CN113497812A - 物联网网络组网认证系统及其方法 - Google Patents
物联网网络组网认证系统及其方法 Download PDFInfo
- Publication number
- CN113497812A CN113497812A CN202010190821.1A CN202010190821A CN113497812A CN 113497812 A CN113497812 A CN 113497812A CN 202010190821 A CN202010190821 A CN 202010190821A CN 113497812 A CN113497812 A CN 113497812A
- Authority
- CN
- China
- Prior art keywords
- internet
- things device
- things
- networked
- networking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006855 networking Effects 0.000 title claims abstract description 65
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 49
- 238000012795 verification Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 102100034033 Alpha-adducin Human genes 0.000 description 2
- 101000799076 Homo sapiens Alpha-adducin Proteins 0.000 description 2
- 101000629598 Rattus norvegicus Sterol regulatory element-binding protein 1 Proteins 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 102100024348 Beta-adducin Human genes 0.000 description 1
- 101000689619 Homo sapiens Beta-adducin Proteins 0.000 description 1
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002344 surface layer Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种物联网网络组网认证系统及其方法。物联网网络组网认证系统包含一未组网物联网装置以及一已组网物联网装置。未组网物联网装置依据一密钥,将一连接请求加密以产生一连接请求密文,并发出连接请求密文。已组网物联网装置接收连接请求密文,而依据密钥,解密连接请求密文,以获得连接请求,并依据连接请求对未组网物联网装置进行认证而产生一认证结果,依据认证结果及一组网条件决定是否允许未组网物联网装置加入物联网网络而产生一连接响应,并输出连接响应至未组网物联网装置。
Description
技术领域
本案描述一种网络组网技术,尤其是一种物联网网络组网认证系统及其方法。
背景技术
现在的生活中已有许多无线连网设备,且多个装置互相连接以形成区域网络的需求渐增,然而传统的无线区域网络通用的标准(IEEE 802.11)关于网状网络(Meshnetwork)的协议中,规范每个装置所代表的节点之间要形成数据链路(Data Link)互相通信连接时,需要经过对等连接开启、对等连接确认及四次握手(handshake),造成节点之间互相传输的数据量较多,链路的建立耗费的时间也较多。
发明内容
鉴于上述,本案提供一种物联网网络组网认证系统及其方法,以对请求加入物联网网络的装置进行认证,并减少相互传输的数据量,及降低链路建立的时间。
依据一些实施例,物联网网络组网认证系统包含一未组网物联网装置以及一已组网物联网装置。未组网物联网装置依据一密钥,将一连接请求加密以产生一连接请求密文,并发出连接请求密文。已组网物联网装置接收连接请求密文,而依据密钥,解密连接请求密文,以获得连接请求,并依据连接请求对未组网物联网装置进行认证而产生一认证结果,依据认证结果及一组网条件决定是否允许未组网物联网装置加入物联网网络而产生一连接响应,并输出连接响应至未组网物联网装置。
依据一些实施例,物联网网络的组网认证方法包含以一未组网物联网装置依据一密钥,将一连接请求加密以产生一连接请求密文;以未组网物联网装置发出连接请求密文至一已组网物联网装置;以已组网物联网装置依据密钥,解密连接请求密文,以获得连接请求;以已组网物联网装置依据连接请求对未组网物联网装置进行认证而产生一认证结果;以已组网物联网装置依据认证结果及一组网条件决定是否允许未组网物联网装置加入物联网网络而产生一连接响应;以已组网物联网装置输出连接响应至未组网物联网装置。
因此,依据一些实施例,藉由未组网物联网装置与已组网物联网装置拥有同一把密钥以对数据传输数据进行加解密,并使已组网物联网装置通过与未组网物联网装置的相同的密钥对未组网物联网装置进行认证,已使物联网装置之间可快速认证并建立链路。此外,由于只需传送少量数据即可完成认证,因此可减少物联网装置之间建立链路所需传输的数据量。
附图说明
图1为本发明一实施例的物联网网络的架构示意图。
图2为本发明一实施例的对于物联网装置进行配网的示意图。
图3为本发明另一实施例的物联网网络的架构示意图。
图4为本发明一实施例的未组网物联网装置的组网认证流程图。
图5为本发明一实施例的未组网物联网装置传输的连接请求密文的数据分组格式。
图6为本发明一实施例的未组网物联网装置的组网认证流程图。
图7为本发明一实施例的已组网物联网装置对未组网物联网装置进行组网认证的流程图。
图8为本发明一实施例的已组网物联网装置传输的连接响应的数据分组格式。
具体实施方式
参照图1,是根据本发明一实施例的物联网网络的架构示意图。物联网网络是由多个物联网装置100组成,其通过树状结构的网络拓朴连接无线接入点200。其中,每一物联网装置100作为物联网网络中的一个节点。在本文中,将描述到「组网」用语,是指物联网装置100组成物联网网络的过程。
在本文中,将描述到「配网」用语,是指对于待组成物联网网络的物联网装置100进行认证,并对通过认证的物联网装置100进行网络配置,使其获得后续进行组网所需的信息(于后称“网络配置数据”)。
参照图2,是根据本发明一实施例的对于物联网装置100进行配网的示意图。网络配置装置300用于对物联网装置100进行认证并进行网络配置。物联网装置100包含处理器121、无线网络模块122及认证信息模块123。处理器121连接并控制无线网络模块122及认证信息模块123。无线网络模块122可提供无线网络通信功能,以与其他装置进行无线通信与建立节点链接。认证信息模块123可与网络配置装置300进行认证,使得网络配置装置300在认可物联网装置100为可允许作为物联网网络的节点后,可将网络配置数据传送至物联网装置100。物联网装置100可例如为家电用品(如冰箱、电视)等,但本发明并非以此为限。可以理解的是,物联网装置100还可能包括其他软件或硬件组件,以达成其特定目的,例如灯光装置还具备有灯泡或灯管,也可能具有可控制光亮的按钮或旋钮等。物联网装置100的类型繁多,于此不再一一列举说明。网络配置装置300可以为智能手机、个人数字助理(Personal Digital Assistant,PDA)、平板电脑、笔记型电脑等移动装置。
在一些实施例中,网络配置装置300通过第一信息获取方式向物联网装置100取得物联网装置100的第一认证信息,并通过有别于第一信息获取方式的第二信息获取方式取得物联网装置100的第二认证信息,且于识别到此两认证信息具有相同或相对应的关系时,则确认认证通过。所述第一信息获取方式可例如是,对于将第一认证信息编码而形成的二维码进行扫描解码,以取得第一认证信息。此二维码可以是设置在物联网装置100的壳体上。或是透过认证信息模块123所支持的短距离无线通信协议,例如蓝牙、近场通信(Near-Field Communication,NFC)、无线热点(Wi-Fi)等,以将第一认证信息传送给网络配置装置300。
在一些实施例中,配网架构还可包括云端伺服器400(如图2所示),前述第二信息获取方式可例如是通过云端伺服器400提供第二认证信息给网络配置装置300。
在一些实施例中,前述第二信息获取方式还可以是透过其他方式提供给网络配置装置300,例如:使用者通过网络配置装置300的操作界面输入第二认证信息。
在一些实施例中,第一与第二认证信息是与物联网装置100相关联,例如两者均采用物联网装置100的出厂序号、型号、媒体存取控制(MediaAccess Control,MAC)地址等参数,或者将多种参数进行特定排列,或者依据特定算法进一步进行转换,如通过加密算法、杂凑算法等。在一些实施例中,第一与第二认证信息中之一者是采用原始参数或组合,另一者是将其进行特定的算法转换。
在本文中,将描述到「父节点」用语,是指一发送节点进行上行传输时,下一个传输的节点则为该发送节点的父节点。
在本文中,将描述到「子节点」用语,是指一发送节点进行下行传输时,下一个传输的节点则为该发送节点的子节点。
在本文中,将描述到「跳跃数」用语,是指两节点之间的数据递送需经过的递送次数。
在本文中,将描述到「根节点」用语,是指连接无线接入点200的节点,亦即无线接入点200传送数据至物联网网络经过的第一个节点。
在本文中,将描述到「中继节点」用语,是指一节点,具有接收、发送及转送功能,其上行方向连接有节点,且其下行方向可允许其他节点连接,而可转送来自其父节点及子节点发送的数据。
在本文中,将描述到「叶节点」用语,是指一节点,其仅连接有上行方向的节点(即父节点)。通常以不具备转送数据能力的物联网装置100作为叶节点,但并非以此为限。如有需要,具有作为根节点或中继节点能力的物联网装置100也可以被设定为叶节点。
在一些实施例中,网络配置数据包括无线接入点200的服务集识别码(SSID,Service Set Identifier)和密码。在一些实施例中,网络配置数据包括对应物联网装置100的节点类型(即指定为根节点或叶节点)等。在一些实施例中,物联网装置100于配网阶段中,依据网络配置数据获得一密钥。密钥可为序号、随机数器所产生的数字段等。
在本文中,为了方便说明物联网装置100之间组成物联网网络时如何认证,对于已成为物联网网络中的一节点的物联网装置100将以「已组网物联网装置」称呼;对于尚未成为物联网网络中的节点的物联网装置将以「未组网物联网装置」称呼。
参照图3,是根据本发明另一实施例的物联网网络的架构示意图。相较于图1,本实施例的物联网网络除了包括一树状结构(如树状结构601)之外,还可包括另一或更多的树状结构,于此以包括另一个树状结构为例进行说明(如树状结构602)。也就是说,物联网网络可以包括多个树状结构,系分别连接至无线接入点200,藉此可以扩展网络覆盖范围,并且因无线接入点200连接多个分属不同树状结构的根节点,而能增加网络稳定性。此外,这样的网络拓朴方式,在上行传输时不需进行路由选择,在下行传输时也仅需要根据路由表层层转发下层节点,可节省各个节点的资源负担,也可缩短数据传输时间。在此,树状结构601包含多个节点A~D及欲作为节点B的子节点之节点E。树状结构602包含欲作为树状结构602的根节点之节点F。
参照图4,是根据本发明一实施例的未组网物联网装置的组网认证流程图。所述认证方法系由未组网物联网装置(如节点E)执行,以与一个已组网物联网装置进行认证,并于通过认证后可以此已组网物联网装置作为父节点(如节点B)而加入物联网网络。
步骤S401:扫描设备。未组网物联网装置扫描邻近的设备。所述设备是指经前述配网后可组成同一物联网网络的无线接入点200及已组网物联网装置。被扫描到的已组网物联网装置将可成为作为父节点的候选节点。
步骤S402:选择是否成为根节点。未组网物联网装置若选择成为树状结构中的根节点(如节点F),则依据无线区域网络通用的标准协议中的规定来进行认证(步骤S403);未组网物联网装置若选择成为树状结构中的中继节点或叶节点,如成为某一节点(如节点B)的子节点(如节点E),则选择其中一个扫描到的已组网物联网装置作为父节点(步骤S404)并接续步骤S405,进行组网认证过程。
在步骤S405中,未组网物联网装置依据一密钥,将一连接请求54(容后详述)加密以产生一连接请求密文50(容后详述)。接着发出连接请求密文50至父节点(步骤S406),并接续步骤S407。在一些实施例中,物联网装置可以在配网阶段时自网络配置装置300获得密钥,例如通过网络配置数据获得密钥。
在步骤S407中,未组网物联网装置接收将作为父节点的已组网物联网装置所返回的连接响应60(容后详述),并执行步骤S408,判断连接响应60之状态是否为一「允许连接状态」。若为允许连接状态,未组网物联网装置通信连接作为父节点的该已组网物联网装置而加入物联网网络(步骤S409);若为不允许连接(连接响应60为「拒绝连接状态」),则返回至开始(或步骤S401;或步骤S402;或步骤S404,图未示),重新执行上述步骤。藉此,可依据无线区域网络通用的标准协议作认证以成为根节点并依据无线区域网络通用的标准协议做认证、重新对同一个已组网物联网装置进行组网认证或是选择另一个扫描到的已组网物联网装置(例如从该些候选节点中选取另一个已组网物联网装置)作为父节点,以进行组网认证程序。因此,未组网物联网装置可持续尝试加入物联网网络,以确保物联网网络的可靠性。
进一步说明连接请求密文50。参照图5,图5为本发明一实施例的未组网物联网装置传输的连接请求密文50的数据分组(Data packet)格式。连接请求密文50包含媒体存取控制头部(Mac Header)51、网状网络头部(MeshHeader)53及有效载荷(payload)55。
媒体存取控制头部51包含来源地的媒体存取控制地址(亦即未组网物联网装置的媒体存取控制地址)与目的地的媒体存取控制地址(亦即父节点的媒体存取控制地址),以使未组网物联网装置传送数据至正确的目的地。
网状网络头部53包含版本(version)531、类型(type)532、子类型(subtype)533、序号(seq)534、控制(control)535、保留(RSVD)536、来源地址(ADD0)537、目的地址(ADD1)538、第一保留地址(ADD2)539以及第二保留地址(ADD3)5310。表1为网状网络头部53的数据说明。
表1:
在一些实施例中,连接请求密文50之类型532可以为管理状态,用以执行无线区域网络通用的标准所定义的管理功能,子类型533可以为关联请求指令(Associationrequest),用以通知已组网物联网装置,使其得知有未组网物联网装置欲作为其子节点。
在一些实施例中,来源地址537可为来源地的媒体存取控制地址或来源地的互联网网络协议地址(IP Address,Internet Protocol Address),目的地址ADD1可为目的地的媒体存取控制地址或目的地的网际网络协议地址。
有效载荷55包含初始向量551以及加密数据553。加密数据553是通过将连接请求54进行加密后所获得。连接请求54包含连接数据541及一杂凑值(后称连接杂凑值543)。在一些实施例中,连接杂凑值543是依据连接数据541进行杂凑运算所产生。在一些实施例中,连接杂凑值543是依据初始向量551及连接数据541进行杂凑运算所产生。杂凑运算可利用例如但不限于MD5算法、SHA-1算法等等。在一些实施例中,连接数据541为经由一随机函数产生的一随机数。
在一些实施例中,未组网物联网装置可藉由与已组网物联网装置相同的密钥对连接请求54进行加密(亦即对称式加密),例如运用AES算法、DES算法、3DES算法、WEP算法等等对连接请求54进行加密,以产生加密数据553,并结合媒体存取控制头部51、网状网络头部53,而形成连接请求密文50。
在一些实施例中,未组网物联网装置包含一加密密钥储存电路以及一加密电路。加密密钥储存电路储存密钥。加密电路依据密钥加密连接请求54,以产生连接请求密文50。在一些实施例中,加密密钥储存电路及加密电路可以为可程序化的硬件,且该硬件执行有对应加密程序的软件。
参照图6,是根据本发明一实施例的未组网物联网装置的组网认证流程图。在此,进一步说明,未组网物联网装置如何接收已组网物联网装置返回的连接响应60。如图6所示,与图4所示的步骤S407不同的是,在步骤S607中,未组网物联网装置持续等待父节点的响应,并经由一计时器累计一等待响应时间,若在等待响应时间未超过超时容许值时,接收到将作为父节点的已组网物联网装置所返回的连接响应60,则执行步骤S608,并如同前述说明,进一步判断连接响应60的状态。其中,步骤S608~S609与前述步骤S408~S409相同,不再重复说明。若在等待响应时间超过超时容许值时,仍未接收到将作为父节点的已组网物联网装置所返回的连接响应60,则接续步骤S610。在此,由于步骤S601~S606与前述步骤S401~S406相同,故不再重复说明。
在步骤S610中,未组网物联网装置判断发出连接请求密文50至同一个已组网物联网装置的次数是否大于一连接询问预设值,若不大于该连接询问预设值时,回去执行步骤S606,重新发送连接请求密文50至同一个已组网物联网装置,并重复后续步骤;若大于连接询问预设值时,回去执行步骤S604,选择另一个扫描到的已组网物联网装置作为父节点,并重复后续步骤。因此,未组网物联网装置可持续尝试加入物联网网络,以确保物联网网络的可靠性。
在一些实施例中,步骤S610可以省略(图未示)。例如,在步骤S607中,若等待响应时间超过超时容许值且未组网物联网装置未接收到连接响应60时,返回至开始(或步骤S601;或步骤S602;或步骤S604;或步骤S606),并重复后续步骤。
经过前述的组网认证过程完成组网之后,新加入的节点至无线接入点200之间经过的每个节点所储存的路由表将会进行更新。例如,新加入的物联网装置100传送一路由数据至与无线接入点200之间经过的每个节点,以更新每个节点所储存的路由表。藉此,当有数据要传递至此新加入的节点时,该些节点可根据更新的路由表转送数据,使得此新加入的节点可获取数据。
参照图7,是根据本发明一实施例的已组网物联网装置对未组网物联网装置进行组网认证的流程图。首先,作为未组网物联网装置的父节点的已组网物联网装置自未组网物联网装置接收连接请求密文50(步骤S701),并接续步骤S702。
在步骤S702中,已组网物联网装置依据密钥,解密连接请求密文50,以获得连接请求54。在一些实施例中,未组网物联网装置及已组网物联网装置分别获得相同之密钥。在一些实施例中,已组网物联网装置可藉由与未组网物联网装置相同的密钥对连接请求54进行解密(亦即对称式解密),例如运用AES算法、DES算法、3DES算法、WEP算法等等对连接请求密文50进行解密,以获得连接请求54。
在步骤S703中,已组网物联网装置依据连接请求54对未组网物联网装置进行认证而产生一认证结果。例如,已组网物联网装置将所获得之连接请求54中的连接数据541,进行杂凑运算产生一验证杂凑值,并比对验证杂凑值及连接杂凑值543是否相同,以确认未组网物联网装置所传送的数据分组(连接请求密文50)是否经过窜改,及未组网物联网装置与自身所获得之密钥是否相同。若验证杂凑值及连接杂凑值543相同,即代表数据分组未经窜改,且所使用的密钥均相同,则未组网物联网装置通过认证;反之则未通过认证。
在一些实施例中,已组网物联网装置可依据初始向量551及连接数据541进行杂凑运算产生验证杂凑值。在一些实施例中,连接杂凑值543及验证杂凑值使用相同的杂凑运算(例如但不限于MD5算法、SHA-1算法)。
在一些实施例中,已组网物联网装置包含一解密密钥储存电路以及一解密电路。解密密钥储存电路储存密钥。解密电路依据密钥解密连接请求密文50,以获得连接请求54。在一些实施例中,解密密钥储存电路及解密电路可以为可程序化的硬件,且该硬件执行有对应解密程序的软件。
在步骤S704中,已组网物联网装置依据认证结果及一组网条件决定是否允许未组网物联网装置加入物联网网络而产生一连接响应60。并执行步骤S705,输出连接响应60至未组网物联网装置。在一些实施例中,若认证结果为通过且满足组网条件时,已组网物联网装置之连接响应60的状态为「允许连接状态」;反之则为「拒绝连接状态」。
前述组网条件包含:已组网物联网装置为于物联网网络中具备转送数据能力的一节点、于物联网网络中已组网物联网装置的子节点数未达到一子节点数量上限以及已组网物联网装置与一无线接入点200之间的一跳跃数未达到一阶层上限。具备转送数据能力的节点即指中继节点类型或根节点类型。若该节点不具有转送数据能力(即叶节点类型),则无法作为未组网物联网装置的父节点。为了避免节点负担过多的转送数据量,每一父节点具有可连接的子节点数量上限。若已连接的子节点数量已达到该上限,则不允许再连接新的物联网装置作为其子节点。此外,为了避免树状结构的阶层过多,造成数据传递时间过长,每个树状结构具有一阶层上限。若欲连接的已组网物联网装置和无线接入点200之间的跳跃数已达到阶层上限,则不允许再连接新的物联网装置作为其子节点。
进一步说明连接响应60。参照图8,是根据本发明一实施例的已组网物联网装置传输的连接响应60的数据分组格式。在一些实施例中,连接响应60包含媒体存取控制头部61、网状网络头部63及有效载荷65。有效载荷65包含响应状态651。媒体存取控制头部61、网状网络头部63及其包含的格式可以是与连接请求密文50的媒体存取控制头部61、网状网络头部63及其包含的格式所相类似的分组格式,例如网状网络头部63的分组格式可包含版本631、类型632、子类型633、序号634、控制635、保留636、来源地址637、目的地址638、第一保留地址639、第二保留地址6310,且该些分组格式可类似于图5所示的网状网络头部53的分组格式,例如版本531、类型532、子类型533、序号534、控制535、保留536、来源地址537、目的地址538、第一保留地址539、第二保留地址5310。
在一些实施例中,媒体存取控制头部61的来源地的媒体存取控制地址为已组网物联网装置的媒体存取控制地址,媒体存取控制头部61的目的地的媒体存取控制地址为未组网物联网装置的媒体存取控制地址。在一些实施例中,连接响应60的类型632可以为管理状态,用以执行无线区域网络通用的标准所定义的管理功能,子状态633可以为关联响应指令(Associationresponse),即已组网物联网装置用以回应欲作为其子节点的未组网物联网装置所发送的关联请求指令。
在一些实施例中,若连接响应60的状态为允许连接状态,则连接响应60的有效载荷65的响应状态651为高准位的逻辑数据;若连接响应60的状态为拒绝连接状态,则连接响应60的有效载荷65的响应状态651为低准位的逻辑数据,但并不以此为限。
因此,依据一些实施例,藉由未组网物联网装置与已组网物联网装置拥有同一把密钥以对数据传输数据进行加解密,并使已组网物联网装置通过与未组网物联网装置的相同的密钥对未组网物联网装置进行认证,已使物联网装置之间可快速认证并建立链路。此外,由于只需传送少量数据即可完成认证,因此可减少物联网装置之间建立链路所需传输的数据量。
附图标记说明
50:连接请求密文
60:连接响应
51,61:媒体存取控制头部
53,63:网状网络头部
531,631:版本
532,632:类型
533,633:子类型
534,634:序号
535,635:控制
536,636:保留
537,637:来源地址
538,638:目的地址
539,639:第一保留地址
5310,6310:第二保留地址
54:连接请求
541:连接数据
543:连接杂凑值
55,65:有效载荷
551:初始向量
553:加密数据
651:响应状态
100:物联网装置
121:处理器
122:无线网络模块
123:认证信息模块
200:无线接入点
300:网络配置装置
400:云端伺服器
601,602:树状结构
A~F:节点
S401~S409:步骤
S601~S610:步骤
S701~S705:步骤
Claims (10)
1.一种物联网网络组网认证系统,包含:
一未组网物联网装置,依据一密钥,将一连接请求加密以产生一连接请求密文,并发出该连接请求密文;以及
一已组网物联网装置,接收该连接请求密文,而依据该密钥,解密该连接请求密文,以获得该连接请求,并依据该连接请求对该未组网物联网装置进行认证而产生一认证结果,依据该认证结果及一组网条件决定是否允许该未组网物联网装置加入该物联网网络而产生一连接响应,并输出该连接响应至该未组网物联网装置。
2.如权利要求1所述的物联网网络组网认证系统,其中若该认证结果为通过认证且满足该组网条件,该已组网物联网装置允许该未组网物联网装置加入该物联网网络,其中该组网条件包含该已组网物联网装置为于该物联网网络中具备转送数据能力的一节点、于该物联网网络中该已组网物联网装置的子节点数未达到一子节点数量上限以及该已组网物联网装置与一无线接入点之间的一跳跃数未达到一阶层上限。
3.如权利要求1所述的物联网网络组网认证系统,其中,该连接请求包含一连接数据及依据该连接数据经由一杂凑函数产生的一连接杂凑值,该已组网物联网装置依据该连接请求中的该连接数据经由该杂凑函数产生一验证杂凑值,并比对该验证杂凑值及该连接杂凑值以对该未组网物联网装置进行认证而产生该认证结果。
4.如权利要求3所述的物联网网络组网认证系统,其中,该连接数据为一随机数。
5.如权利要求1所述的物联网网络组网认证系统,其中,当该未组网物联网装置发出该连接请求密文至该已组网物联网装置时,该未组网物联网装置经由一计时器累计一等待响应时间,并持续等待该已组网物联网装置输出该连接响应,当该等待响应时间超过一超时容许值而该未组网物联网装置未接收到该连接响应时,该未组网物联网装置重新发出该连接请求密文至该已组网物联网装置。
6.如权利要求5所述的物联网网络组网认证系统,还包含另一该已组网物联网装置,当该未组网物联网装置发出该连接请求密文至该已组网物联网装置次数大于一连接询问预设值时,该未组网物联网装置发出该连接请求密文至另一该已组网物联网装置。
7.如权利要求1所述的物联网网络组网认证系统,其中,该未组网物联网装置包含:
一加密密钥储存电路,储存该密钥;以及
一加密电路,依据该密钥加密该连接请求,以产生该连接请求密文;
该已组网物联网装置包含:
一解密密钥储存电路,储存该密钥;以及
一解密电路,依据该密钥解密该连接请求密文,以获得该连接请求。
8.如权利要求1所述的物联网网络组网认证系统,其中,该未组网物联网装置及该已组网物联网装置依据一网络配置数据获得该密钥。
9.如权利要求1所述的物联网网络组网认证系统,还包含另一该已组网物联网装置,其中,当该连接响应之状态为一允许连接状态时,该未组网物联网装置通信连接该已组网物联网装置,当该连接响应之状态为一拒绝连接状态时,该未组网物联网装置发出该连接请求密文至另一该已组网物联网装置。
10.一种物联网网络的组网认证方法,包含:
以一未组网物联网装置依据一密钥,将一连接请求加密以产生一连接请求密文;
以该未组网物联网装置发出该连接请求密文至一已组网物联网装置;
以该已组网物联网装置依据该密钥,解密该连接请求密文,以获得该连接请求;
以该已组网物联网装置依据该连接请求对该未组网物联网装置进行认证而产生一认证结果;
以该已组网物联网装置依据该认证结果及一组网条件决定是否允许该未组网物联网装置加入该物联网网络而产生一连接响应;以及
以该已组网物联网装置输出该连接响应至该未组网物联网装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010190821.1A CN113497812A (zh) | 2020-03-18 | 2020-03-18 | 物联网网络组网认证系统及其方法 |
| TW109112079A TWI733408B (zh) | 2020-03-18 | 2020-04-09 | 物聯網網路組網認證系統及其方法 |
| US16/922,522 US11336434B2 (en) | 2020-03-18 | 2020-07-07 | Internet of things networking authentication system and method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010190821.1A CN113497812A (zh) | 2020-03-18 | 2020-03-18 | 物联网网络组网认证系统及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113497812A true CN113497812A (zh) | 2021-10-12 |
Family
ID=77746840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010190821.1A Pending CN113497812A (zh) | 2020-03-18 | 2020-03-18 | 物联网网络组网认证系统及其方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11336434B2 (zh) |
| CN (1) | CN113497812A (zh) |
| TW (1) | TWI733408B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666097A (zh) * | 2022-02-25 | 2022-06-24 | 深圳极联信息技术股份有限公司 | 一种物联网设备的通信方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI757221B (zh) * | 2021-08-12 | 2022-03-01 | 瑞昱半導體股份有限公司 | 無線通訊裝置與資料處理方法 |
| CN115242545B (zh) * | 2022-08-06 | 2023-12-08 | 山西工程科技职业大学 | 一种物联网设备数据的安全管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238146A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
| CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
| CN105162772A (zh) * | 2015-08-04 | 2015-12-16 | 三星电子(中国)研发中心 | 一种物联网设备认证与密钥协商方法和装置 |
| CN106209384A (zh) * | 2016-07-19 | 2016-12-07 | 上海电享信息科技有限公司 | 使用安全机制的客户终端与充电装置的通信认证方法 |
| CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090147714A1 (en) * | 2007-12-05 | 2009-06-11 | Praval Jain | Method and system for reducing power consumption in wireless sensor networks |
| US8447849B2 (en) * | 2010-11-09 | 2013-05-21 | Cisco Technology, Inc. | Negotiated parent joining in directed acyclic graphs (DAGS) |
| TWI525581B (zh) * | 2013-08-28 | 2016-03-11 | 郭傳興 | 智能訊息傳遞方法、裝置與電腦可讀取儲存裝置 |
| US10116648B1 (en) * | 2015-06-19 | 2018-10-30 | EMC IP Holding Company LLC | User authentication |
| US10143000B2 (en) * | 2016-12-12 | 2018-11-27 | Landis+Gyr Innovations, Inc. | Prioritized association between child devices and parent devices operating on a time-slotted channel hopping network |
| WO2018151822A1 (en) * | 2017-02-17 | 2018-08-23 | Richard Huffman | Universal digital identity authentication service |
| US10536853B2 (en) * | 2017-03-03 | 2020-01-14 | Texas Instruments Incorporated | Secure network authentication at a gateway for non-internet protocol enabled devices |
| CN107231627B (zh) | 2017-08-10 | 2020-11-10 | 乐鑫信息科技(上海)股份有限公司 | 一种蓝牙网络及配网方法 |
| KR20190029280A (ko) * | 2017-09-12 | 2019-03-20 | 삼성전자주식회사 | 트리 구조를 이용하는 무결성 검증 방법 및 장치 |
| CN107889119B (zh) | 2017-11-16 | 2021-06-08 | 乐鑫信息科技(上海)股份有限公司 | 一种Mesh网络的辅助工具、Mesh网络及配网、组网方法 |
| US10607012B2 (en) * | 2017-12-29 | 2020-03-31 | Delphian Systems, LLC | Bridge computing device control in local networks of interconnected devices |
| CN108156644B (zh) | 2017-12-29 | 2020-12-08 | 乐鑫信息科技(上海)股份有限公司 | 一种mesh网络内父节点的选择方法 |
| CN108391238A (zh) | 2018-02-01 | 2018-08-10 | 乐鑫信息科技(上海)有限公司 | 无线mesh网络的配网方法 |
| CN108199905A (zh) | 2018-02-01 | 2018-06-22 | 乐鑫信息科技(上海)有限公司 | Mesh网络及其mesh设备和配网方法 |
| CN108366362B (zh) | 2018-02-01 | 2021-02-12 | 乐鑫信息科技(上海)股份有限公司 | Mesh网络及其mesh设备安全配网方法 |
| US10838705B2 (en) * | 2018-02-12 | 2020-11-17 | Afero, Inc. | System and method for service-initiated internet of things (IoT) device updates |
| US11265699B2 (en) * | 2018-02-23 | 2022-03-01 | T-Mobile Usa, Inc. | Identifier-based access control in mobile networks |
| US10942791B2 (en) * | 2018-09-17 | 2021-03-09 | Oracle International Corporation | Managing load in request processing environments |
| US20200296089A1 (en) * | 2019-03-15 | 2020-09-17 | International Business Machines Corporation | Validating containers on a microservice framework |
| US11284463B2 (en) * | 2019-07-16 | 2022-03-22 | T-Mobile Usa, Inc. | Automatically resetting interrupted network connections |
-
2020
- 2020-03-18 CN CN202010190821.1A patent/CN113497812A/zh active Pending
- 2020-04-09 TW TW109112079A patent/TWI733408B/zh active
- 2020-07-07 US US16/922,522 patent/US11336434B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238146A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
| CN103166919A (zh) * | 2011-12-13 | 2013-06-19 | 中国移动通信集团黑龙江有限公司 | 一种物联网信息传输的方法和系统 |
| CN105162772A (zh) * | 2015-08-04 | 2015-12-16 | 三星电子(中国)研发中心 | 一种物联网设备认证与密钥协商方法和装置 |
| CN106209384A (zh) * | 2016-07-19 | 2016-12-07 | 上海电享信息科技有限公司 | 使用安全机制的客户终端与充电装置的通信认证方法 |
| CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666097A (zh) * | 2022-02-25 | 2022-06-24 | 深圳极联信息技术股份有限公司 | 一种物联网设备的通信方法及系统 |
| CN114666097B (zh) * | 2022-02-25 | 2024-05-28 | 深圳极联信息技术股份有限公司 | 一种物联网设备的通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11336434B2 (en) | 2022-05-17 |
| US20210297246A1 (en) | 2021-09-23 |
| TWI733408B (zh) | 2021-07-11 |
| TW202137792A (zh) | 2021-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10123257B2 (en) | Wireless extender secure discovery and provisioning | |
| US10129745B2 (en) | Authentication method and system for wireless mesh network | |
| RU2406252C2 (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
| US7929504B2 (en) | Systems and methods for the connection and remote configuration of wireless clients | |
| JP6240273B2 (ja) | メッシュネットワークにおけるdhcpサービスを使用する認証 | |
| EP2122991B1 (en) | Method for establishing secure associations within a communication network | |
| TWI733408B (zh) | 物聯網網路組網認證系統及其方法 | |
| US20160234678A1 (en) | Configuration of wireless devices | |
| EP4008118B1 (en) | Secure path discovery in a mesh network | |
| WO2017169957A1 (ja) | 通信システム、子機及び親機 | |
| EP4250641A1 (en) | Method, devices and system for performing key management | |
| KR100621124B1 (ko) | 무선 네트워크에서의 암호키 관리 방법 및 이를 이용한네트워크 장치 | |
| WO2024033252A1 (en) | Improved security establishment methods and systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |