[发明专利]一种基于聚合认证的高效网络路径认证方法

说明书

本发明公开了一种基于聚合认证的高效网络路径认证方法，包括：(1)源在处理数据包时先依据生成的特殊标识符将若干个数据包聚合成一组，对组进行路径认证计算后发送至下一跳；(2)路由器在收到数据包后将它们在输入队列中聚合成组，取出这一组数据包作为单个输入进行处理；(3)路由器重新计算路径认证，将得到的路径证明与从所有数据包中提取的各单个数据包携带证明拼接而成的完整证明进行比较；如果匹配，则整组数据包通过验证；验证成功后，则路由器进一步用自身凭证来更新路径证明并将其重新分割到组内的所有数据包中；(4)路由器将这组数据包放入输出队列中并转发至下一跳。利用本发明，可以在不牺牲安全性的同时极大的提升效率。

技术领域

本发明属于网络安全领域，尤其是涉及一种基于聚合认证的高效网络路径认证方法。

背景技术

在当前的互联网中，终端主机对数据包的转发路径缺乏控制。数据包在网络中的传输路径完全由路由器决定，其转发决策取决于每个路由器的本地路由表，而源和目的地都无法干涉。这种终端不可见的转发可能会被用来破坏网络服务的质量以及安全性。比如恶意的因特网服务提供商可能会在劣质路径上转发数据包而向客户声称在高级路径上提供服务。此外，缺乏路径控制还会导致其他问题，如当数据不被允许离开某个特定的管辖区时会出现合规性问题。

路径认证(path validation)使得路由器能够验证数据包是否以正确的顺序通过了指定的路径，其被视为保障未来互联网架构安全性的可靠解决方案。路径认证通过路径执行和路径验证这两个互补的操作来确保数据包转发的安全性。路径执行在数据包包头中指定了数据包应遵循的给定路径，路径上的路由器应遵守数据包携带的路径指示来做出转发决策。路径验证则通过将不可伪造的加密证明嵌入到数据包包头中来确认数据包的转发是否严格遵循指定路径。

数据包在传输过程中，要求能安全、快速地传输到指定地点，因此路径认证方案必须同时满足安全性和效率这两个要求。但这两个要求是相互对立的，一方面数据包包头短、计算简单才能保证快速处理，另一方面数据包携带的验证域长、计算复杂才能保证传输的安全性。

在已有文献中，尚未有能在安全性和效率方面同时取得平衡的方案被提出。大多数方案都是在安全性和效率之间做出一定的取舍：降低效率来提高安全性或是降低安全性来提高效率。这些方案主要分为三类：第一类是通过强力的安全假设来保证安全性，对效率的要求较弱，如J.Naous等(Verifying and enforcing network paths with ICING，CoNEXT，2011年)提出的；第二类是通过改进加密算法来略微弱化安全性从而提高效率，如J.Kim等(Lightweight source authentication and path validation，SIGCOMM，2014年)以及M.Legner等(EPIC:Every packet is checked in the data plane of a path-awareInternet，USENIX Security，2020年)提出的；第三类方法是通过依概率抽样数据包进行验证更新来提高效率，如B.Wu等(Enabling efficient source and path verification viaprobabilistic packet marking)提出的。

第一种方法通过强力的安全假设来保证安全性。如协议要求在路径上的路由器之间两两共享一个密钥，用于计算只能由相邻路由验证的认证域以保证其不可伪造性。路由器需要确认其上游节点都以正确的顺序处理了数据包，因此需要重新计算验证域进行对比。此外，路由器还要为其所有下游节点单独计算一个更新值用于后续计算的验证和更新。虽然这种方法极大的确保了安全性，但其效率大大降低，使其适用性被局限于复杂的网络环境下。