本發(fā)明涉及一種信息中心網(wǎng)絡(luò)中內(nèi)容請求用戶的身份認(rèn)證方法，該方法中通過修改興趣包結(jié)構(gòu)實現(xiàn)了基于身份的內(nèi)容請求用戶認(rèn)證。該方法對原始興趣包進(jìn)行擴(kuò)展，在原有的興趣包中加入了加密后的用戶身份信息以及用戶對興趣包的簽名信息。使用基于身份的加密方案(Identity Based Cryptography,IBC)，包括基于身份的加密(Identity Based Encryption,IBE)和基于身份的簽名(Identity Based Signature,IBS)實現(xiàn)了接入網(wǎng)關(guān)對內(nèi)容請求用戶的認(rèn)證。本發(fā)明既能實現(xiàn)接入網(wǎng)關(guān)對內(nèi)容請求用戶的身份認(rèn)證，又能避免用戶身份等敏感信息泄露，發(fā)展和完善了信息中心網(wǎng)絡(luò)的安全架構(gòu)。該發(fā)明可以從根源上解決網(wǎng)絡(luò)中安全問題：興趣洪泛攻擊。

技術(shù)領(lǐng)域

本發(fā)明屬于信息中心網(wǎng)絡(luò)安全領(lǐng)域，涉及信息中心網(wǎng)絡(luò)中內(nèi)容請求用戶的身份認(rèn)證方法。

背景技術(shù)

最初的互聯(lián)網(wǎng)是為主機(jī)之間通信而設(shè)計，但后來以其協(xié)議強(qiáng)大的兼容性，承載起無窮的應(yīng)用并取得史無前例的成功。不過，隨著大規(guī)模的內(nèi)容共享和物聯(lián)網(wǎng)應(yīng)用日益普及，基于主機(jī)地址的路由和面向連接的安全機(jī)制的不足日益凸顯，協(xié)議越來越復(fù)雜。

為此，人們提出了信息中心網(wǎng)絡(luò)(Information Centric Networks，ICN)的全新設(shè)計方案。在ICN網(wǎng)絡(luò)的設(shè)計中，網(wǎng)絡(luò)中傳輸?shù)挠袃煞N包：興趣(Interest)包和數(shù)據(jù)(Data)包。路由器包括三種數(shù)據(jù)結(jié)構(gòu)：內(nèi)容倉庫(Content Store,CS)、待定興趣表(Pending InterestTable,PIT)和轉(zhuǎn)發(fā)興趣庫(Forwarding Interest Base,FIB)。其中CS緩存流經(jīng)的數(shù)據(jù)包，提供給后續(xù)的興趣請求；FIB存儲興趣包的轉(zhuǎn)發(fā)策略，包含名字前綴、輸出接口等字段。路由器收到興趣包后首先檢查本地CS是否存在與興趣包名字匹配的數(shù)據(jù)；若存在，則將匹配到的數(shù)據(jù)包沿興趣包到達(dá)的路徑，原路返回給請求節(jié)點；若不存在，路由器查詢PIT中是否包含該興趣包名字的條目。若PIT中存在匹配的條目，則在該條目中追加該興趣包的來源接口；若不存在，則根據(jù)名字最長前綴匹配原則查詢FIB，將該興趣包沿查詢得到的輸出接口轉(zhuǎn)發(fā)至下一跳路由器。它具有基于內(nèi)容的尋址、有狀態(tài)的轉(zhuǎn)發(fā)、網(wǎng)內(nèi)緩存等特點而引起學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。

不過，ICN目前的架構(gòu)設(shè)計在安全方面存在較大的挑戰(zhàn)。目前的安全架構(gòu)設(shè)計保證了數(shù)據(jù)內(nèi)容的機(jī)密性和請求用戶對內(nèi)容發(fā)布者的身份確認(rèn)，但缺乏網(wǎng)絡(luò)和發(fā)布者對請求者身份的認(rèn)證，這樣存在很大的安全隱患。比如，沒有經(jīng)過認(rèn)證的用戶、惡意的消費者可能會故意發(fā)送大量的興趣包到網(wǎng)絡(luò)中請求不存在的內(nèi)容，這些惡意請求被緩存在中間路由器的PIT中直至超時才被清除，從而使PIT表資源耗盡，正常的請求無法創(chuàng)建PIT條目而被丟棄，從而導(dǎo)致興趣洪泛攻擊(Interest Flooding Attack,IFA)，即ICN網(wǎng)絡(luò)中的一種典型的分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊。為此，學(xué)者們提出了許多IFA的檢測與緩解方案，但大多屬于被動防御措施，無法從根源上遏制IFA的產(chǎn)生。

IBC(Identity Based Cryptography,IBC)技術(shù)最早由Adi Shamir在1984年提出，它利用可讀的用戶身份標(biāo)識作為公鑰進(jìn)行數(shù)字簽名或內(nèi)容加密而無需公鑰的交換。相比于傳統(tǒng)的PKI(Public Key Infrastructure,PKI)加密體制，IBC具有明顯的特色和優(yōu)勢：IBC私鑰由私鑰生成器(Private Key Generator,PKG)按需生成，不需要目錄服務(wù)來維護(hù)公鑰私鑰對；不再依賴于證書認(rèn)證中心(Certification Authority,CA)發(fā)放的數(shù)字證書，避免了公鑰基礎(chǔ)設(shè)施部署復(fù)雜、負(fù)擔(dān)繁重、代價高昂的問題。

本發(fā)明主要用到基于身份的加密IBE(Identity Based Encryption)和基于身份的簽名IBS(Identity Based Signature)兩項技術(shù)。在IBE方案中，發(fā)送方使用接收方的ID對消息加密，接收方用自己的IBE私鑰來解密。在IBS方案中，發(fā)送方用自己的私鑰生成簽名，接收方用發(fā)送方的ID進(jìn)行簽名驗證。

發(fā)明內(nèi)容