本发明专利技术涉及一种分布式网络安全控制系统和方法,利用分布式节点构建包括网络接口、路由模块、数据交换模块、安全认证模块、访问控制模块、安全策略模块和安全加密模块的分布式网络,通过该网络控制设备的访问;以及制定安全策略;将设备接入分布式网络;分别针对组网变化和节点退出状况下的分布式网络进行控制。该系统和方法在满足Mesh客户端轻负载、不具备网关和网桥的功能的条件下,实现了分布式网络的节点接入、退出和访问控制,由此提高了分布式网络安全控制的灵活性。
【技术实现步骤摘要】
一种分布式网络安全控制系统和方法
本专利技术涉及一种控制系统和方法,具体涉及一种分布式网络安全控制系统和方法。
技术介绍
分布式网络是由分布在不同地点且具有多个终端的节点机互连而成的。网中任一点均至少与两条线路相连,当任意一条线路发生故障时,通信可转经其他链路完成,具有较高的可靠性。同时,网络易于扩充。分布式网络又称网型网,较有代表性的网型网就是全连通网络。可以计算,一个具有N个节点的全连通网需要有N*(N-1)/2条链路,这样,当N值较大时,传输链路数很大,而传输的链路的利用率较低,因此,在实际应用中一般不选择全连通网络,而是在保证可靠性的前提下,尽量减少链路的冗余和降低造价。目前,分布式网络主要应用于无线网络设备的组网。通过无线设备的自组网,又称无线分布式网络,能够提供无线设备的灵活配置,满足各种环境场景的应用。无线分布式网络的前身是adhoc网络,起源于1972年美国DAPRA提出的分组无线网(PRNET),是由一组具有无线收发装置的移动节点组成的多跳、临时性的自组织系统。随着研究的不断深入以及adhoc网络应用的扩展,衍生出了无线传感器网络和无线Mesh网络,它们也采用分布式、自组织组网思想,但在特定应用环境下具有不同于adhoc网络的特性。因此,随着技术不断发展,无线分布式网络变为一个非常宽泛的概念,主要由adhoc网络、无线传感器网络和无线Mesh网络3种网络组成。1、adhoc网络“adhoc”源于拉丁语,意为“特殊的”,它由一系列可任意移动的节点组成,网络节点动态且任意分布,节点之间通过无线方式互连,每个网络节点同时具有终端和路由器的双重功能。由于自组织特性,adhoc的网络拓扑、信道环境、业务模式随节点的移动而动态改变。adhoc网络研究的最初目的是满足战场生存的军事需求,在战场恶劣的环境下通信无法依赖已经敷设的通信基础设施,因为一方面这些设施可能根本不存在,另一方面这些设施随时可能遭到破坏。由于组网快速、灵活、使用方便,目前adhoc网络已得到学术界和工业界的广泛关注,并得到越来越多应用,逐渐成为移动通信领域发展的重要方向。2、无线传感器网络无线传感器网络被认为是21世纪最重要的技术之一,它将会对人类未来的生活方式产生深远影响。近年来随着无线通信、集成电路、传感器以及微机电系统(MEMS)等技术的飞速发展,低成本、低功耗、多功能的微型无线传感器的大量生产成为可能,这些微型无线传感器具有无线通信、数据采集和处理、协同合作等功能,无线传感器网络(简称传感器网络)由许多这种微型无线传感器节点协同组织起来。传感器网络的节点可以随机或者特定地部署在目标环境中,它们之间通过特定的协议自动组织起来,能够获取周围环境的信息并且相互协同工作完成特定任务。3、无线Mesh网络无线Mesh网络是下一代无线网络中的关键技术,近几年得到人们广泛关注和快速发展。它是一种动态自组织网络,网络中节点以adhoc的方式组成网络并维持Mesh结构。通常把它看作是adhoc网络的一种简化版本,但两者有一定区别。无线Mesh网络中的接入点既可以作为adhoc的对等数据转发实体,完成数据路由转发功能,又可以作为一种连接到其他有线网络的网桥连接器。无线Mesh网络是一种高容量、高速率的多点对多点网络,是为解决“最后一公里”问题而提出的无线分布式网络。无线Mesh网络中包含两种类型节点:Mesh路由器和Mesh客户端。不同于传统网络的网桥或者网关,Mesh路由器具备其他特殊的功能来支持Mesh网络,通过多跳路由,Mesh路由器可以用较低的功率覆盖同样的面积。为了进一步提高Mesh网络灵活性,Mesh路由器具备多种无线接口以支持多种无线接入技术。虽然有很多不同,但Mesh路由器与传统无线网络路由器在硬件平台上基本相似。Mesh路由器通常不具有移动性,它们构成Mesh网络的主干部分并向Mesh客户端提供无线接入服务。虽然Mesh客户端在某种情况下也可以临时充当Mesh路由器,但在硬件和软件方面,它都要比Mesh路由器简化一些。例如,在通信协议方面,Mesh客户端都是轻负载的,不具备网关和网桥的功能,只有一个简单的无线接口,无法支持分布式网络的节点接入、退出和访问控制。
技术实现思路
针对现有技术的不足,本专利技术提供一种分布式网络安全控制系统和方法,简化了路由器、并在满足Mesh客户端轻负载、不具备网关和网桥的功能的条件下,实现了分布式网络的节点接入、退出和访问控制。本专利技术的目的是采用下述技术方案实现的:一种分布式网络安全控制系统,所述系统包括:网络接口,用于节点的对外通信;路由模块,用于为分布式网络提供路由功能;数据交换模块,用于分布式数据交换;安全认证模块,以实现节点之间的认证;访问控制模块,用于控制节点访问;安全策略模块,用于制定安全策略,并根据安全策略管理分布式网络;安全加密模块,用于密钥交换、加解密报文以及对路由和安全策略进行加密传输。优选的,所述访问控制模块包括:逻辑访问单元,用于对设备进行逻辑访问,其逻辑访问方式包括telnet、ftp和ssh;身份认证单元,用于提供身份标识和鉴别功能;访问控制列表单元,用于修改各模块参数,以及限制各模块的应用。优选的,所述安全策略模块包括策略集,用于存放分布式网络的安全策略,其中至少包含有一个安全节点树;该安全节点树用于定义该分布式网络中的各节点。一种分布式网络安全控制方法,所述方法包括:利用分布式节点构建分布式网络,通过该网络控制设备的访问;制定安全策略;将设备接入分布式网络;分别针对组网变化和节点退出状况下的分布式网络进行控制。优选的,所述构建分布式网络包括,分布式节点均具备独立的设备访问控制功能,对外控制外部设备访问。优选的,所述制定安全策略包括,当分布式网络初始化后,生成网络节点策略集;该策略集为该网络中的安全策略,其中至少包含一个安全节点树,用于定义该分布式网络中的各节点。优选的,所述将设备接入分布式网络包括,当一个未定义节点进入分布式网络时,与网络中任一节点S1建立连接并发送访问请求,S1接收该访问请求,将其传播至全网其他节点;待全网其他节点响应后,节点S1与未定义节点进行密钥交换,完成安全认证并建立通信;安全节点树的根节点,将该未定义节点加入安全节点树和现有路由后更新全网;同时节点S1将更新后的策略和路由信息下发至所述未定义节点。优选的,所述针对组网变化状况下的分布式网络进行控制包括:当网内各节点组网发生变化时,若某节点欲与其他节点建立通信,则双方互换密钥;定义节点A1欲与非接触式节点A2连接,则通过节点A3,获取A2的可达路径,并经由已确定的安全线路,与A2传递密钥;完成密钥传递后,实现直接通信。优选的,所述针对节点退出状况下的分布式网络进行控制包括:当任一节点申请退出时,由安全节点树的根节点的分布式网络路由生成新的拓扑结构,各节点根据该拓扑结构检查相邻线路通信状态;当原拓扑中非接触的节点双方在新拓扑中请求建立通信时,交换密钥信息;密钥交换完毕后,根据安全节点树根节点的路由和安全策略更新路由和安全节点树,并下发至全网;申请退出的节点清理携带的参数并退出网络;分布式网络各节点检查与退出节点的密钥和认证信息,并将其删除。与最接近的现有技术比,本专利技术达到的有益效果是:通本文档来自技高网...
【技术保护点】
一种分布式网络安全控制系统,其特征在于,所述系统包括:网络接口,用于节点的对外通信;路由模块,用于为分布式网络提供路由功能;数据交换模块,用于分布式数据交换;安全认证模块,以实现节点之间的认证;访问控制模块,用于控制节点访问;安全策略模块,用于制定安全策略,并根据安全策略管理分布式网络;安全加密模块,用于密钥交换、加解密报文以及对路由和安全策略进行加密传输。
【技术特征摘要】
1.一种分布式网络安全控制系统,其特征在于,所述系统包括:网络接口,用于节点的对外通信;路由模块,用于为分布式网络提供路由功能;数据交换模块,用于分布式数据交换;安全认证模块,以实现节点之间的认证;访问控制模块,用于控制节点访问;安全策略模块,用于制定安全策略,并根据安全策略管理分布式网络;安全加密模块,用于密钥交换、加解密报文以及对路由和安全策略进行加密传输。2.如权利要求1所述的系统,其特征在于,所述访问控制模块包括:逻辑访问单元,用于对设备进行逻辑访问,其逻辑访问方式包括telnet、ftp和ssh;身份认证单元,用于提供身份标识和鉴别功能;访问控制列表单元,用于修改各模块参数,以及限制各模块的应用。3.如权利要求1所述的系统,其特征在于,所述安全策略模块包括策略集,用于存放分布式网络的安全策略,其中至少包含有一个安全节点树;该安全节点树用于定义该分布式网络中的各节点。4.一种分布式网络安全控制方法,其特征在于,所述方法包括:利用分布式节点构建分布式网络,通过该网络控制设备的访问;制定安全策略;将设备接入分布式网络;分别针对组网变化和节点退出状况下的分布式网络进行控制。5.如权利要求4所述的方法,其特征在于,所述构建分布式网络包括,分布式节点均具备独立的设备访问控制功能,对外控制外部设备访问。6.如权利要求4所述的方法,其特征在于,所述制定安全策略包括,当分布式网络初始化后,生成网络节点策略集;该策略集为该网络中的安...
【专利技术属性】
技术研发人员:郭骞,曹宛恬,高鹏,李尼格,俞庚申,范杰,冯谷,石聪聪,余勇,叶云,蒋诚智,
申请(专利权)人:国网智能电网研究院,国家电网公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。