本发明专利技术涉及命名数据网络,公开了一种基于兴趣包签名边缘校验的NDN访问控制方法。通过内容提供商授权边缘路由器进行兴趣包签名校验,实现内容的访问权限保护。本发明专利技术中,内容提供商授权用户以代理签名方式对兴趣包完成签名,边缘路由器仅需持有内容提供商公钥即可校验签名的真实性,进而判断兴趣包是否来源于授权用户,实现在网络边缘处禁止非授权用户请求网内的授权内容,避免无效请求流量进入网络。本发明专利技术的提出,可应用于网内存在非授权用户非法请求授权内容场景,有效地保护网内授权内容的访问权限。此外,本发明专利技术降低了网内流量压力;通过引入代理签名,在简化权限分配复杂性的同时又减少了边缘路由器的密钥存储开销。
【技术实现步骤摘要】
一种基于兴趣包签名边缘校验的NDN访问控制方法
本专利技术涉及命名数据网络,具体涉及一种基于兴趣包签名边缘校验的NDN访问控制方法。
技术介绍
作为下一代网络的典型架构,命名数据网络(NamedDataNetworking,NDN)采用面向内容的设计架构,不同于传统互联网以主机为网络的中心,NDN只关注内容本身,而非内容的存储位置。通过唯一标识的内容名字构建命名路由,并利用网内分布式缓存加速内容分发,NDN有效降低了网络传输冗余、提高了内容分发效率。但是,NDN在带来网络性能改善的同时,也带来了潜在的安全风险。一旦内容分发到网内,它可以被任意沿路的网络节点缓存和分发,无论用户是否拥有读取内容的权限,都可以在缓存节点处命中并取回内容,此时内容提供商将完全失去对内容分发的控制。因此,在非安全NDN应用场景下,迫切需要设计一个有效的访问控制方法,来保障NDN网络中内容的访问权限。为实现内容访问权限的良好保护,国内外研究人员做了许多探索,其中大部分解决方案都是采取数据包加密的方法,从而使得仅有授权用户可解密并获取内容。Zhang等人提出了一种基于命名密钥分发的访问控制方案NAC-RSA。方案中引入了三个角色:AccessManager(AM)、Encryptor(对应NDN中的内容提供商)、Decryptor(对应NDN中的消费者)。AM负责生成非对称公私钥对(KEK,KDK)并将KDK分发给授权的Decryptor,其中KEK为明文数据包、KDK由Decryptor的公钥加密。Encryptor作为发布加密内容的实体,首先以会话密钥CK加密内容并发布到网内,同时向AM请求KEK并使用KEK加密CK。NAC-RSA保证了只有授权的Decryptor可解密获取KDK,从而使用KDK解密得到CK,最终使用CK解密获取内容。此外,方案中的密钥(例如KEK、KDK、CK)通过特定的规则命名并构造成数据包。例如,KEK的名称代表了其加密内容名称的粒度(即内容名称前缀),KDK的名称则表示了授权Decryptor的名称。通过密钥命名分发的方式NAC-RSA有效实现了用户对不同粒度的访问控制。然而,NAC-RSA存在着明显的缺陷。一方面,随着授权Decryptor数量的增加与内容粒度的精细,NAC-RSA将显得缺乏扩展性;另一方面,在每一次内容请求中,Decryptor都需要提前向AM和Encryptor请求获取KDK和CK,这会使得系统交互十分低效,尤其当AM或Encryptor宕机时,将会造成不可预计的时延。为了提高NAC-RSA的扩展性,Zhang等人进一步优化了方案,提出了NAC-ABE。在NAC-ABE中,(KEK,KDK)由传统的基于RSA的密钥对替换成了基于属性加密的密钥对,确保了拥有正确属性集的Decryptor可解密获取内容。通过属性策略的构建,NAC-ABE无需为每个粒度都生成一对密钥,很大程度上缓解了AM的工作压力,提高了系统的扩展性。为了降低交互过程中的时延,Misra等人利用NDN的内网缓存策略设计了一个基于广播加密的访问控制方案AccConF。在AccConF中,广播组内授权用户可利用缓存直接在网内复用内容,而无需在每一次请求前向内容提供商请求会话密钥。综上所述,现有研究者已提出若干方案,部分解决了NDN中的访问控制问题,但现有各方案都仍旧存在着一个共性问题:非授权用户虽然无法解密获取加密内容,但是他们的兴趣包仍然可以被转发到网内并且命中数据包返回,这些不必要的兴趣包与数据包的交互极大地增加了网络带宽资源的占用。基于上述问题,在边缘路由器处校验兴趣包,直接在边缘处丢弃非授权用户的兴趣包是一种可行的方案。然而,将兴趣包的校验主体由内容提供商变为边缘路由器又将引入以下问题:(1)在传统基于数据包加密的访问控制方案中,用户权限的校验是通过内容提供商完成的,其本质是校验用户是否订阅了旗下的各类互联网服务,故内容提供商可系统有效地部署旗下各类应用服务对用户的权限。然而,一旦将校验的主体推向边缘,如何在授权边缘路由器完成对不同内容提供商下不同授权互联网服务访问权限的校验是一个很大的挑战。(2)如果边缘路由器直接存储用户公钥和内容提供商公钥,用于实现兴趣包签名校验,在互联网海量应用服务背景下,数量庞大的用户密钥也会极大地消耗边缘路由器的存储开销同时使得密钥管理变得十分复杂。鉴于此,如何有效地在边缘路由器上部署不同内容提供商下不同授权互联网服务的访问权限校验,是当前NDN领域的研究难点,而本专利技术针对该问题,提出基于兴趣包签名边缘校验的访问控制方法,很好地解决了这一难题。
技术实现思路
为了解决现有NDN访问控制方法中存在的非法兴趣包与数据包交互问题,本专利技术提出了一种基于兴趣包签名边缘校验的访问控制方法以实现授权内容访问权限的良好保障,降低网内流量压力,简化边缘授权难度。为了实现上述专利技术目的,本专利技术技术方案如下:一种基于兴趣包签名边缘校验的访问控制方法,包括以下步骤:1)初始化,内容提供商向网内所有边缘路由器发出公告,所述公告内容包含了内容提供商的公钥和其提供的仅允许授权用户访问的“授权互联网服务名称”列表;边缘路由器收到公告后,将内容提供商公钥和内容提供商提供的“授权互联网服务名称”列表存入本地数据库中;2)用户注册,获取代理签名权限;用户a向内容提供商注册,获取代理签名权限,注册成功后,内容提供商将授权委托书w、随机参数K和随机参数Sa发送给注册用户a;3)用户验证授权,如果内容提供商的授权有效,转步骤4);否则转步骤2)用户a重新向内容提供商发起授权请求;4)兴趣包签名,包括用户a计算用于兴趣包签名的代理签名密钥对(Xp,Yp),Xp为代理签名私钥,Yp为代理签名公钥;用户a对命名数据网络原有兴趣包结构进行修改,在原始兴趣包结构的基础上新增了一个“Metadata”字段,以存储用于验证用户身份的签名及相关参数;5)边缘校验。进一步地,上述步骤2)中,所述用户a的授权委托书记为w=(InternetServicej|IDa|Authorization_time);其中,InternetServicej为授权互联网服务的名称,IDa为用户a的身份ID,Authorization_time为授权委托书的有效期;所述随机参数所述随机参数其中,ka为随机数且ka∈Zq*,Ya是用户a的公钥,是内容提供商的私钥,p和q是两个大素数,且满足条件q|p-1,Zq*={1,2,…,q-1},g是Zp*的q阶乘法子群的生成元,h(w)表示对w做SHA-256的哈希运算,p、q、g、Zq*、h(w)属于公开参数。进一步地,上述步骤3)中,所述验证内容提供商的授权是否有效的方法是:如果成立则有效,否则无效。进一步地,上述步骤4)中,所述所述代理签名私钥Xp计算公式为:所述代理签名公钥Yp计算公式为:其中Xa是用户a的私钥、是内容提供商的公钥。进一步地,上述步骤4)中,所述所述“Metadata”字段的内容包括:h(w),Ya,K;其中,为采用E本文档来自技高网...
【技术保护点】
1.一种基于兴趣包签名边缘校验的NDN访问控制方法,其特征在于,包括以下步骤:/n1)初始化,内容提供商向网内所有边缘路由器发出公告,所述公告内容包含了内容提供商的公钥
【技术特征摘要】
1.一种基于兴趣包签名边缘校验的NDN访问控制方法,其特征在于,包括以下步骤:
1)初始化,内容提供商向网内所有边缘路由器发出公告,所述公告内容包含了内容提供商的公钥和其提供的仅允许授权用户访问的“授权互联网服务名称”列表;边缘路由器收到公告后,将内容提供商公钥和内容提供商提供的“授权互联网服务名称”列表存入本地数据库中;
2)用户注册,获取代理签名权限;用户a向内容提供商注册,获取代理签名权限,注册成功后,内容提供商将授权委托书w、随机参数K和随机参数Sa发送给注册用户a;
3)用户a验证授权,如果内容提供商的授权有效,转步骤4);否则转步骤2)用户a重新向内容提供商发起授权请求;
4)兴趣包签名,包括用户a计算用于兴趣包签名的代理签名密钥对(Xp,Yp),Xp为代理签名私钥,Yp为代理签名公钥;用户a对命名数据网络原有兴趣包结构进行修改,在原始兴趣包结构的基础上新增了一个“Metadata”字段,以存储用于验证用户身份的签名及相关参数;
5)边缘校验。
2.如权利要求1所述的基于兴趣包签名边缘校验的NDN访问控制方法,其特征在于,所述步骤2)中,所述用户a的授权委托书记为w=(InternetServicej|IDa|Authorization_time);其中,InternetServicej为授权互联网服务的名称,IDa为用户a的身份ID,Authorization_time为授权委托书的有效期;所述随机参数所述随机参数其中,ka为随机数且ka∈Zq*,Ya是用户a的公钥,是内容提供商的私钥,p和q是两个大素数,且满足条件q|p-1,Zq*={1,2,…,q-1},g是Zp*的q阶乘法子群的生成元,h(w)表示对...
【专利技术属性】
技术研发人员:陈欢,陶宇,朱轶,钟林锋,
申请(专利权)人:江苏大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。