[发明专利]一种基于DANE的NDN安全认证方法

权利要求书

1.一种基于DANE的NDN安全认证方法，其中DANE为基于域名系统的命名实体认证，NDN为命名内容网络，该方法的步骤包括：

1)基于DANE建立适应NDN多种应用场景的信任模型；所述信任模型中，NDN采用的名字结构包含两个部分：表征内容发布者所在的区，内容在该区中的逻辑位置；内容的来源分为两类：权威发布者与内容源相同，权威发布者与内容源不同；基于内容来源场景，证书的信任位置分为两类：基于DNS层次，基于内容发布路径；

2)内容的权威发布者根据所述信任模型发布内容，并发布该内容对应的数字证书；

3)接收者向NDN路由器发送Interest消息，以请求获得该内容对应的数字证书；

4)NDN路由器接收到所述Interest消息后，如果在自身的缓存中有该数字证书，则按照基本NDN协议直接进行基于证书的数据验证，如果在自身缓存中没有该数字证书，则基于该内容中的区信息将该Interest消息向该区转发；

5)该区对应该内容的内容源节点接收到该Interest消息后，如果该内容源即为该内容的权威发布源，则内容源在反馈的数据包中携带的数据即为该内容的数字证书；如果该内容源不是该内容的权威发布源，则内容源在反馈的数据包中不仅包含该数字证书，还包含一表明权威发布源名字的字段。

2.如权利要求1所述的方法，其特征在于，所述Interest消息中包含的名字如下所示：

/Content/Certificate-type，

其中第一部分表征该内容名字，指示内容源所在区，第二个部分表征接收者需要请求的该内容对应的证书的类型。

3.如权利要求1所述的方法，其特征在于：步骤5)在第一种场景下，即如果该内容源即为该内容的权威发布源，如果接收者希望验证该证书，则基于该内容名字中区的层次结构按照DNSSEC/DANE流程进行验证，其中DNSSEC表示DNS安全扩展。

4.如权利要求1所述的方法，其特征在于：采用的NDN的Data数据包，其扩展格式包括名字、签名、签名信息、数据，其中签名包括摘要算法、签名数据，签名信息包括发布者的ID、密钥所处位置、签名有效期、表明权威发布源名字的TL字段。