基于区块链的IPv6域名数据隐私保护方法及相关设备与流程

基于区块链的ipv6域名数据隐私保护方法及相关设备
技术领域
1.本说明书一个或多个实施例涉及计算机技术领域，尤其涉及一种基于区块链的ipv6域名数据隐私保护方法及相关设备。


背景技术：

2.域名服务(dns)是互联网的基础服务，用于实现域名到主机ip地址的定位。对于互联网用户而言，几乎所有的网络行为都需要通过dns来寻找和定位相应的网络资源。因此，dns含有丰富的涉及用户互联网访问行为的敏感信息。然而，dns设计之初，安全性并不是重点考虑因素,由于dns对于互联网的正常运营至关重要，保护dns提供的数据，其中域名隐私保护自然是重中之重。
3.ipv6(互联网协议第6版)技术由于可以大大拓展地址的可用空间被广泛使用。在相关技术中，通过dns服务器将ipv6中的ip地址和域名的关系做了绑定。受到互联网域名解析服务依赖海外根服务器的限制，域名隐私面临着“孤立式”、“致盲式”、“消失式”和“劫持式”风险，存在着域名解析不可控的巨大安全隐患。同时域名注册者信息通过whois可以轻松查看，域名隐私数据面临着被泄露的风险。基于此，需要一种安全性较高的ipv6域名数据隐私防护方案。


技术实现要素：

4.有鉴于此，本说明书一个或多个实施例的目的在于提出一种基于区块链的ipv6域名数据隐私保护方法及相关设备。
5.基于上述目的，本说明书一个或多个实施例提供了一种基于区块链的互联网协议第6版ipv6域名数据隐私保护方法，包括：
6.响应于接收到域名注册请求，在区块链的超级节点处的域名系统执行下列操作：
7.用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息；
8.根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。
9.基于同一发明构思，本说明书一个或多个实施例还提供了一种域名系统，被布置在区块链的超级节点处，用于保护ipv6域名数据隐私，包括：
10.注册模块，被配置为：响应于接收到域名注册请求，用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息；根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。
11.进一步的，所述域名系统还包括：
12.解析模块，被配置为：响应于接收到来自访问者的域名解析请求，获取所述区块链上公开信誉库中的白名单和/或黑名单；响应于根据所述白名单和/或黑名单确定所述访问
者为合法访问者，从域名数据库中检索出与所述域名解析请求中携带的目标域名对应的所述第二ipv6地址，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证，并将加密验证后的所述第二ipv6地址发送给所述访问者。
13.基于同一发明构思，本说明书一个或多个实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上任意一项所述的方法。
14.基于同一发明构思，本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一所述方法。
15.从上面所述可以看出，本说明书一个或多个实施例提供的基于区块链的ipv6域名数据隐私保护方法及相关设备，综合考虑了用户在注册新域名，分配地址和访问获取数据时的隐私问题，针对域名解析各个步骤进行隐私保护，从而实现域名注册者的隐私数据防护和域名解析通讯数据安全防护。
附图说明
16.为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1为本说明书一个或多个实施例的基于区块链的ipv6域名数据隐私保护方法的流程图；
18.图2为本说明书一个或多个实施例的域名注册和地址分配示意图；
19.图3为本说明书一个或多个实施例的域名解析过程中的通信隐私保护流程图；
20.图4为本说明书一个或多个实施例的用于保护ipv6域名数据隐私的域名系统结构示意图；
21.图5为本说明书一个或多个实施例的电子设备结构示意图。
具体实施方式
22.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
23.需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。
24.本说明书一个或多个实施例提供了一种基于区块链的ipv6域名数据隐私保护方案，具体的，首先在域名注册阶段使用区块链的超级节点的公开信息对注册的域名进行遮盖。然后，根据区块链上预定的智能合约为域名分配ipv6地址，再对分配到的地址进行加
密，得到用于域名解析的地址。
25.可见，本说明书一个或多个实施例提供的基于区块链的ipv6域名数据隐私保护方案，综合考虑了用户在注册新域名，分配地址和解析地址时的隐私问题，针对域名解析各个步骤进行隐私保护，从而实现域名注册者的隐私数据防护和域名解析通讯数据安全防护。
26.以下，通过具体的实施例来详细说明本说明书一个或多个实施例的技术方案。
27.参考图1，本说明书一个实施例的基于区块链的ipv6域名数据隐私保护方法，包括以下步骤：
28.步骤s101、响应于接收到域名注册请求，在区块链的超级节点处的域名系统执行下列操作：
29.步骤s102、用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息。
30.本步骤中，采用超级节点的公开信息遮盖注册新域名信息的方式保护域名注册的隐私数据，域名注册在哪个区块链的超级节点注册则采用哪个超级节点信息进行遮盖，实现域名注册隐私数据匿名化。
31.在本说明书一个或多个实施例中，所述区块链包括但不限于公链、私链和联盟链。
32.步骤s103、根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。
33.本实施例中，参考图2，通过智能合约对第一ipv6地址最后4字节加密生成两个不同的ipv6地址，分别用域名注册节点的公钥加密获得第二ipv6地址，域名注册节点私钥加密密获得第三ipv6地址，第二ipv6地址用于区块链(公链、私链、联盟链等)域名解析使用，第三ipv6地址则用于注册人对信息进行修改或进行变更使用。
34.在本说明书一个或多个实施例中，基于区块链的ipv6域名数据隐私保护方法，还包括以下步骤：
35.获取所述区块链上公开信誉库中的白名单和/或黑名单。
36.根据所述白名单和黑名单为访问者提供解析服务。
37.本步骤中，可以通过白名单或黑名单混合的方式进行隐私数据保障，根据白名单或黑名单为访问者提供解析服务，响应于确定访问者地址在白名单范围内且黑名单范围外，允许访问者访问，从域名数据库中检索出与所述域名解析请求中携带的目标域名对应的所述第二ipv6地址，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证，并将加密验证后的所述第二ipv6地址发送给所述访问者，否则拒绝访问者访问。
38.作为一个示例，网站a有三个子网站a1、a2、a3，当网站a在白名单中，但网站a下的子网站a2在黑名单中时，只允许访问网站a、网站a1和网站a3。
39.在本说明书一个或多个实施例中，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证包括：将数据包通过验证报头(ah)和封装安全有效载荷(esp)进行封装，发送给访问者。
40.本步骤中，esp采用ipv6地址随机数组抽取的方式为数据内容加密，esp尾提供环签名解密；采用ah的隧道模式为加密后的数据内容提供数字签名，从而保证通信数据安全及解析系统的超级节点信息安全。
41.本步骤中，参考图3，请求方发送域名请求之后，获取征信共识层中的黑名单和白名单，根据黑名单和白名单的混合判断响应对应的域名地址请求，然后将域名请求发送到环签名共识层中，经过ha数字签名、esp加密和esp尾环签名验证，最后返回域名请求结果的数据包，完成域名请求。
42.作为一个示例，搭建基于联盟链的域名解析服务器，联盟链下设在不同省的32个超级节点，超级节点公开信息为超级节点自身配置信息，可以包括但不限于名称、邮件、归属、地址，如
43.名称：bj
‑
dns
44.邮件：bj
‑
dns s@bj
‑
dns.com
45.归属：某有限公司
46.地址：北京市海淀区xx大厦
47.电话：010
‑
8281821
48.邮编：100192
49.用户张三在这个联盟链申请域名，申请域名bj
‑
dns001.com.cn则可以填写信息如下：
50.姓名：张三
51.联系电话：186xxxxxxxx
52.邮件：186xxxxxxxx@163.com
53.归属：个人
54.地址：北京市海淀区xx大厦
55.邮编：100192
56.为了满足隐私安全要求，联盟链会将张三注册的信息全部用bj
‑
dns超级节点替换，外界检索张三的域名信息时，显示的域名信息全为bj
‑
dns超级节点遮盖信息，通过外界查询bj
‑
dns001.com.cn注册信息，仅能看到bj
‑
dns的公开对应信息。
57.域名申请完成结合智能合约分配ipv6地址，如：1050:0:0:0:5:600:300c:326b，对最后4字节进行不同加密，公钥加密生成1050:0:0:0:5:600:300c:act2,私钥加密生成1050:0:0:0:5:600:300c:lk33,1050:0:0:0:5:600:300c:act2地址是通过其它请求访问域名解析地址，仅提供访问，1050:0:0:0:5:600:300c:lk33作为张三注册人登陆修改注册信息或修改配置使用。
58.在地址分配完成后，通信隐私数据安全一层保障为白名单或黑名单混合的方式，白名单可以为某些链上地址或超级节点地址或某国家地址，黑名单主要是针对某个链上某个地址或超级节点单一地址或某国家单一地址，混合则是包含关系同时使用白名单和黑名单，仅允许在白名单和黑名单范围内的地址访问。为了确保通信过程数据安全，采用ah隧道模式，将原始的ip数据包外面封装新ipv6报头和ah，同时进行数字签名验证，验证报头(ah)是在所有数据包头加入一个数字签名。ah通过一个只有密匙持有人才知道的数字签名来对用户进行验证。ah还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。ipv6的验证主要由验证报头(ah)来完成。验证报头是ipv6的一个安全扩展报头，它为ip数据包提供完整性和数据来源验证，防止反重放攻击，避免ip欺骗攻击。封装安全有效载荷(esp)通过对数据包的全部数据和加载内容进行全加密
来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，只有受信任的用户拥有密匙打开内容。采用ipv6地址随机数组抽取进行加密，esp尾提供环签名解密，esp也能提供验证和维持数据的完整性。ah和esp采用结合使用，结合使用时，esp可以在ah的保护下。
59.需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
60.需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
61.基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种用于保护ipv6域名数据隐私的域名系统。所述用于保护ipv6域名数据隐私的域名系统，被布置在区块链的超级节点处，用于保护ipv6域名数据隐私，包括：
62.注册模块，被配置为：响应于接收到域名注册请求，用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息；根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。
63.参考图4，在本说明书一个或多个实施例中，所述用于保护ipv6域名数据隐私的域名系统，还包括：
64.解析模块，被配置为：响应于接收到来自访问者的域名解析请求，获取所述区块链上公开信誉库中的白名单和/或黑名单；响应于根据所述白名单和/或黑名单确定所述访问者为合法访问者，从域名数据库中检索出与所述域名解析请求中携带的目标域名对应的所述第二ipv6地址，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证，并将加密验证后的所述第二ipv6地址发送给所述访问者。
65.为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
66.上述实施例的装置用于实现前述任一实施例中相应的基于区块链的ipv6域名数据隐私保护方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
67.基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于区块链的ipv6域名数据隐私保护方法。
68.图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间
在设备内部的通信连接。
69.处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
70.存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
71.输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
72.通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
73.总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
74.需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
75.上述实施例的电子设备用于实现前述任一实施例中相应的基于区块链的ipv6域名数据隐私保护方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
76.基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的基于区块链的ipv6域名数据隐私保护方法。
77.本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
78.上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于区块链的ipv6域名数据隐私保护方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
79.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非
旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
80.尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
81.本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

技术特征：
1.一种基于区块链的互联网协议第6版ipv6域名数据隐私保护方法，其特征在于，包括：响应于接收到域名注册请求，在区块链的超级节点处的域名系统执行下列操作：用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息；根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。2.根据权利要求1所述的方法，其特征在于，用所述超级节点的公钥加密所述第一ipv6地址包括：用所述超级节点的公钥加密所述第一ipv6地址的后4个字节。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：响应于接收到来自访问者的域名解析请求，所述域名系统执行下列操作：获取所述区块链上公开信誉库中的白名单和/或黑名单；响应于根据所述白名单和/或黑名单确定所述访问者为合法访问者，从域名数据库中检索出与所述域名解析请求中携带的目标域名对应的所述第二ipv6地址，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证，并将加密验证后的所述第二ipv6地址发送给所述访问者。4.根据权利要求3所述的方法，其特征在于，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证包括：通过以验证报头ah隧道模式用ah封装所述第二ipv6地址，对所述第二ipv6地址进行数字签名。5.根据权利要求4所述的方法，其特征在于，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证还包括：通过封装安全有效载荷esp对所述第二ipv6地址进行加密。6.根据权利要求5所述的方法，其特征在于，通过esp对所述第二ipv6地址进行加密包括：以随机数组抽取的方式对所述第二ipv6地址进行加密，并在esp尾进行环签名验证。7.一种域名系统，被布置在区块链的超级节点处，用于保护ipv6域名数据隐私，其特征在于，包括：注册模块，被配置为：响应于接收到域名注册请求，用所述超级节点的公开信息遮盖所述域名注册请求中携带的域名注册信息，以匿名化所述域名注册信息；根据所述区块链上预定的智能合约，为所述域名注册信息分配第一ipv6地址，并用所述超级节点的公钥加密所述第一ipv6地址，以生成用于域名解析的第二ipv6地址。8.根据权利要求7所述的域名系统，其特征在于，还包括：解析模块，被配置为：响应于接收到来自访问者的域名解析请求，获取所述区块链上公开信誉库中的白名单和/或黑名单；响应于根据所述白名单和/或黑名单确定所述访问者为合法访问者，从域名数据库中检索出与所述域名解析请求中携带的目标域名对应的所述第二ipv6地址，根据预定的共识机制对检索出的所述第二ipv6地址进行加密验证，并将加密验证后的所述第二ipv6地址发送给所述访问者。
9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现根据权利要求1至6中任意一项所述的方法。10.一种非暂态计算机可读存储介质，其特征在于，所述存储介质上存储有计算机指令，所述计算机指令在被计算机执行时，使所述计算机实现根据权利要求1至6中任一项所述的方法。
技术总结
本说明书一个或多个实施例提供一种基于区块链的IPv6域名数据隐私保护方法及相关设备。所述方法包括：首先在域名注册阶段使用区块链的超级节点的公开信息对注册的域名进行遮盖。然后，根据区块链上预定的智能合约为域名分配IPv6地址，再对分配到的地址进行加密，得到用于域名解析的地址。综合考虑了用户在注册新域名，分配地址和解析地址时的隐私问题，针对域名解析各个步骤进行隐私保护，从而实现域名注册者的隐私数据防护和域名解析通讯数据安全防护。据安全防护。据安全防护。


技术研发人员：魏桂臣 许放 徐鑫 邢宁哲 白巍 张宏亮 杨寒冰
受保护的技术使用者：北京中电飞华通信有限公司 全球能源互联网研究院有限公司 国网重庆市电力公司 国网重庆市电力公司电力科学研究院 国网冀北电力有限公司 国网冀北电力有限公司信息通信分公司 国家电网有限公司
技术研发日：2021.02.25
技术公布日：2021/6/29