[发明专利]通过内容中心网络进行密钥解析的系统和方法

说明书

一种密钥解析服务KRS能够方便客户端装置验证内容对象是由受信任实体签署的。在工作期间，KRS服务能够接收包括针对要解析的内容名称的KRS查询的兴趣。KRS服务从兴趣获得内容名称，并获得包括针对内容名称的安全信息或内容名称前缀的KRS记录。KRS服务然后返回有效载荷包括KRS记录的内容对象以满足第一兴趣。客户端装置能够查询KRS服务以获得与至少内容对象的名称前缀相关联的受信任密钥，如有必要，能够散布兴趣以获得完成受信任密钥和用于认证内容对象的密钥之间的信任链的密钥。

技术领域

本公开总体上涉及保证数字内容的安全。更具体而言，本公开涉及为内容对象解析密钥的密钥解析服务。

背景技术

计算和网络技术的进步已经使得人们能够向其日常生活中结合电子设备。人们通常使用计算机进行在线银行业务，与他人交互，以及搜索并消费由他人发布的信息。新近以来，机器与机器通信的进步已经使得人们的电器能够自动为其用户完成任务。例如，一些数字恒温箱能够与中央控制器交互，中央控制器能够为恒温箱产生优化的调度，配置恒温箱使用这一调度来控制加热、通风和空气调节(HVAC)单元。

这些进步提供的便利性构建于底层联网协议之上，底层联网协议用于在用户的装置之间以及与应用服务器交换通信分组。在很多情况下，这些通信分组可能包括关于用户及其日常习惯的敏感信息；用户可能不希望与公众共享的信息。因此，在当前的网络中，应用开发者通常使用超文本安全传输协议(HTTPS)作为基本协议以提供安全的内容输送。

不过，HTTPS需要内容服务器向客户端提供由受信任证书机构(CA)签署的证书。客户端通过公钥基础设施(PKI)验证证书，并使用证书产生对称密钥。客户端然后使用这个密钥在与内容服务器通信会话期间对所有信息进行加密和解密。令人遗憾的是，有很多能够签署数字证书的CA，需要由用户判断哪些CA是可信赖的。典型地，用户需要指定哪些CA是可信赖的，并使用这些CA作为根“CA”。其他CA在它们被根CA直接信任或经由信任链间接信任时充当中间CA。

计算机网络的近来发展包括内容中心网络(CCN)，内容中心网络允许客户端通过散布为数据指定唯一名称的“兴趣”而获得数据。存储这一数据的任何对等CCN装置都能够向客户端提供数据，不论这一对等CCN装置在哪里。不过，允许任何对等网络装置满足受信任发布方对一条数据的兴趣使得难以确保数据实际源自受信任发布方。例如，HTTPS使用数字证书将服务器眏射到从这一服务器发布数据的人或组织。客户端装置使用HTTPS和CA验证它们是从它们预期的数据所来自的组织接收数据。令人遗憾的是，在客户端从不同来源，例如从过去已经获得并高速缓存相同数据的对等CCN装置，获得这一数据时，CCN客户端装置不能使用HTTPS验证一条数据是源自给定发布方的。

发明内容

一个实施例提供了一种密钥解析服务(KRS)，所述密钥解析服务便于客户端装置验证内容对象是由受信任实体签署的。KRS服务可以包括一组从客户端接收兴趣消息的本地KRS服务，一组均为一个或多个KRS区域维护安全信息(使用KRS记录)(例如，名称前缀)的官方KRS服务，以及为根名称前缀维护安全信息的根KRS服务。在工作期间，本地KRS服务能够通过内容中心网络(CCN)接收具有名称的兴趣消息，名称包括与本地KRS服务相关联的可路由前缀，并包括对要解析的内容名称的KRS查询。兴趣可以包括附属于兴趣名称中可路由前缀的KRS查询，或者可以包括有效载荷中的KRS查询。KRS服务处理兴趣消息以获得针对内容名称的KRS记录。KRS记录包括针对内容名称或内容名称的前缀的安全信息。KRS服务产生并返回其有效载荷包括KRS记录的内容对象以满足兴趣消息。

在一些实施例中，KRS记录包括：KRS记录为其解析安全信息的名称前缀、包括针对名称或名称前缀的安全信息的有效载荷和/或用于认证KRS记录的安全信息。