[发明专利]一种基于分组数据包匹配的安全组播源认证方法

摘要

本发明针对基本Merkle哈希树源认证方式过大通信成本缺点设计了一种基于分组数据包匹配的安全组播源认证方法。通过划分数据包为四分组，进行组内数据包附着哈希值即摘要值以及设置位包的方法，本发明可以有效降低基于树链源认证方法的通信成本、计算成本，保证验证比无太大降低。本发明尽管会在接收端产生相应变化的认证延迟，但可以采用多线程多数据包同时按有序方式进行发送与认证。总体来讲，在收发端信道满足相应实际环境与服务器配置情况下，本发明有着不错抗丢包鲁棒性和极低通信成本。

主权项

一种基于分组数据包匹配的安全组播源认证方法，其特征在于，包括以下步骤：(1)、根据传输数据流与实际服务器处理能力的需要，对待处理数据流分为16个数据包，并均匀划分为4个分组，编号为m1，m2，m3，m4；第i分组的第j个数据包定义为mij；(2)、对数据包进行组内组间匹配，构建组播源认证的哈希树首先，将每分组的第1、2个数据包作为叶子节点，并进行哈希计算，得到数据包mi1、mi2的摘要值，表示为hi1、hi2，将每分组的第3、4个数据包作为叶子节点同时进行哈希计算，得到数据包mi3、mi4摘要值hi3,i4；对整个分组进行组内哈希计算得到整个组的哈希值即联合摘要值Hmi，将联合摘要值Hm2～Hm4作为叶子节点进行哈希计算，得到联合摘要值H5，将第1个分组的联合摘要值Hm1与联合摘要值H5进行哈希计算，得到根签名Ssig；然后，将第1分组和第4分组的第一个数据包即数据包m11、数据包m41设为位包，并对每个分组的数据包进行附着哈希值的加密操作：对第1分组中作为位包的数据包m11附着摘要值h12,h13,14,联合摘要值H5和根签名Ssig，对数据包m12附着摘要值h11,h13,14，对数据包m13，m14均附着摘要值h11、h12；对于第2分组中数据包m21附着摘要值h22,h23,24，H3,4和联合摘要值Hm1，对数据包m22附着h21,h23,24，对数据包m23，m24均附着摘要值h21，h22，其中，H3,4为对第3、4分组数据包同时进行哈希运算得到的摘要值；对于第3分组中数据包m31附着摘要值h32,h33,34，H2,4和联合摘要值Hm1，对数据包m32附着h31,h33,34，对数据包m33，m34均附着摘要值h31，h32，其中，H2,4为对第2、4分组数据包同时进行哈希运算得到的摘要值；对第4分组中作为位包的数据包m41附着摘要值h42,摘要值h43,44,H2，3以及联合摘要值Hm1和根签名Ssig，对数据包m42附着摘要值h41,h43,44，对数据包m43，m44均附着摘要值h41，h42，H2,3为对第2、3分组数据包同时进行哈希运算得到的摘要值；(3)、组播源认证3.1)、在发送端先发送数据包m41，根据附着的根签名Ssig、联合摘要值Hm1可以计算出联合摘要值H5，再根据附着的摘要值H2，3可以得到该分组联合摘要值Hm4，最后，结合附着摘要值h42、摘要值h43,44计算得到摘要值h41；对接收的数据包m41进行哈希计算，得到摘要值h*41，如果摘要值h41与摘要值h*41相同，则数据包m41安全组播源发送的，否则，不是；3.2)、对于数据包m42在步骤3.1)得到联合摘要值Hm4的基础上，结合摘要值h41,h43,44计算得到摘要值h42；对接收的数据包m42进行哈希计算，得到摘要值h*42，如果摘要值h42与摘要值h*42相同，则数据包m42安全组播源发送的，否则，不是；3.3)、对于数据包m43，m44在步骤3.1)得到联合摘要值Hm4的基础上，结合附着摘要值h41，h42计算得到摘要值h43,44；对接收的数据包m43，m44同时进行哈希计算，得到摘要值h*43,44，如果摘要值h43,44与摘要值h*43,44相同，则数据包m43，m44安全组播源发送的，否则，不是；3.4)、对于数据包m21，根据数据包即位包中的根签名Ssig以及附着的联合摘要值Hm1计算出联合摘要值H5，再结合摘要值H3,4得到联合摘要值Hm2，最后结合附着摘要值h22,h23,24计算得到摘要值h21；对接收的数据包m21进行哈希计算，得到摘要值h*21，如果摘要值h21与摘要值h*21相同，则数据包m21安全组播源发送的，否则，不是；3.5)、对于数据包m22在步骤3.4)得到联合摘要值Hm2的基础上，结合摘要值h21,h23,24计算得到摘要值h22；对接收的数据包m22进行哈希计算，得到摘要值h*22，如果摘要值h22与摘要值h*22相同，则数据包m22安全组播源发送的，否则，不是；3.6)、对于数据包m23，m24在步骤3.4)得到联合摘要值Hm2的基础上，结合附着摘要值h21，h22计算得到摘要值h23,24；对接收的数据包m23，m24同时进行哈希计算，得到摘要值h*23,24，如果摘要值h23,24与摘要值h*23,24相同，则数据包m23，m24安全组播源发送的，否则，不是；3.7)、对于数据包m31～m34其认证过程与步骤3.4)～3.6)相同；3.8)、对于数据包m11，根据附着的根签名Ssig、联合摘要值H5计算出联合摘要值Hm1，结合附着摘要值h12,h13,14,计算得到摘要值h11；对接收的数据包m11进行哈希计算，得到摘要值h*11，如果摘要值h11与摘要值h*11相同，则数据包m11安全组播源发送的，否则，不是；3.9)、对于数据包m12在步骤3.8)得到联合摘要值Hm1的基础上，结合附着摘要值h11,h13,14计算得到摘要值h22；对接收的数据包m12进行哈希计算，得到摘要值h*12，如果摘要值h12与摘要值h*12相同，则数据包m12安全组播源发送的，否则，不是；3.10)、对于数据包m13，m14在步骤3.8)得到联合摘要值Hm1的基础上，结合附着摘要值h11，h12计算得到摘要值h13,14；对接收的数据包m13，m14同时进行哈希计算，得到摘要值h*13,14，如果摘要值h13,14与摘要值h*13,14相同，则数据包m13，m14安全组播源发送的，否则，不是。