一种基于MD5散列信息摘要的移动CA节点选举方法

摘要

本发明公开了一种基于MD5散列信息摘要的移动CA节点选举方法，其首先对申请的节点生成的证书请求文件进行MD5散列信息摘要计算，得到请求数据，然后每个节点根据由生成的随机数、IP地址和MAC地址组成的数据经MD5散列信息摘要计算后得到的整型数据与接收到的请求数据，选举一个节点担任CA节点，由于确定CA节点的关键因素在于申请的节点生成的证书请求文件及Ad-hoc网络中的节点生成的随机数，因此对于同一个申请的节点，每次CA节点的选举结果也是不同的，对于不同的申请的节点，CA节点的选举结果也是不同的，这样有效地避免了CA节点长时间的提供证书服务，节省了CA节点的耗能；同时，大大降低了CA节点被攻击的概率。

说明书

技术领域

本发明涉及一种CA节点的选举方法，尤其是涉及一种基于MD5散列信息摘要的 移动CA节点选举方法。

背景技术

Ad-Hoc网络是一个没有有线基础设施的移动网络，Ad-hoc网络直接由多个节点组 成，在Ad-Hoc网络中，这些节点既是消息的发送者和接收者，也是消息的转发者， “Ad-hoc网络”这一名词最终是由IEEE802.11标准委员会确定，用于描述自组式的、 对等多跳网络，同时IEFT把Ad-Hoc网络归为MANET，即移动多跳网络。

在Ad-Hoc网络发展过程中，大部分研究都集中在网络路由协议方面，但Ad-Hoc 网络所面临的安全问题却日益凸显，开始吸引越来越多的学者关注，从各个方面解决无 线Ad-Hoc网络的安全性问题,一方面，安全路由：节点之间的消息传递是通过网络路由 策略到达目的节点的，而网络路由策略会直接影响到网络的安全性，针对无线移动网络， 出现了数个典型的安全路由协议，如ARIADNE、SRP和SAODV等；另一方面，CA （Certificate Authority）认证机制：采用该种机制，可以有效地解决节点身份鉴别中所 产生的欺骗问题，防止假冒身份和篡改数据所带来的威胁。

CA认证机制一般用于传统的计算机网络，CA节点需要为网络中的所有节点提供证 书服务，包括证书的申请、查询、更新、撤销，定期发布证书的撤销列表CRL。目前， 在Ad-Hoc网络中通常由固定的一个节点担任CA节点，然而，相比于普通节点，CA节 点为了提供这些证书相关的服务，需要消耗更多的能量，这对于能量有限的Ad-Hoc网 络节点来说，是一个不利的因素，一旦CA节点由于长时间提供证书服务，能量过度消 耗，则会导致CA节点无法继续提供证书服务；除此之外，当Ad-Hoc网络中的CA节 点遭受到攻击后，同样也无法为其他节点提供证书服务，综上所述，在Ad-Hoc网络中 由固定一个节点作为CA节点，网络的认证机制将面临巨大的风险。

发明内容

本发明所要解决的技术问题是提供一种基于MD5散列信息摘要的移动CA节点选 举方法，其能够随机选举一个节点担任CA节点，避免了固定单一节点担任CA节点长 时间的提供证书服务，节省了CA节点的耗能，并大大降低了CA节点被攻击的概率。

本发明解决上述技术问题所采用的技术方案为：一种基于MD5散列信息摘要的移 动CA节点选举方法，其特征在于包括以下步骤：

1）假设存在一个新的节点待加入Ad-hoc网络中，将该新的节点作为当前申请节点；

2）当前申请节点生成证书请求文件，然后当前申请节点对生成的证书请求文件进 行MD5散列信息摘要计算，得到一串长度为16个字节的用于表示证书请求文件的请求 数据；

3）当前申请节点向Ad-hoc网络中的所有节点广播步骤2）中得到的请求数据；

4）Ad-hoc网络中的每个节点在接收到当前申请节点广播的请求数据后，Ad-hoc 网络中的每个节点将自身生成的随机数、自身的IP地址及自身的MAC地址按序组成一 串数据，然后对组成的数据进行MD5散列信息摘要计算，得到一串长度为16个字节的 整型数据；

5）Ad-hoc网络中的每个节点向Ad-hoc网络中除自身以外的其余所有节点广播自 身对应的整型数据，Ad-hoc网络中的每个节点将自身对应的整型数据与接收到的所有整 型数据组成一个数据集合；然后Ad-hoc网络中的每个节点将自身对应的数据集合中的 每个整型数据的二进制数与接收到的请求数据的二进制数进行按位异或运算，得到对应 的异或运算结果，再以十六进制表示每个异或运算结果；接着Ad-hoc网络中的每个节 点从自身对应的所有以十六进制表示的异或运算结果中选出值最小的异或运算结果；

6）当选出的值最小的异或运算结果仅为1个时，Ad-hoc网络中的每个节点将选出的 值最小的异或运算结果对应的整型数据所属的节点选举为新的CA节点；当选出的值最 小的异或运算结果为多个时，Ad-hoc网络中的每个节点将选出的多个异或运算结果对应 的整型数据所属的节点中MAC地址最小的一个节点选举为新的CA节点。

与现有技术相比，本发明的优点在于：本发明方法首先对申请的节点生成的证书请 求文件进行MD5散列信息摘要计算，得到请求数据，然后每个节点根据由生成的随机数、 IP地址和MAC地址组成的数据经MD5散列信息摘要计算后得到的整型数据与接收到的 请求数据，选举一个节点担任CA节点，由于确定CA节点的关键因素在于申请的节点生 成的证书请求文件及Ad-hoc网络中的节点生成的随机数，因此对于同一个申请的节点， 每次CA节点的选举结果也是不同的，对于不同的申请的节点，CA节点的选举结果也是 不同的，这样有效地避免了CA节点长时间的提供证书服务，节省了CA节点的耗能；同 时，大大降低了CA节点被攻击的概率，即使CA节点被攻击了，还可以再随机选举出另 一个节点担任CA节点，有效保证了证书服务。

附图说明

图1为本发明方法的流程框图；

图2为Ad-hoc网络中的20个持有影子密钥的节点进行第一轮证书请求被选举为 CA节点的次数分布情况；

图3为Ad-hoc网络中的20个持有影子密钥的节点进行第二轮证书请求被选举为 CA节点的次数分布情况；

图4为Ad-hoc网络中的20个持有影子密钥的节点进行第三轮证书请求被选举为 CA节点的次数分布情况。

具体实施方式

以下结合附图实施例对本发明作进一步详细描述。

本发明提出的一种基于MD5散列信息摘要的移动CA节点选举方法，其流程框图 如图1所示，其包括以下步骤：

1）假设存在一个新的节点待加入Ad-hoc网络中，将该新的节点作为当前申请节点。

2）当前申请节点生成证书请求文件，然后当前申请节点对生成的证书请求文件进 行MD5散列信息摘要计算，得到一串长度为16个字节的用于表示证书请求文件的请求 数据，该请求数据为以十六进制表示的整型数据。

3）当前申请节点向Ad-hoc网络中的所有节点广播步骤2）中得到的请求数据。

4）Ad-hoc网络中的每个节点在接收到当前申请节点广播的请求数据后，Ad-hoc 网络中的每个节点将自身生成的随机数、自身的IP地址及自身的MAC地址按序组成一 串数据，然后对组成的数据进行MD5散列信息摘要计算，得到一串长度为16个字节的 整型数据，该整型数据为以十六进制表示的一串数据。

5）Ad-hoc网络中的每个节点向Ad-hoc网络中除自身以外的其余所有节点广播自 身对应的整型数据（即：使得每个节点均知道其他所有节点对应的整型数据），Ad-hoc 网络中的每个节点将自身对应的整型数据与接收到的所有整型数据组成一个数据集合； 然后Ad-hoc网络中的每个节点将自身对应的数据集合中的每个整型数据的二进制数与 接收到的请求数据的二进制数进行按位异或运算，得到对应的异或运算结果（如果 Ad-hoc网络中有20个节点，则对于任意一个节点，对应得到20个异或运算结果），再 以十六进制表示每个异或运算结果；接着Ad-hoc网络中的每个节点从自身对应的所有 以十六进制表示的异或运算结果中选出值最小的异或运算结果。

6）当选出的值最小的异或运算结果仅为1个时，Ad-hoc网络中的每个节点将选出 的值最小的异或运算结果对应的整型数据所属的节点选举为新的CA节点；当选出的值 最小的异或运算结果为多个时，Ad-hoc网络中的每个节点将选出的多个异或运算结果对 应的整型数据所属的节点中MAC地址最小的一个节点选举为新的CA节点。

为更好地说明本发明方法的可行性和有效性，进行试验验证。

在试验中，假设Ad-hoc网络中节点个数为20个，则当有待加入的新的节点广播请 求数据后，Ad-hoc网络中的每个节点将自身生成的随机数、自身的IP地址及自身的MAC 地址按序组成的一串数据，组成的格式如表1所列。每个节点在组成数据后，对该数据 进行MD5散列信息摘要计算，表2给出了表1所列的数据经MD5散列信息摘要计算后 得到的整型数据。表1和表2中node₁～node₂₀表示第1个节点～第20个节点。

表1  节点自身生成的随机数、自身的IP地址及自身的MAC地址按序组成的一串数 据

表2  表1中所列的数据经MD5散列信息摘要计算后得到的整型数据

节点 整型数据 node₁5999AC3A8283AC346F A D149299A F406 node₂1469AC7E F286983B7E8D5C D0C4C4227D node₃C5A2A484F64E BD6C175D E0508614B441 node₄4A0B5705034451EF89A831D0FD77D499 node₅0341B918EA978947C3810B986656BB0B node₆1C EE76F030D8083210C1CD0D F3E9C236 node₇CA F314B2421D02F3C97A9D2720D05507 node₈99C1C06096C4CF F02F F23B03D256A67B node₉79DB791B7627B848670958A7C51741D1

node₁₀D93748686C9213C818BB C12E C26778F0 node₁₁1F2F D96F73BC81FD3915D03B C4562960 node₁₂D64E025E E535199F7F127D4966EF1B8A node₁₃6D2E7A7108D0081C70FD553175B90763 node₁₄AB6B71A03F CA0858E14176D2A8523821 node₁₅8C DE49A0D16C75C5B311D234E8411905 node₁₆9218BC5738442D89275E40CA6B21CC A9 node₁₇D4944B B5E77E EA4B1E5D8347F63E71D1 node₁₈290C29B981F04D F13F9922CA63F8F07A node₁₉56D97B A2C61D1A FA D105AE EA B4BD11D9 node₂₀674F58F420EA554192E2D2920186B836

针对以上20个节点进行3轮证书请求，每一轮试验中申请节点均产生2000份证书 请求文件，图2、图3和图4分别给出了第一轮、第二轮和第三轮试验中20个节点被选 举为CA节点的次数分布情况。从图2至图4中可以看出，由于每轮测试时，同一个节 点生成的随机数不同，因而每个节点由随机数、IP地址和MAC地址所组成的数据也不 一样，根据MD5散列信息摘要算法输出结果的唯一，每个节点经MD5散列信息摘要计 算得到的整型数据也会发生变化。最终导致在计算最小值并选举CA节点时，不会发生 一个节点长期、持续地被选中。因此，在3轮测试中选举的结果因随机数发生变化而不 同，在3轮测试中，第1个节点至第20个节点都较为平均地被选举为每一次的CA节 点。