CN101714910B - 基于概率检测的抗污染网络编码方法 - Google Patents

Abstract

本发明公开了一种基于概率检测的抗污染网络编码方法。其过程为：网络中的每个节点采用概率密钥预分配机制，从同一密钥池中随机选取t个密钥；信源节点将消息分割并扩展为n个原始向量；信源节点选取t对安全参数和伪随机序列生成器，并利用t个密钥，为每个原始向量计算t个消息认证码；利用同态性，信源节点或中间节点可为新的编码向量计算t个消息认证码；中间节点或信宿节点，利用与信源节点的共享密钥，对收到的编码向量数据的完整性和有效性进行验证；当信宿节点收到n个线性无关的编码向量并验证通过后，可以解码得到原始消息。本发明具有安全性能好，污染检测概率高，通信开销小，验证速度快的优点，适用于网络编码的安全应用。

Description

基于概率检测的抗污染网络编码方法

技术领域

本发明属于通信网络安全技术领域，具体地说是一种抗污染网络编码方案，它利用概率密钥预分配机制和同态的性质，使得中间节点和信宿节点能够对收到的编码向量的完整性和有效性进行概率验证，从而保证各节点网络编码的安全性。

背景技术

网络编码技术的提出，为现有的网络带来了诸多的优点，包括提高网络的吞吐量，改善网络的可靠性，减少通信的能量消耗等。但是与此同时，网络编码也带来了诸多不可忽视的安全问题，污染攻击就是其中之一。污染攻击是指在网络编码的系统中，恶意的节点可以对传输的编码向量进行恶意的修改或是添加虚假的编码向量，从而产生无效的编码向量，致使信宿节点不能有效地恢复原始信息。更为严重的是，若是这些污染的编码向量不能及时地、有效地被用户检测出来，它们会和网络中其他合法的编码向量进一步编码，进而制造更多污染的编码向量，形成污染扩散。

针对污染攻击问题，近些年来研究者们提出了许多解决方法。美国学者M.Krohn，M.Freeman和D.Mazieres在他们2004年发表在“IEEESymposium on Security and Privacy”上的“On-the-fly Verfication ofRateless Erase Codes for Efficient Content Distribution”一文中，首先提出通过同态签名算法来解决Rateless Erase Codes的验证问题。之后，美国学者Gkantsidis和Rodriguez在2006年“IEEE INFOCOM”上的论文“Cooperative Security for Network Coding File Distribution”中，将同态签名的方法引入到安全的网络编码中，但是这种方法需要用额外的安全信道传输签名值，并且计算复杂度高，通信开销大。在2009年“IEEEINFOCOM”会议上，Z.Yu、Y.Wei、B.Ramkumar和Y.Guan在其论文“AnEfficient Scheme for Securing XOR Network Coding against PollutionAttack”中，提出了利用密钥预分配和签名的思想抵抗污染攻击问题，该方法虽说可以有效地减少验证信息的计算复杂性，但其不足是通信开销随着参与编码原始向量的数量增加而增大，它更适用于XOR网络编码，而不适合于随机线性网络编码；此外，该方法对于污染向量的检测概率不够高，不能更好的抑制污染扩散，从而降低整个网络的效率。

发明内容

本发明的目的在于克服上述已有技术的不足，结合概率密钥预分配机制和同态性质，提出一种基于概率检测的抗污染网络编码方法，以在保证低计算复杂性的同时，减小通信开销，提高污染向量的检测概率，有效地抑制污染扩散。

为实现上述目的，本发明的编码步骤包括如下：

(1)网络中的每个节点采用概率密钥预分配机制，从同一密钥池中随机选取相同数量的t个密钥并存储，其中t＞0；

(2)网络中的信源节点选择一个公开的伪随机序列生成器f，并随机生成t对安全参数；

(3)信源节点将要发送的原始消息分割并扩展成n个(m+n)维的原始向量

，其中i∈[1，n]；

(4)信源节点利用自身的t个密钥、t对安全参数和所选择的伪随机序列生成器f，为每个原始向量

计算t个消息认证码

其中j∈[1，t]，该每个消息认证码均由对应的每个原始向量的所有元素计算生成，一个消息认证码对应唯一个密钥；

(5)信源节点随机产生编码系数向量，结合步骤(3)中的每个原始向量

生成新的编码向量并利用同态的性质，为新的编码向量生成其对应的t个消息认证码

其中j∈[1，t]，该t个消息认证码与新的编码向量

一起发送至下行节点；

(6)网络中的中间节点或信宿节点，在收到步骤(5)所产生的编码向量时，根据其自身与信源节点的共享密钥和共享密钥对应的编码向量的消息认证码，对收到的编码向量数据的完整性和有效性进行验证；若验证通过，则编码向量可以用来进一步编码或是解码；若不通过，则认定该编码向量为污染向量，直接抛弃或是要求上行节点重新发送；

(7)中间节点随机产生编码系数向量，利用步骤(6)中验证通过的编码向量产生新的编码向量用于输出，并利用同态的性质，在不知道信源节点的全部t对安全参数的情况下，计算输出编码向量对应的t个消息认证码，一起发送至下行节点；

(8)当信宿节点收到n个线性无关的编码向量，并以步骤(6)验证这n个编码向量的完整性和有效性通过之后，恢复出原始消息。

本发明具有如下优点：

(1)本发明由于信源节点采用了同态的性质，为新的编码向量生成其对应的t个消息认证码，使得消息认证码所带来的通信开销与参加编码的原始向量的数量无关，从而减小了通信开销。

(2)本发明由于利用向量内积和对称加密的方法计算原始向量或编码向量的消息认证码，降低了认证信息生成和验证的计算复杂性。

(3)本发明由于中间节点采用了同态的性质，在不知道信源节点全部t对安全参数的情况下，依然能够计算输出编码向量所对应的t个消息认证码，因此不需要额外的安全信道分发认证信息。

(4)本发明由于每个消息认证码均由原始向量或编码向量的所有元素计算生成，且每个消息认证码对应唯一个密钥，提高了污染攻击的检测概率，更好的抑制了污染扩散，改善了整个网络的效率。

附图说明

图1是本发明的编码过程示意图；

图2是本发明的验证过程示意图。

具体实施方式

以下参照附图对本发明作进一步详细说明。

参照图1，本发明的具体编码过程按如下步骤进行：

步骤1，网络中的每个节点采用概率密钥预分配机制，从同一密钥池中随机选取相同数量的t个密钥，并将这些密钥进行存储，这些节点之间存在一定的概率共享密钥。

步骤2，网络中的信源节点选择一个公开的伪随机序列生成器f，并随机生成t对安全参数，其中，f为一个能够产生大于(m+n)×log₂q长的伪随机序列的伪随机序列生成器，m＞0，n＞0，q≈2²⁵⁶；该t对安全参数，每一对均包含一个秘密种子u_j和一个秘密数r_j，j∈[1，t]，u_j为所选的伪随机序列生成器的种子，r_j为有限域F_q中的一个元素。

步骤3，信源节点将要发送的原始消息M分割并扩展成n个(m+n)维的原始向量

其中i∈[1，n]。本步骤的具体步骤如下：

(3a)将消息M分割成n个m维的向量

向量 ${\stackrel{\→}{w}}_i=(v_{i,1},...v_{i,m})$ 中的每个元素v_i，k，k∈[1，m]，均为有限域F_q上的一个元素，将消息M表示为n×m的矩阵：

(3b)为了能够使之后产生的编码系数向量与消息内容一起传送，信源节点将向量i∈[1，n]，以如下方式扩展为(m+n)维原始向量：

其中扩展部分的第i个元素为1，其余(n-1)个元素均为0。

步骤4，信源节点利用自身的t个密钥、t对安全参数和所选择的伪随机序列生成器f，为每个原始向量计算t个消息认证码

其中j∈[1，t]。本步骤的具体步骤如下：

(4a)利用伪随机序列生成器f和秘密种子u_j，逐比特生成向量 ${\stackrel{\→}{u}}_j=(u_{j,1},...u_{j,m+n})\∈F_q^{m+n}$ 的全部二进制序列，其中j∈[1，t]；

(4b)由秘密数r_j，向量

和原始向量 ${\stackrel{\→}{v}}_i=(v_{i,1},...v_{i,m+n}),$ 计算认证值：

$c{\left({\stackrel{\→}{v}}_i\right)}_j={\stackrel{\→}{v}}_i\·{\stackrel{\→}{u}}_j+\underset{k=m+1}{\overset{m+n}{\mathrm{\Σ}}}{v}_{i,k}\·r_j={\stackrel{\→}{v}}_i\·{\stackrel{\→}{u}}_j+r_j,1\≤j\≤t;$

(4c)用密钥k_(s，j)对密钥序号id(k_(s，j))、秘密数r_j和种子u_j进行加密之后，并与认证值一起组成t个消息认证码：

$\mathrm{MAC}{\left({\stackrel{\→}{v}}_i\right)}_j=\{{\{\mathrm{id}\left(k_{(s,j)}\right),r_j,u_j\}}_{k_{(s,j)}},\mathrm{id}\left(k_{(s,j)}\right),c{\left({\stackrel{\→}{v}}_i\right)}_J\},1\≤j\≤t$

其中，密钥k_(s，j)是信源节点s的第j个密钥，

表示被密钥k_(s，j)加密的内容。

步骤5，信源节点随机产生编码系数向量，结合步骤3中的每个原始向量

生成新的编码向量

并利用同态的性质，为新的编码向量

生成其对应的t个消息认证码

其中j∈[1，t]，该t个消息认证码与新的编码向量

一起发送至下行节点。本步骤的具体步骤如下：

(5a)随机产生编码系数向量(α₁，α₂，…，α_n)，并利用原始向量

生成新的编码向量 $\stackrel{\→}{e}=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i\·{\stackrel{\→}{v}}_i,$ 编码向量

为(m+n)维向量，其表示为：

$\stackrel{\→}{e}=(e_1,...e_m,{\mathrm{\α}}_1,...,{\mathrm{\α}}_n)=(e_1,...e_m,e_{m+1},...,e_{m+n});$

(5b)利用同态的性质，计算新的编码向量

对应的t个消息认证码的认证值：

$c{\left(\stackrel{\→}{e}\right)}_j=\stackrel{\→}{e}\·{\stackrel{\→}{\mathrm{\μ}}}_j+\underset{x=m+1}{\overset{m+n}{\mathrm{\Σ}}}{e}_x\·r_j=(\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i\·{\stackrel{\→}{v}}_i\·{\stackrel{\→}{\mathrm{\μ}}}_j)+(\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i\·r_j)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i\·c{\left({\stackrel{\→}{v}}_i\right)}_j$

其中1≤j≤t，为原始向量

的认证值，α_i为编码系数；

(5c)将认证值

与消息认证码中的加密内容和密钥序号id(k_(s，j))，生成编码向量

的t个消息认证码：

$\mathrm{MAC}{\left(\stackrel{\→}{e}\right)}_j=\{{\{\mathrm{id}\left(k_{(s,j)}\right),r_j,u_j\}}_{k_{(s,j)}},\mathrm{id}\left(k_{(s,j)}\right),c{\left(\stackrel{\→}{e}\right)}_j\},1\≤j\≤t;$

(5d)将生成的t个消息认证码，附于编码向量

之后，一起发送至下行节点，表示如下：

$\stackrel{\→}{e},\mathrm{MAC}{\left(\stackrel{\→}{e}\right)}_1,...,\mathrm{MAC}{\left(\stackrel{\→}{e}\right)}_t.$

步骤6，网络中的中间节点或信宿节点，在收到步骤5所产生的编码向量时，根据其自身与信源节点的共享密钥和共享密钥对应的编码向量的消息认证码，对收到的编码向量数据的完整性和有效性进行验证；若验证通过，则编码向量可以用来进一步编码或是解码；若不通过，则认定该编码向量为污染向量，直接抛弃或是要求上行节点重新发送。

参照图2，中间节点或信宿节点验证的具体步骤如下：

(6a)利用收到的消息认证码中的密钥序号，判断是否与信源节点有共享密钥，若有x个共享密钥则转至步骤(6b)，其中x∈[1，t]，若没有共享密钥则不进行进一步验证；

(6b)利用x个共享密钥，将对应的x个消息认证码中的加密部分进行解密，得到x对安全参数；

(6c)利用x对安全参数中的秘密种子u_j，公开的伪随机序列生成器f，逐比特生成向量 ${\stackrel{\→}{u}}_j=(u_{j,1},...u_{j,m+n})\∈F_q^{m+n}$ 的全部二进制序列，其中j∈[1，x]；

(6d)利用x对安全参数中的秘密数r_j，向量

和收到的编码向量 $\stackrel{\→}{e}=(e_1,...,e_{m+n})\∈F_q^{m+n},$ 计算对应的x个消息认证码的认证值：

$c{\left(\stackrel{\→}{e}\right)}_j^{\′}=\stackrel{\→}{e}\·{\stackrel{\→}{u}}_j+\underset{k=m+1}{\overset{m+n}{\mathrm{\Σ}}}{e}_k\·r_j,1\≤j\≤x;$

(6e)利用计算得到的x个消息认证码的认证值

与收到的编码向量对应的原有x个消息认证码的认证值

进行x次比对，若该x次比对结果全部相同则验证通过，否则验证失败。

步骤7，中间节点随机产生编码系数向量，利用步骤6中验证通过的编码向量产生新的编码向量用于输出，且在不知道信源节点的全部t对安全参数的情况下，利用输入的编码向量，以步骤5中为新的编码向量生成t个消息认证码的方式，计算输出编码向量对应的t个消息认证码，并与输出编码向量一起发送至下行节点；

步骤8，当信宿节点收到n个线性无关的编码向量，并以步骤6验证这n个编码向量的完整性和有效性通过之后，恢复出原始消息，该具体步骤如下：

(8a)接收n个线性无关的编码向量 ${\stackrel{\→}{e}}_i=(e_{i,1},...e_{i,m+1}),$ i∈[1，n]；

(8b)按照步骤6验证这n个线性无关的编码向量的完整性和有效性，若验证全部通过则转至步骤(8c)，否则暂时不能解码，需要接收新的编码向量；

(8c)将这n个编码向量组成n×(m+n)的矩阵：

其中矩阵P_n×m为内容矩阵，矩阵G_n×n为系数矩阵；

(8d)利用高斯消元法，求得系数矩阵G_n×n的逆矩阵G_n×n ^-1；

(8e)利用内容矩阵P_n×m和系数矩阵的逆矩阵G_n×n ^-1，解码得到原始消息M＝G_n×n ^-1·P_n×m。

本发明的效果可以通过以下理论证明进一步说明：

一、本发明的抗污染性证明：

本发明中，一般攻击者在不知道任何安全参数的情况下，对网络中传输的编码向量进行恶意污染，则网络中的其他节点可以利用其自身与信源节点的共享密钥将该污染向量检测出来，并丢弃。对于聪明的攻击者，为了更有效的进行攻击，它会试图通过得到信源节点的全部t个共享密钥或是蛮力攻击的方式来获得每个消息认证码所对应的每对安全参数，从而为污染向量产生合法的消息认证码。以下分别对该两种攻击方式的成功概率进行分析：

(1)攻击者在攻破一个节点时，同时获得信源节点的全部t个共享密钥的概率为：

$\frac{1}{\left(\begin{array}{c}K\\ t\end{array}\right)}$

一般情况下，密钥池的大小K＝100，每个编码向量的消息认证码个数t＝10，则成功的概率约为

2)攻击者依蛮力攻击的方式猜对所有t对安全参数的概率为：

${\left(\frac{1}{q\×u_j}\right)}^t$

一般情况下，q≈2²⁵⁶，u_j≈2¹²⁸，t＝10，则成功的概率约为

从以上分析可以看出，攻击者无论是通过获得全部的共享密钥还是蛮力攻击的方式，都难以获得全部的安全参数。所以，即使恶意攻击者知道了某一对或是几对安全参数，并为其污染向量产生了一个或是多个合法的消息认证码，但是其他节点仍然能够通过其余的安全参数，检测出污染向量。

二、本发明的检测概率证明：

对于一个被污染的节点，它恰好与信源节点有x个共享密钥的概率为：

$p_e\left(x\right)=\frac{\left(\begin{array}{c}t\\ x\end{array}\right)\·\left(\begin{array}{c}K-t\\ t-x\end{array}\right)}{\left(\begin{array}{c}K\\ t\end{array}\right)}$

x∈[0，t]。

当污染节点恰好有x个共享密钥时，下行节点恰好没有t-x个有效地共享密钥的概率为：

$p_u\left(x\right)=\frac{\left(\begin{array}{c}K-(t-x)\\ t\end{array}\right)}{\left(\begin{array}{c}K\\ t\end{array}\right)}$

p_u(x)同时也是下行节点不能检测出污染的概率。所以，在此情况下，恶意节点之后的n-1个节点均未能检测出污染向量，而第n个节点检测并去除污染的概率为：

P_dec|x(n)＝1-p_u(x)ⁿ

如果恶意节点之后的n-1个节点均检测失败，而第n个节点成功检测污染向量的总概率为：

$P_{\mathrm{dec}}\left(n\right)=\underset{x=0}{\overset{t}{\mathrm{\Σ}}}{p}_e\left(x\right)\·P_{\mathrm{dec}|x}\left(n\right)$

为了保证污染向量能够尽早的检测出来，即当n较小时，检测概率P_dec(n)尽可能大，同时为保证通信开销较小，取t＝5～10，K＝100～200时，其抗污染的效率最佳。

Claims (6)

1.一种基于概率检测的抗污染网络编码方法，包括如下步骤：

(1)网络中的每个节点采用概率密钥预分配机制，从同一密钥池中随机选取相同数量的t个密钥并存储，其中t＞0；

(2)网络中的信源节点选择一个公开的伪随机序列生成器f，并随机生成t对安全参数；

(3)信源节点将要发送的原始消息分割并扩展成n个(m+n)维的原始向量

其中i∈[1，n]，m＞0，n＞0；

(4)信源节点利用自身的t个密钥、t对安全参数和所选择的伪随机序列生成器f，为每个原始向量

计算t个消息认证码

其中j∈[1，t]，该每个消息认证码均由对应的每个原始向量的所有元素计算生成，一个消息认证码对应唯一个密钥；

(5)信源节点随机产生编码系数向量，结合步骤(3)中的每个原始向量

生成新的编码向量

并利用同态的性质，为新的编码向量

生成其对应的t个消息认证码其中j∈[1，t]，该t个消息认证码与新的编码向量

一起发送至下行节点；

(6)网络中的中间节点或信宿节点，在收到步骤(5)所产生的编码向量时，根据其自身与信源节点的共享密钥和共享密钥对应的编码向量的消息认证码，对收到的编码向量数据的完整性和有效性进行验证；若验证通过，则编码向量可以用来进一步编码或是解码；若不通过，则认定该编码向量为污染向量，直接抛弃或是要求上行节点重新发送；

(7)中间节点随机产生编码系数向量，利用步骤(6)中验证通过的编码向量产生新的编码向量用于输出，并利用同态的性质，在不知道信源节点的全部t对安全参数的情况下，计算输出编码向量对应的t个消息认证码，一起发送至下行节点；

(8)当信宿节点收到n个线性无关的编码向量，并以步骤(6)验证这n个编码向量的完整性和有效性通过之后，恢复出原始消息。

2.根据权利要求1所述的抗污染网络编码方法，其中步骤(2)所述的伪随机序列生成器f，为一个能够产生大于(m+n)×log₂q长的伪随机序列的伪随机序列生成器，其中m＞0，n＞0，q≈2²⁵⁶。

3.根据权利要求1所述的抗污染网络编码方法，其中步骤(2)所述的t对安全参数，每一对均包含一个秘密种子u_j和一个秘密数r_j，j∈[1，t]，其中u_j为所选的伪随机序列生成器的种子，r_j为有限域F_q中的一个元素。

4.根据权利要求3所述的抗污染网络编码方法，其中步骤(4)所述的为每个原始向量计算t个消息认证码，按如下步骤进行：

(4a)利用伪随机序列生成器f和秘密种子u_j，逐比特生成向量

的全部二进制序列，其中j∈[1，t]；

(4b)由秘密数r_j，向量

和原始向量

计算认证值：

$c{\left({\stackrel{\→}{v}}_i\right)}_j={\stackrel{\→}{v}}_i\·{\stackrel{\→}{u}}_j+\underset{k=m+1}{\overset{m+n}{\mathrm{\Σ}}}{v}_{i,k}\·r_j={\stackrel{\→}{v}}_i\·{\stackrel{\→}{u}}_j+r_j,1\≤j\≤t;$

(4c)用密钥k_(s，j)对密钥序号id(k_(s，j))、秘密数r_j和种子u_j进行加密之后，并与认证值一起组成t个消息认证码：

$\mathrm{MAC}{\left({\stackrel{\→}{v}}_i\right)}_j=\{{\{\mathrm{id}\left(k_{(s,j)}\right),r_j,u_j\}}_{k_{(s,j)}},\mathrm{id}\left(k_{(s,j)}\right),c{\left({\stackrel{\→}{v}}_i\right)}_j\}$

其中，密钥k_(s，j)是信源节点s的第j个密钥，

表示被密钥k_(s，j)加密的内容。

5.根据权利要求1所述的抗污染网络编码方法，其中步骤(5)所述的利用同态的性质，为新的编码向量

生成其对应的t个消息认证码

按如下步骤进行：

(5a)利用同态的性质，使用编码系数向量(α₁，α₂，...，α_n)和n个原始向量

的认证值

计算新的编码向量

对应的t个认证值：

$c{\left(\stackrel{\→}{e}\right)}_j=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i\·c{\left({\stackrel{\→}{v}}_i\right)}_j,1\≤j\≤t;$

(5b)将认证值

与消息认证码

中的加密内容和密钥序号id(k_(s，j))，组成编码向量

的t个消息认证码：

$\mathrm{MAC}{\left(\stackrel{\→}{e}\right)}_j=\{{\{\mathrm{id}\left(k_{(s,j)}\right),r_j,u_j\}}_{k_{(s,j)}},\mathrm{id}\left(k_{(s,j)}\right),c{\left(\stackrel{\→}{e}\right)}_j\},1\≤j\≤t.$

6.根据权利要求1所述的抗污染网络编码方法，其中步骤(6)所述的对收到的编码向量数据的完整性和有效性进行验证，是由中间节点或信宿节点按如下步骤进行验证：

(6a)利用收到的消息认证码中的密钥序号，判断是否与信源节点有共享密钥，若有x个共享密钥则转至步骤(6b)，其中x∈[1，t]，若没有共享密钥则不进行认证；

(6b)利用x个共享密钥，将对应的x个消息认证码中的加密部分进行解密，得到x对安全参数；

(6c)利用x对安全参数中的秘密种子u_j，公开的伪随机序列生成器f，逐比特生成向量

的全部二进制序列，其中j∈[1，x]；

(6d)利用x对安全参数中的秘密数r_j，向量

和收到的编码向量

计算对应的x个消息认证码的认证值：

$c{\left(\stackrel{\→}{e}\right)}_j^{\′}=\stackrel{\→}{e}\·{\stackrel{\→}{u}}_j+\underset{k=m+1}{\overset{m+n}{\mathrm{\Σ}}}{e}_k\·r_j,1\≤j\≤x;$

(6e)利用计算得到的x个消息认证码的认证值

与收到的编码向量

对应的原有x个消息认证码的认证值

进行x次比对，若该x次比对结果全部相同则验证通过，否则验证失败。

Images