一种基于可信执行环境的跨链系统及方法技术方案

本发明专利技术提供一种基于可信执行环境的跨链系统及方法，涉及区块链技术领域。该系统中跨链客户端为跨链交易的实际发起者，通过所属平行链的跨链合约发布一个跨链事件。平行链为各个独立运行的区块链，负责具体的业务，通过中继链来进行跨链互操作。跨链路由为平行链全节点，监听平行链上的跨链事件。中继链进行平行链管理、跨链交易的可信验证与访问权限控制，同时记录各平行链交易状态以及转发跨链交易，链上执行跨链消息传输协议。当中继链收到一个来自跨链路由的跨链交易时，将验证其合法性和访问权限并根据跨链消息传输协议的目的链字段转发给相应目的链的跨链路由。该系统可灵活注册平行链和跨链路由信息，满足特定区块链的跨链交互需求。跨链交互需求。跨链交互需求。

【技术实现步骤摘要】
一种基于可信执行环境的跨链系统及方法


[0001]本专利技术涉及区块链
，尤其涉及一种基于可信执行环境的跨链系统及方法。

技术介绍

[0002]随着区块链技术的快速发展，各种面向不同组织机构、不同应用场景的区块链层出不穷，这就出现了一个新的应用需求：跨不同区块链交互操作。然而由于区块链之间共识算法、区块生成与验证规则、交易广播、安全机制等逻辑存在较大差异，区块链间的交互面临着诸多困难。此外，跨链交互的数据隐私问题也会带来一些业务上的安全隐患。目前虽然已经提出了一些可行的跨链方法，但这些方法往往没有考虑到数据隐私的问题，或者考虑不全面。

技术实现思路

[0003]本专利技术要解决的技术问题是针对上述现有技术的不足，提供一种基于可信执行环境的跨链系统及方法，以实现有跨链需求的客户端通过所属区块链向目标区块链发起一个跨链交易，并通过加密技术和可信执行环境来保障跨链数据的隐私安全，同时为跨链系统提供细粒度的访问控制机制来防止跨链数据被滥用，其访问控制机制可以随时更新。
[0004]为解决上述技术问题，本专利技术所采取的技术方案是：
[0005]一方面，本专利技术提供一种基于可信执行环境的跨链系统，包括多个客户端、多个平行链、多个跨链路由、中继链；
[0006]所述多个客户端为跨链交易的实际发起者；当某一客户端需要进行跨链交互时，该客户端通过所属平行链的跨链合约发布一个跨链事件；
[0007]所述多个平行链为多个独立运行的区块链，每个区块链负责具体的业务，通过中继链来进行跨链互操作；只有在中继链上注册过的平行链才能进行跨链交互；
[0008]所述多个跨链路由：为平行链上的全节点，监听平行链上的跨链事件；当跨链路由监听到跨链事件，将根据跨链消息传输协议构造跨链交易并发送给中继链；当跨链路由收到中继链转发的跨链交易，将验证并执行该跨链交易，待该交易被确认之后，将根据跨链消息传输协议构造带有交易执行结果和证明的跨链交易并发送给中继链；每条平行链对应一个跨链路由；
[0009]所述中继链是由多个中继链节点共同维护的一个分布式账本，用于进行平行链管理、跨链交易的可信验证与访问权限控制，同时记录各平行链交易状态以及转发跨链交易，中继链上执行跨链消息传输协议；当中继链节点收到一个来自跨链路由的跨链交易时，将根据跨链消息传输协议和平行链注册的细粒度访问权限控制策略来验证其合法性和访问权限，在跨链交易经过中继链共识算法确认并上链后，根据跨链消息传输协议转发给相应目的链的跨链路由；中继链节点与跨链路由之间通过执行一个可信密钥分发方案来建立安全的加密通信通道；
[0010]所述跨链消息传输协议为一个通用的跨链消息传输协议，用于在异构的平行链之间统一跨链消息传输格式，并用于验证跨链交易的四种信息，一是跨链信息的真实性证明，即该跨链信息是否确实存在于来源链上，是否确实是来源链发送给目的链的；二是跨链交易的有效性证明，即来自来源链的交易到达目的链时的状态仍然是有效的；三是授权证明，必须验证该交易请求的资源是对来源链开放的；四是跨链交易未经过篡改；
[0011]所述可信密钥分发方案是一种在中继链节点和跨链路由之间建立点对点加密通道的方案；该方案在中继链节点和跨链路由之间生成一个共同密钥，并利用此密钥来传输跨链交易数据；
[0012]所述细粒度访问权限控制策略是指中继链将执行来自平行链注册的访问权限管理条例来对跨链交易进行验证，确保跨链业务的数据安全。
[0013]优选的，所述中继链节点的平台设备配置有可信执行环境，中继链节点之间通过远程认证互相确认身份；中继链节点将在可信执行环境中解密跨链交易并进行访问权限确认以保护跨链数据的隐私；如果验证通过则将跨链交易重新加密并根据交易的目的链字段通过点对点加密通道转发给相应的跨链路由。
[0014]优选的，所述跨链路由为可信节点；当平行链加入跨链平台时，由跨链路由向中继链注册相应的验证交易合法性规则、访问权限控制规则以及跨链路由证书；跨链路由启动时，将与中继链节点沟通一个通信密钥，用于后续的跨链交易加密传输；跨链路由监听到所属平行链的客户端发布的跨链事件后，将根据跨链事件中提供的信息，和跨链消息传输协议，生成交易证明，构造跨链交易，并通过加密通道传输给中继链节点。
[0015]优选的，所述中继链节点的可信执行环境为IntelSGX，采用IntelSGX的远程证实来证明代码在平台上正确加载，并防止机密数据被恶意攻击者获取。
[0016]优选的，所述可信密钥分发方案利用椭圆曲线加密算法和DH密钥交换算法实现。
[0017]优选的，所述跨链路由和中继链节点之间利用数字签名和对称加密算法，对跨链消息进行签名和加密保护。
[0018]优选的，所述中继链节点在收到一个跨链交易时，需要验证跨链路由的签名以防消息被篡改，然后在可信执行环境中用相应的通信密钥解密，并验证跨链交易访问的资源是否具有权限。
[0019]优选的，所述跨链消息传输协议包括以下字段：来源链ID、目的链ID、交易类型、交易序列号、跨链交易发起用户ID、跨链交易时间戳、跨链交易有效期、跨链路由签名、跨链交易证明、负载数据信息，其中各字段含义和作用为：
[0020]1)来源链ID：来源链为跨链交易发起方的平行链，每个平行链有一个唯一的标识；
[0021]2)目的链ID：目的链为跨链交易接收方的平行链；
[0022]3)交易类型：指明该跨链交易的性质；
[0023]4)交易序列号：交易序列号为跨链交易的索引；
[0024]5)跨链交易发起用户ID：即在平行链上发布跨链事件的客户端的ID，用于权限验证；
[0025]6)跨链交易时间戳：指明跨链交易发生的时间；
[0026]7)跨链交易有效期：表明跨链交易的有效时长；
[0027]8)跨链交易证明：跨链交易的合法性证明，用于中继链的验证；
[0028]9)负载数据：跨链交易的具体内容；
[0029]10)跨链路由签名：用于验证该跨链交易的来源可靠和完整性。
[0030]优选的，所述细粒度访问权限控制策略将由客户端向平行链的跨链访问权限管理智能合约注册，跨链路由监听此合约，并通过跨链路由的注册和更新机制将访问控制策略发布到中继链；访问权限控制策略包括以下信息：授权访问链、资源路径、授权操作、授权用户；其中：
[0031]a)授权访问链：申请资源访问的区块链，即跨链交易的来源链；
[0032]b)资源路径：指向访问资源；
[0033]c)授权操作：开放的资源访问的权限；
[0034]d)授权用户：为一个机构，或某个具体用户，同时支持通配符。
[0035]另一方面，本专利技术还提供一种基于可信执行环境的跨链方法，包括平行链向中继链注册，平行链的客户端更新细粒度访问权限控制策略，平行链的客户端发起跨链交易访问另一个平行链的资源三部分；
[0036]所述平行链向中继链注册的具体方法为：
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信执行环境的跨链系统，其特征在于：包括多个客户端、多个平行链、多个跨链路由、中继链；所述多个客户端为跨链交易的实际发起者；当某一客户端需要进行跨链交互时，该客户端通过所属平行链的跨链合约发布一个跨链事件；所述多个平行链为多个独立运行的区块链，每个区块链负责具体的业务，通过中继链来进行跨链互操作；只有在中继链上注册过的平行链才能进行跨链交互；所述多个跨链路由：为平行链上的全节点，监听平行链上的跨链事件；当跨链路由监听到跨链事件，将根据跨链消息传输协议构造跨链交易并发送给中继链；当跨链路由收到中继链转发的跨链交易，将验证并执行该跨链交易，待该交易被确认之后，将根据跨链消息传输协议构造带有交易执行结果和证明的跨链交易并发送给中继链；每条平行链对应一个跨链路由；所述中继链是由多个中继链节点共同维护的一个分布式账本，用于进行平行链管理、跨链交易的可信验证与访问权限控制，同时记录各平行链交易状态以及转发跨链交易，中继链上执行跨链消息传输协议；当中继链节点收到一个来自跨链路由的跨链交易时，将根据跨链消息传输协议和平行链注册的细粒度访问权限控制策略来验证其合法性和访问权限，在跨链交易经过中继链共识算法确认并上链后，根据跨链消息传输协议转发给相应目的链的跨链路由；中继链节点与跨链路由之间通过执行一个可信密钥分发方案来建立安全的加密通信通道；所述跨链消息传输协议为一个通用的跨链消息传输协议，用于在异构的平行链之间统一跨链消息传输格式，并用于验证跨链交易的四种信息，一是跨链信息的真实性证明，即该跨链信息是否确实存在于来源链上，是否确实是来源链发送给目的链的；二是跨链交易的有效性证明，即来自来源链的交易到达目的链时的状态仍然是有效的；三是授权证明，必须验证该交易请求的资源是对来源链开放的；四是跨链交易未经过篡改；所述可信密钥分发方案是一种在中继链节点和跨链路由之间建立点对点加密通道的方案；该方案在中继链节点和跨链路由之间生成一个共同密钥，并利用此密钥来传输跨链交易数据；所述细粒度访问权限控制策略是指中继链将执行来自平行链注册的访问权限管理条例来对跨链交易进行验证，确保跨链业务的数据安全。2.根据权利要求1所述的一种基于可信执行环境的跨链系统，其特征在于：所述中继链节点的平台设备配置有可信执行环境，中继链节点之间通过远程认证互相确认身份；中继链节点将在可信执行环境中解密跨链交易并进行访问权限确认以保护跨链数据的隐私；如果验证通过则将跨链交易重新加密并根据交易的目的链字段通过点对点加密通道转发给相应的跨链路由。3.根据权利要求2所述的一种基于可信执行环境的跨链系统，其特征在于：，所述中继链节点的可信执行环境为Intel SGX，采用Intel SGX的远程证实来证明代码在平台上正确加载，并防止机密数据被恶意攻击者获取。4.根据权利要求1所述的一种基于可信执行环境的跨链系统，其特征在于：所述跨链路由为可信节点；当平行链加入跨链平台时，由跨链路由向中继链注册相应的验证交易合法性规则、访问权限控制规则以及跨链路由证书；跨链路由启动时，将与中继链节点沟通一个
通信密钥，用于后续的跨链交易加密传输；跨链路由监听到所属平行链的客户端发布的跨链事件后，将根据跨链事件中提供的信息，和跨链消息传输协议，生成交易证明，构造跨链交易，并通过加密通道传输给中继链节点。5.根据权利要求1所述的一种基于可信执行环境的跨链系统，其特征在于：所述可信密钥分发方案利用椭圆曲线加密算法和DH密钥交换算法实现。6.根据权利要求2
‑
5任一项所述的一种基于可信执行环境的跨链系统，其特征在于：所述跨链路由和中继链节点之间利用数字签名和对称加密算法，对跨链消息进行签名和加密保护。7.根据权利要求1所述的一种基于可信执行环境的跨链系统，其特征在于：所述中继链节点在收到一个跨链交易时，需要验证跨链路由的签名以防消息被篡改，然后在可信执行环境中用相应的通信密钥解密，并验证跨链交易访问的资源是否具有权限。8.根据权利要求1所述的一种基于可信执行环境的跨链系统，其特征在于：所述跨链消息传输协议包括以下字段：来源链ID、目的链ID、交易类型、交易序列号、跨链交易发起用户ID、跨链交易时间戳、跨链交易有效期、跨链路由签名、跨链交易证明、负载数据信息，其中各字段含义和作用为：1)来源链ID：来源链为跨链交易发起方的平行链，每个平行链有一个唯一的标识；2)目的链ID：目的链为跨链交易接收方的平行链；3)交易类型：指明该跨链交易的性质；4)交易序列号：交易序列号为跨链交易的索引；5)跨链交易发起用户ID：即在平行链上...

【专利技术属性】
技术研发人员：陈钟，李青山，高健博，任立峰，蓝英，
申请(专利权)人：博雅正链重庆科技有限公司南京博雅区块链研究院有限公司，
类型：发明
国别省市：