CN101902462B - 一种低开销的传感器网络访问控制方法及系统 - Google Patents
一种低开销的传感器网络访问控制方法及系统 Download PDFInfo
- Publication number
- CN101902462B CN101902462B CN2010101530967A CN201010153096A CN101902462B CN 101902462 B CN101902462 B CN 101902462B CN 2010101530967 A CN2010101530967 A CN 2010101530967A CN 201010153096 A CN201010153096 A CN 201010153096A CN 101902462 B CN101902462 B CN 101902462B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- message
- access node
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明所涉及的是一种低开销的传感器网络访问控制方法及系统,该系统包括用户User、目的访问节点DN以及访问控制器AC;在协议运行前,用户User和访问控制器AC之间、目的访问节点DN和访问控制器AC之间均已共享密钥;在传感器网络中的目的访问节点认证用户的过程中,由用户转发目的访问节点和访问控制器之间的认证信息,然后由目的访问节点对用户进行授权管理,不需要传感器网络中的其他节点参与认证过程,从而避免网络中的节点因转发用户和目的访问节点间的认证信息而产生通信开销,有效节约了节点的资源,实现一种轻量级和高效的访问控制,尤其对于存在大量用户频繁访问的传感器网络,能够增加网络的寿命,降低使用成本。
Description
技术领域
本发明属信息安全技术中的无线网络安全应用领域,尤其涉及一低开销的种传感器网络访问控制方法及系统。
背景技术
无线传感器网络由大量具有感知能力的节点构成,以ad-hoc方式自组成网,为用户提供数据的收集、处理、传输等服务。访问控制机制用于保护传感器网络数据,禁止非法用户的访问,控制合法用户的访问权限,是传感器网络的基本安全服务之一。
现有的传感器网络访问控制方法中,对于要求有访问控制器在线参与的情形,在传感器网络中的目的访问节点收到用户的访问请求后,即展开对用户身份的认证,并且通常是通过传感器网络中其他的节点转发用户的认证信息至访问控制器,由访问控制器对用户的身份进行认证,并将认证结果以及相应的授权信息在经过中间节点转发至目的访问节点,以此实现对网络用户的访问控制。这种传感器网络访问控制方法,在有大量用户频繁访问网络时将造成网络中转发节点产生大量的通信开销,对于节点资源严格受限的传感器网络,这种方法将很快耗尽某些网络节点的资源,极大影响网络的使用成本和寿命。而传感器网络用户通常情况下是资源不受限的,如笔记本电脑、PDA等。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提出一种不需要传感器网络中的其他节点参与认证过程的、低开销的传感器网络访问控制方法及系统。
本发明的技术解决方案是:本发明提供了一种低开销的传感器网络访问控制方法,其特殊之处在于:所述低开销的传感器网络访问控制方法包括以下步骤:
1)用户User向传感器网络中的目的访问节点DN发送用户认证请求消息;
2)目的访问节点DN收到步骤1)发来的用户认证请求消息后向用户User发送用户认证响应消息;
3)用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC;
4)访问控制器AC根据认证结果向用户User发送节点认证响应消息;
5)用户User根据从访问控制器AC收到的节点认证响应消息构造访问请求消息发送给目的访问节点DN;
6)目的访问节点DN对用户User的访问请求进行授权管理并发送访问请求响应消息给用户User。
上述步骤1)的具体实现方式是:
用户User在向传感器网络中的目的访问节点DN发送访问请求之前,首先向传感器网络中的目的访问节点DN发送认证请求消息,所述认证请求消息包含用户User产生的询问N1。
上述步骤2)的具体实现方式是:
目的访问节点DN收到用户User的认证请求后,产生询问N2,并利用与访问控制器AC之间的共享密钥KAC,DN计算ET1=E(KAC,DN,N1),将N1||N2||ET1作为认证响应消息发送给用户User,其中,E为对称加密算法。
上述步骤3)的具体实现方式是:
用户User收到目的访问节点DN的用户认证响应消息后,首先判断消息中的询问N1是否是用户User选择的询问,若不是,直接丢弃该响应消息;若是,则利用与访问控制器AC之间的共享密钥KAC,User计算ET2=E(KAC,User,N1),计算消息鉴别码MIC1=H(KAC,User,N1||IDDN||ET1||ET2),构造节点认证请求消息N1||IDDN||ET1||ET2||MIC1发送给访问控制器AC,其中,IDDN是目的访问节点DN的身份标识,H为单向哈希函数,E为对称加密算法。
上述步骤4)的具体实现方式是:
访问控制器AC收到用户User的节点认证请求消息后,首先根据MIC1判断消息的完整性,若不完整,丢弃该消息;若完整,利用与目的访问节点DN之间的共享密钥KAC,DN解密ET1,若解密后得到的N1与用户User在步骤3)中发送的N1不相等,访问控制器AC构造节点认证响应消息N1||IDDN||Res(DN)||MIC2发送给用户User,其中,Res(DN)=Failure,表示访问控制器AC对目的访问节点DN鉴别失败,其中MIC2=H(KAC,User,N1||IDDN||Res(DN));若解密后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC利用与用户User共享的密钥KAC,User解密ET2,若解密后得到的N1与用户User在步骤3)中发送的N1不相等,终止鉴别;若解密后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC生成用户User和目的访问节点DN间的会话密钥KDN,User,并根据用户User的身份标识查询访问控制列表ACL,获得用户User的访问控制信息ACLUser,连同User的访问期限Tv,利用KAC,DN计算ET3=E(KAC,DN,IDUser||KDN,User||TV||ACLUser),并利用KAC,User计算ET4=E(KAC,User,KDN,User),计算消息鉴别码MIC2=H(KAC,User,N1||IDDN||Res(DN)||ET3||ET4),构造节点认证响应消息N1||IDDN||Res(DN)||ET3||ET4||MIC2发送给用户User,其中,Res(DN)=True表示访问控制器AC对目的访问节点DN鉴别成功,IDDN是目的访问节点DN的身份标识,H为单向哈希函数,E为对称加密算法。
上述步骤5)的具体实现方式是:
用户User收到访问控制器AC的节点认证响应消息后,首先判断询问N1是否是用户User选择的询问,若不是,丢弃该响应消息;若是,根据MIC2判断消息的完整性;若不完整,丢弃该消息;若完整,用户User根据Res(DN)判断目的访问节点DN的合法性,若Res(DN)=Failure,表示目的访问节点DN非法,用户User终止访问;若Res(DN)=True,用户User解密消息中的ET4,产生询问N3,连同目的访问节点DN的询问N2以及用户User的访问请求QUser利用刚才解密后获得的、与目的访问节点间的会话密钥KDN,User计算ET5=E(KDN,User,N2||N3||QUser),计算消息鉴别码MIC3=H(KDN,User,ET3||ET5),构造访问请求消息ET3||ET5||MIC3发送给目的访问节点DN,其中,H为单向哈希函数,E为对称加密算法。
上述步骤6)的具体实现方式是:
目的访问节点DN收到用户User的访问请求后,首先解密ET3,获得会话密钥KDN,User,根据MIC3判断消息完整性,若不完整,终止访问;若完整,利用KDN,User解密ET5,判断解密后得到的询问N2是否目的访问节点DN选择的询问N2,若不是,终止访问;若是,再确认解密ET5后获得的IDUser是否请求访问的用户User的身份标识,若不是,终止访问;若是,记录当前时刻TC,从TC到(TC+TV)这段时间即为用户User的访问有效期,用户只能在此有效期内访问网络数据,目的访问节点DN根据ACLUser判断用户User的访问请求QUser是否合法,若不合法,终止访问;若合法,生成应答数据RDN,连同N3利用KDN,User计算ET6=E(KDN,User,N3||RDN),计算消息鉴别码MIC4=H(KDN,User,ET6),构造访问请求响应消息ET6||MIC4发送给用户User,其中,H为单向哈希函数,E为对称加密算法。
上述低开销的传感器网络访问控制方法还包括:
用户User收到请求响应消息后,首先根据MIC4判断消息完整性,若不完整,丢弃该消息;若完整,利用KDN,User解密ET6,判断解密得到的询问N3是否是用户User选择的询问N3,若不是,丢弃该消息;若是,用户User保存应答数据RDN,后续用户User与目的访问节点DN之间的访问请求和应答数据均利用KDN,User加以保护。
一种低开销的传感器网络访问控制系统,其特殊之处在于:所述低开销的传感器网络访问控制系统包括用户User、目的访问节点DN以及访问控制器AC;所述用户User向目的访问节点DN发送用户认证请求消息;所述目的访问节点DN收到用户认证请求消息后向用户User发送用户认证响应消息;所述用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC;所述访问控制器AC根据认证结果向用户User发送节点认证响应消息;所述用户User根据从访问控制器AC收到的节点认证响应构造访问请求消息发送给目的访问节点DN;所述目的访问节点DN对用户User的访问请求进行授权管理并发送访问请求响应消息给用户User。
本发明的优点是:本发明提出一种低开销的传感器网络访问控制方法,在传感器网络中的目的访问节点认证用户的过程中,由用户转发目的访问节点和访问控制器之间的认证信息,然后由目的访问节点对用户进行授权管理,不需要传感器网络中的其他节点参与认证过程,从而避免网络中的节点因转发用户和目的访问节点间的认证信息而产生通信开销,有效节约了节点的资源,实现一种轻量级和高效的访问控制,尤其对于存在大量用户频繁访问的传感器网络,能够增加网络的寿命,降低使用成本。
附图说明
图1为本发明所提供的低开销的传感器网络访问控制方法的流程图。
具体实施方式
参见图1,本发明提供了一种低开销的传感器网络访问控制方法,在协议运行前,用户User和访问控制器AC之间、目的访问节点DN和访问控制器AC之间均已共享密钥,根据本发明的优选实施例,该方法包括以下步骤:
1)用户User向传感器网络中的目的访问节点DN发送用户认证请求消息;
2)目的访问节点DN向用户User发送用户认证响应消息;
3)用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC;
4)访问控制器AC根据认证结果向用户User发送节点认证响应消息;
5)用户User根据从访问控制器AC收到的节点认证响应消息构造访问请求消息发送给目的访问节点DN;
6)目的访问节点DN对用户User的访问请求进行授权管理,若合法则发送访问请求响应消息给用户User。
上述步骤1)的具体实现方式是:
用户User在向传感器网络中的目的访问节点DN发送访问请求之前,首先向其发送认证请求消息,其中包含用户User产生的询问N1。
上述步骤2)的具体实现方式是:
目的访问节点DN收到用户User的认证请求后,产生询问N2,并利用与访问控制器AC之间的共享密钥KAC,DN计算ET1=E(KAC,DN,N1),然后将N1||N2||ET1作为认证响应消息发送给用户User。其中E为一种对称加密算法,下同。
上述步骤3)的具体实现方式是:
用户User收到目的访问节点DN的用户认证响应消息后,首先判断消息中的询问N1是否自己选择的询问,若不是,直接丢弃该响应消息;若是,则利用与访问控制器AC之间的共享密钥KAC,User计算ET2=E(KAC,User,N1),计算消息鉴别码MIC1=H(KAC,User,N1||IDDN||ET1||ET2),构造节点认证请求消息N1||IDDN||ET1||ET2||MIC1发送给访问控制器AC。其中IDDN是目的访问节点DN的身份标识,H为一种单向哈希函数,下同。
上述步骤4)的具体实现方式是:
访问控制器AC收到用户User的节点认证请求消息后,首先根据MIC1判断消息的完整性,若不完整,丢弃该消息;若完整,利用与目的访问节点DN之间的共享密钥KAC,DN解密ET1,若解密后得到的N1与用户User在步骤3)中发送的N1不相等,访问控制器AC构造节点认证响应消息N1||IDDN||Res(DN)||MIC2发送给用户User,其中,Res(DN)=Failure,表示访问控制器AC对目的访问节点DN鉴别失败,其中MIC2=H(KAC,User,N1||IDDN||Res(DN));若解密后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC利用与用户User共享的密钥KAC,User解密ET2,若解密后得到的N1与用户User在步骤3)中发送的N1不相等,终止鉴别;若解密后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC生成用户User和目的访问节点DN间的会话密钥KDN,User,并根据用户User的身份标识查询访问控制列表ACL,获得用户User的访问控制信息ACLUser,连同User的访问期限Tv,利用KAC,DN计算ET3=E(KAC,DN,IDUser||KDN,User||TV||ACLUser),并利用KAC,User计算ET4=E(KAC,User,KDN,User),计算消息鉴别码MIC2=H(KAC,User,N1||IDDN||Res(DN)||ET3||ET4),构造节点认证响应消息N1||IDDN||Res(DN)||ET3||ET4||MIC2发送给用户User,其中Res(DN)=True表示访问控制器AC对目的访问节点DN鉴别成功。
上述步骤5)的具体实现方式是:
用户User收到访问控制器AC的节点认证响应消息后,首先判断询问N1是否自己选择的询问,若不是,丢弃该响应消息;若是,根据MIC2判断消息的完整性,若不完整,丢弃该消息;若完整,用户User根据Res(DN)判断目的访问节点DN的合法性,若Res(DN)=Failure,表示目的访问节点DN非法,用户User终止访问;若Res(DN)=True,用户User解密消息中的ET4,产生询问N3,连同目的访问节点DN的询问N2以及用户User自己的访问请求QUser利用刚才解密后获得的、与目的访问节点间的会话密钥KDN,User计算ET5=E(KDN,User,N2||N3||QUser),计算消息鉴别码MIC3=H(KDN,User,ET3||ET5),构造访问请求消息ET3||ET5||MIC3发送给目的访问节点DN。
上述步骤6)的具体实现方式是:
目的访问节点DN收到用户User的访问请求后,首先解密ET3,获得会话密钥KDN,User,根据MIC3判断消息完整性,若不完整,终止访问;若完整,利用KDN,User解密ET5,判断解密后得到的询问N2是否目的访问节点DN自己选择的询问N2,若不是,终止访问;若是,再确认解密ET5后获得的IDUser是否请求访问的用户User的身份标识,若不是,终止访问;若是,记录当前时刻TC,从TC到(TC+TV)这段时间即为用户User的访问有效期,用户只能在此有效期内访问网络数据。然后,目的访问节点DN根据ACLUser判断用户User的访问请求QUser是否合法,若不合法,终止访问;若合法,生成应答数据RDN,连同N3利用KDN,User计算ET6=E(KDN,User,N3||RDN),计算消息鉴别码MIC4=H(KDN,User,ET6),构造访问请求响应消息ET6||MIC4发送给用户User。用户User收到请求响应消息后,首先根据MIC4判断消息完整性,若不完整,丢弃该消息;若完整,利用KDN,User解密ET6,判断解密得到的询问N3是否自己选择的询问N3,若不是,丢弃该消息;若是,用户User保存应答数据RDN。后续用户User与目的访问节点DN之间的访问请求和应答数据均利用KDN,User加以保护。
本发明还提供了一种低开销的传感器网络访问控制系统,该系统包括用户User、目的访问节点DN以及访问控制器AC;用户User向目的访问节点DN发送用户认证请求消息;目的访问节点DN收到用户认证请求消息后向用户User发送用户认证响应消息;用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC;访问控制器AC根据认证结果向用户User发送节点认证响应消息;用户User根据从访问控制器AC收到的节点认证响应消息构造访问请求消息发送给目的访问节点DN;目的访问节点DN对用户User的访问请求进行授权管理并发送访问请求响应消息给用户User。
Claims (3)
1.一种低开销的传感器网络访问控制方法,其特征在于:所述低开销的传感器网络访问控制方法包括以下步骤:
1)用户User向传感器网络中的目的访问节点DN发送用户认证请求消息:用户User在向传感器网络中的目的访问节点DN发送访问请求之前,首先向传感器网络中的目的访问节点DN发送认证请求消息,所述认证请求消息包含用户User产生的询问N1;
2)目的访问节点DN收到步骤1)发来的用户认证请求消息后向用户User发送用户认证响应消息:目的访问节点DN收到用户User的认证请求后,产生询问N2,并利用与访问控制器AC之间的共享密钥KAC,DN计算ET1=E(KAC,DN,N1),将N1‖N2‖ET1作为认证响应消息发送给用户User,其中,E为对称加密算法;
3)用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC:用户User收到目的访问节点DN的用户认证响应消息后,首先判断消息中的询问N1是否是用户User选择的询问,若不是,直接丢弃该响应消息;若是,则利用与访问控制器AC之间的共享密钥KAC,User计算ET2=E(KAC,User,N1),计算消息鉴别码MIC1=H(KAC,User,N1‖IDDN‖ET1‖ET2),构造节点认证请求消息N1‖IDDN‖ET1‖ET2‖MIC1发送给访问控制器AC,其中,IDDN是目的访问节点DN的身份标识,H为单向哈希函数,E为对称加密算法;
4)访问控制器AC根据认证结果向用户User发送节点认证响应消息:访问控制器AC收到用户User的节点认证请求消息后,首先根据MIC1判断消息的完整性,若不完整,丢弃该消息;若完整,利用与目的访问节点DN之间的共享密钥KAC,DN解密ET1,若解密ET1后得到的N1与用户User在步骤3)中发送的N1不相等,访问控制器AC构造节点认证响应消息N1‖IDDN‖Res(DN)‖MIC2发送给用户User,其中,Res(DN)=Failure,表示访问控制器AC对目的访问节点DN鉴别失败,其中MIC2=H(KAC,User,N1‖IDDN‖Res(DN));若解密ET1后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC利用与用户User共享的密钥KAC,User解密ET2,若解密ET2后得到的N1与用户User在步骤3)中发送的N1不相等,终止鉴别;若解密ET2后得到的N1与用户User在步骤3)中发送的N1相等,访问控制器AC生成用户User和目的访问节点DN间的会话密钥KDN,User,并根据用户User的身份标识查询访问控制列表ACL,获得用户User的访问控制信息ACLUser,连同User的访问期限Tv,利用KAC,DN计算ET3=E(KAC,DN,IDUser‖KDN,User‖TV‖ACLUser),并利用KAC,User计算ET4=E(KAC,User,KDN,User),计算消息鉴别码MIC2=H(KAC,User,N1‖IDDN‖Res(DN)‖ET3‖ET4),构造节点认证响应消息N1‖IDDN‖Res(DN)‖ET3‖ET4‖MIC2发送给用户User,其中,IDDN是目的访问节点DN的身份标识,Res(DN)=True表示访问控制器AC对目的访问节点DN鉴别成功,H为单向哈希函数,E为对称加密算法;
5)用户User根据从访问控制器AC收到的节点认证响应消息构造访问请求消息发送给目的访问节点DN:用户User收到访问控制器AC的节点认证响应消息后,首先判断询问N1是否是用户User选择的询问,若不是,丢弃该响应消息;若是,根据MIC2判断消息的完整性;若不完整,丢弃该消息;若完整,用户User根据Res(DN)判断目的访问节点DN的合法性,若Res(DN)=Failure,表示目的访问节点DN非法,用户User终止访问;若Res(DN)=True,用户User解密消息中的ET4,产生询问N3,连同目的访问节点DN的询问N2以及用户User的访问请求QUser利用刚才解密后获得的、与目的访问节点间的会话密钥KDN,User计算ET5=E(KDN,User,N2‖N3‖QUser),计算消息鉴别码MIC3=H(KDN,User,ET3‖ET5),构造访问请求消息ET3‖ET5‖MIC3发送给目的访问节点DN,其中,H为单向哈希函数,E为对称加密算法;
6)目的访问节点DN对用户User的访问请求进行授权管理并发送访问请求响应消息给用户User:目的访问节点DN收到用户User的访问请求后,首先解密ET3,获得会话密钥KDN,User,根据MIC3判断消息完整性,若不完整,终止访问;若完整,利用KDN,User解密ET5,判断解密后得到的询问N2是否目的访问节点DN选择的询问N2,若不是,终止访问;若是,再确认解密ET5后获得的IDUser是否请求访问的用户User的身份标识,若不是,终止访问;若是,记录当前时刻TC,从TC到(TC+TV)这段时间即为用户User的访问有效期,用户只能在此有效期内访问网络数据,目的访问节点DN根据ACLUser判断用户User的访问请求QUser是否合法,若不合法,终止访问;若合法,生成应答数据RDN,连同N3利用KDN,User计算ET6=E(KDN,User,N3‖RDN),计算消息鉴别码MIC4=H(KDN,User,ET6),构造访问请求响应消息ET6‖MIC4发送给用户User,其中,H为单向哈希函数,E为对称加密算法。
2.根据权利要求1所述的低开销的传感器网络访问控制方法,其特征在于:所述低开销的传感器网络访问控制方法还包括:
7)用户User收到请求响应消息后,首先根据MIC4判断消息完整性,若不完整,丢弃该消息;若完整,利用KDN,User解密ET6,判断解密得到的询问N3是否是用户User选择的询问N3,若不是,丢弃该消息;若是,用户User保存应答数据RDN,后续用户User与目的访问节点DN之间的访问请求和应答数据均利用KDN,User加以保护。
3.一种低开销的传感器网络访问控制系统,其特征在于:所述低开销的传感器网络访问控制系统包括用户User、目的访问节点DN以及访问控制器AC;所述用户User向目的访问节点DN发送用户认证请求消息;所述目的访问节点DN收到用户认证请求消息后向用户User发送用户认证响应消息;所述用户User结合目的访问节点DN的认证响应消息构造节点认证请求消息发送给访问控制器AC;所述访问控制器AC根据认证结果向用户User发送节点认证响应消息;所述用户User根据从访问控制器AC收到的节点认证响应消息构造访问请求消息发送给目的访问节点DN;所述目的访问节点DN对用户User的访问请求进行授权管理并发送访问请求响应消息给用户User;
所述用户User在向传感器网络中的目的访问节点DN发送访问请求之前,首先向传感器网络中的目的访问节点DN发送认证请求消息,所述认证请求消息包含用户User产生的询问N1;
所述目的访问节点DN收到用户User的认证请求后,产生询问N2,并利用与访问控制器AC之间的共享密钥KAC,DN计算ET1=E(KAC,DN,N1),将N1‖N2‖ET1作为认证响应消息发送给用户User,其中,E为对称加密算法;
所述用户User收到目的访问节点DN的用户认证响应消息后,首先判断消息中的询问N1是否是用户User选择的询问,若不是,直接丢弃该响应消息;若是,则利用与访问控制器AC之间的共享密钥KAC,User计算ET2=E(KAC,User,N1),计算消息鉴别码MIC1=H(KAC,User,N1‖IDDN‖ET1‖ET2),构造节点认证请求消息N1‖IDDN‖ET1‖ET2‖MIC1发送给访问控制器AC,其中,IDDN是目的访问节点DN的身份标识,H为单向哈希函数,E为对称加密算法;
所述访问控制器AC收到用户User的节点认证请求消息后,首先根据MIC1判断消息的完整性,若不完整,丢弃该消息;若完整,利用与目的访问节点DN之间的共享密钥KAC,DN解密ET1,若解密ET1后得到的N1与用户User收到的目的访问节点DN的用户认证响应消息中的N1不相等,访问控制器AC构造节点认证响应消息N1‖IDDN‖Res(DN)‖MIC2发送给用户User,其中,Res(DN)=Failure,表示访问控制器AC对目的访问节点DN鉴别失败,其中MIC2=H(KAC,User,N1‖IDDN‖Res(DN));若解密ET1后得到的N1与用户User收到的目的访问节点DN的用户认证响应消息中的N1相等,访问控制器AC利用与用户User共享的密钥KAC,User解密ET2,若解密ET2后得到的N1与用户User收到的目的访问节点DN的用户认证响应消息中的N1不相等,终止鉴别;若解密ET2后得到的N1与用户User收到的目的访问节点DN的用户认证响应消息中的N1相等,访问控制器AC生成用户User和目的访问节点DN间的会话密钥KDN,User,并根据用户User的身份标识查询访问控制列表ACL,获得用户User的访问控制信息ACLUser,连同User的访问期限Tv,利用KAC,DN计算ET3=E(KAC,DN,IDUser‖KDN,User‖TV‖ACLUser),并利用KAC,User计算ET4=E(KAC,User,KDN,User),计算消息鉴别码MIC2=H(KAC,User,N1‖IDDN‖Res(DN)‖ET3‖ET4),构造节点认证响应消息N1‖IDDN‖Res(DN)‖ET3‖ET4‖MIC2发送给用户User,其中,IDDN是目的访问节点DN的身份标识,Res(DN)=True表示访问控制器AC对目的访问节点DN鉴别成功,H为单向哈希函数,E为对称加密算法;
所述用户User收到访问控制器AC的节点认证响应消息后,首先判断询问N1是否是用户User选择的询问,若不是,丢弃该响应消息;若是,根据MIC2判断消息的完整性;若不完整,丢弃该消息;若完整,用户User根据Res(DN)判断目的访问节点DN的合法性,若Res(DN)=Failure,表示目的访问节点DN非法,用户User终止访问;若Res(DN)=True,用户User解密消息中的ET4,产生询问N3,连同目的访问节点DN的询问N2以及用户User的访问请求QUser利用刚才解密后获得的、与目的访问节点间的会话密钥KDN,User计算ET5=E(KDN,User,N2‖N3‖QUser),计算消息鉴别码MIC3=H(KDN,User,ET3‖ET5),构造访问请求消息ET3‖ET5‖MIC3发送给目的访问节点DN,其中,H为单向哈希函数,E为对称加密算法;
所述目的访问节点DN收到用户User的访问请求后,首先解密ET3,获得会话密钥KDN,User,根据MIC3判断消息完整性,若不完整,终止访问;若完整,利用KDN,User解密ET5,判断解密后得到的询问N2是否目的访问节点DN选择的询问N2,若不是,终止访问;若是,再确认解密ET5后获得的IDUser是否请求访问的用户User的身份标识,若不是,终止访问;若是,记录当前时刻TC,从TC到(TC+TV)这段时间即为用户User的访问有效期,用户只能在此有效期内访问网络数据,目的访问节点DN根据ACLUser判断用户User的访问请求QUser是否合法,若不合法,终止访问;若合法,生成应答数据RDN,连同N3利用KDN,User计算ET6=E(KDN,User,N3‖RDN),计算消息鉴别码MIC4=H(KDN,User,ET6),构造访问请求响应消息ET6‖MIC4发送给用户User,其中,H为单向哈希函数,E为对称加密算法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101530967A CN101902462B (zh) | 2010-04-22 | 2010-04-22 | 一种低开销的传感器网络访问控制方法及系统 |
PCT/CN2011/072454 WO2011131085A1 (zh) | 2010-04-22 | 2011-04-06 | 一种低开销的传感器网络访问控制方法、系统、终端、目的访问节点及访问控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101530967A CN101902462B (zh) | 2010-04-22 | 2010-04-22 | 一种低开销的传感器网络访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101902462A CN101902462A (zh) | 2010-12-01 |
CN101902462B true CN101902462B (zh) | 2013-03-13 |
Family
ID=43227664
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101530967A Active CN101902462B (zh) | 2010-04-22 | 2010-04-22 | 一种低开销的传感器网络访问控制方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101902462B (zh) |
WO (1) | WO2011131085A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902462B (zh) * | 2010-04-22 | 2013-03-13 | 国家无线电监测中心检测中心 | 一种低开销的传感器网络访问控制方法及系统 |
CN102404726B (zh) * | 2011-11-18 | 2014-06-04 | 重庆邮电大学 | 一种对用户访问物联网信息的分布式控制方法 |
CN104580207B (zh) * | 2015-01-04 | 2019-03-19 | 华为技术有限公司 | 物联网中的认证信息的转发方法、装置以及转发器 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101155024A (zh) * | 2006-09-29 | 2008-04-02 | 湖南大学 | 分簇结构传感器网络的有效密钥管理方法及其运行方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7378953B2 (en) * | 2004-08-30 | 2008-05-27 | International Business Machines Corporation | Transmission between a sensor and a controller in a wireless sensor network |
CN100581102C (zh) * | 2007-05-31 | 2010-01-13 | 北京泛亚创知科技发展有限公司 | 一种无线传感器网络中数据安全传输的方法 |
JP2009075020A (ja) * | 2007-09-22 | 2009-04-09 | Konica Minolta Medical & Graphic Inc | 放射線画像読取装置 |
CN101296249B (zh) * | 2008-04-03 | 2010-11-10 | 东南大学 | 用于无线传感器网络的媒体访问控制方法 |
CN101902462B (zh) * | 2010-04-22 | 2013-03-13 | 国家无线电监测中心检测中心 | 一种低开销的传感器网络访问控制方法及系统 |
-
2010
- 2010-04-22 CN CN2010101530967A patent/CN101902462B/zh active Active
-
2011
- 2011-04-06 WO PCT/CN2011/072454 patent/WO2011131085A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101155024A (zh) * | 2006-09-29 | 2008-04-02 | 湖南大学 | 分簇结构传感器网络的有效密钥管理方法及其运行方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2011131085A1 (zh) | 2011-10-27 |
CN101902462A (zh) | 2010-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sridhar et al. | Intelligent security framework for iot devices cryptography based end-to-end security architecture | |
CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
CN100581102C (zh) | 一种无线传感器网络中数据安全传输的方法 | |
US7310525B2 (en) | Network service system using temporary user identifier | |
He et al. | Security and efficiency in roaming services for wireless networks: challenges, approaches, and prospects | |
CN111935714B (zh) | 一种移动边缘计算网络中身份认证方法 | |
Fu et al. | A fast handover authentication mechanism based on ticket for IEEE 802.16 m | |
CN102195957A (zh) | 一种资源共享方法、装置及系统 | |
CN101867530A (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
CN1937499A (zh) | 基于域名的统一身份标识和认证方法 | |
CN101645900A (zh) | 一种跨域权限管理系统及方法 | |
CN101247407A (zh) | 网络认证服务系统和方法 | |
Zhou et al. | Undeniable billing in mobile communication | |
Liu et al. | A lightweight authentication scheme based on self‐updating strategy for space information network | |
CN101237325B (zh) | 以太网接入认证方法和下线认证方法以及以太网设备 | |
Aura et al. | Reducing reauthentication delay in wireless networks | |
CN103428077A (zh) | 一种安全收发邮件的方法和系统 | |
CN103841553B (zh) | 一种混合无线Mesh网络路由安全和隐私保护的方法 | |
KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
CN101902462B (zh) | 一种低开销的传感器网络访问控制方法及系统 | |
CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
Zhang et al. | FKR: An efficient authentication scheme for IEEE 802.11 ah networks | |
CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
CN101267663A (zh) | 一种用户身份验证的方法、系统及装置 | |
CN201663659U (zh) | 条件接收系统前端和用户管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |