CN102724197A - 无线中继网络中的链路双向安全认证方法 - Google Patents

无线中继网络中的链路双向安全认证方法 Download PDF

Info

Publication number
CN102724197A
CN102724197A CN2012102117379A CN201210211737A CN102724197A CN 102724197 A CN102724197 A CN 102724197A CN 2012102117379 A CN2012102117379 A CN 2012102117379A CN 201210211737 A CN201210211737 A CN 201210211737A CN 102724197 A CN102724197 A CN 102724197A
Authority
CN
China
Prior art keywords
processing platform
terminal node
skey
relay
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012102117379A
Other languages
English (en)
Other versions
CN102724197B (zh
Inventor
王景成
胡霆
赵广磊
隆笑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201210211737.9A priority Critical patent/CN102724197B/zh
Publication of CN102724197A publication Critical patent/CN102724197A/zh
Application granted granted Critical
Publication of CN102724197B publication Critical patent/CN102724197B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种无线中继网络中的链路双向安全认证方法,所述无线中继网络包括终端节点、M个中继设备和处理平台,其时针对无线传感网络中带中继设备的链路中,由于终端节点的低运算能力,其安全性比较低的情况提出的一种解决方法,本发明借助中继设备的参与,认证双方的一部分计算负担转移到了中继设备中,提高了认证过程的复杂度,使得攻击者的破解难度随着中继设备的增加大幅度的增加,并且由于中继设备使用自己的私密信息参与认证信息流的更新,处理平台和终端节点还能间接认证中继设备身份的合法性。

Description

无线中继网络中的链路双向安全认证方法
技术领域
本发明涉及网络通信类,尤其涉及一种无线中继网络中的链路双向安全认证方法,其可实现多跳链路中处理平台和终端节点双向身份认证和密钥更新,适用于中继设备和终端节点的运算能力有限的无线传感网络环境,可提高双向认证的安全性。
背景技术
物联网环境中应用于终端的信息采集设备多是处理能力较为有限的微传感器,例如在智能交通领域已经投入应用的RFID标签、远程监护和医疗领域中用于收集监护病人的生命体征信息的生物传感器等。这些设备的运算处理能力通常都较为有限,但是其安全性却十分的重要。
在智能交通领域内,基于无源RFID标签的智能交通系统将担负起很重要的任务,但同时标签内存储的用户信息和资金账目等隐私信息的安全也是一个不容忽视的问题。远程监护和医疗系统中,收集的监护病人的生命体征信息在中继链路中流动时的安全性和存储在终端设备中的病人隐私信息的安全性也是十分重要的问题。但是,在密码学领域内用于提高系统安全性的基于复杂数学运算的算法在终端设备中都很难实现,提高系统安全性必须依靠其他方法来实现。分析发现,基于无源RFID标签的智能交通系统和远程监护和医疗系统在网络结构上有着相同之处,即信息的传输都需要中继设备。具体的带中继设备的链路连接无线终端网络如图1所示。
传统的方案在考虑两端设备的安全性时,只是将中继设备当成单纯的信息转发设备,从而无法充分利用中继设备的资源提高系统整体的安全性。
另外,传统的中继网络在终端节点和平台互相认证身份时,中继设备很少参与认证过程,但有的方法将中继设备当作是和终端节点身份安全性同样重要的节点逐跳认证,这个过程耗时比较大。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种无线中继网络中的链路双向安全认证方法,其利用链路上中继设备的运算能力,将一部分运算负担转移到中间设备中,提高了系统整体的安全性;同时,由于认证信息在链路上传输时,中继设备参与了认证信息的逐跳更新,本方还发明还能间接认证中继设备身份的合法性。
为实现上述目的,本发明提供了一种无线中继网络中的链路双向安全认证方法,其中,所述无线中继网络包括终端节点、M个中继设备和处理平台,所述终端节点、中继设备和处理平台的私密信息分别为SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)、SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1)和SKeyB,MarkB,SeedB,(aBn,aB(n-1)...aB2,aB1),其中,SKey为密钥,Mark为预留扩展的私密信息,Seed为种子,(aBn,aB(n-1),...aB2,aB1),(akn,ak(n-1),...ak2,ak1)和(aNn,an(n-1),...aN2,aN1)分别为处理平台、中继设备和终端节点的随机序列参数,n为随机序列的阶数,1≤k≤M,k为自然数,下标N、k、B分别表示所述终端节点、中继设备k和处理平台,其包括以下步骤:
无线中继网络初始化,其中,所述终端节点保存自身的私密信息SKeyN,MarkN,SeedN、中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB;所述中继设备只保存自身的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1);所述处理平台保存有自身的私密信息SKeyB,MarkB,终端节点的私密信息SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)和中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1);
终端节点进行身份认证,其中,所述终端节点向链路中的上层节点,也就是直接和所述终端节点通信的中继设备发送身份认证报文请求,所述身份认证报文请求明文在已经建立的链路中传输,直到所述身份认证报文请求信息发送到所述处理平台;
终端节点认证处理平台的身份合法性,其中,所述处理平台收到所述终端节点发送来的所述身份认证报文请求后,使用自身的私密信息SKeyB,MarkB,计算认证信息SHA1(SKeyB||MarkB),其中,SHA1表示哈希运算,||表示二进制或运算,得到的所述认证信息下发给下游中继设备k,所述下游中继设备k收到所述认证信息后,使用自身的私密信息SKeyk,Markk进行如下计算:Sk=SHA1(SKeyk||Markk+SHA1(SKeyB||MarkB)),并传送给中继设备k-1,以便完成计算Sk-1=SHA1(SKeyk-1||Mark-1+Sk),最终所述终端节点接收到的信息为S1=SHA1(SKey1||Mark1+S2),同时,所述终端节点中保存有各个中继设备的私密信息SKeyk,Markk和处理平台的私密信息SkeyB,MarkB,并在所述终端节点中重复上面的计算,得到新的S1,比较新的S1与传送来的S1的一致性,从而认证所述处理平台的身份合法性;
处理平台认证终端节点的身份合法性,其中,所述终端节点认证了所述处理平台的身份合法性后,所述终端节点向与其相邻的第一个中继设备发送自身的认证信息其中FN是所述终端节点根据自身的种子SeedN和自身的随机序列参数(aNn,aN(n-1),...aN2,aN1)生成的随机序列,与所述终端节点相邻的第一个中继设备收到所述认证信息后,根据自身私密信息SKey1,Mark1更新认证信息
Figure BDA00001804440900032
以后认证信息每经过一个中继设备,都根据公式
Figure BDA00001804440900033
进行更新,直至将认证信息传送到所述处理平台,所述处理平台收到认证信息后,调用自身存储的终端节点和中继设备的私密信息,重新计算认证信息Sk,并比较重新计算的认证信息Sk与传送来的Sk是否相等,以认证所述终端节点的身份合法性。
如上述的无线中继网络中的链路双向安全认证方法,其中,还包括链路节点的密钥和参数更新,其中,所述终端节点和中继设备的种子、随机序列参数均为私密信息,不在链路上明文传输,在更新参数时,在密钥更新数据包中加入目标地址位、加密后的种子和序列发生器参数。
进一步地,如上述的无线中继网络中的链路双向安全认证方法,其中,所述密钥和参数的更新从最靠近所述处理平台的中继设备开始,中继设备收到密钥更新数据包后,分析所述密钥更新数据包中的目标地址位的地址,如果所述目标地址位中的地址和自身地址一致,则利用自身保存在存储器中的私密信息解密待更新的密钥和参数,并将新更新的参数信息也保存在节点存储器中,更新参数后,中继节点发送参数更新成功的ACK消息给所述处理平台,所述处理平台收到所述ACK消息后,更新节点参数;如果所述密钥更数据包中的目标地址位的地址和中继设备的自身地址不一致,则中继节点将所述密钥更新数据包发送给下游中继节点。
进一步地,如上述的无线中继网络中的链路双向安全认证方法,其中,所述终端节点上待更新的密钥和参数为SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)。
如上述的无线中继网络中的链路双向安全认证方法,其中,还包括新节点的加入和删除,其中,中继设备加入链路时,只需要在所述处理平台上注册加入的中继设备的自身私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1),并下载上游设备和下游设备的公开ID信息,使得链路上能够形成一条完整的路由路径;中继设备主动请求删除自身节点时,所述处理平台端只需要去除中继设备私密信息,重新形成新的路由路径;由于中继设备失效造成被动删除时,需要重新添加中继设备;终端节点加入链路时,在所述处理平台注册自身私密信息后,还需要下载从所述处理平台到域中链路上所有中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1);终端节点的删除时,当所述处理平台在若干个密钥更新周期收不到终端节点的ACK消息时,删除终端节点在所述处理平台端的备份信息。
相对于现有技术中,本发明的无线中继网络中的链路双向安全认证方法具备以下有益的技术效果:
(1)现有技术中,中继链路中普遍使用的逐跳认证方法,本发明则提出逐跳顺序耦合处理方法,将最终的认证元素和每一个中继设备的私密信息关联起来,在中继设备私密信息不泄露的情况下,每增加一个中继设备,攻击者的正向暴力破解复杂度增加2(|SKey|+Mark|)倍,其中,|SKey |+|Mark |表示私密信息的位数;
(2)在安全认证流程中,将终端节点对处理平台的身份认证和处理平台对终端节点的身份认证安全性区别对待,并认为处理平台对身份认证的安全性要求更高,因此在处理平台对终端节点的身份认证中,中继设备增加了随机序列作为认证元素F,其中,随机序列由软件编程实现的基于种子驱动的程序实现,在运算能力和硬件配置有限的无线终端节点上能够较好的实现,随机序列发生器的种子和参数由处理平台根据一定时间周期,经过密钥管理模块统一更新,增加了系统的安全性;
(3)在节点的参数更新过程中,也实现了中继设备和终端节点信息的同步,有效的解决非同步化问题。
(4)本发明的无线中继网络中的链路双向安全认证方法拟定终端节点和中继设备的私密信息、中继设备的种子信息和序列生成器参数更新由系统的密钥管理模块实现,在固定周期内需要对终端节点和中继设备的私密信息进行更新,从而保证整个系统的安全性。
附图说明
图1是现有技术中带中继设备的链路连接无线终端网络的示意图;
图2是本发明中带中继设备的链路中信息流动方向和各个节点持有私密信息示意图;
图3是本发明中终端节点认证处理平台身份合法性的认证信息更新过程示意图;
图4是本发明中处理平台认证终端节点身份合法性的认证信息更新过程示意图。
具体实施方式
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
本发明的无线中继网络中的链路双向安全认证方法将中继设备加入到链路的安全认证流程中,分担部分终端节点的运算负担,同时只在终端节点上对最终验证信息的有效性进行验证,从而判定整条链路的合法性。
整个链路上的每个节点都拥有各自的私密信息SKey,Mark,Seed和(an,a(n-1),...a2,a1),其中,SKey为密钥;Mark为预留扩展的私密信息,可以为用户认证口令、动态密码等;Seed为种子;(an,a(n-1),...a2,a1)为随机序列参数,其中n为随机序列的阶数,n越大,随机序列发生器的复杂度越高。处理平台拥有终端节点和中继设备的所有私密信息SKey,Mark,Seed和(an,a(n-1),...a2,a1);终端节点拥有处理平台和中继设备的私密信息SKey,Mark;中继设备只拥有自身的私密信息SKey,Mark,Seed和(an,a(n-1)...a2,a1)。本发明使得各个节点尽量少持有其他节点的私密信息,因此终端节点在认证处理平台身份合法性时,只需要合法处理处理平台和中继设备的私密信息SKey,Mark;中继设备无须认证终端节点和处理平台的身份合法性,不需持有他们的私密信息。因此,当中继设备信息泄露时,不会威胁到链路上其他节点的安全性。
为了便于描述,终端节点的私密信息为SKeyN,MatkN,SeedN和(aNn,aN(n-1),...aN2,aN1);中继设备的私密信息为SKeyk,Mark,Seedk和(akn,ak(n-1),...ak2,ak1),其中,1≤k≤M,M为中继设备的个数;处理平台的私密信息为SKeyB,MarkB,SeedB和(aBn,aB(n-1),...aB2,aB1),下标N、k、B分别表示终端节点、中继设备k和处理平台,k为自然数。
双向认证中,终端节点对处理平台的身份认证和处理平台对终端节点的身份认证采取不同的计算方法。终端节点认证处理平台的身份合法性时,处理平台计算经过自身私密信息SKeyB,MarkB变换后的认证信息SHA1(SKeyB||MarkB),其中,SHA1表示哈希运算,|表示二进制或运算,并将变换后的认证信息下发给与之相邻的第一个中继设备。和处理平台相邻的第一个中继设备根据自身私密信息SKeyk,Markk,计算出认证信息Sk=SHA1(SKeyk||Markk+SHA1(SKeyB||MarkB)),其中,Sk表示第k个中继设备的认证信息(k大于等于1,k为自然数),然后将认证信息Sk转发给下游中继设备k-1。下游中继设备k-1重复执行运算Sk-1=SHA1(SKeyk-1||Markk-1+Sk),直到认证信息下发到终端节点。同时,由于终端节点中保存有各个中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB,故在终端节点中重复上面的计算,可得到新的S1,将得到的新的S1与传送来的S1进行比较,从而认证处理平台的身份合法性。因此,在本发明中,最终的认证信息和每一个中继设备都耦合起来,由于网络中只有合法的中继设备才能得到正确的私密信息,故本发明不仅直接认证了处理平台的身份合法性,还间接认证了中继设备的身份合法性。
处理平台认证终端节点的身份时,仍然需要中继设备的参与。这一认证过程需要中继设备利用其私密信息中的种子产生一组随机序列,再和上游信息以及中继设备自身私密信息SKeyk,Markk做运算得到认证信息,再将认证信息传输给下游节点,认证信息为
Figure BDA00001804440900061
Figure BDA00001804440900071
其中,
Figure BDA00001804440900072
表示二进制异或运算,Fk为第k个中继设备依据自身种子Seedk和随机序列参数(akn,ak(n-1)...ak2,ak1)得到的一组随机序列,k大于等于1,且为自然数。最后得到的认证信息传送到处理平台上。最终处理平台认证时,处理平台需要调用自身存储的终端节点和中继设备的私密信息,重新计算最终得出的认证信息,并和链路上传输来的认证信息进行比较,看二者是否一致,以认证终端节点的身份合法性。这个过程中,由于中继设备的参数不一致性,增加了系统的复杂度,但是基本没有增加终端节点和中继设备的运算负担。
下面结合附图,对本发明进行进一步的阐述,将本发明的具体实施步骤进行详细的描述。
在本发明的无线中继网络中,包括有终端节点、M个中继设备和处理平台。本发明的无线中继网络中的链路双向安全认证方法就是在上述设备中执行的,具体方法如下:
系统初始化
系统初始化时,处理平台、终端节点和各个中继设备需要预置相应的私密信息。如图2所示,终端节点保存自身的私密信息SKeyN,MarkN,SeedN,中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB;中继设备只保存自身的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1)(1≤k≤M);处理平台保存有自身的私密信息SKeyB,MarkB,终端节点的SKeyN,MarkN,SeedN,(aNn,aN(n-1)...aN2,aN1)(1≤k≤M),和中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1)(1≤k≤M)。
处理平台保存网络中所有节点的私密信息,同时负责发起私密信息的更新,也方便了域中新加入的终端节点和中继设备的初始化。中继设备暴露在外部环境中,我们认为其被攻击的几率大,因此不在中继设备中保存其他节点的私密信息。终端节点是和用户直接交互的设备,安全性需求不像中继设备那样重要,因此在终端节点中保存有链路中中继设备的部分私密信息SKeyk,Markk,即使在终端节点信息泄露后,由于缺乏部分私密信息,也不能威胁到链路中其他节点的安全性。
终端节点发送身份认证请求报文
终端节点向域中的上层节点,也就是中继设备中直接和终端节点通信的节点发送身份认证报文请求,该身份认证报文请求明文在已经建立的链路中传输,直到身份认证报文请求发送到处理平台。
终端节点认证处理平台身份合法性
参见图3,处理平台收到终端节点传送来的身份认证报文请求后,使用自身的私密信息SKeyB,MarkB,计算认证信息SHA1(SKeyB||MarkB),并将认证信息下发给下游与之相邻的第一个中继设备k。下游中继设备k收到认证信息后,使用自身的私密信息SKeyk,Markk  参与计算认证信息Sk=SHA1(SKeyk||Markk+SHA1(SKeyB||MarkB)),并发送给中继设备k-1。每经过一个中继设备,中继设备逐次完成计算认证信息Sk-1=SHA1(SKeyk-1||Mark-1+Sk)(Sk-1表示M个中继设备中的第k-1个中继设备的认证信息)。最终终端节点接收到的认证信息为S1=SHA1(SKey1||Mark1+S2)。终端节点保存有中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB,可重复上面的计算,并将计算的结果与传送来的结果相比较,以判断处理平台身份的合法性。在这一过程中,由于链路中中继设备都参与了认证信息的更新,因此当链路中某一个或几个设备非法时,认证信息不一致。该方法不仅认证了处理平台的身份合法性,还间接认证了中继设备的身份合法性,同时增加了暴力破解的复杂度。一般假设暴力破解复杂度由私密信息的位数决定,则认证过程没有中继设备参与时的复杂度为2^(|SkeyN|+|SKeyB|+|MarkN |+|MarkB|)(||表示取参数的二进制位数);有中继设备参与认证过程的系统暴力破解的复杂度为2^{|SkeyN|+|SKeyB|+|MarkN |+|MarkB|+M(|Skey |+|Mark |)}。相比而言,复杂度增加了2^M(|Skey |+|Mark |)倍,其中M为中继设备的个数,|Skey |、|Mark |为中继设备的私密信息。
处理平台认证终端节点合法性
如图4所示,终端节点确定了处理平台的身份合法性后,向和终端节点相邻的第一个中继设备发送自身的认证信息,认证信息为其中FN是终端节点根据自身的种子SeedN和参数(aNn,aN(n-1),...aN2,aN1)生成的随机序列。与终端节点相邻的第一个中继设备收到认证信息后,根据自身的私密信息SKey1,Mark1更新认证信息
Figure BDA00001804440900082
以后认证信息每经过一个中继设备,都根据
Figure BDA00001804440900083
更新认证信息,直至最终的认证信息传送到处理平台。处理平台收到认证信息后,调用自身存储的终端节点和中继设备的私密信息,重新计算认证信息,并比较两者是否相等,从而认证终端节点的身份合法性。相比中继设备不参加认证的系统,本方法中,终端节点增加了生成随机序列FN的时间,处理平台增加了生成随机序列F1,F2,...Fk的时间,并且多计算了M次
Figure BDA00001804440900091
因此,处理平台的处理时间随着中继设备的参与数的增加,大致呈现线性增加的趋势。但是暴力破解的复杂度却大大增加了。假设穷举随机序列的复杂度为2^|Seed |。相比之下,本方法复杂度增加2^M(|Seed |+|SKey |+|Mark |)倍。
链路节点的参数更新
在本发明中,可以同时更新整个链路的中继设备的参数,也可以只更新某一个中继设备的参数。终端节点和中继设备的种子、随机序列参数均为私密信息,不在链路上明文传输。因此在更新参数时,需要借助于系统的密钥管理模块。具体实现是在密钥更新数据包中加入目标地址位、加密后的种子和随机序列参数。更新从最靠近处理平台的中继设备开始,节点收到密钥更新数据包后,分析密钥更新数据包中的目标地址位的地址,如果和中继设备的自身地址一致,则利用自身保存的私密信息解密待更新的密钥和参数,即中继设备待更新的私密信息,再将新更新的密钥和参数信息也保存在节点存储器中。更新参数后,节点发送参数更新成功的ACK(acknowledgement character,确认信息)消息给处理平台,平台收到ACK消息后,更新节点参数。如果和自身地址位的地址不一致,则将密钥更新数据包发送给下游中继节点。本方法中由于考虑到链路随着中继设备的增加,信息传输出错率也增加,会导致处理平台和节点参数不一致问题。在节点端同时保存旧的私密信息和新的私密信息,在身份认证时,如果第一次不通过认证,则使用旧的私密信息再做一次运算,两次都失败,才判定链路中存在非法节点。这就解决了两端私密信息不同步带来的非同步化问题。
一般而言密钥管理模块就是一种信息交换机制。为了提高安全性,处理平台和中继设备之间的密钥需要定时或者不定时的更新。密钥管理模块即是实现密钥在非安全信道上安全传输的功能。密钥管理功能和认证功能不存在先后的关系,认证功能一般在通信双方连接时进行,密钥管理功能在双方连接后定时或者不定时更新密钥。
节点的动态加入和删除
本方法中新节点的加入和删除针对终端节点和中继设备采取不同的方法。中继设备加入网络时,只需要在处理平台端注册自身私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1)(1≤k≤M),并下载上游设备和下游设备的公开ID信息,使得信息在链路上流动时能够形成一条完整的路由路径,其中,ID可以是中继节点的IP地址或者MAC物理地址。由于链路缩短等原因中继设备主动请求删除自身节点时,处理平台端只需要去除中继设备的私密信息,重新形成新的路由路径,由于中继设备失效等造成被动删除时,则需要重新添加中继设备。终端节点加入网络时,在处理平台注册自身私密信息后,还需要下载从处理平台到域中链路上所有中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1)...ak2,ak1)(1≤k≤M),终端节点的删除则比较简单,处理平台在若干个密钥更新周期收不到终端节点ACK消息,则删除终端节点在平台端的备份信息。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (5)

1.一种无线中继网络中的链路双向安全认证方法,其中,所述无线中继网络包括终端节点、M个中继设备和处理平台,所述终端节点、中继设备和处理平台的私密信息分别为SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)、SKeyk,Markk,Seedk,(aKn,ak(n-1)...ak2,ak1)和SKeyB,MarkB,SeedB,(aBn,aB(n-1),...aB2,aB1),其中,SKey为密钥,Mark为预留扩展的私密信息,Seed为种子,(aBn,aB(N-1)...aB2,aB1),(akn,ak(n-1)...ak2,ak1)和(aNn,aN(n-1),...aN2,aN1)分别为处理平台、中继设备和终端节点的随机序列参数,n为随机序列的阶数,1≤k≤M,k为自然数,下标N、k、B分别表示所述终端节点、中继设备k和处理平台,其特征在于,包括以下步骤:
无线中继网络初始化,其中,所述终端节点保存自身的私密信息SKeyN,MarkN,SeedN  中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB;所述中继设备只保存自身的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1);所述处理平台保存有自身的私密信息SKeyB,MarkB,终端节点的私密信息SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)和中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1);
终端节点进行身份认证,其中,所述终端节点向链路中的上层节点,也就是直接和所述终端节点通信的中继设备发送身份认证报文请求,所述身份认证报文请求明文在已经建立的链路中传输,直到所述身份认证报文请求信息发送到所述处理平台;
终端节点认证处理平台的身份合法性,其中,所述处理平台收到所述终端节点发送来的所述身份认证报文请求后,使用自身的私密信息SKeyB,MarkB,计算认证信息SHA1(SKeyB||MarkB),其中,SHA1表示哈希运算,||表示二进制或运算,得到的所述认证信息下发给下游中继设备k,所述下游中继设备k收到所述认证信息后,使用自身的私密信息SKeyk,Markk进行如下计算:Sk=SHA1(SKeyk||Markk+SHA1(SKeyB||MarkB)),并传送给中继设备k-1,以便完成计算Sk-1=SHA1(SKeyk-1||Markk-1+Sk),最终所述终端节点接收到的信息为S1=SHA1(SKey1||Mark1+S2),同时,所述终端节点中保存有各个中继设备的私密信息SKeyk,Markk和处理平台的私密信息SKeyB,MarkB,并在所述终端节点中重复上面的计算,得到新的S1,比较新的S1与传送来的S1的一致性,从而认证所述处理平台的身份合法性;
处理平台认证终端节点的身份合法性,其中,所述终端节点认证了所述处理平台的身份合法性后,所述终端节点向与其相邻的第一个中继设备发送自身的认证信息
Figure FDA00001804440800021
其中FN是所述终端节点根据自身的种子SeedN和自身的随机序列参数(aNn,aN(n-1),...aN2。aN1)生成的随机序列,与所述终端节点相邻的第一个中继设备收到所述认证信息后,根据自身私密信息SKey1,Mark1更新认证信息
Figure FDA00001804440800022
以后认证信息每经过一个中继设备,都根据公式
Figure FDA00001804440800023
进行更新,直至将认证信息传送到所述处理平台,所述处理平台收到认证信息后,调用自身存储的终端节点和中继设备的私密信息,重新计算认证信息Sk,并比较重新计算的认证信息Sk与传送来的Sk是否相等,以认证所述终端节点的身份合法性。
2.如权利要求1所述的无线中继网络中的链路双向安全认证方法,其特征在于,还包括链路节点的密钥和参数更新,其中,所述终端节点和中继设备的种子、随机序列参数均为私密信息,不在链路上明文传输,在更新参数时,在密钥更新数据包中加入目标地址位、加密后的种子和序列发生器参数。
3.如权利要求2所述的无线中继网络中的链路双向安全认证方法,其特征在于,所述密钥和参数的更新从最靠近所述处理平台的中继设备开始,中继设备收到密钥更新数据包后,分析所述密钥更新数据包中的目标地址位的地址,如果所述目标地址位中的地址和自身地址一致,则利用自身保存在存储器中的私密信息解密待更新的密钥和参数,并将新更新的参数信息也保存在节点存储器中,更新参数后,中继节点发送参数更新成功的ACK消息给所述处理平台,所述处理平台收到所述ACK消息后,更新节点参数;如果所述密钥更数据包中的目标地址位的地址和中继设备的自身地址不一致,则中继节点将所述密钥更新数据包发送给下游中继节点。
4.如权利要求3所述的无线中继网络中的链路双向安全认证方法,其特征在于,所述终端节点上待更新的密钥和参数为SKeyN,MarkN,SeedN,(aNn,aN(n-1),...aN2,aN1)。
5.如权利要求1所述的无线中继网络中的链路双向安全认证方法,其特征在于,还包括新节点的加入和删除,其中,中继设备加入链路时,只需要在所述处理平台上注册加入的中继设备的自身私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1),并下载上游设备和下游设备的公开ID信息,使得链路上能够形成一条完整的路由路径;中继设备主动请求删除自身节点时,所述处理平台端只需要去除中继设备私密信息,重新形成新的路由路径;由于中继设备失效造成被动删除时,需要重新添加中继设备;终端节点加入链路时,在所述处理平台注册自身私密信息后,还需要下载从所述处理平台到域中链路上所有中继设备的私密信息SKeyk,Markk,Seedk,(akn,ak(n-1),...ak2,ak1);终端节点的删除时,当所述处理平台在若干个密钥更新周期收不到终端节点的ACK消息时,删除终端节点在所述处理平台端的备份信息。
CN201210211737.9A 2012-06-25 2012-06-25 无线中继网络中的链路双向安全认证方法 Expired - Fee Related CN102724197B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210211737.9A CN102724197B (zh) 2012-06-25 2012-06-25 无线中继网络中的链路双向安全认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210211737.9A CN102724197B (zh) 2012-06-25 2012-06-25 无线中继网络中的链路双向安全认证方法

Publications (2)

Publication Number Publication Date
CN102724197A true CN102724197A (zh) 2012-10-10
CN102724197B CN102724197B (zh) 2015-08-12

Family

ID=46949860

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210211737.9A Expired - Fee Related CN102724197B (zh) 2012-06-25 2012-06-25 无线中继网络中的链路双向安全认证方法

Country Status (1)

Country Link
CN (1) CN102724197B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105306483A (zh) * 2015-11-13 2016-02-03 厦门安胜网络科技有限公司 一种安全快速的匿名网络通信方法及系统
CN105827587A (zh) * 2015-01-27 2016-08-03 瑞萨电子株式会社 中继设备、终端设备和通信方法
WO2016180153A1 (zh) * 2015-08-17 2016-11-17 中兴通讯股份有限公司 业务处理方法及装置
CN110249607A (zh) * 2017-02-03 2019-09-17 高通股份有限公司 用于经由至少一个中继用户装备来安全地传达数据分组的技术
CN112953704A (zh) * 2021-01-29 2021-06-11 杭州叙简科技股份有限公司 一种基于5g的无人poc中继方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232378A (zh) * 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法
CN101815293A (zh) * 2009-02-20 2010-08-25 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232378A (zh) * 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法
CN101815293A (zh) * 2009-02-20 2010-08-25 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827587A (zh) * 2015-01-27 2016-08-03 瑞萨电子株式会社 中继设备、终端设备和通信方法
WO2016180153A1 (zh) * 2015-08-17 2016-11-17 中兴通讯股份有限公司 业务处理方法及装置
CN105306483A (zh) * 2015-11-13 2016-02-03 厦门安胜网络科技有限公司 一种安全快速的匿名网络通信方法及系统
CN105306483B (zh) * 2015-11-13 2018-09-07 厦门安胜网络科技有限公司 一种安全快速的匿名网络通信方法及系统
CN110249607A (zh) * 2017-02-03 2019-09-17 高通股份有限公司 用于经由至少一个中继用户装备来安全地传达数据分组的技术
CN110249607B (zh) * 2017-02-03 2021-10-29 高通股份有限公司 用于经由至少一个中继用户装备来传达分组的方法和装置
US11457003B2 (en) 2017-02-03 2022-09-27 Qualcomm Incorporated Techniques for securely communicating a data packet via at least one relay user equipment
CN112953704A (zh) * 2021-01-29 2021-06-11 杭州叙简科技股份有限公司 一种基于5g的无人poc中继方法
CN112953704B (zh) * 2021-01-29 2022-05-27 杭州叙简科技股份有限公司 一种基于5g的无人poc中继方法

Also Published As

Publication number Publication date
CN102724197B (zh) 2015-08-12

Similar Documents

Publication Publication Date Title
CN110419193B (zh) 用于安全智能家居环境的基于ksi的认证和通信方法及其系统
Aman et al. Mutual authentication in IoT systems using physical unclonable functions
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
CN104023013B (zh) 数据传输方法、服务端和客户端
US20220231843A1 (en) Authenticated lattice-based key agreement or key encapsulation
CN111630810B (zh) 密钥交换装置、密钥交换系统、密钥交换方法及记录介质
CN115549887A (zh) 用于信息的安全交换的公共秘密的确定和层级确定性密钥
US12047519B2 (en) Physical unclonable function based mutual authentication and key exchange
CN109691013A (zh) 区块链节点间通信方法、装置及存储介质、区块链系统
CN109359464B (zh) 一种基于区块链技术的无线安全认证方法
CN102724197B (zh) 无线中继网络中的链路双向安全认证方法
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
CN112887978A (zh) Wsn中的匿名身份认证与密钥协商协议
WO2023082599A1 (zh) 基于量子密钥的区块链网络安全通信方法
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN112187450B (zh) 密钥管理通信的方法、装置、设备及存储介质
CN113556237A (zh) 基于聚合多签的阈值签名方法、系统、装置及存储介质
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
Ma et al. A robust authentication scheme for remote diagnosis and maintenance in 5G V2N
CN111065097A (zh) 移动互联网中基于共享密钥的通道保护方法及系统
CN113626794A (zh) 客户/服务器模式下的认证及密钥协商方法、系统及应用
CN111245611B (zh) 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统
CN108599941A (zh) 随机非对称扩充字节通信数据加密方法
CN110620668B (zh) 基于区块链的抗量子计算公钥池更新方法和系统
Buchovecká et al. Lightweight Authentication and Secure Communication Suitable for IoT Devices.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB03 Change of inventor or designer information

Inventor after: Wang Jingcheng

Inventor after: Hu Ting

Inventor after: Ding Chenggang

Inventor after: Zhao Guanglei

Inventor after: Long Xiao

Inventor before: Wang Jingcheng

Inventor before: Hu Ting

Inventor before: Zhao Guanglei

Inventor before: Long Xiao

COR Change of bibliographic data

Free format text: CORRECT: INVENTOR; FROM: WANG JINGCHENG HU TING ZHAO GUANGLEI LONG XIAO TO: WANG JINGCHENG HU TING DING CHENGGANG ZHAO GUANGLEI LONG XIAO

C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150812

Termination date: 20180625