一种基于无线自组织网的防欺骗和抗攻击的数据传输方法

一种基于无线自组织网的防欺骗和抗攻击的数据传输方法
【技术领域】
[0001]本发明属于无线自组网技术领域的一种基于无线自组织网的防欺骗和抗攻击的数据传输方法，采用签密算法协议和基于流加密的数据封装协议。签密算法协议实现了无线自组网中节点的快速认证和密钥协商；在流加密的基础上，使用数据封装协议可以容忍数据丢失，最终实现了无线自组网下的防欺骗和抗攻击。
技术背景
[0002]无线自组网由一组按需组建的、没有任何固定基础设施辅助的可移动终端组成的网络，具有单独组网、分布式、自组织、多跳传输、抗毁性强等特点，可以在没有基础设施或基础设施被破坏情况下提供灵活方便的通信。但无线自组网还存在不足:1)无线自组网中网络节点资源受限、拓扑结构动态变化快的特点使得网络中节点对拓扑结构变化反应迟缓；2)无线自组网的无线通信信道容易造成数据的丢失。
[0003]广州杰赛科技股份有限公司申请的专利“无线自组织网络分布式认证多层树路由方法”(申请号CN200710028234.7申请公开号CN101060479)公开了一种无线自组织网络分布式认证与生成路由的方法。该方案的核心思想:将无线自组织网络结构重构成多层群的树状网络拓扑结构，和在该结构上的路由和分布式认证方法。自组织路由和分布式认证方法简单有效。分布式认证明显缩短了信息认证的路径，提高了认证的效率，减小了无线网络的开销。同时除最高群外的每个群只保留其群内的认证信息，大大的提高了无线网络的安全性。
[0004]中国船舶重工集团公司第七O九研宄所申请的专利“移动自组织网络中用于分布式身份认证的安全引导模型”(申请号CN200610124572.6申请公开号CN1953374)公开了一种无线自组织网络中用于分布式身份认证的安全引导模块。该模型主要包括两个过程:将基于门限数字签名的安全模型引导给所有节点；利用已经建立好的安全模型来进行分布式身份认证。其优点是:提出并实现的模型可以使源路由在路由请求阶段不会被篡改，可以防止合法的参与者进行假“局部签名”以阻止签名验证；由于设计了路由请求信息的标识号，这样就能够保证安全通信中的“新鲜性”，一旦有数据包的窃听，也不可能再被重放，可以有效抵御虫洞攻击或者其他重放攻击；采用了逐跳身份认证，可以有效防御恶意节点的拒绝服务(DoS)攻击。
[0005]以上两个专利只是实现节点的身份认证，但对于上述无线自组网存在的安全隐患并没有完全解决，无法实现无线自组网对数据的安全通信需求。而且在网络拓扑变化快、无线传输信道不稳定等情况时数据丢包严重的问题也没有解决，针对以上问题，我们提出一种可以快速身份认证以及容忍数据丢包的无线自组网通信协议。

【发明内容】

[0006]本发明的目的是实现无线自组网的快速认证及容忍数据丢包的安全传输，主要包括签密认证及密钥协商协议和基于流加密的安全数据封装协议。
[0007]本发明所采取的技术方案为:
[0008]一种基于无线自组织网的防欺骗和抗攻击的数据传输方法，包括签密认证过程和基于流加密的加、解密过程，其特征在于:
[0009]签密认证过程:
[0010](I)进行初始化:为无线自组织网中的每个节点设置一个唯一的标识符并对外部进行公开，初始化每个节点的公私钥对；
[0011](2)请求认证节点随机生成通信密钥并取得时间戳，根据签密算法对请求认证消息进行加密，之后对加密后的请求认证消息和接收认证节点的标识进行广播；请求认证消息包括请求认证的节点的通信密钥、时间戳和标识符；
[0012](3)接收认证节点对加密后的请求认证消息进行解签密，得到请求认证消息，如果请求认证的节点的时间戳是否与接收认证节点的本地时间相吻合，则将请求认证消息中的通信密钥作为请求认证节点与接收认证节点之间数据传输的对称加密密钥；
[0013]基于流加密的加、解密过程:
[0014](4)发送节点利用对称加密密钥和初始化向量并依照流加密算法生成密钥流，将生成的密钥流和传输数据进行异或处理，得到传输数据的密文；
[0015](5)将传输数据的密文按照设定长度进行分段，并在每段密文信息前加一个头部标识，该头部标识包含发送的顺序号，用于帮助查找解密密钥；
[0016](6)接收节点利用对称加密密钥和初始化向量并依照流加密算法生成密钥流；
[0017](7)接收节点根据生成的密钥流对接收到的传输数据的密文进行异或处理，得到传输数据；
[0018]完成基于无线自组织网的防欺骗和抗攻击的数据传输。
[0019]其中，在步骤(6)和步骤(7)之间还包括以下步骤:
[0020](101)接收节点在收到传输数据的密文后，首先读取当前该段密文信息前的头部标识并跟接收到的上一段密文信息前的头部标识进行比较，如果两个头部标识的序列号是相连的，则说明当前该段密文信息与上一段密文信息之间没有数据丢失，则直接转入步骤(7);否则，说明当前该段密文信息与上一段密文信息之间有数据丢失，之后转入步骤(102)；
[0021](102)直接跳过与丢失的数据段对应的长度的密钥流，然后，用之后的密钥流作为解密密钥流，转入步骤(7)。
[0022]本发明与现有技术相比具有如下优点:
[0023]1.本发明提出的节点之间快速认证方法，在身份认证时，使用签密算法仅需一轮通信就实现了节点间快速的身份认证，并完成了节点之间的会话密钥协商。
[0024]2.本发明提出的数据加密传输方法，可以实现数据的实时加密传输，；另外一方面，使用特殊的同步该类算法可以实现收发双方的密钥同步，这样就可以保证在丢失数据的情况下也能对收到的密文进行正确解密。
【附图说明】
[0025]图1为本发明中的整体流程图；
[0026]图2为本发明中的节点认证流程图；
[0027]图3为本发明中流加密中密文分段处理图。
[0028]具体实施措施
[0029]下面，结合附图和具体实施例对本发明作进一步说明。
[0030]一种基于无线自组织网的防欺骗和抗攻击的数据传输方法，包括签密认证过程和基于流加密的加、解密过程，参考附图1，其特征在于:
[0031]签密认证过程，参考附图2:
[0032](I)进行初始化:为无线自组织网中的每个节点设置一个唯一的标识符并对外部进行公开，初始化每个节点的公私钥对；
[0033]假设无线自组织网中有η个节点，把η个节点放在一个集合Q= (Q1, Q2......Q1J，
每个节点Qi都拥有一个唯一的标示符ID i，它可以唯一的表示节点Qi并且可以对外部进行公开。由离线的可信任第三方生成系统参数:两个哈希函数G和H，以及每个节点的密钥对；
[0034](2)请求认证节点随机生成通信密钥并取得时间戳，根据签密算法对请求认证消息进行加密，之后对加密后的请求认证消息和接收认证节点的标识进行广播；请求认证消息包括请求认证的节点的通信密钥、时间戳和标识符；
[0035]假设节点A和节点B进行身份认证及会话秘钥协商，B为请求认证方，A为接受认证方，A和B节点进行初始化之后，A节点进行侦听阶段，等待B节点的认证请求，具体过程如下:
[0036]请求认证方节点B:
[0037](BI