CN115150132A - 一种基于以太坊gas的联盟链抗DDOS攻击方法 - Google Patents
一种基于以太坊gas的联盟链抗DDOS攻击方法 Download PDFInfo
- Publication number
- CN115150132A CN115150132A CN202210664766.4A CN202210664766A CN115150132A CN 115150132 A CN115150132 A CN 115150132A CN 202210664766 A CN202210664766 A CN 202210664766A CN 115150132 A CN115150132 A CN 115150132A
- Authority
- CN
- China
- Prior art keywords
- node
- gas
- certificate
- consumed
- ddos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 title claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 22
- 239000013589 supplement Substances 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 5
- 239000000047 product Substances 0.000 claims description 3
- 150000001875 compounds Chemical class 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及区块链安全技术领域,具体涉及一种基于以太坊gas的联盟链抗DDOS攻击方法,通过采用gas消耗效率比较进行节点行为评估,同时采用写入分发的节点证书保证评分信息的不可篡改性,最后通过证书管理者对节点行为进行约束,判定节点是否都能过继续获得有效证书而不被踢出区块链网络,同时形成了一套联盟链独有的基于证书发行的gas消耗与补充机制,证书发行时,gas会得到补充,同时gas消耗完毕时,证书也会到期,利用上述体系,本发明在联盟链中建立一套有效的抗DDOS方案,当极少部分节点失陷而发起DDOS攻击时,gas会被迅速消耗,节点也会进入不活跃状态,从而保障整个区块链网络的安全性。
Description
技术领域
本发明涉及区块链安全技术领域,具体涉及一种基于以太坊gas的联盟链抗DDOS攻击方法。
背景技术
2016年以太坊发生过一次严重的DDoS攻击,此次攻击也被称为“EXTCODESIZE”攻击,攻击者花费很少的代价让矿工和节点需要花费很长的时间来处理一些区块,从而使得整个以太坊网络的开销增大。本次攻击促使以太坊修复了相关漏洞,完善了相关的gas机制来抵御相关的攻击。
联盟链是由多个机构共同参与管理的区块链,每个组织或机构管理一个或多个节点,其数据只允许系统内不同的机构进行读写和发送。在联盟链中节点较少,攻击者一旦掌握少量节点,就可以通过有限的算力资源,对整个联盟链业务系统进行DDOS攻击,进而对整个业务系统造成灾难性的影响。
发明内容
本发明的目的在于一种基于以太坊gas的联盟链抗DDOS攻击方法,旨在不增添过多组件情况下,利用以太坊成熟的gas管控机制,配合证书管理与发行系统,实现联盟链抗DDOS功能。
为实现上述目的,本发明提供了一种基于以太坊gas的联盟链抗DDOS攻击方法,包括下列步骤:
步骤1:区块链节点在进行操作时判断是否需要消耗gas,若不需要消耗gas则直接操作;
步骤2:若需要消耗gas则判断gas是否消耗完毕;
步骤3:若gas还有剩余则扣除gas值后继续操作,gas值消耗完毕则作废节点证书,并且抛出异常;
步骤4:已经作废证书的节点需要重新向证书管理者重新申请证书并补充gas值;
步骤5:证书管理者对节点的实际情况进行评估,
若为正常节点,继续给予节点证书;
若为异常节点,进行异常操作处理。
其中,所述gas是以太坊上衡量工作量的计量单位,以太坊上产生的交易与存储活动都需要消耗gas来推动,节点的每一次消耗区块链网络算力的操作都会扣除gas值。
其中,所述节点证书是节点与其他节点维持可靠通信的唯一手段,在联盟链节点初始化时,初始化gas值与节点证书写入区块之中并打包上链。
其中,证书管理者对节点的实际情况进行评估的方法,具体为比较最终的gas消耗效率Pe与预定阈值Pe'的差异,
若最终的gas消耗效率Pe大于预定阈值Pe',则节点为正常节点;
若最终的gas消耗效率Pe小于等于预定阈值Pe',则节点为异常节点。
其中,所述最终的gas消耗效率Pe的计算公式如下:
其中T(i)代表是第i次交易消耗的gas,L(i)表示第i次交易的交易活跃度,其中L(i)取值范围为0到1之间的百分比数,在此当前证书有效时间段中,所有T(i)L(i)乘积之和,除所有gas消耗的和,得出最终的gas消耗效率Pe。
其中,所述异常操作处理过程,具体为证书管理者拒绝为异常节点发放证书,同时记录操作信息,并向所有区块链网络节点通过区块链网络协议进行广播告警,证书失效后的异常节点被踢出区块链网络。
本发明提供了一种基于以太坊gas的联盟链抗DDOS攻击方法,通过采用gas消耗效率比较进行节点行为评估,同时采用写入分发的节点证书保证评分信息的不可篡改性,最后通过证书管理者对节点行为进行约束,判定节点是否都能过继续获得有效证书而不被踢出区块链网络,同时形成了一套联盟链独有的基于证书发行的gas消耗与补充机制,证书发行时,gas会得到补充,同时gas消耗完毕时,证书也会到期,利用上述体系,本发明在联盟链中建立一套有效的抗DDOS方案,当极少部分节点失陷而发起DDOS攻击时,gas会被迅速消耗,节点也会进入不活跃状态,从而保障整个区块链网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种基于以太坊gas的联盟链抗DDOS攻击方法的流程示意图。
图2是本发明的具体实施例的区块链节点进行操作流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1,本发明提出了一种基于以太坊gas的联盟链抗DDOS攻击方法,包括下列步骤:
S1:区块链节点在进行操作时判断是否需要消耗gas,若不需要消耗gas则直接操作;
S2:若需要消耗gas则判断gas是否消耗完毕;
S3:若gas还有剩余则扣除gas值后继续操作,gas值消耗完毕则作废节点证书,并且抛出异常;
S4:已经作废证书的节点需要重新向证书管理者重新申请证书并补充gas值;
S5:证书管理者对节点的实际情况进行评估,
若为正常节点,继续给予节点证书;
若为异常节点,进行异常操作处理。
证书管理者对节点的实际情况进行评估的方法,具体为比较最终的gas消耗效率Pe与预定阈值Pe'的差异,
若最终的gas消耗效率Pe大于预定阈值Pe',则节点为正常节点;
若最终的gas消耗效率Pe小于等于预定阈值Pe',则节点为异常节点。
进一步的,所述最终的gas消耗效率Pe的计算公式如下:
其中T(i)代表是第i次交易消耗的gas。L(i)表示第i次交易的交易活跃度,其中L(i)取值范围为0到1之间的百分比数。在此当前证书有效时间段中,所有T(i)L(i)乘积之和,除所有gas消耗的和,得出最终的gas消耗效率Pe。
本发明还提出了一个具体的实施例进行说明,执行流程请参阅图2。进一步的,本实施例假设建立在由正常节点A和失陷节点B两种类型的节点组成的区块链网络系统中。
1、正常节点A
步骤1:
区块链正常节点A在做操作时候判断是否需要消耗gas,若不需要消耗gas则直接操作,若需要消耗gas则判断gas是否消耗完毕,若gas还有剩余则扣除gas后继续操作,gas消耗完毕则节点证书作废,并且抛出异常;
步骤2:
已经作废证书的节点需要重新向证书管理者重新申请证书并补充gas;
证书管理者根据上述gas消耗效率公式计算得出最终的gas消耗效率Pe,将Pe和Pe'的大小进行比较,其中Pe'是根据区块链业务场景设置的gas消耗效率阈值。正常的节点的gas消耗效率Pe比预先设定的阈值Pe'要大,因此可以轻易得出Pe>Pe',证书管理者继续为节点A发放证书,同时将消耗效率Pe以及新的gas值写入证书,保障信息的真实性和不可篡改性,并且为其补充gas,节点A继续为区块链网络进行工作。
2、异常节点B
步骤1:
区块链异常节点B在做操作时候判断是否需要消耗gas,若不需要消耗gas则直接操作,若需要消耗gas则判断gas是否消耗完毕,若gas还有剩余则扣除gas后继续操作。当异常节点B想要对于整个区块链网络进行DDOS攻击时,异常节点B的gas值会通过大量无意义的操作快速消耗掉,gas消耗完毕则节点证书作废,并且抛出异常,异常节点停止工作无法对区块链网络进行进一步的ddos攻击;
步骤2:
已经作废证书的异常节点B需要重新向证书管理者重新申请证书并补充gas;
证书管理者根据上述gas消耗效率公式计算得出最终的gas消耗效率Pe,将Pe和Pe'的大小进行比较。异常的节点的gas消耗效率Pe比预先设定的阈值Pe'要小,因此可以轻易得出Pe≤Pe',证书管理者拒绝为失陷节点B发放证书,同时将消耗效率Pe以及新的gas值写入证书,保障信息的真实性和不可篡改性,并且通知整个区块链网络节点B已经失陷,向所有区块链网络节点通过区块链网络协议进行广播告警,节点B的证书失效,无法与其他节点建立有效链接,节点B被踢出区块链共识网络。
进一步优选的,以下基于gas与证书管理机制的联盟链运行方式进行说明:
联盟链节点初始化时,会将初始化gas值与节点证书写入区块之中,并且打包上链。节点证书时节点与其他节点维持可靠通信的唯一手段。一旦证书失效,便会导致节点无法与其他节点通信,从而被暂时踢出区块链体系,直到节点重新获得新的可信证书。为了方便进行证书管理以及提高安全性的考虑,节点的初始化gas值会被证书管理者发放证书的时候写入证书之中,从而持久化gas值。任何节点都能读取到当前节点的证书信息。节点的每一次消耗区块链网络算力的操作都会扣除gas值,这和普通的以太坊网络操作时没有任何区别的。当gas值不足以支撑节点的继续操作时,节点就会进入不活跃的观察者状态。在这样的情况下,节点无法进行写操作,自然也无法进行对于整个区块链网络的ddos攻击,但是节点可以继续进行数据同步。当节点需要补充gas时,需要想证书发行方申请新的证书。证书发行方会给节点发行新的证书,同时通知整个区块链网络旧的证书已经过期。新的证书中同样包含着gas值的附加值,节点从新的证书中补充gas值,使得节点从不活跃状态重新进入共识状态,节点可以继续对区块链网络进行写操作,周而复始。由于证书管理者可以有效控制gas的值,以及证书的发放,从而对于整个区块链网络拥有明显的权限控制的能力。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (6)
1.一种基于以太坊gas的联盟链抗DDOS攻击方法,其特征在于,包括下列步骤:
步骤1:区块链节点在进行操作时判断是否需要消耗gas,若不需要消耗gas则直接操作;
步骤2:若需要消耗gas则判断gas是否消耗完毕;
步骤3:若gas还有剩余则扣除gas值后继续操作,gas值消耗完毕则作废节点证书,并且抛出异常;
步骤4:已经作废证书的节点需要重新向证书管理者重新申请证书并补充gas值;
步骤5:证书管理者对节点的实际情况进行评估,
若为正常节点,继续给予节点证书;
若为异常节点,进行异常操作处理。
2.如权利要求1所述的基于以太坊gas的联盟链抗DDOS攻击方法,其特征在于,
所述gas是以太坊上衡量工作量的计量单位,以太坊上产生的交易与存储活动都需要消耗gas来推动,节点的每一次消耗区块链网络算力的操作都会扣除gas值。
3.如权利要求1所述的基于以太坊gas的联盟链抗DDOS攻击方法,其特征在于,
所述节点证书是节点与其他节点维持可靠通信的唯一手段,在联盟链节点初始化时,初始化gas值与节点证书写入区块之中并打包上链。
4.如权利要求1所述的基于以太坊gas的联盟链抗DDOS攻击方法,其特征在于,
证书管理者对节点的实际情况进行评估的方法,具体为比较最终的gas消耗效率Pe与预定阈值Pe'的差异,
若最终的gas消耗效率Pe大于预定阈值Pe',则节点为正常节点;
若最终的gas消耗效率Pe小于等于预定阈值Pe',则节点为异常节点。
6.如权利要求1所述的基于以太坊gas的联盟链抗DDOS攻击方法,其特征在于,
所述异常操作处理过程,具体为证书管理者拒绝为异常节点发放证书,同时记录操作信息,并向所有区块链网络节点通过区块链网络协议进行广播告警,证书失效后的异常节点被踢出区块链网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210664766.4A CN115150132B (zh) | 2022-06-13 | 2022-06-13 | 一种基于以太坊gas的联盟链抗DDOS攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210664766.4A CN115150132B (zh) | 2022-06-13 | 2022-06-13 | 一种基于以太坊gas的联盟链抗DDOS攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115150132A true CN115150132A (zh) | 2022-10-04 |
CN115150132B CN115150132B (zh) | 2024-04-30 |
Family
ID=83409063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210664766.4A Active CN115150132B (zh) | 2022-06-13 | 2022-06-13 | 一种基于以太坊gas的联盟链抗DDOS攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150132B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019011179A1 (zh) * | 2017-07-10 | 2019-01-17 | 腾讯科技(深圳)有限公司 | 证书管理方法、系统、网络设备及计算机可读存储介质 |
CN112163950A (zh) * | 2020-09-25 | 2021-01-01 | 湖南和信安华区块链科技有限公司 | 一种方便扩展、节点资源复用的区块链链网构建方法、系统及终端设备 |
US20210065188A1 (en) * | 2019-08-29 | 2021-03-04 | International Business Machines Corporation | Implementing a marketplace for risk assessed smart contracts issuers and execution providers in a blockchain |
CN112953728A (zh) * | 2021-03-03 | 2021-06-11 | 西安电子科技大学 | 抗量子攻击的联盟区块链数字签名加密方法 |
CN113064675A (zh) * | 2020-12-29 | 2021-07-02 | 上海能链众合科技有限公司 | 一种可继承的区块链无损改造方法 |
US20210256007A1 (en) * | 2017-10-26 | 2021-08-19 | Ping An Technology(Shenzhen) Co., Ltd. | Blockchain system and blockchain transaction data processing method based on ethereum |
CN113381975A (zh) * | 2021-05-10 | 2021-09-10 | 西安理工大学 | 基于区块链与雾节点信誉的物联网安全访问控制方法 |
CN114463001A (zh) * | 2021-12-30 | 2022-05-10 | 德方智链科技(深圳)有限公司 | 联盟链的交易方法、系统以及计算机可读存储介质 |
-
2022
- 2022-06-13 CN CN202210664766.4A patent/CN115150132B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019011179A1 (zh) * | 2017-07-10 | 2019-01-17 | 腾讯科技(深圳)有限公司 | 证书管理方法、系统、网络设备及计算机可读存储介质 |
US20210256007A1 (en) * | 2017-10-26 | 2021-08-19 | Ping An Technology(Shenzhen) Co., Ltd. | Blockchain system and blockchain transaction data processing method based on ethereum |
US20210065188A1 (en) * | 2019-08-29 | 2021-03-04 | International Business Machines Corporation | Implementing a marketplace for risk assessed smart contracts issuers and execution providers in a blockchain |
CN112163950A (zh) * | 2020-09-25 | 2021-01-01 | 湖南和信安华区块链科技有限公司 | 一种方便扩展、节点资源复用的区块链链网构建方法、系统及终端设备 |
CN113064675A (zh) * | 2020-12-29 | 2021-07-02 | 上海能链众合科技有限公司 | 一种可继承的区块链无损改造方法 |
CN112953728A (zh) * | 2021-03-03 | 2021-06-11 | 西安电子科技大学 | 抗量子攻击的联盟区块链数字签名加密方法 |
CN113381975A (zh) * | 2021-05-10 | 2021-09-10 | 西安理工大学 | 基于区块链与雾节点信誉的物联网安全访问控制方法 |
CN114463001A (zh) * | 2021-12-30 | 2022-05-10 | 德方智链科技(深圳)有限公司 | 联盟链的交易方法、系统以及计算机可读存储介质 |
Non-Patent Citations (1)
Title |
---|
边玲玉;张琳琳;赵楷;石飞;: "基于LightGBM的以太坊恶意账户检测方法", 信息网络安全, no. 04 * |
Also Published As
Publication number | Publication date |
---|---|
CN115150132B (zh) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7199775B2 (ja) | スマートコントラクトに基づくデータ処理方法、データ処理装置、ノード機器、及びコンピュータプログラム | |
CN111082940B (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
US20210034759A1 (en) | Systems and methods for attributing security vulnerabilities to a configuration of a client device | |
CN111614468B (zh) | 一种区块链共识方法及系统 | |
Zhang et al. | Power system reliability analysis with intrusion tolerance in SCADA systems | |
US7809821B2 (en) | Trust evaluation | |
US20060294593A1 (en) | Protected clock management based upon a non-trusted persistent time source | |
US20120284790A1 (en) | Live service anomaly detection system for providing cyber protection for the electric grid | |
US7574610B2 (en) | Security state watcher | |
CN108989118B (zh) | 一种基于go语言的企业级私有区块链部署工具 | |
CN103632080A (zh) | 一种基于USBKey的移动数据应用安全保护系统及其方法 | |
Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
CN101951384A (zh) | 一种分布式安全域逻辑边界保护方法 | |
EP4236231A1 (en) | Security defense method and system for industrial control system network | |
CN114418263A (zh) | 一种用于火电厂电力监控装置的防御系统 | |
CN103824017A (zh) | 监控恶意程序的方法和监控平台 | |
Huang et al. | BlockSense: Towards trustworthy mobile crowdsensing via proof-of-data blockchain | |
CN105119765B (zh) | 一种智能处理故障体系架构 | |
CN107423620A (zh) | 存储服务器服务进程的管理方法及装置 | |
CN115150132A (zh) | 一种基于以太坊gas的联盟链抗DDOS攻击方法 | |
Sarjan et al. | Cyber-security of industrial internet of things in electric power systems | |
CN110727636A (zh) | 片上系统及片上系统的设备隔离方法 | |
Rosenthal et al. | Economic measures to resist attacks on a peer-to-peer network | |
CN114780327A (zh) | 一种服务器监控方法、资产管理方法和pcie卡 | |
CN106650459A (zh) | 维护分布式存储系统数据可信的系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |