专利名称:基于Ad-hoc的无线Mesh网络安全系统及方法
技术领域:
本发明涉及网络安全领域,更具体地说,涉及一种基于Ad-hoc的无线Mesh网络安全系统及方法。
背景技术:
Ad-hoc网络是一种特殊的无线移动网络,在该网络中,所有结点的地位平等,无需设置任何的中心控制结点。并且,该网络中的结点不仅具有普通移动终端所需的功能,而且具有报文转发能力。由于无线Ad Hoc网络具备组网迅速、结构灵活、传输速率大、可靠性强、成本低等突出的优点,适用于数字化、智能化及微型化的嵌入式系统,并逐步应用于工业控制和军事领域。AODV(Ad hoc on-demand distance vector routing)是一种源驱动路由协议。当一个节点需要给网络中的其他节点传送信息时,如果没有到达目标节点的路由,则必须先以多播的形式发出RREQ (路由请求)报文。RREQ报文中记录着发起节点和目标节点的网络层地址,邻近节点收到RREQ,首先判断目标节点是否为自己。如果是,则向发起节点发送RREP (路由回应);如果不是,则首先在路由表中查找是否有到达目标节点的路由,如果有,则向源节点单播RREP,否则继续转发RREQ进行查找。由于AODV协议的以上特点,其可用于Ad-hoc网络中,以实现Ad-hoc网络从“点到点”的网络,向“网状”的Mesh网络扩展。AODV协议实现了 Mesh网络内部各节点之间通信所依赖的路由的寻找,维护及更新过程,从实质上构建了无线Mesh网络。由于AODV协议是基于“互信网络”这一假设来构建无线Mesh网络的。具体而言,它假设网络各节点拥有独一无二的IP;网络各节点是“友善”的,没有恶意攻击者或蓄意伪装者;A0DV协议控制 报文不会被外部截获或篡改;等等。总的来说,AODV协议本身没有定义任何安全规范,AODV协议控制报文成为最易受到攻击的目标,从而影响无线Mesh网络的整体安全性。在实际网络中,下面三种AODV协议控制报文最易成为攻击目标(I)路由请求报文RREQ :容易被恶意攻击者伪装成合法的路由请求报文发送给网络,造成无线Mesh网络被外部作为无偿中转网络来使用;容易被恶意攻击者截获,这时攻击者可以选择性地篡改该RREQ并转发给网络的其它节点,或者伪造RREP直接返回给发送者,从而扰乱整个Mesh网络通信,或者导致应用数据被拦截。2.路由响应报文RREP :容易被恶意攻击者截获并篡改,给网络产生虚假路由信息,导致应用数据被拦截;恶意攻击者甚至可以随机地产生伪装的RREP在网络内部转发,从而造成网络瘫痪。3.路由错误报文RERR :容易被恶意攻击者截获并篡改,给网络产生虚假错误信息,从而扰乱整个Mesh网络通信;恶意攻击者甚至可以随机地产生伪装的RERR在网络内部转发,从而造成网络瘫痪。
发明内容
本发明要解决的技术问题在于,针对上述基于Ad-hoc的无线Mesh网络中安全性较差的问题,提供一种基于Ad-hoc的无线Mesh网络安全系统及方法。本发明解决上述技术问题的技术方案是,提供一种基于Ad-hoc的无线Mesh网络安全系统,所述基于Ad-hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,所述网络节点包括校验码创建单元、加密单元以及报文发送单元,其中所述校验码创建单元,用于根据控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文末尾的扩展字段;所述加密单元,用于将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段;所述报文发送单元,用于发送所述加密后的控制报文。在本发明所述的基于Ad-hoc的无线Mesh网络安全系统中,所述校验码创建单元通过CRC算法生成CRC校验码。在本发明所述的基于Ad-hoc的无线Mesh网络安全系统中,所述加密单元对控制报文的加密区段进行AES加密;所述控制报文的长度大于或等于一个报文类型字段加一个AES加密分组的长度。在本发明所述的基于Ad-hoc的无线Mesh网络安全系统中,所述网络节点还包括报文接收单元、AES解密单元以及CRC校验单元,其中所述报文接收单元,用于接收AODV协议的控制报文;所述AES解密单元,用于对接收的控制报文的加密区段进行AES解密;所述CRC校验单元,用于根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。在本发明所述的基于Ad-hoc的无线Mesh网络安全系统中,所述控制报文为路由请求报文、路由响应报文或路由错`误报文。本发明还提供一种基于Ad-hoc的无线Mesh网络安全方法,所述基于Ad_hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,其特征在于所述AODV协议的控制报文的末尾具有扩展字段,该方法包括以下步骤(a)网络节点根据所述控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文的扩展字段;(b)所述网络节点将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段;(c)所述网络节点发送所述加密后的控制报文。在本发明所述的基于Ad-hoc的无线Mesh网络安全方法中,所述步骤(a)中网络节点通过CRC算法生成CRC校验码。在本发明所述的基于Ad-hoc的无线Mesh网络安全方法中,所述步骤(b)中,网络节点对控制报文的加密区段进行AES加密;所述控制报文的长度大于或等于一个报文类型字段加一个AES加密分组的长度。在本发明所述的基于Ad-hoc的无线Mesh网络安全方法中,所述方法还包括(d)所述网络节点在接收到AODV协议的控制报文时,对该控制报文的加密区段进行AES解密;(e)所述网络节点根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。
在本发明所述的基于Ad-hoc的无线Mesh网络安全方法中,所述控制报文为路由请求报文、路由响应报文或路由错误报文。本发明的基于Ad-hoc的无线Mesh网络安全系统及方法,通过对AODV协议控制报文进行校验码校验及加密传输,确保控制报文不容易被伪装,截获不容易被破解,篡改后不容易被认证通过,从而保证整个无线Mesh网络的安全性,同时又不会导致网络性能变差。
图1是本发明基于Ad-hoc的无线Mesh网络安全系统实施例的示意图。图2是控制报文的示意图。图3是图1中网络节点的另一实施例的示意图。图4是本发明基于Ad-hoc的无线Mesh网络安全方法实施例的流程图。图5是本发明基于Ad-hoc的无线Mesh网络安全方法另一实施例的流程示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明针对基于Ad-hoc的无线Mesh网络中用于路由的高度安全敏感的AODV协议控制报文,引入了报文校验和加密,从而确保路由请求报文(RREQ)、路由响应报文(RREP)、路由错误报文(RERR)三种报文不容易被伪装、破解、篡改后不容易被认证通过,从而保证整个无线Mesh网络的安全。如图1所示,是本发明基于Ad-hoc的无线Mesh网络安全系统实施例的示意图,上述基于Ad-hoc的无线Mesh网络通过AODV协议实现网络节点间的路由。本实施例中的安全系统包括位于网络节点10包括校验码创建单元11、加密单元12以及报文发送单元13,上述校验码创建单元11、加密单元12以及报文发送单元13可集成到现有的网络节点10的硬件设备上,并通过相应的软件实现。当然,在实际应用中,也可通过在现有的网络节点上增加相应的硬件设备并结合软件实现。校验码创建单元11用于根据AODV协议控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到扩展字段(如图2所示)。上述控制报文中的类型字段和内容字段的数据由网络节点的其他部分生成(与现有网络节点类似),而扩展字段位于控制报文末尾,也是控制报文的一部分。具体地,校验码创建单元11将扩展字段之前的所有数据采用校验算法(例如CRC算法)计算获得校验码(例如CRC校验码)。并且上述扩展字段除了包括CRC校验码之外,还可包括pad字段等。加密单元12用于将控制报文的加密区段进行加密,上述加密区段不包括控制报文的报文类型字段。加密单元12可采用不同的加密算法,以适应不同的应用场合。特别地,加密单元12可采用AES加密算法对控制报文的加密区段进行AES加密。上述加密区段可以是控制报文中任意一个不包括报文类型字段的数据段(包括内容字段和扩展字段),且该数据段的长度等于一个AES加密分组的长度。相应地,此时所使用的控制报文的长度必须大于或等于一个报文类型字段加一个AES加密分组的长度(128位)。加密区段的位置可根据不同需要自行定义,例如从内容字段的起始位置开始固定长度的数据等。报文发送单元13用于发送加密后的控制报文。该报文发送单元13可采用广播方式向周围的网络节点发送控制报文。在网络节点接收到控制报文时,可做相反的处理。如图3所示,网络节点30包括报文接收单元31、AES解密单元32以及CRC校验单元32,上述报文接收单元31、AES解密单元32以及CRC校验单元32同样可集成到网络节点30并通过软件实现。报文接收单元31用于接收来自周边的网络节点的AODV协议的控制报文。AES解密单元32用于对接收的控制报文的加密区段进行AES解密。CRC校验单元33用于根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。校验正确的控制报文由网络节点进一步处理,例如响应或转发等;而校验错误的控制报文则直接丢弃。上述的控制报文可以为AODV协议中最容易成为攻击目标的路由请求报文、路由响应报文或路由错误报文。如图4所示,是本发明基于Ad-hoc的无线Mesh网络安全方法实施例的流程图,上述基于Ad-hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,并且所述AODV协议的控制报文的末尾具有扩展字段,该方法包括以下步骤步骤S41 :网络节点根据所述控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文的扩展字段。上述控制报文中的类型字段和内容字段的数据由网络节点根据具体的应用生成,而扩展字段则可包括校验码、pad字段等。
在该步骤中,网络节点可将扩展字段之前的所有数据采用校验算法(例如CRC算法)计算获得校验码(例如CRC校验码)。步骤S42 :网络节点将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段。该步骤中网络节点可对控制报文的加密区段采用AES算法进行AES加密。上述加密区段可以是控制报文中任意一个不包括报文类型字段的数据段(包括内容字段和扩展字段),且该数据段的长度等于一个AES加密分组的长度。相应地,此时所使用的控制报文的长度必须大于或等于一个报文类型字段加一个AES加密分组的长度(128位)。步骤S43 :网络节点将加密后的控制报文以广播方式发送出去。相应地,如图5所示,在接收到控制报文时,网络节点需采用如下步骤处理步骤S51 :网络节点对接收的控制报文的加密区段进行AES解密。步骤S52 :网络节点根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。CRC校验正确的控制报文由网络节点进一步处理,例如响应或转发等;而校验错误的控制报文则直接丢弃。上述的控制报文可以为路由请求报文、路由响应报文或路由错误报文。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种基于Ad-hoc的无线Mesh网络安全系统,所述基于Ad_hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,其特征在于所述网络节点包括校验码创建单元、力口密单元以及报文发送单元,其中所述校验码创建单元,用于根据控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文末尾的扩展字段;所述加密单元,用于将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段;所述报文发送单元,用于发送所述加密后的控制报文。
2.根据权利要求1所述的基于Ad-hoc的无线Mesh网络安全系统,其特征在于所述校验码创建单元通过CRC算法生成CRC校验码。
3.根据权利要求1所述的基于Ad-hoc的无线Mesh网络安全系统,其特征在于所述加密单元对控制报文的加密区段进行AES加密;所述控制报文的长度大于或等于一个报文类型字段加一个AES加密分组的长度。
4.根据权利要求3所述的基于Ad-hoc的无线Mesh网络安全系统,其特征在于所述网络节点还包括报文接收单元、AES解密单元以及CRC校验单元,其中所述报文接收单元,用于接收AODV协议的控制报文;所述AES解密单元,用于对接收的控制报文的加密区段进行AES解密;所述CRC校验单元,用于根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。
5.根据权利要求1-4中任一项所述的基于Ad-hoc的无线Mesh网络安全系统,其特征在于所述控制报文为路由请求报文、路由响应报文或路由错误报文。
6.一种基于Ad-hoc的无线Mesh网络安全方法,所述基于Ad_hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,其特征在于所述AODV协议的控制报文的末尾具有扩展字段,该方法包括以下步骤 (a)网络节点根据所述控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文的扩展字段; (b)所述网络节点将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段; (c)所述网络节点发送所述加密后的控制报文。
7.根据权利要求6所述的基于Ad-hoc的无线Mesh网络安全方法,其特征在于所述步骤(a)中网络节点通过CRC算法生成CRC校验码。
8.根据权利要求7所述的基于Ad-hoc的无线Mesh网络安全方法,其特征在于所述步骤(b)中,网络节点对控制报文的加密区段进行AES加密;所述控制报文的长度大于或等于一个报文类型字段加一个AES加密分组的长度。
9.根据权利要求8所述的基于Ad-hoc的无线Mesh网络安全方法,其特征在于所述方法还包括 (d)所述网络节点在接收到AODV协议的控制报文时,对该控制报文的加密区段进行AES解密; Ce)所述网络节点根据控制报文的扩展字段中的CRC校验码对该控制报文执行CRC校验。
10.根据权利要求6-9中任一项所述的基于Ad-hoc的无线Mesh网络安全方法,其特征在于所述控制报文为路由请求报文、路由响应报文或路由错误报文。
全文摘要
本发明提供了一种基于Ad-hoc的无线Mesh网络安全系统,所述基于Ad-hoc的无线Mesh网络通过AODV协议实现网络节点间的路由,所述网络节点包括校验码创建单元、加密单元以及报文发送单元,其中所述校验码创建单元,用于根据控制报文的报文类型字段和内容字段生成校验码并将该校验码加入到控制报文末尾的扩展字段;所述加密单元,用于将所述控制报文的加密区段进行加密,所述加密区段不包括控制报文的报文类型字段;所述报文发送单元,用于发送所述加密后的控制报文。本发明还提供一种对应的方法。本发明通过对AODV协议控制报文进行校验码校验及加密传输,可保证整个无线Mesh网络的安全性。
文档编号H04W84/18GK103037365SQ20121053552
公开日2013年4月10日 申请日期2012年12月12日 优先权日2012年12月12日
发明者丘锋伟, 范强国 申请人:深圳市汇川控制技术有限公司, 深圳市汇川技术股份有限公司, 苏州汇川技术有限公司