核電廠的網(wǎng)絡(luò)安全關(guān)乎核安全。在核電安全中,為了擺脫傳統(tǒng)IP網(wǎng)絡(luò)的限制,開始使用命名數(shù)據(jù)網(wǎng)絡(luò)（NDN）。由于NDN的純文本語義內(nèi)容名稱和網(wǎng)內(nèi)緩存的普遍存在,使得其安全保護成為一個關(guān)鍵問題。結(jié)合核電企業(yè)自身網(wǎng)絡(luò)架構(gòu)特點,提出了面向NDN的混合加密安全保護方案,以保證內(nèi)容提供者的合法性。使用混合加密算法對內(nèi)容名和數(shù)據(jù)進行加密;其中的控制器利用其集中控制能力來進行邊緣路由器身份驗證、加密密鑰分發(fā)和管理。只允許邊緣路由器驗證來自合法內(nèi)容提供商的內(nèi)容,并預(yù)防來自攻擊者的網(wǎng)絡(luò)攻擊。理論分析和實驗結(jié)果表明,該方案對核電安全保護是行之有效的。 

【文章來源】：廣東通信技術(shù). 2020,40(04)

【文章頁數(shù)】：8 頁

【部分圖文】：

NDN網(wǎng)絡(luò)沙漏模型

53新技術(shù)·新業(yè)務(wù)2020.04·廣東通信技術(shù)命名數(shù)據(jù)網(wǎng)絡(luò)混合加密方法在核電安全的應(yīng)用研究加密內(nèi)容數(shù)據(jù)的散列。內(nèi)容提供程序流程描述如圖6所示。圖6內(nèi)容提供者啟發(fā)式處理流程3.4數(shù)據(jù)包的處理流程數(shù)據(jù)包的響應(yīng)處理如圖7中所描述。啟用了緩存的中間路由器沿用原始的NDN數(shù)據(jù)處理。只需要在其PIT項中搜索加密的內(nèi)容名稱，并決定是通過興趣包的反向路徑?jīng)Q定是否轉(zhuǎn)發(fā)和緩存這段數(shù)據(jù)，還是丟棄它。邊緣路由器負責驗證內(nèi)容數(shù)據(jù)是否來自合法的。數(shù)據(jù)的哈希值將由Kpri加密，加密后的密文CHashpri將封裝在數(shù)據(jù)包的MetaInfo字段中。圖7數(shù)據(jù)包響應(yīng)流程4安全保護性能分析在本節(jié)中，我們將討論HyEncNDN原型的安全保護性能。定理1惡意路由器無法攔截和捕獲確切的內(nèi)容名稱。證明：為了遵守原始的NDN轉(zhuǎn)發(fā)策略，內(nèi)容名稱的前綴保留為明文。但是，確切的名稱是用AES-128加密的。惡意路由器可能猜測存在通過鏈路的數(shù)據(jù)傳輸，而二進制密文沒有明確的字面意義。對手可能已經(jīng)獲得關(guān)于請求內(nèi)容的一些輔助信息，例如內(nèi)容流行度。Zipf函數(shù)用于建模流行分布[23]，并且第k個最流行對象的概率定義如下：公式1其中，α（α>0）是模型的偏態(tài)因子，它決定了隨著排名的增加，流行度衰減的速度，而q（q>0）被稱為平臺因子。攻擊者攔截路由器和內(nèi)容提供商之間傳輸?shù)南�。由公式�?）可以得出，它截獲的加密數(shù)據(jù)包越多，就越有可能利用當前流行的內(nèi)容。為了避免沖突，AES-128和RSA-1024密鑰由控制器根據(jù)可疑請求的通信量重新生成和調(diào)度。此后，網(wǎng)絡(luò)中存在的所有路由器的緩存的數(shù)據(jù)都變得過時而被清空。證畢。定理2未經(jīng)授權(quán)的節(jié)點不能用損壞或虛假的內(nèi)容欺騙邊緣路由器。證明：未經(jīng)授權(quán)的節(jié)點可以攔截興趣包。但是，?

53新技術(shù)·新業(yè)務(wù)2020.04·廣東通信技術(shù)命名數(shù)據(jù)網(wǎng)絡(luò)混合加密方法在核電安全的應(yīng)用研究加密內(nèi)容數(shù)據(jù)的散列。內(nèi)容提供程序流程描述如圖6所示。圖6內(nèi)容提供者啟發(fā)式處理流程3.4數(shù)據(jù)包的處理流程數(shù)據(jù)包的響應(yīng)處理如圖7中所描述。啟用了緩存的中間路由器沿用原始的NDN數(shù)據(jù)處理。只需要在其PIT項中搜索加密的內(nèi)容名稱，并決定是通過興趣包的反向路徑?jīng)Q定是否轉(zhuǎn)發(fā)和緩存這段數(shù)據(jù)，還是丟棄它。邊緣路由器負責驗證內(nèi)容數(shù)據(jù)是否來自合法的。數(shù)據(jù)的哈希值將由Kpri加密，加密后的密文CHashpri將封裝在數(shù)據(jù)包的MetaInfo字段中。圖7數(shù)據(jù)包響應(yīng)流程4安全保護性能分析在本節(jié)中，我們將討論HyEncNDN原型的安全保護性能。定理1惡意路由器無法攔截和捕獲確切的內(nèi)容名稱。證明：為了遵守原始的NDN轉(zhuǎn)發(fā)策略，內(nèi)容名稱的前綴保留為明文。但是，確切的名稱是用AES-128加密的。惡意路由器可能猜測存在通過鏈路的數(shù)據(jù)傳輸，而二進制密文沒有明確的字面意義。對手可能已經(jīng)獲得關(guān)于請求內(nèi)容的一些輔助信息，例如內(nèi)容流行度。Zipf函數(shù)用于建模流行分布[23]，并且第k個最流行對象的概率定義如下：公式1其中，α（α>0）是模型的偏態(tài)因子，它決定了隨著排名的增加，流行度衰減的速度，而q（q>0）被稱為平臺因子。攻擊者攔截路由器和內(nèi)容提供商之間傳輸?shù)南�。由公式�?）可以得出，它截獲的加密數(shù)據(jù)包越多，就越有可能利用當前流行的內(nèi)容。為了避免沖突，AES-128和RSA-1024密鑰由控制器根據(jù)可疑請求的通信量重新生成和調(diào)度。此后，網(wǎng)絡(luò)中存在的所有路由器的緩存的數(shù)據(jù)都變得過時而被清空。證畢。定理2未經(jīng)授權(quán)的節(jié)點不能用損壞或虛假的內(nèi)容欺騙邊緣路由器。證明：未經(jīng)授權(quán)的節(jié)點可以攔截興趣包。但是，?


本文編號：3490544