CN108206825B - 在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统 - Google Patents

Abstract

本发明涉及一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。该方法在内容请求者的网络域中设置本地代理装置，在内容提供者的网络域中设置源代理装置；本地代理装置接收内容请求者发出的请求数据包的摘要信息；源代理装置接收内容提供者发出的内容数据包的摘要信息；本地代理装置或源代理装置接收中间节点发起的验证请求，通过存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。如果内容发送者的行为造成了恶劣影响或者巨大损失，可以实现行为问责。本发明能够在以内容传输为主的网络中实现平衡隐私保护和行为问责的目的。

Description

在以内容传输为主的网络中平衡隐私保护与行为问责的方法 和系统

技术领域

本发明属于网络安全技术领域，具体涉及一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。

背景技术

随着互联网的迅速发展，网络安全逐渐得到广泛关注。其中，对用户行为监管并“问责”是网络的服务提供商和内容提供者最关心的问题之一。换而言之，当用户发送恶意请求(或恶意内容)的时候，运营商及接收者(请求的接收者或内容的接收者)需要找到并惩罚恶意用户(Bender A,Spring N,Levin D,et al.,“Accountability as a service,”inProc.IEEE SRUTI’07,1-6,2007.)。但另一方面，网络用户希望保护自己的隐私，即在发送或请求内容的时候个人的地址信息不被其他网络节点知道。当前的网络也有许多这方面的需求，例如：不记名投票，匿名举报等。Tor，Crowds，AHP等网络技术、协议的出现，对此类应用提供了有力支持(Ghaderi J and Srikant R,“Towards a theory of anonymousnetworking,”in Proc.IEEE INFOCOM’10,15-19,2010.)。

如何保护网络参与者的隐私，同时可以在需要的时候找到恶意的参与者并追责，是一个看似矛盾的目标。2014年，卡内基梅隆大学的David等人提出了APIP架构(Naylor D,Mukerjee MK and Steenkiste P“Balancing accountability and privacy in thenetwork,”in Proc.ACM SIGCOMM’14,75-86,2014.)，通过设置独立第三方，来尝试解决这个问题。但APIP仅支持一对一的通信模式，因为在该架构中，用于验证的数据包指纹(fingerprint)是基于网络流(Network flow)信息生成的，因此，同一个发送者发送同样的内容给不同的接收者，将产生不同的验证信息。

随着互联网的发展，网络的应用模式也在发生改变。网络的主要需求已由主机到主机的通信演进为主机到网络的海量信息访问，即请求并获取内容的模式。为应对不断增长的信息访问要求，P2P(peer-to-peer)、CDN(content delivery network)等数据分发技术相继得到广泛应用。根据Cisco Visual Networking Index的预测，2021年每秒钟将有一百万分钟的视频内容在网络中传输，届时全网流量的71％将由CDN技术承载(VisualNetworking Index,“Forecast and methodology,2016-2021 white paper,”Cisco,2017.)。如何在基于内容(content-based)的网络中实现对内容的追踪，进而高效实现问责，是个颇具挑战的问题。

发明内容

本发明针对上述问题，提供一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。该方案提出了一种新的网络架构，能够在以内容传输为主的网络中实现平衡隐私保护和行为问责的目的。

本发明采用的技术方案如下：

一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法，其特征在于，包括以下步骤：

1)在内容提供者的网络域中设置代理装置，称为源代理装置；在内容请求者的网络域中设置代理装置，称为本地代理装置；

2)内容请求者发出请求数据包，用以向内容提供者请求内容，并将请求数据包的摘要信息发送给本地代理装置；

3)内容提供者发出内容数据包，用以向内容请求者提供内容，并将内容数据包的摘要信息发送给源代理装置；

4)中间节点向本地代理装置或源代理装置发起验证请求，通过本地代理装置或源代理装置中存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。

进一步地，如果中间节点发现当前的数据包传输行为属于恶意的，或者接收者发现收到的内容是有害的，则向本地代理装置或源代理装置举报恶意请求或者恶意内容，本地代理装置或源代理装置停止后续对被举报的请求或被举报的内容的验证。

进一步地，如果内容发送者的行为造成了恶劣影响或者巨大损失，则通过本地代理装置或源代理装置找到真实的发送者，并采取问责措施。

进一步地，所述代理装置为服务器或者是软件定义网络中的控制器。

进一步地，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址隐藏在请求数据包中，进而内容提供者将内容直接发送给内容请求者；如果内容提供者不知道内容请求者的地址，则内容提供者将内容发送给本地代理装置，由本地代理装置转发给内容请求者。

进一步地，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址经加密处理后隐藏在请求数据包中；内容提供者将内容发送给内容请求者的过程使用加密方式，使得中间节点不知道内容请求者所请求的内容。

进一步地，使用NID:HID:CID的形式表示目的地址、代理地址、返回地址，其中NID为网络标识符，HID为主机标识符，CID为内容标识符。

进一步地，步骤4)进行的验证过程包括以下三种情况：

a)如果本地代理装置中没有验证结果，则将验证请求转发给源代理装置；

b)如果本地代理装置中缓存了源代理装置返回的验证结果，则将直接返回该验证结果，验证请求无需转发给源代理装置；

c)如果本地代理装置和源代理装置中均没有验证结果，则源代理装置转发验证请求给发送者，寻求验证；如果发送者也无法核实自己是否发送过该内容，则该内容将被视为不可信的，接收者可考虑丢弃已经收到的数据包并重新请求该内容。

一种在以内容传输为主的网络中平衡隐私保护与行为问责的系统，包括设置于内容请求者的网络域中的本地代理装置，以及设置于内容提供者的网络域中的源代理装置；所述本地代理装置接收内容请求者发出的请求数据包的摘要信息；所述源代理装置接收内容提供者发出的内容数据包的摘要信息；所述本地代理装置或源代理装置接收中间节点发起的验证请求，通过存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。

本发明的有益效果如下：

1、采用本发明的方法，验证过程的往返时延(RTT)能够降低78.67％。

2、采用本发明的方法，用于存储验证结果的存储空间能够降低83.4％。

3、采用本发明的方法，89.34％的验证过程可以在本地完成，现有技术不可以在本地完成验证(0％)。

4、由于可以在本地完成验证(第3条)，意味着可以尽快发现问题(问题是指网络攻击等恶意行为)、举报问题、阻止恶意行为的继续，即本发明具有更高的安全性。大量验证在本地完成又可以降低位于源端的代理的服务压力，即本发明有更高的稳定性。这种分布式的设计，也使得本发明具有更高的可扩展性(可以根据实际需要，在不同区域部署，比如可以在某一个楼部署，或者某一个、某几个公司共享一个代理)。

附图说明

图1是本发明的网络架构示意图。

图2是本发明方法的请求及验证过程示意图。

图3是缓存验证信息所需存储空间的示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步详细说明。

一、架构设计

为了在以内容传输为主的网络中实现平衡隐私保护和行为问责的目的，本发明提出了可兼容于传统网络的传输机制，并设计了新型内容标识符和对应的地址表示方式。

1.地址格式

在本方案中，地址信息主要包括三部分：目的地址、代理地址、返回地址。格式如表1所示。其中返回地址为可选项。目的地址与代理地址是必须包含的。

表1地址格式

地址类型	格式
		目的地址	NID<sub>D</sub>:HID<sub>D</sub>:CID<sub>D</sub>
代理地址	NID<sub>A</sub>:HID<sub>A</sub>:CID<sub>A</sub>
		返回地址	NID<sub>R</sub>:HID<sub>R</sub>:CID<sub>R</sub>

在本设计中，使用NID:HID:CID的形式表示地址。其中NID(Network ID)为网络标识符，HID(Host ID)为主机标识符，CID(Content ID)为内容标识符。NID和HID分别由网络和主机的公钥经哈希计算生成。在XIA等未来网络体系结构中，内容标识符由内容的哈希组成(Han D,Anand A,Dogar F,et al.,“XIA:Efficient support for evolvableinternetworking,”in Proc.ACM NSDI’12,309-322,2012.)，但如果本机制采取类似的方法，将不能满足所要达到的目标，因为不同发送者发送的内容将有相同的内容标识符，使得验证和问责难以执行。

在本机制中，CID的设计目标包括：1)可以自验证；2)可以高效标识内容；3)可以满足实时验证的需求。为达到这三个目的，CID的组成如下：

其中，Content代表内容，

表示发送者的公钥，NID_A:HID_A表示代理的地址。虽然NID与HID的结合已经可以定位到一台设备，CID主要用于在主机内进行细粒度的定位。对于需要端口的应用，可以用SID(Socket ID)代替CID。在传统网络中，NID:HID可以用IP地址替换。

2.整体架构

本发明提出了一种可以在以内容传输为主要应用的网络中实现保护用户隐私，同时具备问责能力的网络架构，该架构如图1所示。其中，每个网络域中设置有代理(Delegate)装置，后文简称为“代理”。代理的工作、任务可以是某个专门的服务器来承担，也可以是现在广泛应用的软件定义网络(SDN)技术中的控制器(Controller)扮演。网络域是指由一定数量/规模的终端设备组成的网络。可以根据实际需要，如根据地理位置、机构组成等确定不同规模的网络域。例如，将某个公司所有电脑组成了一个网络域，在该公司设置一个代理。在内容提供者的网络域中，称之为源代理(Source Delegate，D_S)；在内容请求者的网络域中，称代理为本地代理(Local Delegate，D_L)。代理作为独立第三方，存放用于验证用户(网络参与者)身份的信息。下文将介绍该信息的组成。图1中SPs/CPs分别代表Content Provider和Service Provider，即内容提供商或者服务提供商。

在本方案中，请求及验证的过程如图2所示，包括以下八个步骤：

1)Consumer(内容请求者)请求内容，并以D_L地址取代自己的地址，作为返回地址；

2)Consumer发送摘要信息(Brief)给D_L，用以告知D_L自己发送了什么内容；摘要信息将作为后续提供验证服务的依据。下文将详细描述Brief的组成；

3)任何一个中间节点可以发起验证请求(Verify)，验证Consumer是否发送了对应的内容/请求；所述中间节点是指数据包在传输过程中所要经过的节点；

4)如果Consumer允许Provider(内容提供者)知道自己的真实身份，它可将自己的真实地址隐藏在数据包中，或经加密处理；在此情况下，Provider将把Content(内容)直接发送给Consumer，该过程可使用加密方式，使得中间节点并不知道Consumer请求了什么；

5)如果Provider不知道Consumer的地址，则Provider发送content给Consumer的D_L，D_L收到后转发给Consumer；

6)类似步骤2)，Provider发送Brief给D_S；

7)类似步骤3)，中间节点可以随时验证Provider是否发送过相应的内容；

8)本地的其它Consumer可以在本地网络中完成步骤1-5。

二、过程详述

1.生成摘要信息并用于后续验证信息的过程

如图2中的步骤2)和步骤5)所示，Brief发生在发送过程中。发送者(Sender，可以是Consumer或Provider)告知代理自己发送了什么内容。Brief的组成如下：

其中，Brief(P)表示用于后续响应验证请求的信息，ClientID为发送者的主机标识符，

是发送者Sender和D_S共享的对称密钥，MAC(Message Authentication Code)可用于验证发送的内容是否被篡改。F(P)是所发送内容的指纹(Fingerprint)，其组成如下：

包含在F(P)中是为了阻止中间节点在发送者发送的数据包(P)和指纹F(P)之间建立关联。这也是一个安全设计。H(P_Body)代表数据包携带的内容的哈希值，其中P_Body是指数据包的负载部分，即数据包除了头部(含源地址、目的地址等地址信息)以外的部分。代理接收到发送者发来的Brief后，将可以应对随后到来的验证(Verify)。需要指出的是，尽管收到了Brief信息，代理也不会知道发送者具体发送了什么内容。

2.验证者请求验证某一内容是否是合法的无危害内容的过程

验证(Verify)的目的是检查是否有代理可以为发送者发送的数据负责。验证者可以通过收到的流或内容中的任何一个数据包实现验证，而无需等待收到完整的内容，这将确保验证的实时性，防止有害行为影响范围扩大。当验证请求到达代理时，代理将完成两项工作：1)通过查询是否有对应的Brief来确定自己的客户是否发过该内容；2)查询该内容是否已经被举报(该过程将在Shutoff中介绍)。如果通过核实，证实(被请求验证的)内容确实是自己客户发送的，并且没有被其它客户举报为恶意内容，则通知验证者该内容、或这次发送行为是安全、可信的(即下文Result(P)对应的事情)。在本发明设计的机制中，Verify过程有三种可能的情况出现：

1)本地网络(D_L)中没有验证信息

如果之前本地没有其他验证者发起对该内容的验证，或者曾经有过对该内容的验证，但由于间隔时间较长，验证信息已经失效(将在下面第2)种情况中介绍)，则无法在本地完成验证，D_L将把验证请求转发给D_S。

2)本地网络(D_L)中存在验证信息

当验证结果从D_S返回到D_L时，D_L将缓存验证结果。因此，当其他验证者发送验证请求后，在本地代理查询到对应的验证结果，则直接返回该结果而无需转发给D_S。

表2D_L缓存的验证信息

CID	Result(T/F)	Expiration
			CID1	T	16s
CID2	F	23s

在D_L中缓存的验证信息如表2所示。其中T代表有代理为该内容“担保”，F代表没有代理为该内容“负责”。由于本机制属于pull而非push的方式，即只有本地发起过验证请求，对应的验证信息才会被缓存，系统不会主动推送验证信息。因此，出于安全考虑，为本地缓存的验证信息设置有效期，过期后缓存的验证信息将被删除，本地的验证者需要再次从发送者所在域的代理处获取验证结果。通过实验验证，缓存有效期推荐使用30秒。因为当设置的缓存有效期超过30秒后，延长有效期对网络性能的提升将不再明显。系统管理员也可根据实际情况进行设置。如果本地没有足够的存储空间，系统可以采取LRU(Least RecentlyUsed，近期最少使用算法)等替换策略，删除部分缓存的信息。

3)代理中不存在验证结果(包括D_S和D_L)

出现这种情况有三种可能：a)发送者没有发出过该内容；b)发送者在发送Brief给代理的过程中出现Brief丢失；c)在D_S和D_L上的验证信息都过期失效了。此时，D_S将转发验证请求给发送者，寻求验证。如果发送者也无法核实自己是否发送过该内容，则该内容将被视为不可信的，接收者可以考虑丢弃并重新请求该内容。

Verify过程可以表示如下(下文中使用V表示验证者)：

V→D_S,V→D_L and D_L→D_S:

其中，Verify(P)表示发送者给代理发送验证请求的过程，K_v表示验证者使用的密钥,MAC_KV用于确保验证者发送的内容没有被篡改。MAC的作用在上文中已经介绍。如果代理没有用于响应验证请求的信息，则D_S转发验证请求给发送者：

VERIFICATION代表D_S发给发送者的验证请求。当返回验证结果时：

D_S→D_L and D_L→V:

其中，Result(P)表示代理将验证结果返回给验证者的过程；VERIFIED表示已经通过了验证，即验证者请求验证、核实的内容，得到了代理的担保，该内容到目前为止没有被举报，是没有危害的；

是D_S的密钥对(公钥/私钥)。

3.举报恶意行为并暂停内容继续发送、转发的过程

如果中间节点发现当前的传输行为属于恶意的，或者接收者发现收到的内容是有害的，则可以通过Shutoff过程停止代理对该发送者发送的内容继续验证。如果内容的发送者(个人、机构等)行为造成了恶劣影响或者巨大损失，可以通过代理找到真实的发送者(某个组织或者个人)，并采取进一步的问责措施。Shutoff过程可称为“举报过程”，可以表示如下：

V→D_L:

D_L→D_S:

其中，

表示举报者告知本地代理(D_L)停止验证某个数据包(P)所属于的内容在网络中后续的转发的过程；

表示举报者告知源代理(D_S)停止验证某个数据包(P)所属于的内容在网络中后续的转发的过程；

表示举报者的私钥，这里的举报者即内容的接收者；

表示本地代理的公钥；duration为关停验证的时间，可根据实际情况设定。为了防止恶意的“举报”行为。本地代理在接收到Shutoff信息时需要记录发送该信息的终端信息，并在转发给D_S的消息中也包含该信息，以方便对恶意“举报”行为的惩罚。

三、性能测评

本架构是首个致力于在以内容传输为主要需求的网络中实现平衡隐私保护和行为问责能力的机制。本实施例使用中国科技网(CSTNet)的一台边界路由器采集的流量数据，计算了需要的存储空间。如图3所示，当D_L缓存的验证信息有效期设定为30秒时，209MB的存储空间即可满足存储验证信息的需求；即便有效期设置为60秒，375MB的存储空间即可满足需求。在实际部署中，这样的开销是可以接受的。

本发明的架构中，代理(Delegate)的工作、任务可以是某个专门的服务器来承担，也可以是现在广泛应用的软件定义网络(SDN)技术中的控制器(Controller)扮演。

本发明的架构中，代理可以根据实际需要，分区域部署，而非整个互联网中只有几个。他们之间可以遵循本发明的协议进行协同工作，扮演本地代理和源代理(同一个代理服务器在A场景中是源代理，在B场景可能就是本地代理)。

本发明的架构在设计时是作为网络层的协议提出的，只要遵守(例如安装)该协议，即可实现平衡隐私保护和行为问责的目的。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (8)

1.一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法，其特征在于，包括以下步骤：

1)在内容提供者的网络域中设置代理装置，称为源代理装置；在内容请求者的网络域中设置代理装置，称为本地代理装置；

2)内容请求者发出请求数据包，用以向内容提供者请求内容，并将请求数据包的摘要信息发送给本地代理装置；

3)内容提供者发出内容数据包，用以向内容请求者提供内容，并将内容数据包的摘要信息发送给源代理装置；

4)中间节点向本地代理装置或源代理装置发起验证请求，通过本地代理装置或源代理装置中存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容；

步骤4)进行的验证过程包括：

a)如果本地代理装置中没有验证结果，则将验证请求转发给源代理装置；

b)如果本地代理装置中缓存了源代理装置返回的验证结果，则将直接返回该验证结果，验证请求无需转发给源代理装置；

c)如果本地代理装置和源代理装置中均没有验证结果，则源代理装置转发验证请求给发送者，寻求验证；如果发送者也无法核实自己是否发送过该内容，则该内容将被视为不可信的，接收者可考虑丢弃已经收到的数据包并重新请求该内容。

2.如权利要求1所述的方法，其特征在于，如果中间节点发现当前的数据包传输行为属于恶意的，或者接收者发现收到的内容是有害的，则向本地代理装置或源代理装置举报恶意请求或者恶意内容，本地代理装置或源代理装置停止后续对被举报的请求或被举报的内容的验证。

3.如权利要求1所述的方法，其特征在于，如果内容发送者的行为造成了恶劣影响或者巨大损失，则通过本地代理装置或源代理装置找到真实的发送者，并采取问责措施。

4.如权利要求1所述的方法，其特征在于，所述代理装置为服务器，或者是软件定义网络中的控制器。

5.如权利要求1所述的方法，其特征在于，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址隐藏在请求数据包中，进而内容提供者将内容直接发送给内容请求者；如果内容提供者不知道内容请求者的地址，则内容提供者将内容发送给本地代理装置，由本地代理装置转发给内容请求者。

6.如权利要求5所述的方法，其特征在于，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址经加密处理后隐藏在请求数据包中；内容提供者将内容发送给内容请求者的过程使用加密方式，使得中间节点不知道内容请求者所请求的内容。

7.如权利要求1所述的方法，其特征在于，所述摘要信息的组成是；

其中，Brief(P)表示用于后续响应验证请求的信息；ClientID为发送者的主机标识符；

是发送者和源代理装置共享的对称密钥；MAC用于验证发送的内容是否被篡改，F(P)是所发送内容的指纹，其组成为：

其中，H(P_Body)代表数据包携带的内容P_Body的哈希值，CID为内容标识符。

8.一种采用权利要求1所述方法的在以内容传输为主的网络中平衡隐私保护与行为问责的系统，其特征在于，包括设置于内容请求者的网络域中的本地代理装置，以及设置于内容提供者的网络域中的源代理装置；所述本地代理装置接收内容请求者发出的请求数据包的摘要信息；所述源代理装置接收内容提供者发出的内容数据包的摘要信息；所述本地代理装置或源代理装置接收中间节点发起的验证请求，通过存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。

Images