一种面向大规模自组织网络的安全路由协议方法及系统

技术领域

本发明涉及一种面向大规模自组织网络的安全路由协议方法及系统，特别是涉及H04W无线通信网络技术领域。

背景技术

通信网络及其硬件设备的飞速发展使得无线通信网络技术成为当前最热门的研究领域之一。传统的无线通信网络一般是中心式或集中式的，需要有如基站等固定通信基础设施的支撑才能运行，存在很多局限性。

现有技术中，对于安全路由策略的思想是对数据包采用诸如数字签名和加密之类的加密技术，从而禁止非法节点加入网络或使合法节点能够检测到非法网络攻击。然而，尽管基于密码学方法的路由协议可以实现足够的数据隐私保护，但是与原始协议相比，上述方案将密码学信息数据在路由过程的每一跳中都加入了中继数据包，导致通信效率急剧降低，针对大规模终端节点场景下的复杂自组织网络，通信效率降低的幅度更为明显。

发明内容

发明目的：一个目的是提出一种面向大规模自组织网络的安全路由协议方法，以解决现有技术存在的上述问题。进一步目的是提出一种实现上述方法的系统。本发明实施例在进行路由通信时，通过引入数字签名进一步验证每个节点创建的路由信息，以及通过将前序节点数据包公开给其他节点来证明存在到目的节点的有效路由，与此同时中继节点通过与源节点交换路由信息来开始构建路由，达到解决请求伪造和重写路由信息包之类的网络攻击问题，以及确保安全性的目的。

第一方面，提供了一种面向大规模自组织网络的安全路由协议方法，该方法包括：

构建通信网络，包括源节点、目的节点和中继节点在内的各通信节点，链接各通信节点的通信链路，以及管理服务器；

管理服务器广播允许各通信节点进入通信网络的允许信息；

根据允许信息，各通信节点加入通信网络；

管理服务器产生进行数据交互的通信数据包；通信数据包包括请求协议和响应协议；

中继节点接收通信数据包，解析并获取通信数据包中的通信数据信息；

根据通信数据信息寻找目标终端，完成数据传输；其中，目标终端为各通信链路中的最终通信节点。

在第一方面的一些可实现方式中，允许信息包括唯一的识别编号和私钥。

在第一方面的一些可实现方式中，请求协议用于实现路由请求阶段中，源节点通过中继节点与目的节点的数据通信；其中，路由请求阶段进一步为：

源节点生成包含自身签名信息的路由请求数据包，并广播到相邻的中继节点；

中继节点接收路由请求数据包，在解析验证请求数据包中携带的源节点签名信息后，进一步在源节点方向上建立通信链路，并将源节点的路由请求数据包和路由信息存储至自身的路由表中，同时将自身的签名信息和识别编号添加至路由请求数据包中，并转发至下一个中继节点；

下一个中继节点接收中继节点发送的路由请求数据包，在解析验证请求数据包中携带的源节点签名信息、中继节点的签名信息的后，进一步在源节点方向上建立通信链路，并存储中继节点发送的路由请求信息，同时将中继节点的签名信息和识别编号更新为自身的签名信息和识别编号，并向通信链路中的下一个中继节点发送最新的路由请求数据包；

当路由请求数据包中存在到达目的节点的路径，或者可以到达目的节点的有效中继节点时，结束路由请求过程。在第一方面的一些可实现方式中，路由请求数据包不包含最大跳数，加入了有效时间、位置信息以及源节点的识别编号和当前时间戳通过哈希算法生成的签名信息。

在第一方面的一些可实现方式中，响应协议用于实现在路由响应阶段中，目的节点通过中继节点与源节点的数据通信，其中，路由响应阶段进一步为：

目的节点生成包含自身签名信息的路由响应数据包，并根据路由请求阶段建立的通信链路，将路由响应数据包反向发送至最接近的中继节点；

中继节点接收路由响应数据包，在解析验证请求数据包中携带的目的节点签名信息后，将目的节点的路由信息和响应数据包存储至自身的路由表中，同时，将自身的签名和识别编号添加至路由响应数据包中，转发至通信链路中的下一个中继节点；

下一个中继节点接收中继节点的路由响应数据包，在解析验证路由响应数据包中携带的目的节点的签名信息、中继节点的签名信息的后，存储来自中继节点的路由响应信息，同时将自身的签名信息和识别编号添加到中继节点的路由响应数据包中，并将形成的路由响应数据包发送至下一个中继节点；

当路由响应数据包通过反向传输至源节点时，结束转发过程。

在第一方面的一些可实现方式中，路由响应数据包在中继节点中传输时，用于接收路由响应数据包的中继节点，解析验证的签名信息包括目的节点、链路中靠近目的节点的第一个中继节点、以及上一个中继节点的签名信息；同时，在当前中继节点将路由响应数据包中上一个中继节点的签名信息和识别编号更新为自身的签名信息和识别编号后，转发形成的路由响应数据包。

在第一方面的一些可实现方式中，请求协议中路由请求消息格式包括：类型、有效时间、位置信息、签名信息、节点识别编号和目的节点识别编号；其中，签名信息由当前时间戳通过哈希算法生成。

在第一方面的一些可实现方式中，响应协议中路由响应消息格式进一步包括：类型、有效时间、位置信息、签名信息、节点识别编号和源节点识别编号。

第二方面，提供了一种面向大规模自组织网络的安全路由协议系统，该系统包括：管理服务器模块、发送端模块、中间端模块、终端模块、数据传输模块。

在第二方面的一些可实现方式中，管理服务器模块包括管理服务器，用于广播允许各通信节点进入通信网络的允许信息；其中，允许信息包括唯一的识别编号和私钥。

在第二方面的一些可实现方式中，发送端模块与中间端模块通过所述数据传输模块形成路由协议传输的路径，并进一步产生数据包。中间端模块包含安全路由协议在数据通信过程中的中继节点；中继节点作为数据传输中间站，用于构建发送端模块与所述终端模块的数据中转链路。终端模块通过数据传输模块与中间端模块建立通信关系，实现数据反向传输。数据传输模块用于路由安全协议通信中的数据传输，包含路由请求数据传输模块、路由响应数据传输模块。

在第二方面的一些可实现方式中，发送端模块在路由请求阶段包括通信链路中的源节点，在路由响应阶段包含通信链路中的目的节点；所述源节点在路由请求阶段用于生成包含自身签名信息的路由请求数据包，并广播到相邻的中继节点；所述目的节点在路由响应阶段用于生成包含自身签名信息的路由响应数据包，并根据路由请求阶段建立的通信链路，将所述路由响应数据包反向发送至最接近的中继节点。

在第二方面的一些可实现方式中，终端模块在路由请求阶段包括通信链路中的目的节点，在路由响应阶段包含通信链路中的源节点；所述源节点在路由响应阶段用于接收所述目的节点发送的路由响应数据包；所属目的节点在路由请求阶段用于接收源节点发送的路由请求数据包。

在第二方面的一些可实现方式中，中继节点在数据包进行传输时，在路由响应阶段，中继节点解析验证的签名信息包括目的节点、链路中靠近目的节点的第一个中继节点、以及上一个中继节点的签名信息，同时，在当前中继节点将路由响应数据包中上一个中继节点的签名信息和识别编号更新为自身的签名信息和识别编号后，转发形成的路由响应数据包；在路由请求阶段，中继节点解析验证的签名信息包括源节点、上一个中继节点的签名信息，同时在上一个中继节点的签名信息和识别编号更新为自身的签名信息和识别编号后，转发形成的路由请求数据包。

有益效果：本发明提出了一种面向大规模自组织网络的安全路由协议方法及实现该方法的系统，针对现有路由策略在通信效率上的缺陷，提出一种适用于大规模自组织网络的有效安全路由协议，该协议可以解决请求伪造和重写路由信息包之类的网络攻击，同时可以实现高效的通信路由选择。该协议基于按需点播距离矢量路由，进一步引入数字签名验证每个节点创建的路由信息，但路由的中继节点保存了先前从目的节点接收到的数据包，因此，他们通过将这些数据包公开给其他节点来证明存在到目的节点的有效路由，与此同时中继节点通过与源节点交换路由信息来开始构建路由，达到解决请求伪造和重写路由信息包之类的网络攻击问题，以及确保安全性的目的。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的网络场景图。

图2为本发明实施例提供的路由请求协议消息的组成格式框图。

图3为本发明实施例提供的路由响应协议消息的组成格式框图。

图4为本发明实施例提供的方法流程示意图。

具体实施方式

本发明通过一种面向大规模自组织网络的安全路由协议方法及系统，实现基于面向大规模自组织网络，路由协议安全通信的目的。下面通过实施例，并结合附图对本方案做进一步具体说明。

通信网络及其硬件设备的飞速发展使得无线通信网络技术成为当前最热门的研究领域之一。传统的无线通信网络一般是中心式或集中式的，需要有如基站等固定通信基础设施的支撑才能运行，存在很多局限性。在一些特殊的应用场景下通常没有预先建立好的通信基础设施，例如军事战场环境通信、突发自然灾害的报警和灾后救援等应急通信场景，这些场景需要一种不依赖于固定通信基础设施就可以迅速搭建网络并进行正常通信，因此，自组织网络应运而生。

自组织网络是一种多跳的、无中心的自组织无线网络，又称为多跳网、无基础设施网。整个网络没有固定的基础设施，每个节点都是移动的，并且都能以任意方式动态地保持与其它节点的通信。与传统的无线通信网络相比，自组织网络具有独立组网、无中心、动态性、自组织独立性等特点。

自组织网络中的每个移动终端节点兼备路由器和主机两种功能：作为主机，终端需要运行面向用户的应用程序；作为路由器，需要运行相应的路由协议，根据路由策略和路由表参与分组转发和路由维护工作。因此，自组织网络中的节点在具备普通移动终端所需的功能，具有数据报文转发能力。近年来，自组织网络被越来越多地应用于战场通信、物联网和自动驾驶系统等场景中，涉及许多对隐私和安全信息数据的处理和转发，然而自组织网络由于没有中心控制节点，所以安全性较差。

传统路由协议如按需点播距离矢量路由及动态源路由允许节点自由加入网络，但是这些协议容易受到来自恶意节点的网络攻击，例如通信数据的拦截和路由的伪造。

针对上述问题，申请人认为现有技术中对于安全路由策略的思想是对数据包采用诸如数字签名和加密之类的加密技术，从而禁止非法节点加入网络或使合法节点能够检测到非法网络攻击。然而，尽管基于密码学方法的路由协议可以实现足够的数据隐私保护，但是与原始协议相比，这些方案将密码学信息数据在路由过程的每一跳中都加入了中继数据包，使得通信效率急剧降低，尤其是对于大规模终端节点场景下的复杂自组织网络，通信效率更为悲观。

为解决现有技术中存在的缺点，本发明实施例提供了一种面向大规模自组织网络的安全路由协议方法及系统，下面结合附图对本发明实施例的技术方案进行描述。如图1所示为本发明实施例的网络场景架构图，在通信过程中划分如图4所示步骤。具体一种面向大规模自组织网络的安全路由协议方法，包括：

步骤一、构建通信网络。

其中，通信网络为大规模的自组织网络，由多个终端节点和管理服务器构成。

在一个实施例中，管理服务器广播允许各通信节点进入通信网络的允许信息，自组织网络中的中继节点根据广播的数据信息，加入通信网络。其中，管理服务器广播的数据信息包括唯一的识别编号和私钥，接收并具有唯一识别编号和私钥的节点，根据匹配结果加入自组织网络中。

步骤二、产生进行数据交互的通信数据包。

其中，通信数据包包括路由请求协议数据包、路由响应协议数据包。

在一个实施例中，在路由请求阶段，源节点S生成包含自身签名信息Signature的路由请求协议数据包并广播到相邻节点，即

在一个实施例中，在路由响应阶段，路由响应协议数据包进一步包括目的节点的路由响应协议数据包、中继节点的路由响应协议数据包。目的节点D生成包含自身签名信息Signature的路由响应协议数据包，并根据路由请求阶段建立的路由将产生的路由响应协议数据包通过反向传播的方式发送给源节点S，即

步骤三、中间转发机制接收通信数据包，并进行数据包更新。

其中，通信数据包更新的方式为更新协议中的路由表前期记录的信息。

在一个实施例中，在路由请求阶段，中继节点

在一个实施例中，在路由请求阶段，中继节点

在一个实施例中，在路由响应阶段，中继节点

在一个实施例中，在路由响应阶段，中继节点

在一个实施例中，在路由响应阶段，中继节点

步骤四、根据所述通信数据信息寻找目标终端，完成数据传输。

其中数据传输进一步包括数据存储和数据转发。

在一个实施例中，在路由请求阶段，当路由请求信息得到到达目的节点D或目的节点D的有效路由的节点信息时，完成数据传输。

在一个实施例中，在路由响应阶段，当路由响应信息到达源节点S时，完成数据传输。

在一个实施例中，通信链路中每当一个节点接收到数据包消息时，会将其中的有效时间与当前时间进行对比，如果该数据包过期则马上丢弃，由此减少路由建立过程中不必要的通信过程，提升效率。

基于上述方法，提出一种用于实现上述方法的系统，该系统包括：管理服务器模块、发送端模块、中间端模块、终端模块、数据传输模块。

其中，管理服务器模块包括管理服务器，用于广播进入通信网络的允许信息。

发送端模块进一步为路由安全协议通信中的起始模块，该模块与中间端模块通过数据传输模块形成路由协议传输的路径，并进一步产生路由请求数据包，其中，起始模块包含安全路由协议在数据通信过程中的源节点。

中间端模块包含安全路由协议在数据通信过程中的中继节点；中继节点作为数据传输中间站，用于构建发送端模块与终端模块的数据中转链路。

终端模块进一步为路由安全协议通信中的目的模块，该模块包含数据通信过程中的目的节点，通过数据传输模块与中间端模块建立通信关系，实现数据传输；目的节点用于接收路由请求数据包，并根据请求数据包产生路由响应数据包；路由响应数据包通过数据传输模块，进一步根据反向路径进行数据响应。

数据传输模块用于路由安全协议通信中的数据传输，进一步包含路由请求数据传输模块、路由响应数据传输模块；其中，路由请求数据传输模块用于将发送端模块产生的由请求数据包传输至所述目的节点；路由响应数据传输模块用于将终端模块中产生的路由响应数据包传输至源节点。

在一些实施例中，管理服务器模块中允许信息包括唯一的识别编号和私钥。管理服务器广播允许进入自组织网络的数据信息，中间转发机制即自组织网络中的中继节点根据广播的数据信息，加入所述通信网络。

在一些实施例中，在路由请求阶段，发送端模块中的源节点S由自身识别编号

在一些实施例中，在路由请求阶段，发送端模块中的源节点S通过数据传输模块将路由请求发送到中间端模块中的第一个中继节点

在一些实施例中，在路由请求阶段，中间端模块中的下一个中继节点

在一些实施例中，在路由请求阶段，通过重复上述实施例中的存储转发过程，最终路由请求会到达终端模块中的目的节点D，当时路由请求阶段完成后，发送端模块中的源节点S到终端模块中的目的节点D的正向路由也由此建立。

在一些实施例中，在路由响应阶段，首先终端模块中的目的节点D通过识别编号和时间戳生成自身签名，同时将含有签名的路由响应信息发送到中间端模块中的中继节点

在一些实施例中，在路由响应阶段，中间端模块中的中继节点

在一些实施例中，在路由响应阶段，通过重复上述实施例中的存储转发过程，直到路由响应信息最终到达发送端模块中的源节点S，至此发送端模块中的源节点S和终端模块中目的节点D之间正式建立起安全路由，双方开始进行数据传输。

本发明提出的实施例，通过安全路由协议的实现，在防止恶意节点加入和破坏网络、伪造非法路由的同时，提高网络整体的通信效率。其中，在路由请求和路由响应阶段，每当一个节点接收到数据包消息时，会将其中的有效时间MaxAge与当前时间进行对比，如果该数据包过期则马上丢弃。由此可以减少路由建立过程中不必要的通信过程，提升效率。

如上所述，尽管参照特定的优选实施例已经表示和表述了本发明，但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下，可对其在形式上和细节上做出各种变化。