一种无线网格下的无线设备安全认证方法

专利名称：一种无线网格下的无线设备安全认证方法
技术领域：
本发明涉及无线设备数据安全技术，特别是指一种无线网格下的无线设备安全认证方法。
背景技术：
随着无线网格的高速发展，确保用户数据安全的无线数据安全技术越来越成为人们关心的问题。无线设备的突出优势之一在于移动性，但是无线设备的移动性也导致了对无线设备进行安全认证的难度。
图1为现有技术中无线网格下的认证组网示意图，如图1所示，接入点(AP)分别与认证服务器和多个无线设备相连，多个无线设备可为无线设备A、无线设备B、无线设备C等。无线设备A需要访问网格资源时，网格对无线设备A进行安全认证的过程大致包括以下步骤步骤101～步骤102无线设备A向AP发送访问网格资源请求，AP收到访问网格资源请求后，向认证服务器发起对无线设备A的认证。
步骤103～步骤104认证服务器对无线设备A进行认证，然后向AP返回对无线设备A的认证结果，AP根据收到的认证结果，确定是否允许无线设备A访问网格资源。
图2为现有技术中无线设备认证流程图，如图2所示，无线设备认证的实现过程具体包括以下步骤步骤201～步骤203无线设备A请求访问网格资源，向AP发送携带有无线设备A身份标识(ID)的访问网格资源请求。AP收到无线设备A的访问网格资源请求后，在网格中查找认证服务器，判断是否查找到认证服务器，如果是，执行步骤204；否则，执行步骤209。AP在网格中查找认证服务器是指AP查找与其相连的认证服务器，如果AP与多个认证服务器相连，则AP可查找到多个认证服务器。
步骤204～步骤206AP向查找到的认证服务器发送无线设备A的ID，认证服务器对收到的无线设备A的ID进行认证，认证服务器判断无线设备A的ID是否合法，如果是，执行步骤207；否则，执行步骤209。认证服务器对无线设备A的ID是否合法的判断，是通过认证服务器在自身存储的认证信息数据库中搜索无线设备A的ID实现的，如果在认证信息数据库中搜索到无线设备A的ID，则无线设备A的ID合法，无线设备A通过认证；如果没有在认证信息数据库中搜索到无线设备A的ID，则无线设备A的ID非法，无线设备A未通过认证。
步骤207～步骤208认证服务器通知AP无线设备A通过认证，AP允许无线设备A访问网格资源，结束当前无线设备认证流程。
步骤209～步骤210认证服务器通知AP无线设备A未通过认证，AP拒绝无线设备A访问网格资源。
如果有多个认证服务器与AP相连，则AP能够查找到多个认证服务器，则同时向这些认证服务器发起对无线设备A的认证，只要无线设备A通过其中一个认证服务器的认证，AP就可允许无线设备A访问网格资源；如果无线设备A未通过这些认证服务器的认证，则AP拒绝无线设备A访问网格资源。
由以上描述可见，在现有的安全认证方法中必须具有认证服务器，认证服务器对请求访问网格资源的无线设备进行认证。这样，必然在安全认证中投入对认证服务器的投资，并且由于认证服务器的放置位置集中，容易受到恶意攻击，安全性也比较差。另外，由于无线设备具有移动性，而AP的覆盖范围是有限的，认证服务器通常又固定位置放置，当无线设备的移动范围超出AP的覆盖范围时，即便无线设备A可以直接与其需要访问资源的无线设备B相连，但由于无线设备A无法连接到AP，所以也将无法通过与AP相连的认证服务器对该无线设备进行认证，使得该无线设备即使是合法的无线设备，也无法访问网格资源，导致了合法无线设备对网格资源的不可访问。因此现有的安全认证方法并没有针对无线环境的特点进行，导致了现有的安全认证方法对于无线设备的安全认证缺乏弹性，并且是不适宜的。

发明内容
有鉴于此，本发明的目的在于提供一种无线网格下的无线设备安全认证方法，有效保护用户数据的安全性。
为了达到上述目的，本发明提供了一种无线网格下的无线设备安全认证方法，无线设备预先存储认证信息数据库，该方法包含A、资源提供无线设备根据预先存储的认证信息数据库，判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证，如果是，执行步骤B，否则，执行步骤C；B、资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源，结束当前无线设备认证流程；C、资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。
所述步骤C之前进一步包括以下步骤C01、资源提供无线设备判断是否在网格中寻找到第三方无线设备，如果是，执行步骤C02，否则，执行步骤C；C02、资源提供无线设备向第三方无线设备发起对资源访问无线设备的认证，第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，如果是，执行步骤C03；否则，通知所述资源提供无线设备，资源访问无线设备未通过认证，然后执行步骤C；C03、第三方无线设备通知所述资源提供无线设备，资源访问无线设备通过认证，然后执行步骤B。
步骤C02中所述第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，包括资源提供无线设备向第三方无线设备发送资源访问无线设备的身份标识，第三方无线设备判断认证信息数据库中是否存储有所述身份标识，如果是，对应于所述身份标识的资源访问无线设备通过认证；否则，对应于所述身份标识的资源访问无线设备未通过认证。
资源提供无线设备在网格中寻找到一个以上的第三方无线设备，所述步骤C02包括资源提供无线设备向寻找到的全部第三方无线设备发起对资源访问无线设备的认证，各第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，如果是，执行步骤C03，否则，通知所述资源提供无线设备，资源访问无线设备未通过认证；如果资源访问无线设备未通过资源提供无线设备寻找到的全部第三方无线设备的认证，则执行步骤C。
所述步骤C之前进一步包括资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源，如果是，执行步骤B；否则，执行步骤C。
所述步骤B进一步包括资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
步骤C01中所述资源提供无线设备判断是否在网格中寻找到第三方无线设备，包括资源提供无线设备向网格发送数据报文后，判断是否收到第三方无线设备向所述资源提供无线设备返回的响应。
步骤A中所述资源提供无线设备根据预先存储的认证信息数据库，判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证，包括资源访问无线设备向资源提供无线设备发送所述资源访问无线设备的身份标识，资源访问无线设备判断认证信息数据库中是否存储有所述身份标识，如果是，对应于所述身份标识的资源访问无线设备通过认证；否则，对应于所述身份标识的资源访问无线设备未通过认证。
本发明充分考虑了无线设备具有移动性这一特点，有针对性地解决了无线设备的安全认证问题，提出了适合无线设备的分布式安全认证方法。根据本发明提出的方法，每个无线设备中都存储有认证信息数据库，因此具备了认证服务器的功能，在无线设备请求访问某个无线设备的资源时，可由无线设备根据存储的认证信息数据库，完成对请求访问其资源的无线设备的认证，实现了分布式的安全认证，增加了用户数据的安全性，并有效节约了对无线设备安全认证的投资。另外，由于认证信息数据库存储内容有限，即使无线设备自身无法完成对请求访问其资源的无线设备的认证，也可通过第三方无线设备对请求访问资源的无线设备进行认证。


图1为现有技术中无线网格下的认证组网示意图；图2为现有技术中无线设备认证流程图；图3为本发明中无线设备认证组网示意图；图4为本发明中无线设备认证流程图；图5为认证信息数据库存储形式示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。
本发明中的无线设备安全认证是建立在现有技术的无线局域网中无线网格构架基础上的，无线局域网中的无线网格将各种无线设备无缝的整合在一起，无线设备可以将自身的描述信息通过无线局域网中的无线网格构架进行发布，以使无线局域网中的其他无线设备知晓该无线设备的情况。
本发明中，不再设置专用于认证无线设备的认证服务器，而是使每个无线设备具备认证功能。在其他无线设备请求访问某无线设备的资源时，该无线设备对请求访问其资源的无线设备进行认证，如果通过认证，则允许相应无线设备访问该无线设备的资源；否则，拒绝相应无线设备访问该无线设备的资源。本发明中可将提供资源的无线设备称为资源提供无线设备，将请求访问其他无线设备资源的无线设备称为资源访问无线设备。
图3为本发明中无线设备认证组网示意图，如图3所示，每个无线设备都具备认证服务器的功能，可完成对其他请求访问其资源的无线设备的认证。由于对无线设备进行认证的计算并不复杂，只需在无线设备中设置认证信息数据库，在认证信息数据库中预先存储合法无线设备的ID，就可对请求访问其资源的无线设备进行认证，如果认证信息数据库中存储有该无线设备的ID，则该无线设备通过认证，允许该无线设备访问其资源；否则，该无线设备未通过认证，拒绝该无线设备访问其资源。
图4为本发明中无线设备认证流程图，如图4所示，无线设备认证的实现过程具体包括以下步骤步骤401～步骤403无线设备A请求访问无线设备B的资源，无线设备B对无线设备A进行认证，判断无线设备A是否合法，如果是，执行步骤412；否则，执行步骤404。
无线设备B对无线设备A是否合法的判断，是通过无线设备B判断自身的认证信息数据库是否存储有无线设备A的ID实现的，如果是，则无线设备A通过认证；否则，无线设备B直接确定无线设备A未通过认证，或执行步骤404，即无线设备B寻找第三方无线设备继续对无线设备A进行认证。以上所述的无线设备A的ID可携带于无线设备A请求访问无线设备B的资源时，无线设备A向无线设备B发送的资源访问请求中。
步骤404～步骤405无线设备B在网格中寻找第三方无线设备，第三方无线设备是指任意的一个无线设备A和无线设备B以外的其他无线设备，如无线设备C，无线设备B判断是否找到第三方无线设备，如果是，执行步骤406；否则，执行步骤410。
无线设备B向网格发送一个数据报文，该数据报文可被网格中所有的无线设备接收，现有的网格协议如传输控制协议/网际协议(TCP/IP)就可支持这一点，就如同开会的时候，一个人发言，所有与会者都能够听到发言一样。当某个无线设备，如无线设备C，收到无线设备B发送的数据报文后，无线设备C向无线设备B发送响应，无线设备B收到响应后，说明无线设备C被寻找到了。此时，无线设备B和无线设备C就可以相互通讯、交换信息了，无线设备B即可向无线设备C发起对无线设备A的认证了。
步骤406～步骤407无线设备B向无线设备C发起对无线设备A的认证，无线设备B向无线设备C发送无线设备A的ID，无线设备C对收到的无线设备A的ID进行认证，判断无线设备A的ID是否合法，如果是，执行步骤408；否则，执行步骤409。
如果无线设备B无法确定无线设备A的ID合法时，可通过第三方无线设备继续对无线设备A进行认证。无线设备B可寻找任意一个第三方无线设备，然后向该无线设备发起对无线设备A的认证，如果无线设备A通过该第三方无线设备的认证，则无线设备B确定无线设备A通过认证；如果无线设备A未通过该第三方无线设备的认证，则无线设备B确定无线设备A未通过认证，继续向另一个第三方无线设备发起对无线设备A的认证，如果无线设备A一直没有通过认证，则直至网格内所有第三方无线设备都已完成对无线设备A的认证，无线设备B确定无线设备A未通过认证。无线设备B也可向网格中的所有无线设备发起对无线设备A的认证，各无线设备根据自身存储的认证信息数据库对无线设备A进行认证，然后向无线设备B返回对无线设备A的认证结果，此时，只要有一个无线设备向无线设备B返回了无线设备A通过认证的结果，无线设备B就可认为无线设备A通过认证；如果所有无线设备向无线设备B返回的均为无线设备A未通过认证的结果，则无线设备B认为无线设备A未通过认证。
步骤408无线设备C通知无线设备B，无线设备A通过认证，然后执行步骤411。
步骤409无线设备C通知无线设备B，无线设备A未通过认证。
步骤410无线设备B判断是否允许无线设备A访问其自身资源，如果是，执行步骤411；否则，执行步骤413。
无线设备B判断是否允许无线设备A访问其自身资源，可通过无线设备与用户间的交互完成，无线设备B询问用户是否允许无线设备A访问无线设备B的资源，如果用户允许，则允许无线设备A访问无线设备B的资源；否则，拒绝无线设备A访问无线设备B的资源。
步骤411无线设备B将无线设备A的信息，如无线设备A的ID，存储于自身的认证信息数据库中。
无线设备B将无线设备A的信息存储于自身的认证信息数据库中后，如果无线设备A需要再次访问无线设备B的资源时，无线设备B自身就可完成对无线设备A的认证。
步骤412无线设备B允许无线设备A访问其资源，结束当前无线设备认证流程。
步骤413无线设备B拒绝无线设备A访问其资源。
以上所述的无线设备B为资源提供无线设备，无线设备A为资源访问无线设备。
无线设备的ID是无线设备的唯一标识，因此需要保证无线设备ID的唯一性。通常，无线设备ID为唯一标识无线设备的字符串，如无线网卡的以太网卡硬件地址(MAC地址)、移动通信终端的用户识别码等。无线设备存储的认证信息数据库是存储有一系列无线设备ID的数据库，其存储形式如图5所示。
总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
权利要求
1.一种无线网格下的无线设备安全认证方法，其特征在于，无线设备预先存储认证信息数据库，该方法包含以下步骤A、资源提供无线设备根据预先存储的认证信息数据库，判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证，如果是，执行步骤B，否则，执行步骤C；B、资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源，结束当前无线设备认证流程；C、资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。
2.根据权利要求1所述的方法，其特征在于，所述步骤C之前进一步包括以下步骤C01、资源提供无线设备判断是否在网格中寻找到第三方无线设备，如果是，执行步骤C02，否则，执行步骤C；C02、资源提供无线设备向第三方无线设备发起对资源访问无线设备的认证，第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，如果是，执行步骤C03；否则，通知所述资源提供无线设备，资源访问无线设备未通过认证，然后执行步骤C；C03、第三方无线设备通知所述资源提供无线设备，资源访问无线设备通过认证，然后执行步骤B。
3.根据权利要求2所述的方法，其特征在于，步骤C02中所述第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，包括资源提供无线设备向第三方无线设备发送资源访问无线设备的身份标识，第三方无线设备判断认证信息数据库中是否存储有所述身份标识，如果是，对应于所述身份标识的资源访问无线设备通过认证；否则，对应于所述身份标识的资源访问无线设备未通过认证。
4.根据权利要求2所述的方法，其特征在于，资源提供无线设备在网格中寻找到一个以上的第三方无线设备，所述步骤C02包括资源提供无线设备向寻找到的全部第三方无线设备发起对资源访问无线设备的认证，各第三方无线设备根据预先存储的认证信息数据库，判断所述资源访问无线设备是否通过认证，如果是，执行步骤C03，否则，通知所述资源提供无线设备，资源访问无线设备未通过认证；如果资源访问无线设备未通过资源提供无线设备寻找到的全部第三方无线设备的认证，则执行步骤C。
5.根据权利要求4所述的方法，其特征在于，所述步骤C之前进一步包括资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源，如果是，执行步骤B；否则，执行步骤C。
6.根据权利要求5所述的方法，其特征在于，所述步骤B进一步包括资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
7.根据权利要求2、3或4所述的方法，其特征在于，步骤C01中所述资源提供无线设备判断是否在网格中寻找到第三方无线设备，包括资源提供无线设备向网格发送数据报文后，判断是否收到第三方无线设备向所述资源提供无线设备返回的响应。
8.根据权利要求1或2所述的方法，其特征在于，所述步骤C之前进一步包括资源提供无线设备判断是否允许资源访问无线设备访问所述资源提供无线设备的资源，如果是，执行步骤B；否则，执行步骤C。
9.根据权利要求8所述的方法，其特征在于，所述步骤B进一步包括资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
10.根据权利要求1或2所述的方法，其特征在于，所述步骤B进一步包括资源提供无线设备将资源访问无线设备的身份标识存储于所述资源提供无线设备的认证信息数据库中。
11.根据权利要求1所述的方法，其特征在于，步骤A中所述资源提供无线设备根据预先存储的认证信息数据库，判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证，包括资源访问无线设备向资源提供无线设备发送所述资源访问无线设备的身份标识，资源访问无线设备判断认证信息数据库中是否存储有所述身份标识，如果是，对应于所述身份标识的资源访问无线设备通过认证；否则，对应于所述身份标识的资源访问无线设备未通过认证。
全文摘要
本发明公开了一种无线网格下的无线设备安全认证方法，该方法包含无线设备预先存储认证信息数据库，资源提供无线设备根据预先存储的认证信息数据库，判断请求访问所述资源提供无线设备资源的资源访问无线设备是否通过认证，如果是，资源提供无线设备允许资源访问无线设备访问所述资源提供无线设备的资源；否则，资源提供无线设备拒绝资源访问无线设备访问所述资源提供无线设备的资源。本发明充分考虑了无线设备具有移动性这一特点，有针对性地解决了无线设备的安全认证问题，提出了适合无线设备的安全认证方法。根据本发明提出的方法，增加了用户数据的安全性，并有效节约了对无线设备安全认证的投资。
文档编号H04L9/32GK1627685SQ20031011942
公开日2005年6月15日 申请日期2003年12月10日 优先权日2003年12月10日
发明者田治江, 王安静 申请人:联想(北京)有限公司