专利名称:一种短程无线通信节点及无线通信方法
技术领域:
本发明涉及无线通信组网传输设备,属于短程无线通信和信息安全应用技术领域,具体涉及一种具有多路信号连接和信息可信接入功能的短程无线通信节点以及基于该节点的通信方法。
背景技术:
无线通信节点是一种电子硬件设备,用于组建无线传感通信网络,并在网络中实现信息传递、网络路由、信息汇聚等功能,是无线传感通信网络组网的实体单位和中间环节设备。它可以组成无线通信网络,将最前端的感知信息进行传递、处理和汇聚。无线传感通信网络是一种比较新型的网络,它在军事、农业、医疗卫生、工业监控、 社区安防、智能交通、环境监测等领域有着广泛的应用。节点器是信息采集和组网的实体,它将输入的信息进行处理,然后把处理结果发到网络路由的下一个点,最终形成海量数据采集,能为各种应用服务提供现场信息。无线传感通信网络是一个无线移动的复杂通信网络系统,它的应用要求工作区域的节点器数目多,数据传输和传递不限于单跳,所以需要建立多跳的网络环境;另一方面,传感节点器能量受限、无统一的中心控制、没有固定设施、网络结构和路由动态变化等特点使得其安全性比一般有线网络低得多,对其攻击的方法比传统网络也要多得多。在大规模应用发展的初期就要考虑网络所面临的安全威胁,考虑到如何在网络设计中加入安全机制来保障信息传输的安全可信性。对于一个无线传感器网络,它主要面临三个方面的安全问题一是来自于无线通信过程中的信号干扰,如攻击者可以通过干扰通信频率来阻断无线通信;二是来自于自组织无线网络的链接脆弱性和网络协议简单的问题,攻击者可以假冒、篡改传输的信息;三是来自于传感节点本身,如普通低功耗传感器或节点的能量是有限的,很难加载复杂的安全保护措施,容易被捕获、仿造。目前,国内外使用的无线传感网络节点设备大多数不做数据加解密,或只进行对称算法的数据加解密,无高安全性的身份认证功能,也实现不了复杂度较高的安全算法。从攻击者的角度来说,这样的开放环境下的数据安全性是较低的,网络传输的数据的加密密钥容易被破解,通过统计的方法,敏感信息容易被获取。不管怎么说,硬件是基础条件,硬件不满足要求,安全功能就无法实现。所以很有必要开发具有高速执行复杂算法能力的,低功耗的无线传感网络节点,从而建立可信的无线通信网络,来适应高安全标准的应用。
发明内容
本发明针对现有无线传感通信网络在通信安全方面所存在的问题,而提供一种短程无线通信节点。该短程无线通信节点具有多路信号连接和信息可信接入功能,同时还具有接收、存储和转发数据信息的能力;通过节点自身的硬件级信息安全保护功能实现传感设备的节点网络认证,数据流加解密等可信通信功能,大幅提高信息采集传输中间环节及网络互联的设备节点信息安全性,从而为短程无线通信网络提供硬件设备基础保障。
为了达到上述目的,本发明采用如下的技术方案一种短程无线通信节点,所述通信节点包括一信息有线接口单元,用于网络信息的采集,其包括若干通信端口 ; 一信息处理单元,对信息有线接口单元采集的信息进行安全处理,其主要包括一主处理器、一协处理器以及一逻辑扩展单元,所述主处理器通过逻辑扩展单元控制信息有线接口单元,并对采集到的信息进行相应的处理,将需要安全处理的信息数据送至协处理器,所述协处理器对接收的信息数据进行硬件加解密计算,并将结果输至主处理器;一信息无线接口单元,受信息处理单元控制用于连接无线网络;一电源单元,为信息有线接口单元、信息处理单元以及信息无线接口单元提供工作电源。在短程无线通信节点的优选实例中,所述信息有线接口单元包括网口、若干串口, 所述网口通过网口控制器与信息处理单元中主处理器相接,所述若干串口通过逻辑扩展单元与信息处理单元中主处理器相接。进一步的,所述主处理器通过高速通信总线连接协处理器,并由此中断控制协处理器。进一步的,所述高速通信总线为SPI总线。进一步的,所述协处理器可进行编程,其可进行加解密基础运算,并在编程后生成包括ECDH、ECDSA和AES的多种模式的更高级的应用算法,用于节点认证和数据传输加解
r I I O进一步的,所述协处理器主要包括RISC内核、存储管理保护单元、SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、加密算法及算法引擎单元、随机数发生器、安全检测防护单元、低速外设接口、高速外设接口、0SC、中断、定时、电源管理以及APB接口单元;所述RISC内核是芯片的核心单元,包括RISC核和高速缓存,通过AHB总线与SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、存储管理保护单元、加密算法及算法引擎单元、高速外设接口、APB接口单元进行连接;所述APB接口单元实现总线转换,并用APB总线与0SC、中断、定时、电源管理、随机数发生器、安全检测防护单元、低速外设接口进行连接。进一步的,所述电源单元包括锂电池组、电源转换电路以及持续供电和充电电路,所述锂电池组通过电源转换电路进行电源转换和供电,并通过持续供电和充电电路连接外接电源。基于上述短程无线通信节点,本发明还提供了一种短程无线通信方法,该无线通信方法包括如下步骤(I)参与通信的网络节点预先存储相同的密钥算法参数,或共享密钥;(2)两个节点间通过相应的密钥算法交换密钥;(3)两个节点间通过交换密钥的过程,实现相互认证,并生成数据传输加密密钥因子Q ;(4)由密钥因子Q生成AES加密密钥K ;(5)双方数据传输采用K为密钥的AES加密,进行互认证通信;
(6)互认证通过进入步骤7,不通过结束本次通信;(7)完成互认证后,双方用密钥K和AES算法进行加密数据传输;(8)网络中通信双方,根据密钥更新策略,定时更新密钥K,更新过程重复步骤2_4。本发明形成的短程无线通信节点,其包含具有单独进行加解密处理的协处理器,通过这个协处理器,不但可以进行经过节点的信息数据的硬件加解密处理,还能为节点本身提供网络认证技术所需要的算法的支持和密钥的安全存储,从而实现普通无线传感接入节点所不能拥有的硬件极高安全性的多种加解密处理能力。通过加入安全协处理器来增强硬件整体加解密计算的能力,并且构造板上的安全计算环境,使得经过这样设计的嵌入式硬件电路可以适用于高安全性的网络接入认证协议和规范,以及较高安全等级的数据流加解密需求,成为建立安全无线通信网络的基础条件之一。 通过该短程无线通信节点的使用,增强了终端硬件基础条件,可以使得无线通信链路上能够加载较为复杂的安全协议和数据加密技术,进一步实现可信接入的功能,防止信息数据的伪造、篡改和节点的非法接入。
以下结合附图和具体实施方式
来进一步说明本发明。图I为本发明中短程无线通信节点原理框图。图2为本发明短程无线通信节点中协处理器的内部结构框图。图3为本发明短程无线通信节点中主处理器和协处理器的连接关系图。图4为无线传感网络组网示意图。图5为节点间的认证加密通信流程图。
其中①参与通信的网络节点预先存储的相同的ECDH算法参数,或共享密钥;
②两个节点间通过ECDH算法交换密钥;
③两个节点间通过交换密钥的过程,并生成数据传输加密密钥因子Q;
④由密钥因子Q生成AES加密密钥K;
⑤双方采用密钥K用AES加密进行相互认证通信;
⑥相互认证通过进入步骤⑦,不通过结束本次通信;
⑦完成相互认证后,双方进行加密数据传输;
⑧网络中通信双方,根据密钥更新策略,定时更新密钥K,更新过程重复第②、③、④步骤。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。参见
图1,本发明提供的短程无线通信节点器的主要特点是包含安全算法协处理器的电路设计,整个电路包含信息有线接口单元100、信息处理单元200、信息无线接口单元300以及电源单元400四个部分。I、有线接口单元100,主要用于完成多种传感前端信息数据采集和网络互通的功能。该部分由串口 RS-232(102)、RS-485(103)和网口 101等组成,其中串口用于连接传感器和总线式传感网络,网口用于网络信息采集或网络转换(如通过节点将无线网络与局域网连接或转接其他网络路由等),其通过相应的网口控制器进行信息数据的传输。当用于网络信息采集时,节点只能作为前端采集节点使用,当用于网络转换时,节点可作为路由或汇聚节点使用。2、信息处理单元200,主要对有线接口单元100采集的数据进行通信协议解析处理和运算、提取、加密等处理,并实现各通信端口及周边电路的控制,是本节点的核心。在本发明中信息处理单元主要由主处理器201、安全算法协处理器202、以及逻辑扩展电路203构成的。参见图3,本发明中的主处理器201,采用功能全面的嵌入式微处理器,有片上RAM和Flash Memory存储临时数据和程序,支持多种通信和外设接口,通过高速接口如SPI总线对安全协处理器的工作进行控制,同时控制存储器、逻辑扩展电路和其他外设的工作。再者,主处理器支持自动恢复和休眠功能,来进行低功耗的工作。 安全协处理器202也是嵌入式微处理器,其本身也有一些通信接口和控制功能,可以独立使用。安全协处理器202能够单独进行加解密处理,不但可以进行经过节点的信息数据的硬件加解密处理,还能为节点本身提供网络认证技术所需要的算法的支持和密钥的安全存储,从而实现普通无线传感接入节点所不能拥有的硬件极高安全性的多种加解密处理能力。参见图2,协处理器202内部主要包括RISC内核、存储管理保护单元、SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、加密算法及算法引擎单元、随机数发生器、安全检测防护单元、低速外设接口、高速外设接口、0SC、中断、定时、电源管理、APB接口单元等单元。RISC内核是处理器的核心是整个芯片运行的最基本的计算和处理单元。存储管理保护单元的功能是芯片内部应用程序的存储空间的划分(包括片上程序存储空间和用户数据存储空间)、访问权限控制和应用程序的使能控制等。SRAM存储器的功能是临时存放(断电失效)用于处理器运行的程序数据或用户数据。ROM存储器的功能是固化存放(不可更改)的处理器基本信息,包括启动程序、芯片ID等。Flash程序存储器的功能是存放片上应用程序。Flash数据存储器的功能是存放用户数据信息。加密算法及算法引擎单元的功能是控制和运行各算法单元,算法单元包括公钥算法单元ECC、RSA和对称算法单元AES、DES等。随机数发生器的功能是生成随机数用于各算法单元的加解密算法计算。安全检测防护单元的功能是进行芯片外部电压检测,将当前状态通知CPU,并产生保护性中断和复位。低速外设接口的功能是芯片外部连接多种低速设备(如UART、GPI0模拟的接口设备等)。高速外设接口的功能是芯片外部连接多种高速设备(如SPI设备等)。0SC、中断、定时、电源管理等单元的功能是芯片的内外部时钟产生、分配,中断管理、响应控制,定时,系统复位,电源分配管理、工作模式转换控制等。在本发明中协处理器中RISC内核是芯片的核心单元,它包括RISC核和高速缓存,它通过AHB总线(高速总线)与SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、存储管理保护单元、加密算法及算法引擎单元、高速外设接口、APB接口单元等进行连接。APB接口单元实现总线转换,并用APB总线(低速总线)与0SC、中断、定时、电源管理、随机数发生器、安全检测防护单元、低速外设接口等进行连接。由此形成的协处理器202能够支持多种算法如RSA、ECC、DES、AES、SHAl等的快速调用和执行,并在编程后生成包括ECDH、ECDSA和AES的多种模式的更高级的应用算法,协处理器202由其硬件保护电路形成可靠的安全计算环境保护加解密计算过程、中间运行结果和密钥等。
本发明形成的安全协处理器,可以通过以上部件的协作运行实现对主控制器发送过来的数据或指令的处理。如节点认证功能主要是通过协处理器的公钥密码算法计算来帮助主处理器完成认证通信中的具体环节。通信数据加解密功能主要是通过协处理器的对称加解密算法计算来帮助主处理器完成加密通信中的具体环节。协处理器片内加密保存着节点用于认证和加密通信的密钥信息,一旦生成不出处理器,形成“黑匣”功能。上述安全协处理器202的加解密和通信认证等功能是由多个算法模块实现的,其片上程序主要是通过对各算法的组合调用来实现安全性较高的加解密功能。例如在完成一次节点间的加密通信时,节点需要先使用协处理器片上程序调用ECC算法完成ECDH算法参与节点认证过程中的计算,再在协处理器上使用认证得出的加密密钥生成AES算法的加密密钥对节点具体的传输数据进行加解密,并在同时使用ECDSA算法对数据可信性进行验证,整个加密通信过程需要多个算法按需求参与组合进行。在进行数据加解密的时候,通过主处理器的控制获取输入数据,经过其内部生成或存储的密钥、初始化向量等,进行加解密运算,并将结果输出。再者安全协处理器202物理上的总线加扰等措施(如基于时间同步更新的扰码和片内通信部件的解扰)以及安全检测防护单元可有效保护其内部存储的数据和正在进行的计算。用在线调试方式很难破解其正在进行的操作和存储器上的数据。逻辑扩展电路203用来实现主处理器没有的外围接口功能,例如用于连接串口RS-232(102)、RS-485(103)。3、无线接口单元300,本部分包含射频通信模块、射频功放、天线等电路,其中射频通信模块与主处理器201进行信息交换,将获取的信息通过射频功放电路放大后由天线传出。由此该无线接口单元300将作为节点与无线网络的通信接口。通过这个部分,节点能实现与无线网络中的其他节点进行通信,以及执行网络同步休眠、唤醒等操作。4、电源单元400,为该节点中各部件提供稳定的工作电源。由于使用低功耗的嵌入式硬件,本部分主要以锂电池组401为供电单元。通过两种电源转换电路402,实现5V和
3.3V的供电。另外,还包含持续供电和充电电路403来满足固定节点应用的需要。上述的4个部分构成了节点的电路实体,而根据加入安全协处理器的方法还可以实现多种其它应用电路的设计,目的都是通过安全协处理器,单独执行加解密算法运算,提高硬件的信息安全保障性能。
由此形成的节点在使用中,增强了终端硬件基础条件,可以使得无线通信链路上能够加载较为复杂的安全协议和数据加密技术,进一步实现可信接入的功能,防止信息数据的伪造、篡改和节点的非法接入。参见图4,根据上述方案形成的短程无线通信节点,在实际使用中能够构成一种带有安全性认证和加密功能的自组织通信网络,这种自组织通信网络中本发明提供的通信节点由于带有安全性认证和加密功能,通过相互的认证,形成可信节点,这些可信节点支架可进行安全可靠的信息传输。而对于那些不带有安全性认证和加密功能的普通通信节点,由于无法通过认证将无法与自组织通信网络中的可信节点之间传输信息,极大的提高无线通信网络中网络信息的安全。同时在利用本发明形成的自组织通信网络中也可以将其中的一个或几个可信节点转接其它网络,形成多种异构组网,如图所示,将自组织通信网络中一个可信节点通过相
应的防火墙接入到相应的业务网络或局域网中,在与该网络中认证服务器完成认证后即可与相应的应用服务器或数据库服务器进行安全可靠的数据交换。在这种异构组网的形态下,可信接入就变得非常重要。由于本发明中的通信节点带有安全性认证和加密功能,能够完美的实现可信接入。应用本发明中的无线通信节点,节点间就可采用具有较复杂算法的认证和加密传输方式进行通信,在这里以一个认证加密通信的例子来说明其加密通信原理,其流程如图5。整个通信过程采用基于ECC算法的E⑶H实现密钥交换、握手认证,再用AES加密算法对数据流进行加密,同时采用签名算法对数据流签名,以防止假冒、重放等攻击。其中ECC是非对称加密算法、AES是对称加密算法。前者多用于认证过程、后者用于数据加密传输。当可信节点I与可信节点2要进行通信,首先通过预先存储在安全协处理器上具备访问控制保护的Flash数据存储单元的ECDH算法参数进行密钥交换,节点各自通过对方发来的公钥信息获得双方之间共用密钥Q,由于密钥Q虽具备保密性但不一定能满足对称算法AES算法固定长度128位或256位,位数的需求,所以对密钥Q进行摘要计算得出固定长度的AES加密密钥K。用K来进行节点间的数据加密通信,当通信节点在再次收到对方传来的加密信息后就可以以解密结果(如含目标地址信息的数据发送请求数据)的正确性对对方进行认证。(整个加解密计算过程都在安全协处理器内部进行,无任何中间结果和参与计算的参数或密钥出芯片。)其中,上述的ECDH密钥交换算法执行过程中,ECDH密钥交换算法是建立在基于椭圆曲线的离散对数问题上的非对称加解密机制,具体的执行过程如下(I)节点预先共享的ECC算法参数(主要是大素数p和基础整数G),节点I根据生成大随机整数a,计算A (公钥)=(G~a)mod p ;节点2生成大随机整数b,计算B (公钥)=(G~b)mod p。上述E⑶H算法计算过程都在安全协处理器上进行,算法参数存储Flash数据存储器中,大随机整数由随机数发生器生成,公钥计算在加密算法及算法引擎单元中进行。(2)节点I通过节点的主处理器控制无线通信接口,利用短程无线通信协议将A发送给节点2,A的传递可以是明文,因为即便攻击者获取A。由于椭圆曲线的离散对数问题是难题,又P、G、a都是很大的数,所以攻击者通过A、G计算出a异常困难。节点2将B传递给节点I (同节点I的传递方式)。同理,B的传递也可以公开。(3)节点2收到节点I传递的A,在节点安全协处理器的加密算法及算法引擎单元中计算 Q= (((G'b)mod p) 'a)mod p。(4)节点I收到节点2传递的B,同样计算Q’ = (((G'a)mod p) "b)mod p。节点
I、节点 2 双方各自即得到了 Q= (((G'b)mod p) 'a)mod p = (((G'a)mod p) 'b) = Q,。即得到双方一致的密钥Q。上述过程中a和b分别是节点I和节点2的私钥,不出加密协处理器,也难以计算出,这就保证了整个密钥交换过程的安全性。在此过程中节点通过安全协处理器的片上程序固化E⑶H算法,实现以上加解密计算。完成密钥交换。可以保障双方共有的密钥安全。上面的认证和数据传输过程也同样 适应于节点与后台服务网络之间的加密通信。通过本发明的硬件节点,可以大大提升短程无线通信的可信性、可靠性,为无线传感网以及其他无线网络传输系统提供良好的终端安全设计方案。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1.一种短程无线通信节点,其特征在于,所述通信节点包括 一信息有线接口单元,用于网络信息的采集,其包括若干通信端口 ; 一信息处理单元,对信息有线接口单元采集的信息进行安全处理,其主要包括一主处理器、一协处理器以及一逻辑扩展单元,所述主处理器通过逻辑扩展单元控制信息有线接口单元,并对采集到的信息进行相应的处理,将需要安全处理的信息数据送至协处理器,所述协处理器对接收的信息数据进行硬件加解密计算,并将结果输至主处理器; 一信息无线接口单元,受信息处理单元控制用于连接无线网络; 一电源单元,为信息有线接口单元、信息处理单元以及信息无线接口单元提供工作电源。
2.根据权利要求I所述的一种短程无线通信节点,其特征在于,所述信息有线接口单元包括网口、若干串口,所述网口通过网口控制器与信息处理单元中主处理器相接,所述若干串口通过逻辑扩展单元与信息处理单元中主处理器相接。
3.根据权利要求I所述的一种短程无线通信节点,其特征在于,所述主处理器通过高速通信总线连接协处理器,并由此中断控制协处理器。
4.根据权利要求3所述的一种短程无线通信节点,其特征在于,所述高速通信总线为SPI总线。
5.根据权利要求I所述的一种短程无线通信节点,其特征在于,所述协处理器可进行编程,其可进行加解密基础运算,并在编程后生成包括E⑶H、E⑶SA和AES的多种模式的更高级的应用算法,用于节点认证和数据传输加解密。
6.根据权利要求I或5所述的一种短程无线通信节点,其特征在于,所述协处理器主要包括RISC内核、存储管理保护单元、SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、加密算法及算法引擎单元、随机数发生器、安全检测防护单元、低速外设接口、高速外设接口、0SC、中断、定时、电源管理以及APB接口单元; 所述RISC内核是芯片的核心单元,包括RISC核和高速缓存,通过AHB总线与SRAM存储器、ROM存储器、Flash程序存储器、Flash数据存储器、存储管理保护单元、加密算法及算法引擎单元、高速外设接口、APB接口单元进行连接; 所述APB接口单元实现总线转换,并用APB总线与0SC、中断、定时、电源管理、随机数发生器、安全检测防护单元、低速外设接口进行连接。
7.根据权利要求I所述的一种短程无线通信节点,其特征在于,所述电源单元包括锂电池组、电源转换电路以及持续供电和充电电路,所述锂电池组通过电源转换电路进行电源转换和供电,并通过持续供电和充电电路连接外接电源。
8.—种短程无线通信方法,其特征在于,所述无线通信方法包括如下步骤 (1)参与通信的网络节点预先存储相同的密钥算法参数,或共享密钥; (2)两个节点间通过相应的密钥算法交换密钥; (3)两个节点间通过交换密钥的过程,实现相互认证,并生成数据传输加密密钥因子Q; (4)由密钥因子Q生成AES加密密钥K; (5)双方数据传输采用K为密钥的AES加密,进行互认证通信; (6)互认证通过进入步骤7,不通过结束本次通信;(7)完成 互认证后,双方用密钥K和AES算法进行加密数据传输;(8)网络中通信双方,根据密钥更新策略,定时更新密钥K,更新过程重复步骤2-4。
全文摘要
本发明公开了一种短程无线通信节点及无线通信方法,其采集多种传感信息或接入通用总线,构成一种带有安全性认证和加密功能的自组织通信网络。其主要特征是硬件上带有嵌入式安全算法协处理器,它使得无线节点设备增加了进行复杂算法如RSA、ECC、AES等的低功耗、高速加解密计算的能力,进而实现无线网络接入认证和数据流加解密,通过硬件加强方式提升网络的信息安全性。按无线网络功能分,它既可以担当采集前端设备,也可以担当路由设备和汇聚设备。通过其外部提供多种的通用总线接口,可以方便的与传统的安防传感器或网络连接,提升原有系统扩展无线通信时的安全性和可信性,来适应对于应用有较高安全等级需求的应用。它可以应用于防火防盗、智能监控等安防领域。
文档编号H04W12/02GK102685740SQ20121008834
公开日2012年9月19日 申请日期2012年3月29日 优先权日2012年3月29日
发明者吴晶, 李震宇, 杨明, 梁辰, 沈冬青 申请人:公安部第三研究所