专利名称:无线传感器网络安全管理系统的制作方法
技术领域:
本发明属于网络安全技术和服务计算领域,涉及到无线传感器网络中的安全管理系统,将安全作为一种服务,根据安全服务需求和通信环境,动态的组合安全服务,从而提出一种自适应的无线传感器网络安全管理系统。
背景技术:
随着传感器网络应用的发展,其安全问题越来越受到广泛的关注,从传感器网络的应用出发,对于不同的应用请求有不同的安全服务需求,然而在现有的传感器网络中安全措施是统一的,即对于不同的应用,网络提供的安全防护是相同的,维持在一个静态的安全级别上,这样就会造成1、有些应用可能要求的安全需求不是很高,而所提供的安全等级却很高,就会造成能量的不必要的浪费,缩短了节点的生命周期。2、这样的安全防护不具有灵活性,不能根据应用和周围通信环境的变化来改变安全防护。文献"A policy based security management architecture for sensor networks,,2009IFIP/IEEE International Symposium on Integrated Network Management (IM 2009)提出了一个基于策略的集中式的无线传感器网络的安全管理体系, 它的主要思想是安全管理体系中,基站运行管理者,普通节点运行节点代理,通过入侵检测系统来可动态的激活和释放安全组件来抵制安全攻击,使得网络处于不同的安全级别上, 从而节省网络的能量,延长网络的生命周期。但是这种安全管理是有缺陷的,首先,当安全级别处于低等级的时候,节点是不运行入侵检测系统的,而网络正是根据入侵检测激发来决策安全等级,这就造成了安全管理运行不下去。其次,这种安全管理属于集中式的安全管理,由基站来决定网络中的节点是否运行入侵检测系统,是否需要认证,是否运行密码技术等,这样就会增加基站与节点通信的频率,增加能耗,集中式的安全管理不适用于传感器网
发明内容
本发明的目的为了解决当前网络安全防护中静态安全造成的能量浪费和不灵活问题,以及现有技术中集中式安全管理的缺陷,提出了一种分布式的自适应无线传感器网络安全管理系统,利用SOA的原理,根据不同的应用的安全服务需求和不同的环境变化,来动态组合安全服务,使得组合的安全服务满足当前的应用安全服务需求。本发明提出的安全管理系统采用跨层的安全管理体系结构得以实现。安全管理体系结构同协议栈的各层通过定义的接口进行交互,获得各层的参数,从而获得节点全局性的状态和需求,根据安全服务需求和通信环境,动态组合合适的安全服务,网络处于动态的不同级别的安全状态,从而给网络提供所需的最佳的安全防护,安全管理体系结构包括五个不同功能的组件,安全代理、安全决策、安全协议、数据库和资源库组件,各个组件具体描述如下(1)安全代理组件
安全代理组件通过与各层定义的接口获得各层的环境参数和应用的安全服务需求,环境参数包括信道质量,延迟时间、电池剩余能量、丢包率;应用安全服务需求包括 保密性、数据完整性、认证、访问控制、不可否认性,各层的参数获取过程如下物理层的参数安全代理通过与物理层的接口获得信道质量值,用Cq表示,在 Zigbee节点中,物理层与MAC层之间的接口定义的物理层管理服务维护着一个由物理层相关数据组成的数据库,其中包括了链路质量指示,它是为上层提供接收数据帧时无线信号的强度和质量信息,它对信号进行解码,生成一个信噪比指标,我们可以通过信噪比指标来表示信道质量值,信噪比越高,代表信道质量越好,反之亦然,我们可以通过定义的 SMPH-SAP接口来获得信噪比指标得到信道质量。MAC层的参数安全代理通过与MAC层的接口获得节点剩余能量以及延迟时间参数,分别用Be和La来表示,同样以Zigbee节点为例,节点采用的无线收发器有封装好的获得当前电源电压的API,通过SMPH-SAP接口来调用此API来获得当前的电源电压,从而获得当前剩余的电池能量,我们以百分比来衡量电池能量,因此当前的电池能量=当前的电源电压/总电源电压。由于对于不同的应用,不同的节点位置会有不同的延迟时间,所以可以通过计算获得节点的平均延迟时间。网络层的参数安全代理通过与网络层的接口获得丢包率,用PL来表示,丢包率是在一个测量周期内,网络其余节点发往该节点的数据包的数量和该节点实际收到的数据包数量的差值与网络中其余节点发往该节点的数据包数量的比值,我们通过定义的 SMNT-SAP接口来获得该比值。应用层的参数无线传感器网络是一个与应用相关的网络,不同的应用有不同的安全服务需求,像医疗应用中对患者的监测就对数据的完整性和可靠性有较高的要求,因此定义了安全服务需求的参数值,包括保密性,数据完整性,认证,访问控制,不可否认性, 分别用DC、DI、Au、AC、ND来表示,并且为了具体表示每个安全服务的需求,定义了各个安全服务需求的强度和对应的数值,同时,为了更好的描述这些需求,使用XML语言进行语义描述,XML语言是一个非常灵活的语言,用来描述数据,使用语义描述以一个定量的方式来定义安全服务需求,在这种情况下,如果传输的内容很重要,应用可以定义高强度的安全请求,相反,如果传输不重要,应用甚至都可以定义不需要任何安全保证,表1为定义的各个安全服务需求的强度和对应的数值表1安全服务需求的强度和对应的数值
权利要求
1.无线传感器网络安全管理系统,安全管理系统采用跨层的安全管理体系结构实现, 其特征在于将安全作为一种服务,根据安全服务需求和通信环境,动态组合合适的安全服务,网络处于动态的不同级别的安全状态,从而给网络提供所需的最佳的安全防护,安全管理体系结构包括五个组件1.1)安全代理组件通过与各层定义的接口获得各层的环境参数和应用的安全服务需求;1. 2)安全决策组件对从安全代理组件获取的环境参数值和安全服务需求值进行分析, 通过计算组合出满足需求的安全服务;1. 3)安全协议组件当安全决策组件把安全组合协议发送给安全协议组件后,根据决策值激活对应的安全协议,给网络以安全的防护;1. 4)数据库组件存放安全协议标记集以及每个安全协议所能提供的安全服务项,在进行安全决策的过程中,调用安全协议标记集计算安全组合协议所能提供的安全服务项;1.5)资源库组件存放各个安全协议运行时所占有的内存量、可能造成的延迟及所消耗的能量参数,安全决策通过计算这些参数,获得所占内存量最少、延迟最短、能耗最低的安全组合协议。
2.根据权利要求1所述的无线传感器网络安全管理系统,其特征在于安全管理体系结构与各层交互获得环境参数值和应用的安全服务需求值,具体步骤为通过安全代理组件,与协议栈各层通过定义的接口进行交互通过SMPH-SAP接口获得信道质量情况,通过SMMC-SAP接口获得节点剩余能量和延迟情况,通过SMNT-SAP接口获得丢包率情况,通过SMAP-SAP接口获得应用的安全服务需求值,从而获得了如下的参数集 P = {Cqt, Bet, Lat, Plt, DCt, DIt, AUt, ACt, NDj其中{Cqt, Bet, Lat, PlJ代表环境参数集,{DCt,DIt, AUt, ACt, NDj代表安全服务需求集,Cqt为信噪比,Bet为节点剩余能量,Lat为延迟,Plt为丢包率,DCt为安全服务保密性需求,DIt为数据完整性需求,AUt为认证需求,ACt为访问控制需求,NDt为不可否认需求,t是指参数值随时间改变。
3.根据权利要2所述的无线传感器网络安全管理系统,其特征在于安全管理体系结构使用环境参数值对安全服务的需求值进行更改,具体步骤为安全代理组件获得参数集P后,使用安全决策组件对安全服务需求值进行更改,更改过程如下如果Ccit > Cqthreshold,表示目前信道的信噪比很高,如果Liit > Lathreshold且Plt > Plthresh。ld,则表明当前的通信信道存在攻击的危险,在这种情况下不提供安全服务,将参数集的安全服务需求值更改为全0 ; 如果Cqt < Cqthreshold ,并且 Lat〈 Lathreshold^Plt〈 Pl threshold' 则保持安全服务的需求值; 如果Bet < Bethreshtjld,表明节点有可能受到拒绝服务攻击,随时会退出网络,不能提供一切服务,忽略安全服务需求,将安全服务需求值更改为0,最终得到了一个新的安全服务需求集P'P' = {DC' t, DI' t,AU' t, AC' t,ND' J
4.根据权利要求3所述的无线传感器网络安全管理系统,其特征在于安全管理体系结构对新的安全服务需求集P'进行安全协议的组合,提供所需的安全服务,具体步骤为安全决策组件得到新的安全服务需求集P'后,调用数据库中安全协议标记值,进行加权计算,获得安全组合协议总集,然后从安全组合协议总集中选出满足安全服务需求的安全组合协议集,调用资源库中相关安全协议的内存量、延迟及能耗,选出质量最高的安全组合协议,具体过程如下4. 1)对数据库中的安全协议标记集S = {Sl,S2-Sj进行加权循环计算,计算公式如下S' = max(S1 ω J, …snωη}, (ω17 ω2... ωη)乒(0,0...0)其中ω” ω2··· ωη分别为S1, ^··、的权值,取值为0或1,取0为不采用该安全协议, 取1为采用该安全协议,但是ω” ω2··· 能全为0,从而得到了安全组合协议总集S', 利用下面的公式从S'中选出满足安全服务需求的安全组合协议集民M(S'i,dc)=M(P',DC't)M(S'i,di)=M(P',DI't)M(S'"au)=M(P',AU't)M(S'"ac)=M(P',AC't)M (Si',nd)=M(P',ND't)其中民C V;4.2)使用资源库中的数据将安全组合协议集民中的元素逐一进行对比,选出一个质量最高的安全组合协议s,。
5.根据权利要求1或4所述的无线传感器网络安全管理系统,其特征在于安全管理体系结构激活相应的安全组合协议对节点进行安全防护,具体步骤为安全决策组件得出最佳的安全组合协议 后,交给安全协议组件,激活相应的安全协议,通过安全代理返回到协议栈的各个层,分别在各个层运行相应的安全协议,从而给节点以最佳的安全防护。
全文摘要
本发明提出了无线传感器网络安全管理系统,根据安全服务需求和通信环境,动态组合合适的安全服务,使得网络处于动态的不同级别的安全状态,克服了安全防护中静态安全造成的能量浪费和不灵活;同时,安全管理系统采用分布式结构,克服了集中式中基站与节点通信造成的能量消耗问题。安全管理系统采用跨层的安全管理体系结构实现,体系结构包括五个组件安全代理通过定义接口与各层交互获得各种参数值;安全决策对参数值进行分析,决策出满足要求的安全组合协议;安全协议根据安全组合协议激活相应安全协议;数据组件存放安全协议所能提供的安全服务的情况,用来安全决策;资源库存放安全协议运行时消耗的成本参数。
文档编号H04W12/00GK102291714SQ20111025752
公开日2011年12月21日 申请日期2011年9月1日 优先权日2011年9月1日
发明者刘晓雷, 吉世瑞, 李伟昌, 李国宏, 李红宁, 王祥, 申芳, 裴庆祺, 郝丽娜, 齐跃 申请人:西安望海电子科技有限公司, 西安电子科技大学