CN105577699A - 一种双向动态无中心鉴权的安全接入认证方法 - Google Patents

一种双向动态无中心鉴权的安全接入认证方法 Download PDF

Info

Publication number
CN105577699A
CN105577699A CN201610120733.8A CN201610120733A CN105577699A CN 105577699 A CN105577699 A CN 105577699A CN 201610120733 A CN201610120733 A CN 201610120733A CN 105577699 A CN105577699 A CN 105577699A
Authority
CN
China
Prior art keywords
node
authentication
network
aut
radom
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610120733.8A
Other languages
English (en)
Other versions
CN105577699B (zh
Inventor
于洋
王婷
周长青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Institute of Space Electronic Technology
Original Assignee
Shandong Institute of Space Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Institute of Space Electronic Technology filed Critical Shandong Institute of Space Electronic Technology
Priority to CN201610120733.8A priority Critical patent/CN105577699B/zh
Publication of CN105577699A publication Critical patent/CN105577699A/zh
Application granted granted Critical
Publication of CN105577699B publication Critical patent/CN105577699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种双向动态无中心鉴权的安全接入认证方法,对新申请节点和参考节点采用双向认证的机制,而且新节点入网请求时发送的是随机产生的随机数,参考节点认证时发送的也是由随机数计算出的随机算法结果和随机数,公共密钥和加密算法均不在空口传输,每次认证过程中随机产生认证随机数不同,进一步提高接入时身份认证的安全性;任何经认证入网的节点均可被选取作为入网认证的参考节点,若在网的任意节点出现故障或被攻击,则其他在网均可作为入网请求的参考节点,提高了网络的灵活性和抗攻击性;采用动态的一次性认证数据,每次提交的认证数据不同,提高认证过程的安全性。

Description

一种双向动态无中心鉴权的安全接入认证方法
技术领域
本发明涉及网络认证技术领域,尤其涉及一种双向动态无中心鉴权的安全接入认证方法。
背景技术
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。
目前使用比较多的是用户与系统间的身份认证,它只需单向进行,只由系统对用户进行身份验证。
常用的网络接入认证机制包括:静态口令认证机制是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充;同时易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统;动态口令认证机制,也采用单向的认证机制,新用户容易被吸入非法网络,而使新节点不能进行正常为网络服务;挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码,客户端程序收到这个“挑战”码,根据客户端和服务器之间共享的密钥信息,以及服务器端发送的“挑战”码做出相应的“应答”,存在于动态口令认证机制相同的风险;EAP(ExtensibleAuthenticationProtocol)扩展认证协议在RFC2248中定义,是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP实际是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。
公钥认证机制中要验证用户的身份,必须拥有用户的公钥,而用户公钥是否正确,是否是所声称拥有人的真实公钥,在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心(CertificateAuthority,CA),来确认声称拥有公开密钥的人的真正身份。
在安全性要求越来越高的专用网络通信系统中,应克服上述认证机制中口令单一易被攻击,单向认证中新用户被吸入非法网络,需要第三方进行验证信用户的身份等的缺陷,为专网网络设置更加安全的第一道屏障。
发明内容
本发明提供一种双向动态无中心鉴权的安全接入认证方法,能够进行双向动态鉴权,网络的灵活性和抗攻击性高。
本发明是通过以下技术方案实现:
一种双向动态无中心鉴权的安全接入认证方法,其包括以下步骤:
步骤1,新节点在发送入网请求时,本地产生随机数radom_n,与原始密钥K作为加密算法F(x,y)的参数获得F(K,radom_n),并计算出结果Node-Aut-C保存,并在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;
其中,参考节点为新节点随机选择的在网的任意一个节点,所述新节点在初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在新节点本地代码中;
步骤2,网内节点收到入网请求消息后,根据其携带的参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点产生随机数radom_c,与原始密钥K作为网内加密算法f(x,y)的参数获得f(K,radom_c),并计算出结果Network-Aut-C保存;同时利用入网请求消息中的随机数radom_n与原始密钥K作为加密算法f(x,y)的参数获得f(K,radom_n),并计算出结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地保存的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过新节点对它的认证;然后新节点将K与radom_c作为加密算法F(x,y)的参数获得函数F(K,radom_c),并计算出结果Network-Aut-I,将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过参考节点的认证,然后参考节点回复新节点入网成功响应消息;否则,回复新节点入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
与现有的技术相比,本发明的有益效果是:
本发明结合双向和动态的认证机制的优点,同时保证了网络和新接入节点双方的安全。具体包括如下几方面:
1.采用双向认证的机制,不仅新接入节点需要被认证,认证参考节点同时需要被新节点认证,新节点入网请求时仅仅发送的是随机产生的随机数,参考节点认证时仅仅发送的也是算法结果和随机数,公共秘钥和加密算法均不在空口传输,每次认证过程中随机产生认证随机数不同,进一步提高接入时身份认证的安全性;
2.无认证的中心节点,任何已经经过认证入网的节点均可被选取作为入网认证的参考节点,若在网的任意节点出现故障或被攻击,则其他在网也能作为入网请求的参考节点,提高了网络的灵活性和抗攻击性;
3.采用动态的一次性认证数据(随机数和算法结果),每次提交的认证数据不同,提高认证过程的安全性。
附图说明
图1为双向动态无中心鉴权的安全接入认证方法示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
申请入网的新节点以在网的任意一个节点作为参考节点,该新节点向参考节点发起认证过程的目的在于判断新节点是否为合法节点。当参考节点收到新节点发送来的入网申请消息,首先判断该消息是否为发送给自己的,如果是,则与该申请节点发起安全认证过程。
如图1所示,一种双向动态无中心鉴权的安全接入认证方法,其包括以下步骤:
步骤1,新节点在发送入网请求时,先本地产生一个随机数radom_n,并与原始密钥K一起作为加密算法F(x,y)的参数,则加密算法为F(K,radom_n),并计算出一个结果Node-Aut-C保存。在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;参考节点为该申请入网的节点随机选择的在网的任意一个节点;节点初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在本地代码和在网节点的本地代码中。
步骤2,网内节点收到入网请求消息后,根据参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点在收到入网请求时,产生一个随机数radom_c,并与原始密钥K一起作为加密算法f(x,y)的参数,则加密算法为f(K,radom_c),并计算出一个结果Network-Aut-C保存,同时利用入网请求消息中的随机数radom_n与原始密钥K利用同样的方法再次计算出一个结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地计算出的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过了新节点对它的认证;然后新节点将K与radom_c带入加密算法函数F(x,y)计算出Network-Aut-I,并将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过了参考节点的认证,参考节点回复新节点其入网成功响应消息;否则,失败,回复入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (1)

1.一种双向动态无中心鉴权的安全接入认证方法,其特征在于,包括以下步骤:
步骤1,新节点在发送入网请求时,本地产生随机数radom_n,与原始密钥K作为加密算法F(x,y)的参数获得F(K,radom_n),并计算出结果Node-Aut-C保存,并在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;
其中,参考节点为新节点随机选择的在网的任意一个节点,所述新节点在初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在新节点本地代码中;
步骤2,网内节点收到入网请求消息后,根据其携带的参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点产生随机数radom_c,与原始密钥K作为网内加密算法f(x,y)的参数获得f(K,radom_c),并计算出结果Network-Aut-C保存;同时利用入网请求消息中的随机数radom_n与原始密钥K作为加密算法f(x,y)的参数获得f(K,radom_n),并计算出结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地保存的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过新节点对它的认证;然后新节点将K与radom_c作为加密算法F(x,y)的参数获得函数F(K,radom_c),并计算出结果Network-Aut-I,将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过参考节点的认证,然后参考节点回复新节点入网成功响应消息;否则,回复新节点入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
CN201610120733.8A 2016-03-03 2016-03-03 一种双向动态无中心鉴权的安全接入认证方法 Active CN105577699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610120733.8A CN105577699B (zh) 2016-03-03 2016-03-03 一种双向动态无中心鉴权的安全接入认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610120733.8A CN105577699B (zh) 2016-03-03 2016-03-03 一种双向动态无中心鉴权的安全接入认证方法

Publications (2)

Publication Number Publication Date
CN105577699A true CN105577699A (zh) 2016-05-11
CN105577699B CN105577699B (zh) 2018-08-24

Family

ID=55887354

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610120733.8A Active CN105577699B (zh) 2016-03-03 2016-03-03 一种双向动态无中心鉴权的安全接入认证方法

Country Status (1)

Country Link
CN (1) CN105577699B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602706A (zh) * 2019-09-27 2019-12-20 中移物联网有限公司 一种入网方法、终端及服务器
CN110830251A (zh) * 2019-11-22 2020-02-21 国网四川省电力公司经济技术研究院 泛在电力物联网环境下的用电信息安全传输步骤与方法
CN111698678A (zh) * 2020-05-19 2020-09-22 常州工业职业技术学院 一种无固定基础设施的无线局域网安全自组网方法
CN114500150A (zh) * 2022-01-11 2022-05-13 上海三一重机股份有限公司 基于can总线的通信方法、装置及作业机械

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101222331B (zh) * 2007-01-09 2013-04-24 华为技术有限公司 一种认证服务器及网状网中双向认证的方法及系统
CN101222772B (zh) * 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法
CN101359990A (zh) * 2008-09-28 2009-02-04 熊猫电子集团有限公司 时分同步码分多址与自组织网络融合的认证方法
CN101888295A (zh) * 2009-05-15 2010-11-17 南京理工大学 分布式多项安全认证方法
CN102036242B (zh) * 2009-09-29 2014-11-05 中兴通讯股份有限公司 一种移动通讯网络中的接入认证方法和系统
CN101867930B (zh) * 2010-06-04 2012-11-14 西安电子科技大学 无线Mesh网络骨干节点切换快速认证方法
WO2012148257A1 (en) * 2011-04-26 2012-11-01 Mimos Berhad Method for use in multi hop wireless sensor network
CN102404347A (zh) * 2011-12-28 2012-04-04 南京邮电大学 一种基于公钥基础设施的移动互联网接入认证方法
MY178103A (en) * 2013-11-27 2020-10-02 Mimos Berhad An authentication method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602706A (zh) * 2019-09-27 2019-12-20 中移物联网有限公司 一种入网方法、终端及服务器
CN110602706B (zh) * 2019-09-27 2023-02-10 中移物联网有限公司 一种入网方法、终端及服务器
CN110830251A (zh) * 2019-11-22 2020-02-21 国网四川省电力公司经济技术研究院 泛在电力物联网环境下的用电信息安全传输步骤与方法
CN111698678A (zh) * 2020-05-19 2020-09-22 常州工业职业技术学院 一种无固定基础设施的无线局域网安全自组网方法
CN114500150A (zh) * 2022-01-11 2022-05-13 上海三一重机股份有限公司 基于can总线的通信方法、装置及作业机械

Also Published As

Publication number Publication date
CN105577699B (zh) 2018-08-24

Similar Documents

Publication Publication Date Title
CN107360571B (zh) 在移动网络中的匿名相互认证和密钥协商协议的方法
CN105577384B (zh) 用于保护网络的方法
CN101902476B (zh) 移动p2p用户身份认证方法
WO2017185913A1 (zh) 一种无线局域网认证机制的改进方法
CN106921663B (zh) 基于智能终端软件/智能终端的身份持续认证系统及方法
CN109639426B (zh) 一种基于标识密码的双向自认证方法
US10158608B2 (en) Key establishment for constrained resource devices
CN107820239B (zh) 信息处理方法及装置
CN104135494A (zh) 一种基于可信终端的同账户非可信终端登录方法及系统
US20100235625A1 (en) Techniques and architectures for preventing sybil attacks
CN112235235A (zh) 一种基于国密算法的sdp认证协议实现方法
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
US11722887B2 (en) Privacy protection authentication method based on wireless body area network
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
WO2016188053A1 (zh) 一种无线网络接入方法、装置及计算机存储介质
CN107612949B (zh) 一种基于射频指纹的无线智能终端接入认证方法及系统
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN105577699A (zh) 一种双向动态无中心鉴权的安全接入认证方法
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
CZ2013373A3 (cs) Způsob autentizace bezpečného datového kanálu
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN112333705B (zh) 一种用于5g通信网络的身份认证方法及系统
CN107786978B (zh) 基于量子加密的nfc认证系统
CN103986716B (zh) Ssl连接的建立方法以及基于ssl连接的通信方法及装置
KR20090002328A (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant