CN115580498B - 融合网络中的跨网通信方法及融合网络系统 - Google Patents

Abstract

本申请公开了一种融合网络中的跨网通信方法及融合网络系统，属于通信领域。本申请的预设网关设备分别与TCP/IP网络和信息中心网络连接。本申请方法在NDN客户端发送请求数据到IP服务器时，NDN客户端充当证书请求者，预设网关设备会充当证书权威服务中心签发该数据包，并通过IP网络与传统CA进行通信验证数据的真实性，然后将请求数据发送到IP网络中。在IP客户端发送报文到NDN服务器时，在数据通过网络边界后，NDNBR将充当证书请求者，NDN网络中的任一节点将充当证书权威服务中心，并代表此实体背后的所有名称空间对所有兴趣包进行签名。因此，本申请可在融合网络中为不同网络之间的网络节点之间建立信任关系。

Description

融合网络中的跨网通信方法及融合网络系统

技术领域

本申请涉及通信领域，尤其涉及一种融合网络中的跨网通信方法及融合网络系统。

背景技术

对于信息中心网络（Information-Centric Network,ICN），如命名数据网络(Named Data Networking，NDN)或者内容中心网络(Content Centric Networking，CCN)，和TCP/IP网络构成的融合网络而言，分别位于两种网络架构下的网络节点之间在通信时难以保证彼此之间的信任和安全。

发明内容

本申请的主要目的在于提供一种融合网络中的跨网通信方法及融合网络系统，旨在解决融合网络中不同网络架构下的网络节点之间的通信安全难以保证的技术问题。

为实现上述目的，本申请提供一种融合网络中的跨网通信方法，融合网络包括TCP/IP网络和信息中心网络，方法使用于预设网关设备，预设网关设备分别与TCP/IP网络和信息中心网络连接，方法包括：

接收信息中心网络中的第一路由器发送的第一数据请求包；其中，第一数据请求包由信息中心网络中的第一客户端发送至第一路由器；

将客户端数字证书发送至第一客户端，并获得在TCP/IP网络中的第二CA数字证书；其中，客户端数字证书由预设网关设备作为证书权威服务中心根据自身的第一CA数字证书签发，且第二CA数字证书被TCP/IP网络的预设证书授权机构广播至TCP/IP网络；

将第一数据请求包转换为第一IP数据报文，并利用第二CA数字证书对第一IP数据报文进行签名，得到签名后的第一IP数据报文；

将签名后的第一IP数据报文发送至TCP/IP网络中的第二服务器，以使第二服务器利用第二CA数字证书对签名后的第一IP数据报文进行验证，且在验证通过后，返回第一响应数据报文；

将第一响应数据报文转换为第一响应数据包，并根据第一CA数字证书对第一响应数据包进行签名，得到签名后的第一响应数据包；

将签名后的第一响应数据包发送至第一客户端，以使第一客户端利用客户端数字证书对签名后的第一响应数据包进行验证，且验证成功后，接收签名后的第一响应数据包。

第二方面，本申请还提供了一种融合网络中的跨网通信方法，融合网络包括TCP/IP网络和信息中心网络，方法使用于预设网关设备，预设网关设备分别与TCP/IP网络和信息中心网络连接，方法包括：

接收TCP/IP网络中的第三路由器发送的IP数据请求报文；其中，IP数据请求报文由TCP/IP网络中的第三客户端发送至第三路由器；

获得TCP/IP网络的预设证书授权机构签发的第三CA数字证书，并获得信息中心网络的证书权威服务中心签发的第四CA数字证书；其中，第三CA数字证书被TCP/IP网络的预设证书授权机构广播至TCP/IP网络；

将IP数据请求报文转换为第二数据请求包，并根据第四CA数字证书对第二数据请求包进行签名，得到已签名的第二数据请求包；

将已签名的第二数据请求包发送至信息中心网络中的第四服务器中，以使第四服务器根据自身的设备CA数字证书对已签名的第二数据请求包进行验证，且在验证通过后，返回第二数据响应包；

将第二数据响应包转换为第二响应数据报文，并根据第三CA数字证书对第二响应数据报文进行签名，得到签名后的第二响应数据报文；

将签名后的第二响应数据报文发送至第三路由器，以使第三路由器将第二响应数据报文发送至第三客户端，第三客户端根据第三CA数字证书对签名后的第二响应数据报文进行验证，且在验证通过后，接收签名后的第二响应数据报文。

第三方面，本申请还提供了一种融合网络系统，包括：包括TCP/IP网络、信息中心网络和预设网关设备，预设网关设备分别与TCP/IP网络和信息中心网络连接，预设网关设备用于执行如上融合网络中的跨网通信方法的步骤。

本申请提供的跨网通信方法使用于分别与TCP/IP网络和信息中心网络连接的预设网关设备，在TCP/IP网络中的IP数据报文发送至信息中心网络时，预设网关设备会通过TCP/IP网络中的预设证书授权机构签名或者验证IP数据报文的真实性，在信息中心网络中的数据包发送至TCP/IP网络时，预设网关设备为作为证书权威服务中心或者证书请求者签发该数据包，从而在融合网络中为不同网络之间的网络节点之间建立信任关系，以保证融合网络中不同网络架构下的网络节点之间的通信安全。

附图说明

图1为本申请融合网络系统一实施例的组成示意图；

图2为图1中预设网关设备的结构示意图；

图3为本申请融合网络系统另一实施例的组成示意图；

图4为本申请融合网络系统又一实施例的组成示意图；

图5为本申请融合网络中的跨网通信方法第一实施例的组成示意图；

图6为本申请融合网络中的跨网通信方法第四实施例的组成示意图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例以下，将对本申请技术实现中应用到的融合网络系统进行说明：

参照图1，图1是一示例性实施例提供的一种融合网络系统第一实施例的架构示意图。如图1所示，该融合网络系统包括TCP/IP网络215、信息中心网络和预设网关设备216，预设网关设备216分别与TCP/IP网络和信息中心网络连接。

TCP/IP网络可以包括服务器、IP客户端202和路由器。其中服务器可以为包含一独立主机的物理服务器，或者该服务器可以为主机集群承载的虚拟服务器。可以理解的，服务器在网络中为其它客户机提供计算或者应用服务。根据提供的计算或者应用服务的不同，TCP/IP网络中的服务器包括IP-CA证书权威服务器206、IP服务器201和IP-DNS服务器204。路由器是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。路由器包括IP-BR边界路由器205和IP路由器203。IP客户端202或称为用户端，是指与服务器相对应，为客户提供本地服务的程序。

信息中心网络（Information-Centric Network,ICN），可以是命名数据网络(Named Data Networking，NDN)或者内容中心网络(Content Centric Networking，CCN)。其中，在信息中心网络中，NDN或CCN中的通信模式一般由接收端（即数据使用者）驱动。为了接收感兴趣的内容数据，应用程序在注册相应的名称，或者称之为名称前缀后，会发出一个称为Interest的请求包给邻接的路由器，其中包含一个内容名称Name，用于标识所感兴趣的请求内容。邻接的路由器会记住该Interest请求包来自的具体接口face，然后查询本地缓存是否已存在所需的内容，有则直接回复给应用程序，否则在待处理兴趣表（Pendinginterest table, PIT）表中增加一个该Interest兴趣包的记录，表示后续有相关的内容数据请转发给该接口，然后通过其路由转发信息库（Forwarding information base, FIB）查找名称来转发该Interest请求包，FIB中的名称由基于名称的路由协议填充，直到请求超时，或在中间路由器上找到相应的数据，或到达最终数据源节点。一旦该Interest兴趣包到达具有所请求的目标内容数据的节点上，该节点可能是中间路由器节点，也可能是最终数据源节点，该节点会响应一个Data数据包，其中包含数据名称Name和内容Content，以及数据源的签名。该Data数据包会沿着相反路径的方式遵循Interest命名层次原路返回给应用程序，中间的路由器节点会缓存该数据，以备其它节点请求相同内容数据时可以直接返还数据，而不用到达数据源获取数据，减少因发送Interest兴趣包导致的网络流量。值得一提的是，Interest兴趣包和Data数据包均不携带任何主机或接口地址，例如IP地址；一个Interest兴趣包作为请求，一个Data数据包作为响应，两者是一一对应关系。

中间路由器的处理为：在收到Interest兴趣包时，中间路由器会将所有等待返回Data数据包的Interest兴趣包信息存储在待处理兴趣表PIT中。当从下游众多接口接收到多个相同的Interest兴趣包（即多个应用程序请求相同的内容数据）时，只有第一个Interest兴趣包会向上游接口发送出去，直至Interest兴趣包到达数据源，即数据生产者。可以理解的，上述流程中每个PIT条目均包含Interest兴趣包名称和一组接口。当数据生产者回复的Data数据包到达时，中间路由器会找到匹配的PIT条目，并将Data数据包转发到PIT条目中列出的所有接口；然后，中间路由器删除相应的PIT条目，并将Data数据包缓存在CS(Content Store,缓存)中。此外，由于NDN数据包的意义独立于其来源或转发位置，因此中间路由器可以对其进行缓存以满足未来的请求，如果后续还接收到相同的Interest兴趣包，可以直接从Content Store中找到相应的Data数据包并给予回复。由于一个Data数据包满足每一跳的一个Interest兴趣包，因此，与TCP/IP网络相比，NDN网络实现了比较理想的逐跳流平衡。

预设网关设备216用于执行如下述方法实施例示出的融合网络中的跨网通信方法的步骤。在一些实施例中，预设网关设备可以是NNI ALG（network to network interfaceApplicationLayer Gateway，应用层网关）安全网关设备。下文称之为NNI安全网关。该NNI安全网关配置有专业的安全密码芯片和证书管理模块，以完成两种网络架构下的国密证书的管理操作。

参照图2，图2为本申请实施例方案涉及的硬件运行环境的预设网关设备的结构示意图。如图2所示，该预设网关设备可以包括：处理器1001，例如中央处理器（CentralProcessing Unit，CPU），通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏（Display）、输入单元比如键盘（Keyboard），可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口（如无线保真（WIreless-FIdelity，WI-FI）接口）。存储器1005可以是高速的随机存取存储器（RandomAccess Memory，RAM）存储器，也可以是稳定的非易失性存储器（Non-Volatile Memory，NVM），例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图2中示出的结构并不构成对预设网关设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。如图2所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及预设网关设备程序。参阅图3，在一实施例中，预设网关设备包括信息中心网络边界路由器和IP网络边界路由器，信息中心网络边界路由器通过NDN-IP NNI接口与IP网络边界路由器连接。

具体的，本实施例中，融合网络包括10种功能设备：NDN客户端213、NDN路由器211、NDNBR（信息中心网络边界路由器）208、NDNS（信息中心网络名字服务器）209、IP-CA证书权威服务器（预设证书授权机构）206、IP-BR网络边界路由器205、IP路由器203、IP服务器201、IP-DNS服务器204、密码机207。

其中NDN客户端213、NDN路由器211、NDNBR208、NDNS209均位于NDN网络214一侧。而IP-CA证书权威服务器206、IP-BR边界路由器205、IP路由器203、IP服务器201、IP-DNS服务器204位于IP网络一侧。NDNBR208通过NDN-IP NNI接口与IP-BR边界路由器连接。此时，NDNBR208、NDNS209、IP-BR边界路由器205共同构成了预设网关设备。

具体的，NDN客户端213，用于负责发送NDN Interest兴趣包和接收服务器发送过来的NDN Data数据包。

NDN路由器211，用于负责转发NDN Interest兴趣包和NDN Data数据包。

NDNBR208作为一种网关设备，位于NDN网络边界，通过NDN-IP NNI（network tonetwork interface）接口与位于TCP/IP网络边界的IP-BR边界路由器相连。NDNBR用于向最近的IP-BR边界路由器公告NDN网络上每个名称所对应的IP地址的分配，还负责NDN数据包到IP数据报文的相互转换。另外，NDNBR还用于充当CA并代表后面的所有IP网络和NDN客户端进行数据交互。

NDNS服务器210，用于负责已分配的IP地址与NDN网络中的URI（Uniform ResourceIdentifier，统一资源标识符）路径格式的名称之间进行映射。NDNS上的URI名称记录会被广播到IP网络上的IP-DNS设备，基于IP网络的IP-DNS设备也会向NDNS节点广播其记录的IP地址与IP网络中的域名之间映射关系。其记录形态可以是 /NDN/com/baidu/www192.168.0.1。

IP-DNS服务器204，用于负责已分配的IP地址与IP网络中的域名之间进行映射,在收到NDNS广播的映射记录后，IP-DNS会转换将映射记录的相应的格式转换为与其它域名格式保持一致。其记录形态可以为: www.baidu.com 192.168.0.1。

IP-CA证书权威服务器206，用于签发相应的数字CA证书，并与其它设备合作认证相应的功能，与NDNBR边界路由器和IP-BR边界路由器相连接。可以理解的，CA为电子商务认证授权机构CertifiteAuthority的简称。

IP-BR边界路由器205，用于负责处理从NDNBR边界路由器发送或接收过来IP数据报文。IP路由器203，用于负责转发IP数据报文。IP服务器201，为业务功能服务器，用于提供相应的服务。

多个密码机207，为具有相应安全级别认证过的硬件安全设备，与主机通信的外部接口可以是各种接口形态，例如UART、USB3.1、PCI-E5.0等，用于生成协议或证书所需的随机数和密钥。本实施例中，密码机可以部署在IP-CA、NDNBR、NDN路由器或者NDN-CA证书权威服务器等后面，分别与之安全直连。密码机上具有若干个真随机数发生器RNG（Randomnumber generator, 随机数发生器），用于生成私钥和密码算法所需的随机数。另外，密码机还保存了一系列对应于名称或IP的私钥公钥对。在本申请中，可使用SM2公钥算法的密钥生成算法生成所有相关的密钥对，并保存在密码机的安全NVM（Non-volatile memory，非易失性存储器）存储器中，例如eFuse、OTP等，针对每个密钥对，存放的记录形式如下：{key_ID, user_ID, private_key,public_key_x, public_key_y, a, b, G_x, G_y}。其中key_ID表示密钥ID，user_ID表示密钥拥有者的ID，为了固定存储长度，本实施例中存储的值为相应的URI路径格式名称或IP地址的SM3运算结果，private_key表示私钥，public_key_x和public_key_y分别表示用户选择的SM2 BN椭圆曲线上公钥的x和y轴仿射坐标，a和b椭圆曲线方程参数，G_x和G_y分别为SM2 BN椭圆曲线上的点群的生成元G的x和y轴仿射坐标。在本申请可能的一实施例中，密码机也可能以软件形态存在，也可能直接在主机上实现（即不使用单独的硬件密码机），密码机的具体存在形式取决于融合网络系统所需要的安全级别。

基于上述融合网络第一实施例，本申请提供一种融合网络中的跨网通信方法第一实施例。参照图5，图5示出了申请融合网络中的跨网通信方法第一实施例的流程示意图。需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例中，融合网络中的跨网通信方法包括：

步骤S100、接收信息中心网络中的第一路由器发送的第一数据请求包；其中，第一数据请求包由信息中心网络中的第一客户端发送至第一路由器。

本实施例提供的融合网络中的跨网通信方法针对从NDN客户端到IP服务器的通信场景。需要说明的是，本实施例以及下文以信息中心网络为NDN网络为例进行具体说明。本领域技术人员基于本实施例的记载，易于想到信息中心网络为CCN时的具体执行步骤，本实施例对此不再赘述。

在本实施例中，第一客户端为NDN客户端，第一路由器为NDN路由器。

具体而言，第一客户端向第一路由器发送第一数据请求包，即Interest兴趣包，第一路由器查找CS缓存中是否存在Interest兴趣包请求的内容副本。若存在则直接回复第一客户端，即将Interest兴趣包请求的内容副本，通过NDN Data数据包发送给第一客户端。而若CS缓存中不存在Interest兴趣包请求的内容副本，则在NDN网络中请求内容。若收到相应的内容则通过NDN Data数据包发送给第一客户端。若等待超时，即在NDN网络中不存在Interest兴趣包请求的内容时，将第一数据请求包发送到预设网关设备。

值得一提的是，下文以预设网关设备为NNI安全网关为例进行具体阐述。可以理解的，预设网关设备还可以是NDN网络的NDN-CA服务器。

步骤S200、将客户端数字证书发送至第一客户端，并获得在TCP/IP网络中的第二CA数字证书；其中，客户端数字证书由NNI安全网关作为证书权威服务中心根据自身的第一CA数字证书签发，TCP/IP网络的预设证书授权机构向TCP/IP网络广播第二CA数字证书。

在本实施例中，在TCP/IP网络中的IP数据报文发送至信息中心网络时，NNI安全网关会通过TCP/IP网络中预设证书授权机构签名或者验证IP数据报文的真实性，在信息中心网络中的数据包发送至TCP/IP网络时，NNI安全网关为作为证书权威服务中心签发该数据包，从而在融合网络中为不同网络之间的网络节点之间建立信任关系，以保证融合网络中不同网络架构下的网络节点之间的通信安全。

因此，在NNI安全网关将第一数据请求包发送至TCP/IP网络之前，会与CA进行通信验证数据的真实性。也即是需要先申请在TCP/IP网络中的第二CA数字证书。具体而言，NNI安全网关根据已有的第一CA数字证书的证书信任根所对应的密钥对，向预设证书授权机构IP-CA发送注册请求，以向IP-CA申请CA证书。IP-CA验证注册请求，并在注册请求验证通过后，通过密码机签发相应的SM2 CA证书，也即是第二CA数字证书，然后将第二CA数字证书回送给NDNBR。且IP-CA在TCP/IP网络全网公告该第二CA数字证书。值得一提的是，第一CA数字证书和第二CA数字证书均可以为X.509格式的SM2国密证书。

此外，在后续通信过程中，第一客户端还需要对从TCP/IP网络中返回并转换格式得到的NDN Data数据包验证其数据真实性。因此，还需要向第一客户端下发一客户端数字证书。

在一些实施例中，NNI安全网关在接收到第一数据请求包后，会判断第一数据请求包中的名称是否有对应的IP地址，即是否有IP节点存储所感兴趣的请求内容。若有，则执行步骤S200。若没有，则回复不存在相应的IP地址，并终止执行后续步骤。

可以理解的，NNI安全网关中存在预设名称和IP地址映射表，预设名称和IP地址映射表中保存有已分配的IP地址与NDN网络中的URI（Uniform Resource Identifier，统一资源标识符）路径格式的名称之间的映射关系。

作为一个实施例，步骤S200具体包括：

步骤S201、接收第一客户端发送的第一证书申请信息。

步骤S202、根据第一证书申请信息，生成第一CA数字证书。

步骤S203、将第一证书配置信息发送至第一客户端，以使第一客户端根据第一证书配置信息，返回第一子命名空间申请信息。

步骤S204、根据第一子命名空间申请信息，确定出第一可用子命名空间，并将第一可用子命名空间的信息返回至第一客户端，以使第一客户端根据第一可用子命名空间，生成客户端自签名证书，并返回客户端自签名证书。

步骤S205、根据第一CA数字证书，签发客户端自签名证书，获得客户端数字证书。

步骤S206、将客户端数字证书发送至第一客户端。

具体的，NNI安全网关给第一客户端发送一个响应数据包，让第一客户端开始申请证书。第一客户端向NNI安全网关发送一个CA_INFO兴趣包，以获取NNI安全网关的第一证书配置信息，第一证书配置信息包括NNI安全网关的第一CA数字证书的信任根、可以申请证书的前缀、证书申请的最大可用期、NDNBR介绍信息等其它信息。

此时，NNI安全网关通过密码机生成一个私钥公钥对，同时通过自签名生成一个自身的SM2证书，也即是第一CA数字证书，定义相应的可用前缀，及证书申请的最长有效期等证书配置信息。可以理解的，第一CA数字证书也可为NNI安全网关基于密码机完成。NNI安全网关通过发送一个CA_INFO数据包，向第一客户端直接回应相应的第一证书配置信息。

值得一提的是，每个证书请求者在申请、或撤销证书之前都需要获得CA配置文件，也即是此处的CA_INFO兴趣包目的是为了获得CA配置文件，也即是第一证书配置信息，因此CA_INFO兴趣包指定了CA对名称分配、CA证书和其他信息的要求。CA_INFO兴趣包按照NDN命名约定发布为分段对象，即一个或多个数据包。两个数据包的格式可以如下：

CA_INFO兴趣包：

Name: /<CA-Prefix>/CA/CA_INFO/<version>/<segment>；

CA_INFO数据包：

Name:/<CA-Prefix>/CA/CA_INFO/<version>/<segment>

Content:{CA_prefix,CA_info, MaxValidityPeriod, CA_certificate,

supported-challenges}

其中，CA-Prefix表示可以申请证书的CA前缀；CA_INFO表示相关说明信息；MaxValidity Period表示申请的证书最长有效期；CA_certificate表示CA本身作为信任根的证书, supported-challenges表示CA支持的挑战类型。

然后，第一客户端向NNI安全网关发送一个CA_PROBE兴趣包，请求NNI安全网关提供可用的第一子命名空间。NNI安全网关通过发送一个CA_PROBE数据包回复一个可用的第一子命名空间的相关信息。具体的，两个数据包的格式如下：

CA_PROBE兴趣包：

Name:/<CA-Prefix>/CA/CA_PROBE/params-sha256=12398abdfe…

ApplicationParameters:{email:xxxx@pcl.ac.cn,fullname: xxxxx，info:xxxxxx, phone: 136xxxxxx, others: xxx}

CA_PROBE数据包：

Name:/<CA-Prefix>/CA/CA_PROBE/params-sha256=12398abdfe…

Content:{Name: /<CA-Prefix>/xxxxxxx}

其中，Name:/<CA-Prefix>/xxxxxxx表示可分配的子命名空间为/<CA-Prefix>/xxxxxxx/。email:xxxx@pcl.ac.cn表示邮箱；ffullname: xxxxx表示全名；info: xxxxxx表示工作地址；phone: 136xxxxxx表示电话号码等。

第一客户端在接收到CA_PROBE数据包以后，即获得NNI安全网关提供的可用的第一子命名空间的相关信息。然后，第一客户端生成一个密钥对，并向NNI安全网关发送一个CA_NEW兴趣包，以申请NDN证书。CA_NEW兴趣包中包含一个客户端自签名证书。值得一提的是，密钥对可以不通过密码机生成，当然，在安全级别较高时，也可以部署密码机。NNI安全网关利用密码机使用第一CA数字证书签署该客户端自签名证书，即对此表示背书认可，得到客户端数字证书。然后，NNI安全网关将客户端数字证书发送至第一客户端，第一客户端下载并安装该客户端数字证书。具体的，第一客户端发送一个CA_DOWNLOAD兴趣包以获取签名并封装好的证书，也即是客户端数字证书。NNI安全网关通过一个CA_DOWNLOAD数据包发送该客户端数字证书给第一客户端。第一客户端下载并安装该客户端数字证书。

在一些实施例中，在NNI安全网关签署客户端自签名证书前，还需要验证证书请求方的真实身份。

具体的验证过程如下：

NNI安全网关根据预设的质询策略收集可用的Challenge质询列表，并生成会话请求ID。该会话请求ID用于识别此会话请求后续相关的一系列交互操作。NNI安全网关将Challenge质询列表和会话请求ID回复给第一客户端。可以理解的，NNI安全网关可将Challenge质询列表和会话请求ID打包成一个CA_NEW数据包发送至第一客户端。第一客户端从Challenge质询列表中选择出一个目标Challenge质询，并将选择结果，即目标Challenge质询通知NNI安全网关。然后，NNI安全网关为第一客户端执行挑战质询。第一客户端随后将按照NNI安全网关的指示完成带外（out-of-band）质询任务。NNI安全网关将查询带外质询的验证结果，并将验证结果的状态数据发送给第一客户端。在NNI安全网关验证质询结果成功后，NNI安全网关利用密码机使用自己的第一CA数字证书的私钥签署NDN客户端的客户端自签名证书。可以理解的，前述的质询过程可能会经过多次，直到质询成功。

作为一个实施例，在具体的质询过程中，NNI安全网关和第一客户端之间的交互数据为CA_CHALLENGE兴趣包和CA_CHALLENGE数据包。具体的，第一客户端通过发送一个CA_CHALLENGE兴趣包，将目标Challenge质询通知NNI安全网关。然后，NNI安全网关将发送一个CA_CHALLENGE数据包为第一客户端执行挑战质询。第一客户端随后将按照NNI安全网关的指示完成out-of-band带外质询任务。最后，NNI安全网关将查询带外质询的验证结果，并将验证结果的状态数据包含在一个CA_CHALLENGE数据包中发送给第一客户端。CA_CHALLENGE兴趣包和CA_CHALLENGE数据包主要是完成一系列的挑战，以验证证书请求方的真实身份。在前述的交互过程中，证书请求方选择一个Challenge质询，即目标Challenge质询并通知CA，在本实施例中，即为NNI安全网关。CA将为请求者执行挑战质询。请求方随后将按照CA的指示完成带外（out-of-band）质询任务。CA将查询带外验证结果，并在应答数据中包含验证状态的数据。在CA验证质询结果成功后，CA将签署证书请求方在上一步中发送过来的自签名证书。值得一提的是，自签名证书为真的CA签名证书，CA对此背书认可。在本实施例中，为了验证用户身份，至少需要一次带外验证，例如通过EMAIL验证方式来完成。

在一示例中，CA通过电子邮件将验证码发送给证书请求方，或者要求证书请求方通过其它带外方式（如电话等）获取验证码。证书请求方向CA发送一个“CA_CHALLENGE”命令，向CA发送一个CA_CHALLENGE兴趣包，将所需信息，如验证码PIN，传递给CA以完成质询。对于电子邮件质询，CA可以要求证书请求方提供电子邮件地址。CA将用包含JSON文件的CA_CHALLENGE数据包回复用户，其中包括证书颁发状态和质询验证状态。如果成功验证了质询，CA还将提供证书下载名称。可以理解的，此质询过程可能会经过多次，也即允许中间失败，一般为3次，即最多失败2次，由CA回复的数据字段challenge-remaining-tries决定。质询阶段是否成功由CA回复的数据字段challenge-status决定，challenge-status数据字段反应的是本次质询的状态，可以理解的，在前述的交互过程中，从证书请求方发送CA_CHALLENGE兴趣包开始，数据参数都加密。而不同的质询方式定义不一样包格式如下：

CA_CHALLENGE兴趣包：

Name:/<CA-Prefix>/CA/CA_CHALLENGE/Randnumber= 12398abdfe…

ApplicationParameters:SM4_CBC_encrypted{PIN-code,selected_PIN_chanllenge}

CA_CHALLENGE数据包：

Name:/<CA-Prefix>/CA/CA_CHALLENGE/Randnumber = 12398abdfe…

Content:SM4_CBC_encrypted{challenge-status,challenge-remaining-tries,challenge-remaining-time}

其中，SM4_CBC_encrypted表示参数以加密形态封装；PIN-code表示PIN码；selected_PIN_chanllenge表示选择的PIN随机码认证；challenge-remaining-tries表示还剩多少次挑战质询机会来完成认证；challenge-remaining-time表示本次挑战有效期，即在多长时间内必段完成挑战质询；challenge-status表法挑战质询的状态，当成功时CA会在后台使用自身的私钥签署证书请求方的证书，表示认可背书。

在一些实施例中，客户端数字证书代表的NDN证书格式可以为：

Name:Object_identity/KEY/Random_number1/CERT/Rando_number2

Content:{ Publickey}

ValidityPeriod:{startDate, endDate}

Extension:{Workplace,Phone, Others}

Signature{…}

其中，Object_identity表示证书拥有者的身份；KEY是一个关键字，代表此数据包中的内容是一个密钥数据。Object_identity/KEY/Random_number1表示一个密钥的名称；CERT是一个关键字，代表此数据包是一个密钥证书。

Object_identity/KEY/Random_number1/CERT/Rando_number2表示一个与密钥对应的证书名称；ValidityPeriod表示证书的使用有效期，startDate表示起始有效期时间，如可表示为：年/月/日/时/分/秒；endDate表示有效期结束时间，如可表示为年/月/日/时/分/秒。Random_number表示一个随机数；Extension表示证书的扩展，可以包括用户的工作地址Workplace，电话号码Phone等；Signature表示CA对该NDN证书的签名。Content字段中保存了该NDN证书对应的SM2公钥，格式为04+X+Y。其中，X，Y分别表示证书拥有者的公钥在椭圆曲线上的仿射坐标。Content的具体格式为ASN.1(Abstract Syntax Notation，抽象语法标记)语法的SPKI(SPKI，Simple Public KeyInfrastructure, 简单公钥基础设施格式)，表示如下：

var SPKI pub_key =Hex(Asn1.Any('30'

,Asn1.Any('30'

,Asn1.Any('06',unrestricted_oid)

,Asn1.Any('06', SM2_curve_oid)

)

, Asn1.BitStr('04' + x + y)

))。

在一些实施例中，NNI安全网关在接收到来自任一个NDN客户端请求时，利用密码机生成一个与该NDN客户端相对应的密钥对，并据此生成得到第一CA数字证书，即不同NDN客户端对应的第一CA数字证书不同，从而可以进一步提高安全性。

步骤S300，将第一数据请求包转换为第一IP数据报文，并利用第二CA数字证书对第一IP数据报文进行签名，得到签名后的第一IP数据报文。

具体的，NNI安全网关将获得的第一数据请求包转换为IP数据报文，即第一IP数据报文。然后使用第二CA数字证书，即在TCP/IP网络中的SM2证书对应的私钥重新签名，得到签名后的第一IP数据报文。

步骤S400，将签名后的第一IP数据报文发送至TCP/IP网络中的第二服务器，第二服务器利用第二CA数字证书对签名后的第一IP数据报文进行验证，且在验证通过后，第二服务器通过第二路由器返回第一响应数据报文。

具体的，NNI安全网关将签名后的第一IP数据报文发送至TCP/IP网络中的IP路由器，即第二路由器。第二路由器将签名后的第一IP数据报文转发给IP服务器，即第二服务器。第二服务器根据公告的第二CA数字证书对签名后的第一IP数据报文进行验证，以验证该数据报文的合法性。若验证合法，即验证通过后，第二服务器得到相应的第一响应数据报文。然后，第二服务器利用自身的服务器CA证书对应的私钥进行签名，然后将第一响应数据报文发回给IP路由器，IP路由器将第一响应数据报文转发给NNI安全网关。即在TCP/IP网络中确保数据的真实性。值得一提的是，第二服务器的服务器CA证书对应的私钥可不通过密码机生成。在一些实施例中，当安全级别较高时，也可以由密码机生成。

步骤S500，将第一响应数据报文转换为第一响应数据包，并根据第一CA数字证书对第一响应数据包进行签名，得到签名后的第一响应数据包。

具体的，NNI安全网关可先利用第二CA数字证书验证第一响应数据包的真实性，然后NNI安全网关查询IP地址对应的名称，将第一响应数据报文重新封装成NDN数据包，即第一响应数据包。具体的为，NNI安全网关将第一响应数据报文的IP头转换为NDN头。此后，使用在NDN网络中的自身的SM2证书的私钥进行签名，即根据第一CA数字证书对第一响应数据包进行签名。该签名步骤也代表着，在融合网络中，NNI安全网关充当CA并代表后面的所有IP网络进行响应与回复NDN网络中的NDN客户端。

作为一个实施例，将第一响应数据报文转换为第一响应数据包，包括：

步骤S501、根据预设名称和IP地址映射表，获得第一响应数据报文中的IP路径对应的名称路径；

步骤S502、根据名称路径，将第一响应数据报文转换为第一响应数据包。

具体而言，NNI安全网关中存在预设名称和IP地址映射表，预设名称和IP地址映射表中保存有已分配的IP地址与NDN网络中的URI（Uniform Resource Identifier，统一资源标识符）路径格式的名称之间的映射关系。可以理解的，在融合网络中，NNI安全网关上的URI名称记录会被广播到IP网络，IP网络也会向NNI安全网关广播IP地址记录。其记录形态可以为：/NDN/com/baidu/www 192.168.0.1。

作为一个实施例，IP路径到URI路径格式名称的映射记录格式，可采用JSON格式，具体定义如下：

MAP_TABLES：{Count: xxx, records: {record1:{Name: URI路径格式名称1,IP: IP地址1}，record2:{ Name: URI路径格式名称2, IP: IP地址2},…}}。

从而，NNI安全网关可以提取出第一响应数据报文的IP头中的IP路径，也即是源通信地址和目标通信地址，并将其对应转换为名称，从而得到名称路径，从而得到NDN头。在得到NDN头后，即可重新封装得到第一响应数据包。

具体的，IP请求报文与NDN兴趣包之间的相互转换：

IP请求报文: IP header + UDP/TCP header +Application_data转成如下：

NDN兴趣包: Name: URI路径格式名称

ApplicationParameters:{Application_data, Helper_data}，

Signature{…}

IP响应报文与NDN数据包之间的转换：

IP响应报文: IP header + UDP/TCP header +Application_data转成如下：

NDN数据包: Name: URI路径格式名称

Content:{Application_data, Helper_data }

Signature{…}

Application_data表示应用层数据，由应用程序定义与解释；Helper_data表示相关特殊数据的帮助性定义，主要与协议传输有关，例如协议加密相关的密钥信息、分片及分片数量等定义。例如在需要保密时，Application_data使用SM4 CBC算法进加密，发送方可以先生成一个对称密钥Key，使用对方的SM2证书公钥加密一个对称密钥Key存放在Helper_data中。此时Content字段格式如下：Application_data'=SM4_CBCKey(Application_data),Helper_data'=SM2pubkey(Key)。具体使用方法或包含的内容，由应用层定义。

步骤S600，将签名后的第一响应数据包发送至第一客户端，以使第一客户端利用客户端数字证书对签名后的第一响应数据包进行验证，且验证成功后，接收签名后的第一响应数据包。

具体的，NNI安全网关将签名后的第一响应数据包发送至第一路由器，第一路由器复制第一响应数据包以供后续存在相同请求时进行响应，并将签名后的第一响应数据包发送至第一客户端。第一客户端利用之前获得的客户端数字证书对签名后的第一响应数据包进行验证。如果验证通过，即数据合法，接收该签名后的第一响应数据包。相应的，如果验证未通过，则拒绝接收该签名后的第一响应数据包。

由此，NNI安全网关作为CA，在IP网络和NDN网络之间架起通信桥梁作用，负责签名或验证跨网络通信的数据包的真实性。在本实施例提供的NDN客户端到IP服务器的通信场景中，NDN客户端充当证书请求者，向IP服务器发送请求数据，此时，NNI安全网关会充当CA，并代表其背后的所有IP网络接管请求和回复客户端，NNI安全网关在将NDN请求数据发送到IP网络之前，将通过IP网络与IP网络中的传统CA进行通信验证数据的真实性，然后将请求数据发送到IP网络中。从而，本实施例在融合网络中为不同网络之间的网络节点之间建立信任关系，以保证融合网络中不同网络架构下的网络节点之间的通信安全。

基于上述实施例，提供本申请融合网络中的跨网通信方法第二实施例。

在本实施例中，参阅图4，融合网络还包括其他信息中心网络218、其他信息中心网络218通过第二预设网关设备217与TCP/IP网络215相连。

本实施例中，方法包括：

步骤S10、若接收到第一数据请求包，则判断本地信息中心网络存在第一数据请求包的响应数据包，和第一数据请求包中的名称有对应的IP地址是否均不成立；

步骤S20、若均不存在，则建立与第二预设网关设备的直通IP连接通道；

步骤S30、根据直通IP连接通道将第一数据请求包发送至第二预设网关设备，以使第二预设网关设备将第一数据请求包发送至其他信息中心网络，并在获得响应数据包后，通过直通IP连接通道返回响应数据包。

具体而言，本申请实施例提供的融合网络还具有透传功能。融合网络由两个NNI安全网关组成遂道，将其中一个NDN网络中的信息加密后通过IP网络传给另一个NDN网络，即实现在TCP/IP网络中的VPN功能。TCP/IP网络左右两侧的NDN网络中的节点工作过程中好像TCP/IP网络不存在一样，即实现透传。在具体的工作过程中，在接收到来自NDN客户端的信息中心网络数据请求包，即第一数据请求包后，NNI安全网关会先判断信息中心网络数据请求包的响应数据包是否在本地信息中心网络中，也即是判断所需的服务是不是本地的NDN网络所能提供的服务，并且还判断第一数据请求包中的名称有对应的IP地址是否均不成立，即所需的服务是不是TCP/IP网络中所能提供的服务。若均不是，那么NNI安全网关与另一个NDN网络中的NNI安全网关建立直通的IP连接，即建立与第二预设网关设备的直通IP连接通道。然后NNI安全网关将信息中心网络数据请求包，通过直通IP连接通道透传到另一个NDN网络，也即是能提供该服务的服务器所在NDN网络。当然，在服务器数据响应后，另一个NDN网络的NNI安全网关通过直通IP连接通道将响应数据透传给NDN客户端所在的网络。

当然，若第一数据请求包中的名称有对应的IP地址成立，则执行将客户端数字证书发送至第一客户端，并获得在TCP/IP网络中的第二CA数字证书的步骤。后续步骤请参阅上述方法第一实施例，此处不再赘述。

作为一个实施例，NNI安全网关的信息由网络管理员配置在两个信息中心网络的客户端节点或服务器节点上。如果客户端节点或服务器节点发送或接收的数据超时，自动通过NNI ALG网关透传相应的NDN数据。

基于上述实施例，提供本申请融合网络中的跨网通信方法第三实施例。

本实施例中，融合网络的具体组成请参阅图3和上文系统实施例的详细阐述。本实施例中，方法包括以下步骤：

NDN客户端向NDN路由器发送第一数据请求包。NDN路由器接收到第一数据请求包，并查找本地CS缓存中是否存在第一响应数据包。若不存在，且NDN路由器在NDN网络中等待请求内容超时，则将第一数据请求包发送到NDNBR边界路由器。NDNBR边界路由器将第一数据请求包中的名称发送给NDNS服务器，以解析获得名称对应的IP地址。NDNS服务器将名称对应的IP地址发送回NDNBR，以使NDNBR发送给NDN客户端一个响应数据包。若不存在对应的IP地址，则直接向NDNBR回复不存在相应的IP地址，以终止后续步骤。NDN客户端接收到响应数据包后，向NDNBR发送CA_INFO兴趣包，以获取NDNS服务器的第一证书配置信息。NDNBR通过密码机生成一个私钥公钥对，同时通过自签名生成第一CA数字证书，并将第一证书配置信息发送至NDN客户端。在接收到第一证书配置信息后，NDN客户端向NDNBR发送一个CA_PROBE兴趣包，以请求NDNBR提供可用的第一子命名空间。NDNBR通过发送一个CA_PROBE数据包回复可用的第一子命名空间的相关信息。值得一提的是，在一些实施例中，此时若该NDNBR不希望提供服务时，可以将此CA_PROBE兴趣包转发并委托给另一个NDNBR进行处理。在此步骤中，该NDNBR会把新的NDNBR信息提供给NDN客户端，此时与NDN客户端交互的是一个新的NDNBR。在接收到CA_PROBE数据包后，NDN客户端生成一个密钥对，并向NDNBR发送一个CA_NEW兴趣包，以申请NDN证书。其中，CA_NEW兴趣包中包含一个客户端自签名证书。NDNBR根据预设的质询策略收集可用的Challenge质询列表，并生成会话请求ID。且NDNBR将Challenge质询列表和会话请求ID回复给NDN客户端。可以理解的，NDNBR可将Challenge质询列表和会话请求ID包含在一个CA_NEW数据包中回复给NDN客户端。NDN客户端从Challenge质询列表中选择出目标Challenge质询，并通过发送CA_CHALLENGE兴趣包，将目标Challenge质询通知给NDNBR。NDNBR将发送一个CA_CHALLENGE数据包为NDN客户端执行挑战质询。NDN客户端随后将按照NDNBR的指示完成带外（out-of-band）质询任务。NDNBR将查询带外质询的验证结果，并将验证结果的状态数据包含在一个CA_CHALLENGE数据包中发送给NDN客户端。在NDNBR验证质询结果成功后，NDNBR利用密码机使用第一CA数字证书的SM2私钥签署客户端自签名证书，得到客户端数字证书。NNI安全网关将客户端数字证书发送至第一客户端，第一客户端下载并安装该客户端数字证书。值得一提的是，质询过程可能会经过多次，直到质询成功。具体的，NDN客户端根据NDNBR发送的响应数据包中的状态确认成功后，发送一个CA_DOWNLOAD兴趣包以获取签名并封装好的客户端数字证书。NDNBR通过一个CA_DOWNLOAD数据包发送客户端数字证书给NDN客户端。NDN客户端下载并安装该客户端数字证书。NDNBR利用第一CA数字证书的信任根所对应的密钥对，向IP-CA证书权威服务器发送注册请求，以向IP-CA申请第二CA数字证书。IP-CA证书权威服务器验证请求通过后，通过密码机签发相应的SM2 CA证书，得到第二CA数字证书，并将证书回送给NDNBR。且IP-CA在IP全网公告第二CA数字证书。NDNBR将第一数据请求包转换为第一IP数据报文，并利用第二CA数字证书对应的私钥对第一IP数据报文重新签名，得到签名后的第一IP数据报文。NDNBR并将签名后的第一IP数据报文发送到IP-BR边界路由器。IP-BR边界路由器将签名后的第一IP数据报文转发给IP路由器。IP路由器将签名后的第一IP数据报文转发给IP服务器。IP服务器根据公告的第二CA数字证书验证签名后的第一IP数据报文的合法性。若验证合法，即验证通过后，IP服务器得到相应的第一响应数据报文。然后，IP服务器利用自身的服务器CA证书对应的私钥进行签名，然后将第一响应数据报文发回给IP路由器，IP路由器将第一响应数据报文转发给IP-BR边界路由器。IP-BR边界路由器将响应的数据报文发回NDNBR。NDNBR查询预设名称和IP地址映射表，将第一响应数据报文转换为第一响应数据包。并使用第一CA数字证书对第一响应数据包进行签名，得到签名后的第一响应数据包。需要注意的是，在此步骤中，由于NDNS服务器不存在IP到URI路径格式的名称的反查功能，同时NDNBR的缓存大小有限，若没有缓存的NDNS广播的名称-IP映射记录，NDNBR可以委托IP-BR边界路由器查询IP-DNS完成IP到URI路径格式名称的反查，由NDNBR完成格式转换。NDNBR将签名后的第一响应数据包转发给NDN路由器。NDN路由器复制签名后的第一响应数据包，并将签名后的第一响应数据包转发给NDN客户端。NDN客户端利用客户端数字证书验证签名后的第一响应数据包的合法性，若合法，则接收。当然，可以理解的，若验证为不合法，则拒绝。

可以理解的，NDN网络将基本的安全原语构建在网络层，所有检索到的Interest/Data数据包都必须签名，以确保其完整性、真实性和来源。与只有已知权威节点才能成为CA的IP网络不同，NDN网络中的每个节点或实体都可以是一个CA节点，其所有的名称空间，甚至所有子名称空间之间都应该根据CA数字证书来产生信任关系。因此，在融合网络中，有必要提供一种灵活的证书管理机制来为单个设备节点上的不同应用程序之间建立信任关系，以及为跨设备或实体，也可在不同网络下的不同节点之间建立信任关系。需要注意的是，单个设备节点上的不同本地应用程序可以工作在不同的名称空间下。

而本实施例中，在NDN客户端到IP服务器的通信场景中，NDN客户端充当证书请求者，其向IP服务器发送请求数据。此时，NDNBR会充当CA以验证数据包的真实性或者签名，并代表其背后的所有IP网络接管请求和回复客户端。此外，NDNBR还用于在IP网络和NDN网络之间架起通信桥梁作用，在将NDN请求数据发送到IP网络之前，将通过IP网络与传统CA进行通信验证数据的真实性，然后将请求数据发送到IP-BR边界路由器。此时，IP-CA负责签名或验证跨网络通信的数据包的真实性。

在一些实施例中，由于主机的安全性较低，为了防止发行的根证书被替换，可以由密码机备份保存相应的根证书，可以与NDNBR边界路由器、IP-BR边界路由器、IP-CA证书权威服务器或者NDN服务器定期校验一下签名的证书。

基于上述实施例，本申请还提供了一种融合网络中的跨网通信方法第四实施例。参阅图6，图6为融合网络中的跨网通信方法第四实施例的流程示意图。

本实施例中，方法包括：

步骤S10、接收TCP/IP网络中的第三路由器发送的IP数据请求报文；其中，IP数据请求报文由TCP/IP网络中的第三客户端发送至第三路由器。

本实施例提供的融合网络中的跨网通信方法针对从IP客户端到NDN服务器的通信场景。在本实施例中，第三客户端为IP客户端，第三路由器为IP路由器。

具体而言，在需要发送IP数据请求报文时，IP客户端从IP-DNS服务器解析域名。IP-DNS服务器向IP客户端返回解析的IP地址。IP客户端发送IP数据请求报文给IP路由器。IP路由器将IP数据请求报文转发给NNI安全网关。

步骤S20、获得TCP/IP网络的签发的第三CA数字证书，并获得信息中心网络的预设证书权威服务中心签发的第四CA数字证书。

具体而言，NNI安全网关利用密码机生成一个密钥对，向TCP/IP网络的预设证书授权机构IP-CA发送注册请求，向IP-CA申请CA数字证书，此类证书可以为X.509格式的SM2国密证书。IP-CA验证请求通过后，通过密码机签发相应的SM2 CA证书，并在IP全网公告。然后IP-CA将该SM2 CA证书回送给NNI安全网关。即NNI安全网关获得TCP/IP网络签发的第三CA数字证书。

容易理解的，在本实施例中，在IP客户端到NDN服务器的通信场景中，在将IP数据请求报文发送到NDN网络之前，IP客户端将与IP-CA通信，以验证数据的真实性。

而在IP数据请求报文通过IP/NDN网络边界后，NDN网络还需要验证该IP数据请求报文的真实性，或者对该IP数据请求报文进行签名。且与只有已知权威节点才能成为证书授权中心CA的IP网络不同，NDN网络中的每个节点或实体都可以是一个CA节点。由此，在本实施例中，NNI安全网关将充当证书请求者，NDN网络的其中一个NDN服务器将充当CA，并代表此实体背后的所有名称空间和所有子名称空间。也即是，NDN服务器和NNI安全网关将验证所有兴趣包或者数据报文的签名，或者验证其真实性。当然，可以理解的，CA证书机构还可以是NDN网络中的NDN-CA证书权威服务器。

具体的，步骤S20包括：

步骤S21、向证书权威服务中心发送第二证书申请信息，以使证书权威服务中心根据第二证书申请信息，生成自身的服务器数字证书，并根据服务器数字证书，返回第二证书配置信息；

步骤S22、根据第二证书配置信息，发送第二子命名空间申请信息至证书权威服务中心，以使证书权威服务中心根据第二子命名空间申请信息，确定出第二可用子命名空间，并返回第二可用子命名空间的信息；

步骤S23、根据第二可用子命名空间，生成网关自签名证书，并将网关自签名证书发送至证书权威服务中心，以使证书权威服务中心根据服务器数字证书，签发网关自签名证书，得到第四CA数字证书。

具体的，NNI安全网关查询IP-DNS完成IP到URI路径格式名称的反查，从而NNI安全网关将URI路径格式名称作为前缀，向NDN网络发送一个CA_INFO兴趣包，以获取NDN服务器的第二证书配置信息，即向NDN服务发送第二证书申请信息。其中，第二证书配置信息包括NDN服务器的服务器数字证书的SM2证书信任根、可以申请证书的前缀、证书申请的最大可用期、NDN服务器的介绍信息等其它信息。

NDN服务器在接收到CA_INFO兴趣包后，通过密码机生成一个公私钥对，同时通过自签名生成一个自身的SM2证书，即服务器数字证书，其也可通过密码机完成，从而定义相应的可用前缀，及证书申请的最长有效期，通过向NNI安全网关发送一个CA_INFO数据包直接回应相应的信息，即返回第二证书配置信息。然后，NNI安全网关向NDN服务器发送一个CA_PROBE兴趣包，请求NDN服务器提供可用的名称空间，也即是发送第二子命名空间申请信息，使得NDN服务器提供第二可用子命名空间。NDN服务器通过发送一个CA_PROBE数据包回复第二可用子命名空间的相关信息。

当然可以理解的，此时若NDN服务器不希望提供服务时，可以将此申请证书的兴趣转发并委托给另一个NDN服务器，或NDN-CA证书权威服务器进行处理。在此过程中，该NDN服务器会把新的NDN服务器信息提供给NNI安全网关。

NNI安全网关在接收到第二可用子命名空间的相关信息后，生成一个密钥对，并向NDN服务器发送一个CA_NEW兴趣包，以申请第四CA数字证书。CA_NEW兴趣包中包含一个自签名证书，即网关自签名证书。值得一提的是，密钥对可以不通过密码机生成，当然，在安全级别较高时，也可以部署密码机。NDN服务器利用密码机使用服务器数字证书签署该网关自签名证书，即对此表示背书认可。

作为一个实施例，在NDN服务器签署网关自签名证书前，还需要验证证书请求方的真实身份。具体的验证过程如下：

NDN服务器根据自己的策略收集所有可用的Challenge质询，并生成一个会话请求ID，用于识别此请求后续相关的一系列交互操作，并将Challenge质询列表和会话请求ID包含在一个CA_NEW数据包中，发送给NDNBR。NDN服务器根据预设的质询策略收集可用的Challenge质询列表，并生成会话请求ID。该会话请求ID用于识别此会话请求后续相关的一系列交互操作。NDN服务器将Challenge质询列表和会话请求ID回复给NNI安全网关。可以理解的，NDN服务器可将Challenge质询列表和会话请求ID打包成一个CA_NEW数据包发送至NNI安全网关。作为一个实施例，在具体的质询过程中，NDN服务器和NNI安全网关之间的交互数据为CA_CHALLENGE兴趣包和CA_CHALLENGE数据包。具体的，NNI安全网关通过发送一个CA_CHALLENGE兴趣包，将目标Challenge质询通知NDN服务器。然后，NDN服务器将发送一个CA_CHALLENGE数据包为NNI安全网关执行挑战质询。NNI安全网关随后将按照NDN服务器的指示完成out-of-band带外质询任务。最后，NDN服务器将查询带外质询的验证结果，并将验证结果的状态数据包含在一个CA_CHALLENGE数据包中发送给NNI安全网关。NNI安全网关根据NDN服务器发送的响应数据包中的状态确认成功后，发送一个CA_DOWNLOAD兴趣包给NDN服务器，以获取签名并封装好的证书，即第四CA数字证书。NDN服务器通过一个CA_DOWNLOAD数据包发送该第四CA数字证书给NNI安全网关。NNI安全网关下载并安装该第四CA数字证书。

步骤S30、将IP数据请求报文转换为第二数据请求包，并根据第四CA数字证书对第二数据请求包进行签名，得到已签名的第二数据请求包。

具体的，NNI安全网关将IP数据请求报文转换为NDN数据包，即第二数据请求包，并使用刚申请到的SM2证书，即对应的第四CA数字证书的私钥对第二数据请求包重新签名，得到已签名的第二数据请求包。

步骤S40、将已签名的第二数据请求包发送至信息中心网络中的第四服务器，以使第四服务器根据自身的设备CA数字证书对已签名的第二数据请求包进行验证，且在验证通过后，返回第二数据响应包。

NNI安全网关将已签名的第二数据请求包发送到NDN网络中的NDN路由器，即第四路由器。NDN路由器将已签名的第二数据请求包转发给NDN服务器。NDN服务器根据自身的服务器数字证书验证已签名的第二数据请求包的合法性。若验证合法，NDN服务器得到第二数据响应包，使用自身的服务器数字证书对应的私钥进行签名，并将第二数据响应包发回给NDN路由器。NDN路由器将第二数据响应包发回NNI安全网关。

步骤S50、将第二数据响应包转换为第二响应数据报文，并根据第三CA数字证书对第二响应数据报文进行签名，得到签名后的第二响应数据报文。

具体的，NNI安全网关首先利用第三CA数字证书对第二数据响应包进行验证，验证通过后查询缓存中的预设名称和IP映射记录，得到名称路径相应的IP地址路径。据此，NNI安全网关将第二数据响应包的NDN头转换为IP头，从而将NDN数据包重新封装为IP数据报文，得到第二响应数据报文。然后，NNI安全网关使用自身的SM2证书的私钥，也即是前述的第三CA数字证书进行签名，得到签名后的第二响应数据报文。

步骤S60、将签名后的第二响应数据报文发送至第三路由器，以使第三路由器将第二响应数据报文发送至第三客户端，第三客户端根据第三CA数字证书对第二响应数据报文进行验证，且在验证通过后，接收第二响应数据报文。

NNI安全网关将签名后的第二响应数据报文发送给IP路由器，即第三路由器，IP路由器再将签名后的第二响应数据报文转发给IP客户端。IP客户端根据公告的第三CA数字证书验证签名后的第二响应数据报文的合法性，如果合法，则接收，否则拒绝。

由此，在本实施例提供的IP客户端到NDN服务器的通信场景中，在将数据发送到NDN网络之前，IP客户端将与TCP/IP网络中的IP-CA通信，以验证数据的真实性。然后，NNI安全网关在IP网络和NDN网络之间架起通信桥梁作用，并负责签名或验证跨网络通信的数据包的真实性。此时，NNI安全网关充当证书请求者，NDN网络中任一节点充当证书权威服务中心代表其背后的所有NDN网络通信验证数据的真实性，从而，本实施例在融合网络中为不同网络之间的网络节点之间建立信任关系，以保证融合网络中不同网络架构下的网络节点之间的通信安全。

值得一提的是，由于在每个IP客户端发文时，NNI安全网关都会向NDN服务器或NDN-CA证书权威服务器申请一个第四CA数字证书。因此，为了避免过多的第四CA数字证书占用内存空间，可以回收已经发文的IP客户端对应的第四CA数字证书，以释放存储空间。具体的，NNI安全网关可以使用之前注册的信息发送一个CA_REVOKE兴趣包来向NDN服务器或NDN-CA证书权威服务器申请回收销毁对应的第四CA数字证书，即证书作废。值得一提的是，证书回收过程中也需要通过前述质询挑战步骤才能执行，只有通过挑战质询证明了NNI安全网关确实是第四CA数字证书的拥有方，NDN服务器或NDN-CA证书权威服务器才会真正销毁此证书。

基于上述方法第四实施例，提出本申请融合网络中的跨网通信方法第五实施例。本实施例中，融合网络的具体组成请参阅图3和前述的系统实施例。

本实施例中，方法包括以下步骤：

IP客户端从IP-DNS服务器解析域名。IP-DNS服务器向IP客户端返回解析的IP地址。然后，IP客户端发送IP数据请求报文给IP路由器。IP路由器将IP数据请求报文转发给IP-BR边界路由器。IP-BR边界路由器利用密码机生成一个密钥对，向IP-CA发送注册请求，向IP-CA申请第三CA数字证书。IP-CA验证注册请求通过后，通过密码机签发相应的SM2 CA证书，即第三CA数字证书，并在IP全网公告第三CA数字证书，同时将第三CA数字证书回送给IP-BR边界路由器。IP-BR边界路由器将IP数据请求报文发送给NDNBR。同时IP-BR边界路由器查询IP-DNS服务器完成IP地址到URI名称地址的映射关系，并发送给NDNBR。

NDNBR将URI路径格式名称作为前缀，向NDN网络发送一个CA_INFO兴趣包，即第二证书申请信息，以获取NDN服务器的第二证书配置信息。第二证书配置信息包括NDN服务器的服务器数字证书的信任根、可以申请证书的前缀、证书申请的最大可用期、NDN服务器的介绍信息等其它信息。

NDN服务器通过密码机生成一个公私钥对，同时通过自签名生成一个自身的SM2证书，即服务器数字证书，定义相应的可用前缀，及证书申请的最长有效期，通过向NDNBR发送一个CA_INFO数据包直接回应前述的第二证书配置信息。

NDNBR在接收到第二证书配置信息后，向NDN服务器发送一个CA_PROBE兴趣包，请求NDN服务器提供可用的名称空间，即第二可用子命名空间。也即是NDNBR发送第二子命名空间申请信息至NDN服务器。

NDN服务器通过发送一个CA_PROBE数据包回复一个可用的命名空间。也即是NDN服务器根据第二子命名空间申请信息，确定出第二可用子命名空间，并返回可用子命名空间的信息。此时若NDN服务器不希望提供服务时，可以将此CA_PROBE兴趣包转发并委托给另一个NDN服务器，或NDN-CA证书权威服务器进行处理。

NDNBR生成一个密钥对，并向NDN服务器发送一个CA_NEW兴趣包，以申请证书。CA_NEW兴趣包中包含一个自签名证书。也即是NDNBR生成网关自签名证书，并将网关自签名证书发送至NDN服务器。NDN服务器根据预设的质询策略收集所有可用的Challenge质询列表，并生成一个会话请求ID。且NDN服务器将Challenge质询列表和会话请求ID回复给NDNBR。可以理解的，NDN服务器可将Challenge质询列表和会话请求ID包含在一个CA_NEW数据包中回复给NDNBR。

NDNBR从Challenge质询列表中选择出目标Challenge质询，并通过发送CA_CHALLENGE兴趣包，将目标Challenge质询通知给NDN服务器。NDN服务器将发送一个CA_CHALLENGE数据包为NDNBR执行挑战质询。NDNBR随后将按照NDN服务器的指示完成带外（out-of-band）质询任务。NDN服务器将查询带外质询的验证结果，并将验证结果的状态数据包含在一个CA_CHALLENGE数据包中发送给NDNBR。在NDN服务器验证质询结果成功后，NDN服务器利用密码机使用服务器数字证书的SM2私钥签署网关自签名证书，得到第四CA数字证书。NDN服务器将第四CA数字证书发送至NDNBR，NDNBR下载并安装该第四CA数字证书。值得一提的是，质询过程可能会经过多次，直到质询成功。具体的，NDNBR根据NDN服务器发送的响应数据包中的状态确认成功后，发送一个CA_DOWNLOAD兴趣包以获取签名并封装好的第四CA数字证书。NDN服务器通过一个CA_DOWNLOAD数据包发送第四CA数字证书给NDNBR。NDNBR下载并安装该第四CA数字证书。

NDNBR将IP数据请求报文转换为NDN数据包格式的第二数据请求包，并使用刚申请到的第四CA数字证书对应的私钥重新签名第二数据请求包，得到已签名的第二数据请求包。然后将已签名的第二数据请求包发送到NDN路由器。

NDN路由器将已签名的第二数据请求包转发给NDN服务器。NDN服务器根据服务器数字证书验证已签名的第二数据请求包的合法性。若验证合法，NDN服务器将响应的第二数据响应包使用自身的服务器数字证书对应的私钥进行签名，并将第二数据响应包发回给NDN路由器。

NDN路由器将第二数据响应包发回NDNBR。NDNBR查询缓存中的预设名称和IP映射表，由于NDNBR的缓存大小有限，若没有缓存的映射记录，向NDNS查询相应的IP地址。NDNS返回相应的IP地址。NDNBR将第二数据响应包重新封装成IP数据报文格式的第二响应数据报文，并使用自身的第三CA数字证书的SM2私钥进行签名，得到签名后的第二响应数据报文。然后将签名后的第二响应数据报文发送给IP-BR边界路由器。

IP-BR边界路由器将签名后的第二响应数据报文转发给IP路由器。IP路由器再将签名后的第二响应数据报文转发给IP客户端。IP客户端根据公告的第三CA数字证书，验证数据报文的合法性，如果合法，则接收，否则拒绝。

可以理解的，NDN网络将基本的安全原语构建在网络层，所有检索到的Interest/Data数据包都必须签名，以确保其完整性、真实性和来源。与只有已知权威节点才能成为证书授权中心(CA, Certificate Authority)的IP网络不同，NDN网络中的每个节点或实体都可以是一个CA节点，其所有的名称空间，甚至所有子名称空间之间都应该根据CA数字证书来产生信任关系。因此，在融合网络中，有必要提供一种灵活的证书管理机制来为单个设备节点上的不同应用程序之间建立信任关系，以及为跨设备或实体，也可在不同网络下的不同节点之间建立信任关系。需要注意的是，单个设备节点上的不同本地应用程序可以工作在不同的名称空间下。

由此，本实施例中，在IP客户端到NDN服务器的通信场景中，IP客户端将与IP-CA证书权威服务器通信，以验证数据的真实性。NDNBR用于在IP网络和NDN网络之间架起通信桥梁作用，在将IP数据报文发送到NDN网络之后，NDNBR将充当证书请求者，在NDN网络中的任一节点将充当CA证书机构，并代表此实体背后的所有名称空间和所有子名称空间。CA证书机构和证书请求者将验证数据包的签名。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims (7)

1.一种融合网络中的跨网通信方法，其特征在于，所述融合网络包括TCP/IP网络和信息中心网络，所述方法使用于预设网关设备，所述预设网关设备分别与所述TCP/IP网络和信息中心网络连接，所述方法包括：

接收所述信息中心网络中的第一路由器发送的第一数据请求包；其中，所述第一数据请求包由所述信息中心网络中的第一客户端发送至所述第一路由器；

将客户端数字证书发送至所述第一客户端，并获得在所述TCP/IP网络中的第二CA数字证书；其中，所述客户端数字证书由所述预设网关设备作为证书权威服务中心根据自身的第一CA数字证书签发，且所述第二CA数字证书被TCP/IP网络的预设证书授权机构广播至所述TCP/IP网络；

将所述第一数据请求包转换为第一IP数据报文，并利用所述第二CA数字证书对所述第一IP数据报文进行签名，得到签名后的第一IP数据报文；

将所述签名后的第一IP数据报文发送至所述TCP/IP网络中的第二服务器，以使所述第二服务器利用所述第二CA数字证书对所述签名后的第一IP数据报文进行验证，且在验证通过后，返回第一响应数据报文；

将所述第一响应数据报文转换为第一响应数据包，并根据所述第一CA数字证书对所述第一响应数据包进行签名，得到签名后的第一响应数据包；

将所述签名后的第一响应数据包发送至所述第一客户端，以使所述第一客户端利用所述客户端数字证书对所述签名后的第一响应数据包进行验证，且验证成功后，接收所述签名后的第一响应数据包；

所述融合网络还包括其他信息中心网络、所述其他信息中心网络通过第二预设网关设备与所述TCP/IP网络相连；

所述接收所述信息中心网络中的第一路由器发送的第一数据请求包，包括：

若接收到所述第一数据请求包，则判断本地信息中心网络存在所述第一数据请求包的响应数据包和所述第一数据请求包中的名称有对应的IP地址是否均不成立；

若均不成立，则建立与所述第二预设网关设备的直通IP连接通道；

根据所述直通IP连接通道将所述第一数据请求包发送至所述第二预设网关设备，以使所述第二预设网关设备将所述第一数据请求包发送至所述其他信息中心网络，并在获得所述响应数据包后，通过所述直通IP连接通道返回所述响应数据包。

2.根据权利要求1所述的融合网络中的跨网通信方法，其特征在于，所述将客户端数字证书发送至所述第一客户端，包括：

接收所述第一客户端发送的第一证书申请信息；

根据所述第一证书申请信息，生成所述第一CA数字证书；

将第一证书配置信息发送至所述第一客户端，以使所述第一客户端根据所述第一证书配置信息，返回第一子命名空间申请信息；

根据所述第一子命名空间申请信息，确定出第一可用子命名空间，并将所述第一可用子命名空间的信息返回至所述第一客户端，以使所述第一客户端根据所述第一可用子命名空间，生成客户端自签名证书，并返回所述客户端自签名证书；

根据所述第一CA数字证书，签发所述客户端自签名证书，获得客户端数字证书；

将所述客户端数字证书发送至所述第一客户端。

3.根据权利要求2所述的融合网络中的跨网通信方法，其特征在于，所述将所述第一响应数据报文转换为第一响应数据包，包括：

根据预设名称和IP地址映射表，获得所述第一响应数据报文中的IP路径对应的名称路径；

根据所述名称路径，将所述第一响应数据报文转换为第一响应数据包。

4.根据权利要求1所述融合网络中的跨网通信方法，其特征在于，所述预设网关设备包括信息中心网络边界路由器和IP网络边界路由器，所述信息中心网络边界路由器通过NDN-IP NNI接口与所述IP网络边界路由器连接；

所述信息中心网络边界路由器，用于接收所述信息中心网络中的第一路由器发送的第一数据请求包；将客户端数字证书发送至所述第一客户端，并获得在所述TCP/IP网络中的第二CA数字证书；将所述第一数据请求包转换为第一IP数据报文，并利用所述第二CA数字证书对所述第一IP数据报文进行签名，得到签名后的第一IP数据报文；将所述签名后的第一IP数据报文发送至所述IP网络边界路由器；

所述IP网络边界路由器，用于将所述签名后的第一IP数据报文发送至TCP/IP网络中的第二服务器，以使所述第二服务器利用所述第二CA数字证书对所述签名后的第一IP数据报文进行验证，且验证通过后，返回第一响应数据报文；将所述第一响应数据报文发送至所述信息中心网络边界路由器；

所述信息中心网络边界路由器，还用于将所述第一响应数据报文转换为第一响应数据包，并根据所述第一CA数字证书对所述第一响应数据包进行签名，得到签名后的第一响应数据包；将所述签名后的第一响应数据包发送至所述第一客户端，以使所述第一客户端利用所述客户端数字证书对所述签名后的第一响应数据包进行验证，且验证成功后，接收所述签名后的第一响应数据包。

5.根据权利要求1至4任一项所述的融合网络中的跨网通信方法，其特征在于，所述方法还包括：

若所述第一数据请求包中的名称有对应的IP地址成立，则执行所述将客户端数字证书发送至所述第一客户端，并获得在所述TCP/IP网络中的第二CA数字证书。

6.一种融合网络系统，其特征在于，包括：包括TCP/IP网络、信息中心网络和预设网关设备，所述预设网关设备分别与所述TCP/IP网络和信息中心网络连接，所述预设网关设备用于执行如权利要求1-5中任一项所述的融合网络中的跨网通信方法的步骤。

7.根据权利要求6所述的一种融合网络系统，其特征在于，所述预设网关设备包括信息中心网络边界路由器和IP网络边界路由器，所述信息中心网络边界路由器通过NDN-IP NNI接口与所述IP网络边界路由器连接。

Images