JP6612030B2 - ネットワークノード及びその動作方法 - Google Patents

ネットワークノード及びその動作方法 Download PDF

Info

Publication number
JP6612030B2
JP6612030B2 JP2015019645A JP2015019645A JP6612030B2 JP 6612030 B2 JP6612030 B2 JP 6612030B2 JP 2015019645 A JP2015019645 A JP 2015019645A JP 2015019645 A JP2015019645 A JP 2015019645A JP 6612030 B2 JP6612030 B2 JP 6612030B2
Authority
JP
Japan
Prior art keywords
content name
network node
response packet
node
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015019645A
Other languages
English (en)
Other versions
JP2015233269A (ja
Inventor
恩 兒 金
錫 沖 徐
明 郁 張
尚 ウォン 玄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2015233269A publication Critical patent/JP2015233269A/ja
Application granted granted Critical
Publication of JP6612030B2 publication Critical patent/JP6612030B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、ネットワークノード及びその動作方法に関する。
最近、スマートフォン、ボイスオーバーインターネットプロトコル、IPテレビの大衆化によりインターネットの価値が社会の全ての分野において急速に増大している。このようなインターネットサービスの成長は、IPレイヤの機能的な独立性に起因する。TCP/IPプロトコルスタックでIPレイヤは上位レイヤと下位レイヤとの間に透明性を提供する。
しかし、未来のインターネット環境は、ホスト中心の既存アーキテクチャーよりもコンテンツ中心の新しいアーキテクチャーを要求する。ホスト中心の既存アーキテクチャーは、コンテンツ探索及びアクセスを優先する未来のインターネット環境で最適の性能を保証することが難しい。
近年、コンテンツ中心の新しいインターネットアーキテクチャーが研究されている。コンテンツ中心のインターネットアーキテクチャーは、コンテンツ名に基づいてネットワークパケットが送信される構造を有する。
本発明は、上記従来の問題点に鑑みてなされたものであって、本発明の目的は、コンテンツ中心のインターネットアーキテクチャーでコンテンツに対するセキュリティを強化するネットワークノード及びその動作方法を提供することにある。
上記目的を達成するためになされた本発明の一態様によるネットワークノードの動作方法は、暗号化されたコンテンツ名を含む応答パケットを受信するステップと、前記応答パケットに含まれる暗号化されたコンテンツ名を復号化するステップと、前記復号化されたコンテンツ名に基づいて前記応答パケットを送信するステップと、を有する。
前記暗号化されたコンテンツ名は、予め設定された条件に基づいて暗号化され、前記予め設定された条件が満たされるネットワークノードで復号化され得る。
前記予め設定された条件は、前記応答パケットを生成したネットワークノードによって、前記応答パケットの送信が許容されるネットワーク範囲を限定するように設定され得る。
前記暗号化されたコンテンツ名は、少なくとも1つの属性を含む属性規則に基づいて暗号化され得る。
前記少なくとも1つの属性は、ドメイン情報及びインタフェース情報のうちの少なくとも1つを含み得る。
前記属性規則は、前記応答パケットに含まれるコンテンツに対するアクセス権限に関し得る。
前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性に基づいて前記暗号化されたコンテンツ名を復号化するステップを含み得る。
前記ネットワークノードの属性に基づいて前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性が前記暗号化されたコンテンツ名を暗号化するために用いられる属性規則を満たすことに応じて、前記暗号化されたコンテンツ名を復号化するステップを含み得る。
前記ネットワークノードの属性は、前記ネットワークノードのドメイン情報及び前記ネットワークノードのインタフェース情報のうちの少なくとも1つを含み得る。
前記暗号化されたコンテンツ名は、属性規則、公開キー、及びコンテンツ名を用いて暗号化され得る。
前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性に対応する少なくとも1つの暗号キーを用いて前記暗号化されたコンテンツ名を復号化するステップを含み得る。
前記ネットワークノードの動作方法は、認証機関に認証を行うステップと、前記認証機関から前記ネットワークノードの属性に対応する少なくとも1つの暗号キーを受信するステップと、を更に含むことができ、前記少なくとも1つの暗号キーは、1つの公開キーに対応して前記認証機関によって生成された複数の暗号キーのうちから選択され得る。
前記応答パケットを送信するステップは、予め格納されたリクエスト情報のうちから前記復号化されたコンテンツ名に対応するリクエスト情報を抽出するステップと、前記抽出されたリクエスト情報に基づいて前記応答パケットを送信するステップと、を含み得る。
前記ネットワークノードの動作方法は、リクエストパケットを受信するステップと、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、前記リクエストパケットに含まれるコンテンツ名に対応する応答パケットを抽出するステップと、前記復号化された少なくとも一部のコンテンツ名に基づいて、前記リクエストパケットに対する応答として、前記抽出された応答パケットを送信するステップと、を更に含むことができる。
前記ネットワークノードの動作方法は、リクエストパケットを受信するステップと、予め格納されたコンテンツのうちから前記リクエストパケットに含まれるコンテンツ名に対応するコンテンツを抽出するステップと、前記コンテンツ名を暗号化するステップと、前記暗号化されたコンテンツ名及び前記抽出されたコンテンツを含む応答パケットを生成するステップと、前記リクエストパケットに対する応答として、前記生成された応答パケットを送信するステップと、を更に含むことができる。
前記コンテンツ名を暗号化するステップは、属性規則、公開キー、及び前記コンテンツ名を用いて前記コンテンツ名を暗号化するステップを含み得る。
前記公開キーは複数の暗号キーに対応し、前記暗号化するステップで暗号化されたコンテンツ名は、前記属性規則を満たす属性に対応する少なくとも1つの暗号キーによって復号化され得る。
前記ネットワークノードの動作方法は、リクエストパケットを受信するステップと、予め格納されたコンテンツのうちから前記リクエストパケットに含まれるコンテンツ名に対応するコンテンツが存在するか否かを判断するステップと、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、前記予め格納された応答パケットのうちから前記リクエストパケットに含まれるコンテンツ名に対応する応答パケットが存在するか否かを判断するステップと、前記コンテンツ名に対応するコンテンツ及び前記コンテンツ名に対応する応答パケットが存在しないとの判断に応じてリクエスト情報を格納するステップと、前記リクエストパケットをネットワークに送信するステップと、を更に含むことができる。
上記目的を達成するためになされた本発明の一態様によるネットワークノードは、暗号化されたコンテンツ名を含む応答パケットを受信する受信部と、前記応答パケットに含まれる暗号化されたコンテンツ名を復号化する復号化部と、前記復号化されたコンテンツ名に基づいて前記応答パケットを送信する送信部と、を備える。
上記目的を達成するためになされた本発明の他の態様によるネットワークノードの動作方法は、暗号化されたコンテンツ名を含む応答パケットを受信するステップと、前記応答パケットに含まれる暗号化されたコンテンツ名に基づいて他のネットワークノードが前記応答パケットを受信する権限があるか否かを判断するステップと、前記他のネットワークノードが前記応答パケットを受信する権限がないとの判断に応じて、前記他のネットワークノードに前記応答パケットを送信しないステップと、前記他のネットワークノードが前記応答パケットを受信する権限があるとの判断に応じて、前記他のネットワークノードに前記応答パケットを送信するステップと、を有する。
前記応答パケットを受信する権限があるか否かを判断するステップは、前記他のネットワークノードに関する情報に基づいて前記暗号化されたコンテンツ名の復号化を試みるステップと、前記コンテンツ名が復号化されない場合、前記他のネットワークノードが前記応答パケットを受信する権限がないと判断するステップと、前記コンテンツ名が復号化された場合、前記他のネットワークノードが前記応答パケットを受信する権限があると判断するステップと、を含み得る。
前記応答パケットを送信するステップは、前記復号化されたコンテンツ名に基づいて前記他のネットワークノードに前記応答パケットを送信するステップを含み得る。
前記他のネットワークノードに関する情報は、前記ネットワークノードのインタフェースに関する情報を含み、前記ネットワークノードのインタフェースを用いて前記応答パケットが前記他のネットワークノードに送信され得る。
前記他のネットワークノードに関する情報は、前記他のネットワークノードのネットワークドメイン情報を含み得る。
本発明によると、コンテンツ中心のインターネットアーキテクチャーでコンテンツに対するセキュリティを強化するための技術を提供することができる。
一実施形態によるネットワークシステムを説明する図である。 一実施形態によるリクエストパケットを説明する図である。 一実施形態による応答パケットを説明する図である。 他の実施形態によるネットワークシステムを説明する図である。 一実施形態によるコンテンツ中枢ネットワークシステムを説明する図である。 一実施形態によるコンテンツ中枢ネットワークシステムを説明する図である。 一実施形態によるコンテンツ中枢ネットワークシステムを説明する図である。 一実施形態によるネットワークシステムで用いられる暗号化/復号化アルゴリズムを説明する図である。 一実施形態による属性規則を説明する図である。 一実施形態による属性規則を説明する図である。 実施形態で具体的に適用されるシナリオを説明する図である。 実施形態で具体的に適用されるシナリオを説明する図である。 実施形態で具体的に適用されるシナリオを説明する図である。 実施形態で具体的に適用されるシナリオを説明する図である。 一実施形態によるキー配布システムを説明する図である。 一実施形態によるネットワークノードを示すブロック図である。 一実施形態によるネットワークノードの動作方法を示した動作フローチャートである。
以下、本発明を実施するための形態の具体例を、図面を参照しながら詳細に説明する。各図面に示した同一の参照符号は同一の部材を示す。下記で説明する実施形態は、ネットワークルーティング方式又はネットワークフォワーディング方式に適用される。
図1は、一実施形態によるネットワークシステムを説明する図である。図1を参照すると、本実施形態によるネットワークシステム100は、ネットワーク140に接続された複数のネットワークノードを含む。ネットワークノードのそれぞれは、ネットワーク140を介してパケット送信に参加するネットワーク機器又はネットワーク装備であり、例えば、ルータなどを含む。以下、説明の便宜のために、それぞれのネットワークノードを「ノード」と称する。
ネットワークシステム100で、ネットワークパケットは、コンテンツ名(content name)に基づいてルーティング又はフォワーディングされる。ネットワークパケットは、リクエストパケット又は応答パケットを含む。リクエストパケットはコンテンツをリクエストするノードによって生成され、応答パケットはリクエストされたコンテンツを最初に提供するノードによって生成される。以下、コンテンツは、一般的なコンテンツファイルだけではなく、コンテンツ名リスト、コンテンツが格納されたネットワークドメイン名などで命名される全ての種類のデータを指す。
リクエストパケット及び応答パケットはコンテンツ名を含む。ネットワークシステム100で、リクエストパケット及び応答パケットは、コンテンツ名に基づいてルーティング又はフォワーディングされる。以下、ルーティング又はフォワーディングを「送信」と称する。
ネットワークシステム100は、第1ノード110、第2ノード120、及び第3ノード130を含む。第1ノード110を、コンテンツをリクエストするノードとして、「リクエストノード」と称する。第1ノード110は、コンテンツ名を用いてネットワーク140にコンテンツをリクエストする。例えば、第1ノード110は、コンテンツ名を含むリクエストパケットを生成する。図2Aを参照すると、リクエストパケット210は、コンテンツ名211を含む。第1ノード110は、ネットワーク140にリクエストパケットを送信する。
第1ノード110によって送信されたリクエストパケットは、ネットワーク140を介して第2ノード120に送信される。第2ノード120は、ネットワーク140からリクエストパケットを受信し、リクエストパケットに含まれるコンテンツ名を識別する。第2ノード120は、コンテンツ名に対応するコンテンツを格納しているか否かを判断する。第2ノード120は、コンテンツ名に対応するコンテンツを格納していない場合がある。この場合、第2ノード120は、コンテンツ名に基づいてリクエストパケットをネットワーク140に送信する。第2ノード120を「中間ノード」と称する。
第2ノード120によって送信されたリクエストパケットは、ネットワーク140を介して第3ノード130に送信される。第3ノード130は、ネットワーク140からリクエストパケットを受信し、リクエストパケットに含まれるコンテンツ名を識別する。第3ノード130は、コンテンツ名に対応するコンテンツを格納しているか否かを判断する。第3ノード130は、コンテンツ名に対応するコンテンツを格納している。この場合、第3ノード130は、コンテンツ名に対応するコンテンツを用いて応答パケットを生成する。第3ノード130を「生成ノード」と称する。
第3ノード130は、コンテンツ名を暗号化し、暗号化されたコンテンツ名を応答パケットに含ませる。ネットワークシステム100で、ネットワークパケットは、そのネットワークパケットに含まれるコンテンツ名に基づいてルーティング又はフォワーディングされるため、応答パケットに含まれるコンテンツ名が暗号化されることによって応答パケットのルーティング又はフォワーディングが制御される。
例えば、第3ノード130は、予め設定された条件に基づいてコンテンツ名を暗号化する。この場合、予め設定された条件が満たされるノードに限って暗号化されたコンテンツ名を復号化する。予め設定された条件は、第3ノード130によって設定される。予め設定された条件は、第3ノード130によって応答パケットの送信が許容されるネットワーク範囲を限定するように設定される。例えば、ネットワーク範囲は「samsung.com/sait」のようなドメイン範囲を含む。
第3ノード130によって設定されたネットワーク範囲を越えて応答パケットを送信しようとするノードは、応答パケットに含まれる暗号化されたコンテンツ名を復号化することができない。例えば、「samsung.com/sait」の範囲に属さない「samsung.com/dmc」又は「samsung.com」に応答パケットを送信しようとするノードは、応答パケットに含まれる暗号化されたコンテンツ名を復号化することができない。一方、「samsung.com/sait」の範囲内の「samsung.com/sait/ip_group」又は「samsung.com/sait/invention_group」に応答パケットを送信しようとするノードは、応答パケットに含まれる暗号化されたコンテンツ名を復号化することができる。暗号化されたコンテンツ名が復号化されなければコンテンツ名は識別されず、コンテンツ名が識別されなければネットワークシステム100で応答パケットを送信することはできない。そのため、応答パケットのルーティング又はフォワーディングが制御される。
図2Bを参照すると、応答パケット220は、暗号化されたコンテンツ名221及びコンテンツ222を含む。暗号化されたコンテンツ名221と同様に、コンテンツ222も暗号化される。応答パケット220は、電子署名223を更に含む。電子署名223は、コンテンツ222を最初に提供する生成ノードを確認し、生成ノードがコンテンツ222に署名をしたことを示すための情報である。
第3ノード130は、リクエストパケットに対する応答として、応答パケットをネットワーク140に送信する。応答パケットは、リクエストパケットが送信された経路の逆順に送信される。第3ノード130によって送信された応答パケットは、ネットワーク140を介して第2ノード120に送信される。
第2ノード120は、ネットワーク140から応答パケットを受信し、応答パケットに含まれる暗号化されたコンテンツ名が復号化されるか否かを判断する。暗号化されたコンテンツ名が復号化されない場合、第2ノード120は応答パケットをこれ以上ネットワーク140に送信することができない。暗号化されたコンテンツ名が復号化された場合、第2ノード120は、復号化されたコンテンツ名に基づいて応答パケットをネットワーク140に送信する。第2ノード120によって送信された応答パケットは、ネットワーク140を介して第1ノード110に送信される。
図3は、他の実施形態によるネットワークシステムを説明する図である。図3を参照すると、図1に示すシナリオの後に新しいリクエストノードである第4ノード150がネットワーク140にリクエストパケットを送信する。第4ノード150は、図1に示すシナリオで生成ノードである第3ノード130によって最初に提供されたコンテンツをリクエストする。
第4ノード150によって送信されたリクエストパケットは、ネットワーク140を介して第2ノード120に送信される。第2ノード120は、ネットワーク140からリクエストパケットを受信し、リクエストパケットに含まれるコンテンツ名を識別する。第2ノード120は、コンテンツ名に対応するコンテンツを格納しているか否かを判断する。第2ノード120は、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化する。第2ノード120は、復号化された少なくとも一部のコンテンツ名がリクエストパケットに含まれるコンテンツ名に対応するか否かを判断する。
第2ノード120は、図1に示すシナリオで受信した応答パケットを格納している。この場合、第2ノード120は、リクエストパケットに含まれるコンテンツ名に対応する応答パケットを検出する。第2ノード120は、リクエストパケットに対する応答として、検出された応答パケットをネットワーク140に送信する。第2ノード120によって送信された応答パケットはネットワーク140を介して第4ノード150に送信される。
図4A〜図4Cは、一実施形態によるコンテンツ中枢ネットワーク(Content Centric Network:CCN)システムを説明する図である。CCNシステムで用いられるノード、リクエストパケット、及び応答パケットは表1のように定義される。
Figure 0006612030
インタレストパケットは、リクエストするコンテンツ名、コンテンツに対する選好、回答者フィルタリング情報などを指すセレクター、及びインタレストパケットの重複受信探知のための任意値を含む。コンテンツ名は、URI(Uniform Resource Identifier)の形態で表示される。データパケットは、コンテンツ名、コンテンツの電子署名、署名アルゴリズム、生成者情報、キー格納ディレクトリサーバ、及びパケット満了情報を含む。
要請者は、インタレストパケットに所望するコンテンツ名を明示してインタレストパケットをブロードキャストする。インタレストパケットを受信した保管者又は生成者は、インタレストパケット内のコンテンツ名を確認し、コンテンツ名に対応するコンテンツを格納している場合にデータパケットを応答する。
図4Aを参照すると、第1ノード410が要請者であり、第3ノード430が生成者であり、リクエストパケットがインタレストパケットであり、応答パケットがデータパケットである。第2ノード420は、応答パケットを受信した後の保管者である。
CCNシステムで用いられるコンテンツ名の構造は、IP(Internet Protocol)アドレスの構造と同様に階層的構造である。IPアドレスがネットワークアドレス及びIDアドレスで構成されるように、コンテンツ名は、サーバアドレス、コンテンツ名、コンテンツバージョン情報などの複数の構成要素を含む。
CCNシステムで、ネットワークパケットは、最も長いプリフィクスマッチング(longest prefix matching)方式によってルーティングされる。IPネットワークシステムがIPアドレスを用いて最も長いプリフィクスマッチングを行うこととは異なり、CCNシステムではコンテンツ名を用いて最も長いプリフィクスマッチングが行われる。プリフィクスは、コンテンツが属するドメイン名である。プリフィクスは、URIのように階層的な名前構造である。最も長いプリフィクスマッチングのために各ノードで表2のような格納領域を用いる。
Figure 0006612030
第1ノード410は、コンテンツ名を含むリクエストパケットをネットワーク440に送信する。例えば、リクエストパケットは「Interest://samsung.com/sait/secu.icon」である。第1ノード410によって送信されたリクエストパケットは、ネットワーク440を介して第2ノード420に送信される。
第2ノード420は、ネットワーク440を介してリクエストパケットを受信する。例えば、第2ノード420は、Face3の入力インタフェースを介してリクエストパケットを受信する。Faceは、ネットワークパケットの送信及び受信に用いられるインタフェースである。
第2ノード420は、リクエストパケットに含まれるコンテンツ名がCSに格納されているか否かを確認する。第2ノード420は、CSに格納された暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、リクエストパケットに含まれるコンテンツ名に対応する応答パケットが格納されているか否かを判断する。
また、第2ノード420は、リクエストパケットに含まれるコンテンツ名に対応するコンテンツがリポジトリに格納されているか否かを確認する。リポジトリは、格納装置であり、例えば、ハードディスクドライブ(Hard Disk Drive:HDD)、固体ドライブ(Solid State Drive:SSD)などである。
CSに応答パケットが格納されておらず、リポジトリにコンテンツが格納されていない場合、第2ノード420は、PITにリクエストパケットに含まれるコンテンツ名とリクエストパケットが受信されたインタフェースを格納する。例えば、第2ノード420は、「/samsung.com/sait/secu.icon」と「Face3」を格納する。以下で説明するが、PITに格納された値は、リクエストパケットを送信した第1ノード410に応答パケットを送信するときに用いられる。
第2ノード420は、FIBを参照してリクエストパケットをフォワーディングするインタフェースを選択する。第2ノード420は、FIBに格納されたネットワークドメイン名のうち、リクエストパケットに含まれるコンテンツ名に最も長いプリフィクスマッチングされるネットワークドメイン名を検出し、検出されたネットワークドメイン名に対応するインタフェースを選択する。例えば、第2ノード420は、FIBに格納された「/samsung.com/sait」、「korea.gov/education」、及び「/samung.com」のうち、「samsung.com/sait/secu.icon」に最も長いプリフィクスマッチングされる「/samsung.com/sait」を検出する。第2ノード420は、検出された「/samsung.com/sait」に対応するインタフェースのFace1を選択する。
第2ノード420は、選択されたインタフェースを用いてリクエストパケットを送信する。例えば、第2ノード420は、選択されたFace1の出力インタフェースを用いてリクエストパケットを送信する。第2ノード420によって送信されたリクエストパケットは、ネットワーク440を介して第3ノード430に送信される。例えば、第2ノード420と第3ノード430との間の複数の中間ノードがリクエストパケットをフォワーディングする。複数の中間ノードは、第2ノード420の動作と実質的に同一に動作するため、より詳細な説明は省略する。
第3ノード430は、ネットワーク440からリクエストパケットを受信する。例えば、第3ノード430は、Face2の入力インタフェースを介してリクエストパケットを受信する。第3ノード430は、リクエストパケットに含まれるコンテンツ名がCSに格納されているか否かを確認する。第3ノード430は、CSに格納された暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、リクエストパケットに含まれるコンテンツ名に対応する応答パケットが格納されているか否かを判断する。また、第3ノード430は、リクエストパケットに含まれるコンテンツ名に対応するコンテンツがリポジトリに格納されているか否かを確認する。
一例として、リポジトリにコンテンツが格納されている場合、第3ノード430は応答パケットを生成する。第3ノード430はコンテンツ名を暗号化する。例えば、第3ノード430は、応答パケットの送信が許容されるネットワーク範囲を限定するように条件を設定し、設定された条件に基づいてコンテンツ名を暗号化する。第3ノード430は、暗号化されたコンテンツ名を応答パケットに含ませる。
また、第3ノード430は、コンテンツを応答パケットに含ませる。例えば、第3ノード430は、コンテンツをセグメント単位で分割された形態で応答パケットに含ませる。また、第3ノード430は電子署名を応答パケットに含ませる。
第3ノード430は、リクエストパケットが受信されたFaceの出力インタフェースを介して応答パケットを送信する。例えば、第3ノード430は、Face2の出力インタフェースを介して応答パケットを送信する。
図4Bを参照すると、第3ノード430によって送信された応答パケットは、ネットワーク440を介して第2ノード420に送信される。第2ノード420は、ネットワーク440から応答パケットを受信する。例えば、第2ノード420は、Face1の入力インタフェースを介して応答パケットを受信する。ここで、Face1は、第2ノード420がリクエストパケットをフォワーディングするために用いたFaceである。
第2ノード420は、受信した応答パケットを格納する。例えば、第2ノード420は、応答パケットに含まれる暗号化されたコンテンツ名及びコンテンツをCSに格納する。CSに格納される形態は多様に変形される。
第2ノード420は、応答パケットに含まれる暗号化されたコンテンツ名を復号化する。第2ノード420は、PITに格納された要素のうちから、復号化されたコンテンツ名に対応する要素を検出する。第2ノード420は、検出された要素のインタフェース情報を用いて応答パケットを送信する。例えば、第2ノード420は、応答パケットに含まれる暗号化されたコンテンツ名を復号化することによって、PITに格納された「/samsung.com/sait/secu.icon」を検出する。この場合、第2ノード420は、「/samsung.com/sait/secu.icon」に対応して格納されたFace3を用いて応答パケットを送信する。
第2ノード420は、インタフェース情報に基づいて暗号化されたコンテンツ名を復号化する。一例として、第2ノード420は、インタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、入力インタフェースを指すパラメータである「in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、出力インタフェースを指すパラメータである「out」を復号化アルゴリズムの入力として用いる。
他の例として、第2ノード420は、Faceのインデックスとインタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、Face1の入力インタフェースを指すパラメータである「face1、in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、Face3の出力インタフェースを指すパラメータである「face3、out」を復号化アルゴリズムの入力として用いる。
更なる例として、第2ノード420は、それぞれのFaceが接続されたネットワークドメイン情報を管理する。例えば、第2ノード420は、Face1に接続されたネットワークドメイン情報、Face2に接続されたネットワークドメイン情報などを管理する。第2ノード420は、Faceが接続されたネットワークドメイン情報及びインタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、「Face1に接続されたネットワークドメインから入力」を指す「network domain information of face1、in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、「Face3に接続されたネットワークドメインに出力」を指す「network domain information of face3、out」を復号化アルゴリズムの入力として用いる。
入力されたインタフェース情報に応じて暗号化されたコンテンツ名は、復号化されるか、又は復号化されない。入力されたインタフェース情報によって暗号化されたコンテンツ名が復号化される場合、第2ノード420は、該当するインタフェースを介して応答パケットを処理する。入力されたインタフェース情報によって暗号化されたコンテンツ名が復号化されない場合、第2ノード420は、該当するインタフェースを介して応答パケットを処理することができない。
応答パケットに含まれる暗号化されたコンテンツ名が第2ノード420によって成功的に復号化される場合、応答パケットはネットワーク440に送信される。第2ノード420によって送信された応答パケットは、ネットワーク440を介して第1ノード410に送信される。
図4Cを参照すると、第4ノード450は新しい要請者である。第4ノード450は、コンテンツ名を含むリクエストパケットをネットワーク440に送信する。例えば、リクエストパケットは、「Interest://samsung.com/sait/secu.icon」である。第4ノード450によって送信されたリクエストパケットは、ネットワーク440を介して第2ノード420に送信される。
第2ノード420は、ネットワーク440を介してリクエストパケットを受信する。例えば、第2ノード420は、Face2の入力インタフェースを介してリクエストパケットを受信する。第2ノード420は、リクエストパケットに含まれるコンテンツ名がCSに格納されているか否かを確認する。第2ノード420は、CSに格納された暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、リクエストパケットに含まれるコンテンツ名に対応する応答パケットが格納されているか否かを判断する。
第2ノード420は、CSに格納された暗号化されたコンテンツ名を復号化する。第2ノード420は、CSに格納された要素のうちから、リクエストパケットに含まれるコンテンツ名に対応する要素を検出する。例えば、第2ノード420は、CSからリクエストパケットに含まれるコンテンツ名に対応する「/samsung.com/sait/secu.icon(encrypted)」を検出する。この場合、第2ノード420は、リクエストパケットに応答し、検出された「/samsung.com/sait/secu.icon(encrypted)」に対応する応答パケットを送信する。
第2ノード420は、インタフェース情報に基づいて暗号化されたコンテンツ名を復号化する。一例として、第2ノード420は、インタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、入力インタフェースを指すパラメータである「in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、出力インタフェースを指すパラメータである「out」を復号化アルゴリズムの入力として用いる。
他の例として、第2ノード420は、Faceのインデックスとインタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、Face1の入力インタフェースを指すパラメータである「face1、in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、Face3の出力インタフェースを指すパラメータである「face3、out」を復号化アルゴリズムの入力として用いる。
更なる例として、第2ノード420は、それぞれのFaceが接続されたネットワークドメイン情報を管理する。例えば、第2ノード420は、Face1に接続されたネットワークドメイン情報、Face2に接続されたネットワークドメイン情報などを管理する。第2ノード420は、Faceが接続されたネットワークドメイン情報及びインタフェースの種類を復号化アルゴリズムの入力として用いる。より具体的に、第2ノード420は、「Face1に接続されたネットワークドメインから入力」を指す「network domain information of face1、in」を復号化アルゴリズムの入力として用いる。又は、第2ノード420は、「Face3に接続されたネットワークドメインに出力」を指す「network domain information of face3、out」を復号化アルゴリズムの入力として用いる。
入力されたインタフェース情報に応じて暗号化されたコンテンツ名は、復号化されるか、又は復号化されない。入力されたインタフェース情報によって暗号化されたコンテンツ名が復号化される場合、第2ノード420は、CSから該当する要素を検出し、該当するインタフェースを介して応答パケットを処理する。入力されたインタフェース情報によって暗号化されたコンテンツ名が復号化されない場合、第2ノード420は、CSから該当する要素を検出せず、該当するインタフェースを用いて応答パケットを処理することができない。
CSに含まれる要素のうち、リクエストパケットに含まれるコンテンツ名に対応する要素が第2ノード420によって成功的に検出される場合、検出された要素に対応する応答パケットはネットワーク440に送信される。第2ノード420によって送信された応答パケットは、ネットワーク440を介して第4ノード450に送信される。
図5は、一実施形態によるネットワークシステムで用いられる暗号化/復号化アルゴリズムを説明する図である。図5を参照すると、本実施形態によるネットワークシステム500は、ネットワーク540に接続された複数のノードを含む。ノード510は、属性規則に基づいてコンテンツ名を暗号化する。属性規則は、個体の属性情報集合及び属性のアクセス構造に基づいて生成される。アクセス構造は、与えられた属性集合に対してアクセスを許可するか否かを決定する。ノード510は属性規則を生成する。例えば、ノード510は、属性情報集合及びアクセス構造を設定する。
属性規則は、ツリー状で生成される。例えば、図6Aを参照すると、属性規則はツリー600のように生成される。ツリー600のリーフノードは属性で構成される。属性は、ネットワークノードに関する。例えば、属性は、ネットワークノードに関するドメイン情報、ネットワークノードに関するインタフェース情報、ネットワークノードに関する部門、ネットワークノードに関する地域、ネットワークノードに関する管理等級、ネットワークノードに関する名前、ネットワークノードに関する時間などを含む。或いは、属性はコンテンツに関する。例えば、属性はコンテンツの有効期間などを含む。
ツリー600の中間ノードは、リーフノードの論理演算や条件などを表現するためのものである。例えば、ツリー600の中間ノードは、AND演算、OR演算、n個のうちのk個以上の満足などに対応する。
場合によって、可変長を有する属性が属性規則に含まれる。この場合、属性規則も可変長を有する。例えば、ドメイン情報は「/samsung.com/sait」、「/samsung.com/sait/comm」、「/samsung.com/sait/comm/kim」などの可変長を有する。
属性規則を固定長にするため、可変長の属性は固定長に変換される。例えば、ドメイン情報はハッシュを用いて固定長に変換される。この場合、ハッシュの結果は固定長を有し、属性規則は可変長のドメイン情報の代わりに固定長のハッシュ結果を含む。
属性規則に基づいて暗号化されたコンテンツ名は、ネットワーク540を介してノード520及び/又はノード530に送信される。ノード520及び/又はノード530は、自身の属性に基づいて暗号化されたコンテンツ名を復号化する。ノード520及び/又はノード530のそれぞれの属性は属性集合である。ノード520及び/又はノード530のそれぞれの属性が暗号化されたコンテンツ名の暗号化に用いられた属性規則を満たす場合、暗号化されたコンテンツ名は復号化される。ノード520及び/又はノード530のそれぞれの属性が暗号化されたコンテンツ名の暗号化に用いられた属性規則を満たさない場合、暗号化されたコンテンツ名は復号化されない。
例えば、図6Bを参照すると、暗号化されたコンテンツ名の暗号化に用いられた属性規則はツリー610のように表される。ツリー610は{「/samsung.com/sait/comm」AND(IN OR OUT)}OR{「/samsung.com/sait」AND IN}で表現される。
ノード520の第1属性集合が{「/samsung.com/sait/comm」、OUT}であり、ノード530の第2属性集合が{「/samsung.com/sait」、OUT}であると仮定すると、ノード520の第1属性集合はツリー610で表現される属性規則を満たす。ノード520は、第1属性集合に基づいて暗号化されたコンテンツ名を復号化する。一方、ノード530の第2属性集合は、ツリー610で表現される属性規則を満たさない。ノード530は、第2属性集合に基づいて暗号化されたコンテンツ名を復号化することができない。
以下、図7〜図10を参照して上述した実施形態で具体的に適用されるシナリオを説明する。図7を参照すると、本実施形態によるコンテンツ名700は、複数の構成要素を含む。例えば、コンテンツ名700は、ドメイン名711、ファイル名712、ファイルバージョン情報及びセグメンテーション情報713を含む。ここで、ドメイン名711及びファイル名712は名前コンポーネント721に区分され、ファイルバージョン情報及びセグメンテーション情報713などは情報コンポーネント722に区分される。複数の構成要素は、コンテンツのリクエスト及び応答のためにルーティング情報として利用可能な階層構造を有する。例えば、コンテンツ名700は、CCN(Content Centric Network)システム又はNDN(Named Data Network)システムなどの名前基盤ネットワークシステムに適用される。
図8を参照すると、本実施形態によるインタレストパケット810は、上位ネットワークドメインから下位ネットワークドメインに送信される。ネットワークノードは、ネットワークドメイン間のパケット送信を担当するドメインルータで構成される。それぞれのノードは、自身のネットワークドメインを示す名前を有する。例えば、ノード822は/samsung.comに該当し、ノード823は/samsung.com/saitに該当し、ノード824は/samsung.com/sait/commに該当し、ノード825は/samsung.com/sait/comm/kimに該当する。
インタレストパケット810によってリクエストされるコンテンツ名は、「samsung.com/sait/comm/kim/key.info」である。例えば、インタレストパケット810は、コンテンツをリクエストするノードから送信され、インターネット821を介して/samsung.comに該当するノード822に送信される。
コンテンツ名である「samsung.com/sait/comm/kim/key.info」に対応するコンテンツがネットワークに配布されない場合、ノード822に送信されたインタレストパケット810は、ノード822の下位ネットワークドメインに該当するノードに順次送信される。例えば、インタレストパケット810は、/samsung.com/saitに該当するノード823、/samsung.com/sait/commに該当するノード824、及び/samsung.com/sait/comm/kimに該当するノード825に順次送信される。インタレストパケット810は、コンテンツ名である「samsung.com/sait/comm/kim/key.info」に基づいて送信されるため、インタレストパケット810は、/samsung.com/dmcに該当するノード826に送信されない。
ノード825は、インタレストパケット810によってリクエストされるコンテンツを格納しているか否かを確認する。ノード825は、インタレストパケット810によってリクエストされるコンテンツを用いてデータパケット830を生成する。
データパケット830は、下位ネットワークドメインから上位ネットワークドメインに送信される。例えば、データパケット830は、/samsung.com/sait/comm/kimに該当するノード825から/samsung.com/sait/commに該当するノード824、/samsung.com/saitに該当するノード823、及び/samsung.comに該当するノード822を経てインターネット821に送信される。データパケット830は、インターネット821を経てコンテンツをリクエストしたノードに送信される。
図9を参照すると、ノード825は、データパケット830をルーティング又はフォワーディングするときに必要なコンテンツ名を暗号化する。信頼できないネットワークドメインにデータパケット830を送信するノードは、コンテンツ名を識別できないように、コンテンツ名を暗号化する。信頼できないネットワークドメインは、コンテンツの送信が許可されないネットワークドメインである。
信頼できないネットワークドメインでデータパケット830を送信するノードは、暗号化されたコンテンツ名を復号化することができない。これによって、許可されないノードにデータパケットが送信されないように制御する。
より具体的に、本実施形態は、任意ルータがコンテンツ名を用いてデータパケット830を送信することによって、コンテンツが意図しないネットワークドメインに送信されることを防止する。コンテンツ名は暗号化され、信頼できるネットワークドメインにデータパケットを送信するルータのみが暗号化されたコンテンツ名を復号化することができる。コンテンツは、制限されたネットワークドメイン内のみで共有される。
本実施形態は、コンテンツ名を暗号化することによって、信頼できるネットワークドメインの範囲を明示的又は暗示的に指定する。この場合、暗号化されたコンテンツ名を復号化し、コンテンツを含むデータパケットを送信するルータが1つ以上存在する。
本実施形態は、属性基盤暗号技術を用いる。例えば、コンテンツアクセス権限対象者に対する属性規則に基づいてコンテンツ名が暗号化される。任意ユーザが有する属性が暗号化されたコンテンツ名の暗号化のために用いられた属性規則を満たすとき、暗号化されたコンテンツ名が復号化される。
暗号化に用いられる属性として、ネットワークルータの名前、即ちネットワークルータが代表するネットワークドメイン名を用いる。本実施形態は、コンテンツ名を暗号化するとき、コンテンツが送信されるネットワークドメインを1つ以上指定する。そのため、コンテンツアクセス可能なユーザが複数である場合にも1つの暗号化されたコンテンツ名のみが生成され、コンテンツ名を権限のあるルータの個数分暗号化しなくてもよい。従って、拡張性(Scalability)が向上する。
図10を参照すると、各ネットワークドメインに対応するノードは、受信したパケットを上位又は外部ネットワークに伝達する外部ルータ1010と下位又は内部ネットワークに伝達する内部ルータ1020を含む。外部ルータ1010及び内部ルータ1020は物理的に分離してもよく、論理的に分離してもよい。
ルータ1010は外部に対応するインタフェース情報の属性を有し、ルータ1020は内部に対応するインタフェース情報の属性を有する。例えば、ルータ1010は「/samsung.com/sait/comm(in)」の属性を有し、ルータ1020は「/samsung.com/sait/comm(out)」の属性を有する。
ネットワークドメインのルータに付与されたインタフェース情報を用いてデータパケットの送信が制御される。例えば、上位又は外部ネットワークはコンテンツ送信が制限されたネットワークであり、下位又は内部ネットワークはコンテンツアクセスが許可されたネットワークである。この場合、コンテンツ名の暗号化のために用いられる属性規則は、上位又は外部ネットワークに該当するインタフェース情報を含まず、下位又は内部ネットワークに該当するインタフェース情報を含む。そのため、本実施形態は、データパケットが外部ネットワークに送信しないように防止する技術を提供する。
再び図9を参照すると、ノード825は、「/samsung.com/sait/comm/kim/key.info」をリクエストするインタレストパケットに対応して、コンテンツがsaitドメイン832に限定して公開されるようにコンテンツ名を暗号化する。例えば、ノード825は、saitドメイン832に限定される属性規則831を用いてコンテンツ名を暗号化する。
属性規則831は、(1)saitドメインルータのうちの内部ルータ、(2)commドメインルータのうちの内部ルータ及び外部ルータ、又は(3)kimドメインルータのうちの内部ルータ及び外部ルータで指定される。暗号化されたコンテンツ名を含むデータパケット830は、上述したルータに限って送信される。そのため、データパケット830に含まれるコンテンツは、saitドメイン832内でのみ共有される。
図11は、一実施形態によるキー配布システムを説明する図である。図11を参照すると、本実施形態によるキー配布システム1100は複数のノード及び認証機関1140を含む。
認証機関1140は、セキュリティパラメータkを用いて公開キーPK及びマスターキーMKを生成する。セキュリティパラメータは、公開キー及びマスターキーを生成するための数学的な算出に用いられるパラメータであって、例えば双線形集合(Bilinear Group)及び素数、ジェネレーター、ランダム数などを含む。公開キーは、コンテンツ名を暗号化するために用いられる。認証機関1140は、公開キーをキー配布システム1100に含まれる複数のノードに配布する。
認証機関1140は複数の属性を管理する。例えば、認証機関1140は、キー配布システム1100内の複数のノードの属性を含む属性集合を管理する。認証機関1140は、属性集合に含まれる複数の属性のための暗号キーを生成する。例えば、認証機関1140は、マスターキーを用いて複数の属性のそれぞれのための暗号キーを生成する。生成された複数の暗号キーは1つの公開キーに対応する。
暗号キーは、暗号化されたコンテンツ名を復号化するために用いられる。認証機関1140は、キー配布システム1100に含まれるノードを認証し、認証されたノードの属性に対応する暗号キーを該当するノードに提供する。認証機関1140はキー生成信頼機関であることを指す。
キー配布システム1100で、ユーザは、アクセス権限に対応する少なくとも1つの暗号キーが与えられる。キー配布システム1100で、データパケットは、属性基盤で暗号化されるため、ユーザはアクセスが許容されたデータパケットの暗号化されたコンテンツ名のみを復号化する。
ノード1110がリクエストノードであり、ノード1120が中間ノードであり、ノード1130が生成ノードであると仮定すると、ノード1110はネットワークを介してリクエストパケットを送信する。リクエストパケットは、ノード1120を経てノード1130に送信される。
ノード1130は、認証機関1140から配布された公開キーを用いてコンテンツ名を暗号化する。例えば、ノード1130は、属性規則を指定し、指定された属性規則及び公開キーを用いてコンテンツ名を暗号化する。
暗号化されたコンテンツ名を含む応答パケットは、ネットワークを介してノード1120に送信される。ノード1120は、認証機関1140に認証を行った後、認証機関1140からノード1120の属性に対応する暗号キーが提供される。ノード1120は、認証により提供された暗号キーを用いて暗号化されたコンテンツ名を復号化する。ノード1120の暗号キーに対応する属性が暗号化されたコンテンツ名の暗号化に用いられた属性規則を満たす場合、暗号化されたコンテンツ名は復号化される。ノード1120の暗号キーに対応する属性が暗号化されたコンテンツ名の暗号化に用いられた属性規則を満たさない場合、暗号化されたコンテンツ名は復号化されない。
図12は、一実施形態によるネットワークノードを示すブロック図である。図12を参照すると、本実施形態によるネットワークノード1200は、送信部1210、復号化部1220、及び受信部1230を含む。
受信部1230は、暗号化されたコンテンツ名を含む応答パケットを受信する。復号化部1220は暗号化されたコンテンツ名を復号化し、送信部1210は復号化されたコンテンツ名に基づいて応答パケットを送信する。
暗号化されたコンテンツ名は、予め設定された条件に基づいて暗号化され、予め設定された条件が満たされるネットワークノードで復号化される。予め設定された条件は、応答パケットを生成したネットワークノードによって設定される。予め設定された条件は、応答パケットの送信が許容されるネットワーク範囲を限定するように設定される。
暗号化されたコンテンツ名は、少なくとも1つの属性を含む属性規則に基づいて暗号化される。少なくとも1つの属性は、ドメイン情報及びインタフェース情報のうちの少なくとも1つを含む。属性規則は、応答パケットに含まれるコンテンツに対するアクセス権限に関する。属性規則は、少なくとも1つの属性に対する論理演算や条件などによって生成される。
復号化部1220は、ネットワークノードの属性に基づいて暗号化されたコンテンツ名を復号化する。ネットワークノードの属性が暗号化されたコンテンツ名を暗号化するために用いられた属性規則を満たす場合、暗号化されたコンテンツ名が復号化される。ネットワークノードの属性は、ネットワークノードのドメイン情報及びネットワークノードのインタフェース情報のうちの少なくとも1つを含む。暗号化されるコンテンツ名は、属性規則、公開キー、及びコンテンツ名を用いて暗号化される。
復号化部1220は、ネットワークノードの属性に対応する少なくとも1つの暗号キーを用いて暗号化されたコンテンツ名を復号化する。ネットワークノード1200は、認証機関に認証を行う認証部を更に含むことができる。受信部1230は、認証機関から、1つの公開キーに対応して生成された複数の暗号キーのうちのネットワークノードの属性に対応する少なくとも1つの暗号キーを受信する。
送信部1210は、予め格納されたリクエスト情報のうちの復号化されたコンテンツ名に対応するリクエスト情報を抽出し、抽出されたリクエスト情報に基づいて応答パケットを送信する。ネットワークノード1200は、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、リクエストパケットに含まれるコンテンツ名に対応する応答パケットを抽出する抽出部を更に含むことができる。この場合、受信部1230はリクエストパケットを受信し、送信部1210はリクエストパケットに対する応答として応答パケットを送信する。
ネットワークノード1200は、予め格納されたコンテンツのうち、リクエストパケットに含まれるコンテンツ名に対応するコンテンツを抽出する抽出部、コンテンツ名を暗号化する暗号化部、及び暗号化部によって暗号化されたコンテンツ名、及び抽出されたコンテンツを含む応答パケットを生成する生成部を更に含むことができる。この場合、受信部1230はリクエストパケットを受信し、送信部1210は、リクエストパケットに対する応答として応答パケットを送信する。
暗号化部は、属性規則、公開キー、及びコンテンツ名を用いてコンテンツ名を暗号化する。公開キーは複数の暗号キーに対応し、暗号化部によって暗号化されたコンテンツ名は、属性規則を満たす属性に対応する少なくとも1つの暗号キーによって復号化される。
ネットワークノード1200は、予め格納されたコンテンツのうちのリクエストパケットに含まれるコンテンツ名に対応するコンテンツが存在するか否かを判断する第1判断部、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうち、少なくとも一部を復号化することによって、予め格納された応答パケットのうちのリクエストパケットに含まれるコンテンツ名に対応する応答パケットが存在するか否かを判断する第2判断部、及びコンテンツ名に対応するコンテンツ及びコンテンツ名に対応する応答パケットが存在しないとの判断に応じて、リクエスト情報を格納する格納部を更に含むことができる。この場合、受信部1230はリクエストパケットを受信し、送信部1210は、コンテンツ名に対応するコンテンツ及びコンテンツ名に対応する応答パケットが存在しないとの判断に応じてリクエストパケットをネットワークに送信する。
図13は、一実施形態によるネットワークノードの動作方法を示した動作フローチャートである。図13を参照すると、本実施形態によるネットワークノードの動作方法は、暗号化されたコンテンツ名を含む応答パケットを受信するステップS1310、暗号化されたコンテンツ名を解読して復号化するステップS1320、及び復号化されたコンテンツ名に基づいて応答パケットを送信するステップS1330を含む。
図13に示した各ステップには、図1〜図12を参照して上述した事項がそのまま適用されるため、より詳細な説明は省略する。
本実施形態は、コンテンツ名又はデータの名前に基づいてネットワークパケットをルーティング及び伝達する名前基盤ネットワークであり、信頼できないネットワークドメインにコンテンツ又はデータパケットを送信することを防止することができる。
本実施形態は、CCNのような名前基盤ネットワークで、応答するコンテンツを有するノードが無条件リクエストに応答する代わりに、特定条件に応じてコンテンツを送信しない技術を提供することができる。本実施形態は、コンテンツ保護のためにコンテンツ送信ステップでアクセス制御を可能にする技術を提供することができる。
本実施形態は、データパケットに含まれるコンテンツが権限のないユーザに送信されることを防止することによって、ネットワークリソースの無駄遣いを防止し、潜在的なコンテンツ表示の危険を減少させることができる。本実施形態は、コンテンツ生成者の情報を含むコンテンツ名が権限のないユーザで表示されることを防止することができる。
本実施形態は、コンテンツ名そのものに対する保護機能を提供することによって、ルーティングポリシー情報と関係なくコンテンツリクエストが発生したノードにコンテンツが送信されることを防止することができる。
本実施形態は、名前基盤ネットワークで、コンテンツ生成者の重要情報を含むコンテンツ名を保護し、信頼できないネットワークドメインにコンテンツが送信されないように暗号学的な方式を用いてルータの機能を制限することができる。
本実施形態は、コンテンツ名を暗号化し、ルーティング時にセキュリティポリシーを実行する技術を提供する。本実施形態は、コンテンツ名の暗号化のために属性基盤暗号技術を用い、属性の種類をネットワークドメイン名及びルータの役割として指定する技術を提供する。本実施形態は、ドメインルータで、コンテンツ名の復号化の有無に応じてデータパケットの送信有無を決定する技術を提供する。
以上で説明した実施形態は、ハードウェア構成要素、ソフトウェア構成要素、及び/又はハードウェア構成要素及びソフトウェア構成要素の組合せで具現される。例えば、プロセッサ、コントローラ、ALU(arithmetic logic unit)、デジタル信号プロセッサ(digital signal processor)、マイクロコンピュータ、FPA(field programmable array)、PLU(programmable logic unit)、マイクロプロセッサー、又は命令(instruction)を実行して応答する異なる装置のように、1つ以上の汎用コンピュータ又は特殊目的のコンピュータを用いて具現される。処理装置は、オペレーティングシステム(OS)及びOS上で実行される1つ以上のソフトウェアアプリケーションを実行する。また、処理装置は、ソフトウェアの実行に応答して、データをアクセス、格納、操作、処理及び生成する。理解の便宜のために、処理装置は1つ使用されるものとして説明した場合もあるが、当該技術分野で通常の知識を有する者は、処理装置が複数の処理要素(processing element)及び/又は複数類型の処理要素を含むことが分かる。例えば、処理装置は、複数のプロセッサ又は1つのプロセッサ及び1つのコントローラを含む。また、並列プロセッサ(parallel processor)のような、他の処理構成も可能である。
ソフトウェアは、コンピュータプログラム、コード、命令、又はこれらのうちの1つ以上の組合せを含み、希望通りに動作するように処理装置を構成するか、或いは独立的又は結合的に処理装置に命令する。ソフトウェア及び/又はデータは、処理装置によって解釈されるか、或いは処理装置に命令又はデータを提供するためにあらゆる類型の機械、構成要素、物理的装置、仮想装置、コンピュータ格納媒体又は装置、送信信号波により永久的又は一時的に具体化される。ソフトウェアは、ネットワークに接続されたコンピュータシステム上に分散され、分散された方法で格納されるか又は実行される。ソフトウェア及びデータは1つ以上のコンピュータ読み取り可能な記録媒体に格納される。
本発明の実施形態による方法は、多様なコンピュータ手段を介して様々な処理を実行するプログラム命令の形態で具現され、コンピュータ読み取り可能な記録媒体に記録される。コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などのうちの1つ又はその組合せを含む。記録媒体に記録されるプログラム命令は、本発明の目的のために特別に設計されて構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知のものであり、使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、光ディスクのような光磁気媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例には、コンパイラによって作られるような機械語コードだけでなく、インタープリタなどを用いてコンピュータによって実行される高級言語コードが含まれる。ハードウェア装置は、本発明の動作を行うために1つ以上のソフトウェアモジュールとして作動するように構成されてもよく、その逆も同様である。
以上、本発明の実施形態について図面を参照しながら詳細に説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の技術的範囲から逸脱しない範囲内で多様に変更実施することが可能である。
100、500 ネットワークシステム
110、410 第1ノード
120、420 第2ノード
130。430 第3ノード
140、440、540 ネットワーク
150、450 第4ノード
210 リクエストパケット
211、700 コンテンツ名
220 応答パケット
221 暗号化されたコンテンツ名
222 コンテンツ
223 電子署名
510、520、530、822、823、824、825、826、1110、1120、1130 ノード
600、610 ツリー
711 ドメイン名
712 ファイル名
713 ファイルバージョン情報及びセグメンテーション情報
721 名前コンポーネント
722 情報コンポーネント
810 インタレストパケット
821 インターネット
830 データパケット
831 属性規則
832 saitドメイン
1010 外部ルータ
1020 内部ルータ
1100 キー配布システム
1140 認証機関
1200 ネットワークノード
1210 送信部
1220 復号化部
1230 受信部

Claims (25)

  1. ネットワークノードの動作方法であって、
    暗号化されたコンテンツ名を含む応答パケットを受信するステップと、
    前記応答パケットを格納するステップと、
    前記ネットワークノードが予め設定された条件を満たすように、前記受信された応答パケットに含まれる暗号化されたコンテンツ名が復号化されるか否かを判断するステップと、
    前記応答パケットに含まれる暗号化されたコンテンツ名が復号化される場合、復号化アルゴリズムの入力として、前記ネットワークノードのインタフェースに連結されたドメインのドメイン情報、及び前記ネットワークノードのインタフェースのインタフェース情報を用い、前記復号化アルゴリズムを通して前記暗号化されたコンテンツ名を復号化するステップと、
    前記コンテンツ名を復号するために用いられるドメイン情報及びインタフェース情報のインタフェースを通して前記復号化されたコンテンツ名に基づいて前記応答パケットを送信するステップと、
    リクエストパケットを受信するステップと、
    予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化するステップと、
    前記復号化されたコンテンツ名に基づいて、前記予め格納された応答パケットのうちから、前記リクエストパケットに含まれるコンテンツ名に対応する予め格納された応答パケットが存在するか否かを判断するステップと、
    前記予め格納された応答パケットが存在することに応答して、前記予め格納された応答パケットを送信するステップと、を有し、
    前記暗号化されたコンテンツ名は、前記応答パケットの送信が許容されるネットワーク範囲を限定するように応答パケットを生成する他のネットワークノードによって設定された予め設定された条件に基づいて暗号化され、
    前記予め設定された条件は、少なくとも一つのドメイン情報、及び前記応答パケットの送信が許容される少なくとも一つのネットワークノードの少なくとも一つのインタフェース情報を含むことを特徴とするネットワークノードの動作方法。
  2. 前記暗号化されたコンテンツ名は、予め設定された条件に基づいて暗号化され、前記予め設定された条件が満たされるネットワークノードで復号化されることを特徴とする請求項1に記載のネットワークノードの動作方法。
  3. 前記予め設定された条件は、前記応答パケットを生成したネットワークノードによって、前記応答パケットの送信が許容されるネットワーク範囲を限定するように設定されることを特徴とする請求項2に記載のネットワークノードの動作方法。
  4. 前記暗号化されたコンテンツ名は、少なくとも1つの属性を含む属性規則に基づいて暗号化されることを特徴とする請求項1に記載のネットワークノードの動作方法。
  5. 前記少なくとも1つの属性は、ドメイン情報及びインタフェース情報のうちの少なくとも1つを含むことを特徴とする請求項4に記載のネットワークノードの動作方法。
  6. 前記属性規則は、前記応答パケットに含まれるコンテンツに対するアクセス権限に関することを特徴とする請求項4に記載のネットワークノードの動作方法。
  7. 前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性に基づいて前記暗号化されたコンテンツ名を復号化するステップを含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  8. 前記ネットワークノードの属性に基づいて前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性が前記暗号化されたコンテンツ名を暗号化するために用いられる属性規則を満たすことに応じて、前記暗号化されたコンテンツ名を復号化するステップを含むことを特徴とする請求項7に記載のネットワークノードの動作方法。
  9. 前記ネットワークノードの属性は、前記ネットワークノードのドメイン情報及び前記ネットワークノードのインタフェース情報のうちの少なくとも1つを含むことを特徴とする請求項7に記載のネットワークノードの動作方法。
  10. 前記暗号化されたコンテンツ名は、属性規則、公開キー、及びコンテンツ名を用いて暗号化されることを特徴とする請求項1に記載のネットワークノードの動作方法。
  11. 前記暗号化されたコンテンツ名を復号化するステップは、前記ネットワークノードの属性に対応する少なくとも1つの暗号キーを用いて前記暗号化されたコンテンツ名を復号化するステップを含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  12. 認証機関に認証を行うステップと、
    前記認証機関から前記ネットワークノードの属性に対応する少なくとも1つの暗号キーを受信するステップと、を更に含み、
    前記少なくとも1つの暗号キーは、1つの公開キーに対応して前記認証機関によって生成された複数の暗号キーのうちから選択されることを特徴とする請求項11に記載のネットワークノードの動作方法。
  13. 前記応答パケットを送信するステップは、
    予め格納されたリクエスト情報のうちから前記復号化されたコンテンツ名に対応するリクエスト情報を抽出するステップと、
    前記抽出されたリクエスト情報に基づいて前記応答パケットを送信するステップと、を含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  14. リクエストパケットを受信するステップと、
    予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化することによって、前記リクエストパケットに含まれるコンテンツ名に対応する応答パケットを抽出するステップと、
    前記復号化された少なくとも一部のコンテンツ名に基づいて、前記リクエストパケットに対する応答として、前記抽出された応答パケットを送信するステップと、を更に含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  15. リクエストパケットを受信するステップと、
    予め格納されたコンテンツのうちから前記リクエストパケットに含まれるコンテンツ名に対応するコンテンツを抽出するステップと、
    前記コンテンツ名を暗号化するステップと、
    前記暗号化されたコンテンツ名及び前記抽出されたコンテンツを含む応答パケットを生成するステップと、
    前記リクエストパケットに対する応答として、前記生成された応答パケットを送信するステップと、を更に含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  16. 前記コンテンツ名を暗号化するステップは、属性規則、公開キー、及び前記コンテンツ名を用いて前記コンテンツ名を暗号化するステップを含むことを特徴とする請求項15に記載のネットワークノードの動作方法。
  17. 前記公開キーは複数の暗号キーに対応し、前記暗号化するステップで暗号化されたコンテンツ名は、前記属性規則を満たす属性に対応する少なくとも1つの暗号キーによって復号化されることを特徴とする請求項16に記載のネットワークノードの動作方法。
  18. 予め格納されたコンテンツのうちから前記リクエストパケットに含まれるコンテンツ名に対応するコンテンツが存在するか否かを判断するステップと、
    前記コンテンツ名に対応するコンテンツ及び前記コンテンツ名に対応する応答パケットが存在しないとの判断に応じてリクエスト情報を格納するステップと、
    前記リクエストパケットをネットワークに送信するステップと、を更に含むことを特徴とする請求項1に記載のネットワークノードの動作方法。
  19. 請求項1に記載のネットワークノードの動作方法を実行させるためのプログラムが記録されたコンピュータ読み取り可能な記録媒体。
  20. ネットワークノードであって、
    暗号化されたコンテンツ名を含む応答パケットを受信する受信部と、
    前記応答パケットを格納し、前記ネットワークノードが予め設定された条件を満たすように、前記受信された応答パケットに含まれる暗号化されたコンテンツ名が復号化されるか否かを判断し、前記応答パケットに含まれる暗号化されたコンテンツ名が復号化される場合、復号化アルゴリズムの入力として、前記ネットワークノードのインタフェースに連結されたドメインのドメイン情報、及び前記ネットワークノードのインタフェースのインタフェース情報を用い、前記復号化アルゴリズムを通して前記暗号化されたコンテンツ名を復号化するプロセッサと、
    前記コンテンツ名を復号するために用いられるドメイン情報及びインタフェース情報のインタフェースを通して前記復号化されたコンテンツ名に基づいて前記応答パケットを送信する送信部と、を備え、
    前記受信部は、リクエストパケットを受信し、
    前記プロセッサは、予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化し、前記復号化されたコンテンツ名に基づいて、前記予め格納された応答パケットのうちから、前記リクエストパケットに含まれるコンテンツ名に対応する予め格納された応答パケットが存在するか否かを判断し、
    前記送信部は、前記予め格納された応答パケットが存在することに応答して、前記予め格納された応答パケットを送信し、
    前記暗号化されたコンテンツ名は、前記応答パケットの送信が許容されるネットワーク範囲を限定するように応答パケットを生成する他のネットワークノードによって設定された予め設定された条件に基づいて暗号化され、
    前記予め設定された条件は、少なくとも一つのドメイン情報、及び前記応答パケットの送信が許容される少なくとも一つのネットワークノードの少なくとも一つのインタフェース情報を含むことを特徴とするネットワークノード。
  21. ネットワークノードの動作方法であって、
    暗号化されたコンテンツ名を含む応答パケットを受信するステップと、
    前記ネットワークノードが予め設定された条件を満たすように、前記受信された応答パケットに含まれる暗号化されたコンテンツ名が復号化されるか否かを判断することによって、前記応答パケットに含まれる暗号化されたコンテンツ名に基づいて他のネットワークノードが前記応答パケットを受信する権限があるか否かを判断するステップと、
    前記他のネットワークノードが前記応答パケットを受信する権限がないとの判断に応じて、前記他のネットワークノードに前記応答パケットを送信しないステップと、
    前記他のネットワークノードが前記応答パケットを受信する権限があるとの判断に応じて、復号化アルゴリズムの入力として、前記ネットワークノードのインタフェースに連結されたドメインのドメイン情報、及び前記ネットワークノードのインタフェースのインタフェース情報を用い、前記復号化アルゴリズムを通して前記暗号化されたコンテンツ名を復号化するステップと、
    前記コンテンツ名を復号するために用いられるドメイン情報及びインタフェース情報のインタフェースを通して前記他のネットワークノードに前記応答パケットを送信するステップと、
    リクエストパケットを受信するステップと、
    予め格納された応答パケットに含まれる暗号化されたコンテンツ名のうちの少なくとも一部を復号化するステップと、
    前記復号化されたコンテンツ名に基づいて、前記予め格納された応答パケットのうちから、前記リクエストパケットに含まれるコンテンツ名に対応する予め格納された応答パケットが存在するか否かを判断するステップと、
    前記予め格納された応答パケットが前記リクエストパケットに応答して送信されることが許可されているか否かを判断するステップと、
    前記予め格納された応答パケットが存在し許可されていることに応答して、前記予め格納された応答パケットを送信するステップと、を有し、
    前記暗号化されたコンテンツ名は、前記応答パケットの送信が許容されるネットワーク範囲を限定するように応答パケットを生成する他のネットワークノードによって設定された予め設定された条件に基づいて暗号化され、
    前記予め設定された条件は、少なくとも一つのドメイン情報、及び前記応答パケットの送信が許容される少なくとも一つのネットワークノードの少なくとも一つのインタフェース情報を含むことを特徴とするネットワークノードの動作方法。
  22. 前記応答パケットを受信する権限があるか否かを判断するステップは、
    前記他のネットワークノードに関する情報に基づいて前記暗号化されたコンテンツ名の復号化を試みるステップと、
    前記コンテンツ名が復号化されない場合、前記他のネットワークノードが前記応答パケットを受信する権限がないと判断するステップと、
    前記コンテンツ名が復号化された場合、前記他のネットワークノードが前記応答パケットを受信する権限があると判断するステップと、を含むことを特徴とする請求項21に記載のネットワークノードの動作方法。
  23. 前記応答パケットを送信するステップは、前記復号化されたコンテンツ名に基づいて前記他のネットワークノードに前記応答パケットを送信するステップを含むことを特徴とする請求項22に記載のネットワークノードの動作方法。
  24. 前記他のネットワークノードに関する情報は、前記ネットワークノードのインタフェースに関する情報を含み、前記ネットワークノードのインタフェースを用いて前記応答パケットが前記他のネットワークノードに送信されることを特徴とする請求項22に記載のネットワークノードの動作方法。
  25. 前記他のネットワークノードに関する情報は、前記他のネットワークノードのネットワークドメイン情報を含むことを特徴とする請求項22に記載のネットワークノードの動作方法。
JP2015019645A 2014-06-10 2015-02-03 ネットワークノード及びその動作方法 Active JP6612030B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2014-0069961 2014-06-10
KR1020140069961A KR102185350B1 (ko) 2014-06-10 2014-06-10 네트워크 노드 및 네트워크 노드의 동작 방법

Publications (2)

Publication Number Publication Date
JP2015233269A JP2015233269A (ja) 2015-12-24
JP6612030B2 true JP6612030B2 (ja) 2019-11-27

Family

ID=52394157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015019645A Active JP6612030B2 (ja) 2014-06-10 2015-02-03 ネットワークノード及びその動作方法

Country Status (5)

Country Link
US (1) US9774708B2 (ja)
EP (1) EP2955893B1 (ja)
JP (1) JP6612030B2 (ja)
KR (1) KR102185350B1 (ja)
CN (1) CN105282130B (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7991910B2 (en) 2008-11-17 2011-08-02 Amazon Technologies, Inc. Updating routing information based on client location
US8028090B2 (en) 2008-11-17 2011-09-27 Amazon Technologies, Inc. Request routing utilizing client location information
US8606996B2 (en) 2008-03-31 2013-12-10 Amazon Technologies, Inc. Cache optimization
US8321568B2 (en) 2008-03-31 2012-11-27 Amazon Technologies, Inc. Content management
US8601090B1 (en) 2008-03-31 2013-12-03 Amazon Technologies, Inc. Network resource identification
US8447831B1 (en) 2008-03-31 2013-05-21 Amazon Technologies, Inc. Incentive driven content delivery
US7970820B1 (en) 2008-03-31 2011-06-28 Amazon Technologies, Inc. Locality based content distribution
US7962597B2 (en) 2008-03-31 2011-06-14 Amazon Technologies, Inc. Request routing based on class
US9407681B1 (en) 2010-09-28 2016-08-02 Amazon Technologies, Inc. Latency measurement in resource requests
US8412823B1 (en) 2009-03-27 2013-04-02 Amazon Technologies, Inc. Managing tracking information entries in resource cache components
US8688837B1 (en) 2009-03-27 2014-04-01 Amazon Technologies, Inc. Dynamically translating resource identifiers for request routing using popularity information
US8782236B1 (en) 2009-06-16 2014-07-15 Amazon Technologies, Inc. Managing resources using resource expiration data
US8397073B1 (en) 2009-09-04 2013-03-12 Amazon Technologies, Inc. Managing secure content in a content delivery network
US9495338B1 (en) 2010-01-28 2016-11-15 Amazon Technologies, Inc. Content distribution network
US9003035B1 (en) 2010-09-28 2015-04-07 Amazon Technologies, Inc. Point of presence management in request routing
US9712484B1 (en) 2010-09-28 2017-07-18 Amazon Technologies, Inc. Managing request routing information utilizing client identifiers
US8468247B1 (en) 2010-09-28 2013-06-18 Amazon Technologies, Inc. Point of presence management in request routing
US10958501B1 (en) 2010-09-28 2021-03-23 Amazon Technologies, Inc. Request routing information based on client IP groupings
US8452874B2 (en) 2010-11-22 2013-05-28 Amazon Technologies, Inc. Request routing processing
US10467042B1 (en) 2011-04-27 2019-11-05 Amazon Technologies, Inc. Optimized deployment based upon customer locality
US10623408B1 (en) 2012-04-02 2020-04-14 Amazon Technologies, Inc. Context sensitive object management
US9154551B1 (en) 2012-06-11 2015-10-06 Amazon Technologies, Inc. Processing DNS queries to identify pre-processing information
US9323577B2 (en) 2012-09-20 2016-04-26 Amazon Technologies, Inc. Automated profiling of resource usage
US10205698B1 (en) 2012-12-19 2019-02-12 Amazon Technologies, Inc. Source-dependent address resolution
US10097448B1 (en) 2014-12-18 2018-10-09 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US10225326B1 (en) 2015-03-23 2019-03-05 Amazon Technologies, Inc. Point of presence based data uploading
US9819567B1 (en) 2015-03-30 2017-11-14 Amazon Technologies, Inc. Traffic surge management for points of presence
US9832141B1 (en) 2015-05-13 2017-11-28 Amazon Technologies, Inc. Routing based request correlation
US10701038B2 (en) * 2015-07-27 2020-06-30 Cisco Technology, Inc. Content negotiation in a content centric network
US10270878B1 (en) 2015-11-10 2019-04-23 Amazon Technologies, Inc. Routing for origin-facing points of presence
US10356209B2 (en) * 2015-11-30 2019-07-16 Futurewei Technologies, Inc. System and method to support context-aware content requests in information centric networks
US10348639B2 (en) 2015-12-18 2019-07-09 Amazon Technologies, Inc. Use of virtual endpoints to improve data transmission rates
US10043016B2 (en) * 2016-02-29 2018-08-07 Cisco Technology, Inc. Method and system for name encryption agreement in a content centric network
US10129360B2 (en) * 2016-03-28 2018-11-13 The Boeing Company Unified data networking across heterogeneous networks
US10075551B1 (en) 2016-06-06 2018-09-11 Amazon Technologies, Inc. Request management for hierarchical cache
US10110694B1 (en) 2016-06-29 2018-10-23 Amazon Technologies, Inc. Adaptive transfer rate for retrieving content from a server
US9992086B1 (en) 2016-08-23 2018-06-05 Amazon Technologies, Inc. External health checking of virtual private cloud network environments
US10033691B1 (en) 2016-08-24 2018-07-24 Amazon Technologies, Inc. Adaptive resolution of domain name requests in virtual private cloud network environments
WO2018056032A1 (ja) * 2016-09-21 2018-03-29 Kddi株式会社 コンテンツ配信システムのサーバ装置、転送装置及びプログラム
US10469513B2 (en) * 2016-10-05 2019-11-05 Amazon Technologies, Inc. Encrypted network addresses
US10831549B1 (en) 2016-12-27 2020-11-10 Amazon Technologies, Inc. Multi-region request-driven code execution system
US10372499B1 (en) 2016-12-27 2019-08-06 Amazon Technologies, Inc. Efficient region selection system for executing request-driven code
US10938884B1 (en) 2017-01-30 2021-03-02 Amazon Technologies, Inc. Origin server cloaking using virtual private cloud network environments
US10503613B1 (en) 2017-04-21 2019-12-10 Amazon Technologies, Inc. Efficient serving of resources during server unavailability
US11075987B1 (en) 2017-06-12 2021-07-27 Amazon Technologies, Inc. Load estimating content delivery network
US10447648B2 (en) 2017-06-19 2019-10-15 Amazon Technologies, Inc. Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP
US10742593B1 (en) 2017-09-25 2020-08-11 Amazon Technologies, Inc. Hybrid content request routing system
US10592578B1 (en) 2018-03-07 2020-03-17 Amazon Technologies, Inc. Predictive content push-enabled content delivery network
US11316662B2 (en) * 2018-07-30 2022-04-26 Koninklijke Philips N.V. Method and apparatus for policy hiding on ciphertext-policy attribute-based encryption
US11036876B2 (en) * 2018-08-20 2021-06-15 Cisco Technology, Inc. Attribute-based encryption for microservices
US10862852B1 (en) 2018-11-16 2020-12-08 Amazon Technologies, Inc. Resolution of domain name requests in heterogeneous network environments
US11025747B1 (en) 2018-12-12 2021-06-01 Amazon Technologies, Inc. Content request pattern-based routing system
CN115348066B (zh) * 2022-08-05 2023-03-28 昆仑数智科技有限责任公司 数据加密传输方法、装置及电子设备、存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9456054B2 (en) * 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US8386622B2 (en) 2008-05-16 2013-02-26 Palo Alto Research Center Incorporated Method and apparatus for facilitating communication in a content centric network
US8165118B2 (en) * 2008-05-19 2012-04-24 Palo Alto Research Center Incorporated Voice over content centric networks
KR101688857B1 (ko) 2010-05-13 2016-12-23 삼성전자주식회사 컨텐츠 중심 네트워크(ccn)에서 단말 및 허브의 통신 방법 및 컨텐츠 중심 네트워크를 위한 단말
KR20120020344A (ko) * 2010-08-30 2012-03-08 삼성전자주식회사 단말, 중간 노드 및 단말 및 중간 노드의 통신 방법
KR20120054839A (ko) 2010-11-22 2012-05-31 삼성전자주식회사 계층 구조 기반의 데이터 접근 제어 장치 및 방법
US8863227B2 (en) * 2011-01-05 2014-10-14 Futurewei Technologies, Inc. Method and apparatus to create and manage a differentiated security framework for content oriented networks
KR101798402B1 (ko) * 2011-06-02 2017-12-22 삼성전자주식회사 계층적 이름 구조에 기반한 네트워크에서 컨텐츠 요청자 및 컨텐츠 응답자의 통신 방법 및 장치
KR101889761B1 (ko) * 2011-06-09 2018-09-21 삼성전자주식회사 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 보호 방법
KR101715080B1 (ko) * 2011-06-09 2017-03-13 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
KR20120137726A (ko) 2011-06-13 2012-12-24 삼성전자주식회사 컨텐츠 기반 네트워크(ccn)에서 전송 노드, 수신 노드 및 그 통신 방법
KR20130008325A (ko) * 2011-07-12 2013-01-22 삼성전자주식회사 컨텐츠 중심 네트워크에서 컨텐츠 요청자, 중간 노드 및 컨텐츠 소유자의 통신 방법
KR20130031660A (ko) 2011-09-21 2013-03-29 삼성전자주식회사 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 이름 생성 방법, 그리고 인증 방법
KR20130048032A (ko) 2011-11-01 2013-05-09 한국전자통신연구원 컨텐츠 중심 네트워크에서 라우팅 방법
CN103988458B (zh) * 2011-12-09 2017-11-17 华为技术有限公司 基于内容中心网络的网络中编码网络报文的方法
KR101913313B1 (ko) * 2011-12-28 2018-10-31 삼성전자주식회사 게이트웨이에서 인터넷 프로토콜 기반 네트워크를 이용하여 컨텐츠 중심 네트워크를 구현하는 방법 및 그 게이트웨이
KR20130080626A (ko) 2012-01-05 2013-07-15 삼성전자주식회사 컨텐츠 중심 네트워크를 위한 도메인들 간의 라우팅 방법 및 컨텐츠 중심 네트워크
WO2013143137A1 (en) * 2012-03-31 2013-10-03 France Telecom Research & Development Beijing Company Limited Content centric m2m system
CN102638405B (zh) * 2012-04-12 2014-09-03 清华大学 内容中心网络策略层的路由方法
EP2909964B1 (en) * 2012-10-17 2019-04-24 Nokia Technologies Oy Method and apparatus for providing secure communications based on trust evaluations in a distributed manner
KR20140067337A (ko) * 2012-11-26 2014-06-05 삼성전자주식회사 컨텐츠 네임 암호화 시스템
KR102100710B1 (ko) * 2012-11-26 2020-04-16 삼성전자주식회사 컨텐츠 중심 네트워크에서 컨텐츠 소유자 및 노드의 패킷 전송 방법
CN104823419B (zh) * 2012-11-28 2018-04-10 松下知识产权经营株式会社 接收终端及接收方法
CN104219125B (zh) * 2013-05-31 2017-12-05 华为技术有限公司 信息为中心网络icn中转发报文的方法、装置及系统
WO2014194523A1 (zh) * 2013-06-08 2014-12-11 华为技术有限公司 路由转发方法、装置及系统
US9531679B2 (en) * 2014-02-06 2016-12-27 Palo Alto Research Center Incorporated Content-based transport security for distributed producers
US9203885B2 (en) * 2014-04-28 2015-12-01 Palo Alto Research Center Incorporated Method and apparatus for exchanging bidirectional streams over a content centric network
US9455835B2 (en) * 2014-05-23 2016-09-27 Palo Alto Research Center Incorporated System and method for circular link resolution with hash-based names in content-centric networks

Also Published As

Publication number Publication date
CN105282130B (zh) 2019-10-25
KR102185350B1 (ko) 2020-12-01
US9774708B2 (en) 2017-09-26
CN105282130A (zh) 2016-01-27
KR20150141362A (ko) 2015-12-18
EP2955893A1 (en) 2015-12-16
US20150358436A1 (en) 2015-12-10
EP2955893B1 (en) 2020-03-04
JP2015233269A (ja) 2015-12-24

Similar Documents

Publication Publication Date Title
JP6612030B2 (ja) ネットワークノード及びその動作方法
JP6923611B2 (ja) サービス層におけるコンテンツセキュリティ
US10200194B2 (en) Theft and tamper resistant data protection
Michalas The lord of the shares: Combining attribute-based encryption and searchable encryption for flexible data sharing
KR102443857B1 (ko) 암호화키를 사용한 신뢰 실행 환경의 어드레싱 기법
US9985782B2 (en) Network bound decryption with offline encryption
KR102489790B1 (ko) 서명키를 사용한 신뢰 실행 환경의 어드레싱 기법
KR102219277B1 (ko) 인증된 컨텐츠 전달 제어를 위한 시스템 및 방법
US10911538B2 (en) Management of and persistent storage for nodes in a secure cluster
JP6678457B2 (ja) データセキュリティサービス
JP2016511610A (ja) マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理)
Sugumaran et al. An architecture for data security in cloud computing
Chen et al. An encryption and probability based access control model for named data networking
JP2015149717A (ja) 分散した作成部についてのコンテンツベースの伝送セキュリティ
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
Che Fauzi et al. On cloud computing security issues
US11481515B2 (en) Confidential computing workflows
Dudiki et al. A Hybrid Cryptography Algorithm to Improve Cloud Computing Security
WO2020048289A1 (zh) 用于处理用户信息的系统和方法
WO2015034407A1 (en) Performing an operation on a data storage
Kang Efficient botnet herding within the Tor network
Thota et al. Split key management framework for Open Stack Swift object storage cloud
Al‐Tariq et al. A scalable framework for protecting user identity and access pattern in untrusted Web server using forward secrecy, public key encryption and bloom filter
Tyagi et al. Effective data storage security with efficient computing in cloud
JP7571954B2 (ja) 安全な電子データ転送のためのシステムと方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150304

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180925

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181225

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190924

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20191002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191030

R150 Certificate of patent or registration of utility model

Ref document number: 6612030

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250