CN111726346A - 数据安全传输方法、装置及系统 - Google Patents

数据安全传输方法、装置及系统 Download PDF

Info

Publication number
CN111726346A
CN111726346A CN202010542148.3A CN202010542148A CN111726346A CN 111726346 A CN111726346 A CN 111726346A CN 202010542148 A CN202010542148 A CN 202010542148A CN 111726346 A CN111726346 A CN 111726346A
Authority
CN
China
Prior art keywords
node
data
key
sending
data receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010542148.3A
Other languages
English (en)
Other versions
CN111726346B (zh
Inventor
夏科睿
洪伟
丁亮
张韬庚
王飞
涂凡凡
张亚楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hefei Hagong Xuanyuan Intelligent Technology Co ltd
Original Assignee
HRG International Institute for Research and Innovation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HRG International Institute for Research and Innovation filed Critical HRG International Institute for Research and Innovation
Priority to CN202010542148.3A priority Critical patent/CN111726346B/zh
Publication of CN111726346A publication Critical patent/CN111726346A/zh
Application granted granted Critical
Publication of CN111726346B publication Critical patent/CN111726346B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明提供了一种数据安全传输方法、装置及系统,方法包括:向机器人可信机构发送注册信息;接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;获取数据发送节点P和数据接收节点D之间的共享密钥;对共享密钥KP‑D进行签名加密处理,得到加密后的共享秘钥的密文
Figure DDA0002539352750000011
15)、数据发送节点P使用共享密钥KP‑D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);16)、数据发送节点P将当前报文的密文CT以及加密后的共享秘钥的密文
Figure DDA0002539352750000012
发送至数据接收节点D。应用本发明实施例,可以降低数据开销。

Description

数据安全传输方法、装置及系统
技术领域
本发明涉及一种数据安全方法、装置及系统,具体涉及一种数据安全传输方法、装置及系统。
背景技术
基于私密密钥的解决方法主要采用AES(Advanced Encryption Standard,高级加密标准)对数据进行加密和使用MAC(Message Authentication Code,消息认证码)对数据进行认证。基于私密密钥加密的典型示例包括文献:[1]Raazi S M K R,Lee H,Lee S,etal.BARI+:a biometric based distributed key management approach for wirelessbody area networks[J].Sensors,2010,10(4):3911-3933.[2]Waluyo A B,Pek I,ChenX,et al.Design and evaluation oflightweight middleware forpersonal wirelessbody area network[J].Personal and Ubiquitous Computing,2009,13(7):509-525.[3]Yi X,Willemson J,Nait-Abdesselam F.Privacy-preserving wireless medical sensornetwork[C]//Trust,Security and Privacy in Computing and Communications(TrustCom),201312th IEEE International Conference on.IEEE,2013:118-125.[4]Zhao H,Qin J,Hu J.An energy efficientkey management scheme forbody sensornetworks[J].IEEE Transactions on Parallel and Distributed Systems,2013,24(11):2202-2210.这些解决方案通常是有效的,但密钥分配的效率。
为了提高密钥分配效率,通常使用如[5]Malawi K,Wang L.Design andimplementation of a securewireless mote-based medical sensor network[J].Sensors,2009,9(8):6273-6297.[6]Misic J,Misic V.Enforcing patient privacy inhealthcare WSNs through key distributionalgorithms[J].Security andCommunication Networks,2008,1(5):417-429.[7]Lin X,Lu R,Shen X,et al.SAGE:astrong privacy-preserving scheme against global eavesdropping for ehealthsystems[J].IEEE Journal on Selected Areas in Communications,2009,27(4):365-378.[8]He D,Chan S,Tang S.A novel and lightweight system to secure wirelessmedical sensornetworks[J].IEEE journal ofbiomedical and health informatics,2014,18(1):316-326.公开的公钥密码体制。基于公钥密码体制的解决方法主要采用Diffie-Hellman密钥交换协议和RSA(RSA algorithm,非对称加密算法)对数据进行加密。
但是,发明人发现,由于机器人节点存储和计算能力有限,无法应对大量的计算开销,导致机器人很难支持采用公钥加密算法对数据进行加密,即现有技术存在加密算法数据开销较大的技术问题。
发明内容
本发明所要解决的技术问题在于如何提供一种数据安全传输方法、装置及系统,以解决现有技术中存在的数据开销较大的技术问题。
本发明通过以下技术手段实现解决上述技术问题的:
本发明实施例提供了一种数据安全传输方法,应用于机器人可信机构,所述方法包括:
本发明实施例提供了一种数据安全传输方法,应用于数据传输路由中的各数据发送节点P,所述方法包括:
11)、向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
12)、接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;
13)、根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
14)、数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000021
15)、数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;
16)、数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000022
发送至数据接收节点D。
可选的,所述步骤13),包括:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
可选的,所述步骤13),包括:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
应用本发明实施例,使用非对称加密算法加密共享秘钥,使用共享秘钥对称加密当前报文M进行加密,相对于现有技术中使用非对称加密算法对当前报文M进行加密产生的数据开销,由于对称加密算法的数据开销远小于非对称加密算法,因此,本发明实施例可以降低数据开销。
本发明实施例还提供了基于上述任一项所述一种数据安全传输方法,应用于机器人可信机构,所述方法包括:
21)、接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;
22)、根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
23)、生成对应于每一个节点的伪身份信息;
24)、根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
可选的,所述步骤22),包括:
随机选择三个随机数k、n1和n2作为安全参数,并根据所述安全参数,利用预设的双线性映射算法生成五元组(q,G0,G1,e,P),其中,q为第一素数;P为第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数;
从预设的随机数集合Zq中随机选择一个生成元s作为主密钥,并根据所述生成元s利用公式,PK=sP,生成第一公钥PK;
选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数发布至接收数据传输路由中的数据发送节点和数接收节点。
可选的,所述步骤23),包括:
针对每一个节点,机器人可信机构根据节点的标识信息以及所述主密钥s,利用公式,PIDP=Es(IDP),生成对应于节点的伪身份信息,其中,
PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
可选的,所述步骤24),包括:
根据所述数据发送节点P的伪身份信息,利用公式,SKP=sH(PIDP),生成数据发送节点P的第一私钥;根据所述数据接收节点D的伪身份信息,利用公式,SKD=sH(PIDD),生成数据接收节点D的第一私钥,其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息;
发送(PIDP,SKP,IDD)给数据发送节点P,发送(SKcs,PIDP)给云服务器CS和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
本发明实施例还提供了基于上述任一项所述一种数据安全传输方法,应用于数据传输路由中的各数据接收节点D,所述方法包括:
31)、向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
32)、接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
33)、根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
34)、根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;
35)、利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000041
进行解密处理,得到共享密钥KP-D的明文;
36)、利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
可选的,所述步骤33),包括:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
可选的,所述步骤33),包括:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
可选的,所述35),包括:
数据接收节点D在接收到数据发送节点P发送的对应于当前报文的信息后,利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000051
进行解密处理;如果解密成功,得到共享密钥KP-D的明文;如果解密未成功,继续接收密文,并将所接收当前报文的下一报文的密文作为当前报文的密文,并返回执行利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000052
进行解密处理的步骤,直至解密成功,得到共享密钥KP-D的明文。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输方法,应用于数据传输路由中用于发送数据的源节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
41)、向数据传输路由中的下一跳节点发送数据包以使所述下一跳节点将该数据包发送至所述下一跳节点的下一跳节点,并记录源节点发送出去的数据包的数量;
42)、接收数据传输路由中的各个节点返回的哈希值,并针对各个节点所返回的哈希值的数量进行计数;
43)、针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点的丢包率,在所述节点的丢包率高于第一预设阈值时,判定所述节点为灰洞节点,并将所述节点的标识信息向全网广播;
或者,
44)、针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点所发送的数据包到达正确的下一跳节点的准确率,在所述准确率低于第二预设阈值时,定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输方法,应用于数据传输路由中除源节点之外的其他节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
51)、接收对应于自身的位于数据传输路由中前一个节点所发送的数据包,并利用哈希算法生成对应于所述数据包的哈希值;
52)、将所述哈希值发送至源节点,以使源节点对各个节点返回的所述哈希值进行计数。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输方法,所述方法包括:
数据接收节点D向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
数据发送节点P向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
机器人可信机构接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;生成对应于每一个节点的伪身份信息;根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收;
数据发送节点P接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;数据接收节点D接收接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
数据发送节点P根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000061
使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;36)、数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000062
发送至数据接收节点D;
数据接收节点D接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000071
进行解密处理,得到共享密钥KP-D的明文;利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
本发明实施例还提供了一种数据安全传输装置,应用于数据传输路由中的各数据发送节点P,所述装置包括:
第一发送模块,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第一接收模块,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
第一获取模块,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
加密模块,用于数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000072
数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;
第二发送模块,用于数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000073
发送至数据接收节点D。
可选的,所述第一获取模块,用于:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
可选的,所述第一获取模块,用于:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输装置,应用于机器人可信机构,所述装置包括:
第二接收模块,用于接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;
第一生成模块,用于根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
生成对应于每一个节点的伪身份信息;
第三发送模块,用于根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
可选的,所述第一生成模块,用于:
随机选择三个随机数k、n1和n2作为安全参数,并根据所述安全参数,利用预设的双线性映射算法生成五元组(q,G0,G1,e,P),其中,q为第一素数;P为第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数;
从预设的随机数集合Zq中随机选择一个生成元s作为主密钥,并根据所述生成元s利用公式,PK=sP,生成第一公钥PK;
选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数发布至接收数据传输路由中的数据发送节点和数接收节点。
可选的,所述第一生成模块,用于:
针对每一个节点,机器人可信机构根据节点的标识信息以及所述主密钥s,利用公式,PIDP=Es(IDP),生成对应于节点的伪身份信息,其中,
PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
可选的,所述第三发送模块,用于:
根据所述数据发送节点P的伪身份信息,利用公式,SKP=sH(PIDP),生成数据发送节点P的第一私钥;根据所述数据接收节点D的伪身份信息,利用公式,SKD=sH(PIDD),生成数据接收节点D的第一私钥,其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息;
发送(PIDP,SKP,IDD)给数据发送节点P,发送(SKcs,PIDP)给云服务器CS和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
本发明实施例还提供了基于上述任一项所述一种数据安全传输装置,应用于数据传输路由中的各数据接收节点D,所述装置包括:
第四发送模块,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第三接收模块,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
第二获取模块,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
第二生成模块,用于根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;
解密模块,用于利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000091
进行解密处理,得到共享密钥KP-D的明文;
利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
可选的,所述第二获取模块,用于:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
可选的,所述第二获取模块,用于:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
可选的,所述解密模块,用于:
数据接收节点D在接收到数据发送节点P发送的对应于当前报文的信息后,利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000101
进行解密处理;如果解密成功,得到共享密钥KP-D的明文;如果解密未成功,继续接收密文,并将所接收当前报文的下一报文的密文作为当前报文的密文,并返回执行利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000102
进行解密处理的步骤,直至解密成功,得到共享密钥KP-D的明文。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输装置,应用于数据传输路由中用于发送数据的源节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述装置包括:
第五发送模块,用于向数据传输路由中的下一跳节点发送数据包以使所述下一跳节点将该数据包发送至所述下一跳节点的下一跳节点,并记录源节点发送出去的数据包的数量;
第四接收模块,用于接收数据传输路由中的各个节点返回的哈希值,并针对各个节点所返回的哈希值的数量进行计数;
计算模块,用于针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点的丢包率,在所述节点的丢包率高于第一预设阈值时,判定所述节点为灰洞节点,并将所述节点的标识信息向全网广播;
或者,
计算模块,用于针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点所发送的数据包到达正确的下一跳节点的准确率,在所述准确率低于第二预设阈值时,定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
本发明实施例还提供了基于上述任一项所述的一种数据安全传输装置,应用于数据传输路由中除源节点之外的其他节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述装置包括:
第五接收模块,用于接收对应于自身的位于数据传输路由中前一个节点所发送的数据包,并利用哈希算法生成对应于所述数据包的哈希值;
第六发送模块,用于将所述哈希值发送至源节点,以使源节点对各个节点返回的所述哈希值进行计数。
本发明实施例还提供了一种数据安全传输系统,所述系统包括:
根据上述任一项所述的机器人可信机构;
根据上述任一项所述的数据接收节点D;
根据上述任一项所述的数据发送节点P。
本发明的优点在于:
(1)应用本发明实施例,使用非对称加密算法加密共享秘钥,使用共享秘钥对称加密当前报文M进行加密,相对于现有技术中使用非对称加密算法对当前报文M进行加密产生的数据开销,由于对称加密算法的数据开销远小于非对称加密算法,因此,本发明实施例可以降低数据开销。
(2)另外,应用本发明实施例,较低的数据开销,可以提高机器人的数据加密效率。
(3)最后,本发明实施例可以降低对机器人的数据运算的硬件要求,进而可以提高数据加密算法在机器人的组网环境中的适应性。
附图说明
图1为本发明实施例提供的第一种数据安全传输方法的流程示意图;
图2为本发明实施例提供的第二种数据安全传输方法的流程示意图;
图3为本发明实施例提供的第三种数据安全传输方法的流程示意图;
图4为本发明实施例提供的第四种数据安全传输方法的流程示意图;
图5为本发明实施例提供的第四种数据安全传输方法的原理示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供了第一种数据安全传输方法,图1为本发明实施例提供的第一种数据安全传输方法的流程示意图,如图1所示,应用于数据传输路由中的各数据发送节点P,所述方法包括:
S101:向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合。
示例性的,本发明实施例应用于数据安全传输系统,该系统中包括数据发送节点以及数据接收节点。可以理解的是,数据的发送通常是由多个节点第次传输完成的,但是在数据传输路由中,产生数据并将该数据发送出去的源节点即为数据发送节点,数据传输路由末端的节点用于接收数据,即为数据接收节点。
例如,数据传输路由为:A-B-C-D-E;则A为数据发送节点,E为数据接收节点。
本发明实施例仅以数据传输路由中的数据发送节点P与数据接收节点D为例对数据的传输过程进行说明,其他节点之间的数据传输过程与节点P与节点D之间的传输过程相同,本发明实施例在此并不对其进行赘述。
在数据安全传输系统进行数据传输之前,数据发送节点P以及数据传输节点D均应当向机器人可信机构进行注册。在注册时,数据发送节点P可以将自身的标识信息,如ID(Identity document,身份标识)信息,或者IP(Internet Protocol,互联网协议)地址信息发送给机器人可信机构,以使机器人可信机构执行以下操作:
首先,随机选择一个阶为素数p的循环群Go,一个生成元g,和一个双线性对e:Go×Go→G1;机器人可信机构随机选择三个随机数作为安全参数k,n1,nz,并将上述三个安全参数作为输入,运行生成器Gen(k)生成一个五元组(q,G0,G1,e,P)其中,q为160位的第一素数;P为512位第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数。
然后,机器人可信机构选择一个随机数s∈Zq,其中,Zq是随机数的样本集合。s为大质数,以用于增大数据运算量,并且对其反向分解能得到唯一结果。将随机数s作为主密钥,通常也被称为生成元。
然后,并计算公钥PK=sP,生成第一公钥PK,其中,PK是第一公钥,s为生成元,P是512位的素数。
然后,再选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数(q,G0,G1,e,P,PK,H,Ek())发布至接收数据传输路由中的数据发送节点和数接收节点,其中,Ek()可以为AES(Advanced Encryption Standard,高级加密标准)中规定的算法。
另外,机器人可信机构检测机器人P的身份IDP并通过主密钥s计算伪身份PIDP=Es(IDP),其中,
PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
然后,机器人可信机构计算数据发送节点P的第一私钥SKP=sH(PIDP),和参与会话机器人D的秘密密钥SKD=sH(IDD)其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息。
发送(PIDP,SKP,IDD)给数据发送节点P,发送(SKcs,PIDP)给云服务器CS和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
在实际应用中,如果数据传输路由中还包括数据云服务器CS时,机器人可信机构还可以按照上述方式计算云服务器CS的私钥。
根据云服务器CS的伪身份信息,利用公式,SKCS=sH(PIDCS),生成云服务器CS的私钥,其中,SKCS为云服务器CS的私钥;PIDCS为云服务器CS的伪身份信息。
进一步的,还可以使用如下方式生成数据发送节点P或者数据接收节点D的第一私钥:
利用公式,
Figure BDA0002539352730000131
计算数据发送节点P的第一私钥,其中,
Figure BDA0002539352730000132
为任意符号;j为属性的序号;S为数据发送节点P的属性;Dj为第j个属性对应的第一密钥;H为哈希函数;a为512位的随机参数。
在实际应用中,节点的属性可以使用拉格朗日系标表示:
Figure BDA0002539352730000133
使用拉格朗日系表示数据发送节点P或者数据接收节点D的属性为现有技术,这里不再赘述。
需要强调的是,本发明实施例所指的注册信息包括但不仅限于上述信息,任何可以使数据发送节点P从机器人可信机构获取第一私钥的注册信息均可以在本发明权利要求的保护范围之内。
S102:接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥。
S103:根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥。
示例性的,可以根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
在实际应用中,还可以根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
需要强调的是,双线性映射具有以下特性:
设G0和G1为p阶的两个乘法循环群,g为G0的生成元,e为双线性映射函数,即e:G0×G0-->G1。对于任意的i,j,k∈G0。和a,b∈Zp,该映射e具有如下性质:
双线性:e(ia,ib)=e(i,j)ab,其中,a,b均为常数。
非退化性:e(g,g)≠1。
可聚合性:e(i·j,k)=e(i,k)×e(j,k)。
因此,上述两种计算共享秘钥的方法得到的结果是相同的。
S104:数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000141
S105:数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树。
示例性的,数据发送节点P得到当前报文M1后,对M1产生一个哈希值hash(M1)。
然后使用共享密钥KP-D加密当前报文M1以及其对应的哈希值,得到CT=Encrypt(PK,M,T)。
再使用Kpub对共享密钥KP-D进行签名得,其中,Kpub以及共享密钥KP-D均为128位的随机数。
需要说明的是,Encrypt(PK,K,T)加密算法的加密过程可以为:
输入:公共参数PK,共享密钥K和根节点为R的访问树T.
输出:密文
Figure BDA0002539352730000151
步骤1:对访问树T中的每个节点设置一个次数为dx=kx-1的多项式qx
步骤2:选择一个随机数s∈ZP和设置s=qR(0),同时选择dR个随机数ai∈ZP定义根节点R的多项式qR
步骤3:对访问树T中的其他任意节点x设置qx(0)=qparent(x)(index(x))}同时从Zp中选择dx个随机数定义qx
步骤4:设Y表示叶子节点的集合,通过访问树T构造的密文为
Figure BDA0002539352730000152
Figure BDA0002539352730000153
y∈Y:Cy=gH(att(y))qy(0))。
Encrypt(PK,M,T)可以通过调用JDK中的jdkRSA()函数实现。
另外,Kpub的生成过程为:数据接收节点D根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开。
S106:数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000154
发送至数据接收节点D。
应用本发明实施例,使用非对称加密算法加密共享秘钥,使用共享秘钥对称加密当前报文M进行加密,相对于现有技术中使用非对称加密算法对当前报文M进行加密产生的数据开销,由于对称加密算法的数据开销远小于非对称加密算法,因此,本发明实施例可以降低数据开销。
另外,现有技术中为了防止机器人之间传递的信息被篡改,提出AIRT-ROS虚拟网卡防止篡改机制,基于CP-ABE(Ciphertext-Policy Attribute-Based Encryption,密文策略属性基加密系统)在机器人之间控制密文访问,针对CP-ABE难以加密大量的数据,本专利中,首先使用一个AES(Advanced EncryptionStandard,高级加密标准)共享密钥对数据进行加密,一个RSA公私钥对公用密钥和私有密钥进行签名和验证,而后使用CP-ABE对密钥进行加密,以减少密文变量参数的数量并保证密钥只能被合法用户访问。
第二方面,图2为本发明实施例提供的第二种数据安全传输方法的流程示意图;本发明实施例提供了第二种数据安全传输方法,应用于机器人可信机构,所述方法包括:
S201:接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点。
示例性的,本步骤中的具体过程与S101中的对应内容相同,本发明实施例在此并不对其进行赘述。
S202:根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
具体的,随机选择三个随机数k、n1和n2作为安全参数,并根据所述安全参数,利用预设的双线性映射算法生成五元组(q,G0,G1,e,P),其中,q为第一素数;P为第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数;
从预设的随机数集合Zq中随机选择一个生成元s作为主密钥,并根据所述生成元s利用公式,PK=sP,生成第一公钥PK;
选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数发布至接收数据传输路由中的数据发送节点和数接收节点。
S203:生成对应于每一个节点的伪身份信息;
示例性的,可以针对每一个节点,机器人可信机构根据节点的标识信息以及所述主密钥s,利用公式,PIDP=Es(IDP),生成对应于节点的伪身份信息,其中,PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
S204:根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
可以根据所述数据发送节点P的伪身份信息,利用公式,SKP=sH(PIDP),生成数据发送节点P的第一私钥;根据所述数据接收节点D的伪身份信息,利用公式,SKD=sH(PIDD),生成数据接收节点D的第一私钥,其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息;
发送(PIDP,SKP,IDD)给数据发送节点P,发送(SKcs,PIDP)给云服务器CS和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
应用本发明上述实施例,可以使数据发送几点P与数据接收节点D相对应共同的可信节点进行第一密钥的获取,提高了数据的一致性。
第三方面,图3为本发明实施例提供的第三种数据安全传输方法的流程示意图;本发明实施例提供了第三种数据安全传输方法,应用于数据传输路由中的各数据接收节点D,所述方法包括:
S301:向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合。
S302:接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
S303:根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
具体的,可以根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
可以根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
S301-S303步骤与本发明实施例中S101步骤中对应内容原理相同,本发明实施例在此并不对其进行赘述。
S304:根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开。
需要强调的是,本步骤中使用的非对称加密算法为现有的加密算法。将共享密钥KP-D以及数据接收节点D自身的属性信息作为输入,生成配对的第二公钥Kpub和第二私钥Kpriv
S305:利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000171
进行解密处理,得到共享密钥KP-D的明文。
可以数据接收节点D在接收到数据发送节点P发送的对应于当前报文的信息后,利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000181
进行解密处理;如果解密成功,得到共享密钥KP-D的明文;如果解密未成功,继续接收密文,并将所接收当前报文的下一报文的密文作为当前报文的密文,并返回执行利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000182
进行解密处理的步骤,直至解密成功,得到共享密钥KP-D的明文。
S306:利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
示例性的,数据发送节点P将共享密钥KP-D
示例性的,数据接收节点D接收获取当前报文的密文CT=Encrypt(PK,M,T)。
根据共享密钥KP-D利用解密算法Decrypt(CT,KP-D))解密CT得到M1。
可以使用数据发送节点P发送过来的M1的哈希值对解密后的M1进行哈希,得到新的哈希结果,并将新的哈希结果与所接收的哈希结果进行比对,如果相同,可以认为解密后的数据未被篡改。
需要说明的是,解密算法Decrypt(CT,KP-D))的具体过程可以为:
输入:密文CT={T,C,Cy},用户私密
Figure BDA0002539352730000183
和用户属性集合S.
输出:共享密钥KP-D.
步骤1:如果节点x是叶子结点,执行DecryptNode(CT,SK,x)得到:
Figure BDA0002539352730000184
步骤2:如果节点x是非叶子节点,对它的每个孩子节点y调用DecryptNode(CT,SK,y)函数得到
Figure BDA0002539352730000185
步骤3:对节点x的所有孩子节点y执行公式
Figure BDA0002539352730000187
得到
Figure BDA0002539352730000186
步骤4:重复步骤1、步骤2、步骤3的工作,直到获得访问树T的根节点R的e(g,g)aq R (0).如何访问到根节点。
步骤5:计算C/e(g,g)aq R (0).得到K
步骤6:输出共享密钥KP-D
Decrypt(CT,SK)可以通过调用JDK中的jdkRSA()函数实现。
应用本发明实施例,使用非对称加密算法加密共享秘钥,使用共享秘钥对称加密当前报文M进行加密,相对于现有技术中使用非对称加密算法对当前报文M进行加密产生的数据开销,由于对称加密算法的数据开销远小于非对称加密算法,因此,本发明实施例可以降低数据开销。
第四方面,图4为本发明实施例提供的第四种数据安全传输方法的流程示意图,本发明实施例提供了第四种数据安全传输方法。
现有技术中,由机器人节点组成的网络与传统网络区别较大,其主要特点是机器人节点的运算能力通常较弱,缺少足够的网络防护能力,机器人节点密度较低,组网规模较小。但是网络安全对机器人非常重要,如果对来自网络中的攻击缺乏必要的防范,将会影响机器人的安全,甚至导致对人员其他设备、设施的损坏。当机器人之间的物理距离较远,则需要通过路由器或者其他网络设备传递消息,因此需要考虑机器人之间传递消息的如下特征:
(1)机密性:为了保护数据不被泄露,系统需要加密数据。在数据传输过程中,攻击者有可能窃听隐私信息。(2)完整性:缺乏数据完整性技术,易导致攻击者修改信息。数据完整性是通过数据认证技术来实现的,它保证了接收到的数据不会被攻击者改变。(3)访问控制:访问控制技术保证了机器人信息仅可以被授权机器人访问和使用。
机器人组成的局域网中主要面临以下几类攻击:(1)被动攻击:该攻击通过机器人节点间的链路层进行窃听,获取敏感的隐私数据。这类攻击一般只破坏机器人局域网中数据的机密性,并不破坏整个数据的完整性,具有一定程度的破坏作用。(2)主动攻击:该攻击通过攻击机器人的中央控制器,获取中央控制器上的存储数据并对转发数据进行篡改或伪造。这类攻击要比被动攻击所造成的伤害更大,不但会破坏数据的机密性和完整性,还会破坏数据的可靠性和真实性,影响较大。(3)黑洞攻击:该攻击谎称自己有到目标节点的高质量传输路径,诱导附近的邻居节点向黑洞节点发送数据包以损坏数据包的正常传输。当恶意节点接收到来自邻居节点的数据包时,它会直接丢弃数据包而不进行转发,从而导致网络瘫痪。(4)灰洞攻击:灰洞攻击比黑洞攻击更加危险。它可以选择性的转发一些封包,但不转发所有封包。由于它的行为介于正常节点和黑洞节点之间,因此比黑洞攻击更加难以检测。
本发明实施例可以应用于数据传输路由中用于发送数据的源节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
S401:向数据传输路由中的下一跳节点发送数据包以使所述下一跳节点将该数据包发送至所述下一跳节点的下一跳节点,并记录源节点发送出去的数据包的数量。
源节点,如数据发送节点P选定下一跳路由,向下一跳节点Si发送数据包,同时在本地记录发送数据包的数量N。
S402:接收数据传输路由中的各个节点返回的哈希值,并针对各个节点所返回的哈希值的数量进行计数。
下一跳节点Si接收到数据包,根据接收到的数据包生成一个MD5值,将该值返回给源节点。同时下一跳节点Si继续转发数据包到Si+1。
Si的下一跳节点Si+1接收到数据包,根据接收到的数据包生成一个MD5值,将该值返回给源节点。同时下一跳节点Si+1继续转发数据包,直到发送到目的节点,如数据接收节点D,目的节点同样根据接收到数据包生成一个MD5值,将该值返回给源节点。
S403:针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点的丢包率,在所述节点的丢包率高于第一预设阈值时,判定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
源节点将Si,Si+1和目标节点根据收到数据包后生成的MD值,与发送数据包数量做比较,每过一段时间计算各个节点的丢包率。
分别对黑洞和灰洞攻击设定一个第一预设预支。比较数据包转发路径上,各个节点的丢包率是否超过黑洞或者灰洞的阈值,将黑洞/灰洞节点在局域网内广播。
或者,
针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点所发送的数据包到达正确的下一跳节点的准确率,在所述准确率低于第二预设阈值时,定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
例如,有的节点在接收到应当发送至节点X的数据包后,将该数据包发送至节点L;则说明该数据包发送错误,因此,使用准确率并不能完全衡量灰洞的出现,因此,统计各个节点所发送的数据包中能够正确抵达对应的节点的数据包的数量,可以检测出那些将数据包错误发送的节点。
AIRT-ROS虚拟网卡黑洞(灰洞)检测机制检测某个邻居节点实际接收数据包数量和该邻居节点实际转发的数据包数量,如果实际转发数据包数量较实际收到的数据包数量超过一个预先设定的数值,即该节点的丢包率大于黑洞(灰洞)攻击设定的阈值时,将其视为恶意节点并上报给其他邻居节点。整个网络中的所有节点在接收到恶意节点名单后更新本地路由信息表,当再次转发数据包的时候,即可绕开恶意节点。
应用本发明上述实施例,AIRT-ROS虚拟网卡黑洞(灰洞)检测机制,检测机器人之间的数据传递过程中是否有大量丢包行为,根据丢包率的阈值将有大量丢包行为的节点标记为黑洞(灰洞),并将黑洞(灰洞)广播到所在的网络,通知其他机器人节点在选择路由的时候绕开黑洞(灰洞),避免造成机器人因为无法正常接收到数据包而导致操作失败或者更严重的操作事故。
第五方面,图5为本发明实施例提供的第四种数据安全传输方法的原理示意图,本发明实施例提供了第五种数据安全传输方法,应用于数据传输路由中除源节点之外的其他节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
S501:接收对应于自身的位于数据传输路由中前一个节点所发送的数据包,并利用哈希算法生成对应于所述数据包的哈希值。
S502:将所述哈希值发送至源节点,以使源节点对各个节点返回的所述哈希值进行计数。
应用本发明上述实施例,AIRT-ROS虚拟网卡黑洞(灰洞)检测机制,检测机器人之间的数据传递过程中是否有大量丢包行为,根据丢包率的阈值将有大量丢包行为的节点标记为黑洞(灰洞),并将黑洞(灰洞)广播到所在的网络,通知其他机器人节点在选择路由的时候绕开黑洞(灰洞),避免造成机器人因为无法正常接收到数据包而导致操作失败或者更严重的操作事故。
对应于本发明第一方面方法实施例,第六方面,本发明实施例提供了第六种数据安全传输方法,所述方法包括:
S601:数据接收节点D向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
S602:数据发送节点P向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
S603:机器人可信机构接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;生成对应于每一个节点的伪身份信息;根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收;
S604:数据发送节点P接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;数据接收节点D接收接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
S605:数据发送节点P根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000221
使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;36)、数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000222
发送至数据接收节点D;
S606:数据接收节点D接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000223
进行解密处理,得到共享密钥KP-D的明文;利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
应用本发明实施例,使用非对称加密算法加密共享秘钥,使用共享秘钥对称加密当前报文M进行加密,相对于现有技术中使用非对称加密算法对当前报文M进行加密产生的数据开销,由于对称加密算法的数据开销远小于非对称加密算法,因此,本发明实施例可以降低数据开销。
第七方面,对应于本发明第一方面方法实施例,本发明实施例还提供了一种数据安全传输装置,应用于数据传输路由中的各数据发送节点P,所述装置包括:
第一发送模块701,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第一接收模块702,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
第一获取模块703,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
加密模块704,用于数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure BDA0002539352730000231
数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;
第二发送模块705,用于数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure BDA0002539352730000232
发送至数据接收节点D。
在本发明实施例的一种具体实施方式中,所述第一获取模块703,用于:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
在本发明实施例的一种具体实施方式中,所述第一获取模块703,用于:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
第八方面,对应于本发明第二方面方法实施例,本发明实施例还提供了一种数据安全传输装置,应用于机器人可信机构,所述装置包括:
第二接收模块801,用于接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;
第一生成模块802,用于根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
生成对应于每一个节点的伪身份信息;
第三发送模块803,用于根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
在本发明实施例的一种具体实施方式中,所述第一生成模块802,用于:
随机选择三个随机数k、n1和n2作为安全参数,并根据所述安全参数,利用预设的双线性映射算法生成五元组(q,G0,G1,e,P),其中,q为第一素数;P为第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数;
从预设的随机数集合Zq中随机选择一个生成元s作为主密钥,并根据所述生成元s利用公式,PK=sP,生成第一公钥PK;
选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数发布至接收数据传输路由中的数据发送节点和数接收节点。
在本发明实施例的一种具体实施方式中,所述第一生成模块802,用于:
针对每一个节点,机器人可信机构根据节点的标识信息以及所述主密钥s,利用公式,PIDP=Es(IDP),生成对应于节点的伪身份信息,其中,
PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
在本发明实施例的一种具体实施方式中,所述第三发送模块803,用于:
根据所述数据发送节点P的伪身份信息,利用公式,SKP=sH(PIDP),生成数据发送节点P的第一私钥;根据所述数据接收节点D的伪身份信息,利用公式,SKD=sH(PIDD),生成数据接收节点D的第一私钥,其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息;
发送(PIDP,SKP,IDD)给数据发送节点P,发送(SKcs,PIDP)给云服务器CS和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
第九方面,对应于本发明第三方面方法实施例,本发明实施例还提供了一种数据安全传输装置,应用于数据传输路由中的各数据接收节点D,所述装置包括:
第四发送模块901,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第三接收模块902,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
第二获取模块903,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
第二生成模块904,用于根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;
解密模块905,用于利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000251
进行解密处理,得到共享密钥KP-D的明文;
利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
在本发明实施例的一种具体实施方式中,所述第二获取模块903,用于:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
在本发明实施例的一种具体实施方式中,所述第二获取模块903,用于:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
在本发明实施例的一种具体实施方式中,所述解密模块905,用于:
数据接收节点D在接收到数据发送节点P发送的对应于当前报文的信息后,利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000252
进行解密处理;如果解密成功,得到共享密钥KP-D的明文;如果解密未成功,继续接收密文,并将所接收当前报文的下一报文的密文作为当前报文的密文,并返回执行利用第二私钥对所接收的共享秘钥的密文
Figure BDA0002539352730000261
进行解密处理的步骤,直至解密成功,得到共享密钥KP-D的明文。
第十方面,对应于本发明第四方面方法实施例,本发明实施例还提供了一种数据安全传输装置,应用于数据传输路由中用于发送数据的源节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述装置包括:
第五发送模块1001,用于向数据传输路由中的下一跳节点发送数据包以使所述下一跳节点将该数据包发送至所述下一跳节点的下一跳节点,并记录源节点发送出去的数据包的数量;
第四接收模块1002,用于接收数据传输路由中的各个节点返回的哈希值,并针对各个节点所返回的哈希值的数量进行计数;
计算模块1003,用于针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点的丢包率,在所述节点的丢包率高于第一预设阈值时,判定所述节点为灰洞节点,并将所述节点的标识信息向全网广播;
或者,
计算模块1003,用于针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点所发送的数据包到达正确的下一跳节点的准确率,在所述准确率低于第二预设阈值时,定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
第十一方面,对应于本发明第五方面方法实施例,本发明实施例还提供了一种数据安全传输装置,应用于数据传输路由中除源节点之外的其他节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述装置包括:
第五接收模块1101,用于接收对应于自身的位于数据传输路由中前一个节点所发送的数据包,并利用哈希算法生成对应于所述数据包的哈希值;
第六发送模块1102,用于将所述哈希值发送至源节点,以使源节点对各个节点返回的所述哈希值进行计数。
第十二方面,对应于本发明第六方面方法实施例,本发明实施例还提供了一种数据安全传输系统,所述系统包括:
根据第七方面、第十方面任一项所述的数据发送节点P;
根据第九方面、第十一方面任一项所述的数据接收节点D;
根据第八方面任一项所述的机器人可信机构。
应用本发明上述实施例,AIRT-ROS虚拟网卡黑洞(灰洞)检测机制,检测机器人之间的数据传递过程中是否有大量丢包行为,根据丢包率的阈值将有大量丢包行为的节点标记为黑洞(灰洞),并将黑洞(灰洞)广播到所在的网络,通知其他机器人节点在选择路由的时候绕开黑洞(灰洞),避免造成机器人因为无法正常接收到数据包而导致操作失败或者更严重的操作事故。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (18)

1.一种数据安全传输方法,其特征在于,应用于数据传输路由中的各数据发送节点P,所述方法包括:
11)、向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
12)、接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;
13)、根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
14)、数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure FDA0002539352720000011
15)、数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;
16)、数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure FDA0002539352720000012
发送至数据接收节点D。
2.根据权利要求1所述的一种数据安全传输方法,其特征在于,所述步骤13),包括:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
3.根据权利要求1所述的一种数据安全传输方法,其特征在于,所述步骤13),包括:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
4.根据权利要求1-3任一项所述一种数据安全传输方法,其特征在于,应用于机器人可信机构,所述方法包括:
21)、接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;
22)、根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
23)、生成对应于每一个节点的伪身份信息;
24)、根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
5.根据权利要求4所述的一种数据安全传输方法,其特征在于,所述步骤22),包括:
随机选择三个随机数k、n1和n2作为安全参数,并根据所述安全参数,利用预设的双线性映射算法生成五元组(q,G0,G1,e,P),其中,q为第一素数;P为第二素数;G0为第一乘法循环群;G1为第二乘法循环群;e为双线性映射函数;
从预设的随机数集合Zq中随机选择一个生成元s作为主密钥,并根据所述生成元s利用公式,PK=sP,生成第一公钥PK;
选择哈希算法和一个对称加密算法Ek(),并将第一素数q、第二素数P、第一乘法循环群、第二乘法循环群、双线性映射函数、所述哈希算法、所述对称加密算法以及所述第一公钥PK作为公共参数发布至接收数据传输路由中的数据发送节点和数接收节点。
6.根据权利要求4所述的一种数据安全传输方法,其特征在于,所述步骤23),包括:
针对每一个节点,机器人可信机构根据节点的标识信息以及所述主密钥s,利用公式,PIDP=Es(IDP),生成对应于节点的伪身份信息,其中,
PIDP为第P个节点的伪身份信息;IDP为第P个节点的标识信息;Es()为对称加密算法。
7.根据权利要求4所述的一种数据安全传输方法,其特征在于,所述步骤24),包括:
根据所述数据发送节点P的伪身份信息,利用公式,SKP=sH(PIDP),生成数据发送节点P的第一私钥;根据所述数据接收节点D的伪身份信息,利用公式,SKD=sH(PIDD),生成数据接收节点D的第一私钥,其中,SKP为第P个节点的第一私钥;SKD为数据接收节点D的第一私钥;PIDD为数据接收节点D的伪身份信息;
发送(PIDP,SKP,IDD)给数据发送节点P,和发送(SKD,PIDP)给参与数据接收节点D;并将所述哈希函数向数据发送节点P和数据发送节点D公开。
8.基于权利要求1-7任一项所述一种数据安全传输方法,其特征在于,应用于数据传输路由中的各数据接收节点D,所述方法包括:
31)、向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
32)、接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
33)、根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
34)、根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;
35)、利用第二私钥对所接收的共享秘钥的密文
Figure FDA0002539352720000041
进行解密处理,得到共享密钥KP-D的明文;
36)、利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
9.根据权利要求8所述的一种数据安全传输方法,其特征在于,所述步骤33),包括:
根据数据发送节点P的第一私钥和数据接收节点D的标识信息,利用公式,KP-D=e(SKP,H(IDD)),获取数据发送节点P和数据接收节点D之间的共享密钥。
10.根据权利要求8所述的一种数据安全传输方法,其特征在于,所述步骤33),包括:
根据节点的伪身份信息和数据接收节点D的第一私钥,利用公式,KP-D=e(H(PIDP),SKD),获取数据发送节点P和数据接收节点D之间的共享密钥,其中,KP-D数据发送节点P和数据接收节点D之间的共享密钥;H为哈希函数;e为双线性映射函数。
11.根据权利要求8所述的一种数据安全传输方法,其特征在于,所述35),包括:
数据接收节点D在接收到数据发送节点P发送的对应于当前报文的信息后,利用第二私钥对所接收的共享秘钥的密文
Figure FDA0002539352720000051
进行解密处理;如果解密成功,得到共享密钥KP-D的明文;如果解密未成功,继续接收密文,并将所接收当前报文的下一报文的密文作为当前报文的密文,并返回执行利用第二私钥对所接收的共享秘钥的密文
Figure FDA0002539352720000052
进行解密处理的步骤,直至解密成功,得到共享密钥KP-D的明文。
12.根据权利要求1-11任一项所述的一种数据安全传输方法,其特征在于,应用于数据传输路由中用于发送数据的源节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
41)、向数据传输路由中的下一跳节点发送数据包以使所述下一跳节点将该数据包发送至所述下一跳节点的下一跳节点,并记录源节点发送出去的数据包的数量;
42)、接收数据传输路由中的各个节点返回的哈希值,并针对各个节点所返回的哈希值的数量进行计数;
43)、针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点的丢包率,在所述节点的丢包率高于第一预设阈值时,判定所述节点为灰洞节点,并将所述节点的标识信息向全网广播;
或者,
44)、针对数据传输路由中除所述源节点之外的其他节点中的每一个节点,计算所述节点所发送的数据包到达正确的下一跳节点的准确率,在所述准确率低于第二预设阈值时,定所述节点为灰洞节点,并将所述节点的标识信息向全网广播。
13.根据权利要求1-12任一项所述的一种数据安全传输方法,其特征在于,应用于数据传输路由中除源节点之外的其他节点,其中,所述数据传输路由中包括数据发送节点P和数据接收节点D,所述方法包括:
51)、接收对应于自身的位于数据传输路由中前一个节点所发送的数据包,并利用哈希算法生成对应于所述数据包的哈希值;
52)、将所述哈希值发送至源节点,以使源节点对各个节点返回的所述哈希值进行计数。
14.根据权利要求1-13任一项所述的一种数据安全传输方法,其特征在于,所述方法包括:
数据接收节点D向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
数据发送节点P向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
机器人可信机构接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;生成对应于每一个节点的伪身份信息;根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收;
数据发送节点P接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;数据接收节点D接收接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
数据发送节点P根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure FDA0002539352720000071
使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;36)、数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure FDA0002539352720000081
发送至数据接收节点D;
数据接收节点D接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;利用第二私钥对所接收的共享秘钥的密文
Figure FDA0002539352720000082
进行解密处理,得到共享密钥KP-D的明文;利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
15.一种数据安全传输装置,其特征在于,应用于数据传输路由中的各数据发送节点P,所述装置包括:
第一发送模块,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第一接收模块,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据发送节点P的第一私钥;
第一获取模块,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
加密模块,用于数据发送节点P利用数据接收节点D公开的非对称加密算法中的第二公钥Kpub对共享密钥KP-D进行签名加密处理,得到加密后的共享秘钥的密文
Figure FDA0002539352720000091
数据发送节点P使用共享密钥KP-D并利用AES加密算法对当前报文M进行加密得到当前报文的密文CT=Encrypt(PK,M,T);其中,CT为当前报文的密文;Encrypt()为AES加密算法;PK为第一公钥PK;M为当前报文;T为访问树;
第二发送模块,用于数据发送节点P将当前报文的密文CT以及所述加密后的共享秘钥的密文
Figure FDA0002539352720000092
发送至数据接收节点D。
16.根据权利要求15所述的一种数据安全传输装置,其特征在于,应用于机器人可信机构,所述装置包括:
第二接收模块,用于接收数据传输路由中各个节点发送的注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合,且所述节点包括:数据发送节点和数据接收节点;
第一生成模块,用于根据随机数,利用预设的双线性映射算法生成五元组,并将所述五元组;再根据生成元与所述五元组中的素数生成第一公钥PK,并将所述五元组与第一公钥PK发布至接收数据传输路由中的数据发送节点和数接收节点,其中,所述生成元为随机数;
生成对应于每一个节点的伪身份信息;
第三发送模块,用于根据生成元,利用哈希函数生成对应于每一个节点的私钥并将所述私钥、伪身份信息以及哈希函数发送至对应的节点,以使所述数据节点进行数据的发送或者接收。
17.基于权利要求15或16所述一种数据安全传输装置,其特征在于,应用于数据传输路由中的各数据接收节点D,所述装置包括:
第四发送模块,用于向机器人可信机构发送注册信息,其中,所述注册信息包括:所述节点的标识信息、IP地址中的一种或组合;
第三接收模块,用于接收机器人可信机构发送的五元组、第一公钥PK、哈希函数以及对应于数据接收节点D的第一私钥;
第二获取模块,用于根据数据发送节点P的第一私钥、数据接收节点D的标识信息以及所述哈希函数,利用所述五元组对应的双线性映射算法,获取数据发送节点P和数据接收节点D之间的共享密钥;
第二生成模块,用于根据所述共享密钥KP-D以及自身的属性信息,利用非对称加密算法生成配对的第二公钥Kpub和第二私钥Kpriv,并将所述第二公钥Kpub向数据发送节点P公开;
解密模块,用于利用第二私钥对所接收的共享秘钥的密文
Figure FDA0002539352720000101
进行解密处理,得到共享密钥KP-D的明文;
利用共享密钥KP-D的明文对所接收的当前报文的密文CT进行解密,得到当前报文M的明文,直至接收完所有的当前报文密文。
18.一种数据安全传输系统,其特征在于,所述系统包括:
根据权利要求15所述的数据发送节点P;
根据权利要求17所述的数据接收节点D;
根据权利要求16任一项所述的机器人可信机构。
CN202010542148.3A 2020-06-15 2020-06-15 数据安全传输方法、装置及系统 Active CN111726346B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010542148.3A CN111726346B (zh) 2020-06-15 2020-06-15 数据安全传输方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010542148.3A CN111726346B (zh) 2020-06-15 2020-06-15 数据安全传输方法、装置及系统

Publications (2)

Publication Number Publication Date
CN111726346A true CN111726346A (zh) 2020-09-29
CN111726346B CN111726346B (zh) 2022-11-11

Family

ID=72566703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010542148.3A Active CN111726346B (zh) 2020-06-15 2020-06-15 数据安全传输方法、装置及系统

Country Status (1)

Country Link
CN (1) CN111726346B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114468A (zh) * 2021-03-24 2021-07-13 深圳微品致远信息科技有限公司 基于md5+aes混合的加密防篡改方法及系统
CN116484443A (zh) * 2023-06-19 2023-07-25 深圳市优博生活科技有限公司 一种基于鸿蒙系统的可信安全存储方法及装置
CN116579005A (zh) * 2023-07-10 2023-08-11 西安银信博锐信息科技有限公司 一种用户数据安全存储管理方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130212377A1 (en) * 2012-02-10 2013-08-15 Behzad Malek Method and System for a Certificate-less Authenticated Encryption Scheme Using Identity-based Encryption
CN103546421A (zh) * 2012-07-10 2014-01-29 河北省电子认证有限公司 基于pki技术的网络工作交流安全保密系统及其实现方法
CN103647642A (zh) * 2013-11-15 2014-03-19 河海大学 一种基于证书代理重加密方法及系统
CN105306212A (zh) * 2015-08-31 2016-02-03 赵运磊 一种身份隐藏且强安全的签密方法
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法
CN106658483A (zh) * 2016-10-12 2017-05-10 陕西尚品信息科技有限公司 一种有效抵御黑洞攻击的saodv优化方法
CN110113150A (zh) * 2019-04-08 2019-08-09 淮阴工学院 基于无证书环境的可否认认证的加密方法和系统
CN111224921A (zh) * 2018-11-26 2020-06-02 北京京东尚科信息技术有限公司 安全传输方法和安全传输系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130212377A1 (en) * 2012-02-10 2013-08-15 Behzad Malek Method and System for a Certificate-less Authenticated Encryption Scheme Using Identity-based Encryption
CN103546421A (zh) * 2012-07-10 2014-01-29 河北省电子认证有限公司 基于pki技术的网络工作交流安全保密系统及其实现方法
CN103647642A (zh) * 2013-11-15 2014-03-19 河海大学 一种基于证书代理重加密方法及系统
CN105306212A (zh) * 2015-08-31 2016-02-03 赵运磊 一种身份隐藏且强安全的签密方法
CN106658483A (zh) * 2016-10-12 2017-05-10 陕西尚品信息科技有限公司 一种有效抵御黑洞攻击的saodv优化方法
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法
CN111224921A (zh) * 2018-11-26 2020-06-02 北京京东尚科信息技术有限公司 安全传输方法和安全传输系统
CN110113150A (zh) * 2019-04-08 2019-08-09 淮阴工学院 基于无证书环境的可否认认证的加密方法和系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114468A (zh) * 2021-03-24 2021-07-13 深圳微品致远信息科技有限公司 基于md5+aes混合的加密防篡改方法及系统
CN113114468B (zh) * 2021-03-24 2023-03-24 深圳微品致远信息科技有限公司 基于md5+aes混合的加密防篡改方法及系统
CN116484443A (zh) * 2023-06-19 2023-07-25 深圳市优博生活科技有限公司 一种基于鸿蒙系统的可信安全存储方法及装置
CN116484443B (zh) * 2023-06-19 2023-09-15 深圳市优博生活科技有限公司 一种基于鸿蒙系统的可信安全存储方法及装置
CN116579005A (zh) * 2023-07-10 2023-08-11 西安银信博锐信息科技有限公司 一种用户数据安全存储管理方法
CN116579005B (zh) * 2023-07-10 2023-09-19 西安银信博锐信息科技有限公司 一种用户数据安全存储管理方法

Also Published As

Publication number Publication date
CN111726346B (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
Qiu et al. A mutual authentication and key establishment scheme for M2M communication in 6LoWPAN networks
US8254581B2 (en) Lightweight key distribution and management method for sensor networks
CN1964258B (zh) 用于安全装置发现及引入的方法
CN111726346B (zh) 数据安全传输方法、装置及系统
Sekhar et al. Security in wireless sensor networks with public key techniques
Fakhrey et al. The optimum design of location-dependent key management protocol for a WSN with a random selected cell reporter
Mundt et al. General security considerations of LoRaWAN version 1.1 infrastructures
Madhurya et al. Implementation of enhanced security algorithms in mobile ad hoc networks
WO2019001239A1 (en) DATA PLAN SECURITY BASED ON IDENTIFIER (ID) FOR IDENTITY-ORIENTED NETWORKS
Khalil et al. Analysis and evaluation of SECOS, a protocol for energy efficient and secure communication in sensor networks
Khedr Improved Lightweight Authentication Scheme for IEEE 802.11 p Vehicle-to-Infrastructure Communication.
Ouada et al. Lightweight identity-based authentication protocol for wireless sensor networks
Atheeq et al. Secure intelligence algorithm for data transmission in integrated internet Manet
Jamshiya et al. Design of a trusted third party key exchange protocol for secure Internet of Things (IoT)
KR101417671B1 (ko) 센서 네트워크상의 보안관리 및 공격탐지 시스템
Islam et al. A Link Layer Security Protocol for Suburban Ad-Hoc Networks
Barriga et al. Securing End-Node to Gateway Communication in LoRaWAN with a Lightweight Security Protocol
US20240048559A1 (en) Rendering endpoint connection without authentication dark on network
US20240064012A1 (en) Authentication cryptography operations, exchanges and signatures
US20240048363A1 (en) Network packet tampering proofing
US20240022568A1 (en) Authorization and authentication of endpoints for network connections and communication
US20240048364A1 (en) Registration and authentication of endpoints by authentication server for network connections and communication including packet tampering proofing
US20240073009A1 (en) Registration of endpoints by authentication server when onboarding to network
Abidin Wireless Sensor Network and Security Mechanism by Encryption
Krzywiecki et al. Proxy Signcryption Scheme for Vehicle Infrastructure Immune to Randomness Leakage and Setup Attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220921

Address after: 236000 room 316, building 3, Zone C, intelligent technology park, No. 3963 Susong Road, Hefei Economic and Technological Development Zone, Anhui Province

Applicant after: Hefei Hagong Xuanyuan Intelligent Technology Co.,Ltd.

Address before: Room 6012, Haiheng building, No.6 Cuiwei Road, Hefei Economic and Technological Development Zone, Anhui Province

Applicant before: HRG INTERNATIONAL INSTITUTE FOR RESEARCH & INNOVATION

GR01 Patent grant
GR01 Patent grant