一种区块链系统安全管控方法与流程

本发明涉及区块链技术领域，更为具体的，涉及一种区块链系统安全管控方法。

背景技术：

目前区块链技术，尤其是联盟链技术已在各领域进行探索和落地，如何在确保区块链系统去中心化自治的前提下，加强对区块链的监管和有效管控，是当前整个区块链行业，特别是国内区块链环境下需要考虑的问题。一般而言，联盟链如果出现异常状况，可以启用监管机制和治理措施做出跟踪惩罚或进一步的治理措施，以减少损失。由于联盟链分布式的特性，联盟链网络由成员机构共同维护，由联盟链平台提供成员管理、认证、授权、监控、审计等安全管理功能，对区块链运行监管检测、区块链交易监管检测、区块链数据内容监管监测治理等。

在与本发明处于相同领域的现有技术中，例如公开号为cn112580988a的中国专利申请公开了基于区块链技术的电网安全风险管控方法，包括系统初始化与对首次接入终端物联网的连接在变电站的智能配用电终端进行注册交易；系统初始化，控制终端利用账户生成工具为包括自己在内的每个区块链节点创建相应的区块链账户，并完成智能合约部署；对首次接入终端物联网的连接在变电站的智能配用电终端进行注册。通过在区块链网络中设有控制终端，控制终端专门用于对厂站侧智能配用电终端进行身份审核，可独立执行注册与更新交易，大大提高了管理效率，降低资源消耗。由于厂站侧智能配用电终端管理系统需要通过区块链网络向控制终端发送相关请求，区块链网络对相关请求与交易均上链记录，因此数据不可篡改，将永久保存，安全性高。但是，该方法的主要思路是从单笔交易出发，定义交易本身的内容来实现风险管控，不能解决外部安全管控的问题。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种区块链系统安全管控方法，不管交易内容，而是从外部，如调用过程，对交易进行管控，为区块链的监管方和运营方，提供了有效的管控思路和管控模式，具体解决了以下问题：对联盟链出现违规成员组织节点的管控问题；对联盟链智能合约漏洞或者业务规则出现违规的管控问题；对联盟链违规交易的管控问题。

本发明的目的是通过以下方案实现的：

一种区块链系统安全管控方法，包括步骤：

s1，管控组织节点；

s2，管控智能合约；

s3，管控交易行为。

进一步地，在步骤s1中，包括步骤：

s11，获取组织违规举报告警信息；

s12，根据步骤s11获取的信息查询组织是否存在，如果不存在，则结束；如果存在，则进入步骤s13；

s13，查询组织当前状态信息；

s14，判断当前组织状态是否为正常，如果正常则进入步骤s15，如果不正常，则进入步骤s16；

s15，将组织状态变更为禁用；

s16，获取该组织通信证书，下发接入服务禁用标识；

s17，查询组织接入的联盟链信息列表；

s18，将组织从联盟链移除；

s19，将组织信息移入黑名单。

进一步地，在步骤s2中，包括步骤：

s21，通过智能合约管控整条联盟链；

s22，通过智能合约调用管控单个合约。

进一步地，在步骤s21中，包括步骤：

s211，获取到联盟链合约执行异常告警；

s212，查询联盟链是否存在，如果存在，则进入步骤s213；如果不存在，则结束；

s213，变更联盟链状态为禁用；

s214，将联盟链禁用状态同步到所有成员节点。

进一步地，在步骤s22中，包括步骤：

s221，获取到联盟链合约执行异常告警；

s222，查询联盟链是否存在，如果存在，查询该智能合约状态是否为启用，如果启用，则进入步骤s223；如果不存在，则结束；

s223，将该智能合约状态变为禁用；

s224，下发该合约禁用状态至各组织节点；

s225，组织节点对应的接入服务中移除该合约的调用入口。

进一步地，在步骤s3中，包括步骤：

s31，建立交易黑名单；

s32，对交易信息查询管控；

s33，对区块信息查询管控。

进一步地，在步骤s31中，包括步骤：

s311，获取区块链组织管理系统上报的交易黑名单信息；

s312，保存交易黑名单及联盟链信息；

s313，根据联盟链名称查询联盟链成员信息；

s314，下发交易黑名单。

进一步地，在步骤s32中，包括步骤：

s321，获取到交易数据查询请求；

s322，判断交易黑名单列表是否已存在步骤s321中获取的交易数据；如果否，则结束；如果是，则进入步骤s323；

s323，按照查询请求获取查询结果数据；

s324，对查询结果数据进行合法性校验；

s325，判断合规性校验是否通过，如果是，则返回查询数据到业务层；如果否，则进入步骤s326；

s326，将交易hash及联盟链名称上传到区块链应用管理系统，并将交易数据写入到交易黑名单列表；

s327，返回交易数据异常提示。

进一步地，在步骤s33中，包括步骤：

s331，获取区块详情查询请求；

s332，根据查询结果获取到区块数据及区块交易列表；

s333，对区块交易列表信息做合法性校验；

s334，判断是否存在交易未通过交易信息，如果不存在，将区块完整信息返回到业务层；如果存在，则进入步骤s335；

s335，将交易hash及联盟链名称上传到区块链应用管理系统；

s336，将未通过交易信息移入到交易黑名单；

s337，将黑名单交易从区块的交易列表移除；

s338，返回移除后的区块详情信息。

本发明的有益效果包括：

本发明的方法不管交易内容，而是从外部，如调用过程等，对交易进行管控，为区块链的监管方和运营方，提供了有效的管控思路和管控模式，具体解决了以下问题：对联盟链出现违规成员组织节点的管控问题；对联盟链智能合约漏洞或者业务规则出现违规的管控问题；对联盟链违规交易的管控问题；且具有如下优点：

可控性，在不改变区块链的多中心化自治和数据不可篡改特点下，从系统设计和实现层面对区块链进行管控。基于区块链的系统设计，本发明从组织节点的上层通信管理、联盟链和智能合约的访问、区块和交易的入库查询等三个维度出发，纯粹从系统层面进行管控，只要拥有相关系统权限，就能对相应要素进行管控。

灵活性，从系统设计和实现层面增强监管方和运营方对区块链的管控能力，解决了传统监管方式下需要引入监管节点，并单独部署区块链系统监管节点的问题，既避免传统监管下需要对区块链底层进行深层次改造带来的成本和系统稳定性、安全性等问题，又能节约实际的硬件资源、软件资源和网络资源，还提出了一种新的灵活思路，可以将这种思想应用于其他子系统或技术，即从研发工程实现的角度解决问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的组织节点管控协议流程图；

图2为本发明实施例的通过智能合约管控整条联盟链的流程示意图；

图3为本发明实施例的通过智能合约调用管控单个合约的流程示意图；

图4为本发明实施例的建立交易黑名单的流程示意图；

图5为本发明实施例的交易信息查询管控的流程示意图；

图6为本发明实施例的区块信息查询管控的流程示意图。

具体实施方式

本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。

如图1～6所示，一种区块链系统安全管控方法，包括步骤：

s1，管控组织节点，具体包括如下步骤：

s11，获取组织违规举报告警信息；

s12，根据步骤s11获取的信息查询组织是否存在，如果不存在，则结束；如果存在，则进入步骤s13；

s13，查询组织当前状态信息；

s14，判断当前组织状态是否为正常，如果正常则进入步骤s15，如果不正常，则进入步骤s16；

s15，将组织状态变更为禁用；

s16，获取该组织通信证书，下发接入服务禁用标识；

s17，查询组织接入的联盟链信息列表；

s18，将组织从联盟链移除；

s19，将组织信息移入黑名单。

在组织节点方面，当发现组织节点在共识，交易接入等方面存在违规行为，通过吊销组织节点证书的方式，将该组织节点在区块链网络的接入权限取消，将该组织加入到组织黑名单，同时自动下发接入服务禁用标识，禁止该组织接入区块链网络，将该组织已加入的联盟链列表加入到异常联盟链列表。

s2，管控智能合约，具体包括如下步骤：

s21，通过智能合约管控整条联盟链；

s22，通过智能合约调用管控单个合约。

在步骤s21中，包括步骤：

s211，获取到联盟链合约执行异常告警；

s212，查询联盟链是否存在，如果存在，则进入步骤s213；如果不存在，则结束；

s213，变更联盟链状态为禁用；

s214，将联盟链禁用状态同步到所有成员节点。

在步骤s22中，包括步骤：

s221，获取到联盟链合约执行异常告警；

s222，查询联盟链是否存在，如果存在，查询该智能合约状态是否为启用，如果启用，则进入步骤s223；如果不存在，则结束；

s223，将该智能合约状态变为禁用；

s224，下发该合约禁用状态至各组织节点；

s225，组织节点对应的接入服务中移除该合约的调用入口。

联盟链管控方面，当发现联盟链智能合约存证漏洞或者业务规则存在违规行为时，则可以通过禁用联盟链接入权限和禁用智能合约调用权限的方式，根据对该合约的影响范围的判定，选择暂停该智能合约的业务，还是暂停合约所在联盟链的业务，以实现对智能合约和联盟链的管控。

s3，管控交易行为，具体包括如下步骤：

s31，建立交易黑名单；

s32，对交易信息查询管控；

s33，对区块信息查询管控。

在步骤s31中，包括步骤：

s311，获取区块链组织管理系统上报的交易黑名单信息；

s312，保存交易黑名单及联盟链信息；

s313，根据联盟链名称查询联盟链成员信息；

s314，下发交易黑名单。

在步骤s32中，包括步骤：

s321，获取到交易数据查询请求；

s322，判断交易黑名单列表是否已存在步骤s321中获取的交易数据；如果否，则结束；如果是，则进入步骤s323；

s323，按照查询请求获取查询结果数据；

s324，对查询结果数据进行合法性校验；

s325，判断合规性校验是否通过，如果是，则返回查询数据到业务层；如果否，则进入步骤s326；

s326，将交易hash及联盟链名称上传到区块链应用管理系统，并将交易数据写入到交易黑名单列表；

s327，返回交易数据异常提示。

在步骤s33中，包括步骤：

s331，获取区块详情查询请求；

s332，根据查询结果获取到区块数据及区块交易列表；

s333，对区块交易列表信息做合法性校验；

s334，判断是否存在交易未通过交易信息，如果不存在，将区块完整信息返回到业务层；如果存在，则进入步骤s335；

s335，将交易hash及联盟链名称上传到区块链应用管理系统；

s336，将未通过交易信息移入到交易黑名单；

s337，将黑名单交易从区块的交易列表移除；

s338，返回移除后的区块详情信息。

交易管控方面，当发现交易存在违规信息时，通过构建违规交易黑名单，将违规交易加入到交易黑名单，并将其分发到相应的组织节点，当上层业务通过组织的接入服务查询交易时，系统自动通过黑名单机制屏蔽违规交易，阻止相应内容的扩散。

本发明的方法的工作原理是基于hyperledgerfabirc区块链技术体系，针对联盟链安全监管问题，在不影响联盟链多中心化、联盟自治的前提下，提出了一种区块链安全管控方法，为区块链的监管方和运营方，提供了有效的管控思路和管控模式。

本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。

本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，在一台计算机设备(可以是个人计算机，服务器，或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、或者光盘等各种可以存储程序代码的介质，进行测试或者实际的数据在程序实现中存在于只读存储器(randomaccessmemory，ram)、随机存取存储器(randomaccessmemory，ram)等。