基于区块链的边界网关路由的更新方法与流程

1.本发明涉及区块链技术领域，具体的说，是一种基于区块链的边界网关路由的更新方法。


背景技术：

2.区块链是一个去中心化的共享数据库，存储于其中的数据或信息，具有不可伪造、全程留痕、可以追溯、公开透明、集体维护等特性。基于这些特性，区块链技术奠定了坚实的信任基础，创造了可靠的合作机制，故区块链技术一般用于解决中心化导致的信任问题。根据区块链网络中心化程度的不同，区块链从整体上可分为三类：公有链、联盟链和私有链，其中，允许授权的节点加入网络，可根据权限查看信息，往往被用于机构间或行业内的区块链，称为联盟链或行业链。而所有网络中的节点都掌握在一家机构手中，称为私有链。联盟链和私有链也统称为许可链，公有链称为非许可链。
3.边界网关协议bgp(border gateway protocol)是运行于tcp上的一种自治系统的路由协议，是唯一一个用于处理互联网规模级别的网络协议，也是唯一能够妥善处理好不相关路由域间的多路连接的协议。bgp构建于外部网关协议(exterior gateway protocol，简称egp)的经验之上。bgp系统的主要功能是和其它bgp系统交换网络可达信息。网络可达信息包括列出的自治系统(autonomous system，简称as)的信息，这些信息有效地构造了自治系统as互联的拓扑图并由此清除了路由环路，同时在as级别上可实施策略决策。互联网由无数个独自运维的as节点构成。bgp实际上是这些as节点之间的报文转发路径的控制者，它们的安全性和可靠性对整个互联网是否可靠运行有着及其重要的影响。
4.在边界网关路由数据的存储和更新方面，现有的解决方案都是利用集中式数据库，以及集中式公钥基础设施(public key infrastructure，简称pki)和某些常规pgp(pretty good privacy，优良保密协议)加密变体作为其安全性机制。这些解决方案在面临现有的黑客攻击技术都有可能被攻破，并且在边界网关路由数据的更新时通常会使用已建立数据库来验证路由数据的更新，而没有适当的方法来验证存储在该数据库中的数据。这种边界网关路由器的数据库验证机制存在一定的风险点。
5.现有技术中尚没有利用区块链技术来解决和实现边界网关路由数据的存储和更新的问题。


技术实现要素：

6.本发明的目的在于提供一种基于区块链的边界网关路由的更新方法，用于解决现有技术中边界网关路由数据的更新时通常会使用已建立数据库来验证路由数据的更新，而没有验证存储在该数据库中的数据导致存在安全风险的问题。
7.本发明通过下述技术方案解决上述问题：
8.一种基于区块链的边界网关路由的更新方法，包括：
9.步骤s100、构建区块链网络基础设施，区块链网络基础设施包括路由节点、区域性
互联网注册机构(regional internet registry，简称rir)节点和ca证书颁发机构(certificate authority，简称ca)节点；路由节点包括内部路由器(internal router，简称ir)节点、区域边界路由器(area border router，简称abr)节点、边界路由器(edge router，简称er)节点、自治系统边界路由器(autonomous system border router，简称asbr)节点和骨干路由器节点(backbone router，简称br)；
10.步骤s200、在所述区块链网络基础设施实现所有必须的基础组件，构建和部署去中心化的联盟链平台；
11.步骤s300、在所述联盟链平台上根据路由规则，在多个虚拟对等方节点vpeer之间构建通道vchannel，构建私有链平台；
12.步骤s400、各个所述虚拟对等方节点vpeer加入通道vchannel，并在通道vchannel中部署链码；
13.步骤s500、通道vchannel初始化，通道vchannel内的各个节点接收路由请求并进行路由验证；
14.步骤s600、将通过路由验证的新路由信息进行转发并向通道提交交易。
15.创建基于参与自治系统as共识的去中心化的不可变数据库，以构建此区块链。自治系统as对等方在收到的每个边界网关路由的更新时都会根据区块链分布式数据库的内容进行验证，以检测具有伪造的路径和来源信息的更新，降低安全风险。
16.所步骤s100中内部路由器节点的所有接口均在同一个区域中，属于同一个虚拟对等方节点vpeer且具有相同的链路信息的分类账副本；所述区域边界路由器节点位于一个或多个ospf区域，用于连接该ospf区域到骨干网络，区域边界路由器节点即有骨干网络拓扑路由表也有ospf区域拓扑路由表；属于同一个通道vchannel的区域边界路由器节点有相同的分类账副本；所述边界路由器节点用于将局域网接入广域网并在局域网与广域网之间转发ip报文，属于同一个通道vchannel的边界路由器节点有相同的分类账副本；所述自治系统边界路由器节点位于ospf自主系统和非opsf网络之间，运行rip协议或ospf协议，用于与其他协议路由器交换路由信息，属于同一个通道vchannel的自治系统边界路由器节点有相同的分类账副本；所述骨干路由器节点至少有一个接口和骨干区域相连；所述区域性互联网注册机构用于向各个节点提供ip地址和as号码分配；所述ca证书颁发机构节点为区块链网络中的自建节，用于向各节点发放和管理数字证书；除区域性互联网注册机构节点外的其他节点均需要通过ca证书颁发机构节点验证身份，获得自身的ca证书；所述的内部路由器节点、区域边界路由器节点、边界路由器节点、自治系统边界路由器节点、区域性互联网注册机构节点、ca证书颁发机构节点均安装了联盟链守护进程软件，用于实现区块链网络基础设施；所述联盟链守护进程软件为包含实时消息通信的通信应用程序，用于以后台服务的方式运行于节点的操作系统上。
17.所述步骤s200具体包括：
18.构建联盟链平台所需的虚拟对等方节点vpeer，根据节点的区域属性和归属属性，将内部路由器节点、区域边界路由器节点、边界路由器节点、自治系统边界路由器节点划分为不同的虚拟对等方节点vpeer；虚拟对等方节点vpeer用于管理其内部节点的操作；
19.每个虚拟对等方节点vpeer包含多重签名密钥的钱包组件vwallet，钱包组件vwallet组件用于实现对联盟链平台的访问、管理私钥和地址、跟踪vpeer节点的账户信息
和创建并签名交易；
20.每个虚拟对等方节点vpeer均有分类账同步服务和分类账副本；分类账副本用于使用分类账同步服务实现通道vchannel中分类账数据的同步。
21.所述步骤s300中每个通道内的第一个虚拟对等方节点vpeer节点指定的一个或多个区域边界路由器节点或边界路由器节点或自治系统边界路由器节点担任该通道的ca服务组件；每个通道内构建分类账组件，分类账组件由一个区块链和一个状态数据库组成；每个通道内构建排序服务，排序服务由通道内的第一个vpeer节点所指定的一个或多个区域边界路由器节点或边界路由器节点或自治系统边界路由器节点来担任；每个通道内构建成员服务，成员服务由通道内的第一个虚拟对等方节点vpeer节点所指定的一个或多个区域边界路由器节点或边界路由器节点或自治系统边界路由器节点来担任，用于实现对该通道中的虚拟对等方节点vpeer节点的增加、删除、修改、查询功能。
22.所述链码是指部署于通道内路由节点上的智能合约程序，智能合约程序用于规定交易的访问和修改的方法。
23.本发明与现有技术相比，具有以下优点及有益效果：
24.(1)本发明创建基于参与自治系统as共识的去中心化的不可变数据库，以构建区块链。自治系统as对等方在收到的每个边界网关路由的更新时都会根据区块链分布式数据库的内容进行验证，用于检测具有伪造的路径和来源信息的更新。解决了现有技术中没有验证存储在该数据库中的数据导致存在安全风险的问题，降低了安全风险。
25.(2)由于存储在分布式分类帐中的数据的频率或变化率远低于区块链交易率，因此本发明不受与区块链相关联的吞吐量和可伸缩性的局限性，不会影响整个区块链网络以及互联网的性能。
26.(3)本发明比现有的边界网关路由的更新方法更安全可靠，且性能方面没有衰减和损失，在成本方面也与传统解决方案相差无几。
27.(4)本发明消除了集中式pki根信任节点，且自治系统as现在能够实时检测和缓解ip前缀劫持攻击，而无需将此服务外包给第三方。
28.(5)本发明在区域网络发生故障时，不存在大规模重新计算路由的问题；本发明对各路由器节点的管理和组织非常有序，同样适用于较大的网络规模；没有路由防环的烦恼。
附图说明
29.图1为本发明的流程图；
30.图2为本发明中各路由器节点的组网示意图；
31.图3为本发明中通道私有链组成结构示意图。
具体实施方式
32.下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。
33.实施例：
34.结合附图1、图2和图3所示，一种基于区块链的边界网关路由的更新方法，步骤包括：
35.步骤101，构建一个包含ir节点(内部路由器节点)、abr节点(区域边界路由器节
点)、er节点(边界路由器界节点)、asbr节点(自治系统边界路由器节点)、br节点(骨干路由器节点)、rir节点(区域性互联网注册机构节点)、ca节点(ca证书颁发机构节点)的区块链网络基础设施。
36.其中，ir节点所有接口均在同一个区域中，而同一区域中的所有ir节点属于同一个虚拟对等方节点(用vpeer表示)，有相同的链路信息的分类账副本；
37.abr节点位于一个或多个ospf区域，其职能为连接所在区域到骨干网络；abr节点既有骨干拓扑也有其他区域的拓扑路由表，属于同一个通道(用vchannel表示)中的abr节点有相同的分类账副本；
38.er节点负责将企业、学校、家庭的局域网接入到广域网，在局域网和广域网之间转发ip报文。er节点通常执行路由信息协议(routing information protocol，简称rip)或开放式最短路径优先协议(open shortest path first，简称ospf)。rip是基于最短距离(跳数)的网关协议，而ospf基于最短路径优先的路由协议。er路由器根据路由协议建立路由表，维持到达其它网络的路由，属于同一个vchannel通道中的er路由器有相同的分类账副本；
39.asbr节点位于ospf自主系统和非ospf网络之间，并与其他协议的路由器交换路由信息的路由器。asbr路由器同样可以运行rip协议或ospf协议，属于同一个vchannel通道中的asbr路由器有相同的分类账副本；
40.br节点指至少有一个接口是和骨干区域相连的路由器。在一些场景下，abr路由器也可以承担br路由器的功能，从而被视为br路由器。
41.rir节点负责向各路由节点提供ip(ipv4及ipv6)地址和as(自治系统)号码分配，可直接使用国家级注册机构，也即中国互联网络信息中心cnnic。
42.ca节点为区块链网络中的自建节点，负责向各路由节点发放和管理数字证书。优选地，ca节点可以由兼有ca功能的路由节点代替。在具体的实施例中，一个ca服务可能包含一到多个ca节点，如果为多个ca节点，则这些ca节点处于集群状态，有公共的访问入口。一个ca服务通常位于一个vchannel通道中。
43.上述各个节点，除了rir节点，均需要通过ca节点验证身份，获得自身的ca证书。
44.ir节点、abr节点、er节点、asbr节点、rir节点、ca节点均安装了联盟链守护进程软件，以此实现区块链网络基础设施。联盟链守护进程软件是包含了实时消息通信的通信应用程序，以后台服务的方式运行于节点的操作系统上。
45.步骤102，在上述区块链网络中实现所有必须的基础组件，构建和部署去中心化的联盟链平台。要构建和部署联盟链智能合约平台，需要：
46.构建联盟链智能合约平台所需的vpeer节点：根据各路由器的区域属性和归属属性，将各ir节点、abr节点、er节点、asbr节点划分为不同的vpeer节点。根据实际组网情况的复杂性，一个vpeer节点可包含1至多个ir节点、0至多个abr节点、0至多个er节点、0至多个asbr节点、0至多个br节点。
47.vpeer节点负责管理其内的ir节点、abr节点、er节点、asbr节点，可以对这些节点进行添加、删除等操作。
48.每一个vpeer节点需要有一个包含多重签名密钥的钱包组件，多重签名密钥的钱包组件(用vwallet表示)是一个软件服务，可由vpeer节点内指定的一到多个abr节点或er
节点或asbr节点来担任，如果是多个节点，则这些节点构成集群，提供钱包服务的统一入口。vwallet组件实现了对联盟链网络的访问、管理私钥和地址、跟踪vpeer节点的账户信息、创建并签名交易等功能。多重签名密钥是指参与交易提议的区块链解决方案的每个vpeer节点都采用并使用了更安全的multisig钱包来存储多重签名密钥。所有的vpeer节点必须配置了vwallet组件才能参与vchannel通道中的交易处理。
49.每一个vpeer节点需要有一个分类账同步服务，分类账同步服务由vpeer节点内部的指定的一到多个abr节点或er节点或asbr节点来担任，如果是多个节点，则这些节点构成集群，提供分类账同步服务服务的统一入口。每一个vpeer节点会持有一份分类账的副本，该副本需要使用分类账同步服务实现vchannel通道中分类账数据的同步。
50.步骤103，在联盟链平台上根据路由规则，在多个虚拟对等方节点之间构建通道，构建私有链平台。其中：
51.路由规则是指根据不同的路由协议，比如rip协议或ospf协议等，以及域间路由的分配、域内路由的分配，决定vpeer节点是否应属于同一通道。
52.vchannel通道是一个逻辑概念，是一个包含了多个vpeer节点且实现了私有链功能的通信网络，vchannel通道之间实现了数据隔离和保证了机密性。一个vchannel通道即一个私有区块链。一个vchannel通道中包含了多个vpeer节点，而同一个vpeer节点，又可能属于多个vchannel通道，也即同一个vpeer节点可以参与多个私有区块链的交易处理。一个vchannel通道需要实现如下组件模块：
53.构建通道所需的ca服务组件，一个vchannel通道中的ca服务组件由通道内的第一个vpeer节点所指定的一个或多个abr节点或er节点或asbr节点来担任。
54.构建通道所需的分类账组件，分类账组件(用vledger表示)由两个部分组成：一个区块链和一个状态数据库。其中，区块链用于存储路由信息的历史日志，该记录是不可变的，只能追加新记录。也就是说，一个区块，一旦添加到链中，就再也无法更改。与之相反，状态数据库用于存储最新的路由信息，其中包含了路由信息键值对集合的当前值，这些键值对可以被区块链中的交易集合实现添加、修改或删除操作，并且这些交易集合都需要经过验证、确认和背书。
55.构建通道所需的排序服务，一个vchannel通道中的排序服务(用vorder表示)由通道内的第一个vpeer节点所指定的一个或多个abr节点或er节点或asbr节点来担任。如果为多个节点，则这些节点处于集群状态，有公共的vorder服务访问入口。vorder服务负责将一个周期内的交易排序为一个区块，然后将该区块分发给vchannel通道中的所有vpeer节点进行验证和确认。要确定交易的顺序，交易排序的实施例通常使用先到先服务fcfs(first come first serve)算法或确定性共识算法(deterministic consensus algorithm，简称dca)实现。所述的周期可以是固定的时间间隔，还可以是固定的数据量大小。vpeer节点收到区块信息会进行验证和确认操作，一旦确认，会返回已确认信息。一个channel通道由vorder服务负责管理。
56.构建通道所需的成员服务，一个vchannel通道中的成员服务通常由通道内的第一个vpeer节点所指定的一个或多个abr节点或er节点或asbr节点来担任，如果为多个节点，则这些节点处于集群状态，有公共的vorder服务访问入口。一个vchannel通道中成员服务实现了对该通道中的vpeer节点的增加、删除、修改、查询功能。
57.步骤104，各vpeer节点加入通道，并在通道中部署链码。
58.由于一个vchannel通道中包含了ca证书服务，且加入通道的各个vpeer节点均携带了该证书服务颁发的ca证书，各个vpeer节点经过验证后，整个vchannel通道形成了一个可信的私有链区块链网络。链码是指部署于通道内各路由节点上的智能合约程序，它规定了交易的访问和修改的方法。对于各路由节点来说，已有的路由信息是固定的，很少改变，而每一条需要更新的路由信息则被视为一条交易事务，会提交到vchannel通道进行处理。通道中的各vpeer节点会共享同一个vledger账本，也即各vpeer节点会分别持有一份账本的副本，且账本的数据由包含账本同步功能的节点来完成。
59.步骤105，通道初始化，通道内的各节点接收路由请求并进行处理和验证。
60.一个vchannel通道初始化后，整个通道构成的私有区块链网络开始工作，通道内的各个vpeer节点在接到路由请求时，会判断是否为新路由信息，如果可以从vledger账本副本中检索到该路由信息，则直接路由转发请求；如果未检索到该路由信息，则认为是一条新路由信息，对新路由信息需要进行验证，在逻辑上需要验证两部分信息：
61.第一部分信息包括as编号和ip前缀信息。as编号和ip前缀信息构成了一个映射表。其中，as编号为区域互联网注册管理机构rir所分配。第一部分验证每个边界路由网关公告路由ip前缀信息的真实性。然后将边界网关路由公告信息传递到第二部分，以进行进一步的验证。
62.第二部分信息包括as编号和与之直连的as编号。同样，as编号和与之直连的as编号也构成了一个映射表，且它们之间为多对多关系。第二部分验证边界网关路由公告的as路径信息的真实性。
63.如果两部分验证的任一部分验证为假或两个验证过程的结果均为假，则将该公告信息视为恶意尝试的ip前缀劫持攻击。然后通过日志记录该公告信息。
64.步骤106，通过验证的新路由信息通过交易事务完成处理。
65.通过了路由验证的新路由信息，然后一边路由转发请求，一边将将该路由信息认为是新交易事务，向vchannel通道提交交易。
66.vorder排序服务管理vchannel通道，将该交易分发给通道中的所有vpeer节点处理。各vpeer节点需要确认并对此交易进行背书，并将确认和背书信息返回给vorder排序服务。在一个周期后，vorder排序服务将所有经过通道vpeer节点确认和背书的交易信息排序并打包成一个新的区块，存储到vledger分类账中。各vpeer节点的分类账同步服务会将新区块的数据同步到自己的分类账副本中。
67.尽管这里参照本发明的解释性实施例对本发明进行了描述，上述实施例仅为本发明较佳的实施方式，本发明的实施方式并不受上述实施例的限制，应该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改和实施方式将落在本技术公开的原则范围和精神之内。