区块链系统的制作方法

1.本发明涉及互联网安全技术领域，特别地，涉及一种区块链系统。


背景技术：

2.传统的网络安全经常会需要防火墙，相关模块，需要信息系统的记录，而在防火墙或网闸区块链系统中往往是没有的，它一般通过里面的共识协议去做防护的。但区块链的代码是全开源的，任何一个黑客都能分析它，任何一个合约也都可以分析，如果节点过多被黑掉情况下，将存在极大隐患。
3.因此，业内亟需一种能解决上述问题的技术方案。


技术实现要素：

4.本发明提供了一种区块链系统，以解决当前的区块链系统存在安全隐患的问题。
5.本发明提供一种区块链系统。
6.所述区块链系统包括：区块链系统本身，及设置于所述区块链系统本身与外部服务器连接之间的至少一个安全接入服务装置，所述安全接入服务装置包括：防火墙。
7.具体地，所述安全接入服务装置还包括：网闸。
8.具体地，所述安全接入服务装置中，所述网闸的数量与所述防火墙的数量一一对应。
9.具体地，所述区块链系统本身包括预言合约服务器、智能合约服务器、主链服务器、账本服务器、级联账本服务器中的至少一种；所述预言合约服务器、智能合约服务器、主链服务器、账本服务器、级联账本服务器与外部服务器的连接之间均设置有所述安全接入服务装置。
10.具体地，所述安全接入服务装置的接入数量根据所述区块链系统的吞吐量决定。
11.具体地，各所述安全接入服务装置被配置为执行：
12.获取外部服务器对区块链系统本身的数据访问行为和/或上链行为；
13.根据所述数据访问行为和/或上链行为判断是否允许将所述数据访问行为和/或上链行为接入所述区块链系统本身。
14.具体地，各所述安全接入服务装置还被配置为执行：
15.若所述数据访问行为和/或上链行为属于预设的非法行为；
16.则拦截并记录该数据访问行为和/或上链行为。
17.具体地，各所述安全接入服务装置共享所述非法的数据访问行为和/或上链行为。
18.具体地，所述外部服务器包括web服务器和ws服务器。
19.相比于现有技术，本发明的方案具有以下优点：
20.本发明公开了区块链系统，所述区块链系统包括：区块链系统本身，及设置于所述区块链系统本身与外部服务器连接之间的至少一个安全接入服务装置，所述安全接入服务装置包括：防火墙。本发明中，所述安全接入服务装置与区块链系统本身紧密联系。外部需
要访问区块链系统本身的服务必须先通过外部服务器进行访问，有效地保证了区块链系统本身的数据安全等。
21.本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
22.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
23.图1示出本发明实施例中区块链系统的一种实施例的结构示意图。
具体实施方式
24.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
25.在本发明的说明书和权利要求书及上述附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如101、102等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。
26.本领域普通技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
27.参见图1，本发明提供一种区块链系统。
28.所述区块链系统包括：区块链系统本身，及设置于所述区块链系统本身与外部服务器连接之间的至少一个安全接入服务装置。所述安全接入服务装置包括：防火墙。所述安全接入服务装置与所述区块链系统本身紧密相连。
29.本发明了实现了区块链操作系统的物理防火墙防护，通过自身的防火墙，将区块链操作系统与外部服务器进行物理隔离，保障区块链操作系统的安全与稳定。
30.所述外部服务器包括web服务器和ws服务器。
31.本技术的优选实施例中，通过防火墙的部署达到网闸级别的单开单闭效果的防护状态。其中，可信任节点服务/web服务器中间断开，不直接打交道。具体如下：
32.1、ca用户将上链请求写入web端的上链请求变量a；
33.2、防火墙读取上链请求变量a，识别是否攻击，不是的写入到节点服务器的执行请求变量b，执行上链；
34.3、节点服务器将上链结果回写到节点服务器端的返回变量c；
35.4、防火墙将返回变量c的值回填(搬运)到web端的返回变量d，d再将上链结果返回给上链用户。
36.web服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以处理浏览器等web客户端的请求并返回相应响应，也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。
37.ws服务器，即websocket服务器。websocket协议是基于tcp的一种新的网络协议。它实现了浏览器与服务器全双工(full
‑
duplex)通信
‑‑
允许服务器主动发送信息给客户端。
38.在本发明的一种具体的实施例中，所述安全接入服务装置还包括：网闸。
39.所述安全接入服务装置利用网闸实现信息摆渡，也就是可以实现完全隔离的不同网段之间的有条件访问，将所述外部服务器与所述区块链系统进行有条件的交互。
40.具体地，所述安全接入服务装置中，所述网闸的数量与所述防火墙的数量一一对应。
41.例如，一个安全服务装置中，所述防火墙的数量为5，则所述网闸的数量也为5。
42.具体地，所述区块链系统本身包括预言合约服务器、智能合约服务器、主链服务器、账本服务器、级联账本服务器中的至少一种；所述预言合约服务器、智能合约服务器、主链服务器、账本服务器、级联账本服务器与外部服务器的连接之间均设置有所述安全接入服务装置。
43.为保证所述区块链系统本身与外部服务器之间的物理隔离和有条件的访问，所述区块链系统中的各数据服务器与外部服务器通讯连接时，均需要在各所述服务器与所述外部服务器之间接入所述安全接入服务装置。
44.优选地，所述安全接入服务装置是位于外部服务器和区块链系统本身(包括主链服务器、预约合约服务器、账本服务器、智能合约服务器、级联账本服务器等数据服务器)之间的，每个数据服务器分别独立设置50组安全接入服务装置，一个区块链系统本身一般分为预言合约服务器、智能合约服务器、主链服务器、账本服务器、级联账本服务器，所以一个区块链系统本身至少拥有安全接入服务装置。
45.当然，也可以根据具体地情形调整设置的安全接入服务装置的组数，例如每个数据服务器分别独立设置40组安全接入服务装置。
46.具体地，所述安全接入服务装置的接入数量根据所述区块链系统的吞吐量决定。
47.在本发明实施例中，所述安全接入服务装置的接入数量是根据所述区块链系统的吞吐量按照预设的比例确定的。在提供安全防护服务的同时保证通道畅通。
48.例如，所述安全接入服务装置是根据所述区块链系统吞吐量按照1:100的比例计算出来的，在提供安全防护服务的同时保证通道畅通。
49.具体地，各所述安全接入服务装置被配置为执行：
50.获取外部服务器对区块链系统本身的数据访问行为和/或上链行为；
51.根据所述数据访问行为和/或上链行为判断是否允许将所述数据访问行为和/或上链行为接入所述区块链系统本身。
52.本发明实施例中，在获取所述数据访问行为和/或上链行为时，对所述数据访问行为和/或上链行为进行分析识别。例如对数字签名数据进行分析和识别，对比时间戳跟随机
数，识别签名数据是否被重复上链。当所述数据访问行为和/或上链行为为非法行为时，即存在算力攻击和黑客攻击行为时，拦截禁止该数据访问行为和/或上链行为。
53.本发明实施例中，面对异常的数据访问行为/或上链行为，例如面对算力攻击，同时控制多台机器，上链数据大部分一样，同一用户、同一ip发起大量相同的账本数据，多次上链，本发明可通过安全接入服务装置实现同一用户大量上链无效数据；并篡改账本，跟多个安全接入服务装置等节点发出修改过的账本。
54.其中，算力攻击有通用的行为特点，比方说上链数据重复，同一个ip地址大量的请求等。黑客行为是指身份匿名、不规范的数据包等。
55.具体地，各所述安全接入服务装置还被配置为执行：
56.若所述数据访问行为和/或上链行为属于预设的非法行为；
57.则拦截并记录该数据访问行为和/或上链行为。
58.具体地，各所述安全接入服务装置共享所述非法的数据访问行为和/或上链行为。
59.本发明实施例中，若发现上述非法行为，例如恶意访问行为(如黑客、病毒或伪签名等)便切断连接，并使用区块链系统中的安全接入服务装置全链部署特性的防御策略，即只要有一个节点的一个变量发现攻击行为，便通知区块链系统全链网主动封锁，并将记录的本次攻击行为，在下次遇到同类型攻击行为时自动拦截。
60.本发明实施例中，所有服务器节点的所述安全接入服务装置均集成为一套防护系统。所述安全接入服务装置与区块链系统本身紧密联系。外部需要访问区块链系统本身的服务必须先通过外部服务器进行访问，例如web服务器进行访问，而外部服务器和区块链系统本身的服务之间设有安全接入服务装置，外部服务器必须通过了安全接入服务装置的防御策略才可以跟区块链系统本身的服务器进行数据访问、数据交互。
61.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(rom，read only memory)、随机存取存储器(ram，random access memory)、磁盘或光盘等。
62.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
63.以上对本发明所提供的技术方案的实施例进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。