WO2022205965A1

WO2022205965A1 - 跨链访问控制方法和装置

Info

Publication number: WO2022205965A1
Application number: PCT/CN2021/133116
Authority: WO
Inventors: 邱鸿霖
Original assignee: 蚂蚁区块链科技(上海)有限公司; 支付宝(杭州)信息技术有限公司
Priority date: 2021-03-30
Filing date: 2021-11-25
Publication date: 2022-10-06
Also published as: CN112769871A; CN114244629B; CN112769871B; CN114244629A

Abstract

本说明书实施例提供了一种跨链访问控制方法和装置，所述方法由区块链的节点设备执行，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述方法包括：获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括所述第一区块链中的资源的标识和所述资源的授权信息；执行所述第一交易，以进行以下操作：基于所述资源的标识获取用于验证所述数字签名的公钥；使用所述公钥对所述数字签名进行验证；在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。

Description

跨链访问控制方法和装置

技术领域

本说明书实施例涉及区块链技术领域，更具体地，涉及一种跨链访问控制方法和装置。

背景技术

区块链技术也被称之为分布式账本技术，是一种去中心化的分布式数据库技术，其特点是去中心化、公开透明、不可篡改、可信任。区块链的每笔数据，都会广播到全网的区块链节点，每个全节点都有全量的、一致的数据。随着区块链技术的火热，出现了许多不同类型的链，应用在金融、健康医疗、供应链、资产管理和溯源等领域。然而大部分链上应用(加密货币或者智能合约)都无法跨越当前链的边界，不能与其他链协同合作实现数据的流通，从而限制了区块链的发挥空间。如何能让不同类型的链协同合作实现数据的流通成了探索的方向。

在现有的一种跨链技术中，在第一区块链中将待发送给第二区块链的跨链消息写入第一区块链的收据，链下的中继设备从第一区块链获取该收据，将该收据提供给第二区块链。该收据中包括对第二区块链的数据读取请求或者对智能合约的调用请求。在该情况中，为了保证区块链中的数据安全性，如何对第二区块链进行访问权限控制，是亟待解决的问题。

因此，需要一种更有效的跨链访问控制方案。

发明内容

本说明书实施例旨在提供一种更有效的跨链访问控制方案，以解决现有技术中的不足。

为实现上述目的，本说明书一个方面提供一种跨链访问控制方法，所述方法由区块链的节点设备执行，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述方法包括：获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括所述第一区块链中的资源的标识和所述资源的授权信息；执行所述第一交易，以进行以下操作：基于所述资源的标识获取用于验证所述数字签名的公钥；使用所述公钥对所述数字签名进行验证；在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。

在一种实施方式中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，基于所述资源的标识确定所述资源的所有者，获取所述所有者的公钥。

在一种实施方式中，所述资源的标识为智能合约的账户地址，基于所述资源的标识确定所述资源的所有者包括，从所述智能合约的账户状态中读取所述智能合约的所有者的账户地址。

在一种实施方式中，所述资源的标识包括第二交易的标识，其中，基于所述资源的标识确定所述资源的所有者包括，基于第二交易的标识从第一区块链中读取发送所述第二交易的账户地址。

在一种实施方式中，所述资源的标识包括第一区块的标识，其中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，基于第一区块的标识，获取在所述跨链合约中预设的第一区块链的所有者的公钥。

在一种实施方式中，所述写入请求中包括所述资源的被授权账户的标识，所述被授权账户被授权在所述访问控制表写入所述资源的授权信息，其中，在所述访问控制表中写入对所述资源的授权信息包括，在所述访问控制表中写入所述资源的被授权账户的标识。

在一种实施方式中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，在所述访问控制表读取所述资源的被授权账户的标识，基于所述被授权账户的标识获取所述被授权账户的公钥。

本说明书另一方面提供一种跨链访问控制方法，所述方法由第一区块链的节点设备执行，所述第一区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述访问控制表中包括所述第一区块链中的资源的授权信息，所述方法包括：获取第三交易，所述第三交易调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链中的资源；执行所述第三交易，以进行以下操作：基于所述访问控制表判断所述访问请求是否被授权；在判断所述访问请求被授权的情况中，进行对所述资源的访问。

在一种实施方式中，所述访问请求中包括发送所述访问请求的第二区块链的标识，其中，基于所述访问控制表判断所述访问请求是否被授权包括：基于所述访问控制表判断所述资源是否为被授权给所述第二区块链的资源。

在一种实施方式中，所述访问请求中还包括请求的对所述资源的访问方式，其中，基于所述访问控制表判断所述访问请求是否被授权包括：基于所述访问控制表判断所述请求的对所述资源的访问方式是否为被授权的访问方式。

在一种实施方式中，所述访问请求为对所述第一区块链中的第一合约的调用请求，其中，进行对所述资源的访问包括，以所述访问请求为传入参数调用所述第一合约。

在一种实施方式中，所述访问请求为对所述第一区块链中的第二数据的读取请求，其中，进行对所述资源的访问包括，从所述第一区块链读取所述第二数据，所述方法还包括，在执行完成所述第三交易之后，在所述第一区块链中存入所述第二数据。

本说明书另一方面提供一种跨链访问控制装置，所述装置部署于区块链的节点设备，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述装置包括：获取单元，配置为，获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括所述第一区块链中的资源的标识和所述资源的授权信息；执行单元，配置为，执行所述第一交易，所述执行单元包括以下子单元：获取子单元，配置为，基于所述资源的标识获取用于验证所述数字签名的公钥；验证子单元，配置为，使用所述公钥对所述数字签名进行验证；写入子单元，配置为，在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。

在一种实施方式中，所述获取子单元还配置为，基于所述资源的标识确定所述资源的所有者，获取所述所有者的公钥。

在一种实施方式中，所述资源的标识为智能合约的账户地址，所述获取子单元还配置为，从所述智能合约的账户状态中读取所述智能合约的所有者的账户地址。

在一种实施方式中，所述资源的标识包括第二交易的标识，其中，所述获取子单元还配置为，基于第二交易的标识从第一区块链中读取发送所述第二交易的账户地址。

在一种实施方式中，所述资源的标识包括第一区块的标识，其中，所述获取子单元还配置为，基于第一区块的标识，获取在所述跨链合约中预设的第一区块链的所有者的公钥。

在一种实施方式中，所述写入请求中包括所述资源的被授权账户的标识，所述被授权账户被授权在所述访问控制表写入所述资源的授权信息，其中，所述写入子单元还配置为，在所述访问控制表中写入所述资源的被授权账户的标识。

在一种实施方式中，所述获取子单元还配置为，在所述访问控制表读取所述资源的被授权账户的标识，基于所述被授权账户的标识获取所述被授权账户的公钥。

本说明书另一方面提供一种跨链访问控制装置，所述装置部署于第一区块链的节点设备，所述第一区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述访问控制表中包括所述第一区块链中的资源的授权信息，所述装置包括：获取单元，配置为，获取第三交易，所述第三交易调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链中的资源；执行单元，配置为，执行所述第三交易，所述执行单元包括以下子单元：判断子单元，配置为，基于所述访问控制表判断所述访问请求是否被授权；访问子单元，配置为，在判断所述访问请求被授权的情况中，进行对所述资源的访问。

在一种实施方式中，所述访问请求中包括发送所述访问请求的第二区块链的标识，其中，所述判断子单元还配置为：基于所述访问控制表判断所述资源是否为被授权给所述第二区块链的资源。

在一种实施方式中，所述访问请求中还包括请求的对所述资源的访问方式，其中，所述判断子单元还配置为：基于所述访问控制表判断所述请求的对所述资源的访问方式是否为被授权的访问方式。

在一种实施方式中，所述访问请求为对所述第一区块链中的第一合约的调用请求，其中，所述访问子单元还配置为，以所述访问请求为传入参数调用所述第一合约。

在一种实施方式中，所述访问请求为对所述第一区块链中的第二数据的读取请求，其中，所述访问子单元还配置为，从所述第一区块链读取所述第二数据，所述装置还包括，存储单元，配置为，在执行完成所述第三交易之后，在所述第一区块链中存入所述第二数据。

本说明书另一方面提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述任一项方法。

本说明书另一方面提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现上述任一项方法。

通过根据本说明书实施例的跨链访问控制方案，使得只有资源的所有者或者由资源所有者授权的账户才可以通过在区块链中调用跨链合约而在ACL表中设置该资源的访问权限，从而保障区块链的数据安全性。区块链在接收到链下的访问请求时，通过执行跨链合约基于ACL表对该访问请求验证权限，从而保障数据安全性。

附图说明

通过结合附图描述本说明书实施例，可以使得本说明书实施例更加清楚：

图1示出根据本说明书实施例的跨链系统的示意图；

图2示出根据本说明书实施例的一种跨链访问控制方法流程图；

图3示出根据本说明书实施例的一种跨链访问控制方法流程图；

图4示出根据本说明书实施例的一种跨链访问控制方法；

图5示出根据本说明书实施例的一种跨链访问控制装置500；

图6示出根据本说明书实施例的一种跨链访问控制装置600。

具体实施方式

下面将结合附图描述本说明书实施例。

图1示出根据本说明书实施例的跨链系统的示意图。如图1所示，所述跨链系统包括第一区块链11、中继设备12和第二区块链13。其中，第一区块链11通过中继设备12与第二区块链13连接。可以理解，这里虽然示意示出了，第一区块链11与第二区块链13通过中继设备12相互连接，本说明书实施例不限于此，例如，第一区块链11与第二区块链13之间可通过多个中继设备相互连接，在此不作限定。第一区块链11中部署有跨链合约，所述跨链合约的账户状态中包括访问控制表(ACL表)，所述ACL表中包括第一区块链11中的资源的授权信息。所述跨链合约中包括ACL表写入函数和权限验证函数。其中，ACL表写入函数中包括身份认证子函数和资源认证子函数。

用户可通过其设备向第一区块链11发送调用跨链合约中ACL表写入函数(下文中简称为写入函数)的交易，以用于在ACL表中写入特定资源的授权信息。当第一区块链11中的节点执行该交易时，首先执行ACL表写入函数，从而通过执行资源认证子函数确定资源的拥有者或被授权者，然后通过身份认证子函数确定该写入请求的发送者是否为所述资源的拥有者或者所述资源的授权者，从而确定是否基于该写入请求对ACL表进行写入。

第一区块链11的链下设备(例如中继设备12)可以通过向第一区块链11发送调用跨链合约的交易，而发送对第一区块链11中的资源的访问请求。第一区块链11中的节点在执行该交易时，首先执行权限验证函数，以基于上述ACL表对该访问请求的访问权限进行验证，在验证通过之后，再进行对所述资源的访问。

可以理解，上述参考图1的描述只是示意性的，而不是用于限制本说明书实施例的范围。下面将具体描述上述访问权限控制方法。

图2示出根据本说明书实施例的一种跨链访问控制方法流程图，所述方法例如由第一区块链11中的任一节点设备执行，所述方法包括以下步骤：

步骤S202，获取交易n及其数字签名。其中，所述n为交易编号，所述交易n调用所述跨链合约中的写入函数，并对所述写入函数提供所述第一区块链中的资源的标识和对所述资源的授权信息；步骤S204，执行交易n，其中，执行交易n包括进行以下步骤：步骤S2041，确定资源的所有者；步骤S2042，验证所述签名是否为所述所有者的签名；步骤S2043，在验证所述数字签名不是所述所有者的签名的情况中，验证所述签名是否为所述资源的被授权账户的签名；步骤S2044，对ACL表进行写入。

下文将通过多种实施方式对图2所示方法进行描述。

在一种实施方式中，第一区块链11中的资源的所有者通过其设备向第一区块链11发送交易n及数字签名，从而，第一区块链11中的各个节点设备执行步骤S202，从第一区块链11中获取交易n及其数字签名。其中，所述数字签名为所述交易n的发送者对所述交易n的数字签名。如图1所示，所述交易n中以写入请求为传入参数调用写入函数，所述写入请求中包括第一区块链中的将要授权的特定资源的标识和对该资源的授权信息。所述资源例如可以包括第一区块链11中的区块数据、交易数据、智能合约等。其中，区块的标识例如包括区块头哈希值或者区块编号等；交易的标识例如包括交易所在区块的标识和交易编号等；所述智能合约的标识例如包括智能合约的账户地址等。所述授权信息例如包括被授权使用该特定资源的区块链的域名、被授权的对该特定资源的使用方式等内容。例如，对于智能合约资源，被授权的使用方式包括调用方式，对于区块数据、交易数据等资源，被授权的使用方式包括读取方式，等等。

之后，第一区块链11中的节点设备执行步骤S204，执行交易n。

所述节点设备在执行交易n的过程中，首先执行步骤S2041，确定资源的所有者(owner)，以确定该交易n的发送者是否为所述特定资源的所有者，即确定该发送者是否有权限对ACL表进行写入。因此，所述节点设备通过执行所述写入函数中的资源认证子函数以确定资源的所有者，并获取该所有者的公钥。

例如，所述特定资源为第一区块链11中部署的智能合约(例如合约1)，所述合约1的账户状态中的所有者字段中记录了该合约1的所有者的账户地址。从而，节点设备通过执行所述资源认证子函数可读取所述合约1的账户状态中的所有者字段，获取所有者的账户地址，并可通过读取所有者的账户的账户状态，获取该所有者的公钥。

例如，所述特定资源为第一区块链11中存储的交易m的交易数据。对于区块链中的交易数据，不同的区块链中可能对交易数据的所有者有不同的规定，例如，在一种区块链中，交易的交易数据包括交易发送者的存证数据，并且在该区块链中规定交易数据的所有者为交易发送者，在另一种区块链中，区块链中可规定交易的所有者为区块链的所有者。所述资源认证子函数可根据第一区块链11中对交易数据所有者的规定预设相应的程序。例如，第一区块链11中规定交易数据的所有者为交易的发送者，则在执行所述资源认证子函数时，根据预设的程序，从第一区块链11中读取交易m的交易数据，从该交易数据中获取交易m的发送账户，并从该发送账户的账户状态中获取该发送账户的账户公钥。如果第一区块链11中规定交易数据的所有者为第一区块链11的所有者，则在执行资源认证子函数时，获取在该资源认证子函数中预设的第一区块链11的所有者的公钥。

例如，所述特定资源为第一区块链11中的区块数据，通常，区块数据的所有者即为相应区块链的所有者。从而，资源认证子函数可与上文类似地获取预设的第一区块链11的所有者的公钥。

然后，节点设备执行步骤S2042，通过执行身份认证子函数确定所述数字签名是否为所述特定资源的所有者的签名。具体是，身份认证子函数在获取特定资源的所有者的公钥之后，使用公钥对所述数字签名进行解密，并计算交易n的哈希值，比较解密获取的数据与所述哈希值是否相同。如果相同，则可确定所述数字签名是所述特定资源的所有者的签名，从而节点设备可执行步骤S2044，通过执行所述写入函数对所述ACL表进行写入。如图1所示，所述ACL表存储在所述跨链合约的账户状态中，对所述ACL表进行写入即对所述跨链合约的账户状态进行更改。如果不同，则节点设备将不会基于写入请求对ACL表进行写入，从而通过执行跨链合约控制对ACL表的写入提高了第一区块链11的数据安全性。表1示出所述ACL表的示意图。

表1

资源	区块链标识	访问方式
合约1账户	域名2、域名4	调用
区块N，交易m	域名2	读取
区块M	域名3	读取

如表1中所示，其中，“资源”一栏用于记录第一区块链11中的资源的标识，该资源例如包括区块数据、交易数据、智能合约等，“区块链标识”一栏用于记录被授权使用相应资源的区块链的标识，在表1中以区块链的域名作为区块链的标识，“访问方式”一栏用于记录相应资源的被授权的访问方式，该访问方式包括对合约的调用和对数据的读取等。具体是，假设第二区块链13的域名为域名2，则表1中记录了，对第二区块链13授权对第一区块链11中的合约1的调用权限、以及对第一区块链11中的区块N中的交易m的读取权限。

可以理解，表1所示的访问控制表仅仅是示意性的，而不是限制性的。例如，区块链标识一栏中不限于记录区块链的域名，而可以记录其它用于唯一标识区块链的区块链标识，另外，访问控制表中不限于包括表1中所示的3栏，而是可以仅记录其中的一栏或两栏，例如，ACL表中可以仅包括表1中的“资源”栏，这表示，对于所有的区块链都授权对合约1的调用权限、对区块N中交易m、和区块M的读取权限。

在一种实施方式中，所述交易n例如请求在ACL表中写入被授权对特定资源设置访问权限的账户标识，该账户标识例如为账户公钥或账户地址等。在该情况中，节点设备在通过执行资源认证子函数和身份认证子函数确定所述数字签名为所述特定资源的所有者的签名之后，在所述ACL表中写入对特定资源授权的账户标识。表2示出该实施方式中ACL表的示意图。

表2

资源	区块链标识	访问方式	被授权账户
合约1账户			abc456、cde352
区块N，交易m			Dec678、ebc426

在如表2所示的ACL表中，与表1不同的是，还包括被授权账户一栏，该被授权账户用于记录被授权在该ACL表中设置资源的访问权限的账户的账户公钥(表2中以 abc456等示意示出)。可以理解，在表2中的被授权账户一栏不限于记录账户公钥，在所述账户为所述第一区块链11中的账户的情况中，在所述ACL表中也可以记录账户地址。

在另一种实施方式中，节点设备在执行步骤S2042确定所述数字签名不是资源所有者的签名之后，可通过执行身份认证子函数而执行步骤S2043，确定所述签名是否为被授权账户的签名。具体是，节点设备通过执行ACL表写入函数从ACL表中读取特定资源的被授权账户的账户公钥，使用该公钥对签名进行验证，从而确定所述签名是否为被授权账户的签名。在ACL表中记录了被授权账户的账户地址的情况中，节点设备可基于该账户地址从第一区块链11中获取该账户对应的公钥，并使用公钥对签名进行验证。

如果节点设备通过执行身份认证子函数确定所述签名是被授权账户的签名，例如，所述交易n中包括合约1的访问权限信息，则所述节点设备通过执行写入函数修改跨链合约的账户状态，在账户状态中的ACL表中写入如表1所示的与合约1账户关联的区块链标识、访问方式等内容。如果通过执行步骤S2043确定所述签名不是被授权账户的签名，则结束方法执行流程，不对ACL表进行写入。

图3示出根据本说明书实施例的一种跨链访问控制方法流程图，所述方法例如由第一区块链11的节点设备执行，所述方法包括以下步骤S302-S304，其中步骤S304中包括步骤S3041～S3045。

在该实施例中，第一区块链11的节点设备首先执行步骤S302，从发送者设备接收交易n及数字签名。所述交易n中以写入请求为传入参数调用写入函数，所述写入请求中包括第一区块链中的将要授权的特定资源的标识、对该资源的授权信息和签名指示信息。所述签名指示信息用于指示所述交易n的签名是资源所有者的签名还是资源的被授权账户的签名。之后，节点设备执行步骤S304，即执行交易n。在执行交易n的过程中，首先执行步骤S3041，在交易n中读取签名指示信息。如果该签名指示信息指示所述签名为资源所有者的标识，即，交易n由所述资源的所有者发送，则节点设备执行步骤S3042，确定资源的所有者，从而获取该所有者的公钥，和步骤S3043，使用所有者的公钥验证所述签名是否为所述所有者的签名，以确定是否执行步骤S3045，即确定是否对ACL表进行写入。如果该签名指示信息指示所述签名为被授权账户的签名，即，交易n由被授权账户发送，则节点设备与上文类似地执行步骤S3044，基于ACL表验证所述签名是否为被授权账户的签名，从而确定是否对ACL表进行写入。

在通过上述方法在跨链合约的账户状态中记录了ACL表之后，第一区块链11在接收到来自链下设备的跨链访问时，可基于该ACL表验证该跨链访问是否具有访问权限，从而基于验证结果确定是否处理该跨链访问。下文将详细描述该对跨链访问进行权限验证的过程。

图4示出根据本说明书实施例的一种跨链访问控制方法流程图，所述方法由第一区块链的节点设备执行，所述方法包括：步骤S402，获取交易q，所述交易q调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链11中的资源；步骤S404，执行所述交易q，以进行以下操作：步骤S4041，基于ACL表判断所述访问请求是否被授权；步骤S4042，在判断所述访问请求被授权的情况中，进行对所述资源的访问。

首先，在步骤S402，获取交易q。

例如，第二区块链13的节点设备可通过中继设备12进行对第一区块链11中的资源的访问。所述访问例如是对第一区块链11中的智能合约的调用或者对第一区块链11中的区块数据或交易数据的读取。第二区块链13的节点设备可通过执行交易而在第二区块链13中存入包括访问请求的数据(例如交易收据)，中继设备12在从第二区块链13中读取到该数据之后，可向第一区块链11发送交易q，其中，在交易q中以该访问请求为传入参数调用跨链合约中的权限验证函数。

所述访问请求例如为具有预定数据结构的数据。例如，所述访问请求用于调用第一区块链11中的合约1，则该访问请求中例如包括合约1的账户地址、将对合约1传入的参数等信息。在一种实施方式中，所述访问请求中还可以包括对合约1的访问方式，即调用方式。在一种实施方式中，所述访问请求中还可以包括以下至少一项：发送区块链标识、接收区块链标识、接收合约(例如合约1)账户、发送账户、接收账户等等。

例如，所述访问请求用于读取第一区块链11中的区块N中的交易m的数据，则该访问请求中例如包括交易m的标识(即区块N，交易m)。在一种实施方式中，所述访问请求中还可以包括对交易m的数据的访问方式，即读取方式。在一种实施方式中，所述访问请求中还可以包括以下至少一项：发送区块链标识、接收区块链标识、发送账户、接收账户等等。

步骤S404，执行所述交易q。

其中，在执行交易q的过程中，首先执行跨链合约中的权限验证函数，从而执行步骤S4041，基于访问控制表判断所述访问请求是否被授权。

在该步骤的执行过程中，通过读取跨链合约的账户状态中的ACL表判断所述访问请求是否被授权，所述ACL表例如如上文表1所示。具体是，获取所述访问请求中请求访问的资源的标识，在ACL表中读取该资源的授权信息，并基于该资源的授权信息，确定该访问请求是否被授权。

例如，该访问请求用于请求调用第一区块链11中的合约1，其中包括合约1的标识、合约1的参数、发送链的标识(第二区块链13)和访问方式(调用)。通过读取表1可确定合约1被授权给第二区块链13(即域名2)，并且授权的访问方式为调用，据此，可确定该访问请求被授权。可以理解，根据ACL表的具体形式的不同，所述访问请求可包括不同的内容。例如所述ACL表中仅包括对各个区块链都授权的资源列表，在该情况中，所述访问请求中可以仅包括资源的标识。

例如，该访问请求用于请求读取第一区块链11中的区块N的交易m的数据，其中包括资源标识(即区块N，交易m)、发送链的标识(第二区块链13)和访问方式(读取)。通过读取表1可确定区块N交易m被授权给第二区块链13，并且授权的访问方式为调用，据此，可确定该访问请求被授权。

之后，执行步骤S4042，在判断所述访问请求被授权的情况中，进行对所述资源的访问。

在确定所述访问请求被授权的情况中，如果该访问请求用于请求调用合约1，则以上述访问请求或者访问请求中包括的合约1的参数为传入参数执行所述合约1，从而完成跨链访问的过程。如果该访问请求用于读取区块N中的交易m，则执行权限验证函数中调用的数据读取函数，以读取区块N中的交易m的数据，并将该读取的数据存入到该交易q的收据中。中继设备12例如被限制为仅可以读取第一区块链11中的特定数据(如与执行跨链合约对应的收据、具有特定主题(例如ACL-read)的收据等等)，中继设备12被节点设备允许读取交易q的收据，并在读取交易q的收据之后，将该收据返回给第二区块链13的节点设备，从而完成该跨链访问过程。

在确定所述访问请求未被授权的情况中，第一区块链11的节点设备将不处理所述访问请求，并返回访问失败信息。

图5示出根据本说明书实施例的一种跨链访问控制装置500，所述装置500部署于区块链的节点设备，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述装置500包括：获取单元51，配置为，获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括所述第一区块链中的资源的标识和所述资源的授权信息；执行单元52，配置为，执行所述第一交易，所述执行单元52包括以下子单元：获取子单元521，配置为，基于所述资源的标识获取用于验证所述数字签名的公钥；验证子单元522，配置为，使用所述公钥对所述数字签名进行验证；写入子单元523，配置为，在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。

在一种实施方式中，所述获取子单元521还配置为，基于所述资源的标识确定所述资源的所有者，获取所述所有者的公钥。

在一种实施方式中，所述资源的标识为智能合约的账户地址，所述获取子单元521还配置为，从所述智能合约的账户状态中读取所述智能合约的所有者的账户地址。

在一种实施方式中，所述资源的标识包括第二交易的标识，其中，所述获取子单元521还配置为，基于第二交易的标识从第一区块链中读取发送所述第二交易的账户地址。

在一种实施方式中，所述资源的标识包括第一区块的标识，其中，所述获取子单元521还配置为，基于第一区块的标识，获取在所述跨链合约中预设的第一区块链的所有者的公钥。

在一种实施方式中，所述写入请求中包括所述资源的被授权账户的标识，所述被授权账户被授权在所述访问控制表写入所述资源的授权信息，其中，所述写入子单元523还配置为，在所述访问控制表中写入所述资源的被授权账户的标识。

在一种实施方式中，所述获取子单元521还配置为，在所述访问控制表读取所述资源的被授权账户的标识，基于所述被授权账户的标识获取所述被授权账户的公钥。

图6示出根据本说明书实施例的一种跨链访问控制装置600，所述装置600部署于第一区块链的节点设备，所述第一区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述访问控制表中包括所述第一区块链中的资源的授权信息，所述装置600包括：获取单元61，配置为，获取第三交易，所述第三交易调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链中的资源；执行单元62，配置为，执行所述第三交易，所述执行单元62包括以下子单元：判断子单元621，配置为，基于所述访问控制表判断所述访问请求是否被授权；访问子单元622，配置为，在判断所述访问请求被授权的情况中，进行对所述资源的访问。

需要理解，本文中的“第一”，“第二”等描述，仅仅为了描述的简单而对相似概念进行区分，并不具有其他限定作用。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域普通技术人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。其中，软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种跨链访问控制方法，所述方法由区块链的节点设备执行，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述方法包括：

获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括第一区块链中的资源的标识和所述资源的授权信息；

执行所述第一交易，以进行以下操作：

基于所述资源的标识获取用于验证所述数字签名的公钥；

使用所述公钥对所述数字签名进行验证；

在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。
根据权利要求1所述的方法，其中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，基于所述资源的标识确定所述资源的所有者，获取所述所有者的公钥。
根据权利要求2所述的方法，其中，所述资源的标识为智能合约的账户地址，基于所述资源的标识确定所述资源的所有者包括，从所述智能合约的账户状态中读取所述智能合约的所有者的账户地址。
根据权利要求2所述的方法，其中，所述资源的标识包括第二交易的标识，其中，基于所述资源的标识确定所述资源的所有者包括，基于第二交易的标识从第一区块链中读取发送所述第二交易的账户地址。
根据权利要求2所述的方法，其中，所述资源的标识包括第一区块的标识，其中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，基于第一区块的标识，获取在所述跨链合约中预设的第一区块链的所有者的公钥。
根据权利要求1-5任一项所述的方法，所述写入请求中包括所述资源的被授权账户的标识，所述被授权账户被授权在所述访问控制表写入所述资源的授权信息，其中，在所述访问控制表中写入对所述资源的授权信息包括，在所述访问控制表中写入所述资源的被授权账户的标识。
根据权利要求1所述的方法，其中，基于所述资源的标识获取用于验证所述数字签名的公钥包括，在所述访问控制表读取所述资源的被授权账户的标识，基于所述被授权账户的标识获取所述被授权账户的公钥。
一种跨链访问控制方法，所述方法由第一区块链的节点设备执行，所述第一区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述访问控制表中包括所述第一区块链中的资源的授权信息，所述方法包括：

获取第三交易，所述第三交易调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链中的资源；

执行所述第三交易，以进行以下操作：

基于所述访问控制表判断所述访问请求是否被授权；

在判断所述访问请求被授权的情况中，进行对所述资源的访问。
根据权利要求8所述的方法，其中，所述访问请求中包括发送所述访问请求的第二区块链的标识，其中，基于所述访问控制表判断所述访问请求是否被授权包括：基于所述访问控制表判断所述资源是否为被授权给所述第二区块链的资源。
根据权利要求9所述的方法，其中，所述访问请求中还包括请求的对所述资源的访问方式，其中，基于所述访问控制表判断所述访问请求是否被授权包括：基于所述访问控制表判断所述请求的对所述资源的访问方式是否为被授权的访问方式。
根据权利要求8-10中任一项所述的方法，其中，所述访问请求为对所述第一区块链中的第一合约的调用请求，其中，进行对所述资源的访问包括，以所述访问请求为传入参数调用所述第一合约。
根据权利要求8-10中任一项所述的方法，其中，所述访问请求为对所述第一区块链中的第二数据的读取请求，其中，进行对所述资源的访问包括，从所述第一区块链读取所述第二数据，所述方法还包括，在执行完成所述第三交易之后，在所述第一区块链中存入所述第二数据。
一种跨链访问控制装置，所述装置部署于区块链的节点设备，所述区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述装置包括：

获取单元，配置为，获取第一交易及其数字签名，所述第一交易调用所述跨链合约，并对所述跨链合约提供写入请求，所述写入请求中包括第一区块链中的资源的标识和所述资源的授权信息；

执行单元，配置为，执行所述第一交易，所述执行单元包括以下子单元：

获取子单元，配置为，基于所述资源的标识获取用于验证所述数字签名的公钥；

验证子单元，配置为，使用所述公钥对所述数字签名进行验证；

写入子单元，配置为，在验证通过的情况中，在所述访问控制表中写入对所述资源的授权信息。
根据权利要求13所述的装置，其中，所述获取子单元还配置为，基于所述资源的标识确定所述资源的所有者，获取所述所有者的公钥。
根据权利要求14所述的装置，其中，所述资源的标识为智能合约的账户地址，所述获取子单元还配置为，从所述智能合约的账户状态中读取所述智能合约的所有者的账户地址。
根据权利要求14所述的装置，其中，所述资源的标识包括第二交易的标识，其中，所述获取子单元还配置为，基于第二交易的标识从第一区块链中读取发送所述第二交易的账户地址。
根据权利要求14所述的装置，其中，所述资源的标识包括第一区块的标识，其中，所述获取子单元还配置为，基于第一区块的标识，获取在所述跨链合约中预设的第一区块链的所有者的公钥。
根据权利要求13-17任一项所述的装置，所述写入请求中包括所述资源的被授权账户的标识，所述被授权账户被授权在所述访问控制表写入所述资源的授权信息，其中，所述写入子单元还配置为，在所述访问控制表中写入所述资源的被授权账户的标识。
根据权利要求13所述的装置，其中，所述获取子单元还配置为，在所述访问控制表读取所述资源的被授权账户的标识，基于所述被授权账户的标识获取所述被授权账户的公钥。
一种跨链访问控制装置，所述装置部署于第一区块链的节点设备，所述第一区块链中部署有跨链合约，所述跨链合约的账户状态中包括与所述区块链对应的访问控制表，所述访问控制表中包括所述第一区块链中的资源的授权信息，所述装置包括：

获取单元，配置为，获取第三交易，所述第三交易调用所述跨链合约，并对所述跨链合约提供访问请求，所述访问请求用于请求访问所述第一区块链中的资源；

执行单元，配置为，执行所述第三交易，所述执行单元包括以下子单元：

判断子单元，配置为，基于所述访问控制表判断所述访问请求是否被授权；

访问子单元，配置为，在判断所述访问请求被授权的情况中，进行对所述资源的访问。
根据权利要求20所述的装置，其中，所述访问请求中包括发送所述访问请求的第二区块链的标识，其中，所述判断子单元还配置为：基于所述访问控制表判断所述资源是否为被授权给所述第二区块链的资源。
根据权利要求21所述的装置，其中，所述访问请求中还包括请求的对所述资源的访问方式，其中，所述判断子单元还配置为：基于所述访问控制表判断所述请求的对所述资源的访问方式是否为被授权的访问方式。
根据权利要求20-22中任一项所述的装置，其中，所述访问请求为对所述第一区块链中的第一合约的调用请求，其中，所述访问子单元还配置为，以所述访问请求为传入参数调用所述第一合约。
根据权利要求20-22中任一项所述的装置，其中，所述访问请求为对所述第一区块链中的第二数据的读取请求，其中，所述访问子单元还配置为，从所述第一区块链读取所述第二数据，所述装置还包括，存储单元，配置为，在执行完成所述第三交易之后，在所述第一区块链中存入所述第二数据。
一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-12中任一项的所述的方法。
一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-12中任一项所述的方法。