软件定义物联网网络拓扑数据传输安全管理方法及系统技术方案

本发明专利技术提供了一种软件定义物联网网络拓扑数据传输安全管理方法及系统，在物联网网络节点部署普通节点和聚合节点，各节点之间相互通信；对普通节点和聚合节点进行加密算法配置；各相邻节点进行双向身份认证，进行密钥协商，每个节点记录自身周围通过认证的可信节点，以及认证失败的可疑节点；定期执行拓扑发现，聚合节点收集普通节点拓扑信息，聚合节点之间进行可信节点的报文转发，建立可信路径，构建全局拓扑视图；依照确定的可信路径，进行拓扑状态报文的依次转发和聚合；基于全局拓扑视图，确定新加入的节点和恶意节点，进行广播，更新物联网网络拓扑结构。本发明专利技术能够有效提升数据传输的安全性和可靠性。数据传输的安全性和可靠性。数据传输的安全性和可靠性。

【技术实现步骤摘要】
软件定义物联网网络拓扑数据传输安全管理方法及系统


[0001]本专利技术属于网络拓扑安全管理
，具体涉及一种软件定义物联网网络拓扑数据传输安全管理方法及系统。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]当前物联网已广泛应用于智能电网、智能家居、工业控制、环境监测等领域。然而，随着物联网的大规模建设，如何安全有效地管理种类繁多的物联终端以及巨大的数据流量，是物联网面临的重大难题。软件定义物联网(SoftwareDefinedInternetofThings，SDIoT)是将软件定义网络(SoftwareDefinedNetworking，SDN)技术应用到物联网(InternetofThings，IoT)领域，用以解决物联网网络管理、网络配置、资源分配、业务部署等问题，而提出的一种新型网络架构。基于SDN控制与转发分离、网络集中控制等理念，SDIoT能够简化设备配置和管理，统一网络管理协议，实现灵活、动态、可编程的网络管理。目前，SDIoT已受到国内外企业、高校的广泛关注。
[0004]为维护全局网络拓扑视图，SDIoT的控制器(Controller)需要周期性的收集底层网络的拓扑信息，实时展现终端之间的无线链路情况。然而，不同于SDN具有专有的带内传输链路，SDIoT的控制报文和数据报文都是通过同一无线链路进行传输。考虑到无线信道的开放性，恶意攻击者可以很容易地窃听、篡改、伪造的拓扑信息，进而对SDIoT的网络拓扑管理、路由决策等造成巨大破坏。目前SDIoT本身架构设计尚不完善，针对SDIoT网络拓扑的安全研究尚处于起步阶段。
[0005]密码技术能够很好地保护数据传输的安全性。密码技术通常可分为对称密码及非对称密码两类。对称密码的加密与解密操作使用同一个密钥，具有运算速度快、功耗低的优势。但对称密码在物联网应用中主要面临扩展性问题：当在整个网络中采用一个密钥时，一旦密钥泄露将对整个网络造成巨大破坏；当在任意两个终端之间分配一个密钥时，网络规模越大，密钥存储开销也就越大，新终端加入需要在所有终端添加密钥；当采用概率算法生成终端间的密钥时，不能保证新终端一定能够加入网络中。非对称密码使用公钥加密、私钥解密，通常基于公钥基础设施(PublicKeyInfrastructure，PKI)，利用数字证书将公钥与身份信息进行绑定，已在电子商务、移动应用等场景下取得了广泛应用。然而数字证书的生成、存储、验证、撤销等操作都需要巨大的带宽和计算开销，不适合资源有限的物联网终端设备。因此，如何利用密码算法保证SDIoT拓扑数据安全可靠的传输是亟待解决的问题。

技术实现思路

[0006]本专利技术为了解决上述问题，提出了一种软件定义物联网网络拓扑数据传输安全管理方法及系统，本专利技术从节点双向身份认证、节点拓扑安全发现、节点拓扑安全汇报以及网络拓扑安全管理四方面保证拓扑信息的机密性、完整性以及真实性等安全要素，能够有效
提升数据传输的安全性和可靠性。
[0007]根据一些实施例，本专利技术采用如下技术方案：
[0008]一种软件定义物联网网络拓扑数据传输安全管理方法，包括以下步骤：
[0009]在物联网网络节点部署普通节点和聚合节点，各节点之间相互通信；
[0010]对普通节点和聚合节点进行加密算法配置；
[0011]各相邻节点进行双向身份认证，进行密钥协商，每个节点记录自身周围通过认证的可信节点，以及认证失败的可疑节点；
[0012]定期执行拓扑发现，聚合节点收集普通节点拓扑信息，聚合节点之间进行可信节点的报文转发，建立可信路径，构建全局拓扑视图；
[0013]依照确定的可信路径，进行拓扑状态报文的依次转发和聚合；
[0014]基于全局拓扑视图，确定新加入的节点和恶意节点，进行广播，各节点接收广播，对广播进行认证，根据通过认证的广播内容记录恶意节点，删除与恶意节点的传输路径，根据新加入的节点更新物联网网络拓扑结构。
[0015]作为可选择的实施方式，在物联网网络节点部署普通节点和聚合节点的具体过程包括：所述普通节点和聚合节点均为终端，所述普通节点与其周围的邻居节点通信，且加入距其最近的一个聚合节点进行组网通信，在每个拓扑发现阶段，普通节点将自身拓扑信息发送给聚合节点；聚合节点之间能够相互通信，逐跳转发聚合拓扑信息至上层。
[0016]作为可选择的实施方式，对普通节点和聚合节点进行加密算法配置的具体过程包括：生成密钥参数，各节点提前预置私钥，每两个节点之间进行基于身份标识的加密及签名操作。
[0017]作为可选择的实施方式，各相邻节点进行双向身份认证，进行密钥协商的具体过程包括：每隔一段时间，各节点向其邻居节点广播发送一个包含自身身份信息的表明自身存活的报文；当某邻居节点收到该节点的广播后，如果是新邻居则将该邻居节点加入待确认列表，并两个节点之间进行双向认证，否则更新自己邻居列表中该邻居节点的状态；进行加密认证操作。
[0018]作为进一步限定的实施方式，进行加密认证操作的过程包括：
[0019]对于待确认列表中的新邻居节点B，节点A生成第一随机数，并用节点B身份ID
B
加密认证请求；
[0020]节点B收到认证请求后，利用自身私钥S
B
解密认证请求的密文，获取第一随机数，确定是向自己发送的认证请求后，节点B随机生成第二随机数,并用节点A身份ID
A
加密认证回复；
[0021]节点A收到请求后，利用自身私钥S
A
解密认证回复中的密文，获得两个随机数，确认是节点B向自己发送的认证回复后，通过校验第一随机数与自己发送是否一致，如果是确认节点B的合法性，并将其加入可信邻居列表，随后节点A利用密钥派生算法，生成共享对称密钥，否则，认为节点B身份不合法，并将其加入黑名单；
[0022]利用对称密钥，节点A利用哈希运算消息认证码算法发送认证回复的密文部分的消息认证码给节点B；
[0023]节点B同样生成共享对称密钥，利用哈希运算消息认证码算法发送认证回复的密文部分的消息认证码，若两个认证码一致，则节点A身份合法，加入可信邻居列表，否则，将
其加入黑名单。
[0024]作为可选择的实施方式，聚合节点收集普通节点拓扑信息，聚合节点之间进行可信节点的报文转发的具体过程包括：
[0025](1)周期性广播拓扑发现报文，报文包含当前广播节点距基站跳数、剩余电量，且该报文由聚合节点之间进行转发；
[0026](2)当聚合节点A收到邻居聚合节点B或基站节点B的报文后，首先检测邻居B是否在其可信邻居列表中，如果在，则否则进行步骤(3)，否则，将该报文进行丢弃，终止该报文处理；
[0027](3)判断该TD报文到基站跳数加1是否小于自己当前已有到基站的路径的跳数；如果是，则将自身到达基站的下一跳节点更新为节点B，并将该报文中广播节点更新为节点A自己身份本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：包括以下步骤：在物联网网络节点部署普通节点和聚合节点，各节点之间相互通信；对普通节点和聚合节点进行加密算法配置；各相邻节点进行双向身份认证，进行密钥协商，每个节点记录自身周围通过认证的可信节点，以及认证失败的可疑节点；定期执行拓扑发现，聚合节点收集普通节点拓扑信息，聚合节点之间进行可信节点的报文转发，建立可信路径，构建全局拓扑视图；依照确定的可信路径，进行拓扑状态报文的依次转发和聚合；基于全局拓扑视图，确定新加入的节点和恶意节点，进行广播，各节点接收广播，对广播进行认证，根据通过认证的广播内容记录恶意节点，删除与恶意节点的传输路径，根据新加入的节点更新物联网网络拓扑结构。2.如权利要求1所述的一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：在物联网网络节点部署普通节点和聚合节点的具体过程包括：所述普通节点和聚合节点均为终端，所述普通节点与其周围的邻居节点通信，且加入距其最近的一个聚合节点进行组网通信，在每个拓扑发现阶段，普通节点将自身拓扑信息发送给聚合节点；聚合节点之间能够相互通信，逐跳转发聚合拓扑信息至上层。3.如权利要求1所述的一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：对普通节点和聚合节点进行加密算法配置的具体过程包括：生成密钥参数，各节点提前预置私钥，每两个节点之间进行基于身份标识的加密及签名操作。4.如权利要求1所述的一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：各相邻节点进行双向身份认证，进行密钥协商的具体过程包括：每隔一段时间，各节点向其邻居节点广播发送一个包含自身身份信息的表明自身存活的报文；当某邻居节点收到该节点的广播后，如果是新邻居则将该邻居节点加入待确认列表，并两个节点之间进行双向认证，否则更新自己邻居列表中该邻居节点的状态；进行加密认证操作。5.如权利要求4所述的一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：进行加密认证操作的过程包括：对于待确认列表中的新邻居节点B，节点A生成第一随机数，并用节点B身份ID
B
加密认证请求；节点B收到认证请求后，利用自身私钥S
B
解密认证请求的密文，获取第一随机数，确定是向自己发送的认证请求后，节点B随机生成第二随机数,并用节点A身份ID
A
加密认证回复；节点A收到请求后，利用自身私钥S
A
解密认证回复中的密文，获得两个随机数，确认是节点B向自己发送的认证回复后，通过校验第一随机数与自己发送是否一致，如果是确认节点B的合法性，并将其加入可信邻居列表，随后节点A利用密钥派生算法，生成共享对称密钥，否则，认为节点B身份不合法，并将其加入黑名单；利用对称密钥，节点A利用哈希运算消息认证码算法发送认证回复的密文部分的消息认证码给节点B；节点B同样生成共享对称密钥，利用哈希运算消息认证码算法发送认证回复的密文部分的消息认证码，若两个认证码一致，则节点A身份合法，加入可信邻居列表，否则，将其加入黑名单。
6.如权利要求1所述的一种软件定义物联网网络拓扑数据传输安全管理方法，其特征是：聚合节点收集普通节点拓扑信息，聚合节点之间进行可信节点的报文转发的具体过程包括：(1)周期性广播拓扑发现报文，报文包含当前广播节点距基站跳数、剩余...

【专利技术属性】
技术研发人员：王睿，马雷，刘新，刘冬兰，陈剑飞，于灏，张昊，王文婷，赵晓红，赵洋，刘鑫，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：