针对内容导向网络创建和管理差异化安全框架的方法和设备

摘要

一种网络部件，其包括：接收器，用于从发布者接收签名内容项和关联的安全信息，其中所述安全信息指示多个组中可以访问所述签名内容项的组；存储单元，用于缓存所述内容项和所述关联的安全信息；处理器，用于实施规程以执行由所述安全信息定义的安全策略；以及发射器，用于在用户是由所述安全信息指示为有权访问所述签名内容项的组中的成员的情况下，将所述签名内容项从缓冲存储器发送到所述用户。

说明书

相关申请案的交叉参考

本发明要求2011年1月5日由张新文（Xinwen Zhang）等人递交的 发明名称为“针对内容导向网络创建和管理差异化安全框架的方法和设备 （Method and Apparatus to Create and Manage Differentiated Security Framework for  Content Oriented Networks）”的第61/429,827号美国临时专利申请案以及2011 年9月7日由张新文（Xinwen Zhang）等人递交的发明名称为“针对内容导向网 络创建和管理差异化安全框架的方法和设备（Method and Apparatus to Create and  Manage Differentiated Security Framework for Content Oriented Networks）”的第 13/226605号美国专利申请案的在先申请优先权，上述在先申请的内容以引入的 方式并入本文本中。

技术领域

本发明涉及通信网络，确切地说，涉及针对内容导向网络创建和管 理差异化安全框架。

背景技术

在内容导向网络（CON）中，内容路由器用于将用户请求和内容路 由至合适的接收方。在CON中，域范围内唯一的名称会分配给作为内容传送框 架的一部分的每个实体。这些实体可包括视频剪辑或网页等数据内容，和/或路 由器、交换机或服务器等基础设施元件。内容路由器使用名称前缀在内容网络中 路由内容包，这些名称前缀可用完整的内容名称或内容名称的适当前缀来替代网 络地址。

发明内容

在一项实施例中，本发明包括一种网络部件，所述网络部件包括： 接收器，用于从发布方接收签名内容项和关联的安全信息，其中所述安全信息指 示多个组中可以访问所述签名内容项的组；存储单元，用于缓存所述内容项和所 述关联的安全信息；处理器，用于实施规程以执行由所述安全信息定义的安全策 略；以及发射器，用于在订阅方是由所述安全信息指示为有权访问所述签名内容 项的组中的成员的情况下，将所述签名内容项从缓冲存储器发送到所述订阅方。

在另一项实施例中，本发明包括内容路由器，所述内容路由器包括： 存储器，用于存储签名内容项和关联的安全策略，其中所述签名内容项接收自内 容导向网络（CON）中的多位用户中的第一位用户，其中所述安全策略指示多 个组中可以访问所述签名内容项的组的成员；以及处理器，用于执行所述签名内 容项的所述关联的安全策略。

在另一项实施例中，本发明包括一种用于针对共享内容执行多个安 全策略的系统，所述系统包括：内容导向网络（CON），其包括多个内容路由器； 以及耦接到所述CON的多个边缘节点，其中所述边缘节点用于将第一组用户耦 接到所述CON并将第二组用户耦接到所述CON，其中所述第一组用户关联第一 内容项的第一安全策略，其中所述第一安全策略由所述第一组用户创建，以及其 中所述第二组用户关联第二内容项的第二安全策略，其中所述第二安全策略由所 述第二组用户创建，其中所述第一安全策略不同于所述第二安全策略，以及其中 所述CON用于实施所述第一安全策略和所述第二安全策略。

在另一项实施例中，本发明包括一种网络设备实施方法，所述方法 包括：在接收器处从发布方接收发布方签名内容项；通过处理器对所述发布方签 名内容项进行加密；将已加密的发布方签名内容项存储在存储器中；以及通过处 理器执行发布方定义的安全策略以向所述已加密的发布方签名内容项提供安全 性。

通过结合附图和权利要求书进行的以下详细描述将更清楚地理解这 些和其它特征。

附图说明

为了更完整地理解本发明，现在参考以下结合附图和详细描述进行 的简要描述，其中相同参考标号表示相同部分。

图1是CON的一项实施例的示意图。

图2是CON架构的一项实施例的示意图。

图3是第一级别安全方案的一项实施例的示意图。

图4是第二级别安全方案的一项实施例的示意图。

图5是第三级别安全方案的一项实施例的示意图。

图6是第三级别安全方案的另一项实施例的示意图。

图7是CON安全性方法的一项实施例的流程图。

图8是网络单元的一项实施例的示意图。

图9为通用计算机系统的一项实施例的示意图。

具体实施方式

首先应理解，尽管下文提供一个或一个以上实施例的说明性实施方 案，但可使用许多种技术，不管是当前已知还是现有的，来实施所揭示的系统和 /或方法。本发明决不应限于下文所说明的说明性实施方案、附图和技术，包含 本文本所说明并描述的示例性设计和实施方案，而是可在所附权利要求书的范围 以及其等效物的完整范围内修改。

在CON中，包括发布、请求、管理（例如，修改、删除等）的内容 传送是基于内容名称。CON不同于传统互联网协议（IP）网络的一个方面在于， CON能够将多个地理点互连，并暂时或更为持久地缓存内容。这可以实现从网 络而非初始服务器提供内容，因此可以显著改进用户体验。就已处理数据的性能、 安全性和可靠性而言，CON的缓存功能可对用户有若干暗示。此暗示可取决于 CON和用户之间的服务水平协议（SLA）。例如，用户可委托CON管理其所有 数据，其中可包括严格的SLA要求。关于性能、安全性和/或可靠性，此SLA要 求在内容传送的上下文中可能要求服务差异化。或者，通过首先以优先顺序排列 其优选用户，CON可能仅提供尽力内容传播服务

本文本中公开一种用于在CON的用户之间提供安全级别服务差异化 的系统和方法。所述系统和方法可针对CON中的不同用户或用户类创建和管理 不同安全级别。提供的安全级别服务差异化可能遍及用于避免网络内外的恶意攻 击、信任管理相关问题等的多个安全方面，例如，已发布数据私密性、永久或缓 存数据完整性，及/或其他安全方面。就其他用户的私密性和可访问性而言，安 全差异化可以保护已发布数据。

图1所示为CON100的一项实施例，其中内容可基于名称前缀进行 路由并基于请求传送到客户。CON100可包括具有多个节点的网络域110，例如 互联网协议（IP）域、多协议标签交换（MPLS）域或以太网域。网络域110可 包括多个内部节点112和多个内容路由器114，这些部件可通过固定连接等网络 链路而彼此耦接。内容路由器114可经由多个接入网络140耦接到多个客户节点 120，并耦接到客户站点150，如图1所示。CON100还可包括管理平面160， 其可与内部节点112和/或内容路由器114进行通信。

内部节点112可以是支持通过CON100传送帧和/或包等业务的任何 节点、装置或部件。内部节点112可将业务传送到相同网络域110中的其它节点 或从所述其它节点接收业务。例如，内部节点112可以是路由器、交换机或网桥， 例如，骨干核心网桥（BCB）、提供方核心网桥（PCB），或标签交换路由器（LSR）。 内部节点112也可以是根据内容名称前缀转发内容的内容路由器114。内容路由 器114可以是支持在网络域110和外部部件之间传送业务的任何节点、装置或部 件。内容路由器114可以是根据客户请求或命令等将内容业务从内部节点110转 发到客户节点120和/或客户站点150的边缘节点。内容路由器114也可从客户 节点120接收内容请求。例如，内容路由器可以为根据内容名称前缀转发内容的 骨干网边缘网桥（BEB）、提供方边缘网桥（PEB）或标记边缘路由器（LER） 等路由器或架桥。内部节点112和/或内容路由器114可包括或者可耦接到存储 或缓存内容的多个内容服务器，所述内容可根据需要等提供给客户或订阅方。

客户节点120可以是经配置以将内容传送给用户或客户并从客户节 点120接收内容请求的节点、装置或部件。例如，客户节点120可以是固定式或 移动式用户导向装置，例如，台式计算机、笔记本计算机、个人数字助理（PDA） 或蜂窝式移动电话。或者，客户节点120可以是客户端上的连接装置，例如调制 解调器或机顶盒。客户节点120也可包括客户设备（未图示），用于经由接入网 络140从内容路由器114接收内容并将内容传送到多个客户。例如，客户节点 120可包括光网络终端（ONU）和/或住宅位置上的极高位速率数字用户线 （VDSL）收发器单元（VTU-R）。接入网络140可以是提供对CON100中内容的 访问的任意网络，例如虚拟专用网（VPN）。客户站点150可以是用于从内容路 由器114接收内容且可通过接入网络140将内容发送到相应客户节点120的任何 站点或办公环境。客户站点150也可从客户节点120接收内容请求，并将内容请 求发送到内容路由器114。

用户或客户可以是CON100的订阅方或者可能是CON100的客户的 另一实体/社区或用户组的订阅方（例如，企业、社交网络（SN））。用户组可包 括多个用户，这些用户可通过CON100发布（推送）和/或订阅（拉取）内容。 如果用户是CON100的订阅方，那么用户可以划分成多个类或类别（例如，金 牌、银牌和铜牌），且CON100和/或管理平面160可实施一种机制以向用户提 供更强大或增强的安全保障。如果用户是作为CON100的客户的另一实体/社区 或用户组的订阅方，那么CON100和管理平面160可实施不同的机制或方案以 向不同用户类提供不同安全级别。

例如，不同用户组可能具有不同SLA，从而可确保实现关于性能、 可靠性、可用性和/或安全性的多个保证。CON100可为不同用户组提供安全服 务或功能。内容路由器114可识别CON100所提供安全服务的不同用户组。尤 其是，CON100或管理平面160可包括中心机构，用于识别内容路由器114中的 用户组实例且可管理用户组，从而允许每个用户组进行安装、管理和内容发布/ 订阅。CON100和/或管理平面160可使用用户组的唯一全局和本地标识，从而 为用户组启用控制/数据平面相关内容传播功能。管理平面160可以使用虚拟专 用用户组标识（VPG-ID）和/或成员标识来识别映射到用户组的策略活动。此信 息可在管理平面160、内容路由器114、客户站点150和/或客户节点120之间交 换（如图1中虚线箭头线所示）。

在一项实施例中，多个用户组之间的内容共享可在CON100中实现。 例如，在多个用户组实例存在于内容路由器114中的情况下，与用户的内容请求 关联的元数据可用于在CON100中将该内容解析到其合适的位置，方法是针对 由内容名称标识的用户组应用请求。在另一项实施例中，仅一部分用户组可在内 容路由器114的子集中进行定义，例如，因为某些缩放性原因。在此情况下，管 理平面的中心机构160即可获知用户组实例和内容路由器114之间的映射。

在一项实施例中，CON100可以使用三种运行模式来确保用户组及 其用户的用户私密性和数据可访问性，具体可能基于不同SLA要求。第一模式 可在用户组（例如，企业或SN）处理内容安全性时实施。在此情况下，用户可 与用户组进行交互以获得授权，从而发布或请求任何内容，且CON100基本上 可用作内容传播引擎。在第二模式中，用户组（企业或SN）和CON可用于确 保已发布数据的私密性和可访问性。在此情况下，安全责任可在用户和CON100 之间分配。第三模式可为CON完整解决方案，其中CON100承担提供安全性以 及阻止错误访问已发布内容的责任，而大体无需用户组参与。

上述三种模式均可支持在使用三个机密性/私密性保护功能或方案的 CON100中使用，所述功能或方案可适用于不同用户组或者，例如，相同或不 同用户组中的不同用户类（类别）。在第一方案中，安全服务可能限于在用户组 的用户之间或者所有用户组之间确保数据完整性。在第二方案中，安全功能可正 对用户组中的每位用户或针对每个用户组进行定义，从而可实现比第一方案更高 的安全性。该方案可包括数据机密性/私密性，用于确保缓存数据在网络中是安 全的。在第三方案中，可以启用安全策略，以便在多个用户组之间共享内容，从 而为用户保持数据完整性和机密性/私密性。第三方案可使用户组中的用户在另 一用户组或多个用户组中访问和/或发布内容或信息。三种模式的三个方案在下 文进行更为详细地描述。

图2所示为用于在CON的用户之间提供安全级别服务差异化的CON 架构200的一项实施例。CON架构200可包括用于管理与CON210关联的用户 260的中心机构，这与CON100类似。用户管理用户260的中心机构可针对一 个或多个用户中的多位用户270获知多个用户组实例（例如在内容路由器中）。 用户270或用户组可划分成多个服务级别用户。例如，可以划分成三个服务级别 用户：第一级别或铜牌用户276、第二级别或银牌用户274以及第三级别或金牌 用户272。同一用户组可包括属于不同类或仅属于一个类的用户。不同用户组也 可属于不同类或可共享同一类。

用于管理用户260的中心机构可包括服务差异化层262，用于基于用 户组的VPG-ID和/或用户270的成员ID等识别不同用户组和用户，所述成员ID 可在用户270的内容中指示出来。用于管理用户260的中心机构可包括差异化安 全服务264，其可，例如，基于上述三个方案中的一个方案通过服务导向内容平 面268对不同用户类实施。例如，第一方案可以用于向铜牌用户276提供数据完 整性。第二方案可以实施用于向银牌用户274提供数据完整性和数据机密性。数 据机密性可基于安全要求或策略，例如针对用户270或用户组的SLA。服务导 向内容平面268也可使用其他策略266，例如服务质量（QoS）或着用于用户270 或用户组的其他策略。第三方案可以实施用于向金牌用户272提供不同用户组之 间的数据完整性和共享机密性，例如基于其他策略266。

图3所示为第一级别安全方案300的一项实施例，所述方案可用于 向第一级别或默认用户，例如铜牌用户276提供数据完整性。第一级别安全方案 300可实施在CON310中以提供基本安全性，例如在上述第一运行模式中用户 组（例如，企业或组织）处理内容安全性的情况下。CON310可包括多个节点 312和内容路由器314，所述节点和内容路由器分别配置成与内部节点112和内 容路由器114大体类似。内容路由器314可经由多个接入网络（未图示）耦接到 类似于客户节点120/站点150的多个客户节点/站点350。客户节点/站点350可 用于在CON310中发布/订阅内容。

基于第一级别方案300，每个用户组均可具有公共/私用密钥对（pb-p, pr-p）和常规加密算法或函数。在一些情景中，每个内容路由器314还可具有公 共/私用密钥对（pb-c,pr-c）。加密算法可包括用于对内容进行签名的函数(Sign(pr, m))以及用于验证内容签名的函数(Verify(pb,Sign(pr,m)。所述函数可基于公共密 钥（pb）、私用密钥（pr）和内容（m）等参数。所述加密算法或函数可以是现 有CON中已知或使用的任何加密算法或函数，例如，使用开放安全套接层 （openSSL）等算法库。

例如，第一客户节点/站点350可以是针对特定用户而经由第一内容 路由器310（CR1）将内容发布到CON314的内容发布方。用户可属于订阅或关 联客户节点/站点350的用户组，例如企业、组织或SN。用户可以使用Sign(pr-p, m)对内容进行签名，并使用Publish(m,name)通过CR1发布内容，其中pr-p是发 布方（例如第一客户节点/站点350）的私用密钥且name是内容名称（例如名称 前缀）。内容可以通过私用密钥进行签名以在内容上提供数字签名。CR1也可选 择性地使用Sign(pr-c,m)对发布内容进行签名，其中pr-c是内容路由器314的私 用密钥。内容随后可存储或缓存在CON310中。

可对应于第一客户节点/站点350中的同一用户组或不同用户组的第 二客户节点/站点350随后可获取内容。第二客户节点/站点350可以是使用 Subscribe(name)通过CR1或通过第二内容路由器314（CR2）订阅内容。第一级 别方案300可允许第二客户节点/站点350验证内容完整性，方法是使用 Verify(pb-p,Sign(pr-p,m))检查第一客户节点/站点350和/或CR1的数字签名，其 中pb-p是发布方的公共密钥。在一些情景中，CR2也可使用由服务发布方的CR1 计算出的可选签名验证对数据（例如缓存在CON310中时）进行的任何多余窜 改。因此，第二客户节点/站点350可确定内容是由CON310的发布方而非入侵 者或未授权实体提供。例如，每个内容路由器314可具有相应公共/私用密钥对 （pb-c、pr-c），该密钥对可使用网络管理功能在CON310中传送。在一些情景中， 订阅方也可使用Verify(pb-c,Sign(pr-c,m))验证由CR1签名的内容的完整性。此 外，CR2c可使用Verify(pb-p,Sign(pr-p,m))或Verify(pb-c,Sign(pr-c,m))验证内容， 因为pb-p和pb-c均可公开提供给CON310的所有实体（用户和路由器）。

内容发布和订阅功能可通过CON310作为应用程序编程接口（API） 提供给客户节点/站点350。通过签名验证，第一级别方案300可通过验证拉去或 订阅内容的内容完整性来确保用户基本安全。然而，第一级别方案300可能不向 用户（例如发布方/订阅方）提供内容机密性/私密性保护。因此，内容传输期间 被动窃听和/或未授权订阅方访问的威胁仍可能存在。

图4所示为第二级别安全方案400的一项实施例，所述方案用于向 第二级别用户，例如银牌用户274提供数据完整性和内容机密性/私密性。第二 级别安全方案400可以实施在CON410中以提供相对于第一级别安全方案300 更好的安全性，例如在上述第二运行模式中CON410参与确保发布内容的私密 性和可访问性的情况下。具体而言，第二级别安全方案400可以向用户提供内容 完整性验证，如第一级别安全方案300那样，此外还通过进行内容加密/解密来 提供内容机密性/私密性。CON410可包括多个节点412和内容路由器414，所 述节点和内容路由器分别配置成与内部节点412和内容路由器414大体类似。内 容路由器414可经由多个接入网络（未图示）耦接到类似于客户节点120/站点 150的多个客户节点/站点450。客户节点/站点450可用于在CON410中发布/订 阅内容。

基于第二级别方案400，一个或多个用户组可以具有公共/私用密钥 对和常规加密算法或函数，如第一级别安全方案300那样。加密算法或函数可包 括用于对内容进行签名的函数(Sign(pr,m))以及验证内容签名的函数(Verify(pb, Sign(pr,m)，这些函数可经由openSSL算法库提供。至少一部分路由器可具有加 密密钥和常规算法或函数，包括内容加密(Enc(k,m)和内容解密(Dec(k,Enc(k, m))。

例如，第一客户节点/站点450可以是针对特定用户而经由第一内容 路由器414（CR1）将内容发布到CON410的内容发布方。用户可属于订阅或关 联客户节点/站点450的用户组，例如企业、组织或SN。用户可以使用Sign(pr-p, m)对内容进行签名且使用SecurePublish(m,name)通过CR1发布内容。内容可以 采用原始格式发布，例如纯文本格式。因此，CR1可以使用Enc(k,m)加密内容， 例如以加密文本格式加密，从而保护内容机密性和用户私密性。加密密钥可由 CR1基于内容订阅进行选择或可基于用户注册生成。CR1可选择性的使用 Sign(pr-c,Enc(k,m))对加密内容进行签名。加密内容随后可以存储或缓存在CON 410中。加密密钥可唯一地分配给用户组，且可在CON410中传送到CR1。然 而，加密密钥可能不会与其他用户组共享，以避免其他用户组共享加密内容且维 持组中的内容机密性/私密性。

第二客户节点/站点450可对应于第一客户节点/站点450的同一用户 组或对应于由所述用户组授权的另一组织或用户组，该第二客户节点/站点随后 可以从CR1或从第二内容路由器414（CR2）请求内容。CR2可以使用Dec(Enc(k, m))接收已用于加密内容和解密内容的加密密钥k。CR2也可选择性地使用 Verify(pb-c,Sign(pr-c,Enc(k,m)))验证加密内容的完整性，其中pb-c是CR1的公 共密钥。第二客户节点/站点450可使用SecureSubscribe(name)通过CR2订阅加 密内容，并使用Verify(pr-b,Sign(pr-p,m))验证内容完整性，其中pr-b是订阅方 （例如第二客户节点/站点450）的私用密钥。

确保发布安全和确保订阅安全的功能可通过CON410作为API等提 供给客户节点/站点450。然而，加密/解密安全功能可能对于客户节点/站点450 而言不是显而易见的。内容可在传输期间通过CON410提供的安全服务来保护 机密性。在第二安全级别方案400中，客户节点/站点450和内容路由机414之 间的信道或链路可为安全信道。例如，可在交换加密密钥k之前，在内容路由器 414和内容节点412之间建立信任。内容路由器414可以通过安全信道交换加密 密钥k。或者，加密密钥可在CON410中通过中心机构，例如管理平面160传送 至内容路由器414。内容加密用于提供保护以避免内容传输期间出现被动窃听的 情况。客户节点/站点450也可在对CON410发布/订阅内容之前进行授权。

图5所示为第三级别安全方案500的一项实施例，所述方案用于向 第三级别用户，例如金牌用户272提供数据完整性和用户组共享内容机密性/私 密性。第三级别安全方案500可以实施在CON510中以提供相对于第一级别安 全方案300和第二级别安全方案400等改进的安全功能。具体而言，如第一级别 安全方案300那样，第三级别安全方案500可以向用户提供内容完整性验证，且 如第二级别安全方案400那样，通过内容加密/解密来提供内容机密性/私密性保 护。此外，第三级别安全方案500可实现多个用户组之间的内容访问控制、机密 性和完整性，从而实现多个用户组交互和内容共享。CON510可包括多个节点 512和内容路由器514，所述节点和内容路由器分别配置成与内部节点512和内 容路由器514大体类似。内容路由器514可经由多个接入网络（未图示）耦接到 类似于客户节点120/站点150的多个客户节点/站点550。客户节点/站点550可 用于在CON510中发布/订阅内容。

第三级别方案500可以使用公共/私用密钥、加密密钥以及常规加密 算法或函数，如第二级别安全方案400那样。此外，第三级别方案500可以根据 组织策略等使用有权发布和订阅内容的用户的一组组ID。授权用户可以是一个 或多个用户组中的成员，其能够共享发布/订阅内容。

例如，第一客户节点/站550可以是内容发布商，其经由内容路由器 514针对用户向CON510发布内容。用户可能属于可与其他用户组共享内容的 一个用户组，也可能属于共享内容的多个用户组，例如不同的企业、组织或SN。 用户可以使用Sign(pr-p,m)对内容进行签名且使用AuthorizedPublish(groupid-p, policy,m,name)通过内容路由器514发布内容，其中groupid-p是该内容的授权 发布方的一组组ID（成员资格）中的一个ID，且groupid-s是该内容的授权订阅 方的一组组ID或密钥中的一个ID。内容可以采用原始格式发布，例如纯文本格 式。因此，内容路由器514可以使用Enc(groupid-s,m)加密内容，例如以加密文 本格式进行加密，其中groupid-s是该内容的授权订阅方的一组组ID或密钥（成 员资格）中的一个ID。内容路由器514可以在CON510中创建多个组密钥并将 该密钥传送至其他内容路由器414。内容路由器514也可选择性地使用Sign(pr-c, Enc(groupid-s,m))对加密内容进行签名。加密内容随后可以加密文本形式存储或 缓存在CON510中。内容可以针对用户或用户组使用的每个组ID进行加密。因 此，CON510中可能存在该内容的多个加密副本和缓存/存储副本。

可对应于与组ID关联的任何用户组的第二客户节点/站点550随后可 从相同或不同的内容路由器514请求内容。内容路由器514可以使用 Dec(Enc(groupid-s,m))接收已用于加密内容和解密内容的加密组密钥。内容路由 器514也可选择性地使用Verify(pb-c,Sign(pr-c,Enc(groupid-s,m)))验证加密内容 的完整性。第二客户节点/站点550可使用AuthorizedSubscribe(set of groupid-s,m, name)通过内容路由器514订阅解密内容并使用Verify(pr-b,Sign(pr-p,m))验证内 容的完整性。解密内容和订阅内容可以是针对多个单独组ID或密钥的内容的多 个加密和缓存副本中的一个。

通过CON510，可以向客户节点/站点550提供授权发布和授权订阅 的功能。然而，加密/解密安全功能对于客户节点/站点550而言并非是显而易见 的。共享内容的用户组，例如客户组织可以定义其自己的策略，该策略是关于哪 些用户可在其用户组中发布/订阅内容并安全访问信息。该方案可提供相对于第 二级别安全方案400而言更细粒度的内容访问控制。第三级别安全方案500也可 在CON510的部件/信道之间具有与第二级别安全方案400相同的信任关系。

图6所示为另一第三级别安全方案600的一项实施例，所述方案用 于向第三级别用户，例如金牌用户272提供数据完整性和用户组共享内容机密性 /私密性。第三级别安全方案600可以实施在CON610中以提供相对于第一级别 安全方案300和第二级别安全方案400等改进的安全功能。如第三级别安全方案 500那样，第三级别安全方案600可以向用户提供在多个用户组之间共享的内容 完整性验证和内容机密性/私密性保护。然而，第三级别安全方案600可能要求 针对每个授权用户组访问加密共享内容一次，而非加密多次。用户可以基于其授 权组成员资格访问加密内容。CON610可包括多个节点612和内容路由器614， 所述节点和内容路由器分别配置成与内部节点612和内容路由器614大体类似。 内容路由器614可经由多个接入网络（未图示）耦接到类似于客户节点120/站点 150的多个客户节点/站点650。客户节点/站点650可用于在CON610中发布/订 阅内容。

例如，第一客户节点/站点650可以是针对特定用户而经由第一内容 路由器614（CR1）将内容发布到CON610的内容发布方。用户可能属于可与其 他用户组共享内容的一个用户组，也可能属于共享内容的多个用户组，例如不同 的企业、组织或SN。用户可以使用Sign(pr-p,m)对内容进行签名且使用 AuthorizedPublish(groupid-p,policy,m,name)通过CR1发布内容，例如作为纯文 本。CR1随后可以使用Enc(policy,m)加密内容，例如以加密文本形式，其中策 略是基于组成员资格的逻辑公式，用于指示有权共享内容的用户/用户组或成员。 例如，设定为（组1与组2）或组3的策略可指示内容可由特定用户共享（例如 发布和订阅），所述用户是第一用户组（组1）和第二用户组（组2）的成员或者 是第三用户组（组3）的成员。CR1可创建该内容的组密钥并在CON510中将 该密钥传送至其他内容路由器614。CR1还可选择性地使用Sign(pr-c,Enc(policy, m))对加密内容进行签名。加密内容随后可以加密文本形式存储或缓存在CON 510中。加密内容可授权给满足指示策略的任何用户。

可对应于策略中指示的任何用户组的第二客户节点/站点650随后可 从CR1或第二内容路由器614（CR2）请求内容。CR2可以使用Dec(set of groupid-s, Enc(policy,m))接收已用于加密内容和解密内容的加密组密钥，其中set of  groupid-s是一组满足策略的内容授权订阅方的组ID。订阅方可属于多个组，且 可具有多个相应组ID。CR2也可选择性地使用Verify(pb-c,Sign(pr-c,Enc(policy, m)))验证加密内容的完整性。第二客户节点/站点650可使用 AuthorizedSubscribe(set of groupid-s,m,name)通过CR2订阅解密内容并使用 Verify(pr-b,Sign(pr-p,m))验证内容的完整性。CON610中内容的单个缓存或存储 副本可用于满足策略的多个发布方/订阅方，这样即可提高第三级别安全方案600 的效率/缩放性，例如与第三级别安全方案500相比，因为进行缓存的内容可能 较少。

在第三级别安全方案600中，有权共享内容的用户组不会在每个内 容路由器614上注册。例如，授权用户组的第一子集可在部分内容路由器614 上注册，且授权用户组的第二子集可在其余内容路由器614上注册。在此情况下， 来自用户的内容请求可转发到中心机构以确定能够为用户解析请求的最近内容 路由器614，该内容路由器可能是未注册到用户或其用户组的不同内容路由器 614。此外，每个用户或用户组可具有其自己的组织策略和执行方案。例如， AuthorizedPublish()中的groupid-p和AuthorizeSubscribe()中的groupid-s可在实施 组织授权策略之后获取，这样即可针对内容将多个授权发布方与多个授权订阅方 组合。第三级别安全方案600也可在CON610的部件/信道之间具有与第二级别 安全方案400相同的信任关系。

在上述基于组的方案中，例如第三级别安全方案500和600中，多 个加密机制可用于实施基于组的加密和解密算法以满足CON中的要求。在一项 实施例中，CON（或内容路由器）可在针对单独用户组生成对称组密钥。属于 多个用户组的内容可针对不同用户组使用不同组密钥进行加密。在另一项实施例 中，CON可以使用基于属性的加密，其中每个groupid均为一个属性，例如，如 http://acsc.cs.utexas.edu/和 http://www.cs.berkeley.edu/～bethenco/oakland07cpabe.pdf中所述，上述两者以引入 的方式并入本文本中。因此，当内容发布时，CON可包括作为缓存或存储元数 据的一部分的策略。该策略可指示哪些用户组可以访问内容。当CON将内容传 送至用户时，CON节点（例如内容路由器）可基于订阅方的组成员资格对内容 进行解密。

上述安全方案可根据客户要求针对多个级别的安全服务进行扩展和 自定义。例如，第三级别安全方案500或600可以使用2011年6月6日由王国 强（Guoqiang Wang）等人递交的发明名称为“用于在内容导向网络中通过上下 文监管的订阅方信息由路由器执行的内容访问控制的方法(Method for Router  Enforced Content Access Control with Context-Supervised Subscriber Information in  Content Oriented Network)”的第61/493,679号美国临时专利申请案中所述的方案 或方法进一步改进，上述在先申请的内容以引入的方式并入本文本中。额外安全 级别也可使用，其包括上述安全方案中的方法。例如，第四级别安全方案可基于 上述方法并基于第61/493,679号美国临时专利申请案中所述的方案或方法来实 施。第五级别安全方案也可基于上述方法并基于2010年12月16日由拉维·拉 文德兰（Ravi Ravindran）等人递交的发明名称为“在内容导向网络中创建和管 理虚拟专用组的方法和设备（Method and Apparatus to Create and Manage Virtual  Private Groups in a Content Oriented Network）”的第61/423,947号美国专利申请 案中所述的方案或方法来实施，其中上述在先申请的内容以引入的方式并入本文 本中。上述方案中的方法可实施以支持多个控制和转发平面功能，从而在内容 VPV服务上实现安全差异化，如第61/423,947号美国专利申请案所述。

图7所示为CON安全性方法700的一项实施例，所述CON安全性 方法可用于提供内容完整性和机密性。CON安全性方法可由CON、CON的中心 机构、一个或多个内容路由器或以上项组合实施。CON安全性方法700可基于 上述任何安全级别方案，例如基于用户或用户组分类、上述运行模式中的一种运 行模式，或者以上两者。方法700可开始于块710，其中签名内容可通过，例如， 内容路由器接收在CON中。接收内容可由用户或发布方进行签名并发布。用户 或发布方可对应于一个或多个用户组，且可使用pr-p对内容进行签名。所述内 容可通过CON发布而无需确保机密性，可安全发布以确保机密性，或者可安全 发布到授权用户组（使用groupid-s）。

在块720处，可在CON中缓存/存储签名内容。内容可在缓存/存储 之前通过，例如，内容路由器进行加密。内容可使用加密密钥k、groupid-s或策 略进行加密。加密内容还可使用pr-c进行签名。在块730处，可在CON中通过， 例如，同一或第二内容路由器接收内容请求。内容可从有权获取该内容的同一用 户组或另一用户组中的用户或订阅方接收。在块740处，可以转发请求内容。内 容路由器可将缓存/存储内容转发到订阅方。如果加密缓存/存储内容，那么内容 路由器可以使用加密密钥k或groupid-s解密该内容。订阅方以及可选内容路由 器也可在获取内容之前验证该内容。随后，方法700可结束。

图8图示了网络单元800的一项实施例，所述网络单元可为通过网 络传输和处理数据的任何装置。例如，网络单元800可位于CON100中内容路 由器或任何节点中，或者位于上述CON方案中的任何节点中。内容路由器也可 经配置以实施或支持上述CON方法和系统。网络单元800可包括一个或多个入 端口或单元810，其耦接到接收器（R8）812，用于从其他网络部件接收信号和 帧/数据。网络单元800可包括内容识别单元820，用以确定将内容发送到哪些网 络部件。内容识别单元820可使用硬件、软件或这两者来实施。网络单元800 还可包括耦接到发射器（Tx）832的一个或多个出端口或单元830，用于将信号 和帧/数据传输到其他网络部件。接收器812、内容识别单元820和发射器832 也可用于实施至少一些所揭示的方法，其可基于硬件、软件或这两者。网络单元 800的部件可如图8所示进行布置。

内容识别单元820也可包括可编程内容转发平面块828，以及可耦接 到所述可编程内容转发平面块822的一个或多个存储块828。可编程内容转发平 面块828可用于实施内容转发和处理功能，例如在应用层或L3上，其中内容基 于内容名称或前缀进行转发，且可能基于将内容映射到网络业务的其他内容相关 信息进行转发。此类映射信息可保存在内容识别单元820或网络单元800中的内 容表中。可编程内容转发平面块828可解译用户的内容请求，并相应地根据元数 据和/或内容名称等从网络或其他网络路由器提取内容，且能够以暂时等方式将 内容存储在存储块822中。可编程内容转发平面块828随后可将缓存内容转发到 用户。可编程内容转发平面块828可使用软件、硬件或这两者实施，且可在IP 层或L2上运行。存储块822可包括缓冲存储器824，其用于暂时地存储内容， 例如订阅方所请求的内容。此外，存储块822可包括长期存储器826，其用于相 对持久地存储内容，例如发布方所提交的内容。例如，缓冲存储器824和长期存 储器826可包括动态随机存取存储器（DRAM）、固态驱动器（SSD）、硬盘，或 这些项的组合。

上述网络部件可在任何通用网络部件上实施，例如计算机或特定网 络部件，其具有足够的处理能力、存储资源和网络吞吐能力来处理其上的必要工 作量。图9描绘典型的通用网络部件900，其适用于实施本文所揭示的部件的一 项或多项实施例。网络部件900包括处理器902（可称为中央处理器单元或CPU）， 所述处理器与包括以下项的存储装置通信：辅助存储器904、只读存储器（ROM） 906、随机存取存储器（RAM）908、输入/输出（I/O）装置910，以及网络连接 装置912。处理器902可作为一个或多个CPU芯片实施，或者可为一个或多个 专用集成电路（ASIC）的一部分。

辅助存储器904通常包括一个或一个以上磁盘驱动器或磁带驱动器， 用于数据的非易失性存储，且在RAM908不够因而无法保持所有工作数据的情 况下用作溢流数据存储装置。辅助存储器904可用以存储在选择执行时载入到 RAM908中的程序。ROM906用于存储在执行程序期间读取的指令，且可能存 储所读取的数据。ROM906为非易失性存储装置，其存储容量相对于辅助存储 器904的较大存储容量而言通常较小。RAM908用于存储易失性数据，还可能 用于存储指令。访问ROM906和RAM908通常比访问辅助存储器904要快。

揭示至少一个实施例，且所属领域的技术人员作出的对所述实施例 和/或所述实施例的特征的变化、组合和/或修改在本发明的范围内。对实施例的 特征进行组合、合并和/或省略而得到的替代实施例也在本发明的范围内。在明 确说明数字范围或限制的情况下，此类表达范围或限制应被理解成包括在明确说 明的范围或限制内具有相同大小的迭代范围或限制（例如，从约为1到约为10 包括2、3、4等；大于0.10包括0.11、0.12、0.13等）。例如，每当揭示具有下 限R_l和上限R_u的数值范围时，具体是揭示属于所述范围的任何数字。具体而言， 所述范围内的以下数字是特别揭示的：R=R_l+k*(R_u-R_l)，其中k为从1%到 100%范围内以1%递增的变量，即，k为1%、2%、3%、4%、7%、……、70%、 71%、72%、……、97%、96%、97%、98%、99%或100%。此外，还特别揭示 由如上文所定义的两个R数字定义的任何数值范围。针对权利要求的任何元素 使用术语“选择性地”意味着需要所述元素，或者替代地，不需要所述元素，这 两种替代方案均在所述权利要求的范围内。应将使用诸如“包括”、“包含”和“具 有”等范围较大的术语理解成支持诸如“由…组成”、“基本上由…组成”以及“大 体上由...组成”等范围较小的术语。因此，保护范围不受上文所述的描述限制， 而是由所附权利要求书界定，所述范围包含权利要求书的标的物的所有等效物。 每一和每条权利要求作为进一步揭示内容并入说明书中，且权利要求书是本发明 的实施例。揭示内容中对参考的论述并不是承认其为现有技术，尤其是公开日期 在本申请案的在先申请优先权日期之后的任何参考。本发明中所引用的所有专 利、专利申请案和公开案的揭示内容以引用的方式并入本文中，其提供补充本发 明的示范性、程序性或其他细节。

虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精 神或范围的情况下，所揭示的系统和方法可以许多其它具体形式来实施。本发明 实例视作说明性而非限定性，且本发明并不限于本文本所给出的细节。例如，各 种元件或部件可在另一系统中组合或合并，或者某些特征可忽略或不实施。

此外，在不脱离本发明的范围的情况下，各种实施例中描述和说明 为离散或单独的技术、系统、子系统和方法可与其他系统、模块、技术或方法进 行组合或合并。展示或论述为彼此耦接或直接耦接或通信的其他项也可以电气方 式、机械方式或其他方式通过一些接口、装置或中间部件来间接耦接或通信。改 变、替换和更改的其他实例可由所属领域的技术人员确定，且可在不脱离本文本 中所揭示的精神和范围的情况下实施。