基于wi-sun网络的接入加密验证方法、装置与电子设备与流程

1.本发明属于配电数据采集技术领域，更具体地，涉及一种基于wi-sun网络的接入加密验证方法、装置与电子设备。


背景技术：

2.wi-sun中文翻译为智能无线网络，是一系列基于ieee 802.15.4为底层协议的标准无线通信网络的统称，该标准主要包含wi-sun fan(wireless utility field area network，无线公共端场域网)和wi-sun han(wireless home area network，无线家庭端场域网)，其中wi-sun han主要使用在家庭应用场景，利用中心节点和家庭各种设备进行一对一或一对多的通信，wi-sun fan主要使用在户外场景，多应用在需要多跳传输的智能表计，智慧路灯等密集的城市网络，本发明主要是应用在户外场景的电力数据采集领域，因此采用wi-sun fan的标准。针对wi-sun fan，其协议栈如图1所示。
3.从图中可以看到wi-sun的协议栈结构，在网络层由ipv6(internet protocol version 6，互联网协议第6版)，icmpv6(internet control message protocol version 6，internet控制报文协议第6版)，rpl(ipv6 routing protocol for low-power and lossy networks，低功率和有损网络的ipv6路由协议)，6lowpan(ipv6 low power wireless personal area network，ipv6低功率无线个人区域网络)各子协议组成。主要作用是作为ipv6和ieee 802.15.4的适配层，将ipv6的数据首部通过协议压缩分组后添加到ieee 802.15.4的载荷中，实现在低功耗无线广域网中使用ipv6技术完成网络层到数据链路层的转换。其中rpl的主要作用是实现wi-sun在低功耗有损网络中的路由机制。
4.如图2所示，rpl建立在lln(low-power and lossy networks，低功耗有损网络)网络中，lln网络不是有线网络那样点到点传输，lln一般没有预先规定好某个发送的节点目标，网络内的节点需要自己去发现其他节点，并根据rpl规则建立通信，rpl把整个网络视为一个dag图(directed acyclic graph，有向无环图)，然后再将这个dag图分割为多个dodag(destination oriented dag，面向目的有向无环图)图，每个dodag图含有一个根节点(出入口，可以接收或发送外网信息)。这些根节点通常会连接到某一主干网上去。主干网络是tcp/ip的复杂网络，整个dag图也被称为rpl instance。
5.在wi-sun协议中使用rpl的非存储模式实现路由机制，rpl非存储模式中，每个dodag的节点中只有根节点存储着dodag中的全量路由信息，而其他节点只存储其父节点的路由信息。
6.在实际wi-sun网络中，一个dodag往往是一个wi-sun fan中边缘上进行实际数据采集，因此在后文中将dodag称为边缘网络，而整个rpl instance就是由多个边缘网络组成。
7.新的节点加入边缘网络时，首先向邻居节点发送dis(dodag information solicitation，dodag信息征集)消息，收到dis消息的邻居节点将自身信息(如rank(一个节点与根的相对位置)、mac(media access control address，以太网地址)等)封装为dio
(dodag information object，dodag信息对象)信息发送回新加入节点，由新加入节点选择一个作为其父节点(上行路由)，之后新加入节点发送dao(destination advertisement object，目标广告对象)消息(包含自己与父节点的距离等消息)给父节点，父节点收到dao消息后会加上自己的信息再传给它的父节点，一直向上传给边缘网络的根节点，再由根节点发送dao-ack(destination advertisement object-acknowledge character，目标广告对象确认字符)给新加入节点，形成下行路由。
8.在wi-sun的边缘网络中，在使用基于密钥的安全机制条件下，通常对于整个边缘网络使用统一的通用密钥，安全性相对不足；在wi-sun的边缘网络中，如何保证每个新加入节点在接入认证和交互通信时都有可靠的安全性，需要结合wi-sun网络的特性做出针对性的设计。


技术实现要素：

9.针对现有技术的以上缺陷或改进需求，本发明提供了一种基于wi-sun网络的接入加密验证方案，采用新的报文加密方式提高wi-sun网络接入的安全性。
10.为实现上述目的，按照本发明的一个方面，提供了一种基于wi-sun网络的接入加密验证方法，包括如下步骤：
11.整个边缘网络中的节点存有统一的通用密钥，此密钥不变化；
12.新加入节点中存有统一通用密钥和特殊的初始化独立密钥，同时将该初始化独立密钥录入边缘网络的根节点，以mac值作为索引；
13.新加入节点在加入边缘网络时，采用统一的通用密钥加密dis消息和解密dio消息，以确定新加入节点的父节点。
14.本发明的一个实施例中，根节点将预存的以新加入节点mac索引的初始化独立密钥下发到下行路径的每个节点，包括新加入节点的父节点及其上行路径上的节点；新加入节点通过初始化独立密钥加密dao消息，并逐级上传到根节点，逐级上传的过程中，各节点均使用此初始化独立密钥进行报文的解密和加密操作，最终至根节点以此初始化独立密钥加密dao-ack报文发送回新加入节点，完成新加入节点接入过程。
15.本发明的一个实施例中，新加入节点完成接入过程后，根节点以新加入节点的ip为索引，周期性生成该新加入节点的运行独立密钥，并将该运行独立密钥存储在根节点和下发到该新加入节点存储，并且存储在各节点的初始化独立密钥老化失效。
16.本发明的一个实施例中，边缘网络的某个节点发送报文时，使用自身的运行独立密钥对报文的应用层进行加密，在根节点接收报文后根据源ip索引查找出该节点的运行独立密钥进行解密，同时对目的ip进行判断，如果目的ip在边缘网络内，则以目的ip为索引，查找对应存储在根节点的运行独立密钥，进行加密发送到边缘网络内对应节点；若目的ip非本边缘网络内节点，则将不加密直接转发至下一跳设备。
17.本发明的一个实施例中，新加入节点加入边缘网络时，采用统一的通用密钥加密dis消息和解密dio消息，以确定新加入节点的父节点，具体包括：
18.新加入节点在加入边缘网络时，首先使用统一通用密钥加密dis消息，向其相邻的邻居节点们发送；
19.邻居节点们接收消息后，使用边缘网络的同一通用密钥解密dis消息，分析后使用
新加入节点的mac作为索引，向根节点请求新加入节点的初始化独立密钥；
20.并且邻居节点们以统一通用密钥加密封装dio消息，发送给新加入节点，由新加入节点选择一个节点作为父节点。
21.按照本发明的另一方面，还提供了一种基于wi-sun网络的接入加密验证装置，包括秘钥协商模块和数据传输模块，其中：
22.所述秘钥协商模块，用于预先存储统一通用密钥和初始化独立密钥，使用统一通用密钥加密dis消息发送到其邻居节点，使用初始化独立密钥加密dao消息发送到选中的父节点，以及接收并刷新运行独立密钥；
23.所述数据传输模块，用于使用本节点的运行独立密钥对报文进行加密并发送，目的为边缘网络内节点或边缘网络外节点。
24.本发明的一个实施例中，所述数据传输模块，还用于通过自身存储的运行独立密钥解密收到的由其他节点发送的报文。
25.本发明的一个实施例中，所述秘钥协商模块，收到新加入节点的dis消息后，还用于使用统一密钥加密dio消息发送到新加入节点；还用于向根节点请求新加入节点的初始化独立密钥，接收并存储初始化独立密钥；所述数据传输模块，收到节点发送的报文后，使用存储的初始化独立密钥解密dao消息并加上自身信息，再以初始化独立密钥加密并发送到上级节点。
26.按照本发明的另一方面，还提供了一种基于wi-sun网络的接入加密验证装置，包括秘钥协商模块和数据传输模块，其中：
27.所述秘钥协商模块，用于预先存储初始化独立密钥；收到相邻节点转发的请求新加入节点的初始化独立密钥消息后，发送存储的初始化独立密钥到路径上的相关请求节点；收到新加入节点的dao消息后，使用初始化独立密钥解密dao消息，记录新加入节点的ip，并使用初始化独立密钥加密dao-ack消息发送到新加入节点；周期性生成新加入节点的运行独立密钥，关联到新加入节点的ip，并发送给新加入节点；
28.所述数据传输模块，用于以源ip为索引，找到存储的运行独立密钥，对报文进行解密；若目的为边缘网络内节点，以目的ip为索引，找到存储的运行独立密钥加密报文并发送；若目的为边缘网络外节点，直接转发报文。
29.按照本发明的另一方面，还提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述基于wi-sun网络的接入加密验证方法。
30.总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有如下有益效果：
31.(1)基于统一密钥、初始化独立密钥、运行独立密钥的报文加密方式，提高了wi-sun网络接入的安全性，降低因统一密钥泄露可能的安全风险；
32.(2)接入认证的2个过程采用不同方式的加密认证，并在接入后采用可周期变化的独立密钥进行通信，提高了wi-sun网络通信的安全性。
附图说明
33.图1为wi-sun fan标准的协议栈示意图；
34.图2为本发明中lln网络的拓扑结构示意图；
35.图3为本发明实施例中新加入节点加入边缘网络的加密接入图示；
36.图4为本发明实施例中新加入节点接入wi-sun边缘网络的加密处理流程图；
37.图5为本发明实施例中节点与其他节点进行加密通信流程图；
38.图6为本发明实施例中同边缘网络内的两个节点的加密通信图示；
39.图7为本发明实施例中基于wi-sun网络的接入加密验证装置的结构示意图。
具体实施方式
40.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
41.实施例1
42.为了解决现有技术存在的问题，如图3所示，本发明提供了一种基于wi-sun网络的接入加密验证方法，包括：
43.整个边缘网络中的节点存有统一的通用密钥，此密钥不变化。
44.新加入节点和边缘网络的根节点存储有以新加入节点的mac为索引的初始化独立密钥，此密钥由安装人员生成注入新加入节点及根节点。
45.新加入节点在加入边缘网络时，采用统一的通用密钥加密dis消息和解密dio消息，以确定新加入节点的父节点；
46.根节点将预存的以新加入节点mac索引的初始化独立密钥下发到下行路径的每个节点，包括新加入节点的父节点及其上行路径上的节点，新加入节点通过初始化独立密钥加密dao消息，并逐级上传到根节点；
47.逐级上传的过程中，各节点均使用此初始化独立密钥进行报文的解密和加密操作，最终至根节点以此初始化独立密钥加密dao-ack报文发送回新加入节点，完成新加入节点接入过程(需要说明的是，在此处新加入节点会向它的邻居节点发送dis消息，所有收到dis消息的邻居都会向根节点请求新加入节点的初始化独立密钥,根节点会向到请求节点路径上的所有节点发送新加入节点的初始化独立密钥)；
48.新加入节点完成接入过程后，根节点会以新加入节点的ip为索引，周期性生成该新加入节点的运行独立密钥，并将该运行独立密钥存储在根节点和下发到该新加入节点存储，并且存储在各节点的初始化独立密钥老化失效。
49.边缘网络的某个节点发送报文时，使用自身的运行独立密钥对报文的应用层进行加密，在根节点接收报文后根据源ip索引查找出该节点的运行独立密钥进行解密，同时对目的ip进行判断，如果目的ip在边缘网络内，则以目的ip为索引，查找对应存储在根节点的运行独立密钥，进行加密发送到边缘网络内对应节点；若目的ip非本边缘网络内节点，则将不加密直接转发至下一跳设备。
50.实施例2
51.本发明实施例中详细说明新加入节点接入过程，包括：
52.(1)需要新加入节点中存有统一通用密钥和特殊的初始化独立密钥，同时将该初始化独立密钥录入边缘网络的根节点，以mac值作为索引。
53.具体地，整个边缘网络中的节点存有统一的通用密钥，此密钥不变化；新加入节点和边缘网络的根节点存储有以新加入节点的mac为索引的初始化独立密钥，此密钥由安装人员生成注入新加入节点及根节点；
54.(2)新加入节点在加入边缘网络时，首先使用统一通用密钥加密dis消息，向其相邻的邻居节点们发送；邻居节点们接收消息后，使用边缘网络的同一通用密钥解密dis消息，分析后使用新加入节点的mac作为索引，向根节点请求新加入节点的初始化独立密钥；并且邻居节点们以统一通用密钥加密封装dio消息，发送给新加入节点，由新加入节点选择一个节点作为父节点。
55.(3)根节点收到新加入节点的邻居节点们发送的初始化独立密钥请求后，根据mac索引找到存储的新加入节点的初始化独立密钥，并根据已有路由将mac索引及初始化独立密钥发送到下行路径上的每个节点，包括新加入节点选中的父节点及其上行路径上的节点。
56.(4)新加入节点使用自身存储的初始化独立密钥加密dao消息，向选中的父节点发送。
57.(5)选中的父节点接收加密后的dao消息，根据源mac找到存储的新加入节点的初始化独立密钥，进行解密，加入自身的信息，再使用该初始化独立密钥加密，上送到该选中的父节点的父节点，逐层操作上送至边缘网络的根节点。
58.(6)根节点接收使用新加入节点的初始化独立密钥加密后的dao消息，生成到新加入节点的路由，并记录新加入节点的ip信息，同时以新加入节点的初始化独立密钥加密dao-ack消息由下行路由路径下发到新加入节点。
59.(7)根节点以新加入节点的ip作为索引，生成新加入节点的运行独立密钥，并将ip索引和生成的运行独立密钥以初始化独立密钥加密后推送到新加入节点上并存储，新加入节点发送和接收消息都使用该运行独立密钥进行加解密，同时，存储在各节点上的初始化独立密钥老化失效。另外，运行独立密钥由根节点定期刷新，每次刷新生成的密钥由之前的密钥加密后发送到对应节点上，以保证运行过程中的安全性。
60.需要说明的是：后续通信只有新加入节点和根节点知晓运行独立密钥，都是新加入节点和根节点直接的直接通信；中间节点仅转发，不加解密报文内容仅源节点、根节点、目的节点进行加解密，在根节点进行运行独立密钥更换加密。
61.实施例3
62.本发明实施例中详细说明节点收发数据过程：
63.(1)某节点发送消息时，使用本节点的运行独立密钥对报文的应用层进行加密，由上行路由转发到根节点。
64.(2)根节点接收报文后，根据报文源ip为索引，找到存储的发送方节点的运行独立密钥，对报文的应用层进行解密。
65.(3)根节点分析报文的目的ip，若在本边缘网络内，则使用对应目的ip为索引，找到接收方节点的运行独立密钥，对报文的应用层进行加密，然后根据下行路由发送到目的
节点，目的节点接收后，发现目的ip为自身，则使用自身存储的运行独立密钥对报文进行解密。根节点分析报文的目的ip，若不在本边缘网络内，则将未加密报文发送至下一跳设备。
66.实施例4
67.如图4所示，为本发明实施例中新加入节点接入wi-sun边缘网络的加密处理流程，包括：
68.s101：新加入节点a中预先存储统一通用密钥和初始化独立密钥a；
69.s102：新加入节点a未来的父节点作为新加入节点a的邻居节点之一已存储有统一通用密钥(边缘网络内的所有节点均存储统一通用密钥)；
70.s103：根节点中预先存储初始化独立密钥a；
71.s104：新加入节点a使用统一通用密钥加密dis消息发送到其邻居节点；
72.s105：新加入节点a未来的父节点(这里新加入节点a的所有邻居节点都会向根节点请求，由新加入节点a自行选择父节点)作为新加入节点a的邻居节点之一向根节点请求新加入节点的初始化独立密钥a(以新加入节点a的mac为索引)；
73.s106：新加入节点a未来的父节点使用统一密钥加密dio消息发送到新加入节点a；
74.s107：在收到s105的请求后，根节点发送存储的初始化独立密钥a到路径上的所有节点(仅下发到对应请求节点路由上的所有节点)；
75.s108：路径上的节点接收并存储初始化独立密钥a；
76.s109：新加入节点a的父节点接收并存储初始化独立密钥a；
77.s110：新加入节点a使用初始化独立密钥a加密dao消息发送到选中的父节点；
78.s111：新加入节点a的父节点使用存储的初始化独立密钥a解密dao消息并加上自身信息，再以初始化独立密钥a加密并发送到上级节点；
79.s112：路径上的节点使用存储的初始化独立密钥a解密dao消息并加上自身信息，再以初始化独立密钥a加密并发送到上级节点；
80.s113：根节点使用初始化独立密钥a解密dao消息，记录新加入节点a的ip，并使用初始化独立密钥a加密dao-ack消息发送到新加入节点a；
81.s114：根节点周期性生成新加入节点a的运行独立密钥aa，关联到新加入节点a的ip，并发送给新加入节点a；
82.s115：新加入节点a接收并刷新运行独立密钥aa。
83.实施例5
84.如图5所示，为本发明实施例中边缘网络中的从节点与其他节点进行加密通信的流程，包括：
85.s201：节点a使用本节点的运行独立密钥aa对报文进行加密并发送，目的为边缘网络内节点；
86.s202：根节点以源ip为索引，找到存储的运行独立密钥aa，对报文进行解密；
87.s203：根节点以目的ip为索引，找到存储的运行独立密钥bb加密报文并发送；
88.s204：目的节点b通过自身存储的运行独立密钥bb解密报文；
89.s205：节点a使用本节点的运行独立密钥aa对报文进行加密并发送，目的为边缘网络外节点；
90.s206：根节点以源ip为索引，找到存储的运行独立密钥aa，对报文进行解密；
91.s207：根节点发现目的ip为边缘网络外节点，直接转发报文。
92.具体地，如图6所示为运行独立密钥使用区域的说明。
93.实施例6
94.进一步地，如图7所示，本发明还提供了一种基于wi-sun网络的接入加密验证装置，包括秘钥协商模块和数据传输模块，其中：
95.所述秘钥协商模块，用于预先存储统一通用密钥和初始化独立密钥，使用统一通用密钥加密dis消息发送到其邻居节点，使用初始化独立密钥加密dao消息发送到选中的父节点，以及接收并刷新运行独立密钥；
96.所述数据传输模块，用于使用本节点的运行独立密钥对报文进行加密并发送，目的为边缘网络内节点或边缘网络外节点。
97.进一步地，所述数据传输模块，还用于通过自身存储的运行独立密钥解密收到的由其他节点发送的报文。
98.进一步地，所述秘钥协商模块，收到新加入节点的dis消息后，还用于使用统一密钥加密dio消息发送到新加入节点；还用于向根节点请求新加入节点的初始化独立密钥，接收并存储初始化独立密钥；所述数据传输模块，收到节点发送的报文后，使用存储的初始化独立密钥解密dao消息并加上自身信息，再以初始化独立密钥加密并发送到上级节点。
99.实施例7
100.进一步地，本发明还提供了一种基于wi-sun网络的接入加密验证装置，包括秘钥协商模块和数据传输模块，其中：
101.所述秘钥协商模块，用于预先存储初始化独立密钥；收到相邻节点转发的请求新加入节点的初始化独立密钥消息后，发送存储的初始化独立密钥到路径上的相关请求节点；收到新加入节点的dao消息后，使用初始化独立密钥解密dao消息，记录新加入节点的ip，并使用初始化独立密钥加密dao-ack消息发送到新加入节点；周期性生成新加入节点的运行独立密钥，关联到新加入节点的ip，并发送给新加入节点；
102.所述数据传输模块，用于以源ip为索引，找到存储的运行独立密钥，对报文进行解密；若目的为边缘网络内节点，以目的ip为索引，找到存储的运行独立密钥加密报文并发送；若目的为边缘网络外节点，直接转发报文。
103.实施例8
104.进一步地，本发明还提供了一种电子设备，包括：
105.至少一个处理器；以及，
106.与所述至少一个处理器通信连接的存储器；其中，
107.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述基于wi-sun网络的接入加密验证方法。
108.本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。