CN110881187A - 一种基于 SDN 的 IoT 网络安全防护系统和方法 - Google Patents
一种基于 SDN 的 IoT 网络安全防护系统和方法 Download PDFInfo
- Publication number
- CN110881187A CN110881187A CN201911262600.4A CN201911262600A CN110881187A CN 110881187 A CN110881187 A CN 110881187A CN 201911262600 A CN201911262600 A CN 201911262600A CN 110881187 A CN110881187 A CN 110881187A
- Authority
- CN
- China
- Prior art keywords
- sdn
- iot
- sub
- segment
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 238000000926 separation method Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 claims 4
- 238000010586 diagram Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN的IoT网络安全防护系统和方法,包括:IoT网络子段和子段SDN控制器;IoT网络子段至少有两个,IoT网络子段包括IoT设备至少有两个;IoT设备均设置一个IoT设备代理和一个IoT设备控制器;IoT设备代理负责从网络环境中感知、分析并收集数据;子段SDN控制器用于对网络设备鉴权;通过子段SDN控制器交换安全规则,控制网段之间的数据流动。
Description
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种基于软件定义网络(Software Defined Network,SDN)的物联网(Internet of Things,IoT)网络安全防护系统和方法。
背景技术
随着IoT技术的演进,各种接入网络的异构设备将成指数式增长。如此复杂的异构网络与多样的接入协议,给网络安全带来很大的挑战。访问控制是物联网安全需要解决的重要问题。目前物联网的访问控制主要采用自主访问控制和强制访问控制等方案。传统网络中的访问控制策略存在以下几个问题:缺乏授权、缺少访问控制模型的分布式特性(授权需要集中控制)、规则和策略不一致、静态规则和策略管理复杂性以及策略执行点主要存在性能瓶颈和单点故障的问题。
为了防范来自外部的攻击,人们通常在网络边缘设备侧布署入侵检测与阻止系统(IDPS)、防火墙等传统安全手段。但对于IoT这种无缝、无边界的网络访问控制模式则显得力不从心。近些年,软件定义网络被引入物联网,软件定义网络(SDN)将物联网的控制平面和转发平面分开,以实现底层基础设施的抽象。
但是在现有技术中:1.单SDN控制器方案:控制器有可能会受到DOS攻击,一旦这个唯一的控制器失灵,将会使整个网络的控制权受到威胁。2.多SDN控制器方案:多控制器能显著增加网络的可靠性。当某个SDN控制器出故障,其它控制器能接管,防止系统故障。但多控制器方案的缺点是会降低网络的效率,因为每个控制器都会分担部分管理任务,还要与其它控制器协作并频繁交换信息,因而会产生额外的网络开销。
因此,如何提供一种能够解决上述问题的安全防护系统和方法是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于SDN的IoT网络安全防护系统和方法。
为了实现上述目的,本发明采用如下技术方案:
一种基于SDN的IoT网络安全防护系统,包括:IoT网络子段和子段SDN控制器;
所述IoT网络子段至少有两个,所述IoT网络子段包括IoT设备至少有两个;
所述子段SDN控制器的个数与所述IoT网络子段数量相同;所述子段SDN控制器与所述IoT网络子段连接;所述子段SDN控制器进行数据的集中化控制,实现硬件和软件分离。
优选的,所述IoT设备包括具备SDN能力的IoT设备和不具备SDN能力的IoT设备。
优选的,所述IoT设备均设置一个IoT设备代理和一个IoT设备控制器。
优选的,所述IoT设备代理负责从网络环境中感知、分析并收集数据。
优选的,所述子段SDN控制器用于对网络设备鉴权,当所述IoT设备控制器与所述子段SDN控制器建立安全连接后,所述子段SDN控制器阻断与所述IoT设备直接相连的开关的端口,当所述IoT设备验证通过,所述子段SDN控制器基于所述IoT设备权限等级开通开关相应入口。
优选的,所述IoT网络子段之间进行通信时,所述IoT设备向所述子段SDN控制器发送请求,所述子段SDN控制器接收请求后向每个相邻子段所述子段SDN控制器发送请求,所述相邻子段SDN控制器对请求信息进行验证,验证通过则实现所述IoT网络子段之间进行通信。
优选的,所述IoT网络子段中的IoT设备经过授权后才可与所述子段SDN控制器进行通信,否则,数据接受方不存在,并发送信息至所述子段SDN控制器。
一种基于SDN的IoT网络安全防护方法,应用上述任一项所述的基于SDN的IoT网络安全防护系统,实现网段之间的数据流动安全防护。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了基于SDN的IoT网络安全防护系统和方法,将每个IoT设备配备一个代理和一个控制器,解决了不具备SDN能力的设备可与相邻具有SDN能力的设备相关联;将IoT网络实行分段控制,每个子段均设置有独立的SDN控制器用于对网络设备授权,只有经过SDN控制器授权的设备才能用于末端设备;网段之间通过SDN控制器交换安全规则,控制网段之间数据流动,增加网络可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明一种基于SDN的IoT网络安全防护系统的架构示意图;
图2为本发明一种基于SDN的IoT网络安全防护系统的的IoT网络子段架构示意图;
图3为本发明一种基于SDN的IoT网络安全防护系统的的IoT设备架构示意图;
在图1-图3中:
1-IoT网络子段,11-IoT设备,111-具备SDN能力的IoT设备,112-不具备SDN能力的IoT设备,12-IoT设备代理,13-IoT设备控制器,2-子段SDN控制器。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见附图1-3所示,本发明实施例公开了一种基于SDN的IoT网络安全防护系统,包括:
IoT网络子段1和子段SDN控制器2;
具体的,IoT网络子段1至少有两个,IoT网络子段1包括IoT设备11至少有两个;
具体的,子段SDN控制器2的个数与IoT网络子段1数量相同;子段SDN控制器2与IoT网络子段1连接;子段SDN控制器2进行数据的集中化控制,实现硬件和软件分离。
在一个具体的实施例中:IoT设备11包括具备SDN能力的IoT设备111和不具备SDN能力的IoT设备112。
在一个具体的实施例中:IoT设备11均设置一个IoT设备代理12和一个IoT设备控制器13。
在一个具体的实施例中:IoT设备代理12负责从网络环境中感知、分析并收集数据。
在一个具体的实施例中:子段SDN控制器2用于对网络设备鉴权,当IoT设备控制器13与子段SDN控制器2建立安全连接后,子段SDN控制器2阻断与IoT设备11直接相连的开关的端口,当IoT设备11验证通过,子段SDN控制器2基于IoT设备11权限等级开通开关相应入口。
在一个具体的实施例中:IoT网络子段1中的IoT设备11经过授权后才可与子段SDN控制器2进行通信,否则,数据接受方不存在,并发送信息至子段SDN控制器2。
在一个具体的实施例中:应用上述任一项所述的基于SDN的IoT网络安全防护系统,实现网段之间的数据流动安全防护。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种基于SDN的IoT网络安全防护系统,其特征在于,包括:IoT网络子段(1)和子段SDN控制器(2);
所述IoT网络子段(1)至少有两个,所述IoT网络子段(1)包括IoT设备(11),所述IoT设备(11)至少有两个;
所述子段SDN控制器(2)与IoT网络子段(1)的数量相同;所述子段SDN控制器(2)与IoT网络子段(1)连接;所述子段SDN控制器(2)进行数据的集中化控制,实现硬件和软件分离。
2.根据权利要求1所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述IoT设备(11)包括具备SDN能力的IoT设备(111)和不具备SDN能力的IoT设备(112)。
3.根据权利要求2所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述IoT设备(11)均设置一个IoT设备代理(12)和一个IoT设备控制器(13)。
4.根据权利要求3所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述IoT设备代理(12)负责从网络环境中感知、分析并收集数据。
5.根据权利要求1所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述子段SDN控制器(2)用于对网络设备鉴权,当所述IoT设备控制器(13)与所述子段SDN控制器(2)建立安全连接后,所述子段SDN控制器(2)阻断与所述IoT设备(11)直接相连的开关的端口,当所述IoT设备(11)验证通过,所述子段SDN控制器(2)基于所述IoT设备(11)权限等级开通开关相应入口。
6.根据权利要求1至5任一项所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述IoT网络子段(1)之间进行通信时,所述IoT设备(11)向所述子段SDN控制器(2)发送请求,所述子段SDN控制器(2)接收请求后向每个相邻子段所述子段SDN控制器(2)发送请求,所述相邻子段SDN控制器(2)对请求信息进行验证,验证通过则实现所述IoT网络子段(1)之间进行通信。
7.根据权利要求6所述的一种基于SDN的IoT网络安全防护系统,其特征在于,所述IoT网络子段(1)中的IoT设备(11)经过授权后才可与所述子段SDN控制器(2)进行通信,否则,数据接受方不存在,并发送信息至所述子段SDN控制器(2)。
8.一种基于SDN的IoT网络安全防护方法,其特征在于,应用权利要求1-7任一项所述的基于SDN的IoT网络安全防护系统,实现网段之间的数据流动安全防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911262600.4A CN110881187A (zh) | 2019-12-11 | 2019-12-11 | 一种基于 SDN 的 IoT 网络安全防护系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911262600.4A CN110881187A (zh) | 2019-12-11 | 2019-12-11 | 一种基于 SDN 的 IoT 网络安全防护系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110881187A true CN110881187A (zh) | 2020-03-13 |
Family
ID=69731650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911262600.4A Pending CN110881187A (zh) | 2019-12-11 | 2019-12-11 | 一种基于 SDN 的 IoT 网络安全防护系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110881187A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130329601A1 (en) * | 2012-06-11 | 2013-12-12 | Futurewei Technologies, Inc. | Defining Data Flow Paths in Software-Defined Networks with Application-Layer Traffic Optimization |
CN107948217A (zh) * | 2016-10-12 | 2018-04-20 | 中国电信股份有限公司 | 交换机系统和通信方法 |
CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
CN109525958A (zh) * | 2018-12-22 | 2019-03-26 | 北京工业大学 | 一种软件定义的无人机集群网络控制器设计方法 |
-
2019
- 2019-12-11 CN CN201911262600.4A patent/CN110881187A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130329601A1 (en) * | 2012-06-11 | 2013-12-12 | Futurewei Technologies, Inc. | Defining Data Flow Paths in Software-Defined Networks with Application-Layer Traffic Optimization |
CN107948217A (zh) * | 2016-10-12 | 2018-04-20 | 中国电信股份有限公司 | 交换机系统和通信方法 |
CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
CN109525958A (zh) * | 2018-12-22 | 2019-03-26 | 北京工业大学 | 一种软件定义的无人机集群网络控制器设计方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
US9485218B2 (en) | Device for preventing, detecting and responding to security threats | |
US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
US20160269421A1 (en) | Method for network security using statistical object identification | |
US9439131B2 (en) | Detecting and disabling rogue access points in a network | |
US20180013722A1 (en) | Distributed firewall device and system | |
US20230232230A1 (en) | Zero Trust Wireless Monitoring - System and Method for Behavior Based Monitoring of Radio Frequency Environments | |
JP6117050B2 (ja) | ネットワーク制御装置 | |
WO2021076340A1 (en) | Token-based device access restriction systems | |
US9444845B2 (en) | Network security apparatus and method | |
CN114268457A (zh) | 一种多规约多业务公网安全接入方法 | |
KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
US10298588B2 (en) | Secure communication system and method | |
CN110881187A (zh) | 一种基于 SDN 的 IoT 网络安全防护系统和方法 | |
KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
KR101818508B1 (ko) | 기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체 | |
Zaheer et al. | Intrusion detection and mitigation framework for SDN controlled IoTs network | |
KR100860607B1 (ko) | 네트워크 통합보안 스위치장치 및 방법 | |
WO2006001587A1 (en) | Network management system and network management server of co-operating with authentication server | |
US20160100315A1 (en) | Detecting and disabling rogue access points in a network | |
KR101375840B1 (ko) | 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법 | |
KR20200116773A (ko) | Sdn 기반의 검사시스템 | |
KR101175667B1 (ko) | 방화벽을 이용한 사용자 단말의 네트워크 접속 관리 방법 | |
TWI708158B (zh) | 邊緣網路資安偵防系統與方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200313 |