技術領域

本發明屬于以內容為中心的網絡數據傳輸安全技術領域，尤其涉及一種以內容為中心的網絡中基于身份的廣播加密傳輸方法。

背景技術

當前互聯網基于TCP/IP體系結構建立，其假設用戶和終端是可信的，網絡僅僅提供盡力而為的數據包轉發服務，這種以主機互聯和資源共享為主的最初互聯網設計目標使得互聯網快速發展。隨著應用及計算模式的日益豐富及社會對互聯網依賴程度的增強，互聯網接入方式和網絡功能定位發生了巨大的改變，TCP/IP體系結構已經無法滿足互聯網持續發展的需求，在可擴展性、動態性以及安全可控性等方面呈現出無法解決的問題。為了從根本上解決這些問題，研究者重新設計未來互聯網體系結構，提出了一種以信息為中心的網絡(ICN,Information-Centric?Network)。當前具有代表性的以信息為中心的網絡方案是以內容為中心的網絡(CCN,Content-Centric?Network)，同時也被稱為命名數據網絡(NDN,Named?Data?Networking)。以內容為中心的網絡是以信息為中心的網絡的一個實例。

以內容為中心的網絡對網絡中傳輸的所有內容進行命名，數據傳輸不再根據IP地址尋路轉發，而是根據內容名稱進行路由。在以內容為中心的網絡中，節點可以緩存數據，也可以響應數據請求，將緩存數據返回給請求用戶，這樣可以提高網絡中數據分發和獲取效率。

以內容為中心的網絡對所有數據或內容進行命名，采用內容名稱進行報文的路由。以內容為中心的網絡有兩種基本的數據包類型，興趣包(Interest?Packet，包括內容名稱、選項和隨機數)和數據包(Data?Packet，包括內容名稱、簽名值、簽名信息和內容)，如圖1所示。內容請求者發送興趣包請求內容，其他任意節點收到該興趣包，且有對應的內容則返回數據包。一般情況下，興趣包與數據包的個數是對應的，一個興趣包請求一個數據包。以內容為中心的網絡采用分級方式命名內容，使用“/”表示名稱的不同組成部分。例如，一個北京交通大學網絡課程中的教學視頻名稱可以為ccn:/bjtu/course/video。

以內容為中心的網絡中，節點主要有三個數據結構，轉發信息表(FIB,Forwarding?Information?Base)，內容緩存(CS,Content?Store)，等待興趣表(PIT,Pending?Interest?Table)，如圖2所示。FIB與IP網絡中FIB作用相同，用于查找興趣包的轉發接口(Face,interface)，FIB中的條目可以包括多個轉發接口。CS用于存儲網絡中傳輸的數據，通過有效的緩存管理策略，降低網絡中相同數據的傳輸。PIT用來保存興趣包的請求接口(Requesting?Face)，返回的數據包根據PIT條目轉發。當一個興趣包到達CCN節點的某個接口時，節點首先檢查CS內是否有興趣包請求的數據。若有則返回數據包；否則根據FIB轉發興趣包，同時在PIT中存儲興趣包請求的數據名稱及請求的接口。數據包返回時，節點根據PIT條目向請求接口轉發數據包，刪除對應PIT條目，同時在CS中存儲數據包內容。

IPSec(IPSecurity)是網絡層安全通信協議，其設計目標是為IPv4和IPv6提供可互操作的、高質量的、基于密碼學的安全性保護。IPSec主要由鑒別頭(AH,Authentication?Header)協議，封裝安全有效荷載(ESP,Encapsulation?Security?Payload)協議以及負責密鑰管理的Internet密碼交換協議(IKE,Internet?Key?Exchange)組成。AH和ESP都能用于訪問控制、數據源認證、無連接完整性保護和抗重放攻擊，同時ESP還可以用于機密性保護。

在使用AH或ESP之前，先要從源主機到目的主機建立一個邏輯連接，即安全關聯(SA,Security?Association)，IKE協議的一個主要功能就是動態建立SA。SA是一個單向連接，一個SA由三元組唯一確定，它包括：安全協議(AH或ESP協議)，目的IP地址，安全參數索引(SPI,Security?Parameter?Index)。SPI是為了唯一標識SA而生成的一個整數，在AH和ESP頭中傳輸。