一种基于区块链的跨域协同溯源系统及方法与流程

技术特征：
1.一种基于区块链的跨域协同溯源系统，其特征在于，该系统包括包括由下到上的数据采集层、溯源服务层和溯源协同层；所述数据采集层，由加入系统的各自治域构成，用于对加入系统的每一自治域as内的数据流以及数据流携带的标签进行采集，数据流依次经过各自治域时，每一自治域均用其生成的标签覆盖数据流当前携带的标签，对数据流携带的标签进行更新，同时每一自治域将经过的数据流携带的标签的更新信息实时添加到标签交换表lct中，并将采集的数据流样本实时上传至溯源服务层中用于控制该自治域as的自治域控制中心中；所述数据流携带的标签，是一串字符，由数据流途径的自治域生成，包括普通标签和特殊标签，其中首次经过自治域的数据流和再次经过自治域且携带的标签与lct中的记录相同的数据流将被分配普通标签，而再次经过自治域但携带的标签与lct中的记录不相同的数据流将被分配特殊标签，以标记该数据流为聚合流，更新前的标签命名为入标签，更新后的标签命名为出标签；所述普通标签在溯源协同层的区块链网络中公布，用以确定自治域身份；所述特殊标签由所述普通标签与特殊字段组合而成；所述溯源服务层，由与加入该溯源系统的自治域一一对应的自治域控制中心构成，用于存储数据流样本以及响应溯源协同层的溯源请求；所述自治域控制中心，是用于控制自治域的具有数据存储、数据处理能力的设备；所述溯源协同层，是以自治域控制中心为节点的区块链网络，用于实现自治域间的协同溯源；各自治域控制中心向所述区块链网络注册为全节点或者轻节点，其中注册为全节点的自治域控制中心控制的自治域命名为溯源自治域，且新注册的全节点加入所述区块链网络时需要发布地址声明事务、公钥声明事务、标签声明事务和费用声明事务，而新注册的轻节点加入区块链网络时需要发布地址声明事务、公钥声明事务和费用声明事务；以股权授权证明机制dpos作为区块链网络的共识协议，由参与溯源的每个isp分别根据其各自管辖的as数量成比例地指定其管辖范围内的若干as对应的自治域控制中心为所述区块链网络的超级节点；所述区块链网络中，构成区块的事务的格式包括：发起方地址：事务实际发起者的地址，作为该事务发起者的唯一标识；接收方地址：事务实际接收者的地址，作为事务操作主体的唯一标识；签名：事务发起者使用私钥对整个事务信息进行“加密”计算的结果；事务类型：定义事务操作的事件类型；事务内容：具体业务动作数据，根据不同事务类型有所不同；时间戳：当前事务生成的时间；事务标识：事务数据的唯一标识，通常为当前整个事务的哈希值；前驱事务标识：与当前事务有关的上一个事务的哈希值；所述区块链网络包括8种事务类型：地址声明事务，事务内容是声明事务发起者的地址；公钥声明事务，事务内容是声明事务发起者所持有的公钥；标签声明事务，事务内容是声明事务发起者的标签；费用声明事务，事务内容是声明事务发起者提供一次溯源服务所需的交易费用；请求事务，事务内容是事务发起者的溯源请求内容；确认事务，事务内容是事务发起者对事务接收者提出的溯源请求的回应；转账事务，事务内容是事务发起者对事务接收者转账的金额；响应事务，事务内容是事务发起者对事务接收者所发起事务的响应内容。2.利用权利要求1所述的基于区块链的跨域协同溯源系统的基于区块链的跨域协同溯源方法，其特征在于，该方法包括如下步骤：步骤01：每一溯源自治域为途径该溯源自治域的数据流分配标签覆盖该数据流当前携带的入标签；
步骤02：每一溯源自治域将经过的数据流的标签更新信息添加到该溯源自治域的标签转换表lct中；步骤03：受害者从攻击包中提取流id和标签，将二者的组合作为溯源请求提交给受害者所在自治域的自治域控制中心；步骤04：根据溯源请求，系统中的各自治域控制中心在区块链网络中协同溯源；步骤05：受害者所在自治域的自治域控制中心从区块链网络中获取所需的溯源结果，并将此溯源结果发送给受害者。3.利用权利要求2所述的基于区块链的跨域协同溯源系统的基于区块链的跨域协同溯源方法，其特征在于，所述自治域控制中心在区块链网络中协同溯源包括如下步骤：步骤041：若受害者所在自治域的自治域控制中心为区块链网络中的全节点，则执行步骤042，若受害者所在自治域的自治域控制中心为区块链网络中的轻节点，则转至步骤043；步骤042：收到溯源请求后，受害者所在自治域的自治域控制中心首先在本地进行一次溯源，该自治域控制中心依据攻击流的流id和攻击流携带的标签检索该自治域的lct获取其入标签，并用流id和入标签的组合更新溯源请求；步骤043：通过链上的标签声明事务和地址声明事务确定写入该溯源请求的标签的溯源自治域及其自治域控制中心在区块链网络中的地址，自治域控制中心将该溯源请求视作请求事务，对该请求事务数据进行加密后将其发布到区块链网络；步骤044：被确定为写入该溯源请求的标签的溯源自治域的自治域控制中心查询链上数据，获取指向自己的待处理请求事务后进行解密得到具体的交易内容；步骤045：接收请求事务的自治域控制中心发布其内容已经过加密的确认事务以回复该请求事务，所述确认事务的内容包括愿意响应该溯源请求和拒绝响应该溯源请求；步骤046：发送溯源请求的自治域控制中心通过检查链上数据获取确认事务并对该确认事务进行解密，如果确认事务的内容为拒绝响应该溯源请求，则整个溯源过程结束，如果确认事务的内容为愿意响应该溯源请求，则根据链上最新公布的的费用声明事务发布加密的转账事务以支付交易费，并将该转账事务发布到区块链网络中；步骤046：响应溯源请求的自治域控制中心对转账金额进行检查，若转账金额无误则转至步骤047，否则，则拒绝进行溯源服务；步骤047：当前响应溯源请求的自治域控制中心根据请求事务中的流id和标签查找其存储的lct获取入标签，若所获取的入标签为空，则该当前自治域即为攻击者，该自治域的自治域控制中心将获取的入标签信息加密后作为响应事务发布到区块链网络；若所获取的入标签不为空，该自治域的自治域控制中心用当前的流id和入标签的组合更新溯源请求，并转至步骤043。4.利用权利要求3所述的基于区块链的跨域协同溯源系统的基于区块链的跨域协同溯源方法，其特征在于，使用椭圆曲线密码算法对非转账事务的事务内容进行加密，方法为：首先选择一条fq域内的椭圆曲线以获取相关参数，包括：素数域f
q
内最大素数q＝2
255
‑
19；素数域f
q
内的一个素数d＝
‑
121665/121666；椭圆曲线函数e：
‑
x2 y2＝1 dx2y2；椭圆曲线上一个基点g＝(x，
‑
4/5)；椭圆曲线上一个基点p为任意值且不等于g；基点的素数阶l＝2
252
a，其中a＝27742417777372353535851937790883648493；密码学哈希函数hs，可实现{0，1}
*
→
f
q
；特定哈希函数p，可实现e(f
q
)
→
e(f
q
)；发送非转账事务的自治域控制中心node7将交
易中除接收地址以外的内容编码到椭圆曲线上的一点m，然后使用相应的自治域控制中心node3的公钥k以及自身生成的随机数r加密m，结果为二元组c＝{rp，m rk}；其中相应的自治域控制中心的公钥k对应的私钥为s，且满足k＝s*p。5.利用权利要求4所述的基于区块链的跨域协同溯源系统的基于区块链的跨域协同溯源方法，其特征在于，使用一次性地址技术对转账事务的事务内容进行加密，方法为：首先发布转账事务的自治域控制中心node7选择一个随机数r和相应的自治域控制中心node3的两个公钥a、b计算一个一次性公钥l＝h
s
(ra)g b；然后node7使用公钥l构造新的输出地址add
b
＝h(l)，向该地址转账，并将r＝rg放到该转账事务中；对于转账事务涉及的转账类交易的金额数据，采用基于模幂计算的一种承诺方式来保护数据安全：根据节点node3最新公布的费用声明，node7需要给node3转账的金额为m，则计算交易金额对应的承诺e＝g
x
(mod n)，将承诺e放到该转账事务中，其中，g和n是公开的，g为大于1的底数，n为两个大素数p、q的乘积。

技术总结
本发明公开了一种基于区块链的跨域协同溯源系统及方法，涉及网络安全技术领域。本发明引入了区块链技术，通过区块链的优势为溯源系统中各自治域的合作提供了信任基础，将溯源过程中产生的事务通过区块链中的超级节点进行打包和验证并广播至所有节点，由此使得数据信息能够公开、透明地存储在所有节点上，解决了由于竞争而产生的信任问题，使得各个自治域之间能够协同可信，极大地提高了协同溯源的效率。同时设计了一种特殊标签来阻断数据流的聚合，通过将基于标签的高精度溯源策略和区块链融合，提高了溯源效率和溯源精度。同时针对不同的数据类型引入了不同的密码学技术，而非全部使用同一种手段，以此可以灵活、有效地保障数据的隐私安全。数据的隐私安全。数据的隐私安全。


技术研发人员：孙道涵 鲁宁 史闻博 韩旭军 张建磊
受保护的技术使用者：东北大学秦皇岛分校
技术研发日：2021.07.21
技术公布日：2021/10/26