ZigBee 集中式網路與分散式網路
以下內容摘自ZigBee 2015 Pro文件《docs-05-3474-21-0csg-zigbee-specification》
4.6.2 Trust Center Application
The Trust Center application runs on a device trusted by devices within a ZigBee network to distribute keys for the purpose of network and end-to-end application configuration management. The Trust Center shall configure network security policies and shall be used to help establish end-to-end application keys. These keys shall be generated at random unless a key establishment protocol is used.
4.6.2.1 Distributed Security Mode
In Distributed Security Mode, there is no unique Trust Center in the network. Keys are distributed to joining devices by routers in the network using the standard transport key commands, or by other out of band methods.
4.6.2.2 Centralized Security Mode
The centralized security mode of the Trust Center is designed for applications where a centralized security device and set of security policies is required. In this mode, the Trust Center may maintain a list of devices, link keys and network keys with all the devices in the network; however, it shall maintain a network key and controls policies of network admittance. In this mode, the nwkAllFresh attribute in the NIB shall be set to FALSE. Each device that joins the network securely shall either have a Global Link key or a unique link key depending upon the application in use. It is required that the trust center have prior knowledge of the value of the link key and the type (Global or unique) in order to securely join the device to the network. A Global Link key has the advantage that the memory required by the Trust Center does not grow with the number of devices in the network. A unique link key has the advantage of being unique for each device on the net-work and application communications can be secured from other devices on the network. Both types of keys may be used on the network, but a device shall only have one type in use per device-key pair.
The security policy settings for centralized security are further detailed in section 4.7.1.
翻譯:
4.6.2信任中心應用
信任中心應用程式執行在ZigBee網路中裝置信任的裝置上,用於分發金鑰,用於網路和端到端應用程式配置管理。信任中心應配置網路安全策略和應使用,幫助建立端到端應用金鑰。除非使用金鑰建立協議,否則這些金鑰應隨機生成。
4.6.2.1分散式安全模式
在分散式安全模式下,網路中沒有唯一的信任中心。金鑰通過使用標準傳輸金鑰命令的網路路由器或其他帶外方法分發給連線裝置。
4.6.2.2集中安全模式
信任中心的集中安全模式是為需要集中安全裝置和安全策略集的應用程式設計的。在這種模式下,信任中心可以與網路中的所有裝置保持裝置列表、Link key和Nwk Key; 但必須維護網路金鑰,控制網路准入政策。在這種模式下,NIB中的nwkAllFresh屬性應該設定為FALSE。每一個安全連線網路的裝置都應該有一個Global Link key或者一個唯一的Link key,這取決於使用中的應用程式。為了安全地將裝置連線到網路,信任中心必須事先知道Link key的值和型別(全域性或惟一)。Global Link key的優點是信任中心所需的記憶體不會隨著網路中裝置的數量而增長。惟一Link key的優點是對於網路上的每個裝置都是惟一的,並且可以從網路上的其他裝置保護應用程式通訊。這兩種型別的金鑰都可以在網路上使用,但是每個裝置金鑰對只能使用一種型別的金鑰。
集中安全的安全策略設定將在4.7.1節中進一步詳細介紹。
以下是個人理解(歡迎指正):
集中安全模式:
相對於分散式網路,集中式網路具備更高的安全性,由Coordinator建立;路由器和終端裝置需要知道Global Link key才可以加入網路;在ZigBee3.0中每個裝置都可以使用Install Code生成唯一的Link key,Coordinator也需要知道這個Link key。
分散式安全模式:
沒有Coordinator,即沒有信任中心,Router可以建立/加入分散式網路,EndDevice可以加入分散式網路;在新裝置加入網路時任何路由都可以傳送網路祕鑰給它,所有裝置都使用同一祕鑰。