[发明专利]一种基于聚合认证的高效网络路径认证方法

权利要求书

1.一种基于聚合认证的高效网络路径认证方法，其特征在于，包括以下步骤：

(1)源在处理数据包时先依据生成的特殊标识符将若干个数据包聚合成一组，对组进行路径认证计算后发送至下一跳；

(2)路由器在收到数据包后根据标识符将它们在输入队列中聚合成组，然后取出这一组数据包作为单个输入，进行处理；

(3)路由器重新计算路径认证，并将得到的路径证明与从所有数据包中提取的各单个数据包携带证明拼接而成的完整证明进行比较，来验证重新计算得到的路径证明的有效性；如果它们匹配，那么整组数据包就通过验证；

验证成功后，则路由器进一步用自身凭证来更新路径证明并将其重新分割到组内的所有数据包中；

(4)最后，路由器将这组数据包放入输出队列中并转发至下一跳，重复以上步骤直至抵达终点。

2.根据权利要求1所述的基于聚合认证的高效网络路径认证方法，其特征在于，步骤(1)中，存在三个单独的域：群组标签GroupTag、顺序标签OrderTag和群组大小GroupSize；其中，GroupTag用于唯一标识数据包组号，以防止不同组间的数据包混在一起；OrderTag用于显式指定组内每个数据包的排序顺序，以方便路由器重新排列验证域；GroupSize用来标识组内数据包的数量，以便路由器判断是否发生丢包现象。

3.根据权利要求2所述的基于聚合认证的高效网络路径认证方法，其特征在于，通过改变GroupSize来灵活调整数据包分组的大小。

4.根据权利要求1所述的基于聚合认证的高效网络路径认证方法，其特征在于，步骤(1)中，源对组进行路径认证计算的过程如下：

(1-1)对组内的所有数据包根据当前会话的标识符生成会话标识符SessionID，同时生成群组标签GroupTag、顺序标签OrderTag和群组大小GroupSize；

(1-2)根据第一个数据包的生成时间生成时间戳Timestamp，并封装进组内的第一个数据包；

(1-3)将组内所有数据包的有效载荷合并成一个整体，对其做哈希计算得到数据散列值DataHash并均匀分割到所有的数据包中；

(1-4)将会话标识符SessionID、数据散列值DataHash、时间戳Timestamp联立得到中间值h；

(1-5)对中间值h用目的地和源共享的密钥K_n做MAC计算得到初始签名σ₀；

(1-6)将初始签名σ₀赋值给签名σ并将其均匀分割到所有的数据包中；

(1-7)对路径上的所有节点，分别用对应密钥K_i对中间值h和临时签名σ_i-1联立得到的值做MAC计算得到验证域V_i；

(1-8)将验证域V_i均匀分割到每个数据包中；

(1-9)用节点对应密钥K_i对临时签名σ_i-1做MAC计算更新得到临时签名σ_i，继续计算验证域直到完成所有节点；

(1-10)将数据包发送至下一跳。

5.根据权利要求4所述的基于聚合认证的高效网络路径认证方法，其特征在于，步骤(1-5)中，密钥K_n的确定方式为：路由器根据各路由器自身标识符计算各自的密钥，然后路由器之间交换密钥。

6.根据权利要求4所述的基于聚合认证的高效网络路径认证方法，其特征在于，GroupTag、OrderTag、GroupSize、SessionID、Timestamp、DataHash都是作为辅助计算的前导域，负责进行验证的则是签名σ和各验证域V_i。