一种基于CA证书机制的可信区块链网络管理方法与流程

一种基于ca证书机制的可信区块链网络管理方法
技术领域
1.本发明涉及区块链网络技术领域，具体来说是一种基于ca证书机制的可信区块链网络管理方法。


背景技术：

2.区块链网络是由各节点间以一种点对点协议连接后形成的一种p2p通讯网络，最开始的区块链是任何节点都可以通过互联网络，找到其中的某些节点，与其直接建立连接，从而加入区块链网路，这种区块链被称为公有链，之后，出现了面向特定应用和用户群体的联盟链，联盟链依赖于一个联盟组织运作，联盟组织负责联盟链的组织、运营及审计管理，其特点是只有特定的节点能够相互连接，组成区块链网络，即节点加入是受限制的，一种常用的限制方式是通过在网络层设置ip白名单来限制节点的加入，但其存在几个明显的缺点：（1）每增加一个节点，都需要在其中一些节点的网络层进行配置变更，随着网络规模的增加，这种维护成本也会大大增加；（2）ip容易被冒充，从而导致非法节点接入；（3）缺乏对连接的区块链网络节点身份的验证，从而导致中间人攻击。


技术实现要素：

3.本发明的目的在于解决现有技术的不足，提供一种基于ca证书机制的可信区块链网络管理方法。
4.为了实现上述目的，设计一种基于ca证书机制的可信区块链网络管理方法，其中对于新建一个区块链网络，联盟需要为该区块链网络申请一个区块链ca证书作为整个区块链网络的根证书；对于每一个想要加入该区域链网络中新节点，区块链网络连接协议和处理方法如下：s1.每个新的节点，首先向区块链网络申请一个节点证书；s2.在核实了节点证书申请者的身份和权限后，区块链网络将利用根证书私钥签发出节点证书，并与根证书一起返回给该节点；s3.节点所有者对节点进行配置，设置节点证书和区块链网络根证书这两个证书信息；s4.启动节点程序，新加入的节点向指定的区块链节点发起建立连接；s5.此时，连接并非已经建立成功，被指定连接的已存在区块链节点需根据新节点的节点证书，验证新节点通讯ip地址是否匹配新节点证书中所包含的ip地址，明确新节点的ip身份，如果不匹配，则断开连接，建立联系失败；否则，继续步骤s6；s6.被指定连接的已存在区块链节点需根据新节点的节点证书，验证本端ip是否在新节点证书指定的可连接的节点ip地址列表中，如果不在，则断开连接，建立连接失败；
否则，继续步骤s7;s7.被指定连接的已存在区块链节点需根据新节点的节点证书，验证节点证书中所包含的区块链网络id是否匹配当前节点所属的区块链网络id，如果不匹配，则断开连接，建立连接失败；否则，建立连接成功，此时节点加入区块链网络成功。
5.本发明还包括如下优选的技术方案：进一步，所述步骤s1中，在申请节点证书时，节点所有者需要提交至少该节点的对外ip地址，所要加入的区块链网络的id，验证其身份的公钥及算法，所支持的签名算法信息，以及一些节点本身的描述信息。
6.进一步，所述步骤s2中，节点证书中包含了节点连接到区块链网络的ip地址信息，用于明确节点可以拥有的ip身份，以及节点所加入的区块链网络id和指定的可连接的节点ip地址列表，节点证书用于新加入的节点向区块链网络中已存在节点证实其身份合法性，从而与已存在节点建立连接加入区块链网络，根证书用于新加入的节点验证其连接的已存在节点确实是区块链网络中有效的合法节点，而非欺诈节点，以解决中间人攻击。
7.进一步，所述步骤s3中，节点证书中包含节点公钥所对应的私钥信息，以及区块链网络中指定建立连接的已存在节点ip列表，根证书包含证书公钥信息及区块链网络信息。
8.进一步，所述步骤s4中，基于标准化的tls协议，具体如下：a.协商确定协议版本和所支持的加密算法；b.秘钥交换，确定后续所使用的通讯加密算法和秘钥；c.身份认证，双方交区块链网络根证书，同时使用各自节点证书对应的私钥签名连接过程中产生的随机数，确定通讯双方身份的真实性；d.使用区块链网络根证书检验节点证书的有效性、证书有效期，若检验通过，则继续到步骤s5；否则，断开连接，建立连接失败。
9.进一步，所述方法还包括黑名单方法：在网络层增加ip黑名单，隔离某些已被控制的非法节点，即便，通过修改ip绕开了该拦截，但由于在通讯ip上不匹配证书中的ip信息，最终也无法成功建立连接。
10.进一步，所述方法还包括黑名单方法：通过更新区块链网络根证书，可回收已经签发的节点证书，使其无效，从而拒绝那些拥有节点证书的恶意节点建立连接。
11.本发明同现有技术相比，其优点在于：相对于传统的基于ip来限制网络的访问，其操作维护上不必对于每个新加入的节点都要重新配置所有节点，很大程度上减轻了维护的负担，确保了节点间p2p协议连接的有效性与可靠性，同时，限定授权节点连接的网络范围，增加了管理可控性，通过黑名单管理机制剔除某些被入侵控制的节点，从而加强了整个区块链网络从外到内的安全性。
附图说明
12.图1 为本发明的申请和配置证书流程示意图。
13.图2 为本发明的新节点加入区块链网络流程示意图。
具体实施方式
14.为了让本领域技术人员更好地理解本发明，下面结合附图对本发明作进一步说
明。
15.参见图1和图2，为本发明的申请和配置证书流程示意图和新节点加入区块链网络流程示意图，对于新建一个区块链网络，联盟需要为该区块链网络申请一个区块链ca证书作为整个区块链网络的根证书。
16.对于每一个想要加入该区块链网络中新节点，本发明公开了一种如下区块链网络连接协议和处理方法：1.每一个新的节点，首先向区块链网络申请一个节点证书，在申请节点证书时，节点所有者需要提交至少该节点的对外ip地址，所要加入的区块链网络的id,验证其身份的公钥及算法，所支持的签名算法信息，以及一些节点本身的描述信息，包括其所属组织，用途等。
17.2.在核实了节点证书申请者的身份和权限后，区块链网络将利用根证书私钥签发出节点证书，并与根证书一起返回给该节点，其中，节点证书包含了节点连接到区块链网络的ip地址信息，用于明确节点可以拥有的ip身份，以及节点所加入的区块链网络id和指定的可连接的节点ip地址列表，节点证书用于新加入的节点向区块链网络中已存在节点证实其身份合法性，从而与已存在节点建立连接加入区块链网络，根证书用于新加入的节点验证其连接的已存在节点确实是区块链网络中有效的合法节点，而非欺诈节点，以解决中间人攻击。
18.3.节点所有者对节点进行配置，设置节点证书和区块链网络根证书这两个证书信息，其中，节点证书中包含节点公钥所对应的私钥信息，以及区块链网络中指定建立连接的已存在节点ip列表，根证书包含证书公钥信息及区块链网络信息。
19.4.启动节点程序，新加入的节点向指定的区块链节点发起建立连接，该过程是基于标准化的tls协议，大致分为如下三个关键阶段：（1）协商确定协议版本和所支持的加密算法；（2）秘钥交换，确定后续所使用的通讯加密算法和秘钥；（3）身份认证，双方交换区块链网络根证书，同时使用各自节点证书对应的私钥签名连接过程中产生的随机数，确定通讯双方身份的真实性；使用区块链网络根证书检验节点证书的有效性、证书有效期等，若检验通过，则继续到步骤5，否则，断开连接，建立连接失败。
20.5.此时，连接并非已经建立成功，被指定连接的已存在区块链节点需根据新节点的节点证书，验证新节点通讯ip地址是否匹配新节点证书中所包含的ip地址，明确新节点的ip身份，如果不匹配，则断开连接，建立连接失败，否则，继续步骤6。
21.6.被指定连接的已存在区块链节点需根据新节点的节点证书，验证本端ip是否在新节点证书指定的可连续的节点ip地址列表中，如果不在，则断开连接，建立连接失败，否则，继续步骤7。
22.7.被指定连接的已存在区块链节点需根据新节点的节点证书，验证节点证书中所包含的区块链网络id是否匹配当前节点所属的区块链网络id，如果不匹配，则断开连接，建立连接失败，否则，建立连接成功，此时节点加入区块链网络成功。
23.这种基于ca证书机制优化tls协议而实现的区块链节点连接和身份验证方法，实现了一个安全、高效的可信区块链网络管理功能，相比于传统的基于ip来限制网路的访问，
其操作维护上不必对于每个新加入的节点都要重新配置所有节点，很大程度上减轻了维护的负担，另外，也有效避免了ip欺诈的行为，在此基础上，可以通过如下两种方式实现更加安全的黑名单功能：方法1：在网络层增加ip黑名单，隔离某些已被控制的非法节点，即便，通过修改ip绕开了该拦截，但由于在通讯ip上不匹配证书中的ip信息，最终也无法成功建立连接。
24.方法2：通过更新区块链网络根证书，可回收已经签发的节点证书，使其无效，从而拒绝那些拥有节点证书的恶意节点建立连接。
25.以上所述，仅为此发明的具体实施方式，但本发明的保护范围不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案和新型的构思加于等同替换或改变，都应涵盖在本发明的保护范围之内。