[发明专利]以内容为中心的网络中基于身份的广播加密传输方法

摘要

本发明公开了以内容为中心的网络数据传输安全技术领域中的一种以内容为中心的网络中基于身份的广播加密传输方法。内容提供者通过广播兴趣包请求用户身份，用户可以将代表公钥的身份信息ID发送到内容提供者；内容提供者使用基于身份的广播加密算法，加密明文后再向用户广播，只有用户集合中的目标用户可以解密获得明文内容；该用户集合可以由任意个用户组成，当用户集合只有一个用户时，则该协议为端到端加密传输协议；当用户集合有多个用户时，则该协议为广播加密传输协议，可以减少广播内容加密传输次数。本发明通过将用户身份加入到用户集合中来实现内容访问控制，基于身份的签名和广播加密方案实现数据源认证、数据完整性和机密性保护。

主权项

一种以内容为中心的网络中基于身份的广播加密传输方法，采用基于身份的广播加密方案生成一个主密钥MSK和一个公钥PK，将主密钥MSK分配给私钥生成中心PKG，公钥PK公开，私钥生成中心PKG利用主密钥MSK和每一个用户身份IDi，为每一个用户生成用户私钥SKi并通过安全信道将用户私钥SKi发送给相应的用户，其特征在于，所述方法包括：步骤1：内容提供者广播第一兴趣包；所述第一兴趣包的内容名称为内容提供者的用户列表；步骤2：用户i将第一兴趣包的内容名称加入到该用户的转发信息表FIB中，并向网络通告所述第一兴趣包的内容名称对应的内容可访问；步骤3：用户i收到第一兴趣包后，先使用用户私钥SKi对自身的用户身份IDi进行签名，得到签名信息σi且σi＝Sign(SKi,IDi)，再建立第一数据包并将第一数据包返回给内容提供者；所述第一数据包的内容名称为用户列表，签名信息为使用用户私钥SKi对自身的用户身份IDi进行签名后得到的签名信息σi，内容为用户身份IDi；步骤4：内容提供者收到第一数据包后，先利用公钥PK和第一验证算法Verify(PK,IDi,IDi,σi)验证签名信息σi，当验证签名信息σi通过后，再核对用户i的用户身份IDi，如果核对正确，则将用户身份IDi加入到内容提供者用户集合S中；步骤5：用户i向内容提供者发送第二兴趣包，第二兴趣包的内容名称为所述用户i感兴趣的内容对应的内容名称；步骤6：内容提供者收到用户i的第二兴趣包，先使用加密算法Encrypt(PK,S)计算得到密文头Hdr和对称密钥K；再使用对称密钥K加密第二兴趣包的内容名称对应的内容得到密文CE；然后使用签名算法Sign(SKp,(Hdr，CE))计算得到签名信息σp；其中，SKp是内容提供者的用户私钥；接下来内容提供者建立第二数据包并向用户i返回第二数据包；其中，第二数据包的内容名称为第二兴趣包的内容名称，签名信息为σp，内容为(Hdr,CE)，即包含密文头Hdr的密文CE；步骤7：用户i收到第二数据包后，首先利用第二验证算法Verify(PK,IDp,(Hdr,CE),σp)验证签名信息σp，当验证签名信息σp通过后，再利用解密算法Decrypt(IDi,Hdr,SKi)计算对称密钥K；最后利用对称密钥K解密密文CE，得到相应的内容。