CN114726537B - 数据处理方法及装置 - Google Patents

数据处理方法及装置 Download PDF

Info

Publication number
CN114726537B
CN114726537B CN202210343989.0A CN202210343989A CN114726537B CN 114726537 B CN114726537 B CN 114726537B CN 202210343989 A CN202210343989 A CN 202210343989A CN 114726537 B CN114726537 B CN 114726537B
Authority
CN
China
Prior art keywords
computing engine
task
under
token
computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210343989.0A
Other languages
English (en)
Other versions
CN114726537A (zh
Inventor
谢桂鲁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ant Blockchain Technology Shanghai Co Ltd
Original Assignee
Ant Blockchain Technology Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ant Blockchain Technology Shanghai Co Ltd filed Critical Ant Blockchain Technology Shanghai Co Ltd
Priority to CN202210343989.0A priority Critical patent/CN114726537B/zh
Publication of CN114726537A publication Critical patent/CN114726537A/zh
Application granted granted Critical
Publication of CN114726537B publication Critical patent/CN114726537B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • General Business, Economics & Management (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书实施例提供一种数据处理方法和装置。该方法应用于第一节点设备中部署的第一计算引擎,第一节点设备中部署的第一区块链节点所属的区块链网络部署有链下计算合约;包括:根据链下计算合约生成的任务事件确定链下协作任务的各参与方以及执行该任务所需目标数据的数据标识;在任务事件表明第一区块链节点和第二区块链节点属于链下协作任务的参与方的情况下,根据随机数、数据标识和第二计算引擎的公钥生成令牌,并将该令牌提供至第二计算引擎;响应于包含所述令牌及其第一签名的数据获取请求,在令牌及其第一签名表明该请求由第二计算引擎发起的情况下,将目标数据返回至第二计算引擎用于执行链下协作任务。

Description

数据处理方法及装置
技术领域
本说明书一个或多个实施例涉及区块链技术领域,尤其涉及一种数据处理方法和装置。
背景技术
区块链技术构建在传输网络(例如点对点网络)之上。区块链网络中的节点利用链式数据结构来验证与存储数据,并采用分布式节点共识算法来生成和更新数据。区块链中部署的智能合约可以生成需要链下执行的区块链任务。在多个区块链节点分别参与执行该任务的过程中,各个区块链节点分别对应的相关方可能需要进行数据交互。例如,任一区块链节点对应的数据的管理方可能需要向其他区块链节点所对应的数据的请求方提供自身维护的数据,以便后者使用该数据执行上述区块链任务。
在相关技术中,数据的请求方通常在发起的数据获取请求中添加自身签名,以便管理方在该签名通过验证的情况下向其提供所需数据。该方案虽然对被获取的数据实现了一定程度上的权限管控,但仍难以解决重放攻击:请求方发起的数据获取请求可能会被第三方截获并再次发送给管理方,由于再次接收到的重放请求仍然包含请求方的签名,所以该重放请求仍然能够通过管理方的验证并得到正常响应,导致管理方所维护的数据将被输出至第三方,存在较大的安全隐患。
发明内容
有鉴于此,本说明书一个或多个实施例提供一种数据处理方法和装置。
为实现上述目的,本说明书一个或多个实施例提供技术方案如下:
根据本说明书一个或多个实施例的第一方面,提出了一种数据处理方法,应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述方法包括:
根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成;
在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备;
响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
根据本说明书一个或多个实施例的第二方面,提出了另一种数据处理方法,应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述方法包括:
获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备;
使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据;
根据所述目标数据执行所述链下协作任务。
根据本说明书一个或多个实施例的第三方面,提出了一种数据处理装置,应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
参与方确定单元,用于根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成;
令牌生成单元,用于在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备;
数据返回单元,用于响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
根据本说明书一个或多个实施例的第四方面,提出了另一种数据处理装置,应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
令牌获取单元,用于获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备;
数据请求单元,用于使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据;
任务执行单元,用于根据所述目标数据执行所述链下协作任务。
根据本说明书一个或多个实施例的第五方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第一方面或第二方面所述的方法。
根据本说明书一个或多个实施例的第六方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面或第二方面所述方法的步骤。
通过本说明书的技术方案,第一计算引擎在所述链下计算合约生成的任务事件表明第一区块链节点和第二区块链节点属于链下协作任务的参与方的情况下,根据随机数、所述任务事件包含的目标数据的数据标识和第二计算引擎的公钥生成令牌(或称token)并将其提供至第二计算引擎;进而,响应于包含所述令牌及其第一签名的数据获取请求,在该令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务。
第一计算引擎生成所述令牌时使用了随机数和第二计算引擎的身份信息,该令牌即对应于第二计算引擎。可以理解的是,因为数据获取请求中包含的第一签名由数据获取请求的发起方针对所述令牌生成,所以所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,即表明第一签名由该请求的发起方所生成,而且所述令牌对应于第二计算引擎;换言之,第二计算引擎即为所述数据获取方的发起方并且该请求中携带的令牌即为第一计算引擎使用第二计算引擎生成的令牌。若第三方截获到第一计算引擎向第二计算引擎发送的所述令牌并使用自己的私钥生成第一签名,则包含该签名的重放请求将无法通过验证;若第三方截获到第二计算引擎向第一计算引擎发送的所述数据获取请求并重放该请求,则该请求所携带的令牌与请求发起方并不一致,上述两种情况下均无法得出所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的结论,因此能够避免第一计算引擎响应于第三方发起的重放请求向其返回目标数据,从而消除了第三方发起重放攻击可能带来的安全隐患。
附图说明
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是一示例性实施例提供的一种数据处理方法的流程图。
图2是一示例性实施例提供的另一种数据处理方法的流程图。
图3是一示例性实施例提供的一种数据处理方法的交互流程图。
图4是一示例性实施例提供的一种设备的结构示意图。
图5是一示例性实施例提供的一种数据处理方法的装置的框图。
图6是一示例性实施例提供的另一种数据处理方法的装置的框图。
具体实施方式
这里这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
在相关技术中,数据的请求方通常在发起的数据获取请求中添加自身签名,以便管理方在该签名通过验证的情况下向其提供所需数据。该方案虽然对被获取的数据实现了一定程度上的权限管控,但仍难以解决重放攻击:请求方发起的数据获取请求可能会被第三方截获并再次发送给管理方,由于再次接收到的重放请求仍然包含请求方的签名,所以该重放请求仍然能够通过管理方的验证并被正常处理,导致管理方所维护的数据将被输出至第三方,存在较大的安全隐患。
为解决相关技术中存在的上述问题,本说明书提出一种数据处理方法,由第一计算引擎(即目标数据的管理方)利用第二计算引擎的公钥生成令牌并提供至第二计算引擎(即目标数据的请求方),以便第二计算引擎使用该令牌证明自身确实为数据获取请求的真实发起方。下面结合附图对该方案进行详细说明。
请参见图1,图1是一示例性实施例提供的一种数据处理方法的流程图。如图1所示,该方法应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述方法包括步骤102-106。
步骤102,根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成。
对于区块链网络所包含的多个区块链节点,本说明书实施例主要关注其中任意两个区块链节点,即第一区块链节点和第二区块链节点。其中,部署有第一区块链节点的第二节点设备(即第一区块链节点所处的节点设备)中还部署有第一计算引擎,类似的,部署有第二区块链节点的第二节点设备(即第二区块链节点所处的节点设备)中还部署有第二计算引擎。上述区块链网络中部署有链下计算合约,区块链网络中的各个区块链节点可以分别执行该合约以产生针对链下协作任务的任务事件,例如任一区块链节点可以在执行区块链交易的过程中调用并执行该合约以生成被所述任务事件。相应地,任一区块链节点所处的节点设备可以监听该区块链节点生成的所述任务事件,例如,第一节点设备可以监听第一区块链节点执行上述链下计算合约产生的所述任务事件、第二节点设备可以监听第二区块链节点执行上述链下计算合约产生的所述任务事件。
在本说明书实施例中,链下计算合约是一个用于承载链下计算任务的链上载体,链下计算合约中可以定义链下计算任务包含的若干子任务,以用于描述一个链下计算任务中的数据流向和各参与方的计算协作过程。由于链下计算合约部署在区块链网络上,因此限定了链下计算合约所定义的链下计算任务的参与方不超过区块链网络中的各区块链节点的范围。显然,同一个区块链网络中可以部署多个链下计算合约,而不同的链下计算合约其所涉及的参与方节点的数量和性能均可以灵活配置,这使得依托于同一个区块链网络可以实现不同任务类型、任务需求和任务规模的链下计算任务的部署。
为了说明链下计算合约如何指导以实现其定义的链下计算任务,下面将通过一个典型的链下计算合约的运作过程来简单介绍链下计算任务的实现逻辑。
用户可以通过可视化合约编排***生成链下计算合约的代码并在区块链网络中部署链下计算合约,从而在链下计算合约中定义某种类型的链下计算任务的工作流程,它体现为若干个具有执行依赖顺序的子任务。在链下计算合约部署成功的情况下,有权限调用该链下计算合约的用户就可以通过向该合约发起任务创建交易的方式来创建并启动链下计算任务,链下到任务创建交易后会相应地创建一个归属于发起方用户的链下计算任务的任务实例,该任务实例中维护有链下计算任务的任务完成状态,具体体现为链下计算任务下各子任务的任务完成状态。
链下计算合约响应于任务创建交易并生成对应的任务实例后,会进一步触发执行该实例对应的第一个子任务,在链下计算合约上体现为生成用于指示第一个子任务的参与方的任务事件。区块链网络中的各区块链节点都可以监听该任务事件,并且那些判定自身属于第一个子任务的参与方的区块链节点所处的节点设备会进一步调用匹配于该第一个子任务的链下资源在链下执行该第一个子任务。作为参与方的区块链节点所处的节点设备在执行完毕后,会进一步向链下计算合约发起携带有第一个子任务的执行结果的结果返回交易,从而使得链下计算合约更新对应任务实例的任务完成状态。例如当第一个子任务的执行结果为执行成功时,链下计算合约可以将对应任务实例中第一个子任务的任务完成状态标记为已完成,从而按照预定义的链下计算任务包含的各子任务的依赖顺序触发执行下一批子任务,进而生成包含下一批子任务的参与方节点的事件以供区块链网络中的各区块链节点监听,其后续过程与前述处理第一个子任务的过程类似。由此一来,就形成了一个“链下计算合约更新任务完成状态→链下计算合约生成子任务事件→区块链节点监听子任务事件并由被指定的节点设备执行子任务→节点设备向链下计算合约发起子任务的结果返回交易→链下计算合约更新任务完成状态”的循环,直至链下计算合约的任务实例中所有子任务的任务完成状态均为已完成,即可确定该任务实例对应的链下计算任务被执行完成。
不难发现,链下计算合约在链下计算任务的执行过程中仅用于执行创建任务实例、接收子任务结果、调度与下发子任务等调度性任务,实际上并没有真正执行链下计算任务所定义和要求执行的如数据计算、数据转移和数据存储等实际任务,而这些大量消耗资源的任务被调度至各节点设备中部署的链下计算引擎执行,从而通过事件监听机制以及交易回传机制实现基于区块链的分布式计算,使链下计算任务被区块链上的链下计算合约所锚定,在确保任务执行全流程可追踪的前提下充分利用链下资源,同时使得不同节点设备之间依托于区块链实现可信的信息交互与协作计算。另外,由于链下计算任务是以合约形式定义且链下计算任务的设计并不受到链上资源的掣肘,这意味着可以通过设计不同的链下计算合约以满足不同的实际需求,通过链下资源扩展了链上协作方式。
在本说明书实施例中,所述链下计算合约维护有链下计算任务对应的任务完成状态,所述任务完成状态用于描述所述链下计算任务包含的各子任务的完成状态;其中在链下协作任务属于所述链下计算任务的子任务的情况下,所述任务事件可以由所述链下计算合约在所述任务完成状态满足所述链下协作任务的执行条件的情况下生成,而节点设备可以通过事件监听机制监听到该任务事件。在本说明书实施例中,链下计算任务的任务完成状态可以维护在链下计算合约的相应任务实例中,具体可以为该任务实例中维护有各子任务的完成状态。由于链下计算任务包含的各子任务的执行依赖顺序已经预先定义,这意味着每个子任务的执行条件也已确定,因此链下计算合约可以依据各子任务的完成状态来进一步确定接下来所需执行的链下协作任务,从而发起针对链下协作任务的任务事件。
进一步的,执行所述链下协作任务的节点设备还可以在该任务执行完毕的情况下,通过自身部署的区块链节点向所述链下计算合约发起包含链下协作任务的执行结果的结果返回交易,以更新所述链下计算合约维护的链下计算任务的任务完成状态。如前所述,在节点设备通过调用资源执行链下协作任务并执行完毕的情况下,可以通过发起结果返回交易来更新链下计算合约维护的链下计算任务的任务完成状态,从而使得链下计算合约可以进一步根据链下计算任务中各子任务的执行依赖顺序确定接下来应该执行的下一子任务,并生成针对下一子任务的任务事件。在本说明书实施例中,监听链下计算合约生成的任务事件以及向链下计算合约发起结果返回交易,可以由第一节点设备上部署的调度框架完成。
如前所述,任务完成状态由所述链下计算合约响应于所述链下计算任务对应的交易所更新,其中,所述链下计算任务对应的交易可以包括所述链下计算任务对应的任务创建交易,或者任一节点设备在执行所述各子任务中任一子任务完毕的情况下发起的结果返回交易。
可见,本说明书实施例所述的链下协作任务可以是链下计算任务所包含的多个子任务中的一类特殊子任务,特殊之处在于该链下协作任务需要多个参与方在链下相互配合,通过协同交互完成任务的执行。当然,链下计算任务所包含的全部子任务均可以为所述链下协作任务,此时本说明书实施例仅关注其中任一链下协作任务的执行过程;或者,链下计算任务也可以仅包含一个链下协作任务,本说明书实施例对此并不进行限制。
在本说明书实施例中,所述链下计算合约维护有一个或多个链下协作任务分别对应的任务完成状态。通常情况下,一个链下计算合约只会定义一种类型的链下协作任务,但可以创建该链下协作任务对应的多个任务实例,每个任务实例都会记录有该任务实例对应的任务完成状态。因此,链下计算合约上维护的多个任务实例可以是不同用户通过向链下计算合约分别发起任务创建合约而触发创建的,也可以是由同一个用户通过多次发起任务创建合约而触发创建的,但这些任务实例都具有相同的执行逻辑,即链下计算合约维护的各任务的任务类型相同。
第一节点设备中还可以部署对应于第一区块链节点的第一调度框架、第二节点设备中还可以部署对应于第二区块链节点的第二调度框架。如前所述,第一节点设备和第二节点设备监听所述任务事件的具体过程,可以分别由第一调度框架和第二调度框架实现,即可以由第一调度框架和第二调度框架分别监听所述任务事件。在此基础上,第一调度框架可以根据监听到的所述任务事件,将所述链下协作任务分发至第一计算引擎执行。类似的,第二调度框架可以根据监听到的所述任务事件,将所述链下协作任务分发至第二计算引擎执行。通过上述该方式,使得链下协作任务的分发过程由调度框架完成而无需节点设备或者区块链节点参与,实现了任务分发过程的独立,便于实现多任务场景下的高效分发。
其中,调度框架可以根据链下协作任务的任务类型实现上述任务分发。例如,第二调度框架可以先确定所述链下协作任务的任务类型以及第二计算引擎的计算类型,并在所述计算类型匹配于所述任务类型的情况下,将所述链下协作任务下发至第二计算引擎。特别的,在第二节点设备中部署有多个计算引擎的情况下,第二调度框架可以依次确定各个第二计算引擎的计算类型,然后从各个第二计算引擎中确定计算类型匹配于所述任务类型的至少一个第二计算引擎,并在其中进一步选取第二目标计算引擎,然后将所述链下协作任务下发至该第二目标计算引擎执行。与此类似的,第一调度框架可以先确定所述链下协作任务的任务类型以及第一计算引擎的计算类型,并在所述计算类型匹配于所述任务类型的情况下,将所述链下协作任务下发至第一计算引擎。特别的,在第一节点设备中部署有多个计算引擎的情况下,第一调度框架可以依次确定各个第一计算引擎的计算类型,然后从各个第二计算引擎中确定计算类型匹配于所述任务类型的至少一个第一计算引擎,并在其中进一步选取第一目标计算引擎,然后将所述链下协作任务下发至该第一目标计算引擎执行。其中,上述计算类型和任务类型可以为转发类型、MFT(Managed File Transfer,大文件传输)类型、隐私计算类型、数据查询类型等,本说明书实施例并不对此进行限制。通过该方式,调度框架可以将链下协作任务分配至相应类型的计算引擎,有助于实现链下协作任务的顺利、高效执行。
在监听到上述任务事件的情况下,第一节点设备可以将该任务事件转发至第一计算引擎,从而第一计算引擎可以通过多种方式确定链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识。如前所述,上述链下计算合约生成的任务事件可以用于指示所述链下协作任务的各参与方以及执行链下协作任务所需的目标数据,如该事件中可以记录所述各参与方的公钥等身份信息以及所述目标数据的数据标识,因此第一计算引擎可以从该任务事件中获取各参与方的身份信息以及所述目标数据的数据标识。通过该方式,链下计算合约可以将各计算引擎执行链下协作任务所需获知的信息通过任务事件的方式告知各计算引擎。或者,在部署上述链下计算合约的过程中,该合约的部署方或者所述可视化合约编排***可以预先采集各参与方对应的计算引擎的身份信息,并据此生成所述链下计算合约的代码,此时该合约生成的所述任务事件可以不包含各个参与方的身份信息以及目标数据的数据标识。在这种情况下,第一计算引擎可以根据所述任务事件确定所述链下计算合约,并通过第一区块链节点读取所述链下计算合约中记录的各参与方的身份信息以及所述目标数据的数据标识。如前所述,虽然各区块链节点是链下协作任务的参与方,但该任务的执行主体实际为各参与方分别对应的计算引擎,所以上述任务事件中除了包含目标数据的数据标识外,还可以包含各个计算引擎的身份信息,如维护目标数据的管理方(如第一计算引擎)的身份信息以及需要获取目标数据的请求方(如第二计算引擎)的身份信息等。其中,上述任一方的身份信息可以为该方的公钥;当然,在任一区块链节点仅对应于一个计算引擎的情况下,该计算引擎可以将该区块链节点的公钥作为自身的公钥,以便简化各相关方需要维护的公钥数量。
步骤104,在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备。
如前所述,链下协作任务需要多个区块链节点相互配合执行,即该任务具有多个参与方,而上述任务事件即用于指示链下协作任务的各个参与方的身份。例如,该任务事件中可以包含链下协作任务的各参与方的描述信息,如各个参与方的节点公钥等标识信息,以用于向区块链节点告知该任务需要由哪些参与方参与执行。任务事件包含链下协作任务的各参与方的描述信息,是指链下协作任务规定了其所需涉及参与的各区块链节点的身份信息。另外,任务事件中还可以记录链下计算任务与链下协作任务的任务标识,从而对不同的任务和子任务进行区分,这主要是方便后续节点设备在对链下协作任务执行完毕并回传结果返回交易时能够正确标识是针对链下计算任务中链下协作任务的结果,使得链下计算合约能够通过结果返回交易正确更新对应链下计算任务的任务实例中链下协作任务的完成状态,以应对同一个任务包含多个子任务或者同一个链下计算年合约同时创建多个链下计算任务的任务实例的情况。
第一节点设备在监听到上述任务事件的情况下,可以根据该任务事件确定链下协作任务的各个参与方,例如,若所述描述信息中包含某一区块链节点的标识信息,则第一节点设备可以确定该区块链节点即为链下协作任务的参与方。以第一区块链节点为例,如果所述描述信息中包含第一区块链节点的标识信息,则第一节点设备可以确定第一区块链节点属于链下协作任务的参与方,于是第一节点设备就需要开始处理该链下协作任务;而如果所述描述信息中不包含第一区块链节点的标识信息,则第一节点设备可以确定第一区块链节点不属于链下协作任务的参与方,于是第一节点设备将不处理该链下协作任务。实际上,上述任务事件中还可以记录链下协作任务的任务类型需要在各个参与方之间进行转移的目标数据的来源(即用于保存执行链下协作任务所需目标数据的计算引擎)等任务信息,这些任务信息用于向各节点设备告知链下协作任务的任务类型及其实现方式,从而指导节点设备在确定可调用资源后按照链下协作任务的预期执行该任务。基于上述描述信息,可以确定第一区块链节点和第二区块链节点是否为链下协作任务的参与方;基于上述任务信息,可以进一步确定第一区块链节点和第二区块链节点是否分别为目标数据的管理方和请求方;换言之,所述任务事件可以用于指示确定第一区块链节点和第二区块链节点是否为链下协作任务的参与方以及是否分别为目标数据的管理方和请求方。
可以理解的是,第一计算引擎生成的所述令牌被用于从第一计算引擎获取目标数据,即该令牌被目标数据的请求方用于在请求获取目标数据时包含在发起的数据获取请求中,以向第一计算引擎证明该请求方的身份。显然,只有在第一计算引擎确实为目标数据的管理方的情况下,第一计算引擎才能够向目标数据的请求方(如第二计算引擎)返回目标数据,第一计算引擎也才有必要生成所述令牌。因此,第一计算引擎可以在所述任务事件表明第一区块链节点和第二区块链节点为链下协作任务的参与方,且二者分别为目标数据的管理方和请求方的情况下,触发生成所述令牌。
在一实施例中,为保证目标数据仅能够被具有相应权限的相关方所获取,第一计算引擎可以先判断第二计算引擎是否具备获取所述目标数据的权限,并在确定第二计算引擎具备该权限的情况下,再根据随机数、所述数据标识和第二计算引擎的公钥生成所述令牌。其中,第一计算引擎可以维护针对目标数据的授权列表,该列表用于记录允许获取所述目标数据的各获取方的身份信息。例如,第一计算引擎可以根据上述任务事件或者其他链下方式确定允许获取所述目标数据的各合法获取方的身份信息。进而,第一计算引擎可以将确定出的上述身份信息记录在上述授权列表中,以及,在确定其中任一获取方不再具有所述权限的情况下,可以在该列表中删除相应的身份信息。或者,第一计算引擎也可以将确定出的上述身份信息记录在上述授权列表中并将其设置为有权状态,以及,在确定其中任一获取方不再具有所述权限的情况下,在该列表中将相应的身份信息更新为无权状态。
基于所述授权列表,第一计算引擎可以在该列表中查询第二计算引擎的身份信息或者其授权状态,并在确定该列表中存在第二计算引擎的身份信息或者该身份信息处于有权状态的情况下,确定第二计算引擎具备获取目标数据的权限。通过该方式,只有在确定第二计算引擎具备获取目标数据的权限的情况下,第一计算引擎才会生成所述令牌以便第二计算引擎使用该令牌获取目标数据,从而对目标数据的获取方以及目标数据输出过程的权限管控,一定程度上提升了目标数据的安全性。
根据生成令牌的时机不同,第一计算引擎可以在不同的触发条件下生成所述令牌。作为一示例性实施例,第一计算引擎可以预先主动生成针对第二计算引擎的令牌。例如,在所述目标数据的数据标识和第二计算引擎的公钥可以包含在所述任务事件中的情况下,第一计算引擎可以响应于所述任务事件,从所述任务事件中获取所述数据标识和第二计算引擎的公钥,并根据随机数以及获取到的所述数据标识和所述公钥生成令牌。其中,所述任务事件可以由第一节点设备提供至第一计算引擎,如可以由第一节点设备中部署的第一调度框架在监听到所述任务事件的情况下,将该任务事件下发至第一计算引擎。例如,第一调度框架可以将所述任务事件下发至第一节点设备中部署的各个计算引擎,从而第一计算引擎可以在确定自身为目标数据的管理方的情况下,从所述任务事件中获取所述数据标识和第二计算引擎的公钥,并根据随机数以及获取到的所述数据标识和所述公钥生成令牌。再例如,第一调度框架也可以根据监听到的任务事件确定目标数据的管理方,并在确定第一计算引擎为该管理方的情况下将该任务事件发送至第一计算引擎,以避免与所述链下协作任务无关的其他计算引擎获取到所述任务事件,一定程度上避免任务相关信息的泄露;相应地,第一计算引擎可以从所述任务事件中获取所述数据标识和第二计算引擎的公钥,并根据随机数以及获取到的所述数据标识和所述公钥生成令牌。通过上述方式,第一计算引擎可以在自身为目标数据的管理方的情况下主动为相应的数据获取方(即第二计算引擎)生成令牌,以便后者使用该令牌获取目标数据,有助于减少第二计算引擎的等待时长,提升第二计算引擎对目标数据的获取效率。
在另一实施例中,第一计算引擎也可以响应于接收到的令牌获取请求生成所述令牌。例如,第一计算引擎可以接收令牌获取请求,该请求包含目标数据的数据标识、该请求的发起方的公钥以及该发起方使用自身私钥对所述数据标识和所述公钥生成的第二签名。此时,第一计算引擎可以根据所述任务事件中记录的第二计算引擎的公钥验证该第二签名。若验证通过,则表明所述令牌获取请求的发起方即为第二计算引擎,此时可以根据随机数、所述数据标识和所述发起方(即第二计算引擎)的公钥生成令牌。反之,若验证不通过,则表明该请求的发起方并非第二计算引擎,考虑到该请求中包含用于表明第二计算引擎身份的公钥,可以确定该请求的实际发起方与请求中内容所声明的发起方并不一致,即该请求有可能是重放的虚假请求,所以第一计算引擎可以拒绝响应于该请求生成相应的令牌,以避免因为正常响应该虚假请求而使第三方获取到目标数据的情况发生,保证目标数据的安全性。可见,通过使用第二计算引擎的公钥对第二签名进行验证,能够识别出被重放的令牌获取请求,从而避免响应于这类请求生成令牌。
在前述实施例所述的令牌生成条件满足的情况下,第一计算引擎可以根据随机数、所述目标数据的数据标识以及第二计算引擎的公钥生成令牌。例如,第一计算引擎可以将随机数、所述数据标识和所述公钥构成的数据集合作为所述令牌,该数据集合可以为上述各个数据的简单拼接或组合等,本说明书实施例并不对此进行限制。再例如,第一计算引擎也可以计算上述数据集合的摘要,并将该摘要作为所述令牌。
值得说明的是,第一计算引擎可以采用随机数生成算法或者伪随机数生成算法生成上述随机数,如可以采用XorShift算法、线性同余法(LCG,linear congruentialgenerator)、马特赛特旋转演算法(Mersenne Twister)等。可以理解的是,因为使用第二计算引擎的公钥生成所述令牌,所以该令牌对计算引擎具有针对性;又因为利用随机数生成所述令牌,使得第一计算引擎生成的各个令牌均被引入随机变量,所以能够进一步避免重复令牌可能导致的目标数据请求出错:在方案应用中,响应于同一计算引擎针对同一目标数据正常发起的两次令牌获取请求,使用随机数生成算法生成同一随机数的可能性几乎为零,从而第一计算引擎生成两个相同令牌的可能性也几乎为零,使得该方案具有较强的实用性。
第一计算引擎可以自身的缓存中记录生成的所述令牌。例如,第一计算引擎可以维护令牌列表,该列表用于记录第一计算引擎生成的处于有效状态的令牌。在将随机数、数据标识和公钥构成的数据集合作为任一令牌的情况下,第一计算引擎可以在该列表中直接记录该令牌;而在将所述数据集合的摘要作为任一令牌的情况下,第一计算引擎除了在该列表中记录该令牌之外,还可以相应地记录生成该令牌的所述随机数、数据标识和公钥。换言之,第一计算引擎的缓存中记录了所述令牌及其对应的随机数、数据标识和公钥之间的对应关系。
正常情况下,第二计算引擎执行链下协作任务仅需要获取一次目标数据,即便需要多次获取目标数据,也应当是在前一次获取失败或者令牌获取请求处理超时的情况下再次获取。因此,第二计算引擎针对目标数据的一次获取过程仅需要使用一个令牌,即第一计算引擎仅需要针对同一个令牌获取请求生成一个令牌。但由于第二计算引擎发起的令牌获取请求可能会被第三方窃听到并进行重放(当然,第二计算引擎也有可能重放),所以第一计算引擎会接收到包含相同内容的令牌获取请求,对此,第一计算引擎可以根据所述令牌列表中记录的历史令牌对接收到的各个令牌获取请求进行去重。例如,响应于接收到的包含所述目标数据的数据标识以及第二计算引擎的公钥的令牌获取请求,在使用所述数据标识以及第二计算引擎的公钥生成令牌之前,第一计算引擎可以先在所述令牌列表中查询使用任一随机数、所述数据标识以及第二计算引擎的公钥生成的历史令牌:若令牌列表中存在这样的历史令牌,则可以确定该令牌获取请求已经被响应过(即已经根据该请求携带的信息生成了相应的令牌——即查询到的所述历史令牌),所以可以确定该令牌获取请求为重放攻击,此时可以终止处理该请求,即避免根据该请求中包含的数据标识和第二计算引擎的公钥生成相应的令牌。而若令牌列表中不存在使用任一随机数、所述数据标识以及第二计算引擎的公钥生成的历史令牌,则可以确定该令牌获取请求为第二计算引擎正常发起的请求,所以可以正常处理该请求,即根据随机数、该请求中包含的数据标识和第二计算引擎的公钥生成相应的令牌。通过该方式,能够有效识别第二计算引擎或者第三方针对令牌获取请求发起的重放攻击,以避免生成无效令牌。
进一步的,在正常处理所述令牌获取请求生成令牌完成后,一方面,第一计算引擎可以将该令牌提供至第二计算引擎;另一方面,第一计算引擎可以在所述缓存中记录该令牌并将其设置为有效状态,如可以将该令牌记录在所述令牌列表中或者在所述令牌列表中将生成的所述令牌设置为有效状态。
步骤106,响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
在获取到第一计算引擎提供的所述令牌的情况下,第二计算引擎可以使用自身的私钥对该令牌生成第一签名,并向第一计算引擎发起包含该令牌和第一签名的数据获取请求,以向第一计算引擎请求获取所述目标数据。响应于所述数据获取请求,第一计算引擎可以根据所述令牌和第一签名确定数据获取请求的(真实的)发起方,进而在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,即确定第二计算引擎为该请求的发起方的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务。
通过本说明书的技术方案,第一计算引擎在所述链下计算合约生成的任务事件表明第一区块链节点和第二区块链节点属于链下协作任务的参与方的情况下,根据随机数、所述任务事件包含的目标数据的数据标识和第二计算引擎的公钥生成令牌(或称token)并将其提供至第二计算引擎;进而,响应于包含所述令牌及其第一签名的数据获取请求,在该令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务。
第一计算引擎生成所述令牌时使用了随机数和第二计算引擎的身份信息,该令牌即对应于第二计算引擎。可以理解的是,因为数据获取请求中包含的第一签名由数据获取请求的发起方针对所述令牌生成,所以所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,即表明第一签名由该请求的发起方所生成,而且所述令牌对应于第二计算引擎;换言之,第二计算引擎即为所述数据获取方的发起方并且该请求中携带的令牌即为第一计算引擎使用第二计算引擎生成的令牌。若第三方截获到第一计算引擎向第二计算引擎发送的所述令牌并使用自己的私钥生成第一签名,则包含该签名的重放请求将无法通过验证;若第三方截获到第二计算引擎向第一计算引擎发送的所述数据获取请求并重放该请求,则该请求所携带的令牌与请求发起方并不一致,上述两种情况下均无法得出所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的结论,因此能够避免第一计算引擎响应于第三方发起的重放请求向其返回目标数据,从而消除了第三方发起重放攻击可能带来的安全隐患。
在接收到包含所述令牌及其第一签名的数据获取请求的情况下,第一计算引擎可以根据第二计算引擎的公钥验证第一签名,并在所述缓存记录的全部令牌中查询是否存在处于有效状态的该令牌,从而,可以在根据第二计算引擎的公钥验证第一签名通过且第一计算引擎的缓存中存在处于有效状态的所述令牌的情况下,确定该数据获取请求的真实发起方确实为自身所生成的所述令牌对应的第二计算引擎。可以理解的是,若第一计算引擎针对第二签名采取的验证机制因意外情况导致失效,或者第三方截获到第一计算引擎根据第二计算引擎的公钥生成并向第二计算引擎提供的所述令牌,则第三方需要使用自身私钥生成第一签名并包含在数据获取请求中发送至第一计算引擎,即伪造数据获取请求。显然,因为上述第三方与第二计算引擎的私钥并不相同,所以该第一签名将无法通过第二计算引擎的公钥的验证,因此对第一签名的上述验证可以识别出第三方针对数据获取请求的伪造请求,避免该请求被第一计算引擎处理。另外,若第二计算引擎向第一计算引擎发起的所述数据获取请求被第二计算引擎重放或者被第三方截获并重放,则由于重放请求与所述数据获取请求之间的间隔时间通常比较短,所以第一计算引擎可以根据所述缓存中记录的令牌识别出该重放请求。实际上,为了对数据获取请求的重放请求实现更好的识别效果,上述缓存中记录的所述令牌也可以在确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎的一段之间之后再删除,从而对重放请求取得更好的识别和打击效果。
在一实施例中,在将生成的令牌记录在所述令牌列表中的情况下,第一计算引擎可以在确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎时,删除所述令牌列表中记录的该令牌。或者,在将生成的令牌记录在所述令牌列表中并设置为有效状态的情况下,第一计算引擎可以在确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎时,将所述令牌列表中记录的所述令牌更新为无效状态。通过该方式,第一计算引擎生成的任一令牌可以被记录在令牌列表中,而该令牌被使用完毕(确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎)的情况下,在令牌列表中删除该令牌或者将其更新为无效状态,从而通过缓存机制为令牌设置了有效期,实现了所述令牌的一次性使用。
在通过上述实施例确定数据获取请求确实为所述第二计算引擎发起的情况下,第一计算引擎可以将目标数据返回至第二计算引擎,以便后者使用该数据执行链下协作任务。
由前述实施例可见,为执行链下协作任务,第一计算引擎与第二计算引擎之间需要进行多次交互,如第二计算引擎向第二计算引擎发起令牌获取请求并接收第一计算引擎返回的所述令牌,第二计算引擎向第二计算引擎发起数据获取请求并接收第一计算引擎返回的所述目标数据等。其中,第一计算引擎和第二计算引擎可以通过第一区块链节点和第二区块链节点之间的共识链路实现上述交互,以第二计算引擎向第二计算引擎发起数据获取请求并接收第一计算引擎返回的所述目标数据为例,第二计算引擎可以将所述数据获取请求提交至第二节点设备,并由第二节点设备通过第一区块链节点和第二区块链节点之间的共识链路将该请求发送至第一节点设备,从而第一节点设备可以将该请求转发至第一计算引擎;相应地,第一计算引擎可以将目标数据提交给第一节点设备,并由第一节点设备通过上述共识链路将该请求返回至第二节点设备,从而第二节点设备可以将该请求转发至第二计算引擎。其中,上述共识链路为第一区块链节点和第二区块链节点之间用于交易共识或者链上数据传输的路径,通过该方式可以复用该共识链路,从而提升其利用率。另外,第一节点设备中可以部署第一区块链节点对应的第一P2P组件,第二节点设备中可以部署第二区块链节点对应的第二P2P组件,而第一区块链节点和第二区块链节点之间的共识链路可以为所述第一P2P组件与第二P2P组件之间的共识链路,不再赘述。
进一步的,为了避免通过共识链路传输目标数据可能出现的传输失败或者对共识链路的原有交易共识等链上过程造成干扰,也可以通过该共识链路在第一计算引擎和第二计算引擎之间建立直连通道,并基于该直连通道完成本说明书实施例中第一计算引擎和第二计算引擎的交互过程。例如,第一节点设备可以在监听到的所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,通过所述共识链路向第二区块链节点所处的第二节点设备发送第一计算引擎的第一地址信息;相应地,第二节点设备上部署的第二计算引擎可以根据第一地址信息与第一计算引擎建立直连通道。类似的,上述直连通道也可以由第二节点设备在监听到的所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,通过所述共识链路向第一区块链节点所处的第一节点设备发送第二计算引擎的第二地址信息;相应地,第一节点设备上部署的第一计算引擎可以根据第二地址信息与第二计算引擎建立直连通道。
其中,上述任一地址信息可以为相应计算引擎的IP地址、端口号等网络地址信息,以用于向其他计算引擎准确告知所述任一计算引擎的网络地址,便于后续建立直连通道建立;还可以包括代理地址、引擎标识等身份信息,以用于向其他计算引擎准确告知所述任一计算引擎的身份,便于其他计算引擎有序管理其所建立的直连通道及其所连接的各个计算引擎。
可以理解的是,假如第二计算引擎根据地址信息与第一计算引擎建立了直连通道,而且第一计算引擎也根据地址信息与第二计算引擎建立了的直连通道,则建立成功后的两直连通道应当是完全相同的——二者区别仅在于建立过程的发起方不同。因此,为简化计算引擎之间的连接以便于对直连通道进行维护和管理,没有必要在第二计算引擎和第二计算引擎之间同时建立上述两个直连通道。为此,在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,第二节点设备可以通过所述共识链路向第一节点设备发送第二计算引擎的第二地址信息。而第二计算引擎在前述直连通道(即第二计算引擎根据第一地址信息与第一计算引擎建立的上述直连通道)尚未建立时,若接收到第一计算引擎根据第二地址信息发起的通道建立请求,则可以通过向第一计算引擎返回通道建立响应建立所述直连通道。当然,在该直连通道建立成功的情况下,第一计算引擎和第二计算引擎可以拒绝在二者之间再次建立直连通道,从而避免直连通道重复建立,在满足协同交互需求的基础上尽量简化计算引擎之间的链下交互网络的网络结构。
在上述直连通道建立完成后,第一计算引擎和第二计算引擎可以在执行所述链下协作任务时基于该通道实现协同交互。例如,第一计算引擎可以通过所述直连通道接收第二计算引擎发起的所述数据获取请求;和/或,第一计算引擎可以通过所述直连通道将目标数据返回至第一计算引擎。通过该方式,第一计算引擎和第二计算引擎可以通过二者之间建立的直连通道实现协同交互,如发起请求或传输目标数据等,而该方式仅需要借用共识链路传递数据量较小的地址信息,一定程度上避免了对基于共识链路的原有链上过程造成干扰,并且该直连通道仅用于第二计算引擎和第二计算引擎之间的数据传输,所以也降低了目标数据传输出错的可能性。
在上述如图1所示的实施例中,实际上是从第一计算引擎的角度来描述了本说明书的传输目标数据的过程,下面结合图2,从第二计算引擎的角度,对本说明书的技术方案进行描述。容易理解的是,图2所示的实施例与图1所示的实施例并不存在本质上的差异,前文针对图1所示实施例的描述,均适用于图2所示的实施例。
请参见图2,图2是一示例性实施例提供的另一种数据处理方法的流程图。如图2所示,该方法应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述方法包括步骤202-206。
步骤202,获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备。
步骤204,使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据。
步骤206,根据所述目标数据执行所述链下协作任务。
如前所述,第二计算引擎可以向第一计算引擎发起令牌获取请求,该请求包含目标数据的数据标识、第二计算引擎的公钥以及第二计算引擎使用自身私钥对所述数据标识和所述公钥生成的第二签名;接收第一计算引擎在根据第二计算引擎的公钥验证第二签名通过的情况下生成并返回的所述令牌,该令牌及其第一签名即用于包含在所述数据获取请求中。
如前所述,第二节点设备中还可以部署有第二调度框架,从而第二计算引擎可以接收第二调度框架响应于监听到的所述任务事件分发至第一计算引擎的所述链下协作任务。其中,所述链下协作任务可以由第二调度框架在第二计算引擎的计算类型匹配于所述链下协作任务的任务类型的情况下,分发至第二计算引擎。
在一实施例中,第二计算引擎可以自行执行所述链下协作任务;或者,在第二计算引擎允许调用其他的远程计算引擎(如第二计算引擎为第二节点设备中部署的代理计算引擎)的情况下,第二计算引擎可以调用上述远程计算引擎执行所述链下协作任务。与此类似的,第一计算引擎也可以自行执行或者通过调用相应的远程计算引擎执行所述链下协作任务,不再赘述。
第二计算引擎执行所述链下协作任务可以得到相应的执行结果,此后,第二计算引擎可以将所述执行结果返回至第二区块链节点。例如,第二计算引擎可以将链下协作任务的执行结果返回至第二调度框架,并由第二调度框架将该执行结果上传至第二区块链节点,如可以将该执行结果返回至第二区块链节点中生成的针对链下协作任务的任务实例,从而完成对链下协作任务的完整处理过程。另外,在链下协作任务为链下计算任务的任一子任务的情况下,第二区块链节点还可以根据所述执行结果更新所述链下计算任务的任务完成状态,如将链下协作任务这一种子任务的完成状态更新为已完成,从而触发所述链下计算任务推进相应的工作流,如触发执行下一子任务等。
第二计算引擎所对应各个实施例的具体内容可以参见前述第一计算引擎所述实施例的记载,此处不再赘述。
通过上述方案,第一计算引擎生成所述令牌时使用了随机数和第二计算引擎的身份信息,该令牌即对应于第二计算引擎。可以理解的是,因为数据获取请求中包含的第一签名由数据获取请求的发起方针对所述令牌生成,所以所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,即表明第一签名由该请求的发起方所生成,而且所述令牌对应于第二计算引擎;换言之,第二计算引擎即为所述数据获取方的发起方并且该请求中携带的令牌即为第一计算引擎使用第二计算引擎生成的令牌。若第三方截获到第一计算引擎向第二计算引擎发送的所述令牌并使用自己的私钥生成第一签名,则包含该签名的重放请求将无法通过验证;若第三方截获到第二计算引擎向第一计算引擎发送的所述数据获取请求并重放该请求,则该请求所携带的令牌与请求发起方并不一致,上述两种情况下均无法得出所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的结论,因此能够避免第一计算引擎响应于第三方发起的重放请求向其返回目标数据,从而消除了第三方发起重放攻击可能带来的安全隐患。
请参见图3,图3是一示例性实施例提供的一种数据处理方法的交互流程图。如图3所示,该方法包括步骤301a-313。
步骤301a,第二计算引擎获取第二节点设备监听到的任务事件或者链下协作任务。
步骤301b,第一计算引擎获取第一节点设备监听到的任务事件或者链下协作任务。
在区块链网络中的区块链节点调用并执行链下计算合约的过程中,该合约可以生成针对链下协作任务的任务事件,而计算引擎中的各个区块链节点所处的节点设备可以分别监听到该任务事件。其中,第一节点设备可以在所述任务事件表明第一区块链节点属于链下协作任务的参与方的情况下将该任务事件或者链下协作任务发送至第一计算引擎;类似的,第二节点设备可以在所述任务事件表明第二区块链节点属于链下协作任务的参与方的情况下将该任务事件或者链下协作任务发送至第二计算引擎。其中,针对上述任务事件的监听过程可以由各个节点设备中部署的调度框架完成。
上述任务事件或者链下协作任务除了用于指定所述链下协作任务的各参与方的身份之外,还可以用于指定执行该链下协作任务所需的目标数据以及该数据对应的管理方和请求方。下面以第一计算引擎为目标数据的管理方、第二计算引擎为目标数据的请求方为例,对第二计算引擎从第一计算引擎处请求获取目标数据并执行链下协作任务的过程进行说明。
步骤302,第二计算引擎使用自身私钥对目标数据的数据标识和第二计算引擎的公钥生成第二签名。
步骤303,第二计算引擎向第一计算引擎发起包含所述数据标识、所述公钥以及第二签名的令牌获取请求。
在根据所述任务事件确定自身需要从第一计算引擎处获取目标数据的情况下,第二计算引擎可以使用自身私钥对目标数据的数据标识和第二计算引擎的公钥生成第二签名。其中,上述目标数据的标识可以从所述任务事件中获取;第二计算引擎的公钥可以从本地获取(第二计算引擎的本地维护有自身的公钥),当然也可以从上述任务事件中获取,本说明书实施例并不对此进行限制。
进一步的,在生成上述第二签名的情况下,第二计算引擎可以向第一计算引擎发起包含所述数据标识、所述公钥以及第二签名的令牌获取请求。
步骤304,第一计算引擎使用任务事件中包含的第二计算引擎的公钥验证第二签名以及第二计算引擎针对目标数据的获取权限。
接收到所述令牌获取请求的第一计算引擎需要判断该请求是否有效。一方面,第一计算引擎可以使用任务事件中包含的第二计算引擎的公钥验证该请求中包含的所述第二签名:若验证通过,则表明该请求中携带的数据标识和公钥与生成第二签名的私钥相互对应,从而可以确定该请求的发起方确实为第二计算引擎;否则,若验证不通过,则表明该请求为虚假请求,此时可以终止处理该请求。另一方面,第一计算引擎需要确定发起该请求的第二计算引擎是否为目标数据的合法获取方,如第一计算引擎可以在本地维护的针对目标数据的授权列表中查询第二计算引擎的公钥:若授权列表中存在第二计算引擎的公钥,则表明第二计算引擎确实具备针对目标数据的获取权限,此时可以正常处理该请求;反之,若授权列表中不存在第二计算引擎的公钥,则表明第二计算引擎并不具备针对目标数据的获取权限,此时可以终止处理该请求。值得说明的是,在对第二计算引擎的上述获取权限进行验证的情况下,需要在第二签名和该获取权限同时验证通过的情况下处理令牌获取请求,二者之一验证不通过即可终止处理该请求,以充分保证对令牌获取请求处理的有效性。
步骤305,第一计算引擎生成token,并在缓存中记录生成的所述token。
步骤306,第一计算引擎向第二计算引擎返回为其生成的所述token。
在上述验证通过的情况下,第一计算引擎可以根据随机数、所述数据标识和第二计算引擎的公钥生成token,并在缓存中记录生成的该token,如将该token记录在第一计算引擎维护的令牌列表中。例如,第一计算引擎可以将随机数、所述数据标识和第二计算引擎的公钥构成的数据集合作为token,然后可以在该令牌列表中记录该token。再例如,第一计算引擎也可以将上述数据集合的摘要作为token,然后可以在所述令牌列表中记录该token,以及生成该token的所述随机数、数据标识和公钥。可见,第一计算引擎的缓存中记录了生成的token与生成该token的随机数、数据标识和公钥之间的对应关系。其中,上述数据集合可以为上述各个数据的简单拼接或组合等,本说明书实施例并不对此进行限制。进一步的,第一计算引擎可以将生成的所述token返回至第二计算引擎。
可以理解的是,第一计算引擎可以将自身生成且尚未处理完成(即尚未返回相应的目标数据或者尚未被终止处理)的历史token均记录在所述令牌列表中。需要说明的是,在上述步骤304中,第一计算引擎通过验证第二签名和第二计算引擎对目标数据的获取权限尚无法确定接收到的所述令牌获取请求是否为重放请求,因此在步骤304获取到第二计算引擎发起的令牌获取请求的情况下,第一计算引擎可以在令牌列表中查询是否存在根据任一随机数、所述数据标识和第二计算引擎的公钥生成的历史token:若存在该历史token,则表明第一计算引擎已经在先处理了同样的请求,所以该令牌获取请求为重放请求,此时可以终止处理该请求,以避免重复生成第二计算引擎针对同一目标数据的多个token;反之,若不存在该历史token,则第一计算引擎可以响应于令牌获取请求按照前述步骤生成token。当然,新生成的该token被记录在缓存中之后,可以用于识别在此之后接收到的针对令牌获取请求的重放请求。
步骤307,第二计算引擎使用自身私钥对接收到的所token生成第一签名。
步骤308,第二计算引擎向第一计算引擎发起包含所述token和第一签名的数据获取请求。
在接收到第一计算引擎返回的所述token的情况下,第二计算引擎可以使用自身私钥对该token生成第一签名,进而可以向第一计算引擎发起包含该token和第一签名的数据获取请求。
步骤309,第一计算引擎使用任务事件中包含的第二计算引擎的公钥验证第一签名并根据缓存查询接收到的token。
响应于第二计算引擎发起的数据获取请求,第一计算引擎可以使用任务事件中包含的第二计算引擎的公钥验证第一签名并在缓存记录的历史token中查询接收到的token。可以理解的是,若第一计算引擎针对第二签名采取的验证机制因意外情况导致失效,或者第三方截获到第一计算引擎根据第二计算引擎的公钥生成并向第二计算引擎提供的所述令牌,则第三方需要使用自身私钥生成第一签名并包含在数据获取请求中发送至第一计算引擎,即伪造数据获取请求。显然,因为上述第三方与第二计算引擎的私钥并不相同,所以该第一签名将无法通过第二计算引擎的公钥的验证,即通过验证第一签名可以识别出第三方针对数据获取请求的伪造请求,避免该请求被第一计算引擎处理。另外,若第二计算引擎向第一计算引擎发起的所述数据获取请求被第二计算引擎重放或者被第三方截获并重放,则由于重放请求与所述数据获取请求之间的间隔时间通常比较短,所以第一计算引擎可以根据前述缓存查询到该请求中包含的token,从而确定该请求为重放请求。
基于此,若验证第一签名通过且在缓存中查询到所述token,则表明该数据获取请求的发起方确实为第一计算引擎所生成的token对应的第二计算引擎,即该请求为真实请求,此时可以转入步骤310;反之,在验证第一签名未通过或者在缓存中查询不到所述token的情况下,第一计算引擎可以终止处理数据获取请求。
步骤310,第一计算引擎向第二计算引擎的返回所述目标数据。
第一计算引擎可以借助第一节点设备与第二节点设备,通过第一区块链节点与第二链下计算合约之间的共识链路返回该目标数据。
或者,第一节点设备和第二节点设备也可以基于该共识链路互相传输第一计算引擎或者第二计算引擎的地址信息,以在第一计算引擎和第二计算引擎之间建立直连通道,从而第一计算引擎可以借助该直连通道向第二计算引擎返回所述目标数据。其中,上述直连通道的具体建立过程可以参见前述实施例的记载,此处不再赘述。另外需要说明的是,第一计算引擎和第二计算引擎可以通过二者之间建立的直连通道实现协同交互,例如,第一计算引擎可以通过所述直连通道接收第二计算引擎发起的所述数据获取请求;和/或,第一计算引擎可以通过所述直连通道将目标数据返回至第一计算引擎。该方式仅需要借用共识链路传递数据量较小的地址信息,一定程度上避免了对基于共识链路的原有链上过程造成干扰,并且该直连通道仅用于第二计算引擎和第二计算引擎之间的数据传输,所以也降低了目标数据传输出错的可能性。
步骤311,第一计算引擎清除缓存中记录的所述token。
在确定上述令牌获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎的情况下,第一计算引擎可以清除缓存中记录的所述token,以实现token一次性使用,并节省缓存空间。当然,为了能够更好的识别针对数据获取请求的重放请求,上述缓存中记录的所述令牌也可以在确定所述数据获取请求由第二计算引擎发起的一段之间之后,或者确定所述目标数据被成功返回至第二计算引擎的一段之间之后再删除,从而对重放请求取得更好的识别和打击效果。
步骤312,第二计算引擎使用目标数据执行链下协作任务。
在接收到第一计算引擎返回的所述目标数据的情况下,第二计算引擎可以自行执行所述链下协作任务;或者,在第二计算引擎允许调用其他的远程计算引擎(如第二计算引擎为第二节点设备中部署的代理计算引擎)的情况下,第二计算引擎可以调用上述远程计算引擎执行所述链下协作任务。与此类似的,第一计算引擎也可以自行执行或者通过调用相应的远程计算引擎执行所述链下协作任务,不再赘述。
步骤313,第二计算引擎将链下协作任务的执行结果返回至第二区块链节点。
第二计算引擎可以将所述链下协作任务得到的执行结果返回至第二区块链节点。例如,第二计算引擎可以将链下协作任务的执行结果返回至第二调度框架,并由第二调度框架将该执行结果上传至第二区块链节点,如可以将该执行结果返回至第二区块链节点中生成的针对链下协作任务的任务实例,从而完成对链下协作任务的完整处理过程。另外,在链下协作任务为链下计算任务的任一子任务的情况下,第二区块链节点还可以根据所述执行结果更新所述链下计算任务的任务完成状态,如将链下协作任务这一种子任务的完成状态更新为已完成,从而触发所述链下计算任务推进相应的工作流,如触发执行下一子任务等。
图4是一示例性实施例提供的一种设备的示意结构图。请参考图4,在硬件层面,该设备包括处理器402、内部总线404、网络接口406、内存408以及非易失性存储器410,当然还可能包括其他业务所需要的硬件。本说明书一个或多个实施例可以基于软件方式来实现,比如由处理器402从非易失性存储器410中读取对应的计算机程序到内存408中然后运行。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
如图5所示,图5是本说明书根据一示例性实施例提供的一种数据处理装置的框图,该装置可以应用于如图4所示的设备中,以实现本说明书的技术方案。该装置应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
参与方确定单元501,用于根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成;
令牌生成单元502,用于在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备;
数据返回单元503,用于响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
可选的,所述链下计算合约维护有链下计算任务的任务完成状态,所述任务完成状态用于描述所述链下计算任务包含的各子任务的完成状态;在所述链下协作任务属于所述链下计算任务的子任务的情况下,所述任务事件由所述链下计算合约在所述任务完成状态满足所述链下协作任务的执行条件的情况下生成。
可选的,所述任务完成状态由所述链下计算合约响应于所述链下计算任务对应的交易而更新,其中,所述链下计算任务对应的交易包括所述链下计算任务对应的任务创建交易,或者任一节点设备在执行所述各子任务中任一子任务完毕的情况下发起的结果返回交易。
可选的,所述参与方确定单元501还用于:
从所述任务事件中获取各参与方的身份信息以及所述目标数据的数据标识;或者,
根据所述任务事件确定所述链下计算合约,并通过第一区块链节点读取所述链下计算合约中记录的各参与方的身份信息以及所述目标数据的数据标识。
可选的,所述令牌生成单元502还用于:
在确定第二计算引擎具备获取所述目标数据的权限的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌。
可选的,第一计算引擎维护有授权列表,所述授权列表用于记录允许获取所述目标数据的各获取方的身份信息,所述令牌生成单元502还用于:
在所述授权列表中存在第二区块链节点的身份信息或者该身份信息处于有权状态的情况下,确定第二区块链节点具备获取所述目标数据的权限。
可选的,所述令牌生成单元502还用于:
响应于所述任务事件,从所述任务事件中获取所述数据标识和第二计算引擎的公钥,并根据随机数以及获取到的所述数据标识和所述公钥生成令牌。
可选的,所述任务事件记录有第二计算引擎的公钥,所述令牌生成单元502还用于:
接收到令牌获取请求,所述令牌获取请求包含所述目标数据的数据标识、所述令牌获取请求的发起方的公钥以及该发起方使用自身私钥对所述数据标识和所述公钥生成的第二签名;
在根据第二计算引擎的公钥验证第二签名通过的情况下,根据随机数、所述数据标识和所述发起方的公钥生成令牌。
可选的,第一计算引擎的缓存中记录有第一计算引擎生成的处于有效状态的令牌,
所述令牌生成单元502还用于:若所述缓存中不存在根据任一随机数、所述数据标识和第二计算引擎的公钥生成且处于有效状态的令牌,则根据随机数、所述数据标识和第二计算引擎的公钥生成令牌;
所述装置还包括令牌缓存单元504,用于:在所述缓存中记录生成的所述令牌或者在所述缓存中将所述令牌设置为有效状态,并在确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎的情况下,在所述缓存中删除所述令牌或者将所述令牌更新为无效状态。
可选的,所述令牌缓存单元504还用于:
在确定第二签名通过第二计算引擎的公钥验证,且第一计算引擎的缓存中存在处于有效状态的所述令牌的情况下,确定令牌及其第一签名表明所述数据获取请求由第二计算引擎发起。
可选的,所述令牌生成单元502还用于:
将随机数、所述数据标识和第二计算引擎的公钥构成的数据集合或者所述数据集合的摘要作为所述令牌。
可选的,所述数据返回单元503还用于:
通过第一区块链节点与第二区块链节点之间的共识链路将所述目标数据返回至第二计算引擎;或者,
通过第一计算引擎和第二计算引擎之间的直连通道将所述目标数据返回至第二计算引擎。
可选的,还包括通道建立单元505,用于:
接收第一节点设备转发的第二计算引擎的地址信息,并根据所述地址信息与第二计算引擎建立所述直连通道,其中,所述地址信息由第二节点设备在所述任务事件表明第一区块链节点和第二区块链节点为所述链下协作任务的参与方的情况下,通过第一区块链节点和第二区块链节点之间的共识链路发送至第一节点设备。
可选的,第二计算引擎的公钥包括第二区块链节点的节点公钥;所述装置包括:
如图6所示,图6是本说明书根据一示例性实施例提供的另一种数据处理装置的框图,该装置可以应用于如图4所示的设备中,以实现本说明书的技术方案。该装置应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
令牌获取单元601,用于获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备;
数据请求单元602,用于使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据;
任务执行单元603,用于根据所述目标数据执行所述链下协作任务。
可选的,所述令牌获取单元601还用于:
向第一计算引擎发起令牌获取请求,所述令牌获取请求包含所述目标数据的数据标识、第二计算引擎的公钥以及第二计算引擎使用自身私钥对所述数据标识和所述公钥生成的第二签名;
接收第一计算引擎在根据第二计算引擎的公钥验证第二签名通过的情况下生成并返回的所述令牌。
可选的,第二节点设备中还部署有第二调度框架,所述装置还包括:
任务接收单元604,用于接收第二调度框架响应于监听到的所述任务事件分发至第一计算引擎的所述链下协作任务。
可选的,所述链下协作任务由第二调度框架在第二计算引擎的计算类型匹配于所述链下协作任务的任务类型的情况下,分发至第二计算引擎。
可选的,所述任务执行单元603还用于:
第二计算引擎自身执行所述链下协作任务;或者,
第二计算引擎调用远程计算引擎执行所述链下协作任务。
可选的,还包括:
第一返回单元605,用于通过第二节点设备将所述链下协作任务的执行结果返回至第二计算节点;或者,
第二返回单元606,用于在所述链下协作任务由第二区块链节点对应的第二调度框架分发至第二计算引擎的情况下,通过第二调度框架将所述链下协作任务的执行结果返回至第二计算节点。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字***“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expremmion Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为服务器***。当然,本说明书不排除随着未来计算机技术的发展,实现上述实施例功能的计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
虽然本说明书一个或多个实施例提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或终端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。例如若使用到第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本说明书是参照根据本说明书实施例的方法、装置(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储、石墨烯存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本说明书一个或多个实施例可提供为方法、***或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本本说明书一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本说明书一个或多个实施例的实施例而已,并不用于限制本本说明书一个或多个实施例。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在权利要求范围之内。

Claims (24)

1.一种数据处理方法,应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述方法包括:
根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成;
在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备;
响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
2.根据权利要求1所述的方法,所述链下计算合约维护有链下计算任务的任务完成状态,所述任务完成状态用于描述所述链下计算任务包含的各子任务的完成状态;在所述链下协作任务属于所述链下计算任务的子任务的情况下,所述任务事件由所述链下计算合约在所述任务完成状态满足所述链下协作任务的执行条件的情况下生成。
3.根据权利要求2所述的方法,所述任务完成状态由所述链下计算合约响应于所述链下计算任务对应的交易而更新,其中,所述链下计算任务对应的交易包括所述链下计算任务对应的任务创建交易,或者任一节点设备在执行所述各子任务中任一子任务完毕的情况下发起的结果返回交易。
4.根据权利要求1所述的方法,所述根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,包括:
从所述任务事件中获取各参与方的身份信息以及所述目标数据的数据标识;或者,
根据所述任务事件确定所述链下计算合约,并通过第一区块链节点读取所述链下计算合约中记录的各参与方的身份信息以及所述目标数据的数据标识。
5.根据权利要求1所述的方法,所述根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,包括:
在确定第二计算引擎具备获取所述目标数据的权限的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌。
6.根据权利要求5所述的方法,第一计算引擎维护有授权列表,所述授权列表用于记录允许获取所述目标数据的各获取方的身份信息,所述确定第二区块链节点具备获取所述目标数据的权限,包括:
在所述授权列表中存在第二区块链节点的身份信息或者该身份信息处于有权状态的情况下,确定第二区块链节点具备获取所述目标数据的权限。
7.根据权利要求1所述的方法,所述根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,包括:
响应于所述任务事件,从所述任务事件中获取所述数据标识和第二计算引擎的公钥,并根据随机数以及获取到的所述数据标识和所述公钥生成令牌。
8.根据权利要求1所述的方法,所述任务事件记录有第二计算引擎的公钥,所述根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,包括:
接收到令牌获取请求,所述令牌获取请求包含所述目标数据的数据标识、所述令牌获取请求的发起方的公钥以及该发起方使用自身私钥对所述数据标识和所述公钥生成的第二签名;
在根据第二计算引擎的公钥验证第二签名通过的情况下,根据随机数、所述数据标识和所述发起方的公钥生成令牌。
9.根据权利要求1所述的方法,第一计算引擎的缓存中记录有第一计算引擎生成的处于有效状态的令牌,
所述根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,包括:若所述缓存中不存在根据任一随机数、所述数据标识和第二计算引擎的公钥生成且处于有效状态的令牌,则根据随机数、所述数据标识和第二计算引擎的公钥生成令牌;
所述方法还包括:在所述缓存中记录生成的所述令牌或者在所述缓存中将所述令牌设置为有效状态,并在确定所述数据获取请求由第二计算引擎发起或者确定所述目标数据被成功返回至第二计算引擎的情况下,在所述缓存中删除所述令牌或者将所述令牌更新为无效状态。
10.根据权利要求9所述的方法,所述确定所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:
在确定第二签名通过第二计算引擎的公钥验证,且第一计算引擎的缓存中存在处于有效状态的所述令牌的情况下,确定所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起。
11.根据权利要求1所述的方法,所述根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,包括:
将随机数、所述数据标识和第二计算引擎的公钥构成的数据集合或者所述数据集合的摘要作为所述令牌。
12.根据权利要求1所述的方法,所述将所述目标数据返回至第二计算引擎,包括:
通过第一区块链节点与第二区块链节点之间的共识链路将所述目标数据返回至第二计算引擎;或者,
通过第一计算引擎和第二计算引擎之间的直连通道将所述目标数据返回至第二计算引擎。
13.根据权利要求12所述的方法,通过下述方式建立所述直连通道:
接收第一节点设备转发的第二计算引擎的地址信息,并根据所述地址信息与第二计算引擎建立所述直连通道,其中,所述地址信息由第二节点设备在所述任务事件表明第一区块链节点和第二区块链节点为所述链下协作任务的参与方的情况下,通过第一区块链节点和第二区块链节点之间的共识链路发送至第一节点设备。
14.根据权利要求1-13中任一项所述的方法,第二计算引擎的公钥包括第二区块链节点的节点公钥。
15.一种数据处理方法,应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述方法包括:
获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备;
使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据;
根据所述目标数据执行所述链下协作任务。
16.根据权利要求15所述的方法,所述获取第一计算引擎生成的令牌,包括:
向第一计算引擎发起令牌获取请求,所述令牌获取请求包含所述目标数据的数据标识、第二计算引擎的公钥以及第二计算引擎使用自身私钥对所述数据标识和所述公钥生成的第二签名;
接收第一计算引擎在根据第二计算引擎的公钥验证第二签名通过的情况下生成并返回的所述令牌。
17.根据权利要求15所述的方法,第二节点设备中还部署有第二调度框架,通过下述方式获取所述链下协作任务:
接收第二调度框架响应于监听到的所述任务事件分发至第一计算引擎的所述链下协作任务。
18.根据权利要求17所述的方法,所述链下协作任务由第二调度框架在第二计算引擎的计算类型匹配于所述链下协作任务的任务类型的情况下,分发至第二计算引擎。
19.根据权利要求15所述的方法,所述执行所述链下协作任务,包括:
第二计算引擎自身执行所述链下协作任务;或者,
第二计算引擎调用远程计算引擎执行所述链下协作任务。
20.根据权利要求15所述的方法,还包括:
通过第二节点设备将所述链下协作任务的执行结果返回至第二计算节点;或者,
在所述链下协作任务由第二区块链节点对应的第二调度框架分发至第二计算引擎的情况下,通过第二调度框架将所述链下协作任务的执行结果返回至第二计算节点。
21.一种数据处理装置,应用于第一计算引擎,第一计算引擎所处的第一节点设备中部署有第一区块链节点,第一区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
参与方确定单元,用于根据针对链下协作任务的任务事件确定所述链下协作任务的各参与方以及执行所述链下协作任务所需目标数据的数据标识,所述任务事件由所述链下计算合约生成;
令牌生成单元,用于在所述任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、所述数据标识和第二计算引擎的公钥生成令牌,并将所述令牌提供至第二计算引擎,第二区块链节点和第二计算引擎部署于第二节点设备;
数据返回单元,用于响应于包含所述令牌及其第一签名的数据获取请求,在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下,将所述目标数据返回至第二计算引擎用于执行所述链下协作任务;其中,所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起,包括:所述第一签名由所述第二计算引擎使用自身的私钥对所述令牌生成。
22.一种数据处理装置,应用于第二计算引擎,第二计算引擎所处的第二节点设备中部署有第二区块链节点,第二区块链节点所属的区块链网络部署有链下计算合约;所述装置包括:
令牌获取单元,用于获取第一计算引擎生成的令牌,所述令牌由第一计算引擎在任务事件表明第一区块链节点和第二区块链节点属于所述链下协作任务的参与方的情况下,根据随机数、执行所述链下协作任务所需目标数据的数据标识和第二计算引擎的公钥生成,所述任务事件由所述链下计算合约生成,第一区块链节点和第一计算引擎部署于第一节点设备;
数据请求单元,用于使用自身的私钥对所述令牌生成第一签名,并向第一计算引擎发起包含所述令牌及其第一签名的数据获取请求,并接收第一计算引擎在所述令牌及其第一签名表明所述数据获取请求由第二计算引擎发起的情况下返回的所述目标数据;
任务执行单元,用于根据所述目标数据执行所述链下协作任务。
23.一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-20中任一项所述的方法。
24.一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如权利要求1-20中任一项所述方法的步骤。
CN202210343989.0A 2022-03-31 2022-03-31 数据处理方法及装置 Active CN114726537B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210343989.0A CN114726537B (zh) 2022-03-31 2022-03-31 数据处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210343989.0A CN114726537B (zh) 2022-03-31 2022-03-31 数据处理方法及装置

Publications (2)

Publication Number Publication Date
CN114726537A CN114726537A (zh) 2022-07-08
CN114726537B true CN114726537B (zh) 2024-03-26

Family

ID=82241372

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210343989.0A Active CN114726537B (zh) 2022-03-31 2022-03-31 数据处理方法及装置

Country Status (1)

Country Link
CN (1) CN114726537B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110457875A (zh) * 2019-07-31 2019-11-15 阿里巴巴集团控股有限公司 基于区块链的数据授权方法及装置
CN111447073A (zh) * 2020-03-31 2020-07-24 河北大学 基于区块链与零知识证明的身份管理与认证***及方法
CN112907375A (zh) * 2021-03-25 2021-06-04 平安科技(深圳)有限公司 数据处理方法、装置、计算机设备和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10880074B2 (en) * 2018-10-15 2020-12-29 Adobe Inc. Smart contract platform for generating and customizing smart contracts

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110457875A (zh) * 2019-07-31 2019-11-15 阿里巴巴集团控股有限公司 基于区块链的数据授权方法及装置
CN111447073A (zh) * 2020-03-31 2020-07-24 河北大学 基于区块链与零知识证明的身份管理与认证***及方法
CN112907375A (zh) * 2021-03-25 2021-06-04 平安科技(深圳)有限公司 数据处理方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN114726537A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
Schmidt Middleware for real-time and embedded systems
WO2023207078A1 (zh) 一种数据处理方法、装置、电子设备和存储介质
TW202213217A (zh) 安全的服務請求處理方法及裝置
CN110599144B (zh) 一种区块链节点的入网方法以及装置
CN116305298B (zh) 一种算力资源管理方法、装置、存储介质及电子设备
CN113722114A (zh) 一种数据服务的处理方法、装置、计算设备及存储介质
CN114710492B (zh) 直连通道的建立方法、装置、电子设备和存储介质
CN113935737A (zh) 基于区块链的随机数生成方法及装置
CN112291321B (zh) 业务处理方法、装置及***
WO2023185041A1 (zh) 一种数据处理方法、装置、电子设备和存储介质
CN114726537B (zh) 数据处理方法及装置
CN114692185A (zh) 数据处理方法及装置
WO2024066005A1 (zh) 重放区块链交易的方法及装置
CN114710350B (zh) 一种可调用资源的分配方法、装置、电子设备和存储介质
CN114896635A (zh) 一种数据处理方法、装置、电子设备和存储介质
CN116244062A (zh) 一种数据处理方法、装置、电子设备和存储介质
CN113673844B (zh) 一种信息反馈方法、装置及设备
CN114741736A (zh) 一种数据处理方法、装置、电子设备和存储介质
CN115766123A (zh) 数据跨域授权方法及装置和电子设备
CN114782016A (zh) 基于智能合约的债权数据处理方法、装置及区块链***
CN113761496A (zh) 一种基于区块链的身份校验方法及装置和电子设备
CN114338124A (zh) 云密码计算服务的管理方法、***、电子设备及存储介质
CN111062814A (zh) 一种基于区块链的资源转移方法、装置及***
CN115022305B (zh) 数据传输***、方法、装置、设备及介质
LU101121B1 (en) Method for improving blockchain applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant