面向無線多跳網絡的安全數據分發服務軟件設計與實現

呂廣喆　劉陶　甄超

關鍵詞：多跳網絡；安全；數據分發服務

中圖分類號：TP393 文獻標識碼：A

0引言

為了解決無線環境動態時變不可靠、異構信息傳輸難、信息安全保障弱等問題，為上層構件提供硬件透明、通用開放、可擴展通信接口，不少企業和研究機構開始關注數據分發服務軟件。然而，通用領域解決方案是基于以太網環境構建的，沒有考慮在惡劣環境中網絡的限制。因此，本文提出了一種面向無線多跳網絡的安全數據分發服務軟件，它通過動態自發現機制保證網絡拓撲關系的靈活性；支持節點的動態加入與退出；提供可靠性保證以解決丟包率高的問題；提供安全防護機制以解決訪問控制的問題。

1數據分發服務

數據分發服務（data distribution service，DDS）軟件中發布訂閱是核心，發送端與接收端之間建立發布訂閱關系，發送端根據建立的關系將數據信息推送到訂閱端，完成信息的交互。由DDS組成的網絡拓撲關系，可以實現強實時、高可用的點對點通信。DDS可以被應用于多種不同類型的系統之中，可以通過服務質量（quality of service，QoS）來控制應用間的數據交互方式以適應不同要求，如可靠傳輸、有效性檢測、數據截止期等。

2架構設計

本研究面向無線多跳網絡的實時數據分發服務技術和數據分發服務的安全保障技術。針對無線多跳網絡環境，采用實時數據分發服務技術，建立統一通信軟件平臺，從身份認證、訪問控制、安全加密、信息安全等方面設計安全訪問策略。總體方案架構如圖1所示。

DDS中間件針對無線多跳網絡環境進行適配，封裝無線多跳網絡的設備初始化、消息發送、消息接收接口，以網絡傳輸插件的方式注冊到數據分發服務之中。通過服務質量控制的路由選擇，為上層應用程序獲取數據提供開放、便捷、高效的手段。

在DDS中，允許參與者在不進行身份認證的情況下加入DDS域，但為了避免未認證參與者對數據的破壞，本文提出的數據分發服務安全保障技術要求每一個參與者都進行身份認證，設計針對主題的訪問控制以及消息加解密，從而保證整體的安全性。

3基于服務質量的路由選擇機制

在無線多跳網絡中存在網絡不穩定的情況，往往導致出現通信延遲大和吞吐量降低的問題。為了保證消息傳輸的實時性以及節點間的正常通信，需要根據網絡當前的狀態選擇不同的路由方式。發送數據的節點可以檢測網絡的狀態，當某一條鏈路發生擁堵或延遲較大時，會重新選擇路由。如圖2所示，初始狀態下節點A到節點F的鏈路可以是A→C→D→F、A→B→C→D→F、A→B→E→F;當節點C與節點D之間的鏈路產生擁堵，延遲變大時，節點A需要選擇一條可到達的鏈路A→B→E→F。

本文采用基于服務質量的路由選擇機制以實現路由選擇，路由選擇機制涉及傳輸層和網絡層。在傳輸層中采用DDS進行數據傳輸，上層應用采用統一的數據分發接口進行通信，通過數據分發服務中的服務質量TRANSPORT_PRIORITY（傳輸優先級）可以對IP協議中TOS（服務類型）字段進行設置，DTN（時延容忍網絡）在轉發消息時，可根據不同的TOS值選擇不同的網絡鏈路。

4基于廣播的自發現機制

DDS中每一個域參與者需要保存同一個域內所有有效的域參與者和發布訂閱的信息，在這些信息的基礎上才可以進行發布訂閱，自發現就是獲取和更新這些信息的過程。

在無線多跳網絡中，由于組網的靈活性，組播列表無法確定，使用DDS進行信息傳輸時無法采用組播消息進行節點自發現過程，導致無法建立發布訂閱關系。如圖3所示，初始狀態中節點A、B、E處于一個網絡分組，節點C、D、F處于一個網絡分組。由于任務變化或網絡不穩定，節點E需要退出原先的分組，加入C、D、F分組中，但C、D、F分組原有的組播列表中沒有節點E的信息，如果加入節點E則必須重新配置C、D、F分組組播列表，可能會導致任務無法按時完成。因此，需要建立基于廣播消息的節點自發現過程。

DDS在自發現的過程中，首先將自發現消息發送到指定的廣播地址，通過廣播地址將消息轉發到其他的節點，其他節點接收到自發現消息后回復本地節點的信息進而完成節點發現。后續的數據分發消息也通過廣播地址進行轉發。廣播地址用戶可以根據網絡具體情況進行配置。

5安全防護機制

針對數據分發服務本身存在的安全威脅，本文提出了數據分發服務安全保障技術。數據分發服務安全保障技術包括基于參與者的身份認證、面向主題的訪問控制、面向主題的安全加密和信息安全4個功能模塊，其中基于參與者的身份認證是所有后續安全保障機制的基礎；在身份認證通過的基礎上，訪問控制技術根據配置數據判斷參與者對具體資源的訪問權限，建立訪問關系；確定訪問權限后，根據身份認證和訪問控制結果，面向主題的安全加密模塊完成通信加解密。整個過程中信息安全模塊記錄所有安全相關事件。

6結論

本文采用多個無人機開展實時數據分發服務演示驗證，以無線多跳網絡為主干網絡，整個平臺采用實時數據分發服務作為數據傳輸軟件，對面向無線多跳網絡的數據分發服務和數據分發服務的安全保證技術進行應用驗證。未來還將對軟件的實時性進行優化。