一种基于身份隐藏的安全点对点按需路由方法
【专利摘要】本发明提供一种基于身份隐藏的安全点对点按需路由方法,本发明采用和AODV一样的On-demand路由机制,但源节点和目的节点的身份在路由请求阶段和响应阶段分别被隐藏。一个公开的单向Hash函数可以利用这些隐藏的路由信息对所有路由信息进行认证,源节点和目的节点之间并不需要一个预先的启动密钥或共享密钥。只有位于被选择路径上的节点才能获得完整的路由信息,其它节点,包括攻击者,将缺乏充分的路由信息进行攻击。此外,路由如果在数据传输过程中有节点耗能过多而失效,有专门的路由恢复策略来进行路径局部更改和修复,使方法具有足够的健壮性。
【专利说明】一种基于身份隐藏的安全点对点按需路由方法
【技术领域】
[0001]本发明涉及通讯【技术领域】,特别涉及一种基于身份隐藏的安全点对点按需路由方法。
【背景技术】
[0002]目前对点对点(Ad Hoc)网络的研究主要集中在基本路由协议上,MANET研究组提出的许多协议草案,比如单播路由协议DSR、AODV、ZRP和多播路由协议AMRIS、AMRoute等,而在无线多播中大部分路由协议是基于树状的,但多树的结构非常脆弱,并且当连接改变时它必须进行调整,进一步来说,多播树总是需要一个全局的路由子结构如链路状态或距离向量。路由向量或链路状态的频繁改变产生拓扑结构的频繁变化,最终产生大量开销和信道负载。
[0003]由于无线网的广播特性,使得自组网中的多播有着独特的优势,打破了有线网络中多播建立在单播基础之上的定律,可以独立地更有效地解决多播路由问题。常见的多播协议有 MAODV,AMRIS,AMRoute、ODMRP、CAMP 等。其中 ODMRP (On-Demand Multicast RoutingProtocol)协议是上述自组网多播协议中性能较好的一个,具有吞吐量大、适合高速运动等特点。但ODMRP是建立在数据明文传送的基础之上,数据传输过程中安全问题得不到保障。
[0004]Ad Hoc网络可以廉价、快速的建立,其应用范围包括军事、灾难救助、社区网络等等。为了防止攻击,安全的路由协议在Ad Hoc网络中是必需的。由于Ad Hoc网络具有高度动态变化的特点和有限资源,导致设计一个安全有效的路由协议是困难的。类似前面提到的许多Ad Hoc路由协议已经被提出,但它们均没有采取任何的安全措施,并且在本质上信任每个路由协议参与者。
[0005]Perlman首先研究路由协议的安全问题,并且提出了基于数字签名技术的安全flooding和最短路径算法。使用数字签名技术保护路由信息很直观,但效率不高,特别是在一个移动Ad Hoc网络环境中。Papadimitratos提出了一个基于动态源路由协议(DSR)的安全路由协议(SRP)。这个协议假设源节点和目的节点之间存在一个安全联盟(SA),并且共享一个秘密钥。Dahill提出了认证的AdHoc路由协议(ARAN),从而将认证、信息完整性和不可否认性的概念引入Ad Hoc网络。但是这个协议使用的是公钥系统,这对于Ad Hoc网络来说是很昂贵的,并且如何选择一个可信的CA并不清楚。Hu Yih-Chun分别提出了安全的on-demand和proactive Ad Hoc路由协议。这两个协议使用单向Hash函数链进行路由信息的安全保护。尽管单向Hash链是一个快速的密码工具,适合Ad Hoc网络,但是它们要求网络中的节点时钟同步,而且Ariadene协议还要求相互通信的节点之间预先拥有一个启动密钥。
【发明内容】
[0006]本发明的目的在于从一个新的角度提出了一种基于身份隐藏的安全点对点按需路由方法。该方法采用和AODV —样On-demand路由机制,但源节点和目的节点的身份在路由请求阶段和路由响应阶段分别被隐藏。一个公开的单向Hash函数可以利用这些隐藏的路由信息对所有路由信息进行认证,源节点和目的节点之间并不需要一个预先的启动密钥或共享密钥。该方法的另外一个重要特点是只有位于被选择路径上的节点才能获得完整的路由信息,其它节点(包括攻击者)将缺乏充分的路由信息进行攻击。
[0007]为解决上述技术问题,本发明提供一种基于身份隐藏的安全点对点按需路由方法,包括:
[0008]源节点广播路由请求分组给自己的邻节点进行路径搜索;
[0009]某一邻节点处理与转发所述路由请求分组;
[0010]目的节点产生路径响应分组,建立反向路径;
[0011]某一邻节点处理与转发所述路径响应分组。
[0012]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述路由请求分组包括{broadcast_id, dest_addr, temporary_id, hop_cnt, hash_chain,encrypted_message},其中,{broadcast_id, dest_addr}唯一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|Ts)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;I表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(SjDlR);所述encrypted_message包括用目
的节点公钥加密的信息Epkd(S\D\R\Ts).[0013]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述源节点广播路由请求分组给自己的邻节点进行路径搜索的步骤包括:
[0014]源节点获取一单向Hash链的初始值;
[0015]所述源节点在自己的预处理路由表中建立不完善的前向路径。
[0016]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
[0017]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述前向路径由源节点随机产生的标识符索引。
[0018]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述处理与转发所述路由请求分组的步骤包括:
[0019]某一邻节点产生随机产生的标识符;
[0020]根据现有的路由表在预处理路由表中建立不完善的前向路径和反向路径。
[0021]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,在前向路径和反向路径中,将temporary_id的值从源节点随机产生的标识符替换成所述邻节点随机产生的标识符;hop_cnt的值由上一节点的hop_cnt+l得到;将hash_chain的值从前一节点hash值替换成所述邻节点的hash值。
[0022]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述路径响应分组包括{temporary_id, source_addr, R, hop_cnt},其中,所述 temporary_id 是路径响应分组中原有的临时标识符;所述source_addr为源节点S的IP地址;所述R是源节点产生的随机数;所述hop_cnt的初始值为O。[0023]进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,在转发所述路径响应分组前,该邻节点将hop_cnt的值+1 ;将temporary_id的值从上一点随机产生的标识符替换成该邻节点随机产生的标识符。
[0024]本发明提供的基于身份隐藏的安全点对点按需路由方法,具有以下有益效果:源节点和目的节点的IP地址并不同时出现在路由请求分组(RREQ)和路径响应分组(RREP)分组中,它们通过邻节点产生的随机标识符相联系,只有位于被选择路径上的节点可以获得完整的路由信息。即使非选择路径上的节点可以捕获到RREP分组,它也无法将两部分路由信息相关联,因为RREP分组中的临时标识符不是它自己产生的,预处理路由表中并不包含由此标识符索引的路径。这个特点可以用来抵抗一些简单却顽固的攻击。此外,攻击者无法通过减少RREQ分组中的hop_cnt域来增加进入被选择路径的机会,因为目的节点使用RREQ分组所包含的Hash链的最后一个值对hop_cnt进行验证。
【专利附图】
【附图说明】
[0025]图1-2是本发明优选实施例的基于身份隐藏的安全点对点按需路由方法示意图。【具体实施方式】
[0026]以下结合附图和具体实施例对本发明提出的基于身份隐藏的安全点对点按需路由方法作进一步详细说明。根据下面说明和权利要求书,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
[0027]如图1和图2所示,本发明提供一种基于身份隐藏的安全点对点按需路由方法,具体包括以下步骤:
[0028]步骤一:源节点广播路由请求分组给自己的邻节点进行路径搜索;
[0029]如果源节点希望和另外一个节点通信,但在其正式路由表中没有相应的路径,则它发起一个路径搜索程序。源节点首先计算单向Hash链的初始值,H1=IKs|dIr),并且在自己的预处理路由表中建立不完善的前向路径,这条路径由源节点随机产生的标识符IDs索引。
[0030]所述路由请求分组(RREQ)包括{broadcast_id,dest_addr, temporary_id, hop_cnt, hash_chain, encrypted_message},其中,{broadcast_id, dest_addr} P隹一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|Ts)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;I表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(SlDlR);所述encrypted_
message包括用目的节点公钥加密的信息EPKd(S \D\R\Ts)0本发明的RREQ分组和A0Dv
中的RREQ分组不同,源节点的IP地址S不是以明文方式存在的,是被隐藏的。
[0031]如表I所示,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
【权利要求】
1.一种基于身份隐藏的安全点对点按需路由方法,其特征在于,包括: 源节点广播路由请求分组给自己的邻节点进行路径搜索; 某一邻节点处理与转发所述路由请求分组; 目的节点产生路径响应分组,建立反向路径; 某一邻节点处理与转发所述路径响应分组。
2.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述路由请求分组包括{broadcast_id, dest_addr, temporary_id, hop_cnt, hash_chain,encrypted_message},其中,{broadcast_id, dest_addr}唯一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|Ts)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;I表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(SjDlR);所述encrypted_message包括用目的节点公钥加密的信息Epkd (S\D\R\Ts),
3.如权利要求2所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述源节点广播路由请求分组给自己的邻节点进行路径搜索的步骤包括: 源节点获取一单向Hash链的初始值; 所述源节点在自己的预处理路由表中建立不完善的前向路径。
4.所述如权利要求3所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
5.如权利要求3所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述前向路径由源节点随机产生的标识符索引。
6.如权利要求2所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述处理与转发所述路由请求分组的步骤包括: 某一邻节点产生随机产生的标识符; 根据现有的路由表在预处理路由表中建立不完善的前向路径和反向路径。
7.如权利要求6所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,在前向路径和反向路径中,将temporary_id的值从源节点随机产生的标识符替换成所述邻节点随机产生的标识符;hop_cnt的值由上一节点的hop_cnt+l得到j#hash_chain的值从前一节点hash值替换成所述邻节点的hash值。
8.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述路径响应分组包括{temporary_id, source_addr, R, hop_cnt},其中,所述 temporary_id 是路径响应分组中原有的临时标识符;所述source_addr为源节点S的IP地址;所述R是源节点产生的随机数;所述hop_cnt的初始值为O。
9.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,在转发所述路径响应分组前,该邻节点将hop_cnt的值+1 ;将temporary_id的值从上一点随机产生的标识符替换成该邻节点随机产生的标识符。
【文档编号】H04W12/00GK103906046SQ201410155860
【公开日】2014年7月2日 申请日期:2014年4月17日 优先权日:2014年4月17日
【发明者】熊鹏, 董晨曦 申请人:上海电机学院