用于命名數(shù)據(jù)網(wǎng)絡(luò)的邊界屬性驗(yàn)證的制作方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)一般涉及數(shù)字內(nèi)容的分發(fā)���。更具體地,本申請(qǐng)涉及預(yù)計(jì)算和驗(yàn)證命名數(shù)據(jù)網(wǎng)絡(luò)中的消息的屬性�����,以及將此屬性驗(yàn)證的責(zé)任委托給信任域中的邊界路由器����。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)和電子商務(wù)的繁榮繼續(xù)引發(fā)網(wǎng)絡(luò)行業(yè)的革命性變化��。當(dāng)今���,從在線觀看電影到每日新聞發(fā)送��、零售和即時(shí)消息的相當(dāng)大量的信息交互是在線進(jìn)行的�����。日益增長(zhǎng)的互聯(lián)網(wǎng)應(yīng)用也變成移動(dòng)的���。然而�,當(dāng)前的互聯(lián)網(wǎng)基于大型的基于位置的尋址方案工作�����。兩個(gè)最普遍存在的協(xié)議即互聯(lián)網(wǎng)協(xié)議(IP)和以太網(wǎng)協(xié)議都以基于位置的地址為基礎(chǔ)����。即,內(nèi)容的消費(fèi)者只可以通過(guò)從與物理對(duì)象或位置緊密關(guān)聯(lián)的地址(例如IP地址或以太網(wǎng)介質(zhì)訪問(wèn)控制(MAC)地址)顯式請(qǐng)求內(nèi)容來(lái)接收內(nèi)容�����。此限制性的尋址方案越來(lái)越不足以滿足不斷變化的網(wǎng)絡(luò)需求�����。
[0003]最近����,行業(yè)中已經(jīng)提出內(nèi)容中心網(wǎng)絡(luò)(CCN)和命名數(shù)據(jù)網(wǎng)絡(luò)(NDN)架構(gòu)。CCN將新方法引入到內(nèi)容傳輸��。代替在應(yīng)用等級(jí)以內(nèi)容得以通過(guò)的端對(duì)端對(duì)話查看網(wǎng)絡(luò)流量���,內(nèi)容是基于其唯一的名稱請(qǐng)求或返回的�,網(wǎng)絡(luò)負(fù)責(zé)將內(nèi)容從提供商路由到消費(fèi)者。注意��,內(nèi)容包括可以在通信系統(tǒng)中傳輸?shù)臄?shù)據(jù)���,包括任何形式的數(shù)據(jù)��,諸如文本�、消息�����、視頻和/或音頻����。消費(fèi)者和提供商可以是計(jì)算機(jī)處的個(gè)人或位于CCN內(nèi)部或外部的自動(dòng)過(guò)程�����。一項(xiàng)內(nèi)容可以指整個(gè)內(nèi)容或內(nèi)容的相應(yīng)部分��。例如����,報(bào)紙文章可以由體現(xiàn)為數(shù)據(jù)包的多項(xiàng)內(nèi)容代表�����。一項(xiàng)內(nèi)容還可以與用諸如認(rèn)證數(shù)據(jù)��、創(chuàng)建日期�����、內(nèi)容所有人等的信息描述或擴(kuò)充該項(xiàng)內(nèi)容的元數(shù)據(jù)關(guān)聯(lián)��。
[0004]在CCN或NDN中�,內(nèi)容對(duì)象和興趣由其名稱標(biāo)識(shí)�����,所述名稱通常是分層結(jié)構(gòu)可變長(zhǎng)度標(biāo)識(shí)符(HSVLI)�����。通常���,興趣和內(nèi)容對(duì)象行進(jìn)通過(guò)許多個(gè)鏈路之后才能夠到達(dá)其目的地�。在CCN中,可能需要專用硬件來(lái)潛在地以線路速率計(jì)算和驗(yàn)證某些屬性����。這些操作包括但不限于內(nèi)容對(duì)象的散列,存在嵌入密鑰時(shí)的簽名驗(yàn)證�,興趣的散列和能夠在信任域內(nèi)傳送狀態(tài)信息的其它屬性。盡管CCN信任域中的一些路由器(諸如邊界路由器)是針對(duì)這些計(jì)算量大的線路速率計(jì)算設(shè)計(jì)的�,但如果需要計(jì)算并驗(yàn)證這些各種各樣的屬性,則同一域中的其它路由器(諸如中樞核心路由器)會(huì)經(jīng)歷明顯的延遲���。
【發(fā)明內(nèi)容】
[0005]—個(gè)實(shí)施例提供一種用于在信任域內(nèi)分發(fā)包的系統(tǒng)����。操作中�����,所述系統(tǒng)由信任域中的入口節(jié)點(diǎn)接收消息��。所述系統(tǒng)創(chuàng)建所述消息的屬性向量���,其中,所述屬性向量指示已經(jīng)確定的所述消息的許多個(gè)屬性��。所述系統(tǒng)基于所述屬性向量和由所述信任域中的多個(gè)節(jié)點(diǎn)共享秘密密鑰生成所述消息的第一認(rèn)證器。所述系統(tǒng)將所述消息�、所述屬性向量和所述第一認(rèn)證器發(fā)送到所述信任域中的另一節(jié)點(diǎn),從而不需要中間節(jié)點(diǎn)確定所述屬性向量中指示的屬性�,促進(jìn)在所述信任域內(nèi)消息的安全和有效分發(fā)。
[0006]在一些實(shí)施例中�,所述消息是對(duì)一項(xiàng)內(nèi)容的興趣,并且����,所述屬性向量包括基于所述興趣的名稱和所述興趣的一個(gè)或多個(gè)字段的所述興趣的相似性散列值。
[0007]在一些實(shí)施例中�����,所述消息是內(nèi)容對(duì)象�����,并且�,所述屬性向量包括以下中的一個(gè)或多個(gè):所述內(nèi)容對(duì)象的散列值;與所述內(nèi)容對(duì)象關(guān)聯(lián)的公開(kāi)密鑰的散列值���;以及所述消息的發(fā)送者的數(shù)字簽名是否已經(jīng)被驗(yàn)證的指示�����。
[0008]在一些實(shí)施例中���,所述屬性向量指示以下中的一個(gè)或多個(gè):所述消息的調(diào)度優(yōu)先級(jí)����;與計(jì)費(fèi)有關(guān)的信息�����;與服務(wù)質(zhì)量有關(guān)的信息��;與審計(jì)有關(guān)的信息�;以及路徑切換標(biāo)簽。
[0009]在一些實(shí)施例中���,所述屬性向量包括所述消息的出口策略�����,所述出口策略指定在所述消息離開(kāi)所述信任域時(shí)要執(zhí)行的操作。
[0010]在一些實(shí)施例中�,一旦所述消息離開(kāi)所述信任域,所述系統(tǒng)由所述信任域中的出口節(jié)點(diǎn)去掉與所述消息關(guān)聯(lián)的屬性向量����。
[0011]在一些實(shí)施例中���,所述系統(tǒng)由所述信任域中除了所述入口節(jié)點(diǎn)之外的節(jié)點(diǎn)接收所述消息、所述屬性向量和所述消息的第一認(rèn)證器��。所述系統(tǒng)基于所述共享秘密密鑰和所述屬性向量生成所述消息的第二認(rèn)證器�����。響應(yīng)于確定所述第一認(rèn)證器與所述第二認(rèn)證器相同�,所述系統(tǒng)對(duì)所述消息進(jìn)行認(rèn)證。
[0012]在一些實(shí)施例中��,所述系統(tǒng)執(zhí)行以下中的一個(gè)或多個(gè):修改所述消息的所述屬性向量��;以及創(chuàng)建所述消息的附加屬性向量����。所述系統(tǒng)基于所述共享秘密密鑰和一個(gè)或多個(gè)所述消息的所述修改的屬性向量和所述附加屬性向量,生成第三認(rèn)證器����。所述系統(tǒng)將所述消息、一個(gè)或多個(gè)所述修改的屬性向量和所述附加屬性向量以及所述第三認(rèn)證器轉(zhuǎn)發(fā)到所述信任域中的另一節(jié)點(diǎn)�。
【附圖說(shuō)明】
[0013]圖1根據(jù)本發(fā)明的實(shí)施例圖解說(shuō)明示例性網(wǎng)絡(luò)����,所述示例性網(wǎng)絡(luò)通過(guò)在邊界路由器上使用屬性驗(yàn)證促進(jìn)包在信任域中的分發(fā)���。
[0014]圖2A根據(jù)本發(fā)明的實(shí)施例圖解說(shuō)明信任域內(nèi)的入口節(jié)點(diǎn)�、中間節(jié)點(diǎn)和出口節(jié)點(diǎn)之間的示例性通信���。
[0015]圖2B根據(jù)本發(fā)明的實(shí)施例圖解說(shuō)明信任域內(nèi)的入口節(jié)點(diǎn)�、中間節(jié)點(diǎn)和出口節(jié)點(diǎn)之間的示例性通信��。
[0016]圖3根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)圖解說(shuō)明入口節(jié)點(diǎn)接收�����、驗(yàn)證和發(fā)送信任域內(nèi)的消息的方法的流程圖�����。
[0017]圖4A根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)圖解說(shuō)明中間節(jié)點(diǎn)接收��、認(rèn)證和發(fā)送信任域內(nèi)的消息的方法的流程圖�。
[0018]圖4B根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)圖解說(shuō)明中間節(jié)點(diǎn)修改屬性向量或創(chuàng)建與信任域內(nèi)的消息對(duì)應(yīng)的附加屬性向量的方法的流程圖����。
[0019]圖5根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)圖解說(shuō)明出口節(jié)點(diǎn)對(duì)信任域內(nèi)的消息執(zhí)行出口程序的方法的流程圖����。
[0020]圖6A根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)信任域內(nèi)與興趣或內(nèi)容對(duì)象消息對(duì)應(yīng)的包的示例性格式�。
[0021]圖6B根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)信任域內(nèi)與興趣或內(nèi)容對(duì)象消息對(duì)應(yīng)的包的示例性格式,其中�,認(rèn)證器包括于屬性向量中。
[0022]圖7A根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)與對(duì)一項(xiàng)內(nèi)容中的興趣對(duì)應(yīng)的屬性向量的示例性格式�。
[0023]圖7B根據(jù)本發(fā)明的實(shí)施例呈現(xiàn)與內(nèi)容對(duì)象對(duì)應(yīng)的屬性向量的示例性格式。
[0024]圖8根據(jù)本發(fā)明的實(shí)施例圖解說(shuō)明通過(guò)在邊界路由器上使用屬性驗(yàn)證促進(jìn)包在信任域內(nèi)的分發(fā)的示例性計(jì)算機(jī)和通信系統(tǒng)���。
[0025]在圖中���,相同的附圖標(biāo)記指相同的附圖元件。
【具體實(shí)施方式】
[0026]給出以下描述使得本領(lǐng)域技術(shù)人員能夠制造和使用實(shí)施例�,以下描述是在特定應(yīng)用和其需求的背景下提供的。對(duì)所公開(kāi)實(shí)施例的各種改進(jìn)對(duì)本領(lǐng)域技術(shù)人員是非常顯然的��,在不偏離本申請(qǐng)的精神和范圍下���,本文中定義的一般原理可以應(yīng)用于其它實(shí)施例和應(yīng)用�����。因此����,本發(fā)明不局限于所顯示的實(shí)施例,而是給予與本文中公開(kāi)的原理和特征一致的最寬范圍���。
[0027]本發(fā)明的實(shí)施例提供在信任域內(nèi)有效地分發(fā)包的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境�����,這是通過(guò)預(yù)計(jì)算和驗(yàn)證在進(jìn)入信任域時(shí)的各種屬性��,并在消息內(nèi)包括證據(jù)�����,使得信任域中的中間路由器不需要重復(fù)驗(yàn)證程序���。計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境可以包括內(nèi)容中心網(wǎng)絡(luò)(CCN)和命名數(shù)據(jù)網(wǎng)絡(luò)(NDN)。在CCN和NDN中���,興趣和內(nèi)容對(duì)象是由他們的名稱標(biāo)識(shí)的�����,名稱通常是分層結(jié)構(gòu)的可變長(zhǎng)度標(biāo)識(shí)符(HSVLI)��。通常��,興趣和內(nèi)容對(duì)象行進(jìn)通過(guò)許多個(gè)鏈路之后才能夠到達(dá)其目的地�。將這些鏈路耦連的網(wǎng)絡(luò)裝置在本文中稱作路由器���、裝置����、節(jié)點(diǎn)和節(jié)點(diǎn)處的路由器或裝置��,這些稱呼可以互換使用���。
[0028]—旦接收消息�,在信任域內(nèi)的入口節(jié)點(diǎn)處的邊界路由器執(zhí)行屬性驗(yàn)證��,這可以包括預(yù)計(jì)算和驗(yàn)證各種屬性�,諸如發(fā)送者的數(shù)字簽名的計(jì)算量大的驗(yàn)證。興趣的屬性驗(yàn)證可以包括:基于興趣的名稱和興趣的一個(gè)或多個(gè)字段計(jì)算興趣的相似性散列值�����;以及驗(yàn)證與興趣的狀態(tài)有關(guān)的屬性,包括調(diào)度優(yōu)先級(jí)�、出口策略、計(jì)費(fèi)���、審計(jì)�、服務(wù)質(zhì)量和路徑切換標(biāo)簽����。內(nèi)容對(duì)象的屬性驗(yàn)證可以包括:驗(yàn)證消息的發(fā)送者的數(shù)字簽名;計(jì)算內(nèi)容對(duì)象的散列值����;計(jì)算與內(nèi)容對(duì)象關(guān)聯(lián)的公開(kāi)密鑰的散列值;以及對(duì)于上文描述的興趣消息驗(yàn)證與消息的狀態(tài)有關(guān)的屬性�����。
[0029]邊界路由器則創(chuàng)建消息的屬性向量��,可以是單個(gè)序列化向量����,諸如類型長(zhǎng)度值(TLV)字段的集合�����。屬性向量中的每個(gè)表項(xiàng)代表驗(yàn)證的屬性�。例如����,一個(gè)表項(xiàng)可以包括被請(qǐng)求的內(nèi)容對(duì)象的散列值����。另一示例性表項(xiàng)可以包括具有指示發(fā)送者的數(shù)字簽名是否已經(jīng)被驗(yàn)證的布爾值的簽名字段。如果內(nèi)容對(duì)象在對(duì)象中包括公開(kāi)密鑰���,則邊界路由器可以計(jì)算公開(kāi)密鑰的散列值�����,并確定公開(kāi)密鑰是否與規(guī)定的KeyId字段匹配��。如果不匹配��,則邊界路由器可能丟棄該包�����。如果匹配����,則邊界路由器可以在簽名字段中指示結(jié)果。如果內(nèi)容對(duì)象包括公開(kāi)密鑰證書(shū)���,則邊界路由器可以驗(yàn)證證書(shū)的屬性�,諸如到期和撤銷����。
[0030]邊界路由器然后基于屬性向量使用諸如對(duì)稱密鑰簽名的安全機(jī)制生成認(rèn)證器。認(rèn)證器可以包括邊界路由器的身份�����、所使用的密鑰和重放預(yù)防�����,諸如序列號(hào)����。在一些實(shí)施例中,共享秘密密鑰由受信的中央密鑰分發(fā)機(jī)構(gòu)分發(fā)到許多個(gè)中間節(jié)點(diǎn)�����。在又一些實(shí)施例中,節(jié)點(diǎn)可以使用點(diǎn)對(duì)點(diǎn)秘密密鑰交換協(xié)議以共享秘密密鑰�����。認(rèn)證器認(rèn)證消息的屬性向量�����。在一些實(shí)施例中�����,認(rèn)證器是基于秘密密碼密鑰(例如共享秘密密鑰)的屬性向量的散列�。共享秘密密鑰可以包括于包的標(biāo)題(header)中�,諸如在口令認(rèn)證協(xié)議(PAP)中。在一些實(shí)施例中�,系統(tǒng)可以對(duì)屬性向量和共享秘密密鑰執(zhí)行異或(XOR)操作。系統(tǒng)還可以使用在基于XOR的散列機(jī)制中的共享秘密密鑰(例如移位-相加-異或或者Fo