CN115473737B - 一种基于区块链组网的匿名防溯方法及系统 - Google Patents
一种基于区块链组网的匿名防溯方法及系统 Download PDFInfo
- Publication number
- CN115473737B CN115473737B CN202211117966.4A CN202211117966A CN115473737B CN 115473737 B CN115473737 B CN 115473737B CN 202211117966 A CN202211117966 A CN 202211117966A CN 115473737 B CN115473737 B CN 115473737B
- Authority
- CN
- China
- Prior art keywords
- node
- routing
- routing node
- hidden
- maintenance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于区块链组网的匿名防溯方法及系统,方法包括以下步骤:基于第一终端和第二终端之间的数据传输请求,从区块链网络中随机选择若干个第一路由节点形成第一传输路径;第一终端和/或第二终端接入的监测节点对所述第一路由节点进行隐蔽等级识别以确定第二传输路径和第二路由节点,其中,所述监测节点监测所述第二路由节点以对所述第二路由节点的隐蔽等级进行修正;第二传输路径中的每个节点广播并接收公钥,生成可链接的环签名;第一终端和第二终端通过所述第二传输路径进行数据传输。系统包括:客户端网络、监测节点所构成的监测网络和路由网络,监测节点包括:接收验证单元、获取标记单元、传输路径确定单元以及节点维护单元。
Description
技术领域
本发明涉及隐蔽信道技术领域,尤其涉及一种基于区块链组网的匿名防溯方法及系统。
背景技术
随着互联网深入到社会、经济和政治等各个方面,互联网的安全与隐私保护形势日益严峻。传统信息加密技术能够实现对传输内容的保护,却无法较好的隐藏通信双方的身份信息、地理位置和通信模式等信息,常见的HTTP、TCP/IP、FTP等开放式协议,可通过流量监听分析知晓数据发起者与接收者的IP、主机、地理位置等信息,而泄露这些信息有时甚至会决定工作成败和威胁人身安全。
目前隐蔽链路解决方案都存在隐蔽性和带宽不可兼得的问题。除此之外,在实践中还发现存在网络节点伸缩性差,部署困难,中心化,单点故障等严峻问题。
现有技术中如公开号为CN109150861A的专利文献所提出的一种用于基于区块链经由消息收发进行通信的分布式网络系统。使用区块链以用于网络消息收发使得各种安全系统能够确保消息在中间人攻击或其他形式的黑客入侵中不被拦截。
如公开号为CN111835519A的专利文献所提出的一种基于公有区块链点对点网络的隐蔽通信方法,可用于双方或多方通信,保护通信各方免受中间人攻击、身份欺骗等攻击,并防止通信被溯源,涉及的技术领域为网络通信技术与信息安全领域。所述方法包括:对通信双方客户端进行;发送方对通信数据进行加密并嵌入公有区块链交易中,对其签名后发送至公有区块链网络中;接收方从公有区块链网络中标识来自发送方的交易,从中提取并解密得到原始通信数据。
如公开号为CN111698084A的专利文献所提出的一种基于区块链的隐匿通信方法,属于计算机领域,特别是信息技术领域的区块链领域。如果攻击方在知晓存在区块传递消息的情况下,无法快速分析出交易双方的地址。在地址传递过程中通过了中转节点进行过渡,由发送方地址传递到中转节点地址,再由中转节点地址传递到接收方地址,无法直接链接到交易双方的地址。攻击方在截取了接收方的交易后无法高效筛选出哪一笔是本次所需要的交易,因为没有标签,所以无法对交易进行高效筛选。
上述专利所提出的技术方案利用区块链技术构建隐蔽通信通道,使得区块链能够作为隐蔽信道的信息平台,利用区块链自身的特征解决传统隐蔽通信容易被篡改、信道单一、隐私性差等缺陷。但攻击者可以通过注入噪声、破坏交易和部分区块顺序的方式降低秘密信息传输准确性,并且可以围绕网络流量、网络数据包时间间隔等统计特性展开隐蔽通道的识别,对隐蔽通道的节点进行攻击,隐蔽信道还存在安全方面的隐患,因此需要对隐蔽通道中的路由节点进行筛选,并且基于隐蔽通道的暴露情况,对发起攻击的路由节点的进行破坏,从而提高隐蔽通信通道的安全性。
此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于发明人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
本发明公开了一种匿名防溯方法,包括以下步骤:
基于第一终端和第二终端之间的数据传输请求,从区块链网络中随机选择若干个第一路由节点形成第一传输路径;
第一终端和/或第二终端接入的监测节点对所述第一路由节点进行隐蔽等级识别以确定第二传输路径和第二路由节点,其中,所述监测节点监测所述第二路由节点以对所述第二路由节点的隐蔽等级进行修正;
第二传输路径中的每个节点广播并接收公钥,生成可链接的环签名;
第一终端和第二终端通过所述第二传输路径进行数据传输。
随着对区块链技术的深入研究,越来越多的人对区块链实现的匿名性持怀疑态度。交易信息包括交易的公钥信息、时间、交易金额等信息是完全公开透明的,可以被他人检查和验证来保证交易的真实性和唯一性。攻击者也可以通过分析以上交易信息,使用关联分析方法来找到账户地址和用户身份之间的关系,因此现有技术还存在用户身份隐私泄漏的安全风险。因此本发明通过监测节点和维护管理中心对整个区块联网络进行监测,从而基于监测所确定的路由节点的隐蔽等级对传输路径进行设计,并且根据不同的隐蔽等级对相关的路由节点进行处理(通过校验路由节点),从而避免出现漏洞造成用户隐私泄漏,进一步提高了数据传输过程中的匿名防溯效果。通过主动评估结合日志收集的方式提高了系统运行效率,在检测到异常的路由节点(第二路由节点)后对其进行修复,并针对其中危险较大的节点进行破坏。
本发明利用网络聚合加速,中继传输证明(即可链接环签名,在中继传输证明的存在的情况下,攻击者只有拥有所有路由节点的私钥才可能伪造签名链,这大大提升了链路传输的安全性和可信性),流量控制等技术对节点进行配置,验证终端可根据终端动态配置。系统基于DHT技术,链路可动态扩容,网络节点可随时加入网络或者离开网络,随机选择第一路由节点和剔除第二节点的路由算法提高链路的安全性,通过邻居查找最优节点(第二传输路径为多节点路径,同一目标下次中继节点可能会发生改变,使链路传输具有不确定性),使其到达目标的延迟大大减小。本系统使用网络聚合加速技术,使得同一数据块在单节点间传输变为多节点之间传输。
本发明通过分布的维护管理中心和监测节点(例如维护管理中心和监测节点可以是基于DHT技术设计的全节点,部分路由节点和客户端网络中的终端为轻节点并通过维护管理中心和/或监测节点对其交易信息进行广播)对隐蔽信息进行分析以确定由不同路由节点构成的具有不同隐蔽等级的第二传输路径,基于隐蔽等级和路由节点的数目构建匹配于不同安全等级的数据传输的对应隐蔽等级的隐蔽链路(例如节点会在交易量等方面存在差异,过高或者过低的交易量的节点一定程度上可能是攻击者的接入节点,因此可通过交易量等信息对节点的可信程度进行确定,从而根据隐蔽等级和路由节点的数目构建出隐蔽等级,而数据传输的内容也具有不同的安全等级,以为不同安全等级的数据传输内容匹配对应的隐蔽等级),并且系统能够借助于维护管理中心和监测节点的隐蔽信息对第二路由节点302进行监测(基于人工智能等技术手段对上链的隐蔽信息的数据进行分析,例如可利用交易量对第二路由节点进行判别,进一步基于第二路由节点的隐蔽信息对系统的部分节点进行隐蔽信息的特征比对,从而对异常第二路由节点的中继传输网络结构进行识别),借助于维护管理中心和监测节点对中继传输网络结构的节点进行攻击,以提高系统的安全性。
根据一种优选的实施方式,监测节点对所述第一路由节点进行隐蔽等级识别包括以下步骤:
按照预设订阅周期对路由节点的隐蔽信息进行上链存储;
基于维护管理中心的授权,所述监测节点对所述第一路由节点和所述第二路由节点的隐蔽信息进行解析处理,从而依据所述解析处理结果对所述第一路由节点的隐蔽等级进行标记,其中,将超出隐蔽等级阈值的第一路由节点标记为所述第二路由节点;
根据第二路由节点的被标记的不同的隐蔽等级,所述监测节点请求维护管理中心发送匹配于所述隐蔽等级的维护操作请求,所述维护操作请求至少包括调整第二路由节点的订阅周期。
根据一种优选的实施方式,监测节点维护第二路由节点包括以下步骤:
基于监测节点发送的维护请求,维护管理中心分发维护工具至监测节点,所述分发维护工具是通过匹配于对应维护工具的隐蔽等级的第二传输路径进行传输的;
基于维护管理中心的授权,所述监测节点获取与其权属对应的维护工具,并通过获取的所述维护工具对所述第二路由节点进行维护操作,其中,所述维护操作至少包括调整订阅周期。
根据一种优选的实施方式,用于存储关联于路由节点维护操作的维护工具的所述维护管理中心包括用于对监测节点的请求进行验证的权属验证单元,所述权属验证单元通过校验关联于所述监测节点的所能获取的维护工具的权属以生成维护管理中心的维护工具分发策略。
根据一种优选的实施方式,按照预设订阅周期对路由节点的隐蔽信息进行上链存储包括以下步骤:
按照第一订阅周期对所有路由节点的隐蔽信息进行上链存储,所述隐蔽信息至少包括关联于路由节点的区块生成速度、交易量、通信负载和在线状态信息;
根据监测节点对路由节点的隐蔽解析结果调整路由节点的隐蔽信息的订阅周期,其中,将第一路由节点的订阅周期调整至第二订阅周期,所述第二订阅周期的上传间隔小于所述第一订阅周期。
根据一种优选的实施方式,从区块链网络中随机选择若干个第一路由节点形成第一传输路径包括以下步骤:
将第一终端和/或第二终端的地址以多级跳转的方式随机发送至区块链网络中的若干个路由节点;
接收到第一终端和/或第二终端的加密地址的若干个第一路由节点将其多级跳转方式下所接收的多个其他第一路由节点的加密地址发送至其对应的监测节点;
对所述若干个第一路由节点进行处理,形成若干个第一传输路径。
根据一种优选的实施方式,对若干个第一路由节点进行处理包括以下步骤:
确定若干个所述第一路由节点的中继传输顺序,其中,确定所述中继传输顺序是通过比对传输次序中的前一个第一路由节点发送至下一个第一路由的第一随机参数以及前一个第一路由节点发送至第一终端和/或第二终端的第二随机参数的方式确定的;
将所述中继传输顺序进行加密处理并将加密后的中继传输顺序传输至对应的第一路由节点,以确定第一传输路径。
本发明公开了一种基于区块链组网的匿名防溯系统,包括:客户端网络、监测节点所构成的监测网络和用于中继传输的路由网络。
监测节点包括:
接收验证单元,用于接收客户端网络中的终端发送的数据传输请求,并依据所述数据处理请求对终端进行身份验证以确认终端的传输路径等级;
获取标记单元,基于数据传输请求从所述路由网络中获取第一路由节点的隐蔽信息,并通过解析隐蔽信息对所述第一路由节点的隐蔽等级进行识别,所述隐蔽等级是通过解析所述第一路由节点的至少包括交易量的隐蔽信息进行确定的;
传输路径确定单元,用于根据获取标记单元对第一路由节点的隐蔽等级判定结果输出第二传输路径;
节点维护单元,当所述第二路由节点满足相应的隐蔽等级条件时,基于向维护管理中心获取的维护工具,所述节点维护单元对第二路由节点进行相应的维护操作。
根据一种优选的实施方式,所述维护管理中心包括用于对监测节点的请求进行验证的权属验证单元,所述权属验证单元通过校验关联于所述监测节点的所能获取的维护工具的权属以生成维护管理中心的维护工具分发策略,其中,所述维护工具分发策略包括选择监测节点以及选择匹配于对应监测节点的维护工具。
根据一种优选的实施方式,当所述第二路由节点为第一隐蔽等级时,对所述第二路由节点将所述数据传输请求转发至其他路由节点的频率进行限制;当所述第二路由节点为第二隐蔽等级时,进一步增加对所述第二路由节点将所述数据传输请求转发至其他路由节点的频率的限制,并对第二路由节点的隐蔽信息进行解析;当所述第二路由节点为第三隐蔽等级时,通过维护工具对解析的网络结构中的节点进行破坏。
附图说明
图1是本发明的基于区块链组网的匿名防溯方法的简化整体结构示意图;
图2是本发明的基于区块链组网的匿名防溯系统的简化整体结构示意图;
图3是本发明的基于区块链组网的匿名防溯系统的网络连接的简化整体结构示意图。
附图标记列表
1:第一终端;2:第二终端;3:监测节点;4:维护管理中心;10:接收验证单元;20:获取标记单元;30:传输路径确定单元;40:节点维护单元;50:权属验证单元;100:客户端网络;200:监测网络;300:路由网络;301:第一路由节点;302:第二路由节点。
具体实施方式
下面结合附图对本发明进行详细说明。
如图1所示的本发明公开了一种匿名防溯方法,包括以下步骤:
S1、基于第一终端1和第二终端2之间的数据传输请求,从区块链网络100、200、300中随机选择若干个第一路由节点301形成第一传输路径;
S2、第一终端1和/或第二终端2接入的监测节点3对第一路由节点301进行隐蔽等级识别以确定第二传输路径和第二路由节点302,其中,监测节点3监测所述第二路由节点302以对所述第二路由节点302的隐蔽等级进行修正;
S3、第二传输路径中的每个节点广播并接收公钥,生成可链接的环签名;
S4、第一终端1和第二终端2通过第二传输路径进行数据传输。
根据一种优选的实施方式,监测节点3对所述第一路由节点301进行隐蔽等级识别包括以下步骤:
按照预设订阅周期对路由节点的隐蔽信息进行上链存储。
基于维护管理中心4的授权述监测节点3对第一路由节点301和第二路由节点302的隐蔽信息进行解析处理,从而依据所述解析处理结果对第一路由节点301的隐蔽等级进行标记,其中,将超出隐蔽等级阈值的第一路由节点301标记为第二路由节点302。
根据第二路由节点302的被标记的不同的隐蔽等级,监测节点3请求维护管理中心4发送匹配于所述隐蔽等级的维护操作请求,该维护操作请求至少包括调整第二路由节点302的订阅周期。
根据一种优选的实施方式,监测节点3维护第二路由节点302包括以下步骤:
基于监测节点3发送的维护请求,维护管理中心4分发维护工具至监测节点3,所述分发维护工具是通过匹配于对应维护工具的隐蔽等级的第二传输路径进行传输的。
基于维护管理中心4的授权,监测节点3获取与其权属对应的维护工具,并通过获取的维护工具对第二路由节点302进行维护操作,其中,该维护操作至少包括调整订阅周期。
根据一种优选的实施方式,用于存储关联于路由节点维护操作的维护工具的维护管理中心4包括用于对监测节点3的请求进行验证的权属验证单元50,该权属验证单元50通过校验关联于监测节点3的所能获取的维护工具的权属以生成维护管理中心4的维护工具分发策略。
根据一种优选的实施方式,按照预设订阅周期对路由节点的隐蔽信息进行上链存储包括以下步骤:
按照第一订阅周期对所有路由节点的隐蔽信息进行上链存储,该隐蔽信息至少包括关联于路由节点的区块生成速度、交易量、通信负载和在线状态信息。
根据监测节点3对路由节点的隐蔽解析结果调整路由节点的隐蔽信息的订阅周期,其中,将第一路由节点301的订阅周期调整至第二订阅周期,第二订阅周期的上传间隔小于第一订阅周期。
根据一种优选的实施方式,从区块链网络100、200、300中随机选择若干个第一路由节点301形成第一传输路径包括以下步骤:
将第一终端1和/或第二终端2的地址以多级跳转的方式随机发送至区块链网络100、200、300中的若干个路由节点;
接收到第一终端1和/或第二终端2的加密地址的若干个第一路由节点301将其多级跳转方式下所接收的多个其他第一路由节点301的加密地址发送至其对应的监测节点3。
对若干个第一路由节点301进行处理,形成若干个第一传输路径。
根据一种优选的实施方式,对若干个第一路由节点301进行处理包括以下步骤:
确定若干个第一路由节点301的中继传输顺序,其中,确定中继传输顺序是通过比对传输次序中的前一个第一路由节点301发送至下一个第一路由节点301的第一随机参数以及前一个第一路由节点301发送至第一终端1和/或第二终端2的第二随机参数的方式确定的。
将中继传输顺序进行加密处理并将加密后的中继传输顺序传输至对应的第一路由节点301,以确定第一传输路径。
如图2和图3所示的本发明公开的一种基于区块链组网的匿名防溯系统,包括:客户端网络100、监测节点3所构成的监测网络200和用于中继传输的路由网络300。
监测节点3包括:接收验证单元10,用于接收客户端网络100中的终端1、2发送的数据传输请求,并依据数据处理请求对终端1、2进行身份验证以确认终端1、2的传输路径等级;获取标记单元20,基于数据传输请求从路由网络300中获取第一路由节点301的隐蔽信息,并通过解析隐蔽信息对第一路由节点301的隐蔽等级进行识别,隐蔽等级是通过解析第一路由节点301的至少包括交易量的隐蔽信息进行确定的;传输路径确定单元30,用于根据获取标记单元20对第一路由节点301的隐蔽等级判定结果输出第二传输路径;节点维护单元40,当第二路由节点302满足相应的隐蔽等级条件时,基于向维护管理中心4获取的维护工具,节点维护单元40对第二路由节点302进行相应的维护操作。
根据一种优选的实施方式,维护管理中心4包括用于对监测节点3的请求进行验证的权属验证单元50。权属验证单元50通过校验关联于监测节点3的所能获取的维护工具的权属以生成维护管理中心4的维护工具分发策略,其中,维护工具分发策略包括选择监测节点3以及选择匹配于对应监测节点3的维护工具。
根据一种优选的实施方式,当第二路由节点302为第一隐蔽等级时,对第二路由节点302将数据传输请求转发至其他路由节点的频率进行限制。当第二路由节点302为第二隐蔽等级时,进一步增加对第二路由节点302将数据传输请求转发至其他路由节点的频率的限制,并对第二路由节点302的隐蔽信息进行解析。当第二路由节点302为第三隐蔽等级时,通过维护工具对解析的网络结构中的节点进行破坏。
维护管理中心的权属验证单元用于保障维护工具分发策略在传送过程中的安全性(选择执行维护工具分发策略的监测节点和选择对应的隐蔽等级保证维护工具分发策略的安全传输),维护管理中心的权属验证单元用于根据监测节点所发送的攻击流指令请求确定对应的维护工具分发策略以对监测节点所识别的攻击中继传输网络结构的节点进行攻击,而发出维护工具分发策略请求的监测节点的权属等级不同,不满足执行上述维护工具分发策略的权属等级的情况下不具备作为执行维护工具分发策略的条件(不能作为用于发送维护工具分发策略的隐蔽链路的接收节点),因而在生成维护工具分发策略前,维护管理中心的权属验证单元对监测节点的权属等级进行校验,从而确定用于执行维护工具分发策略的具有相应权属等级的监测节点(维护工具分发策略所包括的攻击工具的危险程度不同,其泄露会造成危险,因此需要对其传输过程中的隐蔽链路的隐蔽等级和执行的监测节点进行选择,从而降低攻击工具泄露的风险,其中,监测节点的权属等级是基于请求地址和预设的权属的节点地址的比对结果进行确认的)。
维护管理中心的权属验证单元产生和执行维护工具分发策略时,权属验证单元基于解析维护工具分发策略请求的第二路由节点302所需配置的隐蔽等级而建立能够达到相应安全等级的隐蔽链路,其中,维护管理中心能够通过改变隐蔽等级和/或路由节点数目方式对建立的链路进行调整,隐蔽等级和/或路由节点数目改变方式至少基于相应的隐蔽等级而确定,隐蔽等级至少是基于权属验证单元产生的维护工具分发策略的不同指令而确定的。例如,维护管理中心依据监测节点的权属等级对攻击任务来划分的第一、二、三指令流时,给予维护工具分发策略的传输以不同的隐蔽等级,以便于防止恶意节点有所警觉,而且也要避免维护工具分发策略的攻击工具被监测节点(例如监测节点关联的通用计算机等设备)所详细掌握,进而造成其他不良影响。
在监测节点执行对第二路由节点302进行隐蔽信息采集操作的第一指令流时,由维护管理中心设定针对第二路由节点302的第一指令流的第一隐蔽等级,其中,监测节点响应于维护管理中心下发的第一指令流,执行与第一指令流相关的隐蔽信息采集操作。优选地,第二路由节点302的相关标识信息(如IP地址)可以采用加密、尤其是非对称加密方式以系统独占权限提供给监测节点,以便由监测节点按照第一指令流的指示追溯第二路由节点302的相关标识信息(如IP地址)的方式对第二路由节点302进行隐蔽信息采集操作。通过以上措施,监测节点不能改写作为第二路由节点302的相关标识信息(如IP地址),避免了错误判断采集信息的节点,也让监测节点不能直接掌握第二路由节点302的相关标识信息(如IP地址),确保标识信息不会泄露。
优选地,在监测节点执行与第一指令流相关的隐蔽信息采集操作时,在由维护管理中心向至少一个监测节点下发第一指令流时,响应于收到的第一指令流,相应监测节点根据第一指令流的指示进行隐蔽信息采集操作,并对操作过程进行记录(如监测节点借助隐蔽链路将其带有时间戳的记录发送至维护管理中心),使得维护管理中心按照时间相关的方式来记录相应监测节点的执行对指定第二路由节点302的隐蔽信息采集操作的第一指令流的过程,从而使得第一指令流的操作过程和结果能够得到追溯,便于对每一次的第一指令流的操作过程进行记录。
在监测节点执行对第二路由节点302进行中继传输网络结构分析的第二指令流时,由维护管理中心设定针对中继传输网络结构分析工具的第二隐蔽等级,其中,监测节点响应于维护管理中心下发的中继传输网络结构分析的第二指令流,执行与中继传输网络结构分析指令相关的中继传输网络结构分析操作。进一步地,在执行中继传输网络结构分析操作前,权属验证单元根据传输的相应中继传输网络结构分析工具所设定的安全等级以及操作该中继传输网络结构分析工具的监测节点的权属等级来调整第二隐蔽等级的隐蔽链路的具体路由节点。由于对第二路由节点302进行中继传输网络结构分析需要传输和使用的攻击工具可能具有破坏性(对计算机信息系统的),因此传输并使用此类攻击工具时,由维护管理中心对相应监测节点的权属等级进行验证,并根据检查确定的相应监测节点的权属等级来应用调整具体配置之后的第二隐蔽等级。
根据一种优选实施方式,针对“执行对第二路由节点302进行中继传输网络结构分析的第二指令流”所需要传输和使用的工具的网络危害性,由维护管理中心的权属验证单元结合相应监测节点的权属等级来设定针对中继传输网络结构分析工具的第二隐蔽等级或者调整第二隐蔽等级的隐蔽链路的具体路由节点,从而维护管理中心以相应监测节点来确定中继传输网络结构分析工具所采取的加密措施。由此,在攻击效率与传输安全之间,产生攻击快速、传输安全的维护工具分发策略方案。优选地或替代地,维护管理中心针对执行所述第一指令流之后所确定的第二路由节点302来确定第二隐蔽等级;对于隐蔽等级较低的第二路由节点302,不宜采用层层加壳的加密措施,这是因为过高运算开销造成中继传输网络结构分析工具运行速度过慢,导致丧失对第二路由节点302侦查的实时性。替代地,根据本发明的维护管理中心针对第一指令流所确定的隐蔽等级较低的第二路由节点302,向相应监测节点给予或授权以用后即毁的中继传输网络结构分析工具,其中,在隐蔽等级较低的第二路由节点302之时,由维护管理中心接管用后即毁的中继传输网络结构分析工具的至少部分参数的配置工作,或者由维护管理中心将预先配置好的用后即毁的中继传输网络结构分析工具下发至监测节点例如采用用后即毁的虚拟机形式。
在监测节点执行攻击第二路由节点302的攻击操作的第三指令流时,由维护管理中心设定第三隐蔽等级,维护管理中心针对攻击操作的工具的危险性来给传输攻击工具至监测节点的隐蔽链路设定第三隐蔽等级。在第三隐蔽等级下,维护管理中心可以将形成攻击工具的多个数据分发至不同的监测节点,不同的监测节点之间存在由维护管理中心设置的若干路由节点,从而在第三隐蔽等级下,执行所调用的路由节点数量和位次对于监测节点是隐蔽的。
在全文中,“优选地”所引导的特征仅为一种可选方式,不应理解为必须设置,故此申请人保留随时放弃或删除相关优选特征之权利。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
Claims (9)
1.一种基于区块链组网的匿名防溯方法,其特征在于,包括以下步骤:
基于第一终端(1)和第二终端(2)之间的数据传输请求,从区块链网络(100、200、300)中随机选择若干个第一路由节点(301)形成第一传输路径;
第一终端(1)和/或第二终端(2)接入的监测节点(3)对所述第一路由节点(301)进行隐蔽等级识别以确定第二传输路径和第二路由节点(302),其中,所述监测节点(3)监测所述第二路由节点(302)以对所述第二路由节点(302)的隐蔽等级进行修正;
第二传输路径中的每个节点广播并接收公钥,生成可链接的环签名;
第一终端(1)和第二终端(2)通过所述第二传输路径进行数据传输;
当所述第二路由节点(302)为第一隐蔽等级时,对所述第二路由节点(302)将所述数据传输请求转发至其他路由节点的频率进行限制;当所述第二路由节点(302)为第二隐蔽等级时,进一步增加对所述第二路由节点(302)将所述数据传输请求转发至其他路由节点的频率的限制,并对第二路由节点(302)的隐蔽信息进行解析;当所述第二路由节点(302)为第三隐蔽等级时,通过维护工具对解析的网络结构中的节点进行破坏。
2.根据权利要求1所述的基于区块链组网的匿名防溯方法,其特征在于,监测节点(3)对所述第一路由节点(301)进行隐蔽等级识别包括以下步骤:
按照预设订阅周期对路由节点的隐蔽信息进行上链存储;
基于维护管理中心(4)的授权,所述监测节点(3)对所述第一路由节点(301)和所述第二路由节点(302)的隐蔽信息进行解析处理,从而依据所述解析处理结果对所述第一路由节点(301)的隐蔽等级进行标记,其中,将超出隐蔽等级阈值的第一路由节点(301)标记为所述第二路由节点(302);
根据第二路由节点(302)的被标记的不同的隐蔽等级,所述监测节点(3)请求维护管理中心(4)发送匹配于所述隐蔽等级的维护操作请求,所述维护操作请求至少包括调整第二路由节点(302)的订阅周期。
3.根据权利要求1或2所述的基于区块链组网的匿名防溯方法,其特征在于,监测节点(3)维护第二路由节点(302)包括以下步骤:
基于监测节点(3)发送的维护请求,维护管理中心(4)分发维护工具至监测节点(3),所述分发维护工具是通过匹配于对应维护工具的隐蔽等级的第二传输路径进行传输的;
基于维护管理中心(4)的授权,所述监测节点(3)获取与其权属对应的维护工具,并通过获取的所述维护工具对所述第二路由节点(302)进行维护操作,其中,所述维护操作至少包括调整订阅周期。
4.根据权利要求3所述的基于区块链组网的匿名防溯方法,其特征在于,用于存储关联于路由节点维护操作的维护工具的所述维护管理中心(4)包括用于对监测节点(3)的请求进行验证的权属验证单元(50),所述权属验证单元(50)通过校验关联于所述监测节点(3)的所能获取的维护工具的权属以生成维护管理中心(4)的维护工具分发策略。
5.根据权利要求2所述的基于区块链组网的匿名防溯方法,其特征在于,按照预设订阅周期对路由节点的隐蔽信息进行上链存储包括以下步骤:
按照第一订阅周期对所有路由节点的隐蔽信息进行上链存储,所述隐蔽信息至少包括关联于路由节点的区块生成速度、交易量、通信负载和在线状态信息;
根据监测节点(3)对路由节点的隐蔽解析结果调整路由节点的隐蔽信息的订阅周期,其中,将第一路由节点(301)的订阅周期调整至第二订阅周期,所述第二订阅周期的上传间隔小于所述第一订阅周期。
6.根据权利要求1所述的基于区块链组网的匿名防溯方法,其特征在于,从区块链网络(100、200、300)中随机选择若干个第一路由节点形成第一传输路径包括以下步骤:
将第一终端(1)和/或第二终端(2)的地址以多级跳转的方式随机发送至区块链网络(100、200、300)中的若干个路由节点;
接收到第一终端(1)和/或第二终端(2)的加密地址的若干个第一路由节点(301)将其多级跳转方式下所接收的多个其他第一路由节点(301)的加密地址发送至其对应的监测节点(3);
对所述若干个第一路由节点(301)进行处理,形成若干个第一传输路径。
7.根据权利要求6所述的基于区块链组网的匿名防溯方法,其特征在于,对若干个第一路由节点(301)进行处理包括以下步骤:
确定若干个所述第一路由节点(301)的中继传输顺序,其中,确定所述中继传输顺序是通过比对传输次序中的前一个第一路由节点(301)发送至下一个第一路由的第一随机参数以及前一个第一路由节点(301)发送至第一终端(1)和/或第二终端(2)的第二随机参数的方式确定的;
将所述中继传输顺序进行加密处理并将加密后的中继传输顺序传输至对应的第一路由节点(301),以确定第一传输路径。
8.一种基于区块链组网的匿名防溯系统,包括:客户端网络(100)、监测节点(3)所构成的监测网络(200)和用于中继传输的路由网络(300),其特征在于,所述监测节点(3)包括:
接收验证单元(10),用于接收客户端网络(100)中的终端(1、2)发送的数据传输请求,并依据所述数据传输请求对终端(1、2)进行身份验证以确认终端(1、2)的传输路径等级;
获取标记单元(20),基于数据传输请求从所述路由网络(300)中获取第一路由节点(301)的隐蔽信息,并通过解析隐蔽信息对所述第一路由节点(301)的隐蔽等级进行识别,所述隐蔽等级是通过解析所述第一路由节点(301)的至少包括交易量的隐蔽信息进行确定的;
传输路径确定单元(30),用于根据获取标记单元(20)对第一路由节点(301)的隐蔽等级判定结果输出第二传输路径;第一终端(1)和/或第二终端(2)接入的监测节点(3)对所述第一路由节点(301)进行隐蔽等级识别以确定第二传输路径和第二路由节点(302);
节点维护单元(40),当所述第二路由节点(302)满足相应的隐蔽等级条件时,基于向维护管理中心(4)获取的维护工具,所述节点维护单元(40)对第二路由节点(302)进行相应的维护操作;
当所述第二路由节点(302)为第一隐蔽等级时,对所述第二路由节点(302)将所述数据传输请求转发至其他路由节点的频率进行限制;当所述第二路由节点(302)为第二隐蔽等级时,进一步增加对所述第二路由节点(302)将所述数据传输请求转发至其他路由节点的频率的限制,并对第二路由节点(302)的隐蔽信息进行解析;当所述第二路由节点(302)为第三隐蔽等级时,通过维护工具对解析的网络结构中的节点进行破坏。
9.根据权利要求8所述的基于区块链组网的匿名防溯系统,其特征在于,所述维护管理中心(4)包括用于对监测节点(3)的请求进行验证的权属验证单元(50),所述权属验证单元(50)通过校验关联于所述监测节点(3)的所能获取的维护工具的权属以生成维护管理中心(4)的维护工具分发策略,其中,所述维护工具分发策略包括选择监测节点(3)以及选择匹配于对应监测节点(3)的维护工具。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211117966.4A CN115473737B (zh) | 2022-09-14 | 2022-09-14 | 一种基于区块链组网的匿名防溯方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211117966.4A CN115473737B (zh) | 2022-09-14 | 2022-09-14 | 一种基于区块链组网的匿名防溯方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115473737A CN115473737A (zh) | 2022-12-13 |
| CN115473737B true CN115473737B (zh) | 2023-08-08 |
Family
ID=84332946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211117966.4A Active CN115473737B (zh) | 2022-09-14 | 2022-09-14 | 一种基于区块链组网的匿名防溯方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115473737B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217645A (zh) * | 2020-09-28 | 2021-01-12 | 电子科技大学 | 一种基于区块链技术的匿名通信系统路由选择方法 |
| CN113691512A (zh) * | 2021-08-13 | 2021-11-23 | 北京理工大学 | 一种结合区块链与洋葱网络的数据隐蔽传输系统及方法 |
| CN113888170A (zh) * | 2021-10-28 | 2022-01-04 | 支付宝(杭州)信息技术有限公司 | 地址溯源方法、装置及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200028775A1 (en) * | 2018-07-19 | 2020-01-23 | Moac Blockchain Tech Inc | Apparatus and Method for Decentralized Anonymous Communication |
| US11683189B2 (en) * | 2020-03-19 | 2023-06-20 | Jinan University | Method and system for maintaining privacy and traceability of blockchain-based system |
-
2022
- 2022-09-14 CN CN202211117966.4A patent/CN115473737B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217645A (zh) * | 2020-09-28 | 2021-01-12 | 电子科技大学 | 一种基于区块链技术的匿名通信系统路由选择方法 |
| CN113691512A (zh) * | 2021-08-13 | 2021-11-23 | 北京理工大学 | 一种结合区块链与洋葱网络的数据隐蔽传输系统及方法 |
| CN113888170A (zh) * | 2021-10-28 | 2022-01-04 | 支付宝(杭州)信息技术有限公司 | 地址溯源方法、装置及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 区块链基础设施安全分析与防护;查选;崔枭飞;魏亮;戴方芳;孟楠;;信息通信技术(06);第30-35+60页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115473737A (zh) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Srinivas et al. | Designing secure user authentication protocol for big data collection in IoT-based intelligent transportation system | |
| US8082578B2 (en) | Intelligent firewall | |
| US7127740B2 (en) | Monitoring system for a corporate network | |
| WO2021109756A1 (zh) | 一种基于同态加密方案的代理型匿名通信方法 | |
| Tian et al. | A survey of key technologies for constructing network covert channel | |
| CN103825969A (zh) | 一种基于匿名网络的dns查询方法 | |
| CN107172030B (zh) | 一种高隐秘且抗溯源的通信方法 | |
| Khalil et al. | Sybil attack prevention through identity symmetric scheme in vehicular ad-hoc networks | |
| CN116132989A (zh) | 一种工业互联网安全态势感知系统及方法 | |
| Akhtar et al. | A systemic security and privacy review: Attacks and prevention mechanisms over IOT layers | |
| CN107888548A (zh) | 一种信息验证方法及装置 | |
| CN115473737B (zh) | 一种基于区块链组网的匿名防溯方法及系统 | |
| Kaur et al. | Covert channel‐internal control protocols: attacks and defense | |
| Heda et al. | Covert channel design and detection techniques: a survey | |
| Manale et al. | Security of communication 5G-V2X: A proposed approach based on securing 5G-V2X based on Blockchain | |
| Yasinsac | Detecting intrusions in security protocols | |
| Wang et al. | Traceback and anonymity | |
| CN117955735B (zh) | 一种数据安全访问控制方法、系统及存储介质 | |
| CN115834398A (zh) | 一种安全与隐私保护方法及系统 | |
| Liu et al. | DLCCB: A Dynamic Labeling Based Covert Communication Method on Blockchain | |
| KR102432835B1 (ko) | 보안이벤트 비식별화시스템 및 그 방법 | |
| KR102421722B1 (ko) | 네트워크 정보 보호 방법 및 장치 | |
| Azzahra et al. | Formal Analysis of SMAP Fog/Edge Protocol Using AVISPA | |
| Diwan | Dynamic Lightweight Mechanism for Security and Performance in Internet of Things. | |
| Padmapriya et al. | IOT TESTBED WITH A DISTRIBUTED DENIAL OF SERVICE ATTACK USING NETWORK SECURITY |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |