CN114189333B - 感测节点安全管理方法、电子装置及计算机可读存储媒体 - Google Patents

感测节点安全管理方法、电子装置及计算机可读存储媒体 Download PDF

Info

Publication number
CN114189333B
CN114189333B CN202010752928.0A CN202010752928A CN114189333B CN 114189333 B CN114189333 B CN 114189333B CN 202010752928 A CN202010752928 A CN 202010752928A CN 114189333 B CN114189333 B CN 114189333B
Authority
CN
China
Prior art keywords
sensing node
authentication server
joining
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010752928.0A
Other languages
English (en)
Other versions
CN114189333A (zh
Inventor
黄正义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanning Fulian Fugui Precision Industrial Co Ltd
Original Assignee
Nanning Fulian Fugui Precision Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanning Fulian Fugui Precision Industrial Co Ltd filed Critical Nanning Fulian Fugui Precision Industrial Co Ltd
Priority to CN202010752928.0A priority Critical patent/CN114189333B/zh
Publication of CN114189333A publication Critical patent/CN114189333A/zh
Application granted granted Critical
Publication of CN114189333B publication Critical patent/CN114189333B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种电子装置,其特征在于,包括初始化模块、安全管理模块与拓朴控制模块。该初始化模块用于初始化所有注册的感测节点的OpenFlow表与配置。该安全管理模块用于对所述感测节点执行感测节点的安全管理方法。该拓朴控制模块用于从所述感测节点中选择部分感测节点建立优化无线感测网络,通知所述感测节点中剩余的感测节点进入睡眠状态,及更新所述注册的感测节点的OpenFlow表与配置。本发明还提供一种无线感测节点的安全管理方法及计算机可读存储媒体,不需要大量运算资源并且可以提升无线感测节点的抗攻击能力。

Description

感测节点安全管理方法、电子装置及计算机可读存储媒体
技术领域
本发明涉及工业物联网技术,尤其涉及一种以软件定义网络(Software DefineNetworking,SDN)为基础的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体。
背景技术
工业物联网(Industrial Internet of Things,IIoT)是属于实现物联网(IoT)概念于精进工业生产效率的一项应用。工业物联网是整合各类型传感器和控制器、无线传输、云端运算和人工智能(AI)分析等技术,融入到工业生产过程各个环节,从而大幅提高制造效率和降低生产成本,最终实现将传统工业提升到智能化的新阶段。工业物联网结合虚实融合系统(Cyber Physical System,CPS),实现智能制造和智能工厂,即是工业4.0。
工业物联网(IIoT)的基础架构层(Infrastructure Layer)是由大量的传感器(Sensor)和控制器(Actuator)所组成的无线感测网络,而目前的传感器和控制器均缺乏可以依据不同应用需求及时调整设定参数的能力。此外,传感器或是控制器均是由电池供电,一个传感器的电池的寿命终了,将会影响整个无线感测网络和生产流程。
发明内容
鉴于以上内容,有必要提供一种无线感测节点的安全管理方法、电子装置及计算机可读存储媒体,不需要大量运算资源并且可以提升无线感测节点的抗攻击能力。
本发明实施例提供一种感测节点安全管理方法,包括:通过加入感测节点发送认证请求信息给认证服务器;当该认证服务器根据该认证请求信息确认该加入感测节点的身分后,通过该认证服务器传送认证确认信息给该加入感测节点;通过该加入感测节点产生第一随机密数与楕圆加密算法的基础点,根据该第一随机密数与该基础点计算信息确认码,并传送认证请求给该认证服务器;通过该认证服务器验证产生认证服务器的第二随机密数与该加入感测节点的隐式凭证,根据该认证服务器的第一私钥和哈希函数产生该加入感测节点的隐式凭证的密文并计算该信息确认码,并传送认证回复给该加入感测节点;通过该加入感测节点产生第二私钥与公钥,根据该公钥与多个交握程序中信息计算该信息确认码,并传送完成完成信息给该认证服务器;通过该认证服务器计算该加入感测节点的该公钥,验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的该公钥和该些交握程序中的信息计算该信息确认码,并传送该完成信息给该加入感测节点;及通过该加入感测节点验证该信息确认码以完成对该认证服务器的认证。
本发明实施例还提供一种电子装置,其特征在于,包括初始化模块、安全管理模块与拓朴控制模块。该初始化模块用于初始化所有注册的感测节点的OpenFlow表与配置。该安全管理模块用于对所述感测节点执行感测节点的安全管理方法。该拓朴控制模块用于从所述感测节点中选择部分感测节点建立优化无线感测网络,通知所述感测节点中剩余的感测节点进入睡眠状态,及更新所述注册的感测节点的OpenFlow表与配置。
本发明实施例还提供一种计算机可读存储媒体,该计算机可读存储媒体上存储有计算机程序,该计算机程序被执行时实现如前述的感测节点安全管理方法的步骤。
本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ECC),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。
附图说明
图1是本发明实施例的无线感测节点的管理架构图。
图2是本发明实施例的无线感测节点的管理方法的步骤流程图。
图3是本发明实施例无线感测节点的安全管理方法的步骤流程图。
图4系显示本发明实施例的无线感测结点的拓扑控制(Topology Control)的示意图。
图5系显示本发明实施例的电子装置的硬件架构示意图。
图6系显示本发明实施例的电子装置的功能方块图。
主要元件符号说明
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施例对本发明进行详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个所述特征。另外,各个实施例的间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围的内。
本发明实施例的无线感测节点的安全管理方法不需要大量运算资源并且可以提升无线感测节点的抗攻击能力,使得工业务联网平台具有下列三项安全性的特性,以抵抗各种类型的恶意攻击,确保工业务联网可以长期稳定的运作:
封闭性:唯有通过认证过的用户和装置才能存取IIoT;
保密性:网络中传送的数据不能被其他任何人读取;及
完整性:任何收到信息都确认是未被更动过的信息。
本发明使用软件定义网络(Software Define Networking,SDN)网络虚拟化的概念,提出「以SDN为基础的工业互联网平台(SDN-based Industrial Internet of Things(IoT)Platform)」,分离感测节点(Sensor Node)的控制层和数据传输层,在核心网络的控制层实现感测节点的装置管理和拓朴管理(Topology Management),而感测节点只负责搜集和传送资料。
图1是本发明实施例的无线感测节点的管理架构图,包括物理层(PhysicalLayer)110、控制层(Control Layer)120与应用层(Application Layer)130。本发明实施例的无线感测节点的管理架构藉由SDN架构分离感测节点的控制层120和物理层110(又称数据传输层(Data Layer)),在核心网络的控制层120实现感测节点的装置管理和拓朴管理,而数据传输层110的感测节点负责搜集和传送资料。
数据传输层110至少包含制程设备1111-1113、传感器节点1121-1123、无线存取点(Access Point,AP)汇聚节点(Sink Node)1131与1132及交换机/路由器1141与1142。传感器节点1121-1123负责资料采集制程设备1111-1113的感测数据,并经由无线AP汇聚节点1131与1132转送至交换机/路由器1141与1142,再经由交换机/路由器1141与1142传送到控制层120的SDN控制器1210。
SDN控制器1210透过OpenFlow协议传送控制指令和流程表(Flow Table)至感测节点1121-1123,无线AP汇聚节点1131与1132提供较大的网络传送带宽,汇集大量的感测数据并转送至控制层120进行运算分析。
控制层120是SDN工业物联网的核心层,SDN控制器1210透过北向接口(NorthboundInterface)」接收应用层130的指令和回传执行结果,通过拓朴与装置管理器(Topology&Device Manager)1220与排程引擎1230过透南向接口(Southbound Interface)提供装置管理、网络拓扑管理和感测节点的睡眠排程管理等功能,并且经由拓朴与装置管理器220,透过侦测感测节点1121-1123周遭节点的电量状态,决定感测节点1121-1123是否有进入运行或是休眠模式,以节省感测节点1121-1123的电量并且动态调整无线感测网络的拓朴状态,进而提升无线感测网络的可靠性和弹性。
应用层130提供应用程序编程接口(Application Programming Interface,API)让网络管理人员或开发者可用于设计各种创新应用,例如,设备故障监视、设备利用率监控和产品制造状态监控。此外,开发人员可以通过定义客制化的数据集合搜集所需要的数据,以加速新应用程序的设计、传输和处理。通过应用层,可以共享网络和硬件资源、优化系统性能,并降低工业物联网的新应用开发成本。
图2是本发明实施例的无线感测节点的管理方法的步骤流程图,应用于电子装置中。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。
步骤S101,SDN控制器初始化所有注册的无线感测节点(Wireless Sensor Nodes)的OpenFlow表。
步骤S102,拓朴与装置管理器1220初始化所有注册的无线感测节点的配置(Configurations)。
步骤S103,对所述无线感测节点执行感测节点的安全管理方法。
步骤S104,从所述无线感测节点中选择必要的无线感测节点建立优化无线感测网络(Wireless Sensor Network)。
步骤S105,通知所述无线感测节点中剩余的无线感测节点进入睡眠状态。
步骤S106,SDN控制器1210更新所有注册的无线感测节点的OpenFlow表。
步骤S107,拓朴与装置管理器1220更新所有注册的无线感测节点的配置。
步骤S108,无线感测节点在该优化无线感测网络中持续收集与传送数据。
步骤S109,判断是否侦测到新注册或故障的无线感测节点。若否,则回到步骤S108。
步骤S110,若侦测到新注册或故障的无线感测节点,唤醒所有进入睡眠状态的无线感测节点,然后回到步骤S103,执行感测节点的安全管理方法。
图3是本发明实施例无线感测节点的安全管理方法的步骤流程图,应用于电子装置中。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。
步骤S201,加入感测节点(Joining Sensor Node)发送认证请求信息ClientHello给认证服务器(Authentication Server),该认证请求信息Client Hello包括该加入感测节点的身分(Identity)和支持的加密套件(Cipher Suites)。
步骤S202,该认证服务器确认该加入感测节点的身分后,传送认证确认信息Server Hello给该加入感测节点,该认证确认信息Server Hello包括支持的加密套件。
步骤S203,该加入感测节点产生随机密数(Random Secret Integer)rU与楕圆加密算法(ECC)的基础点RU=rUG,根据该随机密数rU与该基础点RU=rUG计算信息确认码(Message Authentication Code,MAC)MACALL(U),并传送認證請求Certificate Request给该认证服务器,该Certificate Request信息包括该基础点与该信息确认码MACALL(U)
步骤S204,该认证服务器验证该信息确认码MACALL(U)以确认信息的完整性,产生认证服务器的随机密数rCA与该加入感测节点的隐式凭证(Implicit Certificate)CertU=RU+rCA·G,根據该认证服务器的私钥qCA和哈希函数H产生该加入感测节点的隐式凭证的密文(Signature),s=qCA+rCA·H(CertU,U)并计算该信息确认码MACALL(U),并传送認證回復Certificate Response给该加入感测节点。
步骤S205,该加入感测节点验证该信息确认码以确认信息的完整性,产生私钥qU=s+rU·(CertU,U)与公钥QU=qU·G,根据该公钥QU和前面四个交握(Handshaking)程序中传送给该认证服务器的两个信息计算该信息确认码MACALL(U),并传送带有MACALL(U)的完成信息Finished给该认证服务器。
步骤S206,该认证服务器计算该加入感测节点的公钥QU=QCA+CertU·H(CertU,U),验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的公钥QU和前面交握程序中送给该加入感测节点的两个信息计算该信息确认码MACALL(U),并传送带有MACALL(U)的完成信息Finished给该加入感测节点。
步骤S207,该加入感测节点验证该信息确认码以完成对认证服务器的认证。
图4系显示本发明实施例的无线感测结点的拓扑控制(Topology Control)的示意图。
无线感测结点的工作状态包括初始化、更新、运行与睡眠。无线感测结点一开始会先进行初始化操作(操作a),当加入某一个无线感测网络后则进行状态更新(操作b)。在更新状态时,无线感测结点执行感测网络拓朴优化算法(操作c),接着可能进入运行状态(操作d),此时会更新其OpenFlow表,或者在发现本身是多余节时会进入睡眠状态(操作e)。无线感测结点在运行状态时,若经过固定时间都没运作时,则会进入睡眠状态(操作f)。无线感测结点在睡眠状态时,会一直等待接收唤醒命令(操作g),且当接收到唤醒命令时即进入更新状态(操作h)。
每个无线感测节点均具有多个不同功能的传感器,例如,温度、湿度、压力、振动等传感器和控制器,以实时侦测生产环境和流程的变化,并立即回报控制器做优化的处理。
此外,每个感测节点中分别负责执行网络拓朴管理和Openflow转送规则(FlowEntry)管理的代理人至少包括监控与控制代理人(Monitor&Control Agent)与OpenFlow代理人。
监控与控制代理人执行从控制层120所传送的网络拓朴管理命令,例如,控制无线感测节点的无线传输功率、启动感测节点或是进入休眠状态,接收各种不同感测节点的参数控制,以及立即回报异常状态。
OpenFlow代理人使用OpenFlow协议执行控制层200制定的数据传输规则管理,可弹性地依据不同应用的需求,实时新增或删除数据传输规则,以优化每个无线感测节点的数据传送效率。
图5系显示本发明实施例的电子装置的硬件架构示意图。电子装置200,但不仅限于,可通过系统总线相互通信连接处理器210、内存220以及无线感测节点的安全管理系统230,图5仅示出了具有组件210-230的电子装置200,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
所述内存220至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型内存(例如,SD或DX内存等)、随机访问内存(RAM)、静态随机访问内存(SRAM)、只读存储器(ROM)、电可擦除可程序设计只读存储器(EEPROM)、可程序设计只读存储器(PROM)、磁性内存、磁盘、光盘等。在一些实施例中,所述内存220可以是所述电子装置10的内部存储单元,例如电子装置200的硬盘或内存。在另一些实施例中,所述内存也可以是所述电子装置200的外部存储设备,例如所述电子装置200上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述内存220还可以既包括所述电子装置200的内部存储单元也包括其外部存储设备。本实施例中,所述内存220通常用于存储安装于所述电子装置200的操作系统和各类应用软件,例如无线感测节点的安全管理系统230的程序代码等。此外,所述内存220还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器210在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。所述处理器210通常用于控制所述电子装置200的总体操作。本实施例中,所述处理器210用于运行所述内存220中存储的程序代码或者处理数据,例如,运行所述无线感测节点的安全管理系统230等。
需要说明的是,图5仅为举例说明电子装置200。在其他实施例中,电子装置200也可以包括更多或者更少的组件,或者具有不同的组件配置。
图6系显示本发明实施例的电子装置的功能方块图,其用于执行无线感测节点的安全管理方法。本发明实施例的无线感测节点的安全管理方法可由存储媒体中的计算机程序来实现,例如,电子装置200中的内存220。当实现本发明方法的计算机程序由处理器210加载到内存220时,驱动行装置200的处理器210执行本发明实施例的无线感测节点的安全管理方法。
本发明实施例的电子装置200包括初始化模块310、安全管理模块320与拓朴控制模块330。电子装置200可能是前述的加入感测节点。
初始化模块310初始化所有注册的无线感测节点的OpenFlow表,并且初始化所有注册的无线感测节点的配置。安全管理模块320执行感测节点的安全管理方法。
拓朴控制模块330选择必要的感测节点建立优化无线感测网络,通知多余的无线感测节点进入睡眠状态,更新所有注册的无线感测节点的OpenFlow表,更新所有注册的无线感测节点的配置,取得无线感测节点在该优化无线感测网络中持续收集的数据,判断是否侦测到新注册或故障的无线感测节点,并且当侦测到新注册或故障的无线感测节点,唤醒所有进入睡眠状态的无线感测节点。
感测节点的安全管理方法说明如下:
安全管理模块320发送认证请求信息Client Hello给认证服务器(Authentication Server)(未显示),该认证请求信息Client Hello包括该加入感测节点的身分(Identity)和支持的加密套件(Cipher Suites)。该认证在该服务器确认该加入感测节点的身分后,接收该服务器传送的认证确认信息Server Hello,该认证确认信息Server Hello包括支持的加密套件。
安全管理模块320产生随机密数(Random Secret Integer)rU与楕圆加密算法(ECC)的基础点RU=rUG,根据该随机密数rU与该基础点RU=rUG计算信息确认码(MessageAuthentication Code,MAC)MACALL(U),并传送认证请求Certificate Request给该认证服务器,该Certificate Request信息包括该基础点与该信息确认码MACALL(U)
该认证服务器验证该信息确认码MACALL(U)以确认信息的完整性,产生认证服务器的随机密数rCA与该加入感测节点的隐式凭证(Implicit Certificate)CertU=RU+rCA·G,根据该认证服务器的私钥qCA和哈希函数H产生该加入感测节点的隐式凭证的密文(Signature),s=qCA+rCA·H(CertU,U)并计算该信息确认码MACALL(U)。安全管理模块320接收该认证服务器传送的认证回复Certificate Response。
步骤S205,安全管理模块320验证该信息确认码以确认信息的完整性,产生私钥qU=s+rU·(CertU,U)与公钥QU=qU·G,根据该公钥Qu和前面四个交握(Handshaking)程序中传送给该认证服务器的两个信息计算该信息确认码MACALL(U),并传送带有MACALL(U)的完成信息Finished给该认证服务器。
该认证服务器计算该加入感测节点的公钥QU=QCA+CertU·H(CertU,U),验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的公钥Qu和前面交握程序中送给该加入感测节点的两个信息计算该信息确认码MACALL(U)。安全管理模块320接收该认证服务器传送的MACALL(U)的完成信息Finished,并验证该信息确认码以完成对认证服务器的认证。
电子装置200也可能是前述的认证服务器,其用于执行相对于该加入感测点的操作。
所述电子装置200集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁盘、光盘、计算机内存、只读存储器、随机存取内存、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
可以理解的是,以上所描述的模块划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能模块可以集成在相同处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在相同单元中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
虽然基于X.509凭证格式的公钥基础建设架构(Public Key Infrastructure,PKI)认证具有良好的安全性,也常用于一般网络认证和数据传送的加解密,例如,安全套接字层(Secure Sockets Layer,SSL)和传输层安全性协议(Transport Layer Security,TLS)。然而,PKI需要较多的加解密运算资源、凭证储存空间和较大的网络传送带宽,并不适合用于运算资源和储存空间都非常有限的物联网传感器中。
本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ECC),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。
对本领域的普通技术人员来说,可以根据本发明实施例提供的技术方案和技术构思结合生成的实际需要做出其他相应的改变或调整,而这些改变和调整都应属于本发明权利要求的保护范围。

Claims (6)

1.一种感测节点安全管理方法,应用于电子装置中,其特征在于,所述方法包括:
通过加入感测节点发送认证请求信息给认证服务器;
当该认证服务器根据该认证请求信息确认该加入感测节点的身份后,通过该认证服务器传送认证确认信息给该加入感测节点;
通过该加入感测节点产生第一随机密数与椭圆加密算法的基础点,根据该第一随机密数与该基础点计算信息确认码,并传送认证请求给该认证服务器;
通过该认证服务器验证产生认证服务器的第二随机密数与该加入感测节点的隐式凭证,根据该认证服务器的第一私钥和哈希函数产生该加入感测节点的隐式凭证的密文并计算该信息确认码,并传送认证回复给该加入感测节点;
通过该加入感测节点产生第二私钥与公钥,根据该公钥与多个交握程序中传送给该认证服务器的信息计算该信息确认码,并传送带有MAC的完成信息给该认证服务器;
通过该认证服务器计算该加入感测节点的该公钥,验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的该公钥和该些交握程序中送给该加入感测节点的信息计算该信息确认码,并传送带有MAC的该完成信息给该加入感测节点;及
通过该加入感测节点验证该信息确认码以完成对该认证服务器的认证。
2.如权利要求1所述的感测节点安全管理方法,其特征在于,该认证请求信息包括该加入感测节点的身份和支持的加密套件。
3.如权利要求2所述的感测节点的安全管理方法,其特征在于,该认证确认信息包括该支持的加密套件。
4.一种电子装置,其特征在于,包括:
初始化模块,用于初始化所有注册的感测节点的OpenFlow表与配置;
安全管理模块,用于对所述感测节点执行感测节点的安全管理方法,还包括下列步骤:
发送认证请求信息给认证服务器;
当该认证服务器根据该认证请求信息确认加入感测节点的身份后,自该认证服务器接收认证确认信息;
产生第一随机密数与椭圆加密算法的基础点,根据该第一随机密数与该基础点计算信息确认码,并传送认证请求给该认证服务器;
自该认证服务器取得认证回复,其中,通过该认证服务器验证产生认证服务器的第二随机密数与该加入感测节点的隐式凭证,根据该认证服务器的第一私钥和哈希函数产生该加入感测节点的隐式凭证的密文并计算该信息确认码;
产生第二私钥与公钥,根据该公钥与多个交握程序中传送给该认证服务器的信息计算该信息确认码,并传送带有MAC的完成信息给该认证服务器,其中,通过该认证服务器计算该加入感测节点的该公钥,验证该信息确认码以完成该加入感测节点的认证,并根据该加入感测节点的该公钥和该些交握程序中送给该加入感测节点的信息计算该信息确认码;及
自该认证服务器接收该完成信息,及验证该信息确认码以完成对该认证服务器的认证;及
拓朴控制模块,用于从所述感测节点中选择部分感测节点建立优化无线感测网络,通知所述感测节点中剩余的感测节点进入睡眠状态,及更新所述注册的感测节点的OpenFlow表与配置。
5.如权利要求4所述的电子装置,其特征在于,该认证请求信息包括该加入感测节点的身份和支持的加密套件。
6.一种计算机可读存储媒体,该计算机可读存储媒体上存储有计算机程序,该计算机程序被执行时实现如权利要求1至3任一项的感测节点安全管理方法的步骤。
CN202010752928.0A 2020-07-30 2020-07-30 感测节点安全管理方法、电子装置及计算机可读存储媒体 Active CN114189333B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010752928.0A CN114189333B (zh) 2020-07-30 2020-07-30 感测节点安全管理方法、电子装置及计算机可读存储媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010752928.0A CN114189333B (zh) 2020-07-30 2020-07-30 感测节点安全管理方法、电子装置及计算机可读存储媒体

Publications (2)

Publication Number Publication Date
CN114189333A CN114189333A (zh) 2022-03-15
CN114189333B true CN114189333B (zh) 2023-11-28

Family

ID=80600641

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010752928.0A Active CN114189333B (zh) 2020-07-30 2020-07-30 感测节点安全管理方法、电子装置及计算机可读存储媒体

Country Status (1)

Country Link
CN (1) CN114189333B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090104421A (ko) * 2008-03-31 2009-10-06 고려대학교 산학협력단 무선센서네트워크에서의 타원곡선암호 기반 키 설정 방법과이를 이용한 무선센서네트워크 시스템 및 기록매체
CN103079198A (zh) * 2011-10-26 2013-05-01 中兴通讯股份有限公司 传感器节点的密钥更新方法和系统
CN106851800A (zh) * 2017-01-20 2017-06-13 东南大学 一种无线传感器网络定位中的锚节点调度方法
CN110933675A (zh) * 2019-11-08 2020-03-27 北京邮电大学 一种无线传感器网络认证方法、系统与电子设备
CN111083150A (zh) * 2019-12-23 2020-04-28 郑州轻工业大学 医疗传感器网络环境下的身份认证与数据安全传输方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107924437A (zh) * 2015-06-17 2018-04-17 瑞典爱立信有限公司 用于使得能够实现凭证的安全供应的方法以及相关无线装置和服务器
US10161797B2 (en) * 2015-07-05 2018-12-25 Purdue Research Foundation Sub-millimeter real-time circular dichroism spectrometer with metasurfaces

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090104421A (ko) * 2008-03-31 2009-10-06 고려대학교 산학협력단 무선센서네트워크에서의 타원곡선암호 기반 키 설정 방법과이를 이용한 무선센서네트워크 시스템 및 기록매체
CN103079198A (zh) * 2011-10-26 2013-05-01 中兴通讯股份有限公司 传感器节点的密钥更新方法和系统
CN106851800A (zh) * 2017-01-20 2017-06-13 东南大学 一种无线传感器网络定位中的锚节点调度方法
CN110933675A (zh) * 2019-11-08 2020-03-27 北京邮电大学 一种无线传感器网络认证方法、系统与电子设备
CN111083150A (zh) * 2019-12-23 2020-04-28 郑州轻工业大学 医疗传感器网络环境下的身份认证与数据安全传输方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Novel Tree-based Authenticated Dynamic Group Key Agreement Protocol for Wireless Sensor Network;Tang Hong等;《2008 International Symposium on Electronic Commerce and Security》;全文 *
基于数字签名的物联网感知层的安全机制研究;赵增辉等;《工业仪表与自动化装置》;全文 *

Also Published As

Publication number Publication date
CN114189333A (zh) 2022-03-15

Similar Documents

Publication Publication Date Title
US11029937B2 (en) Technologies for performing energy efficient software distribution
TWI643508B (zh) 用於物聯網智能設備的智慧路由系統
EP2732595B1 (en) Communication protocols
JP7279899B2 (ja) データ収集方法、データ収集装置、データ収集デバイスおよびコンピュータ可読記憶媒体
US12058125B2 (en) Remote attestation mode negotiation method and apparatus
Esiner et al. LoMoS: Less-online/more-offline signatures for extremely time-critical systems
US20230362143A1 (en) Messaging based on trust levels and resource limitations in a mesh network
Ravi et al. Applications of drones using wireless sensor networks
Deshpande et al. Pulsec: Secure element based framework for sensors anomaly detection in industry 4.0
Schaerer et al. Veritaa-IoT: a distributed public key infrastructure for the Internet of Things
CN114189333B (zh) 感测节点安全管理方法、电子装置及计算机可读存储媒体
Gao et al. A Blockchain-based MQTT Protocol Optimization Algorithm
Bakir et al. {Devices-as-Services}: Rethinking Scalable Service Architectures for the Internet of Things
Salas A secure framework for OTA smart device ecosystems using ECC encryption and biometrics
Schmitt Secure data transmission in wireless sensor networks
CN116248328A (zh) 一种基于物联网的信息安全保护方法、系统、终端及介质
Belej et al. Features of application of data transmission protocols in wireless networks of sensors
CN112560073A (zh) 验证数据来源可靠性的方法、装置及系统
Höglund et al. Towards automated PKI trust transfer for IoT
EP4380104A1 (en) Pqc-based mqtt communication method, device, system, and computer program
Fischer et al. Security for building automation with hardware-based node authentication
US20240064023A1 (en) Cryptographic proof of identity with independent verification and provable recovery
Kornaros et al. Quantum-Secure Communication for Trusted Edge Computing with IoT Devices
EP3900288B1 (en) Secure peer-to-peer communication over wireless mesh networks
He et al. TCPT: Thread criticality-driven prefetcher throttling

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant