专利名称:一种避免认证阻塞的节点认证方法
技术领域:
本发明属于计算机技术领域,更进一步涉及一种网络技术领域中避免认证阻塞的节点认证方法。本发明可以在用户与主机间和主机与主机之间中的认证中实现节点按顺序认证并保证系统安全工作,进而避免网络环境中容易引起认证阻塞的问题。
背景技术:
身份认证是在信息系统中确认操作者身份的过程,身份认证可分为用户与主机间的认证和主机与主机之间的认证。随着人们安全意识的提高和对信息系统安全需求的增强,作为信息系统的第一道防护,身份认证技术在现代信息化系统中得到了广泛的应用。但是,伴随网络规模爆炸式的增长,网络节点和用户数量激增,传统身份认证系统逐渐暴露出各种问题。现有的身份认证方法主要存在以下几个方面的问题(I)现有的身份认证方法忽视了认证过程中有可能存在的认证阻塞问题。认证阻塞是指一定数量节点在一定时间段内发起认证请求引起认证中心无法及时响应所有节点而出现宕机现象的问题;(2)簇头宕机时,系统无法快速恢复连接严重影响了及时的通信,会给用户带来极大的不便;(3)不同认证域之间的不兼容性认证也阻碍了网络信息的流通,给节点用户带来了诸多不便,其中不兼容性认证就是指每个局域网独立的认证方法。华为技术有限公司拥有的专利技术“一种PC客户端的安全认证方法”(专利申请号01141650. 5,授权公告号CN1411224)。该专利技术公开了一种PC客户端的安全认证方法,包括PC客户端通过用户ID号码和密码,向服务器发起登录请求;服务器根据用户ID号码和密码进行第一次认证,若认证通过,生成一个用于再次认证的字段,并随认证通过消息返回给PC客户端;iPC客户端发起呼叫时,将用户ID号码和登录时获得的再次认证的字段一起传送给媒体网关控制器;媒体网关控制器将该用户ID号码、再次认证的字段一起传送给服务器进行第二次的认证,若认证没有通过,则拒绝呼叫,否则接受呼叫返回被叫信息。该专利技术公开的方法存在的不足是,没有考虑到PC客户端向服务器认证时候的认证阻塞问题,当大规模PC客户端向服务器认证的时候会使认证发生阻塞,PC客户端无法进行正常认证。广达电脑股份有限公司拥有的专利技术“公众网络认证的系统与方法”(专利申请号02124334. 4,授权公告号CN1464760)。本发明公开了一种公众网络认证的系统,其特点是,该系统至少包括一移动台;一认证服务器;一认证代理器,具备与该移动台相对应的一用户识别模块;其中该移动台与该认证代理器认证,该认证代理器使用该用户识别模块与该认证服务器认证。该专利技术公开的方法存在的不足是,没有考虑到认证服务器宕机时候快速恢复连接的问题,严重影响了通信的及时性。华为技术有限公司拥有的专利技术“同时支持基于不同设备网络接入认证的方法”(专利申请号:02145637. 2,授权公告号:CN1416241)。本发明公开了一种同时支持基于不同设备网络接入认证的方法,该方法为在采用基于接入点设备的认证方式的网络中,将基于接入控制设备的认证方式的认证报文经接入点设备的非受控端口在用户与接入控制设备间传送,进行用户接入网络的认证;且用户通过认证后,将接入点设备的受控端口打开。该专利技术公开的方法存在的不足是,没有考虑到接入点设备在不同网络区域接入认证问题,无法实现接入点设备在不同区域进行认证。
发明内容
本发明的目的在于克服上述已有技术的不足,提出一种避免认证阻塞的节点认证方法。本发明通过被动认证、主动认证、快速重认证和快速跨域认证,可以避免认证阻塞,以保证认证中心的正常工作,有效解决因认证阻塞而造成系统无法正常工作的问题。
为实现上述目的,本发明的具体实现步骤如下(I)系统初始化Ia)簇头和节点开启;Ib)簇头初始化合法节点表、命令节点表和已认证节点表。⑵被动认证2a)簇头按照平均分批方法将节点分批,设批次起始为i ;2b)簇头向第i批次节点发送认证命令,将所发送的节点的标识ID保存在命令节点表中;2c)节点接到认证命令后发出认证请求;2d)簇头接到节点的认证请求,根据簇头的命令节点表判断此认证的节点标识ID是否存在此节点表中,如果存在,则执行步骤2d);否则,拒绝认证;2e)簇头使用基于公钥证书的数字签名方法对其进行身份认证,如果身份认证通过,簇头会将节点的标识ID保存到已认证节点表中;否则,不做任何处理;2f)判断簇头是否发送完成所有节点的认证命令,如果发送完成,则本过程结束;否则,批次i加I后执行步骤2b),直到完成被动认证。(3)主动认证节点向簇头发起主动认证请求,簇头接收到认证请求使用基于公钥证书的数字签名方法对节点进行身份认证。(4)快速重认证4a)簇头宕机,所有节点与簇头连接断开;4b)所有节点执行步骤(3)的主动认证;4b)簇头重启后根据步骤(2)被动认证中最近一次保存的已认证节点表执行步骤
(2)的被动认证。(5)快速跨域认证5a)接收认证的网络区域簇头接收到不明节点认证请求时,判断此不明节点是否存在于合法节点表中,若存在,表明此不明节点属于本网络区域的已注册节点,则执行步骤
(3)的主动认证;否则,执行步骤5b);5b)获得以网络区域标识为前缀的不明节点标识ID的前缀,由不明节点标识ID的前缀判断此不明节点所属的网络区域;
5c)接收认证网络区域簇头将不明节点的认证信息发到其所属网络区域的簇头;5d)不明节点所属网络区域簇头使用基于公钥证书的数字签名方法对节点进行身份认证,如果认证通过,不明节点所属网络区域簇头返回数字I ;否则,不明节点所属网络区域簇头返回数字0;5e)接收认证的网络区域簇头根据不明节点所属网络区域返回的结果判断不明节点的身份认证是否通过,如果返回结果为数字1,则不明节点向接收认证的网络区域认证通过,将不明节点标识ID加入已认证节点表中;否则,不做任何处理。本发明与现有技术相比具有以下优点第一,本发明提出的被动认证方法,克服了现有技术无法控制并发认证节点数量不足的问题,使得本发明具有认证速度快和效率高的优点。
第二,本发明提出的快速重认证方法,克服了现有技术在故障发生后无法快速恢复网络连接的问题,使得本发明具有簇头故障恢复快的优点。第三,本发明提出的快速跨域认证方法,克服了现有技术无法实现不同域之间身份认证的问题,使得本发明具有认证兼容性的优点。
图I为本发明的整体流程图;图2为本发明中被动认证的流程图;图3为本发明中快速重认证的流程图;图4为本发明中快速跨域认证的流程图。
具体实施例方式下面结合附图对本发明作进一步的描述本发明适用的环境一个整体网络分为若干网络区域,每一个网络区域称为一个域;每一个域有许多个节点和一个簇头节点,在一个域内节点向簇头节点认证,簇头节点再与外界进行数据交换;在网络组建时候,节点ID会向簇头注册成为已注册节点,簇头把所有己注册节点存放在合法节点表中。簇头除了合法节点表外还有命令节点表和已认证节点表。下面结合附图I对本发明的具体步骤进一步描述如下步骤1,簇头和节点启动,初始化合法节点表、命令节点表和已认证节点表。合法节点表包括所有本区域已经注册节点的标识ID,命令节点表包括所有已经发送了认证命令的节点标识ID,已认证节点表包括所有已经认证成功的节点标识ID。步骤2,进行被动认证,完成簇头与节点的初次认证。结合附图2对本发明被动认证的具体步骤描述如下平均分配步骤簇头按照平均分批方法将节点分批,设批次起始为i ;平均分批方法是,根据簇头保存的节点个数M以及簇头一次性发送命令个数T,将节点标识ID分为M/T批次,簇头按照节点标识ID批次顺序依次发送认证命令。发起认证命令步骤簇头向第i批次节点发送认证命令,将所发送的节点的标识ID保存在命令节点表中。
发起认证请求步骤节点接到认证命令后发出认证请求。进行认证步骤簇头接到节点的认证请求,根据簇头的命令节点表判断此认证的节点标识ID是否存在此节点表中,如果存在,则执行步骤2e);否则,拒绝认证;命令节点表包括所有已经发送了认证命令的节点标识ID。判断认证是否成功步骤簇头使用基于公钥证书的数字签名方法对其进行身份认证,如果身份认证通过,簇头会将节点的标识ID保存到已认证节点表中;否则,不做任何处理;基于公钥证书的数字签名方法分为签名过程和验证过程两个步骤签名过程签名方利用椭圆域参数及发送方的组合公私钥完成对消息的签名,生成签名数据;验证过程:验证方根据签名方的签名数据和签名方的公钥对签名方进行身份验证,得出签名方是否通过
认证的结论;已认证节点表包括所有已经认证成功的节点标识ID。判断命令是够发送完成步骤判断簇头是否发送完成所有节点的认证命令,如果发送完成,则本过程结束;否则,批次i加I后执行平均分配步骤,直到完成被动认证。步骤3,被动认证完成后,如果节点与簇头连接断开进行主动认证。本发明主动认证方法是节点与簇头连接断开,节点向簇头发起主动认证请求。主动认证方法的具体步骤为节点向簇头发送认证请求,簇头接到认证请求,根据簇头合法节点表判断节点是否合法,如果合法,则使用基于公钥证书的数字签名方法对其进行身份认证,如果认证通过,将节点加入已认证节点表;否则,拒绝认证。基于公钥证书的数字签名方法分为签名过程和验证过程两个步骤签名过程签名方利用椭圆域参数及发送方的组合公私钥完成对消息的签名,生成签名数据;验证过程验证方根据签名方的签名数据和签名方的公钥对签名方进行身份验证,得出签名方是否通过认证的结论;合法节点表包括所有本区域已经注册节点的标识ID ;已认证节点表包括所有已经认证成功的节点标识ID。步骤4,如果簇头宕机,进行快速重认证。结合附图3对本发明快速重认证方法的具体步骤描述如下发起主动认证步骤所有节点执行步骤3对应的主动认证。重启步骤簇头重启。进行被动认证步骤簇头根据步骤2对应的被动认证中最近一次保存的已认证节点表执行附图2对应的被动认证;已认证节点表包括所有已经认证成功的节点标识ID。步骤5,如果簇头遇到非本网络区域节点认证,则进行快速跨域认证。下面结合附图4对本发明快速跨域认证方法的具体步骤描述如下接收认证请求步骤接收认证的网络区域簇头接收到不明节点认证请求。获取节点所在域步骤接收认证的网络区域簇头判断此不明节点是否存在于合法节点表中,若存在,表明此不明节点属于本网络区域的已注册节点,则执行步骤(3)的主动认证;否则,获得以网络区域标识为前缀的不明节点标识ID的前缀,由不明节点标识ID的前缀判断此不明节点所属的网络区域。合法节点表包括所有本区域已经注册节点的标识ID0发送认证信息到原域步骤接收认证的网络区域簇头将不明节点的认证信息发送到其所属网络区域的簇头。对其身份认证并返回结果步骤不明节点所属网络区域簇头使用基于公钥证书的数字签名方法对节点进行身份认证,如果认证通过,不明节点所属网络区域簇头返回数字I;否则,不明节点所属网络区域簇头返回数字O。基于公钥证书的数字签名方法分为签名过程和验证过程两个步骤签名过程签名方利用椭圆域参数及发送方的组合公私钥完成对消息的签名,生成签名数据;验证过程验证方根据签名方的签名数据和签名方的公钥对签名方进行身份验证,得出签名方是否通过认证的结论。 判断是否认证成功步骤接收认证的网络区域簇头根据不明节点所属网络区域返回的结果判断不明节点的身份认证是否通过,如果返回结果为数字1,则不明节点向接收认证的网络区域认证通过,将不明节点标识ID加入已认证节点表中;否则,不做任何处理。已认证节点表包括所有已经认证成功的节点标识ID。
权利要求
1.一种避免认证阻塞的节点认证方法,其具体实现的步骤是 (1)系统初始化 Ia)簇头和节点开启; Ib)簇头初始化合法节点表、命令节点表和已认证节点表; (2)被动认证 2a)簇头按照平均分批方法将节点分批,设批次起始为i ; 2b)簇头向第i批次节点发送认证命令,将所发送的节点的标识ID保存在命令节点表中; 2c)节点接到认证命令后发出认证请求; 2d)簇头接到节点的认证请求,根据簇头的命令节点表判断此认证的节点标识ID是否存在此节点表中,如果存在,则执行步骤2e);否则,拒绝认证; 2e)簇头使用基于公钥证书的数字签名方法对其进行身份认证,如果身份认证通过,簇头会将节点的标识ID保存到已认证节点表中;否则,不做任何处理; 2f)判断簇头是否发送完成所有节点的认证命令,如果发送完成,则本过程结束;否贝1J,批次i加I后执行步骤2b),直到完成被动认证; (3)主动认证 节点向簇头发起主动认证请求,簇头接收到认证请求使用基于公钥证书的数字签名方法对节点进行身份认证; (4)快速重认证 4a)簇头岩机,所有节点与簇头连接断开; 4b)所有节点执行步骤(3)的主动认证; 4c)簇头重启后根据步骤(2)被动认证中最近一次保存的已认证节点表执行步骤(2)的被动认证; (5)快速跨域认证 5a)接收认证的网络区域簇头接收到不明节点认证请求时,判断此不明节点是否存在于合法节点表中,若存在,表明此不明节点属于本网络区域的已注册节点,则执行步骤(3)的主动认证;否则,执行步骤5b); 5b)获得以网络区域标识为前缀的不明节点标识ID的前缀,由不明节点标识ID的前缀判断此不明节点所属的网络区域; 5c)接收认证网络区域簇头将不明节点的认证信息发到其所属网络区域的簇头; 5d)不明节点所属网络区域簇头使用基于公钥证书的数字签名方法对节点进行身份认证,如果认证通过,不明节点所属网络区域簇头返回数字I ;否则,不明节点所属网络区域簇头返回数字O ; 5e)接收认证的网络区域簇头根据不明节点所属网络区域返回的结果判断不明节点的身份认证是否通过,如果返回结果为数字1,则不明节点向接收认证的网络区域认证通过,将不明节点标识ID加入已认证节点表中;否则,不做任何处理。
2.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤Ib)中所述的合法节点表包括所有本区域已经注册节点的标识ID。
3.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤Ib)中所述的命令节点表包括所有已经发送了认证命令的节点标识ID。
4.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤Ib)中所述的已认证节点表包括所有已经认证成功的节点标识ID。
5.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤2a)中所述的平均分批方法是,根据簇头保存的节点个数M以及簇头一次性发送命令个数T,将节点标识ID分为M/T批次,簇头按照节点标识ID批次顺序依次发送认证命令。
6.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤2d)、步骤(3)、步骤5d)中所述的基于公钥证书的数字签名方法分为签名过程和验证过程两个步骤签名过程签名方利用椭圆域参数及发送方的组合公私钥完成对消息的签名,生成签名数据;验证过程验证方根据签名方的签名数据和签名方的公钥对签名方进行身份验证,得出签名方是否通过认证的结论。
7.根据权利要求I中所述的一种避免认证阻塞的节点认证方法,其特征在于,步骤(3)中所述主动认证方法的具体步骤为节点向簇头发送认证请求,簇头接到认证请求,根据簇头合法节点表判断节点是否合法,如果合法,则使用基于公钥证书的数字签名方法对其进行身份认证,如果认证通过,将节点加入已认证节点表;否则,拒绝认证。
全文摘要
本发明公开了一种避免认证阻塞的节点认证方法。该认证方法包括1.被动认证,2.主动认证,3.快速重认证,4.快速跨域认证。在该认证方法中,首先是初始化时候进行被动认证,初始化完成才允许其他三种方法进行认证,主动认证即节点自发认证,快速重认证是解决认证中心也就是簇头宕机后快速恢复认证连接的方法,快速跨域认证则是解决了节点迁移转域的不便。本发明有效的避免了在网络环境下节点的认证阻塞,解决了簇头宕机恢复慢和节点的不兼容认证的问题,保证了认证系统的正常工作。
文档编号H04L9/32GK102710422SQ20121020239
公开日2012年10月3日 申请日期2012年6月7日 优先权日2012年6月7日
发明者党晓伟, 刘灵通, 姜晓鸿, 宗旋, 张元玉, 张志为, 沈玉龙, 舒敏, 裴庆祺, 陈晨 申请人:西安电子科技大学