基于智能合约的分布式IPv6地址溯源方法及系统

本发明涉及互联网，特别涉及一种基于智能合约的分布式ipv6地址溯源(ipv6address traceback and threatener restriction，attr6)方法及系统。

背景技术：

1、网络空间国际战略报告(cyberspace international strategy report)显示，在过去8年里，全球网络安全事件数量增长了11倍，其中分布式拒绝服务(distributeddenial of service，ddos)威胁占比高达50.2％。由于缺乏源地址保护机制和网络行为与用户的相关性，进一步加剧了ipv6(internet protocol version 6，互联网协议第6版)网络威胁频发。光明互联网全球峰会(bright internet global summit，bigs)明确指出，包括ip(internet protocol，互联网协议)地址验证在内的认证系统是下一代互联网的关键。寻求识别威胁者增强互联网溯源能力的解决方案迫在眉睫。

2、为实现这个目标，一些研究利用ipv6地址空间大和地址位数长等新特性，通过在ipv6地址中嵌入用户信息，来完成互联网行为与现实世界的直接关联。由于地址所关联的用户身份并未得到有效验证，并且与用户关联的ipv6地址也可能被伪造，导致现有基于ipv6地址增强网络溯源能力的方法有效性不高。为此，一些研究关注于用户身份验证和ipv6地址分配、源ipv6地址真实性验证，希望可以提高溯源系统结果的正确性。这些研究只适用于单一自治系统，网络溯源的范围很小。其次，在溯源到威胁者身份后，并没有进一步给出限制威胁者的参考意见。为了实现更大范围的网络溯源，需要跨自治系统的ipv6威胁地址溯源。但是，集中式数据库存在数据安全性低和一致性维护困难的特点。因此，建立一个包含多自治系统信息的数据库成为一个亟待解决的问题。

技术实现思路

1、为此，本发明提供一种基于智能合约的分布式ipv6地址溯源方法及系统，利用区块链的分布式存储实现跨自治系统的ipv6威胁地址溯源。

2、按照本发明所提供的设计方案，提供一种基于智能合约的分布式ipv6地址溯源方法，包含：

3、在目标网络中自治系统在维护其分配范围中ipv6地址信息的同时，通过调用智能合约中预先定义的地址信息上链逻辑将其ipv6地址信息存储在区块链上；

4、针对目标地址的溯源请求，通过检索自治系统本地数据库或调用智能合约中预先定义的溯源查询逻辑对目标地址溯源，并通过调用智能合约中预先定义用户上链逻辑将目标地址溯源关联的用户信息存储在区块链上，其中，用户信息包含：用户声誉、用户上链时间和与用户关联的被溯源ipv6地址。

5、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，ipv6地址信息包含：ipv6地址、地址关联用户标识、地址配置在客户端接口的mac物理地址、客户端名称、当前地址用户认证联系方式、当前生成地址时间、请求当前地址的dhcpv6消息中的dhcp唯一标识符和身份关联标识符。

6、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，目标网络中自治系统在维护其分配范围中ipv6地址信息的同时，还包含：通过调用智能合约中预先定义的链上地址信息删除逻辑将自治系统的溯源节点或ipv6地址信息从区块链上删除。

7、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，通过检索自治系统本地数据库或调用智能合约中预先定义的溯源查询逻辑对目标地址溯源，包含：首先，通过查询本地数据库判断目标地址是否为自治系统分配范围内的地址，若不是，则通过调用智能合约中预先定义的溯源查询逻辑判断目标地址是否为其他自制系统分配范围中地址，若是其他自制系统分配范围中地址，则通过调用智能合约中预先定义的地址读取逻辑来获取区块链上存储的地址信息，若不是其他自制系统分配范围中的地址，则判定无法对目标地址溯源，溯源流程结束。

8、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，还包含：针对目标地址溯源结果，从目标地址的威胁时长和受害范围来量化用户威胁程度，调用智能合约中预先定义用户查询逻辑获取用户声誉，结合用户声誉来判定该目标地址用户是否为威胁者。

9、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，结合用户声誉来判定目标地址用户是否为威胁者，包含：首先，利用威胁强度并按照预设比例来降低用户声誉；接着，以预设时间单元为计量单位，针对在该预设时间单元内没有新威胁行为的用户，调整并恢复其用户声誉；然后，将调整恢复后的用户声誉与用户声誉初始值进行比对，将不满足用户声誉初始值的用户判定为威胁者。

10、作为本发明基于智能合约的分布式ipv6地址溯源方法，进一步地，利用威胁强度并按照预设比例降低用户声誉的公式表示为：repnew＝repold(1-0.1*intensity)；调整并恢复用户声誉的公式表示为：repnew＝repold(1+(1-0.1*intensity)/2)，其中，repold为区块链上存储的用户声誉，repnew为调整后的用户声誉，intensity为威胁强度量化值。

11、进一步地，本发明还提供一种基于智能合约的分布式ipv6地址溯源系统，包含：上链存储模块和信息溯源模块，其中，

12、上链存储模块，用于在目标网络中自治系统在维护其分配范围中ipv6地址信息的同时，通过调用智能合约中预先定义的地址信息上链逻辑将其ipv6地址信息存储在区块链上；

13、信息溯源模块，用于针对目标地址的溯源请求，通过检索自治系统本地数据库或调用智能合约中预先定义的溯源查询逻辑对目标地址溯源，并通过调用智能合约中预先定义用户上链逻辑将目标地址溯源关联的用户信息存储在区块链上，其中，用户信息包含：用户声誉、用户上链时间和与用户关联的被溯源ipv6地址。

14、本发明的有益效果：

15、本发明由每个自治系统的溯源服务器组建区块链，并通过调用智能合约函数把不同自治系统的地址信息存储在区块链上；当需要跨自治系统对ipv6地址溯源时，某自治系统的溯源服务器读取区块链上存储的地址信息来识别威胁者；进一步考虑针对ipv6地址所关联威胁者的限制方案，利用惩罚-原谅策略(pfp)来动态调整威胁者的声誉，通过将受限的威胁者及其声誉存储在区块链上，从而向各自治系统采取限制措施提供数据支撑。相比现有基于中心化数据库共享数据，本案方案数据共享更可靠。并通过实验测试表明，本案方案溯源开销较低，可有效实现分布式ipv6地址溯源和威胁者限制，提高溯源效率和准确率，能更好地适应多种网络场景。

技术特征：

1.一种基于智能合约的分布式ipv6地址溯源方法，其特征在于，包含：

2.根据权利要求1所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，ipv6地址信息包含：ipv6地址、地址关联用户标识、地址配置在客户端接口的mac物理地址、客户端名称、当前地址用户认证联系方式、当前生成地址时间、请求当前地址的dhcpv6消息中的dhcp唯一标识符和身份关联标识符。

3.根据权利要求1或2所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，目标网络中自治系统在维护其分配范围中ipv6地址信息的同时，还包含：通过调用智能合约中预先定义的链上地址信息删除逻辑将自治系统的溯源节点或ipv6地址信息从区块链上删除。

4.根据权利要求1所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，通过检索自治系统本地数据库或调用智能合约中预先定义的溯源查询逻辑对目标地址溯源，包含：首先，通过查询本地数据库判断目标地址是否为自治系统分配范围内的地址，若不是，则通过调用智能合约中预先定义的溯源查询逻辑判断目标地址是否为其他自制系统分配范围中地址，若是其他自制系统分配范围中地址，则通过调用智能合约中预先定义的地址读取逻辑来获取区块链上存储的地址信息，若不是其他自制系统分配范围中的地址，则判定无法对目标地址溯源，溯源流程结束。

5.根据权利要求1或4所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，还包含：针对目标地址溯源结果，从目标地址的威胁时长和受害范围来量化用户威胁程度，调用智能合约中预先定义用户查询逻辑获取用户声誉，结合用户声誉来判定该目标地址用户是否为威胁者。

6.根据权利要求5所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，结合用户声誉来判定目标地址用户是否为威胁者，包含：首先，利用威胁强度并按照预设比例来降低用户声誉；接着，以预设时间单元为计量单位，针对在该预设时间单元内没有新威胁行为的用户，调整并恢复其用户声誉；然后，将调整恢复后的用户声誉与用户声誉初始值进行比对，将不满足用户声誉初始值的用户判定为威胁者。

7.根据权利要求6所述的基于智能合约的分布式ipv6地址溯源方法，其特征在于，利用威胁强度并按照预设比例降低用户声誉的公式表示为：repnew＝repold(1-0.1*intensity)；调整并恢复用户声誉的公式表示为：repnew＝repold(1+(1-0.1*intensity)/2)，其中，repold为区块链上存储的用户声誉，repnew为调整后的用户声誉，intensity为威胁强度量化值。

8.一种基于智能合约的分布式ipv6地址溯源系统，其特征在于，包含：上链存储模块和信息溯源模块，其中，

9.一种电子设备，其特征在于，包括存储器和处理器，所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1～7任一项所述的方法步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1～7任一项所述的方法步骤。

技术总结
本发明涉及互联网技术领域，特别涉及一种基于智能合约的分布式IPv6地址溯源方法及系统，在目标网络中自治系统在维护其分配范围中IPv6地址信息的同时，通过调用智能合约中预先定义的地址信息上链逻辑将其IPv6地址信息存储在区块链上；针对目标地址的溯源请求，通过检索自治系统本地数据库或调用智能合约中预先定义的溯源查询逻辑对目标地址溯源，并通过调用智能合约中预先定义用户上链逻辑将目标地址溯源关联的用户信息存储在区块链上。本发明利用区块链分布式存储实现跨自治系统IPv6地址溯源，使用声誉关联威胁者使威胁应对决策更加科学，提高IPv6网络的溯源能力，维护绿色有序网络秩序。

技术研发人员：张连成,杨超强,程兰馨,郭毅,张宏涛,杜雯雯
受保护的技术使用者：中国人民解放军战略支援部队信息工程大学
技术研发日：
技术公布日：2024/1/15