[发明专利]一种基于隐藏概率采样的动态网络路径认证方法及装置

权利要求书

1.一种基于隐藏概率采样的动态网络路径认证方法，其特征在于，包括：

(1)源从输入队列中取出数据包,根据所述数据包，源初始化生成数据包元数据作为数据包的初始状态以及供目的地验证的证明，对所述数据包进行采样并生成供下一跳验证用的路径证明，将所述数据包放入输出队列中并转发至下一跳；

(2)下一跳路由器从输入队列中取出数据包，依据等概率采样决定是否对所述数据包进行采样，若不进行采样，则所述路由器生成供下一跳验证用的路径证明并用其替换数据包原有的路径证明；否则所述路由器通过重新计算上一跳的路径证明并与数据包原有的路径证明进行比较，以验证所述数据包原有的路径证明的有效性并在验证通过后对数据包原有的路径证明进行更新，将更新后的数据包放入输出队列并转发至下一跳；

(3)重复步骤(2)，直至数据包到达目的地；

(4)目的地路由器对数据包原有的路径证明进行验证，并根据所述数据包元数据执行终点验证，若验证均通过，所述目的地路由器接收所述数据包。

2.根据权利要求1所述的方法，其特征在于，所述数据包中引入四个单独的域：隐藏采样HiddenSample、路径跳数HopCount、验证证明ValidationProof和隐蔽保障Concealment；其中，HiddenSample用于指示数据包是否被采样，以帮助路由器检测被采样的数据包并验证；HopCount用于记录数据包经过的路由器数，以作为等概率采样的关键参数；ValidationProof用于记录数据包的安全证明，以供路由器作为比较对象进行路径认证；Concealment用于验证数据包的完整性，以防止数据包在传输过程中被篡改。

3.根据权利要求2所述的方法，其特征在于，在步骤(1)中，源生成供目的地验证的证明，包括：

对数据包的有效载荷做哈希计算得到数据散列值DataHash，根据当前会话的标识符生成会话标识符SessionID，根据数据包的生成时间生成时间戳Timestamp；

将所述数据散列值DataHash、会话标识符SessionID、时间戳Timestamp联立得到中间值Metadata；

对中间值Metadata用目的地和源共享的密钥K_0n做MAC计算得到隐蔽保障Concealment。

4.根据权利要求1所述的方法，其特征在于，步骤(1)和步骤(2)中，生成供下一跳验证用的路径证明，包括：

对数据包的有效载荷做哈希计算得到数据散列值DataHash，对数据包根据当前会话的标识符生成会话标识符SessionID，根据数据包的生成时间生成时间戳Timestamp；

将所述数据散列值DataHash、会话标识符SessionID、时间戳Timestamp联立，得到中间值Metadata；

对所述中间值Metadata用目的地和源共享的密钥K_0n做MAC计算，得到隐蔽保障Concealment；

路由器i根据自身标识符计算密钥，与路由器i+1间交换密钥，得到密钥K_i(i+1)；

对路径跳数HopCount加1；

对被采样的状态值1、数据散列值DataHash、路径跳数HopCount和与下一跳路由器共享的密钥K_i(i+1)联立得到的值做哈希计算，得到隐藏采样HiddenSample，所述隐藏采样HiddenSample保证了攻击者无法通过关联同一数据包在不同路由器上的HiddenSample值或同一路由器上的不同数据包的HiddenSample值来推断采样状态的值；

用所述与下一跳路由器共享的密钥K_i(i+1)对所述中间值Metadata、路径跳数HopCount和隐蔽保障Concealment联立得到的值做MAC计算得到验证证明ValidationProof。