在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议的制作方法
【专利说明】在信息中心网络中通过信任锚点扩増基于名称/前缀的路由协议
相关申请案交叉申请
[0001]本发明要求2013年8月20日由张新文(Xinwen Zhang)等人递交的发明名称为“在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议(AugmentingName/Prefix based Routing Protocols With Trust Anchor In Informat1n-CentricNetworks) ”的第13/970,713号美国非临时专利申请案的在先申请优先权,第13/970,713号美国非临时专利申请案要求2013年3月13日由张新文(Xinwen Zhang)等人递交的发明名称为“用于在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议的方法(Method For Augmenting Name/Prefix Based Routing Protocols With Trust Anchor InInformat1n-Centric Networks) ”的第61/780,805号美国临时专利申请案的在先申请优先权,所述两个在先申请的内容以引入的方式并入本文本中,如同全文复制一样。
关于由联邦政府赞助研究或开发的声明
[0002]不适用。
参考缩微胶片附录
[0003]不适用。
技术领域
无
【背景技术】
[0004]现代通信和数据网络包括网络节点,例如,路由器、切换器、网桥和通过网络传输数据的其它装置。近年来,电信行业对网络节点进行了显著改进以支持通过因特网工程任务小组(IETF)标准化的增大数目的协议和规范。形成和耦合复杂网络节点以形成支持和实施各种IETF标准(例如,虚拟专用网络要求)的网络已使现代网络变得复杂且难以管理。因此,销售商和第三方运营商设法定制、优化和改进网络节点的交织网络的性能。
[0005]信息中心网络(ICN)是关注于定位信息和提供信息给用户而非关注于连接交换数据的终端主机的网络架构类型。一种类型的ICN是内容取向网络(C0N)。在也称为内容中心网络(CCN)的CON中,内容路由器负责将用户请求和内容路由到适当接收方。实体可以包括视频片段或网页等数据内容和/或路由器、切换器或服务器等基础设施元件。
[0006]ICN优于现有互联网协议(IP)网络,优越之处在于将通信模型从互联网模型等当前主机到主机模型转移到ICN模型等信息对象到对象模型。在ICN中,信息对象变为用于存在于通信模型中的实体的第一类抽象。信息对象被指派有名称,并且基于那些名称路由到此类命名对象和从此类命名对象路由。在ICN中,IP地址可以作为特殊类型的名称得到处理。想要检索信息对象的用户不需要知晓他们位于何处,这不同于其中用户必须在向外发送此类请求时指定目的地主机的IP地址的当前IP网络。
[0007]因此,ICN和其它基于内容的互联网架构使用内容名称或前缀作为路由标签,使得路由器基于嵌入在请求包中的内容名称、前缀或标识(ID)将数据请求路由到下一跳节点。在没有内置式信任验证机制的情况下,僵尸网络等恶意客户端可以将伪造的前缀注入到网络中。这些恶意行为可能消耗昂贵的网络资源并且降级或甚至防止良性用户的访问,例如,在涉及路由器等网络基础设施中的一或多个组件的拒绝服务(DoS)或分布式DoS(DDoS)攻击中。其它恶意客户端可能公开电子内容的良性发布者的内容名称和/或前缀,从而防止用户接收有效数据,例如,在涉及内容提供商/所有者的DoS攻击中。具有表面和/或前缀的速率控制等所提出的解决方案已经证实为在很大程度上是低效的,这是由于恶意客户端的自适应行为,例如,虚构的名称和/或表面,以及由于不断增加的处理需求引起的用户的体验质量(QoE)的潜在降级。
【发明内容】
[0008]在一个实施例中,本发明包含一种设备,所述设备包括:存储器、親合到存储器的处理器,其中存储器含有指令,所述指令在通过处理器执行时使得设备执行以下操作:接收ICN名称前缀通知消息,所述消息包括特定于耦合到ICN或包括在ICN内的内容发布者节点的消息前缀、特定于内容发布者的公共密钥加密证书以及特定于内容发布者的数字签名;用名称注册服务(NRS)验证签名;以及更新指示内容发布者是受信任发布者的内部数据,其中内部数据包括前缀、公共密钥和签名。
[0009]在另一实施例中,本发明包含计算机程序产品,所述计算机程序产品包括储存在非暂时性媒体上的计算机可执行指令,所述指令在由处理器执行时使得所述处理器:经由第一表面接收包括前缀和数字签名的ICN名称前缀通知消息;查询用于对应于第一表面、前缀和签名的表项的数据表;当表项存在于表中时经由第二表面转发前缀通知,并且当表项并不存在于表中时,将签名验证请求发送到NRS,其中请求包括签名;当响应于请求从NRS中接收验证失败指示时删除数据,并且当响应于请求从NRS接收验证确认指示时,形成对应于第一表面、前缀和签名的表项;并且经由第二表面转发前缀通知消息。
[0010]在又另一实施例中,本发明包含执行基于名称前缀的路由协议的方法,包括接收包括前缀、签名和公共密钥证书的第一信息中心网络(ICN)名称前缀通知消息;查询用于对应于前缀通知消息的项的路由表,其中路由表包括用于每个项字段的前缀、签名和公共密钥加密证书字段;在接收项存在于路由表中的确认之后转发数据请求,并且在接收项并不存在于路由表中的确认之后将签名验证请求发送到NRS ;在接收来自NRS的验证失败指示之后删除第一前缀通知消息,并且在接收来自NRS的验证确认之后,形成对应于前缀、签名和公共密钥的路由表项;并且经由第二表面发送第二前缀通知消息。
[0011]从结合附图以及权利要求书进行的以下详细描述中将更清楚地理解这些以及其它特征。
【附图说明】
[0012]为了更透彻地理解本发明,现参阅结合附图和【具体实施方式】而描述的以下简要说明,其中相同参考标号表不相同部分。
[0013]图1是描绘涉及ICN网络基础设施的组件的DoS攻击的系统的示意图。
[0014]图2是描绘涉及内容发布者的DDoS攻击的系统的示意图。
[0015]图3是网络元件的一个实施例的示意图。
[0016]图4示出了用于内容发布者的引导名称注册过程。
[0017]图5示出了在第一路由器与第二路由器之间的基于链路的安全会话密钥(SSK)建立过程。
[0018]图6示出了用于名称前缀通知的协议图。
[0019]图7示出了用于名称前缀撤销的协议图。
[0020]图8示出了 ICN网络基础设施中的信任扩增路由系统。
【具体实施方式】
[0021]首先应理解,尽管下文提供一个或多个实施例的说明性实施方案,但所揭示的系统和/或方法可使用任何数目的技术来实施,无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施方案、附图和技术,包括本文所说明并描述的示例性设计和实施方案,而是可在所附权利要求书的范围以及其等效物的完整范围内修改。
[0022]图1是描绘涉及ICN网络基础设施102的组件的DoS攻击的系统100的示意图。ICN网络基础设施102包括路由器104、106和108。系统100含有自发系统和/或僵尸网络112的网络110。僵尸网络可以被定义为与其它类似程序通信的互联网连接的程序的集合以便执行任务,例如,在单个外部路由策略下操作。系统100进一步含有僵尸网络116的网络114。网络110和114可以与ICN网络基础设施102通信。僵尸网络112和116可以通过命令和控制信道118进行控制。命令和控制信道118可协调涉及ICN网络基础设施102的僵尸网络攻击,例如,DDoS攻击。
[0023]举例来说,命令和控制信道118可指导网络114的僵尸网络116攻击路由器108。命令和控制信道118可获得ICN网络基础设施