CN108156154A - 命名数据网络中基于加密和布隆过滤器的访问控制方法 - Google Patents
命名数据网络中基于加密和布隆过滤器的访问控制方法 Download PDFInfo
- Publication number
- CN108156154A CN108156154A CN201711416371.8A CN201711416371A CN108156154A CN 108156154 A CN108156154 A CN 108156154A CN 201711416371 A CN201711416371 A CN 201711416371A CN 108156154 A CN108156154 A CN 108156154A
- Authority
- CN
- China
- Prior art keywords
- data
- consumer
- packet
- website
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种命名数据网络中基于加密和布隆过滤器的访问控制方法,包括:在命名数据网络(NDN网络)中,将消费者的数据请求兴趣包转发到站点或者中间NDN路由器;利用布隆过滤器(Bloom Filter)对数据请求兴趣包进行过滤;将对应的加密数据包返回给消费者;搜索数据秘钥并尝试解密加密数据包;若解密成功,则打开数据,否则向站点发送秘钥请求兴趣包,验证消费者的有效性,若有效,利用消费者的公钥加密数据秘钥并返回给消费者;利用消费者的私钥对数据密钥解密,并利用解密后的数据密钥解密加密数据包,打开加密数据包中的数据。通过本发明的技术方案,避免了向未授权用户发送加密的内容,节省了宽带资源,而且防止了未授权用户获取并试图解密数据。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种命名数据网络中基于加密和布隆过滤器的访问控制方法。
背景技术
目前,在以内容为中心、以内容的分发共享为主要目标的NDN(named datanetworking,命名数据网络)中,通过数字签名实现对内容的完整性、关联性和可信性的保障还远远不够,不能达到完备的安全性要求。命名数据网络(NDN)将互联网从当今的基于IP的分组传送模式转移到基于名称的数据检索模型。网络架构从IP地址转换为命名数据,可以通过网络内缓存和直接检索对象实现有效的内容传送。然而,这一转变也为保护数据对象和对命名数据网络提供合适的访问控制带来了挑战和障碍,原因是广泛的数据复制和网络外围设备的丢失。命名数据网络(NDN)专注于命名数据对象而不是基于IP的终端主机,彻底改变了数据通信。NDN架构的核心设计具有安全性,因为每个命名数据对象都由生产者签名,以确保数据源的验证和内容的完整性。然而,NDN没有在其架构中构建访问控制,以指定如何保护有价值的数据对象防止没有权限的消费者。相反,NDN将访问控制委托给应用程序和生产者。
内容发布者希望对敏感的、涉及隐私的或具有商业价值的内容进行访问控制;内容消费者希望通过不公开获取内容信息的方式来维护自己的隐私。因此,访问控制机制对于NDN的内容访问管理来说是十分必要的。目前对NDN访问控制的研究主要提出了三种类型的访问控制思路,分别是基于命名、基于兴趣包和基于加密的访问控制。
基于命名的访问控制(Name-based Access Control,NAC)属于以内容为中心的访问控制模型,保证内容端到端的完整性,利用NDN中层次化的命名空间能够传达丰富的上下文信息的特性,为加密/解密密钥、签名/验证密钥设计合理的命名格式,以细粒度地指定不同的访问权限。通过对命名格式的定义,可以清楚地传达采取的是何种访问控制策略。NAC侧重的是通过对相应密钥的命名来指定访问权限,而不关心对内容的加密和密钥的分配问题。
由于NDN路由器只会根据兴趣包中携带的信息制定转发决策,网内缓存特性使得很难实施对敏感内容的访问控制策略,基于兴趣包的访问控制(Interest-Based AccessControl,IBAC)应运而生。这种方案只根据兴趣包中携带的信息实施访问控制。IBAC的主要思想是使敏感内容的名字对于未授权的一方来说是不可预知的。换句话说,如果某个消费者没有被授权访问某个内容,他就不能获悉该内容的名字,从而不能产生相对应的兴趣包,此外,IBAC允许有缓存的路由器实施访问控制,路由器在用本地缓存满足兴趣包之前,首先执行权限检查的功能。IBAC方案中用到了名字模糊化(Name Obfuscation)和授权披露(Authorized Disclosure)的技术。名字模糊化的目的是防止未授权的消费者发布请求敏感内容的兴趣包。然而,为了实现兴趣包的转发,模糊化的只是名字的后缀,而不是可路由的前缀。而授权披露指的是提供内容的实体(有缓存的路由器)维持必要的信息以实现权限检查的功能,并且能够实际验证所提供的授权信息。IBAC主要强调的是要求网络中的路由器能够实施内容生产者的访问控制策略。然而事实上,网络不是那么可信的,不能过多依赖于网络中间设备来实现访问控制。
对于以内容为中心的NDN网络,基于加密的访问控制是目前研究最深入的访问控制机制。为了实现访问控制,内容生产者在发布时就对内容进行加密,便可以通过控制对应的解密密钥的分配来控制对内容的访问。也就是说,一个拥有合理访问权限的消费者,不仅能通过发送兴趣包获取被加密的内容,还能获得解密内容的密钥;一个没有对应访问权限的消费者将不能获得解密密钥,从而不能解密出受保护的内容。根据这个思路,基于加密的访问控制亟待解决“如何加密内容”和“如何安全地分配解密密钥”两个问题。
发明内容
针对上述问题中的至少之一,本发明提供了一种命名数据网络中基于加密和布隆过滤器的访问控制方法,来保护命名数据对象。在此机制中,每个生产者使用生产者和授权给消费者的共享对称数据密钥来加密受保护的数据对象,通过生产者的订阅获得访问权限。由于NDN路由器的数据缓存,没有访问权限的消费者可能从NDN路由器获取缓存的数据对象,因为NDN路由器没有每个生产者的订阅列表。为了减少将受保护和加密的数据对象分发给未经授权的消费者的可能性,本发明引入了基于概率的布隆过滤器数据结构来拒绝未经授权的消费者的兴趣包。布隆过滤器数据结构由生产者基于授权消费者列表生成,并分发给NDN路由器,NDN路由器通过将缓存的数据对象返回给消费者之前查询本地布隆过滤器来确定每个消费者的访问权限。基于布隆过滤器数据结构的增加通过对来自大量未经授权的消费者的兴趣包进行预过滤,并阻止他们获得加密的数据内容,减少了大量的无效数据的返回,因此节省了大量的网络流量。
为实现上述目的,本发明提供了一种命名数据网络中基于加密和布隆过滤器的访问控制方法,包括:将消费者的数据请求兴趣包转发到站点或中间NDN路由器;利用所述站点的注册用户数据生成的、或者中间NDN路由器缓存的站点生成的布隆过滤器对所述数据请求兴趣包进行过滤,以滤除其中未注册的消费者的数据请求兴趣包;将过滤后的所述数据请求兴趣包对应的利用对称加密算法加密后的加密数据包返回给所述消费者;搜索所述消费者所在设备的存储中的数据秘钥并尝试解密所述加密数据包;若解密成功,则打开所述加密数据包中的数据,否则向所述站点发送秘钥请求兴趣包;根据所述站点的注册用户数据验证所述消费者的有效性,如果有效,利用所述消费者的公钥加密数据秘钥,并将加密后的所述数据秘钥数据包返回给所述消费者;利用所述消费者的私钥对所述数据密钥解密,并利用解密后的所述数据密钥解密所述加密数据包,打开所述加密数据包中的数据。
在上述技术方案中,优选地,消费者在所述站点的注册过程具体包括:将消费者签名后的注册请求兴趣包发送到所述站点,其中,签名为利用所述消费者的私钥对所述注册请求兴趣包的名称前缀进行计算得到的名称,所述名称中还包括一个指向所述消费者的公钥;所述站点从所述注册请求兴趣包中获取所述消费者的公钥,以验证所述注册请求兴趣包的真实性和完整性;若所述注册请求兴趣包通过验证,将所述消费者的公钥和所述注册请求兴趣包的信息加入所述站点的消费者列表中作为所述注册用户数据;向所述消费者返回注册通过消息,以通知所述消费者注册成功。
在上述技术方案中,优选地,所述站点的注册过程还包括:将所述消费者签名后的取消注册兴趣包发送到所述站点;所述站点根据所述取消注册兴趣包的签名验证所述取消注册兴趣包;通过验证后将所述站点的消费者列表中的所述消费者的数据删除;向所述消费者返回确认取消消息,以通知所述消费者取消注册成功。
在上述技术方案中,优选地,所述对称加密算法的加密过程具体包括:利用同一个对称数据秘钥对所述站点的所有受保护的数据包进行加密,其中,所述对称数据秘钥被每个注册用户的公钥加密过。
在上述技术方案中,优选地,将所述数据请求兴趣包对应的利用对称加密算法加密后的加密数据包返回给所述消费者具体包括:将所述消费者发送的所述数据请求兴趣包对应的加密数据包缓存到中间路由器中;中间路由器将所述加密数据包转发给所述消费者。
在上述技术方案中,优选地,所述根据所述站点的注册用户数据验证所述消费者的有效性具体包括:查找所述布隆过滤器中是否包括所述消费者,若包括,则确定所述消费者有效,否则判定所述消费者无效。
在上述技术方案中,优选地,命名数据网络中基于加密和布隆过滤器的访问控制方法还包括:利用更新后的数据秘钥只对所述站点中的热门数据进行加密;当冷门数据被请求时,利用更新后的数据秘钥立即对所述冷门数据请求兴趣包对应的数据包进行加密,节省站点的资源;其中,所述热门数据与所述冷门数据根据数据包的被请求次数进行分类。
在上述技术方案中,优选地,所述布隆过滤器根据所述站点的注册用户数据中注册用户的公钥的摘要计算得到,将所述布隆过滤器分发至所述命名数据网络的中间路由器;当注册用户数量不断增加,站点将连续更新后的布隆过滤器数据结构附在注册确认消息的数据包中分发给NDN路由器;当用户从站点取消注册时,站点将将连续更新后的布隆过滤器数据结构附在取消确认消息的数据包中分发给NDN路由器。
与现有技术相比,本发明的有益效果为:通过公钥密码和对称数据秘钥的组合对受保护的数据进行加密,以防止未经授权消费者的访问,此外,构建布隆过滤器数据结构,避免了向未授权用户发送加密的内容,节省了宽带资源,而且防止了未授权用户获取并试图解密数据。
附图说明
图1为本发明一种实施例公开的命名数据网络中基于加密和布隆过滤器(的访问控制方法的流程示意图;
图2为本发明一种实施例公开的消费者注册过程的数据流示意图;
图3为本发明一种实施例公开的数据秘钥的传输过程的数据流示意图;
图4为本发明一种实施例公开的布隆过滤器的数据结构示意图。
图中,各附图标记为:
1.消费者,2.第一路由器,3.第二路由器,4.站点,11.注册请求兴趣包,12.注册通过消息,13.数据请求兴趣包,14.加密数据包,15.秘钥请求兴趣包,16.数据秘钥数据包。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种命名数据网络中基于加密和布隆过滤器的访问控制方法,包括:步骤S11,将消费者1的数据请求兴趣包13通过路由转发到站点4或者中间路由器;步骤S12,利用站点4的注册用户数据生成的布隆过滤器对数据请求兴趣包13进行过滤,以滤除未注册的消费者1的数据请求兴趣包13;步骤S13,将数据请求兴趣包13对应的利用对称加密算法加密后的加密数据包14通过路由返回给消费者1;步骤S14,搜索消费者1的缓存中的数据秘钥并尝试解密该加密数据包14;步骤S15,若解密成功,则打开加密数据包14中的数据,否则向站点4发送秘钥请求兴趣包15;步骤S16,根据站点4的注册用户数据验证消费者1的有效性,如果有效,利用消费者1的公钥加密数据秘钥,并将加密后的数据秘钥数据包16返回给消费者1;步骤S17,利用消费者1的私钥对数据密钥解密,并利用解密后的数据密钥解密加密数据包14,打开加密数据包14中的数据。
如图2所示,在上述实施例中,优选地,站点4的注册过程具体包括:将消费者1签名后的注册请求兴趣包11发送到站点4,其中,签名为利用消费者1的私钥对注册请求兴趣包11的名称前缀进行计算得到的名称,名称中还包括一个指向消费者1的公钥;站点4从注册请求兴趣包11中获取消费者1的公钥,以验证注册请求兴趣包11的真实性和完整性;若注册请求兴趣包11通过验证,将消费者1的公钥和注册请求兴趣包11的信息加入站点4的消费者1列表中作为注册用户数据;向消费者1返回注册通过消息12,以通知消费者1注册成功。
在上述实施例中,优选地,站点4的注册过程还包括:将消费者1签名后的取消注册兴趣包发送到站点4;站点4根据取消注册兴趣包的签名验证取消注册兴趣包;通过验证后将站点4的消费者1列表中的消费者1的数据删除;向消费者1返回确认取消消息,以通知消费者1取消注册成功。
在上述实施例中,优选地,对称加密算法的加密过程具体包括:利用同一个对称数据秘钥对站点4的所有受保护的数据包进行加密,其中,对称数据秘钥被每个注册用户的公钥加密过。
在上述实施例中,优选地,将数据请求兴趣包13对应的利用对称加密算法加密后的加密数据包14通过路由返回给消费者1具体包括:将消费者1发送的数据请求兴趣包13对应的加密数据包14缓存到中间路由器中;中间路由器将加密数据包14发送给消费者1。
在上述实施例中,优选地,根据站点4的注册用户数据验证消费者1的有效性具体包括:查找站点4的注册用户数据中是否包括消费者1的信息,若包括,则确定消费者1有效,否则判定消费者1无效。
在上述实施例中,优选地,为防止未注册用户重复使用数据密钥,该访问控制模型建立一个到期策略,要求站点每隔预设时间重新生成一个数据密钥,并同时用新密钥重新加密数据。该策略有效地将未注册用户缓存的旧数据密钥淘汰。但是,这个策略的缺点是在站点上用新密钥重新加密数据的潜在成本。一个优化的解决方案是:利用更新后的数据秘钥只对站点4中的热门数据进行加密;当数据请求兴趣包13对应的数据包为冷门数据时,利用更新后的数据秘钥对数据请求兴趣包13对应的数据包进行加密;其中,热门数据与冷门数据根据数据包的被请求次数进行分类。
在上述实施例中,优选地,布隆过滤器根据站点4的注册用户数据中注册用户的公钥的摘要计算得到,将布隆过滤器分发至命名数据网络的中间路由器。当注册用户数量不断增加,站点将连续更新后的布隆过滤器数据结构附在注册确认消息的数据包中分发给NDN路由器;当用户从站点取消注册时,站点将将连续更新后的布隆过滤器数据结构附在取消确认消息的数据包中分发给NDN路由器。
在该实施例中,访问控制模型的最基本模块是加密,而密钥的管理又是访问控制的关键问题。安全和有效的密钥管理和分发是整个系统的一个关键任务,本发明采用了命名数据网络项目中提出的密钥管理和分发机制,并且遵循该项目提出的设计原则和部署指导,在这里使用测试平台的根密钥来对每个站点的公钥进行签名,然后每个站点的密钥对该站点下的消费者的公钥进行签名。接下来以视频站点的视频数据为例,对消费者访问视频数据的控制方法进行具体描述。
用V来表示视频流服务站点,u表示某个消费者,那么消费者u的公钥和私钥对可以表示成{PUu,PRu}。同样的站点V的公钥对表示成{PUv,PRv},为了能够交换公钥,他们给自己的公钥数据包命名为:/ndn/keys/V/SHA256(PUv)和/ndn/keys/C/u/SHA256(PUu)。公钥PUv和PUu可以作为通常的数据包通过兴趣包和数据包的交换方式来被各自获取。
进一步地,为了获得对受保护的数据的获取和使用,消费者比如Alice,必须通过向站点(数据生产者)进行注册。Alice发送一个签了名的注册请求兴趣包11来注册这个站点V,这个签名是使用Alice的私钥对注册请求兴趣包11的名字前缀进行计算,并且包括一个指向Alice的公钥的名字,使得站点V可以通过这个名字来获得Alice的公钥。
在获得了签了名的注册请求兴趣包11之后,站点V先获取Alice的公钥来验证这个注册请求兴趣包11的真实性和完整性。如果这个注册是有效的并且被站点V通过,那么V将返回一个通过消息给Alice,并将Alice的公钥和相应信息加入到V的消费者列表中。表1表示了这样一个有四个消费者的消费者列表,消费者列表的主要作用为:(1)决定是否向某个消费者发送数据密钥;(2)用来产生布隆过滤器来过滤那些无权限的消费者发出的兴趣包。
表1消费者列表
如果要取消注册,消费者只需要向站点V发送一个签名的取消注册兴趣包来取消注册,同样,V确认之后会返回一个确认取消消息。在取消注册完成之后,该消费者将失去使用该数据的相应权限。
如图3所示,进一步地,为了请求一个受保护的数据,消费者Alice发送了一个普通的数据请求兴趣包13,这个数据请求兴趣包13将会被路由转发到站点V,而站点V将会返回相应的数据包,这些数据包与普通数据包的唯一区别就在于它们是加了密的,换句话说,站点V所有受保护的数据包都用同一个数据密钥DKv来加密。其中,具体地,上述用于转发数据的路由包括第一路由器2和第二路由器3,优选地,第一路由器2为Edge Router,第二路由器为Backbone Router。
由于非对称加密算法有着很高的计算开销,因此这里使用对称加密算法来对视频数据进行加密。对称数据密钥DKv能够作为普通数据包来获取,但必须是已经注册的消费者才能获取,更重要的是,数据密钥是被每个注册消费者的公钥加密过的,以此确保密钥的安全性。根据全局的命名机制,每个密钥数据包的名字都是唯一的,并且只有注册消费者自己才知道这个名字。
当收到数据请求兴趣包13时,站点V(数据生产者)将会返回加密的数据包,返回的加密数据包14也将会被中间路由缓存。消费者Alice在收到加密数据包14后,会搜索自己缓存中是否已经有数据密钥DKv来尝试解密数据。如果成功,Alice就能解密数据并播放视频数据;如果没能成功找到数据密钥,那么Alice将会发出秘钥请求兴趣包15来向站点V请求数据密钥DKv。如果站点V收到了这样的秘钥请求兴趣包15,那么它将会在消费者列表里查找并验证该消费者的权限的有效性,如果有效,站点V将会用该消费者的公钥加密数据密钥然后返回相应的数据秘钥数据包16给该消费者。消费者在收到该数据秘钥数据包16之后,用自己的私钥PRu来对数据秘钥数据包16进行解密从而得到数据密钥,然后使用数据密钥解密视频数据。同时,该数据密钥将会被该消费者缓存,以做之后的使用。
其中,具体地,用非对称加密算法来加密数据的代价大大高于对称加密算法,因此NDNx库和其他命名数据网络的项目都建议和采用对称加密算法。因为站点V每天会重新加密视频数据,以确保取消注册的消费者会继续使用之前旧的数据密钥来使用数据,所以每天必须要用新的数据密钥重新加密视频数据。然而,如果采用非对称加密算法来加密所有的视频数据,并且这些数据由于被每个消费者的公钥加密,无法被其他消费者重复使用,即使缓存在路由中也失去了作用,大大降低了命名数据网络的优势。使用对称加密算法的好处就是这些加密的数据是用同一个数据密钥加密的,那么它们被缓存在路由中的时候,可以被其他需要的消费者获取并解密,大大增加了数据的重用性,体现了命名数据网络的优势所在。
与普通的数据包一样,用于请求数据密钥的秘钥请求兴趣包15会被路由器转发。然而,站点向消费者返回的数据密钥数据包没有必要在路由器中缓存,因为数据密钥数据包是由每个不同消费者的公钥加密的,每个消费者获取数据密钥数据包的名字是不同的,所以这些数据秘钥数据包16对消费者来说是唯一的,不会被其他消费者重复请求。
进一步地,为了防止取消注册的消费者重复使用旧的数据密钥,需要实现一种回收权限的机制。站点V将会每天产生一个新的数据密钥,并用新的数据密钥对所有视频数据进行加密,这种策略使得取消注册或者权限到期的消费者无法使用旧的数据密钥来解密数据,但是每天重新加密所有视频数据的开销可能过大。本发明提出了一种优化地解决办法,即基于历史记录,只加密流行的热门视频数据,当那些冷门视频数据被请求时,因为数量较少,立即重新加密这些数据的开销不会太大。
进一步地,为防止未经授权的消费者接收到加密的视频内容,我们通过布隆过滤器构建了基于概率的访问控制机制,作为过滤来自未授权消费者兴趣包的第一道防线。在本发明中,我们为每个站点生成一个布隆过滤器来验证消费者。具体来说,每个站点V根据消费者表中所有公钥的摘要计算得到布隆过滤器,并分发给NDN路由器进行预过滤来自不在消费者列表中的消费者的数据请求兴趣包13。
由于布隆过滤器固有的特点,即它有一定的误识别率但是没有识别错误的情况。也就是说,NDN路由器可能会将缓存和加密的视频段返回给少数未经授权的消费者。但是,这些未注册的消费者将无法解密这些视频段,因为他们无法获取和解密数据密钥。相比于其他的数据结构,布隆过滤器在空间和时间方面都有巨大的优势,布隆过滤器存储空间和插入/查询时间都是常数,另外,哈希函数相互之间没有关系,方便由硬件并行实现。由于布隆过滤器有这些优点,采用布隆过滤器数据结构可以提前过滤无权限消费者发出的兴趣包。
如图4所示,消费者Eve有一项哈希函数的映射为0,所以布隆过滤器判断Eve为无权限消费者,而布隆过滤器不会错误地将合法消费者识别为非法消费者,虽然它存在一定的误识别率,即将非法消费者识别为合法消费者。但是介于布隆过滤器的数据结构大小和它的正确率,它可以非常有效过滤无效的兴趣包,只是网络减少大量无效的数据包的传输,从而节省了大量网络带宽。
以上所述为本发明的实施方式,根据本发明提出的命名数据网络中基于加密和布隆过滤器的访问控制方法,通过公钥密码和对称数据秘钥的组合对受保护的数据进行加密,以防止未经授权消费者的访问,此外,构建布隆过滤器数据结构,用于预先过滤来自没有权限的消费者的兴趣包,能够减少大量的无效数据的返回,因此节省了大量的网络流量。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,包括:
将消费者的数据请求兴趣包转发到站点或者中间NDN路由器;
利用所述站点的注册用户数据生成的、或者中间NDN路由器缓存的站点生成的布隆过滤器对所述数据请求兴趣包进行过滤,以滤除其中未注册的消费者的数据请求兴趣包;
将过滤后的所述数据请求兴趣包对应的利用对称加密算法加密后的加密数据包返回给所述消费者;
搜索所述消费者所在设备的存储中的数据秘钥并尝试解密所述加密数据包;
若解密成功,则打开所述加密数据包中的数据,否则向所述站点发送秘钥请求兴趣包;
根据所述站点的注册用户数据验证所述消费者的有效性,如果有效,利用所述消费者的公钥加密数据秘钥,并将加密后的所述数据秘钥数据包返回给所述消费者;
利用所述消费者的私钥对所述数据密钥解密,并利用解密后的所述数据密钥解密所述加密数据包,打开所述加密数据包中的数据。
2.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,消费者在所述站点的注册过程具体包括:
将消费者签名后的注册请求兴趣包发送到所述站点,其中,签名为利用所述消费者的私钥对所述注册请求兴趣包的名称前缀进行计算得到的名称,所述名称中还包括一个指向所述消费者的公钥;
所述站点从所述注册请求兴趣包中获取所述消费者的公钥,以验证所述注册请求兴趣包的真实性和完整性;
若所述注册请求兴趣包通过验证,将所述消费者的公钥和所述注册请求兴趣包的信息加入所述站点的消费者列表中作为所述注册用户数据;
向所述消费者返回注册通过消息,以通知所述消费者注册成功。
3.根据权利要求2所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,所述站点的注册过程还包括:
将所述消费者签名后的取消注册兴趣包发送到所述站点;
所述站点根据所述取消注册兴趣包的签名验证所述取消注册兴趣包;
通过验证后将所述站点的消费者列表中的所述消费者的数据删除;
向所述消费者返回确认取消消息,以通知所述消费者取消注册成功。
4.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,所述对称加密算法的加密过程具体包括:利用同一个对称数据秘钥对所述站点的所有受保护的数据包进行加密,其中,所述对称数据秘钥被每个注册用户的公钥加密过。
5.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,将所述数据请求兴趣包对应的利用对称加密算法加密后的加密数据包返回给所述消费者具体包括:
将所述消费者发送的所述数据请求兴趣包对应的加密数据包缓存到中间路由器中;
中间路由器将所述加密数据包转发给所述消费者。
6.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,所述根据所述站点的注册用户数据验证所述消费者的有效性具体包括:
查找所述布隆过滤器中是否包括所述消费者,若包括,则确定所述消费者有效,否则判定所述消费者无效。
7.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于,还包括:
利用更新后的数据秘钥只对所述站点中的热门数据进行加密;
当冷门数据被请求时,利用更新后的数据秘钥立即对所述冷门数据请求兴趣包对应的数据包进行加密,节省站点的资源;
其中,所述热门数据与所述冷门数据根据数据包的被请求次数进行分类。
8.根据权利要求1所述的命名数据网络中基于加密和布隆过滤器的访问控制方法,其特征在于:所述布隆过滤器根据所述站点的注册用户数据中注册用户的公钥的摘要计算得到,将所述布隆过滤器分发至所述命名数据网络的路由器;
当注册用户数量不断增加,站点将连续更新后的布隆过滤器数据结构附在注册确认消息的数据包中分发给NDN路由器;当用户从站点取消注册时,站点将将连续更新后的布隆过滤器数据结构附在取消确认消息的数据包中分发给NDN路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711416371.8A CN108156154A (zh) | 2017-12-25 | 2017-12-25 | 命名数据网络中基于加密和布隆过滤器的访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711416371.8A CN108156154A (zh) | 2017-12-25 | 2017-12-25 | 命名数据网络中基于加密和布隆过滤器的访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108156154A true CN108156154A (zh) | 2018-06-12 |
Family
ID=62464588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711416371.8A Pending CN108156154A (zh) | 2017-12-25 | 2017-12-25 | 命名数据网络中基于加密和布隆过滤器的访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108156154A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108574690A (zh) * | 2018-02-12 | 2018-09-25 | 东南大学 | 一种缓解命名数据网络中内容毒害攻击的方法 |
| CN109271408A (zh) * | 2018-08-31 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 一种分布式数据连接处理方法、装置、设备及存储介质 |
| CN109410547A (zh) * | 2018-09-17 | 2019-03-01 | 湖南大学 | 基于命名数据网络的可插拔设备控制方法及系统 |
| CN110401637A (zh) * | 2019-06-28 | 2019-11-01 | 中南民族大学 | 一种命名数据网络中基于名字的信任方法 |
| CN111435945A (zh) * | 2019-01-15 | 2020-07-21 | 厦门雅迅网络股份有限公司 | 一种汽车以太网通讯方法、终端设备及存储介质 |
| CN111541710A (zh) * | 2020-05-06 | 2020-08-14 | 北京大学深圳研究生院 | 一种网络中数据内容的鉴授权方法和计算机可读存储介质 |
| CN111917658A (zh) * | 2020-07-01 | 2020-11-10 | 大连理工大学 | 一种命名数据网络下基于分组的隐私保护协作缓存方法 |
| CN112311776A (zh) * | 2020-10-21 | 2021-02-02 | 浪潮云信息技术股份公司 | 一种防范api网关泛洪攻击的系统及方法 |
| CN112994888A (zh) * | 2019-12-12 | 2021-06-18 | 北京邮电大学 | 命名数据网络的隐私保护方法、系统和密钥传输方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357278A (zh) * | 2015-10-18 | 2016-02-24 | 北京工业大学 | 命名数据移动自组织网络的官渡缓存策略 |
| CN106254069A (zh) * | 2016-09-07 | 2016-12-21 | 广东工业大学 | 用于内容中心网络的多层加密隐私保护方法 |
-
2017
- 2017-12-25 CN CN201711416371.8A patent/CN108156154A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357278A (zh) * | 2015-10-18 | 2016-02-24 | 北京工业大学 | 命名数据移动自组织网络的官渡缓存策略 |
| CN106254069A (zh) * | 2016-09-07 | 2016-12-21 | 广东工业大学 | 用于内容中心网络的多层加密隐私保护方法 |
Non-Patent Citations (3)
| Title |
|---|
| SATYAJAYANT MISRA,ET.AL: "《Secure content delivery in information-centric networks design, implementation, and analyses》", 《ICN"13:PROCEEDINGS OF THE 3RD ACM SIGCOMM WORKSHOP ON INFORMATION-CENTRIC NETWORKING》 * |
| TAO CHEN,ET.AL: "《An encryption and probability based access control model for named data networking》", 《2014 IEEE 33RD INTERNATIONAL PERFORMANCE COMPUTING AND COMMUNICATIONS CONFERENCE(IPCCC)》 * |
| 张丽等: "《官渡_一种用于命名数据MANET网络的缓存策略》", 《北京工业大学学报》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108574690B (zh) * | 2018-02-12 | 2020-07-31 | 东南大学 | 一种缓解命名数据网络中内容毒害攻击的方法 |
| CN108574690A (zh) * | 2018-02-12 | 2018-09-25 | 东南大学 | 一种缓解命名数据网络中内容毒害攻击的方法 |
| CN109271408A (zh) * | 2018-08-31 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 一种分布式数据连接处理方法、装置、设备及存储介质 |
| US11188535B2 (en) | 2018-08-31 | 2021-11-30 | Beijing Oceanbase Technology Co., Ltd. | Distributed join operation processing method, apparatus, device, and storage medium |
| CN109271408B (zh) * | 2018-08-31 | 2020-07-28 | 阿里巴巴集团控股有限公司 | 一种分布式数据连接处理方法、装置、设备及存储介质 |
| CN109410547A (zh) * | 2018-09-17 | 2019-03-01 | 湖南大学 | 基于命名数据网络的可插拔设备控制方法及系统 |
| CN111435945B (zh) * | 2019-01-15 | 2023-11-07 | 厦门雅迅网络股份有限公司 | 一种汽车以太网通讯方法、终端设备及存储介质 |
| CN111435945A (zh) * | 2019-01-15 | 2020-07-21 | 厦门雅迅网络股份有限公司 | 一种汽车以太网通讯方法、终端设备及存储介质 |
| CN110401637A (zh) * | 2019-06-28 | 2019-11-01 | 中南民族大学 | 一种命名数据网络中基于名字的信任方法 |
| CN112994888A (zh) * | 2019-12-12 | 2021-06-18 | 北京邮电大学 | 命名数据网络的隐私保护方法、系统和密钥传输方法 |
| CN112994888B (zh) * | 2019-12-12 | 2022-06-21 | 北京邮电大学 | 命名数据网络的隐私保护方法、系统和密钥传输方法 |
| CN111541710A (zh) * | 2020-05-06 | 2020-08-14 | 北京大学深圳研究生院 | 一种网络中数据内容的鉴授权方法和计算机可读存储介质 |
| CN111541710B (zh) * | 2020-05-06 | 2022-04-26 | 北京大学深圳研究生院 | 一种网络中数据内容的鉴授权方法和计算机可读存储介质 |
| CN111917658A (zh) * | 2020-07-01 | 2020-11-10 | 大连理工大学 | 一种命名数据网络下基于分组的隐私保护协作缓存方法 |
| CN111917658B (zh) * | 2020-07-01 | 2022-02-25 | 大连理工大学 | 一种命名数据网络下基于分组的隐私保护协作缓存方法 |
| CN112311776B (zh) * | 2020-10-21 | 2022-08-30 | 浪潮云信息技术股份公司 | 一种防范api网关泛洪攻击的系统及方法 |
| CN112311776A (zh) * | 2020-10-21 | 2021-02-02 | 浪潮云信息技术股份公司 | 一种防范api网关泛洪攻击的系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108156154A (zh) | 命名数据网络中基于加密和布隆过滤器的访问控制方法 | |
| CN102404726B (zh) | 一种对用户访问物联网信息的分布式控制方法 | |
| CN106254069B (zh) | 用于内容中心网络的多层加密隐私保护方法 | |
| US7565698B2 (en) | Information-processing device | |
| CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
| CN103763319B (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| CN103701792B (zh) | 可信授权方法、系统、可信安全管理中心和服务器 | |
| CN103179114A (zh) | 一种云存储中的数据细粒度访问控制方法 | |
| WO2006074338B1 (en) | System and method for localizing data and devices | |
| JP2006209779A (ja) | クライアントドメイン内でデジタルコンテンツの消費を管理する方法、および該方法を具現化する装置 | |
| Tourani et al. | TACTIC: Tag-based access control framework for the information-centric wireless edge networks | |
| CN108833339A (zh) | 一种内容中心网络下加密的访问控制方法 | |
| AbdAllah et al. | Preventing unauthorized access in information centric networking | |
| CN106657079A (zh) | 一种基于内容中心网络的隐私保护方法 | |
| Huang et al. | Privacy-preserving traceable attribute-based keyword search in multi-authority medical cloud | |
| Kurihara et al. | A consumer-driven access control approach to censorship circumvention in content-centric networking | |
| CN110933052A (zh) | 一种边缘环境基于时间域的加密及其策略更新方法 | |
| Tan et al. | Access control scheme based on combination of blockchain and XOR-coding for ICN | |
| US10909254B2 (en) | Object level encryption system including encryption key management system | |
| CN108200033A (zh) | 一种基于ndn与开放式移动健康系统框架的访问控制方法 | |
| CN109495253A (zh) | 一种在信息中心网络中实现用户隐私保护的方法 | |
| Kangwa et al. | Enhanced Protection of Ecommerce Users' Personal Data and Privacy using the Trusted Third Party Model. | |
| Tian et al. | A Survey on Data Integrity Attacks and DDoS Attacks in Cloud Computing | |
| Zebboudj et al. | Big data source location privacy and access control in the framework of IoT | |
| Tao et al. | An interest‐based access control scheme via edge verification in Named Data Networking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180612 |