用于防止在命名数据网络路由器上插入恶意内容的方法和设备的制造方法
【技术领域】
[0001]本申请一般涉及计算机网络。更具体地,本申请涉及控制内容对象通过命名数据网络的流动。
【背景技术】
[0002]在内容中心网络(CCN)中,客户端装置能够通过传播包括数据名称的兴趣消息来获得此数据。沿CCN的路由器存储兴趣的反向路径,并朝能够提供所请求的数据的内容生产者传播此兴趣。一旦内容生产者返回满足此兴趣的内容对象,路由器将此内容对象沿反向路径转发到客户端装置。
[0003]遗憾的是,恶意实体可能将恶意数据注入到兴趣的反向路径中。为了防止恶意数据返回客户端装置,一些路由器可以对内容对象执行密码认证操作以认证内容对象或他们的发送者。然而,对每个内容对象执行这种密码认证可能显著降低这些路由器的运行性能。
【发明内容】
[0004]—个实施例提供阻止恶意内容对象通过命名数据网络插入到兴趣的反向路径中的对象转发装置。在操作中,所述装置能够通过第一接口接收内容对象,并且能够在未决兴趣表(PIT)中执行查询操作,以识别与所述内容对象关联的兴趣的PIT表项。所述装置然后从所述PIT表项确定用来转发所述兴趣的出接口(egress interface)。如果所述装置确定所述PIT表项的出接口与所述内容对象的第一接口匹配,则所述装置通过在所述PIT表项中规定的返回接口转发所述内容对象。另一方面,如果所述PIT表项的出接口与所述内容对象的第一接口不匹配,则所述装置能够阻止所述内容对象。
[0005]在一些实施例中,所述出接口包括物理接口。
[0006]在一些实施例中,所述出接口包括虚拟接口。
[0007]在这些实施例的一些变形中,所述虚拟接口与描述一组接口的逻辑关系的合取范式(CNF)表达式关联。
[0008]在一些实施例中,所述装置能够通过第二接口接收第二兴趣,并且基于第二兴趣的名称在转发信息库中执行查询操作,以确定用于转发第二兴趣的出接口。一旦所述装置通过出接口转发所述第二兴趣,所述装置能够在兴趣的PIT中创建新表项。此新PIT表项可以包括用来转发兴趣的出接口。
[0009]在一些实施例中,在PIT中执行查询操作的同时,所述装置确定PIT表项的分层结构的可变长度识别符(HSVLI)是否与兴趣的名称匹配。
[0010]在一些实施例中,PIT表项包括存储散列值的名称字段。同样,在PIT中执行查询操作的同时,所述装置确定PIT表项的散列值是否与兴趣的名称的散列匹配。
【附图说明】
[0011]图1根据实施例图解说明便于阻止恶意内容对象通过命名数据网络插入到兴趣的反向路径中的计算环境。
[0012]图2根据实施例图解说明阻止恶意内容对象插入到兴趣的反向路径中的转发器的示例性通信。
[0013]图3根据实施例呈现图解说明在未决兴趣表中创建表项以将兴趣的名称映射到兴趣的入接口(ingress interface)和出接口(egress interface)的方法的流程图。
[0014]图4根据实施例图解说明示例性未决兴趣表。
[0015]图5根据实施例呈现图解说明基于相应的PIT表项确定是否阻止或转发内容对象的方法的流程图。
[0016]图6根据实施例图解说明便于阻止恶意内容对象插入到兴趣的反向路径中的示例性设备。
[0017]图7根据实施例图解说明便于阻止恶意内容对象插入到兴趣的反向路径中的示例性计算机系统。
[0018]在图中,相同的附图标记指相同的附图元件。
【具体实施方式】
[0019]给出以下描述使得本领域技术人员能够制造和使用实施例,以下描述是在特定应用和其需求的背景下提供的。对所公开实施例的各种改进对本领域技术人员是非常显然的,在不偏离本申请的精神和范围下,本文中定义的一般原理可以应用于其它实施例和应用。因此,本发明不局限于所显示的实施例,而是给予与本文中公开的原理和特征一致的最宽范围。
[0020]本发明的实施例提供一种路由器,所述路由器解决了防止恶意实体将恶意数据通过命名数据网络(NDN)注入到数据流中的问题。例如,客户端装置能够通过传播包括数据的名称的兴趣消息通过NDN获得此数据,这建立沿路由器到能够提供所请求数据的内容生产者的反向路径。其它网络装置可能通过沿反向路径向路由器转发包括兴趣名称的内容对象来将恶意数据“注入”到此反向路径中。因此,恶意实体可以利用此弱点来向访问在线服务的客户端或者甚至向在线服务本身提供欺骗性数据。
[0021]如果恶意实体继续沿反向路径在路由器上注入恶意数据,此路由器丢弃其具有的兴趣的反向路径信息,原因是路由器不再期望接收此兴趣的内容对象。如果在丢弃反向路径信息之后,路由器从在线服务接收内容对象,则假定反向路径信息不再存在的话,路由器会有效地阻止内容对象。因此,恶意实体还可以利用此弱点通过防止在线服务的客户端从在线服务接收数据来实现服务拒绝(DoS)攻击。
[0022]在一些实施例中,NDN的路由器能够通过跟踪哪些出接口用来转发兴趣并且只返回通过其相应兴趣的接口接收的内容对象来防止恶意实体将数据注入到未决兴趣的反向路径中。例如,NDN路由器能够在未决兴趣表(PIT)中存储此出接口。这样,当路由器基于内容对象的名称对PIT执行查询操作时,路由器能够获得包括曾用来转发相应兴趣的出接口以及将用来转发内容对象的返回接口的PIT表项。如果内容对象不是通过兴趣的出接口接收的,则路由器能够阻止内容对象,即使它已经被恶意地插入到反向路径中。否则,路由器能够继续通过返回接口像平常一样返回内容对象。
[0023]以下术语描述诸如内容中心网络(CCN)的命名数据网络(NDN)架构的元件:
[0024]内容对象(Content Object):单——项命名数据,其绑定到唯一名称。内容对象是“永久的”,这意味着内容对象可以在计算装置内或者在不同的计算装置中移动,但不会改变。如果内容对象的任何组成变化,则出现变化的实体创建包括更新内容的新内容对象,并且将新内容对象绑定到新唯一名称。
[0025]名称(Name):NDN中的名称通常是与位置无关的,唯一地识别内容对象。数据转发装置不管内容对象的网络地址或物理位置如何,可以使用名称或名称前缀将兴趣包向生成或存储内容对象的网络节点转发。在一些实施例中,名称可以是分层结构的可变长度识别符(HSVLI)。HSVLI可以分成几个分层组成,这些组成可以以各种方式构造。例如,个别的名称组成pare,home, ndn,和test, txt可以以左对齐的前缀为主的方式构造,形成名称u/parc/home/ndn/test.txt.”。因此,名称 “/parc/home/ndn” 可以是 “/parc/home/ndn/test.txt.”的“父”或“前缀”。附加组成可以用来区分内容项目的不同形式,诸如合作文档。
[0026]在一些实施例中,名称可以包括无层次识别符,诸如由内容对象的数据(例如检验和值)和/或从内容对象的名称的组成部分导出的散列值。基于散列的名称的描述在(发明人 Ignac1 Solis 于 2013 年 3 月 20 日提交的名称为“ORDERED-ELEMENT NAMING FORNAME-BASED PACKET FORWARDING”的)美国专利申请号13/847,814中描述。名称还可以是扁平标签(flat label)。后面,“名称”用来指在命名数据网络中一条数据的任何名称,诸如层次名称或名称前缀,扁平名称(flat name),固定长度的名称,任意长度的名称,或者标签(例如多协议标签交换(MPLS)标签)。
[0027]^(Interest):指示对一条数据的请求的包,包括该条数据的名称(或名称前缀)。数据消费者可以在信息中心网络中传播请求或兴趣,NDN路由器可以向可以提供请求数据的存储装置(例如缓存服务器)或数据生产者播送,以满足请求或兴趣。
[0028]在一些实施例中,NDN系统可以包括内容中心网络(CCN)架构。然而,本文中公开的方法还可以应用于其它NDN或还有其它信息中心网络(ICN)架构。CCN架构的描述在