1.本发明涉及工业物联网技术,尤其涉及一种以软件定义网络(softwaredefinenetworking,sdn)为基础的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体。
背景技术:
::2.工业物联网(industrialinternetofthings,iiot)是属于实现物联网(iot)概念于精进工业生产效率的一项应用。工业物联网是整合各类型传感器和控制器、无线传输、云端运算和人工智能(ai)分析等技术,融入到工业生产过程各个环节,从而大幅提高制造效率和降低生产成本,最终实现将传统工业提升到智能化的新阶段。工业物联网结合虚实融合系统(cyberphysicalsystem,cps),实现智能制造和智能工厂,即是工业4.0。3.工业物联网(iiot)的基础架构层(infrastructurelayer)是由大量的传感器(sensor)和控制器(actuator)所组成的无线感测网络,而目前的传感器和控制器均缺乏可以依据不同应用需求及时调整设定参数的能力。此外,传感器或是控制器均是由电池供电,一个传感器的电池的寿命终了,将会影响整个无线感测网络和生产流程。技术实现要素:4.鉴于以上内容,有必要提供一种无线感测节点的安全管理方法、电子装置及计算机可读存储媒体,不需要大量运算资源并且可以提升无线感测节点的抗攻击能力。5.本发明实施例提供一种感测节点安全管理方法,包括:通过加入感测节点发送认证请求信息给认证服务器;当该认证服务器根据该认证请求信息确认该加入感测节点的身分后,通过该认证服务器传送认证确认信息给该加入感测节点;通过该加入感测节点产生第一随机密数与楕圆加密算法的基础点,根据该第一随机密数与该基础点计算信息确认码,并传送认证请求给该认证服务器;通过该认证服务器验证产生认证服务器的第二随机密数与该加入感测节点的隐式凭证,根据该认证服务器的第一私钥和哈希函数产生该加入感测节点的隐式凭证的密文并计算该信息确认码,并传送认证回复给该加入感测节点;通过该加入感测节点产生第二私钥与公钥,根据该公钥与多个交握程序中信息计算该信息确认码,并传送完成完成信息给该认证服务器;通过该认证服务器计算该加入感测节点的该公钥,验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的该公钥和该些交握程序中的信息计算该信息确认码,并传送该完成信息给该加入感测节点;及通过该加入感测节点验证该信息确认码以完成对该认证服务器的认证。6.本发明实施例还提供一种电子装置,其特征在于,包括初始化模块、安全管理模块与拓朴控制模块。该初始化模块用于初始化所有注册的感测节点的openflow表与配置。该安全管理模块用于对所述感测节点执行感测节点的安全管理方法。该拓朴控制模块用于从所述感测节点中选择部分感测节点建立优化无线感测网络,通知所述感测节点中剩余的感测节点进入睡眠状态,及更新所述注册的感测节点的openflow表与配置。7.本发明实施例还提供一种计算机可读存储媒体,该计算机可读存储媒体上存储有计算机程序,该计算机程序被执行时实现如前述的感测节点安全管理方法的步骤。8.本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ecc),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。附图说明9.图1是本发明实施例的无线感测节点的管理架构图。10.图2是本发明实施例的无线感测节点的管理方法的步骤流程图。11.图3是本发明实施例无线感测节点的安全管理方法的步骤流程图。12.图4系显示本发明实施例的无线感测结点的拓扑控制(topologycontrol)的示意图。13.图5系显示本发明实施例的电子装置的硬件架构示意图。14.图6系显示本发明实施例的电子装置的功能方块图。15.主要元件符号说明16.layer)110、控制层(controllayer)120与应用层(applicationlayer)130。本发明实施例的无线感测节点的管理架构藉由sdn架构分离感测节点的控制层120和物理层110(又称数据传输层(datalayer)),在核心网络的控制层120实现感测节点的装置管理和拓朴管理,而数据传输层110的感测节点负责搜集和传送资料。29.数据传输层110至少包含制程设备1111-1113、传感器节点1121-1123、无线存取点(accesspoint,ap)汇聚节点(sinknode)1131与1132及交换机/路由器1141与1142。传感器节点1121-1123负责资料采集制程设备1111-1113的感测数据,并经由无线ap汇聚节点1131与1132转送至交换机/路由器1141与1142,再经由交换机/路由器1141与1142传送到控制层120的sdn控制器1210。30.sdn控制器1210透过openflow协议传送控制指令和流程表(flowtable)至感测节点1121-1123,无线ap汇聚节点1131与1132提供较大的网络传送带宽,汇集大量的感测数据并转送至控制层120进行运算分析。31.控制层120是sdn工业物联网的核心层,sdn控制器1210透过北向接口(northboundinterface)」接收应用层130的指令和回传执行结果,通过拓朴与装置管理器(topology&devicemanager)1220与排程引擎1230过透南向接口(southboundinterface)提供装置管理、网络拓扑管理和感测节点的睡眠排程管理等功能,并且经由拓朴与装置管理器220,透过侦测感测节点1121-1123周遭节点的电量状态,决定感测节点1121-1123是否有进入运行或是休眠模式,以节省感测节点1121-1123的电量并且动态调整无线感测网络的拓朴状态,进而提升无线感测网络的可靠性和弹性。32.应用层130提供应用程序编程接口(applicationprogramminginterface,api)让网络管理人员或开发者可用于设计各种创新应用,例如,设备故障监视、设备利用率监控和产品制造状态监控。此外,开发人员可以通过定义客制化的数据集合搜集所需要的数据,以加速新应用程序的设计、传输和处理。通过应用层,可以共享网络和硬件资源、优化系统性能,并降低工业物联网的新应用开发成本。33.图2是本发明实施例的无线感测节点的管理方法的步骤流程图,应用于电子装置中。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。34.步骤s101,sdn控制器初始化所有注册的无线感测节点(wirelesssensornodes)的openflow表。35.步骤s102,拓朴与装置管理器1220初始化所有注册的无线感测节点的配置(configurations)。36.步骤s103,对所述无线感测节点执行感测节点的安全管理方法。37.步骤s104,从所述无线感测节点中选择必要的无线感测节点建立优化无线感测网络(wirelesssensornetwork)。38.步骤s105,通知所述无线感测节点中剩余的无线感测节点进入睡眠状态。39.步骤s106,sdn控制器1210更新所有注册的无线感测节点的openflow表。40.步骤s107,拓朴与装置管理器1220更新所有注册的无线感测节点的配置。41.步骤s108,无线感测节点在该优化无线感测网络中持续收集与传送数据。42.步骤s109,判断是否侦测到新注册或故障的无线感测节点。若否,则回到步骤s108。entry)管理的代理人至少包括监控与控制代理人(monitor&controlagent)与openflow代理人。56.监控与控制代理人执行从控制层120所传送的网络拓朴管理命令,例如,控制无线感测节点的无线传输功率、启动感测节点或是进入休眠状态,接收各种不同感测节点的参数控制,以及立即回报异常状态。57.openflow代理人使用openflow协议执行控制层200制定的数据传输规则管理,可弹性地依据不同应用的需求,实时新增或删除数据传输规则,以优化每个无线感测节点的数据传送效率。58.图5系显示本发明实施例的电子装置的硬件架构示意图。电子装置200,但不仅限于,可通过系统总线相互通信连接处理器210、内存220以及无线感测节点的安全管理系统230,图5仅示出了具有组件210-230的电子装置200,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。59.所述内存220至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型内存(例如,sd或dx内存等)、随机访问内存(ram)、静态随机访问内存(sram)、只读存储器(rom)、电可擦除可程序设计只读存储器(eeprom)、可程序设计只读存储器(prom)、磁性内存、磁盘、光盘等。在一些实施例中,所述内存220可以是所述电子装置10的内部存储单元,例如电子装置200的硬盘或内存。在另一些实施例中,所述内存也可以是所述电子装置200的外部存储设备,例如所述电子装置200上配备的插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)等。当然,所述内存220还可以既包括所述电子装置200的内部存储单元也包括其外部存储设备。本实施例中,所述内存220通常用于存储安装于所述电子装置200的操作系统和各类应用软件,例如无线感测节点的安全管理系统230的程序代码等。此外,所述内存220还可以用于暂时地存储已经输出或者将要输出的各类数据。60.所述处理器210在一些实施例中可以是中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。所述处理器210通常用于控制所述电子装置200的总体操作。本实施例中,所述处理器210用于运行所述内存220中存储的程序代码或者处理数据,例如,运行所述无线感测节点的安全管理系统230等。61.需要说明的是,图5仅为举例说明电子装置200。在其他实施例中,电子装置200也可以包括更多或者更少的组件,或者具有不同的组件配置。62.图6系显示本发明实施例的电子装置的功能方块图,其用于执行无线感测节点的安全管理方法。本发明实施例的无线感测节点的安全管理方法可由存储媒体中的计算机程序来实现,例如,电子装置200中的内存220。当实现本发明方法的计算机程序由处理器210加载到内存220时,驱动行装置200的处理器210执行本发明实施例的无线感测节点的安全管理方法。63.本发明实施例的电子装置200包括初始化模块310、安全管理模块320与拓朴控制模块330。电子装置200可能是前述的加入感测节点。64.初始化模块310初始化所有注册的无线感测节点的openflow表,并且初始化所有注册的无线感测节点的配置。安全管理模块320执行感测节点的安全管理方法。65.拓朴控制模块330选择必要的感测节点建立优化无线感测网络,通知多余的无线感测节点进入睡眠状态,更新所有注册的无线感测节点的openflow表,更新所有注册的无线感测节点的配置,取得无线感测节点在该优化无线感测网络中持续收集的数据,判断是否侦测到新注册或故障的无线感测节点,并且当侦测到新注册或故障的无线感测节点,唤醒所有进入睡眠状态的无线感测节点。66.感测节点的安全管理方法说明如下:67.安全管理模块320发送认证请求信息clienthello给认证服务器(authenticationserver)(未显示),该认证请求信息clienthello包括该加入感测节点的身分(identity)和支持的加密套件(ciphersuites)。该认证在该服务器确认该加入感测节点的身分后,接收该服务器传送的认证确认信息serverhello,该认证确认信息serverhello包括支持的加密套件。68.安全管理模块320产生随机密数(randomsecretinteger)ru与楕圆加密算法(ecc)的基础点ru=rug,根据该随机密数ru与该基础点ru=rug计算信息确认码(messageauthenticationcode,mac)macall(u),并传送认证请求certificaterequest给该认证服务器,该certificaterequest信息包括该基础点与该信息确认码macall(u)。69.该认证服务器验证该信息确认码macall(u)以确认信息的完整性,产生认证服务器的随机密数rca与该加入感测节点的隐式凭证(implicitcertificate)certu=ru rca·g,根据该认证服务器的私钥qca和哈希函数h产生该加入感测节点的隐式凭证的密文(signature),s=qca rca·h(certu,u)并计算该信息确认码macall(u)。安全管理模块320接收该认证服务器传送的认证回复certificateresponse。70.步骤s205,安全管理模块320验证该信息确认码以确认信息的完整性,产生私钥qu=s ru·(certu,u)与公钥qu=qu·g,根据该公钥qu和前面四个交握(handshaking)程序中传送给该认证服务器的两个信息计算该信息确认码macall(u),并传送带有macall(u)的完成信息finished给该认证服务器。71.该认证服务器计算该加入感测节点的公钥qu=qca certu·h(certu,u),验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的公钥qu和前面交握程序中送给该加入感测节点的两个信息计算该信息确认码macall(u)。安全管理模块320接收该认证服务器传送的macall(u)的完成信息finished,并验证该信息确认码以完成对认证服务器的认证。72.电子装置200也可能是前述的认证服务器,其用于执行相对于该加入感测点的操作。73.所述电子装置200集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁盘、光盘、计算机内存、只读存储器、随机存取内存、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。74.可以理解的是,以上所描述的模块划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本技术各个实施例中的各功能模块可以集成在相同处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在相同单元中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。75.虽然基于x.509凭证格式的公钥基础建设架构(publickeyinfrastructure,pki)认证具有良好的安全性,也常用于一般网络认证和数据传送的加解密,例如,安全套接字层(securesocketslayer,ssl)和传输层安全性协议(transportlayersecurity,tls)。然而,pki需要较多的加解密运算资源、凭证储存空间和较大的网络传送带宽,并不适合用于运算资源和储存空间都非常有限的物联网传感器中。76.本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ecc),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。77.对本领域的普通技术人员来说,可以根据本发明实施例提供的技术方案和技术构思结合生成的实际需要做出其他相应的改变或调整,而这些改变和调整都应属于本发明权利要求的保护范围。当前第1页12当前第1页12
背景技术:
::2.工业物联网(industrialinternetofthings,iiot)是属于实现物联网(iot)概念于精进工业生产效率的一项应用。工业物联网是整合各类型传感器和控制器、无线传输、云端运算和人工智能(ai)分析等技术,融入到工业生产过程各个环节,从而大幅提高制造效率和降低生产成本,最终实现将传统工业提升到智能化的新阶段。工业物联网结合虚实融合系统(cyberphysicalsystem,cps),实现智能制造和智能工厂,即是工业4.0。3.工业物联网(iiot)的基础架构层(infrastructurelayer)是由大量的传感器(sensor)和控制器(actuator)所组成的无线感测网络,而目前的传感器和控制器均缺乏可以依据不同应用需求及时调整设定参数的能力。此外,传感器或是控制器均是由电池供电,一个传感器的电池的寿命终了,将会影响整个无线感测网络和生产流程。技术实现要素:4.鉴于以上内容,有必要提供一种无线感测节点的安全管理方法、电子装置及计算机可读存储媒体,不需要大量运算资源并且可以提升无线感测节点的抗攻击能力。5.本发明实施例提供一种感测节点安全管理方法,包括:通过加入感测节点发送认证请求信息给认证服务器;当该认证服务器根据该认证请求信息确认该加入感测节点的身分后,通过该认证服务器传送认证确认信息给该加入感测节点;通过该加入感测节点产生第一随机密数与楕圆加密算法的基础点,根据该第一随机密数与该基础点计算信息确认码,并传送认证请求给该认证服务器;通过该认证服务器验证产生认证服务器的第二随机密数与该加入感测节点的隐式凭证,根据该认证服务器的第一私钥和哈希函数产生该加入感测节点的隐式凭证的密文并计算该信息确认码,并传送认证回复给该加入感测节点;通过该加入感测节点产生第二私钥与公钥,根据该公钥与多个交握程序中信息计算该信息确认码,并传送完成完成信息给该认证服务器;通过该认证服务器计算该加入感测节点的该公钥,验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的该公钥和该些交握程序中的信息计算该信息确认码,并传送该完成信息给该加入感测节点;及通过该加入感测节点验证该信息确认码以完成对该认证服务器的认证。6.本发明实施例还提供一种电子装置,其特征在于,包括初始化模块、安全管理模块与拓朴控制模块。该初始化模块用于初始化所有注册的感测节点的openflow表与配置。该安全管理模块用于对所述感测节点执行感测节点的安全管理方法。该拓朴控制模块用于从所述感测节点中选择部分感测节点建立优化无线感测网络,通知所述感测节点中剩余的感测节点进入睡眠状态,及更新所述注册的感测节点的openflow表与配置。7.本发明实施例还提供一种计算机可读存储媒体,该计算机可读存储媒体上存储有计算机程序,该计算机程序被执行时实现如前述的感测节点安全管理方法的步骤。8.本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ecc),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。附图说明9.图1是本发明实施例的无线感测节点的管理架构图。10.图2是本发明实施例的无线感测节点的管理方法的步骤流程图。11.图3是本发明实施例无线感测节点的安全管理方法的步骤流程图。12.图4系显示本发明实施例的无线感测结点的拓扑控制(topologycontrol)的示意图。13.图5系显示本发明实施例的电子装置的硬件架构示意图。14.图6系显示本发明实施例的电子装置的功能方块图。15.主要元件符号说明16.layer)110、控制层(controllayer)120与应用层(applicationlayer)130。本发明实施例的无线感测节点的管理架构藉由sdn架构分离感测节点的控制层120和物理层110(又称数据传输层(datalayer)),在核心网络的控制层120实现感测节点的装置管理和拓朴管理,而数据传输层110的感测节点负责搜集和传送资料。29.数据传输层110至少包含制程设备1111-1113、传感器节点1121-1123、无线存取点(accesspoint,ap)汇聚节点(sinknode)1131与1132及交换机/路由器1141与1142。传感器节点1121-1123负责资料采集制程设备1111-1113的感测数据,并经由无线ap汇聚节点1131与1132转送至交换机/路由器1141与1142,再经由交换机/路由器1141与1142传送到控制层120的sdn控制器1210。30.sdn控制器1210透过openflow协议传送控制指令和流程表(flowtable)至感测节点1121-1123,无线ap汇聚节点1131与1132提供较大的网络传送带宽,汇集大量的感测数据并转送至控制层120进行运算分析。31.控制层120是sdn工业物联网的核心层,sdn控制器1210透过北向接口(northboundinterface)」接收应用层130的指令和回传执行结果,通过拓朴与装置管理器(topology&devicemanager)1220与排程引擎1230过透南向接口(southboundinterface)提供装置管理、网络拓扑管理和感测节点的睡眠排程管理等功能,并且经由拓朴与装置管理器220,透过侦测感测节点1121-1123周遭节点的电量状态,决定感测节点1121-1123是否有进入运行或是休眠模式,以节省感测节点1121-1123的电量并且动态调整无线感测网络的拓朴状态,进而提升无线感测网络的可靠性和弹性。32.应用层130提供应用程序编程接口(applicationprogramminginterface,api)让网络管理人员或开发者可用于设计各种创新应用,例如,设备故障监视、设备利用率监控和产品制造状态监控。此外,开发人员可以通过定义客制化的数据集合搜集所需要的数据,以加速新应用程序的设计、传输和处理。通过应用层,可以共享网络和硬件资源、优化系统性能,并降低工业物联网的新应用开发成本。33.图2是本发明实施例的无线感测节点的管理方法的步骤流程图,应用于电子装置中。根据不同的需求,所述流程图中步骤的顺序可以改变,某些步骤可以省略。34.步骤s101,sdn控制器初始化所有注册的无线感测节点(wirelesssensornodes)的openflow表。35.步骤s102,拓朴与装置管理器1220初始化所有注册的无线感测节点的配置(configurations)。36.步骤s103,对所述无线感测节点执行感测节点的安全管理方法。37.步骤s104,从所述无线感测节点中选择必要的无线感测节点建立优化无线感测网络(wirelesssensornetwork)。38.步骤s105,通知所述无线感测节点中剩余的无线感测节点进入睡眠状态。39.步骤s106,sdn控制器1210更新所有注册的无线感测节点的openflow表。40.步骤s107,拓朴与装置管理器1220更新所有注册的无线感测节点的配置。41.步骤s108,无线感测节点在该优化无线感测网络中持续收集与传送数据。42.步骤s109,判断是否侦测到新注册或故障的无线感测节点。若否,则回到步骤s108。entry)管理的代理人至少包括监控与控制代理人(monitor&controlagent)与openflow代理人。56.监控与控制代理人执行从控制层120所传送的网络拓朴管理命令,例如,控制无线感测节点的无线传输功率、启动感测节点或是进入休眠状态,接收各种不同感测节点的参数控制,以及立即回报异常状态。57.openflow代理人使用openflow协议执行控制层200制定的数据传输规则管理,可弹性地依据不同应用的需求,实时新增或删除数据传输规则,以优化每个无线感测节点的数据传送效率。58.图5系显示本发明实施例的电子装置的硬件架构示意图。电子装置200,但不仅限于,可通过系统总线相互通信连接处理器210、内存220以及无线感测节点的安全管理系统230,图5仅示出了具有组件210-230的电子装置200,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。59.所述内存220至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型内存(例如,sd或dx内存等)、随机访问内存(ram)、静态随机访问内存(sram)、只读存储器(rom)、电可擦除可程序设计只读存储器(eeprom)、可程序设计只读存储器(prom)、磁性内存、磁盘、光盘等。在一些实施例中,所述内存220可以是所述电子装置10的内部存储单元,例如电子装置200的硬盘或内存。在另一些实施例中,所述内存也可以是所述电子装置200的外部存储设备,例如所述电子装置200上配备的插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)等。当然,所述内存220还可以既包括所述电子装置200的内部存储单元也包括其外部存储设备。本实施例中,所述内存220通常用于存储安装于所述电子装置200的操作系统和各类应用软件,例如无线感测节点的安全管理系统230的程序代码等。此外,所述内存220还可以用于暂时地存储已经输出或者将要输出的各类数据。60.所述处理器210在一些实施例中可以是中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。所述处理器210通常用于控制所述电子装置200的总体操作。本实施例中,所述处理器210用于运行所述内存220中存储的程序代码或者处理数据,例如,运行所述无线感测节点的安全管理系统230等。61.需要说明的是,图5仅为举例说明电子装置200。在其他实施例中,电子装置200也可以包括更多或者更少的组件,或者具有不同的组件配置。62.图6系显示本发明实施例的电子装置的功能方块图,其用于执行无线感测节点的安全管理方法。本发明实施例的无线感测节点的安全管理方法可由存储媒体中的计算机程序来实现,例如,电子装置200中的内存220。当实现本发明方法的计算机程序由处理器210加载到内存220时,驱动行装置200的处理器210执行本发明实施例的无线感测节点的安全管理方法。63.本发明实施例的电子装置200包括初始化模块310、安全管理模块320与拓朴控制模块330。电子装置200可能是前述的加入感测节点。64.初始化模块310初始化所有注册的无线感测节点的openflow表,并且初始化所有注册的无线感测节点的配置。安全管理模块320执行感测节点的安全管理方法。65.拓朴控制模块330选择必要的感测节点建立优化无线感测网络,通知多余的无线感测节点进入睡眠状态,更新所有注册的无线感测节点的openflow表,更新所有注册的无线感测节点的配置,取得无线感测节点在该优化无线感测网络中持续收集的数据,判断是否侦测到新注册或故障的无线感测节点,并且当侦测到新注册或故障的无线感测节点,唤醒所有进入睡眠状态的无线感测节点。66.感测节点的安全管理方法说明如下:67.安全管理模块320发送认证请求信息clienthello给认证服务器(authenticationserver)(未显示),该认证请求信息clienthello包括该加入感测节点的身分(identity)和支持的加密套件(ciphersuites)。该认证在该服务器确认该加入感测节点的身分后,接收该服务器传送的认证确认信息serverhello,该认证确认信息serverhello包括支持的加密套件。68.安全管理模块320产生随机密数(randomsecretinteger)ru与楕圆加密算法(ecc)的基础点ru=rug,根据该随机密数ru与该基础点ru=rug计算信息确认码(messageauthenticationcode,mac)macall(u),并传送认证请求certificaterequest给该认证服务器,该certificaterequest信息包括该基础点与该信息确认码macall(u)。69.该认证服务器验证该信息确认码macall(u)以确认信息的完整性,产生认证服务器的随机密数rca与该加入感测节点的隐式凭证(implicitcertificate)certu=ru rca·g,根据该认证服务器的私钥qca和哈希函数h产生该加入感测节点的隐式凭证的密文(signature),s=qca rca·h(certu,u)并计算该信息确认码macall(u)。安全管理模块320接收该认证服务器传送的认证回复certificateresponse。70.步骤s205,安全管理模块320验证该信息确认码以确认信息的完整性,产生私钥qu=s ru·(certu,u)与公钥qu=qu·g,根据该公钥qu和前面四个交握(handshaking)程序中传送给该认证服务器的两个信息计算该信息确认码macall(u),并传送带有macall(u)的完成信息finished给该认证服务器。71.该认证服务器计算该加入感测节点的公钥qu=qca certu·h(certu,u),验证该信息确认码以完成该加入感测节点的认证,根据该加入感测节点的公钥qu和前面交握程序中送给该加入感测节点的两个信息计算该信息确认码macall(u)。安全管理模块320接收该认证服务器传送的macall(u)的完成信息finished,并验证该信息确认码以完成对认证服务器的认证。72.电子装置200也可能是前述的认证服务器,其用于执行相对于该加入感测点的操作。73.所述电子装置200集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁盘、光盘、计算机内存、只读存储器、随机存取内存、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。74.可以理解的是,以上所描述的模块划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本技术各个实施例中的各功能模块可以集成在相同处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在相同单元中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。75.虽然基于x.509凭证格式的公钥基础建设架构(publickeyinfrastructure,pki)认证具有良好的安全性,也常用于一般网络认证和数据传送的加解密,例如,安全套接字层(securesocketslayer,ssl)和传输层安全性协议(transportlayersecurity,tls)。然而,pki需要较多的加解密运算资源、凭证储存空间和较大的网络传送带宽,并不适合用于运算资源和储存空间都非常有限的物联网传感器中。76.本发明实施例的无线感测节点的安全管理方法、电子装置及计算机可读存储媒体使用椭圆加密算法(ecc),只需少量运算资源即可产生公钥,并加强其数据传送的完整性,以认证感测节点和产生只需少量储存空间的「隐式凭证」,作为加解密传送数据时所需的私密和公钥。77.对本领域的普通技术人员来说,可以根据本发明实施例提供的技术方案和技术构思结合生成的实际需要做出其他相应的改变或调整,而这些改变和调整都应属于本发明权利要求的保护范围。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
