專利名稱:無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種網(wǎng)絡(luò)技術(shù)領(lǐng)域的方法�,具體是一種無線網(wǎng)狀網(wǎng)絡(luò)安全通 信方法�����。
背景技術(shù):
無線網(wǎng)狀網(wǎng)絡(luò)(Wireless Mesh Network)是一種與傳統(tǒng)無線網(wǎng)絡(luò)完全不同 的多跳自組織無線網(wǎng)絡(luò)結(jié)構(gòu)�����。在傳統(tǒng)的無線局域網(wǎng)中����,每個(gè)客戶端均通過一條固 定的與接入點(diǎn)相連的無線鏈路來訪問網(wǎng)絡(luò),每個(gè)接入點(diǎn)都通過有線網(wǎng)絡(luò)連接到互 聯(lián)網(wǎng)�。而在無線網(wǎng)狀網(wǎng)絡(luò)中,任何無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)都同時(shí)作為AP和中轉(zhuǎn)路由 器存在�,其中數(shù)個(gè)節(jié)點(diǎn)通過有線網(wǎng)絡(luò)連接到互聯(lián)網(wǎng),其他節(jié)點(diǎn)通過無線網(wǎng)狀網(wǎng)絡(luò) 路由算法通過多跳無線鏈路與互聯(lián)網(wǎng)相連��。而用戶可以在無線網(wǎng)狀網(wǎng)絡(luò)信號(hào)覆蓋 范圍內(nèi)移動(dòng)�����,通過任意的無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)接入互聯(lián)網(wǎng)�����。無線網(wǎng)狀網(wǎng)絡(luò)技術(shù)已經(jīng) 廣泛應(yīng)用于市政管理、災(zāi)難救助���、安全監(jiān)控����、工業(yè)管理�、醫(yī)療急救等領(lǐng)域。鑒于 其主要應(yīng)用領(lǐng)域�����,如何保證無線網(wǎng)狀網(wǎng)絡(luò)網(wǎng)絡(luò)的安全是該技術(shù)能否得以成功應(yīng)用 的關(guān)鍵問題之一��。
安全通信技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)領(lǐng)域�����。這一技術(shù)用于驗(yàn)證合法用戶身份��,確 定合法用戶許可權(quán)限���,生成一套密鑰體系并將其用于數(shù)據(jù)通信中以保護(hù)網(wǎng)絡(luò)中傳 輸數(shù)據(jù)的機(jī)密性和完整性。在常見的無線局域網(wǎng)中��,由于所有的無線通信僅僅發(fā) 生在用戶和接入點(diǎn)(Access Point)之間,因此安全通信也僅被用于保護(hù)這一單 一鏈路的安全性���。而在無線網(wǎng)狀網(wǎng)中�����,網(wǎng)狀網(wǎng)絡(luò)接入點(diǎn)之間同樣通過無線鏈路相 連通���,這就要求在這一鏈路上需要一整套安全通信技術(shù)來保護(hù)其安全性。
在現(xiàn)有的無線局域網(wǎng)中的應(yīng)用中��,由于簡(jiǎn)單的有線等效保護(hù)協(xié)議(WEP)機(jī) 制已無法有效保證網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全性和接入用戶的合法性���。因此IEEE(國(guó) 際電氣電子工程師學(xué)會(huì))標(biāo)準(zhǔn)化組織提出了 802. lli增補(bǔ)方案用于完善無線局域 網(wǎng)的安全特性��。IEEE 802. lli標(biāo)準(zhǔn)為無線局域網(wǎng)用戶提供了可靠的安全解決方 案�,其中提出了無線局域網(wǎng)新安全體系健壯安全網(wǎng)絡(luò)(RSN�����, Robust Security Network) ����。 RSN體系結(jié)構(gòu)分為兩大部分安全關(guān)聯(lián)管理和數(shù)據(jù)加密機(jī)制��。其中RSN安全關(guān)聯(lián)管理機(jī)制包括RSN安全能力協(xié)商過程�、802. lx認(rèn)證過程和802. lx 密鑰發(fā)布過程�����。802. lli選擇了 IEEE 802. lx基于端口的接入控制協(xié)議�����,實(shí)現(xiàn)了 申請(qǐng)者(Supplicant)��、認(rèn)證者(Authenticator)和認(rèn)證服務(wù)器(AS)的接入控 制模式���。RSN安全能力協(xié)商后進(jìn)行802. lx認(rèn)證��,認(rèn)證完成后是802. lx的密鑰 發(fā)布過程四次握手����,產(chǎn)生用于數(shù)據(jù)通信的密鑰�。RSN數(shù)據(jù)加密機(jī)制主要有TKIP (臨時(shí)密鑰完整性協(xié)議)和CCMP (計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議)���。上述 技術(shù)細(xì)節(jié)為無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)間安全設(shè)計(jì)提供了參考�。
為了適應(yīng)無線網(wǎng)狀網(wǎng)絡(luò)網(wǎng)絡(luò)的特點(diǎn),IEEE也專門提出了一個(gè)稱為網(wǎng)狀網(wǎng)絡(luò) 安全關(guān)聯(lián)(MSA)的安全方案���。與802.11i方案相比�����,MSA使用了新的密鑰體系���, 并規(guī)定了一系列不同的角色定義,并使用一套新的認(rèn)證協(xié)議來建立和運(yùn)用這一密 鑰體系��。角色定義的目的在于區(qū)分安全認(rèn)證和加密通信的不同對(duì)象����。建立密鑰體 系結(jié)構(gòu)的主要在于通過細(xì)化網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)角色,建立分支和層間隔離強(qiáng)化安全 性�。同時(shí),系統(tǒng)中加入新的角色MKD (Mesh Key Distributor, Mesh密鑰分發(fā)者) 行使代理AS的部分功能����,MP與MA (MeshAuthenticator, Mesh認(rèn)證者)和MKD 與MA不同的分支間通信使用不用的密鑰�。
經(jīng)對(duì)現(xiàn)有技術(shù)的檢索發(fā)現(xiàn),申請(qǐng)?zhí)枮?2155172的中國(guó)專利"無線網(wǎng)路的認(rèn) 證系統(tǒng)與認(rèn)證加密方法",包括 一認(rèn)證服務(wù)器���,該認(rèn)證服務(wù)器會(huì)產(chǎn)生隨機(jī)數(shù)���; 一認(rèn)證設(shè)備,在該認(rèn)證設(shè)備中寫入第一隨機(jī)數(shù)����; 一終端設(shè)備,該終端設(shè)備與該認(rèn) 證設(shè)備相連接����,并且至少包含一無線傳輸裝置,該認(rèn)證服務(wù)器與該終端設(shè)備利用 該無線傳輸裝置互相通訊����,當(dāng)終端用戶欲取得認(rèn)證時(shí),該終端設(shè)備會(huì)發(fā)送一認(rèn)證 請(qǐng)求以及一用戶名給該認(rèn)證服務(wù)器����;以及, 一認(rèn)證數(shù)據(jù)庫��,該認(rèn)證數(shù)據(jù)庫與該認(rèn) 證服務(wù)器相連接��,并且在該認(rèn)證數(shù)據(jù)庫中寫入該第一隨機(jī)數(shù)����。上述的無線網(wǎng)絡(luò)認(rèn) 證加密方法只是采用了簡(jiǎn)單的握手協(xié)議過程加服務(wù)器認(rèn)證方法來實(shí)現(xiàn)的,不適用 于本發(fā)明所針對(duì)的無線mesh網(wǎng)絡(luò)���。首先從安全的角度而言�����,該發(fā)明僅用隨機(jī)數(shù) 的交互來完成認(rèn)證����,這在無線網(wǎng)絡(luò)中很容易被竊取數(shù)據(jù)包進(jìn)行重放攻擊從而騙取 服務(wù)器信任非法獲取密鑰加入網(wǎng)絡(luò)��,其次從設(shè)備需求的角度而言�,該發(fā)明缺乏必 要的通信加密技術(shù)來保證整個(gè)網(wǎng)絡(luò)內(nèi)的無線數(shù)據(jù)不被竊取,而這在無線mesh網(wǎng) 絡(luò)中是不合適的�。第三,由于無線網(wǎng)狀網(wǎng)絡(luò)是一個(gè)多跳的無線網(wǎng)絡(luò)�,因此我們需 要在需要認(rèn)證的節(jié)點(diǎn)和服務(wù)期間維持一個(gè)同樣加密的數(shù)據(jù)鏈路,才能夠保障加密申請(qǐng)不被竊聽和重放攻擊���。因此����,這個(gè)專利無法滿足無線網(wǎng)狀網(wǎng)絡(luò)的對(duì)于安全驗(yàn) 證和加密通信的技術(shù)需求。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)存在的上述不足��,提供一種無線網(wǎng)狀網(wǎng)絡(luò)安全通信方 法���,通過在無線網(wǎng)狀網(wǎng)絡(luò)系統(tǒng)中對(duì)無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的角色進(jìn)行區(qū)分��,并進(jìn)行安 全認(rèn)證流程和加密通信方法的設(shè)計(jì)��,來滿足無線網(wǎng)狀網(wǎng)絡(luò)中節(jié)點(diǎn)間通信安全的需 求�����。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的�����,本發(fā)明包括以下步驟
第一步����,無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)所有己經(jīng)存在的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)����,使用一個(gè) 當(dāng)前的預(yù)共享密鑰對(duì)所有在無線信道上進(jìn)行傳輸?shù)臄?shù)據(jù)進(jìn)行加密�,當(dāng)候選無線網(wǎng) 狀網(wǎng)絡(luò)節(jié)點(diǎn)向該候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)距離最近的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出 初始認(rèn)證請(qǐng)求時(shí)����,合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的初始認(rèn)證請(qǐng) 求通過無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的鏈路轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器����,以開始初始認(rèn)證協(xié)議流程。
所述的無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)是指具備與其它網(wǎng)狀網(wǎng)絡(luò)結(jié)點(diǎn)通信能力的節(jié)點(diǎn)�。 所有通過了認(rèn)證服務(wù)器認(rèn)證后加入無線網(wǎng)狀網(wǎng)絡(luò)的節(jié)點(diǎn)都成為合法的無線網(wǎng)狀 網(wǎng)絡(luò)節(jié)點(diǎn),合法的無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)可以在網(wǎng)絡(luò)內(nèi)發(fā)送和接收數(shù)據(jù)通信的數(shù)據(jù) 包�,并轉(zhuǎn)發(fā)候選節(jié)點(diǎn)的認(rèn)證請(qǐng)求。
所述的預(yù)共享密鑰是指用于加密無線網(wǎng)狀網(wǎng)絡(luò)中無線信道上通信的一組字 符�����,該字符被所有合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)共有��,并會(huì)在一定時(shí)間間隔下����,被網(wǎng)狀 網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)更換。
所述的加密是指使用一個(gè)預(yù)共享密鑰�,采用相同的加密方式對(duì)數(shù)據(jù)包進(jìn)行 加密運(yùn)算,所得的密文無法被不擁有密鑰的第三方解析成明文���。
所述的加密方式是指DES算法����。
所述的候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)是指希望能夠加入當(dāng)前無線網(wǎng)狀網(wǎng)絡(luò)的無線 網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn),當(dāng)該無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通過認(rèn)證服務(wù)器認(rèn)證后即成為合法的無線 網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)���。
所述的無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的鏈路是指合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)與認(rèn)證服務(wù)器之 間的無線數(shù)據(jù)鏈路�,該無線數(shù)據(jù)鏈路與無線網(wǎng)狀網(wǎng)絡(luò)加密數(shù)據(jù)鏈路相互隔離�����。
所述的認(rèn)證服務(wù)器是指無線網(wǎng)狀網(wǎng)絡(luò)中與互聯(lián)網(wǎng)出口相連的服務(wù)器�����,該服務(wù)器通過一個(gè)固定的有線連接與網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)連接���,負(fù)責(zé)對(duì)所有申請(qǐng)加 入網(wǎng)絡(luò)的候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行初始認(rèn)證協(xié)議流程�。
第二步��,認(rèn)證服務(wù)器開始初始認(rèn)證協(xié)議流程首先候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通 過第一步中所述的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)向認(rèn)證服務(wù)器發(fā)起一個(gè)驗(yàn)證請(qǐng)求消息�;
當(dāng)認(rèn)證服務(wù)器收到驗(yàn)證請(qǐng)求消息后進(jìn)行驗(yàn)證處理,以判斷該候選節(jié)點(diǎn)是否可以加 入到網(wǎng)絡(luò)中�;
所述的驗(yàn)證請(qǐng)求消息包括候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)地址���、待驗(yàn)證密鑰以及密 鑰交換信息,該驗(yàn)證請(qǐng)求消息使用認(rèn)證服務(wù)器內(nèi)置的默認(rèn)密鑰進(jìn)行加密�����。
所述的驗(yàn)證處理是指將發(fā)送的身份驗(yàn)證請(qǐng)求中的身份信息與后臺(tái)數(shù)據(jù)庫中 的身份信息進(jìn)行對(duì)比��,確定接入者使用了一個(gè)合法的身份進(jìn)入無線網(wǎng)狀網(wǎng)絡(luò)中�����,
當(dāng)驗(yàn)證處理通過則在認(rèn)證服務(wù)器與候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行一次密鑰交 換�,然后通過網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)向候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)分發(fā)預(yù)共享密鑰���, 并執(zhí)行第三步�����。
當(dāng)驗(yàn)證處理未通過則候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將無法加入到無線網(wǎng)狀網(wǎng)絡(luò)中���, 也無法獲得當(dāng)前網(wǎng)絡(luò)內(nèi)的通信加密方式和密鑰,安全通信失敗�����。
所述的密鑰交換是指認(rèn)證服務(wù)器與候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)在交換數(shù)據(jù)之前 建立的公用的安全設(shè)置約定,用于安全地交換一套密鑰��,以便在它們的連接中使 用�����。
所述的密鑰由認(rèn)證服務(wù)器和候選節(jié)點(diǎn)單獨(dú)擁有�����,并且所有的數(shù)據(jù)通信均用這 一對(duì)密鑰進(jìn)行加密�,中間進(jìn)行數(shù)據(jù)中轉(zhuǎn)的合法網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)無法獲知密鑰和通信 內(nèi)容。
所述的網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)是指負(fù)責(zé)無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的密鑰的分發(fā)以及 管理的節(jié)點(diǎn)���,該網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)與認(rèn)證服務(wù)器之間通過安全路徑進(jìn)行通信 連接����。
所述的網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)周期性地向無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)所有合法無線網(wǎng) 狀網(wǎng)絡(luò)節(jié)點(diǎn)通過安全鏈路發(fā)送更新后的預(yù)共享密鑰���。
第三步��,候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通過預(yù)共享密鑰與無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)其他合法 無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行加密數(shù)據(jù)通信���,實(shí)現(xiàn)無線網(wǎng)狀網(wǎng)絡(luò)的功能�����。
本發(fā)明既滿足了無線網(wǎng)狀網(wǎng)絡(luò)的動(dòng)態(tài)自組織等新特性的需求����,又為其網(wǎng)絡(luò)提供了接近于802. 11標(biāo)準(zhǔn)要求的安全性能��。本發(fā)明基于802. 11協(xié)議族的無線網(wǎng)絡(luò) 通信標(biāo)準(zhǔn)�����,便于在基于802. ll鏈路建立的無線網(wǎng)狀網(wǎng)絡(luò)網(wǎng)絡(luò)中應(yīng)用�。本發(fā)明提 出的框架和結(jié)構(gòu)簡(jiǎn)單���,不僅確保了兼容性和靈活性�����,而且易于實(shí)現(xiàn)���。
圖l為本發(fā)明方法示意圖�。
具體實(shí)施例方式
下面對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明����,本實(shí)施例在以本發(fā)明技術(shù)方案為前提下 進(jìn)行實(shí)施,給出了詳細(xì)的實(shí)施方式和具體的操作過程��,但本發(fā)明的保護(hù)范圍不限 于下述的實(shí)施例���。
如圖1所示����,本實(shí)施例包括以下步驟
1) 無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)所有已經(jīng)存在的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)���,包括多個(gè)無限 網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)(MA)和網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)(MKD)��,共同使用一個(gè)當(dāng)前的預(yù)共 享密鑰對(duì)所有在無線信道上進(jìn)行傳輸?shù)臄?shù)據(jù)進(jìn)行加密�����。同時(shí)�,網(wǎng)絡(luò)內(nèi)的無線網(wǎng)狀 網(wǎng)絡(luò)節(jié)點(diǎn)通過自組織���,保證所有節(jié)點(diǎn)與Internet的連通�����。
2) —個(gè)候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)(Candidate MP)希望能夠加入當(dāng)前這個(gè)無 線網(wǎng)狀網(wǎng)絡(luò)���,但它在網(wǎng)絡(luò)中并沒有合法的身份����,也不知道網(wǎng)絡(luò)內(nèi)當(dāng)前的共享密鑰���。 所以����,它向與其最近的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出初始認(rèn)證請(qǐng)求���,以開始初始認(rèn) 證協(xié)議流程(l)。其初始認(rèn)證請(qǐng)求使用一個(gè)基本的共享密鑰加密���,保持初始請(qǐng)求 的安全性�����。
3) 無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的請(qǐng) 求通過一條邏輯上與無線網(wǎng)狀網(wǎng)絡(luò)加密數(shù)據(jù)鏈路隔離的無線數(shù)據(jù)鏈路轉(zhuǎn)發(fā)給認(rèn) 證服務(wù)器(AS)�����。認(rèn)證服務(wù)器在收到候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)驗(yàn)證請(qǐng)求后��,對(duì)其請(qǐng) 求進(jìn)行驗(yàn)證(2)�����。
4) 上述步驟3)的驗(yàn)證失敗后�,該候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將無法加入到無 線網(wǎng)狀網(wǎng)絡(luò)中,也無法獲得當(dāng)前網(wǎng)絡(luò)內(nèi)的通信加密方式和密鑰��。驗(yàn)證失敗信息將 被發(fā)送到該候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)�����,短時(shí)間內(nèi)�����,該節(jié)點(diǎn)將無法再一次請(qǐng)求進(jìn)行驗(yàn) 證請(qǐng)求�����。
5) 無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將繼續(xù)維持這一條邏輯上與無 線網(wǎng)狀網(wǎng)絡(luò)加密數(shù)據(jù)鏈路隔離的無線鏈路轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器和候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的通信,直到初始認(rèn)證協(xié)議確定成功或者失敗(3)����。
6) 候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的請(qǐng)求通過上述步驟3)的驗(yàn)證后,認(rèn)證服務(wù)器 與候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信握手��,并完成一次密鑰交換過程���。之后���,密鑰 交換生成的公私鑰對(duì)將保護(hù)認(rèn)證服務(wù)器與這個(gè)候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)完成初始 認(rèn)證協(xié)議,幫助候選節(jié)點(diǎn)成為一個(gè)合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)(4)��。
7) 候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)獲得網(wǎng)絡(luò)內(nèi)的預(yù)共享密鑰后�����,使用此密鑰與網(wǎng)絡(luò)
內(nèi)的其他節(jié)點(diǎn)進(jìn)行加密數(shù)據(jù)通信�����。候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)成為一個(gè)合法的無線網(wǎng)
狀網(wǎng)絡(luò)節(jié)點(diǎn)���。密鑰將用于保護(hù)無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)通信(5)����。
8) 為了維護(hù)網(wǎng)絡(luò)內(nèi)的安全性�����,由網(wǎng)絡(luò)內(nèi)的網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)向網(wǎng)絡(luò)內(nèi) 更新一個(gè)新的預(yù)共享密鑰��。在分發(fā)密鑰前�,網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)將于所有合法 的網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行一次密鑰交換,并使用一對(duì)公私鑰對(duì)密鑰分發(fā)過程的通信進(jìn) 行加密���。所有合法的網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)都將通過私有的加密鏈路收到新的預(yù)共享密鑰
(6),并可以將其用于無線網(wǎng)狀網(wǎng)絡(luò)的加密通信���。 9
權(quán)利要求
1、一種無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法����,其特征在于,包括以下步驟第一步����,無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)所有已經(jīng)存在的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn),使用一個(gè)當(dāng)前的預(yù)共享密鑰對(duì)所有在無線信道上進(jìn)行傳輸?shù)臄?shù)據(jù)進(jìn)行加密����,當(dāng)候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)向該候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)距離最近的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出初始認(rèn)證請(qǐng)求時(shí)�����,合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)的初始認(rèn)證請(qǐng)求通過無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的鏈路轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器��,以開始初始認(rèn)證協(xié)議流程����;第二步��,認(rèn)證服務(wù)器開始初始認(rèn)證協(xié)議流程首先候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通過第一步中所述的合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)向認(rèn)證服務(wù)器發(fā)起一個(gè)驗(yàn)證請(qǐng)求消息�����;當(dāng)認(rèn)證服務(wù)器收到驗(yàn)證請(qǐng)求消息后進(jìn)行驗(yàn)證處理���,以判斷該候選節(jié)點(diǎn)是否可以加入到網(wǎng)絡(luò)中�;第三步����,候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通過預(yù)共享密鑰與無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)其他合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行加密數(shù)據(jù)通信,實(shí)現(xiàn)無線網(wǎng)狀網(wǎng)絡(luò)的功能�����。
2����、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法,其特征是����,第一步中所述的預(yù)共享密鑰是指用于加密無線網(wǎng)狀網(wǎng)絡(luò)中無線信道上通信的一組字 符,該字符被所有合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)共有�,并會(huì)在一定時(shí)間間隔下,被網(wǎng)狀 網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)更換���。
3��、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法����,其特征是�����,第一步中所述的候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)是指希望能夠加入當(dāng)前無線網(wǎng)狀網(wǎng)絡(luò)的無線網(wǎng) 狀網(wǎng)絡(luò)節(jié)點(diǎn)��,當(dāng)該無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)通過認(rèn)證服務(wù)器認(rèn)證后即成為合法的無線網(wǎng) 狀網(wǎng)絡(luò)節(jié)點(diǎn)。
4�、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法,其特征是����,第一步 中所述的無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的鏈路是指合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)與認(rèn)證服務(wù)器之間 的無線數(shù)據(jù)鏈路,該無線數(shù)據(jù)鏈路與無線網(wǎng)狀網(wǎng)絡(luò)加密數(shù)據(jù)鏈路相互隔離��。
5��、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法���,其特征是���,第二步中所述的驗(yàn)證請(qǐng)求消息包括候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)地址、待驗(yàn)證密鑰以及密鑰 交換信息����,該驗(yàn)證請(qǐng)求消息使用認(rèn)證服務(wù)器內(nèi)置的默認(rèn)密鑰進(jìn)行加密。
6���、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法����,其特征是,第二步 中所述的驗(yàn)證處理是指將發(fā)送的身份驗(yàn)證請(qǐng)求中的身份信息與后臺(tái)數(shù)據(jù)庫中的身份信息進(jìn)行對(duì)比���,確定接入者使用了一個(gè)合法的身份進(jìn)入無線網(wǎng)狀網(wǎng)絡(luò)中,當(dāng)驗(yàn)證處理通過則在認(rèn)證服務(wù)器與候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行一次密鑰交 換�����,然后通過網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)向候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)分發(fā)預(yù)共享密鑰����, 并執(zhí)行第三步;當(dāng)驗(yàn)證處理未通過則候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)將無法加入到無線網(wǎng)狀網(wǎng)絡(luò)中�����, 也無法獲得當(dāng)前網(wǎng)絡(luò)內(nèi)的通信加密方式和密鑰�,安全通信失敗。
7�����、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法�����,其特征是,第二步 中所述的密鑰交換是指認(rèn)證服務(wù)器與候選無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)在交換數(shù)據(jù)之前建 立的公用的安全設(shè)置約定�����,用于安全地交換一套密鑰�,以便在它們的連接中使用。
8�����、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法�,其特征是,第二步 中所述的密鑰由認(rèn)證服務(wù)器和候選節(jié)點(diǎn)單獨(dú)擁有�����,并且所有的數(shù)據(jù)通信均用這一 對(duì)密鑰進(jìn)行加密���,中間進(jìn)行數(shù)據(jù)中轉(zhuǎn)的合法網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)無法獲知密鑰和通信內(nèi) 容�����。
9�����、 根據(jù)權(quán)利要求1所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法�����,其特征是�����,第二步 中所述的網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)是指負(fù)責(zé)無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)的密鑰的分發(fā)以及管 理的節(jié)點(diǎn)�����,該網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)與認(rèn)證服務(wù)器之間通過安全路徑進(jìn)行通信連 接�。
10�����、 根據(jù)權(quán)利要求l所述的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法�,其特征是,第二步 中所述的網(wǎng)狀網(wǎng)絡(luò)密鑰分發(fā)節(jié)點(diǎn)周期性地向無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)所有合法無線網(wǎng)狀 網(wǎng)絡(luò)節(jié)點(diǎn)通過安全鏈路發(fā)送更新后的預(yù)共享密鑰�。
全文摘要
一種網(wǎng)絡(luò)技術(shù)領(lǐng)域的無線網(wǎng)狀網(wǎng)絡(luò)安全通信方法,包括初始認(rèn)證請(qǐng)求�����、認(rèn)證服務(wù)器開始初始認(rèn)證協(xié)議流程以及通過預(yù)共享密鑰與無線網(wǎng)狀網(wǎng)絡(luò)內(nèi)其他合法無線網(wǎng)狀網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行加密數(shù)據(jù)通信,實(shí)現(xiàn)無線網(wǎng)狀網(wǎng)絡(luò)的功能����。本發(fā)明既滿足了無線網(wǎng)狀網(wǎng)絡(luò)的動(dòng)態(tài)自組織等新特性的需求,又為其網(wǎng)絡(luò)提供了接近于802.11標(biāo)準(zhǔn)要求的安全性能�。本發(fā)明基于802.11協(xié)議族的無線網(wǎng)絡(luò)通信標(biāo)準(zhǔn),便于在基于802.11鏈路建立的無線網(wǎng)狀網(wǎng)絡(luò)網(wǎng)絡(luò)中應(yīng)用��。本發(fā)明提出的框架和結(jié)構(gòu)簡(jiǎn)單����,不僅確保了兼容性和靈活性,而且易于實(shí)現(xiàn)�����。
文檔編號(hào)H04W12/00GK101635922SQ20091005668
公開日2010年1月27日 申請(qǐng)日期2009年8月20日 優(yōu)先權(quán)日2009年8月20日
發(fā)明者越 吳, 孔少杰, 孫東來, 平 易, 李建華 申請(qǐng)人:上海交通大學(xué)