CN103841553A - 一种混合无线Mesh网络路由安全和隐私保护的方法 - Google Patents

Abstract

本发明公开了一种基于动态信誉机制的混合无线Mesh网络环境中路由安全和隐私保护的方法，该方法包括路由建立和路由维护两个部分。其主要步骤：首先启动路由建立过程；其次对节点进行可信评估，并记录评估结果；在节点间传输密钥过程中采用分级加密和分级密钥管理协议，以保证数据的安全传输；当存在多条路径时，结合信誉度、安全级别和节点能耗建立路由评估模型以此选择最佳路由。本发明能够动态地、更准确地反应节点的行为，提高对恶意节点识别的准确性，并对恶意节点实施高效地管理，以增强网络的容错能力和生存能力。同时，本发明中提出的新的分级密钥管理协议和分级加密方法结合节点能耗评估模型能满足路径选择过程中隐私保护和节能的需求。

Description

一种混合无线Mesh网络路由安全和隐私保护的方法

技术领域

本发明涉及一种路由安全和隐私保护领域，尤其是涉及一种混合无线Mesh网络路由安全和隐私保护的方法。

背景技术

混合无线Mesh网络（HWMN）是无线Mesh网络（WMN）中具有最优应用前景的网络结构。随着HWMN应用范围的不断扩大，其面临的网络安全威胁日益突出。同时，越来越多的隐私信息将出现在HWMN中，这些隐私信息的泄露将给个人、社会和国家带来严重的后果。因此，网络与隐私安全是HWMN中需要重点关注和解决的问题，是保证HWMN能够进一步发展和提供更多网络服务的前提和基础。

路由协议作为HWMN的重要组成部分，是网络攻击的主要对象。HWMN面临的网络攻击主要分为2类：外部攻击和内部攻击。外部攻击能够通过传统的密码学方法和认证技术来有效解决。内部攻击的攻击者拥有合法的身份，能够获取各种的密钥和授权信息，传统的密码学方法和认证技术无法有效的解决。比较常见的内部攻击行为有：

（1）黑洞/灰洞攻击：黑洞攻击对截获的数据包进行篡改或丢弃所有的数据包。灰洞攻击则是在进行数据包转发的时候，以一定概率丢弃数据包。

（2）虫洞攻击：虫洞攻击旨在阻止正常的路由发现或通过在恶意节点间建立隧道来转移数据流，从而将恶意节点添加到路由路径中。一旦恶意节点包含到路由路径中，他们将丢弃所有/部分的数据包。

HWMN中信息的完整性、机密性和隐私性贯穿数据流传输的全过程，内部发起的各种路由攻击，将破坏信息的完整性和机密性，泄漏隐私信息。因此，结合HWMN的特点，设计能够有效防御内部攻击和保护隐私安全的路由协议显得尤为重要。

近些年来，尽管出现了许多基于骨干WMN和终端WMN的安全路由协议，但是，HWMN特殊的网络结构和通信方式，特别是终端网络的自组织特点，使得这些成果不能直接应用于HWMN。因此，人们开始研究针对HWMN的安全路由协议。IslXm等人提出了一种安全的混合无线Mesh网络路由协议SHWMP。SHWMP通过使用加密扩展的方法来保证HWMP路由信息的可靠性和完整性，防止对路由信息中可修改字段的未授权操作。文献报道中还有提出了一种隐私增强的HWMN安全架构PEXCE，并将PEXCE应用与安全路由协议的设计。PEXCE基于内部节点都是可信和协作的假设，设计了基于短群签名的认证和密钥协商协议，实现了对外部攻击的防御。Sen等人针对HWMN提出了一种有效的可靠的匿名路由协议。该协议通过对路由路径上的无线链路质量和可用带宽的估计，以及通过使用多点中继和循环路由技术，使得该路由协议能够花费较少的控制开销就维持一个较高水平的网络吞吐量。

然而，上述成果还存在以下不足：（1）缺乏对内部恶意节点的识别和管理，无法抵御内部攻击；（2）缺乏对隐私信息的保护；（3）缺乏考虑路由过程中终端节点的参与和路由路径的能耗。

发明内容

本发明主要针对现有技术中的不足，提供一种通过对内部恶意节点的识别和管理、对数据传输过程中的节点隐私信息进行保护以及对路由过程中节点的能耗优化的方法，已达到混合无线Mesh网络中路由的安全保障和节能优化的目的。

为实现上述目的，本发明采用以下技术方案：

一种混合无线Mesh网络的路由安全和隐私保护的方法，其特征在于：包括以下步骤：

步骤1：

首先由无线Mesh节点x构建路由请求信息（PREQ），并将其广播给相邻的邻居节点，启动路由建立初始化过程；

步骤2：

如果某邻居节点y收到x的PREQ后，则启动基于主观逻辑的动态信誉机制来评估节点x是否可信，评估结果用ti时刻y对x的综合信誉度评估结果表示，同时设置γ₁,γ₂（γ₁＜γ₂,γ₁,γ₂∈[0.0,1.0]）为信誉度的门限值。为t_i时刻y对x的直接信誉度的评估结果。其中b_i和d_i分别表示y对x的信任和不信任程度；u_i表示y对x的不确定程度；a_i用于表示y愿意相信x是值得信赖的程度。

通过动态综合评估结果获得，其中，η₁和η₂代表节点关于时间对信誉度评估影响的重视程度。当

小于门限值时，节点将启动推荐信誉度评估和综合信誉度评估过程，获取邻居节点的推荐意见，并做出评估和判断，其详细过程如下：

子步骤2.1节点y向本地信誉度数据库查询x的直接信誉度

并计算动态直接信誉度

子步骤2.2如果

则判断x为恶意节点，否则，判断x为可信节点。如果不存在

或

则y启动下述信誉度查询过程：

·节点y广播查询消息给邻居节点，要求提供x的直接信誉度评估结果，并等待对方的回应，等待的时间长为T。

·假设x和y的共同邻居节点k收到了查询消息，k查询本地信誉度数据库，如果存在

且

小于1.0，则k发送

给y。

·经过T时刻后，y将收到的所有推荐信息汇总，计算出

和综合信誉度

·节点x计算

如果则认为x是可信节点，否则认为x是恶意节点。

步骤3：

如果x是可信的，y发送Accept消息给x，并记录和x之间进行了一次良性交互。否则，y发送Refuse消息给x，并记录和x之间进行了一次恶性交互。然后，y执行恶意节点分类和管理机制，对x做出惩罚或直接隔离出网络。

步骤4：

节点x收到Accept消息后，启动分级密钥管理协议（HKMP）。根据HKMP协议，节点x首先比较二者的安全级别。如果x的安全级别g高于y的h，x将拒绝y做为其下一跳中继节点。否则，x将执行步骤2和3来判断y是否是恶意节点。如果y不是恶意节点，并且g=h，x将计算二者之间的密钥，并发送响应消息给y。如果1≤g<h，则x将发送响应消息给y，由y来计算二者之间的密钥。

步骤5：

如果找到满足要求的路径，则转至步骤6；否则反复执行步骤2、3和4，直到找到满足要求的路径。

步骤6：

如果仅存在一条满足要求的路径，则根据该路径建立路由；而如果存在多条满足要求的路径，我们将启动结合信誉度和安全级别的节点能耗评估模型来找出最可靠的路径其中L_(i),(i＝1…n)是满足要求的路径集合。

和SL_L(i)分别是L_(i)的信誉度和安全级别。和

是L_(i)的信誉度和安全级别的权重系数。

步骤7：

建立路由后进行数据传输。

因此，本发明的优点在于：（1）考虑了时间对信誉度评估的影响，提出了基于主观逻辑的动态信誉机制，使得信誉度评估的结果能够动态地、更准确地反应节点的行为，提高了对恶意节点识别的准确性。（2）提出了新的恶意节点分类和管理机制，对恶意节点实施灵活的管理，增强了网络的容错能力和生存能力。（3）提出了新的分级密钥管理协议和分级加密方法，对路由信息和数据传输过程进行安全保护，从而实现隐私安全保护。（4）依据HWMN的特点，将能量损耗问题引入路由，提出节点能耗评估模型和基于节点能耗的路径选择机制，使得该方法能够同时满足安全和节能的需求。

附图说明

图1是路由安全和隐私保护方法流程图

图2是混合HWMN模型图

具体实施方式

下面结合附图对本发明的技术方案的具体实施方式做进一步具体说明：

实施步骤1：

首先由无线Mesh节点x构建路由请求信息（PREQ），并将其广播给相邻的邻居节点，启动路由建立初始化过程；

实施步骤2：

如果某邻居节点y收到x的PREQ后，则启动基于主观逻辑的动态信誉机制来评估节点x是否可信，评估结果用t_i时刻y对x的综合信誉度评估结果表示，同时设置γ₁,γ₂（γ₁＜γ₂,γ₁,γ₂∈[0.0,1.0]）为信誉度的门限值。其中为t_n时刻y对x的直接信誉度的评估结果。考虑时间对节点信誉度评估的影响，

将通过公式（1）来计算，

$\left\{\begin{array}{c}{b}_n=b_i\&times;e^{-}{\left({\left(b_i\right)}^{-1}\mathrm{\&Delta;t}\right)}^{2k}\\ d_n=d_i\&times;e^{-{\left({\left(d_i\right)}^{-1}\mathrm{\&Delta;t}\right)}^{2k}}\\ u_n=1-b_n-d_n\\ a_n=a_i\&times;e^{-{\left({\left(a_i\right)}^{-1}\mathrm{\&Delta;t}\right)}^{2k}}\end{array}\right.---\left(1\right)$

其中，k(k>=1)为衰减率（信誉度随时间的变化率）。Δt＝t_n-t_i，当Δt→∞时，

使得b_n→0，表明时间间隔越长，之前的评估结果对现在的影响越小。t_n时刻直接信誉度的动态综合评估可以通过公式（2）计算获得。

其中，η₁和η₂代表节点关于时间对信誉度评估影响的重视程度，η₂的值越大，节点越重视时间的影响，且有η₁+η₂＝1,(η₁,η₂∈[0,1])。当

小于门限值时，节点将启动推荐信誉度评估和综合信誉度评估过程，获取邻居节点的推荐意见，并做出评估和判断，其详细过程如下：

2.1情况1：节点y向本地信誉度数据库查询x的直接信誉度

并计算动态直接信誉度

2.2情况2：如果

则判断x为恶意节点，否则，判断x为可信节点。如果不存在

或

则y启动下述信誉度查询过程：

·节点y广播查询消息给邻居节点，要求提供x的直接信誉度评估结果，并等待对方的回应，等待的时间长为T。

·假设x和y的共同邻居节点k收到了查询消息，k查询本地信誉度数据库，如果存在

且

小于1.0，则k发送

给y。

·经过T时刻后，y将收到的所有推荐信息汇总，计算出

和综合信誉度

·节点x计算如果

则认为x是可信节点，否则认为x是恶意节点。

实施步骤3：

如果x是可信的，y发送Accept消息给x，并记录和x之间进行了一次良性交互。否则，y发送Refuse消息给x，并记录和x之间进行了一次恶性交互。然后，y执行恶意节点分类和管理机制，对x做出惩罚或直接隔离出网络。

实施步骤4：

x收到Accept消息后，启动分级密钥管理协议（HKMP）。HKMP协议原理如下所述：

HKMP用二元组（RL，RC）来表示节点间的密钥对，RL和RC分别表示节点的安全级别和安全类别。HKMP通过可信的密钥管理中心为每一个安全级别分发独立的密钥池和初始密钥，并规定节点间只有二者的安全等级和安全类别满足要求，才能够相互通信和获取信息，避免了拥有合法安全级别却没有合法权限的节点参与到路由过程中和获取隐私信息。

首先，密钥的预分配阶段。假设有m个安全等级，则密钥池SL的定义如公式（3）所示。

SL＝{sl₁,sl₂,…sl_m}    (3)其中，sl_j为安全级别j的密钥池，包含三个部分：初始密钥IK_j、子密钥集RL_j和RC_j。RL_j包含j-1个安全级别密钥

（1≤i<j-1），用于和具有相同或更低安全级别的节点建立连接。RC_j包含n个安全类别密钥用于和具有相同安全级别，但是拥有不同安全类别的节点建立连接。三者的定义如公式（4）所示。

$\left\{\begin{array}{c}{\mathrm{sl}}_j=\{{\mathrm{IK}}_j,{\mathrm{RL}}_j,{\mathrm{RC}}_j\}\\ {\mathrm{RL}}_j=\{{\mathrm{sl}}_j^{j-1},{\mathrm{sl}}_j^{j-2},...,{\mathrm{sl}}_j^1\}\\ {\mathrm{RC}}_j=\{{\mathrm{sc}}_j^1,{\mathrm{sc}}_j^2,...,{\mathrm{sc}}_j^n\}\end{array}\right.---\left(4\right)$

其中，RL_j和RC_j可以通过IK_j来获得。

$\left\{\begin{array}{cc}{\mathrm{RL}}_j=\left\{{\mathrm{sl}}_j^i\right|{\mathrm{sl}}_j^i=H\left({\mathrm{IK}}_j\right|\left|i\right)\}& (1\&le;i\&le;j-1)\\ {\mathrm{RC}}_j=\left\{{\mathrm{sc}}_j^p\right|{\mathrm{sc}}_j^p=H\left({\mathrm{IK}}_j\right|\left|p\right)\}& (1\&le;p\&le;n)\end{array}\right.---\left(5\right)$

其次，密钥的生成阶段。在创建了sl_j之后，节点间按照下述方法建立密钥。

（1）节点u和v具有相同的安全级别j，它们将通过以下方式计算它们之间的密钥：

·u利用一个伪随机函数f生成

和

$\left\{\begin{array}{c}{\mathrm{sl}}_j^u=f_{{\mathrm{IK}}_j}\left(u\right)\\ {\mathrm{su}}_j^u=f_{{\mathrm{IK}}_j}\left(u\right)\end{array}\right.---\left(6\right)$

·u发送请求消息给v，并等待v的响应。

u→*:u,j,nonce    (7)

·v收到消息后，发现与u的安全级别相同，于是v计算

并返回响应消息给u。

$\left\{\begin{array}{c}{\mathrm{sc}}_j^v=f_{{\mathrm{IK}}_j}\left(v\right)\\ v\&RightArrow;u:v,\mathrm{MAC}({\mathrm{sl}}_j^v,{\mathrm{sc}}_j^v,u|v),\mathrm{nonce}\end{array}\right.---\left(8\right)$

·如果

则u和v都能通过公式（9）计算出它们之间的密钥。

${\mathrm{sl}}_j^{\mathrm{uv}}=f_{{\mathrm{sl}}_j^v}\left(u\right)=f_{{\mathrm{sl}}_j^u}\left(v\right)---\left(9\right)$

（2）节点u和v属于不同的安全级别，u的安全级别为g，v的安全级别为h（1≤g<h），u和v之间的密钥可以通过公式（10）来获得。

${\mathrm{sl}}_{\mathrm{gh}}^{\mathrm{uv}}=f_{{\mathrm{sl}}_{\mathrm{gh}}^v}\left(u\right),{\mathrm{sl}}_{\mathrm{gh}}^v=f_{{\mathrm{sl}}_h^g}\left(v\right)---\left(10\right)$

在HKMP中，假设u和v的安全级别分别为g和h（g<h）。v的安全级别h大于g，因此可以使用初始密钥IK_h和单向Hash函数H计算出

得到

和

而u的密钥池中没有

所以无法得到

和

因此，即使较低安全级别的节点被俘获，由于无法获取更高安全级别节点的密钥，也就无法获取对方的隐私信息，实现了对隐私安全的保护。

根据上述HKMP原理，节点x首先比较二者的安全级别。如果x的安全级别g高于y的h，x将拒绝y作为其下一跳中继节点。否则，x将执行步骤2和3来判断y是否是恶意节点。如果y不是恶意节点，并且g=h，x将计算二者之间的密钥，并发送响应消息给y。如果1≤g<h，则x将发送响应消息给y，由y来计算二者之间的密钥。

实施步骤5：

如果找到满足要求的路径，则转至实施步骤7；否则反复执行实施步骤2、3和4，直到找到满足要求的路径。

实施步骤6：

如果仅存在一条满足要求的路径，则根据该路径建立路由；而如果存在多条满足要求的路径，我们将启动结合信誉度和安全级别的节点能耗评估模型来找出最可靠的路径L_final。节点能耗评估模型原理描述如下：

假设存在N个终端节点，每个节点的传输队列为M/M/1/K排队系统，流量分布遵循速率为λ的泊松分布，e_tx,e_rx,e_ov和e_id分别表示节点在传送、接收、监听和空闲状态下的能量需求。终端节点成功传输一个数据包所需要的总能耗E可以通过公式（11）来计算。

E＝E^su+E^co+E^bf+E^em    (11)

其中，E^su是成功传输的能量损耗，E^co是成功传输前的冲突造成的能量损耗，E^bf是处于退避阶段的能量损耗，E^em是在两个连续的传输间不存在不确定数据包的情况下的能量损耗。

下面我们将分别介绍这四个组成部分的计算过程。

首先，我们通过公式（12）来计算E^su。

E^su＝e_tx(T_L+T_H)+e_rxT_ACK+e_idT_SIFS    (12)

接着，通过公式（13）和（14）来计算Eco。

其中，n是一跳范围内的邻居节点数，W是最小竞争窗口大小，m是最大退避次数，P_o是传输队列为空的概率，可以通过公式（15）来计算。

$\left\{\begin{array}{c}{P}_o=\frac{1}{{\mathrm{\&Sigma;}}_{j=0}^K{\left(\frac{\mathrm{\&lambda;}}{\mathrm{\&mu;}}\right)}^j}\\ \mathrm{\&mu;}=\frac{1}{E\left[S\right]}\end{array}\right.---\left(15\right)$

其中，K是缓冲区的大小，μ是服务速率。它们可以通过下面公式来计算。

$\left\{\begin{array}{c}{\mathrm{\&sigma;}}^{\&prime;}=(1-P_t)\mathrm{\&sigma;}+P_s{T}_s+(P_t-P_s)T_c\\ \mathrm{\&delta;}=\underset{j=0}{\overset{\&infin;}{\mathrm{\&Sigma;}}}\underset{h=0}{\overset{j}{\mathrm{\&Sigma;}}}\frac{W_h-1}{2}{p}^j(1-p)\end{array}---\left(17\right)\right.$

$W_h=\left\{\begin{array}{cc}{2}^{h}W& 0\&le;h\&le;m^{\&prime;}\\ 2^{m^{\&prime;}}W& m^{\&prime;}<h\&le;m\end{array}\right.---\left(18\right)$

其中，m′是竞争窗口可以翻倍的最大次数，σ是一个物理时间槽的长度，P_s是在所有剩余的等待传输的节点中可以实现成功传输的概率，P_t是在所有剩余的等待传输的节点中至少一个节点能够在一个逻辑时间槽内传输数据包的概率。P_s和P_t可以通过公式（19）来计算。

$\left\{\begin{array}{c}{P}_t=1-{(1-\mathrm{\&tau;})}^{n-1}\\ P_s=(n-1)\mathrm{\&tau;}{(1-\mathrm{\&tau;})}^{n-2}\end{array}\right.---\left(19\right)$

如果信道被感知到是空闲的，退避计数器将在每一个物理时间槽递减。否则，退避计数器将停止计数。因此，E^bf能够通过公式（20）获得。

E^bf＝(e_idσ+e_ov(P_sT_s+(P_t-P_s)T_c))δ    (20)

此外，E^em可以通过公式（21）来计算。

$\left\{\begin{array}{c}{E}^{\mathrm{em}}=T^{\mathrm{em}}(e_{\mathrm{id}}(1-P_t)+e_{\mathrm{ov}}{P}_t)\\ T^{\mathrm{em}}=E\left[S\right]\frac{P_0}{1-P_0}\end{array}\right.---\left(21\right)$

根据上述模型，可靠路径L_final描述为：

其中，L_(s),(s＝1…n)是满足要求的路径集合。Th₁和Th₂是路径L_(i)的能量损耗E_L(i)的门限值。

和SL_L(i)分别是L_(i)的信誉度和安全级别。

和

是L_(i)的信誉度和安全级别的权重系数。他们可以通过公式（23）来计算。

其中，

代表第i条路径L_(i)上的第j个节点。和

分别是

的信誉度和安全级别，

是

的能量损耗。

步骤7：

建立路由后进行数据传输。

应理解，本实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

Claims (3)

1.一种混合无线Mesh网络的路由安全和隐私保护的方法，其特征在于：包括以下步骤：

步骤1：首先由无线Mesh节点x构建路由请求信息，并将其广播给相邻的邻居节点，启动路由建立初始化过程；

步骤2：如果某邻居节点y收到x的PREQ后，则启动基于主观逻辑的动态信誉机制来评估节点x是否可信，评估结果用t_i时刻y对x的综合信誉度评估结果

表示，同时设置γ₁,γ₂（γ₁＜γ₂,γ₁,γ₂∈[0.0,1.0]）为信誉度的门限值，其中

为t_i时刻y对x的直接信誉度的评估结果，b_i和d_i分别表示y对x的信任和不信任程度；u_i表示y对x的不确定程度；a_i用于表示y愿意相信x是值得信赖的程度；

步骤3：如果x是可信的，y发送Accept消息给x，并记录和x之间进行了一次良性交互，否则，y发送Refuse消息给x，并记录和x之间进行了一次恶性交互，然后，y执行恶意节点分类和管理机制，对x做出惩罚或直接隔离出网络；

步骤4：节点x收到Accept消息后，启动分级密钥管理协议（HKMP），根据HKMP协议，节点x首先比较二者的安全级别；如果x的安全级别g高于y的h，x将拒绝y做为其下一跳中继节点；否则，x将执行步骤2和3来判断y是否是恶意节点；如果y不是恶意节点，并且g=h，x将计算二者之间的密钥，并发送响应消息给y，如果1≤g<h，则x将发送响应消息给y，由y来计算二者之间的密钥；

步骤5：如果找到满足要求的路径，则转至步骤6；否则反复执行步骤2、3和4，直到找到满足要求的路径；

步骤6：如果仅存在一条满足要求的路径，则根据该路径建立路由；而如果存在多条满足要求的路径，我们将启动结合信誉度和安全级别的节点能耗评估模型来找出最可靠的路径

其中L_(i),(i＝1…n)是满足要求的路径集合，其中

和SL_L(i)分别是L_(i)的信誉度和安全级别；

和

是L_(i)的信誉度和安全级别的权重系数；

步骤7：建立路由后进行数据传输。

2.根据权利要求1所述的一种混合无线Mesh网络的路由安全和隐私保护的方法，其特征在于所述的

通过动态综合评估结果

获得，其中，η₁和η₂代表节点关于时间对信誉度评估影响的重视程度。

3.根据权利要求2所述的一种混合无线Mesh网络的路由安全和隐私保护的方法，其特征在于当

小于门限值时，节点将启动推荐信誉度评估和综合信誉度评估过程，获取邻居节点的推荐意见，并做出评估和判断，其详细过程如下：

子步骤2.1节点y向本地信誉度数据库查询x的直接信誉度

并计算动态直接信誉度

子步骤2.2如果

则判断x为恶意节点，否则，判断x为可信节点。如果不存在

或则y启动下述信誉度查询过程：

节点y广播查询消息给邻居节点，要求提供x的直接信誉度评估结果，并等待对方的回应，等待的时间长为T；

假设x和y的共同邻居节点k收到了查询消息，k查询本地信誉度数据库，如果存在

且小于1.0，则k发送

给y；

经过T时刻后，y将收到的所有推荐信息汇总，计算出和综合信誉度

节点x计算如果

则认为x是可信节点，否则认为x是恶意节点。

Images