基于區塊鏈的ARP欺騙攻擊防御方法

劉凡鳴，石偉

?

基于區塊鏈的ARP欺騙攻擊防御方法

劉凡鳴1,2，石偉1,2

（1. 河北大學網絡空間安全與計算機學院，河北 保定 071002； 2. 河北省高可信信息系統重點實驗室，河北 保定 071002 )

為了改善靜態綁定方法在抵御ARP攻擊時存在的不易維護的問題，利用區塊鏈技術思想，設計了一種防御成本低、后期易維護的ARP欺騙攻擊防御方法。改進了區塊鏈結構，設計了交易索引表結構，通過對比發現攻擊并及時更新數據，防止后續攻擊。正常改動IP后更新交易索引表中內容，保證查詢正確性。分析及實驗表明，基于區塊鏈的防御方法具有較高安全性，能夠保證數據不被篡改，維護成本低，能有效防御ARP欺騙攻擊。

區塊鏈；ARP攻擊；動態更新；加密傳輸

1 引言

在以太網中，數據傳輸是依據MAC地址完成的。ARP是一種根據IP地址獲取主機MAC地址的TCP/IP。協議的設計基于對網絡各節點的信任，源主機在接收到目的主機的回應包時不會對目的主機的身份進行驗證。針對該設計缺陷發起的ARP欺騙是一種常見網絡攻擊方式，攻擊者冒充目的主機向源主機發送大量偽造應答報文，導致目的主機發送的報文無法被源主機接收，源主機接收攻擊者發送的偽造數據分組，最終將攻擊者的MAC地址當作目的主機MAC地址保存到ARP緩存表，影響正常通信。

現有的ARP攻擊方法大致會對用戶主機產生3種影響。當攻擊者向主機發送大量偽造ARP包時，主機正常更新及讀取ARP緩存表效率受到影響，從而影響網絡速度，嚴重情況下還會導致網絡癱瘓。若攻擊者在正常通信主機間發起攻擊，則可以監聽通信雙方數據，竊取用戶敏感信息，造成信息泄露等嚴重問題。如果針對網關節點發起偽造攻擊，則會影響局域網內節點正常上網功能，給用戶使用帶來極大不便。

現有防御方案大多采用靜態綁定IP-MAC地址方式或ARP數據分組信息校驗方式控制ARP攻擊。

靜態綁定方法是目前較常用的方法[1-4]。通過將各個通信終端IP和MAC地址進行雙向綁定，避免ARP緩存表的動態更新，攻擊者無法再通過發送ARP響應包更新主機緩存表，實現了ARP攻擊的防御目的。但是此種方法的缺陷在于需要為局域網內的每個節點分配固定IP，若節點不常使用會造成IP資源的浪費，同時若后期需要變動IP地址時，維護成本較高。

對于ARP攻擊，目前還沒有較完善、高效的防御方法有效應對ARP攻擊，現有防范策略都在一定程度上具有局限性。基于區塊鏈技術，本文提出一種ARP攻擊防御方案，該方案具有維護及部署低成本，IP地址可動態更新的優勢，與端口隔離策略不同，本方案不會對網絡的其他功能產生影響，并可有效保證已存儲MAC地址的安全性。本文的主要貢獻如下。

1) 提出了一種ARP攻擊防御方案，該方案融合了區塊鏈技術優勢，通過簽名驗證機制，保證數據的安全性，避免MAC值被篡改。

2) 改進了區塊鏈結構，實現了IP地址的有效更改。

3) 引用基于散列驗證的加密機制保證數據傳輸的完整性，保證主機接收到的MAC地址與存儲在區塊鏈的值保持一致。

2 預備知識

2008年，中本聰首次在其論文中提出了比特幣的概念，闡述了點對點電子現金系統的處理流程[5]。區塊鏈技術作為比特幣系統中的核心技術，受到廣泛關注。2015年區塊鏈技術迅速興起，首先在金融領域掀起浪潮，后續逐步應用到大數據、人工智能、物聯網等領域迸發出新的火花。

區塊鏈是有多個節點構成的去中心化的分布式記賬系統。將某一時間內的數據存儲在區塊內，區塊間通過鏈表連接，利用非對稱密鑰、散列算法等密碼學方法處理存儲數據，保證了數據可溯源、不易篡改、公開透明的特性[6-8]。

1) 區塊鏈結構

區塊鏈由若干個區塊通過鏈式結構組合而成。每個區塊內包含區塊頭和區塊體2部分，如圖1所示。區塊頭中包含上一個區塊的散列值、時間戳、設定的驗證條件以及找到的滿足該驗證要求的隨機數nonce。區塊體中則包含該區塊內存儲的交易序列[9-10]。

圖1 區塊鏈結構

2) 區塊鏈身份驗證

區塊鏈中采用非對稱密鑰加密機制驗證交易發起方身份。密鑰成對出現，包含一個私鑰和一個公鑰。私鑰用于加密交易信息形成簽名。公鑰通過節點私鑰生成，對網絡中其他節點公開，用于驗證簽名核實身份。區塊鏈系統中，節點發起交易時，首先用自己的私鑰對交易處理，得到數字簽名[11]。然后將交易記錄連同簽名一起發送到網絡。網絡中節點接收到交易后，會利用交易發起方公鑰對其身份進行驗證，通過公鑰簽名驗證結果判斷該交易是否由私鑰持有人發出。只有通過驗證后才會把交易放入具體區塊內，然后通知礦工節點開始挖礦操作。挖礦的過程就是根據提前設定好的工作難度，尋找滿足該條件的一個隨機數，然后將找到的隨機數填入區塊nonce字段。

3) 區塊鏈不可篡改特性

在區塊鏈中，會對每一個區塊的區塊頭做SHA256加密運算，得到一個散列值。而每個區塊的區塊頭中都包含其父區塊的散列值，所以當區塊鏈中父區塊的內容發生改變后，該區塊的散列值會發生改變，導致其子區塊的散列值也發生改變，子區塊散列變化又會導致子孫區塊的散列值變化，依次類推。這樣的設計機制保證了數據的可靠性與一致性[12-13]，數據一旦存入就很難被篡改。

4) 區塊鏈應用

區塊鏈技術不僅可以在金融領域發揮作用，在非金融領域中也能起到很好的效果。人工智能、大數據等新興領域在信息安全角度對去中心化、分布式、可溯源追蹤、高效率等方面要求較高，區塊鏈具備的去中心化、防篡改、可溯源追蹤等特性與新興產業在安全領域的發展需要較匹配，因此可以將區塊鏈技術應用于上述領域解決實際問題。

在信息安全領域，目前區塊鏈技術主要用于數據防護、訪問控制、授權、身份認證等方向[14]。區塊鏈的去中心化結構可以保證已存儲信息不被篡改，隱私保護領域結合，如基于區塊鏈的隱私保護[15]、基于區塊鏈共識機制實現節點位置驗證[16]、基于區塊鏈實現可信定位系統[17]等。

3 基于區塊鏈的ARP攻擊防御方案

3.1 方案總體描述

在ARP執行過程中，目標主機在接收到ARP廣播包后會填寫其IP和MAC地址，并以單播方式向源主機發送響應包。由于協議缺少對ARP響應包發出主機的身份認證機制，若攻擊主機偽裝成目的主機也向源主機發送ARP響應包，則源主機可能會接收攻擊主機發來的ARP響應分組，并更新源主機上的ARP緩存表，產生ARP攻擊，影響通信安全。

本文提出一種基于區塊鏈技術的ARP攻擊防御方法，方案如圖2所示。在局域網絡基礎上，構建了一條區塊鏈，實現了網絡內主機對區塊鏈的查詢和存儲操作。通過更改區塊鏈結構實現了IP地址有效修改機制，方便主機節點快速查找MAC地址信息，引用基于散列驗證的加密機制保證數據傳輸的完整性，保證主機接收到的MAC地址與存儲在區塊鏈的值保持一致。在存儲過程中，利用信用評價機制確定交易處理順序，通過數字簽名機制驗證交易發起方身份，保證交易的正確性，實現了ARP攻擊的防御。

圖2 方案模型

本方法主要利用區塊鏈的不可篡改特性和交易驗證機制保證數據存儲的有效性，防止數據被攻擊者篡改。交易認證機制利用非對稱密鑰加密方法，通過私鑰對交易內容加密，生成數字簽名，區塊鏈中節點通過公鑰對交易進行驗證，保證區塊鏈中存儲的數據是正常交易方發送的數據。由于區塊鏈的鏈式結構設計，后一個區塊頭中總是存儲其父區塊的散列值，當父區塊中的交易內容發生變化時，父區塊的散列值會發生相應變化，從而與其關聯的子區塊頭中存儲的父區塊散列值也會發生相應改變。而子區塊的散列值變化后又會導致子孫區塊的塊頭值發生變化，從而導致連鎖反應。當ARP攻擊者試圖改變某一區塊中的交易內容時，會導致該區塊后的所有子孫區塊的散列值發生改變，每個子孫區塊頭部存儲的父區塊散列值也需要做相應修改，并且每個保存有完整區塊鏈結構的節點均需要完成上述操作，篡改代價較大，故可保證數據的安全性。

3.2 改進的區塊鏈結構

在ARP通信過程中記錄源主機IP、MAC地址以及目的主機IP、MAC地址。現有方案常采用IP-MAC靜態綁定的方式來防御ARP攻擊。但在局域網環境中，無法保證IP地址一直不發生改變，若發生改變，則需要逐個更改局域網內設備先前綁定的IP-MAC值，當局域網內設備數量較大時工作量也會隨之增加。MAC地址一般由設備網卡控制，一般不會發生改變。

通過上述分析，結合區塊鏈的防篡改特性，運用區塊鏈思想，設計了適用于本問題的區塊鏈結構，如圖3所示。區塊鏈環境由2部分構成，基于區塊鏈思想設計的區塊鏈以及在其基礎上建立的區塊鏈索引表。

圖3 改進的區塊鏈結構

區塊結構中包含父塊的散列值、時間戳、交易記錄集等信息。交易記錄集包含某一區塊內的所有交易信息，用鍵值對形式存儲每條交易信息的具體數據。每條交易用于表示ARP響應包中返回的核心信息，包含被請求主機的IP、MAC地址、交易的發起時間等。交易號用于唯一標識一個交易，由交易中的MAC地址與時間戳做散列運算得到。將主機IP與MAC地址綁定到交易中，保證存儲數據的一致及安全性。

為提高查詢效率，在區塊鏈基礎上形成的索引表，當網絡中主機信息發生變動時同步更新區塊鏈索引表中存儲的值。區塊鏈索引表包含IP和MAC地址2部分。IP代表設備的IP地址，MAC地址表示設備的MAC地址。當局域網內某節點IP信息發生變化時，向系統發起新交易，通過驗證后將交易加入區塊內，挖礦后網絡內其他節點同步區塊信息，更新區塊鏈索引表中數據，保證表內存儲的一直是網絡內主機IP的最新值。

3.3 防御過程描述

1) MAC地址查詢過程

當局域網內某個節點想要通過ARP查詢某一主機MAC地址時，首先查詢區塊鏈索引表，通過IP地址查詢該主機的MAC地址，將查詢到的結果加密傳送給請求主機。主機將接收到的MAC地址與ARP表中查詢出的MAC地址做對比，當兩者一致時表示未遭受攻擊，不一致時表示遭受攻擊，以區塊鏈中的查詢結果為準進行更正。查詢過程如圖4所示，IP為10.0.0.5的源主機想要查詢IP為10.0.0.6的目的主機MAC地址。在區塊鏈索引表中進行查找IP為10.0.0.6的表項，將該條表項內的MAC地址加密傳送給源主機。

為了保證查詢到的MAC地址能夠完整、正確地傳輸到請求發送方，采用基于散列驗證的分組加密方法保證傳輸過程[18-20]。如式(1)所示，dMAC表示通過區塊鏈系統查詢到的目的主機MAC地址，利用分組加密算法對dMAC值加密，將加密后的dMAC值發給源主機。接著對dMAC值做散列運算，并對運算后的結果進行分組加密，將加密后結果發給源主機。源主機接收到2次數據后，首先根據密鑰解密得到dMAC，進行散列運算得到(MAC)2。然后同樣通過(((dMAC),),)得到(dMAC)，比較(MAC)和(MAC)2值。若一致表示傳輸數據完整、未被篡改，將dMAC值寫入源主機的緩存表中。

<(dMAC||(dMAC),)> (1)

2) MAC地址存儲過程

當查詢區塊鏈索引表沒有找到被請求IP時，由被請求方發起一條新交易，交易中包含其IP與MAC地址以及時間戳等信息。網絡中節點會對交易發起方身份進行驗證，將交易加入區塊內，礦工節點根據設定進行挖礦操作，直到有節點最先找到一個隨機數，能滿足提前設定好的工作難度。其余節點在驗證完該隨機數的正確性之后將該條記錄加入區塊中。這里假設局域網內的所有節點均為礦工節點，并且每個節點上保存有完整的區塊鏈信息。

在ARP的處理過程中，可能會遭受ARP攻擊，如圖5所示。當主機A請求主機B的MAC地址時，主機E作為攻擊者也會發起應答。此時讓2個應答者分別發起新交易，B的交易包含B的IP和MAC地址、時間戳等，E作為攻擊中間人，在交易中發送其MAC地址。主機B在發起交易時利用自己的私鑰對交易內容進行簽名，將簽名和交易發送到網絡。主機E也會利用其私鑰生成簽名或偽造數字簽名，同樣將簽名和交易發送到網絡。通過非對稱密碼驗證思想，網絡中的節點根據提前存儲的主機B的公鑰驗證2個交易，B發起的交易通過驗證，而E發起的交易則驗證失敗。這樣就阻止了主機E發起的ARP攻擊，避免存儲錯誤的主機B的MAC地址。

圖4 查詢過程

為了保證正常節點與攻擊節點同時發起交易時，正常節點有較高處理級別，在驗證過程中引用信用評價機制。信用等級從1開始，每次成功通過驗證，該節點的信用等級會增加1。當下次再出現正常節點與攻擊節點同時發起交易時，系統先根據信用級別確定交易發送隊列，級別值越大的優先級越高，這樣保證了正確交易信息可以被更快速地處理，節省時間開銷。同時也要考慮正常節點的操作頻率問題，如正常節點在某個時間段內頻繁對節點IP信息進行修改，筆者認為這種操作會導致網絡資源浪費，需要降低該正常節點已有的信用值。

圖5 新建交易

3.4 安全性分析

針對ARP缺陷，設計了基于區塊鏈防篡改特性的攻擊防御方法，將主機IP與MAC地址作為交易內容存儲到區塊內。為了方便查詢與對比，在區塊鏈基礎上，生成了交易索引表。定時將交易索引表中數據與主機ARP緩存表中內容做對比，若兩者不一致，則表示檢測到攻擊，系統及時將交易索引表中的查詢結果替換到ARP緩存表的相應位置，保證緩存表正確性，有效防御后續攻擊。

定理1 交易數據具有不可偽造性。

證明 區塊鏈的數字簽名機制保證了攻擊者無法偽造正常主機發送交易數據。交易發起方通過其自有的私鑰對交易內容進行加密處理，形成數字簽名。網絡內超過一半主機通過發送方公鑰完成身份驗證后才將交易加入具體區塊中。除非攻擊者已竊取到交易發起方的全部私鑰信息，否則無法偽造發起方發送包含錯誤數據的交易信息。

定理2 攻擊者對區塊鏈中交易數據的篡改操作不會生效。

證明 假設攻擊者試圖修改區塊鏈中某一區塊中存儲的交易數據。由于區塊鏈的鏈式結構設計，相鄰區塊間具有很強的關聯性，父區塊的散列值變化后，子區塊的散列值也會發生改變，子區塊散列值變化后，子孫區塊的散列值也會隨之發生改變。因此若想修改某一區塊內的交易數據時，必須修改其后所有子孫區塊的散列值。同時，攻擊者需要篡改所有存儲完整區塊鏈的節點，在節點上完成上述關聯改動操作，攻擊代價較大，故攻擊主機對數據實施篡改的目的難以實現。

4 實驗分析

本文搭建了由3個虛擬機構成的小型局域網環境，每個局域網節點安裝Kali操作系統。局域網3節點的IP及MAC地址對應關系如表1所示。

表1 局域網環境

1) 正確性驗證

假設節點A請求節點B的MAC地址，通過區塊鏈索引表沒有查詢到節點B的IP信息，那么主機B會發起交易，將其IP、MAC地址、時間戳信息存入交易，用私鑰對交易簽名后將交易放入具體區塊中。同時攻擊節點C也發起交易，偽裝成節點B，將錯誤的MAC地址放入交易，用偽造的私鑰對交易簽名，企圖將錯誤信息存入區塊鏈。兩類交易信息對比情況如表2所示。通過身份驗證機制的評判，節點B發起的交易驗證成果，順利存入區塊。節點C發送的交易驗證失敗，交易未存入區塊。主機B發送的交易順利存入區塊，界面如圖6所示。

圖6 交易界面截圖

2) 查詢效率分析

通過區塊鏈索引表和區塊鏈結構設計，可以使節點方便快捷地查詢出區塊鏈中存儲的被請求節點的MAC地址。對區塊鏈中不同位置的區塊交易記錄做查詢，統計查詢性能。

表2 兩類交易對比

這里對區塊鏈中不同位置的500條交易記錄做MAC地址查詢，隨機分10組，每組統計50條查詢時間的平均值。如圖7所示，index代表通過區塊鏈索引表查詢MAC地址花費的時間，block代表從區塊鏈中直接查詢MAC地址花費的時間，可以看出，本文改進的區塊鏈結構具有較好的查詢性能。

圖7 查詢時間

3) 更新效率分析

當需要更新局域網內節點IP時，只需要進行2個操作過程。首先由IP更新節點重新發送一條新交易，將修改后的IP存入交易內，驗證成功后交易就會加入區塊中，等待節點挖礦。當某節點挖到區塊后，其他節點進行同步更新，保證所有節點存儲最長的區塊鏈，同時更新區塊鏈索引表。

假定每個區塊包含50個交易，任選一個節點測試同步區塊鏈所需的時間。如圖8所示，橫軸代表該節點與最長區塊鏈長度的差值，縱軸代表同步所需的時間。從圖中可以看出，隨著區塊鏈長度差距的增大，同步所需時間也隨之增加，但當差距超過3個塊時，時間增長率變緩，同步更新時間小于8 s。

圖8 更新時間

4) 處理時間對比

靜態綁定方法的思路是固化ARP緩存表，防止攻擊者修改表項內容。但在局域網環境中，當某主機發生更改主機IP的情況時，需要由管理者手動逐一修改網絡內主機中包含該修改主機IP-MAC映射關系的靜態緩存表項；當網絡為新增主機分配IP時，同樣需要管理者手動逐一增加網絡內所有主機的靜態緩存表項。當網絡內主機數量較少時，該方法還比較適用，當主機數量較多時，該方法會產生巨大工作量，可用性較差。

本文方法基于綁定思想，在區塊鏈結構上進行了改進，增加了區塊鏈索引表結構。當局域網內有正常修改主機IP的操作時，該主機會主動發送包含修改后IP和MAC地址的交易，待該交易通過驗證加入具體區塊，挖礦后將交易索引表中的主機IP修改為最新值。該過程由區塊鏈系統一次性自動完成，維護成本低。

用上述2種方法修改局域網內主機IP，對比時間花費。實驗從局域網內需要修改的主機數量出發，分別統計修改數量為1、2、3臺的時間花費，取10次操作所需時間的平均值。如圖9所示，橫軸代表網絡內需要修改的主機數量，縱軸代表修改操作花費的時間。可以看出，隨著修改主機數量的增加，本文提出的方法具有較好的時間優勢。

圖9 2種方法耗時對比

5 結束語

本文基于區塊鏈技術思想設計了一種ARP攻擊防御方案。通過構建區塊鏈環境，實現了網絡內主機對區塊鏈的查詢和存儲操作，保證了數據的安全性。通過更改區塊鏈結構實現了IP地址有效修改機制，方便主機節點快速查找MAC地址信息，引用基于散列驗證的加密機制保證數據傳輸的完整性，保證主機接收到的MAC地址與存儲在區塊鏈的值保持一致。在存儲過程中，利用信用評價機制確定交易處理順序，通過數字簽名機制驗證交易發起方身份，保證交易的正確性，實現了對ARP攻擊的防御。

后續將進一步考慮提升該方案的安全性能，加入對時間指標的衡量，建立完善的信用評價體系，優先處理正確、信用值高的交易，減少等待時間，提升處理效率。

[1] HONG S, OH M, LEE S. Design and implementation of an efficient defense mechanism against ARP spoofing attacks using AES and RSA[J]. Mathematical & Computer Modelling, 2013, 58(1-2): 254-260.

[2] 徐書欣, 趙景. ARP欺騙攻擊與防御策略探究[J]. 現代電子技術, 2018, 41(8):78-82.

XU S X, ZHAO J. Investigation of ARP spoofing attack and defense strategies[J]. Modern Electronics Technique, 2018, 41(8): 78-82.

[3] 林宏剛, 陳麟, 王標, 等. 一種主動檢測和防范ARP攻擊的算法研究[J]. 四川大學學報(工程科學版), 2008, 40(3):143-149.

LIN H G, CHEN L, WANG B, et al. Research on an algorithm of active detecting and resisting ARP attack[J]. Journal of Sichuan University(Engineering Science Edition), 2008, 40(3):143-149.

[4] 秦豐林, 段海新, 郭汝廷. ARP欺騙的監測與防范技術綜述[J]. 計算機應用研究, 2009, 26(1):30-33.

QIN F L, DUAN H X, GUO R Y. Overview of ARP spoofing detection and prevention techniques[J]. Application Research of Computers,2009, 26(1):30-33.

[5] NAKAMOTO S. Bitcoin: a peer-to-peer electronic cash system[J]. Consulted, 2008.

[6] 劉江, 霍如, 李誠成, 等. 基于命名數據網絡的區塊鏈信息傳輸機制[J]. 通信學報, 2018(1):24-33. LIU J, HUO R, LI C C, et al. Information transmission mechanism of Blockchain technology based on named-data networking[J]. Journal on Communications, 2018(1):24-33.

[7] SWAN M. Blockchain thinking : the brain as a decentralized autonomous corporation [commentary][J]. IEEE Technology & Society Magazine, 2015, 34(4):41-52.

[8] 張寧, 王毅, 康重慶, 等. 能源互聯網中的區塊鏈技術:研究框架與典型應用初探[J]. 中國電機工程學報, 2016, 36(15): 4011-4022.

ZHANG N, WANG Y, KANG C Q,et al. Blockchain technique in the energy Internet: preliminary research framework and typical applications[J]. Proceedings of the CSEE, 2016, 36(15):4011-4022.

[9] 錢衛寧, 邵奇峰, 朱燕超, 等. 區塊鏈與可信數據管理:問題與方法[J]. 軟件學報, 2018(1):150-159. QIAN W N, SHAO Q F, ZHU Y C, et al. Research problems and methods in Blockchain and trusted data management[J]. Journal of Software, 2018(1):150-159.

[10] 朱建明, 付永貴. 基于區塊鏈的供應鏈動態多中心協同認證模型[J]. 網絡與信息安全學報, 2016, 2(1):27-33.

ZHU J M, FU Y G. Supply chain dynamic multi-center coordination authentication model based on block chain[J]. Chinese Journal of Network and Information Security, 2016, 2(1):27-33.

[11] 袁勇, 王飛躍. 區塊鏈技術發展現狀與展望[J]. 自動化學報, 2016, 42(4): 481-494 YUAN Y, WANG F Y. Blockchain: the state of the art and future trends[J]. Acta Automatica Sinica, 2016, 42(4): 481-494.

[12] 閔新平, 李慶忠, 孔蘭菊, 等. 許可鏈多中心動態共識機制[J].計算機學報, 2018, 41(5): 1005-1020 MIN X P, LI Q Z, KONG L J, et al. Permissioned Blockchain dynamic consensus mechanism based multi-centers[J]. Chinese Journal of Computers, 2018,41(5):1005-1020.

[13] 劉明達, 拾以娟. 基于區塊鏈的遠程證明模型[J]. 計算機科學, 2018, 45(2). LIU M D, SHI Y J. Remote attestation model based on Blockchain[J]. Computer Science, 2018, 45(2):48-52.

[14] 劉敖迪, 杜學繪, 王娜, 等. 區塊鏈技術及其在信息安全領域的研究進展[J]. 軟件學報, 2018. LIU A D, DU X H, WANG N, et al. Research progress of blockchain technology and its application in information security[J]. Journal of Software, 2018,29(7):2092-2115.

[15] ZYSKIND G, NATHAN O, PENTLAND A. Decentralizing privacy: uing blockchain to protect personal data[C]//2015 IEEE Symposium on Security and Privacy Workshops (SPW 2015). 2015: 180-184.

[16] BRAMBILLA G, AMORETTI M, ZANICHELLI F. Using block chain for peer-to-peer proof-of-location[J]. arXiv:1607.00174, 2016.

[17] 李大偉, 劉建偉, 關振宇, 等. 基于區塊鏈的密鑰更新和可信定位系統[J]. 密碼學報, 2018(1). LI D W, LIU J W, GUANG Z Y, et al. Key update and trusted positioning system based on blockchain[J]. Journal of Cryptologic Research, 2018, 5(1): 35-42.

[18] 于佳, 程相國, 李發根,等. 標準模型下可證明安全的入侵容忍公鑰加密方案[J]. 軟件學報, 2013(2):266-278. YU J, CHEN X G, LI F G, et al. Provably secure intrusion-resilient public-key encryption scheme in the standard model[J]. Journal of Software, 2013(2):266-278.

[19] 陳泯融, 張席, 何凱, 等. 改進的選擇密文安全公鑰加密方案[J]. 計算機學報, 2013, 36(6):1149-1154.

CHEN M R, ZHANG X, HE K, et al. Improved public key encryption scheme secure against adaptive chosen-ciphertext attacks[J]. Chinese Journal of Computers, 2013, 36(6):1149-1154.

[20] 李經緯, 賈春福, 劉哲理, 等. 可搜索加密技術研究綜述[J]. 軟件學報, 2015, 26(1): 109-128. LI J W, JIA C F, LIU Z L, et al. Survey on the searchable encryption[J]. Journal of Software, 2015, 26(1):109-128

Blockchain-based ARP defense scheme

LIU Fanming1,2, SHI Wei1,2

1. School of Cyber Security and Computer, Hebei university, Baoding 071002, China 2. Hebei Key Laboratory of High Confidence Information Systems, Baoding 071002, China

In order to improve the difficulty of maintaining the static binding method when defending against ARP attacks, a defense method was designed with the features of low cost of defense and easy maintenance by using the idea of a blockchain technology. The blockchain structure had been improved, and the transaction index table structure had been designed to identify attacks and update data in a timely manner to prevent subsequent attacks.The content of the transaction index table was updated after the IP address was changed normally to ensure the correctness of the query. Analysis and experiments show that the blockchain-based defense method has the following merits: high security, guaranteeing the data is not tampered with, low cost of maintenance, and effective prevention against ARP spoofing attacks.

blockchain, ARP attack, dynamic update, encrypted transmission

TP309.5

A

10.11959/j.issn.2096-109x.2018071

劉凡鳴（1990-），女，河北保定人，河北大學實驗師，主要研究方向為區塊鏈技術、云計算安全。

石偉（1992-），男，河北衡水人，河北大學碩士生，主要研究方向為信息安全、區塊鏈技術、深度學習。

2018-06-02；

2018-06-27

劉凡鳴，lfmhbu@126.com