CN111585813B - 一种物联网环境下网络节点的管理方法及系统 - Google Patents

一种物联网环境下网络节点的管理方法及系统 Download PDF

Info

Publication number
CN111585813B
CN111585813B CN202010381319.9A CN202010381319A CN111585813B CN 111585813 B CN111585813 B CN 111585813B CN 202010381319 A CN202010381319 A CN 202010381319A CN 111585813 B CN111585813 B CN 111585813B
Authority
CN
China
Prior art keywords
node
attribute
network
user
primary node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010381319.9A
Other languages
English (en)
Other versions
CN111585813A (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010381319.9A priority Critical patent/CN111585813B/zh
Publication of CN111585813A publication Critical patent/CN111585813A/zh
Application granted granted Critical
Publication of CN111585813B publication Critical patent/CN111585813B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种物联网环境下网络节点的管理方法及系统,将指定网络资源和系统定义为一级节点层、二级节点层、网络传输层、业务层和主控节点五个部分,并采用两级网络管理方式,很容易扩展成多级管理,节省了大量节点地址。不仅可以根据一级节点的状态实时动态调整安全分层,还可以动态调整属性域的大小,避免二级节点过于集中,降低被攻击的概率。引入属性加密的技术手段,对传输数据进行属性加密,更好地保护不同用户的业务数据。

Description

一种物联网环境下网络节点的管理方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种物联网环境下网络节点的管理方法及系统。
背景技术
现有网络节点管理需要大量的地址用于查询,过于扁平的管理方式也缺乏灵活性。其次,资源通常是在某一个域内集中存在,也会带来网络安全问题,过于集中存在的网络资源更容易遭到网络攻击。再者,传统的网络架构分层并不是从网络安全角度来划分,更多的是从网络传输角度来划分的,导致无论是节点管理,还是资源集中度,还是架构分层,网络的安全性都急需加强。
因此,急需一种针对性的安全管理方法和对应的系统。
发明内容
本发明的目的在于提供一种物联网环境下网络节点的管理方法及系统,解决现有过于扁平的管理方式,以及过于集中存在的网络资源的安全问题,并引入资源安全动态分层的技术手段,更好地保护不同用户的业务数据。
第一方面,本申请提供一种物联网环境下网络节点的管理方法,所述方法包括:
将指定网络资源定义为一级节点层、二级节点层、网络传输层、业务层和主控节点;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,包括指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层,包括根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
结合第一方面,在第一方面第一种可能的实现方式中,所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
结合第一方面,在第一方面第二种可能的实现方式中,所述网络传输层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第一方面,在第一方面第三种可能的实现方式中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
第二方面,本申请提供一种物联网环境下网络节点的管理系统,所述系统包括:一级节点层、二级节点层、网络传输层、业务层和主控节点五个部分,分别对应被定义为一级节点层、二级节点层、网络传输层、业务层和主控节点的指定网络资源;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,包括指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层,包括根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
结合第二方面,在第二方面第一种可能的实现方式中,所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
结合第二方面,在第二方面第二种可能的实现方式中,所述网络传输层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第二方面,在第二方面第三种可能的实现方式中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
本发明提供一种物联网环境下网络节点的管理方法及系统,将指定网络资源和系统定义为一级节点层、二级节点层、网络传输层、业务层和主控节点五个部分,并采用两级网络管理方式,很容易扩展成多级管理,节省了大量节点地址。不仅可以根据一级节点的状态实时动态调整安全分层,还可以动态调整属性域的大小,避免二级节点过于集中,降低被攻击的概率。引入属性加密的技术手段,对传输数据进行属性加密,更好地保护不同用户的业务数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明物联网环境下网络节点的管理方法的大致流程图;
图2为本发明物联网环境下网络节点的管理系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的物联网环境下网络节点的管理方法的大致流程图,所述方法包括:
将指定网络资源定义为一级节点层、二级节点层、网络传输层、业务层和主控节点;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,包括指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层,包括根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
在一些优选实施例中,所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
在一些优选实施例中,所述一级节点层、网络传输层、业务层和主控节点部署在不同的装置上,装置之间协同工作。
所述部署在不同的装置上,可以是每一个安全层为一个装置,不同装置之间通过专用安全传输协议进行传输。所述专用安全传输协议可以是在通用传输协议的基础上添加特殊的报头,所述报头中携带有字段,用于指示加密算法或密钥。
所述部署在不同的装置上,可以是一级节点层、网络传输层、业务层集成在一个装置上,而主控节点部署在一个网络中间装置上,不同装置之间通过专用安全传输协议进行传输。
所述主控节点可以不是固定在一个网络中间装置上,可以根据网络中间装置当前的负载情况、业务种类动态调整到其他网络中间装置上。
所述一级节点层、网络传输层、业务层和主控节点四个部分,也可以不是固定一种部署方式,可以根据情况动态调整部署。这里所述的情况,可以是网络拥塞、被攻击范围等等因素。
还可以一级节点包括被固化在芯片内的第一加密密钥,是指在一级节点的硬件加密芯片内完成第一道数字加密,这里的密钥是固定不变的。
在一些优选实施例中,所述网络传输层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
图2为本申请提供的物联网环境下网络节点的管理系统的架构图,所述系统包括:一级节点层、二级节点层、网络传输层、业务层和主控节点五个部分,分别对应被定义为一级节点层、二级节点层、网络传输层、业务层和主控节点的指定网络资源;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,包括指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层,包括根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,包括下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还包括统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到所述阈值。
在一些优选实施例中,所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
在一些优选实施例中,所述一级节点层、网络传输层、业务层和主控节点部署在不同的装置上,装置之间协同工作。
在一些优选实施例中,所述网络传输层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述主控节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种物联网环境下网络节点的管理方法,其特征在于,所述方法包括:
将指定网络资源定义为一级节点层、二级节点层、网络传输层单元、业务层单元和主控节点;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层单元,根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层单元,进行业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到的。
2.根据权利要求1所述的方法,其特征在于:所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述网络传输层单元还采用访问控制、入侵检测,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
4.根据权利要求3所述的方法,其特征在于:所述主控节点还进行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
5.一种物联网环境下网络节点的管理系统,其特征在于,所述系统包括:一级节点层、二级节点层、网络传输层单元、业务层单元和主控节点五个部分,分别对应被定义为一级节点层、二级节点层、网络传输层单元、业务层单元和主控节点的指定网络资源;
所述一级节点层,包括若干个一级节点,每个一级节点具有一个下层网络的节点标识;周期获知一级节点的状态,根据状态和所属业务划分不同的一级节点组;激活休眠的一级节点,休眠故障的一级节点,将所述休眠的一级节点剔除出一级节点层;
其中,所述激活休眠的一级节点之前,指示所述一级节点上传自身状态代码,如果所述状态代码为非故障代码,则判断该一级节点恢复正常,激活该一级节点;
所述二级节点层,包括若干个二级节点,每个二级节点对应一个或一个以上的一级节点组,所述二级节点同时支持两层网络的协议,同时具有两个节点标识,一个在上层网络中,一个在下层网络中;
其中,来自上层网络的查询指令发送至所述二级节点,所述二级节点解析指令,将指令中携带的上层网络节点标识转换为该二级节点对应的一级节点组的下层网络节点标识,查询到上层网络要查找的一级节点;
所述网络传输层单元,用于执行:根据用户属性动态划分不同的属性域,每个属性域与若干个二级节点建立关联关系,采用属性加密算法隔离不同属性域的边界,实现不同网络的边界访问控制,以及同一属性域内二级节点的授权访问;对传输数据进行基于用户属性加密处理;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至所述主控节点;
所述业务层单元,用于执行:业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述主控节点,用于执行:下发获知一级节点的工作状态的指令,下发休眠故障一级节点的指令,下发重新划分属性域的指令,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥;
所述主控节点还统计各个属性域下辖的二级节点数量,若某一属性域下辖的二级节点数量大于预先设置的阈值时,则将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下;
其中,所述预先设置的阈值是根据各个属性域下辖的二级节点数量,计算有关二级节点数量的第一方差值和第一平均值,再根据第一方差值和第一平均值得到的。
6.根据权利要求5所述的系统,其特征在于,所述将该属性域下的与其他属性域业务相关度高的二级节点重新划分到一个新的属性域下之后,还包括:
再次统计各个属性域下辖的二级节点数量,计算有关二级节点数量的第二方差值和第二平均值,再根据第二方差值和第二平均值得到新的阈值。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述网络传输层单元还用于执行采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
8.根据权利要求7所述的系统,其特征在于,所述主控节点还用于执行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
CN202010381319.9A 2020-05-08 2020-05-08 一种物联网环境下网络节点的管理方法及系统 Active CN111585813B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010381319.9A CN111585813B (zh) 2020-05-08 2020-05-08 一种物联网环境下网络节点的管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010381319.9A CN111585813B (zh) 2020-05-08 2020-05-08 一种物联网环境下网络节点的管理方法及系统

Publications (2)

Publication Number Publication Date
CN111585813A CN111585813A (zh) 2020-08-25
CN111585813B true CN111585813B (zh) 2022-04-12

Family

ID=72124715

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010381319.9A Active CN111585813B (zh) 2020-05-08 2020-05-08 一种物联网环境下网络节点的管理方法及系统

Country Status (1)

Country Link
CN (1) CN111585813B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640261A (zh) * 2024-01-26 2024-03-01 宁德时代新能源科技股份有限公司 数据传输方法、数据中转装置、数据管理设备及系统
CN117978552B (zh) * 2024-03-29 2024-07-23 昆仑太科(北京)技术股份有限公司 一种面向广义确定性网络的业务流程安全保护系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491108A (zh) * 2013-10-15 2014-01-01 浙江中控研究院有限公司 一种工业控制网络安全防护方法和系统
CN103647644A (zh) * 2013-12-26 2014-03-19 北京航空航天大学 一种实现分层认证机构的属性基加密方法
CN107566386A (zh) * 2017-09-14 2018-01-09 上海海事大学 一种可撤销的属性基加密方法
US10498762B1 (en) * 2015-10-22 2019-12-03 Versafe Ltd. Methods for hypertext markup language (HTML) input field obfuscation and devices thereof

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110099043B (zh) * 2019-03-24 2021-09-17 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN110636500B (zh) * 2019-08-27 2022-04-05 西安电子科技大学 支持跨域数据共享的访问控制系统及方法、无线通信系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491108A (zh) * 2013-10-15 2014-01-01 浙江中控研究院有限公司 一种工业控制网络安全防护方法和系统
CN103647644A (zh) * 2013-12-26 2014-03-19 北京航空航天大学 一种实现分层认证机构的属性基加密方法
US10498762B1 (en) * 2015-10-22 2019-12-03 Versafe Ltd. Methods for hypertext markup language (HTML) input field obfuscation and devices thereof
CN107566386A (zh) * 2017-09-14 2018-01-09 上海海事大学 一种可撤销的属性基加密方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于属性的加密算法设计与分析;张凯;《中国博士学位论文全文数据库》;20190115;全文 *

Also Published As

Publication number Publication date
CN111585813A (zh) 2020-08-25

Similar Documents

Publication Publication Date Title
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
Schiller et al. Landscape of IoT security
Zarpelão et al. A survey of intrusion detection in Internet of Things
Gu et al. Secure data query framework for cloud and fog computing
US10079846B2 (en) Domain name system (DNS) based anomaly detection
US9294489B2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
CN111464563B (zh) 一种工业控制网络的防护方法及对应的装置
Gulzar et al. Internet of things security: a survey and taxonomy
Khan et al. A comprehensive review on adaptability of network forensics frameworks for mobile cloud computing
CN111585813B (zh) 一种物联网环境下网络节点的管理方法及系统
Khan et al. Towards an applicability of current network forensics for cloud networks: A SWOT analysis
Rana et al. Current lightweight cryptography protocols in smart city IoT networks: a survey
CN116232770A (zh) 一种基于sdn控制器的企业网络安全防护系统及方法
Sadineni et al. Ready-iot: A novel forensic readiness model for internet of things
CN111586045B (zh) 一种属性加密和动态安全层的防护方法及对应的防火墙
Venkatesan et al. Retracted: An enhance the data security performance using an optimal cloud network security for big data cloud framework
Manimaran et al. The conjectural framework for detecting DDoS attack using enhanced entropy based threshold technique (EEB-TT) in cloud environment
Aljawarneh Formulating models to survive multimedia big content from integrity violation
CN113839945A (zh) 一种基于身份的可信接入控制系统和方法
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
Liang et al. Collaborative intrusion detection as a service in cloud computing environment
Premathilaka et al. Review on state of art intrusion detection systems designed for the cloud computing paradigm
EP3718284A1 (en) Extending encrypted traffic analytics with traffic flow data
CN111586047B (zh) 一种集中网络数据的安全管理方法及系统
CN111586044B (zh) 一种针对隐私泄漏的网络数据防护方法及对应的防火墙

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant