CN101702807B - 一种无线安全接入认证方法 - Google Patents
一种无线安全接入认证方法 Download PDFInfo
- Publication number
- CN101702807B CN101702807B CN2009102342835A CN200910234283A CN101702807B CN 101702807 B CN101702807 B CN 101702807B CN 2009102342835 A CN2009102342835 A CN 2009102342835A CN 200910234283 A CN200910234283 A CN 200910234283A CN 101702807 B CN101702807 B CN 101702807B
- Authority
- CN
- China
- Prior art keywords
- nas
- pki
- message
- ebaf
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种无线安全接入认证方法,属于网络通讯安全认证领域。该方法的内容包括EBAF(Elliptic curve based authentication scheme)初始化协议、EBAF认证协议和一个可选择的EBAF撤销协议,其中:在EBAF初始化协议中产生一个椭圆曲线,生成资源所有者的密钥并分发终端的密钥;在EBAF认证协议中,认证双方用各自的Diffie-Hellman密钥对来认证对方的消息;在EBAF撤销协议中,组管理员产生新的密钥对,不能通过该密钥对认证的终端将被撤销。本发明不但保持了公钥认证的安全性,还有效减少了认证开销。
Description
技术领域
本发明涉及一种网络通讯中的无线安全接入认证方法,属于网络通讯安全认证领域。
背景技术
无线接入安全一直与移动管理密切相关。当一个移动节点(Mobile Node,MN)从当前的网络接入服务器(Network Access Server,NAS)漫游到一个新的NAS,它必须得向新的NAS请求认证以接入网络。NAS是无需大容量数据库的低成本设备,它们直接与MN作用,但是得向核心内在认证服务器(Authentication Server,AS)取得MN的密钥信息,因此,要运用三方类kerbero认证协议。
公钥证书认证体系可以给无线网络提供双方认证:MN和NAS分别从AS处取得各自的证书,然后他们可以在彼此之间建立一个认证密钥协商过程,因为AS不参与在线认证过程,所以它也不会受DDoS(Distributed Denial-of-service)和多米诺效应攻击。由于MN和NAS在认证过程中需要交换和更新证书,尤其是在无线网络中,公钥证书认证体系的开销会非常大。
发明内容
本发明针对公钥证书认证体系易受拒绝服务攻击和多米诺效应攻击及认证开销大的问题,而提出一种既保持了公钥认证的安全性又减小了认证开销的无线安全接入认证方法。
本发明的无线安全接入认证方法,包括EBAF初始化协议、EBAF认证协议和一个可选择的EBAF撤销协议,具体步骤如下:
(一)EBAF初始化协议
AS初始化EBAF域的参数,在有限域Fp中产生一个椭圆曲线T,它存在域基点G和素数阶n,然后AS产生私有的第一随机数Mnas和第二随机数Mmn,计算第一公钥和第二公钥最后AS产生第三随机数Mas,计算第三公钥<Mas,>作为AS的密钥对;
当域内的NAS要注册获得EBAF支持时,AS按如下步骤初始化NAS:
Step1)AS产生第四随机数j∈Zn,且j≠1,根据gcd(j,n)=1,用扩展Euclid算法计算出j-1modn,然后AS计算第四公钥Gj=(j-1modn)G和第一私钥knas=Mnasjmodn;
根据 将<knas,>作为NAS的密钥对;
当域内的MN要注册获得EBAF支持时,AS按如下步骤初始化MN:
Step1)AS产生第五随机数r∈Zn,且r≠1,根据gcd(r,n)=1,用扩展Euclid算法计算出r-1modn,然后AS计算第五公钥Gr=(r-1modn)G和第二私钥kmn=Mmnrmodn;
(二)EBAF认证协议
先假设MN已产生了自己的Diffie-Hellman公私钥对<x1,y1>,NAS也已产生了自己的Diffie-Hellman公私钥对<x2,y2>;
EBAF认证过程如下:
消息2)收到第三消息Q1后,目标NAS用第一公钥和第三消息Q1中的MNID=Gr来校验第三消息Q1;然后目标NAS设NASID=Gj,发送第四消息给MN,其中t2为第二一次性的随机数,第四消息Q2被第一私钥knas用椭圆曲线签名机制保护起来;
(三)可选择的EBAF撤销协议
以上内容中:EBAF为Elliptic curve based authentication scheme,即基于椭圆曲线的认证体系;AS为Authentication Server,即认证服务器;NAS为Network Access Server,即网络接入服务器;MN为Mobile Node,即移动节点;Zn为正整数集;PSA为pre-establishedSecure association,即预设安全协议。
本发明是一种新的无线安全接入认证协议体系,解决了现有认证体系易受拒绝服务攻击和多米诺效应攻击的问题,在认证时,MN(NAS)共享一个公钥,所以消除了证书交换和校验的代价。本发明在保持公钥认证安全性的同时,有效减小了认证开销。
附图说明
图1是本发明的方法协议结构示意图,其中:AS为认证服务器;NAS为网络接入服务器;MN为移动节点。
具体实施方式
本发明方法包括EBAF初始化协议、EBAF认证协议和一个可选择的EBAF撤销协议,其中:在EBAF初始化协议中产生一个椭圆曲线,生成资源所有者的密钥并分发终端的密钥;在EBAF认证协议中,认证双方用各自的Diffie-Hellman密钥对来认证对方的消息;在EBAF撤销协议中,组管理员产生新的密钥对,不能通过该密钥对认证的终端将被撤销。
本发明详细步骤如下:
(一)EBAF初始化协议
AS初始化EBAF域的参数,在有限域Fp中产生一个椭圆曲线T,它存在域基点G和素数阶n,然后AS产生第一和第二随机数Mnas和Mmn,Mnas和Mmn是私有的,计算第一公钥和第二公钥 是NAS共享的公钥,是MN共享的公钥,最后AS产生第三随机数Mas,计算第三公钥<Mas,>作为AS自己的密钥对;
当域内的NAS要注册获得EBAF支持时,AS按如下步骤初始化NAS:
Step1)AS产生第四随机数j∈Zn,且j≠1,根据gcd(j,n)=1,所以j-1modn存在并用扩展Euclid算法计算出j-1 modn,然后AS计算第四公钥Gj=(j-1modn)G和第一私钥knas=Mnasj modn;
当域内的MN要注册获得EBAF支持时,AS按如下步骤初始化MN:
Step1)AS产生第五随机数r∈Zn,且r≠1,根据gcd(r,n)=1,所以r-1 modn存在并用扩展Euclid算法计算出r-1modn,然后AS计算第五公钥Gr=(r-1 modn)G和第二私钥kmn=Mmnrmodn;
(二)EBAF认证协议
在认证之前,先假设MN已产生了自己的Diffie-Hellman公私钥对<x1,y1>,NAS也已产生了自己的Diffie-Hellman公私钥对<x2,y2>,其中:x1、x2为私钥,y1、y2为公钥;
EBAF认证过程如下:
消息2)收到第三消息Q1后,目标NAS用第一公钥和第三消息Q1中的MNID=Gr来校验第三消息Q1;然后目标NAS设NASID=Gj,发送第四消息给MN,其中t2为第二一次性的随机数,第四消息Q2被第一私钥knas用椭圆曲线签名机制保护起来;
(三)可选择的EBAF撤销协议
NAS可以看作成拥有私钥的一组网络实体,和私钥相对应的公钥是共享的。所以撤销过程可以通过改变共享公钥来实现。但是,如果共享公钥改变了,那么其他的不需要撤销的NAS也得改变他们的私钥。值得强调的是,所有的NAS当成一个组来操作,AS就是这个组的管理员,它用密钥管理体系来管理NAS共享的组密钥。
EBAF撤销协议具体步骤如下:
因为被撤销的NAS不知道第六随机数即新的组密钥kng,它也就不能计算出相对于新公钥即第六公钥的新私钥即第三私钥knas(new),因此,被撤销的NAS产生的第四消息Q2不能通过校验,EBAF认证过程也就失败了。
以上内容中:EBAF为Elliptic curve based authentication scheme,即基于椭圆曲线的认证体系;AS为Authentication Server,即认证服务器;NAS为Network Access Server,即网络接入服务器;MN为Mobile Node,即移动节点;Zn为正整数集;PSA为pre-establishedSecure association,即预设安全协议。
图1是本发明的方法协议结构示意图,图中:AS为认证服务器,NAS为网络接入服务器,MN为移动节点。
Claims (2)
1.一种无线安全接入认证方法,其特征在于:包括EBAF初始化协议和EBAF认证协议,步骤如下:
(一)EBAF初始化协议
AS初始化EBAF域的参数,在有限域Fp中产生一个椭圆曲线T,它存在域基点G和素数阶n,然后AS产生私有的第一随机数Mnas和第二随机数Mmn,计算第一公钥和第二公钥最后AS产生第三随机数Mas,计算第三公钥<Mas,>作为AS的密钥对;
当域内的NAS要注册获得EBAF支持时,AS按如下步骤初始化NAS:
Step1)AS产生第四随机数j∈Zn,且j≠1,根据gcd(j,n)=1,用扩展Euclid算法计算出j-1modn,然后AS计算第四公钥Gj=(j-1modn)G和第一私钥knas=Mnasjmodn;
当域内的MN要注册获得EBAF支持时,AS按如下步骤初始化MN:
Step1)AS产生第五随机数r∈Zn,且r≠1,根据gcd(r,n)=1,用扩展Euclid算法计算出r-1modn,然后AS计算第五公钥Gr=(r-1 modn)G和第二私钥kmn=Mmnrmodn;
(二)EBAF认证协议
先假设MN已产生了自己的Diffie-Hellman公私钥对<x1,y1>,NAS也已产生了自己的Diffie-Hellman公私钥对<x1,y2>;
EBAF认证过程如下:
消息1)MN设MNID=Gr,发送第三消息给目标NAS,其中t1为第一一次性随机数,第三消息Q1被第二私钥kmn用椭圆曲线签名机制保护起来;
消息2)收到第三消息Q1后,目标NAS用第一公钥和第三消息Q1中的MNID=Gr来校验第三消息Q1;然后目标NAS设NASID=Gj,发送第四消息给MN,其中t2为第二一次性的随机数,第四消息Q2被第一私钥knas用椭圆曲线签名机制保护起来;
其中:EBAF为Elliptic curve based authentication scheme,即基于椭圆曲线的认证体系;AS为Authentication Server,即认证服务器;NAS为Network Access Server,即网络接入服务器;MN为Mobile Node,即移动节点;Zn为正整数集;PSA为pre-establishedSecure association,即预设安全协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102342835A CN101702807B (zh) | 2009-11-16 | 2009-11-16 | 一种无线安全接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102342835A CN101702807B (zh) | 2009-11-16 | 2009-11-16 | 一种无线安全接入认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101702807A CN101702807A (zh) | 2010-05-05 |
CN101702807B true CN101702807B (zh) | 2012-07-25 |
Family
ID=42157693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102342835A Expired - Fee Related CN101702807B (zh) | 2009-11-16 | 2009-11-16 | 一种无线安全接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101702807B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102036237B (zh) * | 2010-12-20 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
CN102752174B (zh) * | 2012-07-23 | 2015-01-28 | 东南大学 | 一种无线局域网安全性能测试系统及方法 |
CN103680111B (zh) * | 2014-01-09 | 2017-01-25 | 西安电子科技大学 | 可验证智能感知终端数据聚集方法及系统 |
CN104539423B (zh) * | 2014-12-16 | 2018-01-05 | 北京百旺信安科技有限公司 | 一种无双线性对运算的无证书公钥密码体制的实现方法 |
CN109039602B (zh) * | 2018-07-26 | 2021-01-19 | 大连理工大学 | 一种应用于智能变电站的有限域对称密钥管理方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018125A (zh) * | 2007-03-02 | 2007-08-15 | 中兴通讯股份有限公司 | 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法 |
CN101296075A (zh) * | 2007-04-29 | 2008-10-29 | 四川虹微技术有限公司 | 一种基于椭圆曲线的身份认证系统 |
CN101547099A (zh) * | 2009-05-07 | 2009-09-30 | 张键红 | 基于椭圆曲线的自认证签名方法与装置 |
CN101567786A (zh) * | 2008-04-25 | 2009-10-28 | 中兴通讯股份有限公司 | 微波接入全球互操作系统的接入鉴权方法及系统 |
-
2009
- 2009-11-16 CN CN2009102342835A patent/CN101702807B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018125A (zh) * | 2007-03-02 | 2007-08-15 | 中兴通讯股份有限公司 | 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法 |
CN101296075A (zh) * | 2007-04-29 | 2008-10-29 | 四川虹微技术有限公司 | 一种基于椭圆曲线的身份认证系统 |
CN101567786A (zh) * | 2008-04-25 | 2009-10-28 | 中兴通讯股份有限公司 | 微波接入全球互操作系统的接入鉴权方法及系统 |
CN101547099A (zh) * | 2009-05-07 | 2009-09-30 | 张键红 | 基于椭圆曲线的自认证签名方法与装置 |
Non-Patent Citations (2)
Title |
---|
JP特开2009-42787A 2009.02.26 |
苗建松等.移动自组网椭圆曲线门限签名加密算法安全性分析.《微电子学与计算机》.2006,(第11期), * |
Also Published As
Publication number | Publication date |
---|---|
CN101702807A (zh) | 2010-05-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
CN103491540B (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
CN108964919A (zh) | 基于车联网的具有隐私保护的轻量级匿名认证方法 | |
CN103281191B (zh) | 基于车联网进行通信的方法和系统 | |
CN103702326B (zh) | 一种基于移动Ad Hoc网络的无证书密钥协商方法 | |
CN104270249A (zh) | 一种从无证书环境到基于身份环境的签密方法 | |
Farooq et al. | A survey of authentication techniques in vehicular ad-hoc networks | |
CN102546173B (zh) | 基于证书的数字签名系统及签名方法 | |
CN104079412B (zh) | 基于智能电网身份安全的无可信pkg的门限代理签名方法 | |
CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
CN104954390A (zh) | 可恢复丢失密钥的云存储完整性检测方法及系统 | |
CN101702807B (zh) | 一种无线安全接入认证方法 | |
CN108521401A (zh) | 一种增强无人机manet网络安全性的方法 | |
CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
Li et al. | A lightweight roaming authentication protocol for anonymous wireless communication | |
CN103825742A (zh) | 一种适用于大规模传感器网络的认证密钥协商方法 | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
Guehguih et al. | Blockchain-based privacy-preserving authentication and message dissemination scheme for vanet | |
Jia et al. | EPAS: Efficient Privacy-preserving Authentication Scheme for VANETs-based Emergency Communication. | |
Sang et al. | Pacm: Privacy-preserving authentication scheme with on-chain certificate management for vanets | |
Di et al. | A novel identity-based mutual authentication scheme for vehicle ad hoc networks | |
CN101674576B (zh) | 漫游时无需家乡网络参与的密钥交换认证方法 | |
Kotzanikolaou et al. | Hybrid key establishment for multiphase self-organized sensor networks | |
Xu et al. | A cross-domain group authentication scheme for LTE-A based vehicular network | |
Wang et al. | Achieving distributed user access control in sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120725 Termination date: 20131116 |