本发明涉及通信领域,特别涉及一种信息中心网络中的数据报文安全性验证方法。
背景技术:
1、随着网络中内容数量的爆发式增长和移动用户的增加,当今互联网的主要需求已经变成内容分发,而传统互联网架构无法高效满足这一点,这催生了信息中心网络。其以内容为中心进行路由转发,并在路由器上配备缓存以加快传输效率,使大规模的高效内容分发成为可能。
2、信息中心网络中存在一种危害巨大的攻击,称为内容污染攻击,指的是恶意内容发布商发布虚假内容,随着路由器沿路缓存,虚假内容会扩散全网,严重降低缓存利用率和用户体验。传统的数据包验证方案需要对每个数据包进行单独验证,有着计算开销高、网络负载大、影响数据转发性能等问题,在实际网络中会影响网络传输效率。
技术实现思路
1、为解决以上问题,我们提出一种信息中心网络中的数据报文安全性验证方法。
2、本发明采用的技术方案包含如下步骤:
3、1)合法的内容发布商将自己的身份id经过哈希算法计算后生成公钥pk;可信第三方产生密码参数,审核并接受内容发布商的公钥pk,生成相应的私钥sk;内容发布商使用私钥sk对每个需要发布的数据包进行签名,将签名附在数据包中以待途经的路由器进行验证。
4、2)可信第三方选择具有相同素数阶q的乘法循环群g和gt,其中g的生成元是g,构造从g×g到gt的双线性映射e,选择哈希算法h,从整数群中选取随机数作为主私钥msk,从而生成主公钥mpk=gmsk,审核内容发布商的身份,若身份属实则接受其提交的公钥pk,进一步生成相应的私钥sk=pkmsk,将sk通过安全信道传递给内容发布商,并公开除了主私钥msk和私钥sk外的所有密码参数。
5、3)内容发布商对于将要发布的数据包中的数据d,从乘法循环群g中随机选择h,从整数群中随机选择s,计算s1=e(h,g)s,a=h(d||s1)和s2=ska*hs,从而得到最终的签名(s1,s2),将签名附在数据包中以待途径的路由器验证。
6、4)与内容发布商直接相连的接入路由器收到数据包后,会根据之前记录的该数据包对应的兴趣包在传输过程中经过的中间路由器数量nir,计算出之后中间路由器需要验证该数据包的概率并将该值填入数据包中的验证概率字段,其中,γ∈[0,1]代表中间路由器验证过程中可容忍的最大错误概率。
7、5)与内容发布商直接相连的接入路由器,将每n个连续的数据包设为一批,执行批量验证,在与内容发布商建立连接关系并执行数据转发的初始时间δt内,统计每次批量验证的结果,得到验证为真的批数目t和验证为假的批数目f,将数据包为真的概率的先验分布视为beta分布,使用贝叶斯估计,得到后续数据包为真的概率估计,即信誉度为:
8、
9、在时间δt之后,接入路由器在每m次批量验证结束后,针对前序k(k>m)批的验证结果,更新t和f的值,相应地,更新信誉度rep的值。
10、6)与内容发布商建立连接关系并执行数据转发的初始时间δt内,接入路由器以概率1验证数据包,即来自该内容发布商的所有数据包均需执行验证操作;在时间δt之后,根据内容发布商的信誉度rep计算验证概率pv,即以pv概率性验证所有来自该内容发布商的数据包:
11、
12、其中,α∈(0,1)代表针对大于一定信誉值阈值的内容发布商的最小验证概率,α可取为0.1以降低对大于一定信誉值阈值的内容发布商的验证开销,β∈(0,1)代表认定内容发布商为不可信所预先设定的信誉值阈值,η∈[0,1]代表接入路由器验证过程中可容忍的最大错误概率,η可取为0.01以保证系统的安全性。当信誉度rep<β时,认为该内容发布商不可信任,可以不经验证直接丢弃来自该内容发布商的所有数据包,当信誉度rep≥β时,以pv概率性验证来自该内容发布商的数据包,未验证的数据包直接执行其他处理过程。
13、7)与内容发布商直接相连的接入路由器,对n个数据包进行批量验证的方法具体为:为每个数据包中的数据dj、签名(sj,1,sj,2)、公钥pkj以及其他密码参数{g,mpk,h},计算aj=h(dj||sj,1),并从整数群中随机选择δj,最后判断和是否相等:若相等,则该批的验证结果为真,表明这些数据包都是真实的,来源于所述指定的内容发布商,否则该批的验证结果为假,表明这些数据包中至少存在一个是虚假的。
14、8)与内容发布商直接相连的接入路由器,根据批量验证结果和该内容发布商的信誉度,做出以下决策:若验证结果为真,则标记该批中所有数据包并全部通过;若验证结果为假,则根据信誉度rep计算丢弃概率pd:
15、
16、即对该批中的每一个数据包,都以pd概率选择性丢弃,否则,数据包进入正常后续处理过程。
17、9)数据包经过的中间路由器,对标记过的数据包直接通过,对未经标记的数据包,提取出数据包中的验证概率字段p,以p概率性验证数据包,否则不执行数据包验证流程,对需要验证的数据包进行逐个验证。
18、10)中间路由器对需要验证的数据包进行逐个验证,对数据包中的数据d、签名(s1,s2)、公钥pk以及其他密码参数{g,mpk,h},计算a=h(m||s1),判断e(s2,g)和e(pka,mpk)*s1是否相等:若相等,则验证结果为真,通过该数据包;否则验证结果为假,丢弃该数据包。
19、本发明相比背景技术具有以下优点:
20、1、使用基于身份基签名的动态批量验证算法,大幅度减小了数据包在网络中被验证的开销,减轻了路由器的负担,避免了带宽浪费,提升了用户体验,能够有效抵御内容污染攻击。
21、2、对注入不同比例的虚假内容的内容发布商,评估其信誉度,自适应调整验证概率,在不丧失安全性的条件下,减少了验证次数;同时对恶意程度过大的内容发布商所发布的数据包,直接丢弃,抵御了潜在的拒绝服务攻击。
1.一种信息中心网络中的数据报文安全性验证方法,其特征在于,步骤如下:
2.根据权利要求1所述的一种信息中心网络中的数据报文安全性验证方法,其特征在于,步骤1)中对数据包进行签名的具体方法为:
3.根据权利要求1所述的一种信息中心网络中的数据报文安全性验证方法,其特征在于,步骤2)中周期性更新内容发布商的信誉度的具体方法为:
4.根据权利要求1所述的一种信息中心网络中的数据报文安全性验证方法,其特征在于,步骤3)的具体实现步骤为:
5.根据权利要求1所述的一种信息中心网络中的数据报文安全性验证方法,其特征在于,步骤4)的中间路由器上的数据包以一定的概率性进行验证过程,具体步骤为: