WO2011023461A1 - Verfahren zum übertragen von daten in einem sensornetzwerk, sensorknoten und zentral-rechner - Google Patents
Verfahren zum übertragen von daten in einem sensornetzwerk, sensorknoten und zentral-rechner Download PDFInfo
- Publication number
- WO2011023461A1 WO2011023461A1 PCT/EP2010/060393 EP2010060393W WO2011023461A1 WO 2011023461 A1 WO2011023461 A1 WO 2011023461A1 EP 2010060393 W EP2010060393 W EP 2010060393W WO 2011023461 A1 WO2011023461 A1 WO 2011023461A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- value
- value range
- message
- sensor node
- wbs
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
- H04W84/20—Master-slave selection or change arrangements
Definitions
- the invention relates to a method for transmitting data in a sensor network comprising at least one sensor node and a central computer.
- the invention further relates to a sensor node of a sensor network and to a central computer of a sensor network.
- the invention finally relates to a computer program product.
- Sensor nodes of a particular wireless sensor network provide measurement data and status messages via a wireless
- the typical structure of a sensor node of a wireless sensor network is shown by way of example in FIG.
- the sensor node S has a control processor CPU, a program memory Fl and a random access memory RAM. Furthermore, an input / output unit I / O is provided to which, for example, two sensors S1, S2 are connected.
- the sensors S1, S2 can be, for example, temperature and pressure sensors.
- a radio module FM for example, according to the IEEE standard
- the sensor node has a battery-operated power supply SV if the sensor node is a node of a wireless sensor network.
- 2 shows a schematic representation of an exemplary sensor network NET, which has a plurality of sensor nodes S communicating wirelessly and a central computer GW, typically a gateway.
- the central computer GW is connected to an infrastructure network, for example the Internet.
- Such a sensor network NET serves, for example, for monitoring a larger area, for example for monitoring the air pollution in a city or for monitoring the soil moisture in an agricultural acreage.
- NEN NEN also several sensors in a building to its climate control or fire alarm or burglary protection can be used.
- the transmission of measurement and / or status data to the central computer GW can take place-depending on the topology of the sensor network-in a direct manner or through the intermediary of one or more sensor nodes, which forward a data packet from a transmitting node in the direction of the central computer ,
- a sensor network according to the invention is also by
- Vehicles formed as part of a car-2-car communication In this, the vehicles exchange messages with each other. In these messages they inform each other about their current location, their speed and direction, so that a traffic jam or imminent collision can be detected. Likewise, information about a road condition, such as a smooth spot, can be detected and communicated to other vehicles. In the vehicle communication also fixed stations, so-called Road Side Units, can be included.
- a status message in the context of a car-2-car communication contains an identity of the vehicle sending the status message (eg a pseudonym assigned to the vehicle), a transmission time, data about the transmitter (location, speed, direction, acceleration) and the data value. The data value is represented, for example, by information about the road condition.
- the data value can be represented by a placeholder if only statuses about current location and driving data are to be transmitted to the central computer.
- the status look-up is protected by a cryptographic checksum, eg a digital signature.
- the certificate or certificate chain required to verify the signature can also be included in the status message.
- Transmitted status messages in a sensor network can easily be manipulated by an attacker. For example, an attacker could send fake data to the sensor network. Therefore, cryptographic protection methods are used to detect manipulated data and thus prevent their use. It is known in this context to protect individual status messages, which for example contain measured values, from manipulation by means of a cryptographic checksum.
- a status message transmitted from the sensor node S to the central computer GW has the shape shown in FIG.
- the status message M comprises a unique identifier C-ID, which represents the identity of the transmission node.
- the unique identifier may represent a MAC address.
- the status message M comprises a data value measuring, which may include measurement data and / or status information. Measurement data can be for example a temperature, an air pressure, a humidity and the like.
- a check sum Sig is also contained in the latter, which can be formed, for example, by a digital signature or a message authentication code.
- the determination of the checksum Sig is required for each status message M.
- the determination of the checksum Sig is relatively complicated and requires a great deal of energy, which is of importance in particular with battery-operated sensor nodes.
- a first step Sl the data value is determined.
- the checksum Sig is determined.
- the status message including the data value Mess and the checksum Sig, is transmitted from the sensor node S to the central computer GW.
- the transfer can Here, as is well understood by a person skilled in the art, also take place by switching or interposing a plurality of other sensor nodes.
- 5 shows the method sequence when the status message is received by the central computer GW.
- the status message M is received by the central computer from the sensor node that created it or a switching sensor node.
- step S2 the checksum Sig, which is contained in the status message, is checked.
- step S3 it is checked whether the checksum Sig contained in the data message M is correct. If this is the case ("j"), then the data is processed by the central computer in a step S 4. If the check of the checksum in step S3 indicates that it is incorrect (“n"), the data value becomes Mess discarded and not processed by the central computer GW. A mismatch of the checksum in the status message M and the determined checksum by the central computer GW indicates a manipulation of the status message M.
- sensor networks In addition to the protection of transmitted status messages from manipulation, sensor networks require energy-efficient operation of the sensor nodes for their long service life, since they are typically supplied with power by a battery.
- the invention provides a method for transmitting data in a sensor network comprising at least one sensor node and a central computer.
- the at least one sensor node repeatedly transmits a status message to the central computer, which comprises at least one unique identifier assigned to the sensor node and a data value determined by the sensor node.
- the central computer is provided with at least one protected value range message for the at least one sensor node, which is valid for a particular period of time and which at least includes limits for valid data values.
- the central computer processes the value contained in a status message only if the data value lies within the limits specified in the value range message.
- a data value may include measurement data and / or status information.
- Measurement data include temperature, air, humidity, particulate matter and the like. Measured data can also be present as a two-valued value ("on" or “off"), eg to indicate the status of an alarm loop, a window or a door (open or closed).
- measurement data may be input by a user, for example, a temperature value, which is transmitted as a setpoint to a temperature control, or a control command for opening or closing a blind or for switching on or off a lighting.
- Status information relates to an operating status of the sensor node, eg its battery status, utilization or available memory.
- the validity of a value range message is understood to be a time span from a first time to a second time. For example, the range message may be valid for a period of five minutes or half an hour or so.
- the principle underlying the invention is not to protect each individual message containing data values by a cryptographic checksum. Instead, a protected time-limited data structure, referred to as value range message, is provided which limits valid data values of the sensor node for a given period of time. This procedure is based on the consideration that in the case of a sensor node, for example measured values, at least in normal operation, are well predictable if the measured physical variable changes only slowly and / or predictably. This is used for efficient cryptographic protection by providing a time-limited value range message to the sensor node.
- the inventive method can be used for both wireless and wired sensor networks. Particular advantages arise when a sensor node wirelessly provides a data message to the central computer.
- the value range message comprises a checksum, whereby the value range message is protected against manipulation.
- the checksum can be formed, for example, by a digital signature or a message authentication code.
- a digital signature for example, HMAC-SHA 256 with a 128-bit key or a digital RSA signature with 1024-bit or 2048-bit key length, a digital signature based on elliptic curves (ECDSA with a key length of 164 bits) can be used.
- the method according to the invention allows the status message to include no checksum.
- the checksum may be omitted only for individual measurements or even for all status messages transmitted from the sensor node to the central computer.
- the status message can also include a checksum in an alternative embodiment. This can be used in particular to supplement a cryptographically strongly protected value range message, preferably a simple, energy-efficient cryptographic checksum to be calculated Status message is used.
- the checksum of the status message may be, for example, a 32-bit length truncated checksum HMAC-MD 5-32 calculated with a 40-bit key.
- the checksum of the status message can also be protected with a network key, ie with a key that is not known to be sensor node-specific and thus also known to other sensor nodes.
- the limits of the value range message are indicated by an upper limit and a lower limit.
- the bounds of the value range message can be indicated by a reference value and a one- or two-sided tolerance value.
- the limits of the value range message are indicated by a time-dependent prediction function and a tolerance.
- the limits of the value range message and / or the period of validity of the limits are adapted as a function of at least one predetermined parameter.
- the predetermined parameter comprises according to a development
- a further advantageous embodiment provides that the at least one sensor node and the central computer are synchronized with one another in terms of time.
- a time reference is appropriate. You can use the real time, ie the absolute time. This can be obtained, for example, via a GPS receiver or a DCF77 receiver (so-called time signal transmitter) become.
- local time information of the sensor node can also be used, since only the difference between the current time and the time of issue of the value range message must be known. However, it is then necessary to synchronize a receiver to the virtual node time of the sensor. This is possible, for example, when using a hash chain, as provided in a further embodiment. In this case, the sensor node responds to a message (so-called challenge c) with a hash value H (next hash c). As long as neither the value next hash nor the
- the value range message is regularly transmitted from the at least one sensor node to the central computer in a recurring manner.
- the value range message is transmitted at the request of the central computer from the at least one sensor node to the central computer.
- the value range message in particular the checksum of the value range message, comprises an anchor value and, optionally, the length of a hash chain. This allows a further improved security against manipulation can be achieved. This procedure is known accordingly for the validation of digital certificates.
- a further embodiment provides that a plurality of value range messages are provided for a respective sensor node, wherein the plurality of value range messages each comprise different limits and in each case a different anchor value of a respective different hash chain.
- the Current value of the hash chain of the value range message published in the value range of which the current measured value lies. This can prevent a data value from "running out" of the valid value range of a value range message and necessitating retransmission of a matched value range message.
- the data of several value range messages are combined in a super value range message, the super value range message comprising a checksum.
- the multiple value range messages are combined into a data structure (for example, strung together) and jointly protected by a (single) cryptographic checksum.
- the invention further includes a computer program product that can be loaded directly into the internal memory of a digital computer and includes software code portions that perform the steps of any one of the preceding claims when the product is run on a computer.
- the invention further provides a sensor node for use in a sensor network for carrying out the method according to the invention.
- the sensor node according to the invention is set up to repeatedly transmit a status message to the central computer which comprises at least one unique identifier assigned to the sensor node and one data value determined by the sensor node.
- the sensor node is further configured to provide the central computer for the at least one sensor node at least one protected value range message that is suitable for a respective period is valid and the at least
- the invention further provides a central computer for use in a sensor network for carrying out the method according to the invention.
- the central computer is configured to repeatedly receive from at least one sensor node a status message which comprises at least one unique identifier assigned to the sensor node and one data value determined by the sensor node.
- the central computer is further configured to receive, for the at least one sensor node, at least one protected value range message which is valid for a respective period of time and which comprises at least limits for valid data values.
- the central computer is set up to process the value contained in a status message only if the data value lies within the limits specified in the value range message. This has the same advantages as described above in connection with the method according to the invention.
- Fig. 1 is a schematic representation of one of the
- Fig. 2 is a schematic representation of a known
- FIG. 3 shows a schematic representation of a status message used in the prior art, which is from a sensor node to a central one
- FIG. 6 shows a value range message used according to the invention in a schematic representation
- FIG. 7 shows an exemplary representation of a value range message according to the invention
- FIG. 9 shows the method steps performed according to the invention when a status message is received by a central computer of the sensor network
- FIG. 13 shows the basic structure of a hash chain
- FIG. 14 shows the use of a hash chain in conjunction with a value range message according to an embodiment of the inventive method
- FIG. 15 shows an exemplary representation of a super value range message
- Fig. 16 shows a modified use of hash chains in conjunction with a super value range message.
- FIGS. 1 to 5 which illustrate the procedure known from the prior art for transmitting data in a sensor network NET with at least one sensor node S and a central computer GW, have already been explained in the introduction.
- the inventive method is based on this approach and forms this in an advantageous manner.
- the invention proposes at least one in addition to the repeatedly transmitted from a sensor node S to the central computer GW status messages protected value range message WBS to the central computer GW to transfer.
- the protected value range message WBS is preferably created by the sensor node itself transmitting the status messages M to the central computer GW.
- the protected value range message WBS is valid for a respective period of time and at least includes valid data value limits.
- the central computer GW processes the value contained in a status message only if the data value lies within the limits specified in the value range message.
- the advantage of this procedure is that it is not necessary to generate a cryptographic protection separately for each individual status message (and therefore each individual data value). As a result, computing power is saved in the sensor node. Thereby, the power consumption of the sensor node S can be reduced. In particular, the processing time of messages is also reduced, thereby increasing the performance of sensor network applications.
- WBS value range message
- manipulation possibilities for an attacker are limited, because he can only "copy in" manipulated data values within a limited range.
- data values for example measured values
- a sensor data values of a sensor are reliably protected, whereby reduced computing power and energy consumption are achieved in comparison with the known procedure of cryptographically protecting each status individually. This is paid for by not protecting every bit of data (bit-accurate). Rather, it is sufficient in the method according to the invention if an attacker can change the data values only slightly within the prescribed limits.
- a signature is required if, in principle, any previously unknown recipient should be able to check the validity of the data value.
- the method is suitable, for example, for public sensor nodes or vehicle networks.
- the method is also efficient for data values that inherently contain a lot of redundancy. For example, the temperature often changes only slowly and is in a relatively narrow range of values.
- the method further optimizes the processing time of because it is no longer necessary to carry out complex cryptographic operations for each message. Furthermore, the method allows the use of strong cryptographic methods, which can not be used for the protection of individual status messages due to their computing power requirements.
- FIG. 6 shows a schematic representation of a value range message WBS according to the invention. This comprises a unique identifier S-ID, a value range specification WB and a validity specification G.
- the value range message WBS is protected by a cryptographic checksum Sig.
- the unique identifier S-ID of the value range message WBS is "0x2A31276E.”
- the confirmed value range WB is a temperature between 22 0 C (LOW: lower value) and 24 0 C (HIGH: upper value)
- the time validity G is given as start time and end time in the format YYYYMMDDHHMMSS, where YYYY represents the year, MM the month, DD the day, HH the hour, MM the minute and SS the second. This means that the value range message WBS is valid from 07.04.2009, 14:27:00 to 07.04.2009, 15:26:59.
- the value of the cryptographic checksum Sig is merely indicated. This is a value determined by a known method, e.g. HMAC-SHAl, AES-CBC-MAC, RSA signature, DSA signature, ECDSA signature, and the like, is calculated to compute a cryptographic checksum.
- the range of values WB could also be specified as a reference value and a tolerance (eg the maximum permissible absolute or percentage deviation from the reference value).
- the temporal validity can also be specified by a start value and a duration, for example.
- a current value range message is not only transmitted to the central computer GW after it has been generated by the sensor node. It is advantageous for the current value range message WBS to be transmitted repeatedly, eg every minute, to the central computer. In a further refinement, the current value range message could also be retransmitted by the corresponding sensor node at the request of the central computer GW. 8 shows the method sequence of the method according to the invention when a status message is sent to the central computer GW.
- a data value is determined by the sensor node.
- step S2 it is checked whether there is a value range message WBS for the sensor node. If this is not the case ("n"), then a new value range message WBS is determined in step S5, which, as explained, comprises a value range specification and a validity indication G.
- step S6 the cryptographic checksum for the value range message WBS is
- step S7 the generated value range message including the cryptographic checksum Sig is transmitted to the central computer, after which the status message, including the data value determined in step 1, is transmitted to the central computer GW in step S8.
- step S3 If the value range message WBS for the sensor node S is available ("j") in step S2, then it is checked in step S3 whether the value range message is up-to-date, ie whether the current time within the validity specification is checked G is the current value range message WBS. If this is not the case ("n"), steps S5, S6 and S7 are initially executed. If, on the other hand, the value range message WBS is current ("j") in step S3, it is checked in step S4 whether a measured value lies in the range WB confirmed by the value range message WBS, if this is the case ("j") is transmitted in step S8, the status message confining ⁇ Lich of the data value to the central computer GW. If the data value outside through the Werte Scheme- Message defined range of values ("n”), the steps S5, S6 and S7 are run through, wherein the status message is not transmitted to the central computer Fig. 9 illustrates the procedure when receiving a
- step S1 a status message M is received.
- step S2 it is checked whether the received message is a value range message WBS. If this is the case ("j"), then in
- Step S3 checks the cryptographic checksum of the value range message WBS. In step S4, their validity is checked. If the cryptographic checksum Sig of the value range message WBS is valid ("j"), then the time validity of the value range message WBS is checked in step S5 , In step S6, the method ends in the case where the temporal validity is not given ("n"), whereas if the validity is "j", the value range message WBS is stored in step S7.
- step S2 If it has been determined in step S2 that the received message is not a value range message WBS ("n"), then it is checked in step S8 whether this is a data value, if this is not the case then the method ends there
- Job In this case, for example, it could be a routing message. If a data value was received with the received message ("j" in step S8), it is checked in step S9 whether there is a current value range message WBS for the transmitting sensor node S. If this is not the case ("n") That's how the procedure ends. In this case, a value range message could be requested by the central computer GW. If, on the other hand, a current value range message WBS is present for the sensor node ("j"), then it is checked in step S10 whether the data value lies in the range confirmed by the value range message WBS, if this is the case ("j"), thus, the data value is used in step S11. Otherwise (“n") the procedure ends and the data Ten value is not used. In this case, an attack could have occurred.
- FIGS. 10 and 11 show a schematic representation of the structure of a status message M when using the method according to the invention.
- a status message contains only a unique identifier C-ID and the data value Mess.
- no cryptographic checksum is necessary in this variant, since the data value is protected by the value range specification and the validity of the value range message WBS.
- a cryptographic checksum Sig is additionally provided which is checked in addition to the value range message. As a result, increased security is achieved.
- a value range message can contain an anchor value ANCHOR of a so-called hash chain HC. This is known when validating digital certificates.
- a hash chain of length n begins, starting from a cryptographic (pseudo) randomly chosen value Rl. Starting from this, the values of the hash chain are calculated, so that
- R2: H (R1)
- R3: H (R2)
- ..., Rn: H (R (n-1)).
- H () represents a cryptographic hash function, e.g. according to MD5, SHA-I, SHA256.
- the last value Rn of the hash chain represents the so-called anchor, which is marked with ANCHOR in the following drawings.
- cryptographic hash functions are not practical invertible. This means that from an initial value can not be practically concluded on an input value, which leads to this output value. As a result, a hash chain in one direction (ie in the index 1 ⁇ 2 ⁇ ... ⁇ n) can be easily calculated. A simple one Calculation in the opposite direction is not possible.
- a sensor node S If a sensor node S now transmits a data value Mess in a status message M at a certain time, it also transmits in the status message the value of the value of the hash chain that corresponds to the current time. This confirms that the data value is in the confirmed value range during this period.
- the receiver i. the central computer GW additionally checks, before it uses a received data value, whether the corresponding value of the hash chain has been made known for the current time.
- An attacker can thus no longer misuse a value range message during its entire validity period, but only as long as the validity of the value range message WBS is confirmed by the sensor node S by publishing the current value of the hash chain.
- a value range message WBS with a validity period G of ten minutes and a length "length" of the hash chain HC of ten elements is shown as an example in FIG.
- the value range message WBS thus additionally contains information about the hash chain HC, namely the anchor value ANCHOR and its length (length).
- the anchor value ANCHOR is the value H10. This is the value specified in the value range message WBS.
- Each element of the hash chain is assigned a time range (start, end), which is abbreviated for the representation in the format MMSS (MM minute, SS second).
- the value "1700" of the value H3 corresponds (in conjunction with the information of the value range message WBS from FIG. 12) to the time specification "20090470141700".
- the procedure is shown schematically in FIG. 14.
- the course of a temperature to be measured as a function of time t is shown.
- the hash chain HCl is assigned to a temperature range of 22.0 0 C to 22.4 0 C.
- the hash chain HC2 is a temperature range from 22.5 0 C to
- the hash chain HC3 is assigned to a temperature range of 23.0 0 C to 23.4 0 C.
- the hash chain HC4 is associated with a temperature range of 23.5 to 24.0 C 0 0 C.
- the lower temperature value is marked LOW, the upper temperature value is HIGH.
- a data value is recorded in the display. This is characterized in the course of the temperature by the vertical lines at the full minute, whereby the representations shortened again in the format MMSS (with MM minute, SS second).
- the current hash value of the hash chain HCl, HC2, HC3 or HC4 is then published in whose value range the current data value falls.
- the published hash value is indicated by dashed lines in FIG. As can be seen in FIG. 14 without more, the temperature at the time “1000" in the range between 22.5 0 C and 23 0 C. It, therefore, the hash value of the hash chain HLO HC2 is released. At time “ 1100 ", the temperature is in the range between 23.5 0 C and 24 0 C. Accordingly, the hash value H9 of the hash chain HC4 published, etc.
- a value range message is referred to as a super value range message SWBS.
- SWBS comprises a common part CP.
- WBS1, WBS2, WBS3, WBS4 the data common to the individual value range messages
- WBS1, WBS2, WBS3, WBS4 are contained, in the present embodiment four: WBS1, WBS2, WBS3, WBS4. These specify here in each case a value range WB and an optional anchor value HC-ANCHOR of the respective hash chain.
- Data structure of the super value range message SWBS is protected by a common digital checksum Sig.
- a value range which is defined by the barriers LOW and HIGH is represented in each case by a hash chain. If, as in the exemplary embodiment of FIG. 15, the value ranges of the sub-value range messages WBS1, WBS2, WBS3 and WBS4 are free of overlaps, exactly one hash value is made known for each time step: the hash value of the value range in which the current reading falls. In an alternative, the ranges of values may also be overlapping. Then the current hash value of all those hash chains is published, in which the current measured value falls within the respective value range. If the current reading does not fall within a range, then no hash value will be released.
- another hash chain can be provided which represents the pseudo value range "out of rank", ie the current measured value does not fall within one of the available value ranges, and two hash chains can also be provided for this purpose (eg "too_HIGH” and “too_LOW”) to distinguish whether the current measured value is above or below the value ranges that can be represented by the existing value range messages.
- a data value is binary-coded, eg as 4-bit, 8-bit, 12-bit or 16-bit data value.
- a 4-bit data value two hash chains HCIa, HCIb for one bit 0, HC2a, HC2b for one bit 1, HC3a, HC3b for one bit 2 and HC4a, HC4b for one bit 3 are then provided for each bit position in which the hash string marked with the index "a" represents the bit value 0 and the hash string labeled with the index "b” represents the bit value 1. It then publishes those current hash values of those hash chains that match the current data value.
- a sensor node does not output a value range message, but rather the sensor node adds a checksum to the status message depending on whether the data value to be sent is within the
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
Es wird ein Verfahren zum Übertragen von Daten in einem Sensornetzwerk (NET) vorgeschlagen, das zumindest einen Sensorknoten (S) und einem zentralen Rechner (GW) umfasst. Bei dem erfindungsgemäßen Verfahren überträgt der zumindest eine Sensorknoten (S) wiederholt eine Statusnachricht (M) an den zentralen Rechner (GW), welche zumindest einen eindeutigen, dem Sensorknoten (S) zugeordneten Kennzeichner (S-ID) und einen von dem Sensorknoten ermittelten Datenwert (Mess) umfasst. Des Weiteren wird dem zentralen Rechner (GW) für den zumindest einen Sensorknoten (S) zumindest eine geschützte Wertebereich-Nachricht (WBS) bereitgestellt, die für eine jeweilige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte (Mess) umfasst. Schließlich wird durch den zentralen Rechner (GW) der in einer Statusnachricht (M) enthaltene Wert nur dann weiter verarbeitet, wenn der Datenwert innerhalb der in der Wertebereich-Nachricht (WBS) angegebenen Schranken liegt.
Description
Beschreibung
Verfahren zum Übertragen von Daten in einem Sensornetzwerk, Sensorknoten und Zentral-Rechner
Die Erfindung betrifft ein Verfahren zum Übertragen von Daten in einem Sensornetzwerk, das zumindest einen Sensorknoten und einen zentralen Rechner umfasst. Die Erfindung betrifft ferner einen Sensorknoten eines Sensornetzwerks sowie einen zentralen Rechner eines Sensornetzwerks. Die Erfindung betrifft schließlich ein Computerprogrammprodukt.
Sensorknoten eines insbesondere drahtlosen Sensornetzes stellen Messdaten und Statusmeldungen über eine drahtlose
Schnittstelle bereit. Der typische Aufbau eines Sensorknotens eines drahtlosen Sensornetzwerks ist exemplarisch in Fig. 1 dargestellt. Der Sensorknoten S verfügt über einen Steuerprozessor CPU, einen Programmspeicher Fl sowie einen Arbeitsspeicher RAM. Weiterhin ist eine Ein-/Ausgabeeinheit I/O vor- gesehen, an die beispielhaft zwei Sensoren Sl, S2 angeschlossen sind. Bei den Sensoren Sl, S2 kann es sich beispielsweise um Temperatur und Drucksensoren handeln. Mittels eines Funkmoduls FM, das beispielsweise gemäß dem Standard IEEE
802.15.4, ZigBee, GSM oder UMTS ausgebildet ist, werden Sta- tusmeldungen an einen zentralen Rechner GW gesendet. Weiterhin verfügt der Sensorknoten über eine batteriebetriebene Stromversorgung SV, sofern der Sensorknoten Knoten eines drahtlosen Sensornetzwerks ist. Fig. 2 zeigt in schematischer Darstellung ein exemplarisches Sensornetzwerk NET, welches mehrere drahtlos kommunizierende Sensorknoten S und einen zentralen Rechner GW, typischerweise ein Gateway, verfügt. Der zentrale Rechner GW ist mit einem Infrastrukturnetzwerk verbunden, beispielsweise dem Internet. Ein solches Sensornetzwerk NET dient beispielsweise zur Überwachung eines größeren Gebiets, z.B. zur Überwachung der Luftverschmutzung in einer Stadt oder zur Überwachung der Bodenfeuchte in einer landwirtschaftlichen Anbaufläche. Es kön-
nen auch mehrere Sensoren in einem Gebäude zu dessen Klimasteuerung oder zur Feuermeldung oder zum Einbruchsschutz verwendet werden. Die Übertragung von Mess- und/oder Statusdaten an den zentralen Rechner GW kann - je nach Topologie des Sen- sornetzwerks - auf direkte Weise oder unter Vermittlung eines oder mehrerer Sensorknoten, welche ein Datenpaket von einem sendenden Knoten in Richtung des zentralen Rechners weiterleiten, erfolgen. Ein Sensornetzwerk im Sinne der Erfindung wird auch durch
Fahrzeuge im Rahmen einer Car-2-Car-Kommunikation gebildet. Bei dieser tauschen die Fahrzeuge untereinander Nachrichten aus. In diesen Nachrichten informieren sie sich gegenseitig über ihren aktuellen Ort, ihre Geschwindigkeit und Fahrtrich- tung, so dass ein Stau oder eine drohende Kollision erkennbar ist. Ebenso kann eine Information über einen Fahrbahnzustand, wie z.B. eine glatte Stelle, erkannt und anderen Fahrzeugen mitgeteilt werden. In die Fahrzeugkommunikation können auch feste Stationen, sog. Road Side Units, mit einbezogen werden. Eine Statusnachricht im Rahmen einer Car-2-Car-Kommunikation enthält eine Identität des die Statusnachricht sendenden Fahrzeugs (z.B. ein dem Fahrzeug zugeordnetes Pseudonym), einen Sendezeitpunkt, Daten über den Sender (Ort, Geschwindigkeit, Richtung, Beschleunigung) und den Datenwert. Der Daten- wert ist beispielsweise durch eine Information über den Fahrbahnzustand repräsentiert. Grundsätzlich kann der Datenwert durch einen Platzhalter repräsentiert sein, wenn lediglich Status über aktuellen Aufenthaltsort und Fahrdaten an den zentralen Rechner übertragen werden sollen. Die Statusnach- rieht ist durch eine kryptographische Prüfsumme, z.B. eine digitale Signatur, geschützt. Das zur Überprüfung der Signatur erforderliche Zertifikat bzw. die Zertifikatskette kann ebenfalls in der Statusnachricht enthalten sein. Unabhängig von der Art von den Sensorknoten an den zentralen Rechner GW übertragenen Daten - Messdaten und/oder Statusmeldungen - werden die von den Sensorknoten übertragenen Nachrichten in dieser Beschreibung nachfolgend als Statusnach-
rieht bezeichnet.
Übertragene Statusnachrichten in einem Sensornetzwerk können von einem Angreifer leicht manipuliert werden. Beispielsweise kann ein Angreifer gefälschte Daten in das Sensornetzwerk senden. Es werden deshalb kryptographische Schutzverfahren eingesetzt, um manipulierte Daten zu erkennen und so deren Verwendung verhindern zu können. Bekannt ist in diesem Zusammenhang, einzelne Statusnachrichten, die beispielsweise Mess- werte enthalten, jeweils durch eine kryptographische Prüfsumme gegen Manipulation zu schützen.
Eine von dem Sensorknoten S an den zentralen Rechner GW übertragene Statusnachricht hat beispielsweise die in Fig. 3 ge- zeigte Gestalt. Die Statusnachricht M umfasst einen eindeutigen Kennzeichner C-ID, welcher die Identität des Sendeknotens wiedergibt. Beispielsweise kann der eindeutige Kennzeichner eine MAC-Adresse darstellen. Weiterhin umfasst die Statusnachricht M einen Datenwert Mess, welcher Messdaten und/oder Statusinformationen enthalten kann. Messdaten können beispielsweise eine Temperatur, ein Luftdruck, eine Luftfeuchtigkeit und dergleichen, sein. Zum Schutz der Statusnachricht ist in dieser ferner eine Prüfsumme Sig enthalten, welche beispielsweise durch eine digitale Signatur oder einen Messa- ge Authentication Code gebildet sein kann. Die Ermittlung der Prüfsumme Sig ist für jede Statusnachricht M erforderlich. Die Ermittlung der Prüfsumme Sig ist je nach verwendetem kryptographischen Verfahren verhältnismäßig aufwändig und benötigt viel Energie, was insbesondere bei batteriebetriebenen Sensorknoten von Bedeutung ist.
Fig. 4 zeigt den Verfahrensablauf zur Erstellung und Übertragung der Statusnachricht M an den zentralen Rechner GW. In einem ersten Schritt Sl wird der Datenwert ermittelt. In ei- nem Schritt S2 wird die Prüfsumme Sig ermittelt. Im dritten Schritt S3 wird die Statusnachricht, einschließlich des Datenwerts Mess und der Prüfsumme Sig von dem Sensorknoten S an den zentralen Rechner GW übertragen. Die Übertragung kann
hierbei - wie dies für einen Fachmann ohne Weiteres verständlich ist - auch unter Vermittlung oder Zwischenschaltung mehrerer anderer Sensorknoten erfolgen. Fig. 5 zeigt den Verfahrensablauf beim Erhalt der Statusnachricht durch den zentralen Rechner GW. In einem ersten Schritt Sl wird die Statusnachricht M durch den zentralen Rechner von dem Sensorknoten, der diese erstellt hat oder einem vermittelndem Sensorknoten, empfangen. In einem zweiten Schritt S2 wird die Prüfsumme Sig, welche in der Statusnachricht enthalten ist, überprüft. Im Schritt S3 wird überprüft, ob die Prüfsumme Sig, welche in der Datennachricht M enthalten ist, korrekt ist. Ist dies der Fall („j"), so werden die Daten in einem Schritt S4 durch den zentralen Rechner verarbeitet. Er- gibt die Überprüfung der Prüfsumme in Schritt S3, dass diese nicht korrekt ist („n"), so wird der Datenwert Mess verworfen und nicht durch den zentralen Rechner GW verarbeitet. Eine Nichtübereinstimmung der Prüfsumme in der Statusnachricht M und der ermittelten Prüfsumme durch den zentralen Rechner GW deutet auf eine Manipulation der Statusnachricht M hin.
Neben dem Schutz übertragener Statusnachrichten vor Manipulation ist bei Sensornetzwerken eine energieverbrauchseffiziente Betriebsweise der Sensorknoten für deren lange Betriebs- dauer unabdingbar, da diese typischerweise durch eine Batterie mit Strom versorgt werden.
Bekannt ist in diesem Zusammenhang, zur Reduktion des Datenaufkommens in Sensornetzwerken erwartete Messwerte durch Prä- diktion zu schätzen und die Abweichung von dem Schätzwert zu übertragen. Hierdurch kann die zu übertragende Menge an Daten reduziert werden. Zur Verringerung der Datenmenge ist weiterhin bekannt, einen Messwert nur dann zu übertragen, wenn er ein bestimmtes Kriterium erfüllt, z.B. einen Schwellwert ü- berschreitet oder unterschreitet.
Auch die Verwendung kryptographischer Hash-Ketten sowie deren Verwendung zur Gültigkeitsprüfung von digitalen Zertifikaten
ist bereits vorgeschlagen worden.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren zum energieeffizienten und gegen Manipulation geschützten Übertragen von Daten in einem Sensornetzwerk anzugeben. Ferner sollen ein Sensorknoten und ein zentraler Rechner eines Sensornetzwerks angegeben werden, welche einen energieeffizienten Betrieb des Sensornetzwerks sowie eine manipulationssichere Übertragung von Statusnachrichten erlauben. Eine wei- tere Aufgabe der Erfindung besteht darin, ein Computerprogrammprodukt anzugeben.
Die Erfindung schafft ein Verfahren zum Übertragen von Daten in einem Sensornetzwerk, das zumindest einen Sensorknoten und einen zentralen Rechner umfasst. Bei dem Verfahren überträgt der zumindest eine Sensorknoten wiederholt eine Statusnachricht an den zentralen Rechner, welche zumindest einen eindeutigen, dem Sensorknoten zugeordneten Kennzeichner und einen von dem Sensorknoten ermittelten Datenwert umfasst. Fer- ner wird dem zentralen Rechner für den zumindest einen Sensorknoten zumindest eine geschützte Wertebereich-Nachricht bereitgestellt, die für eine jeweilige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte umfasst. Durch den zentralen Rechner wird der in einer Statusnachricht enthaltene Wert nur dann weiterverarbeitet, wenn der Datenwert innerhalb der in der Wertebereich-Nachricht angegebenen Schranken liegt.
Ein Datenwert kann Messdaten und/oder Statusinformationen um- fassen. Messdaten sind beispielsweise Temperatur, Luft, Luftfeuchte, Feinstaub und dergleichen. Messdaten können auch als zweiwertiger Wert („an" oder „aus") vorliegen, z.B. um den Status einer Alarmschleife, eines Fensters oder einer Türe (offen oder geschlossen) anzuzeigen. Auch können Messdaten durch einen Nutzer eingebbar sein, z.B. ein Temperaturwert, der z.B. als Sollwert an eine Temperaturregelung übertragen wird, oder ein Steuerkommando zum Öffnen oder Schließen einer Jalousie oder zum Ein- bzw. Ausschalten einer Beleuchtung.
Statusinformationen betreffen einen Betriebsstatus des Sensorknotens, z.B. seinen Batteriestatus, Auslastung oder verfügbaren Speicher. Unter der Gültigkeit einer Wertebereich-Nachricht wird in der vorliegenden Beschreibung eine zeitliche Spanne von einem ersten Zeitpunkt bis zu einem zweiten Zeitpunkt verstanden. Beispielsweise kann die Wertebereichs-Nachricht für einen Zeitraum von fünf Minuten oder eine halbe Stunde oder der- gleichen gültig sein.
Das der Erfindung zu Grunde liegende Prinzip besteht darin, nicht jede einzelne Nachricht, die Datenwerte enthält, durch eine kryptographische Prüfsumme zu schützen. Stattdessen wird eine geschützte, zeitlich befristet gültige Datenstruktur, die als Wertebereich-Nachricht bezeichnet ist, bereitgestellt, welche für einen bestimmten Zeitraum gültige Datenwerte des Sensorknotens beschränkt. Diesem Vorgehen liegt die Überlegung zu Grunde, dass bei einem Sensorknoten, beispielsweise Messwerte zumindest im normalen Betrieb, gut vorhersagbar sind, wenn sich die gemessene physikalische Größe nur langsam und/oder vorhersagbar ändert. Dies wird für einen effizienten kryptographischen Schutz ge- nutzt, indem eine zeitlich begrenzt gültige Wertebereich- Nachricht für den Sensorknoten bereitgestellt wird.
Das erfindungsgemäße Verfahren ist sowohl für drahtlose als auch drahtgebundene Sensornetzwerke verwendbar. Besondere Vorteile ergeben sich dann, wenn ein Sensorknoten drahtlos eine Datennachricht an den zentralen Rechner bereitstellt.
Bei dem erfindungsgemäßen Verfahren muss nicht jede einzelne Datennachricht kryptographisch oder mit einem rechenaufwändi- gen Verfahren geschützt werden. Dies erspart einerseits Rechenleistung des Sensorknotens und reduziert dadurch auch dessen Energieverbrauch. Ferner wird die Bearbeitungszeit von Statusnachrichten reduziert, was die Leistungsfähigkeit von
Anwendungen in einem Sensornetzwerk erhöht. Weiterhin ermöglicht das Verfahren den Einsatz von kryptographischen Algorithmen, die wegen ihrer Komplexität nicht für den Schutz jeder einzelnen Statusnachricht eingesetzt werden können. Ein weiterer Vorteil besteht darin, dass Manipulationsmöglichkeiten für einen Angreifer beschränkt sind, da er nur in einem begrenzten Bereich manipulierte Messwerte in das Sensornetzwerk einbringen kann. Zweckmäßigerweise erstellt ein jeweiliger Sensorknoten die zumindest eine geschützte Wertebereich-Nachricht selbst und überträgt diese an den zentralen Rechner. Hierbei ist es von besonderem Vorteil, wenn die Wertebereich-Nachricht eine Prüfsumme umfasst, wodurch die Wertebereich-Nachricht vor Ma- nipulation geschützt ist. Die Prüfsumme kann beispielsweise durch eine digitale Signatur oder einen Message Authenticati- on Code gebildet sein. Beispielsweise kann HMAC-SHA 256 mit einem 128-Bitschlüssel oder eine digitale RSA-Signatur mit 1024 Bit oder 2048 Bit Schlüssellänge, eine digitale Signatur auf Basis elliptischer Kurven (ECDSA mit einer Schlüssellänge von 164 Bit) zum Einsatz kommen.
Insbesondere erlaubt es das erfindungsgemäße Verfahren, dass die Statusnachricht keine Prüfsumme umfasst. Wahlweise kann die Prüfsumme lediglich bei einzelnen Messwerten oder sogar bei sämtlichen Statusnachrichten, die von dem Sensorknoten an den zentralen Rechner übertragen werden, weggelassen werden. Insbesondere kann keine kryptographische Prüfsumme vorhanden sein, die unter Verwendung eines kryptographischen Schlüssels berechnet wird. Ebenso ist möglich, dass nur eine effizient zu berechnende Fehlerschutzprüfsumme, z.B. ein CRC-Code, als Prüfsumme vorhanden ist, die nicht vor Manipulationen
schützt. Ist ein besonders starker Schutz notwendig, so kann in einer alternativen Ausgestaltung die Statusnachricht auch eine Prüfsumme umfassen. Dies kann insbesondere genutzt werden, eine kryptographisch stark geschützte Wertebereich- Nachricht zu ergänzen, wobei bevorzugt eine einfache, energieeffizient zu berechnende kryptographische Prüfsumme je
Statusnachricht verwendet wird. Die Prüfsumme der Statusnachricht kann beispielsweise eine auf 32 Bit Länge gekürzte Prüfsumme HMAC-MD 5-32, die mit einem 40-Bitschlüssel berechnet wird, sein. Die Prüfsumme der Statusnachricht kann auch mit einem Netzwerk-Schlüssel, d.h. mit einem nicht Sensorknoten-individuellem und damit auch weiteren Sensorknoten bekanntem Schlüssel, geschützt werden.
Gemäß einer weiteren zweckmäßigen Ausgestaltung sind die Schranken der Wertebereich-Nachricht durch eine Obergrenze und eine Untergrenze angegeben. Alternativ können die Schranken der Wertebereich-Nachricht durch einen Referenzwert und einen ein- oder beidseitigen Toleranzwert angegeben sein. In einer weiteren Alternative sind die Schranken der Wertebe- reich-Nachricht durch eine zeitabhängige Prädiktionsfunktion und eine Toleranz angegeben.
Gemäß einer weiteren zweckmäßigen Ausgestaltung werden die Schranken der Wertebereich-Nachricht und/oder die Zeitspanne der Gültigkeit der Schranken in Abhängigkeit zumindest eines vorgegebenen Parameters angepasst. Der vorgegebene Parameter umfasst gemäß einer Weiterbildung
eine zeitliche Änderungsgeschwindigkeit des Datenwerts und/oder
- einen oder mehrere statistische Werte zur Erfassung der Steuerung des Datenwerts und/oder
einen Ladezustand eines Energiespeichers des Sensorknotens und/oder
eine Häufigkeit, mit der die Statusnachrichten an den zentralen Rechner übertragen werden.
Eine weitere vorteilhafte Ausgestaltung sieht vor, dass der zumindest eine Sensorknoten und der zentrale Rechner zeitlich zueinander synchronisiert werden. Für das Senden und Empfan- gen von Statusnachrichten ist ein Zeitbezug zweckmäßig. Es kann dazu die Echtzeit, d.h. die absolute Uhrzeit, verwendet werden. Diese kann beispielsweise über einen GPS-Empfänger oder einen DCF77-Empfänger (sog. Zeitsignalsender) erhalten
werden. Alternativ kann auch eine lokale Uhrzeitinformation des Sensorknotens verwendet werden, da nur die Differenz zwischen aktueller Zeit und dem Ausstellungszeitpunkt der Wertebereich-Nachricht bekannt sein muss. Dann ist jedoch ein Auf- synchronisieren eines Empfängers auf die virtuelle Knotenzeit des Sensors notwendig. Dies ist beispielsweise bei Verwendung einer Hash-Kette möglich, wie diese in einer weiteren Ausgestaltungsform vorgesehen ist. Hierbei antwortet der Sensorknoten auf eine Nachricht (sog. Challenge c) mit einem Hash-Wert H(next hash c) . Solange weder der Wert next hash noch der
Wert des nächsten Elements der Hash-Kette veröffentlicht wurde, kann außer dem Sensorknoten kein anderer Sensorknoten die Antwort berechnen. Prüfen kann es lediglich der zentrale Rechner, sobald der Sensorknoten den nächsten Wert der Hash- Kette (next_hash) veröffentlicht. Dieses gestützte Aufsynchronisieren ist bekannt durch das Protokoll μTesla.
In einer weiteren Ausgestaltung wird die Wertebereich- Nachricht regelmäßig wiederkehrend von dem zumindest einen Sensorknoten an den zentralen Rechner übertragen. Alternativ wird die Wertebereich-Nachricht auf Anforderung des zentralen Rechners von dem zumindest einen Sensorknoten an den zentralen Rechner übertragen. Gemäß einer weiteren vorteilhaften Ausgestaltung umfasst die Wertebereich-Nachricht, insbesondere die Prüfsumme der Wertebereich-Nachricht, einen Ankerwert und, optional die Länge, einer Hash-Kette. Hierdurch kann eine weiter verbesserte Sicherheit gegen Manipulation erreicht werden. Dieses Vorgehen ist entsprechend für die Gültigkeitsprüfung von digitalen Zertifikaten bekannt.
Eine weitere Ausgestaltung sieht vor, dass mehrere Wertebereich-Nachrichten für einen jeweiligen Sensorknoten bereitge- stellt werden, wobei die mehreren Wertebereich-Nachrichten jeweils unterschiedliche Schranken und jeweils einen unterschiedlichen Ankerwert einer jeweils unterschiedlichen Hash- Kette umfassen. Je nach aktuellem Datenwert wird hierbei der
aktuelle Wert der Hash-Kette derjenigen Wertebereich- Nachricht veröffentlicht, in deren Wertebereich der aktuelle Messwert liegt. Hierdurch kann verhindert werden, dass ein Datenwert aus dem gültigen Wertebereich einer Wertebereich- Nachricht „herausläuft" und eine erneute Übertragung einer angepassten Wertebereich-Nachricht erforderlich wird.
Gemäß einer weiteren vorteilhaften Ausgestaltung ist vorgesehen, dass die Daten mehrerer Wertebereich-Nachrichten in ei- ner Super-Wertebereich-Nachricht zusammengefasst werden, wobei die Super-Wertebereich-Nachricht eine Prüfsumme umfasst. Gemäß dieser Weiterbildung werden nicht mehrere separat durch jeweils eine eigene Prüfsumme geschützte Wertebereich- Nachrichten erzeugt, sondern die mehreren Wertebereich- Nachrichten werden zu einer Datenstruktur zusammengefasst, (z.B. aneinandergereiht) und gemeinsam durch eine (einzige) kryptographische Prüfsumme geschützt.
In diesem Zusammenhang ist es zweckmäßig, wenn die Schranken der mehreren Wertebereich-Nachrichten überlappungsfrei oder alternativ überlappend zueinander angeordnet sind.
Die Erfindung umfasst ferner ein Computerprogrammprodukt, das direkt in den internen Speicher eines digitalen Computers ge- laden werden kann und Softwarecodeabschnitte umfasst, mit denen die Schritte gemäß einem der vorhergehenden Ansprüche ausgeführt werden, wenn das Produkt auf einem Computer läuft.
Die Erfindung schafft weiter einen Sensorknoten für die Ver- wendung in einem Sensornetzwerk zur Durchführung des erfindungsgemäßen Verfahrens. Der erfindungsgemäße Sensorknoten ist dazu eingerichtet, wiederholt eine Statusnachricht an den zentralen Rechner zu übertragen, welche zumindest einen eindeutigen, dem Sensorknoten zugeordneten Kennzeichner und ei- nen von dem Sensorknoten ermittelten Datenwert umfasst. Der Sensorknoten ist weiter dazu eingerichtet, dem zentralen Rechner für den zumindest einen Sensorknoten zumindest eine geschützte Wertebereich-Nachricht bereitzustellen, die für
eine jeweilige Zeitspanne gültig ist und die zumindest
Schranken für gültige Datenwerte umfasst.
Die Erfindung schafft weiter einen Zentral-Rechner für die Verwendung in einem Sensornetzwerk zur Durchführung des erfindungsgemäßen Verfahrens. Der Zentral-Rechner ist dazu eingerichtet, von zumindest einem Sensorknoten wiederholt eine Statusnachricht zu empfangen, welche zumindest einen eindeutigen, dem Sensorknoten zugeordneten Kennzeichner und einen von dem Sensorknoten ermittelten Datenwert umfasst. Der Zentral-Rechner ist weiter dazu eingerichtet, für den zumindest einen Sensorknoten zumindest eine geschützte Wertebereich- Nachricht zu empfangen, die für eine jeweilige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte umfasst. Schließlich ist der Zentral-Rechner dazu eingerichtet, den in einer Statusnachricht enthaltenen Wert nur dann zu verarbeiten, wenn der Datenwert innerhalb der in der Wertebereich-Nachricht angegebenen Schranken liegt. Hiermit sind die gleichen Vorteile verbunden, wie diese vorstehend in Verbindung mit dem erfindungsgemäßen Verfahren beschrieben wurden.
Die Erfindung wird nachfolgend näher anhand der Figuren er- läutert. Es zeigen:
Fig. 1 eine schematische Darstellung eines aus dem
Stand der Technik bekannten Sensorknotens, Fig. 2 eine schematische Darstellung eines bekannten
Sensornetzwerks,
Fig. 3 eine schematische Darstellung einer im Stand der Technik verwendeten Statusnachricht, wel- che von einem Sensorknoten an einen zentralen
Rechner des Sensornetzwerks übertragen wird,
Fig. 4 Verfahrensschritte beim Senden einer Status-
nachricht gemäß dem Stand der Technik,
Fig. 5 Verfahrensschritte beim Empfangen einer Statusnachricht durch den zentralen Rechner gemäß dem Stand der Technik,
Fig. 6 eine erfindungsgemäß verwendete Wertebereich- Nachricht in einer schematischen Darstellung, Fig. 7 eine exemplarische Darstellung einer erfindungsgemäßen Wertebereich-Nachricht,
Fig. 8 die erfindungsgemäß durchgeführten Verfahrensschritte beim Senden einer Statusnachricht durch einen Sensorknoten,
Fig. 9 die erfindungsgemäß durchgeführten Verfahrensschritte beim Empfang einer Statusnachricht durch einen zentralen Rechner des Sensornetz- werks,
Fig. 10 und 11 schematische Darstellungen erfindungsgemäß
aufgebauter Statusnachrichten, Fig. 12 eine exemplarische Wertebereich-Nachricht in einer abgewandelten Ausgestaltung,
Fig. 13 den prinzipiellen Aufbau einer Hash-Kette, Fig. 14 die Verwendung einer Hash-Kette in Verbindung mit einer Wertebereich-Nachricht gemäß einer Ausgestaltung des erfindungsgemäßen Verfahrens, Fig. 15 eine exemplarische Darstellung einer Super- Wertebereich-Nachricht, und
Fig. 16 eine abgewandelte Verwendung von Hash-Ketten
in Verbindung mit einer Super-Wertebereich- Nachricht .
Die Figuren 1 bis 5, welche das aus dem Stand der Technik be- kannte Vorgehen zum Übertragen von Daten in einem Sensornetzwerk NET mit zumindest einem Sensorknoten S und einem zentralen Rechner GW illustrieren, wurden einleitend bereits erläutert. Das erfindungsgemäße Verfahren baut auf diesem Vorgehen auf und bildet dieses in vorteilhafter Weise weiter.
Um einen energieeffizienten Betrieb der Sensorknoten S für deren lange Betriebsdauer sowie einen hohen Schutz vor Manipulation der übertragenen Statusnachrichten M durch einen Angreifer bereitstellen zu können, schlägt die Erfindung vor, zusätzlich zu den wiederholt von einem Sensorknoten S an den zentralen Rechner GW übertragenen Statusnachrichten zumindest eine geschützte Wertebereich-Nachricht WBS an den zentralen Rechner GW zu übertragen. Die geschützte Wertebereich- Nachricht WBS wird vorzugsweise durch den die Statusnachrich- ten M an den zentralen Rechner GW übertragenden Sensorknoten selbst erstellt. Die geschützte Wertebereich-Nachricht WBS ist für eine jeweilige Zeitspanne gültig und umfasst zumindest Schranken für gültige Datenwerte. Durch den zentralen Rechner GW wird der in einer Statusnachricht enthaltene Wert nur dann weiterverarbeitet, wenn der Datenwert innerhalb der in der Wertebereich-Nachricht angegebenen Schranken liegt.
Der Vorteil dieser Vorgehensweise besteht darin, dass nicht für jede einzelne Statusnachricht (und somit jeden einzelnen Datenwert) separat ein kryptographischer Schutz erzeugt werden muss. Hierdurch wird Rechenleistung in dem Sensorknoten eingespart. Dadurch kann der Energieverbrauch des Sensorknotens S verringert werden. Insbesondere wird auch die Bearbeitungszeit von Nachrichten reduziert, wodurch die Leistungsfä- higkeit von Sensornetz-Anwendungen sich erhöht. Für die Wertebereich-Nachricht WBS können hingegen komplexe kryp- tographische Algorithmen eingesetzt werden, welche aufgrund ihrer Komplexität nicht für den Schutz jeder einzelnen Sta-
tusnachricht verwendet werden können. Ferner sind Manipulationsmöglichkeiten für einen Angreifer beschränkt, da er nur in einem begrenzten Bereich manipulierte Datenwerte „einspielen" kann .
Mit dem erfindungsgemäßen Verfahren werden Datenwerte (z.B. Messwerte) eines Sensors zuverlässig geschützt, wobei ein verringerter Rechenleistungs- und Energieverbrauch erreicht wird im Vergleich zu dem bekannten Vorgehen, jede Statusnach- rieht jeweils einzeln kryptographisch zu schützen. Dies wird dadurch erkauft, dass nicht jeder Datenwert (bitgenau) geschützt wird. Vielmehr ist es bei dem erfindungsgemäßen Verfahren ausreichend, wenn ein Angreifer die Datenwerte nur geringfügig innerhalb der vorgegebenen Schranken verändern kann.
Dies ist vorteilhaft beim Schutz von Datenwerten durch eine digitale Signatur, da für die Signaturberechnung eine große Rechenleistung und damit ein hoher Energieverbrauch erforder- lieh ist. Eine Signatur wird benötigt, wenn prinzipiell beliebige, vorab nicht bekannte Empfänger die Gültigkeit des Datenwerts prüfen können sollen. Damit ist das Verfahren beispielsweise geeignet für öffentliche Sensorknoten oder Fahrzeugnetze .
Das Verfahren ist ferner effizient für Datenwerte, die naturgemäß viel Redundanz enthalten. Beispielsweise ändert sich die Temperatur häufig nur langsam und liegt in einem relativ engen Wertebereich.
Ferner ist es nicht erforderlich, jede übertragene Statusnachricht zu schützen. Es ist ausreichend zu wissen, dass der aktuell gemessene Wert noch innerhalb eines gewissen Bereichs liegt, welcher durch die Schranken in der Wertebereich- Nachricht vorgegeben ist. Hierfür wird jedoch ein äußerst effizienter Schutz erreicht.
Das Verfahren optimiert ferner die Verarbeitungszeit von Sta-
tusnachrichten, da nicht mehr für jede Nachricht aufwändige kryptographische Operationen durchgeführt werden müssen. Weiterhin ermöglicht das Verfahren die Verwendung von starken kryptographischen Verfahren, die aufgrund ihres Rechenleis- tungsbedarfs nicht für den Schutz einzelner Statusnachrichten eingesetzt werden können.
Fig. 6 zeigt eine schematische Darstellung einer erfindungsgemäßen Wertebereich-Nachricht WBS. Diese umfasst einen ein- deutigen Kennzeichner S-ID, eine Wertebereichsangabe WB sowie eine Gültigkeitsangabe G. Darüber hinaus ist die Wertebereich-Nachricht WBS durch eine kryptographische Prüfsumme Sig geschützt . Fig. 7 zeigt ein konkretes Beispiel für eine Wertebereich- Nachricht WBS: Der eindeutige Kennzeichner S-ID der Wertebereich-Nachricht WBS lautet: „0x2A31276E" . Als bestätigter Wertebereich WB ist eine Temperatur zwischen 22 0C (LOW: unterer Wert) und 24 0C (HIGH: oberer Wert) angegeben. Die zeitliche Gültigkeit G ist angegeben als Startzeitpunkt und Endzeitpunkt im Format YYYYMMDDHHMMSS, wobei YYYY das Jahr, MM der Monat, DD der Tag, HH die Stunde, MM die Minute und SS die Sekunde repräsentieren. Dies bedeutet, die Wertebereich- Nachricht WBS ist gültig vom 07.04.2009, 14:27:00 bis zum 07.04.2009, 15:26:59.
Der Wert der kryptographischen Prüfsumme Sig ist lediglich angedeutet. Es handelt sich hier um einen Wert, der mittels eines bekannten Verfahrens, z.B. HMAC-SHAl, AES-CBC-MAC, RSA- Signatur, DSA-Signatur, ECDSA-Signatur und dergleichen, zur Berechnung einer kryptographischen Prüfsumme berechnet wird.
Alternativ könnte der Wertebereich WB auch als ein Referenzwert und eine Toleranz (z.B. die maximal erlaubte absolute oder prozentuale Abweichung von dem Referenzwert) angegeben sein. Die zeitliche Gültigkeit kann beispielsweise auch durch einen Startwert und eine Dauer angegeben sein.
Zweckmäßigerweise wird eine aktuelle Wertebereich-Nachricht nicht nur nach deren Erzeugen von dem Sensorknoten an den zentralen Rechner GW übertragen. Es ist vorteilhaft, die aktuelle Wertebereich-Nachricht WBS wiederkehrend, z.B. jede Minute, an den zentralen Rechner zu übertragen. In einer weiteren Ausgestaltung könnte die aktuelle Wertebereich- Nachricht auch auf Anfrage des zentralen Rechners GW von dem entsprechenden Sensorknoten erneut übertragen werden. Fig. 8 zeigt den Verfahrensablauf des erfindungsgemäßen Verfahrens beim Senden einer Statusnachricht an den zentralen Rechner GW. In einem ersten Schritt Sl wird durch den Sensorknoten ein Datenwert ermittelt. In Schritt S2 wird überprüft, ob für den Sensorknoten eine Wertebereich-Nachricht WBS vor- liegt. Ist dies nicht der Fall („n"), so wird in Schritt S5 eine neue Wertebereich-Nachricht WBS bestimmt. Diese umfasst, wie erläutert, eine Wertebereich-Angabe und eine Gültigkeitsangabe G. In Schritt S6 wird die kryptographische Prüfsumme für die Wertebereich-Nachricht ermittelt. In Schritt S7 wird die erstellte Wertebereich-Nachricht einschließlich der kryp- tographischen Prüfsumme Sig an den zentralen Rechner übertragen. Anschließend wird in Schritt S8 die Statusnachricht einschließlich des in Schritt 1 ermittelten Datenwerts an den zentralen Rechner GW übermittelt.
Ist in Schritt S2 die Wertebereich-Nachricht WBS für den Sensorknoten S vorhanden („j"), so wird in Schritt S3 überprüft, ob die Wertebereich-Nachricht aktuell ist. Dies bedeutet, es wird überprüft ob die aktuelle Zeit innerhalb der Gültig- keitsangabe G der aktuellen Wertebereich-Nachricht WBS liegt. Ist dies nicht der Fall („n"), so werden die Schritte S5, S6 und S7 zunächst durchlaufen. Ist die Wertebereich-Nachricht WBS hingegen in Schritt S3 aktuell („j"), so wird in Schritt S4 überprüft, ob ein Messwert im durch die Wertebereich- Nachricht WBS bestätigten Bereich WB liegt. Ist dies der Fall ("j"), so wird in Schritt S8 die Statusnachricht einschlie߬ lich des Datenwerts an den zentralen Rechner GW übertragen. Liegt der Datenwert außerhalb des durch die Wertebereich-
Nachricht definierten Wertebereichs („n"), so werden die Schritte S5, S6 und S7 durchlaufen, wobei die Statusnachricht nicht an den zentralen Rechner übertragen wird. Fig. 9 illustriert den Verfahrensablauf beim Erhalt einer
Statusnachricht M durch den zentralen Rechner GW. In Schritt Sl wird eine Statusnachricht M empfangen. In Schritt S2 wird überprüft, ob die erhaltene Nachricht eine Wertebereich- Nachricht WBS ist. Ist dies der Fall („j"), so wird in
Schritt S3 die kryptographische Prüfsumme der Wertebereich- Nachricht WBS überprüft. In Schritt S4 wird deren Gültigkeit überprüft. Ist diese nicht gültig („n"), so endet das Verfahren an dieser Stelle. Ist die kryptographische Prüfsumme Sig der Wertebereich-Nachricht WBS hingegen gültig („j"), so wird in Schritt S5 die zeitliche Gültigkeit der Wertebereich- Nachricht WBS überprüft. In Schritt S6 endet das Verfahren in dem Fall, in dem die zeitliche Gültigkeit nicht gegeben ist („n") . Ist die zeitliche Gültigkeit hingegen korrekt („j"), so wird in Schritt S7 die Wertebereich-Nachricht WBS gespei- chert.
Wurde in Schritt S2 festgestellt, dass die empfangene Nachricht keine Wertebereich-Nachricht WBS („n") ist, so wird in Schritt S8 überprüft, ob es sich um einen Datenwert handelt. Ist dies nicht der Fall, so endet das Verfahren an dieser
Stelle. In diesem Fall könnte es sich beispielsweise um eine Routing-Nachricht handeln. Wurde mit der empfangenen Nachricht ein Datenwert empfangen („j" in Schritt S8), so wird in Schritt S9 überprüft, ob für den sendenden Sensorknoten S ei- ne aktuelle Wertebereich-Nachricht WBS vorliegt. Ist dies nicht der Fall („n"), so endet das Verfahren. In diesem Fall könnte durch den zentralen Rechner GW eine Wertebereich- Nachricht angefordert werden. Liegt hingegen für den Sensorknoten eine aktuelle Wertebereich-Nachricht WBS vor („j"), so wird in Schritt SlO überprüft, ob der Datenwert in dem durch die Wertebereich-Nachricht WBS bestätigten Bereich liegt. Ist dies der Fall („j"), so wird in Schritt Sil der Datenwert verwendet. Andernfalls („n") endet das Verfahren und der Da-
tenwert wird nicht verwendet. In diesem Fall könnte ein Angriff vorgelegen haben.
Die Figuren 10 und 11 zeigen in schematischer Darstellung den Aufbau einer Statusnachricht M bei Verwendung des erfindungsgemäßen Verfahrens. In der einfachsten Variante gemäß Fig. 10 enthält eine Statusnachricht lediglich einen eindeutigen Kennzeichner C-ID und den Datenwert Mess. Im Gegensatz zu Statusnachrichten aus dem Stand der Technik ist in dieser Va- riante keine kryptographische Prüfsumme notwendig, da der Datenwert über die Wertebereichsangabe und die Gültigkeit der Wertebereich-Nachricht WBS geschützt ist. In der in Fig. 11 gezeigten Variante ist zusätzlich eine kryptographische Prüfsumme Sig vorgesehen, die zusätzlich zur Wertebereich- Nachricht geprüft wird. Hierdurch wird eine erhöhte Sicherheit erreicht.
Eine Wertebereich-Nachricht kann in einer Weiterbildung einen Ankerwert ANCHOR einer sog. Hash-Kette HC enthalten. Dies ist bei Gültigkeitsprüfungen von digitalen Zertifikaten bekannt. Eine Hash-Kette der Länge n beginnt, ausgehend von einem kryptographischen (pseudo-) zufällig gewählten Wert Rl. Von diesem ausgehend werden nun die Werte der Hash-Kette berechnet, so dass
R2:=H(R1), R3:=H(R2), ..., Rn : =H (R (n-1 ) ) .
H () repräsentiert dabei eine kryptographische Hash-Funktion, z.B. gemäß MD5, SHA-I, SHA256. Der letzte Wert Rn der Hash- Kette stellt den sog. Anker dar, der in den nachfolgenden Zeichnungen mit ANCHOR gekennzeichnet ist.
Eine Eigenschaft kryptographischer Hash-Funktionen ist, dass diese nicht praktikabel invertierbar sind. Dies bedeutet, von einem Ausgangswert kann nicht praktikabel auf einen Eingangswert geschlossen werden, der zu diesem Ausgangswert führt. Dadurch kann eine Hash-Kette in der einen Richtung (d.h. im Index 1 → 2 → ... → n) leicht berechnet werden. Eine einfache
Berechnung in umgekehrter Richtung ist jedoch nicht möglich.
Diese Eigenschaften von Hash-Ketten werden im vorliegenden Verfahren derart verwendet, dass in einer Wertebereich- Nachricht WBS der Anker-Wert einer Hash-Kette zusätzlich mit aufgenommen wird. Die Elemente der Hash-Kette sind jeweils einer gewissen Zeitdauer der gesamten Gültigkeitsdauer der Wertebereich-Nachricht WBS zugeordnet, z.B. eine Sekunde, eine Minute, eine Stunde.
Wenn ein Sensorknoten S nun zu einem bestimmten Zeitpunkt einen Datenwert Mess in einer Statusnachricht M überträgt, so überträgt er in der Statusnachricht auch den Wert desjenigen Werts der Hash-Kette, der dem aktuellen Zeitpunkt entspricht. Hierdurch wird bestätigt, dass in diesem Zeitraum der Datenwert im bestätigten Wertebereich liegt. Der Empfänger, d.h. der zentrale Rechner GW, überprüft zusätzlich, bevor er einen empfangenen Datenwert Mess verwendet, ob für den aktuellen Zeitpunkt der entsprechende Wert der Hash-Kette bekannt ge- macht wurde.
Ein Angreifer kann somit eine Wertebereich-Nachricht nicht mehr während deren gesamter Gültigkeitsdauer missbräuchlich verwenden, sondern nur, solange die Gültigkeit der Wertebe- reich-Nachricht WBS durch den Sensorknoten S durch Veröffentlichen des aktuellen Werts der Hash-Kette bestätigt wird.
Eine Wertebereich-Nachricht WBS mit einer Gültigkeitsdauer G von zehn Minuten und einer Länge „Length" der Hash-Kette HC von zehn Elementen ist in Fig. 12 exemplarisch dargestellt.
Die Wertebereich-Nachricht WBS enthält somit zusätzlich Angaben zu der Hash-Kette HC, nämlich den Ankerwert ANCHOR und deren Länge (Length) . Hier ergibt sich, dass jeweils einer Minute ein Wert der Hash-Kette HC zugeordnet ist. Anstatt der Länge der Hash-Kette könnte auch das zeitliche Raster, d.h. die Gültigkeit jedes Elements der Hash-Kette HC angegeben sein (hier: eine Minute) .
Fig. 13 zeigt die Hash-Kette, d.h. die Werte, die ausgehend von einem kryptographischen (pseudo-) zufällig gewählten Wert Hl ausgehend berechnet werden. Der Ankerwert (ANCHOR) ist der Wert HlO. Dies ist der Wert, der in der Wertebereich- Nachricht WBS angegeben ist. Jedem Element der Hash-Kette ist ein zeitlicher Bereich zugeordnet (Start, End) , der für die Darstellung verkürzt im Format MMSS (MM Minute, SS Sekunde) angegeben ist. Der Wert „1700" des Werts H3 entspricht (in Verbindung mit den Angaben der Wertebereich-Nachricht WBS aus Fig. 12) ausgeschrieben der Zeitangabe „20090470141700".
In einer Variante bereitet der Sensorknoten mehrere Wertebereich-Nachrichten vor, die jeweils einen unterschiedlichen Wertebereich angeben und jeweils den Ankerwert einer jeweils unterschiedlichen Hash-Kette enthalten. Je nach aktuellem Datenwert wird der aktuelle Wert der Hash-Kette derjenigen Wertebereich-Nachricht veröffentlicht, in deren Wertebereich der aktuelle Messwert liegt. Auf diese Weise kann das Herauslaufen eines Datenwerts aus dem Wertebereich einer Wertebereich- Nachricht verhindert werden. Dadurch sind unter Umständen die Neuerstellung und das Übertragen einer angepassten Wertebereich-Nachricht nicht notwendig.
Das Vorgehen ist schematisch in Fig. 14 dargestellt. In der obersten Graphik ist der Verlauf einer zu messenden Temperatur in Abhängigkeit der Zeit t dargestellt. Unterhalb des Temperatur-Zeitverlaufs sind vier Hash-Ketten HCl, HC2, HC3 und HC4 dargestellt. Die Hash-Kette HCl ist hierbei einem Temperaturbereich von 22,0 0C bis 22,4 0C zugeordnet. Die Hash-Kette HC2 ist einem Temperaturbereich von 22,5 0C bis
22,9 0C zugeordnet. Die Hash-Kette HC3 ist einem Temperaturbereich von 23,0 0C bis 23,4 0C zugeordnet. Die Hash-Kette HC4 ist einem Temperaturbereich von 23,5 0C bis 24,0 0C zugeordnet. In der Figur ist der untere Temperaturwert jeweils mit LOW der obere Temperaturwert mit HIGH gekennzeichnet. Jeweils zur vollen Minute wird in der Darstellung ein Datenwert erfasst. Dies ist im Temperaturverlauf durch die senkrechten Linien zur vollen Minute gekennzeichnet, wobei die Darstel-
lung wieder verkürzt im Format MMSS (mit MM Minute, SS Sekunde) angegeben ist. Es wird dann der aktuelle Hash-Wert derjenigen Hash-Kette HCl, HC2, HC3 oder HC4 veröffentlicht, in deren Wertebereich der aktuelle Datenwert fällt. Der veröf- fentlichte Hash-Wert ist in Fig. 14 gestrichelt gekennzeichnet. Wie der Fig. 14 ohne Weitere zu entnehmen ist, liegt die Temperatur zum Zeitpunkt „1000" im Bereich zwischen 22,5 0C und 23 0C. Es wird deshalb der Hash-Wert HlO der Hash-Kette HC2 veröffentlicht. Zum Zeitpunkt „1100" liegt die Temperatur im Bereich zwischen 23,5 0C und 24 0C. Dementsprechend wird der Hash-Wert H9 der Hash-Kette HC4 veröffentlicht usw.
Entgegen der Beschreibung ist nicht mehr die Übertragung des eigentlichen Datenwerts notwendig. Es braucht gemäß einer Ausgestaltung nur noch der aktuelle Wert der zugehörigen Hash-Kette an den zentralen Rechner GW übertragen werden.
Eine andere Ausgestaltung sieht vor, dass nicht mehrere separat durch jeweils eine eigene kryptographische Prüfsumme ge- schützte Wertebereich-Nachrichten erzeugt werden, sondern die mehreren Wertebereich-Nachrichten werden zu einer Datenstruktur zusammengefasst, z.B. aneinandergereiht, und gemeinsam durch eine kryptographische Prüfsumme Sig geschützt. Eine derartige Wertebereich-Nachricht wird als Super-Wertebereich- Nachricht SWBS bezeichnet. Diese ist exemplarisch in Fig. 15 dargestellt. Die Super-Wertebereich-Nachricht SWBS umfasst einen gemeinsamen Teil CP. Dieser enthält die für die einzelnen Wertebereich-Nachrichten WBSi (mit i = 1 bis n, hier: n=4) gemeinsamen Daten, nämlich den eindeutigen Kennzeichner S-ID, den Gültigkeitszeitraum G sowie eventuell die Länge der Hash-Ketten HC-Length. Weiterhin sind mehrere Sub- Wertebereich-Nachrichten enthalten, im vorliegenden Ausführungsbeispiel vier: WBSl, WBS2, WBS3, WBS4. Diese spezifizieren hier jeweils einen Wertebereich WB und einen optionalen Ankerwert HC-ANCHOR der jeweiligen Hash-Kette. Die gesamte
Datenstruktur der Super-Wertebereich-Nachricht SWBS ist durch eine gemeinsame digitale Prüfsumme Sig geschützt.
In dieser Ausgestaltungsvariante wird ein Wertebereich, der durch die Schranken LOW and HIGH definiert ist, jeweils durch eine Hash-Kette repräsentiert. Wenn, wie im Ausführungsbeispiel der Fig. 15, die Wertebereiche der Sub-Wertebereich- Nachrichten WBSl, WBS2, WBS3 und WBS4 überlappungsfrei sind, so wird zu jedem Zeitschritt genau ein Hash-Wert bekannt gemacht: der Hash-Wert desjenigen Wertebereichs, in den der aktuelle Messwert fällt. In einer Alternative können die Wertebereiche auch überlappend sein. Dann wird von all denjenigen Hash-Ketten der aktuelle Hash-Wert veröffentlicht, bei denen der aktuelle Messwert in den jeweiligen Wertebereich fällt. Wenn der aktuelle Messwert in keinen Wertebereich fällt, dann wird kein Hash- Wert veröffentlicht.
In einer weiteren Variante kann eine weitere Hash-Kette vorgesehen werden, die den Pseudo-Wertebereich „Out of ränge" repräsentiert, d.h. der aktuelle Messwert fällt nicht in ei- nen der vorhandenen Wertebereiche. Es können dafür auch zwei Hash-Ketten dafür vorgesehen werden (z.B. „too_HIGH" und „too_LOW") , um zu unterscheiden, ob der aktuelle Messwert ü- ber oder unter dem durch die vorhandenen Wertebereich- Nachrichten darstellbaren Wertebereichen liegt.
In einer weiteren Ausgestaltungsvariante wird ein Datenwert binär codiert, z.B. als 4 Bit, 8 Bit, 12 Bit oder 16 Bit Datenwert. Für einen 4 Bit-Datenwert werden dann für jede Bit- Position jeweils zwei Hash-Ketten HCIa, HCIb für ein Bit 0, HC2a, HC2b für ein Bit 1, HC3a, HC3b für ein Bit 2 und HC4a, HC4b für ein Bit 3 vorgesehen, wobei die mit dem Index „a" gekennzeichnete Hash-Kette den Bitwert 0 und die mit dem Index „b" gekennzeichnete Hash-Kette den Bitwert 1 repräsentiert. Es werden dann diejenigen aktuellen Hash-Werte derje- nigen Hash-Ketten veröffentlicht, die dem aktuellen Datenwert entsprechen. Dies bedeutet, für jedes Bit wird entweder der Wert der Hash-Kette bekannt gemacht, die dem Wert 0 entspricht, oder der Wert der Hash-Kette, die dem Wert 1 ent-
spricht. Es werden also bei einer Codierung von z.B. 4 Bit je Messwert jeweils vier Hash-Werte bekannt gemacht. Dies ist exemplarisch in Fig. 16 dargestellt. Zum Zeitpunkt t = 1000 ist der Datenwert beispielsweise 1011, wobei das höchstwerti- ge Bit 3 links und das niedrigstwertige Bit 0 rechts wiedergegeben ist.
In einer nicht dargestellten Variante stellt nicht ein Sensorknoten eine Wertebereich-Nachricht aus, sondern der Sen- sorknoten fügt der Statusnachricht eine Prüfsumme abhängig davon hinzu, ob der zu sendende Datenwert innerhalb der
Schranken der Wertebereich-Nachricht liegt.
Claims
1. Verfahren zum Übertragen von Daten in einem Sensornetzwerk (NET), umfassend zumindest einen Sensorknoten (S) und einem zentralen Rechner (GW) , bei dem
der zumindest eine Sensorknoten (S) wiederholt eine Statusnachricht (M) an den zentralen Rechner (GW) überträgt, welche zumindest einen eindeutigen, dem Sensorknoten (S) zugeordneten Kennzeichner (S-ID) und einen von dem Sensorknoten ermittelten Datenwert (Mess) um- fasst,
dem zentralen Rechner (GW) für den zumindest einen Sensorknoten (S) zumindest eine geschützte Wertebereich- Nachricht (WBS) bereitgestellt wird, die für eine jewei- lige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte (Mess) umfasst, und
durch den zentralen Rechner (GW) der in einer Statusnachricht (M) enthaltene Wert nur dann weiter verarbeitet wird, wenn der Datenwert innerhalb der in der Werte- bereich-Nachricht (WBS) angegebenen Schranken liegt.
2. Verfahren nach Anspruch 1, bei dem ein jeweiliger Sensorknoten (S) die zumindest eine geschützte Wertebereich- Nachricht (WBS) selbst erstellt und an den zentralen Rechner (GW) überträgt.
3. Verfahren nach Anspruch 1 oder 2, bei dem die Wertebereich-Nachricht eine Prüfsumme (Sig) umfasst.
4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die Statusnachricht (M) keine Prüfsumme umfasst.
5. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die Statusnachricht (M) eine Prüfsumme umfasst.
6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem die Schranken der Wertebereich-Nachricht (WBS) durch eine Obergrenze und eine Untergrenze angegeben sind.
7. Verfahren nach einem der Ansprüche 1 bis 5, bei dem die Schranken der Wertebereich-Nachricht (WBS) durch einen Referenzwert und einen ein- oder beidseitigen Toleranzwert ange- geben sind.
8. Verfahren nach einem der Ansprüche 1 bis 5, bei dem die Schranken der Wertebereich-Nachricht (WBS) durch eine zeitabhängige Prädiktionsfunktion und eine Toleranz angegeben sind.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Schranken der Wertebereich-Nachricht (WBS) und/oder die Zeitspanne der Gültigkeit der Schranken in Abhängigkeit zumindest eines vorgegebenen Parameters angepasst werden.
10. Verfahren nach Anspruch 9, bei dem der vorgegebene Parameter umfasst:
eine zeitliche Änderungsgeschwindigkeit des Datenwerts (Mess) ; und/oder
- einen oder mehrere statistische Werte zur Erfassung der Streuung des Datenwerts; und/oder
einen Ladezustand eines Energiespeichers des Sensorknotens (S) ; und/oder
eine Häufigkeit, mit der die Statusnachrichten an den zentralen Rechner (GW) übertragen werden.
11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der zumindest eine Sensorknoten (S) und der zentrale Rechner (GW) zeitlich zueinander synchronisiert werden.
12. Verfahren nach einem der Ansprüche 1 bis 11, bei dem die Wertebereich-Nachricht (WBS) regelmäßig wiederkehrend von dem zumindest einen Sensorknoten (S) an den zentralen Rechner (GW) übertragen wird.
13. Verfahren nach einem der Ansprüche 1 bis 11, bei dem die Wertebereich-Nachricht (WBS) auf Anforderung des zentralen Rechners (GW) von dem zumindest einen Sensorknoten (S) an den zentralen Rechner (GW) übertragen wird.
14. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Wertebereich-Nachricht (WBS), insbesondere die Prüf- summe der Wertebereich-Nachricht (WBS) , einen Ankerwert und, optional die Länge, einer Hash-Kette umfasst.
15. Verfahren nach Anspruch 14, bei dem mehrere Wertebereich- Nachrichten (WBS) für einen jeweiligen Sensorknoten (S) be- reitgestellt werden, wobei die mehreren Wertebereich- Nachrichten (WBS) jeweils unterschiedliche Schranken und jeweils einen unterschiedlichen Ankerwert einer jeweils unterschiedlichen Hash-Kette umfassen.
16. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Daten mehrerer Wertebereich-Nachrichten (WBS) in einer Super-Wertebereich-Nachricht (SWBS) zusammengefasst werden, wobei die Super-Wertebereich-Nachricht (SWBS) eine Prüfsumme umfasst.
17. Verfahren nach Anspruch 16, bei dem die Schranken der mehreren Wertebereich-Nachrichten (WBS) überlappungsfrei oder überlappend sind.
18. Computerprogrammprodukt, das direkt in den internen Speicher eines digitalen Computers geladen werden kann und Softwarecodeabschnitte umfasst, mit denen die Schritte gemäß einem der vorhergehenden Ansprüche ausgeführt werden, wenn das Produkt auf einem Computer läuft.
19. Sensorknoten für die Verwendung in einem Sensornetzwerk zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 17, der dazu eingerichtet ist,
wiederholt eine Statusnachricht (M) an den zentralen Rechner (GW) zu übertragen, welche zumindest einen eindeutigen, dem Sensorknoten (S) zugeordneten Kennzeichner (S-ID) und einen von dem Sensorknoten ermittelten Datenwert (Mess) umfasst, dem zentralen Rechner (GW) für den zumindest einen Sensorknoten (S) zumindest eine geschützte Wertebereich- Nachricht (WBS) bereit zu stellen, die für eine jeweilige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte (Mess) umfasst.
20. Zentral-Rechner für die Verwendung in einem Sensornetzwerk zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, der dazu eingerichtet ist,
- von zumindest einem Sensorknoten (S) wiederholt eine
Statusnachricht (M) zu empfangen, welche zumindest einen eindeutigen, dem Sensorknoten (S) zugeordneten Kennzeichner (S-ID) und einen von dem Sensorknoten ermittelten Datenwert (Mess) umfasst,
- für den zumindest einen Sensorknoten (S) zumindest eine geschützte Wertebereich-Nachricht (WBS) zu empfangen, die für eine jeweilige Zeitspanne gültig ist und die zumindest Schranken für gültige Datenwerte (Mess) umfasst, und
- den in einer Statusnachricht (M) enthaltenen Wert nur dann weiter zu verarbeiten, wenn der Datenwert innerhalb der in der Wertebereich-Nachricht (WBS) angegebenen Schranken liegt.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/392,823 US9204305B2 (en) | 2009-08-27 | 2010-07-19 | Method for transmitting data in a sensor network, sensor node and central processor |
EP10739314.2A EP2471243B1 (de) | 2009-08-27 | 2010-07-19 | Verfahren zum übertragen von daten in einem sensornetzwerk, sensorknoten und zentral-rechner |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009039097.9 | 2009-08-27 | ||
DE102009039097A DE102009039097B3 (de) | 2009-08-27 | 2009-08-27 | Verfahren zum Übertragen von Daten in einem Sensornetzwerk, Sensorknoten und Zentral-Rechner |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2011023461A1 true WO2011023461A1 (de) | 2011-03-03 |
Family
ID=42993820
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2010/060393 WO2011023461A1 (de) | 2009-08-27 | 2010-07-19 | Verfahren zum übertragen von daten in einem sensornetzwerk, sensorknoten und zentral-rechner |
Country Status (4)
Country | Link |
---|---|
US (1) | US9204305B2 (de) |
EP (1) | EP2471243B1 (de) |
DE (1) | DE102009039097B3 (de) |
WO (1) | WO2011023461A1 (de) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1993013121A1 (en) | 1991-12-24 | 1993-07-08 | Isis Pharmaceuticals, Inc. | Gapped 2' modified oligonucleotides |
EP2216407B1 (de) | 2003-03-07 | 2016-01-13 | Alnylam Pharmaceuticals, Inc. | Therapeutische Zusammensetzungen |
CA3043911A1 (en) | 2007-12-04 | 2009-07-02 | Arbutus Biopharma Corporation | Targeting lipids |
JP5788312B2 (ja) | 2008-04-11 | 2015-09-30 | アルニラム ファーマスーティカルズ インコーポレイテッドAlnylam Pharmaceuticals, Inc. | 標的リガンドをエンドソーム分解性成分と組み合わせることによる核酸の部位特異的送達 |
EP3587434A1 (de) | 2008-09-23 | 2020-01-01 | Alnylam Pharmaceuticals Inc. | Chemische modifikationen von monomeren und oligonukleotiden mit click komponenten um liganden zu konjugieren |
SG10201901089TA (en) | 2008-11-10 | 2019-03-28 | Arbutus Biopharma Corp | Novel lipids and compositions for the delivery of therapeutics |
AU2010221419B2 (en) | 2009-03-02 | 2015-10-01 | Alnylam Pharmaceuticals, Inc. | Nucleic acid chemical modifications |
HUE056773T2 (hu) | 2009-06-10 | 2022-03-28 | Arbutus Biopharma Corp | Továbbfejlesztett lipid készítmény |
WO2011071860A2 (en) | 2009-12-07 | 2011-06-16 | Alnylam Pharmaceuticals, Inc. | Compositions for nucleic acid delivery |
AU2010330814B2 (en) | 2009-12-18 | 2017-01-12 | Acuitas Therapeutics Inc. | Methods and compositions for delivery of nucleic acids |
US9198972B2 (en) | 2010-01-28 | 2015-12-01 | Alnylam Pharmaceuticals, Inc. | Monomers and oligonucleotides comprising cycloaddition adduct(s) |
US20130202652A1 (en) | 2010-07-30 | 2013-08-08 | Alnylam Pharmaceuticals, Inc. | Methods and compositions for delivery of active agents |
US20130323269A1 (en) | 2010-07-30 | 2013-12-05 | Muthiah Manoharan | Methods and compositions for delivery of active agents |
EP3202760B1 (de) | 2011-01-11 | 2019-08-21 | Alnylam Pharmaceuticals, Inc. | Pegylierte lipide und deren verwendung zur wirkstofffreisetzung |
EP2697786B1 (de) * | 2011-04-13 | 2017-10-04 | Nokia Technologies Oy | Verfahren und vorrichtung für identitätsbasierte fahrkartenausgabe |
DE102011081036A1 (de) * | 2011-08-16 | 2013-02-21 | Siemens Aktiengesellschaft | Verfahren zum Aussenden von Nachrichten mit Integritätsschutz |
EP3708184A1 (de) | 2013-03-27 | 2020-09-16 | The General Hospital Corporation | Verfahren und mittel zur behandlung von morbus alzheimer |
US11077607B2 (en) * | 2013-10-21 | 2021-08-03 | Made In Space, Inc. | Manufacturing in microgravity and varying external force environments |
KR102473092B1 (ko) | 2014-09-15 | 2022-12-01 | 칠드런'즈 메디컬 센터 코포레이션 | 히스톤 h3-리신 트리메틸화를 제거함으로써 체세포 핵 이식(scnt) 효율을 증가시키는 방법 및 조성물 |
CN104468797A (zh) * | 2014-12-12 | 2015-03-25 | 广西科技大学 | 城市空气环境监测系统 |
CN104483942A (zh) * | 2014-12-12 | 2015-04-01 | 广西科技大学 | 用于空气环境的监测系统 |
US9807637B2 (en) * | 2015-09-23 | 2017-10-31 | Qualcomm Incorporated | Broadcast ranging messages for WLAN RTT measurements |
DE102015218373B4 (de) | 2015-09-24 | 2017-05-04 | Siemens Aktiengesellschaft | Überwachen einer Integrität eines Testdatensatzes |
DE102016225436A1 (de) * | 2016-12-19 | 2018-06-21 | Volkswagen Aktiengesellschaft | Sensor zum Erfassen von Messwerten, Verfahren, Vorrichtung und computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von Messwerten eines Sensors |
KR20200084004A (ko) | 2017-11-02 | 2020-07-09 | 얀센 바이오파마, 인크. | 올리고뉴클레오티드 구축물 및 이의 용도 |
US10989427B2 (en) | 2017-12-20 | 2021-04-27 | Trane International Inc. | HVAC system including smart diagnostic capabilites |
DE102018110552A1 (de) * | 2018-05-03 | 2019-11-07 | Endress+Hauser Process Solutions Ag | Verfahren zum Reduzieren einer zu übertragenden Datenmenge eines Feldgeräts |
EP3644207B1 (de) | 2018-10-23 | 2020-09-30 | Siemens Aktiengesellschaft | Sicheres element, sicherheitsmodul, zuverlässiger sensorknoten und verfahren zur zertifizierung einer plausibilität eines sensorwerts |
WO2022034555A1 (en) | 2020-08-13 | 2022-02-17 | Janssen Biopharma, Inc. | Polynucleotide constructs and uses thereof |
US11902129B1 (en) | 2023-03-24 | 2024-02-13 | T-Mobile Usa, Inc. | Vendor-agnostic real-time monitoring of telecommunications networks |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008007696A1 (de) * | 2008-02-06 | 2009-08-20 | Siemens Aktiengesellschaft | Verfahren zum Betrieb eines drahtlosen Sensornetzwerks |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7478233B2 (en) * | 2002-05-30 | 2009-01-13 | Microsoft Corporation | Prevention of software tampering |
KR20080055910A (ko) * | 2005-09-13 | 2008-06-19 | 엔엑스피 비 브이 | 메시지 송신 방법 |
DE102005044949A1 (de) * | 2005-09-20 | 2007-03-29 | Nec Europe Ltd. | Verfahren zur Authentifizierung |
US7598850B2 (en) * | 2006-01-26 | 2009-10-06 | The United States Of America As Represented By The Secretary Of The Army | System and method for centralized event warning notification for individual entities, and computer program product therefor |
US8515070B2 (en) * | 2007-10-12 | 2013-08-20 | Emc Corporation | Access control for implanted medical devices |
-
2009
- 2009-08-27 DE DE102009039097A patent/DE102009039097B3/de not_active Expired - Fee Related
-
2010
- 2010-07-19 WO PCT/EP2010/060393 patent/WO2011023461A1/de active Application Filing
- 2010-07-19 EP EP10739314.2A patent/EP2471243B1/de not_active Not-in-force
- 2010-07-19 US US13/392,823 patent/US9204305B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008007696A1 (de) * | 2008-02-06 | 2009-08-20 | Siemens Aktiengesellschaft | Verfahren zum Betrieb eines drahtlosen Sensornetzwerks |
Non-Patent Citations (1)
Title |
---|
MILI F ET AL: "Economic-based vs. nature-inspired intruder detection in sensor networks", RISKS AND SECURITY OF INTERNET AND SYSTEMS, 2008. CRISIS '08. THIRD INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ, USA, 28 October 2008 (2008-10-28), pages 177 - 184, XP031410404, ISBN: 978-1-4244-3309-4 * |
Also Published As
Publication number | Publication date |
---|---|
DE102009039097B3 (de) | 2010-11-25 |
US20120158903A1 (en) | 2012-06-21 |
EP2471243A1 (de) | 2012-07-04 |
US9204305B2 (en) | 2015-12-01 |
EP2471243B1 (de) | 2015-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2471243B1 (de) | Verfahren zum übertragen von daten in einem sensornetzwerk, sensorknoten und zentral-rechner | |
DE102014224694B4 (de) | Netzwerkgerät und Netzwerksystem | |
EP2569896B1 (de) | Verfahren und vorrichtung zum authentisieren von multicast-nachrichten | |
DE102008046563A1 (de) | Verfahren zur Datenübertragung zwischen Netzwerkknoten | |
EP3008975B1 (de) | Vorrichtung und verfahren zum steuern eines leuchtmittels | |
EP2705410B1 (de) | Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage | |
DE102020101358A1 (de) | Selektive Echtzeit-Kryptographie in einem Fahrzeugkommunikationsnetz | |
DE102004016580B4 (de) | Verfahren zur Übertragung von Daten in einem Ad Hoc Netzwerk oder einem Sensornetzwerk | |
DE102006060040B4 (de) | Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung | |
DE102011014558A1 (de) | Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung einer variablen Erneuerungsperiode zwischen Zertifikaten | |
WO2019129417A1 (de) | Verfahren und system zum überprüfen einer integrität einer kommunikation | |
EP2517137B1 (de) | Verfahren und Vorrichtung zur Sicherung der Kommunikation zwischen einem Heimautomatisierungsserver und einem zentralen Konfigurationsserver | |
WO2017001295A1 (de) | System und verfahren zum datenaustausch mit einem laser oder einer werkzeugmaschine | |
EP2695324B1 (de) | Verfahren zum aussenden von nachrichten mit integritätsschutz | |
EP2529511B1 (de) | Verfahren und vorrichtung zur steuerung eines heimautomatisierungssystems | |
EP2829011A1 (de) | Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete | |
EP3556071B1 (de) | Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors | |
EP2989743B1 (de) | Verfahren und system zur geschützten gruppenkommunikation mit sender-authentisierung | |
DE102014019496A1 (de) | Verfahren zur Steuerung eines Authentifizierungsschlüsselaustausches in Fahrzeugnetzwerken und ein Kraftfahrzeug | |
AT521914B1 (de) | Kommunikationsmodul | |
DE102008009691A1 (de) | Verfahren für die Gebäudeautomatisierung | |
WO2019201571A1 (de) | Bereitstellung von sicherheitskonfigurationsdaten einer zugangsverbindung | |
DE102010011656A1 (de) | Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten | |
DE102019204951A1 (de) | Verfahren zum sicheren austauschen von nachrichten zwischen endgeräten in einem netzwerk | |
EP2751972B1 (de) | Verfahren zur daten uebertragung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10739314 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2010739314 Country of ref document: EP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
WWE | Wipo information: entry into national phase |
Ref document number: 13392823 Country of ref document: US |