[发明专利]以内容为中心的网络中基于身份的广播加密传输方法

说明书

技术领域

本发明属于以内容为中心的网络数据传输安全技术领域，尤其涉及一种以内容为中心的网络中基于身份的广播加密传输方法。

背景技术

当前互联网基于TCP/IP体系结构建立，其假设用户和终端是可信的，网络仅仅提供尽力而为的数据包转发服务，这种以主机互联和资源共享为主的最初互联网设计目标使得互联网快速发展。随着应用及计算模式的日益丰富及社会对互联网依赖程度的增强，互联网接入方式和网络功能定位发生了巨大的改变，TCP/IP体系结构已经无法满足互联网持续发展的需求，在可扩展性、动态性以及安全可控性等方面呈现出无法解决的问题。为了从根本上解决这些问题，研究者重新设计未来互联网体系结构，提出了一种以信息为中心的网络(ICN,Information-Centric Network)。当前具有代表性的以信息为中心的网络方案是以内容为中心的网络(CCN,Content-Centric Network)，同时也被称为命名数据网络(NDN,Named Data Networking)。以内容为中心的网络是以信息为中心的网络的一个实例。

以内容为中心的网络对网络中传输的所有内容进行命名，数据传输不再根据IP地址寻路转发，而是根据内容名称进行路由。在以内容为中心的网络中，节点可以缓存数据，也可以响应数据请求，将缓存数据返回给请求用户，这样可以提高网络中数据分发和获取效率。

以内容为中心的网络对所有数据或内容进行命名，采用内容名称进行报文的路由。以内容为中心的网络有两种基本的数据包类型，兴趣包(Interest Packet，包括内容名称、选项和随机数)和数据包(Data Packet，包括内容名称、签名值、签名信息和内容)，如图1所示。内容请求者发送兴趣包请求内容，其他任意节点收到该兴趣包，且有对应的内容则返回数据包。一般情况下，兴趣包与数据包的个数是对应的，一个兴趣包请求一个数据包。以内容为中心的网络采用分级方式命名内容，使用“/”表示名称的不同组成部分。例如，一个北京交通大学网络课程中的教学视频名称可以为ccn:/bjtu/course/video。

以内容为中心的网络中，节点主要有三个数据结构，转发信息表(FIB,Forwarding Information Base)，内容缓存(CS,Content Store)，等待兴趣表(PIT,Pending Interest Table)，如图2所示。FIB与IP网络中FIB作用相同，用于查找兴趣包的转发接口(Face,interface)，FIB中的条目可以包括多个转发接口。CS用于存储网络中传输的数据，通过有效的缓存管理策略，降低网络中相同数据的传输。PIT用来保存兴趣包的请求接口(Requesting Face)，返回的数据包根据PIT条目转发。当一个兴趣包到达CCN节点的某个接口时，节点首先检查CS内是否有兴趣包请求的数据。若有则返回数据包；否则根据FIB转发兴趣包，同时在PIT中存储兴趣包请求的数据名称及请求的接口。数据包返回时，节点根据PIT条目向请求接口转发数据包，删除对应PIT条目，同时在CS中存储数据包内容。

IPSec(IPSecurity)是网络层安全通信协议，其设计目标是为IPv4和IPv6提供可互操作的、高质量的、基于密码学的安全性保护。IPSec主要由鉴别头(AH,Authentication Header)协议，封装安全有效荷载(ESP,Encapsulation Security Payload)协议以及负责密钥管理的Internet密码交换协议(IKE,Internet Key Exchange)组成。AH和ESP都能用于访问控制、数据源认证、无连接完整性保护和抗重放攻击，同时ESP还可以用于机密性保护。

在使用AH或ESP之前，先要从源主机到目的主机建立一个逻辑连接，即安全关联(SA,Security Association)，IKE协议的一个主要功能就是动态建立SA。SA是一个单向连接，一个SA由三元组唯一确定，它包括：安全协议(AH或ESP协议)，目的IP地址，安全参数索引(SPI,Security Parameter Index)。SPI是为了唯一标识SA而生成的一个整数，在AH和ESP头中传输。