一种无线Mesh网络路由安全保护方法

文档序号:8384308阅读:431来源:国知局
一种无线Mesh网络路由安全保护方法
【技术领域】
[0001]本发明涉及无线Mesh网络路由协议和安全规范技术领域,尤其涉及一种基于802.1ls标准路由协议的无线Mesh网络路由安全保护方法。
【背景技术】
[0002]针对地形复杂、环境恶劣环境,如何安全高效的满足大范围的Internet网络覆盖,局域网内大量生产数据的高带宽传输以及移动设备定位和网络接入是关乎通信质量和相关应用业务能否正常开展的重要问题。传统的有线网络虽然传输带宽较高,但是在复杂恶劣环境下部署和维护成本较高且覆盖范围有限。当前的无线网络接入方式以网桥技术为主,对网络规模、节点数量、网络的可扩展性存在限制,无线Mesh(网格)自组织网络则可以满足需求。
[0003]无线Mesh网络(WMN)主要由Mesh路由器和Mesh终端组成,是一个动态的自组织、自配置网络。无线Mesh网络具有无线网状拓扑、自组织、多跳传输等诸多特性。同时,无线Mesh网络也天生带有一些安全上的缺陷,目前802.1ls所规定的无线Mesh网络的默认路由协议是混合无线Mesh协议(HWMP),而HWMP易于受到多种路由攻击,例如虫洞攻击、路由中断攻击、洪泛攻击等。恶意攻击节点充当网络的中继节点转发其他节点的数据,通过篡改路由帧中可变字段的内容发动攻击。
[0004]无线Mesh网络在传输介质和组网形式方面的特性,使得无线Mesh网络相对于有线网络面临的安全威胁更加严重,然而现有的802.1ls无线Mesh自组织网络协议仅对网络mac层安全认证做出了规定,而未对网络路由安全方面提出专门的解决方案。

【发明内容】

[0005]本发明要解决的技术问题是提供一种兼容802.1ls原有安全机制的同时,针对无线Mesh网络特性所做的扩展路由帧进行路由安全保护的方法。
[0006]为解决上述技术问题,本发明提供了一种无线Mesh网络路由安全保护方法,所述方法包括以下步骤:
[0007]路由请求帧中设置请求认证码字段,对所述请求认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述路由请求帧发射到无线Mesh网路中;所述路由请求帧通过两跳认证的方式进行传递,直到所述路由请求帧到达目的节点或到达符合条件的中继节点;
[0008]目的节点收到所述路由请求帧后,发送路由应答帧给所述源节点;所述路由应答帧设置应答认证码字段,所述应答认证码字段利用瞬态密匙加密方式以及进行以及一跳密钥加密的方式进行加密,并通过所述两跳认证的方式进行传递;
[0009]符合条件的中继节点收到所述路由请求帧后,发送所述路由应答帧给所述源节点;同时所述中继节点发送所述路由应答帧给其下一跳节点,所述下一跳节点验证所述中继节点的路由路径有效后回复所述路由应答帧;
[0010]所述无线Mesh网络中路由路径错误时,相应节点发送路由路径错误信息帧给其前驱节点,所述路由路径错误信息帧设置路径错误认证码字段,所述设置路径错误认证码字段利用瞬态密匙进行加密方式一跳密钥加密的方式进行加密,并通过所述两跳认证的方式进行传递。
[0011]优选地,所述方法中,源节点发射网关声明帧到所述无线Mesh网络中;所述网关声明帧设置网关声明认证码字段,对所述网关声明认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述网关声明帧发射到无线Mesh网路中;所述网关声明帧通过两跳认证的方式进行传递。
[0012]优选地,所述无线Mesh网络中的根节点发送并根声明帧;所述根声明帧设置根声明认证码字段,对所述根声明认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述根声明帧发射到无线Mesh网路中;所述根声明帧通过两跳认证的方式进行传递。
[0013]优选地,所述请求认证码字段、应答认证码字段、路径错误认证码字段、网关声明认证码字段以及根声明认证码字段均通过方法得到:
[0014]对到达当前节点的跳数字段、对应的当前跳数哈希值字段、对应的最大跳数字段、对应的顶级哈希值字段、对应的当前节点的前驱节点度量值字段以及从源节点到当前节点的整条链路的度量值字段进行加密,之后进行哈希运算得到的认证码。
[0015]优选地,所述当前跳数哈希值以及顶级哈希值是对一个随机数的哈希,所述随机数由对应的节点随机生成。
[0016]优选地,所述路由请求帧、路由应答帧、路由路径错误信息帧、网关声明帧以及根声明帧均包括签名字段,所述签名字段为对应帧中的不变字段使用签名机制进行签名得到。
[0017]优选地,所述签名机制采用基于ID的在线/离线签名方案进行签名。
[0018]优选地,所述路由请求帧的所述两跳认证的方式具体为:
[0019]所述源节点的一跳邻居接收所述路由请求帧,利用所述一跳密钥解密所述路由请求帧,并在所述路由请求帧中增加所述一跳邻居的请求认证码字段,形成新的路由请求帧,所述源节点的二跳邻居接收所述一跳邻居发射的新的所述路由请求帧,利用所述源节点的广播密钥解密所述一跳邻居发送的所述路由请求帧的请求认证码字段,进行所述一跳邻居是否篡改的验证,若进行了篡改,则结束传递,否则在所述二跳邻居接收的所述路由请求帧中增加所述二跳邻居的请求认证码字段,形成新的路由请求帧;
[0020]将所述源节点的四跳邻居以及大于四跳邻居的节点称为传递节点,利用所述传递节点的第二前驱节点广播密钥解密所述传递节点的第一前驱节点发送的所述路由请求帧的请求认证码字段,进行所述传递节点的第一前驱节点是否篡改的验证,若进行了篡改,则结束传递,否则在所述传递节点接收的所述路由请求帧中增加所述传递节点的请求认证码字段,形成新的路由请求帧
[0021]本发明的上述技术方案具有如下优点:本发明提供的无线Mesh网络路由安全保护方法工作在802.1ls路由协议和mac层安全机制的中间层,为上层的路由协议提供安全保护且对下层透明,完全兼容802.1ls原有安全机制,同时提供针对无线Mesh网络特性所做的扩展路由帧路由安全保护,不需要对802.1ls标准做任何修改,弥补了 802.1ls标准在路由安全方面的不足,能够达到较强的安全性要求,有效的抵御路径转移攻击、伪装攻击、洪泛攻击、被动攻击以及重放攻击等,并且易于在现有的无线Mesh网络系统中进行部署,不需要额外的设施或设备;发明提供的无线Mesh网络路由安全保护方法适用于车载网络、大范围视频监控网络、传感网、骨干网等无线传输通信网络,并为上述相关网络提供路由安全保护。
【附图说明】
[0022]图1是本发明实施例提供的基于ID的在线/离线身份认证方案初始化和认证步骤流程图;
[0023]图2是本发明实施例提供的两个节点之间回复请求的认证与交互示意图;
[0024]图3是本发明实施例提供的目的节点回复请求的认证与交互示意图;
[0025]图4是本发明实施例提供的母的节点回复请求的认证与交互示意图;
[0026]图5是本发明实施例提供的两个节点之间回复应答的认证与交互示意图;
[0027]图6是本发明实施例提供的路由请求帧的路由帧扩展示意图;
[0028]图7是本发明实施例提供的路由应答帧的路由帧扩展不意图;
[0029]图8是本发明实施例提供的路由路径错误信息帧的路由帧扩展示意图;
[0030]图9是本发明实施例提供的根声明帧的路由帧扩展示意图;
[0031]图10是本发明实施例提供的网关声明帧GANN的路由帧扩展不意图;
[0032]图11是本发明的一种无线Mesh网络路由安全保护方法流程图。
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1