CN105099695A - 用于命名数据网络的边界属性验证 - Google Patents
用于命名数据网络的边界属性验证 Download PDFInfo
- Publication number
- CN105099695A CN105099695A CN201510234573.5A CN201510234573A CN105099695A CN 105099695 A CN105099695 A CN 105099695A CN 201510234573 A CN201510234573 A CN 201510234573A CN 105099695 A CN105099695 A CN 105099695A
- Authority
- CN
- China
- Prior art keywords
- message
- attribute vector
- trust domain
- authenticator
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一个实施例提供一种用于在信任域内分发包的系统。操作中,所述系统由信任域中的入口节点接收消息。所述系统创建所述消息的属性向量,其中,所述属性向量指示已经确定的所述消息的许多个属性。所述系统基于所述属性向量和由所述信任域中的多个节点共享的秘密密钥生成所述消息的第一认证器。所述系统将所述消息、所述属性向量和所述第一认证器发送到所述信任域中的另一节点,从而不需要中间节点确定所述属性向量中指示的属性,促进在所述信任域内消息的安全和有效分发。
Description
技术领域
本申请一般涉及数字内容的分发。更具体地,本申请涉及预计算和验证命名数据网络中的消息的属性,以及将此属性验证的责任委托给信任域中的边界路由器。
背景技术
互联网和电子商务的繁荣继续引发网络行业的革命性变化。当今,从在线观看电影到每日新闻发送、零售和即时消息的相当大量的信息交互是在线进行的。日益增长的互联网应用也变成移动的。然而,当前的互联网基于大型的基于位置的寻址方案工作。两个最普遍存在的协议即互联网协议(IP)和以太网协议都以基于位置的地址为基础。即,内容的消费者只可以通过从与物理对象或位置紧密关联的地址(例如IP地址或以太网介质访问控制(MAC)地址)显式请求内容来接收内容。此限制性的寻址方案越来越不足以满足不断变化的网络需求。
最近,行业中已经提出内容中心网络(CCN)和命名数据网络(NDN)架构。CCN将新方法引入到内容传输。代替在应用等级以内容得以通过的端对端对话查看网络流量,内容是基于其唯一的名称请求或返回的,网络负责将内容从提供商路由到消费者。注意,内容包括可以在通信系统中传输的数据,包括任何形式的数据,诸如文本、消息、视频和/或音频。消费者和提供商可以是计算机处的个人或位于CCN内部或外部的自动过程。一项内容可以指整个内容或内容的相应部分。例如,报纸文章可以由体现为数据包的多项内容代表。一项内容还可以与用诸如认证数据、创建日期、内容所有人等的信息描述或扩充该项内容的元数据关联。
在CCN或NDN中,内容对象和兴趣由其名称标识,所述名称通常是分层结构可变长度标识符(HSVLI)。通常,兴趣和内容对象行进通过许多个链路之后才能够到达其目的地。在CCN中,可能需要专用硬件来潜在地以线路速率计算和验证某些属性。这些操作包括但不限于内容对象的散列,存在嵌入密钥时的签名验证,兴趣的散列和能够在信任域内传送状态信息的其它属性。尽管CCN信任域中的一些路由器(诸如边界路由器)是针对这些计算量大的线路速率计算设计的,但如果需要计算并验证这些各种各样的属性,则同一域中的其它路由器(诸如中枢核心路由器)会经历明显的延迟。
发明内容
一个实施例提供一种用于在信任域内分发包的系统。操作中,所述系统由信任域中的入口节点接收消息。所述系统创建所述消息的属性向量,其中,所述属性向量指示已经确定的所述消息的许多个属性。所述系统基于所述属性向量和由所述信任域中的多个节点共享秘密密钥生成所述消息的第一认证器。所述系统将所述消息、所述属性向量和所述第一认证器发送到所述信任域中的另一节点,从而不需要中间节点确定所述属性向量中指示的属性,促进在所述信任域内消息的安全和有效分发。
在一些实施例中,所述消息是对一项内容的兴趣,并且,所述属性向量包括基于所述兴趣的名称和所述兴趣的一个或多个字段的所述兴趣的相似性散列值。
在一些实施例中,所述消息是内容对象,并且,所述属性向量包括以下中的一个或多个:所述内容对象的散列值;与所述内容对象关联的公开密钥的散列值;以及所述消息的发送者的数字签名是否已经被验证的指示。
在一些实施例中,所述属性向量指示以下中的一个或多个:所述消息的调度优先级;与计费有关的信息;与服务质量有关的信息;与审计有关的信息;以及路径切换标签。
在一些实施例中,所述属性向量包括所述消息的出口策略,所述出口策略指定在所述消息离开所述信任域时要执行的操作。
在一些实施例中,一旦所述消息离开所述信任域,所述系统由所述信任域中的出口节点去掉与所述消息关联的属性向量。
在一些实施例中,所述系统由所述信任域中除了所述入口节点之外的节点接收所述消息、所述属性向量和所述消息的第一认证器。所述系统基于所述共享秘密密钥和所述属性向量生成所述消息的第二认证器。响应于确定所述第一认证器与所述第二认证器相同,所述系统对所述消息进行认证。
在一些实施例中,所述系统执行以下中的一个或多个:修改所述消息的所述属性向量;以及创建所述消息的附加属性向量。所述系统基于所述共享秘密密钥和一个或多个所述消息的所述修改的属性向量和所述附加属性向量,生成第三认证器。所述系统将所述消息、一个或多个所述修改的属性向量和所述附加属性向量以及所述第三认证器转发到所述信任域中的另一节点。
附图说明
图1根据本发明的实施例图解说明示例性网络,所述示例性网络通过在边界路由器上使用属性验证促进包在信任域中的分发。
图2A根据本发明的实施例图解说明信任域内的入口节点、中间节点和出口节点之间的示例性通信。
图2B根据本发明的实施例图解说明信任域内的入口节点、中间节点和出口节点之间的示例性通信。
图3根据本发明的实施例呈现图解说明入口节点接收、验证和发送信任域内的消息的方法的流程图。
图4A根据本发明的实施例呈现图解说明中间节点接收、认证和发送信任域内的消息的方法的流程图。
图4B根据本发明的实施例呈现图解说明中间节点修改属性向量或创建与信任域内的消息对应的附加属性向量的方法的流程图。
图5根据本发明的实施例呈现图解说明出口节点对信任域内的消息执行出口程序的方法的流程图。
图6A根据本发明的实施例呈现信任域内与兴趣或内容对象消息对应的包的示例性格式。
图6B根据本发明的实施例呈现信任域内与兴趣或内容对象消息对应的包的示例性格式,其中,认证器包括于属性向量中。
图7A根据本发明的实施例呈现与对一项内容中的兴趣对应的属性向量的示例性格式。
图7B根据本发明的实施例呈现与内容对象对应的属性向量的示例性格式。
图8根据本发明的实施例图解说明通过在边界路由器上使用属性验证促进包在信任域内的分发的示例性计算机和通信系统。
在图中,相同的附图标记指相同的附图元件。
具体实施方式
给出以下描述使得本领域技术人员能够制造和使用实施例,以下描述是在特定应用和其需求的背景下提供的。对所公开实施例的各种改进对本领域技术人员是非常显然的,在不偏离本申请的精神和范围下,本文中定义的一般原理可以应用于其它实施例和应用。因此,本发明不局限于所显示的实施例,而是给予与本文中公开的原理和特征一致的最宽范围。
本发明的实施例提供在信任域内有效地分发包的计算机网络环境,这是通过预计算和验证在进入信任域时的各种属性,并在消息内包括证据,使得信任域中的中间路由器不需要重复验证程序。计算机网络环境可以包括内容中心网络(CCN)和命名数据网络(NDN)。在CCN和NDN中,兴趣和内容对象是由他们的名称标识的,名称通常是分层结构的可变长度标识符(HSVLI)。通常,兴趣和内容对象行进通过许多个链路之后才能够到达其目的地。将这些链路耦连的网络装置在本文中称作路由器、装置、节点和节点处的路由器或装置,这些称呼可以互换使用。
一旦接收消息,在信任域内的入口节点处的边界路由器执行属性验证,这可以包括预计算和验证各种属性,诸如发送者的数字签名的计算量大的验证。兴趣的属性验证可以包括:基于兴趣的名称和兴趣的一个或多个字段计算兴趣的相似性散列值;以及验证与兴趣的状态有关的属性,包括调度优先级、出口策略、计费、审计、服务质量和路径切换标签。内容对象的属性验证可以包括:验证消息的发送者的数字签名;计算内容对象的散列值;计算与内容对象关联的公开密钥的散列值;以及对于上文描述的兴趣消息验证与消息的状态有关的属性。
边界路由器则创建消息的属性向量,可以是单个序列化向量,诸如类型长度值(TLV)字段的集合。属性向量中的每个表项代表验证的属性。例如,一个表项可以包括被请求的内容对象的散列值。另一示例性表项可以包括具有指示发送者的数字签名是否已经被验证的布尔值的签名字段。如果内容对象在对象中包括公开密钥,则边界路由器可以计算公开密钥的散列值,并确定公开密钥是否与规定的KeyId字段匹配。如果不匹配,则边界路由器可能丢弃该包。如果匹配,则边界路由器可以在签名字段中指示结果。如果内容对象包括公开密钥证书,则边界路由器可以验证证书的属性,诸如到期和撤销。
边界路由器然后基于属性向量使用诸如对称密钥签名的安全机制生成认证器。认证器可以包括边界路由器的身份、所使用的密钥和重放预防,诸如序列号。在一些实施例中,共享秘密密钥由受信的中央密钥分发机构分发到许多个中间节点。在又一些实施例中,节点可以使用点对点秘密密钥交换协议以共享秘密密钥。认证器认证消息的属性向量。在一些实施例中,认证器是基于秘密密码密钥(例如共享秘密密钥)的属性向量的散列。共享秘密密钥可以包括于包的标题(header)中,诸如在口令认证协议(PAP)中。在一些实施例中,系统可以对属性向量和共享秘密密钥执行异或(XOR)操作。系统还可以使用在基于XOR的散列机制中的共享秘密密钥(例如移位-相加-异或或者Fowler/Noll/Vo(FNV))。然而,对于任何观察者都可以计算的一些验证属性,诸如内容对象的散列,使用XOR方法可能泄露共享秘密密钥。因为许多属性或者是可全局计算的,或者导致只有有限集合的结果,诸如PAP或XOR的机制可能相对窃听者是较不安全的。
在一些实施例中,认证器包括消息主体的概要,诸如消息的摘要。这是为了防止内部攻击,其中,来自一个包的认证器被置于不同的包中,其使用取决于域内的信任模型。
在一些实施例中,边界路由器将认证器附加到属性向量。边界路由器向信任域内的中间路由器发送消息、属性向量和认证器。
一旦接收消息,中间路由器通过基于属性向量和共享秘密密钥生成其自己的认证器来认证消息。中间路由器确定其自己生成的认证器是否与所接收的认证器相同。如果他们不相同,中间路由器可以丢弃包,向发送节点发送反馈。如果他们是相同的,中间路由器向信任域内的另一节点转发消息、属性向量和所接收的认证器。因此,中间路由器只需要认证已经创建和签名的属性向量,这可以是快速散列运算,不需要执行任何量大的计算或验证。此机制促进消息在信任域内的有效和安全分发。
在一些实施例中,如果中间路由器自己生成的认证器与所接收的认证器相同,则中间路由器可以修改属性向量和/或创建消息的附加属性。中间路由器然后基于修改的属性向量和秘密密钥生成第三认证器,并将消息、修改的属性向量和第三认证器发送到另一节点。例如,如果中间路由器遇到拥挤,则它可以在属性向量中增加用后退表示拥挤的表项。在另一示例中,如果属性向量包括虚拟局域网(VLAN)标签和标签必须在中间路由器上交换的指示,则中间路由器可以针对相应的表项相应地修改属性向量。
一旦进入到信任域或从其中出来,系统去掉任何现有的预计算属性或验证指示符。在一些实施例中,一旦从信任域中出来,系统去掉属性向量。属性向量可以包含与出口策略对应的表项,这可以是在信任域中通过策略传播协议已知的策略语言或策略索引中的声明。在消息离开信任域时,出口节点处的边界路由器可以执行特定的出口策略操作。例如,在虚拟专用网络(VPN)或VLAN中,入站兴趣可以只由相同的VPN或VLAN上的内容对象满足。此属性可以通过在属性向量中包括VPN或VLAN标识符来应对。VPN或VLAN标识符因此在进入时由一个装置声明并且在退出时由另一装置执行。
在一些实施例中,入口装置可以基于路由或其它知识确定特定的消息应当遵循众所周知的切换路径,诸如在多协议标签交换(MPLS)中,其中,数据包是各自分配的标签,包转发决定只是基于标签的内容作出,因此,避免检查包本身的需要。如同VPN或VLAN标识符一样,此MPLS路径标识符可以包括于签名的属性向量中。属性向量表项的其它示例包括本文中讨论的各种属性,诸如与调度优先级、计费、审计和服务质量有关的信息。
以下术语描述NDN或CCN架构的元件:
内容对象(ContentObject):一项命名数据,其绑定到唯一名称。内容对象是“永久的”,这意味着内容对象可以在计算装置内或者在不同的计算装置中移动,但不会改变。如果内容对象的任何组成变化,则出现变化的实体创建包括更新内容的新内容对象,并且将新内容对象绑定到新唯一名称。
唯一名称(UniqueName):CCN中的名称通常是与位置无关的,唯一地标识内容对象。数据转发装置不管内容对象的网络地址或物理位置如何,可以使用名称或名称前缀将包向生成或存储内容对象的网络节点转发。在一些实施例中,名称可以是分层结构的可变长度标识符(HSVLI)。HSVLI可以分成几个分层组成,这些组成可以以各种方式构造。例如,个别的名称组成parc、home、ndn和test.txt可以以左对齐的前缀为主的方式构造,形成名称“/parc/home/ndn/test.txt.”。因此,名称“/parc/home/ndn”可以是“/parc/home/ndn/test.txt.”的“父”或“前缀”。附加组成可以用来区分内容表项的不同形式,诸如合作文档。
在一些实施例中,名称可以包括无层次标识符,诸如由内容对象的数据(例如检验和值)和/或从内容对象的名称的组成部分导出的散列值。基于散列的名称的描述在(由发明人IgnacioSolis于2013年3月20日提交的名称为“ORDERED-ELEMENTNAMINGFORNAME-BASEDPACKETFORWARDING”的)美国专利申请号13/847,814中描述。名称还可以是扁平标签(flatlabel)。后面,“名称”用来指在命名数据网络中一条数据的任何名称,诸如层次名称或名称前缀,扁平名称(flatname),固定长度的名称,任意长度的名称,或者标签(例如多协议标签交换(MPLS)标签)。
兴趣(Interest):指示对一条数据的请求的包,包括该条数据的名称(或名称前缀)。数据消费者可以在信息中心网络中传播请求或兴趣,CCN/NDN路由器可以向可以提供请求数据的存储装置(例如缓存服务器)或数据生产者播送,以满足请求或兴趣。
本文中公开的方法不局限于CCN网络,也可应用于其它架构。CCN架构的描述在(发明人VanL.Jacobson和DianaK.Smetters于2008年12月18日提交的名称为“CONTROLLINGTHESPREADOFINTERESTSANDCONTENTINACONTENTCENTRICNETWORK”的)美国专利申请号12/338,175中描述。
图1根据本发明的实施例图解说明示例性网络,其通过在边界路由器上使用属性验证促进包在信任域内的分发。网络100可以包括节点102、104、106、108、110、112和114。网络100可以是由节点102-114组成的信任域。每个节点102-114可以连接到其它网络中的其它节点。例如,节点102可以是连接到网络120的边缘或边界路由器,网络120包括节点122和装置124。网络100中的节点114可以是连接到网络130的边缘或边界路由器,网络130包括节点132和装置134。根据数据流的方向,节点102和114可以分别是入口节点和出口节点。节点102-114可以是网络100的同一信任域内的中间或核心路由器。
例如,装置124的用户可以生成对一项内容的兴趣,兴趣通过网络120中的节点122。网络100中的边界路由器102接收兴趣(因此充当入口节点),执行各种验证(包括发送者的数字签名的验证和消息属性的预计算),创建指示验证的属性向量,基于共享秘密密钥生成认证器,并向节点108发送具有属性向量和认证器的消息。中间路由器108接收消息,反过来生成其自己的认证器。
中间路由器108然后确定其自己生成的认证器是否与所接收的认证器匹配,如果匹配,则向边界路由器114发送消息、属性向量和其认证器。边界路由器114以与中间路由器108相同的方式认证消息,执行属性向量中指定的任何出口策略,并在将消息从信任域中转发到网络130之前从消息中去掉属性向量(因此充当出口节点)。
网络130中的节点132接收消息,将消息传送到内容生产者装置134,内容生产者装置134包含被请求内容,并将内容对象沿与兴趣相同的相反路径传送回去(例如边界路由器114到中间路由器108到边界路由器102)。由于数据通过网络100传送回来,边界路由器114担当入口节点的角色,而边界路由器102担当出口节点的角色。以此方式,不要求中间节点执行附加的验证或计算,内容高效地流过网络100的信任域。
图2A根据本发明的实施例呈现图解说明信任域内入口节点102、中间节点108和出口节点114的示例性通信200的流程图。入口节点102、中间节点108和出口节点114下面的垂直线指示时间的流逝。入口节点102、中间节点108和出口节点114共享秘密密钥。入口节点102接收信任域中的消息(操作202)。入口节点102创建指示已经确定的消息的各种属性的消息属性向量(操作206)。对于与一项内容的兴趣对应的消息,创建属性向量可以包括:基于兴趣的名称和兴趣的一个或多个字段计算兴趣的相似性散列值;以及验证与消息的状态有关的属性,包括调度优先级、出口策略、计费、审计、服务质量和路径切换标签。对于与内容对象对应的消息,创建属性向量可以包括:验证消息的发送者的数字签名;计算内容对象的散列值;计算与内容对象关联的公开密钥的散列值;以及验证与如上文描述的与兴趣对应的消息的状态有关的相似属性。
接着,入口节点102基于共享秘密密钥和属性向量生成消息的认证器(表示为AUTH1)(操作208)。在一些实施例中认证器是基于散列的消息认证代码(HMAC)。入口节点102然后向中间节点108发送消息、属性向量和AUTH1(操作210)。
中间节点108接收消息、属性向量和AUTH1,并基于共享秘密密钥和属性向量生成消息的认证器(表示为AUTH2)(操作212)。中间节点108然后认证消息以确定AUTH2是否与AUTH1相同(操作214)。如果他们不相同,则中间节点108可以丢弃包,向发送节点发送反馈。如果他们相同,则中间节点108向出口节点114发送消息、属性向量和AUTH2(操作224)。注意,在操作224中发送的认证器可以是AUTH1或AUTH2中的任何一个,因为操作224只在确定他们是相同的时候进行。替代性地,如果AUTH1与AUTH2匹配,则中间节点108可以执行如图2B中描绘的在下文描述的程序216、218、220、222、226、228和230。注意中间节点108不需要验证数字签名或者执行与出口节点102执行的相同的验证。
出口节点114接收消息、属性向量和AUTH2。出口节点生成认证器,并认证消息(如上文针对中间节点108描述的),然后执行属性向量中包括的任何出口策略(操作226)。出口策略可以包括通过策略传播协议强加特定的VLAN或VPN标识符或其它的策略索引。出口节点114从消息中去掉属性向量(操作228),转发消息使其离开信任域(操作230)。
图2B根据本发明的实施例图解说明信任域内的入口节点102、中间节点108和出口节点114之间的示例性通信250。前几个操作202、204、206、208、210、212和214与关于图2A描述的是相同的。中间节点108一旦认证消息(操作214)并确定其生成的认证器(AUTH2)与所接收的认证器(AUTH1)匹配,则可以修改属性向量(操作216),并创建附加属性向量(操作218)。中间节点108可以执行这些操作中的其一或两者。中间节点108然后基于共享秘密密钥和修改的属性向量生成消息的认证器(表示为AUTH3)(操作220),并向出口节点114转发消息、修改的属性向量和AUTH3(操作222)。
出口节点114接收消息、修改的属性向量和AUTH3。如上文关于图1讨论的,出口节点114生成认证器,认证消息,并执行属性向量中包括的任何出口策略(操作226)。出口节点114从消息中去掉属性向量(操作228),并转发消息使其离开信任域(操作230)。
图3根据本发明的实施例呈现图解说明入口节点接收、验证和发送信任域内的消息的方法的流程图300。系统通过信任域中的入口节点接收消息(操作302)。入口节点创建消息的属性向量,其中,属性向量指示消息的许多个属性(操作306)。入口节点确定各个属性,并将他们添加到属性向量(操作308)。这些验证的属性可以包括发送者的数字签名、内容对象的散列值、名称的相似性散列值和兴趣的一个或多个字段的验证,以及各种属性诸如调度优先级、出口策略、计费、审计、服务质量和路径切换标签的验证。入口节点然后基于属性向量和信任域中的所有节点共享的秘密密钥生成消息的认证器(操作310)。入口节点基于适当的路由信息向信任域中的另一节点发送消息、属性向量和认证器(操作312)。
图4A根据本发明的实施例呈现图解说明中间节点接收、认证和发送信任域内的消息的方法的流程图400。系统通过信任域中除入口节点之外的节点(诸如中间节点)接收消息、属性向量和消息的第一认证器(操作402)。中间节点基于属性向量和共享秘密密钥生成其自己的消息认证器(“第二认证器”)(操作404)。随后,中间节点确定所接收的认证器(第一认证器)是否与其自己生成的认证器(第二认证器)相同。如果不匹配(判断408),则中间节点丢弃包,向发送节点发送反馈(操作410)。如果匹配(判断408)并且节点是出口节点(判断412),则操作根据下文关于图5的描述继续。如果匹配(判断408),节点不是出口节点(判断412),中间节点对属性向量进行任何修改或添加(判断414),操作根据下文关于图4B的描述继续。如果匹配(判断408),节点不是出口节点(判断412),中间节点不对属性向量进行任何修改或添加(判断414),中间节点基于适当的路由信息向信任域中的另一节点发送消息、属性向量和第一认证器(操作416)。在一些实施例中,中间节点发送第二认证器而不是第一认证器。注意,到操作416被执行时,已经确定两个认证器是相同的,因此任何一个可以被转发。
图4B根据本发明的实施例呈现图解说明中间节点修改属性向量或创建与信任域内的消息对应的附加属性向量的方法的流程图450。一旦通过确定第一认证器与第二认证器相同来认证消息(图4A中的判断408),中间节点可以执行以下当中的一个或两者:修改消息的属性向量(操作420);以及创建消息的附加属性向量(操作422)。中间节点然后基于属性向量和共享秘密密钥生成消息的认证器(“第三认证器”)(操作424)。中间节点然后基于适当的路由信息向信任域中的另一节点发送消息、修改的属性向量和第三认证器(操作426)。
图5根据本发明的实施例呈现图解说明出口节点对信任域内的消息执行出口程序的方法的流程图500。一旦通过确定第一认证器与第二认证器相同来认证消息(图4A中的判断408),并且一旦确定接收节点是出口节点(图4A中的判断412),系统通过信任域中的出口节点确定任何出口策略是否在属性向量中被指定(操作502)。如果属性向量指示任何出口策略(判断504),则出口节点执行特定的出口策略(操作506),从消息中去掉属性向量(操作508)。如果属性向量不指示任何出口策略(判断504),则出口节点从消息中去掉属性向量(操作508)。出口节点然后发送包使其离开信任域(操作510)。注意,即使出口节点不从消息中去掉属性向量,接收消息的节点仍会在信任域外,因此不信任由信任域内部的节点执行的任何认证,只是忽略包中包括的属性向量和认证器信息。
图6A根据本发明的实施例呈现信任域内与兴趣或内容对象消息对应的包600的示例性格式。包600可以包括属性向量602、认证器604和兴趣或内容对象消息606。属性向量602由入口节点在包600进入信任域时创建,稍后可以在其行进通过信任域时由中间节点修改。如上文关于图4B描述的,属性向量602不仅可以被修改,新的属性向量可以通过中间节点附加到属性向量602。而且,认证器604一开始在包600进入信任域时由入口节点创建。因为认证器604是基于共享秘密密钥的,在一些实施例中,如果属性向量602有任何变化,属性向量602的散列值、认证器604也可以被中间节点修改或更新。
图6B根据本发明的实施例呈现信任域内与兴趣或内容对象消息对应的包650的示例性格式,其中认证器包括于属性向量中。包650包括兴趣或内容对象消息656以及具有作为附加字段附加的认证器的属性向量652。包650示出了包600的替代性格式,其中包括包600的认证器604,作为属性向量(向量652)本身中的表项。
图7A根据本发明的实施例呈现与对一项内容中的兴趣对应的属性向量700的示例性格式。在一些实施例中,属性向量700可以是由一组类型长度值(TLV)字段组成的单个序列化向量。属性向量中的每个表项代表验证的属性。属性向量700可以包括具有值702.1-702.n的类型702字段,具有值704.1-704.n的长度704字段和具有值706.1-706.n的值706字段。例如,属性向量700可以包括以下表项:1)长度704.1和值706.1为“Silver”的类型为优先级702.1的表项;2)长度704.2和值706.2为H{…}的类型为sim_hash702.2的表项,H{…}是名称和兴趣的一个或多个其它字段的散列值;3)长度704.3和值706.3为“认证VLAN标识符”的类型为egr_policy702.3的表项;以及4)长度704.n和值706.n为“HMAC1”的类型为认证器702.n的表项。
图7B根据本发明的实施例呈现与内容对象对应的属性向量750的示例性格式。在一些实施例中,属性向量750可以是由一组TLV字段组成的单个序列化向量。属性向量中的每个表项代表验证的属性。属性向量750可以包括具有值752.1-752.n的类型752字段,具有值754.1-754.n的长度754字段以及具有值756.1-756.n的值756字段。例如,属性向量750可以包括以下表项:1)长度754.1,值756.1为“Yes”的类型为verify_sig752.1的表项,指示发送者的数字签名已经被正确地验证;2)长度754.2,值756.2为H{}的类型为hash_CO752.2的表项,H{}是内容对象的散列值;3)长度754.3,值756.3为H{…}的类型为hash_pub_key752.3的表项,H{…}是消息中嵌入的内容对象的公开密钥的散列值;4)长度为754.4,值756.4为“Label1”的类型为MPLS_label752.4的表项,这是只在其上进行包转发决定的分配标签;5)长度754.5,值756.5为“认证VLAN标识符”的类型为egr_policy752.5的表项;以及6)长度754.n,值756.n为“HMAC2”的类型为认证器752.n的表项。
注意,图7A和图7B中的示例性属性向量700和750分别还可以包括代表与状态有关的各种属性的表项,包括与消息调度优先级、计费、审计和服务质量有关的信息。属性向量700和750还可以包括与安全网络有关的属性,包括如由入口装置确定的特定的消息应当遵循众所周知的交换路径,诸如图7B中值756.4为“Label1”的表项中所示的多协议标签交换(MPLS)。而且,属性向量700和750可以包括在本文中没有明确提到的其它属性,这些属性指示边界路由器验证与信任域中的入口节点接收的消息或包有关的各个属性。
图8根据本发明的实施例图解说明通过在边界路由器上使用属性验证促进包在信任域内的分发的示例性计算机和通信系统802。计算机和通信系统802包括处理器804、存储器806和存储装置808。存储器806可以包括充当管理存储器的易失性存储器(例如RAM),并且可以用来存储一个或多个存储器池。而且,计算机和通信系统802可以耦连到显示装置810、键盘812和定位装置814。存储装置808可以存储操作系统816、内容处理系统818和数据832。
内容对处理系统818可以包括在由计算机和通信系统802执行时可以引起计算机和通信系统802执行本申请中描述的方法和/或过程的指令。具体地,内容对处理系统818可以包括用于由信任域中的入口节点接收消息的指令(通信机构820)。内容对处理系统818可以包括用于创建消息的属性向量的指令,其中,属性向量指示已经确定的消息的许多个属性(属性向量机构828)。内容对处理系统818还可以包括用于发送并接收消息、属性向量和认证器的指令(通信机构820)。内容对处理系统818还可以包括用于基于发送者的公开密钥验证消息的发送者的数字签名的指令(属性计算机构822)。内容对处理系统818可以包括用于基于属性向量和共享秘密密钥生成消息的认证器的指令(认证器机构826)。
内容对处理系统818还可以包括用于创建消息的属性向量的指令,其中,属性向量指示消息的许多个属性,并且其中,属性向量对应于兴趣或内容对象(属性向量机构828)。内容对处理系统818可以包括用于基于兴趣的名称和兴趣的一个或多个字段计算兴趣的相似性散列值,计算内容对象的散列值和计算与内容对象关联的公开密钥的散列值的指令(属性计算机构822)。内容对处理系统818还可以包括用于验证与消息的调度优先级、路径切换标签、计费、服务质量和审计有关的信息(属性验证机构824)。
内容对处理系统818还可以包括用于指示属性向量中的出口策略的指令,其指定在消息离开信任域时要执行的操作(出口机构830)。内容对处理系统818可以包括用于在消息离开信任域时通过出口节点去掉与消息关联的属性向量的指令(出口机构830)。
内容对处理系统818还可以包括用于确定第一认证器是否与第二认证器相同的指令(认证器机构826)。内容处理系统818还可以包括用于修改消息的属性向量以及用于创建消息的附加属性向量(属性向量机构828)、以及基于共享秘密密钥和修改的和/或新创建的属性向量生成认证器的指令(认证器机构826)。内容对处理系统818可以包括用于发送消息、修改的和/或新创建的属性向量和适当的认证器的指令(通信机构820)。
数据832可以包括通过本申请中描述的方法和/或过程作为输入请求的或作为输出生成的任何数据。具体地,数据832可以存储至少:与一项内容的兴趣对应的消息;与内容对象对应的消息;消息发送者的数字签名,其基于发送者的秘密密钥;发送者的公开密钥;指示消息的许多个属性的属性向量;共享秘密密钥;基于共享秘密密钥和属性向量的认证器;基于兴趣的名称和兴趣的一个或多个字段的兴趣的相似性散列值;内容对象的散列值;与内容对象关联的公开密钥的散列值;公开密钥证书;消息的调度优先级;与计费、审计或消息的服务质量有关的信息;路径切换标签;以及出口策略。
在此详细描述中描述的数据结构和代码通常存储于计算机可读存储介质上,计算机可读存储介质可以是可以存储代码和/或数据以由计算机系统使用的任何装置或介质。计算机可读存储介质包括但不限于易失性存储器、非易失性存储器、磁和光存储装置(诸如磁盘驱动器、磁带、CD(光盘)、DVD(数字通用盘或数字视频盘))或能够存储现在已知或以后开发的计算机可读介质的其它介质。
在详细描述部分描述的方法和过程可以体现为代码和/或数据,这些代码和/或数据可以存储在如上文描述的计算机可读存储介质中。当计算机系统读、执行计算机可读存储介质上存储的代码和/或数据时,计算机系统执行体现为数据结构和代码并存储于计算机可读存储介质中的方法和过程。
而且,上面描述的方法和过程可以包括于硬件模块或设备中。硬件模块或设备可以包括但不限于专用集成电路(ASIC)芯片、现场可编程门阵列(FPGA)、在特定时间执行特定的软件模块或一条代码的专用或共享处理器和现在已知或以后开发的其它可编程逻辑器件。当硬件模块或设备被激活时,硬件模块和设备执行其中包括的方法和过程。
Claims (10)
1.一种用于分发包的计算机实现的方法,所述方法包括:
由信任域中的入口节点接收消息;
创建所述消息的属性向量,其中,所述属性向量指示已经确定的所述消息的许多个属性;
基于所述属性向量和由所述信任域中的多个节点共享的秘密密钥生成所述消息的第一认证器,以及
将所述消息、所述属性向量和所述第一认证器发送到所述信任域中的另一节点,
从而不需要中间节点确定所述属性向量中指示的属性,促进在所述信任域内消息的安全和有效分发。
2.一种用于促进包的分发的计算机系统,所述系统包括:
处理器;以及
存储装置,所述存储装置存储指令,所述指令在由所述处理器执行时引起所述处理器执行一种方法,所述方法包括:
由信任域中的入口节点接收消息;
创建所述消息的属性向量,其中,所述属性向量指示已经确定的所述消息的许多个属性;
基于所述属性向量和由所述信任域中的多个节点共享的秘密密钥生成所述消息的第一认证器,以及
将所述消息、所述属性向量和所述第一认证器发送到所述信任域中的另一节点,
从而不需要中间节点确定所述属性向量中指示的属性,促进在所述信任域内消息的安全和有效分发。
3.一种存储指令的非暂态计算机可读存储介质,所述指令在由计算机执行时引起所述计算机执行一种方法,所述方法包括:
由信任域中的入口节点接收消息;
创建所述消息的属性向量,其中,所述属性向量指示已经确定的所述消息的许多个属性;
基于所述属性向量和由所述信任域中的多个节点共享的秘密密钥生成所述消息的第一认证器,以及
将所述消息、所述属性向量和所述第一认证器发送到所述信任域中的另一节点,
从而不需要中间节点确定所述属性向量中指示的属性,促进在所述信任域内消息的安全和有效分发。
4.根据权利要求3所述的存储介质,其中,所述消息是对一项内容的兴趣,并且其中,所述属性向量包括基于所述兴趣的名称和所述兴趣的一个或多个字段的所述兴趣的相似性散列值。
5.根据权利要求3所述的存储介质,其中,所述消息是内容对象,并且其中,所述属性向量包括以下中的一个或多个:
所述内容对象的散列值;
与所述内容对象关联的公开密钥的散列值;以及
所述消息的发送者的数字签名是否已经被验证的指示。
6.根据权利要求3所述的存储介质,其中,所述属性向量指示以下中的一个或多个:
所述消息的调度优先级;
与计费有关的信息;
与服务质量有关的信息;
与审计有关的信息;以及
路径切换标签。
7.根据权利要求3所述的存储介质,其中,所述属性向量还包括所述消息的出口策略,所述出口策略指定在所述消息离开所述信任域时要执行的操作。
8.根据权利要求3所述的存储介质,其中,所述方法还包括:
一旦所述消息离开所述信任域,由所述信任域中的出口节点去掉与所述消息关联的属性向量。
9.根据权利要求3所述的存储介质,还包括:
由所述信任域中除了所述入口节点之外的节点接收所述消息、所述属性向量和所述消息的第一认证器;
基于所述共享秘密密钥和所述属性向量生成所述消息的第二认证器;以及
响应于确定所述第一认证器与所述第二认证器相同,对所述消息进行认证。
10.根据权利要求9所述的存储介质,还包括:
以下中的一个或多个:
修改所述消息的所述属性向量;以及
创建所述消息的附加属性向量;
基于所述共享秘密密钥和一个或多个所述修改的属性向量和所述附加属性向量,生成第三认证器;以及
将所述消息、一个或多个所述修改的属性向量和所述附加属性向量以及所述第三认证器转发到所述信任域中的另一节点。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/284252 | 2014-05-21 | ||
| US14/284,252 US9276922B2 (en) | 2014-05-21 | 2014-05-21 | Border property validation for named data networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105099695A true CN105099695A (zh) | 2015-11-25 |
| CN105099695B CN105099695B (zh) | 2020-03-31 |
Family
ID=53189645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510234573.5A Active CN105099695B (zh) | 2014-05-21 | 2015-05-11 | 用于分发包的方法、系统及介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9276922B2 (zh) |
| EP (1) | EP2947845B1 (zh) |
| JP (1) | JP2015220751A (zh) |
| KR (1) | KR20150134268A (zh) |
| CN (1) | CN105099695B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108604984A (zh) * | 2016-01-25 | 2018-09-28 | 思科技术公司 | 用于内容中心网络中的兴趣加密的方法和系统 |
| CN108632197A (zh) * | 2017-03-15 | 2018-10-09 | 华为技术有限公司 | 一种内容验证方法及设备 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2950317C (en) * | 2014-05-27 | 2021-11-02 | Tsx Inc. | Parallel processing of hash functions |
| US10079694B2 (en) * | 2014-08-29 | 2018-09-18 | Nokia Of America Corporation | Scalable virtual networks in SDN-based ethernet networks using VLANs |
| US9762746B2 (en) * | 2015-01-20 | 2017-09-12 | Telefonaktiebolaget L M Ericsson (Publ) | Advice of charge in content centric networks |
| US10110496B2 (en) * | 2015-03-31 | 2018-10-23 | Juniper Networks, Inc. | Providing policy information on an existing communication channel |
| US9973578B2 (en) * | 2015-06-01 | 2018-05-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Real time caching efficient check in a content centric networking (CCN) |
| US10701038B2 (en) * | 2015-07-27 | 2020-06-30 | Cisco Technology, Inc. | Content negotiation in a content centric network |
| CN107547625A (zh) * | 2017-07-11 | 2018-01-05 | 上海大学 | 内容中心网络用户需求响应调度系统及方法 |
| US11082406B2 (en) * | 2018-11-29 | 2021-08-03 | Secret Double Octopus Ltd | System and method for providing end-to-end security of data and metadata |
| US11108749B2 (en) * | 2019-03-25 | 2021-08-31 | Micron Technology, Inc. | Secure device coupling |
| US11658970B2 (en) * | 2020-09-14 | 2023-05-23 | Dell Products L.P. | Computing device infrastructure trust domain system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2124415A2 (en) * | 2008-05-19 | 2009-11-25 | Palo Alto Research Center Incorporated | Voice over content centric networks |
| EP2574009A2 (en) * | 2011-09-21 | 2013-03-27 | Samsung Electronics Co., Ltd. | Network apparatus based on content name, method of generating and authenticating content name |
| CN103339901A (zh) * | 2010-11-30 | 2013-10-02 | 三星电子株式会社 | 内容导向网络环境中的终端和中间节点以及终端和中间节点的通信方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070162394A1 (en) * | 2004-02-12 | 2007-07-12 | Iconix, Inc. | Rapid identification of message authentication |
| US20100100465A1 (en) * | 2008-10-17 | 2010-04-22 | Innovapost Inc. | Trusted third party authentication and notarization for email |
| KR20130085558A (ko) * | 2011-12-21 | 2013-07-30 | 삼성전자주식회사 | 컨텐츠 중심 네트워크에서 인터리스트 메시지 및 데이터 메시지를 우선 순위에 따라 처리하는 방법 |
| US9253087B2 (en) * | 2012-04-24 | 2016-02-02 | Futurewei Technologies, Inc. | Principal-identity-domain based naming scheme for information centric networks |
| KR20140067337A (ko) * | 2012-11-26 | 2014-06-05 | 삼성전자주식회사 | 컨텐츠 네임 암호화 시스템 |
-
2014
- 2014-05-21 US US14/284,252 patent/US9276922B2/en active Active
-
2015
- 2015-04-30 JP JP2015092508A patent/JP2015220751A/ja active Pending
- 2015-05-07 KR KR1020150063598A patent/KR20150134268A/ko unknown
- 2015-05-08 EP EP15167044.5A patent/EP2947845B1/en active Active
- 2015-05-11 CN CN201510234573.5A patent/CN105099695B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2124415A2 (en) * | 2008-05-19 | 2009-11-25 | Palo Alto Research Center Incorporated | Voice over content centric networks |
| CN103339901A (zh) * | 2010-11-30 | 2013-10-02 | 三星电子株式会社 | 内容导向网络环境中的终端和中间节点以及终端和中间节点的通信方法 |
| EP2574009A2 (en) * | 2011-09-21 | 2013-03-27 | Samsung Electronics Co., Ltd. | Network apparatus based on content name, method of generating and authenticating content name |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108604984A (zh) * | 2016-01-25 | 2018-09-28 | 思科技术公司 | 用于内容中心网络中的兴趣加密的方法和系统 |
| CN108604984B (zh) * | 2016-01-25 | 2021-04-02 | 思科技术公司 | 用于内容中心网络中的兴趣加密的方法和系统 |
| CN108632197A (zh) * | 2017-03-15 | 2018-10-09 | 华为技术有限公司 | 一种内容验证方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2947845B1 (en) | 2017-10-11 |
| KR20150134268A (ko) | 2015-12-01 |
| JP2015220751A (ja) | 2015-12-07 |
| US9276922B2 (en) | 2016-03-01 |
| CN105099695B (zh) | 2020-03-31 |
| US20150341329A1 (en) | 2015-11-26 |
| EP2947845A1 (en) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105099695A (zh) | 用于命名数据网络的边界属性验证 | |
| EP3289727B1 (en) | Network path proof of transit using in-band metadata | |
| CN112189323B (zh) | 使用安全分段标识符进行分段路由 | |
| CN105847228B (zh) | 用于信息中心网络的访问控制框架 | |
| EP2978174B1 (en) | Interest return control message | |
| CN105847034B (zh) | 源验证和路径认证方法及装置 | |
| JP5449543B2 (ja) | ネットワークにおけるパケットルーティング | |
| KR101097548B1 (ko) | 디지털 오브젝트 타이틀 인증 | |
| US20160014016A1 (en) | Encoding Inter-Domain Shared Service Paths | |
| CN108604984B (zh) | 用于内容中心网络中的兴趣加密的方法和系统 | |
| CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
| KR20170059393A (ko) | 콘텐트 중심 네트워크에서의 투명한 암호화 | |
| CN105376292A (zh) | 基于名称的转发中的显式策略反馈 | |
| KR101116109B1 (ko) | 디지털 오브젝트 타이틀 및 송신 정보 | |
| Alzahrani et al. | Key management in information centric networking | |
| CN106254425A (zh) | 用于移动设备向云端传送数据的方法及系统、移动终端 | |
| Chopra | Enabling Use of Signal in a Disconnected Village Environment | |
| Litkowski | Inter-Domain Routing P. Sarkar, Ed. Internet-Draft Arrcus, Inc. Intended status: Standards Track H. Gredler Expires: January 26, 2018 RtBrick, Inc. | |
| Dawra et al. | Border Gateway Protocol-Link State (BGP-LS) Extensions for Segment Routing over IPv6 (SRv6). | |
| Litkowski | Inter-Domain Routing P. Sarkar, Ed. Internet-Draft Arrcus, Inc. Intended status: Standards Track H. Gredler Expires: July 22, 2018 RtBrick, Inc. | |
| Litkowski | Inter-Domain Routing P. Sarkar, Ed. Internet-Draft Arrcus, Inc. Intended status: Standards Track H. Gredler Expires: December 6, 2017 RtBrick, Inc. | |
| Litkowski | Inter-Domain Routing P. Sarkar, Ed. Internet-Draft Individual Contributor Intended status: Standards Track H. Gredler Expires: June 4, 2017 RtBrick, Inc. | |
| Pólkowski et al. | Application of data encryption for building modern virtual private networks | |
| Litkowski | Inter-Domain Routing P. Sarkar, Ed. Internet-Draft Individual Contributor Intended status: Standards Track H. Gredler Expires: May 18, 2017 RtBrick, Inc. | |
| Wang et al. | A new type of secure multicast based on source tree |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170428 Address after: American California Applicant after: Cisco Tech Ind. Address before: American California Applicant before: Palo Alto Res CT Inc. |
|
| TA01 | Transfer of patent application right | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |