基于區(qū)塊鏈的網(wǎng)絡(luò)數(shù)據(jù)篡改跟蹤防護(hù)技術(shù)

李 軍

(北京信息科技大學(xué) 信息管理學(xué)院,北京 100192)

0 引言

目前，網(wǎng)絡(luò)空間安全防護(hù)治理形勢日趨嚴(yán)峻?；ヂ?lián)網(wǎng)的數(shù)據(jù)流中除部分應(yīng)用服務(wù)采用完全加密傳輸(HTTPS等手段)以外，考慮成本等其他原因，大部分?jǐn)?shù)據(jù)流采用獲取cookie安全認(rèn)證后的明文傳輸，包括DNS和HTTP數(shù)據(jù)流，這種數(shù)據(jù)流很容易引起網(wǎng)絡(luò)攻擊、DNS流量篡改、HTTP流量篡改和數(shù)據(jù)竊取。

2016年10月21日，Mirai僵尸網(wǎng)絡(luò)猶如洪水般淹沒了一些關(guān)鍵的DNS提供商，并成功地造成世界幾大著名網(wǎng)站癱瘓，包括Twitter，Reddit，Netflix，Airbnb與GitHub。該攻擊事件直接反映了以DNS和HTTP為主的互聯(lián)網(wǎng)數(shù)據(jù)流防篡改、防攻擊和防泄漏形勢緊迫。本質(zhì)上,DNS流量篡改主要是傳輸網(wǎng)絡(luò)(電信運(yùn)營商網(wǎng)絡(luò)為主)中相關(guān)運(yùn)營商在內(nèi)部Local DNS 上對配置數(shù)據(jù)進(jìn)行篡改。由于Local DNS對用戶發(fā)出的DNS 具有優(yōu)先應(yīng)答權(quán)限，因此相當(dāng)于給DNS 數(shù)據(jù)庫投毒，對用戶的后續(xù)IP訪問產(chǎn)生了錯(cuò)誤引導(dǎo)，帶來DDoS攻擊等網(wǎng)絡(luò)安全隱患。傳輸網(wǎng)絡(luò)中數(shù)據(jù)流被劫持和篡改的主要原因?yàn)椋?) 網(wǎng)絡(luò)缺乏對內(nèi)部關(guān)鍵鏈路節(jié)點(diǎn)的數(shù)據(jù)流篡改行為的發(fā)現(xiàn)和預(yù)警機(jī)制。2)受制于傳統(tǒng)客戶端/服務(wù)器的中心化服務(wù)模式，缺乏在網(wǎng)絡(luò)中針對數(shù)據(jù)流服務(wù)數(shù)據(jù)和認(rèn)證配置數(shù)據(jù)的防篡改追溯和防護(hù)治理。

區(qū)塊鏈技術(shù)成為解決當(dāng)前互聯(lián)網(wǎng)上DNS數(shù)據(jù)流和HTTP數(shù)據(jù)流的篡改追溯和防護(hù)管理問題的一種有效手段。本文基于區(qū)塊鏈技術(shù)和快照索引技術(shù)，設(shè)計(jì)構(gòu)建了互聯(lián)網(wǎng)數(shù)據(jù)流實(shí)時(shí)對比跟蹤防篡改平臺(tái)，以加強(qiáng)運(yùn)營商網(wǎng)絡(luò)防篡改預(yù)警追溯能力。

1 平臺(tái)構(gòu)造

1.1 功能組件

1)在現(xiàn)有的DNS數(shù)據(jù)流安全保障服務(wù)基礎(chǔ)上，針對傳輸網(wǎng)絡(luò)中DNS服務(wù)器數(shù)據(jù)被篡改和攻擊的安全防護(hù)和管理需求，利用區(qū)塊鏈的非中心認(rèn)證、只增加不刪除和跨單位的分布式共識機(jī)制，設(shè)計(jì)了能有效支持跨多個(gè)傳輸網(wǎng)絡(luò)(運(yùn)營商網(wǎng)絡(luò))的DNS數(shù)據(jù)流防篡改和防攻擊的共享協(xié)議和關(guān)鍵算法。

2)針對HTTP數(shù)據(jù)流在傳輸網(wǎng)絡(luò)中被惡意篡改的發(fā)現(xiàn)預(yù)警和安全防護(hù)需求，在區(qū)塊鏈的鏈?zhǔn)酱鎯?chǔ)不可刪除特性基礎(chǔ)上，提出針對HTTP數(shù)據(jù)流時(shí)間、鏈路點(diǎn)、區(qū)域等多維度的篡改追溯和實(shí)時(shí)預(yù)警協(xié)議和關(guān)鍵算法，解決HTTP數(shù)據(jù)流被篡改后無法追溯和安全防護(hù)的問題。

1.2 協(xié)議和算法

在協(xié)議算法層面，重點(diǎn)針對DNS數(shù)據(jù)流的非法篡改和惡意攻擊，設(shè)計(jì)并實(shí)現(xiàn)了數(shù)據(jù)共享和追溯協(xié)議及關(guān)鍵算法。包括：針對網(wǎng)絡(luò)安全領(lǐng)域DNS數(shù)據(jù)流非法篡改和惡意攻擊的安全防護(hù)需求，設(shè)計(jì)了運(yùn)營商傳輸網(wǎng)絡(luò)中的DNS數(shù)據(jù)流安全防護(hù)模型及建模方法；結(jié)合區(qū)塊鏈本身的非中心化認(rèn)證、分布式共識機(jī)制以及區(qū)塊數(shù)據(jù)存儲(chǔ)不可刪除只能增加的特性，在現(xiàn)有的分布式DNS緩存集群的基礎(chǔ)上，從防篡改、防攻擊和去中心化等多個(gè)方面，設(shè)計(jì)支持跨運(yùn)營商內(nèi)部多級網(wǎng)絡(luò)和跨多個(gè)運(yùn)營商傳輸網(wǎng)環(huán)境的DNS分布式區(qū)塊鏈數(shù)據(jù)庫架構(gòu)和關(guān)鍵算法。

1.3 防護(hù)模型

在模型層面，主要是實(shí)現(xiàn)了基于區(qū)塊鏈的HTTP數(shù)據(jù)流非法篡改發(fā)現(xiàn)預(yù)警及安全防護(hù)治理模型。具體包括：基于區(qū)塊鏈的不可刪除特性和非中心化共享共識機(jī)制，針對HTTP數(shù)據(jù)流非法篡改的安全防護(hù)需求，將HTTP數(shù)據(jù)流在傳輸網(wǎng)絡(luò)中各關(guān)鍵router節(jié)點(diǎn)、事件回溯世間和關(guān)鍵業(yè)務(wù)的上下行報(bào)文集構(gòu)建分布式區(qū)塊鏈數(shù)據(jù)庫，將各運(yùn)營商的下行報(bào)文進(jìn)行抽樣對比，并與標(biāo)準(zhǔn)服務(wù)器響應(yīng)集進(jìn)行實(shí)驗(yàn)驗(yàn)證和對比。

綜合利用HTTP區(qū)塊鏈數(shù)據(jù)庫進(jìn)行非法篡改的發(fā)現(xiàn)預(yù)警技術(shù)和追溯技術(shù)；在此基礎(chǔ)上，設(shè)計(jì)相應(yīng)的反饋算法以便在發(fā)現(xiàn)非法篡改的鏈路節(jié)點(diǎn)進(jìn)行實(shí)時(shí)有效的安全防護(hù)管理。

1.4 關(guān)鍵問題解決方案

平臺(tái)關(guān)鍵問題是如何提升針對DNS和HTTP數(shù)據(jù)流非法篡改、惡意攻擊的快速發(fā)現(xiàn)及預(yù)警能力，并針對預(yù)警鏈路數(shù)據(jù)進(jìn)行快速追溯定位，然后采取相應(yīng)的實(shí)時(shí)防護(hù)措施來阻止篡改行為的破壞性影響。

基于此，以DNS數(shù)據(jù)流和HTTP數(shù)據(jù)流為核心，面對當(dāng)前互聯(lián)網(wǎng)數(shù)據(jù)流上的安全防護(hù)技術(shù)不具備對跨多級傳輸網(wǎng)絡(luò)的鏈路數(shù)據(jù)篡改的發(fā)現(xiàn)預(yù)警和快速溯源能力，設(shè)計(jì)了與需求相匹配的互聯(lián)網(wǎng)流數(shù)據(jù)的安全防護(hù)模型：首先，設(shè)計(jì)了數(shù)據(jù)流上惡意篡改行為的快速發(fā)現(xiàn)、追蹤定位和實(shí)時(shí)防護(hù)算法，這種算法需要支持分布式多鏈路、多節(jié)點(diǎn)和多實(shí)體環(huán)境；其次，設(shè)計(jì)了一種非中心化的分布式認(rèn)證和共享結(jié)構(gòu)，來防止被攻擊導(dǎo)致的安全防護(hù)能力喪失；最后，針對防護(hù)技術(shù)的實(shí)時(shí)有效性需求，設(shè)計(jì)并實(shí)現(xiàn)了關(guān)聯(lián)發(fā)現(xiàn)技術(shù)，來支持?jǐn)?shù)據(jù)流上互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的實(shí)時(shí)防護(hù)方案。

沒幾天，劉建給我打來電話透露點(diǎn)信息，說大發(fā)廠對拋光車間的員工全部做了體檢，新發(fā)了頭罩口罩，質(zhì)量好，工價(jià)也提了，員工工資普遍漲了幾百塊。我知道，一定是李霞給林老板建議了。

1.5 方案概覽

方案核心要素包括：

1)對互聯(lián)網(wǎng)數(shù)據(jù)流篡改、攻擊以及安全治理等基本概念進(jìn)行形式化定義，對分布式安全識別預(yù)警和防護(hù)治理涉及的框架算法進(jìn)行歸類；對數(shù)據(jù)流在傳輸中上下文環(huán)境按照數(shù)據(jù)流類型、傳輸網(wǎng)絡(luò)拓?fù)涮攸c(diǎn)、應(yīng)用承載協(xié)議類型、區(qū)域、時(shí)間段、傳輸鏈路節(jié)點(diǎn)等進(jìn)行多維度劃分，并定義可以按照相應(yīng)維度進(jìn)行索引查詢的分布式區(qū)塊鏈數(shù)據(jù)庫框架。

2)在區(qū)塊鏈分布式追加共享數(shù)據(jù)模型基礎(chǔ)上，設(shè)計(jì)支持對DNS靜態(tài)數(shù)據(jù)非法篡改溯源算法；同時(shí)，基于惡意篡改的預(yù)警結(jié)果數(shù)據(jù)，結(jié)合局部傳輸網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)相應(yīng)的DNS動(dòng)態(tài)上下行數(shù)據(jù)流的實(shí)時(shí)安全防護(hù)治理協(xié)議模型及算法。

3)定義支持多級傳輸網(wǎng)絡(luò)和多業(yè)務(wù)應(yīng)用的HTTP數(shù)據(jù)流上下行嗅探模型，經(jīng)過校驗(yàn)機(jī)制的模板化、可視化定制，構(gòu)建動(dòng)態(tài)標(biāo)準(zhǔn)庫并進(jìn)行數(shù)據(jù)可視化呈現(xiàn)，設(shè)計(jì)支持對HTTP數(shù)據(jù)流惡意篡改的發(fā)現(xiàn)算法；同時(shí)，基于非法篡改的預(yù)警結(jié)果，結(jié)合分布式網(wǎng)絡(luò)探針，設(shè)計(jì)相應(yīng)的HTTP動(dòng)態(tài)上下行數(shù)據(jù)流實(shí)時(shí)安全防護(hù)治理協(xié)議模型及算法。

1.6 技術(shù)路線

技術(shù)路線如下：

1)平臺(tái)架構(gòu)如圖1所示?；谝蕴患夹g(shù)設(shè)計(jì)面向數(shù)據(jù)流安全的區(qū)塊鏈數(shù)據(jù)庫SecChainDB，以解決傳輸數(shù)據(jù)網(wǎng)絡(luò)內(nèi)協(xié)議數(shù)據(jù)非法篡改問題為突破口，采用非中心化架構(gòu)實(shí)現(xiàn)SecChainDB的初始化構(gòu)建、數(shù)據(jù)管理和元素共享。具體的，基于以太坊去中心化處理/智能合約構(gòu)建去中心化網(wǎng)絡(luò)溯源數(shù)據(jù)庫SecChainDB與身份協(xié)議，金融資產(chǎn)協(xié)議(比特幣)，知識產(chǎn)權(quán)資產(chǎn)協(xié)議相互補(bǔ)充。在數(shù)據(jù)安全性方面，基于SecChainDB實(shí)現(xiàn)數(shù)據(jù)的多管理入口，全冗余備份，單點(diǎn)被攻擊不影響全局；在數(shù)據(jù)自治性方面，單點(diǎn)上存儲(chǔ)的數(shù)據(jù)不是由單點(diǎn)單獨(dú)管理，這樣可規(guī)避很多局部惡意篡改數(shù)據(jù)隱患。

在圖1中可以看到，防護(hù)平臺(tái)以SecChainDB作為基礎(chǔ)數(shù)據(jù)層，以滿足防篡改的信息管理和讀寫，分布式不可篡改、完全去中心化的信息管理是SecChainDB的核心服務(wù)能力。平臺(tái)大規(guī)模信息管理的部分主要集中在區(qū)塊架構(gòu)的查詢層、合約層、網(wǎng)絡(luò)層和數(shù)據(jù)層，其中查詢層和合約層在分布式區(qū)塊鏈信息管理系統(tǒng)中負(fù)責(zé)實(shí)現(xiàn)對數(shù)據(jù)的處理操作。

如圖1所示，在基礎(chǔ)數(shù)據(jù)層，對報(bào)文校驗(yàn)事務(wù)、業(yè)務(wù)區(qū)塊基礎(chǔ)結(jié)構(gòu)、全局核心狀態(tài)(如圖2所示)、區(qū)塊鏈單元結(jié)構(gòu)、歷史賬本單元信息結(jié)構(gòu)等開展單元化形式定義；在網(wǎng)絡(luò)層，由于分布式去中心化讀寫和智能合約的機(jī)制，沿用無全局鎖思想，設(shè)計(jì)并實(shí)現(xiàn)SecChainDB中服務(wù)器節(jié)點(diǎn)的無中心化交互協(xié)議和交互信息流格式，以及基礎(chǔ)數(shù)據(jù)的異步一致性；在業(yè)務(wù)應(yīng)用層，為DNS和HTTP數(shù)據(jù)流非法篡改發(fā)現(xiàn)提供基礎(chǔ)的多維度查詢及追溯算法。

應(yīng)用接口方面，考慮兼容現(xiàn)有的分布式數(shù)據(jù)庫架構(gòu)，在架構(gòu)設(shè)計(jì)中將傳統(tǒng)SQL引擎架與state store銜接，進(jìn)一步考慮將SQL引擎直接訪問鏈內(nèi)數(shù)據(jù)的可能性。在應(yīng)用安全方面，針對列級行級表級以及節(jié)點(diǎn)級別的安全認(rèn)證，設(shè)計(jì)一種支持對需要進(jìn)行數(shù)字簽名和共享及特殊加密處理的表項(xiàng)靈活可配置機(jī)制。

2)基于SecChainDB的DNS數(shù)據(jù)流篡改發(fā)現(xiàn)及防護(hù)治理方法。

如圖1所示，在網(wǎng)絡(luò)層SecChainDB數(shù)據(jù)庫基礎(chǔ)服務(wù)模型之上，跨各傳輸網(wǎng)絡(luò)的Local DNS數(shù)據(jù)聯(lián)動(dòng)和全局共享，結(jié)合前期的研究[1-6]及語義工具，構(gòu)建了DNS靜態(tài)過濾器；在靜態(tài)過濾器的基礎(chǔ)上，針對線上實(shí)時(shí)的DNS流數(shù)據(jù)，將基于滑動(dòng)窗口增量式計(jì)算方法引入DNS流數(shù)據(jù)防篡改發(fā)現(xiàn)算法中。在靜態(tài)DNS配置數(shù)據(jù)集的基礎(chǔ)上，基于Storm流式計(jì)算框架設(shè)計(jì)并行算法來運(yùn)行DNS流數(shù)據(jù)篡改發(fā)現(xiàn)校驗(yàn)算法、流數(shù)據(jù)篡改預(yù)警追溯算法和相應(yīng)的針對DNS數(shù)據(jù)流上篡改的防護(hù)治理方法；同時(shí)，在查詢層，設(shè)計(jì)了領(lǐng)域可視化編程基礎(chǔ)組建，實(shí)現(xiàn)了高效、靈活的適用于互聯(lián)網(wǎng)安全防護(hù)治理的DNS監(jiān)測服務(wù)。

3)基于SecChainDB的HTTP數(shù)據(jù)流篡改發(fā)現(xiàn)及防護(hù)治理方法。

在SecChainDB基礎(chǔ)之上，設(shè)計(jì)嗅探器將HTTP服務(wù)響應(yīng)報(bào)文采集后形成標(biāo)準(zhǔn)數(shù)據(jù)集，以此數(shù)據(jù)集構(gòu)建HTTP過濾器[1-6]；在HTTP過濾器的基礎(chǔ)上，針對線上實(shí)時(shí)的HTTP數(shù)據(jù)流，將基于滑動(dòng)窗口增量式挖掘算法引入HTTP流數(shù)據(jù)防篡改發(fā)現(xiàn)算法中?；诜植际綇椥杂?jì)算框架設(shè)計(jì)并行算法來運(yùn)行HTTP流數(shù)據(jù)篡改發(fā)現(xiàn)校驗(yàn)算法、流數(shù)據(jù)篡改預(yù)警追溯算法和相應(yīng)的針對HTTP數(shù)據(jù)流上篡改的防護(hù)治理方法；同時(shí)，設(shè)計(jì)領(lǐng)域可視化編程基礎(chǔ)組建，最終實(shí)現(xiàn)高效、靈活的適用于互聯(lián)網(wǎng)安全防護(hù)治理的HTTP監(jiān)測服務(wù)。

2 實(shí)驗(yàn)測試

2.1 實(shí)驗(yàn)環(huán)境

為了驗(yàn)證本文設(shè)計(jì)的跟蹤防護(hù)平臺(tái)的有效性和可靠性，我們構(gòu)建了基于Linux Centos7.0的以太坊協(xié)議數(shù)據(jù)防篡改網(wǎng)絡(luò)仿真實(shí)驗(yàn)環(huán)境。分為3臺(tái)虛擬主機(jī)節(jié)點(diǎn)，以域名和HTTP防護(hù)為例，通過后臺(tái)命令行配置模式完成基礎(chǔ)的網(wǎng)絡(luò)配置上鏈操作。3臺(tái)虛擬主機(jī)節(jié)點(diǎn)的磁盤存儲(chǔ)空間均設(shè)置為500 G。

利用以太坊的非中心認(rèn)證、只增加不刪除和跨單位的分布式共識機(jī)制，部署完成的該區(qū)塊鏈安全數(shù)據(jù)鏈可實(shí)現(xiàn)對200次/s的交互配置修改數(shù)據(jù)實(shí)時(shí)跟蹤發(fā)現(xiàn)、預(yù)警、追溯等提供基礎(chǔ)審計(jì)服務(wù)；在業(yè)務(wù)層，在鏈上構(gòu)建基于DNS數(shù)據(jù)流篡改的防護(hù)治理和防攻擊、基于HTTP數(shù)據(jù)流篡改的防護(hù)治理等檢測服務(wù)，基本驗(yàn)證了平臺(tái)對網(wǎng)絡(luò)空間數(shù)據(jù)篡改問題跟蹤發(fā)現(xiàn)水平的貢獻(xiàn)。

2.2 實(shí)驗(yàn)方法

根據(jù)tcpdump工具完成對網(wǎng)絡(luò)數(shù)據(jù)流的長周期歷史鏡像，根據(jù)鏡像數(shù)據(jù)流按照時(shí)間戳回放來模擬真實(shí)的DNS流數(shù)據(jù)和HTTP流數(shù)據(jù)，并模擬構(gòu)造相應(yīng)的篡改數(shù)據(jù)發(fā)送到傳輸網(wǎng)絡(luò)中。針對不同的流數(shù)據(jù)防篡改和安全防護(hù)治理需求，以構(gòu)造分布式區(qū)塊鏈共享共識數(shù)據(jù)庫為基礎(chǔ)、DNS數(shù)據(jù)流實(shí)時(shí)惡意篡改和惡意攻擊監(jiān)測服務(wù)、HTTP數(shù)據(jù)流非法篡改和追溯服務(wù)等兩種服務(wù)為例，分別就服務(wù)響應(yīng)延時(shí)、服務(wù)運(yùn)行開銷進(jìn)行實(shí)驗(yàn)及對比測試。

針對DNS和HTTP數(shù)據(jù)流實(shí)時(shí)惡意篡改和惡意攻擊監(jiān)測服務(wù)，分別與傳統(tǒng)DNS和HTTP安全檢查服務(wù)從監(jiān)測預(yù)警時(shí)間、資源消耗、最大傳輸網(wǎng)絡(luò)規(guī)模、防攻擊穩(wěn)定性等幾個(gè)方面進(jìn)行對比測試，以驗(yàn)證本文方法在規(guī)模性能方面的優(yōu)勢，并測試集群節(jié)點(diǎn)個(gè)數(shù)，以及傳輸網(wǎng)絡(luò)和數(shù)據(jù)流規(guī)模等算法主要參數(shù)對響應(yīng)時(shí)間的影響。

2.3 實(shí)驗(yàn)結(jié)果

為了評估和驗(yàn)證本文提出的基于以太坊和快照索引防篡改的SecChainDB可行性和正確性，從防篡改、可溯源的功能出發(fā)，以DNS配置數(shù)據(jù)被篡改的情況為例，如表1所示，假設(shè)存在跨時(shí)間窗口的DNS配置數(shù)據(jù)篡改事件發(fā)生，如表1中T3和T1，T5與T2這種情況發(fā)生，以及針對同一域名Dns-1的多次指向修改。

表1 DNS服務(wù)器配置數(shù)據(jù)篡改事件

在識別精度對比實(shí)驗(yàn)中，選擇典型的數(shù)據(jù)流滑動(dòng)窗口計(jì)算方法H-Tree[6]進(jìn)行基準(zhǔn)測試，H-Tree使用了基于集成分類器的智能算法，可以實(shí)現(xiàn)窗口期內(nèi)的事件流異常值快速發(fā)現(xiàn)。實(shí)驗(yàn)結(jié)果如圖3所示。對于類似表1的跨窗口、多次頻繁數(shù)據(jù)篡改的異常事件流，H-Tree發(fā)現(xiàn)異常的次數(shù)為2次，而SecChainDB的發(fā)現(xiàn)次數(shù)為4次，在異常發(fā)現(xiàn)精度上，SecChainDB的發(fā)現(xiàn)能力要強(qiáng)于H-Tree。

SecChainDB是本文提出的基于數(shù)據(jù)塊的溯源分析算法，H-Tree是基于滑動(dòng)窗口下實(shí)時(shí)配置數(shù)據(jù)比較分析算法。主要在篡改發(fā)現(xiàn)和分析性能上進(jìn)行對比。一些主要的參數(shù)設(shè)置如表2所示。

表2 對比實(shí)驗(yàn)參數(shù)

綜合對比實(shí)驗(yàn)分兩組。第一組DNS篡改事件發(fā)生在滑動(dòng)窗口內(nèi)，這種情況H-Tree性能較SecChainDB有較大優(yōu)勢。如表3所示，SecChainDB時(shí)間開銷大約是33倍；但是當(dāng)篡改事件發(fā)生在跨多個(gè)時(shí)間窗口的情況時(shí)，即第二組事件，傳統(tǒng)的數(shù)據(jù)流算法H-Tree雖然在性能上有12倍的優(yōu)勢，但是因?yàn)闊o法對表1中篡改情況進(jìn)行溯源和跟蹤，導(dǎo)致最壞情況下精度下降為0，因此，表3基本驗(yàn)證了SecChainDB平臺(tái)對網(wǎng)絡(luò)空間數(shù)據(jù)篡改問題跟蹤發(fā)現(xiàn)水平提升具有明顯的貢獻(xiàn)。

表3 結(jié)果對比

3 結(jié)束語

本文引入DNS和HTTP數(shù)據(jù)流篡改問題，鑒于路由器和網(wǎng)絡(luò)核心節(jié)點(diǎn)的本地化配置權(quán)限管理不完整性帶來了篡改威脅和不確定性風(fēng)險(xiǎn)，確定以區(qū)塊鏈技術(shù)為突破點(diǎn)，利用其分布式、高度冗余等特點(diǎn)，以去中心化和可追溯的完整性數(shù)據(jù)所有權(quán)的思路，提出了基于區(qū)塊鏈和快照索引的域名和大型站點(diǎn)信息同步認(rèn)證和防護(hù)方案，以此來解決引發(fā)的數(shù)據(jù)篡改和路由不可信局面。具體包括:采集域名配置信息和大型站下行數(shù)據(jù)流信息摘要；生成所述域名配置數(shù)據(jù)和大型站下行數(shù)據(jù)的區(qū)塊快照；分布式存儲(chǔ)和認(rèn)證所述區(qū)塊，并將所述區(qū)塊值與區(qū)塊鏈標(biāo)準(zhǔn)數(shù)據(jù)集中的目標(biāo)值進(jìn)行在線比對，通過實(shí)驗(yàn)驗(yàn)證對惡意篡改行為檢測的有效性。在本文工作的基礎(chǔ)上，下一步將基于區(qū)塊鏈研究數(shù)據(jù)篡改的流轉(zhuǎn)，力圖實(shí)現(xiàn)數(shù)據(jù)流上下行業(yè)務(wù)生命周期中的全局可追責(zé)性。