CN117938432A - 网络路径认证协议的高效隐私保护方法 - Google Patents

Abstract

本发明公开了网络路径认证协议的高效隐私保护方法，包括：(1)源在处理数据包时先为路径上所有路由器计算路径证明，然后对路径证明顺序进行混淆，随后发送至下一跳；(2)路由器收到数据包后先根据自身标识符计算所对应的路径证明所在位置；然后，路由器用自身凭证解密路径证明获得相关信息并和自身凭证信息比较；验证成功，则路由器用自身凭证来更新路径证明；(3)路由器将该数据包放入输出队列中并转发至下一跳，重复以上步骤直至抵达目的地；(4)目的地收到数据包后利用自身凭证计算得到路径证明并和数据包中携带的路径证明比较，确保数据包沿正确路径转发。本发明可以在适用于隐私保护需求的路径认证的同时满足安全性和效率的要求。

Description

网络路径认证协议的高效隐私保护方法

技术领域

本发明属于网络安全领域，尤其是涉及网络路径认证协议的高效隐私保护方法。

背景技术

在数字时代，互联网安全日益成为关键议题。然而，现有的互联网架构存在明显的局限性，即终端主机对数据包的路径缺乏控制权。传统的数据包转发过程中，数据包一旦进入网络，其路径对于发送和接收端是不可见的。这种不透明性可能导致许多问题，例如路径上节点的跳过或乱序，服务提供商可能不诚实地处理数据包的转发，特定数据离开某个特定区域导致的合规性问题等诸如不安全因素。

最近的进展显示，路径认证技术正在逐渐成为安全互联网的一个重要组成部分。这种技术确保数据包严格按照预定路径进行转发，并验证其是否确实遵循了这一路径。这不仅可以避免出现上述路径转发不一致的问题，还可以有效抵御各种包括BGP劫持、数据包篡改等各种攻击，进一步提高互联网的安全性。

当前，一系列新兴的路径感知互联网架构如NIRA、NEBULA和SCION被提出。它们通过在数据包头部中添加特定的证明，由此使得路由器能够验证数据包的确按照特定顺序穿越了指定的路由器。而SCIONLab的全球部署标志着这些理念的实际应用和推广。

然而，现如今已提出的路径认证解决方案对完整路径信息有着先验性要求，缺乏对隐私保护的追求。具体来说，现有方案需要路径上的所有节点都有整个转发路径的信息作为先验条件，这一点在大多数现有解决方案中可以很轻易地发现，如J.Naous等(Verifying and enforcing network paths with ICING，CoNEXT，2011年)要求路径上的每个路由器都知道它在路径上的具体位置，以便它能向下游路由器提供自己的证明，同时验证所有上游路由器对自己的证明；J.Kim等(Lightweight source authentication andpath validation，SIGCOMM，2014年)和M.Legner等(EPIC:Every packet is checked inthe data plane of a path-aware Internet，USENIX Security，2020年)采用了相似的架构，即允许路由器通过逐跳迭代的验证来避免直接向下生成证明，但路由器仍依赖路径信息以完成认证；A.He等(SwiftParade:Anti-burst Multipath Validation，TDSC，2023年)通过非对称加密使得路由器能同时验证多个数据包，考虑到验证需要使用路由器公钥，其对路径信息完整性和准确性的要求相较于传统的对称加密方案来说更高。上述方法成立的基础即在于路由器能完全了解路径信息和自身在路径中的具体位置，因此对于节点安全性假设要求较高。而一旦节点不完全可信，源和目的地担心因泄露路径信息导致网络转发的匿名性、公平性和安全性的减弱，则路径认证方案就将完全无法部署。

在针对隐私保护的现有解决方案中，B.Sengupta等(Privacy-preservingnetwork path validation，TOIT，2020年)提出了一种隐私保护方案PRIVNPV。源先通过伪随机排序将各路由器的证明打乱顺序，然后将对应顺序用路由器密钥加密存储。路由器在收到数据包后用自身密钥去逐一尝试解密，直到找到对应证明位置。该方案虽然保证了路径隐私和索引隐私不被泄露，但路由器通过遍历解密来找到对应证明的方法过于繁琐，极大地增加了路径认证的时间、空间开销。B.Sengupta(VALNET:Privacy-preserving multi-path validation，Computer Networks,2022年)将上述方案进一步应用至多路径环境下，但路由器需通过遍历解密来寻找证明的问题仍没有得到解决，导致其效率远低于预期。

因此，隐私保护的路径认证有两个特定的挑战。首先，路由器如何在不知晓具体路径信息的情况下完成路径认证，并向下游证明自身参与了认证。其次，路由器如何尽可能削减因保护隐私导致的额外计算、存储开销。

发明内容

本发明提供了网络路径认证协议的高效隐私保护方法，可以在适用于隐私保护需求的路径认证的同时满足安全性和效率的要求。

网络路径认证协议的高效隐私保护方法，包括以下步骤：

(1)源在处理数据包时先为路径上的所有路由器计算路径证明，然后对路径证明的顺序进行混淆，随后发送至下一跳；

(2)路由器在收到数据包后先根据自身标识符计算所对应的路径证明所在的位置。然后，路由器利用自身凭证解密路径证明获得相关信息并和自身凭证信息进行比较；

验证成功后，则路由器进一步用自身凭证来更新路径证明；

(3)路由器将该数据包放入输出队列中并转发至下一跳，重复以上步骤直至抵达目的地；

(4)目的地在收到数据包后利用自身凭证计算得到路径证明并和数据包中携带的路径证明进行比较，确保数据包沿正确的路径转发。

本发明的方法通过混淆证明顺序和轻量级定位来保证网络路径认证过程中路径隐私和索引隐私，满足网络路径认证的效率和安全性，同时降低了对路径上路由器的安全假设，适用于存在恶意路由器的场景。

步骤(1)中，引入两个单独的域：验证证明V_i和节点签名σ；其中，验证证明V_i用于记录数据包内携带的各个路径证明，以帮助路由器验证数据包并得到下一跳地址；节点签名σ用于记录路由器签名，以作为数据包经过指定路由器的证明。

步骤(1)的具体过程如下：

(1-1)对数据包的有效载荷做哈希计算得到数据散列值DataHash并封装进数据包包头中；

(1-2)对数据包根据当前会话的标识符生成会话标识符SessionID并封装进数据包包头中；

(1-3)根据数据包的生成时间生成时间戳Timestamp并封装进数据包包头中；

(1-4)将数据散列值DataHash、会话标识符SessionID、时间戳Timestamp联立得到中间值h；

(1-5)对中间值h用目的地和源共享的密钥K_n做MAC计算得到初始节点签名σ₀，将其赋给节点签名σ并封装进数据包包头中；

密钥K_i的确定方式为：各路由器根据自身标识符计算各自的密钥，然后源和路由器R_i之间交换密钥；

(1-6)用节点对应密钥K_i对临时节点签名σ_i-1做MAC计算更新得到临时节点签名σ_i，继续计算验证域直到完成所有节点；

(1-7)源利用中间值h和各路由器的上下节点信息为每个中间路由器(除目的地)计算验证证明为目的地计算验证证明

(1-8)源利用各路由器的id为其路径证明计算存储顺序R_i mod N；

(1-9)将数据包发送至下一跳。

步骤(1-5)中，节点签名σ的引入保证了路由器处理数据包的可验证性，同时避免了当多个路由器共谋形成虫洞转发数据包并伪造路径证明。步骤(1-7)中，验证证明V_i的引入保证了只有合法的指定路由器才能通过验证路径证明确定数据包的完整性、时效性，并得到下一跳的传递地址，在此过程中，路由器不会知道完整的路径信息。伪造路径证明。步骤(1-8)中，证明顺序的混淆保证了路由器无法通过证明的顺序来推测自身在路径上的位置。同时，为了进一步防止路径信息泄露，N的取值应大于等于路径上节点n的数量，多余的路径证明由源用随机数生成代替。

步骤(2)的具体过程如下：

(2-1)利用自身id和模数N计算对应路径证明的存储顺序位置；

(2-2)用自身密钥K_i对验证证明V_i进行解密，将得到的数据散列值DataHash、会话标识符SessionID、时间戳Timestamp和数据包中携带的验证域进行对比，比较是否相同，若相同则进一步比较得到的上一跳节点信息和当前节点信息与数据包实际路由状态是否相同，若都相同则通过认证，反之认证失败，丢弃数据包；

(2-3)用节点对应密钥K_i对签名σ做MAC计算更新；

(2-4)根据解密得到的路径信息确定下一跳的目的地址。

步骤(2-1)中，路由器根据自身标识符信息通过轻量化的计算就能得到对应路径证明的存储位置。

步骤(2-2)中，路由器利用自身凭证对对应路径证明进行密码学计算，即可在满足隐私性要求的情况下实现路径认证。

步骤(4)的具体过程如下：

(4-1)利用自身id和模数N计算对应路径证明的存储顺序位置；

(4-2)用自身密钥K_n对节点签名σ，上一跳路由器id，自身路由器id联立得到的值做MAC计算得到目的地临时验证证明V_n′；

(4-3)比较V_n′和V_n′，若不同则丢弃数据包，反之验证通过。

步骤(4-2)中，考虑到目的地对于路径信息有完整的知识，没有必要将相关信息以密文的形式保存，可以采用计算量更小的MAC计算来完成路径认证。

与现有技术相比，本发明具有以下有益效果：

1、本发明通过混淆证明顺序和轻量级定位来保证网络路径认证过程中路径隐私和索引隐私，满足网络路径认证的效率和安全性，同时降低了对路径上路由器的安全假设，适用于存在恶意路由器的场景。

2、本发明利用路由器自身标识符生成密钥，确保每个密钥的独特性和唯一性，防止密钥重复导致的安全性问题。路由器仅和源之间交换密钥则确保了由源生成的证明仅能被对应的节点认证；

3、本发明中，DataHash、SessionID、Timestamp都是作为辅助计算的前导域存在，负责进行验证的是验证证明V_i和节点签名σ。V_i用于记录数据包内携带的各个证明，以帮助路由器验证数据包并得到下一跳地址；σ用于记录路由器签名，以作为数据包经过指定路由器的证明。同时，路由器在传输过程中采用轻量级非加密混淆方案，不仅降低了开销，也有效防止泄露索引信息；

4、利用本发明，与最新的隐私保护路径认证方法PRIVNPV相比在有效通信吞吐量上提高了2.29倍至3.13倍；

5、本发明有良好的并行拓展性，在利用多核并行处理时通信吞吐量随处理核数增加而增加，直至逼近带宽；

6、本发明在路径建立之后可进一步简化计算流程。当路径建立之后，路径证明中无需再携带路径信息。通过将路径证明的加密/解密计算转化为MAC计算，源和路由器可以进一步节约计算、存储资源，提高运行效率。

附图说明

图1为本发明的网络路径认证协议的高效隐私保护方法流程图。

具体实施方式

下面结合附图和实施例对本发明做进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。

如图1所示，一种网络路径认证协议的高效隐私保护方法，路由器首先从输入队列中取出数据包。如果该路由器是源，则先初始化生成数据包元数据作为数据包的初始状态以及各个供路由器验证的证明，然后对证明进行混淆调整顺序。随后源将该数据包放入输出队列中并转发至下一跳。若该路由器不是源，则先通过计算得到对应证明位置。然后通过解密证明得到路径信息并验证数据包的有效性、完整性。若验证通过，则路由器更新数据包内的路径证明，随后将该数据包放入输出队列中并转发至下一跳。若数据包已到达目的地，则进一步执行终点验证。只有当该验证通过，数据包才会被目的地接收。

为了确保数据包在传输过程中的安全性和效率，本发明引入两个单独的域：验证证明V_i和节点签名σ；其中，V_i用于记录数据包内携带的各个证明，以帮助路由器验证数据包并得到下一跳地址；σ用于记录路由器签名，以作为数据包经过指定路由器的证明。

在源的初始化过程中，源会利用数据包的各项特征值生成各个供路由器验证的路径证明，以保障数据包传输过程中的完整性和时效性。该部分的算法描述如下：

输入：当前会话的标识符、数据包生成时间、数据包有效载荷、源和路由器R_i共享的密钥(K_i)、路由器id、模数N；

输出：验证证明V_i和节点签名σ；

临时变量：中间值(h)，各节点临时签名σ_i。

1)对数据包的有效载荷做哈希计算得到数据散列值DataHash并封装进数据包包头中；

2)对数据包根据当前会话的标识符生成会话标识符SessionID并封装进数据包包头中；

3)根据数据包的生成时间生成时间戳Timestamp并封装进数据包包头中；

4)将数据散列值DataHash、会话标识符SessionID、时间戳Timestamp联立得到中间值h；

5)对中间值h用目的地和源共享的密钥K_n做MAC计算得到初始签名σ₀，将其赋给签名σ并封装进数据包包头中；

6)用节点对应密钥K_i对临时签名σ_i-1做MAC计算更新得到临时签名σ_i，继续计算验证域直到完成所有节点；

7)源利用中间值h和各路由器的上下节点信息为每个中间路由器(除目的地)计算验证证明为目的地计算验证证明

8)源利用各路由器的id为其路径证明计算存储顺序R_i mod N；

9)将数据包发送至下一跳。

在该部分算法中，DataHash、SessionID、Timestamp都是作为辅助计算的前导域存在，负责进行验证的是验证证明V_i和节点签名σ。V_i用于记录数据包内携带的各个证明，以帮助路由器验证数据包并得到下一跳地址；σ用于记录路由器签名，以作为数据包经过指定路由器的证明。同时，路由器在传输过程中采用轻量级非加密混淆方案，不仅降低了开销，也有效防止泄露索引信息。此外，源利用数据包自身标识符和路由器信息计算证明，保证每个证明的独特性和唯一性，确保了路由器在验证证明时能确定数据包在传输过程中的完整性和时效性，同时得到仅与自己相关的路径信息。

在验证和更新证明过程中，路由器通过数据包携带的信息和对应密钥重新计算相关证明，以此判断数据包是否沿指定路径前进。该部分的算法描述如下：

输入：会话标识符(SessionID)、数据散列值(DataHash)、时间戳(Timestamp)、签名(σ)、验证域(V_i)、路由器id、路由器密钥(K_i)、模数N；

输出：更新后的签名(σ)；

临时变量：无。

1)利用自身id和模数N计算对应路径证明的存储顺序位置；

2)用自身密钥K_i对验证证明V_i进行解密，将得到的数据散列值DataHash、会话标识符SessionID、时间戳Timestamp和数据包中携带的验证域进行对比，比较是否相同，若相同则进一步比较得到的上一跳节点信息和当前节点信息与数据包实际路由状态是否相同，若都相同则通过认证，反之认证失败，丢弃数据包；

3)用节点对应密钥K_i对签名σ做MAC计算更新；

4)根据解密得到的路径信息确定下一跳的目的地址。

在该部分算法中，介绍了路由器是如何验证、更新数据包的。通过轻量化计算判断出证明对应位置后利用密钥对相关路径证明进行解密，根据解密得到的信息判断证明的有效性，同时得到相应的路径信息进行判断。

在终点验证中，目的地要对验证证明进行验证，确定数据包在传输过程中的完整性和时效性不受破坏。该部分的算法描述如下：

输入：签名(σ)、验证域(V_n)、路由器id、路由器密钥(K_n)、模数N；

输出：无；

临时变量：临时验证证明(V_n′)。

1)利用自身id和模数N计算对应路径证明的存储顺序位置；

2)用自身密钥K_n对节点签名σ，上一跳路由器id，自身路由器id联立得到的值做MAC计算得到目的地临时验证证明V_n′；

3)比较V_n′和V_n′，若不同则丢弃数据包，反之验证通过。

在该部分算法中，目的地通过检查比对数据包状态，构筑最后一道防御以防止数据包的修改和注入。

为验证本发明的效果，将本发明运行在DPDK架构下。该架构是由INTEL公司开发的用于快速数据包处理的函数库与驱动集合。用户可以利用网络硬件绕过网络驱动模块，从而构建能够更快地处理数据包的应用程序。DPDK被广泛用于路径认证领域的设计和实现，如OPT、EPIC等。本发明在DPDK上实现了完整的路径认证机制，包括验证域的初始化、构建、验证和更新，以及数据包的采样。我们通过测试数据包的有效吞吐率、处理时间、网络吞吐量和网络有效吞吐量并和当前方案进行横向对比来测试本发明的性能。

DPDK实现具体包括如下步骤：

1)在自定义的头文件中实现路径认证的相关函数并进行函数。

2)利用网卡端口建立网络拓扑，规定源和目的地。

3)利用pktgen生成数据包并沿路径发送。

4)端口在收到数据包后执行相应路径认证操作。

配置完环境后，使用Intel Xeon E5-2630 v3服务器来测试本发明的性能。该服务器具有8个内核、16GB内存和两个硬件网络接口卡(NIC)。此类NIC与Intel CorporationI350 Gigabit Network Connection和Intel Corporation Ethernet Controller X710相关联，能提供10Gbps的连接链路。测试了不同路径长度、不同数据包大小下的性能表现。

使用四个性能指标来衡量本发明的性能——有效吞吐率、处理时间、网络吞吐量和网络有效吞吐率。有效吞吐率越高，说明数据包能携带的数据越多。处理时间越快，说明数据包在传输过程中的延迟越小。网络吞吐量和有效吞吐量越高，则说明效率越高。

不引入任何路径认证方案的普通数据包在携带1000字节的数据时其有效吞吐率为95.06％。而本发明在N取到12(即路径长度小于等于12跳)时，有效吞吐率仍为81.17％，高于现存的隐私保护解决方案(PRIVNPV为保护隐私每个节点的存储开销为80字节，当12跳时有效吞吐率仅为51.02％)。本发明在源上的证明构建时间和在路由器上的平均处理时间也明显优于现有方案。源上的证明构建时间呈随路径长度n增大而减小同时与模数N大小无关的趋势。当路径长度为8时，本发明为一个数据包构建路径认证证明需要31.41μs，相比PRIVNPV提高了25.41％，而当路径长度为12时时间需要47.83μs，相比PRIVNPV提高了31.59％。同样在该条件下，本发明在路由器上的平均处理时间相比原有方案提高了6.39～9.32倍。在网络吞吐量上，本发明也表现优异。在路径长度为4，数据包总大小为1500字节的情况下，本发明的吞吐量达到0.80Gbps，相比之下PRIVNPV在同等实验条件下仅为0.56Gbps。由于本发明的有效吞吐率优于其他方案，因此在吞吐量上的优势在有效吞吐量上进一步扩大。总体来说，本发明的有效吞吐量相较于PRIVNPV来说增加了2.29倍(数据包载荷为500字节，路径长度为2)至3.13倍(数据包载荷为1500字节，路径长度为12)。

以上测试结果表明，本发明不仅是可行的，而且相比现有方法，在性能上有了大幅度的提高。

以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换，均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络路径认证协议的高效隐私保护方法，其特征在于，包括以下步骤：

(1)源在处理数据包时先为路径上的所有路由器计算路径证明，然后对路径证明的顺序进行混淆，随后发送至下一跳；

(2)路由器在收到数据包后先根据自身标识符计算所对应的路径证明所在的位置；然后，路由器利用自身凭证解密路径证明获得相关信息并和自身凭证信息进行比较；

验证成功后，则路由器进一步用自身凭证来更新路径证明；

(3)路由器将该数据包放入输出队列中并转发至下一跳，重复以上步骤直至抵达目的地；

(4)目的地在收到数据包后利用自身凭证计算得到路径证明并和数据包中携带的路径证明进行比较，确保数据包沿正确的路径转发。

2.根据权利要求1所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(1)中，引入两个单独的域：验证证明V_i和节点签名σ；其中，验证证明V_i用于记录数据包内携带的各个路径证明，以帮助路由器验证数据包并得到下一跳地址；节点签名σ用于记录路由器签名，以作为数据包经过指定路由器的证明。

3.根据权利要求1所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(1)的具体过程如下：

(1-1)对数据包的有效载荷做哈希计算得到数据散列值DataHash并封装进数据包包头中；

(1-2)对数据包根据当前会话的标识符生成会话标识符SessionID并封装进数据包包头中；

(1-3)根据数据包的生成时间生成时间戳Timestamp并封装进数据包包头中；

(1-4)将数据散列值DataHash、会话标识符SessionID、时间戳Timestamp联立得到中间值h；

(1-5)对中间值h用目的地和源共享的密钥K_n做MAC计算得到初始节点签名σ₀，将其赋给节点签名σ并封装进数据包包头中；

密钥K_i的确定方式为：各路由器根据自身标识符计算各自的密钥，然后源和路由器R_i之间交换密钥；

(1-6)用节点对应密钥K_i对临时节点签名σ_i-1做MAC计算更新得到临时节点签名σ_i，继续计算验证域直到完成所有节点；

(1-7)源利用中间值h和各路由器的上下节点信息为每个中间路由器计算验证证明为目的地计算验证证明

(1-8)源利用各路由器的id为其路径证明计算存储顺序R_imodN；

(1-9)将数据包发送至下一跳。

4.根据权利要求3所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(1-5)中，节点签名σ的引入保证路由器处理数据包的可验证性，同时避免当多个路由器共谋形成虫洞转发数据包并伪造路径证明。

5.根据权利要求3所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(1-7)中，验证证明V_i的引入保证只有合法的指定路由器才能通过验证路径证明确定数据包的完整性、时效性，并得到下一跳的传递地址，在此过程中，路由器不知道完整的路径信息。

6.根据权利要求3所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(1-8)中，证明顺序的混淆保证路由器无法通过证明的顺序来推测自身在路径上的位置；同时，为了进一步防止路径信息泄露，N的取值应大于等于路径上节点n的数量，多余的路径证明由源用随机数生成代替。

7.根据权利要求1所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(2)的具体过程如下：

(2-1)利用自身id和模数N计算对应路径证明的存储顺序位置；

(2-2)用自身密钥K_i对验证证明V_i进行解密，将得到的数据散列值DataHash、会话标识符SessionID、时间戳Timestamp和数据包中携带的验证域进行对比，比较是否相同，若相同则进一步比较得到的上一跳节点信息和当前节点信息与数据包实际路由状态是否相同，若都相同则通过认证，反之认证失败，丢弃数据包；

(2-3)用节点对应密钥K_i对签名σ做MAC计算更新；

(2-4)根据解密得到的路径信息确定下一跳的目的地址。

8.根据权利要求7所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(2-1)中，路由器根据自身标识符信息通过轻量化的计算得到对应路径证明的存储位置。

9.根据权利要求7所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(2-2)中，路由器利用自身凭证对对应路径证明进行密码学计算，即在满足隐私性要求的情况下实现路径认证。

10.根据权利要求1所述的网络路径认证协议的高效隐私保护方法，其特征在于，步骤(4)的具体过程如下：

(4-1)利用自身id和模数N计算对应路径证明的存储顺序位置；

(4-2)用自身密钥K_n对节点签名σ，上一跳路由器id，自身路由器id联立得到的值做MAC计算得到目的地临时验证证明V_n′；

(4-3)比较V_n′和V_n，若不同则丢弃数据包，反之验证通过。