一種基于安全網絡編碼技術的抗污染攻擊機制

王海鵬，梅中輝

(南京郵電大學 通信與信息工程學院，江蘇 南京 210003)

一種基于安全網絡編碼技術的抗污染攻擊機制

王海鵬，梅中輝

(南京郵電大學 通信與信息工程學院，江蘇 南京 210003)

文中主要研究在安全網絡編碼技術中的抗污染問題。由于網絡編碼會在中間節點生成新的數據包，所以只要注入少量污染數據包就會造成污染擴張，從而造成網絡性能下降。所以有必要在中間節點驗證網絡中是否發生污染攻擊，但同時又要減少檢驗所帶來的時間延遲。文中提出一種自適應抗污染攻擊機制。該機制可以針對污染攻擊嚴重情況來自適應調節中間節點的檢測步驟，同時提高了運算效率并降低了驗證時延。仿真結果表明，理論結果和實際計算吻合，自適應驗證機制的時延相比傳統驗證機制較小。

安全網絡編碼；污染攻擊；自適應驗證；同態

0 引 言

網絡編碼[1]技術不同于傳統存儲-轉發技術，中間節點可以對數據包進行計算生成新的數據包。網絡編碼可以顯著提高網絡吞吐量、減小網絡能耗[2-3]等，但是安全問題是網絡編碼不能回避的問題，主要存在兩種攻擊方式：竊聽攻擊[4-6]和污染攻擊[7-8]。其中污染攻擊所造成的影響更嚴重，一個污染包注入到網絡中會在其他節點與別的未污染數據包組合生成新的數據包，導致新生成的數據包也受到污染，會造成污染的擴散，浪費了網絡資源。

目前對于污染攻擊存在兩種解決方案：

(1)基于信息論[9-10]的解決方案。通過給數據包增加冗余比特以達到檢驗目的，但只能在目的節點才能檢驗出污染包

(2)基于密碼學[11-13]的解決方案。這種方式可以使網絡中每個節點都檢驗出污染包，可以有效抑制污染數據包的傳播。

文中采用基于密碼學的方案，但是傳統的密碼學解決方案存在計算量過大的特點，因此并不實用。He Ming等[14]提出一種應對污染攻擊的自適應驗證機制Adapkeys，但網絡需要嚴格時間同步。E. Kehdl等[15]提出的Null key制度利用正交性來驗證數據包是否受到污染，但對每一代數據包的正交向量的分發與計算都比較復雜。Zhang Peng等[16]提出一種基于正交子空間的驗證機制，計算量較小，但不能區分隨機錯誤和污染攻擊。劉濟愷[17]在He Ming等研究結果的基礎上提出一種自適應的驗證機制，該方案能對隨機錯誤和污染攻擊進行區分，但簽名驗證機制牽扯到大量的模指數運算，計算量較大。

結合上述機制，文中提出一種基于正交子空間原理的自適應驗證機制，可相應減小算法的計算復雜度。

1 系統模型與攻擊者模型

假設只有信源節點S和接收者是可信的，而中間節點都是不可信的，可能發動污染攻擊。而攻擊者試圖注入一些污染數據包w進入網絡時，即w?span{x1,x2,…,xm},攻擊者(adversarynodes)通過收集網絡合法數據包，并試圖使數據包w通過其他節點(innocentnodes)的驗證。此外也假設中間節點可能會共謀(collude)，即中間節點中的攻擊者可能會相互協作發動攻擊，在該網絡中假設攻擊者的計算能力有限。

2 驗證機制及原理

盡管數據包在網絡中會經過很多輪的隨機網絡編碼，但是信源數據包所組成的(linearsubspace)線性子空間V是不變的,可以通過檢測接收到的數據包w是否屬于這個子空間V(w∈V)來判斷是否為原始數據包。網絡的中間節點可以從V的正交空間選出一個向量vT來描述向量空間V,如果w·vT≠0，則w不是原始數據包。但是每代數據包都需要分別計算V的正交分量并將其分發至網絡中的中間節點，導致算法復雜且開銷大。文獻[16]提出相應解決方案，通過給每個數據包加上若干標簽與簽名，使加過標簽或簽名的數據包w′與vT內積為0，這樣就不用頻繁發送vT,節省了發送帶寬。基于這一基本原理，文中提出了Macsig機制，具有如下特點：

(1)有效應對污染攻擊，特別是對于對稱公鑰機制中特有的一種污染-標簽攻擊(tagpollution)能做到有效應對。

(2)相對于其他基于MAC[12]的驗證機制能節省帶寬，采用提出的Double-RandomKeyDistribution機制，需要的標簽(tag)更少。

(3)計算更加高效，驗證時延小。

但是Macsig機制沒有對隨機傳輸錯誤與污染攻擊進行區分對待，前者更容易檢測出來，而不需要復雜的計算。而且通常網絡規模很大,小規模的數據包污染是可以忍受的,在這里結合文獻[14]的自適應框架,提出一種新的驗證機制。

2.1 參數設置

T：節點工作參數，每個節點均獨立維護，系統初始化時，每個節點的T=0；

d：每個數據包所帶有的一個參數，代表經過上次驗證后所經過的跳數，最小值為0，最大值為dmax；

Tmax：可以調節的安全參數，代表T的最大值；

Flag：每個節點單獨維護的安全參數，代表當前節點是否有污染數據包。為0代表安全，為1代表檢測狀態，處于檢測狀態的節點不參加網絡編碼，默認初始化為0；

id：代表當前數據包屬于哪一代，id∈Fp；

G：一個階數為p的乘法群G，乘法群的生成元g，p是一個位數很大的質數；

h：公鑰，計算公式h=gβ=(gβ1…gβm+l+1)；

2.2 簽名與驗證步驟

1)源節點簽名。

對于信源S發出的m個x1,x2,…,xm消息，生成唯一的代標識符id。MACKey選取方法同文獻[16]一樣，信源節點從密鑰集合K中隨機選出一個大小為l的密鑰子集，作為驗證該代數據包的MACKey集合，然后在該代的每個數據包中附上這l個密鑰的對應索引。網絡中其他節點分配密鑰的方式同文獻[18]。

源節點簽名過程可歸納如下：

(1)生成隨機校驗值：把每一代id作為種子放入PRG后，生成一個隨機向量PRG(id)=R={r1,r2,…,rm+n+l+2}，對于xi計算校驗值zi：

(1)

2)中間節點驗證。

當中間節點收到一個編碼向量w=(w1,w2,…,wm+n)，其附帶的其他消息為(tw,1,tw,2,…,tw,l,σw,zw,id,d)，驗證步驟如圖1所示。

圖1 中間節點驗證流程

(1)校驗值驗證。主要針對隨機發生的錯誤，根據id獲得隨機校驗向量PRG(id)=R={r1,r2,…,rm+n+l+2}，然后計算校驗值。如果zw=z，則通過校驗值驗證，視為合法消息，否則為污染消息。而對于同一代數據包，計算R后并存儲，下次直接調用即可。

(2)Macsig驗證機制，通過校驗值驗證后，中間節點判斷參數節點T和消息附帶的經過跳數dw，只有滿足dw

Macsig驗證步驟可歸納如下：

步驟3：若是合法消息，則將該消息的經過跳數dw設置為0，若當前中間節點的T>0，則T減小1，否則T仍為0。

當數據包w為污染包，當前節點的T增加ΔT，當T+ΔT>Tmax，則將T設置為Tmax，發送警告給上游節點，且當前節點的FLAG=1，對當前節點進行批驗證。然后上游節點在收到警告后，先驗證警告的真偽性，如果通過驗證，上游節點將對自己緩存中的數據包進行批驗證(即利用緩存數據包隨機生成一個新包，并檢測新包是否受到污染)。若通過批驗證，此上游節點設FLAG保持不變仍為0。若不通過，首先設置此上游節點的T=T+ΔT，并且將此上游節點的FLAG變為1，此上游節點將停止產生新的數據包，進入隔離狀態。在隔離狀態期間進行二分法查找污染數據包，直到從緩存中清除污染數據包，FLAG重新歸0，隔離狀態結束，此上游節點將重新參加網絡編碼。

步驟4：中間節點對驗證通過的數據包進行編碼輸出，將消息的校驗值、簽名、標簽值與消息一起進行相同的編碼操作。假設編碼c個合法消息w1,w2,…,wc所對應的校驗值、簽名和標簽為(zwi,σwi,twi,1…twi,r)，編碼系數為a1…ac，則編碼過程為：

新數據包d值更新為：

dw′=max(dw1,dw2,…,dwc)+1

(3)

3)接收節點接收驗證。

目的節點收到數據包w后，先進行校驗值驗證，若不通過，直接結束。通過后進行Macsig驗證，通過則認為是合法數據包，放入接收緩存，等待解碼操作，否則丟棄數據包。

2.3 驗證方式正確性

現在需證明無論是校驗值、MAC校驗值還是簽名都滿足同態性。

校驗值滿足同態性：

簽名的同態性：

MAC標簽的同態性：

該機制還有一個漏洞，即如果有多于預設值c的中間節點預謀，則攻擊節點可能會生成污染數據包，并通過其他節點的驗證。為了解決這個問題，信源應當對整個文件計算Hash值，并發送給信宿，這樣信宿節點在解碼成功后交給上層前，應當再計算Hash值。將兩個值進行比較，如果相同，認為未發生污染；如果不同，則認為該機制失效，考慮用其他更高安全性的抗污染機制。

2.4 驗證警告機制

如果式(7)成立，則判斷該警告是偽造的，即沒有發生污染。若不成立，則認為發生了污染，即警告消息是有效的(Valid)。

3 仿 真

仿真結果如圖2所示。

圖2 系統帶寬開銷

從圖中可以看出，隨著數據包長度的增加,帶寬負載是呈下降趨勢的。參與共謀攻擊節點越多,帶寬占用越大。

由于有限域上的模指數運算非常花時間，所以主要考慮節點在驗證時的計算耗時。利用NTL函數庫，可以得出在驗證階段的隨機校驗階段需要(m+n+l+2)次乘法，(m+n+l+1)次加法，而在Macsig階段則進行了(m+l+1)模指數運算，(m+l)+l*(m+n+1)次乘法和(m+n)次加法，其他參數設置和上面一樣。而文中提出機制的優點在于不是每一個節點都完全執行所有的驗證步驟。假設dmax=5,即污染數據包最多在網絡中傳播5跳，那么一個合法數據包在最理想的情況下要經歷5次隨機校驗值檢測和一次的Macsig認證，而文獻[11]提出的基于同態簽名的傳統方案,則要經歷5次一樣的校驗。每次驗證都至少進行(m+n)次模指數運算和RSA解密步驟。文獻[17]的方案同樣運用了自適應驗證的思想，但每次驗證都同樣需要至少(m+n)次模指數運算。

方案仿真結果如圖3所示。

圖3 系統計算復雜度開銷

從圖中可以看出，采用自適應驗證思想的方案都比文獻[11]方案驗證時延小，而且文中機制相比同樣采用自適應思想的文獻[17]的延遲要小，是因為文中方案降低了模指數運算次數。如果考慮極端情況，即數據包每一跳都恰好滿足檢測條件，需要被檢測，根據仿真結果的趨勢，可以看出計算量仍然較低，不會超過其他機制。當安全參數c越小時驗證越快，但付出的代價是協議安全性降低，抗共謀攻擊的能力降低，而且新的機制需要復雜的密鑰分配機制來保證機制的可行性。

4 結束語

文中主要介紹了一種能自適應網絡情況的抗污染攻擊方案。傳統的污染檢測方案計算量大，驗證耗時，且不能靈活改變安全檢測等級。一方面將自適應框架引入到檢測方案中，另一方面將方案中的檢測機制予以改進，減小了模指數運算的次數。仿真結果表明，與傳統的檢測機制相比，有效降低了檢測時延。

[1]AhlswedeR,CaiN,LiSYR,etal.Networkinformationflow[J].IEEETransactionsonInformationTheory,2000,46(4):1204-1216.

[2] 楊 林，鄭 剛，胡曉惠.網絡編碼的研究進展[J].計算機研究與發展，2008，45(3):400-407.

[3] 黃 政,王 新.網絡編碼中的優化問題的研究[J].軟件學報，2009，20(5)：1349-1361.

[4] 俞立峰，楊 瓊,于 娟，等.防竊聽攻擊的安全網絡編碼[J].計算機應用研究，2012,29(3):813-818.

[5]CaiNing,ChanT.Theoryofsecurenetworkcoding[J].IEEEJournals&Magazines，2011，57:416-423.

[6] 周業軍，李 暉，馬建峰.一種防竊聽的隨機網絡編碼[J].西安電子科技大學學報：自然科學版，2009,36(4):696-701.

[7] 曹張華,唐元生.安全網絡編碼綜述[J].計算機應用，2010,30(2)：499-505.

[8] 張盛勇，陳世康.網絡編碼的安全問題初探[J].通信技術,2012,45(1):105-107.

[9]HoT,LeongB,KoetterR,etal.Byzantinemodificationdetectioninmulticastnetworksusingrandomizednetworkcoding[C]//ProcofIEEEinternationalsymposiumofinformationtheory.[s.l.]:IEEE,2004.

[10]JaggiS,LangbergM,KattiS,etal.Resilientnetworkcodinginthepresenceofbyzantineadversaries[C]//Procofinternationalconferenceoncomputercommunications.[s.l.]:[s.n.],2007.

[11]YuZ,WeiY,RamkumarB,etal.Anefficientsignature-basedschemeforsecuringnetworkcodingagainstpollutionattacks[C]//Procofinternationalconferenceoncomputercommunications.[s.l.]:[s.n.],2008.

[12]AgrawalS,BonehD.HomomorphicMACs:MAC-basedintegrityfornetworkcoding[C]//Procofinternationalconferenceonappliedcryptographyandnetworksecurity.[s.l.]:[s.n.],2009.

[13]ZhaoF,KalkerT,MedardM,etal.Signaturesforcontentdistributionwithnetworkcoding[C]//ProcofIEEEinternationalsymposiumoninformationtheory.[s.l.]:IEEE,2007.

[14]HeMing,ChenLin,WangHong,etal.Adapkeys:anadaptivesecurityschemefornetworkcoding[C]//ProcofIEEEAsia-Pacificservicescomputingconference.Guilin:IEEE,2012:309-314.

[15]KehdlE,LiB.Nullkeys:limitingmaliciousattacksvianullspacepropertiesofnetworkcoding[C]//Procofinternationalconferenceoncomputercommunications.[s.l.]:[s.n.],2009.

[16]ZhangPeng,JiangYixin,LinChuang,etal.Paddingfororthogonality:efficientsubspaceauthenticationfornetworkcoding[C]//Procofinternationalconferenceoncomputercommunications.Shanghai:IEEE,2011:1026-1034.

[17] 劉濟愷.防污染的安全網絡編碼研究[D].成都:西南交通大學,2014.

[18]CanettiR,GarayJ,ItkisG,etal.Multicastsecurity:ataxonomyandsomeefficientconstructions[C]//Procofinternationalconferenceoncomputercommunications.[s.l.]:[s.n.],1999.

[19]GkantsidisC,RodriguezP.Cooperativesecurityfornetworkcodingfiledistribution[C]//Procofinternationalconferenceoncomputercommunications.[s.l.]:[s.n.],2006.

A Scheme against Pollution Attacks Based on Secure Network Coding

WANG Hai-peng，MEI Zhong-hui

(College of Telecommunication & Information Engineering,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

It mainly deals with pollution attacks in secure network coding in this paper.The new packet will be produced in the intermediate nodes by employing network coding,so a small amount of pollution data packet could cause pollution expansion,which results in substantially degraded performance for the network.Therefore,it is necessary to verify whether the intermediate nodes are in the pollution attack or not,and at the same time to reduce the time delay caused by security detection.An adaptive mechanism that can dynamically adjust the authentication strategy of intermediate nodes is proposed so as to improve operational efficiency and decrease the time delay brought by verification.Simulation shows that theoretical results are in accordance with actual calculation,and the time delay of the adaptive mechanism is less than that of traditional verification mechanism.

secure network coding;pollution attack;adaptive verification;homomorphic

2015-10-19

2016-01-22

時間：2016-06-22

國家科技重大專項(2010zx03003-003)

王海鵬(1991-)，男，碩士研究生，研究方向為安全網絡編碼；梅中輝，副教授，研究生導師，研究方向為網絡編碼技術、協助通信技術等。

http://www.cnki.net/kcms/detail/61.1450.TP.20160622.0842.008.html

TP301

A

1673-629X(2016)07-0094-06

10.3969/j.issn.1673-629X.2016.07.020