[发明专利]用于网络的节点和用来建立用于网络的分布式安全体系结构的方法

说明书

本发明总的涉及一种用于网络的节点、一种网络、以及一种用来建立用于网络的安全体系结构的方法，具体地包括密钥商定、身份鉴别和分布式接入控制。

普适计算(pervasive computing)将使能创建智能环境(SE)，在其中传感器、致动器、显示器和计算单元将被无缝地嵌入到日常物品中。这样的智能环境将使得人们与这样的系统的交互成为愉悦的感受。

智能环境面临新的安全威胁，这些安全威胁使得用于智能环境的一致的和实用的安全体系结构(SA)的定义十分重要。安全体系结构必须保证基本的安全服务，诸如鉴别和接入控制。一方面，鉴别必须确保入侵者不能例如通过发送虚假命令而与智能环境交互。另一方面，接入控制必须保证经鉴别的用户按照预定义的接入权利来做。现有技术水平，例如缺乏有效的安全体系结构。正如由Cook，Diane；SajalDas(2004)；Smart Environments：Technology，Protocols andApplications(智能环境，协议和应用)；Wiley-Interscience描述的，因为在鉴别处理过程期间需要在线信任中心(OTC)的参与，所以缺乏有效的和实用的安全体系结构。这种需要具有几个缺点，因为在线信任中心周围的资源可能过载，并且存在单个故障点。另外，没有定义有效的接入控制过程。

US2007/0078817 A1针对的是一种用于在传感器节点网络中分发密钥的方法。初始地，传感器节点存储来自一组密钥的一个密钥子组。汇节点(sink node)触发密钥选择过程，传感器节点从本地广播的密钥ID列表中选取要在每个传感器节点上存储的一个密钥。所有的其它初始存储的密钥随后被删除。

本发明的目的是提供一种用于网络的改进的节点、一种改进的网络、以及一种用来建立用于网络的安全体系结构的改进的方法。

所述目的是通过独立权利要求而解决的。进一步的实施例通过从属权利要求被示出。

本发明的基本思想是定义新的实用的和有效的安全体系结构，在其中鉴别和授权处理过程可以以ad hoc方式来实行。因此，仅仅在设立阶段期间需要在线信任中心。这样，按照本发明方案的安全体系结构具有低的通信开销，避免了单个故障点，并且使安全性对于用户而言是透明的。

任何类型的智能环境，或一般而言，任何类型的复杂控制网络的关键问题是以有效且安全的方式控制它。在这个上下文中，如果基本安全问题得以解决，则可以部署一般而言的智能环境，且具体而言是照明智能环境。因为控制节点或其它节点的预期的移动性和智能环境的预期的灵活性——其必须适应于系统的重新配置，用于智能环境的安全系统必须是灵活的以及可缩放的。一方面，照明智能环境必须能够鉴别该网络中的每个节点。例如，如果未确保鉴别，则恶意的节点或入侵者就可能注入虚假消息，这些虚假消息可以切断整个照明系统，比如楼宇照明智能环境。另一方面，照明智能环境必须能够控制对系统的接入权利，即，授权权利，因为用户可能取决于例如他们的位置或状态而具有不同的接入权利。上述的安全服务的预备会需要定义用于照明智能环境的特定的密钥分发体系结构(KDA)。密钥分发体系结构是安全的基石，因为它分发使得能进行进一步的安全服务的密码密钥。

用于照明智能环境的安全体系结构的定义，包括密钥分发体系结构、鉴别和接入控制服务，由于技术限制和操作要求而受到挑战。一方面，照明智能环境由无线照明节点和致动器组成，其从计算、通信、能量和存储器的观点来看具有最小资源。另一方面，照明智能环境是大的可缩放的移动ac hoc网络。

那些技术限制和操作要求使得当前的解决方案的使用变得不可能，并且需要一种具有新颖特征的安全体系结构。首先，由于高的计算要求，照明智能环境密钥分发体系结构不能基于诸如公钥那样的传统方案。

同样地，由于照明智能环境的ad hoc性质，基于信任中心的集中式解决方案是不可能的。一般而言，照明智能环境密钥分发体系结构必须在不需要接入到信任中心的情况下行得通，并且在移动情景下是可行的。另外，密钥分发体系结构必须具有最小资源要求。其次，鉴别过程必须不依赖于第三方。最后，由于照明智能环境的高的可缩放性和照明智能环境节点的低的存储器容量——这使得接入控制列表(ACL)的存储变得不可能，基于接入控制列表的典型的接入控制方案是不可能的。所以，必须开发新的接入控制方案，以使得具有最小要求的接入控制服务的实施是可能的。