CN104219239B - 一种基于邻居发现的LoWPAN节点安全接入控制方法 - Google Patents
一种基于邻居发现的LoWPAN节点安全接入控制方法 Download PDFInfo
- Publication number
- CN104219239B CN104219239B CN201410439115.0A CN201410439115A CN104219239B CN 104219239 B CN104219239 B CN 104219239B CN 201410439115 A CN201410439115 A CN 201410439115A CN 104219239 B CN104219239 B CN 104219239B
- Authority
- CN
- China
- Prior art keywords
- message
- node
- address
- network
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于邻居发现的LoWPAN节点安全接入控制方法,以解决6LoPWAN网络链路的通信安全问题,本发明通过对路由器发现协议中RS和RA消息的优化,有效地实现网络中新节点加入时的安全认证,检测网络中的消息是否被篡改。通过新节点的安全接入控制,在网络范围内共同维护认证地址IP列表,能够在全网范围内防止恶意节点的攻击和伪装。本方案是基于6LoWPAN网络的NDP协议优化提出的,不需要重新定义新的协议类型,可扩展性更高,更易推广,尤其适用于资源能量受限的传感网络。
Description
技术领域
本发明涉及一种6LoWPAN节点安全接入的控制方法,属于无线传感器网络安全技术领域。
背景技术
无线传感器网络是由大量按需随机分布的集成有传感器、数据处理单元和通信模块的微型节点以自组织方式构成的无线网络,其具有成本低,能耗低,灵活性高等优点,可应用于国防军事、环境监测、交通管理等领域,具有重要的研究价值和应用前景。IPv6作为下一代网络协议,具有地址资源丰富、地址自动配置、移动性和扩展性好等优点,可以满足无线传感器网络在地址、安全、移动及与现有网络融合等方面的需求。
2004年IETF成立了6LoWPAN工作组研究IPv6在IEEE 802.15.4网络上的应用方案,目前对适配层技术、报头压缩技术、路由技术都提出了相应解决办法,但对于6LoWPAN网络的安全机制没有提供一套有效的方法,其中必须关注的一个安全问题就是滥用NDP(Neighbor Discovery Protocal)、重复地址检测和路由器宣告消息等。6LoWPAN网络在利用ND协议进行自组网和提供一系列关键的自动配置过程中(如链路上的路由器发现、邻居发现等),恶意节点容易加入到本地链路中而对其他邻居节点发动攻击,可能的保护机制就是链路层认证或使用CGA(Cryptographically Generated Address)。部分无赖节点伪装成默认路由器,未经授权就定期发送RA或响应RS消息而传播虚假的子网前缀或路由信息而破坏网络,IPv6数据包在传输过程中遭到中间节点或邻居节点的篡改和转译。给无线传感网带来了严重的安全隐患。因此,解决6LoWPAN网络的安全,建立一种稳定、合适、健壮的安全机制就显得十分必要了。
虽然NDP规范建议使用IPSec来防止攻击,但是却没有提供相应的实施信息。在很多情况下,特别是在公众网络和无线网络中,与IPSec一起使用的密钥管理机制都过于复杂且不切实际。RFC 3971定义了无需使用IPSec的新规范,称为SEND(Secure NeighborDiscovery,安全邻居发现)。ADD是SEND(Secure Neighbor Discovery)协议的一部分,采用证书路径认证方式,能够有效地认证路由器的权威性和真实性配置有信任锚的主机通过发送证书路径请求消息给路由器请求信任锚到路由器之间的证书路径。默认路由器回复证书路径宣告消息给主机,如果路由器不能够提供到该信任锚的有效证书路径,它将不被主机所信任。但是这种方案对于LoWPAN网络并不适用,路由器往往需要提供证书路径链,这需要主机花费很大的资源和能量去计算路径的有效性,同时,SEND协议对于所有的ND消息都需要使用CGA(加密生成地址)和RSA公钥体系,这需要更长的处理时间和计算过程,对于资源能量受限的传感节点来说并不适合。
发明内容
为了解决上述6LoPWAN网络链路的通信安全问题,本发明提供了一种基于邻居发现的LoWPAN节点安全接入控制方法,本发明中的相关术语定义及缩略词如下:
6LoWPAN:IPv6over Low-Power Wireless Personal Area Networks。
RS:Router Solicitation。lowpan域中主机发送RS消息给路由以及边界路由,用于请求RA消息。具体消息数据格式参见RFC4861。
RA:Router Advertisement。lowpan域中路由与边界路由周期性的发送RA消息给主机或者作为RS消息的应答消息进行发送。具体消息数据格式参见RFC4861。
Host:6lowpan域内的传感节点,具有采集数据、路由转发功能。
6LBR:6lowpan域与主干网连接的边界路由。
SHA-1:安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准(Digital Signature Standard DSS)里面定义的数字签名算法(Digital SignatureAlgorithm DSA)。
单播地址:单播地址可以唯一地标识IPv6节点的接口,发送到单播地址的数据包会被传送给该地址所标识的接口。IPv6全局单播地址相当于IPv4的公有地址,这类地址在IPv6Internet上全球可路由,且全球可达。
多播地址:多播地址可以标识一组IPv6接口,发送给多播地址的数据包会被传送给多播组的全部成员。
本发明具体采用如下技术方案:
一、基于邻居发现的链路安全优化机制
对ND协议中的路由器发现协议进行优化,在RS和RA消息中添加安全机制选项SMO(Security Mechanism Option),SMO选项包括3个主要字段:序列号(Seq Number)、消息认证(Message Authentication)、可选字段(extended option)。
节点为每个消息包随机产生一个8位的序列号,用来标识这个消息,接受者可以根据这个序列号来识别消息,以避免消息重复接收;
消息认证字段包含20个字节的SHA-1哈希值,该哈希值从消息头的IPv6跳数限制、源IPv6地址和源MAC地址计算出,该消息认证字段能够提供新节点加入网络时的安全认证和消息完整性,同时可以防止路由发现消息被网络中的恶意节点篡改。
可选字段主要用于RA消息中,边界路由器通过该字段向本地链路所有节点通告刚刚通过认证的节点的IP地址,允许其加入子网。该字段也可用于日后的安全机制的功能扩展。具体将在下面作介绍。
二、链路节点接入控制机制,主要包括以下步骤:
1、新节点检测步骤
当一个新节点希望加入子网中时,首先通过在链路本地前缀FE80::0/10(最左边前10位是1111111010)的后面依次连接54位0和附加接口ID,以生成链路本地地址,附加接口ID通常使用64位标识符(EUI-64标识符);48位的MAC地址需要转换成64位的接口地址,链路本地地址具有无限长的首选和有效生命周期,永远不会过期;然后,节点需要配置全局的IPv6地址,节点将会向本地链路全部路由器多播组FF02::2发送路由器请求消息(RS);本链路手动配置边界路由器作为默认路由器。
2、节点安全认证步骤
边界路由器收到节点的RS请求消息后,主机利用相同的哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:
若上述哈希值与RS消息认证字段相同,则向该节点单播RA消息,用于配置该节点的IP地址和路由配置,同时边界路由器把该节点的MAC地址放入地址待定缓存表中,由于此时该节点没有IPv6地址,列表中IP地址为空;节点收到路由器的RA消息后,用RA消息中的子网前缀计算出IPv6全局单播地址,全局单播地址由二进制前缀001来标识;然后节点重新向边界路由器回复单播RS消息,此时该节点还不能和邻居节点进行通信。路由器认定该节点IPv6地址和MAC地址合法后,将该节点放入自己的认证地址列表中。清除地址待定缓存表中的地址后,边界路由器向本地链路所有节点发送RA宣告消息,SMO选项中的扩展地段填入刚刚认证的节点的IP地址,并向全局节点通告该节点已通过认证,可以加入子网利用网络资源进行通信。至此,一个节点加入子网成功。
若上述哈希值与RS消息认证字段不相同,则该节点不能通过边界路由器的认证,无法获得网络前缀信息,因此不能加入到本网络中。
进一步,链路节点接入控制机制还包括消息过滤步骤:
子网进行网络通信时,转发器收到消息后,首先判断该消息是否是6LoWPAN消息或RPL路由消息:
如果是,则转发该消息;
如果是负载数据消息,则检查该消息的源IPv6地址是否存在于自己的认证地址列表中,如果不存在,则放弃本次转发;如果存在,则把此消息发送到下一个节点。
通过采用上述技术方案,本发明获得了如下有益效果:
解决了6LoPWAN网络链路的通信安全问题,通过对路由器发现协议中RS和RA消息的优化,有效地实现网络中新节点加入时的安全认证,检测网络中的消息是否被篡改。通过新节点的安全接入控制,在网络范围内共同维护认证地址IP列表,能够在全网范围内防止恶意节点的攻击和伪装。本方案是基于6LoWPAN网络的NDP协议优化提出的,不需要重新定义新的协议类型,可扩展性更高,更易推广,尤其适用于资源能量受限的传感网络。本技术方案的提出完全依据IETF组织所提出的邻居发现协议标准草稿,具有较强的可行性与广泛的适用性。
附图说明
图1是6LoWPAN网络结构图。
图2是RS消息中的MSO选项示意图。
图3是RA消息中的MSO选项示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明。
本发明技术方案依赖于优化的6LoWPAN网络邻居发现过程,实现有效的节点接入控制方案,提供对网络的安全保护。在6LoWPAN网中,边界路由器扮演着重要的作用,除了把WSN网络接入到互联网中,它同样承担着通告链路前缀(子网信息)路由以及其他配置信息,维护网络范围内各节点IPv6地址信息和MAC信息,使其能够进行两层的地址解析和重复地址检测,边界路由器需要手动配置,如图1所示。
Internet协议版本6(IPV6)邻居发现是在RFC4861中定义的一组消息和过程,用于确定邻居节点之间的关系。ND取代了IPV4中的ARP协议(地址解析协议)、ICMP(Internet控制消息协议)路由器发现协议,以及ICMP重定向消息。此外,ND还可以提供额外的功能。节点可以利用ND解析IPV6数据包发去的那个邻居节点的链路层地址,确定邻居节点的链路层地址发生改变的时间,确定邻居节点是否到达。主机利用ND来发现邻居路由器,自动配置地址、地址前缀、路由以及其他配置参数。路由器使用ND来通告自己的存在、主机配置参数、路由以及链路上的前缀,将特定目的地址的更好下一跳地址通告给要向该目的地址发送数据包的主机。
为了能够对新节点加入子网进行安全性认证,以及传输过程中的消息完整性,本专利方案优化了ND协议中的路由器发现协议,对RS和RA消息做了修改,添加了安全机制选项SMO,具体格式见图2和图3。
SMO选项包括了3个主要字段:序列号,消息认证,可选字段。序列字段保护受到重复攻击。节点为每个消息包随机产生一个8位的序列,用来标识这个消息,接受者可以根据这个序列号来识别消息。消息认证字段包含20个字节的SHA-1哈希值,从消息头的IPv6跳数限制,源IPv6地址和源MAC地址,该字段能够提供新节点加入网络时的安全认证,同时可以防止路由发现消息被网络中的恶意节点篡改。最后的可选字段主要用于RA消息中。
链路节点接入控制机制包括:
1、新节点检测步骤
当一个新节点希望加入子网中时,首先通过在链路本地前缀FE80::0/10(最左边前10位是1111111010)的后面依次连接54位0和附加接口ID,以生成链路本地地址,附加接口ID通常使用64位标识符(EUI-64标识符);48位的MAC地址需要转换成64位的接口地址,链路本地地址具有无限长的首选和有效生命周期,永远不会过期;然后,节点需要配置全局的IPv6地址,节点将会向本地链路全部路由器多播组FF02::2发送路由器请求消息(RS);本链路手动配置边界路由器作为默认路由器。
2、节点安全认证步骤
边界路由器收到节点的RS请求消息后,主机利用相同的哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:
若上述哈希值与RS消息认证字段相同,则向该节点单播RA消息,用于配置该节点的IP地址和路由配置,同时边界路由器把该节点的MAC地址放入地址待定缓存表中,由于此时该节点没有IPv6地址,列表中IP地址为空;节点收到路由器的RA消息后,用RA消息中的子网前缀计算出IPv6全局单播地址,全局单播地址由二进制前缀001来标识;然后节点重新向边界路由器回复单播RS消息,此时该节点还不能和邻居节点进行通信。路由器认定该节点IPv6地址和MAC地址合法后,将该节点放入自己的认证地址列表中。清除地址待定缓存表中的地址后,边界路由器向本地链路所有节点发送RA宣告消息,SMO选项中的扩展地段填入刚刚认证的节点的IP地址,并向全局节点通告该节点已通过认证,可以加入子网利用网络资源进行通信。至此,一个节点加入子网成功。
若上述哈希值与RS消息认证字段不相同,则该节点不能通过边界路由器的认证,无法获得网络前缀信息,不能加入到本网络中。
3、消息过滤步骤
子网进行网络通信时,转发器收到消息后,首先判断该消息是否是6LoWPAN消息或RPL路由消息:
如果是,则转发该消息;
如果是负载数据消息,则检查该消息的源IPv6地址是否存在于自己的认证地址列表中,如果不存在,则放弃本次转发;如果存在,则把此消息发送到下一个节点。
上述实施方式中所涉及到的技术特征,只要彼此间未构成冲突就可以相互组合。本发明不限于上述实施例,一切采用等同替换或等效替换形成的技术方案均属于本发明要求保护的范围。
Claims (2)
1.一种基于邻居发现的LoWPAN节点安全接入控制方法,其特征在于,包括基于邻居发现的链路安全优化机制、链路节点接入控制机制,其中:
所述基于邻居发现的链路安全优化机制是在RS和RA消息中添加安全机制选项SMO,所述SMO选项包括三个主要字段:序列号、消息认证字段及可选字段;节点为每个消息包随机产生一个序列号,用来标识该消息,接受者根据所述序列号对消息进行识别,以避免消息重复接收;所述消息认证字段完成数据签名和认证,该字段包含SHA-1哈希值;所述可选字段用于RA消息中;
所述链路节点接入控制机制包括:
(1)新节点检测步骤
当一个新节点希望加入子网中时,首先生成链路本地地址,将MAC地址转换成接口地址,然后将该节点配置全局的IPv6地址,该节点将向本地链路全部路由器多播组发送路由器请求消息RS;本链路手动配置边界路由器作为默认路由器;
(2)节点安全认证步骤
边界路由器收到所述节点的请求消息RS后,主机利用哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:
若上述哈希值与RS消息认证字段相同,则向该节点发送单播RA消息,用于配置该节点的IP地址和路由配置,同时边界路由器把该节点的MAC地址放入地址待定缓存表中,由于此时该节点没有IPv6地址,列表中IP地址为空;节点收到路由器的RA消息后,用RA消息中的子网前缀计算出IPv6全局单播地址;然后节点重新向边界路由器回复单播RS消息;路由器认定该节点IPv6地址和MAC地址合法后,将该节点放入自己的认证地址列表中;清除地址待定缓存表中的地址后,边界路由器向本地链路所有节点发送RA宣告消息,SMO选项中的扩展地段填入认证的节点的IP地址,并向全局节点通告该节点已通过认证,可以加入子网利用网络资源进行通信;
若上述哈希值与RS消息认证字段不相同,则该节点不能通过边界路由器的认证,无法获得网络前缀信息,不能加入到本网络中。
2.根据权利要求1所述的方法,其特征是,所述链路节点接入控制机制还包括消息过滤步骤:
子网进行网络通信时,转发器收到消息后,首先判断该消息是否是6LoWPAN消息或RPL路由消息:
如果是,则转发该消息;
如果是负载数据消息,则检查该消息的源IPv6地址是否存在于自己的认证地址列表中,如果不存在,则放弃本次转发;如果存在,则把此消息发送到下一个节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410439115.0A CN104219239B (zh) | 2014-08-29 | 2014-08-29 | 一种基于邻居发现的LoWPAN节点安全接入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410439115.0A CN104219239B (zh) | 2014-08-29 | 2014-08-29 | 一种基于邻居发现的LoWPAN节点安全接入控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104219239A CN104219239A (zh) | 2014-12-17 |
| CN104219239B true CN104219239B (zh) | 2017-12-05 |
Family
ID=52100373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410439115.0A Active CN104219239B (zh) | 2014-08-29 | 2014-08-29 | 一种基于邻居发现的LoWPAN节点安全接入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219239B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104796333B (zh) * | 2015-03-31 | 2018-12-04 | 桂林电子科技大学 | 一种基于IPv6的无线传感网络与Internet多网关互联方案 |
| EP3443730B1 (en) * | 2016-04-15 | 2021-09-01 | Convida Wireless, LLC | 6lowpan neighbor discovery for supporting mobility and multiple border routers |
| CN108718281B (zh) * | 2018-04-18 | 2021-04-13 | 全球能源互联网研究院有限公司 | 一种融合多种通信方式的节点接入方法及装置 |
| CN108965128B (zh) * | 2018-07-11 | 2020-03-27 | 常州工程职业技术学院 | 一种基于rpl协议的dodag构建优化算法 |
| CN110417758B (zh) * | 2019-07-15 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
| CN110461016A (zh) * | 2019-08-02 | 2019-11-15 | 天津大学 | 基于6LoWPAN无线传感器网络的节点移动性管理方法 |
| CN111131548B (zh) * | 2019-12-30 | 2022-06-28 | 奇安信科技集团股份有限公司 | 信息处理方法、装置和计算机可读存储介质 |
| CN111917746B (zh) * | 2020-07-17 | 2022-06-28 | 北京世纪互联宽带数据中心有限公司 | 一种路由协议接入认证方法、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196058A (zh) * | 2011-05-19 | 2011-09-21 | 清华大学深圳研究生院 | 一种6LoWPAN协议中地址压缩控制表的维护方法 |
| CN102857968A (zh) * | 2012-09-11 | 2013-01-02 | 南京邮电大学 | 基于IPv6的物联网终端与互联网主机的通信方法 |
| CN103812845A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种基于6LoWPAN网络的服务发现方法及装置 |
| WO2014075472A1 (zh) * | 2012-11-14 | 2014-05-22 | 中兴通讯股份有限公司 | 扩展6lowpan域的信息处理方法及系统 |
-
2014
- 2014-08-29 CN CN201410439115.0A patent/CN104219239B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196058A (zh) * | 2011-05-19 | 2011-09-21 | 清华大学深圳研究生院 | 一种6LoWPAN协议中地址压缩控制表的维护方法 |
| CN102857968A (zh) * | 2012-09-11 | 2013-01-02 | 南京邮电大学 | 基于IPv6的物联网终端与互联网主机的通信方法 |
| WO2014075472A1 (zh) * | 2012-11-14 | 2014-05-22 | 中兴通讯股份有限公司 | 扩展6lowpan域的信息处理方法及系统 |
| CN103812845A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种基于6LoWPAN网络的服务发现方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于IPv6 的无线传感网异构通信技术研究;孙知信 等;《中兴通信技术》;20120630;第18卷(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104219239A (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219239B (zh) | 一种基于邻居发现的LoWPAN节点安全接入控制方法 | |
| Mick et al. | LASeR: Lightweight authentication and secured routing for NDN IoT in smart cities | |
| US8181014B2 (en) | Method and apparatus for protecting the routing of data packets | |
| CN101690082B (zh) | 用于为主机节点防御流氓路由器的安全邻居发现路由器 | |
| US7653813B2 (en) | Method and apparatus for address creation and validation | |
| Lee et al. | ICMP traceback with cumulative path, an efficient solution for IP traceback | |
| JP5291725B2 (ja) | Ipアドレス委任 | |
| CA2576452C (en) | A method and nodes for optimized and secure communication between routers and hosts | |
| US20110075845A1 (en) | Method and apparatus for dynamic, seamless security in communication protocols | |
| Sharma et al. | A detailed classification of routing attacks against RPL in internet of things | |
| CN102132532A (zh) | 用于避免不需要的数据分组的方法和装置 | |
| Pu | Mitigating DAO inconsistency attack in RPL-based low power and lossy networks | |
| CN101610255B (zh) | 基于密码学生成地址的源地址验证装置 | |
| CN105763455B (zh) | 一种基于6LoWPAN邻居发现的节点安全注册方法 | |
| Taghizadeh et al. | Collaborative firewalling in wireless networks | |
| Pirzada et al. | Secure routing protocols for mobile ad-hoc wireless networks | |
| Tamilarasi et al. | Secure enhancement scheme for detecting selfish nodes in MANET | |
| CN110401646B (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
| Kumar et al. | A Hybrid Secure Aware Routing Protocol for Authentication in MANET | |
| Li et al. | Learning the valid incoming direction of IP packets | |
| Zhang et al. | TRDP: a trusted router discovery protocol | |
| Puttini et al. | Certification and authentication services for securing MANET routing protocols | |
| An et al. | Analysis of SEND protocol through implementation and simulation | |
| Annadurai et al. | Highly reputed authenticated routing in MANET (HRARAN) | |
| Mavani et al. | Experimental study of IP spoofing attack in 6LoWPAN network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20141217 Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: X2019980001266 Denomination of invention: LoWPAN (low-power wireless personal area network) node secure access control method based on neighbor discovery Granted publication date: 20171205 License type: Common License Record date: 20191224 |
|
| EC01 | Cancellation of recordation of patent licensing contract | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: NANJING University OF POSTS AND TELECOMMUNICATIONS Contract record no.: X2019980001266 Date of cancellation: 20220304 |