一种网络安全防御方法与流程

本发明涉及网络安全技术领域，尤其涉及一种网络安全防御方法。

背景方法

对于基于无线通信环境下的数据信息采集网络，在数据传输过程中，为使接收子节点能接收到正确的数据，发送节点在发送数据时会为每一个数据帧(也称数据包或数据报文)分配一个序列号，通过这些序列号可防止接收子节点在接收数据时出现数据包的重传、顺序颠倒，甚至是数据包的丢失等现象。

然而，由于网络中有恶意节点或非法入侵者的存在，他们对网络数据的传输破坏具有非常严重的影响。例如，恶意节点或伪节点可能通过篡改数据中的序列号而生成一系列的如可重放、拒绝服务(dos)、女巫等攻击行为来不断地耗尽接收子节点的资源，甚至使该接收子节点不再具有响应能力或接收能力。

因此，为防止恶意节点的攻击行为，以便确保采集数据的安全性和准确性，提出一种有效的网络安全防御方法以实现无线通信数据信息采集网络的安全保护是十分必要的。

技术实现要素：

鉴于上述问题，本发明提出一种网络安全防御方法，可通过对表征数据时效性的序列号按照一定规律插入到同一数据帧中来解决非法节点等通过篡改序列号生成的一系列恶意攻击行为。

本发明提出的一种网络安全防御方法，包括：

中心节点为数据帧分配序列号并将所述序列号发送到各接收子节点；

将所述序列号中的各位数按照预设插入规则插入到所述数据帧中的数据字段中以得到传输数据帧，并将所述传输数据帧发送到至少一接收子节点，其中，所述预设插入规则被预先发布到各接收子节点；

所述接收子节点接收到所述传输数据帧后根据由中心节点预先发布的所述预设插入规则提取序列号；

对提取的序列号进行认证并在所述认证成功后保留所述传输数据帧且返回确认信号到所述中心节点。

在上述网络安全防御方法中，可选地，若所述接收子节点对提取的所述序列号认证失败，则将丢弃所述传输数据帧且不作出任何应答或响应。

在上述网络安全防御方法中，可选地，还包括：

所述中心节点根据预设间隔时间对所述预设插入规则进行密文变更以得到不同的预设插入规则密文。

在上述网络安全防御方法中，可选地，所述接收子节点预先存储有由中心节点发布的多套密文解密规则，当接收到变更的所述预计插入规则密文时，获取所述密文解密规则中的一套进行解密以得到所述预设插入规则。

在上述网络安全防御方法中，可选地，所述预设间隔时间为4～6小时。

在上述网络安全防御方法中，可选地，还包括：

当存在多个数据帧时，所述中心节点根据预设规则为每一数据帧分配一不同的序列号，其中，每个序列号的位数均相同。

在上述网络安全防御方法中，可选地，还包括：

在所述中心节点处设有防拷贝看门狗，以用于警示所述中心节点是否遭受到恶意攻击。

在上述网络安全防御方法中，可选地，所述中心节点还包括一内置破坏模块，

所述内置破坏模块用于当所述中心节点检测到恶意攻击时对所述预设插入规则的生成进程进行数据漂白。

在上述网络安全防御方法中，可选地，所述预设插入规则包括，

将所述序列号进行分组，将分组后的每组按预定顺序插入到所述数据字段的相应位置。

在上述网络安全防御方法中，可选地，所述接收节点对提取的序列号进行认证，包括：

将提取的序列号与由中心节点预先发送的所述序列号进行比对，若比对结果一致，则表示认证成功，否则表示认证失败。

本发明通过将序列号按照预设插入规则插入到数据帧的数据字段中以达到淹没序列号目的，可有效抵御非法入侵者对传输数据中序列号的截获及非法篡改，从而提高数据传输的安全性。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对本发明保护范围的限定。

图1为本发明实施例的网络安全防御方法的应用示意图；

图2为本发明实施例的网络安全防御方法的流程示意图；

图3为现有技术中数据帧的一种结构示意图；

图4为本发明实施例的网络安全防御方法的序列号插入示意图；

图5为本发明实施例的网络安全防御方法的一种预设插入规则插入示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的方法方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域方法人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的方法特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

除非另有定义，本文所使用的所有的方法和科学术语与属于本发明的方法领域的方法人员通常理解的含义相同。本文中在说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

下面结合具体的实施例对本发明进行详细说明。

如图1所示，在无线通信网络中，通常存在一个中心节点和多个子节点，这些节点构成该无线网络。其中，中心节点也称为中央节点，可通过广播机制广播消息到网络中的所有子节点，而每一子节点也都可以单独发送消息到中心节点。然而，在网络中常存在一些伪节点，他们在合法节点传输数据过程中通过非法截获这些数据，并在对这些数据非法篡改后重新发送到网络中的合法节点来实现一系列非法攻击，如可重放攻击、拒绝服务攻击、女巫攻击等等。

在传输数据中，接收子节点可通过对每帧数据帧的序列号进行确认以判断数据帧是否需要保留等。例如，当子节点接收到中心节点发送的一个数据帧时，通过获取该序列号可知该数据帧是否是重复发送的数据，若是重复的数据帧则将丢弃；若是新的有效数据则保留。此外，通过获取该序列号还可以知道当前数据帧在所有传输数据中的位置等，从而保证所有数据的接收在发送到应用上层时不会出现乱序等现象。

可知，若是伪节点(即非法节点)截取到该数据帧并对序列号进行篡改再发送到接收子节点，则接收子节点可能会在不知情的情况下不断接收到该非法数据，甚至可能会被耗尽资源。因此，本发明提出一种网络安全防御方法来抵御恶意节点的非法截获及篡改，通过对传输数据中的序列号进行淹没保护，可阻止伪节点轻易获取到该序列号并进行篡改等行为，从而有效提高数据的传输安全性。

实施例1

请参照图2，本发明提出一种网络安全防御方法，可运用于无线通信环境下的数据信息采集，通过对网络节点的数据在传输过程中对序列号进行安全防御，可有效地抵御非法入侵者或恶意节点等的攻击行为。下面对该网络安全防御方法进行详细描述。

当中心节点需要向子节点传输数据时，将对传输的每一个数据包或数据帧进行序列号保护处理，从而提高数据的安全性和准确性。具体步骤如下：

步骤s100：中心节点为数据帧分配序列号并将所述序列号发送到各接收子节点。

中心节点在发送数据帧之前，首先会为各数据帧分配一个序列号，并将该分配的序列号在发送该数据帧前发送到各接收节点，以用于接收节点在接收到数据帧后对该数据帧进行确认。

其中，若存在多个数据帧时，中心节点将按照预设规则为各数据帧分配一个不同的序列号，但每个数据帧的序列号的位数相同，故接收子节点可通过该序列号对对应的数据帧进行确认。应当理解，所述预设规则可以是随机生成不同的序列号并将该不同的序列号依次分配给各数据帧，也可以是生成具有特定规律的序列号并依次分配给各数据帧，具体可根据实际需要进行选取。此外，该序列号的位数可根据实际的传输协议及数据量进行设定，如可设为8位、16位或32位等等。

中心节点在发送数据帧前需要先将序列号发送到各接收子节点，可选地，可将所有分配的序列号打包作为一帧数据发送到各接收子节点。此外，还可以每发送一个上述数据帧之前先发送其分配的序列号，即将各序列号依次单独地发送到接收子节点。

步骤s200：将所述序列号中的各位数按照预设插入规则插入到所述数据帧的数据字段中以得到传输数据帧，并将所述传输数据帧发送到至少一接收子节点，其中，所述预设插入规则被预先发布到各接收子节点。

一个数据帧中通常包括多个字段，如帧开始、控制字段、数据字段和帧结束等等。在现有技术中，如图3所示，该序列号通常是位于帧结束的前面以作为确认字段，因此往往容易被伪节点进行破解获取。而本实施例中，中心节点通过对该序列号的各位按照预设插入规则插入到数据字段中，即将序列号淹没在数据帧的数据字段中，以使伪节点不能轻易地获取该淹没的序列号。示范性地，若序列号由8位二进制数构成，而某一数据帧的序列号为00000101。如图4所示，根据预设插入规则将这8位二进制数分别插入到该数据帧的数据字段中。

其中，中心节点可预先通过信标机制将所述预设插入规则的消息预先发布到各接收子节点，从而使得各接收子节点可根据该预设插入规则提取出被淹没的序列号。

本实施例中，所述预设插入规则为序列号的插入规律，也可称为序列号淹没图案。具体地，所述预设插入规则可包括，将序列号进行分组，并将分组后的每组按预定顺序插入到数字字段中的预定位置。其中，分组后的每组均具有一个分组标记，该分组标记可用于在提取序列号过程中识别该组在序列号中的位置。

示范性地，以上述序列号00000101为例，若将序列号分为4组，分组包括第一组、第二组、第三组和第四组，第一组可为包括00两个位数，第二组为包括00两个位数，第三组和第四组均为包括01两个位数。于是将这4组按一定顺序插入或随机插入到数据字段中的预定位置处，如图5所示，可将各组依次插入到数据字段的第2、4、6、8位之后，从而形成上述序列号淹没的传输数据帧。

应当理解，上述的分组组数可根据序列号的位数划分成多组，而每组包含的位数的个数也可以不同，具体可根据实际需求来选取。例如，若将上述序列号00000101分成3组插入，其中，第一组可为包括000三个位数，第二组为包括00两个位数，第三组为包括101三个位数，当然还有其他的分组方法，在此将不一一列举。

步骤s300：所述接收子节点接收到所述传输数据帧后根据由所述中心节点预先发布的所述预设插入规则提取所述序列号。

当接收子节点接收到传输数据帧后，将根据所述预设插入规则从数据字段中相应的位置获取到每组所包含的位数。由于分组后的每组均具有位置标识，故可根据每组的位置标记提取出被淹没的序列号。

其中，对于中心节点预先发布的预设插入规则的消息，各接收子节点同样会先对该预设插入规则消息进行安全认证，以确保该预设插入规则不是由网络中的非法攻击者伪造的消息。具体地，中心节点可通过对该预设插入规则消息进行密钥加密，由于合法的接收子节点在建立网络时已存储有约定密钥，故各接收子节点可通过约定的密钥来进行解密从而实现该安全认证。

这是由于中心节点与各接收子节点在建立该网络时已有约定的密钥，当中心节点发布预设插入规则消息时，对于后来加入的非法节点因没有约定密钥而无法破解得到该预设插入规则，故也无法对传输数据帧中的序列号进行提取及消息篡改或伪造，进而可保证数据的安全传输。

步骤s400：对提取的所述序列号进行认证并在认证成功后保留所述传输数据帧。

各接收子节点在提取出被淹没的序列号后还需要进行认证。若所述认证成功，则保留该传输数据帧，且返回一个确认信号到中心节点；若认证失败，则丢弃该传输数据帧，且不作任何响应。进一步地，若中心节点未在预设时间内收到各接收子节点的确认信号，则将重新发送当前的数据帧。本实施例中，所述认证包括，将提取的序列号与由中心节点预先发送的分配序列号进行比对，若比对结果一致，则表示认证成功，否则表示认证失败，即表示该传输数据帧可能被非法篡改过，故将其丢弃，从而保证数据的安全性与准确性。

此外，对于上述的预设插入规则，即序列号淹没图案，考虑到伪节点可能能在足够长的时间内能将其进行破解，进而对传输数据帧进行截获与篡改。优选地，上述预设插入规则还可按照预设间隔时间进行定时的密文变更，即对预设插入规则采用不同的加密算法以生成不同的预设插入规则密文。其中，所述不同的预设插入规则密文所包含的有效信息是相同的，只是加密算法存在不同。

优选地，所述预设间隔时间可设为4～6小时，即可每间隔4～6小时对预设插入规则的加密算法进行一次变更，其中，所述加密算法可包括多套，而对应的多套密文解密规则会预先发送到各接收子节点，以便于各接收从该多套密文解密规则中获取一套来对当前接收到的预设插入规则密文进行解密从而得到该预设插入规则。通过不断的定期变更预设插入规则的加密算法可有效阻止伪节点对预设插入规则的破解及恶意入侵。

进一步可选地，中心节点还可对发送的预设插入规则消息进行嵌入水印处理，即对序列号淹没图案进行水印加密。其中，用于指示水印嵌入位置的水印信息将预先发送到各接收子节点。当各接收子节点接收到该序列号淹没图案后，可根据该水印信息提取出一水印并通过该水印对预设插入规则消息进行二次安全认证。具体地，若提取出的水印与嵌入的水印匹配，则说明该预设插入规则消息未被篡改；若提取不出水印或提取的水印与嵌入的水印不匹配，则说明该预设插入规则消息可能已被非法篡改过，相应地，并将立即告知中心节点立即停止发送预设插入规则并进行相应的安全处理。

优选地，对于不同时段内生成的不同预设插入规则密文，可嵌入不同的水印，以用于在不同的时段对预设插入规则消息进行二次安全认证。

可选地，中心节点处还可设有防拷贝看门狗，当出现相应警示时，则表示该中心节点也受到了恶意攻击，此时将立即停止预设插入规则生成进程。优选地，还可设置有一内置破坏模块，用于在中心节点遭受到恶意攻击时立即对上述预设插入规则的生成进程进行数据漂白，可以防止攻击节点在获取到预设插入规则生成进程数据后对各接收子节点进行进一步的侵入攻击。

其中，所述数据漂白是指将序列号淹没图案生成进程数据中的敏感数据或隐私数据进行删除等脱敏处理，从而使攻击节点不能获取到有用的序列号淹没图案生成数据。

进一步可选地，当中心节点分布消息到各接收子节点时，还可采用一次一密的加密方法，来进一步提高数据传输的安全性。具体地，中心节点提供有一个公开密钥池，每次分布消息时可随机抽取密钥进行加密，相应地，各接收子节点预先存储有约定的解密密钥。通过该解密密钥可实现对每次消息的安全认证。

本实施例提出的一种网络安全防御方法具有以下主要有益效果：

(1)通过将序列号按照预设插入规则插入到数据帧的数据字段中以实现序列号的淹没，可防止伪节点或非法入侵者对序列号的轻易截获，进而保证数据的安全性；

(2)各接收子节点在提取到序列号后还将进行序列号的认证，以确认所提取到的序列号未经篡改，进行确认接收到的当前传输数据帧为有效的数据；

(3)通过各接收子节点对中心节点发布的预设插入规则消息进行安全认证，可保证接收到的预设插入规则不是由伪节点伪造的数据；

(4)中心节点还根据预设间隔时间对预设插入规则进行定期的密文变更，可有效防止伪节点在足够时间内将该预设插入规则进行破解并获取该预设插入规则，可提高数据传输的安全性；

(5)通过在预设插入规则消息中嵌入水印进行双重的安全认证，可有效提高预设插入规则传输时的安全性与准确性；

(6)在中心节点处还可设置一内置破坏模块，用于一旦发现中心节点遭受到恶意破坏时立即进行数据漂白，以保证其他接收子节点的数据安全等等。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本发明的几个具体实施场景，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。