一種無線Mesh網(wǎng)絡路由安全保護方法
【技術領域】
[0001]本發(fā)明涉及無線Mesh網(wǎng)絡路由協(xié)議和安全規(guī)范技術領域，尤其涉及一種基于802.1ls標準路由協(xié)議的無線Mesh網(wǎng)絡路由安全保護方法。
【背景技術】
[0002]針對地形復雜、環(huán)境惡劣環(huán)境，如何安全高效的滿足大范圍的Internet網(wǎng)絡覆蓋，局域網(wǎng)內(nèi)大量生產(chǎn)數(shù)據(jù)的高帶寬傳輸以及移動設備定位和網(wǎng)絡接入是關乎通信質(zhì)量和相關應用業(yè)務能否正常開展的重要問題。傳統(tǒng)的有線網(wǎng)絡雖然傳輸帶寬較高，但是在復雜惡劣環(huán)境下部署和維護成本較高且覆蓋范圍有限。當前的無線網(wǎng)絡接入方式以網(wǎng)橋技術為主，對網(wǎng)絡規(guī)模、節(jié)點數(shù)量、網(wǎng)絡的可擴展性存在限制，無線Mesh(網(wǎng)格)自組織網(wǎng)絡則可以滿足需求。
[0003]無線Mesh網(wǎng)絡(WMN)主要由Mesh路由器和Mesh終端組成，是一個動態(tài)的自組織、自配置網(wǎng)絡。無線Mesh網(wǎng)絡具有無線網(wǎng)狀拓撲、自組織、多跳傳輸?shù)戎T多特性。同時，無線Mesh網(wǎng)絡也天生帶有一些安全上的缺陷，目前802.1ls所規(guī)定的無線Mesh網(wǎng)絡的默認路由協(xié)議是混合無線Mesh協(xié)議(HWMP)，而HWMP易于受到多種路由攻擊，例如蟲洞攻擊、路由中斷攻擊、洪泛攻擊等。惡意攻擊節(jié)點充當網(wǎng)絡的中繼節(jié)點轉(zhuǎn)發(fā)其他節(jié)點的數(shù)據(jù)，通過篡改路由幀中可變字段的內(nèi)容發(fā)動攻擊。
[0004]無線Mesh網(wǎng)絡在傳輸介質(zhì)和組網(wǎng)形式方面的特性，使得無線Mesh網(wǎng)絡相對于有線網(wǎng)絡面臨的安全威脅更加嚴重，然而現(xiàn)有的802.1ls無線Mesh自組織網(wǎng)絡協(xié)議僅對網(wǎng)絡mac層安全認證做出了規(guī)定，而未對網(wǎng)絡路由安全方面提出專門的解決方案。

【發(fā)明內(nèi)容】

[0005]本發(fā)明要解決的技術問題是提供一種兼容802.1ls原有安全機制的同時，針對無線Mesh網(wǎng)絡特性所做的擴展路由幀進行路由安全保護的方法。
[0006]為解決上述技術問題，本發(fā)明提供了一種無線Mesh網(wǎng)絡路由安全保護方法，所述方法包括以下步驟:
[0007]路由請求幀中設置請求認證碼字段，對所述請求認證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進行加密，并將所述路由請求幀發(fā)射到無線Mesh網(wǎng)路中；所述路由請求幀通過兩跳認證的方式進行傳遞，直到所述路由請求幀到達目的節(jié)點或到達符合條件的中繼節(jié)點；
[0008]目的節(jié)點收到所述路由請求幀后，發(fā)送路由應答幀給所述源節(jié)點；所述路由應答幀設置應答認證碼字段，所述應答認證碼字段利用瞬態(tài)密匙加密方式以及進行以及一跳密鑰加密的方式進行加密，并通過所述兩跳認證的方式進行傳遞；
[0009]符合條件的中繼節(jié)點收到所述路由請求幀后，發(fā)送所述路由應答幀給所述源節(jié)點；同時所述中繼節(jié)點發(fā)送所述路由應答幀給其下一跳節(jié)點，所述下一跳節(jié)點驗證所述中繼節(jié)點的路由路徑有效后回復所述路由應答幀；
[0010]所述無線Mesh網(wǎng)絡中路由路徑錯誤時，相應節(jié)點發(fā)送路由路徑錯誤信息幀給其前驅(qū)節(jié)點，所述路由路徑錯誤信息幀設置路徑錯誤認證碼字段，所述設置路徑錯誤認證碼字段利用瞬態(tài)密匙進行加密方式一跳密鑰加密的方式進行加密，并通過所述兩跳認證的方式進行傳遞。
[0011]優(yōu)選地，所述方法中，源節(jié)點發(fā)射網(wǎng)關聲明幀到所述無線Mesh網(wǎng)絡中；所述網(wǎng)關聲明幀設置網(wǎng)關聲明認證碼字段，對所述網(wǎng)關聲明認證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進行加密，并將所述網(wǎng)關聲明幀發(fā)射到無線Mesh網(wǎng)路中；所述網(wǎng)關聲明幀通過兩跳認證的方式進行傳遞。
[0012]優(yōu)選地，所述無線Mesh網(wǎng)絡中的根節(jié)點發(fā)送并根聲明幀；所述根聲明幀設置根聲明認證碼字段，對所述根聲明認證碼字段以廣播密鑰加密的方式和一跳密鑰加密的方式進行加密，并將所述根聲明幀發(fā)射到無線Mesh網(wǎng)路中；所述根聲明幀通過兩跳認證的方式進行傳遞。
[0013]優(yōu)選地，所述請求認證碼字段、應答認證碼字段、路徑錯誤認證碼字段、網(wǎng)關聲明認證碼字段以及根聲明認證碼字段均通過方法得到:
[0014]對到達當前節(jié)點的跳數(shù)字段、對應的當前跳數(shù)哈希值字段、對應的最大跳數(shù)字段、對應的頂級哈希值字段、對應的當前節(jié)點的前驅(qū)節(jié)點度量值字段以及從源節(jié)點到當前節(jié)點的整條鏈路的度量值字段進行加密，之后進行哈希運算得到的認證碼。
[0015]優(yōu)選地，所述當前跳數(shù)哈希值以及頂級哈希值是對一個隨機數(shù)的哈希，所述隨機數(shù)由對應的節(jié)點隨機生成。
[0016]優(yōu)選地，所述路由請求幀、路由應答幀、路由路徑錯誤信息幀、網(wǎng)關聲明幀以及根聲明幀均包括簽名字段，所述簽名字段為對應幀中的不變字段使用簽名機制進行簽名得到。
[0017]優(yōu)選地，所述簽名機制采用基于ID的在線/離線簽名方案進行簽名。
[0018]優(yōu)選地，所述路由請求幀的所述兩跳認證的方式具體為:
[0019]所述源節(jié)點的一跳鄰居接收所述路由請求幀，利用所述一跳密鑰解密所述路由請求幀，并在所述路由請求幀中增加所述一跳鄰居的請求認證碼字段，形成新的路由請求幀，所述源節(jié)點的二跳鄰居接收所述一跳鄰居發(fā)射的新的所述路由請求幀，利用所述源節(jié)點的廣播密鑰解密所述一跳鄰居發(fā)送的所述路由請求幀的請求認證碼字段，進行所述一跳鄰居是否篡改的驗證，若進行了篡改，則結束傳遞，否則在所述二跳鄰居接收的所述路由請求幀中增加所述二跳鄰居的請求認證碼字段，形成新的路由請求幀；
[0020]將所述源節(jié)點的四跳鄰居以及大于四跳鄰居的節(jié)點稱為傳遞節(jié)點，利用所述傳遞節(jié)點的第二前驅(qū)節(jié)點廣播密鑰解密所述傳遞節(jié)點的第一前驅(qū)節(jié)點發(fā)送的所述路由請求幀的請求認證碼字段，進行所述傳遞節(jié)點的第一前驅(qū)節(jié)點是否篡改的驗證，若進行了篡改，則結束傳遞，否則在所述傳遞節(jié)點接收的所述路由請求幀中增加所述傳遞節(jié)點的請求認證碼字段，形成新的路由請求幀
[0021]本發(fā)明的上述技術方案具有如下優(yōu)點:本發(fā)明提供的無線Mesh網(wǎng)絡路由安全保護方法工作在802.1ls路由協(xié)議和mac層安全機制的中間層，為上層的路由協(xié)議提供安全保護且對下層透明，完全兼容802.1ls原有安全機制，同時提供針對無線Mesh網(wǎng)絡特性所做的擴展路由幀路由安全保護，不需要對802.1ls標準做任何修改，彌補了 802.1ls標準在路由安全方面的不足，能夠達到較強的安全性要求，有效的抵御路徑轉(zhuǎn)移攻擊、偽裝攻擊、洪泛攻擊、被動攻擊以及重放攻擊等，并且易于在現(xiàn)有的無線Mesh網(wǎng)絡系統(tǒng)中進行部署，不需要額外的設施或設備；發(fā)明提供的無線Mesh網(wǎng)絡路由安全保護方法適用于車載網(wǎng)絡、大范圍視頻監(jiān)控網(wǎng)絡、傳感網(wǎng)、骨干網(wǎng)等無線傳輸通信網(wǎng)絡，并為上述相關網(wǎng)絡提供路由安全保護。
【附圖說明】
[0022]圖1是本發(fā)明實施例提供的基于ID的在線/離線身份認證方案初始化和認證步驟流程圖；
[0023]圖2是本發(fā)明實施例提供的兩個節(jié)點之間回復請求的認證與交互示意圖；
[0024]圖3是本發(fā)明實施例提供的目的節(jié)點回復請求的認證與交互示意圖；
[0025]圖4是本發(fā)明實施例提供的母的節(jié)點回復請求的認證與交互示意圖；
[0026]圖5是本發(fā)明實施例提供的兩個節(jié)點之間回復應答的認證與交互示意圖；
[0027]圖6是本發(fā)明實施例提供的路由請求幀的路由幀擴展示意圖；
[0028]圖7是本發(fā)明實施例提供的路由應答幀的路由幀擴展不意圖；
[0029]圖8是本發(fā)明實施例提供的路由路徑錯誤信息幀的路由幀擴展示意圖；
[0030]圖9是本發(fā)明實施例提供的根聲明幀的路由幀擴展示意圖；
[0031]圖10是本發(fā)明實施例提供的網(wǎng)關聲明幀GANN的路由幀擴展不意圖；
[0032]圖11是本發(fā)明的一種無線Mesh網(wǎng)絡路由安全保護方法流程圖。