一種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法
【專利摘要】本發(fā)明提供了一種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,屬于無線通訊領(lǐng)域。代理人將根據(jù)發(fā)明人的答復補充該摘要。本方法包括:(1)預部署階段:由權(quán)威機構(gòu)建立并分發(fā)與移動節(jié)點、接入點和網(wǎng)絡(luò)管理者相關(guān)的密鑰材料;(2)鄰近移動節(jié)點間進行認證,并進行密鑰協(xié)商:兩個鄰近的移動節(jié)點在通信過程中,通過基于位置的校驗實現(xiàn)鄰近移動節(jié)點間的安全認證,隨之建立相關(guān)密鑰;(3)移動節(jié)點多跳認證,并進行密鑰協(xié)商:在安全認證過程中隨之建立共享密鑰;(4)移動節(jié)點進行密鑰更新。利用本發(fā)明實現(xiàn)了位置信息在動態(tài)網(wǎng)絡(luò)安全認證機制中的優(yōu)勢,并有效地實現(xiàn)了對動態(tài)網(wǎng)絡(luò)中常見攻擊的抵抗作用,同時節(jié)省了節(jié)點的能源和內(nèi)存。
【專利說明】—種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于無線通訊領(lǐng)域,具體涉及一種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法。
【背景技術(shù)】
[0002]隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展和普及,無線網(wǎng)絡(luò)的安全問題已成為科研領(lǐng)域以及商業(yè)領(lǐng)域關(guān)注的焦點之一。從傳統(tǒng)的基于證書的認證方式到現(xiàn)代的無證書的認證方式,無線網(wǎng)絡(luò)的安全認證方式得到了完善。在傳統(tǒng)的基于證書(certificate-based)的安全認證機制中,每個接入的節(jié)點均需要認證服務(wù)器的認證和授權(quán)才能和其他節(jié)點進行通信并且每個節(jié)點需要加載其他所有節(jié)點的公鑰證書,這給網(wǎng)絡(luò)規(guī)模的擴展的帶來了阻礙。面對這樣的問題,無證書認證機制利用節(jié)點的身份信息建立公私鑰完成節(jié)點間的相互認證,解決基于證書的認證方式的不足。
[0003]在現(xiàn)代的認證機制中,節(jié)點的身份信息是決定其是否可靠的基本條件。然而,在實際的應(yīng)用中單純的身份信息并不足以保證通信的安全性。例如,一旦無線網(wǎng)絡(luò)中收集周圍環(huán)境信息的某些節(jié)點脫離了目的地,即節(jié)點所處的位置無效了,那么這些節(jié)點所收集的信息就變得沒有意義了。另外,對于進行通信的兩個節(jié)點來說,如果其中的一個節(jié)點并不在另一個節(jié)點的通信范圍內(nèi),那么這次通信很可能存在著惡意的攻擊。所以,信息采集節(jié)點和通信節(jié)點的物理位置在一定程度上決定了其收集信息和通信的有效性。
[0004]IEEE JOURNAL ON SELECTED AREAS IN ⑶MMUNICAT IONS (VOL.24, N0.2,FEBRUARY2006)公開了一個基于位置密鑰LBK的安全認證機制。該機制基于節(jié)點的身份信息和位置信息建立了基于位置的密鑰LBK,并設(shè)計了基于LBK的鄰近節(jié)點安全認證機制,使得受害節(jié)點的影響被限制在一個有限的范圍內(nèi)。與以往的機制相比較,基于LBK的安全認證機制能夠花費更少的通信、計算、記憶存儲的開銷達到有效抵抗常見攻擊的效果。然而這樣的安全認證機制是建立在靜態(tài)網(wǎng)絡(luò)的基礎(chǔ)上的,網(wǎng)絡(luò)中節(jié)點的位置信息是固定不變的。這就提出了這樣的一個問題:在動態(tài)網(wǎng)絡(luò)中如何實現(xiàn)位置信息的優(yōu)勢?目前常規(guī)的動態(tài)網(wǎng)絡(luò)認證不能抵抗針對位置的攻擊,而現(xiàn)有的抵抗基于位置攻擊的動態(tài)網(wǎng)絡(luò)認證的技術(shù)需要對節(jié)點位置進行記錄追蹤,這勢必造成了節(jié)點能源和內(nèi)存的大量耗損和占用。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于解決上述現(xiàn)有技術(shù)中存在的難題,提供一種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,針對基于LBK的安全認證機制進行分析和改進,實現(xiàn)位置信息在動態(tài)網(wǎng)絡(luò)中的有效利用,解決從靜態(tài)網(wǎng)絡(luò)到動態(tài)網(wǎng)絡(luò)中存在的節(jié)點位置變化問題、位置安全性問題、節(jié)點主密鑰的傳遞問題等,不但能夠抵抗針對位置的攻擊,還能節(jié)省節(jié)點的能源和內(nèi)存。
[0006]本發(fā)明是通過以下技術(shù)方案實現(xiàn)的:
[0007]—種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,所述方法中涉及到的實體包括權(quán)威機構(gòu)(TA)、移動節(jié)點(C)、接入點(MR)、網(wǎng)絡(luò)管理者(NO);
[0008]所述權(quán)威機構(gòu)對網(wǎng)絡(luò)所需密鑰進行管理與分配,所述網(wǎng)絡(luò)管理者管理這個WMN域中所有成員的加入與離開,所述接入點主要完成對提出請求的移動節(jié)點進行驗證,驗證通過則轉(zhuǎn)發(fā)給網(wǎng)絡(luò)管理者,否則就放棄此次通信,所述移動節(jié)點是網(wǎng)絡(luò)的直接使用者,與鄰近及多跳節(jié)點進行通信;
[0009]所述方法包括以下步驟:
[0010](I)、預部署階段:由權(quán)威機構(gòu)建立并分發(fā)與移動節(jié)點、接入點和網(wǎng)絡(luò)管理者相關(guān)的密鑰材料;
[0011](2)、鄰近移動節(jié)點間進行認證,并進行密鑰協(xié)商:兩個鄰近的移動節(jié)點在通信過程中,通過基于位置的校驗實現(xiàn)鄰近移動節(jié)點間的安全認證,隨之建立相關(guān)密鑰;
[0012](3)、移動節(jié)點多跳認證,并進行密鑰協(xié)商:在安全認證過程中隨之建立共享密鑰;
[0013](4)、移動節(jié)點進行密鑰更新。
[0014]步驟(I)中的所述密鑰材料包含:
[0015]I) p,q為兩個大素數(shù),G1為q階加法群,G2為q階乘法群,并滿足雙線性映射g:G1XG1 — G2 ;
[0016]2)W是G1中的一個生成元,隨機選擇免e 作為網(wǎng)絡(luò)主密鑰,并設(shè)置wpub=kw ;
[0017]3)選擇兩個加密的hash函數(shù):H,字符串映射到G1中的非零元素。h,任意的輸入映射到固定長度的輸出;
[0018]4)公布公共系統(tǒng)參數(shù)(p,q,E/Fp,G1, G2e, H,h,ff, Wpub )0
[0019]所述建立與分發(fā)是利用現(xiàn)有技術(shù),通過上述所說的參數(shù)及函數(shù)進行建立的,NO、MR、C向TA傳輸所需認證信息,由TA進行計算后進行認證分發(fā)。
[0020]所述步驟⑵包括以下步驟:
[0021](21)請求認證的移動節(jié)點廣播認證請求消息,所述認證請求消息包括請求認證的移動節(jié)點的假名、實際位置信息、建立密鑰的位置信息和隨機數(shù);
[0022](22)鄰近移動節(jié)點收到所述認證請求消息后,檢測所述實際位置信息和建立密鑰的位置信息是否都在其當前位置的通信范圍(即接收消息的節(jié)點的通訊范圍)內(nèi),如果是,則將其自身的身份信息、建立密鑰的位置信息、隨機數(shù)以及利用共享密鑰計算的消息認證碼回復給請求認證的移動節(jié)點;如果否,則轉(zhuǎn)入步驟(25);
[0023](23)請求認證的移動節(jié)點收到鄰近移動節(jié)點的回復后,檢測鄰近移動節(jié)點的實際位置信息和建立密鑰的位置信息是否都在其當前位置的通信范圍內(nèi),如果否,則轉(zhuǎn)入步驟(25);如果是,則利用共享密鑰檢測所述消息驗證碼是否正確,如果是,則認定該鄰近移動節(jié)點為一個認證的鄰近節(jié)點,如果否,則轉(zhuǎn)入步驟(25);
[0024](24)請求認證的移動節(jié)點發(fā)送回復消息給該鄰近移動節(jié)點,該鄰近移動節(jié)點收到所述回復消息后,利用共享密鑰檢測所述回復消息是否正確,如果是,則認定請求認證的移動節(jié)點為一個認證的鄰近節(jié)點,完成鄰近移動節(jié)點間的安全認證,如果否,則轉(zhuǎn)入步驟
[25];
[0025](25)放棄此次通信。
[0026]所述步驟(21)中的所述請求認證的移動節(jié)點的假名是根據(jù)下面的公式計算得到的:
[0027]
【權(quán)利要求】
1.一種基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,所述方法中涉及到的實體包括權(quán)威機構(gòu)、移動節(jié)點、接入點、網(wǎng)絡(luò)管理者,其特征在于:所述方法包括以下步驟: (1)、預部署階段:由權(quán)威機構(gòu)建立并分發(fā)與移動節(jié)點、接入點和網(wǎng)絡(luò)管理者相關(guān)的密鑰材料; (2)、鄰近移動節(jié)點間進行認證,并進行密鑰協(xié)商:兩個鄰近的移動節(jié)點在通信過程中,通過基于位置的校驗實現(xiàn)鄰近移動節(jié)點間的安全認證,隨之建立相關(guān)密鑰; (3)、移動節(jié)點多跳認證,并進行密鑰協(xié)商:在安全認證過程中隨之建立共享密鑰; (4)、移動節(jié)點進行密鑰更新。
2.根據(jù)權(quán)利要求1所述的基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,其特征在于:所述步驟⑵包括以下步驟: (21)請求認證的移動節(jié)點廣播認證請求消息,所述認證請求消息包括請求認證的移動節(jié)點的假名、實際位置信息、建立密鑰的位置信息和隨機數(shù); (22)鄰近移動節(jié)點收到所述認證請求消息后,檢測所述實際位置信息和建立密鑰的位置信息是否都在其當前位置的通信范圍內(nèi),如果是,則將其自身的身份信息、建立密鑰的位置信息、隨機數(shù)以及利用共享密鑰計算的消息認證碼回復給請求認證的移動節(jié)點;如果否,則轉(zhuǎn)入步驟(25); (23)請求認證的移動節(jié)點收到鄰近移動節(jié)點的回復后,檢測鄰近移動節(jié)點的實際位置信息和建立密鑰的位置信息是否都在其當前位置的通信范圍內(nèi),如果否,則轉(zhuǎn)入步驟(25);如果是,則利用共享密鑰檢測所述消息驗證碼是否正確,如果是,則認定該鄰近移動節(jié)點為一個認證的鄰近節(jié)點,如果否,則轉(zhuǎn)入步驟(25); (24)請求認證的移動節(jié)點發(fā)送回復消息給該鄰近移動節(jié)點,該鄰近移動節(jié)點收到所述回復消息后,利用共享密鑰檢測所述回復消息是否正確,如果是,則認定請求認證的移動節(jié)點為一個認證的鄰近節(jié)點,完成鄰近移動節(jié)點間的安全認證,如果否,則轉(zhuǎn)入步驟(25); (25)放棄此次通信。
3.根據(jù)權(quán)利要求2所述的基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,其特征在于:所述步驟(21)中的所述請求認證的移動節(jié)點的假名是根據(jù)下面的公式計算得到的:
4.根據(jù)權(quán)利要求3所述的基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,其特征在于:所述步驟⑶包括以下步驟: (31)移動節(jié)點發(fā)出認證請求消息,所述認證請求消息包括移動節(jié)點的假名和與密鑰相關(guān)的位置信息; (32)目的移動節(jié)點收到所述認證請求消息后,發(fā)送回復消息并根據(jù)所述認證請求消息的內(nèi)容計算共享密鑰;所述回復消息包括移動節(jié)點的假名和與密鑰相關(guān)的位置信息; (33)移動節(jié)點收到所述回復消息后,根據(jù)回復消息的內(nèi)容計算得到共享密鑰。
5.根據(jù)權(quán)利要求4所述的基于位置校驗的動態(tài)網(wǎng)絡(luò)安全認證方法,其特征在于:所述步驟⑷包括以下步驟:(41)請求更新的移動節(jié)點向接入點發(fā)出密鑰更新請求消息,所述密鑰更新請求消息包括身份信息、建立密鑰的位置信息、當前位置信息以及隨機數(shù); (42)接入點接收到該移動節(jié)點的更新請求消息后,判斷該移動節(jié)點的當前位置信息的準確性,如果當前位置信息是可靠的,則接入點記錄時間,并將該時間以及移動節(jié)點的更新請求消息作為新的更新請求消息發(fā)送給網(wǎng)絡(luò)管理者;如果當前位置信息是不可靠的,則放棄更新請求; (43)網(wǎng)絡(luò)管理者接收到接入點轉(zhuǎn)發(fā)的新的更新請求消息后,為該移動節(jié)點建立基于當前位置的密鑰,然后發(fā)送給請 求更新的移動節(jié)點。
【文檔編號】H04L29/06GK103561031SQ201310552479
【公開日】2014年2月5日 申請日期:2013年11月7日 優(yōu)先權(quán)日:2013年11月7日
【發(fā)明者】王賾, 李萃, 劉文菊, 時珍全, 武魯強 申請人:天津工業(yè)大學