ZigBee支持128位AES (Advanced Encryption Standard)加密,对ZigBee网络中的数据进行加密。以下是关于ZigBee网络加密的常见问题的答案。
1) ZigBee/802.15.4嗅探器是否能够解密加密的RF数据包?如果是,哪些字节是加密的,哪些不是?
是的,取决于嗅探器的供应商,他们能够破译加密的射频数据包。诸如PAN ID和mac层地址之类的信息是未加密的,对所有人都可见,但有效负载肯定是加密的。一些供应商提供的数据包嗅探器可以解码加密的RF数据包,如果他们有正确的安全密钥。不支持解密或没有正确安全密钥的嗅探器将在嗅探软件上显示乱码数据。
2)加密是否使2个相邻的协调器在相同的通道/PAN ID上启动网络?
不,这是自动完成的。(无论是否启用加密,防止两个相邻协调器在同一信道上启动网络的ZigBee功能仍然有效。)
进一步解释,当协调器启动网络时,它首先必须选择通道和PAN ID。为了确定选择哪个值,它发出一个信标请求,并对每个通道进行能量扫描,以查看是否有任何现有网络在范围内。所有听到信标请求的现有协调器或路由器都需要使用信标进行响应。信标没有加密,因此接收信标的协调器将能够看到现有的PAN ID并选择合适的PAN ID进行操作。
如果将新的协调器设置为ID=0x0,它将选择一个唯一的PAN ID进行操作。如果用户将其设置为任何其他值,并且它接收到指示PAN ID已被占用的信标,则它将更改通道并重复信标请求,直到找到尚未具有该PAN ID的通道为止。
3)加密是否隔离了非加密节点加入加密网络?加密是否使具有不同加密密钥的节点无法加入彼此的网络?
为了理解加密/非加密节点连接,首先有必要了解连接网络的基础知识。当一个新节点尝试加入网络时,它向广播PAN 0xFFFF发送一个信标请求。范围内的所有路由器和协调器都需要使用信标进行响应,信标将该信道上现有网络的PAN ID告知加入节点。(如果没有听到信标,则新节点在下一个通道上重复此信标请求,以此类推,直到找到有效的网络)。在收到来自有效网络的信标后,加入节点发送加入网络的关联请求。范围内的路由器或协调器发送一个关联响应,告诉加入节点它已经加入到网络中,并被分配了一个16位的网络地址(MY参数)。新节点将其网络地址设置为此值,连接完成。(注:信标请求和信标都是广播消息;关联请求和响应是单播消息。)
现在让我们把加密添加到所有这些中。信标请求和信标从不加密。因此,无论加密与否,任何节点都可以从路由器或协调器获得信标,无论加密与否。然而,加入网络需要加密设置适合于加入节点和父节点,以便相互理解关联请求和响应。
如果连接节点启用了加密(EE参数)并且正在尝试安全地连接(EO=0,请参阅EO参数),则对关联请求进行加密。如果将加密的连接节点配置为通过空中获取加密密钥(EO=1,无安全连接),则关联请求是不加密的。只有当关联请求被加密时,关联响应才会被加密。
那么,当一个加密(EE=1)而另一个没有加密(EE=0)时会发生什么呢?下面的表格中列出的4种可能的情况可能会有所帮助:
加入节点
启用加密? |
父节点
启用加密? |
场景的解释 |
| 没有 |
没有 |
如上所述,加入节点将毫无问题地加入网络。所有帧都是未加密的。 |
| 没有 |
是的 |
加入节点将加入网络,但它将无法与任何节点通信;它只会看到乱码的加密数据。这是因为在加入父节点期间,为了响应非加密的关联请求,将非加密的关联响应通过空中发送到加入节点。加入节点适当地设置其网络地址并加入网络,但由于它没有启用加密,因此没有设置能够与网络节点通信的加密密钥。 |
| 是的 |
没有 |
加入节点将不加入网络。如果连接节点没有配置为获取加密密钥(不安全连接),它将发送加密的关联请求,而未加密的父节点无法理解该请求,也不会响应该请求。如果将联接节点配置为获取加密密钥,那么它将发送一个非加密的关联请求,非加密的父节点将使用一个非加密的关联响应来响应该请求。虽然加入节点收到了关联响应,并且知道加入网络的PAN ID和网络地址,但是没有收到加密密钥。加密的连接节点认为这是一个失败的关联尝试,并离开网络。 |
| 是的 |
是的 |
如果预先配置了与父节点相同的加密密钥,则加入节点将加入网络。如果它们具有不同的键,则连接仍然可以发生,但前提是连接节点和父节点都配置为不安全连接。 |
4)加密密钥是否可以在空中以任何方式读取或检测?
这取决于所选择的安全级别。如果将加密的路由器或协调器配置为允许无安全连接到网络,则密钥将通过不加密的方式发送到连接节点。
如果将加密路由器或协调器配置为只允许安全连接,则密钥将永远不会通过空中传输。在这种情况下,网络中的每个节点都需要预先配置加密密钥。另外请注意,加密密钥不能通过串行端口读取;它们是只写的。