专利名称:基于信源信息加密的光网络安全网络编码方法
技术领域:
本发明涉及通信领域,特别涉及一种基于信源信息加密的光网络安全网络编码方法。
背景技术:
自从香农提出最大流最小割定理之后,实现网络的最大流就一直成为研究人员的努力方向,而在传统的组播方式中,中间节点只有存储转发的功能,直到网络编码的提出才改变这一状况。网络编码不仅能够增加网络的最大流,而且在研究中发现,网络编码在网络安全方面同样前景广阔。对于传统的组播方式,如果窃听者有机会窃听到网络中某一路信息,它可以根据窃听得到的信息恢复原始数据,因为这样的信息是“有意义的”,“有意义”是指窃听到的信息跟信源发出的信息是相同的,在安全性要求较高的情况下,传统组播防窃听能力就相应的比较弱;而在基于网络编码的数据传输方式中,编码节点有对不同链路的信息进行混合的功能,从而把“有意义的”信息转变成“无意义的”,这种方法使得网络编码具有了一定的保密性,尽管如此,窃听者在窃听到多路信息并了解网络编码的编解码构造方法之后,仍然可以通过得到的多路信息恢复原始信息;另外,正是由于网络编码可以对信息进行混合,一旦上游链路的信息产生误码或者被其他攻击者篡改数据,下游链路的信息就很有可能变成错误的,这样会增大错误的覆盖范围,对网络信息安全产生不好的影响。因此,将网络编码应用于网络安全中,信息的保密性和完整性显得尤其重要。安全网络编码已经有多种实现方式,但是这些实现方式仍然存在如下问题使用密码学加密的方法来实现网络的保密性,这种方法固然可以达到保密性的效果,但是需要加密的数量太大,在加密和解密的过程中会产生巨大的计算量;使用非加密的手段实现保密性,这种方法需要把窃听者的窃听能力局限在某些链路,对于窃听能力强的窃听者,使用非加密的方法来保证网络的保密性是危险的。因此在保证网络保密性的情况下减少加密量,并且不限制窃听者的窃听范围就成为安全网络编码的一个研究热点。本发明就是针对上面提到的两个实际情况,使用一种安全有效的方法来实现保密通信。同时,在网络编码中,一旦遭受篡改攻击,就会扩大错误的覆盖范围,本发明兼顾到信息的完整性检验的功能,将网络保密性和完整性检验的功能融合到一起。
发明内容
本发明提供了一种基于信源信息加密的光网络安全网络编码方法,能够实现网络编码的保密传输,具有加密量小,不限制窃听者的窃听能力的优点,同时能够提供完整性检验的功能。为达成上述发明目标,在此有如下技术方案本发明主要采用随机线性网络编码的数据传输方式,编码节点对接收到的数据包进行线性操作,同时线性操作需要的系数是在有限域内随机选取的。根据节点类型不同,本发明需要在信源、中间节点和信宿采用不同的操作,具体操作方法如下信源确定包格式,分别由编码向量、载荷和校验码组成;对信源信息的其中一维信息进行加密,使用哈希函数和计算公式对其他信源信息进行处理,得到用于网络中传输的信息,这样数据包中的每维信息都是跟加密的那一维信源信息是相关的;由于使用随机
线性网络编码的传输方式,编码向量是在有限域中随机选取的;根据校验码公式风= > +1
/=1
和网络中传输的信息,计算完整性校验码。中间节点在光网络中,很注重数据的传输速率,尽可能减少中间环节可能带来的延时,因此采用中间节点直接编码转发的方式,不需要在中间节点处进行完整性校验。信宿信宿接收到数据包之后,解码并进行完整性校验,对于被篡改的数据包申请信源重传,然后继续上述过程中信源和中间节点的操作步骤;对于未被篡改的数据包,解码即可;之所以需要从信源开始重传,是因为中间节点无法存储数据,不能从中间节点调用数据。从以上技术方案可以看出,本发明具有以下优点在本发明中,并不是所有的信源信息都需要加密,只是选择其中一部分加密,相比现有的方法来说,本发明大大减少了加密量,进而减少了加密解密的复杂度;本发明并不对窃听者的窃听能力进行限制,而是网络中的任意链路都可以被窃听,但是每一个窃听者的计算能力是有限的,无法通过穷举法得到原始信息;在实现网络保密性的同时,本发明还能实现数据的完整性,这两个功能是同时实现的,互相不会产生干扰。
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的流程图,在信源、中间节点和信宿的信息输入输出图,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明的流程图;图2为本发明在信源的信息输入输出图;图3为本发明在中间节点的信息输入输出图4为本发明在信宿的信息输入输出图。
具体实施例方式根据发明内容的描述,在这里对实施方式具体化,对两种情况进行具体实施介绍。有限域集合F= {a,b,…},对F的元素定义了两种运算“ + ”和“*”,并满足以下3个条件1、F的元素关于运算“ + ”构成交换群,设其单位元素为0。2、F\{0}的元素关于运算“*”构成交换群。即F中元素排除元素0后,关于“*”构成交换群。3、分配率成立,即对于任意元素a,b,c e F,恒有a*(b+c) = (b+c)*a = a*b+a*cF域的元素数目有限时称为有限域。在此假设有限域足够大。
4
图1是本发明的流程图,如图1所示,根据信息在信源生成、中间节点传送、信宿节点接收的特点,以及信息在信源、中间节点和信宿操作方法的不同,下面分三部分进行介绍。
源的作用就是要把需要发送的一部分信息进行加密,然后通过一定的计
算方法使得网络中传输的信息都跟这部分被加密的信息相关,这样可以使得信源发送的所有信息在网络中都是对外保密的,可以达到保密性的效果。同时信源需要计算完整性校验码,将编码向量、载荷和完整性校验码组合成数据包,并传送给下游节点。具体实施步骤如下SlOl 假设信源发送j维数据X= (X1XfXj),共有j维,这里的j维可以理解为共有j维数据需要发送,各维数据依次发送;其中每一维数据都对应着η维的信息向量\ = (xnxi2-xin)T, i = 1…j,需要加密的信息在此确定为信息向量的第一个信息,使用密钥将 Xil加密为Ei,为方便信息处理过程,在此需要保证加密前后信息的维度是相同的,可以使用 AES加密方法,但是加密方法并不限于AES方法一种。S102:在得到加密数据之后,就开始构造信源发出的用于网络中传输的数据,为了使得所有数据都跟被加密的数据产生相关性,同时保证信息不可解密,这里使用哈希函数 h (),因为哈希函数是单向的,根据输入X,可以很容易计算出来h (χ),但是根据h (X)得到X, 在计算上是不可实现的。使用哈希函数进行处理的过程如下
权利要求
1.一种基于信源信息加密的光网络安全网络编码方法,其特征在于,该方法包括如下步骤步骤一确定包格式,数据包包括编码向量、载荷和校验码三个组成部分;步骤二 信源处,对信源信息中的一维信息进行加密;使用哈希函数和计算公式对余下的信源信息进行处理,使得网络传输的每个信息都是跟被加密的那一维信源信息相关的,这部分是用于网络中传输的信息;步骤三按照编码向量、载荷和校验码的顺序构造数据包;步骤四中间节点在接收到数据之后,如果该中间节点是编码节点,对接收到的数据进行网络编码操作,然后对操作后的数据进行转发;如果该中间节点是非编码节点,直接转发数据包;步骤五信宿接收到数据之后,采用“解码-校验”的方式处理;首先对数据包进行解码,之后使用解码后的数据校验完整性;步骤六校验完整性之后,如果数据包是完整的,得到的数据就是信源发送的数据包; 如果数据包不是完整的,信宿请求信源重新发送,直至接收正确的数据包。
2.如权利要求1所述的安全实现方法,信源传输之前,对信息处理的过程包括在传输过程中以随机网络编码作为主要的传输方式,编码向量是在有限域中随机选取,假定有限域足够大,载荷是通过计算编码向量和用于网络中传输的信息的乘积得到的, 校验码是使用校验码公式对信源信息计算得到。
3.如权利要求1所述的安全实现方法,其特征在于,加密前后信息的维度需要保证相同,因此可以使用但不限于AES加密方法,不是所有的信源信息都需要加密,而是选择每个信源信息向量的一维进行加密。
4.如权利要求1所述的安全实现方法,在信源处,加密其中一维信源信息之后,使用哈希函数和特定计算公式可以使得信源信息的其他信息都跟这一维加密后的 信息相关,可以达到隐藏原始信息的目的,同时仅仅对外显示加密后的信息。
5.如权利要求1所述的安全实现方法,完整性校验部分是通过添加完整性校验码来实现的,信宿接收到的数据是否是完整的,取决于解码得到的完整性校验码跟计算得到的完整性校验码的数值是否是相同的。
6.如权利要求1所述的安全实现方法,保密性和完整性校验的功能是可以同时实现的,而且两个功能之间互相没有影响。
7.如权利要求1所述的安全实现方法,在光网络中,为提高网络速度,中间节点处不设置光电转换模块,网络编码的操作也是在光层完成的,同时节点不具有缓存功能,采用信宿检验,信源重传的方法。
8.如权利要求1所述的安全实现方法,在光网络中,信宿首先进行解码,得到信源发送的原始数据之后,通过得到的原始数据进行完整性校验。
全文摘要
一种基于信源信息加密的光网络安全网络编码方法,具体包括使用信源信息加密的方法实现网络的保密性,使用完整性校验码的方法实现网络的完整性检验的功能。在信源信息加密中,只需要加密其中的一小部分信息即可实现网络的保密性功能,这样间接减少了需要加密的信息数量。光网络中的校验功能是通过信宿检验完整性、信源重传的方法来实现的。
文档编号H04L1/00GK102427399SQ20121000625
公开日2012年4月25日 申请日期2012年1月9日 优先权日2012年1月9日
发明者张 林, 柏琳, 纪越峰, 顾仁涛 申请人:北京邮电大学