[发明专利]一种具备元数据隐私保护和源追责能力的路由方法

权利要求书

1.一种具备元数据隐私保护和源追责能力的路由方法，其特征在于，该方法包括以下步骤：

第一步：系统初始化：

1.1)群初始化

1.1.1)群管理员利用KeyGen(n)生成群管理私钥gmsk，群公钥，和n个群私钥，n是群内成员的数量；

1.1.2)源向群管理员建立TLS连接并发送密钥获取请求；

1.1.3)群管理员选择n个群私钥中的一个发送给源，并将其命名为源的群私钥；

1.2)路径节点初始化：路径节点包括源S，源边界路由器B₁，目的边界路由器B₂和目的D；路径节点的标志符分别是源标志符n_s，源边界路由器标志符n₁，目的边界路由器标志符n₂和目的标志符n_D；

1.2.1)路径节点{S，B₁，B₂，D}各维护一把秘密密钥，分别是源秘密密钥k_s，源边界路由器秘密密钥k₁，目的边界路由器秘密密钥k₂，目的秘密密钥k_D；同时，每个路径节点分别维护一对非对称密钥(x，y)，x为私钥，y为公钥，y＝g^x，其中g为椭圆曲线x25519的生成元；由此，路径节点{S，B₁，B₂，D}分别持有和

1.2.2)源S通过带外信道获取{B₁，B₂，D}的公钥和标志符{n₁，n₂，n_D}；源S利用随机数r_i对其私钥x_s进行随机化，获得源随机私钥

1.2.3)源S根据DH密钥交换协议，利用源随机私钥分别与源边界路由器B₁的公钥y₁，生成源S与源边界路由器B₁的正向共享密钥与反向共享密钥与目的边界路由器B₂的公钥y₂，生成源S与目的边界路由器B₂的正向共享密钥与反向共享密钥与目的D的公钥y_D生成生成源S与目的D的共享密钥s_D；

第二步：链路建立：源S通过链路建立生成“密钥-地址封装”，“密钥-地址封装”包括转发封装和返回封装；链路建立利用建链报文进行通信，每个建链报文SP均由建链头部字段，洋葱字段，负载字段，群签名字段四部分构成；其中头部字段又包括类型字段，持续时间字段，保留字段，以及源地址字段和目的地址字段；每个建链报文均被填充至512字节来防范关联攻击；具体步骤如下：

2.1)源S按照以下步骤构造正向建链报文SP^→：

2.1.1)源S设置SP^→中Hdr_sp字段的exp字段为建链超时时间exp_sp，设置type字段和rev字段为0，并将源标志符n_s和源边界路由器标志符n₁分别设置为源地址字段和目的地址字段；

2.1.2)源S利用路径上{B₁，B₂，D}的公钥和标志符{n₁，n₂，n_D}，以及源S与源边界路由器B₁的正向共享密钥与反向共享密钥源S与目的边界路由器B₂的正向共享密钥与反向共享密钥以及源S与目的D的共享密钥s_D，生成反向洋葱O^←和正向洋葱O^→：其中ε为随机选取的字符串；源S将正向洋葱O^→放入SP^→的Onion字段；

2.1.3)源S利用源S的秘密密钥k_s、源S和目的D的共享密钥s_D计算内层返回封装RC_in：RC_in←ENC(k_s，IV_s，exp_c||s_D)，其中，IV_s是源的随机偏移量，exp_c是密钥-地址封装有效期，ENC代表的加密算法是AES-GCM算法，‘||’表示拼接操作；之后，源S将内层返回封装RC_in写入SP^→的负载字段；

2.1.4)源S利用源的群私钥gsk_s，对二次变换正向洋葱生成建链群签名σ_s：并将签名生成过程中产生的快速验证缓存缓存在本地，T₁，T₂，T₃，均为生成群签名时产生的中间量；同时，源S利用源S与源边界路由器B₁的正向共享密钥对σ_s进行伪随机置换生成一次置换建链群签名[σ_s]：其中，π代表PRP操作，之后，源S将一次置换建链群签名[σ_s]写入SP^→的群签名字段；

2.1.5)源S将正向建链报文SP^→发出；

2.2)源边界路由器B₁接收到正向建链报文SP^→后，按以下方式进行处理：

2.2.1)源边界路由器B₁检查SP^→中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^→，t_curr是源边界路由器B₁接收到正向建链报文SP^→的时间；

2.2.2)源边界路由器B₁取出SP^→内Onion字段的正向洋葱O^→，利用源边界路由器B₁的私钥x₁对其处理，得到源S与源边界路由器B₁的正向共享密钥其中是一次变换正向洋葱，之后，源边界路由器B₁将写入SP^→的Onion字段；将源边界路由器的标志符n₁，目的边界路由器的标志符n₂写入SP^→中Hdr_sp字段的源地址字段和目的地址字段；

2.2.3)源边界路由器B₁ 取出SP^→内负载字段的内层返回封装RC_in，利用源边界路由器秘密密钥k₁，密钥-地址封装的有效期exp_c，源标志符n_s，和2.2.2)得到的源S与源边界路由器B₁的正向共享密钥计算返回封装RC：其中IV₁表示源边界路由器B₁的随机偏移量；

2.2.4)源边界路由器B₁取出SP^→内群签名字段的一次置换建链群签名[σ_s]，利用2.2.2)得到的源S与源边界路由器B₁的正向共享密钥对[σ_s]进行逆向PRP得到建链群签名σ_s：π^-1代表逆向PRP操作；源边界路由器B₁将建链群签名σ_s写入SP^→的群签名字段；

2.2.5)源边界路由器B₁将正向建链报文SP^→发出；

2.3)目的边界路由器B₂接收到正向建链报文SP^→后，按以下方式进行处理：

2.3.1)目的边界路由器B₂检查SP^→中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^→；

2.3.2)目的边界路由器B₂取出SP^→中Onion字段的一次变换正向洋葱利用目的边界路由器B₂的私钥x₂对其处理：其中是二次变换正向洋葱；之后，源边界路由器B₁将写入SP^→的Onion字段；将目的边界路由器的标志符n₂，目的标志符n_D写入SP^→中Hdr_sp字段的源地址字段和目的地址字段；

2.3.3)目的边界路由器B₂取出SP^→中负载字段的返回封装RC，利用2.3.2)得到的源S与目的边界路由器B₂的正向共享密钥对RC进行PRP操作得到一次置换返回封装[RC]^[1]：

2.3.4)目的边界路由器B₂取出SP^→内群签名字段的建链群签名σ_s，利用群公钥gpk对2.3.2获得的二次变换正向洋葱进行验证：验证过程会生成快速验证路由器缓存若d＝0，则丢弃报文，否则，将缓存在本地；

2.3.4)目的边界路由器B₂将正向建链报文SP^→发出；

2.4)目的D接收到正向建链报文SP^→后，按以下方式进行处理：

2.4.1)目的D检查SP^→中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^→，目的D取出SP^→内Onion字段的二次变换正向洋葱利用目的D的私钥x_D进行处理：

2.4.2)目的D以如下方式构建反向建链报文SP^←：

2.4.2.1)目的D设置SP^←中Hdr_sp字段的exp字段为建链超时时间exp_sp，设置type字段和rev字段为0，并将目的标志符n_D和目的边界路由器标志符n2分别设置为源地址字段和目的地址字段；目的D将反向洋葱O^←放入反向建链报文Sp^←的Onion字段；

2.4.2.2)目的D利用目的秘密密钥k_D，密钥地址封装有效期exp_c，与2.4.1)得到的源S与目的D的共享密钥s_D，计算内层转发封装FC_in：FC_in←ENC(k_D，IV_D，exp_c||s_D)，并将其放入反向建链报文SP^←的负载字段，IV_D表示目的D的随机偏移量；

2.4.2.3)目的D取出正向建链报文SP^→内负载字段的一次返回封装[RC]^[1]，利用2.4.1)得到的源S与目的D的共享密钥s_D对从[RC]^[1]进行PRP操作得到二次置换返回封装[RC]^[2]：[RC]^[2]＝π(s_D，[RC]^[1])；目的D将[RC]^[2]放入反向建链报文SP^←的负载字段；

2.4.2.4)目的D将反向建链报文SP^←发出；

2.5)目的边界路由器B₂接受到SP^←后，以如下方式处理：

2.5.1)目的边界路由器B₂检查SP^←中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^←；

2.5.2)目的边界路由器B₂取出SP^←中Onion字段的反向洋葱O^←，并利用B₂的私钥x₂对其处理：其中是一次变换反向洋葱；之后，目的边界路由器B₂将写入反向建链报文SP^←的Onion字段；将目的边界路由器的标志符 n₂，源边界路由器的标志符 n₁分别写入反向建链报文SP^←的源地址字段和目的地址字段；

2.5.3)目的边界路由器B₂取出SP^←内负载字段的内层转发封装FC_in，利用目的边界路由器秘密密钥k₂，密钥-地址封装的有效期exp_c，目的标志符n_D，和2.5.2)得到的目的D与目的边界路由器B₂的反向共享密钥计算转发封装FC：其中IV₂表示目的边界路由器B₂的随机偏移量；之后，目的边界路由器B₂将转发封装FC写入SP^←的负载字段；

2.5.4)目的边界路由器B₂取出SP^←内负载字段的二次置换返回封装[RC]^[2]，利用2.5.2)得到的源S与目的边界路由器B₂的反向共享密钥对[RC]^[2]进行PRP置换得到三次置换返回封装之后，目的边界路由器B₂将[RC]^[3]写入SP^←的负载字段；

2.5.5)目的边界路由器B₂将反向建链报文SP^←发出；

2.6)源边界路由器B₁接收到反向建链报文SP^←后，以如下方式处理：

2.6.1)源边界路由器B₁检查SP^←中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^←；

2.6.2)源边界路由器B₁取出SP^←中Onion字段的一次变换反向洋葱并利用B₁的私钥x₁对其处理：其中是二次变换反向洋葱；之后，源边界路由器B₁将写入反向建链报文SP^←的Onion字段；将源边界路由器标志符 n₁，源标志符n_S分别写入SP^←的源地址字段和目的地址字段；

2.6.3)源边界路由器B₁取出SP^←中负载字段的三次置换返回封装[RC]^[3]和转发封装FC，利用2.6.2)得到的源S与源边界路由器B₁的反向共享密钥对[RC]^[3]和FC进行PRP置换得到四次置换返回封装[RC]^[4]：和一次置换转发封装[FC]^[1]：源边界路由器B₁将四次置换返回封装[RC]^[4]和一次置换转发封装[FC]^[1]写入SP^←的负载字段；

2.6.4)源边界路由器B₁将反向建链报文SP^←发出；

2.7)源S接收到反向建链报文SP^←后，按以下方式进行处理：

2.7.1)源S检查SP^←中Hdr_sp字段的exp字段的建链超时时间exp_sp，若t_curr＞exp_sp则丢弃SP^←；

2.7.2)源S取出SP^←中Onion字段的二次变换反向洋葱并利用S的私钥x_s对其处理：

2.7.3)源S取出SP^←中负载字段的四次置换返回封装[RC]^[4]和一次置换转发封装[FC]^[1]，利用保存的共享密钥和2.7.2)获得的源S与目的D的共享密钥s_D对[RC]^[4]和[FC]^[1]进行PRP置换从而分别得到返回封装RC：和转发封装FC：

第三步：数据通信：在数据通信阶段，利用数据报文DP进行通信；每个数据报文DP均由数据头部字段，载荷字段，负载字段，签名字段四部分构成；其中头部字段又包括类型字段，持续时间字段和随机数字段；第一个数据报文将第二步最后产生的RC写入负载字段发送给目的D以支持匿名回复；具体步骤如下：

3.1)源S按照以下步骤构造正向数据报文DP^→：

3.1.1)源S利用源S与目的边界路由器B₂的共享密钥源S与目的D的共享密钥s_D对消息m进行加密得到二次密文和一次密文其中IV_m是消息m的偏移量，IV_m′是消息m的置换偏移量：之后，源S将二次密文放入DP→的负载字段；

3.1.2)源S设定DP^→中Hdr_dp字段的exp字段为数据超时时间exp_dp；nonce字段为消息m的置换偏移量IV_m′；目的地址字段和源地址字段为目的边界路由器标志符 n₂，源边界路由器标志符 n₁；此外，源S设定DP^→中载荷字段为2.7.3)得到的转发封装FC；

3.1.3)源S利用源的群私钥gsk_s，转发封装FC，二次密文数据头部Hdr_dp，生成数据群签名σ：此外，源S利用2.1.4)缓存的快速验证缓存φ_s，转发封装FC，二次密文数据头部Hdr_dp，生成挑战c：其中H(·)代表哈希函数；之后，源S将c||σ写入DP^→的签名字段；

3.1.4)源S将正向数据报文DP^→发出；

3.2)当目的边界路由器B₂接收到DP^→，按照如下步骤处理：

3.2.1)目的边界路由器B₂检查DP^→中Hdr_dp字段的exp字段的数据超时时间exp_dp，若t_curr＞exp_dp则丢弃DP^→；

3.2.2)目的边界路由器B₂取出DP^→的数据头部Hdr_dp字段，载荷字段的转发封装FC，负载字段的二次密文和签名字段的挑战c，并利用2.3.4)缓存的快速验证路由器缓存对c进行验证：计算是否成立；如果不成立，则验证失败，跳转到第四步；否则继续执行；

3.2.3)目的边界路由器B₂取出DP^→中载荷字段的转发封装FC，利用B₂的秘密密钥k₂和随机偏移量IV₂对FC进行解密：若解密失败，则丢弃报文；之后，目的边界路由器B₂设置DP^→中Hdr_dp字段的目的地址字段为n_D；设置DP^→中载荷字段为内部转发封装FC_in；

3.2.4)目的边界路由器B₂取出DP^→中Hdr_dp字段的nonce字段的消息m的置换偏移量IV_m′，利用3.2.3)获得的目的D与目的边界路由器B₂的反向共享密钥对二次密文进行解密得到一次密文同时，更新DP^→中Hdr_dp字段的nonce字段为消息m的偏移量IV_m：之后，目的边界路由器B₂将一次密文写入DP^→的负载字段；

3.2.5)目的边界路由器B₂将正向数据报文DP^→发出；

3.3)当目的D接收到DP^→，按照如下步骤处理：

3.3.1)目的D检查DP^→中Hdr_dp字段的exp字段的数据超时时间exp_dp，若t_curr＞exp_dp则丢弃DP^→；

3.3.2)目的D取出DP^→中载荷字段的内部转发封装FC_in，利用目的D的秘密密钥k_D和随机偏移量IV_D对FC_in解密：{exp_c，s_D}←DEC(k_D，IV_D，FC_in)；

3.3.3)目的D取出DP^→中nonce字段的消息m的随机偏移量IV_m，和负载字段的一次密文利用3.3.2)获得的源S与目的D的共享密钥s_D对进行解密得到消息m：

3.3.4)如果目的D需要发送回复消息则构造反向数据报文DP^←，按照以下步骤处理：

3.3.4.1)目的D利用3.3.2)获得的源S与目的D的共享密钥s_D加密回复消息m^←得到一次回复密文其中是m^←的随机偏移量；之后，目的D将一次回复密文放入反向数据报文DP^←的负载字段；

3.3.4.2)目的D设置DP^←中Hdr_dp字段的exp字段为数据超时时间exp_dp；nonce字段为目的地址字段和源地址字段为源边界路由器标志符 n₁，目的边界路由器标志符 n₂；

3.3.4.3)目的D设置DP^←的载荷字段为返回封装RC；之后，目的D将反向数据报文DP^←发出；

3.4)当源边界路由器B₁接收到反向数据报文DP^←，按照如下步骤处理：

3.4.1)源边界路由器B₁检查DP^←中Hdr_dp字段的exp字段的数据超时时间exp_dp，若t_curr＞exp_dp则丢弃DP^←；

3.4.2)源边界路由器B₁取出DP^←中载荷字段的返回封装RC，利用B₁的秘密密钥k₁和随机偏移量IV₁对RC进行解密：若解密失败，则丢弃报文；之后，源边界路由器B₁设置DP^→中Hdr_dp字段的目的地址字段为源标志符 n_S；设置DP^←中载荷字段为内部返回封装RC_in；

3.4.3)源边界路由器B₁取出DP^←中Hdr_dp字段的nonce字段的m^←的随机偏移量计算m^←的置换随机偏移量源边界路由器B₁取出中负载字段的一次回复密文利用3.4.2)获得的源S与源边界路由器B₁的共享密钥对一次回复密文进行加密得到二次回复密文之后，设置DP^←中Hdr_dp字段的nonce字段为设置DP^←中负载字段为二次回复密文

3.4.4)源边界路由器B₁将反向数据报文DP^←发出；

3.5)当源S收到DP^←后，进行如下处理：

3.5.1)源S检查DP^←中Hdr_dp字段的exp字段的数据超时时间exp_dp，若t_curr＞exp_dp则丢弃DP^←；

3.5.2)源S取出DP^←中载荷字段的内部返回封装RC_in，利用源S的秘密密钥k_S和随机偏移量IV_s解密RC_in：得到s_D←DEC(k_s，IV_s，RC_in)；

3.5.3)源S取出DP^←中Hdr_dp字段的nonce字段的m^←的置换随机偏移量和负载字段的二次回复密文利用源S与源边界路由器B₁的正向共享密钥对和进行解密得到一次回复密文和m^←的随机偏移量再利用3.5.2)获得的源S和目的D的共享密钥s_D对一次回复密文解密得到回复消息m^←：

第四步：恶意流处理：一旦转发路径上的某一路由器R_r验证群签名出错，遇到恶意流，执行以下操作：

4.1)R_r发送关闭请求给源边界路由器B₁，SR中包含验证出错的群签名的所属报文P和R_r的数字签名Sig_r：SR＝{P，Sig_r}，其中是R_r的私钥，是R_r的公钥；

4.2)边界路由器B₂接收到SR后，将其进一步转发给群管理员；

4.3)群管理员接收到SR后，利用验证SR：若是非法数字签名则丢弃；之后，打开报文P中的群签名σ来获取消息源的标志符n_s←Open(gpk，gmsk，P，δ)；

4.3.1)如果消息打开失败，或者n_s为伪造，管理员则要求源边界路由器B₁丢弃源地址为n_s的报文。