一种面向联盟链的跨链访问可信权限管理系统及方法

摘要

本发明公开了一种面向联盟链的跨链访问可信权限管理系统及方法。该系统包括跨链管理中心、跨管链、应用链及其管理员和节点。跨管链负责管理不同应用链节点之间的权限访问，实现不同区块链之间的权限访问控制和留痕；跨管链由不同应用链的管理员、跨链管理中心负责管理维护。跨链管理中心负责管理应用链的接入认证，通过为应用链颁发CA证书，应用链管理员持有CA证书接入跨管链。本发明解决了不同联盟链在共识算法差异、权限访问控制策略差异上的情况下的跨链访问，实现了不同区块链中节点之间的权限访问控制和留痕。

说明书

技术领域

本发明属于区块链技术领域，尤其涉及一种面向联盟链的跨链访问可信权限管理系统及方法。

背景技术

跨链：每一个单独的区块链网络都是一个相对独立的网络，数据信息之间不能做到互通，他需要通过一种跨链技术来实现价值互联网。目前的跨链技术主要有五种，它们分别是它们分别为公证人机制(Notary schemes)、侧链/中继(Sidechains/relays)、哈希锁定(Hash-locking)、分布式私钥控制(Distributed private keycontrol)、“公证人机制+侧链”混合技术。

权限访问控制技术：目前与区块链结合的权限访问控制技术主要有RBAC、ABAC、CapBAC、CP-ABE、SmartOrBAC等，这些权限访问控制技术与区块链结合，利用了区块链去中心化的特性、解决了物联网系统中的单点故障、依赖一个可信实体的问题，在一个单独的区块链网络上很好的使用，但是在不同的区块链网络中不能实现信息的互通，即在不同的区块链网络上不能实现权限访问控制信息的共享。

发明内容

本发明的目的在于针对现有技术的不足，提供一种面向联盟链的跨链访问可信权限管理系统及方法。本发明拟解决不同链之间在跨链时的数据访问问题。

本发明的目的是通过以下技术方案来实现的：一种面向联盟链的跨链访问可信权限管理系统，包括跨链管理中心、跨管链、应用链及其管理员和节点。

跨管链负责管理不同应用链节点之间的权限访问，跨管链由不同应用链的管理员、跨链管理中心负责管理维护。

跨链管理中心负责管理应用链的接入认证，通过为应用链颁发CA证书，应用链管理员持有CA证书接入跨管链。

应用链管理员负责维护本应用链，并搜集本应用链下的跨链请求/访问控制策略发往跨管链、搜集跨管链的跨链请求/访问控制策略同步到本应用链。

一种面向联盟链的跨链访问可信权限管理方法，包括如下步骤：

1)跨链管理中心启动：跨链管理中心启动一个或多个节点，跨链管理中心节点群通过投票来决定应用链管理员的申请接入。

2)应用链接入：在这里的应用链要求是一个联盟链，且存在一个或多个管理节点；

3)应用链接入跨管链：跨管链由各应用链管理员进行管理，最终实现接入跨管链的联盟链间统一共识。

4)应用链数据同步到所在链：应用链管理员成功接入到跨管链上后，能够获得其它链共享的数据列表，应用链管理员可以将这些信息通过自定义的方式接入到自己所在的区块链网络上。

5)应用链跨链请求：节点跨链请求另一条链上的数据时需要首先在本链上发布一个请求交易，然后由应用链管理员在跨管链上发布一条跨链请求交易放置在跨管链上。

6)应用链跨链访问处理：节点由本链管理员告知其是否有数据要被访问，节点负责对访问请求进行确认，确认结果和接入方式等信息放在本链和跨管链上以告知请求节点。

7)应用链访问数据：请求节点接收到本链管理员告知的访问方式等信息，并访问要访问的数据。

进一步地，所述步骤2)具体为：应用链管理节点向跨链管理中心发起申请，跨链管理中心将请求以交易的形式上传到跨管链上。跨管链上的其它节点从跨管链系统中接收应用链上链请求。跨管链管理中心从跨管链上接收到应用链申请通过消息后，由跨链管理中心向应用链管理员颁布CA证书，并将应用链的相关注册信息组织成交易发布在跨管链、各应用链上，交易中包括应用链的编号、接入方式等。由跨管链管理中心通知应用链申请通过，并告知CA证书等相关信息。

进一步地，所述步骤3)具体为：应用链管理员持所获得CA证书接入跨管链，获取并同步跨管链数据，完成后由应用链管理员向跨管链成员共享所在区块链网络中准许外部区块链系统访问的数据、访问方式列表、访问要求、接入方式，可接入链等，这些信息将以交易的形式同步到每一个管理跨管链的应用链管理员上。

进一步地，所述步骤3)中的访问方式包括可读、可写和可执行。

进一步地，所述步骤5)具体为：当A、B两条应用链已经接入了跨管链，在B链上有一条可共享的数据i，且A链是可接入链，在A、B两链上分别有a、b两个节点，管理员节点为ma、mb。a节点在请求访问b节点的数据时，需要申请访问授权；申请访问授权将以交易的方式发布在A链网络中，ma接收A链的授权访问请求，信息同步成功后由ma在跨管链中发布一条申请访问授权交易。跨链访问交易被抛出前需要应用链节点的签名。

进一步地，所述步骤6)具体为：ma在跨管链上发布了一条申请访问授权交易后，B链管理员mb接收到相关信息，mb将这条交易放置发布在B链上，告知节点b有数据要被访问；节点b获知A链的a后判断是否授权。由受访问节点b对该交易进行签名确认，确认交易同步到B链后，管理员mb从B链上获知该确认交易并发布在跨管链上，跨管链数据同步成功即表示该交易成立，授权访问规则将按照交易中内容执行。

进一步地，所述步骤6)中，节点b的确认结果和访问接入方式等信息放在本链B和跨管链上以告知请求节点a。

进一步地，所述步骤7)具体为：A链管理员ma接收到mb发出的同意访问请求，将这条交易信息上传到A链告知a节点，a节点从A链上获得请求结果，并以本链管理员ma告知的访问方式对b链数据i进行访问。

本发明的有益效果是：本发明通过跨管链来管理不同区块链的权限访问，实现不同区块链之间的权限访问控制和留痕；预先定义了跨管链、跨链管理中心两类角色；跨管链负责管理不同应用链节点之间的权限访问，跨管链由不同应用链的管理员、跨链管理中心负责管理维护；跨链管理中心负责管理应用链的接入认证，通过为应用链颁发CA证书，应用链管理员持有CA证书接入跨管链。本发明解决了在不同联盟链的共识算法差异、权限访问控制策略差异上的跨链访问。

附图说明

图1是面向联盟链的跨链访问可信权限管理系统架构图；

图2是面向联盟链的跨链访问可信权限管理方法流程示意图。

具体实施方式

下面根据附图和具体实施例详细描述本发明，本发明的目的和效果将变得更加明显。

如图1所示，本发明一种面向联盟链的跨链访问可信权限管理系统，包括包括跨链管理中心、跨管链、应用链及其管理员和节点。其中，跨管链负责管理不同应用链节点之间的权限访问，跨管链由不同应用链的管理员、跨链管理中心负责管理维护；跨链管理中心负责管理应用链的接入认证，通过为应用链颁发CA证书，应用链管理员持有CA证书接入跨管链；应用链管理员负责维护本应用链，并搜集本应用链下的跨链请求/访问控制策略发往跨管链、搜集跨管链的跨链请求/访问控制策略同步到本应用链。

本发明一种面向联盟链的跨链访问可信权限管理方法包括如下步骤，以下序号i～viii、1～13与图2对应：

1)跨链管理中心启动：跨链管理中心启动一个或多个节点，跨链管理中心节点群通过群投票来决定应用链管理员的申请接入。

2)应用链申请接入：在这里的应用链要求是一个联盟链，且存在一个或多个管理节点，该过程为：

i.应用链管理节点向跨链管理中心发起申请。

ii.跨链管理中心将该请求以交易的形式上传到跨管链上。

iii.跨管链上的其它节点从跨管链系统中接收该应用链上链请求。

iv.跨链管理中心节点及跨管链系统的其它节点等通过投票来决定应用链管理员的申请接入是否被允许，投票结果将以交易的形式上传到跨管链上。

v.跨管链管理中心从跨管链上接收到该应用链申请通过消息后，由跨链管理中心向该应用链管理员颁布CA证书，并将该应用链的相关注册信息组织成交易发布在跨管链、各应用链上，交易中包括应用链的编号、接入方式等。

vi.由跨管链管理中心通知该应用链申请通过，并告知CA证书等相关信息。

3)应用链接入跨管链：跨管链由各应用链管理员进行管理，最终实现接入跨管链的联盟链间统一共识；具体的过程为：

vii.应用链管理员持所获得CA证书接入跨管链，获取并同步跨管链数据，完成后由应用链管理员向跨管链成员共享所在区块链网络中准许外部区块链系统访问的数据、访问方式(可读、可写、可执行)列表、访问要求、接入方式、可接入链等，这些信息将以交易的形式同步到每一个管理跨管链的应用链管理员上。

4)应用链数据同步到所在链：

viii.应用链管理员成功接入到跨管链上后，能够获得其它链共享的数据列表，应用链管理员可以将这些信息通过自定义的方式接入到自己所在的区块链网络上。

5)应用链跨链请求：首先假定在A、B两条区块链已经接入了跨管链，在B链上有一条可共享的数据i，数据的访问方式是read-only，满足访问要求，且A链是可接入链，在A、B两链上分别有a、b两个节点，管理员节点为ma、mb。现a节点在请求访问b节点的数据时，需要申请访问授权，节点跨链请求另一条链上的数据时需要首先在本链上发布一个请求交易，然后由应用链管理员在跨管链上发布一条跨链请求交易放置在跨管链上；具体的过程为：

1.申请访问授权将以交易的方式发布在A链网络中。

2.ma接收到本链的授权访问请求。

3.信息同步成功后由ma在跨管链中发布一条申请访问授权交易。跨链访问交易被抛出前需要应用链节点的签名才能得到跨链系统的认可。

6)应用链跨链访问处理：应用链的跨链访问请求要传递到数据节点b上去，节点由本链管理员告知其是否有数据要被访问，节点负责对访问请求进行确认，确认结果和接入方式等信息放在本链和跨管链上以告知请求节点；具体的过程为：

4.应用链管理员ma在跨管链上发布了一条申请访问授权交易后，B链管理员mb接收到相关信息。

5.mb将这条交易放置发布在B链上，告知节点b有数据要被访问。

6.节点b从B链上获知A链的a节点需要访问自己的数据，于是调用相关的策略判断是否授权。

7.在一定时间T内由受访问节点b对该交易进行签名确认，确认交易同步到区块链B上。

8.管理员mb从B链上获知该确认交易。

9.管理员mb将该确认交易发布在跨管链上，跨管链数据同步成功后即表示该交易成立，授权访问规则将按照交易中内容执行。其中，节点b的确认结果和访问接入方式等信息放在本链B和跨管链上以告知请求节点a。

7)应用链访问数据：请求节点接收到本链管理员告知的访问方式等信息，并访问要访问的数据；具体为：

10.A链管理员ma接收到mb发出的同意访问请求。

11.将这条交易信息上传到A链上，以此告知a节点。

12.a节点从A链上获得其请求结果的信息。

13.请求节点a将以该链管理员ma告知的访问方式read-only等信息对b节点数据i进行访问。