[发明专利]一种物联网传感系统的密钥管理方法

权利要求书

1.一种物联网传感系统的密钥管理方法，其特征在于，包括如下步骤：

A、运行感知节点注册和网关对感知节点的认证；

B、启动密钥管理模块，利用感知节点和网关中的预置秘密信息，根据数据包的不同安全需求，对感知节点与网关间的对密钥和网关网络密钥进行生成以及周期性的更新。

2.根据权利要求1所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B还包括在感知节点和网关中预置秘密信息，具体如下：

网关生成的所部署网络中所有感知节点的ID号及与其ID号一一对应的随机数标识符N(8B)；网关与所部署的所有感知节点都预置一个单向散列函数MD5；每个感知节点预置与自己的ID号相对应的随机数标识符N_i(i=1,2,3,...n)；新部署的合法新感知节点要预置当前的网络密钥。

3.根据权利要求2所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B中对感知节点与网关间的对密钥进行生成及周期性更新，具体包括：

对感知节点与网关间的对密钥进行生成以及周期性更新的方法相同，其过程如下：在网络部署完成之后，网关向所管辖的网络下发首次生成或更新密钥命令数据包，该数据包包含一个新的随机数N_update(8B)，收到该命令数据包的所有感知节点将网关下发的所述新的随机数N_update(8B)和其自身预置的与自己的ID号相对应的随机数N_i(8B)进行异或运算后，利用单向散列函数MD5生成感知节点和网关之间的对密钥K_i-update，即

4.根据权利要求3所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B中对网关网络密钥进行生成以及周期性更新，具体过程如下：

对网关网络密钥进行生成：

网络部署前，通过人工生成并预置在网关和所有感知节点中带物理保护的存储区中，其中，全网密钥GK（16B）预置到感知节点中；

对网关网络密钥进行周期性更新：

当检测出网络中有异常或感知节点被攻破后，网关随机生成密钥更新数据Nonce(8B)，由GK’=MD5(Nonce)得到新的网络密钥GK’(16B)；网关使用感知节点与网关间的对密钥PKi加密密钥更新数据Nonce(8B)后,将其下发给每个感知节点i（i=1,2,…,N，N为全网合法感知节点总数）；感知节点收到网关下发的密文后，利用自己与网关间的对密钥解密该密文，得到密钥更新数据Nonce(8B)，由GK’=MD5(Nonce)得到新的网络密钥GK’(16B)，并更新保存。

5.根据权利要求4所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B还包括：

在所有新旧密钥交替的过渡期内，凡是涉及到使用新密钥来生成和验证数据完整性的数据包，网关先用新密钥来验证MAC；如果MAC验证不成功，则利用旧密钥来验证MAC；若旧密钥验证MAC不通过，则判定数据包遭到过篡改。

6.根据权利要求5所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B进一步包括：

当新的感知节点加入当前网络时，分两种情况：一、若所述新的感知节点加入时，网络还没有进行过全网密钥更新，则由于已部署感知节点的全网密钥GK0是预置的16B，因此在所述新的感知节点部署前，离线服务器生成Nonce0（8B），用它来生成全网密钥GK0=MD5(Nonce0)；网关侧，缓存Nonce0；这时，所述新的感知节点i加入后获得网关与感知节点的对密钥PKi，网关利用PKi加密Nonce0，发送给新的感知节点i；新的感知节点i进行GK0=MD5(Nonce0)的运算，获得网络密钥；二、若所述新的感知节点加入时，网络更新过全网密钥，则网关缓存当前生成全网密钥GKj的密钥更新数据Nonce（8B），所述新的感知节点i加入后获得网关与感知节点的对密钥PKi，网关可由此PKi加密Noncej，发送给新的感知节点i；新的感知节点i进而得到网络密钥GKj。

7.根据权利要求1至6之一所述的物联网传感系统的密钥管理方法，其特征在于，所述步骤B中对感知节点与网关间的对密钥和网关网络密钥进行生成以及周期性的更新均有感知节点和网关自己计算完成，不做密钥分发。