网络设备资源探查信息的防篡改存储系统及其控制方法与流程

本发明涉及信息安全领域，特别涉及一种网络设备资源探查信息的防篡改存储系统及其控制方法。

背景技术：

对于现有的移动网络中的网络设备资源探测而言，主要采用两种技术路线，第一种利用ip网络中icmp协议ttl字段实现的路由追踪(traceroute)功能，从而对网络中的节点进行资源探测；另一种需要在数据中继节点部署包分析(packetanalysis)能力，从而对经过该节点的数据包进行捕获，然后对其进行解码并进行进一步分析，从而获得网络中发送数据的节点的资源信息。但是上述两种方法在移动网络场景下都会面临一个缺陷，即在现有的移动网络场景下，大量移动节点在通信基站之间移动，造成网络拓扑往往存在实时动态变化的情况。在这种情况下，无论是通过traceroute技术还是packetanalysis技术所探查到的移动节点的网络设备资源信息，都会面临无法被验证的情况，这导致了当系统发现被网络攻击之后，查询相应的网络设备资源历史记录时无法验证其真实性，当存储记录被篡改后，也无法被有效感知，这会导致整个网络安全体系架构出现很大的漏洞。

在现有信息技术中，区块链技术已经被广泛应用于比特币等去中心化货币的分布式记账，从而实现其防篡改功能，但是区块链本身存在的最大的问题在于，其需要大量的计算力来保证每一个区块的计算强度，进而保证其不会被篡改，而现有的移动网络中，作为信号中继节点的基站除去基本的信号处理能力之外，并不具备大规模的数据处理能力，这直接导致了在传统的移动网络中，无法直接应用区块链技术，因此，需要对现有的移动网络架构进行改进，从而满足结合区块链，实现在移动网络中对网络设备资源探查信息的防篡改存储功能。

技术实现要素：

本发明要解决的技术问题是现有移动网络中，通信基站在基本的信号数据处理能力之外，不具备大规模的数据处理能力，无法为区块链技术提供足够算力。

为了解决上述技术问题，本发明中披露了一种移动网络中网络设备资源探查信息的防篡改存储技术，本发明的技术方案是这样实施的：

一种网络设备资源探查信息的防篡改存储系统的控制方法，包括中心虚拟机和若干个分虚拟机，具体实施步骤如下：

(1)、所述中心虚拟机通过所述数据包分析探查获得一个新的网络设备资源信息，使用对称密钥对所述设备资源信息的关键字段进行加密；

(2)、完成加密之后，将分为两种情况：

(2-1)、若所述设备资源信息为所述中心虚拟机探查到的第一个设备资源信息，则自动调取所述中心虚拟机的时间信息作为创世区块，将所述创世区块的字符串a通过sha256算法进行哈希映射成为编码a，所述中心虚拟机将所述编码a和加密后的所述设备资源信息一同发布给各个所述分虚拟机，并同时给出区块返回要求；

(2-2)、若所述设备资源信息不为所述中心虚拟机探查到的第一个设备资源信息，则自动获取区块链上的上一个区块的字符串b信息，将所述区块字符串b通过sha256算法进行哈希映射成为编码b，所述中心虚拟机将编码b和加密后的所述设备资源信息一同发布给各个所述分虚拟机，并同时给出区块返回要求；

(3)、各个所述分虚拟机接收到所述中心虚拟机发出的所述编码a或所述编码b以及所述设备资源信息之后，随机生成编码c，所述编码a或所述编码b、所述设备资源信息以及所述编码c三个组合成为字符串n，各个所述分虚拟机通过sha256算法对字符串n进行哈希映射，映射得到编码d，当编码d满足所述中心虚拟机的区块返回要求时，则将所述编码c发送回所述中心虚拟机，否则重新随机一个编码c再次进行计算；

(4)、当所述中心虚拟机收到任意一个所述分虚拟机所返回的编码c后，将编码c与原有区块链上的上一区块哈希值、需存储的设备资源信息综合形成字符串m，进行sha256算法的哈希映射，检查字符串m是否满足中心虚拟机下发的返回要求，若不符合则丢弃，若符合，则将组合获得的字符串m作为新区块进行存储，并且发送给管理范围内的所有分虚拟机；

(5)、当所述分虚拟机收到所述中心虚拟机所发出的新区块后，停止产生随机编码c以及进行哈希映射，并将所述新区块存储下来；

(6)、所述中心虚拟机对所述分虚拟机发送出的编码c进行分析，获取网络设备资源探查信息，并与现有存储于区块链的所有设备资源信息信息进行比对，若未被记录，则视为新设备，则将所述网络设备资源探查信息放入待存储的排队队列中，等待被存入区块链；

(7)所述中心虚拟机回到(2)重复执行，最终获得存储有网络设备资源探查信息的区块链。

优选地，所述(1)中，所述中心虚拟机对网络设备资源信息进行关键字段加密，使用对称密钥对包括设备mac地址、ip地址进行加密。

优选地，所述(2)中，所述中心虚拟机会动态调整生成区块的难度。

优选地，所述(6)中，所述中心虚拟机接受管理范围内所有所述分虚拟机的数据包。

一种移动网络中网络设备资源探查信息的防篡改存储技术，包括基站、与基站连接的若干智能设备以及上述任意一种网络设备资源探查信息的防篡改存储系统的控制方法，所述基站和各个所述智能设备上均设有雾计算程序，所述基站设为雾计算中心虚拟机，所述智能设备设为雾计算分虚拟机，各个所述分虚拟机上均由所述中心虚拟机管理，所述中心虚拟机和分虚拟机上均设有数据包分析程序。

实施本发明的有益效果是：

1、通过区块链技术，实现了对网络设备资源探查信息的去中心化存储，从而减少了网络资产探针信息被篡改。

2、通过雾计算技术，，减少了基站的计算量，为区块链技术的提供了较大的计算力，减少了难以调动大量计算资源实现区块链技术的局限性。

3、分虚拟机为移动设备，计算力节点距离设备更为接近，可以减少网络传输时延，提高服务响应速度，同时还能够将网络边缘的节点的计算力利用起来，进行使用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一种实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为基于雾计算的移动网络场景示意图；

图2为区块链结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在一个具体的实施方式中，一种网络设备资源探查信息的防篡改存储系统的控制方法，包括中心虚拟机和若干个分虚拟机，具体实施步骤如下：

(1)、中心虚拟机所述数据包分析探查获得一个新的网络设备资源信息，使用对称密钥对该设备资源信息的关键字段进行加密；

(2)、完成加密之后，将分为两种情况：

(2-1)、若设备资源信息为中心虚拟机探查到的第一个设备资源信息，则自动调取中心虚拟机的时间信息作为创世区块，将创世区块的字符串a通过sha256算法进行哈希映射成为编码a，中心虚拟机将所述编码a和加密后的设备资源信息一同发布给各个分虚拟机，并同时给出区块返回要求。

在此过程中的创世区块为时间信息，例如2018年6月14日18时45分32秒即可作为创世信息；区块返回要求，即区块哈希散列末尾为0的位数l需符合下列公式：

l＝a+[1g(n)]

其中a为基础长度，根据网络实际计算能力进行设定，为系统初始设定的固定值，n为排队数量，其中排队数量是指当前状态下，中心虚拟机所检测到的所需存储进区块链的网络设备资源信息的数量。

(2-2)、若设备资源信息不为中心虚拟机探查到的第一个设备资源信息，则自动获取区块链上的上一个区块的字符串b信息，将区块字符串b通过sha256算法进行哈希映射成为编码b，中心虚拟机将编码b和加密后的设备资源信息一同发布给各个分虚拟机，并同时给出区块返回要求。

当设备资源信息不为中心虚拟机探查到的第一个设备时，意味着在此之前已经有相同的网络资源信息被存储入区块链中，因此存在有上一个区块的字符串信息(如图2所示)，中心虚拟机可以通过读取区块链中所保存的上一个区块字符串b信息来发布，区块返回要求与(2-1)中所述相同。

(3)、各个分虚拟机接收到中心虚拟机发出的编码a或编码b以及设备资源信息之后，随机生成编码c，编码a或编码b、设备资源信息以及编码c三个组合成为字符串n，各个分虚拟机通过sha256算法对字符串n进行哈希映射，映射得到编码d，当编码d满足中心虚拟机的区块返回要求时(该区块返回要求与(2-1)中所述相同)，则将编码c发送回中心虚拟机，否则重新随机一个编码c再次进行计算。

(4)、当中心虚拟机收到任意一个分虚拟机所返回的编码c后，将编码c与原有区块链上的上一区块哈希值、需存储的设备资源信息综合形成字符串m，进行sha256算法的哈希映射，检查字符串m是否满足中心虚拟机下发的返回要求，若不符合则丢弃，若符合，则将组合获得的字符串m作为新区块进行存储，并且发送给管理范围内的所有分虚拟机。

(5)、当分虚拟机收到所述中心虚拟机所发出的新区块(即字符串m)后，停止产生随机编码c以及进行哈希映射，并将新区块存储下来。

(6)、中心虚拟机对分虚拟机发送出的数据包(即编码c)进行分析，该数据包为分虚拟机满足返回要求而向中心虚拟机发送，获取网络设备资源探查信息，并与现有存储于区块链的所有设备资源信息信息进行比对，若未被记录，则视为新设备，则将所述网络设备资源探查信息放入待存储的排队队列中，等待被存入区块链。

(7)、中心虚拟机回到(2)重复执行，最终获得存储有网络设备资源探查信息的区块链。

通过区块链技术，实现了对网络设备资源探查信息的去中心化存储，从而防止网络资产探针信息被篡改，通过雾计算，使各个分虚拟器分散计算资源，为区块链提供了较大的计算力。

在一个优选的实施例中，(1)中，中心虚拟机对网络设备资源信息进行关键字段加密，使用对称密钥对包括设备mac地址、ip地址进行加密，从而防止隐私泄露，提高设备资源信息在传输过程中的安全性。

在一个优选的实施例中，(2)中，中心虚拟机会动态调整生成区块的难度，由于哈希映射为无规律纯随机映射，因此，只能通过多次尝试来满足返回区块的要求，通过调整返回区块的哈希散列后几位为0的长度，会直接改变雾计算分虚拟机尝试随机数的次数，即为调整生成区块的难度，例如，返回区块的sha256哈希映射获得的哈希散列的后10位全为0，该要求通过中心虚拟机根据当前排队数量可以自动调整，当排队数量越大时，雾计算中心虚拟机发布的区块返回要求难度越低，从而加快雾计算分虚拟机生成返回符合区块返回要求的速率。

在一个优选的实施例中，(6)中，中心虚拟机接受管理范围内所有所述分虚拟机的数据包，由于中心虚拟机对所有管辖范围内的分虚拟机进行广播，所有分虚拟机都有机会计算得到符合要求的区块，因此，在原有体系框架内没有主动发送数据的节点也会因此产生向雾计算中心虚拟机发送数据包的机会，一旦其向雾计算中心虚拟机发送数据包，都将被进行数据包分析，从而获得网络设备资源信息。

因此雾计算中心虚拟机可以利用该存储机制，发现该网络中原本不发送数据包的静默设备的信息，进而减少存储过程中信息篡改的可能性。

上述编码a、编码b或编码c均为256位二进制编码。

本发明还提供了一种移动网络中网络设备资源探查信息的防篡改存储技术，如图1所示，包括基站和与基站连接的智能设备，基站和各个智能设备上均设有雾计算程序，存储技术针对移动网络场景下，通过在基站以及其连接的智能设备上部署雾计算程序，从而为区块链计算提供计算力资源，进而使基站所探查获得的网络设备资源信息无法被篡改。

如图2所示，基站设为雾计算中心虚拟机，各个智能设备分别设为分虚拟机，各个分虚拟机上均由中心虚拟机管理，这样计算力节点距离设备更为接近，可以减少网络传输时延，中心虚拟机和分虚拟机上均设有数据包分析程序。

为使本发明更明显易懂，提供一种移动网络中网络设备资源探查信息的防篡改存储技术的实施实例，并做详细说明如下：

(1)雾计算中心虚拟机通过抓取数据包，可以获得网络设备资源信息，对比现有区块链中存储的设备资源信息，若不存在，则为新设备，将新设备资源信息放入待存储网络设备资源信息队列队尾。

(2)对网络中待存储网络设备资源信息队列中队首的设备信息进行对称密钥加密，获得脱敏待存储信息si，si为一个任意长的字符串，若队列为空，则返回步骤(1)。

(3)雾计算中心虚拟机读取区块链中存储的当前最新区块nb，若当前区块链中不存在区块，则自动调取当前设备的时间信息作为区块nb，然后获得其哈希散列ph＝sha256(nb)，ph为一个256位长的二进制字符串。

(4)雾计算中心虚拟机将si、ph下发给所有网络内的分虚拟机，同时根据本发明规定，假定当前网络状态下，返回区块所需条件为哈希散列后4位为0。

(5)雾计算分虚拟机随机产生256位的二进制随机数rn，rn为一个256位长的随机二进制字符串。然后与上述哈希散列ph、待存储信息si组成一个区块tb，tb＝[ph，si，rn]。

对上述区块tb进行sha256哈希映射，若不符合所获得的哈希散列最后4位为0的要求则重新产生随机数，当通过多次计算后，获得了新哈希散列th＝sha256(tb)满足雾计算中心虚拟机下发的返回区块需求，即th的最后4位为0，与此同时使其满足要求的随机数定义为rn*，此时，分虚拟机停止计算，并向雾计算中心虚拟机返回rn*。

(6)中心虚拟机接收到雾计算分虚拟机所返回的符合要求的随机数rn*后，向网络内所有的雾计算分虚拟机发送sb＝[ph，si，rn*]，所有雾计算分虚拟机停止计算，网络中所有虚拟机将sb存入区块链作为当前最新区块，即令nb＝sb

(7)中心虚拟机抓取刚才发送rn*的数据包，通过数据包分析，确认发送该数据包的分虚拟机是否为新加入网络的分虚拟机，即区块链中是否保存了该网络设备资源信息，若为新分虚拟机，则将从该数据包中获得的设备资源信息放入排队队列队尾，等待存储。

(8)返回步骤(1)循环运行。

上述即为一个数据包完整运行过程，各个分虚拟机为基站提供了计算力，可以有效减少篡改的可能性，提高数据安全性。

需要指出的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。