基于区块链的跨云平台的计算系统及应用其的计算方法与流程

本发明涉及区块链技术领域，特别涉及一种基于区块链的跨云平台的计算系统及应用其的计算方法。

背景技术：

目前，很多企业和公共部门装备了大量的私有云系统，由于简单的使用操作要求、弹性资源供商之间的壁垒以及对分布式数据源的限制访问，让管理正变得越来越复杂和低效。未来可以跨多个云系统工作，基于对数据和服务的访问需求，以更好的利用可计算资源，当前一个迫切的需求就是提供一个软件底层架构来保证安全和可控的交互。

广泛地说，跨云系统的治理能力对公共部门来讲，能够鼓励更多的应用和私有云的培育系统集成商。在国际上很多国家，比如中国、美国、南非、意大利和法国就面临高速增加的中小型数据中心并行地在支持着公关事务。这导致了低效、高支出管理和过低的资源利用率。云联合(cloudfederation)是使两个或者多个服务供商的云计算(cloudcomputing)环境互相连接的实践活动，目的是按需负载平衡(loadbalancing)流量并适应高峰。

对公共部门来讲，联合云计算系统是一个刚需，举例来说，保险公司(abc)当前面临攻克一个难题，就是为了计算患者的医疗理赔费用而隔离分布在云上的公共机关的数据。特别的，当前的合规法律框架规定了医院(hg)是医疗敏感数据的唯一控制人，然而，abc需要访问这些数据进行正确计算理赔，比如从认知出发，要根据患者实际的住地去计算当地的社保和医保等相关，但是这个住址因为数据分类的目的被hg封起来了。为了克服这些问题，abc已经在推进了一项和hg的复杂的合作，就是在本地进行部分的医疗保费计算然后再被abc使用。然而，这已经引起了不可控的出错和恶意分地区的合作趋势，比如,为避免税务支出，短时间内出现大量的支付。这些欺诈很精巧，不容易被发现。而且abc对整个医疗保费数据其中的大部分都依赖，甚至没有控制。因此，abc需要用例里出的不同的这些部署，从而对使用到的敏感数据和实施的计算引入足够的计算保证。

而如何解决跨云系统的治理的低效、高支出管理和过低的资源利用率问题，目前尚未相应的解决方案。

技术实现要素：

为解决现有技术存在的技术问题之一，本发明提供了一种基于区块链的跨云平台的计算系统及应用其的计算方法，本发明的具体技术方案如下：

第一方面，提供了一种基于区块链的跨云平台的计算系统，所述计算系统通过分布式方式部署到多个云平台上，所述计算系统包括：

具有区块链网络层和区块链接口的底层区块链架构，所述区块链接口用以供各所述云平台与所述区块链网络层进行交互以执行操作；

联合管理监控系统，用以管理开放服务接口、配置服务管理协议、安全策略协议以及部署智能合约，所述联合管理监控系统还与所述区块链接口进行交互以监控各所述云平台的状态，并提供可视化数据；

分布式属性访问系统，所述分布式属性访问系统通过所述区块链网络层控制以提供安全存储、共享和隐私数据计算.

在一个实施例中，所述计算系统还包括联合监控系统，所述联合监控系统包括：

运行时监控单元，用于对各所述云平台运行时的负载数据进行监控；

线下监控单元，用于对各所述云平台上传到区块链上的审计信息进行监控。

在一个实施例中，所述计算系统还包括：

智能工作负载管理器，用以通过各所述云平台的资源调度管理接口获取各所述云平台上报的负载指标数据分析，并接收所述联合管理系统的调度信息；

所述智能工作负载管理器，还用以通过所述区块链接口获取开放服务接口信息，并根据接口服务协议选择最优服务调度、优化云联合体的资源调度。

在一个实施例中，所述计算系统还包括：

身份管理组件，用以与所述区块链接口进行交互以提供各所述云平台的身份认证。

在一个实施例中，所述操作包括以下中的至少一个：

调用智能合约、读取链状态信息、监听链广播事件、存储密钥信息和在区块链网络上建立授权服务合约模型。

在一个实施例中，所述联合管理监控系统包括：

云联合管理控制单元，用以与所述区块链接口进行交互；

可视化ui控制单元，用以提供云联合租户管理和云联合成员管理；

服务配置单元，用以供各所述云平台管理各自的开放服务、配置服务安全策略、服务协议访问安全以及服务性能要求；

审计服务单元，用以提供可视化服务审计报表、计费管理以及审计服务；

智能合约部署单元，用以供各所述云平台将各类智能合约部署到所述区块链网络上。

在一个实施例中，所述分布式属性访问系统包括：

数据匿名服务组件，用以提供数据匿名服务，将数据匿名策略存储在区块链上；

数据脱敏服务组件，用以根据脱敏协议策略对敏感数据进行掩码处理，其中，所述脱敏协议策略来自用户配置并存储于区块链上；

安全多方计算服务组件，用以通过智能合约发起多方计算，以使各所述云平台接收合约计算请求后触发智能合约，提供各自的数据参与计算服务。

在一个实施例中，所述数据匿名服务组件具体用于：

使用k-anonymity算法将数据匿名策略存储在区块链上。

第二方面，提供了一种敏感数据计算方法，应用第一方面所述的基于区块链的跨云平台的计算系统进行敏感数据的计算，所述方法包括：

将所述计算系统通过分布式方式部署到保险公司的云平台与医院的云平台上，建立所述保险公司的云平台与所述医院的云平台之间的通信连接；

由所述保险公司在所述区块链网络上部署用于计算本地患者医疗理赔信息的智能合约，并通过所述医院投票生效；

由所述医院向所述保险公司发出理赔计算请求，以使所述保险公司返回与所述理赔计算请求对应的智能合约的标识；

由所述医院根据所述智能合约的标识调用智能合约，以访问本地的敏感数据，计算对应的理赔费用结果，其中，所述敏感数据预先经过所述医院的私钥加密；

由所述医院将所述理赔费用结果广播至所述保险公司，以使所述保险公司根据所述理赔费用结果进行核赔处理。

应用本发明的技术方案，本发明提供的基于区块链的跨云平台的计算系统，通过分布式方式部署到多个云平台上，该计算系统包括底层区块链架构、分布式属性访问系统和联合管理监控系统，通过区块链技术赋能的把云联合作为一个服务的解决方案，并通过底层区块链架构提供了一个可复原的数据存储和一个分布式的便利的计算设施，如此可以减少对可信第三方的需求以及减少在跨云平台的交互中争论和欺诈带来的系统风险，从而解决跨云系统的治理的低效，高支出管理和过低的资源利用率问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的基于区块链的跨云平台的计算系统的框图；

图2为本发明提供的基于区块链的跨云平台的计算系统拓扑图；

图3为本发明提供的敏感数据计算方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明一实施例提供了一种基于区块链的跨云平台的计算系统，该计算系统通过软体平台的方式来实现，该软件平台的构思是通过分布式方式部署到多个云平台上，以避免任何的中央控制。参照图1所示，该计算系统包括：

具有区块链网络层11和区块链接口12的底层区块链架构10，区块链接口12用以供各云平台与区块链网络层11进行交互以执行操作；

联合管理监控系统20，用以管理开放服务接口、配置服务管理协议、安全策略协议以及部署智能合约，联合管理监控系统20还与区块链接口12进行交互以监控各云平台的状态，并提供可视化数据。

分布式属性访问系统30，分布式属性访问系统30通过区块链网络层11控制以提供安全存储、共享和隐私数据计算；

其中，本实施例中的底层区块链架构，被称为serviceledger，通过底层区块链架构提供serviceledger服务，即可提供一个可复原的数据存储和一个分布式的便利的计算设施，如此可以减少对可信第三方的需求，以及减少在跨云平台的交互中争论和欺诈带来的系统风险。其中，云服务与区块链的交互由区块链接口(serviceledgerinterface)来完成，可以从链上读取数据匿名服务的密钥、读取服务授权协议以及读取数据安全策略协议等操作。

底层区块链架构(serviceledger)被各云平台分别部署在各自的本地，各云平台通过serviceledger服务与区块链网络进行交互，以执行对应的操作，这里的操作包括但不限于：调用智能合约、读取链状态信息、监听链广播事件、存储密钥信息以及在链网络上建立授权服务合约模型等操作。

进一步地，参照图1所示，计算系统还包括联合监控系统40，联合监控系统40包括：

运行时监控单元41，用于对各云平台运行时的负载数据进行监控；

线下监控单元42，用于对各云平台上传到区块链上的审计信息进行监控。

本实施例中，运行时监控单元收集来自各云平台上报的负载数据，该负载数据可由各云平台提供的iaas、paas、saas等相关服务开放接口提供，根据负载数据对各云平台的服务资源使用负载进行监控。其中，各云平台上传到区块链上的审计信息是由各云平台进行授权服务操作，并经过各组件执行动作上链得到的，线下监控单元根据审计信息提供审计报表服务，计费服务等。

进一步地，参照图1所示，计算系统还包括：

智能工作负载管理器50，用以通过各云平台的资源调度管理接口获取各云平台上报的负载指标数据分析，并接收联合管理系统的调度信息；

智能工作负载管理器50，还用以通过区块链接口12获取开放服务接口信息，并根据接口服务协议选择最优服务调度、优化云联合体的资源调度。

进一步地，参照图1所示，计算系统还包括：

身份管理组件60，用以与区块链接口进行交互以提供各云平台的身份认证。其中，身份认证信息包括与接入用户、管理员、服务提供者和平台组件相关的信息，并将身份认证信息存储于链上。

进一步地，参照图1所示，联合管理监控系统20包括：

云联合管理控制单元21，用以与区块链接口进行交互；

可视化ui控制单元22，用以提供云联合租户管理和云联合成员管理；

服务配置单元23，用以供各云平台管理各自的开放服务、配置服务安全策略、服务协议访问安全以及服务性能要求；

审计服务单元24，用以提供可视化服务审计报表、计费管理以及审计服务；

智能合约部署单元25，用以供各云平台将各类智能合约部署到区块链网络上。

进一步地，参照图1所示，分布式属性访问系统30包括数据匿名服务组件31、数据脱敏服务组件32和安全多方计算服务组件33，该分布式属性访问系统30通过区块链网络控制，将数据的字段访问策略、访问权限配置在区块链网络层；其中，

数据匿名服务组件31，用以提供数据匿名服务，将数据匿名策略存储在区块链上；

数据脱敏服务组件32，用以根据脱敏协议策略对敏感数据进行掩码处理，其中，脱敏协议策略来自用户配置并存储于区块链上；

安全多方计算服务组件33，用以通过智能合约发起多方计算，以使各云平台接收合约计算请求后触发智能合约，提供各自的数据参与计算服务。

进一步地，数据匿名服务组件31具体用于：

使用k-anonymity算法将数据匿名策略存储在区块链上。

本发明提供的基于区块链的跨云平台的计算系统，通过分布式方式部署到多个云平台上，该计算系统包括底层区块链架构、分布式属性访问系统和联合管理监控系统，通过区块链技术赋能地把云联合作为一个服务的解决方案，并通过底层区块链架构提供了一个可复原的数据存储和一个分布式的便利的计算设施，如此可以减少对可信第三方的需求以及减少在跨云平台的交互中争论和欺诈带来的系统风险，从而解决跨云系统的治理的低效、高支出管理和过低的资源利用率问题。

下面将对本发明实施例中的基于区块链的跨云平台的计算系统的一个应用案例进行详细描述。

对于保险公司(abc)来说，必须平衡两个有冲突的需求：证明保险公司(abc)对敏感数据进行计算，同时保持敏感数据在医院(hg)范围内。直观的讲，医疗费用理赔系统需要被分成两部分，一个逻辑上部署在abc用来计算大量的理赔细节，一部分逻辑上部署在hg用来处理区域化的敏感数据。为了实现这样的基础架构，因此如下两点是必须满足的，包括：

1，abc和hg的云联合体必须是安全联合在一起的；

2，hg的辅助医疗理赔系统必须是防止篡改的，这样才能使得abc在hg端预期的计算得到保障。

基于此，本发明将基于区块链的跨云平台的计算系统应用于保险公司与医院的云平台，参照图2所示，将计算系统通过分布式方式部署到保险公司的云平台与医院的云平台上，以解决跨多种云计算数据和服务的交互的安全和可控问题，实现敏感数据的计算。

参照图3所示，该敏感数据计算方法的具体步骤可以包括：

s1、将计算系统通过分布式方式部署到保险公司的云平台与医院的云平台上，建立保险公司的云平台与医院的云平台之间的通信连接。

首先通过前述实施例的基于区块链的跨云平台的计算系统将保险公司和医院的云平台安全地连接在一起，这样就能够保证云内通讯的可控性和安全性。其中，abc及hg在各自云分别部署底层区块链架构(serviceledger)的网络节点。为建立各云平台之间的网络通信，在实际应用中，serviceledger网络节点需要部署在统一的vpn网络，由此serviceledger可以实现本应用案例对数据和代码执行的担保需求。

由保险公司和医院各在内部安装部署联合管理监控系统(fam)组件、区块链接口(serviceledgerinterfave，sli)组件、智能工作负载管理器(iwm)组件、以及数据匿名服务(anonymisation，anm)组件、数据脱敏服务(dynamicmasking，dm)组件、安全多方计算服务(securemultipartycomptutation，smc)组件，以及身份管理(identitymanager，id)组件等。

由保险公司及医院分别在各自的云平台注册成为云联合成员，并在联合管理监控系统的云联合管理控制单元上操作以控制开放服务接口，并配置服务管理协议，安全策略协议等。

s2、由保险公司在区块链网络上部署用于计算本地患者医疗理赔信息的智能合约，并通过医院投票生效。

在具体实施过程中，由保险公司在其云平台上通过联合管理监控系统的智能合约部署单元将智能合约部署到区块链网络上，该智能合约包括由保险公司校验过的用于计算本地患者医疗理赔的代码，并发起提案投票，以使得医院通过自己的联合管理监控系统对保险公司发起的提案进行投票，确定合约可用性。

s3、由医院向保险公司发出理赔计算请求，以使保险公司返回与理赔计算请求对应的智能合约的标识。

在具体实施过程中，医院向保险公司发出理赔计算请求，该理赔计算请求通过底层区块链架构(serviceledger)网络通知到保险公司。保险公司接收到理赔计算请求后，根据理赔计算请求确定对应的智能合约的标识，并通过链消息进行广播到保险公司，其中，该智能合约的标识用于指示医院调用相应的智能合约。

s4、由医院根据智能合约的标识调用智能合约，以访问本地的敏感数据，计算对应的理赔费用结果，其中，敏感数据预先经过医院的私钥加密。

在具体实施过程中，医院会根据智能合约的标识调用智能合约，触发智能合约访问本地的敏感数据计算对应的理赔费用结果。其中，敏感数据预先经过医院的私钥加密，加密密钥由医院从链上获取。如此，可以保证保险公司和医院之间不会对使用到的数据发生争议，并且绝大多数情况下，管理敏感数据强依赖于医院。

s5、由医院将理赔费用结果广播至保险公司，以使保险公司根据理赔费用结果进行核赔处理。

在具体实施过程中，理赔费用结果通过底层区块链架构(serviceledger)网络广播至保险公司，由保险公司根据理赔费用结果进行核赔处理。

进一步地，在步骤s5之后，方法还可以包括：

产生的交易将以文本的方式记录理赔信息，然后被智能合约用加密的方式格式化这些敏感输入信息。

本实施例中，为保证交易敏感信息隐私性，交易记录理赔敏感信息以非对称密钥进行加密处理后，存放在区块链上。

本发明提供的一种敏感数据计算方法，通过应用前述实施例中的基于区块链的跨云平台的计算系统进行敏感数据的计算，能够证明保险公司对敏感数据进行计算，同时保持敏感数据在医院的可控范围内，从而减少了在跨云平台的交互中争论和欺诈带来的系统风险，为跨云数据访问和服务的访问提供安全保证及可控的交互。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在此不再一一赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关联的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。