CN110061970B - 一种基于目录代理的命名数据网络反名称过滤方法 - Google Patents

一种基于目录代理的命名数据网络反名称过滤方法 Download PDF

Info

Publication number
CN110061970B
CN110061970B CN201910208649.5A CN201910208649A CN110061970B CN 110061970 B CN110061970 B CN 110061970B CN 201910208649 A CN201910208649 A CN 201910208649A CN 110061970 B CN110061970 B CN 110061970B
Authority
CN
China
Prior art keywords
name
user
directory
directory agent
disguised
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910208649.5A
Other languages
English (en)
Other versions
CN110061970A (zh
Inventor
陶宇
朱轶
黄睿岚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN201910208649.5A priority Critical patent/CN110061970B/zh
Publication of CN110061970A publication Critical patent/CN110061970A/zh
Application granted granted Critical
Publication of CN110061970B publication Critical patent/CN110061970B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于目录代理的命名数据网络反名称过滤方法,目录代理提供定期更新的真实名称与伪装名称一一对应的目录文件,用户以兴趣包签名方式请求目录文件,查询真实名称与伪装名称对应关系,以伪装名称向目录代理发送请求;目录代理翻译伪装名称,获知用户所请求的真实名称,并替用户取回请求的内容文件,再通过广播加密方式,向用户发送内容文件。本发明的提出,可应用于网内存在被劫持路由器的场景,有效地规避了网内被劫持路由器的名称过滤攻击,同时不仅确保兴趣包具有良好的可路由性,而且保证了网内缓存的利用率。

Description

一种基于目录代理的命名数据网络反名称过滤方法
技术领域
本发明涉及数据命名网络(NDN:Named Data Networking),具体设计一种基于目录代理的命名数据网络反名称过滤方法。
背景技术
随着互联网技术的发展,互联网应用范围和规模已经远远超出了设计初衷,应用主体已经转向文字信息和多媒体音视频等内容资源的获取,内容分发的需求与日俱增,逐渐成为当今互联网的焦点。现有TCP/IP架构采用面向主机的传输方式,网络传输冗余较大、内容分发效率低下,在移动性和安全性等方面也存在着诸多不足。虽然已出现P2P和CDN(Content Delivery Network)等改进性技术,但仍无法满足21世纪以数据分发为主体的互联网业务需求。应对上述挑战,多种以内容为中心的未来互联网体系架构相继提出,命名数据网络(Named Data Networking,NDN)因为其设计理念先进、方案切实可行,受到学术界和产业界的高度关注,成为当前网络领域的重要研究方向之一。
NDN采用面向内容的设计架构,不同于传统互联网以主机为网络的中心,NDN只关注内容本身,而非内容的存储位置。通过唯一标识的内容名字构建命名路由,并利用网内分布式缓存加速内容分发,NDN有效降低了网络传输冗余、提高了内容分发效率。但是,NDN在带来网络性能改善的同时,也带来了潜在的安全风险。在NDN中,内容以分层次、含语义的名称进行标识,虽然这一设计便于兴趣包在网内路由器处查找路由表,却也带来了名称被攻击者过滤的风险。攻击者只需要在网内任意路由器处维持一个黑名单实施名称过滤攻击,就可以根据兴趣包所携带的内容名称将通过该路由器的所有相关兴趣包过滤掉。因此,在非安全NDN应用场景下,迫切需要设计一个有效的反名称过滤方法,来保障NDN的安全性。
针对现有NDN中的名称过滤攻击,国内外研究人员从名称的隐匿性方面提出了多种反名称过滤方法。这些反名称过滤方法主要分为不基于代理和基于代理两类。
不基于代理的方法:Arianfar等人首先提出了基于隐写技术模糊内容名称的机制以防止名称过滤攻击(),内容提供者向用户发送随机文件,用户将待发送兴趣包和随机文件按约定函数分块混合,来隐藏兴趣包内容。分块混合的兴趣包名称是每一混合分块哈希值的哈希值。虽然这一机制可以隐藏请求内容,但是以一串无语义的哈希值作为兴趣包名称,导致兴趣包难以路由(路由表既不可能预配置这类条目,也难以动态学习发现),而且对于兴趣包的分片和重构会带来巨大的计算开销。
基于代理的方法:在基于代理的反名称过滤方法中,用户对内容名称或者兴趣包进行加密计算,加密的兴趣包发送到网络中后由网络中的特定匿名代理识别。Steven等人提出基于Tor的洋葱路由机制,通过设置两个代理匿名路由器(一个接入代理,一个出口代理),层层加密兴趣包来实现名称的隐私保护,并将返回的内容也层层加密。然而,对于ANDaNA而言,多层加密导致返回的内容不具备可复用性,完全破坏了NDN的缓存特性。Tourani等提出了基于霍夫曼编码的轻量级反名称过滤框架设计。每个用户和信任的代理之间共享一份独特的霍夫曼编码表,用户将内容名进行部分编码(仅对后缀编码),以减少编解码的计算开销,但是由于编码表的独立唯一,同样造成内容将无法在网内得到复用。
综上所述,现有研究者已提出若干方案,部分解决了NDN中的名称过滤攻击,但现有各方案在兴趣包可路由性和内容可复用性上无法做到很好的权衡,或者在规避名称过滤攻击的同时无法保证兴趣包的可路由性(名称丧失语义特征),或者在规避名称过滤攻击的同时无法保证内容的可复用性(内容只能被唯一用户所使用,无法利用网内缓存)。鉴于此,设计一种同时兼顾兴趣包可路由性与内容可复用性的NDN反名称过滤方法,是当前NDN领域的研究难点,而本发明针对该问题,提出基于目录代理的广播加密反名称过滤方法,很好地解决了这一难题。
发明内容
为了解决现有NDN中存在的名称过滤攻击的问题,本发明提出了一种基于目录代理的命名数据网络反名称过滤方法。该技术方案实现了名称过滤攻击的良好防御,既保证了NDN网内缓存的利用率,又节省了用户的请求时延。
为了实现上述发明目的,本发明提出了以下技术方案,一种基于目录代理的命名数据网络反名称过滤方法,包括以下步骤:
S1初始化:在网内设置一个目录代理,将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录代理随机选择随机数,得到目录代理的广播加密公钥PK和主密钥MK;
S2用户注册:用户i向目录代理注册,目录代理存有该用户的用户名UNi、密码Passi,并将用户i加入广播组S,生成用户i的广播加密私钥dki分发给用户;
S3内容请求:用户以兴趣包签名方式向目录代理提出目录文件查询请求,根据目录代理返回的目录文件,查询获得目录代理对真实名称所提供的伪装名称,进而根据伪装名称,产生伪装名称兴趣包发送给目录代理,由目录代理翻译成真实内容请求;最终目录代理替用户取回请求的内容文件并以伪装名称作为内容文件的名称转发给用户。
进一步地,上述S1初始化阶段包括以下步骤:
S1.1:在网内设置一个目录代理,该目录代理维护一个不被过滤的命名空间,其根命名空间用“\<anonymizer_domain>”加以表示;目录代理会基于该根命名空间,将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录文件中包括具有N个可访问的真实名称,且第k个时段提供的第n个真实名称定义为List(n,k),1≤n≤N;每个真实名称都有相对应的动态伪装名称,现将第n个真实名称在时段k的伪装名称定义为A_List(n,k);
S1.2:目录代理随机选择随机数a,b∈Zq、γ∈G1,计算ν=e(γ,g),得到目录代理的广播加密公钥PK={G1,G2,e;ν}和主密钥MK={a,b,γ};其中,G1和G2分别是阶为素数q的加法循环群和乘法循环群;g是G1的一个生成元;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合。
进一步地,上述步骤S2用户注册阶段具体过程为:目录代理随机选择随机数xi∈Zq,结合目录代理的主密钥MK={a,b,γ}计算
Figure GDA0002927317360000031
则用户i广播加密私钥为dki={ki1,ki2},用户i广播加密公钥为labi={xi,gi};其中,Zq为包括{0,1,2,…,q-1}的自然数集合;a、b、γ为随机数,a,b∈Zq,γ∈G1;G1是阶为素数q的加法循环群;g是G1的一个生成元。
进一步地,上述步骤S3内容请求阶段包括以下步骤:
S3.1:用户i以目录代理的根命名空间为前缀,附加上用户名UNi作为后缀,构成兴趣包的名字“\<anonymizer_domain>\UNi”;同时,生成兴趣包签名Signi附加在兴趣包里,输出兴趣包Interest(\<anonymizer_domain>\UNi)发送;
S3.2:目录代理获得兴趣包Interest(\<anonymizer_domain>\UNi)后,对签名Signi进行校验,校验通过后,确认i为合法用户组S中的一员;随后目录代理随机选择随机数k∈Zq,结合目录代理的广播加密公钥PK={G1,G2,e;v},计算C0=kg、
Figure GDA0002927317360000032
得到广播头Hdr={C0,C1}和会话密钥K=vk,并使用会话密钥K加密目录文件;最后将加密的目录文件DATA(i,1)和广播头Hdr一起发送给用户i;其中,ν=e(γ,g),γ∈G1,g是G1的一个生成元;G1和G2分别是阶为素数q的加法循环群和乘法循环群;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合;
S3.3:用户i获得目录文件DATA(i,1)后,输入自身的广播加密私钥dki和接收到的广播头Hdr,计算
Figure GDA0002927317360000041
D1=ki2
Figure GDA0002927317360000042
其中,
Figure GDA0002927317360000043
xi、xj为随机数,xi,xj∈Zq;e:G1×G1→G2是一个双线性映射;获得会话密钥K=K′解密目录文件,读取目录内容,选择想请求的第n个真实名称在时段k的伪装名称A_List(n,k)作为兴趣包的名称后缀,构建伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))发给目录代理;由于目录文件中的伪装名称对合法用户组S内所有用户都是公开一致的,如果出现多个用户请求该内容,伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))可以在网内命中;如果网内未命中,目录代理收到伪装名称兴趣包后,将伪装名称翻译成真实名称并取回真实内容,用广播加密会话密钥K加密真实内容,返回给用户i;其中,aggregate函数定义为:
Figure GDA0002927317360000044
式中xi为随机数,xi∈Zq,G是阶为素数q的循环群。
进一步地,本发明中对命名数据网络的原有兴趣包结构进行修改,新增一个字段存储用于用户身份验证的兴趣包签名,同时在用户注册阶段,以兴趣包签名方式向目录代理发送待验证的用户名以及密码信息;
所述兴趣包签名计算规则为Signi=HMAC(UNi,Passi,Time),其中HMAC()为加密哈希函数,UNi为用户名,Passi为用户密码,Time为当前时间戳;
目录代理收到兴趣包Interest(\<anonymizer_domain>\UNi)后,从内容名中提取用户名UNi,在数据库中检索出密码Passi,再根据接收时间Time对签名Signi进行校验,校验成功则发送给目录文件给该用户,否则拒绝用户的请求;其中,\<anonymizer_domain>表示为目录代理维护的一个不被过滤的根命名空间。
进一步地,本发明中的用户用于规避名称过滤攻击所采用的伪装名称,来自于目录代理发布的目录文件。所述目录文件中包括真实名称与伪装名称一一对应的列表,用户可根据第k个时段提供的第n个真实名称List(n,k),检索出对应的伪装名称A_List(n,k),进而生成第二次请求用的伪装名称兴趣包。同样,当目录代理收到用户的伪装名称兴趣包时,可根据伪装名称翻译成目标内容的真实名称,并取回真实内容。
本发明具有以下有益效果:本发明针对NDN网内被劫持路由器的名称过滤攻击,通过在网内设置目录代理,将被网络过滤的真实名称一一映射成伪装名称,并存入定期更新的目录文件。用户通过兴趣包签名方式向目录代理查询目录文件,并根据目录代理提供的伪装名称构成兴趣包向目录代理发送请求,目录代理通过翻译用户所请求的伪装名称得到所对应的真实名称,代替用户取回真实内容,并以广播加密的方式,返回用户真实所需内容。
本发明中首先实现了名称过滤攻击的良好防御,在此基础上,采用的目录文件查找方法,避免了对兴趣包名称或者整个兴趣包进行加密。采用的伪装名称依然具备分层特征和语义特征,保证了良好的可路由特性,伪装名称兴趣包可以与普通兴趣包一样在网内路由器处正常查找路由表,被路由处理。而且,在目录有效期内,同一广播组的不同用户可以使用相同的伪装名称向目录进行内容请求,返回的内容文件具有高度的可复用性,如果内容存在于网内缓存中,那么用户可以直接从网络中获取到所需的内容,这一设计既保证了NDN网内缓存的利用率,又节省了用户的请求时延。
附图说明
图1为本发明的注册交互时序图。
图2为本发明的内容获取交互时序图。
图3为本发明兴趣包格式示意图。
图4为本发明真实名称与伪装名称对应列表关系图。
具体实施方式
下面结合附图对本发明的技术方案做进一步详细说明。
本发明方案分三个步骤进行:
S1初始化:在网内设置一个目录代理(服务器),将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录代理随机选择随机数,得到目录代理的广播加密公钥PK和主密钥MK;
S2用户注册:用户i向目录代理注册,目录代理存有该用户的用户名UNi、密码Passi,并将用户i加入广播组S,生成用户i的广播加密私钥dki分发给用户;
S3内容请求:用户以兴趣包签名方式向目录代理提出目录文件查询请求,根据目录代理返回的目录文件,查询获得目录代理对真实名称所提供的伪装名称,进而根据伪装名称,产生伪装名称兴趣包发送给目录代理,由目录代理翻译成真实内容请求;最终目录代理替用户取回请求的内容文件并以伪装名称作为内容文件的名称转发给用户。
进一步地,上述步骤S1初始化阶段包括以下内容:
S1.1:在网内设置一个目录代理(服务器),该目录代理维护一个不被过滤的命名空间,其根命名空间用“\<anonymizer_domain>”加以表示;目录代理会基于该根命名空间,将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录文件中包括具有N个可访问的真实名称,且第k个时段提供的第n个真实名称定义为List(n,k),1≤n≤N;每个真实名称都有相对应的动态伪装名称,现将第n个真实名称在时段k的伪装名称定义为A_List(n,k);
S1.2:目录代理随机选择随机数a,b∈Zq、γ∈G1,计算v=e(γ,g),得到目录代理的广播加密公钥PK={G1,G2,e;v}和主密钥MK={a,b,γ};其中,G1和G2分别是阶为素数q的加法循环群和乘法循环群;g是G1的一个生成元;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合。
进一步地,上述步骤S2用户注册阶段具体过程为:目录代理随机选择随机数xi∈Zq,结合目录代理的主密钥MK={a,b,γ}计算
Figure GDA0002927317360000061
则用户i广播加密私钥为dki={ki1,ki2},用户i广播加密公钥为labi={xi,gi}。
进一步地,上述步骤S3内容请求阶段包括以下内容:
S3.1:用户i以目录代理的根命名空间为前缀,附加上用户名UNi作为后缀,构成兴趣包的名字“\<anonymizer_domain>\UNi”;同时,生成兴趣包签名Signi附加在兴趣包里,输出兴趣包Interest(\<anonymizer_domain>\UNi)发送;
S3.2:
目录代理获得兴趣包Interest(\<anonymizer_domain>\UNi)后,对签名Signi进行校验,校验通过后,确认i为合法用户组S中的一员;随后目录代理随机选择随机数k∈Zq,结合目录代理的广播加密公钥PK={G1,G2,e;ν},计算C0=kg、
Figure GDA0002927317360000071
得到广播头Hdr={C0,C1}和会话密钥K=vk,并使用会话密钥K加密目录文件;最后将加密的目录文件DATA(i,1)和广播头Hdr一起发送给用户i;其中,ν=e(γ,g),γ∈G1,g是G1的一个生成元;G1和G2分别是阶为素数q的加法循环群和乘法循环群;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合;
S3.3:用户i获得目录文件DATA(i,1)后,输入自身的广播加密私钥dki和接收到的广播头Hdr,计算
Figure GDA0002927317360000072
D1=ki2
Figure GDA0002927317360000073
(其中,S为合法用户组),获得会话密钥K=K′解密目录文件,读取目录内容,选择想请求的第n个真实名称在时段k的伪装名称A_List(n,k)作为兴趣包的名称后缀,构建伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))发给目录代理;由于目录文件中的伪装名称对合法用户组S内所有用户都是公开一致的,如果出现多个用户请求该内容,伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))可以在网内命中;如果网内未命中,目录代理收到伪装名称兴趣包后,将伪装名称翻译成真实名称并取回真实内容,用广播加密会话密钥K加密真实内容,返回给用户i;其中,aggregate函数定义为:由x=[x1,x2,…,xr]、P=[B1,B2,…,Br],将
Figure GDA0002927317360000074
作为输入,计算
Figure GDA0002927317360000075
的函数记为aggregate函数。
下面结合具体实施例来说明本发明的技术方案。
假设某用户想要请求Baidu网站下的某一视频内容singer.avi。在此之前,为了规避网络中的名称过滤攻击,该用户须向目录代理(服务器)进行注册,获得相应权限。如图1所示,用户向目录代理请求注册,代理为此请求用户分配用户名UNi=Alice、密码Passi=123,将该用户的用户名,密码存在本地数据库中,同时将该用户加入广播组。目录代理从有限自然数集合Zq中随机选择四个数xa=43、a=3、b=5、γ=13;从G1中随机生成1个生成元g=37;并通过计算
Figure GDA0002927317360000081
为Alice生成公钥laba={xa,ga}={43,0.2761}和私钥dka={ka1,ka2}={13.0062,0.8284}。
如图2所示,注册完毕后,用户以目录代理的根命名空间xyz.com为前缀,附加上用户名Alice为后缀,构成兴趣包的名称“\xyz.com\Alice”,向目录代理发送目录文件请求,并附上数字签名Sign=HMAC(Alice,123,1)=63b1ec48acaaa6c5dda807ca18267def{以用户名“Alice”、密码“123”及当前时间戳Time“1”(保证该请求一分钟之内有效)做HMAC运算},最终发送兴趣包Interest(\xyz.com\Alice)作为请求。
目录代理收到该兴趣包后,从兴趣包名称中提取用户名“Alice”,在本地数据库中检索得到对应密码“123”,再根据当前时间戳“1”做相同的HMAC计算,对签名进行校验,若校验通过即确认Alice为合法用户组S中的一员。随后目录代理从有限自然数集合Zq中随机选择一个数k=7,计算C0=kg=259,
Figure GDA0002927317360000082
(假设广播组中再引入一个用户b,xb∈Zq=5),得到广播头Hdr={C0,C1}={259,14.8827}和会话密钥K=vk=e(13,37)7,并使用会话密钥K加密数据包。最后将加密的数据包DATA(a,1)(数据包中内容为真实名称与伪装名称映射的目录文件)和广播头Hdr一起返回给用户。
Alice收到数据包DATA(a,1)和广播头Hdr后,输入预分配的私钥dka和广播头Hdr,计算
Figure GDA0002927317360000083
D1=ka2=0.8284,
Figure GDA0002927317360000084
e(D1,C1)=e(37,37)0.0090
Figure GDA0002927317360000085
获得会话密钥K=K′解密数据包,得到真实名称与伪装名称映射的目录文件。
当前用户想要请求的内容名为\www.baidu.com\singer.avi,经查找真实名称与伪装名称映射的目录文件,得到当前请求内容名映射的伪装名称为\www.xyz.com\ithfnsd\hhd.avi。用户构建名为\www.xyz.com\ithfnsd\hhd.avi的伪装名称兴趣包发给目录代理,目录代理收到用户的请求后,根据真实名称与伪装名称映射的目录文件,翻译出用户所请求的伪装名称对应的真实名称,再用真实名称请求内容,获取内容后,为用户返回名为\www.xyz.com\ithfnsd\hhd.avi、包含真实内容\www.baidu.com\singer.avi的数据包DATA(a,2),该数据包仍使用广播加密的会话密钥加密。用户解密数据包后就可以获得自己所需的真实内容。
如果在目录有效期内,网内路由器缓存了名为\www.xyz.com\ithfnsd\hhd.avi的内容,那么用户可以直接从网络中获取到所需的内容,提高了网内缓存的利用率,节省了请求的时延。
如图3所示,本发明对命名数据网络的原有兴趣包结构进行修改,新增一个字段存储用于用户身份验证的兴趣包签名,同时在用户注册阶段,以兴趣包签名方式向目录代理发送待验证的用户名以及密码信息;兴趣包签名计算规则为Signi=HMAC(UNi,Passi,Time),其中HMAC()为加密哈希函数,UNi为用户名,Passi为用户密码,Time为当前时间戳。
目录代理收到兴趣包Interest(\<anonymizer_domain>\UNi)后,从内容名中提取用户名UNi,在数据库中检索出密码Passi,再根据接收时间Time对签名Signi进行校验,校验成功则发送给目录文件给该用户,否则拒绝用户的请求。
如图4所示,本发明中的用户用于规避名称过滤攻击所采用的伪装名称,来自于目录代理发布的目录文件。目录文件中包括真实名称与伪装名称一一对应的列表,用户可根据目标内容的真实名称List(n,k),检索出对应的伪装名称A_List(n,k),进而生成第二次请求用的伪装名称兴趣包。同样,当目录代理收到用户的伪装名称兴趣包时,可根据伪装名称翻译成目标内容的真实名称,并取回真实内容。

Claims (6)

1.一种基于目录代理的命名数据网络反名称过滤方法,其特征在于,包括以下步骤:
S1初始化:在网内设置一个目录代理,将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录代理随机选择随机数,得到目录代理的广播加密公钥PK和主密钥MK;
S2用户注册:用户i向目录代理注册,目录代理存有该用户的用户名UNi、密码Passi,并将用户i加入广播组S,生成用户i的广播加密私钥dki分发给用户;
S3内容请求:用户以兴趣包签名方式向目录代理提出目录文件查询请求,根据目录代理返回的目录文件,查询获得目录代理对真实名称所提供的伪装名称,进而根据伪装名称,产生伪装名称兴趣包发送给目录代理,由目录代理翻译成真实内容请求;最终目录代理替用户取回请求的内容文件并以伪装名称作为内容文件的名称转发给用户。
2.如权利要求1所述的基于目录代理的命名数据网络反名称过滤方法,其特征在于,所述S1初始化阶段包括以下步骤:
S1.1:在网内设置一个目录代理,该目录代理维护一个不被过滤的命名空间,其根命名空间用“\<anonymizer_domain>”加以表示;目录代理会基于该根命名空间,将被网络过滤的真实名称一一映射成伪装名称,发布一个包括真实名称与伪装名称的目录文件,目录文件每经过时间间隔T动态更新一次;目录文件中包括具有N个可访问的真实名称,且第k个时段提供的第n个真实名称定义为List(n,k),1≤n≤N;每个真实名称都有相对应的动态伪装名称,现将第n个真实名称在时段k的伪装名称定义为A_List(n,k);
S1.2:目录代理随机选择随机数a,b∈Zq、γ∈G1,计算ν=e(γ,g),得到目录代理的广播加密公钥PK={G1,G2,e;ν}和主密钥MK={a,b,γ};其中,G1和G2分别是阶为素数q的加法循环群和乘法循环群;g是G1的一个生成元;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合。
3.如权利要求1所述的基于目录代理的命名数据网络反名称过滤方法,其特征在于,所述S2用户注册阶段具体过程为:目录代理随机选择随机数xi∈Zq,结合目录代理的主密钥MK={a,b,γ}计算
Figure FDA0002927317350000011
则用户i广播加密私钥为dki={ki1,ki2},用户i广播加密公钥为labi={xi,gi};其中,Zq为包括{0,1,2,…,q-1}的自然数集合;a、b、γ为随机数,a,b∈Zq,γ∈G1;G1是阶为素数q的加法循环群;g是G1的一个生成元。
4.如权利要求1所述的基于目录代理的命名数据网络反名称过滤方法,其特征在于,所述S3内容请求阶段包括以下步骤:
S3.1:用户i以目录代理的根命名空间为前缀,附加上用户名UNi作为后缀,构成兴趣包的名字“\<anonymizer_domain>\UNi”;同时,生成兴趣包签名Signi附加在兴趣包里,输出兴趣包Interest(\<anonymizer_domain>\UNi)发送;
S3.2:目录代理获得兴趣包Interest(\<anonymizer_domain>\UNi)后,对签名Signi进行校验,校验通过后,确认i为合法用户组S中的一员;随后目录代理随机选择随机数k∈Zq,结合目录代理的广播加密公钥PK={G1,G2,e;ν},计算C0=kg、
Figure FDA0002927317350000021
得到广播头Hdr={C0,C1}和会话密钥K=vk,并使用会话密钥K加密目录文件;最后将加密的目录文件DATA(i,1)和广播头Hdr一起发送给用户i;其中,v=e(γ,g),γ∈G1,g是G1的一个生成元;G1和G2分别是阶为素数q的加法循环群和乘法循环群;e:G1×G1→G2是一个双线性映射;Zq为包括{0,1,2,…,q-1}的自然数集合;
S3.3:用户i获得目录文件DATA(i,1)后,输入自身的广播加密私钥dki和接收到的广播头Hdr,计算
Figure FDA0002927317350000022
D1=ki2
Figure FDA0002927317350000023
其中,
Figure FDA0002927317350000024
xi、xj为随机数,xi,xj∈Zq;e:G1×G1→G2是一个双线性映射;获得会话密钥K=K′解密目录文件,读取目录内容,选择想请求的第n个真实名称在时段k的伪装名称A_List(n,k)作为兴趣包的名称后缀,构建伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))发给目录代理;由于目录文件中的伪装名称对合法用户组S内所有用户都是公开一致的,如果出现多个用户请求该内容,伪装名称兴趣包Interest(\<anonymizer_domain>\A_List(n,k))可以在网内命中;如果网内未命中,目录代理收到伪装名称兴趣包后,将伪装名称翻译成真实名称并取回真实内容,用广播加密会话密钥K加密真实内容,返回给用户i;其中,aggregate函数定义为:
Figure FDA0002927317350000031
式中xi为随机数,xi∈Zq,G是阶为素数q的循环群。
5.如权利要求1所述的基于目录代理的命名数据网络反名称过滤方法,其特征在于,对命名数据网络的原有兴趣包结构进行修改,新增一个字段存储用于用户身份验证的兴趣包签名,同时在用户注册阶段,以兴趣包签名方式向目录代理发送待验证的用户名以及密码信息;
所述兴趣包签名计算规则为Signi=HMAC(UNi,Passi,Time),其中HMAC()为加密哈希函数,UNi为用户名,Passi为用户密码,Time为当前时间戳;
目录代理收到兴趣包Interest(\<anonymizer_domain>\UNi)后,从内容名中提取用户名UNi,在数据库中检索出密码Passi,再根据接收时间Time对签名Signi进行校验,校验成功则发送给目录文件给该用户,否则拒绝用户的请求;其中,\<anonymizer_domain>表示为目录代理维护的一个不被过滤的根命名空间。
6.如权利要求1所述的基于目录代理的命名数据网络反名称过滤方法,其特征在于,用户用于规避名称过滤攻击所采用的伪装名称,来自于目录代理发布的目录文件;所述目录文件中包括真实名称与伪装名称一一对应的列表,用户可根据第k个时段提供的第n个真实名称List(n,k),检索出对应的伪装名称A_List(n,k),进而生成第二次请求用的伪装名称兴趣包;同样,当目录代理收到用户的伪装名称兴趣包时,可根据伪装名称翻译成目标内容的真实名称,并取回真实内容。
CN201910208649.5A 2019-03-19 2019-03-19 一种基于目录代理的命名数据网络反名称过滤方法 Active CN110061970B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910208649.5A CN110061970B (zh) 2019-03-19 2019-03-19 一种基于目录代理的命名数据网络反名称过滤方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910208649.5A CN110061970B (zh) 2019-03-19 2019-03-19 一种基于目录代理的命名数据网络反名称过滤方法

Publications (2)

Publication Number Publication Date
CN110061970A CN110061970A (zh) 2019-07-26
CN110061970B true CN110061970B (zh) 2021-04-20

Family

ID=67317219

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910208649.5A Active CN110061970B (zh) 2019-03-19 2019-03-19 一种基于目录代理的命名数据网络反名称过滤方法

Country Status (1)

Country Link
CN (1) CN110061970B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638405A (zh) * 2012-04-12 2012-08-15 清华大学 内容中心网络策略层的路由方法
EP2562978A1 (en) * 2011-08-12 2013-02-27 Alcatel Lucent Content router of a content centric network
CN103870267A (zh) * 2012-12-17 2014-06-18 国际商业机器公司 用于处理数据中心网络中的数据对象的在计算机系统中实现的方法和计算机实现的系统
CN104954359A (zh) * 2014-03-31 2015-09-30 帕洛阿尔托研究中心公司 内容中心网络中数据的聚合签名
CN104980489A (zh) * 2014-04-07 2015-10-14 帕洛阿尔托研究中心公司 使用匹配的网络名称的安全集合同步
CN106131844A (zh) * 2016-07-21 2016-11-16 江苏大学 一种ndn中恶意请求兴趣包攻击的防御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2562978A1 (en) * 2011-08-12 2013-02-27 Alcatel Lucent Content router of a content centric network
CN102638405A (zh) * 2012-04-12 2012-08-15 清华大学 内容中心网络策略层的路由方法
CN103870267A (zh) * 2012-12-17 2014-06-18 国际商业机器公司 用于处理数据中心网络中的数据对象的在计算机系统中实现的方法和计算机实现的系统
CN104954359A (zh) * 2014-03-31 2015-09-30 帕洛阿尔托研究中心公司 内容中心网络中数据的聚合签名
CN104980489A (zh) * 2014-04-07 2015-10-14 帕洛阿尔托研究中心公司 使用匹配的网络名称的安全集合同步
CN106131844A (zh) * 2016-07-21 2016-11-16 江苏大学 一种ndn中恶意请求兴趣包攻击的防御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Defend against Internet Censorship in Named Data Networking;Xingmin Cui等;《2016 18th International Conference on Advanced Communication Technology (ICACT)》;20160303;全文 *

Also Published As

Publication number Publication date
CN110061970A (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
CN109983752A (zh) 带有编码dns级信息的网络地址
US11140177B2 (en) Distributed data authentication and validation using blockchain
Misra et al. Secure content delivery in information-centric networks: Design, implementation, and analyses
Fotiou et al. Decentralized name-based security for content distribution using blockchains
Kuriharay et al. An encryption-based access control framework for content-centric networking
EP3054648A1 (en) Access control framework for information centric networking
WO2017184530A2 (en) A mapping database system for use with content chunks and methods of routing to content in an ip network
JP2009277234A (ja) コンテンツセントリックネットワークにおける通信を円滑化するための方法
TW201031160A (en) Systems and methods for data authorization in distributed storage networks
Alzahrani An information-centric networking based registry for decentralized identifiers and verifiable credentials
JP2005056407A5 (zh)
CN108833339B (zh) 一种内容中心网络下加密的访问控制方法
CN111556020B (zh) 一种基于兴趣包签名边缘校验的ndn访问控制方法
CN110868446A (zh) 一种后ip的主权网体系架构
US10965651B2 (en) Secure domain name system to support a private communication service
CN109783456B (zh) 去重结构搭建方法、去重方法、文件取回方法、去重系统
Kurihara et al. A consumer-driven access control approach to censorship circumvention in content-centric networking
CN116633701B (zh) 信息传输方法、装置、计算机设备和存储介质
Xue et al. SCD2: Secure content delivery and deduplication with multiple content providers in information centric networking
CN110061970B (zh) 一种基于目录代理的命名数据网络反名称过滤方法
Zhao et al. Two-servers PIR based DNS query scheme with privacy-preserving
Wu et al. Towards access control for network coding-based named data networking
KR101326360B1 (ko) Dns 서버 간의 보안 통신 방법 및 이를 위한 관할 dns 서버, 그리고 보안 통신 시스템
Ahrenholz Host identity protocol distributed hash table interface
KR101548822B1 (ko) 콘텐츠 기반 네트워크의 콘텐츠 송신 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant