一种基于区块链的通用性IP溯源系统及方法与流程

技术特征：
1.一种基于区块链的通用性ip溯源系统，其特征在于：所述系统分为四层，由下到上分别是：数据采集层、溯源服务层、溯源监督层、溯源协调层；所述数据收集层由溯源自治域构成，负责持续性地数据流采集，并及时上传至域内控制中心长期存储；溯源服务层由自治域控制中心构成，负责数据流样本的存储以及响应溯源协调层的溯源请求；溯源监督层是一个以控制中心为区块链节点的区块链网络，负责监控溯源系统服务过程；溯源协调层是访问系统的中心点，不存储任何回溯数据，作为服务中心，对外响应用户请求，对内根据需求协调自治域响应服务。2.根据权利要求1所述的一种基于区块链的通用性ip溯源系统，其特征在于：所述溯源监督层包括：数据模块、共识模块、验证模块；所述数据模块为“服务消息”的事务数据结构来表示溯源服务操作，保留历史溯源服务操作，以merkle散列树mht的形式存储在区块链中；所述共识模块为一个分布式的基于权益证明的共识机制来分散信任，在区块链节点之间建立了激励机制；所述验证模块在记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区块进行验证。3.根据权利要求2所述的一种基于区块链的通用性ip溯源系统，其特征在于：所述数据模块定义一种服务消息的新的事务数据格式，用于表示自治域控制中心响应溯源服务中心请求的具体操作；服务消息中的所有字段如下：签名算法id、签名值、服务请求者名：标识请求溯源服务的用户信息；响应者名：响应溯源服务的自治域；操作类型：服务类型，比如溯源；时间戳：溯源服务发生的时间；事务标识：当前整个事务的哈希；溯源数据哈希：用于检测溯源数据的完整性；某一时间段内的事务由“记账者”负责处理打包成区块，然后发布，经过验证后上链；区块是区块链结构中的基本数据单位，区块首尾相连组成区块链；区块的数据结构如下：区块高度：标识区块序号，描述区块在区块链中的位置；区块标识：通常指区块哈希，区块在区块链中的唯一标识；前一区块标识：通常指前一区块的区块哈希，区块在区块链中的唯一标识；默克尔树根：由本区块里相关的信息通过树状结构算法汇总生成的摘要值；区块时间戳；表示本区块的生成时间刻度(正整数)，从1970年起的时间计数，精度为毫秒数，正序增加；事务列表：区块中的事务列表，每个事务通常表示一个业务操作。4.根据权利要求2所述的一种基于区块链的通用性ip溯源系统，其特征在于：所述共识模块在dpos共识协议基础上，自治域对应“持币人”的角色，在选举超级节点时可以免去投票环节，由isp从自己的自治域中选取；isp选取的超级节点数量与isp管辖的溯源自治域数量成比例；所述超级节点的权利相等，按照既定时间表轮流产生区块；所有的超级节点成功发布区块将收到额外的报酬，若被发现存在不良行为，则会被剥夺代理资格；每个自治域控制中心将作为一个区块链节点，每个区块链节点有一对公钥、私钥做为登陆区块链网络的账户；自治域按照所属isp分组，每组选出若干节点作为超级节点，剩余节点为跟随节点；所述超级节点作为isp的代理节点代替跟随节点执行记账和验证功能。
5.根据权利要求2所述的一种基于区块链的通用性ip溯源系统，其特征在于：所述验证模块的中的记账节点和验证节点都会收到大量的事务信息，记账节点发布新的区块时，验证节点利用本身存储的事务信息对新区块进行验证；具体为：利用已有事务信息检验事务列表中的事务信息是否被篡改，若确定存在数据篡改行为，则对相关打包节点进行惩罚，包括剥夺代理资格；被剥夺代理资格as永远丧失记账资格，该as所属isp的超级节点名额永久减一；针对某次服务，根据用户签名扫描区块链获取完整的相关事务信息，还原服务过程；记账节点和验证节点在验证通过后，要将以上链的事务信息从事务池中剔除，为下次记账和验证做准备。6.根据权利要求1所述的一种基于区块链的通用性ip溯源方法，其特征在于：该方法包括两个阶段：追踪痕迹建立阶段和攻击路径重构阶段；所述追踪痕迹建立阶段的参与者是数据收集层和溯源服务层；数据收集层采集域内的数据流，将数据样本实时上传至溯源服务层存储；自治域边界出口路由器将asn自治域号作为标记写入数据流以建立追踪痕迹；所述溯源服务层在该阶段维护数据流样本数据库；所述攻击路径重构阶段的主要参与者有溯源服务层、溯源监督层和溯源协调层；受害者访问溯源协调层请求溯源服务；溯源协调层从受害者提供的攻击包中提取溯源所需信息，即流id和标记，同时向所有溯源自治域发送包含流id的溯源请求；溯源请求分别到达位于溯源服务层中的各自治域控制中心，自治域控制中心通过检索数据流样本数据库将所有与流id匹配的包含标记信息的数据流样本作为溯源响应消息发送至溯源协调中心；若检索失败，则发送空溯源响应信息，表示数据流不曾出现在本自治域；自治域控制中心要在区块链网络中发送本次服务的“服务信息”；溯源协调层收到所有的响应信息后以标记为线索重构攻击路径。7.根据权利要求1所述的一种基于区块链的通用性ip溯源系统，其特征在于：该系统还适用于基于数据包的溯源方法。

技术总结
本发明属于网络安全领域，具体涉及一种基于区块链的通用性IP溯源系统及方法。该系统分为数据采集层、溯源服务层、溯源监督层、溯源协调层，借鉴区块链中现收现付的商业模式，提供一种可信的面向服务的通用性IP溯源系统，以推进溯源系统的大规模部署；溯源监督层包括数据模块、共识模块、验证模块；数据模块简化了区块数据、共识模块提高区块链工作效率和性能并且降低部署成本，验证模块防止恶意节点对事务信息进行篡改，保证数据完整性；所述溯源方法包括追踪痕迹建立阶段和攻击路径重构阶段；其中采用并发回溯机制，提高了溯源效率；该系统还适用于基于数据包的溯源方法，兼容当前绝大多数IP溯源方法，具有通用性。具有通用性。具有通用性。


技术研发人员：鲁宁 韩旭军 史闻博 常远 张永欣 王庆豪
受保护的技术使用者：东北大学秦皇岛分校
技术研发日：2020.08.21
技术公布日：2022/2/23