一种应用于无限区域的无线自组网的安全认证方法与流程

本发明涉及网络通信技术领域，更具体地说涉及一种应用于无限区域的无线自组网的安全认证方法，在无线空间内进行认证，防止恶意节点接入网络。

背景技术：

adhoc网络是由一系列移动结点组成，不依赖于任何已有的网络基础设施，是一种自组织的网络。无线adhoc网络是由一组自主的无线节点或终端相互合作而形成的,独立于固定的基础设施的并且采用分布式管理的网络,是一种自创造、自组织和自管理网络。与传统的蜂窝网络相比,无线adhoc网络没有基站,所有节点分布式运行,具有路由器的功能,负责发现和维护到其它节点的路由,向邻居节点发射或转发分组。这种网络既可以单独运行,又可以通过网关接入到有线骨干网络(如因特网)。移动自组织网络与普通网络相比，网络中的节点扮演者更多不同的角色。网络中的节点互相之间需要独立的通过基础资源匮乏的网络完成通信功能。

adhoc无线网络特点主要体现在以下几方面：

(1)网络拓扑结构动态变化。adhoc网络中没有固定的通信基础设施，网络节点的移动具有很大的随机性，网络拓扑结构会动态的产生变化。

(2)多跳通信。每个不能处在同一个覆盖网络内的网络节点受到可用资源的限制，可采用多跳通信，以实现不同覆盖网络之间的源主机与目的主机之间的通信。

(3)安全性较低。adhoc网络节点间通信通过无线信道，并且网络中每个节点在完成自身功能的同时还兼有路由功能，网络通信非常容易受到监听、重发、篡改、伪造等各种攻击。

在目前所提出的路由协议，如aodv、olsr中，安全问题是一个极大的待解决的问题。如果协议中没有安全性的考虑，任何一个恶意节点都能够对网络进行攻击，那么网络的机密性、可操作性、完整性、不可否认性等必要的功能都无法实现。

技术实现要素：

为了克服上述现有技术中存在的缺陷和不足，本申请提供了一种应用于无限区域的无线自组网的安全认证方法，本方法根据adhoc网络的无中心和路由实时变化等特点，提出了一种不设置固定的认证机构，而是将已经入网的adhoc节点均认作为可信节点，每一个节点都能够作为认证机构，完成对新加入节点的认证工作；本申请采用节点认证机制，能够有效保证每一个接入网络的节点都是安全节点，从而保证整个自组网区域的安全性，提高网络在缺少基础设施和路由实时变化的特点下的稳定性。

本方法针对adhoc网络具有缺少基础设施、路由变化迅速等特点，完成adhoc网络对新接入节点的安全认证任务，使得每一个接入网络的节点必须是给定安全空间中的点，并且能够防止在安全认证过程中出现通过重放攻击以获取有效认证信息的行为。通过对入网节点进行安全认证能够有效保证整个网络的安全性，从而保证网络的稳定性和网络信息的安全性。

为了解决上述现有技术中存在的问题，本申请是通过下述技术方案实现的：

一种应用于无线区域的无线自组网的安全认证方法，其特征在于：包括以下步骤：

安全值发送步骤，请求入网的节点a向安全域内最近的节点b广播自己的安全值，所述节点b捕获请求入网的节点a的安全值；所述安全域是指由已经接入无线自组网的节点所形成的安全域，所述安全域为无限大的区域；安全域内的节点共同确定一个认证空间；

ca节点选举步骤：由安全域内已经接入自组网的节点通过选举算法，选出一个ca节点，选举出的ca节点用于对安全域进行区域管理、请求入网节点安全认证和自组网区域内部网路信息同步；

安全认证步骤：节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点通过安全值函数判断请求入网的节点a是否属于合法安全空间内节点，若请求入网的节点a属于合法安全空间内的节点，则初步接纳请求入网的节点a为安全节点，并返回一个节点a的给定的随机安全值，ca节点根据返回的随机安全值再次计算安全值函数，确认请求入网的节点a的身份，并同步整个网络空间。

所述安全值发送步骤中，请求接入网络的节点a向安全域内距离节点a最近的节点b传递用于认证的安全值信息，作为被认证的依据；所述节点a广播的安全值具体是指，节点a产生的一个随机数，在安全序列中选择与该随机数对应的值，并将该随机数和选出的对应的值作为用于验证的安全值发送给距离节点a最邻近的安全域内的节点b。

所述ca节点选举步骤中，对请求入网的节点a进行安全认证之前，需要首先在安全域内选举出一个ca节点，所述ca节点的选举是由安全域内已经接入自组网的节点选举产生的，用于完成对请求入网的节点a的认证工作；ca节点的产生采用sefa或tora选举算法选举产生；ca节点实现对整个网络的管理和控制。

所述安全认证步骤中，在本步骤中，包括安全域内的节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点对请求入网的节点a进行初步安全认证，ca节点对请求入网的节点a进行安全认证确认，允许请求入网的节点a入网。

所述认证空间，是由已经接入无线区域的无线自组网所形成的安全区域内的节点，共同确定一个认证空间ω；所述的认证空间ω为无限空间；所述认证空间ω表示为ω＝{ωk,ωid}；其中，ωk表示合法安全空间，ωk＝{f(xn,ε),x,n,ε}，xn表示安全值，x为xn的序列，n为整数，ε为混淆参数，f(xn,ε)为安全值函数；ωid表示为身份空间，即id∈ωid；已经接入无线自组网内的节点均为合法节点，且合法节点已知ωk且拥有自己的id信息。上述用于安全认证的参数均已提前分配完成，即假定只要是属于该合法安全空间ωk的节点均已获悉这些安全参数。

本文将所述安全值函数f(xn,ε)表示为一个高次多项式。所述安全值函数所确定的空间为一个无限大的空间，用于节点的安全认证；也可选用任意确定无限大空间的曲线作为安全值函数。

所述安全认证步骤中，安全域内的节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，具体是指：安全域内的节点b收到请求入网的节点a发生的安全值，通过安全域内已经存在的路由，将该安全值信息转发给ca节点选举步骤中选举出的ca节点，进行初步安全认证。

所述安全认证步骤中，ca节点对请求入网的节点a进行初步安全认证，具体是指：

ca节点获取到安全域内的节点b转发的安全值信息后，ca节点提取出安全值信息中的安全值，判断其是否属于合法安全空间内的安全值序列，若该安全值属于合法安全空间内的安全值序列，则将该安全值代入到安全值函数中进行计算，判断是否属于合法安全空间，若其属于合法安全空间则初步判定请求入网的节点a属于该合法安全空间，否则拒绝请求入网的节点a的入网请求。

在本申请中，ca是certificantagent的缩写，ca节点是由自组网内部节点选举产生的用于认证、管理、同步入网节点信息的节点，用于认证试图加入网络的节点身份。

与现有技术相比，本申请所带来的有益的技术效果表现在：

1、本发明提出的应用于无限区域的无线自组网的安全认证方法，其安全值发送节点是由请求入网的节点向安全域内的节点发送安全值，但该安全值不具有重要的实际意义，即不存在物理意义,仅用作安全认证使用.安全域内的节点获取该安全值后转发至ca节点,ca在安全域内进行计算，保证初步认证阶段信息的安全性。不设置固定ca而采用选举的方式每次选择不同的ca是为了保证ca的安全性，因此本文采用由入网节点的临近节点进行安全值转发。

ca节点选举步骤中将在安全域内通过选举的方式产生一个ca节点。该节点主要用于对整个网络区域的信息进行管理，包括对试图加入网络的节点进行安全认证、认证完成后对入网节点的信息进行全网更新等任务。

安全认证阶段由安全域内距离请求入网的网络节点最近的节点将安全值转发给ca节点，ca节点进行初步认证及进一步认证。若通过认证则允许该节点入网，并向全网节点同步该节点信息，以防止重放攻击，保证入网前后整个自组网网络区域的安全性。

2、如现有的文献所述，传统的公钥加密方案需要完成密钥产生、加密和解密等算法的执行。本发明所提出的方法，ca节点用于认证节点身份，而不作加密解密的运算，能够有效提升整个网络的运作效率。与传统的认证方法不同的另一点在于：传统的认证机构大都是由一个固定的机构担任，而本发明方法中的ca节点可由已经加入自组网的任意节点通过选举产生，担任身份认证机构。

3、本发明的认证方法，在安全认证步骤中，有两次认证，第一次为初步认证，第二次为确保认证无误的步骤，能够有效防止自组网络外的重放攻击，保证该认证过程没有安全隐患，保证认证结果具有可信性。本方法根据认证结果来决定是否允许节点入网，即只有安全空间中的节点才能够进入网络内部，否则不能介入网络。通过这种方式来保障缺乏基础设置的自组网络内部的安全。

附图说明

图1为本发明系统结构示意图；

图2为本发明认证流程图。

具体实施方式

实施例1

作为本申请一较佳实施例，参照说明书附图1和2，本实施例公开了：

一种应用于无线区域的无线自组网的安全认证方法，包括以下步骤：

安全值发送步骤，请求入网的节点a向安全域内最近的节点b广播自己的安全值，所述节点b捕获请求入网的节点a的安全值；所述安全域是指由已经接入无线自组网的节点所形成的安全域，所述安全域为无限大的区域；安全域内的节点共同确定一个认证空间；

ca节点选举步骤：由安全域内已经接入自组网的节点通过选举算法，选出一个ca节点，选举出的ca节点用于对安全域进行区域管理、请求入网节点安全认证和自组网区域内部网路信息同步；

安全认证步骤：节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点通过安全值函数判断请求入网的节点a是否属于合法安全空间内节点，若请求入网的节点a属于合法安全空间内的节点，则初步接纳请求入网的节点a为安全节点，并返回一个节点a的给定的随机安全值，ca节点根据返回的随机安全值再次计算安全值函数，确认请求入网的节点a的身份，并同步整个网络空间。

实施例2

作为本申请又一较佳实施例，参照说明书附图1和2，本实施例公开了：

一种应用于无线区域的无线自组网的安全认证方法，包括以下步骤：

安全值发送步骤，请求接入网络的节点a向安全域内距离节点a最近的节点b传递用于认证的安全值信息，作为被认证的依据；所述节点a广播的安全值具体是指，节点a产生的一个随机数，在安全序列中选择与该随机数对应的值，并将该随机数和选出的对应的值作为用于验证的安全值发送给距离节点a最邻近的安全域内的节点b；

ca节点选举步骤：对请求入网的节点a进行安全认证之前，需要首先在安全域内选举出一个ca节点，所述ca节点的选举是由安全域内已经接入自组网的节点选举产生的，用于完成对请求入网的节点a的认证工作；ca节点的产生采用sefa或tora选举算法选举产生；ca节点实现对整个网络的管理和控制；

安全认证步骤：包括安全域内的节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点对请求入网的节点a进行初步安全认证，ca节点对请求入网的节点a进行安全认证确认，允许请求入网的节点a入网。

节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点通过安全值函数判断请求入网的节点a是否属于合法安全空间内节点，若请求入网的节点a属于合法安全空间内的节点，则初步接纳请求入网的节点a为安全节点，并返回一个节点a的给定的随机安全值，ca节点根据返回的随机安全值再次计算安全值函数，确认请求入网的节点a的身份，并同步整个网络空间。在本步骤中，包括安全域内的节点b将捕获的请求入网的节点a广播的安全值转发给ca节点，ca节点对请求入网的节点a进行初步安全认证，ca节点对请求入网的节点a进行安全认证确认，允许请求入网的节点a入网。

所述认证空间，是由无线区域的无线自组网所形成的安全区域内的节点，共同确定一个认证空间ω；所述的认证空间ω为无限空间；所述认证空间ω表示为ω＝{ωk,ωid}；其中，ωk表示合法安全空间，ωk＝{f(xn,ε),x,n,ε}，x为xn的序列，xn表示安全值，n为整数，ε为混淆参数，f(xn,ε)为安全值函数；ωid表示为身份空间，即id∈ωid；已经接入无线自组网内的节点均为合法节点，且合法节点已知ωk且拥有自己的id信息。上述用于安全认证的参数均已提前分配完成，即假定只要是属于该合法安全空间ωk的节点均已获悉这些安全参数。

所述安全值函数f(xn,ε)为一个高次多项式，安全值函数f(xn,ε)所确定的空间为一个无限大的空间，用于节点的安全认证，选用安全值函数f(xn,ε)时，需选用任意确定无限大空间的曲线作为安全值函数。

具体认证示例如下：

安全值发送步骤是请求入网的节点a向周围的临近节点b广播自己的一个安全值，如产生一个随机数i，在x中寻找到xi，将{xi,i}作为安全值广播，被安全域内的节点b捕获；

节点ca选举阶段即在自组网区域内部进行节点选举，选举出一个ca节点。在节点b获取{xi,i}后，通过自组网络中已经存在的路由将{xi,i}转发给ca节点，进行下一阶段的认证工作；

ca节点初步安全认证：ca获取安全值信息后，将通过如下步骤完成安全认证：

首先确认xi是否属于x序列。若xi∈x，计算f(xi,ε)。若f(xi,ε)∈ωk，则初步认为节点a提供的参数属于该合法安全空间ωk；否则拒绝a的入网请求；

计算x-{xi}，即从x列表中删除xi；

随机选取r使得xi+r∈x，执行x-{xi+r}；

将{r}发送给节点a；

ca完成x的同步操作，即在全网告知所有节点的安全序列与ca的安全序列保持一致；

节点a向ca发送fc(ida,rnew,f(xi+r,ε))；

ca从fc(ida,rnew,f(xi+r,ε))中提取f(xi+r,ε)值验证，若f(xi+r,ε)∈ωk，则表示节点a的确存在于该合法安全空间中。其中ida为节点a的身份信息，rnew为下一认证序列的序号；ca节点在全网做同步操作。