以信息為中心的網(wǎng)絡(luò)中的安全的點對點組的制作方法
【專利摘要】各公開的實施例包括在點對點以信息為中心的網(wǎng)絡(luò)ICN中建立安全發(fā)現(xiàn)和安全通信的方法、設(shè)備及系統(tǒng)。用戶設(shè)備(10)中的應(yīng)用(18)使用ICN(28)發(fā)送包含有由加密密鑰加密的關(guān)聯(lián)的服務(wù)名稱或前綴的發(fā)現(xiàn)興趣。提供者設(shè)備的ICN棧(26)上的提供者設(shè)備(20)發(fā)布發(fā)現(xiàn)協(xié)議SPDP(24)接收發(fā)現(xiàn)興趣并且使用加密密鑰驗證用戶設(shè)備。提供者設(shè)備SPDP向用戶設(shè)備返回數(shù)據(jù)單元PDU，用于使得用戶設(shè)備能夠訪問發(fā)布的服務(wù)，以及用戶設(shè)備建立與提供者設(shè)備的路由并且接收本地發(fā)布的服務(wù)。
【專利說明】
以信息為中心的網(wǎng)絡(luò)中的安全的點對點組
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及一種以信息為中心的網(wǎng)絡(luò)(ICN)，并且尤其涉及一種以信息為中心的網(wǎng)絡(luò)中的安全的點對點組的設(shè)備對設(shè)備通信。
【背景技術(shù)】
[0002]當(dāng)前，以信息為中心的網(wǎng)絡(luò)(Informat1n-centric Network，ICN)很適合實現(xiàn)用戶和服務(wù)提供者例如在點對點(Ad hoc)設(shè)備到設(shè)備(D2D)場景下發(fā)現(xiàn)和交換信息。然而，目前還沒有辦法實現(xiàn)安全的信息發(fā)現(xiàn)以及設(shè)備間基于需求的安全的信息交換。如零配置的協(xié)議不考慮點對點組的安全性。許多發(fā)現(xiàn)協(xié)議位于應(yīng)用(app)層，例如，Web服務(wù)發(fā)現(xiàn)，而不是在點對點網(wǎng)絡(luò)環(huán)境中。
[0003]需要一種系統(tǒng)和方法既能實現(xiàn)在ICN中安全的信息發(fā)現(xiàn)，并且還能實現(xiàn)設(shè)備間基于需求的安全的信息交換。

【發(fā)明內(nèi)容】

[0004]本公開提供一種在點對點以信息為中心的網(wǎng)絡(luò)ICN中建立安全發(fā)現(xiàn)和安全通信的方法、設(shè)備及系統(tǒng)。在本公開的一個實施例中，方法包括用戶設(shè)備中的應(yīng)用使用ICN發(fā)送包括由的加密密鑰加密的關(guān)聯(lián)的服務(wù)名稱或前綴發(fā)現(xiàn)興趣。在提供者設(shè)備的ICN棧上的提供者設(shè)備發(fā)布發(fā)現(xiàn)協(xié)議SPDP從ICN接收興趣發(fā)現(xiàn)，并且，查看是否有本地發(fā)布的服務(wù)與發(fā)現(xiàn)興趣中的服務(wù)名稱或前綴匹配，并且如果有，使用加密密鑰驗證用戶設(shè)備。提供者設(shè)備SPDP向用戶設(shè)備返回數(shù)據(jù)協(xié)議數(shù)據(jù)單元rou，用于使得用戶設(shè)備能夠訪問發(fā)布的服務(wù)，以及用戶設(shè)備建立與提供者設(shè)備的路由并且接收本地發(fā)布的服務(wù)。
[0005]在另一個實施例中，提供者設(shè)備用于實現(xiàn)該方法。
【附圖說明】
[0006]為了更完整地理解本公開及其優(yōu)點，現(xiàn)結(jié)合附圖并參照以下描述，其中，相同的數(shù)字表示相同的對象，并且其中:
[0007]圖1示出了設(shè)備上以信息為中心的網(wǎng)絡(luò)(Informat1n-centric Network，ICN)桟的框圖；
[0008]圖2示出了三個步驟/階段以實現(xiàn)安全的信息交換；
[0009]圖3示出了階段-O服務(wù)發(fā)布的框圖；
[0010]圖4A和圖4B示出了安全的服務(wù)發(fā)現(xiàn)的框圖；
[0011 ]圖5示出了安全的綁定用戶和提供者的框圖；
[0012]圖6示出了安全的組通信的框圖；
[0013]圖7示出了網(wǎng)絡(luò)單元的一實施例；以及
[0014]圖8示出了典型的、通用的網(wǎng)絡(luò)組件。
【具體實施方式】
[0015]本公開提供了實現(xiàn)在ICN中安全的信息發(fā)現(xiàn)和在點對點ICN場景下設(shè)備間基于需求的安全的信息交換的系統(tǒng)和方法。
[0016]參照圖1，本公開呈現(xiàn)了設(shè)備上可用的服務(wù)發(fā)布和發(fā)現(xiàn)效用，如用于服務(wù)發(fā)現(xiàn)的服務(wù)發(fā)布發(fā)現(xiàn)協(xié)議(service publishing discovery protocol，SPDP)。根據(jù)規(guī)則要求命名服務(wù)以及關(guān)聯(lián)服務(wù)，例如，哪些用戶或組可以訪問服務(wù)。路由是服務(wù)發(fā)現(xiàn)的結(jié)果。每個對于其它可發(fā)現(xiàn)的服務(wù)都具有身份憑證。在不失一般性時，假設(shè)身份憑證是公鑰(public key,PBK)和密鑰(private key，PRK)對(PBK/PRK)，并且PBK由一些信任管理機制諸如企業(yè)的PKI認(rèn)證。有用于設(shè)備或服務(wù)的認(rèn)證授權(quán)(certificate authority，CA)，例如，企業(yè)CA，并且CA的公鑰證書預(yù)先安裝在每個設(shè)備上。
[0017]本公開提供了三個步驟/階段以實現(xiàn)安全的信息交換，如圖2所示。階段I是安全的服務(wù)發(fā)現(xiàn)，其中服務(wù)可以僅被授權(quán)的用戶發(fā)現(xiàn)。階段2保證用戶和提供者之間的綁定，其中服務(wù)發(fā)現(xiàn)發(fā)起待設(shè)置路徑并且將服務(wù)與合法的用戶綁定。階段3保證信息交換，并確保數(shù)據(jù)本身在起源和完整性方面是安全的?？紤]到點對點，用于信息交換的密鑰應(yīng)該在本質(zhì)上是暫時性的。
[0018]參照圖3，服務(wù)發(fā)布協(xié)議與之前類似，只是在服務(wù)配置文件中加入了新字段:
[0019]字段<allowed_consumer>指定一組用戶或者被授權(quán)以發(fā)現(xiàn)和使用服務(wù)的組。
[0020]可支持多種類型的用戶ID，例如:
[0021]XXX = Hash(pbk_c)，其中pbk_c是與單個服務(wù)/用戶/設(shè)備相關(guān)聯(lián)的公鑰證書；
[0022]YYY = Hash(pbk_ca)，其中pubk_ca是CA的公鑰，例如，公司的企業(yè)CA;
[0023]ZZZ =認(rèn)證組ID，用戶ID等。
[0024]在階段I安全的服務(wù)發(fā)現(xiàn)中，假定一組設(shè)備上的服務(wù)附屬于同一組織。在一般情況下，設(shè)備本身是不可信任的。服務(wù)可以是一般的網(wǎng)絡(luò)服務(wù)或應(yīng)用，其中，用戶具有預(yù)信任，例如，社交應(yīng)用中，用戶在彼此的聯(lián)系人列表中。
[0025]對于預(yù)知信息(配置為服務(wù)的一部分)，安裝在設(shè)備上的服務(wù)具有用于彼此認(rèn)證的機制，其可以依賴于或者獨立于設(shè)備本身。例如，在共同轉(zhuǎn)讓的美國專利申請?zhí)枮開_，
名稱為“用于在內(nèi)容導(dǎo)向的網(wǎng)絡(luò)架構(gòu)中基于名稱的鄰居發(fā)現(xiàn)和多跳服務(wù)發(fā)現(xiàn)的方法”公開了服務(wù)發(fā)現(xiàn)機制，其教導(dǎo)的全部內(nèi)容通過引用結(jié)合于此?？梢酝ㄟ^可信的管理機制，例如PKI，對憑證，諸如公鑰證書，進(jìn)行驗證。每個服務(wù)都有共同的CA公鑰證書(pbk_ca)，使得它能夠驗證在另一服務(wù)以離線方式簽署的簽名(signatUre，sig)?？稍诜?wù)的安裝時間設(shè)置，或由設(shè)備的網(wǎng)絡(luò)管理員(IT Admin)設(shè)置。
_6] 階段I，安全的服務(wù)發(fā)現(xiàn):
[0027]參照圖4A和圖4B，示出了用于安全的服務(wù)發(fā)現(xiàn)的優(yōu)選實施例。
[0028]1.1.用戶設(shè)備上的應(yīng)用(APP)發(fā)送興趣<service_discovery，pbk_c，timestampor token，sig>，其中:
[0029]pbk_c是用戶應(yīng)用的公鑰；
[°03°] 用戶設(shè)備上的興趣協(xié)議數(shù)據(jù)單元(protocol data unit,F1DU)由prk_c標(biāo)記；
[0031]時間戳(timestamp)或會話令牌可用于防止發(fā)現(xiàn)協(xié)議的重放攻擊(http: //en.wikipedia.0rg/wiki/Replay_attack)；并且
[0032]可選地，可用于濾波目的，在其中包含名稱前綴，如先前確定的共同轉(zhuǎn)讓專利申請中所公開的。
[0033]1.2.由遠(yuǎn)程節(jié)點中的ICN接收并轉(zhuǎn)發(fā)興趣至本地服務(wù)SPDP。
[0034]1.3.發(fā)現(xiàn)協(xié)議到達(dá)服務(wù)提供者ICN棧的SPDP。如先前確定的共同轉(zhuǎn)讓專利申請中所公開的。
[0035]1.4.服務(wù)提供者中的SPDP檢查是否有與發(fā)現(xiàn)興趣中的名稱或前綴相匹配的本地發(fā)布的服務(wù)。
[0036]1.5.如果有，SI3DP用pbk_c驗證sig，并用pbk_ca驗證pbk_c，其中pbk_ca是CA的公鑰。
[0037]1.6.如果兩個驗證均通過，SPDP返回一個數(shù)據(jù)I3DlKrandon^name，Enc (service_profile，pbk_c))>，其中:
[0038]random_name是由提供者生成的偽隨機名稱，生存時間(time-to-live，TTL)也可與該實體關(guān)聯(lián)；
[0039]service_profile是匹配的本地發(fā)布的服務(wù)，其中包括真實的服務(wù)名稱；
[0040]service_prof iIe由pbk_c加密。用公鑰加密數(shù)據(jù)有不同的方式，例如，http: //en.wikipedia.0rg/wiki/Key_encapsulat1nο
[0041]如果驗證失敗，則不生成服務(wù)響應(yīng)，或服務(wù)發(fā)現(xiàn)可包括n-ack，以給用戶失敗的指不O
[0042]1.7.按照原有的發(fā)現(xiàn)協(xié)議，服務(wù)響應(yīng)數(shù)據(jù)rou被返還給用戶。還在用戶和服務(wù)提供者之間設(shè)置路由路徑，如先前確定的共同轉(zhuǎn)讓專利申請中所公開的，用random_name作為FIB條目中的名稱/前綴。
[0043]1.8.提供者SPDP在本地數(shù)據(jù)庫中保持映射的列表(service_name〈--->random_
name)。本地設(shè)備上的服務(wù)可讀取其發(fā)布的service_name的random_name0
[0044]1.9.當(dāng)SPDP接收到相同的服務(wù)名的新的發(fā)現(xiàn)興趣，STOP首先檢查是否有可用的用于service_prof ile的random_name，如果有，其在返回數(shù)據(jù)]3DU中使用random_name，而不生成用于相同servic e_pr of i I e的新的random_ name ο
[0045]階段2，保證用戶和提供者之間的綁定:
[0046]參照圖5，安全發(fā)現(xiàn)階段之后，ICN棧和所有中間節(jié)點己建立轉(zhuǎn)發(fā)信息庫(forwarding informat1n base，F(xiàn)IB)條目，以從提供者到達(dá)用戶，用random—name作為條目，如先前確定的共同轉(zhuǎn)讓專利申請中所公開的。
[0047]有利的是，這可防止未經(jīng)授權(quán)的用戶檢索random—name并稍后發(fā)送興趣D
[0048]2.1 ?接收數(shù)據(jù) PDU〈random—name，Enc( service—prof ile，pbk—c))>之后，用戶應(yīng)用
prk_c 角軍密，得到 service_prof ile和 service_name，并保持(service_name〈--->random_
name)的映射。
[0049]階段3，安全D2D通信:
[0050]發(fā)現(xiàn)和綁定階段后，提供者和用戶均具有(service—name〈--->random—name)的有效映射。所有中間節(jié)點具有其FIB中的random—name。由于在發(fā)現(xiàn)階段service—prof ile是加密的，ICN網(wǎng)絡(luò)不知道service—name ο[0051 ] 3.I.在用戶側(cè)的應(yīng)用發(fā)送興趣<random_name，pbk_c，sig>，以與服務(wù)提供者通信，其中sig是prk_c生成的簽名。
[0052]3.2.按照ICN協(xié)議，興趣被路由到提供者的服務(wù)應(yīng)用。
[0053]3.3.服務(wù)應(yīng)用檢查本地(861^;^6_的1116〈--->random_name)映射，并獲得相應(yīng)的
service_name0
[0054]3.4.服務(wù)應(yīng)用隨后生成數(shù)據(jù)有效載荷，作為通常應(yīng)用功能，并返回數(shù)據(jù)PDU〈random_name，Enc(payload，pbk_c))>?；蛘?，在其返回數(shù)據(jù)F1DU之前，服務(wù)應(yīng)用檢查其本地安全策略，pbk_c是否允許接收其數(shù)據(jù)。用pbk_c加密數(shù)據(jù)有效載荷可有多種方法，例如，http://en.wikipedia.0rg/wiki/Key encapsulat1n。
[0055]3.5.按照基本的ICN協(xié)議，PDU返回給用戶應(yīng)用。
[0056]3.6.應(yīng)用用口4_0解密數(shù)據(jù)有效載荷，并在其本地映射中獲得與random_name相應(yīng)的service_name。
[0057]3.7.應(yīng)用消耗數(shù)據(jù)<service_name，pay load〉。
[0058]階段3:安全的組通信:
[0059]現(xiàn)在參照圖6:
[0060]1.1組通信的情況下:
[ΟΟ?? ] 1.2每個用戶按照相同的安全發(fā)現(xiàn)協(xié)議來發(fā)現(xiàn)service_profile。
[0062]1.3在安全發(fā)現(xiàn)協(xié)議中，服務(wù)提供者SPDP首先生成對稱的group_sess1n_key，并返回數(shù)據(jù)PDU〈random_name，Enc(service_profile，group_sess1n_key，pbk_c))>，其中:
[0063 ] random_name是由提供者生成的偽隨機名稱；
[0064]service_profile與本地發(fā)布的服務(wù)匹配，其中包括真正的服務(wù)名稱；
[0065]Group_sess1n_key是組的對稱密鑰(例如AES);并且選項可適用于使用pbk_cWWservice_profile^Pgroup_sess1n_key0
[0066]I.4在步驟2.I 中，接收數(shù)據(jù)PDU〈random_name ,Enc (service_prof i Ie，group_sess1n_key，pbk_c))>之后，用戶應(yīng)用用prk_c解密數(shù)據(jù)]3DU，并得到service_prof iIe和
service_name ο 然后，其保持(service_name〈--->random_name<--->group_sess1n_key)
的映射。
[0067]1.5在如前面的情況下，random_name用于綁定服務(wù)與其用戶。當(dāng)另一組成員(比如
pbk_c2的用戶2)發(fā)現(xiàn)相同的服務(wù)名稱，提供者SPDP檢查是否有本地(service_name〈--->
random_name<--->group_sess1n_key)。如果有，其返回數(shù)據(jù)PDU〈random_name ,Enc
(service_prof ile，group_sess1n_key，pbk_c2))。類似于第一用戶，用戶2應(yīng)用用prk_c2解密數(shù)據(jù)rou，并獲得服務(wù)配置文件和服務(wù)名稱。通過這種方式，多個交互應(yīng)用對于相同的隨機名稱和組密鑰達(dá)成一致。相同的組密鑰加密的內(nèi)容可緩存在網(wǎng)絡(luò)中，并且可以使用組播。
[0068]1.6.用戶側(cè)中的應(yīng)用發(fā)送興趣<random_name>以與提供者服務(wù)通信。
[0069]1.7.按照ICN協(xié)議，興趣被路由到提供者中的服務(wù)應(yīng)用。
[0070]I.8服務(wù)應(yīng)用檢查本地<service_name，random_name>，并獲得相應(yīng)的 service_name ο
[0071]1.9.服務(wù)應(yīng)用隨后生成數(shù)據(jù)有效載荷，作為通常的應(yīng)用功能，并返回數(shù)據(jù)PDU〈random_name，Enc(payload，group_sess1n_key)>0
[0072]可選地，返回數(shù)據(jù)rou之前，服務(wù)檢查其本地安全策略是否允許pbk_c接收其數(shù)據(jù)。
[0073]同樣地，使用pbk_c加密數(shù)據(jù)有效載荷可以有多種方式，例如，http://en.wikipedia.0rg/wiki/Key_encapsulat1nο
[0074]1.10.按照基本ICN協(xié)議，PDU返回至用戶應(yīng)用。
[0075]1.11.應(yīng)用用group_sess1n_key解密數(shù)據(jù)有效負(fù)載，并且在其本地映射獲得與random_name相應(yīng)的 service_name。
[0076]1.12.應(yīng)用消耗數(shù)據(jù)<random_name，payload>。
[0077]圖7示出了網(wǎng)絡(luò)單元1000的實施例，其可為任何通過網(wǎng)絡(luò)100傳輸以及處理數(shù)據(jù)的設(shè)備。例如，網(wǎng)絡(luò)單元1000可以對應(yīng)于或可以位于任何上述系統(tǒng)節(jié)點，例如一個的麗、PoA、內(nèi)容路由器R以及AS。網(wǎng)絡(luò)單元1000也可以被配置用于實現(xiàn)或支持上述方案和方法。網(wǎng)絡(luò)單元1000可以包括連接到接收器(Rx) 1012的一個或多個進(jìn)端口( ingress ports)或單元1010，用于從其它網(wǎng)絡(luò)組件接收信號以及幀/數(shù)據(jù)接收器。網(wǎng)絡(luò)單元1000可以包括內(nèi)容感知單元1020，用來確定向哪些網(wǎng)絡(luò)組件發(fā)送內(nèi)容。內(nèi)容感知單元1020可使用硬件、軟件、或兩者來實現(xiàn)。網(wǎng)絡(luò)單元1000還可以包括連接到發(fā)射機(Tx) 1032的一個或多個出端口(egressports)或單元1030，用于發(fā)送信號及幀/數(shù)據(jù)至其他網(wǎng)絡(luò)組件。接收器1012、內(nèi)容感知單元1020，以及發(fā)送器1032還可以被配置用于執(zhí)行至少一些上述所公開的方案和方法，其可以基于硬件、軟件、或者兩者?？扇鐖D7設(shè)置網(wǎng)絡(luò)單元1000的組件。
[0078]內(nèi)容感知單元1020還可以包括可編程內(nèi)容轉(zhuǎn)發(fā)面塊1028以及一個或多個可連接到可編程內(nèi)容轉(zhuǎn)發(fā)面塊1028的存儲塊1022?？删幊虄?nèi)容轉(zhuǎn)發(fā)面塊1028可配置為實現(xiàn)內(nèi)容轉(zhuǎn)發(fā)和處理功能，如在應(yīng)用層或L3，其中內(nèi)容可以基于內(nèi)容名稱或前綴以及其它與內(nèi)容相關(guān)的、可將內(nèi)容映射到網(wǎng)絡(luò)業(yè)務(wù)的信息而被轉(zhuǎn)發(fā)。這樣的映射信息可被保持在內(nèi)容感知單元1020或網(wǎng)絡(luò)單元1000中的一個或多個表中(例如，CS，PIT和FIB)?？删幊虄?nèi)容轉(zhuǎn)發(fā)面塊1028可以解讀用戶對于內(nèi)容以及相應(yīng)地獲取內(nèi)容的請求，例如，基于元數(shù)據(jù)和/或內(nèi)容名稱(前綴)，該內(nèi)容從網(wǎng)絡(luò)或其它內(nèi)容路由器，并且可編程內(nèi)容轉(zhuǎn)發(fā)面塊1028可以例如臨時性地在存儲塊1022中存儲內(nèi)容?？删幊虄?nèi)容轉(zhuǎn)發(fā)面塊1028可使用軟件，硬件，或兩者實現(xiàn)，并且可以在IP層或L2上操作。
[0079]存儲塊1022可以包括用于臨時存儲內(nèi)容的緩存1024，例如是由訂戶(subscriber)請求的內(nèi)容。此外，存儲塊1022可以包括用于相對長期存儲內(nèi)容的長期存儲1026，如發(fā)布者提交的內(nèi)容。例如，緩存1024和長期存儲1026可以包括動態(tài)隨機存取存儲器(Dynamicrandom-access memories，DRAM)、固態(tài)硬盤(8011(1-8七&七6 drives ,SSD)、硬盤，或其組合。
[0080]上面描述的網(wǎng)絡(luò)組件可在任何通用網(wǎng)絡(luò)組件上實現(xiàn)，諸如具有足夠的處理能力、存儲資源和網(wǎng)絡(luò)吞吐能力來處理在其上的必要工作負(fù)荷的計算機或網(wǎng)絡(luò)組件。圖8示出了典型的，通用網(wǎng)絡(luò)組件1100，適于實現(xiàn)此處公開的一個或多個實施例。網(wǎng)絡(luò)組件1100包括處理器1102(其可為中央處理單元或CPU)，其與包括具有輔助存儲器1104的存儲設(shè)備、只讀存儲器(read only memory，ROM)1106、隨機存取存儲器(random access memory，RAM)1108、輸入/輸出(I/o)設(shè)備1110以及網(wǎng)絡(luò)連接設(shè)備1112通信。處理器1102可以作為一個或多個CPU芯片、或者可以是一個或多個專用集成電路(ASIC)的一部分實現(xiàn)。
[0081]輔助存儲1104典型地包括一個或多個硬盤驅(qū)動器或磁盤驅(qū)動器，并用于數(shù)據(jù)的非易失性存儲，如果RAM 1108不足以容納所有工作數(shù)據(jù)，其還作為溢出數(shù)據(jù)存儲設(shè)備。當(dāng)選擇了程序用于執(zhí)行時，輔助存儲1104可以用于存儲載入RAM 108的程序。該ROM 1106用于存儲指令以及在程序執(zhí)行期間可能讀取的數(shù)據(jù)。ROM 1106是非易失性存儲設(shè)備，并且典型地相對于具有較大存儲能力的輔助存儲器1104具有較小存儲能力。RAM 1108用于存儲易失性數(shù)據(jù)以及可能存儲指令。對ROM 1106和RAM 1108的訪問典型地快于輔助存儲1104。
[0082]對在本申請文件全文中使用的特定詞語以及短語進(jìn)行定義是有利的。術(shù)語“包括”和“包含”以及它們的衍生物，是指沒有限制的包括。術(shù)語“或”是包含的，意味著和/或?！坝嘘P(guān)聯(lián)”和“與其相關(guān)聯(lián)”以及其衍生的短語的意思是包括，被包括在內(nèi)，與......互連，包含，
被包含在內(nèi)，連接到或與，耦合到或與，可與通信，可與合作，交織，并列，接近，被綁定到或與，具有，具有的特性，等等。
[0083]雖然本公開描述了某些實施例和通常相關(guān)方法，這些實施例以及方法的變化和排列對于本領(lǐng)域技術(shù)人員是顯而易見的。因此，示例實施例的上述描述并不限定或約束本公開。在不脫離本公開的精神和范圍的前提下，其它的變化、替換和更改也是可能的，其由下面的權(quán)利要求所限定。
【主權(quán)項】
1.一種在點對點以信息為中心的網(wǎng)絡(luò)ICN中建立安全發(fā)現(xiàn)和安全通信的方法，包括: 用戶設(shè)備中的應(yīng)用使用所述ICN發(fā)送包括由加密密鑰簽署的關(guān)聯(lián)的服務(wù)名稱或前綴的發(fā)現(xiàn)興趣； 在提供者設(shè)備的ICN棧上的提供者設(shè)備發(fā)布發(fā)現(xiàn)協(xié)議SPDP從所述ICN接收所述興趣發(fā)現(xiàn)，并且檢查是否有本地發(fā)布的服務(wù)與所述發(fā)現(xiàn)興趣中的所述服務(wù)名稱或前綴匹配，如果有，使用所述加密密鑰驗證所述用戶設(shè)備； 所述提供者設(shè)備SPDP向所述用戶設(shè)備返回數(shù)據(jù)協(xié)議數(shù)據(jù)單元PDU，用于使得所述用戶設(shè)備能夠訪問所述本地發(fā)布的服務(wù);以及 所述用戶設(shè)備建立與所述提供者設(shè)備的路由并且接收所述本地發(fā)布的服務(wù)。2.根據(jù)權(quán)利要求1所述的方法，其中，所述數(shù)據(jù)PDU包括隨機名稱、服務(wù)配置文件以及公鑰。3.根據(jù)權(quán)利要求2所述的方法，其中，所述隨機名稱是由所述提供者設(shè)備生成的偽隨機名稱，并且所述服務(wù)配置文件是包括真實服務(wù)名稱的所述匹配的本地公開的服務(wù)。4.根據(jù)權(quán)利要求3所述的方法，其中，所述提供者設(shè)備SPDP具有保持服務(wù)名稱映射到偽隨機名稱列表的本地數(shù)據(jù)庫。5.根據(jù)權(quán)利要求4所述的方法，其中，當(dāng)所述提供者設(shè)備SPDP接收到用于所述相同的服務(wù)名稱的新發(fā)現(xiàn)興趣時，其首先檢查是否有用于所述服務(wù)配置文件的映射的隨機名稱，如果有，將所述隨機名稱包含在返回的數(shù)據(jù)PDU中而不為所述相同的服務(wù)配置文件生成新的隨機名稱，并且通過加密所述發(fā)現(xiàn)響應(yīng)進(jìn)行響應(yīng)。6.根據(jù)權(quán)利要求2所述的方法，其中，所述提供者設(shè)備ICN棧、所述用戶設(shè)備的ICN棧以及所述ICN的中間節(jié)點具有轉(zhuǎn)發(fā)信息庫FIB條目，用于使得所述用戶設(shè)備能夠使用作為條目的所述隨機名稱到達(dá)所述提供者設(shè)備。7.根據(jù)權(quán)利要求1所述的方法，其中，一旦接收到所述數(shù)據(jù)rou，所述用戶設(shè)備應(yīng)用解密所述數(shù)據(jù)rou，以獲得所述服務(wù)配置文件以及服務(wù)名稱。8.根據(jù)權(quán)利要求4所述的方法，其中，所述用戶設(shè)備保持所述服務(wù)名稱與隨機名稱的映射。9.根據(jù)權(quán)利要求2所述的方法，其中，所述用戶設(shè)備應(yīng)用通過ICN協(xié)議向所述提供者設(shè)備發(fā)送由所述加密密鑰簽署的服務(wù)興趣并且包含其關(guān)聯(lián)的隨機名稱。10.根據(jù)權(quán)利要求9所述的方法，其中，所述提供者設(shè)備使用本地映射檢查所述關(guān)聯(lián)的隨機名稱，并且獲得相應(yīng)的服務(wù)名稱。11.根據(jù)權(quán)利要求10所述的方法，其中，所述提供者設(shè)備查看其本地安全策略，所述加密密鑰是否被授權(quán)用于向所述用戶設(shè)備返回所述數(shù)據(jù)rou。12.根據(jù)權(quán)利要求10所述的方法，其中，所述提供者設(shè)備生成數(shù)據(jù)有效載荷，并且使用ICN協(xié)議向所述用戶設(shè)備返回包含有使用所述加密密鑰加密的數(shù)據(jù)有效載荷的數(shù)據(jù)rou。13.根據(jù)權(quán)利要求1所述的方法，其中，所述數(shù)據(jù)PDU包括隨機名稱、服務(wù)配置文件以及組會話密鑰。14.根據(jù)權(quán)利要求13所述的方法，其中，多個所述用戶設(shè)備使用所述ICN發(fā)送包含由加密密鑰加密的服務(wù)名稱或前綴的發(fā)現(xiàn)興趣，以及接收并且使用所述組會話密鑰解密所述數(shù)據(jù)rou，以獲得所述相同的隨機名稱以及服務(wù)配置文件。15.—種用于在點對點以信息為中心的網(wǎng)絡(luò)ICN中建立安全發(fā)現(xiàn)以及安全通信的提供者設(shè)備，包括: 所述提供者設(shè)備，用于從用戶設(shè)備的應(yīng)用接收包含有由加密密鑰簽署的關(guān)聯(lián)的服務(wù)名稱或前綴的發(fā)現(xiàn)興趣； 所述提供者設(shè)備包含有ICN棧上的提供者設(shè)備發(fā)布發(fā)現(xiàn)協(xié)議SPDP，用于從所述ICN接收所述發(fā)現(xiàn)興趣并且檢查是否有本地發(fā)布的服務(wù)與在所述發(fā)現(xiàn)興趣中所述服務(wù)名稱或前綴匹配，如果有，使用所述加密密鑰驗證所述用戶設(shè)備； 所述提供者設(shè)備spdp，用于向所述用戶設(shè)備返回數(shù)據(jù)協(xié)議數(shù)據(jù)單元rou，用于使得所述用戶設(shè)備能夠訪問所述本地發(fā)布的服務(wù);以及 所述用戶設(shè)備，用于建立與所述提供者設(shè)備的路由并且接收所述本地發(fā)布的服務(wù)。16.根據(jù)權(quán)利要求15所述的提供者設(shè)備，其中，所述數(shù)據(jù)rou包括隨機名稱、服務(wù)配置文件以及公鑰。17.根據(jù)權(quán)利要求16所述的提供者設(shè)備，其中，所述隨機名稱是由所述提供者設(shè)備生成的偽隨機名稱，并且所述服務(wù)配置文件是包括真實服務(wù)名稱的所述匹配的本地公開的服務(wù)。18.根據(jù)權(quán)利要求17所述的提供者設(shè)備，其中，所述提供者設(shè)備SPDP具有保持服務(wù)名稱映射到偽隨機名稱列表的本地數(shù)據(jù)庫。19.根據(jù)權(quán)利要求18所述的提供者設(shè)備，其中，用于當(dāng)所述提供者設(shè)備SPDP接收到用于所述相同的服務(wù)名稱的新發(fā)現(xiàn)興趣時，其首先檢查是否有用于所述服務(wù)配置文件的映射的隨機名稱，如果有，將所述隨機名稱包含在返回的數(shù)據(jù)rou中而不為所述相同的服務(wù)配置文件生成新的隨機名稱，并且通過加密所述發(fā)現(xiàn)響應(yīng)進(jìn)行響應(yīng)。20.根據(jù)權(quán)利要求16所述的提供者設(shè)備，其中，所述提供者設(shè)備ICN棧、所述用戶設(shè)備的ICN棧以及所述ICN的中間節(jié)點具有轉(zhuǎn)發(fā)信息庫FIB條目，用于使得所述用戶設(shè)備能夠使用作為條目的所述隨機名稱到達(dá)所述提供者設(shè)備。21.根據(jù)權(quán)利要求15所述的提供者設(shè)備，其中，所述提供者設(shè)備用于使得一旦所述用戶設(shè)備應(yīng)用接收到所述數(shù)據(jù)rou，解密所述數(shù)據(jù)rou，以獲得所述服務(wù)配置文件以及服務(wù)名稱。22.根據(jù)權(quán)利要求18所述的提供者設(shè)備，其中，所述提供者設(shè)備用于使得所述用戶設(shè)備保持所述服務(wù)名稱與隨機名稱的映射。23.根據(jù)權(quán)利要求16所述的提供者設(shè)備，其中，所述提供者設(shè)備用于通過ICN協(xié)議從所述用戶設(shè)備應(yīng)用接收由所述加密密鑰簽署的服務(wù)興趣并且包含其關(guān)聯(lián)的隨機名稱。24.根據(jù)權(quán)利要求23所述的提供者設(shè)備，其中，所述提供者設(shè)備用于使用本地映射檢查所述關(guān)聯(lián)的隨機名稱，并且獲得相應(yīng)的服務(wù)名稱。25.根據(jù)權(quán)利要求24所述的提供者設(shè)備，其中，所述提供者設(shè)備用于查看其本地安全策略，所述加密密鑰是否被授權(quán)用于向所述用戶設(shè)備返回所述數(shù)據(jù)rou。26.根據(jù)權(quán)利要求24所述的提供者設(shè)備，其中，所述提供者設(shè)備用于生成數(shù)據(jù)有效載荷，并且使用ICN協(xié)議向所述用戶設(shè)備返回包含有使用所述加密密鑰加密的數(shù)據(jù)有效載荷的數(shù)據(jù)rou。27.根據(jù)權(quán)利要求15所述的提供者設(shè)備，其中，所述數(shù)據(jù)rou包括隨機名稱、服務(wù)配置文件以及組會話密鑰。28.根據(jù)權(quán)利要求27所述的提供者設(shè)備，其中，所述提供者設(shè)備用于使用所述ICN從多個所述用戶設(shè)備接收包含由所述組會話密鑰加密的關(guān)聯(lián)的服務(wù)名稱或前綴的發(fā)現(xiàn)興趣。
【文檔編號】H04W8/00GK105917689SQ201580004885
【公開日】2016年8月31日
【申請日】2015年1月20日
【發(fā)明人】瑞維享卡·瑞維達(dá)冉, 張新文, 王國強
【申請人】華為技術(shù)有限公司