一种域间信任关系的确认方法和装置与流程

本发明的实施例涉及区块链技术领域，尤其涉及一种域间信任关系的确认方法和装置。

背景技术：

软件定义网络(softwaredefinednetwork，sdn)将网络设备的控制面与数据面分离开来，实现了网络流量的灵活控制。为网络管控提供了极大的灵活性。sdn网络域包括sdn控制器和多个转发设备。域(domain)是网络中独立运行的单位，域与域之间相互访问时需要建立信任关系。当两域之间建立了信任关系后，可以按需要相互进行管理。例如，两域之间跨域分配文件资源，跨域分配打印机设备资源等。因此，域与域之间建立信任关系是域与域之间互通的必要条件。

目前，虽然多域sdn(multi-domain-sdn，md-sdn)的域与域之间能够通过启用域间路由，或者域控制器跨多个域进行通信。但是，当业务需要跨多个域进行部署时，由于不同的sdn网络域具有网络的异构性，难以实现量化的域间信任评估。

技术实现要素：

本发明的实施例提供一种域间信任关系的确认方法和装置，解决了跨域通信时无法进行量化的域间信任评估的问题。

第一方面，本申请提供一种域间信任关系的确认方法，包括：第一节点确定有第一业务需要跨域部署，然后根据第一业务确定至少两个信任域。第一节点在管理节点中查询并获取至少两个信任域中任意两个信任域之间的信任值。其中，第一节点和管理节点归属于同一条联盟链。管理节点中存储有该联盟链中除管理节点外的每个节点所表示的域到其他任一域的信任值。具体的，对于除管理节点外的每个节点而言，其他任一域为除管理节点和该节点之外的其他任一节点所表示的域。第一节点确定获取到的所有信任值中满足第一预设条件的信任值，之后，在满足该第一预设条件的信任值所对应的域上部署第一业务。

第二方面，本申请提供一种域间信任关系的确认方法，包括：管理节点获取联盟链中除管理节点外，每个节点中的信任值。之后，将获取到的所有信任值进行存储。其中，信任值由联盟链中除管理节点外，每两个节点互动生成。联盟链中除管理节点外，每个节点表示一个域。

上述方案中，首先，本申请根据待部署的业务确定信任域。然后在管理节点中查询信任域的之间的信任值。在满足条件的信任值对应的信任域上进行业务部署。能够及时获取到联盟链中的节点对应的任意两域间的信任关系，实现了域间信任关系的批量化获取。其次，本申请将管理节点和管理节点管理域内的所有节点组成一条联盟链。其中，联盟链中除管理节点外，其他节点存储有本节点所表示的域到其他域的信任值。管理节点中存储有所有节点中的信任值。因此，由于所有信任值皆存储于联盟链的节点中，既保证了各域的信任值不被篡改，进一步能够防止伪信任域的出现。又提供了域间信任评估的分布式管理方法。

第三方面，本申请提供一种域间信任关系的确认装置，用于第一节点或第一节点上的芯片，包括：确定模块确定待部署的第一业务。之后，根据第一业务确定至少两个信任域。查询模块在管理节点中查询并获取确定模块确定的至少两个信任域中任意两个信任域之间的信任值。第一节点和管理节点归属于同一联盟链，管理节点存储有联盟链中除管理节点外的每个节点所表示的域到其他任一域的信任值。对于除管理节点外的每个节点而言，其他任一域为除管理节点和该节点之外的其他任一节点所表示的域。确定模块根据查询模块获取到的所有信任值，确定满足第一预设条件的信任值。处理模块在确定模块确定的满足第一预设条件的信任值所对应的域上面部署第一业务。

第四方面，本申请提供一种域间信任关系的确认装置，用于管理节点或管理节点上的芯片，包括：获取模块获取联盟链中除管理节点外，每个节点中的信任值。其中，信任值由联盟链中除管理节点外，每两个节点互动生成。联盟链中除管理节点外，每个节点表示一个域。存储模块将获取模块获取到的所有信任值进行存储。

第五方面，提供一种域间信任关系的确认装置，用于第一节点或第一节点上的芯片，包括处理器，当域间信任关系的确认装置运行时，处理器执行计算机执行指令，以使域间信任关系的确认装置执行如上述第三方面的域间信任关系的确认方法。

第六方面，提供一种域间信任关系的确认装置，用于管理节点或管理节点上的芯片，包括处理器，当域间信任关系的确认装置运行时，处理器执行计算机执行指令，以使域间信任关系的确认装置执行如上述第四方面的域间信任关系的确认方法。

第七方面，提供一种计算机可读存储介质，包括指令，当指令在计算机上运行时，使得计算机执行如上述的域间信任关系的确认方法。

第八方面，提供一种计算机程序产品，计算机程序产品包括指令代码，指令代码用于执行如上述的域间信任关系的确认方法。

可以理解地，上述提供的任一种域间信任关系的确认装置、计算机可读存储介质或计算机程序产品均用于执行上文所提供的第一方面或第二方面对应的方法，因此，其所能达到的有益效果可参考上文第一方面和第二方面的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例提供的sdn架构的示意图；

图2为本发明的实施例提供的一种多域网络结构示意图；

图3为本发明的实施例提供的一种区块链系统的协议架构示意图；

图4为本发明的实施例提供的一种区块链系统的结构示意图；

图5为本发明的实施例提供的一种多域系统的结构示意图；

图6为本发明的实施例提供的一种域间信任关系的确认装置的硬件结构示意图；

图7为本发明的实施例提供的一种域间信任关系的确认方法的流程示意图；

图8为本发明的实施例提供的域间信任值的存储方法的流程示意图；

图9为本发明的实施例提供的一种信任图谱的结构示意图；

图10为本发明的实施例提供的一种用于第一节点的域间信任关系的确认装置的结构示意图；

图11为本发明的实施例提供的一种用于管理节点的域间信任关系的确认装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

sdn作为一种新型的网络体系架构克服了传统网络体系结构的不足，其核心思想是在网络的数据平面中解耦出控制平面，使得控制面与数据面完全分离。

参照图1所示，开放网络基金会(theopennetworkingfoundation，onf)定义的sdn架构包含控制层(又称为控制平面)、业务层(又称为应用平面)、转发层(又称为转发平面)。

应用平面由sdn的业务应用构成，sdn的业务应用能够通过可编程方式把需要请求的网络行为提交给sdn控制器。

控制平面中包括sdn控制器(controller)，sdn控制器主要负责两个任务，一是将sdn业务层请求转换到sdn数据链路(sdndatapath)，二是为sdn业务层提供底层网络的抽象模型。其中，控制平面的sdn控制器建立的网络服务通过应用程序编程接口(applicationprogramminginterface，api)与业务层的业务应用进行交互，生成用于配置网络设备上转发表的控制信令。

转发平面由若干网络设备组成，每个网元可以包含一个或多个sdndatapath。每个sdndatapath是一个逻辑上的网络设备，单纯被用来转发和处理数据，其在逻辑上代表了全部或部分的物理资源。

随着sdn的不断发展与完善，由多个sdn网络互联的场景将应运而生，组成多域sdn。例如，参见图2所示，多域sdn网络中包含第一域21、第二域22、第三域23。第一域21中包括三个网络设备212、以及sdn控制器211。其中，sdn控制器211与第一域21中的所有网络设备212连接，三个网络设备212两两互联。第二域22中包括两个网络设备222、以及sdn控制器221。同理，sdn控制器221与第二域22中的所有网络设备222连接，两个网络设备222进行连接。第三域23中包括两个网络设备232、以及sdn控制器231。同理，sdn控制器231与第三域23中的所有网络设备232连接，两个网络设备232进行连接。第一域21中的其中一个网络设备212、第二域22中的其中一个网络设备222、第三域23中的其中一个网络设备232两两相连。同时，在多域sdn网络中，各sdn域的sdn控制器进行连接。

具体的，各域的sdn控制器建立的网络服务通过api与业务层的业务应用进行交互，生成用于配置各域的网络设备上转发表的控制信令。在单一sdn的管理域的应用场景下，sdn不需要进行域间评估便能够方便的为业务提供转发路径。但是当业务需要跨越多个管理域时，域与域之间相互访问是需要建立信任关系的。而当业务需要跨多个域进行部署时，由于不同的sdn网络具有网络的异构性，从而难以实现量化的域间信任评估。又由于现有技术中对于域间的信任评估没有一套完整的管理体系，域间评估时更加不能辨别出伪信任域的出现。因此，一种能够量化、以及防止伪域的域间信任评估的方法的出现是sdn后续发展必然结果。

针对上述问题，本申请提供一种域间信任关系的确认方法和装置，适用于多域sdn网络。在多域sdn网络中，首先，第一节点确定有第一业务需要跨域部署，然后根据第一业务确定至少两个信任域。第一节点在管理节点中查询并获取至少两个信任域中任意两个信任域之间的信任值。其中，第一节点和管理节点归属于同一条联盟链。管理节点中存储有该联盟链中除管理节点外的每个节点所表示的域到其他任一域的信任值。具体的，对于除管理节点外的每个节点而言，其他任一域为除管理节点和该节点之外的其他任一节点所表示的域。第一节点确定获取到的所有信任值中满足第一预设条件的信任值，之后，在满足该第一预设条件的信任值所对应的域上部署第一业务。能够及时获取到全局任两域间的信任关系，实现了域间信任关系的批量化获取。其次，管理节点获取联盟链中除管理节点外，每个节点中的信任值。之后，将获取到的所有信任值进行存储。其中，信任值由联盟链中除管理节点外，每两个节点互动生成。联盟链中除管理节点外，每个节点表示一个域。保证了各域的信任值不被篡改，进一步能够防止伪信任域的出现。

需要说明的是，本申请中在多域sdn网络中增加了管理节点，用于管理多域网络中的sdn控制器，并为每个sdn控制器颁发证书和公私钥。并将该管理节点和多域sdn网络中每个域的sdn控制器作为联盟链中的区块链节点。每个sdn控制器所表示的区块链节点能够存储本域到其他域的信任值。其中，具有证书的sdn控制器才被联盟链承认。可选的，区块链节点能够将信任值存储至区块链节点的账本中。可选的，本申请中的sdn控制器基于openflow协议，该协议允许sdn控制器告知网络设备向哪里发送数据包。

区块链系统本质上是一个点对点(peertopeer，p2p)的网络系统。每一个区块链节点既接收信息，也生成信息。区块链节点之间通过维护一个共同的区块链来保持通信。在区块链系统，区块链节点可以在其对应的账本中创造新的区块，在新区块被创造后会以广播的形式通知其他节点，其他区块链节点会对这个区块进行验证，当区块链系统中的所有区块链节点达成共识后，新区块就可以被添加到区块链上。

参照图3所示，区块链系统的协议架构包括协议层、扩展层和应用层。其中，协议层又可以分为存储层和网络层。

具体的，协议层构建了区块链系统的网络环境，并搭建了交易通道，制定了区块链节点共识机制。存储层描述了区块链数据的存储形式，可以包括区块数据的链式存储技术。网络层用于实现区块链网络中区块链节点之间的信息交流。对于本申请，区块链系统的协议层对应sdn网络的网络协议。存储层和网络层对应区块链节点，即多域sdn网络中的每个域的sdn控制器。

在协议层之上是扩展层，扩展层提供了基于协议层的该区块链系统的功能实现。通过协议层提供的基础能力，扩展层可以实现各类脚本代码、算法机制以及应用机制。例如，智能合约即是扩展层的一种典型应用，区块链节点通过部署的智能合约，实现达到某个条件后自动执行合约。又例如，在本申请中，通过部署智能合约，管理节点周期性读取各域的账本，获取信任值。

扩展层之上是应用层，应用层封装了区块链的各种应用场景和案例。应用层的实现与用户直接交互的区块链功能，大多采用客户端的形式实现。在本申请中，区块链系统的应用层对应使用sdn网络的客户端的应用。

在不同的区块链系统中，区块链系统的每层架构的具体实现方式可能存在差异，图3是区块链系统的一种协议架构示意图，并不是对区块链系统的协议架构的限定。

结合图3，参照图4所示，区块链系统能够为多域sdn网络中的各域提供数据存储服务，以及数据查询服务。可以理解的是，图4所示的区块链系统仅为一个示例，并不是对本申请实施例提供的区块链系统的限定。

区块链节点41能够将获取到的数据以区块相连接的形式进行存储。

本申请实施例提供的域间信任关系的确认方法适用于多域sdn网络系统中。其中，多域sdn网络系统包括至少两个sdn网络域，每个域的sdn控制器与管理节点作为区块链节点构成一条联盟链。管理节点能够获取sdn网络系统中每个sdn控制器中存储的信任值，并将获取到的所有信任值进行存储。另外，每个sdn控制器对自己本身存储的信任值有写入和读取的权利，对管理节点存储的信任值有读取的权利。管理节点对自己本身存储的信任值有写入和读取的权利，对sdn控制器存储的信任值有读取的权利。

示例性的，当多域sdn网络为图2中的多域sdn网络(仅包括三个域)时，图5示出了本申请实施例提供的多域系统的结构。如图5所示，该多域系统包括管理节点54的管理域50、管理节点54、第一域51的区块链节点511、第二域52的区块链节点521、第三域53的区块链节点531。其中，管理节点54的管理域50包括第一域51、第二域52、第三域53。其中，第一域51、第二域52、第三域53两两之间能够进行交互，传递信息。管理节点54能够访问第一域51的区块链节点511、第二域52的区块链节点521、第三域53的区块链节点531，获取各节点中的信任值。第一域51的区块链节点511、第二域52的区块链节点521、第三域53的区块链节点531能够访问管理节点54，获取管理节点54中的信任值。

在具体实现时，域间信任关系的确认装置具有如图6所示的部件。图6为本申请实施例提供的一种域间信任关系的确认装置，可以包括处理器602，处理器602用于执行应用程序代码，从而实现本申请中的域间信任关系的确认方法。

处理器602可以是一个通用中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制本申请方案程序执行的集成电路。

如图6所示，域间信任关系的确认装置还可以包括存储器603。其中，存储器603用于存储执行本申请方案的应用程序代码，并由处理器602来控制执行。

存储器603可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

如图6所示，域间信任关系的确认装置还可以包括通信接口601，其中，通信接口601、处理器602、存储器603可以相互耦合，例如通过总线604相互耦合。通信接口601用于与其他设备进行信息交互，例如支持域间信任关系的确认装置与其他设备的信息交互，例如从其他设备获取数据或者向其他设备发送数据。

需要指出的是，图6中示出的设备结构并不构成对该域间信任关系的确认装置的限定，除图6所示部件之外，该域间信任关系的确认装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图5所示的多域系统，图6所示的域间信任关系的确认装置对本申请实施例提供的域间信任关系的确认方法进行描述。其中，下述方法实施例中提及的各个装置均可以具有图6所示组成部分，以下不再赘述。

图7为本申请实施例提供的一种域间信任关系的确认方法的流程示意图。参见图7，该域间信任关系的确认方法包括如下步骤。

701、第一节点确定待部署的第一业务。

具体的，第一节点确定第一业务需要部署，则获取第一业务的业务请求。其中，业务请求中包括应用对业务所对应的域的要求。例如，业务请求规定第一业务在第一节点表示的第一域到第三节点表示的第三域之间开展。

702、第一节点确定第一业务的至少两个信任域。

具体的，根据第一业务的业务请求确定第一业务的至少两个信任域，例如，业务参数规定第一业务在第一节点表示的第一域、第二节点表示的第二域、第三节点表示的第三域之间开展，则第一业务的信任域有第一域、第二域和第三域。

703、第一节点在管理节点中查询并获取至少两个信任域中任意两个信任域之间的信任值。

其中，第一节点和管理节点归属于同一联盟链，管理节点存储有联盟链中除管理节点外的每个节点所表示的域到其他任一域的信任值。对于除管理节点外的每个节点而言，其他任一域为除管理节点和该节点之外的其他任一节点所表示的域。

可选的，本申请还提供一种区块链节点存储信任值的方法，其中，在以下描述中，第一节点和第二节点为联盟链中除管理节点外，其他不同的任意两个区块链节点，参见图8所示，包括如下步骤s1-s4：

s1、第一节点确定需要进行信任评估，第一节点向第二节点发送互动请求。

具体的，第一节点可以根据管理人员给予的信任评估指示确定需要进行信任评估。此时，当信任评估指示中包括第二域的标识时，第一节点直接向第二域的第二节点发送互动请求。当信任评估指示中未包括第二域的标识时，第一节点将与其连接的所有节点作为第二节点，并向所有第二节点发送互动请求。

可选的，第一节点也可以通过以下方式确定需要进行信任评估，以及确定需要进行信任评估的第二域。

具体的，第一节点获取到需要在第一域与第三域上进行的目标业务的目标业务参数。具体的，第一节点接收到应用的目标业务请求，根据目标业务请求获取目标业务的目标业务参数。

第一节点根据目标业务参数确定至少一个第三域。其中，目标业务参数包括应用对业务所对应的域的要求。例如，目标业务参数规定目标业务在第四域到第九域中的任一域和第一域之间开展，则确定目标业务对应六个第三域。

第一节点在管理节点中查询并获取第一域到每个第三域的第二信任值。例如，第一节点根据目标业务参数确定有六个第三域，则第一节点在管理节点中查询并获取第一域对上述六个第三域的信任值，得到六个信任值，该六个信任值皆称为第二信任值。

第一节点确定第二信任值中存在目标信任值，则将目标信任值对应的第三域确定为第二域，将第二域的节点确定为第二节点，其中，目标信任值为大于预定阈值且最大的第二信任值。其中，预定阈值为预配置的，例如，预定阈值可以为默认值、预先存储、或者由管理人员根据目标业务的服务质量重新写入的方式获取。又例如，预定阈值为0.5，第一节点在管理节点中查询并获取到六个第二信任值，分别为0.3、0.2、0.8、0.5、0.7、0.4。则大于0.5的第二信任值有0.7、0.8，此时，将0.8确定为目标信任值。并将0.8对应的第三域确定为第二域。

第一节点确定需要进行信任评估的第二域之后，向第二域的第二节点发送互动请求。

s2、第一节点接收第二节点发送的数据报文，并统计预定时间段内的互动次数、以及互动成功次数。

其中，该数据报文为域信息消息(domaininformationmessage)数据报文。数据报文包括第二域的业务参数。具体的，业务参数又分为qos服务配置和sdn部署设备资源相关参数。每个域的节点为不同的业务分配不同的业务参数。例如，视频传输、虚拟网络、服务链等业务所需的qos服务配置各不相同。又例如，sdn部署设备资源相关参数包括业务流经设备、端口等。

第一节点向第二节点发送互动请求之后，第一节点与第二节点之间交换数据报文。其中，可选的，由于第一节点与第二节点、以及管理节点属于同一条联盟链。因此，管理节点会为第一节点和第二节点颁发证书和公私钥。所以，本申请还可以通过区块链机制中身份证书验证来保证消息传递双方身份的真实性。

第一节点接收到第二节点发送的数据报文一次，确定互动次数为已经存储的互动次数加一，其中，互动次数的初始值为0。

第一节点接收到第二节点发送的数据报文，若确定业务参数满足第一节点的第二预设条件，则确定互动成功次数为已经存储的互动成功次数加一，其中，互动成功次数的初始值为0。具体的，第二预设条件为预配置的，例如，第二预设条件可以为默认值、预先存储、或者由管理人员根据第一域的业务的业务参数重新写入的方式获取。又例如，当第二域的业务参数中第一百分比的业务参数满足第一域中相应的业务对应的条件，则确定互动成功次数为已经存储的互动成功次数加一。

统计预定时间段内的第一域与第二域的互动次数、以及互动成功次数。

s3、第一节点计算信任值，并进行存储。

具体的，第一节点表示的第一域到第二节点表示的第二域的第一信任值满足公式其中，t12表示第一域到第二域的信任值，m表示互动成功次数，n表示互动次数。

进一步，第一节点存储计算出的第一信任值。可选的，第一节点将第一信任值存储至第一节点的账本中。

可选的，每个域的节点和与其连接的所有节点交互后，将信任进行存储。

可选的，每个域的节点可以通过第一智能节约存储信任值。

进一步可选的，本申请还提供一种管理节点存储信任值的方法，参见图8所示，包括如下步骤s4：

s4、管理节点读取联盟链中除管理节点外，每个节点中的信任值，并进行存储。

其中，信任值由联盟链中除管理节点外，每两个节点互动生成。联盟链中除管理节点外，每个节点表示一个域。

可选的，管理节点在第一时刻读取联盟链中除管理节点外，每个节点中的信任值，并根据预设规则将信任值生成信任图谱。具体的，信任图谱包括管理节点的管理域内的域和信任值的关系。例如，参见图9所示，联盟链中包括四个节点表示的四个域，分别为第一域、第二域、第三域、第四域，其中，第一域对第二域的信任值为r12，第一域对第三域的信任值为r13，第一域对第四域的信任值为r14。同理，第二域对第一域的信任值为r21，第二域对第三域的信任值为r23，第二域对第四域的信任值为r24。第三域对第二域的信任值为r32，第三域对第一域的信任值为r31，第三域对第四域的信任值为r34。第四域对第二域的信任值为r42，第四域对第三域的信任值为r43，第四域对第一域的信任值为r41。可选的，管理节点可以通过第二智能合约读取联盟链中除管理节点外，每个节点中的信任值。

管理节点存储信任图谱。可选的，管理节点将信任图谱存储至管理节点的账本中。进一步可选的，管理节点通过第三智能合约存储信任图谱。

可选的，信任图谱包括第三信任值，第三信任值为第一时刻第一域到第二域的信任值。管理节点获取第二时刻的第四信任值，将第三信任值更新为第四信任值。其中，第二时刻晚于第一时刻。具体的，管理节点周期性读取联盟链中除管理节点外，每个节点中的信任值，并对自身存储的信任值进行更新。

704、第一节点根据获取到的所有信任值，确定满足第一预设条件的信任值。

具体的，第一预设条件为预配置的，例如，第一预设条件可以为默认值、预先存储、或者由管理人员根据第一域的业务的业务参数重新写入的方式获取。又例如，当第一节点获取到的信任值大于特定阈值时，判定第一业务能够在该信任值对应两个域之间进行部署。

705、第一节点在满足第一预设条件的信任值所对应的域上面部署第一业务。

上述方案中，首先，本申请根据待部署的业务确定信任域。然后在管理节点中查询信任域的之间的信任值。在满足条件的信任值对应的信任域上进行业务部署。能够及时获取到联盟链中的节点对应的任意两域间的信任关系，实现了域间信任关系的批量化获取。

其次，本申请将管理节点和管理节点管理域内的所有节点组成一条联盟链。其中，联盟链中除管理节点外，其他节点存储有本节点所表示的域到其他域的信任值。管理节点中存储有所有节点中的信任值。因此，由于所有信任值皆存储于联盟链的节点中，既保证了各域的信任值不被篡改，进一步能够防止伪信任域的出现。又提供了域间信任评估的分布式管理方法。

再次，本申请中第一节点能够获取到预定时间段内第一节点和第二节点的互动次数、以及互动成功次数。再根据互动次数和互动成功次数计算第一节点表示的第一域到第二节点表示的第二域的信任值。因此，本申请实现了域间信任评估的量化计算方法，能够将域间信任评估的结果数字化表示，以便于后续处理。

本发明实施例可以根据上述的方法实施例对域间信任关系的确认装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

参照图10所示，本申请提供一种域间信任关系的确认装置，用于第一节点或第一节点上的芯片，包括：确定模块1001，用于确定待部署的第一业务；所述确定模块1001，还用于确定所述第一业务的至少两个信任域；查询模块1002，用于在管理节点中查询并获取所述确定模块1001确定的所述至少两个信任域中任意两个信任域之间的信任值；所述第一节点和所述管理节点归属于同一联盟链，所述管理节点存储有所述联盟链中除管理节点外的每个节点所表示的域到其他任一域的信任值；对于除管理节点外的每个节点而言，所述其他任一域为除所述管理节点和该节点之外的其他任一节点所表示的域；所述确定模块1001，还用于根据所述查询模块1002获取到的所有信任值，确定满足第一预设条件的信任值；处理模块1003，用于在所述确定模块1001确定的满足第一预设条件的信任值所对应的域上面部署第一业务。

可选的，获取模块1004，用于获取预定时间段内所述第一节点和第二节点的互动次数、以及互动成功次数，其中，所述第二节点为所述联盟链中除所述管理节点外，不同于所述第一节点的任一节点；所述处理模块1003，还用于根据所述互动次数和所述互动成功次数计算所述第一节点表示的第一域到所述第二节点表示的第二域的第一信任值；存储模块1005，用于存储计算出的所述第一信任值。

可选的，所述获取模块1004，具体用于第一节点接收所述第二节点发送的数据报文，所述数据报文包括所述第二节点表示的第二域中的业务参数；所述获取模块1004，具体用于若确定所述业务参数满足第二预设条件，则确定所述互动成功次数为已经存储的互动成功次数加一，其中，所述互动成功次数的初始值为0。

可选的，所述第一节点表示的第一域到所述第二节点表示的第二域的第一信任值满足公式其中，t12表示所述第一域到所述第二域的信任值，m表示所述互动成功次数，n表示所述互动次数。

可选的，所述获取模块1004，还用于获取目标业务的目标业务参数，其中，所述目标业务为在第一域与第三域上进行的业务；所述确定模块1001，还用于根据所述目标业务参数确定至少一个第三域；所述查询模块1002，还用于在管理节点中查询并获取所述第一域到每个所述第三域的第二信任值；所述处理模块1003，还用于确定所述第二信任值中存在目标信任值，则将所述目标信任值对应的第三域确定为第二域，将所述第二域的节点确定为第二节点，其中，所述目标信任值为大于预定阈值且最大的第二信任值。

参照图11所示，本申请提供一种域间信任关系的确认装置，用于管理节点或管理节点上的芯片，包括：获取模块1111，用于获取联盟链中除管理节点外，每个节点中的信任值，其中，所述信任值由所述联盟链中除管理节点外，每两个节点互动生成；所述联盟链中除管理节点外，每个节点表示一个域；存储模块1112，用于存储所述获取模块1111获取到的所有信任值。

可选的，所述存储模块1112，具体用于根据预设规则将所述信任值生成信任图谱，其中，所述信任图谱包括所述联盟链中除管理节点外，每个节点与所述信任值的关系；所述存储模块1112，具体用于存储所述信任图谱。

此外，本申请还提供一种计算机可读存储媒体(或介质)，包括在被执行时进行上述实施例中的域间信任关系的确认方法操作的指令。另外，还提供一种计算机程序产品，包括上述计算机可读存储媒体(或介质)。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，其作用在此不再赘述。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块、单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文全称:read-onlymemory，英文简称：rom)、随机存取存储器(英文全称：randomaccessmemory，英文简称：ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。