一種無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無線Mesh網(wǎng)絡(luò)路由協(xié)議和安全規(guī)范技術(shù)領(lǐng)域�,尤其涉及一種基于802.1ls標(biāo)準(zhǔn)路由協(xié)議的無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法���。
【背景技術(shù)】
[0002]針對地形復(fù)雜�、環(huán)境惡劣環(huán)境��,如何安全高效的滿足大范圍的Internet網(wǎng)絡(luò)覆蓋,局域網(wǎng)內(nèi)大量生產(chǎn)數(shù)據(jù)的高帶寬傳輸以及移動設(shè)備定位和網(wǎng)絡(luò)接入是關(guān)乎通信質(zhì)量和相關(guān)應(yīng)用業(yè)務(wù)能否正常開展的重要問題����。傳統(tǒng)的有線網(wǎng)絡(luò)雖然傳輸帶寬較高,但是在復(fù)雜惡劣環(huán)境下部署和維護(hù)成本較高且覆蓋范圍有限�����。當(dāng)前的無線網(wǎng)絡(luò)接入方式以網(wǎng)橋技術(shù)為主�,對網(wǎng)絡(luò)規(guī)模、節(jié)點數(shù)量�、網(wǎng)絡(luò)的可擴(kuò)展性存在限制,無線Mesh(網(wǎng)格)自組織網(wǎng)絡(luò)則可以滿足需求�。
[0003]無線Mesh網(wǎng)絡(luò)(WMN)主要由Mesh路由器和Mesh終端組成,是一個動態(tài)的自組織����、自配置網(wǎng)絡(luò)。無線Mesh網(wǎng)絡(luò)具有無線網(wǎng)狀拓?fù)?���、自組織、多跳傳輸?shù)戎T多特性��。同時���,無線Mesh網(wǎng)絡(luò)也天生帶有一些安全上的缺陷�,目前802.1ls所規(guī)定的無線Mesh網(wǎng)絡(luò)的默認(rèn)路由協(xié)議是混合無線Mesh協(xié)議(HWMP),而HWMP易于受到多種路由攻擊����,例如蟲洞攻擊、路由中斷攻擊��、洪泛攻擊等����。惡意攻擊節(jié)點充當(dāng)網(wǎng)絡(luò)的中繼節(jié)點轉(zhuǎn)發(fā)其他節(jié)點的數(shù)據(jù),通過篡改路由幀中可變字段的內(nèi)容發(fā)動攻擊���。
[0004]無線Mesh網(wǎng)絡(luò)在傳輸介質(zhì)和組網(wǎng)形式方面的特性,使得無線Mesh網(wǎng)絡(luò)相對于有線網(wǎng)絡(luò)面臨的安全威脅更加嚴(yán)重�,然而現(xiàn)有的802.1ls無線Mesh自組織網(wǎng)絡(luò)協(xié)議僅對網(wǎng)絡(luò)mac層安全認(rèn)證做出了規(guī)定,而未對網(wǎng)絡(luò)路由安全方面提出專門的解決方案�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問題是提供一種兼容802.1ls原有安全機(jī)制的同時,針對無線Mesh網(wǎng)絡(luò)特性所做的擴(kuò)展路由幀進(jìn)行路由安全保護(hù)的方法�。
[0006]為解決上述技術(shù)問題,本發(fā)明提供了一種無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法���,所述方法包括以下步驟:
[0007]路由請求幀中設(shè)置請求認(rèn)證碼字段��,對所述請求認(rèn)證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進(jìn)行加密�����,并將所述路由請求幀發(fā)射到無線Mesh網(wǎng)路中���;所述路由請求幀通過兩跳認(rèn)證的方式進(jìn)行傳遞�����,直到所述路由請求幀到達(dá)目的節(jié)點或到達(dá)符合條件的中繼節(jié)點�;
[0008]目的節(jié)點收到所述路由請求幀后��,發(fā)送路由應(yīng)答幀給所述源節(jié)點�;所述路由應(yīng)答幀設(shè)置應(yīng)答認(rèn)證碼字段,所述應(yīng)答認(rèn)證碼字段利用瞬態(tài)密匙加密方式以及進(jìn)行以及一跳密鑰加密的方式進(jìn)行加密����,并通過所述兩跳認(rèn)證的方式進(jìn)行傳遞;
[0009]符合條件的中繼節(jié)點收到所述路由請求幀后�,發(fā)送所述路由應(yīng)答幀給所述源節(jié)點;同時所述中繼節(jié)點發(fā)送所述路由應(yīng)答幀給其下一跳節(jié)點����,所述下一跳節(jié)點驗證所述中繼節(jié)點的路由路徑有效后回復(fù)所述路由應(yīng)答幀�;
[0010]所述無線Mesh網(wǎng)絡(luò)中路由路徑錯誤時�,相應(yīng)節(jié)點發(fā)送路由路徑錯誤信息幀給其前驅(qū)節(jié)點,所述路由路徑錯誤信息幀設(shè)置路徑錯誤認(rèn)證碼字段���,所述設(shè)置路徑錯誤認(rèn)證碼字段利用瞬態(tài)密匙進(jìn)行加密方式一跳密鑰加密的方式進(jìn)行加密�����,并通過所述兩跳認(rèn)證的方式進(jìn)行傳遞��。
[0011]優(yōu)選地����,所述方法中��,源節(jié)點發(fā)射網(wǎng)關(guān)聲明幀到所述無線Mesh網(wǎng)絡(luò)中�;所述網(wǎng)關(guān)聲明幀設(shè)置網(wǎng)關(guān)聲明認(rèn)證碼字段�,對所述網(wǎng)關(guān)聲明認(rèn)證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進(jìn)行加密,并將所述網(wǎng)關(guān)聲明幀發(fā)射到無線Mesh網(wǎng)路中�����;所述網(wǎng)關(guān)聲明幀通過兩跳認(rèn)證的方式進(jìn)行傳遞���。
[0012]優(yōu)選地�,所述無線Mesh網(wǎng)絡(luò)中的根節(jié)點發(fā)送并根聲明幀;所述根聲明幀設(shè)置根聲明認(rèn)證碼字段����,對所述根聲明認(rèn)證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進(jìn)行加密,并將所述根聲明幀發(fā)射到無線Mesh網(wǎng)路中���;所述根聲明幀通過兩跳認(rèn)證的方式進(jìn)行傳遞�����。
[0013]優(yōu)選地���,所述請求認(rèn)證碼字段、應(yīng)答認(rèn)證碼字段����、路徑錯誤認(rèn)證碼字段、網(wǎng)關(guān)聲明認(rèn)證碼字段以及根聲明認(rèn)證碼字段均通過方法得到:
[0014]對到達(dá)當(dāng)前節(jié)點的跳數(shù)字段�����、對應(yīng)的當(dāng)前跳數(shù)哈希值字段�����、對應(yīng)的最大跳數(shù)字段、對應(yīng)的頂級哈希值字段���、對應(yīng)的當(dāng)前節(jié)點的前驅(qū)節(jié)點度量值字段以及從源節(jié)點到當(dāng)前節(jié)點的整條鏈路的度量值字段進(jìn)行加密�����,之后進(jìn)行哈希運算得到的認(rèn)證碼���。
[0015]優(yōu)選地,所述當(dāng)前跳數(shù)哈希值以及頂級哈希值是對一個隨機(jī)數(shù)的哈希���,所述隨機(jī)數(shù)由對應(yīng)的節(jié)點隨機(jī)生成���。
[0016]優(yōu)選地,所述路由請求幀�、路由應(yīng)答幀、路由路徑錯誤信息幀�、網(wǎng)關(guān)聲明幀以及根聲明幀均包括簽名字段����,所述簽名字段為對應(yīng)幀中的不變字段使用簽名機(jī)制進(jìn)行簽名得到����。
[0017]優(yōu)選地���,所述簽名機(jī)制采用基于ID的在線/離線簽名方案進(jìn)行簽名�����。
[0018]優(yōu)選地����,所述路由請求幀的所述兩跳認(rèn)證的方式具體為:
[0019]所述源節(jié)點的一跳鄰居接收所述路由請求幀��,利用所述一跳密鑰解密所述路由請求幀����,并在所述路由請求幀中增加所述一跳鄰居的請求認(rèn)證碼字段,形成新的路由請求幀�,所述源節(jié)點的二跳鄰居接收所述一跳鄰居發(fā)射的新的所述路由請求幀,利用所述源節(jié)點的廣播密鑰解密所述一跳鄰居發(fā)送的所述路由請求幀的請求認(rèn)證碼字段�����,進(jìn)行所述一跳鄰居是否篡改的驗證,若進(jìn)行了篡改���,則結(jié)束傳遞�,否則在所述二跳鄰居接收的所述路由請求幀中增加所述二跳鄰居的請求認(rèn)證碼字段����,形成新的路由請求幀;
[0020]將所述源節(jié)點的四跳鄰居以及大于四跳鄰居的節(jié)點稱為傳遞節(jié)點��,利用所述傳遞節(jié)點的第二前驅(qū)節(jié)點廣播密鑰解密所述傳遞節(jié)點的第一前驅(qū)節(jié)點發(fā)送的所述路由請求幀的請求認(rèn)證碼字段���,進(jìn)行所述傳遞節(jié)點的第一前驅(qū)節(jié)點是否篡改的驗證��,若進(jìn)行了篡改����,則結(jié)束傳遞���,否則在所述傳遞節(jié)點接收的所述路由請求幀中增加所述傳遞節(jié)點的請求認(rèn)證碼字段�,形成新的路由請求幀
[0021]本發(fā)明的上述技術(shù)方案具有如下優(yōu)點:本發(fā)明提供的無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法工作在802.1ls路由協(xié)議和mac層安全機(jī)制的中間層�����,為上層的路由協(xié)議提供安全保護(hù)且對下層透明,完全兼容802.1ls原有安全機(jī)制����,同時提供針對無線Mesh網(wǎng)絡(luò)特性所做的擴(kuò)展路由幀路由安全保護(hù)�����,不需要對802.1ls標(biāo)準(zhǔn)做任何修改�����,彌補(bǔ)了 802.1ls標(biāo)準(zhǔn)在路由安全方面的不足�����,能夠達(dá)到較強(qiáng)的安全性要求�����,有效的抵御路徑轉(zhuǎn)移攻擊�����、偽裝攻擊�、洪泛攻擊、被動攻擊以及重放攻擊等,并且易于在現(xiàn)有的無線Mesh網(wǎng)絡(luò)系統(tǒng)中進(jìn)行部署�����,不需要額外的設(shè)施或設(shè)備��;發(fā)明提供的無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法適用于車載網(wǎng)絡(luò)��、大范圍視頻監(jiān)控網(wǎng)絡(luò)��、傳感網(wǎng)�、骨干網(wǎng)等無線傳輸通信網(wǎng)絡(luò),并為上述相關(guān)網(wǎng)絡(luò)提供路由安全保護(hù)����。
【附圖說明】
[0022]圖1是本發(fā)明實施例提供的基于ID的在線/離線身份認(rèn)證方案初始化和認(rèn)證步驟流程圖;
[0023]圖2是本發(fā)明實施例提供的兩個節(jié)點之間回復(fù)請求的認(rèn)證與交互示意圖�;
[0024]圖3是本發(fā)明實施例提供的目的節(jié)點回復(fù)請求的認(rèn)證與交互示意圖;
[0025]圖4是本發(fā)明實施例提供的母的節(jié)點回復(fù)請求的認(rèn)證與交互示意圖����;
[0026]圖5是本發(fā)明實施例提供的兩個節(jié)點之間回復(fù)應(yīng)答的認(rèn)證與交互示意圖;
[0027]圖6是本發(fā)明實施例提供的路由請求幀的路由幀擴(kuò)展示意圖���;
[0028]圖7是本發(fā)明實施例提供的路由應(yīng)答幀的路由幀擴(kuò)展不意圖���;
[0029]圖8是本發(fā)明實施例提供的路由路徑錯誤信息幀的路由幀擴(kuò)展示意圖���;
[0030]圖9是本發(fā)明實施例提供的根聲明幀的路由幀擴(kuò)展示意圖;
[0031]圖10是本發(fā)明實施例提供的網(wǎng)關(guān)聲明幀GANN的路由幀擴(kuò)展不意圖���;
[0032]圖11是本發(fā)明的一種無線Mesh網(wǎng)絡(luò)路由安全保護(hù)方法流程圖。