[发明专利]无线Mesh网络中基于端到端的虫洞攻击检测方法

权利要求书

1.一种无线Mesh网络中基于端到端的虫洞攻击检测方法，其特征在于，包括以下步骤：

(1)离线CA在初始化时，为骨干路由器、区域路由器、用户节点分配公私钥对及公钥证书，为骨干网络和各区域网络分配公私钥对；

(2)申请节点提交离线CA颁发的公钥证书到虚拟CA，虚拟CA用离线CA颁发的公钥证书认证申请节点；这些申请节点包括用户节点、骨干路由器和区域路由器；

(3)申请节点被虚拟CA认证通过后，颁发授权证书及基于身份的私钥，这些授权证书都存放在授权证书库里，该授权证书库只有骨干路由器能访问；

(4)源节点S向目的节点D发送数据包，当源节点的路由缓存中没有到目的节点的路由时，源节点通过广播路由请求包发起一个如下的路由发现过程，如步骤(5)-(14)所示；

(5)源节点S发送路由请求包前，把自己的IP地址SA、目的节点的IP地址DA、包的标识号PID、发送数据包时自身所在的地理位置、包的发送时间SPT、整个包在节点S的传输时间TT加入到包中并广播出去；

(6)接收到路由请求包的节点，先检查自己是否是目的节点，如不是，将自身的IP地址、地理位置、包的收到时间、它转发此路由请求包的地理位置、发包时间以及传输此包的时间、自身的身份标识附加到路由请求包的相应字段中，并广播给其它节点；包格式字段SP/SPT、RP/RPT、TT和PATH的参数值在附加到字段中前，SP/SPT用来存放发送节点发送包时所在的地理位置和发送包的时间，RP/RPT用来存放接收节点接收包时所在的地理位置和接收包的时间，TT用来记录包从发送节点到接收节点的传输时间；PATH用来记录源节点到目的节点经过的路径；发送节点用目的节点的身份和目的节点所在区域的公钥加密，再把路由请求包广播给它的邻居节点；

(7)当路由请求包到达目的节点的时候，目的节点用基于其身份的私钥解密，得到包中的各个参数，然后再采用如下所述检测流程，来检测是否有虫洞攻击；如步骤(8)-(14)所示；

(8)目的节点计算d_SD和l_SD的值，d_SD通过公式(a)得到，在公式(a)中，d_s1、d_ij和d_nD分别表示通过两点之间距离公式计算出的源节点到第一个节点的距离，节点i到节点j之间的距离，目的节点到第n个节点的距离；l_SD通过公式(b)得到，在公式(b)中，l_S1，l_ij和l_nD分别表示通过时间与距离关系公式计算出源节点到第一个节点的距离，节点i到节点j之间的距离，目的节点到第n个节点的距离，tt_S和tt_n分别表示源节点S和第n个节点传输数据包的传输时间，tt_i表示发送节点i发送数据包的传输时间，t_ri和t_si分别表示节点i在接收到数据包时的时间，然后经过处理后又转发出去的时间；t_r1、t_rj、t_rD分别表示第一个节点、节点j和目的节点D接收到数据包时的时间；t_sS表示源节点S发送数据包时的时间；t_sn表示第n个节点转发数据包时的时间；v表示数据包在路径上传输速度的上限；TT_SD表示数据包从源节点S到目的节点D总的传输时间；PT_SD表示数据包从源节点S到目的节点D的处理时间和等待时间之和；

dSD=dS1+Σi=1,j=i+1n-1dij+dnD---(a)]]>

lSD=lS1+Σi=1,j=i+1n-1lij+lnD]]>

={[(tr1-tsS)-ttS]+Σi=1,j=i+1n-1[(trj-tsi)-tti]+[(trD-tsn)-ttn]}*v]]>

=(trD-tsS-TTSD-PTSD)*v---(b)]]>

(9)目的节点比较d_SD和l_SD的大小；

(10)当目的节点发现d_SD小于l_SD时，目的节点则认为有虫洞攻击存在，目的节点将通知目的节点信任的骨干路由器；

(11)骨干路由器将启动基于监视节点的投票机制，即骨干路由器把警报信息和PATH值分别用所有监视节点的身份和区域公钥加密后，并发送给该路由的所有监视节点，监视节点监视某条链路的发包情况，并把发包记录存在它的缓存中；

(12)当该路由的监视节点收到警报信息，用自己基于身份的私钥解密得到PATH值，再比较PATH值和缓存记录是否一样；

(13)如果监视节点发现某两个节点在它的缓存中，却没有在PATH中，就投票这两个节点为虫洞攻击节点，如果大多数监视节点都投票这两个节点为虫洞攻击节点；骨干路由器对虫洞攻击节点进行隔离；如果监视节点发现某两个节点在它的缓存中且在PATH中，再根据WCETT权值以及跳数值来选择最佳路由；

(14)如果WCETT权值最小，就选为最佳路由，如果WCETT权值相等，就选跳数最小的为最佳路由，并生成路由应答返传给源节点，WCETT权值通过公式(c)和公式(d)得到，

WCETT=(1-β)*Σi=1hETTi+β*max1≤j≤kxj---(c)]]>

在公式(c)和公式(d)中，h是某条路由经过h跳链路的数目，k是系统中采用的信道数目，ETT_i是在链路i上传输一个包的传输时间，x_j是信道j上传输包所需要的时间，β是一个可变参数值，其范围为0≤β≤1。