本发明专利技术公开了一种基于邻居发现的LoWPAN节点安全接入控制方法,以解决6LoPWAN网络链路的通信安全问题,本发明专利技术通过对路由器发现协议中RS和RA消息的优化,有效地实现网络中新节点加入时的安全认证,检测网络中的消息是否被篡改。通过新节点的安全接入控制,在网络范围内共同维护认证地址IP列表,能够在全网范围内防止恶意节点的攻击和伪装。本方案是基于6LoWPAN网络的NDP协议优化提出的,不需要重新定义新的协议类型,可扩展性更高,更易推广,尤其适用于资源能量受限的传感网络。
【技术实现步骤摘要】
一种基于邻居发现的LoWPAN节点安全接入控制方法
本专利技术涉及一种6LoWPAN节点安全接入的控制方法,属于无线传感器网络安全
技术介绍
无线传感器网络是由大量按需随机分布的集成有传感器、数据处理单元和通信模块的微型节点以自组织方式构成的无线网络,其具有成本低,能耗低,灵活性高等优点,可应用于国防军事、环境监测、交通管理等领域,具有重要的研究价值和应用前景。IPv6作为下一代网络协议,具有地址资源丰富、地址自动配置、移动性和扩展性好等优点,可以满足无线传感器网络在地址、安全、移动及与现有网络融合等方面的需求。2004年IETF成立了6LoWPAN工作组研究IPv6在IEEE802.15.4网络上的应用方案,目前对适配层技术、报头压缩技术、路由技术都提出了相应解决办法,但对于6LoWPAN网络的安全机制没有提供一套有效的方法,其中必须关注的一个安全问题就是滥用NDP(NeighborDiscoveryProtocal)、重复地址检测和路由器宣告消息等。6LoWPAN网络在利用ND协议进行自组网和提供一系列关键的自动配置过程中(如链路上的路由器发现、邻居发现等),恶意节点容易加入到本地链路中而对其他邻居节点发动攻击,可能的保护机制就是链路层认证或使用CGA(CryptographicallyGeneratedAddress)。部分无赖节点伪装成默认路由器,未经授权就定期发送RA或响应RS消息而传播虚假的子网前缀或路由信息而破坏网络,IPv6数据包在传输过程中遭到中间节点或邻居节点的篡改和转译。给无线传感网带来了严重的安全隐患。因此,解决6LoWPAN网络的安全,建立一种稳定、合适、健壮的安全机制就显得十分必要了。虽然NDP规范建议使用IPSec来防止攻击,但是却没有提供相应的实施信息。在很多情况下,特别是在公众网络和无线网络中,与IPSec一起使用的密钥管理机制都过于复杂且不切实际。RFC3971定义了无需使用IPSec的新规范,称为SEND(SecureNeighborDiscovery,安全邻居发现)。ADD是SEND(SecureNeighborDiscovery)协议的一部分,采用证书路径认证方式,能够有效地认证路由器的权威性和真实性配置有信任锚的主机通过发送证书路径请求消息给路由器请求信任锚到路由器之间的证书路径。默认路由器回复证书路径宣告消息给主机,如果路由器不能够提供到该信任锚的有效证书路径,它将不被主机所信任。但是这种方案对于LoWPAN网络并不适用,路由器往往需要提供证书路径链,这需要主机花费很大的资源和能量去计算路径的有效性,同时,SEND协议对于所有的ND消息都需要使用CGA(加密生成地址)和RSA公钥体系,这需要更长的处理时间和计算过程,对于资源能量受限的传感节点来说并不适合。
技术实现思路
为了解决上述6LoPWAN网络链路的通信安全问题,本专利技术提供了一种基于邻居发现的LoWPAN节点安全接入控制方法,本专利技术中的相关术语定义及缩略词如下:6LoWPAN:IPv6overLow-PowerWirelessPersonalAreaNetworks。RS:RouterSolicitation。lowpan域中主机发送RS消息给路由以及边界路由,用于请求RA消息。具体消息数据格式参见RFC4861。RA:RouterAdvertisement。lowpan域中路由与边界路由周期性的发送RA消息给主机或者作为RS消息的应答消息进行发送。具体消息数据格式参见RFC4861。Host:6lowpan域内的传感节点,具有采集数据、路由转发功能。6LBR:6lowpan域与主干网连接的边界路由。SHA-1:安全哈希算法(SecureHashAlgorithm)主要适用于数字签名标准(DigitalSignatureStandardDSS)里面定义的数字签名算法(DigitalSignatureAlgorithmDSA)。单播地址:单播地址可以唯一地标识IPv6节点的接口,发送到单播地址的数据包会被传送给该地址所标识的接口。IPv6全局单播地址相当于IPv4的公有地址,这类地址在IPv6Internet上全球可路由,且全球可达。多播地址:多播地址可以标识一组IPv6接口,发送给多播地址的数据包会被传送给多播组的全部成员。本专利技术具体采用如下技术方案:一、基于邻居发现的链路安全优化机制对ND协议中的路由器发现协议进行优化,在RS和RA消息中添加安全机制选项SMO(SecurityMechanismOption),SMO选项包括3个主要字段:序列号(SeqNumber)、消息认证(MessageAuthentication)、可选字段(extendedoption)。节点为每个消息包随机产生一个8位的序列号,用来标识这个消息,接受者可以根据这个序列号来识别消息,以避免消息重复接收;消息认证字段包含20个字节的SHA-1哈希值,该哈希值从消息头的IPv6跳数限制、源IPv6地址和源MAC地址计算出,该消息认证字段能够提供新节点加入网络时的安全认证和消息完整性,同时可以防止路由发现消息被网络中的恶意节点篡改。可选字段主要用于RA消息中,边界路由器通过该字段向本地链路所有节点通告刚刚通过认证的节点的IP地址,允许其加入子网。该字段也可用于日后的安全机制的功能扩展。具体将在下面作介绍。二、链路节点接入控制机制,主要包括以下步骤:1、新节点检测步骤当一个新节点希望加入子网中时,首先通过在链路本地前缀FE80::0/10(最左边前10位是1111111010)的后面依次连接54位0和附加接口ID,以生成链路本地地址,附加接口ID通常使用64位标识符(EUI-64标识符);48位的MAC地址需要转换成64位的接口地址,链路本地地址具有无限长的首选和有效生命周期,永远不会过期;然后,节点需要配置全局的IPv6地址,节点将会向本地链路全部路由器多播组FF02::2发送路由器请求消息(RS);本链路手动配置边界路由器作为默认路由器。2、节点安全认证步骤边界路由器收到节点的RS请求消息后,主机利用相同的哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:若上述哈希值与RS消息认证字段相同,则向该节点单播RA消息,用于配置该节点的IP地址和路由配置,同时边界路由器把该节点的MAC地址放入地址待定缓存表中,由于此时该节点没有IPv6地址,列表中IP地址为空;节点收到路由器的RA消息后,用RA消息中的子网前缀计算出IPv6全局单播地址,全局单播地址由二进制前缀001来标识;然后节点重新向边界路由器回复单播RS消息,此时该节点还不能和邻居节点进行通信。路由器认定该节点IPv6地址和MAC地址合法后,将该节点放入自己的认证地址列表中。清除地址待定缓存表中的地址后,边界路由器向本地链路所有节点发送RA宣告消息,SMO选项中的扩展地段填入刚刚认证的节点的IP地址,并向全局节点通告该节点已通过认证,可以加入子网利用网络资源进行通信。至此,一个节点加入子网成功。若上述哈希值与RS消息认证字段不相同,则该节点不能通过边界路由器的认证,无法获得网络前缀信息,因此不能加入到本网络中。进一步,链路节点接入控制机制还包括本文档来自技高网...
【技术保护点】
一种基于邻居发现的LoWPAN节点安全接入控制方法,其特征在于,包括基于邻居发现的链路安全优化机制、链路节点接入控制机制,其中:所述基于邻居发现的链路安全优化机制是在RS和RA消息中添加安全机制选项SMO,所述SMO选项包括三个主要字段:序列号、消息认证字段及可选字段;节点为每个消息包随机产生一个序列号,用来标识该消息,接受者根据所述序列号对消息进行识别,以避免消息重复接收;所述消息认证字段完成数据签名和认证,该字段包含SHA‑1哈希值;所述可选字段用于RA消息中;所述链路节点接入控制机制包括:(1)新节点检测步骤当一个新节点希望加入子网中时,首先生成链路本地地址,将MAC地址转换成接口地址,然后将该节点配置全局的IPv6地址,该节点将向本地链路全部路由器多播组发送路由器请求消息RS;本链路手动配置边界路由器作为默认路由器;(2)节点安全认证步骤边界路由器收到所述节点的请求消息RS后,主机利用哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:若上述哈希值与RS消息认证字段相同,则向该节点单播RA消息,用于配置该节点的IP地址和路由配置,同时边界路由器把该节点的MAC地址放入地址待定缓存表中,由于此时该节点没有IPv6地址,列表中IP地址为空;节点收到路由器的RA消息后,用RA消息中的子网前缀计算出IPv6全局单播地址;然后节点重新向边界路由器回复单播RS消息;路由器认定该节点IPv6地址和MAC地址合法后,将该节点放入自己的认证地址列表中;清除地址待定缓存表中的地址后,边界路由器向本地链路所有节点发送RA宣告消息,SMO选项中的扩展地段填入上述刚刚认证的节点的IP地址,并向全局节点通告该节点已通过认证,可以加入子网利用网络资源进行通信;若上述哈希值与RS消息认证字段不相同,则该节点不能通过边界路由器的认证,无法获得网络前缀信息,不能加入到本网络中。...
【技术特征摘要】
1.一种基于邻居发现的LoWPAN节点安全接入控制方法,其特征在于,包括基于邻居发现的链路安全优化机制、链路节点接入控制机制,其中:所述基于邻居发现的链路安全优化机制是在RS和RA消息中添加安全机制选项SMO,所述SMO选项包括三个主要字段:序列号、消息认证字段及可选字段;节点为每个消息包随机产生一个序列号,用来标识该消息,接受者根据所述序列号对消息进行识别,以避免消息重复接收;所述消息认证字段完成数据签名和认证,该字段包含SHA-1哈希值;所述可选字段用于RA消息中;所述链路节点接入控制机制包括:(1)新节点检测步骤当一个新节点希望加入子网中时,首先生成链路本地地址,将MAC地址转换成接口地址,然后将该节点配置全局的IPv6地址,该节点将向本地链路全部路由器多播组发送路由器请求消息RS;本链路手动配置边界路由器作为默认路由器;(2)节点安全认证步骤边界路由器收到所述节点的请求消息RS后,主机利用哈希算法从接受消息的头中计算出哈希值,与RS消息认证字段进行校验:若上述哈希值与RS消息认证字段相同,则向该节点发送单播RA消息,用于配置该节点的IP地址和路由...
【专利技术属性】
技术研发人员:孙知信,邱杰,宫婧,骆冰清,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。