[发明专利]一种基于子空间属性的多源网络编码污染防御方法

摘要

一种基于子空间属性的多源网络编码污染防御方法，它包含三大步骤：步骤一：建立多源网络编码系统模型，包括确定多源网络编码方法、建立敌手模型、建立一个可信中心节点和利用网络编码子空间属性；步骤二：初始化，包括分配索引、生成零密钥和分发零密钥；步骤三：消息传输和验证。本发明利用网络编码的子空间属性实现抵御污染攻击的多源安全网络编码，和密码学抵御污染个攻击方法相比，利用子空间属性的防御方案使计算开销减少；它是网络内的直接检测，提供了更高的效率和安全性，能够适用于污染攻击问题更为严重的多源编码系统中。

主权项

1.一种基于子空间属性的多源网络编码污染防御方法，其特征在于：它包含以下步骤：步骤一：建立多源网络编码系统模型1.确定多源网络编码方法网络建模为有向图G=(V,E)，存在一个源节点集和一个目的节点集每个源节点s_i要将数据包多播到目的节点集T，每个源节点的数据包附加上编码系数后得到以下形式：式中符号说明如下：表示源节点s_i(1≤i≤r)发送的第j个源数据包；表示源数据包的数据部分；r表示源节点集中源节点个数；g表示每一代中的数据包个数；n表示数据部分长度；m表示源节点集发送的总数据包数；源节点按代将源数据包发送出去；网络的中继节点对属于同一代的数据包进行编码，从它的输入链路接收到若干数据包这些数据包每个都是源数据包的线性组合，节点随机选取局部编码向量计算的这些数据包的线性组合：从而得到编码包最后将其传送到节点的一个或多个输出链路；当目的节点t_i收到m条线性无关的编码包，即可利用高斯消元法解线性方程组恢复出源数据包2.建立敌手模型定义污染攻击为向网络中注入损坏的数据包，而损坏的数据包指网络中的任意链路上的编码向量w→=(w^,β→),]]>若w^≠Σi=1mβiv^i;]]>其中v→i(1≤i≤m)]]>是源数据包，是编码系数，攻击者为能够获取网络资源的内部节点，多个源节点中可能存在部分恶意节点；3.建立一个可信中心节点由于源节点可能是恶意的，因而需要设立一个可信中心节点来作为可信根节点；同时，在利用子空间属性时，可信中心节点被用来生成和分配相关零密钥；4.利用网络编码子空间属性在多源网络编码系统中，由于编码操作采用的是随机线性组合，由此可见，在不存在恶意节点的情况下，所有中继节点输出的编码包都属于这个子空间，而被污染的编码包不属于该子空间；步骤二：初始化1.分配索引当网络中某个节点有数据需要发送，它向可信中心节点发送一个索引请求消息；可信中心节点目的节点发来的索引请求消息，假设在一个设定的时间间隔△T内收到r(1≤r)个节点发来的索引请求消息，则可信中心节点分别给这r个节点分配1至r的索引，之后，节点对数据包附加编码系数：式中符号说明如下：表示源节点s_i(1≤i≤r)发送的第j个源数据包；表示源数据包的数据部分；r表示源节点集中源节点个数；g表示每一代中的数据包个数；2.生成零密钥源节点集S={s₁,…,s_r}各个中的每个节点将添加编码系数后的源数据包上传到可信中心节点，同时上传到可信中心节点还有源节点集S={s₁,…,s_r}中每个源节点的出度，记为OUT(s_i)；所有数据包构成一个矩阵：X=v→1,1···v→1,g···v→r,1···v→r,gm×(n+m)]]>由该矩阵构成线性方程组：Xz→=0]]>式中符号说明如下：X表示源数据包构成的矩阵，表示将X映射到0的向量；解得X的零空间的n个基向量计算的线性组合得到一个零密钥，即，其中{λ₁,…,λ_n}是可信中心节点随机选取n个系数；3.分发零密钥源节点集S={s₁,…,s_r}中的每个源节点s_i收到可信中心节点发送的OUT(s_i)个零密钥后，将它们从OUT(s_i)个输出链路分别发送出去，以和普通数据包相同的方式组播到目的节点集T={t₁,…,t_k}；中继节点和编码普通数据包相同的方式编码这些零密钥，即，它对输入链路的l个零密钥进行随机线性组合得到编码包再将编码包从输出链路传送出去，中继节点存储收到的d(1≤d)线性无关的零密钥组成一个零密钥矩阵：采用同态杂凑函对零密钥的完整性进行保护；步骤三：消息传输和验证数据从源节点集以多源网络编码的方式传送到目的节点集，中继节点对数据包进行验证；验证方法如下：w→iK=0(1≤i≤l)]]>式中符号说明如下：表示节点接收到的编码包，K表示存储在本地的零密钥矩阵；若是合法的数据包，上式成立，节点将其进行编码后从输出链路发送出去；若是受到污染的数据包，即，不属于张成的子空间里的向量，则上式将以的概率不成立，节点将其丢弃，式中d表示矩阵K的零密钥数，q表示有限域的大小。