技术摘要：
本发明公开了一种面向分组全生存周期的去中心化安全保障方法及装置，其中，方法包括：在数据包分组在通信源端产生之后，通过分布式网络节点对数据包分组的源地址与身份进行真实性验证；在数据包分组在网络转发过程中，通过分布式网络节点对数据包分组进行协同采样与检  全部
背景技术：
近几年，网络安全逐渐成为国家安全的重要组成部分，“没有网络安全就没有国家 安全”这一句话也足以体现出网络安全的重要性。尽管如此，网络攻击事件依旧每时每秒都 在发生，究其原因在于网络系统在设计之初缺乏安全可信的思考，导致现有的互联网系统 在面对网络攻击时具有极高的脆弱性。 从数据包分组所处的阶段来看，当前的网络攻击主要发生在网络通信系统的三个 位置：首先是通信源端，即数据包分组在源端生成过程中的真实性很难得到保障，如恶意源 端可以发动源地址哄骗、身份仿冒等攻击，影响整个通信过程的真实性；其次是转发过程， 即数据包分组在中途转发过程中不仅分组内容容易遭到恶意篡改、丢包、重定向，而且转发 路径也容易遭到恶意劫持与更改，影响网络通信的质量；最后是目的端接收，即目的端缺乏 对非法数据包分组的识别、过滤等免疫能力，导致用户体验和服务质量的下降。由此可见， 网络攻击贯穿于数据包分组“源端生成—中途转发—目的端接收”的全生存周期中。 针对上述的网络安全威胁，现有的方案主要集中于数据包分组的某个阶段，如 SAVI技术主要保证真实源地址安全，OPT技术主要对分组的转发过程的安全性进行验证， PPV技术主要提升目的端对非法数据包的过滤能力。这些方案缺乏对数据包分组全生存周 期的考虑，导致顾此失彼、防不胜防的尴尬局面。与此同时，基于集中式管控(如SDN技术)的 安全方案能够较为容易地实现对分组全生存周期进行安全验证与保障，但是也依然存在单 点故障、错误配置等问题，使得这类安全方案依然存在较大的隐患。
技术实现要素：
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。 为此，本发明的一个目的在于提出一种面向分组全生存周期的去中心化安全保障 方法，该方法具有灵活度高、适应性强、去中心化和健壮性等优点，在保证可行性的同时，提 高整个网络系统的安全性和可信性。 本发明的另一个目的在于提出一种面向分组全生存周期的去中心化安全保障装 置。 为达到上述目的，本发明一方面实施例提出了一种面向分组全生存周期的去中心 化安全保障方法，包括以下步骤：在数据包分组在通信源端产生之后，通过分布式网络节点 对所述数据包分组的源地址与身份进行真实性验证；在所述数据包分组在网络转发过程 中，通过所述分布式网络节点对所述数据包分组进行协同采样与检测，并对相关的路由行 为进行可信性验证；在所述数据包分组在到达目的端之后，通过所述目的端对所述数据包 分组的合法性进行验证与过滤。 4 CN 111585984 A 说　明　书 2/10 页 本发明实施例的面向分组全生存周期的去中心化安全保障方法，利用去中心化的 信息监控和智能检测技术，保证了数据包分组在“源端产生—中途转发—目的端接收”整个 全生存周期的安全性，具有灵活度高、适应性强、去中心化和健壮性等优点，在兼顾计算开 销和存储开销的同时，保证了整个了网络系统的安全可信，同时又不依赖中心化的第三方 权威设施。 另外，根据本发明上述实施例的面向分组全生存周期的去中心化安全保障方法还 可以具有以下附加的技术特征： 进一步地，在本发明的一个实施例中，还包括：通过直接或间接连接的方式使得网 络中多个自治域的全局网络节点创建去中心化网络信任系统。 进一步地，在本发明的一个实施例中，所述通过分布式网络节点对所述数据包分 组的源地址与身份进行真实性验证，包括：通过网络节点Ni采样数据包中的源地址src和/ 或网络身份NetID和/或报文中嵌入的加密标识，并以网络状态NetStatus的形式上传至全 局网络节点Nodei。 进一步地，在本发明的一个实施例中，所述通过所述分布式网络节点对所述数据 包分组进行协同采样与检测，并对相关的路由行为进行可信性验证，包括：通过所述网络节 点Ni采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的路由行 为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种。 进一步地，在本发明的一个实施例中，所述通过所述目的端对所述数据包分组的 合法性进行验证与过滤，包括：当目的端接收到数据包分组时，查询所述中心化网络信任系 统中关于源端及沿途网络节点的行为是否发生异常，以判断该分组的安全性程度。 为达到上述目的，本发明另一方面实施例提出了一种面向分组全生存周期的去中 心化安全保障装置，包括：真实性验证模块，用于在数据包分组在通信源端产生之后，通过 分布式网络节点对所述数据包分组的源地址与身份进行真实性验证；可信性验证模块，用 于在所述数据包分组在网络转发过程中，通过所述分布式网络节点对所述数据包分组进行 协同采样与检测，并对相关的路由行为进行可信性验证；合法性验证与过滤模块，用于在所 述数据包分组在到达目的端之后，通过所述目的端对所述数据包分组的合法性进行验证与 过滤。 本发明实施例的面向分组全生存周期的去中心化安全保障装置，利用去中心化的 信息监控和智能检测技术，保证了数据包分组在“源端产生—中途转发—目的端接收”整个 全生存周期的安全性，具有灵活度高、适应性强、去中心化和健壮性等优点，在兼顾计算开 销和存储开销的同时，保证了整个了网络系统的安全可信，同时又不依赖中心化的第三方 权威设施。 另外，根据本发明上述实施例的面向分组全生存周期的去中心化安全保障装置还 可以具有以下附加的技术特征： 进一步地，在本发明的一个实施例中，还包括：创建模块，用于通过直接或间接连 接的方式使得网络中多个自治域的全局网络节点创建去中心化网络信任系统。 进一步地，在本发明的一个实施例中，所述真实性验证模块进一步用于通过网络 节点Ni采样数据包中的源地址src和/或网络身份NetID和/或报文中嵌入的加密标识，并以 网络状态NetStatus的形式上传至全局网络节点Nodei。 5 CN 111585984 A 说　明　书 3/10 页 进一步地，在本发明的一个实施例中，所述可信性验证模块进一步用于通过所述 网络节点Ni采样分组的信息，并且将相邻网络节点的行为进行相关采样，其中，所述相关的 路由行为包括丢弃报文、篡改报文和非法更改报文转发路径中的一种或多种。 进一步地，在本发明的一个实施例中，所述合法性验证与过滤模块进一步用于当 目的端接收到数据包分组时，查询所述中心化网络信任系统中关于源端及沿途网络节点的 行为是否发生异常，以判断该分组的安全性程度。 本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变 得明显，或通过本发明的实践了解到。 附图说明 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得 明显和容易理解，其中： 图1为根据本发明实施例的面向分组全生存周期的去中心化安全保障方法的流程 图； 图2为根据本发明一个实施例的数据包分组全生存周期示意图； 图3为根据本发明实施例的面向分组全生存周期的去中心化安全保障方法的流程 图； 图4为根据本发明实施例的去中心化网络信任系统DNTS架构图； 图5为根据本发明实施例的DNST区块链结构示意图； 图6为根据本发明一个具体实施例的面向分组全生存周期的去中心化安全保障方 法的流程图； 图7为根据本发明实施例的面向分组全生存周期的去中心化安全保障装置的结构 示意图。