基于wapi的无线网状网的认证方法

文档序号:7926733阅读:190来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:基于wapi的无线网状网的认证方法
技术领域
本发明涉及移动通信领域,特别涉及一种无线网状网中的认证方法。
背景技术
而,这种自由获取网络资源的方式,对安全性提出了更高的要求,安全性保障 的缺失将使得网络非法操作的易于实施并进而影响上层通信内容的安全,影响 用户的使用权益。
WAPI ( Wide Authentication and Privacy Infrastructure,泛适认证和保密基础 结构)是一种实现通信节点和网络承栽节点之间的双向认证以及保密的、适用 于主流网络物理拓朴形态的安全体系架构,是针对目前无线局域网国际标准中 存在的各种安全缺陷、并充分考虑和兼顾无线局域网产品互通的基础上提出的 安全性技术解决方案和规范要求,其不仅具有高效的安全鉴别机制、灵活的密 钥管理技术,而且可以实现整个基础网络的集中用户管理,从而满足更多用户 和更复杂的安全性要求,是一种普遍适用型的安全架构体制。
WAPI由WAI ( WLAN Authentication Infrastructure,无线局i或网鉴别基础 结构)和WPI ( WLAN Privacy Infrastructure,无线局&戈网4呆密基础结构)组成, WAI负责对用户进行身份鉴别,是实现WAPI的基础,WPI负责对对传输数据 进行加密处理。WAPI由于真正实现了双向鉴别、鉴别过程筒单易行、构建和 扩展应用便利等特点,在无线局域网中得到了广泛应用。
在WAPI的应用中,由公信第三方(鉴别认证服务器AS )统一为各移动终 端和无线接入点颁发证书,移动终端与无线接入点之间冲艮据AS所颁发的证书 验证对方的合法性,不仅无线接入点可以验证移动终端的合法性,移动终端也 可以验证无线接入点的合法性,以确保安全性。
无线网状网(Wireless Mesh Network, WMN )是一种多跳、具有自组织和
7自愈特点的宽带无线网络结构,是一种高容量、高速率的分布式网络,与传统
的无线网络不同,其结合了 WLAN (单跳)和移动Ad hoc网络(多跳)的优 点、且充分发挥了两者的优势的新型网络结构形态。
参见图1所示,是无线网状网的网络结构示意图,其一般包括有三类节点 一类为仅支持网状互联的MP (Meshpoint, Mesh节点), 一类为支持网状互联 和接入站点的MAP (Mesh Access Point),还有一类为支持网状互联和与外网 互通的网关节点MPP ( Mesh Point with a Portal )。
由于无线网状网是一种分布式的网络,没有中心点,且其各无线4妻入点之 间是通过无线相互连接的,是一种松散的连接关系,加上客户节点一般具有移 动性,使得其极易遭受其他恶意节点的干扰、窃听,影响网络通信安全,使得 安全问题成为制约无线网状网大规模实施的问题之一 。
尽管应用于无线局域网中的WAPI具有良好的安全特性,然而,由于无线 局域网是在站点接入无线接入点后,由无线接入点直接通过有线方式连接到鉴 别认证服务器,在通过WAPI进行安全鉴别时,是直接进行站点、无线接入点 以及鉴别认证服务器之间的三元认证过程,而无线网状网的网络架构明显要比 无线局域网复杂得多,不仅具有接入站点的MAP、支持网状互联和与外网互通 的网关节点MPP、还具有实现网状互联的MP,在具体通信时, 一次的数据传 输需要通过多个不同的节点,从而无法直接应用上述的三元认证过程,无法将 应用到无线局域网的WAPI直接移植应用于无线网状网中,若能够将WAPI应 用于无线网状网,则能够使无线网状网的安全性问题得到改善,现有技术中尚 未有将WAPI应用到无线网状网的应用方案出现。

发明内容
针对上述现有技术中存在的问题,本发明的目的在于4是供一种基于WAPI 的无线网状网的认证方法,以有效地改善无线网状网的安全性问题。
为达到上述目的,本发明采用以下技术方案
一种基于WAPI的无线网状网的认证方法,包括步骤请求节点与已接入网络的节点完成关联;
所述已接入网络的节点向所述请求节点发送第一鉴别激活信息;
所述请求节点接收所述第一鉴别激活信息,向所述已接入网络的节点发送 第一接入鉴别请求;
所述已接入网络的节点接收所述第 一接入鉴别请求,向鉴别认证服务器发 送第一证书鉴别请求;
所述鉴别认证服务器接收所述第 一证书鉴别请求,构造第 一证书鉴别响应, 并向所述已接入网络的节点发送所述第 一证书鉴別响应;
所述已接入网络的节点接收所述第一证书鉴别响应,根据所述第 一证书鉴 别响应生成第 一接入鉴别响应,并将所述第 一接入鉴别响应向所述请求节点发
送;
所述已接入网络的节点与所述请求节点通过会话密钥协商建立共享密钥。
根据上述本发明的方案,其由鉴别认证服务器统一对各节点进行鉴别,实 现集中式管理,请求节点与已接入网络的节点完成关联过程后,已接入网络的 节点向该请求节点发送鉴别激活信息,随后启动后续的证书鉴别以及通过会话 密钥协商建立共享密钥的过程,在请求节点与已接入网络的节点之间建立共享
密钥,从而将WAPI与无线网状网进行有机地结合,在请求节点与已接入网络
的节点通过密钥协商建立了共享密钥之后,即可以根据该共享密钥完成数据通 信过程,实现通信过程的安全性。


图l是无线网状网的网络结构示意图2是本发明方法实施例一的流程示意图3是本发明方法实施例二的流程示意图4是应用于本发明方法中的无线网状网其中一种示例图5是本发明方法是实例三的流程示意图;图6是应用于本发明方法中的无线网状网的另一种示例图。
具体实施例方式
以下针对本发明的基于WAPI的无线网状网的认证方法的各具体实施例进 行详细描述,在本发明所应用的方法中,鉴别认证服务器AS与无线网状网的 MPP节点通过有线方式连接。
在下述说明中,为了便于区分,将请求进行认证的节点称为请求节点,将 已经完成认证过程的节点称为已接入网络的节点。
实施例一
参见图2所示,是本发明的基于WAPI的无线网状网的认证方法实施例一 的流程示意图。
在本实施例中,是以预设鉴别认证服务器AS已经为各MPP、 MP、 MAP 节点颁发了相应的证书,这些MPP、 MP、 MAP也各自安装好了由鉴别认证月良 务器AS颁发给他们的证书、且鉴别认证服务器处于有线网络中可以路由到的 位置进纟亍-说明。
如图2所示,本实施例中的方法包括步骤
步骤S101:请求节点与已接入网络的节点完成关联,进入步骤S102;
步骤S102:已接入网络的节点向该请求节点发送鉴别激活信息,其中,该 鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的身份信息、 该已接入网络的节点的证书等信息,由于WAPI的鉴别过程采用椭圓曲线签名 算法,因此,该鉴别激活信息中还可以包括ECDH (椭圆曲线)的参数,随后 进入步骤S103;
步骤S103:请求节点接收上述已接入网络的节点发送的上述鉴别激活信 息,向该已接入网络的节点发送接入鉴别请求,该接入鉴别请求中可包括接入 鉴别请求标识信息、该请求节点的挑战、该请求节点的密钥数据、该请求节点 的证书、该已接入网络的节点的身份信息、ECDH参数以及该请求节点的签名等信息,进入步骤S104;
步骤S104:所述已接入网络的节点接收上述接入鉴别请求,检查接入鉴别 请求中的已接入网络的节点的身份信息是否与自己一致、ECDH参数是否与鉴 别激活信息中的一致、以及请求节点的签名是否正确等等,若有任意一个不符 合,则丢弃该接入鉴别请求分组,若上述条件均符合,则该已接入网络的节点 向鉴别认证服务器发送证书鉴别请求,该证书鉴别请求中可包括地址索引、请 求节点的挑战、已接入网络的节点的挑战、请求节点的证书以及该已接入网络 的节点的证书等信息,进入步骤S105;
步骤S105:鉴别认证服务器接收已接入网络的节点发送的上述证书鉴别请 求,对上述证书鉴别证书请求中的请求节点的证书、已接入网络的节点的证书 进行验证,若无法对证书进行验证,则将-验证结果置为不明确或者无法验证, 若验证通过,根据验证结果构造证书筌别响应,该证书鉴别响应中包括地址索 引、请求节点的证书的验证结果、已接入网络的节点的证书的验证结果等信息, 并将该证书鉴别响应签名后向所述已接入网络的节点发送,进入步骤S106;
步骤S106:所述已接入网络的节点接收所述证书鉴别响应,检查该证书鉴 别响应中的鉴别认证服务器AS的签名是否正确,若AS的签名不正确,则可 将该证书鉴别响应予以丢弃,若AS的签名正确,根据AS对请求节点的证书 的验证结果,若请求节点的证书验证不成功,则该已接入网络的节点设定该请 求节点的接入结果为不成功,若请求节点的证书验证成功,根据所述证书鉴别 响应生成接入鉴别响应消息,其中,该接入鉴别响应消息中可包括接入鉴别响 应标识、该请求节点的挑战、该请求节点的接入结果、该请求节点的身份信息、 该请求节点的密钥数据、该已接入网络的节点的挑战、该已接入网络节点的密 钥数据、该已接入网络的节点的身份信息以及该已接入网络的节点的签名等信 息,并将所述接入鉴别响应向所述请求节点发送,进入步骤S107;
步骤S107:所述已接入网络的节点与所述请求节点通过会话密钥协商建立
共享密钥。
在上述认证过程完成后,在之后的通信过程中,该请求节点与该已接入网络的节点通过建立的该共享密钥进行通信。
其中,上述步骤S107中所述已接入网络的节点与请求节点之间通过会话 密钥协商建立的共享密钥可以仅仅是建立单播密钥,也可是在建立单播密钥的 同时还建立组播/站间密钥,当已接入网络的节点与请求节点之间建立的共享密
钥是单播密钥时,则上述通过会话密钥协商建立单播密钥的方式具体可以包括
所述已接入网络的节点向所述请求节点发送会话密钥请求消息,其中,该 会话密钥请求消息中可以包括单播会话密钥请求标识、基密钥标识、单播会话 密钥索引、以及地址索引、该已接入网络的节点的挑战等信息;
所述请求节点接收所述会话密钥请求消息,向所述已接入网络的节点发送 会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥响应 标识、基密钥标识、单播会话密钥索引、地址索引、该请求节点的挑战、该已 接入网络的节点的挑战、该请求节点选择的WAPI信息元素以及消息鉴别码等 信息;
所述已接入网络的节点接收所述会话密钥响应消息,向所述请求节点发送 会话密钥确认消息,与所述请求节点建立单播密钥,其中,该会话密钥确认消 息可以包括单播会话密钥确认标识、基密钥标识、单播会话密钥索引、地址索 引、请求节点的挑战、已接入网络的节点选择的WAPI信息元素以及消息鉴别
码等信息。
在建立了单播密钥后,根据应用需要,还可以在已接入网络的节点与请求 节点之间可以建立组播/站间密钥,即使得已接入网络的节点与请求节点之间同 时建立单播密钥和组播/站间密钥,当二者之间建立组播/站间密钥时,通过会
话密钥协商建立组播/站间密钥的方式具体可以包括
所述已接入网络的节点向所述请求节点发送组播/站间会话密钥通告消息, 其中,该组播/站间会话密钥通告消息中可包括组播/站间会话密钥通告消息标 识、组#^话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、数 字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述请求节点接收所述组4番/站间会话密钥通告消息,向所述已接入网络的节点发送组播/站间会话密钥响应消息,与所述已接入网络的节点建立组播/站 间密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间会话密钥响 应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址 索引、密钥通告标识以及消息鉴别码等信息。
其中,在请求节点接收到由已接入网络的节点发送的接入鉴别响应后,验 证该接入鉴別响应中的请求节点的身份是否与自己相同、已接入网络的节点的 身份与自己发送接入鉴别请求时的身份是否相同、请求节点的挑战与自己发送 的接入鉴别请求中的是否相同、请求节点的密钥数据与自己发送的接入鉴别请 求中的是否相同、以及已接入网络的节点的签名是否正确等等,若有任何一个 条件不符合,则丢弃该接入鉴别响应。
其中,在上述步骤中,请求节点与已接入网络的节点之间完成关联的过程
可与现有技术中的相同,具体可以是
请求节点向已接入网络的节点发送探询请求,已接入网络的节点接收该探 询请求后,向该:清求节点发送4果询响应;
随后,请求节点向该已接入网络的节点发送链路验证请求,已接入网络的 节点接收后向该请求节点返回链路验证响应;
该请求节点向已接入网络的节点发送关联请求,已接入网络的节点接收后 向请求节点发送关联响应,完成关联过程。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的具体过程可 与现有技术中的WAPI的方式相同,在此不予赘述。
其中,上述请求节点可以是MP、 MAP或者MPP,上述已接入网络的节点 可以是MP、 MAP或者MPP。
实施例二
参见图3所示,是本发明基于WAPI的无线网状网的认证方法实施例二的 流程示意图,在该实施例中,主要是针对站点接入网络时的认证过程的说明。
如图3所示,其具体包括步骤步骤S201:站点跟任意一个已接入网络的MAP节点完成关联,进入步骤 S202;
步骤S202:已接入网络的MAP节点向该站点发送鉴别激活信息,其中, 该鉴别激活信息中具体可以包括鉴別激活信息标识、鉴别认证服务器的身份信 息、该已接入网络的MAP节点的证书等信息,由于WAPI的鉴别过程采用椭 圓曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH (椭圓曲线)的 参数,随后进入步骤S203;
步骤S203:站点接收上述已接入网络的MAP节点发送的上述鉴别激活信 息,向该已接入网络的MAP节点发送接入鉴别请求,该接入鉴别请求中可包 括接入鉴别请求标识信息、该站点的挑战、该站点的密钥数据、该站点的证书、 该已接入网络的MAP节点的身份信息、ECDH参数以及该站点的签名等信息, 进入步骤S204;
步骤S204:所述已接入网络的MAP节点接收上述接入鉴别请求,检查接 入鉴别请求中的MAP的身份信息是否与自己一致、ECDH参数是否与鉴别激 活信息中的一致、以及站点的签名是否正确等,若有任意一个不符合,则丢弃 该接入鉴别请求,若上述条件均符合,则该MAP向鉴别认证服务器发送证书 鉴别请求,该证书鉴别请求中可包括地址索引、站点的挑战、该已接入网络的 MAP节点的4兆战、站点的证书以及该已接入网络的MAP节点的i正书等信息, 进入步骤S205;
步骤S205:鉴别认证服务器接收已接入网络的MAP节点发送的上述证书 鉴别请求,对上述证书鉴别证书请求中的站点的证书、已接入网络的MAP节 点的证书进行验证,若无法对证书进行验证,则将验证结果置为不明确或者无 法验证,若验证通过,根据验证结果构造证书鉴别响应,该证书筌别响应中包 括地址索引、站点的证书的验证结果、已接入网络的MAP节点的证书的验证 结果等信息,并将该证书鉴别响应签名后向所述已接入网络的MAP节点发送, 进入步骤S206;
步骤S206:所述已接入网络的MAP节点接收所迷证书鉴别响应,检查该证书鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS 的签名不正确,则可将该证书鉴别响应予以丢弃,若鉴别认证服务器AS的签 名正确,根据鉴别认证服务器AS对站点的证书验证结果,若站点的证书验证 不成功,则MAP设定站点的接入结果为不成功,若站点的证书验证成功,根 据所述证书鉴别响应生成接入鉴别响应消息,其中,该接入鉴别响应消息中可 包括接入鉴别响应标识、该站点的挑战、该站点的接入结果、该站点的密钥数 据、该站点的身份信息、该已接入网络的MAP的挑战、该已接入网络的MAP 的密钥数据、该已接入网络的MAP节点的身份信息以及该已接入网络的MAP 节点的签名等信息,并将所述接入鉴别响应向所述站点发送,进入步骤S207;
步骤S207:所述已接入网络的MAP节点与所述站点通过会话密钥协商建 立共享密钥。
在上述^人证过程完成后,在之后的通信过程中,该站点与该已接入网络的 MAP节点通过建立的该共享密钥进行通信。
其中,上述已接入网络的MAP节点与所述站点之间通过会话密钥协商建 立的共享密钥可以是组播/站间密钥与单播密钥同时存在,当已接入网络的 MAP节点与站点之间建立单播密钥时,则上述通过会话密钥协商建立单播密钥 的方式具体可以包括
所述已接入网络的MAP节点向所述站点发送会话密钥请求消息,其中, 该会话密钥请求消息中包括单播会话密钥请求标识、基密钥标识、单播会话密 钥索引、以及地址索引、该已接入网络的MAP节点的挑战等信息;
所述站点接收所述会话密钥请求消息,向所述已接入网络的MAP节点发 送会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥响 应标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、已接入网 络的MAP的挑战、站点选择的WAPI信息元素以及消息鉴别码等信息;
所述已接入网络的MAP节点接收所述会话密钥响应消息,向所述站点发 送会话密钥确认消息,与所述站点建立单播密钥,其中,该会话密钥确认消息 可以包括单播会话密钥确认标识、基密钥标识、单播会话密钥索引、地址索引、站点的挑战、该已接入网络的MAP选择的WAPI信息元素以及消息鉴别码等信息。
在建立了单播密钥后,该已接入网络的MAP节点与站点之间还可以建立 组播/站间密钥,使得该已接入网络的MAP节点与站点之间同时存在单播密钥 与组播/站间密钥,当二者之间建立组播/站间密钥时,上述通过会话密钥协商 建立组播/站间密钥的方式具体可以包括
所述已接入网络的MAP节点向所述站点发送组播/站间会话密钥通告消 息,其中,该组播/站间会话密钥通告消息中可包括组播/站间会话密钥通告消 息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索引、 数字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述站点接收所述组播/站间会话密钥通告消息,向所述已接入网络的 MAP节点发送组播/站间会话密钥响应消息,与所述已接入网络的MAP节点建 立组播/站间密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间会 话密钥响应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索 引、地址索引、密钥通告标识以及消息鉴别码等信息。
其中,在站点接收到由已接入网络的MAP节点发送的接入鉴别响应后, 验证该接入鉴别响应中的站点的身份是否与自己相同、该已接入网络的MAP 节点的身份与自己发送接入鉴别请求时的身份是否相同、该站点的挑战与自己 发送的接入鉴別请求中的是否相同、该站点的密钥数据与自己发送的接入鉴别 请求中的是否相同、以及该已接入网络的MAP节点的签名是否正确等等,若 有任何一个条件不符合,则丢弃该接入鉴别响应。
其中,在上述步骤中,站点与已接入网络的MAP节点之间完成关联的过 程可与现有技术中的相同,具体可以是
站点向已接入网络的MAP节点发送探询请求,已接入网络的MAP节点接 收该探询请求后,向该站点发送探询响应;
随后,站点向该已接入网络的MAP节点发送链路验证请求,已接入网络 的MAP节点接收后向该站点返回链路验证响应;站点向该已接入网络的MAP节点发送关联请求,该已接入网络的MAP节 点接收后向该站点发送关联响应,完成关联过程。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的具体过程可
与现有技术中的WAPI的方式相同,在此不予赘述。
针对本发明的上述两种实施方式,以下以一个具体的示例进行说明。参见
图4所示,是应用于本发明方法中的无线网状网其中一种示例图,假设该网络 中的所有的节点以及站点,包括MAP、 MP、 MPP以及站点均已经从鉴别认证 服务器AS获得了由鉴别认证服务器AS所颁发的证书,且这些节点和站点均 已经各自安装好了由鉴别认证服务器AS颁发给他们的证书,同时假设节点 MPP1已经接入网络。在下述说明中,以站点为STA、请求节点与已接入网络 的节点之间、以及STA与已接入网络的MAP节点之间建立的共享密钥为单播 密钥进行说明,需要说明的是,这种说明并不用以限定请求节点与已接入网络 的节点之间、STA与已接入网络的MAP节点之间只能建立单播密钥,请求节 点与已接入网络的节点之间可以仅仅只是建立单播密钥,也可以在建立单播密 钥之后还建立组播/站间密钥,STA与已接入网络的MAP节点之间可以在建立 单播密钥之后还建立组播/站间密钥,使得单播密钥与组播/站间密钥同时存在。
根据图4中所示,当节点MP1和MP2需要接入网络时,可通过下述方式 进行
首先,节点MP1、 MP2分别与节点MPP1完成关联后,节点MPP1分别向 MP 1和MP2发送鉴别激活信息,节点MPP1向MP 1 、 MP2发送鉴别激活信息 的过程可以是不分先后顺序,其中,该鉴别激活信息中具体可以包括鉴别激活 信息标识、鉴别认证服务器的身份信息、该节点MPP1的证书等信息,由于 WAPI的鉴别过程采用椭圆曲线签名算法,因此,该鉴别激活信息中还可以包 括ECDH (椭圓曲线)的参数;
节点MP1、MP2分别接收上述MPP1发送的鉴别激活信息,分别向该MPP1 发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、该MP1 或者MP2的4兆战、该MP1或者MP2的密钥数据、该MP1或者MP2的证书、该MPP1的身份信息、ECDH参数以及该MP 1或者MP2的签名等信息;
MPP1分别接收上述接入鉴别请求,检查接入鉴别请求中的MPP1的身份 信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及MP1 或者MP2的签名是否正确等,若有任意一个不符合,则丢弃该对应的接入鉴别 请求,若上述条件均符合,则分别向鉴别认证服务器发送证书鉴別请求,该证 书鉴别请求中可分別包括地址索引、MP1或者MP2的证书、MP1或者MP2的 挑战、MPP1的挑战以及MPP1的证书等信息;
鉴别认证服务器AS接收MPP1发送的上述证书鉴别请求,分别对上述证 书鉴别证书请求中的MP1或者MP2的证书、MPP1的证书进行验证,并根据 验证结果分别构造证书鲞别响应,该证书鉴别响应中包括地址索?i ,并分别包 括对MP1与MPP1的"i正书的-险i正结果、对MP2的证书与MPP1的i正书的^验ii 结果等信息,并将该证书鉴别响应签名后向MPP1发送;
MPP1接收上述证书鉴别响应,分别检查该证书鉴别响应中的鉴别认证服 务器AS的签名是否正确,若AS的签名不正确,则可将该对应的证书鉴别响 应予以丢弃,若AS的签名正确,根据AS对MP1或者MP2的证书的验证结果, 若MP1或者MP2的证书验证不成功,则MPP1 i殳定对应的MP1或者MP2的 接入结果为不成功,若MP1或者MP2的证书验证成功,才艮据所述证书鉴别响 应分别生成接入鉴别响应消息,其中,该接入鉴别响应消息中可分别包括接入 鉴別响应标识、该MP1或者MP2的挑战、该MP1或者MP2的接入结果、该 MP1或者MP2的密钥数据、该MP1或者MP2的身份信息、该MPP1的挑战、 该MPP1的密钥数据、该MPP1的身份信息以及该MPP1的签名等信息,并将 相应的接入鉴别响应分别向MP1 、 MP2发送;
MPP1分别向MP 1 、 MP2发送会话密钥请求消息;
MP1、 MP2分别接收所述会话密钥请求消息,分别向MPP1发送会话密钥 响应消息;
MPP1接收各会话密钥响应消息,分別向MP1、 MP2发送会话密钥确认消 息,分别与MP1、 MP2建立共享密钥。MP1与MPP1建立了共享密钥、完成了认证过程、接入网络后,节点MP1
向已与该MP1完成关联的MAP1、 MP2和MP4发送鉴别激活信息,节点MP1 向MAP1、 MP2、 MP4发送鉴别激活信息的过程可以是不分先后顺序,其中, 该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的身份信 息、该节点MP1的证书等信息,由于WAPI的鉴别过程采用椭圓曲线签名算法, 因此,该鉴别激活信息中还可以包括ECDH (椭圓曲线)的参数;
节点MAP1、 MP2、 MP4分别接收上述MP1发送的鉴別激活信息,分别向 该MP1发送接入鉴别请求,该接入鉴别请求中可包括接入鉴別请求标识信息、 该MAPI或者MP2或者MP4的挑战、该MAPI或者MP2或者MP4的密钥数 据、该MP1的身份信息、ECDH参数以及该MAPI的证书与该MAP]的签名 或者是MP2的证书与MP2的签名或者是MP4的证书与MP4的签名等信息;
MP1分别接收上述接入鉴别请求,分别检查各接入鉴别请求中的MP1的 身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及 MAPI或者MP2或者MP4的签名是否正确等,若有任意一个不符合,则丟弃 该对应的接入鉴别请求,若上述条件均符合,分别向鉴别认证服务器发送证书 鉴别请求,该证书鉴别请求中可分别包括地址索引、MAPI或者MP2或者MP4 的挑战、MP1的挑战、MAPI的证书或者MP2的证书或者MP4的证书、以及 MP1的证书等信息;
鉴别证书请求中的MP1的证书与MAPI的证书、或者MP1与MP2的证书、或 者MP1与MP4的证书进行验证,并根据验证结果分别构造证书鉴别响应,该 证书鉴别响应中可分别包括地址索引、对MP1的证书的瑶3正结果、对MAPI 或者MP2或者MP4的证书的验证结果等信息,并将该证书鉴别响应签名后向 MP1发送;
MP1接收上述证书鉴别响应,分别检查该证书鉴别响应中的鉴别认证服务 器AS的签名是否正确,若AS的签名不正确,则可将该对应的证书鉴别响应 予以丢弃,若AS的签名正确,根据AS对MAPI或者MP2或者MP4的证书验证结果,若MAPI或者MP2或者MP4的证书验证不成功,则MP1设定对应 的MAPI或者MP2或者MP4的接入结果为不成功,若MAPI或者MP2或者 MP4的证书验证成功,根据各所述证书鉴别响应分别生成接入鉴别响应消息, 其中,该接入鉴别响应消息中可包括接入鉴别响应标识、该MAP 1或者MP2 或者MP4的挑战、该MAPI或者MP2或者MP4的密钥^据、该MAPI或者 MP2或者MP4的接入结果、该MAPI或者MP2或者MP4的身份信息、该MP1 的挑战、该MP1的密钥数据、该MP1的身份信息以及该MP1的签名等信息, 并将相应的接入鉴别响应分别向MAP1、 MP2、 MP4发送;
MP 1分别向MAP 1 、 MP2、 MP4发送会话密钥请求消息;
MAP1、 MP2、 MP4分别接收所述会话密钥请求消息,分别向MP1发送会 话密钥响应消息;
MP1接收各会话密钥响应消息,分别向MAP1、 MP2、 MP4发送会话密钥 确定消息,分别与MAP1、 MP2、 MP4建立共享密钥。
MP2与MPP1建立了共享密钥、完成了认证过程、接入网络后,节点MP2 向已与该MP2完成关联的MP1、 MP3和MP4发送鉴别激活信息,节点MP2 向MP1、 MP3、 MP4发送鉴别激活信息的过程可以是不分先后顺序,其中,该 鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的身份信息、 该节点MP2的证书等信息,由于WAPI的鉴别过程釆用椭圆曲线签名算法,因 此,该鉴别激活信息中还可以包括ECDH (椭圓曲线)的参数;
节点MP1、 MP3、 MP4分别接收上述MP2发送的鉴别激活信息,分别向 该MP2发送接入鉴别请求,该接入鉴别请求中可包括接入鉴别请求标识信息、 该MP1或者MP3或者MP4的挑战、该MP1或者MP3或者MP4的密钥数据、 该MP2的身份信息、ECDH参数、以及该MP1的证书与该MP1的签名或者是 MP3的证书与MP3的签名或者是MP4的证书与MP4的签名等信息;
MP2分别接收上述接入鉴别请求,分别检查接入鉴别请求中的MP2的身 份是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及MP1或者 MP3或者MP4的签名是否正确等等,若有任意一个条件不符合,则丟弃该对应的接入鉴别请求,若上述条件均符合,则分别向鉴别认证服务器发送证书鉴
别请求,该证书鉴别请求中可分别包括地址索引、MP1或者MP3或者MP4的 挑战、MP2的挑战、MP1或者MP3或者MP4的i正书与MP2的证书等信息;
鉴别认证服务器AS分别接收MP2发送的上述证书鉴别请求,分别对上述 证书鉴别证书请求中的MP2的证书、以及MP1或者MP3或者MP4的证书进 行验证,并分别根据验证结果构造证书鉴别响应,该证书鉴别响应中可分别包 括地址索引、对MP2的证书的验证结果、以及对MP1或者MP3或者MP4的 证书的验证结果等信息,并分別将该证书鉴别响应签名后向MP2发送;
MP2接收上述证书鉴别响应,分别检查该各证书鉴别响应中的鉴别认证服 务器AS的签名是否正确,若AS的签名不正确,则可将该对应的证书鉴别响 应予以丢弃,若AS的签名正确,根据AS对MP1或者MP3或者MP4的证书 鉴别结果,若MP1或者MP3或者MP4的证书验证不成功,则MP2设定对应 的MP1或者MP3或者MP4的接入结果为不成功,若MP1或者MP3或者MP4 的证书验证成功,分别根据所述证书鉴别响应生成接入鉴别响应消息,其中, 该接入鉴别响应消息中可分别包括接入鉴别响应标识、该MP1或者MP3或者 MP4的挑战、该MP1或者MP3或者MP4的密钥数据、该MP1或者MP3或者 MP4的接入结果、该MP1或者MP3或者MP4的身份信息、该MP2的挑战、 该MP2的密钥数据、该MP2的身份信息以及该MP2的签名等信息,并将相应 的接入鉴别响应分别向MP1、 MP3、 MP4发送;
MP2分别向MP1 、 MP3、 MP4发送会话密钥请求消息;
MP1、 MP3、 MP4分别接收所述会话密钥请求消息,分別向MP2发送会 话密钥响应消息;
MP2接收各会话密钥响应消息,分别向MP1、 MP3、 MP4发送会话密钥 确认消息,分别与MP1、 MP3、 MP4建立共享密钥。
其中,在上述步骤中,MP1、 MP2分别向与其关联的节点发送鉴别激活信 息的顺序可以不分先后,根据上述实际认证情况的不同,也可以是节点MP2 先向与其完成关联的节点MP1、 MP3、 MP4发送鉴别激活信息,再由节点MP1向与其完成关联的节点MAP1、 MP2、 MP4发送鉴别激活信息。
随后,节点MAPI向已与该MAPI完成关联的STA发送鉴别激活信息, 其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的 身份信息、该节点MAPI的证书等信息,由于WAPI的鉴別过程采用椭圆曲线 签名算法,因此,该鉴别激活信息中还可以包括ECDH (椭圆曲线)的参数;
STA接收上述MAPI发送的鉴别激活信息,向该MAPI发送接入鉴别请求, 该接入鉴别请求中可包括接入鉴别请求标识信息、该STA的挑战、该STA的 密钥数据、MAPI的身份信息、ECDH参数以及该STA的证书以及该STA的 签名;
MAPI接收上述接入鉴别请求,检查接入鉴别请求中的MAPI的身份信息 是否与自己一致、ECDH参数是否与鉴别激活信息中的一致、以及STA的签名 是否正确等,若有任意一个不符合,则丟弃该接入鉴別请求,若上述条件均符 合,向鉴别认证服务器发送证书鉴别请求,该证书鉴别请求中可包括地址索引、 STA的挑战、MAPI的挑战、STA的证书与MAPI的证书等信息;
鉴别认证服务器AS接收MAPI发送的上述证书鉴别请求,对上述证书鉴 别证书请求中的STA的证书以及MAPI的证书进行验证,并根据验证结杲构造 证书鉴别响应,该证书鉴别响应中包括地址索引、STA的证书以及MAPI的证 书的验证结果等信息,并将该证书鉴别响应签名后向MAPI发送;
MAPI接收上述证书筌别响应,检查该证书鉴别响应中的鉴别认证服务器 AS的签名是否正确,若AS的签名不正确,则可将该证书鉴别响应予以丢弃, 若AS的签名正确,根据AS对STA的证书验证结果,若STA的证书验证不成 功,则MAPI设定该STA的接入结果为不成功,若STA的证书验证成功,根 据所述证书鉴别响应生成接入鉴别响应消息,其中,该接入鉴别响应消息中可 包括接入鉴别响应标识、该STA的接入结果、该STA的挑战、该STA的密钥 数据、该STA的身份信息、该MAP1的挑战、该MAP1的密钥数据、该MAPl 的身份信息以及该MAP 1的签名等信息,并将相应的接入鉴別响应向STA发
送;MAP 1向STA发送会话密钥请求消息;
STA接收所述会话密钥请求消息,向MAPI发送会话密钥响应消息;
MAPI接收会话密钥响应消息,向STA发送会话密钥确认消息,与STA 建立共享密钥。
其中,根据应用需要的不同,本发明的方案既可以是在所有的节点都接入 网络、组网完成后,再开始接入站点,即开始向站点发送鉴别激活信息,也可 以是在只要有MAP接入网络后、组网过程尚未完全完成时,即可以开始接收 站点的接入过程,即开始向站点发送鉴别激活信息。
另外,如上所述,在MP1向与其关联的节点MP2发送鉴别激活信息后, MP2还有可能向MP1发送鉴别激活信息,从而出现了重复认证的过程,为了 避免这种重复认证的情况的发生,可以采取相应的退避才几制尽量减少重复认证, 还可以是在节点接收到了鉴别激活信息后,在后续过程中需要发送鉴别激活信 息时,通过查询已向其发送过鉴别激活信息、或者是其已发出过接入鉴别请求
的请求节点,从而不再向已与其开始了认证过程的请求节点发送鉴别激活信息, 例如在上述过程中,在MP1已经向MP2发送过鉴别激活信息后,该MP2将 已向其发送过鉴别激活信息的节点予以登记或者是在该MP2向MP1发送了鉴 别接入请求后予以登记,从而,在MP2需要向其他的节点发送鉴别激活信息时, 可以不用向已向其发送过鉴别激活信息的节点或者是其已经发送过鉴别接入请 求的节点发送鉴别激活信息,避免重复认证过程的发生。
实施例三
参见图5所示,是本发明基于WAPI的无线网状网的认证方法实施例三的 流程示意图,在该实施例中,主要是针对新加入网络的新节点进行说明。
如图5所示,其具体包括步骤
步骤S301:新节点跟各已接入网络的节点完成关联,该新节点分别向各已接入网络的节点完成关联的过程既可以是不分先后顺序,进入步骤S302;
步骤S302:各该已接入网络的节点分别向该新节点发送鉴别激活信息,其 中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的身 份信息、该已接入网络的节点的证书等信息,由于WAPI的鉴别过程采用椭圓 曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH (椭圓曲线)的参 数,随后进入步骤S303;
步骤S303:新节点接收上述各已接入网络的节点发送的鉴别激活信息,分 别向该各已接入网络的节点发送接入鉴别请求,该接入鉴别请求中可分别包括 接入鉴别请求标识信息、该新节点的挑战、该新节点的密钥数据、该新节点的 证书、该已接入网络的节点的身份信息、ECDH参数以及该新节点的签名等信 息,进入步骤S304;
步骤S304:各所述已接入网络的节点分别接收新节点发送的接入鉴别请 求,分别检查所接收的接入鉴别请求中的已接入网络的节点的身份信息是否与 自己一致、ECDH参数是否与鉴别激活信息中的一致、以及新节点的签名是否 正确等,若有任意一个不符合,则丢弃该接入鉴别请求分组,若上述条件均符 合,则该已接入网络的节点分别向鉴别认证服务器发送证书鉴别请求,该证书 鉴别请求中可分别包括地址索引、该新节点的挑战、该新节点的证书、该已接 入网络的节点的挑战、该已接入网络的节点的证书等信息,进入步骤S305;
步骤S305:鉴别认证服务器接收各已接入网络的节点发送的上述证书鉴别 请求,分别对各上述证书鉴别证书请求中的新节点证书、已接入网络的节点证 书进行验证,若无法对证书进行验证,则将对应的验证结果置为不明确或者无 法验证,若验证通过,分別根据验证结果构造对应的证书鉴别响应,该证书鉴 别响应中可分别包括地址索引、新节点证书-险证结果、该已接入网络的节点证 书验证结果等信息,并将该证书鉴别响应签名后向对应的该已接入网络的节点 发送,进入步骤S306;
步骤S306:各已接入网络的节点分别接收证书鉴别响应,分别检查该证书 鉴别响应中的鉴别认证服务器AS的签名是否正确,若鉴别认证服务器AS的签名不正确,则可将该对应的证书鉴别响应予以丢弃,若鉴别认证服务器AS
的签名正确,根据鉴别认证服务器AS对新节点的证书验证结果,若新节点的
证书验证不成功,则该已接入网络的节点设定该新节点的接入结果为不成功, 若新节点的证书验证成功,分别根据证书鉴别响应生成接入鉴别响应消息,其 中,该接入鉴别响应消息中可分別包括接入鉴別响应标识、该新节点的挑战、 该新节点的密钥数据、该新节点的接入结果、该新节点的身份信息、该已接入 网络的节点的挑战、该已接入网络的节点的密钥数据、该已接入网络的节点的 身份信息以及该已接入网络的节点的签名等信息,并将所述接入鉴别响应分别
向所述新节点发送,进入步骤S307;
步骤S307:各所述已接入网络的节点分别与所述新节点通过会话密钥协商 建立共享密钥。
在上述认证过程完成后,在之后的通信过程中,该新节点与各该已接入网 络的节点分别通过相互之间建立的共享密钥进行通信。
其中,上述步骤S307中各所述已接入网络的节点与新节点之间通过会话 密钥协商建立的共享密钥可以仅仅是建立单播密钥,也可是在建立单播密钥的 同时还建立组播/站间密钥,当已接入网络的节点与新节点之间建立的共享密钥 是单播密钥时,则上述通过会话密钥协商建立单播密钥的方式具体可以包括
各所述已接入网络的节点分别向所述新节点发送会话密钥请求消息,其中, 该会话密钥请求消息中可以包括单播会话密钥请求标识、基密钥标识、单播会 话密钥索引、以及地址索引、该已接入网络的节点的挑战等信息;
所述新节点接收所述会话密钥请求消息,分别向各所述已接入网络的节点 发送会话密钥响应消息,其中,该会话密钥响应消息中可以包括单播会话密钥 响应标识、基密钥标识、单播会话密钥索引、地址索引、新节点的挑战、该已 接入网络的节点的挑战、新节点选择的WAPI信息元素以及消息鉴别码等信息;
各所述已接入网络的节点分别接收所述会话密钥响应消息,分别向所述新 节点发送会话密钥确认消息,与所述新节点建立单播密钥,其中,该会话密钥 确认消息可以分别包括单播会话密钥确认标识、基密钥标识、单播会话密钥索^)、地址索引、新节点的挑战、已接入网络的节点选择的WAPI信息元素以及
消息鉴别码等信息。
在建立了单播密钥后,根据应用需要,还可以在已接入网络的节点与新节 点之间可以建立组播/站间密钥,即使得新节点与已接入网络的节点之间同时建 立单播密钥和组播/站间密钥,当二者之间建立组播/站间密钥时,通过会话密
钥协商建立组播/站间密钥的方式具体可以包括
各所述已接入网络的节点分别向所述新节点发送组播/站间会话密钥通告 消息,其中,该组播/站间会话密钥通告消息中可包括组播/站间会话密钥通告 消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥索引、地址索 引、数字序号、密钥通告标识、密钥数据以及消息鉴别码等信息;
所述新节点接收各所述组播/站间会话密钥通告消息,分别向各所述已接入 网络的节点发送组播/站间会话密钥响应消息,分别与各所述已接入网络的节点
建立组播/站间密钥,其中,该组播/站间会话密钥响应消息中可包括组播/站间 会话密钥响应消息标识、组播会话密钥索引/站间会话密钥索引、单播会话密钥 索引、地址索引、密钥通告标识以及消息鉴别码等信息。
其中,在新节点接收到由已接入网络的节点发送的接入鉴别响应后,验证 该接入鉴别响应中的新节点的身份是否与自己相同、该已接入网络的节点的身 份与自己发送接入鉴别请求时的身份是否相同、该新节点的挑战与自己发送的 接入鉴别请求中的是否相同、该新节点的密钥数据与自己发送的接入鉴别请求 中的是否相同、以及该已接入网络的节点的签名是否正确等等,若有任何一个 条件不符合,则丢弃该接入鉴别响应。
其中,在上述步骤中,新节点与已接入网络的节点之间完成关联的过程可
与现有技术中的相同,具体可以是
新节点向已接入网络的节点发送探询请求,已接入网络的节点接收该探询 请求后,向该新节点发送探询响应;
随后,新节点向该已接入网络的节点发送链路验证请求,已接入网络的节 点接收后向该新节点返回链路验证响应;新节点向该已接入网络的节点发送关联请求,该已接入网络的节点接收后 向该新节点发送关联响应,完成关联过程。
上述步骤中的证书鉴别以及通过会话密钥协商建立共享密钥的具体过程可
与现有技术中的WAPI的方式相同,在此不予赘述。
其中,上述新节点可以是MP、 MAP或者MPP,上述已接入网络的节点可 以是MP、 MAP或者MPP。
参见图6所示,是应用于本发明方法中的无线网状网另一种示例图,假设 在该网络中,节点MAP3是新加入网络的新节点,其他节点均已完成了认证接 入了网络,且鉴別认证服务器AS已经为该新节点MAP3颁发了证书。下述示 例以新节点与已接入网络的节点之间的共享密钥为单播密钥进行说明。
根据图5中所示,当新节点MAP3需要接入网络时,可通过下述方式进行
首先,新节点MAP3分别完成与节点MP4、 MAP1、 MAP2的关联;
完成关联后,节点MP4、 MAP1、 MAP2分别向MAP3发送鉴别激活信息, 其中,该鉴别激活信息中具体可以包括鉴别激活信息标识、鉴别认证服务器的 身份信息、该MP4或者MAP 1或者MAP2的证书等信息,由于WAPI的鉴别 过程采用椭圓曲线签名算法,因此,该鉴别激活信息中还可以包括ECDH (椭 圓曲线)的参数;
MAP3分別接收MP4、 MAP1、 MAP2发送的鉴别激活信息,分別向MP4、 MAPI 、 MAP2发送接入鉴别请求,该接入鉴别请求中可包括该MAP 3的证书、 该MAP3的挑战、该MAP3的密钥数据、该MP4或该MAPI或该MAP2的身 份、ECDH参数以及该MAP3的签名等信息;
MP4、 MAP1、 MAP2分别接收MAP3发送的接入鉴别请求,分别检查接 入鉴别请求中的身份信息是否与自己一致、ECDH参数是否与鉴别激活信息中 的一致、以及MAP3的签名是否一致等等,若有任意一个不符合,则丢弃该接 入鉴别请求,若上述条件均符合,分别向鉴别认证服务器AS发送证书鉴别请 求,其中,该证书鉴别请求可分别包括地址索引、该MP4或者MAPI或者MAP2
27的挑战、该MAP3的挑战、该MP4或者MAPI或者MAP2的证书、以及MAP3
的证书等信息;
筌别认证服务器AS分别接收MP4、 MAP1、 MAP2发送的上述证书鉴别 请求,分别对各上述证书鉴别证书请求中的MAP3的证书、以及MP4或者MAPI 或者MAP2的证书进行验证,并根据验证结果分别构造证书鉴别响应,该证书 鉴别响应中可分别包括地址索引、对MAP3的证书的验证结果、对MP4或者 MAPI或者MAP2的证书的验证结果等信息,将该证书鉴别响应签名后分别向 对应的MP4、 MAPI 、 MAP2发送;
MP4、 MAP1、 MAP2分别接收对应证书鉴别响应,分别检查该证书鉴别 响应中的鉴别认证服务器AS的签名是否正确,若AS的签名不正确,则可将 该证书鉴别响应予以丟弃,若AS的签名正确,根据AS对MAP3的证书验证 结果,若MAP3的i正书-验i正不成功,则MP4、 MAP1、 MAP2 i史定该MAP3的 接入结果为不成功,若MAP3的证书验证成功,分别根据所述证书鉴别响应生 成接入鉴别响应消息,其中,该接入鉴别响应消息中可包括接入鉴别响应标识、 该MAP3的挑战、该MAP3的密钥数据、该MAP3的接入结果、该MAP3的 身份信息、该MP4或者MAPI或者MAP2的挑战、该MP4或者MAPI或者 MAP2的密钥数据、该MP4或者MAPI或者MAP2的身份信息以及该MP4或 者MAPI或者MAP2的签名等信息,并分别将自己生成的接入鉴别响应向 MAP3发送;
MP4、 MAP1、 MAP2分別向MAP3发送会话密钥请求消息;
MAP3接收分別由MP4、 MAP1、 MAP2发送的会话密钥请求消息,分别 向MP4 、 MAP 1 、 MAP2发送会话密钥响应消息;
MP4 、 MAP 1 、 MAP2分别接收会话密钥响应消息,分别向MAP3发送会 话密钥确定消息,分别与MAP3建立共享密钥;
新节点MAP3与MP4、 MAP1、 MAP2中的任意一个已经建立了共享密钥、 完成了认证过程后,即可接入网络。
其中,在MAP3接收到由MP4或者MAPI或者MAP2发送的接入鉴别响应后,验证该接入鉴别响应中的新节点的身份是否与自己相同、该MP4或者
MAPI或者MAP2的身份与自己发送接入鉴别请求时的身份是否相同、该新节 点的挑战与自己发送的接入鉴别请求中的是否相同、该新节点的密钥数据与自 己发送的接入鉴别请求中的是否相同、以及该MP4或者MAPI或者MAP2的 签名是否正确等等,若有任何一个条件不符合,则丢弃该接入鉴别响应。
根据本发明的方案,无线网状网中的所有节点、以及接入该无线网状网的 站点,都需要跟与其相关联的节点建立共享密钥,因此,在通信过程中,所传 输的信息每经过一个节点,都需要进行一次加密和解密的过程,确保了通信过 程中的安全性。
同时,由于每经过一个节点进行传输,都需要进行一次加密和解密的过程, 而加密和解密操作会产生一定的延时,随着网络的增大,延时也会相应地有所
增加,因此,本发明中的方法特别适用于中小型的无线网状网以及节点初始接 入无线网状网的情形,根据所能够接受的延时程度,所应用的无线网状网可以 具有不同的应用规模。
以上所述的本发明的实施方式,仅仅是对其中的几种具体实施方式
所做的 说明,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所 作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1、一种基于WAPI的无线网状网的认证方法,其特征在于,包括步骤请求节点与已接入网络的节点完成关联;所述已接入网络的节点向所述请求节点发送第一鉴别激活信息;所述请求节点接收所述第一鉴别激活信息,向所述已接入网络的节点发送第一接入鉴别请求;所述已接入网络的节点接收所述第一接入鉴别请求,向鉴别认证服务器发送第一证书鉴别请求;所述鉴别认证服务器接收所述第一证书鉴别请求,构造第一证书鉴别响应,并向所述已接入网络的节点发送所述第一证书鉴别响应;所述已接入网络的节点接收所述第一证书鉴别响应,根据所述第一证书鉴别响应生成第一接入鉴别响应,并将所述第一接入鉴别响应向所述请求节点发送;所述已接入网络的节点与所述请求节点通过会话密钥协商建立共享密钥。
2、 根据权利要求1所述的基于WAPI的无线网状网的认证方法,其特征在 于,所述已接入网络的节点与所述请求节点通过会话密钥协商建立共享密钥的 方式包括所述已接入网络的节点向所述请求节点发送第 一会话密钥请求消息;所述请求节点接收所述第一会话密钥请求消息,向所述已接入网络的节点 发送第 一会话密钥响应消息;所述已接入网络的节点接收所述第一会话密钥响应消息,向所述请求节点 发送第一会话密钥确认消息,与所述请求节点建立单播密钥。
3、 根据权利要求2所述的基于WAPI的无线网状网的认证方法,其特征在 于,所述已接入网络的节点与所述请求节点通过会话密钥协商建立共享密钥的 方式还包括所述已接入网络的节点向所述请求节点发送第二会话密钥通告消息;所迷请求节点接收所述第二会话密钥通告消息,向所述已接入网络的节点 发送第二会话密钥响应消息,与所述已接入网络的节点建立组播/站间密钥。
4、 根据权利要求1或2或3所述的基于WAPI的无线网状网的认证方法, 其特征在于当有新节点加入所述无线网状网时,所述新节点与至少 一个所述已4妻入网 络的节点完成关联,各所述已接入网络的节点分别向所述新节点发送第二鉴別 激活信息;所述新节点接收所述第二鉴别激活信息,向各所述已接入网络的节点分别 发送第二接入鉴别请求;各所述已接入网络的节点接收所述第二接入鉴別请求,向鉴别认证服务器发送第二证书鉴别请求;所述鉴别认证服务器分别接收各所述第二证书鉴別请求,分别构造第二证 书鉴別响应,并分别向各所述已接入网络的节点发送各所述第二证书鉴别响应;各所述已接入网络的节点接收所述第二证书鉴别响应,根据所述第二证书 鉴别响应生成第二接入鉴别响应,并将所述第二接入筌别响应向所述新节点发 送;各所述已接入网络的节点分别与所述新节点通过会话密钥协商建立共享密钥。
5、 根据权利要求4所述的基于WAPI的无线网状网的认证方法,其特征在 于,各所述已接入网络的节点分别与所述新节点通过会话密钥协商建立共享密 钥的方式包括各所述已接入网络的节点分别向所述新节点发送第三会话密钥请求消息;所述新节点接收所述第三会话密钥请求消息,分別向各所述已接入网络的 节点发送第三会话密钥响应消息;各所述已接入网络的节点分别接收所述第三会话密钥响应消息,分别向所 述新节点发送第三会话密钥确认消息,分别与所述新节点建立单播密钥。
6、 根据权利要求5所述的基于WAPI的无线网状网的认证方法,其特征在 于,各所述已接入网络的节点与所述新节点通过会话密钥协商建立共享密钥的 方式还包括各所述已接入网络的节点分別向所述新节点发送第四会话密钥通告消息;所述新节点接收所述第四会话密钥通告消息,分别向各所述已接入网络的 节点发送第四会话密钥响应消息,分别与各所述已接入网络的节点建立组播/ 站间密钥。
7、 根据权利要求1至6任意一项所述的基于WAPI的无线网状网的认证方 法,其特征在于所述请求节点包括MP节点、MAP节点、MPP节点;所述已接入网络的节点包括MP节点、MAP节点、MPP节点。
8、 根据权利要求4或5或6所述的基于WAPI的无线网状网的认证方法, 其特征在于所述新节点包括MP节点、MAP节点、MPP节点。
9、 根据权利要求1至6任意一项所述的基于WAPI的无线网状网的认证方 法,其特征在于,还包括站点与任意一个已接入网络的MAP完成关联;所述已接入网络的MAP向所述站点发送第三鉴别激活信息;所述站点接收所述第三鉴别激活信息,向所述已接入网络的MAP发送第三接入鉴别请求;所述已接入网络的MAP ^^收所述第三接入鉴别请求,向所述鉴别认证服 务器发送第三证书鉴别请求;所述鉴别认证服务器接收所述第三证书鉴别请求,构造第三证书鉴别响应,并将该第三证书鉴别响应向所述已接入网络的MAP发送;所述已接入网络的MAP接收所述第三证书鉴别响应,根据所述第三证书 鉴别响应生成第三接入鉴别响应,并将所述第三接入鉴别响应向所述站点发送;所述已接入网络的MAP与所述站点通过会话密钥协商建立共享密钥。
10、 根据权利要求9所述的基于WAPI的无线网状网的认证方法,其特征 在于,所述已接入网络的MAP与所述站点通过会话密钥协商建立共享密钥的 方式包4舌所述已接入网络的MAP向所述站点发送第五会话密钥请求消息;所述站点接收所述第五会话密钥请求消息,向所述已接入网络的MAP发 送第五会话密钥响应消息;所述已接入网络的MAP接收所述第五会话密钥响应消息,向所述站点发 送第五会话密钥确认消息,与所述站点建立单播密钥。
11、 根据权利要求10所述的基于WAPI的无线网状网的认证方法,其特征 在于,所述已接入网络的MAP与所述站点通过会话密钥协商建立共享密钥的 方式还包括所述已接入网络的MAP向所述站点发送第六会话密钥通告消息;所述站点接收所述第六会话密钥通告消息,向所述已接入网络的MAP发 送第六会话密钥响应消息,与所述已接入网络的MAP建立组播/站间密钥。
12、 根据权利要求9所述的基于WAPI的无线网状网的认证方法,其特征 在于在任意一个节点均已与至少一个所述已接入网络的节点建立共享密钥后, 所述已接入网络的MAP再向站点发送所述第三鉴别激活信息;或者在有至少一个MAP节点已与所述已接入网络的节点建立共享密钥后,即 开始向站点发送所述第三鉴别激活信息。
全文摘要
一种基于WAPI的无线网状网的认证方法,其由鉴别认证服务器统一对各节点进行鉴别,实现集中式管理,请求节点与已接入网络的节点完成关联过程后,已接入网络的节点向该请求节点发送鉴别激活信息,随后启动后续的证书鉴别以及通过会话密钥建立共享密钥的过程,在请求节点与已接入网络的节点之间建立共享密钥,从而将WAPI与无线网状网进行有机地结合,在请求节点与已接入网络的节点通过密钥协商建立了共享密钥之后,即可以根据该共享密钥完成数据通信过程,实现通信过程的安全性。
文档编号H04W12/06GK101448262SQ20081022000
公开日2009年6月3日 申请日期2008年12月15日 优先权日2008年12月15日
发明者吴月辉, 周绍午 申请人:广州杰赛科技股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:周绍午;吴月辉
  • 技术所有人:广州杰赛科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
无线网状网相关技术
绳子编织网状方法相关技术
网状吊床编织方法相关技术
粗绳子网状编织方法相关技术
网状吊床编织方法图解相关技术
网状线相关技术
网状结构相关技术
网状图相关技术
网状线区域的作用相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2