網(wǎng)絡中的惡意攻擊的避免的制作方法
【專利摘要】為了在保持網(wǎng)絡運行簡單高效并考慮單個網(wǎng)絡節(jié)點的有限能力的同時改進抵御拒絕服務攻擊以及其他惡意攻擊的網(wǎng)絡保護��,提供了用于運行具有多個節(jié)點的網(wǎng)絡的控制單元�����、系統(tǒng)和方法�����,其中�,基于當前網(wǎng)絡階段對至少一個節(jié)點的至少一個運行參數(shù)進行調節(jié),并基于運行參數(shù)對由節(jié)點(10)接收到的數(shù)據(jù)包進行處理���。
【專利說明】網(wǎng)絡中的惡意攻擊的避免
【技術領域】
[0001]本發(fā)明涉及一種用于控制網(wǎng)絡的控制單元�、系統(tǒng)和方法。
【背景技術】
[0002]近來��,無線網(wǎng)狀網(wǎng)絡吸引了越來越多的關注����,例如,用于照明系統(tǒng)的遠程控制����、樓宇自動化、監(jiān)視應用��、傳感器系統(tǒng)和醫(yī)療應用�。特別地,室外燈具的遠程管理——所謂的電傳管理一變得越來越重要�。一方面,這受到對環(huán)境的關注的驅動�,因為電傳管理系統(tǒng)使得使用不同的調光模式成為可能,例如���,作為時間�、天氣條件或季節(jié)的函數(shù)�����,這允許更具能量效率的對室外照明系統(tǒng)的使用。另一方面�,這也受到經濟原因的驅動,因為提高的能源效率也降低了運營成本����。此外���,系統(tǒng)可遠程監(jiān)視用電量并檢測燈泡故障�����,這允許確定修理燈具或更換燈泡的最佳時機���。
[0003]當前基于射頻(RF)的無線解決方案使用星形網(wǎng)絡拓撲或網(wǎng)狀網(wǎng)絡拓撲。在星形網(wǎng)絡中���,中央控制器具有到網(wǎng)絡中的每個節(jié)點的直接無線通信路徑��。然而���,這典型地需要將高功率/高靈敏度的類似于基站的中央控制器放置在高處(例如�,在建筑物頂部)�,使得該解決方案部署起來繁瑣且昂貴。在網(wǎng)狀網(wǎng)絡中���,所述多個節(jié)點一般不直接與中央控制器通信���,而是通過所謂的多跳通信。在多跳通信中�,數(shù)據(jù)包從發(fā)送方節(jié)點經由一個或多于一個中間節(jié)點傳送到目的節(jié)點。節(jié)點作為路由器運行��,以便將數(shù)據(jù)包從相鄰節(jié)點傳送到太遠以至于不能在一次跳躍中到達的節(jié)點��,使得網(wǎng)絡能夠跨越更大的距離�����。通過以一系列較短的跳躍打破長距離�,信號強度得以持續(xù)。因此����,路由通過網(wǎng)狀網(wǎng)絡的所有節(jié)點執(zhí)行,確定數(shù)據(jù)包將被發(fā)送到哪個相鄰節(jié)點����。因此����,網(wǎng)狀網(wǎng)絡是魯棒性非常強的�、穩(wěn)定的網(wǎng)絡,其具有高連通性����,因此具有聞幾余性和聞可罪性。
[0004]在圖1中示出了具有網(wǎng)狀拓撲的典型的無線網(wǎng)絡����。無線網(wǎng)絡包括中央控制器60以及以網(wǎng)狀拓撲通過無線通信路徑40在相互之間連接的多個節(jié)點10(N)����。可以用RF傳輸構成在節(jié)點10之間的無線通信路徑40����。對于這一點,節(jié)點10和中央控制器60可包括收發(fā)器�,其用于通過無線通信路徑40——例如通過RF傳輸——發(fā)送或接收數(shù)據(jù)包。服務中心80位于后端并用于系統(tǒng)管理����。此實體一般在第三方通信信道上與一個或多于一個無線網(wǎng)絡通信���,第三方通信信道例如為互聯(lián)網(wǎng)或移動通信網(wǎng)絡或其它有線或無線數(shù)據(jù)傳輸系統(tǒng)。特別地��,服務中心80與對應網(wǎng)絡的中央控制器60通信�,中央控制器60作為負責控制或配置該網(wǎng)絡的調試工具。在照明系統(tǒng)或任何其他大型無線網(wǎng)絡的情況下�����,網(wǎng)絡也可被分割為多個片段��,使節(jié)點10屬于具有一個片段控制器60的確切的一個段�。因此,貫穿整個說明書�����,術語“分段控制器”和“中央控制器”應被視為可互換�。
[0005]在網(wǎng)狀網(wǎng)絡中,任何一對節(jié)點10可借助路由協(xié)議在幾次跳躍上相互通信�。出于安全方面的原因,網(wǎng)絡中的所有節(jié)點10可共享共同的認證用密鑰K,其用于逐次跳躍地驗證數(shù)據(jù)包來源于網(wǎng)絡節(jié)點10還是干擾節(jié)點�。因此,如果發(fā)送方節(jié)點10經由中間節(jié)點10將消息發(fā)送到目的節(jié)點10���,發(fā)送方節(jié)點10可在MAC (介質訪問控制)層保護消息�。在這里��,保護是指借助例如AES-CCM (CCM模式中的高級加密標準)的標準塊密碼模式提供基礎安全服務�,例如認證、完整性����、新鮮度或甚至是保密性。為此目的�����,例如�����,發(fā)送方節(jié)點10可取得消息并將之附加到用AES-CCM生成的MIC (消息完整性代碼)�����、共用密鑰K以及關聯(lián)到發(fā)送方節(jié)點并用來確保消息新鮮度的計數(shù)器C中的至少一個�����。在接收該消息后�����,中間節(jié)點10將進行到使用密鑰K對消息進行解碼�����,使用MIC驗證消息的完整性以及基于計數(shù)器C驗證消息新鮮度��。如果所有驗證是成功的�����,中間節(jié)點10將如發(fā)送方節(jié)點10所做的那樣再次保護消息�,并將其轉發(fā)到目的節(jié)點10。
[0006]如果網(wǎng)狀網(wǎng)絡中的每個節(jié)點10使用密鑰K對被轉發(fā)消息的真實性進行驗證并基于計數(shù)器C對被轉發(fā)消息的新鮮度進行驗證���,可以提供基本的網(wǎng)絡保護�����。然而�����,這并不包括兩個重要情況��,其中�����,網(wǎng)絡非常脆弱���,并可通過拒絕服務攻擊(DoS攻擊)完全打破��。第一個問題與網(wǎng)絡調試階段有關����,其中�,網(wǎng)絡的并非全部節(jié)點10已經成功調試。因此�,并非全部節(jié)點10具有用來實現(xiàn)逐次跳躍安全性的密鑰K�����。然而,在調試過程中�����,多個消息必須與片段控制器60或甚至是與服務中心80交換�,從而產生安全問題。因此�����,攻擊者可發(fā)送使得網(wǎng)絡超載的假調試消息�。舉例而言,可以假設節(jié)點A和B已經加入網(wǎng)絡并因此知道共用密鑰K����,而節(jié)點C和D仍然必須加入網(wǎng)絡且還沒有被還沒有成功調試(不知道K)。在節(jié)點A或節(jié)點B必須從節(jié)點C或D轉發(fā)調試消息的情況下�����,節(jié)點A和B不能檢查這些調試信息是否是真實且新鮮的�,因為節(jié)點C和D沒有使用密鑰K。因此����,在這種情況下��,攻擊者可發(fā)送大量調試消息以打破網(wǎng)絡并導致拒絕服務�����。應當指出的是���,這一問題并不只出現(xiàn)在網(wǎng)絡設置的最開始時,而是也出現(xiàn)在例如當向網(wǎng)絡增加新的節(jié)點10時���。因此�����,處于不同運行狀態(tài)或階段的節(jié)點10代表對于網(wǎng)絡的嚴重的安全問題����。
[0007]第二個安全問題是由于對于單個節(jié)點10的有限的區(qū)域認識而產生�����。一般情況下�,由于節(jié)點10的嚴格的內存限制,節(jié)點10不能對于網(wǎng)絡的所有其他節(jié)點10存儲所有的計數(shù)器C或類似物�����。因此���,例如���,攻擊者可在網(wǎng)絡一側的通信鏈路上進行竊聽,并在網(wǎng)絡的其他部分重放這些消息����。這被稱為“蟲洞攻擊”并在圖2中示出。在圖2中�����,節(jié)點A竊聽網(wǎng)絡部分I上的通信�����,并把它通過蟲洞鏈路(箭頭所示)發(fā)送到網(wǎng)絡部分2中的節(jié)點B�,以便在在網(wǎng)絡部分2重放消息,或者反之亦然��。這種攻擊的效果之一是�,網(wǎng)絡部分I中的所有節(jié)點10假設網(wǎng)絡部分2中的節(jié)點10是相鄰節(jié)點��,反之亦然��。結果�,這會影響網(wǎng)絡中的路由以及其他基于連接的協(xié)議�。此外,如果建立新的“路由”且網(wǎng)絡中的數(shù)據(jù)流量開始使用穿越蟲洞鏈路的捷徑����,蟲洞節(jié)點A和B可開始丟棄數(shù)據(jù)包并導致網(wǎng)絡中斷。此外���,雖然與網(wǎng)絡部分I的節(jié)點10對應的計數(shù)器C不為網(wǎng)絡部分2的節(jié)點10所知��,網(wǎng)絡部分2的節(jié)點10將只是轉發(fā)所有重放的消息����,因為消息完整性代碼MIC能夠得到驗證��。因此�����,攻擊可導致通過網(wǎng)絡部分I中生成的消息阻斷來自網(wǎng)絡部分2的所有消息。
[0008]WO 2009 /031112 A2涉及用于為無線網(wǎng)絡建立分布式安全體系結構的節(jié)點和方法����。
【發(fā)明內容】
[0009]鑒于現(xiàn)有技術中的上述缺點和問題,本發(fā)明的目的在于提供一種控制單元�����、系統(tǒng)和方法�����,其用于運行具有多個節(jié)點的無線網(wǎng)絡���,其中,網(wǎng)絡的抵御拒絕服務攻擊或其他惡意攻擊的保護得到了改進����,同時,保持網(wǎng)絡的運行簡單而高效����,并考慮到單個網(wǎng)絡節(jié)點的有限的能力。[0010]本發(fā)明基于這樣的想法:考慮多種網(wǎng)絡階段之間的差異���,以定義階段感知系統(tǒng)��。例如�,可容易地區(qū)分調試、學習和運行階段的特征����,特別是關于惡意攻擊的脆弱性。因此���,調試階段大體上安全性較低�,因為在加入網(wǎng)絡時���,鄰居節(jié)點���、網(wǎng)絡參數(shù)和安全密鑰一般來說對于節(jié)點可能是未知的。因此�,建議節(jié)點可以以階段感知方式運行,并根據(jù)當前的網(wǎng)絡階段來處理節(jié)點參數(shù)���、鄰域參數(shù)或其他網(wǎng)絡參數(shù)中的至少一個�。這可特別涉及根據(jù)當前網(wǎng)絡階段對進入的消息�����、到新的或未知的節(jié)點的連接、對更新路由表的請求等等進行處理����。通過這些手段,安全漏洞一其對于特定的網(wǎng)絡階段是必要的或不可避免的一可在時間上限制到相應的階段���,因此將網(wǎng)絡脆弱度減到最小。
[0011]根據(jù)本發(fā)明的一個方面����,提供了用于無線網(wǎng)絡中的節(jié)點的控制單元,其能夠基于當前網(wǎng)絡階段調節(jié)節(jié)點的至少一個運行參數(shù)����,并基于調節(jié)后的運行參數(shù)對接收到的數(shù)據(jù)包進行處理。為此���,控制單元可包括:階段適應模塊����,用于設置對應于當前網(wǎng)絡階段的節(jié)點運行參數(shù)����;以及�����,階段感知模塊����,用于相應地運行節(jié)點��。因此����,節(jié)點的行為可為不同的網(wǎng)絡階段量身定制。例如���,網(wǎng)絡階段可涉及:調試階段�����,在此期間����,節(jié)點加入網(wǎng)絡并被調試為網(wǎng)絡的成員��;學習階段,在此期間����,節(jié)點就其鄰居進行學習;或者�,工作或運行階段,其中���,節(jié)點在網(wǎng)絡中運行�����。然而,一般而言�,可定義任何數(shù)量N的網(wǎng)絡階段。通過將單個節(jié)點的行為或運行適應于當前的網(wǎng)絡階段�,不必要的安全漏洞可關閉并根據(jù)各個階段的要求減到最小。
[0012]當前網(wǎng)絡階段可通過預定義的階段特性確定����,預定義的階段特性例如為消息的數(shù)量、速率或頻率(例如��,對于具有特定消息類型�、特定發(fā)送者的消息進行區(qū)分)或任何對于特定網(wǎng)絡階段特有的其他特性�。優(yōu)選地�����,階段特性可基于在此階段期間共有的網(wǎng)絡行為確定��。當前網(wǎng)絡階段可由節(jié)點本身本地確定和/或由中央/片段控制器或服務中心集中確定���。在一個實例中���,節(jié)點可適用于基于數(shù)據(jù)流量確定當前網(wǎng)絡階段,例如通過連續(xù)地或以特定的時間間隔監(jiān)測網(wǎng)絡流量�。在集中地確定網(wǎng)絡階段的情況下,中央/片段控制器和/或服務中心可使用安全廣播或單播或是任何其他類型的傳輸向節(jié)點提供對應的信息���。中央/片段控制器和/或服務中心可能還連同關于當前網(wǎng)絡階段的信息地提供進一步的信息����,例如�,用于指示一個或多于一個運行參數(shù)的對應值和/或用于設置對于此網(wǎng)絡階段的一時間段,在該時間段后�����,網(wǎng)絡自動返回到以前的網(wǎng)絡階段或另一個預定義的網(wǎng)絡階段。因此�����,運行參數(shù)的值也可對于此網(wǎng)絡階段被集中設置����。然而,對于至少一個網(wǎng)絡階段�����,預定義至少一個運行參數(shù)或一組運行參數(shù)也是可行的�����,即�����,這些運行參數(shù)可被本地定義并存儲在單個節(jié)點上���。在這種情況下,這些運行參數(shù)對于中央/片段控制器或服務中心仍然是可調節(jié)的���。
[0013]作為選擇和/或作為附加的是�����,中央/片段控制器和/或服務中心可宣布特定的網(wǎng)絡階段���,即獨立于當前的網(wǎng)絡情況的任何判斷過程����。通過這些手段����,可以將網(wǎng)絡從運行階段再次轉移到例如調試階段的較早階段,例如�,以允許新的節(jié)點加入網(wǎng)絡。因此����,節(jié)點的階段適應模塊或控制單元可適用于通過相應地調節(jié)(多個)運行參數(shù)來將節(jié)點切換到任何一種網(wǎng)絡階段。
[0014]優(yōu)選地����,至少一個網(wǎng)絡階段被限制到時間間隔或運行區(qū)域。時間間隔可以是由例如中央/片段控制器或服務中心預定義的或可調節(jié)的�����。運行區(qū)域可代表整個網(wǎng)絡或其部分。這可允許提高安全性����,因為脆弱的階段一例如學習或調試階段一可自動被停止,且網(wǎng)絡可返回到更安全的網(wǎng)絡階段��。在一個實施例中�����,網(wǎng)絡或節(jié)點可切換到任何中間網(wǎng)絡階段��,其是在時間或區(qū)域上受限的���。因此���,在時間已經過去后,網(wǎng)絡或節(jié)點自動停止這種中間網(wǎng)絡階段����。于是�����,它們可返回到另一個預定義的網(wǎng)絡階段或是中間網(wǎng)絡階段從其開始的先前網(wǎng)絡階段。
[0015]優(yōu)選地�����,節(jié)點的運行參數(shù)包括最大或最小消息數(shù)���、最大或最小消息頻率或速率�����、面積閾值或是最大時間閾值中的至少一個�。消息可通過其類型����、通過其發(fā)送方節(jié)點、通過其目的地或通過任何其它特征被識別�。例如,在調試階段�,可允許或甚至是需要大量的調試信息,而在網(wǎng)絡的運行階段期間�����,可能不允許處理任何調試消息。類似地����,可僅僅允許來自特定發(fā)送者和/或到特定目的地的特定數(shù)量的消息。這是為了避免在拒絕服務攻擊中倍增和重放偷聽到的消息���。作為選擇或作為附加地�����,運行參數(shù)可包括以下中的至少一個:路由更新指標��,其指示是否允許路由表的更新�;設置更新指標�,其指示是否是允許節(jié)點設置的更新;調試指標���,其指示是否允許調試信息�����;以及�����,陌生人接受指標�����,其指示是否允許來自未知節(jié)點的消息�����。例如���,在調試過程中,節(jié)點不知道它的鄰居節(jié)點����,而在運行階段期間,節(jié)點可將網(wǎng)絡考慮為是固定的��。因此���,在運行階段期間��,節(jié)點的所述至少一個運行參數(shù)可被設置為使得不允許該節(jié)點(完全)更新其路由表和/或接收或轉發(fā)來自陌生節(jié)點的消息����。正如上面所提到的,運行參數(shù)可對于一個或多于一個網(wǎng)絡階段本地定義�,使得階段適應模塊根據(jù)當前網(wǎng)絡階段來查找相應的運行參數(shù)值。
[0016]在本發(fā)明優(yōu)選實施例中�,節(jié)點的階段感知模塊或控制單元適用于分析接收到的數(shù)據(jù)包,以確定網(wǎng)絡行為和/或數(shù)據(jù)流量對于當前網(wǎng)絡階段是否是正常��。例如����,網(wǎng)絡行為可基于數(shù)據(jù)流量來確定。然而���,網(wǎng)絡行為也可依賴于其它參數(shù)���,如一天中的時刻、電力供給狀態(tài)等���。因此�,可將這些參數(shù)考慮在內��,以觀察網(wǎng)絡行為���。于是����,可將所觀察到的網(wǎng)絡行為與預定義的階段特性進行比較。為此����,可關于數(shù)據(jù)包的類型����、其發(fā)送者、其目的地或最后轉發(fā)節(jié)點對該數(shù)據(jù)包進行分析��。作為選擇或作為附加地����,可確定所接收和/或轉發(fā)數(shù)據(jù)包的頻率或數(shù)量。正如前面提到的�����,在特定網(wǎng)絡階段期間�,僅可轉發(fā)特定量的數(shù)據(jù)包,例如具有特定類型的數(shù)據(jù)包�。另一個實例是節(jié)點對于發(fā)送方或目的地未知的數(shù)據(jù)包的處理行為���。
[0017]優(yōu)選地,如果判斷為網(wǎng)絡行為不正常�,例如,如果網(wǎng)絡行為偏離對應網(wǎng)絡階段的一個或多于一個預定義的階段特性�����,控制單元或階段感知模塊可確定攻擊狀態(tài)���。在這樣的攻擊狀態(tài)下����,可相應地對節(jié)點行為進行適應�。例如,節(jié)點的控制單元可應用反制措施以阻止攻擊�,例如,要轉發(fā)的消息可被丟棄�,數(shù)據(jù)包的處理可被拒絕,和/或可識別有罪裝置并將之標記為不可信����。因此,當在攻擊狀態(tài)下所接收數(shù)據(jù)包的轉發(fā)被拒絕時�����,可避免網(wǎng)絡陷入虛假消息的洪流,并因此避免阻塞網(wǎng)絡的通信鏈路�����。作為選擇和/或作為附加地�,控制單元可適用于觸發(fā)攻擊警報。這可涉及向相鄰節(jié)點或中央/片段控制器或服務中心傳送����、大量傳送(flood)或廣播警報信息����。通過這些手段,可向周圍的節(jié)點和/或負責的控制器通知可能的攻擊并將其設置在攻擊狀態(tài)��,使它們可以相應地做出反應�。因此,中央/片段控制器或服務中心可采取適當?shù)姆粗拼胧?�。如果控制單元基于?jié)點的調節(jié)后的運行參數(shù)拒絕處理接收到的數(shù)據(jù)包�,代替觀察到的網(wǎng)絡行為偏離預定義的階段特性,也可確定攻擊狀態(tài)和/或觸發(fā)攻擊警報���。通過這些手段���,可避免拒絕服務攻擊�。
[0018]在另一實施例中��,處理接收到的數(shù)據(jù)包包括以下中的至少一個:向其目的地轉發(fā)數(shù)據(jù)包����,作為其目的地接受數(shù)據(jù)包以及基于數(shù)據(jù)包中包含的信息更新節(jié)點設置或路由信肩、ο
[0019]在優(yōu)選實施例中�����,節(jié)點是照明系統(tǒng)的燈具節(jié)點����,照明系統(tǒng)例如為街道照明系統(tǒng)、公共區(qū)域的照明系統(tǒng)或任何其他大型照明系統(tǒng)�����。
[0020]根據(jù)本發(fā)明另一方面����,提供了用于無線網(wǎng)絡的系統(tǒng)��,其包括:多個節(jié)點���,至少一些節(jié)點包括根據(jù)前面的實施例中的一個的控制單元;中央控制器或片段控制器����,其中,所述多個節(jié)點和中央控制器包括用于無線通信的部件�����。優(yōu)選地����,無線網(wǎng)絡是射頻網(wǎng)絡����,例如用于照明系統(tǒng)的遠程控制或電傳管理的網(wǎng)絡。中央控制器可適用于通過監(jiān)視一個或多于一個節(jié)點的狀態(tài)來確定當前的網(wǎng)絡階段����。例如,中央控制器可確定一個或多于一個節(jié)點是否已成功地調試�,或預定義百分比的節(jié)點是否已成功調試��。通過節(jié)點的平均或均值狀態(tài)來確定多個節(jié)點的狀態(tài)�����。此外�,中央控制器可適用于向節(jié)點通知所確定的當前網(wǎng)絡階段���。這可以通過在網(wǎng)絡中廣播�、單播��、多播或大量傳送對應的消息來實現(xiàn)��。作為選擇或作為附加地�,中央控制器也可根據(jù)當前網(wǎng)絡階段向網(wǎng)絡節(jié)點通知一個或多于一個運行參數(shù)的一個或多于一個的值。
[0021]根據(jù)本發(fā)明的再一方面�,提供一種用于運行具有多個節(jié)點的無線網(wǎng)絡的方法,其包括以下步驟:基于當前網(wǎng)絡階段����,調節(jié)節(jié)點的至少一個運行參數(shù),以及�,基于調節(jié)后的運行參數(shù),處理節(jié)點接收的數(shù)據(jù)包。因此�,根據(jù)本發(fā)明的方法可適用于由根據(jù)本發(fā)明上述實施例之一的控制單元或系統(tǒng)執(zhí)行。
[0022]參照下面介紹的實施例�����,將會明了本發(fā)明的這些以及其它方面���。對于通過附圖示出的示例性實施例��,將對本發(fā)明更詳細地進行介紹���。然而,本發(fā)明不限于這些示例性實施例����。
【專利附圖】
【附圖說明】
[0023]在附圖中:
圖1示出了無線網(wǎng)狀網(wǎng)絡的實例;
圖2示出了所謂的蟲洞攻擊�;
圖3示出了根據(jù)本發(fā)明實施例的控制單元���;
圖4示出了用于確定根據(jù)本發(fā)明實施例的網(wǎng)絡階段的實例�����;
圖5示出了一流程圖��,其用于示出根據(jù)本發(fā)明實施例的節(jié)點的階段感知行為�;
圖6示出了對于根據(jù)本發(fā)明實施例的監(jiān)視網(wǎng)絡行為的過程的流程圖。
【具體實施方式】
[0024]本發(fā)明的優(yōu)選應用為用于例如醫(yī)療保健�、能源管理或照明系統(tǒng)等不同應用的致動器網(wǎng)絡或傳感器網(wǎng)絡,照明系統(tǒng)例如為戶外照明系統(tǒng)(例如�,用于街道、停車場和公共區(qū)域)以及用于一般區(qū)域照明的室內照明系統(tǒng)(例如用于商場����、舞臺、停車場����、車站、隧道等)��。在下文中��,將用于街道照明的戶外照明系統(tǒng)的例子進一步對本發(fā)明進行闡釋����,但是,其并不限于這種應用�。在照明控制領域中,通過射頻網(wǎng)絡技術的戶外燈具電傳管理正在受到越來越多的關注,尤其是適用于具有超過200個燈具節(jié)點的片段的大型設施的解決方案��。由于射頻(RF)傳輸不要求高的傳輸功率且易于實施和部署���,用于設置和運行網(wǎng)絡的成本可得到減小����。然而��,數(shù)據(jù)包的傳輸可作為選擇地使用紅外通信�、自由空間可見光通信或電力線通信。
[0025]在照明控制用電傳管理系統(tǒng)中���,燈具節(jié)點10的數(shù)量是非常高的��。因此��,網(wǎng)絡尺寸非常大�����,尤其是在與典型地含有小于200個節(jié)點的普通無線網(wǎng)狀網(wǎng)絡相比時�����。此外����,由于對成本的考慮�����,節(jié)點10典型地具有有限的處理能力�����,使得燈具節(jié)點10中的處理和存儲器資源將受到限制����。因此,單節(jié)點10之間傳輸數(shù)據(jù)包的通信協(xié)議以及安全措施應當考慮有限的資源�����,以取得高效且安全的數(shù)據(jù)包傳輸���。最后���,相比于其他所謂的自組織網(wǎng)狀網(wǎng)絡���,用于室外照明控制網(wǎng)絡的電傳管理系統(tǒng)是固定的,即燈具節(jié)點10不移動���。由于燈具節(jié)點10(例如路燈柱)是固定的���,節(jié)點位置不會隨著時間而改變。因此��,節(jié)點10的物理位置��,例如GPS坐標或其他位置數(shù)據(jù)��,可能在系統(tǒng)中是已知的�����,使得使用預編程或預定義位置的基于地理或基于位置的路由成為可能����,以使得單個節(jié)點10不需要GPS接收器。此外�,節(jié)點10不需要向其他節(jié)點10發(fā)送位置信息更新。
[0026]在圖3中��,示出了根據(jù)本發(fā)明的控制單元100的示例性實施例。此控制單元可被配置為可插入已經存在的燈具節(jié)點10以對之進行升級�����,也許作為更新軟件或類似物��?���?刂茊卧?00包括階段適應模塊110和階段感知模塊120�����,用于將節(jié)點10的運行行為適應到當前的網(wǎng)絡階段���。當然���,階段適應模塊110和階段感知模塊120也可被實現(xiàn)為組合模塊。此夕卜����,控制單元100可進一步包括存儲器130,用于存儲運行參數(shù)���、路由表�,網(wǎng)絡階段和節(jié)點的其他設置。此外���,可包括發(fā)送單元�,以用于無線通信����,例如基于射頻通信(GPRS)等。
[0027]根據(jù)一個實施例��,階段適應模塊110根據(jù)當前的網(wǎng)絡階段調節(jié)節(jié)點10的運行參數(shù)��。例如��,當判斷為網(wǎng)絡階段已經變化時��,控制單元100的階段適應模塊110相應地調節(jié)所述一個或多于一個的運行參數(shù)�����?���?蔀椴煌木W(wǎng)絡階段預定義運行參數(shù)的值����,并將之本地地存儲在節(jié)點10處�。作為選擇的是,運行參數(shù)可由服務中心80或片段控制器60傳輸給節(jié)點
10���。當接收到數(shù)據(jù)包時,控制單元100的階段感知模塊120根據(jù)運行參數(shù)的設置來處理所接收到的數(shù)據(jù)包��。因此��,網(wǎng)絡的節(jié)點10知道當前的網(wǎng)絡階段及其相關聯(lián)的運行參數(shù)�����。
[0028]例如���,運行參數(shù)可涉及轉發(fā)���、接受或處理數(shù)據(jù)包,更新路由表或接受配置或調試消息����。例如��,在網(wǎng)絡的調試階段期間��,節(jié)點10的與接受調試消息(調試指標)有關的運行參數(shù)將被設置為使得節(jié)點10接受調試信息并對之進行適當?shù)奶幚?���。相反���,在學習階段或運行階段中�����,不能接受調試消息���。類似地,在調試階段或學習階段而不是運行階段中�,可由運行參數(shù)一例如陌生人接受指標一來判斷從未知的發(fā)送者節(jié)點或從未知的中間節(jié)點接收的消息是可容許的。作為進一步的運行參數(shù)����,可定義每單位時間的消息數(shù)量,其可以對于特定的消息類型設置���。例如�,在調試階段期間,允許任何節(jié)點10轉發(fā)每單位時間預定數(shù)量nl的調試消息���,但是���,在運行階段期間,只允許節(jié)點10轉發(fā)每單位時間至多n2個調試消息����,例如,nl>n2��。為了實現(xiàn)這一點����,階段感知模塊120可適用于在過去的單位時間At中保持跟蹤轉發(fā)的調試消息的個數(shù)η����。當此數(shù)量η超過給定的閾值(例如,η>η_時),節(jié)點10丟棄所有這些調試信息�����,以避免虛假調試消息產生網(wǎng)絡洪流,給定的閾值可對于每個網(wǎng)絡階段不同地設置��,例如nl用于調試階段��,n2用于運行階段����。以同樣的方式,消息的數(shù)量可必須在特定的范圍內�����。顯然����,代替每單位時間數(shù)量,頻率可被定義為運行參數(shù)�����。運行參數(shù)的另一實例是路由更新指標�,其指示是否允許路由表的更新。例如��,節(jié)點10學習哪些節(jié)點10是其鄰居或在其附近��。此信息可用于路由協(xié)議,例如���,節(jié)點10可僅僅從/向其路由表中列出的那些節(jié)點轉發(fā)消息����。例如�����,路由表的創(chuàng)建可限制在例如對應于學習階段的特定時間段內�����。在此時間段已經過去之后����,階段適應模塊110可將路由更新指標從“允許更新”設置為“禁止更新”���。因此���,在運行階段期間,路由信息被鎖定�����,使得路由表不能被改變。因此���,當接收到包括新的路由信息的消息時�,階段感知模塊120可檢查路由更新指標的運行參數(shù)�,以確定是否允許路由表更新。一般而言�,運行階段期間應當只允許極小的改變。因此�����,在學習階段之后��,網(wǎng)絡的節(jié)點10認為網(wǎng)絡基本上是靜態(tài)的����,且不能允許路由表更新。通過這些手段���,可避免遠程攻擊節(jié)點——例如蟲洞節(jié)點A或B——在后來作為鄰居節(jié)點集成在節(jié)點10的路由表中���,從而導致網(wǎng)絡中斷或拒絕服務�����。
[0029]當前網(wǎng)絡階段可在個體節(jié)點10處本地地確定�,或由片段控制器60或服務中心80集中地確定�����。對于網(wǎng)絡階段的中央管理��,片段控制器60或服務中心80可適用于對節(jié)點10的狀態(tài)進行監(jiān)視��,以確定當前的網(wǎng)絡階段�。作為選擇的是,網(wǎng)絡階段可根據(jù)時間定義�。在確定網(wǎng)絡階段之后,片段控制器60或服務中心80可安全地向網(wǎng)絡廣播或向每個節(jié)點10單播關于當前網(wǎng)絡階段的信息�。此外,片段控制器60也可廣播或單播與相應的網(wǎng)絡階段相關聯(lián)的運行參數(shù)����。通過這種集中式的方法�����,節(jié)點10的行為可適應于網(wǎng)絡階段,且網(wǎng)絡的行為可因此適應于網(wǎng)絡階段�����。
[0030]為了確定當前的網(wǎng)絡階段�����,例如���,片段控制器60或服務中心80可監(jiān)視的網(wǎng)絡節(jié)點10和網(wǎng)絡流量���。例如,當節(jié)點10加入網(wǎng)絡時�����,它處于調試模式��。例如���,這種狀態(tài)可在工廠中預先配置�����。于是�����,例如可由片段控制器60或由服務中心80對已經加入網(wǎng)絡的節(jié)點10的百分比進行集中地觀察�����,以確定當前網(wǎng)絡階段�。舉例而言,如果成功調試的節(jié)點10的百分比超過預定閾值����,通常接近于100,片段控制器60或服務中心80可向網(wǎng)絡通知調試階段完成且網(wǎng)絡階段已變?yōu)閷W習階段��。當被告知當前網(wǎng)絡階段已變?yōu)閷W習階段時���,節(jié)點10的階段適應模塊110相應地對運行參數(shù)進行調節(jié)��。如果與新的網(wǎng)絡階段相關聯(lián)的運行參數(shù)值也由片段控制器60或服務中心80傳送�����,階段適應模塊110對應地對節(jié)點10的運行參數(shù)進行設置���。在給定的時間段后,服務中心80或片段控制器60可判斷為將當前網(wǎng)絡階段從學習階段變?yōu)檫\行階段�����,該給定時間段可依賴于網(wǎng)絡尺寸或從網(wǎng)絡的節(jié)點10收集的反饋是固定的���。再一次地�,向網(wǎng)絡的節(jié)點10通知新的網(wǎng)絡階段���。
[0031]在替代性實施例中����,提出了網(wǎng)絡階段的分布式管理�����。在本實施例中��,例如���,當前網(wǎng)絡階段基于接收到的消息或通過觀察網(wǎng)絡流量在節(jié)點10處本地地確定��。在一實例中�����,每個節(jié)點10知道它會經過至少三個網(wǎng)絡階段����,即調試階段、學習階段和運行階段����。當節(jié)點10被安裝在網(wǎng)絡上時,它將加入網(wǎng)絡以受到調試�。在這一時間段期間,節(jié)點10將觀察出現(xiàn)的新節(jié)點10�����,且節(jié)點10將必須轉發(fā)來自其他節(jié)點10的調試消息����。因此,節(jié)點10可以保持跟蹤每單位時間轉發(fā)的調試消息的數(shù)量����,如圖4中上部的圖表所示���。一段時間后,即向著網(wǎng)絡調試的末尾����,節(jié)點10將在某時刻tl觀察到調試消息數(shù)量的下降��。如果調試消息速率或調試消息頻率對于特定的時間間隔Beta保持為低����,節(jié)點10將判斷為調試階段完成,且當前的網(wǎng)絡階段已變?yōu)槔邕\行階段����,如圖4中下部的圖表所示。因此����,節(jié)點10可以依賴于自己的信息獲取關于當前網(wǎng)絡階段的信息,而無需片段控制器60或服務中心80的干預�����。
[0032]在另一實施例中,網(wǎng)絡節(jié)點10可切換到任何網(wǎng)絡階段��,而不管它們以前是否曾處于此階段�。例如,已經處于運行階段的RF照明系統(tǒng)可能間或用附加的燈具節(jié)點10進行擴展���。在這種情況下����,取決于情況將網(wǎng)絡切換到中間網(wǎng)絡階段可能是有利的�,例如切換到初始網(wǎng)絡階段之一,例如調試或學習階段��。在中央階段管理的一個實施例中�,片段控制器60負責管理網(wǎng)絡。在擴展網(wǎng)絡以增加新燈具節(jié)點10之前�����,分段控制器60通過例如安全廣播或單播向網(wǎng)絡通知該情況�。例如,可向網(wǎng)絡通知新的燈具節(jié)點10將被包括在內��,且允許諸如調試消息的不可驗證消息被轉發(fā)��。類似地,可向網(wǎng)絡節(jié)點10通知允許它更新路由表或節(jié)點10的一般參數(shù)或設置���。因此�����,單個節(jié)點10的階段適應模塊110可對應地設置運行參數(shù)���,例如路由更新指標或設置更新指標���,以便向階段感知模塊120指示新的處理規(guī)則����。當然���,運行參數(shù)的適當組合可由片段控制器60設置���,包括例如調試指標、陌生人接受指標�、閾值消息數(shù)量、路由更新指標�、區(qū)域閾值���、最大時間閾值以及設置更新指標中的至少一個。
[0033]但是��,通過允許節(jié)點10處的這些變化或更新�,網(wǎng)絡安全性受到削弱。因此�����,這些運行參數(shù)設置中的一個或多于一個可被限制于特定的時間窗口�����。作為選擇地����,當中間網(wǎng)絡階段完成時,片段控制器60通知網(wǎng)絡節(jié)點10��。然后����,節(jié)點10的階段適應模塊110將臨時改變的運行參數(shù)復位到與由之發(fā)起臨時階段的網(wǎng)絡階段對應的運行參數(shù)值。通過這些手段�,網(wǎng)絡保持了對于更改的靈活性���。
[0034]在圖5中示出了用于與當前網(wǎng)絡階段對應地處理接收到的數(shù)據(jù)包的實例。如上所述����,集中地或本地地確定當前網(wǎng)絡階段(S500)。然而�����,節(jié)點10知道當前網(wǎng)絡階段���,且其運行參數(shù)由階段適應模塊110相應地設置(S510)。如果節(jié)點10接收到數(shù)據(jù)包(S520)����,對數(shù)據(jù)包進行分析(S510)。此分析可僅僅涉及檢查該數(shù)據(jù)包是否符合節(jié)點10的所設置的運行參數(shù)���,即根據(jù)運行參數(shù)���,是否允許對數(shù)據(jù)包進行處理。例如���,如果運行參數(shù)陌生人接受指標被設置為“假”�,數(shù)據(jù)包僅在發(fā)送方節(jié)點和/或轉發(fā)節(jié)點已知的條件下是可接受的,例如在發(fā)送方節(jié)點和/或轉發(fā)節(jié)點列在接收節(jié)點10的路由表中的條件下����。類似地,可對所有其他的運行參數(shù)進行檢查�����,以判斷是否接受該數(shù)據(jù)包����。然而,在步驟S530中的分析還可包括進一步的分析��,例如��,關于由之接收數(shù)據(jù)包的轉發(fā)節(jié)點����、發(fā)送方節(jié)點、目的節(jié)點或包含在數(shù)據(jù)包中的安全性參數(shù)之中的至少一個�,包含在數(shù)據(jù)包中的安全性參數(shù)例如為與轉發(fā)節(jié)點相關聯(lián)的計數(shù)器C、消息完整性代碼MIC等���。在分析結果的基礎上�����,決定是否接受數(shù)據(jù)包(S540)��。如果數(shù)據(jù)包的分析是否定的����,或者如果判斷為數(shù)據(jù)包由于節(jié)點10的運行參數(shù)是不能接受的,該數(shù)據(jù)包被丟棄(S540)�。但是,如果數(shù)據(jù)包符合運行參數(shù)的條件��,以及如果所有附加的分析是肯定的���,數(shù)據(jù)包在步驟(S550)中被接受,且階段感知模塊120進行到基于當前的運行參數(shù)對數(shù)據(jù)包進行處理�����。例如���,取決于情況�,數(shù)據(jù)包可向著其最終目的地被轉發(fā)到它的下一跳節(jié)點,或者����,它可以被解碼,如果接收節(jié)點10是最終目的地的話���。另外�,處理可包括將包括在數(shù)據(jù)包中的信息用于更新路由表或節(jié)點10的設置��,如果根據(jù)節(jié)點10的運行參數(shù)這一點是允許的話����。因此,由于節(jié)點10的運行參數(shù)與當前網(wǎng)絡階段對應地設置且接收到的數(shù)據(jù)包相應地受到處理�,網(wǎng)絡節(jié)點10的行為可適應于當前網(wǎng)絡階段。通過這些手段�����,可將網(wǎng)絡的脆弱性減少到最小����。
[0035]在圖6中,示出了根據(jù)本發(fā)明實施例的攻擊檢測。在一般情況下��,節(jié)點10知道當前網(wǎng)絡階段����,且其運行參數(shù)相應地受到設置。為了實現(xiàn)攻擊檢測�,節(jié)點10連續(xù)地或以預定的時間間隔觀察網(wǎng)絡行為(S600)。例如���,節(jié)點10例如借助接收到的數(shù)據(jù)包�、將要轉發(fā)的數(shù)據(jù)包等等來監(jiān)視數(shù)據(jù)流量��。在步驟S610中����,對網(wǎng)絡行為進行分析,以判斷網(wǎng)絡行為是否被允許���。這可由節(jié)點10的階段感知模塊120基于當前運行參數(shù)來進行�����。在一個實例中,步驟S610的這種判斷過程對應于單一數(shù)據(jù)包的分析,例如關于圖5��,步驟S530所介紹的那樣�����。當發(fā)現(xiàn)網(wǎng)絡行為對于當前網(wǎng)絡階段不正?��;虿辉试S時��,節(jié)點10被設置為攻擊狀態(tài)(S620)����。特別地���,如果節(jié)點10注意到數(shù)據(jù)包的處理由于例如步驟S530中的分析結果而被拒絕��,或不允許在數(shù)據(jù)包上進行請求的動作(例如轉發(fā)接收到的數(shù)據(jù)包)����,節(jié)點10可確定攻擊狀態(tài)(S620)����。優(yōu)選地,攻擊狀態(tài)不是由單一事件激活,而是在特定數(shù)量的此類事件之后激活���?���?稍诠?jié)點10上預定義對應的閾值�����。在攻擊狀態(tài)被激活后���,節(jié)點10可相應地動作����。例如����,節(jié)點10可使用廣播、單播����、大量傳送或類似物將攻擊警報發(fā)送到網(wǎng)絡或片段控制器60或服務中心80,以便激活其他節(jié)點10上的攻擊狀態(tài)或者通知片段控制器60或服務中心80���。此外�,處于攻擊狀態(tài)的節(jié)點10的運行參數(shù)可以被設置為最受限且安全的設置�����。優(yōu)選為����,還丟棄要轉發(fā)的所有接收到的消息。通過這些手段���,可以在攻擊做出任何對網(wǎng)絡的危害之前抵御攻擊��。
[0036]因此��,根據(jù)本發(fā)明�����,通過階段感知節(jié)點的行為��,可阻礙惡意攻擊的發(fā)起��,并阻塞進行中的惡意攻擊���。通過僅僅在對與網(wǎng)絡運行絕對必要的網(wǎng)絡階段允許網(wǎng)絡中的安全漏洞�����,使得網(wǎng)絡的脆弱性最小化�����。此外����,通過將網(wǎng)絡切換到任何網(wǎng)絡階段的能力��,網(wǎng)絡保持對與升級�����、變更或擴展的靈活性���。根據(jù)本發(fā)明可實現(xiàn)所有這些���,而不使單個節(jié)點的運行復雜化或是降低通信效率。
[0037]在前面的介紹中�����,已經使用照明系統(tǒng)的例子描述了本發(fā)明的實施例。然而�����,許多其他的網(wǎng)絡和系統(tǒng)���、特別是使用例如輕量級的ZigBee-1P、6L0WPAN/C0RE等標準的無線網(wǎng)絡可受惠于相同的基本原理����,以防止攻擊者發(fā)動DoS攻擊以及其他惡意攻擊。
【權利要求】
1.一種用于網(wǎng)絡中的節(jié)點(10)的控制單元(100)����,包括: 階段適應模塊(110),用于基于當前網(wǎng)絡階段對節(jié)點(10)的至少一個運行參數(shù)進行調節(jié)��;以及 階段感知模塊(120 )��,用于基于運行參數(shù)對接收到的數(shù)據(jù)包進行處理����。
2.根據(jù)權利要求1的控制單元(100)���,其中,階段感知模塊(120)進一步適用于對接收到的數(shù)據(jù)包進行分析以觀察網(wǎng)絡行為���,并將觀察到的網(wǎng)絡行為與一個或多于一個預定義的階段特性進行比較�。
3.根據(jù)權利要求1或2的控制單元(100)��,其中��,如果觀察到的網(wǎng)絡行為偏離一個或多于一個預定義的階段特性���,判斷為攻擊狀態(tài)和/或觸發(fā)警報�����。
4.根據(jù)前述權利要求中任一項的控制單元(100)�����,其中���,在攻擊狀態(tài)下,丟棄接收到的數(shù)據(jù)包���。
5.根據(jù)前述權利要求中任一項的控制單元(100)�����,其中�,對接收到的數(shù)據(jù)包進行處理至少包括向數(shù)據(jù)包的目的地轉發(fā)數(shù)據(jù)包和/或更新路由信息和/或改變節(jié)點設置。
6.根據(jù)前述權利要求中任一項的控制單元(100)���,其中,節(jié)點(10)的運行參數(shù)包括下列中的至少一個:閾值消息數(shù)量��,閾值消息頻率���,區(qū)域閾值�����,最大時間閾值�����,陌生人接受指標���,調試指標���,設置更新指標以及路由更新指標。
7.根據(jù)前述權利要求中任一項的控制單元(100)��,其中�,當前網(wǎng)絡階段是包括調試階段、學習階段和運行階段中的至少一個的多個網(wǎng)絡階段之一���。
8.根據(jù)前述權利要求中任一項的控制單元(100)���,其中,當前網(wǎng)絡階段基于階段特性和/或基于由中央控制器(60)或服務中心(80)提供的信息而確定���。
9.根據(jù)前述權利要求中任一項的控制單元(100)���,其中,運行參數(shù)或一組運行參數(shù)是對于至少一個網(wǎng)絡階段預定義的����。
10.根據(jù)前述權利要求中任一項的控制單元(100),其中����,節(jié)點(10)適用于切換到網(wǎng)絡階段中的一個����。
11.根據(jù)前述權利要求中任一項的控制單元(100)�,其中,網(wǎng)絡階段中的至少一個被限制于時間或區(qū)域區(qū)間����。
12.根據(jù)前述權利要求中任一項的控制單元(100),其中�����,節(jié)點(10)是照明系統(tǒng)的燈具節(jié)點�。
13.一種用于網(wǎng)絡的系統(tǒng)����,包括: 多個節(jié)點(10),其中的至少一些包括根據(jù)前述權利要求之一的控制單元(100);以及 中央控制器(60); 其中�,所述多個節(jié)點(10)和所述中央控制器(60)適用于無線通信。
14.根據(jù)權利要求13的用于網(wǎng)絡的系統(tǒng)�,其中,中央控制器(60)或節(jié)點(10)適用于基于節(jié)點(10)的至少一子集的平均狀態(tài)來確定網(wǎng)絡階段��。
15.一種用于運行具有多個節(jié)點(10)的網(wǎng)絡的方法,包括以下步驟: 基于當前網(wǎng)絡階段對至少一個節(jié)點(10)的至少一個運行參數(shù)進行調節(jié)����;以及 基于運行參數(shù)對由節(jié)點(10)接收的數(shù)據(jù)包進行處理。
【文檔編號】H04W12/12GK103583061SQ201280028391
【公開日】2014年2月12日 申請日期:2012年6月7日 優(yōu)先權日:2011年6月10日
【發(fā)明者】O.加西亞莫奇安, D.M.戈倫, T.C.W.申克, J.埃斯皮納佩雷茲, M.奧昂 申請人:皇家飛利浦有限公司