专利名称:一种使用缓存节点的安全网络编码传输方法和装置的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种使用缓存节点的安全网络编码传输方法和装置。
背景技术:
目前通信网络,中间节点的作用主要是存储转发,网络很难达到香农提出的最大流的目的,直到网络编码提出,这一状况才得到改变。网络编码的初衷是为了增加网络的最大流,但是在研究过程中发现,网络编码在网络安全方面同样有着非常好的前景。对于传统的组播方式,如果窃听者有机会窃听到网络中某一路信息,它可以根据窃听得到的信息恢复原始数据,因为这样的信息是“有意义的”,“有意义”是指窃听到的信息跟信源发出的信息是相同的,在安全性要求较高的情况下,传统组播防窃听能力就相应的比较弱;而在基于网络编码的数据传输方式中,编码节点有对不同链路的信息进行混合的功能,从而把“有意义的”信息转变成“无意义的”,这种方法使得网络编码具有了一定的保密性,尽管如此,窃听者在窃听到多路信息并了解网络编码的编解码构造方法之后,仍然可以通过得到的多路信息恢复原始信息;另外,正是由于网络编码可以对信息进行混合,一旦上游链路的信息产生误码或者被其他攻击者篡改数据,下游链路的信息就很有可能变成错误的,这样会增大错误的覆盖范围,对网络信息安全产生不好的影响。因此,将网络编码应用于网络安全中,信息的保密性和完整性显得尤其重要。安全网络编码已经有多种实现方式,但是这些实现方式仍然存在如下问题使用密码学加密的方法来实现网络的保密性,这种方法固然可以达到保密性的效果,但是需要加密的数量太大,在加密和解密的过程中会产生巨大的计算量;使用非加密的手段实现保密性,这种方法需要把窃听者的窃听能力局限在某些链路,对于窃听能力强的窃听者,使用非加密手段实现的保密性有可能被破坏。因此在保证网络保密性的情况下减少加密量,并且不限制窃听者的窃听范围就成为安全网络编码的一个研究热点。本发明就是针对上面提到的两个实际情况,使用一种安全有效的方法来实现保密通信。同时,在网络编码中,一旦遭受篡改攻击,就会扩大错误的覆盖范围,本发明兼顾到信息的完整性检验的功能,将网络保密性和完整性检验的功能融合到一起。
发明内容
本发明提供了一种使用缓存节点的安全网络编码传输方法和装置,能够通过对信源信息进行加密实现网络编码的保密传输,同时能够使用具有缓存功能的中间节点实现数据包的完整性校验的功能,具有加密量小,不限制窃听者的窃听能力的优点,同时能够提供完整性检验的功能。为达成上述发明目标,在此有如下技术方案使用缓存节点的安全网络编码传输方法随机线性网络编码是本发明采用的传输方式,随机线性网络编码是指编码节点对接收到的数据包进行线性操作,使用的编码向量是在有限域内随机选取的。由于节点类型不同,因此在信源、中间节点和信宿的操作都不相同。有限域集合F= {a,b,…},对F的元素定义了两种运算“ + ”和“*”,并满足以下3个条件1、F的元素关于运算“ + ”构成交换群,设其单位元素为0。2、F\{0}的元素关于运算“*”构成交换群。即F中元素排除元素0后,关于“*”构成交换群。3、分配率成立,即对于任意元素a,b,c e F,恒有a*(b+c) = (b+c)*a = a*b+a*cF域的元素数目有限时称为有限域。在此假设有限域足够大。本发明在信源、中间节点和信宿的具体操作方法如下信源构造数据包,包括编码向量、载荷和完整性校验码三部分;编码向量是在有限域中随机选取,放在数据包的前面;对信源信息的其中一维信息进行加密,然后使用哈希函数和计算公式对其他信源信息进行处理,得到用于网络传输的信息,使用随机选取的编码向量对用于网络传输的信息进行编码操作得到载荷;根据校验码公式、编码向量和载荷计算完整性校验码。中间节点接收到数据包之后,中间节点首先进行完整性校验,如果未被篡改,首先进行网络编码操作,然后计算新的完整性校验码;如果被篡改,需要申请上游节点重传, 在得到正确的数据包之后,对数据包进行编码操作并重组,构造新的数据包和新的完整性校验码,并向下传输。由于中间节点具有缓存功能,因此当下游数据包发现错误之后,可以请求上游节点直接重传,这样中间节点的复杂度增加了,但是会减少可能的重传过程占用的链路数目。信宿接收到数据包之后,信宿完成完整性校验的功能,如果数据包被篡改,那么需要请求上游节点重传,如果未被篡改,则直接解码即可。使用缓存节点的安全网络编码传输装置信源是信息的输入装置和数据包的构造装置,中间节点是数据包的“存储-编码-转发”装置,信宿是数据包的接收和解码装置。从以上技术方案可以看出,本发明具有以下优点本发明中,只需要加密部分信源信息,比已有的加密信源信息的方法取得了更大的优越性,加密解密的复杂度也大大减小;不限制窃听者的窃听能力,也就是网络的任意链路都可以被窃听,但是窃听者具有有限的计算能力,不能通过穷举法得到原始信息;保密性和完整性校验的功能是同时实现的,不会产生干扰。
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的流程图,在信源、中间节点和信宿的信息输入输出图,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明的流程图;图2为本发明的实现装置具体实施例方式根据发明内容的描述,在此对实施方式具体化。图1是本发明的流程图,如图1所示,数据包的传送过程是按照信源、中间节点和信宿的顺序进行的,而且信源、中间节点和信宿对数据包的操作是不同的,因此分三部分对本发明进行介绍。
信
源具有构造数据包和隐藏信源信息的功能,具体实现方式如下信源SlOl 信源发送的数据可以表示为X = (X1)CfXj),共有j维,这里的维数可以理解为共有j维数据需要发送,依次发送其中一维数据;其中每一维数据都对应着η维的信息向量& = (xnxi2-xin)T,i = L···」,为方便操作,确定η维数据中每一维数据的第一个信息是需要加密的,在这里可以使用但不限于AES加密方法,将Xil加密为EpS102:在得到加密数据之后,构造信源发出的在网络中传输的数据,为了使得所有数据都跟被加密的数据产生相关性,同时保证信息不可解密,这里使用哈希函数h (),因为哈希函数是单向的,根据输入X,可以很容易计算出来h (χ),但是根据h (χ),得到χ在计算上是不可实现的。使用哈希函数进行处理的过程如下
权利要求
1.一种使用缓存节点的安全网络编码传输方法,其特征在于,该方法包括如下步骤 步骤一特别规定数据包的格式,包括编码向量、载荷和校验码三个组成部分; 步骤二 在信源,加密信源信息的其中一维,通过对剩余信息使用哈希函数和一定的计算公式进行处理,这样其他信息都是跟加密的信息相关的,这部分也就是网络中传输的信息,使用网络中传输的信息计算载荷和完整性校验码,构造数据包。步骤三在中间节点,数据包先被进行完整性校验,然后被网络编码操作,之后构造新的完整性校验码和新的数据包,并转发,也就是中间节点工作在“校验-编码-转发”方式下;步骤四在信宿,当接收到数据包之后,先对数据包进行完整性校验,待确认得到完整的数据包之后,对其进行解码,得到信源发送的数据。步骤五在中间节点和信宿,如果完整性校验发现数据包不是完整的,那么需要请求上游节点重传。
2.如权利要求1所述的安全实现方法,数据包的构成步骤主要包括以下过程信源信息是信源期望发送给信宿的信息,网络中传输的信息是通过哈希函数和一定的计算公式跟信源信息计算得到的;网络传输采用随机网络编码的方法,在有限域内随机选取编码向量,假定有限域足够大;使用编码向量和网络中传输的信息计算得到载荷;使用校验码公式、载荷和编码向量计算完整性校验码。
3.如权利要求1所述的安全实现方法,其特征在于,信息的维度在加密前后是相同,可以简化信息的编码操作,AES成为一种可选但不是唯一的加密方式,同时只有每个信源信息向量的一维需要进行加密,其他信息不需要加密,只需要进行相关性处理即可。
4.如权利要求1所述的安全实现方法,之所以有网络中传输的信息,是因为这个信息可以取代信源信息在网络中传输,这样可以隐藏原始信息,而对外仅仅显示网络中传输的 fn息ο
5.如权利要求1所述的安全实现方法,增加完整性校验码可以实现完整性检验的功能,中间节点和信宿都可以解码得到完整性校验码,同时也都可以计算得到完整性校验码, 完整性的检验是通过检验解码和计算得到的校验码是否相同来完成的。
6.如权利要求1所述的安全实现方法,本方法可以同时实现保密性和完整性校验的功能。
7.如权利要求1所述的安全实现方法,由于中间节点具有数据缓存功能,中间节点和信宿在检验的过程中,如果发现数据被篡改,可以请求直接相连的上游节点重传。
8.如权利要求1所述的安全实现方法,信宿首先使用接收到的数据包的信息进行完整性校验,如果数据包是完整的,才进行解码操作。
9.一种使用缓存节点的安全网络编码传输装置,其特征在于,该装置包括如下组成部分信源信息的发送端,完成完整性校验码的计算和数据包的构造功能; 中间节点可以缓存接收到的信息,对接收到的上游节点的数据可以暂时存储,并传送至下游节点,对于下游节点接收错误数据发出请求时,可以直接把缓存的信息传送到下游节点;具有完整性校验的功能;信宿信息的接收端完成完整性校验的功能,并对数据包进行解密解码。
全文摘要
一种使用缓存节点的安全网络编码方法和装置,具体包括通过加密信源信息实现网络的保密性,使用完整性校验码来实现网络的完整性检验的功能。在信源信息加密中,只需要加密其中的一部分信息即可实现网络的保密性功能,这样间接减少了需要加密的信息数量。装置中,中间节点具有缓存功能,完整性校验是通过中间节点检验、中间节点重传的方法实现的。
文档编号H04L1/00GK102571281SQ20121000629
公开日2012年7月11日 申请日期2012年1月9日 优先权日2012年1月9日
发明者张 林, 柏琳, 纪越峰, 顾仁涛 申请人:北京邮电大学