[发明专利]一种基于分组数据包匹配的安全组播源认证方法

说明书

技术领域

本发明属于网络通信技术领域，更为具体地讲，涉及一种基于分组数据包匹配的安全组播源认证方法，主要应用于组播流媒体，例如P2P流媒体网络、视频会议、网络语音广播等的源认证。 

背景技术

组播（多播）是应用于INTERNET网上的一种针对多点传输与接收的信息传播模式。组播能够有效地提高用户间的信息收发传输效率、准确性，用更小的带宽损耗传输更大的数据量，例如：在视频会议，股票实时信息发布等方面有着广泛的应用。 

组播当前主要包括两大问题：组密钥管理和组播源认证。组密钥管理主要是对参与组播各成员进行生成，分发及更新组密钥，对组播报文进行加密/解密、认证等操作，以满足组成员认证、保密与完整性等需求。而组播源认证是指数据接收者能够在接收到具体数据后辨别出组播发送方发送的数据，解决在组播成员通信中数据传输的发送源与安全问题，好的源认证协议需要满足实际组播通信环境中的各种条件限制。总的来讲，组播源认证主要有数据完整性、可认证性、不可否认性以及高效率认证的要求。 

与通过可伸缩编码提取技术对划分子流进行部分编码与解码的可伸缩流组播源认证相比，不可伸缩流组播源认证主要指用传统视频编码技术进行单层编码。虽然不可伸缩流编码方法具有极高编码效率，但却需要对其整体解码，增强其在接收端异构网络通信处理与提高占用边带带宽。 

对当前组播不可伸缩流源认证，基于数字签名的组播成员间相互通信方案是最主要的方法。在不同环境和用户条件下的组播源认证方案，我们主要考虑通信成本，计算成本，发送/接收延迟，验证比和抗丢包度，其定义主要如下： 

通信成本：即每个包传输需要额外增加的信息冗余。 

计算成本：即传输所有包整体需要计算的信息量总和。 

发送/接受延迟：发送端发送数据包需要缓冲的数据包数量，接收端需要验 证数据包需要缓冲的数据包数量。 

验证比：接收端接收到数据包后能够辨认的数据包辨别率。 

抗丢包度：能够容忍包丢失的最大数量，一般来讲是突发性丢包模式，即最大的连续丢包数量。 

对于基于数字签名的组播源认证方案，现主要分为单个包的一次性快速签名方案和将签名分摊于多个数据包的签名方案。而在签名分摊于多个数据包的方案中，当前主要有：将每个数据包依次计算哈希值并附在下一个数据包上的简单哈希链；将每个数据包相对应的兄弟节点数据包哈希值及签名附和在数据包上的MERKLE Tree Chain；基于对称消息认证码的时间延迟算法TESLA；在简单哈希链基础上，采用附着随机哈希数的EMSS和采用固定周期包传递方式的增强链；使用擦除编码将相邻数目数据包相互结合计算的SAIDA和_eSAIDA与基于图论的多组多包传递的蝴蝶图认证（Butterfly Graph）和捎带认证（Piggybacking）等组播源认证方法。 

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于分组数据包匹配的安全组播源认证方法，在保证验证比情况下有效降低基于Merkle树链组播源认证方法的损耗，即降低组播源认证过程中的通信成本和计算成本。 

为实现上述目的，本发明 

基于分组数据包匹配的安全组播源认证方法，其特征在于，包括以下步骤： 

（1）、根据传输数据流与实际服务器处理能力的需要，对待处理数据流分为16个数据包，并均匀划分为4个分组，编号为m₁，m₂，m₃，m₄；第i分组的第j个数据包定义为m_ij，例如第1分组的数据包定义为m₁₁，m₁₂，m₁₃，m₁₄； 

（2）、对数据包进行组内组间匹配，构建组播源认证的哈希树 

首先，将每分组的第1、2个数据包作为叶子节点，并进行哈希计算，得到数据包m_i1、m_i2的摘要值，表示为h_i1、h_i2，将每分组的第3、4个数据包作为叶子节点同时进行哈希计算，得到数据包m_i3、m_i4摘要值h_i3,i4；