CN105577699B - 一种双向动态无中心鉴权的安全接入认证方法 - Google Patents
一种双向动态无中心鉴权的安全接入认证方法 Download PDFInfo
- Publication number
- CN105577699B CN105577699B CN201610120733.8A CN201610120733A CN105577699B CN 105577699 B CN105577699 B CN 105577699B CN 201610120733 A CN201610120733 A CN 201610120733A CN 105577699 B CN105577699 B CN 105577699B
- Authority
- CN
- China
- Prior art keywords
- node
- authentication
- reference mode
- new node
- aut
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种双向动态无中心鉴权的安全接入认证方法,对新申请节点和参考节点采用双向认证的机制,而且新节点入网请求时发送的是随机产生的随机数,参考节点认证时发送的也是由随机数计算出的随机算法结果和随机数,公共密钥和加密算法均不在空口传输,每次认证过程中随机产生认证随机数不同,进一步提高接入时身份认证的安全性;任何经认证入网的节点均可被选取作为入网认证的参考节点,若在网的任意节点出现故障或被攻击,则其他在网均可作为入网请求的参考节点,提高了网络的灵活性和抗攻击性;采用动态的一次性认证数据,每次提交的认证数据不同,提高认证过程的安全性。
Description
技术领域
本发明涉及网络认证技术领域,尤其涉及一种双向动态无中心鉴权的安全接入认证方法。
背景技术
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。
目前使用比较多的是用户与系统间的身份认证,它只需单向进行,只由系统对用户进行身份验证。
常用的网络接入认证机制包括:静态口令认证机制是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充;同时易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统;动态口令认证机制,也采用单向的认证机制,新用户容易被吸入非法网络,而使新节点不能进行正常为网络服务;挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码,客户端程序收到这个“挑战”码,根据客户端和服务器之间共享的密钥信息,以及服务器端发送的“挑战”码做出相应的“应答”,存在于动态口令认证机制相同的风险;EAP(Extensible Authentication Protocol)扩展认证协议在RFC2248中定义,是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP实际是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允许协商所希望的认证机制。
公钥认证机制中要验证用户的身份,必须拥有用户的公钥,而用户公钥是否正确,是否是所声称拥有人的真实公钥,在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心(Certificate Authority,CA),来确认声称拥有公开密钥的人的真正身份。
在安全性要求越来越高的专用网络通信系统中,应克服上述认证机制中口令单一易被攻击,单向认证中新用户被吸入非法网络,需要第三方进行验证信用户的身份等的缺陷,为专网网络设置更加安全的第一道屏障。
发明内容
本发明提供一种双向动态无中心鉴权的安全接入认证方法,能够进行双向动态鉴权,网络的灵活性和抗攻击性高。
本发明是通过以下技术方案实现:
一种双向动态无中心鉴权的安全接入认证方法,其包括以下步骤:
步骤1,新节点在发送入网请求时,本地产生随机数radom_n,与原始密钥K作为加密算法F(x,y)的参数获得F(K,radom_n),并计算出结果Node-Aut-C保存,并在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;
其中,参考节点为新节点随机选择的在网的任意一个节点,所述新节点在初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在新节点本地代码中;
步骤2,网内节点收到入网请求消息后,根据其携带的参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点产生随机数radom_c,与原始密钥K作为网内加密算法f(x,y)的参数获得f(K,radom_c),并计算出结果Network-Aut-C保存;同时利用入网请求消息中的随机数radom_n与原始密钥K作为加密算法f(x,y)的参数获得f(K,radom_n),并计算出结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地保存的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过新节点对它的认证;然后新节点将K与radom_c作为加密算法F(x,y)的参数获得函数F(K,radom_c),并计算出结果Network-Aut-I,将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过参考节点的认证,然后参考节点回复新节点入网成功响应消息;否则,回复新节点入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
与现有的技术相比,本发明的有益效果是:
本发明结合双向和动态的认证机制的优点,同时保证了网络和新接入节点双方的安全。具体包括如下几方面:
1.采用双向认证的机制,不仅新接入节点需要被认证,认证参考节点同时需要被新节点认证,新节点入网请求时仅仅发送的是随机产生的随机数,参考节点认证时仅仅发送的也是算法结果和随机数,公共秘钥和加密算法均不在空口传输,每次认证过程中随机产生认证随机数不同,进一步提高接入时身份认证的安全性;
2.无认证的中心节点,任何已经经过认证入网的节点均可被选取作为入网认证的参考节点,若在网的任意节点出现故障或被攻击,则其他在网也能作为入网请求的参考节点,提高了网络的灵活性和抗攻击性;
3.采用动态的一次性认证数据(随机数和算法结果),每次提交的认证数据不同,提高认证过程的安全性。
附图说明
图1为双向动态无中心鉴权的安全接入认证方法示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
申请入网的新节点以在网的任意一个节点作为参考节点,该新节点向参考节点发起认证过程的目的在于判断新节点是否为合法节点。当参考节点收到新节点发送来的入网申请消息,首先判断该消息是否为发送给自己的,如果是,则与该申请节点发起安全认证过程。
如图1所示,一种双向动态无中心鉴权的安全接入认证方法,其包括以下步骤:
步骤1,新节点在发送入网请求时,先本地产生一个随机数radom_n,并与原始密钥K一起作为加密算法F(x,y)的参数,则加密算法为F(K,radom_n),并计算出一个结果Node-Aut-C保存。在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;参考节点为该申请入网的节点随机选择的在网的任意一个节点;节点初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在本地代码和在网节点的本地代码中。
步骤2,网内节点收到入网请求消息后,根据参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点在收到入网请求时,产生一个随机数radom_c,并与原始密钥K一起作为加密算法f(x,y)的参数,则加密算法为f(K,radom_c),并计算出一个结果Network-Aut-C保存,同时利用入网请求消息中的随机数radom_n与原始密钥K利用同样的方法再次计算出一个结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地计算出的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过了新节点对它的认证;然后新节点将K与radom_c带入加密算法函数F(x,y)计算出Network-Aut-I,并将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过了参考节点的认证,参考节点回复新节点其入网成功响应消息;否则,失败,回复入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种双向动态无中心鉴权的安全接入认证方法,其特征在于,包括以下步骤:
步骤1,新节点在发送入网请求时,本地产生随机数radom_n,与原始密钥K作为加密算法F(x,y)的参数获得F(K,radom_n),并计算出结果Node-Aut-C保存,并在入网请求消息中携带radom_n和参考节点ID,发送给网内节点;
其中,参考节点为新节点随机选择的在网内的任意一个节点,所述新节点在初始化时得到要加入网络的公用的初始密钥K,而加密算法F(x,y)固化在新节点本地代码中;
步骤2,网内节点收到入网请求消息后,根据其携带的参考节点ID确定自身是否为参考节点,若不为参考节点,则不进行处理,若为参考节点则执行步骤3;
步骤3,参考节点产生随机数radom_c,与原始密钥K作为网内加密算法f(x,y)的参数获得f(K,radom_c),并计算出结果Network-Aut-C保存;同时利用入网请求消息中的随机数radom_n与原始密钥K作为加密算法f(x,y)的参数获得f(K,radom_n),并计算出结果Node-Aut-I作为鉴权值,在认证请求消息中携带radom_c和Node-Aut-I,发送给申请入网的新节点;
步骤4,新节点收到认证请求消息后,先将Node-Aut-I与本地保存的Node-Aut-C进行比较,如果二者相同,则说明参考节点为合法的参考节点,参考节点通过新节点对它的认证;然后新节点将K与radom_c作为加密算法F(x,y)的参数获得函数F(K,radom_c),并计算出结果Network-Aut-I,将Network-Aut-I携带在认证响应消息中发送给参考节点;
步骤5,参考节点收到认证响应消息后,将其中的Network-Aut-I与本地的Network-Aut-C进行比较,如果二者相同,则说明新节点合法,新节点通过参考节点的认证,然后参考节点回复新节点入网成功响应消息;否则,回复新节点入网失败响应消息;
步骤6,若新节点收到入网成功响应消息,则完成双向动态鉴权,新节点入网成功;若新节点收到入网失败响应消息,则新节点入网失败,不能加入网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610120733.8A CN105577699B (zh) | 2016-03-03 | 2016-03-03 | 一种双向动态无中心鉴权的安全接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610120733.8A CN105577699B (zh) | 2016-03-03 | 2016-03-03 | 一种双向动态无中心鉴权的安全接入认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105577699A CN105577699A (zh) | 2016-05-11 |
CN105577699B true CN105577699B (zh) | 2018-08-24 |
Family
ID=55887354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610120733.8A Active CN105577699B (zh) | 2016-03-03 | 2016-03-03 | 一种双向动态无中心鉴权的安全接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105577699B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602706B (zh) * | 2019-09-27 | 2023-02-10 | 中移物联网有限公司 | 一种入网方法、终端及服务器 |
CN110830251B (zh) * | 2019-11-22 | 2023-04-21 | 国网四川省电力公司经济技术研究院 | 一种泛在电力物联网环境下用电信息安全传输的方法 |
CN111698678B (zh) * | 2020-05-19 | 2023-04-07 | 常州工业职业技术学院 | 一种无固定基础设施的无线局域网安全自组网方法 |
CN114500150A (zh) * | 2022-01-11 | 2022-05-13 | 上海三一重机股份有限公司 | 基于can总线的通信方法、装置及作业机械 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
CN101222772A (zh) * | 2008-01-23 | 2008-07-16 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络认证接入方法 |
CN101359990A (zh) * | 2008-09-28 | 2009-02-04 | 熊猫电子集团有限公司 | 时分同步码分多址与自组织网络融合的认证方法 |
CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
CN101888295A (zh) * | 2009-05-15 | 2010-11-17 | 南京理工大学 | 分布式多项安全认证方法 |
CN102036242A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
WO2012148257A1 (en) * | 2011-04-26 | 2012-11-01 | Mimos Berhad | Method for use in multi hop wireless sensor network |
WO2015080552A1 (en) * | 2013-11-27 | 2015-06-04 | Mimos Berhad | Mutual authentication method for use in a wireless sensor network |
-
2016
- 2016-03-03 CN CN201610120733.8A patent/CN105577699B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
CN101222772A (zh) * | 2008-01-23 | 2008-07-16 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络认证接入方法 |
CN101359990A (zh) * | 2008-09-28 | 2009-02-04 | 熊猫电子集团有限公司 | 时分同步码分多址与自组织网络融合的认证方法 |
CN101888295A (zh) * | 2009-05-15 | 2010-11-17 | 南京理工大学 | 分布式多项安全认证方法 |
CN102036242A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
WO2012148257A1 (en) * | 2011-04-26 | 2012-11-01 | Mimos Berhad | Method for use in multi hop wireless sensor network |
CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
WO2015080552A1 (en) * | 2013-11-27 | 2015-06-04 | Mimos Berhad | Mutual authentication method for use in a wireless sensor network |
Non-Patent Citations (1)
Title |
---|
《无线多跳网络的认证_密钥协商及信任机制研究》;杨亚涛;《中国博士学位论文全文数据库 信息科技辑》;20100415;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105577699A (zh) | 2016-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106657124B (zh) | 用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法 | |
JP7448220B2 (ja) | マルチポイント認証のためのキー生成・預託システム及び方法 | |
US8209744B2 (en) | Mobile device assisted secure computer network communication | |
Tan et al. | A PUF-based and cloud-assisted lightweight authentication for multi-hop body area network | |
CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
CN109639426B (zh) | 一种基于标识密码的双向自认证方法 | |
CA3035817A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
CN103338201B (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
CN105577699B (zh) | 一种双向动态无中心鉴权的安全接入认证方法 | |
CN105871553A (zh) | 一种无需用户身份的三因素的远程用户认证方法 | |
CN109716725B (zh) | 数据安全系统及其操作方法和计算机可读存储介质 | |
CN106921663A (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
Amin et al. | Cryptanalysis and design of a three-party authenticated key exchange protocol using smart card | |
Yassin et al. | A practical privacy-preserving password authentication scheme for cloud computing | |
CN104869121B (zh) | 一种基于802.1x的认证方法及装置 | |
WO2016188053A1 (zh) | 一种无线网络接入方法、装置及计算机存储介质 | |
CN110020524A (zh) | 一种基于智能卡的双向认证方法 | |
CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
Gautam et al. | A probably secure biometric‐based authentication and key agreement scheme for Internet of Drones | |
Cui et al. | An improved user authentication protocol for IoT | |
Parbat et al. | Zero knowledge protocol to design security model for threats in WSN | |
Madhusudhan et al. | An efficient and secure authentication scheme with user anonymity for roaming service in global mobile networks | |
Srinivas et al. | An authentication framework for roaming service in global mobility networks | |
Banerjee et al. | A perfect dynamic-id and biometric based remote user authentication scheme under multi-server environments using smart cards |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |