CN115766017A - 一种基于权益证明的电力区块链云端部署方法及装置 - Google Patents

Abstract

本发明提供了一种基于权益证明的电力区块链云端部署方法及装置，涉及区块链的技术领域，发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；对交易结构进行打包以生成数据模块，并对验证节点进行领导选举，选举出来的验证节点对所述数据模块进行验证以生成区块。本发明提供的方法及装置可以缓解现有技术中单点故障、不可信第三方、恶意内部人员、数据不可控等技术问题，提高区块链在云端应用的范围，以及可扩展性。

Description

一种基于权益证明的电力区块链云端部署方法及装置

技术领域

本发明涉及区块链技术领域，尤其涉及一种基于权益证明的电力区块链云端部署方法及装置。

背景技术

数字加密货币以及去中心化计算架构等区块链技术的提出，为电力审计、电能计量装置检定技术、电力交易等领域提供了新的方向，但现有信任机制带来了诸多安全问题：单点故障、不可信第三方、恶意内部人员、数据不可控等，已经不能满足当前互联网技术对认证和授权提出的安全需求。特别是在云环境下，需要一个完整的、可靠的、安全且高可用的应用解决方案。

发明内容

第一方面，本发明提供了一种基于权益证明的电力区块链云端部署方法，应用于服务端，所述服务端包括溯源服务节点、验证节点以及交易结构，

所述方法具体包括如下步骤：

发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

选举出来的验证节点对所述数据模块进行验证，以生成区块。

优选的，所述交易结构表示交易的数据。

优选的对所对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举的步骤包括：

对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

基于所述验证节点的云资源总量，以对所述验证节点进行选举。

优选的,所述对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证以获取所述验证节点的云资源总量的步骤包括：

采用如下公式获云资源总量：

—云资源占用量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_{k∈{1，2，3}}0_k＝1。

优选的,所述基于所述验证节点的云资源总量，以对所述验证节点进行选举的步骤包括；

采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙；

k—第k个时隙。

优选的，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议。

优选的，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello为用来建立安全传输信道的加密算法参数；

发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经加密后发送至客户端，客户端使用对称密钥对数据进行解密。

优选的，选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

所述验证节点利用共识算法对所述溯源数据的完整性进行验证，即数据模块采用签名认证。

优选的，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

所述电力区块链收到所述OTP参数进行认证，若认证成功则进行同步。

优选的，所述方法还包括：

获取验证节点的激励总量并对所述验证节点采用激励机制，所述激励机制设计为所述验证节点在每个时隙中保持相同的激励总量；

具体采用如下公式计算激励总量：

R_z＝{R_t+1，……R_t+z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

另一方面，本发明提供了一种基于权益证明的电力区块链云端部署装置，应用于服务端，所述服务端包括溯源服务节点、验证节点以及交易结构，包括：

信息发送模块：用于发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

领导选举模块：用于对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

区块生成模块：用于选举出来的验证节点对所述数据模块进行验证以生成区块。

优选的，所述交易结构表示交易的数据。

优选的,所述领导选举模块包括：

云资源总量获取单元：用于对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

选举单元：用于基于所述验证节点的云资源总量，以对所述验证节点进行选举。

优选的,云资源总量获取单元：采用如下公式获云资源总量：

—云资源占用量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_{k∈{1，2，3}}ω_k＝1。

优选的,所述选举单元：采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙；

k—第k个时隙。

优选的，所述区块生成模块：用于所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议。

优选的，所述区块生成模块包括数据获取单元、数据返回单元、证书验证单元以及解密单元；

数据获取单元：用于获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

数据返回单元：用于响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello为用来建立安全传输信道的加密算法参数；

证书验证单元：用于发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

解密单元：用于发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经加密后发送至客户端，客户端使用对称密钥对数据进行解密。

优选的，所述区块生成模块：用于所述验证节点利用共识算法对所述溯源数据的完整性进行验证，即数据模块采用签名认证。

优选的，所述区块生成模块包括密钥生成单元、OTP参数生成单元以及验证及同步单元；

密钥生成单元：用于获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

OTP参数生成单元：用于基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

验证及同步单元：用于所述电力区块链收到所述OTP参数进行认证，若认证成功则进行同步。

优选的，所述装置还包括：

激励模块：用于获取验证节点的激励总量并对所述验证节点采用激励机制，所述激励机制设计为所述验证节点在每个时隙中保持相同的激励总量；

具体采用如下公式计算激励总量：

R_z＝{R_t+1，……R_t+z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

本发明实施例带来了以下有益效果：本发明的方法包括本发明提供了一种基于权益证明的电力区块链云端部署方法及装置，涉及区块链的技术领域，发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据可以被转为区块链结构中的交易结构来交由验证节点进行查询和验证；对交易结构进行打包以生成数据模块，并对验证节点进行领导选举，选举出来的验证节点对所述数据模块进行验证以生成区块，本发明的装置用于实现上述方法。

本发明提供的方法及装置可以缓解现有技术中单点故障、不可信第三方、恶意内部人员、数据不可控等技术问题，提高区块链在云端应用的范围，以及可扩展性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于权益证明的电力区块链云端部署方法的流程图；

图2为本发明实施例提供的一种基于权益证明的电力区块链云端部署方法的握手认证结构图；

图3为本发明实施例提供的一种基于权益证明的电力区块链云端部署方法的签名认证流程图；

图4为本发明实施例提供的一种基于权益证明的电力区块链云端部署方法的共识算法流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，现有信任机制带来了诸多安全问题：单点故障、不可信第三方、恶意内部人员、数据不可控等，已经不能满足当前互联网技术对认证和授权提出的安全需求，基于此，本发明实施例提供的一种基于权益证明的电力区块链云端部署方法，可以缓解现有技术中单点故障、不可信第三方、恶意内部人员、数据不可控等技术问题，提高区块链在云端应用的范围，以及可扩展性。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种基于权益证明的电力区块链云端部署方法进行详细介绍。

实施例一：

结合图1，本发明实施例一提供了一种基于权益证明的电力区块链云端部署方法，其中，所述电力区块链的架构包括参与者以及验证节点。

进一步的，每个用户的文件访问行为都可以抽象为该文件的溯源数据，该溯源数据可以被转为区块链结构中的交易结构来交由验证节进行查询和验证。

验证节点按照区块链结构中规定的区块的产生方法，进行区块结构的组织和构建，并且在构建区块时对原始的溯源数据进行完整性验证。溯源数据审计服务将对每一条溯源记录的完整性验证结果进行实时的更新，并向提出访问请求的用户反馈请求结果。

本发明实施例一所提供的方法具体包括如下步骤：

所述方法具体包括如下步骤：

S1：发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据可以被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

进一步的，所述交易结构表示交易的数据；

S2：对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

S3：选举出来的验证节点对所述数据模块进行验证，以生成区块。

在本发明提供的实施例中，验证节点按照区块链结构中规定的区块的产生方法，进行区块结构的组织和构建，并且在构建区块时对原始的溯源数据进行完整性验证。

实施例二：

结合图4，本发明实施例二对前述实施例一的对所述交易结构进行打包，并对所述验证节点进行领导选举，选举出来的验证节点对所述数据模块进行验证以生成区块进行了具体阐述：

具体包括如下步骤：

S201：对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

在本发明提供实施例中，具体采用如下公式获云资源总量：

—云资源总量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_{k∈{1，2，3}}ω_k＝1。

进一步的，在共识机制的权益认证过程中，用户将无法对所配置的云资源进行访问，直到该验证节点退出当前的共识机制，即转为离线状态，才可以重新获得对该部分资源的控制和使用权。验证节点对该部分资源的配置需要向其他验证节点进行证明，以便其他节点对其进行参与共识机制的合法性以及权益的验证。

对每一个验证节点，当参与该共识机制时，将启动一个云服务虚拟机，该虚拟机的资源配置即为该验证节点为参与云存储服务共识机制而分配的资源配置，即对验证节点validator来说，该虚拟机的资源配置即为

为了保证在共识机制的过程中，该虚拟机的正常资源配置，对该虚拟机的访问需要一个共享秘钥来启动。为了防止验证节点的恶意行为，这里引入云存储服务商，仅仅作为对该共享秘钥的维护者。因此，在虚拟机的创建过程中，进行以下的形式化描述：

其中，SS即为该共享秘钥，由云存储服务商与验证节点共同协商产生。该虚拟机的创建过程的输出即为一个验证节点的签名，以及交易的I D。这两个参数在公司级机制的权益验证过程中是需要的，用来保证验证节点在被选为领导之后的状态的合法性(资源配置的有效性)。通过周期性的检测这两个参数的有效性，来确保该验证节点所配置的云服务资源被一个正在运行的虚拟节点所有。当可配置的云资源实例化之后，该配置交易的确认信息和签名将会被包含在一个区块中，以便更新区块链网络的系统状态以及其他验证节点对于该虚拟节点的真实性进行验证。

需要按说明的是：用户的权益初始化阶段，可以类比为以太坊中的货币初始化持有阶段，即每个参与者都拥有不同数量的数字货币。但是，每个用户所拥有的云权益，以及该用户作为验证节点的属性，取决于该用户在该云平台中参与的活跃程度和在线时长。在云计算环境下，用户的权益初始化既取决于当前的资源占用率，也取决于用户对云资源的持续需求能力。

所述对参与者权益进行初始化的步骤包括：

采用如下公式获取验证节点的云资源占用情况：

R_i—当前条件下的资源占用量；

—当前条件下的CPU片数；

—当前条件下的存储容量；

—当前条件下的数据传输速率；

采用如下公式获取参与共识机制的云资源总量：

—云资源总量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

这里引入一个浮动系数γ_i∈(0,1)，用来代表共识权益的调整因子，该系数的值越大，代表用户越倾向于配置更多的云资源来参与共识机制并提高自己的权益值。这一参数的引用可以进一步代表在异构环境下，用户对资源的分配情况。考虑到当前模型值，资源分配的三个因子(CPU片数、存储容量和数据传输速率)，需要对不同的资源分配设定不同的浮动系数，以考虑用户对不同资源种类的配置过程中的优先程度。

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_{k∈{1，2，3}}ω_k＝1。

优选的，采用如下公式获取领导被选举的概率：

‖x_i‖代表该验证节点i所配置的云资源总量。在执行该基于概率分布{p_i}N的领导选举的过程，选择一个基于时序关系的投票方法，类似于Raft共识机制，每个时隙(echoi)都有一个固定的时长。我们的不同之处在于对于每一个验证节点(i)，在当前的时隙开始时，将随机的启动一个计时器(ti)，当计时器完成计数任务时，验证节点发出请求投票的消息，接收到消息的其他验证节点首先对该请求进行一个完整性验证，以防止恶意攻击者的假冒消息。

拥有的云资源总量越多，被选举为领导的概率越大，这样可以保证云环境中，节点的权益与其所拥有的云资源总量的分配比例保持基本一致。

S202：基于所述验证节点的云资源总量，以对所述验证节点进行选举；

进一步的，采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙，k—第k个时隙。

结合前述S3：选举出来的验证节点对所述数据模块进行验证，以生成区块，假设每个参与领导选举阶段的验证节点在每个时隙的开始时刻即已经拥有一个交易列表。在本提案设计的共识机制中，新区块的结构不仅包含区块头和交易列表，还包括其他的额外信息，如产生该区块的领导的云资源配置Δi和交易标识txIDi等。其他区块的基本属性，包括前一区块的散列函数值、时间戳、默克尔根节点和区块高度等都保持不变。该选举出来的领导所产生的区块将发送给其他的节点，以便对该区块进行分布式验证，并将通过验证的新区块附加到现有的区块链中。

实施例三：

本发明提供的实施例三针对于前述选举出来的验证节点对所述数据模块进行验证，以生成区块的步骤进行了阐述：

所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议，和/或

采用签名认证对所述交易结构的完整性进行验证。

原则上，所述验证节点对服务器和/或域的证书进行验证顺序上优先于采用签名认证对所述交易结构的完整性进行验证；

进一步的，握手认证的证书透明度系统旨在提供一个开放的审计和监控系统，可以让任何域名所有者或者CA通过监视其证书颁发的情况，判断证书是否被错误签发或者被恶意使用，从而增强TLS协议的安全性。

实施例四：

本发明实施例四对前述所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议，和/或

采用签名认证对所述交易结构的完整性进行验证中的方案中单独采用TLS握手认证协议或TLS握手认证协议于签名认证同时使用时TLS握手认证协议的具体步骤进行了阐述；

具体的包括如下步骤：

获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello”为用来建立安全传输信道的加密算法参数；

发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经加密后发送至客户端，客户端使用对称密钥对数据进行解密。

进一步的，如果发现发生了证书的错误行为，则自动执行奖励与惩罚机制。图2表示了各模块实现的具体功能与系统结构组成。

上层表示实现的功能模块：在证书验证环节中，本发明利用证书透明度系统(CertificateTransparency，CT)对服务器的证书进行公开高效地监控与验证，抵御伪造和无效的证书；并基于博弈论原理制定奖惩机制，当验证出证书有错误时执行，保证了经济上的合理性。

进一步的，在本发明提供的实施例中，博弈论中的基本要素包括博弈者、博弈策略、博弈收益、博弈顺序。其中，博弈者指的是参与博弈活动的主体，他们以自己获得最大收益作为主要目的进行理性决策。博弈策略是指博弈者在轮到自己采取行动时可以选择的策略集合。博弈收益是指博弈者在采取不同博弈策略时的所得，是博弈过程中博弈者首要关心的问题。博弈顺序是指博弈者进行决策的先后顺序，也是能够被其他博弈参与者观察到的博弈者的行动顺序，如果在进行博弈时博弈者虽有先后顺序，但是其他博弈者不能观察到先行博弈者采取的策略，则视为博弈者同时进行决策。

根据博弈双方之间是否存在一个具有约束性的协议，博弈论可以分为合作博弈及非合作博弈。合作博弈是指一些参与者以同盟、合作的方式进行的博弈，这样一来博弈活动就变成了不同集团之间的对抗。在合作博弈中，参与者未必会。

做出合作行为，然而会有一个来自外部的机构惩罚非合作者。非合作博弈是指一种参与者不可能达成具有约束力的协议的博弈类型，这是一种具有互不相容味道的情形。非合作博弈研究人们在利益相互影响的局势中如何选决策使自己的收益最大，即策略选择问题。本文侧重于非合作博弈中的纳什均衡理论。该理论是给合作博弈的重要组成部分。

纳什均衡定义：

经济学的定义如下：纳什均衡理论，指的是参与人的这样一种策略组合，在该策略组合上，任何参与人单独改变策略都不会得到好处。换句话说，如果在一个策略组合上，当所有其他人都不改变策略时，没有人会改变自己的策略，则该策略组合就是一个纳什均衡。

数学定义如下：在博弈G＝{S₁，…，S_n:U₁，…，U_n}中，如果由各个博弈方的各一个策略组成的某个策略组合

中，任一博弈方i的略

都是对其余博弈方策略的组合

的最佳对策，也即

对任意s_ij∈S_i都成立，则称

为G的一个纳什均衡。

其中，一场博弈用G表示，S_i表示博弈方i的策略，u_i表示收益。因此，纳什均衡的意思是：任何一方采取的策略都是对其余所有方采取策略组合下的最佳对策；当所有其他人都不改变策略时，为了让自己的收益最大，任何一方都不会(或者无法)改变自己的策略，这个时候的策略组合就是一个纳什均衡。

优势策略均衡：

纳什均衡的一个常见特例是优势策略均衡。优势策略均衡也称占优策略均衡，是指不管其他人采取什么策略，每个博弈者都会找到对自己最有利的策略所构成的一个策略组合。其实质为：不管其他参与者如何行动，每个参与者都有一个对自己来说最好的策略。其中，优势策略(dominant strategy)是指无论其他参与者选择什么策略，对一个参与者都为最优的策略。分为严格优势策略(strictly dominant strategy)和相对优势策略(weekly dominant strategy)。前者表示无论对方提供选择什么，该策略都比其他策略更好，典型的例子是囚徒困境。后者表示该策略至少和其他策略一样好，且存在一种情况下比其他策略好。

下层表示了底层基础：首先基于区块链分布式特点，搭建了系统平台；然后为证书验证与奖惩机制的实现提供技术上的可行性。

TSL握手认证中的证书是至关重要的，数字证书一般由数字证书认证机构签发，需要申请者通过非对称加密算法(RSA)生成一对公钥和密钥，然后把需要的申请信息(国家，域名等)连同公钥发送给证书认证机构(CA)，CA构确认无误后通过消息摘要算法(MD5，SHA)生成整个申请信息的摘要签名M，然后把签名M和使用的摘要算法用CA将自己的私钥进行加密，证书包含了公钥、证书拥有者身份信息、数字证书认证机构(发行者)信息、发行者对这份文件的数字签名及使用的算法、有效期，CA证书是用来证明公钥拥有者身份的凭证。

实施例五：

结合图3，本发明实施例五对本发明实施例四对前述所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议，和/或

采用签名认证对所述交易结构的完整性进行验证中的方案中单独采用TLS握手认证协议或TLS握手认证协议于签名认证同时使用时签名认证的具体步骤进行了阐述；

选举出来的验证节点对所述数据模块进行签名认证验，以对所述溯源数据的完整性进行验证；

获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

客户端选择一个密码pw以及一个唯一身份标识ID，然后在给定安全参数为λ的情况下使用生成器算法G生成私钥sk及其对应的公钥pk。

客户端调用区块链上的“注册”智能合约并发送{id,pk,y₀,δ₀}作为其输入。

基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

客户端获取用户密码pw以及OTP索引和私钥{index＝i,SK＝sk}，即OTP证明参数为{i,SK,pw}；

所述电力区块链收到所述OTP参数进行认证，若认证成功则并进行同步。

客户端根据获取OTP证明参数进行判定，若判定正确则验证成功；

区块链收到OTP令牌{Alice,x^*,y^*,pk^*,d,sd,δ_d}后，计算xd＝H(xd^*)，然后执行“ci认证”智能合。如果认证成功，OTP验证参数更改为ID＝{Alice,y＝yd⁺,I＝d+1,pk＝pk⁺},客户端根据OTP证明参数正确。

实施例六：

验证节点对区块链的验证服务需要有一定的激励机制，以保证该共识机制的长久运行。在加密数字货币中，对节点的激励机制即交易所产生的手续费。但是，对于在云存储环境中，虚拟验证节点的激励具有一定的挑战性。考虑到该验证节点的若干属性，包括：所配置的云资源、云权益的占用时间以及被选为领导的频率等。这些参数可以用来描述该验证节点在当前的共识网络中的活跃程度。假设云服务商设置的激励总量为Rtotal，则对于在时隙Z中，该激励的分布可以表示为：

R_z＝{R_t+1，……R_t+z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

需要针对参与共识机制的验证节点的贡献来确定其所接收到的激励。尽管共识机制的激励首先需要考虑该节点对云资源的配置情况，但是从云服务提供商的角度来说量化的分析仍然是必要的。通过云服务商的成本收益分析，可以确定在特定的时间间隔中，云资源分配和激励分配的比例对该系统的影响，从而确定对验证节点的激励总量(E_total)。一旦激励总量确定，则验证节点各自的激励可以按比例确定。

一个比较直观的激励函数，可以考虑到该验证节点的若干属性，包括：所配置的云资源、云权益的占用时间以及被选为领导的频率等。这些参数可以用来描述该验证节点在当前的共识网络中的活跃程度。假设云服务商设置的激励总量为Rtotal，则对于在时隙Z中，该激励的分布可以表示为：

R_z＝{R_t+1，……R_t+z}；

满足：

对于某个特定的时隙t+t′来说，激励总量的分布不仅包含被选举为领导的验证节点，也包括参与领导选举、参与区块的验证和传播的所有节点。虽然大部分的激励会流向该被选举为领导的验证节点，但是其他参与领导选举、参与区块的验证和传播的所有节点都需要被激励，以进行接下来的新时隙中的新领导的产生，从而可以实现该共识机制的可持续性。一个简单的激励机制可以设计为在每个时隙中保持相同的激励总量，即

实施例七：

实施例七提供了11.一种基于权益证明的电力区块链云端部署装置，应用于服务端，所述服务端包括溯源服务节点、验证节点以及交易结构，包括：

信息发送模块：用于发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

领导选举模块：用于对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

区块生成模块：用于选举出来的验证节点对所述数据模块进行验证以生成区块。

优选的，所述交易结构表示交易的数据。

优选的,所述领导选举模块包括：

云资源总量获取单元：用于对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

选举单元：用于基于所述验证节点的云资源总量，以对所述验证节点进行选举。

优选的,云资源总量获取单元：采用如下公式获云资源总量：

—云资源占用量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_{k∈{1，2，3}}ω_k＝1。

优选的,所述选举单元：采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙；

k—第k个时隙。

优选的，所述区块生成模块：用于所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议。

优选的，所述区块生成模块包括数据获取单元、数据返回单元、证书验证单元以及解密单元；

数据获取单元：用于获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

数据返回单元：用于响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello为用来建立安全传输信道的加密算法参数；

证书验证单元：用于发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

解密单元：用于发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经加密后发送至客户端，客户端使用对称密钥对数据进行解密。

优选的，所述区块生成模块：用于所述验证节点利用共识算法对所述溯源数据的完整性进行验证，即数据模块采用签名认证。

优选的，所述区块生成模块包括密钥生成单元、OTP参数生成单元以及验证及同步单元；

密钥生成单元：用于获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

OTP参数生成单元：用于基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

验证及同步单元：用于所述电力区块链收到所述OTP参数进行认证，若认证成功则进行同步。

优选的，所述装置还包括：

激励模块：用于获取验证节点的激励总量并对所述验证节点采用激励机制，所述激励机制设计为所述验证节点在每个时隙中保持相同的激励总量；

具体采用如下公式计算激励总量：

R_z＝{R_t+1，……R_t+z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

本发明具有如下优点：

1)设计了适用于区块链云部署应用的签名认证方案，与传统一次性密码方案相比，可以更好抵抗重放攻击、暴力破解攻击、密码伪造攻击等，而且在性能上有更好的表现；

2)本提案的共识算法，包括五个阶段，即初始化、权益确认、领导、选举、生成区块。各个验证节点都会在每个时隙中对接收到的交易进行打包，准备产生新的区块。与此同时，各个验证节点根据自身所配置的云资源参与共识机制中的领导选举过程。经过投票请求和确认阶段，被选举出的领导负责发布新产生的区块，其他节点需对新区块进行验证，验证通过之后，将对整个区块链的状态进行更新；

3)本提案针对TLS握手认证协议中服务器(域)的证书进行验证，如果发现发生了证书的错误行为，则自动执行奖励与惩罚机制。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (20)

1.一种基于权益证明的电力区块链云端部署方法，应用于服务端，所述服务端包括溯源服务节点、验证节点以及交易结构，其特征在于，

所述方法具体包括如下步骤：

发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

选举出来的验证节点对所述数据模块进行验证以生成区块。

2.根据权利要求1所述的方法，其特征在于，所述交易结构表示交易的数据。

3.根据权利要求1所述的方法，其特征在于,所述对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举的步骤包括：

对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

基于所述验证节点的云资源总量，以对所述验证节点进行选举。

4.根据权利要求3所述的方法，其特征在于,所述对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量的步骤包括：

采用如下公式获云资源总量：

—云资源总量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_k∈{1,2,3}ω_k＝1。

5.根据权利要求3所述的方法，其特征在于,所述基于所述验证节点的云资源总量，以对所述验证节点进行选举的步骤包括；

采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙；

k—第k个时隙。

6.根据权利要求1所述的方法，其特征在于，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议。

7.根据权利要求6所述的方法，其特征在于，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello为用来建立安全传输信道的加密算法参数；

发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经对称加密后发送至客户端，客户端使用对称密钥对数据进行解密。

8.根据权利要求1或6所述的方法，其特征在于，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

所述验证节点利用共识算法对所述溯源数据的完整性进行验证，即数据模块采用签名认证。

9.根据权利要求8所述的方法，其特征在于，所述选举出来的验证节点对所述数据模块进行验证以生成区块的步骤包括：

获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

所述电力区块链收到所述OTP参数进行认证，若认证成功则进行同步。

10.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取验证节点的激励总量对所述验证节点采用激励机制，所述激励机制设计为所述验证节点在每个时隙中保持相同的激励总量；

具体采用如下公式计算激励总量：

R_z＝{R_t+1,……R_t+Z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

11.一种基于权益证明的电力区块链云端部署装置，应用于服务端，所述服务端包括溯源服务节点、验证节点以及交易结构，其特征在于，

所述方法具体包括如下步骤：

信息发送模块：用于发送信息获取指令以使电力区块链的节点获取溯源数据，该溯源数据被转为区块链结构中的交易结构来交由验证节点进行查询和验证；

领导选举模块：用于对所述交易结构进行打包以生成数据模块，并对所述验证节点进行领导选举；

区块生成模块：用于选举出来的验证节点对所述数据模块进行验证以生成区块。

12.根据权利要求11所述的装置，其特征在于，所述交易结构表示交易的数据。

13.根据权利要求11所述的装置，其特征在于,所述领导选举模块包括：

云资源总量获取单元：用于对参与者权益进行初始化，所述验证节点对所述参与者权益向其他验证节点进行认证，以获取所述验证节点的云资源总量；

选举单元：用于基于所述验证节点的云资源总量，以对所述验证节点进行选举。

14.根据权利要求13所述的装置，其特征在于,所述云资源总量获取单元：采用如下公式获云资源总量：

—云资源总量；

—CPU片数；

—存储容量；

—数据传输速率；

引入共识权益的调整因子：

ω₁、ω₂、ω₃—CPU片数、存储容量、数据传输速率浮动系数；

—CPU片数、存储容量、数据传输速率浮动系数的权重；

限制条件为：

∑_k∈{1,2,3}ω_k＝1。

15.根据权利要求13所述的装置，其特征在于,所述选举单元：采用如下公式获取领导被选举的概率：

‖x_i‖—代表该验证节点i所配置的云资源总量；

N—共有N个时隙；

k—第k个时隙。

16.根据权利要求11所述的装置，其特征在于，所述区块生成模块：用于所述验证节点对服务器和/或域的证书进行验证采用TLS握手认证协议。

17.根据权利要求16所述的装置，其特征在于，所述区块生成模块包括数据获取单元、数据返回单元、证书验证单元以及解密单元；

数据获取单元：用于获取客户端发送的ClientHello信息，所述ClientHello包含支持的协议版本、加密算法和随机数A；

数据返回单元：用于响应于所述ClientHello并返回ServerHello、公钥、证书、随机数B至客户端，所述ServerHello为用来建立安全传输信道的加密算法参数；

证书验证单元：用于发送信息确认指令以使所述客户端使用CA证书验证返回证书无误后，生成随机数C，用公钥对其加密；

解密单元：用于发送信息获取指令以获取加密后的随机数C；并用私钥解密得到随机数C，随后根据已经得到的随机数A、随机数B和随机数C生成对称密钥，并对需要发送的数据进行对称加密，经对称加密后发送至客户端，客户端使用对称密钥对数据进行解密。

18.根据权利要求11或16所述的装置，其特征在于，所述区块生成模块：用于所述验证节点利用共识算法对所述溯源数据的完整性进行验证，即数据模块采用签名认证。

19.根据权利要求18所述的方法，其特征在于，所述区块生成模块包括密钥生成单元、OTP参数生成单元以及验证及同步单元；

密钥生成单元：用于获取密码以及身份ID、并生成私钥sk及其对应的公钥pk；

OTP参数生成单元：用于基于所述密码、所述私钥sk利用OTC索引生成OTP参数；

验证及同步单元：用于所述电力区块链收到所述OTP参数进行认证，若认证成功则进行同步。

20.根据权利要求11所述的装置，其特征在于，所述装置还包括：

激励模块：用于获取验证节点的激励总量并对所述验证节点采用激励机制，所述激励机制设计为所述验证节点在每个时隙中保持相同的激励总量；

具体采用如下公式计算激励总量：

R_z＝{R_t+1,……R_t+Z}；

R_z—对于在时隙Z中的激励的分布；

R_t+Z—对于在t+Z时刻的激励的分布。

Images