[发明专利]基于中央控制器缓解命名数据网络中内容毒害攻击的方法

权利要求书

1.一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，包括以下步骤：

(1)生产者在提供数据报文时，将自己的唯一标识符作为一个字段放入数据报文中，并向命名数据网络中发布自己可以满足兴趣报文的名称前缀；

(2)消费者利用签名验证机制对其收到的每个数据报文进行验证，若验证不通过，则该报文为异常数据报文，将异常信息以特定名称前缀的兴趣报文形式上报；消费者接入路由器验证消费者上报兴趣报文的真实性后，进一步传输给中央控制器；

(3)中央控制器利用收到的异常信息判断命名数据网络中是否存在内容毒害攻击，若存在，则将控制信息以特定名称前缀的兴趣报文形式通知攻击者接入路由器；

(4)攻击者接入路由器从以特定名称前缀的兴趣报文中读取被攻击的名称前缀和攻击者的唯一标识符，并根据该标识符查找出该攻击者所连接在本路由器上的接口，将攻击者从网络中移除，禁止从这个接口转发出受攻击前缀下的兴趣报文并禁止攻击者从这个接口向网络中发布数据报文；同时，向网络中发布撤销攻击者的路由通告；

(5)收到撤销路由通告的路由器更新响应FIB表项并删除相应的毒害数据报文。

2.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，步骤(2)所述的异常信息主要包括异常数据报文信息、生产者源地址信息以及受到攻击的名称前缀。

3.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，所述步骤(2)包括以下步骤：

(21)消费者利用签名验证每个数据报文，若验证不通过，则证明其是异常数据报文，此时网络中存在内容毒害攻击的可能性，转步骤(22)；否则，转步骤(24)；

(22)消费者发送带有特定名称前缀的兴趣报文通知控制器发现异常，并将该异常数据报文作为负载附在通知报文之后；

(23)消费者接入路由器收到该通知报文时，进行验证，确保消费者上报的是异常数据报文；如果验证通过，将该通知报文负载的异常数据报文丢弃，只传输包含异常信息的轻量级通知报文；否则，丢弃该通知报文；

(24)消费者停止发送通知报文。

4.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，步骤(3)所述的控制信息主要包括攻击者的源地址信息以及受攻击的名称前缀。

5.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，所述步骤(3)包括以下步骤：

(31)中央控制器持续监测是否收到消费者的通知报文，若有，转步骤(32)，否则，表示命名数据网络中无内容毒害攻击，转步骤(35)；

(32)中央控制器接收到接入路由器的通知报文，回复该通知表示确认，从该通知报文中提取出生产者的唯一标识符，并开始统计该标识符所关联的通知报文的数量；

(33)中央控制器判断某个生产者标识符所关联的通知报文数量是否超过一定阈值，若超过，则立刻转步骤(34)，否则，继续统计不做任何操作；

(34)中央控制器发现网络中存在内容毒害攻击，将控制信息以带有特定名称前缀的兴趣报文形式下发至接入路由器，控制接入路由器控制器更新路由信息；

(35)控制器攻击判定结束。

6.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，步骤(4)所述的路由通告主要包括被攻击的名称前缀和攻击者的身份标识符。

7.根据权利要求1所述的一种基于中央控制器缓解命名数据网络中内容毒害攻击的方法，其特征在于，所述步骤(5)包括以下步骤：

(51)中间路由器收到撤销路由通告，从通告中提取出受攻击前缀以及攻击者身份标识符；

(52)根据受攻击前缀更新FIB表项；根据攻击者身份标识符逐条匹配路由器CS中包含该身份标识符字段的数据报文，并删除；

(53)内容毒害攻击防御结束。