WO2020177508A1

WO2020177508A1 - 一种区块链的构建及群组划分方法与装置

Info

Publication number: WO2020177508A1
Application number: PCT/CN2020/074750
Authority: WO
Inventors: 李昊轩; 王�章; 李辉忠; 张开翔; 范瑞彬
Original assignee: 深圳前海微众银行股份有限公司
Priority date: 2019-03-05
Filing date: 2020-02-11
Publication date: 2020-09-10
Also published as: CN113098907A; CN110035059B; CN113098907B; CN110035059A

Abstract

本发明实施例涉及金融科技(Fintech)技术领域，尤其涉及一种区块链(Block chain)的构建及群组划分方法与装置，用以解决联盟链中各机构不对等、安全性低的问题。其中方法包括：第一机构生成第一机构内节点的第一证书；第一机构为联盟链中的任一机构，第一机构内节点为第一机构所属节点中的任一节点；第一机构将第一证书向第二机构广播，并接收第二机构内节点的第二证书，第二机构为联盟链中除第一机构外的机构；第一机构验证第二证书，并在验证通过后，根据第一证书以及第二证书生成联盟链的配置文件；第一机构将第一证书、第一机构内节点的第一私钥以及配置文件发送至第一机构内节点，以使第一机构内节点启动。

Description

一种区块链的构建及群组划分方法与装置

相关申请的交叉引用

本申请要求在2019年03月05日提交中国专利局、申请号为201910165256.0、申请名称为“一种区块链的构建及群组划分方法与装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及一种区块链的构建及群组划分方法与装置。

背景技术

区块链(Block chain)技术是金融科技领域中一种全新的分布式基础架构与计算方式。在区块链技术中，根据区块链网络访问控制权限的不同，区块链可以分为公有链，私有链和联盟链。其中，公有链的节点是任何人都可以参与的，任何人都可以访问的一种区块链结构；私有链是仅仅对单独的个体开放(如公司，学校内部)的区块链结构；联盟链则是目前应用非常广泛的，非常普遍的一种区块链结构。在这种结构中，区块链由特定的某些组织维护，对某些个体开放，并且可以引入监管节点(比如银行监管机构、证券监管机构、央行等)，让区块链在不可篡改的同时满足相应的监管需求。

目前，在联盟链初始化时无法满足联盟链的多个机构间地位对等的诉求。具体来说，联盟链在初始化时，各方需要协商创世区块中包含的节点信息。现有做法为其中一个机构生成自己的节点信息，启动区块链，再加入其它机构的节点，此时，该机构为加入的其它机构生成证书和私钥再发送给其它机构；或是由权威第三方机构直接生成所有机构内的节点信息，并将安装包发送给各机构。上述方法中，生成节点安装包的机构会拥有其它节点的所有信息，节点私钥的安全性低，不满足联盟链中各机构对等，安全的要求。

发明内容

本申请提供一种区块链的构建及群组划分方法与装置，用以解决联盟链中各机构不对等，安全性低的问题。

本发明实施例提供的一种区块链的构建及群组划分方法，包括：

第一机构生成第一机构内节点的第一证书；所述第一机构为联盟链中的任一机构，所述第一机构内节点为所述第一机构所属节点中的任一节点；

所述第一机构将所述第一证书向第二机构广播，并接收第二机构内节点的第二证书，所述第二机构为所述联盟链中除所述第一机构外的机构；

所述第一机构验证所述第二证书，并在验证通过后，根据所述第一证书以及所述第二证书生成联盟链的配置文件；

所述第一机构将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点，以使所述第一机构内节点启动。

一种可选的实施例中，所述第一机构将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点之后，还包括：

所述第一机构内节点利用所述第一私钥对所述第一证书进行验证，验证通过后所述第一机构内节点启动；

所述第一机构内节点启动后，还包括：

所述第一机构内节点根据所述配置文件向所述第二机构内节点发送第一心跳请求，并接收所述第二机构内节点的第二心跳请求；

所述第一机构内节点确定接收到的所述第二心跳请求的数量大于第一阈值后，生成所述联盟链的创世区块。

一种可选的实施例中，所述第一机构内节点确定接收到的所述第二心跳请求的数量大于阈值后，生成所述联盟链的创世区块之后，还包括：

所述第一机构从所述第一证书以及N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

所述第一机构根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述第一机构根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件；

所述第一机构将所述群组配置文件发送至所述属于所述群组的第一机构内节点；

所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，以使所述第一机构内节点具有群组属性。

一种可选的实施例中，所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启之后，还包括：

所述属于所述群组的第一机构内节点根据所述群组配置文件，向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述属于所述群组的第一机构内节点确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。

一种可选的实施例中，所述第一机构根据所述第一证书以及所述第二证书生成联盟链的配置文件，包括：

所述第一机构分析所述第一证书以及所述第二证书中包含的公钥信息和证书指纹，生成所述配置文件，所述配置文件中包含N个第二节点的网络连接地址；

所述第一机构内节点根据所述配置文件向N个第二节点发送第一心跳请求，包括：

所述第一机构内节点根据所述N个第二节点的网络连接地址，向所述N个第二节点发送所述第一心跳请求。

本发明实施例还提供一种区块链的群组划分方法，包括：

第一机构从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构；

所述第一机构根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件；

所述第一机构将所述群组配置文件发送至所述属于所述群组的第一机构内节点，以使所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，从而所述第一机构内节点具有群组属性。

所述属于所述群组的第一机构内节点根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

一种可选的实施例中，所述第一机构根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件，包括：

所述第一机构分析所述第三证书中包含的公钥信息和证书指纹，根据所述群组配置项，生成所述群组配置文件，所述群组配置文件中包含所述群组的群组序列号，以及所述第三节点的网络连接地址；

所述属于所述群组的第一机构内节点根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，包括：

所述属于所述群组的第一机构内节点根据所述群组序列号以及所述第三节点的网络连接地址，向除所述第一机构内节点之外的第三节点发送所述第三心跳请求。

本发明实施例还提供一种区块链的构建装置，包括：

生成单元，用于生成第一机构内节点的第一证书；所述第一机构内节点为第一机构所属节点中的任一节点，所述第一机构为所述联盟链中的任一机构；

机构收发单元，用于将所述第一证书向第二机构广播，并接收第二机构内节点的第二证书，所述第二机构为所述联盟链中除所述第一机构外的机构；

配置单元，用于验证所述第二证书，并在验证通过后，根据所述第一证书以及所述第二证书生成联盟链的配置文件；

所述机构收发单元，还用于将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点，以使所述第一机构内节点启动。

一种可选的实施例中，还包括：

启动单元，用于利用所述第一私钥对所述第一证书进行验证，验证通过后启动；

节点收发单元，用于根据所述配置文件向所述第二机构内节点发送第一心跳请求，并接收所述第二机构内节点的第二心跳请求；

共识单元，用于确定接收到的所述第二心跳请求的数量大于第一阈值后，生成所述联盟链的创世区块。

一种可选的实施例中，还包括确定单元，用于从所述第一证书以及N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

所述配置单元，还用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述配置单元，还用于根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件；

所述机构收发单元，还用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点；

所述启动单元，还用于根据所述群组配置文件进行重启，以使所述第一机构内节点具有群组属性。

一种可选的实施例中，所述节点收发单元，还用于根据所述群组配置文件，向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述共识单元，还用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。

本发明实施例还提供一种区块链的群组划分装置，包括：

确定单元，用于从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述确定单元所属的第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构；

生成单元，用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述生成单元，还用于根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件；

机构收发单元，用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点，以使所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，从而所述第一机构内节点具有群组属性。

一种可选的实施例中，还包括：

节点收发单元，用于根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

共识单元，用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。

本发明实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上所述的方法。

本发明实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上所述的方法。

本发明实施例中，第一机构生成第一机构内节点的第一证书，第一机构将生成的第一证书向第二机构广播，并接收第二机构内节点的第二证书，其中，第一机构为联盟链中的任一机构，第一机构内节点为第一机构所属节点中的任一节点，第二机构为联盟链中除第一机构外的机构。第一机构验证接收到的第二证书，并在验证通过后，根据第一证书以及第二证书生成联盟链的配置文件，并将第一证书、第一机构内节点的第一私钥以及配置文件发送至第一机构内节点，以使第一机构内节点启动。本发明实施例中，机构间只需广播证书，节点的私钥由机构自己生成和维护，保证了机构内节点的私钥不出机构内网，确保了机构间节点的安全性。同时，联盟链的机构各自生成对应节点的证书和私钥，而不是由一个机构生成其余机构的证书和私钥，保证了机构间的对等关系。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种可能的***构架的结构示意图；

图2为本发明实施例提供的一种区块链的构建方法的流程示意图；

图3为本发明具体实施例一提供的一种联盟链构建方法的流程示意图；

图4为本发明具体实施例二提供的一种联盟链的群组划分方法的流程示意图；

图5为本发明实施例提供的一种区块链的构建装置的结构示意图；

图6为本发明实施例提供的一种区块链的群组划分装置的结构示意图；

图7为本发明实施例提供的电子设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

区块链是由一系列区块组成的一条链，每个块上除了记录本块的数据还会记录上一块的哈希值，通过这种方式组成一条链。区块链的核心理念有两个，一个是密码学技术，另一个是去中心化思想，基于这两个理念做到区块链上的历史信息无法被篡改。然而在联盟链中，为单个机构生成所有机构内节点信息，无法满足去中心化思想的需求。

为了解决上述问题，本发明实施例提供了一种区块链的构建方法。该方法所适用的一种可能的***构架，如图1所示，包括机构和节点。

其中，机构为通过联盟链委员会准入的主体，拥有机构证书agency.crt和机构私钥agency.key。机构可以生成机构内节点。机构可以签发所属节点的节点证书node.crt并生成节点私钥node.key。证书即数字证书，是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在互联网上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——证书授权(Certificate Authority，CA)机构中心发行的，人们可以在网上用它来识别对方的身份。

在区块链对等网络中，节点参与网络组建和数据交换。一个节点是指一个具有唯一身份的参与者，该节点具有一份完整的账本拷贝，具有参与区块链对等网络共识和账本维护的能力。本发明实施例中，机构内节点即为联盟链中运行的节点，属于对应的机构，节点可能会处于一个或多个群组中。节点拥有节点证书node.crt和节点私钥node.key。机构内节点会与所属群组的其他节点进行网络链接，并维护该群组。群组间数据隔离，每个群组独立运行各自的共识算法，不同群组可使用不同的共识算法。

本发明实施例支持多群组架构，群组间共享网络，通过网络准入模块实现各账本间网络消息隔离。所有机构协商完成联盟链根证书，所有机构拥有各自对应机构内节点的节点证书node.crt和节点私钥node.key。机构间地位对等，机构内节点只与所属群组的其他节点通信。机构间节点可以互相协商证书并新建群组。一个机构可以对应一个机构内节点，也可以对应多个机构内节点；同一个机构对应的机构内节点，可以属于同一个群组，也可以属于不同群组。

基于上述架构，本发明实施例提供了一种区块链的构建方法，如图2所示，本发明实施例提供的区块链的构建方法，包括以下步骤：

步骤201、第一机构生成第一机构内节点的第一证书；第一机构为联盟链中的任一机构，第一机构内节点为第一机构所属节点中的任一节点。

步骤202、第一机构将第一证书向第二机构广播，并接收第二机构内节点的第二证书，第二机构为联盟链中除第一机构外的机构。

步骤203、第一机构验证第二证书，并在验证通过后，根据第一证书以及第二证书生成联盟链的配置文件。

步骤204、第一机构将第一证书、第一机构内节点的第一私钥以及配置文件发送至第一机构内节点，以使第一机构内节点启动。

具体来说，本发明实施例的联盟链中，各个机构分别为自身对应的机构内节点生成节点证书，多个机构之间采用对等协商的方法广播节点证书，并进行证书验证。机构可以根据所有节点的证书，生成联盟链节点启动时的配置文件，而节点私钥则存储在机构本地，不发送至其它机构，从而不会泄露节点私钥，保证了私钥的安全性。由于生成的配置文件不包含节点私钥，即使生成的配置文件泄露，非本机构也无法使用这些配置文件。

节点证书既可以由第一机构主动发送至联盟链中的其余机构，即第二机构；也可以由第二机构从第一机构中获取。各个机构收到其余机构广播的节点证书后，对证书的颁发者、使用者、有效期、密钥用法、证书中包含的公钥等信息进行验证，从而判断节点证书是否合法。若节点证书均合法，则节点证书协商成功，继续执行后续流程；若存在不合法的节点证书，则节点证书协商失败。

在节点证书协商成功后，联盟链中的每个机构生成对应机构内节点的配置文件，并将每个机构内节点的配置文件，连同该机构内节点的证书和私钥，发送给机构内节点，以使机构内节点启动。

相应地，所述第一机构将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点之后，还包括：

所述第一机构内节点启动后，还包括：

具体实施过程中，各机构将节点私钥配置至对应机构内节点的安装包，启动节点。目前支持两种配置方式，分别为keycenter类型的私钥加密方式和直接加载私钥至节点文件夹的方式。第一机构内节点接收到机构发送来的第一证书、第一私钥和配置文件之后，可以利用第一私钥对第一证书进行验证，判断第一私钥与第一证书是否匹配，验证通过后第一机构内节点启动，否则，则结束联盟链的初始化过程。第一机构内节点启动后，根据接收到的配置文件，向联盟链中的其余节点，即第二机构内节点，发送第一心跳请求。第一机构内节点只有收集到足够数量的其他节点的心跳请求才会进行共识，即共同创建区块链。这样，保证了区块链创建的成功率。共识算法为区块链对等网络中的各个节点通过一种算法对一批交易进行确认，并确保所有节点对这批数据具有一致的确认结果，这种算法就是区块链的共识算法。

举例来说，若协商的节点证书的数量为n个，则说明机构内节点的数量为n个，且已经完成证书协商、节点部署等操作。联盟链中各节点启动后，根据联盟链的配置文件与联盟链中其余的节点进行连接。不同共识方法中的第一阈值不同。如PBFT(Practical Byzantine Fault Tolerance，实用拜占庭容错算法)方式中机构内节点只有收集到数量大于2n/3(向上取整)的心跳请求后，才能生成联盟链的创世区块，进一步完成共识。RAFT(一种分布式一致性算法)方式中只有收集到数量大于n/2(向上取整)的心跳请求后，联盟链群组才能进行共识，完成部署。为了保证联盟链的共识效率，PBFT中节点证书的数量n不建议超过40，RAFT中节点证书的数量n不建议超过100。

进一步地，所述第一机构根据所述第一证书以及所述第二证书生成联盟链的配置文件，包括：

所述第一机构分析所述第一证书以及所述第二证书中包含的公钥信息和证书指纹，生成所述配置文件，所述配置文件中包含N个第二节点的网络连接地址。

所述第一机构内节点根据所述配置文件向所述N个第二节点发送第一心跳请求，包括：

具体实施过程中，第一机构根据联盟链中所有的节点证书生成配置文件。具体为分析证书中包含的公钥信息和证书指纹，生成联盟链的序列号，后续节点生成创世区块时，会将序列号信息放入创世区块中。同时，第一机构生成区块链启动所需的群组容量与网络连接地址等配置文件。这样，第一机构内节点需要发送第一心跳请求时，可以根据每个第二节点的网络连接地址，向第二节点发送第一心跳请求。

联盟链初始化完成后，机构间需要根据不同业务划分不同群组。每个群组中含有多个节点，同一个机构所属的节点可以分属于不同的群组，也可以属于同一个群组。

所述第一机构内节点确定接收到的所述第二心跳请求的数量大于阈值后，生成所述联盟链的创世区块之后，还包括：

所述第一机构从所述第一证书以及所述N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

具体来说，联盟链初始化后划分群组，由于各机构已获得联盟链中的所有节点证书，因此，无需再次执行获取节点证书和验证的过程，由于第一机构中包含属于所述群组的第一机构内节点，第一机构可以直接从所有节点证书中确定出属于群组的第三节点对应的第三证书。根据第三证书生成群组配置项。群组配置项中可以包含群组中每个节点的证书、节点的IP、端口号等数据，可以指示群组中的第三节点具体为哪些节点。第一机构根据群组配置项以及该群组中的节点证书，分析证书包含的公钥信息和证书指纹，生成该群组启动时的群组序列号。后续节点生成群组创世区块时，会将群组序列号信息放入群组创世区块中。同时，第一机构生成划分群组时所需的群组容量与群组内节点的网络连接地址等配置文件。各机构生成群组配置文件后，将群组配置文件发送至属于该群组的机构内节点中，将群组配置文件导入节点安装包后，重启节点。这样，属于该群组的机构内节点根据群组配置文件进行重启后，会具有群组属性。

与联盟链初始化时类似，所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启之后，还包括：

也就是说，第一机构内节点只有收集到群组内足够数量的其他节点的心跳请求才会进行共识，即创建群组创世区块。这样，保证了群组划分的成功率。

进一步，本发明实施例中，节点还具有检测功能。具体为节点启动时，会生成对应的节点证书，节点配置项中包含节点IP、端口号、节点所属群组等信息，确保生成节点可用。

进一步，本发明实施例还设计有监控功能。可以配置相应的监控服务，如默认配置将监控结果上报至使用者微信。本发明实施例可以通过机构向机构内节点发起RPC(Remote Procedure Call，远程过程调用)请求，得到机构内节点运行时的相关参数，同时通过分析机构内节点运行时的log信息，对机构内节点进行监控，并将监控结果上报至用户配置的服务中。例如，默认配置监控服务，支持上报至微信、个人网址，支持专用服务设置，可上报至企业微信等。

此外，本发明实施例还提供一种联盟链的群组划分方法，用于无论利用任何方式初始化的联盟链中，进行对等的群组划分。本发明实施例中联盟链的群组划分方法包括以下步骤：

第一机构从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构。

所述第一机构根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息。

所述第一机构根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件。

所述第一机构将所述群组配置文件发送至所述属于所述群组的第一机构内节点。

所述属于所述群组的第一机构内节点根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求。

本发明实施例中，无论联盟链的初始化方式如何，对于节点的群组划分，每个属于群组的节点所属机构均根据群组内的所有证书生成群组配置文件，并配置至对应的节点安装包，从而维护了群组划分的对等性。同时，无需在机构间传输节点私钥，保证了私钥的安全性。

进一步地，所述第一机构根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件，包括：

具体实施过程中，第一机构分析第三证书中包含的公钥信息和证书指纹，生成群组序列号，后续群组的节点生成群组创世区块时，会将群组序列号信息放入群组创世区块中。同时，第一机构生成区块链启动所需的群组容量与群组内节点的网络连接地址等群组配置文件。这样，第一机构内节点需要向群组内其它节点发送心跳请求时，可以根据节点的群组网络连接地址，向群组内其它节点发送心跳请求。

为了更清楚地理解本发明，下面以具体实施例对上述流程进行详细描述，实施例一为联盟链的初始化过程，具体场景为，联盟链中包含节点11、节点12、……节点19共9个节点，属于机构1至机构4共4个机构，其中，节点11与节点15为机构1的机构内节点，节点11属于第一群组，节点15属于第二群组，具体实施例的步骤如图3所示，包括：

步骤301：机构1生成节点11的节点证书110和节点15的节点证书150。

步骤302：机构1将节点证书110和节点证书150进行广播，即向机构2、机构3、机构4发送节点11与节点15的节点证书，并接收机构2、机构3、机构4发送的节点证书。

步骤303：机构1对接收到的节点证书进行验证，若验证通过，则执行步骤304，否则执行步骤311。

步骤304：机构1根据节点证书110至节点证书190，生成联盟链的配置文件。

步骤305：机构1将配置文件发送至节点11与节点15，并将节点证书110与对应的私钥发送至节点11，将节点证书150与对应的私钥发送至节点15。

步骤306：节点11利用接收到的私钥对节点证书110进行验证，若验证通过，则执行步骤307，否则执行步骤311。

步骤307：节点11启动。

步骤308：节点11根据配置文件，向节点12至节点19发送第一心跳请求，并接收第二心跳请求。

步骤309：节点11判断接收到的第二心跳请求的数量，若大于阈值5，则执行步骤310，否则执行步骤309。

步骤310：节点11进行共识。

步骤311：联盟链初始化失败。

具体实施例二为联盟链的群组划分过程，仍沿用实施例一中的场景，具体实施例的步骤如图4所示，包括：

步骤401：机构1从节点证书110至节点证书190中确定，节点11至节点14为第一群组，节点15至节点19为第二群组。

步骤402：机构1根据节点证书110至节点证书140，生成第一群组的群组配置项，进一步生成第一群组的群组配置文件。

步骤403：机构1将第一群组的群组配置文件向节点11发送。

步骤404：节点11利用私钥对群组配置文件进行验证，若验证通过，则执行步骤405，否则执行步骤401。

步骤405：节点11根据第一群组的群组配置文件进行重启。

步骤406：节点11向节点12、节点13和节点14发送第三心跳请求，并接收第四心跳请求。

步骤407：节点11确定第四心跳请求的数量是否大于2，若是，则执行步骤408，否则执行步骤407。

步骤408：节点11进行共识。

本发明实施例还提供了一种区块链的构建装置，如图5所示，包括：

生成单元501，用于生成第一机构内节点的第一证书；所述第一机构内节点为第一机构所属节点中的任一节点，所述第一机构为所述联盟链中的任一机构；

机构收发单元502，用于将所述第一证书向第二机构广播，并接收第二机构内节点的第二证书，所述第二机构为所述联盟链中除所述第一机构外的机构；

配置单元503，用于验证所述第二证书，并在验证通过后，根据所述第一证书以及所述第二证书生成联盟链的配置文件；

所述机构收发单元502，还用于将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点，以使所述第一机构内节点启动。

进一步，还包括：

启动单元504，用于利用所述第一私钥对所述第一证书进行验证，验证通过后启动；

节点收发单元505，用于根据所述配置文件向所述第二机构内节点发送第一心跳请求，并接收所述第二机构内节点的第二心跳请求；

共识单元506，用于确定接收到的所述第二心跳请求的数量大于第一阈值后，生成所述联盟链的创世区块。

进一步，还包括确定单元507，用于从所述第一证书以及所述N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

所述配置单元503，还用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述配置单元503，还用于根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件；

所述机构收发单元502，还用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点；

所述启动单元504，还用于根据所述群组配置文件进行重启，以使所述第一机构内节点具有群组属性。

进一步，所述节点收发单元505，还用于根据所述群组配置文件，向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述共识单元506，还用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。

本发明实施例还提供一种区块链的群组划分装置，如图6所示，包括：

确定单元601，用于从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述确定单元所属的第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构；

生成单元602，用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述生成单元602，还用于根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件；

机构收发单元603，用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点，以使所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，从而所述第一机构内节点具有群组属性。

进一步，还包括：

节点收发单元604，用于根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

共识单元605，用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。

基于相同的原理，本发明还提供一种电子设备，如图7所示，包括：

包括处理器701、存储器702、收发机703、总线接口704，其中处理器701、存储器702与收发机703之间通过总线接口704连接；

所述处理器701，用于读取所述存储器702中的程序，执行下列方法：

基于相同的原理，本发明还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行图2至图4中任一所述的方法。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。

Claims

一种区块链的构建方法，其特征在于，包括：

第一机构生成第一机构内节点的第一证书；所述第一机构为联盟链中的任一机构，所述第一机构内节点为所述第一机构所属节点中的任一节点；

所述第一机构将所述第一证书向第二机构广播，并接收第二机构内节点的第二证书，所述第二机构为所述联盟链中除所述第一机构外的机构；

所述第一机构验证所述第二证书，并在验证通过后，根据所述第一证书以及所述第二证书生成所述联盟链的配置文件；

所述第一机构将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点，以使所述第一机构内节点启动。
如权利要求1所述的方法，其特征在于，所述第一机构将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点之后，还包括：

所述第一机构内节点利用所述第一私钥对所述第一证书进行验证，验证通过后所述第一机构内节点启动；

所述第一机构内节点启动后，还包括：

所述第一机构内节点根据所述配置文件向所述第二机构内节点发送第一心跳请求，并接收所述第二机构内节点的第二心跳请求；

所述第一机构内节点确定接收到的所述第二心跳请求的数量大于第一阈值后，生成所述联盟链的创世区块。
如权利要求2所述的方法，其特征在于，所述第一机构内节点确定接收到的所述第二心跳请求的数量大于阈值后，生成所述联盟链的创世区块之后，还包括：

所述第一机构从所述第一证书以及N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

所述第一机构根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述第一机构根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件；

所述第一机构将所述群组配置文件发送至所述属于所述群组的第一机构内节点；

所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，以使所述第一机构内节点具有群组属性。
如权利要求3所述的方法，其特征在于，所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启之后，还包括：

所述属于所述群组的第一机构内节点根据所述群组配置文件，向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述属于所述群组的第一机构内节点确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。
如权利要求2所述的方法，其特征在于，所述第一机构根据所述第一证书以及所述第二证书生成联盟链的配置文件，包括：

所述第一机构分析所述第一证书以及所述第二证书中包含的公钥信息和证书指纹，生成所述配置文件，所述配置文件中包含N个第二节点的网络连接地址；

所述第一机构内节点根据所述配置文件向N个第二节点发送第一心跳请求，包括：

所述第一机构内节点根据所述N个第二节点的网络连接地址，向所述N个第二节点发送所述第一心跳请求。
一种区块链的群组划分方法，其特征在于，包括：

第一机构从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构；

所述第一机构根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述第一机构根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件；

所述第一机构将所述群组配置文件发送至所述属于所述群组的第一机构内节点，以使所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，从而所述第一机构内节点具有群组属性。
如权利要求6所述的方法，其特征在于，所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启之后，还包括：

所述属于所述群组的第一机构内节点根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述属于所述群组的第一机构内节点确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。
如权利要求7所述的方法，其特征在于，所述第一机构根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件，包括：

所述第一机构分析所述第三证书中包含的公钥信息和证书指纹，根据所述群组配置项，生成所述群组配置文件，所述群组配置文件中包含所述群组的群组序列号，以及所述第三节点的网络连接地址；

所述属于所述群组的第一机构内节点根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，包括：

所述属于所述群组的第一机构内节点根据所述群组序列号以及所述第三节点的网络连接地址，向除所述第一机构内节点之外的第三节点发送所述第三心跳请求。
一种区块链的构建装置，其特征在于，包括：

生成单元，用于生成第一机构内节点的第一证书；所述第一机构内节点为第一机构所属节点中的任一节点，所述第一机构为所述联盟链中的任一机构；

机构收发单元，用于将所述第一证书向第二机构广播，并接收第二机构内节点的第二证书，所述第二机构为所述联盟链中除所述第一机构外的机构；

配置单元，用于验证所述第二证书，并在验证通过后，根据所述第一证书以及所述第二证书生成联盟链的配置文件；

所述机构收发单元，还用于将所述第一证书、所述第一机构内节点的第一私钥以及所述配置文件发送至所述第一机构内节点，以使所述第一机构内节点启动。
如权利要求9所述的装置，其特征在于，还包括：

启动单元，用于利用所述第一私钥对所述第一证书进行验证，验证通过后启动；

节点收发单元，用于根据所述配置文件向所述第二机构内节点发送第一心跳请求，并接收所述第二机构内节点的第二心跳请求；

共识单元，用于确定接收到的所述第二心跳请求的数量大于第一阈值后，生成所述联盟链的创世区块。
如权利要求10所述的装置，其特征在于，

还包括确定单元，用于从所述第一证书以及N个第二证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书，所述第一机构中包含属于所述群组的第一机构内节点；

所述配置单元，还用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述配置单元，还用于根据所述第三证书以及所述群组配置项，生成所述群组的群组配置文件；

所述机构收发单元，还用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点；

所述启动单元，还用于根据所述群组配置文件进行重启，以使所述第一机构内节点具有群组属性。
如权利要求11所述的装置，其特征在于，

所述节点收发单元，还用于根据所述群组配置文件，向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

所述共识单元，还用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。
一种区块链的群组划分装置，其特征在于，包括：

确定单元，用于从联盟链的所有证书中确定第三证书，所述第三证书为属于群组的第三节点对应的证书；所述确定单元所属的第一机构为所述联盟链中包含属于所述群组的第一机构内节点的任一机构；

生成单元，用于根据所述第三证书生成群组配置项，所述群组配置项用于指示所述第三节点的节点信息；

所述生成单元，还用于根据所述群组配置项以及所述第三证书，生成所述群组的群组配置文件；

机构收发单元，用于将所述群组配置文件发送至所述属于所述群组的第一机构内节点，以使所述属于所述群组的第一机构内节点根据所述群组配置文件进行重启，从而所述第一机构内节点具有群组属性。
如权利要求13所述的装置，其特征在于，还包括：

节点收发单元，用于根据所述群组配置文件向除所述第一机构内节点之外的第三节点发送第三心跳请求，并接收第四心跳请求；

共识单元，用于确定接收到的所述第四心跳请求的数量大于第二阈值后，生成所述群组的群组创世区块。
一种电子设备，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-5任一所述的方法。
一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1～5任一所述的方法。