命名数据网络(NDN，named data networking)^[1]是未来互联网架构的典型代表. NDN通过发布者对内容签名，用户(或节点)校验签名的方式保证内容完整性和安全性，提供一种基于内容本身的安全机制.理论上说，这种安全机制能有效保证网内数据安全，但实际部署中，由于节点计算资源有限，无法对所有接收内容进行签名验证，所以节点不强制内容签名的验证，因此无法保证网内缓存内容的安全性，导致内容污染成为NDN的严重安全隐患^[2-4].因此如何有效进行内容校验、降低内容污染对NDN性能的影响，成为当前NDN研究的关键问题之一.

目前，对NDN内容校验机制的改进主要有2种方案：1) 概率校验^[5]，通过降低缓存概率来降低内容校验计算量.这一思路虽然可取，但Bianchi等^[5]未作具体设计，未深入考虑概率存入的内容校验量与节点处理能力关系. 2) 命中校验(COH，check on hit)^[6-7]，内容存入缓存时不校验，仅当出现缓存命中事件时才对命中内容校验.该方案虽然降低了计算消耗，但是内容存入缓存时未经过校验，缓存中存在污染内容.

合理选择转发路由是抑制内容污染攻击的另一种思路，DiBenedetto等^[8]提出通过检测可疑内容来源，尽量把兴趣包转发至真实内容来源.不过该方案仍需与有效的校验机制联合实施，才保证网内传输内容的安全性.

鉴于有效的内容校验是保证NDN可靠的关键所在，设计了一种基于流行度的概率存入校验机制(PCS-CP，probabilistic checking before storing based on content popularity)，通过按流行度概率抽取内容校验并只存入校验通过内容，构建可信网络，在保障网络可靠性的同时，降低校验开销.考虑到PCS-CP机制只有与特定缓存策略配合，才能最大化工作效率，从控制网内副本冗余的角度^[9]，进而建议了一种基于缓存更新时间的网内缓存策略(ICS-CUT，in-network caching strategy based on cache update time)，最大化NDN的网络存储效率，有效配合PCS-CP机制的工作.

1 NDN内容签名与校验原理

NDN中的内容签名与校验原理如图 1所示.内容提供者接收到请求兴趣包后，将对所请求内容以Hash函数计算出内容的哈希值，进而以RSA(Rivest-Shamir-Adleman)加密算法对生成的信息哈希值进行加密运算，计算出内容签名值，完成内容的签名过程.当带有签名的数据包返回到请求节点时，节点首先向内容提供者请求公钥，这里公钥获取过程也等同于一次内容请求，之后用RSA算法对数据包中的签名值进行解密，还原出信息哈希值，并与本地用哈希函数对数据包内容计算出的哈希值进行对比，完成签名验证过程.如果验证通过，则进一步执行缓存存入以及转发操作；如果验证失败，则直接丢弃数据包.

目前RSA算法是NDN中常用的内容签名与验证算法，这种非对称的加密算法对内容的保护能力依赖密钥长度，密钥越长则安全性越强，但带来的负面效应就是签名验证时需要消耗大量的计算资源.由于路由节点的计算资源有限，当接收数据流量较大时，节点无法完成所有接收数据包的校验，导致现有NDN签名校验机制形同虚设，因此对校验机制进行改善，设计一种可行的NDN校验机制迫在眉睫.

2 PCS-CP校验机制 2.1 条件设定

后续机制描述以及理论分析将基于以下条件设定：1) 参考文献[10]的网络拓扑，笔者采用N层级联NDN网络；2) 节点的极限校验计算处理能力为C_P(数据包/秒)；3) 源服务器提供M个不同的内容，根据内容流行度均匀划分为K个不同类别，即每一类包含m=M/K个内容文件，每个内容的大小相同；4) 用户请求以泊松分布到达^[10]，λ_i为第i层节点的请求到达率，$\lambda _k^i$为第i层节点第k类的请求到达率(第i-1层第k类未命中的请求)，即$\lambda _k^i = \lambda _k^1\prod\limits_{j = 1}^{i - 1} {[1 - {P^j}} (k)$，P^j(k)为第j层节点第k类的命中率；5) 第1层接入的第k类内容请求概率为$q_k^1$，服从Zipf分布，$q_k^1 = c/{k^\alpha }$，c>0，这里α代表了流行度分布的集中程度，α越大，内容请求越集中于k较小的内容；6)τ_i为第i层节点的缓存更新时间；7) 节点缓存大小相同，均为C个内容文件；8) 源服务器存在内容污染，r_T为源服务器真实内容比例，虚假内容均匀分布于每一类别；9) 分析中忽略节点间的传输时延.

2.2 校验机制描述

结合Bianchi等^{[5, 7]}所给出的现有校验机制，NDN校验问题中同样存在有效性与可靠性的矛盾，校验量与网络污染内容比例(校验结果)之间互相矛盾，而校验机制的设计目标正是致力于约束网络污染内容的同时，降低校验量.目前NDN节点校验开销过高，其根本原因为网内节点之间的不信任，从而导致节点之间出现重复校验，浪费了大量的计算资源.如果能构建一个可信NDN网络，并尽可能最大化网络的存储效率，必然可以显著提升校验机制的运行效果，这就是本研究设计出发点.所提出PCS-CP机制的具体设计如下：对于网内第i层节点，当接收到来自源服务器的数据包时，根据该内容所属流行度进行概率抽取校验，即对于接收到的来自源服务器的第k类内容，以概率P_verf(k, i)进行校验.

$ {P_{{\rm{verf}}}}\left( {k,i} \right) = \frac{c}{{{k^\alpha }}} \times \min \left\{ {\frac{{{C_{\rm{p}}}}}{{\sum\limits_{k = 1}^K {\lambda _k^i\left[ {1 - P_{{\rm{PCS - CP}}}^i\left( k \right)} \right]} }},1} \right\} $

(1)

其中：C_p为节点的最大校验能力，$P_{{\rm{PCS - CP}}}^i(k)$为第i层节点第k类真实内容命中率，显然$\lambda _k^i[1 - P_{{\rm{PCS - CP}}}^i(k)]$代表第i层节点第k类内容最大可能出现的返回数据流量.这一校验概率的设置确保节点将以大概率对于重要内容(高流行度内容)进行校验，放弃校验大部分用户关注度低的内容.为了构建节点之间的可信关系，本机制实施存入校验规则：仅有校验通过的数据包才能存入节点的内容存储(CS，content store)，而未被校验的内容将不予存储，同时校验失败的数据包将被丢弃.这一规则确保了网内每个节点的缓存中存储的都是可信内容，因而节点之间可以相互信任，这就意味着对于网内命中的内容，节点无须校验；而仅有从源服务器命中的内容，节点才需要校验.

2.3 配合校验机制的缓存策略设计

结合可信网络的设计，为了进一步降低节点校验压力，必须有效减少网内存储副本的冗余，尽可能扩大NDN的网内存储效率，提高网内命中率.因此，PCS-CP机制只有配合特定的网内缓存(Innetwork caching)策略，才能发挥应有的作用.从降低最小化网内副本冗余的角度出发，建议了ICS-CUT，该策略优点在于不仅可约束网内副本，同时平衡每个节点的数据包存入压力(数据包校验压力).

ICS-CUT策略要求网内每个节点定期统计自身的缓存更新时间，这里缓存更新时间定义为：内容在缓存队列中的平均驻留时间.以最近最少使用策略(LRU，least recently used)为例，该策略下的缓存更新时间即为某一内容从缓存队列首部移动到缓存队列尾部所需的平均时间.由Wang等^[11]的分析可知：在实际网络中，节点到达的请求流量越多，需要存入缓存的数据也越多，导致缓存中的内容更替频繁，节点缓存更新时间变快.因此，缓存更新时间越长，代表该节点存入的数据流量压力越小.在此基础上，用户发出的请求兴趣包新增一个字段，用于记录经过节点的缓存更新时间.当出现不命中事件时，节点就在兴趣包的该字段中添加自身的缓存更新时间，再转发出去.基于传输路径上所有缓存更新时间的记录信息，若兴趣包在源服务器命中，回传的数据包将存入反向路径上具有最大缓存更新时间的节点；若兴趣包在网内某一节点命中，回传的数据包将移动至反向路径上具有最大缓存更新时间的节点(从命中节点删除).

ICS-CUT策略保证了任意内容，在网内只会存在一个副本，从而最大化了NDN的网络存储效率；此外，由于缓存更新时间代表了缓存的数据包存入压力，因此动态选择具有最大缓存更新时间的节点作为存入目标，有助于平衡回传路径上各个节点的存入数据量，便于充分利用每个节点的计算能力进行数据校验.

需要说明的是，设计的ICS-CUT策略，用于配合PCS-CP校验机制，提升校验工作的有效性.但是配合PCS-CP校验机制的缓存策略设计，不是唯一的，存在多种设计方案，只要能有效控制网内副本冗余、平衡缓存存入压力的缓存策略，都可以配合PCS-CP机制实施.

3 校验机制性能分析

本节针对N层级联的NDN网络，选择网络真实内容命中率和网内平均校验次数作为校验机制性能评估指标，网络拓扑如图 2所示.为了对比说明PCS-CP机制的性能，选择基于LRU策略的COH机制作为对比策略，对2个校验机制同时给出理论分析结果，这里定义T_PCS-CP为PCS-CP机制下网内平均校验次数，T_COH为COH机制下网内平均校验次数，$P_{{\rm{PCS - CP}}}^i(k)$为PCS-CP机制下第i层节点第k类真实内容命中率，$P_{{\rm{COH - T}}}^i(k)$为COH机制下第i层节点第k类真实内容命中率.

3.1 真实命中率分析 3.1.1 PCS-CP机制命中率

由PCS-CP及ICS-CUT策略设计可见，该联合设计等效于概率缓存机制.考虑到当网络处于稳态时，由ICS-CUT策略，该级联路径上每个节点将近似等概被选择；进而选中节点按概率P_verf(k, i)选择第k类内容进行校验，并将校验结果为真的内容存入缓存.若设$\beta _k^i$为第k类内容在第i层节点的缓存存入概率，则$\beta _k^i$至少应满足

$ \beta _k^i \ge \frac{{{r_{\rm{T}}}{P_{{\rm{verf}}}}\left( {k,i} \right)}}{N} $

(2)

其中r_T为源服务器真实内容比例.式(2) 表明，由于PCS-CP机制下，网内节点均可信，仅校验在源服务器命中的内容，因此源服务器的真实内容比例即为网内节点接收数据流中最小可能的真实内容比例(经过上游节点概率校验后，转发至下游节点的真实内容比例会提高)，则存入概率至少为节点选择概率、校验概率、源服务器真实内容比例三者的乘积.

由文献[12]可知，对于概率缓存机制，以相继出现的2次请求为分析对象，命中事件的出现有2种可能：

1) 目标内容已存在于缓存中，第1次请求命中，2次请求的间隔小于缓存更新时间τ_i，则第2次请求命中；

2) 目标内容不存在于缓存中，第1次请求不命中，内容以概率$\beta _k^i$存入缓存，2次请求的间隔小于缓存更新时间τ_i，则第2次请求命中.

由于节点处于稳态时，相继出现请求的命中概率视为相同，均为$P_{{\rm{PCS - CP}}}^i(k)$，且设$\tau _k^i$为第i层节点第k类内容的请求间隔

$ \begin{array}{*{20}{c}} {P_{{\rm{PCS - CP}}}^i\left( k \right)P\left\{ {\tau _k^i \le {\tau _i}} \right\} + }\\ {\left( {1 - P_{{\rm{PCS - CP}}}^i\left( k \right)\beta _i^kP\left\{ {\tau _k^i \le {\tau _i}} \right\}} \right) = }\\ {P_{{\rm{PCS - CP}}}^i\left( k \right)} \end{array} $

(3)

这里，$\lambda _k^i$为第i层节点第k类的请求到达率，服从泊松分布，则式(3) 可化简为

$ P_{{\rm{PCS - CP}}}^i\left( k \right) = \frac{{\beta _k^i\left( {1 - {e^{\frac{{\lambda _k^i}}{m}{\tau _i}}}} \right)}}{{1 + \left( {\beta _k^i-1} \right)\left( {1 - {e^{\frac{{\lambda _k^i}}{m}{\tau _i}}}} \right)}} $

(4)

PCS-CP机制下，网内命中内容均为真实内容，因此$P_{{\rm{PCS - CP}}}^i(k)$即为PCS-CP机制下的网内真实内容的命中率.在上述命中率分析中，缓存更新时间τ_i是一个重要指标，参考文献[12]，τ_i应表示为

$ \begin{array}{*{20}{c}} {m\sigma \sum\limits_{k = 1}^K {\left[ {P\left\{ {\tau _k^i \le {\tau _i}} \right\}\left( {\beta _k^i - \beta _k^iP_{{\rm{PCS - CP}}}^i\left( k \right) + } \right.} \right.} }\\ {\left. {\left. {P_{{\rm{PCS - CP}}}^i\left( k \right)} \right)} \right] = C} \end{array} $

(5)

其中：m为每一类的文件个数，σ为每个文件的大小.式(5) 表明，在τ_i时间内，若插入缓存队列首部的所有类别内容数量总和，恰好等于缓存队列长度C，则原本处于缓存队列首部的内容将会移至队列尾部，因此τ_i即为任意内容在缓存中的平均驻留时间，即缓存更新时间.

3.1.2 COH真实内容命中率

COH机制未对缓存策略做任何调整，接收到的内容直接存入缓存，仅在命中时加以校验，若选择LRU策略作为置换策略，由文献[7]，第i层节点的第k类内容命中率应如式(6).

$ P_{{\rm{COH}}}^i\left( k \right) = P\left\{ {\tau _k^i \le {\tau _i}} \right\} = \sum\limits_{i = k}^K {\left( {1 - {e^{\frac{{\lambda _k^i}}{m}{\tau _i}}}} \right)} $

(6)

由于COH校验机制下，网内节点缓存的内容不完全可靠，则真实命中率Pⁱ_COH-T(k)应近似等于实际内容命中率Pⁱ_COH(k)与源服务器真实内容比例r_T的乘积.

$ P_{{\rm{COH}}}^i\left( k \right) = P_{{\rm{COH}}}^i\left( k \right){r_{\rm{T}}} $

(7)

3.2 网内平均校验次数分析 3.2.1 PCS-CP平均校验次数

PCS-CP机制下网内节点存储内容均为可靠内容，网内命中无须校验，只有源服务器命中的内容需要校验，因此PCS-CP机制下第k类内容的网内总校验量仅取决于该类别内容的源服务器的内容命中率、单位时间内网络接收到的该类别内容到达请求次数，即边缘接入的请求到达率以及节点的校验概率.现定义T_pcs-cp(k)为PCS-CP机制下第k类内容的网内平均校验次数，则

$ \begin{array}{*{20}{c}} {{T_{{\rm{PCS - CP}}}}\left( k \right) = }\\ {\lambda _k^1\left[ {1 - \sum\limits_{i = 1}^N {P_{{\rm{PCS - CP}}}^i\left( k \right)} } \right]\frac{1}{N}\sum\limits_{i = 1}^N {{P_{{\rm{verf}}}}\left( {k,i} \right)} } \end{array} $

(8)

其中：1-$\sum\limits_{i = 1}^N {} $$P_{{\rm{PCS - CP}}}^i(k)$为第k类内容的源服务器命中率，$\sum\limits_{i = 1}^N {{P_{{\rm{verf}}}}} (k,i)/N$为第k类内容的网内平均校验概率(由提出机制，源服务器命中内容在网内仅存储一个副本，仅需校验一次).

显然，PCS-CP机制下所有类别的网内平均校验次数应为

$ {T_{{\rm{PCS - CP}}}} = \sum\limits_{k = 1}^K {\left[ {\frac{c}{{{k^\alpha }}}{T_{{\rm{PCS - CP}}}}\left( k \right)} \right]} $

(9)

其中c为Zipf分布的约束参数，$c = \sum\limits_{k = 1}^K {{k^{ - \alpha }}} $.

3.2.2 COH平均校验次数

对于COH校验机制，节点仅在命中事件发生时进行校验，全网校验次数即为各节点校验次数之和.对于第i层节点，其校验次数受路由自身的处理能力影响：当命中次数小于或等于处理能力时，命中内容将被全部校验；当命中次数大于处理能力时，节点尽力校验，校验量最大为处理能力C_P.因此，COH机制下所有类别的网内平均校验次数T_COH应为

$ {T_{{\rm{COH}}}} = \sum\limits_{i = 1}^N {\left\{ {\min \left[ {{C_{\rm{P}}},\sum\limits_{k = 1}^K {\lambda _k^iP_{{\rm{PCS - CP}}}^i\left( k \right)} } \right]} \right\}} $

(10)

其中$\sum\limits_{k = 1}^K {\lambda _k^i} P_{{\rm{COH}}}^i(k)$为所有类别内容请求在第i层节点的平均命中次数.

4 数值计算与分析

利用Matlab对PCS-CP与COH校验机制下的真实内容命中率和网内平均校验次数分别进行了数值计算与分析，数值计算结果根据式(4)、式(7)、式(9)、式(10) 得出，分析中设定源服务器存在一定比例的内容污染.

参考文献[10]，分析参数设置如下：网络拓扑采用N=4层级联的结构，网络提供内容根据流行度分为K=40个类别，每一类包含m=200个内容文件，网络接入内容请求服从参数为λ₁=10⁵文件/s的泊松分布，选取Zipf分布参数值α=1.2，节点每秒处理能力C_P=1.25×10⁴个数据包(路由器条件^[5]：Intel Core 2 Duo 2.53 GHz处理器，每个文件大小为1.5 KB、RSA加密算法).

4.1 源服务器污染程度影响

现分析2种校验机制在不同源服务器真实内容比例r_T下的性能，计算中设定缓存大小与网络内容总量的比值(C/M)固定为0.1，真实内容比例r_T改变，图 3、图 4分别给出了r_T对节点真实内容命中率和平均校验次数的影响.

如图 3所示，当源服务器真实内容比例r_T从0.9降低至0.6，PCS-CP与COH机制下的命中率均有所下降，但PCS-CP机制的网内总体命中率较高. PCS-CP机制下，各层节点的真实内容命中率明显优于COH机制.即使源服务器存在40%的虚假内容，PCS-CP机制下第10类内容的4层真实内容命中率也分别为0.06、0.15、0.17、0.20，累计58%，而COH机制的第10类内容网内真实内容命中率不到40%. PCS-CP机制对内容污染的防御优势源自于可信网络的设计，由于网内节点全部无污染，网内命中内容均为真实；此外，通过采用基于流行度的概率校验与ICS-CUT缓存策略，网内不存在副本冗余且大概率存储高流行度内容，这些设计也保障了高流行度内容的网内缓存比例与命中率.而COH机制下节点缓存存在较严重内容污染，仅通过命中后再校验出虚假内容，对内容污染基本没有效防御.

图 4给出了源服务器污染下，PCS-CP机制与COH机制的校验负载.由图可见，当源服务器污染程度提升，COH机制平均校验次数基本不变，这是因为COH机制的校验次数仅取决于命中率(不是真实内容命中率)，而命中率并不受虚假内容影响. PCS-CP的平均校验次数随着内容污染程度加深有所增加，但明显低于COH机制.这一结果也表明，相比较COH机制，PCS-CP机制有效控制了校验计算量，更易于实施，尤其在网络相对良好时，仅需要较小的校验计算开销就可以维持优质的网络内容安全状态.如r_T=0.9时，PCS-CP机制的计算开销仅为COH机制的一半，但是命中率超过COH机制的一倍.

4.2 C/M的影响

C/M本质上指向缓存大小，若固定网络内容总量不变，则C/M增大(减小)代表缓存容量增大(减小)，而由于缓存容量直接影响节点命中率，因此对校验计算量及校验效果产生重要影响.计算中固定源服务器真实内容比例r_T为0.7. 图 5给出了缓存大小变化对命中率的影响，如图计算结果，当C/M从0.15降至0.05，2种校验机制下真实内容的命中率均明显下降，这是由于缓存空间减小，NDN网内可存储副本降低.但PCS-CP机制相比较COH机制依然维持明显优势. 图 6给出了缓存大小变化对校验负载的影响，随着C/M从0.05增至0.2，COH机制由于网内命中率提高，其校验计算开销越来越大；而PCS-CP机制由于网内可容纳的副本越来越多，源服务器命中率降低，需要校验的内容越来越少，平均校验次数变得更低，这一趋势也充分说明了PCS-CP机制对校验开销的有效控制.

5 结束语

如何设计有效的校验机制，解决计算开销问题，降低内容污染对NDN网络性能影响，保证网络内容的完整性与安全性，已经成为当前NDN研究的重点.未来的研究中，将进一步探讨如何改进校验算法，从算法设计本身去提高内容校验的可行性，同时关注如何改进NDN节点间的信任关系，设计更为健壮的可信网络，从信任角度抑制内容污染的影响.