TWI401979B - 無線感測網路之存取授權裝置與方法 - Google Patents

無線感測網路之存取授權裝置與方法 Download PDF

Info

Publication number
TWI401979B
TWI401979B TW098134815A TW98134815A TWI401979B TW I401979 B TWI401979 B TW I401979B TW 098134815 A TW098134815 A TW 098134815A TW 98134815 A TW98134815 A TW 98134815A TW I401979 B TWI401979 B TW I401979B
Authority
TW
Taiwan
Prior art keywords
node
sensing
access authorization
data
target
Prior art date
Application number
TW098134815A
Other languages
English (en)
Other versions
TW201114275A (en
Inventor
Lee Chun Ko
Virgil D Gligor
Hayan Lee
Original Assignee
Ind Tech Res Inst
Univ Carnegie Mellon
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ind Tech Res Inst, Univ Carnegie Mellon filed Critical Ind Tech Res Inst
Priority to TW098134815A priority Critical patent/TWI401979B/zh
Priority to US12/652,743 priority patent/US8461963B2/en
Publication of TW201114275A publication Critical patent/TW201114275A/zh
Application granted granted Critical
Publication of TWI401979B publication Critical patent/TWI401979B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

無線感測網路之存取授權裝置與方法
本發明係關於一種無線感測網路(Wireless Sensor Network,WSN)之存取授權(access authorization)裝置與方法。
無線感測器網路包括許多微小、分散式、低耗電及低複雜度的感測節點來相互合作地監測物理環境資訊,例如環境的溫度、溼度、震動、光度、壓力、氣體、濃度等。多媒體資料,例如影像或聲音的資料,也可以藉由無線感測網路收集並傳送。所收集的資料大部份用來偵測一些事件或觸發其他的動作。無線感測網路的應用包含如建築結構偵測、地震活動偵測、安全監控、森林火災偵測及戰場監控等。
第一圖是一種無線感測器網路之應用架構的一個範例示意圖。參考第一圖,多個感測節點所形成的無線感測器網路105中的感測節點,例如感測節點131,將感測到的資料以多跳式(multi-hop)傳送到基地節點(Base Station,BS)110,基地節點110收集感測資料並透過網際網路114傳送到伺服器(Server)116上,此伺服器例如是一個網頁伺服器。使用者,例如118或120,可於遠端透過網際網路114連線登入至伺服器116,由伺服器116來驗證使用者之身份及權限後,使用者就可以依照本身之 權限來存取無線感測器網路110中感測節點的感測資料。
無線感測器網路的應用中,感測資料的收集通常是將感測資料週期性地回傳到基地節點或是以特殊的處理方式聚集後傳回到基地節點,後端的伺服器再進行感測資料的分析處理以讓使用者讀取。多媒體資料量相較於一般感測資料大很多,且考量無線感測器網路的通訊能力與低功率(lower-power)感測器之限制,此類資料型態的收集大部份是使用者下命令後才將此資料收集回來。多媒體資料的收集也涉及了隱私性的問題。
例如,無線感測網路應用於安全監控時,使用者希望當有入侵者入侵時,警衛能夠觀看影像以補捉到入侵者的外貌做為追補入侵者的輔助資訊,但又希望平常能夠保有隱私權,不讓警衛能夠觀看需要隱私的區域。如果無線感測網路不斷地回報感測資訊,透過基地節點然後傳到伺服器,伺服器可以依照這些感測資訊來判斷是否發生特定事件,然後開啟警衛或特定使用者之權限來進行存取影像資料。也就是說,使用者之存取授權條件來自可信賴元件所提供之資訊,而存取授權的判斷也是在一種隔離於攻擊者且安全可信賴的環境或是元件上完成,例如安全的核心、可信賴的計算基礎或是安全的計算裝置上,所以,實體破壞攻擊是假設不可能存在的。
然而,此法會加速基地節點的鄰近節點因為不斷的路 由(routing)封包而造成電源提早耗盡。因此,如何針對不同的使用者進行不同的存取權限(access privilege)控管以及在適當的時機,例如緊急事件發生時,讓某些使用者能夠獲得即時讀取多媒體資料的權限,並且設計出適合無線感測網路特性的安全存取控制技術也是無線感測器網路的關鍵技術之一。
第二圖之台灣專利公開號200614767揭露的資料授權方法的範例係用於兩行動裝置之間資料分享之授權操作。如第二圖的範例流程所示,由一行動裝置A傳送分享封包給行動裝置B,封包內容包括分享之資料及對應之資料規則,行動裝置B根據初始資料規則及環境感知資訊判別是否有權限存取封包內分享之資料,也就是說,一行動裝置將要分享的資料直接傳給另一行動裝置,由此另一裝置判斷本身是否有權限讀取分享資料,其中,此判斷存取授權規則的環境感知資訊未包含任何物理環境資訊。
第三圖之美國專利號US7,447,494所揭露的安全無線授權系統(Secure Wireless Authorization System)的範例係用於兩裝置於遠端透過一伺服器進行存取授權驗證,使得第三方裝置可以存取到遠端另一使用者裝置,如第三圖的系統範例所示,使用者310以安全的方式登入至授權伺服器(authorization server)312之後保持連線,然後遠 端第三方裝置(remote third party entity)320發起授權要求,授權伺服器312驗證授權要求等相關資訊後,同意遠端第三方裝置執行程序,也就是說,存取授權驗證是完全由授權伺服器312來進行的。
本揭露的實施範例可提供一種無線感測網路之存取授權裝置與方法。
在一實施範例中,所揭露者是關於一種無線感測網路之存取授權裝置。此裝置包含至少一基地節點、以及由數個感測節點形成的一無線感測網路。此至少一基地節點取得一使用者的一存取授權後,發送一要求訊息到此無線感測網路中的一目標感測節點。此目標感測節點根據此要求訊息向此無線感測網路中的至少一控制節點,要求回傳其感測資料,並參考此至少一控制節點回傳的感測資料,來判斷是否符合此使用者的存取授權,以做為是否回傳符合此存取授權之多媒體資料的依據。
在另一實施範例中,所揭露者是關於一種無線感測網路之存取授權方法。此方法包含:透過至少一基地節點,取得一使用者的存取授權;從一無線感測網路的數個感測節點中選取至少一控制節點,以及選取由此基地節點到一目標感測節點之至少一中間路由節點;透過此基地節點,發送一要求訊息到此目標感測節點,此要求訊息 至少備有驗證資訊;此目標感測節點根據此要求訊息,向被選取的至少一控制節點要求回傳其感測資料,並參考此回傳的感測資料,來判斷是否符合此使用者的存取授權,並發出一相對應的回應訊息;此至少一中間路由節點根據此驗證資訊,檢查此回應訊息,以決定丟棄或是轉送此回應訊息;以及透過此基地節點,驗證被轉送的回應訊息。
茲配合下列圖示、實施範例之詳細說明及申請專利範圍,將上述及本發明之其他目的與優點詳述於後。
本揭露的實施範例提供一種無線感測網路之存取授權技術,其設計是將使用者之存取授權資料送到無線感測網路內的一目標感測節點,然後由無線感測網路內的其他感測節點相互合作,回報所感測的物理環境資訊,例如環境的溫度、溼度、光度、振動、壓力、氣體、濃度等資訊,以進行分散式的存取授權判斷,進而決定是否回傳資料給使用者讀取。此存取授權技術將可應用於多模式無線感測網路環境中,來做為使用者存取無線感測網路所偵測到的多媒體資料,例如影像或聲音資料,之存取授權控管。
第四圖是無線感測網路的使用情境的一個範例示意圖,與所揭露的某些實施範例一致。第四圖的使用情境 範例400中,假設從基地節點402到目標感測節點404中間有m個中間路由節點(intermediate routing node)411-41m,且無線感測網路400是以多跳式(multihop)406的方式進行資料傳遞從基地節點402到目標感測節點404的要求訊息,如箭頭410所指;在目標感測節點404之同一區域408內有多個感測節點,同一區域408代表目標感測節點404與其他感測節點可以互相通訊的範圍,其中有數個感測節點,例如感測節點421-42k,可提供區域408之其他感測資料給目標感測節點404來進行使用者存取授權的判斷,此類可提供同一區域內之其他感測資料給目標感測節點來進行使用者存符合取授權判斷的感測節點稱之為該區域的控制節點(controlling node)。目標感測節點404判斷符合存取授權後,則回應以多媒體資料,如箭頭420所指。
由於存取授權的判斷是在感測節點上完成,因此感測節點可能遭受實體破壞攻擊(node compromised attacks)。攻擊者的目標是期望在沒有有效的存取權限下企圖繞過存取授權的判斷,來得到某些區域的多媒體感測資料,也就是說,某一區域的感測資料並不符合存取授權的條件,而本揭露的實施範例則是要能防止這些攻擊者的可能攻擊行為來企圖繞過存取授權的判斷,第五圖至第九圖分別列出五種可能的攻擊模型的範例。此五種可能的攻擊模型包括影響傳送訊息者、破壞攻擊目標 感測節點者、破壞攻擊控制節點者、移動目標感測節點者、以及移動控制節點者。
第五圖之攻擊模型的範例是攻擊者影響或操作控制節點傳送給目標感測節點的訊息,來企圖通過存取授權的判斷,例如攻擊者505修改或是重送控制節點521-525傳送給目標感測節點404之符合存取授權判斷的感測資料。第六圖之攻擊模型的範例是攻擊者605可破壞攻擊目標感測節點404,如箭頭610所指;然後,如箭頭420所指,將多媒體直接回傳到基地節點,而沒有向周圍控制節點詢問其感測資料以判斷環境資訊是否符合存取授權。第七圖之攻擊模型的範例是攻擊者705可破壞或攻擊控制節點721-724,然後傳送假的感測資料給目標感測節點404來符合存取授權判斷,如箭頭710所指。
第八圖之攻擊模型的範例是,若攻擊者805有權限存取一區域802的目標影像或聲音感測資料,攻擊者805可移動目標感測節點404到其他區域804,如箭頭810所指;而導致攻擊者805可以非法取得其他區域804的多媒體資料。
第九圖之攻擊模型的範例是,攻擊者移動控制節點到其他有符合存取授權條件的物理環境區域,例如,攻擊者905移動控制節點921到其他區域906,如箭頭910 所指;攻擊者905移動控制節點922到另一其他區域904,如箭頭920所指;而導致攻擊者可以非法取得多媒體資料。
由於感測節點所偵測到的物理環境資料,例如溫度、溼度、光度及振動等,是做為存取授權判斷之條件,並且在資源有限的無線感測網路上進行傳送多媒體之類的大量資料會造成一定的負擔,也是通訊負擔消耗電源的因素之一,因此,本揭露之無線感測網路之存取授權裝置的實施範例在設計上會對於物理環境資料偵測的錯誤或攻擊者的攻擊破壞有相對應的機制來處理。例如將錯誤的訊息,如上述攻擊模型中被攻擊者竄改或是不合法的回應訊息等,在中間過程時就先濾除丟棄,不需要等到被回傳到基地節點時才被發現丟棄,如此可避免中間路由節點耗費資源來傳送此錯誤訊息。
第十圖是無線感測網路之存取授權裝置的一個範例示意圖,與所揭露的某些實施範例一致。第十圖的範例中,存取授權裝置包含至少一基地節點1004、以及由數個感測節點形成的一無線感測網路1006。至少一基地節點1004取得一使用者1008的一存取授權1008a後,發送一要求訊息1004a到無線感測網路1006中的一目標感測節點1010,目標感測節點1010根據要求訊息1004a,向無線感測網路1006中的至少一控制節點要求回傳其 感測資料,並根據此至少一控制節點回傳的感測資料,來判斷是否符合使用者1008的存取授權1008a,以做為是否回傳符合存取授權1008a之多媒體資料的依據。
此至少一控制節點皆為無線感測網路1006中的感測節點,例如感測節點1021-1024,可參考至少一類型的物理環境資訊,例如環境的溫度、溼度、光度、振動等資訊,是否符合使用者1008之存取授權內所標示之條件,來決定是否回傳其感測資料給目標感測節點1010來進行存取授權1008a的判斷。回傳的感測資料如果符合使用者1008的存取授權1008a,目標感測節點1010就傳回符合存取授權1008a的多媒體資料,如影像或聲音資料,給基地節點1004,基地節點1004再傳回此多媒體資料給伺服器,以提供給使用者。如果未符合使用者1008的存取授權1008a,目標感測節點1010則送回拒絕存取的訊息。
參考由控制節點回傳感測資料的方式可針對一種型態之感測資料來參考至少一個控制節點所回傳之感測資料,然後計算所回傳之感測資料的統計量,例如平均(average)、多數(majority)、最大(maximum)或最小值(minimum)等,做為最後參考的感測資料。
基地節點1004發送的要求訊息1004a還包括一驗證 參數,此驗證資訊是提供給由基地節點1004到目標感測節點1010之中間的一或多個路由節點的每一路由節點,可做為日後驗證回應訊息的一個參數,例如路由節點可用此參數來檢查出有被攻擊者竄改或是不合法的回應訊息時,在中間過程就先丟棄此回應訊息。
使用者1008可提出身份識別及密碼登入伺服器1002,例如一網頁伺服器,然後伺服器驗證使用者身份後,可向基地節點1004發出一要求命令。根據要求命令1002a,基地節點1004可透過網際網路,向至伺服器1002取得使用者1008的存取授權1008a。
承上述,第十一圖是無線感測網路之存取授權方法的一個範例流程圖,與所揭露的某些實施範例一致。此範例流程中,首先透過基地節點1004,取得使用者1008的存取授權,如步驟1110所示。從無線感測網路1006的數個無線感測節點中選取至少一控制節點,以及選取由基地節點1004到目標感測節點1010之至少一中間路由節點,如步驟1120所示。透過基地節點1004,發送一要求訊息1004a到目標感測節點1010,要求訊息1004a至少備有驗證資訊,如步驟1130所示。目標感測節點1010根據要求訊息1004a,向選取的至少一控制節點要求回傳其感測資料,並參考此回傳的感測資料,來判斷是否符合使用者1008的存取授權1008a,並發出一相對應的回應訊息,如步驟1140所示。此至少一中間路由節 點根據此驗證資訊,檢查此回應訊息,以決定丟棄或是轉送此回應訊息,如步驟1150所示。再由基地節點1004驗證被轉送的回應訊息,如步驟1160所示。
承上述,基地節點1004可包括一儲存單元、一中央處理單元、以及一第一通訊介面與一第二通訊介面。如第十二圖的範例所示,儲存單元1210進行資料之儲存,儲存資料例如使用者1008的存取授權、要求訊息1004a、回應訊息等。中央處理單元1220透過第二通訊介面1232,根據使用者的存取授權,下達傳送要求訊息1004a到目標感測節點1010,及透過第一通訊介面1231將目標感測節點1010回傳之多媒體資料傳送給伺服器1002。第一通訊介面1231係與伺服器1002進行雙向溝通。第二通訊介面1232係與無線感測網路中的感測節點或是中間路由節點進行溝通。
每一控制節點1300可包括至少一感測器,一通訊介面,及一中央處理單元。如第十三圖的範例所示,至少一感測器1310感測至少一類型的物理環境資訊,例如溫度、溼度、光度、壓力、氣體、濃度等。通訊介面1320與基地節點1004及目標感測節點1010進行雙向溝通。中央處理單元1330可指揮感測器1310進行感測,並可透過通訊介面1320傳回感測器1310之感測資料1310a給目標感測節點1010。
目標感測節點1010可包括至少一感測器,一通訊介面,及一中央處理單元。如第十四圖的範例所示,通訊介面1420與基地節點1004及每一控制節點進行雙向溝通。中央處理單元1430根據基地節點1004發送的要求訊息1004a,透過通訊介面1420,向每一控制節點要求感測資料,並根據此感測資料判斷是否指揮至少一感測器1410擷取出多媒體資料1410a來回傳給基地節點1004。
第二通訊介面1232、通訊介面1420、以及通訊介面1320可採用無線之傳輸方式,例如IEEE 802.15.4無線感測網路及BlueTooth等具多跳式之短距通訊協定。第一通訊介面1231則可採用有線或無線之傳輸方式,例如乙太網路、IEEE 802.11無線網路、WiMax、3G、3.5G及GPRS等。
基地節點1004發送的要求訊息1004a包括了驗證資訊,本揭露之無線感測網路之存取授權的技術中,所有相關的回應訊息也會包含一個證據,來證明此回應訊息是經過存取授權的驗證,例如,證明控制節點確實有回報感測資料給目標感測節點、目標感測節點確實有驗證使用者的存取授權等。選取的中間路由節點隨著要求訊息傳送不同的驗證金鑰,便能驗證是否路由這些回應訊息至下一個節點,也就是說,由中間的路由節點當中隨 機選取部份節點使其能夠提早驗證回應訊息的正確性。
當基地節點發出要求訊息,欲讀取目標感測節點的多媒體的資料時,基地節點會根據使用者的存取授權來告知目標感測節點,需要向所屬區域的哪一些控制節點要求感測讀值。控制節點的選擇與感測讀值的計算方式可採用的範例有多種,例如,從多個同類型的控制節點當中隨機或固定選取某一個控制節點來做為某一種類型的讀值結果、從多個同類型的控制節點當中隨機或固定選取部份或所有的控制節點並計算平均讀值(average)或多數讀值(majority)來做為某一種類型的讀值結果。若是系統具備單一控制節點存在多種類型的感測器,也可以隨機或固定選取單一或部份控制節點然後計算平均或多數讀值,來做為某一種類型的讀值結果。控制節點以隨機或固定選取的方式來決定,可降低攻擊者破壞部份控制節點所造成的影響,例如,破壞攻擊部份控制節點以回報的假的感測訊息或是破壞攻擊中間路由節點以假造回應訊息等。
本揭露的實施範例中,採用一種節點移動偵測協定(Node-Movement Detection Protocol),來防止節點如目標感測節點或控制節點,被移動位置。此協定可利用一節點的鄰居節點來監控此節點的相對距離是否有變化,可做為防範節點被移動或攻擊的對策。此協定之初始化的過程可在網路佈建完成後,且沒有攻擊者介入的情況下 來執行完成。例如,每一個節點廣播n個信標(beacon)封包給鄰居節點,然後每一個節點根據每一個鄰居所發出的信標封包,來計算與每一個鄰居節點之間的距離,再將計算結果紀錄下來並標示為參考集合{d1,d2,...,dn}。此協定初始化後,一個節點就可以執行此協定來檢查自己本身是否被移動。
執行此協定的動作說明如下。每一個節點廣播n個信標封包給鄰居節點,然後每一個鄰居節點根據所收到的信標封包來計算與發出信標封包節點之間的距離,將計算結果紀錄下來並標示為測試集合{d1’,d2’,...,dn’},每一個鄰居節點再比較兩集合之間的差異。比較差異的方式有多種,例如,差異小於一個可容忍誤差的門檻值時,則回報的值表示節點未被移動,反之,差異大於此可容忍誤差的門檻值時,則回報的值表示節點已被移動。
如第十五圖的範例所示,當一個節點1510被移動後(如箭頭1520所指),此節點與每一個鄰居節點,例如鄰居節點1531-1534,之相對距離也會跟著改變,其中虛線標示為節點1510原本與鄰居節點之距離,實線標示為移動位置後的節點1540與鄰居節點之距離。因此,一節點若收到一個超過門檻值的回報距離時,表示本身已被移動,此節點即可判定本身已遭到攻擊者1550移動。換句話說,利用鄰居節點來計算與本身節點之間的距離並且與先前紀錄的距離做比較,每一個節點可由多數鄰居節 點來告知其位置是否已經遭攻擊者移動。若要降低因環境所造成的誤差,其方式例如可提高n的數量、或是增加鄰居的節點數量、或是適當地調整門檻值等。
以下定義一些符號及其意義,並以一工作範例來詳細說明本揭露之內容。
A→B:M表示A傳送訊息M給B,{M}k 表示訊息M加密,MAC(M,K)表示用金鑰K計算訊息M的訊息驗證碼,H(‧)表示單向雜湊函式,M ∥ N表示訊息M連接訊息N,⊕表示互斥或XOR運算,IDi 表示i的身份,Ri 表示i的感測讀值,Ki 表示i與基地節點共享的點對點金鑰,以及Kij 表示i與j共享的點對點金鑰。
以第四圖之無線感測網路端的使用情境為例,假設有一個使用者的存取授權的條件為:讀取影像資料,其物理環境為溫度高於30度、光度大於200流明、以及溼度低於30%。當基地節點402取得此使用者存取授權時,例如收到來自一伺服器的命令時,假設基地節點402隨機或固定選取的結果為參考區域408的某一光度感測器(標示為SC1)讀值、參考區域408的某三個溫度感測器(標 示為SC2、SC3、SC4)之平均讀值、以及參考區域408的某四個溼度感測器(標示為SC5、SC6、SC7、SC8)之多數讀值,則由基地節點402發出傳送到目標感測節點404的要求訊息之通用格式的一個範例如第十三圖所示,與所揭露的某些實施範例一致。
第十六圖的範例中,通用格式的欄位內容可包括此要求訊息的身份QID、一驗證參數C’、加密的使用者的存取授權{acc_auth}k 、一隨機亂數N、以及被選取到控制節點之感測資料型態與其計算方式、被選取到控制節點的身份、以及其感測資料的有效範圍。以上述之基地節點402隨機選取的結果為例,則由基地節點402傳送給目標感測節點404的要求訊息可包括QID、C’,{acc_auth}k 、N、以及三種類型,即光度感測器(SC1)、三個溫度感測器(SC2、SC3、SC4)、四個溼度感測器(SC5、SC6、SC7、SC8),之感測資料型態與其計算方式、此三種類型之感測器的身份與其感測資料的有效範圍valid_range,並可表示如下:QID,C’,{acc_auth}k ,N,{光度_平均:IDSC1 ,第一有效範圍},{溫度_平均:IDSC2 ,IDSC3 ,IDSC4 ,第二有效範圍},{濕度_多數:IDSC5 ,IDSC6 ,IDSC7 ,IDSC8 ,第三有效範圍},其中,第一有效範圍是光度感測器SC1之光度讀值的平均值結果,第二有效範圍是三個溫度感測器(SC2、SC3、SC4)之溫度讀值的平均值結果,第三有效範圍是四個濕 度感測器(SC5、SC6、SC7、SC8)之溼度讀值的多數值結果。
驗證參數C’是給由基地節點402到目標感測節點404的每一中間路由節點做為日後回傳訊息的一個參數。以上述之要求訊息為例,則計算驗證參數C’的一個範例方式如下:令CSCi =N⊕KSCi ,i從1至8,且C=h(CSC1 )⊕…⊕h(CSC8 ),則計算C’=h(CSC1 )。
當此要求訊息送出後,從基地節點402到目標感測節點404中,中間路由節點411-41m的每一中間路由節點把QID及C’儲存起來,並且路由此要求訊息至下一個節點,如第十七圖所示,與所揭露的某些實施範例一致。這些儲存值可在回應訊息回傳後或是超過某一時間後由節點自動刪除,以節省該節點的儲存空間。
當目標感測節點404收到此訊息後,解密取出使用者的存取授權acc_auth並且可執行節點移動偵測協定來判斷本身之位置是否遭到移動,如果目標感測節點404發現自己位置已經遭到移動,則回報此事件給基地節點402並且終止後續動作;反之,目標感測節點404根據要求訊息,執行下列動作來向控制節點要求感測讀值:目標感測節點→SC1:N,<光度>, 目標感測節點→SC2、SC3、SC4:N,<溫度>,目標感測節點→SC5、SC6、SC7、SC8:N,<濕度>。
控制節點收到來自目標感測節點404的訊息後,可執行節點移動偵測協定來判斷本身之位置是否遭到移動,如果發現自己的位置已經遭到移動,則回報此事件給基地節點402進行後續處理;反之,控制節點執行下列動作來回報目標感測節點404所要求的感測讀值:SCi→目標感測節點:RSCi ,i從1至8。
目標感測節點404收到控制節點回報的感測讀值後,進行計算(例如平均值或多數值計算),然後檢查計算結果是否符合使用者的存取授權acc_auth及有效範圍,,如果有任何一項不符合,則回報次事件給基地節點402並且終止後續動作;反之目標感測節點404多媒體資料(image)並執行下列動作,來將加密之多媒體資料傳送至每一控制節點:目標感測節點→SCi:h({多媒體資料}k ),i從1至8。
每一控制節點SCi收到上述訊息後,可利用隨機亂數N及本身與基地節點402共享的金鑰KSCi ,來算出CSCi ,然後執行下列動作,來加密h(CSCi )並傳送加密的h(CSCi )與一訊息驗證碼i_MAC至目標感測節點404: SCi→目標感測節點:{h(CSCi )}k ,i_MAC,i從1至8,其中,i_MAC=MAC(RSCi ∥ h({多媒體資料}k ),h(CSCi ∥ KSCi ))。
目標感測節點404解密取出每一個h(CSCi )以計算出出C值,並且也計算光度訊息驗證碼MACL 、溫度訊息驗證碼MACT 、濕度訊息驗證碼MACH ,藉由MACL 、MACT 、MACH ,再計算出一多模式訊息驗證碼SMAC值,各值計算如下:C=h(CSC1 )⊕…⊕h(CSC8 ),MACL =MAC(RSC1 ∥ h({多媒體資料}k ),h(CSC1 ∥ KSC1 )),MACT =MAC(RSC2 ∥ h({多媒體資料}k ),h(CSC2 ∥ KSC2 ))⊕MAC(RSC3 ∥ h({多媒體資料}k ),h(CSC3 ∥ KSC3 ))⊕MAC(RSC4 ∥ h({多媒體資料}k ),h(CSC4 ∥ KSC4 )),MACH =MAC(RSC5 ∥ h({多媒體資料}k ),h(CSC5 ∥ KSC ))⊕…⊕MAC(RSC8 ∥ h({多媒體資料}k ),h(CSC8 ∥ KSC8 )),SMAC=MACL ⊕MACT ⊕MACH
然後,目標感測節點404執行下列動作,來傳送給基地節點402之回應訊息Repl_message:目標感測節點→基地節點:Reply_message,其中,回應訊息Reply_message的內容包括如QID、C、配對{IDSCi :RSCi }、MACL 、MACT 、MACH 、{多媒體資料}k 、 {SMAC}k ,i從1至8;配對{IDSCi :RSCi }表示被基地節點402隨機選取到的控制節點SCi的身份及此控制節點SCi所回報的感測讀值。
當回應訊息在回傳的過程中,每一個中間路由節點根據QID驗證h(C)使否等於C’,如果不是則捨棄該回應訊息;反之則路由回應訊息至下一個節點,如第十八圖所示,與所揭露的某些實施範例一致。
當回應訊息傳回到基地節點402後,基地節點402驗證h(C)使否等於C’、所有的讀值是否符合使用者的存取授權acc_auth及有效範圍、以及SMAC值是否正確,如果都沒問題,則將影像,即{多媒體資料}k ,解密後回傳到伺服器,以提供給該使用者,反之則丟棄回應訊息。
接下來說明可增加中間路由節點之驗證功能的MACL 、MACT 、MACH 。當基地節點402一開始傳送要求訊息到目標感測節點404時,基地節點402可以隨機選取部份中間路由節點並且隨著要求訊息傳送不同的驗證金鑰給這些隨機選取的中間路由節點,這些擁有部份驗證金鑰的中間路由節點便有能力可以驗證MACL 、MACT 、MACH
舉例來說,假設基地節點402分別傳送驗證金鑰h(CSC2 ∥ KSC2 )∥ h(CSC3 ∥ KSC3 )∥ h(CSC4 ∥ KSC4 )給一第一中 間路由節點,以及驗證金鑰h(CSC1 ∥ KSC1 )給一第二中間路由節點,則當目標感測節點404回傳影像訊息給基地節點402時,第一中間路由節點便可以驗證MACT ,而第二中間路由節點便可以驗證MACL 。如此,讓不合法的回應訊息可以在中間的傳送過程中就被中間路由節點提早過濾掉,而不用等到傳回到基地節點才發現,以節省傳送不合法訊息的資源。
本揭露的無線感測網路之存取授權技術也可以抵抗如第五圖至第九圖之攻擊模型,使得攻擊者沒有辦法透過這些攻擊來逃避存取授權的控管或是得到不應該有的存取權限。以下一一分析本揭露之安全性。
由於目標感測節點回應給基地節點的訊息包含了參數C,而參數C是必須由所有被隨機或固定選取到的控制節點來算出的資訊,因此即使目標感測節點被攻擊破壞了,也無法在未要求所有控制節點之感測讀值前,回應訊息給基地節點。攻擊者也無法假造任何訊息回傳給基地節點;此外,每一中間路由節點也會驗證參數C的正確性,未包含正確C的回應訊息馬上會被捨棄掉。
因為每一個由被隨機或固定選取到的控制節點SCi所回傳的感測讀值RSCi 都用其與基地節點共享的金鑰組成之參數來計算訊息驗證碼MAC,例如MACL 、MACT 、或MACH ,並且隨機選取到的中間節點以及基地節點都 會驗證MAC的正確性,任何未包含正確MAC的回應訊息馬上就會被捨棄掉。所以,被破壞攻擊的目標感測節點無法假造符合存取授權的感測讀值,攻擊者也無法修改感測讀值。
因為計算MAC的金鑰時,需包含參數CSCi ,而參數CSCi 是由基地節點每次產生的隨機亂數N計算而來的,因此,攻擊者無法重送感測讀值及訊息驗證碼MAC。
因為任何被隨機選取到的中間路由節點會驗證部份的訊息驗證碼MAC,例如MACL 、MACT 、或MACH ,被竄改的多媒體資料在未回傳到基地節點時就會被中間路由節點驗證到而捨棄掉。因此,攻擊者無法竄改目標感測節點回傳的多媒體資料。
雖然本揭露之實施範例利用隨機選取到的中間路由節點來提早驗證訊息驗證碼MAC的正確性,然而攻擊者還是有部份機率可以攻擊破壞被隨機選取到的中間路由節點,然後假造感測讀值及其MAC。因為被隨機選取到的中間路由節點有驗證MAC的金鑰,便能計算出合法的MAC。然而,當基地節點收到回應的訊息後,會解密及驗證SMAC,因此任何被竄改的MAC,例如MACL 、MACT 、或MACH ,最後在基地節點都會因為驗證SMAC而被發現。
移動目標感測節點或是任何的控制節點將會被節點移動偵測協定偵測出來。因此,可以確保節點位置不會被移動到不該存在的位置或環境當中,而偵測之精確度可視周圍環境及硬體靈敏度等因素來決定。
綜上所述,本揭露之實施範例可提供一種無線感測網路之存取授權裝置與方法。其回應訊息包含一個證明參數C,代表了回應訊息的認證性及有效性。而隨機或固定式的節點選擇,包括控制節點的選擇與驗證要求或回應訊息的中間路由節點的選擇,加上參考多數感測節點回報的感測資料,可降低被攻擊者破壞攻擊的影響。錯誤的資料也會被中間路由節點發現並提早濾除,可節省無線感測網路的資源。本揭露之實施範例只使用輕量化的計算方式,如互斥或、單向雜湊函式、對稱式金鑰加密等計算方法來實現安全性功能,因此也很適合於無線感測網路環境。
此外,每一中間路由節點只需要儲存QID及C’(小於10位元組),部份被隨機選取到的中間路由節點也只需多存少許的驗證金鑰,例如若用AES-128,則儲存一把金鑰只需16位元組的儲存空間,這些儲存值也可以在回應訊息回傳後或超過一時間後由節點自動刪除。本揭露之安全存取控制結構可防止節點遭受多種攻擊模型的破壞或移動,也可用於多模式無線感測網路的存取授權,此多模式無線感測網路中的感測器例如用來感測溫度、溼 度、光度、壓力、氣體、濃度等各類型的環境數值。
惟,以上所述者僅為本發明之實施範例,當不能依此限定本發明實施之範圍。即大凡本發明申請專利範圍所作之均等變化與修飾,皆應仍屬本發明專利涵蓋之範圍。
105‧‧‧無線感測器網路
110‧‧‧基地節點
114‧‧‧網際網路
116‧‧‧伺服器
118、120‧‧‧使用者
131‧‧‧感測節點
310‧‧‧使用者
312‧‧‧授權伺服器
320‧‧‧遠端第三方裝置
400‧‧‧無線感測網路的使用情境的範例
402‧‧‧基地節點
404‧‧‧目標感測節點
406‧‧‧多跳式
408‧‧‧區域
411-41m‧‧‧中間路由節點
421-42k‧‧‧感測節點
410‧‧‧傳遞要求訊息
420‧‧‧回應以多媒體資料
504‧‧‧目標感測節點
505‧‧‧攻擊者
521-525‧‧‧控制節點
605‧‧‧攻擊者
610‧‧‧攻擊者破壞或攻擊目標感測節點
620‧‧‧將多媒體直接回傳到基地節點
705‧‧‧攻擊者
721-724‧‧‧控制節點
710‧‧‧傳送假的感測資料給目標感測節點
805‧‧‧攻擊者
802‧‧‧區域
804‧‧‧其他區域
810‧‧‧移動目標感測節點
905‧‧‧攻擊者
906‧‧‧其他區域
904‧‧‧另一其他區域
921、922‧‧‧控制節點
910、920‧‧‧移動控制節點
1002‧‧‧伺服器
1004‧‧‧基地節點
1006‧‧‧無線感測網路
1008‧‧‧使用者
1004a‧‧‧要求訊息
1008a‧‧‧存取授權
1010‧‧‧目標感測節點
1021-1024‧‧‧感測節點
1002a‧‧‧要求命令
1110‧‧‧透過基地節點,取得使用者的存取授權
1120‧‧‧從無線感測網路的數個無線感測節點中選取至少一控制節點,以及選取由基地節點到目標感測節點之至少一中間路由節點
1130‧‧‧透過基地節點,發送一要求訊息到目標感測節點,要求訊息至少備有驗證資訊
1140‧‧‧目標感測節點根據要求訊息,向選取的至少一控制節點要求 回傳其感測資料,並參考此回傳的感測資料,來判斷是否符合使用者的存取授權,並發出一相對應的回應訊息
1150‧‧‧此至少一中間路由節點根據此驗證資訊,檢查此回應訊息,以決定丟棄或是轉送此回應訊息
1160‧‧‧基地節點驗證被轉送的回應訊息
1210‧‧‧儲存單元
1220‧‧‧中央處理單元
1231‧‧‧第一通訊介面
1232‧‧‧第二通訊介面
1300‧‧‧控制節點
1310‧‧‧感測器
1310a‧‧‧感測資料
1320‧‧‧通訊介面
1330‧‧‧中央處理單元
1410‧‧‧感測器
1410a‧‧‧多媒體資料
1420‧‧‧通訊介面
1430‧‧‧中央處理單元
1510‧‧‧節點
1520‧‧‧移動
1531-1534‧‧‧鄰居節點
1540‧‧‧移動位置後的節點
1550‧‧‧攻擊者
MACL ‧‧‧光度訊息驗證碼
MACT ‧‧‧溫度訊息驗證碼
MACH ‧‧‧濕度訊息驗證碼
SMAC‧‧‧多模式訊息驗證碼
Repl_message‧‧‧回應訊息
第一圖是一種無線感測器網路之應用架構的一個範例示意圖。
第二圖是一種資料授權方法的一個範例流程圖。
第三圖是一種安全無線授權系統的一個範例示意圖。
第四圖是無線感測網路端的使用情境的一個範例示意圖,與所揭露的某些實施範例一致。
第五圖是影響傳送訊息之攻擊模型的一個範例示意圖。
第六圖是破壞攻擊目標感測節點之攻擊模型的一個範例示意圖。
第七圖是破壞攻擊控制節點之攻擊模型的一個範例示意圖。
第八圖是移動目標感測節點之攻擊模型的一個範例示意圖。
第九圖是移動控制節點之攻擊模型的一個範例示意圖。
第十圖是無線感測網路之存取授權裝置的一個範例示意圖,與所揭露的某些實施範例一致。
第十一圖是無線感測網路之存取授權方法的一個範例流程圖,與所揭露的某些實施範例一致。
第十二圖是基地節點的一個範例示意圖,與所揭露的某些實施範例一致。
第十三圖是控制節點的一個範例示意圖,與所揭露的某些實施範例一致。
第十四圖是目標感測節點的一個範例示意圖,與所揭露的某些實施範例一致。
第十五圖是偵測節點被移動的一個範例示意圖,與所揭露的某些實施範例一致。
第十六圖是要求訊息之通用格式的一個範例示意圖,與所揭露的某些實施範例一致。
第十七圖是一個範例示意圖,說明中間路由節點處理要求訊息的動作,與所揭露的某些實施範例一致。
第十八圖是一個範例示意圖,說明中間路由節點處理回應訊息的動作,與所揭露的某些實施範例一致。
1002‧‧‧伺服器
1004‧‧‧基地節點
1006‧‧‧無線感測網路
1008‧‧‧使用者
1004a‧‧‧要求訊息
1008a‧‧‧存取授權
1010‧‧‧目標感測節點
1021-1024‧‧‧感測節點

Claims (25)

  1. 一種無線感測網路之存取授權裝置,該裝置包含:由數個感測節點形成的一無線感測網路,該數個感測節點的每一感測節點收集感測資料和多媒體資料;以及至少一基地節點,接收來自一使用者的一存取授權的一要求,以根據感測資料需求來存取多媒體資料;其中該至少一基地節點發送一要求訊息到該感測節點選取的一目標感測節點,並且該目標感測節點要求從該數個感測節點選取的至少一控制節點所感測的該感測資料,並且參考由該至少一控制節點回傳的該感測資料,來判斷回傳的該感測資料是否符合該感測資料需求,以及如果符合該感測資料需求,則回傳該目標感測節點收集的該多媒體資料到該至少一基地節點。
  2. 如申請專利範圍第1項所述之存取授權裝置,其中該至少一控制節點是該無線感測網路中的一無線感測節點,並且提供至少一類型之物理環境資訊的感測資料來回傳給該目標感測節點。
  3. 如申請專利範圍第1項所述之存取授權裝置,其中該要求訊息還包括一驗證資訊,該驗證資訊是提供給由該至少一基地節點到該目標感測節點之中間的一或多個路由節點的每一路由節點,並做為一日後驗證回應訊息中的一個參數。
  4. 如申請專利範圍第1項所述之存取授權裝置,其中該至少一基地節點還包括:一第一通訊介面與一第二通訊介面; 一儲存單元,以儲存資料;以及一中央處理單元,透過該第二通訊介面傳送該存取授權到該目標感測節點,並且透過該第一通訊介面將該目標感測節點回傳的該多媒體資料傳送給一伺服器。
  5. 如申請專利範圍第1項所述之存取授權裝置,其中該至少一控制節點的每一控制節點還包括:至少一感測器,感測至少一類型的物理環境資訊;一通訊介面,與該至少一基地節點及該目標感測節點進行溝通;以及一中央處理單元,指揮至少一感測器去感測該感測資料,並且透過該通訊介面傳回該至少一感測器的該感測資料。
  6. 如申請專利範圍第1項所述之存取授權裝置,其中該目標感測節點還包括:至少一感測器,擷取出該多媒體資料;一通訊介面,與該至少一基地節點及該至少一控制節點進行溝通;以及一中央處理單元,根據該要求訊息,透過該通訊介面向該少一控制節點要求感測資料,並根據該感測資料判斷是否回傳該多媒體資料給該至少一基地節點。
  7. 如申請專利範圍第1項所述之存取授權裝置,其中該至少一控制節點執行一種節點移動偵測協定來判斷其本身位置是否已被改變,並且根據其本身位置是否已被改變來決定是否回傳該感測資料。
  8. 如申請專利範圍第1項所述之存取授權裝置,其中該目 標感測節點執行一種節點移動偵測協定來判斷其本身位置是否已被改變,並且根據其本身位置是否已被改變來決定是否回傳一回應訊息。
  9. 如申請專利範圍第1項所述之存取授權裝置,其中該無線感測網路是一種多模式無線感測網路。
  10. 如申請專利範圍第1項所述之存取授權裝置,其中該目標感測節點的同一區域內有數個控制節點提供感測資料給該目標感測節點,來進行該使用者的該存取授權的判斷,該目標感測節點的該同一區域代表該目標感測節點與其他感測節點可以互相通訊的一區域。
  11. 一種無線感測網路之存取授權方法,該方法包含:透過至少一基地節點,接收來自一使用者的一存取授權的一要求,以根據感測資料需求來存取多媒體資料;從該無線感測網路的數個感測節點中選取一目標感測節點和至少一控制節點,該數個感測節點的每一感測節點收集感測資料和多媒體資料;透過該至少一基地節點,發送一要求訊息到該目標感測節點,該要求訊息至少備有驗證資訊;該目標感測節點根據該要求訊息,向被選取的該至少一控制節點要求該至少一控制節點收集的該感測資料,並參考該至少一控制節點回傳的該感測資料,來判斷回傳的該感測資料是否符合該感測資料需求;以及如果符合該感測資料需求,則回傳該目標感測節點收集的該多媒體資料到該至少一基地節點。
  12. 如申請專利範圍第11項所述之存取授權方法,其中該至少一控制節點是以隨機選取或固定選取的其中一種方式被選出。
  13. 如申請專利範圍第11項所述之存取授權裝置,該方法利用一節點之數個鄰居節點來告知該節點的位置是否已經被移動,其中該節點是一控制節點或該目標感測節點兩者的其中一種節點。
  14. 如申請專利範圍第11項所述之存取授權方法,該方法參考該至少一控制節點回傳的該感測資料,並且計算該回傳的該感測資料的統計量來決定是否符合該感測資料需求。
  15. 如申請專利範圍第11項所述之存取授權方法,其中該要求訊息還包括該要求訊息的身份、一驗證參數、加密的該使用者的存取授權、一隨機亂數、一感測資料型態與一計算方式、以及該感測資料的一身份與一有效範圍。
  16. 如申請專利範圍第15項所述之存取授權方法,其中該驗證參數是提供給至少一中間路由節點,做為一日後驗證回應訊息中的一個參數。
  17. 如申請專利範圍第16項所述之存取授權方法,其中當該要求訊息送出後,該至少一中間路由節點的每一中間路由節點儲存該要求訊息的身份與該驗證參數,並且路由該要求訊息至一下一個節點。
  18. 如申請專利範圍第11項所述之存取授權方法,其中當該目標感測節點收到該要求訊息後,該目標感測節點解 密該要求訊息以取出該使用者的該存取授權,並且判斷本身的位置是否已經被移動。
  19. 如申請專利範圍第11項所述之存取授權方法,其中當該至少一控制節點收到來自該目標感測節點的一要求後,判斷本身的位置是否已經被移動,如果該位置已經被移動,則通知該至少一基地節點該位置已經被移動,如果該位置沒有被移動,則回傳該感測資料到該目標感測節點。
  20. 如申請專利範圍第11項所述之存取授權方法,其中該目標感測節點收到該至少一控制節點回傳的感測資料後,該目標感測節點與該至少一控制節點執行下列動作:該目標感測節點計算該回傳的感測資料的統計量來判斷該回傳的感測資料是否符合該感測資料需求;以及若該回傳的感測資料符合該感測資料需求,則該目標感測節點回傳具有加密之多媒體資料的一回應訊息給該至少一控制節點的每一控制節點;每一控制節點收到該加密之多媒體資料後,以一相對應之加密參數與一相對應之訊息驗證碼來回應該目標感測節點;以及該目標感測節點將該加密參數解密後,計算出該要求訊息中的該驗證資訊與一多模式訊息驗證碼。
  21. 如申請專利範圍第20項所述之存取授權方法,其中該目標感測節點回傳一回應訊息給該至少一控制節點,該回應訊息的內容還包括該要求訊息的至少一身份、該驗證資訊、該多模式訊息驗證碼、以及該至少一控制節點 的每一控制節點的一身份與該回傳的感測資料。
  22. 如申請專利範圍第20項所述之存取授權方法,其中在回傳該使用者之解密的多媒體資料之前,該至少一基地節點驗證一加密的驗證資訊以決定一驗證參數、該使用者的該存取授權、該感測資料的一有效範圍、以及該多模式訊息驗證碼是否皆為正確。
  23. 如申請專利範圍第11項所述之存取授權方法,該方法還包括:在該至少一基地節點和該目標感測節點之間選取至少一中間路由節點,並且該目標感測節點發送一回應訊息到該至少一中間路由節點;接收該至少一中間路由節點的該回應訊息,並且根據該驗證資訊檢查該回應訊息,以決定是否放棄或轉送該回應訊息;以及透過該至少一基地節點驗證該轉送的回應訊息。
  24. 如申請專利範圍第23項所述之存取授權方法,其中多個中間路由節點存在於該至少一基地節點和該目標感測節點之間,並且該至少一中間路由節點是從該多個中間路由節點中以隨機選取或固定選取的其中一種方式被選出。
  25. 如申請專利範圍第23項所述之存取授權方法,其中該至少一中間路由節點根據該要求訊息的一身份和一驗證參數來決定是否丟棄或轉送該回應訊息。
TW098134815A 2009-10-14 2009-10-14 無線感測網路之存取授權裝置與方法 TWI401979B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW098134815A TWI401979B (zh) 2009-10-14 2009-10-14 無線感測網路之存取授權裝置與方法
US12/652,743 US8461963B2 (en) 2009-10-14 2010-01-06 Access authorization method and apparatus for a wireless sensor network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW098134815A TWI401979B (zh) 2009-10-14 2009-10-14 無線感測網路之存取授權裝置與方法

Publications (2)

Publication Number Publication Date
TW201114275A TW201114275A (en) 2011-04-16
TWI401979B true TWI401979B (zh) 2013-07-11

Family

ID=43854398

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098134815A TWI401979B (zh) 2009-10-14 2009-10-14 無線感測網路之存取授權裝置與方法

Country Status (2)

Country Link
US (1) US8461963B2 (zh)
TW (1) TWI401979B (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI401979B (zh) * 2009-10-14 2013-07-11 Ind Tech Res Inst 無線感測網路之存取授權裝置與方法
KR101118524B1 (ko) * 2010-05-25 2012-03-06 동아대학교 산학협력단 센서노드의 인증관리와 Subscription 기능을 가진 시스템과, 그 시스템의 운용 방법
JP5494603B2 (ja) * 2011-09-29 2014-05-21 沖電気工業株式会社 セキュリティ処理代行システム
US8547982B2 (en) 2011-11-23 2013-10-01 King Fahd University Of Petroleum And Minerals Wireless sensor network with energy efficient protocols
EP2670108B1 (en) * 2012-05-30 2015-07-22 Telefonaktiebolaget L M Ericsson (publ) Pluggable module
TWI461958B (zh) * 2012-06-22 2014-11-21 Wistron Corp 應用程式的權限控管方法、電子裝置及電腦可讀取媒體
WO2014027222A1 (en) * 2012-08-15 2014-02-20 Nokia Corporation Methods and apparatus for device information sharing
US9582671B2 (en) 2014-03-06 2017-02-28 Sensity Systems Inc. Security and data privacy for lighting sensory networks
CN103687200A (zh) 2012-09-12 2014-03-26 赛西蒂系统股份有限公司 用于传感应用的网络化照明基础设施
KR101710666B1 (ko) * 2012-12-12 2017-02-27 한국전자통신연구원 무선 네트워크 기반 복합 사면 감시 장치 및 방법
EP2939495A4 (en) 2012-12-26 2016-08-17 Ict Res Llc MOBILITY EXPANSIONS FOR WIRELESS SENSOR NETWORKS WITH INDUSTRIAL STRENGTH
US9060265B2 (en) 2013-02-06 2015-06-16 I-Shou University Wireless sensor network and central node device thereof
US9933297B2 (en) 2013-03-26 2018-04-03 Sensity Systems Inc. System and method for planning and monitoring a light sensory network
US9456293B2 (en) 2013-03-26 2016-09-27 Sensity Systems Inc. Sensor nodes with multicast transmissions in lighting sensory network
WO2014188604A1 (ja) * 2013-05-24 2014-11-27 富士通株式会社 通信方法、システム、および通信プログラム
US9544763B2 (en) 2013-08-15 2017-01-10 Telefonaktiebolaget L M Ericsson (Publ) Disclosing and controlling collection of information from electronic devices
US9746370B2 (en) 2014-02-26 2017-08-29 Sensity Systems Inc. Method and apparatus for measuring illumination characteristics of a luminaire
US10362112B2 (en) 2014-03-06 2019-07-23 Verizon Patent And Licensing Inc. Application environment for lighting sensory networks
US10417570B2 (en) 2014-03-06 2019-09-17 Verizon Patent And Licensing Inc. Systems and methods for probabilistic semantic sensing in a sensory network
WO2015138255A1 (en) * 2014-03-08 2015-09-17 Exosite LLC Facilitating communication between smart object and application provider
US10085147B2 (en) 2014-03-08 2018-09-25 Exosite LLC Configuring network access parameters
WO2016183798A1 (zh) * 2015-05-19 2016-11-24 苏州易信安工业技术有限公司 一种设备控制方法、装置及系统
JP6638732B2 (ja) * 2015-10-13 2020-01-29 富士通株式会社 制御システムおよび制御方法
US10536871B2 (en) * 2017-06-30 2020-01-14 Cisco Technology, Inc. Radio sensor coverage estimation for wireless network assurance
CN109412789B (zh) * 2018-09-29 2020-05-19 深圳市中电数通智慧安全科技股份有限公司 一种消防监控的方法及装置
CN110691358B (zh) * 2019-11-14 2022-10-14 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制系统
US11915578B2 (en) * 2021-12-20 2024-02-27 Jvckenwood Corporation Beacon device, positioning system, beacon signal transmission method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6567121B1 (en) * 1996-10-25 2003-05-20 Canon Kabushiki Kaisha Camera control system, camera server, camera client, control method, and storage medium
US20060126501A1 (en) * 2004-12-09 2006-06-15 Honeywell International Inc. Fault tolerance in a wireless network

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5612682A (en) * 1995-05-30 1997-03-18 Motorola, Inc. Method and apparatus for controlling utilization of a process added to a portable communication device
US5907491A (en) * 1996-08-23 1999-05-25 Csi Technology, Inc. Wireless machine monitoring and communication system
US7484008B1 (en) * 1999-10-06 2009-01-27 Borgia/Cummins, Llc Apparatus for vehicle internetworks
US6859831B1 (en) * 1999-10-06 2005-02-22 Sensoria Corporation Method and apparatus for internetworked wireless integrated network sensor (WINS) nodes
WO2002096151A1 (en) * 2001-05-22 2002-11-28 Flarion Technologies, Inc. Authentication system for mobile entities
US7266532B2 (en) * 2001-06-01 2007-09-04 The General Hospital Corporation Reconfigurable autonomous device networks
US7305467B2 (en) * 2002-01-02 2007-12-04 Borgia/Cummins, Llc Autonomous tracking wireless imaging sensor network including an articulating sensor and automatically organizing network nodes
US20030151513A1 (en) * 2002-01-10 2003-08-14 Falk Herrmann Self-organizing hierarchical wireless network for surveillance and control
US7218917B2 (en) * 2002-01-15 2007-05-15 Hewlett-Packard Development Company, L.P. Method for searching nodes for information
US7418596B1 (en) * 2002-03-26 2008-08-26 Cellco Partnership Secure, efficient, and mutually authenticated cryptographic key distribution
US20040098395A1 (en) * 2002-11-18 2004-05-20 Omron Corporation Self-organizing sensor network and method for providing self-organizing sensor network with knowledge data
KR20050097505A (ko) 2003-01-15 2005-10-07 코닌클리즈케 필립스 일렉트로닉스 엔.브이. 대상 위치 정보를 제공하기 위한 시스템 및 방법
CA2495949A1 (en) * 2004-02-05 2005-08-05 Simon Law Secure wireless authorization system
DE102004024002B4 (de) * 2004-05-14 2008-05-21 Aim Infrarot-Module Gmbh Verfahren zur Authentifizierung von Sensordaten und zugehörigem Sensor
US7817994B2 (en) * 2004-09-20 2010-10-19 Robert Bosch Gmbh Secure control of wireless sensor network via the internet
US7664080B2 (en) * 2004-10-27 2010-02-16 Honeywell International Inc. Discreet event operators for event management in a wireless sensor network
US7630336B2 (en) * 2004-10-27 2009-12-08 Honeywell International Inc. Event-based formalism for data management in a wireless sensor network
TWI280029B (en) 2004-10-27 2007-04-21 Inst Information Industry Method and system for data authorization and mobile device using the same
US7590098B2 (en) * 2004-10-27 2009-09-15 Honeywell International Inc. Publish/subscribe model in a wireless sensor network
GB0428084D0 (en) * 2004-12-22 2005-01-26 Nokia Corp Method for producing authentication information
JP4808409B2 (ja) * 2005-01-14 2011-11-02 株式会社日立製作所 センサネットワークシステム、センサデータの検索方法及びプログラム
KR100689878B1 (ko) * 2005-02-04 2007-03-09 삼성전자주식회사 센서 네트워크에서 라우팅 경로 설정 장치 및 방법
JP4580423B2 (ja) * 2005-02-23 2010-11-10 株式会社日立製作所 センサネット管理方式
JP4885463B2 (ja) * 2005-03-03 2012-02-29 株式会社日立製作所 センサネットワークシステム、センサデータの処理方法及びプログラム
JP4596943B2 (ja) * 2005-03-24 2010-12-15 株式会社日立製作所 センサネットワークシステム、データの転送方法及びプログラム
US7788703B2 (en) * 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US7793103B2 (en) * 2006-08-15 2010-09-07 Motorola, Inc. Ad-hoc network key management
JP4806605B2 (ja) * 2006-08-30 2011-11-02 株式会社日立製作所 センサネットワークシステム及びセンサネットワークのデータ管理方法
US8116243B2 (en) * 2006-10-05 2012-02-14 Electronics And Telecommunications Research Institute Wireless sensor network and adaptive method for monitoring the security thereof
WO2008081547A1 (ja) 2006-12-28 2008-07-10 Panasonic Corporation 移動通信装置、無線認証システム及び無線認証方法
US20080240105A1 (en) * 2007-03-28 2008-10-02 Vmonitor, Inc. System and method for extending a serial protocol to create a network in a well monitoring environment
CN101682528B (zh) * 2007-05-02 2014-05-14 西纳普斯无线股份有限公司 在传感器网络中动态地配置节点行为的系统和方法
US8000468B2 (en) * 2007-11-30 2011-08-16 Industrial Technology Research Institute Method and system for secure data aggregation in wireless sensor networks
US20090300525A1 (en) * 2008-05-27 2009-12-03 Jolliff Maria Elena Romera Method and system for automatically updating avatar to indicate user's status
KR101508015B1 (ko) * 2008-11-11 2015-04-03 삼성전자주식회사 무선 센서 노드에서 센서의 허용 오차 범위에 기반한 협동적 센싱을 위한 방법 및 장치
TWI370642B (en) * 2008-12-16 2012-08-11 Ind Tech Res Inst Multicast communication method, and relay node and wireless network system using the same
TWI401979B (zh) * 2009-10-14 2013-07-11 Ind Tech Res Inst 無線感測網路之存取授權裝置與方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6567121B1 (en) * 1996-10-25 2003-05-20 Canon Kabushiki Kaisha Camera control system, camera server, camera client, control method, and storage medium
US20060126501A1 (en) * 2004-12-09 2006-06-15 Honeywell International Inc. Fault tolerance in a wireless network

Also Published As

Publication number Publication date
US20110084800A1 (en) 2011-04-14
US8461963B2 (en) 2013-06-11
TW201114275A (en) 2011-04-16

Similar Documents

Publication Publication Date Title
TWI401979B (zh) 無線感測網路之存取授權裝置與方法
Xie et al. Data collection for security measurement in wireless sensor networks: A survey
Khattak et al. Perception layer security in Internet of Things
Miranda et al. A collaborative security framework for software-defined wireless sensor networks
Xie et al. Anomaly detection in wireless sensor networks: A survey
Singh et al. Fuzzy based advanced hybrid intrusion detection system to detect malicious nodes in wireless sensor networks
Agarwal et al. Machine learning approach for detection of flooding DoS attacks in 802.11 networks and attacker localization
Kibirige et al. A survey on detection of sinkhole attack in wireless sensor network
Karthiga et al. Intelligent intrusion detection system for VANET using machine learning and deep learning approaches
Akestoridis et al. Zigator: Analyzing the security of zigbee-enabled smart homes
Zhu et al. Secure localization with attack detection in wireless sensor networks
Sujihelen et al. Inclusive elliptical curve cryptography (IECC) for wireless sensor network efficient operations
Yu et al. Constrained function-based message authentication for sensor networks
Khan et al. ‘who, when, and where?’location proof assertion for mobile devices
CN117749533B (zh) 一种零信任林业物联网管理平台系统及安全防护方法
Thamilarasu et al. Intrusion detection in RFID systems
KR101268298B1 (ko) 위치정보 기반 인증 관제 시스템 및 방법
KR100932905B1 (ko) 센싱데이터의 중계장치 및 방법, 관리장치 및 방법, 그리고이를 위한 센서네트워크 시스템
Patel et al. Safeguarding the IoT: Taxonomy, security solutions, and future research opportunities
Anand et al. Enhancing the security in wireless sensor network using hidden markov model
KR101429178B1 (ko) 무선 네트워크 보안 시스템 및 방법
Nayak et al. A review on DoS attack for WSN: Defense and detection mechanisms
CN102045887A (zh) 无线感测网络的存取授权装置与方法
Alrashed et al. Malicious replica quarantining protocol for Mobile Wireless Sensor Networks using replica detection and identification
Wu et al. Robust range-free localization in wireless sensor networks