CN101222331B - 一种认证服务器及网状网中双向认证的方法及系统 - Google Patents
一种认证服务器及网状网中双向认证的方法及系统 Download PDFInfo
- Publication number
- CN101222331B CN101222331B CN 200710079799 CN200710079799A CN101222331B CN 101222331 B CN101222331 B CN 101222331B CN 200710079799 CN200710079799 CN 200710079799 CN 200710079799 A CN200710079799 A CN 200710079799A CN 101222331 B CN101222331 B CN 101222331B
- Authority
- CN
- China
- Prior art keywords
- node
- degree
- belief
- authentication
- authenticator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明涉及通信技术领域中一种认证服务器及网状网中双向认证的方法及系统。所述认证服务器包括:信任度分发模块,用于根据接收到的请求认证的节点信息确定所述节点的安全等级,并在认证成功后产生信任度时戳,签名后连同签名算法标识下发给所述请求认证的节点;节点状态检测模块,用于检测各节点是否受到攻击;信任度降低/剥夺模块,用于在接收到断开消息或节点受到攻击后降低/剥夺节点的信任度;信任度管理模块,用于存储Mesh网络中所有认证成功的节点的用户身份信息以及AS认可的信任度、签名和时间戳信息。本发明实现了Mesh网络中各节点可以基于信任度来选择关联节点,并通过验证关联节点反馈的信任度签名一次实现双向认证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种认证服务器及网状网中双向认证的方法及系统。
背景技术
无线Mesh(无线网状网)网络也称为“多跳”网络,它是一种与传统无线网络完全不同的新型无线网络技术。传统的无线网络必须首先访问集中的AP(Access point,接入点)才能进行无线连接。这样,即使两个802.11b的节点互相挨着,它们也必须通过接入点才能通信。而在无线Mesh网络中,任何无线设备节点都可以同时作为AP或路由器,每个节点都可以发送和接收数据,都可以与一个或者多个对等节点进行直接通信。
无线Mesh网与传统BSS(基本业务组)的角色划分不同。在BSS域中只包括STA(station,站点或终端)、AP和AS(Authentication Server,认证服务器)三种角色。认证时AS强制STA充当请求者的角色,AP充当认证者的角色。现有的802.11i体系结构中只定义了这三种角色:STA、AP和AS,以及执行角色功能的机制:(a)安全的AS-STA对等认证;(b)安全的AS-AP频道;(c)AS访问控制列表。
而在Mesh中的主要功能包括:
(1)传输(Transport):与邻居节点之间传送非Mesh的应用数据。只发送、接收,而不转发。
(2)内部路由(Internal Routing):Mesh设备之间建立转发路径。
(3)外部路由(External Routing):与Mesh外部设备建立转发路径。
(4)转发(Forwarding):发送收到的其他设备产生的帧。
(5)接入(Access point):允许一个802.11的STA通过AP连到Mesh中。
基本层次结构如图1所示,Mesh中各种设备所完成的功能是不一样的,按照上述功能划分的角色为:
MAP(Mesh接入点):传输+内部路由+转发+接入;
MPP(Mesh与外网的网关,图中未示出):传输+内部路由+转发+外部路由;
MP(Mesh节点):传输+内部路由+转发;
LWMP(轻量级Mesh节点,图中未示出):传输;
STA:数据源。
可见Mesh中的角色划分与BSS域有很大差别。而目前802.11s中关于角色的定义与执行中只对STA和MAP有较全面的定义,而LWMP、MP、MPP以及AS在Mesh中的角色则没有定义任何机制来执行。要使用802.1x来完成认证则存在如下问题:
(1)协商中每个MP可能有三种角色要完成:Supplicant(请求者),Authenticator(认证者),和Authentication Server(AS,认证服务器),因此,存在如何协商并确定双方联合的安全角色和安全策略问题。
(2)需要一个管理行动来给各个设备分配角色和选择一个关联的MP来安全地完成认证等问题。
目前,关于角色协商问题提案的主要思路是:在RSN IE(健壮安全网络的信息元素)中通过一个可达性的元素“AS Reachability”来做为衡量协商角色的依据。具体实现如图2所示包括:
首先在发现阶段,需要关联的节点通过Beacon(信标)或者探测响应来发送对于AS的可达性。然后通过可达性来协商认证的角色:
(1)如果双方只有一个对AS可达,那么可达这方就是认证者,而另一方就是请求者。
(2)如果双方都可达或都不可达,则选择较大MAC地址的一方作为认证者,而另一方作为请求者。
角色确定后用802.1x的方式来完成认证,接入Mesh网络。
上述认证方式存在如下缺点:
认证中在只有一方可达AS时的情况类似于普通的BSS,但仍存在恶意MP攻击时切换认证点的问题。而且与BSS非对称结构所不同的是,原有一轮802.1x认证只能完成对请求者的认证,是一个单向认证,现在Mesh中MP的层次结构是对称平等的,要完成双向认证需两轮802.1x认证,不但浪费时间,而且大多数情况下第二轮认证是已接入Mesh的MP所并不想要的。
另外,对于BSS认证而言不存在中间道路选择的问题,AP直接连到了AS。而对于Mesh而言相对复杂,认证中间节点的选择也要考虑安全,必须建立一条最安全(或者是用户最想要的安全)的认证路径。但存在如下情况会使得可达性不可靠。例如某个中间MP的路由性能是最好的,此时无论想要加入Mesh的MP怎么选择认证点认证数据都会交到该MP来转发,但是如果此中间MP遭到了攻击被破坏,那么攻击者可能大量获取用户认证信息,并根据EAP-Success(扩展认证协议成功消息)消息是明文的特点伪造或改为失败消息返回给认证者(没有使用EAP-TLS),认证结果就是失败的。认证者不知道哪个地方出错了只是反复地重新切换认证点,这时可达性就不可靠了。
发明内容
本发明实施例提供一种认证服务器及Mesh网络中双向认证的方法及系统,解决了现有技术Mesh网络中间节点不可靠及单项认证带来的弊端。
本发明实施例是通过以下技术方案实现的:
本发明实施例提供一种网状网中双向认证的方法,包括:
网状网Mesh中的节点基于信任度选择关联节点,所述关联节点对节点进行认证,并将本身的信任度签名后反馈给所述节点,所述节点根据所述信任度签名对所述关联节点进行认证。
可选地,所述AS对信任度的管理方法包括:
在某个节点想要离开Mesh或AS检测到某个节点受到攻击时,降低或剥夺所述节点的信任度。
可选地,所述AS采用动态目录下发和管理信任度,所述动态目录包含Mesh中认证成功的所有节点的用户身份信息以及AS认可的信任度、签名和时间戳信息。
本发明实施例提供一种网状网网络系统,包括:至少一个AS及多个节点,所述AS用于根据接收到的请求认证的节点的信息对所述节点进行认证,以确定节点的安全等级,并在认证成功后产生信任度时戳,签名后连同签名算法标识下发给所述请求认证的节点;
所述Mesh中的节点,基于所述AS下发的信任度选择关联节点进行认证,并根据所述关联节点反馈的信任度签名对所述关联节点身份进行验证。
本发明实施例提供一种认证服务器,包括:
信任度分发模块,用于根据接收到的请求认证的节点信息确定所述节点的安全等级,并在认证成功后产生信任度时戳,签名后连同签名算法标识下发给所述请求认证的节点;
信任度管理模块,用于存储Mesh中所有认证成功的节点的用户身份信息以及认证服务器认可的信任度、签名和时间戳信息。
由上述本发明提供的技术方案可以看出,本发明实施例提出了一种节点最初接入Mesh网络时根据信任度来选择接入点,然后双方协商认证角色,并通过验证认证者的信任度签名校验认证者的合法身份,一次实现原有802.1x需要两轮才能完成的双向认证。
同时,本发明实施例实现了AS对请求者身份合法认证之后,对信任度进行管理,对用户和设备信任度进行了简单的分类,然后分发相应的签名消息,实现集中式的认证管理。任意节点接入认证时也可选择最好的认证道路来完成认证而与路由机制无关,不会随着路由的改变而改变认证的安全性。当检测到攻击时也可降低某些点的信任度,从而减少受到攻击的风险。
附图说明
图1为现有技术Mesh网络基本层级结构示意图;
图2为现有技术认证角色选择方法示意图;
图3为RSN IE格式结构图;
图4为本发明所述方法接入认证过程关联阶段一种实施例流程图;
图5为本发明所述方法AS进行认证下发信任度一种实施例流程图;
图6为本发明所述方法AS进行认证下发信任度另一种实施例流程图;
图7为本发明所述认证服务器一种实施例模块示意图。
具体实施方式
本发明实施例基于信任度来选择关联节点,并且通过验证信任度的签名来实现请求者和认证者之间双向认证的目的。由AS对信任度进行统一的分发管理。请求者由AS认证通过后下发信任度和相关签名信息,用于作为接入Mesh网络的依据。当某个节点离开Mesh网络或受到攻击时,AS负责信任度的剥夺或降低。
下面的实施例以Mesh网络中的节点接入认证过程为例对双向认证过程进行说明,具体实现过程如下所述:
步骤1,请求者选择与AS交互的中间节点,即选择认证接入节点,作为接入AS的中间认证者:
当MP、MAP或STA最初想要接入Mesh网络时,它会向周围所有的邻居发送探测请求,而周围的邻居则以beacon或者探测响应的方式反馈携带信任度的消息。
当所述节点(MP、MAP或STA)收到周围所有邻居节点发过来的Beacon或者探测响应中携带的信任度后,会根据自己的策略来选择最想要关联的节点,如可以选择信任度最大的或者满足MPP全局策略的节点进行802.1x认证。例如某个Mesh网络已经事先约定某些范围的信任度来完成接入,其他范围来转发或其他功能,这时选择所述认证接入节点需要满足所述预先约定的策略。
所述信任度由AS进行统一分发管理,可以通过对当前RSN IE的格式进行改动来实现,所述当前RSN IE格式如图3所示,可以对其中的能力信息Capabilities进行修改,其中修改前后的Capabilities信息如下表所示:
修改前:
| Pre-Auth | No Pairwise | PTKSAReplayCounter | GTKSAReplayCounter | Reserved | MeshDefault | Auth AlwaysPossible | PeerKeyEnabled |
修改后:
| Pre-Auth | NoPairwise | PTKSAReplayCounter | GTKSAReplayCounter | Reserved | MeshDefault | AuthAlwaysPossible | PeerKeyEnabled | RoleType | TrestDegree | Reserved |
本发明实施例增加的两个字段包括:Role Type和Trust Degree。其中RoleType表示信任度角色类型,占有一个bit位。当取值为0时,表示用户类型信任度,如STA信任度;取值为1时表示Mesh设备节点,如MP或MAP信任度,此时保证大多不会通过STA来作为认证者,而只会通过Mesh设备节点作为认证者,例如MP、MAP等来作为认证者,完成认证中间人的角色。
其中Trust Degree表示信任度,占有四个bit位,认证通过的用户或设备都会获得由AS下发的信任度。默认为0时,表示未通过认证或者信任级别最低。
每个节点根据已有的信任度信息来选择相对最安全的认证接入节点,那么任意节点的认证路径都是最可靠的。对于数据传输则可以根据认证协商的密钥加密,并可选择路由最好的路径来转发。
步骤2,中间认证者选择完成后,请求者(MP、MAP或STA)与所述选择的中间认证者进行关联;
具体流程如图4所示,包括如下步骤:
(1)首先请求者向选定的中间认证者发送认证请求;
(2)所述中间认证者将自己支持的安全参数、AS使用的公钥和签名算法、对信任度的签名反馈给所述请求者。
请求者检查是否支持签名算法,并且整个Mesh网络的签名算法是否一致,如果不支持认证者反馈的签名算法,或整个Mesh网络的签名算法不一致,则认为认证者无效,否则有效。然后根据AS的信息来验证信任度签名是否合法、有效,具体验证方法见后续介绍;所述签名算法使用一个标识位来表示,不同的数值表示不同的算法,例如:设置为1时,表示默认的公钥算法RSA(基于整数因子分解的公钥系统);设置为2时表示DSS(数字签名标准);设置为3时,表示WAPI(无线局域网鉴别与保密基础结构)的ECC(椭圆曲线公钥系统);设置为0时,表示其它支持可扩充的签名算法。之后所有请求者向AS发送的认证相关消息都可以使用AS的公钥来加密,以及后来对称密钥的协商均可保证对认证者的透明。
(3)请求者与所述中间认证者之间进行开放式或者预共享密钥认证;
所述开放式系统认证属于非基于密码学认证,也称为“零认证”,请求接入的节点只要使用一个空字符串作为SSID进行响应,即可与中间认证者建立关联。
所述预共享密钥认证则是基于是否具有共享密钥的“请求/响应”机制。请求接入的节点首先向中间认证者发送认证请求,然后中间认证者产生一个随机数响应给所述请求认证的节点,请求认证的节点然后通过共享的密钥加密该随机数响应给中间认证者,所述中间认证者解密比较后,最后发送确认消息。
(4)中间认证者返回认证结果;
(5)请求者根据中间认证者支持的安全参数发送自己需要的安全参数组合;
(6)认证者返回关联成功或失败结果。
步骤3,请求者与中间认证者关联之后,将请求者接入AS,由AS完成对请求者的802.1x认证及分发信任度;
请求者根据现有802.11的标准进行基于端口的802.1x接入控制认证。所述认证相关消息在请求者和认证者之间通过LAN传递,即使用EAPOL(基于LAN的EAP)技术,所述EAPOL是支持多认证机制的通用协议,可以采用的EAP类型主要包括:EAP-TLS(基于传输层安全的扩展认证协议)、EAP-TTLS(基于隧道传输层安全的扩展认证协议)、PEAP(保护的扩展认证协议)、LEAP(基于轻量级的扩展身份认证协议)、EAP-MD5(基于消息摘要算法的扩展认证协议)以及结合移动通信的EAP-SIM(基于用户身份模块的扩展认证协议)。
其中EAP-TLS可以为客户端和服务器之间的数据交换分配会话ID、选择合适的完整性保护加密机制、分配动态会话密钥、并能够有效的保护802.1x认证过程中交互消息的安全。其对于中间认证者是透明的,即认证接入点看不到任何认证的内容。因此可以采用EAP-TLS来完成信任度的下发和AS对请求者的认证。
为了便于Mesh的部署时降低终端或设备的开销,可以只令AS有一个表明身份的证书和公钥能够提供AS身份的认证即可,而其他节点可以没有X.509证书。
其AS下发信任度和认证流程第一种实施例如图5所示,包括如下步骤:
1)请求者在接收到中间认证者(图中未示出,因为之后的交互对于其而言是透明的所以不用考虑)的身份验证请求后,发送身份相关响应,由所述中间认证者发送给AS;
2)AS接收到所述响应后发送TLS开始请求给所述请求者;
3)请求者反馈TLS开始响应给AS;
4)AS接收到所述响应后将自己的身份信息,包括证书和公钥一同发送给请求者;
5)请求者验证AS身份的合法性,验证通过之后,请求者正式将自己的用户、密码等信息提交给AS来进行认证,请求者能够完全识别AS的真实性;
所述验证方式可根据具体的TLS的协商验证方法,如果是用户密码MD5的方法,则只需比较一下就可以;如果是公钥证书验证,则双方需要证书的交互验证和对方公钥加密。
6)AS可以由请求者节点的安全能力信息、用户服务级别,或者通过集中访问控制服务器的策略来决定请求者的安全等级。认证成功将产生信任度时戳TimeStamp(AS可以保证时间戳的唯一性),签名之后连同AS使用的签名算法标识发送给请求者。
所述AS下发的签名包含如下参数:
RoleType:角色类型,取值为0时,表示节点为用户类型,如STA,取值为1时表示节点为Mesh网络设备类型,如MP或MAP;
TrustDegree:表示用户或设备的信任度;
IDAS、IDSuplicant:AS、请求者的身份标识符,例如各自的MAC地址;
SKAS、PKAS:AS的公钥、私钥;
TimeStamp:认证成功产生的时间戳,具有唯一性。
所述的签名算法如下:
将所述签名算法连同信任度TrustDegree一同发送给请求者;
7)请求者检查所述签名算法是否与认证接入点使用的算法相同,即是否与中间认证者使用的签名算法相同,在确认统一性后,再验证信任度签名,并发送验证反馈响应消息给AS。
首先判断信任度合法性;
包括:判断RoleType的值是0还是1,为1表示该节点为一个设备。这样的作用是不会把用户作为认证者,认证时根据自己选择的方法判断是否合法,因为会有某些节点只要求能被设备认证接入,而不允许终端作为认证者;还包括:判断IDAS及IDSuplicant;
再判断信任度有效性;
主要根据校验所得的TrustDegree和TimeStamp判断有效性。其中TrustDegree主要用于判断是否接受新信任度值取代原有信任度值。由于每次关联都要进行一次802.1x认证,但是Mesh中有多关联的情况,已经接入的两个节点之间关联时没有必要再获取新的信任度而只是判断一下相互的信任度合法性即可。
而TimeStamp判断主要用于校验认证者的信任度,可以抵抗信任度的重放攻击。如果检测到TimeStamp重用,则可认定认证者是个伪造者;如果没有重复,则可通过与AS的交互来判断信任度的唯一指定性,在认证阶段AS同时记录了与某个时间戳相关联的其他所有节点。
8)AS发送认证成功或失败消息给请求接入的节点。
通过这样的过程一个设备(MP或MAP)或用户(STA)就获得了AS的认可,使用所述信任度可以接入Mesh网络。其中通过认证的设备可以作为新的认证者来认证其他节点。
其AS下发信任度和认证流程第二种实施例如图6所示,包括如下步骤:
(1)请求者在接收到中间认证者(图中未示出,因为之后的交互对于其而言是透明的所以不用考虑)的身份验证请求后,发送身份相关响应,其中包括认证者的时间戳和用AS公钥加密的随机数,由所述中间认证者发送给AS;
(2)AS接收到所述响应后,检测所述请求者非重放(非被盗用)之后,解开所述随机数,并签名后发送TLS开始请求给所述请求者;
(3)请求者反馈TLS开始响应给AS;
(4)AS接收到所述响应后将自己的身份信息,包括证书和公钥一同发送给所述请求者;
(5)请求者验证AS身份的合法性,验证通过之后,请求者正式将自己的用户、密码等信息提交给AS来进行认证,请求者能够完全识别AS的真实性;
(6)AS验证请求者节点的身份信息,之后发送认证结束消息给所述请求者。
不局限于EAP-TLS,还包括其他使用证书进行认证的协议例如EAP-PEAP、EAP-TTLS等(步骤总数也可不一样)。
所述具体相互验证方式可根据具体采用的协商验证方法,如果是用户密码MD5的方法,则只需比较一下就可以;如果是公钥证书验证,则双方需要证书的交互验证和对方公钥加密。
(7)请求者收到所述认证结束消息之后,反馈响应消息给AS,并在需要获取所述信任度时戳时,发送请求AS颁发签名的标识,以成为新的合法认证者。
AS将产生信任度时戳TimeStamp(AS可以保证时间戳的唯一性),并由请求者节点的安全能力信息、用户服务级别,或者通过集中访问控制服务器的策略来决定请求者的安全等级,产生签名,签名方法与实施例1相同。
(8)AS发送认证成功(或失败消息)消息连同签名S、签名算法标识和信任度TrustDegree一同发送给所述请求者给请求者。
请求者检查所述签名算法是否与认证接入点使用的算法相同,即是否与中间认证者使用的签名算法相同,在确认统一性后,再验证信任度签名,并验证后判断是否接受。
判断方法与实施例1相同。
步骤4,AS在某个节点想要离开Mesh网络或AS在检测到某个节点收到攻击后,降低或剥夺所述节点的信任度;
AS降低或剥夺信任度包括如下两种情况:
(1)节点主动想要离开Mesh网络时:节点在结束关联之前以广播的方式告知所有与之关联的其他节点和单播发送给AS,消息都使用统一的GTK(组临时密钥)或与AS的PMK(协商好的对称主密钥)加密,保证了消息源的可靠。这时主要在deassociation帧(断开关联的帧)之前发送两个消息:给所有已关联的节点用GTK广播加密发送断开消息;给AS用PMK单播发送断开消息。之后,AS删除与之相关时间戳的信任度和其他关联节点的信息,表示这个信任度不再可用了。其他节点也可记录时间戳作废信息,以保证信任度的后向安全。
(2)当AS检测到某些节点受到恶意攻击时:由AS强制剥夺其信任度,AS通过单播发送强制断开、信任度时间戳作废消息给与所述受攻击的节点相关联的所有节点,这时主要在deassociation帧之前发送一个消息:给所有已与所述受攻击节点关联的节点用各自PMK广播发送断开消息。接收到所述消息的节点在验证AS的身份可靠性之后,主动断开与所述受攻击节点的关联,并记录时间戳作废消息。同时AS通知受攻击节点如想继续接入,必须重配置之后再次认证。此时AS也可降低其信任度,减少受到攻击的风险,保证整个网络接入的安全。
所述信任度由AS进行统一分发和管理。AS对信任度的管理和发送使用动态目录机制,在Mesh网络运行中随着节点的加入、离开或强制离线等情况的发生,AS会不断被更新保存的相关信息。所述AS中保存了Mesh网络中认证成功的所有节点的用户身份信息以及AS认可的信任度、签名和时间戳信息,所述动态目录可以使用一个三元组来定义:TD_Mesh<M,td_r,TimeStamp>其中:
M中包含已成功认证的所有节点;
td_r中标记所有关联节点之间的信任关系;
timestamp包含所有已分发信任度的时间戳,所述时间戳是唯一的,而信任度是可以重用的。时间戳和信任度签名是一一对应的关系。
在AS的策略库中可以采用如下格式的策略定义语言:
{RolesID}IF{conditions}THEN{actions}
其中对于M策略库可以基于角色进行管理,分为两类:
(1)设备角色的信任度:仅仅表示该设备的安全等级或被攻击的难易,主要为MP或者MAP的信任度;
(2)用户角色的信任度:不但可以表示该节点的安全等级,同时可以将用户服务分级,用来调整基于级别的公平性或进行用户的访问控制等,主要为STA的信任度。
实际应用中用户可根据实际需要增加更多的功能来延伸该策略库,包括相应基于用户的负载均衡等都可以添加到其中,需要对condition(条件字段)和action(执行字段)进行不断扩充。
而对于安全策略的定义主要依赖于实际网络情况以及想要提供的服务类型等参数来确定,策略的粒度需进一步细化以满足不同用户级别的要求。
上述实施例以接入认证为例进行说明。实际操作中当任意两个MP想要建立关联的时候,也可以根据信任度的大小来选择请求者和认证者。小的一方为请求者,大的一方为认证者。如果双方都有信任度,那么表示两者只是想要建立关联而与接入认证无关,这时可以通过802.1x的方法来建立关联,而不接受新发出的信任度,或者仅仅两者交互信任度及签名就可关联,那么关联可以更快的建立,这样交互的过程能够更快的完成,其主要包括下列步骤:
(1)请求者将自己的信任度签名信息交给认证者来验证;
(2)认证者验证成功之后,用自己的信任度签名响应给请求者;
(3)请求者验证成功之后,返回成功或失败消息;
(4)利用原有802.11i的机制来进行密钥管理。
如果双方都没有信任度,则需要本地数据库来完成认证,结果可能失败,则需要等待其他能够完成认证的节点来接入Mesh网络。
本发明实施例提供一种Mesh网络中双向认证系统,所述系统包括至少一个AS及多个节点,所述节点包括:MP、MAP和STA。所述AS用于为Mesh网络中各节点分发信任度,并对所述信任度进行统一管理,其一种实施例模块示意图如图7所示,包括:
消息接收模块,用于接收Mesh网络中节点发送的消息,包括:认证请求消息、断开消息等;
信任度分发模块,用于根据接收到的请求认证的节点的安全能力信息、用户服务级别、或通过集中访问控制器的策略确定所述节点的安全等级,分发认证消息给请求者。所述认证消息中包括:信任度时戳,认证者签名、使用的签名算法等。所述请求者包括:MP、MAP或STA;
节点状态检测模块,用于检测Mesh网络中节点(MP、MAP或STA)是否受到攻击;
信任度降低/剥夺模块,用于在接收到断开消息或检测到节点受到攻击后降低/剥夺节点的信任度;
信任度管理模块,用于存储Mesh网络中所有认证成功的节点的用户身份信息以及系统中认可的信任度、签名和时间戳信息。
所述Mesh网络中的多个节点基于所述AS分发的信任度进行关联认证,其进一步包括如下模块:
认证者身份验证模块,用于根据接收到认证消息中的认证者签名验证认证者身份是否合法。
所述Mesh网络中的各设备节点包括MP或MAP,在获得认证后可以作为认证者来认证其他节点。
综上所述,本发明实施例提出了一种节点最初接入Mesh网络时根据邻居信任度来选择接入点,然后双方协商认证角色,并通过验证认证者的信任度签名校验认证者的合法身份,一次实现原有802.1x需要两轮才能完成的双向认证。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种网状网中双向认证的方法,其特征在于,包括:
网状网Mesh中的节点基于信任度选择关联节点,所述关联节点对节点进行认证,并将本身的信任度签名反馈给所述节点,所述节点根据所述信任度签名对所述关联节点进行认证;所述信任度由认证服务器AS下发及管理。
2.如权利要求1所述的方法,其特征在于,所述AS采用双向认证下发信任度的方法包括:
Mesh中的节点发送探测请求给邻居节点,并根据各邻居节点反馈的消息中携带的信任度选择与AS交互的中间认证者;
所述节点与所述选择的中间认证者进行关联,根据中间认证者关联过程中下发的信任度签名验证所述中间认证者的合法性,并获得所述中间认证者的认证后,将所述节点接入AS;
AS对所述请求接入的节点进行认证,下发信任度给所述请求接入的节点。
3.如权利要求2所述的方法,其特征在于,所述Mesh中各节点选择中间认证者的方法包括:
在所有反馈消息的邻居节点中选择信任度最大的或满足事先约定信任度范围的节点作为中间认证者。
4.如权利要求2所述的方法,其特征在于,所述Mesh中的节点与所述选择的中间认证者进行关联的方法具体包括:
Mesh中的节点向选择的中间认证者发送认证请求;
所述中间认证者将自己支持的安全参数、AS使用的公钥和签名算法、对信任度的签名反馈给所述节点;
所述节点验证所述中间认证者的有效性,并与所述中间认证者进行开放式或者预共享密钥认证;
所述中间认证者返回认证结果;
所述节点根据中间认证者支持的安全参数发送自己需要的安全参数组合给中间认证者;
所述中间认证者返回关联成功或失败结果给所述节点。
5.如权利要求4所述的方法,其特征在于,所述节点验证中间认证者合法性的方法包括:
各节点检查是否支持签名算法,并且整个Mesh的签名算法是否一致,如果不支持认证者反馈的签名算法,或整个Mesh的签名算法不一致,则认为认证者无效,否则有效。
6.如权利要求2所述的方法,其特征在于,所述AS对请求接入的节点进行认证的方法包括:
节点验证AS身份的合法性;
验证通过之后,所述节点将自己的信息提交给所述AS来进行认证;
AS由所述节点的信息确定所述节点的安全等级,并产生信任度时戳,签名之后连同AS使用的签名算法标识发送给所述节点;
所述节点验证AS的合法性,在所述AS合法情况下所述节点获得信任度。
7.如权利要求2所述的方法,其特征在于,所述AS对请求接入的节点进行认证的方法包括:
节点验证AS身份的合法性;
验证通过之后,所述节点将自己的信息提交给所述AS来进行认证;
所述AS对所述节点进行认证后,向所述节点发送认证结束消息;
所述节点接收到所述认证结束消息后,发送响应消息,同时请求AS颁发认证签名;
所述AS接收到所述请求后,产生信任度时戳、签名之后连同AS使用的签名算法标识,承载于认证成功或失败消息中发送给所述节点;
所述节点验证AS的合法性,在所述AS合法情况下所述节点获得信任度。
8.如权利要求1所述的方法,其特征在于,所述AS对信任度的管理方法包括:
在某个节点想要离开Mesh或AS检测到某个节点受到攻击时,降低或剥夺所述节点的信任度。
9.如权利要求1所述的方法,其特征在于,所述AS采用动态目录下发和管理信任度,所述动态目录包含Mesh中认证成功的所有节点的用户身份信息以及AS认可的信任度、签名和时间戳信息。
10.一种网状网网络系统,其特征在于,包括:至少一个AS及多个节点,所述AS用于根据接收到的请求认证的节点的信息对所述节点进行认证,以确定节点的安全等级,并在认证成功后产生信任度时戳,签名后连同签名算法标识下发给所述请求认证的节点;
Mesh中的节点,基于所述AS下发的信任度选择关联节点进行认证,并根据所述关联节点反馈的信任度签名对所述关联节点身份进行验证。
11.如权利要求10所述的系统,其特征在于,所述AS进一步包括:
信任度分发模块,用于根据接收到的请求认证的节点信息确定所述节点的安全等级,并在认证成功后产生信任度时戳,签名后连同签名算法标识下发给所述请求认证的节点;
信任度管理模块,用于存储Mesh中所有认证成功的节点的用户身份信息以及AS认可的信任度、签名和时间戳信息。
12.如权利要求10所述的系统,其特征在于,所述Mesh中的节点上设置有:
认证者身份验证模块,用于根据所述关联节点反馈的信任度签名对所述关联节点身份进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710079799 CN101222331B (zh) | 2007-01-09 | 2007-03-09 | 一种认证服务器及网状网中双向认证的方法及系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710063346.6 | 2007-01-09 | ||
| CN200710063346 | 2007-01-09 | ||
| CN 200710079799 CN101222331B (zh) | 2007-01-09 | 2007-03-09 | 一种认证服务器及网状网中双向认证的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101222331A CN101222331A (zh) | 2008-07-16 |
| CN101222331B true CN101222331B (zh) | 2013-04-24 |
Family
ID=39608378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710079799 Expired - Fee Related CN101222331B (zh) | 2007-01-09 | 2007-03-09 | 一种认证服务器及网状网中双向认证的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101222331B (zh) |
| WO (1) | WO2008083628A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394270B (zh) * | 2008-09-27 | 2011-01-19 | 上海交通大学 | 基于模块化路由的无线网状网络链路层加密方法 |
| CN101447899B (zh) * | 2008-11-14 | 2011-07-20 | 北京工业大学 | 无线Mesh网络中基于端到端的虫洞攻击检测方法 |
| CN101453733B (zh) * | 2008-11-28 | 2010-12-22 | 北京工业大学 | 无线Mesh网络中基于监视节点的虫洞攻击检测方法 |
| CN101784085B (zh) * | 2009-01-20 | 2013-03-20 | 华为技术有限公司 | 一种无线网状网网关离开的方法及装置 |
| CN102263787B (zh) * | 2011-07-08 | 2014-04-16 | 西安电子科技大学 | 动态分布式ca配置方法 |
| CN102421095B (zh) * | 2011-11-30 | 2014-04-02 | 广州杰赛科技股份有限公司 | 无线网状网的接入认证方法 |
| US9391781B2 (en) * | 2013-06-04 | 2016-07-12 | Altera Corporation | Systems and methods for intermediate message authentication in a switched-path network |
| CN104426874B (zh) * | 2013-08-30 | 2019-01-29 | 中兴通讯股份有限公司 | 一种用于泛在终端网络的认证方法和装置 |
| CN103795728A (zh) * | 2014-02-24 | 2014-05-14 | 哈尔滨工程大学 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
| CN105323754B (zh) * | 2014-07-29 | 2019-02-22 | 北京信威通信技术股份有限公司 | 一种基于预共享密钥的分布式鉴权方法 |
| CN105188065B (zh) * | 2015-08-11 | 2018-10-23 | 福建师范大学 | 一种基于多准则决策的无线Mesh网络信任度量系统 |
| CN105577699B (zh) * | 2016-03-03 | 2018-08-24 | 山东航天电子技术研究所 | 一种双向动态无中心鉴权的安全接入认证方法 |
| CN108933757B (zh) * | 2017-05-22 | 2021-09-17 | 北京君泊网络科技有限责任公司 | 一种硬件设备的安全可靠联网接入方法 |
| CN108234503B (zh) * | 2018-01-11 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
| CN109495892A (zh) * | 2018-12-06 | 2019-03-19 | 中国民航大学 | 基于动态信誉的无线Mesh网络安全路由路径确定方法 |
| EP3667534B1 (en) * | 2018-12-13 | 2021-09-29 | Schneider Electric Industries SAS | Time stamping of data in an offline node |
| CN109495889B (zh) * | 2018-12-20 | 2022-01-04 | 中山大学新华学院 | 基于互信机制的异构移动网络访问控制方法 |
| CN112738907B (zh) * | 2019-10-28 | 2023-02-28 | 杭州萤石软件有限公司 | 无线网络系统 |
| CN110831005B (zh) * | 2019-11-11 | 2023-07-11 | 深圳创维数字技术有限公司 | 一种Mesh网的设备添加方法、网关设备及存储介质 |
| CN112839015B (zh) * | 2019-11-25 | 2022-08-19 | 杭州萤石软件有限公司 | 攻击Mesh节点检测方法、装置及系统 |
| CN111147256B (zh) * | 2019-12-26 | 2021-07-09 | 荣耀终端有限公司 | 一种鉴权认证方法及装置 |
| CN111865592A (zh) * | 2020-09-21 | 2020-10-30 | 四川科锐得电力通信技术有限公司 | 物联网设备快速接入方法、装置、物联网平台及存储介质 |
| CN113949586A (zh) * | 2020-12-22 | 2022-01-18 | 技象科技(浙江)有限公司 | 分布式高效物联网设备接入系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
| CN1630269A (zh) * | 2003-12-17 | 2005-06-22 | 微软公司 | 具有终端设备识别的网状网络 |
| CN1691603A (zh) * | 2004-04-28 | 2005-11-02 | 联想(北京)有限公司 | 一种实现设备分组及分组设备间交互的方法 |
| CN1863090A (zh) * | 2006-01-13 | 2006-11-15 | 华为技术有限公司 | 一种对等网络及其节点控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060265333A1 (en) * | 2005-05-03 | 2006-11-23 | Interdigital Technology Corporation | Mesh network with digital rights management interoperability |
-
2007
- 2007-03-09 CN CN 200710079799 patent/CN101222331B/zh not_active Expired - Fee Related
-
2008
- 2008-01-09 WO PCT/CN2008/070064 patent/WO2008083628A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630269A (zh) * | 2003-12-17 | 2005-06-22 | 微软公司 | 具有终端设备识别的网状网络 |
| CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
| CN1691603A (zh) * | 2004-04-28 | 2005-11-02 | 联想(北京)有限公司 | 一种实现设备分组及分组设备间交互的方法 |
| CN1863090A (zh) * | 2006-01-13 | 2006-11-15 | 华为技术有限公司 | 一种对等网络及其节点控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101222331A (zh) | 2008-07-16 |
| WO2008083628A1 (fr) | 2008-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
| US8495360B2 (en) | Method and arrangement for providing a wireless mesh network | |
| US7793103B2 (en) | Ad-hoc network key management | |
| US20100293378A1 (en) | Method, device and system of id based wireless multi-hop network authentication access | |
| He et al. | Handauth: Efficient handover authentication with conditional privacy for wireless networks | |
| Dantu et al. | EAP methods for wireless networks | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| Cao et al. | G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks | |
| Li et al. | Efficient authentication for fast handover in wireless mesh networks | |
| Lai et al. | A secure blockchain-based group mobility management scheme in VANETs | |
| Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
| Egners et al. | Wireless mesh network security: State of affairs | |
| Abdel-Malek et al. | A proxy Signature-Based drone authentication in 5G D2D networks | |
| Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
| CN104703174B (zh) | 一种无线Mesh网络路由安全保护方法 | |
| Martignon et al. | DSA‐Mesh: a distributed security architecture for wireless mesh networks | |
| Maccari et al. | Secure, fast handhoff techniques for 802.1 X based wireless network | |
| Chow et al. | A lightweight D2D authentication scheme against free-riding attacks in 5G cellular network | |
| Santhanam et al. | Secure and efficient authentication in wireless mesh networks using merkle trees | |
| Kassab et al. | Securing fast handover in WLANs: a ticket based proactive authentication scheme | |
| Bansal et al. | Threshold based Authorization model for Authentication of a node in Wireless Mesh Networks | |
| Khan et al. | Mitigation of Non-Transparent Rouge Relay Stations in Mobile Multihop Relay Networks | |
| Daly et al. | A protocol for re-authentication and handoff notification in wireless mesh networks | |
| CN113890761A (zh) | 一种面向分区操作系统的轻量级安全通信方法及系统 | |
| Londe et al. | A new lightweight eap-pk authentication method for ieee 802. 11 standard wireless network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130424 Termination date: 20160309 |