公开了用于使新节点与无线个人区域通信网络关联的方法,所述通信网络包括多个节点。所述方法包括:在通信网络的节点之中设置配置节点;将配置节点操作为允许新节点与网络的关联;将其它节点操作为不允许新节点与网络的关联;以及在配置节点处,当从新节点接收到加入网络的请求时,以降低的发射功率向新节点发送网络密钥。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及无线个人区域通信网络的领域,特别地,但不排他地,涉及ZigBee通信网络的领域。特别地,本专利技术涉及用于安全地管理节点与无线个人区域通信网络的关联的方法。
技术介绍
如已知的,IEEE 802.15.4标准定义无线个人区域网络(WPAN)的物理层和介质访问控制层。无线个人区域通信网络的示例是ZigBee通信网络和基于IPv6的低功率(6LoWPAN)通信网络。特别地,ZigBee技术用于低功率、低速率无线通信。实现ZigBee技术的无线个人区域网络的示例是用于管理家用电器、电灯开关、电表、TV和音乐设备等等的家庭自动化网络。ZigBee通信网络通常包括以网状配置布置的多个节点。通常,传输距离低于大约100m。如已知的,ZigBee网络内的通信服从于基于用于对网络的节点之间交换的消息进行加密的密码密钥的使用的安全模型。在下文中,术语“消息”可以指代承载要在通信网络的节点之间交换的数据的数据帧、数据包、协议数据单元等等。表达“使消息安全”将指代通过使用密码密钥对消息的内容进行加密的操作。如已知的,在ZigBee网络中使用两种类型的密码密钥:在网络的所有设备之间共享并且用于使通信安全的网络密钥,以及链路密钥。在网络的两个设备之间共享链路密钥并且链路密钥用于使两个设备之间的单播通信安全。在ZigBee网络中,一个节点(通常称为“协调器”)负责启动网络。另外,通常,协调器充当存储网络密钥以及控制由新节点对网络的访问的“信任中心”。信任中心可以随机地生成网络密钥并且它可以周期性地更新网络密钥的值。网络的其它节点是加入网络以共享数据并且由网络的用户接收命令的ZigBee设备。在下文中,表达“网络的用户”可以具体地指示网络所有者或者网络安装者。ZigBee网络的节点可以是ZigBee终端设备(例如传感器)或者ZigBee路由器。ZigBee路由器在协调器与ZigBee终端设备之间提供中间通信。每个ZigBee终端设备一次仅与一个ZigBee路由器(或者协调器)进行通信。ZigBee网络的协调器和路由器通常由主电源供电,而其它设备可以用电池供电。在下列描述和权利要求中,表达“使新节点与网络关联”将指代将当前没有包括在网络内的新节点置于加入网络并且与网络的其它节点进行通信的条件中的过程。通常,根据“标准安全模型”(参见由ZigBee联盟开发的当前Zigbee规范的第4.6.2.2.节和第4.6.3.2.1.1节,文档053474r20,在下文中简称为“ZigBee规范”),关联过程包括新节点加入网络的第一阶段(参见,例如,ZigBee规范,第4.6.3.1节)和认证加入者节点的第二阶段(参见,例如,ZigBee规范,第4.6.3.2节)。具体地,根据IEEE 802.15.4标准,想要与网络关联的节点以信标请求广播消息的形式发送加入网络的请求。由网络中的靠近加入节点的节点接收信标请求广播消息,具体地由ZigBee路由器和协调器接收信标请求广播消息。这些节点中的一个随后充当父节点,即,该节点如果被启用,则可以允许新节点与网络关联。换句话说,父节点可以接受由新节点发送的加入请求。通常,在WPAN中,通过用户干预启用节点以允许新节点与网络的关联,用户可以将每个节点的MAC子层的PAN信息库(PIB)中驻留的专用属性(即,macAssociationPermit属性)设置为真/假状态。如果节点的macAssociationPermit属性被设置为真,则节点(ZigBee网络中的ZigBee路由器或者协调器)可以允许新节点与网络的关联,而相反地,如果节点的macAssociationPermit属性被设置为假,则节点不允许新节点与网络的关联。具体地,在ZigBee网络中,macAssociationPermit属性的默认状态被通常设置为假,以及当新节点想要关联时,用户可以操作网络的节点(协调器和ZigBee路由器)以将macAssociationPermit属性改为真。可以例如通过按ZigBee网络中已经包括的设备(例如,手持电器)上的按钮来执行由用户进行的操作。替换地,用户可以按用户的设备(例如,PC、平板、智能手机等等)上安装的图形用户界面上的虚拟按钮,该设备与ZigBee网络协作。这样,从设备向ZigBee网络的节点发送命令以至少暂时地将它们的macAssociationPermit属性切换为真。充当父节点的节点允许新节点与网络的关联并且接受由新节点发送的加入请求。然而,为了能够在ZigBee网络内进行通信,新节点需要被认证。在认证阶段期间,新节点应当从信任中心接收网络密钥。如果父节点是充当信任中心的协调器,则其向新节点直接地发送网络密钥。否则,如果父节点是ZigBee路由器,则其与信任中心进行通信以获得网络密钥,并且随后其可能通过其它中间ZigBee路由器将网络密钥转发至新节点。在下列描述和权利要求中,表达“加入网络”将指代这样的操作:根据所述操作,新节点发送加入网络的请求、选择父节点以及与父节点交互直到接收到指示加入请求被接受的响应。另外,“经认证的节点”是成功加入网络并且通过使用网络密钥被置于与其它节点进行通信的条件中的节点。US2009/0177889公开了用于在ZigBee网络中安全地并且高效地共享用于安全和认证的链路密钥的通信系统和方法。当从终端设备接收到访问请求时,信任中心向终端设备发送公用密钥,以及当接收到公用密钥时,终端设备使用公用密钥对任意密钥进行加密,并且向信任中心发送加密的任意密钥。信任中心使用任意密钥生成链路密钥,并且向终端设备发送链路密钥。
技术实现思路
专利技术人注意到在上面描述的关于新节点与无线个人区域网络(具体地,ZigBee网络)的关联的过程期间,可能出现脆弱性问题。实际上,如上面描述的,新节点应当可能地通过ZigBee网络的父节点以及其它中间节点从信任中心接收网络密钥。然而,尽管通过使用网络密钥使信任中心与网络的其它预先存在的节点之间的数据传输安全,但是不可以使用对新节点未知的网络密钥使父节点与新节点之间的数据传输安全。为了确保互操作性,ZigBee网络中的每个节点预配置有链路密钥(称为“默认全球信任中心链路密钥”),该链路密钥用于使从父节点向新节点传输网络密钥的消息安全(参见,例如,Zigbee规范的第4.6.3.2.1.1节)。默认全球信任中心链路密钥的值是5A 69 67 42 65 65 41 6C 6C 69 61 6E 63 65 30 39(‘ZigBeeAlliance09’)。专利技术人注意到传输网络密钥的消息可以被不属于ZigBee网络的设备(例如恶意网络嗅探器)截获,该设备随后可以使用已知默认信任中心链路密钥对网络密钥进行解密,并且使用解密的网络密钥截获ZigBee网络的节点之间交换的其它消息。这是通常由商用ZigBee数据包嗅探器使用以对ZigBee网络中交换的数据进行解码的过程。这构成对ZigBee网络的安全和用户隐私的侵犯。另一方面,由于(如上面引证的)ZigBee设备的发送功率使得覆盖区高达大约100m并且由此还可以从用户的房子外部嗅探消息,因此可以截获包括由父节点向新节点发送的加密网络密钥的消息。鉴于上述,专利技术人已经解决了提供用于管理新节点本文档来自技高网...
【技术保护点】
一种用于使新节点(Dx)与无线个人区域通信网络(N)关联的方法,所述通信网络(N)包括多个节点(TC、R1‑R5、CN),所述方法包括:a)在所述通信网络(N)的所述节点(TC、R1‑R5、CN)之中设置配置节点(CN);b)将所述配置节点(CN)操作为允许所述新节点(Dx)与网络(N)的关联;c)将除所述配置节点(CN)以外的节点(TC、R1‑R5)操作为不允许所述新节点(Dx)与网络(N)的关联;以及d)在所述配置节点(CN)处,当从所述新节点(Dx)接收到加入所述网络(N)的请求时,以降低的发射功率向所述新节点(Dx)发送网络密钥。
【技术特征摘要】
【国外来华专利技术】1.一种用于使新节点(Dx)与无线个人区域通信网络(N)关联的方法,所述通信网络(N)包括多个节点(TC、R1-R5、CN),所述方法包括:a)在所述通信网络(N)的所述节点(TC、R1-R5、CN)之中设置配置节点(CN);b)将所述配置节点(CN)操作为允许所述新节点(Dx)与网络(N)的关联;c)将除所述配置节点(CN)以外的节点(TC、R1-R5)操作为不允许所述新节点(Dx)与网络(N)的关联;以及d)在所述配置节点(CN)处,当从所述新节点(Dx)接收到加入所述网络(N)的请求时,以降低的发射功率向所述新节点(Dx)发送网络密钥。2.根据权利要求1所述的方法,其中所述方法还包括使所述新节点(Dx)和所述配置节点(CN)处于范围在大约0m与2m之间的相对距离。3.根据权利要求2所述的方法,其中所述降低的发射功率使得所述配置节点(CN)能够以高达范围在0m与2m之间的距离向所述新节点(Dx)发送所述网络密钥。4.根据前述权利要求中的任一项所述的方法,其中所述降低的发射功率的范围在大约-50dBm与大约-30dBm之间。5.根据权利要求4所述的方法,其中所述降低的发射功率等于大约-50dBm。6.根据前述权利要求中的任一项所述的方法,其中在所述步骤c)处,由所述配置节点(CN)执行所述操作。7.根据权利要求6所述的方法,其中由所述无线个人区域通信网络(N)的用户的干预触发所述操作。8.根据权利要求6或者7所述的方法,其中在所述步骤c)处,所述操作包括从所述配置节点(CN)向除所述配置节点(CN)以外的所述节点(TC、R1-R5)中的每一个发送命令,使得指...
【专利技术属性】
技术研发人员:C·伯瑞安,C·佩特拉佐罗,A·拉纳里,
申请(专利权)人:意大利电信股份公司,拿波利菲德里柯二世大学,
类型:发明
国别省市:意大利;IT
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。