センサーネットワーク認証と鍵管理メカニズムの統合方法
センサーネットワーク認証と鍵管理メカニズムとの統合方法を提供した。当該方法は、1)鍵予備配布を行い、即ち、1.1)通信鍵の予備配布を行い、1.2)初期ブロードキャストメッセージ認証鍵の予備配布を行い、2)認証を行い、即ち、2.1)ノード身分認証を行い、2.2)ブロードキャストメッセージ認証を行い、3)ノードがセッション鍵の合意を行うことを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2009年7月15日に中国特許庁に提出した、出願番号が200910023382.9であり、発明名称が「センサーネットワーク認証と鍵管理メカニズムの統合方法」である中国特許出願の優先権を主張し、その内容を全て本出願に援用する。
本発明は、センサーネットワーク認証と鍵管理メカニズムとの統合方法に関する。
【背景技術】
【0002】
センサーネットワークは、大量の小型、安価、電池で給電され、無線通信及び監視機能を有するセンサーノードにより構成される。これらのノードは、物理的な世界を監視する目的を達成するように、監視領域に密に設けられる。無線センサーネットワークは、情報技術における新たな研究方向であって、環境監視、軍事、国家防衛、交通制限、団地安全防御、森林火災防止、目標測位などの方面において広く応用される将来性がある。
【0003】
センサーノードが一般的に無人管理または敵の領域に設けられているため、センサーネットワークのセキュリティ問題は特に重要である。センサーネットワークは、データを中心とするデータ収集プラットフォームであり、セキュリティセンサーネットワーク認証および鍵管理基礎施設の構築がデータの安全統合、記憶およびアクセス制御を実現する基礎である。現在、センサーネットワークのセキュリティ技術の研究はすでに大きな進展が得られており、多くのセンサーネットワークセキュリティ技術はすでに設計されている。鍵管理は、センサーネットワークセキュリティの基礎であり、ノード秘密通信およびノード間の身分認証を実現するための支持的な技術であり、一般的にネットワーク構築前の鍵予備配布とネットワーク構築後の鍵確立およびセッション鍵合意の二つの段階からなる。認証は、メッセージ認証と身分認証に分けられる。センサーネットワークは、ブロードキャストによりルーティングテーブルの作成、ネットワークの照会、ソフトウェアの更新、時間の同期およびネットワークの管理などの重要な機能を実現する。その無線およびブロードキャストの特性により、ブロードキャスト情報は攻撃者により改竄されたり、悪意情報が挿入されたりする可能性があるため、認証メカニズムを導入してブロードキャスト情報の正当性および完備性を確保する必要がある。ブロードキャストメッセージ認証技術もセンサーネットワークセキュリティの基礎である。身分認証は、コンピュータネットワークセキュリティの基礎であり、同様にセンサーネットワークセキュリティの基礎であり、通信両方の身分の正当性および有効性を認証するために用いられる。鍵管理と認証は、核心のセキュリティメカニズムとして、センサーネットワークのセキュリティ解決案において両方とも不可欠なものであり、互いにサポートされる。認証メカニズムには、鍵管理メカニズムにおける鍵予備配布技術により予備共有または初期鍵が提供される必要がある。一方、鍵管理メカニズムにおけるセッション鍵合意技術は、身分認証技術の結果を基礎とする。この両者の協働のみで、基本的なセンサーネットワークのセキュリティ解決案を構成することができる。しかし、現在のセンサーネットワークの鍵管理および認証メカニズムは、設計時に両者間の統合を十分に考慮しておらず、センサーネットワークに完備な秘密通信および認証サービスを提供することができないため、センサーネットワークに依然としてセキュリティリスクが存在する。
【発明の概要】
【発明が解決しようとする課題】
【0004】
背景技術に存在する問題を解決するために、本発明は、センサーネットワークの鍵管理、身分認証、ブロードキャストメッセージ認証などのセキュリティメカニズムを、プロトコル処理プロセスにおいて整合することにより、統合的なセンサーネットワーク認証および鍵管理方法を形成し、センサーネットワークセキュリティに基礎的な解決案を提供した。
【課題を解決するための手段】
【0005】
本発明による技術的解決案は、センサーネットワーク認証と鍵管理メカニズムとの統合方法を提供した。当該方法は以下のステップを含むことを特徴とする。即ち、
【0006】
1)鍵の予備配布を行い、即ち、
【0007】
1.1 ) ネットワークを構築する前に、ノード間のセキュリティ接続を確立するための通信鍵をノードに予備配布する通信鍵の予備配布を行い、
【0008】
1.2 ) ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する初期ブロードキャストメッセージ認証鍵の予備配布を行い、
【0009】
2) 認証を行い、即ち、
【0010】
2.1 ) ネットワークを構築した後に、通信ノードは通信する前に、相手の身分の正当性を認証するノード身分認証を行い、
【0011】
2.2 )ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証するブロードキャストメッセージ認証を行い、
【0012】
3 ) ノードはセッション鍵の合意を行い、即ち、
【0013】
ノード身分認証が成功した後に、ノード身分認証の過程の結果に基づいて、ノードの間でセッション鍵を合意して生成することを含む。
【0014】
以上のステップ1.1 )の具体的な実現方式は、以下の通りである。
【0015】
1.1.1 ) ネットワークを構築する前に、ネットワークの規模に基づいて鍵プールを生成し、
【0016】
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性に基づいて、すべてのノードに鍵を予備配布する。
【0017】
基本的なランダム鍵予備配布の方法を採用し、前記のステップ1.1 )の具体的な実現方法は以下の通りである。即ち、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、その後にネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードし、ただし、k<<P である。
【0018】
上記のステップ1.2)の具体的な実現方式は、以下の通りである。即ち、
【0019】
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
【0020】
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布する。
【0021】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ1.2)の具体的な実現方法は以下の通りである。即ち、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、その後に配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布する。
【0022】
上記のステップ2.1)の具体的な実現方式は、以下の通りである。即ち、ネットワークが構築された後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行い、或は予め設定されたその他の認証方式に基づいてノード間の身分認証を行う。
【0023】
前記の予備共有鍵による認証過程は、
【0024】
a) ノードAは乱数 NAを生成してノードBに送信し、
【0025】
b)ノードBは乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にセッション鍵SKを用いてメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、
【0026】
c)ノードAは、まず、メッセージにおける乱数 NBがステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、ノードAはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信することを含む。
【0027】
ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示す。
【0028】
上記のステップ2.2)の具体的な実現方式は、以下の通りである。即ち、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証する。
【0029】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ2.2)の具体的な実現方法は以下の通りである。即ち、ブロードキャストノードがブロードキャストメッセージ認証鍵チェンにおける、ある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、予め設定されたブロードキャストメッセージ認証鍵の公開遅延が行われた後に、ブロードキャストノードがKiをブロードキャストメッセージ受信ノードに送信し、受信ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証する。
【0030】
上記のステップ3)の具体的な実現方法は以下の通りである。即ち、
【0031】
3.1 )ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
【0032】
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行う。
【0033】
前記のステップ3)における合意方法は以下の通りである。即ち、
【0034】
a ) マルチキャストノードはマルチキャストセッション鍵MSKを生成し、
【0035】
b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答する。
【0036】
前記のステップ3)において、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証する。
【0037】
上記ノードは、センサーネットワークにおける基地局、クラスタノード 、汎用ノードである。
【0038】
配置サーバとノードとを含み、前記ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、前記配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、前記ノードは、認証とセッション鍵の合意を行い、但し、前記ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、前記ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、前記マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、前記マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理することを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合システムである。
【0039】
本発明のメリットは以下の通りである。即ち、本発明は、センサーネットワーク認証と鍵管理メカニズムとの統合方法を提供し、鍵管理、身分認証、ブロードキャストメッセージ認証などのセンサーネットワークによる基礎セキュリティ技術を、プロセスにおいて整合することによって、センサーネットワークセキュリティインフラストラクチャを構築する。本発明は、まず、センサーネットワーク鍵管理技術における鍵予備配布と、ブロードキャストメッセージ認証技術における初期ブロードキャストメッセージ認証鍵の予備配布過程とを整合し、ネットワークが構築される前に、通信鍵と初期ブロードキャストメッセージ認証鍵を、ネットワークノードに予備配布することにより、ネットワークの構築後の身分認証、秘密通信、ブロードキャストメッセージ認証にサポートを提供する、次は、ブロードキャストメッセージ認証と身分認証やセッション鍵合意過程との結合により、身分認証とセッション鍵合意とを行う同時に、ブロードキャストメッセージに対する認証を提供することができる。前記センサーネットワーク基礎セキュリティ技術の整合により、本発明は、センサーネットワークセキュリティシステム構造を構成し、基本的なセンサーネットワークセキュリティ解決案を形成する。
【図面の簡単な説明】
【0040】
【図1】本発明により提供された統合方法のフローチャートである。
【発明を実施するための形態】
【0041】
図1を参照し、本発明は、センサーネットワークの認証と鍵管理メカニズムの統合方法を提供した。当該方法は、以下のステップを含む。即ち、
【0042】
1 )鍵の予備配布を行う。当該ステップは主に以下の二つのサブステップを含む。即ち、
【0043】
1.1 ) 通信鍵の予備配布を行い、即ち、ネットワークを構築する前に、ノード間でセキュリティ接続を確立するための通信鍵をノードに予備配布する、その具体的な実現方法は以下の通りである。即ち、
【0044】
1.1.1 ) ネットワークを構築する前に、ネットワークの規模により鍵プールを生成し、
【0045】
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性により、すべてのノードに鍵を予備配布する。
【0046】
基本的なランダム鍵予備配布の方法により、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、その後にネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードする。ただし、k<<Pとなる。このようなランダム予備配布の方法により、隣接するノードが一定の確率で鍵を共有でき、セキュリティ接続を確立してネットワークの構築後に所望するネットワークの接続性の実現を確保することができる。
【0047】
1.2)初期ブロードキャストメッセージ認証鍵の予備配布を行い、即ち、ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する、その具体的な実現形態は以下の通りである。即ち、
【0048】
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
【0049】
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布する。
【0050】
μTESLAブロードキャストメッセージ認証方法により、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延(disclosing delay)などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、その後に配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布する。なお、配置サーバはブロードキャストノードにブロードキャストメッセージ認証鍵チェンを送信する際に、オンランの方式を採用することもできる。
【0051】
2 ) 認証を行う。主に以下の二つのサブステップを含む。即ち、
【0052】
2.1 ) ノードの身分の認証を行い、即ち、ネットワークを構築した後に、通信ノードは通信をする前に、相手の身分の正当性を認証する。その具体的な実現形態としては、ネットワークを構築した後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行ったり、予め設定されたほかの認証方式に基づいてノード間の身分の認証を行う。
【0053】
予備共有鍵に基づく認証方式により、共有鍵PSKに基づいて認証を行う。認証方式は以下のステップを採用する。即ち、a) ノードAが乱数 NAを生成してノードBに送信し、b)Bが乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にSKによりメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、c) ノードAは、まず、メッセージにおける乱数 NBがその自身によるステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、AはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信する。ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示す。
【0054】
2.2 ) ブロードキャストメッセージ認証を行い、即ち、ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証する。その具体的な実現方式は、以下の通りである。即ち、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証する。ブロードキャストメッセージの認証は、ネットワークにおけるブロードキャストの状況に基づいて、ネットワークの構築後の任意の時刻、例えばセッション鍵の合意過程に発生する可能性がある。
【0055】
μTESLAブロードキャストメッセージ認証方法により、ブロードキャストノードは、まず、ブロードキャストメッセージ認証鍵チェンにおけるある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、その後に予め設定されたブロードキャストメッセージ認証鍵の公開遅延がされた後に、ブロードキャストノードはKiをブロードキャストメッセージ受信ノードに送信し、受信ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証する。
【0056】
3 )セッション鍵の合意を行い、即ち、ノードの身分認証が成功した後に、ノードの身分認証の結果に基づいて、ノードの間でセッション鍵を合意して生成する。この過程において、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証し、主に以下のサブステップにより完成される。即ち、
【0057】
3.1 ) ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
【0058】
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行う。
【0059】
具体的な合意方法は、以下のステップを採用することができる。即ち、a )マルチキャストノードはマルチキャストセッション鍵MSKを生成し、b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答する。
【0060】
本発明における前記ノードとは、センサーネットワークにおける各種のネットワーク実体を意味し、基地局、クラスタノード 、汎用ノード等を含むが、これらに限定されない。
【0061】
センサーネットワーク認証と鍵管理メカニズムとの統合システムであって、配置サーバとノードとを含み、ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、ノードは、認証とセッション鍵の合意を行い、ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理する統合システムである。
【技術分野】
【0001】
本出願は、2009年7月15日に中国特許庁に提出した、出願番号が200910023382.9であり、発明名称が「センサーネットワーク認証と鍵管理メカニズムの統合方法」である中国特許出願の優先権を主張し、その内容を全て本出願に援用する。
本発明は、センサーネットワーク認証と鍵管理メカニズムとの統合方法に関する。
【背景技術】
【0002】
センサーネットワークは、大量の小型、安価、電池で給電され、無線通信及び監視機能を有するセンサーノードにより構成される。これらのノードは、物理的な世界を監視する目的を達成するように、監視領域に密に設けられる。無線センサーネットワークは、情報技術における新たな研究方向であって、環境監視、軍事、国家防衛、交通制限、団地安全防御、森林火災防止、目標測位などの方面において広く応用される将来性がある。
【0003】
センサーノードが一般的に無人管理または敵の領域に設けられているため、センサーネットワークのセキュリティ問題は特に重要である。センサーネットワークは、データを中心とするデータ収集プラットフォームであり、セキュリティセンサーネットワーク認証および鍵管理基礎施設の構築がデータの安全統合、記憶およびアクセス制御を実現する基礎である。現在、センサーネットワークのセキュリティ技術の研究はすでに大きな進展が得られており、多くのセンサーネットワークセキュリティ技術はすでに設計されている。鍵管理は、センサーネットワークセキュリティの基礎であり、ノード秘密通信およびノード間の身分認証を実現するための支持的な技術であり、一般的にネットワーク構築前の鍵予備配布とネットワーク構築後の鍵確立およびセッション鍵合意の二つの段階からなる。認証は、メッセージ認証と身分認証に分けられる。センサーネットワークは、ブロードキャストによりルーティングテーブルの作成、ネットワークの照会、ソフトウェアの更新、時間の同期およびネットワークの管理などの重要な機能を実現する。その無線およびブロードキャストの特性により、ブロードキャスト情報は攻撃者により改竄されたり、悪意情報が挿入されたりする可能性があるため、認証メカニズムを導入してブロードキャスト情報の正当性および完備性を確保する必要がある。ブロードキャストメッセージ認証技術もセンサーネットワークセキュリティの基礎である。身分認証は、コンピュータネットワークセキュリティの基礎であり、同様にセンサーネットワークセキュリティの基礎であり、通信両方の身分の正当性および有効性を認証するために用いられる。鍵管理と認証は、核心のセキュリティメカニズムとして、センサーネットワークのセキュリティ解決案において両方とも不可欠なものであり、互いにサポートされる。認証メカニズムには、鍵管理メカニズムにおける鍵予備配布技術により予備共有または初期鍵が提供される必要がある。一方、鍵管理メカニズムにおけるセッション鍵合意技術は、身分認証技術の結果を基礎とする。この両者の協働のみで、基本的なセンサーネットワークのセキュリティ解決案を構成することができる。しかし、現在のセンサーネットワークの鍵管理および認証メカニズムは、設計時に両者間の統合を十分に考慮しておらず、センサーネットワークに完備な秘密通信および認証サービスを提供することができないため、センサーネットワークに依然としてセキュリティリスクが存在する。
【発明の概要】
【発明が解決しようとする課題】
【0004】
背景技術に存在する問題を解決するために、本発明は、センサーネットワークの鍵管理、身分認証、ブロードキャストメッセージ認証などのセキュリティメカニズムを、プロトコル処理プロセスにおいて整合することにより、統合的なセンサーネットワーク認証および鍵管理方法を形成し、センサーネットワークセキュリティに基礎的な解決案を提供した。
【課題を解決するための手段】
【0005】
本発明による技術的解決案は、センサーネットワーク認証と鍵管理メカニズムとの統合方法を提供した。当該方法は以下のステップを含むことを特徴とする。即ち、
【0006】
1)鍵の予備配布を行い、即ち、
【0007】
1.1 ) ネットワークを構築する前に、ノード間のセキュリティ接続を確立するための通信鍵をノードに予備配布する通信鍵の予備配布を行い、
【0008】
1.2 ) ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する初期ブロードキャストメッセージ認証鍵の予備配布を行い、
【0009】
2) 認証を行い、即ち、
【0010】
2.1 ) ネットワークを構築した後に、通信ノードは通信する前に、相手の身分の正当性を認証するノード身分認証を行い、
【0011】
2.2 )ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証するブロードキャストメッセージ認証を行い、
【0012】
3 ) ノードはセッション鍵の合意を行い、即ち、
【0013】
ノード身分認証が成功した後に、ノード身分認証の過程の結果に基づいて、ノードの間でセッション鍵を合意して生成することを含む。
【0014】
以上のステップ1.1 )の具体的な実現方式は、以下の通りである。
【0015】
1.1.1 ) ネットワークを構築する前に、ネットワークの規模に基づいて鍵プールを生成し、
【0016】
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性に基づいて、すべてのノードに鍵を予備配布する。
【0017】
基本的なランダム鍵予備配布の方法を採用し、前記のステップ1.1 )の具体的な実現方法は以下の通りである。即ち、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、その後にネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードし、ただし、k<<P である。
【0018】
上記のステップ1.2)の具体的な実現方式は、以下の通りである。即ち、
【0019】
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
【0020】
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布する。
【0021】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ1.2)の具体的な実現方法は以下の通りである。即ち、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、その後に配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布する。
【0022】
上記のステップ2.1)の具体的な実現方式は、以下の通りである。即ち、ネットワークが構築された後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行い、或は予め設定されたその他の認証方式に基づいてノード間の身分認証を行う。
【0023】
前記の予備共有鍵による認証過程は、
【0024】
a) ノードAは乱数 NAを生成してノードBに送信し、
【0025】
b)ノードBは乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にセッション鍵SKを用いてメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、
【0026】
c)ノードAは、まず、メッセージにおける乱数 NBがステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、ノードAはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信することを含む。
【0027】
ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示す。
【0028】
上記のステップ2.2)の具体的な実現方式は、以下の通りである。即ち、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証する。
【0029】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ2.2)の具体的な実現方法は以下の通りである。即ち、ブロードキャストノードがブロードキャストメッセージ認証鍵チェンにおける、ある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、予め設定されたブロードキャストメッセージ認証鍵の公開遅延が行われた後に、ブロードキャストノードがKiをブロードキャストメッセージ受信ノードに送信し、受信ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証する。
【0030】
上記のステップ3)の具体的な実現方法は以下の通りである。即ち、
【0031】
3.1 )ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
【0032】
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行う。
【0033】
前記のステップ3)における合意方法は以下の通りである。即ち、
【0034】
a ) マルチキャストノードはマルチキャストセッション鍵MSKを生成し、
【0035】
b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答する。
【0036】
前記のステップ3)において、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証する。
【0037】
上記ノードは、センサーネットワークにおける基地局、クラスタノード 、汎用ノードである。
【0038】
配置サーバとノードとを含み、前記ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、前記配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、前記ノードは、認証とセッション鍵の合意を行い、但し、前記ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、前記ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、前記マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、前記マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理することを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合システムである。
【0039】
本発明のメリットは以下の通りである。即ち、本発明は、センサーネットワーク認証と鍵管理メカニズムとの統合方法を提供し、鍵管理、身分認証、ブロードキャストメッセージ認証などのセンサーネットワークによる基礎セキュリティ技術を、プロセスにおいて整合することによって、センサーネットワークセキュリティインフラストラクチャを構築する。本発明は、まず、センサーネットワーク鍵管理技術における鍵予備配布と、ブロードキャストメッセージ認証技術における初期ブロードキャストメッセージ認証鍵の予備配布過程とを整合し、ネットワークが構築される前に、通信鍵と初期ブロードキャストメッセージ認証鍵を、ネットワークノードに予備配布することにより、ネットワークの構築後の身分認証、秘密通信、ブロードキャストメッセージ認証にサポートを提供する、次は、ブロードキャストメッセージ認証と身分認証やセッション鍵合意過程との結合により、身分認証とセッション鍵合意とを行う同時に、ブロードキャストメッセージに対する認証を提供することができる。前記センサーネットワーク基礎セキュリティ技術の整合により、本発明は、センサーネットワークセキュリティシステム構造を構成し、基本的なセンサーネットワークセキュリティ解決案を形成する。
【図面の簡単な説明】
【0040】
【図1】本発明により提供された統合方法のフローチャートである。
【発明を実施するための形態】
【0041】
図1を参照し、本発明は、センサーネットワークの認証と鍵管理メカニズムの統合方法を提供した。当該方法は、以下のステップを含む。即ち、
【0042】
1 )鍵の予備配布を行う。当該ステップは主に以下の二つのサブステップを含む。即ち、
【0043】
1.1 ) 通信鍵の予備配布を行い、即ち、ネットワークを構築する前に、ノード間でセキュリティ接続を確立するための通信鍵をノードに予備配布する、その具体的な実現方法は以下の通りである。即ち、
【0044】
1.1.1 ) ネットワークを構築する前に、ネットワークの規模により鍵プールを生成し、
【0045】
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性により、すべてのノードに鍵を予備配布する。
【0046】
基本的なランダム鍵予備配布の方法により、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、その後にネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードする。ただし、k<<Pとなる。このようなランダム予備配布の方法により、隣接するノードが一定の確率で鍵を共有でき、セキュリティ接続を確立してネットワークの構築後に所望するネットワークの接続性の実現を確保することができる。
【0047】
1.2)初期ブロードキャストメッセージ認証鍵の予備配布を行い、即ち、ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する、その具体的な実現形態は以下の通りである。即ち、
【0048】
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
【0049】
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布する。
【0050】
μTESLAブロードキャストメッセージ認証方法により、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延(disclosing delay)などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、その後に配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布する。なお、配置サーバはブロードキャストノードにブロードキャストメッセージ認証鍵チェンを送信する際に、オンランの方式を採用することもできる。
【0051】
2 ) 認証を行う。主に以下の二つのサブステップを含む。即ち、
【0052】
2.1 ) ノードの身分の認証を行い、即ち、ネットワークを構築した後に、通信ノードは通信をする前に、相手の身分の正当性を認証する。その具体的な実現形態としては、ネットワークを構築した後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行ったり、予め設定されたほかの認証方式に基づいてノード間の身分の認証を行う。
【0053】
予備共有鍵に基づく認証方式により、共有鍵PSKに基づいて認証を行う。認証方式は以下のステップを採用する。即ち、a) ノードAが乱数 NAを生成してノードBに送信し、b)Bが乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にSKによりメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、c) ノードAは、まず、メッセージにおける乱数 NBがその自身によるステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、AはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信する。ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示す。
【0054】
2.2 ) ブロードキャストメッセージ認証を行い、即ち、ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証する。その具体的な実現方式は、以下の通りである。即ち、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証する。ブロードキャストメッセージの認証は、ネットワークにおけるブロードキャストの状況に基づいて、ネットワークの構築後の任意の時刻、例えばセッション鍵の合意過程に発生する可能性がある。
【0055】
μTESLAブロードキャストメッセージ認証方法により、ブロードキャストノードは、まず、ブロードキャストメッセージ認証鍵チェンにおけるある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、その後に予め設定されたブロードキャストメッセージ認証鍵の公開遅延がされた後に、ブロードキャストノードはKiをブロードキャストメッセージ受信ノードに送信し、受信ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証する。
【0056】
3 )セッション鍵の合意を行い、即ち、ノードの身分認証が成功した後に、ノードの身分認証の結果に基づいて、ノードの間でセッション鍵を合意して生成する。この過程において、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証し、主に以下のサブステップにより完成される。即ち、
【0057】
3.1 ) ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
【0058】
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行う。
【0059】
具体的な合意方法は、以下のステップを採用することができる。即ち、a )マルチキャストノードはマルチキャストセッション鍵MSKを生成し、b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答する。
【0060】
本発明における前記ノードとは、センサーネットワークにおける各種のネットワーク実体を意味し、基地局、クラスタノード 、汎用ノード等を含むが、これらに限定されない。
【0061】
センサーネットワーク認証と鍵管理メカニズムとの統合システムであって、配置サーバとノードとを含み、ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、ノードは、認証とセッション鍵の合意を行い、ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理する統合システムである。
【特許請求の範囲】
【請求項1】
1)鍵の予備配布を行い、即ち、
1.1 ) ネットワークを構築する前に、ノード間のセキュリティ接続を確立するための通信鍵をノードに予備配布する通信鍵の予備配布を行い、
1.2 ) ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する初期ブロードキャストメッセージ認証鍵の予備配布を行い、
2) 認証を行い、即ち、
2.1 ) ネットワークを構築した後に、通信ノードは通信する前に、相手の身分の正当性を認証するノード身分認証を行い、
2.2 )ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証するブロードキャストメッセージ認証を行い、
3 ) ノードはセッション鍵の合意を行い、即ち、
ノード身分認証が成功した後に、ノード身分認証の過程の結果に基づいて、ノードの間でセッション鍵を合意して生成することを含むことを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項2】
前記のステップ1.1)は、
1.1.1 ) ネットワークを構築する前に、ネットワークの規模に基づいて鍵プールを生成し、
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性に基づいて、すべてのノードに鍵を予備配布すること、
を含むことを特徴とする請求項1に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項3】
基本的なランダム鍵予備配布の方法を採用し、前記のステップ1.1.1 )において、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、
前記ステップ1.1.2 )において、ネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードし、ただし、k<<P であることを特徴とする請求項2に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項4】
前記のステップ1.2)は、
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布することを含むことを特徴とする請求項1ないし3の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項5】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ1.2.1)において、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延(disclosing delay)などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、
前記のステップ1.2.2)において、配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布することを特徴とする請求項4に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項6】
前記のステップ2.1)において、ネットワークが構築された後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行うことを特徴とする請求項1ないし5の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項7】
前記の予備共有鍵による認証過程は、
a) ノードAは乱数 NAを生成してノードBに送信し、
b)ノードBは乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にセッション鍵SKを用いてメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、
c)ノードAは、まず、メッセージにおける乱数 NBがステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、ノードAはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信することを含み、
ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示すことを特徴とする請求項6に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項8】
前記のステップ2.2)において、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証することを特徴とする請求項1ないし7の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項9】
μTESLAブロードキャストメッセージ認証方法を採用し、前記の、ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証することは、ブロードキャストノードがブロードキャストメッセージ認証鍵チェンにおける、ある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、予め設定されたブロードキャストメッセージ認証鍵の公開遅延が行われた後に、ブロードキャストノードがKiをブロードキャストメッセージ受信ノードに送信し、受信ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証することを含むことを特徴とする請求項8に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項10】
前記のステップ3)は、
3.1 )ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行うことを含むことを特徴とする請求項1ないし9の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項11】
前記のステップ3.2)におけるマルチキャストセッション鍵の合意のステップは、
a ) マルチキャストノードはマルチキャストセッション鍵MSKを生成し、
b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答することを含むことを特徴とする請求項10に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項12】
前記ノードは、センサーネットワークにおける基地局、クラスタノード 、汎用ノードであることを特徴とする請求項1ないし11の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項13】
配置サーバとノードとを含み、前記ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、前記配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、前記ノードは、認証とセッション鍵の合意を行い、但し、前記ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、前記ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、前記マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、前記マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理することを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合システム。
【請求項1】
1)鍵の予備配布を行い、即ち、
1.1 ) ネットワークを構築する前に、ノード間のセキュリティ接続を確立するための通信鍵をノードに予備配布する通信鍵の予備配布を行い、
1.2 ) ネットワークを構築する前に、ブロードキャストメッセージを認証するための初期鍵をブロードキャストメッセージ受信ノードに予備配布する初期ブロードキャストメッセージ認証鍵の予備配布を行い、
2) 認証を行い、即ち、
2.1 ) ネットワークを構築した後に、通信ノードは通信する前に、相手の身分の正当性を認証するノード身分認証を行い、
2.2 )ネットワークを構築した後に、ネットワークにブロードキャストが存在する時に、ブロードキャストメッセージ受信ノードはブロードキャストメッセージの正当性を認証するブロードキャストメッセージ認証を行い、
3 ) ノードはセッション鍵の合意を行い、即ち、
ノード身分認証が成功した後に、ノード身分認証の過程の結果に基づいて、ノードの間でセッション鍵を合意して生成することを含むことを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項2】
前記のステップ1.1)は、
1.1.1 ) ネットワークを構築する前に、ネットワークの規模に基づいて鍵プールを生成し、
1.1.2 )ネットワークにおけるノードの数および所望するネットワークの接続性に基づいて、すべてのノードに鍵を予備配布すること、
を含むことを特徴とする請求項1に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項3】
基本的なランダム鍵予備配布の方法を採用し、前記のステップ1.1.1 )において、センサーネットワークを構築する前に、配置サーバは、まず、鍵の総数がPの鍵プールおよび鍵プールにおけるすべての鍵の鍵フラグを生成し、
前記ステップ1.1.2 )において、ネットワークにおけるノードの数、所望するネットワークの接続性およびノードの所望する近隣ノードの数に基づいて、ノードごとに鍵プールからk個の異なる鍵をランダムに選択して鍵チェンを構成して、当該ノードにロードし、ただし、k<<P であることを特徴とする請求項2に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項4】
前記のステップ1.2)は、
1.2.1) ネットワークを構築する前に、配置サーバはネットワークの規模およびブロードキャストノードの特徴に基づいて、ブロードキャストメッセージ認証鍵チェンを生成し、
1.2.2 ) 配置サーバはブロードキャストメッセージ認証鍵チェンにおける初期鍵を、すべてのブロードキャストメッセージ受信ノードに予備配布することを含むことを特徴とする請求項1ないし3の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項5】
μTESLAブロードキャストメッセージ認証方法を採用し、前記のステップ1.2.1)において、ネットワークを構築する前に、配置サーバはブロードキャストノードの生存期間、ブロードキャストメッセージ認証鍵の公開遅延(disclosing delay)などのパラーメータに基づいて、ブロードキャストメッセージを認証するための一方向ハッシュチェン、即ち、ブロードキャストメッセージ認証鍵チェンを生成し、
前記のステップ1.2.2)において、配置サーバはブロードキャストメッセージ認証鍵チェンを、ブロードキャストノードに配布し、当該鍵チェンにおけるチェンヘッド鍵を、すべてのブロードキャストメッセージ受信ノードに配布することを特徴とする請求項4に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項6】
前記のステップ2.1)において、ネットワークが構築された後に、ノード通信の前に、ノードの間で共有鍵を確立してから、共有鍵に基づいて予備共有鍵による認証を行うことを特徴とする請求項1ないし5の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項7】
前記の予備共有鍵による認証過程は、
a) ノードAは乱数 NAを生成してノードBに送信し、
b)ノードBは乱数NBを生成し、ノードAとのセッション鍵SK=F(PSK, NB||NA)を算出し、その後にセッション鍵SKを用いてメッセージ認証コードMAC1=H (SK, NB||NA)を生成し、メッセージNB||NA||MAC1を構成してノードAに送信し、
c)ノードAは、まず、メッセージにおける乱数 NBがステップa)でのノードBに送信した乱数と一致するか否かをチェックし、一致しない場合に、認証を終了し、一致する場合にノードBとのセッション鍵SK=F(PSK, NB||NA)を算出し、SKを利用して認証コードMAC2=H(SK,ΝΒ||ΝΑ)を生成し、MAC2=MAC1の場合に、ノードAはMAC3=H(SK,ΝΒ)を算出し、メッセージNB||MAC3を構成してノードBに送信することを含み、
ただし、前記PSKは予備共有鍵を示し、Fは鍵生成アルゴリズムを示し、Hは一方向ハッシュ関数を示すことを特徴とする請求項6に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項8】
前記のステップ2.2)において、ネットワークにブロードキャストが存在する場合に、ノードは、予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証することを特徴とする請求項1ないし7の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項9】
μTESLAブロードキャストメッセージ認証方法を採用し、前記の、ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいてブロードキャストメッセージの正当性を認証することは、ブロードキャストノードがブロードキャストメッセージ認証鍵チェンにおける、ある鍵Kiを利用して、ブロードキャストすべきメッセージに対してMAC演算を行い、ブロードキャストメッセージをMAC値とともにブロードキャストメッセージ受信ノードに送信し、予め設定されたブロードキャストメッセージ認証鍵の公開遅延が行われた後に、ブロードキャストノードがKiをブロードキャストメッセージ受信ノードに送信し、受信ノードが予備配布した初期ブロードキャストメッセージ認証鍵に基づいて、まずKiの有効性を検証し、その後にKiに基づいてブロードキャストメッセージのMAC値の正当性を検証することにより、ブロードキャストメッセージの正当性を検証することを含むことを特徴とする請求項8に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項10】
前記のステップ3)は、
3.1 )ノードの間にポイントツーポイントの通信が必要する場合に、認証過程の結果に基づいて、ノードの間でユニキャストセッション鍵の合意を行い、
3.2 ) ノードの間に一対複数の通信が必要する場合に、認証過程およびユニキャストセッション鍵の合意の結果に基づいて、ノードの間でマルチキャストセッション鍵の合意を行うことを含むことを特徴とする請求項1ないし9の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項11】
前記のステップ3.2)におけるマルチキャストセッション鍵の合意のステップは、
a ) マルチキャストノードはマルチキャストセッション鍵MSKを生成し、
b ) マルチキャストメッセージ受信ノードとの間で生成したユニキャストセッション鍵を利用して、MSKを暗号化してマルチキャストメッセージ受信ノードに送信し、マルチキャストメッセージ受信ノードはMSKを保存してマルチキャストノードに応答することを含むことを特徴とする請求項10に記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項12】
前記ノードは、センサーネットワークにおける基地局、クラスタノード 、汎用ノードであることを特徴とする請求項1ないし11の何れかに記載のセンサーネットワーク認証と鍵管理メカニズムとの統合方法。
【請求項13】
配置サーバとノードとを含み、前記ノードは、ブロードキャストノードと、ブロードキャストメッセージ受信ノードと、マルチキャストメッセージ受信ノードと、マルチキャストノードとを含み、前記配置サーバは、通信鍵と初期ブロードキャストメッセージ認証鍵をノードに予備配布し、前記ノードは、認証とセッション鍵の合意を行い、但し、前記ブロードキャストノードはブロードキャストメッセージをブロードキャストメッセージ受信ノードに送信し、前記ブロードキャストメッセージ受信ノードはブロードキャストノードのブロードキャストメッセージを受信して処理し、前記マルチキャストノードはマルチキャストメッセージをマルチキャストメッセージ受信ノードに送信し、前記マルチキャストメッセージ受信ノードはマルチキャストノードのマルチキャストメッセージを受信して処理することを特徴とするセンサーネットワーク認証と鍵管理メカニズムとの統合システム。
【図1】
【公表番号】特表2012−533237(P2012−533237A)
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2012−519869(P2012−519869)
【出願日】平成21年12月29日(2009.12.29)
【国際出願番号】PCT/CN2009/076173
【国際公開番号】WO2011/006341
【国際公開日】平成23年1月20日(2011.1.20)
【出願人】(510113335)西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 (9)
【Fターム(参考)】
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願日】平成21年12月29日(2009.12.29)
【国際出願番号】PCT/CN2009/076173
【国際公開番号】WO2011/006341
【国際公開日】平成23年1月20日(2011.1.20)
【出願人】(510113335)西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 (9)
【Fターム(参考)】
[ Back to top ]