买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：广西师范大学

摘要：本发明公开了基于区块链和边缘计算系统的APT攻击与防御方法，包括如下步骤：一、构建防御模型；二、构建防御架构；三、建立安全防护机制。这种方法有效防御APT攻击、无需修改现有网络结构、支持随机IP地址传输，从而极大地提高了区块链和边缘计算系统的安全性和可靠性，及提高网络数据的安全性、隐私性，并具备良好的网络兼容性。

主权项：1.基于区块链和边缘计算系统的APT攻击与防御方法，其特征在于，包括如下步骤：一、构建防御模型假设基于IPv6的互联网由n个IPv6路由器route组成，假设每一个路由器route包含n个网络设备device，假设在基于IPv6的互联网中，网络攻击者会对互联网设备实施所有能实施的网络攻击，从而对所有互联网设备造成安全威胁；因此，基于IPv6的互联网将面临3个安全问题：（1）互联网设备如何防护扫描，以规避设备指纹被记录；（2）如何防护分布式拒绝服务攻击；（3）如何拦截非法来源的数据，以保护设备不被破坏；二、构建防御架构为解决步骤一中基于IPv6的互联网所面临的安全问题，使用移动目标防御方法以对互联网的网络进行安全防护，从而构建区块链和边缘计算系统环境中的可信网络；可信网络中包含IPV6路由器、区块链节点、互联网网络、目标防御处理器和核心控制器；首先在可信网络的两端分别设置移动目标处理器A和移动目标处理器B，移动目标处理器A和移动目标处理器B负责对可信网络传输的数据包进行IP地址的随机转换和访问控制，每个移动目标处理器都有一个独特的标识符，通过这个标识符向核心控制器请求随机IP地址组，为确保安全，移动目标处理器A和移动目标处理器B与核心控制器之间的通信通过专用网络完成，这样能有效阻止其他互联网设备的直接访问；核心控制器收到每个移动目标处理器的标识符后，会结合事先定义好的访问控制列表，在可信网络环境中生成并返回与对应移动目标处理器相关联的随机IP地址组；另外，通过核心控制器生成随机IP地址组，能避免移动目标处理器A和B获取到不可信的随机IP地址；在数据传输过程中，当互联网设备发送数据包时，移动目标处理器A和B会将原始IP地址替换为相应的随机IP地址，这样能保护原始IP地址的隐私和安全，而在数据包到达另一端的移动目标处理器A或B时，通过该移动目标处理器A或移动目标处理器B将接收到的数据包的随机IP地址还原为原始IP地址，确保数据的正确传输和处理；三、建立安全防护机制3.1随机IP地址生成机制为了确保移动目标防御架构的安全防护效能及与现有网络架构的兼容性，采用多种机制来稳定移动目标防御架构运行；其中，兼容IPv6互联网的随机IP地址生成机制是一项关键的安全措施，根据IPv6地址标准RFC2373及其后续更新，IPv6地址采用64位的用户自定义接口长度，这种长度的设置有助于各种自动配置IP地址方法的稳定运行，从而实现全网无需网络地址转换的直接访问；兼容IPv6互联网传输的随机IP地址生成机制是另一个重要的安全措施，它通过在可用IP地址范围内随机生成地址，确保传输的所有数据包都可以通过互联网进行传输，采用这种兼容IPv6互联网传输的随机IP地址生成机制，能防止恶意攻击者对特定IP地址进行追踪和识别；3.2支持两端时差冗余的随机IP地址机制支持两端时差冗余的随机IP地址机制是为了解决移动目标处理器A和B与核心控制器之间可能存在的时间偏差，虽然每个移动目标处理器都从核心控制器中获取随机IP地址组列表，但由于启动运行和获取随机IP地址组都会耗费一定时间，因此移动目标处理器A和B的标准时间片段可能与核心控制器的当前标准时间片段不一致，这种时差冗余的情况可能影响到区块链和边缘计算系统的运行效率和准确性；为了解决这一问题，通过在移动目标处理器A和B与核心控制器之间建立时差冗余机制，允许每个移动目标处理器在获取随机IP地址组列表时，考虑到可能的时间偏差，从而确保在任何情况下都能获得准确的随机IP地址，这一机制的实现能通过在每个移动目标处理器与核心控制器之间的通信协议中增加时差校正的逻辑，或者通过在每个移动目标处理器本地维护一个时间戳，并与核心控制器的时间戳进行对比来实现；此外，为了进一步提高区块链和边缘计算系统的性能和响应速度，还提出了支持多线程的无锁随机IP地址选取机制，这种机制能允许每个移动目标处理器同时处理多个随机IP地址的选取任务，而无需对共享资源进行锁定操作，从而减少了区块链和边缘计算系统的资源竞争和响应延迟，提高了整体的处理效率，随机IP地址交换数据具体过程如下：3.2.1.随机IP地址生成：在核心控制器上，生成随机IP地址，这些兼容IPv6互联网传输的随机IP地址将在下一个时间片段中使用；3.2.2.标注时间片段：核心控制器为当前时间片段标注，并确定哪些随机IP地址将被使用；3.2.3.过去的上一个标准：指在当前时间片段之前使用的标准或IP地址配置；3.2.4.未来下一个标准：指下一个时间片段将要采用的新的IP地址配置；3.2.5.时间片段：表示当前处于活动状态的时间片段，所有通信都将基于核心控制器提供的当前时间片段的IP地址进行；3.2.6.移动目标处理器A和移动目标处理器B：这两个处理器代表网络中的两个节点，它们将根据核心控制器的指示，使用随机生成的IP地址进行通信；3.2.7.准时间片段：指在当前时间片段结束和下一个时间片段开始之前的准备阶段；3.2.8.与访问控制服务器的交互：移动目标处理器A和B与核心控制器进行交互，以接收关于即将到来的时间片段的随机IP地址信息；3.2.9.更新过程：在每个时间片段结束时，移动目标处理器A和B将丢弃当前时间片段使用的IP地址，并根据核心控制器的指示采用新的随机IP地址，以准备下一个时间片段；在设计支持多线程的无锁随机IP地址选取机制时，采用了空间换时间的策略，由于随机IP地址组列表所占用的内存空间较小，因此每次获取随机IP地址组列表时，不仅获取当前标准时间片段对应的随机IP地址组列表即RAGL，还同时获取该当前标准时间片段前后各一个时间片段的随机IP地址组列表，当获取到当前的时间片段的随机IP地址组列表后，随机IP地址选取机制会立即将当前时间片段的上一个时间片段获取的随机IP地址组列表删除，并标记当前时间片段获取的随机IP地址组列表的各个时间片段的RAGL为新的随机IP地址组列表，同时，时间片段号会相应地增加一；3.3移动目标防御过程如下：3.3.1.请求随机IP地址列表：移动目标处理器A或B定期通过专用网络向核心控制器发送请求，使用特定的标识符来获取与该专用网络相关的随机IP地址列表，这一步骤是为了准备在接下来的通信中使用的一系列随机IP地址；3.3.2.数据包发送：网络设备通过IPv6路由器将数据包发送给移动目标处理器A或B；3.3.3.IP地址替换：移动目标处理器A或B根据从核心控制器获得的随机IP地址列表，将数据包中的源IP地址和目的IP地址替换为随机的IP地址；3.3.4.数据包传输：IP地址随机化后，数据包中随机的源IP地址和目的IP地址在互联网中传输；;3.3.5.IP地址还原：当随机化IP地址的数据包到达接收端的目标防御处理器时，该目标防御处理器利用随机IP地址列表和访问控制规则，将随机的IP地址还原为源IP地址，确保数据包能够正确地被目的地接收；3.3.6.安全防护：通过步骤3.3.1-3.3.5的IP地址替换方法，在不修改现有网络拓扑和互联网设备的情况下，实现高效的网络安全防护。

全文数据：

权利要求：

百度查询： 广西师范大学 基于区块链和边缘计算系统的APT攻击与防御方法