WO2019127278A1

WO2019127278A1 - 安全访问区块链的方法、装置、***、存储介质及电子设备

Info

Publication number: WO2019127278A1
Application number: PCT/CN2017/119575
Authority: WO
Inventors: 谢辉; 陈敏; 张跃洋; 庞洪福
Original assignee: 深圳达闼科技控股有限公司
Priority date: 2017-12-28
Filing date: 2017-12-28
Publication date: 2019-07-04
Also published as: CN108235806B; CN108235806A

Abstract

本公开提出一种安全访问区块链的方法、装置、***、存储介质及电子设备。该方法包括：准备访问区块链网络的新节点获取区块链网络中预置的可信节点使用自身私钥对目标节点公钥进行签名得到的背书数据，对背书数据进行签名验证，如果签名验证通过，确定对目标节点的身份认证成功，而目标节点在区块链网络预置的许可权限中查询出新节点的公钥对应账户地址拥有的许可权限，根据查询出的许可权限确定对新节点的身份认证是否成功。因此，本公开新节点与目标节点的双向认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

Description

安全访问区块链的方法、装置、***、存储介质及电子设备

技术领域

本公开涉及计算机领域，尤其涉及一种安全访问区块链的方法、装置、存储介质及电子设备。

背景技术

区块链是通过去中心化的方式集体维护一个可靠数据库的技术方案。区块链中，节点间通过P2P（Peer-to-Peer，点对点）网络建立相互连接。

目前的区块链技术中，某节点（例如，新节点，包括各种终端、区块链轻节点、区块链全节点等等）访问区块链网络上的目标节点时，不会去验证目标节点的合法性，目标节点也不会去验证该节点的合法性。然而，在某些对信息安全性要求较高的场景中，这种访问方式可能会导致关键信息的泄露。例如，银行、企业等多个组织同时参与一条区块链来完成业务，参与同一条区块链的不同组织彼此可能会获取到不想让对方获取到的关键信息。因此，区块链网络中节点间访问完成彼此身份认证是势在必行的。而传统的身份认证方式一般通过双方互传第三方机构颁发的数字证书来实现，这种传统的身份认证方式又存在过度中心化，数字证书颁发复杂度高的问题，不适用于去中心化的区块链网络。

因此，如何在区块链网络中实现节点间安全互访成为了令人苦恼的问题。

发明内容

有鉴于此，本公开提供一种安全访问区块链的方法、装置、***、存储介质及电子设备，用以在区块链网络中实现安全访问。

为了实现上述目的，根据本公开实施例的第一方面，提供一种安全访问区块链的方法，应用于准备访问区块链网络中目标节点的新节点，所述方法包括：判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书；在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据；以及，将所述新节点的公钥提供给所述目标节点，其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功；对所述背书数据进行签名验证；如果签名验证通过，确定对所述目标节点的身份认证成功。

根据本公开实施例的第二方面，提供一种安全访问区块链的装置，配置于准备接入或访问区块链网络中目标节点的新节点。该装置包括：判断模块，被配置为判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书。背书获取模块，被配置为在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据。公钥提供模块，被配置为将所述新节点的公钥提供给所述目标节点，其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功。目标身份认证模块，被配置为对所述背书数据进行签名验证，如果签名验证通过，确定对所述目标节点的身份认证成功。

根据本公开实施例的第三方面，提供一种安全访问区块链的方法，应用于区块链网络中的目标节点。所述方法包括：响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥；在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限；根据查询出的许可权限确定对所述新节点的身份认证是否成功。

根据本公开实施例的第四方面，提供一种安全访问区块链的装置，配置于区块链网络中的目标节点。所述装置包括：新节点公钥获取模块，被配置为响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥。新节点权限查询模块，被配置为在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限。新节点身份认证模块，被配置为根据查询出的许可权限确定对所述新节点的身份认证是否成功。

根据本公开实施例的第五方面，提供一种安全访问区块链的方法，所述方法应用于区块链网络中预置的可信节点。所述方法包括：响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥；使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；将所述背书数据提供给所述新节点，以便使所述新节点通过对所述背书数据进行签名验证确定对所述目标节点的身份认证是否成功。

根据本公开实施例的第六方面，提供一种安全访问区块链的装置，所述装置配置于区块链网络中预置的可信节点。所述装置包括：目标公钥获取模块，被配置为响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥。签名模块，被配置为使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据。背书提供模块，被配置为将所述背书数据提供给所述新节点，以便使所述新节点对所述背书数据进行签名验证，如果所述新节点签名验证通过，所述新节点确定对所述目标节点的身份认证成功。

根据本公开实施例的第七方面，提供一种计算机可读存储介质，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行本公开实施例的第一方面所述的方法。

根据本公开实施例的第八方面，提供一种电子设备，包括：本公开实施例的第七方面所述的计算机可读存储介质；以及，一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。

根据本公开实施例的第九方面，提供一种计算机可读存储介质，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行本公开实施例的第三方面所述的方法。

根据本公开实施例的第十方面，提供一种电子设备，包括：本公开实施例的第九方面所述的计算机可读存储介质；以及，一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。

根据本公开实施例的第十一方面，提供一种计算机可读存储介质，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行本公开实施例的第五方面所述的方法。

根据本公开实施例的第十二方面，提供一种电子设备，包括：本公开实施例的第十一方面所述的计算机可读存储介质；以及，一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。

根据本公开实施例的第十三方面，提供一种安全访问区块链的***。所述***包括：本公开实施例的第八方面所述的电子设备所实现的新节点；本公开实施例的第十方面所述的电子设备所实现的目标节点；本公开实施例的第十二方面所述的电子设备所实现的可信节点；其中，所述新节点、目标节点、可信节点属于同一区块链网络。

通过本公开上述技术方案，准备访问区块链网络的新节点获取区块链网络中预置的可信节点使用自身私钥对目标节点公钥进行签名得到的背书数据，对背书数据进行签名验证，如果签名验证通过，确定对目标节点的身份认证成功，而目标节点在区块链网络预置的许可权限中查询出新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对新节点的身份认证是否成功，可信节点响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；将所述背书数据提供给所述新节点，因此，本公开新节点与目标节点的双向认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

图1是根据本公开一示例性实施例示出的区块链网络的结构示意图。

图2是根据本公开第一方面一示例性实施例提供的一种安全访问区块链的方法的流程图。

图3是根据本公开第一方面另一示例性实施例提供的一种安全访问区块链的方法的信令交互示意图。

图4是根据本公开第二方面一示例性实施例提供的一种安全访问区块链的装置的框图。

图5是根据本公开第二方面另一示例性实施例提供的一种安全访问区块链的装置的框图。

图6是根据本公开第二方面又一示例性实施例提供的一种安全访问区块链的装置的框图。

图7是根据本公开第三方面一示例性实施例提供的一种安全访问区块链的方法的流程图。

图8是根据本公开第四方面一示例性实施例提供的一种安全访问区块链的装置的框图。

图9是根据本公开第四方面另一示例性实施例提供的一种安全访问区块链的装置的框图。

图10是根据本公开第四方面又一示例性实施例提供的一种安全访问区块链的装置的框图。

图11是根据本公开第五方面一示例性实施例提供的一种安全访问区块链的方法的流程图。

图12是根据本公开第六方面一示例性实施例提供的一种安全访问区块链的装置的框图。

图13是根据本公开第六方面另一示例性实施例提供的一种安全访问区块链的装置的框图。

图14是根据一示例性实施例示出的一种电子设备的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在介绍本公开提供的安全访问区块链的方法、装置、***、存储介质及电子设备之前，首先对区块链网络进行简单介绍。如图1所示的区块链网络，是由若干节点所组成的基于P2P的对等网络。区块链网络中的每个节点都维护着一串使用密码学方法相关联产生的区块链。各个节点之间通过广播来获取最新的区块，从而保证各个节点之间的区块是同步维护的。每个节点都有一个描述其身份的账户，这个账户由公私钥对组成。公钥的哈希编码值即为该“账户”的地址。私钥由账户所有人保管，不可公开。

为了使公开技术方案更加易于理解，再对本公开各个实施例所涉及的可能的区块链网络结构进行介绍。例如，图1是根据一示例性实施例示出的一种区块链网络结构示意图。如图1所示，该区块链网络可以包括：新节点110、目标节点120、可信节点130、管理节点140、参与节点150。其中：

新节点110，可以包括但不限于各种终端、区块链轻节点、区块链全节点等等，需要产生自己的区块链账户，但可以不同步目标区块链网络的任何区块数据。

目标节点120，可以包括但不限于各种终端，可以是区块链网络中的任意节点，同步区块链网络的区块数据。

可信节点130，可以包括但不限于各种终端，是管理节点140预置到区块链网络中的的默认可信节点，可以有多个。

管理节点140，可以包括但不限于各种终端，区块链网络中的管理节点，可以配置其它区块链节点账户的许可权限。

参与节点150，可以包括但不限于各种终端，区块链网络中除默认可信节点外的任意节点，数量不限。

在区块链网络中，各个节点可以通过在对应的节点服务器上运行区块链程序产生自己的区块链节点账户。管理节点140可以通过节点控制平台配置各个节点的许可权限，例如接入许可权限，权限配置以交易的方式发送到区块链网络上，经区块链网络节点的验证后写入区块链，并最终通过P2P网络同步到区块链网络的所有节点中。

图2是根据本公开第一方面一示例性实施例提供的一种安全访问区块链的方法的流程图。该方法应用于准备访问区块链网络中目标节点的新节点。如图2所示，该方法可以包括：

在步骤210中，新节点判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书。

背书，在本公开中是指节点用节点自身的区块链账户私钥对需要背书的区块链节点的需要背书的数据（如公钥、通信加密数据）进行签名的过程。

可以理解的是，在本公开中不可信的目标节点即需要被背书。预置为可信节点或经过背书（背书未过期）的目标节点对新节点来说可视为可信节点，无需背书，而未预置为可信节点的目标节点或者未经背书或者背书过期的目标节点即为不可信节点，需要背书。

本公开中新节点要求背书的可信节点可以在新节点产生自己的节点账户后，由新节点预置。预置的可信节点的节点信息可以包括IP或域名及可信节点的账户公钥。例如，新节点预置默认可信节点的方式可以包括：新节点访问区块链的客户端在内部预置默认可信节点信息，或者，新节点访问区块链的客户端提示用户输入默认可信节点的信息。如果新节点本地没有链内其他节点信息，还可以从可信节点获取其他节点信息，并刷新本地可信节点信息列表，如增/删可信节点及刷新可信节点有效期。

新节点在完成以上预置后，可以向目标节点发出连接请求。为了防止重放攻击，在新节点对目标节点发出连接请求之后，新节点还可以从目标节点接收随机挑战码，使用新节点自身私钥对随机挑战码进行签名，将签名后的随机挑战码发送给目标节点。

在步骤220中，在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据。

一种可能的实施方式中，新节点将可信节点的IP或域名及背书确定指示发送给目标节点。所述可信节点的列表及有效期可以在所述新节点本地更新维护。

例如，所述背书确定指示可以用于使所述目标节点根据所述可信节点的IP或域名从本地查询出预先存储的、所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。在目标节点本地不存在未过期的背书数据的情况下，则可以向可信节点发出相应背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点。由于该实施方式从目标节点本地获取背书数据，不必每次都从可信节点获取背书数据，有效减轻了可信节点的负担。

再例如，所述背书确定指示可以用于使所述目标节点向所述可信节点发出相应的背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点。新节点接收所述目标节点针对所述背书确定指示发送的背书数据。在目标节点与可信节点交互的过程中，也可以采用随机挑战码的方式防止重放攻击。另外，为了确保背书数据的安全性，可信节点在接收到目标节点的背书请求后，可以在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定是否对所述目标节点进行背书，在确定对所述目标节点进行背书的情况下，再使用自身私钥对目标节点的公钥及通信加密数据进行签名得到背书数据。

可选地，新节点可以将背书确定指示与签名后的随机挑战码一同发送给目标节点。为了减少交互次数，提高认证效率，新节点所产生的通信加密数据同样可以同背书确定指示一同发送给目标节点。所述通信加密数据用于所述新节点与所述目标节点在身份认证通过后使用所述通信加密数据彼此进行加密通信。例如，通信加密数据可以包括：通信加密对称密钥，或者，通信加密随机数。新节点对所述通信加密数据进行加密。例如，一种可能的实施方式中，目标节点可以在接收到新节点的连接请求后，将随机挑战码及自身公钥发送给新节点。这样，新节点就可以使用目标节点公钥对通信加密数据进行加密，将加密后的通信加密数据、背书确定指示及签名后的随机挑战码一同发送给目标节点。在该实施方式中，加密通信用的通信加密数据由新节点客户端产生，并在双向认证过程中传递给对方，从而减少交互次数，提高了认证效率。

另一种可能的实施方式中，在需要所述可信节点对所述目标节点背书的情况下，新节点可以将背书请求发送给所述可信节点。接收所述可信节点针对所述背书请求反馈的背书数据。在该实施方式中，新节点直接从可信节点获取背书数据，背书数据不经过目标节点，安全性更高。

在步骤230中，将所述新节点的公钥提供给所述目标节点。

其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功。例如，此处对应新节点的接入或访问请求，目标节点检查新节点账户在当前区块链上的接入许可权限，即检查新节点的账户在当前区块链网络中是否拥有其对应的接入许可权，如果有，则确定对新节点的身份认证成功。

在步骤240中，对所述背书数据进行签名验证。

在步骤250中，如果签名验证通过，确定对所述目标节点的身份认证成功。

另外，如果签名验证未通过，则可以确定身份认证失败。

在新节点与目标节点双方身份认证成功后即可进行通信。

可见，通过本公开上述技术方案，准备访问区块链网络的新节点获取区块链网络中预置的可信节点使用自身私钥对目标节点公钥进行签名得到的背书数据，对背书数据进行签名验证，如果签名验证通过，则确定对目标节点的身份认证成功，身份认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

为了使本公开技术方案更加易于理解，下面再通过以下可能的实施方式的信令交互示意图对本公开技术方案进行详细说明。

图3是根据本公开第一方面另一示例性实施例提供的一种安全访问区块链的方法的信令交互示意图。需要说明的是，在新节点与目标节点相互认证之前，新节点可以先产生节点账户，预置可信节点公钥。新节点如本地无链内节点信息，可以从可信节点获取链内节点信息，刷新可信节点信息列表。可信节点则在区块链网络预置可信节点信息，将新节点账户加入区块链。可以理解的是，这些预置操作只需提前完成即可，无需在每次认证之前进行。

在步骤310中，新节点向目标节点发出连接请求。

在步骤311中，新节点从目标节点接收随机挑战码及目标节点公钥。

在步骤312中，新节点使用自身私钥对随机挑战码进行签名。

在步骤313中，新节点产生通信加密对称密钥，并使用目标节点公钥加密通信加密对称密钥。

在另一种可能的实施方式中，为了加强安全性，可以用通信加密随机数来代替加密对称密钥。

在步骤314中，新节点判断目标节点是否可信，也即判断是否需要区块链网络中预置的可信节点对目标节点背书。

在步骤315中，在新节点判定目标节点可信的情况下，将签名后的随机挑战码，加密后的通信加密对称密钥，背书否定指示一同携带在访问或接入请求中发送给目标节点。

在步骤316中，在新节点判定目标节点不可信的情况下，也即在需要可信节点对目标节点背书的情况下，将可信节点的IP或域名、签名后的随机挑战码，加密后的通信加密对称密钥，背书确定指示一同携带在访问或接入请求中发送给目标节点。

在步骤320中，目标节点响应于接收到访问或接入请求，对其中携带的随机挑战码进行签名验证，并根据签名获得新节点的公钥。

在步骤321中，目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限。

在步骤322中，目标节点根据查询出的许可权限确定对所述新节点的身份认证是否成功。

可以理解的是，新节点的公钥对应的账户地址拥有的许可权限可以包括多种，此处对应新节点的接入或访问请求，目标节点检查新节点账户在当前区块链上的接入许可权限，即检查新节点的账户在当前区块链网络中是否拥有其对应的接入许可权。

在步骤323中，目标节点在确定对新节点的身份认证成功的情况下，判断接收到的是背书确定指示还是背书否定指示。

在步骤324中，目标节点在判定接收到的是背书确定指示的情况下，根据所述访问或接入请求中携带的可信节点的IP或域名，将通信加密对称密钥携带在背书请求中发送给相应的可信节点。

在另一种可能的实施方式中，为了减轻可信节点的负担，目标节点可以在本地维护可信节点对其的背书，包括背书的有效期限管理。在背书有效期限内，目标节点可以不用再次向可信节点索要背书，减轻了可信节点的负担。具体地，目标节点可以根据可信节点的IP或域名从本地查询出预先存储的、所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。可以理解的是，如果本地不存在该可信节点未过期的背书的情况下，则可以通过向该可信节点发送背书请求来获得背书数据。

可以理解的是，目标节点在判定接收到的是背书否定指示的情况下，也就意味着新节点判定目标节点可信，目标节点可以使用自身私钥解密通信加密对称密钥，使用自身私钥对解密后的通信加密对称密钥进行签名，并将签名后的通信加密对称密钥发送给新节点，新节点即对接收到的通信加密对称密钥进行签名验证，验证通过后，新节点就可以与目标节点彼此进行通信。

在步骤325中，目标节点从可信节点接收随机挑战码。

在步骤326中，目标节点使用自身私钥对随机挑战码进行签名。

在步骤327中，目标节点将签名后的随机挑战码发送给可信节点。

在步骤330中，可信节点对接收到的随机挑战码进行签名验证，验证通过后获取目标节点的公钥。

在步骤331中，可信节点在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应账户地址拥有的许可权限。

在步骤332中，可信节点根据查询出的许可权限确定是否对所述目标节点进行背书。

可以理解的是，目标节点的公钥对应账户地址拥有的许可权限可以包括多种，此处对应目标节点的背书请求，可信节点可以检查目标节点账户在当前区块链上的接入许可权限，即检查目标节点的账户在当前区块链网络中是否拥有其对应的接入许可权限。检查通过则可以为目标节点背书，未通过则不予背书。

在步骤333中，可信节点在确定对所述目标节点进行背书的情况下，使用自身私钥对目标节点的公钥及通信加密对称密钥进行签名，得到背书数据。

在步骤334中，可信节点将背书数据发送给目标节点。

在步骤340中，目标节点使用自身私钥解密通信加密对称密钥，使用自身私钥对通信加密对称密钥进行签名。

在步骤341中，目标节点将签名后的通信加密对称密钥以及背书数据发送给新节点。也即，可信节点通过目标节点将背书数据提供给新节点。

在步骤342中，新节点通过对接收到的背书数据进行签名验证确定对所述目标节点的身份认证是否成功。

可以理解的是，签名验证通过则身份认证成功，签名验证未通过则身份认证失败。

在步骤343中，新节点对签名后的通信加密对称密钥进行签名验证，得到目标节点的公钥，如果签名验证通过，新节点确定对所述目标节点的身份认证成功，新节点将目标节点的公钥加入新节点的可信节点列表，并配置其有效期。此后，新节点可以与目标节点彼此进行通信。

在用通信加密随机数来代替通信加密对称密钥的情况下，新节点及目标节点在通信之前需根据通信加密随机数来计算加密密钥，使用加密密钥来进行加密通信。其中，通信加密随机数可以是由新节点产生的与明文字节数一样长度的真随机数字节。再进行加密密钥生成时，可以通过与明文一对一的顺序相加或者异或起来生成加密密钥。解密则是做加密的逆运算。

可见，通过本公开上述技术方案，新节点与目标节点的双向认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。而且，目标节点采用挑战应答的方式以防重放攻击，后续加密通信的加密密钥由新节点客户端产生，并在双向认证过程中传递给对方，减少了交互次数，身份认证效率更高。

图4是根据本公开第二方面一示例性实施例提供的一种安全访问区块链的装置400的框图。该装置配置于准备访问区块链网络中目标节点的新节点。如图4所示，该装置可以包括：判断模块410、背书获取模块420、公钥提供模块430、目标身份认证模块440。

该判断模块410，可以被配置为判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书。

该背书获取模块420，可以被配置为在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据。

该公钥提供模块430，可以被配置为将所述新节点的公钥提供给所述目标节点，其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功。

该目标身份认证模块440，可以被配置为对所述背书数据进行签名验证，如果签名验证通过，确定对所述目标节点的身份认证成功。

可见，通过本公开上述技术方案，准备访问区块链网络的新节点获取区块链网络中预置的可信节点使用自身私钥对目标节点公钥进行签名得到的背书数据，对背书数据进行签名验证，如果签名验证通过，确定对目标节点的身份认证成功，身份认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

图5是根据本公开第二方面另一示例性实施例提供的一种安全访问区块链的装置500的框图。如图5所示，在该装置中，背书获取模块420可以包括：第一请求发送子模块421，可以被配置为在需要所述可信节点对所述目标节点背书的情况下，将所述可信节点的IP或域名及背书确定指示发送给所述目标节点。第一背书接收子模块422，可以被配置为接收所述目标节点针对所述背书确定指示发送的背书数据。

一种可能的实施方式中，所述背书确定指示可以用于使所述目标节点根据所述可信节点的IP或域名从本地查询出预先存储的、所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。在该实施方式中，在目标节点本地不存在未过期的背书数据的情况下，则可以向可信节点发出相应背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点。由于该实施方式从目标节点本地获取背书数据，不必每次都从可信节点获取背书数据，有效减轻了可信节点的负担。

另一种可能的实施方式中，所述背书确定指示可以用于使所述目标节点直接向所述可信节点发出相应的背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点。

图6是根据本公开第二方面又一示例性实施例提供的一种安全访问区块链的装置600的框图。如图6所示，在该装置中，背书获取模块420可以包括：第二请求发送子模块423，可以被配置为在需要所述可信节点对所述目标节点背书的情况下，将背书请求发送给所述可信节点。第二背书接收子模块424，可以被配置为接收所述可信节点针对所述背书请求反馈的背书数据。

在该实施方式中，新节点直接从可信节点获取背书数据，背书数据不经过目标节点，安全性更高。

一可能的实施方式中，如图5及图6所示，该装置还可以包括：通信加密数据产生模块450，可以被配置为产生通信加密数据。其中，所述通信加密数据用于所述新节点与所述目标节点在身份认证通过后使用所述通信加密数据彼此进行加密通信。通信加密数据加密模块451，可以被配置为对所述通信加密数据进行加密。通信加密数据发送模块452，可以被配置为在将所述背书确定指示发送给所述目标节点时，将加密后的所述通信加密数据与所述背书确定指示一同发送给所述目标节点。其中，所述通信加密数据可以包括：通信加密对称密钥，或者，通信加密随机数。

通过该实施方式，减少了新节点与目标节点交互次数，提高了认证效率。

又一可能的实施方式中，如图5及图6所示，该装置还可以包括：挑战码接收模块460，可以被配置为从所述目标节点接收随机挑战码。挑战码签名模块461，可以被配置为使用所述新节点自身私钥对所述随机挑战码进行签名。挑战码发送模块462，可以被配置为将签名后的所述随机挑战码发送给所述目标节点。

通过该实施方式，可以防止重放攻击，提高节点间交互的安全性。

图7是根据本公开第三方面一示例性实施例提供的一种安全访问区块链的方法的流程图。该方法应用于区块链网络中的目标节点。如图7所示，该方法可以包括：

在步骤710中，目标节点响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥。

一种可能的实施方式中，目标节点还可以接收所述新节点发送的可信节点的IP或域名及背书确定指示，根据接收到所述背书确定指示，从本地查询出该IP或域名所对应的预先存储的背书数据，其中，所述背书数据是由所述可信节点使用自身私钥对所述目标节点公钥进行签名得到，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。例如，在该实施方式中，新节点发送的可信节点的IP或域名及背书确定指示可以携带在新节点发出的访问或接入请求中，目标节点从该访问或接入请求中获得可信节点的IP或域名及背书确定指示。

另一种可能的实施方式中，目标节点还可以接收所述新节点发送的可信节点的IP或域名及背书确定指示，根据接收到所述背书确定指示，向所述IP或域名对应的可信节点发出背书请求，其中，所述背书请求用于使所述可信节点获取所述目标节点的公钥，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据，目标节点从所述可信节点获得所述背书数据，目标节点将所述背书数据发送给所述新节点。

在步骤720中，在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限。

在步骤730中，根据查询出的许可权限确定对所述新节点的身份认证是否成功。

通过本公开上述技术方案，由于目标节点在区块链网络预置的许可权限中查询出新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对新节点的身份认证是否成功，因此，身份认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

另外，还可以参考图3所示信令交互示意图来进一步详细了解本公开提供的应用于目标节点的安全访问区块链的方法，在此不再赘述。

图8是根据本公开第四方面一示例性实施例提供的一种安全访问区块链的装置800的框图。该装置配置于区块链网络中的目标节点。如图8所示，该装置可以包括：新节点公钥获取模块810、新节点权限查询模块820、新节点身份认证模块830。

该新节点公钥获取模块810，可以被配置为响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥。

该新节点权限查询模块820，可以被配置为在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限。

该新节点身份认证模块830，可以被配置为根据查询出的许可权限确定对所述新节点的身份认证是否成功。

图9是根据本公开第四方面另一示例性实施例提供的一种安全访问区块链的装置900的框图。如图9所示，该装置还可以包括：背书指示获取模块840，可以被配置为接收所述新节点发送的可信节点的IP或域名及背书确定指示。背书数据查询模块841，可以被配置为根据接收到所述背书确定指示，从本地查询出该IP或域名所对应的预先存储的背书数据，其中，所述背书数据是由所述可信节点使用自身私钥对所述目标节点公钥进行签名得到。背书发送第一模块842，可以被配置为在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。

图10是根据本公开第四方面又一示例性实施例提供的一种安全访问区块链的装置1000的框图。如图10所示，该装置还可以包括：背书指示获取模块1010，可以被配置为接收所述新节点发送的可信节点的IP或域名及背书确定指示。背书请求发送模块1011，可以被配置为根据接收到所述背书确定指示，向所述IP或域名对应的可信节点发出背书请求，其中，所述背书请求用于使所述可信节点获取所述目标节点的公钥，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据。背书数据接收模块1012，可以被配置为从所述可信节点获得所述背书数据。背书发送第二模块1013，可以被配置为将所述背书数据发送给所述新节点。

可见，由于本公开上述技术方案中目标节点在区块链网络预置的许可权限中查询出新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对新节点的身份认证是否成功，因此，身份认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

图11是根据本公开第五方面一示例性实施例提供的一种安全访问区块链的方法的流程图。该方法应用于区块链网络中预置的可信节点。如图11所示，该方法可以包括：

在步骤1110中，可信节点响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥。

一种可能的实施方式中，可信节点可以响应于接收到所述目标节点发送的背书请求，获取所述目标节点的公钥，其中，所述背书请求是由所述目标节点根据接收到所述新节点发送的可信节点的IP或域名及背书确定指示相应发出的。

另一种可能的实施方式中，可信节点可以响应于从新节点接收到对所述目标节点的背书请求，获取所述目标节点的公钥。

在步骤1120中，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据。

在从目标节点接收背书请求的实施方式中，可信节点还可以在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定是否对所述目标节点进行背书，在确定对所述目标节点进行背书的情况下，再进入所述使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据的步骤。

在步骤1130中，将所述背书数据提供给所述新节点，以便使所述新节点对所述背书数据进行签名验证，如果所述新节点签名验证通过，所述新节点确定对所述目标节点的身份认证成功。

例如，在从目标节点接收背书请求的实施方式中，可以将所述背书数据发送给所述目标节点，所述背书数据经过所述目标节点发送给所述新节点。

再例如，在从新节点接收背书请求的实施方式中，可以将所述背书数据直接发送给所述新节点。

通过本公开上述技术方案，由于可信节点使用自身私钥对所述目标节点的公钥进行签名得到背书数据，将所述背书数据提供给所述新节点，因此，本公开新节点与目标节点的双向认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

另外，还可以参考图3所示信令交互示意图来进一步详细了解本公开提供的应用于可信节点的安全访问区块链的方法，在此不再赘述。

图12是根据本公开第六方面一示例性实施例提供的一种安全访问区块链的装置1200的框图。该装置配置于区块链网络中的可信节点。如图12所示，该装置可以包括：目标公钥获取模块1210、签名模块1220、背书提供模块1230。

该目标公钥获取模块1210，可以被配置为响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥。

该签名模块1220，可以被配置为使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据。

该背书提供模块1230，可以被配置为将所述背书数据提供给所述新节点，以便使所述新节点对所述背书数据进行签名验证，如果所述新节点签名验证通过，所述新节点确定对所述目标节点的身份认证成功。

一种可能的实施方式中，所述目标公钥获取模块1210可以被配置为响应于接收到所述目标节点发送的背书请求，获取所述目标节点的公钥，其中，所述背书请求是由所述目标节点根据接收到所述新节点发送的可信节点的IP或域名及背书确定指示相应发出的。所述背书提供模块1230可以被配置为将所述背书数据发送给所述目标节点，所述背书数据经过所述目标节点发送给所述新节点。

另一种可能的实施方式中，所述目标公钥获取模块1210可以被配置为响应于从新节点接收到对所述目标节点的背书请求，获取所述目标节点的公钥。所述背书提供模块1230可以被配置为将所述背书数据直接发送给所述新节点。

图13是根据本公开第六方面另一示例性实施例提供的一种安全访问区块链的装置1300的框图。如图13所示，该装置还可以包括：目标权限查询模块1240，可以被配置为在接收到所述目标节点发送的背书请求之后，在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应的账户地址拥有的许可权限。背书确定模块1241，可以被配置为根据查询出的许可权限确定是否对所述目标节点进行背书。所述签名模块1220可以被配置为在所述背书确定模块确定对所述目标节点进行背书的情况下，执行所述使用可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据的步骤。

图14是根据一示例性实施例示出的一种电子设备1400的框图。如图14所示，该电子设备1400可以包括：处理器1401，存储器1402，多媒体组件1403，输入/输出（I/O）接口1404，以及通信组件1405。

其中，处理器1401用于控制该电子设备1400的整体操作，以完成上述的安全访问区块链的方法中的全部或部分步骤。存储器1402用于存储各种类型的数据以支持在该电子设备1400的操作，这些数据例如可以包括用于在该电子设备1400上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器1402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器（Static Random Access Memory，简称SRAM），电可擦除可编程只读存储器（Electrically Erasable Programmable Read-Only Memory，简称EEPROM），可擦除可编程只读存储器（Erasable Programmable Read-Only Memory，简称EPROM），可编程只读存储器（Programmable Read-Only Memory，简称PROM），只读存储器（Read-Only Memory，简称ROM），磁存储器，快闪存储器，磁盘或光盘。多媒体组件1403可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1402或通过通信组件1405发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口1404为处理器1401和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件1405用于该电子设备1400与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信（Near Field Communication，简称NFC），2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件1405可以包括：Wi-Fi模块，蓝牙模块，NFC模块。

在一示例性实施例中，电子设备1400可以被一个或多个应用专用集成电路（Application Specific Integrated Circuit，简称ASIC）、数字信号处理器（Digital Signal Processor，简称DSP）、数字信号处理设备（Digital Signal Processing Device，简称DSPD）、可编程逻辑器件（Programmable Logic Device，简称PLD）、现场可编程门阵列（Field Programmable Gate Array，简称FPGA）、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的安全访问区块链的方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，例如包括程序指令的存储器1402，上述程序指令可由电子设备1400的处理器1401执行以完成上述的安全访问区块链的方法。

另外，本公开还提供了一种安全访问区块链的***。在该***中可以包括至少一个如上述实施例所述的电子设备所实现的新节点，至少一个如上述实施例所述的电子设备所实现的新节点，至少一个如上述实施例所述的电子设备所实现的目标节点，至少一个如上述实施例所述的电子设备所实现的可信节点。其中，如上述实施例所述的电子设备所实现的新节点、如上述实施例所述的电子设备所实现的目标节点、如上述实施例所述的电子设备所实现的可信节点属于同一区块链网络。

综上所述，本公开新节点与目标节点的双向认证直接利用了区块链网络节点账户的公私钥，不需要中心化的第三方参与数字证书，避免了数字证书颁发所带来的高复杂度，实现了区块链网络节点间安全访问。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。

Claims

一种安全访问区块链的方法，其特征在于，所述方法应用于准备接入或访问区块链网络中目标节点的新节点，所述方法包括：

判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书；

在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据；

以及，将所述新节点的公钥提供给所述目标节点，其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功；

对所述背书数据进行签名验证；

如果签名验证通过，确定对所述目标节点的身份认证成功。
根据权利要求1所述的方法，其特征在于，所述在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据包括：

在需要所述可信节点对所述目标节点背书的情况下，将所述可信节点的IP或域名及背书确定指示发送给所述目标节点，所述背书确定指示用于使所述目标节点根据所述可信节点的IP或域名从本地查询出预先存储的、所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点，或者，所述背书确定指示用于使所述目标节点向所述可信节点发出相应的背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点；

接收所述目标节点针对所述背书确定指示发送的背书数据；

或者，

在需要所述可信节点对所述目标节点背书的情况下，将背书请求发送给所述可信节点；

接收所述可信节点针对所述背书请求反馈的背书数据。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

产生通信加密数据，其中，所述通信加密数据用于所述新节点与所述目标节点在身份认证通过后使用所述通信加密数据彼此进行加密通信；

对所述通信加密数据进行加密；

在将所述背书确定指示发送给所述目标节点时，将加密后的所述通信加密数据与所述背书确定指示一同发送给所述目标节点。
根据权利要求3所述的方法，其特征在于，所述通信加密数据包括：通信加密对称密钥，或者，通信加密随机数。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

从所述目标节点接收随机挑战码；

使用所述新节点自身私钥对所述随机挑战码进行签名；

将签名后的所述随机挑战码发送给所述目标节点。
一种安全访问区块链的装置，其特征在于，所述装置配置于准备接入或访问区块链网络中目标节点的新节点，所述装置包括：

判断模块，被配置为判断是否需要所述区块链网络中预置的可信节点对所述目标节点背书；

背书获取模块，被配置为在需要所述可信节点对所述目标节点背书的情况下，获取所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据；

公钥提供模块，被配置为将所述新节点的公钥提供给所述目标节点，其中，所述新节点的公钥用于使所述目标节点在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限，根据查询出的许可权限确定对所述新节点的身份认证是否成功；

目标身份认证模块，被配置为对所述背书数据进行签名验证，如果签名验证通过，确定对所述目标节点的身份认证成功。
根据权利要求6所述的装置，其特征在于，所述背书获取模块包括：

第一请求发送子模块，被配置为在需要所述可信节点对所述目标节点背书的情况下，将所述可信节点的IP或域名及背书确定指示发送给所述目标节点，所述背书确定指示用于使所述目标节点根据所述可信节点的IP或域名从本地查询出预先存储的、所述可信节点使用自身私钥对所述目标节点公钥进行签名得到的背书数据，在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点，或者，所述背书确定指示用于使所述目标节点向所述可信节点发出相应的背书请求，从所述可信节点获得背书数据，将所述背书数据发送给所述新节点；

第一背书接收子模块，被配置为接收所述目标节点针对所述背书确定指示发送的背书数据；

或者，

所述背书获取模块包括：

第二请求发送子模块，被配置为在需要所述可信节点对所述目标节点背书的情况下，将背书请求发送给所述可信节点；

第二背书接收子模块，被配置为接收所述可信节点针对所述背书请求反馈的背书数据。
根据权利要求7所述的装置，其特征在于，所述装置还包括：

通信加密数据产生模块，被配置为产生通信加密数据，其中，所述通信加密数据用于所述新节点与所述目标节点在身份认证通过后使用所述通信加密数据彼此进行加密通信；

通信加密数据加密模块，被配置为对所述通信加密数据进行加密；

通信加密数据发送模块，被配置为在将所述背书确定指示发送给所述目标节点时，将加密后的所述通信加密数据与所述背书确定指示一同发送给所述目标节点。
根据权利要求8所述的装置，其特征在于，所述通信加密数据包括：通信加密对称密钥，或者，通信加密随机数。
根据权利要求6所述的装置，其特征在于，所述装置还包括：

挑战码接收模块，被配置为从所述目标节点接收随机挑战码；

挑战码签名模块，被配置为使用所述新节点自身私钥对所述随机挑战码进行签名；

挑战码发送模块，被配置为将签名后的所述随机挑战码发送给所述目标节点。
一种安全访问区块链的方法，其特征在于，所述方法应用于区块链网络中的目标节点，所述方法包括：

响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥；

在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限；

根据查询出的许可权限确定对所述新节点的身份认证是否成功。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

接收所述新节点发送的可信节点的IP或域名及背书确定指示；

根据接收到所述背书确定指示，从本地查询出该IP或域名所对应的预先存储的背书数据，其中，所述背书数据是由所述可信节点使用自身私钥对所述目标节点公钥进行签名得到；

在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

接收所述新节点发送的可信节点的IP或域名及背书确定指示；

根据接收到所述背书确定指示，向所述IP或域名对应的可信节点发出背书请求，其中，所述背书请求用于使所述可信节点获取所述目标节点的公钥，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；

从所述可信节点获得所述背书数据；

将所述背书数据发送给所述新节点。
一种安全访问区块链的装置，其特征在于，所述装置配置于区块链网络中的目标节点，所述装置包括：

新节点公钥获取模块，被配置为响应于接收到新节点发出的访问或接入请求，获取所述新节点的公钥；

新节点权限查询模块，被配置为在所述区块链网络预置的许可权限中查询所述新节点的公钥对应的账户地址拥有的许可权限；

新节点身份认证模块，被配置为根据查询出的许可权限确定对所述新节点的身份认证是否成功。
根据权利要求14所述的装置，其特征在于，所述装置还包括：

背书指示获取模块，被配置为接收所述新节点发送的可信节点的IP或域名及背书确定指示；

背书数据查询模块，被配置为根据接收到所述背书确定指示，从本地查询出该IP或域名所对应的预先存储的背书数据，其中，所述背书数据是由所述可信节点使用自身私钥对所述目标节点公钥进行签名得到；

背书发送第一模块，被配置为在所述背书数据未过期的情况下，将所述背书数据发送给所述新节点。
根据权利要求14所述的装置，其特征在于，所述装置还包括：

背书指示获取模块，被配置为接收所述新节点发送的可信节点的IP或域名及背书确定指示；

背书请求发送模块，被配置为根据接收到所述背书确定指示，向所述IP或域名对应的可信节点发出背书请求，其中，所述背书请求用于使所述可信节点获取所述目标节点的公钥，使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；

背书数据接收模块，被配置为从所述可信节点获得所述背书数据；

背书发送第二模块，被配置为将所述背书数据发送给所述新节点。
一种安全访问区块链的方法，其特征在于，所述方法应用于区块链网络中预置的可信节点，所述方法包括：

响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥；

使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；

将所述背书数据提供给所述新节点，以便使所述新节点对所述背书数据进行签名验证，如果所述新节点签名验证通过，所述新节点确定对所述目标节点的身份认证成功。
根据权利要求17所述的方法，其特征在于，所述响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥包括：

响应于接收到所述目标节点发送的背书请求，获取所述目标节点的公钥，其中，所述背书请求是由所述目标节点根据接收到所述新节点发送的可信节点的IP或域名及背书确定指示相应发出的；

所述将背书数据提供给所述新节点包括：

将所述背书数据发送给所述目标节点，所述背书数据经过所述目标节点发送给所述新节点。
根据权利要求17所述的方法，其特征在于，所述响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥包括：

响应于从新节点接收到对所述目标节点的背书请求，获取所述目标节点的公钥；

所述将背书数据提供给所述新节点包括：

将所述背书数据直接发送给所述新节点。
根据权利要求18所述的方法，其特征在于，在所述接收到所述目标节点发送的背书请求之后，所述方法还包括：

在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应的账户地址拥有的许可权限；

根据查询出的许可权限确定是否对所述目标节点进行背书；

在确定对所述目标节点进行背书的情况下，进入所述使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据的步骤。
一种安全访问区块链的装置，其特征在于，所述装置配置于区块链网络中预置的可信节点，所述装置包括：

目标公钥获取模块，被配置为响应于准备访问区块链网络中目标节点的新节点需要可信节点对目标节点背书，获取所述目标节点的公钥；

签名模块，被配置为使用所述可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据；

背书提供模块，被配置为将所述背书数据提供给所述新节点，以便使所述新节点对所述背书数据进行签名验证，如果所述新节点签名验证通过，确定对所述目标节点的身份认证成功。
根据权利要求21所述的装置，其特征在于，所述目标公钥获取模块被配置为响应于接收到所述目标节点发送的背书请求，获取所述目标节点的公钥，其中，所述背书请求是由所述目标节点根据接收到所述新节点发送的可信节点的IP或域名及背书确定指示相应发出的；

所述背书提供模块被配置为将所述背书数据发送给所述目标节点，所述背书数据经过所述目标节点发送给所述新节点。
根据权利要求21所述的装置，其特征在于，所述目标公钥获取模块被配置为响应于从新节点接收到对所述目标节点的背书请求，获取所述目标节点的公钥；

所述背书提供模块被配置为将所述背书数据直接发送给所述新节点。
根据权利要求22所述的装置，其特征在于，所述装置还包括：

目标权限查询模块，被配置为在接收到所述目标节点发送的背书请求之后，在所述区块链网络预置的许可权限中查询所述目标节点的公钥对应的账户地址拥有的许可权限；

背书确定模块，被配置为根据查询出的许可权限确定是否对所述目标节点进行背书；

所述签名模块被配置为在所述背书确定模块确定对所述目标节点进行背书的情况下，执行所述使用可信节点自身私钥对所述目标节点的公钥进行签名得到背书数据的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权利要求1至5中任一项所述的方法。
一种电子设备，其特征在于，包括：

权利要求25中所述的计算机可读存储介质；以及

一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权利要求11到13中任一项所述的方法。
一种电子设备，其特征在于，包括：

权利要求27中所述的计算机可读存储介质；以及

一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权利要求17至20中任一项所述的方法。
一种电子设备，其特征在于，包括：

权利要求29中所述的计算机可读存储介质；以及

一个或者多个处理器，用于执行所述计算机可读存储介质中的程序。
一种安全访问区块链的***，其特征在于，所述***包括：

至少一个如权利要求26所述的电子设备所实现的新节点；

至少一个如权利要求28所述的电子设备所实现的目标节点；

至少一个如权利要求30所述的电子设备所实现的可信节点；

其中，所述权利要求26所述的电子设备所实现的新节点、权利要求28所述的电子设备所实现的目标节点、权利要求30所述的电子设备所实现的可信节点属于同一区块链网络。