(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111362320.8 (22)申请日 2021.11.17 (71)申请人 清华大学 地址 100084 北京市海淀区清华园 (72)发明人 何林　刘莹　刘明星　操佳敏　 (74)专利代理 机构 北京清亦华知识产权代理事 务所(普通 合伙) 11201 代理人 单冠飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于区块链的去中心化的域间源地址验证 服务系统和方法 (57)摘要 本申请提出一种基于区块链的去中心化的 域间源地址验证服务系统和方法， 该系统包括服 务订阅者， 用于查找对应的服务提供者， 向对应 的服务提供者按需请求指定的服务， 并通过调用 智能合约中的激励分配方案、 通过激励分配接 口， 向服务提供者和服务审计者分配激励； 服务 提供者， 用于获取当前区块链中各种请求服务的 事务， 根据事务向对应的服务订阅者提供服务； 服务审计者， 用于在服务订阅者订阅服务后发起 相应的审计服务的请求， 并通过审计服务接口提 交审计结果， 获取对应的激励， 其中， 审计服务包 括洪泛攻击场景下的审计和反射式攻击场景下 的审计。 本申请通过提供一个实用、 去中心化的 自治域间源地址验证服务框架， 激励源地址验证 技术的部署。 权利要求书3页 说明书12页 附图4页 CN 114095237 A 2022.02.25 CN 114095237 A 1.一种基于区块链的去中心化的域间源地址验证服务系统， 其特征在于， 包括服务订 阅者、 服务提供者、 服 务审计者， 其中， 所述服务订阅者， 用于查找对应的服务提供者， 并向所述对应的服务提供者按需请求 指定的服务， 并通过调用智能合约中的激励分配方案、 通过激励分配接口， 向服务提供者和 服务审计者分配激励； 所述服务提供者， 用于获取当前区块链中各种请求服务的事务， 并根据事务向对应的 服务订阅者提供服务； 所述服务审计者， 用于在服务订阅者订阅服务后， 发起相应的审计服务的请求， 并通过 审计服务接口提交审计结果， 获取对应的激励， 其中， 所述审计服务包括洪泛攻击场景下的 审计和反射式攻击场景 下的审计。 2.如权利要求1所述的方法， 其特征在于， 所有自治域均 可在系统中注册成为服务订 阅 者、 服务提供者、 服 务审计者。 3.如权利要求1所述的方法， 其特 征在于， 所述 服务订阅者， 具体用于： 通过注册接口， 注 册自身身份以及提交自身IP地址前缀； 通过查询接口， 查询当前区块链中能够提供的服务以及对应的服务提供者， 或者获取 服务提供者响应的结果； 通过订阅接口， 向指定的服 务提供者按需请求指定的服 务； 在此过程中通过激励分配接口， 向服 务提供者和服 务审计者分配激励。 4.如权利要求1所述的方法， 其特 征在于， 所述 服务提供者， 具体用于： 通过注册接口， 注 册自身身份以及提交能够提供的各种服 务； 通过查询接口， 获取当前区块链中各种请求 服务的事务； 通过响应接口， 同意或者拒绝 提供服务。 5.如权利要求1所述的系统， 其特 征在于， 所述 服务审计者， 具体用于： 从区块链中提取订阅的服 务列表以及对应的响应； 选择正在进行的服务进行审计， 其中， 所述正在进行的服务意味着提供商 同意提供服 务， 且当前时间在服 务有效时间内； 审计过程中确认服 务无效后， 向区块链提交审计结果， 其中， 所述洪泛攻击场景 下的审计， 包括以下步骤： 伪造其他自治域的源地址向服务订 阅者发送审计数据包， 每个审计数据包包含服务审 计者自身的身份 证明； 将所述审计数据包通过服 务提供者发送到服 务订阅者； 若服务订 阅者接收到审计数据包， 表明服务提供者没有过滤伪 造订阅者源地址的数据 包， 若服务订 阅者未接收到审计数据包， 表明服务提供者按照 订阅者的期望提供了有效的 源地址验证服 务； 所述反射式攻击场景 下的审计， 包括以下步骤： 构建审计数据包， 以服务订阅者的服务器的IP地址作为源地址， 以自治域的IP地址为 目的地址， 其中， 构建的审计数据包的SYN标志位设置为1； 将构建的审计数据包通过服务提供者发送到服务订阅者， 其中， 所述审计数据包中包权　利　要　求　书 1/3 页 2 CN 114095237 A 2含确认号和审计者的身份； 若服务订 阅者收到特殊的未知 响应包， 表明服务提供者没有过滤伪 造订阅者源地址的 数据包， 若服务订 阅者未收到特殊的响应包， 表明服务提供者按照 订阅者的期望提供了有效的 源地址验证服 务， 其中， 所述特殊的响应包的ACK标志位为1， 确认号与所述服务审计者发送的审计数据 包的确认号相同。 6.一种基于区块链的去中心化的域间源地址验证服务方法， 其特征在于， 包括以下步 骤： 根据用户需求查找对应的提供商， 并向所述对应的提供商按需请求指定的服务， 在服 务过程中通过调用智能合约中的激励分配方案、 通过激励分配接口， 向服务提供者和服务 审计者分配激励； 获取当前区块链中各种请求 服务的事务， 并根据事务向对应的用户提供服 务； 在用户订阅服务后， 通过审计者发起相应的审计服务请求， 并通过审计服务接口提交 审计结果， 获取对应的激励， 其中， 所述审 计包括洪泛攻击场景下的审 计和反射式攻击场景 下的审计。 7.如权利要求6所述的方法， 其特征在于， 所有自治域均可注册成为用户、 提供商、 审计 者， 用户注册时需提供自身IP地址前缀， 提供商注册时需提供自身 可用的服务列表， 区块链 通过记录自治域与IP地址的映射关系， 验证请求中用户声明的IP前缀。 8.如权利要求6所述的方法， 其特征在于， 所述根据用户需求查找对应的提供商， 并向 所述对应的提供商 按需请求指定的服 务， 包括以下步骤： 调用智能合约， 获取服 务信息以及相应的提供商信息供用户选择； 在用户选择服务以及提供商之后， 构建一个由用户标识、 受保护的IP地址前缀、 提供商 标识、 服务标识、 服 务时间以及其 他可选参数组成的订阅提 议； 通过背书节点验证所述 订阅提议是否符合背 书规则， 若符合， 则为该提 议背书； 在收集到的所述订阅提议的背书签名满足预设数量后， 将所述订阅提议作为一条交 易， 存储在区块链上。 9.如权利要求8所述的方法， 其特征在于， 在订阅交易被确认之后， 提供商接受或拒绝 该请求， 并调用智能合约构造响应交易， 若接受该服务订阅请求， 提供商在数据平面， 更新 数据包验证规则， 为 订阅请求中的IP前缀 提供源保护服 务。 10.如权利要求6所述的方法， 其特 征在于， 审计服 务过程包括以下步骤： 从区块链中提取订阅的服 务列表以及对应的响应； 选择正在进行的服务进行审计， 其中， 所述正在进行的服务意味着提供商 同意提供服 务， 且当前时间在服 务有效时间内； 审计过程中确认服 务无效后， 向区块链提交审计结果， 其中， 所述洪泛攻击场景 下的审计， 包括以下步骤： 通过服务审计者伪 造其他自治域的源地址向服务订 阅者发送审计数据包， 每个审计数 据包包含服务审计者自身的身份 证明； 将所述审计数据包通过服 务提供者发送到服 务订阅者；权　利　要　求　书 2/3 页 3 CN 114095237 A 3