[发明专利]信息中心网络内容请求用户的身份认证方法

说明书

本发明涉及一种信息中心网络中内容请求用户的身份认证方法，该方法中通过修改兴趣包结构实现了基于身份的内容请求用户认证。该方法对原始兴趣包进行扩展，在原有的兴趣包中加入了加密后的用户身份信息以及用户对兴趣包的签名信息。使用基于身份的加密方案(Identity Based Cryptography,IBC)，包括基于身份的加密(Identity Based Encryption,IBE)和基于身份的签名(Identity Based Signature,IBS)实现了接入网关对内容请求用户的认证。本发明既能实现接入网关对内容请求用户的身份认证，又能避免用户身份等敏感信息泄露，发展和完善了信息中心网络的安全架构。该发明可以从根源上解决网络中安全问题：兴趣洪泛攻击。

技术领域

本发明属于信息中心网络安全领域，涉及信息中心网络中内容请求用户的身份认证方法。

背景技术

最初的互联网是为主机之间通信而设计，但后来以其协议强大的兼容性，承载起无穷的应用并取得史无前例的成功。不过，随着大规模的内容共享和物联网应用日益普及，基于主机地址的路由和面向连接的安全机制的不足日益凸显，协议越来越复杂。

为此，人们提出了信息中心网络(Information Centric Networks，ICN)的全新设计方案。在ICN网络的设计中，网络中传输的有两种包：兴趣(Interest)包和数据(Data)包。路由器包括三种数据结构：内容仓库(Content Store,CS)、待定兴趣表(Pending InterestTable,PIT)和转发兴趣库(Forwarding Interest Base,FIB)。其中CS缓存流经的数据包，提供给后续的兴趣请求；FIB存储兴趣包的转发策略，包含名字前缀、输出接口等字段。路由器收到兴趣包后首先检查本地CS是否存在与兴趣包名字匹配的数据；若存在，则将匹配到的数据包沿兴趣包到达的路径，原路返回给请求节点；若不存在，路由器查询PIT中是否包含该兴趣包名字的条目。若PIT中存在匹配的条目，则在该条目中追加该兴趣包的来源接口；若不存在，则根据名字最长前缀匹配原则查询FIB，将该兴趣包沿查询得到的输出接口转发至下一跳路由器。它具有基于内容的寻址、有状态的转发、网内缓存等特点而引起学术界和产业界的广泛关注。

不过，ICN目前的架构设计在安全方面存在较大的挑战。目前的安全架构设计保证了数据内容的机密性和请求用户对内容发布者的身份确认，但缺乏网络和发布者对请求者身份的认证，这样存在很大的安全隐患。比如，没有经过认证的用户、恶意的消费者可能会故意发送大量的兴趣包到网络中请求不存在的内容，这些恶意请求被缓存在中间路由器的PIT中直至超时才被清除，从而使PIT表资源耗尽，正常的请求无法创建PIT条目而被丢弃，从而导致兴趣洪泛攻击(Interest Flooding Attack,IFA)，即ICN网络中的一种典型的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。为此，学者们提出了许多IFA的检测与缓解方案，但大多属于被动防御措施，无法从根源上遏制IFA的产生。

IBC(Identity Based Cryptography,IBC)技术最早由Adi Shamir在1984年提出，它利用可读的用户身份标识作为公钥进行数字签名或内容加密而无需公钥的交换。相比于传统的PKI(Public Key Infrastructure,PKI)加密体制，IBC具有明显的特色和优势：IBC私钥由私钥生成器(Private Key Generator,PKG)按需生成，不需要目录服务来维护公钥私钥对；不再依赖于证书认证中心(Certification Authority,CA)发放的数字证书，避免了公钥基础设施部署复杂、负担繁重、代价高昂的问题。

本发明主要用到基于身份的加密IBE(Identity Based Encryption)和基于身份的签名IBS(Identity Based Signature)两项技术。在IBE方案中，发送方使用接收方的ID对消息加密，接收方用自己的IBE私钥来解密。在IBS方案中，发送方用自己的私钥生成签名，接收方用发送方的ID进行签名验证。

发明内容