GB/T30269.602-2017
信息技术传感器网络第602部分:信息安全:低速率无线传感器网络网络层和应用支持子层安全规范
Informationtechnology—Sensornetwork—Part602:Informationsecurity:Networklayerandapplicationsupportsublayersecurityspecificationforlow-ratewirelesssensornetworks
- 中国标准分类号(CCS)L79
- 国际标准分类号(ICS)35.110
- 实施日期2017-12-29
- 文件格式PDF
- 文本页数68页
- 文件大小4.88M
以图片形式预览信息技术传感器网络第602部分:信息安全:低速率无线传感器网络网络层和应用支持子层安全规范
信息技术传感器网络第602部分:信息安全:低速率无线传感器网络网络层和应用支持子层安全规范
国家标准 GB/T30269.602一2017 信息技术传感器网络 第 602部分:信息安全:低速率无线传感器 网络网络层和应用支持子层安全规范 nformationtechnology一Sensornetwork- Part602:Informationsecurity:Networklayerandapplicationsupportsublayer eeurityspeeifieatoforlow-rtewirelessensornetworks 2017-12-29发布 2017-12-29实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB:/T30269.602一2017 前 言 GB/T30269《信息技术传感器网络》拟分为以下部分: 第1部分:参考体系结构和通用技术要求; 第2部分;术语; 第301部分;通信与信息交换:低速无线传感器网络网络层和应用支持子层规范; 第302部分;通信与信息交换;高可靠性无线传感器网络媒体访问控制和物理层规范 第303部分:通信与信息交换:基于P的无线传感器网络网络层规范; 部分;协同信息处理:支撑协同信息处理的服务及接口; 部分;标识:传感节点标识符编制规则; 502部分:标识:传感节点标识符解析规范; 503部分:标识:传感节点标识符注册规程; 部分;标识:传感节点标识符管理规范; 部分;信息安全;通用技术规范; 602部分;信息安全;低速率无线传感器网络网络层和应用支持子层安全规范" 部分传感器接口信号接口; 部分传感器接口;数据接口 部分;测试;通用要求; 第802部分测试:低速无线传感器网络媒体访问控制和物理层; 第803部分;测试;低速无线传感器网络网络层和应用支持子层; 第8o4部分;测试:传感器接口测试规范; 第805部分;测试;传感器网关测试规范; 第806部分;测试;传感节点标识符解析一致性测试技术规范 第807部分测试:低速率无线传感器网络网络层和应用支持子层安全测评规范 第901部分;网关;通用技术要求 第902部分;网关;远程管理技术要求; 第903部分;网关;逻辑功能接口技术规范; 第1001部分;中间件;传感器网络节点接口
本部分为GB/T30269的第602部分
本部分按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口
本部分起草单位;重庆邮电大学、电子技术标准化研究院,无锡物联网产业研究院、成都秦川科 技发展有限公司、信息安全认证中心,山东省计算中心(国家超级计算济南中心)
本部分主要起草人;王浩、魏曼、陈书义,苏静茹吴岳飞、甘杰夫、王平卓兰、汪付强
GB:/T30269.602一2017 信息技术传感器网络 第602部分:信息安全:低速率无线传感器 网络网络层和应用支持子层安全规范 范围 GB/T30269的本部分规定了低速率无线传感器网络网络层和应用支持子层的原语、命令帧格式 以及安全交互规程
本部分适用于低速率传感器网络传输安全的开发设计
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注目期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T15629.15一2010信息技术系统间远程通信和信息交换局域网和城域网特定要求 第15部分;低速无线个域网(wPAN)媒体访问控制和物理层规范 信息安全技术术语 GB/T250692010 GB/T30269.2一2013信息技术传感器网络第2部分;术语 GB/T30269.301一2014信息技术传感器网络第301部分;通信与信息交换;低速无线传感 器网络网络层和应用支持子层规范 GB/T30269.601-2016信息技术传感器网络第601部分:信息安全:通用技术规范 术语和定义 GB/T250692010,GB/T30269.22013界定的以及下列术语和定义适用于本文件
3.1 直接密钥diretlkey 邻居节点之间建立的共享的对密钥 3.2 密钥建立keyestablishment 为一个或多个实体产生一个可用的共享的秘密密钥的过程
3.3 密钥管理kemanagement 根据安全策略,实施对密钥材料进行产生、登记、认证、注销、分发,安装、存储、归档、撤销、衍生、销 毁和恢复的服务
3.4 密钥材料keyinmgmaterial 确立和维持密码密钥关系所必需的数据(如密钥,初始化值
GB/T30269.602一2017 3.5 密钥更新keyupdate -种机制,通过给同一个组提供另外一个密钥,在两个或多个设备之间实施共享密钥的更换
3.6 authentication 消息鉴别message 消息鉴别是由声明的始发者预期的接收者的验证,并且该消息在转移中未被更改
3.7 网络密钥networkkey 全网所有设备共享的密钥 3.8 路径密钥pathkey 在没有直接密钥的情况下,在存在多跳安全的节点之间建立的共享的对密钥
3.9 安全级别seeuritylevel 有关敏感信息访问的级别划分,以此级别加之安全范瞎能更加精细的控制对数据的访问
3.10 会话密钥sessionkey 为保证一 一对节点之间的保密通信或消息鉴别而随机产生的密钥
通信完成后,会话密钥失效 3.11 共享密钥sharedkey 两个或多个节点之间在初始密钥材料的基础上建立的长期共享的密钳
3.12 安全服务seeurityseriee 根据安全策略,为用户提供的某种安全功能及相关的保障 3.13 信任中心trustcenter 被网络内设备信任的设备,为了网络和端到端应用配置进行密钥管理或安全数据融合等安全操作
缩略语 下列缩略语适用于本文件
AIB;应用支持层的信息库(ApplicationSupportl.ayerlnformationbase) APSME;应用支持子层管理实体(ApplicationSupportSublayerManagementEntity) APSMESAP应用支持子层管理实体一服务接人点(ApplieationSupportSublayerManagement EntityServiceAccessPoint) ASDU;应用支持子层服务数据单元(APSServieeDataUnit lCBC-MACa CCM联合计数模式的CBC-MAc(Combined dCoumterModeofopernaton) and ofcCM cCM*;扩展的CCM(Extension MAC;媒体访问控制MediumAccessCo omtrob Code MIC:消息完整性校验码(MessageIntegrity MSDU;MAC协议子层数据单元(Mediu umAccess ComtrolsublasyerSservieeDataUnmin) NIB,网络层信息库(Network-lLayerInformationBase) NLDE网络层数据实体(Network-La rDataEntity Layer
GB:/T30269.602一2017 NLME;网络层管理实体(Network-L tEatity) layerManagement NPDU网络层协议数据单元(Net etworkLayerProtocolDAtaUnit PAN:个域网(PersonalAreaNetwork PDU协议数据单元(ProtocolDataUnit) 安全概述 5.1概述 网络层和应用支持子层提供的安全服务形成了传感网设备内实施安全策略的结构单元
第5章介 绍了安全服务规范和如何使用这些服务的功能性描述
5.2协议栈结构 无线传感器网络协议栈各层及其模块组成如图1所示,虚线框内为无线传感器网络协议栈内安全 部分的内容
协议栈各层的功能应符合GBy/T30269.301一2014的规定
网络层的安全包括为网络层赖提供安全的处理,以及为邻近高层提供路由安全服务 应用支持子层的安全包括为应用层帧提供安全的处理,以及为邻近高层提供建立和维护安全关系 的服务
安全服务提供者即为网络层和应用支持子层可执行的安全策略和安全机制
这些安全策略和安全 机制为传感器网络的信息传输安全提供支持
应用层 应用支持子 应用支持子层 层安全管理 层信息代理 NL.DE-sAP NLME-SAP 网络层 网络层安全 网络层信息 路由臂理 网络管理 代理 MLME-SAP MDE-SAP 媒体访问控制层 PD-SAP PLME-SAP 物理层 LR-wPAN 图1 无线传感器网络协议栈结构 5.3安全框架 安全框架包括网络层和应用支持子层两个层次的安全机制
网络层和应用支持子层负责安全传输 它们各自的
此外,网络层提供了路由安全的服务,应用支持子层提供了建立和维护安全关系的 服务
5.4安全密钥 密钥管理机制涉及到不同类型的密钥,表1列出了本部分所使用的安全密钥
GB/T30269.602一2017 表1安全密钥 密码机制 类型 生成 描述 密钥材料是确立和维持密码密钥关 由信任中心以安全的方式为节点预 系所必需的数据,密钥材料根据密钥 密钥材料 分配 的生成方法不同,可以是节点的D 信息等数据或者共享密钥等 设备初始化时由信任中心以安全的方网络密钥由全网设备共享,对输出 网络密钥 式为节点预配置 进行安全加密 直接密钥是由节点与其邻居节点共 直接密钥由初始化时写人的初始密钥 对称技术 直接密钥 享的密钥
并通过直接密钥可生成 材料生成 会话密钥 共享密钥 当节点之间没有直接密钥时,通过多 在没有直接密钥的情况下,在存在多跳 路径密钥 跳的安全路径建立的节点之间的共 安全路径的节点间建立路径密钥 享的密钥 会话密钥用来对传输的数据进行加 两个节点之间通过直接密钥或路径密 会话密钥 ,保证一对节点之间的保宪通信或 钥建立会话密钥 消息鉴别 每种密钥从建立到撤销的整个有效期之内,可能会处在多个不同阶段,需要根据具体应用需求对密 钥进行维护和更新
不同的密钥类型生存期的长短不同,在同一个密钥材料的有效期内,共享密钥可能 撒销和更新多次;在同一个共享密钥的有效期内,会话密钥可能撤销和更新多次 会话密钥在通信双方节点通信完成后即被销毁
会话密钥的泄露不会影响到共享密钥的安全
若 某个共享密钥泄露,则信任中心应将其撇销,并与相关节点交互,分发更新的密钥
共享密钥的泄露并 不意味着密钥材料的泄露
但是若某个密钥材料泄露,则相应的共享密钥也必须撤销,并在密钥材料更 新后,重新建立共享密钥
5.5网络层安全 5.5.1假设 当GB/T30269.301一2014中网络层服务原语NLDE-DATA.request中的参数SecurityEnable置 为FALsE时,应明确禁止网络层的安全机制
否则,当网络层产生的赖需要加密,或者高层NIB中的 nwkSecureAlFrames属性为TRUE时,应启用网络层帧的安全保护机制,网络层的帧保护机制在本部 分的附录A有说明
此外,网络层还负责为邻近高层提供路由安全的服务
5.5.2路由安全 网络层的路由安全服务提供了一种在设备之间进行路由选择的安全方式
路由安全机制是以保证 网络在受到攻击时仍能进行正确的路由发现、构建和维护为目标的安全机制
5.6应用支持子层安全 5.6.1概述 当应用层产生的一个倾需要加密,应用支持子层应该负责对它进行安全处理
应用支持子层的懒 保护机制在本部分的附录B有说明
应用支持子层还负责为邻近高层提供密钥管理访问控制、鉴别 和安全数据融合服务
GB:/T30269.602一2017 5.6.2密钥管理 5.6.2.1 概述 密钥管理机制依赖于基本的密码机制.分为以下两类
采用对称密码技术的机制 aa b) 采用非对称密码技术的机制
不用的机制适用于不同的应用需求
采用对称密码技术的机制,适用于对安全级别要求较低的传 感器网络,例如安全级别在三级以下的传感器网络宜采用基于对称密码技术的机制
而对于安全级别 要求较高的传感器网络,则需要采用基于非对称密码技术的机制
5.6.2.2密钥分发 应用支持子层的密钥分发服务允许信任中心分发密钥材料到设备
无线传感设备以保护密钥不被 泄露的方式写人信任中心分发的密钥材料中
5.6.2.3密钥建立 应用支持子层的密钥建立服务允许两个设备之间可以手动建立一个共享密钥,初始信任信息必须 在密钥建立之前安装在每个设备上
5.6.2.4密钥更新 应用支持子层的密钥更新服务允许一个信任中心去通知其他设备更新密钥
5.6.2.5密钥撤销 应用支持子层的密钥撤销服务允许一个信任中心去通知相关设备撤销使用特定密钥信息
密钥的 撤销可以是对称密钥的撤销或非对称密钥的撤销
访问控制 5.6.3 应用支持子层的访问控制服务允许控制用户对传感网的节点资源和数据资源的访问
访问控制机 制包括 自主访问控制 a 通过访问控制表或访问能力表等策略对用户的访问实施控制
b 强制访问控制: 为用户、节点和数据指定敏感标记,通过这些敏感标记对用户的访问实施控制
5.6.4身份鉴别 应用支持子层的身份鉴别服务允许两个设备之间进行身份鉴别
节点之间的鉴别是基于密码算法 的,具有共享密钥的节点之间能够实现相互鉴别
5.6.5消息鉴别 应用支持子层的消息鉴别服务对设备的广播消息提供了一种安全的鉴别方式
5.6.6安全数据融合 应用支持子层的安全数据融合服务提供了一个安全的方式进行数据融合
安全数据融合机制是为 了保障数据保密性、数据传输安全、数据融合的准确性
GB/T30269.602一2017 6 网络层安全 6.1网络层安全概述 网络层安全规定了输出和输人的安全传输、路由安全,以及路由安全的服务原语
上层通过建 立适当的密钥和计数器控制安全处理操作,确定使用哪种安全级别
网络层的NLDE和NLME见 GB/T30269.3012014
6.2网络层安全服务 6.2.1网络层安全服务原语 网络层安全服务原语如表2所示
表2网络层安全原语 NLME安全原语 请求 确认 指示 响应 描述 使用设备鉴别的方法发起路由安全,为节点在 NLMESECROUTE 6.2.2.l 6.2.2.2 6.2.2.3 设备之间进行路由选择提供一种安全的方式 6.2.2路由安全服务 6.2.2.1 NLME-SEC-ROUTE.reguest 6.2.2.1.1服务原语的语义 网络层的临近高层可以利用本原语发起一个路由安全的过程
本原语的语义如下 NLMESEcCROUTE.request RequestDeviceAddress RequestldenifierType 表3给出了NLME-SEC-ROUTE.request原语的参数
表3NLME-SEC-ROUTE.reguest参数 字段名称 字段类型 有效范围 描述 6位网络地址 任何网络地址 RequestDevieeAddress 标识符请求设备的网络地址 指示请求标识符类型是“请求设备地址”还是 RequestldentifierType 整型 0x00~0x01 “待鉴别设备地址”的对应的路由器标识符 6.2.2.1.2产生条件 本原语由一个传感器网络设备的邻近高层产生,发送给其NLME,用于请求指定设备的标识符 6.2.2.1.3收后效果 传感器网络设备的NLME收到本原语时,NLME应向邻近高层发送状态值为INVALID_RE
GB:/T30269.602一2017 QUEST的NLME-SECROUTE.request原语
NLME通过使用MAC层的MCPs-DATA.request原语,尝试发送一个设备标识符请求命令帧来 发起设备鉴别
如果MAC层因为任何原因发送命令帧失败,NLME向邻近高层发送NLME-SEC ROUTE.confirm原语,状态参数值等于MCPS-DATA.confirm返回的值
6.2.2.2NLME-SEC-ROUTE.confirm 服务原语的语义 6.2.2.2.1 本原语允许告知邻居高层路由安全的结果
本原语的语义如下 NLME-SEC-ROUTE.confirm Status 表4给出了NLME-SEC-RROUTE.confirm原语的参数
表4NLME-SEC-RoUIE.confirm参数 类型 名称 有效范围 描述 状态 从安全套件或MCPS-DATA.confirm原语返回的值 相应请求的状态 Status 6.2.2.2.2产生条件 本原语由NLME产生,传递给邻近高层,作为请求设备标识符的结果
6.2.2.2.3收后效果 邻近高层被告知其设备标识符请求命令的结果
6.2.2.3NLME-SEC-RoUTE.indieation 6.2.2.3.1服务原语的语义 NLME通过发送本原语来通知网络层的邻近高层收到一个设备标识符请求命令帧
本原语的语义如下 NLMESEC-ROUTE.indication RequestDeviceAddress RequestldentifierType 表5给出了NLMESEC-ROUTE.indication原语的参数
表5NLMIE-SEC-RoUIE.indieation参数 字段名称 字段类型 有效范围 描述 RequestDeviceAddress 16位网络地址 任何网络地址 标识符请求设备的网络地址 指示请求标识符类型是“请求设备地址”还是 整型 Tye 0xO00x01 Reguestldentifier “待鉴别设备地址”的对应的路由器标识符
GB/T30269.602一2017 6.2.2.3.2产生条件 本原语由一个传感器网络设备的NLME产生,告知其邻近高层收到一个标识符请求命令帧
6.2.2.3.3收后效果 在接收到NIME:SEC-RoUTE.mdiceation原语之后邻近高层会使用RcqueslIdenifierType设 置的参数对标识符请求命令帧发起设备进行鉴别
6.2.2.4安全路由协议 发起者和响应者的NLME执行安全路由协议
6.3帧安全 6.3.1帧安全概述 当NLDE-DATA.request原语中的SecurityEnable参数为FAL.SE时,应明确禁止网络层的安全机 制;当网络层产生的帧需要加密,或者高层NB中的nwksecureAIIFrames属性为TRUE时,应启用网 络层帧的安全保护机制
网络层帧保护机制应使用国家密码行政主管部门指定的算法和密码运算模 式
网络层倾所用的安全等级由NB的nwkSeeuritylevel属性给出
上层通过设置网络密钥、帧计数 器以及所用安全等级等方式,来控制网络层的安全处理操作
网络层帧的安全结构如图2所示,其中安全机制增加了辅助帧头和信息完整性校验码,信息完整性 校验码MIC是对所有的网络层帧都进行了完整性保护 同步 物理层头MAC层头网络层头 辅助头 加密的网络层净荷 信息完整性校验码MIC 图2网络层帧的安全结构 6.3.2安全的网络层帧 网络层的帧格式如图3所示
当NPDU帧启用安全保护时,帧控制域中的安全位应置为1,表示辅助帧头的存在
14 八位位组数:可变 可变 加密的净荷 加密的信息完整性校验码MIC 初始的网络层顿头 辅助顿头 网络层顿的安全载荷 完整的网络层顿头 安全的网络层净荷 图3安全的网络层帧格式 6.3.3辅助帧头 6.3.3.1 格式 辅助畅头的格式如图4所示
八位位组数 0/8 0/ 密钥序列号 安全控制 赖计数器 源地址 图4辅助帧头的格式
GB:/T30269.602一2017 6.3.3.2安全控制域 6.3.3.2.1 格式 安全控制域的格式如图5所示
位;0~2 安全级别 密钥标识符 扩展临时子城 保留 图5安全控制域的格式 6.3.3.2.2安全级别子域 安全级别标识符用于指示输出帧和输人帧进行保护的方式和对荷载进行加密的方式,以及帧内数 据真实性的程度(可由信息完整性代码MC的长度反映)
MIC的位长度可以是0,32、64或128,决定 了对MIC进行随机猜测时的猜中概率
安全级别的安全特性如表6所示,其中,安全级别标识符并不 表示各安全级的相对强度
表6网络层可用的安全级别 安全级别标识符 安全级别子域 安全属性 数据加密 顿完整性MIC长度 0x00 ‘001” MIC-32 O)FF YES(M=4 0x01 010” YESs(M- N ENC-MIC-32 ON 0x02 *o11” ENC-MIC-64 ONN YESs(M=8 ON 0x03 100” ENC-MIC-128 YES(M=16 ‘101 EcMIc128 ON YEs(M=16) 0x04 6.3.3.2.3密钥标识符子域 密钥标识符子域用于标识保护帧所用的密钥
密钥标识符子域的编码如表7所示
表7密钥标识符子域的编码表 密钥标识符 密钥标识符子域 描述 *00" Ox00 共享密钥 '01 网络密佃 0x0l 6.3.3.2.4扩展临时子域 如果辅助帧头中存在源地址域,扩展临时子域应设置为l,否则设置为O
6.3.3.3计数器域 计数器域提供了网络层帧的新鲜性,可防止对重复帧的处理
6.3.3.4源地址域 仅当扩展临时子域的值为1时,辅助头中才包含源地址域
源地址域表示负责对网络层帧提供
GB/T30269.602一2017 安全保护的设备的64位IEEE地址
6.3.3.5密钥序列号域 仅当密钥标识符子域的值为1(对应网络密钥)时,辅助头中才包含密钥序列号域
密钥序列号 域表示对网络层帧提供安全保护的网络密钥的序列号
6.4命令帧 6.4.1概述 网络层定义的命令倾如表8所示
表8网络层命令帧 命令赖标识符 命令名称 子章节 0xOf 6.4.2 标识符请求命令桃 0xl0 标识符响应命令顿 6.4.3 0xl30xFF 保留 6.4.2设备标识符请求命令帧 6.4.2.1 格式 设备标识符请求命令帧的格式如图6所示
八位位组:l 2/8 0/2/8 请求类型 请求设备地址 命令标识 特鉴别设备地址 图6设备标识符请求命令格式 6.4.2.2MAC数据请求服务 为了使用GB/T15629.15一2010定义的MAC数据服务发送设备标识符请求命令,应提供以下 信息 目的MAC地址和PAN标识符应根据请求类型分别设置为相应设备的网络地址或者相应组 a 的多播地址和相应设备或者组所在的PAN标识符 源MAC地址和PAN标识符应设置为发送设备标识符请求命令帧的设备的网络地址和PAN b 标识符; 控制字段应指示该是一个MAC数据帧,并且帧控制字段的MAC安全子字段应设置为 禁用 d 寻址模式和Intra-PAN标志应设置为支持该寻址字段
6.4.2.3网络层帧头字段 设备标识符请求命令帧通过单播或组播的方式发送,网络层头字段应设置如下 a 源地址字段应设置为命令帧发起设备的16位网络地址 b)帧控制字段的源地址字段应设置为1,网络层头的源地址字段应存在,并包含帧发起设备的64 10
GB:/T30269.602一2017 位地址 目的地址字段应根据请求类型设置为相应的命令接收设备的16位网络地址,或者命令接 收组的多播地址
6.4.2.4网络层负载字段 设备标识符请求命令帧的网络层负载包含一个命令标识符、请求类型请求设备的地址和待鉴别的 设备的地址等字段
其中命令标识符为0x0f,指示为设备标识符请求命令帧,请求类型字段格式如图7? 所示
位;0 一2 保留 请求设备地址指示 特鉴别设备地址指示 请求标识符类型 请求响应设备类型 图7 请求类型字段格式 其中: 请求设备地址指示;若为0,表示请求设备地址”字段使用16位短地址;若为l,表示请求设备地址” 字段使用64位IEEE地址,该字段默认值为1
待鉴别设备地址指示:若为0,表示待鉴别设备地址”字段使用16位短地址;若为l,表示如果存在 待鉴别设备地址”字段,使用64位IEEE地址 请求响应设备类型指示:若为00,表示发向直接路由器或待鉴别的路由器;若为01,表示发向直接 路由器或待鉴别路由器的父节点;若为10,表示发向直接路由器或待鉴别路由器父节点的子节点;若为 1,表示发向用户监视端
请求标识符类型指示:若为0,表示“请求设备地址”对应的是路由器的标识符;若为1,表示“待鉴 别设备地址”对应的是路由器的标识符
请求设备地址为初始发起该标识符请求命令帧的设备地址,可以为16位短地址,或者64位IEEE 地址
待鉴别设备地址为“请求标识符类型”为0时,本字段不出现;“请求标识符类型”为1时,请求本字 段指示的设备的标识符
可以为16位短地址,或者64位IEEE地址
6.4.3设备标识符响应命令倾 6.4.3.1格式 接收到设备标识符请求命令帧的设备,可以通过设备标识符响应命令帧反馈指定设备的标识符
设备标识符响应命令帧的格式如图8所示
八位位组:1 2/8 命令标识 响应类型 设备地址 设备标识符 图8设备标识符响应命令格式 6.4.3.2MAC数据服务请求 为了使用GB/T15629.15一2010定义的MAC数据服务发送设备标识符响应命令,应提供以下信息 目的MAC地址和PAN标识应设置为发送设备标识符请求命令帧的设备的网络地址和PAN a 标识符
1
GB/T30269.602一2017 b 源MAC地址和PAN标识符应设置为发送设备响应标识符命令帧的设备的网络地址和PAN 标识符
帧控制字段应指示该帧是一个MAC数据帧,并且帧控制字段的MAC安全子字段应设置为 c 禁用 d 寻址模式和lntra-PAN标志应设置为支持该寻址字段
6.4.3.3网络层帧头字段 为了使设备标识符响应命令能够正确到达目的设备,并完成设备标识符反馈,网络层帧头字段应提 供以下信息: 网络层帧头中的源地址应设置为发送设备的16位网络地址
a b)网络层帧头中的目的地址应设置为接收到的设备标识符请求命令帧中“请求设备地址”字段对 应设备的地址
帧控制字段的源地址字段应设置为1,网络层头的源地址字段应包含帧的发送设备的64位 EEE地址
控制字段中的目的地址字段应设置为1,网络层头的目的地址应设置为接收 到的设备标识符请求命令帧中“请求设备地址”相应的设备的64位IEEE地址
6.4.3.4网络层负载字段 网络层负载字段的格式如图9所示
位;05 保解 设备地址指示 响应标识符类型 图9网络层负载字段 其中 设备地址指示;若为0,表示“设备地址”字段使用16位短地址;若为1,表示“设备地址”字段使用 64位IEEE地址
响应标识符类型;根据响应的标识符请求命令帧中的“请求标识符类型”设置
命令标识符为0xl0时,表示设备标识符响应命令帧
设备地址是指反馈的为该地址所对应的设备的标识符
可以为16位短地址或64位IEEE地址
设备标识符是指“设备地址”字段对应设备的标识符
6.5安全相关的NI属性 网络层的NIB属性包含管理网络层安全所需的各种属性,可分别用NLMEGET.Reques和 NLMEsET.request原语进行读写
与安全相关的网络层NIB属性如表9、表10和表11所示
其中 表9列出了网络环境安全设定的NIB属性,表10列出了建立密钥时设定的(包含密钳长度类型等)NI 属性,表11列出了使用的计数器的NB属性
表9网络层安全设定的NI属性 属性 标识符 类型 范围 描述 默认值 nwkSeeuritylevel 整型 0x00~0x04 0x04 接收和发送的安全级别 0xa0 -组网络安全材料描述符的集合,可用于 nwkSecurity-MateriaISet 0xal 可变的 维护活动网络密钥和备用网络密钥 12
GB:/T30269.602一2017 表9(续) 属性 标识符 类型 范围 描述 默认值 nwkActiveKey nwkSeeurityMaterialset中活动的动网络 0xa2 整型 0x00~0xFF 0x00 SeqNumber 密钥的序列号 当输人顿计数器的内存溢出时,用于指示 nwkAIIFresh 0x3 布尔 TRUE或FAISE TRUE 网络层输人赖是否需进行新鲜性检t 指示是否需对网络层输人和输出数据赖 启用安全保护 如果设置为0x01,需对所 有的输人和输出帧进行安全处理发往当 前设备、安全子域为0的数据灿除外);如 nwkSecure 0xa5 布尔 TRUE或FALSE TRUE 果该属性值为0x01,网络层不能转发安全 AIlFrames 子域为0的
NLDE-DATA.request原 语中的SecurityEnable参数将覆盖该属性 的设置 如果该值为TRUE,节点设备和路由器之 nwkRouterAuthen 0xab 布尔 TURE或FALSE间需要相互鉴别,否则不需要进行鉴别FALSE 操作 表10建立密钥时设定的NIB属性 描述 类型 范围 默认 名称 信任中心分配给网络密钥的 序列号,可在密钥更新时对网 KeySegNumber 整型 0x000xFF 0x00 络进行区分,并对输人进行 安全操作 0x00000000 OutgoingFrameCounter4个八位位组的集合 输出计数器 0x00000000 0xFFFFFFF 见表11中接收计数器 输人顿计数器的值、以及相应 IncomingFrame 可变的 空集 描述符的值的设置 的设备地址的集合 CouunterSet Key 16个八位位组的集合 密旬的实际取值 密钥的类型
0x01:标准 0x000xFF 0x01 KeyType 整型 0x05,高安全性 其他值保留 表11计数器的NIB属性 类型 范围 名称 描述 默认 任何有效的64位IEEE地址扩展设备地址 SenderAddress 地址 4个八位位组的有序集 ox00000000~0xFFFFFFFF输人赖的计数器 0x00000000 lncomingFrameCounter 13
GB/T30269.602一2017 应用支持子层安全 7.1应用支持子层安全概述 应用支持子层负责安全地转发输出,接收输人以及建立并管理密钥
上层通过向应用支持子 层发出原语来控制密钥的管理
7.2应用支持子层安全服务 7.2.1概述 表12列出了密钥管理和维护可用的原语
表12应用支持子层安全原语 APSME安全原语 请求 确认 指示 响应 描述 信任中心分发密钥材 NPsME-DsTRIBUTEKEY 7.2.,2.2 7.2.2.3 料到设备 两个设备之间手动建 APsMEEsTABL.ISHHKEY 7.2.3,27.2.3.37.2.3,47.2.3,5 个共享密钥 一 信任中心去通知其他 APSME-UPDATE-KEY 7.2,4.2 7.2.4.3 设备应该更换到 新的密钥 信任中心去通知相关 APSME-REVOCATION-KEY 7.2,5.1 7.2.5.2 设备撤销使用特定密 钥信息 用于控制用户对传感 APSME-ACCESS-CONTROL 7.2.6.27.2.6.37.2.6.4 网的节点资源和数据 资源的访问 用于两个设备之间进 APSME-IDENTITY-AUTHENTICATE 7.2.7.27.2.7.37.2.7.4 行身份鉴别 用于设备之间进行广 APSME-MESSAGE-AUTHENTICATE 7.2.8.27.2.8.37.2.8.4 播消息鉴别 用于网络协调器和设 APSMESECUREDATA-AGGREGATION-START7.2.9,17.2.9.27.2.9.37.2.9,4 备进行安全数据融合 用于网络协调器和设 APsME:SEcURE-DATAAGGREGAToN-REvoKE7.2.l0.5 7.2.10.6 备安全数据融合的 撤销 7.2.2密钥分发服务 7.2.2.1概述 APSME提供信任中心向设备分发密钥材料的服务
无线传感设备以保护密钥不被泄露的方式写 人信任中心分发的密钥材料中
14
GB:/T30269.602一2017 7.2.2.2APSMIE-D1STRIBTE-KEY. .regqest 7.2.2.2.1 服务原语的语义 APsMED1STRIBUTE-KEY.request原语用来分发密钳到其他设备
该原语应提供以下的接口: APSME-DISTRIBUTE-KEY.request DistributeType KeyType NodeID KeyData 表13列出了APSME-DISTRIBUTE-KEY.request原语的参数
表13APs-DIsTRIBUTE-KEY.request原语的参数 参数名称 类型 有效范围 描述 密钥材料分发的方式 DistributeType 整型 0x000x06 KeyType 整型 0x000x01 被分发的密钥材料的类型 NodelID 地址 通常为设备有效的64位IEEE地址 设备唯一的标识符 分发使用的安全参数 KeyData Variable 可变的 APSME-DISTRIBUTE-KEY.request原语中的参数DistributeType值见表14
表14APSMIE-DIsIRIBUIE-KEY.reques原语的DistrihuteIype参数值 枚举 值 描述 信任中心配置 由信任中心直拨载人节点设备 0x00 手持设备进行分发 0x01 通过手持设备将密钥材料分发到设备 APsME-D1STRIBUTE-KEY.request原语的参数KeyType的值见表15,参数KeyData的类型取 决于参数KeyType的值
表15AsMIE-DISTRIUTE-KEY. .reques原语的KeyIype参数值 枚举 值 描述 初始化密钥材料,无线传感设备在安装于现场之前,用于协商 0x00 Initializationkey 共享密钥,应该根据实际需求向设备写人 初始化值,确立和维持密码密钥关系所必需的数据 Initializationvalue 0x01 nitializationkey的参数见表16
表16 nitializationkey参数列表 类型 参数名称 有效范围 描述 可变的 密钥材料对应的标识符,用于唯一的密钥材料 Variable KeylID Key Setof16octets 可变的 初始化的密钥材料 15
GB/T30269.602一2017 nitializationvalue的参数见表17
表17 Initializationalue参数 类型 参数名称 有效范围 描述 Variable 可变的 初始化的值 Value 7.2.2.2.2产生条件 当信任中心需要分发密钥材料到设备时,它的邻近高层产生该原语
7.2.2.2.3收后效果 在接收到APSME-DISTRIBUTE-KEY.request原语后,信任中心的APSME作为密钥分发的发起 者,直接分发密钥材料到目标设备
7.2.2.3APSIE-D1STRIBUTE-KEY.indication 7.2.2.3.1服务原语的语义 APSME-DIsTRIBUTE-KEY.indication原语用来通知邻近高层接收到了密钥材料
该原语应提供以下的接口 APSME-DISTRIBUTE-KEY.indication KeyType NodeID KeyData 表18列出了APsME-DSTRIBUTE-KEY.indication原语的参数
表18AsMIE-DSTRIBUE-KEY.indieation参数 参数名称 类型 有效范围 描述 被分发的密钥材料的类型 0x000x01 KeyType 整型 NodelD 通常为设备有效的64位IEEE地址 设备唯一的标识符 地址 分发使用的安全参数
参数的类型取决于 下面KeyType参数 KeyData Variable 可变的 KeyType=0x0见表20 KeyType=0xO1见表21 APSME-DISTRIBUTE-KEY.indication原语的参数KeyType的值见表19,参数KeyData的类型 取决于参数KeyTye的值 表19APSE-DIsTRIBUIE-KEY.indieation原语的KeyIype参数值 枚举 值 描述 初始化密钥材料,无线传感设备在安装于现场之前,用于协商 Initializationkey 0x00 共享密钥的密钥材料,根据实际需求向设备写人 初始化值,确立和维持密码密钥关系所必需的数据 lnitializationvalue 0xO1 16
GB:/T30269.602一2017 nittializationkey的参数见表20.
表20Initializationke参数 参数名称 类型 有效范邮 描述 KeylD 可变的 密钥材料对应的标识符,用于唯一的密钥材料 Vwariabe Key Setof16oetets 可变的 初始化的密钥材料 nitializationvalue的参数见表21
表21 nitializationvalue参数 参数名称 类型 有效范围 描述 Variale value 可变的 初始化的值 7.2.2.3.2产生条件 当目标设备接收到信任中心分发的密钥材料后,其APSME产生此原语
7.2.2.3.3收后效果 收到该原语后,接收者的邻近高层被通知已收到密钥材料
7.2.3密钥建立服务 7.2.3.1概述 APSME提供允许两个设备之间可以手动建立一个共享密钥的服务
初始信任信息例如一个主 密钥)应在运行密钥建立协议之前安装在每个设备上
7.2.3.2APSE-ESTABLISH-KEY
.request 服务原语的语义 7.2.3.2.1 APSMEESTABLISHKEY.request原语用来启动一个密钥建立协议,以安全地和另一设备通信
一个设备作为发起设备,另一个设备作为响应设备,发起设备启动密钥建立协议
该原语应提供以下的接口: APSME-ESTABLISH-KEY.request KeyTpye DestAddress ResponderAddress KeyEstablishmentMethod KeyData 表22列出了APSMEESTABLISH-KEY.request原语的参数
17
GB/T30269.602一2017 表22ASME-ESTABL.ISH-KEY. .request参数 参数名称 类型 有效范围 描述 KeyTpye 整型 0x000x01 被分发的密钥材料的类型 DestAddress 地址 任何有效的64位IEEE地址 发起设备的64位IEEE地址 Responder-Address 地址 任何有效的64位lEEE地址 响应设备的64位1EEE地址 KeyEstablishment-Method 整型 0x000x03 请求钥建立的方法 KeyData Variable 可变的 用于峦钥建立的安全参数 APSME-ESTABLISHKEY.reqest原语中参数KeyType的值见表23
参数KeyData的类型取 决于参数KeyType的值 表23APSMIE-ESTABLISIHKEY.request原语的KeyIpye参数值 值 枚举 描述 发起者请求建立共享密钥 0x00 Sharedkey Sessionkey 0x01 发起者请求建立会话密钥 APSME-ESTABLISH-KEY.r request原语中参数KeyEstablishment-Method的值见表24 表24APSMIE-ESTABLISH-KEY.request原语的KeyEstabishment-Mlethod参数值 枚举 描述 0x00 采用基于密钥池预分发的方法建立直接密钥 基于随机密钥池的方法 0x01 基于多项式池的方法 采用多项式池的密钥预分配的分发方法建立直接密钥 同一簇内路径密钥建立的方法 0x02 同一簇内建立路径密钥 不同簇内路径密钥建立的方法 0x03 不同簇内建立路径密钥 基于随机密钥池的KeyData参数见表25 表25基于随机密钥池的KeyData参数 参数名称 类型 有效范围 描述 ID 可变的 密钥材料对应的标识符,用于唯一的密钥材料 Variable Key Setof16octets 可变的 Key 初始化的密钥材料 基于多项式池的KeyData参数见表26
表26基于多项式池的KeyData参数 参数名称 类型 有效范围 描述 PolynomialID Variable 可变的 用于唯一的标识多项式 Nonce Variable 可变的 随机产生的Nonee值 密钥建立发起设备的标识符 NodeID Variable 可变的 18
GB:/T30269.602一2017 基于同一簇内路径密钥建立的KeyData参数见表27
表27基于同一簇内路径密钥建立的KeyData参数 参数名称 类型 有效范围 描述 KeyID Variable 可变的 密钥标识符,用于唯一标准密钥 KeyData Variable 可变的 信任中心发送到节点的密钥消息 基于不同簇内路径密钥建立的KeoyData参数见表28. 表28基于不同簇内路径密钥建立的KeyData参数 类型 有效范围 描述 参数名称 KeyID Variable 可变的 密钥标识符,用于唯一标准密钥 KeyData Variable 可变的 可信节点发送到密钥请求节点的密钥消息 7.2.3.2.2产生条件 当发起设备请求和一个响应设备建立一个会话密钥时,它的上层产生本原语
7.2.3.2.3收后效果 接收到APSME-ESTABLISH_KEY.request原语后,如果KeyEstablishmentMethod参数等于 0x00,APSME执行基于密钥池的预分配协议
本地的APSME作为本协议的发起设备,DestAddress 参数指明的APSME作为本协议的发起设备,Responder-Address参数设置为广播地址
如果KeyEstabishmentMethod参数等于0x01,执行基于多项式池的预分配协议
本地的 APSME作为本协议的发起设备,DestAddress 参数指明的APSME作为本协议的发起设备 Responder-Address参数设置为广播地址 如果KeyEstabishmentMethod参数等于0x02,执行同一簇内建立路径密钥协议,即发起节点与目 的节点有共同的邻居节点,且存在一条的安全连接
本地的APsME作为本协议的发起设备,DeslAd dress参数指明的APSME作为本协议的发起设备,Responder-Address参数设置为目的设备的64位 1EEE地址
如果KeyEstablishmentMethod参数等于0x03,执行不同簇内建立路径密钥协议
本地的 APsME作为本协议的发起设备,DestAddress参数指明的APSME作为本协议的发起设备, Responder-Addres参数设置为目的设备的64位IEEE地址
7.2.3.3APSMI-ESIABL.ISHH-KEY.confirm 7.2.3.3.1服务原语的语义 本原语在密钥建立协议成功或者失败后发给邻近高层
该原语应提供以下接口: APSME-ESTABLISH-kKEY.confirm Addres Status 表29列出了APSME-ESTABLISH-KEY.confirm参数的原语
19
GB/T30269.602一2017 表29APSME-ESITABLISH-KEY.comt irm参数 有效范围 参数名称 类型 描述 执行密钥建立协议设备的64位IEEE Address 地址 任何有效的64位IEEE地址 地址 通过给出的值或者NLDE-DATA.confirm 密钥建立协议的最终状态 Status 状态 原语返回的任何状态值 7.2.3.3.2产生条件 在曾钥建这协议完成后,响应设备和发起设备的APsME都应向邻近高层发出该原诵
7.2.3.3.3收后效果 如果密钥建立成功,发起设备和响应设备的AB应用最新的会话密钥更新,发起者应能和响应者 加密通信
如果密钥建立不成功,AIB不能改变
7.2.3.4APSME-ESTABLISH-KEY.indication 7.2.3.4.1服务原语的语义 当响应者从发起者接收到一个原始的密钥建立信息或者信任中心从响应者接收到一个密钥建立信 息时,它的APsME向邻近高层发出该原讲 该原语应提供以下接口 APSMEESTABLISHKEY.indication InitiatorAddress KeyEstablishmentMethod KeyType KeyData 表30列出了APSME-ESTABLISH-KEY.indication原语的参数
表30AsME-ESTABLISH-KEY.indieation参数 参数名称 类型 有效范围 描述 nitiatorAddress 地址任何有效的64位IEEE地址发起设备的64位IEEE地址 请求密钥建立的方法应是以下之一 0x00;基于密钥池的密钥预分配建立直接密钥 KeyEstablishment-Method 整型 0x00~0x03 0xo1;基于多项式池的密钥预分配建立直接密钥 0x03;同一簇内建立路径密钥 0x04;不同簇内建立路径密钥 KeyType 整型 0x000xO01 标识应该被分发的密钥材料的类型 用于密钥建立的安全参数 Variale 可变的 KeData 20
GB:/T30269.602一2017 APSME-ESTABLISH-KEY.indiceation原语中参数KeyEstablishmentMethod的值见表31
表31AsME-ESsTAL.IsHKY.inateat原语的KeyEt tabishment-Method参数值 值 枚举 描述 代表采用基于密钥池预分发的方法建立直接密钥 基于随机密钥池的方法 0x00 基于多项式池的的方法 代表采用多项式池的密钥预分配的发方法建立直接密钥 0x01 同一簇内路径密钥建立的方法 0x02 同一簇内建立路径密钥 不同簇内路径密钥建立的方法 0x03 不同簇内建立路径密钥 基于随机密钥池的KeyData参数见表32. 表32基于随机密钥池的的keyData参数 参数名称 类型 有效范围 描述 可变的 密钥材料对应的标识符,用于唯一的密钥材料 KeylID Variale Key Setof16octets 可变的 初始化的密钥材料 基于多项式池的KeyData参数见表33
表33基于多项式池的keyData参数 参数名称 类型 有效范围 描述 PolynomialID Variable 可变的 用于唯一的标识多项式 可变的 随机产生的Nonce值 Nonce Variable NodeID Variabe 可变的 密钥建立发起设备的标识符 基于同一簇内路径密钥建立的KeyData参数见表34
表34基于同一簇内路径密钥建立的KeyData参数 类型 描述 参数名称 有效范围 可变的 密钥标识符,用于唯一标准密钥 KeyID Variable 可变的 来自信任中心的密钥消息 KeyData Variale 基于不同簇内路径密钥建立的KeyData参数见表35
表35基于不同簇内路径密钥建立的KeyData参数 类型 参数名称 有效范围 描述 KeyID Variabe 可变的 密钥标识符,用于唯一标准密钥 KeyData Variable 可变的 来自可信节点的密钥消息 21
GB/T30269.602一2017 7.2.3.4.2产生条件 当一个发起设备收到开始密钥建立协议的请求时,响应设备的APSME向邻近高层发出该原语
7.2.3.4.3收后效果 收到APSME-ESTABLISHKEY.indiceation原语后,邻近高层根据KeyEstabishmentMethod和 lnitiatorAddress参数确定是否和发起者建立密钥连接,并使用APSME-ESTABLISH-KEY.response 原语响应
7.2.3.5APSIE-ESTABLISHH-KEY.response 7.2.3.5.1服务原语的语义 响应设备或者信任中心的邻近高层使用APSsME-ESTABLISH-KEY.Response原语响应接收到的 APSME-ESTABLISHKEY.indication原语
邻近高层决定是否继续密钥建立或者终止,并在 APsME-ESTABLISH-KEY.indication原语Accept参数中指明
该原语应提供以下接口 APSME-ESTABLISH-KEY.response InitiatorAddress Accept 表36列出了APsME-ESTABLISH-KEY.response原语的参数
表36APSME-ESTABLISH-KEY.response参数 参数名称 类型 有效范围 捕述 地址 有效的64位IEEE地址初始化密钥建立设备的64位IEEE地址 InitiatorAddress 该参数代表响应到初始化者的请求执行一个密钥 建立协议
响应为 布尔 Accept TRUE或FAISE TRUE;接收 FALSE:拒绝 7.2.3.5.2产生条件 发起者启动一个密钥建立协议即收到APSME-ESTABLISHKEY.indication)后,邻近高层应产 生APSME-ESsTABLISHKEY.response原语并且提供给APSME
响应者的邻近高层可利用该原语 决定接受或拒绝和给定的发起者建立密钥的请求
7.2.3.5.3收后效果 如果参数Accept的值为TRUE,响应者的APSME按照KeyEstabishmentMethod参数的指示执 行密钥建立协议 7.2.4密钥更新服务 7.2.4.1 概述 APSME提供允许一个信任中心通知其他设备更换到一个新密钥的服务 22
GB:/T30269.602一2017 7.2.4.2APSME-UPDATE-KEY. ,request 7.2.4.2.1服务原语的语义 该原语应提供以下接口: APSME-UPDATE-KEY.reguest DestAddress KeyType KeyData 表37列出了APSME-UPDATE-KEY,request原语的参数
表37APSME-UPDATE-KEY.reques参数 描述 类型 参数名称 有效范围 DestAddress 地址 任何有效的64位IEEE地址密钥更新命令发送到设备的64位IEEE地址 KeyType 整型 0x000x03 更新的密钥材料的类型 KeyData Variable 可变的 分发使用的安全参数 APSME-UPDATE-KEY.request原语中参数KeyType的值见表38
参数KeyData的类型取决于 参数KeyType的值
表38APsMIE-UPDAIE-KEY.request原语的KeyIype参数值 值 枚举 描述 初始化密钥材料,无线传感设备在安装于现场之前,用于协商 nitializationkey 0x00 共享密钥的密钥材料,应该根据实际需求向设备写人 初始化值,确立和维持密码密钥关系所必需的数据 Initializationvalue 0x01 Sharedkey 0x02 信任中心更新的密钼为共享密钥 Sessionkey 0x03 信任中心更新的密钥为会话密钥 初始化密钥材料,共享密钥或会话密钥的参数见表39
表39初始化密钥材料、共享密钥或会话密钥的参数 参数名称 类型 有效范围 描述 KeyID Variable 可变的 密钥对应的标识符,用于唯一的密钥 可变的 新更新的密钥消息 Key Setof16oetets 初始化值的Initializationvalue 参数的值见表40
表40初始化值的Initializationalue 参数值 参数名称 类型 有效范围 描述 Variable 可变的 初始化的值 value 23
GB/T30269.602一2017 7.2.4.2.2产生条件 当信任中心通知一个设备应该更换一个新密钥时,它的邻近高层产生APSME-UPDATE-KEY. re quest原语
7.2.4.2.3收后效果 接收到APSME-UPDATEKEY.request原语后,设备首先创建一个密钥更新命令,该命令帧的 目的地址设置为和DestAddres、相同的地址
该命令帧应按照附录B的帧安全部分执行安全保护,如果安全处理成功,向DestAddress参数指定 的设备发送NLDE-DATA.request原语
7.2.4.3APSME-UPDAIE-KEY.indieatiom 7.2.43.1服务原语的语义 APSME通过发出APSME-UPDATE-KEY.indication 原语通知邻近高层其已经收到了密钥更新 命令帧
该原语应提供以下接口: APSMEUPDATE-kKEY.ind ication DestAddress KeyIype KeyData 表41列出了APSME-UPDATEKEY.indieation原语的参数
表41APSME-UPDATE-KkEY.indieation参数 参数名称 类型 有效范围 描述 DestAddress 地址 任何有效的64位IEEE地址发送更换密钥命令的设备的扩展64位lEEE地址 更新的密钥材料的类型 KeyType 整型 0x000x03 Variable KevData 可变的 更新使用的安全参数 APSME-UPDATE-KEY.indication原语中参数KeyType的值见表42
参数KeyData的类型取决 于参数KeyIype的值
表42APSIE-UPDATE-KEY.indieation原语的KeyIype参数 值 枚举 描述 初始化密钥材料,无线传感设备在安装于现场之前,用于协商 0x00 lnitializationkey 共享密钥的密钥材料,应该根据实际需求向设备写人 Initializationalue 0x01 初始化值,确立和维持码密钥关系所必需的数据 信任中心更新的密钥为共享密钥 0x02 Sharedkey Sessionkey 0x03 信任中心更新的密钥为会话密钥 初始化密钥材料、共享密钥或会话密钥的参数见表43
24
GB:/T30269.602一2017 表43初始化密钥材料,共享密钥或会话密钥的参数 参数名称 类型 有效范围 描述 KeyI Variable 可变的 密钥对应的标识符,用于唯一的密钥 Key Setof16octets 可变的 新更新的密钥消息 初始化值的Initializationvalue参数的值见表44
表44初始化值的Initializationvalue 参数 参数名称 类型 有效范围 描述 value Variable 可变的 初始化的值 7.2.43.2产生条件 当APSME收到一个成功加密并认证过的密钥更新命令后,产生该原语
7.2.4.3.3收后效果 在接收到APSME-UPDATEKEY.indication原语后,邻近高层被告知SrcAddress 参数指明的信 任中心正在请求更新KeyType类型的密钥,更新的密钥为KeyData
7.2.5密钥撤销服务 7.2.5.1AsME-RocAToN-KEY.request 7.2.5.1.1服务原语的语义 -个信任中心通过发送本原语,通知相关设备撤销使用特定密钥信息
该原语应提供以下接口 APsME-REvOCATON-KEY.request DestAddress KeyD RevocationTime RevocationReason 表45列出了APSMEREV0CATION-KEY.r est原语的参数 regues 表45APSMIE-REocCATION-KEY.rqest s参数 参数名称 类型 有效范围 描述 DestAddress 地址 任何有效的64位IEEE地址密钥撤销命令发送到设备的扩展64位IEEE地址 KeyID Variable 可变的 撤销密钥的标识符 可变的 撤销密钥的日期时间 RevocationTime Variable 撒销密钥的原因 RevocationReason Variable 可变的 25
GB/T30269.602一2017 7.2.5.1.2产生条件 当信任中心需要通知相关设备撤销一个特定密钥时,它的邻近高层产生APSME-REVOCATION- KEY.request原语
7.2.5.1.3收后效果 在接收到APsME-REv0cCATION-KEY.request原语后,设备首先创建一个密钥撤销命令帧,该 命令帧的目的地址应设置为和DestAddress相同的地址,如果需要通知网内所有设备,则目的地址为广 播地址
7.2.5.2APSME-REVOCATION-KEY.indication 7.2.5.2.1 服务原语的语义 APSME发出APSME-REVOCATION-kKEY.indieation原语通知邻近高层已经收到了密钥撒销命 令赖
该原语应提供以下接口 APSMEREVOcCATON-KEY.indieationm SreAddres ID Key RevocationTime RevocationReason 表46列出了APSME-REVOCATION-KEY.indication原语的参数
表46APSMIE-REvoCATIoN-kEY.indieation参数 有效范围 参数名称 类型 描述 IEEE 任何有效的64位 发送密钥撤销命令的设备的扩展64位IEEE地址 SrcAddress 地址 地址 Variable 可变的 撒销密钥的标识符 KeyID RevocationTime Variable 可变的 撤销密钥的日期时间 RevocationReason Variable 可变的 撤销密钥的原因 7.2.5.2.2产生条件 当接收者收到一个成功认证过的密钥撤销命令帧时,它的APSME产生该原语
7.2.5.2.3收后效果 在接收到APsME-REv0CATIoNKEY.imdieaton原语后邻近高层被告知SsrcAddres参数指 明的信任中心要求撤销的密钥标识符KeyID,撤销日期RevocationTime及撤销的原因Revocation Reason,设备根据密钥撇撤销命令删除存储的相关密钥信息
7.2.6访问控制服务 7.2.6.1 概述 APSME提供允许控制用户对传感器网络的节点资源和数据资源进行访问的服务 26
GB:/T30269.602一2017 7.2.6.2APSMIE-AcCEss-CONTRoL. .regquest 7.2.6.2.1服务原语的语义 APSME-ACCESS-CONTROL request原语用来启动访问控制过程或者响应其他设备发起的 访问
该原语应该提供以下接口: APSME-ACCESS-C(ONTROL,reguest ResponderAddress Action AccessObject AccessControlMethod 表47列出了APSME-ACCESS-CONTROL.request原语的参数
表47APSME-ACCESS-CONTROL.reques原语参数 参数名称 有效范围 类型 描述 ResponderAddress 地址 任何有效的64位lIEEE地址 响应设备的64位IEEE地址 INITIATE RESPOND_AcCEPT 枚举 采取的行动 Action RESPOND_REJECT 请求访问的对象应是以下之一 Access(Object 整型 0x000x01 0x00;数据资源 节点资源 0x01 请求访问控制的方法应是以下之 整型 0x00;自主访问方法 AccessControlMethod 0x000x0l 0x01;强制访问方法 Action参数值列举见表48.
表48Action参数值列举 列举 值 描述 INITIATE 0x00 启动访问过程 REsPOND_AcCEP 接受响应访问请求 0x01 RESPOND_RJECT 0x02 拒绝响应访问请求 7.2.6.2.2产生条件 当用户发起请求或响应设备需要启动访问控制时,它的上层产生该原语
27
信息技术传感器网络第602部分:信息安全:低速率无线传感器网络网络层和应用支持子层安全规范GB/T30269.602-2017
近年来,随着物联网技术的发展,传感器网络在各个领域中得到了广泛的应用。然而,在实际应用过程中,传感器网络安全问题愈发突出,因此如何保障传感器网络的安全性成为了一个关键问题。
GB/T30269.602-2017是针对低速率无线传感器网络的网络层和应用支持子层安全规范标准,该标准规定了传感器网络中数据传输过程中应采取哪些措施来保证网络的安全性。
在该标准中,对于传感器网络的安全问题,主要采用了以下几种措施:身份认证、会话密钥管理、数据完整性校验、数据保密性保护等。通过对这些措施的实施,可以有效地保障传感器网络的数据安全和传输安全。
此外,该标准还规定了传感器网络中各层之间的通信安全机制,包括网络层和应用支持子层的安全协议规范。在实际应用过程中,则需要根据不同的场景选择相应的安全机制来保障传感器网络的安全性。
总之,GB/T30269.602-2017是一项非常重要的标准,对于保障低速率无线传感器网络的安全性具有十分重要的意义。
