无线mesh网络的安全组播虚拟网映射轻方案

王淑娥， 林柏钢， 郭联志

(1. 福州大学数学与计算机科学学院， 福建 福州　350116；2. 网络系统信息安全福建省高校重点实验室， 福建 福州　350116；3. 闽南师范大学计算机科学与工程系， 福建 漳州　363000)



无线mesh网络的安全组播虚拟网映射轻方案

王淑娥1， 2， 林柏钢1， 2， 郭联志3

(1. 福州大学数学与计算机科学学院， 福建 福州350116；2. 网络系统信息安全福建省高校重点实验室， 福建 福州350116；3. 闽南师范大学计算机科学与工程系， 福建 漳州363000)

为保证面向组播服务的虚拟网映射到无线mesh网导致的数据包丢失率低于一定服务质量需求， 提出一个解决具有可靠性约束的虚拟网安全组播映射到有损链路的无线mesh网的轻方法. 通过伺机转播和VEWL算法， 在满足相应应用可靠性约束的同时减少虚拟网的激活时间， 进一步提高网络资源的利用率； 结合文[9]的无线mesh网密钥管理新方案， 实现安全组播服务. 以NS2进行仿真实验， 结果表明， 该方法优于纯粹的广播或单播解决方案.

虚拟网映射； 无线mesh网络； 可靠性； 伺机转播； 安全组播

0　引言

无线mesh网络(wireless mesh networks， WMNs), 因其快速部署和仅用低成本就可扩大覆盖范围而被视为一种很有发展前途的网络技术， mesh路由器通过无线链路相互连接并且其数据包通过多跳路由路径转发. 2008年， 全球无线mesh组网已经开始应用[1]. 当数据源发送同一音、 视频点播或信息推送服务等数据包到一组预定义的目的地时， 为节省网络资源、 避免重复传输当前的互联网模式会利用组播机制来实现这些实时通信. 与非实时应用相比， 这些实时应用对QoS有较高要求. 虽然组播通信提供尽力而为的服务并允许丢包， 但当把面向组播服务的VNs映射到WMN时， 为保证QoS有必要将数据包的错误率和丢失率限制在一定阈值内满足用户的可靠性需求. 为了满足QoS的要求， 网络虚拟化是一种急需被采纳的技术. 网络虚拟化是一个允许多个异构网络架构于共享的物理基础设施上的网络环境[2-3]. 这些异构网络被称为虚拟网络(virtual networks， VNS)， 而物理基础设施被称为物理网络. 在网络虚拟环境中， 一个VN可独立运行而不干扰其他VNs. VNs之间的独立， 提高了系统配置和管理的灵活性. 而网络虚拟化的一个主要挑战是虚拟网映射(virtual network embedding， VNE)问题， 它解决的是如何高效地把虚节点和虚链路映射到物理节点和物理链路上[3-4]. 对于该问题， 以前的大部分论文， 如文献[3-5]， 提出的是仅适用于面向单播服务的VNs. Zhang等[6]提出了一个面向组播服务且具有时延和时延抖动约束的VNE算法， 但它只集中讨论有线网. 然而， 在WMNs环境中VNE算法的问题更具挑战性. 首先， 由于广播的无线链路性质， 若不同的VNs未被清楚地分开， 他们会争夺同一通道. 其次， 无线链路易受干扰和衰减而影响服务质量(quality of service， QoS)， 即包丢失或位错误不可避免. 因此， 本研究提出一种新方法称为虚拟网组播映射到无线mesh有损链路网络(multicast virtual network embedding in wireless mesh net-works with lossy links， VEWL)， 以使面向组播服务的VNs与有损链路环境下的WMN的可靠性约束相匹配. 在不可靠的无线链路条件下， VEWL是面向组播服务的VNE首要处理的问题.

1　系统模型及问题描述

表1　符号定义Tab.1　Symbol definition

为进行下一步分析， 先引入符号说明(表1).

物理网络模型: 用无向图Gs=(Ns,Es,Rs)表示无线mesh网络的模型；

虚拟网需求模型: 用无向图Gv=(Nv,Ev,Dv)表示虚拟网映射的需求， 且Nv⊆Ns,Ev⊆Es；

虚拟网映射模型: 可通过M:Gv|→Gs表示从Gv到Gs子集的一个满足Gv可靠性需求Dv的映射， 描述虚拟网映射问题.

1.1面向组播服务的虚拟网安全假设

一个面向组播服务的VN中的虚拟网形成一个源节点在中心、 多个目的节点在边缘的星型拓扑结构. 在组播机制中没有确认和重传机制， 组播只提供尽力而为的服务并允许丢包. 考虑到WMN的网络通信安全性， 假设任何相邻的网络节点间无通信会话， 除非它们之间存在共享的会话密钥. 但攻击者常发动各种攻击， 如消息窃听攻击、 无线链路干扰等. 本研究关注WMN网络中的被动窃听攻击， 假设攻击者能通过软件缺陷或物理捕获等方式捕获并完全控制任意数量的网络节点， 当网络节点被捕获之后， 攻击者可通过对消息进行解密提取存储在该节点上的任意秘密信息， 包括会话初始阶段预先分发的随机加密密钥. 同理， 被捕获节点的邻居节点也会遭受同样的攻击. 为了保证QoS， 每条虚拟链路均需设置一个可靠性要求作为约束并进行相应的安全保障.

1.2无线mesh网络

当源节点被映射到无线mesh网节点后， WMN可组织成一个诸如ROMA[5]的层次拓扑结构， 如图1所示. 在同一层次拓扑的无线链路被配置在相同频道， 则不同层的无线链路可同时传输数据. 每条链路均有一个在实际部署中可通过探针定期测量的可靠性指标. 在有线传输介质如同轴电缆和光纤中， 组播服务的误包率(PER， packet error rate)很低且可接受. 但对于无线mesh链路由于数据包通过多跳路径传输， 在WMNs中组播服务的PER很高. 因此， 当WMN映射到组播VN时， 需提供QoS保证； 但采用广播模式不能保证QoS； 同理， 若采用单播模式代替广播模式， 由数据包重复造成的资源消耗会非常高. 此外， 当VNs映射到WMN中时的关键问题是如何分配适当的资源给VNs以实现它们彼此间的独立. 可行的方法包括空分复用、 频分复用、 码分复用、 时分复用， 或以上几种方法的混合[7]. 空分复用的方法无法实现高效的空间重用. 在频分复用或码分复用的解决方案中， 支持物理节点的VNs数量受到可用的频带正交码数量的限制， 从而导致可扩展性受到制约. 时分复用方式没有这些问题， 并在本研究中被采用. 不同的VNs采用循环的方式在不同的时期被激活， 以避免相互干扰. 为最大限度地增加由SN支持的VNs数量， 由每个VN占据的激活时间比例应尽量减少. 故该问题可描述为： 对于有可靠性要求的组播VN， 将它的节点和链路映射到一个特定的WMN； 假设VN在每个活动期间内要传送n个数据包， 在这n个数据包已交付并保证满意的可靠性要求下尽量减少VN的激活时间.

2　面向组播服务的VNE算法

物理WMN如图2(a)所示. 每个圆圈代表一个网格节点， 每行对应一个无线链路， 关联每行链路的概率是该链路的可靠性. 如图2(b)所示， 只有一个目标的简单组播VN图， 要求其虚拟链路的可靠性阈值是0.9.

显然， 当前SN中无满足要求的单一物理链路或路径. VN的要求可通过以下方式实现： 虚拟节点s和d分别映射到基板节点A和B， 如图2(c)所示. 当A在一条通道上加密广播数据包， 无论是它的邻居B还是C均可以一定的概率接收数据包. 若C已成功地接收数据包， 并在另一个抗干扰的通道上重发该数据包， 那么B就有一个新的机会接收它. 由于传输的多样性，d从s收到组播数据包的概率增加.A-B链路的可靠性为0.8， 而B通过两跳的路径A-C-B接收数据包的概率是0.56. 因此，B在所有路径中都错过数据包的概率是0.088， 而B已至少一次成功接收数据包的概率是0.912， 在这里 0.912比组播VN要求达到的可靠性还要高. 若组播VN的可靠性要求大于0.912， 而即使在C是重播节点的情况下也没法满足这样的可靠性要求时， 服务提供商可直接退出这项服务， 或者可让源节点多次加密组播每个数据包以提高可靠性， 但这超出了本研究的考虑范围.

基于上述分析， 在WMN中伺机重播的组播VNE方案将在本节提出. 其主要思想通过图3例子说明.

为减少组播VN的激活时间， 节点A和C的传输应当以如图3所示的管道方式来组织. 假设源节点激活期间要发送n个数据包， 每包一跳的传输时间是t. 若这些数据包在r个不同的层次重新广播， 那么VN的最小激活时间是(n+r)t. 由于n和t由VN决定， 减少激活时间与减少重播节点所在层次的效果相同.

算法1列出一般情况下映射组播VN到物理WMN的步骤， 在算法中节点和带宽限制不予考虑， 而集中于可靠性约束上以简化问题. VEWL的输入包括一个物理WMN和一个组播VN， 它的输出是一组物理节点集， 该节点集应重新广播已收到的数据包. 若无可行的解决方案存在， 则返回“此链路映射无解”. 算法1的第11行， 添加子节点的最大独立集到队列的目的在于避免干扰到相同层的转播节点. 此算法将尽可能满足用户的可靠性需求， 并以构建尽可能多的虚拟网组播服务为目标.

3　组播服务的密钥分配安全性解决方案

组播通信的安全问题与端到端的单播情况相比更复杂， 因此需格外重视组播的安全保证. 而组播数据的机密性保护和安全通信系统的建立是安全组播研究的主要目标[8]. 全体成员共享一个秘密的通信加密密钥(TEK, traffic encryption key)， 其中TEK是对称密钥， 且所有组内通信均用该密钥加、 解密. Rekey过程为： 用户加入或离开群组时须更新TEK， 以保证新成员不能访问过去的历史数据来提供后向安全性， 并且当前及未来的通信将确保对离开成员的不可读性来提供前向安全性. 为减少系统付出的开销保证组播安全， 合理的密钥分配算法、 TEK的分发和更新是核心问题. 因此, 本研究针对密钥管理最优化问题， 采用潘等[9]提出的密钥管理新方案， 以在所有网络节点间分配随机加密密钥的方式， 防止潜在的恶意窃听攻击， 提高密钥管理效率.

当前组播应用的另一大瓶颈是通信复杂度， 它是密钥管理的重要方面之一， 而减低通信次数是密钥分配研究所追求的目标. 为此， 可结合文[10]， 在传统的基于机会的网络编码COPE算法基础上， 通过适当舍弃目标节点的链路编码， 提出无线mesh网络编码新算法CDYY(在此， 结合作者加以命名)， 来降低通信次数， 减少通信复杂度， 最终实现安全组播.

4　性能评价

本研究选用面向对象的NS2(network simulator version 2)网络仿真器作为基础搭建无线mesh网络的仿真平台, 并结合Matlab场景生成器对VEWL算法进行实验仿真， 实现性能分析与可靠性和激活时间的比较. WMN网的拓扑以及物理、 虚拟链路之间的可靠性是随机生成. 物理链路可靠性遵循从0.5到1之间的均匀分布， 而虚拟链路的可靠性遵循U=0.75，σ=0 .05的正态分布. 假设在每个激活周期内源节点要传送5个数据包， 一个数据包一跳的传输时间需要10 ms， 组播VN的目的节点数从1到5变化. VEWL与一种广播方法和一种单播方法进行比较. 广播方法中， 广播数据包无重播机会； 而单播方法是使用单播的模式在节点间发送数据包.

4.1可靠性比较

在VN中存在5个目的节点的情况下， 不同方案的需求和实际可靠性如图4所示. VEWL满足所有目节点的可靠性要求. 图3中的两个箭头表明， 广播方式不能满足目标节点1和2的可靠性要求.

4.2激活时间比较

图5描述了不同策略组播VN的激活时间. 由于并发传输的缘故， 在双射频WMN网中组播VNs比在单射频WMN网中往往占用更少的激活时间. 随着目的节点数增加， 由于重复传输， 单播方式的激活时间激增. VEWL明显优于广播和单播方式， 因它最大限度地减少了组播VNs的激活时间并满足组播VNs的可靠性要求.

综上可知， 与原来单纯的组播或广播解决方案相比， VEWL在可靠性和激活时间上都具有一定优势.

5　结语

为满足面向组播服务特定的Qos要求， VNs映射到具有不可靠无线链路的WMN是一种解决方案， 但该方案会导致数据包丢失. 本研究对基于伺机转播的VNE安全组播方案的主要思想加以阐述， 通过VEWL算法着重解决链路映射问题， 以求在既满足特定Qos要求的情况下又提高可靠性和网络资源利用率. 通过仿真表明， 这种支持安全组播的VEWL解决方案， 与单纯的组播或广播的解决方案相比， 激活时间减少， 可靠性和网络性能也有所提高. 对链路映射阶段， 可考虑借鉴文[5， 11-12]中提到的路径合并(path splicing， PS)方法改进虚拟链路映射， 以提高虚拟网快速从故障中恢复的能力. 所以， 下一步的工作是研究该思路的可行性， 以完善本研究所提方案.

[1] 郭靖. 分析: 无线Mesh网构建无线城市[J]. 通信世界, 2008(9)： I0007.

[2] CHOWDHURY M, BOUTABA R. Network virtualization: state of the art and research challenges[J]. IEEE Communications Magazine, 2009, 47(7): 20-26.

[3] CAI Z P, LIU F, XIAO N,etal. Virtual network embedding for evolving networks[C]//Proc IEEE GLOBECOM. Piscataway: IEEE, 2010: 1-5.

[4] YU M, YI Y, REXFORD J,etal. Rethinking virtual network embedding: substrate support for path splitting and migration[J]. ACM SIGCOMM Computer Commun, 2008, 38(2): 17-29.

[5] CHOWDHURY N, RAHMAN M, BOUTABA R. Virtual network embedding with coordinated node and link mapping [C]//Proc IEEE INFOCOM. Piscataway: IEEE, 2009: 783-791.

[6] ZHANG M, WU C, JIANG M,etal. Mapping multicast service-oriented virtual networks with delay and delay variation constraints[C]//Proc IEEE GLOBECOM. Piscataway: IEEE, 2010: 1-5.

[7] DHANANJAY A, ZHANG H, LI J,etal. Practical, distributed channel assignment and routing in dual-radio mesh networks [C]//Proc Acm Sigcomm Computer Communication Review. New York: ASSOC Computing Machinery, 2009, 39(4): 99-110.

[8] ZHU W T, XIONG J P, LI J S,etal. A study of the key distribution in secure multicast[J]. Journal of Software. 2003, 14(12): 2 052-2 059.

[9] 潘焦萍， 周海， 吴丽珍. 一种新的高效的适合无线Mesh网络的密钥管理方案[J]. 西北师范大学学报(自然科学版)， 2013， 6(49)： 47-53.

[10] 邓文君， 杨真， 杨震. 一种新的无线mesh网络编码算法[J]. 重庆邮电大学学报(自然科学版)， 2010， 22(2)： 156-158.

[11] MOTIWALA M, ELMORE M, FEAMSTER N，etal. Path splicing[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(4): 27-38.

[12] 蔡志平， 刘强， 吕品, 等. 虚拟网络映射模型及其优化算法[J]. 软件学报， 2012， 23(4)： 864-877.

(责任编辑： 沈芸)

A light secure multicast virtual network embedding in wireless mesh networks with lossy links scheme

WANG Shu’e1, 2, LIN Bogang1, 2, GUO Lianzhi3

(1. College of Mathematics and Computer Science, Fuzhou University, Fuzhou， Fujian 350116, China；2. Key Lab of Information Security of Network System in Fujian Province, Fuzhou University, Fuzhou， Fujian 350116, China；3. Department of Computer Science and Technology， Minnan Normal University， Zhangzhou, Fujian 363000, China)

To ensure that the packet loss rate of multi-cast service for the virtual network embedded in the wireless mesh network is below a certain QoS service demand, we propose a light method to solve the problem how to let virtual network secure multi-cast with reliability constraints embedded lossy links WMN network. By opportunistic replay, it meets reliability constraints in the corresponding applications, meanwhile it also minimize the virtual network’s activation time to further improve the utilization of network resources. Combined with the new wireless mesh network key management program in

[9], this method achieves secure multicast services. Based on NS2 simulation results show that the novel method is better than either purely broadcast or uni-cast solutions.

virtual network embedding; wireless mesh networks; reliability; opportunistic replay; secure multi-cast

10.7631/issn.1000-2243.2016.01.0020

1000-2243(2016)01-0020-06

2014-06-12

林柏钢(1953-)， 教授， 博士生导师， 主要从事网络与信息安全、 编码与密码、 云计算与物联网安全等研究， linbg95@163.com

国家自然科学基金资助项目(61075022)； 福建省科技厅重点资助项目(2012H0025)

TP393

A