CN113810354B - 用于自治系统的数据认证方法及装置 - Google Patents

用于自治系统的数据认证方法及装置 Download PDF

Info

Publication number
CN113810354B
CN113810354B CN202010936525.1A CN202010936525A CN113810354B CN 113810354 B CN113810354 B CN 113810354B CN 202010936525 A CN202010936525 A CN 202010936525A CN 113810354 B CN113810354 B CN 113810354B
Authority
CN
China
Prior art keywords
autonomous
autonomous system
data
authentication
price
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010936525.1A
Other languages
English (en)
Other versions
CN113810354A (zh
Inventor
张筱
吴发国
谢丽佳
姚望
郑志明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202010936525.1A priority Critical patent/CN113810354B/zh
Publication of CN113810354A publication Critical patent/CN113810354A/zh
Application granted granted Critical
Publication of CN113810354B publication Critical patent/CN113810354B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1432Metric aspects
    • H04L12/1435Metric aspects volume-based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种用于自治系统的数据认证方法、装置、电子设备及计算机可读介质。所述自治系统包括正向相邻排列的源自治系统、一组中间自治系统和目标自治系统,所述数据认证方法包括:在相邻的两个自治系统之间建立第一共享密钥;从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统;所述源自治系统根据接收的累计系统数据对认证申请数据进行初始化,获得申请数据包;对所述申请数据包进行正向逐级认证和更新。通过对认证数据进行加密传递,以及对源自治系统的身份和系统数据的认证,可以获取精准的系统数据。

Description

用于自治系统的数据认证方法及装置
技术领域
本申请涉及互联网技术领域,具体涉及一种用于自治系统的数据认证方法。
背景技术
目前,智能手机、平板、视频服务、云服务以及各种各样软件的应用,促成了各种新兴网络服务的兴起,这使得日常生活越来越便利。与此同时,对网络带宽的大量需求也使得网络运营商不堪重负,时常造成带宽阻塞。
发生带宽阻塞原因,一方面是指数型增长的数据需求量,另一方面是针对可用性最具危害性的一项威胁,即分布式拒绝服务(DDoS)攻击。为解决网络拥塞问题,以自治系统为分配单位的基于权证的带宽分配技术被提出并得到了逐步地发展。
自治系统在带宽分配过程中,对于分配带宽的计价普遍存在以下问题:部分恶意用户很容易伪造其他自治系统的源地址进行欺骗性带宽使用,导致对于该自治系统带宽计价错误。此外,在网络运营过程中,运营商可以通过调控价格来管理带宽的使用,具体的调控过程是在运营商内部秘密进行的,但随着实时变动的价格,客户需要被有效告知准确的数据价格;因此,在加密传递价格后、带宽分配之前,现有方案缺乏在对源自治系统信息和价格信息的认证。由此,造成带宽计价不准确。
发明内容
基于此,本申请提供了一种用于自治系统的数据认证方法,通过自治系统之间的身份认证和累计数据认证,来建立网络权证,从而确保累计数据的准确性。
根据本申请的第一方面,提供一种用于自治系统的数据认证方法,包括:
在相邻的两个自治系统之间建立第一共享密钥;
从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统;
所述源自治系统根据接收的累计系统数据对认证申请数据进行初始化,获得申请数据包;
对所述申请数据包进行正向逐级认证和更新。
根据本申请的一些实施例,所述累计系统数据包括:累计系统计价。
根据本申请的一些实施例,所述数据认证方法,还包括:在包括源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。
根据本申请的一些实施例,从目标自治系统开始,后一自治系统将其累计系统计价通过第一共享密钥加密后反向逐级传递至源自治系统,包括:
后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统;
前一自治系统对接收的累计系统计价进行解密,将接收的累计系统计价与其系统间计价进行累加前一自治系统的累计系统计价;
重复上述步骤,直至将前一自治系统为源自治系统。
根据本申请的一些实施例,后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统,包括:
后一自治系统将加密后的累计系统计价附加在路由信息上通过BGP协议传递给前一自治系统。
根据本申请的一些实施例,所述目标自治系统的累计系统计价与其系统间计价相等。
根据本申请的一些实施例,所述申请数据包,包括:
源数据;
所述源自治系统根据所述源数据和第二共享密钥生成的一组身份认证码;
所述源自治系统根据其累计系统计价生成的计价哈希值;
所述源自治系统根据所述源数据、计价哈希值和第一共享密钥生成的价格认证码。
根据本申请的一些实施例,所述源自治系统根据所述源数据和第二共享密钥生成的一组身份认证码,包括:
按照以下公式计算所述一组身份认证码,
Figure BDA0002672116360000031
其中,Rsrc为源数据,k0,i为第二共享密钥,i≥2。
根据本申请的一些实施例,所述源自治系统根据所述源数据、计价哈希值和第一共享密钥生成的价格认证码,包括:
Figure BDA0002672116360000032
其中,Rsrc为源数据,p0,n为源自治系统的累计系统计价,k0,1为源自治系统的第一共享密钥,h0为计价哈希值。
根据本申请的一些实施例,对所述申请数据包进行正向逐级认证和更新,包括:
接收所述申请数据包的自治系统对数据包中的计价哈希值进行验证;
验证通过后,对数据包中的价格认证码进行身份验证和价格验证;
身份验证和价格通过验证后,重新计算价格认证码并替换对应的身份认证码;
接收所述申请数据包的自治系统将重新计算价格认证码替换数据包里的对应的身份认证码,并嵌入重新计算的计价哈希值。
根据本申请的一些实施例,接收所述申请数据包的自治系统对数据包中的计价哈希值进行验证,包括:
接收所述申请数据包的自治系统根据其向前一级自治系统传递的累计系统计价计算对比哈希值;
若所述认对比哈希值与所述申请数据包中的计价哈希值一致则通过验证。
根据本申请的一些实施例,验证通过后,对数据包中的价格认证码进行身份验证和价格验证,包括:
接收所述申请数据包的自治系统计算对比价格认证码;
当对比价格认证码所述申请数据包中的价格认证码一致时,通过验证。
根据本申请的一些实施例,接收所述申请数据包的自治系统计算对比价格认证码,包括:
接收所述申请数据包的自治系统为源自治系统相邻的自治系统时,根据所述申请数据包中的源数据、计价哈希值和该系统的第一共享密钥生成的对比价格认证码。
根据本申请的一些实施例,接收所述申请数据包的自治系统计算对比价格认证码,包括:
接收所述申请数据包的自治系统为源自治系统的非相邻自治系统时,根据所述申请数据包中的源数据、上一级自治系统的计价哈希值和该系统的第一共享密钥生成对比身份认证码;
根据所述对比身份认证码、上一级自治系统的计价哈希值和该系统的第二共享密钥生成对比价格认证码。
根据本申请的一些实施例,重新计算价格认证码并替换对应的身份认证码,包括:
根据后一自治系统的身份认证码、当前系统的计价哈希值和当前系统与后一系统的第一共享密钥重新计算价格认证码。
根据本申请的一些实施例,所述申请数据包,还包括:源自治系统根据其秘密密钥、源数据和计价哈希值生成的系统权证令牌。
根据本申请的一些实施例,对所述申请数据包进行正向逐级认证和更新,还包括:
价格通过验证后,当前自治系统根据秘密密钥、源数据和前一自治系统的系统权证令牌计算当前系统的系统权证令牌;
将所述当前系统的系统权证令牌嵌入所述申请数据中并替换传输的价格认证码。
根据本申请的一些实施例,所述数据认证方法,还包括:目标自治系统将所有的系统权证令牌逐级发送给源自治系统建立网络权证。
根据本申请的一些实施例,两个自治系统之间建立第一共享密钥,或两个自治系统之间建立第二共享密钥,包括:
所述两个自治系统分别使用公开密钥算法随机生成系统私钥;
所述两个自治系统分别根据所述系统私钥生成系统公钥并将所述系统公钥存入各自的数字证书中;
所述两个自治系统从权威机构获取对方数字证书中的系统公钥;
所述两个自治系统根据其系统私钥和获取的对方系统公钥获得所述第一共享密钥或第二共享密钥。
根据本申请的一些实施例,所述公开密钥算法,包括:Diffie-Hellman算法。
根据本申请的一些实施例,所述两个自治系统分别根据所述系统私钥生成系统公钥并将所述系统公钥存入各自的数字证书中,包括:
按照以下公式计算系统公钥,
Figure BDA0002672116360000052
其中bi为系统公钥,质数n和其原根g为Diffie-Hellman算法的随机参数,ai为系统私钥。
根据本申请的一些实施例,所述两个自治系统根据其系统私钥和获取的对方系统公钥获得所述第一共享密钥或第二共享密钥,包括:
按照以下公式计算所述共享密钥
Figure BDA0002672116360000051
其中,ki,j为两个自治系统之间的第一共享密钥或两个自治系统之间的第二共享密钥,ai为系统私钥,为bj对方系统公钥。
根据本申请的第二方面,提供一种用于自治系统的数据认证装置,包括:
共享密钥模块,用于在正向相邻的两个自治系统之间建立第一共享密钥;
价格传递模块,用于从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统;
数据初始模块,用于所述源自治系统根据接收的累计系统数据对带宽申请数据进行初始化,获得申请数据包;
认证更新模块,在该自治系统中对所述申请数据包进行正向逐级认证和更新。
根据本申请的一些实施例,所述共享密钥模块还用于在源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。
根据本申请的第三方面,提供一种用于自治系统带宽计价的电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的数据认证方法。
根据本申请的第四方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的数据认证方法。
本申请的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图,而并不超出本申请要求保护的范围。
图1示出根据本申请示例实施例的带宽计价过程流程图。
图2示出根据本申请示例实施例的数据认证方法流程图。
图3示出根据本申请示例实施例的数据认证方法时序图。
图4示出根据本申请示例实施例的数据认证方法数据交互示意图。
图5示出根据本申请示例实施例的数据认证装置组成框图。
图6示出根据本申请示例实施例的数据认证电子设备组成框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
应理解,虽然本文中可能使用术语第一、第二等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,可能不是按比例的。附图中的模块或流程并不一定是实施本申请所必须的,因此不能用于限制本申请的保护范围。
在计算机网络中,一个有权自主地决定在本系统中应采用何种路由协议的小型单位称之为自治系统,即Autonomous System(AS)。用户通过网络传输数据的过程中,数据发送方所在的自治系统为源自治系统AS0,数据接收方所在的自治系统为目标自治系统ASn,通过中间(n-1)个自治系统构成一条传输路径AS0-AS1-…-ASn。在这样一条传输路径中,各个自治系统在拓扑结构上相邻排列。源自治系统的数据带宽请求经过中间自治系统逐级传递至目标自治系统,在此,将该方向定位为正向。价格信息从目标自治系统经过中间自治系统逐级传递至源自治系统,在此,将该方向定位为反向。
针对目前自治系统中网络带宽计价不准确的问题,本申请提供一种自治系统的数据认证方法,如图1所示,其总体过程为:
在步骤S110,传输路径上的自治系统之间建立对称的共享密钥。需要两两建立密钥的自治系统对可以分为两类:一类是相邻的两个自治系统,另一类是包括源自治系统和其他任一自治系统的两个自治系统。
在步骤S120,通过边界网关协议(BGP)将加密的价格信息从数据接收方所在的目标自治系统逐级传递给数据发送方所在的源自治系统。接下来,位于源自治系统里的用户就可以发送带宽权证申请。
在步骤S130,对申请数据包进行数据初始化,申请数据包中包括了步骤S120中传递的价格信息。
在步骤S140,申请数据包在自治系统中逐级传递并进行认证码验证和更新。认证码验证包括源自治系统的身份认证和价格信息认证。若认证失败,则返回错误信息。
在步骤S150,认证码验证成功后,会在两级之间建立网络权证。如果网络权证认证不成功,则返回错误信息。所有的自治系统都通过认证码验证且建立网络权证后,整个自治系统间就建立了完整的网络权证。这样该用户便可以得到一个具有有效期限的网络权证。
在步骤S160,用户通过源自治系统发送携带网络权证的数据传输请求,各个自治系统进行价格核算统计。用户可以将网络权证插入到后续发送的数据包中以在带宽分配中获得更高的优先级。
在步骤S170,各个自治系统之间定期进行计费核算。当一个结算周期结束后,相邻自治系统之间便会进行计费结算的工作,位于前一级的自治系统需要为后一级自治系统提供的传输服务付费。
在带宽计价的网络数据传输过程中,目标自治系统ASn向前一级自治系统ASn-1收取服务费Pn-1,n并将此价格信息作为累计系统计价传递给治系统ASn-1。中间的自治系统ASn-1在价格传递过程中,向前一级自治系统ASn-2传递的累计系统计价中既包括该自治系统ASn-1向前一自治系统ASn-2收取的服务费即系统间计价Pn-2,n-1,又包括后一自治系统ASn向其传递的累计系统计价Pn-1,n,可以将其定义为Pn-2,n,其中Pn-2,n=Pn-2,n-1+Pn-1,n。依次类推,可以将中间自治系统ASi向前一级自治系统传递的价格信息定义为Pi-1,n。价格信息传递至源自治系统后,结束传递过程。源自治系统最终接收到的价格即为P0,n
以下将结合附图,进一步详细介绍本方案。
图2示出根据本申请示例实施例的数据认证方法流程图。
如图2所示,本申请提供一种用于自治系统的数据认证方法,包括如下步骤:
在步骤S210,在相邻的两个自治系统之间建立第一共享密钥ki-1,i。第一共享密钥ki-1,i(i≥1),用于相邻的两个自治系统之间传递价格信息时,对价格进行加密,以确保信息的安全。在上述自治系统中,源自治系统AS0用户其与后一自治系统AS1之间的第一共享密钥k0,1,中间的任一自治系统ASi同时拥有其与前一自治系统ASi-1之间的第一共享密钥ki-1,i、以及与后一自治系统ASi+1之间的第一共享密钥ki,i+1。目标自治系统ASn拥有其与前一自治系统ASn-1之间的第一共享密钥kn-1,n
在两个自治系统之间建立第一共享密钥的过程包括:首先两个自治系统ASi和ASj分别使用公开密钥算法随机生成系统私钥ai、aj。根据本申请的一些实施例,公开密钥算法可以采用Diffie-Hellman算法。
两个自治系统分别根据所述系统私钥生成系统公钥并将所述系统公钥存入各自的数字证书中。根据本申请的一些实施例,自治系统ASi可以按照以下公式计算系统公钥,
Figure BDA0002672116360000091
其中bi为系统公钥,质数n和其原根g为Diffie-Hellman算法的随机参数,ai为系统私钥。类似地,自治系统ASj按相同的方法计算系统公钥bj。自治系统生成的公钥存放在各自的数字证书中,由自治系统的权威管理机构来保管。
所述两个自治系统从权威机构获取对方数字证书中的系统公钥,并根据其系统私钥和获取的对方系统的公钥获得第一共享密钥。例如,自治系统ASi从可信的权威机构处取得ASj的证书,并从证书中取出公钥bj,按照以下公式获得第一共享密钥,
Figure BDA0002672116360000092
其中,ki,j为两个自治系统之间的第一共享密钥或两个自治系统之间的第二共享密钥,ai为系统私钥,为bj对方系统公钥。
在步骤S220,从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统。例如,对于带宽计价系统,所述累计系统数据包括累计系统计价。
根据本申请的一些实施例,该过程包括:后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统。例如,目标自治系统ASn将价格pn-1,n使用步骤S110中建立的第一共享密钥kn-1,n加密后得到
Figure BDA0002672116360000093
将此附加在路由信息上通过BGP协议传递给ASn-1
前一自治系统对接收的累计系统计价进行解密,将接收的累计系统计价与其系统间计价进行累加前一自治系统的累计系统计价。例如,中间自治系统ASi收到ASi+1传递过来的加密的价格信息并解密后得到pi,n,再加上pi-1,i得到pi-1,n。对pi-1,n使用第一共享密钥ki-1,i加密得到
Figure BDA0002672116360000101
将此附加在路由信息上通过BGP协议向前传递给ASi-1。重复上述步骤,直至将前一自治系统为源自治系统AS0。源自治系统AS0收到AS1传递过来的加密的价格信息后,将其解密得到p0,n。至此完成价格传递过程。
在步骤S230,所述源自治系统根据接收的累计系统数据对认证申请数据进行初始化,获得申请数据包。
源自治系统在逐级申请带宽的过程中,需要向后一自治系统发送数据请求。为了避免源自治系统身份被假冒的风险,上述方法还包括,在包括源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。第二共享密钥用于生成身份认证码。
源自治系统初始化的申请数据包,包括:源数据、一组身份认证码、源自治系统根据其累计系统计价生成的计价哈希值以及价格认证码。
其中,源数据Rsrc=bw||flow_id||AS_ID||exp,包括所需带宽的编码值bw,数据流标识符flow_id。数据流标识符使用位于数据包中的网络四元组,即发送者IP地址、发送者端口号、接收者IP地址、接收者端口号。源自治系统标识符AS_ID,使用自治系统编号(ASN)。权证截止时间exp,是一个相对于当前时间、具有固定有效期限(如30秒)的时间戳。
一组身份认证码Ai为所述源自治系统根据所述源数据和第二共享密钥按照以下公式生成的一组身份认证码:
Figure BDA0002672116360000102
其中,Ai为源自治系统与自治系统ASi之间的身份认证码,2≤i≤n,K0i为第二共享密钥,Rsrc为源数据。
计价哈希值h0由源自治系统采用hash函数根据其累计系统计价p0,n生成:h0=h(p0,n)。
价格认证码V1由源自治系统根据源数据、计价哈希值和第一共享密钥采用MAC函数和hash函数生成:
Figure BDA0002672116360000103
根据本申请的一些实施例,所述申请数据包还包括系统权证令牌T0,用于认证通过之后源自治系统之间的网络权证的建立。T0由源自治系统根据其自身的秘密密钥、源数据和计价哈希值,生成
Figure BDA0002672116360000111
其中,K0为只由AS0知悉的秘密密钥。上述数据生成后嵌入数据包中进行发送。
在步骤S240,对所述申请数据包进行正向逐级认证和更新。逐级认证和更新的过程包括:
首先,接收所述申请数据包的自治系统对数据包中的计价哈希值进行验证。接收所述申请数据包的自治系统根据其向前一级自治系统传递的累计系统计价重新计算计价哈希值;若所述计价哈希值与所述申请数据包中的计价哈希值一致则通过验证。例如,自治系统ASi计算hi-1′=h(pi-1,n),与数据包里的hi-1比较,如果相等则验证价格信息,否则生成错误信息返回源自治系统。
验证通过后,对数据包中的价格认证码进行身份验证和价格验证。接收所述申请数据包的自治系统计算对比价格认证码;当对比价格认证码所述申请数据包中的价格认证码一致时,通过验证。
当接收所述申请数据包的自治系统为源自治系统相邻的自治系统时,根据所述申请数据包中的源数据、计价哈希值和该系统的第一共享密钥生成的对比价格认证码。例如,执行验证操作的自治系统为AS1,根据数据包里的Rsrc和h0,并使用其第一共享密钥k0,1,采用MAC函数计算对比价格认证码
Figure BDA0002672116360000112
当接收所述申请数据包的自治系统为源自治系统的非相邻自治系统时,根据所述申请数据包中的源数据、上一级自治系统的计价哈希值和该系统的第一共享密钥生成对比身份认证码;根据所述对比身份认证码、级间认证哈希值和该系统的第二共享密钥生成对比价格认证码。例如,自治系统ASi根据数据包里的Rsrc和hi-1计算
Figure BDA0002672116360000113
然后计算认证码
Figure BDA0002672116360000114
其中hi=h(pi,n)。
自治系统ASi将生成的认证码V1′和数据包里的认证码Vi比较,如果相等则验证通过,否则生成错误信息返回源自治系统。
价格通过验证后,重新计算价格认证码并替换对应的身份认证码。首先,根据后一自治系统的身份认证码、当前系统的计价哈希值和当前系统与后一系统的第一共享密钥重新计算价格认证码。例如,中间自治系统ASi用申请数据包里的Ai+1和自己已知的pi,n以及第一共享密钥ki,i+1,采用MAC函数计算价格认证码
Figure BDA0002672116360000121
其中hi=h(pi,n)。
接下来,接收所述申请数据包的自治系统将重新计算价格认证码替换数据包里的对应的身份认证码,并嵌入重新计算的计价哈希值。例如,中间自治系统ASi用Vi+1替换数据包里的Ai+1,并嵌入价格信息hi,向下一级自治系统传输。
在上述认证和更新过程中,中间自治系统在收到申请数据包后,先进行认证码的验证,然后进行更新,为下一级自治系统的认证码验证做准备。当目标自治系统在收到数据包后,只需进行认证码的验证,无需进行更新。
根据本申请的一些实施例,上述数据认证方法中,对所述申请数据包进行正向逐级认证和更新,还包括:
价格通过验证后,当前自治系统根据秘密密钥、源数据和前一自治系统的系统权证令牌计算当前系统的系统权证令牌。其中,中间自治系统ASi通过
Figure BDA0002672116360000122
计算权证令牌,目标自治系统通过
Figure BDA0002672116360000123
计算权证令牌,其中ki只由ASi知悉的秘密密钥。
将所述当前系统的系统权证令牌嵌入所述申请数据中并替换传输的价格认证码。例如,中间自治系统或目标自治系统ASi生成系统权证令牌Ti后替换认证码Vi
在上述过程中,中间自治系统或目标自治系统如果拒绝权证申请,则生成申请拒绝消息,返回给发送者。若各级自治系统均通过验证且批准了权证申请,目标自治系统将所有的系统权证令牌发送给源自治系统建立网络权证。例如,目标自治系统将生成最终权证T0||T1||…||Tn逐级反向发送回请求用户,即源自治系统。位于源自治系统的用户收到网络权证后,在有效期内,该用户便可使用此网络权证,即让后续发送的数据流携带该网络权证,便可分配到相应量的网络带宽,与普通数据流相比,将具有更高的发送优先级。
需要注意的是,申请得到的网络权证是有使用时间限制的,也就是说,申请时间是有上限的。当网络权证超出有效期时,用户可再次申请带宽以在使用带宽时享受更高的优先级。
经过身份认证、价格认证、建立网络权证后,相邻的自治系统之间可以定期进行计费核算。在建立网络权证的过程中,完整的网络权证沿着传输路径反向传回至发送者,中间自治系统ASi当收到权证时,会在价格核算统计表内记录一条日志,内容包含上一级自治系统的AS_ID,对上一级自治系统计价的单位价格pi-1,n,申请有效期t,申请的带宽量bw。一个结算周期后,自治系统ASi会价格核算统计表进行核算,核算方式为根据每一条日志计算单位价格pi-1,n,申请有效期t,申请的带宽量bw的乘积,将对应ASi-1的每一条日志计算结果求和,即为ASi-1应支付ASi的账单费用。
图3示出根据本申请示例实施例的数据认证方法时序图。
图4示出根据本申请示例实施例的数据认证方法数据交互示意图。下面以包含四个自治系统AS0、AS1、AS2、AS3的自治系统为例,结合图3和图4,详细描述上述数据认证方法的过程。其中AS0为源自治系统,AS3为目标自治系统。
首先,在相邻的两个自治系统之间建立第一共享密钥ki-1,i,即自治系统AS0与AS1之间建立第一共享密钥k0,1,AS1与AS2之间建立第一共享密钥k1,2,AS2与AS3之间建立第一共享密钥k2,3
接下来,在源自治系统与其他自治系统之间建立第二共享密钥k0,i。源自治系统AS0与AS1之间的第二共享密钥与第一共享密钥相同均为k0,1。因此只需建立AS0与AS2之间的第二共享密钥k0,2,AS0与AS3之间的第二共享密钥k0,3
接下来,从目标自治系统AS3开始,将其累计系统计价通过第一共享密钥加密后反向逐级传递至源自治系统AS0。例如,AS3将累计系统价格p2,3使用第一共享密钥k2,3加密后传递给AS2。AS2将累计系统价格p1,3使用第一共享密钥k1,2加密后传递给AS1。AS1将价格p0,3使用第一共享密钥k0,1加密后传递给AS0
然后,源自治系统AS0对申请数据包进行初始化,并发送给AS1。初始化的申请数据包中包括源数据Rsrc、身份认证码A2和A3、价格认证码V1,计价哈希值h0以及系统权证令牌T0
自治系统AS1接收到申请数据包后,重新计算计价哈希值h0与h0进行对比认证、重新计算计价哈希值V1与V1进行对比认证。认证通过后,根据自己已知的P1,3和申请数据包中的A2,计算h1、V2,用V2替换申请数据包中的A2。根据源数据Rsrc、h1和T0计算系统权证令牌T1,将h1、T1嵌入数据包中,发送给AS2
自治系统AS2接收到申请数据包后,重新计算计价哈希值h1’与h1进行对比认证、重新计算计价哈希值V2’与V2进行对比认证。认证通过后,根据自己已知的P2,3和申请数据包中的A3,计算h2、V3,用V3替换申请数据包中的A3。根据源数据Rsrc、h2和T1计算系统权证令牌T2,,将h2、T2嵌入数据包中,发送给AS3
目标自治系统AS2接收到申请数据包后,重新计算计价哈希值h2’与h2进行对比认证、重新计算计价哈希值V3’与V3进行对比认证。认证通过后,根据源数据Rsrc和T2计算系统权证令牌T3。将T3嵌入数据包中,将最终的系统权证令牌T0、T1、T2、T3逐级发送至AS0。由此,自治系统之间的网络权证建立,用户后续发送数据流时携带该网络权证,便可分配到相应量的网络带宽。各个自治系统之间可以在此基础上定期进行计费核算。
图5示出根据本申请示例实施例的数据认证装置组成框图。
根据本申请的另一方面,提供一种用于自治系统的数据认证装置500,包括:共享密钥模块510、价格传递模块520、数据初始模块530、认证更新模块540。
共享密钥模块510,用于在正向相邻的两个自治系统之间建立第一共享密钥,还用于在源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。
价格传递模块520,用于从目标自治系统开始,后一自治系统将其累计系统计价通过第一共享密钥加密后反向逐级传递至源自治系统。
数据初始模块530,用于所述源自治系统根据接收的累计系统计价对带宽申请数据进行初始化,获得申请数据包。
认证更新模块540,在该自治系统中对所述申请数据包进行正向逐级认证和更新。
根据本申请的一些实施例,数据认证装置500还包括权证建立模块和计费核算模块。权证建立模块用于在各个自治系统之间建立网络权证并将各个自治系统生成的网络权证令牌传递给每一个自治系统。计费核算模块用于根据建立的网络权证定期进行计费核算。
图6示出根据本申请示例实施例的数据认证电子设备组成框图。
本申请还提供一种用于自治系统数据认证电子设备700。图6显示的电子设备700仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730等。
存储单元720存储有程序代码,程序代码可以被处理单元710执行,使得处理单元710执行本说明书描述的根据本申请上述各实施例的方法。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备7001(例如触摸屏、键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
本申请还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述数据认证方法。
本申请提供的用于自治系统的数据认证方法,首先对交易价格数据进行加密传递,实现运营商内部对交易价格的秘密调控;其次完成了对源自治系统和交易价格的认证。在完成认证的基础上建立网络权证,并根据记录的权证信息进行计费,可以实现精准的带宽计价。
以上对本申请实施例进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明仅用于帮助理解本申请的方法及其核心思想。同时,本领域技术人员依据本申请的思想,基于本申请的具体实施方式及应用范围上做出的改变或变形之处,都属于本申请保护的范围。综上所述,本说明书内容不应理解为对本申请的限制。

Claims (24)

1.一种用于自治系统的数据认证方法,所述自治系统包括正向相邻排列的源自治系统、一组中间自治系统和目标自治系统,其特征在于,包括:
在相邻的两个自治系统之间建立第一共享密钥;
从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统;
所述源自治系统根据接收的累计系统数据对认证申请数据进行初始化,获得申请数据包;
对所述申请数据包进行正向逐级认证和更新;
其中,
所述反向逐级传递包括,后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统;前一自治系统对接收的累计系统计价进行解密,将接收的累计系统计价与其系统间计价进行累加得到前一自治系统的累计系统计价;重复上述步骤,直至前一自治系统为源自治系统;
所述申请数据包包括,计价哈希值、一组身份认证码和价格认证码;
所述正向逐级认证和更新包括,接收所述申请数据包的自治系统对所述计价哈希值进行验证;验证通过后,对所述价格认证码进行身份验证和价格验证;身份验证和价格通过验证后,重新计算价格认证码并替换所述一组身份认证码中对应的身份认证码;接收所述申请数据包的自治系统将重新计算价格认证码替换所述一组身份认证码中对应的身份认证码,并嵌入重新计算的计价哈希值。
2.根据权利要求1所述的数据认证方法,其特征在于,所述累计系统数据包括:
累计系统计价。
3.根据权利要求2所述的数据认证方法,其特征在于,还包括:
在包括源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。
4.根据权利要求1所述的数据认证方法,其特征在于,后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统,包括:
后一自治系统将加密后的累计系统计价附加在路由信息上通过BGP协议传递给前一自治系统。
5.根据权利要求1所述的数据认证方法,其特征在于,所述目标自治系统的累计系统计价与其系统间计价相等。
6.根据权利要求3所述的数据认证方法,其特征在于,
所述申请数据包还包括源数据;
所述一组身份认证码由所述源自治系统根据所述源数据和第二共享密钥生成;
所述计价哈希值由所述源自治系统根据其累计系统计价生成;
所述价格认证码由所述源自治系统根据所述源数据、计价哈希值和第一共享密钥生成。
7.根据权利要求6所述的数据认证方法,其特征在于,所述一组身份认证码由所述源自治系统根据所述源数据和第二共享密钥生成,包括:
按照以下公式计算所述一组身份认证码,
Figure FDA0003608095360000021
其中,Rsrc为源数据,k0,i为第二共享密钥,i≥2。
8.根据权利要求6所述的数据认证方法,其特征在于,所述价格认证码由所述源自治系统根据所述源数据、计价哈希值和第一共享密钥生成,包括:
Figure FDA0003608095360000022
h0=h(p0,n)
其中,Rsrc为源数据,p0,n为源自治系统的累计系统计价,k0,1为源自治系统的第一共享密钥,h0为计价哈希值。
9.根据权利要求6所述的数据认证方法,其特征在于,接收所述申请数据包的自治系统对数据包中的计价哈希值进行验证,包括:
接收所述申请数据包的自治系统根据其向前一级自治系统传递的累计系统计价计算对比哈希值;
若所述对比哈希值与所述申请数据包中的计价哈希值一致则通过验证。
10.根据权利要求6所述的数据认证方法,其特征在于,验证通过后,对数据包中的价格认证码进行身份验证和价格验证,包括:
接收所述申请数据包的自治系统计算对比价格认证码;
当对比价格认证码所述申请数据包中的价格认证码一致时,通过验证。
11.根据权利要求10所述的数据认证方法,其特征在于,接收所述申请数据包的自治系统计算对比价格认证码,包括:
接收所述申请数据包的自治系统为源自治系统相邻的自治系统时,根据所述申请数据包中的源数据、计价哈希值和该系统的第一共享密钥生成的对比价格认证码。
12.根据权利要求10所述的数据认证方法,其特征在于,接收所述申请数据包的自治系统计算对比价格认证码,包括:
接收所述申请数据包的自治系统为源自治系统的非相邻自治系统时,根据所述申请数据包中的源数据、上一级自治系统的计价哈希值和该系统的第一共享密钥生成对比身份认证码;
根据所述对比身份认证码、上一级自治系统的计价哈希值和该系统的第二共享密钥生成对比价格认证码。
13.根据权利要求6所述的数据认证方法,其特征在于,重新计算价格认证码并替换对应的身份认证码,包括:
根据后一自治系统的身份认证码、当前系统的计价哈希值和当前系统与后一系统的第一共享密钥重新计算价格认证码。
14.根据权利要求6所述的数据认证方法,其特征在于,所述申请数据包,还包括:
源自治系统根据其秘密密钥、源数据和计价哈希值生成的系统权证令牌。
15.根据权利要求14所述的数据认证方法,其特征在于,对所述申请数据包进行正向逐级认证和更新,还包括:
价格通过验证后,当前自治系统根据秘密密钥、源数据和前一自治系统的系统权证令牌计算当前系统的系统权证令牌;
将所述当前系统的系统权证令牌嵌入所述申请数据中并替换传输的价格认证码。
16.根据权利要求15所述的数据认证方法,其特征在于,还包括:
目标自治系统将所有的系统权证令牌逐级发送给源自治系统建立网络权证。
17.根据权利要求3所述的数据认证方法,其特征在于,两个自治系统之间建立第一共享密钥,或两个自治系统之间建立第二共享密钥,包括:
所述两个自治系统分别使用公开密钥算法随机生成系统私钥;
所述两个自治系统分别根据所述系统私钥生成系统公钥并将所述系统公钥存入各自的数字证书中;
所述两个自治系统从权威机构获取对方数字证书中的系统公钥;
所述两个自治系统根据其系统私钥和获取的对方系统公钥获得所述第一共享密钥或第二共享密钥。
18.根据权利要求17所述的数据认证方法,其特征在于,所述公开密钥算法,包括:
Diffie-Hellman算法。
19.根据权利要求17所述的数据认证方法,其特征在于,所述两个自治系统分别根据所述系统私钥生成系统公钥并将所述系统公钥存入各自的数字证书中,包括:
按照以下公式计算系统公钥,
Figure FDA0003608095360000051
其中bi为系统公钥,质数n和其原根g为Diffie-Hellman算法的随机参数,αi为系统私钥。
20.根据权利要求19所述的数据认证方法,其特征在于,所述两个自治系统根据其系统私钥和获取的对方系统公钥获得所述第一共享密钥或第二共享密钥,包括:
按照以下公式计算所述共享密钥,
Figure FDA0003608095360000052
其中,ki,j为两个自治系统之间的第一共享密钥或两个自治系统之间的第二共享密钥,ai为系统私钥,为bj对方系统公钥。
21.一种用于自治系统的数据认证装置,其特征在于,包括:
共享密钥模块,用于在正向相邻的两个自治系统之间建立第一共享密钥;
价格传递模块,用于从目标自治系统开始,后一自治系统将其累计系统数据通过第一共享密钥加密后反向逐级传递至源自治系统;
数据初始模块,用于所述源自治系统根据接收的累计系统数据对带宽申请数据进行初始化,获得申请数据包;
认证更新模块,在该自治系统中对所述申请数据包进行正向逐级认证和更新;
其中,
所述反向逐级传递包括,后一自治系统将其累计系统计价通过第一共享密钥加密后向前传递至前一自治系统;前一自治系统对接收的累计系统计价进行解密,将接收的累计系统计价与其系统间计价进行累加得到前一自治系统的累计系统计价;重复上述步骤,直至前一自治系统为源自治系统;
所述申请数据包包括,计价哈希值、一组身份认证码和价格认证码;
所述正向逐级认证和更新包括,接收所述申请数据包的自治系统对所述计价哈希值进行验证;验证通过后,对所述价格认证码进行身份验证和价格验证;身份验证和价格通过验证后,重新计算价格认证码并替换所述一组身份认证码中对应的身份认证码;接收所述申请数据包的自治系统将重新计算价格认证码替换所述一组身份认证码中对应的身份认证码,并嵌入重新计算的计价哈希值。
22.根据权利要求21所述的数据认证装置,其特征在于,所述共享密钥模块还用于在源自治系统和其他任一自治系统的两个自治系统之间建立第二共享密钥。
23.一种用于自治系统数据认证的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-20中任一所述的数据认证方法。
24.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-20中任一所述的数据认证方法。
CN202010936525.1A 2020-09-08 2020-09-08 用于自治系统的数据认证方法及装置 Active CN113810354B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010936525.1A CN113810354B (zh) 2020-09-08 2020-09-08 用于自治系统的数据认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010936525.1A CN113810354B (zh) 2020-09-08 2020-09-08 用于自治系统的数据认证方法及装置

Publications (2)

Publication Number Publication Date
CN113810354A CN113810354A (zh) 2021-12-17
CN113810354B true CN113810354B (zh) 2022-06-14

Family

ID=78943437

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010936525.1A Active CN113810354B (zh) 2020-09-08 2020-09-08 用于自治系统的数据认证方法及装置

Country Status (1)

Country Link
CN (1) CN113810354B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102611561A (zh) * 2011-01-25 2012-07-25 中兴通讯股份有限公司 一种对等网计费或统计信息验证的方法和系统
CN103236978A (zh) * 2013-04-17 2013-08-07 清华大学 As拓扑顶层自治系统结点的确定方法和装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100483997C (zh) * 2006-09-19 2009-04-29 清华大学 基于自治系统互联关系的真实IPv6源地址验证方法
CN101651682B (zh) * 2009-09-15 2012-08-29 杭州华三通信技术有限公司 一种安全认证的方法、系统和装置
CN102868538B (zh) * 2011-07-08 2016-08-03 西门子公司 计费系统,计费节点以及计费方法
CN103974223B (zh) * 2013-02-05 2019-07-26 中兴通讯股份有限公司 无线局域网络与固网交互中实现认证及计费的方法及系统
US9191318B1 (en) * 2013-04-29 2015-11-17 Cisco Technology, Inc. Transitioning between communication protocols between networks
WO2016129067A1 (ja) * 2015-02-12 2016-08-18 株式会社日立製作所 自律動作検証装置および自律システム
CN108234495B (zh) * 2018-01-04 2020-09-29 苏州浪潮智能科技有限公司 一种基于自治系统多维属性的网络带宽分配方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102611561A (zh) * 2011-01-25 2012-07-25 中兴通讯股份有限公司 一种对等网计费或统计信息验证的方法和系统
CN103236978A (zh) * 2013-04-17 2013-08-07 清华大学 As拓扑顶层自治系统结点的确定方法和装置

Also Published As

Publication number Publication date
CN113810354A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN109714167B (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
Irshad et al. A provably secure and efficient authenticated key agreement scheme for energy internet-based vehicle-to-grid technology framework
CN107528835B (zh) 一种基于安全的智能合约k-匿名激励机制的用户隐私保护方法
CN109756329B (zh) 基于私钥池的抗量子计算共享密钥协商方法和系统
KR100811419B1 (ko) 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법
US20070242830A1 (en) Anonymous Certificates with Anonymous Certificate Show
CN114730420A (zh) 用于生成签名的系统和方法
CN104506534A (zh) 安全通信密钥协商交互方案
CN111783136B (zh) 一种数据保护方法、装置、设备和存储介质
CN110830244A (zh) 基于身份秘密共享和联盟链的抗量子计算车联网方法及系统
CN110599164B (zh) 一种可监管的链下任意收款方快速支付方法
CN114565386A (zh) 多方协同隐私保护的区块链托管交易方法及系统
CN111953479A (zh) 数据处理的方法及装置
CN112787796A (zh) 一种边缘计算中检测虚假数据注入的聚合方法及装置
WO2003094422A1 (fr) Systeme de communication chiffree, serveur de remise de cle associe, terminal, et procede de partage de cle
CN107248997B (zh) 多服务器环境下基于智能卡的认证方法
CN108449326A (zh) 一种异构可否认的认证方法和系统
Li et al. AvecVoting: Anonymous and verifiable E-voting with untrustworthy counters on blockchain
CN117714065A (zh) 基于群签名和Bulletproofs的高效联盟链隐私保护方法及系统
CN114760060B (zh) 一种边缘计算的服务调度方法
CN113810354B (zh) 用于自治系统的数据认证方法及装置
JP7209518B2 (ja) 通信装置、通信方法、および通信プログラム
CN113746645B (zh) 基于可计费数字证书的公共场景匿名通信计费系统和方法
CN112965802A (zh) 使用用户闲置资源进行算力贡献的系统、方法及电子设备
Zamanian et al. A new anonymous unlinkable mobile payment protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant