基于IPv6的无线传感器网络安全路由方法
【专利摘要】本发明提供一种基于IPv6的无线传感器网络安全路由方法,节点采用随机虚拟MAC地址的方法来产生其IPv6地址,通信双方约定好一个产生地址的算法,不定时的更改IPv6地址进行通信;该地址只对通信双方透明,从而使得恶意节点无法与正常节点进行通信;随机虚拟MAC地址同时可以防止恶意节点通过RSSI测距法确定节点的物理位置,防止节点被偷取或销毁而造成的数据丢失。本发明能大大提高无线传感器节点数据传输的可靠性,适合应用于军事和机场监控等多个领域。
【专利说明】基于1^/6的无线传感器网络安全路由方法
【技术领域】
[0001]本发明涉及一种基于1?%的无线传感器网络安全路由方法,主要解决支持
?1~01:0001 ^61*810=6,中译文:互联网协议[版本 6])的传感器节点的数据安全通信问题,属于信息安全与1?%技术的交叉领域。
【背景技术】
[0002]无线传感器网络(11^61688 8611801-切01^8,简称13的是在当今社会上备受关注的、多学科交叉的研究领域,在未来人类生活中的方方面面将起着不可或缺的作用,推动了现代化社会的进程,为人们提供最及时、最有效和最真实的信息。随着无线通信技术的飞速发展及无线应用领域的扩大,无线传感器网络日渐成为互联网领域研究的热点之一。1222802.15.4标准的出现及21曲66联盟的工作,大力推动了无线传感器网络的发展。1?^6是下一代网络发展的重点,将1?%引入无线传感器网络,是无线传感器网络发展的一个重要方向。基于1”6的无线传感器网络不仅可实现其与的的互联互通,还能成为1?乂6的杀手级应用,进而大力推进1?%的发展。随着物联网和无线传感网应用的日益成熟和普及,人们越来越多的涉及个人或公司的隐私信息需要通过无线传感器网络来传送,针对无线传感器网络的移动节点攻击方式越来越多样化,规模也越来越大。
[0003]无线传感器网络现有的移动节点具有很大的安全漏洞。攻击者可以将合法的移动节点的本地地址与攻击者的I?地址绑定,从而可以使得原本发送给合法节点的数据流向攻击者期望的节点。由于无线传感器网络的可移动性,当网络中加入新节点时,攻击者可以将自己的本地I?地址作为31成节点地址发送给传输数据的双方,通信双方都以攻击者作为通信的中间地址,攻击者得以成功窃取双方数据。攻击者也可以先和一个流量非常大的服务器(如图像服务器)建立连接,然后将服务器发送的目的地址设为需要攻击的节点地址,由于不经验证,服务器会认为刚刚发起会话的是现在的目的地址,并将大量该节点无法承受的数据发送至节点,从而导致节点拒绝服务。
[0004]中的路由协议是网络攻击的主要目标,其安全性方面存在很多问题。典型的路由安全问题主要有数据在传输过程中被非法获取、未经授权的用户介入无线网、无线信道上传输的数据被非法修改等3个方面。解决这些问题的方法主要有:加密,保证没有密钥的用户无法还原处理信息;身份认证,保证没有非法用户使用网络;数据完整性校验,保证无线信道上传输的数据没被非法修改过。用户不可能接受并部署一个没有解决好安全和隐私问题的传感网络,因此在进行协议和软件设计时,必须充分考虑可能面临的安全问题,并把安全防范和检测机制集成到系统设计中去。只有这样,才能促进传感器网络的广泛应用,否则,传感器网络只能部署在有限、受控的环境中,这和传感器的最终目标——实现普遍性计算并成为人们生活中的重要组成部分是违背的。
[0005]在无线传感器网络中,由于传输的数据类型多且节点的安全无法得到保障。在有限的资源下进行尽可能高效安全的传输,必须要解决“在保障传感器网络的生命周期的前提下,对数据进行安全传输”的问题,在安全性和传输效率之间寻求很好的平衡。
【发明内容】
[0006]本发明一种基于1?%的无线传感器网络安全路由方法,节点采用随机虚拟嫩地址的方法来产生其1?%地址,该地址只对通信双方透明,从而使得恶意节点无法与正常节点进行通信。随机虚拟嫩地址同时可以防止恶意节点通过8331测距法确定节点的物理位置,防止节点被偷取或销毁而造成的数据丢失。本发明能大大提高无线传感器节点数据传输的可靠性,适合应用于军事和机场监控等多个领域。
[0007]术语解释
[0008]^0-^0-2^164转换法:采用接口的48位嫩0地址,在这个嫩0地址中间插入一个保留的16位数值并把它的全局/本地简写为11/1)位翻转设置为1,这样就把它转换成了一个64位的接口 10。
[0009]路由协议:即1是一种距离矢量路由协议,基于有向无环图的拓扑概念,通过使用目标函数0^)和度量集合构建以目的节点为导向的有向无环图。
[0010]三角质心法:如图1所示,在圆周定位模型中,理论上如果知道移动节点到三个信标节点的物理距离,分别以这三个信标节点作为圆心,到移动节点的物理距离为半径,画三个圆,这三个圆与移动节点都应该是相交的,即三个圆的公共交点就是移动节点13的位置。
[0011]0331(1^1(110 318的1 3廿611的卜匕也⑶如!')无线电信号强度:已知发射功率,接收节点通过接收功率,计算传播损耗,再通过理论或者经验的传播模型将传播损耗转换为距离。在自由空间中,距发射(1(米,或者一处的天线接收到的信号强度的公式如下:04(1)]-=((1/4)其中(1为接收端与发射端之间的距离⑷;屯为参考距离化),一般取加办⑷是接收端的接收信号功率(池一是参考距离屯点对应的接收信号功率((18111) 是一个平均值为0的高斯随机变量((18111),反映了当距离一定时,接收信号功率的变化为路径损耗指数,是一个与环境相关的值。通过测量接收信号的强度,利用这个公式即可计算收发节点之间的大概距离。
[0012]21^66:—种无线通信技术的名称,其功耗非常低,网络容量大,21^66标准在1222802.15.4标准基础上发展起来,21曲66协议被认为是当前无线传感器网络最适用的协议之一。
[0013]31成节点:在无线传感器网络中指的是汇聚节点,主要负责传感器网与外网(例如1=1:611161:)的连接,可以看作是网关(或基站)节点,31成节点还主要负责全网的数据汇聚。
[0014]1?、6 通信技术:1?、6 是 1=1:611161: ?1~01:0001 76^810116 的缩写,1?乂6 具有更大的地址空间,使用更小的路由表。在无线传感器将定位信息传送到网外或者要实现传感节点与其它异构通信设备的数据通信,将采用网络层的1?乂6通信协议。本发明专利中的无线传感器节点基于(基于1222802.15.4标准实现1?乂6通信的草案标准,由国际互联网工程任务组121?提出)体系,该体系可以有效实现无线传感器网络的全I?通信。
[0015]0^6 (£)11-601:6(1 ^070110:有向非循环图。
[0016]000^6 (1)681:11181:1011 01-16111:6(1 0^6):面向目的地的有向非循环图,以单独一个目的地生根的0^。
[0017]013:0八04(}请求信息'脑 1:1011 3011(:11^1:1011),用于发现附近的000^6和从附近的节点请求010消息。
[0018]010:000‘信息对象(000‘ 111^01-1118^1011 (^知⑶,010),其包含节点自身信息,如狀爾(排位),嫩地址。
[0019]一种基于1?%的无线传感器网络安全路由方法,在节点建立邻居关系阶段,利用1?乂6地址自动配置功能和随机生成虚拟嫩地址的方法,使用嫩即164转换法的机制生成只有同一条链路上的通信节点知道的随机1?%地址来进行通信;通信双方约定一个产生1?%地址的算法,不定时的更改1??6地址进行通信。
[0020]进一步地,利用1?%协议,根据嫩地址来生成接口 10,继而根据接口 10加上一个链路本地前缀组合在一起构成一个完整的11^6地址。
[0021]进一步地,根据嫩地址来生成接口 10具体为:将嫩地址转换成二进制格式,第三位后插入0处??2后,再反转1/1位得到二进制数,由该二进制数得到接口 10。
[0022]进一步地,随机产生嫩?:地址的算法:
[0023]嫩地址由6个00-叩的数字组成,依次随机产生这6个数字来达到随机产生整个嫩地址的算法,选取节点出厂的序列号和动态的时钟序列作为随机数种子,然后直接采用伪随机函数产生一个范围在004?的伪随机数作为第一个油“数,重复6次,产生完整的随机虚拟嫩地址。
[0024]进一步地,具体步骤为:
[0025]步骤1:将若干个无线传感器节点部署到位,打开开关使得传感器节点开始工作;
[0026]步骤2:任一传感器节点八随机产生虚拟職地址,不妨假设为3,八的任一邻居传感器节点8也产生一个虚拟嫩地址;
[0027]步骤3:8向八请求013包,征集邻居节点八的信息;
[0028]步骤4 -上收到013包,向8发送包含虚拟随机地址的010包;
[0029]步骤5:8收到010包后更新自身的邻居表,向八发送数据包;
[0030]步骤6 -上将其随机嫩地址£1转换成二进制格式比第三位后插入得到0再反转[凡位得到山根据上面的二进制数得到接口 10:6,将接口 10与链路本地前缀组合在一起得到1卜6地址:?;
[0031]步骤7:节点8将其随机嫩地址8转换成二进制格式卜,第三位后插入得到1再反转[凡位得到』,根据上面的二进制数得到接口 10 4,将接口 10与链路本地前缀组合在一起得到1卜6地址;
[0032]步骤8:双方由010包中得知对方的1??6地址,然后将数据包的目的地址设为对方地址进行数据传输;
[0033]步骤9:节点4的随机職地址建立一次邻居关系后即作废,并不定期的更新職地址,重复以上过程建立与8的连接。
[0034]本发明的有益效果是,该方法具有较高的数据传输安全性:
[0035]首先,本发明的安全解决方案,从1?%地址的随机性进行考虑,采用类似于跳频通信的思想,不定时的更改1?%地址,从而使得恶意节点无法得知攻击目标的1?%地址,进而难以进行相关攻击。
[0036]其次,现有的安全解决方案,大多没有考虑到节点的物理安全。当节点在建立邻居关系之前的阶段采用真实的嫩(:地址进行010包的发送,容易使得攻击者能够通过采集嫩(:地址的方法进行入侵。由于嫩地址的相对唯一性,使得节点暴露在存在恶意节点的环境中会很容易的暴露出其物理位置,产生安全隐患。本方法在建立邻居关系阶段采用随机嫩地址,从而避免了这一问题。
【专利附图】
【附图说明】
[0037]图1是通过三角质心法来确定节点的位置的测距原理图;
[0038]图2是实施例的方案说明示意图。
【具体实施方式】
[0039]下面结合附图详细说明本发明的优选实施例。
[0040]实施例针对目前无线传感器网络中数据包传输过程中遇到的安全问题提出了一种改进的方案,利用1?6地址自动配置功能和随机生成虚拟监地址的方法,使用^0-^0-2^164转换法的机制生成只有同一条链路上的通信节点知道的随机1?^6地址来进行通信。此方法类似于跳频通信,通信双方约定好一个产生1?%地址的算法,如^0-^0-2^164转换法,不定时的更改1??6地址进行通信。
[0041]本发明方法可在各种无线传感器网络应用环境下实现,不针对特定场合和需求。但本方法中的无线传感器网络节点应该具有以下功能:
[0042]1)支持1?乂6协议栈以及610界?灿^体系;
[0043]2)具备数据采集和无线通信模块;
[0044]3)支持尺?1路由协议。
[0045]实施例利用1?^6协议可以根据嫩地址来生成接口 10,继而根据接口 10加上一个链路本地前缀0x1^80::/64构成一个完整的1?^6地址的原理。让节点在发送010包建立邻居关系时采用随机虚拟獄地址,既可以达到隐藏节点位置保障节点物理安全的目的又可以让随机的嫩地址产生随机的1?%地址与网络中其他节点进行通信,使得数据传输得到双重的安全保障。
[0046]首先定义随机产生监地址的算法:
[0047]嫩地址由6个00-叩的数字组成,依次随机产生这6个数字来达到随机产生整个嫩地址的目标。首先选取节点出厂的序列号和动态的时钟序列作为随机数种子,然后直接采用随机数产生函数产生一个范围在00-5?的伪随机数作为第一个8611:数,重复6次,产生完整的随机虚拟嫩地址。
[0048]虚拟产生的嫩地址理论上一定会产生冲突。假设八和8的随机嫩地址冲突,八发送一个请求包,8正常发送接收数据,节点收到八的建立邻居关系请求,会产生一个应答,0收到8的建立邻居关系请求,必然也会发送一个应答给8,这时,4和8都会收到相同的应答包。当八,8再发送确认包给时,让同时放弃八,8的确认包来放弃建立与八,8的邻居关系来解决这个问题。当然在建立邻居阶段,出现、8随机到相同嫩地址同时向发送010包的情况是极小概率事件。
[0049]当一个节点采用固定的嫩地址向周围节点发送010包时,周围潜在的3个恶意节点可能同时接收到该节点发出的010包,并分别通过旧31方法确定3个恶意节点到攻击目标节点的距离,以三个点分别到该节点的距离为半径作圆,通过三角质心法来确定节点的位置,从而留下安全隐患。本方案中节点在建立邻居关系阶段随机生成监(:地址,从而使得节点难以被恶意定位。
[0050]具体实施流程如下:
[0051]步骤1:将若干个无线传感器节点部署到位,打开开关使得传感器节点开始工作。
[0052]步骤2:任一传感器节点4随机产生虚拟職地址,不妨假设为3。^的任一邻居传感器节点8也产生一个虚拟嫩地址8。
[0053]步骤3:8向八请求013包,征集邻居节点八的信息。
[0054]步骤4 -上收到013包,向8发送包含虚拟随机地址的010包。
[0055]步骤5:8收到010包后更新自身的邻居表,向八发送数据包。
[0056]步骤6 -上将其随机嫩地址£1转换成二进制格式比第三位后插入得到0再反转1/1位(即第七位)得到1根据上面的二进制数得到接口 10:6,将6与链路本地前缀组合在一起得到1卜6地址:?。
[0057]步骤7:节点8将其随机嫩地址8转换成二进制格式卜,第三位后插入得到1再反转1/1位(即第七位)得到根据上面的二进制数得到接口 10也将&与链路本地前缀组合在一起得到1?卩6地址1。
[0058]步骤8:双方由010包中得知对方的1??6地址,然后将数据包的目的地址设为对方地址进行数据传输。
[0059]步骤9:节点4的随机職地址建立一次邻居关系后即作废,并不定期的更新職地址,重复以上过程建立与8的连接。
[0060]两方交战,我方隐秘的在敌方营地中部署了若干无线多媒体传感器网络节点(支持尺?1路由协议和1?76通信),例如代号为的节点和代号为0的用于数据存储的节点。敌方间谍获悉了这一情报,但不知我方节点的具体部署位置。于是,敌方在其营地的敏感区域部署了若干个同样支持路由协议和1?乂6通信的节点,例如和~来试图获取多媒体节点的地理位置信息。
[0061]步骤1:敌方将恶意节点匕1,0部署在我方敏感区域,并使节点开始工作。
[0062]步骤2:传感器节点想要将拍摄到的数据传输给0,于是想与0建立连接,〇产生虚拟嫩地址^0-80-(:0-00-20-1^。传感器节点0也产生一个虚拟嫩0地址:^1-81-01-01-21-^10
[0063]步骤3 4向0发送013包,请求与节点0建立邻居关系来传输数据。
[0064]步骤4:0收到013包,向发送包含虚拟随机嫩地址八1-81-(:1-01-2141的010包。
[0065]步骤5:0收到010包后更新自身的邻居表,向发送数据包。
[0066]步骤6:建立邻居关系后,0将其随机嫩地址八0-80-⑶-00-2040转换成二进制格式 10100000 10110000 11000000 11010000 11100000 11110000,第三位后插入得到 10100000 10110000 11000000 11111111 11111110 11010000 11100000 11110000再反转 1/1位(即第七位)得到 10100010 10110000 11000000 11111111 1111111011010000 11100000 11110000。根据上面的二进制数得到接口 10:八280:?:0??:冊00:20?0,将接口 10与链路本地前缀组合在一起得到1?卩6地址:?280::八280:⑶??::20?0。
[0067]步骤7:0将其随机嫩(:地址八1-81-(:1-01-2141转换成二进制格式1010000110110001 11000001 11010001 11100001 11110001,第三位后插入得到 1010000110110001 11000001 11111111 11111110 11010001 11100001 11110001 再反转[/1 位(即第七位)得到 10100011 10110001 11000001 11111111 11111110 11010001 1110000111110001。根据上面的二进制数得到接口10与链路本地前缀组合在一起得到1?卩6地址:冊80::八381:?:1??:冊01:21?1。
[0068]步骤8:双方由010包中得知对方的1?卩6地址,然后将数据包的目的地址设为对方的1?%地址进行数据传输。
[0069]步骤9:节点的随机嫩地址建立一次邻居关系后即作废,为了保证摄像节点能监视至少一天一夜,更新周期定位30分钟一次,重复以上过程建立与0的连接。从而使得恶意节点无法知道的真实1?%地址。进而使得数据能够安全传输。
[0070]敌方发现无法远程入侵我方节点,试图通过物理入侵的办法消灭节点。节点I向我方部署的节点请求建立邻居关系,其中0收到I的请求后虚拟了嫩地址:^2-82-02-02-22-^2,将其封装在发往[的010中。I获知其中一个节点的地址后(敌方并不知道我方部署了多少个节点),将其霞分享给了节点1,1节点1试图向嫩地址为^2-82-02-02-22-^2的节点请求邻居关系,却无法找到这个节点,因为此时0的监0地址已经改变,敌方的攻击失败。
【权利要求】
1.一种基于IPv6的无线传感器网络安全路由方法,其特征在于: 在节点建立邻居关系阶段,利用IPv6地址自动配置功能和随机生成虚拟MAC地址的方法,使用MAC-to-En64转换法的机制生成只有同一条链路上的通信节点知道的随机IPv6地址来进行通信; 通信双方约定一个产生IPv6地址的算法,不定时的更改IPv6地址进行通信。
2.如权利要求1所述的基于IPv6的无线传感器网络安全路由方法,其特征在于,利用IPv6协议,根据MAC地址来生成接口 ID,继而根据接口 ID加上一个链路本地前缀组合在一起构成一个完整的IPv6地址。
3.如权利要求2所述的基于IPv6的无线传感器网络安全路由方法,其特征在于,根据MAC地址来生成接口 ID具体为:将MAC地址转换成二进制格式,在第三位后插入OxFFFE后,再反转U/L位得到二进制数,由该二进制数得到接口 ID。
4.如权利要求3所述的基于IPv6的无线传感器网络安全路由方法,其特征在于,随机产生MAC地址的算法: MAC地址由6个OO-FF的数字组成,依次随机产生这6个数字来达到随机产生整个MAC地址的算法,选取节点出厂的序列号和动态的时钟序列作为随机数种子,然后直接采用伪随机函数产生一个范围在OO-FF的伪随机数作为第一个Sbit数,重复6次,产生完整的随机虚拟MAC地址。
5.如权利要求1-4任一项所述的基于IPv6的无线传感器网络安全路由方法,其特征在于,具体步骤为: 步骤1:将若干个无线传感器节点部署到位,打开开关使得传感器节点开始工作; 步骤2:任一传感器节点A随机产生虚拟MAC地址,不妨假设为a,A的任一邻居传感器节点B也产生一个虚拟MAC地址:g ; 步骤3:B向A请求DIS包,征集邻居节点A的信息; 步骤4:A收到DIS包,向B发送包含虚拟随机MAC地址的D1包; 步骤5:B收到D1包后更新自身的邻居表,向A发送数据包; 步骤6:A将其随机MAC地址a转换成二进制格式b,第三位后插入OxFFFE得到c再反转U/L位得到d,根据上面的二进制数得到接口 ID:e,将接口 ID与链路本地前缀组合在一起得至IJ IPv6地址:f ; 步骤7:节点B将其随机MAC地址g转换成二进制格式h,第三位后插入OxFFFE得到i再反转U/L位得到j,根据上面的二进制数得到接口 ID:k,将接口 ID与链路本地前缀组合在一起得到IPv6地址; 步骤8:双方由D1包中得知对方的IPv6地址,然后将数据包的目的地址设为对方地址进行数据传输; 步骤9:节点A的随机MAC地址建立一次邻居关系后即作废,并不定期的更新MAC地址,重复以上过程建立与B的连接。
【文档编号】H04W40/24GK104333884SQ201410607237
【公开日】2015年2月4日 申请日期:2014年10月31日 优先权日:2014年10月31日
【发明者】黄海平, 陈征宇, 沙超, 宫天何, 王汝传, 徐佳, 李鹏飞, 丁燚 申请人:南京邮电大学