的内容发布者404。如图所示,内容发布者404注册请求可以包含公共密钥证书pbk_p。NRS 402可结合前缀名称和内容发布者名称,例如,(名称pbk_p),并且可将前缀名称和发布者名称通知到网络中的其它节点。一旦NRS 402已经成功地验证证书,其可以包含从内容发布者404获得额外信息,那么NRS 402可返回签名,例如,(pre_n和pbk_p),其可以通过prk_nrs等NRS 402的私用密钥签署。
[0031]图5示出了在图1的路由器104等第一路由器(Rx) 502与图1的路由器106等第二路由器(Ry) 504之间的基于链路的SSK建立,其可建立用于ICN网络基础设施102等网络内的数据传输的已知的和/或受信任的路径。Rx 502和Ry 504可以是共享物理链路的直接相邻者。Rx 502可生成包含共享密钥包的共享密钥kxy。Rx 502可用Ry 504的公共密钥pbk_Ry加密kxy。一些属性可以包含在共享密钥包中,例如,到期日期、路由器名称和/或标识、随机临时标志(以防止重演攻击)等。在接收之后,Ry 504可解密kxy以获得共享密钥包。可以使用建立共享密钥的许多选项并且所揭示实施例并不需要使用任何特定的一个。在一个实施例中,使用Diffie-Hellman协议来建立共享密钥。
[0032]图6示出了用于内容发布者202与路由器104、106和108之间的名称前缀通知的协议图。图6假定具有物理链路的每一对路由器具有共享密钥,例如,图5的共享密钥。在602处,内容发布者202向路由器104发送通知,例如,PrePub (pre_n、pbk_p、sig (pre, pbk_P, prk_nrs)),其中pre_n是内容发布者202授权到自身/公开的前缀,pbk_p是内容发布者202的公共密钥,并且其中sig是来自图4的NRS 402等的NRS的签名。在604处,路由器104可用pbk_nrs验证签名。如果验证失败,那么路由器104可删除通知。如果验证通过,那么路由器104可例如,通过(pre_n、pbk_p、fl)更新其内部FIB以反映验证。在一些实施例中,密钥散列消息认证码(HMAC)、杂凑(pbk_p)可以生成和/或用于节约空间。在606处,路由器104向路由器106发送通知,例如,PreAnnounce (pre_n, sig, pbk_p, Rl),其中Rl是路由器104的身份,以及HMAC,例如,HMAC(PreAnnounce I |K12),其中Κ12是路由器104和106之间的共享密钥。在608处,路由器106可生成HMAC’ (PreAnnounce Κ12)以针对接收到的HMAC (PreAnnounce | Κ12)进行验证并且通过pbk_nrs验证sig。如果验证失败,那么可以删除通知。如果验证通过,那么路由器106可例如通过(pre_n,pbk_p,fI)更新其内部FIB以反映验证,其中fl是路由器106与路由器104通信的端口或表面。在610处,路由器106可以向路由器108发送预先通知,例如,PreAnnounce (pre_n, sig, pbk_p, R2),其中R2是路由器106的身份,以及HMAC,例如,HMAC (PreAnnounce I |K23),其中Κ23是路由器106和108之间的共享密钥。在612处,路由器108可生成HMAC’ (PreAnnounce Κ23)以针对接收到的HMAC (PreAnnounce I Κ23)进行验证并且可通过pbk_nrs验证sig。如果验证失败,那么可以删除通知。如果验证通过,那么路由器106可例如通过(pre_n,pbk_p,fI)更新其内部FIB以反映验证,其中fl是路由器108与路由器106通信所经由的端口或表面。值得注意的是,通告的一些实施例可以包含其它字段,例如,用于防止消息重演攻击的随机临时标志,如所属领域的技术人员将理解。
[0033]图7示出了用于内容发布者202与路由器104、106和108之间的名称前缀撤销的协议图。图7的组件可以基本上与图6的组件相同。当内容发布者202想要撤销前缀使得它将不响应于该前缀的内容请求时,内容发布者202可在702处开始撤销过程,方法是将 PreRvk (pre_n, pbk_p, sig (pre, pbk_p, prk_nrs))等撤销发送到路由器 104。在接收撤销之后,在704处路由器104可用pbk_nrs验证签名。如果验证失败,那么路由器104可删除撤销。如果验证通过,那么路由器104可检查(pre_n,pre_p,fI)等前缀是否在其FIB中。如果是,那么路由器104可从其路由表中移除前缀。在706处,路由器104可将撤销,例如,PreRvk(pre_n, pbk_p, Rl)以及杂凑,例如,HMAC(PreRvk K12)发送到路由器106。在接收之后,在708处路由器106可生成HMAC’(PreRvk| |K12)以针对接收到的HMAC(PreRvk K12)进行验证并且可通过pbk_nrs验证签名。如果验证失败,那么路由器106可删除撤销。如果验证通过,那么路由器106可检查(pre_n,pre_p,fI)等前缀是否在其FIB中。如果是,那么路由器106可从其路由表中移除前缀。在710处,路由器106可将撤销,例如,PreRvk (pre_n, pbk_p, R2)以及杂凑,例如,HMAC (PreRvk K23)发送到路由器108。在接收撤销之后,在712处路由器108可生成HMAC’ (PreRvk K23)以针对接收到的HMAC(PreRvk| K23)进行验证并且可用pbk_nrs验证签名。如果验证失败,那么路由器108可删除撤销。如果验证通过,那么路由器108可检查(pre_n,pre_p,fI)等前缀是否在其FIB中。如果是,那么路由器108可从其路由表中移除前缀。值得注意的是,通告的一些实施例可以包含其它字段,例如,用于防止消息重演攻击的随机临时标志,如所属领域的技术人员将理解。
[0034]图8示出了 ICN网络基础设施102中的信任扩增路由系统800。良性用户802和804可以是任何用户装置,例如,图1的良性用户120。恶意发布者808可以是任何用户装置,例如,图2的恶意内容发布者202。路由器104可用于偏好从具有经验证前缀通知的端口或表面转发兴趣。路由器104可以包括内部路由表806,所述路由表具有用于指示良性用户804的前缀的两个项,例如,‘Ccnx/804’。内部路由表806中的第一项可以包括fI等的接收端口或表面,以及pub_B等的公共密钥,其指示已根据如根据图6所描述的前缀通知从受信任连接中接收在端口或表面fl上接收到的前缀。内部路由表806中的第二项可以包括不具有相关联公共密钥的第二接收端口或表面列表,例如,f2o如将理解,替代攻击可以包含未验证的密钥。在源自恶意发布者808的名称/前缀劫持攻击的情况下,例如,劫持前缀Ccnx/804,路由器104可选择与端口或表面fl上的受信任连接相关联的项。
[0035]本发明揭示至少一个实施例,且所属领域的普通技术人员对所述实施例和/或所述实施例的特征作出的变化、组合和/或修改均在本发明的范围内。因组合、合并和/或省略所述实施例的特征而得到的替代性实施例也在本发明的范围内。在明确说明数字范围或限制的情况下,此类表达范围或限制应被理解成包含在明确说明的范围或限制内具有相同大小的迭代范围或限制(例如,从约为I到约为10包含2、3、4等;大于0.10包含0.11、
0.12,0.13等)。例如,只要揭示具有下限R1和上限Ru的数字范围,则明确揭示了此范围内的任何数字。具体而言,在所述范围内的以下数字是明确揭示的:R = Rfh(Ru-R1),其中k
为从1%到100%范围内以1%递增的变量,SP,k为1%、2%、3%、4%、5%......50%、51%、
52%......95%、96%、97%、98%、99%或100%。此外,由上文所定义的两个数字R定义的任何数字范围也是明确揭示的。除非另有说明,否则术语“约”是指随后数字的±10