基于SDN的工业无线网络安全路由方法技术

本发明专利技术公开一种基于SDN的工业无线网络安全路由方法，该方法通过在工业生产环境布置SDN控制器，设计基于SDN的工业无线网络模型，控制器通过安全通道周期性收集节点的运行状态信息，通过合理的计算方法计算节点的综合信任值。通过节点的综合信任值来判断网络节点的行为是否可信。通过计算节点综合信任值检测内部攻击节点，从而解决传统网络安全技术无法解决内部攻击的安全问题。计算完节点的综合信任值后基于综合信任值设计基于绒泡菌觅食原理的生物启发算法作为网络安全路由算法，计算网络安全传输路径，找到一条高效可信的路径，安全传输信息，从而可以保证网络传输时避开恶意节点保证网络传输数据的高度可信。

【技术实现步骤摘要】
基于SDN的工业无线网络安全路由方法
本专利技术涉及网络安全
，尤其涉及一种基于SDN的工业无线网络安全路由方法。
技术介绍
随着无线技术的发展，以及工业生产规模越来越大并且工业设备的灵活性要求越来越高，所以工业无线网络越来越受各个领域的欢迎，并同时提出了工业无线网络标准，像ZigBee无线标准、WirelessHART无线标准、WIA-PA无线标准和ISA100.11a无线标准。无线HART标准首次提出了三种工业无线网络路由，分别是图路由、源路由以及超帧路由，基本满足了专业环境下无线网络的需求，但这三种路由技术并没有一种路由技术能够同时解决网络运行时网络内部恶意节点发动恶意攻击问题和工业无线网络高实时性的路由要求问题。由于网络的灵活性越来越重要，传统网络架构已经不能满足现今的业务变化需求。为了解决问题，软件定义网络(SDN)被应用到无线网络中。随着工业化与信息化的两化融合，工业无线网络中生产设备越来越多，网络规模越来越趋于大规模化，同时工业无线网络处于常规工业生产车间或一些高干扰高危险性地区容易被恶意攻击入侵，这些都为工业无线网络安全带来了巨大的挑战。内部恶意攻击模型包括DOS攻击、自私攻击、虫洞攻击、Sinkhole攻击、On-Off攻击、黑洞攻击以及智能行为攻击等，面对这些内部恶意攻击时传统的网络安全技术是不适合的，首先信息加密技术不适用于具有大量能源和计算能力有限节点的网络，其次，网络物理中间件以及传统网络协议安全技术可以抵御来自网络外部攻击，但无法检测网络内部恶意攻击。所以亟需一种方法来解决传统网络安全技术无法解决内部攻击的安全问题。同时在面对网络内部恶意攻击时设计一种网络安全路由方法，能够快速的解决传统解决方案无法解决的NP难问题，计算网络安全传输路径，找到一条高效可信的路径，安全传输信息。
技术实现思路
针对上述现有技术的不足，本专利技术提供一种基于SDN的工业无线网络安全路由方法。为解决上述技术问题，本专利技术所采取的技术方案是：一种基于SDN的工业无线网络安全路由方法，包括如下步骤：步骤1：SDN架构中底层网络设备周期性上传节点自身运行参数至SDN架构中的网络控制器中；步骤2：网络控制器中的安全认证模块对节点身份进行认证，对于身份认证成功的节点通过安全通道周期性上传节点运行状态参数；步骤3：根据周期性上传的节点运行状态参数来计算节点的综合信任值，并生成节点的综合信任值时间序列，过程如下：步骤3.1：网络控制器全局监测网络运行时的节点状态，根据周期性收集到的网络节点运行状态参数计算节点的近期信任值；所述节点的近期信任值的计算过程如下：步骤3.1.1：计算节点的近期信任值控制器收集节点发送率因子SFi、节点间通信频率因子CFi、节点转发率因子TFi、节点丢弃率因子DFi、节点剩余能量因子EFi；步骤3.1.2：控制器计算完近期信任值中五种计算因子后，采用加权平均方法计算节点的近期信任值或者调整节点的各个因子对应的权重数值，获得更合理的近期信任值。所述调整节点的各个因子对应的权重数值，获得更合理的近期信任值的过程如下：步骤3.1.2.1：各因子的权值采用模糊变权法来评估，就是在计算近期信任值时权重随各因子评估值改变的计算方法，其具体计算公式如下：其中：um1,...,um(i-1),0,um(i+1),...,umn分别代表计算因子的权重，i,j＝1,2,3,4,5；设近期信任值计算的五种计算因子为Ci(i＝1,2,3,4,5),Ci的权重为wi＝(u1,u2,u3,u4,u5),(i＝1,2,3,4,5)，其中u1,u2,u3,u4,u5分别为5个计算因子C1,C2,C3,C4,C5的评价值，当ui为最大值um时，因子Ci的评价值为最大值，说明因子Ci处于最佳情况；当ui为0时，因子Ci的评价值为最小值，说明因子Ci完全失去作用；当各因子评价值均为最高值，总体计算情况为最佳时，因子Ci的权重为wmi＝wi(um,um,um,um,um),(i＝1,2,3,4,5)，wmi∈(0,1)，当因子Ci完全失去作用，为了增大Ci的权重，设w0i作为因子Ci所占权重的上确界；步骤3.1.2.2：为了对于任意因子，能够更加快速方便地求出wi＝(u1,u2,u3,u4,u5),(i＝1,2,3,4,5)，构造一个计算函数，函数具体公式如下：其中：λi(ui)则是为了快速计算权值引入的辅助函数，设计辅助函数时需要考虑该辅助函数一定得满足λi(0)＝λ0i，λmi＝wmi；步骤3.1.2.3：当计算完各个因子的相应权值之后，节点vi在周期t时段内节点近期信任值CTVi(t)的计算公式可以定义为：CTVi(t)＝w1SFi(t)+w2CFi(t)+w3TFi(t)+w4DFi(t)+w5EFi(t)其中：wi∈(0,1),(i＝1,2,3,4,5)分别为因子的加权系数，并且步骤3.2：网络控制器存储节点各个周期性时间的历史综合信任值并记录到数据库中，计算网络中节点vi在周期t时段内的节点历史信任值；所述节点历史信任值计算过程如下：其中：TVi(t-j)为节点vi历史综合信任值，(t-j)为控制器中历史信任记录序列，γ为衰退值，反映出信任记录中的历史信任值随着时间的增长对当前节点历史信任值的计算所起到的作用在不断减小，η为权重，其值与信任记录中的历史信任值成反比，防止历史恶意行为随着时间被淹没。步骤3.3：根据节点的近期信任值和历史信任值计算节点的当前的综合任值，并生成节点的综合信任值时间序列。步骤4：设计相似度计算基准序列O，该序列作为网络中节点综合信任值时间序列的参考序列；采集节点vi的综合信任值时间序列，在连续的m个周期中综合信任值时间序列为Ai＝{TVi(t1),TVi(t2),......,TVi(tm)},i＝1,2,3......n；若使网络中节点Ai的综合信任值TVi(tm)小于恶意节点判断阈值则可以认定该网络节点Ai是恶意节点；对节点综合信任值皆大于阈值但存在某一时刻节点信任值接近于阈值的节点转至执行步骤5；所述基准序列O的长度要与节点收集的综合信任值时间序列的长度相同，且基准序列是一个等值序列，所有值都为恶意节点判断阈值步骤5：采用欧式距离计算方法计算节点的综合信任值时间序列与基准序列的相似度，并对网络中节点计算的相似度结果构成相似度数据集M；步骤6：使用K-means算法对相似度数据集M进行聚类，分析聚类结构识别出恶意节点和亚攻击节点，过程如下：步骤6.1：随机选出3个节点作为3个簇的初始中心，然后将剩余节点指定到离簇中心节点相似度最近的对应簇中；步骤6.2：再随机的选取一个非中心点的节点作为备选，然后计算当使用这个备选节点作为簇中心点之后与步骤6.1相比是否会得到更佳的聚类结果；步骤6.3：如果可以得到更佳的聚类结果则保存替换，得到新的分类簇，反之恢复原中心点；...

【技术保护点】
1.一种基于SDN的工业无线网络安全路由方法，其特征在于，包括如下步骤：/n步骤1：SDN架构中底层网络设备周期性上传节点自身运行参数至SDN架构中的网络控制器中；/n步骤2：网络控制器中的安全认证模块对节点身份进行认证，对于身份认证成功的节点通过安全通道周期性上传节点运行状态参数；/n步骤3：根据周期性上传的节点运行状态参数来计算节点的综合信任值，并生成节点的综合信任值时间序列；/n步骤4：设计相似度计算基准序列O，该序列作为网络中节点综合信任值时间序列的参考序列；采集节点v

【技术特征摘要】
1.一种基于SDN的工业无线网络安全路由方法，其特征在于，包括如下步骤：
步骤1：SDN架构中底层网络设备周期性上传节点自身运行参数至SDN架构中的网络控制器中；
步骤2：网络控制器中的安全认证模块对节点身份进行认证，对于身份认证成功的节点通过安全通道周期性上传节点运行状态参数；
步骤3：根据周期性上传的节点运行状态参数来计算节点的综合信任值，并生成节点的综合信任值时间序列；
步骤4：设计相似度计算基准序列O，该序列作为网络中节点综合信任值时间序列的参考序列；采集节点vi的综合信任值时间序列，在连续的m个周期中综合信任值时间序列为Ai＝{TVi(t1),TVi(t2),......,TVi(tm)},i＝1,2,3......n；若使网络中节点Ai的综合信任值TVi(tm)小于恶意节点判断阈值则可以认定该网络节点Ai是恶意节点；对节点综合信任值皆大于阈值但存在某一时刻节点信任值接近于阈值的节点转至执行步骤5；
步骤5：采用欧式距离计算方法计算节点的综合信任值时间序列与基准序列的相似度，并对网络中节点计算的相似度结果构成相似度数据集M；
步骤6：使用K-means算法对相似度数据集M进行聚类，分析聚类结构识别出恶意节点和亚攻击节点；
步骤7：根据网络拓扑G＝(V,E)初始化网络节点的邻居节点集SN以及邻居链路集SLi；其中，有向图G＝(V,E)中使用V表示网络中节点的集合，而E则是用来代表网络中无线链路的集合；网络由控制器、正常节点、接入点、恶意节点包括亚攻击节点组成；
步骤8：初始化网络中无线链路质量Dij和无线链路损耗指数e；
步骤9：控制器执行步骤1至步骤6识别出网络拓扑中的恶意节点和亚攻击节点，控制器在计算网络路由时会将这些恶意节点和亚攻击节点排除，保证网络传输数据的高度可信，控制器再结合节点的综合信任值计算选择路径，并设置参数集合用来存储最优的路由路径节点集；
步骤10：重复步骤9直到对所有节点完成最优路由计算，直到从源节点到目的节点之间有链路通信；
步骤11:控制器对记录最优路径的集合转发到各个网络节点；
步骤12：网络根据接受到的最优路径集合来转发数据。


2.根据权利要求1所述的基于SDN的工业无线网络安全路由方法，其特征在于：所述步骤3的过程如下：
步骤3.1：网络控制器全局监测网络运行时的节点状态，根据周期性收集到的网络节点运行状态参数计算节点的近期信任值；
步骤3.2：网络控制器存储节点各个周期性时间的历史综合信任值并记录到数据库中，计算网络中节点vi在周期t时段内的节点历史信任值；
步骤3.3：根据节点的近期信任值和历史信任值计算节点的当前的综合任值，并生成节点的综合信任值时间序列。


3.根据权利要求2所述的基于SDN的工业无线网络安全路由方法，其特征在于：所述节点的近期信任值的计算过程如下：
步骤3.1.1：计算节点的近期信任值控制器收集节点发送率因子SFi、节点间通信频率因子CFi、节点转发率因子TFi、节点丢弃率因子DFi、节点剩余能量因子EFi；
步骤3.1.2：控制器计算完近期信任值中五种计算因子后，采用加权平均方法计算节点的近期信任值或者调整节点的各个因子对应的权重数值，获得更合理的近期信任值。


4.根据权利要求3所述的基于SDN的工业无线网络安全路由方法，其特征在于：所述调整节点的各个因子对应的权重数值，获得更合理的近期信任值的过程如下：
步骤3.1.2.1：各因子的权值采用模糊变权法来评估，就是在计算近期信任值时权重随各因子评估值改变的计算方法，其具体计算公式如下：



其中：um1,...,um(i-1),0,um(i+1),...,umn分别代表计算因子的权重，i,j＝1,2,3,4,5；
设近期信任值计算的五种计算因子为Ci(i＝1,2,3,4,5),Ci的权重为wi＝(u1,u2,u3,u4,u5),(i＝1,2,3,4,5)，其中u1,u2,u3,u4,u5分别为5个计算因子C1,C2,C3,C4,C5的评价值，当ui为最大值um时，因子Ci的评价值为最大值，说明因子Ci处于最佳情况；当ui为0时，因子Ci的评价值为最小值，说明因子Ci完全失去作用；当各因子评价值均为最高值，总体计算情况为最佳时，因子Ci的权重为wmi＝wi(um,um,um,um,um),(i＝1,2,3,4,5)，wmi∈(0,1)，当因子Ci完全失去作用，为了增大Ci的权重，设w0i作为因子Ci所占权重的上确界；
步骤3.1.2.2：为了对于...

【专利技术属性】
技术研发人员：李婕，杨志萍，王兴伟，刘宪杰，
申请(专利权)人：东北大学，
类型：发明
国别省市：辽宁;21