一种用于增强Ad hoc网络安全与合作机制的方法及其装置

摘要

本发明的目的在于提供一种用于增强Ad hoc网络安全与合作机制的方法，其中包括：初始化阶段，用来为新加入网络的节点分配一对密钥和设定其信誉初值；票据请求阶段，用于当节点自己当前的票据不足以支付活动交易时，向其邻居节点广播发起票据请求；身份考察阶段，用于邻居监测节点的行为，并对不同的行为予以一定的评价且计算出其本地信誉值，根据信誉值将节点划分为可信的和不可信的；票据管理阶段，用于当邻居节点收到节点的票据请求时，先在各自的信誉表中查找此节点的信誉值，如果节点的信誉值高于门限值，颁发若干票据给它，在活动中，节点票据值会发生相应变化，并根据需要及时更新；路由与数据转发阶段，用于根据节点的信誉来选择路由。

说明书

技术领域

本发明属于通信安全技术领域，具体地说，是一种用于增强Ad hoc网络安全与合作机制的方法。

背景技术

无线Ad hoc网络是由一组自主的无线节点或终端相互合作而形成的，独立于固定的基础设施，采用分布式管理的网络。Ad hoc网络被认为是下一代移动通信系统解决方案中最有希望被采用的末端网络，是未来移动通信技术的核心组成部分之一。

Ad hoc网络中节点的合作性是一个很重要的问题。一方面，由于节点的发射距离有限，不在彼此信号覆盖范围内的两个节点之间要通信，只能通过中间节点的共同合作来完成。Ad hoc中的每个节点既是主机，又是路由器，网络中路由的建立、数据包的发送等都需要多个节点转发来共同完成，节点间的合作性直接影响到整个网络的性能。另一方面，Ad hoc网络没有基础设施和授权机构，也就无法区分节点是否可信任，且所有节点都参与网络活动，无法事先为所有节点建立安全关联。目前提出的各种无线Ad hoc网络路由协议都是基于以下假设：每个节点都具有完好的合作性，都愿意为其它节点提供网络服务，但是这种假设并不总是成立的。在Ad hoc网络中，自私因素是节点缺乏合作性的主要原因，移动节点本身受到各种资源的限制，如：电池能量、无线带宽及内存空间等，为了节省其能量消耗，自私节点不愿为其它节点转发数据包；节点也可能是出于恶意的动机而缺乏合作性，如：实现拒绝服务攻击、截获有价值的数据包等。节点的合作安全问题成了Ad hoc网络突出的、特有的问题。

节点合作性问题已经引起了研究人员的关注。目前，增强节点间合作性的机制主要采用两种方法，基于惩罚的和奖励的。

1)基于奖励的机制，其特点是依赖于额外硬件或清算中心来增加或减少节点的虚拟货币，节点转发报文就给予虚拟货币作为奖励，只有持有货币才能发送自己的报文，这样可以激励节点参与合作，但可拓展性不强，不适用大型的和对实时性要求比较高的Ad hoc网络。此外，由于节点处在网络中的位置不同，会导致位置特权问题。

对不合作节点的奖励上，现有技术方案引入了nuglets(一种虚拟货币)概念，通过将转发数据包看成是一种有偿服务，可以定价，并引入虚拟货币来鼓励和规范不同节点间的转发关系。Nuglets用于实时支付转发数据包的费用，主要有两种形式：钱包方式(费用由发送方支付)和购买方式(费用由接收方支付)。对于前者，缺点是源节点难以精确计算报文转发所需的费用，有可能源节点所放的筹码数少于转发报文所需的筹码数，最终使报文不能到达目的节点而且需要事先知道报文发送所经过的路由。对于后者，缺点是发送者无需支付发送费用，可能会滥发报文，造成网络负载过重，最终使得网络不能使用。这两种方式的每个报文都要携带货币，增加了报文的长度，也就增加了开销。还有，难以防止中间恶意节点私自侵吞所有货币。

2)基于惩罚的机制，其特点是通过邻居监测节点行为，并对不同行为给予一定的评价，用信誉值来标记节点信誉情况，根据不同的信誉水平而采取相应的应对措施。这种方法实现无需硬件支持，但是算法比较复杂，节点负担比较重，并不能真正的激励节点参与网络的积极性。

对于不合作节点的惩罚上，最初只是简单地绕开不良节点，并没有采取相应的惩罚措施；CONFIDANT(Cooperation Of Nodes：Fairness InDynamic Ad-hoc NeTworks)和CORE(COllaborative REputation mechanism)采取了只罚不奖，不合作节点将被永久排除网络，不能容忍节点的无意错误；OCEAN(Observation-based Cooperation Enforcement in Ad hoc Networks)和LARS(Locally Aware Reputation System)都采用了二次机会机制，可容忍节点无意错误，但带来节点重复攻击。

发明内容

本发明的目的在于提供一种用于增强Ad hoc网络安全与合作机制的方法及实现该方法的装置，该方法及装置不仅可以使节点不需要防篡改硬件或可信任第三方，使系统复杂度降低，而且，不用事先估计节点活动的整个路由，减轻了网络的通信量和计算开销，进一步，由于仍是源节点支付方式，避免了拒绝服务攻击。

本发明的用于增强Ad hoc网络安全与合作机制的方法的特征在于，包括：初始化阶段，用来为新加入网络的节点分配一对密钥和设定其信誉初值；票据请求阶段，该阶段用于当节点自己当前的票据不足以支付活动交易时，向其邻居节点广播发起票据请求；身份考察阶段，该阶段用于邻居监测节点的行为，并对不同的行为予以一定的评价且计算出其本地信誉值，根据信誉值将节点划分为可信的和不可信的；票据管理阶段，该阶段用于当邻居节点收到节点的票据请求时，先在各自的信誉表中查找此节点的信誉值，如果节点的信誉值高于门限值，邻居节点将颁发若干票据给它，在活动过程中，节点票据值会发生相应变化，并根据需要及时更新；路由与数据转发阶段，该阶段用于根据节点的信誉来选择路由。

本发明的用于增强Ad hoc网络安全与合作机制的方法的特征还在于，还包括：给予二次机会的阶段，该阶段用于使被加到错误列表中的节点重新加入网络活动中去。

本发明的用于增强Ad hoc网络安全与合作机制的方法的特征还在于，每个节点只根据自己观察的结果来选择路由，并且节点只需保存一跳邻居节点的信誉值。

本发明的用于增强Ad hoc网络安全与合作机制的装置的特征在于，包括：初始化单元，用来为新加入网络的节点分配一对密钥和设定其信誉初值；票据请求单元，该单元用于当节点自己当前的票据不足以支付活动交易时，向其邻居节点广播发起票据请求；身份考察单元，该单元用于邻居监测节点的行为，并对不同的行为予以一定的评价且计算出其本地信誉值，根据信誉值将节点划分为可信的和不可信的；票据管理单元，该单元用于当邻居节点收到节点的票据请求时，先在各自的信誉表中查找此节点的信誉值，如果节点的信誉值高于门限值，邻居节点将颁发若干票据给它，在活动过程中，节点票据值会发生相应变化，并根据需要及时更新；路由与数据转发单元，该单元用于根据节点的信誉来选择路由。

本发明的用于增强Ad hoc网络安全与合作机制的装置的特征还在于，还包括：给予二次机会的单元，该单元用于使被加到错误列表中的节点，重新加入网络活动中去。

本发明的用于增强Ad hoc网络安全与合作机制的装置的特征还在于，所述每个节点只根据自己观察的结果来选择路由，并且节点只需保存一跳邻居节点的信誉值。

本发明的用于增强Ad hoc网络安全与合作机制的方法及装置的优点在于：

1、可以使节点不需要防篡改硬件或可信任第三方，系统复杂度降低；

2、由于本发明采用了数字签名技术，能够有效解决节点身份问题；

3、通过依据节点行为的度量一信誉值来为节点颁发票据，建立了新的节点合作奖励与惩罚机制；

4、节点请求服务时只用支付下一跳的费用，不用事先估计节点活动的整个路由，减轻了网络的通信量和计算开销。而且，由于仍是源节点支付方式，避免了拒绝服务攻击；

5、由于本发明提出的安全与合作增强机制采用完全分布式和自组织管理方式，所以符合Ad hoc网络无中心的特点，是一种非常实用的方法；

6、奖励和惩罚机制的结合保证了网络的公平性，同时这种机制是可扩展和可靠的，能够适应不同的网络规模。

附图说明

图1是本发明的用于增强Ad hoc网络安全与合作机制的方法的参考模型。

图2是本发明的用于增强Ad hoc网络安全与合作机制的方法的总体流程图。

图3是本发明的用于增强Ad hoc网络安全与合作机制的装置的系统结构图。

图4是本发明的用于增强Ad hoc网络安全与合作机制的方法的实施流程图。

图5是本发明的用于增强Ad hoc网络安全与合作机制的方法的票据请求消息处理示意图。

图6是本发明的用于增强Ad hoc网络安全与合作机制的方法的票据组成示意图。

图7是本发明的用于增强Ad hoc网络安全与合作机制的方法的支付方式示意图。

图8是本发明的用于增强Ad hoc网络安全与合作机制的方法的实例说明图。

具体实施方式

以下参照附图对本发明的用于增强Ad hoc网络安全与合作机制的方法及实现该方法的装置进行详细说明。

1.参考模型

图1是本发明的用于增强Ad hoc网络安全与合作机制的方法的参考模型。是基于微支付的奖励机制的参考模型，微支付是小额电子支付的一种。在Ad hoc网络中，节点对应于参考模型中的实体，节点在不同时刻扮演不同角色，完成模型中相应的任务，对模型中的实体说明如下：

1)经纪人：处于经纪人身份的节点主要的任务是监视其邻居节点的行为记录其信誉值并负责颁发票据。

2)买家：处于买家身份的节点主要的任务是作为源节点发送自己的路由和数据信息请求到目的节点。

3)商家：处于商家身份的节点主要的任务是作为中间节点转发信息或作为目的节点接收信息。

4)票据：票据是一种在微支付中使用的虚拟货币，在Ad hoc网络中是节点活动的凭证，只有拥有足够的票据，节点才能发起活动请求。

这种微支付模型的优点是：计算消耗少、高度灵活性及协商效率高。引入这种参考模型适合Ad hoc网络的动态拓扑、节点移动性和自组织管理等特性。

2.系统结构及方法总体流程

图3是本发明的用于增强Ad hoc网络安全与合作机制的装置的系统结构图。图中，系统结构由五个密切相关的单元组成：初始化单元21、票据请求单元22、身份考察单元23、票据管理单元24及路由与数据转发单元25。其中身份考察单元23根据考察方向不同又细分为考察单元及被考察单元。这几个单元的工作顺序不是完全按照单向顺序进行的，例如，票据请求单元22、身份考察单元23、票据管理单元24及路由与数据转发单元25之间是可以相互转换的。当节点在作为路由与数据转发单元25发挥作用而其拥有的当前票据不足以支付需要的费用时，就会转换为票据请求单元22向邻居节点(考察单元)发起票据请求进而转换成被考察单元，节点身份被身份考察单元23验证通过后，成为票据管理单元24获得邻居节点颁发的若干票据。作为四个不同的功能单元，节点相应完成不同的网络功能。

图2是本发明的用于增强Ad hoc网络安全与合作机制的方法的总体流程图。图中，用于增强Ad hoc网络安全与合作机制的方法由五个密切相关的阶段组成：初始化阶段15、票据请求阶段16、身份考察阶段17、票据管理阶段18及路由与数据转发阶段19。这几个阶段不是完全按照单向顺序进行的，例如，票据请求节点16、身份考察阶段17、票据管理阶段18及路由与数据转发阶段19之间是相互转换的。当节点在路由与数据转发阶段19中拥有的当前票据不足以支付需要的费用时，就会转到票据请求阶段16向邻居节点发起票据请求进而转到身份考察阶段17，节点身份考察验证通过后，进入票据管理阶段18获得邻居节点颁发的若干票据。在这四个不同阶段，节点相应完成不同的网络功能。

3.发明实施流程

图4是本发明的用于增强Ad hoc网络安全与合作机制的方法的实施流程图。

(1)初始化阶段

在图2中的初始化阶段15，该阶段与图4中的步骤110相对应、系统初始化，在系统初始化时，新加入网络的节点S生成一对由公钥和私钥组成的密钥对，其中公钥是公开的，私钥是保密的。本发明中使用基于RSA的数字签名技术，节点使用散列函数生成信息的摘录，使用私钥对摘录加密形成签名。使用签名技术主要用来验证节点身份的合法性，票据中含有颁发者的数字签名，其它节点利用颁发者公布的公钥，可以验证票据的有效性。

本发明中使用的基于信誉的惩罚机制采用OCEAN的思想，每个节点只根据自己观察的结果来选择路由。节点只保存有一跳邻居节点的信誉值，信誉值都初始化为0。

(2)票据请求阶段

在图2中的票据请求阶段16，该阶段与图4中的步骤120相对应，在步骤120，票据请求，在完成相关初始化工作后，新节点S将在Ad hoc网络中应用。由于没有足够的票据，它的所有服务请求都会被拒绝，为了参与网络活动，它首先向其所有一跳范围内的邻居节点广播发出票据请求消息SREQ(Scrip Request，消息处理如图5所示)。这个请求消息中含有节点的身份标识用以唯一确认节点身份。

(3)身份考察阶段

在图2中的身份考察阶段17，该阶段与图4中的步骤130相对应，在步骤130，邻居节点对该票据请求节点进行身份考察，身份考察主要包含几个组成部分：邻居监测、信誉评价、对恶意节点的反应和二次机会机制。本发明中基于信誉的惩罚机制主要依据OCEAN技术。

邻居监测：邻居监控用来监测节点行为。Ad hoc网络中每个节点都配置一个监控模块，当一个网络节点B需要监测其邻居节点S的网络活动行为(转发数据或路由)的执行情况时，就会调用监控模块。在规定的时间内，如果B的监控模块没有监听到S节点按照预期的方式转发数据包，就会记录一个负值给S。相反，如果监测的实际观测结果与存储在监控模块中的预期结果一致，说明节点行为良好，监控模块会记录一个正值给S，这时监控模块进入空闲状态，等待下一个行为监测。监测的结果会存储在节点的信誉表中，里面记录了邻居节点的信誉值。

信誉评价：节点的信誉初始值设定后，以后节点的网络行为将影响其信誉值。在身份考察期间，每个节点只使用自己观察得到的第一手资料即主观信誉评价，保存有一跳邻居节点的信誉值。每个节点都存储一个信誉值表，它是一个数据结构，用来存储节点的信誉值。表中每一行由2个部分组成：唯一的节点ID、自己观察所得的信誉值。本发明主要通过本地邻居节点检测S节点的行为，当节点错误行为被检测到时，信誉值降低，当节点行为良好时，信誉值增加。当节点信誉值低于一定的阈值时，此节点将被加入错误列表中，表示其中的节点为具有不良行为的节点。

对自私节点的反应：对自私节点的反应是指对自私节点所采取的措施。当节点的信誉值低于门限值时被邻居节点认为是自私节点，将其隔离在网络之外，则所有从不良节点发出的信息流，如数据包和路由更新信息均被拒绝掉，从而使得自私节点不能发送数据包。

二次机会：二次机会机制让自私节点有机会再参与网络活动，防止自私节点被邻居节点永久性排斥在网络之外。当一个节点被加到错误列表后，如果它想重新加入网络活动中去，可以向其邻居节点发起请求，给予此自私节点一个信誉考察机会。在一个规定的时间内，邻居节点可以让自私节点参与路由和为别的节点转发数据，但邻居节点不转发来自自私节点发送的信息包。在考察时间内，若节点表现良好，其信誉值增加到门限值以上，则邻居节点可以将其从错误列表中移除并允许其重新参与网络活动。当超过考察时间期限后，节点的信誉值仍在门限值以下，则节点将被重新加入错误列表。

本发明中采用的是本地信誉值方案。本地信誉值是指节点只保存其一跳邻居节点的信誉值，且信誉值只在邻居范围内有效。这种方式节省了存储空间，由于不存在信誉值的交换，避免了复杂的计算，提高了整体网络的性能。

(4)票据管理阶段

在图2中的票据管理阶段18，进行票据管理；票据管理包含有：票据颁发(步骤140)、处理票据(步骤160)、判断票据有效期及检查票据是否足够(步骤170)等。

票据颁发过程如图5所示：在本发明中，由于没有可信的第三方为节点颁发票据，票据的颁发过程是完全分布式的，每个节点都参与为其邻居节点颁发票据。当本地邻居节点收到新节点S发出的SREQ时，就会在各自的信誉级别表中查询有关此节点的信誉信息。若信誉值高于门限值就认为节点行为良好，邻居节点就会回复一个票据回复消息SREP(Scrip Reply)给S节点并颁发给它一定数量的票据；相反，如果S节点信誉值低于门限，则被邻居节点视为不良行为的节点，将其隔离网络外的同时不颁发票据给它。票据的组成如图6所示，主要有三个域：颁发者的数字签名、票据值和时戳。

票据的有效性体现在两个方面：一是票据值为正；二是票据为合法节点所拥有。行为不好的节点将不会获得票据，没有足够的票据节点将无法参与网络活动。票据的支付方式满足以下三个原则：

a、源节点发送自己的数据包时，需扣除一定数量的票据，因为别的节点需要耗费能量替自己转发数据包，当票据值低于设定阈值时，节点将不能发起活动请求；

b、节点成功地为别的节点转发数据包时，它的当前票据值增加一定数量；

c、节点没有参与以上两种活动时，保持其当前票据值不变。

现在以图例7来解释以上三个原则的使用。首先，当源节点S要发起路由或数据请求时，它会先检查所拥有的票据，若当前票据值不足以支付下一跳的费用时(即票据值低于设定的阈值)，它就向其邻居节点发起票据请求，邻居节点收到请求信息后检查其信誉值，若信誉值大于门限值，则认为其为良好节点并颁发一定数量的票据给它。假定S共收到N个邻居颁发的票据，每个票据面值为V，则S所获得的总票据值M＝N*V。现在设定S需要支付给下一跳的费用为N1，中间节点转发消息后可获得的票据值为N2，则发送消息结束后，S所拥有的票据M1＝M-N1，而中间节点当前的票据值增加了N2。

本发明中票据的有效期是由节点在网络中活动的时间和行为共同来决定的。活动时间越久票据的有效期也越长，活动时间的长短又取决于节点的行为。当节点的信誉值很高，表示其行为良好，是值得信赖的，获得的票据就越多，活动时间就越长。票据的有效期从节点获得票据开始，经过网络活动耗费完所有的票据到再次申请票据为止。采用这种方法来决定票据的有效期，有两个优点：一是没有高频率地发起票据申请，而是按照节点的需求来补充票据，这样可以降低网络通信量，减少计算消耗。二是降低了正常节点的IP地址被占用的可能性，因为当节点在网络中活动周期较长时，其身份很容易被恶意节点所盗用，采用票据支付的方式限制了节点在网络中的活动时间，发现有异常行为时可以及时检测出来。

(5)路由与数据转发阶段

在图2中的路由与数据转发阶段19，该阶段对应于图4的步骤150；

本发明中采用的路由协议基础是动态源路由(DSR)协议，它是个按需路由协议。源节点S向目的节点D发送数据时，首先检查缓存，如果存在可用的路由则直接使用，否则启动路由发现过程。当源节点S收到一条或以上路由后，它将仅根据节点观测所得的信誉值来选择最佳路径，如果链路失效，中间节点会向S发送一个错误消息，源端就会改变路由，避免经过失效的链路。这种方式减少了协议的复杂性，避免选择包含有不良节点的路由。主要有以下几个功能：根据节点的信誉值来标记路由等级；删除包含有恶意节点的路由；处理恶意节点发起的路由请求；处理收到的含恶意节点的路由应答包。

4.发明实例说明

图8是本发明的实例说明，具体描述如下：

假定网络拓扑结构如图5所示，在源节点S的无线发射信号范围内共有4个邻居节点。当S当前票据不足时，就向其邻居节点发出票据请求，这四个邻居节点收到这个请求消息后，分别查看自己存储的邻居节点的信誉表。其中，邻居B、E、G中记录的S节点的信誉良好，就会颁发一定的票据给它(假定值为3)，则S当前的票据总值为9如图8<1>所示。S节点把数据包发给它的下一跳B节点，B替S转发包后获得若干票据(假定值为1)，则B当前的票据值在原有的基础上增加1如图8<2>所示。B节点把数据包发给路由表中的下一跳C节点，C替B转发包后获得若干票据(假定值为1)，则C当前的票据值在原有的基础上增加1如图8<3>所示。目的节点D最终接收到C节点转发的数据包，完成整个网络活动过程。由这个实例图可以知道，中间节点B和C为源节点转发数据包，其票据值会增加一定数量。而源节点由于要发送自己的数据包，需要别的节点帮它转发，会消耗别的节点的能量，故会扣除一定的票据值。目的节点只是接收数据包故保持其当前票据值不变。

通过上述过程，通过基于信誉的惩罚机制可以实现在Ad hoc网络中对自私节点和恶意节点的有效隔离和惩罚，同时使用基于微支付的奖励机制增加对自私节点的奖励，给予自私节点改过机会。本发明有效地增强节点之间的合作性和网络安全性，同时保证网络的公平性。