基于区块链的去中心化的域间源地址验证服务系统和方法与流程

1.本技术涉及防止源地址伪造和区块链技术领域，尤其涉及一种基于区块链的去中心化的域间源地址验证服务系统和方法。


背景技术：

2.源ip伪造是一个严重的安全问题，一直是互联网面临的主要挑战之一。攻击者利用ip源地址伪造的危害主要体现在两个方面。一方面，攻击者通过伪造源地址隐藏自己的身份和位置，向网络中注入大量的数据包，直接淹没受害主机，从而达到拒绝服务攻击(dos)的目的。另一方面，攻击者伪造受害主机的ip地址，并将服务请求发送给无辜的主机，这些主机误认为是受害主机发送的请求，从而回复大量的响应包，淹没受害主机。迄今，攻击者利用伪造源地址的方式发动了大量的攻击。为了应对源地址伪造的问题，可以从三个层次进行源地址验证(sav)：接入网、域内和域间。接入网层源地址验证防止主机伪造同一子网中的其他主机，域内源地址验证限制其用户as向其他as发送伪造源地址的数据包。接入网和域内层次都能使整个互联网收益，但是对于部署者本身却没有收益。而域间源地址验证通过识别和过滤经过自身的伪造地址的数据包，可以保护部署者as免受源地址伪造的攻击。
3.网络基础设施所有权的高度分散使得域间源地址验证的实际部署非常困难。域间源地址验证的部署面临两个主要挑战。第一个挑战是缺乏部署激励。一些源地址验证技术是基于不同部署者之间的合作。然而，不同as付出的努力(过滤数据包)和得到的回报(部署收益)可能有所不同。一些部署者得到的好处较少，但付出的代价却比其他的多。例如，spm创建了一个安全联盟。所有的as都需要检查来自联盟外的数据包，并且信任来自联盟内as的数据包。因此，处于联盟边界的as自然要承担更多的检查数据包的开销，那么边界上的as就没有那么多动力去部署spm。
4.第二个挑战是as之间缺乏信任基础。现有的域间源地址验证技术通常在规范化和信任的前提下保证控制信息的真实性。当部署的节点数量较少时，同一联盟的as之间的信任基础是相对可靠的，源地址验证机制可以有效运行。然而，随着部署的as节点数量的增加，这种信任基础就不再可靠了。例如，当一个部署者as恶意宣布其他as的ip地址的所有权时，其他as发送的合法数据包将被错误地过滤掉。同样，一个as永远不知道同一联盟中的其他as是否遵守了源地址验证技术的规定或违背了承诺。所有上述情况都阻碍了域间源地址验证技术的广泛部署。


技术实现要素：

5.本技术旨在至少在一定程度上解决相关技术中的技术问题之一。
6.为此，本技术的第一个目的在于提出一种基于区块链的去中心化的域间源地址验证服务系统，解决了现有域间源地址验证方法缺乏部署激励以及as之间缺乏信任基础的问题，通过提供一个实用、去中心化的自治域间sav(source address validation，源地址验
证)服务框架dsav(decentralized source address validation，去中心化的源地址验证)，提高了部署的积极性。
7.本技术的第二个目的在于提出一种基于区块链的去中心化的域间源地址验证服务方法。
8.为达上述目的，本技术第一方面实施例提出了一种基于区块链的去中心化的域间源地址验证服务系统，包括服务订阅者、服务提供者、服务审计者，其中，服务订阅者，用于查找对应的服务提供者，并向对应的服务提供者按需请求指定的服务，并通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；服务提供者，用于获取当前区块链中各种请求服务的事务，并根据事务向对应的服务订阅者提供服务；服务审计者，用于在服务订阅者订阅服务后，发起相应的审计服务的请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计服务包括洪泛攻击场景下的审计和反射式攻击场景下的审计。
9.可选地，在本技术的一个实施例中，所有自治域均可在系统中注册成为服务订阅者、服务提供者、服务审计者。
10.可选地，在本技术的一个实施例中，服务订阅者，具体用于：
11.通过注册接口，注册自身身份以及提交自身ip地址前缀；
12.通过查询接口，查询当前区块链中能够提供的服务以及对应的服务提供者，或者获取服务提供者响应的结果；
13.通过订阅接口，向指定的服务提供者按需请求指定的服务；
14.在此过程中通过激励分配接口，向服务提供者和服务审计者分配激励。
15.可选地，在本技术的一个实施例中，服务提供者，具体用于：
16.通过注册接口，注册自身身份以及提交能够提供的各种服务；
17.通过查询接口，获取当前区块链中各种请求服务的事务；
18.通过响应接口，同意或者拒绝提供服务。
19.可选地，在本技术的一个实施例中，服务审计者，具体用于：
20.从区块链中提取订阅的服务列表以及对应的响应；
21.选择正在进行的服务进行审计，其中，正在进行的服务意味着提供商同意提供服务，且当前时间在服务有效时间内；
22.审计过程中确认服务无效后，向区块链提交审计结果，
23.其中，洪泛攻击场景下的审计，包括以下步骤：
24.伪造其他自治域的源地址向服务订阅者发送审计数据包，每个审计数据包包含服务审计者自身的身份证明；
25.将审计数据包通过服务提供者发送到服务订阅者；
26.若服务订阅者接收到审计数据包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
27.若服务订阅者未接收到审计数据包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务；
28.反射式攻击场景下的审计，包括以下步骤：
29.构建审计数据包，以服务订阅者的服务器的ip地址作为源地址，以自治域的ip地
址为目的地址，其中，构建的审计数据包的syn标志位设置为1；
30.将构建的审计数据包通过服务提供者发送到服务订阅者，其中，审计数据包中包含确认号和审计者的身份；
31.若服务订阅者收到特殊的未知响应包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
32.若服务订阅者未收到特殊的响应包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务，
33.其中，特殊的响应包的ack标志位为1，确认号与服务审计者发送的审计数据包的确认号相同。
34.为达上述目的，本技术第二方面实施例提出了一种基于区块链的去中心化的域间源地址验证服务方法，包括以下步骤：根据用户需求查找对应的提供商，并向对应的提供商按需请求指定的服务，在服务过程中通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；获取当前区块链中各种请求服务的事务，并根据事务向对应的用户提供服务；在用户订阅服务后，通过审计者发起相应的审计服务请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计包括洪泛攻击场景下的审计和反射式攻击场景下的审计。
35.可选地，在本技术的一个实施例中，所有自治域均可注册成为用户、提供商、审计者，用户注册时需提供自身ip地址前缀，提供商注册时需提供自身可用的服务列表，区块链通过记录自治域与ip地址的映射关系，验证请求中用户声明的ip前缀。
36.可选地，在本技术的一个实施例中，根据用户需求查找对应的提供商，并向对应的提供商按需请求指定的服务，包括以下步骤：
37.调用智能合约，获取服务信息以及相应的提供商信息供用户选择；
38.在用户选择服务以及提供商之后，构建一个由用户标识、受保护的ip地址前缀、提供商标识、服务标识、服务时间以及其他可选参数组成的订阅提议；
39.通过背书节点验证订阅提议是否符合背书规则，若符合，则为该提议背书；
40.在收集到的订阅提议的背书签名满足预设数量后，将订阅提议作为一条交易，存储在区块链上。
41.可选地，在本技术的一个实施例中，在订阅交易被确认之后，提供商接受或拒绝该请求，并调用智能合约构造响应交易，若接受该服务订阅请求，提供商在数据平面，更新数据包验证规则，为订阅请求中的ip前缀提供源保护服务。
42.可选地，在本技术的一个实施例中，审计服务过程包括以下步骤：
43.从区块链中提取订阅的服务列表以及对应的响应；
44.选择正在进行的服务进行审计，其中，正在进行的服务意味着提供商同意提供服务，且当前时间在服务有效时间内；
45.审计过程中确认服务无效后，向区块链提交审计结果，
46.其中，洪泛攻击场景下的审计，包括以下步骤：
47.通过服务审计者伪造其他自治域的源地址向服务订阅者发送审计数据包，每个审计数据包包含服务审计者自身的身份证明；
48.将审计数据包通过服务提供者发送到服务订阅者；
49.若服务订阅者接收到审计数据包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
50.若服务订阅者未接收到审计数据包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务；
51.反射式攻击场景下的审计，包括以下步骤：
52.通过服务审计者构建审计数据包，以服务订阅者的服务器的ip地址作为源地址，以自治域的ip地址为目的地址，其中，构建的审计数据包的syn标志位设置为1；
53.将构建的审计数据包通过服务提供者发送到服务订阅者，其中，审计数据包中包含确认号和审计者的身份；
54.若服务订阅者收到特殊的未知响应包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
55.若服务订阅者未收到特殊的响应包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务，
56.其中，特殊的响应包的ack标志位为1，确认号与服务审计者发送的审计数据包的确认号相同。
57.本技术实施例的基于区块链的去中心化的域间源地址验证服务系统和方法，解决了现有域间源地址验证方法缺乏部署激励以及自治域之间缺乏信任基础的问题，通过提供一个实用、去中心化的自治域间sav服务框架dsav，提高了部署的积极性。
58.本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
59.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
60.图1为本技术实施例一所提供的一种基于区块链的去中心化的域间源地址验证服务系统的结构示意图；
61.图2为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的dsav的架构和工作流程示意图；
62.图3为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的区块链交易以及订阅服务与提供服务示意图；
63.图4为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的反射式攻击场景和洪泛攻击场景示意图；
64.图5为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的洪泛攻击场景下的服务审计示意图；
65.图6为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的反射式攻击场景下的服务审计示意图；
66.图7为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的控制平面接口示意图；
67.图8为本技术实施例二所提供的一种基于区块链的去中心化的域间源地址验证服
务方法的流程图。
具体实施方式
68.下面详细描述本技术的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。
69.下面参考附图描述本技术实施例的基于区块链的去中心化的域间源地址验证服务系统和方法。
70.图1为本技术实施例一所提供的一种基于区块链的去中心化的域间源地址验证服务系统的结构示意图。
71.如图1所示，该基于区块链的去中心化的域间源地址验证服务系统，包括服务订阅者、服务提供者、服务审计者，其中，
72.服务订阅者，用于查找对应的服务提供者，并向对应的服务提供者按需请求指定的服务，并通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；
73.服务提供者，用于获取当前区块链中各种请求服务的事务，并根据事务向对应的服务订阅者提供服务；
74.服务审计者，用于在服务订阅者订阅服务后，发起相应的审计服务的请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计服务包括洪泛攻击场景下的审计和反射式攻击场景下的审计。
75.本技术实施例的基于区块链的去中心化的域间源地址验证服务系统，包括服务订阅者、服务提供者、服务审计者，其中，服务订阅者，用于查找对应的服务提供者，并向对应的服务提供者按需请求指定的服务，并通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；服务提供者，用于获取当前区块链中各种请求服务的事务，并根据事务向对应的服务订阅者提供服务；服务审计者，用于在服务订阅者订阅服务后，发起相应的审计服务的请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计服务包括洪泛攻击场景下的审计和反射式攻击场景下的审计。由此，能够解决现有域间源地址验证方法缺乏部署激励以及自治域之间缺乏信任基础的问题，通过提供一个实用、去中心化的自治域间sav(source address validation，源地址验证)服务框架dsav(decentralized source address validation(dsav)，去中心化的源地址验证)，提高了部署的积极性。
76.一个基于区块链的去中心化的域间源地址验证服务框架，包括用户注册、服务订阅、服务提供以及服务审计等四个步骤，本技术包括该框架的控制平面部分，并且本技术针对源验证服务的审计方法，设计了针对不同类型的源验证服务的审计方法。
77.进一步地，在本技术实施例中，所有自治域均可在系统中注册成为服务订阅者、服务提供者、服务审计者。
78.所有参与方必须向区块链注册，各种as(自治域)可以注册为服务订阅者subscriber、服务提供者provider和服务审计者auditor，并使用公钥证书标识自己。注册的关键是保证不同as提供的信息的真实性。每个as都有一个服务器，接收或者发送审计流
量。
79.进一步地，在本技术实施例中，服务订阅者，具体用于：
80.通过注册接口，注册自身身份以及提交自身ip地址前缀；
81.通过查询接口，查询当前区块链中能够提供的服务以及对应的服务提供者，或者获取服务提供者响应的结果；
82.通过订阅接口，向指定的服务提供者按需请求指定的服务；
83.在此过程中通过激励分配接口，向服务提供者和服务审计者分配激励。
84.服务订阅者：通常是末端网络，不具备部署特定sav技术的技术能力，不能独立防止基于源地址伪造的攻击。在注册过程中，声明拥有的ip前缀。在此基础上，通过提供激励和受保护的ip前缀，请求其他as提供sav服务，为了避免错误过滤属于其他as的流量，区块链通过记录as与ip地址的映射关系，验证请求中订阅者声明的ip前缀。
85.服务订阅过程主要包括订阅请求和提供商响应两个过程。背书节点验证请求和响应交易的有效性和真实性，例如时间的有效性、as与ip的映射关系的真实性等等。
86.进一步地，在本技术实施例中，服务提供者，具体用于：
87.通过注册接口，注册自身身份以及提交能够提供的各种服务；
88.通过查询接口，获取当前区块链中各种请求服务的事务；
89.通过响应接口，同意或者拒绝提供服务。
90.服务提供者：通过为其他as提供sav服务获取收益，即过滤发往其他as的伪造源地址的流量。在注册时，需要声明支持的服务及其价格。此外，应该提供自己的位置或者线路信息，以供服务订阅者参考，选择合适的服务。这些服务的效果由审计方核实，提供不符合标准的服务的提供商会受到惩罚。
91.为了验证服务的有效性，基于共识的服务审计是有必要的。dsav的所有参与者都可以充当审计方，并发送少量带有伪造源地址的数据包。sav服务提供者应该过滤这些数据包。订阅者通过审计过程观测服务提供者是否过滤这些数据包，以审计服务的有效性。
92.审计过程由四个步骤组成：(1)充当审计者的as从区块链中提取已订阅的源地址验证服务列表。(2)审计者选择源地址验证服务进行审计。审计的基本原则是审计者发送一些服务提供者应该过滤的数据包，而订阅者应该知道服务提供者是否过滤了这些数据包。(3)发现无效的服务后，审计者可以向订阅者提交他们的审计结果。(4)订阅者检查审计报告是否有效，并将审计结果记录到分布式账本中。
93.如果订阅者根据审计结果，确定服务提供者没有提供订阅者所期望的服务效果，智能合约自动将一部分本应支付给供应商的奖励，转移支付给提了审计结果的审计者，剩余的奖励将返还给订阅者。订阅者不再向该服务提供者订阅服务。
94.进一步地，在本技术实施例中，服务审计者，具体用于：
95.从区块链中提取订阅的服务列表以及对应的响应；
96.选择正在进行的服务进行审计，其中，正在进行的服务意味着提供商同意提供服务，且当前时间在服务有效时间内；
97.审计过程中确认服务无效后，向区块链提交审计结果，
98.其中，洪泛攻击场景下的审计，包括以下步骤：
99.伪造其他自治域的源地址向服务订阅者发送审计数据包，每个审计数据包包含服
务审计者自身的身份证明；
100.将审计数据包通过服务提供者发送到服务订阅者；
101.若服务订阅者接收到审计数据包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
102.若服务订阅者未接收到审计数据包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务；
103.反射式攻击场景下的审计，包括以下步骤：
104.构建审计数据包，以服务订阅者的服务器的ip地址作为源地址，以自治域的ip地址为目的地址，其中，构建的审计数据包的syn标志位设置为1；
105.将构建的审计数据包通过服务提供者发送到服务订阅者，其中，审计数据包中包含确认号和审计者的身份；
106.若服务订阅者收到特殊的未知响应包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
107.若服务订阅者未收到特殊的响应包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务，
108.其中，特殊的响应包的ack标志位为1，确认号与服务审计者发送的审计数据包的确认号相同。
109.在不同的攻击场景下，服务审计者(auditor)采取不同的服务审计方式。当超过一定比例的审计者审计结果认为服务提供者提供的服务无效时，智能合约不会为服务提供者分配激励。
110.服务提供者因提供合格的源地址验证服务而获得激励，服务审计者因检测到无效的服务而获得激励。服务订阅者通过向服务提供者提供激励来防止ip源地址欺骗，或者通过向服务审计者提供激励来识别无效的服务。对于服务提供者和服务审计者来说，收益来自服务订阅者为可靠的源地址验证服务支付的激励。对于服务订阅者来说，收益主要来自于节省的网络带宽开销和过滤了伪造源地址的数据包后的安全收益。
111.服务提供者和服务审计者的收益来自于服务订阅者支付的激励。服务订阅者在服务期间支付的激励为inc。提交有效和成功的审计报告的审计师的百分比被假定为p。当p大于一定阈值时，订阅者就会认为服务提供者是恶意的或提供了无效的服务。基于审计结果，智能合约中有三种激励分配方案，其中，
112.所有服务审计者都不提交审计结果，表明服务提供者成功地过滤了所有伪造源地址的数据包。因此，服务提供者得到了所有的奖励inc作为其收益，而审计者没有任何激励；
113.p小于一定阈值时，表明服务提供者提供了源地址验证服务，但只是部分地识别了伪造源地址的数据包。在这种情况下，服务提供者和提交有效审计结果的服务审计者共同得到了激励。服务提供者获得(1-p)*inc的收入分成。提交有效审计结果的审计者共同收益为：p*inc；
114.当p大于一定阈值时，表明供应商要么没有提供服务，要么无法有效地识别伪造源地址的数据包。智能合约将p*inc的激励分配给审计人员，而其余的则返回给服务订阅者。
115.图2为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的dsav的架构和工作流程示意图。
116.如图2所示，在控制平面上，dsav包括一个基于区块链的平台，在不同的as之间提供sav服务订阅和审计。每个as都有一个server，作为区块链的节点和审计客户端。as通过server，可以注册为服务订阅者、提供者或审计者。用户可以从任何提供者商那里订阅sav服务，即通过支付金钱要求提供者为其部署指定的sav机制。服务提供者基于控制平面的服务交易，在数据平面的边界路由器上更新对应的sav规则，利用本as的server提供审计服务。工作流程。(1)每个as都可以注册为服务订阅者、提供者或审计者。除了as号(asn)作为每个as的身份外，用户应提供其ip地址前缀，提供者应提供其可用的sav服务列表。(2)订阅者拉取服务列表并选择向提供者请求服务。(3)相应的提供商可以接受或拒绝提供服务。(4)自愿的审计者从区块链拉取服务列表，选择验证正在进行的服务效果，并将审计结果提交到区块链。(5)如果订阅者承认审计结果的有效性，本应分配给提供者的激励会自动重新分配给审计者。所有上述五个步骤都是作为控制平面上独立的区块链交易来实现的。
117.图3为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的区块链交易以及订阅服务与提供服务示意图。
118.如图3所示，首先，订阅者调用智能合约，获取sav服务信息，以及相应的服务提供者信息。然后，订阅者选择服务以及服务提供者，构建一个由订阅者标识、受保护的ip地址前缀、服务提供商标识、sav服务标识、服务时间以及其他可选参数组成的订阅提议。在收到该提议后，背书节点验证该提议是否符合背书规则，若符合，则为该提议背书。排序节点收集足够数量的背书签名后，将该提议作为一条交易，打包成块，存储在区块链上。在订阅交易被确认之后，提供者可以选择接受或拒绝该请求，并调用智能合约构造响应交易。如果接受该服务订阅请求，服务提供商在数据平面，更新他们的数据包验证规则，为订阅请求中的ip前缀提供源保护服务。在该过程中，订阅和响应事务以明文的形式存储在区块链中，以便对服务进行审计。为了防止潜在的攻击者利用这些信息绕过sav服务，参与as不能够披露关于具体的过滤规则的信息，例如携带标签的数据包的信息可以公开，但生成标签的方法不能公开。因此，事务的部分信息用提供者的公钥加密，以便保护隐私。
119.图4为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的反射式攻击场景和洪泛攻击场景示意图。
120.如图4所示，在一次洪泛攻击中，攻击者伪造合法的源地址，直接发送大量的攻击流量，消耗受害者(自治域b)的带宽资源，造成拒绝服务攻击。在一次反射式攻击中，攻击者伪造受害者的源地址，向反射点(自治域a)发送请求，反射点向受害者发送成百上千倍放大的响应包，占据网络带宽，造成拒绝服务攻击。在不同的攻击场景下，审计者(auditor)采取不同的服务审计方式。当超过一定比例的审计者审计结果认为服务提供者提供的服务无效时，智能合约不会为服务提供者分配激励。
121.图5为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的洪泛攻击场景下的服务审计示意图。
122.如图5所示，洪泛攻击场景下的服务审计包括审计路径和审计过程，服务审计者h伪造其他as的源地址向服务订阅者b(subscriber)发送审计数据包(audit packet)。每个审计数据包必须包含审计者自己的身份证明，如数字签名、共享的秘密等等。数据包需要通过服务提供者f(provider)路由到服务订阅者。同时，为了防止审计者和订阅者合谋伪造审计结果，服务提供者有能力识别通过它的数据包，有许多技术可以实现这一目的，例如ppm，
dpm，sketch。审计过程主要包括：如果服务订阅者(subscriber)收到审计数据包(audit packet)，就表明服务提供者(provider)没有过滤或者无法识别伪造源地址的数据包。服务订阅者(subscriber)从审计数据包(audit packet)中提取出服务审计者(auditor)的身份，然后分别向审计者和服务提供者发送回复包(reply packet)，以确认审计结果是有效和成功的。达成共识后，审计结果被写入分布式账本。服务订阅者(subscriber)没有收到审计数据包(audit packet)，说明服务提供者(provider)过滤了伪造源地址的数据包，向服务订阅者提供了有效的源地址验证服务。
123.图6为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的反射式攻击场景下的服务审计示意图。
124.如图6所示，在反射式攻击场景中，为了审计服务提供者提供的源地址验证服务的有效性，服务审计者向反射点发送伪造了受害者源地址的审计包，服务订阅者观察是否收到反射点的响应包，其中，第三方自治域a充当反射点。审计过程包括以下三个步骤：服务审计者(auditor)构建一个审计数据包(audit packet)，以服务订阅者(subscriber)的服务器的ip地址作为源地址，以自治域a的ip地址为目的地址，其中syn标志位被设置为1，序列号被设置为x，同时，审计数据包(audit packet)的传输路径经过服务提供者(provider)发送到反射点(reflector)；服务审计者(auditor)向服务订阅者(subscriber)发送一个审计数据包(audit packet)，其中包含确认号x 1和服务审计者的身份；如果服务订阅者(subscriber)收到ack标志位为1的未知响应包，且其确认号为x 1，则服务订阅者认为审计成功，这表明服务提供者没有过滤伪造订阅者源地址的数据包；如果订阅者没有收到这样的响应包，服务提供者按照订阅者的期望提供了有效的源地址验证服务。
125.图7为本技术实施例的基于区块链的去中心化的域间源地址验证服务系统的控制平面接口示意图。
126.如图7所示，在控制平面中，sav服务的参与as分为三种：服务提供者provider，服务订阅者subscriber和服务审计者auditor。每个as都有一个server，作为as的管理服务器，区块链的共识节点以及审计服务的客户端。provider通过注册接口，注册自身身份以及能够提供的各种sav服务；通过查询接口，获取当前区块链中各种请求服务的事务；通过响应接口，同意或者拒绝提供sav服务。subscriber首先通过查询接口，查询当前区块链中能够提供的sav服务以及对应的provider，也可以获取provider响应的结果；通过订阅接口，向指定的provider按需请求指定的sav服务，在此过程中，通过发起审计请求；通过激励分配接口，向provider和auditor分配激励。auditor可以通过注册接口，注册为audit服务的提供者。在subscriber订阅服务的过程中，同时发起相应的审计服务的请求。auditor通过审计服务接口，提交审计结果，并获取的激励。数据平面基于p4可编程交换机灵活地实现不同的sav机制，基于个人电脑实现不同审计方式。控制平面读取区块链的数据库，通过tcp socket将新的配置(例如订阅新的服务、终止旧的服务)把消息传输到数据平面的server中。数据平面server实时接收来自控制平面的配置信息，并将新的配置下发到可编程交换机或者相互发送审计报文。
127.图8为本技术实施例二所提供的一种基于区块链的去中心化的域间源地址验证服务方法的流程图。
128.如图8所示，该基于区块链的去中心化的域间源地址验证服务方法，包括以下步
骤：
129.步骤101，根据用户需求查找对应的提供商，并向对应的提供商按需请求指定的服务，在服务过程中通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；
130.步骤102，获取当前区块链中各种请求服务的事务，并根据事务向对应的用户提供服务；
131.步骤103，在用户订阅服务后，通过审计者发起相应的审计服务请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计包括洪泛攻击场景下的审计和反射式攻击场景下的审计。
132.进一步地，在本技术实施例中，所有自治域均可注册成为用户、提供商、审计者，用户注册时需提供自身ip地址前缀，提供商注册时需提供自身可用的服务列表，区块链通过记录自治域与ip地址的映射关系，验证请求中用户声明的ip前缀。
133.进一步地，在本技术实施例中，根据用户需求查找对应的提供商，并向对应的提供商按需请求指定的服务，包括以下步骤：
134.调用智能合约，获取服务信息以及相应的提供商信息供用户选择；
135.在用户选择服务以及提供商之后，构建一个由用户标识、受保护的ip地址前缀、提供商标识、服务标识、服务时间以及其他可选参数组成的订阅提议；
136.通过背书节点验证订阅提议是否符合背书规则，若符合，则为该提议背书；
137.在收集到的订阅提议的背书签名满足预设数量后，将订阅提议作为一条交易，存储在区块链上。
138.进一步地，在本技术实施例中，在订阅交易被确认之后，提供商接受或拒绝该请求，并调用智能合约构造响应交易，若接受该服务订阅请求，提供商在数据平面，更新数据包验证规则，为订阅请求中的ip前缀提供源保护服务。
139.进一步地，在本技术实施例中，审计服务过程包括以下步骤：
140.从区块链中提取订阅的服务列表以及对应的响应；
141.选择正在进行的服务进行审计，其中，正在进行的服务意味着提供商同意提供服务，且当前时间在服务有效时间内；
142.审计过程中确认服务无效后，向区块链提交审计结果，
143.其中，洪泛攻击场景下的审计，包括以下步骤：
144.通过服务审计者伪造其他自治域的源地址向服务订阅者发送审计数据包，每个审计数据包包含服务审计者自身的身份证明；
145.将审计数据包通过服务提供者发送到服务订阅者；
146.若服务订阅者接收到审计数据包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
147.若服务订阅者未接收到审计数据包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务；
148.反射式攻击场景下的审计，包括以下步骤：
149.通过服务审计者构建审计数据包，以服务订阅者的服务器的ip地址作为源地址，以自治域的ip地址为目的地址，其中，构建的审计数据包的syn标志位设置为1；
150.将构建的审计数据包通过服务提供者发送到服务订阅者，其中，审计数据包中包含确认号和审计者的身份；
151.若服务订阅者收到特殊的未知响应包，表明服务提供者没有过滤伪造订阅者源地址的数据包，
152.若服务订阅者未收到特殊的响应包，表明服务提供者按照订阅者的期望提供了有效的源地址验证服务，
153.其中，特殊的响应包的ack标志位为1，确认号与服务审计者发送的审计数据包的确认号相同。
154.本技术实施例的基于区块链的去中心化的域间源地址验证服务方法，通过根据用户需求查找对应的提供商，并向对应的提供商按需请求指定的服务，在服务过程中通过调用智能合约中的激励分配方案、通过激励分配接口，向服务提供者和服务审计者分配激励；获取当前区块链中各种请求服务的事务，并根据事务向对应的用户提供服务；在用户订阅服务后，通过审计者发起相应的审计服务请求，并通过审计服务接口提交审计结果，获取对应的激励，其中，审计包括洪泛攻击场景下的审计和反射式攻击场景下的审计。由此，能够解决现有域间源地址验证方法缺乏部署激励以及as之间缺乏信任基础的问题，通过提供一个实用、去中心化的as间sav服务框架dsav，提高了部署的积极性。
155.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
156.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本技术的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
157.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
158.在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电
连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
159.应当理解，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
160.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
161.此外，在本技术各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
162.上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。