通过网络向用户设备的数据分发制造技术

技术编号:15530795 阅读:9 留言:0更新日期:2017-06-04 17:46
数据设备经由加密方案通过边缘路由器控制向用户设备的数据分发。该数据设备使用第一密钥和公钥对数据进行加密,向边缘路由器发送数据。该边缘路由器用第二密钥对已加密数据进行加密并向用户设备发送再加密的数据。数据设备然后对用户设备进行认证,并且向用户设备发出从与公钥相对应的私钥、第一密钥和第二密钥导出的解密密钥。用户设备使用解密密钥对数据进行解密和访问。

Data distribution over a network to a user device

The data device controls data distribution to the user device via an edge router via the encryption scheme. The data device encrypts the data using the first key and the public key and transmits data to the edge router. The edge router encrypts the encrypted data with the second key and transmits the encrypted data to the user device. The data device then authenticates the user device and issues to the user device a decryption key derived from the private key, the first key and the second key corresponding to the public key. The user device decrypts and accesses the data using the decryption key.

【技术实现步骤摘要】
【国外来华专利技术】通过网络向用户设备的数据分发相关申请的交叉引用本申请要求于2015年10月12日提交、申请号为14/881,003、专利技术名称为“通过网络向用户设备的数据分发”的美国非临时申请的优先权,其反过来要求于2014年10月13日提交、申请号为62/063,304、专利技术名称为“在信息中心网络中的安全且可伸缩的数据访问控制系统”的美国临时申请的优先权,两个专利申请公开的全部内容据此通过引用并入本申请。
技术介绍
发布者经路由器向订阅者提供数据。例如,在信息中心网络(ICN)中,发布者提供数据,该数据由路由器缓存,然后订阅者能够通过附近的路由器(例如,边缘路由器)有效地访问数据。虽然ICN具有许多优良特性,如内置安全性和网络内缓存,但是也带来了挑战,如果没有圆满地解决,可能妨碍其采用。数据访问控制是其中的挑战之一。针对不同于ICN的环境,如内容分发网络(CDNs),已经提出了各种数据访问控制机制。数据访问控制机制取决于可以假定为在CDN环境中对数据分发实体(例如,路由器)的信任程度。CDN模型假定发布者能够完全信任数据分发实体并且负责给授权的用户分发数据。不幸地,这种模型不能被应用到ICNs,因为ICN路由器不能被完全地信任,因此不能被授权访问控制执行。
技术实现思路
通常,根据本公开的实施例将数据分发分为两个阶段:在数据设备和路由器之间实施的第一阶段;以及在路由器和客户(用户设备)之间实施的第二阶段。在第一阶段中,使用相同的密钥集对数据进行加密,以使数据能够被共享。在第二阶段中,已加密数据借助特定于各个用户或用户设备的密钥进行再加密。这种方法在本文可以称为双阶段加密。在一个实施例中,数据设备使用第一密钥和公钥对数据进行加密并向边缘路由器发送数据。该边缘路由器用第二密钥对已加密数据进行加密并向客户的设备发送再加密的数据。该数据设备然后对客户的设备进行认证,生成从私钥、第一和第二密钥导出的解密密钥,以及向客户的设备发送解密密钥。更具体地,在一个实施例中,边缘路由器接收第一密文(例如,来自数据设备)。第一密文包括使用第一密钥和公钥加密的数据。边缘路由器为用户设备生成第二密钥;在一个实施例中,第二密钥由边缘路由器随机并均匀地生成,独立于发布者和数据设备。边缘路由器用第二密钥对第一密文进行加密(第一密文被再次加密)。边缘路由器还对第二密钥进行加密。边缘路由器向用户设备(客户的设备)发送第二密文(再加密的第一密文),向用户设备或数据设备发送第三密文(加密的第二密钥)。一旦客户的设备经过认证(例如,由数据设备),客户设备就接收解密密钥(例如,来自数据设备),该客户设备能够使用解密密钥来对第二密文进行解密以及访问数据。解密密钥基于与公钥相关的私钥、第一密钥和第二密钥。采用双阶段加密,边缘路由器为用户设备生成第二密钥,并且数据设备对用户设备进行认证。如果第二密钥是被均匀随机地选择,则解密密钥不能被用于导出私钥或第一密钥。因此,即使客户的解密密钥被泄露,该解密密钥也不能被用来解密由该路由器存储的其它数据。附图说明图1是根据本公开的实施例的实现的系统的一个示例。图2示出了根据本公开的一个实施例中的过程的流程图。图3示出了根据本公开的另一实施例中的过程的流程图。图4是根据本专利技术的可以用于实现实施例的计算设备的框图。具体实施方式图1是系统100,在该系统100上可以实现根据本公开的实施例。在一个实施例中,系统100是信息中心网络(ICN)架构的一个示例。在图1的示例中,系统100包括数据设备(例如,发布者设备或数据发布者)110,用户设备(例如,订阅者设备)121、122和123,路由器131、132、133、134、135、141和142。该路由器包括边缘路由器141和142。本质上,边缘路由器是位于系统100的边缘的路由器。用户设备121-123本文还被称为客户设备。系统100的元件可以与不同的企业和人类用户相关联。例如,数据设备110可以关联拥有和控制内容的企业(例如,拥有电影的电影工作室)和/或仅仅控制该内容的企业(例如,下载电影的服务提供者)。例如,用户设备可以关联人类客户(个人订阅者)和/或另一企业(例如,下载视频的服务提供者可以是电影工作室的客户)。数据设备(例如,发布者设备或数据发布者)是数据源,并且向路由器提供数据。数据设备110对数据m进行加密并且向路由器分发已加密数据。路由器负责将数据从一跳传输到下一跳(例如,从路由器131到路由器132,等等)。路由器能够在本地缓存中缓存已传送的数据。当接收到对内容实例的请求时,如果所请求的数据在本地缓存,那么路由器能够提取并且以缓存的副本进行响应。边缘路由器(例如,边缘路由器141)具有路由器的功能。除此之外,边缘路由器允许数据发布者部署由数据发布者控制的某些特定服务。客户使用用户设备(例如,用户设备121),该客户想要访问和使用由数据发布者控制的数据。如上所述,与路由器131-135相比,边缘路由器141和142允许发布者部署某些服务,这些服务反过来能够处理对发布者的数据的用户的请求。数据设备110加密其数据并且通过路由器发布已加密数据。路由器131-135以及边缘路由器141和142不仅将已加密数据转发到合适的目的地(例如,用户设备121-123),而且根据它们的缓存替换策略对其进行缓存以支持网络内缓存。在一个实施例中,虽然路由器131-135和边缘路由器141和142被假定为如实地执行其预定义的协议,但是它们试图获悉尽可能多的私人信息。还假定边缘路由器将不易于与客户串通。即,边缘路由器141和142将不会与用户设备121-123共享它们拥有的信息。还假定客户可能是恶意的并且能彼此串通。发布者被假定为是可信的。还假定存在认证机制,例如,公钥基础设施(PKI),以使发布者能够正确对其客户进行认证。因此,在一个实施例中,一些假定如下:1)数据发布者是可信的。2)授权的数据用户是可信的。未经授权的数据用户是恶意的,并且将通过各种方式尝试获悉关于已加密数据的信息,例如,通过窃取授权的数据用户的解密密钥。3)路由器和边缘路由器可靠但有求知。即,例如,它们将如实地遵循预定义的协议,但是试图获悉更多关于已加密数据的信息。4)边缘路由器和恶意的数据用户不能彼此串通。由数据设备110发布的数据很大,意味着将公钥加密直接应用到数据上是不可行的;例如,基于属性的加密,代理重加密以及广播加密是不可行的。即,从计算的开销的观点来看,使用公钥加密对数据进行加密费用太昂贵。根据本公开的实施例能使数据设备:(i)通过路由器缓存有效地将加密数据分发给客户,(ii)通过分发解密密钥在其加密数据上执行访问控制,以及(iii)即使在授权的客户的解密密钥被泄露时,保护由路由器缓存的加密数据。根据本公开的实施例使用如上描述的双阶段加密达到这些效果,进一步描述如下。存在选择明文的安全对称加密SE,例如,用密文块链接(CBC)模式的高级加密标准(AES),使得SE=(KeyGen,Enc,Dec),其中KeyGen是生成对称密钥的概率性进程,Enc是用对称密钥对数据进行加密的概率性进程,以及Dec是用对称密钥对密文进行解密的进程。改进的计算性迪菲-赫尔曼(mCDH)假设描述如下。让q为l位质数,G为q阶循环群,以及g为本文档来自技高网...
通过网络向用户设备的数据分发

【技术保护点】
一种路由器,连接到用于向用户设备分发数据的数据设备,其特征在于,包括:处理器;以及存储器,所述存储器耦合到所述处理器并存储由所述处理器执行的程序;所述处理器被配置为执行所述程序以实现操作:接收来自所述数据设备的第一密文,所述第一密文包括使用第一密钥和所述数据设备的公钥加密的数据;为所述用户设备生成第二密钥;使用所述第二密钥对所述第一密文进行加密以生成第二密文;使用所述数据设备的所述公钥对所述第二密钥进行加密以生成第三密文;向所述用户设备发送所述第二密文;以及向所述用户设备或所述数据设备发送所述第三密文。

【技术特征摘要】
【国外来华专利技术】2014.10.13 US 62/063,304;2015.10.12 US 14/881,0031.一种路由器,连接到用于向用户设备分发数据的数据设备,其特征在于,包括:处理器;以及存储器,所述存储器耦合到所述处理器并存储由所述处理器执行的程序;所述处理器被配置为执行所述程序以实现操作:接收来自所述数据设备的第一密文,所述第一密文包括使用第一密钥和所述数据设备的公钥加密的数据;为所述用户设备生成第二密钥;使用所述第二密钥对所述第一密文进行加密以生成第二密文;使用所述数据设备的所述公钥对所述第二密钥进行加密以生成第三密文;向所述用户设备发送所述第二密文;以及向所述用户设备或所述数据设备发送所述第三密文。2.根据权利要求1所述的路由器,其特征在于,当所述处理器向所述用户设备发送所述第三密文时,其中所述处理器被进一步配置为执行所述程序以实现操作:接收来自所述用户设备的解密密钥请求,其中所述解密密钥请求包括所述第三密文和所述用户设备的信息;以及向所述数据设备发送所述解密密钥请求。3.根据权利要求1所述的路由器,其特征在于,其中所述存储器被进一步配置为存储所述第二密钥与所述第一用户设备的信息之间的关系,所述处理器被配置为向所述数据设备发送所述第三密文和所述第一用户设备的所述信息。4.根据权利要求1所述的路由器,其特征在于,其中所述处理器被进一步配置为执行所述程序以实现操作:生成与所述第三密文相关联的电子签名;以及向所述数据设备发送所述电子签名,其中所述电子签名被用于所述数据设备对所述路由器进行授权。5.根据权利要求4所述的路由器,其特征在于,在所述处理器向所述数据设备发送所述电子签名之前,其中所述处理器被进一步配置为执行所述程序以实现操作:向所述用户设备发送所述电子签名;以及接收来自所述用户设备的解密密钥请求,其中所述解密密钥请求包括所述电子签名,所述第三密文以及所述用户设备的所述信息。6.一种数据设备,通过与用户设备连接的路由器向所述用户设备分发数据,其特征在于,包括:处理器;以及存储器,所述存储器耦合到所述处理器并存储由所述处理器执行的程序;所述处理器被配置为执行所述程序以实现操作:为数据生成第一密钥;使用所述第一密钥和所述数据设备的公钥对所述数据进行加密以生成第一密文;向所述路由器发送所述第一密文;接收第三密文,其中所述第三密文包括使用所述数据设备的所述公钥加密的第二密钥,所述第二密钥用于对所述第一密文进行加密以获得第二密文;生成响应于接收所述第三密文的解密密钥,其中所述解密密钥包括所述第一密钥,所述第二密钥和与所述公钥相对应的私钥的组合;以及向所述用户设备发送所述解密密钥。7.根据权利要求6所述的数据设备,其特征在于,其中所述第三密文是从所述用户设备接收的。8.根据权利要求6所述的数据设备,其特征在于,其中所述第三密文是从所述路由器接收的。9.根据权利要求6所述的数据设备,其特征在于,其中所述存储器被进一步配置为存储所述第一密钥与所述数据的信息之间的关系,所述处理器被进一步配置为执行所述程序以实现操作:接收所述数据的所述信息;以及根据所述关系和所述数据的所述信息获得所述第一密钥以生成所述解密密钥。10.根据权利要求6所述的数据设备,其特征在于,其中所述处理器被进一步配置为执行所述程序以实现操作:接收与所述第三密文相关的电子签名;以及通过使用所述电子签名确定所述第三密文是由所述路由器生成的。11.根据权利要求6所述的数据设备,其特征在于,在所述处理器生成所述解密密钥之前,其中所述处理器被进一步配置为执行所述程序以实现操作:根据所述用户设备的信息确定所述用户设备是否被授权访问所述数据。12.一种由连接到数据设备的路由器分发数据到用户设备的方法,其特征在于,包括:接收来自所述数据设备的第一密文,所述第一密文包括使用第一密钥和所述数据设备的公钥加密的数据;为所述用户设备生成第二密钥;使用所述第二密钥对所述第一密文进行加密以生成第二密文;...

【专利技术属性】
技术研发人员:郑清吉王国强瑞维享卡·瑞维达冉
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1