CN114531237B

CN114531237B - 基于嵌入式平台的集成网关的根密钥升级方法

Info

Publication number: CN114531237B
Application number: CN202210421232.9A
Authority: CN
Inventors: 伊尚丰; 方超; 籍天亮; 张路; 郭洁
Original assignee: Baweitong Technology Co ltd
Current assignee: Baweitong Technology Co ltd
Priority date: 2022-04-21
Filing date: 2022-04-21
Publication date: 2022-07-19
Anticipated expiration: 2042-04-21
Also published as: CN114531237A

Abstract

基于嵌入式平台的集成网关的根密钥升级方法，属于数据处理方法技术领域，当终端设备和链接服务器互相解开对方产生的封包之后，得到对方所产生的随机数；终端设备和链接服务器再用这2个随机数和随机参数和原本的根密钥计算并产生新的2把根密钥；以这2把新的根密钥取代原本的根密钥，并储存在终端设备和链接服务器中，然后重新产生会话密钥；最后，终端设备和链接服务器各自利用新的根密钥计算确认消息，确保双方均已完成密钥更新程序。本方案，通过更新根密钥，让攻击者不能确定所得到根密钥的使用期限，以保护资料的传输安全。

Description

基于嵌入式平台的集成网关的根密钥升级方法

技术领域

本发明属于数据处理方法技术领域，具体涉及基于嵌入式平台的集成网关的根密钥升级方法。

背景技术

《单片机与嵌入式系统应用》2019年第7期公开了《嵌入式Linux的LoRaWAN集成网关系统设计》，其针对小规模LoRa网络建设成本偏高的问题，提出了基于嵌入式平台的LoRaWAN集成网关系统。该网关系统在单一嵌入式硬件(树莓派)上同时集成了网关的所有功能和LoRaWAN服务器的功能，选用Raspberry Pi3作为系统核心处理器，在该嵌入式平台上搭建Linux系统以运行网关所有的程序，避免了部署专门服务器，降低了系统成本，提高了部署灵活性。为了提高LoRa网络的覆盖范围和网络的稳定性，系统可同时部署多个集成网关，一个节点可同时被多个网关覆盖。该方案提出主从式集成网关的解决方案，每个从网关能分担系统的运算负荷，提升系统性能，且数据库备份于多个网关上，增强了数据库的安全性。

为了增强网络通信的安全性，LoRaWAN采用128位元高级加密标准(AES-128 )来保护传输资料的安全性和完整性，并使用两个会话密钥：网络会话密钥(NwkSKey)和应用程序会话密钥(AppSKey)，加密终端设备(End-Device) 、网络服务器(Network Server)和应用服务器(Application Server)彼此之间的资料。

终端设备位于远端位置，并存储有用于产生会话密钥所需的根密钥。根密钥长期存储在终端设备中。而终端设备是整个网络中最容易受到攻击的部分，导致长期储存在终端设备的根密钥容易被提取或是攻击，从而引发安全性问题。

因此，必要设计一种基于嵌入式平台的集成网关的根密钥升级方法，通过更新根密钥，来增加根密钥的安全性，使资料得以安全传输，并防止第三方的监控。

发明内容

鉴于上述现有技术的不足之处，本发明的目的在于提供基于嵌入式平台的集成网关的根密钥升级方法。

为了达到上述目的，本发明采取了以下的技术方案。

基于嵌入式平台的集成网关的根密钥升级方法，当终端设备和链接服务器互相解开对方产生的封包之后，得到对方所产生的随机数；终端设备和链接服务器再用这2个随机数和随机参数和原本的根密钥计算并产生新的2把根密钥；以这2把新的根密钥取代原本的根密钥，并储存在终端设备和链接服务器中，然后重新产生会话密钥；最后，终端设备和链接服务器各自利用新的根密钥计算确认消息，确保双方均已完成密钥更新程序；

每次传输时都会将传送方的时间参数加密，接收方解密并获取自身的时间参数，两组时间参数相减必须小于预设值，用来确认封包并未遭到窃取并重送；若两组时间参数差值大于预设的时间差，则中断密钥更新程序。

基于嵌入式平台的集成网关的根密钥升级方法，包括以下步骤：

步骤S1，更新根密钥时，网络服务器执行：

步骤S101，生成一个随机参数R_con；

步骤S102，获取网络服务器的系统时间参数 t_nonce,ns；

步骤S103，计算封包的消息验证码MIC_ne = aes128_cmac (NwkSKey , t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )，其中 aes128_cmac 为 AES算法的一种；NwkSKey是网络会话密钥；t_nonce,ns 是网络服务器的系统时间参数；JoinNonce是链接服务器提供的计数值，初始值为0，随着发送入网成功次数的增加而增加；JoinEUI是对链接服务器的唯一认证，它被嵌入到终端设备中，在注册过程中使用此认证；DevNonce是终端设备的身份证；R_con是网络服务器生成的随机参数，“|”表示连接资料；

步骤S105，计算封包的消息验证码MIC_nj= aes128_cmac (K_js-ns, t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )，用aes128_cmac和 K_js-ns计算传递给链接服务器的消息验证码； K_js-ns表示网络服务器跟链接服务器的会话密钥；

步骤S107，把密文S_ne传输给终端设备；然后执行步骤S2；

步骤S108，把密文S_nj传输给链接服务器；然后执行步骤S3；

步骤S2，终端设备接收到网络服务器传输的密文S_ne后，执行：

步骤S202，计算封包的消息验证码MIC_ne’= aes128_cmac(NwkSKey , t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con)；

步骤S203，验证是否 MIC_ne’= MIC_ne，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S204，获取终端设备的系统时间参数t_nonce,ed；

步骤S205，检验是否t_nonce,ed - t_nonce,ns ≤△T₁；

其中△T₁= (T_ne+T_{transmission,ed} + T_EDS2)*δ₁，T_ne是网络服务器在步骤S1 执行步骤S103、步骤S104、步骤S105、步骤S106所需的运算时间，T_{transmission,ed}是网络服务器传输给终端设备所需的时间，T_EDS2是终端设备在步骤S2 执行步骤S201、步骤S202、步骤S203、步骤S204所需的运算时间，加总之后，乘上合理的时间延迟系数δ₁；如果t_nonce,ed - t_nonce,ns超过△T₁，终端设备停止密钥更新程序，并传输警示消息给网络服务器；

步骤S206，解密资料封包并验证JoinNonce、JoinEUI、DevNonce符合之后，得到随机参数R_con，并产生一个随机数C；

步骤S207，计算MIC_ed = aes128_cmac (AppKey, t_nonce,ed | R_con | C ) ；其中，AppSKey为应用程序会话密钥；

步骤S208，计算封包V_ed-js =aes128_encrypt (AppKey, t_nonce,ed | R_con| C |MIC_ed) ；

步骤S209，传输封包V_ed-js给链接服务器；

步骤S3：链接服务器收到密文S_nj消息后，执行：

步骤S302，计算封包的消息验证码MIC_nj’=aes128_cmac(K_js-ns, t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )；

步骤S303，验证 MIC_nj’= MIC_nj，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S304，获取链接服务器的系统时间参数t_nonce,js；

步骤S305，验证t_nonce,js - t_nonce,ns≤ △T₂；

△T₂= (T_ne +T_{transmission,JS} + T_JSS3)*δ₂，T_ne网络服务器在步骤S1执行步骤S103、步骤S104、步骤S105、步骤S106需所的运算时间，T_{transmission,JS}是网络服务器传输给链接服务器所需的时间，T_JSS3是链接服务器在步骤S3执行步骤S301、步骤S302、步骤S303、步骤S304所需的运算时间，加总之后，乘上合理的延迟系数δ₂；如果 t_nonce,js - t_nonce,ns超过△T₂，链接服务器停止密钥更新程序，并传输警示消息给网络服务器；

步骤S306，解密资料封包并验证JoinNonce、JoinEUI、DevNonce符合之后，得到随机参数R_con，并产生一个随机数N；

步骤S307，计算封包的消息验证码MIC_js = aes128_cmac (AppKey, t_nonce,js |R_con | N ) ；

步骤S308，计算封包V_js-ed = aes128_encrypt (AppKey, t_nonce,js | R_con | N |MIC_js)；

步骤S309，传输封包V_js-ed给终端设备。

基于嵌入式平台的集成网关的根密钥升级方法，还包括以下步骤：

步骤S4，终端设备接收到封包V_js-ed消息后，执行：

步骤S401，解密封包V_js-ed，即，t_nonce,js|R_con| N | MIC_js =aes128_decrypt(AppKey , V_js-ed )；

步骤S402，计算封包的消息验证码MIC_js’= aes128_cmac(AppKey, t_nonce,js| R_con| N | )；

步骤S403，验证 MIC_js’= MIC_js，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S404，验证R_con是否与步骤S2接收到的值相等，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S405，重新获取终端设备的系统时间参数t_nonce,ed2；

步骤S406，验证t_nonce,ed2 - t_nonce,js≤ △T₃；

△T₃=(T_js-ed+T_{transmission,js-ed}+T_EDS4)*δ₃，T_js-ed是链接服务器在步骤S3执行步骤S305、步骤S306、步骤S307、步骤S308所需的运算时间，T_{transmission,js-ed}是链接服务器传输V_js-ed给终端设备所需的时间，T_EDS4是终端设备在步骤S4执行步骤S401、步骤S402、步骤S403、步骤S404、步骤S405所需的运算时间，加总之后，乘上合理的延迟系数δ₃；如果t_nonce,ed2 - t_nonce,js超过△T₃，则停止密钥更新程序，并传输警示消息给网络服务器；

步骤S407，计算新的网络会话密钥的根密钥 NwkKey_new= ( R_con+C⊕N)⊕NwkKey；

步骤S408，计算新的应用程序会话密钥的根密钥AppKey_new= ( R_con⊕C+N)⊕AppKey；

步骤S409，以新的网络会话密钥的根密钥 NwkKey_new产生终端设备确认消息ACK_ed= aes128_encrypt (NwkKey_new, N | C | R_con)；

步骤S410，传输确认消息ACK_ed给链接服务器。

步骤S5：链接服务器接收到终端设备传输的封包V_ed-js消息后，执行：

步骤S501，解密封包V_ed-js, 即, t_nonce,ed | R_con | C | MIC_ed= aes128_decrypt(AppKey , V_ed-js )；

步骤S502，计算封包的消息验证码MIC_ed’= aes128_cmac(AppKey, t_nonce,js| R_con|C )；

步骤S503，验证 MIC_ed’= MIC_ed，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S504，验证 R_con是否与步骤S3接收到的值相等，若不相等，则停止密钥更新程序并丢弃已接收到的封包；

步骤S505，获取链接服务器的系统时间参数t_nonce,js2；

步骤S506，验证t_nonce,js2 - t_nonce,ed ≤ △T₄；

△T₄=( T_ed-js +T_{transmission, ed-js} + T_JSS5)* δ₄，T_ed-js是终端设备在步骤S2 执行步骤S205、步骤S206、步骤S207、步骤S208所需的运算时间，T_{transmission, ed-js}是终端设备传输V_ed-js给链接服务器所需的时间，T_JSS5是 Join Server在步骤S5执行步骤S501、步骤S502、步骤S503、步骤S504、步骤S505所需的运算时间，加总之后，乘上合理的延迟系数δ₄；如果t_nonce,js2 - t_nonce,ed超过△T₄，则停止密钥更新程序，并传输警示消息给网络服务器；

步骤S507，计算新的网络会话密钥的根密钥 NwkKey_new= ( R_con +C⊕N)⊕NwkKey；

步骤S508，计算新的应用程序会话密钥的根密钥 AppKey_new= ( R_con⊕C+N)⊕AppKey；

步骤S509，以新的网络会话密钥的根密钥 NwkKey_new产生链接服务器确认消息ACK_js= aes128_encrypt (AppKey_new, C | N | R_con)；

步骤S510，传输确认消息ACK_js给终端设备。

步骤S6：终端设备接收到链接服务器传输的ACK_js消息后，执行：

步骤S601，计算确认消息ACK_js = aes128_encrypt (AppKey_new, C | N | R_con)；

步骤S602，验证确认消息ACK_js，如果失败，重新根密钥更新机制；

步骤S603，完成根密钥更新，并执行重新注册网络服务器；

步骤S7：链接服务器接收到终端设备传输的ACK_ed消息后，执行：

步骤S701，计算确认消息ACK_ed = aes128_encrypt (NwkKey_new, N | C | R_con)；

步骤S702，验证确认消息ACK_ed，如果失败，重新根密钥更新机制。

本方案，通过更新根密钥，让攻击者不能确定所得到根密钥的使用期限，以保护资料的传输安全，当要执行密钥更新时，会由网络服务器主动发起，传输消息给终端设备和链接服务器，当终端设备和链接服务器都收到并且做完确认后，同时分别进行根密钥更新流程，确保传输参数的安全性，安全的执行根密钥更新机制。

附图说明

图1是本发明的流程图。

具体实施方式

下面结合附图，对本发明作进一步详细说明。

终端设备位于原注册网域时，则称终端设备位于本地端。此时终端设备可以通过网关和原注册的网络服务器连接，再由网络服务器将其资料传递至对应的应用服务器。

链接服务器为注册服务器，负责管理各个终端设备的注册程序及密钥分派等工作。

基于嵌入式平台的集成网关的根密钥升级方法，当终端设备和链接服务器互相解开对方产生的封包（V_ed-js、V_js-ed）之后，得到对方所产生的随机数（C、N），终端设备和链接服务器再用这2个随机数和随机参数（R_con）和原本的根密钥计算并产生新的2把根密钥；以这2把新的根密钥取代原本的根密钥，并储存在终端设备和链接服务器中，然后重新产生会话密钥；最后，终端设备和链接服务器各自利用新的根密钥计算确认消息（ACK消息），确保双方均已完成密钥更新程序。

每次传输时都会将传送方得时间参数（t_nonce）加密，接收方解密并获取自身的时间参数，两组时间参数相减必须小于预设值(△T_i，i=1~4)，用来确认封包并未遭到窃取并重送；若两组时间参数差值大于预设的时间差，则中断密钥更新程序。

图1是本发明的流程图。如图1所示，基于嵌入式平台的集成网关的根密钥升级方法，包括以下步骤：

步骤S1，更新根密钥时，网络服务器执行：

步骤S101，生成一个随机参数R_con。

步骤S102，获取网络服务器的系统时间参数t_nonce,ns。

步骤S103，计算封包的消息验证码MIC_ne = aes128_cmac (NwkSKey , t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )，其中，aes128_cmac 为 AES算法的一种；NwkSKey是网络会话密钥；t_nonce,ns是网络服务器的系统时间参数；JoinNonce是链接服务器提供的计数值，初始值为0，随着发送Join-accept次数的增加而增加；JoinEUI是对链接服务器的唯一认证，它被嵌入到终端设备中，在注册过程中使用此认证；DevNonce是终端设备的身份证；R_con是网络服务器生成的随机参数，“|”表示连接资料。

本步骤的 MIC_ne 通过NwkSKey加密。cmac的全名是 Cypher-based MessageAuthentication Code。由传送方生成一个MAC值，附在消息后面，接收方计算收到消息的MAC，如果和收到的MAC一致，则说明没有被篡改，并能作为身份认证功能使用。

步骤S105，计算封包的消息验证码MIC_nj= aes128_cmac (K_js-ns, t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )，用aes128_cmac和 K_js-ns计算传递给链接服务器的消息验证码； K_js-ns表示网络服务器跟链接服务器的会话密钥。

步骤S107，把密文S_ne传输给终端设备；然后执行步骤S2。

步骤S108，把密文S_nj传输给链接服务器；然后执行步骤S3。

步骤S202，计算封包的消息验证码MIC_ne’= aes128_cmac(NwkSKey , t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con)。

步骤S203，验证是否 MIC_ne’= MIC_ne，若不相等，表示相关参数遭窜改，则停止密钥更新程序并丢弃已接收到的封包。

步骤S204，获取终端设备的系统时间参数t_nonce,ed。

步骤S205，检验是否t_nonce,ed - t_nonce,ns ≤ △T₁；

其中△T₁= (T_ne+T_{transmission,ed} + T_EDS2)*δ₁，T_ne是网络服务器在步骤S1 执行步骤S103、步骤S104、步骤S105、步骤S106所需的运算时间，T_{transmission,ed}是网络服务器传输给终端设备所需的时间，T_EDS2是终端设备在步骤S2 执行步骤S201、步骤S202、步骤S203、步骤S204所需的运算时间，加总之后，乘上合理的时间延迟系数δ₁；如果t_nonce,ed - t_nonce,ns超过△T₁，表示封包可能遭遇重送攻击，此时终端设备停止密钥更新程序，并传输警示消息给网络服务器。

步骤S206，解密资料封包并验证JoinNonce、JoinEUI、DevNonce符合之后，得到随机参数R_con，并产生一个随机数C。

步骤S207，计算封包的消息验证码MIC_ed = aes128_cmac (AppKey, t_nonce,ed |R_con | C ) ；其中，AppSKey为应用程序会话密钥。

步骤S208，计算封包V_ed-js =aes128_encrypt (AppKey, t_nonce,ed | R_con| C |MIC_ed) 。

步骤S209，传输封包V_ed-js给链接服务器。

步骤S3：链接服务器收到密文S_nj后，执行：

步骤S302，计算封包的消息验证码MIC_nj’=aes128_cmac(K_js-ns, t_nonce,ns |JoinNonce |JoinEUI |DevNonce | R_con )。

步骤S303，验证 MIC_nj’= MIC_nj，若不相等，表示相关参数遭窜改，则停止密钥更新程序并丢弃已接收到的封包。

步骤S304，获取链接服务器的系统时间参数t_nonce,js。

步骤S305，验证t_nonce,js - t_nonce,ns≤△T₂；

△T₂= (T_ne +T_{transmission,JS} + T_JSS3)*δ₂，T_ne网络服务器在步骤S1执行步骤S103、步骤S104、步骤S105、步骤S106需所的运算时间，T_{transmission,JS}是网络服务器传输给链接服务器所需的时间，T_JSS3是链接服务器在步骤S3执行步骤S301、步骤S302、步骤S303、步骤S304所需的运算时间，加总之后，乘上合理的延迟系数δ₂；如果 t_nonce,js - t_nonce,ns超过△T₂，表示封包可能遭遇重送攻击，此时链接服务器停止密钥更新程序，并传输警示消息给网络服务器。

步骤S306，解密资料封包并验证JoinNonce、JoinEUI、DevNonce符合之后，得到随机参数R_con ，并产生一个随机数N。

步骤S307，计算封包的消息验证码MIC_js = aes128_cmac (AppKey, t_nonce,js |R_con | N ) 。

步骤S308，计算封包V_js-ed = aes128_encrypt (AppKey, t_nonce,js | R_con | N |MIC_js)。

步骤S309，传输封包V_js-ed给终端设备。

步骤S4，终端设备接收到封包V_js-ed消息后，执行：

步骤S401，解密封包V_js-ed，即，t_nonce,js|R_con | N | MIC_js =aes128_decrypt(AppKey , V_js-ed )。

步骤S402，计算封包的消息验证码MIC_js’= aes128_cmac(AppKey, t_nonce,js| R_con| N | )。

步骤S403，验证 MIC_js’= MIC_js，若不相等，则停止密钥更新程序并丢弃已接收到的封包。

步骤S404，验证R_con是否与步骤S2接收到的值相等，若不相等，则停止密钥更新程序并丢弃已接收到的封包。

步骤S405，重新获取终端设备的系统时间参数t_nonce,ed2。

步骤S406，验证t_nonce,ed2 - t_nonce,js≤ △T₃；

△T₃=(T_js-ed+T_{transmission,js-ed}+T_EDS4)*δ₃，T_js-ed 是链接服务器在步骤S3执行步骤S305、步骤S306、步骤S307、步骤S308所需的运算时间，T_{transmission,js-ed}是链接服务器传输V_js-ed给终端设备所需的时间，T_EDS4是终端设备在步骤S4执行步骤S401、步骤S402、步骤S403、步骤S404、步骤S405所需的运算时间，加总之后，乘上合理的延迟系数δ₃；如果t_nonce,ed2 - t_nonce,js超过△T₃，则停止密钥更新程序，并传输警示消息给网络服务器。

步骤S407，计算新的网络会话密钥的根密钥 NwkKey_new= ( R_con+C⊕N)⊕NwkKey。

步骤S408，计算新的应用程序会话密钥的根密钥AppKey_new= ( R_con⊕C+N)⊕AppKey。

步骤S409，以新的网络会话密钥的根密钥 NwkKey_new产生终端设备确认消息ACK_ed= aes128_encrypt (NwkKey_new, N | C | R_con)。

步骤S410，传输确认消息ACK_ed给链接服务器。

步骤S501，解密封包V_ed-js, 即, t_nonce,ed | R_con | C | MIC_ed= aes128_decrypt(AppKey , V_ed-js )。

步骤S502，计算封包的消息验证码MIC_ed’= aes128_cmac(AppKey, t_nonce,js| R_con|C )。

步骤S503，验证 MIC_ed’= MIC_ed，若不相等，则停止密钥更新程序并丢弃已接收到的封包。

步骤S504，验证 R_con是否与步骤S3接收到的值相等，若不相等，则停止密钥更新程序并丢弃已接收到的封包。

步骤S505，获取链接服务器的系统时间参数t_nonce,js2。

步骤S506，验证t_nonce,js2 - t_nonce,ed ≤ △T₄；

△T₄=( T_ed-js +T_{transmission, ed-js} + T_JSS5)* δ₄，T_ed-js是终端设备在步骤S2 执行步骤S205、步骤S206、步骤S207、步骤S208所需的运算时间，T_{transmission, ed-js}是终端设备传输V_ed-js给链接服务器所需的时间，T_JSS5是 Join Server在步骤S5执行步骤S501、步骤S502、步骤S503、步骤S504、步骤S505所需的运算时间，加总之后，乘上合理的延迟系数δ₄；如果t_nonce,js2 - t_nonce,ed超过△T₄，则停止密钥更新程序，并传输警示消息给网络服务器。

步骤S507，计算新的网络会话密钥的根密钥 NwkKey_new= ( R_con +C⊕N)⊕NwkKey。

步骤S508，计算新的应用程序会话密钥的根密钥 AppKey_new= ( R_con⊕C+N)⊕AppKey。

步骤S509，以新的网络会话密钥的根密钥 NwkKey_new产生链接服务器确认消息ACK_js= aes128_encrypt (AppKey_new, C | N | R_con)。

步骤S510，传输确认消息ACK_js给终端设备。

步骤S601，计算确认消息ACK_js = aes128_encrypt (AppKey_new, C | N | R_con)。

步骤S602，验证确认消息ACK_js，如果失败，重新根密钥更新机制。

步骤S603，完成根密钥更新，并执行重新注册网络服务器。

步骤S7：链接服务器接收到终端设备传输的确认消息ACK_ed后，执行：

步骤S701，计算确认消息ACK_ed = aes128_encrypt (NwkKey_new, N | C | R_con)。

使用Scyther安全性分析工具评估，验证本方案的安全性。Scyther结果显示：随机参数R_con 、随机参数C 、N，以及各自产生的时间参数，在不同角色当中都未受到攻击威胁，即这些参数在传输过程可被安全保护。

传输安全性分析：本方案把更新根密钥的数个参数以封包的方式传递，传输过程有aes- 128以及密钥的保护，收到之后用MIC验证封包的完整性，还有计数器可以防止重送攻击，最后终端设备、链接服务器收到时，用不同的算法得到新的根密钥：

NwkKey_new = ( R_con + C⊕ N)⊕NwkKey；

AppKey_new = (R_con⊕C+ N)⊕AppKey。

如此一来，攻击者就算从传输过程中得到参数，也无法破解2把新的根密钥，终端设备最后传给链接服务器的确认消息ACK_ed= aes128_encrypt (NwkKey_new, N | C | R_con)，是用NwkKey_new加密，链接服务器回应给终端设备的确认消息ACK_js=aes128_encrypt(AppKey_new, C | N | R_con)，是用AppKey_new加密，攻击者必须要得到 2把新的根密钥，才可以破坏根密钥更新，确保传输参数的安全性，就可以安全的执行根密钥更新机制。

重送攻击保护分析：重送攻击是指攻击者复制了由发送方发送的有效消息，并假装合法传送方将该消息发送给接收方，试图窃取相关信息的攻击。在本方案中，由于每次传输时都会将传送方得时间参数t_nonce加密，接收方解密并获取自身的时间参数，两组时间参数相减必须小于预设值(△T_i，i=1~4)，用来确认封包并未遭到窃取并重送。若两组时间参数差值大于预设的时间差，则表示原封包可能遭到窃取，且攻击者伪造成合法传送端身份重送原封包，意图使接收端误信攻击者为合法传送端，而使系统不安全。因此，若时间参数差值大于预设的时间差，则需中断密钥更新程序，以避免攻击者有机可乘。

模仿攻击保护分析：模仿攻击主要是由攻击者伪造合法的终端设备或网络服务器来传递资料给另一方。本方案中，只有真正的终端设备及网络服务器才具有正确的JoinNonce与DevNonce，这两个数值在每次会话密钥更新后递增，因此攻击者无法猜测这两个参数，进而模仿合法的使用者。再者，只有合法的终端设备及网络服务器才拥有正确的加密密钥NwkSKey，因此攻击者无法以此密钥加密消息，进而制造模仿攻击。

窃听攻击抵抗分析：当攻击者从底层网络捕获大量消息时，可能会从中提取重要信息。但由于根密钥更新程序并非经常执行，且每次执行时，均会串接系统时间参数t_nonce在欲加密的消息中，随着系统时间参数改变，即使其他加密的内容不变，AES128加密出来的结果也会不同。因此，攻击者除非得知AES加密密钥，否则无法捕获的大量消息得知重要参数。

参数释意汇总如下：

NwkSKey：网络会话密钥。

AppSKey：应用程序会话密钥。

R_con：网络服务器生成的随机参数。

t_nonce,ns、t_nonce,ns2：网络服务器的系统时间参数。

t_nonce,ed、t_nonce,ed2：终端设备的系统时间参数。

aes128_cmac：AES算法的一种。

JoinNonce：链接服务器提供的计数值，初始值为0，随着发送Join-accept次数的增加而增加。

JoinEUI：对链接服务器的唯一认证，它被嵌入到终端设备中，在注册过程中使用此认证。

DevNonce：代表终端设备的身份证。

“|”：表示连接资料。

MIC_ne、MIC_nj、MIC_ed、MIC_js、MIC_ne’MIC_nj’、MIC_ed’、MIC_js’：封包的消息验证码，用以检测消息完整性。

aes128_ encrypt ：128位元AES对称加密算法。

aes128_decrypt ：128位元AES对称解密算法。

K_js-ns：网络服务器跟链接服务器的会话密钥。

△T_i：不同系统时间参数间的时间差，i=1~4。

δ_j：合理的时间延迟系数，j=1~4。

C：随机数。

N：随机数。

ACK_ed：终端设备传送给链接服务器的确认消息。

ACKjs：链接服务器传送给终端设备的确认消息。

V_ed-js：终端设备发送给链接服务器的封包。

V_js-ed：链接服务器发送给终端设备的封包。

T_ne：网络服务器在步骤S1 执行步骤S103、步骤S104、步骤S105、步骤S106所需的运算时间。

T_EDS2：终端设备在步骤S2 执行步骤S201、步骤S202、步骤S203、步骤S204所需的运算时间。

T_ed-js：终端设备在步骤S2 执行步骤S205、步骤S206、步骤S207、步骤S208所需的运算时间。

T_JSS3：链接服务器在步骤S3执行步骤S301、步骤S302、步骤S303、步骤S304所需的运算时间。

T_js-ed：链接服务器在步骤S3执行步骤S305、步骤S306、步骤S307、步骤S308所需的运算时间。

T_EDS4：终端设备在步骤S4执行步骤S401、步骤S402、步骤S403、步骤S404、步骤S405所需的运算时间。

T_JSS5： Join Server在步骤S5执行步骤S501、步骤S502、步骤S503、步骤S504、步骤S505所需的运算时间。

T_{transmission,JS}：网络服务器传输给链接服务器所需的时间。

T_{transmission,js-ed}：链接服务器传输V_js-ed给终端设备所需的时间。

T_{transmission, ed-js}：终端设备传输V_ed-js给链接服务器所需的时间。

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims

1.基于嵌入式平台的集成网关的根密钥升级方法，其特征在于，当终端设备和链接服务器互相解开对方产生的封包之后，得到对方所产生的随机数；终端设备和链接服务器再用这2个随机数和随机参数和原本的根密钥计算并产生新的2把根密钥；以这2把新的根密钥取代原本的根密钥，并储存在终端设备和链接服务器中，然后重新产生会话密钥；最后，终端设备和链接服务器各自利用新的根密钥计算确认消息，确保双方均已完成密钥更新程序；

每次传输时都会将传送方的时间参数加密，接收方解密并获取自身的时间参数，两组时间参数相减必须小于预设值，用来确认封包并未遭到窃取并重送；若两组时间参数差值大于预设的时间差，则中断密钥更新程序；

包括以下步骤：

步骤S1，更新根密钥时，网络服务器执行：

步骤S101，生成一个随机参数R_con；

步骤S102，获取网络服务器的系统时间参数 t_nonce,ns；

步骤S105，计算封包的消息验证码MIC_nj= aes128_cmac (K_js-ns, t_nonce,ns |JoinNonce|JoinEUI |DevNonce | R_con )，用aes128_cmac和 K_js-ns计算传递给链接服务器的消息验证码； K_js-ns表示网络服务器跟链接服务器的会话密钥；

步骤S107，把密文S_ne传输给终端设备；然后执行步骤S2；

步骤S108，把密文S_nj传输给链接服务器；然后执行步骤S3；

步骤S204，获取终端设备的系统时间参数t_nonce,ed；

步骤S205，检验是否t_nonce,ed - t_nonce,ns ≤△T₁；

步骤S209，传输封包V_ed-js给链接服务器；

步骤S3：链接服务器收到密文S_nj消息后，执行：

步骤S304，获取链接服务器的系统时间参数t_nonce,js；

步骤S305，验证t_nonce,js - t_nonce,ns≤ △T₂；

步骤S307，计算封包的消息验证码MIC_js = aes128_cmac (AppKey, t_nonce,js | R_con | N ) ；

步骤S309，传输封包V_js-ed给终端设备。

2.根据权利要求1所述的基于嵌入式平台的集成网关的根密钥升级方法，其特征在于，还包括以下步骤：

步骤S4，终端设备接收到封包V_js-ed消息后，执行：

步骤S401，解密封包V_js-ed，即，t_nonce,js|R_con | N | MIC_js =aes128_decrypt (AppKey ,V_js-ed )；

步骤S402，计算封包的消息验证码MIC_js’= aes128_cmac(AppKey, t_nonce,js| R_con | N | )；

步骤S405，重新获取终端设备的系统时间参数t_nonce,ed2；

步骤S406，验证t_nonce,ed2 - t_nonce,js≤ △T₃；

△T₃=(T_js-ed+T_{transmission,js-ed}+T_EDS4)*δ₃，T_js-ed是链接服务器在步骤S3执行步骤S305、步骤S306、步骤S307、步骤S308所需的运算时间，T_{transmission,js-ed}是链接服务器传输V_js-ed给终端设备所需的时间，T_EDS4是终端设备在步骤S4执行步骤S401、步骤S402、步骤S403、步骤S404、步骤S405所需的运算时间，加总之后，乘上合理的延迟系数δ₃；如果 t_nonce,ed2 -t_nonce,js超过△T₃，则停止密钥更新程序，并传输警示消息给网络服务器；

步骤S409，以新的网络会话密钥的根密钥 NwkKey_new产生终端设备确认消息ACK_ed=aes128_encrypt (NwkKey_new, N | C | R_con)；

步骤S410，传输确认消息ACK_ed给链接服务器。

3.根据权利要求2所述的基于嵌入式平台的集成网关的根密钥升级方法，其特征在于，还包括以下步骤：

步骤S502，计算封包的消息验证码MIC_ed’= aes128_cmac(AppKey, t_nonce,js| R_con| C )；

步骤S505，获取链接服务器的系统时间参数t_nonce,js2；

步骤S506，验证t_nonce,js2 - t_nonce,ed ≤ △T₄；

步骤S509，以新的网络会话密钥的根密钥 NwkKey_new产生链接服务器确认消息ACK_js=aes128_encrypt (AppKey_new, C | N | R_con)；

步骤S510，传输确认消息ACK_js给终端设备。

4.根据权利要求3所述的基于嵌入式平台的集成网关的根密钥升级方法，其特征在于，还包括以下步骤：

步骤S602，验证确认消息ACK_js，如果失败，重新更新根密钥，返回步骤S1；

步骤S603，完成根密钥更新，并执行重新注册网络服务器；

步骤S702，验证确认消息ACK_ed，如果失败，重新更新根密钥，返回步骤S1。