全文摘要
本发明实施例公开了一种IP地址前缀授权与管理方法,包括:关于IP地址前缀授权的智能合约发送至智能合约服务器,所述智能合约服务器将所述智能合约发布至联盟链生效;终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识;所述智能合约服务器判断所述终端是否符合所述智能合约预设要求,若符合,则发送IP地址前缀至符合预设IP地址授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链。采用本发明,可以利用联盟链的链式数据储存的不可篡改性和可追溯性,提出安全的IP地址前缀的分配和授权方法。
主设计要求
1.一种IP地址前缀授权与管理方法,其特征在于,包括:关于IP地址前缀授权的智能合约发送至智能合约服务器,所述智能合约服务器将所述智能合约发布至联盟链生效;终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识;所述智能合约服务器判断所述终端是否符合所述智能合约预设要求,若符合,则发送IP地址前缀至符合预设IP地址前缀授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链。
设计方案
1.一种IP地址前缀授权与管理方法,其特征在于,包括:
关于IP地址前缀授权的智能合约发送至智能合约服务器,所述智能合约服务器将所述智能合约发布至联盟链生效;
终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识;
所述智能合约服务器判断所述终端是否符合所述智能合约预设要求,若符合,则发送IP地址前缀至符合预设IP地址前缀授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链。
2.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述智能合约的生成过程包括:采用高级语言生成智能合约代码,将所述智能合约代码用编译器编译成字节码。
3.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述终端标识包括:表示自身设备类别的信息、接收到IP地址前缀请求的物理端口信息、发送IP地址前缀请求的时间。
4.如权利要求3所述的一种IP地址前缀授权与管理方法,其特征在于,所述智能合约服务器存储所述终端标识并在预设时间内对所述终端标识进行清除。
5.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述终端若不符合所述智能合约预设要求,则所述智能合约服务器存储所述终端标识并发布至联盟链。
6.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述智能合约服务器判断所述终端是否符合所述智能合约预设要求包括:
判断所述终端对应的接口是否开启了随机分配地址功能;
若所述终端对应的接口开启了随机分配地址功能,根据所述终端标识,查找本地存储的对应关系表,否则,发送IP地址分配请求至所述智能合约服务器。
7.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述智能合约需要更新时,包括:
第一终端向第二终端发送基于第一智能合约的更新请求;
所述更新请求中包括所述第一终端的公钥和第二智能合约,所述第二智能合约为所述第一终端基于事务权限映射关系更新所述第一智能合约后的智能合约;
所述事务权限映射关系包括所述第一终端请求更新的事务权限与所述第一终端的公钥之间的映射关系,所述第一终端与所述第二终端为所述智能合约的任一管理终端。
8.如权利要求7所述的一种IP地址前缀授权与管理方法,其特征在于,所述第一终端的公钥需要更新时,包括:
第一终端向第二终端发送公钥更新请求,所述公钥更新请求包括所述第一终端的用户名、更新的公钥、更新公钥的时间戳、签名信息,所述签名信息是所述第二终端对所述第一终端的用户名、更新的公钥、更新公钥的时间戳进行签名后得到的信息;
所述第一终端和第二终端对所述签名信息进行验证;
若验证均通过,则所述第一终端的公钥更新成功。
9.如权利要求1所述的一种IP地址前缀授权与管理方法,其特征在于,所述智能合约服务器判断所述智能合约是否到期,若所述智能合约到期,则所述智能合约服务器生成合约记录并发布至联盟链。
10.如权利要求9所述的一种IP地址前缀授权与管理方法,其特征在于,所述合约记录包括:合约内容、合约生效时间、合约失效时间。
设计说明书
技术领域
本发明涉及网络通信领域,特别是涉及一种IP地址前缀授权与管理方法。
背景技术
域间路由安全包含IP(Internet Protocol网际协议)地址前缀在自治系统(Autonomous System,AS)之间的正确声明和传播,这些行为依赖于边界网关协议(BorderGateway Protocol,BGP)。BGP是运行于TCP(Transmission Control Protocol,传输控制协议)上的一种自治系统的路由协议。然而它没有相应的安全机制来确保路由器通告的路由信息是真实有效的,因此BGP易于受到前缀劫持(Prefix Hijacking)攻击:攻击者恶意地伪造路由通告并将其传播到相邻的自治系统,且将流量转移到错误的或使IP地址范围不可用的网络中去,使得互联网服务瘫痪,鉴于这类攻击的严重性,国际互联网工程任务组借助RPKI(Resource Public Key Infrastructure,资源公钥基础设施)提供了一个域间路由安全解决方案。但是RPKI的部署速度低于预期,目前只有约9%的24个IPv4(InternetProtocol version 4,互联网通信协议第四版)地址块受到RPKI的保护,这个数目显然不能满足现今域间路由安全需求。
发明内容
为了解决上述问题,本发明提供了一种IP地址前缀授权与管理方法,可以利用联盟链的链式数据储存的不可篡改性和可追溯性,提出安全的IP地址前缀的分配和授权方法。
基于此,本发明提供了一种P地址前缀授权与管理方法,所述方法包括:
关于IP地址前缀授权的智能合约发送至智能合约服务器,所述智能合约服务器将所述智能合约发布至联盟链生效;
终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识;
所述智能合约服务器判断所述终端是否符合所述智能合约预设要求,若符合,则发送IP地址前缀至符合预设IP地址授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链。
其中,所述智能合约的生成过程包括:采用高级语言生成智能合约代码,将所述智能合约代码用编译器编译成字节码。
其中,所述终端标识包括:表示自身设备类别的信息、接收到IP地址前缀请求信号的物理端口信息、发送IP地址前缀请求的时间。
其中,所述智能合约服务器存储所述终端标识并在预设时间内对所述终端标识进行清除。
其中,所述终端若不符合所述智能合约预设要求,则所述智能合约服务器存储所述终端标识并发布至联盟链。
其中,所述智能合约服务器判断所述移动通讯终端是否符合所述智能合约预设要求包括:
判断所述终端对应的接口是否开启了随机分配地址功能;
若所述终端对应的接口开启了随机分配地址功能,根据所述标识信息,查找本地存储的对应关系表,否则,发送所述IP地址分配请求至智能合约服务器。
其中,所述智能合约需要更新时,包括:
第一终端向第二终端发送基于所述第一智能合约的更新请求;
所述更新请求中包括所述第一终端的公钥和第二智能合约,所述第二智能合约为所述第一终端基于事务权限映射关系更新所述第一智能合约后的智能合约;
所述事务权限映射关系包括所述第一终端请求更新的事务权限与所述第一终端的公钥之间的映射关系,所述第一终端与所述第二终端为所述智能合约的任一管理终端。
其中,所述第一终端的公钥需要更新时,包括:
第一终端向第二终端发送公钥更新请求,所述公钥更新请求包括所述第一终端的用户名、更新的公钥、更新公钥的时间戳、签名信息,所述签名信息是所述第二终端对所述第一终端的用户名、更新的公钥、更新公钥的时间戳进行签名后得到的信息;
所述第一终端和第二终端对所述签名信息进行验证;
若验证均通过,则所述第一终端的公钥更新成功。
其中,所述智能合约服务器判断所述智能合约是否到期,若所述智能合约到期,则所述智能合约服务器生成合约记录并发布至联盟链。
其中,所述合约记录包括:合约内容、合约生效时间、合约失效时间。
本发明利用区块链的链式数据储存的不可篡改性和可追溯性,提出安全的IP地址前缀的分配和授权方法。该方法提供的可信任模型,允许在没有可信第三方的条件下进行通信,较好地简化了IP地址前缀的分配管理流程,一定程度上提升了互联网服务提供商对其IP地址的控制权,同时使得IP地址前缀的分配记录永久留存在该分布式账本上,便于后续查询与追踪。
基于智能合约,确保IP地址前缀分配和授权流程的自动化执行,避免人为操作对分配流程的影响,使得系统具有高效率和高透明度。此外,由于智能合约的可编程性和扩展性,能够简便地实现系统操作逻辑,无需使用原RPKI即资源公共密钥基础架构中繁杂的专用子系统(如证书吊销列表,Certificate Revocation List,CRL)。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的IP地址前缀授权与管理方法流程图;
图2是本发明实施例提供的IP地址前缀授权与管理方法的实例图;
图3是本发明实施例提供的在联盟链中地址前缀分配流程的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的IP地址前缀授权与管理方法流程图所述方法包括:
S101、关于IP地址前缀授权的智能合约发送至智能合约服务器,所述智能合约服务器将所述智能合约发布至联盟链生效。
所述智能合约是一些运行在电脑(或其他节点)的区块链加密货币网络的特定代码,一旦节点执行了这个代码,合约就会更新总账。说到节点,通常是指区块链网络中的计算机,里面包含了手机、矿机、台式机以及服务器等等。而操作节点的人可能是普通的用户、矿工和多个人协作。例如比特币网络,是属于共有链,当我们在自己的已连接到互联网的电脑上运行bitcoind程序时,该电脑也就成为比特币网络中的一个节点。所述关于IP地址前缀授权的智能合约的生成过程包括:采用高级语言生成智能合约代码,将所述智能合约代码用编译器编译成字节码。所述高级语言包括但不局限于:Solidity语言、Serpent语言、Mutan语言和LLL语言,所述智能合约代码可以用EVM编译器编译成字节码之外,还可以采用solc等编译器对所述智能合约代码进行编译。
区块链是一种记录时间不可逆,记录信息不可伪造的记账工具。广义来讲,区块链是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。
联盟链是有别于公有链的区块链,设置了准入机制,只针对特定群体的成员。链上各节点通常有与之相对应的实体机构或者组织;终端通过授权加入网络并组成利益相关的联盟,共同维护区块链运作。
S102、终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识。
终端发送IP地址前缀请求至所述智能合约服务器,所述IP地址前缀请求携带所述终端标识,所述IP地址前缀请求可以是discover报文,所述终端标识包括:表示自身设备类别的信息、接收到IP地址前缀请求信号的物理端口信息、发送IP地址前缀请求的时间,所述IP地址前缀请求还可以是终端的MAC(Media Access Control,媒体访问控制)和ID(IDentity,身份标识号码)信息。
S103、所述智能合约服务器判断所述终端是否符合所述智能合约预设要求。
所述智能合约是关于IP地址前缀授权的合约,并且记载了IP地址前缀授权的要求等内容,所述智能合约服务器根据所述终端来判断所述终端是否符合IP地址前缀授权的要求。所述智能合约服务器判断所述移动通讯终端是否符合所述智能合约预设要求包括:
判断所述终端对应的接口是否开启了随机分配地址功能;
若所述终端对应的接口开启了随机分配地址功能,根据所述标识信息,查找本地存储的对应关系表,否则,发送所述IP地址分配请求至智能合约服务器。
S104、所述移动通讯终端若不符合所述智能合约预设要求,则所述智能合约服务器存储所述终端的标识并发布至联盟链。
S105、所述移动通讯终端若符合所述智能合约预设要求,则发送IP地址前缀至符合预设IP地址授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链。
所述移动通讯终端若符合所述智能合约预设要求,则发送IP地址前缀至符合预设IP地址授权要求的所述终端,所述智能合约服务器将IP地址前缀授权记录发布在所述联盟链,更加能够保证数据安全,让恶意侵犯的网络行为有迹可循。
所述智能合约服务器存储所述终端标识并在预设时间内对所述终端的标识进行清除,这样可以节省所述智能合约服务器的内存。
其中,所述智能合约需要更新时,包括:
第一终端向第二终端发送基于所述第一智能合约的更新请求;
所述更新请求中包括所述第一终端的公钥和第二智能合约,所述第二智能合约为所述第一终端基于事务权限映射关系更新所述第一智能合约后的智能合约;
所述事务权限映射关系包括所述第一终端请求更新的事务权限与所述第一终端的公钥之间的映射关系,所述第一终端与所述第二终端为所述智能合约的任一管理终端。
所述第一终端的公钥需要更新时,包括:
第一终端向第二终端发送公钥更新请求,所述公钥更新请求包括所述第一终端的用户名、更新的公钥、更新公钥的时间戳、签名信息,所述签名信息是所述第二终端对所述第一终端的用户名、更新的公钥、更新公钥的时间戳进行签名后得到的信息;
所述第一终端和第二终端对所述签名信息进行验证;
若验证均通过,则所述第一终端的公钥更新成功。
所述智能合约进行跟新时需要多个终端进行共同验证,防止有人进行恶意篡改。
所述智能合约到期时,所述智能合约生成合约记录并发布至联盟链。所述合约记录包括:合约内容、合约生效时间、合约失效时间。
当所述终端需要释放当前所使用的IP地址时,所述终端发送的释放请求发送至智能合约服务器。另外,当所述终端针对当前所使用的IP地址进行续约时,所述终端发送续约请求发送至所述智能合约服务器。其中,在具体应用中,该地址续约可以为Request报文,该地址释放可以为Release报文。
本发明是一种利用区块链和智能合约进行IP地址前缀分配的方法。该方法借助区块链技术的不可篡改性和可追溯性,将IP地址前缀分配的记录完整地保存在分布式账本上,路由通过智能合约查询链上的账本信息,从而判别诚实路由与恶意路由。该方法不同于传统的RPKI即资源公共密钥基础架构体系,RPKI依靠验证证书和签名的有效性来检验BGP消息的真实性。利用智能合约实现链上各成员的交互的方法。基于智能合约的可编程性和扩展性,能够便捷地编写适用于不同互联网服务提供商之间交互的智能合约,并支持后续更新和迭代。对比现有RPKI预先设置专用子模块进行管理的方法,本发明提出的利用智能合约进行管理的方法具有较高的灵活性。
图2是本发明实施例提供的IP地址前缀授权与管理方法的实例图,其中,R1、R2和R3均为路由器,所述联盟链链上记录着150\/8to R1和208\/8to R2的IP地址前缀分配信息,若恶意路由向R3转发150\/8to R2的错误路由信息,此时R3可通过智能合约查询所述联盟链链上的账本信息,得知恶意路由向其转发的信息错误,则将该信息视为无效。
图3是本发明实施例提供的在联盟链中地址前缀分配流程的示意图。
IANA是互联网域名系统的最高权威机构,拥有全部的IP地址资源,负责协调全球IP地址和AS号(自治系统号),并将它们分配给各区域性互联网注册机构RIR。RIR得到IP地址前缀后,再将其分配给区域下属的互联网服务提供商ISP。ISP将得到的IP地址前缀根据不同的需求授权其用户终端使用。用户再将授权的地址前缀绑定到上层的自治系统号。
在联盟链中针对业务逻辑编写符合其特定需求的智能合约,使IP地址前缀分配的操作经由智能合约自动化完成。后续如有相互之间业务逻辑的更改,可便捷地进行智能合约的更新和迭代,以满足新的需求。IPv6(Internet Protocol Version6,互联网协议版本6)是从IPv4(互联网协议版本4)协议发展出来的一种新的IP协议。IPv6地址长度由IPv4的32Bit(比特)扩充到128比特。一个IPV6地址包括前缀,基于IPv6地址前缀与区块链中数字货币的特性,将IPv6地址前缀作为联盟链中的数字货币,将其分配和授权视为交易。基于这种交易,我们在联盟链中模仿了RPKI的分配层次结构。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
设计图
相关信息详情
申请码:申请号:CN201910186921.4
申请日:2019-03-12
公开号:CN110012119A
公开日:2019-07-12
国家:CN
国家/省市:81(广州)
授权编号:CN110012119B
授权时间:20191101
主分类号:H04L 29/12
专利分类号:H04L29/12;H04L29/06;H04L29/08
范畴分类:39B;
申请人:广州大学
第一申请人:广州大学
申请人地址:510000 广东省广州市番禺广州大学城外环西路230号
发明人:彭滔;朱嘉维;王国军;刘杰容;李诗云
第一发明人:彭滔
当前权利人:广州大学
代理人:颜希文;麦小婵
代理机构:44202
代理机构编号:广州三环专利商标代理有限公司
优先权:关键词:当前状态:审核中
类型名称:外观设计