论文部分内容阅读
命名数据网络(named data network,NDN)是一种以信息和内容为中心的网络,摒弃了对IP地址的依赖,解决了传统网络在大数据传输中的瓶颈问题以及IP地址耗尽的危机。其以内容为中心的网络模型以及灵活的路由策略在带来优势的同时,也引入了很多安全挑战。因此安全成为了基础应用组件的一部分,为其设计一种全球可用的、易用的安全基础设施(Security Infrastructure,SI)成为一个亟待解决的问题。考虑到NDN中层级的数据命名方式以及层次身份基密码系统中层次化分配私钥的特点,本文首先给出了一个基于层次身份基密码系统的SI设计方案。将数据命名树和密钥分配树相融合,即把内容发布机构名加入到内容名中,直接以内容名所对应的私钥对数据进行签名,来实现消息认证。同时采用以接收者身份对数据签密的方式,实现了非安全信道上端到端的保密通信。最后对方案的安全性和效率进行了分析,与基于CA信任机制的方案相比,降低了通信开销以及证书管理带来的资源投入,提高了使用效率。针对第一个方案在一对多的保密通信中需要计算多份密文,不能充分利用NDN缓存机制的缺陷,本文中又提出一种多PKG环境下身份基多接收者签密方案。该方案在给出的安全性模型下具有抗选择性选择密文攻击安全,且满足选择消息攻击下签名存在性不可伪造。依赖于该签密方案提出了一种新的SI设计方案。新的方案中,用数据发布者的私钥对数据进行签名,并将签名者的身份信息存放在数据包的Sign Info字段中实现消息可认证性。在多接收者的保密通信中,只需对数据进行一次加密,减少了数据发送者的计算负担,比较适合用于一对多的保密通信环境。