專利名稱：基于信源信息加密的光網(wǎng)絡(luò)安全網(wǎng)絡(luò)編碼方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域，特別涉及一種基于信源信息加密的光網(wǎng)絡(luò)安全網(wǎng)絡(luò)編碼方法。
背景技術(shù)：
自從香農(nóng)提出最大流最小割定理之后，實現(xiàn)網(wǎng)絡(luò)的最大流就一直成為研究人員的努力方向，而在傳統(tǒng)的組播方式中，中間節(jié)點只有存儲轉(zhuǎn)發(fā)的功能，直到網(wǎng)絡(luò)編碼的提出才改變這一狀況。網(wǎng)絡(luò)編碼不僅能夠增加網(wǎng)絡(luò)的最大流，而且在研究中發(fā)現(xiàn)，網(wǎng)絡(luò)編碼在網(wǎng)絡(luò)安全方面同樣前景廣闊。對于傳統(tǒng)的組播方式，如果竊聽者有機會竊聽到網(wǎng)絡(luò)中某一路信息，它可以根據(jù)竊聽得到的信息恢復(fù)原始數(shù)據(jù)，因為這樣的信息是“有意義的”，“有意義”是指竊聽到的信息跟信源發(fā)出的信息是相同的，在安全性要求較高的情況下，傳統(tǒng)組播防竊聽能力就相應(yīng)的比較弱；而在基于網(wǎng)絡(luò)編碼的數(shù)據(jù)傳輸方式中，編碼節(jié)點有對不同鏈路的信息進行混合的功能，從而把“有意義的”信息轉(zhuǎn)變成“無意義的”，這種方法使得網(wǎng)絡(luò)編碼具有了一定的保密性，盡管如此，竊聽者在竊聽到多路信息并了解網(wǎng)絡(luò)編碼的編解碼構(gòu)造方法之后，仍然可以通過得到的多路信息恢復(fù)原始信息；另外，正是由于網(wǎng)絡(luò)編碼可以對信息進行混合，一旦上游鏈路的信息產(chǎn)生誤碼或者被其他攻擊者篡改數(shù)據(jù)，下游鏈路的信息就很有可能變成錯誤的，這樣會增大錯誤的覆蓋范圍，對網(wǎng)絡(luò)信息安全產(chǎn)生不好的影響。因此，將網(wǎng)絡(luò)編碼應(yīng)用于網(wǎng)絡(luò)安全中，信息的保密性和完整性顯得尤其重要。安全網(wǎng)絡(luò)編碼已經(jīng)有多種實現(xiàn)方式，但是這些實現(xiàn)方式仍然存在如下問題使用密碼學(xué)加密的方法來實現(xiàn)網(wǎng)絡(luò)的保密性，這種方法固然可以達到保密性的效果，但是需要加密的數(shù)量太大，在加密和解密的過程中會產(chǎn)生巨大的計算量；使用非加密的手段實現(xiàn)保密性，這種方法需要把竊聽者的竊聽能力局限在某些鏈路，對于竊聽能力強的竊聽者，使用非加密的方法來保證網(wǎng)絡(luò)的保密性是危險的。因此在保證網(wǎng)絡(luò)保密性的情況下減少加密量，并且不限制竊聽者的竊聽范圍就成為安全網(wǎng)絡(luò)編碼的一個研究熱點。本發(fā)明就是針對上面提到的兩個實際情況，使用一種安全有效的方法來實現(xiàn)保密通信。同時，在網(wǎng)絡(luò)編碼中，一旦遭受篡改攻擊，就會擴大錯誤的覆蓋范圍，本發(fā)明兼顧到信息的完整性檢驗的功能，將網(wǎng)絡(luò)保密性和完整性檢驗的功能融合到一起。

發(fā)明內(nèi)容
本發(fā)明提供了一種基于信源信息加密的光網(wǎng)絡(luò)安全網(wǎng)絡(luò)編碼方法，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)編碼的保密傳輸，具有加密量小，不限制竊聽者的竊聽能力的優(yōu)點，同時能夠提供完整性檢驗的功能。為達成上述發(fā)明目標(biāo)，在此有如下技術(shù)方案本發(fā)明主要采用隨機線性網(wǎng)絡(luò)編碼的數(shù)據(jù)傳輸方式，編碼節(jié)點對接收到的數(shù)據(jù)包進行線性操作，同時線性操作需要的系數(shù)是在有限域內(nèi)隨機選取的。根據(jù)節(jié)點類型不同，本發(fā)明需要在信源、中間節(jié)點和信宿采用不同的操作，具體操作方法如下信源確定包格式，分別由編碼向量、載荷和校驗碼組成；對信源信息的其中一維信息進行加密，使用哈希函數(shù)和計算公式對其他信源信息進行處理，得到用于網(wǎng)絡(luò)中傳輸?shù)男畔?，這樣數(shù)據(jù)包中的每維信息都是跟加密的那一維信源信息是相關(guān)的；由于使用隨機
線性網(wǎng)絡(luò)編碼的傳輸方式，編碼向量是在有限域中隨機選取的；根據(jù)校驗碼公式風(fēng)= > +1
/=1
和網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ嬎阃暾孕ｒ灤a。中間節(jié)點在光網(wǎng)絡(luò)中，很注重數(shù)據(jù)的傳輸速率，盡可能減少中間環(huán)節(jié)可能帶來的延時，因此采用中間節(jié)點直接編碼轉(zhuǎn)發(fā)的方式，不需要在中間節(jié)點處進行完整性校驗。信宿信宿接收到數(shù)據(jù)包之后，解碼并進行完整性校驗，對于被篡改的數(shù)據(jù)包申請信源重傳，然后繼續(xù)上述過程中信源和中間節(jié)點的操作步驟；對于未被篡改的數(shù)據(jù)包，解碼即可；之所以需要從信源開始重傳，是因為中間節(jié)點無法存儲數(shù)據(jù)，不能從中間節(jié)點調(diào)用數(shù)據(jù)。從以上技術(shù)方案可以看出，本發(fā)明具有以下優(yōu)點在本發(fā)明中，并不是所有的信源信息都需要加密，只是選擇其中一部分加密，相比現(xiàn)有的方法來說，本發(fā)明大大減少了加密量，進而減少了加密解密的復(fù)雜度；本發(fā)明并不對竊聽者的竊聽能力進行限制，而是網(wǎng)絡(luò)中的任意鏈路都可以被竊聽，但是每一個竊聽者的計算能力是有限的，無法通過窮舉法得到原始信息；在實現(xiàn)網(wǎng)絡(luò)保密性的同時，本發(fā)明還能實現(xiàn)數(shù)據(jù)的完整性，這兩個功能是同時實現(xiàn)的，互相不會產(chǎn)生干擾。


為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的流程圖，在信源、中間節(jié)點和信宿的信息輸入輸出圖，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明的流程圖；圖2為本發(fā)明在信源的信息輸入輸出圖；圖3為本發(fā)明在中間節(jié)點的信息輸入輸出圖4為本發(fā)明在信宿的信息輸入輸出圖。
具體實施例方式根據(jù)發(fā)明內(nèi)容的描述，在這里對實施方式具體化，對兩種情況進行具體實施介紹。有限域集合F= {a，b，…}，對F的元素定義了兩種運算“ + ”和“*”，并滿足以下3個條件1、F的元素關(guān)于運算“ + ”構(gòu)成交換群，設(shè)其單位元素為0。2、F\{0}的元素關(guān)于運算“*”構(gòu)成交換群。即F中元素排除元素0后，關(guān)于“*”構(gòu)成交換群。3、分配率成立，即對于任意元素a，b，c e F，恒有a*(b+c) = (b+c)*a = a*b+a*cF域的元素數(shù)目有限時稱為有限域。在此假設(shè)有限域足夠大。
4
圖1是本發(fā)明的流程圖，如圖1所示，根據(jù)信息在信源生成、中間節(jié)點傳送、信宿節(jié)點接收的特點，以及信息在信源、中間節(jié)點和信宿操作方法的不同，下面分三部分進行介紹。


源的作用就是要把需要發(fā)送的一部分信息進行加密，然后通過一定的計
算方法使得網(wǎng)絡(luò)中傳輸?shù)男畔⒍几@部分被加密的信息相關(guān)，這樣可以使得信源發(fā)送的所有信息在網(wǎng)絡(luò)中都是對外保密的，可以達到保密性的效果。同時信源需要計算完整性校驗碼，將編碼向量、載荷和完整性校驗碼組合成數(shù)據(jù)包，并傳送給下游節(jié)點。具體實施步驟如下SlOl 假設(shè)信源發(fā)送j維數(shù)據(jù)X= (X1XfXj),共有j維，這里的j維可以理解為共有j維數(shù)據(jù)需要發(fā)送，各維數(shù)據(jù)依次發(fā)送；其中每一維數(shù)據(jù)都對應(yīng)著η維的信息向量\ = (xnxi2-xin)T, i = 1…j，需要加密的信息在此確定為信息向量的第一個信息，使用密鑰將 Xil加密為Ei,為方便信息處理過程，在此需要保證加密前后信息的維度是相同的，可以使用 AES加密方法，但是加密方法并不限于AES方法一種。S102:在得到加密數(shù)據(jù)之后，就開始構(gòu)造信源發(fā)出的用于網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，為了使得所有數(shù)據(jù)都跟被加密的數(shù)據(jù)產(chǎn)生相關(guān)性，同時保證信息不可解密，這里使用哈希函數(shù) h ()，因為哈希函數(shù)是單向的，根據(jù)輸入X，可以很容易計算出來h (χ)，但是根據(jù)h (X)得到X， 在計算上是不可實現(xiàn)的。使用哈希函數(shù)進行處理的過程如下
權(quán)利要求
1.一種基于信源信息加密的光網(wǎng)絡(luò)安全網(wǎng)絡(luò)編碼方法，其特征在于，該方法包括如下步驟步驟一確定包格式，數(shù)據(jù)包包括編碼向量、載荷和校驗碼三個組成部分；步驟二 信源處，對信源信息中的一維信息進行加密；使用哈希函數(shù)和計算公式對余下的信源信息進行處理，使得網(wǎng)絡(luò)傳輸?shù)拿總€信息都是跟被加密的那一維信源信息相關(guān)的，這部分是用于網(wǎng)絡(luò)中傳輸?shù)男畔?；步驟三按照編碼向量、載荷和校驗碼的順序構(gòu)造數(shù)據(jù)包；步驟四中間節(jié)點在接收到數(shù)據(jù)之后，如果該中間節(jié)點是編碼節(jié)點，對接收到的數(shù)據(jù)進行網(wǎng)絡(luò)編碼操作，然后對操作后的數(shù)據(jù)進行轉(zhuǎn)發(fā)；如果該中間節(jié)點是非編碼節(jié)點，直接轉(zhuǎn)發(fā)數(shù)據(jù)包；步驟五信宿接收到數(shù)據(jù)之后，采用“解碼-校驗”的方式處理；首先對數(shù)據(jù)包進行解碼，之后使用解碼后的數(shù)據(jù)校驗完整性；步驟六校驗完整性之后，如果數(shù)據(jù)包是完整的，得到的數(shù)據(jù)就是信源發(fā)送的數(shù)據(jù)包； 如果數(shù)據(jù)包不是完整的，信宿請求信源重新發(fā)送，直至接收正確的數(shù)據(jù)包。
2.如權(quán)利要求1所述的安全實現(xiàn)方法，信源傳輸之前，對信息處理的過程包括在傳輸過程中以隨機網(wǎng)絡(luò)編碼作為主要的傳輸方式，編碼向量是在有限域中隨機選取，假定有限域足夠大，載荷是通過計算編碼向量和用于網(wǎng)絡(luò)中傳輸?shù)男畔⒌某朔e得到的， 校驗碼是使用校驗碼公式對信源信息計算得到。
3.如權(quán)利要求1所述的安全實現(xiàn)方法，其特征在于，加密前后信息的維度需要保證相同，因此可以使用但不限于AES加密方法，不是所有的信源信息都需要加密，而是選擇每個信源信息向量的一維進行加密。
4.如權(quán)利要求1所述的安全實現(xiàn)方法，在信源處，加密其中一維信源信息之后，使用哈希函數(shù)和特定計算公式可以使得信源信息的其他信息都跟這一維加密后的 信息相關(guān)，可以達到隱藏原始信息的目的，同時僅僅對外顯示加密后的信息。
5.如權(quán)利要求1所述的安全實現(xiàn)方法，完整性校驗部分是通過添加完整性校驗碼來實現(xiàn)的，信宿接收到的數(shù)據(jù)是否是完整的，取決于解碼得到的完整性校驗碼跟計算得到的完整性校驗碼的數(shù)值是否是相同的。
6.如權(quán)利要求1所述的安全實現(xiàn)方法，保密性和完整性校驗的功能是可以同時實現(xiàn)的，而且兩個功能之間互相沒有影響。
7.如權(quán)利要求1所述的安全實現(xiàn)方法，在光網(wǎng)絡(luò)中，為提高網(wǎng)絡(luò)速度，中間節(jié)點處不設(shè)置光電轉(zhuǎn)換模塊，網(wǎng)絡(luò)編碼的操作也是在光層完成的，同時節(jié)點不具有緩存功能，采用信宿檢驗，信源重傳的方法。
8.如權(quán)利要求1所述的安全實現(xiàn)方法，在光網(wǎng)絡(luò)中，信宿首先進行解碼，得到信源發(fā)送的原始數(shù)據(jù)之后，通過得到的原始數(shù)據(jù)進行完整性校驗。
全文摘要
一種基于信源信息加密的光網(wǎng)絡(luò)安全網(wǎng)絡(luò)編碼方法，具體包括使用信源信息加密的方法實現(xiàn)網(wǎng)絡(luò)的保密性，使用完整性校驗碼的方法實現(xiàn)網(wǎng)絡(luò)的完整性檢驗的功能。在信源信息加密中，只需要加密其中的一小部分信息即可實現(xiàn)網(wǎng)絡(luò)的保密性功能，這樣間接減少了需要加密的信息數(shù)量。光網(wǎng)絡(luò)中的校驗功能是通過信宿檢驗完整性、信源重傳的方法來實現(xiàn)的。
文檔編號H04L1/00GK102427399SQ20121000625
公開日2012年4月25日 申請日期2012年1月9日 優(yōu)先權(quán)日2012年1月9日
發(fā)明者張 林, 柏琳, 紀越峰, 顧仁濤 申請人:北京郵電大學(xué)