CN102131193A - 无线传感器网与计算机网融合网络的安全路由方法 - Google Patents

Abstract

本发明公开了一种无线传感器网与计算机网融合网络的安全路由方法，包括：将整个融合网络划分成若干个簇，每个簇包括每轮通信之前选择的一个簇头节点和若干成员节点；簇建立之后，汇聚节点通过广播路由发现包(Route-Find-Pkt)，启动并建立簇间节点的多跳多路径；所述簇头节点监听邻居簇头节点的转发行为，并根据监听结果调整邻居簇头节点的信任值，以及所述汇聚节点收集网络中各个簇头节点通报的信任值信息，实时对所述各个簇头节点的运行状态进行评估，并根据评估结果生成不同等级的通告消息，通告所述各个簇头节点。本发明在充分考虑安全因素的前提下，充分依托计算机网的信息处理能力，使得融合网络在能耗可承受的范围内能够有效地防御各种攻击。

Description

无线传感器网与计算机网融合网络的安全路由方法

技术领域

本发明涉及网络通信技术，特别涉及一种无线传感器网与计算机网融合网络的安全路由方法，用于解决网络面临的各种安全威胁，使网络可以为用户提供可靠的服务。

背景技术

WSN是集信息采集、信息传输和信息处理于一体的综合智能信息系统(如图1所示)。早在1999年，美国《商业周刊》就将“网络化的微型传感器技术”评为21世纪最重要的21项技术之一。2003年2月，美国《MIT技术评论》杂志将WSN列为未来改变世界的十大新兴技术之首。2003年8月出版的美国《商业周刊》杂志在其“未来技术专版”中发表文章指出，效用计算、无线传感、塑料电子学和仿生人体器官是全球未来的四大高技术产业，他们将掀起新的产业浪潮。美国《今日防务》杂志认为WSN的应用和发展，将引起一场划时代的军事技术革命和未来战争的变革。世界各国都非常重视WSN的发展。国际上较有代表性和影响力的研发项目有遥控战场传感器系统REMBSS(Remote Battlefield Sensor System，伦巴斯)、网络中心站及灵巧传感器网络、智能尘埃(smart dust)、Intel&reg、Mote、Smart-Its项目、SensIT、SenWeb、行为习性监控(Habitat Monitoring)项目、英国国家网格等。IEEE也在积极推进WSN应用和发展，美国波士顿大学专门成立了传感器网络协会(Sensor NetworkConsortium)以促进传感器网络技术的发展。

WSN的用户和管理者通常位于计算机网上。计算机网和WSN的通信体制有很大的不同，双方不能直接有效地互联互通。因此，大型化、综合化、扁平化的计算机网和小型化、多样化、移动化的无线传感器网的融合就成为当前学术界研究的热点问题。这两种网络代表未来信息网络发展的两大主流方向，其融合也是异构网络融合的典型模式。在异构网络采用不同协议栈的情况下，它们之间通过协议承载而不是协议转换实现彼此之间的互联，即是重叠方式。无线传感器网与计算机网之间的重叠方式可细分为两种：WSN over TCP/IP和TCP/IP overWSN。本发明即是基于WSN over TCP/IP网络提出的，如图2所示。

信息安全是异构融合网络必须关注的重要问题。路由机制为融合网络的互通提供了关键的路由服务，在融合网络大规模部署应用之前，必须解决融合网络的安全路由问题，构建异构网络间统一的安全路由协议框架，实现融合网络可信路由协议的无缝连接。

由于WSN节点资源严格受限，传统WSN路由协议主要研究如何在满足特定应用要求的网络指标(如延时、可靠性以及数据准确度等)下，尽可能以最小的能耗收集数据以节约能量，从而延长网络生存期。然而，由于WSN工作在一个开放、合作和高度任意的环境中，具有节点间链接脆弱、拓扑结构动态变化、身份认证缺乏、没有集中监控或管理点等特性，所以存在很多安全漏洞，容易引发多种类型的攻击，如Wormholes攻击、HELLO泛洪攻击等(如图3、图4所示)。这些攻击多集中在路由层、针对路由算法，严重时可能导致整个网络瘫痪。因此，安全路由协议的研究就成为WSN的一个重要研究方向，很多WSN安全路由算法相继提出，比如SPINS、INSENS、SLEACH、TRANS、RGR等。

无线传感器与计算机网络的融合，为实现安全的路由机制提供了新的平台。设计融合网络的路由协议时，可以充分依托计算机网的相对强大的计算和存储能力，将复杂的计算和控制功能推到计算机网一侧，从而实现低能耗、低成本、低开销需求同时又安全可靠的路由协议。目前大量的研究工作还集中在WSN路由协议本身，关于无线传感器网和计算机网融合的路由算法，已经开展的研究工作还不多。因此，本论文研究的无线传感器网和计算机网融合的安全路由机制，具有理论和前瞻性科研意义。

发明内容

本发明的目的是提供一种无线传感器网与计算机网融合网络的安全路由方法，用于针对基于WSN over TCP/IP覆盖技术的无线传感器网与计算机网的融合网络，在充分考虑安全因素的前提下，充分依托计算机网的信息处理能力，使得融合网络在能耗可承受的范围内能够有效地防御各种攻击。

本发明的无线传感器网与计算机网融合网络的安全路由方法包括以下步骤：

A)将整个融合网络划分成若干个簇，每个簇包括每轮通信之前选择的一个簇头节点和若干成员节点；

B)簇建立之后，汇聚节点通过广播路由发现包(Route-Find-Pkt)，启动并建立簇间节点的多跳多路径；

C)所述簇头节点监听邻居簇头节点的转发行为，并根据监听结果调整邻居簇头节点的信任值，以及所述汇聚节点收集网络中各个簇头节点通报的信任值信息，实时对所述各个簇头节点的运行状态进行评估，并根据评估结果生成不同等级的通告消息，通告所述各个簇头节点。

其中所述步骤A)包括以下步骤：

如果簇中有计算机节点，则将计算机节点选作簇中的簇头节点；

如果簇中没有计算机节点，则按以下方式从多个节点中选择簇头节点：

把按照簇头选择算法算出的且剩余能量大于能量阈值的节点选为备选簇头节点；

所有备选簇头节点向其通信范围内的节点发送含有节点ID、剩余能量、序列号和消息验证码的第一广播数据包A；

每个备选簇头节点根据收到的第一广播数据包A的报文构建自己的邻居簇头表；

非备选簇头节点将收到的第一广播数据包A中的节点ID对应节点写入自己的备选簇头集合中；

然后所有备选簇头节点通过计算自己以及邻居簇头表中的邻居簇头的当选权重，选举权重最大的一个备选簇头节点为簇头节点。

其中，所述步骤A)还包括以下步骤：

未选举自己为簇头节点的备选簇头节点创建一个含有本节点ID、最大权重节点ID的用于声明取消自己作为簇头节点的第二广播数据包B；

收到第二广播数据包B的非簇头节点从自己的备选簇头集合中删除声明取消自己作为簇头节点的那个备选簇头节点，其中如果所述非簇头节点的备选簇头集合为空且满足能量要求，则选择该非簇头节点为簇头节点并发送第一广播数据包A；

收到第二广播数据包B的簇头节点则更新自己的邻居簇头表，从中删除即将声明取消自己作为簇头节点的哪个备选簇头节点，同时将第二数据包B中最大权重节点ID对应的节点递增1。

其中，所述步骤A)还包括以下步骤：

非簇头节点作为成员节点，在其备选簇头集合中选择权重最大的节点为簇头，并向簇头发送一个加入请求信息，然后等待簇头的传输时间安排；

簇头节点收到所述加入请求消息后，建立TDMA传输时间安排，然后发送第三广播数据包C给所有成员节点。

其中，所述路由发现包Route-Find-Pkt包含转发该包的节点ID字段、跳数字段、路径最小剩余能量字段、路径信任值字段、代表网络运行轮次的包编号字段和消息验证码字段。

其中，簇头节点收到所述路由发现包后，核查包编号字段和消息验证码字段，以检验该包的真实性，包括；

在其邻居簇头表中查找和路由发现包中节点ID对应的邻居节点记录；

如果该条记录的包编号字段大于路由发现包中的编号，则丢弃该包；

如果小于路由发现包中的编号，则更新邻居簇头表对应的记录；

如果等于路由发现包中编号，则确定路径。

其中，更新邻居簇头表对应的记录包括：

将路由发现包中的包编号字段、路径最小剩余能量字段以及跳数字段写入邻居簇头表的相应表项中；

按下式算出新路径信任值T_path，并用新路径信任值T_path更新邻居簇头表中的原路径信任值字段：

$T_{\mathrm{path}}=\left\{\begin{array}{c}\frac{T_{\mathrm{node}}+{T^{\′}}_{\mathrm{path}}}{2},\mathrm{if}{T}_{\mathrm{node}}>T_{\mathrm{th}}\mathrm{and}{T^{\′}}_{\mathrm{path}}>T_{\mathrm{th}}\\ \min (T_{\mathrm{node}},{T^{\′}}_{\mathrm{path}}),\mathrm{else}\end{array}\right.---\left(6\right)$

式中T_path为新求得的路径信任值，代表通过该邻居簇头节点转发数据包的可靠性；T_node为节点对该邻居节点的信任度；T′_path为数据包中的路径信任值；T_th为信任门限。

其中确定路径的步骤包括：

如果路由发现包中所列路径跳数小于邻居簇头表中的路径跳数，则用路由发现包中所列跳数更新邻居簇头表的对应记录；

如果路由发现包中所列路径跳数等于邻居簇头表中的路径跳数，并且通过路径权重计算确定路由发现包提供的路径权重大，则用路由发现包中所列信息更新邻居簇头表的对应记录；

如果路由发现包中所列路径跳数大于邻居簇头表中的路径跳数，则丢弃该路由发现包。

其中，当簇头节点确定其首选路由改变时，生成并转发新的路由发现包。

其中步骤C)包括以下步骤：

簇头节点监听邻居簇头节点的转发行为，如果邻居簇头节点转发成功，则增加其信任值，如果邻居簇头节点转发失败，则降低其信任值，由此得到直接信任值；

簇头节点将通过监听得到的邻居簇头节点的直接信任值通报给汇聚节点，汇聚节点通过分析会检测出信任值偏低的节点或者恶意节点，如果发现信任值偏低节点，就发送信任值通告给簇头节点，如果发现恶意节点，就发送排除通告给簇头节点；

簇头节点收到信任值通告，就把监听得到的直接信任值与通过信任值通告得到的间接信任值综合，得到新的邻居簇头节点信任值，然后根据该信任值接受或拒绝该邻居簇头以后的请求加入请求；

簇头节点收到排除通告，以后直接拒绝该节点的所有请求，并将该通告转发给其簇成员节点。

本发明具有以下优点：

1、将一种轻量级的密钥管理体制CPK技术引进融合网络，以此保证节点身份的真实性以及数据的机密性、完整性和来源真实性。

2、在簇头的选举过程中充分考虑节点类型、剩余能量和节点的信任度因素，并引进簇头调整过程，可以保证簇数量的稳定性和簇头节点位置分布的均匀性，均衡网络的能耗，进一步延长网络的生存期。

3、簇间通信采用多跳多路径。多路径的建立既考虑了跳数和节点剩余能量，又考虑了节点信任度。多跳多路径不但能够扩大网络的规模，而且能够有效的抵御选择性转发攻击，从而保证数据传输的可靠性。另外，多路径的数据传输模式也激励节点尽量为网络提供优质的服务，这就进一步抑制了恶意节点的破坏行为。

4、在融合网络中引进节点信任值的概念，并设计了一种轻量级的融合网络集中式信任控制机制。信任值为安全有效地使用网络资源提供了可参考的指标，而信任控制机制主要是用来监测节点的转发行为的，恶意节点将会很快被监测出来并被排除在网络之外。

附图说明

图1是无线传感器网与计算机网融合网的示意图

图2是WSN overTCP/IP示意图；

图3是W ormholes攻击示意图；

图4是HE LLO泛洪攻击示意图；

图5是显示本发明的无线传感器网与计算机网融合网络的安全路由方法的示意图；

图6是本发明方法所用的广播包A示意图；

图7是本发明方法所用的邻居簇头表的示意图；

图8是本发明方法所用的广播包B的示意图；

图9是本发明方法所用的Join-REQ消息的示意图；

图10是本发明方法所用的广播包C的示意图；

图11是本发明方法的SECCN簇头选择算法流程图；

图12是本发明方法的发现数据包Route-Find-Pkt的示意图；

图13是本发明方法的多路径建立流程图

具体实施方式

图5显示了本发明的无线传感器网与计算机网融合网络的安全路由方法，包括以下步骤：

A)将整个融合网络划分成若干个簇，每个簇包括每轮通信之前选择的一个簇头节点和若干成员节点；

B)簇建立之后，汇聚节点通过广播路由发现包(Route-Find-Pkt)，启动并建立簇间节点的多跳多路径；

C)所述簇头节点监听邻居簇头节点的转发行为，并根据监听结果调整邻居簇头节点的信任值，以及所述汇聚节点收集网络中各个簇头节点通报的信任值信息，实时对所述各个簇头节点的运行状态进行评估，并根据评估结果生成不同等级的通告消息，通告所述各个簇头节点。

其中所述步骤A)包括：如果簇中有计算机节点，则将计算机节点选作簇中的簇头节点；如果簇中没有计算机节点，则按以下方式从多个节点中选择簇头节点：

把按照簇头选择算法算出的且剩余能量大于能量阈值的节点选为备选簇头节点；

所有备选簇头节点向其通信范围内的节点发送含有节点ID、剩余能量、序列号和消息验证码的第一广播数据包A；

每个备选簇头节点根据收到的第一广播数据包A的报文构建自己的邻居簇头表；

非备选簇头节点将收到的第一广播数据包A中的节点ID对应节点写入自己的备选簇头集合中；

然后所有备选簇头节点通过计算自己以及邻居簇头表中的邻居簇头的当选权重，选举权重最大的一个备选簇头节点为簇头节点。

其中，所述步骤A)还包括：未选举自己为簇头节点的备选簇头节点创建一个含有本节点ID、最大权重节点ID的用于声明取消自己作为簇头节点的第二广播数据包B；收到第二广播数据包B的非簇头节点从自己的备选簇头集合中删除声明取消自己作为簇头节点的那个备选簇头节点，其中如果所述非簇头节点的备选簇头集合为空且满足能量要求，则选择该非簇头节点为簇头节点并发送第一广播数据包A；收到第二广播数据包B的簇头节点则更新自己的邻居簇头表，从中删除即将声明取消自己作为簇头节点的哪个备选簇头节点，同时将第二数据包B中最大权重节点ID对应的节点递增1。

其中，所述步骤A)还包括：非簇头节点作为成员节点，在其备选簇头集合中选择权重最大的节点为簇头，并向簇头发送一个加入请求信息，然后等待簇头的传输时间安排；簇头节点收到所述加入请求消息后，建立TDMA传输时间安排，然后发送第三广播数据包C给所有成员节点。

其中，所述路由发现包Route-Find-Pkt包含转发该包的节点ID字段、跳数字段、路径最小剩余能量字段、路径信任值字段、代表网络运行轮次的包编号字段和消息验证码字段。

其中，簇头节点收到所述路由发现包后，核查包编号字段和消息验证码字段，以检验该包的真实性，包括；在其邻居簇头表中查找和路由发现包中节点ID对应的邻居节点记录；如果该条记录的包编号字段大于路由发现包中的编号，则丢弃该包；如果小于路由发现包中的编号，则更新邻居簇头表对应的记录；如果等于路由发现包中编号，则确定路径。

其中，更新邻居簇头表对应的记录包括：将路由发现包中的包编号字段、路径最小剩余能量字段以及跳数字段写入邻居簇头表的相应表项中；按下式算出新路径信任值T_path，并用新路径信任值T_path更新邻居簇头表中的原路径信任值字段：

$T_{\mathrm{path}}=\left\{\begin{array}{c}\frac{T_{\mathrm{node}}+{T^{\′}}_{\mathrm{path}}}{2},\mathrm{if}{T}_{\mathrm{node}}>T_{\mathrm{th}}\mathrm{and}{T^{\′}}_{\mathrm{path}}>T_{\mathrm{th}}\\ \min (T_{\mathrm{node}},{T^{\′}}_{\mathrm{path}}),\mathrm{else}\end{array}\right.---\left(6\right)$

式中T_path为新求得的路径信任值，代表通过该邻居簇头节点转发数据包的可靠性；T_node为节点对该邻居节点的信任度；T′_path为数据包中的路径信任值；T_th为信任门限。

其中确定路径的步骤包括：如果路由发现包中所列路径跳数小于邻居簇头表中的路径跳数，则用路由发现包中所列跳数更新邻居簇头表的对应记录；如果路由发现包中所列路径跳数等于邻居簇头表中的路径跳数，并且通过路径权重计算确定路由发现包提供的路径权重大，则用路由发现包中所列信息更新邻居簇头表的对应记录；如果路由发现包中所列路径跳数大于邻居簇头表中的路径跳数，则丢弃该路由发现包。当簇头节点确定其首选路由改变时，生成并转发新的路由发现包。

其中步骤C)包括：簇头节点监听邻居簇头节点的转发行为，如果邻居簇头节点转发成功，则增加其信任值，如果邻居簇头节点转发失败，则降低其信任值，由此得到直接信任值；簇头节点将通过监听得到的邻居簇头节点的直接信任值通报给汇聚节点，汇聚节点通过分析会检测出信任值偏低的节点或者恶意节点，如果发现信任值偏低节点，就发送信任值通告给簇头节点，如果发现恶意节点，就发送排除通告给簇头节点；簇头节点收到信任值通告，就把监听得到的直接信任值与通过信任值通告得到的间接信任值综合，得到新的邻居簇头节点信任值，然后根据该信任值接受或拒绝该邻居簇头以后的请求加入请求；簇头节点收到排除通告，以后直接拒绝该节点的所有请求，并将该通告转发给其簇成员节点。

下面结合附图对本发明提出的基于分簇的安全路由方法SECCN进行详细说明。SECCN引入基于身份(标识)的密钥生成与管理体制CPK，在CPK体制下构建的融合网络中的节点，在通信之前到安全服务器以现场接触的方式获取自己的私钥、公钥矩阵、标识映射算法以及使用的椭圆曲线的一系列参数。这相当于将私钥和该网络中所有节点的公钥一次性发放给了每个节点，接收数据的节点可以根据收到的数据包源ID计算其公钥。CPK体制的一个重要优点在于可以容易的实现新节点的加入，使网络获得了很好的可扩展性。新节点只需要到安全服务器获取自己的私钥、公钥矩阵、标识映射算法以及使用的椭圆曲线的一系列参数即可获得加入网络的资格。其他节点不需要额外的通信开销，可以根据新节点的节点ID，方便地获得它的公钥。

一、簇头选择算法

SECCN采用分布式算法进行分簇，不需要任何中心控制。每轮开始时，节点选择一个0到1之间的随机数，如果随机数小于阀值T(n)，那么该节点成为当前轮的备选簇头节点。阀值T(n)定义如下(该定义同LEACH的选举算法)：

$T\left(n\right)=\left\{\begin{array}{cc}\frac{p}{1-p(r\mathrm{mod}1/p)}& \mathrm{ifn}\∈G\\ 0& \mathrm{otherwise}\end{array}\right.---\left(1\right)$

p为簇头节点在所有节点中所占百分比的期望值；r为当前选举的轮数；G是在最近1/p轮中没有当选过簇头的节点集合。该算法保证每个节点都会在1/p轮中当选一次簇头。为了避免能量过低的节点被选为簇头，SECCN对簇头的能量条件作出限制：只有剩余能量大于阀值的节点才有资格成为簇头。能量阀值的计算公式如下：

$E_{\mathrm{th}}=E_0(1-\frac{r}{n})---\left(2\right)$

其中，n为无线传感器网络的预期运行轮次；E₀为节点初始能量；E_th为第r轮的簇头节点能量门限。融合网络中的虚节点(承载WSN协议的计算机节点)不需要执行簇头选择运算，只要节点在工作状态，就直接决定自己成为簇头。

之后网络进入簇头竞争调整过程，该过程的执行，在很大程度上实现簇头节点数量的稳定性和簇头节点位置分布均匀性。

节点成为备选簇头后，就向其通信范围内的节点发送广播包A，数据包格式如图6。广播包A中含有节点ID、剩余能量、序列号以及验证码MAC字段。序列号字段标明当前运行的轮次，防止重放攻击。验证码MAC字段是这样得到的：首先，备选簇头节点用杂凑函数对数据包进行散列处理，生成散列码(或者成为消息摘要MD)，表述为MD＝H(message)；然后，节点用自己的私钥SK对生成的MD进行签名，得到消息认证码MAC，这个过程表述为MAC＝SIGSKR(MD)。

每个备选簇头节点根据收到的广播报文构建自己的邻居簇头表，如图7。

首先，备选簇头节点将广播报文的节点ID、剩余能量、本节点对它的信任度写入邻居簇头表，初始化C_ch＝0，根据接收信号强度估算与邻居节点的距离，若距离小于指定距离L，则该节点和它是紧密节点。

$L=\mathrm{\φ}\sqrt{\frac{1}{\mathrm{\πK}}M}---\left(3\right)$

式中M为覆盖区域的边长(假设为正方形)；K为簇头节点数；φ是调整因子，保证均匀分布的K个簇刚好覆盖整个观测区域。

非簇头节点收到广播报文，则将该簇头节点加入自己的备选簇头集合中。虚节点总是直接作为簇头节点，并不需要参与如下的簇头调整过程。而普通传感器节点，则进入如下的调整流程：

1、备选簇头节点计算自己的紧密邻居个数n。若n＝0，则转4；若n＞0，则根据下式计算其紧密邻居节点的当选权重：

$W_{\mathrm{pch}}=x\×\frac{E_r}{E_{\mathrm{node}}}+y\×\frac{T_{\mathrm{node}}}{\mathrm{\Σ}{T}_{\mathrm{node}}}+C_{\mathrm{ch}}---\left(4\right)$

式中，E_node为节点初始能量，∑T_node为所有紧密邻居节点的信任度之和；x，y为引入的权重因子，且x、y∈[0，1]。通过计算可得到每个节点的当选权重，选出其中权重最大的节点，将其ID填入取消簇头声明广播包B。如果权重最大节点是本节点，则不需创建广播包B，广播包B格式如图8。然后，节点在(0，T1)时间区间，随机退避一段时间后，将数据包发送出去，这是取消自己作为簇头节点的声明。

2、收到声明的非簇头节点将声明取消的节点从自己的备选簇头集合中删除。收到声明的簇头节点则更新自己的邻居簇头表，即将该节点从邻居簇头表中删除，同时将B中最大权重节点ID对应的节点C_ch＝C_ch+1。查看自己的当前紧密邻居节点数z，若z＝0，或者z＞0但v＝1，则转4；否则转1，继续执行竞争过程，所不同的是，随机退避的时间限制在(T′，T1)的区间内，T′为当前时间。

3、在时刻T1，非簇头节点检查自己的备选簇头集合。若该集合为空，说明需补充簇头节点。如果该节点满足公式(2)的能量要求，则在(T1，T2)区间内随机选择一个时刻广播自己当选簇头节点的通告，若在退避等待过程中收到其他节点的通告，则放弃发送，将该节点加入自己的备选簇头集合中。

4、在时刻T2，簇头节点的选择工作已经完成。各非簇头节点在其备选簇头节点集合中，按公式(5)找出权重最大者作为自己的簇头节点：

$W_{\mathrm{ch}}=\mathrm{\α}\×\frac{E_r}{E_{\mathrm{node}}}+\mathrm{\β}\×\frac{T_{\mathrm{node}}}{\mathrm{\Σ}{T}_{\mathrm{node}}}+\mathrm{\δ}\×\frac{d(\mathrm{node},\mathrm{CH})}{D_{n-\mathrm{ch}}}---\left(5\right)$

式中d(node，CH)为该节点到簇头的距离；D_n-ch为常数，是允许的节点到簇头距离的最大值；α、β、δ为权重因子，且α+β+δ＝1，且α、β、δ∈[0，1]，具体取值根据应用环境决定，通常δ的取值要大于α和β。

非簇头节点向选定的簇头发送Join-REQ消息(如图9)，请求加入该簇。Join-REQ消息携带一个随机数nonce，簇头的确认消息必须携带同样的数值才会被该节点接受为簇头。

5、簇头节点对每一个Join-REQ消息都需要立即回送确认，这种双向认证可以有效防止Hello攻击。非簇头节点在预定的时间内没有收到确认消息，就可以选择其他簇头节点了。簇头节点接收完所有的Join-REQ消息后，基于成员节点的数目，建立起本簇的TDMA传输时间安排(TDMA调度中留有下行时隙，用于簇头节点发出反向通告)，并用广播的形式发送到簇内所有的节点，广播包的格式如图10所示。密钥交换字段可以在簇头和成员节点之间建立共享密钥。

6、簇内所有节点获悉其TDMA传输时间安排后，就完成了簇头选择过程。网络进入簇间多路径路由建立阶段。

图11说明了簇头选择算法流程。

二、多路径路由建立算法

簇建立之后，汇聚节点广播路由发现包Route-Find-Pkt，启动多路径建立过程。虚节点虽然也运行融合网络的SECCN协议，但其协议栈其实是被作为应用承载在计算机网协议之上，计算机网以隧道的形式实现虚节点之间的数据传输功能，因此虚节点和汇聚节点总是被看成是邻居节点。汇聚节点除了广播Route-Find-Pkt包之外，还将其直接发送给每个虚节点。

Route-Find-Pkt包格式如图12所示。类型字段标志包的类型；ID为转发该包的节点ID；Hop为该路径到汇聚节点的跳数，汇聚节点发送Route-Find-Pkt时将其初始化为1；E_path代表该路径上能量最小节点的剩余能量，汇聚节点发出的包总是将此字段初始化为E₀(节点的初始能量)；路径信任值T_path代表该路径的可信赖的程度；包编号Num-Pkt代表网络运行的轮次，唯一地标志一次多路径建立过程，这个字段抵御防止恶意节点重放以前的Route-Find-Pkt数据包；MAC包括两部分：一部分是汇聚节点对包编号Num-Pkt生成的验证码，它在整个路由建立过程中保持不变；二是转发节点对自己的节点ID生成的验证码，这是为了保证数据包的来源真实性。

汇聚节点将该包传给它通信范围内的簇头节点，并通过簇头节点的转发，到达每个簇头节点，收到Route-Find-Pkt的簇头节点，进入以下的处理流程：

1、核查Num-Pkt字段和MAC字段，检验该包的真实性并防止恶意节点的重放攻击。在邻居簇头表中，找到和包中节点ID对应的邻居节点记录。如果该条记录的包编号字段Num-Pkt大于数据包中的编号，则丢弃该包；若小于包中的编号，则转2；若等于包中编号，则转3。

2、更新邻居簇头表的对应记录。将Route-Find-Pk的包编号Num-Pkt、路径最小剩余能量E_path以及Hop写入相应表项(即，邻居簇头表的邻居节点记录的相应表项)；路径信任值字段T_path按式(6)更新(新的T_path也写入邻居节点记录的相应表项)：

$T_{\mathrm{path}}=\left\{\begin{array}{c}\frac{T_{\mathrm{node}}+{T^{\′}}_{\mathrm{path}}}{2},\mathrm{if}{T}_{\mathrm{node}}>T_{\mathrm{th}}\mathrm{and}{T^{\′}}_{\mathrm{path}}>T_{\mathrm{th}}\\ \min (T_{\mathrm{node}},{T^{\′}}_{\mathrm{path}}),\mathrm{else}\end{array}\right.---\left(6\right)$

式中T_path为新求得的路径信任值，代表通过该邻居簇头节点转发数据包的可靠性；T_node为节点对该邻居节点的信任度；T′_path为数据包中的路径信任值；T_th为信任门限，一般认为，信任值小于该门限的路径是不可靠的。然后转4。

3、若包中所列路径Hop值更小，则更新该条记录(比如，包中的跳数为3，而邻居簇头表中表明通过该邻居到汇聚节点的跳数为4，那么就把邻居簇头表中的跳数值改为3)；若相等，根据路径权重公式(7)计算包中所提供的路径和表中所列路径的权重(包中所列路径的T_path需按式(6)计算)，如果包中路径的权重更大，则更新对应记录(比如，在包编号相同的时候，首先看看包中的跳数是否更优(就是更小)，如果跳数相同，则计算权重(权重综合了信任值，路径最小剩余能量信息)，权重大，说明路径好。如果包的权重大于记录中的权重，则更新记录，此时实际上更新的是Tpath和Epath两个数据项)；其余情况丢弃该包。

式中

η为权重因子，且满足

η∈[0，1]，

4、虚节点仅仅转发汇聚节点发送给它的Route-Find-Pkt包，对其他簇头节点转发的Route-Find-Pkt不做转发处理。普通的簇头节点根据自己的首选路由(首选路由稍后介绍)是否改变来决定是否生成新的Route-Find-Pkt并转发(如果首选路由改变，则生成新的Route-Find-Pkt并转发；如果首选路由未变，则不需要转发路由发现包。节点不需要做任何处理)。包的生成规则是，将首选路由的各个字段修改后填入数据包：节点ID为本节点的ID；Hop取值为记录中Hop+1；E_path字段取本节点剩余能量和记录中E_path二者的较小者；T_path字段取记录中的值。

多路径建立流程如图13所示。

通过以上的过程，多路径的建立已经完成。每个簇头节点将其邻居簇头分为四类：一是虚节点；二是比该节点到汇聚节点跳数少1的节点；三是与该节点到汇聚节点跳数相同的节点；四是比自己到汇聚节点跳数多1的节点。通信所用的路由(其实就是选择下一跳的问题)基本是依照邻居簇头节点分类的顺序依次选择的。对于同类节点，则按照权重公式(7)来决定其排序。比如，对于有虚节点为邻居的簇头，总是将虚节点作为自己的首选路由。

当簇头节点有数据要发送时，按照公式(8)计算邻居簇头表中节点的选择概率，式中η的取值同式(7)。

簇头选择出下一跳后就将数据发送出去。邻居节点收到后，根据其上一跳节点的信任值决定是否为其提供转发服务：若T_node＞＝T_forward，则为其提供转发服务，并回送确认信息；若T_node＜T_forward，则以概率P(公式(9))为其提供转发服务，并回送确认或拒绝消息。T_forward称之为转发信任值门限，μ为概率调整因子。若源节点收到的是拒绝回执，则在其邻居簇头表剩余邻居节点中选择下一跳进行发送。

$P={\left(\frac{T_{\mathrm{node}}}{T_{\mathrm{forward}}}\right)}^{\mathrm{\μ}}---\left(9\right)$

之所以采用以上的转发策略，是因为节点总是倾向于使用最优的路径，占用最优的网络资源，但低信任值的节点具有不可靠性，网络不应该也为它提供最优的资源，同时考虑到造成节点低信任值的原因很多，完全不为其提供服务也不可取，故以一定的概率为其提供转发服务。这样做的另一个好处是，限制了节点的不良行为，鼓励其为别的节点提供好的服务以提高自己的信任值，达到多路径路由服务激励的效果。

三、集中式信任控制机制

融合网络中每个节点都需要维护它的邻居节点的信任值，该信任值在节点选择簇头以及选择下一跳时可以作为选取的一个依据。汇聚节点并不拥有全局所有节点的信任值，但在网络的运行过程中，信任控制机制的很多运算是在汇聚节点上运行的，从这个意义上说，这是一种集中式信任控制机制。该机制是为了充分依托计算机节点的计算能力，来实现网络的安全性。信任值更新方式有以下3种：

1、信任值初始化：信任值的取值是0到100之间的正数，0代表完全不可信，100代表完全可信。在网络布设之初，每个节点都把它的邻居节点的信任值初始化为100。对于在网络运行过程中新加入的节点，其初始信任值可以适当调低，比如可以设定为70，这是考虑到入侵者可能通过合法的手段进入网络。

2、监听更新方式：数据传输过程中，簇头可以一直监听其下游簇头节点的转发行为。但为节省能量，可以适当减少监听的次数，比如周期性的执行监听或者随机性的执行监听。SECCN采用随机监听的策略，节点随机选择时机监听其下游节点的转发行为，这样可以避免恶意节点根据监听周期采取有计划的转发。本协议采用以下信任值更新算法：

若节点监听到其邻居正确转发了一个数据包，那么就将该邻居的信任值加λ；

$T_{\mathrm{new}}=\left\{\begin{array}{cc}{T}_{\mathrm{old}}+\mathrm{\&lambda;}& \mathrm{if}{T}_{\mathrm{old}}+\mathrm{\&lambda;}<100\\ 100& \mathrm{else}\end{array}\right.---\left(10\right)$

若监测到邻居节点在返回ACK之后，并没有转发数据包或者将数据包转发给错误的下一跳，就将该邻居节点的信任值减去θ(θ＞λ)。

$T_{\mathrm{new}}=\left\{\begin{array}{cc}{T}_{\mathrm{old}}-\mathrm{\&theta;}& \mathrm{if}{T}_{\mathrm{old}}-\mathrm{\&theta;}>100\\ 0& \mathrm{else}\end{array}\right.---\left(11\right)$

θ和λ的设置必须根据网络应用的背景设置合理的数值，既能较早排除可疑节点，又不至于将正常的节点误判为可可疑节点。如果θ定的太高，在可疑节点较早的被排除在网络之外的同时，正常节点也可能由于暂时的网络条件恶化而被排除。相反，如果λ定的太高，则可能迟迟检测不到恶意节点，从而使恶意节点对网络造成更大的破化。一般而言，θ取值要大于λ。具体应用时θ和λ可以根据不同情况设置不同的值，比如，如果监测到节点是将数据包转发给错误的下一跳，则可以减去较大的θ。因为这种情况下，该节点极有可能是恶意节点。

3、汇聚节点通告方式

簇头节点既要负责本簇内数据的收集、融合与发送，又要负责转发其他簇的数据分组，它被攻击者成功俘获所造成的损失要比成员节点被俘获大得多。因此，SECCN要求汇聚节点掌握网络中所有簇头的信任值信息。在稳定阶段的数据传输过程中，各个簇头节点需要将其邻居簇头的信任值情况通报给汇聚节点。为了最大程度地减小通信的数据量，簇头节点不必周期性发出通告，而只是当某个邻居簇头的信任值改变量超过一定门限值时，才告知汇聚节点。汇聚节点实时对各个簇头的运行状态进行评估，经过分析会检测出某些簇头节点的信任值偏低或者是恶意节点。这种情况下，汇聚节点就会发出不同等级的通告消息给各个簇头，簇头再将该消息转发给成员节点。比如，如果某节点在连续m轮中都担当簇头，那么汇聚节点会判断该节点为恶意节点。本文中的通告消息分为两级，第一级为信任值通告(Trust ValueNotice)，第二级为排除通告(Eliminate Notice)。

一个节点在收到信任值通告消息时，更新通告中节点的信任值。这样，信任值就是直接信任值和间接信任值的综合，直接信任就是本节点通过自己监听所获得的信任值，间接信任值就是通过汇聚节点通告所获得的信任值。更新规则如下：

T_{B_A}＝ω_D×DT_{B_A}+ω_I×IT_{B_A}    (12)

式中，T_{B_A}表示B对A的信任值；DT_{B_A}是B对A的直接信任值；IT_{B_A}是B对A的间接信任值(也就是汇聚节点的通告的信任值)：ω_D和ω_I为权重因子，ω_D、ω_I∈[0，1]且ω_D+ω_I＝1。ω_D和ω_I的取值反映了节点对两种信任值的重视程度。

节点在收到排除通告消息时，直接将通告中的节点排除在网络之外。在网络以后的运行过程中，无论收到该节点声称簇头的消息还是请求加入簇的消息，都做丢弃处理。

一般认为，一个节点的信任值降低到0，就不再可信，需要从网络中将其剔除，从而避免该恶意节点进一步对网络造成破坏。正常节点也可能会因暂时的网络拥塞而丢弃数据包。当正常节点从网络拥塞等问题中恢复过来时，它仍然可以为网络提供安全的转发服务，从而提升自己的信任值。如果一个节点长期处于不正常的网络状态，也会被误判为恶意节点。但总的看来，正常节点从网络中被剔除的可能性是较小的。

综上所述，本发明可以概括为具有以下特点：

SECCN引入基于身份(标识)的密钥生成与管理体制CPK，主要由三部分组成：簇头选择算法、多路径路由建立算法、集中式信任控制机制。

在CPK体制下构建的融合网络中的节点，在通信之前到安全服务器以现场接触的方式获取自己的私钥、公钥矩阵、标识映射算法以及使用的椭圆曲线的一系列参数。这相当于将私钥和该网络中所有节点的公钥一次性发放给了每个节点，接收数据的节点可以根据收到的数据包源ID计算其公钥。

簇头选择算法：SECCN将整个网络划分成若干个簇，每个簇由1个簇头节点和若干成员节点(非簇头节点)组成。SECCN中定义了“轮”(round)概念，每一轮分为2个阶段，即路由建立阶段(包括簇头选择和多路径路由建立)和稳定状态阶段。每一轮结束需要重新选择簇头，为了减少分簇带来的额外能耗，稳定状态阶段的时间要远远长于路由建立阶段。首先，各个节点采用分布式算法进行分簇，节点自行决定是否要在本轮通信中担任簇头。然后，网络进入簇头调整过程，以此保证簇头数量的稳定性和簇分布均匀性。

多路径路由建立算法：簇建立之后，汇聚节点广播路由发现包Route-Find-Pkt，启动多路径建立过程。SECCN簇头之间采取多跳通信的方式，在簇间建立起到汇聚节点的多路径路由。这一方面可以减少单个节点能耗，平衡网络负载，有效避免某些簇头节点因距离汇聚节点较远无法通信或者过早死亡，从而延长网络的生存周期；另一方面，当一条路由遭到破坏后，多路径路由允许选择另外一条路由来传送消息，这就大大减弱了选择性转发攻击的效果，因为攻击者必须破坏网络内部更多的合法节点，控制每条路径。

集中式信任控制机制：融合网络中每个节点都需要维护它的邻居节点的信任值，该信任值在节点选择簇头以及选择下一跳时可以作为选取的一个依据。汇聚节点并不拥有全局所有节点的信任值，但在网络的运行过程中，信任控制机制的很多运算是在汇聚节点上运行的，从这个意义上说，这是一种集中式信任控制机制。该机制是为了充分依托计算机节点的计算能力，来实现网络的安全性。信任值更新方式有3种，即信任值初始化设置、监听更新的方式、汇聚节点通告的方式。

本发明具有以下优点：

1、将一种轻量级的密钥管理体制CPK技术引进融合网络，以此保证节点身份的真实性以及数据的机密性、完整性和来源真实性。

2、在簇头的选举过程中充分考虑节点类型、剩余能量和节点的信任度因素，并引进簇头调整过程，可以保证簇数量的稳定性和簇头节点位置分布的均匀性，均衡网络的能耗，进一步延长网络的生存期。

3、簇间通信采用多跳多路径。多路径的建立既考虑了跳数和节点剩余能量，又考虑了节点信任度。多跳多路径不但能够扩大网络的规模，而且能够有效的抵御选择性转发攻击，从而保证数据传输的可靠性。另外，多路径的数据传输模式也激励节点尽量为网络提供优质的服务，这就进一步抑制了恶意节点的破坏行为。

4、在融合网络中引进节点信任值的概念，并设计了一种轻量级的融合网络集中式信任控制机制。信任值为安全有效地使用网络资源提供了可参考的指标，而信任控制机制主要是用来监测节点的转发行为的，恶意节点将会很快被监测出来并被排除在网络之外。

符号说明：WSN：无线传感器网络；SECCN：融合网络基于分簇的安全路由协议(SEcurerouting protocol based on Clustering for Convergence Networks；CPK：基于身份(标识)的密钥生成与管理体制；ID：身份或标识；MAC：消息验证码。

Claims (10)

1.一种无线传感器网与计算机网融合网络的安全路由方法，包括以下步骤：

A)将整个融合网络划分成若干个簇，每个簇包括每轮通信之前选择的一个簇头节点和若干成员节点；

B)簇建立之后，汇聚节点通过广播路由发现包(Route-Find-Pkt)，启动并建立簇间节点的多跳多路径；

C)所述簇头节点监听邻居簇头节点的转发行为，并根据监听结果调整邻居簇头节点的信任值，以及所述汇聚节点收集网络中各个簇头节点通报的信任值信息，实时对所述各个簇头节点的运行状态进行评估，并根据评估结果生成不同等级的通告消息，通告所述各个簇头节点。

2.根据权利要求1所述的方法，其中所述步骤A)包括：

如果簇中有计算机节点，则将计算机节点选作簇中的簇头节点；

如果簇中没有计算机节点，则按以下方式从多个节点中选择簇头节点：

把按照簇头选择算法算出的且剩余能量大于能量阈值的节点选为备选簇头节点；

所有备选簇头节点向其通信范围内的节点发送含有节点ID、剩余能量、序列号和消息验证码的第一广播数据包A；

每个备选簇头节点根据收到的第一广播数据包A的报文构建自己的邻居簇头表；

非备选簇头节点将收到的第一广播数据包A中的节点ID对应节点写入自己的备选簇头集合中；

然后所有备选簇头节点通过计算自己以及邻居簇头表中的邻居簇头的当选权重，选举权重最大的一个备选簇头节点为簇头节点。

3.根据权利要求2所述的方法，其中所述步骤A)还包括：

未选举自己为簇头节点的备选簇头节点创建一个含有本节点ID、最大权重节点ID的用于声明取消自己作为簇头节点的第二广播数据包B；

收到第二广播数据包B的非簇头节点从自己的备选簇头集合中删除声明取消自己作为簇头节点的那个备选簇头节点，其中如果所述非簇头节点的备选簇头集合为空且满足能量要求，则选择该非簇头节点为簇头节点并发送第一广播数据包A；

收到第二广播数据包B的簇头节点则更新自己的邻居簇头表，从中删除即将声明取消自己作为簇头节点的哪个备选簇头节点，同时将第二数据包B中最大权重节点ID对应的节点递增1。

4.根据权利要求3所述的方法，其中所述步骤A)还包括：

非簇头节点作为成员节点，在其备选簇头集合中选择权重最大的节点为簇头，并向簇头发送一个加入请求信息，然后等待簇头的传输时间安排；

簇头节点收到所述加入请求消息后，建立TDMA传输时间安排，然后发送第三广播数据包C给所有成员节点。

5.根据权利要求1所述的方法，其中所述路由发现包包含转发该包的节点ID字段、跳数字段、路径最小剩余能量字段、路径信任值字段、代表网络运行轮次的包编号字段和消息验证码字段。

6.根据权利要求5所述的方法，其中簇头节点收到所述路由发现包后，核查包编号字段和消息验证码字段，以检验该包的真实性，包括；

在其邻居簇头表中查找和路由发现包中节点ID对应的邻居节点记录；

如果该条记录的包编号字段大于路由发现包中的编号，则丢弃该包；

如果小于路由发现包中的编号，则更新邻居簇头表对应的记录；

如果等于路由发现包中编号，则确定路径。

7.根据权利要求6所述的方法，其中更新邻居簇头表对应的记录包括：

将路由发现包中的包编号字段、路径最小剩余能量字段以及跳数字段写入邻居簇头表的相应表项中；

按下式算出新路径信任值T_path，并用新路径信任值T_path更新邻居簇头表中的原路径信任值字段：

$T_{\mathrm{path}}=\left\{\begin{array}{cc}\frac{T_{\mathrm{node}}+{T^{\&prime;}}_{\mathrm{path}}}{2},& \mathrm{if}{T}_{\mathrm{node}}>T_{\mathrm{th}}\mathrm{and}{T^{\&prime;}}_{\mathrm{path}}>T_{\mathrm{th}}\\ \min (T_{\mathrm{node}},{T^{\&prime;}}_{\mathrm{path}}),& \mathrm{else}\end{array}\right.---\left(6\right)$

式中T_path为新求得的路径信任值，代表通过该邻居簇头节点转发数据包的可靠性；T_node为节点对该邻居节点的信任度；T′_path为数据包中的路径信任值；T_th为信任门限。

8.根据权利要求6所述的方法，其中确定路径的步骤包括：

如果路由发现包中所列路径跳数小于邻居簇头表中的路径跳数，则用路由发现包中所列跳数更新邻居簇头表的对应记录；

如果路由发现包中所列路径跳数等于邻居簇头表中的路径跳数，并且通过路径权重计算确定路由发现包提供的路径权重大，则用路由发现包中所列信息更新邻居簇头表的对应记录；

如果路由发现包中所列路径跳数大于邻居簇头表中的路径跳数，则丢弃该路由发现包。

9.根据权利要求8所述的方法，其中当簇头节点确定其首选路由改变时，生成并转发新的路由发现包。

10.根据权利要求1所述的方法，其中所述步骤C)包括以下步骤：

簇头节点监听邻居簇头节点的转发行为，如果邻居簇头节点转发成功，则增加其信任值，如果邻居簇头节点转发失败，则降低其信任值，由此得到直接信任值；

簇头节点将通过监听得到的邻居簇头节点的直接信任值通报给汇聚节点，汇聚节点通过分析会检测出信任值偏低的节点或者恶意节点，如果发现信任值偏低节点，就发送信任值通告给簇头节点，如果发现恶意节点，就发送排除通告给簇头节点；

簇头节点收到信任值通告，就把监听得到的直接信任值与通过信任值通告得到的间接信任值综合，得到新的邻居簇头节点信任值，然后根据该信任值接受或拒绝该邻居簇头以后的请求加入请求；

簇头节点收到排除通告，以后直接拒绝该节点的所有请求，并将该通告转发给其簇成员节点。

Images