[发明专利]内容中心网络

说明书

技术领域

本发明涉及内容中心联网的方法、客户端、服务器以及计算机程序产品。

背景技术

内容中心网络是众所周知的。在这样的内容中心网络中，提供了用于在数据网络中递送内容的路由范式。特别地，对内容的请求是对内容中心网络中的网络节点做出的，并且如果接收到所述请求的网络节点拥有所述内容的本地副本，那么该副本将被路由回发起请求的节点。但是，如果网络节点没有那个内容，那么该请求被通过网络公布直至该内容被返回或者，如果没有内容被返回，向发起请求的节点提供错误消息。通常，如果后续做出对所述内容的请求，那么随着所述内容回传给请求节点，该内容的副本可被网络节点存储在本地以便使它们拥有可访问的所述内容。

虽然这样的方法能够提供内容，但是这并非没有其自身的缺点。

因此，有提供改进地用于内容中心网络的技术的需求。

发明内容

依照第一方面，提供了在内容中心网络中建立客户端和服务器之间的用于数据包流传输的安全会话的方法，所述方法包括如下步骤:在服务器与客户端之间交换第一名称空间部分指示；从第一名称空间部分指示获取第一名称空间部分；将所述第一名称空间部分并入从客户端发往服务器的对数据包流第一数据包的第一请求的第一名称空间；获取后续名称空间部分，所述后续名称空间部分基于所述第一数据包的传输，所述后续名称空间部分与第一名称空间部分不同；以及将所述后续名称空间部分并入从客户端发往服务器的对数据包流后续数据包的后续请求的后续名称空间。

所述第一方面承认现有内容中心组网方案存在问题，即虽然它们通常十分强调安全性，但这常常要求全部网络包使用公共密钥基础设施加密系统进行签名。虽然这允许网络鉴别每一个包的来源，由于非对称加密非常缓慢，这影响到了性能。

为了缓和该问题，所述第一方面认识到可通过在内容中心网络中实施安全会话以提高性能，安全会话在两个网络节点之间进行数据包流的传输，其只在会话的开始执行一次身份验证，并且这样就无需对单独的数据包进行签名。

当在内容中心网络中建立安全会话时，各通信方通常需要就名称空间——它们可在那里交换信息——达成一致。在服务器端，所述名称空间用来识别输入包属于给定的会话。知道输入的包属于哪个会话通常允许服务器对解密所述数据包所需的密钥进行检索。

通过使用仅与单个客户端共享的密钥，服务器可在随后隐含地识别发送方的身份是否为唯一的可访问密钥的其它网络节点。除了作为这样的所述安全会话的识别符，名称空间的特定格式使得交换的数据没有直接的相关性并且可以基于多种不同的原则进行选择。

通过使用下述名称空间选择技术，可达到相对于其它名称空间选择方案的多个优点，包括相关会话流量的去相关以及消除在会话建立机制上执行重播攻击的任何可能性。

这样，提供了在客户端与服务器之间建立安全会话的方法。第一名称空间部分指示可在所述客户端和服务器之间进行交换。第一名称空间部分可从所述指示中获得。第一名称空间部分可并入由客户端发出的对由服务器发出的第一数据包的请求相关的第一名称空间。与第一名称空间部分不同的后续名称空间部分可随后获得。所述后续名称空间部分可在随后并入对由服务器发出的后续数据包的后续请求。

这样，可以确定位于客户端与服务器之间与第一数据包关联的名称空间。与后续数据包相关联的名称空间可随后由客户端与服务器根据第一数据包的传输来获得。采用这种方法，每个数据包的名称空间发生改变并且与先前的数据包有关，这样的从一个到另一个的名称空间菊花链在传输后续数据包时不需要在两个节点之间进行任何额外的身份验证。而是，每个后续数据包的名称空间均可以先前的数据包作为基础来获得。只要客户端与服务器两者均获得用于每个候选数据包的正确的名称空间，那么就可以假定位于客户端和服务器之间的会话还是安全的，这明显提高了性能同时维持了安全性。另外，由于名称空间对于每个数据包的变化表现为很大程度上的随机方式，这使得拦截节点难以确定在内容中心网络上传输的哪些数据包是相关的，另外由于每个后续数据包仅在先前数据包进行传输后被分配名称空间，这使得对于第三方来说难以访问所述数据流或执行重播攻击。

在一个实施例中，第一名称空间部分指示包括服务器与客户端之间共享的加密密钥，并且所述第一名称空间部分从该加密密钥获得。这样，可以使用已知的没有密钥的技术“公开”(也就是说，在非安全通信中公开或易于获得)完成加密密钥被服务器和客户端的共享。随后客户端和服务器两者均可从该安全加密密钥中获取第一名称空间部分。