2025【MIN-VPN体系架构与关键技术探析4700字】.docx

MIN-VPN体系架构与关键技术分析综述

目录

TOC\o1-2\h\u25355MIN-VPN体系架构与关键技术分析综述 1

326091.1MIN体系架构介绍 2

200351.1.1多标识网络管理系统 2

175691.1.2多标识网络管理路由器 2

31781.1.4路由器包签名过滤机制 6

308681.1.5证书管理 6

237971.1.6身份验证与流程 6

68881.2面向联盟链的共识算法 9

119631.1.1共识算法原理 9

75351.1.2共识身份模型 9

228391.3网络标识互通 11

150781.3.1IP-CCN-IP通信隧道的实现 11

42801.3.2CCN-IP-CCN隧道的实现 11

125001.3.3IP-CCN通信实现 12

300071.3.4CCN-IP通信实现 12

依靠目前主流的TCP/IP网络体系来构建专用网络在安全方面存在天生不足，而独立于IP网络体系，支持像内容、空间信息、身份信息及IP地址等多种标识的新型多标识网络体系MIN(Multi-IdentifierNetwork)，融合区块链、个人生物特征、可信计算、密码学、拟态防御等多种信息技术，可以实现搭建安全可信、可管可控的高安可专用网络[2]。本章将重点介绍基于多标识网络体系的MIN-VPN高安可专网架构和其基本原理。

1.1MIN体系架构介绍

多标识网络系统支持像内容、空间信息、身份信息及IP地址等多种标识。多标识网络架构可以分为管理面和数据面，分别命名为多标识网络管理系统（Multi-IdentifierSystem，MIS）和多标识管理路由器（Multi-IdentifierRouter，MIR）。管理面主要由多标识管理系统管理，多标识管理系统将网络完整地划分为从上而下的层次化网络。多标识管理系统参与身份认证和分配不同的标识，数据通过监管节点的Pov算法来识别和检查，并达成共识，并在区块链上记录身份信息和属性，使得区块链上的内容一致，记录是不可改变的也是可以回溯追查的。

在多标识网络中，一个完整的节点功能是包括管理链上用户和分配标识过程，同时带有标识解析、转发和路由的服务。此外，网络中还存在监查节点、普通用户以及组织用户。在每个网络中设置监查点用作上下层区块链的数据查询接口。每个节点都具有内容、空间信息、身份信息及IP地址等多种标识。

1.1.1多标识网络管理系统

多标识网络管理系统的整个网络是从上到下的分层网络域。多标识网络管理系统部署在区块链节点上，负责分配用户身份标识和检查用户使用行为，并在区块链上记载相关使用信息。

1.1.2多标识网络管理路由器

多标识管理路由器作为多标识网络数据层面的物理设备在MIN网络体系中承担重要作用。MIR的功能包括网络寻址以及各种标识数据包的解析和转换的功能。为了适配不同的网络环境，多标识管理路由器支持多种标识和多种传输途径融合在一起。

其中，多种标识符包括内容标识符、空间信息标识符、身份信息标识符及IP地址标识符等。多种传输途径包括推送式传输（其中主要为IP网络体系）和拉取式数据传输结构（主要为内容为中心的网络体系）。

MIN可以免疫传统基于TCP/IP体系的缺陷不足的攻击方式和方法。

1.1.4路由器包签名过滤机制

MIN网络的所有数据包都带有合法用户的数字签名信息，路由器只会转发带有合法用户签名的网络包。为了实现这一目标，我们需要在路由器上安装合法用户的身份证书。

对于流入路由器的兴趣包，其签名在其名称的最后一个字段中，而其签名者的信息则在兴趣包名称的倒数第二个字段中，如图所示。我们需要通过在路由器中提取倒数第二个字段，得到签名者信息，再通过签名者信息加载正确的证书，对最后一个字段中保存的数字签名进行验证。

对于数据包，数据包的签名保存在专有的Signature域，数据的签名者信息获取和签名验证都可以通过ndn-cxx库提供的接口轻易地实现。

1.1.5证书管理

证书管理机制是实现MIN网络中路由器的签名过滤的前提。在进行数据包签名验证之前，我们的路由器上必须有所有合法用户的证书，而证书管理模块就负责证书的生成和证书的下发。

用户注册时，会触发证书管理机制。注册的用户先在OA后台提交注册请求，OA后台提取出用户注册请求中的用户公钥部分，并将用户公钥和用户信息提交给MIN网络管理层（区块链），再由区块链为用户生成一个合法的证书。区块链生成用户证书后，会给MIN网络中的路由器下发该合法用户的证书。MIN网络管理员可以按需设置需要安装证书的路由器，这些路由器可以是整个MIN网络中所有路由器，也可以只