点度量值和前一节点的度量值。同时更新扩展字段中的HMAC(认证码字段),然后重新广播。PREQ帧传播过程中重复进行该流程直至到达目的节点。
[0054]如图3所示,目的节点PREP帧认证和交互过程。当目的节点接收到PREQ帧,则目的节点已经具有到达源节点的路由路径,故直接回传一个指向源节点的单播PREP帧。PREP帧的扩展部分和PREQ相似,区别在于PREP帧扩展部分的HMAC使用瞬态密匙加密,而非广播密匙。
[0055]如图4所示,中继节点回复PREP帧认证和交互过程。当某个中间节点之前已经具有到达目的节点的路由路径时,该中间节点可以在接收到PREQ帧后回传一个PREP帧而不需要继续广播PREQ帧。其具体流程应如图4所示,具有路由路径的中继节点接收到PREQ后,向路由路径上的下一跳请求回复PREP,下一跳接收到请求并验证路由路径有效后回复PREP,加密和传输方式同目的节点。
[0056]如图5所示,PERR帧认证和交互过程。当节点发现路径损坏,该节点生成一个路由路径错误信息帧(PERR)并发送给它的前驱节点。PERR帧的扩展字段内容包括基于ID加密的不变字段和路由帧生存时间(TTL)。整个PERR帧使用由SAE生成的成对主密匙加密。
[0057]图7是本发明实施例提供的路由应答帧、路由路径错误信息帧、根声明帧的、网关声明帧GANN的路由帧扩展示意图。
[0058]综上所述,本发明提供的无线Mesh网络路由安全保护方法工作在802.1ls路由协议和mac层安全机制的中间层,为上层的路由协议提供安全保护且对下层透明,完全兼容802.1ls原有安全机制,同时提供针对无线Mesh网络特性所做的扩展路由帧路由安全保护,不需要对802.1ls标准做任何修改。弥补了 802.1ls标准在路由安全方面的不足,能够达到较强的安全性要求,有效的抵御路径转移攻击、伪装攻击、洪泛攻击、被动攻击以及重放攻击等。并且易于在现有的无线Mesh网络系统中进行部署,不需要额外的设施或设备。本发明提供的无线Mesh网络路由安全保护方法适用于车载网络、大范围视频监控网络、传感网、骨干网等无线传输通信网络,并为上述相关网络提供路由安全保护。
[0059]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种无线Mesh网络路由安全保护方法,其特征在于,所述方法包括以下步骤: 路由请求帧中设置请求认证码字段,对所述请求认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述路由请求帧发射到无线Mesh网路中;所述路由请求帧通过两跳认证的方式进行传递,直到所述路由请求帧到达目的节点或到达符合条件的中继节点; 目的节点收到所述路由请求帧后,发送路由应答帧给所述源节点;所述路由应答帧设置应答认证码字段,所述应答认证码字段利用瞬态密匙加密方式以及进行以及一跳密钥加密的方式进行加密,并通过所述两跳认证的方式进行传递; 符合条件的中继节点收到所述路由请求帧后,发送所述路由应答帧给所述源节点;同时所述中继节点发送所述路由应答帧给其下一跳节点,所述下一跳节点验证所述中继节点的路由路径有效后回复所述路由应答帧; 所述无线Mesh网络中路由路径错误时,相应节点发送路由路径错误信息帧给其前驱节点,所述路由路径错误信息帧设置路径错误认证码字段,所述设置路径错误认证码字段利用瞬态密匙进行加密方式一跳密钥加密的方式进行加密,并通过所述两跳认证的方式进行传递。
2.根据权利要求1所述的方法,其特征在于,所述方法中,源节点发射网关声明帧到所述无线Mesh网络中;所述网关声明帧设置网关声明认证码字段,对所述网关声明认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述网关声明帧发射到无线Mesh网路中;所述网关声明帧通过两跳认证的方式进行传递。
3.根据权利要求2所述的方法,其特征在于,所述无线Mesh网络中的根节点发送并根声明帧;所述根声明帧设置根声明认证码字段,对所述根声明认证码字段以广播密钥加密的方式和一跳密钥加密的方式进行加密,并将所述根声明帧发射到无线Mesh网路中;所述根声明帧通过两跳认证的方式进行传递。
4.根据权利要求3所述的方法,其特征在于,所述请求认证码字段、应答认证码字段、路径错误认证码字段、网关声明认证码字段以及根声明认证码字段均通过方法得到: 对到达当前节点的跳数字段、对应的当前跳数哈希值字段、对应的最大跳数字段、对应的顶级哈希值字段、对应的当前节点的前驱节点度量值字段以及从源节点到当前节点的整条链路的度量值字段进行加密,之后进行哈希运算得到的认证码。
5.根据权利要求4所述的方法,其特征在于,所述当前跳数哈希值以及顶级哈希值是对一个随机数的哈希,所述随机数由对应的节点随机生成。
6.根据权利要求5所述的方法,其特征在于,所述路由请求帧、路由应答帧、路由路径错误信息帧、网关声明帧以及根声明帧均包括签名字段,所述签名字段为对应帧中的不变字段使用签名机制进行签名得到。
7.根据权利要求6所述的方法,其特征在于,所述签名机制采用基于ID的在线/离线签名方案进行签名。
8.根据权利要求7所述的方法,其特征在于,所述路由请求帧的所述两跳认证的方式具体为: 所述源节点的一跳邻居接收所述路由请求帧,利用所述一跳密钥解密所述路由请求帧,并在所述路由请求帧中增加所述一跳邻居的请求认证码字段,形成新的路由请求帧,所述源节点的二跳邻居接收所述一跳邻居发射的新的所述路由请求帧,利用所述源节点的广播密钥解密所述一跳邻居发送的所述路由请求帧的请求认证码字段,进行所述一跳邻居是否篡改的验证,若进行了篡改,则结束传递,否则在所述二跳邻居接收的所述路由请求帧中增加所述二跳邻居的请求认证码字段,形成新的路由请求帧; 将所述源节点的四跳邻居以及大于四跳邻居的节点称为传递节点,利用所述传递节点的第二前驱节点广播密钥解密所述传递节点的第一前驱节点发送的所述路由请求帧的请求认证码字段,进行所述传递节点的第一前驱节点是否篡改的验证,若进行了篡改,则结束传递,否则在所述传递节点接收的所述路由请求帧中增加所述传递节点的请求认证码字段,形成新的路由请求帧。
【专利摘要】本发明涉及无线Mesh网络路由协议和安全规范技术领域,尤其涉及一种基于802.11s标准路由协议的无线Mesh网络路由安全保护方法。本发明通过在原有帧结构的基础上增加了扩展字段,形成了一套新的安全机制,完全兼容802.11s原有安全机制,同时提供针对无线Mesh网络特性所做的扩展路由帧路由安全保护,弥补了802.11s标准在路由安全方面的不足,能够达到较强的安全性要求,有效的抵御路径转移攻击、伪装攻击、洪泛攻击、被动攻击以及重放攻击等,并且易于在现有的无线Mesh网络系统中进行部署,不需要额外的设施或设备;本发明提供的无线Mesh网络路由安全保护方法适用于车载网络、大范围视频监控网络、传感网、骨干网等无线传输通信网络,并为上述相关网络提供路由安全保护。
【IPC分类】H04W40-04, H04W12-00
【公开号】CN104703174
【申请号】CN201510159336
【发明人】王 锋, 韩健康, 毛续飞, 刘云浩
【申请人】清华大学
【公开日】2015年6月10日
【申请日】2015年4月3日