CN109802829B - 信息中心网络内容请求用户的身份认证方法 - Google Patents
信息中心网络内容请求用户的身份认证方法 Download PDFInfo
- Publication number
- CN109802829B CN109802829B CN201910116447.8A CN201910116447A CN109802829B CN 109802829 B CN109802829 B CN 109802829B CN 201910116447 A CN201910116447 A CN 201910116447A CN 109802829 B CN109802829 B CN 109802829B
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- ibe
- interest
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种信息中心网络中内容请求用户的身份认证方法,该方法中通过修改兴趣包结构实现了基于身份的内容请求用户认证。该方法对原始兴趣包进行扩展,在原有的兴趣包中加入了加密后的用户身份信息以及用户对兴趣包的签名信息。使用基于身份的加密方案(Identity Based Cryptography,IBC),包括基于身份的加密(Identity Based Encryption,IBE)和基于身份的签名(Identity Based Signature,IBS)实现了接入网关对内容请求用户的认证。本发明既能实现接入网关对内容请求用户的身份认证,又能避免用户身份等敏感信息泄露,发展和完善了信息中心网络的安全架构。该发明可以从根源上解决网络中安全问题:兴趣洪泛攻击。
Description
技术领域
本发明属于信息中心网络安全领域,涉及信息中心网络中内容请求用户的身份认证方法。
背景技术
最初的互联网是为主机之间通信而设计,但后来以其协议强大的兼容性,承载起无穷的应用并取得史无前例的成功。不过,随着大规模的内容共享和物联网应用日益普及,基于主机地址的路由和面向连接的安全机制的不足日益凸显,协议越来越复杂。
为此,人们提出了信息中心网络(Information Centric Networks,ICN)的全新设计方案。在ICN网络的设计中,网络中传输的有两种包:兴趣(Interest)包和数据(Data)包。路由器包括三种数据结构:内容仓库(Content Store,CS)、待定兴趣表(Pending InterestTable,PIT)和转发兴趣库(Forwarding Interest Base,FIB)。其中CS缓存流经的数据包,提供给后续的兴趣请求;FIB存储兴趣包的转发策略,包含名字前缀、输出接口等字段。路由器收到兴趣包后首先检查本地CS是否存在与兴趣包名字匹配的数据;若存在,则将匹配到的数据包沿兴趣包到达的路径,原路返回给请求节点;若不存在,路由器查询PIT中是否包含该兴趣包名字的条目。若PIT中存在匹配的条目,则在该条目中追加该兴趣包的来源接口;若不存在,则根据名字最长前缀匹配原则查询FIB,将该兴趣包沿查询得到的输出接口转发至下一跳路由器。它具有基于内容的寻址、有状态的转发、网内缓存等特点而引起学术界和产业界的广泛关注。
不过,ICN目前的架构设计在安全方面存在较大的挑战。目前的安全架构设计保证了数据内容的机密性和请求用户对内容发布者的身份确认,但缺乏网络和发布者对请求者身份的认证,这样存在很大的安全隐患。比如,没有经过认证的用户、恶意的消费者可能会故意发送大量的兴趣包到网络中请求不存在的内容,这些恶意请求被缓存在中间路由器的PIT中直至超时才被清除,从而使PIT表资源耗尽,正常的请求无法创建PIT条目而被丢弃,从而导致兴趣洪泛攻击(Interest Flooding Attack,IFA),即ICN网络中的一种典型的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。为此,学者们提出了许多IFA的检测与缓解方案,但大多属于被动防御措施,无法从根源上遏制IFA的产生。
IBC(Identity Based Cryptography,IBC)技术最早由Adi Shamir在1984年提出,它利用可读的用户身份标识作为公钥进行数字签名或内容加密而无需公钥的交换。相比于传统的PKI(Public Key Infrastructure,PKI)加密体制,IBC具有明显的特色和优势:IBC私钥由私钥生成器(Private Key Generator,PKG)按需生成,不需要目录服务来维护公钥私钥对;不再依赖于证书认证中心(Certification Authority,CA)发放的数字证书,避免了公钥基础设施部署复杂、负担繁重、代价高昂的问题。
本发明主要用到基于身份的加密IBE(Identity Based Encryption)和基于身份的签名IBS(Identity Based Signature)两项技术。在IBE方案中,发送方使用接收方的ID对消息加密,接收方用自己的IBE私钥来解密。在IBS方案中,发送方用自己的私钥生成签名,接收方用发送方的ID进行签名验证。
发明内容
为了从根源上增强ICN网络的安全架构,本发明提出了一种内容请求用户的身份认证方法,既能实现用户的身份认证,又能避免用户身份等敏感信息泄露。
为达到上述目的,本发明提供如下技术方案:
一种信息中心网络中内容请求用户的身份认证方法,包括扩展兴趣包的结构,在原有的兴趣包结构中增加两个字段:加密身份和请求用户签名,分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息;内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息;
还包括以下步骤:
S1:内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识;
S2:内容请求用户用自己的IBE私钥,其中IBE私钥是用户从PKG中申请获取的,对兴趣包进行签名;
S3:当接入网关接收到请求时,接入网关首先使用网络的IBE私钥即K,其中K是网络从PKG中申请获取的,用IBE解密算法获取的用户真实身份;
S4:使用解密得到的用户真实身份标识验证用户的签名,验证兴趣包是否安全。
进一步,步骤S1中,使用以下公式加密身份标识:
d′=IBE.encrypt(d,D)
其中d为用户真实的身份标识,D为网络的身份标识,d′为加密之后的身份标识,IBE.encrypt(·)是IBE加密算法。
进一步,步骤S2中,使用以下公式对兴趣包进行签名:
σ=IBS.sign(I,K)
其中I为兴趣包,K为用户的IBE私钥,σ为签名信息,IBS.sign(·)是IBS签名算法。
进一步,步骤S3中,用IBE解密算法得获取用户真实身份,采用以下公式:
d=IBE.decrypt(d′,K)
其中d′是加密之后的用户身份标识,K是网络的IBE私钥,d为IBE解密之后的用户真实身份标识,IBE.decrypt(·)是IBE解密算法。
进一步,步骤S4中,使用以下公式验证兴趣包是否安全:
v=IBS.verify(I,σ,d)
其中v是验证后的结果,σ为签名信息,I是原始的兴趣包,d是网络通过步骤S3解密后获取的用户真实的身份标识,IBS.verify(·)是签名验证算法。只有通过身份验证的兴趣包才能被进一步转发,对于验证失败的兴趣包将会被丢弃。
本发明的有益效果在于:该方法可以成功地认证用户,又能避免用户身份等敏感信息泄露。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
附图1为本发明中提出的修改的兴趣包结构;
附图2为本发明中内容请求用户认证原理图;
附图3为本发明中内容请求用户认证流程图。
具体实施方式
下面将结合附图,对本发明的优选实施例进行详细的描述。
参照图1,一种信息中心网络中内容请求用户的身份认证方法,扩展的兴趣包结构,在原有的兴趣包结构中增加两个字段:加密身份和请求用户签名,分别用于保存加密后的用户身份标识以及对发起兴趣请求的用户签名信息。内容请求用户在每个发送的兴趣包内嵌入IBE加密后的身份标识和IBS签名信息。
如图2、图3所示,本方法还包括以下具体的具体的实施步骤如下:
步骤S1:内容请求用户使用网络身份标识作为密钥用IBE算法加密其身份标识。d′=IBE.encrypt(d,D),其中d为用户真实的身份标识,D为网络的身份标识,d′为加密之后的身份标识,IBE.encrypt(·)是IBE加密算法。
步骤S2:内容请求用户用自己的IBE私钥,其中IBE私钥是用户从PKG中申请获取的,对兴趣包进行签名。σ=IBS.sign(I,k),其中I为兴趣包,k为用户的IBE私钥,σ为签名信息,IBS.sign(·)是IBS签名算法。
步骤S3:当接入网关接收到请求时,它首先使用网络的IBE私钥即K,其中K是网络从PKG中申请获取的,用IBE解密算法得获取用户真实身份。d=IBE.decrypt(d′,K),其中d′是加密之后的用户身份标识,K是网络的IBE私钥,d为IBE解密之后的用户真实身份标识,IBE.decrypt(·)是IBE解密算法。
步骤S4:然后使用解密得到的用户真实身份标识验证用户的签名,验证兴趣包是否安全。v=IBS.verify(I,σ,d),其中v是验证后的结果,σ为签名信息,I是原始的兴趣包,d是网络通过步骤S3解密后获取的用户真实的身份标识,IBS.verify(·)是签名验证算法。只有通过身份验证的兴趣包才能被进一步转发,对于验证失败的兴趣包将会被丢弃。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离本发明权利要求书所限定的范围。
Claims (3)
1.一种信息中心网络中内容请求用户的身份认证方法,其特征在于:包括扩展兴趣包的结构,在原有的兴趣包结构中增加两个字段:加密身份和请求用户签名,内容请求用户在每个发送的兴趣包的加密身份字段内嵌入IBE加密后的用户身份标识,在请求用户签名字段内嵌入IBS签名信息;
还包括以下步骤:
S1:内容请求用户使用网络身份标识作为密钥用IBE加密算法加密其身份标识;使用以下公式加密身份标识:
d′=IBE.encrypt(d,D)
其中d为用户真实的身份标识,D为网络的身份标识,d′为加密后的用户身份标识,IBE.encrypt(·)是IBE加密算法;
S2:内容请求用户用自己的IBE私钥,其中IBE私钥是用户从私钥生成器PKG中申请获取的,对兴趣包进行签名;使用以下公式对兴趣包进行签名:
σ=IBS.sign(I,K)
其中I为兴趣包,K为用户的IBE私钥,σ为签名信息,IBS.sign(·)是IBS签名算法
S3:当接入网关接收到兴趣包时,接入网关首先使用网络的IBE私钥即K,其中K是网络从PKG中申请获取的,用IBE解密算法获取的用户真实的身份标识;
S4:使用解密得到的用户真实的身份标识验证用户的签名,验证兴趣包是否安全。
2.根据权利要求1所述的信息中心网络中内容请求用户的身份认证方法,其特征在于:步骤S3中,用IBE解密算法获取用户真实身份,包括以下公式:
d=IBE.decrypt(d′,K)
其中d′是加密后的用户身份标识,K是网络的IBE私钥,d为IBE解密之后的用户真实的身份标识,IBE.decrypt(·)是IBE解密算法。
3.根据权利要求1所述的信息中心网络中内容请求用户的身份认证方法,其特征在于:步骤S4中,使用以下公式验证兴趣包是否安全:
v=IBS.verify(I,σ,d)
其中v是验证后的结果,σ为签名信息,I是原始的兴趣包,d是网络通过步骤S3解密后获取的用户真实的身份标识,IBS.verify(·)是签名验证算法,只有通过身份验证的兴趣包才能被进一步转发,对于验证失败的兴趣包将会被丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910116447.8A CN109802829B (zh) | 2019-02-15 | 2019-02-15 | 信息中心网络内容请求用户的身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910116447.8A CN109802829B (zh) | 2019-02-15 | 2019-02-15 | 信息中心网络内容请求用户的身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109802829A CN109802829A (zh) | 2019-05-24 |
CN109802829B true CN109802829B (zh) | 2021-07-06 |
Family
ID=66560930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910116447.8A Active CN109802829B (zh) | 2019-02-15 | 2019-02-15 | 信息中心网络内容请求用户的身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109802829B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166464B (zh) * | 2019-05-27 | 2021-10-15 | 北京信息科技大学 | 一种内容中心网络兴趣泛洪攻击的检测方法及系统 |
CN111556020B (zh) * | 2020-03-27 | 2022-09-16 | 江苏大学 | 一种基于兴趣包签名边缘校验的ndn访问控制方法 |
CN112787806A (zh) * | 2020-12-17 | 2021-05-11 | 国网浙江省电力有限公司信息通信分公司 | 一种基于ibe的工业互联网终端通用安全服务系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101626294A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 基于身份的认证方法、保密通信方法、设备和系统 |
CN101789865A (zh) * | 2010-03-04 | 2010-07-28 | 深圳市华信安创科技有限公司 | 一种用于加密的专用服务器及加密方法 |
CN103248488A (zh) * | 2013-05-14 | 2013-08-14 | 顾纯祥 | 一种基于身份的密钥生成方法和认证方法 |
CN104601593A (zh) * | 2015-02-04 | 2015-05-06 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
US9106644B2 (en) * | 2013-05-30 | 2015-08-11 | CertiVox Ltd. | Authentication |
-
2019
- 2019-02-15 CN CN201910116447.8A patent/CN109802829B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101626294A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 基于身份的认证方法、保密通信方法、设备和系统 |
CN101789865A (zh) * | 2010-03-04 | 2010-07-28 | 深圳市华信安创科技有限公司 | 一种用于加密的专用服务器及加密方法 |
CN103248488A (zh) * | 2013-05-14 | 2013-08-14 | 顾纯祥 | 一种基于身份的密钥生成方法和认证方法 |
US9106644B2 (en) * | 2013-05-30 | 2015-08-11 | CertiVox Ltd. | Authentication |
CN104601593A (zh) * | 2015-02-04 | 2015-05-06 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
Non-Patent Citations (1)
Title |
---|
《基于身份的密码学算法研究》;谭波等;《电脑知识与技术》;20100331;第6卷(第9期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109802829A (zh) | 2019-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2020133655A1 (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
Montenegro et al. | Crypto-based identifiers (CBIDs) Concepts and applications | |
US8098823B2 (en) | Multi-key cryptographically generated address | |
Ateniese et al. | A new approach to DNS security (DNSSEC) | |
CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
US20140244998A1 (en) | Secure publishing of public-key certificates | |
CN109802829B (zh) | 信息中心网络内容请求用户的身份认证方法 | |
CN111556020B (zh) | 一种基于兴趣包签名边缘校验的ndn访问控制方法 | |
Bassil et al. | Security analysis and solution for thwarting cache poisoning attacks in the domain name system | |
CN111935213A (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
Yang et al. | Securing content-centric networks with content-based encryption | |
Wang et al. | Preventing" bad" content dispersal in named data networking | |
Rathore et al. | Simple, secure, efficient, lightweight and token based protocol for mutual authentication in wireless sensor networks | |
Chien et al. | A hybrid authentication protocol for large mobile network | |
Fu et al. | Ike and ikev2 authentication using the elliptic curve digital signature algorithm (ecdsa) | |
Weis | The use of rsa/sha-1 signatures within encapsulating security payload (esp) and authentication header (ah) | |
Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
He et al. | Pavi: Bootstrapping accountability and privacy to ipv6 internet | |
Leshov et al. | Content name privacy in tactical named data networking | |
Bertino et al. | Securing named data networks: Challenges and the way forward | |
Tao et al. | An interest‐based access control scheme via edge verification in Named Data Networking | |
Li et al. | Hierarchical identity-based security mechanism using blockchain in named data networking | |
CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
Suo et al. | Encryption technology in information system security | |
He et al. | SAV6: A Novel Inter-AS Source Address Validation Protocol for IPv6 Internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |