CN1653742A

CN1653742A - 安全的移动自组网络和相关方法

Info

Publication number: CN1653742A
Application number: CNA038102072A
Authority: CN
Inventors: 托马斯·J.·比尔哈兹; 弗兰克·J.·弗莱明
Original assignee: Harrier Inc
Current assignee: Harris Corp; Harrier Inc
Priority date: 2002-05-10
Filing date: 2003-05-07
Publication date: 2005-08-10
Also published as: EP1508220A4; US20030210787A1; EP3121990A3; KR20040104725A; EP1508220A1; EP3121990B1; AU2003230290A1; JP2006514789A; EP3125463A3; EP3121990A1; CA2483879A1; BR0309910A; WO2003096606A1; US7346167B2; EP1508220B1; EP3125463A1

Abstract

一个移动自组网络(10)可包括多个节点，其中包括一个源节点(11a)和至少一个邻近节点(11b)。源节点(11a)可包括一个无线通信设备，用于与至少一个邻近节点(11b)建立一个无线通信链接，一个纯文本源(24)，以及一个第二生成器(20)，用于用一个密钥执行一个单向算法以生成一个种子。此外，源节点(11a)还可包括一个密钥加密器(22)用于执行种子并根据它生成一个密钥序列，以及一个逻辑电路用于根据密钥序列和纯文本生成一个密码文本，用于在无线通信链接上传输。

Description

安全的移动自组网络和相关方法

技术领域

本发明涉及无线网络领域，尤其涉及移动自组无线网络和相关方法。

背景技术

在过去的十年中，无线网络经历了增长的发展。一个发展最迅速的区域是移动自组网络(mobile ad hoc networks)。从物理上来说，一个移动自组网络包括共享一个公共无线电信道的多个地理上分散的、潜在的移动节点。与其他类型的网络相比，例如蜂窝网络或卫星网络，移动自组网络最突出的特征在于没有任何固定的基础设施。网络仅由移动节点组成，并且一个网络是在节点彼此传输信号时“在空中”创建中。网络不依赖于一个特定的节点，并且当某些节点加入或其他节点离开网络时动态调整。

由于这些独特的特征，需要能够适应频繁的拓扑结构变化的用于管理自组网络内的数据流动的路由协议。近年来出现了两种基本类型的自组路由协议，即反应式或“应需式”协议，以及主动式或表驱动式协议。反应式协议在响应一个路由请求需要到一个目标的一个特定路由时收集路由信息。反应式协议的例子包括自组应需式距离矢量(AODV)路由、动态源路由(DSR)、临时排序路由算法(TORA)。

另一方面，主动式路由协议尝试始终保持每个节点到网络中其他每个节点的最新的路由信息。这种协议通常要求每个节点保持一个或多个表，以存储路由信息，并且他们通过在网络中传播更新来响应网络拓扑结构的变化，以保持对网络的一个一致的视图。这种主动式路由例子包括由Perkins的美国专利5412654号公开的目标排序距离矢量(DSDV)路由；无线路由协议(WRP)；群集网络交换路由(CGSR)。一个既使用了主动式也使用了反应式方法的混合协议是由Haas的美国专利6304556号公开的地域路由协议(ZRP)。

对自组网络发展进步的一个挑战是安全性。特别地，由于一个移动自动网络中的节点都无线地通信，因此被未经授权的用户窃听或危及数据的危险大得多。由于自组网络发展处于早期阶段，以及这些网络提出的许多其他挑战，以上路由协议迄今为止主要只集中于数据路由的技巧，而不是安全性。

现在正发展某些方法，用于在移动自组网络内提供更安全的数据传输。2000年春季University of Colorado at Boulder跨学科电信系Nguyen等人在一篇题为“移动自组网络的安全路由分析”的CapsoneProceeding论文中概述了这样一种方法。在这篇论文中，作者建议使用美国数据加密标准(DES)，用于加密纯文本消息。为了认证消息，提议了数字签名和带有加窗序列号的带密钥的单向哈西函数。特别地，公钥加密与一个单向哈西函数一起被使用，以提供数字签名。发送者在消息上使用单向哈西函数，然后用其私钥加密哈西值。消息和加密后的哈西值一起被发送到其目标。在接收者处，同样根据消息计算哈西值，并且该哈西值与接收到的使用发送者的公钥解密的哈西值相比较。如果它们是相同的，则签名被认证。

虽然以上方法可提供增强安全性的某些措施，但一个潜在的缺点是私人密钥可能被外界攻击发现。即一个第三方可能能够通过收集和比较来自发送者的消息发现关于私人密钥的信息。然后，例如，一个第三方通过了解私人密钥能够模拟发送者，并且引起网络操作的严重中断。

发明内容

由于前述背景，因此本发明的一个目标是在一个移动自组网络中提供增强的安全性，以及相关方法。

根据本发明的这一个和其他目的、特征和优点是由一个安全的移动自组网络节点提供的，该节点可包括一个无线通信设备，用于与至少一个邻近节点建立一个无线通信链接，一个纯文本源，以及一个种子生成器，用于使用一个密钥执行一个单向算法以生成一个种子。此外，一个密钥加密器可接收种子，并根据它生成一个密钥序列，并且可包括一个逻辑电路，用于根据所述密钥序列和纯文本生成密码文本以便在无线通信链接上传输到至少一个邻近节点。

特别地，单向算法可以是一个哈西算法，例如一个单相位哈西算法。种子生成器可以用所述密钥和一个变化的参考值执行单向算法，以生成种子。此外，无线通信设备可以与一个媒体访问控制(MAC)层相关联，并且变化的参考值可以是一个MAC层序列号。此外，种子生成器可以用所述密钥和节点的一个地址执行单向算法。另外，节点还可进一步包括一个随机初始化矢量(IV)生成器，用于生成一个随机IV，并且种子生成器可以用所述密钥和随机IV执行单向算法。

哈西算法的使用使得密钥更不易受到外部攻击的影响，其中外部攻击比较截取的网络消息，以分离出其间的公共成分(即密钥)。此外，使用变化的参考值使得诸如解密字典攻击这样的攻击更不易发生，因为它大大增加了这种攻击所需的字典的大小。

此外，节点可进一步包括一个安全性检查器，用于根据纯文本生成一个完整性检查值，并且逻辑电路可根据所述密钥序列、纯文本和完整性检查值生成密码文本。也可包括一个连接器，用于连接纯文本和完整性检查值，并且逻辑电路可根据密钥序列以及纯文本和完整性检查值的连接来生成密码文本。例如，完整性检查器可以是一个校验和生成器。

此外，逻辑电路可以是一个异或逻辑电路。也可包括一个连接器，用于连接所述种子和随机IV，从而密钥加密器可根据种子和随机IV的连接而生成密钥序列。此外，密钥可以是一个静态密钥，并且密钥加密器可以是一个伪随机数生成器。此外，随机IV生成器可以与无线通信设备相连接，并且无线通信设备还可与密码文本一起发送所述随机IV。

本发明的另一个方面涉及一个移动自组网络，它可包括多个节点，其中包括一个源节点和至少一个邻近节点。源节点可包括一个无线通信设备，用于与至少一个邻近节点建立一个无线通信链接，一个纯文本源，以及一个种子生成器，用于使用一个密钥执行一个单向算法以生成一个种子。此外，源节点还可包括一个密钥加密器，用于接收种子并根据它生成一个密钥序列，以及一个逻辑电路，用于根据密钥序列和纯文本生成密码文本以便在无线通信链接上传输。

本发明的一个通信方法方面是关于一个移动自组网络的，可包括在一个源节点处使用一个密钥执行一个单向算法以生成一个种子，并且在源节点处根据所述种子生成一个密钥序列。该方法还可包括在源节点处根据密钥序列和纯文本生成密码文本，并且将密码文本从源节点传输到至少一个邻近节点。

附图说明

图1是根据本发明的一个移动自组网络的示意框图。

图2是图1的移动自组网络的源节点的更详细的示意框图。

图3是图1的移动自组网络的源节点的一个替换实施方式的更详细的示意框图。

图4是描述根据本发明的一种方法的流程图。

具体实施方式

现将参考附图更完整的描述本发明，附图中显示了本发明的首选实施方式。但是本发明可以以许多不同的形式实现，不应该被理解为限于此处提出的实施方式。相反，提供这些实施方式是为了使本发明详尽和完整，并且将本发明的范围完整地传达给本领域技术熟练者。由始至终相同的数字表示相同的元件，并且“’”号被用于表示替换实施方式中的相似元件。

首先参考图1，根据本发明的一个移动自组网络10示意性地包括多个无线节点11a-11c。例如，节点11可以是笔记本电脑、个人数字助手(PDA)、移动电话或者其他适当的设备。当然，在某些实施方式中，一个或多个节点11a-11c可以是固定的，以提供到一个有线(或卫星)通信基础设施(例如一个电话网络)的桥接。

在所描述的例子中，节点11作为一个源节点，而节点11b、11c是网络10中它的邻近节点。虽然以下将说明源节点11a的安全数据加密和传输元件，但网络10中的其他节点也最好具这种数据加密和传输能力，为了说明清楚起见，没有显示这些。此外，虽然只是示意性地显示了三个节点11a-11c，但网络10中可包括任意数目个节点，正如本领域技术熟练者将意识到的那样。

源节点11a示意性地包括一个无线通信设备25，用于与至少一个邻近节点(所示例子中的节点11c)建立一个无线通信链接。源节点11a进一步包括一个纯文本源24，以及一个种子生成器20，用于使用一个密钥执行一个单向算法以生成一个种子。此外，源节点11a还包括一个密钥加密器22，它接收种子，并根据它生成一个密钥序列，以及一个逻辑电路23，它根据密钥序列和纯文本生成密码文本，用于在无线通信链接上传输。

使用一个单向函数是尤其有利的，因为它使得密钥更难于被潜在的黑客通过比较多条网络消息的攻击而分离出来。这种攻击在过去已被证明为能够成功窃用其他类型的网络中的密钥，例如一个无线局域网络(LAN)中的密钥。

尤其地，一个更突出的被发展来规范无线LAN/MAN内的通信的标准是1999年电力及电子工程师学会的802LAN/MAN标准委员会的标准，其标题为“信息技术的IEEE标准—电信和信息系统—局域和城局网—特定要求—第11部分：无线LAN媒体访问控制(MAC)和物理层(PHY)规范”，该标准在此处被完全结合进来作为参考。除了提供无线通信协议外，802.11标准还定义了一个无线等效私人(WEP)算法，它被用于保护无线信号，使之不被窃听，因为无线信号与在有线网络上发送的信号相比更易于被截取。

WEP依赖于在无线站和一个接入点之间共享的一个密钥。密钥被用于在传输数据分组之前对其进行加密，并且一个完整性检查被用于确保分组在传输过程中未被修改。但是，最近发现WEP算法并不像以前所相信地那样对外部攻击免疫。例如，在2001年7月意大利罗马MOBICOM的Borisov等人的一篇题为“截取移动通信：802.11的不安全性”的文章中，作者提出了WEP中的多个弱点。尤其地，已注意到当用同一初始化矢量(IV)和密钥加密两条消息时，会发生安全性的一个重大缺口，因为这将暴露关于两条消息的信息。特别地，根据WEP消息，密码文本是用一个异或运算生成的。通过异或来自用同一IV生成的两条消息的密码文本，密码流被消去，从而可能恢复纯文本。同样地，这一密码流的再使用易受到一个解密字典攻击的影响，其中多条消息被存储和比较，以找出用同一IV生成的多条消息。

此外，在2001年8月Fluhrer等人在第八届密码术选定区域年会的题为“RC4的密钥调度算法中的弱点”的会议中，概括了WEP的密钥调度算法的几个弱点，以及利用这些弱点的一种提议的方法，通常称之为“Fluhrer攻击”。其他人随后实现了Fluhrer攻击，并验证了其有效性。例如，参见2001年8月6日AT&T实验室技术报告TD-4ZCPZZ中Stubblefield等人的“使用Fluhrer、Mantin和Shamir攻击破坏WEP”。

根据本发明，单向算法可以是一个哈西算法，例如，本领域技术熟练者已知的MD5或SHA-1哈西算法。当然也可使用本领域技术熟练者已知的其他适当的单向算法。这些算法是被设计为使确定什么是来自哈西函数的上行流(即被算法处理的成分)非常困难的。换句话说，使用这些算法使得在得不到原输入(包括密钥)的情况下用其他成分从算法产生相同的值输出是极不可能的。从而，通过使用被一个单向函数加密的密钥反过来加密将要在无线自组网络消息中发送的纯文本，密钥更不容易受到诸如Fluhrer攻击等的攻击。

根据以上注意到的802.11标准，例如，当WEP安全性功能被启用时，加密后的消息包括密码文本和一个初始化矢量(IV)。此IV通常被用于WEP中以增加被无线站和接入点所使用的共享密钥，并且为每个文本分组产生一个不同的密钥序列，从而防止两个密码文本使用同一密钥流。

正如以上注意到的，即使使用了802.11标准中提倡的IV，也不会使WEP对诸如Fluhrer攻击那样的攻击免疫。本发明的源节点11a可包括一个随机IV生成器，以引起密钥序列中的相似变体。此外，与无线LAN的802.11标准中提出的密钥与IV相连接以生成一个密钥种子的方法相反，种子生成器20最好用所述密钥以及一个节点地址和一个变化的参考值中的一个或两个来执行单向算法，用于生成种子。

例如，密钥可通过多种方法(例如一个无线服务提供商)被发布到节点11a-11c。节点地址同样也可基于为移动自组网络10实现的特定软件和/或协议被一个无线服务提供商分配。

虽然不需要在每个实施方式中使用节点地址，但是通过包括它，一个希望比较加密后的网络消息从而了解密钥的第三方必须只比较来自源节点11a的消息。从而，从单个节点收集足够多条加密后的消息所增加的难度可作为对许多潜在黑客的一个进一步的威慑。

虽然移动自组网络仍处于其幼年期，并且仍没有管理这些网络中的通信的公共标准，但是移动自组网络的一个可能的特征是移动自组节点将根据开放系统结构(OSI)模型操作。在OSI模型中，通信协议在多个层中实现，即应用、表示、会话、传输、网络、数据链路和物理层。本发明也可根据OSI或其他适当的构架来有利地操作，以及实现802.11无线LAN标准和其他类似协议(例如蓝牙)的不同功能，正如本领域技术熟练者将会意识到的那样。此外，本发明也可在任何适当的移动自组网络路由协议上实现，例如以上本发明的背景中所讨论的那些协议。

在以上OSI层中，数据链路层进一步包括一个媒体访问控制(MAC)子层。此外，MAC层通常具有一个与之相关联的序列号，它随着每条被发送的加密后的消息被更新。根据本发明，变化的参考值可以方便地是MAC层序列号，虽然其他变化的参考值可被生成或用于创建密钥种子。

例如，变化的参考值的大小可以大于或等于约12比特，这是MAC层序列号的典型大小。例如，通过使用一个12比特的变化的参考值，其他类型的消息比较攻击，例如一个解密字典攻击，如果要成功的话，必须是标准WEP协议的4096倍那么大，正如本领域技术熟练者将意识到的那样。这样，根据本发明这种类型的攻击基本上是不可实现的。

转到图2所示的源节点11a的更详细的示意框图，源节点11a示意性地包括一个随机IV生成器21，用于生成一个随机IV，以及密钥加密器22根据种子和随机IV生成密钥序列。当然，本领域技术熟练者将意识到在某些实施方式中也可使用其他类型的IV生成器，例如计数器或值触发(即在两个或多个IV值之间切换)设备。但是，随机IV生成将需要用一个最大的字典才能执行一个成功的解密字典攻击，因此在许多实施方式中是优选的。

例如，密钥加密器22可实现802.11标准中所指定的RC4伪随机数生成算法，虽然在某些实施方式中可使用其他适当的随机数或密钥序列生成算法。在RC4的情况下，RC4密钥流的第一个256比特(或者其他数目个比特)可被丢弃，作为对于Fluhrer攻击的进一步的安全性，正如本领域技术熟练者将意识到的那样。

逻辑电路23根据密钥序列和来自纯文本源24的纯文本生成密码文本。例如，纯文本源可在源节点11a处生成纯文本，或者它可以只是一个输入，用于接收来自另一节点的路过的文本。在图2中逻辑电路23被示意性地显示为一个异或逻辑电路，但是也可使用本领域技术熟练者已知的其他适当的逻辑电路。

无线通信设备25被连接到逻辑电路23和随机IV生成器21，用于无线地发送加密后的消息，此处它包括密码文本和随机IV，正如示意性地显示地那样。即使这样，随机IV也不需要在每个实施方式中被使用，正如本领域技术熟练者将意识到的那样。无线通信设备可以是任何适当的无线收发设备，例如根据802.11或蓝牙无线LAN协议操作的设备。

无线站11a还示意性地包括一个完整性检查器26，用于根据纯文本生成一个将被放在密码文本中的完整性检查值或域。完整性检查域可有利地在消息解密过程中被使用，以确保从源节点11a接收到的消息的完整性。例如，完整性检查域可被实现为一个CRC-32校验和值，正如根据802.11标准所使用的那样，但是也可使用本领域技术熟练者已知的其他适当的完整性检查值。

此外，源节点11a进一步示意性地包括一个连接器27，用于连接纯文本和完整性检查值，并且逻辑电路23可根据密码序列以及纯文本和完整性检查值的连接生成密码文本。同样地，还包括一个连接器28，用于连接种子和随机IV，从而密钥加密器22根据种子和随机IV的连接而生成密钥序列。

根据802.11标准，IV的大小为24比特。此外，根据本发明，随机IV的大小最好大于24比特(例如48比特)，这将提供对例如一个解密字典攻击的进一步保护。当然，也可使用更大的IV，以便在随机生成IV时，降低甚至单次IV冲突的可能性，正如本领域技术熟练者将意识到的那样。

以上方法的一个特别的优点是它不要求向移动自组网络10中的不同节点连续生成和/或分发临时或会话密钥。相反，密钥可以是一个“静态”密钥，它不需要频繁变化以确保增强的安全性。当然，如果需要更进一步地安全性增强，在某些实施方式中密钥可以周期性地(例如，每天、每月等)变化，正如本领域技术熟练者将意识到的那样。

图3中描述了源节点11a’的一个替换实施方式。在此实施方式中，种子生成器20’用密钥、节点地址和随机IV(与上述变化的参考值相对)来执行一个单相位单向算法(例如，一个哈西算法)以生成种子。当然，在不同实施方式中可使用随机IV、节点地址和/或变化的参考值(以及其他)的不同组合。通过使用正如上面所注意到的一个扩展的IV(例如，48比特)，使用一个解密字典攻击来发现密钥将会是极不可行的，正如本领域技术熟练者将意识到的那样。图3中没有特别讨论的其余元件与以上所注意到的那些相似，因此此处不再进一步讨论。

现将参考图4说明本发明的一个通信方法方面。本方法开始(块40)，在块41处，通过用一个密钥在源节点11a处执行一个单向算法以生成一个种子。此外，在块42处，根据种子在源节点11a生成密钥序列，正如先前所说明的那样。本方法还可包括在块43处，在源节点11a处根据密钥序列和纯文本生成密码文本，以及在块44处将密码文本从源节点11a发送到至少一个邻近节点11c，正如以上所说明的，然后结束本方法(块45)。从以上说明中本领域技术熟练者可以明显看出本方法的其他方面，因此此处不再进一步讨论。

Claims

1.一个安全的移动自组网络节点包括：

一个无线通信设备，用于与至少一个邻近节点建立一个无线通信链接；

一个纯文本源；

一个种子生成器，用于使用一个密钥执行一个单向算法以生成一个种子；

一个密钥加密器，它接收所述种子并根据它生成一个密钥序列；以及

一个逻辑电路，它根据所述密钥序列和纯文本生成密码文本，所述密码文本用于通过所述无线通信链接被传输到所述至少一个邻近节点。

2.权利要求1的节点，其中所述单向算法包括一个哈西算法。

3.权利要求1的节点，其中所述种子生成器用所述密钥和一个变化的参考值来执行所述单向算法以生成所述种子。

4.权利要求1的节点，其中所述种子生成器用所述密钥和所述节点的一个地址执行所述单向算法。

5.权利要求1的节点进一步包括一个随机初始化矢量(IV)生成器，用于生成一个随机IV；并且其中所述种子生成器用所述密钥和随机IV执行所述单向算法。

6.权利要求1的节点进一步包括一个完整性检查器，用于根据所述纯文本生成一个完整性检查值；并且其中所述逻辑电路根据所述密钥序列、纯文本和完整性检查值生成所述密码文本。

7.权利要求1的节点进一步包括一个随机初始化矢量(IV)生成器，用于生成一个随机IV，以及一个连接器，用于连接所述种子和随机IV；并且其中所述密钥加密器根据所述种子和随机IV的连接生成所述密钥序列。

8.权利要求1的设备，其中所述密钥序列包括多个比特；并且其中所述密钥加密器在使用所述逻辑电路生成密码文本之前从所述密钥序列中删除至少一比特。

9.用于一个包括多个节点的移动自组网络的通信方法，该方法包括：

在一个源节点处使用一个密钥执行一个单向算法以生成一个种子；

在源节点处根据所述种子生成一个密钥序列；

在源节点处根据所述密钥序列和纯文本生成密码文本；以及

将密码文本从源节点发送到至少一个邻近节点。

10.权利要求9的方法进一步包括，在源节点处生成一个随机初始化矢量(IV)以及连接所述种子和随机IV；并且其中生成所述密钥序列包括，根据所述种子和随机IV的连接生成所述密钥序列。