CN110166247B - 能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 - Google Patents
能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 Download PDFInfo
- Publication number
- CN110166247B CN110166247B CN201910371012.8A CN201910371012A CN110166247B CN 110166247 B CN110166247 B CN 110166247B CN 201910371012 A CN201910371012 A CN 201910371012A CN 110166247 B CN110166247 B CN 110166247B
- Authority
- CN
- China
- Prior art keywords
- node
- data packet
- gamma
- intermediate node
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种能防污染攻击和定位中间节点合谋攻击的网络编码签名方法,包括系统初始化、信源节点生成编码签名、中间节点验证数据包的正确性、中间节点重编码数据包、信宿节点追踪恶意节点5个部分;本发明中,密钥分发中心基于身份,给信源节点和信宿节点,以及各中间节点分配相应私钥。信源节点用自己的私钥签名的数据包,中间节点可以用私钥进行数据包同态验证,却不能用持有的私钥伪造或者合谋伪造能通过验证的数据包,否则会被追踪到。这是本专利的特点。本发明可以克服当前网络编码不能同时抗污染攻击与追踪伪造攻击源的问题。
Description
技术领域
本发明属于信息安全技术领域,涉及一种网络编码签名方法,具体涉及一种可防污染攻击能定位中间节点合谋攻击的网络编码签名方法。
背景技术
网络编码理论,革新了传统的存储转发路由方法。可以提高网络传输的可靠性、吞吐量和能效。传统的存储转发路由技术中,数据链路中间节点,只负责转发数据。在网络编码系统中,中间节点可以重编码。这使得网络编码数据包更容易遭受恶意攻击,攻击检测也比较困难。这在一定程度上,阻碍了网络编码的应用与发展。
现有的网络编码攻击,主要是窃听攻击和污染攻击两种。污染攻击中伪造攻击是难点。现有网络编码防污染攻击方法,主要有:基于信息论的前向纠错编码方案、以及基于密码学的污染攻击检测方案等。污染攻击检测方案侧重在中间节点检测和过滤污染数据包,防止污染数据包的进一步传输。而且,当前抗污染网络编码方法,很难抵抗由于机制设计原因的合谋攻击。任由这种污染在网络编码系统中蔓延,将导致信宿节点不能正确译码信息,从而增加网络带宽消耗,甚至造成网络瘫痪。
发明内容
为了解决上述技术问题,本发明基于零空间理、线性编码理论、经典密码学,提供了一种可用于防污染攻击,同时可以定位伪造攻击与合谋伪造攻击的新编码签名方法。
本发明所采用的技术方案是:一种能防污染攻击和定位中间节点合谋攻击的网络编码签名方法,采用网络编码系统;
其特征在于:所述系统包括秘钥分配中心KDC、信源节点S、中间节点、信宿节点DC;
所述方法包括以下步骤:
步骤1:系统初始化;
步骤2:信源节点S生成签名与编码;
步骤3:中间节点验证数据包的正确性;
步骤4:中间节点重编码数据包;
步骤5:信宿节点DC追踪恶意节点。
本发明有如下的优点和有益效果:
(1)本发明在网络编码系统中,检测非合谋攻击形成的污染攻击数据包。因为恶意节点在非合谋情况下,仅利用自身检测私钥伪造信息,按概率几乎不能通过其他节点的验证。
(2)本发明在网络编码系统中,能追踪合谋攻击的污染节点。在恶意节点合谋的情况下,虽然利用共有检测私钥形成的密钥空间,能提高伪造信息可能。即以高概率通过中间节点检验,但是只要不是全部中间节点参与,这些参与伪造的中间节点,仍然能够在信宿节点被检测出来。
(3)本发明能追踪的恶意共谋节点数较多。若r为中间节点总数,在不发生计算出错的情况下,本方案最多可追踪有r-1个节点的合谋伪造信息。
(4)本发明,可以基于零空间签名实现,也可以基于经典的离散对数困难问题实现。前者计算效率高,后者提供更高的安全。
附图说明
图1:本发明实施例的方法流程图;
图2:本发明实施例中秘钥分配中心KDC给各节点分配秘钥的模型图;
图3:本发明实施例中线性分组码模型图。
具体实施方法
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
请见图1,本发明提供的一种能防污染攻击和定位中间节点合谋攻击的网络编码签名方法,采用网络编码系统;系统包括秘钥分配中心KDC、信源节点S、中间节点、信宿节点DC;
方法包括以下步骤:
步骤1:系统初始化;
请见图1中的步骤1及图2,步骤1的具体实现包括以下子步骤:
步骤1.1:秘钥分配中心KDC根据网络规模及参数,编码定义域Fq,产生私钥生成矩阵Γ;
根据网络许可的编码最大长度n,编码代次的数据包的个数m;同时根据网络最大中间节点数r,选择一个l>m+n+r。生成一个(l-m-n-r)×l行满秩矩阵A,由A生成矩阵密钥矩阵Γ。所有操作在编码定义域Fq中完成。
具体实现包括以下子步骤:
步骤1.1.1:根据参数,选择每个数据包中有效信息元个数n,给每编码代次的数据包的个数m,并选择一个l>m+n+r。
步骤1.1.2:构造一个(l-m-n-r)×l行满秩矩阵A。范德蒙矩阵是一种可用构造方法之一。以下也是以这一矩阵为例。
步骤1.2:秘钥分配中心KDC根据节点身份,由Γ产生私钥,进行颁发;
具体分发方式如下:
步骤1.2.1:秘钥分配中心KDC,基于安全信道,将Γ当作私钥发给源节点。
步骤1.2.2:秘钥分配中心KDC,根据中间节点的身份认证信息,基于安全信道,将Γ的第i行Γi,或者当作私钥分发给相应中间节点i。注意,不是有的节点选择Γi,有的节点选择而是根据安全需要,在全网统一的使用相同的密钥。
步骤1.2.3:秘钥分配中心KDC,基于安全信道,将Γ当作私钥发给信宿节点。
步骤2:信源节点S生成签名与编码;
具体实现包括以下子步骤:
步骤2.1:对于一个m行m+n列信息元构成的信息矩阵源节点计算数据包签名σ=(Y-MΓ(m+n) T)Γ(r) -T,其中Y是元素都为选定检验值y的m×r阶常数矩阵。Γ(m+n)是Γ的前m+n列,Γ(r)是Γ的后r列。
步骤2.2:将签名加到相应数据包末尾形成完整的数据包U=[Mσ]。
步骤2.3:信源节点按一般线性网络编码方法编码数据包,具体编码形式如图三模型,与一般线性网络编码方法相同,前m个元素用于记录加权的矢量,中间n个元素是信源信息或者是加权之后的信源信息,后r个元素是签名信息,或者是加权之后的签名信息,如图3所示。并向下游节点转发编码的结果。
步骤3:中间节点验证数据包的正确性;
具体实现包括以下子步骤:
步骤3.1:中间节点j验证收到的上游i节点数据包Ui的每一行Uik。先找到Uik中m个加权标记参数{l1,...,lm}。
步骤3.2:若满足条件,中间节点接收该数据包;若不成立,则中间节点丢弃该数据包。
步骤4:中间节点重编码数据包;
通过中间节点j,对所有通过验证的,来自不同上游节点所有数据包集合{Ui}进行线性组合重编码,并发送给下游节点;在这一步骤中,允许恶意节点形成伪造,或者合谋伪造的数据包。
步骤5:信宿节点DC追踪恶意节点;
具体实现包括以下子步骤:
步骤5.1:信宿节点,对收到的数据包{Ui}进行校验,使用的是其密钥Γ。检验方法是:执行步骤3.1共r次。
步骤5.2:对{Ui}中校验完全正确的数据包,r均通过,按一般线性网络编码规则进行解码。
步骤5.3:对{Ui}中校验完全不正确的数据包,即一次也没通过校验,丢弃。
步骤5.4:对部分校验通过数据数据包,即至少一次,但不足r次,利用编码理论中的Berlekamp算法,在基Γ上求向量分解数据包,在Γ上对应行上存在分量,可以判断持有该行作为密钥的中间节点,参与了合谋伪造包。因为,向量分解结果惟一。而Γ信息不公开(不合谋)的基础上猜中全部行的概率是非q的(m+n+r)次方分之一。
当前抗污染方法,多半并不抵抗合谋攻击,是由于自身内部缺陷。本发明基于矩阵零空间和线性分组编码等理论,实现了既可以抗污染抗击,同时又能对合谋攻击进行定位的检测方案。本发明检测性强,能追踪的恶意节点数多,带宽小。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
Claims (1)
1.一种能防污染攻击和定位中间节点合谋攻击的网络编码签名方法,采用网络编码系统;
其特征在于:所述系统包括秘钥分配中心KDC、信源节点S、中间节点和信宿节点DC;
所述方法包括以下步骤:
步骤1:系统初始化;
具体实现包括以下子步骤:
步骤1.1:秘钥分配中心KDC根据网络规模及参数,产生私钥生成矩阵Γ;
根据网络许可的编码最大长度n,编码代次的数据包的个数m;同时根据网络最大中间节点数r,选择一个l>m+n+r,生成一个(l-m-n-r)×l行满秩矩阵A,由A产生私钥生成矩阵Γ;所有操作在编码定义域Fq中完成;
步骤1.2:秘钥分配中心KDC根据节点身份,由Γ产生私钥,进行颁发;
其中,信源节点S与信宿节点DC的私钥都是完整的矩阵Γ;而任意一个中间节点i,得到Γ的某个行向量Γi,或者Γi隐藏于素数群生成元g指数上的有序集合其中,Γij表示Γi中的第j个元素;i∈I,I表示全体节点集合;
具体分发方式如下:
步骤1.2.1:秘钥分配中心KDC,基于安全信道,将Γ当作私钥发给信源节点S;
步骤1.2.2:秘钥分配中心KDC,根据中间节点的身份认证信息,基于安全信道,将Γ的第i行Γi,或者当作私钥分发给相应中间节点i;其中,不是有的节点选择Γi,有的节点选择而是根据安全需要,在全网统一的使用相同的密钥;
步骤1.2.3:秘钥分配中心KDC,基于安全信道,将Γ当作私钥发给信宿节点DC;
步骤2:信源节点S生成签名与编码;
步骤2的具体实现包括以下子步骤:
步骤2.1:信源节点S根据自己的私钥Γ对信息产生签名信息;
步骤2.2:信源节点S将签名信息添加到信息末尾形成完整的数据包;
步骤2.3:信源节点S按线性网络编码规则编码数据包,并向下游节点转发;
步骤3:中间节点验证数据包的正确性;
步骤3的具体实现包括以下子步骤:
步骤3.2:验证通过,则将数据包Ui,j导向下一步操作,否则就丢弃数据包Ui,j;
步骤4:中间节点重编码数据包;
通过下游中间节点j,对所有通过验证的,来自不同上游中间节点所有数据包集合{Ui,j}进行线性组合重编码,并发送给下游节点;在这一步骤中,允许恶意节点形成伪造,或者合谋伪造的数据包;
步骤5:信宿节点DC追踪恶意节点;
步骤5的具体实现包括以下子步骤:
步骤5.1:信宿节点DC,对收到的数据包集合{Ui,DC}进行校验,使用的是其私钥Γ;
步骤5.2:对{Ui,DC}中校验完全正确的数据包,按一般线性网络编码规则进行解码;
步骤5.3:对{Ui,DC}中校验完全不正确的数据包,丢弃;
步骤5.4:对部分校验通过数据包,利用编码理论中的Berlekamp算法,在基Γ上求向量分解,检测是哪些中间节点合谋伪造包;
其中,信宿节点需执行校验r次,r为最大中间节点数,r次均通过的为校验完全正确的数据包,一次也没通过的为完全不正确,通过至少一次不足r次的为校验部分通过;在基Γ上求向量分解,在Γ上对应行上存在分量,可以判断持有该行作为密钥的中间节点,参与了合谋伪造包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910371012.8A CN110166247B (zh) | 2019-05-06 | 2019-05-06 | 能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910371012.8A CN110166247B (zh) | 2019-05-06 | 2019-05-06 | 能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110166247A CN110166247A (zh) | 2019-08-23 |
CN110166247B true CN110166247B (zh) | 2022-03-04 |
Family
ID=67633547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910371012.8A Active CN110166247B (zh) | 2019-05-06 | 2019-05-06 | 能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110166247B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114430320A (zh) * | 2021-11-29 | 2022-05-03 | 航天科工网络信息发展有限公司 | 一种防窃听攻击和污染攻击的网络编码方法 |
CN114465733B (zh) * | 2022-03-11 | 2024-05-28 | 大连大学 | 一种基于改进rsa的安全网络编码方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102833265A (zh) * | 2012-09-13 | 2012-12-19 | 北京航空航天大学 | 一种基于格理论的签名方案及其安全线性网络编码方法 |
CN103166965A (zh) * | 2013-03-06 | 2013-06-19 | 北京航空航天大学 | 一种基于子空间属性的多源网络编码污染防御方法 |
CN103746813A (zh) * | 2014-01-15 | 2014-04-23 | 福建师范大学 | 一种基于数字签名的防污染网络编码方法 |
-
2019
- 2019-05-06 CN CN201910371012.8A patent/CN110166247B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102833265A (zh) * | 2012-09-13 | 2012-12-19 | 北京航空航天大学 | 一种基于格理论的签名方案及其安全线性网络编码方法 |
CN103166965A (zh) * | 2013-03-06 | 2013-06-19 | 北京航空航天大学 | 一种基于子空间属性的多源网络编码污染防御方法 |
CN103746813A (zh) * | 2014-01-15 | 2014-04-23 | 福建师范大学 | 一种基于数字签名的防污染网络编码方法 |
Non-Patent Citations (3)
Title |
---|
《Reliable Fully Homomorphic Disguising Matrix Computation Outsourcing Scheme》;Yonghui Chen等;《2018 14th International Wireless Communications & Mobile Computing Conference (IWCMC)》;20180830;全文 * |
《抗污染攻击的流内安全网络纠错编码》;韩晓冬;《北京理工大学学报》;20181130;全文 * |
《网络编码理论及应用综述》;姚世雄;《中南民族大学学报(自然科学版)》;20170630;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110166247A (zh) | 2019-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Liu et al. | Privacy-enhanced federated learning against poisoning adversaries | |
Zhang et al. | Padding for orthogonality: Efficient subspace authentication for network coding | |
Mohassel et al. | An efficient protocol for oblivious DFA evaluation and applications | |
Oggier et al. | An authentication code against pollution attacks in network coding | |
CN110166247B (zh) | 能防污染攻击和定位中间节点合谋攻击的网络编码签名方法 | |
CN109685505B (zh) | 基于关联环签名的拜占庭容错共识优化方法 | |
CN101714910A (zh) | 基于概率检测的抗污染网络编码方法 | |
Le et al. | On detecting pollution attacks in inter-session network coding | |
Gao et al. | Secure partial aggregation: Making federated learning more robust for industry 4.0 applications | |
CN103166965B (zh) | 一种基于子空间属性的多源网络编码污染防御方法 | |
CN109600216B (zh) | 一种强抗碰撞变色龙哈希函数的构造方法 | |
Tian et al. | DIVRS: Data integrity verification based on ring signature in cloud storage | |
Cheng et al. | Security analysis of a homomorphic signature scheme for network coding | |
Zhang et al. | Efficient multiple sources network coding signature in the standard model | |
Liang et al. | RESH: A Secure Authentication Algorithm Based on Regeneration Encoding Self‐Healing Technology in WSN | |
Xie et al. | Efficient post-quantum secure network coding signatures in the standard model | |
Zhou et al. | A unidirectional certificateless proxy re‐signature scheme based on lattice | |
Dharminder et al. | Post‐Quantum Secure Identity‐Based Encryption Scheme using Random Integer Lattices for IoT‐enabled AI Applications | |
Prabowo et al. | Attack on a code-based signature scheme from QC-LDPC codes | |
Tamil Selvi et al. | Post‐Quantum Cryptosystems for Blockchain | |
Sarier | Generic constructions of biometric identity based encryption systems | |
Bu et al. | RASSS: a perfidy-aware protocol for designing trustworthy distributed systems | |
CN112926078B (zh) | 一种紧凑的多目标属性基加法同态加密方法 | |
Tsaban | On an authentication scheme based on the root problem in the braid group | |
Guo et al. | Graph-Based Covert Transaction Detection and Protection in Blockchain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |