CN107241728B - 一种基于集中管控和分散自律的安全无线传感网络 - Google Patents

一种基于集中管控和分散自律的安全无线传感网络 Download PDF

Info

Publication number
CN107241728B
CN107241728B CN201710692586.6A CN201710692586A CN107241728B CN 107241728 B CN107241728 B CN 107241728B CN 201710692586 A CN201710692586 A CN 201710692586A CN 107241728 B CN107241728 B CN 107241728B
Authority
CN
China
Prior art keywords
network
node
control
mode
wireless sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710692586.6A
Other languages
English (en)
Other versions
CN107241728A (zh
Inventor
闫连山
李洪赭
李赛飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anjie Guangtong Technology Chengdu Co ltd
Original Assignee
Anjie Guangtong Technology Chengdu Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anjie Guangtong Technology Chengdu Co ltd filed Critical Anjie Guangtong Technology Chengdu Co ltd
Priority to CN201710692586.6A priority Critical patent/CN107241728B/zh
Publication of CN107241728A publication Critical patent/CN107241728A/zh
Application granted granted Critical
Publication of CN107241728B publication Critical patent/CN107241728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络奔溃时,整个网络切换至分散自律模式。本发明提升了安全防御性能和网络鲁棒性,减弱了集中管控的网络安全风险,大大加强了物联网、工控网络等易感染僵尸网络对象的防御性能。

Description

一种基于集中管控和分散自律的安全无线传感网络
技术领域
本发明涉及无线传感网络技术领域,具体为一种基于集中管控和分散自律的安全无线传感网络。
背景技术
随着无线传感网络的广泛应用,基于传统架构的无线传感网络面临许多问题,其主要存在以下缺陷:
1、传统无线传感网络的硬件设备与信息分发策略全部固化,节点只能按照单一路由协议完成信息的转发,不能根据网络拓扑实时调整转发策略,而网络拓扑随着部分节点能量耗尽或者损坏发生变化导致整个网络变得不稳定甚至失效。
2、无线传感网络中一般只能部署轻量级的入侵检测算法,且只能采用分布式检测,缺乏全局性的控制和管理。针对无线传感网络的攻击,常见的例如拥塞攻击、物理破坏攻击、碰撞攻击、能量耗尽攻击、不公平竞争攻击等等。分布式检测无法对网络攻击行为进行全局综合分析和整体协同防御,导致检测准确度较低、误警率较高。
因此我们需要一种对全网有着一定的掌控和分析能力的集中管控架构,但引入集中管控也会带来新的风险。由于是集中式结构,一旦网络控制器被攻破则会导致整个网络的沦陷,并且无线传感网络不同于传统IP网络,将控制层面和数据转发层面分离的同时,一旦无线传感网络中的控制节点宕机,该片区的大量普通节点则脱离了网络的管控,所以在单一的集中管控架构下我们需要一种新的网络安全防护机制。
发明内容
针对上述问题,本发明的目的在于提供对网络安全性能要求较高的,同时兼顾部分网络运维能力的基于集中管控和分散自律的安全无线传感网络。技术方案如下:
一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络崩溃时,整个网络切换至分散自律模式。
进一步的,在所述集中管控模式下,整个网络的状态、记录日志以及访问请求均被安全模块节点汇聚后从安全网络的一个或多个数据传输出口送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析。
更进一步的,所述集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。
更进一步的,所述集中管控模式中,网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径所经过的所有节点。
更进一步的,所述集中管控模式中,网络控制器存储全网所有被保护节点的权限和认证信息,接收来着安全模块节点的认证请求,并下发相应的结果至节点执行动作。
更进一步的,所述集中管控模式中,网络管控节点具有休眠周期,当工作窗口或认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
更进一步的,在所述分散自律模式下,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连接的节点的行为,并实时共享;当发现异常时,即关闭与该节点连接的被保护主机的所有权限。
更进一步的,所述分散自律模式中,数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。
更进一步的,所述主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。
更进一步的,所述安全机制为,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
本发明的有益效果是:本发明采用集中管控结构的无线传感网络提升了安全防御性能和网络鲁棒性;采用主侧两条数据链技术作为无线传感网络的备份安全机制,在中心认证模式失效的情况下采用节点间相互认证,减弱了集中管控的网络安全风险;对于被保护节点,实施了认证网络和工作网络分离,大大加强了物联网、工控网络等易感染僵尸网络对象的防御性能。
附图说明
图1为集中管控模式下网络结构示意图。
图2为分散自律模式下网络结构示意图。
图3为安全模块节点结构示意图。
图4为节点工作流程图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细说明。一种基于集中管控和分散自律的安全无线传感网络,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,以集中管控模式为主,当网络控制器无法工作或安全机制判断安全网络崩溃时,整个网络切换至分散自律模式。
分散自律是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术让参与系统的任意多个节点,把一段时间内系统全部信息交流的数据,通过密码学算法计算和记录到一个数据块,并且生成该数据块的指纹用于链接下个数据块和校验,系统所有参与节点来共同认定记录是否为真。
当集中管控模式下的某个控制节点或网络控制器无法正常工作时,可以切换至分散自律工作模式,形成新的防御机制,简单可以称之为“战时状态”。此时整个网络没有中心化的硬件或者管理机构,任意节点之间的权利和义务都是均等的,且任一节点的损坏都不影响整个系统的运行。同时在系统规则范围内,节点之间是不能也无法欺骗其他节点的,一旦某个节点出现“叛徒”行为,立即会遭到整个节点网络的抛弃。
如图1所示,本实施例的集中管控模式,整个网络的状态、记录日志以及访问请求都被安全模块节点汇聚后从安全网络的一个或多个数据传输出口(LAN、蜂窝等)送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析。
集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径所经过的所有节点。网络控制器存储全网所有被保护节点的权限和认证信息,接收来着安全模块节点的认证请求,并下发相应的结果至节点执行动作。网络管控节点具有休眠周期,当工作窗口收到认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
如图2所示,本实施例的分散自律模式,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,但每个节点都会审查其相连接节点的行为,并通过主侧数据链技术实时共享,一旦发现异常,即关闭该节点连接的被保护主机的所有权限。
分散自律模式中,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连接的节点的行为,并实时共享;当发现异常时,即关闭与该节点连接的被保护主机的所有权限。数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
如图3所示,本实施例的安全模块节点通过RS232、网口、总线或者其他有线通信方式衔接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络。
如图4所示,本实施例中集中管控模式工作流程,网络管控节点一般处于一定休眠周期,工作窗口收到认证请求时主动激活请求网络控制器,网络控制器存储全网所有被保护节点的权限和认证信息,通过网络架构和管控协议,基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径所经过的所有节点,传达相应的命令至请求节点执行动作;分散自律模式工作流程,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。

Claims (7)

1.一种基于集中管控和分散自律的安全无线传感网络,其特征在于,在无线传感网络部署多个安全模块节点,并通过有线通信方式连接被保护主机,安全控制节点串接在被保护主机和其原有数据网络中,众多安全模块节点组成集中管控模式的安全无线网络;采用两种安全工作模式的切换机制,网络正常运行时采用集中管控模式,当网络控制器无法工作或安全机制判断安全网络崩溃时,整个网络切换至分散自律模式;
在所述集中管控模式下,整个网络的状态、记录日志以及访问请求均被安全模块节点汇聚后从安全网络的一个或多个数据传输出口送至网络控制器,由网络控制器负责集中管控整个网络的运维和节点行为分析;
在所述分散自律模式下,网络运维恢复至原始的自组织管理模式,通过广播搜索最佳路径,且每个节点均将审查与其相连接的节点的行为,并实时共享;当发现异常时,即关闭与异常行为节点连接的被保护主机的所有权限;
所述分散自律模式中,数据链分为主链和侧链,主链内容包括网络内所有节点信息交流行为的记录,侧链内容包括各个节点的履历和网络内权限,主侧链均加密存储。
2.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,对安全通信协议集中管控,其采集信息包括认证请求和节点状态,控制信息包括路由表、模式变更和下发证书。
3.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络控制器基于不同需求的网络管控算法,选择当前最优路径,直接下发路由信息到该条数据传输路径所经过的所有节点。
4.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络控制器存储全网所有被保护节点的权限和认证信息,接收来自安全模块节点的认证请求,并下发相应的结果至节点执行动作。
5.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述集中管控模式中,网络管控节点具有休眠周期,当工作窗口收到认证请求时主动激活接收网络控制器的命令下发,激活后执行相应的动作。
6.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述主侧数据链的生成和维护方式为:每个节点具备数据链的校验和审查模块,数据链主链新增内容经全网所有节点的校验,且一旦添加任何人都无法更改;侧链由管理员初始配置,或通过网络自学习算法运维一段时间后由主链自主生成。
7.根据权利要求1所述的基于集中管控和分散自律的安全无线传感网络,其特征在于,所述安全机制为,每个节点定时将自己的信息交流行为打包上传至数据链主链,供全网节点校验,校验通过后每个节点同步数据链主链,并验证是否和侧链里设置的访问权限规则相符,如果主链内容不符合侧链里设置的规则,则该节点被逐出网络。
CN201710692586.6A 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络 Active CN107241728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710692586.6A CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710692586.6A CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Publications (2)

Publication Number Publication Date
CN107241728A CN107241728A (zh) 2017-10-10
CN107241728B true CN107241728B (zh) 2020-05-15

Family

ID=59991941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710692586.6A Active CN107241728B (zh) 2017-08-14 2017-08-14 一种基于集中管控和分散自律的安全无线传感网络

Country Status (1)

Country Link
CN (1) CN107241728B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101600201A (zh) * 2009-06-03 2009-12-09 南京邮电大学 一种自组织网络安全可控域的建立和管理方法
CN101651537A (zh) * 2008-08-15 2010-02-17 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
CN101834895A (zh) * 2010-04-20 2010-09-15 南京邮电大学 一种对等网络中信任数据管理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120094222A (ko) * 2011-02-16 2012-08-24 삼성전자주식회사 재구성 가능한 안테나를 사용하는 기지국에서 인접 기지국 사이의 하향링크 간섭을 제거하기 위한 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651537A (zh) * 2008-08-15 2010-02-17 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
CN101600201A (zh) * 2009-06-03 2009-12-09 南京邮电大学 一种自组织网络安全可控域的建立和管理方法
CN101834895A (zh) * 2010-04-20 2010-09-15 南京邮电大学 一种对等网络中信任数据管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
无线传感器/执行器网络的体系结构与算法研究;曹向辉;《中国博士学位论文全文数据库 信息科技辑2012》;20120715(第7期);第6章 *

Also Published As

Publication number Publication date
CN107241728A (zh) 2017-10-10

Similar Documents

Publication Publication Date Title
CN109922162B (zh) 一种基于区块链的扁平化建筑设备物联网监控系统及方法
Tan et al. A new framework for DDoS attack detection and defense in SDN environment
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Zhou et al. SDN-RDCD: A real-time and reliable method for detecting compromised SDN devices
CN110996318A (zh) 一种变电站智能巡检机器人安全通信接入系统
Erritali et al. A review and classification of various VANET Intrusion Detection Systems
CN113115315A (zh) 一种基于区块链的iot设备行为可信监管方法
CN114048578A (zh) 一种面向6g网络的高吞吐量区块链系统和性能优化模型
CN104980431A (zh) 一种sdn中实现流有序的一致性更新方法
Ovasapyan et al. Security Provision in WSN on the Basis of the Adaptive Behavior of Nodes
Gu et al. Cluster-based malicious node detection for false downstream data in fog computing-based VANETs
CN107241728B (zh) 一种基于集中管控和分散自律的安全无线传感网络
Dhingra et al. A study of RPL attacks and defense mechanisms in the internet of things network
Mr et al. Design and implementation of trust based approach to mitigate various attacks in mobile ad hoc network
Nowak et al. Cognitive packet networks for the secure internet of things
CN110166364A (zh) 一种基于实用拜占庭容错算法的软件定义机会网络流表更新方法
CN115913663A (zh) 一种数据安全防护方法及系统、存储介质、计算机设备
Gothawal et al. Intrusion detection for enhancing RPL security
Mandal et al. A review on cooperative bait based intrusion detection in MANET
Ping et al. Multi-agent cooperative intrusion response in mobile adhoc networks
Chang et al. Application-layer intrusion detection in MANETs
CN103457915A (zh) 可形式化证明的军事物联网安全协议
Ze et al. False data filtering in wireless sensor networks
Lekha et al. Trust based certificate revocation of malicious nodes in MANET
Alampalayam et al. Intruder Identification and Response Framework for Mobile Ad hoc Networks.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant