令从所述节点类型变更协议中获取自身的属性变更信息,并根据所述自身的属性变更信息更新自身的节点类型配置文件;
所述第一节点向授权服务器发送更新密钥请求,所述更新密钥请求用于指示所述授权服务器生成所述第一节点更新后的密钥;
所述第一节点接收所述授权服务器发送的所述更新后的密钥。
9.一种节点管理装置,其特征在于,包括:
获取单元,用于第一节点获取交易数据,所述第一节点为所述多个节点中的任意一个;
处理单元,用于所述第一节点确定所述交易数据的访问权限控制策略,并根据所述访问权限控制策略对所述交易数据进行加密,以生成所述交易数据对应的加密数据,所述访问权限控制策略包括所述多个节点中目标节点的节点属性集合;
广播单元,用于所述第一节点在所述联盟链网络中广播所述加密数据,以使所述目标节点在接收到所述加密数据后,利用自身的属性信息对所述加密数据进行解密后得到所述交易数据。
10.一种电子设备,其特征在于,包括存储器以及处理器,所述存储器存储一组程序代码,所述处理器调用所述存储器中存储的程序代码,用于执行1-8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011006346.4A CN112152778B (zh) | 2020-09-22 | 2020-09-22 | 一种节点管理方法、装置、及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011006346.4A CN112152778B (zh) | 2020-09-22 | 2020-09-22 | 一种节点管理方法、装置、及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112152778A true CN112152778A (zh) | 2020-12-29 |
| CN112152778B CN112152778B (zh) | 2022-03-15 |
Family
ID=73897709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011006346.4A Active CN112152778B (zh) | 2020-09-22 | 2020-09-22 | 一种节点管理方法、装置、及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112152778B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818379A (zh) * | 2021-01-11 | 2021-05-18 | 北京信息科技大学 | 一种基于区块链的航空重力数据安全访问控制方法及系统 |
| CN112839092A (zh) * | 2021-01-11 | 2021-05-25 | 北京信息科技大学 | 一种基于区块链的数据共享系统 |
| CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN116523171A (zh) * | 2023-07-03 | 2023-08-01 | 成都智慧企业发展研究院有限公司 | 一种基于全生命周期管理的数据资产管理方法及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106503994A (zh) * | 2016-11-02 | 2017-03-15 | 西安电子科技大学 | 基于属性加密的区块链隐私数据访问控制方法 |
| CN108898475A (zh) * | 2018-05-08 | 2018-11-27 | 众安信息技术服务有限公司 | 基于属性加密的联盟区块链实现信贷方法及系统 |
| CN109450856A (zh) * | 2018-10-12 | 2019-03-08 | 西安电子科技大学 | 基于区块链的数据链信息流转控制系统及方法 |
| CN109743168A (zh) * | 2019-01-10 | 2019-05-10 | 四川虹微技术有限公司 | 一种联盟链资源共享方法、装置及其存储介质 |
| US20190179951A1 (en) * | 2017-12-08 | 2019-06-13 | International Business Machines Corporation | Distributed match and association of entity key-value attribute pairs |
| CN111010382A (zh) * | 2019-09-12 | 2020-04-14 | 腾讯科技(深圳)有限公司 | 在区块链网络中处理数据请求的方法和装置 |
| CN111181719A (zh) * | 2019-12-30 | 2020-05-19 | 山东师范大学 | 云环境下基于属性加密的分层访问控制方法及系统 |
| CN111414634A (zh) * | 2020-03-18 | 2020-07-14 | 联想(北京)有限公司 | 一种信息处理方法及装置 |
| CN111553686A (zh) * | 2020-04-27 | 2020-08-18 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
| CN111598695A (zh) * | 2020-05-18 | 2020-08-28 | 国网电子商务有限公司 | 一种区块链数据访问方法及装置 |
| CN111625869A (zh) * | 2020-04-23 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 数据处理方法及数据处理装置 |
| CN111654465A (zh) * | 2020-04-17 | 2020-09-11 | 全球能源互联网研究院有限公司 | 一种基于区块链的电力业务跨域可信认证系统及方法 |
-
2020
- 2020-09-22 CN CN202011006346.4A patent/CN112152778B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106503994A (zh) * | 2016-11-02 | 2017-03-15 | 西安电子科技大学 | 基于属性加密的区块链隐私数据访问控制方法 |
| US20190179951A1 (en) * | 2017-12-08 | 2019-06-13 | International Business Machines Corporation | Distributed match and association of entity key-value attribute pairs |
| CN108898475A (zh) * | 2018-05-08 | 2018-11-27 | 众安信息技术服务有限公司 | 基于属性加密的联盟区块链实现信贷方法及系统 |
| CN109450856A (zh) * | 2018-10-12 | 2019-03-08 | 西安电子科技大学 | 基于区块链的数据链信息流转控制系统及方法 |
| CN109743168A (zh) * | 2019-01-10 | 2019-05-10 | 四川虹微技术有限公司 | 一种联盟链资源共享方法、装置及其存储介质 |
| CN111010382A (zh) * | 2019-09-12 | 2020-04-14 | 腾讯科技(深圳)有限公司 | 在区块链网络中处理数据请求的方法和装置 |
| CN111181719A (zh) * | 2019-12-30 | 2020-05-19 | 山东师范大学 | 云环境下基于属性加密的分层访问控制方法及系统 |
| CN111414634A (zh) * | 2020-03-18 | 2020-07-14 | 联想(北京)有限公司 | 一种信息处理方法及装置 |
| CN111654465A (zh) * | 2020-04-17 | 2020-09-11 | 全球能源互联网研究院有限公司 | 一种基于区块链的电力业务跨域可信认证系统及方法 |
| CN111625869A (zh) * | 2020-04-23 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 数据处理方法及数据处理装置 |
| CN111553686A (zh) * | 2020-04-27 | 2020-08-18 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
| CN111598695A (zh) * | 2020-05-18 | 2020-08-28 | 国网电子商务有限公司 | 一种区块链数据访问方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818379A (zh) * | 2021-01-11 | 2021-05-18 | 北京信息科技大学 | 一种基于区块链的航空重力数据安全访问控制方法及系统 |
| CN112839092A (zh) * | 2021-01-11 | 2021-05-25 | 北京信息科技大学 | 一种基于区块链的数据共享系统 |
| CN112818379B (zh) * | 2021-01-11 | 2023-04-25 | 北京信息科技大学 | 一种基于区块链的航空重力数据安全访问控制方法及系统 |
| CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN116523171A (zh) * | 2023-07-03 | 2023-08-01 | 成都智慧企业发展研究院有限公司 | 一种基于全生命周期管理的数据资产管理方法及系统 |
| CN116523171B (zh) * | 2023-07-03 | 2023-08-29 | 成都智慧企业发展研究院有限公司 | 一种基于全生命周期管理的数据资产管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112152778B (zh) | 2022-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4120114A1 (en) | Data processing method and apparatus, smart device and storage medium | |
| CN107231351B (zh) | 电子证件的管理方法及相关设备 | |
| CN112152778B (zh) | 一种节点管理方法、装置、及电子设备 | |
| CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| US7516326B2 (en) | Authentication system and method | |
| Chai et al. | CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles | |
| US20230316273A1 (en) | Data processing method and apparatus, computer device, and storage medium | |
| EP4216077A1 (en) | Blockchain network-based method and apparatus for data processing, and computer device | |
| CN113328997B (zh) | 联盟链跨链系统及方法 | |
| CN110149323B (zh) | 一种具有千万级tps合约处理能力的处理装置 | |
| CN113360925A (zh) | 电力信息物理系统中可信数据的存储和访问方法及系统 | |
| CN101969377A (zh) | 零知识身份认证方法和系统 | |
| CN114139203B (zh) | 基于区块链的异构身份联盟风险评估系统、方法及终端 | |
| CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
| CN111683090A (zh) | 一种基于分布式存储的区块链数字签名方法及装置 | |
| CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
| WO2020016480A1 (en) | Electronic device update management | |
| EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
| Jamal et al. | Reliable access control for mobile cloud computing (MCC) with cache-aware scheduling | |
| CN115883154A (zh) | 访问凭证的颁发方法、基于区块链的数据访问方法及装置 | |
| CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
| CN113691376B (zh) | 一种密钥管理方法及装置 | |
| Hegde et al. | Secure group key management scheme for dynamic vehicular cloud computing | |
| CN113746916A (zh) | 基于区块链的第三方服务提供方法、系统及相关节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |