One-time password-based high performance per-packet authentication for capsule networks

Most traditional security for capsule-type active networks focused on node-level security mechanism that tries to restrict resource consumption of a packet at a node. Network level security mechanism, which restricts resource consumption in the whole network like ttl in ipv4, is also necessary for capsule. We propose high-performance per-packet authentication mechanism for this purpose. The proposed authentication mechanism uses packet-loss-resistant one-time password algorithm to avoid multiple packet exchanges between user terminals and routers. Since the address in a node where a packet’s authentication data is stored can be easily calculated from the information contained in the packet, we can authenticate the packet without searching a database. The overhead in the packet for authentication information is 46 bytes, and a Linuxpc with a 2.8 GHz Intel Pentium 4 processor can authenticate and process a packet in 22 µs, which corresponds to 45,000 authentications per second.RésuméLa sécurité des réseaux actifs du type à capsules a été traditionnellement fondée sur un mécanisme de sécurité au niveau des nœuds, qui essaie de limiter la consommation de ressources par un paquet dans un nœud. Un mécanisme de sécurité au niveau du réseau, qui limite la consommation de ressources dans l’ensemble du réseau, commettm dansipv4, est aussi nécessaire pour les capsules. L’article propose dans ce but un mécanisme d’authentification des paquets à haute performance. Ce mécanisme d’authentification utilise un algorithme à mot de passe d’usage unique, résistant aux pertes de paquets, pour éviter de multiples échanges de paquets entre les terminaux d’utilisateurs et les routeurs. Comme l’adresse d’un nœud où une donnée d’authentification de paquet est stockée peut être calculée facilement à partir de l’information contenue dans le paquet, l’authentification peut être effectuée sans recherche dans une base de données. Le surdébit correspondant à l’information d’authentification est de 46 octets par paquet. Un PC équipé de Linux et d’un processeur Intel Pentium 4 à 2,8 GHz peut authentifier et traiter un paquet à 22 µs, ce qui correspond à 45,000 authentifications par seconde.

[1]  Sneha Kumar Kasera,et al.  Scalable fair multicast using active services , 2002, Proceedings DARPA Active Networks Conference and Exposition.

[2]  Scott Nettles,et al.  Practical programmable packets , 2001, Proceedings IEEE INFOCOM 2001. Conference on Computer Communications. Twentieth Annual Joint Conference of the IEEE Computer and Communications Society (Cat. No.01CH37213).

[3]  William A. Arbaugh,et al.  Safety and security of programmable network infrastructures , 1998, IEEE Commun. Mag..

[4]  Sandra L. Murphy,et al.  Secure active network prototypes , 2002, Proceedings DARPA Active Networks Conference and Exposition.

[5]  Carsten Bormann,et al.  RTP Payload Format for 12-bit DAT Audio and 20- and 24-bit Linear Sampled Audio , 2002, RFC.

[6]  Carl A. Gunter,et al.  PLAN: a packet language for active networks , 1998, ICFP '98.

[7]  David Wetherall,et al.  Active network vision and reality: lessions from a capsule-based system , 1999, SOSP.

[8]  Carl A. Gunter,et al.  PLANet: an active internetwork , 1999, IEEE INFOCOM '99. Conference on Computer Communications. Proceedings. Eighteenth Annual Joint Conference of the IEEE Computer and Communications Societies. The Future is Now (Cat. No.99CH36320).

[9]  Yohei Hasegawa,et al.  Fast and Secure Packet Processing Environment for Per-Packet QoS Customization , 2001, IWAN.