CN111585984B - 面向分组全生存周期的去中心化安全保障方法及装置 - Google Patents

Abstract

本发明公开了一种面向分组全生存周期的去中心化安全保障方法及装置，其中，方法包括：在数据包分组在通信源端产生之后，通过分布式网络节点对数据包分组的源地址与身份进行真实性验证；在数据包分组在网络转发过程中，通过分布式网络节点对数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；在数据包分组在到达目的端之后，通过目的端对数据包分组的合法性进行验证与过滤。该方法利用去中心化的信息监控和智能检测技术，保证了数据包分组在“源端产生—中途转发—目的端接收”整个全生存周期的安全性，该技术具有灵活度高、适应性强、去中心化和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信。

Description

面向分组全生存周期的去中心化安全保障方法及装置

技术领域

本发明涉及网络安全技术领域，特别涉及一种面向分组全生存周期的去中心化安全保障方法及装置。

背景技术

近几年，网络安全逐渐成为国家安全的重要组成部分，“没有网络安全就没有国家安全”这一句话也足以体现出网络安全的重要性。尽管如此，网络攻击事件依旧每时每秒都在发生，究其原因在于网络系统在设计之初缺乏安全可信的思考，导致现有的互联网系统在面对网络攻击时具有极高的脆弱性。

从数据包分组所处的阶段来看，当前的网络攻击主要发生在网络通信系统的三个位置：首先是通信源端，即数据包分组在源端生成过程中的真实性很难得到保障，如恶意源端可以发动源地址哄骗、身份仿冒等攻击，影响整个通信过程的真实性；其次是转发过程，即数据包分组在中途转发过程中不仅分组内容容易遭到恶意篡改、丢包、重定向，而且转发路径也容易遭到恶意劫持与更改，影响网络通信的质量；最后是目的端接收，即目的端缺乏对非法数据包分组的识别、过滤等免疫能力，导致用户体验和服务质量的下降。由此可见，网络攻击贯穿于数据包分组“源端生成—中途转发—目的端接收”的全生存周期中。

针对上述的网络安全威胁，现有的方案主要集中于数据包分组的某个阶段，如SAVI技术主要保证真实源地址安全，OPT技术主要对分组的转发过程的安全性进行验证，PPV技术主要提升目的端对非法数据包的过滤能力。这些方案缺乏对数据包分组全生存周期的考虑，导致顾此失彼、防不胜防的尴尬局面。与此同时，基于集中式管控(如SDN技术)的安全方案能够较为容易地实现对分组全生存周期进行安全验证与保障，但是也依然存在单点故障、错误配置等问题，使得这类安全方案依然存在较大的隐患。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种面向分组全生存周期的去中心化安全保障方法，该方法具有灵活度高、适应性强、去中心化和健壮性等优点，在保证可行性的同时，提高整个网络系统的安全性和可信性。

本发明的另一个目的在于提出一种面向分组全生存周期的去中心化安全保障装置。

为达到上述目的，本发明一方面实施例提出了一种面向分组全生存周期的去中心化安全保障方法，包括以下步骤：在数据包分组在通信源端产生之后，通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证；在所述数据包分组在网络转发过程中，通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；在所述数据包分组在到达目的端之后，通过所述目的端对所述数据包分组的合法性进行验证与过滤。

本发明实施例的面向分组全生存周期的去中心化安全保障方法，利用去中心化的信息监控和智能检测技术，保证了数据包分组在“源端产生—中途转发—目的端接收”整个全生存周期的安全性，具有灵活度高、适应性强、去中心化和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信，同时又不依赖中心化的第三方权威设施。

另外，根据本发明上述实施例的面向分组全生存周期的去中心化安全保障方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，还包括：通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统。

进一步地，在本发明的一个实施例中，所述通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证，包括：通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

进一步地，在本发明的一个实施例中，所述通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证，包括：通过所述网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种。

进一步地，在本发明的一个实施例中，所述通过所述目的端对所述数据包分组的合法性进行验证与过滤，包括：当目的端接收到数据包分组时，查询所述中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

为达到上述目的，本发明另一方面实施例提出了一种面向分组全生存周期的去中心化安全保障装置，包括：真实性验证模块，用于在数据包分组在通信源端产生之后，通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证；可信性验证模块，用于在所述数据包分组在网络转发过程中，通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；合法性验证与过滤模块，用于在所述数据包分组在到达目的端之后，通过所述目的端对所述数据包分组的合法性进行验证与过滤。

本发明实施例的面向分组全生存周期的去中心化安全保障装置，利用去中心化的信息监控和智能检测技术，保证了数据包分组在“源端产生—中途转发—目的端接收”整个全生存周期的安全性，具有灵活度高、适应性强、去中心化和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信，同时又不依赖中心化的第三方权威设施。

另外，根据本发明上述实施例的面向分组全生存周期的去中心化安全保障装置还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，还包括：创建模块，用于通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统。

进一步地，在本发明的一个实施例中，所述真实性验证模块进一步用于通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

进一步地，在本发明的一个实施例中，所述可信性验证模块进一步用于通过所述网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种。

进一步地，在本发明的一个实施例中，所述合法性验证与过滤模块进一步用于当目的端接收到数据包分组时，查询所述中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明实施例的面向分组全生存周期的去中心化安全保障方法的流程图；

图2为根据本发明一个实施例的数据包分组全生存周期示意图；

图3为根据本发明实施例的面向分组全生存周期的去中心化安全保障方法的流程图；

图4为根据本发明实施例的去中心化网络信任系统DNTS架构图；

图5为根据本发明实施例的DNST区块链结构示意图；

图6为根据本发明一个具体实施例的面向分组全生存周期的去中心化安全保障方法的流程图；

图7为根据本发明实施例的面向分组全生存周期的去中心化安全保障装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

在现有的研究技术下，很多关于安全机制的研究主要针对分组的源端生成、中途转发和目的端接收这三个阶段的某一阶段展开，缺乏对分组全生存周期的系统性思考，这样往往导致顾此失彼、防不胜防的局面，对网络通信的安全性保障并没有得到实质性的提升。具体地：网络通信的安全保障很难得到系统的解决，很多研究要么对数据包分组的“源端生成”进行验证，要么对分组的“中途转发”进行检测，要么对“目的端接收”进行安全过滤，并没有从数据包分组“源端生成—中途转发—目的端接收”整个全生命周期的角度进行安全分析，由于网络攻击的普遍存在性，导致现有方案顾此失彼、防不胜防的尴尬局面。尽管集中式的网络管控方式(如SDN技术)可以用于监控分组全生存周期的安全状态，但主要受限于单点故障等的网络隐患。

本发明实施例通过构建自治域间的去中心化网络信任系统，可对数据包分组的“源端生成”的真实性进行验证，也可对分组的“中途转发”的过程进行安全监控，并及时发现网络节点的异常行为，同时针对“目的端接收”，可通过查询去中心化网络信任系统获得与该分组相关的异常记录，从而对非法数据包分组进行有效过滤。本发明实施例通过利用去中心的信息监控和智能检测技术，彻底摆脱可信第三方的单点故障问题，能够对数据包分组全生存周期进行安全保障，同时具有灵活度高、适应性强和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信。

下面参照附图描述根据本发明实施例提出的面向分组全生存周期的去中心化安全保障方法及装置，首先将参照附图描述根据本发明实施例提出的面向分组全生存周期的去中心化安全保障方法。

图1是本发明一个实施例的面向分组全生存周期的去中心化安全保障方法的流程图。

如图1所示，该面向分组全生存周期的去中心化安全保障方法包括以下步骤：

在步骤S101中，在数据包分组在通信源端产生之后，通过分布式网络节点对数据包分组的源地址与身份进行真实性验证。

可以理解的是，数据包分组在通信源端产生之后，分布式网络节点对该分组的源地址与身份进行真实性验证。例如，如图2所示，在第一阶段，数据包分组从源端生成，如图2中的通信源端S和S’分别产生发往目的端D和D’的数据包分组。

需要说明的是，自治域AS_m中包含n_m个可参与创建去中心化全局信任系统的网络节点Node_i(1≤i≤n_m)，该网络节点可以为交换机、路由器或单独配置的服务器。在本发明实施例中，这些网络节点称为全局网络节点。

网络通信场景下的每一个节点均含有公私钥对，私钥用于签名，保证信息的真实性，公钥用于加密，保证信息的完整性。

在本发明的一个实施例中，还包括：通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统。

可以理解的是，如图3所示，网络中多个自治域的全局网络节点通过直接或间接连接的方式，创建去中心化网络信任系统(DNTS)，DNTS的信息是公开透明的，可以由任何网络节点查询获得，该信任系统由全局网络节点Nodei通过某种共识算法共同维护。因此，DNTS可表示为：

DNTS＝{Node1,Node2,Node3,……,Noden}

其中，n为DNTS中全局节点的数量。DNTS具有以下三种功能：

(1)该信任系统可通过访问现有的网络基础服务(如资源公共密钥基础架构(RPKI)和边界网关协议(BGP))获取公开的网络资源或服务信息(如AS地址前缀、BGP路径宣告等信息)；

(2)该信任系统可接收并记录网络节点Ni上传的各类网络状态信息(如分组数量、源地址、网络身份、转发路径、哈希值等信息)；

(3)该信任系统中的全局网络节点Nodei可根据上述网络状态信息对网络系统中的网络行为进行智能检测与监控。

具体而言，如图4所示，DNTS架构的组成元素和组织结构主要有：

S11，每个自治域AS有一个或多个网络节点Node_i参与组成全局网络的信任系统，在本发明中，我们称这样的节点为全局网络节点，如图4所示，Node_AS1表示AS1中的全局网络节点集合，Node_AS2表示AS2中的全局网络节点集合，Node_AS3表示AS3中的全局网络节点集合，这三个AS的全局网络节点数量分别为3,2,3；

S12，这些全局网络节点通过直接连接或间接连接的方式构成去中心化的网络信任系统DNTS，图4中的DNTS是由8个全局网络节点Node_i通过区块链的形式组成，这些Node_i通过某种共识算法同维护DNTS数据库(或账本)，图4中的Block_i-1,Block_i和Block_i+1分别表示区块链中三个依次连接的区块；

S13，DNTS中的全局网络节点Node_i具有以下功能：一是可以访问相关的公开网络资源或服务，如RPKI(资源公共密钥基础架构)和BGP(边界网关协议)，从而获取每个AS的地址空间、BGP宣告路径等公开信息；二是可以接收来自网络中的节点上传的信息(如数据包分组采样信息)；三是可根据记录在区块链中的信息对网络行为进行智能检测，并定位相关的异常网络节点。

进一步地，在本发明的一个实施例中，通过分布式网络节点对数据包分组的源地址与身份进行真实性验证，包括：通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

需要说明的是，本发明实施例对报文的源地址/身份的真实性验证不仅仅局限于对报文现有字段(如源地址src)的采样，也有可以是报文在源端处嵌入的加密标识。

具体而言，如图3所示，当数据包分组在源端S生成并进入网络中时，网络节点Ni会采样该数据包中的源地址src和网络身份NetID(若有)，并以网络状态NetStatus的形式上传至全局网络节点Nodei。NetStatus可表示为：

NetStatus＝{src,NetID,Signi(src||NetID)}，

其中，Signi(src||NetID)表示网络节点Ni利用其私钥并将src和NetID的拼接(符号“||”表示拼接)作为输入得到的签名；

Nodei在收到NetStatus之后首先利用Ni的公钥验证签名Signi(src||NetID)，若该签名正确，则将NetStatus继续广播至所有的全局网络节点；否则，将其丢弃；

全局网络节点Nodei通过共识算法将接收到的NetStatus记录在DNTS中，同时Nodei查询该AS的地址前缀集合ASAddPrefix来判断NetStatus中src的真实性：若src∈ASAddPrefix，则说明数据包分组中的源地址信息src是真实可信的；否则，说明该数据包分组中的源地址信息发生了哄骗，因此全局网络节点可定位该源端S发生源地址哄骗攻击。

在步骤S102中，在数据包分组在网络转发过程中，通过分布式网络节点对数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证。

其中，相关的路由行为指的是对报文的丢弃、篡改以及非法更改报文转发路径等其中的一种或多种。

可以理解的是，根据包分组在网络转发过程中，分布式网络节点对该分组进行协同采样与检测，并对与之相关的路由行为进行可信性验证。例如，如图2所示，在第二个阶段，数据包分组在网络中转发，如图2中分组在自治域AS1、AS1与AS2、AS3与AS2的网络环境中进行转发。

进一步地，在本发明的一个实施例中，通过分布式网络节点对数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证，包括：通过网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样。

具体而言，如图3所示，当数据包分组在网络中进行转发时，网络节点Ni会采样分组的信息(如源地址src、目的地址dest、源端口号SrcPort、目的端口号DestPort、协议号protocol和这类分组数量Num)；同时，将相邻网络节点的行为(如输入分组数量InPktNum和输出分组数量OutPktNum)也进行相关采样，上述两类采样结果分别表示为SamplePkt和SampleNei，如下所示：

SamplePkt＝{src,dest,SrcPort,DestPort,protocol,Num,SignPkti}，

SampleNei＝{InPktNum,OutPktNum,SignNeii}，

其中，SignPkti和SignNeii分别表示网络节点Ni利用其私钥得到的签名，并分别以src||dest||SrcPort||DestPort||protocol||Num和InPktNum||OutPktNum作为计算输入获得。

网络节点Ni将上述两类采样信息上传至全局网络节点Nodei，Nodei在收到SamplePkt和SampleNei之后首先利用Ni的公钥重新计算SignPkti和SignNeii，若计算的值与收到的值一致，则将SamplePkt和SampleNei继续广播至所有的全局网络节点；否则，将其丢弃；

全局网络节点Nodei通过共识算法将接收到的SamplePkt和SampleNei记录在DNTS中，Nodei根据收到的SamplePkt中的信息对分组在转发过程中的可信性进行检测与验证：Nodei可根据src,dest,SrcPort,DestPort和protocol对分组的源地址进行验证，也可对转发路径进行恢复并验证；Nodei根据Num来判断该分组所属的数据流在转发过程中是否发生恶意丢包等现象；Nodei根据收到的SampleNei中的信息对网络节点的行为进行监测与诊断：Nodei根据某个网络节点的输入分组之和与输出分组之和判断该网络节点是否存在恶意丢包现象；

全局网络节点Nodei利用人工智能的方法对记录在DNTS中的采样信息SamplePkt和SampleNei进行分析，检测网络中存在异常，如源地址哄骗、路径篡改、分组丢弃等，同时，Nodei可根据DNTS中记录的采样信息定位相关的恶意节点，并将该恶意节点或自治域的信息记录在DNTS中。因为DNTS是公开透明的，所以任何管理员甚至网络节点都可以查询到该恶意节点或异常行为，并根据查询结果安全地调整相关的网络策略；

DNTS通过智能合约的形式自动地下发由异常网络行为引发的安全警报WARNING至各个网络节点或关键节点，WARNING的组成形式如下所示：

WARNING＝{NodeAdd,ASN,ExceptionType}。

其中，NodeAdd表示出现异常的网络节点的地址，ASN表示该异常网络节点的自治域号，ExceptionType表示异常类型，具体有源地址哄骗Spoofing、路径篡改Inconsistency、丢包Dropping、重定向Redirection、数据篡改Modification等。

在收到该安全警报WARNING后，网络节点Ni会重点关注邻近网络节点或自治域的安全警报，并在分组转发过程中可自动规避这些恶意节点或自治域，以实现分组安全路由与转发。

在步骤S103中，在数据包分组在到达目的端之后，通过目的端对数据包分组的合法性进行验证与过滤。

可以理解的是，数据包分组在到达目的端之后，目的端对该分组的合法性进行验证与过滤。例如，如图2所示，在第三个阶段，数据包分组经过一系列转发之后达到目的端D和D’。

进一步地，在本发明的一个实施例中，通过目的端对数据包分组的合法性进行验证与过滤，包括：当目的端接收到数据包分组时，查询中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

具体而言，如图3所示，当目的端接收到数据包分组时，可查询中心化网络信任系统(DNTS)中关于源端及沿途网络节点的行为是否发生异常，从而判断该分组的安全性程度：当通信源端被检测到出现源地址哄骗时，则目的端过滤该分组及数据流，否则接收该分组及数据流；当分组转发路径出现异常时，则过滤该分组，否则接收该分组及数据流。

目的端从接收到的分组中读取五元组信息，即源地址src、目的地址dest、源端口号SrcPort、目的端口号DestPort、协议号protocol，并在DNTS中查询与该五元组信息相关的通信源端的真实性。当DNTS中记录了与该分组相关源端发生源地址哄骗时，则目的端将该分组及所属的数据流进行过滤；

基于上述五元组信息，目的端可从DNTS中获得该分组在网络中转发的实际路径PATHactual；同时，目的端也可以从DNTS中获取该分组的期望路径PATHdesired，其中PATHdesired既可以是AS为基本单元的BGP宣告路径(AS_PATH)，也可以是网络节点为基本单元的路径，当PATHactual＝PATHdesired时，说明分组的实际转发路径与期望转发路径一致，则目的端接收该分组及数据流；当PATHactual≠PATHdesired时，说明分组的实际转发路径与期望转发路径不一致，可能发生流量劫持攻击，则目的端接收该分组及数据流。

需要说明的是，如图5所示，本发明的DNST区块链结构的在每一个区块中，记录了很多数据记录，这些数据记录可能是网络状态NetStatus、采样信息SamplePkt和SampleNei中的其中一种，当这些被数据记录被记录在区块链中时，任何人都可以进行访问，且任何人将无法进行修改。

下面将通过具体实施例对面向分组全生存周期的去中心化安全保障方法进行进一步阐述，如图6所示，具体如下：

S21，当数据包分组从图6中源端S(如地址：192.168.0.1)产生并进入网络环境中时，第一跳网络节点N₁会采样分组中的源地址src和网络身份NetID(若有)，并将采样信息和自身的数字签名以网络状态NetStatus的形式上传至全局网络节点Node_i，其中Node_i∈Node_AS1，自身的数字签名Sign_i(src||NetID)是网络节点N₁以src和NetID的拼接作为输入通过自身私钥计算而来。

NetStatus＝{src,NetID,Sign_i(src||NetID)}。

S22，全局网络节点Node_i在收到NetStatus后，首先利用网络节点N₁的公钥验证数字签名的真实性，若真实，则继续广播至剩余的全局网络节点；否则，丢弃该NetStatus。

S23，全局网络节点利用共识算法将NetStatus记录在DNTS区块链中，并查询RPKI获得该数据包起源所在的自治域AS的地址前缀范围ASAddPrefix(如192.168.0.0～192.172.0.0)；若src∈ASAddPrefix，如src为192.168.0.1时，则说明该分组的源地址是真实的；否则，如src为192.180.0.1时说明发生源地址哄骗攻击，此时将该通信源端进行定位，并记录在DNTS区块链账本中。

S31，当数据包分组在离开源端S并在网络中进行转发时，沿途的网络节点N_i会采样分组的信息(如源地址src、目的地址dest、源端口号SrcPort、目的端口号DestPort、协议号protocol和这类分组数量Num)，并将这些采样信息和自身私钥产生的数字签名通过消息SamplePkt上传至全局网络节点Node_i，SamplePkt的结构如下：

SamplePkt＝{src,dest,SrcPort,DestPort,protocol,Num,SignPkt_i}。

S32，全局网络节点Node_i在收到SamplePkt后，首先利用网络节点N_i的公钥验证数字签名的真实性，若真实，则继续广播至剩余的全局网络节点；否则，丢弃该SamplePkt。

S33，全局网络节点利用共识算法将SamplePkt记录在DNTS区块链中，并通过五元组src、dest、SrcPort、DestPort和protocol对该分组的实际转发路径PATH_actual进行恢复；同时，全局网络节点通过查询获得该分组的期望转发路径PATH_desired(如BGP宣告中的AS_PATH)；比较PATH_actual和PATH_desired的一致性来判断该分组在中途转发过程中是否存在转发路径不一致的问题，即当PATH_actual＝PATH_desired时，说明分组在中途转发过程中没有遭受流量劫持攻击；当PATH_actual≠PATH_desired时，说明分组在中途转发过程中已经遭受流量劫持攻击。

S34，当数据包分组在网络中进行转发时，沿途的网络节点N_i会采样相邻网络节点的行为(如输入分组数量InPktNum和输出分组数量OutPktNum)，并将这些采样信息和自身私钥产生的数字签名通过消息SampleNei上传至全局网络节点Node_i，SampleNei的结构如下：

SampleNei＝{InPktNum,OutPktNum,SignNei_i}。

S35，全局网络节点Node_i在收到SampleNei后，首先利用网络节点N_i的公钥验证数字签名的真实性，若真实，则继续广播至剩余的全局网络节点；否则，丢弃该SampleNei。

S36，全局网络节点利用共识算法将SampleNei记录在DNTS区块链中，并通过相邻网络节点的SampleNei中的InPktNum和OutPktNum信息判断分组在转发过程中是否存在恶意丢包现象，如图3中网络节点N₂、N₅发送给N₄的分组数量分别为OutPktNum₂₄、OutPktNum₅₄，而N₃从N₄接收到的分组数量为InPktNum₄₃，若OutPktNum₂₄+OutPktNum₅₄<<InPktNum₄₃，则说明网络节点N₄发生较为严重的分组丢包现象，如网络节点N₂、N₅发送给N₄的分组数量分别为100、80，而N₃从N₄接收到的分组数量为50，则说明分组在网络节点N₄处发生较为严重的丢包。

S37，全局网络节点Node_i可利用人工智能的方法对记录在DNTS中的采样信息SamplePkt和SampleNei进行分析，检测网络中存在的异常，如源地址哄骗、路径篡改、分组丢弃等，同时，Node_i可根据DNTS中记录的采样信息定位相关的恶意节点，如S36中当OutPktNum₂₄+OutPktNum₅₄<<InPktNum₄₃时，将恶意网络节点N₄进行定位，并将该恶意节点和自治域AS2的信息记录在DNTS中。因为DNTS是公开透明的，所以任何管理员甚至网络节点都可以查询到该恶意节点或异常行为，并根据查询结果安全地调整相关的网络策略。

S38，DNTS通过智能合约的形式自动地下发由异常网络行为引发的安全警报WARNING至各个网络节点或关键节点，WARNING的组成形式如下所示：

WARNING＝{N₄,AS2,Dropping}，

在收到该安全警报WARNING后，网络节点N_i会重点关注邻近网络节点或自治域的安全警报，并在分组转发过程中可自动规避这些恶意节点或自治域，以实现分组安全路由与转发。

4.1，当数据包分组到达目的端时，目的端可查询DNTS区块链系统中关于源端及沿途网络节点的行为是否发生异常，从而判断该分组的安全性程度：目的端从接收到的分组中读取五元组信息，即源地址src、目的地址dest、源端口号SrcPort、目的端口号DestPort、协议号protocol，并在DNTS中查询与该五元组信息相关的通信源端的真实性。当DNTS中记录了与该分组相关源端发生源地址哄骗时，则目的端将该分组及所属的数据流进行过滤；

4.2，基于上述五元组信息，目的端可从DNTS中获得该分组在网络中转发的实际路径PATHactual；同时，目的端也可以从DNTS中获取该分组的期望路径PATHdesired，其中PATHdesired既可以是AS为基本单元的BGP宣告路径(AS_PATH)，也可以是网络节点为基本单元的路径，当PATHactual＝PATHdesired时，说明分组的实际转发路径与期望转发路径一致，则目的端接收该分组及数据流；当PATHactual≠PATHdesired时，说明分组的实际转发路径与期望转发路径不一致，可能发生流量劫持攻击，则目的端接收该分组及数据流。

综上，本发明实施例将不同的自治域之间通过多个网络节点创建的去中心化全局信任系统连接在一起，该去中心化信任系统具有信息监控与智能检测的能力，能够为数据包分组全生存周期的可信性提供安全保障。具体地，当数据包分组在源端生成并刚进入网络时，分布式网络节点能够对该分组的源地址和身份进行真实性验证，并对源地址哄骗、身份仿冒的数据包进行过滤；当数据包分组在网络中进行转发时，分布式网络节点能够对分组进行采样、监控与验证，并对分组丢弃、篡改、重定向及路径更改等恶意行为进行检测；当数据包分组达到目的端时，目的端能够根据去中心化的信任系统对该分组进行有效验证与过滤。从而解决现有技术无法实现数据包分组“源端生成—中途转发—目的端接收”全生存周期的安全保障的问题。

根据本发明实施例提出的面向分组全生存周期的去中心化安全保障方法，能够同时对分组的“源端生成—中途转发—目的端接收”三个阶段提供安全检测与保障技术，能够有效地利用分布式协同的信息监控与智能检测，彻底摆脱第三方安全机构所带来的单点故障等问题，同时具有灵活度高、适应性强和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信。

其次参照附图描述根据本发明实施例提出的面向分组全生存周期的去中心化安全保障装置。

图7是本发明一个实施例的面向分组全生存周期的去中心化安全保障方法的结构示意图。

如图7所示，该面向分组全生存周期的去中心化安全保障装置10包括：真实性验证模块100、可信性验证模块200和合法性验证与过滤模块300。

其中，真实性验证模块100用于在数据包分组在通信源端产生之后，通过分布式网络节点对数据包分组的源地址与身份进行真实性验证；可信性验证模块200用于在数据包分组在网络转发过程中，通过分布式网络节点对数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；合法性验证与过滤模块300用于在数据包分组在到达目的端之后，通过目的端对数据包分组的合法性进行验证与过滤。本发明实施例的装置10具有灵活度高、适应性强、去中心化和健壮性等优点，在保证可行性的同时，提高整个网络系统的安全性和可信性。

进一步地，在本发明的一个实施例中，还包括：创建模块，用于通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统。

进一步地，在本发明的一个实施例中，真实性验证模块100进一步用于通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

进一步地，在本发明的一个实施例中，可信性验证模块200进一步用于通过网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种。

进一步地，在本发明的一个实施例中，合法性验证与过滤模块300进一步用于当目的端接收到数据包分组时，查询中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

需要说明的是，前述对面向分组全生存周期的去中心化安全保障方法实施例的解释说明也适用于该实施例的面向分组全生存周期的去中心化安全保障装置，此处不再赘述。

根据本发明实施例提出的面向分组全生存周期的去中心化安全保障装置，能够同时对分组的“源端生成—中途转发—目的端接收”三个阶段提供安全检测与保障技术，能够有效地利用分布式协同的信息监控与智能检测，彻底摆脱第三方安全机构所带来的单点故障等问题，同时具有灵活度高、适应性强和健壮性等优点，在兼顾计算开销和存储开销的同时，保证了整个了网络系统的安全可信。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (4)

1.一种面向分组全生存周期的去中心化安全保障方法，其特征在于，包括以下步骤：

在数据包分组在通信源端产生之后，通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证；

在所述数据包分组在网络转发过程中，通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；其中，所述对相关的路由行为进行可信性验证是对数据包分组转发的过程进行安全监控，并发现所述网络节点的异常行为；以及

在所述数据包分组在到达目的端之后，通过所述目的端对所述数据包分组的合法性进行验证与过滤；其中，所述分组的合法性进行验证是判断该分组的安全性程度；

还包括：

通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统；

所述通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证，包括：

通过所述网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种；

所述通过所述目的端对所述数据包分组的合法性进行验证与过滤，包括：

当目的端接收到数据包分组时，查询所述去中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

2.根据权利要求1所述的方法，其特征在于，所述通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证，包括：

通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

3.一种面向分组全生存周期的去中心化安全保障装置，其特征在于，包括：

真实性验证模块，用于在数据包分组在通信源端产生之后，通过分布式网络节点对所述数据包分组的源地址与身份进行真实性验证；

可信性验证模块，用于在所述数据包分组在网络转发过程中，通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行为进行可信性验证；其中，所述对相关的路由行为进行可信性验证是对数据包分组转发的过程进行安全监控，并发现所述网络节点的异常行为；以及

合法性验证与过滤模块，用于在所述数据包分组在到达目的端之后，通过所述目的端对所述数据包分组的合法性进行验证与过滤；其中，所述分组的合法性进行验证是判断该分组的安全性程度；

还包括：

创建模块，用于通过直接或间接连接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统；

所述可信性验证模块进一步用于通过所述网络节点N_i采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种；

所述合法性验证与过滤模块进一步用于当目的端接收到数据包分组时，查询所述去中心化网络信任系统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。

4.根据权利要求3所述的装置，其特征在于，所述真实性验证模块进一步用于通过网络节点N_i采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全局网络节点Node_i。

Images