識別受危害節點的方法和系統的製作方法
2023-09-21 20:14:50 1
專利名稱:識別受危害節點的方法和系統的製作方法
技術領域:
本發明涉及一種用於在諸如ZigBee安全網絡之類的安全無線網絡中識別受危害節點(compromised node)的方法禾口系統。本發明例如與實現電信應用的網絡有關。
背景技術:
被稱為多項式或阿爾法-安全方案的不同安全方案已在IEEE 802. 15. 4,ZigBee 中得以標準化。允許ZigBee無線網絡中高效的密鑰協商和信息驗證的、這樣的方案基於α 次二元多項式,其被分配給該網絡的不同節點並被用於生成用於認證節點和保護信息交換的成對密鑰。成對密鑰的生成被執行如下令f (X,y)是有限域GF(q)上的α次對稱二元多項式,其中q足夠大以容納密鑰。f(x,y)是秘密信息。假設一般信任中心(Tc)將從該二元多項式導出的多項式共享分發給系統中的每個節點。例如,Alice和Bob分別接收f (Alice,y)
和f(Bob,y)。當Alice想與另一方生成[1明(?)」比特長的密鑰時,她通過求f (Alice,y)在
y=Bob時的值使用多項式共享來生成與另一方的密鑰。因此,函數f (Alice,y)允許Alice 與網絡中任意其他方生成成對密鑰。這些常規的α -安全方案起初被設計用於醫學網絡,這些網絡包括高達數千個節點。然而,ZigBee標準現在被認為是許多電信應用的良好的技術選擇。諸如信息傳送之類的電信應用的特徵在於,它們可應用於數百萬個節點。這樣的特徵導致α-安全系統中的主要問題,只要α個節點受到危害,該系統的安全就可能受到危害。在相對較小和受管理的醫學網絡中,十分容易檢測α個節點的捕獲,但是這樣的檢測不容易適用於其中節點例如是諸如電話之類的普通裝置的電信系統,這是因為網絡可擴展性和無人管理的系統部署造成的。確實,攻擊者實際上可購買α個行動電話,然後破壞該系統。因此,需要處理這樣的攻擊。
發明內容
本發明的一個目的是提出一種用於檢測安全系統的危害並識別受危害節點的方法。更精確地,本發明的一個目的是在被劃分為被定義為空間和/或時間區域的若干安全域的網絡中提出這樣的方法。本發明的另一個目標是提出一種用於識別動態網絡中受危害節點的方法,所述動態網絡即為其中包括在每個安全域中的節點隨時間改變的網絡。另外,本發明的一個目的是提出一種允許將α-安全系統應用於包括大量用戶的電信應用的方法。本發明的另一個方面涉及用於識別受危害節點的系統。因此,本發明涉及一種用於識別在諸如包括一般信任中心的ZigBee網絡之類的網絡中受危害節點的方法,該網絡被劃分為至少兩個安全域Sl和S2,每個安全域相應於空間區域並與根建鑰材料相關聯,並且每個節點由一個標識符識別。該方法包括以下步驟
-一旦檢測到節點進入安全域,所述一般信任中心向該節點分發相應於所進入的安全域的至少一個建鑰材料共享,以及
-一旦檢測到至少兩個安全域的惡化(corruption),
-基於基站註冊的位置信息為每個安全域確定已接收相應於所述安全域的建鑰材料的相應的節點集,
-比較各相應的節點集並將共同的節點識別為受危害的。在特定的實施例中,該網絡是電信網絡,並且
-進入安全域的節點的檢測由該網絡的基站基於由用戶攜帶的行動電話的位置信息來執行,
-所述分發步驟包括一般信任中心基於相應於安全域的根建鑰材料並基於節點的標識符生成至少一個建鑰材料共享。一般信任中心是由例如行動電話運營商控制或操作的安全裝置。提供給節點的建鑰材料被用於保護網絡的一些移動節點(例如用戶攜帶的行動電話)與表示電信服務供應商的一些節點之間的通信。在示例性實施例中,電信服務供應商是建立在公共場所、允許用戶得到諸如商業廣告之類的信息的信息接入點。基站與網絡節點之間的傳輸通過使用諸如GSM或UMTS之類的電信協議來執行。移動節點與電信服務供應商之間的傳輸通過ZigBee來執行。在另一個可與前述實施例結合的實施例中,該方法包括以下步驟 -一般信任中心確定安全域被認為惡化的時間,以及
-相應的節點集的確定包括確定在該惡化時間屬於該安全域的節點。並且,為了減少為了確定受危害節點而要執行的比較的量,根據本發明的方法在網絡被劃分為N個安全域,N>2,且B個安全域被確定為在不同的時間、至、處被破壞的某些情況下包括,
-確定寬度為W的搜索窗,其中W ( B,並且該確定步驟包括基於位置信息僅確定在時間、與時間、之間惡化的安全域的相應的節點集。在可與前述實施例結合的本發明的另一個實施例中,安全域不僅涉及空間區域, 還涉及時間區域。例如,同一天在商業街環境中的所有用戶屬於相同的安全域。這意味著他們被分配根據相同根建鑰材料生成的多項式共享。所述系統的管理者控制指定所生成的安全域的系統設計。在這樣的實施例中,該方法進一步包括步驟在給定時間處向在該給定時間處屬於安全域的所有節點分發新的建鑰材料集合,以便更新安全域。並且,在相同的實施例中, 節點的標識符包括固定部分和可變部分,包括步驟當向系統分發新的建鑰材料時,修改標識符的可變部分。在例如基於有限射影平面的組合或隨機分布用於多項式建鑰材料結構時,標識符中的該可變成分允許分發從不同的二元多項式子集生成的多項式共享子集。該方法允許一般信任中心進一步減少可能受危害的節點數。本發明的另一個方面涉及用於識別在被劃分為至少兩個安全域Sl和S2的網絡中的受危害節點的系統,每個安全域相應於空間區域並與根建鑰材料相關聯,並且每個節點由標識符識別,該系統包括
-一般信任中心,其具有用於基於根建鑰材料和節點的標識符生成將傳輸給節點的建鑰材料共享的裝置, -基站,包括
-用於檢測節點進入安全域的裝置, -用於註冊用戶位置信息的裝置,和
-用於將建鑰材料從一般信任中心傳輸到節點的裝置,其中一般信任中心進一步包括用於基於由基站註冊的位置信息而為每個安全域確定已接收相應於所述安全域的建鑰材料的相應的節點集的裝置,以及用於比較各相應的節點集的裝置。本發明的這些和其他方面將根據下文描述的實施例變得明顯並將參考下文描述的實施例得以闡明。
現在將通過參考附圖的示例更詳細地描述本發明,在附圖中 -圖1示出根據本發明的一般系統,
-圖2示出如圖1所示的系統的僅一個安全域。
具體實施例方式本發明涉及一種用於在圖1所示的網絡中識別受危害節點的方法。該具體示例在網絡是實現電信應用的ZigBee網絡的情況下被描述,但它可被應用於任何類型的使用 ZigBee的通信網絡。本發明還可被應用於使用基於多項式或大量空間-時間安全域的相關安全機制的其他網絡。該網絡包括由行動電話運營商(MPO)操作的一般信任中心(TC)。該一般信任中心被用於在網絡上創建若干安全域(SDnSI^SD3)tj在該具體示例中,如圖2所示的安全域SD 相應於例如包括ZigBee信息接入點I的公共場所。確實,這些安全域相應於位於每個信息接入點周圍的物理扇區(sector)。在本示例中描述的電信應用是當用戶位於相應於這些信息接入點的物理扇區中時允許用戶從一個接入點得到與公共場所相關的信息的服務。用戶通過移動網關(例如行動電話)訪問該信息。每個ZigBee信息接入點至少包括由一般信任中心至少根據相應於該接入點的根建鑰材料生成的多項式建鑰材料集合,並且該多項式建鑰材料集合在低負載階段期間、例如在沒有用戶出現在該公共場所的夜晚期間被分發給該接入點。該服務然後工作如下
-在第一階段,用戶仏通過行動電話運營商向該服務註冊。
-然後,只要該用戶進入相應於安全域的扇區之一,該用戶的存在被位於該商業街附近的基站(BTS)檢測到。該用戶攜帶包括用於與基站通信的裝置和ZigBee接口的移動網關,例如行動電話。
-然後,用戶接收要求確認他想使用他已註冊的服務的消息。-在用戶實際發送確認消息的情況下,然後他通過基站(BTS)從一般信任中心接收建鑰材料。建鑰材料的傳輸被執行如下
-行動電話運營商檢測用戶已進入的安全域,
-行動電話運營商然後基於該用戶行動電話的標識符並基於相應於該安全域的根建鑰材料生成建鑰材料的集合,
-該建鑰材料的集合通過GSM或任何其它電信協議被傳輸到該用戶的行動電話。通過使用該建鑰材料,該用戶然後具有加入在該公共場所定義的安全區域並通過 ZigBee以安全的方式與信息接入點交換信息的可能性。沒有這樣的建鑰材料,該用戶不能識別他自己並且不能訪問所述服務。實際上,在α -安全密鑰建立簇(cluster)中指定的多項式建鑰材料是根據組合/ 隨機分布分發的。可能的組合分布是確保從二元多項式(rT2+n+l個)的池導出的若干(n+1 個)多項式共享的分布的組合分布。被選取來生成節點的所述n+1個多項式共享的n+1個二元多項式取決於節點標識符ID。通過將系統劃分為若干個安全域,該系統使得保持跟蹤接收被破壞的安全域的建鑰材料的裝置成為可能。例如,讓我們設想,整個系統容納N百萬的裝置,並且每個安全域容納M個用戶。讓我們假設,所述系統在任意時刻保持跟蹤在安全域中的用戶。例如,用戶 U1首先屬於安全域SD1,然後屬於安全域SD2,因為例如該用戶已從一個公共場所移動到另一個。如果系統檢測到在時間tl、t2、t3和t4處四個不同的安全域被破壞並且每個安全域容納用戶的一個集合Si、S2、S3、S4,則該系統可通過查找在四個集合Si、S2、S3和S4中出現的節點來確定受危害節點。在該示例中,四個安全域被破壞,並且該系統在所有域上執行檢查。然而,在另一個示例中,該系統對有限數目的集合應用類似的方法。以這種觀點,該系統創建僅考慮屬於最近被破壞的W個安全域的用戶的標識符和/或建鑰材料的、寬度為W的搜索窗。為了進一步改善該系統,在一個實施例中,該系統的每個裝置(即每個行動電話) 被分配可變標識符。例如,每個裝置通過包括以下兩個部分的標識符得以識別
-b』(例如Μ)比特長度的固定部分,和 -b』』』』(例如8)比特長度的可變部分。所述固定部分在該裝置的整個生命期保持不變,且可變部分例如在每次新的建鑰材料集合被分發時被更新。因此,使用不同標識符的裝置為每個變化標識符獲得從n+1個不同二元多項式導出的n+1個多項式共享的集合。現在,假設攻擊者已捕獲或購買X個裝置,每次她的受危害節點的標識符被更新時,她將能夠破壞的所述η~2+η+1個二元多項式的不同子集。因此,她將能夠僅破壞那些通信鏈路。如果系統監測該行為多次重複,則該系統可找出哪些節點被破壞(即由攻擊者控制)以及哪些節點沒有被破壞。在上述示例中,每個節點接收根據包括rT2+n+l個節點的池生成的n+1個多項式共享,但是這可概括為任意數目的多項式。本發明更特別地專用於針對實現電信應用的網絡,但它可應用於任何需要安全性的其他無線網絡,例如醫學傳感器網絡。在本說明書和權利要求中,在元件之前的詞語「一」或「一個」不排除多個這樣的元件的存在。並且,詞語「包括」不排除那些被列出之外的其他元件或步驟的存在。在權利要求中在圓括號中包括附圖標記旨在幫助理解,而不旨在限制。通過閱讀本公開,其他修改對本領域技術人員來說將是明顯的。這樣的修改可涉及在無線電通信領域和發射機功率控制領域已知的並且可以代替在此已描述的特徵或除了這些已描述特徵之外而被使用的其他特徵。
權利要求
1.一種用於識別ZigBee網絡中受危害的節點的方法,該網絡包括一般信任中心(TC), 被劃分為至少兩個安全域(SD1,SD2),每個安全域相應於空間或時間區域並與不同的根建鑰材料相關聯,並且每個節點由標識符識別,該方法包括-一旦檢測到節點(Ul)進入安全域(SD),所述一般信任中心(TC)向該節點分發相應於所進入的安全域的至少一個建鑰材料共享,以及-一旦檢測到至少兩個安全域的惡化,-基於由所述基站(BTS)註冊的信息為每個安全域確定已接收到相應於所述安全域的建鑰材料的相應的節點集,-比較所述相應的節點集,並將共同的節點識別為受危害的。
2.如權利要求1所述的方法,其中所述網絡是電信網絡,並且其中-進入安全域的節點的檢測由所述網絡的基站基於由所述用戶攜帶的行動電話的信息來執行,-所述分發步驟包括所述一般信任中心基於相應於所述安全域的所述根建鑰材料生成至少一個建鑰材料共享。
3.如權利要求1所述的方法,進一步包括以下步驟-所述一般信任中心確定安全域被認為惡化的時間,以及-所述相應的節點集的確定包括確定在惡化時間屬於該安全域的節點。
4.如權利要求1所述的方法,其中所述網絡被劃分為N個安全域,N^ 2,並且其中在不同的時間、至、處,B個安全域被確定為被破壞,該方法進一步包括以下步驟-確定寬度為W的搜索窗,並且所述確定步驟包括基於信息僅為在時間、和時間間惡化的安全域確定相應的節點集。
5.如權利要求1所述的方法,進一步包括步驟在給定時間向在該給定時間屬於安全域的所有節點分發新的建鑰材料集合。
6.如權利要求4所述的方法,其中節點的標識符包括固定部分和可變部分,所述方法包括步驟當向所述系統分發新的建鑰材料時,修改所述標識符的所述可變部分。
7.如權利要求6所述的方法,其中所述標識符的所述可變部分被用來進一步限制可能受危害的節點的數目。
8.用於識別網絡中受危害節點的系統,該網絡被劃分為至少兩個安全域Sl和S2,每個安全域相應於空間區域或時間上的時間跨度並與根建鑰材料相關聯,並且每個節點由標識符識別,該系統包括-一般信任中心,其具有用於基於根建鑰材料和節點的標識符生成將要傳輸給節點的建鑰材料共享的裝置,-基站,其包括 -用於檢測節點進入安全域的裝置, -用於註冊用戶的位置信息的裝置,和-用於將建鑰材料從所述一般信任中心傳輸到節點的裝置,其中所述一般信任中心進一步包括用於基於由所述基站註冊的位置信息而為每個安全域確定已接收到相應於所述安全域的建鑰材料的相應的節點集的裝置,以及用於比較各相應的節點集的裝置。
全文摘要
本發明涉及一種用於識別ZigBee網絡中受危害的節點的方法,該網絡包括一般信任中心,被劃分為至少兩個安全域,每個安全域相應於空間或時間區域並且與不同的根建鑰材料相關聯,並且每個節點由標識符識別,該方法包括一旦檢測到節點(U1)進入安全域(SD),一般信任中心(TC)向該節點分發相應於所進入的安全域的至少一個建鑰材料共享,以及一旦檢測到至少兩個安全域的惡化,基於由基站(BTS)註冊的信息為每個安全域確定已接收到相應於所述安全域的建鑰材料的相應的節點集,-比較所述相應的節點集,並將共同的節點識別為受危害。
文檔編號H04L29/06GK102461059SQ201080024486
公開日2012年5月16日 申請日期2010年5月28日 優先權日2009年6月2日
發明者庫爾薩維 K., 加西亞莫爾喬恩 O. 申請人:皇家飛利浦電子股份有限公司