本发明涉及自组网领域，尤其涉及一种无线自组网加密通信方法及其终端。

背景技术：

与普通移动通信系统相比，无线自组网通信系统具有组网灵活、自适应强、多跳中继、抗毁自愈等优点，无需事先部署移动基站、回传网络、核心网等建设周期较长的通信设施，即可开展移动通信业务。但无线自组网的便利性也带来网络的脆弱性，易受攻击，易被窃听。

技术实现要素：

本发明的目的在于提供一种无线自组网加密通信方法及其终端，使无线自组网既能保持原有优点，又能显著增强网络安全，提高整个通信系统的保密性和可靠性。

本发明采用的技术方案是：

一种无线自组网加密通信方法，其包括可信连接部分和加密通信部分，可信连接部分：主叫终端向自组网内的任一被叫终端发起数据连接请求，被叫终端判断该主叫终端是否在本机当前的可信终端注册表中；是则，则建立数据连接允许进行加密通信；否则，强制主叫终端进行入网认证；

加密通信部分：主叫终端从本机的可信终端注册表中选择被叫终端并发起呼叫请求，被叫终端响应呼叫请求，并在接纳呼叫请求同时生成公钥发送至主叫终端；主叫终端为每次通信随机生成一个通信密钥并用该公钥进行非对称加密后发送至被叫终端，被叫终端用私钥对加密的通信密钥进行解密获取通信密钥，主叫终端和被叫终端利用共知的通信密钥配合对称加密技术对该次加密通信的通信数据进行加密或者解密实现加密通信。

进一步地，可信连接部分的具体步骤为：

步骤1-1，主叫终端向被叫终端发起数据连接请求；

步骤1-2，被叫终端解析请求报文获取主叫终端的物理地址；

步骤1-3，通过比对物理地址，判断主叫终端是否在被叫终端当前的可信终端注册表中；

当主叫终端在被叫终端当前可信终端注册表内时，则建立主叫终端与被叫终端的数据连接允许进行加密通信；

当主叫终端不在被叫终端当前可信终端注册表内时，则强制主叫终端进行入网认证；

加密通信部分的具体步骤为：

步骤2-1，主叫终端从本机的可信终端注册表中选择被叫终端并发起呼叫请求；

步骤2-2，被叫终端响应呼叫请求决定是否接受呼叫请求；是则，被叫终端生成公钥并连同呼叫接纳响应反馈至主叫终端；否则，被叫终端告知主叫终端呼叫拒绝响应；

步骤2-3，主叫终端判断呼叫是否被接纳；是则，解析获取公钥并执行步骤2-4；否则，结束通信；

步骤2-4，主叫终端为每次通信随机生成一个通信密钥并用公钥进行非对称加密后发送至被叫终端；

步骤2-5，被叫终端用私钥对加密的通信密钥进行解密获取通信密钥，

步骤2-6，被叫终端与主叫终端建立保密通信，主叫终端和被叫终端利用共知的通信密钥配合对称加密技术对该次通信数据进行加密或者解密。

进一步地，自组网内的通信终端进行可信数据连接前分别配置可编辑的逻辑标识号，逻辑标识号具有唯一性，且作为通信时的主叫号码和被叫号码。

进一步地，逻辑标识号为固定位数的阿拉伯数字。

进一步地，数据连接请求以主叫终端的逻辑标识号作为主叫号码，以被叫终端的逻辑标识号作为被叫号码；该呼叫请求以主叫号码所对应的物理地址作为源地址，以被叫号码所对应的物理地址作为目的地址，并利用自组网路由协议从主叫终端依次经过该自组网路径的各个中间节点发往被叫终端。

进一步地，入网认证的方法为：主叫终端向自组网内的任一被叫终端发送经加密的认证信息以发起认证请求；被叫终端解析认证信息并基于该认证信息对主叫终端进行认证；主叫终端通过该被叫终端认证成功后，主叫终端以及自组网内的所有终端同步更新可信终端注册表。

进一步地，入网认证的方法的具体步骤为：

步骤1-3-1，主叫终端以加密的方法生成认证信息，并发送至自组网内的任一被叫终端以发起认证请求；

步骤1-3-2，被叫终端解析认证请求并获取主叫终端的物理地址以及认证信息；



本发明公开一种无线自组网加密通信方法及其终端，每个终端通过接入认证后，才能加入无线自组织网络，防止非法终端入侵网络。每次通话连接均采用不同的通信密钥对通信数据进行加密，防止网内其他用户窃听。通信密钥通过非对称加密技术加密后，在自组网内分发，可有效防止攻击者破解窃取。本发明综合采用非对称加密和对称加密两种加密技术的优点：利用非对称加密技术在无线网络中安全分发通信密钥，利用对称加密技术实现通信数据的快速加密和解密。本发明使无线自组网既能保持原有优点，又能显著增强网络安全，提高整个通信系统的保密性和可靠性。

步骤1-3-3，被叫终端将解析的主叫终端的物理地址以及认证信息与被叫终端本机当前维护的可信终端列表和认证信息一一对比；

当一一比对一致时，被叫终端将主叫终端登记至其可信终端注册表并通知自组网内的其它终端同步更新可信终端注册表，并告知主叫终端认证成功；

当一一比对不一致时，被叫终端告知主叫终端认证失败；

步骤1-3-4，主叫终端判断认证是否成功；是，则执行步骤1-3-5；否则，结束认证；

步骤1-3-5，主叫终端向被叫终端发起更新本机可信终端注册表请求；

步骤1-3-6，被叫终端将更新后的可信终端注册表发送至主叫终端；

步骤1-3-7，主叫终端更新本机的可信终端注册表并完成认证。

进一步地，本发明还公开了一种无线自组网加密通信终端，其包括音视频通信模块、加密/解密模块、无线自组网通信模块和电池供电模块，音视频通信模用于向用户提供音视频通信服务，加密/解密模块用于加密通信时对通信数据进行加密或解密处理，无线自组网通信模块根据自组网路由协议与其他加密通信终端进行无线自组网并相互通信；电池供电模块为加密通信终端提供电源。

进一步地，音视频通信模块包括触摸屏、摄像头、麦克风、扬声器和主控模块，触摸屏负责显示所接收的图像视频信号并提供按键输入功能，摄像头负责采集并生成图像视频信号，麦克风负责将声信号转换成电信号，扬声器负责将电信号转换成声信号；主控模块负责控制并驱动触摸屏、摄像头、麦克风、扬声器的功能，并向用户提供通信服务；

加密/解密模块包括密钥生成模块、对称加密单元和非对称加密单元，分为主叫模式和被叫模式两种工作模式，主叫模式下密钥生成模块负责为每次通话随机生成一个通信密钥，非对称加密单元中的加密模块利用输入的公钥以及非对称加密技术对通信密钥进行加密，并输出加密后的通信密钥；对称加密单元中的加密/解密模块利用通信密钥以及对称加密技术对通信数据进行加密或解密处理；

被叫模式下密钥生成模块根据非对称加密算法，随机生成一对公钥和私钥，其中公钥通过无线自组网对外分发；非对称加密单元中的解密模块利用私钥，对输入的加密通信密钥进行解密；对称加密单元中的加密/解密模块利用通信密钥以及对称加密技术，对通信数据进行加密或解密处理；

无线自组网通信模块包括射频模块、基带模块和路由模块；

射频模块负责放大天线接收的高频信号，并将基带模块生成的信号通过天线发射出去；

基带模块负责信号调制和解调，将射频模块提供的模拟信号解调成数据报文，并发送给路由模块处理；将路由模块生成的数据报文调制成模拟信号，并发送给射频模块；

路由模块负责解析所接收的数据报文，并根据自组网路由协议终结该数据报文的网络传输，或选择网络的下一跳节点继续传输该数据报文；或者生成数据报文，并根据自组网路由协议，向网络的下一跳节点发送该数据报文；

电池供电模块实现终端在移动便携状态能长时间持续供电。

进一步地，加密通信终端在无线自组网中具有三种不同的工作模式，分别为通信状态、中间转发状态和待机状态三种状态；通信状态：进行加密通信的主叫终端和被叫终端处于通信状态；中间转发状态：仅根据自组网路由协议，转发主叫终端和被叫终端的通信数据，处于中间转发状态的加密通信终端不显示加密通信信息并作为自组网的中间节点；待机状态：不参与加密通信数据转发作为自组网的其它节点存在。

进一步地，一个无线自组网可具有多个加密通信连接，一个加密通信终端可同时位于无线自组网的多个加密通信连接中并分别处于不同的工作模式，且一个加密通信终端同一时刻在不同的加密通信连接中可同处于中间转发状态或者待机状态，但一个加密通信终端不能在多个加密通信连接中同处于通信状态。

本发明采用以上技术方案，使无线自组网既能保持原有优点，又能显著增强网络安全，提高整个通信系统的保密性和可靠性。每个终端通过接入认证后，才能加入无线自组织网络，防止非法终端入侵网络。每次通话连接均采用不同的通信密钥对通信数据进行加密，防止网内其他用户窃听。通信密钥通过非对称加密技术加密后，在自组网内分发，可有效防止攻击者破解窃取。本发明综合采用非对称加密和对称加密两种加密技术的优点：利用非对称加密技术在无线网络中安全分发通信密钥，利用对称加密技术实现通信数据的快速加密和解密。该发明适合具有保密通信要求，且需要临时紧急部署、或者位于山地、水上、海上等各种无线网络难以部署地区的移动通信场景。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明的无线自组网加密通信的网络结构示意图；

图2为本发明的无线自组网加密通信连接示意图；

图3为本发明的加密通信终端在多条通信连接中的连接状态示意图；

图4为本发明的加密通信终端的结构示意图；

图5为本发明的加密通信终端的无线自组网通信模块的结构示意图。

图6为本发明的加密通信终端的音视频通信模块的结构示意图；

图7为本发明的加密通信终端的加密通信模块在主叫模式下的原理框图；

图8为本发明的加密通信终端的加密通信模块在被叫模式下的原理框图；

图9为本发明的入网认证流程示意图；

图10为本发明的加密通信流程示意图。

具体实施方式

如图1-10之一所示，本发明公开了一种无线自组网加密通信方法，新入网终端通过接入认证后，才能连入无线自组织网络。每次通话前，主叫终端根据自组网路由协议，搜索到被叫终端的最佳路径后，向被叫终端发起呼叫请求。被叫终端接受呼叫请求后，向主叫终端发送公钥。主叫终端为每次通话随机生成一个通信密钥，并利用所接收的公钥以及非对称加密技术，对该通信密钥进行加密。加密后的通信密钥由主叫终端，通过无线自组网发给被叫终端。被叫终端利用私钥，解出通信密钥。主叫终端和被叫终端利用双方共知的通信密钥以及对称加密技术，对通信数据进行加密或解密。无线自组网内负责转发的各中间节点仅接触加密后的通信数据，从而建立具备保密通信能力的无线自组网通信系统。每个通信终端分别配置可编辑的逻辑标识号，逻辑标识号具有唯一性，且作为加密通信的主叫号码和被叫号码；进一步地，逻辑标识号为固定位数的阿拉伯数字。例如001、020、980，该逻辑标识号可编辑，并作为加密通信的主叫号码和被叫号码。在一个无线自组网内，每个终端的逻辑标识号具有唯一性，不能与其它终端相同。对归属于一个无线自组网的全部终端，定期更新并维护以下安全认证信息：用户名和密码；可信终端列表ls，该列表记录网内每个可信终端信息，包括终端的物理地址及所对应的逻辑标识号。其中，更新周期tu根据网络安全等级要求而设置。安全等级越高，周期越短(例如每隔1周)，但维护复杂度也随之提高。为保障网络安全，定期清除网内每个终端的可信终端注册表rs，清除周期tc可与前述的更新周期tu保持一致，以强迫网内所有的终端重新发起安全认证，使已失效、不再可信的终端无法再接入本网。

一种无线自组网加密通信方法，其包括可信连接部分和加密通信部分，具体步骤如下：

可信连接部分：主叫终端建立与自组网内的任一被叫终端的可信数据连接，如图9所示，具体步骤为：

步骤1-1，主叫终端向被叫终端发起数据连接请求；

进一步地，步骤1-1中数据连接请求以主叫终端的逻辑标识号作为主叫号码，以被叫终端的逻辑标识号作为被叫号码；该呼叫请求以主叫号码所对应的物理地址作为源地址，以被叫号码所对应的物理地址作为目的地址，并利用自组网路由协议从主叫终端依次经过该自组网路径的各个中间节点发往被叫终端。

步骤1-2，被叫终端解析请求报文获取主叫终端的物理地址；

步骤1-3，通过比对物理地址，判断主叫终端是否在被叫终端当前的可信终端注册表中；

当主叫终端在被叫终端当前可信终端注册表内时，则建立主叫终端与被叫终端的数据连接允许加密通信；

当主叫终端不在被叫终端当前可信终端注册表内时，则强制主叫终端进行入网认证；

进一步地，入网认证的方法为：主叫终端向自组网内的任一被叫终端发送经加密的认证信息以发起认证请求；被叫终端解析认证信息并基于该认证信息对主叫终端进行认证；主叫终端通过该被叫终端认证成功后，主叫终端以及自组网内的所有终端同步更新可信终端注册表，具体步骤为：

步骤1-3-1，主叫终端以加密的方法生成认证信息，并发送至自组网内的任一被叫终端以发起认证请求；

步骤1-3-2，被叫终端解析认证请求并获取主叫终端的物理地址以及认证信息；

步骤1-3-3，被叫终端并将解析的主叫终端的物理地址以及认证信息与被叫终端本机当前维护的可信终端列表和认证信息一一对比；

当一一比对一致时，被叫终端将主叫终端登记至其可信终端注册表并通知自组网内的其它终端同步更新可信终端注册表，并告知主叫终端认证成功；

当一一比对不一致时，被叫终端告知主叫终端认证失败；

步骤1-3-4，主叫终端判断认证是否成功；是，则执行步骤1-3-5；否则，结束认证；

步骤1-3-5，主叫终端向被叫终端发起更新本机可信终端注册表请求；

步骤1-3-6，被叫终端将更新后的可信终端注册表发送至主叫终端；

步骤1-3-7，主叫终端更新本机的可信终端注册表并完成认证。

加密通信部分：主叫终端与自组网内的任一被叫终端进行加密通信，如图10所示，具体步骤如下：

步骤2-1，主叫终端从本机的可信终端注册表中选择被叫终端并发起呼叫请求；

步骤2-2，被叫终端响应呼叫请求决定是否接受呼叫请求；是则，被叫终端生成公钥并连同呼叫接纳响应反馈至主叫终端；否则，被叫终端告知主叫终端呼叫拒绝响应；

步骤2-3，主叫终端判断呼叫是否被接纳；是则，解析获取公钥并执行步骤2-4；否则，结束通信；

步骤2-4，主叫终端为每次通信随机生成一个通信密钥并用公钥进行加密后发送至被叫终端；

步骤2-5，被叫终端用私钥对加密的通信密钥进行解密获取通信密钥，

步骤2-6，被叫终端与主叫终端建立保密通信，主叫终端和被叫终端利用共知的通信密钥配合对称加密技术对该次通信数据进行加密或者解密。

本发明还公开了一种无线自组网加密通信终端，应用了所述一种无线自组网加密通信方法。如图2所示，在无线自组网的一个加密通信连接中，通信终端按所处不同的工作模式，可划分为以下三种状态：

①通信状态，所对应的终端：进行本次加密通信的主叫终端和被叫终端。

②中间转发状态，所对应的终端：仅根据自组网路由协议，转发主叫和被叫终端通信数据，本机不显示加密通信信息的各个自组网中间节点。

③待机状态，所对应的终端：不参与本次加密通信数据转发的其它自组网节点。

一个无线自组织网络中可以同时存在多个加密通信连接。一个终端可以位于网络的多个加密通信连接中，并可因此而同时处于多种工作状态。一个终端可以处于某个连接的通信状态，也可以同时处于其它连接的中间转发状态或待机状态，但不能在多个连接中同时处于通信状态。同样，一个终端可以处于某个连接的中间转发状态，也可以同时处于其它连接的中间转发状态或待机状态，或某个连接的通信状态；可以处于某个连接的待机状态，也可以同时处于其它连接的中间转发状态或待机状态，或某个连接的通信状态。

如图3所示，终端b在加密通信连接1中处于中间转发状态，在加密通信连接2中处于通信状态，在加密通信连接3中处于待机状态。终端a、c在加密通信连接1中处于通信状态，而在加密通信连接2、3中处于待机状态。终端d、g在加密通信连接1中处于待机状态，而在加密通信连接2、3中处于中间转发状态。

如图4所示，加密通信终端包括音视频通信模块、加密/解密模块、无线自组网通信模块和电池供电模块，

具体地，当终端处于通信状态时，无线自组网通信模块负责接收发往本机的加密通信数据，加密/解密模块将该通信数据解密后，以明文方式发送给音视频通信模块，向用户播放通信的音视频信息；同时将本机所接收的音视频通信信息，经由加密/解密模块数据加密后，由无线自组网通信模块以密文方式发往无线自组织网络。

当终端处于中间转发状态时，无线自组网通信模块仅根据自组网路由协议，接收加密的通信数据，并将其转发到无线自组织网络的下一跳终端。

如图6所示，音视频通信模块包括触摸屏、摄像头、麦克风、扬声器和主控模块，触摸屏负责显示所接收的图像视频信号并提供按键输入功能，摄像头负责采集并生成图像视频信号，麦克风负责将声信号转换成电信号，扬声器负责将电信号转换成声信号；主控模块负责控制并驱动触摸屏、摄像头、麦克风、扬声器的功能，并向用户提供加密通信服务；

加密/解密模块包括密钥生成模块、对称加密单元和非对称加密单元，分为主叫模式和被叫模式两种工作模式；如图7所示，主叫模式下密钥生成模块负责为每次通话随机生成一个通信密钥，非对称加密单元中的加密模块利用输入的公钥以及非对称加密技术对通信密钥进行加密，并输出加密后的通信密钥；对称加密单元中的加密/解密模块利用通信密钥以及对称加密技术对通信数据进行加密或解密处理；

如图8所示，被叫模式下密钥生成模块根据非对称加密算法，随机生成一对公钥和私钥，其中公钥通过无线自组网对外分发；非对称加密单元中的解密模块利用私钥，对输入的加密通信密钥进行解密；对称加密单元中的加密/解密模块利用通信密钥以及对称加密技术，对通信数据进行加密或解密处理；

如图5所示，无线自组网通信模块包括射频模块、基带模块和路由模块；

射频模块负责放大天线接收的高频信号，并将基带模块生成的信号通过天线发射出去；

基带模块负责信号调制和解调，将射频模块提供的模拟信号解调成数据报文，并发送给路由模块处理；将路由模块生成的数据报文调制成模拟信号，并发送给射频模块；

路由模块负责解析所接收的数据报文，并根据自组网路由协议终结该数据报文的网络传输，或选择网络的下一跳节点继续传输该数据报文；或者生成数据报文，并根据自组网路由协议，向网络的下一跳节点发送该数据报文；

电池供电模块实现终端在移动便携状态能长时间持续供电。

本发明采用以上技术方案，使无线自组网既能保持原有优点，又能显著增强网络安全，提高整个通信系统的保密性和可靠性。每个终端通过接入认证后，才能加入无线自组织网络，防止非法终端入侵网络。每次通话连接均采用不同的通信密钥对通信数据进行加密，防止网内其他用户窃听。通信密钥通过非对称加密技术加密后，在自组网内分发，可有效防止攻击者破解窃取。本发明综合采用非对称加密和对称加密两种加密技术的优点：利用非对称加密技术在无线网络中安全分发通信密钥，利用对称加密技术实现通信数据的快速加密和解密。该发明适合具有保密通信要求，且需要临时紧急部署、或者位于山地、水上、海上等各种无线网络难以部署地区的移动通信场景。