本发明专利技术提供一种以加密保护的方式在一网络(1)的网络节点(2)之间传输数据的方法。所述网络节点(2)例如是一无线传感器网络的传感器节点。根据本发明专利技术的方法,为了在一消息(F)中传输所述数据,需要根据一计数值(CTR)和一定值(EANCV)来生成一NONCE值(N),所述计数值在传输所述消息(F)时被更新,所述定值供所述网络(1)的网络节点(2)共同使用。随后,在所述网络节点(2)内部借助一密钥(K)和所述生成NONCE值(N)来为在所述消息(F)中传输的数据加密和解密。本发明专利技术的方法可以在占用所述网络节点(2)最少资源的同时提供防重放攻击保护。
【技术实现步骤摘要】
【国外来华专利技术】网络节点间的数据传输方法
本专利技术涉及一种在网络中的网络节点之间传输数据的方法,特别是以加密保护的方式在无线传感器网络的网络节点间传输数据的方法。
技术介绍
无线传感器网络或无线传感器-执行器网络WSN(WirelessSensorNetwork)用途广泛。无线传感器网络例如可以用来对生产设备和化学过程实施监测和控制,以及对管线实施监测。无线传感器网络中的传感器节点通过无线接口进行无线通信。按照某种数据传输协议进行数据传输。802.15.4、ZigBee、无线HART和蓝牙等都是目前已有的通过无线接口传输数据的数据传输协议。借助消息在各传感器节点之间交换测量值及控制指令。为了防止未经授权的第三方篡改无线传输的消息,需要对网络节点间交换的数据进行加密保护。但是,无线传感器网络中各网络节点的存储空间和计算能力有限,特别是在采用电池供电的情况下,这些节点的能量供应有限,因此,需要一种有效的安全方案来解决这个问题。传统方法通过用密钥为被传输数据加密来保证其安全。但是,简单的K型加密法不完全安全,因为第三方有可能利用所谓的“重放攻击”来重放(wiedereinspiegeln)消息。传统网络为此而采用所谓的NONCE值。NONCE值是一次性值,或者说只使用一次的值。NONCE值用来识别重放的消息(重放攻击)。在此情况下,发送节点(例如传感器节点)将借助密钥K和NONCE值的函数来为数据(例如测量数据)加密。这种NONCE值又称“初始化向量”。由发送节点向网络内部的接收节点发送消息或帧F。每个NONCE值和每个密钥只结合使用一次。因此,为了有效防止消息被重放或者避免受到重放攻击,接收节点会对接收到的消息中所使用的NONCE值的一次性进行检验。通常,802.15.4或WLAN等协议为了保护数据帧而使用的加密方法还进一步要求每个NONCE值或初始化向量和每个密钥只能结合使用一次。否则就会削弱加密保护的保护效果。因此,最迟在NONCE值的取值范围用尽之前必须生成新的密钥K′(密钥更新)。但是,采用NONCE值来防止重放攻击时,需要在接收端也就是接收节点上存储有关已用NONCE值的状态信息。网络可能由多个节点构成,为了将来从其他节点接收消息或帧,每个节点都必须将该网络中每个其他节点所使用过的NONCE值的状态信息予以存储,这就需要占用大量存储空间来存储状态信息,从而使各节点产生很大的资源负荷。特别是在网络中的不同节点间存在大量端到端安全关联的情况下,每个节点都需要大量存储空间,因为该节点必须为每个端到端安全关联各存储一个NONCE值。
技术实现思路
有鉴于此,本专利技术的目的是提供一种以加密保护的方式在网络的网络节点之间传输数据的方法,其中,NONCE值的状态信息需要占用的存储空间很少。本专利技术用来达成上述目的的解决方案是一种具有如根据权利要求1所述特征的以加密保护的方式在网络的网络节点之间传输数据的方法。本专利技术提供一种以加密保护的方式在网络的网络节点之间传输数据的方法,其中,实施下列步骤以便在消息中传输所述数据:a)根据计数值和定值生成NONCE值,所述计数值在传输消息时被更新,所述定值供所述网络的各网络节点共享;以及b)借助密钥和所述生成NONCE值对在所述消息中传输的数据进行加密和解密。根据本专利技术方法的一种实施方式,由一中央管理网络节点为所述网络的其余网络节点提供所述网络中所使用的共享定值。这种实施方式的优点在于,所述网络中共同使用的定值非常便于管理,必要时还可予以更换来提高网络的防篡改安全度。无论网络节点有多少,所述网络共享定值在一个网络节点上只需存储一次。此外,即使在供电中断或更换电池的情况下也不需要长期存储计数值,这样可避免该网络节点多次使用同一个NONCE值,因为网络节点恢复供电或重新工作后就可为其分配网络中正在使用的定值。根据本专利技术方法的一种实施方式,所述NONCE值此外还根据将所述消息传输给所述网络的接收网络节点的发送网络节点的发送节点地址而生成。由此可进一步提高防重放攻击安全度。根据本专利技术方法的一种实施方式,所述中央管理网络节点通过向所述网络的网络节点发送广播消息或单播消息来传输所述共享定值。这就可以简单快捷的方式更新所述网络共享定值。根据本专利技术方法的另一实施方式,所述共享定值可由所述中央管理网络节点重新配置。根据一种可行的实施方式,这种对共享定值的重新配置以固定的时间间隔定期进行。根据一种替代实施方式,当被传输数据量超过预定数据量后,对用来生成NONCE值的所述共享定值进行重新配置。根据本专利技术方法的另一实施方式,当被传输消息的数量超过预定数量后,对所述共享定值进行重新配置。根据本专利技术方法的另一实施方式,当所述网络中的任一网络节点达到预定计数值后,对所述共享定值进行重新配置。根据本专利技术方法的另一实施方式,发生预定事件时对所述共享定值进行重新配置。根据本专利技术方法的另一实施方式,所述预定事件指所述网络中增设一个网络节点,例如,某一网络节点在连接供电电压后开始与所述网络通信。根据本专利技术方法的另一实施方式,当符合预定条件的数据被传输时,对所述共享定值进行重新配置。本专利技术通过以上各种实施方式来重新配置共享定值,由此,本专利技术以加密保护的方式在网络的网络节点之间传输数据的方法可灵活应用于各种领域并满足各种安全需要。根据本专利技术方法的另一实施方式,通过将所述发送网络节点的发送节点地址、所用共享定值和所述发送网络节点的内部计数器所产生的计数值予以连接或者串联来生成所述NONCE值。这种实施方式的优点在于,采用相对简单的电路设计且消耗少量电能或能量就能生成NONCE值。根据本专利技术方法的另一实施方式,通过在串联所述发送网络节点的发送节点地址、所述共享定值和所述发送网络节点的内部计数器所产生的计数值时应用哈希函数来生成所述NONCE值。这种实施方式的优点在于,第三方即使在监听被传输消息的过程中也不能识别出发送网络节点当前所用的NONCE值,借此可提高防篡改安全度。根据本专利技术方法的另一实施方式,通过CCM算法来对在所述消息中传输的数据进行加密及解密。根据所述方法的一种可行实施方式,所述被传输消息具有头数据和有效数据,所述头数据中包含有发送节点地址、接收节点地址和所述发送网络节点的当前计数值,所述有效数据中包含有加密的数据。根据本专利技术方法的另一实施方式,所述接收网络节点将在所述消息中传输过来的所述发送网络节点的计数值与所述接收网络节点的内部计数器根据在所述消息中传输过来的发送节点地址而选定的计数值进行比较,如果传输过来的计数值比选定的计数值更新,所述接收网络节点就根据传输过来的计数值、所述共享定值和传输过来的发送节点地址生成一接收端NONCE值,其中,利用接收端生成的所述NONCE值和所述接收网络节点中所存储的密钥来对以加密方式在所述消息中传输的数据进行解密。根据本专利技术方法的另一实施方式,所述发送网络节点通过无线接口将所述消息传输给所述接收网络节点。本专利技术还提供一种由多个网络节点构成的网络,这些网络节点彼此间以消息形式传输数据,其中,每个网络节点均具有:a)用于根据计数值和定值生成NONCE值的单元,所述计数值在发送消息时被更新,所述定值供所述网络的各网络节点共同使用;以及b)用于借助密钥和所述生成NONCE值为本文档来自技高网...
【技术保护点】
1.一种以加密保护的方式在一网络(1)的网络节点(2)之间传输数据的方法,其中,实施下列步骤以便在一消息(F)中传输所述数据:a)根据一计数值CTR和一定值EANCV生成一NONCE值N,在发送所述消息(F)时更新所述计数值CTR,所述定值供所述网络(1)的网络节点(2)共同使用;以及b)通过一密钥(K)和所述生成NONCE值N对在所述消息(F)中传输的数据进行加密和解密。
【技术特征摘要】
【国外来华专利技术】DE10200804656312008年9月10日1.一种以加密保护的方式在一网络的网络节点之间传输数据的方法,所述方法包括下列步骤:根据一计数值和一定值生成一NONCE值,在发送一消息时更新所述计数值,所述定值供所述网络的网络节点共同使用,所述网络的所有网络节点使用同样的所述定值;通过一密钥和所述NONCE值对在所述消息中传输的数据进行加密和解密;以及由一中央管理网络节点为所述网络的网络节点提供在网络中使用的所述定值,且所述共享定值由所述中央管理网络节点以固定的时间间隔定期进行重新配置,所述中央管理网络节点通过向所述网络的网络节点发送广播消息或单播消息来传输所述定值。2.根据权利要求1所述的方法,其中,所述NONCE值还根据发送网络节点的一发送节点地址生成,其中所述发送网络节点将所述消息传输给所述网络的接收网络节点。3.根据权利要求1所述的方法,其中,在以下情况发生时,定期对所述定值进行重新配置;所述情况包括以下之一:传输数据量超过一预定的数据量;传输的消息的数量超过一预定数量;在所述网络中的一网络节点达到一预定计数值;发生一预设事件;发送符合预设条件的数据。4.根据权利要求2所述的方法,其中,通过所述发送网络节点的一内部计数器来生成所述计数值,且通过将所述发送网络节点的发送节点地址、所述定值和所述发送网络节点的该内部计数器所产生的计数值串联来生成所述NONCE值。5.根据权利要求2所述的方法,其中,通过所述发送网络节点的一内部计数器来生成所述计数值,通过串联所述发送网络节点的发送节点地址、所述定值和所述发送网络节点的该内部计数器所产生的计数值来生成一串联数据,并通过所述串联数据的一哈希函数来生成所述NONCE值。6.根据权利要求1所述的方法,其中,使用CCM算法对所述消息中传输的所述数据进行加密和解密。7.根据权利要求2所述的方法,其中,所述计数值是所述发送网络节点的一当前计数值,所述消息...
【专利技术属性】
技术研发人员:赖纳·法尔克,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。