CN105812347A

CN105812347A - 网络层应用特定的信任模型

Info

Publication number: CN105812347A
Application number: CN201610005227.4A
Authority: CN
Inventors: E·尤祖; C·A·伍德; M·E·莫斯科
Original assignee: Palo Alto Research Center Inc
Current assignee: Cisco Technology Inc; Vihana Inc
Priority date: 2015-01-21
Filing date: 2016-01-05
Publication date: 2016-07-27
Anticipated expiration: 2036-01-05
Also published as: EP3048771A1; US20160212148A1; EP3048771B1; US9462006B2; CN105812347B

Abstract

数据验证系统促进代表应用验证CCN内容对象是否是真实的或值得信任的。操作中，所述系统可以获得对于自定义传输堆栈的堆栈需求，其中，所述堆栈需求规定验证器堆栈组件的至少描述，所述验证器堆栈组件使用与发布者关联的密钥标识符KeyID验证内容对象。所述系统实例化所述自定义堆栈中的验证器堆栈组件；并且可以使用所述自定义堆栈获得验证的内容对象。在使用自定义堆栈时，所述系统可以将包括一项内容的名称以及包括与内容生产者关联的KeyID的兴趣推送到所述自定义堆栈中。所述系统然后从所述自定义堆栈接收所述验证器堆栈组件已经验证并由与所述KeyID关联的内容生产者签名的内容对象。

Description

网络层应用特定的信任模型

技术领域

本申请一般涉及内容中心网络。更具体地，本申请涉及代表应用验证内容对象的传输堆栈的安全组件。

背景技术

移动计算和蜂窝网络的繁荣使数字内容比以往任何时候变得更加移动。人们可以使用自己的智能手机来生成内容、消费内容或者甚至向生成或消费内容的其它计算装置提供互联网接入。通常，装置的网络位置可能随人们携带着自己的装置来到新的物理位置时变化。当装置的新网络位置未知时，在传统计算机网络(例如互联网)下，与此装置的通信可能变得困难。

为了解决此问题，设计出信息中心网络(ICN)架构，此架构不管内容的物理或网络位置如何，促进基于其名称访问数字内容。内容中心网络(CCN)是ICN的一个示例。与传统网络不同，诸如包是基于终端点的地址转发的互联网协议(IP)网络，CCN架构给内容本身分配路由名称，使得内容可以从任何托管(host)此内容的装置上检索。

典型的CCN架构转发两种类型的包：兴趣和内容对象。兴趣包括一项命名数据的名称，并用作对该项命名数据的请求。另一方面，内容对象通常包括有效载荷，并且仅是沿着由具有匹配名称的兴趣遍历的网络路径转发的，并且内容对象在兴趣包采用的相反方向上遍历此路径。典型的CCN架构作为对兴趣包的响应只发送内容对象；内容对象未经请求不会被发送。

CCN架构通过允许发布者对内容签名可以确保内容的真实性，这允许消费者验证内容签名。然而，典型的CCN路由器并不对内容对象执行内容签名验证，以避免招致附加的网络延迟。一些CCN路由器还通过在可能时返回缓存的内容对象保持缓存内容的内容存储以最小化往返延迟。然而，路由器中的内容缓存为拒绝服务(DoS)攻击开启了大门。

这样的一个DoS攻击涉及内容中毒，其中恶意方将虚假内容注入路由器的缓存，使虚假内容在CCN网路上蔓延，阻止访问相同名称的合法内容。通过强制使用自认证内容名称或者通过验证返回的内容对象由信任实体签名，应用可以避免成为内容中毒攻击的牺牲品。然而，这只在应用提前知道内容的散列值时或者在应用能够访问将内容对象绑定到信任实体的一组数字证书时是可行的。执行强制CCN安全措施的客户端应用可以提高客户端应用的复杂性，这可能要求应用的开发者或本地用户保存可以用来验证内容对象的最新的一组信任根证书。因此，执行强制CCN安全措施的客户端应用可能需要非常大的开发成本和开发者和用户持续的维护成本。

发明内容

一个实施例提供一种数据验证系统，其促进代表应用验证CCN内容对象是否是真实的或值得信任的。操作中，所述系统可以获得对于自定义传输堆栈的堆栈需求，其中，所述堆栈需求规定验证器堆栈组件的至少描述，所述验证器堆栈组件使用发布者密钥标识符(KeyID)验证内容对象。所述系统基于堆栈需求实例化所述自定义堆栈中的验证器堆栈组件；并且可以使用所述自定义堆栈获得已由验证器堆栈组件验证的验证内容对象。在使用自定义堆栈时，所述系统可以将包括一项内容的名称以及包括与内容生产者关联的KeyID的兴趣推送到所述自定义堆栈中。所述系统然后从所述自定义堆栈接收所述验证器堆栈组件已经验证并由与所述KeyID关联的内容生产者签名的内容对象。

在一些实施例中，验证器堆栈组件可以验证通过信息中心网络(ICN)或内容中心网络(CCN)接收的内容对象或命令数据对象(NDO)。在ICN中，每项内容是分别被命名的，每项数据被绑定到将该数据与任何其它项数据相区分的唯一名称，诸如相同数据的其它形式或来自其它源的数据。此唯一名称允许网络装置通过传播指示唯一名称的请求或兴趣来请求数据，可以获得与数据的存储位置、网络位置、应用和传输手段无关的数据。命名数据网络(NDN)或内容中心网络(CCN)是ICN架构的示例，以下词语描述NDN或CCN架构的元件：

内容对象(ContentObject)：单一一项命名数据，其绑定到唯一名称。内容对象是“永久的”，这意味着内容对象可以在计算装置内或者在不同的计算装置中移动，但不会改变。如果内容对象的任何组成变化，则出现变化的实体创建包括更新内容的新内容对象，并且将新内容对象绑定到新唯一名称。

唯一名称(UniqueName)：CCN中的名称通常是与位置无关的，唯一地标识内容对象。数据转发装置不管内容对象的网络地址或物理位置如何，可以使用名称或名称前缀将包向生成或存储内容对象的网络节点转发。在一些实施例中，名称可以是分层结构的可变长度标识符(HSVLI)。HSVLI可以分成几个层次组成，这些组成可以以各种方式构造。例如，个别的名称组成parc，home，ndn，和test.txt可以以左对齐的前缀为主的方式构造，形成名称“/parc/home/ndn/test.txt.”。因此，名称“/parc/home/ndn”可以是“/parc/home/ndn/test.txt”的“父”或“前缀”。附加组成可以用来区分内容项目的不同形式，诸如合作文档。

在一些实施例中，名称可以包括标识符，诸如从内容对象的数据(例如验证和值)和/或从内容对象的名称的元素导出的散列值。基于散列的名称的描述在美国专利申请号13/847,814中描述(发明人IgnacioSolis于2013年3月20日申请的名称为“ORDERED-ELEMENTNAMINGFORNAME-BASEDPACKETFORWARDING”)。名称还可以是扁平标签。后文中“名称”用来指名称数据网络中的一条数据的任何名称，诸如层次名称或名称前缀、扁平名称、固定长度的名称、任意长度的名称或标签(例如多协议标签交换(MPLS)标签)。

兴趣(Interest)：指示对一条数据的请求的包，包括该条数据的名称(或名称前缀)。数据消费者可以在信息中心网络中传播请求或兴趣，CCN/NDN路由器可以向可以提供所请求数据以满足请求或兴趣的存储装置(例如缓存服务器)或数据生产者播送。

在一些实施例中，ICN系统可以包括内容中心网络(CCN)架构。然而，本文中公开的方法还适用于其它ICN架构。对CCN架构的描述在美国专利申请号12/338,175中描述(发明人VanL.Jacobson和DianaK.Smetters于2008年12月18日申请，名称为“CONTROLLINGTHESPREADOFINTERESTSANDCONTENTINACONTENTCENTRICNETWORK”)。

在一些实施例中，所述系统可以使用自定义堆栈的验证器堆栈组件处理内容对象。在处理内容对象时，所述系统可以使用验证器模块来验证内容对象是否由与KeyID关联的内容生产者签名。然后，响应于确定验证器模块没有确认或无效内容对象，所述系统使用一个或多个信任检查器处理内容对象以确定内容对象是否是值得信任的。

在这些实施例的一些变形中，所述系统响应于确定至少一个信任检查组确定内容对象是值得信任的，接受内容对象。

在这些实施例的一些变形中，所述系统响应于确定至少一个信任检查组确定内容对象不是值得信任的，拒绝内容对象。

在一些实施例中，验证器堆栈组件的描述包括信任认证中心的列表。

在一些实施例中，验证器堆栈组件的描述包括在验证器堆栈组件中实例化的一个或多个信任检查器的列表。相应的信任检查器可以分析内容对象以接收内容对象，拒绝内容对象或将内容对象的验证延缓给另一信任检查器。

在一些实施例中，验证器堆栈组件的描述包括验证器堆栈组件中一个或多个信任检查器的排序。

在一些实施例中，验证器堆栈组件的描述包括相应的信任检查器的实现。

在这些实施例的一些变形中，信任检查器组可以包括拒绝有陈旧数据的内容对象的信任检查器。

在这些实施例的一些变形中，信任检查器组可以包括拒绝不以白列表名称前缀公布的公钥的信任检查器。

在这些实施例的一些变形中，信任检查器组可以包括使用良好隐私(PGP)信任网验证内容对象的信任检查器。

在一些实施例中，所述系统可以从应用接收自定义堆栈的控制语句。控制语句包括在验证器堆栈组件中启用的一组信任检查器。所述系统然后响应于接收控制语句启用信任检查器组。

在一些实施例中，所述系统可以从应用接收自定义堆栈的控制语句。控制语句包括在验证器堆栈组件中禁止的一组信任检查器。所述系统然后响应于接收控制语句禁止信任检查器组。

附图说明

图1呈现根据实施例促进接收验证的内容对象的示例性计算环境。

图2呈现根据实施例图解说明实例化或使用传输堆栈接收验证的内容对象的方法的流程图。

图3呈现根据实施例图解说明使用传输堆栈的安全组件通过内容中心网络发送消息的方法的流程图。

图4图解说明根据实施例的传输堆栈的示例性签名器组件。

图5呈现根据实施例图解说明验证在传输堆栈的安全组件上接收的内容对象的方法的流程图。

图6图解说明根据实施例传输堆栈的示例性验证器组件。

图7图解说明根据实施例促进接收验证的内容对象的示例性设备。

图8图解说明根据实施例促进接收验证的内容对象的示例性计算机系统。

在图中，相同的附图标记指相同的附图元件。

具体实施方式

给出以下描述使得本领域技术人员能够制造和使用实施例，以下描述是在特定应用和其需求的背景下提供的。对所公开实施例的各种改进对本领域技术人员是非常显然的，在不偏离本发明的精神和范围下，本文中定义的通用原理可以应用于其它实施例和应用。因此，本发明不局限于所显示的实施例，而是给予与本文中公开的原理和特征一致的最宽范围。

概述

本发明的实施例提供一种安全堆栈组件，其解决了代表应用验证CCN内容对象是否是真实的或值得信任的问题。验证器堆栈组件可以在传输框架的堆栈内被实例化，代表应用或操作环境执行透明的强制信任，而不需要应用或操作环境涉及到验证内容对象中。

例如，消息兴趣可以通过规定内容生产者的公钥或规定内容对象的自认证名称促进验证内容对象。自认证名称可以包括内容对象的精确的散列摘要，并且可以例如从引用数据集合的内容对象清单中获得。传播或转发兴趣的任何实体可以使用公钥或自认证名称来确定响应于兴趣接收的内容对象的可信度。如果实体知道内容对象的自认证名称，则此实体可以不需要验证其相应的内容对象的签名，实体可以只计算并将内容对象的散列值与自认证名称比较。

在一些实施例中，如果客户端想要获得安全的内容对象，则客户端可以传播包括与内容对象的内容生产者关联的密钥标识符(KeyID)和/或包括具有内容对象的散列的内容对象散列字段。KeyID是用于内容生产者的公钥的散列。当网络堆栈接收这种兴趣时，网络堆栈的验证器组件可以使用KeyID和/或内容对象散列字段来验证内容对象的真实性和合法性。

应用可以使用本地计算机上的传输堆栈来传播对内容对象的兴趣，并预期接收实际上已由与KeyID关联的内容生产者发布的验证的内容对象。传输堆栈传播兴趣，验证器组件可以使用兴趣的KeyID来验证它接收的内容对象的签名，以确保内容对象曾由信任的内容生产者签名。

为了验证内容对象，验证器组件需要从本地密钥链或从信任的第三方(例如认证中心机构)访问验证内容对象所需的公钥。同样，为了确保公钥是有效的，验证器组件计算公钥的散列，并将此散列与KeyID比较。如果公钥的散列与KeyID匹配，则公钥是有效的。

因此，传输堆栈的验证器组件执行可以在运行时引导或被配置成执行任何应用特定的信任模型的广义信任模型。此验证器组件允许应用开发者执行满足其应用需求的任何具鲁棒性并且唯一的信任模型，可以利用绝对的信任锚(例如认证中心身份和公钥)。

示例性网络环境

在CCN中，转发器保存转发信息库(FIB)以控制兴趣通过CCN转发的方式，保存未决兴趣表(PIT)以沿由相应兴趣建立的返回路径返回内容对象，并保存内容存储(CS)来缓存内容对象。通过加入内容限制字段，诸如密钥标识符(KeyID)和内容对象散列(ContentObjeetHash)值，转发器可以根据如下对上游兴趣进行操作：

1)转发器执行精确名称匹配以搜索CS寻找与兴趣的名称匹配的内容。如果找到匹配，则缓存的内容被返回以满足兴趣。

2)如果CS搜索没有找到，则转发器搜索PIT找具有相同的兴趣名称的表项。如果找到匹配的PIT表项，则转发器将兴趣聚合到PIT表项，在PIT表项中记录到达时间和接口，而不必转发兴趣。

3)如果CS没有找到，PIT没有找到，则转发器为兴趣创建新PIT表项，并在PIT表项中记录到达时间和接口。转发器然后在FIB中执行最长匹配查询寻找转发兴趣通过的输出接口。如果存在多个匹配的FIB表项，则转发器的内部调度器根据需要按优先顺序排列路由。例如如果兴趣在第一最高的优先路由上超时，则转发器可以使用次要路由。

对于下游的内容对象，转发器使用PIT和CS中的信息确定内容对象是否可以由PIT中的任何实体满足。通过在兴趣消息中加入诸如KeyID和ContentObjectHash的字段，转发器通过以下规则限制可以返回的对象：

1)如果用来验证内容对象的签名的公钥的散列摘要与相应兴趣的KeyID字段中提供的摘要不匹配，则转发器丢弃内容对象。

2)如果内容对象的散列与ContentObjectHash字段中提供的摘要不匹配，则转发器丢弃内容对象。

如果转发器不丢弃内容对象，则转发器搜索具有匹配名称的PIT表项。如果找到匹配的PIT表项，则转发器将内容对象消息发送到兴趣到达通过的下游接口，并且还可以在CS中缓存内容对象。

CCN架构还支持封装大块内容的元数据以及安全和访问控制信息的清单对象。清单内容对象具有与兴趣匹配的名称，可以包括其它项内容(例如对于大的内容文件块)的自认证兴趣名称(SCN)的列表。由于清单对象本身是内容对象并携带签名，所以SCN列表可以被信任并用来并行地发布具有SCN的大量兴趣，从而提高吞吐量，消除签名验证的必要。清单的描述在美国专利申请号14/337,026(律师案号PARC-20140480US01、名称为“SystemforDistributingNamelessObjectsusingSelf-CertifyingNames”、发明人MarcE.Mosko于2014年7月21日申请)中可以找到。

传播对内容对象的兴趣的任何装置可以使用KeyID和/或ContentObjectHash值。在本发明的实施例中，传输框架可以代表传播相应兴趣的应用验证内容对象。

图1呈现根据实施例促进接收验证的内容对象的示例性计算环境100。计算环境100可以包括内容中心网络(CCN)102，它可以包括有线和无线网络，诸如Wi-Fi网络、蜂窝网络、以太网络、光纤网络和互联网的组合。CCN102可以包括可以基于其名称或名称前缀转发兴趣和内容对象的多个转发器(例如路由器和成员计算机节点)。计算环境100还可以包括连接到CCN102的客户端104，诸如智能手机104.1、平板计算机104.2和/或服务器或个人计算机104.m。

在传统的IP架构中，转发器是基于IP的转换器，其查看包的标题以确定包的源和目的地，并将包转发到目的地。传统的堆栈执行TCP/UDP，应用通过套接字与堆栈交互。相反，本发明的装置104不使用这种传统的“堆栈”。而是，装置104执行“传输框架”106，其可以动态地配置自定义堆栈以满足应用的自定义“环境执行上下文”。

具体地，装置104可以包括传输框架106，其可以自动地创建和/或更新本地应用或本地操作环境的自定义堆栈110(例如不用本地用户116、本地操作环境和/或在装置104上运行的任何应用介入)。装置104还可以包括转发器112(例如网络接口卡或局域网中的路由器)，这可以在传输框架106的自定义堆栈和网络102之间传递包。自定义堆栈110可以处理去向和/或来自转发器112或在装置104上运行的任何应用的包，堆栈的组件可以包括可以按任何次序组织以满足应用需要的任何可用组件。

在一些实施例中，传输框架106可以包括可以动态地按需配置堆栈的一组堆栈配置代理。例如，传输框架106可以包括一组传输API组件108，他们执行通过库和/或API可访问的功能。应用可以通过向传输框架106发布呼叫，访问由传输框架106执行的API。传输框架106然后将API呼叫映射到组件108的执行此特定功能的相应API组件，并将API呼叫转发到此API组件。

如果不存在用于处理API呼叫的堆栈，则API组件可以配置或实例化可以执行应用的API呼叫的自定义堆栈。例如，API组件可以向传输框架106发布请求，该请求描述自定义堆栈的功能。此功能描述可能是高级的，诸如规定要对数据包执行的预定义行为或操作。传输框架106然后通过将所需组件按达到期望行为或操作的次序组织成自定义堆栈110(例如在自定义堆栈组件中)来实现此行为或操作。

替代性地，功能描述可以是低级的，诸如规定要使用的特定的堆栈组件，并且可以规定排列堆栈组件的次序。而且，功能描述还可以对个别组件是特定的或通用的，例如请求特定的“安全组件”(例如PKI验证器组件)或请求任何“验证器组件”。

自定义堆栈110中的每个组件具有输入和输出队列的元组，诸如分别用于向堆栈中的下一较低组件发送和从其接收消息的OutputQueueDown(输出队列下)队列和InputQueueDown(输入队列下)队列。输入和输出队列还包括用于分别向堆栈中的下一较高组件发送和从其接收消息的OutputQueueUp(输出队列上)队列和InputQueueUp(输入队列上)队列。出消息一次一个通过向下的队列(例如从组件120向组件124)流过堆栈110的组件，其中，每个组件读、处理和根据需要转发消息。另一方面，入消息从组件124向上流过堆栈110流向组件120。堆栈110中的顶部堆栈组件120与传输API组件108接口，底部堆栈组件124与转发器112接口。

在一些实施例中，堆栈110可以包括安全组件122，其代表应用或操作环境执行透明的信任强制，而不需要应用或操作环境涉及到验证内容对象中。例如，安全组件122可以包括签名器组件124和验证器组件126。当安全组件122从应用接收兴趣时，签名器124可以在本地存储库中存储兴趣，以使兴趣的KeyID或ContentObjectHash值可由验证器126访问。

验证器126执行操作以获得与兴趣的KeyID关联的所需公钥，验证公钥并验证其名称前缀与兴趣的名称匹配的内容对象。验证器126可以在公钥未能通过验证时执行补救动作(例如通过请求另一公钥)，并且可以在内容对象未能通过验证时执行补救动作(例如通过传播兴趣以请求可能通过验证的另一内容对象)。

在一些实施例中，内容对象可以包括清单。清单包括作为较大集合(诸如电影文件)的一部分的一个或多个内容对象的列表。清单本身还可以包括可以用来对照发布者的公钥或KeyID验证清单的签名。同样，清单包括验证清单所需的任何其它信息，诸如包括曾用来对清单签名的公钥的证书引用。验证器126可以通过使用此引用来从信任第三方取出证书并确定安全组件122是否可以信任证书(例如通过遵循从信任根证书到清单的证书的信任链)来执行PKI认证。

如果清单证书的验证是成功的，验证器126从证书中获得公钥，并使用KeyID验证公钥。如果公钥的验证成功，则验证器126使用公钥来验证清单的签名。如果清单的签名成功，则验证器126继续向传输堆栈110中的更高堆栈组件(例如向清单处理堆栈组件，或者向请求清单的应用或操作环境)发送清单。

验证器126还包括信任电路，它可以基于内容对象的附加属性验证内容对象。例如，如果PKI验证不能用来接受或拒绝内容对象(例如如果验证器126不能获得KeyID、公钥或证书)，则验证器126可以延缓对信任电路的验证。此信任电路执行超过标准PKI验证框架的更多的复杂信任验证技术。例如，信任电路可以包括可以由应用或操作环境通过传输框架API定义的信任检验器序列。

一些示例性信任检查可以包括：

·拒绝陈旧数据(例如比n天更久的数据)的信任检查器。

·拒绝内容对象的信任检查器，其中内容对象的公钥从不在名称空间白列表中的名称空间获得，或者从名称空间黑列表中的名称空间获得。

·使用良好隐私(PGP)对等信任网验证内容对象的信任检查器。

在一些实施例中，应用或操作环境可以在实例化自定义堆栈110中的安全组件122时给传输框架106的API108提供执行信任检查器的指令。应用还可以提供预定义检查器的列表，以对信任电路实例化，并且可以提供要在安全组件122中实例化这些信任检查器采用的次序。

验证器126可以包括控制点接口(CPI)代理，其在运行时从应用接受控制语句。应用可以使用CPI在运行时选择对于给定兴趣(和匹配的内容对象)或对于未来兴趣和内容对象，应用想要启用或禁止信任检查器的哪一子集。因此，当信任检查器关闭时，信任电路可以绕过信任检查器，以将所有检查转发到信任检查器序列中的下一信任检查器。

图2呈现根据实施例图解说明实例化或使用传输堆栈接收验证的内容对象的方法200的流程图。操作中，传输框架可以从应用接收API呼叫(操作202)。此API呼叫可以包括实例化或更新要由应用使用的堆栈的指令，或者可以包括应用需要通过计算机网络传输的消息。因此，传输框架确定API呼叫是否包括堆栈需求，或者是否包括CCN消息(操作204)。如果API呼叫包括堆栈需求，则传输框架实例化或更新传输堆栈，使得它满足堆栈需求(操作206)。

另一方面，如果API呼叫包括CCN消息，则传输框架识别与API呼叫关联的传输堆栈(操作208)，并将CCN消息转发到识别的传输堆栈(操作210)。同样，别忘记CCN消息可以包括用作对一项数据进行请求的兴趣，或者可以包括携带用于本地应用的数据的数据对象(例如包括通过兴趣请求的数据的CCN内容对象)。因此，传输框架可以分析CCN消息以确定消息是否包括兴趣(操作212)。如果包括，则传输框架可以从由传输堆栈的验证器组件验证的传输堆栈接收验证的内容对象(操作214)。传输框架然后将验证的内容对象返回到应用(操作216)。

操作206中，当实例化传输堆栈时，应用或传输框架可以引导验证器组件以上传期望的信任模型。例如，本地网络浏览器可以用一组根认证中心(CA)证书预配置，浏览器可以使用这些证书来验证它接收的签名数据。网络浏览器可以实例化包括验证器组件的自定义传输堆栈，引导验证器组件以包括这组根CA证书。然后，当通过HTTP建立TLS会话时，验证器可以遍历从目标服务器开始以信任CA证书结束的证书链，信任CA证书验证用来加密和/或签名数据的公钥的合法性。如果目标服务器的证书链不以默认根CA证书之一为根，则公钥不被信任，用户通常被警告。浏览器应用不再需要遍历证书链本身来验证签名的或加密的数据包。

别忘记堆栈组件可以包括控制面接口(CPI)，其用来配置传输堆栈中的组件。在一些实施例中，本地应用可以使用CPI来直接地向安全组件或验证器组件发布CPI呼叫，以发送重新配置或更新验证器组件的信任模型的配置信息。CPI呼叫可以包括可以封装JSON-编码命令的CCN消息，并从CPI异步地发送到目标堆栈组件(例如安全组件或验证器组件)以修改堆栈组件的内部状态。

CCN消息中的命令包括具有命令的命令标识符(字符串)和有效载荷(选择)的对象。例如，为了取消特定的名称空间前缀的流量控制器会话，CCN消息中包装的JSON-编码命令发送到FlowController(流量控制器)组件。示例性JSON编码CPI命令呈现于表1中。

表1

当传输框架接收CPI呼叫时，传输框架可以异步地调用CPI事件处理器(CPI代理)，其解析CCN消息实例，从JSON对象中提取命令标识符和关联的选择有效载荷，并执行查询以识别自身已经注册命令标识符的堆栈组件。CPI事件处理器然后将CCN消息实例转发到执行命令的操作的匹配堆栈组件(例如以取消流量会话)。

在一些实施例中，验证器组件可以用CPI事件处理器注册CPI命令。两个示例性命令包括白列表修改命令和黑列表修改命令。白列表命令(或黑列表命令)可以从堆栈的验证器组件中的信任电路门(trustcircuitgate)增加(移除)白列表资源，移除(增加)黑列表资源。用于白列表命令或黑列表命令的选择有效载荷可以包括一组密钥，对于每个密钥具有要向白列表资源或黑列表资源增加或从其移除的名称空间前缀的列表。

在一些实施例中，信任电路中最后一个门的默认行为可以设置成自动地拒绝消息，原因是他们还没有被现有的门中的任何一个验证。然而，应用开发者可能希望否定此行为以更加值得信任。由验证器组件注册的另一示例性CPI组件可以包括“设置信任电路末端门延缓动作”命令，其配置验证器组件的信任电路中最后一个信任检查器的默认行为。

由验证器组件注册的另一示例性命令可以包括“切换高级信任电路门”，其启用或禁止验证器组件中的信任电路。当启用时，如果进入的消息通过基本信任策略测试，则验证器组件将他们转发到测试电路中。如果禁止，则只有基本信任策略测试会被强制，验证器组件并不将消息转发到信任电路。

网络层安全组件

图3呈现根据实施例图解说明使用传输堆栈的安全组件通过内容中心网络发送消息的方法300的流程图。操作中，安全组件的签名器组件可以从应用接收消息(操作302)，分析消息以确定其内容(操作304)。

别忘记应用可以传播包括KeyID的兴趣以请求已经由与KeyID关联的实体签名的内容对象。出于此原因，安全组件存储兴趣消息，使得安全组件可以在验证其匹配的内容对象时访问他们的KeyID。因此，在分析消息时，签名器确定消息是否包括兴趣(操作306)，如果包括，则签名器可以与应用关联地存储兴趣(操作308)。签名器然后将消息转发到传输堆栈的另一组件(操作310)。

另一方面，如果消息不包括兴趣(例如消息包括内容对象或者需要通过计算机网络传输的任何其它数据对象)，签名器确定消息是否需要被签名(操作312)。如果消息不需要被签名，则签名器继续将消息转发到传输堆栈的下一组件(操作310)。否则，签名器在将消息转发到传输堆栈的下一组件(操作310)之前，继续对消息签名(操作314)。

图4图解说明根据实施例的传输堆栈的示例性签名器组件400。签名器组件400可以包括包分析器406和包签名器408。而且，签名器组件400可以从安全组件的上部堆栈组件输出队列402获得消息(例如消息从上部堆栈组件输出)。在处理输入消息之后，签名器组件400将输出消息转发到安全组件的下部堆栈组件输入队列404(例如消息输入到下部堆栈组件)。

别忘记安全组件对兴趣和内容对象对强制实施信任管理。例如，由验证器组件接收的入内容对象需要与曾由应用发布的出兴趣关联。因为此原因，包分析器406分析消息以检测消息，并在这些兴趣流过签名器组件400时将他们缓存到兴趣存储库410(例如队列)中。验证器组件可以访问兴趣存储库410以找到与它接收的内容对象匹配的兴趣。

在常规操作中，兴趣消息绕过包签名器408。因此，包分析器406将兴趣转发到下部堆栈组件输入队列404。另一方面，当包分析器406检测内容对象时，包分析器406将内容对象转发到包签名器408，包签名器408在内容对象通过签名器组件400时对内容对象签名。

图5呈现根据实施例图解说明验证在传输堆栈的安全组件上接收的内容对象的方法500的流程图。操作中，安全组件的验证器组件可以接收内容对象(操作502)。验证器通过搜索本地存储库与内容对象的名称关联的KeyID来处理内容对象(操作504)，并确定是否找到KeyID(操作506)。

如果找到KeyID，则验证器组件验证内容对象是否被与KeyID关联的内容生产者签名(操作508)。同样，如果验证成功，则验证器接受内容对象(操作512)，继续将验证的内容对象转发到曾传播相应兴趣的应用(操作514)。

另一方面，如果没有找到KeyID(操作506)或如果验证没有结论(操作510)，验证器可以使用一个或多个信任检查器来处理内容对象以确定内容对象是否是值得信任的(操作514)。一些示例性信任检查可以包括：

·拒绝陈旧数据的信任检查器。

·使用良好隐私(PGP)对等信任网验证内容对象的信任检查器。

验证器然后确定可信度检查是否确定内容对象是值得信任的(操作516)。如果内容对象是值得信任的，则验证器接收内容对象并将内容对象转发到应用(操作512)。否则，验证器拒绝内容对象(操作518)，并且可以执行补救动作。补救动作可以包括例如在记录文件中写失败的验证操作，通知应用失败的验证检查(并向应用提供内容对象)，并在被拒绝的内容对象的存储库中存储内容对象。

另一补救动作可以包括将返回内容对象的内容生产者加入黑列表，和/或重新提交兴趣以从另一内容生产者获得匹配的内容对象。这允许验证器组件发起附加尝试以代表应用获得可验证的内容对象。

图6图解说明根据实施例传输堆栈的示例性验证器组件600。验证器组件600可以包括验证检查器608和测试电路610。而且，验证器组件600可以从安全组件的下部堆栈组件输出队列402获得消息(例如消息从下部堆栈组件输出)。在验证输入消息之后，验证器组件600将接受的输出消息转发到安全组件的上部堆栈组件输入队列604(例如消息输入到上部堆栈组件)，并在拒绝存储库606中存储被拒绝消息。

别忘记安全组件对兴趣和内容对象对实施信任管理。当验证器组件600接收入内容对象时，验证器组件604在兴趣存储库604中执行查询操作以搜索曾由本地应用发布的相应出兴趣消息。验证检查器608使用出兴趣消息的KeyID和ContentObjectHash来验证内容对象。

测试电路610可以对内容对象执行先前信任策略强制，这涉及使用一个或多个信任检查器612处理内容对象。

例如，密钥名称空间检查器612.1可以检查曾用来验证内容对象的签名的公钥是否由属于可信名称空间的密钥生成。例如，以“/parc”名称空间发布的内容可以由属于“/xerox”名称空间的密钥签名，使得“/xerox”名称空间是白列表名称空间，以信任以“/xerox”名称空间发布的任何密钥。

在一些实施例中，验证检查器608可以使用扁平信任模型，它是分层PKI信任模型的特殊情况。具体地，在扁平信任模型中，应用显式地识别应用信任的内容对象的证书。验证检查器608只接受使用这些识别的证书签名的内容对象，结果，并不需要执行证书链遍历。

陈旧数据检查器612.2可以检查内容对象的签名是否并不比预定的时间范围更久，诸如星期、月、年等。

尾部检查器612.n可以执行预配置操作，诸如默认接受消息或默认拒绝消息。应用可以通过用于验证器组件600的CLI配置默认操作。

信任网(WOT)检查器(图6中没有显示)可以保存自签名信任身份(例如公钥散列)的缓存，并使用此身份缓存来实施信任网模型。如果内容对象是由可信密钥签名的，则被认为是信任的。当接收新身份内容对象并将其传递到信任电路610时，WOT检查器可以检查验证密钥是否由信任身份缓存中已经信任的身份之一签名。如果是，则接受验证密钥，与新身份关联的引用计数递增。在一些实施例中，WOT检查器可以有机地增长信任密钥集合。例如，如果新身份的引用计数超过预定阈值(例如三个有效引用)，则WOT检查器可以将此新身份增加到信任身份缓存。

信任网模型相对更加集中化的PKI模型被去集中化。信任网模型的基本思想是节点在没有信任CA下，可以独立地选择信任身份和公钥绑定证书。更具体地，节点可以个别地或作为整体保证证书的可信度。节点可以部分地被信任或者完全被信任。保证证书绑定的完全信任的节点自动地延伸“信任网”。相反，一组节点(例如三个或更多个)必须在“信任网”被扩展之前保证相同的证书绑定。

例如，在CCN上运行的电影流服务可以基于内容类型(例如电影、电视)、类型(例如动作、喜剧、冒险)和年代分层地对内容分类。为了简化密钥管理，还可以使用每个名称前缀的密钥分层。例如，名称为“/netflix/movie/action/2013/TheAvengers”的命名数据对象(NDO)可以通过名称为“/netflix/movie/action/2013/key”的密钥签名，“/netflix/movie/action/2013/key”又由名称为“/netflix/movie/action/key”的密钥签名，以此类推，直到名称为“/netflix/key”由信任CA签名的根密钥。通过这种类型的信任模型，如果从“/netflix/movie/action/2013/key”到“/netflix/key”的密钥链被成功地验证，则与名称“/netflix/movie/action/2013/TheAvengers”关联的内容对象被信任。

为了在CCN中执行并实施此具体的信任模型，应用开发者只需要完成以下两步：

1)获得CA的公钥，其通过电子分发离线地发布信任的Netflix密钥或者通过KRS类似的服务在线地发布netflix。

2)将此密钥通过CPI增加到验证器组件的信任白列表。

作为进一步的优化以避免长证书链遍历，应用开发者可以要求并缓存与Netflix命名分层内的子名称空间关联的证书，并将他们增加到堆栈内的信任白列表。例如，与名称前缀“/netflix/key”、“/netflix/movie/key”和“/netflix/movie/action/key”关联的证书会全部被加入信任白列表，以防止对于属于“/netflix/movie/action/”名称空间的内容对象的证书链遍历。

作为另一替代示例，考虑执行PGP类似的信任网模型的应用。如前面描述的，信任身份集合(例如公钥和自签名证书)以基于用户的合作方式扩展。具体地，如果超过三个身份保证另一之前不被信任的身份的可信度，则应用可以认为该身份一致被信任。在此示例中，我们假设所有的身份是自签名的，这意味着信任身份集合的有机增长只通过用户组一致同意时增长。

为了执行并遵守此具体类型的信任模型，应用开发者只需要用包含信任网(WOT)检查器的信任电路610实例化验证器组件600。然后，应用可以使用CPI来规定WOT检查器中信任身份的预备集合。WOT检查器缓存这些信任身份以用于未来操作，这些身份被规定为他们的公钥的散列。

图7图解说明根据实施例促进接收验证的内容对象的示例性设备700。设备700可以包括可以通过有线或无线通信信道相互通信的多个模块。设备700可以使用一个或多个集成电路实现，可以包括比图7中所示的更多或更少的模块。而且，设备700可以集成于计算机系统中，或者实现为能够与其它计算机系统和/或装置通信的单独的装置。具体地，设备700可以包括堆栈接口模块702、堆栈配置模块704、验证器模块706和转发器模块708。

在一些实施例中，堆栈接口模块702可以获得自定义堆栈的堆栈需求，并且可以在应用和自定义堆栈之间转发包。堆栈配置模块704可以实例化或配置堆栈以满足堆栈需求。

验证器模块706可以处理用于自定义堆栈的内容对象以验证内容对象是否由与特定的KeyID关联的内容生产者签名。转发器模块708可以在本地堆栈和计算机网络(例如内容中心网络)之间转发CCN消息。

图8图解说明根据实施例促进接收验证的内容对象的示例性计算机系统802。计算机系统802包括处理器804、存储器806和存储装置808。存储器806可以包括充当管理存储器的易失性存储器(例如RAM)，并且可以用来存储一个或多个内存池。而且，计算机系统802可以耦连到显示装置810、键盘812和定位装置814。存储装置808可以存储操作系统816、数据验证系统818和数据828。

数据验证系统818可以包括指令，这些指令在由计算机系统802执行时，可以引起计算机系统802执行本申请中描述的方法和/或过程。具体地，数据验证系统818可以包括用于获得自定义堆栈的堆栈需求并用于在应用和自定义堆栈之间转发包的指令(堆栈接口模块820)。而且，数据验证系统818可以包括用于实例化或配置堆栈以满足堆栈需求的指令(堆栈配置模块822)。

数据验证系统818可以包括用于处理自定义堆栈的内容对象以验证内容对象是否由与特定的KeyID关联的内容生产者签名的指令(验证器模块824)。数据验证系统818还可以包括用于在本地堆栈和计算机网络(例如内容中心网络)之间转发CCN消息的指令(转发器模块826)。

数据828可以包括通过本申请中描述的方法和/或过程作为输入请求的或作为输出生成的任何数据。

在此详细描述中描述的数据结构和代码通常存储于计算机可读存储介质上，计算机可读存储介质可以是可以存储代码和/或数据以由计算机系统使用的任何装置或介质。计算机可读存储介质包括但不限于易失性存储器、非易失性存储器、磁和光存储装置(诸如磁盘驱动器、磁带、CD(光盘)、DVD(数字通用盘或数字视频盘))或能够存储计算机可读介质的现在已知或以后开发的其它介质。

在详细描述部分描述的方法和过程可以体现为代码和/或数据，这些代码和/或数据可以存储在如上文描述的计算机可读存储介质中。当计算机系统读、执行计算机可读存储介质上存储的代码和/或数据时，计算机系统执行体现为数据结构和代码并存储于计算机可读存储介质中的方法和过程。

而且，上面描述的方法和过程可以包括于硬件模块中。例如，硬件模块可以包括但不限于专用集成电路(ASIC)芯片、现场可编程门阵列(FPGA)、现在已知或以后开发的其它可编程逻辑器件。当硬件模块被激活时，硬件模块执行其中包括的方法和过程。

Claims

1.一种计算机实现的方法，包括：

获得对于自定义堆栈的堆栈需求，其中，所述堆栈需求规定验证器堆栈组件的至少描述，所述验证器堆栈组件使用与发布者关联的密钥标识符KeyID验证内容对象；

实例化所述自定义堆栈中的验证器堆栈组件；以及

使用所述自定义堆栈获得验证的内容对象，这涉及：

将包括一项内容的名称以及包括与内容生产者关联的KeyID的兴趣推送到所述自定义堆栈中；以及

从所述自定义堆栈接收所述验证器堆栈组件已经验证并由与所述KeyID关联的内容生产者签名的内容对象。

2.根据权利要求1所述的方法，还包括使用所述自定义堆栈的验证器堆栈组件处理内容对象，其中，处理内容对象涉及：

使用验证器模块验证内容对象是否由与所述KeyID关联的内容生产者签名；以及

响应于确定所述验证器模块没有确认或无效内容对象，使用一个或多个信任检查器处理内容对象，以确定内容对象是否是值得信任的。

3.根据权利要求2所述的方法，还包括：

响应于确定至少一个信任检查器已经确定内容对象是值得信任的，接受所述内容对象。

4.根据权利要求2所述的方法，还包括：

响应于确定至少一个信任检查器已经确定内容对象不是值得信任的，拒绝所述内容对象。

5.一种存储指令的非暂态计算机可读存储介质，所述指令在由计算机执行时引起所述计算机执行一种方法，所述方法包括：

实例化所述自定义堆栈中的验证器堆栈组件；以及

使用所述自定义堆栈获得验证的内容对象，这涉及：

6.根据权利要求5所述的存储介质，其中，所述方法还包括使用所述自定义堆栈的验证器堆栈组件处理内容对象，其中，处理内容对象涉及：

7.根据权利要求6所述的存储介质，其中，所述方法还包括：

8.一种设备，包括：

堆栈接口模块，所述堆栈接口模块获得对于自定义堆栈的堆栈需求，其中，所述堆栈需求规定验证器堆栈组件的至少描述，所述验证器堆栈组件使用与发布者关联的密钥标识符KeyID验证内容对象；以及

堆栈配置模块，所述堆栈配置模块实例化所述自定义堆栈中的验证器堆栈组件；

其中，所述堆栈接口模块还被配置成使用所述自定义堆栈获得验证的内容对象，这涉及：

9.根据权利要求8所述的设备，还包括验证器模块，所述验证器模块处理所述自定义堆栈的内容对象，其中，处理所述内容对象涉及：

验证所述内容对象是否由与所述KeyID关联的内容生产者签名；以及

10.根据权利要求9所述的设备，其中，所述验证器模块还被配置成响应于确定至少一个信任检查器已经确定内容对象是值得信任的，接受所述内容对象。