[发明专利]一种基于子空间属性的多源网络编码污染防御方法

说明书

技术领域

本发明涉及一种基于子空间属性的多源网络编码污染防御方法，属于信息网络安全技术领域。

背景技术

网络编码是近年来网络信息传输领域的新技术，它改变了传统网络中继节点只对数据包进行存储转发的传输模式，允许中继节点对数据包进行编码，从而能够达到传统传输模式无法达到的网络容量上限。进一步的研究表明，网络编码在提高网络吞吐量、均衡网络负载、增强网络鲁棒性和节约网络能耗等方面均有良好的作用。网络编码允许中继节点的编码操作带来了许多益处，但同时也带来了一个严重的网络编码所特有的安全威胁——污染攻击。污染攻击指中继节点向网络中注入损坏的数据包（包括对合法数据包的篡改），虽然数据包注入不是一个新的攻击，但在网络编码中却会带来灾难性的后果。当中继节点进行编码时，只要有一个损坏的数据包输入，所有的输出编码包都将被损坏；下游的节点收到这些损坏的编码包，对它们进行编码，将会产生更多的损坏的数据。这样，少量损坏的数据包通过编码操作扩散导致大量数据包的损坏，即，网络中的大量数据包被“污染”了。污染攻击最终会造成网络的吞吐量急剧下降，使网络趋于瘫痪。

当网络中存在多个源节点时，只对属于同一个源节点的数据包分别进行编码，其吞吐量并不能总是达到网络容量上限。多个源之间的联合网络编码，即多源网络编码，能够达到分别编码所不能达到的容量上限。然而，多源网络编码面临的更加严峻的污染攻击的考验。其原因在于：其一，多源网络编码中的恶意节点能够实施跨流污染攻击，造成其他数据流也被污染。这是由于多源网络编码将来自不同源的数据包编码在一起，当来自一个源的数据流被污染，联合编码操作将造成来自其他源的数据流也被污染，在下游节点又不断扩散到更多的数据流，导致比单源网络编码更严重的污染。其二，由于存在多个源节点，这些源节点不都是可信的，这给污染的防御造成更大的困难。在单源网络编码中，假设单个源节点可信是合理的，但在多源网络编码中，部分源节点可能是恶意节点，这些恶意节点的存在并不是为了发送数据包，而是为了利用跨流污染攻击污染其他正常源节点的数据。网络中没有源节点作为可信的根节点，防御污染攻击的难度更大。

针对污染攻击，已有的解决方案包括密码学方法、信息论方法和网络纠错码方法。密码学方法依赖附加于编码包后的验证信息，允许中继节点对接收到的编码包的完整性进行验证，过滤污染包。现有的密码学方法分为利用同态杂凑函数的方法和利用同态签名的方法这两种。在同态杂凑函数的方法中，源节点使用同态杂凑函数为每个源数据包计算一个杂凑值，并且通过认证的信道将这些杂凑值分发给中继节点，杂凑函数的同态特性允许中继节点利用源数据包的杂凑值来计算编码包的杂凑值，中继节点同时计算接收到的编码包的杂凑值，最后通过比较这两个杂凑值是否相等来验证编码包的完整性。然而，同态杂凑函数方法的计算开销较大。基于同态签名的方案，需要为每一个新的源节点发送的文件可靠地分发一个新的公钥，这个公钥与文件的大小呈线性比例关系，从而难以适应大规模数据内容的分发。以上两类基于密码学方法的方法可以提供网络内的直接污染检测，但需要较大的计算开销，而且不适用于多源网络编码。基于信息论的方法要么通过编码足够的冗余信息，使目的节点能够检测到污染的存在；要么使用分布式协议，容忍污染和恢复源数据包。两者都只是在目的节点识别污染，不排除污染攻击节点，从而无法阻止污染攻击使网络吞吐量下降。基于网络纠错码的方法，能够检测和更正污染包，然而该方法是在纠错能力和码率之间的一种权衡，因而纠错污染包的能力是有限的。

网络编码的子空间属性是线性网络编码的一个特殊属性。所谓子空间属性是指：在线性网络编码中，源节点发送的数据包虽然经过中继节点的编码，却仍然都属于源节点的数据包张成的线性子空间中。利用这个性质，生成线性子空间相应的零空间，从而零空间中的任意向量和网络中的编码包都是正交的。从零空间选取一定数量的向量分发给中继节点，中继节点即可利用这些向量对编码包进行完整性验证。与抵御污染攻击的密码学方法相比，利用子空间属性的防御方案利用了网络编码本身的特性，计算效率大大提高；与信息论和网络纠错码相比，利用子空间属性的防御方案能够提供网络内的直接检测，提供了更高的安全性。

在多源网络编码系统中，研究一种利用子空间属性的、能够高效地在网络内直接检测污染的污染攻击防御方法，将对构造安全的多源网络编码提供有力的支持。

发明内容

本发明解决的技术问题是：为了抵御多源网络编码的污染攻击，克服现有防御方案的不足，利用多源网络编码的子空间属性提供一种基于子空间属性的多源网络编码污染防御方法，降低完整性验证所需的计算开销和提高多源网络编码的安全性。