一种基于智能合约的路由起源验证方法及系统与流程

本发明涉及网络安全领域，特别是域间路由安全领域，尤其涉及一种基于智能合约的路由起源验证方法及系统。

背景技术：

1、随着互联网的不断发展和扩展，网络安全问题逐渐成为信息社会中的一个严峻挑战。在网络通信中，边界路由协议（border gateway protocol，bgp）作为连接不同自治域（autonomous system, as）的重要桥梁，扮演着数据传输和通信的关键角色。然而，bgp设计之初并没有充分考虑安全性，使得其存在诸多缺陷。其中最严重的一个缺陷是 bgp 路由真实性的不可验证。这一缺陷使得路由器无法分辨，收到的路由通告是否真实由声明的as发出。因此，攻击者可以通过发起错误的路由宣告实现路由重定向，即路由源劫持攻击。路由源劫持攻击对于互联网的基础架构和信任模型构成了严重威胁，它不仅会影响网络性能，还会导致信息泄露、身份伪装等安全问题。

2、为了应对路由源劫持带来的潜在风险，研究者们提出了很多防御方法，主要思路是通过密码学提供路由起源的真实性保障。其中最具影响力的技术是资源公钥基础设施（resource public key infrastructure，rpki）。通过建立数字签名和验证机制来确保路由信息的可信性。rpki基于公钥基础设施的理念，允许拥有ip地址空间的组织发布数字证书对象（route origin authorization，roa）。roa将ip地址块映射到特定的as，并确保只有授权的as才能合法地宣告对该ip地址块的路由。roa可以由互联网服务提供商（internetservice provider，isp）和路由器使用，以验证路由更新的真实性，从而提高域间路由的安全性，防范潜在的网络攻击。

3、然而，由于rpki遵循中心化的部署规则，其体系结构存在固有缺陷，因此会产生信任集中化、权利不对等、单点失效、难以扩展等问题。随着rpki部署率的上升，这些问题带来的影响将被进一步放大，引发网络鲁邦性差、管理复杂性高、性能遭遇瓶颈等一系列潜在挑战。

技术实现思路

1、本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

2、为此，本发明的第一个目的在于提出一种基于智能合约的路由起源验证方法，主要目的在于避免路由源验证机制中的单点失效风险，同时解决路由起源信息的不一致性问题，保证路由源验证的有效性和一致性。

3、本发明的第二个目的在于提出一种基于智能合约的路由起源验证系统。

4、本发明的第三个目的在于提出一种电子设备。

5、本发明的第四个目的在于提出一种计算机可读存储介质。

6、为达上述目的，本发明第一方面实施例提出了一种基于智能合约的路由起源验证方法，包括以下步骤：

7、通过智能合约建立域间路由源验证信任联盟，将isp或as管理者加入所述域间路由源验证信任联盟；

8、若发现网络中存在智能合约中未曾验证的路由起源信息，则isp或as管理者基于未曾验证的路由起源信息向智能合约提出验证请求；

9、智能合约基于所述验证请求，将未曾验证的路由起源信息存储在路由起源字典树中，若未曾验证的路由起源信息与智能合约中已有路由起源信息发生碰撞，则智能合约采用基于优先级的碰撞判定方法，确定所述路由起源字典树对应节点的最终状态，以得到目标路由起源信息；

10、对所述目标路由起源信息进行验证并在域间路由源验证信任联盟广播所述目标路由起源信息。

11、在本发明的第一方面的方法中，所述未曾验证的路由起源信息的存储过程通过路由起源插入函数实现，所述路由起源插入函数包括5个输入值，分别是ip地址前缀、宣告该ip地址前缀的as号、as号宣告的ip地址前缀的起始子网长度、最长子网长度和验证方式。

12、在本发明的第一方面的方法中，对所述目标路由起源信息进行验证之前，还包括利用优化方法对路由起源字典树进行优化，其中优化方法包括路径压缩方法和节点压缩方法。

13、在本发明的第一方面的方法中，所述目标路由起源信息的验证分为三种情况，分别是：通过roa验证、通过预言机查询地址资源验证和通过投票验证。

14、在本发明的第一方面的方法中，基于优先级的碰撞判定方法包括多个优先级，分别是：0级对应初始化状态；1级对应根据roa信息判断；2级对应根据rir（regionalinternet registry，地区性 internet 注册机构）下发的资源分配情况判断；3级对应根据信任联盟中的参与方投票判断。

15、在本发明的第一方面的方法中，优先级为2级时，利用碰撞处理合约、资源管理合约、部署在链下的预言机和rir仓库确定碰撞结果，若碰撞结果为无法判断，则使用更高优先级的方法进行处理。

16、在本发明的第一方面的方法中，优先级为3级时，利用碰撞处理合约、投票合约确定投票结果，进而得到碰撞结果，其中以isp或as管理者的信誉值为对应选票的权重，从而得到所述投票结果。

17、为达上述目的，本发明第二方面实施例提出了一种基于智能合约的路由起源验证系统，包括：

18、成员管理模块，用于通过智能合约建立域间路由源验证信任联盟，将isp或as管理者加入所述域间路由源验证信任联盟；

19、验证请求模块，用于若发现网络中存在智能合约中未曾验证的路由起源信息，则isp或as管理者基于未曾验证的路由起源信息向智能合约提出验证请求；

20、路由存储模块，用于智能合约基于所述验证请求，将未曾验证的路由起源信息存储在路由起源字典树中，还用于对所述目标路由起源信息进行验证；

21、碰撞处理模块，用于若未曾验证的路由起源信息与智能合约中已有路由起源信息发生碰撞，则智能合约采用基于优先级的碰撞判定方法，确定所述路由起源字典树对应节点的最终状态，以得到目标路由起源信息；

22、消息发布模块，用于在域间路由源验证信任联盟广播所述目标路由起源信息。

23、为达上述目的，本发明第三方面实施例提出了一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器；所述存储器存储计算机执行指令；所述处理器执行所述存储器存储的计算机执行指令，以实现本发明第一方面提出的方法。

24、为达上述目的，本发明第四方面实施例提出了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现本发明第一方面提出的方法。

25、本发明提供的基于智能合约的路由起源验证方法、系统、电子设备及存储介质，通过智能合约建立域间路由源验证信任联盟，将isp或as管理者加入域间路由源验证信任联盟；若发现网络中存在智能合约中未曾验证的路由起源信息，则isp或as管理者基于未曾验证的路由起源信息向智能合约提出验证请求；智能合约基于验证请求，将未曾验证的路由起源信息存储在路由起源字典树中，若未曾验证的路由起源信息与智能合约中已有路由起源信息发生碰撞，则智能合约采用基于优先级的碰撞判定方法，确定路由起源字典树对应节点的最终状态，以得到目标路由起源信息；对目标路由起源信息进行验证并在域间路由源验证信任联盟广播目标路由起源信息。在这种情况下，使用路由起源字典树在智能合约中存储目标路由起源信息，可以同时对接rpki证书体系和自主的域间路由认证证书体系；使用智能合约对isp或as管理者发起的路由源的验证请求可以实现联盟内多节点共识性源验证，从而避免路由源验证机制中的单点失效风险，提升域间路由源验证的可扩展性。另外基于优先级的碰撞判定方法，判断发生碰撞的目标路由起源信息属于合法碰撞还是非法碰撞，实现了联盟内多节点共识性源验证，保障了验证有效性、一致性的同时，避免了少数节点故障或恶意攻击带来的潜在危害，解决了路由起源信息的不一致性问题。

26、本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。