[发明专利]分层洋葱环路由方法

说明书

技术领域

本发明属于网络安全技术领域，涉及到网络中路由协议的安全方法，具体是分层洋葱环 路由方法，通过使用密码学和冗余机制来保护网络隐私不受全局性和侵略性的攻击。

背景技术

在无线Mesh网络中，有一些活跃节点，它们会进行一些机密的商业活动。为了不让外 界察觉到，这些活跃节点必须进行匿名通信，匿名通信要求：1)不让外界知道会话的内容； 2)不让外界知道谁发起这次会话。这种保护对于网络安全通信是非常重要的。但是，目前的 匿名通信现状要么无法阻止手段狡猾的攻击；要么是以浪费大量的带宽为代价换取一定级别 的匿名性。

文献“在Mesh网络中达到隐私保护”(Achieving Privacy in Mesh Networks”，Proc.of the  SASN’06，PP.13-22，Oct.，2006)。提出了一种基于洋葱路由器的环形安全通信模式。该方案 的主要思想是：在一个简单的环结构中，为了抵御全局性攻击，设计一个环形的洋葱路由协 议，使通信开始于网关，也终于网关。所有的通信方式都要按同一个方向进行，要么顺时针， 要么逆时针。这样就算外部攻击者进行通信量分析，也无法分析出哪个节点是初始节点和目 的节点。其次就算在路由环中有恶意节点并且知道拓扑结构，也无法追踪出初始节点和目的 节点。因为它只能跟踪出一个环形的路径，在环形路径中，敌手无法分析出谁是初始节点， 谁是目的节点。但是该方案又引起了一种新型的攻击，称为交集攻击。例如一个Mesh节点 通过环形路径与Internet相连接的会话，一段时间后，这个Mesh节点又访问同一个Internet 地址，但是它是通过另一个环来进行会话的。这时如果敌手监听网关，发现这是一个非常特 殊的地址，基于观察，敌手可以得出一个结论，会话发起者也就是初始节点，很可能是这两 个环中的交集，那么这个通信的匿名性就会受到威协。另外，该方案的环形路径只能通过网 关建立，并且所有的通信过程都是从网关开始的，这样会给网关带来很大的计算负荷。

发明内容

本发明要解决的技术问题是：克服现有Mesh网络存在的交集攻击问题，同时为了保证 环通信的有效性，提供了一种分层洋葱环路由方法，它可以有效的抵抗交集攻击，提高网络 通信安全，并且有效减轻网关的负担，降低网关的路由表记录量，更好利用网络资源，减少 延迟。

本发明为了在Mesh网络进行安全的匿名通信，把整个通信过程分为三个部分：环的初 始化，环间通信和通信结束。在无线Mesh网络中，把节点分为三类：网关，可信任节点， 普通节点，OP节点(Onion Proxy)和网关G是诱导节点，它们每隔一段时间向它附近的OP节 点发送一个诱导信息载体(dummy包)。OP节点在环的初始化过程中起到了第一层路由和第 二层路由的选择作用，在以后的通信过程中，它的作用和普通节点F_i相同。为了便于理解， 将匿名集和分层路由的概念作以介绍：

匿名集：设R为网络中所有OP节点和网关G组成的集合，则称满足如下条件：

a必须包括元素G；

b集合中的所有元素是以拓扑结构在网络中形成哈密尔顿回路的R的子集为匿名集。对 这些匿名集进行标号。在网络中，网关G和OP节点共享这些有编号的匿名集。

分层路由：本发明把路由分为两层。第一层路由：洋葱环路由协议中，称由匿名集中元 素形成的路径为第一层路由，也就是由可信节点和网关组成的路径。第一层路由主要由不相 邻的可信节点组成环形。第二层路由：在可信节点之间由普通节点填充后的构成的环路称为 第二层路由，也称为下一层路由。第二层路由是在初始化过程中由OP节点和网关随机选择 的。它主要是进行对路径的填充。

一、环的初始化

本发明把环的初始化分为以下几个步骤：

第1步：封装过程

首先：OP节点(即匿名集中第一个元素)选择第一层路由，也就是有标号的匿名集， 按照匿名集中节点的顺序封装洋葱包，在其后附加一个dummy包。

包格式如下：

{build}，E_kpop1[(RI，k_op1，OP2)，E_kpop2[(RI，k_op2，G)，E_kpg(RI，t)]]，dummy；

{build}：包头，表示建环信息，告诉节点要进行环的初始化；