PT106607A - ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT - Google Patents

ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT Download PDF

Info

Publication number
PT106607A
PT106607A PT106607A PT10660712A PT106607A PT 106607 A PT106607 A PT 106607A PT 106607 A PT106607 A PT 106607A PT 10660712 A PT10660712 A PT 10660712A PT 106607 A PT106607 A PT 106607A
Authority
PT
Portugal
Prior art keywords
nodes
network
access control
sensor networks
control method
Prior art date
Application number
PT106607A
Other languages
Portuguese (pt)
Inventor
Joel J P C Rodrigues
Luís M L Oliveira
Amaro F De Sousa
Original Assignee
Univ Aveiro
Univ Da Beira Interior Museu De Lanifícios
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Aveiro, Univ Da Beira Interior Museu De Lanifícios filed Critical Univ Aveiro
Priority to PT106607A priority Critical patent/PT106607A/en
Publication of PT106607A publication Critical patent/PT106607A/en

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

A PRESENTE INVENÇÃO DIZ RESPEITO A UM NOVO MÉTODO DE ADMISSÃO DOS NÓS DE UMA REDE DE SENSORES (18) QUE PODE SER UTILIZADO PARA CONTROLAR QUAIS OS NÓS QUE DEVEM TER ACESSO À REDE DE ACORDO COM UMA POSTURA DE SEGURANÇA PREVIAMENTE DEFINIDA. ESTA POSTURA DE SEGURANÇA É BASEADA NA IDENTIDADE DO NÓ (18) E NAS SUAS CONFIGURAÇÕES DE SOFTWARE. ESTE MÉTODO DESTINA-SE A SER UTILIZADO NAS REDES DE SENSORES SEM FIOS POR RADIOFREQUÊNCIA DE BAIXO DÉBITO E DE BAIXA POTÊNCIA. ATES DE UM NOVO NÓ PODER COMUNICAR COM OUTROS NÓS DA REDE, OU DE PODER UTILIZAR A INFRAESTRUTURA DE REDE É VALIDADA A SUA IDENTIDADE E VERIFICADAS QUAIS AS SUAS CONFIGURAÇÕES DE SOFTWARE (10). UM NOVO NÓ SÓ É ACEITE SE FOR APROVADO PELO ADMINISTRADOR (5) E SE AS SUAS CONFIGURAÇÕES DE SOFTWARE FOREM COMPATÍVEIS COM A POSTURA DE SEGURANÇA EM VIGOR (11).The present invention relates to a new method of admitting us of a network of sensors (18) which can be used to control which of us should have access to the network in accordance with a previously defined security posture. THIS SECURITY POSITION IS BASED ON THE IDENTITY OF THE KNOT (18) AND ON ITS SOFTWARE SETTINGS. THIS METHOD IS INTENDED TO BE USED ON WIRELESS AND LOW POWER RADIO FREQUENCY NETWORKING SENSOR NETWORKS. ATES OF A NEW KNOWLEDGE TO COMMUNICATE WITH OTHERS OF THE NETWORK, OR TO BE ABLE TO USE THE NETWORK INFRASTRUCTURE IS VALID TO YOUR IDENTITY AND VERIFIED WHAT YOUR SOFTWARE SETTINGS (10). A NEW NUMBER IS ONLY IF IT IS APPROVED BY THE ADMINISTRATOR (5) AND IF ITS SOFTWARE SETTINGS ARE COMPATIBLE WITH THE SAFETY POSITION IN FORCE (11).

Description

1 DESCRIÇÃO "Método de controlo de acesso para rede de sensores com suporte para IPv6"1 " Access control method for sensor network with IPv6 support "

Dominio técnico da invenção A presente invenção diz respeito a um método que garante que apenas se ligam a uma infraestrutura de rede os sensores sem fios por radiofrequência que sejam previamente autorizados e que as suas configurações de software estejam de acordo com as regras de segurança previamente definidas. Garantir que apenas os nós que se encontram nestas condições se podem ligar à rede vai tornar a rede mais segura e simultaneamente mais fácil de gerir. Por um lado, impede que nós estranhos se liguem à rede e por outro garante que todos os nós executam o mesmo software nas condições que foram definidas. Este método foi desenvolvido tendo em conta que vai ser utilizado em dispositivos sem fios por radiofrequência com limitações ao nivel do consumo de energia, dos recursos de processamento e de armazenamento. Trata-se de um método que recorre fundamentalmente a protocolos estandardizados que normalmente são utilizados nas redes de sensores e que permitem detectar e identificar a presença de novos nós e de os avaliar de acordo com regras de segurança previamente definidas. Antes dos nós serem autorizados, não podem comunicar com outros nós autorizados nem utilizar a infraestrutura de rede para comunicar com a Internet.TECHNICAL FIELD OF THE INVENTION The present invention relates to a method which ensures that only radio-frequency wireless sensors that are previously authorized are connected to a network infrastructure and that their software configurations conform to the previously defined security rules . Ensuring that only the nodes that are in these conditions can connect to the network will make the network safer and simultaneously easier to manage. On the one hand, it prevents strangers from connecting to the network and on the other hand ensures that all nodes run the same software under the conditions that have been defined. This method has been developed taking into account that it will be used in radiofrequency wireless devices with limitations on the level of energy consumption, processing and storage resources. It is a method that basically uses standardized protocols that are normally used in sensor networks and that allow to detect and identify the presence of new nodes and to evaluate them according to predefined security rules. Before the nodes are authorized, they can not communicate with other authorized nodes or use the network infrastructure to communicate with the Internet.

Este método foi especificado com base em protocolos abertos que são normalmente utilizados em redes de sensores que 1 2 suportem o protocolo ΙΡνβ. Trata-se de um método inovador porque para além de garantir a identidade do novo nó com base em mecanismos criptográficos, permite também verificar se o software instalado no nó está de acordo com as regras definidas e caso não esteja possibilita a sua atualização através da rede sem fios sem que seja necessário retirar o nó da sua localização e ligá-lo a uma estação de gestão através de um cabo de consola. É usada uma caixa para proteger o sensor de forma a evitar que os atacantes acedam ao sensor com o objetivo de duplicarem os sensores ou de terem acesso aos dados ai guardados. Um sinal de alta-voltagem destrói o hardware do sensor caso a caixa seja mal manuseada.This method was specified based on open protocols that are normally used in sensor networks that support the ΙΡνβ protocol. It is an innovative method because in addition to guaranteeing the identity of the new node based on cryptographic mechanisms, it also allows to verify if the software installed in the node is in accordance with the defined rules and if it is not possible to be updated through the network without the need to remove the node from its location and connect it to a management station via a console cable. A box is used to protect the sensor in order to prevent attackers from accessing the sensor in order to duplicate the sensors or to access the data stored there. A high voltage signal destroys the sensor hardware if the case is poorly handled.

Sumário da invenção É objectivo da presente invenção definir um método inovador que garanta que apenas os nós de uma rede sensores (18) que tenham sido previamente autorizados (2) e que cumpram os requisitos de segurança em vigor (11) possam comunicar com os nós autorizados e que possam usar a infraestrutura de rede para comunicar com outros nós. Este método inovador tem como objectivo tornar a rede mais segura e mais fácil de gerir, uma vez que garante que apenas os nós cuja identidade é conhecida se podem ligar à rede e que todos os nós executam software conhecido com as configurações autorizadas (11). A solução baseia-se na detecção e identificação de novos nós (1) , na sua autorização e na avaliação do software que estão a executar e das duas configurações. São utilizados mecanismos criptográficos para garantir a autenticidade dos nós e a confidencialidade e integridade das mensagens trocadas entre os nós 2 3 autorizados. É utilizado um agente que se encontra instalado (6,16) em todos os sensores que pretendam aceder à rede para avaliar o software instalado, assim como as configurações atuais. A gestão da rede pode ser realizada a partir de uma aplicação cliente de gestão ligada à Internet (14) .SUMMARY OF THE INVENTION It is an object of the present invention to provide an innovative method which ensures that only nodes of a network (18) which have been previously authorized (2) and which meet the current safety requirements (11) can communicate with the nodes authorized users and who can use the network infrastructure to communicate with other nodes. This innovative method aims to make the network safer and easier to manage, since it ensures that only nodes whose identity is known can connect to the network and that all nodes execute known software with the authorized configurations (11). The solution is based on the detection and identification of new nodes (1), their authorization and the evaluation of the software they are running and the two configurations. Cryptographic mechanisms are used to ensure the authenticity of the nodes and the confidentiality and integrity of the messages exchanged between the authorized nodes. An agent that is installed (6.16) is used on all sensors that wish to access the network to evaluate the installed software, as well as the current configurations. Network management can be performed from an Internet-connected management client application (14).

Antecedentes da InvençãoBackground of the Invention

Numa pesquisa cuidada ao estado da técnica não foram encontradas patentes nas quais se considera existir objectivos similares aos descritos nesta invenção.In careful research to the state of the art no patents have been found in which there are considered to be similar objectives to those described in this invention.

De seguida, apresenta-se uma lista das publicações mais relevantes nesta área [1-4], que serão alvo de análise, com vista a identificar e salientar as diferenças e limitações das suas abordagens, quando comparadas com o método [5] que se pretende patentear. 1. Xiao, Y.; Rayi, V.K.; Sun, B.; Du, X./, Hu, F.; Galloway, Μ. A survey of key management schemes in wireless sensor networks. Computer Communications 2007, 30, 2314-2341. 2. Perrig, A.; Szewczyk, R.; Tygar, J.D.; Wen, V.; Culler, D. SPINS: security protocols for sensor networks. Wireless Networks 2002, 8, 521-534. 3. Zia, T.A.; Zomaya, A.Y.; A Lightweight Security Framework for Wireless Sensor Networks. Journal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications (JoWUA) 2011, 2 :53—73, september 2011. 4. Gheorghe, L.; Rughinis, R.; Tapus, N., "Adaptive Security Framework for Wireless Sensor Networks," 3 4Following is a list of the most relevant publications in this area [1-4], which will be analyzed in order to identify and highlight the differences and limitations of their approaches, when compared to the method [5] intends to patent. 1. Xiao, Y .; Rayi, V.K .; Sun, B .; Du, X., Hu, F .; Galloway, Μ. A survey of key management schemes in wireless sensor networks. Computer Communications 2007, 30, 2314-2341. 2. Perrig, A .; Szewczyk, R .; Tygar, J.D .; Wen, V .; Culler, D. SPINS: security protocols for sensor networks. Wireless Networks 2002, 8, 521-534. 3. Zia, T.A .; Zomaya, A.Y .; The Lightweight Security Framework for Wireless Sensor Networks. Journal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications (JoWUA) 2011, 2: 53-73, september 2011. 4. Gheorghe, L .; Rughinis, R .; Tapus, N., " Adaptive Security Framework for Wireless Sensor Networks, " 3 4

Intelligent Networking and Collaborative Systems (INCoS), 2012 4 th International Conference on , vol., no., pp.636,641, 19-21 Sept. 2012 5. Oliveira, L.M.L.; Rodrigues, J.J.P.C.; de Sousa, A.F.; Lloret, J. A NetWork Access Control Framework for 6L0WPAN Networks. Sensors 2013, 13, 1210-1230.Intelligent Networking and Collaborative Systems (INCoS), 2012 4th International Conference on, vol., No., Pp.636,641, 19-21 Sept. 2012 5. Oliveira, L.M.L .; Rodrigues, J.J.P.C .; de Sousa, A.F .; Lloret, J. The NetWork Access Control Framework for 6L0WPAN Networks. Sensors 2013, 13, 1210-1230.

Atualmente, a procura de novas soluções de segurança para as redes de sensores tem estado focada em três grandes áreas: i) gestão de chaves criptográficas, ii) autenticação e encaminhamento seguro e iii) serviços seguros. Foram propostas soluções cujo objectivo é o acordo e a gestão de chaves criptográficas com o objectivo de garantir autenticidade dos nós e a integridade e confidencialidade das mensagens, conforme se descreve na publicação [1] . O sistema descrito na publicação [2], designado por SPINS é um dos sistemas mais completos que foram especificados com o objectivo de garantir a autenticação, a integridade e a confidencialidade em redes de sensores sem fios por radiofrequência. No entanto o SPINS não endereça problemas de segurança considerados muito importantes, como por exemplo, a detecção de nós cuja integridade tenha sido comprometida e os ataques de negação de serviço. Acresce ainda o facto do SPINS não ter em conta que a topologia das redes de sensores muda com frequência, assumindo que os nós são estáticos e que as relações de vizinhança são estáveis. Na publicação [3] , os autores propõem uma solução que propõe três novos mecanismos. Sendo que o primeiro é usado na distribuição eficiente de chaves e da sua revogação. O segundo garante a confidencialidade das mensagens. O terceiro garante a segurança no encaminhamento das mensagens. O solução descrita na publicação [4], permite que o nível de segurança seja definido em tempo real de 4 5 acordo com as ameaças de segurança detectadas, com os recursos de energia e de memória disponíveis e com os requisitos de segurança das aplicações em uso. Esta solução é constituída por um módulo de contexto, por um módulo de adaptação de segurança que define o nível de segurança e por uma camada que concretiza os serviços de segurança. 0 nível de segurança é definido de acordo com os resultados produzidos pelo módulo de contexto que por sua vez aciona a camada de segurança.Currently, the demand for new security solutions for sensor networks has focused on three main areas: i) cryptographic key management, ii) secure authentication and routing, and iii) secure services. Solutions were proposed that aim at the agreement and the management of cryptographic keys with the aim of guaranteeing authenticity of the nodes and the integrity and confidentiality of the messages, as described in the publication [1]. The system described in publication [2], referred to as SPINS, is one of the most complete systems that have been specified for the purpose of ensuring authentication, integrity and confidentiality in wireless sensor networks. However, SPINS does not address security issues that are considered very important, such as the detection of nodes whose integrity has been compromised and denial of service attacks. In addition, SPINS does not take into account that the topology of the sensor networks changes frequently, assuming that the nodes are static and that the neighborhood relations are stable. In the publication [3], the authors propose a solution that proposes three new mechanisms. The first one is used in the efficient distribution of keys and their revocation. The second guarantees the confidentiality of messages. The third party ensures the security of message forwarding. The solution described in publication [4] allows the security level to be set in real-time according to the security threats detected, the available power and memory resources, and the security requirements of the applications in use . This solution consists of a context module, a security adaptation module that defines the level of security and a layer that realizes the security services. The security level is defined according to the results produced by the context module which in turn triggers the security layer.

Atualmente, o controlo de acesso é considerado um serviço crítico para garantir a segurança das redes de sensores, uma vez que pode ser utilizado para prevenir que nós maliciosos se juntem à rede com o objectivo de desencadearem ataques internos. Nenhuma das soluções anteriormente referidas permite controlar quais os nós que se ligam à rede de acordo com a sua identidade e com o software instalado e com as suas configurações. Para além disso, não permitem corrigir as não conformidades identificadas sem que o nó tenha que ser removido do local onde está instalado para ser ligado por um cabo de consola a um terminal de forma a ser reprogramado. 0 facto de se garantir que todos os nós estão a utilizar software conhecido torna a rede mais determinística e também mais fácil de gerir.Currently, access control is considered a critical service to ensure the security of the sensor networks, since it can be used to prevent malicious nodes from joining the network in order to trigger internal attacks. None of the above solutions allows you to control which nodes connect to the network according to your identity and with the installed software and its configurations. In addition, they do not allow correcting identified nonconformities without the node having to be removed from the location where it is installed to be connected by a console cable to a terminal in order to be reprogrammed. The fact that making sure all nodes are using known software makes the network more deterministic and also easier to manage.

Descrição geral da invenção A presente invenção diz respeito a um método que permite controlar o acesso a uma infraestrutura de rede de sensores sem fios por radiofrequência. Com este método, apenas os sensores cuja identidade seja conhecida e que as suas configurações de software estejam de acordo com as regras de segurança previamente definidas podem utilizar a inf raestrutura de rede para comunicar com outros nós da 5 6 rede de sensores ou com a Internet (1,2,3,4,5,6,7,8,9,10,11,12). A presente invenção pode ser utilizada para robustecer a segurança da rede de sensores e para tornar a rede mais fácil de gerir e com comportamento mais determinístico. 0 método proposto inclui a detecção de novos nós, a identificação do software instalado em cada nó, a avaliação da segurança dos sensores de acordo com as regras definidas e a remediação das não conformidades encontradas em cada sensor através da rede sem fios. 0 mecanismo que se pretende patentear tem em conta que as comunicações nas redes de sensores são redes em malha e que a topologia muda com frequênciaThe present invention relates to a method for controlling access to a network infrastructure of wireless radiofrequency sensors. With this method, only sensors whose identity is known and their software configurations conform to pre-defined security rules can use the network infrastructure to communicate with other sensor network nodes or the Internet (1,2,3,4,5,6,7,8,9,10,11,12). The present invention may be used to enhance the security of the sensor network and to make the network easier to manage and more deterministic in behavior. The proposed method includes the detection of new nodes, the identification of the software installed at each node, the evaluation of the safety of the sensors according to the defined rules and the remediation of the nonconformities found in each sensor through the wireless network. The mechanism to be patented takes into account that the communications in the sensor networks are mesh networks and that the topology changes frequently

Descrição das FigurasDescription of Figures

Figura 1: Representação esquemática em linguagem fluxográfica do método de aprovação de um sensor. No fluxograma apresentado, (1) representa as operações que permitem detectar e identificar um novo nó, (2) representa as operações que permitem definir se a aprovação e automática, (3) representa as operações que permitem classificar um nó como autorizado, (4) representa as operações que permitem classificar o nó como pendente, (5) representa as operações necessárias para que o administrador classifique o nó como malicioso, (6) representa as operações necessárias para determinar se o agente se encontra instalado no sensor, (7) representam as operações que permitem instalar no sensor as imagem de software aceite, no caso da versão instalada diferente da autorizada, (8) representa as operações que permitem detectar se a instalação da atualização foi recusada, (9) representa as operações que permitem avaliar se a atualização foi bem sucedida, (10) representa o conjunto de 6 7 operações para avaliar o estado do sensor, (11) representa as operações necessárias para determinar se o sensor está de acordo com a política de segurança em uso e (12) representa o conjunto de operações que permitem classificar o sensor como malicioso.Figure 1: Schematic representation in flow-language of the method of approval of a sensor. In the flowchart presented, (1) represents the operations that allow to detect and identify a new node, (2) represents the operations that allow to define if the approval and automatic, (3) represents the operations that allow to classify a node as authorized, (4) (6) represents the operations necessary to determine if the agent is installed in the sensor, (7) represents the operations that allow the classification of the node as pending, (5) represents the operations necessary for the administrator to classify the node as malicious, represent the operations that allow the installed software image to be installed in the sensor, in the case of the installed version other than the authorized one, (8) represents the operations that allow to detect if the installation of the update was refused, (9) represents the operations that allow to evaluate if the update was successful, (10) represents the set of operations to evaluate the state of the sensor, (11) represents the operations nece to determine if the sensor conforms to the security policy in use and (12) represents the set of operations that allow to classify the sensor as malicious.

Figura 2: Representação da arquitetura de uma rede de sensores. Na figura 2, (13) representa a estação de gestão, (14) representa a aplicação cliente de gestão, (15) representa o encaminhador (router) de fronteira, (16) representa a aplicação servidor de gestão e as suas estruturas de dados, (17) representa as operações realizadas pela aplicação agente e as suas estruturas de dados e (18) representa um nó de uma rede de sensores.Figure 2: Representation of the architecture of a sensor network. In Figure 2, (13) represents the management station, (14) represents the management client application, (15) represents the border router, (16) represents the management server application and its data structures , (17) represents the operations performed by the agent application and its data structures and (18) represents a node of a sensor network.

Descrição detalhada da invenção A presente invenção, de um método de controlo de acesso para uma rede de sensores, tem como principal objectivo aumentar a segurança das rede de sensores sem fios por radiofrequência. 0 controlo de acesso é considerado um serviço fundamental para garantir a segurança das redes de sensores, uma vez pode ser utilizado para prevenir que nós externos à rede e que não podem ser geridos se juntem à rede com o objectivo de desencadearem ataques internos. 0 método proposto tem atenção as limitações dos nós da rede de sensores (18) e das principais caracteristicas deste tipo de redes. Para concretizar o método inovador que se pretende patentear, foi especificado um algoritmo (1,2,3,4,5,6,7,8,9,10,11,12), representado na figura 1, que a seguir se descreve. Para que este método possa ser utlizado, é necessário garantir que todos o nós (18) são 7 8 compatíveis com o protocolo estandardizado 6L0WPAN e que têm uma chave criptográfica na qual o encaminhador (router) de fronteira (15) confia e que permite autenticação mútua. 0 método tem como início a detecção de um novo nó (1) . Os novos nós (18) são detectados através do protocolo de descoberta de vizinhos definido no 6L0WPAN. Assim que é descoberto um novo nó, a aplicação servidor de gestão (14) inicia os procedimentos que permitem que o nó (18) e o encaminhador (router) de fronteira (15) se autentiquem mutuamente. 0 método de controlo de acessos pode funcionar em dois modos, modo de detecção e modo de detecção com avaliação do estado de segurança. Caso a aprovação automática (2) esteja selecionada, o nó é identificado passando de seguida e de forma automática sem intervenção do administrador para o estado autorizado (3). Quando o nó (18) transita para o estado autorizado (3), a aplicação servidor de gestão anuncia a toda a rede a identidade do sensor de forma a que todos os nós respondam a pedidos desse nó e que encaminhem quando necessário a suas mensagens. Caso a aprovação automática esteja desligada o nó transita para o estado pendente (4). No estado pendente (4) o nó continua a poder receber e a enviar mensagens relativas ao método de controlo de acessos. 0 gestor da rede pode classificar como malicioso o nó que esteja no estado pendente com base na sua identidade (5) . Caso seja classificado como malicioso, o nó transita para o estado malicioso (12) . Nesta situação, a aplicação servidor de gestão informa todos os nós acerca da identidade do nó malicioso (12). 0 nó deixa de poder usar os outros nós para enviar e para receber qualquer tipo de mensagens. No caso do nó não ser considerado malicioso, é iniciada a fase de avaliação do software instalado no novo nó e das suas configurações. São as mensagens enviadas pelo agente (6,16) instalado nos nós da rede de sensores que permitem que a 8 9 aplicação servidor de gestão (16) avalie o estado do sensor (18). Caso o agente esteja instalado, o nó é avaliado (10) e caso esteja de acordo com as regras definidas (11), transita para o estado autorizado (3), caso contrário transita para o estado malicioso (12). Se o agente (6,16) não estiver instalado, a imagem de software do sensor é atualizada (7). Se a atualização for recusada (8) o nó transita para o estado malicioso (12). A atualização da imagem de software, depois de concluída, é sempre avaliada (9), com o objectivo de determinar se a operação foi bem sucedida. Sendo o estado de segurança do nó posteriormente avaliado (11) . Note-se que no método proposto o nó não necessita de ser removido do local onde se encontra instalado para que seja possível a atualização da imagem de software e das suas configurações. Esta operação também pode ser utilizada para alterar as configurações dos nós da rede com o objectivo modicar os serviços que estão a ser prestados.DETAILED DESCRIPTION OF THE INVENTION The present invention, of an access control method for a sensor network, has as its main object to increase the safety of the wireless sensor network by radiofrequency. Access control is considered to be a key service to ensure the safety of sensor networks as it can be used to prevent external and unmanageable nodes from joining the network in order to trigger internal attacks. The proposed method takes into account the limitations of the nodes of the sensor network (18) and the main characteristics of this type of network. In order to realize the innovative method to be patented, an algorithm (1,2,3,4,5,6,7,8,9,10,11,12), shown in figure 1, has been specified, as described below . In order for this method to be used, it is necessary to ensure that all nodes (18) are compatible with the standardized protocol 6L0WPAN and that they have a cryptographic key in which the border router (15) trusts and that allows authentication mutual The method starts detecting a new node (1). The new nodes (18) are detected through the neighbor discovery protocol defined in 6L0WPAN. As soon as a new node is discovered, the management server application 14 initiates the procedures that allow the node 18 and the border router 15 to authenticate each other. The access control method can operate in two modes, detection mode and detection mode with evaluation of the safety state. If automatic approval (2) is selected, the node is identified automatically and without administrator intervention to the authorized state (3). When the node 18 moves to the authorized state 3, the management server application announces to the whole network the sensor identity so that all nodes respond to requests from that node and forward as necessary to their messages. If automatic approval is off, the node moves to the pending state (4). In pending state (4) the node will still be able to receive and send messages related to the access control method. The network manager can classify as malicious the node that is in the pending state based on its identity (5). If it is classified as malicious, the node moves to the malicious state (12). In this situation, the management server application informs all nodes about the identity of the malicious node (12). The node can no longer use the other nodes to send and receive any type of messages. In case the node is not considered malicious, the evaluation phase of the software installed on the new node and its configurations is started. They are the messages sent by the agent (6, 16) installed in the nodes of the sensor network which allow the management server application (16) to evaluate the state of the sensor (18). If the agent is installed, the node is evaluated (10) and if it is in accordance with the defined rules (11), it transitions to the authorized state (3), otherwise it moves to the malicious state (12). If agent (6, 16) is not installed, the sensor software image is updated (7). If the update is rejected (8), the node moves to the malicious state (12). The update of the software image, once completed, is always evaluated (9), in order to determine if the operation was successful. Since the security state of the node is subsequently evaluated (11). Note that in the proposed method the node does not need to be removed from the place where it is installed in order to be able to update the software image and its configurations. This operation can also be used to change the settings of the network nodes in order to modify the services that are being provided.

Foi especificada uma caixa para proteger os nós da rede de sensores, que destroem e inutilizam o nó caso tentem aceder ao hardware de forma irregular. Quando a caixa é mal manuseada, uma tensão elevada é aplicada em pontos-chave do hardware.A box has been specified to protect the nodes of the sensor network, which destroy and disable the node if they try to access the hardware in an irregular way. When the carton is poorly handled, a high voltage is applied at key points in the hardware.

Exemplos de aplicação A autoconfiguração e a capacidade de se organizarem em rede de forma a cumprirem um ou mais objectivos comuns são duas das características mais relevantes das redes de sensores. No entanto, existem situações nas quais estas características não são desejáveis porque expõem a rede a um grande número de ataques de segurança. A presente invenção tem como objectivo garantir que apenas os nós autorizados e que estejam de acordo com as políticas de 9 10 segurança em vigor têm acesso à rede. Ou seja, nestas condições os nós não autorizados não conseguem comunicar com nós autorizados. Assim, este método pode ser utilizado para aumentar a segurança das redes de sensores assim como para facilitar a sua gestão. O método proposto foi desenvolvido tendo em conta as restrições no consumo de energia, os constrangimentos ao nivel da capacidade de processamento e de armazenamento dos nós das redes de sensores e usa maioritariamente protocolos Standard que normalmente já são utilizados neste tipo de redes. É a aplicação cliente de gestão (14), que é executada pela estação de gestão (13) ligada à Internet, que permite ao gestor interagir com a aplicação servidor de gestão (16).Application examples Self-configuration and the ability to network in order to meet one or more common objectives are two of the most relevant features of sensor networks. However, there are situations in which these characteristics are not desirable because they expose the network to a large number of security attacks. The purpose of the present invention is to ensure that only those nodes that are authorized and that are in accordance with the security policies in force have access to the network. That is, in these conditions unauthorized nodes can not communicate with authorized nodes. Thus, this method can be used to increase the safety of sensor networks as well as to facilitate their management. The proposed method was developed taking into account the constraints on energy consumption, the constraints on the processing and storage capacity of the nodes of the sensor networks and mainly uses standard protocols that are usually already used in this type of networks. It is the management client application (14), which is executed by the management station (13) connected to the Internet, which allows the manager to interact with the management server application (16).

Covilhã, 30 de Outubro de 2013 10Covilhã, October 30, 2013 10

Claims (6)

1 REIVINDICAÇÕES 1 - Método de controlo de acessos para redes de sensores com suporte para IPv6, sem fios por radiofrequência, compatíveis com o protocolo IPv6 e com restrições ao nível do consumo de energia e da capacidade de processamento, caraterizado por permitir controlar o acesso à rede com base na identidade do nó (5,18), na imagem de software instalada e nas suas configurações ativas (11).1 - Access control method for sensor networks with IPv6 support, wirelessly by radio frequency, compatible with the IPv6 protocol and with restrictions on the level of power consumption and processing capacity, characterized by controlling access to the based on the identity of the node (5.18), the installed software image and its active configurations (11). 2 - Método de controlo de acessos para redes de sensores com suporte para IPv6, de acordo com a reivindicação 1, de detecção e identificação de novos sensores (1) caraterizado por compreender a análise das mensagens do protocolo de descoberta de vizinhos do 6LoWPAN e o uso de mecanismos criptográficos.A method of access control for sensor networks with IPv6 support according to claim 1, for detecting and identifying new sensors (1) characterized by comprising the analysis of the messages of the 6LoWPAN neighbor discovery protocol and the use of cryptographic mechanisms. 3 - Método de controlo de acessos para redes de sensores com suporte para IPv6, de acordo com a reivindicação 1,caraterizado por garantir que apenas as mensagens relativas ao método de controlo de acessos provenientes dos nós no estado pendente (4) sejam processadas e encaminhadas com destino à aplicação servidor de gestão (16) instalada no encaminhador (router) de fronteira (15), sendo que todas as outras são descartadas.An access control method for sensor networks with IPv6 support according to claim 1, characterized in that only messages relating to the access control method from the pending node (4) are processed and routed to the management server application 16 installed on the border router 15, all of which are discarded. 4 - Método de controlo de acessos para redes de sensores com suporte para ΙΡνβ, de acordo com a reivindicação 1, caraterizado por detetar, com base num agente instalado nos nós (6, 18) que pretendem aceder à rede, qual a imagem de software instalada e quais as configurações ativas (10,11). 1 2An access control method for sensor networks with ΙΡνβ support, according to claim 1, characterized in that, on the basis of an agent installed on the nodes (6, 18) wishing to access the network, which software image installed and which settings are active (10,11). 1 2 5 - Método de controlo de acessos para redes de sensores com suporte para IPv6, de acordo com a reivindicação 1, caraterizado por permitir a atualização (7) e verificação (9) das imagens de software instaladas nos nós da rede de sensores à distância, através da rede sem fios por radiofrequência, em redes em malha.An access control method for sensor networks with IPv6 support according to claim 1, characterized in that it allows updating (7) and checking (9) of the software images installed on the nodes of the remote sensor network, through the wireless network by radiofrequency, in mesh networks. 6- Método de controlo de acessos para redes de sensores com suporte para IPv6, de acordo com a reivindicação 1, caraterizado por permitir o anúncio, por parte da aplicação servidor de gestão (16), da identificação dos nós autorizados (3) e dos nós maliciosos (12), de forma a que todos os nós (18) processem e encaminhem as mensagens provenientes dos nós autorizados e que descartem as mensagens provenientes dos nós maliciosos. Covilhã, 30 de Outubro de 2013 2A method of access control for sensor networks with IPv6 support according to claim 1, characterized in that it allows the announcement by the management server application (16) of the identification of the authorized nodes (3) and of the nodes (12) such that all nodes (18) process and forward messages from authorized nodes and discard messages from malicious nodes. Covilhã, October 30, 2013 2
PT106607A 2012-10-30 2012-10-30 ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT PT106607A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PT106607A PT106607A (en) 2012-10-30 2012-10-30 ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PT106607A PT106607A (en) 2012-10-30 2012-10-30 ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT

Publications (1)

Publication Number Publication Date
PT106607A true PT106607A (en) 2014-04-30

Family

ID=50677879

Family Applications (1)

Application Number Title Priority Date Filing Date
PT106607A PT106607A (en) 2012-10-30 2012-10-30 ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT

Country Status (1)

Country Link
PT (1) PT106607A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1662090A (en) * 2004-02-23 2005-08-31 华为技术有限公司 Method for testing identification of intermational mobile device
EP2154902A1 (en) * 2007-06-25 2010-02-17 Huawei Technologies Co., Ltd. Method and system for access control of home node b
KR20110105435A (en) * 2010-03-19 2011-09-27 주식회사 케이티 Method and server for message transfer

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1662090A (en) * 2004-02-23 2005-08-31 华为技术有限公司 Method for testing identification of intermational mobile device
EP2154902A1 (en) * 2007-06-25 2010-02-17 Huawei Technologies Co., Ltd. Method and system for access control of home node b
KR20110105435A (en) * 2010-03-19 2011-09-27 주식회사 케이티 Method and server for message transfer

Similar Documents

Publication Publication Date Title
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US20220272100A1 (en) Network architecture providing device identification and redirection using whitelisting traffic classification
Hong et al. Poisoning network visibility in software-defined networks: New attacks and countermeasures.
Habibi et al. Heimdall: Mitigating the internet of insecure things
US10419931B1 (en) Security for network computing environment using centralized security system
US9723019B1 (en) Infected endpoint containment using aggregated security status information
Karmakar et al. Mitigating attacks in software defined networks
JP5911893B2 (en) Logic device, processing method and processing device
US10049213B2 (en) Fog-based distributed malware defense
Falco et al. Neuromesh: Iot security enabled by a blockchain powered botnet vaccine
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US9674142B2 (en) Monitoring network traffic
US20200396259A1 (en) Cyber-Security in Heterogeneous Networks
JP6737610B2 (en) Communication device
Song et al. DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments
US20230289631A1 (en) Multiple granularity classification
JP2019506662A (en) Network management
Zolanvari et al. IoT security: a survey
Ravi et al. TeFENS: Testbed for experimenting next-generation-network security
US8893271B1 (en) End node discovery and tracking in layer-2 of an internet protocol version 6 network
Khandare et al. Analysis on privacy protection in cloudlet and edge technology
Patel et al. A Snort-based secure edge router for smart home
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
PT106607A (en) ACCESS CONTROL METHOD FOR NETWORK OF SENSORS WITH IPV6 SUPPORT
Nigam et al. Man-in-the-middle-attack and proposed algorithm for detection

Legal Events

Date Code Title Description
BB1A Laying open of patent application

Effective date: 20131226

FC3A Refusal

Effective date: 20150417