融合時(shí)間戳和同態(tài)簽名的安全網(wǎng)絡(luò)編碼方法

裴恒利，尚濤，劉建偉

（北京航空航天大學(xué) 電子信息工程學(xué)院，北京 100191）

1 引言

網(wǎng)絡(luò)編碼技術(shù)[1]因有利于無線多跳網(wǎng)絡(luò)傳輸性能的提升而成為近年的研究熱點(diǎn)，但同時(shí)它也帶來了許多安全問題。例如，在無線多跳網(wǎng)絡(luò)中，網(wǎng)絡(luò)編碼特別容易受到惡意節(jié)點(diǎn)的污染攻擊[2]，同時(shí)也會(huì)遭受傳統(tǒng)網(wǎng)絡(luò)中存在的重放攻擊、假冒攻擊、篡改攻擊、拒絕服務(wù)攻擊、中間人攻擊等[3]。針對(duì)污染攻擊，Ho等利用簡(jiǎn)單多項(xiàng)式散列函數(shù)（simple polynomial hash function）在目的節(jié)點(diǎn)處對(duì)消息的完整性進(jìn)行驗(yàn)證[4]，然而，中繼節(jié)點(diǎn)并未參與完整性驗(yàn)證，因此相應(yīng)地會(huì)增加受攻擊的數(shù)據(jù)分組在網(wǎng)絡(luò)中的傳輸數(shù)量。Gkantsidis和Rodriguez提出的同態(tài)散列方案(homomorphic hashing scheme)[5]實(shí)現(xiàn)了中繼節(jié)點(diǎn)對(duì)消息完整性的驗(yàn)證，但卻需要額外的安全信道來傳輸原始消息的散列值。隨后，Charles等在同態(tài)散列方案的基礎(chǔ)上設(shè)計(jì)了一種同態(tài)簽名方案(homomorphic signature scheme)[6]，該方案不需要額外的安全信道，但由于復(fù)雜的韋伊配對(duì)操作（weil pairing operation）會(huì)增加運(yùn)算的復(fù)雜度，因此，其應(yīng)用受到了限制，而Yu等提出的基于RSA的同態(tài)簽名方案[7]則大大降低了同態(tài)簽名的運(yùn)算復(fù)雜度。Rosario等[8]對(duì)Yu的方案進(jìn)行了改進(jìn)，將基于RSA的同態(tài)簽名方案設(shè)計(jì)在整數(shù)域中，并通過隨機(jī)預(yù)言模型（random oracle model）證明了該方案的安全性。

雖然同態(tài)簽名方案能夠抵御污染攻擊，但由于網(wǎng)絡(luò)中攻擊形式的多樣性，設(shè)計(jì)可同時(shí)抵御包含污染攻擊在內(nèi)的多種攻擊網(wǎng)絡(luò)編碼簽名方案非常重要。尤其是對(duì)能量受限的無線傳感器網(wǎng)絡(luò)而言，節(jié)點(diǎn)的能量是制約網(wǎng)絡(luò)性能提升的主要因素，而重放攻擊因會(huì)大量消耗節(jié)點(diǎn)能量而成為此類網(wǎng)絡(luò)所面臨的最棘手的攻擊之一。因此，針對(duì)能量受限的無線多跳網(wǎng)絡(luò)，本文在基于RSA同態(tài)簽名方案的基礎(chǔ)上設(shè)計(jì)了一種融合時(shí)間戳和同態(tài)簽名的可同時(shí)抵御污染攻擊與重放攻擊的網(wǎng)絡(luò)編碼簽名方案——該方案將對(duì)時(shí)間戳和對(duì)數(shù)據(jù)的簽名有效地結(jié)合起來，保證了網(wǎng)絡(luò)中各節(jié)點(diǎn)可以同時(shí)認(rèn)證數(shù)據(jù)的完整性和時(shí)間戳的真實(shí)性；并進(jìn)一步分析了引入時(shí)間戳對(duì)網(wǎng)絡(luò)編碼解碼概率的影響以及對(duì)網(wǎng)絡(luò)開銷的影響。

2 相關(guān)研究

2.1 隨機(jī)線性網(wǎng)絡(luò)編碼

網(wǎng)絡(luò)編碼按照編碼系數(shù)產(chǎn)生方式的不同可分為隨機(jī)性網(wǎng)絡(luò)編碼和確定性網(wǎng)絡(luò)編碼，按照編碼方式的不同可分為線性網(wǎng)絡(luò)編碼和非線性網(wǎng)絡(luò)編碼[9]。根據(jù)無線多跳網(wǎng)絡(luò)的分布式特點(diǎn)，以下重點(diǎn)介紹隨機(jī)線性網(wǎng)絡(luò)編碼的具體過程。

網(wǎng)絡(luò)拓?fù)淙鐖D1所示。其中，A為源節(jié)點(diǎn)，(t1,…,tk)為目的節(jié)點(diǎn)，其他各節(jié)點(diǎn)為中繼節(jié)點(diǎn)。源節(jié)點(diǎn)將要發(fā)送的每一條原始消息設(shè)定為選自有限域Zq的長度為n的向量，其中，q是預(yù)先定義的素?cái)?shù)。因此，原始消息Mi可表示為

圖1 網(wǎng)絡(luò)拓?fù)?/p>

在隨機(jī)線性網(wǎng)絡(luò)編碼中，每一個(gè)中繼節(jié)點(diǎn)將收到的消息線性組合，生成編碼消息E并轉(zhuǎn)發(fā)。因此，E可表示為該中繼節(jié)點(diǎn)所收到的消息的線性疊加，即

相應(yīng)地，中繼節(jié)點(diǎn)收到的消息向量E’記為

其中，Mi’、E’可統(tǒng)稱為擴(kuò)展消息或擴(kuò)展向量（augmented message）[10]。為防止攻擊者截獲從源節(jié)點(diǎn)發(fā)出的原始消息，源節(jié)點(diǎn)對(duì)其所要發(fā)送的消息也要進(jìn)行編碼，即對(duì)要發(fā)送的 m條擴(kuò)展消息進(jìn)行m次線性組合，獲得m條編碼消息并轉(zhuǎn)發(fā)。

目的節(jié)點(diǎn)在收到m條線性無關(guān)的消息(E1’, …,Em’)后，即可得矩陣 ′U為

將矩陣 U ′的前 m列構(gòu)成的矩陣記作 U，后 n列構(gòu)成的矩陣記作V，則由式(5)便可將源節(jié)點(diǎn)發(fā)送的m條原始消息解碼恢復(fù)。

2.2 同態(tài)簽名

同態(tài)分為加法同態(tài)和乘法同態(tài)[11]。給定變量X1和X2，若對(duì)于函數(shù)Φ，存在函數(shù)f使得式(6)成立，則稱函數(shù)Φ滿足加法同態(tài)。

若對(duì)函數(shù)Φ，存在函數(shù)f使得式(7)成立，則稱函數(shù)Φ滿足乘法同態(tài)。

同態(tài)簽名便是利用了同態(tài)函數(shù)保持運(yùn)算的性質(zhì)。節(jié)點(diǎn)接收的消息與相應(yīng)簽名分別記作和若當(dāng)前節(jié)點(diǎn)要對(duì)接收到消息的線性組合生成簽名S，如果Φ具有加法同態(tài)性，則當(dāng)前節(jié)點(diǎn)可直接由式(8)生成簽名。其中，由式(8)計(jì)算出的簽名S與相等，這樣便實(shí)現(xiàn)了中繼節(jié)點(diǎn)在未知源節(jié)點(diǎn)私鑰的情況下對(duì)所要發(fā)送的消息進(jìn)行簽名。本文安全網(wǎng)絡(luò)編碼方案中的簽名函數(shù)具有加法同態(tài)性，詳見第 3節(jié)中命題1的證明。

3 安全網(wǎng)絡(luò)編碼方案

在安全網(wǎng)絡(luò)編碼方案中，時(shí)間戳信息可以起到兩方面作用：一是網(wǎng)絡(luò)中各節(jié)點(diǎn)可以利用時(shí)間戳來識(shí)別重放消息，以抵御網(wǎng)絡(luò)中的重放攻擊；二是以時(shí)間戳為源產(chǎn)生網(wǎng)絡(luò)編碼的隨機(jī)系數(shù)，可以保證網(wǎng)絡(luò)中各節(jié)點(diǎn)能夠利用簽名函數(shù)的加法同態(tài)性對(duì)編碼后的消息產(chǎn)生簽名。因此，本文在利用基于RSA同態(tài)簽名方案抵御污染攻擊的基礎(chǔ)上，引入時(shí)間戳設(shè)計(jì)新型同態(tài)簽名方案以抵御網(wǎng)絡(luò)中的重放攻擊，并以時(shí)間戳為源生成網(wǎng)絡(luò)編碼的隨機(jī)系數(shù)。

網(wǎng)絡(luò)拓?fù)淙鐖D1所示。A為源節(jié)點(diǎn)，不規(guī)則區(qū)域內(nèi)的節(jié)點(diǎn)為中繼節(jié)點(diǎn)，為目的節(jié)點(diǎn)，表示由原始消息生成的擴(kuò)展消息，由長度為m + n 的向量表示。全網(wǎng)采用同步時(shí)鐘，且所有中繼節(jié)點(diǎn)均對(duì)收到的消息編碼。方案中的相關(guān)參數(shù)如表1所示。

方案仍采用傳統(tǒng)的基于RSA的同態(tài)簽名方案，但由于在簽名方案中引入了時(shí)間戳機(jī)制，為保證簽名仍具有同態(tài)屬性，方案考慮以時(shí)間戳為源生成網(wǎng)絡(luò)編碼的隨機(jī)系數(shù)，具體過程如下。

Step1 源節(jié)點(diǎn)選取參數(shù)。與基于RSA的同態(tài)簽名方案相類似，參數(shù)選取過程簡(jiǎn)述如下。

表1 相關(guān)參數(shù)

Step2 源節(jié)點(diǎn)生成簽名。在源節(jié)點(diǎn)的簽名生成過程中引入了時(shí)間戳，對(duì)消息和時(shí)間戳的組合生成簽名。

源節(jié)點(diǎn)產(chǎn)生 m條擴(kuò)展消息并附上當(dāng)前時(shí)刻作為該條消息的時(shí)間戳（需將時(shí)間戳 Ti轉(zhuǎn)換為 Zq中的數(shù)值），然后用私鑰d對(duì)m條消息簽名，其中，簽名 SIGNd(Mi’||Ti)如式(9)所示。

Step3 中繼節(jié)點(diǎn)驗(yàn)證簽名并生成新的簽名。具體過程如下。

如果式(10)成立，則可斷定該消息組合沒有受到污染攻擊，這是因?yàn)椋喝粼撓⒔M合在傳輸過程中的數(shù)據(jù)部分沒有遭到破壞，則式(11)成立。

然后由消息組合中的時(shí)間戳部分判斷該消息組合是否被重放，如果為重放消息則丟棄。若消息組合在時(shí)效范圍內(nèi)，則該節(jié)點(diǎn)在收到k條消息組合k)后，為保證能夠利用同態(tài)性質(zhì)對(duì)此k條消息組合中數(shù)據(jù)部分的線性組合進(jìn)行簽名，則需根據(jù)當(dāng)前時(shí)刻T以及收到的k條消息組合中的時(shí)間戳由式(12)計(jì)算出隨機(jī)系數(shù)

利用該組隨機(jī)系數(shù)對(duì)收到的k條消息組合中的數(shù)據(jù)進(jìn)行線性疊加，得到編碼數(shù)據(jù) E’||T：即，并利用簽名的同態(tài)性質(zhì)，由k條消息組合中的簽名生成與E’||T對(duì)應(yīng)的簽名 SIGNd(E’||T)。

命題1函數(shù)SIGNd具有加法同態(tài)性。

證明設(shè)是長度為m+n+1的向量，則由式(9)可得

因此

命題得證。

因此可利用同態(tài)性質(zhì)生成對(duì)消息 E’||T的簽名SIGNd(E’||T)，式(15)給出了該簽名的計(jì)算式。

然后，節(jié)點(diǎn)將消息組合{E’||T, SIGNd(E’||T)}轉(zhuǎn)發(fā)。

Step4目的節(jié)點(diǎn)驗(yàn)證簽名并對(duì)源節(jié)點(diǎn)發(fā)送消息解碼恢復(fù)，具體過程如下。

目的節(jié)點(diǎn)在收到一條消息組合后，首先通過式(10)來判斷消息是否受到污染攻擊，然后等待。當(dāng)接收到 m條線性無關(guān)的消息組合后，利用式(5)對(duì)源節(jié)點(diǎn)發(fā)送的消息解碼恢復(fù)。

4 安全性分析

本文的安全網(wǎng)絡(luò)編碼方案中假設(shè)源節(jié)點(diǎn)總是安全的，只有中繼節(jié)點(diǎn)不可信。攻擊者可能會(huì)控制中繼節(jié)點(diǎn)，破壞其所要發(fā)送的消息，對(duì)網(wǎng)絡(luò)實(shí)施污染攻擊；另外，攻擊者也可能會(huì)控制中繼節(jié)點(diǎn)，使其重復(fù)發(fā)送已經(jīng)發(fā)送過的消息，對(duì)網(wǎng)絡(luò)實(shí)施重放攻擊。

4.1 污染攻擊的安全性分析

攻擊者的污染攻擊方式分為2種：一是產(chǎn)生偽造消息數(shù)據(jù)并對(duì)其生成有效簽名；二是根據(jù)攻擊者所截獲的消息組合中的簽名產(chǎn)生與之相匹配的消息數(shù)據(jù)。

在第一種攻擊方式中，攻擊者污染中繼節(jié)點(diǎn)接收到消息組合中的數(shù)據(jù)部分或直接將偽造的消息數(shù)據(jù)注入網(wǎng)絡(luò)，中繼節(jié)點(diǎn)編碼后的消息因此遭到污染。將攻擊者污染后的消息記作，則中繼節(jié)點(diǎn)編碼后的消息與未受攻擊時(shí)所產(chǎn)生的編碼消息E'T不同，即

但由于攻擊者未知源節(jié)點(diǎn)私鑰，因此無法對(duì)該污染消息生成有效簽名，所以攻擊無效。

在第二種攻擊方式中，攻擊者依照截獲的消息組合中的簽名生成與之匹配的數(shù)據(jù)，即希望根據(jù)所截獲的消息組合中的簽名推出與之相應(yīng)的數(shù)據(jù)因此，該方案的安全性等同于是否可以找到不同于E'T的數(shù)據(jù)E?'T?，使得，下面將證明其困難度等價(jià)于解決離散對(duì)數(shù)問題。

命題2給定消息E'T和相應(yīng)簽名找到不同于E'T的消息E?'T?，使得的困難度等價(jià)于解決離散對(duì)數(shù)問題。

證明為簡(jiǎn)化說明，考慮 m = n =1的特殊情況，此時(shí)，

固定 e? 1'和 e?2'，令 x = e?3'，式(18)變換為

則問題轉(zhuǎn)化為希望找到 x使其滿足式(19)?？梢钥闯鲇墒?19)求解x是一個(gè)離散對(duì)數(shù)困難問題，命題2得證。

4.2 重放攻擊的安全性分析

在重放攻擊中，攻擊者截獲網(wǎng)絡(luò)中的消息組合并不斷轉(zhuǎn)發(fā)或通過控制中繼節(jié)點(diǎn)使其重復(fù)發(fā)送已發(fā)送過的消息組合，從而達(dá)到消耗網(wǎng)絡(luò)節(jié)點(diǎn)能量、占用網(wǎng)絡(luò)帶寬和降低網(wǎng)絡(luò)吞吐量等目的。

在該攻擊中，攻擊者有2種攻擊方式：直接重放所截獲的消息組合或修改所截獲消息組合中的時(shí)間戳并對(duì)其生成有效簽名。

第二種攻擊方式相當(dāng)于污染攻擊中的第一種攻擊方式：對(duì)偽造數(shù)據(jù)生成有效簽名。攻擊者由于未知源節(jié)點(diǎn)的私鑰，因此無法對(duì)截獲的消息組合中的數(shù)據(jù)部分進(jìn)行簽名，所以攻擊無效。

由以上安全性分析可知，本文提出的安全網(wǎng)絡(luò)編碼方案可同時(shí)抵御污染攻擊和重放攻擊，且攻擊成功的困難度等同于解決離散對(duì)數(shù)困難問題。

5 性能分析

5.1 開銷分析

為了分析安全網(wǎng)絡(luò)編碼的性能，本節(jié)重點(diǎn)考慮簽名算法所引發(fā)的開銷，不考慮引入同步計(jì)時(shí)機(jī)制帶來的開銷。網(wǎng)絡(luò)中傳送的消息組合以{E ' T ,的形式出現(xiàn)，其中，E'T為數(shù)據(jù)，以向量形式表示，為簽名。由于時(shí)間戳T的引入使網(wǎng)絡(luò)開銷相較于基于RSA的同態(tài)簽名方案有所增加，現(xiàn)將增加的開銷類型分類如下（下文中為敘述簡(jiǎn)便，稱基于 RSA的同態(tài)簽名方案為方案 1，本文的引入時(shí)間戳的同態(tài)簽名方案為方案2，且開銷均指算法耗費(fèi)時(shí)間）。

1) 參數(shù)初始化開銷

參數(shù)初始化階段耗費(fèi)時(shí)間近似正比于方案所需 gi的個(gè)數(shù)，與方案1相比兩者的耗費(fèi)時(shí)間比值近似等于，且m和n數(shù)值越大該比值越接近于1。

2) 編解碼與求解線性方程組的開銷

3) 計(jì)算簽名的開銷

網(wǎng)絡(luò)中有2類節(jié)點(diǎn)產(chǎn)生簽名：源節(jié)點(diǎn)和中繼節(jié)點(diǎn)。由于源節(jié)點(diǎn)僅有1個(gè)，而中繼節(jié)點(diǎn)數(shù)目較多，因此簽名開銷主要產(chǎn)生在中繼節(jié)點(diǎn)。其中，中繼節(jié)點(diǎn)生成簽名的運(yùn)算如式(9)所示，將方案 1中的簽名記作SIGNd(E ') ，方案2中的簽名記作，由于兩者均取值于有限域 Zr中，且隨機(jī)系數(shù)均選自有限域Zq，因此，對(duì)兩者作k次模指數(shù)運(yùn)算的開銷比值近似接近于1。

4) 驗(yàn)證簽名的開銷

中繼節(jié)點(diǎn)的主要功能是對(duì)收到的簽名進(jìn)行驗(yàn)證。驗(yàn)證過程應(yīng)保證盡可能地快速。然而，由于簽名采用基于 RSA的公鑰簽名體制，使得簽名的驗(yàn)證時(shí)間成為了制約網(wǎng)絡(luò)性能提升的主要因素。因此，衡量方案性能的最重要指標(biāo)是簽名算法的驗(yàn)證時(shí)間。

模指數(shù)運(yùn)算是算法效率的制約因素。由式(10)可知，方案2的簽名驗(yàn)證過程（驗(yàn)證一條消息）需經(jīng)過次模指數(shù)運(yùn)算，而方案1的簽名驗(yàn)證過程僅需運(yùn)算次，因此兩者的簽名驗(yàn)證時(shí)間的比值為，且m與n的值越大，該比值越接近于1。

由以上分析可知，與方案1相比，方案2僅在參數(shù)初始化與簽名驗(yàn)證部分增加了網(wǎng)絡(luò)的開銷，而簽名、編解碼與求解線性方程所引起的網(wǎng)絡(luò)開銷與方案1基本一致。

5.2 網(wǎng)絡(luò)編碼解碼概率分析

隨機(jī)線性網(wǎng)絡(luò)編碼中隨機(jī)系數(shù)的生成和選取對(duì)目的節(jié)點(diǎn)的解碼概率有一定影響，而本文網(wǎng)絡(luò)編碼方案中的隨機(jī)系數(shù)通過求解 k元一次方程組產(chǎn)生，與傳統(tǒng)的隨機(jī)系數(shù)的產(chǎn)生方式有所不同，究竟對(duì)解碼概率有多大影響，需要進(jìn)一步詳細(xì)分析。

其中，d表示網(wǎng)絡(luò)中目的節(jié)點(diǎn)的個(gè)數(shù)，q為有限域的大小，η為源節(jié)點(diǎn)所發(fā)消息的個(gè)數(shù)。

證明 在隨機(jī)線性網(wǎng)絡(luò)編碼網(wǎng)絡(luò)中，若隨機(jī)系數(shù)滿足 Zq中的均勻分布且相互獨(dú)立，則目的節(jié)點(diǎn)解碼概率P的取值范圍為因此，命題3可轉(zhuǎn)化為證明式(12)的k個(gè)解滿足獨(dú)立均勻分布。

由上述分析可得a1滿足均勻分布且與(a2,…,ak)相互獨(dú)立，命題3得證。

6 仿真分析

6.1 時(shí)耗分析

利用 NS2網(wǎng)絡(luò)仿真軟件對(duì)本文所介紹的安全網(wǎng)絡(luò)編碼方案進(jìn)行仿真。其中，傳輸層采用UDP數(shù)據(jù)流，網(wǎng)絡(luò)層協(xié)議采用洪泛協(xié)議，編碼尺寸設(shè)定為2，網(wǎng)絡(luò)拓?fù)淙鐖D2所示。A表示源節(jié)點(diǎn)，D表示目的節(jié)點(diǎn)，1、2、3、4、5節(jié)點(diǎn)表示中繼節(jié)點(diǎn)。

圖2 網(wǎng)絡(luò)拓?fù)?/p>

改變?cè)垂?jié)點(diǎn)消息向量中元素的個(gè)數(shù)m，將基于RSA的同態(tài)簽名方案記為RSA方案，所得的算法運(yùn)行時(shí)間對(duì)比如圖3所示。

圖3 本方案和RSA方案的運(yùn)行時(shí)間對(duì)比

從圖3中可以看出，隨著消息向量中元素個(gè)數(shù)的增加，2方案的算法運(yùn)行時(shí)間基本呈線性增長。另外，隨著m的增大，2方案的曲線基本重合，這是因?yàn)樗惴ㄖ幸氲臅r(shí)間戳T可以看作消息向量m中的一個(gè)元素，隨著m值的增大，引入時(shí)間戳帶來的時(shí)耗在整個(gè)算法時(shí)耗中所占的比重越小。

由上述分析可知，同5.1節(jié)中的理論分析結(jié)果相一致，本方案和RSA方案的算法時(shí)耗基本一致，并且由于本方案能夠同時(shí)抵御污染攻擊和重放攻擊，因此綜合考慮算法時(shí)耗與安全性能，本方案優(yōu)于RSA方案。

6.2 能耗分析

本小節(jié)分析了當(dāng)網(wǎng)絡(luò)遭遇重放攻擊時(shí)，本方案、RSA方案以及未引入安全機(jī)制的網(wǎng)絡(luò)編碼方案（簡(jiǎn)記為編碼方案）的節(jié)點(diǎn)能耗。

網(wǎng)絡(luò)中節(jié)點(diǎn)所處理的數(shù)據(jù)分組類型分為2種：重放數(shù)據(jù)分組和非重放數(shù)據(jù)分組。

對(duì)于重放數(shù)據(jù)分組，3種方案中節(jié)點(diǎn)的處理過程可分為以下3點(diǎn)。

1) 本方案。判斷其是否為重放分組（表2中簡(jiǎn)記為判斷），如果為重放分組，則將其丟棄。

2) RSA方案。驗(yàn)證簽名、編碼、計(jì)算簽名（表2中簡(jiǎn)記為驗(yàn)證編碼簽名）。

3) 編碼方案。編碼。

對(duì)于非重放數(shù)據(jù)分組，3種方案中節(jié)點(diǎn)的處理過程可分為以下3點(diǎn)。

1) 本方案。驗(yàn)證簽名、編碼、計(jì)算簽名。

2) RSA方案。驗(yàn)證簽名、編碼、計(jì)算簽名。

3) 編碼方案。編碼。

利用 MATLAB計(jì)算上述不同處理過程的運(yùn)行時(shí)間，當(dāng)消息向量中元素個(gè)數(shù)m=256時(shí)，得到處理過程的運(yùn)行時(shí)間如表2所示。

表2 不同處理過程的運(yùn)行時(shí)間

利用公式 W ( 能 量) = P ( 功 率) × T (時(shí) 間) 可計(jì)算出每種處理過程對(duì)應(yīng)的能耗。固定網(wǎng)絡(luò)中非重放數(shù)據(jù)分組的個(gè)數(shù)為10，改變重放數(shù)據(jù)分組的個(gè)數(shù)，結(jié)合表2中的數(shù)據(jù)，可得3種方案中節(jié)點(diǎn)的能耗對(duì)比如圖4所示。

圖4 本方案、RSA方案以及編碼方案的能耗對(duì)比

從圖4中可知，RSA方案的能耗遠(yuǎn)遠(yuǎn)高于其他2種方案，因此，在網(wǎng)絡(luò)遭遇重放攻擊時(shí)，相較于僅可抵御污染攻擊的 RSA方案，本方案能夠很好地節(jié)省節(jié)點(diǎn)能量，延長節(jié)點(diǎn)的生存時(shí)間。

圖5為排除RSA方案后，本方案與編碼方案的算法能耗對(duì)比。

圖5 本方案和編碼方案的能耗對(duì)比

由圖5可知，當(dāng)重放數(shù)據(jù)分組的個(gè)數(shù)較小時(shí)，相較本方案，編碼方案的能耗較小；隨著重放數(shù)據(jù)分組個(gè)數(shù)的增加，編碼方案能耗呈線性增長，而本方案的能耗基本不變。

由上述分析可知，相較于未引入安全機(jī)制的網(wǎng)絡(luò)編碼方案，本方案更能夠抵御惡意節(jié)點(diǎn)重放攻擊所帶來的能耗，可以更好地延長節(jié)點(diǎn)的生存時(shí)間。

7 結(jié)束語

本文的安全網(wǎng)絡(luò)編碼方案利用融合時(shí)間戳的同態(tài)簽名來抵御網(wǎng)絡(luò)中的污染攻擊和重放攻擊，為保證中繼節(jié)點(diǎn)能夠利用同態(tài)性質(zhì)對(duì)編碼后的消息生成新的簽名，需要以時(shí)間戳為源來生成網(wǎng)絡(luò)編碼的隨機(jī)系數(shù)。文中重點(diǎn)分析了本方案產(chǎn)生隨機(jī)系數(shù)的方式對(duì)網(wǎng)絡(luò)編碼解碼概率的影響，并建立攻擊模型證明方案可同時(shí)抵御污染攻擊和重放攻擊，性能分析表明該方案與基于 RSA的同態(tài)簽名方案開銷比值接近于 1，因此，網(wǎng)絡(luò)中各節(jié)點(diǎn)并不會(huì)因?yàn)樵黾恿藢?duì)時(shí)間戳的處理步驟而增長數(shù)據(jù)處理時(shí)間。

[1] AHLSWEDE R, CAI N, LI S. Network information flow[J]. IEEE Transactions on Information Flow, 2000, 46(4)∶1204-1216.

[2] 曹張華, 唐元生. 安全網(wǎng)絡(luò)編碼綜述[J]. 計(jì)算機(jī)應(yīng)用, 2010, 30(2)∶499-505.CAO Z H, TANG Y S. Survey on secure network coding[J]. Journal of Computer Application, 2010, 30(2)∶499-505.

[3] PERVAIZ M, CARDEI M, WU J. Routing security in ad hoc wireless networks[J]. Network Security, 2010, 117-142.

[4] HO T, LEONG B, KOETTER R. Byzantine modification detection in multicast networks using randomized network coding[A]. Proceedings of IEEE International Symposium on Information Theory(ISIT)[C].Massachusetts, USA, 2008. 2798-2803.

[5] GKANTSIDIS C, RODRIGUEZ P. Cooperative security for network coding file distribution[A]. Proceedings of International Conference on Computer Communications(INFOCOM)[C]. Barcelona, Spain, 2006.367-380.

[6] MENEZES A, OKAMOTO T, VANSTONE S. Reducing elliptic curve logorithms to logorithms in a finite field[J]. IEEE Transactions on Information Theory, 1993, 39(5)∶1639-1646.

[7] YU Z, WEI Y, RAMKUMAR B. An efficient signature-based scheme for securing network coding against pollution attacks[A]. Proceedings of International Conference on Computer Communications (INFOCOM)[C].Arizona, USA, 2008. 1409-1417.

[8] GENNARO R, KATZ J, KRAWCZYK H. Secure network coding over the integers[J]. Public Key Cryptography, 2010, 60(56)∶142-160.

[9] LIM S H, KIM Y H. Noisy network coding[J]. IEEE Transactions on Information Theory, 2011, 57(5)∶3132-3152.

[10] LIM S H, GERLA M, KRAWCZYK H. Performance evaluation of secure network coding using homomorphic signature[A]. Proceedings of International Symposium on Network Coding(NetCod)[C]. Beijing,China, 2011. 1-6.

[11] SUTAR S G, PATIL G A. Privacy management in cloud by making use of homomorphic functions[J]. International Journal of Computer Applications, 2012, 37(2)∶13-16.

[12] CAI N, SHI X, MEDARD M. Localized dimension growth in random network coding∶ a convolutional approach[A]. Proceedings of IEEE International Symposium on Information Theory(ISIT)[C]. St Petersburg, USA, 2011. 1156-1160.

[13] 劉鳳梅, 李世取, 黃曉英. 取值于有限域上的獨(dú)立隨機(jī)變量和的極限分布定理[J]. 河北工業(yè)大學(xué)學(xué)報(bào), 1999, 1(28)∶98-102.LIU F M, LI S Q, HUANG X Y. Limit distribution theorem for a sum of independent random variables whose values belong to a finite field[J].Journal of Hebei University of Technology, 1999, 1(28)∶98-102.