CN110891050B - 全链条的原子级主动安全路由方法 - Google Patents
全链条的原子级主动安全路由方法 Download PDFInfo
- Publication number
- CN110891050B CN110891050B CN201911018201.3A CN201911018201A CN110891050B CN 110891050 B CN110891050 B CN 110891050B CN 201911018201 A CN201911018201 A CN 201911018201A CN 110891050 B CN110891050 B CN 110891050B
- Authority
- CN
- China
- Prior art keywords
- node
- routing
- block
- data packet
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种全链条的原子级主动安全路由方法,将区块链技术与动态路由算法相结合,并在区块链中添加智能合约审计机制,从而设计了一个计算机网络的全链条的原子级主动安全路由机制。该路由机制将端节点安全转变为全链条安全,使得计算机网络能够主动侦测节点是否受到攻击,将被动安全转变为主动安全从而及时有效地抵御各种形式网络攻击。
Description
技术领域
本发明涉及计算机网络与信息安全领域,尤其涉及一种全链条的原子级主动安全路由方法。
背景技术
随着计算机技术的飞速发展,计算机网络已经深入到通信、金融、交通、医疗、教育等各个领域。但是随着人们对互联网依赖程度的加深,各种各样的网络攻击也随之而来。
可以看出,如今的计算机网络比以往任何时候都更容易受到攻击,因为今天的攻击者有良好的组织、充足的时间、专业的知识和大量的资源来发动网络攻击。现有的典型网络攻击有:DoS攻击(拒绝服务攻击)、中间人攻击和重放攻击等。然而,现有的网络防御方案如系统优化、数字签名、加随机数或时间戳等方法,大多针对网络端节点进行被动防御,而未考虑到全链条安全,当链路节点或信道被攻击时,通信将会中断或被劫持。总而言之,现有的端到端的安全系统无法保证计算机网络的全路径安全,因此如何在链路节点中部署安全能力、形成全链条的主动安全防御机制成为了一个重要的研究方向。
近些年区块链技术的兴起可以用来解决网络安全问题。区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构。区块链作为一种去中心化、不可篡改、可追溯、多方共同维护的分布式数据库,在互不了解的多方之间建立了一种可靠的信任。一旦信息经过验证并添加至区块链,将被永久存储,单个节点上对数据的修改是无效的,有效地保证了数据的不可篡改性;同时,区块链采用带有时间戳的链式区块结构存储数据,具有极强的可验证与可追溯性。在所有的分布式系统中,一致性问题是首先要解决的问题。区块链通过共识算法在分布式的网络中达成共识,使得全网数据始终保持高度的一致性。这也是区块链技术的核心优势之一,即,能够在决策权高度分散的去中心化系统中,使得各节点能够高效地针对区块数据的有效性和一致性达成共识。目前主流的共识算法有POW、POS、DPOS等。POW为工作量证明,它需要节点消耗大量算力争夺记账权;POS为股权证明,它通过计算持有币数的百分比以及持有币数的时间来决定记账权,以解决POW机制中大量资源被浪费的情况;DPoS为委托权益证明,它从众多持币者中选出若干位记账者进行记账。通过共识算法选择一个或若干记账者(即,把所有节点产生的合法交易写进区块中并广播新区块的节点)的过程,被称为挖矿,节点被称为矿工。智能合约是区块链2.0的一种形式,它是一段可执行的程序,它封装了预定义的若干状态及转换规则、触发合约执行的情景、特定情景下的应对行动等,一旦智能合约被触发,便能自动执行合约代码。
目前有许多领域都在尝试使用区块链技术保证网络安全,例如,物联网领域曾提出部署全网拓扑的区块链以保证整个网络数据的可追溯性和不可篡改性,同时防御NDN物联网领域可能遭受的网络攻击,如兴趣泛洪、缓存侵占、数据钓鱼等。该方案的安全性高,并且能够有效应对多种攻击,但其面临着占用大量的存储资源、难以应对实时性的传输速率和处理安全攻击时搜索内容数量庞大等问题,所以无法满足计算机网络中全链条主动防御机制的要求。
发明内容
本发明的目的是提供一种全链条的原子级主动安全路由方法,使得受保护网络能够主动侦测节点是否受到攻击,将被动安全转变为主动安全从而及时有效地抵御各种形式网络攻击。
本发明的目的是通过以下技术方案实现的:
一种全链条的原子级主动安全路由方法,包括:
路由开始时,通过探测包确定从源节点到目的节点的路由路径,感知路由路径上的所有节点并初始化保护该路由路径的区块链,并在此后路由过程中根据路由路径中节点产生的区块更新区块链;
路由过程中,节点基于路由算法确定下一跳节点;每一节点收到数据包时,会触发智能合约操作,来审计数据包的安全性并判断是否转发;同时,当节点接收到数据包或发送数据包时,会广播接收消息或发送消息给路由路径上的其他节点,其他节点收到广播消息后,会检查消息的合法性并将合法消息存储于消息池中,用于产生区块,使得数据包的传输信息被完整的记录在区块链中;
当路由结束时,如果所有数据包的传输信息都被记录在区块链中,且节点检查不存在来源不明或不安全的数据包时,各节点将相应的区块链删除。
由上述本发明提供的技术方案可以看出,将区块链技术与动态路由算法相结合,并在区块链中添加智能合约审计机制,从而设计了一个全链条原子级主动安全路由机制。该路由机制将端节点安全转变为全链条安全,使得受保护网络能够主动侦测节点是否受到攻击,将被动安全转变为主动安全从而及时有效地抵御各种形式网络攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种全链条的原子级主动安全路由方法的流程图;
图2为本发明实施例提供的该方法整体框架图;
图3为本发明实施例提供的区块链架构示意图;
图4为本发明实施例提供的智能合约审计流程图;
图5为本发明实施例提供的源节点初始时已参与其他数据传输示意图;
图6为本发明实施例提供的源节点初始时未参与其他数据传输示意图;
图7为本发明实施例提供的审计判据更新延迟性示意图;
图8为本发明实施例提供的DoS攻击及解决方案示意图;
图9为本发明实施例提供的中间人攻击及解决方案示意图;
图10为本发明实施例提供的重放攻击及解决方案示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
由于现有网络防御机制都是端到端的安全防御机制,无法保证路由传输过程中的全部中间节点都是安全的。为了解决上述技术问题,本发明实施例提供一种全链条的原子级主动安全路由方法,如图1所示,其主要包括:
1、路由开始时,通过Hello包探测从源节点到目的节点的路由路径,感知路由路径上的所有节点并初始化保护该路由路径的区块链,并在此后路由过程中根据路由路径中节点产生的区块更新区块链。
2、路由过程中,节点基于路由算法确定下一跳节点;每一节点收到数据包时,会触发智能合约操作,来审计数据包的安全性并判断是否转发;同时,当节点接收到数据包或发送数据包时,会广播接收消息或发送消息给路由路径上的其他节点,其他节点收到广播消息后,会检查消息的合法性并将合法消息存储于消息池中,用于产生区块,使得数据包的传输信息被完整的记录在区块链中。
3、当路由结束时,如果所有数据包的传输信息都被记录在区块链中,且节点检查不存在来源不明或不安全的数据包时,各节点将相应的区块链删除。
上述方案利用区块链技术,将其与动态路由算法相结合,并在区块链中添加智能合约审计机制,设计了一个计算机网络的全链条的原子级主动安全路由机制。该路由机制将端节点安全转变为全链条安全,使得计算机网络能够主动侦测节点是否受到攻击,将被动安全转变为主动安全从而及时有效地抵御各种形式网络攻击。
为了便于理解,下面针对本发明做详细的介绍。
本发明实施例设计了一个基于路径区块链的安全路由方法,该方法依据路由表建立路由路径,由路由路径上的所有节点维护一条区块链,区块链记录了本路由路径上所有安全与不安全节点、所有经过本路由路径节点的数据包审计记录、转发记录和报文哈希。同时,通过智能合约对数据包转发进行审计,保证了数据流的安全性以及网络全链条安全。
整体架构如图2所示,本方法主要包括路由算法、数据转发、路径区块、智能合约与共识算法五个部分,路由算法通过路由决策给数据包转发提供下一跳节点,智能合约负责审计转发数据包的安全性,路径区块负责记录路由路径上的节点、转发信息和审计信息,同时也要记录更新后的智能合约,共识算法用于维护区块链网络的一致性,同时通过哈希函数保证网络数据的不可篡改性。
区块链架构如图3所示,图中实线为数据包的转发路径(Route1→Route4→Route5→Route6),这条路径上的四个节点共同维护一条区块链,当某个节点接收或转发数据包时,会将这一消息广播给路径上的其他节点,保证每个数据包的转发路径被完整地记录在区块链中。例如,当Route4接收到来自Route1的数据包并向Route5转发时,会生成两条记录分别表明自己接收到数据包以及发送了数据包,并全路径广播。同时区块中也存储着根据历史区块和最新记录更新的智能合约。
下面从区块链与路由两个方面进行介绍。
一、区块链部分。
1、共识算法。
在三种主流的共识算法中,PoW算力消耗大,其并不适用于大规模的计算机网络安全路由场景;DPoS的投票机制虽然避免了算力竞争,但是所有网络节点都属于同一方,且投票方式的有效性受限于网络链路质量。PoS算法避免了上述问题,是最适用于计算机网络安全路由的一致性算法。另一方面,网络节点并不需要一致性货币进行激励,因此本发明对PoS算法进行了适当的修改,使其更好地适用于计算机网络。
共识算法中,为每一个节点设置安全测度S(在PoS中,安全测度表示为币龄),表示为节点安全持续时间ts的一个映射,映射关系如下:
S=g(ts)
其中,g(.)为logistic函数,它能将正实数映射到0.5到1之间。
安全测度越高,代表相应节点安全持续时间ts越大,即安全性越高,因此可适当降低其难度值,提高挖矿成功的概率。安全测度由区块链初始化后开始计算,当节点挖矿成功后,广播新区块到路径上的其他节点,直至新区块获得一致性检验,之后安全测度清零,节点继续参与挖矿。上述改进的PoS算法在保证区块链网络一致性的同时有效地避免了网络节点的算力竞争,节约了计算资源。此外,由于安全测度的设计,该算法一定程度上保证了新区块的有效性。
2、智能合约
本发明实施例中,利用智能合约对数据包的转发进行了审计。流程如图4所示,当路由路径上的节点收到数据包时,将会触发智能合约审计过程,智能合约判断所收到的数据包来源是否合法,若合法,则反馈给节点数据包通过审计,可以将数据包转发至下一跳,否则认为该数据包来源不安全,该节点丢弃该数据包并通知该路径的其他节点。
针对不同的攻击,智能合约的攻击识别算法也是不相同的。例如,针对DoS攻击,智能合约将对相同源IP发送的数据包进行计数,并记录每个接收的数据包的源IP,一旦某个源IP发送的数据包超过阈值(可根据情况自行设置),则将该源IP列为非安全节点并通知其他节点;针对中间人攻击,智能合约比对数据包哈希和转发记录的数据哈希来发现数据是否被篡改;针对重放攻击,智能合约将监控源IP,并对重复的数据包进行计数,一旦计数值超过阈值(可根据情况自行设置),则将发送大量数据包的源IP列为非安全节点,不再接收其发送的数据包
二、路由部分。
1、路由开始
路由开始时,通过探测包确定路由路径,此时认为路由路径中的节点均为安全节点,并将这些节点加入区块链网络中。初始化保护该路由路径的区块链,并在此后路由过程中根据传输路径中节点产生的区块更新区块链。
区块链的初始化分为两种情况:
1)源节点已参与其他路径的数据传输:
a)对于已经存在的路径,中间节点参与数据包传输,路径中所有节点共同维护相应的区块链。如图5所示,①为已存在的路径,Route 2作为中间节点参与路径①的数据传输,Route 1、2、3维护区块链Blockchain 1。
b)对于某条可能有数据传输的路径,由起始节点从本地已有区块链中取出最后一个区块作为初始区块,此后路径中节点产生的区块将链接在该初始区块上。如图5所示,②为某条可能有数据包传输的路径,Route 2作为起始结点。当有数据包要从Route 2、4、5传输时,Route 2将从本地已有的区块链(Blockchain1)中取最后一个区块作为初始区块,此后路径②的节点产生的区块将链接在该初始块上。这么做能够保证链路②的初始区块是经过一致性验证的。
2)源节点未参与任何数据传输:在节点接收到数据包前,为了避免由于节点过少而降低系统的安全性,节点与其周围邻居节点维护一个区块链网络,如图6的左侧所示。区块链网络中,节点通过共识算法维护一个空区块;若没有数据传输,则整个区块链网络每产生一个新区块,便删除旧区块,使得任意一个时刻只有一个区块存在;若在某一时刻节点开始传输数据包,则此时区块链网络内维护的区块作为初始区块,如图6的右侧所示,数据包根据路由算法转发给下一跳,此后此路径中节点挖出的区块将链接在初始区块上。
2、路由过程。
路由过程中,每一节点收到数据包时,会触发智能合约操作,来审计待转发数据包的安全性,若数据包通过审计,则基于路由算法发送给下一跳节点;同时,当节点接收到数据包或发送数据包时,会将消息广播给路径上的其他节点,使得数据包的传输信息被完整的记录在区块链中。
1)当节点接收到数据包时,首先触发该节点的智能合约,由智能合约检索安全节点,比对该数据包源地址、上一跳地址与目的地址是否是安全节点,从而判断数据包来源是否安全。同时,在数据包传输的过程中,区块链网络中的节点将实时查看区块信息,判断网络中节点是否遭受DoS攻击、中间人攻击或重放攻击。针对不同攻击,智能合约的安全审计规则是不同的,前文给出了该主动安全路由机制对于DoS攻击、中间人攻击及重放攻击的具体审计机制。若安全,则查询路由表并将数据包转发给下一跳,否则丢弃数据包。
2)由于智能合约得到的信息是由节点储存的历史区块而来,因此在新区块产生的一个时间间隔内,最新消息还未被记录到区块链中,智能合约无法查找最新的数据包转发信息,因此智能合约的审计判据更新具有一定的延迟,该性能受新区块产生周期影响。如图7所示,在新区块还未产生的时间间隔内,若有节点恶意伪造合法节点的IP地址,此时智能合约无法及时发现数据包是不安全的,因此会继续将数据包转发给下一跳节点。然而,一旦该消息被记录在新区块后,智能合约更新,将会发现恶意行为,进而拦截此数据包,若是数据包已经被传送至终端,节点将会通知终端,以便于终端做出及时的操作。
3)当节点接收到数据或发送数据时,会将该消息广播给路径上的其他节点,其他节点接收到该消息后,校验消息发送者的身份,并将消息储存在本地记录池中,用于产生区块,保证全路径节点对数据包的轨迹有明确的记录,从而保证数据包转发的安全性。
3、路由更新。
在路由阶段,当网络拓扑发生变化时,如果传输路径也发生改变,通过路由算法获得新的最优下一跳,并默认其为安全节点,将新的最优下一跳节点加入区块链中,区块链网络保留原来的最优下一跳节点,用于数据安全验证。
本领域技术人员可以理解,若受保护网络为Ad-hoc网络,则随着拓扑的变化可能出现路由路径改变的情况,即下一跳节点没有位于该路径区块链内是可能的,此时默认该新节点为安全节点,在下一个新区块产生后将该节点加入区块链。
4、路由结束。
当路由结束(某条路径的数据传输结束)时,如果所有数据包的传输信息都被记录在区块链中,且节点检查不存在来源不明或不安全的数据包时,各节点将相应的区块链删除。
本发明实施例上述方案,主要获得如下有益效果:
数据审计实时性:现有区块链保障网络安全的架构中,为了保证数据包来源的安全性,要对其进行审计,由于节点审计数据包时需通过“询问”其他节点获得审计结果而消耗大量的时间,导致数据审计增加了数据传输时延。本发明提出的智能合约审计算法避免了这一时延,同时及时拦截恶意数据流,从全链路保证了数据传输的安全性。
数据可追溯、防篡改:在本发明的区块链网络中,每一个网络节点的数据接收与发送信息都会进行全路径广播,并由网络中其他节点进行身份校验并记录信息,因此数据包轨迹信息会被完整地记录在区块链中,并存储在链路上的所有节点,实现了数据的可追溯。而区块链结构中的哈希函数则保证了区块链内数据的不可更改性,进一步保证数据的安全。
感知网络攻击:本发明通过智能合约实现攻击检测,能够有效地感知数据传输链路的安全性,通过区块链内记录的信息智能判断节点是否受到网络攻击或数据包是否安全,保证了全链路的安全性。
区块链规模可控:在本发明中,区块链是与传输路径同生灭的,即路由开始的同时生成区块链,路由结束随后删除区块链。因此全链条区块链的规模将远小于实时维护的全网区块链,同时避免了节点资源的浪费。
下面结合传统的DoS攻击、中间人攻击和重放攻击来说明本发明上述方案的效果。
1、DoS攻击。
如图8所示,DoS攻击有攻击节点与攻击信道两种形式,图8的(a)部分所示,为攻击节点示意图,即攻击者通过控制多台服务器对网络节点造成攻击。图8的(b)部分所示,为攻击信道示意图,攻击者通过向节点D发送大量需经过D、E节点的数据包来攻击D、E之间的链路。
在本发明中,区块链将记录通过各个节点的所有流量,如图8的(c)部分所示,某个区块中记录了一段时间内节点B收到的所有数据包的信息。当图8的(a)部分中的节点B接收到数据包时(例如,从Route A发送的数据包),首先会由智能合约进行审计,查询A是否为安全节点。若是安全节点,则B转发数据包;一旦发现数据包来源不安全,节点B便会丢弃数据包。此外,由于区块链中会记录通过路径节点的所有流量信息,所以,当B收到a、b、c、d发送的大量数据包时,区块链中会多次记录“节点B收到来自Hackers的数据包”这一消息。虽然初始时默认给B发送数据包的路径节点为均为安全节点,但是,当收到的数据包超过设定的阈值时,即可判断节点B遭受DoS攻击,并将发送大量数据包的源IP列为非安全节点,不再接收恶意源IP发送的数据包;同理,若是图8的(b)部分中D、E之间的链路受到攻击时,智能合约无法马上判断出E收到的数据包是否安全,但“数据包由D发送给E”这一消息也会被多次记录在区块链中,一旦该链路出现过多的数据包传输消息,即可判断出D、E之间的链路遭受DoS攻击。
2、中间人攻击。
中间人攻击原理如图9的(a)部分所示,节点A要发送数据给节点B,“中间人”节点C拦截A发送给B的数据,将数据进行篡改后,再伪造A的地址给B发送篡改后的数据。
在本发明中,由于区块链记录了数据包哈希值,因此当恶意节点篡改数据时,合法节点能够轻易发现数据被修改。如图8的(b)部分所示,节点A发送数据包给节点B时,会将这一信息广播给路径上的其他节点,包括节点B,此消息最终会被记录在区块链中。因此当节点B收到篡改后的数据包时,智能合约可以比对接收到的数据包哈希和节点A广播的消息中的数据哈希,若二者不一致,则节点B可发现数据被篡改,进而识别出中间人攻击;若节点B在收到篡改后的数据包时还未接收到节点A广播的消息,此时智能合约可根据收到的数据与区块中的历史哈希信息进行相应的审计,如果相似程度较高则可验证通过,如果相似程度较低,则等待一个区块链更新的时延后,验证接受的数据包哈希和区块链中存储的数据哈希是否一致,若不一致,则发现数据被篡改,及时阻断相应操作,防止中间人攻击。
3、重放攻击。
重放攻击是指攻击者不断发送一个目的主机已接收过的包,来达到浪费网络带宽或欺骗系统的目的,如图10的(a)部分所示。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。
当攻击者希望浪费网络资源时,会将大量的经过验证的重复数据包发送给接收方,占用接收方和信道的资源;当攻击者希望欺骗接受者时,会将大量的重复指令发送给接收方。如图10的(b)部分所示,区块中会记录接收的数据包哈希信息,同时智能合约也会对相同数据包进行计数。当节点B收到大量相同的数据包时,一旦计数值超过阈值,节点将把发送大量数据包的源IP列为非安全节点,不再接收其发送的数据包。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (6)
1.一种全链条的原子级主动安全路由方法,其特征在于,包括:
路由开始时,通过探测包确定从源节点到目的节点的路由路径,感知路由路径上的所有节点并初始化保护该路由路径的区块链,并在此后路由过程中根据路由路径中节点产生的区块更新区块链;
路由过程中,节点基于路由算法确定下一跳节点;每一节点收到数据包时,会触发智能合约操作,来审计数据包的安全性并判断是否转发;智能合约判断所收到的数据包来源是否合法,若合法,则数据包通过审计,能够转发至下一跳,否则认为数据包来源不安全,丢弃数据包并通知路径的其他节点;其中,对于不同的攻击,智能合约采用不同识别方式:针对DoS攻击,智能合约将对相同源IP发送的数据包进行计数,并记录每个接收的数据包的源IP,当某个源IP发送的数据包超过阈值,则将相应源IP列为非安全节点并通知其他节点;针对中间人攻击,智能合约比对数据包哈希和转发记录的数据哈希来发现数据是否被篡改;针对重放攻击,智能合约将监控源IP,并对重复的数据包进行计数,当计数值超过阈值,则将发送数据包的源IP列为非安全节点,不再接收其发送的数据包;同时,当节点接收到数据包或发送数据包时,会广播接收消息或发送消息给路由路径上的其他节点,其他节点收到广播消息后,会检查消息的合法性并将合法消息存储于消息池中,用于产生区块,使得数据包的传输信息被完整的记录在区块链中;
当路由结束时,如果所有数据包的传输信息都被记录在区块链中,且节点检查不存在来源不明或不安全的数据包时,各节点将相应的区块链删除。
2.根据权利要求1所述的一种全链条的原子级主动安全路由方法,其特征在于,该方法中还引入了共识算法,来维护区块链网络的一致性,同时通过哈希函数保证网络数据的不可篡改性。
3.根据权利要求2所述的一种全链条的原子级主动安全路由方法,其特征在于,共识算法中,为每一个节点设置安全测度S,表示为节点安全持续时间ts的一个映射,映射关系如下:
S=g(ts)
其中,g(.)为logistic函数;
安全测度越高,代表相应节点安全持续时间ts越大,即安全性越高;安全测度由区块链初始化后开始计算,当节点挖矿成功后,广播新区块到路径上的其他节点,直至新区块获得一致性检验,之后安全测度清零,节点继续参与挖矿。
4.根据权利要求1所述的一种全链条的原子级主动安全路由方法,其特征在于,路由开始时,区块链的初始化分为两种情况:
源节点已参与其他路径的数据传输:对于已经存在的路径,中间节点参与数据包传输,路径中所有节点共同维护相应的区块链;对于某条可能有数据传输的路径,由起始节点从本地已有区块链中取出最后一个区块作为初始区块,此后路径中节点产生的区块将链接在初始区块上;
源节点未参与任何数据传输:在节点接收到数据包前,节点与其周围邻居节点维护一个区块链网络;区块链网络中,节点通过共识算法维护一个空区块;若没有数据传输,则整个区块链网络每产生一个新区块,便删除旧区块,使得任意一个时刻只有一个区块存在;若在某一时刻节点开始传输数据包,则此时区块链网络内维护的区块作为初始区块,数据包根据路由算法转发给下一跳,此后此路径中节点挖出的区块将链接在初始区块上。
5.根据权利要求1所述的一种全链条的原子级主动安全路由方法,其特征在于,消息广播给路径上的其他节点之后包括:其他节点接收到该消息后,校验消息发送者的身份,如果校验无误,则将消息储存在本地记录池中,用于产生区块。
6.根据权利要求1所述的一种全链条的原子级主动安全路由方法,其特征在于,该方法还包括:在路由阶段,当网络拓扑发生变化时,如果传输路径也发生改变,通过路由算法获得新的最优下一跳节点,并默认其为安全节点,将新的最优下一跳节点加入区块链中,区块链网络保留原来的最优下一跳节点,用于数据安全验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911018201.3A CN110891050B (zh) | 2019-10-24 | 2019-10-24 | 全链条的原子级主动安全路由方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911018201.3A CN110891050B (zh) | 2019-10-24 | 2019-10-24 | 全链条的原子级主动安全路由方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110891050A CN110891050A (zh) | 2020-03-17 |
CN110891050B true CN110891050B (zh) | 2021-12-14 |
Family
ID=69746448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911018201.3A Active CN110891050B (zh) | 2019-10-24 | 2019-10-24 | 全链条的原子级主动安全路由方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110891050B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111401868B (zh) * | 2020-03-19 | 2022-07-01 | 南开大学 | 一种费用最小的区块链链下交易路由算法 |
CN111585984B (zh) * | 2020-04-24 | 2021-10-26 | 清华大学 | 面向分组全生存周期的去中心化安全保障方法及装置 |
CN111818605B (zh) * | 2020-06-30 | 2022-07-15 | 中国科学技术大学 | 基于区块链安全属性的自组网动态路由学习方法 |
CN113872927A (zh) * | 2021-05-25 | 2021-12-31 | 杭州复杂美科技有限公司 | 数据统计方法、防攻击方法、计算机设备和存储介质 |
CN113067774B (zh) * | 2021-06-02 | 2021-09-14 | 支付宝(杭州)信息技术有限公司 | 区块链网络间的交易转发方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105100016A (zh) * | 2014-05-12 | 2015-11-25 | 中国民航大学 | 基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法 |
WO2018213804A2 (en) * | 2017-05-19 | 2018-11-22 | Zest Labs, Inc. | Process and condition recording and validation using a blockchain |
CN107294850B (zh) * | 2017-06-02 | 2020-07-10 | 深圳市维申斯科技有限公司 | 工业可靠无线数据通信方法及系统 |
CN107231299A (zh) * | 2017-06-07 | 2017-10-03 | 众安信息技术服务有限公司 | 一种链路由及实现区块链跨链通信的系统 |
US10764031B2 (en) * | 2017-12-07 | 2020-09-01 | International Business Machines Corporation | Blockchain system for pattern recognition |
US11239999B1 (en) * | 2018-04-25 | 2022-02-01 | Tyson York Winarski | Blockchain network communications system |
CN109194702B (zh) * | 2018-06-04 | 2021-06-29 | 平安科技(深圳)有限公司 | 医疗数据记录方法、系统、计算机设备和存储介质 |
CN109525633B (zh) * | 2018-10-08 | 2021-08-27 | 上海点融信息科技有限责任公司 | 区块链网络、基于区块链网络的消息发送、消息接收方法 |
CN109474599A (zh) * | 2018-11-19 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 基于区块链的网络防护方法及装置 |
CN109412953B (zh) * | 2018-12-27 | 2023-03-07 | 深圳微言科技有限责任公司 | 一种基于区块链overlay网络的路由信息交互方法 |
CN110113328B (zh) * | 2019-04-28 | 2021-01-15 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
CN110163756B (zh) * | 2019-05-28 | 2023-07-18 | 深圳市迅雷网络技术有限公司 | 一种基于联盟链的交易方法、系统、服务器及区块链系统 |
-
2019
- 2019-10-24 CN CN201911018201.3A patent/CN110891050B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110891050A (zh) | 2020-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110891050B (zh) | 全链条的原子级主动安全路由方法 | |
Biryukov et al. | Deanonymisation of clients in Bitcoin P2P network | |
Mayzaud et al. | A Taxonomy of Attacks in RPL-based Internet of Things | |
Gupte et al. | Secure routing in mobile wireless ad hoc networks | |
Pervaiz et al. | Routing security in ad hoc wireless networks | |
Pham et al. | Detecting colluding blackhole and greyhole attacks in delay tolerant networks | |
Shi et al. | Dynamic distributed honeypot based on blockchain | |
Wang et al. | In search of an anonymous and secure lookup: attacks on structured peer-to-peer anonymous communication systems | |
Tochner et al. | Route hijacking and dos in off-chain networks | |
Bhatia et al. | Security issues in MANET: a survey on attacks and defense mechanisms | |
Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
Satheeshkumar et al. | Defending against jellyfish attacks using cluster based routing protocol for secured data transmission in MANET | |
Marathe et al. | ITCA, an IDS and trust solution collaborated with ACK based approach to mitigate network layer attack on MANET routing | |
Zhang et al. | Accelerating transactions relay in blockchain networks via reputation | |
De Rango et al. | Trust-based SAODV protocol with intrusion detection and incentive cooperation in MANET | |
Pradhan et al. | Blockchain based security framework for P2P filesharing system | |
Jeet et al. | A survey on interest packet flooding attacks and its countermeasures in named data networking | |
Lai et al. | A survey on security threats and solutions of bitcoin | |
Kibirige et al. | Attacks in wireless sensor networks | |
Woungang et al. | Comparison of two security protocols for preventing packet dropping and message tampering attacks on AODV-based mobile ad Hoc networks | |
Vinayagam et al. | A secure restricted identity-based proxy re-encryption based routing scheme for sybil attack detection in peer-to-peer networks | |
Cai et al. | An overview of trust-based routing design under adversarial mobile ad hoc network environment | |
Saddiki et al. | Trust-Neighbors-Based to Mitigate the Cooperative Black Hole Attack in OLSR Protocol | |
Sassone et al. | Trust in anonymity networks | |
Naumenko et al. | Time-dilation attacks on lightning network# 2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |