專利名稱:一種實(shí)現(xiàn)安全路由的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,更具體的說是涉及一種安全路由的方法和裝置。
背景技術(shù):
Ad Hoc網(wǎng)絡(luò)是一種移動自組織網(wǎng)絡(luò),它不以任何已有的固定設(shè)施為基礎(chǔ)而能隨時隨地組建臨時性網(wǎng)絡(luò)。它是具有特殊用途的對等式網(wǎng)絡(luò),使用無線通信技術(shù),網(wǎng)絡(luò)中的節(jié)點(diǎn)互相作為其鄰居節(jié)點(diǎn)(在其直接通信范圍內(nèi)的節(jié)點(diǎn))的路由器,通過節(jié)點(diǎn)轉(zhuǎn)發(fā)實(shí)現(xiàn)節(jié)點(diǎn)間的通信。然而,由于節(jié)點(diǎn)的移動性、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的可變性、傳輸?shù)亩嗵?、無線信道的不可靠性、網(wǎng)絡(luò)資源的有限性等眾多Ad Hoc網(wǎng)絡(luò)的特點(diǎn),使得路由面臨著安全性的問題,容易受到各種攻擊。比如蟲洞攻擊、頂級割攻擊、自私節(jié)點(diǎn)攻擊等等。現(xiàn)有的一種實(shí)現(xiàn)安全路由的方法中,是基于AODV(Ad hoc On-DemandDistance Vector Routing,無線自組網(wǎng)按需平面距離矢量路由)協(xié)議,其中AODV是應(yīng)用于無線Ad hoc網(wǎng)絡(luò)中進(jìn)行路由選擇的路由協(xié)議,路由協(xié)議是Ad-hoc網(wǎng)絡(luò)中移動節(jié)點(diǎn)互相通信的基礎(chǔ),通過TCAODV(Trusted Computing A0DV,基于可信計算A0DV)的方法,即運(yùn)用可信計算的方法,在節(jié)點(diǎn)路由系統(tǒng)中加入TPMCTrusted Platform Module,可信賴平臺模塊)安全芯片, 添加硬件層次的保護(hù),在建立路由前,首先通過可信第三方CA (Certificate Authority,認(rèn)證中心)進(jìn)行認(rèn)證,節(jié)點(diǎn)間互相認(rèn)證是否有真實(shí)的TPM,即通過對TPM認(rèn)證來確定移動節(jié)點(diǎn)是否可信。通過可信認(rèn)證之后,節(jié)點(diǎn)之間才可以相互交換共享密鑰,從而可安全進(jìn)行路由的過程。由上述說明可知,這種采用TCAODV的可信計算方法雖然解決了路由過程中可能存在的攻擊,但是,該方法中需要通過可信第三方進(jìn)行節(jié)點(diǎn)之間的認(rèn)證,步驟復(fù)雜繁瑣,從而影響了路由的效率。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種實(shí)現(xiàn)安全路由的方法和系統(tǒng),解決了通過可信第三方進(jìn)行節(jié)點(diǎn)認(rèn)證而影響路由效率的問題。為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案一種實(shí)現(xiàn)安全路由的方法,包括接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息;按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議對所述第一隨機(jī)數(shù)進(jìn)行PBA 簽名并返回的PBA簽名信息;對所述PBA簽名信息進(jìn)行驗(yàn)證,驗(yàn)證成功后,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。優(yōu)選地,所述認(rèn)證信息還包括哈希次數(shù)、哈希值和作為節(jié)點(diǎn)身份標(biāo)識的初始假名, 則所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前還包括根據(jù)哈希次數(shù)和哈希值驗(yàn)證所述發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確,如果是,則緩存所述標(biāo)識信息并執(zhí)行所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟,如果否, 則丟棄所述標(biāo)識信息并結(jié)束路由操作。優(yōu)選地,所述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證信息進(jìn)行哈希簽名的簽名信息,則所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前,還包括根據(jù)發(fā)送節(jié)點(diǎn)連續(xù)兩次發(fā)送的標(biāo)識信息按照哈希驗(yàn)證公式對發(fā)送節(jié)點(diǎn)進(jìn)行哈希驗(yàn)證,當(dāng)驗(yàn)證成功時,執(zhí)行所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟,當(dāng)驗(yàn)證失敗時,則刪除所述標(biāo)識信息并結(jié)束路由操作。優(yōu)選地,對所述PBA簽名信息進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,確認(rèn)所述發(fā)送節(jié)點(diǎn)信任級別為高并記錄在信任表中,則,所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前還包括鄰居節(jié)點(diǎn)根據(jù)所述發(fā)送節(jié)點(diǎn)標(biāo)識信息從鄰居節(jié)點(diǎn)信任表中查找發(fā)送節(jié)點(diǎn)的信任級別記錄,當(dāng)信任級別為高時,直接執(zhí)行所述接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息的步驟,當(dāng)沒有所述發(fā)送節(jié)點(diǎn)的信任記錄時,執(zhí)行所述鄰居節(jié)點(diǎn)按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟。優(yōu)選地,所述接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由,具體為向發(fā)送節(jié)點(diǎn)發(fā)送共享對稱密鑰信息;接收發(fā)送節(jié)點(diǎn)根據(jù)對稱密鑰加密傳送的發(fā)送節(jié)點(diǎn)的信任表和IP地址,所述對稱密鑰為發(fā)送節(jié)點(diǎn)根據(jù)共享對稱密鑰信息生成的對稱密鑰;接收發(fā)送節(jié)點(diǎn)加密發(fā)送的路由信息,根據(jù)所述IP地址,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。一種實(shí)現(xiàn)安全路由的方法,所述方法包括在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA簽名后返回的DAA簽名信息和PBA簽名信息;分別驗(yàn)證所述DAA簽名信息和所述PBA簽名信息,當(dāng)驗(yàn)證成功時,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由?!N實(shí)現(xiàn)安全路由的裝置,所述裝置包括第一接收模塊,用于接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息;第一驗(yàn)證模塊,用于按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證;隨機(jī)數(shù)生成模塊,用于當(dāng)所述第一驗(yàn)證模塊驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);第二接收模塊,接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議進(jìn)行PBA簽名并返回的PBA簽名信息;第二驗(yàn)證模塊,用于對所述PBA簽名信息進(jìn)行驗(yàn)證;第三接收模塊,用于當(dāng)所述第二驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信肩、ο優(yōu)選地,所述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證消息進(jìn)行哈希簽名的簽名信息,所述裝置還包括第三驗(yàn)證模塊,根據(jù)發(fā)送節(jié)點(diǎn)連續(xù)兩次發(fā)送的標(biāo)識信息按照哈希驗(yàn)證公式對發(fā)送節(jié)點(diǎn)進(jìn)行哈希驗(yàn)證,當(dāng)驗(yàn)證成功時,啟動所述第一驗(yàn)證模塊。優(yōu)選地,所述認(rèn)證消息還包括哈希次數(shù)、哈希值和作為節(jié)點(diǎn)身份標(biāo)識的初始假名, 所述裝置還包括第四驗(yàn)證模塊,用于根據(jù)哈希次數(shù)和哈希值驗(yàn)證所述發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確,當(dāng)正確時,啟動所述第一驗(yàn)證模塊;標(biāo)識信息存儲模塊,用于緩存所述標(biāo)識信息。一種實(shí)現(xiàn)安全路由的裝置,所述裝置包括隨機(jī)數(shù)生成模塊,用于在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收模塊,用于接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA簽名后返回的DAA簽名信息和PBA簽名信息;驗(yàn)證模塊,用于分別驗(yàn)證所述第二隨機(jī)數(shù)DAA簽名信息和所述第三隨機(jī)數(shù)PBA簽名信息;接收模塊,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息。經(jīng)由上述的技術(shù)方案可知,與現(xiàn)有技術(shù)相比,本發(fā)明提供了一種實(shí)現(xiàn)安全路由的方法和裝置,接收發(fā)送節(jié)點(diǎn)標(biāo)識信息,所述標(biāo)識信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息,通過按照DAA協(xié)議和PBA協(xié)議對所述發(fā)送節(jié)點(diǎn)進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,從而實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由,無需通過可信第三方進(jìn)行節(jié)點(diǎn)認(rèn)證,從而提高了路由效率。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)提供的附圖獲得其他的附圖。圖1為本發(fā)明一種實(shí)現(xiàn)安全路由的方法實(shí)施例1的流程圖;圖2為本發(fā)明一種實(shí)現(xiàn)安全路由的方法實(shí)施例2的流程圖;圖3本發(fā)明一種實(shí)現(xiàn)安全路由的方法實(shí)施例3流程圖;圖4本發(fā)明一種實(shí)現(xiàn)安全路由的方法實(shí)施例4流程圖;圖5發(fā)明一種實(shí)現(xiàn)安全路由的裝置實(shí)施例1的結(jié)構(gòu)示意圖;圖6本發(fā)明一種實(shí)現(xiàn)安全路由的裝置實(shí)施例2的結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明提供了一種實(shí)現(xiàn)安全路由的方法和裝置,接收發(fā)送節(jié)點(diǎn)標(biāo)識信息,所述標(biāo)識信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息,通過按照DAA協(xié)議和PBA協(xié)議對所述發(fā)送節(jié)點(diǎn)進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,從而實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由,無需通過可信第三方進(jìn)行節(jié)點(diǎn)認(rèn)證,從而提高了路由效率。參見圖1,示出了本發(fā)明一種實(shí)現(xiàn)安全路由的方法具體實(shí)施例1的流程圖,可以包括步驟101 接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息。在Ad Hoc無線網(wǎng)絡(luò)中,移動節(jié)點(diǎn)建立路由之前,可以不以真實(shí)的IP地址作為身份標(biāo)識,而采用PN(O^eudo Name,假名)作為公開的身份標(biāo)識,即以匿名的方式進(jìn)行身份認(rèn)證。其中,初始PN的生成可以根據(jù)哈希算法來實(shí)現(xiàn),以哈希算法計算得出的數(shù)值作為 PN,其具體公式為PN = Htht (seed | | cnt)其中,THT (Total Hash Times,總哈希次數(shù))是系統(tǒng)預(yù)先設(shè)定好的,哈希hash是密碼學(xué)中的經(jīng)典加密算法,可以對任意大的數(shù)據(jù)輸入,而生成一個定長的輸出,如果對其輸出再作為輸入,再次hash,則其輸出結(jié)果是兩次hash得到的結(jié)果,依次類推即為hash次數(shù)的定義。Seed是存于TPM(Trusted Platform Module,可信賴平臺模板)中的種子,即節(jié)點(diǎn)中獨(dú)立于其它節(jié)點(diǎn)而分配的一個隨機(jī)值,每個節(jié)點(diǎn)的種子不同從而使得PN不同。Cnt是計數(shù)器的值,PN根據(jù)系統(tǒng)設(shè)置的時間,在一定時間內(nèi)是就會改變,當(dāng)需要變換PN時,計數(shù)值加 1。其中嗎,每個節(jié)點(diǎn)的THT、Seed以及Cnt值是保密的,每個移動節(jié)點(diǎn)通過上述公式生成自己的PN,作為公開的身份標(biāo)識。同時,系統(tǒng)通過哈希算法,定義出CHV (current Hash Value,本次哈希值),可通過以下公式進(jìn)行計算本次哈希值CHV = Htht-CHT (seed | | cnt)。其中,CHT (Current Hash Time,本次哈希次數(shù))是指實(shí)際的hash計算次數(shù)。PN與CHT和CHV存在以下對應(yīng)關(guān)系,可通過該關(guān)系式來判定PN是否構(gòu)造正確,所述判定關(guān)系式為PN = Hcht (CHV)。DM (Direct Anonymous Attestation,直接匿名證明)協(xié)議是可信賴平臺模板TPM 標(biāo)準(zhǔn)中采用的認(rèn)證方案。TPM是一個可信安全硬件芯片,在Ad Hoc網(wǎng)絡(luò)中為各個移動節(jié)點(diǎn)建立TPM可信賴平臺模板,可以通過直接匿名證明的方式對節(jié)點(diǎn)進(jìn)行可信認(rèn)證。按照DAA 協(xié)議對所述假名,以及TPM的AIk (Attestation Identity Key,身份簽名密鑰)的公鑰進(jìn)行DAA簽名,通過DAA簽名可以使節(jié)點(diǎn)在不泄露自己身份的情況下證明自己的合法性,提高了
安全性。網(wǎng)絡(luò)中的節(jié)點(diǎn)會每隔一定時間發(fā)送一個標(biāo)識消息,該發(fā)送節(jié)點(diǎn)的鄰居節(jié)點(diǎn)即可以接收該標(biāo)識消息,所述標(biāo)識信息為攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息。其中,所述的認(rèn)證信息還可以包括初始假名,以及CHT和CHV,以便于接收標(biāo)識信息的鄰居節(jié)點(diǎn)根據(jù)PN的判定關(guān)系式來首先對發(fā)送節(jié)點(diǎn)的PN進(jìn)行判定,在確定PN構(gòu)造正確的情況下在進(jìn)行后續(xù)步驟。其中,接收到標(biāo)識信息,基于DAA協(xié)議進(jìn)行驗(yàn)證,驗(yàn)證發(fā)送節(jié)點(diǎn)為可信的TPM,而 DAA驗(yàn)證運(yùn)算量較大,當(dāng)接收的標(biāo)識信息較多時,系統(tǒng)就需要進(jìn)行更多的運(yùn)算,因此,基于哈希算法,發(fā)送節(jié)點(diǎn)還可以根據(jù)哈希函數(shù)對所述的認(rèn)證消息進(jìn)行哈希簽名,通過哈希驗(yàn)證過濾掉部分節(jié)點(diǎn),所述的標(biāo)識信息包括認(rèn)證消息以及攜帶該認(rèn)證消息的哈希簽名信息。哈希簽名可以通過以下公式進(jìn)行,假設(shè)信息為m,則對該信息m的哈希簽名為
HashSign (m) = H(NHV | | m)。其中NHV (Next Hash Value,下一個哈希值)代表下次hash運(yùn)算值,因?yàn)榘l(fā)送節(jié)點(diǎn)是每隔一定時間就會發(fā)送標(biāo)識信息,在發(fā)送CHV時,NHV仍是保密的,直到將NHV作為下次發(fā)送的hash值。步驟102 按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn)。其中,接收到標(biāo)識信息后會將其緩存在鄰居表中,所述的鄰居表,是系統(tǒng)中具有緩存功能的功能單元。發(fā)送節(jié)點(diǎn)的假名PN具有匿名性,按照DAA協(xié)議,發(fā)送節(jié)點(diǎn)通過向鄰居節(jié)點(diǎn)證明其擁有PN以及對PN的簽名來證明擁有可信的TPM,即實(shí)現(xiàn)了發(fā)送節(jié)點(diǎn)的匿名證明。其中,當(dāng)標(biāo)識信息中的認(rèn)證消息包括發(fā)送節(jié)點(diǎn)經(jīng)過哈希算法生成的CHV和CHT時, 鄰居節(jié)點(diǎn)首先驗(yàn)證所述假名PN是否構(gòu)造正確,即通過PN ε Hcht(CHV)來進(jìn)行判定。需要說明的是,因?yàn)榘l(fā)送節(jié)點(diǎn)是每隔一定時間即會發(fā)送標(biāo)識信息,因此接收該標(biāo)識信息的鄰居節(jié)點(diǎn)在每次接收時都會進(jìn)行判定PN是否構(gòu)造正確,如果是,則將所述信息進(jìn)行緩存,如果否,則直接丟棄該信息包,不對該發(fā)送節(jié)點(diǎn)進(jìn)行后續(xù)的操作。其中,標(biāo)識信息還包括對認(rèn)證消息的哈希簽名時,在進(jìn)行DAA驗(yàn)證前,首先需要進(jìn)行哈希驗(yàn)證,只有經(jīng)過哈希驗(yàn)證的發(fā)送節(jié)點(diǎn)才能進(jìn)行后續(xù)的操作。鄰居節(jié)點(diǎn)對標(biāo)識信息進(jìn)行緩存,暫不進(jìn)行DAA的驗(yàn)證,當(dāng)接收到發(fā)送節(jié)點(diǎn)再次發(fā)送的標(biāo)識信息時,其中每次發(fā)送的標(biāo)識信息格式是一樣的,只是其中的某些值不同,例如 CHT和CHV,或者已經(jīng)變化的PN、AIK的公鑰,因?yàn)闉楸WC節(jié)點(diǎn)的匿名性,PN在一定時間內(nèi)是變化的,且TPM每隔一定時間也會更改AIK密鑰對,根據(jù)再次接收到的標(biāo)識信息中的hash 值,對發(fā)送節(jié)點(diǎn)進(jìn)哈希驗(yàn)證,驗(yàn)證公式為HashSign(m)三 H(CHV' ||m)。其中CHV’代表再次接收到的標(biāo)識信息的hash值,即是上次計算出的NHV值,為了與上次接收的CHV值區(qū)分。由上述說明可知,根據(jù)連續(xù)兩次接收的標(biāo)識信息來進(jìn)行哈希驗(yàn)證的,在驗(yàn)證成功后,在進(jìn)行DAA驗(yàn)證,如果驗(yàn)證失敗,則直接過濾掉該發(fā)送節(jié)點(diǎn)的信息。避免作為接收節(jié)點(diǎn)的鄰居節(jié)點(diǎn)對所有的發(fā)送節(jié)點(diǎn)都進(jìn)行DAA的驗(yàn)證,提高了效率。其中,進(jìn)行DAA驗(yàn)證,當(dāng)驗(yàn)證失敗時,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為壞,并記錄在信任表中。則在對節(jié)點(diǎn)進(jìn)行驗(yàn)證時,可以先在信任表中查找有無該節(jié)點(diǎn)的信任級別記錄,如果有且為壞時,則直接結(jié)束路由操作。步驟103 接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA (PropertyBased Attestation,基于屬性的遠(yuǎn)程證明)協(xié)議對第一隨機(jī)數(shù)進(jìn)行PBA簽名并返回的PBA簽名信息。PBA協(xié)議是對對方節(jié)點(diǎn)進(jìn)行完整性測量和認(rèn)證,從而保證對方節(jié)點(diǎn)的行為是可信的。步驟104 對所述PBA簽名信息進(jìn)行驗(yàn)證,驗(yàn)證成功后,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。其中,進(jìn)行PBA的驗(yàn)證,如果驗(yàn)證成功,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為高并緩存在信任表中。確認(rèn)該發(fā)送節(jié)點(diǎn)的信任級別為高,即是該發(fā)送節(jié)點(diǎn)的假名PN對應(yīng)的信任級別為高,并將該信任級別記錄緩存在信任表中,其中,信任表也是系統(tǒng)中的內(nèi)存單元,因?yàn)樾湃伪碇杏涗浀氖羌倜鸓N的信任級別,所以信任表中也記錄了該P(yáng)N的有效期以及AIK的有效期。在有效期內(nèi),在對發(fā)送節(jié)點(diǎn)進(jìn)行認(rèn)證時,先在信任表中查找是否有記錄該發(fā)送節(jié)點(diǎn)的信任級別,如果有且信任級別為高,則可以不需要進(jìn)行驗(yàn)證的過程,直接共享信息并進(jìn)行路由的操作。其中,如果驗(yàn)證失敗,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為中,并記錄在信任表中,信任級別為中的節(jié)點(diǎn),不能作為可信節(jié)點(diǎn),路由時,直接將該節(jié)點(diǎn)過濾掉,但是在進(jìn)行節(jié)點(diǎn)信任認(rèn)證時,從信任表中查找該節(jié)點(diǎn)的信任級別,如果信任級別為中,則無需進(jìn)行DAA驗(yàn)證,直接進(jìn)行PBA的驗(yàn)證即可。發(fā)送節(jié)點(diǎn)可信時,即可接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,所述的路由信息可以是路由請求信息、路由回復(fù)信息或者路由錯誤信息。其中,確認(rèn)發(fā)送節(jié)點(diǎn)可信時,則向發(fā)送節(jié)點(diǎn)發(fā)送共享對稱密鑰信息,由發(fā)送節(jié)點(diǎn)根據(jù)該信息,采用Diffie-Hellman算法生成對稱密鑰,即可接收到發(fā)送節(jié)點(diǎn)加密傳送的自己的信任表和真實(shí)IP地址,接收發(fā)送節(jié)點(diǎn)加密發(fā)送的路由信息,根據(jù)所述IP地址,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。需要說明的是,方法實(shí)施例1是以發(fā)送節(jié)點(diǎn)的鄰居節(jié)點(diǎn)作為接收方來描述,本領(lǐng)域技術(shù)人員應(yīng)該知道,無線網(wǎng)絡(luò)中的節(jié)點(diǎn)是互為鄰居,均可以作為發(fā)送節(jié)點(diǎn)和接收節(jié)點(diǎn),即發(fā)送節(jié)點(diǎn)同時被接收節(jié)點(diǎn)認(rèn)證,其認(rèn)證過程可以互相參見,如果發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)彼此認(rèn)證后,可以相互交換路由信息。在本發(fā)明實(shí)施例中,通過DAA協(xié)議和PBA協(xié)議,可直接驗(yàn)證發(fā)送節(jié)點(diǎn),無需都過可信第三方來進(jìn)行驗(yàn)證,避免了通過可信第三方驗(yàn)證使得步驟繁瑣,從而提高了路由效率。參見圖2,示出了本發(fā)明一種實(shí)現(xiàn)安全路由的方法具體實(shí)施例2的流程圖,所述實(shí)施例2是對實(shí)施例1的具體描述,為描述清楚,以發(fā)送標(biāo)識信息的節(jié)點(diǎn)作為發(fā)送節(jié)點(diǎn),以該發(fā)送節(jié)點(diǎn)的鄰居節(jié)點(diǎn)作為接收節(jié)點(diǎn),可以包括以下步驟
步驟201 節(jié)點(diǎn)生成作為身份標(biāo)識的初始假名,并按照DAA協(xié)議進(jìn)行DAA簽名。無線網(wǎng)絡(luò)通信系統(tǒng)的各個節(jié)點(diǎn)均可以根據(jù)哈希算法生成作為身份標(biāo)識的初始假名,按照DAA協(xié)議進(jìn)行DAA簽名。步驟202 發(fā)送節(jié)點(diǎn)發(fā)送攜帶認(rèn)證信息的標(biāo)識信息。所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息、假名、CHT、CHV,所述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證信息進(jìn)行哈希簽名的簽名信息。步驟203 鄰居節(jié)點(diǎn)作為接收節(jié)點(diǎn)接收所述標(biāo)識信息。鄰居節(jié)點(diǎn)接收到標(biāo)識信息后會將其緩存在鄰居表中,所述的鄰居表,是系統(tǒng)中具有緩存功能的功能單元。步驟204 鄰居節(jié)點(diǎn)按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證。發(fā)送節(jié)點(diǎn)的假名PN具有匿名性,按照DAA協(xié)議,發(fā)送節(jié)點(diǎn)通過向鄰居節(jié)點(diǎn)證明其擁有PN以及對PN的簽名來證明擁有可信的TPM,即實(shí)現(xiàn)了發(fā)送節(jié)點(diǎn)的匿名證明。鄰居節(jié)點(diǎn)首先驗(yàn)證所述假名PN是否構(gòu)造正確,即通過PN ε Hcht (CHV)來進(jìn)行判定。需要說明的是,因?yàn)榘l(fā)送節(jié)點(diǎn)是每隔一定時間即會發(fā)送標(biāo)識信息,因此接收該標(biāo)識信息的鄰居節(jié)點(diǎn)在每次接收時都會進(jìn)行判定PN是否構(gòu)造正確,如果是,則將所述信息進(jìn)行緩存,如果否,則直接丟棄該信息包,結(jié)束路由操作。其中,鄰居節(jié)點(diǎn)在進(jìn)行DAA驗(yàn)證前,首先需要進(jìn)行哈希驗(yàn)證,只有經(jīng)過哈希驗(yàn)證的發(fā)送節(jié)點(diǎn)才能進(jìn)行后續(xù)的路由操作。鄰居節(jié)點(diǎn)對標(biāo)識信息進(jìn)行緩存,暫不進(jìn)行DAA的驗(yàn)證,當(dāng)接收到發(fā)送節(jié)點(diǎn)再次發(fā)送的標(biāo)識信息時,其中每次發(fā)送的標(biāo)識信息格式是一樣的,只是其中的某些值不同,例如 CHT和CHV,或者已經(jīng)變化的PN、AIK的公鑰,因?yàn)闉楸WC節(jié)點(diǎn)的匿名性,PN在一定時間內(nèi)是變化的,且TPM每隔一定時間也會更改AIK密鑰對,鄰居根據(jù)再次發(fā)送的標(biāo)識信息中的hash 值,對發(fā)送節(jié)點(diǎn)進(jìn)哈希驗(yàn)證,驗(yàn)證公式為HashSign(m)三 H(CHV' ||m)。其中CHV’代表發(fā)送節(jié)點(diǎn)再次發(fā)送的標(biāo)識信息的hash值,即是上次計算出的NHV 值,以為了與上次發(fā)送的CHV值區(qū)分。由上述說明可知,鄰居節(jié)點(diǎn)是根據(jù)連續(xù)兩次發(fā)送的標(biāo)識信息來進(jìn)行哈希驗(yàn)證的, 在驗(yàn)證成功后,在進(jìn)行DAA驗(yàn)證,如果驗(yàn)證失敗,則直接過濾掉該發(fā)送節(jié)點(diǎn)的信息。避免作為接收節(jié)點(diǎn)的鄰居節(jié)點(diǎn)對所有的發(fā)送節(jié)點(diǎn)都進(jìn)行DAA的驗(yàn)證,提高了效率。步驟205 當(dāng)步驟204驗(yàn)證成功時,鄰居節(jié)點(diǎn)生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn), 同時發(fā)送鄰居節(jié)點(diǎn)的標(biāo)識信息。步驟206 發(fā)送節(jié)點(diǎn)對鄰居節(jié)點(diǎn)進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時按照PBA協(xié)議,對第一隨機(jī)數(shù)進(jìn)行PBA簽名,并返回給鄰居節(jié)點(diǎn),同時生成第二隨機(jī)數(shù)發(fā)送給鄰居節(jié)點(diǎn)。其中發(fā)送節(jié)點(diǎn)對鄰居節(jié)點(diǎn)進(jìn)行驗(yàn)證,包括哈希驗(yàn)證和DAA驗(yàn)證,其具體的驗(yàn)證過程可以參見鄰居節(jié)點(diǎn)對發(fā)送節(jié)點(diǎn)的驗(yàn)證過程,在此不再贅述。其中,如果發(fā)送節(jié)點(diǎn)對所述鄰居節(jié)點(diǎn)的DAA驗(yàn)證失敗,則將鄰居節(jié)點(diǎn)的信任級別確認(rèn)為壞記錄在發(fā)送節(jié)點(diǎn)的信任表中,并結(jié)束路由操作。步驟207 鄰居節(jié)點(diǎn)接收所述PBA簽名信息,并進(jìn)行PBA驗(yàn)證,如果驗(yàn)證成功,則對所述第二隨機(jī)數(shù)進(jìn)行PBA簽名,返回給發(fā)送節(jié)點(diǎn)。
其中,進(jìn)行PBA的驗(yàn)證,如果驗(yàn)證成功,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為高并緩存在鄰居節(jié)點(diǎn)的信任表中,如果驗(yàn)證失敗,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為中,并記錄在信任表中且結(jié)束路由操作,信任級別為中的節(jié)點(diǎn),也不能作為可信節(jié)點(diǎn),路由時,直接將該節(jié)點(diǎn)過濾掉,但是在進(jìn)行節(jié)點(diǎn)信任認(rèn)證時,從信任表中查找該節(jié)點(diǎn)的信任級別,如果信任級別為中,則無需進(jìn)行DAA驗(yàn)證,直接進(jìn)行PBA的驗(yàn)證即可。步驟208 發(fā)送節(jié)點(diǎn)對所述第二隨機(jī)數(shù)的PBA簽名信息進(jìn)行驗(yàn)證,如果驗(yàn)證成功, 則進(jìn)入步驟208。其中,進(jìn)行PBA的驗(yàn)證,如果驗(yàn)證成功,則將所述鄰居節(jié)點(diǎn)的信任級別確認(rèn)為高并緩存在發(fā)送節(jié)點(diǎn)的信任表中。如果驗(yàn)證失敗,同樣則將所述鄰居節(jié)點(diǎn)的信任級別確認(rèn)為中, 并記錄在信任表中,結(jié)束路由操作。步驟209 發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)交互共享密鑰信息生成對稱密鑰并加密交互真實(shí)的IP地址和彼此的信任表。發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)彼此認(rèn)證后,交互共享密鑰信息采用Diffie-Hellman算法生成對稱密鑰,交互真實(shí)的IP地址和信任表,其中,交互過程根據(jù)對稱密鑰進(jìn)行加密交互。在進(jìn)行路由時需要根據(jù)真實(shí)的IP地址去選擇合適的路由路徑。交互信任表,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)可以獲知彼此的信任表信息,其中,信任表信息中包括節(jié)點(diǎn)所有的相鄰節(jié)點(diǎn)的信任信息,因此可以提高認(rèn)證的效率。例如,節(jié)點(diǎn)1和節(jié)點(diǎn)2彼此認(rèn)證并交換了信任表, 節(jié)點(diǎn)1和節(jié)點(diǎn)3彼此認(rèn)證交換了信任表,則節(jié)點(diǎn)2和節(jié)點(diǎn)3在進(jìn)行認(rèn)證時,則通過節(jié)點(diǎn)1的信任表信息,節(jié)點(diǎn)2和節(jié)點(diǎn)3可以直接確認(rèn)彼此可信,無需在經(jīng)過反復(fù)的驗(yàn)證過程,提高了效率。其中由于節(jié)點(diǎn)的信任表是動態(tài)增加的,所以節(jié)點(diǎn)之間在彼此信任的期間內(nèi)每隔一定時間都會交互信任表的信息。步驟210 發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)加密進(jìn)行信息傳送,交互路由信息。按照AODV路由協(xié)議,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)可以加密進(jìn)行路由請求消息路由回復(fù)消息以及路由出錯消息的傳送,從而實(shí)現(xiàn)安全路由。需要說明的是,此處所描述的發(fā)送節(jié)點(diǎn)以及鄰居節(jié)點(diǎn)只是為了描述上的清楚,本領(lǐng)域技術(shù)人員應(yīng)該了解,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)是互為鄰居,并且發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息, 其所有的鄰居節(jié)點(diǎn)都可以接收。而鄰居節(jié)點(diǎn)不僅能夠接收一個相鄰節(jié)點(diǎn)發(fā)送的的標(biāo)識信肩、ο需要說明是,在本實(shí)施例中,包括了發(fā)送節(jié)點(diǎn)作為發(fā)送方以及鄰居節(jié)點(diǎn)作為接收方時的具體實(shí)施例方式,其均屬于本發(fā)明所要保護(hù)的范圍。需要說明的是,步驟209和步驟210的操作為在節(jié)點(diǎn)彼此認(rèn)證之后互相進(jìn)行的操作,其還可以只在一方對另一方驗(yàn)證后即交互所述信息,并不限定為同時的步驟,只需滿足信任表、IP地址以及之后的路由信息進(jìn)行加密傳送即可。在本實(shí)施例中,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)通過DAA協(xié)議和PBA協(xié)議進(jìn)行彼此認(rèn)證,無需可信第三方進(jìn)行驗(yàn)證,且在進(jìn)行DAA認(rèn)證之前,先經(jīng)過哈希驗(yàn)證從而過濾掉部分惡意節(jié)點(diǎn), 從而減輕了工作量,提高了工作效率。參見圖3,示出了本發(fā)明一種實(shí)現(xiàn)安全路由的方法實(shí)施例3的流程圖,可以包括以下步驟
步驟301 在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn)。因?yàn)樽鳛榻邮展?jié)點(diǎn)其不止可以接收到來自一個發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息,當(dāng)接收到的標(biāo)識信息較多時,接收節(jié)點(diǎn)對所述的標(biāo)識信息中的DAA簽名都需要進(jìn)行驗(yàn)證,工作量大,可能存在DOS攻擊,因此接收節(jié)點(diǎn)暫不對標(biāo)識信息中的DAA簽名信息進(jìn)行驗(yàn)證,而是產(chǎn)生兩個隨機(jī)數(shù),由發(fā)送節(jié)點(diǎn)對這兩個隨機(jī)數(shù)分別進(jìn)行DAA簽名和PBA簽名。步驟302 接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA 簽名后返回的DAA簽名信息和PBA簽名信息。步驟303 分別驗(yàn)證所述DAA簽名信息和所述PBA簽名信息。步驟304 當(dāng)所述步驟303驗(yàn)證成功時,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。其中,當(dāng)所述DAA驗(yàn)證和PBA驗(yàn)證均成功時,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為高,記錄在信任表中,如果驗(yàn)證失敗,則直接將所述發(fā)送節(jié)點(diǎn)信任級別確認(rèn)為壞,并記錄在信任表。其中,確認(rèn)發(fā)送節(jié)點(diǎn)可信時,則向發(fā)送節(jié)點(diǎn)發(fā)送共享對稱密鑰信息,由發(fā)送節(jié)點(diǎn)根據(jù)該信息,采用Diffie-Hellman算法生成對稱密鑰,即可接收到發(fā)送節(jié)點(diǎn)加密傳送的自己的信任表和真實(shí)IP地址,接收發(fā)送節(jié)點(diǎn)加密發(fā)送的路由信息,根據(jù)所述IP地址,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。需要說明的是,方法實(shí)施例3也是以發(fā)送節(jié)點(diǎn)的鄰居節(jié)點(diǎn)作為接收方來描述,本領(lǐng)域技術(shù)人員應(yīng)該知道,無線網(wǎng)絡(luò)中的節(jié)點(diǎn)是互為鄰居,均可以作為發(fā)送節(jié)點(diǎn)和接收節(jié)點(diǎn), 即發(fā)送節(jié)點(diǎn)同時被接收節(jié)點(diǎn)認(rèn)證,其認(rèn)證過程可以互相參見,如果發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)彼此認(rèn)證后,可以相互交換路由信息。在本發(fā)明實(shí)施例中,通過DAA協(xié)議和PBA協(xié)議,可直接驗(yàn)證發(fā)送節(jié)點(diǎn),無需都過可信第三方來進(jìn)行驗(yàn)證,避免了通過可信第三方驗(yàn)證使得步驟繁瑣,從而提高了路由效率。參見圖4,示出了本發(fā)明一種是吸納安全路由的方法具體實(shí)施例4的流程圖,為描述清楚,以發(fā)送標(biāo)識信息的節(jié)點(diǎn)作為發(fā)送節(jié)點(diǎn),以該發(fā)送節(jié)點(diǎn)的鄰居節(jié)點(diǎn)作為接收節(jié)點(diǎn),可以包括以下步驟步驟401 發(fā)送節(jié)點(diǎn)發(fā)送攜帶有認(rèn)證信息的標(biāo)識信息。所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息、假名、CHT、CHVjf 述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證信息進(jìn)行哈希簽名的簽名信息。步驟402 鄰居節(jié)點(diǎn)作為接收節(jié)點(diǎn)接收所述標(biāo)識信息。鄰居節(jié)點(diǎn)接收到標(biāo)識信息后會將其緩存在鄰居表中,所述的鄰居表,是系統(tǒng)中具有緩存功能的功能單元。步驟403 鄰居節(jié)點(diǎn)生成第一隨機(jī)數(shù)和第二隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn)。鄰居節(jié)點(diǎn)首先根據(jù)接收到的標(biāo)識信息,判斷發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確,在正確時,進(jìn)行哈希驗(yàn)證,當(dāng)哈希驗(yàn)證成功時,則生成兩個隨機(jī)數(shù)。步驟404 發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA簽名生成 DAA簽名信息和PBA簽名信息。步驟405 發(fā)送節(jié)點(diǎn)將所述DAA簽名信息和PBA簽名信息發(fā)送給鄰居節(jié)點(diǎn),同時生成第三隨機(jī)數(shù)和第四隨機(jī)數(shù)發(fā)送給鄰居節(jié)點(diǎn)。步驟406 鄰居節(jié)點(diǎn)對所述DAA簽名信息和PBA簽名分別進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,對第三隨機(jī)數(shù)進(jìn)行DAA簽名,對第四隨機(jī)數(shù)進(jìn)行PBA簽名,并將簽名信息返回給發(fā)送節(jié)
點(diǎn)ο其中,當(dāng)所述DAA驗(yàn)證和PBA驗(yàn)證均成功時,則將所述發(fā)送節(jié)點(diǎn)的信任級別確認(rèn)為高,記錄在鄰居節(jié)點(diǎn)的信任表中,如果驗(yàn)證失敗,則直接將所述發(fā)送節(jié)點(diǎn)信任級別確認(rèn)為壞,并記錄在信任表。步驟407 發(fā)送節(jié)點(diǎn)分別驗(yàn)證所述第三隨機(jī)數(shù)的DAA簽名信息和第四隨機(jī)數(shù)的PBA 簽名信息,如果驗(yàn)證成功,則進(jìn)入步驟408。其中,當(dāng)所述DAA驗(yàn)證和PBA驗(yàn)證均成功時,則將所述鄰居節(jié)點(diǎn)的信任級別確認(rèn)為高,記錄在發(fā)送節(jié)點(diǎn)的信任表中,如果驗(yàn)證失敗,則直接將所述鄰居節(jié)點(diǎn)信任級別確認(rèn)為壞,并記錄在信任表。步驟408 發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)交互共享密鑰信息生成對稱密鑰并加密交互真實(shí)的IP地址和彼此的信任表。發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)彼此認(rèn)證后,交互共享密鑰信息生成對稱密鑰,交互真實(shí)的 IP地址和信任表,其中,交互過程根據(jù)對稱密鑰進(jìn)行加密交互。其中由于節(jié)點(diǎn)的信任表是動態(tài)增加的,所以節(jié)點(diǎn)之間在彼此信任的期間內(nèi)每隔一定時間都會交互信任表的信息。步驟409 發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)加密進(jìn)行信息傳送,交互路由信息。按照AODV路由協(xié)議,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)可以加密進(jìn)行路由請求消息路由回復(fù)消息以及路由出錯消息的傳送,從而實(shí)現(xiàn)安全路由。需要說明的是,在本實(shí)施例中,包括了發(fā)送節(jié)點(diǎn)作為發(fā)送方以及鄰居節(jié)點(diǎn)作為接收方時的具體實(shí)施例方式,其均屬于本發(fā)明所要保護(hù)的范圍。需要說明的是,步驟408和步驟409的操作為在節(jié)點(diǎn)彼此認(rèn)證之后互相進(jìn)行的操作,其還可以只在一方對另一方驗(yàn)證后即交互所述信息,并不限定為同時的步驟。另外,上述所述的第一、第二、第三和第四只是為了描述上的清楚,并不是對順序的限定在本實(shí)施例中,發(fā)送節(jié)點(diǎn)和鄰居節(jié)點(diǎn)通過DAA協(xié)議和PBA協(xié)議進(jìn)行彼此認(rèn)證,無需可信第三方進(jìn)行驗(yàn)證,且在進(jìn)行DAA認(rèn)證之前,先經(jīng)過哈希驗(yàn)證從而過濾掉部分惡意節(jié)點(diǎn), 從而減輕了工作量,提高了工作效率。參見圖5,示出了本發(fā)明一種實(shí)現(xiàn)安全路由的裝置的結(jié)構(gòu)示意圖,所述裝置包括第一接收模塊501,用于接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息;第一驗(yàn)證模塊502,用于按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證。隨機(jī)數(shù)生成模塊503,用于當(dāng)所述第一驗(yàn)證模塊驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);第二接收模塊504,接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議進(jìn)行PBA 簽名并返回的PBA簽名信息;第二驗(yàn)證模塊505,用于對所述PBA簽名信息進(jìn)行驗(yàn)證;
第三接收模塊506,用于當(dāng)所述第二驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路
由fn息。其中,所述裝置還可以包括第三驗(yàn)證模塊,根據(jù)發(fā)送節(jié)點(diǎn)連續(xù)兩次發(fā)送的標(biāo)識信息按照哈希驗(yàn)證公式對發(fā)送節(jié)點(diǎn)進(jìn)行哈希驗(yàn)證,當(dāng)驗(yàn)證成功時,啟動所述第一驗(yàn)證模塊。第四驗(yàn)證模塊,用于根據(jù)哈希次數(shù)和哈希值驗(yàn)證所述發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確,當(dāng)正確時,啟動所述第一驗(yàn)證模塊。標(biāo)識信息存儲模塊,用于緩存所述標(biāo)識信息。其中,在節(jié)點(diǎn)中,所述標(biāo)識信息存儲模塊可以具體為鄰居表。信任記錄模塊,用于根據(jù)第二驗(yàn)證模塊的驗(yàn)證結(jié)果記錄相鄰節(jié)點(diǎn)的信任級別,在節(jié)點(diǎn)中,所述信任記錄模塊可以具體為信任表。信任記錄查找模塊,用于根據(jù)接收到的標(biāo)識信息查找所述標(biāo)識信息對應(yīng)的信任級別。在本發(fā)明實(shí)施例中,通過DAA協(xié)議和PBA協(xié)議,可直接驗(yàn)證發(fā)送節(jié)點(diǎn),無需都過可信第三方來進(jìn)行驗(yàn)證,避免了通過可信第三方驗(yàn)證使得路由步驟繁瑣,從而提高了路由效率。參見圖6,示出了本發(fā)明一種實(shí)現(xiàn)安全路由的裝置實(shí)施例2的結(jié)構(gòu)示意圖,所述裝置包括隨機(jī)數(shù)生成模塊601,用于在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收模塊602,用于接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA簽名后返回的DAA簽名信息和PBA簽名信息;驗(yàn)證模塊603,用于分別驗(yàn)證所述第二隨機(jī)數(shù)DAA簽名信息和所述第三隨機(jī)數(shù)PBA 簽名信息接收模塊604,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息。在本發(fā)明實(shí)施例中,通過DAA協(xié)議和PBA協(xié)議,可直接驗(yàn)證發(fā)送節(jié)點(diǎn),無需都過可信第三方來進(jìn)行驗(yàn)證,避免了通過可信第三方驗(yàn)證使得路由步驟繁瑣,從而提高了路由效率。本發(fā)明還提供了一種無線通信節(jié)點(diǎn),其特征在于,所述節(jié)點(diǎn)包括上述實(shí)施例中的實(shí)現(xiàn)安全路由的裝置。本發(fā)明還提供了一種無線通信系統(tǒng),所述系統(tǒng)可以包括多個無線通信節(jié)點(diǎn)。本說明書中各個實(shí)施例采用遞進(jìn)的方式描述,每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言,由于其與實(shí)施例公開的方法相對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法部分說明即可。對所公開的實(shí)施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。 對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。
權(quán)利要求
1.一種實(shí)現(xiàn)安全路由的方法,其特征在于,包括接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明 DAA協(xié)議簽名的簽名信息;按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議對所述第一隨機(jī)數(shù)進(jìn)行PBA簽名并返回的PBA簽名信息;對所述PBA簽名信息進(jìn)行驗(yàn)證,驗(yàn)證成功后,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證信息還包括哈希次數(shù)、哈希值和作為節(jié)點(diǎn)身份標(biāo)識的初始假名,則所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前還包括根據(jù)哈希次數(shù)和哈希值驗(yàn)證所述發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確,如果是,則緩存所述標(biāo)識信息并執(zhí)行所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟,如果否,則丟棄所述標(biāo)識信息并結(jié)束路由操作。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證信息進(jìn)行哈希簽名的簽名信息,則所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前,還包括根據(jù)發(fā)送節(jié)點(diǎn)連續(xù)兩次發(fā)送的標(biāo)識信息按照哈希驗(yàn)證公式對發(fā)送節(jié)點(diǎn)進(jìn)行哈希驗(yàn)證, 當(dāng)驗(yàn)證成功時,執(zhí)行所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟,當(dāng)驗(yàn)證失敗時,則刪除所述標(biāo)識信息并結(jié)束路由操作。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,對所述PBA簽名信息進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,確認(rèn)所述發(fā)送節(jié)點(diǎn)信任級別為高并記錄在信任表中,則,所述按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證之前還包括鄰居節(jié)點(diǎn)根據(jù)所述發(fā)送節(jié)點(diǎn)標(biāo)識信息從鄰居節(jié)點(diǎn)信任表中查找發(fā)送節(jié)點(diǎn)的信任級別記錄,當(dāng)信任級別為高時,直接執(zhí)行所述接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息的步驟,當(dāng)沒有所述發(fā)送節(jié)點(diǎn)的信任記錄時,執(zhí)行所述鄰居節(jié)點(diǎn)按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證的步驟。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由,具體為向發(fā)送節(jié)點(diǎn)發(fā)送共享對稱密鑰信息;接收發(fā)送節(jié)點(diǎn)根據(jù)對稱密鑰加密傳送的發(fā)送節(jié)點(diǎn)的信任表和IP地址,所述對稱密鑰為發(fā)送節(jié)點(diǎn)根據(jù)共享對稱密鑰信息生成的對稱密鑰;接收發(fā)送節(jié)點(diǎn)加密發(fā)送的路由信息,根據(jù)所述IP地址,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。
6.一種實(shí)現(xiàn)安全路由的方法,其特征在于,所述方法包括在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)占.接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA簽名后返回的DAA簽名信息和PBA簽名信息;分別驗(yàn)證所述DAA簽名信息和所述PBA簽名信息,當(dāng)驗(yàn)證成功時,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由。
7.一種實(shí)現(xiàn)安全路由的裝置,其特征在于,所述裝置包括第一接收模塊,用于接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息;第一驗(yàn)證模塊,用于按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證; 隨機(jī)數(shù)生成模塊,用于當(dāng)所述第一驗(yàn)證模塊驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);第二接收模塊,接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議進(jìn)行PBA簽名并返回的PBA簽名信息;第二驗(yàn)證模塊,用于對所述PBA簽名信息進(jìn)行驗(yàn)證;第三接收模塊,用于當(dāng)所述第二驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述標(biāo)識信息還包括通過哈希簽名公式對所述認(rèn)證消息進(jìn)行哈希簽名的簽名信息,所述裝置還包括第三驗(yàn)證模塊,根據(jù)發(fā)送節(jié)點(diǎn)連續(xù)兩次發(fā)送的標(biāo)識信息按照哈希驗(yàn)證公式對發(fā)送節(jié)點(diǎn)進(jìn)行哈希驗(yàn)證,當(dāng)驗(yàn)證成功時,啟動所述第一驗(yàn)證模塊。
9.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述認(rèn)證消息還包括哈希次數(shù)、哈希值和作為節(jié)點(diǎn)身份標(biāo)識的初始假名,所述裝置還包括第四驗(yàn)證模塊,用于根據(jù)哈希次數(shù)和哈希值驗(yàn)證所述發(fā)送節(jié)點(diǎn)的假名是否構(gòu)造正確, 當(dāng)正確時,啟動所述第一驗(yàn)證模塊;標(biāo)識信息存儲模塊,用于緩存所述標(biāo)識信息。
10.一種實(shí)現(xiàn)安全路由的裝置,其特征在于,所述裝置包括隨機(jī)數(shù)生成模塊,用于在接收到發(fā)送節(jié)點(diǎn)發(fā)送的標(biāo)識信息后,生成第二隨機(jī)數(shù)和第三隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收模塊,用于接收所述發(fā)送節(jié)點(diǎn)對第二隨機(jī)數(shù)進(jìn)行DAA簽名,對第三隨機(jī)數(shù)進(jìn)行PBA 簽名后返回的DAA簽名信息和PBA簽名信息;驗(yàn)證模塊,用于分別驗(yàn)證所述第二隨機(jī)數(shù)DAA簽名信息和所述第三隨機(jī)數(shù)PBA簽名信息;接收模塊,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證成功時接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息。
全文摘要
本發(fā)明提供了一種實(shí)現(xiàn)安全路由的方法和裝置,所述方法包括接收發(fā)送節(jié)點(diǎn)發(fā)送的攜帶認(rèn)證信息的標(biāo)識信息,所述認(rèn)證信息包括以直接匿名證明DAA協(xié)議簽名的簽名信息;按照DAA協(xié)議對標(biāo)識信息中的DAA簽名進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時,生成第一隨機(jī)數(shù)并發(fā)送給發(fā)送節(jié)點(diǎn);接收所述發(fā)送節(jié)點(diǎn)按照基于屬性的遠(yuǎn)程證明PBA協(xié)議對所述第一隨機(jī)數(shù)進(jìn)行PBA簽名并返回的PBA簽名信息;對所述PBA簽名信息進(jìn)行驗(yàn)證,驗(yàn)證成功后,接收發(fā)送節(jié)點(diǎn)發(fā)送的路由信息,實(shí)現(xiàn)發(fā)送節(jié)點(diǎn)到鄰居節(jié)點(diǎn)的安全路由,本發(fā)明實(shí)施例無需通過可信第三方進(jìn)行節(jié)點(diǎn)認(rèn)證,從而提高了路由效率。
文檔編號H04W12/06GK102572822SQ201010590878
公開日2012年7月11日 申請日期2010年12月15日 優(yōu)先權(quán)日2010年12月15日
發(fā)明者熊焰, 王行甫, 苗付友, 黃文超 申請人:中國科學(xué)技術(shù)大學(xué)