CN109067804A - 基于身份标识算法的安全防窃听方法 - Google Patents

Abstract

本发明公开了一种基于身份标识算法的安全防窃听方法，源节点从有限域内随机选取编码系数生成编码系数矩阵。源节点对发送队列内的数据包进行线性组合。源节点采用身份标识算法用下一跳节点的公钥对编码系数进行加密。对发送的数据进行签名。中间节点验证签名数据以保证接收数据的完整性；待验签通过后，中间节点对接收到的数据包重新进行编码。中间节点加密编码系数，其加密密钥为目的节点的公钥，也就是身份标识。目的节点验证收到数据的完整性；目的节点用私钥解密收到的密文编码系数；通过使用高斯消元法化简编码系数，当系数矩阵的秩满足解码要求时，目的节点就能获得所需的原始数据包。本发明能防窃听攻击，防止攻击者读懂传输数据。

Description

基于身份标识算法的安全防窃听方法

技术领域

本发明涉及网络安全领域，特别是一种基于身份标识算法的安全防窃听方法。

背景技术

网络编码防窃听研究最早开始于2002年，蔡宁提出了I型窃听网络，也就是搭线窃听的网络通信模型，该模型将网络编码和信息安全结合起来。而且，该模型指出了构建安全线性网络编码的条件。随后，杨伟豪等人证明了该模型能以最小的随机密钥数量的代价最大化安全多播信息容量。蔡宁在I型防窃听通信网络模型的基础上展开了更加深入的研究，进一步将r-模型从搭线窃听通信系统抽象出来，并且定义了r-安全网络编码。Feldman等人指出搭线窃听通信网络模型存在很多缺陷，并对该模型进行扩展和简化。

Bhattad等人指出搭线窃听通信网络模型的安全条件过于苛刻，他们提出了一种弱安全的网络编码方案。Lima等人提出了网络编码的代数安全标准，该标准主要是考虑到编码网络中的一些节点窃听进入链路的数据。Harada等人提出了一种增强的安全网络编码方案，也就是增强r-安全网络编码。在该方案中，即使攻击者能窃听到多于r条信道，攻击者也只能获得一些有限安全信息向量的子集。Silva构建了安全线性网络编码方案，该方案通过以最大秩距离

(Maximun Rank Distance)取代线性的Ozarow-Wyner陪集码，使得陪集码与网络编码独立开来。为了克服窃听的特别限制，同时为了减少随机密钥的传输冗余，一些学者定义了通用攻击模型。该模型通过要么全有要么全无的信息传输方式，构建了安全网络模型，它的安全性是通过网络容量和最小窃听集割集来描述的。

在文献^[14]中，蔡宁和杨伟豪教授证明：在一个容量为n的多播网络G＝(V,E)中，当攻击者能窃听μ个信道时，源节点在一个时间槽内能安全传输n-μ个信息数据。然而，随着窃听能力的变强，该方案在安全传输性能方面将有急剧的下降。当攻击者能窃听n-1个信道时，广播网络单次只能安全传输一个信息数据。Roneyheb^[74]的研究指出，在一个容量为n的多播网络G＝(V,E)中，只要攻击者不能窃听超过n-k个信道，他们就能通过使用(n,k)最大距离分离码构造出合适的网络编码方案实现安全通信。最近几年，张等人创新提出了P-Coding安全方案，该方案通过在每个消息及其编码向量上实现轻量级的组合加密，从而达到能减少窃听威胁的目的。姚等人综述了窃听攻击方面有代表性的几个方案并进行了仿真实验。Noura研究出了一种加密方案，该方案能有效地应对拜占庭攻击和窃听攻击。刘等人针对VANET中在线服务访问提出了一种隐私保护方案。该方案是基于在每个消息内容上轻量级的编码操作。Mundhe^[7]提出了一种能量高效的加密方案，该方案通过组合加密实现防窃听攻击。李等人提出了一种基于异构环签名方案，该方案是基于公钥体系(PKI)来实现安全通讯。上述这些研究要么基于一定的假设，要么在安全性方面是不够的。这些方案要么加密或者组合加密编码系数，而这些方案只是能规避攻击者对于数据包信息的理解，但这对于网络编码的安全性还是远远不够的，彻底的安全防窃听不止是让攻击者对于窃听到的数据看不懂，还得让攻击一旦对信息作出伪造或者篡改后，能第一时间被检测出来。因此，如何防止攻击者窃听数据的同时，又能有效地保证数据的完整性，就成为需要着力解决的问题。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种基于身份标识算法的安全防窃听方法，防窃听攻击，防止攻击者读懂传输数据，抵抗污染攻击，防止攻击者伪造或者篡改传输数据。

为解决上述技术问题，本发明所采用的技术方案是：一种基于身份标识算法的安全防窃听方法，其特征在于，包括源节点编码、中间节点重编码和目的节点解码三个阶段；

所述源节点编码包括以下步骤：

1)选取若干个原始数据包；

2)随机选取编码系数；

3)使用选取的编码系数组合原始数据包形成原始编码包P；

4)再次随机选取编码系数i；

5)使用选取的编码系数i组合原始编码数据包P形成最终的编码数据包Pc；

6)加密编码系数i并签名数据包Pc；

所述中间节点重编码包括以下步骤：

1)中间节点接收数据包Pc，对收到的数据包Pc进行签名验证，解密数据包Pc获取编码系数；

2)在有限域内随机选取编码系数i；

3)使用选取的系数编码i数据包形成发送的编码包；

4)加密编码系数并签名数据包Pm；

所述目的节点解码包括以下步骤：

1)目的节点接收数据包Pm；

2)对收到的数据包进行签名验证，验证通过后解密数据包获取编码系数；

3)将解密后的编码系数生成系数矩阵，使用高斯消元法获取化简后的系数；

4)解线性方程获取源节点发送的原始数据。

所述原始编码包P为在COPE数据包头的基础上插入新的数据块得到；新插入的数据块包括三个部分：局部链路编码系数向量pkt coe，加密的数据包编码系数enc coe和对应的签名sign。

与现有技术相比，本发明所具有的有益效果为：本发明不仅能防窃听攻击，防止攻击者读懂传输数据，而且能抵抗污染攻击，防止攻击者伪造或者篡改传输数据。

附图说明

图1为本发明线性网络编码图；

图2为本发明数据包头格式；

图3为本发明方案实现示例图；

图4为安全性与有限域大小关系图；

图5为端到端时延与节点数量关系图。

具体实施方式

在图1所示的蝴蝶网络拓扑结构中，源节点1发送数据X₁和X₂给目的节点6和7。源节点1首先从有限域内随机选取编码系数β₁、β₂、β₃和β₄，将发送的数据X₁和X₂进行线性组合。得到编码组合后的数据β₁X₁+β₂X₂和β₃X₁+β₄X₂，源节点将该数据分别发送给节点2和节点3。当节点4收到这两个数据后，它同样从有限域内选取两个系数β₅和β₆。通过线性组合，形成新的编码数据β₅(β₁X₁+β₂X₂)+β₆(β₃X₁+β₄X₂)。由于节点5只有一个前驱节点4，也就是说只有一条入边4→5，节点5直接将收到的数据广播给目的节点6和7。目的节点只需要知道数据编码全局向量，而该编码向量是和编码数据一起进行传输的。当目的节点收到满足条件数量的编码数据包后，就能进行解码操作，得到所需的原始数据。

在身份标识算法中，主要包括两个子算法：

·加密

源节点采用非对称加密算法加密发送的数据，加密密钥对应于下一跳节点的公钥。

·数字签名

身份标识算法具有内在签名特性。签名时，采用发送方的私钥签名加密数据。上述加密和数字签名算法划分为四个子算法：

初始化

初始化是算法的开始，算法涉及到的各个参数需要在初始化阶段得到确定，便于后续算法的执行。

提取

在指定身份标识ID后，开始计算私钥。这个过程称为提取算法。

加密

选取一个随机数字且在源信息的基础上加密消息。加密算法将产生一个Tate配对。

解密

通过替换和使用Tate配对的特性，节点最终解密消息。

K₁和K₂是两个足够大的素数。其中，K₁是一个加法群，而K₂是一个乘法群。离散对数问题在K₁和K₂都是一个难问题。

P和Q是两个大素数，且E/Z_p表示一个椭圆曲线。

选取一个标量s计算P_pub＝sP。

y²＝x³+ax+b (5.1)

在椭圆曲线Zp＝i—0≤i≤p-1上，它是双线性映射。

e^:K₁×K₁→K₂. (5.2)

对所有P,Q∈K₁和所有c,dZ_q*，

e^(cP,dQ)＝e^(cP,Q)^d＝e^(P,dQ)^c＝e^(P,Q)^cd etc. (5.3)

如果P是K₁的生成器，那么e^(P,P)是K₂的生成器。对于所有P,Q∈K₁，

有一个高效的算法计算e^(P,Q)。

选取一个加密哈希函数

H₁:{0,1}^*→K₁ ^*, (5.4)

(5.5)给定一个标识ID

∈{0,1}_*计算公钥和私钥：

S ID＝sQID. (5.7)

选取一个随机数r，计算消息M的密文消息C为：

C＝rP,M⊕H₂(g^r _ID),(5.8)在这里，

g_ID＝e^(Q_ID,P_pub). (5.9)

这个过程是用于加密消息。产生一个Tate配对(g_ID)，一个取幂g^rID，对原

始消息和函数H₂(g^rID)取异或运算，最后得到标量乘数rP。

给定C＝U,V，计算

M＝V⊕H₂(e^(S _ID,U)). (5.10)

然后计算

U＝rP,v＝m⊕(H₂(e^(Q_ID,P_pub)^r)). (5.11)

更换后,利用泰特提供的属性配对，消息得到解密。

通常情况下，在蝴蝶型拓扑结构中，攻击者通过截获数据包并解码以获取有用的信息。存在两种情形，i)传输的数据包都是明文形式，包括编码系数；ii)数据包是部分明文，也就是说，除编码系数外，数据包内容是明文。

对于第一种情况，攻击者只需要监控源节点出边链路或者目的节点的入边链路，那么就能获取源节点发送数据的编码系数，最后得到节点传输的原始数据信息。攻击者之所以能获得原始数据包信息，这主要是由于随机线性网络编码的内在弱安全性。

对于后一种情形，一些研究者提出了对应的方法[30][31][35][39]。在这些研究中，节点要么加密编码系数，要么排列组合编码系数，但是，当攻击者篡改或者伪造密文数据时，它们都不能验证数据的完整性。这直接导致了网络中致命的数据污染。如果引入PKI机制进行对密文系数的签名，那么每个节点都需要数字证书，这对于每个节点而言，除了需要引入证书管理系统，无疑极大地增加了处理复杂性。为了不失一般性，本发明假定节点是可靠的且不能被攻击者攻破。

为了解决这些问题，本发明需要设计一个有效的算法，该算法具有如下特性。

·强安全性。一个有效合理的方案是需要具备很好的安全特性，能抵抗不同情形下的攻击。

·轻量级的计算复杂性。如果一个安全方案是以极大地计算复杂性作为代价，那么它不可避免地带来巨大的时延。

本发明中，只需要对编码系数进行加密操作，而加密系数只是轻数量级的，而对于轻数量级数据的加密正是身份标识算法的优势所在。而且，身份标识算法具有内在的签名特性。

本发明基于身份标识算法，该算法与PKI体系相比，具有非常大的优势。本发明应用身份标识算法来加密编码系数，该加密操作过程是轻量级的，尤其是与加密整个传输数据来说。以下将会对其进行安全性分析，同样也将详细讲述其实现过程。

本发明主要包括如下几个阶段：源节点编码、中间节点重编码和目的节点解码等三个阶段。为了方便描述，我们假定每个节点知道其它节点身份标识信息，也就是公钥信息。同时，每个节点的私钥是通过一种可信方式分发。

源节点编码：

1:选取若干个原始数据包

2:随机选取编码系数

3:使用选取的编码系数组合原始数据包形成原始编码包P；

4:再次随机选取编码系数i；

5:使用选取的编码系数i组合原始编码数据包P形成最终的编码数据包Pc；

6:加密编码系数i并签名数据包Pc。

源节点从有限域内随机选取编码系数生成编码系数矩阵。通过使用选定的编码系数，源节点对发送队列内的数据包进行线性组合，从而形成编码数据包。同时，源节点采用身份标识算法用下一跳节点的公钥对编码系数进行加密。最后，源节点对发送的数据进行签名。

中间节点验证签名数据以保证接收数据的完整性；然后，待验签通过后，中间节点对接收到的数据包重新进行编码。同样地，节点需要首先从有限域内随机选取编码系数。最后，中间节点加密编码系数，其加密密钥为目的节点的公钥，也就是身份标识。同时，使用私钥对加密编码系数进行签名。

中间节点重编码：

1:中间节点接收数据包

2:对收到的数据包进行签名验证

3:验证通过后解密数据包获取编码系数；

4:在有限域内随机选取编码系数i；

6:使用选取的系数编码数据包形成发送的编码包；

7:加密编码系数并签名数据包。

目的节点解码：

1:目的节点接收数据包

2:对收到的数据包进行签名验证

3:验证通过后解密数据包获取编码系数

4:将解密后的编码系数生成系数矩阵；

5:使用高斯消元法获取化简后的系数；

6:解线性方程获取源节点发送的原始数据。

首先，目的节点验证收到数据的完整性；其次，目的节点用私钥解密收到的密文编码系数，从而获得全局编码系数；最后，通过使用高斯消元法化简编码系数，当系数矩阵的秩满足解码要求时，目的节点就能获得所需的原始数据包。

在一般条件下，香侬标准的信息安全对应于一个零互斥信息，该互斥信息介于密文(C)和明文信息(M)，例如，I(M；C)＝0。这个条件暗示着攻击者必须猜测6H(M)个标志来捕获数据。使用网络编码，如果攻击者能够猜测M个符号，那么剩余的K-M个额外的符号需要被解码。由于每个接收的符号信息是源节点K个信息的线性组合，可以推断出每个接受者必须受到至少K个编码信息，以便恢复一个消息。因此，在随后的论证中看到，受限制的单个符号的秩序列不需要以很大的概率立即转换为可解码数据。在之前提到的方案中，每个中继节点能恢复一般的发送数据，然而在随后的方案中，任何节点不能恢复任何部分数据。

随机线性网络编码支持的安全水平是由中继节点必须猜测来解码传输数据的符号数量决定的。从常规角度来看，

在这个表达式中，l_d表示能用高斯消元法恢复的消息数量。

注意到之前的定义等价于计算每个中继节点v全局编码系数的秩和局部系数秩的不同。而且，随着越来越多的标识符变得不安全，安全水平趋向于零。由于当有限域变得无限大的时候，每个可解码的标识符数量l_d变为零。

对于足够大的有限域q，攻击者不能获得有意义信息的概率可以逼近计算为：

在上述等式中，k表示窃听能力，h表示所有的信道数量。

对于公钥加密方案而言，选择明文安全(CCS)被视为标准安全表示。因此，基于标识加密方案也是要求满足这个强安全需求的。然而，这种类型的安全定义必须进一步加强。这是由于当一个攻击者对一个基于标识凶的公钥ID发起攻击时，攻击者可能已经掌握了用户ID₁，...，ID_N的私钥，这其中的任何一个用户都可以成为攻击对象。系统在这种攻击下应该仍然安全。因此，CCS的定义必须允许攻击者获得私钥信息和用户标识ID_i作为攻击选择。本发明称这种询问为私钥提取查询。另外一个不同就是攻击者将面临公共标识ID做为他攻击选择的挑战。

可以注意到，在接下来的游戏中的挑战者而言，如果非基于多项式的攻击者A是具有不可否认的优势的，那么基于标识的加密方案是语义安全的。

挑战者选取一个安全参数k。提供给攻击者系统参数params并且自己保留master-key。

1攻击者发出对q₁，...，q_m的查询，且查询q_i是提取查询和解密查询中的任意一个。

-提取查询<ID_i>。挑战者通过运行设定算法生成私钥di，该私钥对应于公钥<ID_i>。挑战者将私钥d_i发送给攻击者。

-解密查询<ID_i C_i>。挑战者通过运行提取算法生成私钥d_i，该私钥对应于用户ID_i。然后，挑战者使用私钥d_i运行解密算法来解密密文。最后，挑战者发送明文给攻击者。

上述这些查询可能要求自适应，也就是说每个查询q_i可以依赖于对q₁,...,q_i-1的响应。

一旦攻击者决定当阶段1结束的时候，它输出两个明文消息M₀,M₁∈M和一个标识ID，该标识ID正是它想挑战的。唯一的约束条件就是该标识ID并没有在阶段1的私钥提取查询中出现过。

挑战者随机选取一位b∈{0,1}并且设定C＝Encrypt(params,ID,M_b)。挑战者发送C向攻击者发起挑战。

2攻击者发起更多的查询q_m+1,...,q_n，在这些查询中，查询q_i是如下任意一个：

-提取查询用户群<ID_i>中的用户ID_j,ID。挑战者像阶段1那样回应。

-解密查询对于<IDi,Ci>,<ID,C>。攻击者也像阶段1那样回应。

这些查询可能也会像阶段1要求的那样具有自适应性。

最后，攻击者输出一个猜测结果b′∈{0,1}。当b＝b′时，攻击者将赢得挑战游戏。

本发明方案的实现主要包括三个阶段：身份标识算法密钥对生成阶段，私钥注入IBCKEY-800阶段和反窃听实现阶段。在本发明中，有限域大小设定为2¹⁶。为了易于描述，本章主要关注第三个阶段，也就是结合身份标识算法和线性网络编码实现反窃听；同时，前两个阶段的完成是前置条件。

根据身份标识算法，密钥服务器根据每个节点对应的身份标识为节点生成密钥对，并且以一种安全的方式分发给每个节点。特别地，通过配置密钥服务器和每个节点的公钥，密钥生成器为节点生成密钥。对应的加密机型号为SYJ137。私钥存储在特定的USB设备IBCKEY-800上，该USBKEY为32位芯片并且支持身份标识算法和PKI框架。

本发明的数据包头基于COPE，是在COPE数据包头的基础上插入新的一块而得到。虽然COPE是基于成对异或编码的编码策略，而本发明的编码方案是线性的，但这对本发明的实现并没有本质的影响。如图2所示。新插入的数据块主要包括三个部分：局部链路编码系数向量pkt_coe，加密的数据包编码系数enc_coe和对应的签名sign。

本发明的简要实现过程如图3所示，在蝴蝶型网络拓扑结构中，源节点1传输数据a＝5，b＝1给目的节点6和7。节点选取系数对[3,2]和[5,1]，并且对发送的数据进行线性组合，最后得到编码后的数据3a+2b和5a+b，也就是13和10。源节点1用节点2和3对应的公钥加密编码系数[3,2]和[5,1]，从而得到链路1→2和1→3上加密数据，而剩下的两部分以明文形式存在。同时，节点用私钥对整个数据块进行签名以形成签名数据sig1。对于中继节点4而言，它只需要使用前驱节点对应的身份标识(如IP地址)对收到的数据进行完整性验证。若验证通过，则对数据进行解密以获得编码系数。由于节点4有两条进入链路，它将收到的来自两条链路的数据进行求和运算从而得到新的编码数据包。对于目的节点6和7而言，它们首先对收到数据进行完整性验证，然后解密编码系数并使用高斯消元法简化编码系数矩阵，最后得到源节点发送的原始数据。虽然链路5→6和5→7上传输的数据和链路4→5上的数据不同，但这对于目的节点6和7解码获取原始数据是没有影响的，这是因为三条链路上的数据是线性相关的。

将本发明方案和其它经典方案进行比较：

(a)本发明在9个节点的实验平台上探索了身份标识算法在防窃听方面的性能，在这9个节点中，1个节点作为中心中继节点，而其它8个节点组成圆环，并均匀地分布在两层楼房。本发明遵循802.11协议，数据率是6Mb/s。由于收到楼层所在其它无线网络的干扰，平台运行802.11b协议是不现实的。

(b)实验平台上的节点都是Linux系统。本发明的实现作为用户后台程序，使用类似于libpcap一样的接口从无线设备发送和接收原始802.11数据帧。实验的实现是通过输出网络接口给用户，并可以像其他网络设备一样来处理，例如eth0。

(c)每个在实验平台的节点都是PC机，并且装备了802.11无线网卡，且无线网卡都有全向天线。同时，这些网卡都有NETGEAR 2.4&5GHz802.11a/g芯片组。

图4表明：安全性随着有限域的增大而增大，也就是说，有限域的规模决定了编码消息的安全性。图4中，不管是本发明方案还是基于PKI方案，编码的安全性最小值大于0.95；当有限域增大到100时，两种方案的安全性都趋向于1.因此，不难得出这样的结论：身份标识方案和PKI方案在编码的安全性方面是很接近的，尽管身份标识方案较PKI只具有一点优势。这主要是由于身份标识和PKI方案都是基于非对称加密算法，而这种加密方式开销相当。当有限域规模大于80时，两个方案的安全性曲线慢慢靠近。

图5描述了端到端时延和节点数量的关系，可以清楚地看到，在本发明方案下，网络时延与其它方案相比是具有压倒性优势的。当节点数量为3时，这些方案之间的网络时延差距很小，然而，随着越来越多的节点加入，本发明的时延曲线慢慢和其它方案对应的曲线分开，而其它方案的时延曲线则彼此十分靠近。特别当节点数量达到5个后，其它方案的网络时延迅速增加。而且，节点越多，时延增加越多。

将本发明方案与其它两种最新的方法进行了性能比较，结果如表1所示。

表1本发明与其它方案性能比较表

根据表1，可以发现，四种方案都具备很好的保密性。对于可靠性和完整性，由于本发明的方案和PKI方案是基于数字签名和认证，二者都具有很好的可靠性和完整性。然而，由于P-Coding和SPOC[38]方案并不具备签名认证特性，所以这两种方案不具有数据的完整性和可靠性保证。在部署和管理开销方面，PKI开销最大，这是由于PKI涉及到数字证书，而数字证书涉及到维护、更新等问题，这直接导致了其巨大的部署和管理开销。而本发明的方案和P-Coding及SPOC在部署和管理开销方面十分接近。

基于上述比较，本发明在无线网络编码防窃听方面比其它三种方案具有更好的性能。

Claims (2)

1.一种基于身份标识算法的安全防窃听方法，其特征在于，包括源节点编码、中间节点重编码和目的节点解码三个阶段；

所述源节点编码包括以下步骤：

1)选取若干个原始数据包；

2)随机选取编码系数；

3)使用选取的编码系数组合原始数据包形成原始编码包P；

4)再次随机选取编码系数i；

5)使用选取的编码系数i组合原始编码数据包P形成最终的编码数据包Pc；

6)加密编码系数i并签名数据包Pc；

所述中间节点重编码包括以下步骤：

1)中间节点接收数据包Pc，对收到的数据包Pc进行签名验证，解密数据包Pc获取编码系数；

2)在有限域内随机选取编码系数i；

3)使用选取的系数编码i数据包形成发送的编码包；

4)加密编码系数并签名数据包Pm；

所述目的节点解码包括以下步骤：

1)目的节点接收数据包Pm；

2)对收到的数据包进行签名验证，验证通过后解密数据包获取编码系数；

3)将解密后的编码系数生成系数矩阵，使用高斯消元法获取化简后的系数；

4)解线性方程获取源节点发送的原始数据。

2.根据权利要求1所述的基于身份标识算法的安全防窃听方法，其特征在于，所述原始编码包P为在COPE数据包头的基础上插入新的数据块得到；新插入的数据块包括三个部分：局部链路编码系数向量pkt_coe，加密的数据包编码系数enc_coe和对应的签名sign。