專利名稱:基于信源信息加密的光網絡安全網絡編碼方法
技術領域:
本發明涉及通信領域,特別涉及一種基于信源信息加密的光網絡安全網絡編碼方法。
背景技術:
自從香農提出最大流最小割定理之后,實現網絡的最大流就一直成為研究人員的努力方向,而在傳統的組播方式中,中間節點只有存儲轉發的功能,直到網絡編碼的提出才改變這一狀況。網絡編碼不僅能夠增加網絡的最大流,而且在研究中發現,網絡編碼在網絡安全方面同樣前景廣闊。對于傳統的組播方式,如果竊聽者有機會竊聽到網絡中某一路信息,它可以根據竊聽得到的信息恢復原始數據,因為這樣的信息是“有意義的”,“有意義”是指竊聽到的信息跟信源發出的信息是相同的,在安全性要求較高的情況下,傳統組播防竊聽能力就相應的比較弱;而在基于網絡編碼的數據傳輸方式中,編碼節點有對不同鏈路的信息進行混合的功能,從而把“有意義的”信息轉變成“無意義的”,這種方法使得網絡編碼具有了一定的保密性,盡管如此,竊聽者在竊聽到多路信息并了解網絡編碼的編解碼構造方法之后,仍然可以通過得到的多路信息恢復原始信息;另外,正是由于網絡編碼可以對信息進行混合,一旦上游鏈路的信息產生誤碼或者被其他攻擊者篡改數據,下游鏈路的信息就很有可能變成錯誤的,這樣會增大錯誤的覆蓋范圍,對網絡信息安全產生不好的影響。因此,將網絡編碼應用于網絡安全中,信息的保密性和完整性顯得尤其重要。安全網絡編碼已經有多種實現方式,但是這些實現方式仍然存在如下問題使用密碼學加密的方法來實現網絡的保密性,這種方法固然可以達到保密性的效果,但是需要加密的數量太大,在加密和解密的過程中會產生巨大的計算量;使用非加密的手段實現保密性,這種方法需要把竊聽者的竊聽能力局限在某些鏈路,對于竊聽能力強的竊聽者,使用非加密的方法來保證網絡的保密性是危險的。因此在保證網絡保密性的情況下減少加密量,并且不限制竊聽者的竊聽范圍就成為安全網絡編碼的一個研究熱點。本發明就是針對上面提到的兩個實際情況,使用一種安全有效的方法來實現保密通信。同時,在網絡編碼中,一旦遭受篡改攻擊,就會擴大錯誤的覆蓋范圍,本發明兼顧到信息的完整性檢驗的功能,將網絡保密性和完整性檢驗的功能融合到一起。
發明內容
本發明提供了一種基于信源信息加密的光網絡安全網絡編碼方法,能夠實現網絡編碼的保密傳輸,具有加密量小,不限制竊聽者的竊聽能力的優點,同時能夠提供完整性檢驗的功能。為達成上述發明目標,在此有如下技術方案本發明主要采用隨機線性網絡編碼的數據傳輸方式,編碼節點對接收到的數據包進行線性操作,同時線性操作需要的系數是在有限域內隨機選取的。根據節點類型不同,本發明需要在信源、中間節點和信宿采用不同的操作,具體操作方法如下信源確定包格式,分別由編碼向量、載荷和校驗碼組成;對信源信息的其中一維信息進行加密,使用哈希函數和計算公式對其他信源信息進行處理,得到用于網絡中傳輸的信息,這樣數據包中的每維信息都是跟加密的那一維信源信息是相關的;由于使用隨機
線性網絡編碼的傳輸方式,編碼向量是在有限域中隨機選取的;根據校驗碼公式風= > +1
/=1
和網絡中傳輸的信息,計算完整性校驗碼。中間節點在光網絡中,很注重數據的傳輸速率,盡可能減少中間環節可能帶來的延時,因此采用中間節點直接編碼轉發的方式,不需要在中間節點處進行完整性校驗。信宿信宿接收到數據包之后,解碼并進行完整性校驗,對于被篡改的數據包申請信源重傳,然后繼續上述過程中信源和中間節點的操作步驟;對于未被篡改的數據包,解碼即可;之所以需要從信源開始重傳,是因為中間節點無法存儲數據,不能從中間節點調用數據。從以上技術方案可以看出,本發明具有以下優點在本發明中,并不是所有的信源信息都需要加密,只是選擇其中一部分加密,相比現有的方法來說,本發明大大減少了加密量,進而減少了加密解密的復雜度;本發明并不對竊聽者的竊聽能力進行限制,而是網絡中的任意鏈路都可以被竊聽,但是每一個竊聽者的計算能力是有限的,無法通過窮舉法得到原始信息;在實現網絡保密性的同時,本發明還能實現數據的完整性,這兩個功能是同時實現的,互相不會產生干擾。
為了更清楚地說明本發明的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發明的流程圖,在信源、中間節點和信宿的信息輸入輸出圖,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本發明的流程圖;圖2為本發明在信源的信息輸入輸出圖;圖3為本發明在中間節點的信息輸入輸出圖4為本發明在信宿的信息輸入輸出圖。
具體實施例方式根據發明內容的描述,在這里對實施方式具體化,對兩種情況進行具體實施介紹。有限域集合F= {a,b,…},對F的元素定義了兩種運算“ + ”和“*”,并滿足以下3個條件1、F的元素關于運算“ + ”構成交換群,設其單位元素為0。2、F\{0}的元素關于運算“*”構成交換群。即F中元素排除元素0后,關于“*”構成交換群。3、分配率成立,即對于任意元素a,b,c e F,恒有a*(b+c) = (b+c)*a = a*b+a*cF域的元素數目有限時稱為有限域。在此假設有限域足夠大。
4
圖1是本發明的流程圖,如圖1所示,根據信息在信源生成、中間節點傳送、信宿節點接收的特點,以及信息在信源、中間節點和信宿操作方法的不同,下面分三部分進行介紹。
源的作用就是要把需要發送的一部分信息進行加密,然后通過一定的計
算方法使得網絡中傳輸的信息都跟這部分被加密的信息相關,這樣可以使得信源發送的所有信息在網絡中都是對外保密的,可以達到保密性的效果。同時信源需要計算完整性校驗碼,將編碼向量、載荷和完整性校驗碼組合成數據包,并傳送給下游節點。具體實施步驟如下SlOl 假設信源發送j維數據X= (X1XfXj),共有j維,這里的j維可以理解為共有j維數據需要發送,各維數據依次發送;其中每一維數據都對應著η維的信息向量\ = (xnxi2-xin)T, i = 1…j,需要加密的信息在此確定為信息向量的第一個信息,使用密鑰將 Xil加密為Ei,為方便信息處理過程,在此需要保證加密前后信息的維度是相同的,可以使用 AES加密方法,但是加密方法并不限于AES方法一種。S102:在得到加密數據之后,就開始構造信源發出的用于網絡中傳輸的數據,為了使得所有數據都跟被加密的數據產生相關性,同時保證信息不可解密,這里使用哈希函數 h (),因為哈希函數是單向的,根據輸入X,可以很容易計算出來h (χ),但是根據h (X)得到X, 在計算上是不可實現的。使用哈希函數進行處理的過程如下
權利要求
1.一種基于信源信息加密的光網絡安全網絡編碼方法,其特征在于,該方法包括如下步驟步驟一確定包格式,數據包包括編碼向量、載荷和校驗碼三個組成部分;步驟二 信源處,對信源信息中的一維信息進行加密;使用哈希函數和計算公式對余下的信源信息進行處理,使得網絡傳輸的每個信息都是跟被加密的那一維信源信息相關的,這部分是用于網絡中傳輸的信息;步驟三按照編碼向量、載荷和校驗碼的順序構造數據包;步驟四中間節點在接收到數據之后,如果該中間節點是編碼節點,對接收到的數據進行網絡編碼操作,然后對操作后的數據進行轉發;如果該中間節點是非編碼節點,直接轉發數據包;步驟五信宿接收到數據之后,采用“解碼-校驗”的方式處理;首先對數據包進行解碼,之后使用解碼后的數據校驗完整性;步驟六校驗完整性之后,如果數據包是完整的,得到的數據就是信源發送的數據包; 如果數據包不是完整的,信宿請求信源重新發送,直至接收正確的數據包。
2.如權利要求1所述的安全實現方法,信源傳輸之前,對信息處理的過程包括在傳輸過程中以隨機網絡編碼作為主要的傳輸方式,編碼向量是在有限域中隨機選取,假定有限域足夠大,載荷是通過計算編碼向量和用于網絡中傳輸的信息的乘積得到的, 校驗碼是使用校驗碼公式對信源信息計算得到。
3.如權利要求1所述的安全實現方法,其特征在于,加密前后信息的維度需要保證相同,因此可以使用但不限于AES加密方法,不是所有的信源信息都需要加密,而是選擇每個信源信息向量的一維進行加密。
4.如權利要求1所述的安全實現方法,在信源處,加密其中一維信源信息之后,使用哈希函數和特定計算公式可以使得信源信息的其他信息都跟這一維加密后的 信息相關,可以達到隱藏原始信息的目的,同時僅僅對外顯示加密后的信息。
5.如權利要求1所述的安全實現方法,完整性校驗部分是通過添加完整性校驗碼來實現的,信宿接收到的數據是否是完整的,取決于解碼得到的完整性校驗碼跟計算得到的完整性校驗碼的數值是否是相同的。
6.如權利要求1所述的安全實現方法,保密性和完整性校驗的功能是可以同時實現的,而且兩個功能之間互相沒有影響。
7.如權利要求1所述的安全實現方法,在光網絡中,為提高網絡速度,中間節點處不設置光電轉換模塊,網絡編碼的操作也是在光層完成的,同時節點不具有緩存功能,采用信宿檢驗,信源重傳的方法。
8.如權利要求1所述的安全實現方法,在光網絡中,信宿首先進行解碼,得到信源發送的原始數據之后,通過得到的原始數據進行完整性校驗。
全文摘要
一種基于信源信息加密的光網絡安全網絡編碼方法,具體包括使用信源信息加密的方法實現網絡的保密性,使用完整性校驗碼的方法實現網絡的完整性檢驗的功能。在信源信息加密中,只需要加密其中的一小部分信息即可實現網絡的保密性功能,這樣間接減少了需要加密的信息數量。光網絡中的校驗功能是通過信宿檢驗完整性、信源重傳的方法來實現的。
文檔編號H04L1/00GK102427399SQ20121000625
公開日2012年4月25日 申請日期2012年1月9日 優先權日2012年1月9日
發明者張 林, 柏琳, 紀越峰, 顧仁濤 申請人:北京郵電大學