适用于高动态自组织网络的分布式安全加密机制的制作方法

本发明涉及移动自组织网络技术领域，具体涉及一种适用于高动态自组织网络的分布式安全加密机制。

背景技术：

随着信息技术的不断发展，人们对移动通信的需求越来越强。在这一背景下，移动自组织网络应运而生。由于移动自组织网络的节点可以任意移动，网络拓扑结构高度变化，不需要固定的网络基础设施，因此一般具有较强的抗毁性、自组织性和机动性。凭借其灵活的组网方式，移动自组织网络被认为是一种有着良好应用前景的网络技术，尤其是在安全性要求高的领域具有重要应用价值。

移动自组织网络节点移动灵活，无可靠中心设施。这是无线自组织网络的优点，使网络的组网方式更为灵活；但与此同时，这些特点背后潜伏着严重的安全隐患。移动自组织网络的通信依靠无线信道，攻击者可以轻易对网络进行监听；节点脆弱，单一节点的安全性较差，易被敌方破解；无固定网络基础设施，难以部署一些成熟的安全技术。

鉴于以上原因，移动自组织网络的安全问题是一个亟待解决的难题，人们迫切需要适用于移动自组织网络的安全加密方法。现有的自组织网络加密方案或采用单一的ca节点，该节点被俘获可导致整个系统失效，系统安全性难以保障；或采用分布式ca认证而无法有效对ca节点进行定位，造成大量的加密开销。

技术实现要素：

本发明的发明目的就是针对移动自组织网络的特点，提出一种适用于高动态自组织网络的分布式安全加密机制。本方案中，网络中的节点凭借邻居节点数及剩余电量竞争簇首节点，形成分簇，簇首节点担任ca节点；采用基于拉格朗日插值的门限秘密共享机制，将密钥分配给多个ca节点保管；节点请求证书签名时需联合多个ca，簇首通过局部泛洪的ca节点定位算法，定位到足够数量的ca为节点服务；证书签名及信息加密采用椭圆加密算法。

本发明的发明目的通过以下技术方案实现：

一种适用于高动态自组织网络的分布式安全加密机制，包含以下步骤：

步骤一：节点凭借邻居节点数及剩余电量竞争簇首节点，网络形成分簇，簇首节点担任ca节点；

步骤二：由管理节点产生系统公/私钥对，根据ca节点的id产生密钥分量，并将系统公钥及密钥分量分发给各个簇首节点，分发完成后管理节点退网；

步骤三：各节点通过ca节点定位机制定位t个簇首节点，请求t个簇首节点为自身证书签名；

步骤四：节点i在与节点j进行通信前，先向本簇的簇首节点请求节点j的证书，若簇首节点不存在j的证书，则簇首节点向j的簇首节点请求j的证书，并转发给节点i；

步骤五：节点i验证节点j的证书有效后向节点j发送自己的证书，节点j验证有效后回复确认；

步骤六：节点i、节点j利用对方的公钥加密信息，进行加密通信。

本发明采用基于拉格朗日插值的门限秘密共享机制，将系统密钥分配给多个ca节点保管，被俘获的ca节点数目小于设定的门限时，系统仍可正常工作；通过节点分簇，采用局部泛洪的ca节点定位机制，可有效降低加密带来的开销，提高系统的运行效率。

附图说明

图1是本发明所述的高动态网络分布式安全加密机制的工作流程图；

图2是本发明所述的ca节点定位机制的工作示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定发明。

参见图1所示，本实施例所示的一种适用于高动态自组织网络的分布式安全加密机制的具体方法为：

步骤一：节点凭借邻居节点数及剩余电量竞争簇首节点，网络形成分簇，簇首节点担任ca节点。

簇首节点应在一跳范围内有较多的邻居节点，以便为更多节点提供服务；簇首节点还应有较多的剩余电量pv以行使ca功能。综合考虑上述两个参数，以参数w来衡量节点执行ca功能的能力：

w＝w1n+w2p

其中，n是节点一跳范围内的邻居节点数，w1是n的归一化参数，p是节点剩余电量，w2是p的归一化参数。w1、w2可根据实际情况进行设定，w1+w2＝1。

在一个簇内，拥有最大参数w的节点被选举为簇首节点，行使ca功能。任一一节点通过以下竞争分簇算法确认本簇的簇首节点：

步骤a：各节点将自身的邻居节点数n和节点剩余电量p广播给一跳范围内的邻居节点；

步骤b：各节点计算本节点的参数w及所有邻居节点的参数w，并将各节点的参数w与节点的id配对记录在本节点的列表l内；

步骤c：各节点将本节点及所有邻居节点的id与所属的簇首节点的id配对，并记录在列表t内；其中，开始时节点所属的簇首节点的id为空；

步骤d：若节点发现本节点在列表l内拥有最大的w，则向邻居节点广播声明，声明自己成为本簇的簇首节点，并在列表l内将自己的表项删除；

步骤e：当节点收到某一邻居节点广播的簇首声明时，则在列表t内更新该节点的簇首节点的id：若本节点所属的簇首节点的id为空，或簇首节点的参数w小于声明节点的w，则将列表t内记录的本节点所属的簇首节点的id改为声明节点的id；将声明节点从列表l中移除，检查本节点是否在列表l中拥有最大的w参数；

步骤f：重复步骤e，直至所有节点的列表l为空。

运用竞争分簇算法对网络完成初始化分簇后，由簇首节点担任ca节点，若分的簇不够多，则在大簇内选举出一些节点担任ca节点。

步骤二：由管理节点产生系统公/私钥对，根据ca节点的id产生密钥分量，并将系统公钥及密钥分量分发给各个簇首节点，分发完成后管理节点退网。

步骤三：ca节点通过ca节点定位机制定位t个ca节点，请求为其证书签名，证书存在有效期，ca节点需在有效期到期后重新请求签名；普通节点通过ca节点定位方案定位t个ca节点，请求为其证书签名，证书存在有效期，普通节点需在有效期到期后重新请求签名。

在普通节点入网需初始化证书，或证书到期需要更新时，需联合t个ca节点为证书签名。在本分布式方案中，不能保证每个节点的一跳范围内存在t个ca节点，故引入ca节点定位方案，用于定位t个ca节点。参见图2所示，ca节点定位机制具体定位过程如下：

步骤a：普通节点向簇首节点发送请求ca信息的消息；

步骤b：簇首节点收到消息，簇首节点知道本簇内ca节点个数，若本簇内存在t个或t个以上ca节点，则簇首将本簇内t个ca节点的序列号发送给请求节点，ca节点定位完成，否则进入步骤c；

步骤c：若本簇内ca节点个数不足t，则簇首节点向其他ca节点广播ca请求信息，信息包内设置ttl字段，簇首节点第一次定位ca节点时ttl设置为1；

步骤d：其他簇首节点收到ca请求信息，将包内ttl值减少1，若ttl为0，则向上一跳簇首节点回复本簇内ca节点个数；若ttl大于0，则将ttl值减少1，继续广播给相邻的簇首节点，在所有邻居簇首回复后将本簇内ca节点数与收到的回复汇总后发给上一跳簇首；

步骤e：若源簇首定位到足够数量的ca，则将定位到的ca节点id发送给请求节点，簇首节点记录最终的ttl，下次定位ca节点时初始ttl将设置为这一值；否则将ttl加一，重复上述过程。

步骤四：当自组织网络中任意二个节点(节点i、节点j)在进行通信前，节点i先向本簇的簇首节点请求节点j的证书，若簇首节点不存在j的证书，则簇首节点向j的簇首节点请求j的证书，并转发给节点i；

步骤五：节点i节点验证节点j的证书有效后向节点j发送自己的证书，节点j验证有效后回复确认；

步骤六：节点i、节点j利用对方的公钥加密信息，进行加密通信。

以上详细描述了本发明的具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。