中移链节点动态管控介绍

最新推荐文章于 2024-04-29 15:49:25 发布
最新推荐文章于 2024-04-29 15:49:25 发布
阅读量1.4k 收藏
点赞数
文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BSN_yanxishe/article/details/131129913
版权

为对标业界领先区块链架构,满足复杂组织架构的客户对于数字藏品联盟链功能需求,拓宽数字藏品服务领域,同时通过对区块链相关功能多维深度评测,及时发现产品待优化和待提升的能力,来进一步提升数藏产品行业认可度和成熟度,需要进行面向行业领先架构的“可信区块链认证”联盟化改造,因此对照行业领先的区块链评测体系,按照信通院22年下半年第八批《可信区块链认证技术标准(T/TBI 03-2022 4.0-4.5)》进行建设。

其中节点准入管理部分,将构建安全组合约,基于合约层进一步控制节点接入和断开的管理。并基于证书实现节点准入,通过安全组合约管理接入节点,可以通过合约移除节点,禁止接入。

01

术语解释

CMEOS

基于第三代区块链技术EOS改造演进而成。由于EOS并不满足国内的政策监管要求,中国移动在EOS的框架基础上,对资源控制、资源计费模型、共识算法等方面进行了最深层、最核心的技术改造,并增加了准入控制,提出了自主可控的CMEOS框架。

节点

区块链是一个又一个区块组成的链条。每一个区块中保存了一定的信息,它们按照各自产生的时间顺序连接成链条。这个链条被保存在所有的服务器中,只要整个系统中有一台服务器可以工作,整条区块链就是安全的。这些服务器在区块链系统中被称为节点,它们为整个区块链系统提供存储空间和算力支持。如果要修改区块链中的信息,必须征得半数以上节点的同意并修改所有节点中的信息,而这些节点通常掌握在不同的主体手中,因此篡改区块链中的信息是一件极其困难的事。

02

节点安全现状解析

(一)CMEOS P2P节点连接方式

目前CMEOS通过net_plugin插件,通过p2p地址同步区块数据,其职能包括:

1.从对等的节点那里,同步区块数据;

2.发送交易给其他节点进行验证;

3.验证其他节点发送过来的交易;

4.如果自己生产的区块,要发送区块给其他节点;

5.验证其他节点发送过来的区块。

(二)目前的问题和解决方案

1、安全问题

目前,CMEOS节点P2P连接基于明文传输,有被拦截窃听风险,同时P2P接口容易泄漏,遭受网络攻击。任何知道P2P地址和chainID的CMEOS节点都可以加入已有的区块链网络中,存在安全问题。

2、解决方案

为了解决以上问题,节点准入管理通过颁发证书,构建节点间TLS连接,保证节点通讯安全和节点接入控制。同时构建安全组合约,支持管理员添加和删除节点信息,只有在合约表内批准的节点才允许加入P2P网络中,同时支持动态删除,已经批准添加并且已经练入链网络的节点,从安全组合约删除对应信息后,该节点将被踢出链网络,不再继续从链网络中同步区块信息。

03

改造核心设计

由管理员颁发证书,连接节点必须加载对应证书文件,才能被准入节点网络中,整个P2P连接将基于TLS连接。同时节点管理员部署安全组合约,CMEOS链在同步区块数据和节点加入之前会校验链上安全组合约内容,不在安全组合约内的节点将被拒绝同步数据。

在整个设计中,证书保证节点间P2P连接基于TLS安全连接通信,不做其他准入判断;安全组合约存储的是EOS格式的公钥,在节点启动时指定,CMEOS将在连接的时候进行判断,拒绝不在合约组内的节点加入。

本方案约定在整个系统中只能允许一个同证书、同公钥的节点加入链网路,在该节点加入网络后,其他具有同证书、同公钥的节点将被拒绝加入链网络。

(一)基于证书的节点准入

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份,因此数字证书又称为数字标识。SSL证书,也称为服务器SSL证书,将SSL证书安装在网站服务器上,可实现网站身份验证和数据加密传输双重功能。SSL协议及其继任者TLS协议,是一种实现网络通信加密的安全协议,可在客户端(浏览器)和服务器端(网站)之间建立一条加密通道,保证数据在传输过程中不被窃取或篡改。 中移链通过TLS证书认证,完成了节点的身份管控,确保只有携带正确证书的节点才能进行P2P接入。TLS握手是安全超文本传输协议(HTTPS)通信技术的一部分,本次改造后区块链节点正是使用HTTP和TLS证书进行安全的通信,整套通信流程如下:

中移链中节点的TLS握手包括以下步骤:

1.待接入节点会打开一个TLS认证并连接到链主节点。

2.主节点尝试通过请求可识别信息来验证接入节点的真实性。

3.待接入节点发送包含公钥的TLS证书作为回复。

4.主节点会验证TLS证书,确保其有效且与用户名匹配。主节点对TLS证书验证通过,会使用公钥加密并发送包含密钥的消息给接入节点。

5.待接入节点使用其私钥解密消息并检索会话密钥,然后使用会话密钥加密并向链主节点发送确认消息。

(二)安全组合约

添加安全组合约eosio.pub,通过该安全组合约方法add,将节点公钥添加到安全组公钥表publickey中。

1、加入节点

安全组合约内存在存放安全公钥信息的合约表publickey,只有在表内并且已经加载证书的节点可以加入到区块链网络中,基于TLS连接同步区块数据。

放置者(默认为eosio.placer)可以通过add方法将公钥添加到publickey表中,已经存在的公钥不允许重复添加。

2、不允许加入节点

未加入安全组合约的节点和加入安全组但是没有加载证书文件的节点都不允许加入到节点网络中。

放置者(默认为eosio.placer)可以通过delbypub方法将已经添加在安全组合约表的公钥从表中删除。还未连接的节点此后将无法与原生节点连接。

3、节点移除

加入安全组合约并且加载证书文件的节点可以加入链网络中,同步区块数据。想要移除某个节点,只需要在安全组合约表中将其节点信息删除,链网络则将该节点踢出链网络内,实现动态删除节点。

放置者(默认为eosio.placer)可以通过delbypub方法将已经添加在安全组合约表的公钥从表中删除。已经与原生节点连接中若有对应公钥的节点,将被踢出。

-END-

BSN研习社
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
案例 | 中移在线:云原生下的监控能力演进
weixin_53971298的博客
02-08 652
“后来血泪史才发现,原来以业务监控和客户体验才是我们最终的目标。” ——王漫雪, 技术经理,中移在线服务有限公司   本文整理自王漫雪在2020Zabbix中国峰会的演讲,ppt可在网盘获取: https://pan.baidu.com/s/193LSRNQGmBbqk9Doj4PEpg 密码:ypur   更多演讲视频可关注官方Bilibili账号主页(ID:Zabbix中国)。 一 背景-全国集中维护、全球最大 本次演讲分五个主题,背景、出路、转型、沉淀、蜕变。中移在线服务有限公司是中国移动旗下的专
Hadoop动态新增节点
02-23
Hadoop动态新增节点
中移系统合约管控功能介绍
BSN_yanxishe的博客
04-14 496
中移是在满足我国信息化监管需求、合规可控的前提下,打造的中国移动区块链服务平台。
中移结合CA证书实现节点准入控制
BSN_yanxishe的博客
02-24 400
中移结合CA证书实现节点准入控制。
中移杭研 | 面向互联网应用的实时业务风控系统
云布道师
11-30 1214
中移(杭州)信息技术有限公司(中国移动杭州研发中心)安全产品部,作为中国移动集团内部规模最大的安全研发团队,重点围绕物联网安全、网络安全、大数据安全、业务安全等新兴领域产品研发和企标制定...
hadoop动态增加和删除节点方法介绍
01-10
上一篇文章中我们介绍了Hadoop编程基于MR程序实现倒排索引示例的有关内容,这里我们看看如何在Hadoop中动态地增加和删除节点(DataNode)。 假设集群操作系统均为:CentOS 6.7 x64 Hadoop版本为:2.6.3 一、动态...
树的动态加载及节点维护
01-31
通过树实现动态加载以及实现添加节点、删除节点、修改节点文本已经通过拖动移动节点等功能。先创建树的表结构:插入以下数据:首先创建基本页面:代码中已包含了样式、ExtJS的脚本文件和语言包。其实bootstrap.js会...
JavaScript动态添加style节点的方法
10-24
主要介绍了JavaScript动态添加style节点的方法,涉及javascript节点操作的相关技巧,需要的朋友可以参考下
数字身份管理:Facebook如何利用区块链技术?
LokiSan的博客
04-26 853
区块链是一个分布式数据库,记录了所有参与者之间的交易信息。由于其去中心化、不可篡改和透明的特性,区块链技术为数字身份管理提供了一个理想的解决方案。它可以确保个人数据的安全性和隐私性,防止数据被篡改或滥用。总的来说,Facebook正在积极探索和应用区块链技术来改进其数字身份管理系统。通过去中心化身份验证、数据隐私与安全、用户控制与透明度等方面的创新,Facebook旨在提供一个更加安全、高效和用户友好的数字身份管理环境。
第二证券|股票做短线要关注什么?
CAKDJF的博客
04-23 414
短线投资者首先需要重视的是全体商场趋势,这能够通过各种股票技术剖析东西来判别,如移动平均线、RSI目标、KDJ目标、k线形态等。一般来说股票商场走势包含上升趋势、下降趋势和横盘整理状况,做短线需要剖析商场趋势以决定是进场交易仍是暂时观望。股票流动性凹凸可用成交量来剖析,成交量高的股票通常更便利短期易手买卖,流动性好能够防止价格波动大、买卖点差过大的状况。在挑选短线交易的股票时,投资者能够重视股票近期的成交量和换手率状况。比如职业竞争加剧、技术革新、需求改变等要素,都可能会对股价带来冲击。
走向大规模应用之前,DePIN 如何突破技术、数据与市场之网
TinTinCommunity的博客
04-26 671
在 DePIN 项目的生态系统中,激励机制的设计是关键因素,它可以引导贡献者的行为,促进基础设施网络的规模化和长期发展。在区块链技术与实体硬件结合的进程中,DePIN 项目面临着独特的技术架构设计和实施挑战。通过技术整合和创新,橘猫补充道,DePIN 项目的激励机制应围绕数据的真实价值和可用性设计。IoTeX 还在不断优化投资模式和策略,通过与多家机构合作,推动不同的加速器项目,并在全球范围内举办线下活动,最后,橘猫提出,为了确保 DePIN 项目的长期成功,必须保证数据的实际可用性和经济模型的可持续性。
影响外汇交易盈利的因素有哪些?
最新发布
rongzhicaijing的博客
04-29 327
外汇交易就是通过汇率的差价来赚取相应的利润。在外汇交易中,投资者是否可以盈利,主要取决于是否正确的判断了市场趋势和行情。投资者在交易过程中受到主观和客观的因素影响,具体包含这些内容。
黄金现货交易与其他投资方式的比较分析
Jintianjinye888的博客
04-26 486
然而,房地产投资可以提供租金收入和潜在的资本增值,这是黄金现货交易所不具备的。投资理财一直是大家感兴趣的话题,但是怎样分配和分散自己的投资,要先了解不同的投资方式,选择一种最适合自己的。然而,黄金并不总是一个完美的避险工具,因为在一些情况下,它可能与股市同步下跌。相比于黄金期货和黄金ETFs(交易所交易基金),黄金现货交易提供了即时的物理黄金交付,这使得投资者可以直接拥有实物黄金。黄金现货交易与债券市场相比,虽然债券通常被认为是稳定收益的投资,但它们的回报往往依赖于利率的变化。在多元化投资领域中,
Hotcoin Academy 市场洞察-2024年4月15日-21日
HotcoinGlobal的博客
04-24 657
BTC ETF在本周出现净流出,大盘有较大跌幅,BTC一度跌破60000美金,ETH一度跌破2800美金,整体以横盘为主,行情在周末有略微回升趋势。1. 多收益协议 Magpie 旗下提供流动性再质押服务的 SubDAO 组织 Eigenpie LST 提款将于 4 月 22 日上线,平台上的 LST 存款用户将能够取消其资产质押,同时保留其累积的积分。1.SPACE ID 代币 ID 于 4 月 22 日 8:00 解锁 1849 万枚代币,价值约 1529 万美元,占流通供应量的 4.29%。
开发区块链DApp应用,引领数字经济新潮流
Luckyy_D的博客
04-23 470
我们的DApp应用经过严格的安全审计和测试,确保其稳定运行,为用户提供安全可靠的数字化服务,树立信任和口碑。我们深知每个客户的需求都是独一无二的,因此我们提供个性化定制的服务,根据客户的需求和业务场景,量身打造最适合的DApp应用。我们与客户密切合作,深入了解其业务需求和目标,从而为其提供定制化的解决方案,帮助其实现数字化转型,并在竞争激烈的市场中脱颖而出。我们坚信区块链技术的发展将为人类社会带来巨大的变革和发展机遇,我们愿意与客户一起探索未来,共同创造更加繁荣、公正、可持续的数字经济生态。
模块化 DeFi L2 “Mode” 整合 Covalent Network(CQT),以获 Web3 最大数据集的支持
区块链蓝海
04-24 528
这一整合坚定地确立了 Covalent Network(CQT)在 Mode 扩展中的关键作用,其使得面向 DeFi 的模块化 Layer2 能充分利用 Covalent Network(CQT)在 Web3 中最大的结构化数据集,以优化系列操作、增强用户体验,并为一个强大的 DeFi 生态系统构建安全基础。通过使用 Optimism 的 OP Stack 堆栈与 OP Superchain 集成,实现了应用程序开发的流程优化,将 Mode 定位为一个专为特定目的构建的平台,其发展与网络的增长同步进行。
Solana未来的费用市场是什么样?
04-29 436
以太坊的受欢迎主要归功于其执行环境:以太坊虚拟机(EVM),它使智能合约成为可能。另一个因素是以太坊的无许可性质产生了多个周期的各种创新应用:2017-2018 年的 ICO 热潮、2020 年的 DeFi Summer 和 2021-2022 年的 NFT 狂热。这些应用的持续存在为验证者创造了价值,他们为这些活动提供区块空间。在以太坊上的经济活动激增后不久,矿工们(这是在转向 PoS 的几年前)开始探索如何利用他们作为区块提议者的地位,在出现套利机会时插入自己的交易。
智能合约语言(eDSL)—— wasmtime实现合约引擎补充
The future is already here it's just not evenly distributed。
04-24 609
就是我们定义上下文,这样用户在调用合约中的获取合约地址的接口,就会调用到wasmtime中linker中定义的get_owner,而get_owner中,又会从context中获取到context中的合约地址,返回将他作为返回值返回给用户,其实是写入内存中的,这样合约在运行的过程中,就可以获取到合约地址了。我们在创建wasmtime的时候,可以创建一个监控线程,如果wasmtime执行时间超过了我们设定的时间,就会停止wasmitme,然后返回错误。当我们再次使用的时候,需要调用如下函数解码,
在单表头节点前面插入节点
05-29
在单表头节点前面插入一个新节点,需要进行以下步骤: 1. 创建一个新节点,将需要插入的数据存储在新...需要注意的是,函数中的 `head` 参数为一个指向表头节点指针的引用,这样可以直接改变表头节点的指向。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值