一种区块链辅助的数据鹰眼网络功能

1.本发明涉及无线通信技术领域，具体而言涉及一种区块链辅助的数据鹰眼网络功能。


背景技术：

2.信任被认为是信息和通信技术基础设施的基石。下一代移动通信网络的设想是提供嵌入式信任，而不仅仅是简单的连接和传输。目前，信息和通信技术正在发展成为一个具有复杂交互关系的多边平台，在不同群体之间建立信任对下一代网络和信息和通信技术基础设施提出了前所未有的挑战。其中，客户、服务提供商和设备制造商在电信领域发挥着关键的作用。客户、服务提供商和设备制造商之间关系构成的信任三角是促进三方深度合作必不可少的因素。然而，服务提供商经常怀疑设备制造商的网络设备可能包含后门或未经授权的访问，并存在安全问题，网络设备造成的潜在风险，例如数据泄露等问题也影响了客户与服务提供商之间的关系，对设备制造商缺乏信任正在破坏整个信任三角。
3.现有的检测设备制造商生产的网络设备是否存在恶意行为的研究可以概括为三种方法：基于可信计算的、基于软硬件分离的和基于历史评分的，但它们都有各自的问题。基于可信计算的解决方案提供了隔离环境强制设备以可预测的方式运行，但可信计算的信任依然源自设备制造商。基于软硬件分离的方案要求设备制造商公开源代码并将其部署在一些通用硬件上，该方法与设备制造商的利益相冲突，网络更易被攻击，并且仍无法保证软件是可信的。基于历史评分的方法是根据历史行为对网络设备进行评分并预测其未来的行为，但使用经验数据往往只能用于评估信誉值，通常不能可靠地评价可信度。
4.实际中，即使是设备制造商自己都无法真正证明不存在后门。由于缺乏公认的标准，设备制造商很难证明其产品的可靠性和可信度，即使大多数的设备制造商愿意去证明自己。因此，亟需一种高可信度的方法来检测网络设备潜在的恶意行为。


技术实现要素：

5.本发明所要解决的技术问题在于，为解决当前检测设备制造商生产的网络设备是否存在恶意行为的方法缺乏高可信度的问题，本发明提供一种区块链辅助的数据鹰眼网络功能。通过引入区块链来构建信任三角的分散数字取证模型，获取数字证据，以评判网络设备是否存在恶意行为。通过区块链辅助的数据鹰眼网络功能监控网关设备并将其流量记录存储在区块链上，服务提供商将网络传入和传出流量的哈希值提交给区块链，利用传入和传出数据包之间的一致性来检测网络设备是否存在恶意行为以评估其的可信度。此外，从客户的角度出发，设计了客户重要数据保护和神秘顾客检测方案以建立完整的信任三角。通过本发明，在客户、服务提供商和设备制造商之间建立信任三角以促进三者之间的深度合作，有效的提高5g以及下一代的网络安全和信任。
6.为解决上述问题，本发明采用如下技术方案：
7.一种区块链辅助的数据鹰眼网络功能，包括：
8.数据鹰眼网络功能的具体方法、5g框架下的实现、恶意行为精确定位机制、客户重要数据保护和神秘顾客检测方案，其中：
9.所述数据鹰眼网络功能的具体方法，用于服务提供商监控设备制造商提供的网关设备并将其流量记录存储在区块链上，服务提供商将网络传入和传出流量的哈希值提交给区块链，引入数据鹰眼网络功能作为数字取证模型，服务提供商在不泄露客户私人信息的情况下，利用传入和传出数据包之间的一致性来判断设备是否存在恶意行为。通过区块链的分布式性质，哈希值可以被多个服务提供商验证并作为数字证据。整个过程可以通过预定义的智能合约实现自动化执行。
10.该方法包括如下步骤：
11.步骤1.数据鹰眼网络功能提取网络中不同区域的两个节点之间数据流的所有传入和传出数据包，并丢弃包头变化字段，例如ttl字段，对处理过的传入和传出数据包进行哈希运算，将传入和传出流量哈希值提交到区块链；
12.步骤2.数据鹰眼网络功能比较区块链上传入和传出流量的哈希值，如果设备存在恶意行为，数据鹰眼网络功能将检测出传入和传出数据包之间不匹配，并将检测结果作为数字证据存储在区块链上；
13.其中，
14.所述的一种区块链辅助的数据鹰眼网络功能，其特征在于，所述的数据鹰眼网络功能是基于区块链的网络功能实体，既可以利用虚拟化技术，作为网络设备的内置软件模块，以监控通过区域或者网络设备的链路流量；也能够通过预定义的通信协议，在独立的硬件中实现，基于硬件的数据鹰眼网络功能从物理媒介中捕获数据。
15.所述的步骤1中，若对从一条链路到另外一条链路中的多条数据流进行监测，则对所有数据流的传入和传出流量的哈希值构建两个默克尔树，将默克尔树的根哈希提交到区块链。从而进一步压缩区块链上的存储数据。
16.所述5g框架下的实现，在3gpp的5g架构中，用户数据包源自用户设备(ue)，并最终通过多个新的5g无线基站(gnb)、中间用户平面功能(i-upf)和用户平面功能(upf)发送到其目的数据网络(dn)。通过利用软件定义网络的概念，5g网络设备与定制设计的解决方案高度集成，以支持各种新兴需求和应用，因此，数据鹰眼网络功能可以安装在5g场景中的gnb、i-upf和upf上，以监控传入和传出流量。
17.其中，
18.数据鹰眼网络功能在5g框架下的实现包括三个关键组件：构建在网络之上的数据鹰眼网络功能区块链、数据鹰眼网络功能智能合约和链下软件后端。链下软件后端首先收集数据包并将其处理为适当的形式，如默克尔树，然后将预处理的数据提交给区块链。在区块链中预先定义的智能合约自动监控和比较流量摘要。数据鹰眼网络功能区块链将永久记录比较结果，形成包括准备、收集、处理和演示的典型数字取证模型。
19.所述恶意行为精确定位机制，在5g框架下的实现中，数据鹰眼网络功能监视跨域流量并在每个网络的网关处进行检测，一旦检测出恶意行为，不能够在域内精确定位恶意设备。由于数据鹰眼网络功能可以虚拟化一个易于安装的本地网络应用程序，为了更加准确地识别故障，可以在一个域内每两个连接的物理设备之间部署虚拟化的数据鹰眼网络功能，根据域内和域间链路流量的检测结果来识别和定位恶意设备。为了更加方便的找出恶
意设备，将检测结果可视化为一个误差图。考虑到恶意行为精确定位机制将产生额外的开销和成本，可以在检测到边界上的恶意行为后再启动域内的数据鹰眼网络功能。
20.所述客户重要数据保护是服务提供商的附加服务，可以额外保护客户的重要数据，客户首先将需要额外保护的数据进行加密，然后进行哈希运算，将哈希值提交到区块链，通过数据鹰眼网络功能，客户能够在确保服务质量的情况下观察信息传递的路径，并可以审核路由过程和检查转发区域中是否有新生成的数据包。
21.所述神秘顾客检测方案，可以由任何服务提供商、客户，甚至是政府等第三方发起。随机在一些源节点和目的地节点之间发送特定的数据包，这些数据包可以伪装成网络中的真实数据包，可以通过观察和跟踪这些数据包的转发过程，并检查最终到达目的地的数据包数量。此外，还可以检查是否有任何数据包泄漏到其他区域中，从而对数据鹰眼网络功能的性能进行验证。
22.本发明的优点及效果如下：
23.(1)本发明能够捕获具有后门或被黑客攻击的网络设备的不当行为，以建立设备制造商和服务提供商之间的信任。
24.(2)本发明从用户的角度出发，提出了客户重要数据保护和神秘顾客检测方案辅助机制，以帮助构建完整的信任三角，神秘顾客检测方案可作为交叉验证工具帮助评估数据鹰眼网络功能的有效性。
25.(3)本发明能够不依赖可信计算、不要求设备制造商披露源代码和不使用历史评分，实现客户、服务提供商和设备制造商之间建立完整的信任三角，促进三方深度合作。
26.(4)本发明能够虚拟化以低成本在5g网络中大量部署，不仅可以捕获网络设备的恶意行为，还可以在域内精确定位恶意设备。
27.(5)本发明引入区块链技术，充分发挥了区块链技术分布式、公开透明、不可篡改、智能合约自动执行等优势，避免了流量比较的单点故障，并实现跨服务提供商的验证，建立了数字取证模型，保证了数据鹰眼网络功能的中立性。
附图说明
28.图1为拥有多个区域网络的威胁模型示意图。
29.图2为数据鹰眼网络功能从源节点s到终端节点d的单条数据流进行哈希流量比较示意图。
30.图3为数据鹰眼网络功能记录多条数据流哈希值构建默克尔树的流量比较示意图。
31.图4为数据鹰眼网络功能在5g框架下的实现示意图。
32.图5为不同检测有效性下，数据鹰眼网络功能的检测成功率随错误转发行为的恶意程度变化示意图。
33.图6为随检测时间变化，不同恶意程度的错误转发行为下数据鹰眼网络功能的检测成功率示意图。
34.图7为不同检测有效性下，数据鹰眼网络功能的检测成功率随泄露数据行为的恶意程度变化示意图。
35.图8为随检测时间变化，不同恶意程度的泄露数据行为下数据鹰眼网络功能的检
测成功率示意图。
36.图9为神秘顾客检测方案中三种案例在不同恶意程度下的传输成功率示意图。
37.图10为神秘顾客检测方案中三种案例在不同恶意程度下的信息泄露概率示意图。
具体实施方式
38.下面结合附图和具体实施例，进一步阐明本发明，应理解这些实例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本技术所限定的范围。
39.一种区块链辅助的数据鹰眼网络功能，包括：
40.数据鹰眼网络功能的具体方法、5g框架下的实现、恶意行为精确定位机制、客户重要数据保护和神秘顾客检测方案，其中：
41.所述数据鹰眼网络功能的具体方法，用于服务提供商监控设备制造商提供的网关设备并将其流量记录存储在区块链上，服务提供商将网络传入和传出流量的哈希值提交给区块链，引入数据鹰眼网络功能作为数字取证模型，服务提供商在不泄露客户私人信息的情况下，利用传入和传出数据包之间的一致性来判断设备是否存在恶意行为。通过区块链的分布式性质，哈希值可以被多个服务提供商验证并作为数字证据。整个过程可以通过预定义的智能合约实现自动化执行。
42.该方法包括如下步骤：
43.步骤1.数据鹰眼网络功能提取网络中不同区域的两个节点之间数据流的所有传入和传出数据包，并丢弃包头变化字段，例如ttl字段，对处理过的传入和传出数据包进行哈希运算，将传入和传出流量哈希值提交到区块链；
44.步骤2.数据鹰眼网络功能比较区块链上传入和传出流量的哈希值，如果设备存在恶意行为，数据鹰眼网络功能将检测出传入和传出数据包之间不匹配，并将检测结果作为数字证据存储在区块链上；
45.其中，
46.所述的一种区块链辅助的数据鹰眼网络功能，其特征在于，所述的数据鹰眼网络功能是基于区块链的网络功能实体，既可以利用虚拟化技术，作为网络设备的内置软件模块，以监控通过区域或者网络设备的链路流量；也能够通过预定义的通信协议，在独立的硬件中实现，基于硬件的数据鹰眼网络功能从物理媒介中捕获数据。
47.所述的步骤1中，若对从一条链路到另外一条链路中的多条数据流进行监测，则对所有数据流的传入和传出流量的哈希值构建两个默克尔树，将默克尔树的根哈希提交到区块链。从而进一步压缩区块链上的存储数据。
48.所述5g框架下的实现，在3gpp的5g架构中，用户数据包源自用户设备(ue)，并最终通过多个新的5g无线基站(gnb)、中间用户平面功能(i-upf)和用户平面功能(upf)发送到其目的数据网络(dn)。通过利用软件定义网络的概念，5g网络设备与定制设计的解决方案高度集成，以支持各种新兴需求和应用，因此，数据鹰眼网络功能可以安装在5g场景中的gnb、i-upf和upf上，以监控传入和传出流量。
49.其中，
50.数据鹰眼网络功能在5g框架下的实现包括三个关键组件：构建在网络之上的数据
鹰眼网络功能区块链、数据鹰眼网络功能智能合约和链下软件后端。链下软件后端首先收集数据包并将其处理为适当的形式，如默克尔树，然后将预处理的数据提交给区块链。在区块链中预先定义的智能合约自动监控和比较流量摘要。数据鹰眼网络功能区块链将永久记录比较结果。整个过程是一个包括准备、收集、处理和演示的典型数字取证模型。
51.所述恶意行为精确定位机制，在5g框架下的实现中，数据鹰眼网络功能监视跨域流量并在每个网络的网关处进行检测，一旦检测出恶意行为，不能够在域内精确定位恶意设备。由于数据鹰眼网络功能可以虚拟化一个易于安装的本地网络应用程序，为了更加准确地识别故障，可以在一个域内每两个连接的物理设备之间部署虚拟化的数据鹰眼网络功能，根据域内和域间链路流量的检测结果来识别和定位恶意设备。为了更加方便的找出恶意设备，将检测结果可视化为一个误差图。考虑到恶意行为精确定位机制将产生额外的开销和成本，可以在检测到边界上的恶意行为后再启动域内的数据鹰眼网络功能。
52.所述客户重要数据保护是服务提供商的附加服务，可以额外保护客户的重要数据，客户首先将需要额外保护的数据进行加密，然后进行哈希运算，将哈希值提交到区块链，通过数据鹰眼网络功能，客户能够在确保服务质量的情况下观察信息传递的路径，并可以审核路由过程和检查转发区域中是否有新生成的数据包。
53.所述神秘顾客检测方案，可以由任何服务提供商、客户，甚至是政府等第三方发起。随机在一些源节点和目的地节点之间发送特定的数据包，这些数据包可以伪装成网络中的真实数据包，可以通过观察和跟踪这些数据包的转发过程，并检查最终到达目的地的数据包数量。此外，还可以检查是否有任何数据包泄漏到了不应该泄漏的其他区域中，从而对数据鹰眼网络功能的性能进行验证。
54.下面结合说明书附图和实施例对本发明技术方案作进一步详细说明。
55.如图1所示，不可信基础设施造成的大部分潜在风险可以根据数据的机密性(威胁1-4)、完整性(威胁5)和可用性(威胁6-7)分为三种类型。
56.如图2所示，本发明数据鹰眼网络功能单条数据流的流量比较方式，包括以下步骤：
57.(1)数据鹰眼网络功能提取由网络区域1中的节点a(s)到区域2中节点b(d)的单条数据流的所有传出区域1和传入区域2的数据包，并丢弃数据包头中的变化字段，例如ttl字段，分别对处理过的传出区域1的数据包和传入区域2的数据包进行哈希运算，得到哈希值1和哈希值2，数据鹰眼网络功能以《数据流,源节点,目的节点,哈希值》的形式将记录提交到区块链，即《1
→
2,s,d,哈希值1》和《1
→
2,s,d,哈希值2》；
58.(2)数据鹰眼网络功能比较区块链上传入和传出流量的哈希值，即比较哈希值1和哈希值2，如果设备存在恶意行为，数据鹰眼网络功能将检测出传入和传出数据包之间不匹配，即哈希值1≠哈希值2，并将检测结果作为数字证据存储在区块链上；
59.如图3所示，本发明数据鹰眼网络功能从一条链路到另外一条链路中的多条数据流的流量比较方式，包括以下步骤：
60.(1)数据鹰眼网络功能提取由区域3至区域2的链路，到区域2至区域4的链路上4条数据流流入区域2的所有数据包，并数据包头中的变化字段，例如ttl字段，分别对处理过的每条数据流的数据包进行哈希运算，得到哈希值1、哈希值2、哈希值3和哈希值4，由这4个哈希值构建一个默克尔树，得到一个根哈希值，即根哈希1，数据鹰眼网络功能以《流入数据
流,流出数据流,根哈希》的形式将记录提交到区块链，即《3
→
2,2
→
4,根哈希1》。对该链路上4条数据流流出区域2的所有数据包进行相同操作，得到《3
→
2,2
→
4,根哈希2》，将其提交到区块链；
61.(2)数据鹰眼网络功能比较区块链上传入和传出流量的哈希值，即比较根哈希1和根哈希2，如果设备存在恶意行为，数据鹰眼网络功能将检测出传入和传出数据包之间不匹配，即根哈希1≠根哈希2，并将检测结果作为数字证据存储在区块链上；
62.图4反映了数据鹰眼网络功能在5g框架下的实现，在网络a和网络b中的gnb、i-upf和upf中嵌入虚拟化的数据鹰眼网络功能，并假设数据泄露发生在网络a的upf处。可以看出，在网络a中upf处的恶意设备打算创建带有隐私信息的新数据包(威胁3)，并将其发送到网络b的目的网络(dn)。路由上的每个网络设备都会通过链下软件后端收集数据包，链下软件后端将预处理数据包，并将其提交给区块链。在网络a中upf处的恶意设备将数据包转发到网络a的域外后，数据鹰眼网络功能智能合约将检测到传入和传出数据包之间的不匹配，不匹配结果将被作为数字证据存储记录在数据鹰眼网络功能区块链上。
63.图5-图8反映了不同检测有效性下数据鹰眼网络功能的性能。其中，检测有效性为数据流经过数据鹰眼网络功能时错过检测的概率。从图5可以看出，较高的检测有效性可以捕获恶意较小的节点，如果检测有效性为100％，则可以检测到所有不当行为，使用相同的检测时间，更容易检测恶意节点的不当行为，100％的检测有效性的理想情况展示了数据鹰眼网络功能的一个性能上限。即使检测成功率不等于1，也不意味着数据鹰眼网络功能失败，这是因为恶意节点在检测期间没有行为不端。在图6中，检测有效性低于10％的情况下，检测成功率最终是趋于100％，也就是说，只要数据鹰眼网络功能继续运行并进行检测，大多数不当行为都可以被捕获。图7和图8对威胁2-4得出了类似的结论，可以看出，数据鹰眼网络功能对数据泄露的恶意行为更为敏感。
64.图9和图10反映了数据鹰眼网络功能辅助机制神秘顾客检测方案的性能。对三个不同的案例设定了三种不同的配置，跟踪一组给定的数据包，并评估成功传输概率。可以看出，神秘顾客检测方案可以有效地检测恶意行为增加。由于恶意节点的数量和位置不同，检测结果也不同。
65.以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。