CN114079632B - 一种基于区块链的可信域间路由方法及系统 - Google Patents
一种基于区块链的可信域间路由方法及系统 Download PDFInfo
- Publication number
- CN114079632B CN114079632B CN202111177237.3A CN202111177237A CN114079632B CN 114079632 B CN114079632 B CN 114079632B CN 202111177237 A CN202111177237 A CN 202111177237A CN 114079632 B CN114079632 B CN 114079632B
- Authority
- CN
- China
- Prior art keywords
- routing
- blockchain
- contract
- user terminal
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于区块链的可信域间路由方法及系统,方法包括:源用户终端发布路由合约,并存储至路由区块链中;其中,路由合约包括服务质量要求参数和被锁定的预支付奖励;路由系统根据路由合约进行路由规划,以使路由路径上的每一目标路由器分别签署路由合约以建立会话通道,并将签署后的路由合约同步更新至路由区块链中;其中,路由系统通过资源认证区块链进行码号资源认证;当完成数据通信后,源用户终端对预支付奖励进行解锁并根据实际路由质量结果对每一目标路由器进行奖励结算。本发明通过构建基于区块链的资源认证体系以及具有路由服务质量保障能力的可信域间路由机制,有效简化了协议的认证体系,并在路由安全保障下提供高服务质量。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于区块链的可信域间路由方法及系统。
背景技术
BGP(Border Gateway Protocol)协议是一种域间路由协议,也是Internet最为重要的路由协议之一。历史上,BGP对于互联网的商业化和全球化立下了汗马功劳。然而,BGP协议的设计在安全方面留有巨大的缺陷,这直接导致了互联网安全历史上多起重大事件的发生。所有这些安全事件及攻击行为都充分暴露了BGP路由协议在安全上的脆弱性。
基于此,有关BGP安全的研究一直非常受人关注。在学术界,BGP安全也是网络安全领域的一个重要研究方向,许多研究者和安全组织一直在对其进行深入研究。其中包括IETF安全域间路由(Secure Inter-Domain Routing,简称SIDR)工作组正在开发的RPKI&BGPsec协议。在该协议中,RPKI体系的基本功能之一是对这些资源的分配提供密码学上可验证的担保。RPKI所解决的首要问题就是:某个AS(Autonomous System,自治系统)是否是某个IP的合法拥有者,以及一个AS是否拥有通告某一IP前缀的合法授权(origin AS的真实性)。基于这一功能,BGPsec所解决的另一个问题是:一条BGP路由中的AS_PATH是否与其网络层可达信息(Network Layer Reachability Information,简称NLRI)实际传播的路径一致(即AS_APTH的完整性)。
然而,目前的BGPsec基本协议存在如下三个问题:
1)将AS_PATH中所包含的所有AS进行嵌套签名,再由路由更新消息所经过的所有AS进行解密和验证,存在处理效率过低的问题;
2)路由消息以AS号码形式包含在AS_PATH属性中,如果存在RPKI密钥泄露可直接导致BGP路由策略的泄露;
3)BGPsec只保证了路由建立的安全,但是无法实现对AS是否按照所宣告路由进行实际数据包转发的核验功能。
综上所述,基于RPKI信任体系构建的BGPsec协议受制于信任模型使其协议复杂,且难以在路由安全保障下提供高服务质量。
发明内容
本发明提供一种基于区块链的可信域间路由方法及系统,用以解决上述技术问题,能够简化协议的认证体系,并在路由安全保障下提供高服务质量。
本发明提供一种基于区块链的可信域间路由方法,包括:
源用户终端根据自身的会话建立需求向路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和被锁定的预支付奖励;
所述路由系统根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证;
当所述源用户终端检测到自身与目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
根据本发明的基于区块链的可信域间路由方法,所述源用户终端根据自身的会话建立需求向路由系统发布路由合约,并将所述路由合约存储至路由区块链中,包括:
所述源用户终端基于预设的会话唯一标识发起会话请求;其中,所述会话请求包括源地址信息、目标地址信息和端口信息;
所述源用户终端根据自身的会话建立需求确定服务质量要求参数并添加至所述会话请求中,继而将所述会话请求的路由合约发布至所述路由系统,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括所述服务质量要求参数和锁定的预支付奖励。
根据本发明的基于区块链的可信域间路由方法,所述路由系统根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中,包括:
所述路由系统中的各个路由器基于自身的路由表和转发策略对路由合约集合进行服务质量要求和预支付奖励评估,并根据评估结果进行可接受合约筛选;其中,所述路由合约集合包括所述路由系统中所有未完成的路由合约;
所述路由系统基于各个路由器的可接受合约筛选结果进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证。
根据本发明的基于区块链的可信域间路由方法,每一所述目标路由器在选择接受路由合约后,根据自身与所述目标用户终端所处自治系统的情况进行选择性操作;其中,当所述目标路由器判断自身与所述目标用户终端所处自治系统不一致时,则对下一跳路由器进行会话建立跟踪,并将修订后的路由合约发送至满足服务质量条件的下一跳路由器。
根据本发明的基于区块链的可信域间路由方法,还包括:
当所述源用户终端在预设时间内未与所述目标用户终端建立会话通道时,将所述路由合约进行撤销,继而根据修改后的会话建立需求向所述路由系统重新发布路由合约。
根据本发明的基于区块链的可信域间路由方法,所述路由区块链为公共区块链,所述资源认证区块链为联盟区块链。
根据本发明的基于区块链的可信域间路由方法,所述路由区块链为采用PoW共识机制,所述资源认证区块链为采用DPoA与BFT的混合共识机制。
根据本发明的基于区块链的可信域间路由方法,所述实际路由质量结果是通过会话数据流中的探测数据包进行检测并标记得到的。
根据本发明的基于区块链的可信域间路由方法,所述服务质量要求参数包括时延要求参数、丢包要求参数、吞吐量要求参数和抖动要求参数。
本发明还提供一种基于区块链的可信域间路由系统,包括源用户终端、路由系统和目标用户终端;
所述源用户终端,用于根据自身的会话建立需求向所述路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和锁定的预支付奖励;
所述路由系统,用于根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证;
所述源用户终端还用于,当检测到自身与所述目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
本发明提供的基于区块链的可信域间路由方法和系统,通过在会话建立请求时提出相应的服务质量要求以及预支付奖励,使得各个路由器根据自身的情况以及会话的质量要求进行路由合约选择,在完成数据通信后,根据实际会话的质量对满足要求的路由器分配相应的奖励;同时,路由系统通过资源认证区块链进行码号资源认证;从而能够简化协议的认证体系,并在路由安全保障下提供高服务质量。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的基于区块链的可信域间路由方法的流程示意图;
图2是本发明一实施例提供的BGP区块链模型示意图;
图3是本发明一实施例提供的基于区块链的可信域间路由系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,BGP(Border Gateway Protocol)协议是一种域间路由协议,也是Internet最为重要的路由协议之一。BGP协议产生于20世纪80年代。当时,Internet的前身——ARPANET快速发展,为解决因网络规模急剧扩大而导致的路由可扩展性问题。RFC827提出一种解决方案,将ARPANET从一个单一协同管理的网络转化成由多个自治系统(Autonomous System,简称AS)分散互联的网络。自治系统又称为自治域,由独立实体管理。自治域内可自由选择域内路由协议,自治域之间则采用相同的域间路由协议。最初的域间路由协议是在ARPANET中使用的EGP(Exterior Gateway Protocol),EGP协议可以说是BGP协议设计的雏形,它适用于早期基于骨干网的ARPANET,仅支持树状拓扑结构的网络。随着互联网的拓扑结构逐渐由树状向网状互联转变,EGP协议难以适应新的网络环境。此时,BGP协议作为EGP协议的替代者便应运而生。
首个BGP协议版本在RFC 1105中制定。历经多次修改,目前,互联网中实际运行的版本为BGP-4。BGP协议是一种路径矢量(path vector)协议,它支持无类别域间路由(Classless Inter-Domain Routing,CIDR)、路由聚合以及灵活多变的路由选择策略。
历史上,BGP对于互联网的商业化和全球化立下了汗马功劳。然而,BGP协议的设计在安全方面留有巨大的缺陷,这直接导致了互联网安全历史上多起重大事件的发生。所有这些安全事件及攻击行为都充分暴露了BGP路由协议在安全上的脆弱性。
基于此,有关BGP安全的研究一直非常受人关注。在国家层面,美国国土安全部于2003年正式将BGP安全纳入网络空间国家安全战略,美国国家标准与技术研究院也在2007年制定了BGP协议安全标准文档。在学术界,BGP安全也是网络安全领域的一个重要研究方向,许多研究者和安全组织一直在对其进行深入研究。比较典型的有BBN公司设计的S-BGP、Cisco公司推出的soBGP以及IETF安全域间路由(Secure Inter-Domain Routing,简称SIDR)工作组正在开发的RPKI&BGPsec协议。这些都为解决BGP安全问题提供了技术思路和努力方向。RPKI&BGPsec已成为未来大规模部署的实事标准,其中RPKI的标准化工作基本完成,体系架构已经在ICANN推动下得到五大RIR(Regional Internet Register,地区性Internet注册机构)的部署支持,BGPsec的标准化工作也在紧锣密鼓完善之中。
因为IP地址的持有关系决定其上游的AS拓扑,所以域间路由决策基于IP地址的分配情况。因此,RPKI体系的基本功能之一是对这些资源的分配提供密码学上可验证的担保。IP地址目前的分配是层次性的:层次的顶端是IANA(Internet Assigned NumbersAuthority,互联网数字分配机构);在IANA之下是五大地区性因特网注册机构(RIRs)——RIRs管理自己地域内的IP地址和AS号资源;分配层次的第三层是国家因特网注册机构(NIRs)和本地因特网注册机构(LIRs或称之为ISP)以及所谓的独立分配持有者(在某些地区,第三级也可能只由ISP/LIR和独立分配持有者构成)。
通常,IP地址块的持有者会分配其地址块的一部分给自己的部门或者与其有注册关系的机构。因为这种结构,IP地址分配可以被层次化的PKI自然地描述——每一个证书都描述一次IP地址的分配(这种描述同样适用于AS号码的分配,但是AS号码不能由除RIR和NIR之外的机构再次分配)。因此,IP地址和AS号码可以由同一套PKI维护。RPKI所解决的首要问题就是:某个AS是否是某个IP的合法拥有者,以及一个AS是否拥有通告某一IP前缀的合法授权(origin AS的真实性)。基于这一功能,BGPsec所解决的另一个问题是:一条BGP路由中的AS_PATH是否与其网络层可达信息(Network Layer Reachability Information,简称NLRI)实际传播的路径一致(即AS_APTH的完整性)。[作为路径矢量协议,BGP在传播路由时携带有重要的路径信息。路径信息一方面用于指示到达该路由的网络拓扑,另一方面也用于路由选择。BGP传播的路径信息主要包含网络层可达信息(network layerreachability information,简称NLRI)和路径属性(path attribute)。网络层可达信息包含IP前缀(prefix)和长度,用于标识目的网络的CIDR地址。路径属性描述到达该CIDR地址的路由的特殊属性。例如,AS_PATH属性列出了到达目的网络所经过的一串AS路径,NEXT_HOP属性说明了该路由的下一跳地址]。
具体而言,RPKI的证书发布体系与现有的地址分配和AS号码分配体系相吻合,它从IANA和RIR向下逐级签发资源证书,直到端实体(end entity)。端实体拥有一段不可再细分的IP地址资源,它使用自己的私钥为一段名为路由源授权(route originationauthorizations,简称ROA)的信息进行签名。ROA包含端实体的IP地址块以及端实体指定用于通告该段地址的AS号。所有证书以及ROA均通过一套分布式的RPKI证书库系统(RPKIrepository system)进行集中和分发,每台BGP路由器都可以从自己所属的ISP分发点获取各类证书和ROA。利用端实体证书对ROA信息进行认证,就可以验证AS_PATH中的origin AS是否有通告NLRI的授权。
为了解决上述的基于RPKI信任体系构建的BGPsec协议受制于信任模型使其协议复杂,且难以在路由安全保障下提供高服务质量的问题,本发明提出一种基于区块链的可信域间路由方法。
首先,以下为对部分现有技术进行解释说明:
1、区块链(Blockchain)是密码学、P2P网络、共识机制等一系列成熟技术有机结合的产物,其本质上是一种分布式数据库,具有去中心化、难以篡改、可追溯等特点,能够为不同的应用场景提供相应的业务逻辑。在典型的区块链系统中,不存在传统系统架构中的“中心”节点,反而在不可信的虚拟环境中低成本地建立信任关系和协作模式,上链的记录一旦写入区块链就很难被任何人篡改,并且公开可溯源,因此能够满足很多现实场景的需要。
简单来讲,典型的区块链是记录所有历史交易记录的列表,这些交易记录以区块(Block)为单位生成和存储,按照时间顺序首尾连接,就形成区块的链条(Chain),即区块链。区块链系统中各节点根据角色权限的不同参与区块生成、验证、存储,即由各节点共同维护整个系统的运转。生成新区块时,各节点竞争成为记账节点,记账节点将打包好的新区块广播到全网各节点,随后通常需要得到全网多数(由共识机制决定)节点的确认,各节点通过系统设定好的共识机制(PoW、PoS、PBFT等)对新区块内容达成一致,区块中的内容一旦被节点确认写入区块链,就不能被篡改或抹除,只可能被读取查询。这是因为每个区块中都包含前一区块的散列值(Hash),每个区块之间值以后块中包含前块散列值(Hash)的方式环环相扣,利用散列值(Hash)的特性保证了入链数据的不可篡改性。
2、在RPKI中,码号资源的分配者在分配资源的同时,为其下游节点签发分配资源的证书。依托RPKI提供的认证功能,IP地址最终用户单位(资源持有者)通过发布一种路由起源声明(route origin attestation,ROA)的签名对象,将特定的IP地址前缀授权给某个AS进行路由广播。
所有证书以及ROA均通过分布式的RPKI数据仓库(RPKI repository)进行集中和分发。当证书和签名对象被创建后,它们被上传到RPKI数据仓库中;同时RPKI数据仓库在全球范围内对所有的RPKI依赖方(Relying Party,RP)开放。
RPKI依赖方是RPKI系统的使用者,从RPKI中获取ROA进行验证,并将验证结果反馈给BGP路由器,BGP路由器根据验证结果构建自己的过滤表项。
如图1所示,本发明实施例提供一种基于区块链的可信域间路由方法,包括步骤:
S1、源用户终端根据自身的会话建立需求向路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和被锁定的预支付奖励。在本发明实施例中,进一步地,所述服务质量要求参数包括时延要求参数、丢包要求参数、吞吐量要求参数和抖动要求参数。
在本发明实施例中,进一步地,步骤S1包括:
所述源用户终端基于预设的会话唯一标识发起会话请求;其中,所述会话请求包括源地址信息、目标地址信息和端口信息;
所述源用户终端根据自身的会话建立需求确定服务质量要求参数并添加至所述会话请求中,继而将所述会话请求的路由合约发布至所述路由系统,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括所述服务质量要求参数和锁定的预支付奖励。
需要说明的是,在本发明实施例步骤S1中,源用户终端在建立会话时,可以使用源地址信息、目标地址信息和端口信息等参数作为会话的唯一标识,并根据自身需求确定服务质量要求参数(时延、丢包、吞吐量和抖动等参数要求),将这些服务质量要求参数添加至所述会话请求中。此外,源用户终端还向该会话宣布承诺支付的奖励(能量),这些奖励会被锁定,直至完成会话后才将奖励按要求分配至路由器。在发起会话请求时,源用户终端会将路由合约发布至路由系统,同时,路由区块链(公有链)将会存储对应的路由合约。
S2、所述路由系统根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证。
在本发明实施例中,进一步地,步骤S2包括:
所述路由系统中的各个路由器基于自身的路由表和转发策略对路由合约集合进行服务质量要求和预支付奖励评估,并根据评估结果进行可接受合约筛选;其中,所述路由合约集合包括所述路由系统中所有未完成的路由合约;
所述路由系统基于各个路由器的可接受合约筛选结果进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证。
在本发明实施例中,进一步地,每一所述目标路由器在选择接受路由合约后,根据自身与所述目标用户终端所处自治系统的情况进行选择性操作;其中,当所述目标路由器判断自身与所述目标用户终端所处自治系统不一致时,则对下一跳路由器进行会话建立跟踪,并将修订后的路由合约发送至满足服务质量条件的下一跳路由器。
在本发明实施例中,进一步地,所述路由区块链为公共区块链,所述资源认证区块链为联盟区块链。进一步地,所述路由区块链为采用PoW共识机制,所述资源认证区块链为采用DPoA与BFT的混合共识机制。
需要说明的是,在本发明实施例步骤S2中,路由系统中的路由器可以同步网络中所有未完成的路由合约,并给予其路由表和转发策略,可以根据合约的服务质量要求和所提供的奖励进行评估,选择性地接受一些路由合约。路由系统基于各个路由器的合约选择情况,规划一条到达目的地的路由路径,并使此路径上的所有路由器都签署此合约,从而构建得到会话通道。同时,将签署后的路由合约同步更新至所述路由区块链中。在此过程中,路由器会根据自身与目标用户终端是否处于同一个自治系统来确定操作,其中,如果目标用户终端与此路由器不在同一自治系统中,则路由器需要跟踪下一跳以建立此会话,然后,路由器会将修订后的路由合约发送至满足服务质量条件的下一跳路由器。
另外,路由系统还通过资源认证区块链进行码号资源认证,需要说明的是,转发策略、IP前缀、AS路径都可以与相关签名一起存储在资源认证区块链中。该资源认证区块链可以与当前IANA(互联网号码分配机构)架构下的资源管理体系配合使用,以验证数字资源所有权声明,从而避免BGP中的前缀劫持和策略作弊。
S3、当所述源用户终端检测到自身与目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
在本发明实施例中,进一步地,所述实际路由质量结果是通过会话数据流中的探测数据包进行检测并标记得到的。
需要说明的是,在本发明实施例中,当源用户终端与目标用户终端通过所述会话通道完成数据通信后,路由合约中预支付奖励将会被解锁,并根据实际路由质量结果将奖励相应的分配至各个路由器。其中,会话通信过程的数据流中会按比例夹杂对应的探测数据包,用于探测某一跳路由器是否满足转发的服务质量承诺(如丢包、时延、抖动等),满足合约的路由器将会得到对应的奖励,而未满足其承诺的路由器就不会获得相关的奖励;优选地,提供更好服务的路由器将相应地获得更多奖励。
在本发明实施例中,进一步地,所述基于区块链的可信域间路由方法还包括:
当所述源用户终端在预设时间内未与所述目标用户终端建立会话通道时,将所述路由合约进行撤销,继而根据修改后的会话建立需求向所述路由系统重新发布路由合约。
需要说明的是,在本发明实施例中,如果在预定时间内尚未建立会话,则源用户终端和路由器可以撤销合约并使用修改后的参数重新发布(例如,降低服务质量要求和/或增加提供的能量)。另外,如果检测到路由器延迟建立会话或恶意发送不合理的合约,则会受到例如降低路由优先级的惩罚。
基于上述方案,为便于更好的理解本发明实施例提供的基于区块链的可信域间路由方法,以下列举具体实例进行详细说明:
首先需要说明的是,本发明实施例的基于区块链的可信域间路由方法,主要包括两方面功能:1、提出具有路由服务质量保障能力的可信域间路由机制;2、基于区块链构造去中心化的码号资源认证体系。
1)具有QoS(服务质量)保障的路由区块链:
这个路由区块链是一个公有链,有两类参与者:用户终端(End-user)和路由器(Router)。路由器将消耗必要的能量(Energy)进行路由转发。基于每个路由器的原始前缀和转发策略,公有链将存储其对应的路由合约(RouteContract)。
如图2所示,当用户终端1与用户终端2建立会话时,用户终端1需要向网络(路由系统)发布RouteContract,其中包括该会话的路由QoS需求以及用户终端1将支付的相关能量(Energy),这些能量将被锁定。接受此合约的路由器将规划一条到达目的地的路径,并且此路径上的所有路由器都将签署此合约。
在这一会话所有数据包到达目的地之后,用户终端1会自动释放锁定的Energy,满足合约要求的路由器将会获得对应的Energy,而任何未满足其承诺的路由器就不会获得相关的能量。
数据流中会按比例夹杂对应的探测数据包,用于探测某一跳路由器是否满足转发的QoS承诺(如丢包、时延、抖动等),能量充当BGP网络中用于分组路由的“代币”,提供更好服务的路由器将相应地获得更多能量。
具体而言,上述机制包含以下过程:会话建立、数据通信和能量结算:
A)会话建立:首先,用户终端1使用一些参数来作为会话唯一标识,例如源和目标地址、端口号等。然后,将所需的QoS以指定的时延、丢包、吞吐量和抖动等参数附加到此会话。此外,源用户终端(End-user1)将向该会话宣布承诺的能量,这是对路由器的相关奖励,路由器将在此会话中执行数据包传输。然后,源用户终端将事务合约(作为特定的RouteContract)发送到由路由器组成的P2P网络(图2中的步骤1)。
对于区块链中的路由器,它们可以同步网络中所有未完成的RouteContracts。各个路由器根据其路由表和策略,可以根据对QoS要求和所提供能量的评估,选择性地接受一些RouteContract。然后,路由器将根据目标用户终端(End-user2)是否在与其相同的AS中分别进行操作:如果目标用户终端与此路由器不在同一AS中,则路由器需要跟踪下一跳以建立此会话。然后,路由器会将修订后的RouteContract发送到具有保留的Energy和QoS条件的下一跳(图2中的步骤2和步骤3)。否则,如果目标用户终端(End-user2)与该路由器在同一AS中,则意味着会话已成功建立(图2中的步骤4)。如上所述,建立的会话会将联系人分为多个事务合约。路由器将发布修订后的合约,并将其附加到原始合约中。例如,如图2所示,TX2中的等待时间要求为:
延迟(TX2)=延迟(TX1)-延迟(Router1)
因此,TX2中承诺的能量将为:
能量(TX2)=能量(TX1)-能量(Router1)
如果尚未在预定时间内建立合约,则用户终端和路由器可以撤销合约并使用修改后的参数重新发布(例如,降低QoS要求和/或增加提供的能量)。在此会话中的数据通信完全完成并由最终用户确认之前,不会向路由器支付能量。如果路由器延迟建立的会话或恶意发送不合理的合约,则会受到例如降低路由优先级的惩罚。
B)数据通信:建立会话后,数据将在此指定路径上传输。当数据通过每一跳时,路由质量将被标记,这些标记将最终用于结算抵押能量。
C)能量结算:在此会话中数据通信完全完成时,RouteContract将在合约帐户中解锁相关的能量,并且该能量将支付给每个路由器。这样,无需用户终端租用专用通信线路就可以以可信的方式实现BGP路由的QoS保障。
2)资源认证
此外,转发策略、IP前缀、AS路径都可以与相关签名一起存储在资源认证区块链中。该区块链可以与当前IANA(互联网号码分配机构)架构下的资源管理体系配合使用,以验证数字资源所有权声明,从而避免BGP中的前缀劫持和策略作弊。
这是一个联盟链,参与者包括IANA,RIR(区域互联网注册中心),NIR(国家互联网注册中心),ISP和其他资源持有者。当数字资源从IANA分配给RIR,或从RIR分配给NIR,或从NIR分配给ISP时,相关证书将附加到资源上。该信息和参与者的公共密钥将被发布到资源认证区块链。然后BGP路由器可以侦听区块链中的数据更新并立即同步数据。与当前的RPKI体系结构相比,BGP路由器无需被动获取ROA数据,因此BGP路由器可以更有效地验证收到的BGP Update消息。
3)BGP区块链架构
由上文可见,BGP区块链由两个分开的功能不同的区块链组成。因此可以使用侧链技术,因为它们重叠但参与者不同,并且将采用不同的节点管理策略和共识算法。成熟的区块链系统的共识算法主要分为两类:工作证明(PoW)系列和拜占庭容错(BFT)系列,前者通常在公共区块链中使用,而后者通常用于联盟区块链。
基于QoS的路由区块链中的节点来自全球最终用户和分布广泛的路由器,而资源认证区块链中的节点是ISP和NIR等授权实体。BGP区块链既具有公共区块链又具有联盟区块链的特征,因此考虑对资源认证区块链采用DPoA(授权委托证明)加拜占庭容错(BFT)混合共识机制,对基于QoS的路由区块链采用PoW。
资源认证区块链共识过程包括三个步骤:矿工选择,区块生成和区块确认。
A、每个资源持有者所扮演的对等节点在每个纪元开始时通过调用有表决权的智能合约随机选择N个矿工之一(其中N是当前系统中资源持有者的数量),这意味着每个资源持有者都具有平等的出块权。当投票阶段结束时,投票列表顶部(例如)中的21个候选矿工将在该时期成为选定的矿工,并为区块生成阶段做好准备。
B、21名矿工按伪随机数随机排序,然后逐个成为见证人。每一次,唯一见证人从记录池中收集有效记录,并将它们打包到一个新块中,并在签名后将其广播给其他矿工。每个见证人都有15秒的时间来生成新的区块。否则,将跳过该见证人,下一位矿工将成为见证人,以继续收集记录并生成新的区块。
C、基于DPoA共识,资源认证区块链在区块确认过程中增加了BFT共识,提高了容错性和安全性,加快了确认速度。新块不再需要立即由其他节点进行验证,而是将确认延迟一段时间。例如,在当前见证人X向其他矿工广播新区块A之后,下一个矿工Y成为见证人。Y将基于块A打包一个新的块B,并将B广播到其他节点。之后,X接收到块B,相当于由Y一次确认X生成的块A。当X累积15[(2/3of 21)+1]个块的确认时,块A最终将被确认并进入非回滚状态。
在DPoA机制中,矿工合作生成一个区块。此外,矿工节点的顺序是在一个纪元开始时就预先确定的,这使得资源认证区块链几乎没有分叉问题。
下面对本发明提供的基于区块链的可信域间路由系统进行描述,下文描述的基于区块链的可信域间路由系统与上文描述的基于区块链的可信域间路由方法可相互对应参照。
请参见图3,本发明实施例提供了一种基于区块链的可信域间路由系统,包括源用户终端、路由系统和目标用户终端;
所述源用户终端,用于根据自身的会话建立需求向所述路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和锁定的预支付奖励;
所述路由系统,用于根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证;
所述源用户终端还用于,当检测到自身与所述目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
本案实施例的基于区块链的可信域间路由系统的工作原理与上述实施例的基于区块链的可信域间路由方法是相应的,此处不再一一赘述。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于区块链的可信域间路由方法,其特征在于,包括:
源用户终端根据自身的会话建立需求向路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和被锁定的预支付奖励;
所述路由系统根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证;
当所述源用户终端检测到自身与目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
2.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,所述源用户终端根据自身的会话建立需求向路由系统发布路由合约,并将所述路由合约存储至路由区块链中,包括:
所述源用户终端基于预设的会话唯一标识发起会话请求;其中,所述会话请求包括源地址信息、目标地址信息和端口信息;
所述源用户终端根据自身的会话建立需求确定服务质量要求参数并添加至所述会话请求中,继而将所述会话请求的路由合约发布至所述路由系统,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括所述服务质量要求参数和锁定的预支付奖励。
3.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,所述路由系统根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中,包括:
所述路由系统中的各个路由器基于自身的路由表和转发策略对路由合约集合进行服务质量要求和预支付奖励评估,并根据评估结果进行可接受合约筛选;其中,所述路由合约集合包括所述路由系统中所有未完成的路由合约;
所述路由系统基于各个路由器的可接受合约筛选结果进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证。
4.根据权利要求3所述的基于区块链的可信域间路由方法,其特征在于,每一所述目标路由器在选择接受路由合约后,根据自身与所述目标用户终端所处自治系统的情况进行选择性操作;其中,当所述目标路由器判断自身与所述目标用户终端所处自治系统不一致时,则对下一跳路由器进行会话建立跟踪,并将修订后的路由合约发送至满足服务质量条件的下一跳路由器。
5.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,还包括:
当所述源用户终端在预设时间内未与所述目标用户终端建立会话通道时,将所述路由合约进行撤销,继而根据修改后的会话建立需求向所述路由系统重新发布路由合约。
6.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,所述路由区块链为公共区块链,所述资源认证区块链为联盟区块链。
7.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,所述路由区块链为采用工作证明PoW共识机制,所述资源认证区块链为采用授权委托证明DPoA与拜占庭容错BFT的混合共识机制。
8.根据权利要求1所述的基于区块链的可信域间路由方法,其特征在于,所述实际路由质量结果是通过会话数据流中的探测数据包进行检测并标记得到的。
9.根据权利要求1-8任一项所述的基于区块链的可信域间路由方法,其特征在于,所述服务质量要求参数包括时延要求参数、丢包要求参数、吞吐量要求参数和抖动要求参数。
10.一种基于区块链的可信域间路由系统,其特征在于,包括源用户终端、路由系统和目标用户终端;
所述源用户终端,用于根据自身的会话建立需求向所述路由系统发布路由合约,并将所述路由合约存储至路由区块链中;其中,所述路由合约包括服务质量要求参数和锁定的预支付奖励;
所述路由系统,用于根据接收到的路由合约进行路由规划得到由若干个目标路由器组成的路由路径,以使每一所述目标路由器分别对所述路由合约进行签署以建立会话通道,并将签署后的路由合约同步更新至所述路由区块链中;其中,所述路由系统通过资源认证区块链进行码号资源认证;
所述源用户终端还用于,当检测到自身与所述目标用户终端通过所述会话通道完成数据通信后,对所述预支付奖励进行解锁并根据检测到的实际路由质量结果对每一所述目标路由器进行奖励结算。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177237.3A CN114079632B (zh) | 2021-10-09 | 2021-10-09 | 一种基于区块链的可信域间路由方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177237.3A CN114079632B (zh) | 2021-10-09 | 2021-10-09 | 一种基于区块链的可信域间路由方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114079632A CN114079632A (zh) | 2022-02-22 |
CN114079632B true CN114079632B (zh) | 2023-06-30 |
Family
ID=80283300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111177237.3A Active CN114079632B (zh) | 2021-10-09 | 2021-10-09 | 一种基于区块链的可信域间路由方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114079632B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114827002B (zh) * | 2022-03-17 | 2023-04-07 | 西安电子科技大学 | 多域网络安全路径计算方法、系统、设备、介质及终端 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583712A (zh) * | 2019-09-30 | 2021-03-30 | 北京京东尚科信息技术有限公司 | 区块链路由器及区块链网络 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2232808A4 (en) * | 2007-12-17 | 2012-10-17 | Indian Inst Technology Bombay | ARCHITECTURAL STRUCTURE OF A COMMUNICATION NETWORK AND METHOD OF ESTABLISHING A QOS CONNECTION |
CN108924054B (zh) * | 2018-06-27 | 2019-04-16 | 中国人民解放军国防科技大学 | 一种多优先级的跨域资源预约集成服务保障方法 |
CN110855565B (zh) * | 2019-11-22 | 2021-07-20 | 广州大学 | 一种基于区块链的可验证域间路由验证方法 |
CN112995097B (zh) * | 2019-12-13 | 2023-09-22 | 中兴通讯股份有限公司 | 跨域访问系统及方法、装置 |
-
2021
- 2021-10-09 CN CN202111177237.3A patent/CN114079632B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583712A (zh) * | 2019-09-30 | 2021-03-30 | 北京京东尚科信息技术有限公司 | 区块链路由器及区块链网络 |
Also Published As
Publication number | Publication date |
---|---|
CN114079632A (zh) | 2022-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lu et al. | DRRS-BC: Decentralized routing registration system based on blockchain | |
Saad et al. | RouteChain: Towards blockchain-based secure and efficient BGP routing | |
Zhang et al. | SCION: Scalability, control, and isolation on next-generation networks | |
Lepinski et al. | An infrastructure to support secure internet routing | |
US20210160067A1 (en) | Method for bidirectional authorization of blockchain-based resource public key infrastructure | |
CN109327562A (zh) | 一种基于区块链的域名存储系统及方法 | |
WO2016082275A1 (zh) | 一种基于逐跳监督的bgp路由验证方法 | |
CN102132532A (zh) | 用于避免不需要的数据分组的方法和装置 | |
CN111106940A (zh) | 一种基于区块链的资源公钥基础设施的证书交易验证方法 | |
CN111726368B (zh) | 一种基于SRv6的域间源地址验证的方法 | |
He et al. | ROAchain: Securing route origin authorization with blockchain for inter-domain routing | |
CN113726665B (zh) | 基于区块链的边界网关路由的更新方法 | |
Siddiqui et al. | A survey on the recent efforts of the Internet Standardization Body for securing inter-domain routing | |
Huston et al. | Securing bgp with bgpsec | |
CN114079632B (zh) | 一种基于区块链的可信域间路由方法及系统 | |
CN111771390A (zh) | 自组织网络 | |
CN104410635B (zh) | 一种基于dane的ndn安全认证方法 | |
Yan et al. | BGPChain: Constructing a secure, smart, and agile routing infrastructure based on blockchain | |
Ali et al. | Improving PKI, BGP, and DNS using blockchain: A systematic review | |
Lepinski et al. | RFC 6480: an infrastructure to support secure Internet routing | |
Paillisse et al. | Decentralized trust in the inter-domain routing infrastructure | |
Tehrani et al. | SoK: Public key and namespace management in NDN | |
Podili et al. | Inter-domain prefix and route validation using fast and scalable DAG based distributed ledger for secure BGP routing | |
Adnane et al. | Trust-based countermeasures for securing OLSR protocol | |
Eichler et al. | Performance analysis of scalable certificate revocation schemes for ad hoc networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |