CN103957097A - 移动Ad Hoc网络路由和数据安全保障方法 - Google Patents
移动Ad Hoc网络路由和数据安全保障方法 Download PDFInfo
- Publication number
- CN103957097A CN103957097A CN201410145386.5A CN201410145386A CN103957097A CN 103957097 A CN103957097 A CN 103957097A CN 201410145386 A CN201410145386 A CN 201410145386A CN 103957097 A CN103957097 A CN 103957097A
- Authority
- CN
- China
- Prior art keywords
- route
- routing
- node
- message
- source node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动AdHoc网络路由和数据安全保障方法,属于网络安全技术领域。本发明对建立的路由进行端到端的测试验证,同时为防止恶意节点窃取路由测试验证报文,冒充目的节点伪造测试应答消息欺骗源节点,对路由测试验证报文进行非对称加密,增强安全性。本发明同时对在该路由上的数据通信进行对称加密,为了保护对称加密密钥的安全性,将对称加密密钥封装在路由测试验证报文中,一起进行非对称加密后发送给目的节点,同时完成了路由测试认证和数据对称加密密钥的安全传输,起到同时保护路由与数据安全的效果。本发明方法能够以较小的网络开销同时保护网络中的路由与数据安全,尤其适合于移动AdHoc网络,也可用于其它网络。
Description
技术领域
本发明涉及移动Ad Hoc网络,尤其涉及一种移动Ad Hoc网络路由和数据安全保障方法,属于网络安全技术领域。
背景技术
移动Ad Hoc网络是一种特殊的无中心、自组织、多跳的无线通信网络。它与传统网络的显著差别有三点:无固定基础的网络设施(基站、路由器、交换机等)、动态的网络拓扑、资源受限。自由开放的网络环境、脆弱的无线信道使其面临着诸多的安全问题,尤其体现在路由与数据安全方面。
移动Ad Hoc网络中不存在路由器等中心基础设施,网络节点既是主机又是路由器,相互协作,共同担任着执行路由协议的任务。因此,路由的安全依赖于所有节点都能严格按照路由规则去执行路由的建立与维护工作,这是移动Ad Hoc网络路由安全脆弱性的关键所在。恶意节点趁机而入,采取各种非法手段进行路由攻击。移动Ad Hoc网络路由面临的攻击方式多种多样,典型的有blackhole黑洞攻击、虫洞攻击、篡改RREP报文信息等。同时,移动Ad Hoc网络数据通信建立在多跳路由上,源节点发送的数据通过中间节点的依次转发才能达到目的节点。数据的安全依赖于路由的正确性、路由沿途中间节点的诚实性、无线信道的安全性,这在移动Ad Hoc网络中是难以保证的。因此,移动Ad Hoc网络数据极易受到窃取、篡改、重放、泄漏、伪造等各类攻击行为。
移动Ad Hoc网络面临的路由与数据安全问题通常比较隐蔽且难以防范,对于路由安全,往往通过改进路由协议,增加一系列的安全机制来增强路由安全性,如身份认证、数字签名技术等。数字签名等技术源于非对称加密技术,非对称加密需要两个密钥:“公钥”和“私钥”。 公钥对外公开,私钥自己保留,两者互为一对。如果用公钥加密,只有对应的私钥才能解密,反之亦然。非对称加密安全性高,但复杂度大,在资源受限的Ad Hoc网络并不能频繁使用。此外路由攻击方式多种多样,往往只是针对其中部分进行相应的防范,很难以偏概全。对于数据安全,往往采取数据加密技术来保证数据安全,由于Ad Hoc网络资源受限,一般采取复杂度小的对称加密技术,如DES加密算法。但对称加密安全性低,加密解密采用同一个密钥,需要一条绝对安全的信道将密钥发送给对方,这在移动Ad Hoc网络中是无法保证的。其次,路由与数据传输,后者虽然依赖前者,但两者的网络功能相对独立,两者面临的安全问题也不相同,以往的研究,对路由安全与数据安全问题往往分开考虑,分别提出相应的解决方案,缺乏一种统一的方案能够同时有效保护移动Ad Hoc网络路由与数据安全。
发明内容
本发明所要解决的技术问题在于克服现有技术不足,提供一种移动Ad Hoc网络路由和数据安全保障方法,能够以较小的网络开销同时保护移动Ad Hoc网络的路由与数据安全。
本发明具体采用以下技术方案:
一种移动Ad Hoc网络路由和数据安全保障方法,
在网络初始化阶段,各节点分别生成各自用于非对称加密的公钥和私钥,公钥对其它节点公开,私钥自已保存,各节点中均存储有其它节点的公钥;
当新的路由建立后首先进行以下路由验证:
源节点先为该路由生成路由验证码及对称加密密钥,将两者封装于路由测试验证报文中,再用目的节点的公钥将封装后的路由测试验证报文进行非对称加密之后,发给目的节点,并等待一段预定的时间,如在该段时间内未收到目的节点发送的路由测试应答报文,则路由验证失败,源节点删除该路由记录;
目的节点用自身的私钥对收到的路由测试验证报文进行解密,得到路由验证码与对称加密密钥,然后生成包含该路由验证码的路由测试应答报文并用源节点的公钥对路由测试应答报文进行非对称加密之后,发给源节点;如目的节点用自身的私钥无法对收到的路由测试验证报文进行解密,则路由验证失败,目的节点将路由测试验证报文丢弃,不做其它处理;
源节点用自身的私钥对收到的路由测试应答报文进行解密,并根据路由测试应答报文中的路由验证码与初始生成的路由验证码是否一致,判断路由验证是否成功;如源节点用自身的私钥无法对收到的路由测试应答报文进行解密,或者,路由测试应答报文中的路由验证码与初始生成的路由验证码不一致,则路由验证失败,源节点删除该路由记录;
路由验证成功后,启用该路由并用所述对称加密密钥进行通信数据的加解密。
本发明技术方案能够同时有效保护移动Ad Hoc网络路由与数据安全。基于非对称加密的路由测试验证保证了路由的正确性。基于对称加密的数据保护,并将对称加密密钥封装在路由测试验证报文中,一起进行非对称加密后发送给目的节点,既节省了开销又保证了对称加密密钥的安全,同时排除了如果正确的路由中存在恶意节点发起数据窃取、伪造、篡改等攻击的可能性。此外,路由测试验证只需源节点和目的节点之间的一次双向传输,数据量少,而数据通信传输频繁,数据量大,将非对称加密用于路由测试验证,对称加密用于数据保护,对于资源受限的移动Ad Hoc 网络是比较合适的,减小了网络的开销,可行性高。本发明也可用于对其他网络的路由与数据安全保护。
附图说明
图1为本发明的路由和数据安全保障方法中源节点端的工作流程图;
图2 为具体实施方式中使用的一种路由测试验证报文的结构图;
图3为本发明的路由和数据安全保障方法中目的节点端的工作流程图;
图4为具体实施方式中使用的一种路由测试应答报文的结构图。
具体实施方式
多数路由攻击行为采取的方式不同,但都会导致共同的最终结果,即破坏路由的正确性,制造虚假的路由信息。因此,本发明从结果的角度出发,对建立的路由进行端到端的测试验证,同时为防止恶意节点窃取路由测试验证报文,冒充目的节点伪造测试应答消息欺骗源节点,对路由测试验证报文进行非对称加密,增强安全性。本发明同时对在该路由上的数据通信进行对称加密,为了保护对称加密密钥的安全性,将对称加密密钥封装在路由测试验证报文中,一起进行非对称加密后发送给目的节点,同时完成了路由测试认证和数据对称加密密钥的安全传输,起到同时保护移动Ad Hoc网络路由与数据安全的效果。
基于以上分析即可得到本发明的移动Ad Hoc网络路由和数据安全保障方法,具体如下:
在网络初始化阶段,各节点分别生成各自用于非对称加密的公钥和私钥,公钥对其它节点公开,私钥自已保存,各节点中均存储有其它节点的公钥;
当新的路由建立后首先进行以下路由验证:
源节点先为该路由生成路由验证码及对称加密密钥,将两者封装于路由测试验证报文中,再用目的节点的公钥将封装后的路由测试验证报文进行非对称加密之后,发给目的节点,并等待一段预定的时间,如在该段时间内未收到目的节点发送的路由测试应答报文,则路由验证失败,源节点删除该路由记录;
目的节点用自身的私钥对收到的路由测试验证报文进行解密,得到路由验证码与对称加密密钥,然后生成包含该路由验证码的路由测试应答报文并用源节点的公钥对路由测试应答报文进行非对称加密之后,发给源节点;如目的节点用自身的私钥无法对收到的路由测试验证报文进行解密,则路由验证失败,目的节点将路由测试验证报文丢弃,不做其它处理;
源节点用自身的私钥对收到的路由测试应答报文进行解密,并根据路由测试应答报文中的路由验证码与初始生成的路由验证码是否一致,判断路由验证是否成功;如源节点用自身的私钥无法对收到的路由测试应答报文进行解密,或者,路由测试应答报文中的路由验证码与初始生成的路由验证码不一致,则路由验证失败,源节点删除该路由记录;
路由验证成功后,启用该路由并用所述对称加密密钥进行通信数据的加解密。
优选地,源节点为各路由随机生成路由验证码及对称加密密钥,且不同路由的路由验证码及对称加密密钥也不同。
为便于公众理解,下面结合附图对本发明的技术方案进行进一步地详细说明:
在网络初始化阶段,各节点 产生各自用于非对称加密的公钥和私钥,(其中,为节点的编号,为网络节点总数),公钥对其他所有节点公开,私钥自己保留,各节点将其它节点的公钥存储在自身的存储器中。
图1示出了本发明的路由和数据安全保障方法中源节点端的工作流程,如图所示,每当源节点 建立到目的节点 的新路由时,首先对该路由的正确性进行端到端的测试验证。源节点S为该路由随机生成路由验证码TC(Testing Code)与数据对称加密密钥,并将TC与两项信息添加存储到对应的路由表项中,不同路由的验证码TC与数据对称加密密钥也不同。然后将和TC封装在路由测试验证报文中,图2示出了一种封装后的路由测试验证报文结构,该路由测试验证报文包括源节点地址SA、目的节点地址DA、报文类型码Type、路由验证码TC、以及数据对称加密密钥五项信息。SA、DA用于目的节点确认该测试消息的来源和是否发送给自己;Type 用于表明报文类型为路由测试验证报文;TC用于路由验证,目的节点只需将TC原封不动地回发给源节点,由源节点验证其前后的一致性以判断路由的正确性;用于之后数据通信的对称加解密。源节点S将封装后的路由测试验证报文利用自身存储器中保存的目的节点的公钥进行非对称加密,沿待测试的路由发送给目的节点,同时启动定时器来等待目的节点的应答。
图3示出了本发明的路由和数据安全保障方法中目的节点端的工作流程,如图所示,目的节点接受到后,利用自己的私钥进行解密得到路由测试验证报文与对称加密密钥。若解密失败,说明该路由可能存在风险,直接丢弃,不做处理。解密成功后,在对中路由测试验证报文Type、SA、DA各项参数验证无误后,目的节点保存本条路由数据通信的对称加密密钥,然后生成路由测试应答报文,图4示出了一种路由测试应答报文的结构,该路由测试验证报文包括目的节点地址DA、源节点地址SA、报文类型Type、路由验证码TC四项信息。其中DA、SA 用于源节点确认该测试消息的来源和是否发送给自己;Type 用于表明消息类型为;测试码TC用于路由验证,其值应与路由测试验证报文中TC值一致。目的节点利用存储器中保存的源节点的公钥对路由测试应答报文进行非对称加密,回发给源节点。
如图1所示,源节点若在定时器超时后仍未收到目的节点发送的,则认为该路由不正确或稳定性不高,删除该路由。若在定时器设定时间内接收到,利用用自己的私钥进行解密得到测试应答报文。若解密失败,说明该路由可能存在风险,同样删除该路由。解密成功后,在对测试应答报文中的Type、DA、 SA各项参数验证无误后,进行TC路由验证码前后一致验证,若和中TC相同,则路由验证成功,启用该路由;否则,认证失败,删除该路由。由于采用安全性较强的非对称加密,除了目的节点,其他节点无法获取路由测试验证报文里的内容TC的值,克服了恶意节点伪造欺骗源节点的弊端,具备较高安全性。
路由认证成功后,源节点与目的节点便可利用该路由的数据对称加密密钥进行通信数据的对称加密,实现安全的数据通信。同样,因为密钥封装在路由测试验证报文中并采用非对称加密保护,除了目的节点,其他任何节点都无法获取,克服了对称加密密钥安全性得不到保障的弊端,同时排除了如果正确的路由中存在其他恶意节点发起数据窃取、伪造、篡改等攻击的可能性,具备较高安全性。因此,本发明能同时高效地保护移动Ad Hoc网络路由与数据安全。
Claims (4)
1.一种移动Ad Hoc网络路由和数据安全保障方法,其特征在于,
在网络初始化阶段,各节点分别生成各自用于非对称加密的公钥和私钥,公钥对其它节点公开,私钥自已保存,各节点中均存储有其它节点的公钥;
当新的路由建立后首先进行以下路由验证:
源节点先为该路由生成路由验证码及对称加密密钥,将两者封装于路由测试验证报文中,再用目的节点的公钥将封装后的路由测试验证报文进行非对称加密之后,发给目的节点,并等待一段预定的时间,如在该段时间内未收到目的节点发送的路由测试应答报文,则路由验证失败,源节点删除该路由记录;
目的节点用自身的私钥对收到的路由测试验证报文进行解密,得到路由验证码与对称加密密钥,然后生成包含该路由验证码的路由测试应答报文并用源节点的公钥对路由测试应答报文进行非对称加密之后,发给源节点;如目的节点用自身的私钥无法对收到的路由测试验证报文进行解密,则路由验证失败,目的节点将路由测试验证报文丢弃,不做其它处理;
源节点用自身的私钥对收到的路由测试应答报文进行解密,并根据路由测试应答报文中的路由验证码与初始生成的路由验证码是否一致,判断路由验证是否成功;如源节点用自身的私钥无法对收到的路由测试应答报文进行解密,或者,路由测试应答报文中的路由验证码与初始生成的路由验证码不一致,则路由验证失败,源节点删除该路由记录;
路由验证成功后,启用该路由并用所述对称加密密钥进行通信数据的加解密。
2.如权利要求1所述移动Ad Hoc网络路由和数据安全保障方法,其特征在于,源节点为各路由随机生成路由验证码及对称加密密钥,且不同路由的路由验证码及对称加密密钥也不同。
3.如权利要求1所述移动Ad Hoc网络路由和数据安全保障方法,其特征在于,所述路由测试验证报文包括:源节点地址、目的节点地址、报文类型、路由验证码、对称加密密钥。
4.如权利要求1所述移动Ad Hoc网络路由和数据安全保障方法,其特征在于,所述路由测试应答报文包括:目的节点地址、源节点地址、报文类型、路由验证码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145386.5A CN103957097A (zh) | 2014-04-14 | 2014-04-14 | 移动Ad Hoc网络路由和数据安全保障方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145386.5A CN103957097A (zh) | 2014-04-14 | 2014-04-14 | 移动Ad Hoc网络路由和数据安全保障方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103957097A true CN103957097A (zh) | 2014-07-30 |
Family
ID=51334328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410145386.5A Pending CN103957097A (zh) | 2014-04-14 | 2014-04-14 | 移动Ad Hoc网络路由和数据安全保障方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103957097A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002765A (zh) * | 2021-03-01 | 2022-09-02 | 儒安物联科技集团有限公司 | 一种基于散列消息鉴别码的网络系统及网络安全路由方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030210787A1 (en) * | 2002-05-10 | 2003-11-13 | Harris Corporation, Corporation Of The State Of Delaware | Secure mobile ad-hoc network and related methods |
| CN101110762A (zh) * | 2007-08-22 | 2008-01-23 | 华中科技大学 | 一种Ad hoc网络安全路由方法 |
| US20080065884A1 (en) * | 2006-09-07 | 2008-03-13 | Motorola, Inc. | Method and apparatus for establishing security association between nodes of an ad hoc wireless network |
| CN101192928A (zh) * | 2006-12-01 | 2008-06-04 | 华为技术有限公司 | 移动自组织网络的认证方法、网络和系统 |
| CN102158864A (zh) * | 2011-04-15 | 2011-08-17 | 北京航空航天大学 | 一种基于可靠性的移动Ad Hoc网络自适应安全路由方法 |
-
2014
- 2014-04-14 CN CN201410145386.5A patent/CN103957097A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030210787A1 (en) * | 2002-05-10 | 2003-11-13 | Harris Corporation, Corporation Of The State Of Delaware | Secure mobile ad-hoc network and related methods |
| US20080065884A1 (en) * | 2006-09-07 | 2008-03-13 | Motorola, Inc. | Method and apparatus for establishing security association between nodes of an ad hoc wireless network |
| CN101192928A (zh) * | 2006-12-01 | 2008-06-04 | 华为技术有限公司 | 移动自组织网络的认证方法、网络和系统 |
| CN101110762A (zh) * | 2007-08-22 | 2008-01-23 | 华中科技大学 | 一种Ad hoc网络安全路由方法 |
| CN102158864A (zh) * | 2011-04-15 | 2011-08-17 | 北京航空航天大学 | 一种基于可靠性的移动Ad Hoc网络自适应安全路由方法 |
Non-Patent Citations (1)
| Title |
|---|
| 余海芸等: ""Ad Hoc 网络安全问题及对策研究"", 《信息技术》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002765A (zh) * | 2021-03-01 | 2022-09-02 | 儒安物联科技集团有限公司 | 一种基于散列消息鉴别码的网络系统及网络安全路由方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Srinivas et al. | Anonymous lightweight chaotic map-based authenticated key agreement protocol for industrial Internet of Things | |
| Zhang et al. | Defending against sybil attacks in sensor networks | |
| CN101640886B (zh) | 鉴权方法、重认证方法和通信装置 | |
| Saxena et al. | EasySMS: A protocol for end-to-end secure transmission of SMS | |
| US20060034456A1 (en) | Method and system for performing perfectly secure key exchange and authenticated messaging | |
| BRPI0617286A2 (pt) | métodos para estabelecer uma associação de segurança entre um nó de serviço e um cliente, para estabelecer uma associação de segurança entre primeiro e segundo clientes, e para proteger um nó contra ataques de repetição, nó de serviço, terminal de cliente, e, função de geração de código | |
| WO2005006629A3 (en) | Terminal authentication in a wireless network | |
| CN102355663B (zh) | 基于分离机制网络的可信域间快速认证方法 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN101808142B (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
| CN104468126A (zh) | 一种安全通信系统及方法 | |
| Khalil et al. | Sybil attack prevention through identity symmetric scheme in vehicular ad-hoc networks | |
| Rongyu et al. | A PK-SIM card based end-to-end security framework for SMS | |
| CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
| Mehra et al. | Codeword Authenticated Key Exchange (CAKE) light weight secure routing protocol for WSN | |
| Wazid et al. | TACAS-IoT: trust aggregation certificate-based authentication Scheme for edge-enabled IoT systems | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| CN102833747B (zh) | 分离机制移动性管理系统实现接入认证的密钥分发方法 | |
| CN102413144A (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| Büttner et al. | Real-world evaluation of an anonymous authenticated key agreement protocol for vehicular ad-hoc networks | |
| Nyangaresi et al. | Anonymity preserving lightweight authentication protocol for resource-limited wireless sensor networks | |
| Atheeq et al. | Mutually authenticated key agreement protocol based on chaos theory in integration of internet and MANET | |
| Ali Alsalihy et al. | Integrating identity-based encryption in the return routability protocol to enhance signal security in mobile IPv6 | |
| CN101521571B (zh) | 一种移动硬件安全单元、服务方认证方法 | |
| CN103957097A (zh) | 移动Ad Hoc网络路由和数据安全保障方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140730 |