CN1627685A - 一种无线网格下的无线设备安全认证方法 - Google Patents
一种无线网格下的无线设备安全认证方法 Download PDFInfo
- Publication number
- CN1627685A CN1627685A CN 200310119424 CN200310119424A CN1627685A CN 1627685 A CN1627685 A CN 1627685A CN 200310119424 CN200310119424 CN 200310119424 CN 200310119424 A CN200310119424 A CN 200310119424A CN 1627685 A CN1627685 A CN 1627685A
- Authority
- CN
- China
- Prior art keywords
- wireless device
- resource
- authentication
- party
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种无线网格下的无线设备安全认证方法,该方法包含:无线设备预先存储认证信息数据库,资源提供无线设备根据预先存储的认证信息数据库,判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证,如果是,资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源;否则,资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。本发明充分考虑了无线设备具有移动性这一特点,有针对性地解决了无线设备的安全认证问题,提出了适合无线设备的安全认证方法。根据本发明提出的方法,增加了用户数据的安全性,并有效节约了对无线设备安全认证的投资。
Description
技术领域
本发明涉及无线设备数据安全技术,特别是指一种无线网格下的无线设备安全认证方法。
背景技术
随着无线网格的高速发展,确保用户数据安全的无线数据安全技术越来越成为人们关心的问题。无线设备的突出优势之一在于移动性,但是无线设备的移动性也导致了对无线设备进行安全认证的难度。
图1为现有技术中无线网格下的认证组网示意图,如图1所示,接入点(AP)分别与认证服务器和多个无线设备相连,多个无线设备可为无线设备A、无线设备B、无线设备C等。无线设备A需要访问网格资源时,网格对无线设备A进行安全认证的过程大致包括以下步骤:
步骤101~步骤102:无线设备A向AP发送访问网格资源请求,AP收到访问网格资源请求后,向认证服务器发起对无线设备A的认证。
步骤103~步骤104:认证服务器对无线设备A进行认证,然后向AP返回对无线设备A的认证结果,AP根据收到的认证结果,确定是否允许无线设备A访问网格资源。
图2为现有技术中无线设备认证流程图,如图2所示,无线设备认证的实现过程具体包括以下步骤:
步骤201~步骤203:无线设备A请求访问网格资源,向AP发送携带有无线设备A身份标识(ID)的访问网格资源请求。AP收到无线设备A的访问网格资源请求后,在网格中查找认证服务器,判断是否查找到认证服务器,如果是,执行步骤204;否则,执行步骤209。AP在网格中查找认证服务器是指AP查找与其相连的认证服务器,如果AP与多个认证服务器相连,则AP可查找到多个认证服务器。
步骤204~步骤206:AP向查找到的认证服务器发送无线设备A的ID,认证服务器对收到的无线设备A的ID进行认证,认证服务器判断无线设备A的ID是否合法,如果是,执行步骤207;否则,执行步骤209。认证服务器对无线设备A的ID是否合法的判断,是通过认证服务器在自身存储的认证信息数据库中搜索无线设备A的ID实现的,如果在认证信息数据库中搜索到无线设备A的ID,则无线设备A的ID合法,无线设备A通过认证;如果没有在认证信息数据库中搜索到无线设备A的ID,则无线设备A的ID非法,无线设备A未通过认证。
步骤207~步骤208:认证服务器通知AP无线设备A通过认证,AP允许无线设备A访问网格资源,结束当前无线设备认证流程。
步骤209~步骤210:认证服务器通知AP无线设备A未通过认证,AP拒绝无线设备A访问网格资源。
如果有多个认证服务器与AP相连,则AP能够查找到多个认证服务器,则同时向这些认证服务器发起对无线设备A的认证,只要无线设备A通过其中一个认证服务器的认证,AP就可允许无线设备A访问网格资源;如果无线设备A未通过这些认证服务器的认证,则AP拒绝无线设备A访问网格资源。
由以上描述可见,在现有的安全认证方法中必须具有认证服务器,认证服务器对请求访问网格资源的无线设备进行认证。这样,必然在安全认证中投入对认证服务器的投资,并且由于认证服务器的放置位置集中,容易受到恶意攻击,安全性也比较差。另外,由于无线设备具有移动性,而AP的覆盖范围是有限的,认证服务器通常又固定位置放置,当无线设备的移动范围超出AP的覆盖范围时,即便无线设备A可以直接与其需要访问资源的无线设备B相连,但由于无线设备A无法连接到AP,所以也将无法通过与AP相连的认证服务器对该无线设备进行认证,使得该无线设备即使是合法的无线设备,也无法访问网格资源,导致了合法无线设备对网格资源的不可访问。因此现有的安全认证方法并没有针对无线环境的特点进行,导致了现有的安全认证方法对于无线设备的安全认证缺乏弹性,并且是不适宜的。
发明内容
有鉴于此,本发明的目的在于提供一种无线网格下的无线设备安全认证方法,有效保护用户数据的安全性。
为了达到上述目的,本发明提供了一种无线网格下的无线设备安全认证方法,无线设备预先存储认证信息数据库,该方法包含:
A、资源提供无线设备根据预先存储的认证信息数据库,判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证,如果是,执行步骤B,否则,执行步骤C;
B、资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源,结束当前无线设备认证流程;
C、资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。
所述步骤C之前进一步包括以下步骤:
C01、资源提供无线设备判断是否在网格中寻找到第三方无线设备,如果是,执行步骤C02,否则,执行步骤C;
C02、资源提供无线设备向第三方无线设备发起对资源访问无线设备的认证,第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,如果是,执行步骤C03;否则,通知所述资源提供无线设备,资源访问无线设备未通过认证,然后执行步骤C;
C03、第三方无线设备通知所述资源提供无线设备,资源访问无线设备通过认证,然后执行步骤B。
步骤C02中所述第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,包括:资源提供无线设备向第三方无线设备发送资源访问无线设备的身份标识,第三方无线设备判断认证信息数据库中是否存储有所述身份标识,如果是,对应于所述身份标识的资源访问无线设备通过认证;否则,对应于所述身份标识的资源访问无线设备未通过认证。
资源提供无线设备在网格中寻找到一个以上的第三方无线设备,
所述步骤C02包括:资源提供无线设备向寻找到的全部第三方无线设备发起对资源访问无线设备的认证,各第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,如果是,执行步骤C03,否则,通知所述资源提供无线设备,资源访问无线设备未通过认证;
如果资源访问无线设备未通过资源提供无线设备寻找到的全部第三方无线设备的认证,则执行步骤C。
所述步骤C之前进一步包括:资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源,如果是,执行步骤B;否则,执行步骤C。
所述步骤B进一步包括:资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
步骤C01中所述资源提供无线设备判断是否在网格中寻找到第三方无线设备,包括:资源提供无线设备向网格发送数据报文后,判断是否收到第三方无线设备向所述资源提供无线设备返回的响应。
步骤A中所述资源提供无线设备根据预先存储的认证信息数据库,判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证,包括:资源访问无线设备向资源提供无线设备发送所述资源访问无线设备的身份标识,资源访问无线设备判断认证信息数据库中是否存储有所述身份标识,如果是,对应于所述身份标识的资源访问无线设备通过认证;否则,对应于所述身份标识的资源访问无线设备未通过认证。
本发明充分考虑了无线设备具有移动性这一特点,有针对性地解决了无线设备的安全认证问题,提出了适合无线设备的分布式安全认证方法。根据本发明提出的方法,每个无线设备中都存储有认证信息数据库,因此具备了认证服务器的功能,在无线设备请求访问某个无线设备的资源时,可由无线设备根据存储的认证信息数据库,完成对请求访问其资源的无线设备的认证,实现了分布式的安全认证,增加了用户数据的安全性,并有效节约了对无线设备安全认证的投资。另外,由于认证信息数据库存储内容有限,即使无线设备自身无法完成对请求访问其资源的无线设备的认证,也可通过第三方无线设备对请求访问资源的无线设备进行认证。
附图说明
图1为现有技术中无线网格下的认证组网示意图;
图2为现有技术中无线设备认证流程图;
图3为本发明中无线设备认证组网示意图;
图4为本发明中无线设备认证流程图;
图5为认证信息数据库存储形式示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明中的无线设备安全认证是建立在现有技术的无线局域网中无线网格构架基础上的,无线局域网中的无线网格将各种无线设备无缝的整合在一起,无线设备可以将自身的描述信息通过无线局域网中的无线网格构架进行发布,以使无线局域网中的其他无线设备知晓该无线设备的情况。
本发明中,不再设置专用于认证无线设备的认证服务器,而是使每个无线设备具备认证功能。在其他无线设备请求访问某无线设备的资源时,该无线设备对请求访问其资源的无线设备进行认证,如果通过认证,则允许相应无线设备访问该无线设备的资源;否则,拒绝相应无线设备访问该无线设备的资源。本发明中可将提供资源的无线设备称为资源提供无线设备,将请求访问其他无线设备资源的无线设备称为资源访问无线设备。
图3为本发明中无线设备认证组网示意图,如图3所示,每个无线设备都具备认证服务器的功能,可完成对其他请求访问其资源的无线设备的认证。由于对无线设备进行认证的计算并不复杂,只需在无线设备中设置认证信息数据库,在认证信息数据库中预先存储合法无线设备的ID,就可对请求访问其资源的无线设备进行认证,如果认证信息数据库中存储有该无线设备的ID,则该无线设备通过认证,允许该无线设备访问其资源;否则,该无线设备未通过认证,拒绝该无线设备访问其资源。
图4为本发明中无线设备认证流程图,如图4所示,无线设备认证的实现过程具体包括以下步骤:
步骤401~步骤403:无线设备A请求访问无线设备B的资源,无线设备B对无线设备A进行认证,判断无线设备A是否合法,如果是,执行步骤412;否则,执行步骤404。
无线设备B对无线设备A是否合法的判断,是通过无线设备B判断自身的认证信息数据库是否存储有无线设备A的ID实现的,如果是,则无线设备A通过认证;否则,无线设备B直接确定无线设备A未通过认证,或执行步骤404,即无线设备B寻找第三方无线设备继续对无线设备A进行认证。以上所述的无线设备A的ID可携带于无线设备A请求访问无线设备B的资源时,无线设备A向无线设备B发送的资源访问请求中。
步骤404~步骤405:无线设备B在网格中寻找第三方无线设备,第三方无线设备是指任意的一个无线设备A和无线设备B以外的其他无线设备,如无线设备C,无线设备B判断是否找到第三方无线设备,如果是,执行步骤406;否则,执行步骤410。
无线设备B向网格发送一个数据报文,该数据报文可被网格中所有的无线设备接收,现有的网格协议如传输控制协议/网际协议(TCP/IP)就可支持这一点,就如同开会的时候,一个人发言,所有与会者都能够听到发言一样。当某个无线设备,如无线设备C,收到无线设备B发送的数据报文后,无线设备C向无线设备B发送响应,无线设备B收到响应后,说明无线设备C被寻找到了。此时,无线设备B和无线设备C就可以相互通讯、交换信息了,无线设备B即可向无线设备C发起对无线设备A的认证了。
步骤406~步骤407:无线设备B向无线设备C发起对无线设备A的认证,无线设备B向无线设备C发送无线设备A的ID,无线设备C对收到的无线设备A的ID进行认证,判断无线设备A的ID是否合法,如果是,执行步骤408;否则,执行步骤409。
如果无线设备B无法确定无线设备A的ID合法时,可通过第三方无线设备继续对无线设备A进行认证。无线设备B可寻找任意一个第三方无线设备,然后向该无线设备发起对无线设备A的认证,如果无线设备A通过该第三方无线设备的认证,则无线设备B确定无线设备A通过认证;如果无线设备A未通过该第三方无线设备的认证,则无线设备B确定无线设备A未通过认证,继续向另一个第三方无线设备发起对无线设备A的认证,如果无线设备A一直没有通过认证,则直至网格内所有第三方无线设备都已完成对无线设备A的认证,无线设备B确定无线设备A未通过认证。无线设备B也可向网格中的所有无线设备发起对无线设备A的认证,各无线设备根据自身存储的认证信息数据库对无线设备A进行认证,然后向无线设备B返回对无线设备A的认证结果,此时,只要有一个无线设备向无线设备B返回了无线设备A通过认证的结果,无线设备B就可认为无线设备A通过认证;如果所有无线设备向无线设备B返回的均为无线设备A未通过认证的结果,则无线设备B认为无线设备A未通过认证。
步骤408:无线设备C通知无线设备B,无线设备A通过认证,然后执行步骤411。
步骤409:无线设备C通知无线设备B,无线设备A未通过认证。
步骤410:无线设备B判断是否允许无线设备A访问其自身资源,如果是,执行步骤411;否则,执行步骤413。
无线设备B判断是否允许无线设备A访问其自身资源,可通过无线设备与用户间的交互完成,无线设备B询问用户是否允许无线设备A访问无线设备B的资源,如果用户允许,则允许无线设备A访问无线设备B的资源;否则,拒绝无线设备A访问无线设备B的资源。
步骤411:无线设备B将无线设备A的信息,如无线设备A的ID,存储于自身的认证信息数据库中。
无线设备B将无线设备A的信息存储于自身的认证信息数据库中后,如果无线设备A需要再次访问无线设备B的资源时,无线设备B自身就可完成对无线设备A的认证。
步骤412:无线设备B允许无线设备A访问其资源,结束当前无线设备认证流程。
步骤413:无线设备B拒绝无线设备A访问其资源。
以上所述的无线设备B为资源提供无线设备,无线设备A为资源访问无线设备。
无线设备的ID是无线设备的唯一标识,因此需要保证无线设备ID的唯一性。通常,无线设备ID为唯一标识无线设备的字符串,如无线网卡的以太网卡硬件地址(MAC地址)、移动通信终端的用户识别码等。无线设备存储的认证信息数据库是存储有一系列无线设备ID的数据库,其存储形式如图5所示。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1、一种无线网格下的无线设备安全认证方法,其特征在于,无线设备预先存储认证信息数据库,该方法包含以下步骤:
A、资源提供无线设备根据预先存储的认证信息数据库,判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证,如果是,执行步骤B,否则,执行步骤C;
B、资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源,结束当前无线设备认证流程;
C、资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。
2、根据权利要求1所述的方法,其特征在于,所述步骤C之前进一步包括以下步骤:
C01、资源提供无线设备判断是否在网格中寻找到第三方无线设备,如果是,执行步骤C02,否则,执行步骤C;
C02、资源提供无线设备向第三方无线设备发起对资源访问无线设备的认证,第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,如果是,执行步骤C03;否则,通知所述资源提供无线设备,资源访问无线设备未通过认证,然后执行步骤C;
C03、第三方无线设备通知所述资源提供无线设备,资源访问无线设备通过认证,然后执行步骤B。
3、根据权利要求2所述的方法,其特征在于,步骤C02中所述第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,包括:资源提供无线设备向第三方无线设备发送资源访问无线设备的身份标识,第三方无线设备判断认证信息数据库中是否存储有所述身份标识,如果是,对应于所述身份标识的资源访问无线设备通过认证;否则,对应于所述身份标识的资源访问无线设备未通过认证。
4、根据权利要求2所述的方法,其特征在于,资源提供无线设备在网格中寻找到一个以上的第三方无线设备,
所述步骤C02包括:资源提供无线设备向寻找到的全部第三方无线设备发起对资源访问无线设备的认证,各第三方无线设备根据预先存储的认证信息数据库,判断所述资源访问无线设备是否通过认证,如果是,执行步骤C03,否则,通知所述资源提供无线设备,资源访问无线设备未通过认证;
如果资源访问无线设备未通过资源提供无线设备寻找到的全部第三方无线设备的认证,则执行步骤C。
5、根据权利要求4所述的方法,其特征在于,所述步骤C之前进一步包括:资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源,如果是,执行步骤B;否则,执行步骤C。
6、根据权利要求5所述的方法,其特征在于,所述步骤B进一步包括:资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
7、根据权利要求2、3或4所述的方法,其特征在于,步骤C01中所述资源提供无线设备判断是否在网格中寻找到第三方无线设备,包括:资源提供无线设备向网格发送数据报文后,判断是否收到第三方无线设备向所述资源提供无线设备返回的响应。
8、根据权利要求1或2所述的方法,其特征在于,所述步骤C之前进一步包括:资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源,如果是,执行步骤B;否则,执行步骤C。
9、根据权利要求8所述的方法,其特征在于,所述步骤B进一步包括:资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
10、根据权利要求1或2所述的方法,其特征在于,所述步骤B进一步包括:资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
11、根据权利要求1所述的方法,其特征在于,步骤A中所述资源提供无线设备根据预先存储的认证信息数据库,判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证,包括:资源访问无线设备向资源提供无线设备发送所述资源访问无线设备的身份标识,资源访问无线设备判断认证信息数据库中是否存储有所述身份标识,如果是,对应于所述身份标识的资源访问无线设备通过认证;否则,对应于所述身份标识的资源访问无线设备未通过认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101194241A CN100490378C (zh) | 2003-12-10 | 2003-12-10 | 一种无线网格下的无线设备安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101194241A CN100490378C (zh) | 2003-12-10 | 2003-12-10 | 一种无线网格下的无线设备安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1627685A true CN1627685A (zh) | 2005-06-15 |
| CN100490378C CN100490378C (zh) | 2009-05-20 |
Family
ID=34761375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101194241A Expired - Fee Related CN100490378C (zh) | 2003-12-10 | 2003-12-10 | 一种无线网格下的无线设备安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100490378C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103260159A (zh) * | 2012-02-20 | 2013-08-21 | 宇龙计算机通信科技(深圳)有限公司 | 身份识别方法及系统 |
-
2003
- 2003-12-10 CN CNB2003101194241A patent/CN100490378C/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103260159A (zh) * | 2012-02-20 | 2013-08-21 | 宇龙计算机通信科技(深圳)有限公司 | 身份识别方法及系统 |
| CN103260159B (zh) * | 2012-02-20 | 2016-08-24 | 宇龙计算机通信科技(深圳)有限公司 | 身份识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100490378C (zh) | 2009-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1206838C (zh) | 在无线环境中控制网络访问的方法及其记录介质 | |
| CN1124759C (zh) | 无线局域网移动终端的安全接入方法 | |
| CN1277393C (zh) | 一种无线局域网用户终端选择分组数据关口的方法 | |
| US20060111080A1 (en) | System and method for securing a personalized indicium assigned to a mobile communications device | |
| CN1671101A (zh) | 接入点以及控制接入点的方法 | |
| CN1842000A (zh) | 实现无线局域网接入认证的方法 | |
| CN1764107A (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| CN101036352A (zh) | 用于把鉴权、授权和/或计帐消息通过多个中间网络从归属服务网络路由到漫游网络的方法、设备及系统 | |
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| CN1726483A (zh) | 通信系统中的认证 | |
| CN1913474A (zh) | 捕获网络中的网络附属请求方的连接信息的方法和系统 | |
| CN1666465A (zh) | 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 | |
| CN1422065A (zh) | 无线数据保护装置和鉴别方法 | |
| CN1295774A (zh) | 在蜂窝用户注册时对其进行认证的系统和方法 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1889781A (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
| CN1279551A (zh) | 通信网和移动代理者迁移的管理 | |
| CN1625867A (zh) | 用于经由无线局域网的业务选择的方法、系统与设备 | |
| CN101984724B (zh) | 一种融合网络中隧道建立的方法及系统 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| CN1561042A (zh) | 一种无线局域网接入点设备管理移动终端的方法 | |
| CN1176540C (zh) | 以太网接入设备中实现多种用户类型混合接入的方法 | |
| CN104244242A (zh) | 一种物联网设备的网络号码编配方法和相应的认证方法 | |
| CN1947455A (zh) | 支持无线台站之后的网络 | |
| CN1225941C (zh) | 无线ip系统移动节点的漫游接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090520 Termination date: 20201210 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |