一种基于鱼眼域的安全点对点路由方法
【专利摘要】本发明提供了一种基于鱼眼域的安全点对点路由方法,该方法采用“鱼眼”技术在路由中用来维护精确的距离和路由质量信息,在不同鱼眼域中的节点以不同的频率向本域中其它节点广播链路更新信息,这能够大大减少链路状态更新信息,从而降低了泛洪的开销。同时利用身份验证技术,实现安全地查找整个鱼眼域节点分布的信息。本发明保证了安全地向所有节点广播自己的邻节点信息,并使用邻居查找协议加强了对假冒邻节点的安全检查。而对发送报文做摘要并对摘要签名,保证了报文信息不被非授权用户更改和伪造。以此,使得本发明能低于目前已存在的主流攻击行为。
【专利说明】一种基于鱼眼域的安全点对点路由方法【技术领域】
[0001]本发明涉及通讯【技术领域】,特别涉及一种基于鱼眼域的安全点对点路由方法。
【背景技术】
[0002]目前对点对点(AdHoc)网络的研究主要集中在基本路由协议上,MANET研究组提出的许多协议草案,比如单播路由协议DSR、AODV, ZRP和多播路由协议AMRIS、AMRoute等。由于无线网的广播特性,使得自组网中的多播有着独特的优势,打破了有线网络中多播建立在单播基础之上的定律,可以独立地更有效地解决多播路由问题。常见的多播协议有 MAODV,AMRIS,AMRoute、ODMRP、CAMP 等。其中 ODMRP(On-Demand Multicast RoutingProtocol)协议是上述自组网多播协议中性能较好的一个,具有吞吐量大、适合高速运动等特点。但ODMRP是建立在数据明文传送的基础之上,数据传输过程中安全问题得不到保障。
[0003]FSR(Fisheye State Routing)是一个先验式(表驱动的)的路由协议.它使用了鱼眼技术,在不同鱼眼域中的节点以不同的频率(这个频率是由节点距离决定的)向本域中其它节点广播链路更新信息,这能够大大减少链路状态更新信息,从而降低了泛洪的开销。
[0004]Ad Hoc网络可以廉价、快速的建立,其应用范围包括军事、灾难救助、社区网络等等。为了防止攻击,安全的路由协议在Ad Hoc网络中是必需的。由于Ad Hoc网络具有高度动态变化的特点和有限资源,导致设计一个安全有效的路由协议是困难的。类似前面提到的许多Ad Hoc路由协议已经被 提出,但它们均没有采取任何的安全措施,并且在本质上信任每个路由协议参与者。Perlman首先研究路由协议的安全问题,并且提出了基于数字签名技术的安全flooding和最短路径算法。使用数字签名技术保护路由信息很直观,但效率不高,特别是在一个移动Ad Hoc网络环境中。Papadimitratos提出了一个基于动态源路由协议(DSR)的安全路由协议(SRP)。这个协议假设源节点和目的节点之间存在一个安全联盟(SA),并且共享一个秘密钥。Dahill提出了认证的AdHoc路由协议(ARAN),从而将认证、信息完整性和不可否认性的概念引入Ad Hoc网络。但是这个协议使用的是公钥系统,这对于Ad Hoc网络来说是很昂贵的,并且如何选择一个可信的CA并不清楚。Hu Yih-Chun分别提出了安全的on-demand和proactive Ad Hoc路由协议。这两个协议使用单向Hash函数链进行路由信息的安全保护。尽管单向Hash链是一个快速的密码工具,适合Ad Hoc网络,但是它们要求网络中的节点时钟同步,而且Ariadene协议还要求相互通信的节点之间预先拥有一个启动密钥。
【发明内容】
[0005]本发明的目的在于从一个新的角度提出了一个新的、安全的鱼眼域(Fisheye)点对点路由方法。这个路由方法采用“鱼眼”技术在路由中用来维护精确的距离和路由质量信息,在不同鱼眼域中的节点以不同的频率(这个频率是由节点距离决定的)向本域中其它节点广播链路更新信息,这能够大大减少链路状态更新信息,从而降低了泛洪的开销。同时利用身份验证技术,实现安全地查找整个鱼眼域节点分布的信息。
[0006]为解决上述技术问题,本发明提供一种基于鱼眼域的安全点对点路由方法,包括:
[0007]—个域中的N个节点通过邻居查找协议获得自己邻节点信息,N取正整数;
[0008]每个节点向所述域中的其他节点广播带有签名的邻节点信息;
[0009]所述域中的其他节点验证该广播节点,验证通过后,获得该域安全的路由信息。
[0010]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,所述域中的每个节点具有自己的一对公钥和私钥、MAC地址、IP地址、证书和认证机构的公钥。
[0011]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,在所述每个节点向所述域中的其他节点广播带有签名的邻节点信息的步骤中,每个节点向所述域中的其邻节点发布单跳广播报文,并广播最近的链路状态信息。
[0012]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,所述每个节点向所述域中的其邻节点发布单跳广播报文,并广播最近的链路状态信息的步骤包括:
[0013]节点周期性地向域中其邻节点发布带有自己签名的Hello报文;
[0014]节点周期性地向域中其他节点广播他的邻节点信息和链路状态更新报文,所述邻节点信息用节点自己的私钥签名。
[0015]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,所述节点发送报文的频率根据该域中离所述节点的跳数不同采用不同的时间间隔分发信息。
[0016]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,在所述每个节点向所述域中的其他节点广播带有签名的邻节点信息步骤中,节点每广播一次,其自己的发送报文的序列号加I。
[0017]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,在所述域中的其他节点验证该广播节点,验证通过后,获得该域路由信息的步骤中,若该广播节点的发送报文的序列号不大于原来发送报文的序列号,则直接将发来的报文丢弃。
[0018]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,所述域中的其他节点验证该广播节点,验证通过后,获得该域路由信息的步骤包括:
[0019]节点收到其邻节点发布的带有自己签名的Hello报文,并对其进行验证,如果验证通过则将其加入自己的邻居节点列表中,否则将该Hello报文丢弃;
[0020]节点收到域中其他节点广播的邻节点信息和链路状态更新报文,并对其进行验证,如果验证通过则将其邻节点信息加入自己的全局拓扑表中,否则将该报文丢弃;
[0021]节点在预设的时间内没有收到域中邻节点或其他节点的广播报文时,在邻节点表或全局拓扑表中删除相应的节点信息。
[0022]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,节点接收报文的频率根据节点发送报文的频率进行调整,发送报文频率高的节点降低其优先级,发送报文频率低的节点升高其优先级。
[0023]进一步的,在所述的基于鱼眼域的安全点对点路由方法中,节点在接收报文时根据自己的需要选择性验证该广播节点。
[0024]本发明提供的基于鱼眼域的安全点对点路由方法,具有以下有益效果:本发明保证了安全地向所有节点广播自己的邻节点信息,并使用邻居查找协议(NL P)加强了对假冒邻节点的安全检查。而对发送报文做摘要并对摘要签名,保证了报文信息不被非授权用户更改和伪造。以此,使得本发明能低于目前已存在的主流攻击行为。
【专利附图】
【附图说明】
[0025]图1是本发明优选实施例基于鱼眼域的安全点对点路由方法的示意图;
[0026]图2是本发明优选实施例基于鱼眼域的安全点对点路由方法的链路状态更新报文不意图;
[0027]图3是本发明优选实施例基于鱼眼域的安全点对点路由方法的公钥发布报文示意图。
【具体实施方式】
[0028]以下结合附图和具体实施例对本发明提出的基于鱼眼域的安全点对点路由方法作进一步详细说明。根据下面说明和权利要求书,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
[0029]本发明提供一种基于鱼眼域的安全点对点路由方法(BFSSR),具体包括以下步骤:
[0030]步骤一:一个域中的N个节点通过邻居查找协议获得自己邻节点信息,N取正整数;[0031 ] 在本发明中,分布在R跳的子网中的节点,被称为它们在一个域。每个节点都有自己的一对公私钥,即Ev和Dv,自己的证书Certificate和认证机构CA的公钥ECA。证书可以由K个节点用门限算法得到,首先计算出证书的K个分片,然后将K个分片联合成要颁布的证书。在MANET(移动自组网)的域中每个节点有一个单一的网络接口。节点由它们的IP地址来标识。IP地址可以用不同的方案来分配。例如,动态的,甚至是随机的分配,但是分配了之后,不能随意的变动IP和MAC地址。节点在路由形成和拓扑结构改变的时候,要检验并且保存新加入节点的IP和Ev,删除退出节点的IP和Ev。为了保证本节点和其他节点能辨别接受到的是最新的报文,所以节点还需要存储每个节点发送报文的序列号SEQ。
[0032]敌人也许会通过一些恶意的行为干扰协议的操作,如:重发,伪造,破坏链路状态的更新,试图影响正常节点的拓扑,或者通过拒绝服务攻击(DoS)来使被攻击节点瘫痪。节点所需的这些数据,可以保证在鱼眼域中形成安全的路由。
[0033]进一步的,为了防止恶意节点冒充,该步骤通过邻居查找协议(NLP)获得自己邻节点信息,其作用是保证节点能够安全的识别它周围的邻节点。每个节点提交它的MAC地址和IP地址给其他的友节点,组成(MACV,IPV),并向邻节点广播Hello报文。接收节点验证签名,且保留信息。NLP主要有以下的几项任务:
[0034](I)维护节点邻居的MAC和IP地址的表。
[0035](2)辨别潜在的差异,如对一个单数据链路接口使用多IP地址。
[0036](3)防止邻居节点的MAC的修改。通过这种方式,由各个节点发出的恶意的控制报文将被丢弃。
[0037]下列事件时,NLP根据一个接收报文的内容发出一个通知给BFSSR(基于鱼眼域的安全点对点路由协议):
[0038](I) 一个邻节点改动了它的IP地址。[0039](2)2个邻节点使用相同的IP地址(就是说,一个报文可能是从欺骗的IP节点出)。
[0040] (3)邻节点改动了它的MAC地址。
[0041 ] 在接收通知时,路由协议丢弃违反以上地址原则的报文。
[0042]步骤二:每个节点向所述域中的其他节点广播带有签名的邻节点信息;
[0043]在该步骤中,每个节点向所述域中的其邻节点发布单跳广播报文,并广播最近的链路状态信息,具体过程如下:
[0044]节点(如节点A)周期性地向域中其邻节点发布带有自己签名的Hello报文;
[0045]节点(如节点B)周期性地向域中其他节点广播他的邻节点信息和链路状态更新报文,所述邻节点信息用某节点自己的私钥签名。
[0046]对于发布报文的频率,据该域中离所述节点的跳数不同采用不同的时间间隔分发信息。为了精确,较近节点对应的记录分发的频率比较远节点对应的频率高。每每广播一次发送一个报文,其自己的发送报文的序列号(SEQ)加I。
[0047]步骤三:所述域中的其他节点验证该广播节点,验证通过后,获得该域安全的路由信息。
[0048]在该步骤中,节点(如节点B)收到其邻节点(如节点A)发布的带有自己签名的Hello报文,并对其进行验证,如果验证通过则将其加入自己的邻居节点列表中,否则将该Hello报文丢弃;
[0049]节点(如节点E)收到域中其他节点(如节点B)广播的邻节点信息和链路状态更新(LSU)报文,并对其进行验证,如果验证通过则将其邻节点信息加入自己的全局拓扑表中,否则将该报文丢弃;
[0050]链路状态更新的作用,主要是保证各个节点向网络广播的报文,能够使得链路状态安全的更新。
[0051]链路状态更新由它们初始的IP地址和一个32bit的序列数(LSU_SEQ)来标明。它将为更新提供一个大约4G的充足空间。如图2所示,链路状态更新头文件的结构,由9部分组成。
[0052]TYPE表示报文类型,RLSU表示链路状态更新报文经历的跳数,RESERV ED表示保留字段,Z0NE_RADIUS表示能达到最大跳数的Hash链的值,LSU_SEQ表示报文的更新序列号,HOPS_TRAVERSED表示已经历了 η跳后所得到的Hash链的值,NEIGHBOR TABLE表示该节点的邻节点表,SUMMARY表示对报文内容的摘要,LSU_SIGNATU RE表示私钥签名。
[0053]其中RLSU、ZONE_RADIUS、HOPS_TRAVERSED这3个字段主要实现的功能是防止限定报文在广播中经历的最大的跳数,防止在网络中由洪泛而导致的网络堵塞,以保证网络正常安全的工作。其算法如下:
[0054](I)如果是报文发送节点,转入(2),如果是报文转发节点,转入(4)。
[0055](2)发送报文的节点选取一个随机数X,并计算出一个Hash链,Xi=H1 (X),i=l,…,R,H0 (X) =X0其中Hi (X)表示的是X经过i次的Hash运算。
[0056](3)将 X。,Xe 赋给 HOPS_TRAVERSED 和 Z0NE_RADIUS,转入(7)。
[0057](4)节点接收到报文后,首先检查其摘要和签名。如果失败,那么转入(8)。如果通过,转入(5) ο[0058](5)取出 HOPS_TRAVERSED 的值,计算 HK-KLSU(hops_traversed)的值(其中 R 是网络中报文能经历的最大跳数),如该值等于Z0NE_RADIUS,那么转入(6),否则转入(8)。
[0059](6)将 H (hop s-traversed)的值替换原来的 HOPS_TRAVERSED 的值,并且将 RLSU的值加I。
[0060](7)将报文发送或者转发出去。过程结束。
[0061](8)丢弃该报文。过程结束。
[0062]如此,Ad Hoc网络上的各个节点可以维护一致的全局信息。由SEQ来判断报文是否是旧报文,如果收到报文的SEQ不大于原来报文的SEQ,那么直接将报文丢弃。
[0063]在节点接收的时候,按接收报文频率来自动调整优先级,对于周围发送报文频率高的节点,降低其优先级,对于发送报文频率低的,升高其优先级。
[0064]节点在预设的时间内没有收到域中邻节点或其他节点的广播报文时,在全局拓扑表中删除相应的节点信息。
[0065]节点可以使用公钥分发(Public Key Distribution PKD)报文来向网络广播自己的公钥,也可以把节点的公钥附在要发送的链路状态更新(LSU)报文上。和其他报文一样,也可以按距离的远近来决定发送PKD报文的频率。
[0066]基于LSU报文的公钥广播可以使节点及时的获得相关节点的公钥,即使节点移动到一个新的区域,也可以及时的获得安全的路由信息。而且这样也降低了消息的复杂度。同时,当有新节点加入时,这样也降低了新的公钥的确认延时。
[0067]可以根据网络的实时的情况来进行公钥的广播。例如,当一个节点探测到网络拓扑结构变化的时候,可以重新广播它的公钥。至少当一些节点从该节点的邻节点的位置离开的时候,应该重新广播。
[0068]CA发布的证书可以保证发布的公钥的正确性。和LSU报文中一样,为了防止报文被重发,在PKD报文中加入序列号。每发送一次对序列号加1,在PKD报文中,为了限制报文传播的跳数,同样使用了 LSU中的算法和数据。
[0069]如图3所示,PKD报文头不过是在LSU报文头的基础上加入了节点的公钥和CA签名,这样的结构可以在需要的时候直接将CERTIFICATE和Ev附在LSU报文头上。
[0070]节点只有在不知道公钥发布者的情况下才验证PKD报文。通过了验证后,就将Ev和对应的IP及其序列号存储在本地。而且,每个节点可以自主的决定是否验证广播的公钥。例如:如果一个节点只要和它附近的节点通信,那么它没有必要去验证一个从远方节点发布过来的PKD报文。类似的,如果一个节点认为它的拓扑图已经足够广了,或者说是足够它的通信所需了,那么对PKD报文的验证可以不进行。这种情况发生在不是所有的已经存在的链路都需要的情况下。
[0071]此外,路由的计算拓扑结构表的任何变化都会触发路由表的重新计算,对于全局拓扑表的计算,使用Dijkstra的最短路径算法。
[0072]基此,信息发送、接收这两个部分在路由形成中的安全,主要是由邻节点查找协议和链路状态安全的更新来保障的。
[0073]上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
【权利要求】
1.一种基于鱼眼域的安全点对点路由方法,其特征在于,包括: 一个域中的N个节点通过邻居查找协议获得自己邻节点信息,N取正整数; 每个节点向所述域中的其他节点广播带有签名的邻节点信息; 所述域中的其他节点验证该广播节点,验证通过后,获得该域安全的路由信息。
2.如权利要求1所述的基于鱼眼域的安全点对点路由方法,其特征在于,所述域中的每个节点具有自己的一对公钥和私钥、MAC地址、IP地址、证书和认证机构的公钥。
3.如权利要求1所述的基于鱼眼域的安全点对点路由方法,其特征在于,在所述每个节点向所述域中的其他节点广播带有签名的邻节点信息的步骤中,每个节点向所述域中的其邻节点发布单跳广播报文,并广播最近的链路状态信息。
4.如权利要求3所述的基于鱼眼域的安全点对点路由方法,其特征在于,所述每个节点向所述域中的其邻节点发布单跳播报文,并广播最近的链路状态信息的步骤包括: 节点周期性地向域中其邻节点发布带有自己签名的Hello报文; 节点周期性地向域中其他节点广播他的邻节点信息和链路状态更新报文,所述邻节点信息用节点自己的私钥签名。
5.如权利要求4所述的基于鱼眼域的安全点对点路由方法,其特征在于,所述节点发送报文的频率根据该域中 离所述节点的跳数不同采用不同的时间间隔分发信息。
6.如权利要求1所述的基于鱼眼域的安全点对点路由方法,其特征在于,在所述每个节点向所述域中的其他节点广播带有签名的邻节点信息步骤中,节点每广播一次,其自己的发送报文的序列号加I。
7.如权利要求6所述的基于鱼眼域的安全点对点路由方法,其特征在于,在所述域中的其他节点验证该广播节点,验证通过后,获得该域路由信息的步骤中,若该广播节点的发送报文的序列号不大于原来发送报文的序列号,则直接将发来的报文丢弃。
8.如权利要求5所述的基于鱼眼域的安全点对点路由方法,其特征在于,所述域中的其他节点验证该广播节点,验证通过后,获得该域路由信息的步骤包括: 节点收到其邻节点发布的带有自己签名的Hello报文,并对其进行验证,如果验证通过则将其加入自己的邻居节点列表中,否则将该Hello报文丢弃; 节点收到域中其他节点广播的邻节点信息和链路状态更新报文,并对其进行验证,如果验证通过则将其邻节点信息加入自己的全局拓扑表中,否则将该报文丢弃; 节点在预设的时间内没有收到域中邻节点或其他节点的广播报文时,在邻节点表或全局拓扑表中删除相应的节点信息。
9.如权利要求8所述的基于鱼眼域的安全点对点路由方法,其特征在于,节点接收报文的频率根据节点发送报文的频率进行调整,发送报文频率高的节点降低其优先级,发送报文频率低的节点升高其优先级。
10.如权利要求8所述的基于鱼眼域的安全点对点路由方法,其特征在于,节点在接收报文时根据自己的需要选择性验证该广播节点。
【文档编号】H04W84/18GK103906163SQ201410155858
【公开日】2014年7月2日 申请日期:2014年4月17日 优先权日:2014年4月17日
【发明者】熊鹏 申请人:上海电机学院