一种基于子空间属性的多源网络编码污染防御方法,它包含三大步骤:步骤一:建立多源网络编码系统模型,包括确定多源网络编码方法、建立敌手模型、建立一个可信中心节点和利用网络编码子空间属性;步骤二:初始化,包括分配索引、生成零密钥和分发零密钥;步骤三:消息传输和验证。本发明专利技术利用网络编码的子空间属性实现抵御污染攻击的多源安全网络编码,和密码学抵御污染个攻击方法相比,利用子空间属性的防御方案使计算开销减少;它是网络内的直接检测,提供了更高的效率和安全性,能够适用于污染攻击问题更为严重的多源编码系统中。
【技术实现步骤摘要】
本专利技术涉及,属于信息网络安全
技术介绍
网络编码是近年来网络信息传输领域的新技术,它改变了传统网络中继节点只对数据包进行存储转发的传输模式,允许中继节点对数据包进行编码,从而能够达到传统传输模式无法达到的网络容量上限。进一步的研究表明,网络编码在提高网络吞吐量、均衡网络负载、增强网络鲁棒性和节约网络能耗等方面均有良好的作用。网络编码允许中继节点的编码操作带来了许多益处,但同时也带来了一个严重的网络编码所特有的安全威胁一污染攻击。污染攻击指中继节点向网络中注入损坏的数据包(包括对合法数据包的篡改),虽然数据包注入不是一个新的攻击,但在网络编码中却会带来灾难性的后果。当中继节点进行编码时,只要有一个损坏的数据包输入,所有的输出编码包都将被损坏;下游的节点收到这些损坏的编码包,对它们进行编码,将会产生更多的损坏的数据。这样,少量损坏的数据包通过编码操作扩散导致大量数据包的损坏,即,网络中的大量数据包被“污染”了。污染攻击最终会造成网络的吞吐量急剧下降,使网络趋于瘫痪。当网络中存在多个源节点时,只对属于同一个源节点的数据包分别进行编码,其吞吐量并不能总是达到网络容量上限。多个源之间的联合网络编码,即多源网络编码,能够达到分别编码所不能达到的容量上限。然而,多源网络编码面临的更加严峻的污染攻击的考验。其原因在于:其一,多源网络编码中的恶意节点能够实施跨流污染攻击,造成其他数据流也被污染。这是由于多源网络编码将来自不同源的数据包编码在一起,当来自一个源的数据流被污染,联合编码操作将造成来自其他源的数据流也被污染,在下游节点又不断扩散到更多的数据流,导致比单源网络编码更严重的污染。其二,由于存在多个源节点,这些源节点不都是可信的,这给污染的防御造成更大的困难。在单源网络编码中,假设单个源节点可信是合理的,但在多源网络编码中,部分源节点可能是恶意节点,这些恶意节点的存在并不是为了发送数据包,而是为了利用跨流污染攻击污染其他正常源节点的数据。网络中没有源节点作为可信的根节点,防御污染攻击的难度更大。针对污染攻击,已有的解决方案包括密码学方法、信息论方法和网络纠错码方法。密码学方法依赖附加于编码包后的验证信息,允许中继节点对接收到的编码包的完整性进行验证,过滤污染包。现有的密码学方法分为利用同态杂凑函数的方法和利用同态签名的方法这两种。在同态杂凑函数的方法中,源节点使用同态杂凑函数为每个源数据包计算一个杂凑值,并且通过认证的信道将这些杂凑值分发给中继节点,杂凑函数的同态特性允许中继节点利用源数据包的杂凑值来计算编码包的杂凑值,中继节点同时计算接收到的编码包的杂凑值,最后通过比较这两个杂凑值是否相等来验证编码包的完整性。然而,同态杂凑函数方法的计算开销较大。基于同态签名的方案,需要为每一个新的源节点发送的文件可靠地分发一个新的公钥,这个公钥与文件的大小呈线性比例关系,从而难以适应大规模数据内容的分发。以上两类基于密码学方法的方法可以提供网络内的直接污染检测,但需要较大的计算开销,而且不适用于多源网络编码。基于信息论的方法要么通过编码足够的冗余信息,使目的节点能够检测到污染的存在;要么使用分布式协议,容忍污染和恢复源数据包。两者都只是在目的节点识别污染,不排除污染攻击节点,从而无法阻止污染攻击使网络吞吐量下降。基于网络纠错码的方法,能够检测和更正污染包,然而该方法是在纠错能力和码率之间的一种权衡,因而纠错污染包的能力是有限的。网络编码的子空间属性是线性网络编码的一个特殊属性。所谓子空间属性是指:在线性网络编码 中,源节点发送的数据包虽然经过中继节点的编码,却仍然都属于源节点的数据包张成的线性子空间中。利用这个性质,生成线性子空间相应的零空间,从而零空间中的任意向量和网络中的编码包都是正交的。从零空间选取一定数量的向量分发给中继节点,中继节点即可利用这些向量对编码包进行完整性验证。与抵御污染攻击的密码学方法相比,利用子空间属性的防御方案利用了网络编码本身的特性,计算效率大大提高;与信息论和网络纠错码相比,利用子空间属性的防御方案能够提供网络内的直接检测,提供了更高的安全性。在多源网络编码系统中,研究一种利用子空间属性的、能够高效地在网络内直接检测污染的污染攻击防御方法,将对构造安全的多源网络编码提供有力的支持。
技术实现思路
本专利技术解决的技术问题是:为了抵御多源网络编码的污染攻击,克服现有防御方案的不足,利用多源网络编码的子空间属性提供,降低完整性验证所需的计算开销和提高多源网络编码的安全性。本专利技术采取的技术方案是:,它包含以下步骤:步骤一:建立多源网络编码系统模型1.确定多源网络编码方法网络可以建模为有向图G=(V,E),存在一个源节点集本文档来自技高网...
【技术保护点】
一种基于子空间属性的多源网络编码污染防御方法,其特征在于:它包含以下步骤:步骤一:建立多源网络编码系统模型1.确定多源网络编码方法网络建模为有向图G=(V,E),存在一个源节点集和一个目的节点集每个源节点si要将数据包多播到目的节点集T,每个源节点的数据包附加上编码系数后得到以下形式:式中符号说明如下:表示源节点si(1≤i≤r)发送的第j个源数据包;表示源数据包的数据部分;r表示源节点集中源节点个数;g表示每一代中的数据包个数;n表示数据部分长度;m表示源节点集发送的总数据包数;源节点按代将源数据包发送出去;网络的中继节点对属于同一代的数据包进行编码,从它的输入链路接收到若干数据包这些数据包每个都是源数据包的线性组合,节点随机选取局部编码向量计算的这些数据包的线性组合:从而得到编码包最后将其传送到节点的一个或多个输出链路;当目的节点ti收到m条线性无关的编码包,即可利用高斯消元法解线性方程组恢复出源数据包2.建立敌手模型定义污染攻击为向网络中注入损坏的数据包,而损坏的数据包指网络中的 任意链路上的编码向量w→=(w^,β→),若w^≠Σi=1mβiv^i;其中v→i(1≤i≤m)是源数据包,是编码系数,攻击者为能够获取网络资源的内部节点,多个源节点中可能存在部分恶意节点;3.建立一个可信中心节点由于源节点可能是恶意的,因而需要设立一个可信中心节点来作为可信根节点;同时,在利用子空间属性时,可信中心节点被用来生成和分配相关零密钥;4.利用网络编码子空间属性在多源网络编码系统中,由于编码操作采用的是随机线性组合,由此可见,在不存在恶意节点的情况下,所有中继节点输出的编码包都属于这个子空间,而被污染的编码包不属于该子空间;步骤二:初始化1.分配索引当网络中某个节点有数据需要发送,它向可信中心节点发送一个索引请求消息;可信中心节点目的节点发来的索引请求消息,假设在一个设定的时间间隔△T内收到r(1≤r)个节点发来的索引请求消息,则可信中心节点分别给这r个节点分配1至r的索引,之后,节点对数据包附加编码系数:式中符号说明如下:表示源节点si(1≤i≤r)发送的第j个源数据包;表示源数据包的数据部分;r表示源节点集中源节点个数;g表示每一代中的数据包个数;2.生成零密钥源节点集S={s1,…,sr}各个中的每个节点将添加编码系数后的源数据包上传到可信中心节点,同时上传到可信中心节点还有源节点集S={s1,…,sr}中每个源节点的出度,记为OUT(si);所有数据包构成一个矩阵:X=v→1,1···v→1,g···v→r,1···v→r,gm×(n+m)由该矩阵构成线性方程组:Xz→=0式中符号说明如下:X表示源数据包构成的矩阵,表示将X映射到0的向量;解得X的零空间的n个基向量计算的线性组合得到一个零密钥,即,其中{λ1,…,λn}是可信中心节点随机选取n个系数;3.分发零密钥源节点集S={s1,…,sr}中的每个源节点si收到可信中心节点发送的OUT(si)个零密钥后,将它们从OUT(si)个输出链路分别发送出去,以和普通数据包相同的方式组播到目的节点集T={t1,…,tk};中继节点和编码普通数据包相同的方式编码这些零密钥,即,它对输入链路的l个零密钥进行随机线性组合得到编码包再将编码包从输出链路传送出去,中继节点存储收到的d(1≤d)线性无关的零密钥组成一个零密钥矩阵:采用同态杂凑函对零密钥的完整性进行保护;步骤三:消息传输和验证数据从源节点集以多源网络编码的方式传送到目的节点集,中继节点对数据包进行验证;验证方法如下:w→iK=0(1≤i≤l)式中符号说明如下:表示节点接收到的编码包,K表示存储在本地的零密钥矩阵;若是合法的数据包,上式成立,节点将其进行编码后从输出链路发送出去;若是受到污染的数据包,即,不属于张成的子空间里的向量,则上式将以的概率不成立,节点将其丢弃,式中d表示矩阵K的零密钥数,q表示有限域的大小。FDA00002889723600011.jpg,FDA...
【技术特征摘要】
1.一种基于子空间属性的多源网络编码污染防御方法,其特征在于:它包含以下步骤: 步骤一:建立多源网络编码系统模型 · 1.确定多源网络编码方法 网络建模为有向图G=(V,E),存在一个源节点集...
【专利技术属性】
技术研发人员:尚涛,黄福华,宋姗姗,林翔,赵晓杰,刘建伟,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。