《MIN-VPN体系架构与关键技术分析综述》4700字

MIN-VPN体系架构与关键技术分析综述目录TOC\o"1-2"\h\u25355MIN-VPN体系架构与关键技术分析综述 1326091.1MIN体系架构介绍 2200351.1.1多标识网络管理系统 2175691.1.2多标识网络管理路由器 231781.1.4路由器包签名过滤机制 6308681.1.5证书管理 6237971.1.6身份验证与流程 668881.2面向联盟链的共识算法 9119631.1.1共识算法原理 975351.1.2共识身份模型 9228391.3网络标识互通 11150781.3.1IP-CCN-IP通信隧道的实现 1142801.3.2CCN-IP-CCN隧道的实现 11125001.3.3IP-CCN通信实现 12300071.3.4CCN-IP通信实现 12依靠目前主流的TCP/IP网络体系来构建专用网络在安全方面存在天生不足，而独立于IP网络体系，支持像内容、空间信息、身份信息及IP地址等多种标识的新型多标识网络体系MIN(Multi-IdentifierNetwork)，融合区块链、个人生物特征、可信计算、密码学、拟态防御等多种信息技术，可以实现搭建安全可信、可管可控的高安可专用网络[2]。本章将重点介绍基于多标识网络体系的MIN-VPN高安可专网架构和其基本原理。1.1MIN体系架构介绍多标识网络系统支持像内容、空间信息、身份信息及IP地址等多种标识。多标识网络架构可以分为管理面和数据面，分别命名为多标识网络管理系统（Multi-IdentifierSystem，MIS）和多标识管理路由器（Multi-IdentifierRouter，MIR）。管理面主要由多标识管理系统管理，多标识管理系统将网络完整地划分为从上而下的层次化网络。多标识管理系统参与身份认证和分配不同的标识，数据通过监管节点的Pov算法来识别和检查，并达成共识，并在区块链上记录身份信息和属性，使得区块链上的内容一致，记录是不可改变的也是可以回溯追查的。在多标识网络中，一个完整的节点功能是包括管理链上用户和分配标识过程，同时带有标识解析、转发和路由的服务。此外，网络中还存在监查节点、普通用户以及组织用户。在每个网络中设置监查点用作上下层区块链的数据查询接口。每个节点都具有内容、空间信息、身份信息及IP地址等多种标识。1.1.1多标识网络管理系统多标识网络管理系统的整个网络是从上到下的分层网络域。多标识网络管理系统部署在区块链节点上，负责分配用户身份标识和检查用户使用行为，并在区块链上记载相关使用信息。1.1.2多标识网络管理路由器多标识管理路由器作为多标识网络数据层面的物理设备在MIN网络体系中承担重要作用。MIR的功能包括网络寻址以及各种标识数据包的解析和转换的功能。为了适配不同的网络环境，多标识管理路由器支持多种标识和多种传输途径融合在一起。其中，多种标识符包括内容标识符、空间信息标识符、身份信息标识符及IP地址标识符等。多种传输途径包括推送式传输（其中主要为IP网络体系）和拉取式数据传输结构（主要为内容为中心的网络体系）。MIN可以免疫传统基于TCP/IP体系的缺陷不足的攻击方式和方法。1.1.4路由器包签名过滤机制MIN网络的所有数据包都带有合法用户的数字签名信息，路由器只会转发带有合法用户签名的网络包。为了实现这一目标，我们需要在路由器上安装合法用户的身份证书。对于流入路由器的兴趣包，其签名在其名称的最后一个字段中，而其签名者的信息则在兴趣包名称的倒数第二个字段中，如图所示。我们需要通过在路由器中提取倒数第二个字段，得到签名者信息，再通过签名者信息加载正确的证书，对最后一个字段中保存的数字签名进行验证。对于数据包，数据包的签名保存在专有的Signature域，数据的签名者信息获取和签名验证都可以通过ndn-cxx库提供的接口轻易地实现。1.1.5证书管理证书管理机制是实现MIN网络中路由器的签名过滤的前提。在进行数据包签名验证之前，我们的路由器上必须有所有合法用户的证书，而证书管理模块就负责证书的生成和证书的下发。用户注册时，会触发证书管理机制。注册的用户先在OA后台提交注册请求，OA后台提取出用户注册请求中的用户公钥部分，并将用户公钥和用户信息提交给MIN网络管理层（区块链），再由区块链为用户生成一个合法的证书。区块链生成用户证书后，会给MIN网络中的路由器下发该合法用户的证书。MIN网络管理员可以按需设置需要安装证书的路由器，这些路由器可以是整个MIN网络中所有路由器，也可以只是用户从外网接入内网的路由器。区块链作为网络的管理面，为整个网络提供数字签名的验证证书和网络层数据包的日志记录功能。为哪个路由器下发证书都应该可以在区块链操作界面进行配置。1.1.6身份验证与流程身份生成模块主要基于投票共识的区块链架构，实现用户数字证书的签发。多标识网络要求用户使用真实信息注册才能使用网络层通信服务，用户注册网络身份标识的过程就是一个上传身份信息和生成公钥证书的过程。用户使用真实身份注册，真实身份的具体表现形式可以包括身份证号、手机号、指纹信息、虹膜信息、人脸信息等。一个完整的用户注册过程应该包含以下步骤：1）用户在注册网络身份之前需要自己使用MIS指定的密码算法生成合适强度的公私钥；2）将公钥、真实身份信息、申请的标识和用户激活码等信息打包成注册请求，并使用区块链的公钥对请求进行非对称加密形成注册请求密文；3）客户端可以使用多种方式将加密后的请求发送给任意一个区块链节点，可以使用TCP协议，也可以使用新型的服务标识（MIN的通信协议）提交注册请求；4）区块链的记账节点接收到用户的注册请求后，将对请求格式进行检查，在本地数据库查找是否已经存在该用户信息，并对部分内容进行基本的验证，若初步验证失败，则向客户端返回错误信息。5）在初步验证通过后，该记账节点将用户注册请求中的公钥字段提取出来，使用自己的私钥对该公钥进行签名，使该用户公钥成为合法的数字证书，再将证书写入用户请求的公钥字段，最后将请求封装为普通交易放入交易池。6）在每一轮共识开始时，所有记账节点将从区块链池当中取出数据并生成区块，然后将该区块发送给所有投票节点。7）接收到区块的投票节点需要对区块头和每一个交易内容进行验证，对每个交易的验证根据投票节点设定的规则进行，如根据自定义的过滤列表对关键字进行验证等，形成投票结果。当投票节点接收完所有的区块，或者等待至超时，会将所有区块的投票信息进行打包，发送给轮值记账节点。在安全专网场景下，投票的规则由专网管理员制定。在用户注册阶段，每个区块链投票节点将使用用户的某些信息（如手机号）来判断注册请求是否来自内部员工，从而决定是否做出相应的投票。因此，安全专网的注册过程会引用一个白名单机制，即每个投票节点的白名单会指示是否允许某个用户注册入网身份。8）轮值记账节点需要对每一个投票节点的投票信息进行统计，对于其中的某个区块而言，若接收到过半投票节点数量的拒绝票，值班管家将内存当中的区块删除；若接收到过半投票节点数量以上的同意票，则对该区块进行认可。对所有的区块的投票情况统计完成后，轮值记账节点将生成区块组头，将统计后的得票情况和区块哈希等必要信息写入，并设置时间戳。最后将区块组头发布到区块链网络当中。9）区块链网络的所有节点若接收到轮值记账节点发送过来的区块组头，将首先进行验证，若验证通过则进行区块组的提交和参数的更新。如从区块的交易中提取出用户注册信息，将其存储在用户信息表当中。10)用户注册完信息后，所有的服务器都会保有该用户的证书，此后用户的请求都会进行签名，而服务器通过该证书对用户的签名进行校验，以判断用户的身份。当用户申请注销身份标识时，需要向所属标识空间的记账节点发送注销标识申请，申请包括要注销的前缀和当前的时间戳等字段，并且将该申请用自己的私钥进行签名。该记账节点接收到客户端发送的用户请求后，将对请求格式进行检查，判定合法后打包成身份标识注销交易，放入交易池中等待共识。当共识完成后，所有的区块链节点会根据身份标识注销交易，对用户信息表进行更新，从而在用户信息表中删除该身份标识。1.2面向联盟链的共识算法1.1.1共识算法原理联盟链介于公有链与私有链之间，是多个组织或机构参与的区块链。联盟链偏向于运行在同业或同目的的不同机构或组织之间，目的是降低机构与机构之间沟通和联络的成本，同时提升业务合作的效率。联盟链与公有链对比，具有很多不同的特征。与公有链不同，联盟连不是有大众所共有的，只有一部分人可以获得且联盟成员之间需要达成共识，与公有链相比，联盟链因为不具备足够的节点，所以只能实现强关联性的协同价值以及联盟内部的去中心化。去中心化这一概念曾经在互联网领域以及区块链领域都有比较重要的地位，是近年来世界各国都有在关注的一个领域。在联盟链的概念中，公有链和私有链都非常重要，尤其是公有链。一旦组成公有链就不会被改变，这主要是因为公共链的节点一般都很大。与公共链不同，并非所有用户都有权管理和访问联盟链中的数据，仅限于联盟中的组织及其成员可以访问。联盟链和私有链是一样，本质上仍然是私有链。因此由于节点数量较少，所以比较容易形成共识，事务处理速度也显然要快得多。1.1.2共识身份模型作为区块链场景之一，联盟链采用的是基于端到端的网络体系。没有单节点服务器和集中式服务。然而，联盟网络中的成员可以被当做是整个网络的弱点，并支持系统的运行。重要的一部分。P2P网络中的每个节点都是对等节点，并且以任何方式连接，但是每个节点的分工不同，具体取决于提供的各种功能。每个节点都有特定的ID和帐号，除了拥有公钥和私钥的数字证书外，通过每个身份节点的共同协作，实现顺序写入区块链和端点数据在网络中保持同步。在PoV共识算法原理中，网络节点可以分成四个角色：委员，管家，候选管家和常规用户，从而允许一定程度的并发角色。这些角色在整个区块链系统中的算法识别过程中都是发挥重要作用的。这些角色包括但不限于委员节点、管家借点，候选管家借点和常规用户等等。1.委员节点委员节点是联盟链内的重要成员。我们希望世界各地的公司和机构组成联盟委员会，一起来维持整个联盟链。在联盟中，需要新加入的成员节点对应于联盟链网络的成员节点，这些成员节点通过联盟协议接受或由离线联盟协商确定，并通过使用商业的服务器来提供网络服务。在是用商业服务器提供网络服务的过程中要注意，整个系统的完整性和实用性，服务的过程和细节要被记录下来，以便后期进行查找和检索。1.管家节点管家节点是联盟链的专业簿记员，并且联盟授权他们专门创建块，并且数量有限。管家节点的角色可以视为传统共识算法的代表节点，但是与传统算法不同，管家节点的权限由联盟的关键委员会节点监控和投票。管家节点标示着着投票权和执行权的分离。委员节点没有权利创建区块，而只有管家节点才具备行使这项工作任务的权利。联盟链中获得的数据进行封装成块，管家节点需要对封装数据块进行认证。成为管家节点需要两个步骤。S1：申请成为管家的候选节点。S2：在每个回合结束时参加竞选。“管家候选人”节点接受所有委员会成员的投票。如果竞赛成功，它将被选为管家节点。管家节点在其任期内以随机顺序生成块，并在其任期到期后接受重选。委员会节点可以同时具有两个ID，即委员会和管家。这两个ID在使用的过程中需要进行切换，可以同时进行节点经营，也可以分别使用。3.管家候选人每轮选举中成功的管家节点的系统编号{0,1,2,,,n-1}。为了确保共识过程的稳定性，将管家节点的总数限制为固定数目。要成为管家节点，必须首先成为管家候选人节点，参加每一轮选举，并接受委员会成员的投票。未能通过选举的候选人保留管家候选人节点的ID，并在等待下一个选举回合时保持在线状态。4.普通用户节点上面所有三种类型的节点都必须使用加密技术来验证其身份并签署其发送的操作消息的哈希值。公共用户节点具有以下特征。（1）无需接受ID身份验证。正常的用户节点行为可以选择是匿名的。某些登陆应用程序过程可能会要求提供真实姓名，具体取决于联盟链系统的配置，或者可能希望使用加密功能来隐藏交易过程。同时，可以通过委员节点跟踪每个交易的来源。（2）可以随时加入或退出网络。（3）不能参与块生成过程，而只能参与块分配和共享过程。（4）通过转发联盟链消息，可以在享受联盟链提供的服务的同时检查完整的共识过程。该图显示了PPoV的角色转换图。1.3网络标识互通目前，网络传输方法主要包括基于IP网络架构的推送传输方法和基于内容为中心的网络架构拉取式数据传输结构。由于目前的IP网络规模具大，无法马上将网络体系结构更新为新的内容中心网络体系结构。另外，网络层的很多上层网络协议与内容中心的网络体系结构存在不兼容的现象。当网络直接更新为以内容为中心的网络体系结构时，需要重新开发网络层的大多数上层协议来适应这种新的网络架构，特别是传输层网络协议例如TCP，UDP等。通过使用新的命名定义网络体系结构替换现有IP网络体系结构以提供对网络层数据的控制和监视，多身份网络系统正在努力逐步释放IP。在部署过程中，将寻求与现有IP网络的兼容性，以实现支持多种网络标识传输并逐步淘汰IP的目标。CCN网络体系结构是多身份路由器的关键组件。为了实现MIR与IP网络之间的兼容性，有必要考虑如何实现CCN网络与IP网络之间的兼容性。IP兼容性应考虑全面的相互转换通信方案，包括CCN-IP，IP-CCN，CCN-IP-CCN，IP-CCN-IP。1.3.1IP-CCN-IP通信隧道的实现该命名定义网络隧道模仿了IP网络中通过将CCN数据包封装并通过VPN隧道传输CCN网络数据包的方法。这在命名定义网络中也能够传输IP数据包，从而为命名定义网络的分次部署。在多个代理设备上设置CCN隧道