专利名称:一种减小无线网络资源消耗的认证架构的制作方法
技术领域:
本发明涉及无线通信技术领域,特别是无线传输理论和接入认证机制。
背景技术:
在无线网络中,数据传输是利用无线电波在空中辐射传播,它的信号可以被发射机覆盖范围内的任何无线客户端接收,因此无线链路非常容易受到攻击。另外为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。显而易见,开放的传输媒介使无线链路的安全性难以保障,目前传统无线网络中的安全隐患和攻击主要有以下几个方面
1)易受窃听这是所有无线网络的共同问题,电磁辐射难以精确的控制在某个范围之内,攻击者只需具有一般的无限接受设备即可获取数据;
2)难以监测在有线网络中窃取数据必须靠经传输线,而在无线网络中攻击者可在远处隐蔽。同时由于窃听属于被动攻击,系统管理员很难发现是否被窃听
3)易受拒绝服务攻击(DoS):这可以分为两种情况一是发送大量垃圾信息阻塞信道, 二是不断对某个移动设备发送虚假服务请求,使该设备始终处于全额工作状态而迅速耗尽电池,进而不能进行此后的正常工作;
4)基站伪装在无线网络中通常有类似于基站的中心节点(如WLAN的AP),攻击者可以用自己的大功率基站覆盖真正的基站,而使得无线终端错误与之连接;
5)密码破译攻击者通过截获大量数据,根据统计分析展开被动式译码攻击;
6)无线信道的高误码率限制了某些加密算法的应用。为解决上述问题,需采用高效可靠的认证机制。目前,认证方法主要有
I.基于对称密钥体制的认证方案
对称密钥体制技术发展比较成熟,算法比较简单,因而对称密钥体制认证方案计算复杂度低,易于实现,但由于在此体制的通信中,通信双方需要拥有一个共享密钥,给密钥管理带来了困难。只有拥有共享密钥的两用户间才能进行相互认证,没有共享密钥的用户间要进行认证必须借助于认证服务器。通常有两种情况,一是整个网络共享同一个密钥,该种方式安全性差,一旦一个节点被攻破,整个网络的安全性都将受到威胁;再者就是任何两个节点都拥有一对共享密钥,此种网络不易扩展和更新,密钥的维护开销也大。2.基于公钥体制的认证方案
对于公钥体制的认证方案,由于通信用户间各自都存在一对密钥,因此在双钥体制认证方案中,不再需要共享密钥,简化了密钥管理和网络结构。为了保证时效性,通常也需要采用第三方认证服务器。3.自组织的密钥管理
Jean. Pierre Hubaux等人首先提出了自组织的密钥管理算法并进行了概要介绍,并对该算法进行了详细论述和模拟实验。该算法不需要公认的CA来发布证书,节点自己发布并维护证书,用户通过证书链来实现认证。与PGP不同的是,用户证书是靠用户自己分配并分
4布存储于每个用户自身节点之中,而不是存储于认证服务器之中。一种典型的安全接入过程机制如图I所示,虽然网络中的多数节点需要经过中间节点的多跳转发才能到达AP,但是也必然要有某些节点在AP的一跳范围内,这些节点的接入与在无线局域网络中节点接入的情形相同,如图2所示。因此,为实现高效安全的信息传输,需设计可靠的认证架构。
发明内容
本发明所要解决的技术问题是解决无线网络在用户认证过程中消耗网络资源较大的问题,在满足安全认证要求的前提下减少网络资源的消耗。本发明为解决上述技术问题提供一种减小无线网络资源消耗的认证架构,其特征在于
A、设置无线网络的用户认证架构;
B、设置用户登录模块的使用方法、认证模块的使用步骤和密码变换模块的使用步骤;
C、建立信任计算模块结构;
D、计算节点信任值和进行网络信任度判断,并使用控制信息控制信任估计值和共享信任数据。所述步骤A中,无线网络的用户认证架构包括用户登录模块、认证模块、信任计算模块和密码变换模块,总的流程示意图如图3所示。所述步骤B中,设置用户登录模块的使用方法。用户登录模块的使用方法为a.用户M向接收端提交用户的身份信息和密码;b.当接收端收到用户登录请求时,接
收端计算 Regiq =s.//(/Dj) +并将信息{玛,RegsvZi(JII),通过安全传输通道发送给用户K。所述步骤B中,设置认证模块的使用步骤。认证模块的使用步骤包括登录过程和验证过程。登录过程为用户K在终端插入智能卡和密钥/A和P呵,若此与智能卡
中的ZDi相同,则执行子步骤a.计算=,其中为用户系统的时间戳;b.计
算Fi = T H(IWi) ;c.通过公用传输通道向接收端发送登录请求信息{/1 , /马,H ,相应的验证过程为当接收端在时刻7*收到登录请求信息〖玛,D/AA,时,执行以下子步骤①对时间间隔进行验证,若则接收端转至子步骤②,其中为参考时间间隔,若,则拒绝用户登录请求;②验证 SiDIDi -VuP) = e{H [IDi),Pub^)7是否成立,若等式成立,则接受用户登录请求,反之则拒绝,其中£)/勾为第r个用户的动态id信息。所述步骤B中,设置密码变换模块的使用步骤。密码变换模块的使用步骤为
a.用户M在终端插入智能卡和密钥吗和m ,若此/A与存储于智能卡上的IDi相同,则执行子步骤b,反之,则停止执行;b.用户提交新的密码;c.在智能卡中使用规则 Reg^ = Re gm + H (Pif ) + H (PW*)更新当前的 Regffi<。所述步骤C中,信任计算模块包含信任计算主模块和判断计算主模块。信任计算主模块包括网络节点直连信任计算模块和网络节点非直连信任计算模块,网络节点非直连信任计算模块通过节点推荐计算和判断计算获得。所述步骤D中,计算网络节点信任值。节点信任值可分为节点直连信任值和节点非直连信任值,使用规则计算节点直连信任值,其中q
为节点i执行正向行为的数目,《4为节点i执行反向行为的数目,,sac*为与服务安全等
级相关的安全行为系数;使用规则计算节点非直连信任值,其中为
nIwi
节点i的信任值,为节点i的判决值;网络节点信任值为Tw= ^χ Γ+^χ/Γ ,其中
TSmw Z A ^" 7为非直连信任系数,
^为非直连信■任系数,为直连信■任系数, 为节点
ι -^+2-.一
自身信任值的时间戳,TSi为节点t信任值的时间戳,为子网中节点的总数,~为被推荐的节点数目。所述步骤D中,进行网络信任度判断。使用规则4 = ______U______________^_________________________________;进行网络信任
Maxmmm A
行为的总数判断,其中Σ4为信任行为的总数,为信任行为的最大数目;对交
Vmessages^
换的信息数目的判决为4 = ———^,则网络总的信任判决值为7 7 7。
Maximum messagesJ = JAx.JM所述步骤D中,使用控制信息控制信任估计值和共享信任数据。控制信息包括推荐信息、经验信息、hello报文信息、一致性确认信息和知识转移信息。推荐信息用于信任推荐请求。经验信息用于检索统计行为信息。hello报文信息用于向邻近节点通知本节点存在。一致性确认信息用于测试某一节点的一致性行为,防止可疑行为对信任估计值的影响。知识转移信息用于当网络中某一节点将离开此网络时。本发明的有益效果为针对无线网络在用户认证过程中消耗网络资源较大的问题,在满足安全认证要求的前提下减少网络资源的消耗,提供了一种减小无线网络资源消耗的认证架构。
图I为安全接入过程机制示意图2为AP点覆盖范围内的认证机制示意图; 图3为总的工作流程示意图。
权利要求
1.一种减小无线网络资源消耗的认证架构,解决无线网络在用户认证过程中消耗网络资源较大的问题,在满足安全认证要求的前提下减少网络资源的消耗,包括如下步骤A、设置无线网络的用户认证架构;B、设置用户登录模块的使用方法、认证模块的使用步骤和密码变换模块的使用步骤;C、建立信任计算模块结构;D、计算节点信任值和进行网络信任度判断,并使用控制信息控制信任估计值和共享信任数据。
2.根据权利要求I的方法,对于所述步骤A其特征在于无线网络的用户认证架构包括用户登录模块、认证模块、信任计算模块和密码变换模块。
3.根据权利要求I的方法,对于所述步骤B其特征在于设置用户登录模块的使用方法,用户登录模块的使用方法为a.用户M向接收端提交用户的身份信息和密码P呵;b.当接收端收到用户登录请求时,接收端计算 Reg21 At(/Di) +if (PifJ),并将信息(/£)pReg瑪,/ (/£!),//(/^)丨通过安全传输通道发送给用户M。
4.根据权利要求I的方法,对于所述步骤B其特征在于设置认证模块的使用步骤,认证模块的使用步骤包括登录过程和验证过程,登录过程为用户Ui在终端插入智能卡和密钥IDi和PWi ,若此[Di与智能卡中的IDi相同,则执行以下子步骤a.计算DIDi = Tle,其中T为用户系统的时间戳山.计算Κ =;c.通过公用传输通道向接收端发送登录请求信息{冯工吗,相应的验证过程为当接收端在时刻r*收到登录请求信急、[IDiiDmiJiJfI时,执行以下子步骤①对时间间隔进行验证,若则接收端转至子步骤②,其中ΛΓ为参考时间间隔,若,则拒绝用户登录请求;②验证-IP) = (/Dj),是否成立,若等式成立,则接受用户登录请求,反之则拒绝,其中DIDi为第t个用户的动态ID信息。
5.根据权利要求I的方法,对于所述步骤B其特征在于设置密码变换模块的使用步骤,密码变换模块的使用步骤为a.用户M在终端插入智能卡和密钥/A和P丐,若此iA与存储于智能卡上的相同,则执行子步骤b,反之,则停止执行;b.用户R提交新的密码PW* ;c.在智能卡中使用规则Re g*m =Re gm +H (PWri) +H (PW;)更新当前的Re 。
6.根据权利要求I的方法,对于所述步骤C其特征在于信任计算模块包含信任计算主模块和判断计算主模块,信任计算主模块包括网络节点直连信任计算模块和网络节点非直连信任计算模块,网络节点非直连信任计算模块通过节点推荐计算和判断计算获得。
7.根据权利要求I的方法,对于所述步骤D其特征在于计算网络节点信任值,节点信任值可分为节点直连信任值和节点非直连信任值,使用规则^、
8.根据权利要求I的方法,对于所述步骤D其特征在于进行网络信任度判断,使用规则八=M Σ4 ,进行网络信任行为的总数判断,其中为信任 Maximum 3/, A行为的总数,施―丽j为信任行为的最大数目;对交换的信息数目的判决为
9.根据权利要求I的方法,对于所述步骤D其特征在于使用控制信息控制信任估计值和共享信任数据,控制信息包括推荐信息、经验信息、hello报文信息、一致性确认信息和知识转移信息,推荐信息用于信任推荐请求,经验信息用于检索统计行为信息,hello报文信息用于向邻近节点通知本节点存在,一致性确认信息用于测试某一节点的一致性行为, 防止可疑行为对信任估计值的影响,知识转移信息用于当网络中某一节点将离开此网络时。
全文摘要
本发明针对无线网络在用户认证过程中消耗网络资源较大的问题,在满足安全认证要求的前提下减少网络资源的消耗,提供了一种减小无线网络资源消耗的认证架构。
文档编号H04W12/06GK102612031SQ20121005339
公开日2012年7月25日 申请日期2012年3月4日 优先权日2012年3月4日
发明者黄东 申请人:黄东