CN101304384A - 安全性增强的蜂窝网与自组织网融合网络的安全路由方法 - Google Patents

Abstract

安全性增强的蜂窝网与自组织网融合网络的安全路由方法是一种安全性增强的蜂窝网与Ad hoc(自组织网)融合网络方案及路由安全方法，该融合网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路由的方法进行路由，其中双模移动终端：包括智能手机、PDA、PC和笔记本电脑，基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点，组成网络拓扑信息，安全代理通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含可信赖中心和鉴权中心，用于管理融合网络的安全，当节点发起路由请求时，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路，采用融合网络安全路由的方法进行路由。

Description

安全性增强的蜂窝网与自组织网融合网络的安全路由方法

技术领域

本发明是一种安全性增强的蜂窝网与Ad hoc(自组织网)融合网络方案及路由安全方法，具体涉及以Ad hoc网络技术为主、蜂窝网络技术为辅的融合网络技术领域。

背景技术

移动ad hoc网络(MANET)是一组带有无线收发装置的移动节点组成的多跳自组织系统。网络内的所有节点地位平等，每个移动终端兼备路由器和主机两种功能：作为主机，终端需要运行面向用户的应用程序；作为路由器，终端需要运行相应的路由协议。网络的拓扑结构是动态变化的，其内部节点可以以任何方式动态地保持与其他节点的联系。这种无中心又不依赖固有的基础设施的结构使得它的组网十分方便快捷。在ad hoc网络中，节点间的路由通常由多跳组成，由于终端的无线传输范围有限，两个无法直接通信的终端节点往往要通过多个中间节点的转发来实现通信。

Ad hoc网络由于采用无线信道、有限电源、分布式控制等技术，它更加容易受到被动窃听、主动入侵、拒绝服务、剥夺“睡眠”等网络攻击。信道加密、抗干扰、用户认证和其它安全措施都需要特别考虑。而由于该网络的动态拓扑特性，网络本身既可以独立工作，也可以与Internet或蜂窝无线网络连接。

将Ad hoc网络与蜂窝网络连接，即是将两种网络相融合。现有的融合网络大多都以蜂窝网络为主，通过添加一些转发设备来利用ad hoc的频段解决蜂窝网热点小区里容易出现的拥塞等影响用户通信的问题。这种类型的融合系统主要有以下几种：

1.iCAR：integration of Cellular and modern Ad Hoc Relayingtechnologies(融合蜂窝网络和现代Ad hoc网络的转发技术)

这是最早将传统蜂窝网和ad hoc转发技术相结合的系统，是为了解决蜂窝系统中信息流量不均衡的问题而提出的。该系统通过在小区间使用ad hoc转发台将数据流从一个小区动态转移到其他小区从而有效的平衡小区间的流量负载。这不仅增加了系统的容量，减少移动节点的发送功率，还扩展了系统的覆盖面积。

2.UCAN：A Unified Cellular and Ad Hoc Network Architecture

UCAN也是将ad hoc局域无线网引入广域无线网络从而提高网络的吞吐量。其中移动设备也有两个接口(IEEE 802.11b接口和3G接口)。UCAN规定只有低速率下行链路的移动节点通过IEEE 802.11b接口发送路由请求信息，这个路由请求信息在邻近移动节点间广播，寻找到一个具有高速率下行链路的移动用户。

3.MCN：Multi-hop cellular Network(多跳蜂窝网)

MCN中基站都没有完全覆盖整个地域范围，小区覆盖范围内的移动节点可以直接与基站进行单跳通信，覆盖范围外的移动节点则需要通过临近移动节点的多跳转发实现通信。MCN系统最大好处是能提高系统的容量，移动节点的发射功率降低，从而降低了同频干扰，提高了频率复用次数。

以上3种融合网络模型都是在现有蜂窝网络的基础上叠加Ad hoc网络，并没有关心Ad hoc网络本身的问题(例如安全问题)。而事实上，将这两种网络融合除了侧重于解决蜂窝网络中存在的问题之外，也可以在Ad hoc网络的基础上叠加蜂窝网络以提高Ad hoc网络的某些性能。由于Ad hoc网络最大的优点是它的节点能够自由加入和离开网络，因此希望能最大限度的允许节点的接入，以充分的发挥ad hoc网络自身的优点。无线资源是珍贵的，而有限资源和设备是可以生产出来的。所以在融合网络中，利用计算量和能量基本不受限制的基站来进行选择路由、存储链路状态、鉴权认证等工作，从而提高系统的实用性。也就是说，蜂窝基站除了负责原有的蜂窝网通信中的所有功能之外，还对ad hoc网络进行管理。这样，借助蜂窝基站对全局信息的掌握提供给融合网络中Ad hoc节点更有效更可靠的路由选择机制，从而使ad hoc节点在每次的数据传输之前获得更加安全可靠的路由。

发明内容

技术问题：本发明的目的是提供一种安全性增强的蜂窝网与Ad hoc融合网络的路由安全方法，能够为整个网络提供较高性能的容错性能，也就是说在网络中即使存在数量不是很多的恶意节点时，也能够为合法节点提供保证一定质量的路由服务。

技术方案：本发明在原有的蜂窝网中一方面加入Ad hoc移动终端，组成Ad hoc无线网络；另一方面，加入含有可信赖中心和鉴权中心的安全代理，利用蜂窝网的带外信号使之与基站相连，用于管理融合网络中的安全问题。

本发明的安全性增强的蜂窝网与自组织网融合网络的安全路由方法中，融合网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路由的方法进行路由，其中：

双模移动终端：包括智能手机、PDA、PC和笔记本电脑，是该模型中的终端用户，双模移动终端简称节点，有两个接口：蜂窝接口和自组织网接口，节点通过蜂窝接口工作在蜂窝网线路中称为蜂窝模式，通过802.11接口即Ad hoc接口，工作在自组织的自组织网网络中称为自组织网模式；

基站：基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点，组成网络拓扑信息，基站将本地节点的可靠度参数即：由电池电量、移动速度、运动状态和背景历史纪录四部分组成确定，作为节点自身固有信息存储在数据库中；基站就利用网络拓扑信息和可靠度参数帮助节点进行选路；基站和节点之间有两大互连信道：普通的蜂窝信道和为Ad hoc接口分配的蜂窝控制信道，当节点可以直接采用蜂窝模式通信时，就通过蜂窝信道与基站互连；否则节点就通过为Ad hoc接口分配的蜂窝控制信道与基站互连，请求或接受基站的帮助；

安全代理：通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含可信赖中心和鉴权中心，用于管理融合网络的安全，可信赖中心中记录着节点的可信度参数，可信度参数提供了判断节点是否安全可靠的依据；

在上述这样的一种融合网络方案下，节点第一次接入网络时信赖中心将该节点设为可信赖节点，但可信度较低，鉴权中心通过带外信道向待认证节点发放认证私钥，并用公钥算法内的参数来携带私钥或产生私钥种子，实现对节点的认证；

节点接入网络后，为了切换服务，其蜂窝接口和Ad hoc接口都是使能的，这时，一方面基站获得其可靠度参数，基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成；另一方面，当节点接入网络后，可信赖中心对节点可信度参数进行确定，并利用可信度参数进行安全管理，

当节点发起路由请求时，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路，采用融合网络安全路由的方法进行路由，“先选择Ad hoc网络，后依靠基站”的方式就是优先采用Ad hoc路由的模式转发数据，基站只处理控制信令；只有当不能满足服务质量要求时，才借助基站转发数据。

基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成，具体判断方案为：

电池电量设为U，是一个百分比，最大值为1，表示电量满，它对应的可靠度参数为k₁，k₁是关于电池电量U的函数，U越大，k₁就越大，且U和k₁的取值范围均为[0，1]，k₁具体定义为：

$k_1=\begin{array}{}\left\{\begin{array}{cc}{k}_{11}& 0<U\&le;U_{\mathrm{th}1}\\ k_{12}& U_{\mathrm{th}1}<U\&le;U_{\mathrm{th}2}\\ k_{13}& U_{\mathrm{th}2}<U\&le;1\end{array}\right.\end{array}$

其中，U_th1、U_th2为两个门限值，系统根据用户需求或各移动终端的电池能力要求设置具体的值，将电池电量分为低电量0＜U≤U_th1、中电量U_th1＜U≤U_th2和高电量U_th2＜U≤1三个等级；k₁₁、k₁₂、k₁₃是分别对应于三个等级电量的k₁的值，且有0≤k₁₁＜k₁₂＜k₁₃≤1；

移动速度设为v，其可靠度参数为k₂，k₂是关于移动速度v的函数，v越大，k₂就越小，k₂的取值范围也是[0，1]，k₂具体定义为：

$k_2=\begin{array}{}\left\{\begin{array}{cc}{k}_{21}& 0\&le;v<v_{\mathrm{th}1}\\ k_{22}& v_{\mathrm{th}1}\&le;v<v_{\mathrm{th}2}\\ k_{23}& v\&GreaterEqual;v_{\mathrm{th}2}\end{array}\right.\end{array}$

其中，v_th1、v_th2为两个门限值，系统设置具体的值，将移动速度分为低移动性0≤v＜v_th1、中移动性v_th1≤v＜v_th2和高移动性v≥v_th2三个等级；k₂₁、k₂₂、k₂₃是分别对应于三个等级移动性的k₂的值，且有0≤k₂₃＜k₂₂＜k₂₁≤1；

设与运动状态对应的可靠度参数为k₃，其中k₃∈[0，1]，k₃的具体定义为：

其中0≤k₃₂＜k₃₃＜k₃₁≤1是系统可以灵活设置的值；

设与背景历史记录对应的可靠度参数为k₄，对于每天或每周都有规律地在移动的节点，其k₄就较高；反之k₄就较低，k₄的具体定义为：

其中0≤k₄₂＜k₄₁≤1是系统可以灵活设置的值；

由上可得一个节点的可靠度参数k：

$k=\frac{w_1{k}_1+w_2{k}_2+w_3{k}_3+w_4{k}_4}{k_1+k_2+k_3+k_4}$

其中W_i是可靠度参数K_i的权值，且有 $\underset{i=1}{\overset{4}{\mathrm{\&Sigma;}}}{w}_i=1,$ w_i＞0；i＝1、2、3----，

当可靠度参数k在[k_th，1]时，表示节点适合作为中间节点转发数据；否则不适合作为中间节点转发数据。其中k_th为系统可以灵活定义的门限值。

节点接入网络后，可信赖中心对节点可信度参数进行确定，这种确定具体包括两种报告：

I)来自本节点的错误报告；

II)来自网络中其它节点的报告；

当某节点被其邻居节点检测出它未严格按照协议规定执行时，可信赖中心会根据这两种错误报告将该节点的可靠度降低1个单位。

融合网络安全路由的方法包括步骤：

A、节点接入网络后，基站和安全代理分别获得其可靠度参数和可信度参数；同时该节点定时更新本身的一跳路由表，

B、源节点发起路由请求，源节点和基站根据目标节点的位置选择一条或多条最优路径，

C、源节点收到路由回复消息，中间节点做好数据转发准备，

D、数据加密传输过程中，各节点对其上下级节点的行为进行监测，并对异常情况进行处理，

E、根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可信度参数。

步骤B包括：

B1、源节点要转发数据时，首先查看自己的一跳路由表，若目标节点地址在一跳路由表中，这两个节点就直接通信，

B2、若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由回复消息，通知源节点用Ad hoc路由方式——采用基于节点位置更新的路由算法，与目标节点通信，

B3、若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将所有路径放在路由回复消息中发送给源节点。

步骤B2采用基于节点位置更新的路由算法，具体方法为：

在原有AODV+路由的基础上，节点定时查看自己的位置，再将当前位置和上一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新自己的路由，将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到达；更新自己到达自己路由表中所有其他节点的路由，同时也使得其他节点到自己的路由得到了更新；即这是一个利用节点位置的更新来优化AODV+的路由算法。

步骤C中，中间节点做好数据转发准备，具体是指：中间节点解封装来自源节点的数据包，获悉其下一跳地址，同时纪录本次数据转发过程中的临时一跳路由表；其中，中间节点的临时一跳路由表表项中包括：本次通信的源节点，本次链路中的本节点的上一跳节点以及下一跳节点。

对异常情况进行处理采用如下方法：

a.节点对其上下级节点的行为进行监测时，如果发现其邻居节点有不合理行为时，就向可信赖中心报告，

b.当可信赖中心得到多个节点对某一节点的怀疑报告时，就降低该节点的可信度，

c.当某一节点未按照协议规定执行时，主动通过基站向安全代理发送错误报告；这个错误报告是由该节点依靠其内部报警模块或是协议本身的固有代码触发发送的告警信息，

d.安全代理收到错误报告后，大幅度降低该节点的可信度；当该节点的可信度降到某个特定值时，它就不作为转发候选节点，

e.当该节点的可信度降为0时，就将其驱逐出网络，

f.如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对该链路上的中间节点进行二分法检测；检测完成后，基站和安全代理更新网络拓扑，包括可信度参数和可靠度参数的评估。

二分法检测的具体检测过程为：将链路均分为二，首先基站探测链路上正中间的节点是否可达；检测标准为：要求该中间节点提供临时一跳路由表的信息，如果该路由表信息正确，说明链路的前半段是可达的，链路故障发生在后半段；接着就将后半段再均分为二，得到下一个检测点，如果该路由表信息不正确，说明链路的前半段就不可达，链路故障就发生在前半段；接着就将前半段再均分为二，得到下一个检测点，以此类推，直到找到发生故障的那个中间节点。

由以上本发明提供的技术方案可以看出，本发明将蜂窝基站叠加到已有的Ad hoc网络中，并引入安全代理的概念。可信度为安全代理提供了判断节点是否安全可靠的依据。节点可信度的增加在于该节点严格遵守协议规范，安全地转发了数据。而可信度的降低则需要多个节点向安全代理提出怀疑报告，以避免恶意节点对合法节点的陷害。可靠度参数表明了节点进行转发数据的可靠程度。基站中存放可靠度，并对每个节点的可靠度进行实时监控。可信度和可靠度参数一起有效地管理着融合网络中Ad hoc节点，大大降低了纯Ad hoc网络中接入认证等安全问题的难度。

有益效果：从以下三个方面来比较数据到达目的节点的性能。

(1)优化前后目标节点处数据达到率的比较(图5)。可以看出，当数据发送率较高的时候，优化后的AODV+的数据到达率将会提高；而数据发送率过高，更新路由的距离较小会提高数据到达率。

(2)优化前后失序包比例的比较(图6)。失序包比例是指数据到达序列中失序数据包的数量占收到的总数据包数量的比例。这用来考察目的节点收到的数据的有序性。可以看出，利用节点位置的更新来优化AODV+路由算法后，当节点以较高的频率发送数据包时，由于节点对于路由的主动维护，可以有效地保证转发数据不会因没有路由而堆积在中间节点的缓存中，因而可以提高数据的有序性。

(3)优化前后总延时的比较(图7)。由于数据发送的总数不同，时延总量也应当是随着数据报发送量的增大而增大的。由图可以看出，在数据发送频率比较低的时候，数据包总的时延基本相当，但随着数据发送频率的增加，优化后的AODV+带来的时延明显较原本AODV+的要小很多。

可见，积极维护路由使得数据转发链路不至于在转发过程中长时间瘫痪，降低信息丢失的概率。

在安全上，安全代理的引入简化了Ad hoc节点的接入认证工作。节点可信度这一参数为安全代理提供了判断节点是否安全可靠的依据。通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能，还能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密，以达到用户对通信安全的要求，同时也不会给移动终端带来过高负荷的计算量。

附图说明

图1是具体组网方案，这是具有中心路由管理的Ad hoc组网方案。

表1是融合网络的安全方案需要整个协议栈的保护。

图2是多重防护体系。

图3是安全路由流程图。

图4是多种不同的路由选择模式。

图5是AODV+路由协议优化前后数据到达率的比较。

图6是AODV+路由协议优化前后失包率比较。

图7是AODV+路由协议优化前后总延时比较。

图8是基站进行的二分法检测例图。

图9是从源节点S2到目标节点D4的路由链路解封装过程。

图10是中间节点和目标节点的临时一跳路由表。

具体实施方式

本发明将蜂窝基站叠加到已有的Ad hoc网络中。蜂窝基站协调多个Ad hoc网络中的节点，为Ad hoc网络提供安全性增强的路由。

本发明的融合网络组网方案如图1所示。

(1)移动终端，包括智能手机、PDA、手机、PC和笔记本电脑。这是一个双模终端，它有两个接口：蜂窝接口和Adhoc接口，因此既可以工作在现有的蜂窝网络中，也可以工作在自组织的Ad hoc网络中。每个移动终端都有模型中两个重要的参数：可靠度参数和可信度参数。

(2)基站，能尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点。基站将本地节点的可靠度参数作为节点自身固有信息存储在数据库中。可靠度参数k，由电池电量、移动速度、运动状态和背景历史纪录决定，用于判断一个节点是否适合作为中间节点转发数据。可靠度参数k的具体设置如下。

①电池电量：设为U，是一个百分比，最大值为1，表示电量满，它对应的可靠度参数为k₁。U值越大，当节点转发数据时路径的稳定性就越高；当U值低于某个阈值时，节点主动向控制节点发送电量有限告警，控制节点就将该节点的可靠度降低，使其成为非主要转发节点。k₁是关于电池电量U的函数，U越大，k₁就越大，且U和k₁的取值范围均为[0，1]。我们推荐的k₁具体定义为：

$k_1=\begin{array}{c}\left\{\begin{array}{cc}{k}_{11}& 0<U\&le;U_{\mathrm{th}1}\\ k_{12}& U_{\mathrm{th}1}<U\&le;U_{\mathrm{th}2}\\ k_{13}& U_{\mathrm{th}2}<U\&le;1\end{array}\right.\end{array}---\left(1\right)$

其中，U_th1、U_th2为两个门限值，系统可以根据用户需求或各移动终端的电池能力等要求设置具体的值，它们将电池电量分为低电量(0＜U≤U_th1)、中电量(U_th1＜U≤U_th2)和高电量(U_th2＜U≤1)三个等级；k₁₁、k₁₂、k₁₃是分别对应于三个等级电量的k₁的值，且有0≤k₁₁＜k₁₂＜k₁₃≤1。

②移动速度(设为v)：长时间停留在某处的节点相对于高速移动通过某区域的节点来说更适合作为转发结点存在。当节点首次接入融合网络时，从其进入的区域(网络边界或网络中心)判断其是否可能为穿越网络的节点，决定其初始可靠度。节点在网络内工作时，控制节点依据在多个检查周期内获得的各网络拓扑考察节点的平均速度，并根据其速度的大小来决定节点的可靠度。移动速度v的可靠度参数为k₂，k₂是关于移动速度v的函数，v越大，k₂就越小，k₂的取值范围是[0，1]。我们推荐的k₂具体定义为：

$k_2=\begin{array}{c}\left\{\begin{array}{cc}{k}_{21}& 0\&le;v<v_{\mathrm{th}1}\\ k_{22}& v_{\mathrm{th}1}\&le;v<v_{\mathrm{th}2}\\ k_{23}& v\&GreaterEqual;v_{\mathrm{th}2}\end{array}\right.\end{array}---\left(2\right)$

其中，v_th1、v_th2为两个门限值，系统可以设置具体的值，它们将移动速度分为低移动性(0≤v＜v_th1)、中移动性(v_th1≤v＜v_th2)和高移动性(v≥v_th2)三个等级；k₂₁、k₂₂、k₂₃是分别对应于三个等级移动性的k₂的值，且有0≤k₂₃＜k₂₂＜k₂₁≤1。

③运动状态：采用模糊算法来判断各节点的行为模式、预测节点运动状态；显然长时间在一个较小的区域内运动的节点比仅仅穿过小区的节点更适合作为转发节点，因此前者的可靠度参数值也就越高。设与运动状态对应的可靠度参数为k₃(k₃∈[0，1])。我们推荐的k₃的具体定义为：

其中0≤k₃₂＜k₃₃＜k₃₁≤1是系统可以灵活设置的值。可以取k₃₁＝1，k₃₂＝0。

④背景历史纪录：是节点最近一段周期(如一个月、一周、三至五天等)内在某个区域内停留时间的变化规律。在数据转发过程中，一些有运动规律的节点显然比一般节点更为可靠。如大多数工薪阶层的人，其作息极有规律，他们拥有的无线设备一般会在工作或休息时间段内长期停留在某处或仅做极小范围(工作地点或住宅)的移动。设与背景历史记录对应的可靠度参数为k₄，则对于每天或每周都有规律地在移动的节点，其k₄就较高；反之k₄就较低。我们推荐的k₄的具体定义为：

其中0≤k₄₂＜k₄₁≤1是系统可以灵活设置的值。

由上可得一个节点的可靠度参数k：

$k=\frac{w_1{k}_1+w_2{k}_2+w_3{k}_3+w_4{k}_4}{k_1+k_2+k_3+k_4}---\left(5\right)$

其中w_i(i＝1，2，3，4)是可靠度参数k_i(i＝1，2，3，4)的权值，且有 $\underset{i=1}{\overset{4}{\mathrm{\&Sigma;}}}{w}_i=1,$ w_i＞0；

当可靠度参数k在[k_th，1]时，表示节点适合作为中间节点转发数据；否则不适合作为中间节点转发数据。其中k_th为系统可以灵活定义的门限值。

(3)安全代理，是在基站的基础上发展分离出来，它包含以下几个概念。

首先，要保证整个网络的安全就是要保证网络协议栈内各层的安全，通过对协议栈每一层的安全弱点的分析加强相应的安全措施来保证其安全。同时也可以使用层与层之间的联系来实现对整个协议栈的保护。融合网络中对于整个协议栈的保护可以如表1所示。

层	安全特性
		应用层	检测并防止病毒、蠕虫、恶意代码和应用错误
传输层	鉴权和利用数据加密实现安全的端到端通信
		网络层	保护路由转发协议
链路层	保护无线MAC协议和提供链路层安全支持
		物理层	防止信号冲突造成的DoS攻击

表1融合网络的安全方案需要整个协议栈的保护

其次，对于未知攻击者的攻击方法是无法预先知道的，建立在这种不确定的对攻击方法假设基于上的解决方案同样也是不可靠的。因此，对协议本身弱点的研究以及加强节点对于协议规范的可靠执行是一种更好的解决攻击的方法。

第三，通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能，还能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密，以达到用户对通信安全的要求，同时也不会给移动终端带来过高负荷的计算量。

第四，安全代理对Ad hoc路由部分要求采用多重防护体系(如图2)，以强制网络中的节点严格遵守协议规范。多重防护就是在每一层的每个功能块中包含了保证该功能块的功能能够正常实现的多个子模块，也就是将原有的各层功能细化以提高多重防护可实现性。网络层安全就是要保证节点转发时完全按照路由表的指示向前传送信息，不做出篡改数据包的下一条地址或在本地复制数据包等恶意行为；链路层安全就是保证正在通信的两个节点间的一跳连接。

在上述概念的支持下，安全代理由鉴权中心和可信赖中心组成。

①鉴权中心

i.网内鉴权

待认证节点在接入网络之前需要向鉴权中心提出申请。由鉴权中心通过带外信道向待认证节点发放一个只有鉴权中心和待认证节点知道的私钥，其对应的公钥则由鉴权中心向网络内的其他用户公布，并用公钥算法内的参数来携带私钥或产生私钥种子。

ii.网间鉴权

由网络运营商事先签订漫游协议，以保证不同运营商的合法用户可以在各种网络间漫游并获得服务，以及在一定范围内以Ad hoc方式工作。在进入网络和需要取得服务前，用户用归属网络鉴权中心发放的证书向访问网络的鉴权中心发出请求，并通过归属网络的鉴权中心向访问网络的鉴权中心之间的交互认证，确定该用户的合法性。当用户需要服务时用其私钥对请求进行签名以保证服务的不可抵赖性。

②可信赖中心

可信赖中心提供了判断节点是否安全可靠的依据，即可信度参数，简称可信度。可信赖中心在节点第一次接入网络时将该节点设为可信赖节点，但可信度较低。

节点要求接入网络时，控制节点(基站和安全代理)首先允许该节点接入网络。然后按照下面三种情况确定可信度参数。

i.如果节点是某服务提供商的用户，控制节点就向相应的服务提供商核实用户的身份。

ii.如果能与众多服务提供商达成协议，则在各服务提供商的数据库中设置长期可信度参数。

对于i和ii，若基站在服务提供商处未能核实该节点的身份或是确认是非法节点(如挂失、欠费等)，则拒绝其接入网络。

iii.如果节点仅是无线网卡之类的无线收发设备而不属于任何集中管理式网络，则取一个折中的可信度。这个折中可信度，是长期观察计算得出的平均值。

当节点接入网络后，可信赖中心对节点可信度参数的确定需要参考本节点和网络中其它节点的报告。也就是说，当某节点被其邻居节点检测出它未严格按照协议规定执行时，可信赖中心会根据两种错误报告(来自本节点的错误报告和来自其它节点的错误报告)将该节点的可靠度降低1个单位。当这个参数降到某个特定值时，该节点将不作为转发候选节点，降到0时则被驱逐出网络。

●来自其它节点的错误报告

每条链路中节点负责对其上下级节点的行为进行监测：监听下一级节点在网络上发送数据包的情况、超时查询与上一级节点间的链路是否通畅等行为，获得关于其邻居节点是否正确执行了协议规范。如果发现其邻居节点有不合理行为时，对该节点的身份进行怀疑，并强制其进行身份认证，并向可信赖中心报告。在这种报告机制下需要注意的是，降低某一个节点的信赖度时需要两个或两个以上节点对该节点的怀疑报告，以避免恶意节点对合法节点的陷害。

●来自本节点的错误报告

节点本身也自动向可信赖中心发送自发的错误报告，以防止恶意节点发送虚假报告诬蔑合法节点，或防止多个节点长期对某个节点的蓄意陷害。由节点本身发出的错误报告是由节点内部报警模块或是协议本身的固有代码触发向可信赖中心发出的。错误报告应当包含有节点固有的ID等节点固有信息，以免同一物理设备使用不同无线收发装置对网络进行破坏(如同一手机终端使用不同的SIM卡)，或是在不同的区域内使用不同的临时地址对其它节点的工作造成影响(如控制节点错误的认为使用该临时地址的节点有过恶意行为而降低此后使用该地址的节点的可靠度等)。另外，错误报告中还应当留有附加字段以便日后功能扩充。如添加字段表明非法行为的种类、节点常用攻击类型等，使告警更加详细具体。

根据上述融合网络的模型结构，本发明中的安全路由方法参照图3的流程，具体如下：

步骤01：节点接入融合网络后，为了切换服务，其蜂窝接口和Adhoc接口都是使能的。节点定时查看自己的位置，若有变化，则更新自己的一跳路由表。同时，基站和安全代理分别获得其可靠度参数和可信度参数。如果这两个参数都达不到各自得门限值，则在路由选择时尽量不将这些节点设为转发节点，只将它们作为末端节点。

步骤02：源节点发起路由请求，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路。即优先采用Ad hoc路由的模式转发数据，此时基站只处理控制信令；只有当不能满足QoS(如实时性、吞吐量)要求时，才借助基站转发数据。源节点和基站根据目标节点的位置选择一条或多条最优路径分为以下3种情况：

(1)源节点要转发数据时，首先查看自己的一跳路由表。若目标节点地址在一跳路由表中，这两个节点就直接通信。例如图4中的S1和D1、S1和D2。

若目标节点不在源节点的一条路由表中，则源节点就向基站发送路由询问消息。基站利用所掌握的节点位置信息，查看目标节点的位置。

(2)若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由回复消息，通知源节点用Ad hoc路由方式与目标节点通信。例如图4中的S1和D3。

在本发明中，对于Ad hoc路由方式并不特定的给出基础路由算法，各种Ad hoc路由算法均可成为本发明的基础算法，还可以参考Internet中使用的选路算法的思路。以下就采用基于节点位置更新的路由算法来初步检查有中心路由控制下的Adhoc路由性能。

具体思路为：在原有AODV+路由的基础上，节点定时查看自己的位置，再将当前位置和上一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新自己的路由，将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到达。更新自己到达自己路由表中所有其他节点的路由，同时也使得其他节点到自己的路由得到了更新。即这是一个利用节点位置的更新来优化AODV+的路由算法，简称AODV+优化后的路由算法。

该思路的仿真结果如图5、图6、图7所示。它们都是原AODV+路由算法和AODV+优化后的路由算法在目标节点处性能参数的比较。

图5是优化前后目标节点处数据达到率的比较。可以看出，当数据发送率较高的时候，优化后的AODV+的数据到达率将会提高；而数据发送率过高，更新路由的距离较小会提高数据到达率。

图6是优化前后失序包比例的比较。失序包比例是指数据到达序列中失序数据包的数量占收到的总数据包数量的比例。这用来考察目的节点收到的数据的有序性。可以看出，利用节点位置的更新来优化AODV+路由算法后，当节点以较高的频率发送数据包时，由于节点对于路由的主动维护，可以有效地保证转发数据不会因没有路由而堆积在中间节点的缓存中，因而可以提高数据的有序性。

图7是优化前后总延时的比较。由于数据发送的总数不同，时延总量也应当是随着数据报发送量的增大而增大的。由图可以看出，在数据发送频率比较低的时候，数据包总的时延基本相当，但随着数据发送频率的增加，优化后的AODV+带来的时延明显较原本AODV+的要小很多。

(3)若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将所有路径放在路由回复消息中发送给源节点。例如图4中的S2和D4。

步骤03：源节点收到路由回复消息，中间节点做好数据转发准备。又分为两种情况：

(1)源节点收到的是一条最优路径，就在指定路径上发送数据传输请求消息。基站通知整条链路上的所有节点做好转发数据的准备以及其下一跳节点地址。当源节点收到来自目标节点的路由恢复消息后即可开始发送数据。

(2)当源节点收到的是多个较优路径时，则在所有较优路径上发送数据传输请求消息，通知所有链路上的节点做好转发数据的准备以及其下一跳节点地址。当源节点收到第一个从目标节点返回的回复消息时，源节点通知所有其它连路上的节点无需再等待转发数据。接下来，源节点就在最小的路径上发送数据。

中间节点做好数据转发准备，具体是指：中间节点解封装来自源节点的数据包，获悉其下一跳地址，同时纪录本次数据转发过程中的临时一跳路由表。该路由表表项中包括本次通信的源节点、该链路中的本节点的上一跳节点以及下一跳节点。

步骤04：数据加密传输过程中，各节点对其上下级节点的行为进行监测。具体过程为：

(1)私钥对通信过程中的数据加密。

(2)每条链路中节点负责对其上下级节点的行为进行监测：监听下一级节点在网络上发送数据包的情况、超时查询与上一级节点间的链路是否通畅等行为，获得关于其邻居节点是否正确执行了协议规范。如果发现其邻居节点有不合理行为时，对该节点的身份进行怀疑，并强制其进行身份认证，并向可信赖中心报告。

(3)如果源节点或中间节点根据内部报警模块获悉节点本身违反了协议规范。则由节点本身内部报警模块或是协议本身的固有代码触发向可信赖中心发出错误报告。错误报告应当包含有节点固有的ID等节点固有信息。

步骤05：根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可信度参数。具体更新为：

(1)中间节点成功转发数据后，可信赖中心增加其可信度。

(2)当可信赖中心收到两个或两个以上节点对某节点的错误报告时，则将该节点的可信度降低1个单位。如果可信赖中心还同时收到来自该节点本身的错误报告时，则将该节点的可信度降低2个单位。

(3)当可信度降到某个特定值时，该节点将不作为转发候选节点，降到0时则被驱逐出网络。

然而，如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对该链路上的中间节点进行二分法检测。检测完成后，基站和安全代理更新网络拓扑(包括可信度参数和可靠度参数的评估)。二分法检测的具体检测过程如下：

将链路均分为二(如图8所示)，首先基站探测链路上正中间的节点(图8中为节点E)是否可达。检测标准为：要求该中间节点提供临时一跳路由表的信息。如果该路由表信息正确，说明链路的前半段是可达的，链路故障发生在后半段；接着就将后半段再均分为二，得到下一个检测点(图8中为节点F)。如果该路由表信息不正确，说明链路的前半段就不可达，链路故障就发生在前半段；接着就将前半段再均分为二，得到下一个检测点(图8中为节点B)。以此类推，直到找到发生故障的那个中间节点。

下面以图4中的S2和D4为例，说明上述路由过程。

(1)首先，由基站BS A和BS B根据网络拓扑和可靠度、可信度参数计算得到最优链路：S2→P→BS A→BS B→B→Q→D4。

(2)其次，基站将此链路发给源节点S2，同时通知链路上的每个节点要求转发来自源节点S2的数据包。

(3)然后，S2解封装该链路信息数据包，只解封装下一跳地址，如图9所示(源节点和下一跳的地址用灰色底纹所示)，获悉其下一跳是节点P；并将该下一跳信息在该链路信息数据包中删除，以减轻信息负荷；最后则将数据包发往下一跳节点P。

(4)中间节点P得到数据包后，解封装得到这是来自源节点S2的数据包，获悉其下一跳节点是BS A，并将该下一跳信息在该链路信息数据包中删除，将数据包发往下一跳节点BS A。整个链路上中间节点解封装过程以此类推。

(5)同时，对于每一个中间节点，都会在一跳路由表中临时纪录本次通信的源节点、该链路中的本节点的上一跳节点以及下一跳节点。如图10所示。

(6)如果目标节点D4能收到来自源节点S2的数据包，则根据其一跳路由表中的上一跳地址，向源节点S2发送路由回复消息；中间节点也根据各自临时一跳路由表中的上一跳地址，向源节点S2反馈来自目标节点D4的路由回复消息。

(7)源节点S2收到目标节点D4的路由回复消息后，将加密好的数据包发送给D4。如果源节点S2在一定的等待时间内未能收到来自目标节点D4的数据包，则转(9)。

(8)在中间节点参与数据转发的过程中，始终负责对其上下级节点的行为进行监测：监听下一级节点在网络上发送数据包的情况、超时查询与上一级节点间的链路是否通畅等行为，获得关于其邻居节点是否正确执行了协议规范。如果发现其邻居节点有不合理行为时，对该节点的身份进行怀疑，并强制其进行身份认证，并向可信赖中心报告。

                    -16-

(9)如果源节点S2在一定的等待时间内未能收到来自目标节点D4的数据包，则说明基站所给的这条路由链路出现了故障(情况可能是中间节点瞬间关机导致，也可能是有恶意节点存在等)。这时，又分为两种情况：

i.如果可信赖中心收到中间节点发来的错误报告，则基站和安全代理更新网络拓扑(包括可信度参数和可靠度参数的评估)，重新计算新的路由链路。

ii.如果可信赖中心没有收到中间节点发来的错误报告，则转(10)。

(10)如果可信赖中心没有收到中间节点发来的错误报告，则由基站对该链路上的中间节点进行二分法检测。则基站和安全代理更新网络拓扑(包括可信度参数和可靠度参数的评估)，重新计算新的路由链路。

Claims (9)

1、一种安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于该融合网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路由的方法进行路由，其中：

双模移动终端：包括智能手机、PDA、PC和笔记本电脑，是该模型中的终端用户，双模移动终端简称节点，有两个接口：蜂窝接口和自组织网接口，节点通过蜂窝接口工作在蜂窝网线路中称为蜂窝模式，通过802.11接口即Ad hoc接口，工作在自组织的自组织网网络中称为自组织网模式；

基站：基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点，组成网络拓扑信息，基站将本地节点的可靠度参数即：由电池电量、移动速度、运动状态和背景历史纪录四部分组成确定，作为节点自身固有信息存储在数据库中；基站就利用网络拓扑信息和可靠度参数帮助节点进行选路；基站和节点之间有两大互连信道：普通的蜂窝信道和为Ad hoc接口分配的蜂窝控制信道，当节点可以直接采用蜂窝模式通信时，就通过蜂窝信道与基站互连；否则节点就通过为Ad hoc接口分配的蜂窝控制信道与基站互连，请求或接受基站的帮助；

安全代理：通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含可信赖中心和鉴权中心，用于管理融合网络的安全，可信赖中心中记录着节点的可信度参数，可信度参数提供了判断节点是否安全可靠的依据；

在上述这样的一种融合网络方案下，节点第一次接入网络时信赖中心将该节点设为可信赖节点，但可信度较低，鉴权中心通过带外信道向待认证节点发放认证私钥，并用公钥算法内的参数来携带私钥或产生私钥种子，实现对节点的认证；

节点接入网络后，为了切换服务，其蜂窝接口和Adhoc接口都是使能的，这时，一方面基站获得其可靠度参数，基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成；另一方面，当节点接入网络后，可信赖中心对节点可信度参数进行确定，并利用可信度参数进行安全管理；

当节点发起路由请求时，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路，采用融合网络安全路由的方法进行路由，“先选择Ad hoc网络，后依靠基站”的方式就是优先采用Ad hoc路由的模式转发数据，基站只处理控制信令；只有当不能满足服务质量要求时，才借助基站转发数据。

2、根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成，具体判断方案为：

电池电量设为U，是一个百分比，最大值为1，表示电量满，它对应的可靠度参数为k₁，k₁是关于电池电量U的函数，U越大，k₁就越大，且U和k₁的取值范围均为[0，1]，k₁具体定义为：

$k_1=\left\{\begin{array}{cc}{k}_{11}& 0<U\&le;U_{\mathrm{th}1}\\ k_{12}& U_{\mathrm{th}1}<U\&le;U_{\mathrm{th}2}\\ k_{13}& U_{\mathrm{th}2}<U\&le;1\end{array}\right.$

其中，U_th1、U_th2为两个门限值，系统根据用户需求或各移动终端的电池能力要求设置具体的值，将电池电量分为低电量0＜U≤U_th1、中电量U_th1＜U≤U_th2和高电量U_th2＜U≤1三个等级；k₁₁、k₁₂、k₁₃是分别对应于三个等级电量的k₁的值，且有0≤k₁₁＜k₁₂＜k₁₃≤1；

移动速度设为v，其可靠度参数为k₂，k₂是关于移动速度v的函数，v越大，k₂就越小，k₂的取值范围也是[0，1]，k₂具体定义为：

$k_2=\left\{\begin{array}{cc}{k}_{21}& 0\&le;v<v_{\mathrm{th}1}\\ k_{22}& v_{\mathrm{th}1}\&le;v<\\ k_{23}& v\&GreaterEqual;v_{\mathrm{th}2}\end{array}{v}_{\mathrm{th}2}\right.$

其中，v_th1、v_th2为两个门限值，系统设置具体的值，将移动速度分为低移动性0≤v＜v_th1、中移动性v_th1≤v＜v_th2和高移动性v≥v_th2三个等级；k₂₁、k₂₂、k₂₃是分别对应于三个等级移动性的k₂的值，且有0≤k₂₃＜k₂₂＜k₂₁≤1；

设与运动状态对应的可靠度参数为k₃，其中k₃∈[0，1]，k₃的具体定义为：

其中0≤k₃₂＜k₃₃＜k₃₁≤1是系统可以灵活设置的值；

设与背景历史记录对应的可靠度参数为k₄，对于每天或每周都有规律地在移动的节点，其k₄就较高；反之k₄就较低，k₄的具体定义为：

其中0≤k₄₂＜k₄₁≤1是系统可以灵活设置的值；

由上可得一个节点的可靠度参数k：

$k=\frac{w_1{k}_1+w_2{k}_2+w_3{k}_3+w_4{k}_4}{k_1+k_2+k_3+k_4}$

其中W_i是可靠度参数K_i的权值，且有 $\underset{i=1}{\overset{4}{\mathrm{\&Sigma;}}}{w}_i=1,$ w_i＞0；i＝1、2、3----，

当可靠度参数k在[k_th，1]时，表示节点适合作为中间节点转发数据；否则不适合作为中间节点转发数据。其中k_th为系统可以灵活定义的门限值。

3、根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于节点接入网络后，可信赖中心对节点可信度参数进行确定，这种确定具体包括两种报告：

I)来自本节点的错误报告；

II)来自网络中其它节点的报告；

当某节点被其邻居节点检测出它未严格按照协议规定执行时，可信赖中心会根据这两种错误报告将该节点的可靠度降低1个单位。

4、根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于融合网络安全路由的方法包括步骤：

A、节点接入网络后，基站和安全代理分别获得其可靠度参数和可信度参数；同时该节点定时更新本身的一跳路由表，

B、源节点发起路由请求，源节点和基站根据目标节点的位置选择一条或多条最优路径，

F、源节点收到路由回复消息，中间节点做好数据转发准备，

G、数据加密传输过程中，各节点对其上下级节点的行为进行监测，并对异常情况进行处理，

H、根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可信度参数。

5、根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于步骤B包括：

B1、源节点要转发数据时，首先查看自己的一跳路由表，若目标节点地址在一跳路由表中，这两个节点就直接通信，

B2、若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由回复消息，通知源节点用Ad hoc路由方式——采用基于节点位置更新的路由算法，与目标节点通信，

B3、若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将所有路径放在路由回复消息中发送给源节点。

6、根据权利要求5所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于步骤B2采用基于节点位置更新的路由算法，具体方法为：

在原有AODV+路由的基础上，节点定时查看自己的位置，再将当前位置和上一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新自己的路由，将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到达；更新自己到达自己路由表中所有其他节点的路由，同时也使得其他节点到自己的路由得到了更新；即这是一个利用节点位置的更新来优化AODV+的路由算法。

7、根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于步骤C中，中间节点做好数据转发准备，具体是指：中间节点解封装来自源节点的数据包，获悉其下一跳地址，同时纪录本次数据转发过程中的临时一跳路由表；其中，中间节点的临时一跳路由表表项中包括：本次通信的源节点，本次链路中的本节点的上一跳节点以及下一跳节点。

8、根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于对异常情况进行处理采用如下方法：

a.节点对其上下级节点的行为进行监测时，如果发现其邻居节点有不合理行为时，就向可信赖中心报告，

b.当可信赖中心得到多个节点对某一节点的怀疑报告时，就降低该节点的可信度，

c.当某一节点未按照协议规定执行时，主动通过基站向安全代理发送错误报告；这个错误报告是由该节点依靠其内部报警模块或是协议本身的固有代码触发发送的告警信息，

d.安全代理收到错误报告后，大幅度降低该节点的可信度；当该节点的可信度降到某个特定值时，它就不作为转发候选节点，

e.当该节点的可信度降为0时，就将其驱逐出网络，

f.如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对该链路上的中间节点进行二分法检测；检测完成后，基站和安全代理更新网络拓扑，包括可信度参数和可靠度参数的评估。

9、根据权利要求8所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于二分法检测的具体检测过程为：将链路均分为二，首先基站探测链路上正中间的节点是否可达；检测标准为：要求该中间节点提供临时一跳路由表的信息，如果该路由表信息正确，说明链路的前半段是可达的，链路故障发生在后半段；接着就将后半段再均分为二，得到下一个检测点，如果该路由表信息不正确，说明链路的前半段就不可达，链路故障就发生在前半段；接着就将前半段再均分为二，得到下一个检测点，以此类推，直到找到发生故障的那个中间节点。

Images