以太坊网络系统及通信方法、设备及计算机可读存储介质 |
|||||||
| 申请号 | CN201910670200.0 | 申请日 | 2019-07-24 | 公开(公告)号 | CN110474884B | 公开(公告)日 | 2024-04-23 |
| 申请人 | 北京百度网讯科技有限公司; | 发明人 | 潘思远; 王辉; 陈浩栋; 毛宏斌; 宋雨筱; 孟洋; | ||||
| 摘要 | 本 发明 提供一种以太坊网络系统及通信方法、网关设备、设备及计算机可读存储介质,以太坊网络系统包括一个以上企业网络;企业网络包括内网区域和隔离区域;内网区域包括一个以上以太坊 节点 ;隔离区域中设置有网关节点;同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接;不同企业网络中的网关节点之间通信连接;响应于接收到所在的第一企业网络中的以太坊节点发送的数据消息,第一网关节点根据数据消息中目的地址,获取目的地址对应的第二网关节点,通过安全隧道将数据消息发送给第二网关节点,以便第二网关节点将数据消息发送给第二企业网络中上述目的地址的以太坊节点,以保护以太坊私链中数据的安全性。 | ||||||
| 权利要求 | 1.一种以太坊网络系统的通信方法,其特征在于,所述以太坊网络系统包括一个以上企业网络;所述企业网络包括内网区域和隔离区域;所述内网区域包括一个以上以太坊节点;所述隔离区域中设置有网关节点;同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接;不同企业网络中的所述网关节点之间通信连接;所述方法包括: |
||||||
| 说明书全文 | 以太坊网络系统及通信方法、设备及计算机可读存储介质【技术领域】 [0001] 本发明涉及以太坊技术,尤其涉及一种以太坊网络系统及通信方法、网关设备、设备及计算机可读存储介质。【背景技术】 [0002] 区块链技术能够使得各个参与方对于数据达成一致的共识,其中以太坊(Ethereum)利用区块链技术实现了一条公链。以太坊是一个开源的有智能合约功能的公共区块链平台,通过其专用加密货币以太币(Ether,ETH)提供去中心化的以太虚拟机(Ethereum Virtual Machine,EVM)来处理点对点合约。通过以太坊,参与方使用自身的以太坊节点加入到同一条链上,从而使参与方能够在一条链上的数据达成共识,任意参与方的以太坊节点上都保存了相同的数据副本,没有任何一个参与方能够做到擅自更改链上的数据。 [0003] 现有的以太坊主要是以太坊公链,但是以太坊也支持企业搭建自己的私链或企业间的联盟链,作为企业内部搭建的以太坊私链或企业间的联盟链时,它不应该和以太坊公链一样是一条公开的、可任意访问的链。 [0004] 然而,以太坊本身是从公链的角度出发进行设计和开发的,它没有具备权限准入或者限制的机制。那么如果企业需要搭建自身的私链或搭建企业间的联盟链时,就必须把所有的以太坊节点放在企业内网中。如果有跨不同企业的内网、或者同一个企业的不同网络区域的需求,就必须考虑以太坊节点的数据保护的问题,而目前还不存在此情况下对以太坊节点进行数据保护的相关技术。【发明内容】 [0005] 本发明的多个方面提供一种以太坊网络系统及通信方法、网关设备、设备及计算机可读存储介质,用以保护以太坊私链中数据的安全性。 [0006] 本发明的一方面,提供一种以太坊网络系统的通信方法,所述以太坊网络系统包括一个以上企业网络;所述企业网络包括内网区域和隔离区域;所述内网区域包括一个以上以太坊节点;所述隔离区域中设置有网关节点;同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接;不同企业网络中的所述网关节点之间通信连接;所述方法包括: [0007] 响应于接收到所在的第一企业网络中的以太坊节点发送的数据消息,第一网关节点根据所述数据消息中目的地址,获取所述目的地址对应的第二网关节点; [0008] 所述第一网关节点通过与所述第二网关节点之间的安全隧道,将所述数据消息发送给所述第二网关节点,以便所述第二网关节点将所述数据消息发送给所述第二网关节点所在的第二企业网络中所述目的地址的以太坊节点。 [0009] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述安全隧道包括:基于安全传输层协议的安全隧道。 [0010] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述接收到所在的第一企业网络中的以太坊节点发送的数据消息之前,还包括: [0011] 所述第一网关节点与所述第二网关节点之间双向验证数字证书; [0012] 响应于双向验证数字证书通过,所述第一网关节点与所述第二网关节点之间建立所述安全隧道。 [0013] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一网关节点与所述第二网关节点之间双向验证数字证书,包括: [0014] 所述第一网关节点与所述第二网关节点接受认证授权机构CA服务器配置的数字证书和允许建立通信连接的其他网关节点的地址信息; [0015] 所述第一网关节点读取配置的第二网关节点的地址信息,并向所述第二网关节点发送所述第一网关节点的数字证书;所述第二网关节点读取配置的第一网关节点的地址信息,并向所述第一网关节点发送所述第二网关节点配置的数字证书; [0016] 所述第一网关节点利用所述第二网关节点配置的数字证书的公钥对所述第二网关节点配置的数字证书上的签字进行验证;所述第二网关节点利用所述第一网关节点配置的数字证书的公钥对所述第一网关节点配置的数字证书上的签字进行验证。 [0017] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一网关节点通过与所述第二网关节点之间的安全隧道,将所述数据消息发送给所述第二网关节点,包括: [0018] 所述第一网关节点对所述数据消息进行网络地址转换和安全隧道的协议封装后,通过与所述第二网关节点之间的安全隧道将得到的封装消息发送给所述第二网关节点; [0019] 所述第二网关节点将所述数据消息发送给所述第二网关节点所在的第二企业网络中所述目的地址的以太坊节点,包括: [0020] 所述第二网关节点对通过安全隧道接收到的所述封装消息进行所述安全隧道的协议解封装和网络地址转换,得到所述数据消息并发送给所述目的地址的以太坊节。 [0021] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,还包括: [0022] 同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间,通过点对点P2P方式进行数据消息收发。 [0023] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述以太坊网络系统包括以太坊联盟区块链Quorum网络系统;所述以太坊节点为Quorum节点;所述网关节点包括Quorum网关节点;所述Quorum节点与所述Quorum网关节点中设置有允许连接的节点列表。 [0024] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,还包括: [0025] 同一个Quorum网络系统中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,在允许连接的节点列表中的节点范围内,通过P2P方式进行公有数据消息收发。 [0026] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,还包括: [0027] 同一个Quorum网络系统中,在建立通信连接的Quorum节点之间,对私有交易消息数据进行加密传输。 [0028] 本发明的另一方面,提供一种以太坊网络系统,包括一个以上企业网络; [0029] 所述企业网络包括内网区域和隔离区域;所述内网区域包括一个以上以太坊节点;所述隔离区域中设置有网关节点;同一个所述企业网络中的所述以太坊节点之间、以及所述以太坊节点与所述网关节点之间通信连接;不同所述企业网络中的所述网关节点之间通信连接;其中: [0030] 第一网关节点,位于第一企业网络中,用于响应于接收到第一企业网络中的以太坊节点发送的数据消息,根据所述数据消息中目的地址,获取所述目的地址对应的第二网关节点;以及通过与所述第二网关节点之间的安全隧道,将所述数据消息发送给所述第二网关节点; [0031] 所述第二网关节点,位于第二企业网络中,用于将所述数据消息发送给所述第二企业网络中所述目的地址的以太坊节点。 [0032] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述安全隧道包括:基于安全传输层协议的安全隧道。 [0033] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一网关节点,还用于与所述第二网关节点进行数字证书的双向验证;以及响应于数字证书的双向验证通过,与所述第二网关节点之间建立所述安全隧道。 [0034] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一网关节点对所述第二网关节点进行数字证书验证时,用于: [0035] 与所述第二网关节点接受认证授权机构CA服务器配置的数字证书和允许建立通信连接的其他网关节点的地址信息; [0036] 读取配置的第二网关节点的地址信息,并向所述第二网关节点发送所述第一网关节点的数字证书; [0037] 利用所述第二网关节点配置的数字证书的公钥对所述第二网关节点配置的数字证书上的签字进行验证。 [0038] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第一网关节点通过与所述第二网关节点之间的安全隧道,将所述数据消息发送给所述第二网关节点时,用于:对所述数据消息进行网络地址转换和安全隧道的协议封装后,通过与所述第二网关节点之间的安全隧道将得到的封装消息发送给所述第二网关节点; [0039] 所述第二网关节点将所述数据消息发送给所述第二网关节点所在的第二企业网络中所述目的地址的以太坊节点时,用于:对通过安全隧道接收到的所述封装消息进行所述安全隧道的协议解封装和网络地址转换,得到所述数据消息并发送给所述目的地址的以太坊节。 [0040] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间,通过点对点P2P方式进行数据消息收发。 [0041] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述以太坊网络系统包括以太坊联盟区块链Quorum网络系统;所述以太坊节点为Quorum节点;所述网关节点包括Quorum网关节点;所述Quorum节点与所述Quorum网关节点中设置有允许连接的节点列表。 [0042] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,同一个Quorum网络系统中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,在允许连接的节点列表中的节点范围内,通过P2P方式进行公有数据消息收发。 [0043] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,同一个Quorum网络系统中,在建立通信连接的Quorum节点之间,对私有交易消息数据进行加密传输。 [0044] 本发明的另一方面,提供一种设备,所述设备包括: [0045] 一个或多个处理器; [0046] 存储装置,用于存储一个或多个程序, [0047] 当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述一方面所提供的通信方法。 [0048] 本发明的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述一方面所提供的通信方法。 [0049] 由上述技术方案可知,本发明实施例通过将企业网络划分为内网区域和隔离区域,以太坊节点位于内网区域,在隔离区域中设置有网关节点,同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接,不同企业网络中的所述网关节点之间通信连接,接收到所在的第一企业网络中的以太坊节点发送的数据消息时,第一网关节点根据数据消息中目的地址对应的第二网关节点,通过与第二网关节点之间的安全隧道,将数据消息发送给所述第二网关节点,以便第二网关节点将数据消息发送给第二企业网络中所述目的地址的以太坊节点。由此,所有的以太坊节点均位于企业内网,与公网隔离,可以通过网关节点实现跨企业内网的区块链网络的互通,使得对外只暴露安全可控的网关节点,从而能应用于企业内部的私链和企业间的联盟链中。 [0051] 另外,采用本发明所提供的技术方案,通过在企业网络中加入网关节点,具备更强的拓展型,更小的侵入型,能够实现更为丰富的权限控制。 [0052] 另外,采用本发明所提供的技术方案,可以应用于以太坊联盟区块链(Quorum)的孵化产品中,使得联盟链产品可以不对外直接暴露区块链节点(Quorum节点),从而提高了联盟链的隐私保护。【附图说明】 [0053] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 [0054] 图1为本发明一实施例提供的以太坊网络系统的结构示意图; [0055] 图2为本发明另一实施例提供的以太坊网络系统的结构示意图; [0056] 图3为本发明一实施例提供的通信方法的流程示意图; [0057] 图4为本发明另一实施例提供的通信方法的流程示意图; [0059] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。 [0060] 需要说明的是,本发明实施例中所涉及的终端可以包括但不限于手机、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、个人电脑(Personal Computer,PC)、MP3播放器、MP4播放器、可穿戴设备(例如,智能眼镜、智能手表、智能手环等)等。 [0061] 另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。 [0062] 本发明的主要思想是将企业网络划分为内网区域和隔离区域,以太坊节点位于内网区域,在隔离区域中设置有网关节点,同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接,不同企业网络中的网关节点之间通信连接,网关节点之间的安全隧道,实现跨企业网络的数据传输,以证了内网数据在公网传输的保密性和安全性。 [0063] 图1为本发明一实施例提供的以太坊网络系统的结构示意图。如图1所示,本实施例的以太坊网络系统包括一个以上企业网络11。其中,企业网络11包括内网区域111和隔离区域(demilitarized zone,DMZ)112,内网区域111包括一个以上以太坊节点,隔离区域112中设置有网关节点。同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接,不同企业网络中的网关节点之间通信连接。其中: [0064] 第一网关节点101,位于第一企业网络中,用于响应于接收到第一企业网络中的以太坊节点发送的数据消息,根据数据消息中目的地址,获取目的地址对应的第二网关节点;以及通过与该第二网关节点之间的安全隧道,将该数据消息发送给第二网关节点; [0065] 第二网关节点102,位于第二企业网络中,用于将上述数据消息发送给第二企业网络中上述目的地址的以太坊节点。 [0066] 需要说明的是,本实施例所提供的以太坊网络系统的部分或全部可以为位于本地终端的应用,或者还可以为设置在位于本地终端的应用中的插件或软件开发工具包(Software Development Kit,SDK)等功能单元,或者还可以为位于网络侧服务器中的搜索引擎,或者还可以为位于网络侧的分布式系统,本实施例对此不进行特别限定。 [0067] 可以理解的是,所述应用可以是安装在终端上的本地程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本实施例对此不进行特别限定。 [0068] 这样,所有的以太坊节点均位于企业内网,与公网隔离,可以通过网关节点实现跨企业内网的区块链网络的互通,使得对外只暴露安全可控的网关节点,从而能应用于企业内部的私链和企业间的联盟链中。 [0069] 另外,采用本发明所提供的技术方案,使得跨企业网络的通信数据在安全隧道中进行传输,从而保证了内网数据在公网传输的保密性和安全性。 [0070] 另外,采用本发明所提供的技术方案,通过在企业网络中加入网关节点,具备更强的拓展型,更小的侵入型,能够实现更为丰富的权限控制。 [0071] 另外,采用本发明所提供的技术方案,可以应用于Quorum的孵化产品中,使得联盟链产品可以不对外直接暴露区块链节点(Quorum节点),从而提高了联盟链的隐私保护。 [0072] 可选地,在本实施例的一个可能的实现方式中,可以通过安全隧道传输的数据消息例如可以包括但不限于:交易消息广播数据,区块头部广播数据,区块本身数据的广播数据,区块链上数据的数据类型数据,共识算法相关的协议的消息数据,Quorum网络系统中交易管理(Tessera)消息的类型数据,等等,任意需要跨企业网络传输的数据。 [0073] 本发明实施例中的安全隧道可以是基于任意通信协议的加密隧道。可选地,在本实施例的一个可能的实现方式中,安全隧道为基于安全传输层协议(Transport Layer Security Protocol,TSL)的安全隧道。 [0074] 图2为本发明另一实施例提供的以太坊网络系统的结构示意图。如图2所示,示出了跨三个企业网络的以太坊联盟链的网络拓扑结构。所有的以太坊节点(即区块链节点)均位于内网区域,与公网隔离;网关节点位于隔离区域,通过网关节点实现跨企业网络的区块链网络的互通。网关节点之间的通信采用了基于TLS的安全隧道,保证了私链上数据在公网传输中的保密性。本领域技术人员基于本发明实施例的记载可以知悉,任意多个数量的企业网络的以太坊联盟链的网络拓扑结构的实现类似,本发明实施例不再赘述。 [0075] 可选地,在本实施例的一个可能的实现方式中,以太坊网络系统包括以Quorum网络系统。相应地,在Quorum网络系统中以太坊节点具体为Quorum节点,网关节点具体为Quorum网关节点。每个Quorum节点与Quorum网关节点中设置有允许连接的节点列表,其中允许连接的节点列表中记录了该节点允许连接的节点(可以是Quorum节点和/或Quorum网关节点)的节点标识(ID)以及地址信息。 [0076] 可选地,在本实施例的一个可能的实现方式中,同一个Quorum网络系统中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,在允许连接的节点列表中的节点范围内,通过P2P方式进行公有数据消息收发。 [0077] 可选地,在本实施例的一个可能的实现方式中,同一个Quorum网络系统中,在建立通信连接的Quorum节点之间,对私有交易(也称为隐私交易)消息数据进行加密传输,即,发送方Quorum节点以预设加密算法和密钥对私有交易消息数据进行加密后传输给接收方Quorum节点,接收方Quorum节点以预设加密算法和密钥进行解密获得私有交易消息数据。 [0078] Quorum节点具有以下两部分功能:一部分是以太坊节点的功能;另一部分是交易管理器(Transaction Manager)功能,负责隐私交易的管理与传播。因此,Quorum的网络协议在原有的以太坊的网络协议的基础上,多了交易管理器所使用的网络协议。例如,以交易管理器的一种实现Tessera为例,具有Tessera的Quorum节点间使用了超文本传输协议(hypertext transport protocol,HTTP)作为两个Quorum节点间的P2P网络的应用层协议。为了使的得跨企业网络的隐私交易能够顺利进行,Quorum网关节点支持Tessera的网络协议,并作为消息路由的角色,把隐私交易的数据正确地路由到目的企业网络中的另一个具有Tessera的Quorum节点中,从而实现隐私交易数据的安全传输。 [0079] 可选地,在本实施例的一个可能的实现方式中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,基于HTTP的请求/响应的模式进行消息交互和数据传输,具有Tessera的Quorum节点中保存了可连接的节点列表(可以包括具体的地址信息或者IP地址段,等),一个Quorum节点可以从另一Quorum节点获取该另一Quorum节点可连接的节点列表,一个Quorum网络系统中的Quorum节点可以从该Quorum网络系统中的Quorum网关节点获取其可以连接的节点列表,包括其他Quorum网络系统中的地址信息,该Quorum节点需要向另一Quorum节点发送数据消息时,可以将该数据消息发送给其所在Quorum网络系统中的Quorum网关节点,由Quorum网关节点将该数据消息通过安全隧道发送给目的Quorum网络系统中的Quorum网关节点,再由该Quorum网关节点将该数据消息发送给相应的接收方Quorum节点。 [0080] 需要说明的是,图1~图2对应的实施例中以太坊网络系统,可以执行本发明实施例提供的通信方法。详细描述可以参见本发明图3~图4对应的实施例中的相关内容,此处不再赘述。 [0081] 图3为本发明一实施例提供的通信方法的流程示意图。本发明实施例中的通信方法可以基于图1所示实施例的以太坊网络系统实现,因此,二者内容可以相互结合、引用,相关内容或同一节点执行的操作相互参考即可。 [0082] 如图3所示,该实施例的通信方法包括: [0083] 201、响应于接收到所在的第一企业网络中的以太坊节点发送的数据消息,第一网关节点根据数据消息中目的地址,获取该目的地址对应的第二网关节点。 [0084] 202、第一网关节点通过与第二网关节点之间的安全隧道,将数据消息发送给第二网关节点,以便第二网关节点将数据消息发送给第二网关节点所在的第二企业网络中目的地址的以太坊节点。 [0085] 需要说明的是,101~203的执行主体的部分或全部可以为位于本地终端即服务提供商的终端设备的应用,或者还可以为设置在位于本地终端的应用中的插件或软件开发工具包(Software Development Kit,SDK)等功能单元,或者还可以为位于网络侧服务器中的处理引擎,或者还可以为位于网络侧的分布式系统,本实施例对此不进行特别限定。 [0086] 可以理解的是,所述应用可以是安装在终端上的本地程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本实施例对此不进行特别限定。 [0087] 这样,所有的以太坊节点均位于企业内网,与公网隔离,可以通过网关节点实现跨企业内网的区块链网络的互通,使得对外只暴露安全可控的网关节点,从而能应用于企业内部的私链和企业间的联盟链中。 [0088] 另外,采用本发明所提供的技术方案,使得跨企业网络的通信数据在安全隧道中进行传输,从而保证了内网数据在公网传输的保密性和安全性。 [0089] 另外,采用本发明所提供的技术方案,通过在企业网络中加入网关节点,具备更强的拓展型,更小的侵入型,能够实现更为丰富的权限控制。 [0090] 另外,采用本发明所提供的技术方案,可以应用于Quorum的孵化产品中,使得联盟链产品可以不对外直接暴露区块链节点(Quorum节点),从而提高了联盟链的隐私保护。 [0091] 可选地,在本实施例的一个可能的实现方式中,可以通过安全隧道传输的数据消息例如可以包括但不限于:交易消息广播数据,区块头部广播数据,区块本身数据的广播数据,区块链上数据的数据类型数据,共识算法相关的协议的消息数据,Quorum网络系统中交易管理(Tessera)消息的类型数据,等等,任意需要跨企业网络传输的数据。 [0092] 可选地,在本发明另一实施例的通信方法中,在201之前,还可以包括: [0093] 第一网关节点与第二网关节点之间双向验证数字证书; [0094] 响应于双向验证数字证书通过,第一网关节点与第二网关节点之间建立安全隧道。 [0095] 本发明实施例中的安全隧道可以是基于任意通信协议的加密隧道。可选地,在本实施例的一个可能的实现方式中,安全隧道为基于TSL的安全隧道。 [0096] 本实施例中,通过网关节点与之间双向验证数字证书,在双向验证数字证书通过后,才建立网关节点之间的安全隧道,从而保证具备相应权限的网关节点的准入,从而可以有效实现网关节点之间的双向身份认证,从而保证了数据的安全性。 [0097] 可选地,在本实施例的一个可能的实现方式中,第一网关节点与第二网关节点之间双向验证数字证书,可以通过如下方式实现: [0098] 第一网关节点与第二网关节点接受认证授权机构(CA)服务器配置的数字证书和允许建立通信连接的其他网关节点的地址信息; [0099] 第一网关节点读取配置的第二网关节点的地址信息,并向第二网关节点发送第一网关节点的数字证书;第二网关节点读取配置的第一网关节点的地址信息,并向第一网关节点发送第二网关节点配置的数字证书; [0100] 第一网关节点利用第二网关节点配置的数字证书的公钥对第二网关节点配置的数字证书上的签字进行验证;第二网关节点利用第一网关节点配置的数字证书的公钥对第一网关节点配置的数字证书上的签字进行验证。 [0101] 若第一网关节点和第二网关节点配置的数字证书均通过验证,则第一网关节点与第二网关节点之间双向验证数字证书通过,否则,只要第一网关节点和第二网关节点中任意一个或者两个配置的数字证书未通过验证,则第一网关节点与第二网关节点之间双向验证数字证书未通过。 [0102] 可选地,在本实施例的一个可能的实现方式中,网关节点可以向CA申请数字证书,在CA确认网关节点的身份后,便为该网关节点分配一个公钥,并且CA将该公钥与网关节点的身份信息绑定在一起,并为之签字后,便形成数字证书发给该网关节点。另一个网关节点想验证该数字证书时可以用CA的公钥对该数字证书上的签字进行验证,若验证通过,认为该数字证书有效。其中,CA自身也拥有一个数字证书(内含公钥)和私钥。任意网关节点都可以得到CA的数字证书(含公钥),用以验证它所签发的数字证书。 [0103] 图4为本发明另一实施例提供的通信方法的流程示意图。如图4所示,该实施例的通信方法包括: [0104] 301、响应于接收到所在的第一企业网络中的以太坊节点发送的数据消息,第一网关节点根据数据消息中目的地址,获取该目的地址对应的第二网关节点。 [0105] 302、第一网关节点对数据消息进行网络地址转换和安全隧道的协议封装后,通过与第二网关节点之间的安全隧道将得到的封装消息发送给第二网关节点。 [0106] 303、第二网关节点对通过安全隧道接收到的封装消息进行安全隧道的协议解封装和网络地址转换,得到数据消息并发送给目的地址的以太坊节。 [0107] 可选地,在本实施例的一个可能的实现方式中,同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间,通过点对点(peer‑to‑peer,P2P)方式进行数据消息收发。 [0108] 以太坊本身的p2p网络从传输层以上可以看作是一个四层的网络结构,这四层所使用的网络协议分别为传输控制协议(Transmission Control Protocol,TCP)、加密网络和传输协议(RLPx)、P2P链接的消息和消息交互协议(DEVP2P)以及以太坊总线协议(Ethereum Wire Protocol)。从以太坊节点的角度,网关节点完全透明,以太坊节点将网关节点作为自身的一个对等节点看待,从而网关节点本身和以太坊节点间的通信是基于以太坊原生的P2P网络的,通过实现P2P网络的四层协议,网关节点能够完成与以太坊节点的握手、并进行通信。由于使用的是以太坊原生的P2P网络,因此,同一个企业网络中的网关节点和以太坊节点间不需要认证与准入,但是由于网关节点和以太坊节点间的通信位于同一个企业网络的内网区域和DMZ间,因此可以保证通信数据的安全和保密性。 [0109] 可选地,在本实施例的一个可能的实现方式中,以太坊网络系统包括Quorum网络系统。相应地,在Quorum网络系统中以太坊节点具体为Quorum节点,网关节点具体为Quorum网关节点。每个Quorum节点与Quorum网关节点中设置有允许连接的节点列表,其中允许连接的节点列表中记录了该节点允许连接的节点(可以是Quorum节点和/或Quorum网关节点)的节点标识(ID)以及地址信息,其中节点ID唯一表示一个节点。 [0110] 可选地,在本实施例的一个可能的实现方式中,同一个Quorum网络系统中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,在允许连接的节点列表中的节点范围内,通过P2P方式进行公有数据消息收发,其中的公有消息数据即非私有交易消息数据以外的任意消息数据。 [0111] 可选地,在本实施例的一个可能的实现方式中,同一个Quorum网络系统中,在建立通信连接的Quorum节点之间,对私有交易消息数据进行加密传输。 [0112] Quorum节点具有以下两部分功能:一部分是以太坊节点的功能;另一部分是交易管理器(Transaction Manager)功能,负责隐私交易的管理与传播。因此,Quorum的网络协议在原有的以太坊的网络协议的基础上,多了交易管理器所使用的网络协议。例如,以交易管理器的一种实现Tessera为例,具有Tessera的Quorum节点间使用了超文本传输协议(hypertext transport protocol,HTTP)作为两个Quorum节点间的P2P网络的应用层协议。为了使的得跨企业网络的隐私交易能够顺利进行,Quorum网关节点支持Tessera的网络协议,并作为消息路由的角色,把隐私交易的数据正确地路由到目的企业网络中的另一个具有Tessera的Quorum节点中,从而实现隐私交易数据的安全传输。 [0113] 可选地,在本实施例的一个可能的实现方式中,Quorum节点之间、以及Quorum节点与Quorum网关节点之间,基于HTTP的请求/响应的模式进行消息交互和数据传输,具有Tessera的Quorum节点中保存了可连接的节点列表(可以包括具体的地址信息或者IP地址段,等),一个Quorum节点可以从另一Quorum节点获取该另一Quorum节点可连接的节点列表,一个Quorum网络系统中的Quorum节点可以从该Quorum网络系统中的Quorum网关节点获取其可以连接的节点列表,包括其他Quorum网络系统中的地址信息,该Quorum节点需要向另一Quorum节点发送数据消息时,可以将该数据消息发送给其所在Quorum网络系统中的Quorum网关节点,由Quorum网关节点将该数据消息通过安全隧道发送给目的Quorum网络系统中的Quorum网关节点,再由该Quorum网关节点将该数据消息发送给相应的接收方Quorum节点。 [0114] 本发明实施例中,通过将企业网络划分为内网区域和隔离区域,以太坊节点位于内网区域,在隔离区域中设置有网关节点,同一个企业网络中的以太坊节点之间、以及以太坊节点与网关节点之间通信连接,不同企业网络中的所述网关节点之间通信连接,接收到所在的第一企业网络中的以太坊节点发送的数据消息时,第一网关节点根据数据消息中目的地址对应的第二网关节点,通过与第二网关节点之间的安全隧道,将数据消息发送给所述第二网关节点,以便第二网关节点将数据消息发送给第二企业网络中所述目的地址的以太坊节点。由此,所有的以太坊节点均位于企业内网,与公网隔离,可以通过网关节点实现跨企业内网的区块链网络的互通。 [0115] 另外,采用本发明所提供的技术方案,使得跨企业网络的通信数据在安全隧道中进行传输,从而保证了内网数据在公网传输的保密性和安全性。 [0116] 需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。 [0117] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。 [0118] 图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。图4显示的计算机系统/服务器12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。 [0119] 如图5所示,计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,存储装置或者系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。 [0120] 总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。 [0121] 计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。 [0122] 系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD‑ROM,DVD‑ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。 [0123] 具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如系统存储器28中,这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。 [0124] 计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口44进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,可以结合计算机系统/服务器12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。 [0126] 本发明另一实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现图3~如4所对应的实施例所提供的通信方法。 [0127] 具体来说,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。 [0128] 计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。 [0129] 计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。 [0130] 可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。 [0131] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。 [0132] 在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或页面组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。 [0133] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。 [0134] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。 [0135] 上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一个计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。 [0136] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。 |
||||||
QQ群二维码
意见反馈
意见反馈