KR20140119780A - 컨텐츠 중심 네트워킹 - Google Patents

컨텐츠 중심 네트워킹 Download PDF

Info

Publication number
KR20140119780A
KR20140119780A KR1020147024005A KR20147024005A KR20140119780A KR 20140119780 A KR20140119780 A KR 20140119780A KR 1020147024005 A KR1020147024005 A KR 1020147024005A KR 20147024005 A KR20147024005 A KR 20147024005A KR 20140119780 A KR20140119780 A KR 20140119780A
Authority
KR
South Korea
Prior art keywords
namespace
subsequent
server
client
data packet
Prior art date
Application number
KR1020147024005A
Other languages
English (en)
Other versions
KR101593864B1 (ko
Inventor
프랭크 프랭크
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20140119780A publication Critical patent/KR20140119780A/ko
Application granted granted Critical
Publication of KR101593864B1 publication Critical patent/KR101593864B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

컨텐츠 중심 네트워킹 방법, 클라이언트, 서버 및 컴퓨터 프로그램 제품이 개시된다. 컨텐츠 중심 네트워크의 클라이언트와 서버 사이에서 데이터 패킷의 스트림을 전송하기 위해 보안 세션을 수립하는 방법은, 서버와 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하는 단계와, 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하는 단계와, 제 1 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 제 1 데이터 패킷에 대한 제 1 요청의 제 1 네임스페이스에, 포함시키는 단계와, 제 1 데이터 패킷의 전송에 기초하며, 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와, 후속 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 후속 요청의 후속 네임스페이스에, 포함시키는 단계를 포함한다. 이로써, 각각의 데이터 패킷의 네임스페이스는 변경되고, 네임스페이스가 서로 데이지 체이닝되도록 이전 데이터 패킷과 연관되어서, 후속 데이터 패킷을 전송할 때 2개의 노드 사이에서 수행되어야 하는 추가 인증이 필요없게 된다. 클라이언트와 서버가 모두 각각의 후속 데이터 패킷에 대한 정확한 네임스페이스를 도출하는 한, 클라이언트와 서버 사이의 세션은 보안되고 있다고 할 수 있으므로, 보안을 유지하면서 성능을 크게 향상시킬 수 있다.

Description

컨텐츠 중심 네트워킹{CONTENT-CENTRIC NETWORKING}
본 발명은 컨텐츠 중심 네트워킹 방법, 클라이언트, 서버 및 컴퓨터 프로그램 제품에 관한 것이다.
컨텐츠 중심 네트워킹이 알려져 있다. 이러한 컨텐츠 중심 네트워킹에서는, 데이터 네트워크에서 컨텐츠를 전달하기 위한 라우팅 패러다임이 제공된다. 상세하게, 컨텐츠 중심 네트워크 내의 네트워크 노드로 컨텐츠에 대한 요청이 행해지며, 이 요청을 수신한 네트워크 노드가 그 컨텐츠의 로컬 카피를 갖고 있다면, 이는 요청한 노드로 라우팅 백(route back)된다. 그러나, 네트워크 노드가 그 컨텐츠를 갖고 있지 않다면, 그 요청은, 그 컨텐츠가 리턴될 때까지 네트워크를 통해 전파되거나, 그 컨텐츠가 리턴되지 않으면, 에러 메시지가 요청한 노드에 제공된다. 전형적으로, 이 컨텐츠가 요청한 노드로 전달되어 오면, 이후 그 컨텐츠에 대한 후속 요청이 행해지는 경우에, 그 컨텐츠에 액세스 가능하도록, 이 컨텐츠의 카피가 네트워크 노드에 의해 로컬하게 저장될 수 있다.
이러한 방식으로 컨텐츠가 제공될 수는 있지만, 문제가 없는 것은 아니다.
따라서, 개선된 컨텐츠 중심 네트워킹 기법의 제공이 요구되고 있다.
일 측면에 따라서, 컨텐츠 중심 네트워크의 클라이언트와 서버 사이에서 데이터 패킷의 스트림을 전송하기 위해 보안 세션을 수립하는 방법이 제공되며, 이 방법은, 서버와 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하는 단계와, 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하는 단계와, 제 1 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 제 1 데이터 패킷에 대한 제 1 요청의 제 1 네임스페이스에, 포함시키는 단계와, 제 1 데이터 패킷의 전송에 기초하며, 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와, 후속 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 후속 요청의 후속 네임스페이스에, 포함시키는 단계를 포함한다.
제 1 측면에서는, 기존의 컨텐츠 중심 네트워킹 방식이 전형적으로 보안을 중시하고는 있지만 모든 네트워크 패킷이 PKI(public key infrastructure) 암호화 시스템을 이용해서 서명되어야 한다고 하는, 기존의 컨텐츠 중심 네트워킹 방식의 문제점을 인식하고 있다. 이로써, 네트워크가 모든 패킷의 기원(origin)을 확인할 수는 있겠지만, 비대칭형 암호화는 매우 저속이기 때문에 성능에 악영향을 미친다.
이를 완화하기 위해서, 제 1 측면에서는, 컨텐츠 중심 네트워크에서 보안 세션을 구현함으로써 성능 개선이 달성될 수 있다고 인식하고 있으며, 여기서 보안 세션은, 인증이 세션 개시시에 한 번만 수행된 2개의 네트워크 사이에서의 데이터 패킷 스트림의 전송으로, 따라서 개개의 데이터 패킷이 서명될 필요가 없다.
컨텐츠 중심 네트워크 내에 보안 세션을 수립할 때, 전형적으로 통신한 부분은 자신이 정보를 교환할 수 있는 네임스페이스에 동의해야 한다. 서버측에서 이 네임스페이스는, 입수 패킷이 주어진 세션에 속한다는 것을 식별하는 역할을 한다. 입수 패킷이 어느 세션에 속하는지 인지함으로써, 서버는 데이터 패킷을 복호하는데 필요한 암호화 키를 검색할 수 있는 것이 전형적이다.
서버는, 하나의 클라이언트와만 공유된 키를 이용함으로써, 송신자가, 그 키로의 액세스를 가진 유일한 다른 네트워크 노드라는 것을 암시적으로 식별할 수 있다. 이러한 보안 세션의 식별자로서의 역할 이외에는, 네임스페이스의 특정 포맷이, 교환되고 있는 데이터와 어떤 직접적인 관련성을 갖고 있는 것은 아니며, 임의의 수의 다양한 원리에 기초해서 선택될 수 있다.
이하 설명하는 네임스페이스 선택 기술을 이용하면, 다른 네임스페이스 선택 방식에서도, 관련된 세션 트래픽의 상관 관계를 제거하는 것 및 세션 수립 메커니즘에 대한 리플레이 공격의 기회를 제거하는 것을 포함한 많은 이점을 달성할 수 있다.
따라서, 클라이언트와 서버 사이에 보안 세션을 수립하는 방법이 제공된다. 제 1 네임스페이스 부분 표시가 클라이언트와 서버 사이에 교환될 수 있다. 이 표시로부터 제 1 네임스페이스 부분이 도출될 수 있다. 제 1 네임스페이스 부분은 서버로부터의 제 1 데이터 패킷에 대한 클라이언트로부터의 요청과 관련된 제 1 네임스페이스에 포함될 수 있다. 이후 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스가 도출될 수 있다. 후속 네임스페이스 부분은, 서버로부터의 후속 데이터 패킷에 대한 후속 요청에 포함될 수 있다.
따라서, 제 1 데이터 패킷과 관련된 네임스페이스가 클라이언트와 서버 사이에서 결정될 수 있다. 제 1 데이터 패킷의 전송에 이어서, 후속 데이터 패킷과 관련된 네임스페이스가 클라이언트와 서버에 의해 도출될 수 있다. 이로써, 각각의 데이터 패킷의 네임스페이스는 변경되고, 네임스페이스가 서로 데이지 체이닝(daisy-chain)되도록 이전 데이터 패킷과 연관되어서, 후속 데이터 패킷을 전송할 때 2개의 노드 사이에서 수행되어야 하는 추가 인증이 필요없게 된다. 대신, 후속 데이터 패킷의 네임스페이스가 이전 데이터 패킷에 기초해서 도출될 수 있다. 클라이언트와 서버가 모두 각각의 후속 데이터 패킷에 대한 정확한 네임스페이스를 도출하는 한, 클라이언트와 서버 사이의 세션은 보안되고 있다고 할 수 있으므로, 보안을 유지하면서 성능을 크게 향상시킬 수 있다. 또한, 각각의 데이터 패킷에 대한 네임스페이스가 변경되는 것이 매우 랜덤한 방식으로 보이므로, 인터셉트하려는 노드가 컨텐츠 중심 네트워크에서 전송되고 있는 데이터 패킷이 서로 연관되어 있다고 판단하는 것이 어렵고, 각각의 후속 데이터 패킷이 이전 데이터 패킷의 전송에 후속하는 네임스페이스에만 할당되기 때문에, 제 3 자가 데이터 스트림에 액세스하거나 리플레이 어택을 행하는 것이 곤란하게 된다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 제 1 네임스페이스 부분은 암호화 키로부터 도출된다. 따라서, 암호화 키는 서버와 클라이언트에 의해 공유될 수 있는데, 이는 키가 '오픈'(즉, 비보안 통신에 개시되어 있거나 혹은 이로부터 용이하게 입수할 수 있음) 상태에 있지 않은 공지된 기술을 이용해서 수행될 수 있다. 이후, 제 1 네임스페이스 부분은 클라이언트와 서버 모두에 의해서 이 보안 암호화 키로부터 도출될 수 있다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 제 1 네임스페이스 부분은 클라이언트와 서버가 공유하고 있으며 암호화 키에 적용되는 해시 함수로부터 도출된다. 따라서, 네임스페이스 부분을 암호화 키 자체로부터 간단하게 도출하기는 하지만, 제 1 네임스페이스 부분을 도출하는 것을 더 복잡하게 하기 위해서 해시 함수도 사용될 수 있으며, 이는 해시 함수를 암호화 키에 적용함으로써 도출되는 것이다. 해시 함수가 확실히 오픈 상태가 아니게 하기 위해서, 암호화 키의 공유와 유사한 방식으로 해시 함수의 공유가 수행될 수 있다는 것을 이해할 것이다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 네임스페이스 부분을 포함하고, 제 1 네임스페이스 부분은 제 1 네임스페이스 부분 표시를 암호화 키를 이용해서 복호함으로써 도출된다. 따라서, 제 1 네임스페이스 부분은 서버와 클라이언트 사이에서 암호화된 형태로 전송될 수 있고, 서버와 클라이언트 각각은 암호화 키를 이용해서 복호를 수행함으로써 네임스페이스 부분을 도출할 수 있다.
일 실시예에서, 후속 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 데이터 패킷을 포함하고, 후속 네임스페이스 부분은 제 1 데이터 패킷으로부터 도출된다. 따라서, 후속 네임스페이스 부분은 제 1 데이터 패킷을 복호함으로써 도출될 수 있다.
일 실시예에서, 후속 네임스페이스 부분은, 제 1 데이터 패킷을 암호화 키를 이용해서 복호함으로써 제 1 데이터 패킷으로부터 도출된다. 따라서, 후속 네임스페이스 부분은 제 1 데이터 패킷에 의해 인코딩되어서 암호화될 수 있다. 후속 네임스페이스 부분을 도출하기 위해서, 데이터 패킷을 복호하고 디코딩해서 후속 네임스페이스 부분을 찾아낸다. 이로써, 보안 세션을 확실하게 할 수 있는데, 이는, 후속 네임스페이스를 도출하는 것은, 이전 데이터 패킷을 정확하게 수신해서 디코딩하는 것에 기초해야 하기 때문이다. 각각의 이전 데이터 패킷이 정확하게 수신되고, 복호되며, 디코딩되어야만, 이어지는 데이터 패킷의 네임스페이스를 도출할 수 있다. 또한, 각각의 후속 네임스페이스에 대한 요청이 계속되고 있으면, 보안 세션이 불안정하거나 인터럽트되지 않았다는 것을 암시할 수 있다.
일 실시예에서, 후속 네임스페이스 부분은 제 1 데이터 패킷에 적용되는 해시 함수로부터 도출된다. 마찬가지로, 해시 함수를 이용하기 때문에, 후속 네임스페이스 부분의 무결성이 증가된다.
일 실시예에서, 후속 네임스페이스 부분은 제 1 데이터 패킷 및 제 1 네임스페이스 부분에 적용되는 해시 함수로부터 도출된다. 마찬가지로 해시 함수를 이용하기 때문에, 후속 네임스페이스 부분의 무결성이 증가된다.
일 실시예에서, 제 1 네임스페이스 부분은, 랜덤 값 및 의사 랜덤 값의 시퀀스 중 선택된 값 중 하나를 포함한다. 서버와 클라이언트 사이에서 교환되는 표시로부터 도출된 랜덤 값에 기초해서 제 1 네임스페이스 부분을 도출함으로써, 제 1 데이터 패킷과 관련된 네임스페이스는 예측이 어렵다. 유사하게, 서버와 클라이언트 사이에서 교환되는 표시로부터 도출된 의사 랜덤 시퀀스 중 선택된 값으로부터 제 1 네임스페이스 부분을 도출함으로써, 초기 네임스페이스는 클라이언트와 서버에 의해서만 도출될 수 있고, 따라서 보안 세션을 가능하게 한다. 일 실시예에서, 암호화 함수 E 및 이전에 교화된 키 K를 이용해서, 예측 가능한 의사 랜덤 수 생성기를 제공할 수 있다는 것을 이해할 것이다. 시작점 x가 동의되고 이것이 반복해서 암호화된다면, E_k(x)에서 E_k(E_k(x))로, 그리고 E_k(E_k(E_k(x))) 등으로 전개될 것이며, 이는 E, k 및 x를 알지 못한다면 완전히 랜덤으로 보일 것이다. 유사하게, E_k() 대신 해싱 함수가 사용될 수 있다. 시작점 x는 임의의 것이 될 수 있고, 예컨대, 키 k 자체가 될 수 있다. 일 실시예에서, 후속 네임스페이스 부분은, 다른 랜덤 값 및 의사 랜덤 값의 시퀀스 중 다른 선택된 값 중 하나를 포함한다. 따라서, 후속 네임스페이스 부분은 다른 랜덤 값이 될 수 있다. 이 랜덤 값은 제 1 데이터 패킷의 전송에 기초하거나 이로부터 도출될 수 있다. 예컨대, 이 랜덤 값은 제 1 데이터 패킷에 포함될 수도 있고, 혹은 그 데이터 패킷 내의 특정 비트의 세트가 될 수도 있다. 따라서, 후속 네임스페이스 부분은 그 이전 데이터 패킷으로부터 도출될 수 있다. 이와 달리, 후속 네임스페이스 부분은 의사 랜덤 값의 시퀀스 중 다른 선택된 값이 될 수 있다. 또한, 이는 의사 랜덤 값의 시퀀스의 사전 동의된 오프셋이 될 수도 있고, 이전 데이터 패킷에 의해 표시될 수도 있다. 또한, 이는 보안 세션의 수립을 제공해서, 제 3 자가 그 보안 세션의 다음 네임스페이스를 예측하는 것을 어렵게 한다.
일 실시예에서, 이 방법은, 이전의 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와, 후속 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 후속 요청의 후속 네임스페이스에, 포함시키는 단계를 포함한다. 따라서, 각각의 후속 요청과 관련된 네임스페이스가 이전 데이터 패킷에 기초할 수 있으며, 이들 네임스페이스 부분 각각이 이전 네임스페이스 부분과 상이하므로, 보안 세션의 무결성을 개선할 수 있다.
일 실시예에서, 데이터 패킷의 스트림의 데이터 패킷에 대한 요청의 각각의 네임스페이스는, 컨텐츠 제공자 식별자, 네임스페이스 부분을 포함하는 보안 세션 식별자, 및 컨텐츠 식별자 중 적어도 하나를 포함한다. 따라서, 네임스페이스는 컨텐츠 제공자 식별자, 네임스페이스 부분을 포함하는 보안 세션 식별자, 혹은 컨텐츠 식별자를 포함할 수 있다.
일 실시예에서, 이 방법은, 변경되지 않는 컨텐츠 식별자를 갖고 있는, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 요청의 네임스페이스에 대해서는, 클라이언트와 서버가 공유하고 있는 솔트 함수(salt function)를 컨텐츠 식별자에 적용해서 그 가변성을 증가시키는 단계를 포함한다. 따라서, 솔팅 과정을 요청 혹은 요청의 일부에 적용함으로써, 네임스페이스에 포함되는 값의 가변성을 증가시킬 수 있다. 전형적으로, 이는 컨텐츠 식별자에 적용되어서, 제 3 자가, 상이한 요청을 일부 컨텐츠와 관련된 데이터 패킷의 시퀀스를 전송하기 위한 세션과 관련된 것으로 상관시킬 수 있는 확률을 감소시킬 수 있다.
제 2 측면에 따라서, 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림을 전송하기 위해 보안 세션을 수립하도록 동작하는 클라이언트가 제공되며, 이 클라이언트는, 서버와 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하도록 동작하는 교환 로직과, 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하고, 제 1 네임스페이스 부분을, 서버로의, 데이터 패킷의 스트림의 제 1 데이터 패킷에 대한 제 1 요청의 제 1 네임스페이스에, 포함시키도록 동작하는 도출 로직을 포함하고, 이 도출 로직은 또한 제 1 데이터 패킷의 전송에 기초하며 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하고, 후속 네임스페이스 부분을, 서버로의, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 후속 요청의 후속 네임스페이스에, 포함시키도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 도출 로직은 암호화 키로부터 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 도출 로직은 클라이언트와 서버가 공유하고 있으며 암호화 키에 적용되는 해시 함수로부터 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 네임스페이스 부분을 포함하고, 도출 로직은 제 1 네임스페이스 부분 표시를 암호화 키를 이용해서 복호함으로써 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 후속 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 데이터 패킷을 포함하고, 도출 로직은 제 1 데이터 패킷으로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷을 암호화 키를 이용해서 복호함으로써 제 1 데이터 패킷으로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷에 적용되는 해시 함수로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷 및 제 1 네임스페이스 부분에 적용되는 해시 함수로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분은, 랜덤 값 및 의사 랜덤 값의 시퀀스 중 선택된 값 중 하나를 포함한다.
일 실시예에서, 후속 네임스페이스 부분은, 다른 랜덤 값 및 의사 랜덤 값의 시퀀스 중 다른 선택된 값 중 하나를 포함한다.
일 실시예에서, 도출 로직은 이전의 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하고, 후속 네임스페이스 부분을, 클라이언트로부터 서버로의, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 후속 요청의 후속 네임스페이스에, 포함시키도록 동작한다.
일 실시예에서, 데이터 패킷의 스트림의 데이터 패킷에 대한 요청의 각각의 네임스페이스는, 컨텐츠 제공자 식별자, 네임스페이스 부분을 포함하는 보안 세션 식별자, 및 컨텐츠 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 도출 로직은, 변경되지 않는 컨텐츠 식별자를 갖고 있는, 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 요청의 네임스페이스에 대해서는, 클라이언트와 서버가 공유하고 있는 솔트 함수를 컨텐츠 식별자에 적용해서 그 가변성을 증가시키도록 동작한다.
제 3 측면에 따라서, 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림을 전송하기 위해 보안 세션을 수립하는 방법이 제공되며, 이 방법은, 서버와 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하는 단계와, 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하는 단계와, 제 1 네임스페이스 부분을, 데이터 패킷의 스트림의 제 1 데이터 패킷과 관련된 제 1 네임스페이스에, 포함시키는 단계와, 제 1 데이터 패킷의 전송에 기초하며, 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와, 후속 네임스페이스 부분을, 데이터 패킷의 스트림의 후속 데이터 패킷과 관련된 후속 네임스페이스에, 포함시키는 단계를 포함한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 제 1 네임스페이스 부분은 암호화 키로부터 도출된다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 제 1 네임스페이스 부분은, 클라이언트와 서버가 공유하고 있으며 암호화 키에 적용되는 해시 함수로부터 도출된다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 네임스페이스 부분을 포함하고, 제 1 네임스페이스 부분은 제 1 네임스페이스 부분 표시를 암호화 키를 이용해서 복호함으로써 도출된다.
일 실시예에서, 후속 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 데이터 패킷을 포함하고, 후속 네임스페이스 부분은 제 1 데이터 패킷으로부터 도출된다.
일 실시예에서, 후속 네임스페이스 부분은, 제 1 데이터 패킷을 암호화 키를 이용해서 복호함으로써 제 1 데이터 패킷으로부터 도출된다.
일 실시예에서, 후속 네임스페이스 부분은, 제 1 데이터 패킷에 적용되는 해시 함스로부터 도출된다.
일 실시예에서, 후속 네임스페이스 부분은, 제 1 데이터 패킷 및 제 1 네임스페이스 부분에 적용되는 해시 함수로부터 도출된다.
일 실시예에서, 제 1 네임스페이스 부분은, 랜덤 값 및 의사 랜덤 값의 시퀀스 중 선택된 값 중 하나를 포함한다.
일 실시예에서, 후속 네임스페이스 부분은, 다른 랜덤 값 및 의사 랜덤 값의 시퀀스 중 다른 선택된 값 중 하나를 포함한다.
일 실시예에서, 이 방법은 이전의 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와, 후속 네임스페이스 부분을, 데이터 패킷의 스트림의 후속 데이터 패킷과 관련된 후속 네임스페이스에, 포함시키는 단계를 포함한다.
일 실시예에서, 데이터 패킷의 스트림의 데이터 패킷에 대한 요청의 각각의 네임스페이스는, 컨텐츠 제공자 식별자, 네임스페이스 부분을 포함하는 보안 세션 식별자, 및 컨텐츠 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 이 방법은 클라이언트와 서버가 공유하고 있는 솔트 함수를 데이터 패킷의 스트림의 데이터 패킷에 대한 요청에 적용하는 단계를 포함한다.
제 4 측면에 따라서, 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림을 전송하기 위해 보안 세션을 수립하도록 동작하는 서버가 제공되며, 이 서버는, 서버와 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하도록 동작하는 교환 로직과, 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하도록 동작하는 도출 로직과, 제 1 네임스페이스 부분을, 데이터 패킷의 스트림의 제 1 데이터 패킷과 관련된 제 1 네임스페이스에, 포함시키도록 동작하는 포함 로직을 포함하고, 도출 로직은, 제 1 데이터 패킷의 전송에 기초하며 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하도록 동작하고, 포함 로직은, 후속 네임스페이스 부분을, 데이터 패킷의 스트림의 후속 데이터 패킷과 관련된 후속 네임스페이스에, 포함시키도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 도출 로직은 암호화 키로부터 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키를 포함하고, 도출 로직은 클라이언트와 서버가 공유하고 있으며 암호화 키에 적용되는 해시 함수로부터 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 네임스페이스 부분을 포함하고, 도출 로직은 제 1 네임스페이스 부분 표시를 암호화 키를 이용해서 복호함으로써 제 1 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 후속 네임스페이스 부분 표시는 클라이언트와 서버가 공유하고 있는 암호화 키에 의해 암호화된 제 1 데이터 패킷을 포함하고, 도출 로직은 제 1 데이터 패킷으로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷을 암호화 키를 이용해서 복호함으로써 제 1 데이터 패킷으로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷에 적용되는 해시 함수로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 도출 로직은 제 1 데이터 패킷 및 제 1 네임스페이스 부분에 적용되는 해시 함수로부터 후속 네임스페이스 부분을 도출하도록 동작한다.
일 실시예에서, 제 1 네임스페이스 부분은, 랜덤 값 및 의사 랜덤 값의 시퀀스 중 선택된 값 중 하나를 포함한다.
일 실시예에서, 후속 네임스페이스 부분은, 다른 랜덤 값 및 의사 랜덤 값의 시퀀스 중 다른 선택된 값 중 하나를 포함한다.
일 실시예에서, 도출 로직은 이전의 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하고, 포함 로직은 후속 네임스페이스 부분을, 데이터 패킷의 스트림의 후속 데이터 패킷과 관련된 후속 요청의 후속 네임스페이스에, 포함시키도록 동작한다.
일 실시예에서, 데이터 패킷의 스트림의 데이터 패킷에 대한 요청의 각각의 네임스페이스는, 컨텐츠 제공자 식별자, 네임스페이스 부분을 포함하는 보안 세션 식별자, 및 컨텐츠 식별자 중 적어도 하나를 포함한다.
일 실시예에서, 서버는, 클라이언트와 서버가 공유하고 있는 솔트 함수를 데이터 패킷의 스트림의 데이터 패킷에 대한 요청에 적용하도록 동작하는 솔팅 로직을 포함한다.
제 5 측면에 따라서, 컴퓨터에서 실행될 때, 제 1 혹은 제 3 측면의 방법의 단계를 수행하도록 동작하는 컴퓨터 프로그램 제품이 제공된다.
추가적인 특정한 측면 및 바람직한 측면이 첨부된 독립 청구항 및 종속 청구항에 개시되어 있다. 종속 청구항의 특성은, 청구항에 명확하게 개시된 조합 이외의 조합으로, 독립 청구항의 특성과 적절하게 조합될 수 있다.
장치 특성이 기능을 제공하도록 동작하는 것으로 개시된 경우에도, 이는 그 기능을 제공하거나, 그 기능을 제공하도록 채택 혹은 구성된 장치 특성을 포함한다는 것을 이해할 것이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조로 설명한다.
도 1(a) 및 1(b)는 실시예에 따른 네임스페이스를 나타내는 도면이다.
도 2는 일 실시예에 따른 컨텐츠 중심 네트워크를 나타내는 도면이다.
도 3은 일 실시예에 따른 컨텐츠 중심 네트워크에서, 보안 세션으로 컨텐츠를 수립시키고 전송하는, 주요한 메시징 및 처리 단계를 나타내는 도면이다.
도 4는 일 실시예에 따른 네임스페이스 데이지 체인을 나타내는 도면이다.
개요
실시예를 상세하게 설명하기에 앞서서, 먼저 전체적인 개요를 제공한다. 컨텐츠-중심 네트워크에서 클라이언트와 컨텐츠 제공자 사이의 보안 세션을 수립하는 기법이 제공된다.
전형적으로, 컨텐츠-중심 네트워크의 클라이언트는 도 1(a)에 도시된 바와 같이, '네임스페이스(namespace)'에 '관심 패킷(interest packet)'의 형태로 요청을 발행해서, 컨텐츠에 액세스하려고 할 것이다. 네임스페이스의 정확한 형태는 다를 수 있지만, 일반적으로 네임스페이스는 먼저 컨텐츠-중심 네트워크 프로토콜을 나타내는 프로토콜 부분(12)을 포함할 것이다. 컨텐츠 제공자 부분(14)이 제공되며, 이는 전형적으로 컨텐츠의 소스를 나타내고 있다. 마지막으로, 컨텐츠 식별자 부분(16)이 제공되며, 이는 컨텐츠 자체를 고유하게 나타내고 있다.
관심 패킷을 수신하면, 이를 수신한 컨텐츠-중심 네트워크의 네트워크 노드는 이 관심 패킷과 관련된 네임스페이스를 찾아서, 그 컨텐츠의 로컬 저장된 카피를 갖고 있는지 판정할 것이다. 갖고 있지 않은 경우에 컨텐츠-중심 네트워크로 관심 패킷을 전파하는 다양한 메카니즘이 존재한다.
이 관심 패킷을 그 컨텐츠를 갖고 있는 네트워크 노드가 수신했다면, 이 컨텐츠는 컨텐츠-중심 네트워크를 통해서 데이터 패킷으로서 요청한 클라이언트로 제공되고, 이 컨텐츠를 수신하는 임의의 네트워크 노드는 자신의 로컬 캐시에 그 컨텐츠의 카피를 저장할 것인지를 판단할 수 있다.
컨텐츠-중심 네트워크를 통한 임의의 데이터 전송의 보안을 개선하기 위해서, 도 1(b)에 도시된 바와 같이 증강된 네임스페이스 구성(10a)이 이용된다. 이 구성에서, 컨텐츠 식별자(16a)가 제공되며, 이는 다수의 부분을 포함하고 있다. 제 1 부분(18)은 그 네임스페이스가 보안 즉 보존된 네임스페이스와 관련되어 있다는 것을 나타낸다. 세션 식별자 부분(20)이 제공되며, 이는 이하 설명하는 바와 같이 전송되는 각각의 데이터 패킷과 교환되는 것이다. 추가 부분(22)이 제공되며, 이는 요청받은 컨텐츠를 고유하게 나타낸다.
세션 식별자 부분(20)의 값은 세션 내에서 송신된 각각의 관심 패킷과 교환된다. 각각의 관심 패킷의 세션 식별자 부분(20)의 값은 요청한 클라이언트 및 컨텐츠 제공자에게만 알려진다. 또한, 클라이언트가 서버로부터 동일한 컨텐츠를 상이한 시간에 요청받은 경우에도, 세션 식별자 부분(20)의 값은 서로 다를 것이다. 이로써 그 컨텐츠와 관련된 네임스페이스가 달라지고, 이는 컨텐츠 제공자 및 신뢰받은 수신자에게만 알려지기 때문에 컨텐츠 전송의 보안이 개선된다. 또한, 그 컨텐츠의 각각의 후속하는 부분의 네임스페이스가 달라지고, 이는, 그 컨텐츠를 요청하는 관심 패킷이 생성되는 것에 의해서만 생성된다. 이로써 제 3 자가 컨텐츠에 액세스하는 것이 매우 어렵게 되고, 심지어 컨텐츠의 일부에 액세스할 수 있는 경우에도, 그 컨텐츠의 다음 부분에 액세스하는 것은 어렵게 된다. 나아가, 네임스페이스를 변경하는 특징으로 인해서, 컨텐츠가 인터셉트된 경우에도, 컨텐츠의 서로 다른 부분 사이의 어떤 관련성에 대해서는 전형적으로 네임스페이스에 명확하게 표시되지 않기 때문에, 그 컨텐츠 부분의 서로 관련되어 있는지 여부를 식별하기 어렵다. 따라서, 컨텐츠-중심 네트워크에서 컨텐츠를 점대점으로 전송하는 보안 메커니즘을 효율적으로 제공할 수 있다. 네트워크 노드가 자신의 캐시에 로컬하게 저장한 임의의 컨텐츠는, 다시 요청받지 않을 것이기 때문에, 결국 폐기될 것이다.
컨텐츠 -중심 네트워크
도 2는 일 실시예에 따른 컨텐츠-중심 네트워크를 나타내고 있다. 클라이언트(30)는 상호 접속된 다수의 네트워크 노드(50)로 이루어진 컨텐츠-중심 네트워크(40)에 접속되어 있다. 컨텐츠-중심 네트워크(40)에는, 컨텐츠 제공자와 관련된 서버(60)도 접속되어 있으며, 컨텐츠 제공자는 컨텐츠에 대해 수신된 관심 패킷에 응답해서 컨텐츠-중심 네트워크에 그 컨텐츠를 제공하는 것이다.
상술한 바와 같이, 클라이언트(30)가 컨텐츠-중심 네트워크(40)로부터 컨텐츠를 요청할 때에는, 클라이언트(30)는 도 1(a) 및 1(b)에 도시된 바와 같이 특정 네임스페이스와 관련된 컨텐츠의 관심 패킷을 발행하는 것으로 이를 수행한다. 만약 네트워크 노드(50) 중 어느 것이 자신의 로컬 캐시에 그 네임스페이스와 관련된 컨텐츠를 갖고 있다면, 이 컨텐츠가 데이터 패킷으로 클라이언트(30)에 제공된다.
네트워크 노드(50) 중 어느 것도, 관심 패킷의 네임스페이스와 관련된 컨텐츠를 갖고 있지 않다면, 이 관심 패킷은 결국, 그 네임스페이스의 컨텐츠 제공자 부분(14)에 설정되어 있는 컨텐츠 제공자와 관련된 서버(60)로 전파될 것이다.
서버(60)는 그 네임스페이스(70)를 심사해서, 이 네임스페이스와 관련된 이용 가능 컨텐츠를 갖고 있는지 여부를 판정한다. 서버(60)가 컨텐츠 식별자 부분(16, 16a)이 그 네임스페이스(70) 내의 엔트리와 매칭된다는 것을 식별한 경우에는, 관련 컨텐츠(90)가 데이터 패킷으로서 제공된다. 부분(16, 16a)이 네임스페이스(70) 내의 어느 엔트리와도 매칭되지 않는 경우에는, 어느 컨텐츠도 제공되지 않고, 선택적으로 에러 메시지가 송신될 수 있다.
보존된 네임스페이스
네임스페이스(70)의 보존된 부분(80)이 제공되며, 이는 클라이언트(30)와 서버(60) 사이의 보안 세션을 지원하는데 이용되는 것이다. 특히, 이 네임스페이스(70)의 보존된 부분(80) 내의 엔트리는 보안 세션 내의 데이터 전송을 지원하는데 유동적으로 이용된다. 특히, 컨텐츠에 대한 관심 패킷의 클라이언트(30)에 의해 발행되면 보안 부분(80) 내에 엔트리가 작성되고, 이 엔트리는 요청받은 컨텐츠와 관련된 것이다.
그러나, 네임스페이스 엔트리는 고유한 것이고, 보안 세션 동안의 특정 컨텐츠에 대한 요청에 응답에서만 이용된다. 이하 상세하게 설명하는 바와 같이, 이 네임스페이스는 클라이언트(30) 및 서버(60)에게만 알려지며, 어느 다른 네트워크 노드에 의해서도 도출될 수 없을 것이다. 나아가, 이 네임스페이스는 컨텐츠에 대한 요청이 이루어질 때마다 다를 것이며, 이 요청이 동일한 클라이언트로부터 왔고, 동일한 컨텐츠 제공자로부터의 동일한 컨텐츠와 관련된 경우에도, 이 네임스페이스는 다를 것이다.
컨텐츠는 전형적으로 일련의 관심 패킷을 이용해서 요청될 것이며, 세션 내의 각각의 관심 패킷과 관련된 네임스페이스는 달라질 것이고, 클라이언트(30) 및 서버(60)에만 알려질 것이다. 따라서, 외부의 관찰자에게는, 제공되는 컨텐츠가 완전히 다른 네임스페이스와 관련되어 있는 것처럼 보일 것이고, 따라서 서로 관련이 없는 것처럼 보일 것이다. 비론 전송 순서로부터 컨텐츠의 순서를 추론할 수는 있지만, 네임스페이스를 변경하면 동일한 세션에 어느 패킷이 속하는지 위장할 수 있다. 이로써, 컨텐츠가 정확한 순서로 재조합되는 것을 매우 어렵게 할 수 있다. 또한, 이 컨텐츠는 전형적으로 요청받기 전까지는 네임스페이스와만 관련된다는 점을 고려하면, 다른 네트워크 노드가 관심 패킷을 재발행해서 서버(60)에 대한 스푸핑 공격으로 요청을 리플레이하려고 하는 경우에, 그 네임스페이스에서 동일한 컨텐츠를 이용할 수 없을 것이다. 나아가, 이는, 컨텐츠의 후속 부분에 할당된 각각의 추가 네임스페이스가 이전의 관심 패킷과 관련된 정보 및/또는 후속하는 컨텐츠 부분과 관련된 네임스페이스 사이에 데이지 체인 관계를 효율적으로 제공하는 제공 컨텐츠로부터 도출되는 경우가 될 것이다.
이하, 클라이언트(30)로부터의 요청에 응답해서 컨텐츠의 3부분(C3 -1, C3 -2, C3-3)을 서버(60)로부터 전송하기 위해서, 보안 세션이 수립되는 예를 고려한다.
도 2에 도시된 바와 같이, 컨텐츠의 제 1 부분(C3 -1)에 대한 관심 패킷이 보존 네임스페이스(80)에 어드레싱되며, 이는 도 2a에 도시되어 있다. 이하 상세하게 설명하는 바와 같이, 세션 식별자 부분(20)는 세션x의 값을 갖고 있으며, 이는 클라이언트(30) 및 서버(60)에게만 알려질 것이다. 세션x의 값이 보존 네임스페이스(80) 내의 임의의 값일 것이라는 것을 이해할 것이다.
컨텐츠(C3-1)를 수신한 이후에, 다음 네임스페이스(상세하게는 세션x+1의 값)가 서버(60)에 의해 계산되고, 이 다음 네임스페이스는 컨텐츠(C3-2)와 관련된 것이다.
세션x+1의 값은 클라이언트(30)에 의해서도 결정되며, 도 2b에 도시된 바와 같이 컨텐츠(C3 -2)에 대한 다음 관심 패킷이 네임스페이스로 어드레싱된다.
컨텐츠(C3-2)를 제공한 이후에, 서버(60)는 컨텐츠(C3-3)와 관련된 네임스페이스(상세하게는 세션x+2의 값)를 결정하고, 컨텐츠(C3-3)를 그 네임스페이스와 연관시킨다.
클라이언트(30)는 또한 컨텐츠(C3-3)에 대한 네임스페이스를 결정하고(세션x+2의 값을 결정함으로써), 그 네임스페이스에 대한 요청을 수행한다. 따라서, 세션 내에서 컨텐츠의 후속 부분이 서버(60)로부터 클라이언트(30)로 제공될 수 있다.
보안 세션
도 3은, 예컨대, 컨텐츠의 3 부분(C3 -1, C3 -2, C3 -3)의 요청에 대해서, 보안 세션에서 컨텐츠-중심 네트워크(40)를 통해서 컨텐츠를 수립시키고 전송할 때, 클라이언트(30)와 서버(60)에 의해 수행되는 메인 메시징 및 처리 단계를 나타내고 있다.
단계 S10에서, 서버(60)로부터의 컨텐츠에 대한 클라이언트(30)로부터의 요청에 응답해서, 예컨대 디피-헬만 키 교환과 같은 공지된 기법에 따라서, 클라이언트(30)와 서버(60) 사이에서 키 K1가 교환된다.
선택적으로, 클라이언트(30)와 서버(60)는, 암호화 키 K1를 이용하거나 혹은 오픈 교환을 통해서 암호화된 다른 정보를 교환할 수도 있다. 예컨대, 후속해서 사용될 수 있는 하나 이상의 해시 함수에 대한 세부 사항이 교환될 수도 있다. 유사하게, 세션 부분(20)의 초기값 세션x의 표시가 교환될 수 있다. 이 세션 부분(20)의 초기값은 클라이언트(30)나 서버(60)에 의해 선택되어서 서로 제공될 수 있다. 이 세션 부분(20)의 초기값은 오픈으로 제공될 수도 있고, 키 K1를 이용해서 암호화될 수도 있다. 다른 방안으로, 세션 부분(20)의 초기값이 키 K1에 의해 암호화되고, 해시 함수가 적용될 수도 있다. 또 다른 방안으로, 해시 함수를 키 K1에 적용해서 세션 부분(20)의 초기값이 결정될 수도 있다. 또 다른 방안으로, 클라이언트(30)와 서버(60) 모두에게 알려진 의사 랜덤 시퀀스 내의 초기 엔트리에 대한 포인터를 이용해서 세션 부분(20)의 초기값이 결정될 수도 있는데, 이는 오픈으로 송신될 수 있고, 해시 함수를 적용해서 혹은 적용하지 않고 암호화될 수 있다.
단계 S20에서, 클라이언트(30)와 서버(60)가 모두 동일한 동작을 수행해서 세션 부분(20)의 초기값 세션X를 결정하고, 따라서 초기 네임스페이스를 결정한다. 다른 방안으로, 클라이언트(30)가 네임스페이스의 세션 부분(20)의 초기값을 제공했다면, 서버(60)는 아무것도 행하지 않는다. 예컨대, 네임스페이스의 세션 부분(20)의 초기값이 클라이언트(30)와 서버(60) 사이에서 전송되는 오픈 메시지로부터 도출될 수도 있다. 다른 방안으로, 네임스페이스의 세션 부분(20)의 초기값이, 클라이언트(30)와 서버(60) 사이에서 교환되는 정보에 키 K1를 적용함으로써 결정될 수도 있다. 다른 방안으로 네임스페이스의 세션 부분(20)의 초기값이, 클라이언트(30)와 서버(60) 사이에서 교환되는 정보에 해시 함수와 키 K1를 적용함으로써 결정될 수도 있다. 다른 방안으로 초기 네임스페이스의 세션 부분(20)의 초기값이, 해시 함수를 키 K1에 적용함으로써 결정될 수 있다. 또 다른 방안으로, 세션 부분(20)의 초기값이 의사 랜덤 시퀀스의 초기 엔트리로부터 결정될 수 있다.
일단 서버(60)가 초기 네임스페이스를 결정했다면, 요청받은 컨텐츠는 네임스페이스(70)의 보존된 네임스페이스(80) 내에 있는 네임스페이스와 연관지어진다. 예컨대, 서버(60)는 컨텐츠(C3 -1)를 도 2a에 도시된 바와 같이 초기 네임스페이스와 연관시킬 수 있다.
단계 S30에서, 클라이언트(30)는 도 2a에 도시된 바와 같이 동일한 초기 네임스페이스를 이용해서 컨텐츠(C3-1)에 대한 관심 패킷을 컨텐츠-중심 네트워크(40)에 송신한다.
단계 S40에서, 서버(60)는 관심 패킷을 수신하고, 그 네임스페이스 내에서 컨텐츠를 관련시킨 엔트리를 찾는다. 이러한 엔트리가 존재하지 않거나 혹은 어떤 컨텐츠도 그 엔트리와 관련되어 있지 않다면, 어떤 추가적인 액션도 취해지지 않고, 에러 메시지가 제공된다. 그러나, 초기 네임스페이스가 네임스페이스(80)의 보존도니 부분(70) 내의 엔트리와 매칭된다면, 관련된 컨텐츠(C3-1)가 데이터 패킷 내에서 서버(60)에 의해서 클라이언트(30)로 제공된다.
단계 S50에서, 클라이언트(30) 및 서버(60)는 모두 컨텐츠의 다음 부분(C3 -2)에 대한 후속 네임스페이스를 결정한다. 상세하게, 클라이언트(30)와 서버(60) 모두 동일한 동작을 수행해서 세션 부분(20)의 다음 값 세션X+1을 결정한다. 이러한 결정은 다양한 방식으로 수행될 수 있다. 예컨대, 세션 부분(20)의 다음 값이 의사 랜덤 시퀀스 내의 다른 값으로부터 도출될 수 있는데, 이는 그 시퀀스 내의 이전 값으로부터의 사전 동의된 오프셋이 될 수도 있고, 혹은 단계 S40에서 제공된 컨텐츠로부터 도출된 오프셋에 기초할 수도 있다. 유사하게, 세션 부분(20)의 다음 값은 키 K1를 단계 S40에서 수신한 컨텐츠에 적용함으로써 도출될 수 있다. 다른 방안으로, 세션 부분(20)의 다음 값은 해시 함수를 단계 S40에서 수신한 컨텐츠에 적용함으로써 도출될 수 있다. 또 다른 방안으로, 세션 부분(20)의 다음 값은 키 혹은 해시 함수를 네임스페이스의 이전 부분에 적용함으로써 도출될 수 있다.
한편, 서버(60)는 네임스페이스(70)의 보존된 부분(80) 내에 엔트리를 작성하고, 도 2b에 도시된 바와 같이 데이터의 다음 부분(C3 -2)을 이 엔트리와 연관시킨다.
단계 S60에서, 클라이언트(30)는 컨텐츠(C3-2)의 관심 패킷를 도 2b에 도시된 초기 동일한 네임스페이스를 이용해서 컨텐츠 중심 네트워크(40)에 송신한다.
단계 S70에서, 서버(60)는 관심 패킷을 수신하고, 그 네임스페이스 내에서 관련 컨텐츠를 가진 엔트리를 찾는다. 이러한 엔트리가 존재하지 않거나, 어떤 컨텐츠도 그 엔트리와 관련되어 있지 않다면, 어떤 추가 액션도 취해지지 않거나 에러 메시지가 제공된다. 그러나, 초기 네임스페이스가 네임스페이스(80)의 보존 부분(70)의 엔트리와 매칭되면, 연관 컨텐츠(C3-2)가 서버(60)에 의해서 클라이언트(30)에 데이터 패킷으로 제공된다.
단계 S80에서, 세션이 완료되었는지 판정한다. 완료되었다면, 처리를 종료된다. 완료되지 않았다면, 처리를 단계(S50)로 돌아가서, 도 2c에 도시된 바와 같이 이전 네임스페이스 및/또는 수신한 컨텐츠의 이전 부분에 기초해서 세션 부분(20)의 다음 값이 판정된다.
따라서, 컨텐츠 중심 네트워크에서 사용하기 위한 기술이 제공된다는 것을 알 수 있다. 이러한 컨텐츠 중심 네트워크는 보안을 중시하고 있으며, 전형적으로 PKI(public key infrastructure) 암호화 시스템을 이용해서 모든 네트워크 패킷이 서명되어야 한다. 이로써 네트워크가 모든 패킷의 기원(origins)을 확인할 수는 있지만, 비대칭 암호화가 매우 저속이라는 점에서 성능에 크게 영향을 미친다. 이를 완화시키기 위해서, 본 실시예는 컨텐츠 중심 네트워크에 보안 세션을 제공하며, 이 세션은, 세션의 개시시에 일단 인증이 수행된 2개의 네트워크 노드 사이의 데이터 흐름이므로, 개개의 패킷은 서명될 필요가 없다.
컨텐츠 중심 네트워크 내에 보안 세션을 수립할 때, 통신한 부분들은 정보를 교환할 수 있는 네임스페이스에 동의해야 한다. 서버측에서 이 네임스페이스는, 입수 데이터가 주어진 세션에 속하는지 식별하는 역할을 한다. 입수 패킷이 어느 세션에 속하는지 인지함으로써, 서버는 패킷을 복호하는데 필요한 암호화 키를 검색할 수 있다. 서버는, 하나의 클라이언트와만 공유된 키를 이용함으로써, 그 키로의 액세스를 가진 유일한 다른 노드인 송신자의 신원을 암시적으로 확인할 수 있다. 이러한 세션 식별자로서의 역할 이외에는, 네임스페이스의 특정 값은 교환되고 있는 데이터와 직접 관련이 없으며, 임의의 수의 상이한 원리에 기초해서 선택될 수 있다. 상술한 네임스페이스 선택 원리를 이용함으로써, 다른 네임스페이스 선택 방식에서도, 관련 세션 트래픽의 상관 관계를 제거하는 것 및 세션 수립 메커니즘에 대한 리플레이 공격의 기회를 제거하는 것을 포함한 많은 이점을 달성할 수 있다.
대칭형 암호화키와 같은 공유된 시크릿에 동의함으로써, 컨텐츠 중심 네트워크 내의 2개의 노드가 자신들만이 이해할 수 있는 데이터의 스트림인 세션을 수립시킬 수 있다. 보안 해시 함수를 이용하는 실시예에서는, 엔드포인트가 통신에 이용할 네임스페이스를 연속해서 변경함으로써, 세션에 추가적인 보안 레이어를 제공한다.
도 4에 도시된 바와 같이, 이러한 방식에서는, 엔드포인트가 변경하는 암호화된 트래픽을 해싱함으로써 네임스페이스 데이지 체인이 생성된다. 각각의 네임스페이스는 단독으로 사용되고, 데이지 체인의 전개는 참여 중인 노드에 의해서만 예측될 수 있다. 전형적으로, 컨텐츠 중심 네트워크에서 엔드포인트 사이의 보안 세션은, 우선 엔드포인트 사이에 공유된 시크릿 즉 암호화 키를 수립시킴으로써 수립된다. 이로써, 이들은 키가 유효한 네임스페이스에 동의하고, 그 네임스페이스 내에서 발생하는 이후의 모든 통신은 데이터를 암호화하고 복호화하는데 이 공유키를 이용해야 한다. 그러나, 실시예에서, 클라이언트는 관심 패킷 I0를 서버에 발행함으로써 보안 세션 수립을 개시한다. I0는 클라이언트와 서버 사이의 공유 시크릿(암호화 키)를 수립하는데 사용되는 전형적인 디피-헬만 핸드셰이크의 절반을 포함한다. 이후에 서버는 공유 키 ksym를 계산하고, ksym를 도출하는데 필요한 정보를 이용해서 데이터 패킷을 클라이언트에 발행한다. 그러나, 통신한 부분들 사이에서는 ksym 자체가 전송되는 것은 아니며, 이것이 디피-헬만 키 교환 알고리즘의 중심 개념이라는 점에 주의한다. ksym가 클라이언트와 서버에게만 알려지기 때문에, 이는 다음 관심 패킷의 네임스페이스 타겟을 세션에 수립하는데 사용될 수 있다. 이는 공지된 해시 함수 h()를 ksym에 적용함으로써 행해진다. H(ksym)를 통해서, ksym로부터 도출된 공지된 길이의 값 n0이 나오지만, 이로부터는 ksym가 결정될 수 없다. 이후, 보안 세션의 네임스페이스 타겟이 (서버명)/보안/n0과 같이 수립된다. 역시, ksym와 같이, n0는 서버와 클라이언트에게만 알려진다. 그러나, 이는 클라이언트가 발행하는 다음 관심 패킷 I1 내에서 평문으로 전송될 것이다. 이는 컨텐츠 중심 네트워크의 라우팅 프로토콜의 기능에 필요하고, 이는 공격자가 클라이언트와 서버 사이의 통신을 위해서 다음의 유효한 네임스페이스를 예측하는 것을 불가능하게 한다.
서버는 I1를 수신하면, I1의 타겟 네임스페이스에 의해 표시된 키로 패킷의 암호화된 부분을 복호하려고 할 것이다. 이것이 유효한 관심 패킷이라면, 이에 응답해서 데이터 패킷 D1을 생성하고, 이를 클라이언트에 송신할 것이다. I1와 같이, D1는 암호화된 부분(네임스페이스와 데이터 페이로드의 일부) 및 암호화되지 않은 부분(라우팅 정보)을 모두 갖고 있다. D1가 서버로부터 디스패치될 준비가 되면, 서버는 진행중인 세션과 관련된 네임스페이스를 업데이트할 것이다. n0를 h()에 대한 시드로서 이용하고, 이후에 이를 이용해서 D1의 암호화된 컨텐츠를 해시함으로써, 새로운 해시값 n1이 작성된다. 다음에 클라이언트가 관심 패킷을 서버에 송신하고자 할 때, /(서버명)/보안/n0 대신 /(서버명)/보안/n1를 타겟으로 해야할 것이다.
이러한 원리를 이용해서, 네임스페이스 시퀀스 n0, n1, n2,..., nk가 생성되고, 여기서 각각의 개별적인 네임스페이스는 하나의 트랜잭션에 대해서만 유효하다. 시퀀스의 모든 ni는 단 한번만 평문에 노출될 것이고, 그 이후에는 추가 사용이 불가능하다. 나아가, 클라이언트와 서버 사이에는 어떤 정보도 교환되지 않으므로, 도청자는 ni의 평문으로부터 ni + 1를 도출하는 것이 불가능할 것이다. 세션 키 ksym를 소유한 노드 및 클라이언트와 서버 사이에서 교환되는 모든 이전 메시지에 대한 프리비(privy)만이 적절한 네임스페이스 시퀀스를 도출할 수 있다.
클라이언트와 서버가 같은 키 ksym를 공유하고 있다는 사실을 이용함으로써, 모든 엔드포인트는 자신들 사이의 통신이 방해받지 않는 한, 어떻게 네임스페이스가 전개되는지(evolves) 예측할 수 있다. 따라서, 관심 패킷을 /(서버명)/sec/nk +i에 송신할 수 있게 함으로써, 클라이언트는, 서버가 Dk를 포함한 지금까지 송신한 모든 것을(이것만을) 수신해서 복호했다는 것을 암시적으로 증명한다.
보안 세션 네임스페이스를 전개하는 이러한 데이지 체이닝 해시값의 방식은 많이 이점을 제공한다. 예컨대, 고정된 즉, 예측 가능한 세션 식별자를 이용하는 방식과는 달리, 침입자가 리플레이 어택을 수행해서 세션 수립 핸드셰이크를 최종 확인하는 것은 수행될 수 없다. 또한, 도청자는 어느 데이터가 동일 세션에 속하는지 연관시킬 수 없다. 이는, ksym 없이는 ni로부터는 ni +1가 계산될 수 없으므로, 도청자가 네임스페이스가 세션에서 어떻게 전개되는지 예측할 수 없기 때문이다. 따라서, 2개의 연속하는 관심 패킷이 동일 세션의 일부인지 다른 세션의 일부인지 판정할 수 없다. 그러나, 침입자는 관심 패킷이 몇가지 세션의 일부인지 여부를 말할 수 있을 것이다. 또한, 세션 내의 데이터가 어떠한 방식으로(패킷이 주입되거나, 제거되거나 변경) 조작되면, 클라이언트와 서버 사이의 통신은 즉시 실패로 되고, 통신을 계속하기 위해서는 새로운 통신 세션을 수립해야할 것이다. 이는, 어떤 관심 패킷이 응답으로 하나의 데이터 패킷을 도출해 내어도 새로운 관심 패킷의 전송에는 실패하는 컨텐츠 중심 네트워크의 라우팅 원리와 유사하다. 그러나, 이 방식에서의 한가지 단점은, 패킷 손실 및/또는 패킷 변질(packet corruption)이 높은 전송 채널에서 사용하기엔 적합하지 않다는 점이다. 이는 어떤 오류가 발생하면 세션이 재설정(핸드셰이크의 오버헤드를 포함한)해야 하고, 전송 매체에서의 오류율이 높으면 전송 성능을 상당히 저하시킬 것이기 때문이다.
따라서, 본 방식은, 컨텐츠 중심 네트워크의 호스트 사이에서 높은 스루풋의 보안 세션에서 전송되는 관련 네트워크 패킷 사이의 상관 관계를 해제(de-correlation)함으로써 다른 공지된 해법에 비해서 추가 데이터 보안을 제공한다. 제공되는 보안은 많은 상업 애플리케이션에서의 키 이네이블러(key enabler)이다. 이 방법은 네트워크 보안의 다른 부분을 포함하는 일 없이 컨텐츠 중심 네트워크 세션에 보안 계층을 추가한다.
도 4로부터 알 수 있는 바와 같이, 공유된 시크릿로부터 초기 네임스페이스 n0가 생성된다. 각각의 입수 관심 패킷에 대해서, 컨텐츠 제공자는 암호화되지 않은 부분(라우팅 정보) 및 암호화된 부분(시크릿 경로 및 페이로드 부분)을 모두 포함하는 데이터 패킷을 리턴한다. 이전 네임스페이스 nk -1 및 응답 패킷의 암호화된 부분 Dk을 해싱함으로써 네임스페이스 nk, k>0가 생성된다. 각각의 네임스페이스는 한번의 사용에만 유효하다.
보안을 더 강화하기 위해서, 클라이언트와 서버 사이에서 오픈으로 전송되는 데이터에 당업계에 공지된 '솔팅(salting)' 기술을 수행해서, 후속하는 컨텐츠 식별자 부분(22)이 상관된다는 것을 감추고(mask), 상관 관계 해제를 증가시킨다.
당업자라면, 상기 설명한 다양한 방법의 단계가 프로그래밍된 컴퓨터에 의해 수행될 수 있다는 것을 이해할 것이다. 여기서, 일부 실시예는 또한, 예컨대, 머신 혹은 컴퓨터 판독 가능하며, 인스트럭션의 머신-실행 가능 혹은 컴퓨터-실행 가능 프로그램을 인코딩하는 디지털 데이터 저장 매체와 같은, 프로그램 저장 장치를 포함하는 것으로 했으며, 여기서 인스트럭션은 상기 설명한 방법의 단계 전체 혹은 일부를 수행한다. 프로그램 저장 장치는 예컨대, 디지털 메모리, 자기 디스크 및 자기 테이프와 같은 자기 저장 매체, 하드드라이브, 혹은 광학 판독 가능 디지털 데이터 저장 매체가 될 수 있다. 이 실시예는 상기 설명한 방법의 단계를 수행하도록 프로그래밍된 컴퓨터를 커버하는 것으로 했다.
'프로세서' 혹은 '로직'으로 표시된 임의의 기능 블록을 포함한, 도면에 도시된 다양한 구성 요소의 기능은, 적절한 소프트웨어와 관련된, 전용 하드웨어 및 소프트웨어를 실행할 수 있는 하드웨어를 사용해서 제공될 수 있다. 프로세서에 의해 제공될 때, 이 기능은 하나의 전용 프로세서에 의해서, 하나의 공유된 프로세서에 의해, 혹은 복수의 개개의 프로세서에 의해서 제공될 수 있으며, 그 일부는 공유될 수 있다. 나아가, '프로세서' 혹은 '컨트롤러' 혹은 '로직'이라고 명확하게 사용한다고 해서, 소프트웨어를 실행할 수 있는 하드웨어만을 가리키는 것으로 해석되어서는 안되며, DSP(digital signal processor) 하드웨어, 네트워크 프로세서, ASIC, FPGA, 소프트웨어를 저장하는 ROM, RAM 및 비휘발성 저장부를 암시적으로 포함할 수 있으며, 이것으로 한정되는 것은 아니다. 종래의 및/또는 통상의 다른 하드웨어도 포함될 수 있다. 유사하게, 도면에 도시된 임의의 스위치는 단지 개념적인 것이다. 프로그램 로직의 동작을 통해서, 전용 로직을 통해서, 프로그램 제어 및 전용 로직의 인터렉트를 통해서, 혹은 수동으로 다른 기능이 수행될 수 있으며, 명세서로부터 명확하게 이해할 수 있는 바와 같이, 실시자는 특정 기술을 선택할 수 있다.
당업자라면, 임의의 블록도는 본 발명의 원리를 실시하는 예시적인 회로의 개념도를 나타내는 것이라는 것을 이해할 것이다. 유사하게, 임의의 흐름도, 상태 천이도, 의사 코드 등은, 컴퓨터 판독 가능 매체에 실질적으로 표현될 수 있으며, 따라서 컴퓨터 혹은 프로세서가 명확하게 도시되어 있지 않더라도 컴퓨터 혹은 프로세서에 의해 실행되는, 다양한 처리를 나타내는 것이라는 것을 이해할 것이다.
상세한 설명 및 도면은 단지 본 발명의 원리를 나타내는 것이다. 따라서, 당업자라면, 여기에 명확하게 설명 혹은 도시되지 않지만, 본 발명의 원리를 실시하고 그 사상 및 범주 내에 포함되는 다양한 구성을 안출할 수 있을 것이다. 또한, 여기 개시된 모든 예는 본 명세서를 읽고 발명자가 기술을 발전시키는데 기여한 본 발명의 원리 및 개념을 이해하는데 도움을 주기 위한 단지 설명의 목적으로 원리적으로 표현된 것으로, 이러한 특별하게 개시된 예 및 조건으로 한정되는 것은 아니다. 또한, 본 발명의 원리, 측면 및 실시예에 대한 모든 설명 및 특정한 예는 그 등가물을 포함하는 것으로 했다.

Claims (15)

  1. 컨텐츠 중심 네트워크의 클라이언트와 서버 사이에서 데이터 패킷의 스트림의 전송을 위한 보안 세션을 수립하는 방법에 있어서,
    상기 서버와 상기 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하는 단계와,
    상기 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하는 단계와,
    상기 제 1 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 제 1 데이터 패킷에 대한 상기 클라이언트로부터 상기 서버로의 제 1 요청의 제 1 네임스페이스에 포함시키는 단계와,
    상기 제 1 데이터 패킷의 전송에 기초하며, 상기 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와,
    상기 후속 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 상기 클라이언트로부터 상기 서버로의 후속 요청의 후속 네임스페이스에 포함시키는 단계를 포함하는
    보안 세션 수립 방법.
  2. 제 1 항에 있어서,
    상기 제 1 네임스페이스 부분 표시는 상기 클라이언트와 상기 서버가 공유하고 있는 암호화 키를 포함하고, 상기 제 1 네임스페이스 부분은 상기 암호화 키로부터 도출되는
    보안 세션 수립 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 1 네임스페이스 부분 표시는 상기 클라이언트와 상기 서버가 공유하고 있는 암호화 키를 포함하고, 상기 제 1 네임스페이스 부분은, 상기 클라이언트와 상기 서버가 공유하고 있으며 상기 암호화 키에 적용되는 해시 함수로부터 도출되는
    보안 세션 수립 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 네임스페이스 부분 표시는 상기 클라이언트와 상기 서버가 공유하고 있는 암호화 키에 의해 암호화된 상기 제 1 네임스페이스 부분을 포함하고, 상기 제 1 네임스페이스 부분은 상기 제 1 네임스페이스 부분 표시를 상기 암호화 키를 이용해서 복호함으로써 도출되는
    보안 세션 수립 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 후속 네임스페이스 부분 표시는 상기 클라이언트와 상기 서버가 공유하고 있는 암호화 키에 의해 암호화된 상기 제 1 데이터 패킷을 포함하고, 상기 후속 네임스페이스 부분은 상기 제 1 데이터 패킷으로부터 도출되는
    보안 세션 수립 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 후속 네임스페이스 부분은, 상기 제 1 데이터 패킷을 암호화 키를 이용해서 복호함으로써 상기 제 1 데이터 패킷으로부터 도출되는 것, 및 상기 제 1 데이터 패킷에 적용되는 해시 함수로부터 도출되는 것 중 하나인
    보안 세션 수립 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 후속 네임스페이스 부분은 상기 제 1 데이터 패킷 및 상기 제 1 네임스페이스 부분에 적용되는 해시 함수로부터 도출되는
    보안 세션 수립 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 제 1 네임스페이스 부분은, 의사 랜덤 값의 시퀀스에서 선택된 값 및 랜덤 값 중 하나를 포함하는
    보안 세션 수립 방법.
  9. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 후속 네임스페이스 부분은, 상기 의사 랜덤 값의 시퀀스에서 선택된 다른 값 및 다른 랜덤 값 중 하나를 포함하는
    보안 세션 수립 방법.
  10. 제 1 항 내지 제 9 항 중 어느 한 항에 있어서,
    이전의 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와,
    상기 후속 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 상기 클라이언트로부터 상기 서버로의 후속 요청의 후속 네임스페이스에 포함시키는 단계를 포함하는
    보안 세션 수립 방법.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 있어서,
    변경되지 않는 컨텐츠 식별자를 갖고 있는, 상기 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 요청의 네임스페이스에 대해서, 상기 클라이언트와 상기 서버가 공유하고 있는 솔트 함수(salt function)를 상기 컨텐츠 식별자에 적용해서 그 가변성을 증가시키는 단계를 포함하는
    보안 세션 수립 방법.
  12. 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림의 전송을 위한 보안 세션을 수립하도록 동작가능한 클라이언트에 있어서,
    상기 서버와 상기 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하도록 동작하는 교환 로직과,
    상기 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하고, 상기 데이터 패킷의 스트림의 제 1 데이터 패킷에 대한 상기 서버로의 제 1 요청의 제 1 네임스페이스에 상기 제 1 네임스페이스 부분을 포함시키도록 동작하고, 또한 상기 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하고, 상기 데이터 패킷의 스트림의 후속 데이터 패킷에 대한 상기 서버로의 후속 요청의 후속 네임스페이스에 상기 후속 네임스페이스 부분을 포함시키도록 동작하는 도출 로직을 포함하는
    클라이언트.
  13. 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림의 전송을 위한 보안 세션을 수립하는 방법에 있어서,
    상기 서버와 상기 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하는 단계와,
    상기 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하는 단계와,
    상기 제 1 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 제 1 데이터 패킷과 연관된 제 1 네임스페이스에 포함시키는 단계와,
    상기 제 1 데이터 패킷의 전송에 기초하며 상기 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하는 단계와,
    상기 후속 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 후속 데이터 패킷과 연관된 후속 네임스페이스에 포함시키는 단계를 포함하는
    보안 세션 수립 방법.
  14. 컨텐츠 중심 네트워크의 서버와 클라이언트 사이에서 데이터 패킷의 스트림의 전송을 위한 보안 세션을 수립하도록 동작가능한 서버에 있어서,
    상기 서버와 상기 클라이언트 사이에서 제 1 네임스페이스 부분 표시를 교환하도록 동작하는 교환 로직과,
    상기 제 1 네임스페이스 부분 표시로부터 제 1 네임스페이스 부분을 도출하도록 동작하는 도출 로직과,
    상기 제 1 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 제 1 데이터 패킷과 연관된 제 1 네임스페이스에 포함시키도록 동작하는 포함 로직을 포함하고,
    상기 도출 로직은, 상기 제 1 데이터 패킷의 전송에 기초하며 상기 제 1 네임스페이스 부분과는 상이한 후속 네임스페이스 부분을 도출하도록 동작하고,
    상기 포함 로직은, 상기 후속 네임스페이스 부분을, 상기 데이터 패킷의 스트림의 후속 데이터 패킷과 관련된 후속 네임스페이스에 포함시키도록 동작하는
    서버.
  15. 컴퓨터에서 실행될 때, 청구항 1 내지 청구항 11, 또는 청구항 13 중 어느 한 항에 개시된 방법의 단계들을 수행하도록 동작하는 컴퓨터 프로그램 제품.
KR1020147024005A 2012-02-28 2013-02-12 컨텐츠 중심 네트워킹 KR101593864B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12360010.8 2012-02-28
EP12360010.8A EP2634991B1 (en) 2012-02-28 2012-02-28 Content-centric networking
PCT/EP2013/000405 WO2013127492A1 (en) 2012-02-28 2013-02-12 Content-centric networking

Publications (2)

Publication Number Publication Date
KR20140119780A true KR20140119780A (ko) 2014-10-10
KR101593864B1 KR101593864B1 (ko) 2016-02-15

Family

ID=47740896

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147024005A KR101593864B1 (ko) 2012-02-28 2013-02-12 컨텐츠 중심 네트워킹

Country Status (6)

Country Link
US (1) US9338150B2 (ko)
EP (1) EP2634991B1 (ko)
JP (1) JP5893765B2 (ko)
KR (1) KR101593864B1 (ko)
CN (1) CN104160674B (ko)
WO (1) WO2013127492A1 (ko)

Families Citing this family (162)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9456054B2 (en) 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US8923293B2 (en) 2009-10-21 2014-12-30 Palo Alto Research Center Incorporated Adaptive multi-interface use for content networking
US9521439B1 (en) * 2011-10-04 2016-12-13 Cisco Technology, Inc. Systems and methods for correlating multiple TCP sessions for a video transfer
US9280546B2 (en) 2012-10-31 2016-03-08 Palo Alto Research Center Incorporated System and method for accessing digital content using a location-independent name
US9400800B2 (en) 2012-11-19 2016-07-26 Palo Alto Research Center Incorporated Data transport by named content synchronization
US10430839B2 (en) 2012-12-12 2019-10-01 Cisco Technology, Inc. Distributed advertisement insertion in content-centric networks
US9978025B2 (en) 2013-03-20 2018-05-22 Cisco Technology, Inc. Ordered-element naming for name-based packet forwarding
US9935791B2 (en) 2013-05-20 2018-04-03 Cisco Technology, Inc. Method and system for name resolution across heterogeneous architectures
US9917918B2 (en) * 2013-07-31 2018-03-13 Samsung Electronics Co., Ltd. Method and apparatus for delivering content from content store in content-centric networking
US9444722B2 (en) 2013-08-01 2016-09-13 Palo Alto Research Center Incorporated Method and apparatus for configuring routing paths in a custodian-based routing architecture
US9407549B2 (en) 2013-10-29 2016-08-02 Palo Alto Research Center Incorporated System and method for hash-based forwarding of packets with hierarchically structured variable-length identifiers
US9276840B2 (en) 2013-10-30 2016-03-01 Palo Alto Research Center Incorporated Interest messages with a payload for a named data network
US9401864B2 (en) 2013-10-31 2016-07-26 Palo Alto Research Center Incorporated Express header for packets with hierarchically structured variable-length identifiers
US10101801B2 (en) 2013-11-13 2018-10-16 Cisco Technology, Inc. Method and apparatus for prefetching content in a data stream
US9311377B2 (en) 2013-11-13 2016-04-12 Palo Alto Research Center Incorporated Method and apparatus for performing server handoff in a name-based content distribution system
US10129365B2 (en) 2013-11-13 2018-11-13 Cisco Technology, Inc. Method and apparatus for pre-fetching remote content based on static and dynamic recommendations
US10089655B2 (en) 2013-11-27 2018-10-02 Cisco Technology, Inc. Method and apparatus for scalable data broadcasting
US9503358B2 (en) 2013-12-05 2016-11-22 Palo Alto Research Center Incorporated Distance-based routing in an information-centric network
US9379979B2 (en) 2014-01-14 2016-06-28 Palo Alto Research Center Incorporated Method and apparatus for establishing a virtual interface for a set of mutual-listener devices
US9313030B2 (en) * 2014-01-22 2016-04-12 Futurewei Technologies, Inc. Method and apparatus for secure ad hoc group device-to-device communication in information-centric network
US10172068B2 (en) 2014-01-22 2019-01-01 Cisco Technology, Inc. Service-oriented routing in software-defined MANETs
US10098051B2 (en) 2014-01-22 2018-10-09 Cisco Technology, Inc. Gateways and routing in software-defined manets
US9374304B2 (en) 2014-01-24 2016-06-21 Palo Alto Research Center Incorporated End-to end route tracing over a named-data network
US9954678B2 (en) 2014-02-06 2018-04-24 Cisco Technology, Inc. Content-based transport security
US9531679B2 (en) * 2014-02-06 2016-12-27 Palo Alto Research Center Incorporated Content-based transport security for distributed producers
US9678998B2 (en) 2014-02-28 2017-06-13 Cisco Technology, Inc. Content name resolution for information centric networking
US10089651B2 (en) 2014-03-03 2018-10-02 Cisco Technology, Inc. Method and apparatus for streaming advertisements in a scalable data broadcasting system
US9836540B2 (en) 2014-03-04 2017-12-05 Cisco Technology, Inc. System and method for direct storage access in a content-centric network
US9626413B2 (en) 2014-03-10 2017-04-18 Cisco Systems, Inc. System and method for ranking content popularity in a content-centric network
US9473405B2 (en) 2014-03-10 2016-10-18 Palo Alto Research Center Incorporated Concurrent hashes and sub-hashes on data streams
US9391896B2 (en) 2014-03-10 2016-07-12 Palo Alto Research Center Incorporated System and method for packet forwarding using a conjunctive normal form strategy in a content-centric network
US9407432B2 (en) 2014-03-19 2016-08-02 Palo Alto Research Center Incorporated System and method for efficient and secure distribution of digital content
US9916601B2 (en) 2014-03-21 2018-03-13 Cisco Technology, Inc. Marketplace for presenting advertisements in a scalable data broadcasting system
US9363179B2 (en) 2014-03-26 2016-06-07 Palo Alto Research Center Incorporated Multi-publisher routing protocol for named data networks
US10063476B2 (en) * 2014-03-28 2018-08-28 Research & Business Foundation Sungkyunkwan University Content centric networking system providing differentiated service and method of controlling data traffic in content centric networking providing differentiated service
US9363086B2 (en) 2014-03-31 2016-06-07 Palo Alto Research Center Incorporated Aggregate signing of data in content centric networking
US9716622B2 (en) 2014-04-01 2017-07-25 Cisco Technology, Inc. System and method for dynamic name configuration in content-centric networks
US9390289B2 (en) * 2014-04-07 2016-07-12 Palo Alto Research Center Incorporated Secure collection synchronization using matched network names
US10075521B2 (en) 2014-04-07 2018-09-11 Cisco Technology, Inc. Collection synchronization using equality matched network names
US9473576B2 (en) 2014-04-07 2016-10-18 Palo Alto Research Center Incorporated Service discovery using collection synchronization with exact names
US9451032B2 (en) 2014-04-10 2016-09-20 Palo Alto Research Center Incorporated System and method for simple service discovery in content-centric networks
US9203885B2 (en) * 2014-04-28 2015-12-01 Palo Alto Research Center Incorporated Method and apparatus for exchanging bidirectional streams over a content centric network
US9992281B2 (en) 2014-05-01 2018-06-05 Cisco Technology, Inc. Accountable content stores for information centric networks
US9609014B2 (en) 2014-05-22 2017-03-28 Cisco Systems, Inc. Method and apparatus for preventing insertion of malicious content at a named data network router
US9455835B2 (en) 2014-05-23 2016-09-27 Palo Alto Research Center Incorporated System and method for circular link resolution with hash-based names in content-centric networks
US9276751B2 (en) 2014-05-28 2016-03-01 Palo Alto Research Center Incorporated System and method for circular link resolution with computable hash-based names in content-centric networks
US9537719B2 (en) 2014-06-19 2017-01-03 Palo Alto Research Center Incorporated Method and apparatus for deploying a minimal-cost CCN topology
US9516144B2 (en) 2014-06-19 2016-12-06 Palo Alto Research Center Incorporated Cut-through forwarding of CCNx message fragments with IP encapsulation
US9426113B2 (en) 2014-06-30 2016-08-23 Palo Alto Research Center Incorporated System and method for managing devices over a content centric network
US9699198B2 (en) 2014-07-07 2017-07-04 Cisco Technology, Inc. System and method for parallel secure content bootstrapping in content-centric networks
US9959156B2 (en) 2014-07-17 2018-05-01 Cisco Technology, Inc. Interest return control message
US9621354B2 (en) 2014-07-17 2017-04-11 Cisco Systems, Inc. Reconstructable content objects
US9590887B2 (en) 2014-07-18 2017-03-07 Cisco Systems, Inc. Method and system for keeping interest alive in a content centric network
US9729616B2 (en) 2014-07-18 2017-08-08 Cisco Technology, Inc. Reputation-based strategy for forwarding and responding to interests over a content centric network
US9535968B2 (en) 2014-07-21 2017-01-03 Palo Alto Research Center Incorporated System for distributing nameless objects using self-certifying names
US9882964B2 (en) 2014-08-08 2018-01-30 Cisco Technology, Inc. Explicit strategy feedback in name-based forwarding
US9503365B2 (en) 2014-08-11 2016-11-22 Palo Alto Research Center Incorporated Reputation-based instruction processing over an information centric network
US9729662B2 (en) 2014-08-11 2017-08-08 Cisco Technology, Inc. Probabilistic lazy-forwarding technique without validation in a content centric network
US9391777B2 (en) * 2014-08-15 2016-07-12 Palo Alto Research Center Incorporated System and method for performing key resolution over a content centric network
US9800637B2 (en) 2014-08-19 2017-10-24 Cisco Technology, Inc. System and method for all-in-one content stream in content-centric networks
US9467492B2 (en) 2014-08-19 2016-10-11 Palo Alto Research Center Incorporated System and method for reconstructable all-in-one content stream
US9497282B2 (en) 2014-08-27 2016-11-15 Palo Alto Research Center Incorporated Network coding for content-centric network
US10204013B2 (en) 2014-09-03 2019-02-12 Cisco Technology, Inc. System and method for maintaining a distributed and fault-tolerant state over an information centric network
US9553812B2 (en) 2014-09-09 2017-01-24 Palo Alto Research Center Incorporated Interest keep alives at intermediate routers in a CCN
US10069933B2 (en) 2014-10-23 2018-09-04 Cisco Technology, Inc. System and method for creating virtual interfaces based on network characteristics
CN104410635B (zh) * 2014-11-27 2017-10-31 中国科学院计算机网络信息中心 一种基于dane的ndn安全认证方法
US9590948B2 (en) 2014-12-15 2017-03-07 Cisco Systems, Inc. CCN routing using hardware-assisted hash tables
US9536059B2 (en) 2014-12-15 2017-01-03 Palo Alto Research Center Incorporated Method and system for verifying renamed content using manifests in a content centric network
US10237189B2 (en) 2014-12-16 2019-03-19 Cisco Technology, Inc. System and method for distance-based interest forwarding
US9846881B2 (en) 2014-12-19 2017-12-19 Palo Alto Research Center Incorporated Frugal user engagement help systems
US10003520B2 (en) 2014-12-22 2018-06-19 Cisco Technology, Inc. System and method for efficient name-based content routing using link-state information in information-centric networks
US9473475B2 (en) 2014-12-22 2016-10-18 Palo Alto Research Center Incorporated Low-cost authenticated signing delegation in content centric networking
US9660825B2 (en) 2014-12-24 2017-05-23 Cisco Technology, Inc. System and method for multi-source multicasting in content-centric networks
US9832291B2 (en) 2015-01-12 2017-11-28 Cisco Technology, Inc. Auto-configurable transport stack
US9602596B2 (en) 2015-01-12 2017-03-21 Cisco Systems, Inc. Peer-to-peer sharing in a content centric network
US9954795B2 (en) 2015-01-12 2018-04-24 Cisco Technology, Inc. Resource allocation using CCN manifests
US9946743B2 (en) 2015-01-12 2018-04-17 Cisco Technology, Inc. Order encoded manifests in a content centric network
US9916457B2 (en) 2015-01-12 2018-03-13 Cisco Technology, Inc. Decoupled name security binding for CCN objects
US9462006B2 (en) 2015-01-21 2016-10-04 Palo Alto Research Center Incorporated Network-layer application-specific trust model
EP3251326B1 (en) * 2015-01-30 2021-01-27 IDAC Holdings, Inc. Methods and systems for anchoring hypertext transfer protocol (http) level services in an information centric network (icn)
US9552493B2 (en) 2015-02-03 2017-01-24 Palo Alto Research Center Incorporated Access control framework for information centric networking
US10333840B2 (en) 2015-02-06 2019-06-25 Cisco Technology, Inc. System and method for on-demand content exchange with adaptive naming in information-centric networks
US10075401B2 (en) 2015-03-18 2018-09-11 Cisco Technology, Inc. Pending interest table behavior
US9338147B1 (en) * 2015-04-24 2016-05-10 Extrahop Networks, Inc. Secure communication secret sharing
US10116605B2 (en) 2015-06-22 2018-10-30 Cisco Technology, Inc. Transport stack name scheme and identity management
US10075402B2 (en) 2015-06-24 2018-09-11 Cisco Technology, Inc. Flexible command and control in content centric networks
US10701038B2 (en) * 2015-07-27 2020-06-30 Cisco Technology, Inc. Content negotiation in a content centric network
US9986034B2 (en) 2015-08-03 2018-05-29 Cisco Technology, Inc. Transferring state in content centric network stacks
US10610144B2 (en) 2015-08-19 2020-04-07 Palo Alto Research Center Incorporated Interactive remote patient monitoring and condition management intervention system
US9832123B2 (en) 2015-09-11 2017-11-28 Cisco Technology, Inc. Network named fragments in a content centric network
US10355999B2 (en) 2015-09-23 2019-07-16 Cisco Technology, Inc. Flow control with network named fragments
US9977809B2 (en) 2015-09-24 2018-05-22 Cisco Technology, Inc. Information and data framework in a content centric network
US10313227B2 (en) 2015-09-24 2019-06-04 Cisco Technology, Inc. System and method for eliminating undetected interest looping in information-centric networks
US10454820B2 (en) 2015-09-29 2019-10-22 Cisco Technology, Inc. System and method for stateless information-centric networking
US10263965B2 (en) 2015-10-16 2019-04-16 Cisco Technology, Inc. Encrypted CCNx
US9794238B2 (en) 2015-10-29 2017-10-17 Cisco Technology, Inc. System for key exchange in a content centric network
US9807205B2 (en) 2015-11-02 2017-10-31 Cisco Technology, Inc. Header compression for CCN messages using dictionary
US10009446B2 (en) 2015-11-02 2018-06-26 Cisco Technology, Inc. Header compression for CCN messages using dictionary learning
US10021222B2 (en) 2015-11-04 2018-07-10 Cisco Technology, Inc. Bit-aligned header compression for CCN messages using dictionary
US10097521B2 (en) 2015-11-20 2018-10-09 Cisco Technology, Inc. Transparent encryption in a content centric network
US9912776B2 (en) 2015-12-02 2018-03-06 Cisco Technology, Inc. Explicit content deletion commands in a content centric network
US10097346B2 (en) 2015-12-09 2018-10-09 Cisco Technology, Inc. Key catalogs in a content centric network
US10078062B2 (en) 2015-12-15 2018-09-18 Palo Alto Research Center Incorporated Device health estimation by combining contextual information with sensor data
US10257271B2 (en) 2016-01-11 2019-04-09 Cisco Technology, Inc. Chandra-Toueg consensus in a content centric network
US9949301B2 (en) 2016-01-20 2018-04-17 Palo Alto Research Center Incorporated Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks
US10305864B2 (en) * 2016-01-25 2019-05-28 Cisco Technology, Inc. Method and system for interest encryption in a content centric network
US10043016B2 (en) 2016-02-29 2018-08-07 Cisco Technology, Inc. Method and system for name encryption agreement in a content centric network
US10003507B2 (en) 2016-03-04 2018-06-19 Cisco Technology, Inc. Transport session state protocol
US10742596B2 (en) 2016-03-04 2020-08-11 Cisco Technology, Inc. Method and system for reducing a collision probability of hash-based names using a publisher identifier
US10051071B2 (en) 2016-03-04 2018-08-14 Cisco Technology, Inc. Method and system for collecting historical network information in a content centric network
US10038633B2 (en) 2016-03-04 2018-07-31 Cisco Technology, Inc. Protocol to query for historical network information in a content centric network
US9832116B2 (en) 2016-03-14 2017-11-28 Cisco Technology, Inc. Adjusting entries in a forwarding information base in a content centric network
US10212196B2 (en) 2016-03-16 2019-02-19 Cisco Technology, Inc. Interface discovery and authentication in a name-based network
US11436656B2 (en) 2016-03-18 2022-09-06 Palo Alto Research Center Incorporated System and method for a real-time egocentric collaborative filter on large datasets
US10067948B2 (en) 2016-03-18 2018-09-04 Cisco Technology, Inc. Data deduping in content centric networking manifests
US10505734B2 (en) 2016-03-18 2019-12-10 Raymond Edward Ozzie Providing low risk exceptional access
US10091330B2 (en) 2016-03-23 2018-10-02 Cisco Technology, Inc. Interest scheduling by an information and data framework in a content centric network
US10033639B2 (en) 2016-03-25 2018-07-24 Cisco Technology, Inc. System and method for routing packets in a content centric network using anonymous datagrams
US10320760B2 (en) 2016-04-01 2019-06-11 Cisco Technology, Inc. Method and system for mutating and caching content in a content centric network
US9930146B2 (en) 2016-04-04 2018-03-27 Cisco Technology, Inc. System and method for compressing content centric networking messages
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
US10027578B2 (en) 2016-04-11 2018-07-17 Cisco Technology, Inc. Method and system for routable prefix queries in a content centric network
US20170302631A1 (en) * 2016-04-18 2017-10-19 Cisco Technology, Inc. Method and system for routing with minimum name disclosure in a content centric network
US10404450B2 (en) * 2016-05-02 2019-09-03 Cisco Technology, Inc. Schematized access control in a content centric network
US10320675B2 (en) 2016-05-04 2019-06-11 Cisco Technology, Inc. System and method for routing packets in a stateless content centric network
US10547589B2 (en) 2016-05-09 2020-01-28 Cisco Technology, Inc. System for implementing a small computer systems interface protocol over a content centric network
US10063414B2 (en) 2016-05-13 2018-08-28 Cisco Technology, Inc. Updating a transport stack in a content centric network
US10084764B2 (en) 2016-05-13 2018-09-25 Cisco Technology, Inc. System for a secure encryption proxy in a content centric network
US10103989B2 (en) * 2016-06-13 2018-10-16 Cisco Technology, Inc. Content object return messages in a content centric network
US10305865B2 (en) 2016-06-21 2019-05-28 Cisco Technology, Inc. Permutation-based content encryption with manifests in a content centric network
US10148572B2 (en) 2016-06-27 2018-12-04 Cisco Technology, Inc. Method and system for interest groups in a content centric network
US10009266B2 (en) 2016-07-05 2018-06-26 Cisco Technology, Inc. Method and system for reference counted pending interest tables in a content centric network
US9992097B2 (en) 2016-07-11 2018-06-05 Cisco Technology, Inc. System and method for piggybacking routing information in interests in a content centric network
US10122624B2 (en) 2016-07-25 2018-11-06 Cisco Technology, Inc. System and method for ephemeral entries in a forwarding information base in a content centric network
US10069729B2 (en) 2016-08-08 2018-09-04 Cisco Technology, Inc. System and method for throttling traffic based on a forwarding information base in a content centric network
US10956412B2 (en) 2016-08-09 2021-03-23 Cisco Technology, Inc. Method and system for conjunctive normal form attribute matching in a content centric network
CN106254069B (zh) * 2016-09-07 2019-10-25 广东工业大学 用于内容中心网络的多层加密隐私保护方法
US10033642B2 (en) 2016-09-19 2018-07-24 Cisco Technology, Inc. System and method for making optimal routing decisions based on device-specific parameters in a content centric network
US10212248B2 (en) 2016-10-03 2019-02-19 Cisco Technology, Inc. Cache management on high availability routers in a content centric network
US10447805B2 (en) 2016-10-10 2019-10-15 Cisco Technology, Inc. Distributed consensus in a content centric network
EP3806431B1 (en) * 2016-10-14 2024-03-06 InterDigital Patent Holdings, Inc. Http response failover in an http-over-icn scenario
US10135948B2 (en) 2016-10-31 2018-11-20 Cisco Technology, Inc. System and method for process migration in a content centric network
US10243851B2 (en) 2016-11-21 2019-03-26 Cisco Technology, Inc. System and method for forwarder connection information in a content centric network
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10826916B2 (en) * 2018-09-17 2020-11-03 ShieldX Networks, Inc. Agent-less network traffic inspection using an overlay network
US10965702B2 (en) * 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7136932B1 (en) * 1999-03-22 2006-11-14 Eric Schneider Fictitious domain name method, product, and apparatus
WO2000059230A1 (en) * 1999-03-30 2000-10-05 Sony Electronics, Inc. A method and a device for managing resources in a network
US20020138732A1 (en) * 2001-03-23 2002-09-26 Irvin David R. Methods, systems and computer program products for providing digital signatures in a network environment
US7062490B2 (en) * 2001-03-26 2006-06-13 Microsoft Corporation Serverless distributed file system
US7660846B2 (en) * 2003-12-01 2010-02-09 International Business Machines Corporation Method for dynamically targeted instant messaging
US7433940B2 (en) * 2004-01-21 2008-10-07 International Business Machines Corporation Schema management
US20050175184A1 (en) * 2004-02-11 2005-08-11 Phonex Broadband Corporation Method and apparatus for a per-packet encryption system
JP2006344137A (ja) * 2005-06-10 2006-12-21 Ricoh Co Ltd 情報処理装置、情報処理方法、情報処理システム、情報処理プログラム、及び記録媒体
US8887297B2 (en) * 2007-07-13 2014-11-11 Microsoft Corporation Creating and validating cryptographically secured documents
US9456054B2 (en) * 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US8160069B2 (en) * 2009-01-30 2012-04-17 Palo Alto Research Center Incorporated System for forwarding a packet with a hierarchically structured variable-length identifier
US8504718B2 (en) 2010-04-28 2013-08-06 Futurewei Technologies, Inc. System and method for a context layer switch
US8699708B2 (en) * 2010-06-29 2014-04-15 Alcatel Lucent Light-weight security solution for host-based mobility and multihoming protocols
US8244881B2 (en) * 2010-08-06 2012-08-14 Palo Alto Research Center Incorporated Service virtualization over content-centric networks
US8976813B2 (en) * 2011-09-08 2015-03-10 Motorola Solutions, Inc. Secure quality of service

Also Published As

Publication number Publication date
KR101593864B1 (ko) 2016-02-15
WO2013127492A1 (en) 2013-09-06
US20150006896A1 (en) 2015-01-01
CN104160674A (zh) 2014-11-19
EP2634991A1 (en) 2013-09-04
JP2015513846A (ja) 2015-05-14
US9338150B2 (en) 2016-05-10
JP5893765B2 (ja) 2016-03-23
EP2634991B1 (en) 2017-08-02
CN104160674B (zh) 2017-03-15

Similar Documents

Publication Publication Date Title
KR101593864B1 (ko) 컨텐츠 중심 네트워킹
US11050724B2 (en) IaaS-aided access control for information centric networking with Internet-of-Things
EP3163791B1 (en) System for key exchange in a content centric network
US12010216B2 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
WO2018127118A1 (zh) 一种身份认证方法及装置
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
JP2016514913A (ja) セッション鍵を確立する方法および装置
US20200235915A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
WO2023078123A1 (zh) 区块链中继通信网络的中立性验证
CN113973007B (zh) 基于广播加密和洋葱路由的时控性加密匿名查询方法和系统
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN115766066A (zh) 数据传输方法、装置、安全通信系统及存储介质
WO2024001037A1 (zh) 一种消息传输方法、装置、电子设备和存储介质
EP4290804A1 (en) Method and apparatus for realizing secure multicast in blockchain network
TWI761243B (zh) 群組即時通訊的加密系統和加密方法
CN114143038A (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN110535834B (zh) 一种网络安全IPsec的加速处理方法及系统
Xue-Zhou Network data encryption strategy for cloud computing
KR101204648B1 (ko) 무선 통신 네트워크와 유선 통신 네트워크가 공존하는 통신 네트워크에서 안전하게 비밀키를 교환하는 방법
US11343089B2 (en) Cryptography system and method
KR100419574B1 (ko) 액티브 네트워크에 있어서 액티브 노드간의 안전한 액티브패킷전송 방법
US11895234B2 (en) Delayed quantum key-distribution
CN109769004B (zh) 基于保留格式加密的匿名通信方法、设备及系统
US20230239138A1 (en) Enhanced secure cryptographic communication system
Vyas et al. An Analysis Of Session Key Exchange Protocols

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190116

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200115

Year of fee payment: 5