技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種Mesh網(wǎng)絡(luò)的密鑰管理方法。

背景技術(shù)

Mesh網(wǎng)絡(luò)是一種新型的無線網(wǎng)絡(luò)技術(shù)，它預(yù)期可以解除Ad?Hoc網(wǎng)、無線局域網(wǎng)、無線個(gè)人區(qū)域網(wǎng)、無線城域網(wǎng)的一些限制，并用來構(gòu)建新型的商用移動(dòng)Ad?Hoc網(wǎng)絡(luò)。Mesh網(wǎng)絡(luò)是基于IP協(xié)議的無線寬帶接入技術(shù)，主要是一種網(wǎng)絡(luò)架構(gòu)思想，體現(xiàn)在無中心、自組網(wǎng)、多級(jí)跳接和路由判斷選擇等。同時(shí)，Mesh網(wǎng)絡(luò)沒有固定的基礎(chǔ)設(shè)施，并且運(yùn)作在一個(gè)開放的傳播媒介中，無線波段覆蓋范圍內(nèi)的任意用戶都可以連接到網(wǎng)絡(luò)。

具體到實(shí)際的應(yīng)用中，同現(xiàn)有的其它有線和無線網(wǎng)絡(luò)一樣，安全是Mesh網(wǎng)絡(luò)現(xiàn)今面臨的十分重要而且迫切需要解決的問題。在有線網(wǎng)絡(luò)中，數(shù)據(jù)包在物理線路上傳遞到目標(biāo)節(jié)點(diǎn)，通常只有在通過有線直接接入到物理鏈路上或是在物理鏈路遭到破壞的情況下，數(shù)據(jù)才有可能泄露，惡意行為才有可能進(jìn)行；而在無線網(wǎng)絡(luò)中，數(shù)據(jù)通過無線電磁波傳播，不需要特定的傳播介質(zhì)，只要在無線電波覆蓋的范圍內(nèi)，終端節(jié)點(diǎn)都可以接收到無線信號(hào)從而獲取數(shù)據(jù)，數(shù)據(jù)泄漏和惡意行為更容易發(fā)生。對(duì)于Mesh網(wǎng)絡(luò)，外部環(huán)境相對(duì)惡劣，而且由于缺少中心節(jié)點(diǎn)的統(tǒng)一監(jiān)控管理，安全攻擊行為更易發(fā)生且不易檢測(cè)。

基于上述環(huán)境，IEEE802.11s小組提出了一種建立在802.11i標(biāo)準(zhǔn)上的高效Mesh安全關(guān)聯(lián)體系(EMSA，Efficient?Mesh?Security?Association)，采用802.1x機(jī)制和四次握手過程，來實(shí)現(xiàn)無線Mesh網(wǎng)絡(luò)的接入認(rèn)證和密鑰管理。然而由于網(wǎng)絡(luò)中需要存在一些特殊的無線節(jié)點(diǎn)，方案中稱作Mesh密鑰分配者(MKD，Mesh?Key?Distributor)，來生成、分發(fā)和存儲(chǔ)密鑰。這些節(jié)點(diǎn)打破了Mesh網(wǎng)絡(luò)中節(jié)點(diǎn)的平等性，會(huì)帶來單點(diǎn)失效等問題，一旦這些節(jié)點(diǎn)被入侵，那么存儲(chǔ)在其中的所有密鑰都可能被泄露。

此外，F(xiàn)u.等在2008年提出的分布式密鑰管理包括密鑰生成、密鑰更新、密鑰撤銷過程。其建立在(t，n)門限密碼機(jī)制上，但缺乏可驗(yàn)證性安全秘密共享算法。當(dāng)網(wǎng)絡(luò)中存在不誠(chéng)實(shí)節(jié)點(diǎn)故意發(fā)送錯(cuò)誤密鑰分片時(shí)，沒有可靠的算法來檢測(cè)并識(shí)別惡意節(jié)點(diǎn)，進(jìn)而可能生成虛假的密鑰。

因此，當(dāng)下需要迫切解決的一個(gè)技術(shù)問題就是：如何能夠提出一種措施，有效避免上述因素造成網(wǎng)絡(luò)安全性差的現(xiàn)象出現(xiàn)，有效改善網(wǎng)絡(luò)的魯棒性和可信性。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種Mesh網(wǎng)絡(luò)的密鑰管理方法，能夠有效提高網(wǎng)絡(luò)的安全性和可靠性。

為了解決上述技術(shù)問題，本發(fā)明提供了一種Mesh網(wǎng)絡(luò)的密鑰管理方法，包括：

(1)，選取組密鑰并劃分為預(yù)設(shè)數(shù)量的密鑰分片，隨機(jī)分發(fā)密鑰分片給預(yù)先選定的路由器；

(2)，Mesh節(jié)點(diǎn)發(fā)送接收密鑰分片的請(qǐng)求，收集預(yù)設(shè)門限數(shù)量的密鑰分片，用所收集的密鑰分片構(gòu)建矩陣方程；

(3)，通過計(jì)算所構(gòu)建矩陣的秩，判定是否存在錯(cuò)誤密鑰分片：若是，則進(jìn)行錯(cuò)誤識(shí)別和處罰，并返回(1)；若否，則用所收集的密鑰分片進(jìn)行組密鑰重構(gòu)。

進(jìn)一步地，所述(3)中：當(dāng)矩陣的秩大于預(yù)設(shè)門限數(shù)量值時(shí)，判定存在錯(cuò)誤的密鑰分片；

當(dāng)矩陣的秩等于預(yù)設(shè)門限數(shù)量值時(shí)，判定不存在錯(cuò)誤的密鑰分片；

當(dāng)矩陣的秩小于預(yù)設(shè)門限數(shù)量值時(shí)，繼續(xù)收集密鑰分片至矩陣的秩等于預(yù)設(shè)門限數(shù)量值。

進(jìn)一步地，所述方法在選取組密鑰并劃分為預(yù)設(shè)數(shù)量的密鑰分片時(shí)，還生成檢測(cè)密鑰，并在整個(gè)網(wǎng)絡(luò)中進(jìn)行廣播。

進(jìn)一步地，所述(2)中，Mesh節(jié)點(diǎn)收集密鑰分片時(shí)將與密鑰分片持有者進(jìn)行雙方認(rèn)證。

進(jìn)一步地，密鑰分片持有者發(fā)送其擁有的密鑰分片到密鑰分片的收集節(jié)點(diǎn)時(shí)，添加數(shù)字簽名進(jìn)行標(biāo)識(shí)。

進(jìn)一步地，錯(cuò)誤識(shí)別和處罰包括以下子步驟：

發(fā)送所收集的密鑰分片到離線證書中心；

離線證書中心通過多項(xiàng)式查找錯(cuò)誤密鑰分片的持有者；

將錯(cuò)誤密鑰分片的持有者進(jìn)行網(wǎng)絡(luò)隔離。

綜上，本發(fā)明提供的Me?sh網(wǎng)絡(luò)的密鑰管理方法，改進(jìn)網(wǎng)絡(luò)的安全性、魯棒性和可信性。

附圖說明

圖1是本發(fā)明的一種Mesh網(wǎng)絡(luò)的密鑰管理方法流程圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。

參照?qǐng)D1所示一種Mesh網(wǎng)絡(luò)的密鑰管理方法流程圖，所述方法具體包括：

步驟101、選取組密鑰并劃分為預(yù)設(shè)數(shù)量的密鑰分片，隨機(jī)分發(fā)密鑰分片給預(yù)先選定的路由器；