一种基于中继的以链治链跨链结构及其访问控制方法技术

本发明专利技术公开一种基于中继的以链治链跨链结构及其访问控制方法，基于中继设计“以链治链”的跨链结构，提出相应访问控制方法，本发明专利技术包括中继交互模块、跨链授权模块、跨链接口模块、数据上传模块和数据获取认证模块；本发明专利技术的各个业务接入链可以是异构的，但针对访问控制的特点接入链必须不能是匿名的，各个应用区块链均可根据自身业务需求运用区块链的自身特点；实现异构的、独立的区块链之间的跨链交互，有效降低对单一授权中心的依赖，有效地实现多个业务接入链之间的数据跨链交互及其异构链间不同实体的访问控制。构链间不同实体的访问控制。构链间不同实体的访问控制。

【技术实现步骤摘要】
一种基于中继的以链治链跨链结构及其访问控制方法


[0001]本专利技术涉及区块链跨链技术，具体涉及一种基于中继的以链治链跨链结构及 其访问控制方法。

技术介绍

[0002]区块链技术为网上交易提供了安全可信的分布式环境，有效地提升互联网交 易的安全和隐私性。随着区块链技术的成熟以及众多交易场景对可信环境的需求， 目前已经有越来越多的交易开始基于区块链运行，而区块链的发展成熟也导致了 区块链间的独立性和异构性，即多个解决方案专门用于特定的用例。大多数主流 的区块链应用也都基于一个独立的、单一的封闭网络。然后，业务的需求促使区 块链产生了大量跨区块链交易需求，然而孤立的网络环境，以及链与链之间没有 一种可信的交互环境，极大的限制了链与链之间的交互操作，如资产转移，信息 共享等。
[0003]“以链治链”跨链是指通过一个中继网络连接独立的，可异构的业务区块链网 络，实现不同业务接入链网络之间的交互操作。为区块链系统本来就是一种特殊 的分布式账簿数据库系统，所以转移的数据，最常见的即为资产的数据，而随着 区块链应用场景的丰富，跨链技术也更多的应用于将A链上数据、信息安全可 信的转移到B链上区块链互操作场景。另一方面，区块链跨链技术除了能够实 现业务接入链之间的数据共享、互操作等功能外，还可以解决单一区块链自身存 在的交易性能低，存储能力弱的问题。因此跨链对于区块链技术和应用的发展有 着重要的意义。
[0004]目前主流的区块链跨链技术方案按照其具体的实现方式主要有：公证人机制、 哈希锁定、侧链和中继链、分布式私钥控制。而目前较为成熟的跨链项目Cosmos 和Polkadot，均采用基于中继思想的多链多层架构。因此基于中继的以链治链跨 链结构将是未来跨链技术的主要发展方向。
[0005]随着跨链技术的发展，跨链过程的隐私性，以及链与链之间的隐私保护和访 问控制成为跨链技术发展需要解决的问题。当前的方法通过中继链/侧链等方法 传递交互数据内容无法确保交互过程安全性，因此会破坏区块链的分布式和安全 特性。以数据监管跨链为例，在监管指令下达的过程中，监管链作为源区块链、 业务链作为目的区块链，需要由监管链上的具体监管实体生成上传监管请求，该 请求将通过跨链方法分发至业务区块链，获取业务区块链上的指定数据内容，将 源区块链与业务区块链对调，将跨链传输业务链查询得到的监管数据交互至监管 链上指定的监管实体节点。
[0006]因此，亟需一种实现跨链交互过程隐私保护和访问控制的方法，来确保指定 的监管和业务实体可以访问，而其他区块链上的节点无法获取交互内容。

技术实现思路

[0007]专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种基于中 继的以链治链跨链结构及其访问控制方法，通过引入以链治链、中继链智能合约、 以及多授权
中心的属性基加密技术，本专利技术实现一种异构的、独立的业务区块链 之间的跨链交互方法，同时能够确保交互过程数据的隐私保护和交互过程的访问 控制，特别适用于保障异构链间可信互操作。
[0008]技术方案：本专利技术的一种基于中继的以链治链跨链结构，包括一条中继区块 链和至少两条应用区块链；应用区块链在访问控制过程分为源区块链和目的区块 链；中继区块链中设有多个接入点、多个授权节点、连接器合约、交易主体合约 和密钥生成合约，进而构成中继交互模块；
[0009]业务接入链(即应用区块链)的接入节点和中继区块链中的接入节点构成跨 链接口模块，且业务接入链通过Raft共识法产生接入节点，接入节点与相应接 入节点在业务接入链与中继区块链建立连接，实现跨链数据内容的上传，辅助跨 链授权模块向各业务接入链分发授权和后续的数据跨链操作；
[0010]跨链授权模块包括中继区块链上的授权节点和密钥生成合约，其中授权节点 为从多个密钥生成节点中选择的部分节点，授权节点执行密钥生成合约，并生成 访问控制所需的属性密钥；
[0011]源区块链上节点和源区块链中相关功能合约合约构成数据上传模块，源区块 链经过跨链接口模块完成身份注册，将其链名称和链业务等特有属性上传到中继 区块链，并通过调用跨链授权模块生成并分发各业务接入链对应的属性密钥PK； 业务接入链实体对待跨链的数据内容使用对称加密和属性基加密实现跨链过程 的隐私保护、访问控制和高效跨链；
[0012]目的区块链上节点和业务合约构成获取认证模块，目的区块链经过跨链接口 模块完成身份注册，将其特有属性上传到中继区块链，并通过调用跨链授权模块 生成并分发目的链对应的属性密钥SK
T
；目的链将从中继区块链内获取跨链内容 密文并完成认证解密，从而确保满足访问控制策略的目的区块链能够获取最终的 跨链数据内容。
[0013]其中中继交互模块、跨链授权模块、跨链接口模块、数据上传模块和数据获 取认证模块共同实现异构的业务接入链间的跨链交互及其交互过程的访问控制。 中继交互模块实现对接入节点上传数据的共享，实现对接入区块链所需密钥的生 成和分发，并且还可实现对全部的跨链操作进行记录。
[0014]连接器合约负责业务接入链链节点在中继区块链内注册和密钥的分发，各个 业务接入链链通过链上的连接器调用中继区块链内的连接器合约进行身份注册； 连接器合约将存储有关参与的区块链网络以及代理如何与业务接入链交互的信 息。
[0015]交易主体合约负责跨链交互交易主体的数据处理，其主要负责在中继区块链 内存储两类业务信息：数据发布记录信息、以及数据访问记录信息。当数据发布 链发布请跨链业务请求，将通过链上的连接器调用中继区块链内的业务主体合约， 该合约将待跨链的数据信息记录上传到中继区块链内；当数据的接收链从中继区 块链中获取该跨链数据时，将通过链上的连接器调用中继区块链内的业务主体合 约，该合约会将跨链数据的读取记录上传到中继区块链中。
[0016]密钥生成合约负责跨链过程中访问控制参数和密钥的生成，生成密钥后，每 个授权节点将生成部分私钥即私钥构件，需要将私钥生成的记录上传至中继区块 链中。
[0017]进一步地，跨链授权模块中授权节点的选择确认和密钥生成的具体过程为：
[0018]步骤S1、设有多个属性权威中心AA，每个属性权威中心AA均负责部分属 性对应私钥的生成，各个属性权威中心AA的私钥组合成用户的完整私钥，从多 个授权节点中选择部分节点作为授权中心节点(即属性权威中心()，具体如下：
[0019]首先根据跨链业务的需求决定所需要的AA的数量为n，并从授权节点中选 择xn个节点，x表示选择n个授权节点的组数；然后设x组授权节点分别为AA
g1
、 AA
g2
、
…
、AA
gx
，每组中具有n个节点作为多属性授权中心，参与密钥的生成； 接着将x组授权节点轮流作为属性授权中心，但每组属性授权中心使用相同的公 共参数和主密钥，因此在轮流的过程中通过安全通道的方式将公共参数和主密钥 传递给下一组；
[0020]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于中继的以链治链跨链结构，其特征在于：包括一条中继区块链和至少两条应用区块链；应用区块链在访问控制过程分为源区块链和目的区块链；中继区块链中设有多个接入点、多个授权节点、连接器合约、交易主体合约和密钥生成合约，进而构成中继交互模块；业务接入链的接入节点和中继区块链中的接入节点构成跨链接口模块，且业务接入链通过Raft共识法产生接入节点，接入节点与相应接入节点在业务接入链与中继区块链建立连接，实现跨链数据内容的上传，辅助跨链授权模块向各业务接入链分发授权和后续的数据跨链操作；跨链授权模块包括中继区块链上的授权节点和密钥生成合约，其中授权节点为从多个密钥生成节点中选择的部分节点，授权节点执行密钥生成合约，并生成访问控制所需的属性密钥；源区块链上节点和源区块链中相关功能合约合约构成数据上传模块，源区块链经过跨链接口模块完成身份注册，将其链名称和链业务中的特有属性上传到中继区块链，并通过调用跨链授权模块生成并分发各业务接入链对应的属性密钥PK；业务接入链实体对待跨链的数据内容使用对称加密和属性基加密实现跨链过程的隐私保护、访问控制和高效跨链；目的区块链上节点和业务合约构成获取认证模块，目的区块链经过跨链接口模块完成身份注册，将其特有属性上传到中继区块链，并通过调用跨链授权模块生成并分发目的链对应的属性密钥SK
T
；目的链将从中继区块链内获取跨链内容密文并完成认证解密，从而确保满足访问控制策略的目的区块链能够获取最终的跨链数据内容。2.根据权利要求1所述的基于中继的以链治链跨链结构，其特征在于：所述跨链授权模块中授权节点的选择确认和密钥生成的具体过程为：步骤S1、设有多个属性权威中心AA，每个属性权威中心AA均负责部分属性对应私钥的生成，各个属性权威中心AA的私钥组合成用户的完整私钥，从多个授权节点中选择部分节点作为属性权威中心，具体如下：首先根据跨链业务的需求决定所需要的AA的数量为n，并从授权节点中选择xn个节点，x表示选择n个授权节点的组数；然后设x组授权节点分别为AA
g1
、AA
g2
、
…
、AA
gx
，每组中具有n个节点作为多属性授权中心，参与密钥的生成；接着将x组授权节点轮流作为授权中心节点，但每组属性授权中心使用相同的公共参数和主密钥，因此在轮流的过程中通过安全通道的方式将公共参数和主密钥传递给下一组；步骤S2、初始化，即确定作为授权中心的节点组AA
g
后，进行属性基加密算法的初始化；以安全参数λ作为输入，每个AA根据所负责的属性集合生成对应的公共参数PK
k
和系统主密钥MK
k
；其中主密钥由各自AA隐私保存，一组授权中心生成的PK
k
将组合成为总体公共参数PK；除此之外，为实现AA的灵活选择，每个AA之间协商一对秘密参数，用于同一组授权中心节点；步骤S3、密钥生成；以系统总体公共参数PK、以及各个授权中心生成的系统主密钥MK
k
，用户的属性T作为输入，根据用户的属性得到部分私钥sk，最终用户得到一组授权中心生成的部分私钥，最终得到解密私钥SK
T
。3.根据权利要求1所述的基于中继的以链治链跨链结构，其特征在于：所述数据上传模块的具体工作过程为：
步骤1、源区块链节点将需要跨链传输的数据内容M使用对称密钥K加密，并将加密得到的密文C
M
上传到星系文件系统IPFS中存储；C
M
←
Encrypt(K,M)，K＝K1×
K2；步骤2、存储完成后，IPFS将返回存储地址L，源区块链中业务实体将应用属性基加密的方式以公共参数PK和访问控制策略w为输入，对存储地址L进行加密，得到密文C
w
；C
w<...

【专利技术属性】
技术研发人员：王良民，经普杰，冯霞，宋香梅，余春堂，许昱玮，胡轶宁，
申请(专利权)人：江苏大学，
类型：发明
国别省市：