专利名称:一种认知Mesh网络中安全路由及信道分配方法
技术领域:
本发明涉及无线网络技术领域,具体涉及一种认知Mesh网络中安全路由及信道分配方法。
背景技术:
应用认知无线电(Cognitive Radio, CR)技术的无线Mesh网络(wirelessmesh networks, WMN,无线网状网络),即认知无线Mesh网络(CWMN/CogMesh),无缝结合了 CR和 WMN 二者的优势,不仅以Mesh组网技术,实现蜂窝移动、WLAN、WiMAX, WiFi和WPAN等多种 异构无线网络的融合与统一,而且通过结点的感知、理解和自适应无线电资源(如频谱、时 间、空间和功率),有效地提高频谱利用率和网络吞吐量,从而为多媒体用户提供灵活的宽 带无线网络连接。无线Mesh网络因其开放介质、动态拓扑、多跳等特点使其不仅容易遭受包括窃取 机密、信息篡改、路由攻击、链路层攻击、DoS攻击或非授权接入等传统攻击损害,而且面临 更多新型的安全挑战,比如静态配置将无法保证动态拓扑的足够安全性;集中于无线网 关的安全管理将延缓网络对攻击的检测和应对;相同的安全方案无法同时适用于有移动性 及能源限制等差异的网关、路由器与客户端;复杂电磁环境下需要抗干扰的安全策略。此 夕卜,CogMesh因其动态频谱分配和端到端可重配置等特点,新的安全隐患和攻击行为,如模 仿主用户攻击(PUE)、干扰主用户、攻击频谱管理、公共控制信道干扰、自私行为攻击等使 其安全问题更加复杂。目前,WMN的主要安全技术包括认证接入、信息加密、数字签名、密 钥管理、入侵检测和路由信息保护等,并且有商用的安全解决方案,如802. IlMesh网中的 TroposMetro Mesh方案和Nortel方案;对于无线Mesh网络中实时的威胁,终端用户不仅 需要获得扩展的认知接入带宽,而且需要得到点对点和端到端的安全传输保障,因此当前 需要一个技术方案来解决CWMN安全的问题。
发明内容
本发明所要解决的技术问题是提供一种认知Mesh网络中安全路由及信道分配方 法,解决无线Mesh网络中实时的威胁,终端用户不仅需要获得扩展的认知接入带宽,而且 需要得到点对点和端到端的安全传输保障的问题。为了解决上述问题,本发明提供了一种认知Mesh网络中安全路由及信道分配方 法,包括网络侧进行初始化后,该网络侧测量并获得网状Mesh路由器的结点的信任度的 数据;所述网络侧测量并获得信道安全度量的数据;所述网络侧根据获得的所述Mesh路由器的结点的信任度的数据和信道安全度量 的数据,进行路径安全度量的路由发现和路径选择后,进行路由应答及信道分配。进一步地,上述方法还可包括,所述网络侧测量并获得Mesh路由器结点的信任度的数据包括所述Mesh路由器结点的直接信任度的数据和间接信任度的数据。进一步地,上述方法还可包括,所述网络侧测量并获得Mesh路由器结点的直接信 任度的数据,具体是指所述网络侧将认证合法接入无线Mesh网络的所有结点确认为安全后,即判断结 点Cmri对其邻居结点Cmrj的直接信任度DTDtl (Cmri — Cmrj) = 1,在每个预定周期内,判断 若结点Cmri检测到针对结点Cmrj的攻击,则将DTD (Cmri — Cmrj)以指数步长递减;或者判断若在所述预定周期内,结点Cmri没有检测到对结点Cmrj的路由攻击,则 将曾失去一些信任度的DTD(cmri — Cmrj)线性增加一变化值,同时重置攻击次数,直到结点 Cmri对结点Cmrj恢复到最大信任度;得到Mesh路由器结点的直接信任度的数据。进一步地,上述方法还可包括,所述网络侧判断若结点Cmri检测到针对结点Cmrj 的攻击,则将DTD (Cmri — Cmrj)以指数步长递减,是通过以下方式完成其中,若结点Cmri检测到针对结点cmr」的攻击次数达到上限时,令结点Cmri对结 点Cmrj的直接信任度下降到0 ;所述网络侧将曾失去一些信任度的DTDkmri — Cmrj)线性增加一变化值,是通过 以下方式完成DTDt (Cmri — Cmrj) = DTDt^t (Cmri — Cmrj)+CV, CV e (0,1),其中 CV 为变化值。进一步地,上述方法还可包括,所述网络侧测量并获得Mesh路由器结点的间接信 任度的数据,具体是指所述网络侧在t时刻,判断若结点Cmri通过路由请求消息RREQ携带或通过控制 信道获得其它结点cmrk发出的信任度TDt, (cmrk — Cmrj) (t ‘ < t),则更新结点cmrk对结 点Cmrj的间接信任度ITDt (cmrk — Cmrj);其中,ITD (Cmrj)与结点Cmri对结点cmrk的信任度TD (Cmri — cmrk)有关, TD(Cmri — cmrk)越高,则ITD(Cmrj)的更新程度越大。进一步地,上述方法还可包括,所述网络侧更新结点cmrk对结点Cmrj的间接信任 度ITDt (cmrk — Cmrj),是通过以下方式完成
,其中CMR为Mesh路由器集合。进一步地,上述方法还可包括,所述网络侧测量并获得信道安全度量的数据,包括 以下步骤所述网络侧确认动态可用的数据信道集中的可用信道为安全可靠后,即确认信道 安全度量CSMtl (Chu) = 1 ;在每个定长周期At内,判断若检测到针对信道Chu的攻击,则 将CSM(Chij)以指数步长递减;或者判断若Δ t内没有对Chij的信道攻击,则将曾失去一些安全度的CSM(Chij)线 性增加一个变化值CV,同时重置攻击次数,直到信道Chu恢复到最大安全度,得到信道安全 度量的数据。
进一步地,上述方法还可包括,所述网络侧在每个定长周期At内,判断若检测到针对信道Chij的攻击,则将CSM(Chij)以指数步长递减,是通过以下方式完成
其中,入为攻击次数,其中,当At内检测到对Chij的攻击次数λ达到上限N时,令信道Chij的安全度 下降到0;所述网络侧判断若At内没有对Chij的信道攻击,则将曾失去一些安全度的 CSM(Chij)线性增加一个变化值CV,是通过以下方式完成CSMt (Chij) = CSMt-At (Chij) +CV, CV e (0,1)。进一步地,上述方法还可包括,所述网络侧根据获得的所述Mesh路由器结点的信任 度的数据和信道安全度量的数据,进行路径安全度量的路由发现和路径选择,具体是指所述网络侧的网关结点收到终端发送的数据且没有有效路由后,该终端结点通过 其控制接口广播发送RREQ ;所述网络侧的网关结点收到第一个RREQ分组后收到多个RREQ 分组,从而得到多条不相交的路径,根据获得的所述Mesh路由器结点的信任度的数据和信 道安全度量的数据,从中选择一适应该业务安全需求的最短路径,完成路径选择。进一步地,上述方法还可包括,所述网络侧进行路由应答及信道分配,具体是指所述网络侧的网关结点选定安全路径后,沿该路径逆向发送路由应答消息RREP, 沿途结点提取RREP分组中携带的其与下游结点之间的信道分配信息,为其与上游邻居结 点之间选择一个不与下游信道冲突的,适应该业务安全需求的安全度量值的信道,并将该 信道加入RREP分组中携带的信道分配列表中,继续向其上游结点转发,直至所述终端结点 收到RREP分组后即建立从该终端结点到网络侧的网关结点,并途经适应该业务安全需求 的最信任结点且每一跳信道也是最安全的路由,完成信道分配。与现有技术相比,应用本发明,利用Mesh路由结点的认知可用信道集分布具有 离散性和不均勻性,而且随时间和位置的变化而动态改变的特点,设计了 MAC层和网络层 协同的跨层CWMN网络安全框架,即基于安全度量的联合路由和信道分配策略(Security Metric-based Channel Assignmentand Routing, SMCAR)以实时应对网络威胁,使终端用 户业务不仅获得扩展的认知接入带宽,而且得到点对点和端到端的安全传输保障,为建立 全面完整的CWMN安全机制提供一种新的思路和尝试。应用本发明加快了 CWMN的商用化进 程,并且对金融、军事等敏感数据传输的安全需求提供了保障。
图1是本发明的认知Mesh网络中安全路由及信道分配方法的流程图;图2是本发明中RREQ路由请求分组的广播过程的示意图;图3是本发明中SMCAR和AODV的SDF比较的示意图;图4是本发明中不同网络规模的分组安全递交率比较的示意图;图5是本发明中网络分组安全递交率与认知信道数的关系的示意图。
具体实施例方式下面结合附图和具体实施方式
对本发明作进一步说明。
认知无线Mesh网络可抽象为一个有向图G(CMR,DCS),其中CMR是认知Mesh路由器(Cognitive radio Mesh Router, CMR)集合,CMR 表示 CWMN 中的 CMR 数;DCS 是动态 可用的数据信道集(Dynamic Channel Set)(固定分配信道集U认知信道集/全认知信道 集),IDCSl表示信道数。每个cmr e CMR配置两个半双工的无线电收发器,其中一个收发 器工作于特定共享公共控制信道,通过信令传输协调局部或全局通信;另一个收发器根据 路由和频谱决策在DCS上动态切换信道,避开同频干扰及信道攻击,专门用于数据安全传 输。CMR邻居结点间有共享的数据信道,即為=Gcwr7,Chij e DCS。其中网络侧可以 是指Mesh网关结点。点对点通信信道和多跳认知Mesh路由结点是CWMN实现终端数据中继转发到网关 结点的关键。结点cmr e CMR是否能安全地把数据包转发给其邻居依赖于两个因素一是 cmr与邻居之间数据传输信道的安全性,二是cmr邻居结点的可信度。因此,本发明提出两 种简单信任关系,即trusted或imtrusted的信任框架进行改进,提出在邻居结点之间建立 更准确度量的信任关系,为Mesh终端和Internet接入网关间的通信选择一条信息存储和 数据包转发的可信路径,然后在路由建立的基础上为相邻结点之间的无线传输分配安全度 高的数据信道。如图1所示,本发明的认知Mesh网络中安全路由及信道分配方法,包括步骤10、网络侧进行初始化后,测量并获得Mesh路由器的结点的信任度的数据;CWMN可以采纳WMN的集中式或分布式认证机制防止未授权结点接入网络和加入 路由。但是由于认证攻击和路由攻击的存在,使得即使合法接入CWMN的结点的可信度,也 可能随着网络对入侵行为(如PUE攻击等)的分布式检测结果而动态更新。因此,在CWMN 中为业务流按需发起路由建立之前,有必要以信任关系建立难,失去容易的思想进行邻居 结点之间基于量化信任度的信任关系建立,目的是为路由协议确定到达目的CMR结点的可 信下一跳。定义1 信任度(Trust Degree, TD)令 TDt (Cmri — Cmrj) e
表示在 t 时刻, Cmri对其邻居结点cmr」的信任程度。TD是单向的,即TDt (Cmri — Cmrj) Φ TDt (cmr」一Cmri), 而且TD是随分布式入侵检测的结点安全状态的变化而动态更新,即
TDii(Cmri -> Cmrj) Φ TD, (Cmrl -> Cmrj) (^1 关 。其中,cmr」不仅是Cmri的邻居,也可能是网络中其它结点cmrk e CMR(k ^ i ^ j) 的邻居。因此,CMR结点信任度TDt (Cmri — Cmrj)的量化应包含两部分一是Cmri主动观测 得到的对cmr」的直接信任度(Direct Trust Degree) :DTDt (Cmri — cmr」),二是Cmri获得 的其它结点 cmrk 对 cmr」的间接信任度(IndirectTrust Degree) =ITDt(Cmrj)JP TDt (Cmri Cmrj) = W1DTDt (Cmri — Cmrj)+W2ITDt (Cmrj)(W1, W2 e
,W^W2 = 1)其中,权值W1, W2表示DTD和ITD在量化TD(Cmri — cmr」)时所占的比例,为防止 不良结点的恶意诋毁,一般取W1 > w2。1、直接信任度(Direct Trust Degree)的测量对邻居结点信任度的测量应考虑其采用的安全机制,安全机制越完善的结点, 可靠性越高,其可信度也应该越高。本发明假设CMR结点均采用相同的安全机制,即暂 不考虑不同的安全机制对结点信任度的影响,并且不妨认为网络初始化时,通过认证合法接入CWMN的所有CMR结点都是安全可信的,即Cmri对其邻居Cmrj的直接信任度 DTD0(Cmri — Cmrj) = 1。之后,在每个定长At周期内,若Cmri检测到针对cmr」的攻击, DTD (cmr, — Cmrj)就以指数步长递减(信任度失去容易) 即当Atft Cmri检测到对cmr」的攻击次数λ达到上限N时,令Cmri对 Cmrj的直接信任度下降到0。若At内无对Cmrj的路由攻击,曾失去一些信任度的 DTD (Cmri — Cmrj)则线性增加一个变化值CV (信任度获得难),即=DTDt (Cmri — Cmrj)= DTDt_At (Cmri — Cmrj) +CV,CV e (0,1),同时重置攻击次数入=0,直到Cmri对Cmrj恢复到 最大信任度,即DTD (Cmri — Cmrj) = 1。2、间接信任度(Indirect Trust Degree)的测量t时刻,当Cmri通过路由请求消息(RREQ)捎带或通过控制信道获得其它结点cmrk 发出的TDt, (cmrk — Cmrj) (t' < t),就更新其对Cmrj的间接信任度ITDt (cmrk — Cmrj)
显然,ITD(Cmrj)与 Cmri 对 cmrk 的信任度量 TD (Cmri — cmrk)有关,TD (Cmri — cmrk) 越高,ITD (Cmrj)的更新程度越大,说明在量化TD (Cmri — Cmrj)时,Cmri对其它结点cmrk观 测意见的采纳程度,取决于Cmri对这些结点的信任程度。步骤20、所述网络侧测量并获得信道安全度量的数据;CWMN的无线传输信道同样也会遭受诸如截获、监听、窃取等攻击,使敏感、机密数 据的传输面临安全威胁。所以需要在动态监测信道攻击的基础上,度量信道的安全程度并 周期更新,作为路由建立过程中逆向路由应答时安全数据信道选择的依据。定义2 信道安全度量(Channel Security Metric, CSM)令 CSMt (Chij) e
表 示在t时刻,邻居结点Cmri与Cmrj之间的共享数据信道Chij e DCS的安全程度,而且CSM 是随分布式入侵检测的信道安全状态的变化而动态更新,即CSMii (Chij) φ CSMi2 (Chij) (t, ^i2) O信道安全度量的测量的流程如下假设网络初始化时,DCS中的可用信道都是安 全可靠的,即CSMtl(Chij) = 1。之后,在每个定长周期At内,若检测到针对信道Chij的攻 击,CSM(Chij)就以指数步长递减 即当At内检测到对Chij的攻击次数λ达到上限N时,令信道Chij的安全度下降 到0。若At内无对Chij的信道攻击,曾失去一些安全度的CSM(Chij)则线性增加一个变化 值 CV,SP =CSMt(Chij) = CSMt^t(Chij)+CV,CV e (0,1),同时重置攻击次数 λ =0,直到信道 Chij恢复到最大安全度CSM(Chij) = 1。步骤30、所述网络侧根据获得的所述Mesh路由器的结点的信任度的数据和信道 安全度量的数据,进行路径安全度量的路由发现和路径选择后,进行路由应答及信道分配 (即所述网络侧基于上述安全度量的联合路由及信道分配)。以上关于CWMN中CMR结点之间信任关系的周期更新以及可用数据信道安全性的动态度量,可以作为本节CMR结点与Internet接入网关间端到端寻路的指标和点对点信道分配的依据。SMCAR的主要思想是实现基于路径安全度量的安全路由发现与选择,以及逆向 路由确认时联合进行基于信道安全度量的信道分配。这种跨层协作方法的目的是在CWMN 不断变化的网络安全状态下,为用户业务提供一条当前可信安全的多跳转发路径和无线传 输信道。所谓安全路径其实应该是沿信息传输路径建立一条信任关系链,结点的信任度越 高,结点之间可用信道的安全度越高,结点之间的信任关系越可靠,数据传输的安全性也就 越高。定义3 信任关系(Trust Relation, TR)令 TRt (Cmri — Cmrj) e
表示 在t时刻,Cmri与邻居结点Cmrj之间的信任关系。影响TRt (Cmri — Cmrj)的主要因素是 TDt (cmr, — Cmrj)和CSMt (Chij),由于t时刻结点间可能有多个可用信道,所以总是选择安全 度量最高的信道,即TRt (Cmri — Cmrj) = (I1TDt (Cmri — Cmrj) X d2max (CSMt (Chij))(Cl1,d2 e
,Cl^d2 = 1,Chij e DCS)其中,Cl1, d2表明结点之间的信任关系对结点信任度和信道安全度量的敏感程度。从端到端路径的安全性来看,如果路径中有一对结点间的信任关系不可靠,数据 传输就得不到安全保障。于是本发明认为结点间的信任关系是凹性度量,并因此定义路径 安全度如下定义4路径安全度量(Path Security Metric,PSM)如果一条从源cmrs到目的 cmrd的路径是ρ = (cmrs, Cmr1, cmr2, · · · Cmri. · ·,cmrn, cmrd),那么t时刻该路径的安全度 量为PSMt (ρ) = min {TRt (cmrs 一 Cmr1), TRt (Cmr1 — cmr2),. . . , TRt (Cmiv1 — Cmri),..., TRt (cmrn — cmrd)}, (1 ^ i ^ η)其中,SMCAR的基于安全度量的联合路由及信道分配包含以下两个过程1、路由发现和路径选择过程当Mesh终端有数据发送给Mesh网关结点而没有有效路由的时候,假设采用AODV 基本流程按需启动路由发现,Mesh终端结点通过其控制接口广播发送RREQ路由请求分组, 广播ID和结点IP地址标识了唯一的RREQ,中间结点对同一个RREQ分组只接收和转发一 次,RREQ分组中具有目的网关节点的序列号信息保证所有路由是无环的。RREQ分组中携带 当前路径的PSM,如图2所示。目的Mesh网关结点收到第一个RREQ分组后即启动定时器, 在超时时间内可能接收多个RREQ分组,从而得到多条不相交的路径,目的Mesh网关结点根 据定义4中的路径安全度量,从中选择一条适应该业务安全需求的最短路径。2、路由应答及信道分配过程Mesh网关结点选定安全路径后,沿该路径逆向发送RREP路由应答消息,沿途结点 提取RREP分组中携带的其与下游结点之间的信道分配信息,为其与上游邻居结点之间选 择一个不与下游信道冲突的,适应该业务安全需求的安全度量值的信道,并将该信道加入 RREP分组中携带的信道分配列表中,继续向其上游结点转发,直至Mesh终端结点收到RREP 分组后即建立从Mesh终端结点到Mesh网关结点的,途经适应该业务安全需求的最信任结 点且每一跳信道也是最安全的路由。下面将本发明的基于安全度量的SMCAR算法与传统的AODV算法进行仿真和性能比较。在NS-2中建立Mesh结构的网络拓扑,对CMR结点进行多接口多信道扩展,网络的 可用信道数为8,每个结点随机选择其中至少3个信道作为可用信道集合。令仿真初始时 刻的CWMN网络是安全的,即CMR结点的信任度和数据信道的安全度均为1。令Wl = 0.8, W2 = 0. 2,Cl1 = d2 = 0. 5,网络选取UDP服务,分组大小为512bits,随机产生多个持续时间 为5秒的CBR流,发送速率为100kbps。总仿真时间T = 50s,每隔5s同时触发一次信道攻 击和CMR结点攻击,随机选择攻击目标(一个目标可以被攻击多次)并更新CSMt (Chu)和 TDt (cmr, — Cmrj)。AODV算法中,结点对之间随机选择信道而不考虑安全性,仿真以分组安 全递交率指标来评估和比较SMCAR算法和AODV算法的性能。定义5网络分组安全递交率(Safe Delivery Fraction, SDF)指在η个结点 的CWMN网络G中,对于一组业务流,安全递交到Mesh网关结点的分组数NUMskp (Safe Received Packets)与Mesh终端结点发送分组数NUMsp(SendPackets)的比率,即 实验1 模拟相同规模(η = 10)网络中,发起两条CBR业务流,比较SMCAR和AODV 的分组安全递交率。如图3所示,SMCAR和AODV的SDF (G(IO))都随着攻击时间的推移而 逐渐降低,说明网络分组安全递交率与网络结点和信道的安全状态密切相关,但是AODV的 SDF(G(10))下降趋势更快,在仿真时间内,SDFsmcae(G(IO))比SDFaodv(G(10))平均高出约 50%,这是由于AODV算法路由数据时不能主动绕开不良结点和不安全信道,而SMCAR算法 路由时尽量躲避被攻击目标,因此对于有安全威胁的网络有更优的分组安全递交率。实验2 模拟不同规模(η = 20,49,100)网络中,在攻击次数一定的情况下,观察 SMCAR与AODV的分组安全递交率变化情况。在Mesh拓扑结构的网络中,设置CMR结点间距 分别为150m,IOOm和60m,通信距离为250m。图4显示,在仿真时间内,不仅同规模下SMCAR 的SDF优于AODV的SDF,而且在二者的SDF都随着网络结点密度的增加而逐渐提高的情况 下,SDFsmcak (G (49))比 SDFsmcak (G (20))高出约 11 %,SDFsmcak (G (100))又比 SDFsmcak(G (49))高 出约16%,显然SMCAR算法提高的趋势更快,说明SMCAR算法对大型网络有更好的适应性。实验3 主要模拟CWMN网络的认知信道数逐渐增加的情况下,SMCAR算法的安全 分组递交率性能变化。随机产生η = 25个结点的10个网络拓扑,在T = 50s的仿真时间 内,任意发起CBR连接,最大连接数为20。令SMCAR-I表示认知信道数增加的情况,SMCAR-2 表示信道数不变的情况。图5显示,网络的安全分组递交率随着结点感知可用信道数的 递增而逐渐增加,当DCS = 4时,SDFsm (G(25))为47.8%,当DCS增加到16时, SDFsmcae^1 (G (25))也提高到 T 98%,M I DCS | = 4 的 SDF薩_2 (G (25))始终保持在 47. 8 % 不 变,说明SMCAR算法在有频谱认知功能的CWMN中可以有更多安全信道的选择机会,从而有 效地应对针对通信频率的攻击。综上所述,针对应用前景广阔的认知无线Mesh网的特性和潜在的安全问题,本发 明在分布式入侵检测的基础上,通过量化认知Mesh路由结点的信任度和数据传输信道的 安全度,建立了邻居结点间基于结点信任度和信道安全度的信任关系,并定义多跳信任关 系链中的最凹值为安全度量作为路径选择的依据,通过路由层和MAC层联合的跨层SMCAR 安全策略(SecurityMetric-based Channel Assignment and Routing,基于安全度量的联 合路由和信道分配策略)为军事、金融等有安全需求的CWMN业务,分配点对点不干扰冲突的安全信道,以及寻找端到端每跳结点可信的安全路径。仿真证明,SMCAR策略可以根据网络安全状态的动态变化,实时选路时尽量避开不可信结点和不安全信道,从而有效提高业 务流的安全递交率,并且可扩展应用于大规模CWMN网络。 以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖 在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
一种认知Mesh网络中安全路由及信道分配方法,其特征在于,包括网络侧进行初始化后,该网络侧测量并获得网状Mesh路由器的结点的信任度的数据;所述网络侧测量并获得信道安全度量的数据;所述网络侧根据获得的所述Mesh路由器的结点的信任度的数据和信道安全度量的数据,进行路径安全度量的路由发现和路径选择后,进行路由应答及信道分配。
2.如权利要求1所述的方法,其特征在于,所述网络侧测量并获得Mesh路由器结点的信任度的数据包括所述Mesh路由器结点的 直接信任度的数据和间接信任度的数据。
3.如权利要求2所述的方法,其特征在于,所述网络侧测量并获得Mesh路由器结点的直接信任度的数据,具体是指 所述网络侧将认证合法接入无线Mesh网络的所有结点确认为安全后,即判断结点Cmri 对其邻居结点Cmrj的直接信任度 ,在每个预定周期内,判断若结点 Cmri检测到针对结点Cmrj的攻击,则将 以指数步长递减;或者判断若在所述预定周期内,结点Cmri没有检测到对结点Cmrj的路由攻击,则将曾 失去一些信任度的 线性增加一变化值,同时重置攻击次数,直到结点Cmri 对结点Cmrj恢复到最大信任度;得到Mesh路由器结点的直接信任度的数据。
4.如权利要求3所述的方法,其特征在于,所述网络侧判断若结点Cmri检测到针对结点Cmrj的攻击,则将 以指 数步长递减,是通过以下方式完成 其中 t 为时间,At为预定周期,λ为攻击次数;其中,若结点Cmri检测到针对结点Cmrj的攻击次数达到上限时,令结点Cmri对结点 Cmrj的直接信任度下降到O ;所述网络侧将曾失去一些信任度的 线性增加一变化值,是通过以下 方式完成 其中 CV 为变化值。
5.如权利要求3所述的方法,其特征在于,所述网络侧测量并获得Mesh路由器结点的间接信任度的数据,具体是指 所述网络侧在t时刻,判断若结点Cmri通过路由请求消息RREQ携带或通过控制信道获 得其它结点cmrk发出的信任度 则更新结点cmrk对结点Cmrj 的间接信任度 其中,ITD(Cmrj)与结点Cmri对结点cmrk的信任度 )有关, 越高,则ITD(Cmrj)的更新程度越大。
6.如权利要求5所述的方法,其特征在于,所述网络侧更新结点cmrk对结点Cmrj的间接信任度 是通过以下 方式完成 CMR为Mesh路由器集合。
7.如权利要求1所述的方法,其特征在于,所述网络侧测量并获得信道安全度量的数据,包括以下步骤所述网络侧确认动态可用的数据信道集中的可用信道为安全可靠后,即确认信道安 全度量CSMtl (Chij) = 1 ;在每个定长周期At内,判断若检测到针对信道Chij的攻击,则将 CSM(Chij)以指数步长递减;或者判断若At内没有对Chij的信道攻击,则将曾失去一些安全度的CSM(Chij)线性增 加一个变化值CV,同时重置攻击次数,直到信道Chu恢复到最大安全度,得到信道安全度量 的数据。
8.如权利要求7所述的方法,其特征在于,所述网络侧在每个定长周期At内,判断若检测到针对信道 Chij的攻击,则将CSM(Chij)以指数步长递减,是通过以下方式完成 ,其中,λ 为攻击次数,其中,当At内检测到对Chij的攻击次数λ达到上限N时,令信道Chij的安全度下降 到O ;所述网络侧判断若At内没有对Chij的信道攻击,则将曾失去一些安全度的CSM(Chij) 线性增加一个变化值CV,是通过以下方式完成CSMt (Chij) = CSMt-At (Chij)+CV,CV e (0,1)。
9.如权利要求1所述的方法,其特征在于,所述网络侧根据获得的所述Mesh路由器结点的信任度的数据和信道安全度量的数 据,进行路径安全度量的路由发现和路径选择,具体是指所述网络侧的网关结点收到终端发送的数据且没有有效路由后,该终端结点通过其控 制接口广播发送RREQ ;所述网络侧的网关结点收到第一个RREQ分组后收到多个RREQ分 组,从而得到多条不相交的路径,根据获得的所述Mesh路由器结点的信任度的数据和信道 安全度量的数据,从中选择一适应该业务安全需求的最短路径,完成路径选择。
10.如权利要求9所述的方法,其特征在于,所述网络侧进行路由应答及信道分配,具体是指所述网络侧的网关结点选定安全路径后,沿该路径逆向发送路由应答消息RREP,沿途 结点提取RREP分组中携带的其与下游结点之间的信道分配信息,为其与上游邻居结点之 间选择一个不与下游信道冲突的,适应该业务安全需求的安全度量值的信道,并将该信道 加入RREP分组中携带的信道分配列表中,继续向其上游结点转发,直至所述终端结点收到 RREP分组后即建立从该终端结点到网络侧的网关结点,并途经适应该业务安全需求的最信 任结点且每一跳信道也是最安全的路由,完成信道分配。
全文摘要
本发明公开了一种认知Mesh网络中安全路由及信道分配方法,包括网络侧进行初始化后,该网络侧测量并获得Mesh路由器的结点的信任度的数据;网络侧测量并获得信道安全度量的数据;网络侧根据获得的所述Mesh路由器的结点的信任度的数据和信道安全度量的数据,进行路径安全度量的路由发现和路径选择后,进行路由应答及信道分配。应用本发明,解决无线Mesh网络中实时的威胁,终端用户不仅需要获得扩展的认知接入带宽,而且需要得到点对点和端到端的安全传输保障的问题。
文档编号H04W40/02GK101848461SQ20101016283
公开日2010年9月29日 申请日期2010年5月4日 优先权日2010年5月4日
发明者仵国锋, 何照盼, 冉晓旻, 匡为君, 张静, 童珉, 胡捍英, 莫有权, 董芳, 陈迎春 申请人:中国人民解放军信息工程大学