利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法與系統(tǒng)的制作方法
【專利摘要】提供利用基于公鑰的數(shù)字簽名保護(hù)源路由的實(shí)施例。如果一條保護(hù)源路由被篡改���,基于公鑰的方法允許下游節(jié)點(diǎn)檢測(cè)所述篡改����。所述方法是基于利用數(shù)字簽名保護(hù)所述源路由的完整性���。在為業(yè)務(wù)流創(chuàng)建源路由時(shí)�����,指定網(wǎng)絡(luò)組件計(jì)算數(shù)字簽名并將所述數(shù)字簽名添加至數(shù)據(jù)包�。當(dāng)所述路由上的一個(gè)節(jié)點(diǎn)接收到所述數(shù)據(jù)包����,所述節(jié)點(diǎn)利用所述數(shù)字簽名和公鑰驗(yàn)證所述源路由���,并且相應(yīng)地確定所述源路由是否被篡改。如果檢測(cè)到篡改���,所述接收節(jié)點(diǎn)停止轉(zhuǎn)發(fā)所述數(shù)據(jù)包。
【專利說明】利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法與系統(tǒng)
[0001]本發(fā)明要求2014年2月11日遞交的發(fā)明名稱為“利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法與系統(tǒng)”的第14/177,913號(hào)美國非臨時(shí)申請(qǐng)案的在先申請(qǐng)優(yōu)先權(quán)�,該在先申請(qǐng)的內(nèi)容以引用的方式并入本文。
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及網(wǎng)絡(luò)通信和路由領(lǐng)域�,以及在特定的實(shí)施例中,涉及一種利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法與系統(tǒng)�����。
【背景技術(shù)】
[0003]利用網(wǎng)絡(luò)中的源路由���,數(shù)據(jù)包可以根據(jù)所述數(shù)據(jù)包中指示的源路由從接收節(jié)點(diǎn)路由至下一個(gè)節(jié)點(diǎn)���。典型地,MPLS分段路由等路由協(xié)議采用源路由機(jī)制�,在保持所述數(shù)據(jù)包中源路由完整性方面沒有提供安全保護(hù)。正因如此��,通常所述源路由在數(shù)據(jù)包中都是明文指示,沒有任何保護(hù)�����。因此��,所述數(shù)據(jù)包中的源路由可能被所述路由路徑上的節(jié)點(diǎn)等篡改�����,如修改�、刪除,或者插入等��。所述篡改可以導(dǎo)致此類數(shù)據(jù)包重新路由至非預(yù)期目的地����。此篡改違背了網(wǎng)絡(luò)運(yùn)營商指示源路由的安全策略,并且有損網(wǎng)絡(luò)以及用戶安全�����。因此���,需要有一套有效的安全機(jī)制來保護(hù)源路由的完整性�����。
【發(fā)明內(nèi)容】
[0004]根據(jù)本發(fā)明的一個(gè)實(shí)施例�,一種網(wǎng)絡(luò)組件利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法包括:利用所述網(wǎng)絡(luò)組件的私鑰為網(wǎng)絡(luò)中確定數(shù)據(jù)流路由的源路由生成數(shù)字簽名。所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序����。所述方法還包括:提供一條安全源路由,作為所述數(shù)字簽名和所述源路由的組合;將所述安全源路由添加至所述數(shù)據(jù)流的數(shù)據(jù)包����,并且在所述源路由上發(fā)送所述數(shù)據(jù)包����。
[0005]根據(jù)本發(fā)明的另一個(gè)實(shí)施例,一種利用公鑰保護(hù)源路由的網(wǎng)絡(luò)組件包括至少一個(gè)處理器�����,以及非瞬時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�,用于存儲(chǔ)由所述處理器執(zhí)行的程序。所述程序包括指令以利用公鑰為網(wǎng)絡(luò)中確定數(shù)據(jù)流路由的源路由生成數(shù)字簽名����。所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序����。所述程序還包括指令以提供一條安全源路由��,作為所述數(shù)字簽名和源路由的組合�。所述程序還配置所述網(wǎng)絡(luò)組件,以將所述安全源路由添加至所述數(shù)據(jù)流的數(shù)據(jù)包��,并在所述源路由上發(fā)送所述數(shù)據(jù)包���。
[0006]根據(jù)本發(fā)明的另一個(gè)實(shí)施例�,一種網(wǎng)絡(luò)節(jié)點(diǎn)利用公鑰保護(hù)源路由的方法包括:接收包括源路由以及根據(jù)所述源路由和所述網(wǎng)絡(luò)節(jié)點(diǎn)未知的私鑰生成的數(shù)字簽名的數(shù)據(jù)包��。所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序�。所述方法還包括:利用所述數(shù)字簽名和所述網(wǎng)絡(luò)節(jié)點(diǎn)已知的公鑰驗(yàn)證所述源路由。一旦確定所述源路由不匹配����,發(fā)送通知消息至所述網(wǎng)絡(luò),其中所述通知消息指示所述源路由被篡改����。
[0007]根據(jù)本發(fā)明的再一個(gè)實(shí)施例,一種用于提前終止迭代單一值分解的網(wǎng)絡(luò)節(jié)點(diǎn)包括至少一個(gè)處理器,以及非瞬時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,用于存儲(chǔ)由所述處理器執(zhí)行的程序。所述程序包括指令以接收包括源路由以及根據(jù)所述源路由和所述網(wǎng)絡(luò)節(jié)點(diǎn)未知的私鑰生成的數(shù)字簽名的數(shù)據(jù)包�����。所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序�����。所述程序還包括指令以利用所述數(shù)字簽名和所述網(wǎng)絡(luò)節(jié)點(diǎn)已知的公鑰驗(yàn)證所述源路由�����。所述網(wǎng)絡(luò)節(jié)點(diǎn)還用于:一旦確定所述源路由不匹配����,發(fā)送通知消息至所述網(wǎng)絡(luò)�,其中所述通知消息指示所述源路由被篡改。
[0008]上述寬泛地概括了本發(fā)明實(shí)施例的特征����,以便能夠更好理解以下本發(fā)明詳細(xì)描述。下文將會(huì)介紹本發(fā)明各個(gè)實(shí)施例的額外特征和優(yōu)點(diǎn),其構(gòu)成本發(fā)明權(quán)利要求的主體部分���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解���,所公開的概念和特定實(shí)施例易被用作修改或設(shè)計(jì)其他實(shí)現(xiàn)與本發(fā)明相同的目的的結(jié)構(gòu)或過程的基礎(chǔ)。本領(lǐng)域的技術(shù)人員還應(yīng)當(dāng)意識(shí)到����,這種等同構(gòu)造不脫離所附權(quán)利要求書所闡述的本發(fā)明的精神和范圍。
【附圖說明】
[0009]為了更完整地理解本發(fā)明及其優(yōu)點(diǎn)���,現(xiàn)在參考下文結(jié)合附圖進(jìn)行的描述�����,其中:
[0010]圖1示出篡改源路由以重新路由數(shù)據(jù)包的示例性場(chǎng)景��;
[0011]圖2示出保護(hù)源路由的實(shí)施例��;
[0012]圖3示出保護(hù)源路由的方法的實(shí)施例�;
[0013]圖4是一種可用于實(shí)施各種實(shí)施例的處理系統(tǒng)的示意圖�����。
[0014]除非另有指示,否則不同圖中的對(duì)應(yīng)標(biāo)號(hào)和符號(hào)通常指代對(duì)應(yīng)部分����。繪制各圖是為了清楚地說明實(shí)施例的相關(guān)方面,因此未必是按比例繪制的�����。
【具體實(shí)施方式】
[0015]下文將詳細(xì)論述當(dāng)前優(yōu)選實(shí)施例的制作和使用���。然而�����,應(yīng)了解���,本發(fā)明提供可在各種具體上下文中體現(xiàn)的許多適用的發(fā)明性概念。所論述的具體實(shí)施例僅僅說明用以實(shí)施和使用本發(fā)明的具體方式�����,而不限制本發(fā)明的范圍��。
[0016]此處提供利用基于公鑰的數(shù)字簽名保護(hù)源路由的實(shí)施例�����。如果一條保護(hù)源路由被篡改�����,基于公鑰的方法允許下游節(jié)點(diǎn)檢測(cè)所述篡改�。所述方法是基于利用數(shù)字簽名保護(hù)所述源路由的完整性。在為業(yè)務(wù)流創(chuàng)建源路由時(shí)����,軟件定義網(wǎng)絡(luò)(software definednetworking,SDN)控制器等指定網(wǎng)絡(luò)節(jié)點(diǎn)計(jì)算數(shù)字簽名并將所述數(shù)字簽名添加至數(shù)據(jù)包�。當(dāng)所述路由上的一個(gè)節(jié)點(diǎn)接收到所述數(shù)據(jù)包,所述節(jié)點(diǎn)利用所述數(shù)字簽名和公鑰驗(yàn)證所述源路由��,并且相應(yīng)地確定所述源路由是否被篡改�����。如果檢測(cè)到篡改�����,則所述節(jié)點(diǎn)停止轉(zhuǎn)發(fā)所述數(shù)據(jù)包���。
[0017]圖1示出篡改源路由以重新路由數(shù)據(jù)包的示例場(chǎng)景100�����。在場(chǎng)景100中�,SDN控制器(未圖示)確定沿著節(jié)點(diǎn)的源路由[A,B���,E���,F(xiàn)],給定業(yè)務(wù)流以這樣的順序來滿足網(wǎng)絡(luò)的安全策略��。所述網(wǎng)絡(luò)包括含有A���、B�、C�����、D����、E和F多個(gè)節(jié)點(diǎn)。所述節(jié)點(diǎn)可以是轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)中數(shù)據(jù)包的其他網(wǎng)絡(luò)節(jié)點(diǎn)的路由器�����、交換機(jī)����、網(wǎng)關(guān),或者橋接器�。如果所有節(jié)點(diǎn)都正常運(yùn)作并且根據(jù)源路由轉(zhuǎn)發(fā)數(shù)據(jù)流,則可以執(zhí)行所述安全策略���。然而�����,一旦接收到所述數(shù)據(jù)流�����,任意下游節(jié)點(diǎn)(E�����、D或者F)均不會(huì)檢測(cè)到運(yùn)作不當(dāng)?shù)墓?jié)點(diǎn)B會(huì)改變數(shù)據(jù)包中的源路由至非法路徑[A���,B�,D���,F(xiàn)]��。這種情況下��,B可以通過不轉(zhuǎn)發(fā)數(shù)據(jù)流至E繞開所述安全策略��,其可以為所述數(shù)據(jù)流提供部分安全服務(wù)(如虛擬防火墻)�。
[0018]為了避免這種情形�����,所述SDN控制器用于在確定所述源節(jié)點(diǎn)等情況下為所述源路由生成數(shù)字簽名�����。圖2示出保護(hù)源路由200的實(shí)施例����。所述保護(hù)或者安全源路由200包括所述SDN控制器根據(jù)只有所述SDN控制器知道而所述網(wǎng)絡(luò)節(jié)點(diǎn)未共享的私鑰生成的數(shù)字簽名。所述安全源路由200還包括實(shí)際源路由和可能的流規(guī)則。所述流規(guī)則可以有多種形式�����,包括但不限于指示在每個(gè)節(jié)點(diǎn)預(yù)先配置的流規(guī)則的流標(biāo)識(shí)��,用于識(shí)別流的數(shù)據(jù)包中每段的位置和相應(yīng)長度����,或者其他形式�。所述流規(guī)則用于識(shí)別用于生成所述數(shù)字簽名的數(shù)據(jù)包中的附加值(如目的地址)。例如�����,所述源路由是場(chǎng)景100的合法源路由[A�����,B�����,E���,F(xiàn)]以及流規(guī)則識(shí)別源因特網(wǎng)協(xié)議(Internet Protocol�����,IP)地址(sip)和/或目的IP地址(dip)��。所述數(shù)字簽名可以是根據(jù)所述流規(guī)則的所述源路由和識(shí)別地址的函數(shù)�����,如818([4��,8 3���,�?]��,[81?|也�����?])�����。形成所述安全源路由200的所述源路由、所述流規(guī)則和所述數(shù)字簽名可以包括在數(shù)據(jù)包頭中���。
[0019]當(dāng)所述安全源路由200接收到數(shù)據(jù)包時(shí)�,節(jié)點(diǎn)根據(jù)所述數(shù)字簽名利用所述節(jié)點(diǎn)和所述SDN控制器共享的公鑰驗(yàn)證所述源路由��。例如��,所述公鑰可以在所述SDN控制器的公鑰證書中找到�,其通常預(yù)先配置在每個(gè)節(jié)點(diǎn)�。或者���,所述公鑰可以通過所述SDN控制器或者所述網(wǎng)絡(luò)廣播或者多播至各個(gè)節(jié)點(diǎn)��。所述接收節(jié)點(diǎn)可以利用所述數(shù)據(jù)包中的公鑰和數(shù)字簽名的函數(shù)驗(yàn)證所述源路由���。如果所述函數(shù)的結(jié)果顯示不匹配,所述節(jié)點(diǎn)發(fā)送錯(cuò)誤和/或通知消息至所述SDN控制器以采取進(jìn)一步措施����。所述節(jié)點(diǎn)通知所述SDN控制器所述源路由被所述路由上的前一個(gè)節(jié)點(diǎn)等篡改。例如�,在場(chǎng)景100中,節(jié)點(diǎn)F利用所述公鑰基于函數(shù)檢測(cè)所述接收包中的源路由被篡改。
[0020]由于只有所述SDN控制器知道所述私鑰��,其他節(jié)點(diǎn)不能為已被偽造的源路由創(chuàng)建有效數(shù)字簽名��。這保護(hù)了所述源路由的完整性����。此外,為了減少傳輸數(shù)字簽名的開銷���,所述數(shù)據(jù)包中可以包括所述數(shù)字簽名的哈希值或者所述哈希值的一部分����,而非所述數(shù)字簽名本身����。一旦驗(yàn)證通過,節(jié)點(diǎn)首先如上所述計(jì)算所述數(shù)字簽名����,然后計(jì)算所述數(shù)字簽名的哈希值,再根據(jù)所述數(shù)據(jù)包中的一個(gè)哈希值驗(yàn)證所述計(jì)算出的哈希值���。為了繼續(xù)減少傳輸和驗(yàn)證數(shù)字簽名的開銷�����,一旦安全源路由驗(yàn)證通過����,則可以在所述節(jié)點(diǎn)緩存所述安全源路由,后面的數(shù)據(jù)包只需包括常規(guī)源路由�����,如所述保護(hù)源路由200中只包括實(shí)際源路由的一部分���。所述接收節(jié)點(diǎn)可以利用所述公鑰比較后續(xù)數(shù)據(jù)包中的源路由與緩存的安全源路由或者緩存的數(shù)字簽名���。
[0021 ]圖3示出保護(hù)源路由的方法300的實(shí)施例���。在步驟310中���,利用SDN控制器或者任何可靠的網(wǎng)絡(luò)實(shí)體等將公鑰證書分發(fā)給所述網(wǎng)絡(luò)中多個(gè)節(jié)點(diǎn)。在步驟320中�����,確定在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)流的源路由。在步驟330中��,所述SDN控制器或者可靠實(shí)體為所述源路由生成數(shù)字簽名�,將其作為只有所述控制器或者實(shí)體知道的私鑰,考慮之中的源路由�����,以及可選其他可以利用源/目的地址等流規(guī)則識(shí)別的信息的函數(shù)�。在步驟340中,安全源路由包括在所述源路由上轉(zhuǎn)發(fā)的數(shù)據(jù)包中發(fā)送���,其中所述安全源路由可以是所述源路由��,所述數(shù)字簽名(或者數(shù)字簽名的哈希值�,數(shù)字簽名哈希值的一部分)��,以及可選地用于識(shí)別生成所述數(shù)字簽名的其他信息的流規(guī)則的組合�����。在步驟350中��,所述源路由上的每個(gè)接收節(jié)點(diǎn)利用所述公鑰和所述數(shù)字簽名驗(yàn)證所述數(shù)據(jù)包中包括的源路由�����。在步驟360中,所述接收節(jié)點(diǎn)確定所述源路由是否被篡改���,如所述數(shù)據(jù)包中的源路由與利用所述公鑰處理所述數(shù)字簽名的結(jié)果之間是否存在不匹配�。如果所述源路由被篡改��,所述節(jié)點(diǎn)在步驟370向所述網(wǎng)絡(luò)(或者所述控制器)通知此類篡改���??梢詠G棄所述數(shù)據(jù)包�����,并且終止所述轉(zhuǎn)發(fā)�����。否則��,在步驟380所述節(jié)點(diǎn)繼續(xù)轉(zhuǎn)發(fā)或者正常處理所述數(shù)據(jù)包��。在所述方法200中�,步驟310至340都是由所述控制器或者網(wǎng)絡(luò)實(shí)體執(zhí)行。步驟350至380是由每個(gè)接收節(jié)點(diǎn)或者目的節(jié)點(diǎn)執(zhí)行���。
[0022]圖4為可用于實(shí)施各種實(shí)施例的處理系統(tǒng)400的方框圖��。所述處理系統(tǒng)可以是控制器(或者網(wǎng)絡(luò)實(shí)體)的一部分�����,或者是根據(jù)源路由接收和/或傳輸數(shù)據(jù)包的節(jié)點(diǎn)��。在一個(gè)實(shí)施例中��,所述處理系統(tǒng)400可以是云或者分布式計(jì)算環(huán)境的一部分�����,其中不同組件可以位置分離或者互為通過一個(gè)或者多個(gè)網(wǎng)絡(luò)連接的遠(yuǎn)程組件�。處理系統(tǒng)400可包括處理單元401����,該處理單元401配有一個(gè)或多個(gè)輸入/輸出設(shè)備,例如揚(yáng)聲器��、麥克風(fēng)��、鼠標(biāo)、觸摸屏���、小鍵盤��、鍵盤�、打印機(jī)以及顯示器等等�����。處理單元401可包括中央處理器(central processingunit��,CPU)410�����、存儲(chǔ)器420�、大容量存儲(chǔ)器設(shè)備430、視頻適配器440�,以及連接到總線的輸入/輸出(Input/Output,I/O)接口 490��。所述總線可以為任何類型的若干總線架構(gòu)中的一種或多種����,包括存儲(chǔ)總線或者存儲(chǔ)控制器、外設(shè)總線�����、視頻總線等等�����。
[0023]所述CPU 410可包括任何類型的電子數(shù)據(jù)處理器�����。存儲(chǔ)器420可包括任意類型的系統(tǒng)存儲(chǔ)器�����,例如靜態(tài)隨機(jī)存取存儲(chǔ)器(static random access memory�,SRAM)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(dynamic random access memory����,DRAM)、同步DRAM( synchronous dynamicrandom access memory���,SDRAM)���、只讀存儲(chǔ)器(read-only memory�,ROM)或其組合等等����。在一個(gè)實(shí)施例中,存儲(chǔ)器420可包括在開機(jī)時(shí)使用的ROM以及在執(zhí)行程序時(shí)使用的存儲(chǔ)程序和數(shù)據(jù)的DRAM����。大容量存儲(chǔ)器設(shè)備430可包括任意類型的存儲(chǔ)設(shè)備,其用于存儲(chǔ)數(shù)據(jù)�、程序和其它信息,并使這些數(shù)據(jù)�、程序和其它信息通過總線訪問。大容量存儲(chǔ)器設(shè)備430可包括如下項(xiàng)中的一種或多種:固態(tài)磁盤���、硬盤驅(qū)動(dòng)器��、磁盤驅(qū)動(dòng)器�����、光盤驅(qū)動(dòng)器等等���。
[0024]視頻適配器440以及1/0接口 490提供接口以將外部輸入以及輸出裝置耦合到處理單元上��。如圖所示,輸入輸出設(shè)備的示例包括耦合至視頻適配器440的顯示器460和耦合至1/0接口 470的鼠標(biāo)/鍵盤/打印機(jī)490的任意組合���。其它設(shè)備可以耦合至處理單元401����,可以利用附加的或更少的接口卡��。舉例來說�,串行接口卡(未圖示)可以用于為打印機(jī)提供串行接口。
[0025]處理單元401還包括一個(gè)或多個(gè)網(wǎng)絡(luò)接口 450����,網(wǎng)絡(luò)接口450可包括以太網(wǎng)電纜等有線鏈路,和/或到接入節(jié)點(diǎn)或者一個(gè)或多個(gè)網(wǎng)絡(luò)480的無線鏈路�����。網(wǎng)絡(luò)接口 450允許處理單元401通過網(wǎng)絡(luò)480與遠(yuǎn)程單元通信���。例如�,網(wǎng)絡(luò)接口450可以通過一個(gè)或多個(gè)發(fā)射器/發(fā)射天線以及一個(gè)或多個(gè)接收器/接收天線提供無線通信。在一個(gè)實(shí)施例中���,處理單元401耦合到局域網(wǎng)或廣域網(wǎng)上以用于數(shù)據(jù)處理以及與遠(yuǎn)程裝置通信���,所述遠(yuǎn)程裝置例如其它處理單元、因特網(wǎng)��、遠(yuǎn)程存儲(chǔ)設(shè)施或其類似者�����。
[0026]雖然本發(fā)明中已提供若干實(shí)施例���,但應(yīng)理解��,在不脫離本發(fā)明的精神或范圍的情況下�,本發(fā)明所公開的系統(tǒng)和方法可以以許多其他特定形式來體現(xiàn)����。本發(fā)明的實(shí)例應(yīng)被視為說明性而非限制性的,且本發(fā)明并不限于本文本所給出的細(xì)節(jié)��。例如����,各種元件或組件可以在另一系統(tǒng)中組合或合并����,或者某些特征可以省略或不實(shí)施����。
[0027]此外�,在不脫離本發(fā)明的范圍的情況下,各種實(shí)施例中描述和說明為離散或單獨(dú)的技術(shù)�、系統(tǒng)、子系統(tǒng)和方法可以與其它系統(tǒng)���、模塊�����、技術(shù)或方法進(jìn)行組合或合并���。展示或論述為彼此耦合或直接耦合或通信的其它項(xiàng)也可以采用電方式、機(jī)械方式或其它方式通過某一接口����、設(shè)備或中間組件間接地耦合或通信��。其他變化��、替代和改變的示例可以由本領(lǐng)域的技術(shù)人員在不脫離本文精神和所公開的范圍的情況下確定�。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)組件利用基于公鑰的數(shù)字簽名保護(hù)源路由的方法�����,其特征在于�����,所述方法包括: 利用所述網(wǎng)絡(luò)組件的私鑰為網(wǎng)絡(luò)中確定數(shù)據(jù)流路由的源路由生成數(shù)字簽名���,其中所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序��; 提供一條安全源路由����,作為所述數(shù)字簽名和源路由的結(jié)合����; 將所述安全源路由添加至所述數(shù)據(jù)流的數(shù)據(jù)包; 在所述源路由上發(fā)送所述數(shù)據(jù)包����。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于�,還包括:分發(fā)公鑰至所述節(jié)點(diǎn)以驗(yàn)證所述源路由。3.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述分發(fā)公鑰包括:在所述節(jié)點(diǎn)預(yù)先配置所述公鑰的證書�����。4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述提供安全源路由包括:將流規(guī)則與數(shù)字簽名和源路由一起添加至所述數(shù)據(jù)包����。5.根據(jù)權(quán)利要求4所述的方法,其特征在于����,所述數(shù)字簽名是源路由與所述流規(guī)則識(shí)別的流信息的函數(shù)�,其中所述流信息包括源地址和目的地址中的至少一個(gè)�����。6.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述節(jié)點(diǎn)不共享所述網(wǎng)絡(luò)組件的私鑰�����。7.一種利用公鑰保護(hù)源路由的網(wǎng)絡(luò)組件��,其特征在于�,所述網(wǎng)絡(luò)組件包括: 至少一個(gè)處理器; 非瞬時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�����,用于存儲(chǔ)由所述處理器執(zhí)行的程序���,所述程序包括指令以: 利用公鑰為網(wǎng)絡(luò)中確定數(shù)據(jù)流路由的源路由生成數(shù)字簽名�����,其中所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序����; 提供一條安全源路由,作為所述數(shù)字簽名和所述源路由的結(jié)合�; 將所述安全源路由添加至所述數(shù)據(jù)流的數(shù)據(jù)包; 在所述源路由上發(fā)送所述數(shù)據(jù)包��。8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)組件�,其特征在于,所述程序還包括分發(fā)公鑰至所述節(jié)點(diǎn)以驗(yàn)證所述源路由的指令�。9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)組件,其特征在于��,所述提供安全源路由的指令還包括指令以將流規(guī)則與所述數(shù)字簽名和源路由一起包括在所述數(shù)據(jù)包中��,其中所述數(shù)字簽名是所述源路由與所述流規(guī)則識(shí)別的流信息的函數(shù)�����。10.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)組件�����,其特征在于�����,所述網(wǎng)絡(luò)組件是一個(gè)軟件定義網(wǎng)絡(luò)(software defined networking����,SDN)控制器。11.一種網(wǎng)絡(luò)節(jié)點(diǎn)利用公鑰保護(hù)源路由的方法�,其特征在于,所述方法包括: 接收包括源路由和數(shù)字簽名的數(shù)據(jù)包����,其中所述數(shù)字簽名是根據(jù)所述源路由和所述網(wǎng)絡(luò)節(jié)點(diǎn)未知的私鑰生成,所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序��; 利用所述數(shù)字簽名和所述網(wǎng)絡(luò)節(jié)點(diǎn)已知的公鑰驗(yàn)證所述源路由���; 一旦確定所述源路由不匹配��,發(fā)送通知消息至所述網(wǎng)絡(luò)�����,其中所述通知消息指示所述源路由被篡改����。12.根據(jù)權(quán)利要求11所述的方法,其特征在于��,所述數(shù)據(jù)包還包括包含流信息的流規(guī)貝1J����,其中所述流信息指示源地址和目的地址中的至少一個(gè),所述數(shù)字簽名是所述源路由與所述流信息的函數(shù)�����。13.根據(jù)權(quán)利要求11所述的方法�,其特征在于,所述利用所述數(shù)字簽名和所述公鑰驗(yàn)證所述源路由包括: 獲得本地源路由用作所述數(shù)字簽名與所述公鑰的函數(shù)��; 比較所述本地源路由和所述數(shù)據(jù)包中的源路由�。14.根據(jù)權(quán)利要求11所述的方法,其特征在于��,還包括:從所述網(wǎng)絡(luò)接收所述公鑰的證書����。15.根據(jù)權(quán)利要求11所述的方法��,其特征在于,還包括: 在所述網(wǎng)絡(luò)節(jié)點(diǎn)緩存所述源路由或者數(shù)字簽名��; 利用所述緩存的源路由或者利用所述緩存的數(shù)字簽名和公鑰驗(yàn)證繼所述數(shù)據(jù)包之后的第二接收數(shù)據(jù)包中的第二源路由�。16.根據(jù)權(quán)利要求15所述的方法,其特征在于�,所述第二數(shù)據(jù)包不包括所述數(shù)字簽名。17.—種用于提前終止迭代單一值分解的網(wǎng)絡(luò)節(jié)點(diǎn)����,其特征在于,所述網(wǎng)絡(luò)節(jié)點(diǎn)包括: 至少一個(gè)處理器�; 非瞬時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),用于存儲(chǔ)由所述處理器執(zhí)行的程序����,所述程序包括指令以: 接收包括源路由和數(shù)字簽名的數(shù)據(jù)包,其中所述數(shù)字簽名是根據(jù)所述源路由和所述網(wǎng)絡(luò)節(jié)點(diǎn)未知的私鑰生成��,所述源路由指示所述網(wǎng)絡(luò)中節(jié)點(diǎn)的順序�����; 利用所述數(shù)字簽名和所述網(wǎng)絡(luò)節(jié)點(diǎn)已知的公鑰驗(yàn)證所述源路由�����; 一旦確定所述源路由不匹配,發(fā)送通知消息至所述網(wǎng)絡(luò)�,其中所述通知消息指示所述源路由被篡改。18.根據(jù)權(quán)利要求17所述的網(wǎng)絡(luò)節(jié)點(diǎn)����,其特征在于,所述數(shù)據(jù)包還包括包含流信息的流規(guī)則���,其中所述流信息指示源地址和目的地址中的至少一個(gè)�����,所述數(shù)字簽名是所述源路由與所述流信息的函數(shù)����。19.根據(jù)權(quán)利要求17所述的網(wǎng)絡(luò)節(jié)點(diǎn)����,其特征在于,所述數(shù)據(jù)包還包括包含流信息的流規(guī)則��,其中所述流信息指示源地址和目的地址中的至少一個(gè)�,所述數(shù)字簽名是所述源路由與所述流信息的函數(shù)。20.根據(jù)權(quán)利要求17所述的網(wǎng)絡(luò)節(jié)點(diǎn)����,其特征在于,所述程序包括其他指令����,用于: 在所述網(wǎng)絡(luò)節(jié)點(diǎn)緩存所述源路由或者數(shù)字簽名; 利用所述緩存的源路由或者利用所述緩存的數(shù)字簽名和公鑰驗(yàn)證繼所述數(shù)據(jù)包之后的第二接收數(shù)據(jù)包中的第二源路由����。
【文檔編號(hào)】H04L12/721GK105960781SQ201580006837
【公開日】2016年9月21日
【申請(qǐng)日】2015年2月9日
【發(fā)明人】萬濤, 彼得·艾斯伍德-史密斯, 梅迪·阿拉什米德·阿卡哈瓦因·穆罕默迪, 尹國理, 吳雅鵬
【申請(qǐng)人】華為技術(shù)有限公司