一种基于物理层密钥的ZigBee主密钥保护方法和设备技术

本发明专利技术公开了一种基于物理层密钥的ZigBee主密钥保护方法和设备，以新设备加入网络过程作为改进对象，将物理层密钥生成过程整合于其中，完成加入者和协调器两端的物理层密钥生成，利用物理层密钥弥补ZigBee设备中没有共享主密钥的前提下，“明文传输密钥命令”的安全漏洞。本发明专利技术基于信道特征的生成的物理层密钥只与无线信道本身有关，与信道上传输的具体内容无关，由于信道特征在空间上具有独立性，窃听者无法获取合法信道特征，也就无法破解密钥，在物理层解决了明文传输密钥命令问题。

【技术实现步骤摘要】
一种基于物理层密钥的ZigBee主密钥保护方法和设备
本专利技术涉及无线通信网络安全领域，具体涉及一种基于物理层密钥的ZigBee主密钥保护方法和设备。
技术介绍
ZigBee是基于IEEE802.15.4协议标准的低功耗局域网协议，ZigBee是一种短距离、低速率的无线通信技术，其特点主要有数据传输速率低、功耗低、数据传输可靠、网络容量大、自动动态组网、自主路由等。在工业控制、家庭自动化、医疗与健康监护、现代农业等方面有诸多益处，但其也面临严峻的安全问题。ZigBee规范中采取的安全措施能够满足一般网络通信的安全需求，但ZigBee网络在密钥分配方面仍存在诸多安全缺陷。当网络中的一些节点损坏或者电量耗尽而不能继续通信时，需要向网络中加入新的节点。新加入的节点获得信任中心认证后，给其分配通信密钥。目前ZigBee规范中主密钥的初始分配采用的是基本的预安装密钥，即由网络管理员或者工作人员在新节点入网之前植入主密钥，操作过程复杂，成本较高，与ZigBee低成本特征不符合，且不能进行及时更新；而在没有共享主密钥的前提下，采用的是非安全即明文传输密钥命令，会导致一个短时的易受攻击期，主密钥可能被任何设备获得。虽然ZigBee网络使用了网络密钥和连接密钥分离的机制来保障网络的安全性，但主密钥是网络长期安全的基础。如果一个未经信任的设备能够获得主密钥，将无法保证ZigBee网络安全性。针对ZigBee设备中没有共享主密钥的前提下，“明文传输密钥命令”的安全漏洞，现有方法例如隐蔽通信，通过隐蔽信道传输用来生成密钥的先验信息，方案执行时仍需要非安全的传输先验信息，安全性能低；而安全性能高的基于公钥密码体制的方法，例如利用椭圆曲线上的点乘，双线性运算等，此类方案虽然避免了主密钥的预分配，但计算开销大，不适用于资源受限的ZigBee节点；其他基于物理层的加密方法，仍然则需要额外的收发信号，兼容性低。
技术实现思路
针对现有技术中存在的技术问题，本专利技术提供了一种基于物理层密钥的ZigBee主密钥保护方法和设备，能够防止ZigBee主密钥通过明文传输方式泄露给攻击者。为了解决上述技术问题，本专利技术通过以下技术方案予以实现：一种基于物理层密钥的ZigBee主密钥保护方法，包括以下步骤：步骤1：加入者向个人局域网的协调器发出关联请求命令，启动设备连接；步骤2：所述协调器向所述加入者发送关联请求确认；步骤3：所述协调器在物理层解析接收信号，并提取对应的信道特征参数，所述信道特征参数包括接收信号功率RSSA；所述加入者在物理层解析接收信号，并提取对应的信道特征参数，所述信道特征参数包括接收信号功率RSSB；步骤4：所述协调器对步骤3得到的所述接收信号功率RSSA进行预处理，生成预处理值RSS′A,i；所述加入者对步骤3得到的所述接收信号功率RSSB进行预处理，生成预处理值RSS′B,i；步骤5：所述加入者从预设的量化值集合中选取与步骤4生成的所述预处理值RSS′B,i差值的绝对值最小的量化值RSS″B,i，通过所述量化值RSS″B,i生成初始密钥比特KB；步骤6：所述加入者根据步骤5选取的所述量化值RSS″B,i，计算得到偏移量δi，所述偏移量δi作为协商信息；所述加入者向所述协调器发送数据请求命令和作为协商信息的所述偏移量δi；步骤7：所述协调器读取步骤4生成的所述预处理值RSS′A,i，并分批读取步骤6得到的作为协商信息的所述偏移量δi，将所述预处理值RSS′A,i和所述偏移量δi相加得到新的预处理值RSS″A,i；步骤8：所述协调器从预设的量化值集合中选取与步骤7得到的所述新的预处理值RSS″A,i差值的绝对值最小的量化值RSS″′A,i，通过所述量化值RSS″′A,i生成初始密钥比特KA；所述协调器将生成的所述初始密钥比特KA通过单向Hash函数运算得到协商回复，然后向所述加入者发送关联响应命令和所述协商回复；步骤9：所述加入者根据步骤5生成的所述初始密钥比特KB，计算得到单向Hash函数值，并比较所述单向Hash函数值与步骤8接收到的所述协商回复是否相等；若相等，所述加入者将所述初始密钥比特KB进行保密增强，得到最终的加入者物理层密钥；所述加入者向所述协调器发送关联响应确认和密钥成功标识；步骤10：所述协调器对接收到所述密钥成功标识进行验证，若通过验证，所述协调器将生成的初始密钥进行保密增强，得到最终的协调器物理层密钥；步骤11：所述协调器读取与主密钥等长的协调器物理层密钥，根据读取的协调器物理层密钥加密主密钥，向所述加入者安全传输加密后的主密钥。进一步地，步骤9中，在比较所述单向Hash函数值与步骤8接收到的所述协商回复是否相等之后，还包括：若不相等，所述加入者将启用空方案，即不执行连接过程中的主密钥物理层加密步骤；所述加入者向所述协调器发送关联响应确认和密钥失败标识。进一步地，步骤10中，所述协调器对接收到所述密钥成功标识进行验证之后，还包括：若未通过验证，所述协调器对应的也启用空方案。进一步地，步骤4中，假设所述协调器提取到r个接收信号功率RSSA，用RSSA,i代表RSSA,1，…，RSSA,r，用RSSA,i减去其平均值得到所述协调器的所述预处理值RSS′A,i：假设所述加入者提取到r个接收信号功率RSSB，用RSSB,i代表RSSB,1，…，RSSB,r，用RSSB,i减去其平均值得到所述协调器的所述预处理值RSS′B,i：进一步地，步骤5中，假设预设的量化值的集合如下：Qt＝{…,-3t,-2t,-t,0,t,2t,3t,…}这里t可以根据实际接收信号选取合适的值；所述加入者每次选取与所述预处理值RSS′B,i差值的绝对值最小的量化值RSS″B,i，即然后根据所述量化值RSS″B,i值量化比特，得到所述加入者的初始密钥比特KB：进一步地，步骤6中，作为协商信息的量化偏移量δi的计算方式为：δi＝RSS″B,i-RSS′B,i。进一步地，步骤8中，假设预设的量化值的集合如下：Qt＝{…,-3t,-2t,-t,0,t,2t,3t,…}这里t可以根据实际接收信号选取合适的值；所述协调器每次选取与所述新的预处理值RSS″A,i差值的绝对值最小的量化值RSS″′A,i，即用所述量化值RSS″′A,i生成所述协调器的初始密钥比特KA。一种基于物理层密钥的ZigBee主密钥保护设备，包括加入者安全模块，所述加入者安全模块包括：加入者预处理模块，被配置为将信道特征值预处理，输出用以量化密钥比特的预处理值RSS′B,i，并存储于加入者密钥关联数据库；加入者量化模块，被配置为从加入者密钥关联数据库读取预处理值RSS′B,i，将预处理值RSS′B,i量化生成初始密钥比特KB，输出加入者的初始密钥比特KB和量化值RSS″本文档来自技高网...

【技术保护点】
1.一种基于物理层密钥的ZigBee主密钥保护方法，其特征在于，包括以下步骤：/n步骤1：加入者向个人局域网的协调器发出关联请求命令，启动设备连接；/n步骤2：所述协调器向所述加入者发送关联请求确认；/n步骤3：所述协调器在物理层解析接收信号，并提取对应的信道特征参数，所述信道特征参数包括接收信号功率RSS

【技术特征摘要】
1.一种基于物理层密钥的ZigBee主密钥保护方法，其特征在于，包括以下步骤：
步骤1：加入者向个人局域网的协调器发出关联请求命令，启动设备连接；
步骤2：所述协调器向所述加入者发送关联请求确认；
步骤3：所述协调器在物理层解析接收信号，并提取对应的信道特征参数，所述信道特征参数包括接收信号功率RSSA；
所述加入者在物理层解析接收信号，并提取对应的信道特征参数，所述信道特征参数包括接收信号功率RSSB；
步骤4：所述协调器对步骤3得到的所述接收信号功率RSSA进行预处理，生成预处理值RSS′A,i；
所述加入者对步骤3得到的所述接收信号功率RSSB进行预处理，生成预处理值RSS′B,i；
步骤5：所述加入者从预设的量化值集合中选取与步骤4生成的所述预处理值RSS′B,i差值的绝对值最小的量化值RSS″B,i，通过所述量化值RSS″B,i生成初始密钥比特KB；
步骤6：所述加入者根据步骤5选取的所述量化值RSS″B,i，计算得到偏移量δi，所述偏移量δi作为协商信息；
所述加入者向所述协调器发送数据请求命令和作为协商信息的所述偏移量δi；
步骤7：所述协调器读取步骤4生成的所述预处理值RSSA′,i，并分批读取步骤6得到的作为协商信息的所述偏移量δi，将所述预处理值RSS′A,i和所述偏移量δi相加得到新的预处理值RSS″A,i；
步骤8：所述协调器从预设的量化值集合中选取与步骤7得到的所述新的预处理值RSS″A,i差值的绝对值最小的量化值RSS″′A,i，通过所述量化值RSS″′A,i生成初始密钥比特KA；
所述协调器将生成的所述初始密钥比特KA通过单向Hash函数运算得到协商回复，然后向所述加入者发送关联响应命令和所述协商回复；
步骤9：所述加入者根据步骤5生成的所述初始密钥比特KB，计算得到单向Hash函数值，并比较所述单向Hash函数值与步骤8接收到的所述协商回复是否相等；
若相等，所述加入者将所述初始密钥比特KB进行保密增强，得到最终的加入者物理层密钥；所述加入者向所述协调器发送关联响应确认和密钥成功标识；
步骤10：所述协调器对接收到所述密钥成功标识进行验证，若通过验证，所述协调器将生成的初始密钥进行保密增强，得到最终的协调器物理层密钥；
步骤11：所述协调器读取与主密钥等长的协调器物理层密钥，根据读取的协调器物理层密钥加密主密钥，向所述加入者安全传输加密后的主密钥。


2.根据权利要求1所述的一种基于物理层密钥的ZigBee主密钥保护方法，其特征在于，步骤9中，在比较所述单向Hash函数值与步骤8接收到的所述协商回复是否相等之后，还包括：
若不相等，所述加入者将启用空方案，即不执行连接过程中的主密钥物理层加密步骤；所述加入者向所述协调器发送关联响应确认和密钥失败标识。


3.根据权利要求2所述的一种基于物理层密钥的ZigBee主密钥保护方法，其特征在于，步骤10中，所述协调器对接收到所述密钥成功标识进行验证之后，还包括：
若未通过验证，所述协调器对应的也启用空方案。


4.根据权利要求1所述的一种基于物理层密钥的ZigBee主密钥保护方法，其特征在于，步骤4中，假设所述协调器提取到r个接收信号功率RSSA，用RSSA,i代表RSSA,1，…，RSSA,r，用RSSA,i减去其平均值得到所述协调器的所述预处理值RSS′A,i：



假设所述加入者提取到r个接收信号功率RSSB，用RSSB,i代表RSSB,1，…，RSSB,r，用RSSB,i减去其平均值得到所述协调器的所述预处理值RSS′B,i：





5.根据权利要求1所述的一种基于物理...

【专利技术属性】
技术研发人员：王慧明，魏璇，鲁知朋，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西;61