[发明专利]一种基于目录代理的命名数据网络反名称过滤方法

说明书

本发明公开了一种基于目录代理的命名数据网络反名称过滤方法，目录代理提供定期更新的真实名称与伪装名称一一对应的目录文件，用户以兴趣包签名方式请求目录文件，查询真实名称与伪装名称对应关系，以伪装名称向目录代理发送请求；目录代理翻译伪装名称，获知用户所请求的真实名称，并替用户取回请求的内容文件，再通过广播加密方式，向用户发送内容文件。本发明的提出，可应用于网内存在被劫持路由器的场景，有效地规避了网内被劫持路由器的名称过滤攻击，同时不仅确保兴趣包具有良好的可路由性，而且保证了网内缓存的利用率。

技术领域

本发明涉及数据命名网络(NDN:Named Data Networking)，具体设计一种基于目录代理的命名数据网络反名称过滤方法。

背景技术

随着互联网技术的发展，互联网应用范围和规模已经远远超出了设计初衷，应用主体已经转向文字信息和多媒体音视频等内容资源的获取，内容分发的需求与日俱增，逐渐成为当今互联网的焦点。现有TCP/IP架构采用面向主机的传输方式，网络传输冗余较大、内容分发效率低下，在移动性和安全性等方面也存在着诸多不足。虽然已出现P2P和CDN(Content Delivery Network)等改进性技术，但仍无法满足21世纪以数据分发为主体的互联网业务需求。应对上述挑战，多种以内容为中心的未来互联网体系架构相继提出，命名数据网络(Named Data Networking，NDN)因为其设计理念先进、方案切实可行，受到学术界和产业界的高度关注，成为当前网络领域的重要研究方向之一。

NDN采用面向内容的设计架构，不同于传统互联网以主机为网络的中心，NDN只关注内容本身，而非内容的存储位置。通过唯一标识的内容名字构建命名路由，并利用网内分布式缓存加速内容分发，NDN有效降低了网络传输冗余、提高了内容分发效率。但是，NDN在带来网络性能改善的同时，也带来了潜在的安全风险。在NDN中，内容以分层次、含语义的名称进行标识，虽然这一设计便于兴趣包在网内路由器处查找路由表，却也带来了名称被攻击者过滤的风险。攻击者只需要在网内任意路由器处维持一个黑名单实施名称过滤攻击，就可以根据兴趣包所携带的内容名称将通过该路由器的所有相关兴趣包过滤掉。因此，在非安全NDN应用场景下，迫切需要设计一个有效的反名称过滤方法，来保障NDN的安全性。

针对现有NDN中的名称过滤攻击，国内外研究人员从名称的隐匿性方面提出了多种反名称过滤方法。这些反名称过滤方法主要分为不基于代理和基于代理两类。

不基于代理的方法：Arianfar等人首先提出了基于隐写技术模糊内容名称的机制以防止名称过滤攻击()，内容提供者向用户发送随机文件，用户将待发送兴趣包和随机文件按约定函数分块混合，来隐藏兴趣包内容。分块混合的兴趣包名称是每一混合分块哈希值的哈希值。虽然这一机制可以隐藏请求内容，但是以一串无语义的哈希值作为兴趣包名称，导致兴趣包难以路由(路由表既不可能预配置这类条目，也难以动态学习发现)，而且对于兴趣包的分片和重构会带来巨大的计算开销。

基于代理的方法：在基于代理的反名称过滤方法中，用户对内容名称或者兴趣包进行加密计算，加密的兴趣包发送到网络中后由网络中的特定匿名代理识别。Steven等人提出基于Tor的洋葱路由机制，通过设置两个代理匿名路由器(一个接入代理，一个出口代理)，层层加密兴趣包来实现名称的隐私保护，并将返回的内容也层层加密。然而，对于ANDaNA而言，多层加密导致返回的内容不具备可复用性，完全破坏了NDN的缓存特性。Tourani等提出了基于霍夫曼编码的轻量级反名称过滤框架设计。每个用户和信任的代理之间共享一份独特的霍夫曼编码表，用户将内容名进行部分编码(仅对后缀编码)，以减少编解码的计算开销，但是由于编码表的独立唯一，同样造成内容将无法在网内得到复用。