[发明专利]一种基于区块链的跨域协同溯源系统及方法

说明书

本发明公开了一种基于区块链的跨域协同溯源系统及方法，涉及网络安全技术领域。本发明引入了区块链技术，通过区块链的优势为溯源系统中各自治域的合作提供了信任基础，将溯源过程中产生的事务通过区块链中的超级节点进行打包和验证并广播至所有节点，由此使得数据信息能够公开、透明地存储在所有节点上，解决了由于竞争而产生的信任问题，使得各个自治域之间能够协同可信，极大地提高了协同溯源的效率。同时设计了一种特殊标签来阻断数据流的聚合，通过将基于标签的高精度溯源策略和区块链融合，提高了溯源效率和溯源精度。同时针对不同的数据类型引入了不同的密码学技术，而非全部使用同一种手段，以此可以灵活、有效地保障数据的隐私安全。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于区块链的跨域协同溯源系统及方法。

背景技术

互联网运行的无状态性，导致了互联网用户网络安全的巨大隐患，并且由于攻击者往往采用虚假IP地址来隐藏自己的真实身份，所以防御攻击和追踪网络犯罪变得十分困难。IP溯源作为一种依附于现有网络架构的网络数据来源识别以及传输路径重构的技术，可以有效解决这类问题。

IP溯源无论是面向网络攻击还是面向网络管理，都需要大量的自治域(Autonomous System，AS)或者多个因特网服务提供商(Internet Service Provider，ISP)参与其中，协同完成IP溯源。由于ISP具有自主性，表现为ISP的逐利性(ISP希望参与协同能够获取可观的收入)、信息机密性(为了保护内部网路安全，ISP拒绝公开下属自治域的管理信息)和经济性(为了节约成本，ISP不会轻易对网络设备进行升级)等，这些因素严重影响了它的协同意愿，无法解决自治域之间的信任问题导致自治域不愿协同。因此，必须采用一些手段使得在不可信的环境下，各个自治域依然可以协同合作。另外，当互联网中存在虚假IP地址时，特别是在网络攻击场景下，粗粒度的数据流会出现数据包聚合现象，该现象是指带有虚假IP地址的数据包与带有真实IP地址的数据包被认为同属于一条数据流。这种数据流的聚合现象会使得数据流中的标签覆盖进而导致溯源误报，降低溯源精度。最后，由于现有的IP溯源系统是一种面向全网的开放式系统，满足增量部署性，支持用户的随机加入和退出，在这种环境下，不可避免地存在恶意用户窥探隐私信息并以此获利，存在隐私泄露风险。

发明内容

针对现有技术存在的不足，本发明提供了一种基于区块链的跨域协同溯源系统及方法。

本发明的技术方案为：

一种基于区块链的跨域协同溯源系统，该系统包括由下到上的数据采集层、溯源服务层和溯源协同层；

所述数据采集层，由加入系统的各自治域构成，用于对加入系统的每一自治域AS内的数据流以及数据流携带的标签进行采集，数据流依次经过各自治域时，每一自治域均用其生成的标签覆盖数据流当前携带的标签，对数据流携带的标签进行更新，同时每一自治域将经过的数据流携带的标签的更新信息实时添加到标签交换表LCT中，并将采集的数据流样本实时上传至溯源服务层中用于控制该自治域AS的自治域控制中心中；所述数据流携带的标签，是一串字符，由数据流途径的自治域生成，包括普通标签和特殊标签，其中首次经过自治域的数据流和再次经过自治域且携带的标签与LCT中的记录相同的数据流将被分配普通标签，而再次经过自治域但携带的标签与LCT中的记录不相同的数据流将被分配特殊标签，以标记该数据流为聚合流，更新前的标签命名为入标签，更新后的标签命名为出标签；所述普通标签在溯源协同层的区块链网络中公布，用以确定自治域身份；所述特殊标签由所述普通标签与特殊字段组合而成；

所述溯源服务层，由与加入该溯源系统的自治域一一对应的自治域控制中心构成，用于存储数据流样本以及响应溯源协同层的溯源请求；所述自治域控制中心，是用于控制自治域的具有数据存储、数据处理能力的设备；