CN107241728A - 一种基于集中管控和分散自律的安全无线传感网络 - Google Patents

一种基于集中管控和分散自律的安全无线传感网络 Download PDF

Info

Publication number
CN107241728A
CN107241728A CN201710692586.6A CN201710692586A CN107241728A CN 107241728 A CN107241728 A CN 107241728A CN 201710692586 A CN201710692586 A CN 201710692586A CN 107241728 A CN107241728 A CN 107241728A
Authority
CN
China
Prior art keywords
network
centralized management
node
scattered
discipline
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710692586.6A
Other languages
English (en)
Other versions
CN107241728B (zh
Inventor
闫连山
李洪赭
李赛飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ansett Optical Technology Chengdu Co Ltd
Original Assignee
Ansett Optical Technology Chengdu Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ansett Optical Technology Chengdu Co Ltd filed Critical Ansett Optical Technology Chengdu Co Ltd
Priority to CN201710692586.6A priority Critical patent/CN107241728B/zh
Publication of CN107241728A publication Critical patent/CN107241728A/zh
Application granted granted Critical
Publication of CN107241728B publication Critical patent/CN107241728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络奔溃时,整个网络切换至分散自律模式。本发明提升了安全防御性能和网络鲁棒性,减弱了集中管控的网络安全风险,大大加强了物联网、工控网络等易感染僵尸网络对象的防御性能。

Description

一种基于集中管控和分散自律的安全无线传感网络
技术领域
本发明涉及无线传感网络技术领域,具体为一种基于集中管控和分散自律的安全无线传感网络。
背景技术
随着无线传感网络的广泛应用,基于传统架构的无线传感网络面临许多问题,其主要存在以下缺陷:
1、传统无线传感网络的硬件设备与信息分发策略全部固化,节点只能按照单一路由协议完成信息的转发,不能根据网络拓扑实时调整转发策略,而网络拓扑随着部分节点能量耗尽或者损坏发生变化导致整个网络变得不稳定甚至失效。
2、无线传感网络中一般只能部署轻量级的入侵检测算法,且只能采用分布式检测,缺乏全局性的控制和管理。针对无线传感网络的攻击,常见的例如拥塞攻击、物理破坏攻击、碰撞攻击、能量耗尽攻击、不公平竞争攻击等等。分布式检测无法对网络攻击行为进行全局综合分析和整体协同防御,导致检测准确度较低、误警率较高。
因此我们需要一种对全网有着一定的掌控和分析能力的集中管控架构,但引入集中管控也会带来新的风险。由于是集中式结构,一旦网络控制器被攻破则会导致整个网络的沦陷,并且无线传感网络不同于传统IP网络,将控制层面和数据转发层面分离的同时,一旦无线传感网络中的控制节点宕机,该片区的大量普通节点则脱离了网络的管控,所以在单一的集中管控架构下我们需要一种新的网络安全防护机制。
发明内容
针对上述问题,本发明的目的在于提供对网络安全性能要求较高的,同时兼顾部分网络运维能力的基于集中管控和分散自律的安全无线传感网络。技术方案如下:
一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络奔溃时,整个网络切换至分散自律模式。
进一步的,在所述集中管控模式下,整个网络的状态、记录日志以及访问请求均被安全模块节点汇聚后从安全网络的一个或多个数据传输出口送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析。
更进一步的,所述集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。
更进一步的,所述集中管控模式中,网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径经过所有节点。
更进一步的,所述集中管控模式中,网络控制器存储全网所有被保护节点的权限和认证信息,接收来着安全模块节点的认证请求,并下发相应的结果至节点执行动作。
更进一步的,所述集中管控模式中,网络管控节点具有休眠周期,当工作窗口或认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
更进一步的,在所述分散自律模式下,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连的接节点的行为,并实时共享;当发现异常时,即关闭与该节点连接的被保护主机的所有权限。
更进一步的,所述分散自律模式中,数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。
更进一步的,所述主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。
更进一步的,所述中安全机制为,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
本发明的有益效果是:本发明采用集中管控结构的无线传感网络提升了安全防御性能和网络鲁棒性;采用主侧两条数据链技术作为无线传感网络的备份安全机制,在中心认证模式失效的情况下采用节点间相互认证,减弱了集中管控的网络安全风险;对于被保护节点,实施了认证网络和工作网络分离,大大加强了物联网、工控网络等易感染僵尸网络对象的防御性能。
附图说明
图1为集中管控模式下网络结构示意图。
图2为分散自律模式下网络结构示意图。
图3为安全模块节点结构示意图。
图4为节点工作流程图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细说明。一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络奔溃时,整个网络切换至分散自律模式。
分散自律是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术让参与系统的任意多个节点,把一段时间内系统全部信息交流的数据,通过密码学算法计算和记录到一个数据块,并且生成该数据块的指纹用于链接下个数据块和校验,系统所有参与节点来共同认定记录是否为真。
当集中管控模式下的某个控制节点或网络控制器无法正常工作时,可以切换至分散自律工作模式,形成新的防御机制,简单可以称之为“战时状态”。此时整个网络没有中心化的硬件或者管理机构,任意节点之间的权利和义务都是均等的,且任一节点的损坏都不影响整个系统的运行。同时在系统规则范围内,节点之间是不能也无法欺骗其他节点的,一旦某个节点出现“叛徒”行为,立即会遭到整个节点网络的抛弃。
如图1所示,本实施例的集中管控模式,整个网络的状态、记录日志以及访问请求都被安全模块节点汇聚后从安全网络的一个或多个数据传输出口(LAN、蜂窝等)送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析。
集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径经过所有节点。网络控制器存储全网所有被保护节点的权限和认证信息,接收来着安全模块节点的认证请求,并下发相应的结果至节点执行动作。网络管控节点具有休眠周期,当工作窗口或认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
如图2所示,本实施例的分散自律模式,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,但每个节点都会审查其相连接节点的行为,并通过主侧数据链技术实时共享,一旦发现异常,即关闭该节点连接的被保护主机的所有权限。
分散自律模式中,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连的接节点的行为,并实时共享;当发现异常时,即关闭与该节点连接的被保护主机的所有权限。数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
如图3所示,本实施例的安全模块节点通过RS232、网口、总线或者其他有线通信方式衔接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络。
如图4所示,本实施例中集中管控模式工作流程,网络管控节点一般处于一定休眠周期,工作窗口或认证请求时主动激活请求网络控制器,网络控制器存储全网所有被保护节点的权限和认证信息,通过网络架构和管控协议,基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径经过所有节点,传达相应的命令至请求节点执行动作;分散自律模式工作流程,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。

Claims (10)

1.一种基于集中管控和分散自律的安全无线传感网络,其特征在于,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络奔溃时,整个网络切换至分散自律模式。
2.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,在所述集中管控模式下,整个网络的状态、记录日志以及访问请求均被安全模块节点汇聚后从安全网络的一个或多个数据传输出口送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析。
3.根据权利要求2所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。
4.根据权利要求2所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径经过所有节点。
5.根据权利要求2所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络控制器存储全网所有被保护节点的权限和认证信息,接收来自安全模块节点的认证请求,并下发相应的结果至节点执行动作。
6.根据权利要求2所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络管控节点具有休眠周期,当工作窗口或认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
7.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,在所述分散自律模式下,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连的接节点的行为,并实时共享;当发现异常时,即关闭与该节点连接的被保护主机的所有权限。
8.根据权利要求7所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述分散自律模式中,数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。
9.根据权利要求8所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。
10.根据权利要求8所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述中安全机制为,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
CN201710692586.6A 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络 Active CN107241728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710692586.6A CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710692586.6A CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Publications (2)

Publication Number Publication Date
CN107241728A true CN107241728A (zh) 2017-10-10
CN107241728B CN107241728B (zh) 2020-05-15

Family

ID=59991941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710692586.6A Active CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Country Status (1)

Country Link
CN (1) CN107241728B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101600201A (zh) * 2009-06-03 2009-12-09 南京邮电大学 一种自组织网络安全可控域的建立和管理方法
CN101651537A (zh) * 2008-08-15 2010-02-17 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
CN101834895A (zh) * 2010-04-20 2010-09-15 南京邮电大学 一种对等网络中信任数据管理方法
US20120207048A1 (en) * 2011-02-16 2012-08-16 Samsung Electronics Co. Ltd. Method and apparatus for down link interference cancelation between adjacent base stations in base station with reconfigurable antenna

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651537A (zh) * 2008-08-15 2010-02-17 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
CN101600201A (zh) * 2009-06-03 2009-12-09 南京邮电大学 一种自组织网络安全可控域的建立和管理方法
CN101834895A (zh) * 2010-04-20 2010-09-15 南京邮电大学 一种对等网络中信任数据管理方法
US20120207048A1 (en) * 2011-02-16 2012-08-16 Samsung Electronics Co. Ltd. Method and apparatus for down link interference cancelation between adjacent base stations in base station with reconfigurable antenna

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
曹向辉: "无线传感器/执行器网络的体系结构与算法研究", 《中国博士学位论文全文数据库 信息科技辑2012》 *

Also Published As

Publication number Publication date
CN107241728B (zh) 2020-05-15

Similar Documents

Publication Publication Date Title
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Sharma et al. Distblocknet: A distributed blockchains-based secure sdn architecture for iot networks
Shamshirband et al. Cooperative game theoretic approach using fuzzy Q-learning for detecting and preventing intrusions in wireless sensor networks
CN110224990A (zh) 一种基于软件定义安全架构的入侵检测系统
CN102801738B (zh) 基于概要矩阵的分布式拒绝服务攻击检测方法及系统
CN103561004B (zh) 基于蜜网的协同式主动防御系统
US20180109557A1 (en) SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS USING ARTIFICIAL INTELLIGENCE AND CONTROLLER INCLUDED IN THE SAME
CN108684038B (zh) 基于雾计算和分层信任评价机制的隐藏数据攻击检测方法
CN108683682A (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN107135093A (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN103891206B (zh) 网络数据流检测状态的同步方法和设备
CN114390051A (zh) 一种基于物流边缘网关的数据管理设备及其控制方法
CN104009959B (zh) 一种基于xacml的可验证的云访问控制方法
CN107347047A (zh) 攻击防护方法和装置
CN108718297A (zh) 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质
CN113115315B (zh) 一种基于区块链的iot设备行为可信监管方法
CN104601553A (zh) 一种结合异常监测的物联网篡改入侵检测方法
CN108337219A (zh) 一种物联网防入侵的方法和存储介质
CN106130986B (zh) 一种基于自动化决策的风电场主动安全防御方法
CN104980431A (zh) 一种sdn中实现流有序的一致性更新方法
Wang et al. Location hijacking attack in software-defined space–air–ground-integrated vehicular network
CN100379201C (zh) 可控计算机网络的分布式黑客追踪的方法
CN107864153A (zh) 一种基于网络安全传感器的网络病毒预警方法
CN110401601A (zh) 一种拟态路由协议系统和方法
CN107241728A (zh) 一种基于集中管控和分散自律的安全无线传感网络

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant