【技术实现步骤摘要】
本专利技术属于网络安全领域,尤其是涉及网络路径认证协议的高效隐私保护方法。
技术介绍
1、在数字时代,互联网安全日益成为关键议题。然而,现有的互联网架构存在明显的局限性,即终端主机对数据包的路径缺乏控制权。传统的数据包转发过程中,数据包一旦进入网络,其路径对于发送和接收端是不可见的。这种不透明性可能导致许多问题,例如路径上节点的跳过或乱序,服务提供商可能不诚实地处理数据包的转发,特定数据离开某个特定区域导致的合规性问题等诸如不安全因素。
2、最近的进展显示,路径认证技术正在逐渐成为安全互联网的一个重要组成部分。这种技术确保数据包严格按照预定路径进行转发,并验证其是否确实遵循了这一路径。这不仅可以避免出现上述路径转发不一致的问题,还可以有效抵御各种包括bgp劫持、数据包篡改等各种攻击,进一步提高互联网的安全性。
3、当前,一系列新兴的路径感知互联网架构如nira、nebula和scion被提出。它们通过在数据包头部中添加特定的证明,由此使得路由器能够验证数据包的确按照特定顺序穿越了指定的路由器。而scionlab的全球部署标志着这些理念的实际应用和推广。
4、然而,现如今已提出的路径认证解决方案对完整路径信息有着先验性要求,缺乏对隐私保护的追求。具体来说,现有方案需要路径上的所有节点都有整个转发路径的信息作为先验条件,这一点在大多数现有解决方案中可以很轻易地发现,如j.naous等(verifying and enforcing network paths with icing,conext,2
5、在针对隐私保护的现有解决方案中,b.sengupta等(privacy-preservingnetwork path validation,toit,2020年)提出了一种隐私保护方案privnpv。源先通过伪随机排序将各路由器的证明打乱顺序,然后将对应顺序用路由器密钥加密存储。路由器在收到数据包后用自身密钥去逐一尝试解密,直到找到对应证明位置。该方案虽然保证了路径隐私和索引隐私不被泄露,但路由器通过遍历解密来找到对应证明的方法过于繁琐,极大地增加了路径认证的时间、空间开销。b.sengupta(valnet:privacy-preserving multi-path validation,computer networks,2022年)将上述方案进一步应用至多路径环境下,但路由器需通过遍历解密来寻找证明的问题仍没有得到解决,导致其效率远低于预期。
6、因此,隐私保护的路径认证有两个特定的挑战。首先,路由器如何在不知晓具体路径信息的情况下完成路径认证,并向下游证明自身参与了认证。其次,路由器如何尽可能削减因保护隐私导致的额外计算、存储开销。
技术实现思路
1、本专利技术提供了网络路径认证协议的高效隐私保护方法,可以在适用于隐私保护需求的路径认证的同时满足安全性和效率的要求。
2、网络路径认证协议的高效隐私保护方法,包括以下步骤:
3、(1)源在处理数据包时先为路径上的所有路由器计算路径证明,然后对路径证明的顺序进行混淆,随后发送至下一跳;
4、(2)路由器在收到数据包后先根据自身标识符计算所对应的路径证明所在的位置。然后,路由器利用自身凭证解密路径证明获得相关信息并和自身凭证信息进行比较;
5、验证成功后,则路由器进一步用自身凭证来更新路径证明;
6、(3)路由器将该数据包放入输出队列中并转发至下一跳,重复以上步骤直至抵达目的地;
7、(4)目的地在收到数据包后利用自身凭证计算得到路径证明并和数据包中携带的路径证明进行比较,确保数据包沿正确的路径转发。
8、本专利技术的方法通过混淆证明顺序和轻量级定位来保证网络路径认证过程中路径隐私和索引隐私,满足网络路径认证的效率和安全性,同时降低了对路径上路由器的安全假设,适用于存在恶意路由器的场景。
9、步骤(1)中,引入两个单独的域:验证证明vi和节点签名σ;其中,验证证明vi用于记录数据包内携带的各个路径证明,以帮助路由器验证数据包并得到下一跳地址;节点签名σ用于记录路由器签名,以作为数据包经过指定路由器的证明。
10、步骤(1)的具体过程如下:
11、(1-1)对数据包的有效载荷做哈希计算得到数据散列值datahash并封装进数据包包头中;
12、(1-2)对数据包根据当前会话的标识符生成会话标识符sessionid并封装进数据包包头中;
13、(1-3)根据数据包的生成时间生成时间戳timestamp并封装进数据包包头中;
14、(1-4)将数据散列值datahash、会话标识符sessionid、时间戳timestamp联立得到中间值h;
15、(1-5)对中间值h用目的地和源共享的密钥kn做mac计算得到初始节点签名σ0,将其赋给节点签名σ并封装进数据包包头中;
16、密钥ki的确定方式为:各路由器根据自身标识符计算各自的密钥,然后源和路由器ri之间交换密钥;
17、(1-6)用节点对应密钥ki对临时节点签名σi-1做mac计算更新得到临时节点签名σi,继续计算验证域直到完成所有节点;
18、(1-7)源利用中间值h和各路由器的上下节点信息为每个中间路由器(除目的地)计算验证证明为目的地计算验证证明
19、(1-8)源利用各路由器的id为其路径证明计算存储顺序ri mod n;
20、(1-9)将数据包发送至下一跳。
21、步骤(1-5)中,节点签名σ的引入保证了路由器处理数据包的可验证性,同时避免了当多个路由器本文档来自技高网...
【技术保护点】
1.一种网络路径认证协议的高效隐私保护方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1)中,引入两个单独的域:验证证明Vi和节点签名σ;其中,验证证明Vi用于记录数据包内携带的各个路径证明,以帮助路由器验证数据包并得到下一跳地址;节点签名σ用于记录路由器签名,以作为数据包经过指定路由器的证明。
3.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1)的具体过程如下:
4.根据权利要求3所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1-5)中,节点签名σ的引入保证路由器处理数据包的可验证性,同时避免当多个路由器共谋形成虫洞转发数据包并伪造路径证明。
5.根据权利要求3所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1-7)中,验证证明Vi的引入保证只有合法的指定路由器才能通过验证路径证明确定数据包的完整性、时效性,并得到下一跳的传递地址,在此过程中,路由器不知道完整的路径信息。
6.根据权利要求3所述的网络
7.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(2)的具体过程如下:
8.根据权利要求7所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(2-1)中,路由器根据自身标识符信息通过轻量化的计算得到对应路径证明的存储位置。
9.根据权利要求7所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(2-2)中,路由器利用自身凭证对对应路径证明进行密码学计算,即在满足隐私性要求的情况下实现路径认证。
10.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(4)的具体过程如下:
...【技术特征摘要】
1.一种网络路径认证协议的高效隐私保护方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1)中,引入两个单独的域:验证证明vi和节点签名σ;其中,验证证明vi用于记录数据包内携带的各个路径证明,以帮助路由器验证数据包并得到下一跳地址;节点签名σ用于记录路由器签名,以作为数据包经过指定路由器的证明。
3.根据权利要求1所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1)的具体过程如下:
4.根据权利要求3所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1-5)中,节点签名σ的引入保证路由器处理数据包的可验证性,同时避免当多个路由器共谋形成虫洞转发数据包并伪造路径证明。
5.根据权利要求3所述的网络路径认证协议的高效隐私保护方法,其特征在于,步骤(1-7)中,验证证明vi的引入保证只有合法的指定路由器才能通过验证路径证明确定数据包的完整性、时效性,并得到下一跳的传递地址,...
【专利技术属性】
技术研发人员:何安潇,卜凯,任奎,
申请(专利权)人:浙江大学杭州国际科创中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。