一種基於集中管控和分散自律的安全無線傳感網絡的製作方法

2023-10-06 07:12:14 2

本發明涉及無線傳感網絡技術領域，具體為一種基於集中管控和分散自律的安全無線傳感網絡。

背景技術：

隨著無線傳感網絡的廣泛應用，基於傳統架構的無線傳感網絡面臨許多問題，其主要存在以下缺陷：

1、傳統無線傳感網絡的硬體設備與信息分發策略全部固化，節點只能按照單一路由協議完成信息的轉發，不能根據網絡拓撲實時調整轉發策略，而網絡拓撲隨著部分節點能量耗盡或者損壞發生變化導致整個網絡變得不穩定甚至失效。

2、無線傳感網絡中一般只能部署輕量級的入侵檢測算法，且只能採用分布式檢測，缺乏全局性的控制和管理。針對無線傳感網絡的攻擊，常見的例如擁塞攻擊、物理破壞攻擊、碰撞攻擊、能量耗盡攻擊、不公平競爭攻擊等等。分布式檢測無法對網絡攻擊行為進行全局綜合分析和整體協同防禦，導致檢測準確度較低、誤警率較高。

因此我們需要一種對全網有著一定的掌控和分析能力的集中管控架構，但引入集中管控也會帶來新的風險。由於是集中式結構，一旦網絡控制器被攻破則會導致整個網絡的淪陷，並且無線傳感網絡不同於傳統ip網絡，將控制層面和數據轉發層面分離的同時，一旦無線傳感網絡中的控制節點宕機，該片區的大量普通節點則脫離了網絡的管控，所以在單一的集中管控架構下我們需要一種新的網絡安全防護機制。

技術實現要素：

針對上述問題，本發明的目的在於提供對網絡安全性能要求較高的，同時兼顧部分網絡運維能力的基於集中管控和分散自律的安全無線傳感網絡。技術方案如下：

一種基於集中管控和分散自律的安全無線傳感網絡，在無線傳感網絡部署多個安全模塊節點，並通過有線通信方式連接被保護主機，安全控制節點串接在被保護主機和其原有數據網絡中，眾多安全模塊節點組成集中管控模式的安全無線網絡；採用兩種安全工作模式的切換機制，以集中管控模式為主，當網絡控制器無法工作或安全機制判斷安全網絡奔潰時，整個網絡切換至分散自律模式。

進一步的，在所述集中管控模式下，整個網絡的狀態、記錄日誌以及訪問請求均被安全模塊節點匯聚後從安全網絡的一個或多個數據傳輸出口送至網絡控制器，由網絡控制器負責集中管控整個網絡的運維和節點行為分析。

更進一步的，所述集中管控模式中，對安全通信協議集中管控，其採集信息包括認證請求和節點狀態，控制信息包括路由表、模式變更和下發證書。

更進一步的，所述集中管控模式中，網絡控制器基於不同需求的網絡管控算法，選擇當前最優路徑，直接下發路由信息到該條數據傳輸路徑經過所有節點。

更進一步的，所述集中管控模式中，網絡控制器存儲全網所有被保護節點的權限和認證信息，接收來著安全模塊節點的認證請求，並下發相應的結果至節點執行動作。

更進一步的，所述集中管控模式中，網絡管控節點具有休眠周期，當工作窗口或認證請求時主動激活接收網絡控制器的命令下發，激活後執行相應的動作。

更進一步的，在所述分散自律模式下，網絡運維恢復至原始的自組織管理模式，通過廣播搜索最佳路徑，且每個節點均將審查與其相連的接節點的行為，並實時共享；當發現異常時，即關閉與該節點連接的被保護主機的所有權限。

更進一步的，所述分散自律模式中，數據鏈分為主鏈和側鏈，主鏈內容包括網絡內所有節點信息交流行為的記錄，側鏈內容包括各個節點的履歷和網絡內權限，主側鏈均加密存儲。

更進一步的，所述主側數據鏈的生成和維護方式為：每個節點具備數據鏈的校驗和審查模塊，數據鏈主鏈新增內容經全網所有節點的校驗，且一旦添加任何人都無法更改；側鏈由管理員初始配置，或通過網絡自學習算法運維一段時間後由主鏈自主生成。

更進一步的，所述中安全機制為，每個節點定時將自己的信息交流行為打包上傳至數據鏈主鏈，供全網節點校驗，校驗通過後每個節點同步數據鏈主鏈，並驗證是否和側鏈裡設置的訪問權限規則相符，如果主鏈內容不符合側鏈裡設置的規則，則該節點被逐出網絡。

本發明的有益效果是：本發明採用集中管控結構的無線傳感網絡提升了安全防禦性能和網絡魯棒性；採用主側兩條數據鏈技術作為無線傳感網絡的備份安全機制，在中心認證模式失效的情況下採用節點間相互認證，減弱了集中管控的網絡安全風險；對於被保護節點，實施了認證網絡和工作網絡分離，大大加強了物聯網、工控網絡等易感染殭屍網絡對象的防禦性能。

附圖說明

圖1為集中管控模式下網絡結構示意圖。

圖2為分散自律模式下網絡結構示意圖。

圖3為安全模塊節點結構示意圖。

圖4為節點工作流程圖。

具體實施方式

下面結合附圖和具體實施例對本發明做進一步詳細說明。一種基於集中管控和分散自律的安全無線傳感網絡，在無線傳感網絡部署多個安全模塊節點，並通過有線通信方式連接被保護主機，安全控制節點串接在被保護主機和其原有數據網絡中，眾多安全模塊節點組成集中管控模式的安全無線網絡；採用兩種安全工作模式的切換機制，以集中管控模式為主，當網絡控制器無法工作或安全機制判斷安全網絡奔潰時，整個網絡切換至分散自律模式。

分散自律是指通過去中心化和去信任的方式集體維護一個可靠資料庫的技術方案。該技術讓參與系統的任意多個節點，把一段時間內系統全部信息交流的數據，通過密碼學算法計算和記錄到一個數據塊，並且生成該數據塊的指紋用於連結下個數據塊和校驗，系統所有參與節點來共同認定記錄是否為真。

當集中管控模式下的某個控制節點或網絡控制器無法正常工作時，可以切換至分散自律工作模式，形成新的防禦機制，簡單可以稱之為「戰時狀態」。此時整個網絡沒有中心化的硬體或者管理機構，任意節點之間的權利和義務都是均等的，且任一節點的損壞都不影響整個系統的運行。同時在系統規則範圍內，節點之間是不能也無法欺騙其他節點的，一旦某個節點出現「叛徒」行為，立即會遭到整個節點網絡的拋棄。

如圖1所示，本實施例的集中管控模式，整個網絡的狀態、記錄日誌以及訪問請求都被安全模塊節點匯聚後從安全網絡的一個或多個數據傳輸出口（lan、蜂窩等）送至網絡控制器，由網絡控制器負責集中管控整個網絡的運維和節點行為分析。

集中管控模式中，對安全通信協議集中管控，其採集信息包括認證請求和節點狀態，控制信息包括路由表、模式變更和下發證書。網絡控制器基於不同需求的網絡管控算法，選擇當前最優路徑，直接下發路由信息到該條數據傳輸路徑經過所有節點。網絡控制器存儲全網所有被保護節點的權限和認證信息，接收來著安全模塊節點的認證請求，並下發相應的結果至節點執行動作。網絡管控節點具有休眠周期，當工作窗口或認證請求時主動激活接收網絡控制器的命令下發，激活後執行相應的動作。

如圖2所示，本實施例的分散自律模式，網絡運維恢復至原始的自組織管理模式，通過廣播搜索最佳路徑，但每個節點都會審查其相連接節點的行為，並通過主側數據鏈技術實時共享，一旦發現異常，即關閉該節點連接的被保護主機的所有權限。

分散自律模式中，網絡運維恢復至原始的自組織管理模式，通過廣播搜索最佳路徑，且每個節點均將審查與其相連的接節點的行為，並實時共享；當發現異常時，即關閉與該節點連接的被保護主機的所有權限。數據鏈分為主鏈和側鏈，主鏈內容包括網絡內所有節點信息交流行為的記錄，側鏈內容包括各個節點的履歷和網絡內權限，主側鏈均加密存儲。主側數據鏈的生成和維護方式為：每個節點具備數據鏈的校驗和審查模塊，數據鏈主鏈新增內容經全網所有節點的校驗，且一旦添加任何人都無法更改；側鏈由管理員初始配置，或通過網絡自學習算法運維一段時間後由主鏈自主生成。每個節點定時將自己的信息交流行為打包上傳至數據鏈主鏈，供全網節點校驗，校驗通過後每個節點同步數據鏈主鏈，並驗證是否和側鏈裡設置的訪問權限規則相符，如果主鏈內容不符合側鏈裡設置的規則，則該節點被逐出網絡。

如圖3所示，本實施例的安全模塊節點通過rs232、網口、總線或者其他有線通信方式銜接被保護主機，安全控制節點串接在被保護主機和其原有數據網絡中，眾多安全模塊節點組成集中管控模式的安全無線網絡。

如圖4所示，本實施例中集中管控模式工作流程，網絡管控節點一般處於一定休眠周期，工作窗口或認證請求時主動激活請求網絡控制器，網絡控制器存儲全網所有被保護節點的權限和認證信息，通過網絡架構和管控協議，基於不同需求的網絡管控算法，選擇當前最優路徑，直接下發路由信息到該條數據傳輸路徑經過所有節點，傳達相應的命令至請求節點執行動作；分散自律模式工作流程，每個節點定時將自己的信息交流行為打包上傳至數據鏈主鏈，供全網節點校驗，校驗通過後每個節點同步數據鏈主鏈，並驗證是否和側鏈裡設置的訪問權限規則相符，如果主鏈內容不符合側鏈裡設置的規則，則該節點被逐出網絡。