本发明专利技术属于网络安全领域,具体涉及一种基于区块链的通用性IP溯源系统及方法。该系统分为数据采集层、溯源服务层、溯源监督层、溯源协调层,借鉴区块链中现收现付的商业模式,提供一种可信的面向服务的通用性IP溯源系统,以推进溯源系统的大规模部署;溯源监督层包括数据模块、共识模块、验证模块;数据模块简化了区块数据、共识模块提高区块链工作效率和性能并且降低部署成本,验证模块防止恶意节点对事务信息进行篡改,保证数据完整性;所述溯源方法包括追踪痕迹建立阶段和攻击路径重构阶段;其中采用并发回溯机制,提高了溯源效率;该系统还适用于基于数据包的溯源方法,兼容当前绝大多数IP溯源方法,具有通用性。具有通用性。具有通用性。
【技术实现步骤摘要】
一种基于区块链的通用性IP溯源系统及方法
[0001]本专利技术涉及网络安全领域,特别涉及一种基于区块链架构的通用性IP溯源系统及方法。
技术介绍
[0002]如今互联网已经成为人类生活的一部分,然而互联网在便利生活的同时也带了一些危机。网络中充斥各种IP匿名攻击,比如D(D)oS攻击,勒索软件攻击。此类网络攻击产生的根本原因是互联网的无状态运行。同时,由于互联网的无状态性质以及攻击者可以任意地伪造IP报头中唯一表示其身份的源地址字段,使得追踪网络犯罪来源变得极为困难。因此,若要根本性地杜绝此类攻击,必须在网络中建立跟踪机制,收集数据包经过的路径信息从而改变网络的无状态性质以定位攻击源。
[0003]Long Cheng等人在文章《FACT:A Framework for Authentication in Cloud-Based IP Traceback》中提出了一种基于云服务器的IP溯源架构。该架构分为三层,由上到下分别为溯源协调层,自治域级溯源服务层以及基础网络层。启用溯源功能的路由器负责收集流量信息并上传至由溯源服务器管理的云存储设备中;用户访问溯源系统的入口,只负责查询而不存储任何溯源数据;通过引入云服务器,将原本由路由器负责的数据存储、路径回溯功能迁移至云设备中,在上述架构下,现有技术提出了一种基于数据流的IP溯源方法。在该溯源方法中,边界路由器在从一个自治域(Autonomous System,简称AS)到另一个自治域的流中标记其身份(例如,全局唯一的自治域号)。通过这种方式,方便地维护了溯源AS之间的逻辑链接。因此,在追溯过程中,下游的AS将能够知道在此次溯源中应该被回溯的下一个AS。基于云的回溯中,回溯过程从一个用户向溯源协调器发送查询开始。假设用户启动了一个回溯请求,该请求由5元组流ID(srcIP、dstIP、srcPort、dstPort、协议)和估计的攻击时间组成。溯源协调器将第一次接触与溯源服务器在同一个域的受害者,负责这个溯源请求的身份验证。在验证时,本次溯源服务回溯数据流的上游溯源自治域信息将会被返回。在下一步中,溯源协调器向上游的溯源服务器发送一个查询。上游溯源服务器返回数据流中的标记信息,该标记指向了本次溯源的下一跳溯源自治域。溯源协调器将终止递归查询过程,直到一个溯源服务器将自己标识为在攻击路径上的第一个溯源自治域。显然,这种逐跳查询的方法通过避免洪泛式回溯查询实现了高效的回溯处理。
[0004]但这种基于云服务器的IP溯源架构虽然解决了传统溯源方法中路由设备资源有限这一束缚,但是没有考虑自治域之间的竞争关系,依然无法有效地促进溯源系统的实际部署。此外,现有技术提出的溯源方法采用逐跳查询的机制避免了洪泛式回溯查询实现了高效的回溯处理,但是这种溯源机制仍然存在提高效率的空间。导致的原因主要在于:网络的组成结构决定了要想在全网范围内实现IP溯源,不可避免地会有多个自治域(AS)参与其中,并且需要自治域之间的合作。然而,作为独立的经济或政治实体,自治域间由于存在利益竞争相互之间并不信任。在这种无信任环境下,若想促进域间合作、推进溯源系统的实际部署、扩大溯源系统部署规模,溯源系统必须成为一个公平公正、平等自愿、协商一致、诚实
守信的合作平台。然而,上述基于云服务器的IP溯源架构并没有充分考虑自治域间的商业关系,默认自治域间的友好合作关系,这种假设显然不现实,不利于溯源系统的实际部署。在溯源机制方面,现有技术采用了“串行”的访问机制,与“并发”的访问机制相比,仍然存在不足。
技术实现思路
[0005]为了推进溯源系统的大规模部署,本专利技术借鉴现收现付的商业模式,提出一种基于区块链的通用性IP溯源系统及方法,基于云服务器的IP溯源系统中加入区块链模块,利用其去中心化、不可篡改等优势,在增强系统鲁棒性的同时将系统服务过程透明化,消除各自治域之间的不信任,以此将IP溯源系统打造成为可信的溯源合作平台,通过保障自治域的商业利益推动溯源系统的实际部署;此外,本专利技术的溯源系统中提出一种“并发”式回溯机制,进一步提高了溯源效率。
[0006]本专利技术所述溯源系统分为四层,由下到上分别是:数据采集层、溯源服务层、溯源监督层、溯源协调层。所述数据收集层由溯源自治域构成,负责持续性地数据流采集,并及时上传至域内控制中心长期存储;溯源服务层由自治域控制中心构成,负责数据流样本的存储以及响应溯源协调层的溯源请求;溯源监督层是一个以控制中心为区块链节点的区块链网络,负责监控溯源系统服务过程;溯源协调层是访问系统的中心点,不存储任何回溯数据,作为服务中心,对外响应用户请求,对内根据需求协调自治域响应服务。
[0007]进一步的,所述溯源监督层包括:数据模块、共识模块、验证模块。所述数据模块为“服务消息”的事务数据结构来表示溯源服务操作,保留历史溯源服务操作,以Merkle散列树MHT的形式存储在区块链中;所述共识模块为一个分布式的基于权益证明的共识机制来分散信任,在区块链节点之间建立了激励机制;所述验证模块在记账节点发布新的区块时,验证节点利用本身存储的事务信息对新区快进行验证。
[0008]进一步的,所述数据模块定义一种称为服务消息的新的事务数据格式,用于表示自治域控制中心响应溯源服务中心请求的具体操作;服务消息中的所有字段如下:
[0009]签名算法ID、签名值、服务请求者名:标识请求溯源服务的用户信息;
[0010]响应者名:响应溯源服务的自治域;
[0011]操作类型:服务类型,比如溯源;
[0012]时间戳:溯源服务发生的时间;
[0013]事务标识:当前整个事务的哈希;
[0014]溯源数据哈希:用于检测溯源数据的完整性;
[0015]某一时间段内的事务由“记账者”负责处理打包成区块,然后发布,经过验证后上链。区块是区块链结构中的基本数据单位,区块首尾相连组成区块链;区块的数据结构如下:
[0016]区块高度:标识区块序号,描述区块在区块链中的位置;
[0017]区块标识:通常指区块哈希,区块在区块链中的唯一标识;
[0018]前一区块标识:通常指前一区块的区块哈希,区块在区块链中的唯一标识;
[0019]默克尔树根:由本区块里相关的信息通过树状结构算法汇总生成的摘要值;
[0020]区块时间戳;表示本区块的生成时间刻度(正整数),从1970年起的时间计数,精度
为毫秒数,正序增加;
[0021]事务列表:区块中的事务列表,每个事务通常表示一个业务操作;
[0022]进一步的,所述共识模块在DPOS共识协议基础上,自治域对应“持币人”的角色,在选举超级节点时可以免去投票环节,由ISP从自己的自治域中选取;ISP选取的超级节点数量与ISP管辖的溯源自治域数量成比例;所述超级节点的权利相等,按照既定时间表轮流产生区块。所有的超级节点成功发布区块将收到额外的报酬,若被发现存在不良行为,则会被剥夺代理资格。每个自治域控制中心将作为一个区块链节点,每个区块链节点有一对公钥、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的通用性IP溯源系统,其特征在于:所述系统分为四层,由下到上分别是:数据采集层、溯源服务层、溯源监督层、溯源协调层;所述数据收集层由溯源自治域构成,负责持续性地数据流采集,并及时上传至域内控制中心长期存储;溯源服务层由自治域控制中心构成,负责数据流样本的存储以及响应溯源协调层的溯源请求;溯源监督层是一个以控制中心为区块链节点的区块链网络,负责监控溯源系统服务过程;溯源协调层是访问系统的中心点,不存储任何回溯数据,作为服务中心,对外响应用户请求,对内根据需求协调自治域响应服务。2.根据权利要求1所述的一种基于区块链的通用性IP溯源系统,其特征在于:所述溯源监督层包括:数据模块、共识模块、验证模块;所述数据模块为“服务消息”的事务数据结构来表示溯源服务操作,保留历史溯源服务操作,以Merkle散列树MHT的形式存储在区块链中;所述共识模块为一个分布式的基于权益证明的共识机制来分散信任,在区块链节点之间建立了激励机制;所述验证模块在记账节点发布新的区块时,验证节点利用本身存储的事务信息对新区块进行验证。3.根据权利要求2所述的一种基于区块链的通用性IP溯源系统,其特征在于:所述数据模块定义一种服务消息的新的事务数据格式,用于表示自治域控制中心响应溯源服务中心请求的具体操作;服务消息中的所有字段如下:签名算法ID、签名值、服务请求者名:标识请求溯源服务的用户信息;响应者名:响应溯源服务的自治域;操作类型:服务类型,比如溯源;时间戳:溯源服务发生的时间;事务标识:当前整个事务的哈希;溯源数据哈希:用于检测溯源数据的完整性;某一时间段内的事务由“记账者”负责处理打包成区块,然后发布,经过验证后上链;区块是区块链结构中的基本数据单位,区块首尾相连组成区块链;区块的数据结构如下:区块高度:标识区块序号,描述区块在区块链中的位置;区块标识:通常指区块哈希,区块在区块链中的唯一标识;前一区块标识:通常指前一区块的区块哈希,区块在区块链中的唯一标识;默克尔树根:由本区块里相关的信息通过树状结构算法汇总生成的摘要值;区块时间戳;表示本区块的生成时间刻度(正整数),从1970年起的时间计数,精度为毫秒数,正序增加;事务列表:区块中的事务列表,每个事务通常表示一个业务操作。4.根据权利要求2所述的一种基于区块链的通用性IP溯源系统,其特征在于:所述共识模块在DPOS共识协议基础上,自治域对应“持币人”的角色,在选举超级节点时可以免去投票环节,由ISP从自己...
【专利技术属性】
技术研发人员:鲁宁,韩旭军,史闻博,常远,张永欣,王庆豪,
申请(专利权)人:东北大学秦皇岛分校,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。