一種認知Mesh網絡中安全路由及信道分配方法

2023-07-27 18:08:36 4

專利名稱：一種認知Mesh網絡中安全路由及信道分配方法
技術領域：
本發明涉及無線網絡技術領域，具體涉及一種認知Mesh網絡中安全路由及信道分配方法。
背景技術：
應用認知無線電(Cognitive Radio, CR)技術的無線Mesh網絡(wirelessmesh networks, WMN，無線網狀網絡)，即認知無線Mesh網絡(CWMN/CogMesh)，無縫結合了 CR和 WMN 二者的優勢，不僅以Mesh組網技術，實現蜂窩移動、WLAN、WiMAX, WiFi和WPAN等多種 異構無線網絡的融合與統一，而且通過結點的感知、理解和自適應無線電資源(如頻譜、時 間、空間和功率)，有效地提高頻譜利用率和網絡吞吐量，從而為多媒體用戶提供靈活的寬 帶無線網絡連接。無線Mesh網絡因其開放介質、動態拓撲、多跳等特點使其不僅容易遭受包括竊取 機密、信息篡改、路由攻擊、鏈路層攻擊、DoS攻擊或非授權接入等傳統攻擊損害，而且面臨 更多新型的安全挑戰，比如靜態配置將無法保證動態拓撲的足夠安全性；集中於無線網 關的安全管理將延緩網絡對攻擊的檢測和應對；相同的安全方案無法同時適用於有移動性 及能源限制等差異的網關、路由器與客戶端；複雜電磁環境下需要抗幹擾的安全策略。此 夕卜，CogMesh因其動態頻譜分配和端到端可重配置等特點，新的安全隱患和攻擊行為，如模 仿主用戶攻擊(PUE)、幹擾主用戶、攻擊頻譜管理、公共控制信道幹擾、自私行為攻擊等使 其安全問題更加複雜。目前，WMN的主要安全技術包括認證接入、信息加密、數字籤名、密 鑰管理、入侵檢測和路由信息保護等，並且有商用的安全解決方案，如802. IlMesh網中的 TroposMetro Mesh方案和Nortel方案；對於無線Mesh網絡中實時的威脅，終端用戶不僅 需要獲得擴展的認知接入帶寬，而且需要得到點對點和端到端的安全傳輸保障，因此當前 需要一個技術方案來解決CWMN安全的問題。

發明內容
本發明所要解決的技術問題是提供一種認知Mesh網絡中安全路由及信道分配方 法，解決無線Mesh網絡中實時的威脅，終端用戶不僅需要獲得擴展的認知接入帶寬，而且 需要得到點對點和端到端的安全傳輸保障的問題。為了解決上述問題，本發明提供了一種認知Mesh網絡中安全路由及信道分配方 法，包括網絡側進行初始化後，該網絡側測量並獲得網狀Mesh路由器的結點的信任度的 數據；所述網絡側測量並獲得信道安全度量的數據；所述網絡側根據獲得的所述Mesh路由器的結點的信任度的數據和信道安全度量 的數據，進行路徑安全度量的路由發現和路徑選擇後，進行路由應答及信道分配。進一步地，上述方法還可包括，所述網絡側測量並獲得Mesh路由器結點的信任度的數據包括所述Mesh路由器結點的直接信任度的數據和間接信任度的數據。進一步地，上述方法還可包括，所述網絡側測量並獲得Mesh路由器結點的直接信 任度的數據，具體是指所述網絡側將認證合法接入無線Mesh網絡的所有結點確認為安全後，即判斷結 點Cmri對其鄰居結點Cmrj的直接信任度DTDtl (Cmri — Cmrj) = 1，在每個預定周期內，判斷 若結點Cmri檢測到針對結點Cmrj的攻擊，則將DTD (Cmri — Cmrj)以指數步長遞減；或者判斷若在所述預定周期內，結點Cmri沒有檢測到對結點Cmrj的路由攻擊，則 將曾失去一些信任度的DTD(cmri — Cmrj)線性增加一變化值，同時重置攻擊次數，直到結點 Cmri對結點Cmrj恢復到最大信任度；得到Mesh路由器結點的直接信任度的數據。進一步地，上述方法還可包括，所述網絡側判斷若結點Cmri檢測到針對結點Cmrj 的攻擊，則將DTD (Cmri — Cmrj)以指數步長遞減，是通過以下方式完成其中，若結點Cmri檢測到針對結點cmr」的攻擊次數達到上限時，令結點Cmri對結 點Cmrj的直接信任度下降到0 ；所述網絡側將曾失去一些信任度的DTDkmri — Cmrj)線性增加一變化值，是通過 以下方式完成DTDt (Cmri — Cmrj) = DTDt^t (Cmri — Cmrj)+CV, CV e (0，1)，其中 CV 為變化值。進一步地，上述方法還可包括，所述網絡側測量並獲得Mesh路由器結點的間接信 任度的數據，具體是指所述網絡側在t時刻，判斷若結點Cmri通過路由請求消息RREQ攜帶或通過控制 信道獲得其它結點cmrk發出的信任度TDt, (cmrk — Cmrj) (t 『 < t)，則更新結點cmrk對結 點Cmrj的間接信任度ITDt (cmrk — Cmrj)；其中，ITD (Cmrj)與結點Cmri對結點cmrk的信任度TD (Cmri — cmrk)有關， TD(Cmri — cmrk)越高，則ITD(Cmrj)的更新程度越大。進一步地，上述方法還可包括，所述網絡側更新結點cmrk對結點Cmrj的間接信任 度ITDt (cmrk — Cmrj)，是通過以下方式完成
，其中CMR為Mesh路由器集合。進一步地，上述方法還可包括，所述網絡側測量並獲得信道安全度量的數據，包括 以下步驟所述網絡側確認動態可用的數據信道集中的可用信道為安全可靠後，即確認信道 安全度量CSMtl (Chu) = 1 ；在每個定長周期At內，判斷若檢測到針對信道Chu的攻擊，則 將CSM(Chij)以指數步長遞減；或者判斷若Δ t內沒有對Chij的信道攻擊，則將曾失去一些安全度的CSM(Chij)線 性增加一個變化值CV，同時重置攻擊次數，直到信道Chu恢復到最大安全度，得到信道安全 度量的數據。
進一步地，上述方法還可包括，所述網絡側在每個定長周期At內，判斷若檢測到針對信道Chij的攻擊，則將CSM(Chij)以指數步長遞減，是通過以下方式完成
其中，入為攻擊次數，其中，當At內檢測到對Chij的攻擊次數λ達到上限N時，令信道Chij的安全度 下降到0;所述網絡側判斷若At內沒有對Chij的信道攻擊，則將曾失去一些安全度的 CSM(Chij)線性增加一個變化值CV，是通過以下方式完成CSMt (Chij) = CSMt-At (Chij) +CV, CV e (0，1)。進一步地，上述方法還可包括，所述網絡側根據獲得的所述Mesh路由器結點的信任 度的數據和信道安全度量的數據，進行路徑安全度量的路由發現和路徑選擇，具體是指所述網絡側的網關結點收到終端發送的數據且沒有有效路由後，該終端結點通過 其控制接口廣播發送RREQ ；所述網絡側的網關結點收到第一個RREQ分組後收到多個RREQ 分組，從而得到多條不相交的路徑，根據獲得的所述Mesh路由器結點的信任度的數據和信 道安全度量的數據，從中選擇一適應該業務安全需求的最短路徑，完成路徑選擇。進一步地，上述方法還可包括，所述網絡側進行路由應答及信道分配，具體是指所述網絡側的網關結點選定安全路徑後，沿該路徑逆向發送路由應答消息RREP， 沿途結點提取RREP分組中攜帶的其與下遊結點之間的信道分配信息，為其與上遊鄰居結 點之間選擇一個不與下遊信道衝突的，適應該業務安全需求的安全度量值的信道，並將該 信道加入RREP分組中攜帶的信道分配列表中，繼續向其上遊結點轉發，直至所述終端結點 收到RREP分組後即建立從該終端結點到網絡側的網關結點，並途經適應該業務安全需求 的最信任結點且每一跳信道也是最安全的路由，完成信道分配。與現有技術相比，應用本發明，利用Mesh路由結點的認知可用信道集分布具有 離散性和不均勻性，而且隨時間和位置的變化而動態改變的特點，設計了 MAC層和網絡層 協同的跨層CWMN網絡安全框架，即基於安全度量的聯合路由和信道分配策略(Security Metric-based Channel Assignmentand Routing, SMCAR)以實時應對網絡威脅，使終端用 戶業務不僅獲得擴展的認知接入帶寬，而且得到點對點和端到端的安全傳輸保障，為建立 全面完整的CWMN安全機制提供一種新的思路和嘗試。應用本發明加快了 CWMN的商用化進 程，並且對金融、軍事等敏感數據傳輸的安全需求提供了保障。


圖1是本發明的認知Mesh網絡中安全路由及信道分配方法的流程圖；圖2是本發明中RREQ路由請求分組的廣播過程的示意圖；圖3是本發明中SMCAR和AODV的SDF比較的示意圖；圖4是本發明中不同網絡規模的分組安全遞交率比較的示意圖；圖5是本發明中網絡分組安全遞交率與認知信道數的關係的示意圖。
具體實施例方式下面結合附圖和具體實施方式
對本發明作進一步說明。
認知無線Mesh網絡可抽象為一個有向圖G(CMR，DCS)，其中CMR是認知Mesh路由器(Cognitive radio Mesh Router, CMR)集合，CMR 表示 CWMN 中的 CMR 數；DCS 是動態 可用的數據信道集(Dynamic Channel Set)(固定分配信道集U認知信道集/全認知信道 集)，IDCSl表示信道數。每個cmr e CMR配置兩個半雙工的無線電收發器，其中一個收發 器工作於特定共享公共控制信道，通過信令傳輸協調局部或全局通信；另一個收發器根據 路由和頻譜決策在DCS上動態切換信道，避開同頻幹擾及信道攻擊，專門用於數據安全傳 輸。CMR鄰居結點間有共享的數據信道，即為=Gcwr7，Chij e DCS。其中網絡側可以 是指Mesh網關結點。點對點通信信道和多跳認知Mesh路由結點是CWMN實現終端數據中繼轉發到網關 結點的關鍵。結點cmr e CMR是否能安全地把數據包轉發給其鄰居依賴於兩個因素一是 cmr與鄰居之間數據傳輸信道的安全性，二是cmr鄰居結點的可信度。因此，本發明提出兩 種簡單信任關係，即trusted或imtrusted的信任框架進行改進，提出在鄰居結點之間建立 更準確度量的信任關係，為Mesh終端和Internet接入網關間的通信選擇一條信息存儲和 數據包轉發的可信路徑，然後在路由建立的基礎上為相鄰結點之間的無線傳輸分配安全度 高的數據信道。如圖1所示，本發明的認知Mesh網絡中安全路由及信道分配方法，包括步驟10、網絡側進行初始化後，測量並獲得Mesh路由器的結點的信任度的數據；CWMN可以採納WMN的集中式或分布式認證機制防止未授權結點接入網絡和加入 路由。但是由於認證攻擊和路由攻擊的存在，使得即使合法接入CWMN的結點的可信度，也 可能隨著網絡對入侵行為(如PUE攻擊等)的分布式檢測結果而動態更新。因此，在CWMN 中為業務流按需發起路由建立之前，有必要以信任關係建立難，失去容易的思想進行鄰居 結點之間基於量化信任度的信任關係建立，目的是為路由協議確定到達目的CMR結點的可 信下一跳。定義1 信任度(Trust Degree, TD)令 TDt (Cmri — Cmrj) e
表示在 t 時刻， Cmri對其鄰居結點cmr」的信任程度。TD是單向的，即TDt (Cmri — Cmrj) Φ TDt (cmr」一Cmri)， 而且TD是隨分布式入侵檢測的結點安全狀態的變化而動態更新，即
TDii(Cmri -> Cmrj) Φ TD, (Cmrl -> Cmrj) (^1 關 。其中，cmr」不僅是Cmri的鄰居，也可能是網絡中其它結點cmrk e CMR(k ^ i ^ j) 的鄰居。因此，CMR結點信任度TDt (Cmri — Cmrj)的量化應包含兩部分一是Cmri主動觀測 得到的對cmr」的直接信任度(Direct Trust Degree) :DTDt (Cmri — cmr」)，二是Cmri獲得 的其它結點 cmrk 對 cmr」的間接信任度(IndirectTrust Degree) =ITDt(Cmrj)JP TDt (Cmri Cmrj) = W1DTDt (Cmri — Cmrj)+W2ITDt (Cmrj)(W1, W2 e
，W^W2 = 1)其中，權值W1, W2表示DTD和ITD在量化TD(Cmri — cmr」)時所佔的比例，為防止 不良結點的惡意詆毀，一般取W1 > w2。1、直接信任度(Direct Trust Degree)的測量對鄰居結點信任度的測量應考慮其採用的安全機制，安全機制越完善的結點， 可靠性越高，其可信度也應該越高。本發明假設CMR結點均採用相同的安全機制，即暫 不考慮不同的安全機制對結點信任度的影響，並且不妨認為網絡初始化時，通過認證合法接入CWMN的所有CMR結點都是安全可信的，即Cmri對其鄰居Cmrj的直接信任度 DTD0(Cmri — Cmrj) = 1。之後，在每個定長At周期內，若Cmri檢測到針對cmr」的攻擊， DTD (cmr, — Cmrj)就以指數步長遞減(信任度失去容易) 即當Atft Cmri檢測到對cmr」的攻擊次數λ達到上限N時，令Cmri對 Cmrj的直接信任度下降到0。若At內無對Cmrj的路由攻擊，曾失去一些信任度的 DTD (Cmri — Cmrj)則線性增加一個變化值CV (信任度獲得難)，即=DTDt (Cmri — Cmrj)= DTDt_At (Cmri — Cmrj) +CV，CV e (0,1),同時重置攻擊次數入=0，直到Cmri對Cmrj恢復到 最大信任度，即DTD (Cmri — Cmrj) = 1。2、間接信任度(Indirect Trust Degree)的測量t時刻，當Cmri通過路由請求消息(RREQ)捎帶或通過控制信道獲得其它結點cmrk 發出的TDt, (cmrk — Cmrj) (t' < t)，就更新其對Cmrj的間接信任度ITDt (cmrk — Cmrj)

顯然，ITD(Cmrj)與 Cmri 對 cmrk 的信任度量 TD (Cmri — cmrk)有關，TD (Cmri — cmrk) 越高，ITD (Cmrj)的更新程度越大，說明在量化TD (Cmri — Cmrj)時，Cmri對其它結點cmrk觀 測意見的採納程度，取決於Cmri對這些結點的信任程度。步驟20、所述網絡側測量並獲得信道安全度量的數據；CWMN的無線傳輸信道同樣也會遭受諸如截獲、監聽、竊取等攻擊，使敏感、機密數 據的傳輸面臨安全威脅。所以需要在動態監測信道攻擊的基礎上，度量信道的安全程度並 周期更新，作為路由建立過程中逆向路由應答時安全數據信道選擇的依據。定義2 信道安全度量(Channel Security Metric, CSM)令 CSMt (Chij) e
表 示在t時刻，鄰居結點Cmri與Cmrj之間的共享數據信道Chij e DCS的安全程度，而且CSM 是隨分布式入侵檢測的信道安全狀態的變化而動態更新，即CSMii (Chij) φ CSMi2 (Chij) (t, ^i2) O信道安全度量的測量的流程如下假設網絡初始化時，DCS中的可用信道都是安 全可靠的，即CSMtl(Chij) = 1。之後，在每個定長周期At內，若檢測到針對信道Chij的攻 擊，CSM(Chij)就以指數步長遞減 即當At內檢測到對Chij的攻擊次數λ達到上限N時，令信道Chij的安全度下降 到0。若At內無對Chij的信道攻擊，曾失去一些安全度的CSM(Chij)則線性增加一個變化 值 CV，SP =CSMt(Chij) = CSMt^t(Chij)+CV,CV e (0，1)，同時重置攻擊次數 λ =0，直到信道 Chij恢復到最大安全度CSM(Chij) = 1。步驟30、所述網絡側根據獲得的所述Mesh路由器的結點的信任度的數據和信道 安全度量的數據，進行路徑安全度量的路由發現和路徑選擇後，進行路由應答及信道分配 (即所述網絡側基於上述安全度量的聯合路由及信道分配)。以上關於CWMN中CMR結點之間信任關係的周期更新以及可用數據信道安全性的動態度量，可以作為本節CMR結點與Internet接入網關間端到端尋路的指標和點對點信道分配的依據。SMCAR的主要思想是實現基於路徑安全度量的安全路由發現與選擇，以及逆向 路由確認時聯合進行基於信道安全度量的信道分配。這種跨層協作方法的目的是在CWMN 不斷變化的網絡安全狀態下，為用戶業務提供一條當前可信安全的多跳轉發路徑和無線傳 輸信道。所謂安全路徑其實應該是沿信息傳輸路徑建立一條信任關係鏈，結點的信任度越 高，結點之間可用信道的安全度越高，結點之間的信任關係越可靠，數據傳輸的安全性也就 越高。定義3 信任關係(Trust Relation, TR)令 TRt (Cmri — Cmrj) e
表示 在t時刻，Cmri與鄰居結點Cmrj之間的信任關係。影響TRt (Cmri — Cmrj)的主要因素是 TDt (cmr, — Cmrj)和CSMt (Chij)，由於t時刻結點間可能有多個可用信道，所以總是選擇安全 度量最高的信道，即TRt (Cmri — Cmrj) = (I1TDt (Cmri — Cmrj) X d2max (CSMt (Chij))(Cl1，d2 e
，Cl^d2 = 1，Chij e DCS)其中，Cl1, d2表明結點之間的信任關係對結點信任度和信道安全度量的敏感程度。從端到端路徑的安全性來看，如果路徑中有一對結點間的信任關係不可靠，數據 傳輸就得不到安全保障。於是本發明認為結點間的信任關係是凹性度量，並因此定義路徑 安全度如下定義4路徑安全度量(Path Security Metric，PSM)如果一條從源cmrs到目的 cmrd的路徑是ρ = (cmrs, Cmr1, cmr2, · · · Cmri. · ·，cmrn, cmrd)，那麼t時刻該路徑的安全度 量為PSMt (ρ) = min {TRt (cmrs 一 Cmr1), TRt (Cmr1 — cmr2),. . . , TRt (Cmiv1 — Cmri),..., TRt (cmrn — cmrd)}, (1 ^ i ^ η)其中，SMCAR的基於安全度量的聯合路由及信道分配包含以下兩個過程1、路由發現和路徑選擇過程當Mesh終端有數據發送給Mesh網關結點而沒有有效路由的時候，假設採用AODV 基本流程按需啟動路由發現，Mesh終端結點通過其控制接口廣播發送RREQ路由請求分組， 廣播ID和結點IP位址標識了唯一的RREQ，中間結點對同一個RREQ分組只接收和轉發一 次，RREQ分組中具有目的網關節點的序列號信息保證所有路由是無環的。RREQ分組中攜帶 當前路徑的PSM，如圖2所示。目的Mesh網關結點收到第一個RREQ分組後即啟動定時器， 在超時時間內可能接收多個RREQ分組，從而得到多條不相交的路徑，目的Mesh網關結點根 據定義4中的路徑安全度量，從中選擇一條適應該業務安全需求的最短路徑。2、路由應答及信道分配過程Mesh網關結點選定安全路徑後，沿該路徑逆向發送RREP路由應答消息，沿途結點 提取RREP分組中攜帶的其與下遊結點之間的信道分配信息，為其與上遊鄰居結點之間選 擇一個不與下遊信道衝突的，適應該業務安全需求的安全度量值的信道，並將該信道加入 RREP分組中攜帶的信道分配列表中，繼續向其上遊結點轉發，直至Mesh終端結點收到RREP 分組後即建立從Mesh終端結點到Mesh網關結點的，途經適應該業務安全需求的最信任結 點且每一跳信道也是最安全的路由。下面將本發明的基於安全度量的SMCAR算法與傳統的AODV算法進行仿真和性能比較。在NS-2中建立Mesh結構的網絡拓撲，對CMR結點進行多接口多信道擴展，網絡的 可用信道數為8，每個結點隨機選擇其中至少3個信道作為可用信道集合。令仿真初始時 刻的CWMN網絡是安全的，即CMR結點的信任度和數據信道的安全度均為1。令Wl = 0.8， W2 = 0. 2，Cl1 = d2 = 0. 5，網絡選取UDP服務，分組大小為512bits，隨機產生多個持續時間 為5秒的CBR流，發送速率為100kbps。總仿真時間T = 50s，每隔5s同時觸發一次信道攻 擊和CMR結點攻擊，隨機選擇攻擊目標(一個目標可以被攻擊多次)並更新CSMt (Chu)和 TDt (cmr, — Cmrj)。AODV算法中，結點對之間隨機選擇信道而不考慮安全性，仿真以分組安 全遞交率指標來評估和比較SMCAR算法和AODV算法的性能。定義5網絡分組安全遞交率(Safe Delivery Fraction, SDF)指在η個結點 的CWMN網絡G中，對於一組業務流，安全遞交到Mesh網關結點的分組數NUMskp (Safe Received Packets)與Mesh終端結點發送分組數NUMsp(SendPackets)的比率，即 實驗1 模擬相同規模(η = 10)網絡中，發起兩條CBR業務流，比較SMCAR和AODV 的分組安全遞交率。如圖3所示，SMCAR和AODV的SDF (G(IO))都隨著攻擊時間的推移而 逐漸降低，說明網絡分組安全遞交率與網絡結點和信道的安全狀態密切相關，但是AODV的 SDF(G(10))下降趨勢更快，在仿真時間內，SDFsmcae(G(IO))比SDFaodv(G(10))平均高出約 50%,這是由於AODV算法路由數據時不能主動繞開不良結點和不安全信道，而SMCAR算法 路由時儘量躲避被攻擊目標，因此對於有安全威脅的網絡有更優的分組安全遞交率。實驗2 模擬不同規模(η = 20,49,100)網絡中，在攻擊次數一定的情況下，觀察 SMCAR與AODV的分組安全遞交率變化情況。在Mesh拓撲結構的網絡中，設置CMR結點間距 分別為150m，IOOm和60m，通信距離為250m。圖4顯示，在仿真時間內，不僅同規模下SMCAR 的SDF優於AODV的SDF，而且在二者的SDF都隨著網絡結點密度的增加而逐漸提高的情況 下，SDFsmcak (G (49))比 SDFsmcak (G (20))高出約 11 %，SDFsmcak (G (100))又比 SDFsmcak(G (49))高 出約16%，顯然SMCAR算法提高的趨勢更快，說明SMCAR算法對大型網絡有更好的適應性。實驗3 主要模擬CWMN網絡的認知信道數逐漸增加的情況下，SMCAR算法的安全 分組遞交率性能變化。隨機產生η = 25個結點的10個網絡拓撲，在T = 50s的仿真時間 內，任意發起CBR連接，最大連接數為20。令SMCAR-I表示認知信道數增加的情況，SMCAR-2 表示信道數不變的情況。圖5顯示，網絡的安全分組遞交率隨著結點感知可用信道數的 遞增而逐漸增加，當DCS = 4時，SDFsm (G(25))為47.8%,當DCS增加到16時， SDFsmcae^1 (G (25))也提高到 T 98%,M I DCS | = 4 的 SDF薩_2 (G (25))始終保持在 47. 8 % 不 變，說明SMCAR算法在有頻譜認知功能的CWMN中可以有更多安全信道的選擇機會，從而有 效地應對針對通信頻率的攻擊。綜上所述，針對應用前景廣闊的認知無線Mesh網的特性和潛在的安全問題，本發 明在分布式入侵檢測的基礎上，通過量化認知Mesh路由結點的信任度和數據傳輸信道的 安全度，建立了鄰居結點間基於結點信任度和信道安全度的信任關係，並定義多跳信任關 系鏈中的最凹值為安全度量作為路徑選擇的依據，通過路由層和MAC層聯合的跨層SMCAR 安全策略(SecurityMetric-based Channel Assignment and Routing，基於安全度量的聯 合路由和信道分配策略)為軍事、金融等有安全需求的CWMN業務，分配點對點不幹擾衝突的安全信道，以及尋找端到端每跳結點可信的安全路徑。仿真證明，SMCAR策略可以根據網絡安全狀態的動態變化，實時選路時儘量避開不可信結點和不安全信道，從而有效提高業 務流的安全遞交率，並且可擴展應用於大規模CWMN網絡。 以上所述，僅為本發明較佳的具體實施方式
，但本發明的保護範圍並不局限於此， 任何熟悉該技術的人在本發明所揭露的技術範圍內，可輕易想到的變化或替換，都應涵蓋 在本發明的保護範圍之內。因此，本發明的保護範圍應該以權利要求的保護範圍為準。
權利要求
一種認知Mesh網絡中安全路由及信道分配方法，其特徵在於，包括網絡側進行初始化後，該網絡側測量並獲得網狀Mesh路由器的結點的信任度的數據；所述網絡側測量並獲得信道安全度量的數據；所述網絡側根據獲得的所述Mesh路由器的結點的信任度的數據和信道安全度量的數據，進行路徑安全度量的路由發現和路徑選擇後，進行路由應答及信道分配。
2.如權利要求1所述的方法，其特徵在於，所述網絡側測量並獲得Mesh路由器結點的信任度的數據包括所述Mesh路由器結點的 直接信任度的數據和間接信任度的數據。
3.如權利要求2所述的方法，其特徵在於，所述網絡側測量並獲得Mesh路由器結點的直接信任度的數據，具體是指 所述網絡側將認證合法接入無線Mesh網絡的所有結點確認為安全後，即判斷結點Cmri 對其鄰居結點Cmrj的直接信任度 ，在每個預定周期內，判斷若結點 Cmri檢測到針對結點Cmrj的攻擊，則將 以指數步長遞減；或者判斷若在所述預定周期內，結點Cmri沒有檢測到對結點Cmrj的路由攻擊，則將曾 失去一些信任度的 線性增加一變化值，同時重置攻擊次數，直到結點Cmri 對結點Cmrj恢復到最大信任度；得到Mesh路由器結點的直接信任度的數據。
4.如權利要求3所述的方法，其特徵在於，所述網絡側判斷若結點Cmri檢測到針對結點Cmrj的攻擊，則將 以指 數步長遞減，是通過以下方式完成 其中 t 為時間，At為預定周期，λ為攻擊次數；其中，若結點Cmri檢測到針對結點Cmrj的攻擊次數達到上限時，令結點Cmri對結點 Cmrj的直接信任度下降到O ；所述網絡側將曾失去一些信任度的 線性增加一變化值，是通過以下 方式完成 其中 CV 為變化值。
5.如權利要求3所述的方法，其特徵在於，所述網絡側測量並獲得Mesh路由器結點的間接信任度的數據，具體是指 所述網絡側在t時刻，判斷若結點Cmri通過路由請求消息RREQ攜帶或通過控制信道獲 得其它結點cmrk發出的信任度 則更新結點cmrk對結點Cmrj 的間接信任度 其中，ITD(Cmrj)與結點Cmri對結點cmrk的信任度 )有關， 越高，則ITD(Cmrj)的更新程度越大。
6.如權利要求5所述的方法，其特徵在於，所述網絡側更新結點cmrk對結點Cmrj的間接信任度 是通過以下 方式完成 CMR為Mesh路由器集合。
7.如權利要求1所述的方法，其特徵在於，所述網絡側測量並獲得信道安全度量的數據，包括以下步驟所述網絡側確認動態可用的數據信道集中的可用信道為安全可靠後，即確認信道安 全度量CSMtl (Chij) = 1 ；在每個定長周期At內，判斷若檢測到針對信道Chij的攻擊，則將 CSM(Chij)以指數步長遞減；或者判斷若At內沒有對Chij的信道攻擊，則將曾失去一些安全度的CSM(Chij)線性增 加一個變化值CV，同時重置攻擊次數，直到信道Chu恢復到最大安全度，得到信道安全度量 的數據。
8.如權利要求7所述的方法，其特徵在於，所述網絡側在每個定長周期At內，判斷若檢測到針對信道 Chij的攻擊，則將CSM(Chij)以指數步長遞減，是通過以下方式完成 ,其中，λ 為攻擊次數，其中，當At內檢測到對Chij的攻擊次數λ達到上限N時，令信道Chij的安全度下降 到O ；所述網絡側判斷若At內沒有對Chij的信道攻擊，則將曾失去一些安全度的CSM(Chij) 線性增加一個變化值CV，是通過以下方式完成CSMt (Chij) = CSMt-At (Chij)+CV，CV e (0,1)。
9.如權利要求1所述的方法，其特徵在於，所述網絡側根據獲得的所述Mesh路由器結點的信任度的數據和信道安全度量的數 據，進行路徑安全度量的路由發現和路徑選擇，具體是指所述網絡側的網關結點收到終端發送的數據且沒有有效路由後，該終端結點通過其控 制接口廣播發送RREQ ；所述網絡側的網關結點收到第一個RREQ分組後收到多個RREQ分 組，從而得到多條不相交的路徑，根據獲得的所述Mesh路由器結點的信任度的數據和信道 安全度量的數據，從中選擇一適應該業務安全需求的最短路徑，完成路徑選擇。
10.如權利要求9所述的方法，其特徵在於，所述網絡側進行路由應答及信道分配，具體是指所述網絡側的網關結點選定安全路徑後，沿該路徑逆向發送路由應答消息RREP，沿途 結點提取RREP分組中攜帶的其與下遊結點之間的信道分配信息，為其與上遊鄰居結點之 間選擇一個不與下遊信道衝突的，適應該業務安全需求的安全度量值的信道，並將該信道 加入RREP分組中攜帶的信道分配列表中，繼續向其上遊結點轉發，直至所述終端結點收到 RREP分組後即建立從該終端結點到網絡側的網關結點，並途經適應該業務安全需求的最信 任結點且每一跳信道也是最安全的路由，完成信道分配。
全文摘要
本發明公開了一種認知Mesh網絡中安全路由及信道分配方法，包括網絡側進行初始化後，該網絡側測量並獲得Mesh路由器的結點的信任度的數據；網絡側測量並獲得信道安全度量的數據；網絡側根據獲得的所述Mesh路由器的結點的信任度的數據和信道安全度量的數據，進行路徑安全度量的路由發現和路徑選擇後，進行路由應答及信道分配。應用本發明，解決無線Mesh網絡中實時的威脅，終端用戶不僅需要獲得擴展的認知接入帶寬，而且需要得到點對點和端到端的安全傳輸保障的問題。
文檔編號H04W40/02GK101848461SQ20101016283
公開日2010年9月29日 申請日期2010年5月4日 優先權日2010年5月4日
發明者仵國鋒, 何照盼, 冉曉旻, 匡為君, 張靜, 童珉, 胡捍英, 莫有權, 董芳, 陳迎春 申請人:中國人民解放軍信息工程大學