安全性增强的蜂窝网与自组织网融合网络的安全路由方法

专利名称：安全性增强的蜂窝网与自组织网融合网络的安全路由方法
技术领域：
本发明是一种安全性增强的蜂窝网与Ad hoc (自组织网)融合网络方案及路 由安全方法，具体涉及以Adhoc网络技术为主、蜂窝网络技术为辅的融合网络技 术领域。
背景技术：
移动ad hoc网络(MANET)是一组带有无线收发装置的移动节点组成的多跳 自组织系统。网络内的所有节点地位平等，每个移动终端兼备路由器和主机两种 功能作为主机，终端需要运行面向用户的应用程序；作为路由器，终端需要运 行相应的路由协议。网络的拓扑结构是动态变化的，其内部节点可以以任何方式 动态地保持与其他节点的联系。这种无中心又不依赖固有的基础设施的结构使得 它的组网十分方便快捷。在adhoc网络中，节点间的路由通常由多跳组成，由于 终端的无线传输范围有限，两个无法直接通信的终端节点往往要通过多个中间节 点的转发来实现通信。
Ad hoc网络由于采用无线信道、有限电源、分布式控制等技术，它更加容易 受到被动窃听、主动入侵、拒绝服务、剥夺"睡眠"等网络攻击。信道加密、抗 千扰、用户认证和其它安全措施都需要特别考虑。而由于该网络的动态拓扑特性， 网络本身既可以独立工作，也可以与Internet或蜂窝无线网络连接。
将Adhoc网络与蜂窝网络连接，即是将两种网络相融合。现有的融合网络大 多都以蜂窝网络为主，通过添加一些转发设备来利用ad hoc的频段解决蜂窝网热 点小区里容易出现的拥塞等影响用户通信的问题。这种类型的融合系统主要有以 下几种-
1. iCAR: integration of Cellular and modern Ad Hoc Relaying technologies (融合蜂窝网络和现代Ad hoc网络的转发技术)
这是最早将传统蜂窝网和ad hoc转发技术相结合的系统，是为了解决蜂窝系统中信息流量不均衡的问题而提出的。该系统通过在小区间使用adhoc转发台 将数据流从一个小区动态转移到其他小区从而有效的平衡小区间的流量负载。这 不仅增加了系统的容量，减少移动节点的发送功率，还扩展了系统的覆盖面积。
2. UCAN: A Unified Cellular and Ad Hoc Network Architecture UCAN也是将ad hoc局域无线网引入广域无线网络从而提高网络的吞吐量。其
中移动设备也有两个接口 ( IEEE 802. lib接口和3G接口)。 UCAN规定只有低速率 下行链路的移动节点通过IEEE 802. lib接口发送路由请求信息，这个路由请求信 息在邻近移动节点间广播，寻找到一个具有高速率下行链路的移动用户。
3. MCN: Multi-hop cellular Network (多跳蜂窝网)
MCN中基站都没有完全覆盖整个地域范围，小区覆盖范围内的移动节点可以直 接与基站进行单跳通信，覆盖范围外的移动节点则需要通过临近移动节点的多跳 转发实现通信。MCN系统最大好处是能提高系统的容量，移动节点的发射功率降低， 从而降低了同频干扰，提高了频率复用次数。
以上3种融合网络模型都是在现有蜂窝网络的基础上叠加Ad hoc网络，并没 有关心Ad hoc网络本身的问题(例如安全问题)。而事实上，将这两种网络融合 除了侧重于解决蜂窝网络中存在的问题之外，也可以在Adhoc网络的基础上叠加 蜂窝网络以提高Ad hoc网络的某些性能。由于Ad hoc网络最大的优点是它的节 点能够自由加入和离开网络，因此希望能最大限度的允许节点的接入，以充分的 发挥adhoc网络自身的优点。无线资源是珍贵的，而有限资源和设备是可以生产 出来的。所以在融合网络中，利用计算量和能量基本不受限制的基站来进行选择 路由、存储链路状态、鉴权认证等工作，从而提高系统的实用性。也就是说，蜂 窝基站除了负责原有的蜂窝网通信中的所有功能之外，还对ad hoc网络进行管理。 这样，借助蜂窝基站对全局信息的掌握提供给融合网络中Ad hoc节点更有效更可 靠的路由选择机制，从而使ad hoc节点在每次的数据传输之前获得更加安全可靠 的路由。

发明内容
技术问题本发明的目的是提供一种安全性增强的蜂窝网与Ad hoc融合网络 的路由安全方法，能够为整个网络提供较高性能的容错性能，也就是说在网络中即使存在数量不是很多的恶意节点时，也能够为合法节点提供保证一定质量的 路由服务。
技术方案:本发明在原有的蜂窝网中一方面加入Ad hoc移动终端，组成Ad hoc 无线网络；另一方面，加入含有可信赖中心和鉴权中心的安全代理，利用蜂窝网 的带外信号使之与基站相连，用于管理融合网络中的安全问题。
本发明的安全性增强的蜂窝网与自组织网融合网络的安全路由方法中，融合 网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路 由的方法进行路由，其中
双模移动终端包括智能手机、PDA、 PC和笔记本电脑，是该模型中的终端 用户，双模移动终端简称节点，有两个接口蜂窝接口和自组织网接口，节点通 过蜂窝接口工作在蜂窝网线路中称为蜂窝模式，通过802.11接口即Ad hoc接口 ， 工作在自组织的自组织网网络中称为自组织网模式；
基站基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点， 组成网络拓扑信息，基站将本地节点的可靠度参数即由电池电量、移动速度、 运动状态和背景历史纪录四部分组成确定，作为节点自身固有信息存储在数据库 中；基站就利用网络拓扑信息和可靠度参数帮助节点进行选路；基站和节点之间 有两大互连信道普通的蜂窝信道和为Adh0C接口分配的蜂窝控制信道，当节点 可以直接采用蜂窝模式通信时，就通过蜂窝信道与基站互连；否则节点就通过为 Adh0C接口分配的蜂窝控制信道与基站互连，请求或接受基站的帮助；
安全代理通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含 可信赖中心和鉴权中心，用于管理融合网络的安全，可信赖中心中记录着节点的 可信度参数，可信度参数提供了判断节点是否安全可靠的依据；
在上述这样的一种融合网络方案下，节点第一次接入网络时信赖中心将该节 点设为可信赖节点，但可信度较低，鉴权中心通过带外信道向待认证节点发放认 证私钥，并用公钥算法内的参数来携带私钥或产生私钥种子，实现对节点的认证;
节点接入网络后，为了切换服务，其蜂窝接口和Adhoc接口都是使能的，这 时， 一方面基站获得其可靠度参数，基站用节点可靠度参数来判断该节点是否适 合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景 历史纪录四部分组成；另一方面，当节点接入网络后，可信赖中心对节点可信度 参数进行确定，并利用可信度参数进行安全管理，
当节点发起路由请求时，按照"先选择Adh0C模式，后依靠基站"的方式进行路由选路，采用融合网络安全路由的方法进行路由，"先选择Adhoc网络，后 依靠基站"的方式就是优先采用Adhoc路由的模式转发数据，基站只处理控制信 令；只有当不能满足服务质量要求时，才借助基站转发数据。
基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠 度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成，具体判断 方案为
电池电量设为C7，是一个百分比，最大值为1，表示电量满，它对应的可靠 度参数为^， ^是关于电池电量f/的函数，C/越大，《就越大，且"和^的取值 范围均为[O,l]， A:,具体定义为
.0〈f/^
其中，〖4,、 f/,M为两个门限值，系统根据用户需求或各移动终端的电池能力 要求设置具体的值，将电池电量分为低电量0〈f/St/,w、中电量^^C/2C/^和 高电量^/(/(2<^/^1三个等级；&、 &、 ^是分别对应于三个等级电量的^的值，
且有o^n、化
移动速度设为v，其可靠度参数为^， ^是关于移动速度v的函数，v越大，^就
越小，^的取值范围也是
, ^具体定义为<formula>formula see original document page 10</formula>
其中，v,w、 42为两个门限值，系统设置具体的值，将移动速度分为低移动 性OSV〈V,m、中移动性1^^V〈^2和高移动性1^V^三个等级；&21、 fc22、 &3是 分别对应于三个等级移动性的&的值，且有0 S ^ < &2 < A21 S 1;
设与运动状态对应的可靠度参数为&，其中&e
， ^的具体定义为
131节点长时间只在小范围内运动 &32节点高速穿过小区 &3 其他情况
其中0 S ~2 < &3 < /t31 S1是系统可以灵活设置的值；
设与背景历史记录对应的可靠度参数为^ ，对于每天或每周都有规律地在移
动的节点，其^就较高；反之&就较低，^的具体定义为/b41节点每天或每周都有规律地移动 l其他情况
其中0 S /t42 < 、, S1是系统可以灵活设置的值;
由上可得一个节点的可靠度参数A :
其中Wi是可靠度参数K,的权值，且有^>,=1, w;>0;卜l、 2、 3——，
当可靠度参数A:在[&,1]时，表示节点适合作为中间节点转发数据；否则不适 合作为中间节点转发数据。其中&为系统可以灵活定义的门限值。
节点接入网络后，可信赖中心对节点可信度参数进行U免定，这种确定具体包 括两种报告
I) 来自本节点的错误报告；
II) 来自网络中其它节点的报告；
当某节点被其邻居节点检测出它未严格按照协议规定执行时，可信赖中心会 根据这两种错误报告将该节点的可靠度降低1个单位。 融合网络安全路由的方法包括步骤
A、 节点接入网络后，基站和安全代理分别获得其可靠度参数和可信度参数；
同时该节点定时更新本身的一跳路由表，
B、 源节点发起路由请求，源节点和基站根据目标节点的位置选择一条或多
条最优路径，
C、 源节点收到路由回复消息，中间节点做好数据转发准备，
D、 数据加密传输过程中，各节点对其上下级节点的行为进行监测，并对异 常情况进行处理，
E、 根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可信度
参数。 步骤B包括-
Bl、 源节点要转发数据时，首先查看自己的一跳路由表，若目标节点地址
在一跳路由表中，这两个节点就直接通信， B2、 若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由
回复消息，通知源节点用Adhoc路由方式——采用基于节点位置更新的路由算法，与目标节点通信， B3、 若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点 的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠 度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将 所有路径放在路由回复消息中发送给源节点。 步骤B2采用基于节点位置更新的路由算法，具体方法为 在原有AODV+路由的基础上，节点定时查看自己的位置，再将当前位置和上 一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新自己的路由， 将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到达；更新自己 到达自己路由表中所有其他节点的路由，同时也使得其他节点到自己的路由得到 了更新；即这是一个利用节点位置的更新来优化AODV+的路由算法。
步骤C中，中间节点做好数据转发准备，具体是指中间节点解封装来自源 节点的数据包，获悉其下一跳地址，同时纪录本次数据转发过程中的临时一跳路 由表；其中，中间节点的临时一跳路由表表项中包括本次通信的源节点,本次链
路中的本节点的上一跳节点以及下一跳节点。 对异常情况进行处理采用如下方法
a. 节点对其上下级节点的行为进行监测时，如果发现其邻居节点有不合理行为
时，就向可信赖中心报告，
b. 当可信赖中心得到多个节点对某一节点的怀疑报告时，就降低该节点的可 信度，
c. 当某一节点未按照协议规定执行时，主动通过基站向安全代理发送错误报告； 这个错误报告是由该节点依靠其内部报警模块或是协议本身的固有代码触发发送 的告警信息，
d. 安全代理收到错误报告后，大幅度降低该节点的可信度；当该节点的可信度 降到某个特定值时，它就不作为转发候选节点，
e. 当该节点的可信度降为O时，就将其驱逐出网络，
f. 如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对该链路 上的中间节点进行二分法检测；检测完成后，基站和安全代理更新网络拓扑，包 括可信度参数和可靠度参数的评估。
二分法检测的具体检测过程为将链路均分为二，首先基站探测链路上正中
间的节点是否可达；检测标准为要求该中间节点提供临时一跳路由表的信息，如果该路由表信息正确，说明链路的前半段是可达的，链路故障发生在后半段； 接着就将后半段再均分为二，得到下一个检测点，如果该路由表信息不正确，说 明链路的前半段就不可达，链路故障就发生在前半段；接着就将前半段再均分为 二，得到下一个检测点，以此类推，直到找到发生故障的那个中间节点。
由以上本发明提供的技术方案可以看出，本发明将蜂窝基站叠加到已有的
Adhoc网络中，并引入安全代理的概念。可信度为安全代理提供了判断节点是否 安全可靠的依据。节点可信度的增加在于该节点严格遵守协议规范，安全地转发 了数据。而可信度的降低则需要多个节点向安全代理提出怀疑报告，以避免恶意 节点对合法节点的陷害。可靠度参数表明了节点进行转发数据的可靠程度。基站
中存放可靠度，并对每个节点的可靠度进行实时监控。可信度和可靠度参数一起 有效地管理着融合网络中Ad hoc节点，大大降低了纯Ad hoc网络中接入认证等 安全问题的难度。
有益效果从以下三个方面来比较数据到达目的节点的性能。
(1) 优化前后目标节点处数据达到率的比较(图5)。可以看出，当数据发 送率较高的时候，优化后的AODV+的数据到达率将会提高；而数据发 送率过高，更新路由的距离较小会提高数据到达率。
(2) 优化前后失序包比例的比较(图6)。失序包比例是指数据到达序列中 失序数据包的数量占收到的总数据包数量的比例。这用来考察目的节 点收到的数据的有序性。可以看出，利用节点位置的更新来优化 AODV+路由算法后，当节点以较高的频率发送数据包时，由于节点对 于路由的主动维护，可以有效地保证转发数据不会因没有路由而堆积 在中间节点的缓存中，因而可以提高数据的有序性。
(3) 优化前后总延时的比较(图7)。由于数据发送的总数不同，时延总量 也应当是随着数据报发送量的增大而增大的。由图可以看出，在数据 发送频率比较低的时候，数据包总的时延基本相当，但随着数据发送 频率的增加，优化后的AODV+带来的时延明显较原本AODV+的要小 很多。
可见，积极维护路由使得数据转发链路不至于在转发过程中长时间瘫痪，降 低信息丢失的概率。
在安全上，安全代理的引入简化了 Adhoc节点的接入认证工作。节点可信度这一参数为安全代理提供了判断节点是否安全可靠的依据。通过使用公钥算法的 密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能，还 能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密，以达到用 户对通信安全的要求，同时也不会给移动终端带来过高负荷的计算量。


图i是具体组网方案，这是具有中心路由管理的Adhoc组网方案。
表l是融合网络的安全方案需要整个协议栈的保护。
图2是多重防护体系。
图3是安全路由流程图。
图4是多种不同的路由选择模式。
图5是AODV+路由协议优化前后数据到达率的比较。
图6是AODV+路由协议优化前后失包率比较。
图7是AODV+路由协议优化前后总延时比较。
图8是基站进行的二分法检测例图。
图9是从源节点S2到目标节点D4的路由链路解封装过程。 图IO是中间节点和目标节点的临时一跳路由表。
具体实施例方式
本发明将蜂窝基站叠加到已有的Ad hoc网络中。蜂窝基站协调多个Ad hoc网 络中的节点，为Adhoc网络提供安全性增强的路由。
本发明的融合网络组网方案如图1所示。
(1)移动终端，包括智能手机、PDA、手机、PC和笔记本电脑。这是一个 双模终端，它有两个接口蜂窝接口和Adhoc接口，因此既可以工作在现有的蜂 窝网络中，也可以工作在自组织的Adhoc网络中。每个移动终端都有模型中两个
重要的参数可靠度参数和可信度参数。
(2)基站，能尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点。
基站将本地节点的可靠度参数作为节点自身固有信息存储在数据库中。可靠度参 数"由电池电量、移动速度、运动状态和背景历史纪录决定，用于判断一个节 点是否适合作为中间节点转发数据。可靠度参数A的具体设置如下。
①电池电量设为C7，是一个百分比，最大值为1，表示电量满，它对应的可靠度参数为&。 C/值越大，当节点转发数据时路径的稳定性就越高；当f/值低 于某个阈值时，节点主动向控制节点发送电量有限告警，控制节点就将该节点的 可靠度降低，使其成为非主要转发节点。^是关于电池电量"的函数，C/越大，&就
越大，且t/和&的取值范围均为
。我们推荐的&具体定义为
<formula>formula see original document page 15</formula>
其中，Rw、 ^w为两个门限值，系统可以根据用户需求或各移动终端的电
池能力等要求设置具体的值，它们将电池电量分为低电量(0<f/Sf/,A1)、中电量 (f^〈C/《f/,m)和高电量(f/,m〈"Sl)三个等级；&、 &、 ^是分别对应于 三个等级电量的、的值，且有0^、<42<^^1。
② 移动速度(设为v):长时间停留在某处的节点相对于高速移动通过某区域 的节点来说更适合作为转发结点存在。当节点首次接入融合网络时，从其进入的 区域(网络边界或网络中心)判断其是否可能为穿越网络的节点，决定其初始可 靠度。节点在网络内工作时，控制节点依据在多个检査周期内获得的各网络拓扑 考察节点的平均速度，并根据其速度的大小来决定节点的可靠度。移动速度v的可 靠度参数为^， ^是关于移动速度v的函数，v越大，^就越小，、的取值范围是
。
我们推荐的&具体定义为
<formula>formula see original document page 15</formula>其中，v,w、 2为两个门限值，系统可以设置具体的值，它们将移动速度分
为低移动性(OSv< ,)、中移动性(v,A,SV<&2)和高移动性(v^ 2)三个 等级；& 、 &2、 &3是分别对应于三个等级移动性的&的值，且有 0 "23 < A:22 < S1 。
③ 运动状态采用模糊算法来判断各节点的行为模式、预测节点运动状态； 显然长时间在一个较小的区域内运动的节点比仅仅穿过小区的节点更适合作为转 发节点，因此前者的可靠度参数值也就越高。设与运动状态对应的可靠度参数为&
(&e
)。我们推荐的^的具体定义为■32
节点长时间只在小范围内运动 节点高速穿过小区
(3)
&3 其他情况
其中0^^2<^<^^1是系统可以灵活设置的值。可以取&31=1， &2=0
④背景历史纪录是节点最近一段周期(如一个月、 一周、三至五天等)内在某 个区域内停留时间的变化规律。在数据转发过程中， 一些有运动规律的节点显然
比一般节点更为可靠。如大多数工薪阶层的人，其作息极有规律，他们拥有的无 线设备一般会在工作或休息时间段内长期停留在某处或仅做极小范围(工作地点 或住宅)的移动。设与背景历史记录对应的可靠度参数为、，则对于每天或每周 都有规律地在移动的节点，其&就较高；反之&就较低。我们推荐的、的具体定 义为
&节点每天或每周都有规律地移动 &其他情况
其中0S^ < & Sl是系统可以灵活设置的值。
由上可得一个节点的可靠度参数A :
,=wA +w2A:2 +W,3 +W4、 (5)
其中w,(^l，2,3，4)是可靠度参数A(!、l,2,3，4)的权值，且有^>,=1， W,>0;
当可靠度参数A在[&，1]时，表示节点适合作为中间节点转发数据；否则不适 合作为中间节点转发数据。其中&为系统可以灵活定义的门限值。
(3)安全代理，是在基站的基础上发展分离出来，它包含以下几个概念。 首先，要保证整个网络的安全就是要保证网络协议栈内各层的安全，通过对 协议栈每一层的安全弱点的分析加强相应的安全措施来保证其安全。同时也可以 使用层与层之间的联系来实现对整个协议栈的保护。融合网络中对于整个协议栈 的保护可以如表1所示。层安全特性
应用层检测并防止病毒、蠕虫、恶意代码和应用错误
传输层鉴权和利用数据加密实现安全的端到端通信
网络层保护路由转发协议
链路层保护无线MAC协议和提供链路层安全支持
物理层防止信号冲突造成的DoS攻击
表1融合网络的安全方案需要整个协议栈的保护
其次，对于未知攻击者的攻击方法是无法预先知道的，建立在这种不确定的 对攻击方法假设基于上的解决方案同样也是不可靠的。因此，对协议本身弱点的 研究以及加强节点对于协议规范的可靠执行是一种更好的解决攻击的方法。
第三，通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可 以提供较为可靠的安全性能，还能在数据量较大、实时性要求较高的通信过程中 提供高效的数据加密，以达到用户对通信安全的要求，同时也不会给移动终端带 来过高负荷的计算量。
第四，安全代理对Adhoc路由部分要求采用多重防护体系(如图2)，以强
制网络中的节点严格遵守协议规范。多重防护就是在每一层的每个功能块中包含 了保证该功能块的功能能够正常实现的多个子模块，也就是将原有的各层功能细 化以提高多重防护可实现性。网络层安全就是要保证节点转发时完全按照路由表 的指示向前传送信息，不做出篡改数据包的下一条地址或在本地复制数据包等恶 意行为；链路层安全就是保证正在通信的两个节点间的一跳连接。
在上述概念的支持下，安全代理由鉴权中心和可信赖中心组成。
①鉴权中心
i. 网内鉴权
待认证节点在接入网络之前需要向鉴权中心提出申请。由鉴权中心通过带外 信道向待认证节点发放一个只有鉴权中心和待认证节点知道的私钥，其对应的公 钥则由鉴权中心向网络内的其他用户公布，并用公钥算法内的参数来携带私钥或 产生私钥种子。
ii. 网间鉴权
由网络运营商事先签订漫游协议，以保证不同运营商的合法用户可以在各种 网络间漫游并获得服务，以及在一定范围内以Adhoc方式工作。在进入网络和需 要取得服务前，用户用归属网络鉴权中心发放的证书向访问网络的鉴权中心发出 请求，并通过归属网络的鉴权中心向访问网络的鉴权中心之间的交互认证，确定该用户的合法性。当用户需要服务时用其私钥对请求进行签名以保证服务的不可 抵赖性。
②可信赖中心
可信赖中心提供了判断节点是否安全可靠的依据，即可信度参数，简称可信 度。可信赖中心在节点第一次接入网络时将该节点设为可信赖节点，但可信度较 低。
节点要求接入网络时，控制节点(基站和安全代理)首先允许该节点接入网 络。然后按照下面三种情况确定可信度参数。
i .如果节点是某服务提供商的用户，控制节点就向相应的服务提供商核实用 户的身份。
ii. 如果能与众多服务提供商达成协议，则在各服务提供商的数据库中设置长 期可信度参数。
对于i和ii ，若基站在服务提供商处未能核实该节点的身份或是确认是非法 节点(如挂失、欠费等)，则拒绝其接入网络。
iii. 如果节点仅是无线网卡之类的无线收发设备而不属于任何集中管理式网 络，则取一个折中的可信度。这个折中可信度，是长期观察计算得出的平均值。
当节点接入网络后，可信赖中心对节点可信度参数的确定需要参考本节点和 网络中其它节点的报告。也就是说，当某节点被其邻居节点检测出它未严格按照 协议规定执行时，可信赖中心会根据两种错误报告(来自本节点的错误报告和来 自其它节点的错误报告)将该节点的可靠度降低1个单位。当这个参数降到某个 特定值时，该节点将不作为转发候选节点，降到0时则被驱逐出网络。
*来自其它节点的错误报告
每条链路中节点负责对其上下级节点的行为进行监测监听下一级节点在网 络上发送数据包的情况、超时查询与上一级节点间的链路是否通畅等行为，获得 关于其邻居节点是否正确执行了协议规范。如果发现其邻居节点有不合理行为时， 对该节点的身份进行怀疑，并强制其进行身份认证，并向可信赖中心报告。在这 种报告机制下需要注意的是，降低某一个节点的信赖度时需要两个或两个以上节 点对该节点的怀疑报告，以避免恶意节点对合法节点的陷害。
*来自本节点的错误报告
节点本身也自动向可信赖中心发送自发的错误报告，以防止恶意节点发送虚假报告诬蔑合法节点，或防止多个节点长期对某个节点的蓄意陷害。由节点本身 发出的错误报告是由节点内部报警模块或是协议本身的固有代码触发向可信赖中 心发出的。错误报告应当包含有节点固有的ID等节点固有信息，以免同一物理设 备使用不同无线收发装置对网络进行破坏(如同一手机终端使用不同的SIM卡)， 或是在不同的区域内使用不同的临时地址对其它节点的工作造成影响(如控制节 点错误的认为使用该临时地址的节点有过恶意行为而降低此后使用该地址的节点 的可靠度等)。另外，错误报告中还应当留有附加字段以便日后功能扩充。如添加 字段表明非法行为的种类、节点常用攻击类型等，使告警更加详细具体。
根据上述融合网络的模型结构，本发明中的安全路由方法参照图3的流程， 具体如下
步骤01:节点接入融合网络后，为了切换服务，其蜂窝接口和Adhoc接口
都是使能的。节点定时查看自己的位置，若有变化，则更新自己的一跳路由表。 同时，基站和安全代理分别获得其可靠度参数和可信度参数。如果这两个参数都 达不到各自得门限值，则在路由选择时尽量不将这些节点设为转发节点，只将它 们作为末端节点。
步骤02:源节点发起路由请求，按照"先选择Adhoc模式，后依靠基站"的 方式进行路由选路。即优先采用Adhoc路由的模式转发数据，此时基站只处理控 制信令；只有当不能满足QoS (如实时性、吞吐量)要求时，才借助基站转发数 据。源节点和基站根据目标节点的位置选择一条或多条最优路径分为以下3种情
况
(1) 源节点要转发数据时，首先查看自己的一跳路由表。若目标节点地址
在一跳路由表中，这两个节点就直接通信。例如图4中的Sl和Dl、 Sl和D2。
若目标节点不在源节点的一条路由表中，则源节点就向基站发送路由询问消 息。基站利用所掌握的节点位置信息，查看目标节点的位置。
(2) 若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由 回复消息，通知源节点用Adhoc路由方式与目标节点通信。例如图4 中的Sl和D3。
在本发明中，对于Adhoc路由方式并不特定的给出基础路由算法，各种Adhoc 路由算法均可成为本发明的基础算法，还可以参考Internet中使用的选路算法的思路。以下就采用基于节点位置更新的路由算法来初步检査有中心路由控制下的Ad hoc路由性能。
具体思路为在原有AODV+路由的基础上，节点定时査看自己的位置，再将 当前位置和上一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新 自己的路由，将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到 达。更新自己到达自己路由表中所有其他节点的路由，同时也使得其他节点到自 己的路由得到了更新。即这是一个利用节点位置的更新来优化AODV+的路由算 法，简称AODV+优化后的路由算法。
该思路的仿真结果如图5、图6、图7所示。它们都是原AODV+路由算法和 AODV+优化后的路由算法在目标节点处性能参数的比较。
图5是优化前后目标节点处数据达到率的比较。可以看出，当数据发送率较 高的时候，优化后的AODV+的数据到达率将会提高；而数据发送率过高，更新路 由的距离较小会提高数据到达率。
图6是优化前后失序包比例的比较。失序包比例是指数据到达序列中失序数 据包的数量占收到的总数据包数量的比例。这用来考察目的节点收到的数据的有 序性。可以看出，利用节点位置的更新来优化AODV+路由算法后，当节点以较高 的频率发送数据包时，由于节点对于路由的主动维护，可以有效地保证转发数据 不会因没有路由而堆积在中间节点的缓存中，因而可以提高数据的有序性。
图7是优化前后总延时的比较。由于数据发送的总数不同，时延总量也应当 是随着数据报发送量的增大而增大的。由图可以看出，在数据发送频率比较低的 时候，数据包总的时延基本相当，但随着数据发送频率的增加，优化后的AODV十 带来的时延明显较原本AODV+的要小很多。
(3)若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点 的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠 度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将 所有路径放在路由回复消息中发送给源节点。例如图4中的S2和D4。
步骤03:源节点收到路由回复消息，中间节点做好数据转发准备。又分为两 种情况
(1)源节点收到的是一条最优路径，就在指定路径上发送数据传输请求消 息。基站通知整条链路上的所有节点做好转发数据的准备以及其下一跳节点地址。当源节点收到来自目标节点的路由恢复消息后即可开始 发送数据。
(2)当源节点收到的是多个较优路径时，则在所有较优路径上发送数据传 输请求消息，通知所有链路上的节点做好转发数据的准备以及其下一 跳节点地址。当源节点收到第一个从目标节点返回的回复消息时，源 节点通知所有其它连路上的节点无需再等待转发数据。接下来，源节 点就在最小的路径上发送数据。
中间节点做好数据转发准备，具体是指中间节点解封装来自源节点的数据 包，获悉其下一跳地址，同时纪录本次数据转发过程中的临时一跳路由表。该路 由表表项中包括本次通信的源节点、该链路中的本节点的上一跳节点以及下一跳 "P点。
步骤04:数据加密传输过程中，各节点对其上下级节点的行为进行监测。具 体过程为
(1) 私钥对通信过程中的数据加密。
(2) 每条链路中节点负责对其上下级节点的行为进行监测监听下一级节 点在网络上发送数据包的情况、超时査询与上一级节点间的链路是否 通畅等行为，获得关于其邻居节点是否正确执行了协议规范。如果发 现其邻居节点有不合理行为时，对该节点的身份进行怀疑，并强制其 进行身份认证，并向可信赖中心报告。
(3) 如果源节点或中间节点根据内部报警模块获悉节点本身违反了协议规 范。则由节点本身内部报警模块或是协议本身的固有代码触发向可信 赖中心发出错误报告。错误报告应当包含有节点固有的ID等节点固有 信息。
步骤05:根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可 信度参数。具体更新为
(1) 中间节点成功转发数据后，可信赖中心增加其可信度。
(2) 当可信赖中心收到两个或两个以上节点对某节点的错误报告时，则将 该节点的可信度降低1个单位。如果可信赖中心还同时收到来自该节 点本身的错误报告时，则将该节点的可信度降低2个单位。(3)当可信度降到某个特定值时，该节点将不作为转发候选节点，降到0
时则被驱逐出网络。
然而，如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对 该链路上的中间节点进行二分法检测。检测完成后，基站和安全代理更新网络拓
扑(包括可信度参数和可靠度参数的评估)。二分法检测的具体检测过程如下
将链路均分为二 (如图8所示)，首先基站探测链路上正中间的节点(图8
中为节点E)是否可达。检测标准为要求该中间节点提供临时一跳路由表 的信息。如果该路由表信息正确，说明链路的前半段是可达的，链路故障发 生在后半段；接着就将后半段再均分为二，得到下一个检测点(图8中为节 点F)。如果该路由表信息不正确，说明链路的前半段就不可达，链路故障就 发生在前半段；接着就将前半段再均分为二，得到下一个检测点(图8中为 节点B)。以此类推，直到找到发生故障的那个中间节点。
下面以图4中的S2和D4为例，说明上述路由过程。
(1) 首先，由基站BSA和BSB根据网络拓扑和可靠度、可信度参数计算 得到最优链路S2—P—BS A—BS B—B—Q—D4。
(2) 其次，基站将此链路发给源节点S2，同时通知链路上的每个节点要求 转发来自源节点S2的数据包。
(3) 然后，S2解封装该链路信息数据包，只解封装下一跳地址，如图9所 示(源节点和下一跳的地址用灰色底纹所示)，获悉其下一跳是节点P; 并将该下一跳信息在该链路信息数据包中删除，以减轻信息负荷；最 后则将数据包发往下一跳节点P。
(4) 中间节点P得到数据包后，解封装得到这是来自源节点S2的数据包， 获悉其下一跳节点是BS A，并将该下一跳信息在该链路信息数据包中 删除，将数据包发往下一跳节点BSA。整个链路上中间节点解封装过 程以此类推。
(5) 同时，对于每一个中间节点，都会在一跳路由表中临时纪录本次通信 的源节点、该链路中的本节点的上一跳节点以及下一跳节点。如图10 所示。
(6) 如果目标节点D4能收到来自源节点S2的数据包，则根据其一跳路由 表中的上一跳地址，向源节点S2发送路由回复消息；中间节点也根据各自临时一跳路由表中的上一跳地址，向源节点S2反馈来自目标节点 D4的路由回复消息。
(7) 源节点S2收到目标节点D4的路由回复消息后，将加密好的数据包发 送给D4。如果源节点S2在一定的等待时间内未能收到来自目标节点 D4的数据包，则转(9)。
(8) 在中间节点参与数据转发的过程中，始终负责对其上下级节点的行为
进行监测监听下一级节点在网络上发送数据包的情况、超时査询与
上一级节点间的链路是否通畅等行为，获得关于其邻居节点是否正确
执行了协议规范。如果发现其邻居节点有不合理行为时，对该节点的
身份进行怀疑，并强制其进行身份认证，并向可信赖中心报告。
一16—
(9) 如果源节点S2在一定的等待时间内未能收到来自目标节点D4的数据 包，则说明基站所给的这条路由链路出现了故障(情况可能是中间节 点瞬间关机导致，也可能是有恶意节点存在等)。这时，又分为两种情 况
i. 如果可信赖中心收到中间节点发来的错误报告，则基站和安全代理 更新网络拓扑(包括可信度参数和可靠度参数的评估)，重新计算新 的路由链路。
ii. 如果可信赖中心没有收到中间节点发来的错误报告，则转(10)。
(10) 如果可信赖中心没有收到中间节点发来的错误报告，则由基站对该链 路上的中间节点进行二分法检测。则基站和安全代理更新网络拓扑(包 括可信度参数和可靠度参数的评估)，重新计算新的路由链路。
权利要求
1、一种安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于该融合网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路由的方法进行路由，其中双模移动终端包括智能手机、PDA、PC和笔记本电脑，是该模型中的终端用户，双模移动终端简称节点，有两个接口蜂窝接口和自组织网接口，节点通过蜂窝接口工作在蜂窝网线路中称为蜂窝模式，通过802.11接口即Ad hoc接口，工作在自组织的自组织网网络中称为自组织网模式；基站基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点，组成网络拓扑信息，基站将本地节点的可靠度参数即由电池电量、移动速度、运动状态和背景历史纪录四部分组成确定，作为节点自身固有信息存储在数据库中；基站就利用网络拓扑信息和可靠度参数帮助节点进行选路；基站和节点之间有两大互连信道普通的蜂窝信道和为Ad hoc接口分配的蜂窝控制信道，当节点可以直接采用蜂窝模式通信时，就通过蜂窝信道与基站互连；否则节点就通过为Ad hoc接口分配的蜂窝控制信道与基站互连，请求或接受基站的帮助；安全代理通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含可信赖中心和鉴权中心，用于管理融合网络的安全，可信赖中心中记录着节点的可信度参数，可信度参数提供了判断节点是否安全可靠的依据；在上述这样的一种融合网络方案下，节点第一次接入网络时信赖中心将该节点设为可信赖节点，但可信度较低，鉴权中心通过带外信道向待认证节点发放认证私钥，并用公钥算法内的参数来携带私钥或产生私钥种子，实现对节点的认证；节点接入网络后，为了切换服务，其蜂窝接口和Adhoc接口都是使能的，这时，一方面基站获得其可靠度参数，基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分组成；另一方面，当节点接入网络后，可信赖中心对节点可信度参数进行确定，并利用可信度参数进行安全管理；当节点发起路由请求时，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路，采用融合网络安全路由的方法进行路由，“先选择Ad hoc网络，后依靠基站”的方式就是优先采用Ad hoc路由的模式转发数据，基站只处理控制信令；只有当不能满足服务质量要求时，才借助基站转发数据。
2、根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路 由方法，其特征在于基站用节点可靠度参数来判断该节点是否适合作为中间节点转发数据，可靠度参数由电池电量、移动速率、运动状态和背景历史纪录四部分 组成，具体判断方案为-电池电量设为^，是一个百分比，最大值为1，表示电量满，它对应的可靠度参数为^， A是关于电池电量c/的函数，f/越大，^就越大，且t/和^的取值范围均为[O，l]， ^具体定义为'""13 U,/)2其中，R 、 f/,M为两个门限值，系统根据用户需求或各移动终端的电池能力 要求设置具体的值，将电池电量分为低电量0〈C/Sf/,M、中电量^w〈C/^^/^和 高电量C/,M〈f/Sl三个等级；&,、 &12、 ^是分别对应于三个等级电量的^的值， 且有0"u < <A13化移动速度设为v，其可靠度参数为^， ^是关于移动速度v的函数，v越大，^就 越小，^的取值范围也是
， ^具体定义为、"v< i "化 v, "<vrt2A23 "、〖A2其中，K 、 v^为两个门限值，系统设置具体的值，将移动速度分为低移动 性0^V〈1V、中移动性V^^〈^2和高移动性^V船三个等级；、、~2、 &3是分别对应于三个等级移动性的&2的值，且有0 S A:23 < &2 < A21 S1;设与运动状态对应的可靠度参数为&，其中^e
， /^的具体定义为A31节点长时间只在小范围内运动 &32节点高速穿过小区 &3 其他情况其中0《&2 <&3 《l是系统可以灵活设置的值；设与背景历史记录对应的可靠度参数为& ，对于每天或每周都有规律地在移动的节点，其&就较高；反之&就较低，^的具体定义为&节点每天或每周都有规律地移动 &2其他情况其中0 S A42 < A41 S1是系统可以灵活设置的值；由上可得一个节点的可靠度参数it :t 一 + H"242 + w3&3 + w4A:4 /c 二其中Wi是可靠度参数Kj的权值，且有^>,=1， w,〉0; i=l、 2、 3——,当可靠度参数A:在[&，1]时，表示节点适合作为中间节点转发数据；否则不适 合作为中间节点转发数据。其中&为系统可以灵活定义的门限值。
3、 根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路 由方法，其特征在于节点接入网络后，可信赖中心对节点可信度参数进行确定，这种确定具体包括两种报告I) 来自本节点的错误报告；II) 来自网络中其它节点的报告；当某节点被其邻居节点检测出它未严格按照协议规定执行时，可信赖中心会 根据这两种错误报告将该节点的可靠度降低1个单位。
4、 根据权利要求1所述的安全性增强的蜂窝网与自组织网融合网络的安全路 由方法，其特征在于融合网络安全路由的方法包括步骤A、 节点接入网络后，基站和安全代理分别获得其可靠度参数和可信度参数；同时该节点定时更新本身的一跳路由表，B、 源节点发起路由请求，源节点和基站根据目标节点的位置选择一条或多条最优路径，F、 源节点收到路由回复消息，中间节点做好数据转发准备，G、 数据加密传输过程中，各节点对其上下级节点的行为进行监测，并对异 常情况进行处理，H、 根据数据转发过程中的报告，可信赖中心更新整条链路上节点的可信度参数。
5、 根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于步骤B包括Bl、 源节点要转发数据时，首先査看自己的一跳路由表，若目标节点地址在一跳路由表中，这两个节点就直接通信，B2、 若目标节点在源节点的3跳范围之内，则基站就返回源节点一个路由 回复消息，通知源节点用Adhoc路由方式一一采用基于节点位置更新 的路由算法，与目标节点通信，B3、 若目标节点在源节点的3跳范围之外，则基站根据源节点和目标节点 的位置，以及所掌握的网络中其它节点的位置信息、所有节点的可靠 度参数等信息确定从源节点到目标节点的一条或多条最优路径，并将 所有路径放在路由回复消息中发送给源节点。
6、 根据权利要求5所述的安全性增强的蜂窝网与自组织网融合网络的安全路 由方法，其特征在于步骤B2采用基于节点位置更新的路由算法，具体方法为-在原有AODV+路由的基础上，节点定时査看自己的位置，再将当前位置和上 一个时刻的位置相比较，如果位置有所变化，那么节点就开始更新自己的路由， 将路由表中所有能够到达自己的路由更新一遍，看看是否还能够到达；更新自己 到达自己路由表中所有其他节点的路由，同时也使得其他节点到自己的路由得到 了更新；即这是一个利用节点位置的更新来优化AODV+的路由算法。
7、 根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路 由方法，其特征在于步骤C中，中间节点做好数据转发准备，具体是指中间节 点解封装来自源节点的数据包，获悉其下一跳地址，同时纪录本次数据转发过程 中的临时一跳路由表；其中，中间节点的临时一跳路由表表项中包括本次通信的源节点，本次链路中的本节点的上一跳节点以及下一跳节点。
8、 根据权利要求4所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于对异常情况进行处理采用如下方法a. 节点对其上下级节点的行为进行监测时，如果发现其邻居节点有不合理行为时，就向可信赖中心报告，b. 当可信赖中心得到多个节点对某一节点的怀疑报告时，就降低该节点的可 信度，C.当某一节点未按照协议规定执行时，主动通过基站向安全代理发送错误报告；这个错误报告是由该节点依靠其内部报警模块或是协议本身的固有代码触发发送 的告警信息，d. 安全代理收到错误报告后，大幅度降低该节点的可信度；当该节点的可信度降到某个特定值时，它就不作为转发候选节点，e. 当该节点的可信度降为O时，就将其驱逐出网络，f. 如果可信赖中心没有收到中间节点发来的错误报告，则首先由基站对该链路上的中间节点进行二分法检测；检测完成后，基站和安全代理更新网络拓扑，包 括可信度参数和可靠度参数的评估。
9、根据权利要求8所述的安全性增强的蜂窝网与自组织网融合网络的安全路由方法，其特征在于二分法检测的具体检测过程为将链路均分为二，首先基站 探测链路上正中间的节点是否可达；检测标准为要求该中间节点提供临时一跳 路由表的信息，如果该路由表信息正确，说明链路的前半段是可达的，链路故障 发生在后半段；接着就将后半段再均分为二，得到下一个检测点，如果该路由表 信息不正确，说明链路的前半段就不可达，链路故障就发生在前半段；接着就将 前半段再均分为二，得到下一个检测点，以此类推，直到找到发生故障的那个中 间节点。
全文摘要
安全性增强的蜂窝网与自组织网融合网络的安全路由方法是一种安全性增强的蜂窝网与Ad hoc(自组织网)融合网络方案及路由安全方法，该融合网络包括双模移动终端、基站和安全代理三个主要部分，并采用融合网络安全路由的方法进行路由，其中双模移动终端包括智能手机、PDA、PC和笔记本电脑，基站尽可能详尽地存储本地地形，精确定位覆盖范围内的合法节点，组成网络拓扑信息，安全代理通过蜂窝网主干线路连接基站管理小区内的节点，安全代理内含可信赖中心和鉴权中心，用于管理融合网络的安全，当节点发起路由请求时，按照“先选择Ad hoc模式，后依靠基站”的方式进行路由选路，采用融合网络安全路由的方法进行路由。
文档编号H04L29/06GK101304384SQ20081012268
公开日2008年11月12日 申请日期2008年6月6日 优先权日2008年6月6日
发明者忞 冯, 蒙 吴, 季丽娜 申请人:南京邮电大学