CN114513317B - 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 - Google Patents
一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN114513317B CN114513317B CN202011162057.3A CN202011162057A CN114513317B CN 114513317 B CN114513317 B CN 114513317B CN 202011162057 A CN202011162057 A CN 202011162057A CN 114513317 B CN114513317 B CN 114513317B
- Authority
- CN
- China
- Prior art keywords
- transaction
- endorsement
- node
- nodes
- endorsement nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000008569 process Effects 0.000 claims abstract description 22
- 238000005259 measurement Methods 0.000 claims abstract description 7
- 230000002452 interceptive effect Effects 0.000 claims abstract description 6
- 238000012545 processing Methods 0.000 claims description 36
- 230000015654 memory Effects 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 10
- 239000013598 vector Substances 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012856 packing Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 239000003999 initiator Substances 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012886 linear function Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文提供了抗分布式拒绝服务攻击方法、系统、设备及存储介质,其中,方法包括:随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;向所述指定背书节点及所述形式背书节点发送交易背书请求。本文通过设置形式背书节点来进行形式化背书,并在区块链节点进行交易过程中,随机向形式背书节点发送交易背书请求,能够传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
Description
技术领域
本文涉及区块链领域,尤其涉及一种抗分布式拒绝服务攻击方法、系统、设备及存储介质。
背景技术
联盟区块链系统的准入需要身份认证,对系统外部的攻击者具有较好的抵御能力,但是对于联盟区块链系统内部的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击行为的抵御能力较弱。导致联盟区块链系统对分布式拒绝服务攻击行为抵御能力较弱的原因为:首先,区块链本身具有数据共享和智能合约功能共享的特征,联盟DDoS内部攻击者能够低成本地获取区块链数据以及智能合约功能的调用权限;其次,内部攻击的隐蔽性,内部攻击往往能够把DDoS垃圾交易伪装成为正常的交易,通过发起不同密度的垃圾交易,进而拖慢系统交易处理速度,甚至造成系统交易处理过程的堵塞乃至崩溃;最后,联盟区块链在DDoS攻击方面符合“短板理论”,联盟中不同参与者的信息安全措施良莠不齐,尤其是规模较大的联盟,容易出现因为个别企业的信息安全漏洞被利用,导致数字证书与私钥外泄被利用的情况。
发明内容
本文用于解决现有技术中联盟区块链系统的抗DDoS能力弱,存在内部攻击风险的问题。
为了解决上述技术问题,本文的第一方面提供一种抗分布式拒绝服务攻击方法,包括:
随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;
向所述指定背书节点及形式背书节点发送交易背书请求。
本文一实施例中,随机从冗余背书节点中选定形式背书节点,包括:
根据历史交易的指定背书节点个数及交易金额,确定安全背书节点数目;
根据所述安全背书节点数目,生成伪随机数组;
根据所述伪随机数组,从所述冗余背书节点中确定形式背书节点。
本文进一步实施例中,根据历史交易的指定背书节点个数及交易金额,确定安全背书节点数目,包括:
根据历史交易的指定背书节点个数及交易金额,构建二维向量;
从历史交易对应的二维向量中,选定与当前交易距离最远的一批交易的指定背书节点个数;
计算所述选定交易中指定背书节点个数的平均值;
将所述平均值作为安全背书节点数目。
本文进一步实施例中,抗分布式拒绝服务攻击方法还包括:
根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间;
将所述交易合法限制时间发送至共识节点,以使共识节点判断当前交易的背书与区块打包之间的时间差是否大于所述交易合法限制时间,若大于,则确定当前交易失效。
本文进一步实施例中,根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间,包括利用如下公式计算交易合法限制时间:
Ti=F(ci,txi,Ti-1);
其中,Ti表示当前交易的交易合法限制时间,F(·)表示交易合法限制时间函数,ci表示发起交易的节点类型向量,txi表示当前交易的交易类型,Ti-1表示前一交易的合法交易时间限制。
本文进一步实施例中,抗分布式拒绝服务攻击方法还包括:
设置待处理交易的处理费信息;
将待处理交易的处理费信息附加至待处理交易后发送至共识节点,以使共识节点按待处理交易的处理费从高到低的顺序处理所述待处理交易。
本文进一步实施例中,设置每笔交易的处理费包括:
根据每笔交易的金额,设置每笔交易的处理费。
本文的第二方面,还提供一种抗分布式拒绝服务攻击系统,包括:
安全背书节点确定模块,用于随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;
交易模块,用于向所述指定背书节点及形式背书节点发送交易背书请求。
本文的第三方面,还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述任一实施例所述的抗分布式拒绝服务攻击方法。
本文的第四方面,还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行计算机程序,所述计算机程序被处理器执行时实现前述任一实施例所述的抗分布式拒绝服务攻击方法。
本文提供的抗分布式拒绝服务攻击方法、系统、计算机设备及计算机存储介质,通过设置形式背书节点来进行形式化背书,并在交易响应过程中,随机向形式背书节点发送交易背书请求,能够传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
为让本文的上述和其它目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本文实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了本文实施例抗分布式拒绝服务攻击的方法的第一流程图;
图2示出了本文实施例形式背书节点选取过程的流程图;
图3示出了本文实施例抗分布式拒绝服务攻击的方法的第二流程图;
图4示出了本文实施例抗分布式拒绝服务攻击的方法的第三流程图;
图5示出了本文实施例抗分布式拒绝服务攻击系统的第一结构图;
图6示出了本文实施例抗分布式拒绝服务攻击系统的第二结构图;
图7示出了本文实施例抗分布式拒绝服务攻击系统的第三结构图;
图8示出了本文实施例区块链网络中节点的结构示意图。
附图符号说明:
510、安全背书节点确定模块;
520、交易模块;
530、交易合法限制时间模块;
540、处理费模块;
802、计算机设备;
804、处理器;
806、存储器;
808、驱动机构;
810、输入/输出模块;
812、输入设备;
814、输出设备;
816、呈现设备;
818、图形用户接口;
820、网络接口;
822、通信链路;
824、通信总线。
具体实施方式
下面将结合本文实施例中的附图,对本文实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文一部分实施例,而不是全部的实施例。基于本文中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本文保护的范围。
本文提供的抗DDoS攻击方法及系统适用于私有链、联盟链等不是所有人可见可读的现有区块链网络,本文对其具体适用区块链类型不做限定。区块链交易处理过程可概述为:
1)交易发送方创建交易后,发送交易背书请求至交易的指定背书节点;
2)指定背书节点对交易进行背书(即数字签名),将交易背书返回至交易发送方;
3)交易发送方接收交易背书,根据接收到的交易背书,确定交易是否已被背书,若交易已被背书,则执行4),若交易超过预定时间段后仍未确定是否已被背书,则放弃该交易;
4)交易发送方发送交易信息至共识节点,以由共识节点进行共识验证、生成区块以及将区块存储至区块链中其它节点中。
上述步骤1)中的背书节点为能够通过其自身的数字签名赋予交易合法性的区块链节点,具体数字签名过程可参见现有技术,本文对此不作限定。
上述步骤3)实施时,可根据背书策略确定交易是否已被背书,背书策略例如为根据接收到的交易背书的个数确定交易是否已被背书,当接收到的交易背书的个数大于预定值时,则认为交易已被背书,反之,则交易未被背书。
上述步骤4)实施时,由共识节点对交易信息进行共识验证,将验证通过的交易写到区块中,并将区块存储于区块链中的各节点中。共识节点可由区块链中的管理节点确定,具体生成区块的过程参见现有技术,本文对此不再详述。
需要说明的是,本文所述的共识节点及背书节点仅为功能上不同,具体实施时,区块链网络中的节点既可以为共识节点,也可以为背书节点。
本文一实施例中,如图1所示,图1示出了本文实施例抗分布式拒绝服务攻击方法的第一流程图,本实施例能够解决现有技术中区块链系统的抗DDoS能力弱、存在内部攻击风险的问题,具体的,抗分布式拒绝服务攻击方法包括:
步骤110,随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;
步骤120,组合所述形式背书节点及所述指定背书节点为安全背书节点集合;
步骤130,向所述安全背书节点集合中的指定背书节点及形式背书节点发送交易背书请求。
本实施例提供的抗分布式拒绝服务攻击方法应用于交易发起方的背书阶段(即当前交易的指定背书节点对交易进行数字签名的阶段),该交易发起方为连接区块链中节点的客户端。
区块链网络需要由区块链中交易相关的节点对交易进行数字签名,即背书,借此来保证交易的合法性,没有获得合法背书的节点将不能写入区块。区块链网络中包括多个背书节点,该些背书节点为能够通过其自身的数字签名赋予交易合法性的区块链节点,可由管理方进行设定。
上述指定背书节点为参与交易的区块链节点。冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点,即冗余背书节点为与交易无关的区块链节点,还可称之为对等节点。交易背书请求中的交易类型字段仅能被指定背书节点解密,因此,形式背书节点并不知晓交易的具体内容,仅能对交易进行数字签名,且该数字签名并不真正影响交易的合法性,对交易没有实质性影响,仅进行了形式化背书。指定背书节点因能够解密交易背书请求中的交易类型,因此,能够知晓交易的具体内容,可以对交易进行数字签名,实现真正影响交易的合法性。
区块链网络中的DDoS内部攻击者采用如下方式进行攻击:首先,通过检测对等节点与背书节点之间的数据流,并结合最终区块内的交易数据来学习和预判区块链成员所进行的交易类型,交易类型例如为高价值交易与低价值交易等;其次,基于对当前区块链网络中数据流及交易类型等交易情况,DDoS内部攻击者会根据自身的攻击策略在最佳时间发起DDoS攻击。本实施例通过设置形式背书节点来进行形式化背书,并在区块链节点进行交易过程中,随机向形式背书节点发送交易背书请求,能够传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
本文一实施例中,如图2所示,上述步骤110中随机从冗余背书节点中选定形式背书节点的过程包括:
步骤210,根据历史交易中指定背书节点个数及交易金额,确定安全背书节点数目;
步骤220,根据所述安全背书节点数目,生成伪随机数组;
步骤230,根据所述伪随机数组,从所述冗余背书节点中确定形式背书节点。
一些实施方式中,上述步骤210根据历史交易中指定背书节点个数及交易金额,确定安全背书节点数目,包括:
步骤211,根据历史交易的指定背书节点个数及交易金额,构建二维向量;
步骤212,从历史交易对应的二维向量中,选定与当前交易距离最远的一批交易的指定背书节点个数;
步骤213,计算选定交易中指定背书节点个数的平均值;
步骤214,将平均值作为安全背书节点数目。
本实施方式使得引起攻击者混淆的交易与真实交易最不相似,进而使得攻击者的推断获得最大程度干扰,能够提高计算结果的鲁棒性,使得发送给形式背书节点的交易背书请求(即冗余交易)更符合常理,避免因最远交易是离群点而使得抗分布式拒绝服务攻击方法失效。
其它实施方式中,还可根据与当前交易相差预定距离之上的历史交易的指定背书节点个数,确安全背节点数目。
上述步骤220实施时,可利用直接法、逆转法、接收拒绝法生成伪随机数,本文对伪随机数的生成算法不做具体限定。生成的伪随机数据组的数值分别与冗余背书节点中的节点相对应。
为了有效抵御背书阶段及共识阶段来自区块链DDoS内部攻击者的攻击,本文一实施例中,如图3所示,抗分布式拒绝服务攻击方法包括:
步骤310,随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;
步骤320,组合所述形式背书节点及所述指定背书节点为安全背书节点集合;
步骤330,向所述安全背书节点集合中的指定背书节点及形式背书节点发送交易背书请求,指定背书节点及形式背书节点对接收到的交易背书请求进行数字签名(背书),赋予交易合法性;
步骤340,根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间;
步骤350,发送交易合法限制时间至共识节点,以使共识节点进行共识验证时判断当前交易的背书与区块打包之间的时间差是否大于所述交易合法限制时间,若大于,则确定当前交易失效。详细的说,共识节点只有于交易合法时,才对交易进行共识验证。
详细的说,交易合法限制时间既能满足合法交易能够有足够时间传递、等待直至被区块打包确认,还能使得大多数积攒已背书但未确认交易的行为失效。不同交易类型的交易对应的交易合法限制时间不同,本文对齐具体取值不做限定。
一些实施方式中,上述步骤340根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间,包括利用如下公式计算交易合法限制时间:
Ti=F(ci,txi,Ti-1);
其中,Ti表示当前交易的交易合法限制时间,F(·)表示交易合法限制时间函数,ci表示发起交易的节点类型向量,txi表示当前交易的交易类型,Ti-1表示前一交易的合法交易时间限制。
本实施例中所述的交易合法限制时间函数例如为线性函数,本文对其具体形式不做限定。
本实施例通过设置形式背书节点来进行形式化背书,并在区块链节点进行交易过程中,随机向形式背书节点发送交易背书请求,能够传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。通过设置交易合法限制时间能够使得背书和区块打包确认之间的时间差大于该交易合法限制时间的交易自动失效,使其短时间内无法发起大量已背书但未确认的垃圾交易,有效限制DDoS攻击。
为了有效抵御背书阶段、共识阶段来自区块链内部的DDoS攻击,本文一实施例中,如图4所示,抗分布式拒绝服务攻击方法包括:
步骤410,随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点;
步骤420,组合所述形式背书节点及所述指定背书节点为安全背书节点集合;
步骤430,向所述安全背书节点集合中的指定背书节点及形式背书节点发送交易背书请求,指定背书节点及形式背书节点对接收到的交易背书请求进行数字签名(背书),赋予交易合法性;
步骤440,根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间;
步骤450,发送交易合法限制时间至共识节点,以使共识节点进行共识验证时判断当前交易的背书与区块打包之间的时间差是否大于所述交易合法限制时间,若大于,则确定当前交易失效。
步骤460,设置待处理交易的处理费信息;
步骤470,将待处理交易的处理费信息附加至待处理交易后发送至共识节点,共识节点为了寻求利益最大化,首先会处理交易处理费最高的交易请求,接着处理交易处理费第二高的交易请求,依次类推,即共识节点会按待处理交易的处理费从高到低的顺序处理所述待处理交易,即对待处理交易进行共识验证,并根据共识验证后的交易生成区块。
共识节点处理待处理交易时,先从待处理交易中读取附加的交易处理费信息,然后根据读取到的交易处理费信息收取交易处理费,完成交易处理费后处理待处理交易。
一些实施方式中,步骤460中,可根据待处理交易的金额,设置待处理交易的处理费。通常情况下,对于金额较大的交易,交易发起方往往会设置较高的交易费,反之则设置较低的交易费。
通过步骤460及步骤470的设置,能够使得区块链网络中的DDoS内部攻击者若想实现DDoS攻击的目的,需要DDoS内部攻击者为其每笔垃圾交易设置较高的交易费,才能保证垃圾交易可以挤占正常交易,但这会使得DDoS内部攻击者付出高昂的攻击成本。否则,若垃圾交易的交易费被设置在极低水平,则无法成功挤占正常交易的位置,因而达不到DDoS攻击的目的。因此,步骤460及步骤470从提高攻击成本的角度实现了区块链对内部DDoS攻击的防御。
本实施例具体实施时,步骤410-步骤430、步骤440-步骤450、步骤460-步骤470可单独作为抗分布式拒绝服务攻击方法执行,还可以任意两个组合后作为抗分布式拒绝服务攻击方法执行,任何变形的抗分布式拒绝服务攻击方法均能实现抗DDoS的技术效果。上述步骤410-步骤470仅用于说明本文技术方案,并不用于限定各步骤的执行顺序,具体实施时,可调整步骤410-步骤470的执行顺序。
本文通过随机设置形式背书节点,能够有效干扰联盟区块链DDoS内部攻击者对当前未确认交易的交易类型分布的判断;通过设置交易合法限制时间,能够使得DDoS内部攻击者积攒储备已背书但未确认的交易的行为无效;通过设置交易处理费用,能够提高DDoS内部攻击者的攻击成本。通过上述任意设置均能有效阻止DDoS攻击行为。
基于同一发明构思,本文还提供一种抗分布式拒绝服务攻击系统,如下面的实施例所述。实施时,抗分布式拒绝服务攻击系统安装于交易发起方的终端设备中,具体的,如图5所示,抗分布式拒绝服务攻击系统包括:
安全背书节点确定模块510,用于随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点。
交易模块520,用于向所述指定背书节点及形式背书节点发送交易背书请求。
一些实施方式中,安全背书节点确定模块510随机从冗余背书节点中选定形式背书节点的过程包括:根据历史交易中指定背书节点个数及交易金额,确定安全背书节点数目;根据所述安全背书节点数目,生成伪随机数组;根据所述伪随机数组,从所述冗余背书节点中确定形式背书节点。
本实施例通过由安全背书节点确定模块510设置形式背书节点来进行形式化背书,并在区块链节点进行交易过程中,随机向形式背书节点发送交易背书请求,能够传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
本文一实施例中,如图6所示,抗分布式拒绝服务攻击系统除了包括安全背书节点确定模块510及交易模块520外,还包括:交易合法限制时间模块530,用于根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间,发送交易合法限制时间至共识节点,以使共识节点进行共识验证时判断当前交易的背书与区块打包之间的时间差是否大于所述交易合法限制时间,若大于,则确定当前交易失效。
本实施例通过设置交易合法限制时间能够使得背书和区块打包确认之间的时间差大于该交易合法限制时间的交易自动失效,使其短时间内无法发起大量已背书但未确认的垃圾交易,有效限制DDoS攻击。
本文一实施例中,如图7所示,抗分布式拒绝服务攻击系统除了包括安全背书节点确定模块510、交易模块520及交易合法限制时间模块530外,还包括:处理费模块540,用于设置待处理交易的处理费信息,将待处理交易的处理费信息附加至待处理交易后发送至共识节点,以使共识节点按待处理交易的处理费从高到低的顺序处理所述待处理交易,即对待处理交易进行共识验证,并根据共识验证后的交易生成区块。
一些实施方式中,处理费模块540可根据待处理交易的金额,设置待处理交易的处理费。通常情况下,对于金额较大的交易,交易发起方往往会设置较高的交易费,反之则设置较低的交易费。
本实施例通过设置处理费模块540,能够使得区块链网络中的DDoS内部攻击者要么为DDoS攻击中大量的垃圾交易支付高额的交易处理费用,要么只能等待有实际价值的交易被确认之后,垃圾交易才被确认。因此,处理费模块540从提高攻击成本的角度实现了区块链对内部DDoS攻击的防御。
本文一实施例中,如图8所示,图8示出了本文实施例区块链节点的结构示意图,在本实施例中描述的区块链节点包括背书节点及共识节点,所述区块链节点在本实施例中被称为计算机设备,计算机设备802可以包括一个或多个处理器804,诸如一个或多个中央处理单元(CPU),每个处理单元可以实现一个或多个硬件线程,处理器804处理存储器806存储的计算机程序时实现前述任一实施例所述的抗分布式拒绝服务攻击方法。计算机设备802还可以包括任何存储器806,其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的,比如,存储器806可以包括以下任一项或多种组合:任何类型的RAM,任何类型的ROM,闪存设备,硬盘,光盘等。更一般地,任何存储器都可以使用任何技术来存储信息。进一步地,任何存储器可以提供信息的易失性或非易失性保留。进一步地,任何存储器可以表示计算机设备802的固定或可移除部件。在一种情况下,当处理器804执行被存储在任何存储器或存储器的组合中的相关联的指令时,计算机设备802可以执行相关联指令的任一操作。计算机设备802还包括用于与任何存储器交互的一个或多个驱动机构808,诸如硬盘驱动机构、光盘驱动机构等。
计算机设备802还可以包括输入/输出模块810(I/O),其用于接收各种输入(经由输入设备812)和用于提供各种输出(经由输出设备814))。一个具体输出机构可以包括呈现设备816和相关联的图形用户接口818(GUI)。在其它实施例中,还可以不包括输入/输出模块810(I/O)、输入设备812以及输出设备814,仅作为网络中的一台计算机设备。计算机设备802还可以包括一个或多个网络接口820,其用于经由一个或多个通信链路822与其它设备交换数据。一个或多个通信总线824将上文所描述的部件耦合在一起。
通信链路822可以以任何方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任何组合。通信链路822可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
本文一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一实施例所述的抗分布式拒绝服务攻击方法的步骤。
本文一实施例中,还提供一种计算机可读指令,其中当处理器执行所述指令时,其中的程序使得处理器执行上述任一实施例所述的抗分布式拒绝服务攻击方法的步骤。
应理解,在本文的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本文实施例的实施过程构成任何限定。
还应理解,在本文实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本文的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本文所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文实施例方案的目的。
另外,在本文各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本文的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本文各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本文中应用了具体实施例对本文的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本文的方法及其核心思想;同时,对于本领域的一般技术人员,依据本文的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本文的限制。
Claims (10)
1.一种抗分布式拒绝服务攻击方法,其特征在于,包括:
随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点,形式背书节点并不知晓交易的具体内容,仅能对交易进行数字签名,且该数字签名并不真正影响交易的合法性;
向所述指定背书节点发送交易背书请求,随机向所述形式背书节点发送交易背书请求,以传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
2.如权利要求1所述的抗分布式拒绝服务攻击方法,其特征在于,随机从冗余背书节点中选定形式背书节点,包括:
根据历史交易的指定背书节点个数及交易金额,确定安全背书节点数目;
根据所述安全背书节点数目,生成伪随机数组;
根据所述伪随机数组,从所述冗余背书节点中确定形式背书节点。
3.如权利要求2所述的抗分布式拒绝服务攻击方法,其特征在于,根据历史交易的指定背书节点个数及交易金额,确定安全背书节点数目,包括:
根据历史交易的指定背书节点个数及交易金额,构建二维向量;
从历史交易对应的二维向量中,选定与当前交易距离最远的一批交易的指定背书节点个数;
计算选定的交易中指定背书节点个数的平均值;
将所述平均值作为安全背书节点数目。
4.如权利要求1所述的抗分布式拒绝服务攻击方法,其特征在于,还包括:
根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间;
发送所述交易合法限制时间至共识节点,以使共识节点判断当前交易的背书与区块打包之间的时间差是否大于所述交易合法限制时间,若大于,则确定当前交易失效。
5.如权利要求4所述的抗分布式拒绝服务攻击方法,其特征在于,根据发起交易的节点类型、当前交易的交易类型及上一交易的合法交易时间限制,确定交易合法限制时间,包括利用如下公式计算交易合法限制时间:
Ti=F(ci,txi,Ti-1);
其中,Ti表示当前交易的交易合法限制时间,F(·)表示交易合法限制时间函数,ci表示发起交易的节点类型向量,txi表示当前交易的交易类型,Ti-1表示前一交易的合法交易时间限制。
6.如权利要求1所述的抗分布式拒绝服务攻击方法,其特征在于,还包括:
设置待处理交易的处理费信息;
将待处理交易的处理费信息附加至所述待处理交易后发送至共识节点,以使共识节点按待处理交易的处理费从高到低的顺序处理所述待处理交易。
7.如权利要求6所述的抗分布式拒绝服务攻击方法,其特征在于,设置每笔交易的处理费包括:
根据每笔交易的金额,设置每笔交易的处理费。
8.一种抗分布式拒绝服务攻击系统,其特征在于,包括:
安全背书节点确定模块,用于随机从冗余背书节点中选定形式背书节点,所述冗余背书节点为区块链中除去当前交易的指定背书节点外的背书节点,形式背书节点并不知晓交易的具体内容,仅能对交易进行数字签名,且该数字签名并不真正影响交易的合法性;
交易模块,用于向所述指定背书节点发送交易背书请求,随机向所述形式背书节点发送交易背书请求,以传递虚假的交易类型判断信息给DDoS内部攻击者,达到干扰DDoS内部攻击者的交易类型判断的目的,进而使得DDoS内部攻击者的攻击测量难以有效展开。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的抗分布式拒绝服务攻击方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行计算机程序,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的抗分布式拒绝服务攻击方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011162057.3A CN114513317B (zh) | 2020-10-27 | 2020-10-27 | 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011162057.3A CN114513317B (zh) | 2020-10-27 | 2020-10-27 | 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114513317A CN114513317A (zh) | 2022-05-17 |
CN114513317B true CN114513317B (zh) | 2024-06-04 |
Family
ID=81546671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011162057.3A Active CN114513317B (zh) | 2020-10-27 | 2020-10-27 | 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114513317B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115129266B (zh) * | 2022-09-01 | 2023-01-06 | 北京百度网讯科技有限公司 | 基于区块链的数据存储方法、装置、设备及存储介质 |
WO2024061453A1 (en) * | 2022-09-21 | 2024-03-28 | Huawei Cloud Computing Technologies Co., Ltd. | Preventing denial of service by exploitive members in permissioned blockchain networks |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360238A (zh) * | 2017-07-25 | 2017-11-17 | 光载无限(北京)科技有限公司 | 基于区块链cpow共识算法的智能合约网关 |
CN108876377A (zh) * | 2018-07-06 | 2018-11-23 | 杭州复杂美科技有限公司 | 一种防止重复支付的方法和系统 |
CN110033373A (zh) * | 2019-03-12 | 2019-07-19 | 平安科技(深圳)有限公司 | 区块链中背书的装置、方法及存储介质 |
CN110533429A (zh) * | 2019-08-30 | 2019-12-03 | 北京金山云网络技术有限公司 | 区块链中的交易背书方法、装置和区块链网络 |
CN111047319A (zh) * | 2019-09-03 | 2020-04-21 | 腾讯科技(深圳)有限公司 | 区块链网络的交易处理方法及区块链网络 |
CN111415153A (zh) * | 2020-03-17 | 2020-07-14 | 联想(北京)有限公司 | 处理方法、电子设备及基于区块链的交易方法 |
CN111629039A (zh) * | 2020-05-20 | 2020-09-04 | 中国银联股份有限公司 | 一种区块链共识方法及客户端、背书节点、排序节点 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11323243B2 (en) * | 2019-04-05 | 2022-05-03 | International Business Machines Corporation | Zero-knowledge proof for blockchain endorsement |
-
2020
- 2020-10-27 CN CN202011162057.3A patent/CN114513317B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360238A (zh) * | 2017-07-25 | 2017-11-17 | 光载无限(北京)科技有限公司 | 基于区块链cpow共识算法的智能合约网关 |
CN108876377A (zh) * | 2018-07-06 | 2018-11-23 | 杭州复杂美科技有限公司 | 一种防止重复支付的方法和系统 |
CN110033373A (zh) * | 2019-03-12 | 2019-07-19 | 平安科技(深圳)有限公司 | 区块链中背书的装置、方法及存储介质 |
CN110533429A (zh) * | 2019-08-30 | 2019-12-03 | 北京金山云网络技术有限公司 | 区块链中的交易背书方法、装置和区块链网络 |
CN111047319A (zh) * | 2019-09-03 | 2020-04-21 | 腾讯科技(深圳)有限公司 | 区块链网络的交易处理方法及区块链网络 |
CN111415153A (zh) * | 2020-03-17 | 2020-07-14 | 联想(北京)有限公司 | 处理方法、电子设备及基于区块链的交易方法 |
CN111629039A (zh) * | 2020-05-20 | 2020-09-04 | 中国银联股份有限公司 | 一种区块链共识方法及客户端、背书节点、排序节点 |
Non-Patent Citations (2)
Title |
---|
一种面向Fabric区块链应用软件的体系结构演化算法;赵会群;张隆龙;;软件;20200715(第07期);第1-10页 * |
区块链平台安全机制研究;梅秋丽;龚自洪;刘尚焱;王妮娜;;信息安全研究;20200105(第01期);第1-11页 * |
Also Published As
Publication number | Publication date |
---|---|
CN114513317A (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110771088B (zh) | 用于解决在网络故障情况下与区块链外通道相关出现的安全性相关漏洞的系统和方法 | |
CN111480315B (zh) | 使用低熵密码授权区块链交易的计算机实现的系统和方法 | |
JP7152424B6 (ja) | 暗号資産の回復のための分散型プロトコルを提供するコンピュータ実装システム及び方法 | |
JP6871380B2 (ja) | 情報保護のシステム及び方法 | |
Kaushal et al. | Evolution of bitcoin and security risk in bitcoin wallets | |
JP7208930B2 (ja) | 制御された暗号化秘密鍵の開放 | |
JP7182558B2 (ja) | ブロックチェーン上でトランザクション・ミキシングを行うためのコンピュータで実施されるシステム及び方法 | |
CN110785782B (zh) | 使用区块链网络的多轮令牌分发系统和方法 | |
KR20200139223A (ko) | 디지털 자산에의 액세스를 전달하기 위한 컴퓨터 구현된 방법 및 시스템 | |
EP3619884A1 (en) | Secure dynamic threshold signature scheme employing trusted hardware | |
CN114513317B (zh) | 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 | |
US20230368195A1 (en) | System and method for transferring resources using a blockchain | |
KR20200019944A (ko) | 블록체인 네트워크에서 계층적 토큰 분산을 위한 시스템 및 방법 | |
KR20190052033A (ko) | 일시적인 트랜잭션 서버 | |
US20100306543A1 (en) | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens | |
CN113987526A (zh) | 基于区块链的资源兑换方法、装置、设备及可读存储介质 | |
CN115796861B (zh) | 一种区块链上跨链交易方法、系统、设备及存储介质 | |
CN115345614A (zh) | 一种基于区块链的交易实现方法及装置 | |
Alves | The Impact of Denial-of-Service Attack for Bitcoin Miners, Lisk Forgers, and a Mitigation Strategy for Lisk Forgers | |
You et al. | A Multi-Party, Multi-Blockchain Atomic Swap Protocol with Universal Adaptor Secret | |
CN112689009A (zh) | 一种物联网的分布式认证的方法 | |
Walfish | Defending networked resources against floods of unwelcome requests |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |