認知協作網絡中安全傳輸策略①

梅世紀,朱 峰,李 磊,魯興河,李澤宇,宋 愷

(中電萊斯信息系統有限公司,南京 210007)

隨著物聯網的發展,對網絡的傳輸效率與能耗要求越來越嚴格.只有滿足物聯網設備對傳輸速率、容量和延遲等要求,才能實現物聯網的普及[1,2].同時,針對各種各樣的物聯網設備部署,未來需要面臨高度密集的異構無線網絡問題[3],以及頻譜資源有限、利用率低的現狀,需要采用多種技術建立認知協作網絡.從而通過有效利用空閑頻譜資源,使更多的無線設備可以接入網絡.以及通過不同設備之間的協作,結合線性或非線性編碼方案的網絡編碼,也是實現增加吞吐量和滿足高彈性的關鍵因素[4].

未來網絡環境還將需要通過受信任或不受信任的物聯網設備構成的網絡進行信息傳輸.因此,移動運營商和用戶越來越關注無線網絡的安全性問題.網絡犯罪已成為互聯網發展中所面臨的嚴重阻礙,國家主管部門和電信利益相關者已大力投資研究預防措施.因此,為了在認知協作網絡中,開發出高效的安全網絡編碼解決方案,從而促進物聯網的發展.

基于網絡編碼的體系結構特別容易受到污染攻擊,因為網絡編碼需要將數據經過繼節點重新編碼,再分發給其他節點.在這個過程中,如果存在一個或多個惡意節點通過在網絡中注入虛假數據,就可以破壞數據傳輸.為了保證數據傳輸的有效性,必須具有足夠的安全措施以防止污染攻擊.

目前已有不少關于網絡編碼安全解決方案,文獻[5]提出了將任何線性網絡編碼轉換為監視網絡鏈接數量有限的竊聽者無法獲得有關所傳輸消息的任何信息的形式.文獻[6]中提出了可以抵抗拜占庭對手的分布式多項式時間率最優網絡編碼.此外,微軟還啟動了一個名為“Microsoft Secure Content Downloader”的網絡編碼文件打包應用程序[6].如先前在文獻[7]中提出的,網絡編碼還可用于通過減少網絡傳輸中的丟失和故障來提高系統整體健壯性,保護傳輸數據免受惡意用戶攻擊.但由于新技術的引入,使得物聯網不僅面臨較高的漏洞威脅,還面臨認知無線電數據篡改與網絡編碼的污染攻擊等安全問題.因此,如何保護物聯網免受各種威脅是一項艱巨的任務.

針對上述認知協作網絡的安全問題,本文提出一種基于區塊鏈的安全網絡編碼方案(BRNC)來防止污染攻擊.主要貢獻如下:

(1)本文提出一種基于區塊鏈的認知協作網絡身份認證,構建安全網絡編碼機制,使網絡避免污染攻擊,進而提高頻譜資源有效利用率與網絡傳輸效率,實現信息安全穩定的傳輸.

(2)采用RS 編碼,對數據中的傳輸錯誤進行糾錯,進一步提高數據傳輸的有效性與網絡傳輸效率.

(3)通過仿真實驗,與現有工作比較,驗證所提出的認知協作網絡中的安全網絡編碼方案的性能.

1 認知協作網絡中安全傳輸模型

如圖1所示,針對的是一個具有多個主、次用戶的認知協作中繼網絡.該網絡由一對主用戶對和n對次級用戶對組成.其中,主用戶對分別為發送端Tp和接收端Rp,次級用戶對分別為發送端Ts={Ts1,Ts2,Ts3,···,Tsn}和接收端Rs={Rs1,Rs2,Rs3,···,Rsn}.假設次級用戶由于發射功率較小,其接收端與發送端因信道衰落與間隔距離等因素,無法直接實現次級用戶間通信,需要通過主用戶進行中繼協作通信,并且主用戶可以實現同時收發信息.即在第1 階段中,當主用戶對之間進行數據交流時,也可以接收來自次級用戶所發送的信息.第2 階段中,當主用戶傳輸結束,存在空閑頻譜時,中繼節點將接收到的次級用戶信息進行處理,以及重新編碼發送給次級用戶接收端.

圖1 認知協作中繼網絡圖

在認知協作網絡中,假設中繼節點或者目的節點,即主用戶或者次級用戶接收端可能接收到污染數據.如圖2所示,次級用戶會遵循認知無線電的工作原理,不會對主用戶通信造成干擾,但可能會存在惡意節點污染網絡編碼數據,造成次級用戶接收端接收到無效數據.甚至無法獲取有效數據,從而導致服務質量與頻譜資源利用率下降.因此,為了實現數據的安全傳輸,需要滿足相應的安全需求,即中繼節點進行編碼的數據包是有效安全的.

圖2 存在惡意節點的認知協作中繼網絡

2 安全網絡編碼策略設計

2.1 安全方案概述

盡管隨機線性網絡編碼在帶寬,能耗以及丟包率方面具有巨大優勢,但在實際運用中,使用網絡編碼,需要解決其可能面臨的各種安全問題.尤其在基于網絡編碼實現的密集物聯網應用中,需要解決污染攻擊,否則會因污染攻擊導致嚴重的網絡性能下降和能量浪費.為此,需要采取合適的安全方案,以抵抗污染攻擊.現有研究提出了使用身份認證技術來防止污染攻擊的不同機制,比如:同態消息認證碼和簽名被認為是防止污染攻擊的合適解決方案.這樣的方案雖然在防止數據污染攻擊方面具有較高的安全性,但沒有考慮提高網絡傳輸性能.本文提出的基于區塊鏈的安全網絡編碼方案,通過引入區塊鏈,使用較少的密鑰數和簡單得多的密鑰分發系統來實現,實現加密與驗證每個數據包;同時,RS 糾錯碼可以提高網絡傳輸性能.如圖3和算法1 所示,將介紹基于區塊鏈的安全網絡編碼方案,可以分為以下3個階段:源節點生成基于區塊鏈驗證的帶轉發信息;中繼節點驗證信息標簽,生成基于網絡編碼與RS 編碼的信息;目的節點驗證、糾錯與解碼信息.

圖3 基于區塊鏈和RS的安全網絡編碼方案

(1)源節點添加標簽

由于發送數據的節點中可能存在惡意節點,所以對用戶通信范圍內的每個可信源節點分配密鑰.當這些節點需要發送信息時,利用密鑰生成標簽并附加到發送的信息上,然后將信息發送給中繼節點.

1)系統初始化

密鑰分發中心將一組U個密鑰的集合分發給網絡中的所有節點.這些密鑰用于在源節點創建標簽,并在中繼節點和目標節點處驗證標簽.因此,每個節點都必須保存此密鑰集K=[K1,K2,K3,···,KU],Ki∈FqL+1,即每個密鑰Ki將在具有L+1個符號的字段大小q的有限字段上定義.此外,每個源節點將具有其自己的私鑰,以對在源節點創建的標簽進行簽名.相應的公鑰可用于網絡中的所有其他節點,所有密鑰分發都可以在預處理階段脫機完成的.即密鑰分發中心發送信息為:

2)標簽生成

系統中有m個需要發送數據的源節點,即存在m個數據包P={P1,P2,P3,···,Pm},對于每個數據包Pi,源節點使用MAC(Pi,K)算 法生成S個標簽將數據,然后,將標簽添加到區塊鏈中.每個標簽是由以下公式創建:

3)數據添加標簽

每個次級用戶的發送端將生成的標簽Tagi添加到帶轉發的信息Pi,生成數據ci發送至中繼節點,其中ci可以表示為:

(2)中繼節點驗證、編碼

1)身份認證

當中繼節點接收到源節點的信息后,提取c?i中的標簽,利用接收到的密鑰集S P=K對標簽進行驗證,判斷是否為可信源節點發送的信息,以避免惡意節點的干擾,確保消息的真實性,獲取信息Pi.

算法1.基于區塊鏈的BRNC 算法c?i步驟1.從接收到的中檢索系數矩陣;步驟2.將從區塊鏈中獲取的標簽乘以相應的系數;Tag′i步驟3.將標記與接收到的數據 比較;if 標簽沒有匹配成功 then c?i是污染信息;else提取信息;if 當前節點是中繼節點 then將信息存放在緩存區;if中繼節點接收到m個數據包 then進行編碼;將編碼好的數據發送給目的節點;end else if 當前節點是目的節點 then if 當前數據存在錯誤 then通過RS 修復解碼;else直接解碼;end將信息存放在緩存區;if 接收到足夠的數據包 then解碼;else繼續等待接收數據;end end end

2)數據編碼

將所接收到的可信源節點的信息P={P1,P2,P3,···,Pm},采用隨機線性網絡編碼對信息進行疊加.首先,生成網絡編碼矢量為:

編碼數據分別可以表示為:

之后將編碼好的數據,通過公式生成的標簽Tag′i.把輸入數據視為向量Ci=(D1,D2,D3,···,DL),B為RS的編碼矩陣,編碼后的數據為Ci′=(D1,D2,D3,···,DL,D′1,D′2,D′3,···,D′L),其關系符合Ci′=B?Ci.將Tag′i添加到帶轉發的信息,生成數據c′i發送至目的節點.

(3)目的節點驗證、糾錯與解碼

1)信息驗證、糾錯

當目的節點接收到數據c?i后,利用標簽進行身份認證,若為可信信息,則將提取信息.若信息中存在誤碼,則通過RS 對信息進行糾錯,刪除錯誤的數據塊,以及對應位置的編碼矩陣B,得到保留的數據W和編碼矩陣B′,利用B′的可逆性,得到原始數據為Ci為:

將Ci存放在緩存區,目的節點繼續接收中繼節點發送的信息.

2)信息解碼

由于BRNC 采用了網絡編碼,提高網絡的組播性能,從而實現傳輸效率的提升.只要當目的節點獲取足夠的數據后,即可通過高斯消元進行解碼,得到所需數據P.

2.2 安全與性能分析

(1)安全分析

本文中的安全分析是描述如何實現針對數據污染攻擊的安全性.網絡中的易受攻擊點是中繼節點,其具有密鑰集K,接收到的數據包Pi,并且還能夠查看本節點消息的原始標簽.在數據污染攻擊中,惡意節點將嘗試破壞并傳遞消息.在本文的方案中,中繼節點進行網絡編碼之前,需要將接收數據包中標簽與區塊鏈中的標簽匹配,這樣就可以對數據包進行驗證,避免數據污染.通過區塊鏈進行多方協作安全身份認證機制可以滿足以下要求:

1)數據訪問控制

只有可信無線設備才能進入區塊鏈,查看相關信息,如果設備要進行申請授權的操作,則對操作進行數字簽名,最大限度的保護身份數據的安全.

2)數據隱私保護

為了防止攻擊者查看、篡改或偽造身份數據、賬戶數據或者授權信息,對數據和信息進行加密操作,將可用設備特征數據加密,在密碼學層面上保證了區塊鏈的高度隱私.

3)匿名化

為了避免惡意用戶通過統計分析等方式將身份信息和賬戶一一對應,對設備特征數據進行匿名化處理,使惡意用戶在無用戶私鑰時不可查.從而達到消除或混淆賬戶與用戶真實身份、授權信息和認證信息之間的實際聯系的目的.

(2)性能分析

本文采用差分相移鍵控(DPSK)調制方案,利用調制信號前后碼元之間載波相對相位的變化來傳遞信息,它不需要在接收端有相干參考信號,使接收機復雜度降低的優點.該方案下的誤碼率為:

其中,Eb為每比特能量,N0為噪聲功率譜密度,L為數據的長度.而集合間進行廣播是在主用戶信道被使用期間進行的,所以不需要考慮其傳輸時間,信道損失可以忽略.

在消息傳輸中,接收節點無法確定數據包錯誤位置時,RS 編碼設置L′個校正符號,可以糾正數據包內L′/2個錯誤.即成功傳輸的概率為:

3 仿真實驗及分析

3.1 實驗設計

在本節中,將評估本文所提出的模型與算法.該方案考慮的是在一個存在惡意用戶的認知協作網絡,并且主、次用戶接收端與發送端存在信道干擾和傳輸距離等問題.在該網絡中,次級用戶間需要通過中繼進行傳輸數據,主用戶作為中繼節點協作傳輸.假設在次級用戶通信范圍內,存在一個主用戶,其中多個次級用戶發送端通過中繼,將信息傳輸到更遠范圍的次級用戶接收端.在仿真實驗中,原始數據包長度L0=1200 bit,不同數據間空隙長度Ls=50 bit,因網絡編碼增加的數據包長度Lh=44 bit,帶寬B=15 kHz,次級用戶發送端數目m=4,次級用戶數目接收端n=8,一定時間內接入信道的主用戶數目λ=2.

3.2 結果分析

(1)不同編碼率下,SNR 對BRNC 傳輸性能的影響

如圖4所示,隨著無線傳輸信噪比的增加,認知無線電的虛警概率與無線傳輸誤碼率降低,使無線傳輸的成功到達率上升.與此同時,成功到達率在一定的范圍內隨著信噪比的增加迅速上升,而且BRNC 編碼率越低,成功到達率迅速上升的時期越早.但當信噪比增大到一定程度,對無線傳輸的成功到達率性能的影響逐漸減小,不同編碼率之間成功到達率差別越來越小,逐漸趨于一致.當網絡傳輸處于信噪比較低的通信環境中,若沒有BRNC 編碼進行糾錯,無線傳輸成功到達率較低,幾乎無法完成通信;而采用BRNC 方案編碼,仍然可以具有較高的成功到達率.

圖4 不同編碼率下,SNR 對糾錯性能的影響

(2)不同SNR 下,編碼率對BRNC 傳輸性能的影響

如圖5所示,在相同編碼率情況下,SNR 越高網絡吞吐量越大.因為SNR 越大,其傳輸速率越高,成功到達率越高,從而傳輸性能越好.從該圖還可以發現SNR一定的情況下,隨著編碼率的增加,傳輸性能先緩慢上升后逐漸下降.因為在編碼率較低的情況下,增加校驗信息對傳輸成功到達率的增益小于校驗信息所造成的冗余代價.當編碼率超過一定的范圍,校驗信息對傳輸成功到達率的增益大于校驗信息所造成的冗余代價.因此,針對不同的通信環境選擇合適編碼率才能發揮網絡傳輸性能.

(3)不同攻擊程度下,SNR 對傳輸性能的影響

如圖6,圖7所示,本文采用基于區塊鏈的安全網絡編碼方案(BRNC)與沒有安全措施的受攻擊概率(Attack Probability,AP)分別為0.3,0.5的網絡傳輸方案進行對比.在圖6中,可以發現隨著SNR的增加,每個方案的傳輸吞吐量都呈現出增長趨勢.與此同時,BRNC 始終優于沒有采用安全措施的方案,而且BRNC 隨著SNR的增長,性能會平穩的增加.因為其他方案由于受到惡意用戶攻擊,所以吞吐量網絡容量損失與性能波動.在圖7中,可以發現傳統方案在每個時隙傳輸性能波動性大,且受到的攻擊程度越大傳輸性能穩定性越差.而BRNC 可以避免惡意用戶的污染攻擊,從而保證數據的穩定傳輸.

圖5 不同SNR 下,編碼率對傳輸性能的影響

圖6 不同攻擊程度下,SNR 對傳輸性能的影響

圖7 不同攻擊程度下,網絡性能穩定情況

(4)不同方案下,SNR 對傳輸性能的影響

如圖8所示,本文采用基于區塊鏈的安全網絡編碼方案,分別與基于RS的網絡編碼方案(RNC)[8]、基于區塊鏈的安全傳輸方案(BNC)[9]和協作網絡編碼(HNC-II)[10]進行對比.可以發現隨著SNR的增加,傳輸速率與成功到達率也會逐漸增長,從而每個方案的吞吐量都會出現不同程度的增長.該圖還顯示了在SNR 較低的情況下,HNC-II與BNC 網絡吞吐量極低,BRNC與RNC 仍具有良好的傳輸性能.因為BRNC與RNC采用RS 碼進行編碼糾錯,所以接收端即使存在一定的誤碼仍可以進行糾錯完成傳輸.與此同時,BRNC與BNC 隨著SNR的增加,網絡傳輸性能平滑的上升,而HNC-II與RNC 波動性比較大,因為前者通過身份認證的安全措施,阻止了惡意用戶的攻擊,避免了傳輸性能的損失.此外,當SNR 低于10.5 dB 時,BRNC的傳輸性能最優.因為BRNC 不僅可以避免惡意用戶攻擊造成的性能損失,還可以通過RS 進行數據糾錯以減少數據重傳次數,達到提升傳輸性能的目的.而SNR 高于10.5 dB 時,BNC的傳輸性能優于BRNC.因為該情況下數據傳輸的誤碼率較低,這樣RS 造成的冗余信息傳輸代價大于編碼所獲取的增益,所以BRNC 傳輸性能劣于BNC.因此,本文的BRNC 方案可以滿足低SNR條件下的通信,可以有效阻止污染攻擊,保證數據安全穩定傳輸.

圖8 不同方案下,SNR 對傳輸性能的影響

4 總結

針對認知協作網絡,提出了一種基于區塊鏈的安全網絡編碼方案.首先,該方案通過區塊鏈分發密鑰,與對應次級用戶需要發送的信息生成身份認證標簽,在中繼節點和目的節點驗證相應標簽,避免污染攻擊.其次,在中繼節點采用RS 編碼,對接收到的次級用戶信息進行編碼發送.并且在次級用戶接收端對接收的信息進行驗證、糾錯,降低傳輸差錯引起的重傳次數,進而提高傳輸性能.經過仿真實驗表明,與傳統的傳輸方案相比,本方案不僅具有較好的抗污染能力,而且具有較好的傳輸性能,從而能夠充分發揮頻譜資源的性能,保證數據安全穩定傳輸.而物聯網設備隨機移動性和無線鏈路的不確定性,安全防護技術難應用;設備加入或退出網絡時,身份認證和密鑰更新困難;有限的資源決定了復雜的算法難以應用.在本文的安全傳輸策略中,結合區塊鏈安全、便捷的特點,進行身份認證,使無線設備可以識別惡意用戶的信息,避免數據污染,使物聯網設備可以快速、便捷、高效地安全部署.