TW202137792A - 物聯網網路組網認證系統及其方法 - Google Patents

物聯網網路組網認證系統及其方法 Download PDF

Info

Publication number
TW202137792A
TW202137792A TW109112079A TW109112079A TW202137792A TW 202137792 A TW202137792 A TW 202137792A TW 109112079 A TW109112079 A TW 109112079A TW 109112079 A TW109112079 A TW 109112079A TW 202137792 A TW202137792 A TW 202137792A
Authority
TW
Taiwan
Prior art keywords
iot device
networked
connection
connection request
network
Prior art date
Application number
TW109112079A
Other languages
English (en)
Other versions
TWI733408B (zh
Inventor
彭作輝
李朝明
張國峰
丁翠
吳婧君
Original Assignee
瑞昱半導體股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 瑞昱半導體股份有限公司 filed Critical 瑞昱半導體股份有限公司
Application granted granted Critical
Publication of TWI733408B publication Critical patent/TWI733408B/zh
Publication of TW202137792A publication Critical patent/TW202137792A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明提出一種物聯網網路組網認證系統及其方法。物聯網網路組網認證系統包含一未組網物聯網裝置以及一已組網物聯網裝置。未組網物聯網裝置依據一密鑰,將一連接要求加密以產生一連接要求密文,並發出連接要求密文。已組網物聯網裝置接收連接要求密文,而依據密鑰,解密連接要求密文,以獲得連接要求,並依據連接要求對未組網物聯網裝置進行認證而產生一認證結果,依據認證結果及一組網條件決定是否允許未組網物聯網裝置加入物聯網網路而產生一連接回覆,並輸出連接回覆至未組網物聯網裝置。

Description

物聯網網路組網認證系統及其方法
本案描述一種網路組網技術,尤其是一種物聯網網路組網認證系統及其方法。
現在的生活中已有許多無線連網設備,且多個裝置互相連接以形成區域網路的需求漸增,然而傳統的無線區域網路通用的標準(IEEE 802.11)關於網狀網路(Mesh network)的協議中,規範每個裝置所代表的節點之間要形成鏈路(Data Link)互相通訊連接時,需要經過對等連結開啟、對等連接確認及四次握手(handshake),造成節點之間互相傳輸的資料量較多,鏈路的建立耗費的時間也較多。
鑒於上述,本案提供一種物聯網網路組網認證系統及其方法,以對要求加入物聯網網路的裝置進行認證,並減少相互傳輸的資料量,及降低鏈路建立的時間。
依據一些實施例,物聯網網路組網認證系統包含一未組網物聯網裝置以及一已組網物聯網裝置。未組網物聯網裝置依據一密鑰,將一連接要求加密以產生一連接要求密文,並發出連接要求密文。已組網物聯網裝置接收連接要求密文,而依據密鑰,解密連接要求密文,以獲得連接要求,並依據連接要求對未組網物聯網裝置進行認證而產生一認證結果,依據認證結果及一組網條件決定是否允許未組網物聯網裝置加入物聯網網路而產生一連接回覆,並輸出連接回覆至未組網物聯網裝置。
依據一些實施例,物聯網網路的組網認證方法包含以一未組網物聯網裝置依據一密鑰,將一連接要求加密以產生一連接要求密文;以未組網物聯網裝置發出連接要求密文至一已組網物聯網裝置;以已組網物聯網裝置依據密鑰,解密連接要求密文,以獲得連接要求;以已組網物聯網裝置依據連接要求對未組網物聯網裝置進行認證而產生一認證結果;以已組網物聯網裝置依據認證結果及一組網條件決定是否允許未組網物聯網裝置加入物聯網網路而產生一連接回覆;以已組網物聯網裝置輸出連接回覆至未組網物聯網裝置。
因此,依據一些實施例,藉由未組網物聯網裝置與已組網物聯網裝置擁有同一把密鑰以對資料傳輸資料進行加解密,並使已組網物聯網裝置透過與未組網物聯網裝置的相同的密鑰對未組網物聯網裝置進行認證,已使物聯網裝置之間可快速認證並建立鏈路。此外,由於只需傳送少量資料即可完成認證,因此可減少物聯網裝置之間建立鏈路所需傳輸的資料量。
參照圖1,係為本發明一實施例之物聯網網路之架構示意圖。物聯網網路是由多個物聯網裝置100組成,其透過樹狀結構的網路拓樸連接無線接入點200。其中,每一物聯網裝置100作為物聯網網路中的一個節點。在本文中,將描述到「組網」用語,係指物聯網裝置100組成物聯網網路的過程。
在本文中,將描述到「配網」用語,係指對於待組成物聯網網路的物聯網裝置100進行認證,並對通過認證的物聯網裝置100進行網路配置,使其獲得後續進行組網所需的資訊(於後稱「網路配置資料」)。
參照圖2,係為本發明一實施例之對於物聯網裝置100進行配網之示意圖。網路配置裝置300用於對物聯網裝置100進行認證並進行網路配置。物聯網裝置100包含處理器121、無線網路模組122及認證資訊模組123。處理器121連接並控制無線網路模組122及認證資訊模組123。無線網路模組122可提供無線網路通訊功能,以與其他裝置進行無線通訊與建立節點鏈結。認證資訊模組123可與網路配置裝置300進行認證,使得網路配置裝置300在認可物聯網裝置100為可允許作為物聯網網路的節點後,可將網路配置資料傳送至物聯網裝置100。物聯網裝置100可例如為家電用品(如冰箱、電視)等,但本發明並非以此為限。可以理解的是,物聯網裝置100還可能包括其他軟體或硬體組件,以達成其特定目的,例如燈光裝置還具備有燈泡或燈管,也可能具有可控制光亮的按鈕或旋鈕等。物聯網裝置100的類型繁多,於此不再一一列舉說明。網路配置裝置300可以為智慧型手機、個人數位助理(Personal Digital Assistant,PDA)、平板電腦、筆記型電腦等行動裝置。
在一些實施例中,網路配置裝置300透過第一資訊獲取方式向物聯網裝置100取得物聯網裝置100的第一認證資訊,並透過有別於第一資訊獲取方式的第二資訊獲取方式取得物聯網裝置100的第二認證資訊,且於識別到此兩認證資訊具有相同或相對應的關係時,則確認認證通過。所述第一資訊獲取方式可例如是,對於將第一認證資訊編碼而形成的二維碼進行掃描解碼,以取得第一認證資訊。此二維碼可以是設置在物聯網裝置100的殼體上。或是透過認證資訊模組123所支援的短距離無線通訊協定,例如藍牙、近場通訊(Near-Field Communication,NFC)、無線熱點(Wi-Fi)等,以將第一認證資訊傳送給網路配置裝置300。
在一些實施例中,配網架構還可包括雲端伺服器400(如圖2所示),前述第二資訊獲取方式可例如是透過雲端伺服器400提供第二認證資訊給網路配置裝置300。
在一些實施例中,前述第二資訊獲取方式還可以是透過其他方式提供給網路配置裝置300,例如:使用者透過網路配置裝置300的操作介面輸入第二認證資訊。
在一些實施例中,第一與第二認證資訊是與物聯網裝置100相關聯,例如兩者均採用物聯網裝置100的出廠序號、型號、媒體存取控制(Media Access Control ,MAC)位址等參數,或者將多種參數進行特定排列,或者依據特定演算法進一步進行轉換,如透過加密演算法、雜湊演算法等。在一些實施例中,第一與第二認證資訊中之一者是採用原始參數或組合,另一者是將其進行特定的演算法轉換。
在本文中,將描述到「父節點」用語,係指一發送節點進行上行傳輸時,下一個傳輸的節點則為該發送節點的父節點。
在本文中,將描述到「子節點」用語,係指一發送節點進行下行傳輸時,下一個傳輸的節點則為該發送節點的子節點。
在本文中,將描述到「跳躍數」用語,係指兩節點之間的資料遞送需經過的遞送次數。
在本文中,將描述到「根節點」用語,係指連接無線接入點200之節點,亦即無線接入點200傳送資料至物聯網網路經過的第一個節點。
在本文中,將描述到「中繼節點」用語,係指一節點,具有接收、發送及轉送功能,其上行方向連接有節點,且其下行方向可允許其他節點連接,而可轉送來自其父節點及子節點發送的資料。
在本文中,將描述到「葉節點」用語,係指一節點,其僅連接有上行方向的節點(即父節點)。通常以不具備轉送資料能力的物聯網裝置100作為葉節點,但並非以此為限。如有需要,具有作為根節點或中繼節點能力的物聯網裝置100也可以被設定為葉節點。
在一些實施例中,網路配置資料包括無線接入點200的服務集識別碼(SSID,Service Set Identifier)和密碼。在一些實施例中,網路配置資料包括對應物聯網裝置100的節點類型(即指定為根節點或葉節點)等。在一些實施例中,物聯網裝置100於配網階段中,依據網路配置資料獲得一密鑰。密鑰可為序號、亂數器所產生的數字段等。
在本文中,為了方便說明物聯網裝置100之間組成物聯網網路時如何認證,對於已成為物聯網網路中的一節點的物聯網裝置100將以「已組網物聯網裝置」稱呼;對於尚未成為物聯網網路中的節點的物聯網裝置將以「未組網物聯網裝置」稱呼。
參照圖3,係為本發明另一實施例之物聯網網路之架構示意圖。相較於圖1,本實施例之物聯網網路除了包括一樹狀結構(如樹狀結構601)之外,還可包括另一或更多的樹狀結構,於此以包括另一個樹狀結構為例進行說明(如樹狀結構602)。也就是說,物聯網網路可以包括多個樹狀結構,係分別連接至無線接入點200,藉此可以擴展網路覆蓋範圍,並且因無線接入點200連接多個分屬不同樹狀結構的根節點,而能增加網路穩定性。此外,這樣的網路拓樸方式,在上行傳輸時不需進行路由選擇,在下行傳輸時也僅需要根據路由表層層轉發下層節點,可節省各個節點的資源負擔,也可縮短資料傳輸時間。在此,樹狀結構601包含多個節點A~D及欲作為節點B的子節點之節點E。樹狀結構602包含欲作為樹狀結構602的根節點之節點F。
參照圖4,係為本發明一實施例之未組網物聯網裝置的組網認證流程圖。所述認證方法係由未組網物聯網裝置(如節點E)執行,以與一個已組網物聯網裝置進行認證,並於通過認證後可以此已組網物聯網裝置作為父節點(如節點B)而加入物聯網網路。
步驟S401:掃描設備。未組網物聯網裝置掃描鄰近的設備。所述設備是指經前述配網後可組成同一物聯網網路的無線接入點200及已組網物聯網裝置。被掃描到的已組網物聯網裝置將可成為作為父節點的候選節點。
步驟S402:選擇是否成為根節點。未組網物聯網裝置若選擇成為樹狀結構中的根節點(如節點F),則依據無線區域網路通用的標準協議中的規定來進行認證(步驟S403);未組網物聯網裝置若選擇成為樹狀結構中的中繼節點或葉節點,如成為某一節點(如節點B)的子節點(如節點E),則選擇其中一個掃描到的已組網物聯網裝置作為父節點(步驟S404)並接續步驟S405,進行組網認證程序。
在步驟S405中,未組網物聯網裝置依據一密鑰,將一連接要求54(容後詳述)加密以產生一連接要求密文50(容後詳述)。接著發出連接要求密文50至父節點(步驟S406),並接續步驟S407。在一些實施例中,物聯網裝置可以在配網階段時自網路配置裝置300獲得密鑰,例如透過網路配置資料獲得密鑰。
在步驟S407中,未組網物聯網裝置接收將作為父節點的已組網物聯網裝置所返回的連接回覆60(容後詳述),並執行步驟S408,判斷連接回覆60之狀態是否為一「允許連接狀態」。若為允許連接狀態,未組網物聯網裝置通訊連接作為父節點的該已組網物聯網裝置而加入物聯網網路(步驟S409);若為不允許連接(連接回覆60為「拒絕連接狀態」),則返回至開始(或步驟S401;或步驟S402;或步驟S404,圖未示),重新執行上述步驟。藉此,可依據無線區域網路通用的標準協議作認證以成為根節點並依據無線區域網路通用的標準協議做認證、重新對同一個已組網物聯網裝置進行組網認證或是選擇另一個掃描到的已組網物聯網裝置(例如從該些候選節點中選取另一個已組網物聯網裝置)作為父節點,以進行組網認證程序。因此,未組網物聯網裝置可持續嘗試加入物聯網網路,以確保物聯網網路的可靠性。
進一步說明連接要求密文50。參照圖5,圖5為本發明一實施例之未組網物聯網裝置傳輸的連接要求密文50之資料封包(Data packet)格式。連接要求密文50包含媒體存取控制表頭(Mac Header)51、網狀網路表頭(Mesh Header)53及實際數據(payload)55。
媒體存取控制表頭51包含來源地的媒體存取控制位址(亦即未組網物聯網裝置的媒體存取控制位址)與目的地的媒體存取控制位址(亦即父節點的媒體存取控制位址),以使未組網物聯網裝置傳送資料至正確的目的地。
網狀網路表頭53包含版本(version)531、型態(type)532、子型態(subtype)533、序號(seq)534、控制(control)535、保留(RSVD)536、來源位址(ADD0)537、目的位址(ADD1)538、第一保留位址(ADD2)539以及第二保留位址(ADD3)5310。表1為網狀網路表頭53的數據說明。
表1:
訊號框項目 資料長度(Byte) 功能說明
版本531 2 網狀網路版本
型態532 1 網狀網路封包型態
子型態533 1 網狀網路封包子型態
序號534 4 順序號碼
控制535 4 控制
保留536 4 保留
來源位址537 6 來源位址
目的位址538 6 目的地位址
第一保留位址539 6 保留
第二保留位址5310 6 保留
在一些實施例中,連接要求密文50之型態532可以為管理狀態,用以執行無線區域網路通用的標準所定義的管理功能,子型態533可以為關聯請求指令(Association request),用以通知已組網物聯網裝置,使其得知有未組網物聯網裝置欲作為其子節點。
在一些實施例中,來源位址537可為來源地的媒體存取控制位址或來源地的網際網路協定位址(IP Address,Internet Protocol Address),目的位址ADD1可為目的地的媒體存取控制位址或目的地的網際網路協定位址。
實際數據55包含初始向量551以及加密數據553。加密數據553是透過將連接要求54進行加密後所獲得。連接要求54包含連接資料541及一雜湊值(後稱連接雜湊值543)。在一些實施例中,連接雜湊值543是依據連接資料541進行雜湊演算所產生。在一些實施例中,連接雜湊值543是依據初始向量551及連接資料541進行雜湊演算所產生。雜湊演算可利用例如但不限於MD5演算法、SHA-1演算法等等。在一些實施例中,連接資料541為經由一隨機函數產生的一隨機亂數。
在一些實施例中,未組網物聯網裝置可藉由與已組網物聯網裝置相同的密鑰對連接要求54進行加密(亦即對稱式加密),例如運用AES演算法、DES演算法、3DES演算法、WEP演算法等等對連接要求54進行加密,以產生加密數據553,並結合媒體存取控制表頭51、網狀網路表頭53,而形成連接要求密文50。
在一些實施例中,未組網物聯網裝置包含一加密密鑰儲存電路以及一加密電路。加密密鑰儲存電路儲存密鑰。加密電路依據密鑰加密連接要求54,以產生連接要求密文50。在一些實施例中,加密密鑰儲存電路及加密電路可以為可程式化的硬體,且該硬體執行有對應加密程式的軟體。
參照圖6,係為本發明一實施例之未組網物聯網裝置的組網認證流程圖。在此,進一步說明,未組網物聯網裝置如何接收已組網物聯網裝置返回的連接回覆60。如圖6所示,與圖4所示的步驟S407不同的是,在步驟S607中,未組網物聯網裝置持續等待父節點的回覆,並經由一計時器累計一等待回覆時間,若在等待回覆時間未超過超時容許值時,接收到將作為父節點的已組網物聯網裝置所返回的連接回覆60,則執行步驟S608,並如同前述說明,進一步判斷連接回覆60之狀態。其中,步驟S608~S609與前述步驟S408~S409相同,不再重複說明。若在等待回覆時間超過超時容許值時,仍未接收到將作為父節點的已組網物聯網裝置所返回的連接回覆60,則接續步驟S610。在此,由於步驟S601~S606與前述步驟S401~S406相同,故不再重複說明。
在步驟S610中,未組網物聯網裝置判斷發出連接要求密文50至同一個已組網物聯網裝置的次數是否大於一連接詢問預設值,若不大於該連接詢問預設值時,回去執行步驟S606,重新發送連接要求密文50至同一個已組網物聯網裝置,並重複後續步驟;若大於連接詢問預設值時,回去執行步驟S604,選擇另一個掃描到的已組網物聯網裝置作為父節點,並重複後續步驟。因此,未組網物聯網裝置可持續嘗試加入物聯網網路,以確保物聯網網路的可靠性。
在一些實施例中,步驟S610可以省略(圖未示)。例如,在步驟S607中,若等待回覆時間超過超時容許值且未組網物聯網裝置未接收到連接回覆60時,返回至開始(或步驟S601;或步驟S602;或步驟S604;或步驟S606),並重覆後續步驟。
經過前述的組網認證過程完成組網之後,新加入的節點至無線接入點200之間經過的每個節點所儲存的路由表將會進行更新。例如,新加入的物聯網裝置100傳送一路由資料至與無線接入點200之間經過的每個節點,以更新每個節點所儲存的路由表。藉此,當有資料要傳遞至此新加入的節點時,該些節點可根據更新的路由表轉送資料,使得此新加入的節點可獲取資料。
參照圖7,係為本發明一實施例之已組網物聯網裝置對未組網物聯網裝置進行組網認證的流程圖。首先,作為未組網物聯網裝置的父節點之已組網物聯網裝置自未組網物聯網裝置接收連接要求密文50(步驟S701),並接續步驟S702。
在步驟S702中,已組網物聯網裝置依據密鑰,解密連接要求密文50,以獲得連接要求54。在一些實施例中,未組網物聯網裝置及已組網物聯網裝置分別獲得相同之密鑰。在一些實施例中,已組網物聯網裝置可藉由與未組網物聯網裝置相同的密鑰對連接要求54進行解密(亦即對稱式解密),例如運用AES演算法、DES演算法、3DES演算法、WEP演算法等等對連接要求密文50進行解密,以獲得連接要求54。
在步驟S703中,已組網物聯網裝置依據連接要求54對未組網物聯網裝置進行認證而產生一認證結果。例如,已組網物聯網裝置將所獲得之連接要求54中的連接資料541,進行雜湊演算產生一驗證雜湊值,並比對驗證雜湊值及連接雜湊值543是否相同,以確認未組網物聯網裝置所傳送的資料封包(連接要求密文50)是否經過竄改,及未組網物聯網裝置與自身所獲得之密鑰是否相同。若驗證雜湊值及連接雜湊值543相同,即代表資料封包未經竄改,且所使用的密鑰均相同,則未組網物聯網裝置通過認證;反之則未通過認證。
在一些實施例中,已組網物聯網裝置可依據初始向量551及連接資料541進行雜湊演算產生驗證雜湊值。在一些實施例中,連接雜湊值543及驗證雜湊值使用相同的雜湊演算(例如但不限於MD5演算法、SHA-1演算法)。
在一些實施例中,已組網物聯網裝置包含一解密密鑰儲存電路以及一解密電路。解密密鑰儲存電路儲存密鑰。解密電路依據密鑰解密連接要求密文50,以獲得連接要求54。在一些實施例中,解密密鑰儲存電路及解密電路可以為可程式化的硬體,且該硬體執行有對應解密程式的軟體。
在步驟S704中,已組網物聯網裝置依據認證結果及一組網條件決定是否允許未組網物聯網裝置加入物聯網網路而產生一連接回覆60。並執行步驟S705,輸出連接回覆60至未組網物聯網裝置。在一些實施例中,若認證結果為通過且滿足組網條件時,已組網物聯網裝置之連接回覆60的狀態為「允許連接狀態」;反之則為「拒絕連接狀態」。
前述組網條件包含:已組網物聯網裝置為於物聯網網路中具備轉送資料能力的一節點、於物聯網網路中已組網物聯網裝置的子節點數未達到一子節點數量上限以及已組網物聯網裝置與一無線接入點200之間的一跳躍數未達到一階層上限。具備轉送資料能力的節點即指中繼節點類型或根節點類型。若該節點不具有轉送資料能力(即葉節點類型),則無法作為未組網物聯網裝置的父節點。為了避免節點負擔過多的轉送資料量,每一父節點具有可連接的子節點數量上限。若已連接的子節點數量已達到該上限,則不允許再連接新的物聯網裝置作為其子節點。此外,為了避免樹狀結構的階層過多,造成資料傳遞時間過長,每個樹狀結構具有一階層上限。若欲連接的已組網物聯網裝置和無線接入點200之間的跳躍數已達到階層上限,則不允許再連接新的物聯網裝置作為其子節點。
進一步說明連接回覆60。參照圖8,係為本發明一實施例之已組網物聯網裝置傳輸的連接回覆60之資料封包格式。在一些實施例中,連接回覆60包含媒體存取控制表頭61、網狀網路表頭63及實際數據65。實際數據65包含回覆狀態651。媒體存取控制表頭61、網狀網路表頭63及其包含之格式可以是與連接要求密文50之媒體存取控制表頭61、網狀網路表頭63及其包含的格式所相類似的封包格式,例如網狀網路表頭63的封包格式可包含版本631、型態632、子型態633、序號634、控制635、保留636、來源位址637、目的位址638、第一保留位址639、第二保留位址6310,且該些封包格式可類似於圖5所示的網狀網路表頭53的封包格式,例如版本531、型態532、子型態533、序號534、控制535、保留536、來源位址537、目的位址538、第一保留位址539、第二保留位址5310。
在一些實施例中,媒體存取控制表頭61的來源地的媒體存取控制位址為已組網物聯網裝置的媒體存取控制位址,媒體存取控制表頭61的目的地的媒體存取控制位址為未組網物聯網裝置的媒體存取控制位址。在一些實施例中,連接回覆60之型態632可以為管理狀態,用以執行無線區域網路通用的標準所定義的管理功能,子狀態633可以為關聯回覆指令(Association response),即已組網物聯網裝置用以回應欲作為其子節點的未組網物聯網裝置所發送的關聯請求指令。
在一些實施例中,若連接回覆60之狀態為允許連接狀態,則連接回覆60的實際數據65的回覆狀態651為高準位的邏輯數據;若連接回覆60之狀態為拒絕連接狀態,則連接回覆60的實際數據65的回覆狀態651為低準位的邏輯數據,但並不以此為限。
因此,依據一些實施例,藉由未組網物聯網裝置與已組網物聯網裝置擁有同一把密鑰以對資料傳輸資料進行加解密,並使已組網物聯網裝置透過與未組網物聯網裝置的相同的密鑰對未組網物聯網裝置進行認證,已使物聯網裝置之間可快速認證並建立鏈路。此外,由於只需傳送少量資料即可完成認證,因此可減少物聯網裝置之間建立鏈路所需傳輸的資料量。
50:連接要求密文 60:連接回覆 51,61:媒體存取控制表頭 53,63:網狀網路表頭 531,631:版本 532,632:型態 533,633:子型態 534,634:序號 535,635:控制 536,636:保留 537,637:來源位址 538,638:目的位址 539,639:第一保留位址 5310,6310:第二保留位址 54:連接要求 541:連接資料 543:連接雜湊值 55,65:實際數據 551:初始向量 553:加密數據 651:回覆狀態 100:物聯網裝置 121:處理器 122:無線網路模組 123:認證資訊模組 200:無線接入點 300:網路配置裝置 400:雲端伺服器 601,602:樹狀結構 A~F:節點 S401~S409:步驟 S601~S610:步驟 S701~S705:步驟
[圖1]為本發明一實施例之物聯網網路之架構示意圖。 [圖2]為本發明一實施例之對於物聯網裝置進行配網之示意圖。 [圖3]為本發明另一實施例之物聯網網路之架構示意圖。 [圖4]為本發明一實施例之未組網物聯網裝置的組網認證流程圖。 [圖5]為本發明一實施例之未組網物聯網裝置傳輸的連接要求密文之資料封包格式。 [圖6]為本發明一實施例之未組網物聯網裝置的組網認證流程圖。 [圖7]為本發明一實施例之已組網物聯網裝置對未組網物聯網裝置進行組網認證的流程圖。 [圖8]為本發明一實施例之已組網物聯網裝置傳輸的連接回覆之資料封包格式。
S401~S409:步驟

Claims (10)

  1. 一種物聯網網路組網認證系統,包含: 一未組網物聯網裝置,依據一密鑰,將一連接要求加密以產生一連接要求密文,並發出該連接要求密文;以及 一已組網物聯網裝置,接收該連接要求密文,而依據該密鑰,解密該連接要求密文,以獲得該連接要求,並依據該連接要求對該未組網物聯網裝置進行認證而產生一認證結果,依據該認證結果及一組網條件決定是否允許該未組網物聯網裝置加入該物聯網網路而產生一連接回覆,並輸出該連接回覆至該未組網物聯網裝置。
  2. 如請求項1所述之物聯網網路組網認證系統,其中若該認證結果為通過認證且滿足該組網條件,該已組網物聯網裝置允許該未組網物聯網裝置加入該物聯網網路,其中該組網條件包含該已組網物聯網裝置為於該物聯網網路中具備轉送資料能力的一節點、於該物聯網網路中該已組網物聯網裝置的子節點數未達到一子節點數量上限以及該已組網物聯網裝置與一無線接入點之間的一跳躍數未達到一階層上限。
  3. 如請求項1所述之物聯網網路組網認證系統,其中,該連接要求包含一連接資料及依據該連接資料經由一雜湊函數產生的一連接雜湊值,該已組網物聯網裝置依據該連接要求中的該連接資料經由該雜湊函數產生一驗證雜湊值,並比對該驗證雜湊值及該連接雜湊值以對該未組網物聯網裝置進行認證而產生該認證結果。
  4. 如請求項3所述之物聯網網路組網認證系統,其中,該連接資料為一隨機亂數。
  5. 如請求項1所述之物聯網網路組網認證系統,其中,當該未組網物聯網裝置發出該連接要求密文至該已組網物聯網裝置時,該未組網物聯網裝置經由一計時器累計一等待回覆時間,並持續等待該已組網物聯網裝置輸出該連接回覆,當該等待回覆時間超過一超時容許值而該未組網物聯網裝置未接收到該連接回覆時,該未組網物聯網裝置重新發出該連接要求密文至該已組網物聯網裝置。
  6. 如請求項5所述之物聯網網路組網認證系統,更包含另一該已組網物聯網裝置,當該未組網物聯網裝置發出該連接要求密文至該已組網物聯網裝置次數大於一連接詢問預設值時,該未組網物聯網裝置發出該連接要求密文至另一該已組網物聯網裝置。
  7. 如請求項1所述之物聯網網路組網認證系統,其中,該未組網物聯網裝置包含: 一加密密鑰儲存電路,儲存該密鑰;以及 一加密電路,依據該密鑰加密該連接要求,以產生該連接要求密文;以及 該已組網物聯網裝置包含: 一解密密鑰儲存電路,儲存該密鑰;以及 一解密電路,依據該密鑰解密該連接要求密文,以獲得該連接要求。
  8. 如請求項1所述之物聯網網路組網認證系統,其中,該未組網物聯網裝置及該已組網物聯網裝置依據一網路配置資料獲得該密鑰。
  9. 如請求項1所述之物聯網網路組網認證系統,更包含另一該已組網物聯網裝置,其中,當該連接回覆之狀態為一允許連接狀態時,該未組網物聯網裝置通訊連接該已組網物聯網裝置,當該連接回覆之狀態為一拒絕連接狀態時,該未組網物聯網裝置發出該連接要求密文至另一該已組網物聯網裝置。
  10. 一種物聯網網路的組網認證方法,包含: 以一未組網物聯網裝置依據一密鑰,將一連接要求加密以產生一連接要求密文; 以該未組網物聯網裝置發出該連接要求密文至一已組網物聯網裝置; 以該已組網物聯網裝置依據該密鑰,解密該連接要求密文,以獲得該連接要求; 以該已組網物聯網裝置依據該連接要求對該未組網物聯網裝置進行認證而產生一認證結果; 以該已組網物聯網裝置依據該認證結果及一組網條件決定是否允許該未組網物聯網裝置加入該物聯網網路而產生一連接回覆;以及 以該已組網物聯網裝置輸出該連接回覆至該未組網物聯網裝置。
TW109112079A 2020-03-18 2020-04-09 物聯網網路組網認證系統及其方法 TWI733408B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202010190821.1A CN113497812B (zh) 2020-03-18 2020-03-18 物联网网络组网认证系统及其方法
CN202010190821.1 2020-03-18

Publications (2)

Publication Number Publication Date
TWI733408B TWI733408B (zh) 2021-07-11
TW202137792A true TW202137792A (zh) 2021-10-01

Family

ID=77746840

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109112079A TWI733408B (zh) 2020-03-18 2020-04-09 物聯網網路組網認證系統及其方法

Country Status (3)

Country Link
US (1) US11336434B2 (zh)
CN (1) CN113497812B (zh)
TW (1) TWI733408B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI757221B (zh) * 2021-08-12 2022-03-01 瑞昱半導體股份有限公司 無線通訊裝置與資料處理方法
CN114666097B (zh) * 2022-02-25 2024-05-28 深圳极联信息技术股份有限公司 一种物联网设备的通信方法及系统
CN115242545B (zh) * 2022-08-06 2023-12-08 山西工程科技职业大学 一种物联网设备数据的安全管理方法及系统

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090147714A1 (en) * 2007-12-05 2009-06-11 Praval Jain Method and system for reducing power consumption in wireless sensor networks
CN102238146B (zh) * 2010-04-27 2014-10-08 中国移动通信集团公司 认证方法、装置、认证中心及系统
US8447849B2 (en) * 2010-11-09 2013-05-21 Cisco Technology, Inc. Negotiated parent joining in directed acyclic graphs (DAGS)
TWI525581B (zh) * 2013-08-28 2016-03-11 郭傳興 智能訊息傳遞方法、裝置與電腦可讀取儲存裝置
US10116648B1 (en) * 2015-06-19 2018-10-30 EMC IP Holding Company LLC User authentication
CN105162772B (zh) * 2015-08-04 2019-03-15 三星电子(中国)研发中心 一种物联网设备认证与密钥协商方法和装置
CN106209384B (zh) * 2016-07-19 2019-09-10 上海电享信息科技有限公司 使用安全机制的客户终端与充电装置的通信认证方法
US10143000B2 (en) * 2016-12-12 2018-11-27 Landis+Gyr Innovations, Inc. Prioritized association between child devices and parent devices operating on a time-slotted channel hopping network
WO2018151822A1 (en) * 2017-02-17 2018-08-23 Richard Huffman Universal digital identity authentication service
US10536853B2 (en) * 2017-03-03 2020-01-14 Texas Instruments Incorporated Secure network authentication at a gateway for non-internet protocol enabled devices
CN107231627B (zh) 2017-08-10 2020-11-10 乐鑫信息科技(上海)股份有限公司 一种蓝牙网络及配网方法
KR20190029280A (ko) * 2017-09-12 2019-03-20 삼성전자주식회사 트리 구조를 이용하는 무결성 검증 방법 및 장치
CN107889119B (zh) 2017-11-16 2021-06-08 乐鑫信息科技(上海)股份有限公司 一种Mesh网络的辅助工具、Mesh网络及配网、组网方法
CN108156644B (zh) 2017-12-29 2020-12-08 乐鑫信息科技(上海)股份有限公司 一种mesh网络内父节点的选择方法
US10607012B2 (en) * 2017-12-29 2020-03-31 Delphian Systems, LLC Bridge computing device control in local networks of interconnected devices
CN108391238A (zh) 2018-02-01 2018-08-10 乐鑫信息科技(上海)有限公司 无线mesh网络的配网方法
CN108199905A (zh) 2018-02-01 2018-06-22 乐鑫信息科技(上海)有限公司 Mesh网络及其mesh设备和配网方法
CN108366362B (zh) 2018-02-01 2021-02-12 乐鑫信息科技(上海)股份有限公司 Mesh网络及其mesh设备安全配网方法
US10838705B2 (en) * 2018-02-12 2020-11-17 Afero, Inc. System and method for service-initiated internet of things (IoT) device updates
US11265699B2 (en) * 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
US10942791B2 (en) * 2018-09-17 2021-03-09 Oracle International Corporation Managing load in request processing environments
CN109495516A (zh) * 2019-01-07 2019-03-19 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网终端接入方法
US20200296089A1 (en) * 2019-03-15 2020-09-17 International Business Machines Corporation Validating containers on a microservice framework
US11284463B2 (en) * 2019-07-16 2022-03-22 T-Mobile Usa, Inc. Automatically resetting interrupted network connections

Also Published As

Publication number Publication date
US20210297246A1 (en) 2021-09-23
CN113497812B (zh) 2024-08-09
TWI733408B (zh) 2021-07-11
CN113497812A (zh) 2021-10-12
US11336434B2 (en) 2022-05-17

Similar Documents

Publication Publication Date Title
EP2122991B1 (en) Method for establishing secure associations within a communication network
US9668200B2 (en) Wireless extender secure discovery and provisioning
US10129745B2 (en) Authentication method and system for wireless mesh network
Unwala et al. Thread: An iot protocol
JP6240273B2 (ja) メッシュネットワークにおけるdhcpサービスを使用する認証
TWI733408B (zh) 物聯網網路組網認證系統及其方法
TWI778171B (zh) 待配網設備連接網路熱點設備的方法和系統
EP3764697B1 (en) Method of batch automatic network configuration of wifi devices, terminal equipment and storage medium
US8661510B2 (en) Topology based fast secured access
JP2019506049A (ja) 複数のセキュリティレベルを備える無線通信システム
JP4578917B2 (ja) 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体
US11696134B2 (en) Secure path discovery in a mesh network
JP2008547257A (ja) アドホックネットワーク内でデータを安全に伝送するための方法および装置
US20190372973A1 (en) Device onboarding with automatic ipsk provisioning in wireless networks
US20230308305A1 (en) Method and apparatus for setting multiple controllers in wireless lan system in smart home environment
CN114520967A (zh) 设备接入网络的方法、系统及相应的物联网设备
JP4444130B2 (ja) 無線アクセスポイント及びその経路決定方法又はその通信方法、無線通信システム及びその通信方法
US20170070343A1 (en) Unicast key management across multiple neighborhood aware network data link groups
Clark Securely & Efficiently Integrating Constrained Devices into an ICN-IoT
WO2017169957A1 (ja) 通信システム、子機及び親機
EP4250641A1 (en) Method, devices and system for performing key management
Holguin et al. Smart Home IoT Communication Protocols and Advances in their Security and Interoperability
TW202404326A (zh) 節點配對方法