信息中心网络内容请求用户的身份认证方法技术

本发明专利技术涉及一种信息中心网络中内容请求用户的身份认证方法，该方法中通过修改兴趣包结构实现了基于身份的内容请求用户认证。该方法对原始兴趣包进行扩展，在原有的兴趣包中加入了加密后的用户身份信息以及用户对兴趣包的签名信息。使用基于身份的加密方案(Identity Based Cryptography,IBC)，包括基于身份的加密(Identity Based Encryption,IBE)和基于身份的签名(Identity Based Signature,IBS)实现了接入网关对内容请求用户的认证。本发明专利技术既能实现接入网关对内容请求用户的身份认证，又能避免用户身份等敏感信息泄露，发展和完善了信息中心网络的安全架构。该发明专利技术可以从根源上解决网络中安全问题：兴趣洪泛攻击。

Identity Authentication Method for Network Content Request Users in Information Center

The invention relates to an identity authentication method for content requesting users in an information center network, in which identity-based content requesting user authentication is realized by modifying the structure of interest packages. This method extends the original interest packages, and adds the encrypted user identity information and the user's signature information to the original interest packages. Identity Based Cryptography (IBC), including Identity Based Encryption (IBE) and Identity Based Signature (IBS), is used to implement the authentication of content requesting users by access gateway. The invention can not only realize the identity authentication of the content requesting user by the access gateway, but also avoid the leakage of sensitive information such as user identity, and develop and improve the security architecture of the information center network. The invention can solve the root cause of network security problems: interest flooding attacks.

【技术实现步骤摘要】
信息中心网络内容请求用户的身份认证方法
本专利技术属于信息中心网络安全领域，涉及信息中心网络中内容请求用户的身份认证方法。
技术介绍
最初的互联网是为主机之间通信而设计，但后来以其协议强大的兼容性，承载起无穷的应用并取得史无前例的成功。不过，随着大规模的内容共享和物联网应用日益普及，基于主机地址的路由和面向连接的安全机制的不足日益凸显，协议越来越复杂。为此，人们提出了信息中心网络(InformationCentricNetworks，ICN)的全新设计方案。在ICN网络的设计中，网络中传输的有两种包：兴趣(Interest)包和数据(Data)包。路由器包括三种数据结构：内容仓库(ContentStore,CS)、待定兴趣表(PendingInterestTable,PIT)和转发兴趣库(ForwardingInterestBase,FIB)。其中CS缓存流经的数据包，提供给后续的兴趣请求；FIB存储兴趣包的转发策略，包含名字前缀、输出接口等字段。路由器收到兴趣包后首先检查本地CS是否存在与兴趣包名字匹配的数据；若存在，则将匹配到的数据包沿兴趣包到达的路径，原路返回给请求节点；若不存在，路由器查询PIT中是否包含该兴趣包名字的条目。若PIT中存在匹配的条目，则在该条目中追加该兴趣包的来源接口；若不存在，则根据名字最长前缀匹配原则查询FIB，将该兴趣包沿查询得到的输出接口转发至下一跳路由器。它具有基于内容的寻址、有状态的转发、网内缓存等特点而引起学术界和产业界的广泛关注。不过，ICN目前的架构设计在安全方面存在较大的挑战。目前的安全架构设计保证了数据内容的机密性和请求用户对内容发布者的身份确认，但缺乏网络和发布者对请求者身份的认证，这样存在很大的安全隐患。比如，没有经过认证的用户、恶意的消费者可能会故意发送大量的兴趣包到网络中请求不存在的内容，这些恶意请求被缓存在中间路由器的PIT中直至超时才被清除，从而使PIT表资源耗尽，正常的请求无法创建PIT条目而被丢弃，从而导致兴趣洪泛攻击(InterestFloodingAttack,IFA)，即ICN网络中的一种典型的分布式拒绝服务(DistributedDenialofService,DDoS)攻击。为此，学者们提出了许多IFA的检测与缓解方案，但大多属于被动防御措施，无法从根源上遏制IFA的产生。IBC(IdentityBasedCryptography,IBC)技术最早由AdiShamir在1984年提出，它利用可读的用户身份标识作为公钥进行数字签名或内容加密而无需公钥的交换。相比于传统的PKI(PublicKeyInfrastructure,PKI)加密体制，IBC具有明显的特色和优势：IBC私钥由私钥生成器(PrivateKeyGenerator,PKG)按需生成，不需要目录服务来维护公钥私钥对；不再依赖于证书认证中心(CertificationAuthority,CA)发放的数字证书，避免了公钥基础设施部署复杂、负担繁重、代价高昂的问题。本专利技术主要用到基于身份的加密IBE(IdentityBasedEncryption)和基于身份的签名IBS(IdentityBasedSignature)两项技术。在IBE方案中，发送方使用接收方的ID对消息加密，接收方用自己的IBE私钥来解密。在IBS方案中，发送方用自己的私钥生成签名，接收方用发送方的ID进行签名验证。
技术实现思路
为了从根源上增强ICN网络的安全架构，本专利技术提出了一种内容请求用户的身份认证方法，既能实现用户的身份认证，又能避免用户身份等敏感信息泄露。为达到上述目的，本专利技术提供如下技术方案：一种信息中心网络中内容请求用户的身份认证方法，包括扩展兴趣包的结构，在原有的兴趣包结构中增加两个字段：加密身份和请求用户签名，分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息；内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息；还包括以下步骤：S1：内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识；S2：内容请求用户用自己的IBE私钥，其中IBE私钥是用户从PKG中申请获取的，对兴趣包进行签名；S3：当接入网关接收到请求时，接入网关首先使用网络的IBE私钥即K，其中K是网络从PKG中申请获取的，用IBE解密算法获取的用户真实身份；S4：使用解密得到的用户真实身份标识验证用户的签名，验证兴趣包是否安全。进一步，步骤S1中，使用以下公式加密身份标识：d′＝IBE.encrypt(d,D)其中d为用户真实的身份标识，D为网络的身份标识，d′为加密之后的身份标识，IBE.encrypt(·)是IBE加密算法。进一步，步骤S2中，使用以下公式对兴趣包进行签名：σ＝IBS.sign(I,K)其中I为兴趣包，K为用户的IBE私钥，σ为签名信息，IBS.sign(·)是IBS签名算法。进一步，步骤S3中，用IBE解密算法得获取用户真实身份，采用以下公式：d＝IBE.decrypt(d′,K)其中d′是加密之后的用户身份标识，K是网络的IBE私钥，d为IBE解密之后的用户真实身份标识，IBE.decrypt(·)是IBE解密算法。进一步，步骤S4中，使用以下公式验证兴趣包是否安全：v＝IBS.verify(I,σ,d)其中v是验证后的结果，σ为签名信息，I是原始的兴趣包，d是网络通过步骤S3解密后获取的用户真实的身份标识，IBS.verify(·)是签名验证算法。只有通过身份验证的兴趣包才能被进一步转发，对于验证失败的兴趣包将会被丢弃。本专利技术的有益效果在于：该方法可以成功地认证用户，又能避免用户身份等敏感信息泄露。附图说明为了使本专利技术的目的、技术方案和有益效果更加清楚，本专利技术提供如下附图进行说明：附图1为本专利技术中提出的修改的兴趣包结构；附图2为本专利技术中内容请求用户认证原理图；附图3为本专利技术中内容请求用户认证流程图。具体实施方式下面将结合附图，对本专利技术的优选实施例进行详细的描述。参照图1，一种信息中心网络中内容请求用户的身份认证方法，扩展的兴趣包结构，在原有的兴趣包结构中增加两个字段：加密身份和请求用户签名，分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息。内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息。如图2、图3所示，本方法还包括以下具体的具体的实施步骤如下：步骤S1：内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识。d′＝IBE.encrypt(d,D)，其中d为用户真实的身份标识，D为网络的身份标识，d′为加密之后的身份标识，IBE.encrypt(·)是IBE加密算法。步骤S2：内容请求用户用自己的IBE私钥，其中IBE私钥是用户从PKG中申请获取的，对兴趣包进行签名。σ＝IBS.sign(I,k)，其中I为兴趣包，k为用户的IBE私钥，σ为签名信息，IBS.sign(·)是IBS签名算法。步骤S3：当接入网关接收到请求时，它首先使用网络的IBE私钥即K，其中K是网络从PKG中申请获取的，用IBE解密算法得获取用户真实身份。d＝IBE.decrypt(d′,K)，其中d′是加密之后的用户身份标识，K本文档来自技高网...

【技术保护点】
1.一种信息中心网络中内容请求用户的身份认证方法，其特征在于：包括扩展兴趣包的结构，在原有的兴趣包结构中增加两个字段：加密身份和请求用户签名，分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息；内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息；还包括以下步骤：S1：内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识；S2：内容请求用户用自己的IBE私钥，其中IBE私钥是用户从PKG中申请获取的，对兴趣包进行签名；S3：当接入网关接收到请求时，接入网关首先使用网络的IBE私钥即K，其中K是网络从PKG中申请获取的，用IBE解密算法获取的用户真实身份；S4：使用解密得到的用户真实身份标识验证用户的签名，验证兴趣包是否安全。

【技术特征摘要】
1.一种信息中心网络中内容请求用户的身份认证方法，其特征在于：包括扩展兴趣包的结构，在原有的兴趣包结构中增加两个字段：加密身份和请求用户签名，分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息；内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息；还包括以下步骤：S1：内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识；S2：内容请求用户用自己的IBE私钥，其中IBE私钥是用户从PKG中申请获取的，对兴趣包进行签名；S3：当接入网关接收到请求时，接入网关首先使用网络的IBE私钥即K，其中K是网络从PKG中申请获取的，用IBE解密算法获取的用户真实身份；S4：使用解密得到的用户真实身份标识验证用户的签名，验证兴趣包是否安全。2.根据权利要求1所述的信息中心网络中内容请求用户的身份认证方法，其特征在于：步骤S1中，使用以下公式加密身份标识：d′＝IBE.encrypt(d,D)其中d为用户真实的身份标识，D为网络的身份标识，d′为加密之后的身份标识，IBE.encrypt(·)是IBE加密...

【专利技术属性】
技术研发人员：雒江涛，张飞，何宸，王俊霞，王孟楠，江佐琦，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50