CN116170152A - 一种基于可信中继的物流数据跨链互操作系统及方法 - Google Patents

一种基于可信中继的物流数据跨链互操作系统及方法 Download PDF

Info

Publication number
CN116170152A
CN116170152A CN202310044834.1A CN202310044834A CN116170152A CN 116170152 A CN116170152 A CN 116170152A CN 202310044834 A CN202310044834 A CN 202310044834A CN 116170152 A CN116170152 A CN 116170152A
Authority
CN
China
Prior art keywords
user
chain
cross
relay
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310044834.1A
Other languages
English (en)
Inventor
李星烨
冯霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN202310044834.1A priority Critical patent/CN116170152A/zh
Publication of CN116170152A publication Critical patent/CN116170152A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种基于可信中继的物流数据跨链互操作系统及方法,涉及中继互操作模块、跨链授权模块和用户接口模块;基于可信中继互操作技术,通过让可信中继承担链间消息传递的中间代理实现数据跨链互操作性,同时采用许可区块链架构实现可信中继的搭建,为互操作过程中物流数据主体提供可溯源性和不可篡改性,阻止了半诚实用户对物流供应链数据的恶意伪造,并在发生争议时能够实现对跨链过程的可追溯性;本发明的不同参与方可以是异构的,但都必须向可信中继链中申请许可身份,以加入按不同物流阶段区分的区块链组织;每个组织成员只拥有对账簿数据的部分访问权限,且只能通过可信中继访问其他组织的数据。

Description

一种基于可信中继的物流数据跨链互操作系统及方法
技术领域
本发明涉及区块链技术,具体涉及一种基于可信中继的物流数据跨链互操作系统及方法。
背景技术
在工业4.0的持续发展下,物流行业迈入智慧物流阶段。依托于物联网和物流大数据技术,智慧物流成为支持智慧城市发展的关键技术。智慧物流通过分析货物的流调信息(如仓储、运输等)实现了对传染源头的快速锁定及防控物资的精准调配。然而,该行业存在的物流企业资质不平衡、物流数据种类繁多规模庞大及缺乏统一行业标准等问题,导致数据源头难以追溯、存储孤岛化、利用效率低等现象极易发生,因此数据管理问题成为制约智慧物流发展的重要因素。分布式账簿技术(DLT,distributed ledger technology)被认为管理数据的有效手段之一。区块链作为一种典型的DLT技术凭借安全、透明、可追溯的特点,足以保证链上每一笔数据的完整性和可靠性,为物流数据的管理、分析与利用提供了有力的支持。
区块链具有在不可信群体之间达成共识实现合作的特点。通过与物联网技术的结合,研究人员很好地解决了物流场景下对数据的采集、管理和溯源等问题。然而,现有基于区块链的物流数据管理方案却存在一个不足:首先各物流企业为了提升竞争力不得不建立自身的智慧物流体系,这直接导致了物流数据以企业为单位形成数据孤岛;其次,由于物流企业不同的适应性需求导致了一个异构的区块链生态系统,这种选择性的多样化使得链上数据被局限于单条区块链中,弱化了数据的交互性,这无疑加重了数据碎片化的存在形式。近几年研究人员都致力于使用区块链解决特定挑战,而没考虑过互操作性的需要。
例如,发明专利CN106899698B公开一种区块链之间的跨链互操作方法,采用哈希时间锁定(HTLC)实现区块链互操作性,但是该方案缺陷如下:仅适用于拥有独立账户资产之间的区块链针对资产价值进行交换,缺乏针对无资产区块链的处理。
例如,发明专利CN110084592A公开一种区块链互操作性方法,采用Sidechains(侧链)实现区块链互操作性,参与跨链的双方互为主子链。该方案缺陷如下:1.要求两条区块链需要拥有相同的区块链架构及智能合约,而无法与异构链实现交互,缺乏可拓展性;2.同一时间只有其中一条链能够正常工作,而另一条链由于资产锁定只能作为备份存在,这将导致存储冗余的现象发生,造成存储资源的浪费。
例如,发明专利CN113923044A公开一种基于可信执行环境的跨链系统及方法,采用可信中继实现区块链互操作性,但是该方案在跨链过程中利用对称加密和数字签名保障了跨链过程中数据的真实性和安全性;在面对短时大批量物流数据时,时间开销和计算成本很大。
同时,尽管不同类别的解决方案对互操作性问题的处理方式不同,总的来说现有技术针对物流场景现有的互操作性解决方案时,面临以下两个的问题:
1)在解决基础架构、数据格式和通信标准等方面。几乎没有一种业内公认的方案,以支持跨链互操作性,大多数方案都针对互操作场景而定制区块链,方案缺乏拓展性;
2)基于共识实施的跨链方案(如公共连接器方案)无法承担短时海量数据的认证开销。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种基于可信中继的物流数据跨链互操作系统及方法,在可信中继的基础上,利用区块链技术实现了跨链数据整体的可溯源性,阻止了恶意用户对跨链数据的篡改。基于许可区块链技术,本发明仅允许许可用户访问中继区块链,同时只拥有对部分数据的操作权限,同时所有操作都必须通过数字证书进行身份识别,进而实现了对跨链数据的访问控制及隐私保护。
技术方案:本发明的一种基于可信中继的物流数据跨链互操作系统,包括一条可信的中继区块链和至少两条用户区块链,所述中继区块链中设有底层区块链和上层分布式应用程序(Distributed Application,Dapp),底层区块中设有数据账簿、证书颁发机构、跨链智能合约和许可身份授权合约;上层分布式应用程序Dapp中设有多个用户客户端、中继服务器和许可身份管理组件;底层区块链和上层分布式应用程序共同构成中继互操作模块;
所述用户区块链的接入节点和中继区块链的用户客户端构成用户接口模块;用户区块链的接入节点由Raft共识算法推举产生,且该接入节点与相应的用户客户端之间建立连接,实现跨链数据内容的上传和传递,同时辅助跨链授权模块实现对各用户区块链授权身份的颁发及跨链通信认证;
所述跨链授权模块包括中继区块链上的证书颁发机构、许可身份管理组件和许可身份授权合约,其中证书颁发机构执行许可身份授权合约,并生成用户访问控制所需数字证书,许可身份管理组件存储这部分证书,同时辅助用户接口模块实现许可身份认证;
上述用户区块链在使用目的上分为数据源区块链和目的区块链。
本发明还公开一种基于可信中继的物流数据跨链互操作系统的方法,包括以下步骤:
步骤(1)、用户区块链A作为数据源区块链发起跨链交易,请求物流数据
用户区块链A登录中继链网络,中继区块链生成用户身份令牌,用户区块链A基于对应的用户身份令牌生成跨链请求,并发送至中继区块链;
步骤(2)、中继区块链获取跨链数据
中继区块链收到用户区块链A的跨链请求后,依次验证用户身份令牌和用户中继区块链身份标识,验证通过后调用跨链智能合约获取跨链物流数据;所述跨链智能合约由链码InvokeChaincode和链码UploadChaincode组成,链码InvokeChaincode负责跨链数据的获取;链码UploadChaincode负责跨链数据的传递及本次跨链业务的记录;
步骤(3)、中继区块链向用户区块链B发送跨链数据
用户区块链B作为目的区块链,中继区块链通知用户区块链B登录中继链网络,中继区块链生成用户区块链B的用户身份令牌,用户区块链B生成相应数据包,并将数据包和对应用户身份令牌发送至中继区块链;
步骤(4)、中继区块链通知用户区块链A跨链成功并结束跨链交易
用户区块链B向中继区块链通知跨链成功,中继区块链向用户区块链A通知跨链成功,将本次跨链交易存储上链后结束该跨链交易;
上述用户区块链A和用户区块链B均需先完成许可身份注册,通过申请许可身份才可接入中继区块链;中继区块链依据指令调用跨链智能合约,在用户区块链A(数据源区块链)中完成跨链数据收集,并通过跨链将跨链数据返回中继区块链,而后传递至用户区块链B(目的区块链),完成数据的跨链互操作。
进一步地,所述步骤(1)发起跨链交易的详细内容是:
数据源区块链A(即用户区块链A)利用身份标识及密码,通过客户端接口ClientA登录中继区块链服务Sever,并获取身份令牌TokenA,用于每次通信过程前的身份认证。之后A向中继区块链客户端发起跨链请求Req={TokenA,Data{IDA,key,B}},其中包含身份令牌TokenA,用户身份标识IDA,共享数据键key及目的区块链地址B。
本发明在许可区块链基础上加入身份令牌验证机制,在跨链过程中同时实现对用户网络身份和许可区块链身份的双重认证。
进一步地,所述步骤(2)获取跨链数据的详细过程为:
中继区块链(中继服务器Sever)的用户客户端接口ClientA接收用户发送的跨链请求Req,并验证TokenA,若TokenA过期,则将请求Req返还,要求用户区块链A重新申请TokenA,如果没有过期则通信身份认证成功;用户客户端ClientA继续发送数据包Data{IDA,key,B}至中继服务器Sever;中继服务器Sever从数据中提取IDA,并与许可身份管理组件wallet中存储的数字证书进行许可用户身份认证,若认证失败则断开与用户区块链A间通信,结束跨链,反之,则通过数据键key,调用链码InvokeChaincode获得跨链数据M。
进一步地,所述步骤(3)中传递跨链数据的方法为:
中继区块链Server(中继服务器Server)通过数据包中目的区块链B,通过对应用户客户端ClientB通知目的区块链,目的区块链利用自身身份标识及密码获取TokenB
目的区块链B将身份标识IDB和数据键key打包生成数据包Data,与TokenB一同发送至ClientB,并进行通信身份及区块链许可身份的认证;若身份认证成功则调用链码UploadChaincode,实现数据的共享及存储;反之则认证失败,结束跨链业务。
进一步地,所述步骤(4)在完成跨链事务后,目的区块链B通过对应用户客户端ClientB返回跨链成功标识,中继区块链转发标识至源区块链A;然后中继区块链结束与用户区块链A、用户区块链B间的通信,结束跨链业务,并在结束共享之后记录跨链发生的时间、参与跨链的用户及数据键存储至中继区块链账簿中。
进一步地,所述许可身份的注册和颁布由跨链授权模块完成,依据跨链阶段的不同设有多个区块链组织Org,这部分信息存储在区块链配置文件中,且由证书颁发机构CA进行验证交互;每个区块链组织Org负责创建本组织管理员用户Admin,通过本组织管理员用户Admin进行用户许可身份的创建;且这部分用户只拥有对本组织账簿数据的部分操作权限;具体方法为:
步骤(A)、中继区块链的许可身份管理组件wallet初始化,即中继区块链创建身份管理组件wallet,及组织管理员Admin:
首先,相应的组织管理员Admin用所属组织Orgi配发的身份标识信息MA={IDAd,SecretAd}向证书颁发机构CA进行注册,证书颁发机构CA收到注册申请先确认该用户Admini是否拥有合法身份,即确认等式IDAd==CA.Orgi.Identity是否成立,若成立,即Admini成员提供的身份标识IDAd与Orgi中存储的身份信息相同,则代表该Admini用户为Orgi合法用户;
然后,CA基于用户身份标识IDAd和密钥SecretAd生成用户资质certificateAd和用户密钥pkAd,并为用户Admini用户颁布身份证书credentialAd={certificateAd,pkAd};
最后,CA利用身份证书credentialAd和组织身份信息Orgi,按X.509标准生成Admini用户的数字证书DCAd,并将其存储于身份管理组件wallet;
步骤(B)、用户许可身份初始化:
首先,区块链用户BCA向中继区块链发起身份注册请求Req{IDA,Orgi},其中IDA为用户A的身份标识,Orgi为用户A所属组织;
接着,收到身份注册请求后,调用许可身份授权合约生成用户密钥SecretA={IDA,Orgi,IDAd},其中IDAd为wallet中存储的Orgi管理员Admini的身份标识;
然后,CA基于用户身份标识IDA和密钥SecretA生成用户资质certificateA和用户密钥pkA,并为用户A用户颁布身份证书credentialA={certificateA,pkA};
最后,CA利用身份证书credentialA和组织身份信息Orgi,按X.509标准生成用户A的数字证书DCA,并将其存储在wallet中至此,用户注册成功。
进一步地,在步骤(1)至步骤(4)的跨链交易中,所述用户接口模块的具体工作内容为:
I、在中继区块链分布式应用程序DApp中分别为用户区块链A和用户区块链B(源区块链A和目的区块链B)创建对应客户端接口ClientA/ClientB,用户区块链A或B登录中继链网络时,向客户端接口发送对应用户身份标识IDA、IDB及密码PasswordA、PasswordB;客户端接口根据用户信息分别生成通信令牌Token={IDA,PasswordA}和Token={IDB,PasswordB}并发送至对应用户区块链;之后每当用户向中继区块链发起通信时,客户端接口都将验证令牌,若验证通过则继续执行跨链互操作业务;反之则结束通信;
II、在中继区块链分布式应用程序DApp中创建中继服务器Sever,通过与客户端接口进行交互获取数据信息,中继服务器Sever提供与身份注册合约及证书颁发机构CA交互的接口,该接口用于许可身份证书的获取与用户身份信息的认证;同时中继服务Sever还拥执行跨链智能合约的合约借口,用于在跨链过程中获取和传递跨链数据。
有益效果:与现有技术相比,本发明具有以下优点:
(1)本发明基于可信中继互操作技术,提出了基于可信中继的数据跨链共享方案,提供了用户区块链在中继链中的跨链数据共享和跨链信息的记录,实现对中继链上数据的隐私保护及访问控制,保障共享过程的透明可追溯。
(2)本发明基于许可区块链技术通过对不同物流参与方颁布许可身份,使授权用户共同维护中继区块链的健康运行。可信中中继链仅允许许可用户访问中继区块链,且只拥有对部分数据的操作权限,同时所有操作都必须通过数字证书进行身份识别,实现了对跨链数据的隐私保护。
(3)本发明基于对用户身份的认证,认为具有许可身份的用户数据主体是安全可靠的,因此仅对跨链用户进行身份认证,减少了对数据的认证开销,对处理短时海量的物流数据具有一定的优势。
(4)本发明在Hyperledger Fabric上搭建原型机,通过实验验证方案的可靠性、技术和通信开销。实验表明,在1-30个客户端同时对1000组数据实施跨链交易时,本方案交易吞吐量稳定在200-300tps之间,比同类方案平均提升25%。
附图说明
图1为本发明的系统结构示意图;
图2为本发明中许可身份注册流程;
图3为本发明中数据跨链互操作的整体流程图;
图4为本发明一实施例的实现流程图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
如图1所示,本发明的基于可信中继的物流数据跨链互操作系统,包括一条可信的中继区块链和至少两条用户区块链,所述中继区块链中设有底层区块链和上层分布式应用程序Dapp,底层区块中设有数据账簿、证书颁发机构、跨链智能合约和许可身份授权合约;上层分布式应用程序Dapp中设有多个用户客户端、中继服务器和许可身份管理组件;底层区块链和上层分布式应用程序共同构成中继互操作模块;用户区块链的接入节点和中继区块链的用户客户端构成用户接口模块;用户区块链的接入节点由Raft共识算法推举产生,且该接入节点与相应的用户客户端之间建立连接,实现跨链数据内容的上传和传递,同时辅助跨链授权模块实现对各用户区块链授权身份的颁发及跨链通信认证;跨链授权模块包括中继区块链上的证书颁发机构、许可身份管理组件和许可身份授权合约,其中证书颁发机构执行许可身份授权合约,并生成用户访问控制所需数字证书,许可身份管理组件存储这部分证书,同时辅助用户接口模块实现许可身份认证。
上述用户区块链在使用目的上分为数据源区块链和目的区块链。本发明的不同参与方可以是异构的,但都必须向可信中继链中申请许可身份,以加入按不同物流阶段区分的区块链组织;每个组织成员只拥有对账簿数据的部分访问权限,且只能通过可信中继访问其他组织的数据。本发明为物流场景下的数据跨链共享提供安全、高效、隐私的数据互操作方法。
如图2所示,上述实施例中所述许可身份的注册和颁布由跨链授权模块完成,具体方法为:
步骤(A)、中继区块链的许可身份管理组件wallet初始化,即中继区块链创建身份管理组件wallet,及组织管理员Admin:
首先,相应的组织管理员Admin用所属组织Orgi配发的身份标识信息MA={IDAd,SecretAd}向证书颁发机构CA进行注册,证书颁发机构CA收到注册申请先确认该用户Admini是否拥有合法身份,即确认等式IDAd==CA.Orgi.Identity是否成立,若成立,即Admini成员提供的身份标识IDAd与Orgi中存储的身份信息相同,则代表该Admini用户为Orgi合法用户;
然后,CA基于用户身份标识IDAd和密钥SecretAd生成用户资质certificateAd和用户密钥pkAd,并为用户Admini用户颁布身份证书credentialAd={certificateAd,pkAd};
最后,CA利用身份证书credentialAd和组织身份信息Orgi,按X.509标准生成Admini用户的数字证书DCAd,并将其存储于身份管理组件wallet;
步骤(B)、用户许可身份初始化:
首先,区块链用户A向中继区块链发起身份注册请求Req{IDA,Orgi},其中IDA为用户A的身份标识,Orgi为用户A所属组织;
接着,收到身份注册请求后,调用许可身份授权合约生成用户密钥SecretA={IDA,Orgi,IDAd},其中IDAd为wallet中存储的Orgi管理员Admini的身份标识;
然后,CA基于用户身份标识IDA和密钥SecretA生成用户资质certificateA和用户密钥pkA,并为用户区块链A用户颁布身份证书credentialA={certificateA,pkA};
最后,CA利用身份证书credentialA和组织身份信息Orgi,按X.509标准生成用户A的数字证书DCA,并将其存储在wallet中至此,用户注册成功。
如图3所示,本实施例中基于可信中继的物流数据跨链互操作系统的方法,包括以下步骤:
步骤(1)、用户区块链A作为数据源区块链发起跨链交易,请求物流数据
数据源区块链A利用身份标识及密码,通过对应客户端接口ClientA登录中继区块链服务Sever,并获取身份令牌TokenA,然后A向中继区块链客户端发起跨链请求Req={TokenA,Data{IDA,key,B}},其中包含身份令牌TokenA,用户身份标识IDA,共享数据键key及目的区块链B;
步骤(2)、中继区块链获取跨链数据
中继区块链的用户客户端接口ClientA接收用户发送的跨链请求Req,并验证TokenA,若TokenA过期,则将请求Req返还,要求A重新申请TokenA,如果没有过期则通信身份认证成功;用户客户端ClientA继续发送数据包Data{IDA,key,B}至中继服务器Sever;中继服务器Sever从数据中提取IDA,并与许可身份管理组件wallet中存储的数字证书进行许可用户身份认证,若认证失败则断开与用户区块链A间通信,结束跨链,反之,则通过数据键key,调用链码InvokeChaincode获得跨链数据M;
步骤(3)、中继区块链向用户区块链B发送跨链数据
中继区块链Server通过数据包中目的区块链B,通过对应用户客户端ClientB通知目的区块链,目的区块链利用自身身份标识及密码获取TokenB;目的区块链B将身份标识IDB和数据键key打包生成数据包Data,与TokenB一同发送至ClientB,并进行通信身份及区块链许可身份的认证;若身份认证成功则调用链码UploadChaincode,实现数据的共享及存储;反之则认证失败,结束跨链业务;
步骤(4)、中继区块链通知用户区块链A跨链成功并结束跨链交易
所述步骤(4)在完成跨链事务后,目的区块链B通过对应用户客户端ClientB返回跨链成功标识,中继区块链转发标识至数据源区块链A;然后中继区块链结束与A、B间的通信,结束跨链业务,并在结束共享之后记录跨链发生的时间、参与跨链的用户及数据键存储至中继区块链账簿中。
上述用户区块链A和用户区块链B均需先完成许可身份注册,通过申请许可身份才可接入中继区块链;中继区块链依据指令调用跨链智能合约,在用户区块链A中完成跨链数据收集,并通过跨链将跨链数据返回中继区块链,而后传递至用户区块链B,完成数据的跨链互操作。
通过上述实施例可以看出,本发明基于可信中继数据跨链互操作方法,主要包括两大部分:请求跨链数据和接收跨链数据的用户区块链A、B,以及执行数据互操作的可信中继区块链。其中用户区块链包含作为物流数据来源的物流供应链、具有对数据基础操作功能的智能合约算法、存储物流数据的分布式账簿和用于接入可信中继区块链的接口组成。可信中继区块链完成跨链互操作的指令分发,各个用户区块链通过申请许可身份接入中继区块链,中继区块链可依据指令调用跨链智能合约,在源区块链中完成跨链数据收集、并通过跨链方法将跨链数据返回中继区块链,而后传递至目标区块链进而完成数据的跨链互操作。
在步骤(1)至步骤(4)的跨链交易中,所述用户接口模块的具体工作内容为:
I、在中继区块链分布式应用程序DApp中分别为用户区块链A和用户区块链B创建对应客户端接口ClientA/ClientB,用户区块链A或B登录中继链网络时,向客户端接口发送对应用户身份标识IDA、IDB及密码PasswordA、PasswordB;客户端接口根据用户信息分别生成通信令牌Token={IDA,PasswordA}和Token={IDB,PasswordB}并发送至对应用户区块链;之后每当用户向中继区块链发起通信时,客户端接口都将验证令牌,若验证通过则继续执行跨链互操作业务;反之则结束通信;
II、在中继区块链分布式应用程序DApp中创建中继服务器Sever,通过与客户端接口进行交互获取数据信息,中继服务Sever提供与身份注册合约及证书颁发机构CA交互的接口,该接口用于许可身份证书的获取与用户身份信息的认证;同时中继服务Sever还拥执行跨链智能合约的合约借口,用于在跨链过程中获取和传递跨链数据。
本实施例利用可信中继区块链承担消息传递的中间代理实现数据跨链互操作,利用中继区块链替代传统中心服务器,异构区块链用户仅通过向中继区块链申请许可用户身份,便可使用中继链提供的跨链业务实现跨链,而无需统一区块链架构及智能合约。同时利用区块链作为可信中继,也保障了跨链数据的安全性和可信性。并且本发明还提供一种高效的跨链身份认证方案,在许可区块链技术的基础上加入身份令牌验证机制,结合对网络身份及许可区块链身份的双重认证,实现对异构用户的身份背书,在身份背书的基础上取消跨链过程中对数据的认证,有效减少跨链过程的时间成本和计算开销。(即利用对身份的认证替代了对数据主体的认证,进而减少时间开销及计算成本)。
本发明的基于可信中继的物流数据链互操作系统及方法,在可信中继的基础上,利用区块链技术实现了跨链数据整体的可溯源性,阻止了恶意用户对跨链数据的篡改。基于许可区块链技术,本发明仅允许许可用户访问中继区块链,且只拥有对部分数据的操作权限,同时所有操作都必须通过数字证书进行身份识别,进而实现了对跨链数据的隐私保护。最后,基于对用户身份的认证,本发明认为许可用户数据安全可靠,并减少了对数据的验证,进而提高了跨链通信的效率。

Claims (8)

1.一种基于可信中继的物流数据跨链互操作系统,其特征在于:包括一条可信的中继区块链和至少两条用户区块链,所述中继区块链中设有底层区块链和上层分布式应用程序Dapp,底层区块中设有数据账簿、证书颁发机构、跨链智能合约和许可身份授权合约;上层分布式应用程序Dapp中设有多个用户客户端、中继服务器和许可身份管理组件;底层区块链和上层分布式应用程序共同构成中继互操作模块;
所述用户区块链的接入节点和中继区块链的用户客户端构成用户接口模块;用户区块链的接入节点与相应的用户客户端之间建立连接,实现跨链数据内容的上传和传递,同时辅助跨链授权模块实现对各用户区块链授权身份的颁发及跨链通信认证;
所述跨链授权模块包括中继区块链上的证书颁发机构、许可身份管理组件和许可身份授权合约,其中证书颁发机构执行许可身份授权合约,并生成用户访问控制所需数字证书,许可身份管理组件存储这部分证书,同时辅助用户接口模块实现许可身份认证;
上述用户区块链在使用目的上分为数据源区块链和目的区块链。
2.根据权利要求1所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:包括以下步骤:
步骤(1)、用户区块链A作为数据源区块链发起跨链交易,请求物流数据
用户区块链A登录中继链网络,中继区块链生成用户身份令牌,用户区块链A基于对应的用户身份令牌生成跨链请求,并发送至中继区块链;
步骤(2)、中继区块链获取跨链数据
中继区块链收到用户区块链A的跨链请求后,依次验证用户身份令牌和用户中继区块链身份标识,验证通过后调用跨链智能合约获取跨链物流数据;所述跨链智能合约由链码InvokeChaincode和链码UploadChaincode组成,链码InvokeChaincode负责跨链数据的获取;链码UploadChaincode负责跨链数据的传递及本次跨链业务的记录;
步骤(3)、中继区块链向用户区块链B发送跨链数据
用户区块链B作为目的区块链,中继区块链通知用户区块链B登录中继链网络,中继区块链生成用户区块链B的用户身份令牌,用户区块链B生成相应数据包,并将数据包和对应用户身份令牌发送至中继区块链;
步骤(4)、中继区块链通知用户区块链A跨链成功并结束跨链交易
用户区块链B向中继区块链通知跨链成功,中继区块链向用户区块链A通知跨链成功,将本次跨链交易存储上链后结束该跨链交易;
上述用户区块链A和用户区块链B均需先完成许可身份注册,通过申请许可身份才可接入中继区块链;中继区块链依据指令调用跨链智能合约,在用户区块链A中完成跨链数据收集,并通过跨链将跨链数据返回中继区块链,而后传递至用户区块链B,完成数据的跨链互操作。
3.根据权利要求1所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:所述步骤(1)的详细内容是:
数据源区块链A利用身份标识及密码,通过对应客户端接口ClientA登录中继区块链服务Sever,并获取身份令牌TakenA,然后数据源区块链A向中继区块链客户端发起跨链请求Req={TokenA,Data{IDA,key,B}},其中包含身份令牌TokenA,用户身份标识IDA,共享数据键key及目的区块链B。
4.根据权利要求1所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:所述步骤(2)的详细内容是:
中继区块链Server的用户客户端接口ClientA接收用户区块链A发送的跨链请求Req,并验证TakenA,若TokenA过期,则将请求Req返还,要求用户区块链A重新申请TokenA,如果没有过期则通信身份认证成功;
用户客户端ClientA继续发送数据包Data{IDA,key,B}至中继服务器Sever;中继服务器Sever从数据中提取IDA,并与许可身份管理组件wallet中存储的数字证书进行许可用户身份认证,若认证失败则断开与用户区块链A间通信,结束跨链,反之,则通过数据键key,调用链码InvokeChaincode获得跨链数据M。
5.根据权利要求1所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:所述步骤(3)中发送跨链数据的详细方法为:
中继区块链Server通过数据包中目的区块链B,通过对应用户客户端ClientB通知目的区块链B,目的区块链B利用自身身份标识及密码获取TokenB
目的区块链B将身份标识IDB和数据键key打包生成数据包Data,与TokenB一同发送至ClientB,并进行通信身份及区块链许可身份的认证;若身份认证成功则调用链码UploadChaincode,实现数据的共享及存储;反之则认证失败,结束跨链业务。
6.根据权利要求1所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:所述步骤(4)在完成跨链事务后,目的区块链B通过对应用户客户端ClientB返回跨链成功标识,中继区块链转发标识至源区块链A;然后中继区块链结束与用户区块链A、用户区块链间的通信,结束跨链业务,并在结束共享之后记录跨链发生的时间、参与跨链的用户及数据键存储至中继区块链账簿中。
7.根据权利要求2所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:所述许可身份的注册和颁布由跨链授权模块完成,具体方法为:
步骤(A)、中继区块链的许可身份管理组件wallet初始化,即中继区块链创建身份管理组件wallet,及组织管理员Admin:
首先,相应的组织管理员Admin用所属组织Orgi配发的身份标识信息MA={IDAd,SecretAd}向证书颁发机构CA进行注册,证书颁发机构CA收到注册申请先确认该管理员Admini是否拥有合法身份,即确认等式IDAd==CA.Orgi.Identity是否成立,若成立,即Admini成员提供的身份标识IDAd与Orgi中存储的身份信息相同,则代表该Admini用户为Orgi合法用户;
然后,CA基于用户身份标识IDAd和密钥SecretAd生成用户资质certificateAd和用户密钥pkAd,并为用户Admini用户颁布身份证书credentialAd={certificateAd,pkAd};
最后,CA利用身份证书credentialAd和组织身份信息Orgi,按X.509标准生成Admini用户的数字证书DCAd,并将其存储于身份管理组件wallet;
步骤(B)、用户许可身份初始化:
首先,区块链用户A向中继区块链发起身份注册请求Req{IDA,Orgi},其中IDA为用户区块链A的身份标识,Orgi为用户区块链A所属组织;
接着,收到身份注册请求后,调用许可身份授权合约生成用户密钥SecretA={IDA,Orgi,IDAd},其中IDAd为wallet中存储的Orgi管理员Admini的身份标识;
然后,CA基于用户身份标识IDA和密钥SecretA生成用户资质certificateA和用户密钥pkA,并为用户A用户颁布身份证书credentialA={certificateA,pkA};
最后,CA利用身份证书credentialA和组织身份信息Orgi,按X.509标准生成用户A的数字证书DCA,并将其存储在wallet中至此,用户注册成功。
8.根据权利要求2所述的基于可信中继的物流数据跨链互操作系统的方法,其特征在于:在步骤(1)至步骤(4)的跨链交易中,所述用户接口模块的具体工作内容为:
I、在中继区块链分布式应用程序DApp中分别为用户区块链A和用户区块链B创建对应用户客户端接口ClientA/ClientB,用户区块链A或B登录中继链网络时,向客户端接口发送对应用户身份标识IDA、IDB及密码PasswordA、PasswordB;客户端接口根据用户信息分别生成通信令牌Token={IDA,PasswordA}和Token={IDB,PasswordB}并发送至对应用户区块链;之后每当用户向中继区块链发起通信时,客户端接口都将验证令牌,若验证通过则继续执行跨链互操作业务;反之则结束通信;
II、在中继区块链分布式应用程序DApp中创建中继服务器Sever,通过与客户端接口进行交互获取数据信息,中继服务器Sever提供与身份注册合约及证书颁发机构CA交互的接口,该接口用于许可身份证书的获取与用户身份信息的认证;同时中继服务Sever还拥执行跨链智能合约的合约借口,用于在跨链过程中获取和传递跨链数据。
CN202310044834.1A 2023-01-30 2023-01-30 一种基于可信中继的物流数据跨链互操作系统及方法 Pending CN116170152A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310044834.1A CN116170152A (zh) 2023-01-30 2023-01-30 一种基于可信中继的物流数据跨链互操作系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310044834.1A CN116170152A (zh) 2023-01-30 2023-01-30 一种基于可信中继的物流数据跨链互操作系统及方法

Publications (1)

Publication Number Publication Date
CN116170152A true CN116170152A (zh) 2023-05-26

Family

ID=86410753

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310044834.1A Pending CN116170152A (zh) 2023-01-30 2023-01-30 一种基于可信中继的物流数据跨链互操作系统及方法

Country Status (1)

Country Link
CN (1) CN116170152A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294540A (zh) * 2023-11-27 2023-12-26 人民法院信息技术服务中心 基于角色授权的隐私数据跨链获取方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294540A (zh) * 2023-11-27 2023-12-26 人民法院信息技术服务中心 基于角色授权的隐私数据跨链获取方法、装置及系统
CN117294540B (zh) * 2023-11-27 2024-01-23 人民法院信息技术服务中心 基于角色授权的隐私数据跨链获取方法、装置及系统

Similar Documents

Publication Publication Date Title
US20240048376A1 (en) Methods and systems implemented in a network architecture with nodes capable of performing message-based transactions
CN111046352B (zh) 一种基于区块链的身份信息安全授权系统与方法
CN111988338B (zh) 基于区块链的权限可控的物联网云平台及数据交互方法
CN108830733A (zh) 一种信息处理方法、区块链集群及系统
CN100490387C (zh) 用于应用服务器的基于令牌的细粒度访问控制系统及方法
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
CN108615148A (zh) 一种基于区块链技术的担保资产前置交易方法及系统
CN102546664A (zh) 用于分布式文件系统的用户与权限管理方法及系统
KR20220113307A (ko) 블록체인과 정품인증 태그 기술을 사용한 제품 진위성 검증 및 소유권 변경이력관리 시스템
CN109587126A (zh) 用户鉴权方法和系统
US20030135734A1 (en) Secure mutual authentication system
CN113676334B (zh) 基于区块链的分布式边缘设备身份认证系统及认证方法
CN115277122B (zh) 基于区块链的跨境数据流动与监管系统
CN112149077B (zh) 基于区块链技术的供应链票据方法、系统和计算机设备
CN111798233A (zh) 令牌的链接
CN116324844A (zh) 用于联合权限和分级密钥管理的方法、装置和计算机可读介质
CN116170152A (zh) 一种基于可信中继的物流数据跨链互操作系统及方法
US20190334703A1 (en) Authenticate transactions of secured file in blockchain
US20240121230A1 (en) Systems and methods for generating and using secure sharded onboarding user interfaces
CN113296944A (zh) 一种基于区块链智能合约的跨游戏资产转移系统
CN114679473B (zh) 基于分布式数字身份的金融账户治理系统及方法
TW202121301A (zh) 經由區塊鏈改良資源之電子轉移之系統及方法
Yamamoto et al. Examination on interoperability of blockchains by using ZK-rollups
CN111555887A (zh) 区块链证书兼容性处理方法、装置及计算机存储介质
Rech et al. A decentralized service-platform towards cross-domain entitlement handling

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination