一种防污染攻击的安全网络编码方法技术

本发明专利技术公开了一种防污染攻击的安全网络编码方法，主要可以划分为三个阶段：初始化阶段、验证码生成阶段和检测阶段。本发明专利技术充分利用了多播和网络编码的优点，并且解决了多播传输和网络编码的安全性问题。

A Secure Network Coding Method Against Pollution Attacks

The invention discloses a secure network coding method against pollution attacks, which can be divided into three stages: initialization stage, verification code generation stage and detection stage. The invention makes full use of the advantages of multicast and network coding, and solves the security problems of multicast transmission and network coding.

【技术实现步骤摘要】
一种防污染攻击的安全网络编码方法
本专利技术涉及网络安全领域，特别是一种防污染攻击的安全网络编码方法。
技术介绍
数据多播因其灵活性和可扩展性而成为无线网络中传输数据的有效方法。在最近的研究中，研究者发现网络编码能显著提升无线多播传输性能，如降低网络时延，减少重传次数和最小化网络负载。网络编码是一种中继节点对收到的数据包进行线性或者非线性组合操作的技术方法，最初是在信息理论里提出来的。研究表明：网络编码能最大化网络吞吐量，并且对链路失效具有很好的鲁棒性。与传统的存储转发路由方式相比，网络编码最大的特点就是能让节点对收到的数据进行编码操作。然而，网络编码这种组合数据的特点使得其对于污染攻击十分脆弱。这样，恶意节点可以通过向网络注入恶意数据包，当该恶意数据包和合法数据包进行组合操作后，直接导致污染数据包的产生，从而逐跳影响到网络中其它节点，直接导致整个网络的污染。这种攻击不仅使得目的节点不能获取源数据，而且消耗了无线网络中继节点非常宝贵且有限的能源。因此，尽可能早地对网络编码中污染数据的过滤是尤其重要和有意义的。为了解决恶意节点的污染攻击，一些学者提出了不同的方案。总体来说，这些方案可以归纳成两类：数据验证和纠错。数据验证是基于公钥加密体系，如同态哈希和同态签名，这类方法对网络中每个节点带来了复杂的计算开销，因此，它将不可避免地造成高计算时延。后一种方法，也就是纠错技术，它主要是对每个数据块进行校正从而确保每个收到的数据不被污染。然而，这种方法的局限于只能对非常受限数量的污染数据包进行纠正。恶意攻击对网络编码带来了很大的威胁和危害，一些研究者设计出了安全检测机制，分为密码学和信息论两个方面。当前，恶意攻击主要分为两类：在中继节点或者在目的节点过滤污染数据。这些方法主要面向纠错和攻击检测。Krohn等人是最早研究网络编码污染攻击的，他们提出了基于同态哈希的方案。然而，这种方案计算开销非常大。为了降低计算开销，Gkantsidis和Rodrigues提出了概率性检测数据块的方案，但这种方案导致了非常大的通信开销。Agrawal等人提出的方案支持网络内检测，但该方案是基于同态签名，这种方案的主要不足体现在两个方面：(i)非常大的验证代价：签名验证包括了公钥签名验证和同态哈希验证；(ii)大规模的签名空间：包括公钥签名和多哈希计算。Jaggi等人[68]提出了多项式时间算法用于对抗多播传输网络的污染攻击。但该方案只适合比较小的有限域，并不适合通用的污染检测。Ho等人提出了针对多播网络中的污染攻击的安全方案，该方案通过执行一个多哈希运算实现。同样，当消息大小不满足条件时，该方案失效。Dong等人提出了无线流内网络编码系统的污染攻击和防御方案，但该方案只在流内网络中有效。R.Gayathri等人在Manet网络中提出了一种防止恶意节点的方案。然而，该方案并不能很好地抵抗主动攻击。为了避免重复验证信息，Li等人提出了一种基于门限单向组合方案。Charles等人和Yu等人提出了同态签名方案。但是，这些方案需要每个节点额外昂贵的模幂运算，而这并不适合多播传输。Yu等人基于对称密钥提出了一种异或网络编码中的计算高效方案。然而，这个方案带来了大量的计算开销。恶意节点检测研究遍布很多领域，如botnet检测，基于信誉的网络和拜占庭链路失效定位。这些方案需要在一个指定的时间内监控网络流量或节点行为，并且依赖统计算法来识别拜占庭攻击者。最后，还有一些方案使用“看门狗”技术检测恶意节点。一方面，网络编码本身并不能很好地解决数据传输的安全性问题，另一方面，现有的网络编码反污染攻击的方案不适合多播传输场景。
技术实现思路
本专利技术所要解决的技术问题是，针对现有技术不足，提供一种防污染攻击的安全网络编码方法，解决多播传输和网络编码的安全性问题。为解决上述技术问题，本专利技术所采用的技术方案是：一种防污染攻击的安全网络编码方法，包括以下步骤：1)校验每个收到消息的验证码是否合法；若不合法，进入步骤2)；2)计算数据包e，e＝α1e1+α2e2...+αmem；其中，α1、α2……αm为系数，e1、e2……em为数据包；3)判断数据包e是否为明文，若e为明文且e合法，则输出数据包e；否则，将数据包e为不合法数据包报告给安全中心服务器；若e不是明文，则基于节点ID，SecP和数据包e计算数据包e的校验码；4)将消息e，消息序列号和该消息的验证码作为整体发送出去；5)对于节点中的消息验证收到的消息和真实消息的一致性，如果一致，则继续对节点中的其它消息进行验证；6)向节点R验证消息e和验证码χ(e)的一致性，若不一致，则向可信中心服务器发送污染警示报告，可信中心服务器验证警示的真实性，确保不存在节点欺骗；7)输出恶意节点列表。验证码χ(e)包括η个值{v1,...,vη}，这些值通过公式vi＝truncθ(H(e|Seq(e),ψi))得到，1≤i≤η；Seq(e)为消息e的序列号；H(.)为安全单向哈希函数；truncθ表示将输入截取为最左θ位。与现有技术相比，本专利技术所具有的有益效果为：本专利技术充分利用了多播和网络编码的优点，并且解决了多播传输和网络编码的安全性问题。附图说明图1为本专利技术系统模型图；图2为本专利技术消息编码过程图；图3为本专利技术下游节点被污染示意图；图4为本专利技术污染消息检测示意图；图5为本专利技术攻击示意图；图6为本专利技术方案和同态签名方案下，不同数量的恶意节点对端到端时延的影响；图7为网络吞吐量随着恶意节点数量的增加而降低示意图；图8为不同数量攻击者的情况下恶意检测平均时延。具体实施方式本专利技术系统模型如图1所示，系统由一个基础网络由若干移动设备(MDs)和一个安全中心服务器(SCS)组成，其中一个移动设备作为源节点。安全中心服务器为每个移动设备提供安全密钥，而源节点以多播的方式向目的节点传输数据。在本专利技术的方案中，主要考虑一种通用的多播传输网络，在该网络中，有一个源节点，多个目的节点和大量中间节点，同时有一个可信安全中心服务器节点。源节点S向所有的目的节点发送消息，而中间节点使用线性网络编码方法来生成编码消息并进行转发。如图1所示，中心服务器向网络中所有节点预分发密钥，当新的节点加入网络后，该节点需要向中心服务器注册密钥。特别地，本专利技术认为中心服务器是可信安全的。不妨用M1,...,Mn表示源消息，n表示源节点S在单位时间内以最优速率发出的消息数量。本专利技术认定源节点S能持续地生成和发送消息。也就是说，源节点S在单位时间内生成n个消息并编码发送，而中继节点使用相同的编码方法对消息进行转发。例如，当中继节点X收到m个数据包M1...Mm，该m个数据包是源节点S对应源数据包的线性组合，那么中继节点随机选取m个编码系数α1,...,αm，并对这m个消息进行线性组合以生成新的编码消息y，并将其传输给下一跳节点。同时，这些编码系数附加在对应数据内进行传输。因此，中继节点或者目的节点能使用编码系数对收到的消息进行验证。在本专利技术中，将每个消息切割成l个具有相同长度的码字。特别地，每个码字是256位。在现有的方案中，每个码字是有限域q上的一个随机元素。同时，消息是在同一个有限域上进行编码的。不过，我们方案将消息划分为码字只是为了生成消息验证码。因此，划分码字的有本文档来自技高网...

【技术保护点】
1.一种防污染攻击的安全网络编码方法，其特征在于，包括以下步骤：1)校验每个收到消息的验证码是否合法；若不合法，进入步骤2)；2)计算数据包e，e＝α1e1+α2e2...+αmem；其中，α1、α2……αm为系数，e1、e2……em为数据包；3)判断数据包e是否为明文，若e为明文且e合法，则输出数据包e；否则，将数据包e为不合法数据包报告给安全中心服务器；若e不是明文，则基于节点ID，SecP和数据包e计算数据包e的校验码；4)将消息e，消息序列号和该消息的验证码作为整体发送出去；5)对于节点中的消息

【技术特征摘要】
1.一种防污染攻击的安全网络编码方法，其特征在于，包括以下步骤：1)校验每个收到消息的验证码是否合法；若不合法，进入步骤2)；2)计算数据包e，e＝α1e1+α2e2...+αmem；其中，α1、α2……αm为系数，e1、e2……em为数据包；3)判断数据包e是否为明文，若e为明文且e合法，则输出数据包e；否则，将数据包e为不合法数据包报告给安全中心服务器；若e不是明文，则基于节点ID，SecP和数据包e计算数据包e的校验码；4)将消息e，消息序列号和该消息的验证码作为整体发送出去；5)对于节点中的消息验证收到的消息...

【专利技术属性】
技术研发人员：宁佐廷，张大方，刘绪崇，
申请(专利权)人：湖南警察学院，
类型：发明
国别省市：湖南,43