CN103906046A - 一种基于身份隐藏的安全点对点按需路由方法 - Google Patents
一种基于身份隐藏的安全点对点按需路由方法 Download PDFInfo
- Publication number
- CN103906046A CN103906046A CN201410155860.2A CN201410155860A CN103906046A CN 103906046 A CN103906046 A CN 103906046A CN 201410155860 A CN201410155860 A CN 201410155860A CN 103906046 A CN103906046 A CN 103906046A
- Authority
- CN
- China
- Prior art keywords
- node
- routing
- identity
- source node
- demand
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于身份隐藏的安全点对点按需路由方法,本发明采用和AODV一样的On-demand路由机制,但源节点和目的节点的身份在路由请求阶段和响应阶段分别被隐藏。一个公开的单向Hash函数可以利用这些隐藏的路由信息对所有路由信息进行认证,源节点和目的节点之间并不需要一个预先的启动密钥或共享密钥。只有位于被选择路径上的节点才能获得完整的路由信息,其它节点,包括攻击者,将缺乏充分的路由信息进行攻击。此外,路由如果在数据传输过程中有节点耗能过多而失效,有专门的路由恢复策略来进行路径局部更改和修复,使方法具有足够的健壮性。
Description
技术领域
本发明涉及通讯技术领域,特别涉及一种基于身份隐藏的安全点对点按需路由方法。
背景技术
目前对点对点(Ad Hoc)网络的研究主要集中在基本路由协议上,MANET研究组提出的许多协议草案,比如单播路由协议DSR、AODV、ZRP和多播路由协议AMRIS、AMRoute等,而在无线多播中大部分路由协议是基于树状的,但多树的结构非常脆弱,并且当连接改变时它必须进行调整,进一步来说,多播树总是需要一个全局的路由子结构如链路状态或距离向量。路由向量或链路状态的频繁改变产生拓扑结构的频繁变化,最终产生大量开销和信道负载。
由于无线网的广播特性,使得自组网中的多播有着独特的优势,打破了有线网络中多播建立在单播基础之上的定律,可以独立地更有效地解决多播路由问题。常见的多播协议有MAODV,AMRIS,AMRoute、ODMRP、CAMP等。其中ODMRP(On-Demand Multicast Routing Protoco1)协议是上述自组网多播协议中性能较好的一个,具有吞吐量大、适合高速运动等特点。但ODMRP是建立在数据明文传送的基础之上,数据传输过程中安全问题得不到保障。
Ad Hoc网络可以廉价、快速的建立,其应用范围包括军事、灾难救助、社区网络等等。为了防止攻击,安全的路由协议在Ad Hoc网络中是必需的。由于Ad Hoc网络具有高度动态变化的特点和有限资源,导致设计一个安全有效的路由协议是困难的。类似前面提到的许多Ad Hoc路由协议已经被提出,但它们均没有采取任何的安全措施,并且在本质上信任每个路由协议参与者。
Perlman首先研究路由协议的安全问题,并且提出了基于数字签名技术的安全flooding和最短路径算法。使用数字签名技术保护路由信息很直观,但效率不高,特别是在一个移动Ad Hoc网络环境中。Papadimitratos提出了一个基于动态源路由协议(DSR)的安全路由协议(SRP)。这个协议假设源节点和目的节点之间存在一个安全联盟(SA),并且共享一个秘密钥。Dahill提出了认证的AdHoc路由协议(ARAN),从而将认证、信息完整性和不可否认性的概念引入Ad Hoc网络。但是这个协议使用的是公钥系统,这对于Ad Hoc网络来说是很昂贵的,并且如何选择一个可信的CA并不清楚。Hu Yih-Chun分别提出了安全的on-demand和proactive Ad Hoc路由协议。这两个协议使用单向Hash函数链进行路由信息的安全保护。尽管单向Hash链是一个快速的密码工具,适合Ad Hoc网络,但是它们要求网络中的节点时钟同步,而且Ariadene协议还要求相互通信的节点之间预先拥有一个启动密钥。
发明内容
本发明的目的在于从一个新的角度提出了一种基于身份隐藏的安全点对点按需路由方法。该方法采用和AODV一样On-demand路由机制,但源节点和目的节点的身份在路由请求阶段和路由响应阶段分别被隐藏。一个公开的单向Hash函数可以利用这些隐藏的路由信息对所有路由信息进行认证,源节点和目的节点之间并不需要一个预先的启动密钥或共享密钥。该方法的另外一个重要特点是只有位于被选择路径上的节点才能获得完整的路由信息,其它节点(包括攻击者)将缺乏充分的路由信息进行攻击。
为解决上述技术问题,本发明提供一种基于身份隐藏的安全点对点按需路由方法,包括:
源节点广播路由请求分组给自己的邻节点进行路径搜索;
某一邻节点处理与转发所述路由请求分组;
目的节点产生路径响应分组,建立反向路径;
某一邻节点处理与转发所述路径响应分组。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述路由请求分组包括{broadcast_id,dest_addr,temporary_id,hop_cnt,hash_chain,encrypted_message},其中,{broadcast_id,dest_addr}唯一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|TS)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;|表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(S|D|R);所述encrypted_message包括用目的节点公钥加密的信息
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述源节点广播路由请求分组给自己的邻节点进行路径搜索的步骤包括:
源节点获取一单向Hash链的初始值;
所述源节点在自己的预处理路由表中建立不完善的前向路径。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述前向路径由源节点随机产生的标识符索引。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述处理与转发所述路由请求分组的步骤包括:
某一邻节点产生随机产生的标识符;
根据现有的路由表在预处理路由表中建立不完善的前向路径和反向路径。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,在前向路径和反向路径中,将temporary_id的值从源节点随机产生的标识符替换成所述邻节点随机产生的标识符;hop_cnt的值由上一节点的hop_cnt+1得到;将hash_chain的值从前一节点hash值替换成所述邻节点的hash值。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,所述路径响应分组包括{temporary_id,source_addr,R,hop_cnt},其中,所述temporary_id是路径响应分组中原有的临时标识符;所述source_addr为源节点S的IP地址;所述R是源节点产生的随机数;所述hop_cnt的初始值为0。
进一步的,在所述的基于身份隐藏的安全点对点按需路由方法中,在转发所述路径响应分组前,该邻节点将hop_cnt的值+1;将temporary_id的值从上一点随机产生的标识符替换成该邻节点随机产生的标识符。
本发明提供的基于身份隐藏的安全点对点按需路由方法,具有以下有益效果:源节点和目的节点的IP地址并不同时出现在路由请求分组(RREQ)和路径响应分组(RREP)分组中,它们通过邻节点产生的随机标识符相联系,只有位于被选择路径上的节点可以获得完整的路由信息。即使非选择路径上的节点可以捕获到RREP分组,它也无法将两部分路由信息相关联,因为RREP分组中的临时标识符不是它自己产生的,预处理路由表中并不包含由此标识符索引的路径。这个特点可以用来抵抗一些简单却顽固的攻击。此外,攻击者无法通过减少RREQ分组中的hop_cnt域来增加进入被选择路径的机会,因为目的节点使用RREQ分组所包含的Hash链的最后一个值对hop_cnt进行验证。
附图说明
图1-2是本发明优选实施例的基于身份隐藏的安全点对点按需路由方法示意图。
具体实施方式
以下结合附图和具体实施例对本发明提出的基于身份隐藏的安全点对点按需路由方法作进一步详细说明。根据下面说明和权利要求书,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
如图1和图2所示,本发明提供一种基于身份隐藏的安全点对点按需路由方法,具体包括以下步骤:
步骤一:源节点广播路由请求分组给自己的邻节点进行路径搜索;
如果源节点希望和另外一个节点通信,但在其正式路由表中没有相应的路径,则它发起一个路径搜索程序。源节点首先计算单向Hash链的初始值,H1=H(S|D|R),并且在自己的预处理路由表中建立不完善的前向路径,这条路径由源节点随机产生的标识符IDS索引。
所述路由请求分组(RREQ)包括{broadcast_id,dest_addr,temporary_id,hop_cnt,hash_chain,encrypted_message},其中,{broadcast_id,dest_addr}唯一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|TS)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;|表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(S|D|R);所述encrypted_message包括用目的节点公钥加密的信息本发明的RREQ分组和AODV中的RREQ分组不同,源节点的IP地址S不是以明文方式存在的,是被隐藏的。
如表1所示,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
表1
步骤二:某一邻节点处理与转发所述路由请求分组;
假设当前处理节点i从节点j处接收到一个新的RREQ分组,其中hop_cnt域为hop_cntj,temporary_id域为IDj,hash_chain域为Hj。节点i首先产生一个随机的标识符IDi,并根据现有的路由信息在预处理路由表中创建不完善的前向路径和反向路径,并由IDi索引(如表2所示,在转发RREQ分组之前,节点i必需更新某些域的内容:RREQ的临时标识符IDj由IDi替代;递增hop_cnt域为hop_cntj+1;hash_chain的值从前一节点hash值替换成所述节点i的hash值Hi,Hi=H(Hj)。
表2
特别的,尽管{broadcast_id,dest_addr}唯一地标识一个RREQ分组,但是处理RREQ的中间节点无法获得有关源节点的任何信息。
步骤三:目的节点产生路径响应分组,建立反向路径;
由于中间节点无法获得完整的路由信息,因此在这个安全路由协议中,中间节点无法产生路径响应(RREP)分组。而在AODV中,中间节点产生RREP的能力可以被攻击者利用进行black hole攻击。另外,源节点通常希望和目的节点建立双向通信,在这中情况下,AODV路由协议要求产生RREP的中间节点必需通知目的节点关于反向路径的信息。所有只允许目的节点产生RREP分组是合理的。
首先,目的节点D通过解密获得隐藏的路由信息:真实源节点S,随机数R和时戳TS。获得随机数R后,节点D可以计算距离源节点S的真实的hop数目如下:
hop=RREQ.hop_cnt-R+1
目的节点D通过对{S|D|R}进行hop次hash运算获得Hhop(S|D|R),并且检测结果是否和RREQ分组中hash_chain相等。如果不相等,D不响应该RREQ分组,因为该路径上的某个节点企图通过减少RREQ的hop_cnt来增加该路径被选择的机会。否则D在自己的正式路由表中建立通向源节点S的反向路径,并加上当前时戳TD。
在建立反向路径后,目的节点D构造包含下面信息域的RREP分组:temporary_id,source_addr,R,hop_cnt},其中,temporary_id是RREQ中原有的临时标识符,source_addr为源节点S的IP地址,所述R是源节点产生的随机数,hop_cnt的初始值为0。如图1和2所示,该RREP分组沿着被选择的ID链转发给源节点,这条ID链隐含着被选择的反向路径。
步骤四:某一邻节点处理与转发所述路径响应分组。
位于被选择路径上的一个节点收到RREP分组后,它在预处理路由表中搜索到由RREP分组临时标识符索引的前向和反向路径(表2),这样两部分路由信息可以合并成完整的路由信息。该节点将保存的反向路径的hop_cnt(表2)减去随机数R就可以获得真正的反向路径距离hop,并计算Hhop(S|D|R),该结果应当和保存的Hash值相同,否则说明前面节点篡改了路由信息。根据所获得的完整路由信息,该节点在正式路由表中建立正式的前向路径和反向路径,并为前向路径加上当前时戳。在转发RREP分组之前,该节点需要更新其中的某些域:hop_cnt增加1;temporary_id由预处理路由表中相应的Previous id(表2)代替。源节点S收到RREP后,采用同样的方式对路由信息进行认证,并在正式路由表中构建完整的前向路径。
综上所述,本发明综合了基于身份隐藏的按需路由和基于单向链函数的安全路由的优点,为无线自组网络模型提供了安全、健壮的路由策略,很大程度上提高了无线自组网的路由效率和安全。源节点和目的节点的IP地址并不同时出现在路由请求分组(RREQ)和路径响应分组(RREP)分组中,它们通过邻节点产生的随机标识符相联系,只有位于被选择路径上的节点可以获得完整的路由信息。即使非选择路径上的节点可以捕获到RREP分组,它也无法将两部分路由信息相关联,因为RREP分组中的临时标识符不是它自己产生的,预处理路由表中并不包含由此标识符索引的路径。这个特点可以用来抵抗一些简单却顽固的攻击。
此外,攻击者无法通过减少RREQ分组中的hop_cnt域来增加进入被选择路径的机会,因为目的节点使用RREQ分组所包含的Hash链的最后一个值对hop_cnt进行验证。在路由响应阶段,攻击者即使获得了全部的路由信息,它也无法对敏感路由信息进行篡改,因为在路由请求阶段,所有参与路由协议的节点都在自己的预处理路由表中保存了敏感路由信息的Hash(单向函数)值,攻击者对于这些信息的篡改无法通过下一个节点的验证。
上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (9)
1.一种基于身份隐藏的安全点对点按需路由方法,其特征在于,包括:
源节点广播路由请求分组给自己的邻节点进行路径搜索;
某一邻节点处理与转发所述路由请求分组;
目的节点产生路径响应分组,建立反向路径;
某一邻节点处理与转发所述路径响应分组。
2.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述路由请求分组包括{broadcast_id,dest_addr,temporary_id,hop_cnt,hash_chain,encrypted_message},其中,{broadcast_id,dest_addr}唯一地标识了路由请求分组,所述broadcast_id通过H(S|D|R|TS)获得,其中,S表示源节点;D表示目的节点;R表示源节点产生的随机数;|表示连接;TS为当前时戳;所述dest_addr表示目的节点的IP地址;所述temporary_id的初始值为源节点随机产生的标识符;所述hop_cnt的初始值为源节点产生的随机数;所述hash_chain的初始值为H1=H(S|D|R);所述encrypted_message包括用目的节点公钥加密的信息
3.如权利要求2所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述源节点广播路由请求分组给自己的邻节点进行路径搜索的步骤包括:
源节点获取一单向Hash链的初始值;
所述源节点在自己的预处理路由表中建立不完善的前向路径。
4.所述如权利要求3所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述预处理路由表包括目的节点、下一节点、Hop计数器、前一节点标识符、当前节点标识符、Hash链和时间戳。
5.如权利要求3所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述前向路径由源节点随机产生的标识符索引。
6.如权利要求2所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述处理与转发所述路由请求分组的步骤包括:
某一邻节点产生随机产生的标识符;
根据现有的路由表在预处理路由表中建立不完善的前向路径和反向路径。
7.如权利要求6所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,在前向路径和反向路径中,将temporary_id的值从源节点随机产生的标识符替换成所述邻节点随机产生的标识符;hop_cnt的值由上一节点的hop_cnt+1得到;将hash_chain的值从前一节点hash值替换成所述邻节点的hash值。
8.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,所述路径响应分组包括{temporary_id,source_addr,R,hop_cnt},其中,所述temporary_id是路径响应分组中原有的临时标识符;所述source_addr为源节点S的IP地址;所述R是源节点产生的随机数;所述hop_cnt的初始值为0。
9.如权利要求1所述的基于身份隐藏的安全点对点按需路由方法,其特征在于,在转发所述路径响应分组前,该邻节点将hop_cnt的值+1;将temporary_id的值从上一点随机产生的标识符替换成该邻节点随机产生的标识符。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155860.2A CN103906046A (zh) | 2014-04-17 | 2014-04-17 | 一种基于身份隐藏的安全点对点按需路由方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155860.2A CN103906046A (zh) | 2014-04-17 | 2014-04-17 | 一种基于身份隐藏的安全点对点按需路由方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103906046A true CN103906046A (zh) | 2014-07-02 |
Family
ID=50997154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410155860.2A Pending CN103906046A (zh) | 2014-04-17 | 2014-04-17 | 一种基于身份隐藏的安全点对点按需路由方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103906046A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005562A (zh) * | 2014-12-08 | 2017-08-01 | 皇家飞利浦有限公司 | 网络中的设备的调试 |
CN108924131A (zh) * | 2018-07-02 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种摄像头物联网拟态防护方法以及装置 |
CN109286934A (zh) * | 2018-10-26 | 2019-01-29 | 电子科技大学 | 一种应用于无限区域的无线自组网的安全认证方法 |
CN109698791A (zh) * | 2018-11-29 | 2019-04-30 | 北京天元特通科技有限公司 | 一种基于动态路径的匿名接入方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009051099A1 (ja) * | 2007-10-15 | 2009-04-23 | Sony Corporation | コンテンツ取得装置、プログラム、コンテンツ取得方法、およびコンテンツ取得システム |
CN101867933A (zh) * | 2010-05-28 | 2010-10-20 | 东南大学 | 一种基于公钥数字签名和路由恶意检测的安全路由方法 |
CN102098318A (zh) * | 2011-03-23 | 2011-06-15 | 电子科技大学 | 多跳网络的端到端匿名安全通信方法 |
CN102572994A (zh) * | 2012-01-11 | 2012-07-11 | 清华大学 | 基于节点特征的无线自组织网络容断路由生成方法 |
-
2014
- 2014-04-17 CN CN201410155860.2A patent/CN103906046A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009051099A1 (ja) * | 2007-10-15 | 2009-04-23 | Sony Corporation | コンテンツ取得装置、プログラム、コンテンツ取得方法、およびコンテンツ取得システム |
CN101867933A (zh) * | 2010-05-28 | 2010-10-20 | 东南大学 | 一种基于公钥数字签名和路由恶意检测的安全路由方法 |
CN102098318A (zh) * | 2011-03-23 | 2011-06-15 | 电子科技大学 | 多跳网络的端到端匿名安全通信方法 |
CN102572994A (zh) * | 2012-01-11 | 2012-07-11 | 清华大学 | 基于节点特征的无线自组织网络容断路由生成方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107005562A (zh) * | 2014-12-08 | 2017-08-01 | 皇家飞利浦有限公司 | 网络中的设备的调试 |
CN107005562B (zh) * | 2014-12-08 | 2020-04-07 | 皇家飞利浦有限公司 | 网络中的设备的调试 |
CN108924131A (zh) * | 2018-07-02 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种摄像头物联网拟态防护方法以及装置 |
CN109286934A (zh) * | 2018-10-26 | 2019-01-29 | 电子科技大学 | 一种应用于无限区域的无线自组网的安全认证方法 |
CN109698791A (zh) * | 2018-11-29 | 2019-04-30 | 北京天元特通科技有限公司 | 一种基于动态路径的匿名接入方法 |
CN109698791B (zh) * | 2018-11-29 | 2021-05-11 | 北京天元特通科技有限公司 | 一种基于动态路径的匿名接入方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103037367B (zh) | 无线传感网络中基于密码hash计算的认证方法 | |
Aluvala et al. | An empirical study of routing attacks in mobile ad-hoc networks | |
CN104468349A (zh) | 一种基于逐跳监督的bgp路由验证方法 | |
Zhang et al. | PIF: A personalized fine-grained spam filtering scheme with privacy preservation in mobile social networks | |
Soni et al. | Enhancing security features & performance of AODV protocol under attack for MANET | |
CN103906046A (zh) | 一种基于身份隐藏的安全点对点按需路由方法 | |
CN102006595B (zh) | 一种无线传感器网络密钥管理方法 | |
Prathima et al. | SDAMQ: secure data aggregation for multiple queries in wireless sensor networks | |
Anita et al. | Black hole attack prevention in multicast routing protocols for mobile ad hoc networks using certificate chaining | |
Hinge et al. | Opinion based trusted AODV routing protocol for MANET | |
CN103906163A (zh) | 一种基于鱼眼域的安全点对点路由方法 | |
You et al. | A novel group key agreement protocol for wireless mesh network | |
Bhardwaj et al. | Detection and avoidance of blackhole attack in AOMDV protocol in MANETs | |
Ye et al. | A safe proactive routing protocol SDSDV for ad hoc network | |
Zhou et al. | Secure opportunistic routing for wireless multi-hop networks using LPG and digital signature | |
Nanda et al. | Secure and efficient key management scheme for wireless sensor networks | |
Alomari | Security authentication of AODV protocols in MANETs | |
Alkhuder | Securing ad-hoc on-demand distance vector protocol in wireless sensor networks: Working with what the node can offer | |
Vidhya et al. | Securing data in ad hoc networks using multipath routing | |
Zalte et al. | Pre-Path and Post-Path Security to Mobile Adhoc Network | |
Li | A new signcryption algorithm for secure communication in ad hoc networks | |
Rizzetti et al. | A secure and lightweight multicast communication system for Smart Grids | |
Ye et al. | Intelligent On-demand Routing Protocol for Ad Hoc Network. | |
Chen et al. | An Efficient and Secure Group Key Agreement Using in the Group Communication of Mobile Ad-hoc Networks | |
Liang et al. | An improved identity-based secure mobile ad-hoc network routing protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140702 |