专利名称:无线感测网络的存取授权装置与方法
技术领域:
本发明是关于一种无线感测网络(Wireless Sensor Network, WSN)的存取授权 (access authorization)
背景技术:
无线传感器网络包括许多微小、分布式、低耗电及低复杂度的感测节点来相互合 作地监测物理环境信息,例如环境的温度、湿度、震动、光度、压力、气体、浓度等。多媒体数 据,例如图像或声音的数据,也可以通过无线感测网络收集并传送。所收集的数据大部分用 来检测一些事件或触发其它的操作。无线感测网络的应用包含如建筑结构检测、地震活动 检测、安全监控、森林火灾检测及战场监控等。图1是一种无线传感器网络的应用架构的一个范例示意图。参考图1,多个感测节 点所形成的无线传感器网络105中的感测节点,例如感测节点131,将感测到的数据以多跳 式(multi-hop)传送到基地节点(Base Stati0n,BQ 110,基地节点110收集感测数据并通 过因特网114传送到服务器(Server) 116上,此服务器例如是一个网页服务器。使用者,例 如118或120,可于远程通过因特网114联机登入至服务器116,由服务器116来验证使用 者的身份及权限后,使用者就可以依照本身的权限来存取无线传感器网络110中感测节点 的感测数据。无线传感器网络的应用中,感测数据的收集通常是将感测数据周期性地回传到基 地节点或是以特殊的处理方式聚集后传回到基地节点,后端的服务器再进行感测数据的分 析处理以让使用者读取。多媒体数据量相较于一般感测数据大很多,且考虑无线传感器网 络的通讯能力与低功率(lower-power)传感器的限制,此类数据型态的收集大部分是使用 者下命令后才将此数据收集回来。多媒体数据的收集也涉及了隐私性的问题。例如,无线感测网络应用于安全监控时,使用者希望当有入侵者入侵时,警卫能够 观看图像以补捉到入侵者的外貌作为追补入侵者的辅助信息,但又希望平常能够保有隐私 权,不让警卫能够观看需要隐私的区域。如果无线感测网络不断地回报感测信息,通过基地 节点然后传到服务器,服务器可以依照这些感测信息来判断是否发生特定事件,然后开启 警卫或特定使用者的权限来进行存取图像数据。也就是说,使用者的存取授权条件来自可 信赖元件所提供的信息,而存取授权的判断也是在一种隔离于攻击者且安全可信赖的环境 或是元件上完成,例如安全的核心、可信赖的计算基础或是安全的计算装置上,所以,实体 破坏攻击是假设不可能存在的。然而,此法会加速基地节点的邻近节点因为不断的路由(routing)封包而造成电 源提早耗尽。因此,如何针对不同的使用者进行不同的存取权限(access privilege)控管 以及在适当的时机,例如紧急事件发生时,让某些使用者能够获得实时读取多媒体数据的 权限,并且设计出适合无线感测网络特性的安全存取控制技术也是无线传感器网络的关键 技术之一。图2的台湾专利公开号200614767揭露的数据授权方法的范例是用于两移动装置之间数据分享的授权操作。如图2的范例流程所示,由一移动装置A传送分享封包给移动 装置B,封包内容包括分享的数据及对应的数据规则,移动装置B根据初始数据规则及环境 感知信息判别是否有权限存取封包内分享的数据,也就是说,一移动装置将要分享的数据 直接传给另一移动装置,由此另一装置判断本身是否有权限读取分享数据,其中,此判断存 取授权规则的环境感知信息未包含任何物理环境信息。图3的美国专利号US7,447,494所揭露的安全无线授权系统(Secure Wireless Authorization System)的范例是用于两装置于远程通过一服务器进行存取授权验证,使 得第三方装置可以存取到远程另一使用者装置,如图3的系统范例所示,使用者310以安全 的方式登入至授权服务器(authorization server) 312之后保持联机,然后远程第三方装 置(remote third party entity) 320发起授权请求,授权服务器312验证授权请求等相关 信息后,同意远程第三方装置执行程序,也就是说,存取授权验证是完全由授权服务器312 来进行的。
发明内容
本发明的实施范例可提供一种无线感测网络的存取授权装置与方法。在一实施范例中,所揭露者是关于一种无线感测网络的存取授权装置。此装置包 含至少一基地节点、以及由数个感测节点形成的一无线感测网络。此至少一基地节点取得 一使用者的一存取授权后,发送一请求消息到此无线感测网络中的一目标感测节点。此目 标感测节点根据此请求消息向此无线感测网络中的至少一控制节点,请求回传其感测数 据,并参考此至少一控制节点回传的感测数据,来判断是否符合此使用者的存取授权,以作 为是否回传符合此存取授权的多媒体数据的依据。在另一实施范例中,所揭露者是关于一种无线感测网络的存取授权方法。此方法 包含通过至少一基地节点,取得一使用者的存取授权;从一无线感测网络的数个感测节 点中选取至少一控制节点,以及选取由此基地节点到一目标感测节点的至少一中间路由节 点;通过此基地节点,发送一请求消息到此目标感测节点,此请求消息至少备有验证信息; 此目标感测节点根据此请求消息,向被选取的至少一控制节点请求回传其感测数据,并参 考此回传的感测数据,来判断是否符合此使用者的存取授权,并发出一相对应的响应消息; 此至少一中间路由节点根据此验证信息,检查此响应消息,以决定丢弃或是转送此响应消 息;以及通过此基地节点,验证被转送的响应消息。兹配合下列图标、实施范例的详细说明及申请专利范围,将上述及本发明的其它 目的与优点详述于后。
图1是一种无线传感器网络的应用架构的一个范例示意图。图2是一种数据授权方法的一个范例流程图。图3是一种安全无线授权系统的一个范例示意图。图4是无线感测网络端的使用情境的一个范例示意图,与所揭露的某些实施范例一致。图5是影响传送消息的攻击模型的一个范例示意图。
范例一范例一
图6是破坏攻击目标感测节点的攻击模型的一个范例示意图。 图7是破坏攻击控制节点的攻击模型的一个范例示意图。 图8是移动目标感测节点的攻击模型的一个范例示意图。 图9是移动控制节点的攻击模型的一个范例示意图。图10是无线感测网络的存取授权装置的一个范例示意图,与所揭露的某些实施.致。图11是无线感测网络的存取授权方法的一个范例流程图,与所揭露的某些实施.致。图12是基地节点的一个范例示意图,与所揭露的某些实施范例一致。 图13是控制节点的一个范例示意图,与所揭露的某些实施范例一致。 图14是目标感测节点的一个范例示意图,与所揭露的某些实施范例一致。 图15是检测节点被移动的一个范例示意图,与所揭露的某些实施范例一致。 图16是请求消息的通用格式的一个范例示意图,与所揭露的某些实施范例一致。 图17是一个范例示意图,说明中间路由节点处理请求消息的操作,与所揭露的某些实施范例一致。图 18 是 些实施范例一致。
-个范例示意图,说明中间路由节点处理响应消息的操作,与所揭露的某
[主要元件标号说明] 105无线传感器网络 114因特网 118、120使用者 310使用者 320远程第三方装置 400无线感测网络的使用情境的范例 402基地节点404目标感测节点406多跳式408区域110基地节点 116服务器 131感测节点 312授权服务器 411 -4 Im中间路由节点421-4 感测节点 420响应以多媒体数据410传递请求消息504目标感测节点505攻击者521-525 控制节点605攻击者610攻击者破坏或攻击目标感测节点620将多媒体直接回传到基地节点705攻击者721-7 控制节点710传送假的感测数据给目标感测节点805攻击者802区域804其它区域810移动目标感测节点905攻击者906其它区域904另一其它区域921、922控制节点
910、920移动控制节点1002服务器1004基地节点1006无线感测网络1008使用者100 请求消息1008a存取授权1010目标感测节点1021-10 感测节点1110通过基地节点,取得使用者的存取授权1120从无线感测网络的数个无线感测节点中选取至少一控制节点,以及选取由基 地节点到目标感测节点的至少一中间路由节点1130通过基地节点,发送一请求消息到目标感测节点,请求消息至少备有验证信 息1140目标感测节点根据请求消息,向选取的至少一控制节点请求回传其感测数 据,并参考此回传的感测数据,来判断是否符合使用者的存取授权,并发出一相对应的响应 消息1150此至少一中间路由节点根据此验证信息,检查此响应消息,以决定丢弃或是 转送此响应消息1160基地节点验证被转送的响应消息1210储存单元1220中央处理单元1231第一通讯接口1232第二通讯接口1300控制节点1310传感器1310a感测数据1320通讯接口1330中央处理单元1410传感器1410a多媒体数据1420通讯接口1430中央处理单元1510节点1520移动1531-1534邻居节点1540移动位置后的节点1550攻击者MACl光度消息验证码MACt温度消息验证码MACh湿度消息验证码SMAC多模式消息验证码Repl_message 口向应消息
具体实施例方式本发明的实施范例提供一种无线感测网络的存取授权技术,其设计是将使用者的 存取授权数据送到无线感测网络内的一目标感测节点,然后由无线感测网络内的其它感测 节点相互合作,回报所感测的物理环境信息,例如环境的温度、湿度、光度、振动、压力、气 体、浓度等信息,以进行分布式的存取授权判断,进而决定是否回传数据给使用者读取。此 存取授权技术将可应用于多模式无线感测网络环境中,来作为使用者存取无线感测网络所 检测到的多媒体数据,例如图像或声音数据,的存取授权控管。图4是无线感测网络的使用情境的一个范例示意图,与所揭露的某些实施范例一 致。图4的使用情境范例400中,假设从基地节点402到目标感测节点404中间有m个中间路由节点(intermediate routing node)411_41m,且无线感测网络400是以多跳式 (multihop) 406的方式进行数据传递从基地节点402到目标感测节点404的请求消息,如箭 头410所指;在目标感测节点404的同一区域408内有多个感测节点,同一区域408代表目 标感测节点404与其它感测节点可以互相通讯的范围,其中有数个感测节点,例如感测节 点421-42k,可提供区域408的其它感测数据给目标感测节点404来进行使用者存取授权的 判断,此类可提供同一区域内的其它感测数据给目标感测节点来进行使用者存符合取授权 判断的感测节点称之为该区域的控制节点(controlling node) 0目标感测节点404判断符 合存取授权后,则响应以多媒体数据,如箭头420所指。由于存取授权的判断是在感测节点上完成,因此感测节点可能遭受实体破坏攻击 (node compromised attacks)。攻击者的目标是期望在没有有效的存取权限下企图绕过存 取授权的判断,来得到某些区域的多媒体感测数据,也就是说,某一区域的感测数据并不符 合存取授权的条件,而本发明的实施范例则是要能防止这些攻击者的可能攻击行为来企图 绕过存取授权的判断,图5至图9分别列出五种可能的攻击模型的范例。此五种可能的攻 击模型包括影响传送消息者、破坏攻击目标感测节点者、破坏攻击控制节点者、移动目标感 测节点者、以及移动控制节点者。图5的攻击模型的范例是攻击者影响或操作控制节点传送给目标感测节点的消 息,来企图通过存取授权的判断,例如攻击者505修改或是重送控制节点521-525传送给目 标感测节点404的符合存取授权判断的感测数据。图6的攻击模型的范例是攻击者605可 破坏攻击目标感测节点504,如箭头610所指;然后,如箭头620所指,将多媒体直接回传到 基地节点,而没有向周围控制节点询问其感测数据以判断环境信息是否符合存取授权。图 7的攻击模型的范例是攻击者705可破坏或攻击控制节点721-724,然后传送假的感测数据 给目标感测节点504来符合存取授权判断,如箭头710所指。图8的攻击模型的范例是,若攻击805者有权限存取一区域802的目标图像或声 音感测数据,攻击者805可移动目标感测节点404到其它区域804,如箭头810所指;而导 致攻击者805可以非法取得其它区域804的多媒体数据。图9的攻击模型的范例是,攻击者移动控制节点到其它有符合存取授权条件的物 理环境区域,例如,攻击者905移动控制节点921到其它区域906,如箭头910所指;攻击者 905移动控制节点922到另一其它区域904,如箭头920所指;而导致攻击者可以非法取得 多媒体数据。由于感测节点所检测到的物理环境数据,例如温度、湿度、光度及振动等,是作为 存取授权判断的条件,并且在资源有限的无线感测网络上进行传送多媒体之类的大量数据 会造成一定的负担,也是通讯负担消耗电源的因素之一,因此,本发明的无线感测网络的存 取授权装置的实施范例在设计上会对于物理环境数据检测的错误或攻击者的攻击破坏有 相对应的机制来处理。例如将错误的消息,如上述攻击模型中被攻击者窜改或是不合法的 响应消息等,在中间过程时就先滤除丢弃,不需要等到被回传到基地节点时才被发现丢弃, 如此可避免中间路由节点耗费资源来传送此错误消息。图10是无线感测网络的存取授权装置的一个范例示意图,与所揭露的某些实施 范例一致。图10的范例中,存取授权装置1000包含至少一基地节点1004、以及由数个感测 节点形成的一无线感测网络1006。至少一基地节点1004取得一使用者1008的一存取授权1008a后,发送一请求消息100 到无线感测网络1006中的一目标感测节点1010,目标感 测节点1010根据请求消息1004a,向无线感测网络1006中的至少一控制节点请求回传其感 测数据,并根据此至少一控制节点回传的感测数据,来判断是否符合使用者1008的存取授 权1008a,以作为是否回传符合存取授权1008a的多媒体数据的依据。此至少一控制节点皆为无线感测网络1006中的感测节点,例如感测节点 1021-1024,可参考至少一类型的物理环境信息,例如环境的温度、湿度、光度、振动等信息, 是否符合使用者1008的存取授权内所标示的条件,来决定是否回传其感测数据给目标感 测节点1010来进行存取授权1008a的判断。回传的感测数据如果符合使用者1008的存取 授权1008a,目标感测节点1010就传回符合存取授权1008a的多媒体数据,如图像或声音数 据,给基地节点1004,基地节点1004再传回此多媒体数据给服务器,以提供给使用者。如果 未符合使用者1008的存取授权1008a,目标感测节点1010则送回拒绝存取的消息。参考由控制节点回传感测数据的方式可针对一种型态的感测数据来参考至 少一个控制节点所回传的感测数据,然后计算所回传的感测数据的统计量,例如平均 (average)、多数(majority)、最大(maximum)或最小值(minmum)等,作为最后参考的感测 数据。基地节点1004发送的请求消息100 还包括一验证参数,此验证信息是提供给由 基地节点1004到目标感测节点1010的中间的一或多个路由节点的每一路由节点,可作为 日后验证响应消息的一个参数,例如路由节点可用此参数来检查出有被攻击者窜改或是不 合法的响应消息时,在中间过程就先丢弃此响应消息。使用者1008可提出身份至识别及密码登入服务器1002,例如一网页服务器,然后 服务器验证使用者身份后,可向基地节点1004发出一请求命令。根据请求命令1002a,基地 节点1004可通过因特网,向至服务器1002取得使用者1008的存取授权1008a。承上述,图11是无线感测网络的存取授权方法的一个范例流程图,与所揭露的某 些实施范例一致。此范例流程中,首先通过基地节点1004,取得使用者1008的存取授权,如 步骤1110所示。从无线感测网络1006的数个无线感测节点中选取至少一控制节点,以及 选取由基地节点1004到目标感测节点1010的至少一中间路由节点,如步骤1120所示。通 过基地节点1004,发送一请求消息100 到目标感测节点1010,请求消息100 至少备有 验证信息,如步骤1130所示。目标感测节点1010根据请求消息1004a,向选取的至少一控 制节点请求回传其感测数据,并参考此回传的感测数据,来判断是否符合使用者1008的存 取授权1008a,并发出一相对应的响应消息,如步骤1140所示。此至少一中间路由节点根据 此验证信息,检查此响应消息,以决定丢弃或是转送此响应消息,如步骤1150所示。再由基 地节点1004验证被转送的响应消息,如步骤1160所示。承上述,基地节点1004可包括一储存单元、一中央处理单元、以及一第一通讯接 口与一第二通讯接口。如图12的范例所示,储存单元1210进行数据的储存,储存数据例如 使用者1008的存取授权、请求消息1004a、响应消息等。中央处理单元1220通过第二通讯 接口 1232,根据使用者的存取授权,下达传送请求消息100 到目标感测节点1010,及通过 第一通讯接口 1231将目标感测节点1010回传的多媒体数据传送给服务器1002。第一通讯 接口 1231是与服务器1002进行双向沟通。第二通讯接口 1232是与无线感测网络中的感 测节点或是中间路由节点进行沟通。
每一控制节点1300可包括至少一传感器、一通讯接口及一中央处理单元。如图13 的范例所示,至少一传感器1310感测至少一类型的物理环境信息,例如温度、湿度、光度、 压力、气体、浓度等。通讯接口 1320与基地节点1004及目标感测节点1010进行双向沟通。 中央处理单元1330可指挥传感器1310进行感测,并可通过通讯接口 1320传回传感器1310 的感测数据1310a给目标感测节点1010。目标感测节点1010可包括至少一传感器、一通讯接口及一中央处理单元。如图14 的范例所示,通讯接口 1420与基地节点1004及每一控制节点进行双向沟通。中央处理单 元1430根据基地节点1004发送的请求消息1004a,通过通讯接口 1420,向每一控制节点请 求感测数据,并根据此感测数据判断是否指挥至少一传感器1410撷取出多媒体数据1410a 来回传给基地节点1004。第二通讯接口 1232、通讯接口 1420、以及通讯接口 1320可采用无线的传输方式, 例如IEEE 802. 15. 4无线感测网络及BlueTooth等具多跳式的短距通讯协议。第一通讯接 口 1231则可采用有线或无线的传输方式,例如以太网络、IEEE 802. 11无线网络、WiMax, 3G、3. 5G 及 GPRS 等。基地节点1004发送的请求消息100 包括了验证信息,本发明的无线感测网络的 存取授权的技术中,所有相关的响应消息也会包含一个证据,来证明此响应消息是经过存 取授权的验证,例如,证明控制节点确实有回报感测数据给目标感测节点、目标感测节点确 实有验证使用者的存取授权等。选取的中间路由节点随着请求消息传送不同的验证金钥, 便能验证是否路由这些响应消息至下一个节点,也就是说,由中间的路由节点当中随机选 取部分节点使其能够提早验证响应消息的正确性。当基地节点发出请求消息,欲读取目标感测节点的多媒体的数据时,基地节点会 根据使用者的存取授权来告知目标感测节点,需要向所属区域的哪一些控制节点请求感测 读值。控制节点的选择与感测读值的计算方式可采用的范例有多种,例如,从多个同类型的 控制节点当中随机或固定选取某一个控制节点来作为某一种类型的读值结果、从多个同类 型的控制节点当中随机或固定选取部分或所有的控制节点并计算平均读值(average)或 多数读值(majority)来作为某一种类型的读值结果。若是系统具备单一控制节点存在多 种类型的传感器,也可以随机或固定选取单一或部分控制节点然后计算平均或多数读值, 来作为某一种类型的读值结果。控制节点以随机或固定选取的方式来决定,可降低攻击者 破坏部分控制节点所造成的影响,例如,破坏攻击部分控制节点以回报的假的感测消息或 是破坏攻击中间路由节点以假造响应消息等。本发明的实施范例中,采用一种节点移动检测协议(Node-Movement Detection I^otocol),来防止节点如目标感测节点或控制节点,被移动位置。此协议可利用一节点的 邻居节点来监控此节点的相对距离是否有变化,可作为防范节点被移动或攻击的对策。此 协议的初始化的过程可在网络布建完成后,且没有攻击者介入的情况下来执行完成。例如, 每一个节点广播η个信标(beacon)封包给邻居节点,然后每一个节点根据每一个邻居所发 出的信标封包,来计算与每一个邻居节点之间的距离,再将计算结果记录下来并标示为参 考集合{dl,d2,. . .,dn}。此协议初始化后,一个节点就可以执行此协议来检查自己本身是 否被移动。执行此协议的操作说明如下。每一个节点广播η个信标封包给邻居节点,然后每一个邻居节点根据所收到的信标封包来计算与发出信标封包节点之间的距离,将计算结果 记录下来并标示为测试集合{dl’,d2’,...,dn’ },每一个邻居节点再比较两集合之间的差 异。比较差异的方式有多种,例如,差异小于一个可容忍误差的门坎值时,则回报的值表示 节点未被移动,反之,差异大于此可容忍误差的门坎值时,则回报的值表示节点已被移动。如图15的范例所示,当一个节点1510被移动后(如箭头1520所指),此节点与 每一个邻居节点,例如邻居节点1531-1534,的相对距离也会跟着改变,其中虚线标示为节 点1510原本与邻居节点的距离,实线标示为移动位置后的节点1540与邻居节点的距离。 因此,一节点若收到一个超过门坎值的回报距离时,表示本身已被移动,此节点即可判定本 身已遭到攻击者1550移动。换句话说,利用邻居节点来计算与本身节点之间的距离并且与 先前记录的距离做比较,每一个节点可由多数邻居节点来告知其位置是否已经遭攻击者移 动。若要降低因环境所造成的误差,其方式例如可提高η的数量、或是增加邻居的节点数 量、或是适当地调整门坎值等。以下定义一些符号及其意义,并以一工作范例来详细说明本发明的内容。A —B :Μ表示A传送消息M给B,{M}k表示消息M加密,MAC (Μ, K)表示用金钥K计算消息M的消息验证码,Η( ·)表示单向杂凑函式,Μ//Ν表示消息M连接消息N,@表示异或XOR运算,IDi表示i的身份,氏表示i的感测读值,Ki表示i与基地节点共享的点对点金钥,以及Kij表示i与j共享的点对点金钥。以图4的无线感测网络端的使用情境为例,假设有一个使用者的存取授权的条件 为读取图像数据,其物理环境为温度高于30度、光度大于200流明、以及湿度低于30%。 当基地节点402取得此使用者存取授权时,例如收到来自一服务器的命令时,假设基地节 点402随机或固定选取的结果为参考区域408的某一光度传感器(标示为SCl)读值、参考 区域408的某三个温度传感器(标示为SC2、SC3、SC4)的平均读值、以及参考区域408的某 四个湿度传感器(标示为SC5、SC6、SC7、SC8)的多数读值,则由基地节点402发出传送到 目标感测节点404的请求消息的通用格式的一个范例如图13所示,与所揭露的某些实施范 例一致。图16的范例中,通用格式的字段内容可包括此请求消息的身份QID、一验证参数 C’、加密的使用者的存取授权{aCC_auth}k、一随机随机数N、以及被选取到控制节点的感测 数据型态与其计算方式、被选取到控制节点的身份、以及其感测数据的有效范围。以上述 的基地节点402随机选取的结果为例,则由基地节点402传送给目标感测节点404的请求 消息可包括QID、C’,{aCC_auth}k、N、以及三种类型,即光度传感器(SCl)、三个温度传感器 (SC2、SC3、SC4)、四个湿度传感器(SC5、SC6、SC7、SC8),的感测数据型态与其计算方式、此 三种类型的传感器的身份与其感测数据的有效范围valicLrange,并可表示如下QID, C', {acc_auth}k, N,
{光度_平均IDsci,第一有效范围},{温度 _ 平均IDSC2,IDsc3,IDsc4,第二有效范围},{湿度 _ 多数=IDsc5, IDsc6, IDsc7,IDsc8,第三有效范围),其中,第一有效范围是光度传感器SCl的光度读值的平均值结果,第二有效范围 是三个温度传感器(SC2、SC3、SC4)的温度读值的平均值结果,第三有效范围是四个湿度传 感器(SC5、SC6、SC7、SC8)的湿度读值的多数值结果。验证参数C’是给由基地节点402到目标感测节点404的每一中间路由节点作为 日后回传消息的一个参数。以上述的请求消息为例,则计算验证参数C’的一个范例方式如 下令CSCi=N@KSCi,iWlM8,且C=h (C sc)十… h (C SC8),则计算 C,= h (Csci)。当此请求消息送出后,从基地节点402到目标感测节点404中,中间路由节点 411-41m的每一中间路由节点把QID及C’储存起来,并且路由此请求消息至下一个节点,如 图17所示,与所揭露的某些实施范例一致。这些储存值可在响应消息回传后或是超过某一 时间后由节点自动删除,以节省该节点的储存空间。当目标感测节点404收到此消息后,解密取出使用者的存取授权aCC_aUth并且可 执行节点移动检测协议来判断本身的位置是否遭到移动,如果目标感测节点404发现自己 位置已经遭到移动,则回报此事件给基地节点402并且终止后续操作;反之,目标感测节点 404根据请求消息,执行下列操作来向控制节点请求感测读值目标感测节点一SCl :N, <光度>,目标感测节点一SC2、SC3、SC4 =N, <温度>,目标感测节点一SC5、SC6、SC7、SC8 =N, < 湿度 >。控制节点收到来自目标感测节点404的消息后,可执行节点移动检测协议来判断 本身的位置是否遭到移动,如果发现自己的位置已经遭到移动,则回报此事件给基地节点 402进行后续处理;反之,控制节点执行下列操作来回报目标感测节点404所请求的感测读 值SCi —目标感测节点:RSCi, i从1至8。目标感测节点404收到控制节点回报的感测读值后,进行计算(例如平均值或多 数值计算),然后检查计算结果是否符合使用者的存取授权aCC_auth及有效范围,,如果有 任何一项不符合,则回报次事件给基地节点402并且终止后续操作;反之目标感测节点404 多媒体数据(image)并执行下列操作,来将加密的多媒体数据传送至每一控制节点目标感测节点一SCi :h({多媒体数据}k),i从1至8。每一控制节点SCi收到上述消息后,可利用随机随机数N及本身与基地节点402 共享的金钥Ksa,来算出Csw,然后执行下列操作,来加密h(Csa)并传送加密的h(Csra)与一 消息验证码i_MAC至目标感测节点404 SCi —目标感测节点{h (Csci)Ik, i_MAC, i 从 1 至 8,其中,i_MAC = MAC (RSCi//h ({多媒体数据} k),h (Csci//Ksci))。目标感测节点404解密取出每一个h(Csa)以计算出出C值,并且也计算光度消息验证码MACl、温度消息验证码MACt、湿度消息验证码MACh,通过MAQ、MACt、MACh,再计算出一 多模式消息验证码SMAC值,各值计算如下c=h (C SCI )θ ... h (Csc8),MACl=MAC (Rsci // h ({多媒体数据} J,h (Csci Il Ksci)),MACt=MAC (Rsc2 // h ({多媒体数据} k), h (Csc2 Il Ksc2)) MAC (Rsc3 // h ({多媒体数据} J,h (Csc3 Il Ksc3)) θMAC (Rsc4 丨丨 h ({多媒体数据} J , h (Cs Il Ksc4)),MACll=MAC (Rsc5 // h ({多媒体数据} J , h (Csc5 Il Ksc)) θ ...θ MAC (Rsc8 丨丨 h ({多媒体数据} k), h (Cscs Il Ksc8)),SMAC=MACl MACt MACho然后,目标感测节点404执行下列操作,来传送给基地节点402的响应消息R印1_ message 目标感测节点一基地节点R印ly_message,其中,响应消息R印ly_message 的内容包括如 QID、C、配对{IDSCi :RSCi}、MACl、MACt、MACh、 {多媒体数据}k、{SMAC}k, i从1至8 ;配对{IDSCi =RscJ表示被基地节点402随机选取到的 控制节点SCi的身份及此控制节点SCi所回报的感测读值。当响应消息在回传的过程中,每一个中间路由节点根据QID验证h(C)使否等于 C’,如果不是则舍弃该响应消息;反之则路由响应消息至下一个节点,如图18所示,与所揭 露的某些实施范例一致。当响应消息传回到基地节点402后,基地节点402验证h(C)使否等于C’、所有的 读值是否符合使用者的存取授权acc_aUth及有效范围、以及SMAC值是否正确,如果都没问 题,则将图像,即{多媒体数据}k,解密后回传到服务器,以提供给该使用者,反之则丢弃响 应消息。接下来说明可增加中间路由节点的验证功能的MACl、MACt, MACh。当基地节点402 一开始传送请求消息到目标感测节点404时,基地节点402可以随机选取部分中间路由节 点并且随着请求消息传送不同的验证金钥给这些随机选取的中间路由节点,这些拥有部分 验证金钥的中间路由节点便有能力可以验证MA。MACt, MACh。举例来说,假设基地节点402分别传送验证金钥h(CSC2//KSC2)//h(Csra//Ksra)// h(CSc4//KSc4)给一第一中间路由节点,以及验证金钥h(Csa//Kscl)给一第二中间路由节点, 则当目标感测节点404回传图像消息给基地节点402时,第一中间路由节点便可以验证 MACt,而第二中间路由节点便可以验证MAQ。如此,让不合法的响应消息可以在中间的传送 过程中就被中间路由节点提早过滤掉,而不用等到传回到基地节点才发现,以节省传送不 合法消息的资源。
本发明的无线感测网络的存取授权技术也可以抵抗如图5至图9的攻击模型,使 得攻击者没有办法通过这些攻击来逃避存取授权的控管或是得到不应该有的存取权限。以 下一一分析本发明的安全性。由于目标感测节点响应给基地节点的消息包含了参数C,而参数C是必须由所有 被随机或固定选取到的控制节点来算出的信息,因此即使目标感测节点被攻击破坏了,也 无法在未请求所有控制节点的感测读值前,响应消息给基地节点。攻击者也无法假造任何 消息回传给基地节点;此外,每一中间路由节点也会验证参数C的正确性,未包含正确C的 响应消息马上会被舍弃掉。因为每一个由被随机或固定选取到的控制节点SCi所回传的感测读值都用其 与基地节点共享的金钥组成的参数来计算消息验证码MAC,例如MACp MACt、或MACh,并且随 机选取到的中间节点以及基地节点都会验证MAC的正确性,任何未包含正确MAC的响应消 息马上就会被舍弃掉。所以,被破坏攻击的目标感测节点无法假造符合存取授权的感测读 值,攻击者也无法修改感测读值。因为计算MAC的金钥时,需包含参数Csci,而参数Csci是由基地节点每次产生的随 机随机数N计算而来的,因此,攻击者无法重送感测读值及消息验证码MAC。因为任何被随机选取到的中间路由节点会验证部分的消息验证码MAC,例如ΜΑ。 MACt、或MACH,被窜改的多媒体数据在未回传到基地节点时就会被中间路由节点验证到而舍 弃掉。因此,攻击者无法窜改目标感测节点回传的多媒体数据。虽然本发明的实施范例利用随机选取到的中间路由节点来提早验证消息验证码 MAC的正确性,然而攻击者还是有部分机率可以攻击破坏被随机选取到的中间路由节点,然 后假造感测读值及其MAC。因为被随机选取到的中间路由节点有验证MAC的金钥,便能计算 出合法的MAC。然而,当基地节点收到响应的消息后,会解密及验证SMAC,因此任何被窜改 的MAC,例如MAQ、MACt、或MACh,最后在基地节点都会因为验证SMAC而被发现。移动目标感测节点或是任何的控制节点将会被节点移动检测协议检测出来。因 此,可以确保节点位置不会被移动到不该存在的位置或环境当中,而检测的精确度可视周 围环境及硬件灵敏度等因素来决定。综上所述,本发明的实施范例可提供一种无线感测网络的存取授权装置与方法。 其响应消息包含一个证明参数C,代表了响应消息的认证性及有效性。而随机或固定式的节 点选择,包括控制节点的选择与验证请求或响应消息的中间路由节点的选择,加上参考多 数感测节点回报的感测数据,可降低被攻击者破坏攻击的影响。错误的数据也会被中间路 由节点发现并提早滤除,可节省无线感测网络的资源。本发明的实施范例只使用轻量化的 计算方式,如异或、单向杂凑函式、对称式金钥加密等计算方法来实现安全性功能,因此也 很适合于无线感测网络环境。此外,每一中间路由节点只需要储存QID及C’ (小于10字节),部分被随机选取到 的中间路由节点也只需多存少许的验证金钥,例如若用AES-128,则储存一把金钥只需16 字节的储存空间,这些储存值也可以在响应消息回传后或超过一时间后由节点自动删除。 本发明的安全存取控制结构可防止节点遭受多种攻击模型的破坏或移动,也可用于多模式 无线感测网络的存取授权,此多模式无线感测网络中的传感器例如用来感测温度、湿度、光 度、压力、气体、浓度等各类型的环境数值。
惟,以上所述者仅为本发明的实施范例,当不能依此限定本发明实施的范围。即大 凡本发明权利要求范围所作的均等变化与修饰,皆应仍属本发明权利要求涵盖的范围。
权利要求
1.一种无线感测网络的存取授权装置,该装置包含至少一基地节点;以及由数个感测节点形成的一无线感测网络;其中,该至少一基地节点取得一使用者的一存取授权后,发送一请求消息到该无线感 测网络中的一目标感测节点,该目标感测节点根据该请求消息向该无线感测网络中的至少 一控制节点,请求回传其感测数据,并参考该至少一控制节点响应的感测数据,来判断是否 符合该存取授权,以作为是否回传符合该存取授权的多媒体数据的依据。
2.根据权利要求1所述的存取授权装置,其中该至少一控制节点皆为该无线感测网络 中的无线感测节点,并提供至少一类型的物理环境信息的感测数据来回传给该目标感测节 点ο
3.根据权利要求1所述的存取授权装置,其中该请求消息还包括一验证信息,该验证 信息是提供给由该至少一基地节点到该目标感测节点的中间的一或多个路由节点的每一 路由节点,并作为日后验证响应消息的一个参数。
4.根据权利要求1所述的存取授权装置,其中该基地节点还包括一第一通讯接口与一第二通讯接口;一储存单元,进行数据的储存;以及一中央处理单元,通过该第二通讯接口下达传送该存取授权到该目标感测节点,并且 通过该第一通讯接口,将该目标感测节点回传的多媒体数据传送给一服务器。
5.根据权利要求1所述的存取授权装置,其中该至少一控制节点的每一控制节点还包括至少一传感器,感测至少一类型的物理环境信息;一第三通讯接口,与该基地节点及该目标感测节点进行沟通;以及一第二中央处理单元,指挥该至少一传感器进行感测,并通过该第三通讯接口传回该 至少一传感器的感测数据。
6.根据权利要求1所述的存取授权装置,其中该目标感测节点还包括至少一传感器,撷取出该多媒体数据;一第四通讯接口,与该基地节点及该少一控制节点进行沟通;以及一第三中央处理单元,根据该请求消息,通过该第四通讯接口,向该少一控制节点请求 感测数据,并根据该感测数据判断是否回传该多媒体数据。
7.根据权利要求1所述的存取授权装置,其中该请求消息中包含一验证信息,给由该 至少一基地节点到该目标感测节点的中间至少一路由节点,来验证日后由该目标感测节点 响应的消息。
8.根据权利要求1所述的存取授权装置,其中该至少一控制节点执行一种节点移动检 测协议,来判断其本身位置是否已被改变,并作为是否回传其感测数据的根据。
9.根据权利要求1所述的存取授权装置,其中该目标感测节点执行一种节点移动检测 协议,来判断其本身位置是否已被改变,并作为是否回传其响应消息的根据。
10.根据权利要求1所述的存取授权装置,其中该无线感测网络是一种多模式无线感 测网络。
11.根据权利要求1所述的存取授权装置,其中该无目标感测节点的同一区域内有数个控制节点提供该区域的感测数据给该无目标感测节点,来进行该使用者的该存取授权的 判断,该无目标感测节点的同一区域代表该目标感测节点与其它感测节点可以互相通讯的 范围。
12.一种无线感测网络的存取授权方法,该方法包括通过至少一基地节点,取得一使用者的存取授权;从一无线感测网络的数个感测节点中选取至少一控制节点,以及选取由该基地节点到 一目标感测节点的至少一中间路由节点;通过该基地节点,发送一请求消息到该目标感测节点,该请求消息至少备有验证信息;该目标感测节点根据该请求消息,向被选取的该至少一控制节点请求回传其感测数 据,并参考该回传的感测数据,来判断是否符合该使用者的存取授权,再发出一相对应的响 应消息;该至少一中间路由节点根据该验证信息,检查该响应消息,以决定丢弃或是转送该响 应消息;以及通过该基地节点,验证该被转送的响应消息。
13.根据权利要求12所述的存取授权方法,其中该至少一控制节点是以随机选取或固 定选取两者的其中一种方式被选出的节点。
14.根据权利要求12所述的存取授权方法,其中该至少一基地节点到该目标感测节点 有数个中间路由节点,该至少一中间路由节点是以随机选取或固定选取两者的其中一种方 式,从该数个中间路由节点当中被选出的部分节点。
15.根据权利要求12所述的存取授权装置,该方法利用一节点的多数邻居节点来告知 该节点的位置是否已经被移动,其中该节点是一控制节点或该目标感测节点两者的其中一 种节点。
16.根据权利要求12所述的存取授权方法,该方法是针对一种型态的感测数据来参考 该至少一个控制节点回传的感测数据,然后计算该回传的感测数据的统计量以判断是否符 合该使用者的存取授权。
17.根据权利要求12所述的存取授权方法,其中该请求消息中至少包括该请求消息的 身份、一验证参数、加密的该使用者的存取授权、一随机随机数、该被选取到的该至少一控 制节点的感测数据型态与其计算方式、以及该被选取到的该至少一控制节点的身份与其感 测数据的有效范围。
18.根据权利要求17所述的存取授权方法,其中该验证参数是提供给该至少一中间路 由节点,作为日后回传消息的一个参数。
19.根据权利要求17所述的存取授权方法,其中当该请求消息送出后,该至少一中间 路由节点的每一中间路由节点把该请求消息的身份与该验证参数储存起来,并且路由该请 求消息至下一个节点。
20.根据权利要求17所述的存取授权方法,其中当该目标感测节点收到该请求消息 后,解密取出该使用者的存取授权,并且判断本身的位置是否遭到移动。
21.根据权利要求12所述的存取授权方法,其中当该至少一控制节点收到来自该目标 感测节点的该请求后,判断本身的位置是否遭到移动,如果发现该位置已经遭到移动,则回报该基地节点该位置已经遭到移动,反之,则回报其感测数据。
22.根据权利要求19所述的存取授权方法,其中该目标感测节点收到该至少一控制节 点回传的感测数据后,该目标感测节点与该至少一控制节点执行下列操作该目标感测节点计算该回传的感测数据的统计量来判断是否符合该使用者的存取授 权;以及若符合,则该目标感测节点回传加密的多媒体数据给该至少一控制节点的每一控制节点。每一控制节点收到该加密的多媒体数据后,以一相对应的加密参数与一相对应的消息 验证码来响应该目标感测节点;以及该目标感测节点将加密参数解密后,计算出该请求消息中的该验证信息与一多模式消 息验证码。
23.根据权利要求22所述的存取授权方法,其中该目标感测节点回传该至少一基地节 点一响应消息,该响应消息的内容至少包括该请求消息的身份、该验证信息、该加密的多媒 体数据、该多模式消息验证码、以及每一控制节点的身份与该控制节点回传的感测数据。
24.根据权利要求19所述的存取授权方法,其中当该响应消息在回传的过程中,每一 个中间路由节点根据该请求消息的身份,验证一加密的该验证信息是否等于该验证参数, 如果不是则舍弃该响应消息,反之则路由响应消息至下一个节点。
25.根据权利要求22所述的存取授权方法,其中该至少一基地节点验证一加密的该验 证信息是否等于该验证参数,验证该至少一控制节点回传的感测数据是否符合该使用者的 存取授权与该感测数据的有效范围,验证该多模式消息验证码是否正确,皆是的话,则回传 该解密后的多媒体数据,以提供给该使用者。
全文摘要
一种无线感测网络的存取授权装置,包含至少一基地节点、以及由数个感测节点形成的一无线感测网络。此至少一基地节点取得一使用者的一存取授权后,发送一请求消息到此无线感测网络中的一目标感测节点。此目标感测节点根据此请求消息向此无线感测网络中的至少一控制节点,请求回传其感测数据,并参考此控制节点回传的感测数据,来判断是否符合此使用者的存取授权,以作为是否回传符合此存取授权的多媒体数据的依据。
文档编号H04W84/18GK102045887SQ20091020735
公开日2011年5月4日 申请日期2009年10月26日 优先权日2009年10月26日
发明者惟佐·D·葛利果, 李韩燕, 柯力群 申请人:卡内基美隆大学, 财团法人工业技术研究院