无线网状网络接入认证方法属于计算机网络领域。系统在初始化时,由离线CA给系统和自己分别颁发公私钥对。用户在接入网络之前交用户基本信息到离线CA那注册以获得公私钥对及公钥证书。如用户想充当骨干或区域路由器还要提交申请书。离线CA选择性能好的用户当骨干和区域路由器,骨干路由器按(n,t)门限体制管理系统的公私钥对,并为用户颁发授权证书和基于身份的私钥。用户想进入某个区域,则向该区域的区域路由器提交授权证书,并与区域路由器通过授权证书互相验证后,利用三方协商算法来协商自己的授权密钥,以便接入到该区域网络中去。该方法有效防止未授权用户进入网络,使授权用户能被快速认证从而获得网络中的资源服务。
【技术实现步骤摘要】
本专利技术涉及一种无线Mesh认证方法,该方法可以应用于无线Mesh网用户的接入认证以及用户在不同的区域间漫游时的快速认证,属于计算机网络领域。
技术介绍
无线Mesh网络是一种与传统无线网络完全不同的新型无线网络技术,由于无线Mesh网络预期可以克服Ad Hoc网、无线局域网、无线个人区域网、无线城域网的一些限制,并能提高其性能和提供一套快速,简捷,便宜的网络分布体制,因而其越来越成为无线Internet服务商用来构建网络连接的首选方案。由于用户在接入无线Mesh网以及在漫游的通信过程中移动用户需要重新进行接入认证,该过程不仅要求认证的时延小,同时移动用户的身份也需要保护。但是,目前还没有一种有效的方法用来对无线Mesh网络中的网络节点进行认证。因此,有效的无线Mesh网接入认证方法是防止未授权用户进入网络的第一步,认证方法成为网络安全接入的重点。 IEEE于2004年成立工作组TGs对WLAN Mesh进行标准化,并于2007年3月正式公布了Draft 802.11s D1.01。为了保持与IEEE 802.11系列标准的兼容性,Draft 802.11s的安全接入部分仍然采用的是IEEE 802.11i标准。即用802.1X和四步握手实现设备的接入认证和密钥协商,其中802.1X是基于端口的接入控制协议,实现了申请者、认证者和认证服务器在网络设备的物理接入级对接入设备进行认证和控制。它提供了一种即可用于有线网络也可以用于无线网络的用户认证和密钥管理的框架,可以控制用户只有在认证通过以后才能连接到网络。但是无线Mesh中的设备(MP)不同于传统的WLAN设备,一个MP同时执行申请者和认证者两个角色,所以直接使用802.11i会导致网络中一个新的MP接入的时候要和其邻居MP进行两次认证和密钥协商。此外,在这种方案中,认证是在第二层中进行的,用户和接入点间通过MAC地址进行交互,然而MAC地址是可能被伪造的,而且方案要求用户可以直接连接到接入点,因此它并不适用于多跳WMN的接入认证和授权。在802.11i的基础上,11s提出了EMSA(Efficient Mesh Security and Link Establishment)来实现安全接入。EMSA提出了一种安全的机制,允许Mesh节点(MP)能够有效地建立起用来路由和数据传输的安全Mesh连接,并且通过使用Mesh密钥层次来提供服务。但是EMSA的操作依赖于密钥持有者MKD(Mesh keydistributors),MKD的引入打破了Mesh网络中设备之间的平等性,直接威胁用户数据的保密性。最近,又提出了一种基于EAP-TLS的安全机制,尽管EAP-TLS有很好的安全性,比如相互认证和针对恶意攻击的健壮性等,但是非对称加密需要很大的计算量,并不适用于轻型的WMN网络,而且需要建立和管理PKI也带来了很大的复杂度。
技术实现思路
为无线Mesh网用户提供一种无线Mesh网用户的接入认证以及用户在不同的区域间漫游时的快速接入认证方法,以确保无线Mesh用户在漫游时能获得很好的服务。 本专利技术基于以下网络模型,该网络模型有如下特征 (1)有一个骨干网,骨干网中至少有两个骨干路由器,这些骨干路由器按门限体制形成虚拟CA、一个被通知有攻击节点存在的情况下才接入网络的离线CA、一个只有骨干路由器才能访问的授权证书库。在所有的骨干路由器中,至少有两个骨干路由器与Internet网有线连接; (2)至少两个区域网,每个区域网中有2个区域路由器,每个区域路由器与骨干路由器和终端用户相连。区域路由器之间共享一个存放用户ID、区域ID、授权密钥及用户信息(身份证、邮箱、通信地址、移动电话)的数据库; (3)在骨干网中采用高速无线连接,在区域网中采用低速连接; (4)通信双方通信通过授权证书进行相互验证,采用基于身份的加密方式来传输信息; 本专利技术提出的无线Mesh网络接入认证方法,其特征在于,包括以下4大步骤 步骤1.系统初始化时,密钥生成图如图1所示,其密钥生成步骤如下 1.1离线CA产生自己的公私钥对及系统公私钥对,系统公钥用K表示,对应的私钥用S表示; 1.2每个用户在入网之前,必须到离线CA注册,如果用户想充当骨干路由器或区域路由器,除开提交用户基本信息外(身份证号、邮件地址、联系电话、出生年月及性别),还得提交相关申请; 1.3用户被离线CA认证通过后,离线CA分配给终端用户一个新的区域ID、用户ID、区域公钥、系统公钥、一对公私密钥及一张公钥证书; 1.4离线CA根据用户的数据存储能力、安全级别及用户申请指定骨干网的n个骨干路由器Bri,i=1…n,这n个骨干路由器按(n,t)门限体制管理系统公私钥对,即系统公钥K公开,系统私钥S被这n个骨干路由器共享,离线CA按公式(1)和公式(2)分给每个骨干路由器Bri一份子私钥si,在公式(1)中,所选的素数φ要大于系统私钥S和骨干网路由器总数n,并且公开α0=h(0)=S,而αt-1,...,α1为随机系数,这些系数都需保密,且在生成n个子密钥份额si后被销毁。 h(x)=αi-1xt-1+…+α1x+α0modφ (1) si=h(xi)modφxi=i,i=1,...,n(2) n中任一子集A,|A|≥t,可以重构S,这t个骨干路由器记为 r=1…t,他们的系统子密钥记为 r=1…t,通过公式(3)可得到 的值 与S满足 通过公式(5)可得到给定t个子密钥分额 可确定阶乘为t-1次的唯一多项式(6) 当x=0时,根据t个子密钥分额 可重构系统密钥S; 1.5用户提交离线CA颁发的公钥证书到虚拟CA请求授权证书; 1.6用户被虚拟CA认证通过后,虚拟CA按步骤2里的算法给用户颁发授权证书和基于身份的私钥; 1.7用户U向两个区域路由器请求颁发授权密钥,用户U和两个区域路由器按步骤3里的公式(14)来验证对方的授权证书的合法性,从而验证对方身份的合法性。互相验证通过后,用户与区域路由器协商自己的授权密钥; 步骤2.颁发授权证书 授权证书能证明一个区域成员是可信的,我们采用基于门限的多重签名机制来颁发授权证书,即n个骨干路由器节点,选择计算公开参数选择一个安全的hash函数;选择一个大素数p,q是p-1的一个大素因子。α是Zp*的一个q阶生成元,Zp*是模p商群。一般地,2511≤p≤2512;2159≤q≤2160;计算并公开y=αs mod p;参与者Bri∈A,计算并公开每一个参与者路由器Bri,对用户U的身份信息m(身份正,e-mail地址等)的子签名这样计算随机选择整数值bi∈,计算公开;计算公式(7)和(8) sigr(m)=(wr,δr)(8) 在公式(7)中,br是一个秘密随机选择的的整数,m是用户信息,在公式(8)中,公布给全部用户,sigr(m)是终端用户U的子签名。当接收到子签名sigr(m)后,终端用户U通过公式(9)是否成立来验证子签名是否合法。如果公式成立,子签名合法,否则,子签名非法本文档来自技高网...
【技术保护点】
一种无线Mesh网络接入认证方法,其特征在于,包括以下4大步骤: 步骤1.系统初始化时,生成密钥,其密钥生成步骤如下: 1.1离线CA产生自己的公私钥对及系统公私钥对,系统公钥用K表示,对应的私钥用S表示; 1.2每个用户 在入网之前,必须到离线CA注册,如果用户想充当骨干路由器或区域路由器,除开提交用户基本信息外,还得提交相关申请; 1.3用户被离线CA认证通过后,离线CA分配给终端用户一个新的区域ID、用户ID、区域公钥、系统公钥、一对用于验证的公私 密钥及公钥证书; 1.4离线CA根据用户的数据存储能力、安全级别及用户申请指定骨干网的n个骨干路由器Br↓[i],i=1…n,这n个骨干路由器按(n,t)门限体制管理系统公私钥对,即系统公钥K公开,系统私钥S被这n个骨干路由器共享,离 线CA按公式(1)和公式(2)分给每个骨干路由器Br↓[i]一份子私钥s↓[i],在公式(1)中,所选的素数φ要大于系统私钥S和骨干网路由器总数n,并且公开α↓[0]=h(0)=S,而α↓[t-1],…,α↓[1]为随机系数,这些系数都需保密,且在生成n个子密钥份额s↓[i]后被销毁; h(x)=α↓[t-1]x↑[t-1]+…+α↓[1]x+α↓[0]modφ (1) s↓[i]=h(x↓[i])modφx↓[i]=i,i=1,…,n (2) n中任一 子集A,|A|≥t,这t个骨干路由器记为:Br↓[i↓[r]],r=1…t,他们的系统子密钥记为:s↓[i↓[r]],r=1…t,通过式(3)得到s↓[i↓[r]]的值: S↓[i↓[r]]=h(x↓[i↓[r]])modφ(x↓[i ↓[r]]=i↓[r]) (3) s↓[i↓[r]]与S满足: S=*c↓[i↓[r]]s↓[i↓[r]] (4) 通过公式(5)得到:c↓[i↓[r]]=*x↓[i↓[j]]/(x↓[i↓[j]]-x↓[i↓[r]] )(x↓[i↓[r]]=i↓[r]) (5) 给定t个子密钥分额s↓[i↓[1]],s↓[i↓[2]],…,s↓[i↓[t]]确定阶乘为t-1次的唯一多项式(6): h(x)=*S↓[i↓[r]]*x-x↓[i↓[j]]/x↓ [i↓[r]]-x↓[i↓[j]]modφ (6) 当x=0时,根据t个子密钥分额s↓[i↓[r]]重构系统密钥S; 1.5用...
【技术特征摘要】
1、一种无线Mesh网络接入认证方法,其特征在于,包括以下4大步骤步骤1.系统初始化时,生成密钥,其密钥生成步骤如下1.1离线CA产生自己的公私钥对及系统公私钥对,系统公钥用K表示,对应的私钥用S表示;1.2每个用户在入网之前,必须到离线CA注册,如果用户想充当骨干路由器或区域路由器,除开提交用户基本信息外,还得提交相关申请;1.3用户被离线CA认证通过后,离线CA分配给终端用户一个新的区域ID、用户ID、区域公钥、系统公钥、一对用于验证的公私密钥及公钥证书;1.4离线CA根据用户的数据存储能力、安全级别及用户申请指定骨干网的n个骨干路由器Bri,i=1…n,这n个骨干路由器按(n,t)门限体制管理系统公私钥对,即系统公钥K公开,系统私钥S被这n个骨干路由器共享,离线CA按公式(1)和公式(2)分给每个骨干路由器Bri一份子私钥si,在公式(1)中,所选的素数φ要大于系统私钥S和骨干网路由器总数n,并且公开α0=h(0)=S,而αt-1,...,α1为随机系数,这些系数都需保密,且在生成n个子密钥份额si后被销毁;h(x)=αt-1xt-1+…+α1x+α0 modφ (1)si=h(xi)modφxi=i,i=1,...,n(2)n中任一子集A,|A|≥t,这t个骨干路由器记为r=1…t,他们的系统子密钥记为r=1…t,通过式(3)得到的值与S满足通过公式(5)得到给定t个子密钥分额确定阶乘为t-1次的唯一多项式(6)当x=0时,根据t个子密钥分额重构系统密钥S;1.5用户提交离线CA颁发的公钥证书到虚拟CA请求授权证书;1.6用户被虚拟CA认证通过后,虚拟CA按步骤2里的算法给用户颁发授权证书和基于身份的私钥;1.7用户U向两个区域路由器请求颁发授权密钥,用户U和两个区域路由器按步骤3里的公式(14)来验证对方的授权证书的合法性,从而验证对方身份的合法性;互相验证通过后,用户与区域路由器协商自己的授权密钥;步骤2.颁发授权证书采用基于门限的多重签名机制来颁发授权证书,即n个骨干路由器节点,选择计算公开参数选择一个安全的hash函数;选择一个大素数p,q是p-1的一个大素因子;α是Zp*的一个q阶生成元,Zp*是模p...
【专利技术属性】
技术研发人员:何泾沙,付颖芳,李国瑞,肖鹏,王戎,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。