System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种确保网络空间可信且安全的方法与系统技术方案_技高网

一种确保网络空间可信且安全的方法与系统技术方案

技术编号:43717160 阅读:7 留言:0更新日期:2024-12-20 12:47
本发明专利技术提供一种确保网络空间可信且安全的方法与系统,包括:步骤S1,基于多标识网络实现内嵌身份认证和包签名的多标识寻址;步骤S2,定义基于多标识网络的数字海关、数字护照以及数字签证;步骤S3,基于时间数据、数字签证密钥及哈希函数计算得到基于多标识网络的数字签证;步骤S4,根据数字签证的哈希值和跨国护照密钥,计算得到基于多标识网络的数字护照;步骤S5,通过多标识网络路由器实现数字海关,通过所述数字海关使用并维护出境表;步骤S6,通过所述数字海关使用入境表验证所述数字护照,并更新所述入境表。本发明专利技术能够有效地保障网络空间的可信和安全,区块链日志支持可溯,为保证网络空间的有序、法治及和平提供更好的基础。

【技术实现步骤摘要】

本专利技术涉及网络空间安全的,尤其涉及一种确保网络空间可信且安全的方法,并进一步涉及一种确保网络空间可信且安全的系统。


技术介绍

1、随着现代科学技术的发展,互联网已经成为当今社会发展不可缺失的一环,其作为信息的一种载体,已经渗透到包括政治、经济、文化、教育、医疗卫生等人类生活的各种领域。在互联网内容和需求高速发展的同时,现如今的网络需求逐渐表露出越来越多与最初ip设计模式不可调和的冲突。现有ip体系下,dns根区数据库单一机构管控和ip地址语义过载等问题极大程度上限制了互联网的发展,ip网络体系存在三个根本缺陷。

2、第一缺陷是中心化管理使得ip网络创始者可以垄断网络空间管理,形成网络霸权。整个域名系统包括根服务器dns、域名解析及地址分配服务由单一机构管理,全球网络通信实质上受单一机构监视及控制。故不可能在ip上构建可信安全有序法治和平的网络空间。

3、第二个缺陷是ip网络缺乏安全基因,数据包源地址可以造假、溯源困难、用户数据泄密,导致安全事故不断,数据隐私及数字资产保护困难、个体和实体数权沦陷。个人信息保护法将生物标识、特定身份、医疗健康、金融账户和行踪轨迹等信息列为敏感个人信息。中心化数据管理可能会造成个人隐私数据被滥用。

4、第三个缺陷是ip网络架构协议固化严重,演进升级难,时间长且成本高。例如,ipv4到ipv6的升级是一项耗时而昂贵的任务。ipv4在1983年成为arpanet上的科研用的标准协议,到1990年arpanet被关闭,标志着实验任务结束开始商业应用。ipv4不到8年时间取代其它竞争对手成为全球事实上的行业标准,1998年ietf开始提出ipv6的草稿版本,20年后2017年为正式版本,并且它与ipv4不兼容。实际上ipv6的dns系统与ipv4是相同的一套,只是增多了地址,其它没有本质改进。因此,全球主要国家都在研究后ip的未来网络,ip架构体系只是一个序曲,研发代替ip体系的新型网络体系势在必行。

5、需要说明的是,ip网络体系明显存在着网络空间的安全风险。ip网络设计之初是为了实现端对端传输,因此并未着重考虑安全问题。在tcp/ip网络体系之中,每一层均存在若干常见的恶意攻击方式。

6、在数据链路层,存在着arp毒化攻击及对于mac地址的泛洪攻击等等,其中arp欺骗攻击是利用以太网的通信机制来实现的,如果ip主机需要自动请求目标主机的mac,那么arp协议就必须被使用,攻击者可以利用冒充源主机的方式,来毒化受害者的arp关系映射表,以此来达到数据窃取等目的。而mac泛洪攻击则是利用灌满受害者主机的mac表,造成交换机mac地址表溢出,从而使得进入交换机的数据包被广播到每一个端口,而入侵者可以从交换机任何端口上成功监听交换机的所有数据。

7、在网络层,则存在着smurf泛洪攻击、ip欺骗攻击、icmp路由欺骗攻击等。其中smurf泛洪攻击通常与ip欺骗攻击组合出现,smurf攻击通过使用将回复地址设置成受害网络的广播地址的icmp应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此icmp应答请求做出答复,导致网络阻塞。更加复杂的smurf将源地址改为第三方的受害者,最终导致第三方崩溃。这些攻击的本质在于ip体系下缺少签名及认证机制。

8、在传输层,攻击者通常可以使用端口扫描和udp泛洪攻击等网络攻击的手段。其中端口扫描的原理是当一个主机向远端一个服务器的某一个端口提出建立一个连接的请求,如果对方有此项服务,就会应答,如果对方未安装此项服务时,即使你向相应的端口发出请求,对方仍无应答,利用这个原理,如果对所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下远端服务器所给予的应答,通过查看记录就可以知道目标服务器上都安装了哪些服务。

9、在应用层,ip体系则出现了大量的网络攻击方式,诸如欺骗、越权、盗用身份和泛洪等攻击方式。

10、因此,明显的,要确保网络空间的可信和安全,保证网络空间的有序、法治以及和平,急需一个适应当前发展速度的网络体系、方法与系统。


技术实现思路

1、本专利技术所要解决的技术问题是需要提供一种确保网络空间可信且安全的方法,旨在通过基于多标识网络的身份认证、多标识寻址、数字海关、数字护照以及数字签证等来保障网络空间的可信且安全,为保证网络空间的有序、法治以及和平提供更好的基础,以提供能够适应当前发展速度的网络体系、方法与系统。

2、对此,本专利技术提供一种确保网络空间可信且安全的方法,包括以下步骤:

3、步骤s1,基于多标识网络实现内嵌身份认证和包签名的多标识寻址,用户在注册完成后,先对发布的每个数据包以自己的私钥进行签名,写入多标识网络包的签名区,中间路由器定期维护从多标识管理系统得到的用户信息表,在收到报文后从中提取对应用户的签名信息,然后通过从多标识管理系统中获得的公钥信息,对收到的多标识网络包进行身份认证;并在身份认证通过后,通过支持可变报文长度的报文格式进行对应的多标识寻址;

4、步骤s2,定义基于多标识网络的数字海关、数字护照以及数字签证;

5、步骤s3,对时间数据和数字签证密钥进行按位异或运算,通过哈希函数对按位异或运算后的数据进行单向映射,得到基于多标识网络的数字签证;

6、步骤s4,根据数字签证的哈希值和跨国护照密钥,计算得到基于多标识网络的数字护照;

7、步骤s5,通过多标识网络路由器实现数字海关,通过所述数字海关使用并维护出境表;

8、步骤s6,通过所述数字海关使用入境表验证所述数字护照,并更新所述入境表。

9、本专利技术的进一步改进在于,所述步骤s1包括以下子步骤:

10、步骤s101,多标识网络客户端为用户在本地生成公钥和私钥,然后将公钥和用私钥签名的身份信息提交给多标识管理系统中的任意节点;当节点接收到请求时进行验证,在验证成功后由多标识管理系统联盟链的记账节点生成一个交易,并将其发送给所有区块链节点;区块链中的投票节点收到一个预区块时,将对是否允许这个预区块成为一个正式区块进行投票,领导节点收集投票结果进行计数并生成投票证明,对投票通过的预区块的区块信息进行存储,并从区块信息中提取用户注册信息存储在用户注册表中;

11、步骤s102,注册后的用户对发布的每个数据包以自己的私钥进行签名,采用sm2椭圆曲线算法将数字签名写入至多标识网络包的签名区,中间路由器定期维护从多标识管理系统得到的用户信息表,在收到报文后从中提取对应用户的签名信息,然后通过从多标识管理系统中获得的公钥信息,对收到的多标识网络包进行身份认证;

12、步骤s103,在身份认证通过后,通过支持可变报文长度的报文格式进行对应的多标识寻址;所述报文格式的数据包包含标识区、签名区、只读区和可变区共四个区域,所述标识区用于存放一个或多个标识,以区分不同网络分组;所述签名区用于存放一个或多个数字签名,每个数字签名由签名信息和本文档来自技高网...

【技术保护点】

1.一种确保网络空间可信且安全的方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的确保网络空间可信且安全的方法,其特征在于,所述步骤S1包括以下子步骤:

3.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,所述步骤S3包括以下子步骤:

4.根据权利要求3所述的确保网络空间可信且安全的方法,其特征在于,所述步骤S4中,通过公式Pass=SHA256(Visa xor CPK)计算得到基于多标识网络的数字护照Pass,其中,CPK指的是预先约定的256位的跨国护照密钥。

5.根据权利要求4所述的确保网络空间可信且安全的方法,其特征在于,所述步骤S5中,数字海关中存储有多个出境表,每一个出境表对应一个目标国家;当数字海关收到转发表所转发出境的多标识网络包时,首先检查多标识网络包所对应的目标国家,然后将多标识网络包分配给对应国家的出境表进行处理,处理过程包括以下子步骤:

6.根据权利要求4所述的确保网络空间可信且安全的方法,其特征在于,所述步骤S6中,在数字海关使用并维护一个入境表,当一个多标识网络包要进入网络边境时,所述数字海关通过所述入境表进行验证处理,验证处理的过程包括以下子步骤:

7.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,还包括基于加权中心度算法的拟态防御步骤,在拟态防御步骤中,先获取多标识网络中各设备的指标,所述指标包括点度中心性、接近中心性和中介中心性;在获取以上三项指标后,对各个指标分别进行排序以作为该指标的得分,然后对三项指标得分进行加和得到加和值sum,对加和值sum进行排序得到最后的中心度等级值Rank;对于存储服务器,赋予第一权值,其加和值sum除以3得到新的加和值sum';对于边界路由器,赋予第二权值,其加和值sum除以2得到新的加和值sum';对于转发服务器,赋予第三权值,其加和值sum不变;所述第一权值大于第二权值,所述第二权值大于第三权值。

8.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,还包括步骤S7,用于建立网络空间管理体系;在网络空间管理体系中进行AI检测管理,当网络空间受到干扰或攻击时,通过数据分析、深度学习、强化学习以及模型训练中的至少一项对网络流量、用户行为和系统日志进行监测分析,并存储至区块链日志记录中。

9.根据权利要求8所述的确保网络空间可信且安全的方法,其特征在于,在网络空间管理体系中,当查找不到干扰或攻击所对应的攻击方时,通过网络空间中的保险服务公司进行赔偿,或通过网络空间应急部门提供紧急援助和支持,所述网络空间应急部门包括网络空间中的国内应急部门和国际应急部门;所述保险服务公司和网络空间应急部门均基于多标识网络实现内嵌身份认证,并通过多标识寻址访问区块链日志记录。

10.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,还包括步骤S8,用于建立网络空间裁判体系;在网络空间裁判体系中,当涉及到数据资产、数据隐私或网络空间的纠纷和冲突时,根据区块链日志记录进行调查,将调查结果发送至对应的国内网络法庭或国际网络法庭;并将相关的判决记录公布在区块链网络空间之中。

11.一种确保网络空间可信且安全的系统,其特征在于,采用了如权利要求1至10任意一项所述的确保网络空间可信且安全的方法,并包括:

...

【技术特征摘要】

1.一种确保网络空间可信且安全的方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的确保网络空间可信且安全的方法,其特征在于,所述步骤s1包括以下子步骤:

3.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,所述步骤s3包括以下子步骤:

4.根据权利要求3所述的确保网络空间可信且安全的方法,其特征在于,所述步骤s4中,通过公式pass=sha256(visa xor cpk)计算得到基于多标识网络的数字护照pass,其中,cpk指的是预先约定的256位的跨国护照密钥。

5.根据权利要求4所述的确保网络空间可信且安全的方法,其特征在于,所述步骤s5中,数字海关中存储有多个出境表,每一个出境表对应一个目标国家;当数字海关收到转发表所转发出境的多标识网络包时,首先检查多标识网络包所对应的目标国家,然后将多标识网络包分配给对应国家的出境表进行处理,处理过程包括以下子步骤:

6.根据权利要求4所述的确保网络空间可信且安全的方法,其特征在于,所述步骤s6中,在数字海关使用并维护一个入境表,当一个多标识网络包要进入网络边境时,所述数字海关通过所述入境表进行验证处理,验证处理的过程包括以下子步骤:

7.根据权利要求1或2所述的确保网络空间可信且安全的方法,其特征在于,还包括基于加权中心度算法的拟态防御步骤,在拟态防御步骤中,先获取多标识网络中各设备的指标,所述指标包括点度中心性、接近中心性和中介中心性;在获取以上三项指标后,对各个指标分别进行排序以作为该指标的得分,然后对三项指标得分进行加和得到加和值sum,对加和值sum进行排序得到最后的中...

【专利技术属性】
技术研发人员:李挥吕嘉庆肖卓靓王滨梁原韶郭展乐易旺杨傲罗志雄兰盛蒋傅礼马化军李武扬裴欣源刘傲凡
申请(专利权)人:北京大学深圳研究生院
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1