專利名稱:無線網(wǎng)格網(wǎng)絡中的認證設備和方法
技術領域:
本發(fā)明涉及無線網(wǎng)格網(wǎng)絡中的一種認證設備和一種認證方法�。
技術背景為適應網(wǎng)絡技術的發(fā)展和用戶要求更好服務質量的需求,直到今 曰�,無線網(wǎng)絡贏得了更多的注意力。在無線網(wǎng)絡中����,由于對將^Z/70C網(wǎng)絡與現(xiàn)有網(wǎng)絡整合的需求的增 加���,將會急速擴張地分布無線網(wǎng)格網(wǎng)絡����。在這種無線網(wǎng)格網(wǎng)絡中,多個節(jié)點以類網(wǎng)格結構無線連接���。無線網(wǎng)格網(wǎng)絡的節(jié)點通常分成構成網(wǎng)絡的網(wǎng)格節(jié)點和與不同網(wǎng) 絡(例如無線網(wǎng)絡或另一個網(wǎng)格網(wǎng)絡)連接以用作網(wǎng)關的主節(jié)點�����。網(wǎng)格節(jié)點可以以多跳網(wǎng)格結構連接在一起�����,以及主節(jié)點可以與認證服務器(AS)連接��,認證服務器(AS)用于在網(wǎng)格節(jié)點進入網(wǎng)絡 時對它們進行認證��。對于用作無線網(wǎng)格網(wǎng)絡中的節(jié)點的無線網(wǎng)格網(wǎng)絡的網(wǎng)格節(jié)點來 說�����,需要兩個認證階段��,即用于辨別是否對節(jié)點進行了驗證的初始認 證��,以及用于保證網(wǎng)格節(jié)點的相互可靠性的逐跳認證����。無線網(wǎng)格網(wǎng)絡的網(wǎng)格節(jié)點相互交換必要信息,例如關于網(wǎng)格網(wǎng)絡 的建立的信息�����,以及如果有來自客戶端的請求�,則共享與分組傳輸路 由有關的路由信息。因為無線網(wǎng)格網(wǎng)絡的網(wǎng)格節(jié)點通過多跳轉發(fā)分組�,因此,侵入無 線網(wǎng)格網(wǎng)絡的惡意節(jié)點可以傳遞錯誤的路由信息���。結果�,這就防止了 網(wǎng)格節(jié)點找到目的地節(jié)點�����,從而阻礙了分組轉發(fā)����。這就需要逐跳認證,從而最初進入無線網(wǎng)格網(wǎng)絡的網(wǎng)格節(jié)點可以 在網(wǎng)絡的初始認證過程之后不斷地與網(wǎng)格節(jié)點中的相鄰節(jié)點交換信 息�����。
基于編碼算法(例如對稱密鑰和公共密鑰)�,通過應用認證協(xié)議 來執(zhí)行無線網(wǎng)格網(wǎng)絡中的逐跳認證,以及到目前為止所提出的執(zhí)行這 種認證的方案包括可應用于^Z/20C網(wǎng)絡的分布式認證方案和基于認證 服務器的集中式認證方案�。首先,描述集中式認證方案�����,其中在有線網(wǎng)絡中建立并具有用 戶特定認證信息的認證服務器與主節(jié)點連接���,或者主節(jié)點在內部配備具有認證服務器的功能����。此外����,第一網(wǎng)格節(jié)點進入無線網(wǎng)格網(wǎng)絡,并 且與第二網(wǎng)格節(jié)點進行逐跳認證��。當?shù)谝痪W(wǎng)格節(jié)點新近進入無線網(wǎng)格網(wǎng)絡時���,它與所搜索的或所掃 描的相鄰節(jié)點(例如具有更高強度的交換信號的第二節(jié)點)執(zhí)行逐跳 認證���。當?shù)谝痪W(wǎng)格節(jié)點進入無線網(wǎng)格網(wǎng)絡時�����,第二網(wǎng)格節(jié)點與主節(jié)點連 接���,并將對于第一網(wǎng)格節(jié)點的認證請求發(fā)送至認證服務器,以及第一 網(wǎng)格節(jié)點將對于第二網(wǎng)格節(jié)點的認證請求發(fā)送至認證服務器����。認證服務器對第二節(jié)點和第一節(jié)點進行認證,然后將認證結果報 告給第一和第二節(jié)點���。也就是說�,在對于第一和第二節(jié)點分別執(zhí)行了認證之后����,認證服 務器將認證結果報告給相應的網(wǎng)格節(jié)點。根據(jù)分布式認證方案�����,當共享逐跳認證所必需的認證信息時��,相 應的網(wǎng)格節(jié)點不斷地與網(wǎng)格節(jié)點中的相鄰節(jié)點進行逐跳認證�����。在集中式認證方案中,需要網(wǎng)格節(jié)點能夠經(jīng)常地與認證服務器連 接�。在對于無線網(wǎng)格網(wǎng)絡的所有網(wǎng)格節(jié)點執(zhí)行逐跳認證的情況下�����,以 與網(wǎng)格節(jié)點的數(shù)量成正比增加的量來執(zhí)行認證�,從而認證服務上的負 載急劇增加。此外����,相應的網(wǎng)格節(jié)點必須首先與認證服務器連接,然 后請求對于相鄰節(jié)點的認證���,以執(zhí)行認證����。結果���,這就造成認證中的 時間損失����。此外,由于網(wǎng)格節(jié)點是移動的�,它們在每一次切換時請求來自認 證服務器的認證,從而使認證過程出現(xiàn)延遲�。在分布式認證方案的情況下,相應的網(wǎng)格節(jié)點不通過認證服務器 執(zhí)行認證�,因而它們應該共享網(wǎng)格節(jié)點中相鄰節(jié)點的認證信息。然而��,
相應網(wǎng)格節(jié)點使用的各種類型的認證算法也增加了處理認證算法的網(wǎng) 格節(jié)點上的負載��。此外��,存在關于相應節(jié)點可以如何與相鄰節(jié)點共享認證信息的實 際問題�。此外,存在關于如何防止惡意節(jié)點進入網(wǎng)格網(wǎng)絡的安全問題����。發(fā)明內容開發(fā)本發(fā)明來解決現(xiàn)有技術中的上述問題,因此本發(fā)明的目的是 提供無線網(wǎng)格網(wǎng)絡中的一種認證設備和一種認證方法��,其中該設備和 方法可以對于進入無線網(wǎng)格網(wǎng)絡的新節(jié)點快速執(zhí)行初始認證過程��。本發(fā)明的另一個目的是提供無線網(wǎng)格網(wǎng)絡中的一種認證設備和一 種認證方法���,其中該設備和方法使無線網(wǎng)格網(wǎng)絡的節(jié)點的認證信息能 夠通過初始認證過程由節(jié)點共享����,從而克服了和認證信息共享相關的 問題。本發(fā)明的另一個目的是提供無線網(wǎng)格網(wǎng)絡中的一種認證設備和一 種認證方法�����,其中該設備和方法防止任何惡意節(jié)點進入無線網(wǎng)格網(wǎng)絡����。根據(jù)本發(fā)明的一個方面�����,無線網(wǎng)格網(wǎng)絡包括多個節(jié)點���、以及對 于無線網(wǎng)格網(wǎng)絡的節(jié)點執(zhí)行初始認證過程的認證服務器����,每一個節(jié)點 與相鄰節(jié)點進行逐跳認證過程�,其中認證服務器基于從節(jié)點處接收到 的用戶身份信息執(zhí)行初始認證過程,以及將無線網(wǎng)格網(wǎng)絡的認證信息 傳輸?shù)焦?jié)點中的一個驗證后的節(jié)點��,以及新近進入無線網(wǎng)格網(wǎng)絡的每 一個節(jié)點將用戶身份信息傳輸至認證服務器,并基于從認證服務器接 收到的認證信息執(zhí)行逐跳認證過程�����。優(yōu)選地����,認證服務器存儲所驗證的節(jié)點的用戶身份信息和認證信 息,以及基于從節(jié)點處接收到的用戶身份信息和所存儲的用戶身份信 息執(zhí)行初始認證過程��。優(yōu)選地��,新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點根據(jù)預設條件選擇 要與之無線連接的相鄰節(jié)點�����,以及將初始認證請求消息傳輸至相鄰節(jié) 點�����。優(yōu)選地�,每一個節(jié)點優(yōu)選地存儲建立與認證服務器的安全路徑所 必需的路徑信息,以及響應來自相鄰節(jié)點的初始認證請求消息�����,提供 允許相鄰節(jié)點執(zhí)行與認證服務器的安全連接的安全路徑。優(yōu)選地�����,根據(jù)安全套接字層���、傳輸層安全�����、公共密鑰基礎結構�、IP安全���、可擴展認證協(xié)議、由IEEE 802.11x所定義的認證算法��、以及由 IEEE 802.11i所定義的認證算法中的一個來設置認證信息�。優(yōu)選地,每一個節(jié)點包括無線連接器��,用于與相鄰節(jié)點無線連 接��;存儲器���,用于存儲從認證服務器處接收到的認證信息和用戶身份 信息���;以及認證處理器�����,在進入無線網(wǎng)格網(wǎng)絡的情況下�����,所述認證處 理器將存儲在存儲器中的用戶身份信息傳輸至認證服務器�,從而執(zhí)行 初始認證過程�,以及用于基于從認證服務器處接收到的認證信息,與 相鄰節(jié)點進行逐跳認證過程���。根據(jù)本發(fā)明的另一個方面��,無線網(wǎng)格網(wǎng)絡包括多個節(jié)點�;以及 主節(jié)點���,用于存儲驗證以進入無線網(wǎng)格網(wǎng)絡的節(jié)點的用戶身份信息和 認證信息��,以及用于基于從節(jié)點處接收到的預設用戶身份信息和所存 儲的用戶身份信息來執(zhí)行初始認證過程�。進入無線網(wǎng)格網(wǎng)絡的每一個 節(jié)點將預設用戶身份信息傳輸?shù)街鞴?jié)點,從而執(zhí)行初始認證過程����,以 及基于從主節(jié)點處接收到的認證信息,與相鄰節(jié)點進行逐跳認證過程�����。優(yōu)選地��,主節(jié)點包括認證存儲器��,用于將用戶身份信息和認證 算法集的認證信息存儲在認證服務器中�;以及認證處理器,用于基于 從節(jié)點接收到的用戶身份信息和在認證存儲器中存儲的用戶身份信息 來執(zhí)行初始認證過程���,以及用于將存儲在存儲器中的用戶身份信息傳 輸至節(jié)點中相應的一個。根據(jù)本發(fā)明的另一方面���,無線網(wǎng)格網(wǎng)絡中的認證方法包括以下步 驟在認證器處�����,存儲驗證以進入無線網(wǎng)格網(wǎng)絡的多個節(jié)點的用戶身份信息和認證信息���,在認證器處���,基于從新近進入無線網(wǎng)格網(wǎng)絡的每 一個節(jié)點處接收到的用戶身份信息和所存儲的用戶身份信息來執(zhí)行初始認證過程;以及在新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�,存儲從 認證器處接收到的認證信息,以及基于從認證器處接收到的認證信息����, 與相鄰節(jié)點中的相鄰一個進行逐跳認證過程。該認證方法還可以包括在新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點 處���,如果通過主節(jié)點連接認證器����,則存儲主節(jié)點的路徑信息���;以及��, 在新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處����,響應來自相鄰節(jié)點的初始 認證請求����,提供允許相鄰節(jié)點來執(zhí)行至認證器的安全連接的安全路徑��。該認證方法還可以包括在新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點 處����,根據(jù)預設條件選擇要與之無線連接的相鄰節(jié)點��;在新近進入無線 網(wǎng)格網(wǎng)絡的每一個節(jié)點處��,將包括用戶身份信息的初始認證請求消息 傳輸至相鄰節(jié)點�����;以及在相鄰節(jié)點處���,通過安全路徑將初始認證請求 消息傳輸至認證器���。執(zhí)行逐跳認證過程的步驟可以優(yōu)選地包括在新近進入無線網(wǎng)格 網(wǎng)絡的每一個節(jié)點處,將逐跳認證請求消息傳輸至相鄰節(jié)點��;以及���, 在新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�����,基于包括在從相鄰節(jié)點處 接收到的肯定應答消息中的認證信息和從認證器處接收到的認證信息 來執(zhí)行逐跳認證過程�。優(yōu)選地���,初始認證過程是集中式認證方案����,其中認證器對于節(jié)點 執(zhí)行認證過程���。優(yōu)選地����,逐跳認證過程是分布式認證方案��,其中新近進入無線網(wǎng) 格網(wǎng)絡的每一個節(jié)點對于相鄰節(jié)點執(zhí)行認證過程���。
當結合附圖考慮時�,通過參照下述的詳細描述���,對本發(fā)明更加完 全的理解及其許多伴隨的優(yōu)點將顯而易見并變得更加易于理解��,其中�, 相似的參考符號代表相似的元件,其中圖1是公共無線網(wǎng)格網(wǎng)絡的概念圖示�����;圖2是根據(jù)本發(fā)明的在無線網(wǎng)格網(wǎng)絡中的認證方法的概念圖示���;圖3是根據(jù)本發(fā)明示例性實施例的節(jié)點的框圖�����;圖4是示出了在一般集中式認證方案中的認證流的流圖�;圖5是示出了在一般分布式認證方案中的認證流的流圖�;圖6是示出了根據(jù)本發(fā)明示例性實施例的在無線網(wǎng)格網(wǎng)絡中的認證流的流圖;以及圖7是示出了根據(jù)本發(fā)明示例性實施例的在無線網(wǎng)格網(wǎng)絡中的認證方法的流程圖���。
具體實施方式
現(xiàn)在將會參照附圖更加全面的描述本發(fā)明����,其中示出了根據(jù)本發(fā) 明的在無線網(wǎng)格網(wǎng)絡中的認證設備以及認證方法的優(yōu)選實施例�����。 圖l是公共無線網(wǎng)格網(wǎng)絡的概念圖示����。如圖1所示,無線網(wǎng)格網(wǎng)絡20的節(jié)點通常被分為構成了無線網(wǎng) 格網(wǎng)絡20的網(wǎng)格節(jié)點21-1�����、 21-2����、 21-3等、以及與不同網(wǎng)絡(例如 與有線網(wǎng)絡50或另一個網(wǎng)格網(wǎng)絡)連接以用作網(wǎng)關的主節(jié)點22�����。網(wǎng)格節(jié)點21-1���、 21-2���、 21-3等可以以多跳網(wǎng)格結構連接在一起, 以及主節(jié)點22可以與認證服務器(AS)連接��,該認證服務器(AS) 用于在網(wǎng)格節(jié)點21-1、 21-2����、 21-3等進入無線網(wǎng)格網(wǎng)絡20時對它們 進行認證。對于用作無線網(wǎng)格網(wǎng)絡20中的節(jié)點的無線網(wǎng)格網(wǎng)絡20的網(wǎng)格節(jié) 點21-1�����、 21-2�����、 21-3等來說�,需要兩個認證階段,即用于辨別是否對 節(jié)點21-1�、 21-2、 21-3等進行了驗證的初始認證�����、以及用于保證網(wǎng)格 節(jié)點21-1�、 21-2、 21-3等的相互可靠性的逐跳認證���。無線網(wǎng)格網(wǎng)絡20的網(wǎng)格節(jié)點21-1�����、 21-2�、 21-3等相互交換必要 信息,例如關于網(wǎng)格網(wǎng)絡20的建立的信息���,以及如果有來自客戶端的 請求,則共享與分組發(fā)射路由有關的路由信息����。因為無線網(wǎng)格網(wǎng)絡20的網(wǎng)格節(jié)點21-1、 21-2��、 21-3等通過多跳 轉發(fā)分組���,因此���,侵入無線網(wǎng)格網(wǎng)絡20的惡意節(jié)點可以傳遞錯誤的路 由信息。結果�,這就防止了網(wǎng)格節(jié)點21-1、 21-2�����、 21-3等找到目的地 節(jié)點,從而阻礙了分組轉發(fā)����。需要逐跳認證,從而最初進入無線網(wǎng)格網(wǎng)絡20的網(wǎng)格節(jié)點21可 以在網(wǎng)絡20的初始認證過程之后不斷地與網(wǎng)格節(jié)點21-1���、 21-2���、 21-3 等中的相鄰節(jié)點交換信息?;诰幋a算法(例如對稱密鑰和公共密鑰),通過應用認證協(xié)議 來執(zhí)行無線網(wǎng)格網(wǎng)絡20中的逐跳認證����,以及到目前為止所提出的執(zhí)行 這種認證的方案包括可應用于ad/2oc網(wǎng)絡的分布式認證方案和基于認 證服務器的集中式認證方案。 首先��,描述集中式認證方案����,其中在有線網(wǎng)絡50中建立并具有 用戶特定認證信息的認證服務器10與主節(jié)點22連接,或者主節(jié)點22 在內部配備具有認證服務器IO的功能����。此外��,第一網(wǎng)格節(jié)點21-1進 入無線網(wǎng)格網(wǎng)絡����,并且與第二網(wǎng)格節(jié)點21-2進行逐跳認證��。當?shù)谝痪W(wǎng)格節(jié)點2i_i新近進入無線網(wǎng)格網(wǎng)絡20時�����,它與所搜索的或所掃描的相鄰節(jié)點(例如具有更高強度的交換信號的第二節(jié)點 21-2)進行逐跳認證��。當?shù)谝痪W(wǎng)格節(jié)點21-1進入無線網(wǎng)格網(wǎng)絡20時����,第二網(wǎng)格節(jié)點21-2 與主節(jié)點22連接����,并將對于第一網(wǎng)格節(jié)點21-1的認證請求發(fā)送至認 證服務器10,以及第一網(wǎng)格節(jié)點21-1將對于第二網(wǎng)格節(jié)點21-2的認 證請求發(fā)送至認證服務器10�����。認證服務器10對第二節(jié)點21-2和第一節(jié)點21-1進行認證��,然后 將認證結果報告給第二節(jié)點21-2和第一節(jié)點21-1 。也就是說�����,在對于第一和第二節(jié)點21-1和21-2分別執(zhí)行了認證 之后�����,認證服務器10將認證結果報告給相應的網(wǎng)格節(jié)點21-1和21-2���。根據(jù)分布式認證方案��,當共享逐跳認證所必需的認證信息時���,相 應的網(wǎng)格節(jié)點21-1、 21-2�、 21-3等不斷地與網(wǎng)格節(jié)點21-1、 21-2�����、 21-3 等中的相鄰節(jié)點進行逐跳認證����。在集中式認證方案中��,需要網(wǎng)格節(jié)點21能夠不斷地與認證服務 器10連接�。在對于無線網(wǎng)格網(wǎng)絡20的所有網(wǎng)格節(jié)點21-1���、 21-2�����、 21-3 等執(zhí)行逐跳認證的情況下�,以與網(wǎng)格節(jié)點21-1�、 21-2、 21-3等的數(shù)量 成正比增加的量來執(zhí)行認證����,從而認證服務上的負載急劇增加����。此外, 相應的網(wǎng)格節(jié)點21必須首先連接至認證服務器�,然后請求對于相鄰節(jié) 點的認證,以執(zhí)行認證�。結果,這就造成認證中的時間損失����。此外�,由于網(wǎng)格節(jié)點21-1�、 21-2、 21-3等是移動的����,它們在每一 次切換時請求來自認證服務器10的認證,從而使認證過程出現(xiàn)延遲����。在分布式認證方案的情況下,相應的網(wǎng)格節(jié)點21-1��、 21-2�、 21-3 等不通過認證服務器10執(zhí)行認證,因而它們應該共享網(wǎng)格節(jié)點21中 相鄰節(jié)點的認證信息��。然而�,相應網(wǎng)格節(jié)點21使用的各種類型的認證 算法也增加了處理認證算法的網(wǎng)格節(jié)點21的負載。
此外��,存在關于相應節(jié)點21-1�、 21-2、 21-3等可以如何與相鄰節(jié) 點21-1、 21-2����、 21-3等中的相鄰節(jié)點共享認證信息的實際問題。此外�, 存在關于如何防止惡意節(jié)點進入網(wǎng)格網(wǎng)絡20的安全問題。圖2是根據(jù)本發(fā)明的在無線網(wǎng)格網(wǎng)絡中的認證方法的概念圖示�����。參照圖2�,將描述一種情形,其中新節(jié)點230進入由主節(jié)點220和 相應的第一至第三節(jié)點210-1���、 210-2��、 210-3組成的無線網(wǎng)格網(wǎng)絡250�。主節(jié)點220可以與認證服務器100和有線網(wǎng)絡150連接����,或者它可 以在內部配備具有認證功能的認證服務器IOO�。如下所描述,認證服務 器100與主節(jié)點220連接���,并對于無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1�����、 210-2��、 210-3執(zhí)行認證����,或者主節(jié)點220對于無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1、 210-2�����、 210-3執(zhí)行認證�����。認證服務器100對于無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1�、 210-2、 210-3 執(zhí)行初始認證��,存儲/管理與無線網(wǎng)格網(wǎng)絡250中所使用的認證算法有 關的認證信息����,以及通過初始認證過程向新節(jié)點230提供認證信息。在無線網(wǎng)格網(wǎng)絡250中使用的認證算法可以是任何類型的無線連 接認證算法,包括安全套接字層(SSL)��、傳輸層安全(TLS)���、公共 密鑰基礎結構(PKI)��、 IP安全(IPsec)���、可擴展認證協(xié)議(EAP)、由 電氣及電子工程師協(xié)會(IEEE) 802.11x所定義的認證算法�、以及由 IEEE 802.11i所定義的認證算法。例如�,在PKI算法的情況下,認證信 息可以是共享密鑰信息����。也就是說,可以從覆蓋整個網(wǎng)絡層的各種類型的算法中���、而不是 從覆蓋特定層(例如IP層���、傳輸層和鏈路層)的其他類型的認證算法 中,適當?shù)剡x擇可應用于初始和逐跳認證過程的認證算法����。當每一個節(jié)點210-1、 210-2����、 210-3最初進入網(wǎng)絡250時,在初始 認證期間從認證服務器100處接收認證信息���,以及基于從節(jié)點210-1�、 210-2���、 210-3中的相鄰節(jié)點和認證服務器100處接收的認證信息來執(zhí)行 逐跳認證�。無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1�、 210-2、 210-3存儲與認證服務器 100連接的主節(jié)點220的身份信息(例如��,路徑信息和位置信息)���。響應 來自新節(jié)點230的初始認證請求�����,節(jié)點210-1�、 210-2、 210-3提供安全
路徑�,從而新節(jié)點230可以通過安全套接字層(SSL),經(jīng)主節(jié)點220與 認證服務器100連接��。當建立了無線網(wǎng)格網(wǎng)絡250時�����,認i正J艮務器100通過與節(jié)點 210-1�、 210-2、 210-3的初始認證�,根據(jù)之前在無線網(wǎng)格網(wǎng)絡250中設 置的認證算法,將認證信息傳輸?shù)焦?jié)點210-1�����、 210-2�����、 210-3�����。在最初進入無線網(wǎng)格網(wǎng)絡250時�����,新節(jié)點230選擇將要與之進行 無線連接的相鄰節(jié)點���。例如���,新節(jié)點230基于更早掃描或交換信號的 更高強度來選擇第一節(jié)點210-1 。當新節(jié)點230將對初始認證過程的初始認證請求發(fā)送至第一節(jié)點 210-1時��,第一節(jié)點210-1提供了安全路徑��,從而新節(jié)點230能夠通過 主節(jié)點220與認證服務器100連接��。艮P�,第一節(jié)點210-1將對新節(jié)點230的初始認證請求傳輸至與主 節(jié)點220連接的認證服務器100。然后�,認證服務器IOO對于通過安全套接字層(SSL)、經(jīng)第一節(jié) 點210-1和主節(jié)點220與認證服務器100連接的新節(jié)點230執(zhí)行初始 認證過程��。當基于用戶身份信息在新節(jié)點230上執(zhí)行初始認證過程時���,認證 服務器100將在無線網(wǎng)格網(wǎng)絡250中使用的認證信息傳輸至新節(jié)點 230�����。當認證服務器100的初始認證過程完成時��,新節(jié)點230基于從認 證服務器100處接收到的認證信息���,與相鄰節(jié)點(例如��,相應的第一 和第二節(jié)點210-1���、 210-2)進行逐跳過程。艮P���,最初進入無線網(wǎng)格網(wǎng)絡的新節(jié)點230首先通過與認證服務器 100的初始認證過程來接收認證信息��,以及在完成初始認證過程時��, 基于從認證服務器IOO處接收到的認證信息��,與相鄰節(jié)點進行逐跳認 證過程��。圖3是根據(jù)本發(fā)明示例性實施例的節(jié)點的框圖�����。參考圖3����,本發(fā)明的節(jié)點200包括無線連接器201,用于實現(xiàn) 與相鄰節(jié)點或客戶端(未示出)的無線連接��;連接處理器203���,用于 在節(jié)點200進入無線網(wǎng)格網(wǎng)絡后,通過相鄰節(jié)點向客戶端提供無線網(wǎng)絡服務����;以及存儲器202,用于存儲認證信息���、節(jié)點特定用戶身份信 息��、操作程序信息和通過初始認證過程從認證服務器ioo處接收到的 認證算法�����。連接處理器203包括用于根據(jù)認證算法執(zhí)行認證過程的認 證處理器204����。本發(fā)明的節(jié)點200可以是組成了圖2中的無線網(wǎng)格網(wǎng)絡250的網(wǎng) 格節(jié)點210-1�、 210-2��、 210-3�,以及可以是與認證服務器IOO連接或執(zhí) 行認證功能的圖2中的主節(jié)點220����。首先,將描述網(wǎng)格節(jié)點200及其組件�。當節(jié)點200新近進入無線網(wǎng)格網(wǎng)絡250時,連接處理器203基于 更早的掃描或交換信號的更高強度��,選擇通過無線連接器201無線連 接的相鄰節(jié)點中的一個��。然后����,連接處理器203的認證處理器204將初始認證請求消息傳 輸至所選節(jié)點,請求執(zhí)行初始認證過程�。在將初始認證請求消息傳輸至認證服務器100后,認證處理器204 將存儲在存儲器202中的用戶身份信息通過初始認證過程傳輸?shù)秸J證 服務器100�。在與認證服務器100的初始認證過程完成時,認證處理器204將 逐跳認證請求消息傳輸至相鄰節(jié)點�����,以及基于從認證服務器100處接 收到的認證信息執(zhí)行逐跳認證過程。當認證處理器204從相鄰節(jié)點接收到初始認證請求消息時�,認證 處理器204基于主節(jié)點220的身份信息,為在與主節(jié)點220連接的認 證服務器100與相鄰節(jié)點之間的安全連接提供安全路徑?���,F(xiàn)在描述配備了認證功能的主節(jié)點220的組件。主節(jié)點220的存儲器202存儲能夠進入無線網(wǎng)格網(wǎng)絡250的驗證 后的節(jié)點的用戶身份信息和無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1����、 210-2、 210-3的認證信息�。在從相鄰節(jié)點處接收到初始認證請求消息時,認證處理器204通 過辨別是否驗證了從相鄰節(jié)點處接收到的用戶身份信息來執(zhí)行初始認 證過程�����。如果驗證了相鄰節(jié)點的用戶身份信息�����,則認證處理器204將 存儲在存儲器202中的認證信息傳輸?shù)较噜徆?jié)點���。
圖4是示出了 一般集中式認證方案中的認證流的流圖。參照圖4��,將描述根據(jù)局域網(wǎng)上的可擴展認證協(xié)議(EAPOL), 由進入無線網(wǎng)格網(wǎng)絡250的新節(jié)點230和與新節(jié)點230相鄰的第一節(jié) 點210-1所執(zhí)行的認證流���。當新節(jié)點230新近進入無線網(wǎng)格網(wǎng)絡時����,將EAPOL啟動消息傳 輸至與新節(jié)點230相鄰的第一節(jié)點210-1��,以請求網(wǎng)絡連接(步驟 SIOO)��。當接收到來自新節(jié)點230的EAPOL啟動消息時�����,第一節(jié)點210-1 啟用安全連接����,從而與主服務器220連接的認證服務器100可以對于 新節(jié)點230 (步驟S110)執(zhí)行認證過程。認證服務器100從新節(jié)點230處接收到用戶身份信息����,從而對于 新節(jié)點230執(zhí)行認證過程(即EAP認證)(步驟S120),其中����,認證 服務器100通過由第一節(jié)點210-1提供的安全路徑與新節(jié)點230連接。當對于新節(jié)點230的認證過程完成時,認證服務器100將對于新 節(jié)點230的認證結果報告給第一節(jié)點210-1�����,然后該第一節(jié)點210-1 對于新節(jié)點230執(zhí)行無線連接過程(即握手)(步驟S130)��。然后第一節(jié)點210-1將用于無線連接的EAPOL啟動消息傳輸給 新節(jié)點230 (步驟S140)����。當從第一節(jié)點210-1處接收到EAPOL啟動消息時,新節(jié)點230 將認證請求消息發(fā)送至與主節(jié)點220連接的認證服務器100�,請求對 于第一節(jié)點210-1的認證,以及認證服務器100利用從第一節(jié)點210-1 處接收到的用戶身份信息��,執(zhí)行對于第一節(jié)點210-1的認證過程(步 驟S150)o當對于第一節(jié)點210-1的認證過程完成時�����,認證服務器100將針 對第一節(jié)點210-1的認證結果報告給新節(jié)點230�����,然后該新節(jié)點230 對于第一節(jié)點210-1執(zhí)行無線連接步驟(即握手)(步驟S160)����。如上所述, 一般集中式認證方案需要較長的認證時間��,并且因為 獨立地執(zhí)行對于兩個節(jié)點的認證過程���,所以經(jīng)受認證延遲���。圖5是示出了在一般分布式認證方案中的認證流的流圖。參照圖5����,當新節(jié)點230新近進入無線網(wǎng)格網(wǎng)絡250時,第一節(jié)
點210-1將EAPOL啟動消息傳輸給新節(jié)點230����,以請求網(wǎng)絡連接(步 驟S200)。作為對于所接收的EAPOL啟動消息的肯定應答�����,新節(jié)點230將 請求/身份消息(包括認證信息)傳輸給第一節(jié)點210-1 (步驟S210)�����。然后第一節(jié)點基于新節(jié)點的認證信息����,對于新節(jié)點230執(zhí)行認證 過程(步驟S220)��。在對于新節(jié)點230的認證過程完成時�,第一節(jié)點210-1向新節(jié)點 230通知認證或EAP成功(步驟S230).第一節(jié)點210-1也對于新節(jié)點230執(zhí)行無線連接過程(即握手) (步驟S240)����。然后,新節(jié)點230將EAPOL啟動消息傳輸給第一節(jié)點210-1�,以 請求網(wǎng)絡連接(步驟S250),從第一節(jié)點210-1處接收包括認證信息的 請求/身份消息(步驟S260)�����,以及對于第一節(jié)點210-1執(zhí)行認證過程 (步驟S270)���。在對于第一節(jié)點210-1的認證過程完成時�����,新節(jié)點230向第一節(jié) 點210-1通知認證或EAP成功(步驟S280),以及對于第一節(jié)點210-1 執(zhí)行無線連接過程(即握手)(步驟S2卯)。在該分布式認證方案中��,需要第一節(jié)點210-1和新節(jié)點230具有 對方的認證信息����。然而��,各個節(jié)點使用的各種類型的認證算法增加了 節(jié)點用于處理認證算法的負載����,同時產(chǎn)生了如何共享認證信息的實際 問題����。圖6是示出了根據(jù)本發(fā)明示例性實施例在無線網(wǎng)格網(wǎng)絡中的認證 流的流圖。參照圖6��,當新節(jié)點230新近進入無線網(wǎng)格網(wǎng)絡250時����,它將 EAPOL啟動消息傳輸給相鄰的第一節(jié)點210-1,以請求網(wǎng)絡連接(步 驟S300)��。當從新節(jié)點230處接收到EAPOL啟動消息時�����,第一節(jié)點210-1 執(zhí)行與同認證服務器100連接的主節(jié)點220的安全連接�����,從而提供安 全路徑,(步驟S310),以及主節(jié)點220與所連接的認證服務器IOO進 行安全連接(步驟S320)��。
在新節(jié)點230通過由第一節(jié)點210-1和主節(jié)點220提供的安全路 徑與認證服務器100連接時�����,新節(jié)點230將用戶身份信息傳輸至認證 服務器100���,該認證服務器100然后執(zhí)行初始認證過程(即EAP認證) 來驗證新節(jié)點230的用戶身份信息(步驟S330)��。當驗證了新節(jié)點230的用戶身份信息時�����,認證服務器100執(zhí)行允 許新節(jié)點230與無線網(wǎng)格網(wǎng)絡連接的協(xié)商過程(即4路握手)(步驟 S340)�。當驗證了新節(jié)點230的用戶身份信息時����,認證服務器100將無線 網(wǎng)格網(wǎng)絡250的各個節(jié)點210-1、 210-2����、 210-3的認證信息傳輸?shù)叫?節(jié)點230。新節(jié)點230存儲在初始認證過程中接收到的認證信息���,其中認證 服務器100驗證用戶身份信息�����,以及當與認證服務器100的初始認證 過程完成時���,新節(jié)點230將EAPOL啟動消息傳輸至相鄰第一節(jié)點 210-1,以請求網(wǎng)絡連接(步驟S350)���。作為對接收EAPOL啟動消息的肯定應答�,第一節(jié)點210-1將包 括認證信息的請求/身份消息傳輸至新節(jié)點230 (步驟S360)���。然后�,新節(jié)點230基于第一節(jié)點210-1的所接收到的認證信息來 執(zhí)行逐跳認證過程(步驟S370)�。新節(jié)點230也通過將EAP成功消息傳輸給第一節(jié)點210-1來通知 第一節(jié)點210-1:成功地完成了對于第一節(jié)點210-1的認證過程(步驟 S380)。新節(jié)點230然后與第一節(jié)點210-1進行無線連接過程(握手)(步 驟S390)�����。然后�����,第一節(jié)點210-1將EAPOL啟動消息傳輸給新節(jié)點230,以 請求網(wǎng)絡連接(步驟S400)�,從新節(jié)點230處接收包括認證信息的請 求/身份消息(步驟S410),以及對于新節(jié)點230執(zhí)行逐跳認證過程(步 驟S420)�。在對于新節(jié)點230的逐跳認證過程成功完成時,第一節(jié)點210-1 向新節(jié)點230通知認證或EAP成功(步驟S430)��,以及執(zhí)行無線連接 或握手過程(步驟S440)��。
圖7是示出了根據(jù)本發(fā)明示例性實施例的在無線網(wǎng)格網(wǎng)絡中的認 證方法的流程圖����。參照圖7,對于無線網(wǎng)格網(wǎng)絡250的節(jié)點執(zhí)行認證的認證服務器 IOO存儲節(jié)點的認證信息和用戶身份信息(步驟S500)����。無線網(wǎng)格網(wǎng)絡250的節(jié)點存儲與認證服務器連接的主節(jié)點220的 身份信息(例如路徑信息和位置信息)(步驟S510)。新近進入無線網(wǎng)格網(wǎng)絡250的新節(jié)點230選擇用于無線連接的相 鄰節(jié)點(步驟S520)���。例如���,新節(jié)點230基于更早掃描或交換信號的更 高強度選擇節(jié)點(例如第一節(jié)點210-1)。新節(jié)點230將包括用戶身份信息的初始認證請求消息傳輸至第一 節(jié)點210-1 (步驟S530)��。當從新節(jié)點230處接收到初始認證請求消息時,第一節(jié)點210基于 所存儲的主節(jié)點220的身份信息來提供安全路徑�����,該安全路徑允許將從 第一節(jié)點210-1處接收到的初始認證請求消息傳輸至認證服務器100 (步驟S540)���。認證服務器100基于包括在從新節(jié)點處接收到的初始認證請求消 息中的用戶身份信息來執(zhí)行初始認證過程,辨別是否對新節(jié)點230進行 了驗證(步驟S550)���。因此�,認證服務器100可以通過執(zhí)行初始認證過程���,獲得與無線 網(wǎng)格網(wǎng)絡250的節(jié)點有關的初始可靠性�����。認證服務器100也可以通過基 于所驗證的節(jié)點的用戶身份信息執(zhí)行初始認證過程����,來防止惡意節(jié)點 進入無線網(wǎng)格網(wǎng)絡250���。在初始認證過程中����,認證服務器100將無線網(wǎng)格網(wǎng)絡250的各個節(jié) 點210-1、 210-2�����、 210-3的認證信息傳輸至新節(jié)點230 (步驟S560)����。因此,無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1�����、 210-2����、 210-3可以不斷地 從認證服務器100處接收與相鄰節(jié)點進行逐跳認證過程所必需的認證 信息,因而可以在分布式認證方案中快速地執(zhí)行逐跳認證過程�����。此外����, 因為認證服務器100將認證信息分布至節(jié)點210-1�����、 210-2����、 210-3����,所以可以簡單地實現(xiàn)認證信息的分布(共享)����。當完成與認證服務器100的初始認證過程時,新節(jié)點230將逐跳認
證請求消息傳輸至相鄰的第一節(jié)點210-1 (步驟S570)�����。在接收到逐跳認證請求消息時���,第一節(jié)點210-1將包括認證消息的 肯定應答消息傳輸至新節(jié)點230 (步驟S580)�。新節(jié)點230基于從第一節(jié)點210-1處接收到的認證信息和從認證服 務器100處接收到的認證信息來執(zhí)行逐跳認證過程(步驟S590)�。然后,為了不斷地與新節(jié)點230確認認證�����,第一節(jié)點210-1將逐跳 認證請求消息傳輸至新節(jié)點230 (步驟S600)。新節(jié)點230在從第一節(jié)點210-1處接收到逐跳認證請求消息時�,將 包括從認證服務器100處接收到的認證信息的肯定應答消息傳輸至第 一節(jié)點210-1 (步驟S610)。然后��,第一節(jié)點210-1基于包括在從新節(jié)點230處接收到的肯定應 答消息中的認證信息���、以及從認證服務器100處接收到的認證信息���,對 于新節(jié)點230執(zhí)行逐跳認證過程(步驟S620)。盡管本發(fā)明對于例如在節(jié)點210-1�����、 210-2�、 210-3新近進入無線網(wǎng) 格網(wǎng)絡250中時用于對無線網(wǎng)格網(wǎng)絡250的節(jié)點210-1、 210-2�����、 210-3進 行認證(驗證)的認證服務器100或主節(jié)點220做出了詳細描述�����,但是 本發(fā)明可以采取其它裝置來對新近進入的節(jié)點進行認證。此外���,盡管本發(fā)明對于例如根據(jù)EAPOL執(zhí)行的認證過程做出了詳 細描述��,但是本發(fā)明可以采取其它方法來執(zhí)行認證過程���。如上所述的,本發(fā)明允許在認證服務器和新節(jié)點之間對于新近進 入無線網(wǎng)格網(wǎng)絡的節(jié)點執(zhí)行初始認證過程����,從而在認證過程中使時間 損失最小化。此外�,由于認證服務器允許節(jié)點通過初始認證過程共享無線網(wǎng)格 網(wǎng)絡的節(jié)點的認證信息�����,所以可以克服和認證信息共享相關聯(lián)的逐跳 認證的問題�����。此外��,由于認證服務器基于所驗證的節(jié)點的用戶身份信息來執(zhí)行 初始認證過程�,所以可以防止惡意節(jié)點進入無線網(wǎng)格網(wǎng)絡���。盡管結合優(yōu)選的實施例示出和描述了本發(fā)明,但是顯而易見的 是�,本領域技術人員可以在不偏離所附權利要求所限定的本發(fā)明的精 神和范圍內對本發(fā)明做出修改和變化。
權利要求
1.一種無線網(wǎng)格網(wǎng)絡�,包括多個節(jié)點;以及認證服務器��,用于對于無線網(wǎng)格網(wǎng)絡的節(jié)點執(zhí)行初始認證過程�����,每一個節(jié)點與相鄰節(jié)點進行逐跳認證過程��;其中認證服務器基于從節(jié)點處接收到的用戶身份信息執(zhí)行初始認證過程��,以及將無線網(wǎng)格網(wǎng)絡的認證信息傳輸?shù)焦?jié)點中的一個驗證后的節(jié)點����,以及其中新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點將用戶身份信息傳輸至認證服務器,以及基于從認證服務器接收到的認證信息執(zhí)行逐跳認證過程���。
2. 如權利要求1所述的無線網(wǎng)格網(wǎng)絡�����,其中認證服務器存儲所驗 證的節(jié)點的用戶身份信息和認證信息��,以及基于從節(jié)點處接收到的用戶身份信息和所存儲的用戶身份信息執(zhí)行初始認證過程����。
3. 如權利要求l所述的無線網(wǎng)格網(wǎng)絡,其中新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點根據(jù)預設條件選擇要與之無線連接的相鄰節(jié)點�����,以及 將初始認證請求消息傳輸至所迷相鄰節(jié)點�。
4. 如權利要求3所述的無線網(wǎng)格網(wǎng)絡,其中所述新近進入無線網(wǎng) 格網(wǎng)絡的每一個節(jié)點存儲與認證服務器建立安全路徑所必需的路徑信 息�,以及響應來自相鄰節(jié)點的初始認證請求消息,提供允許所述相鄰 節(jié)點執(zhí)行與認證服務器安全連接的安全路徑���。
5. 如權利要求l所述的無線網(wǎng)格網(wǎng)絡,其中根據(jù)安全套接字層�����、 傳輸層安全���、公共密鑰基礎結構����、IP安全、可擴展認證協(xié)議�、由IEEE 802.11x所定義的認證算法、以及由IEEE 802.1U所定義的認證算法中的一個來設置認證信息�。
6. 如權利要求l所述的無線網(wǎng)格網(wǎng)絡,其中每一個節(jié)點包括無線連接器����,用于與相鄰節(jié)點無線連接;存儲器�,用于存儲從認證服務器處接收到的認證信息和用戶身份信息;以及認證處理器���,所述認證處理器響應進入無線網(wǎng)格網(wǎng)絡的模式�,用 于將存儲在存儲器中的用戶身份信息傳輸至認證服務器�,從而執(zhí)行初 始認證過程,以及用于基于從認證服務器處接收到的認證信息����,與相 鄰節(jié)點進行逐跳認證過程。
7. —種無線網(wǎng)格網(wǎng)絡�,包括 多個節(jié)點;以及主節(jié)點,用于存儲驗證以進入無線網(wǎng)格網(wǎng)絡的節(jié)點的用戶身份信 息和認證信息�,以及用于基于從節(jié)點處接收到的預設用戶身份信息和 所存儲的用戶身份信息來執(zhí)行初始認證過程,其中進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點將預設用戶身份信息傳輸?shù)?主節(jié)點�,從而執(zhí)行初始認證過程,以及從而基于從主節(jié)點處接收到的 認證信息�����,與相鄰節(jié)點進行逐跳認證過程���。
8. 如權利要求7所述的無線網(wǎng)格網(wǎng)絡�,其中主節(jié)點包括 認證存儲器��,用于將用戶身份信息和認證算法集的認證信息存儲在認證服務器中��;以及認證處理器��,用于基于從節(jié)點接收到的用戶身份信息和在認證存 儲器中存儲的用戶身份信息來執(zhí)行初始認證過程���,以及用于將存儲在 存儲器中的用戶身份信息傳輸至節(jié)點中相應的一個�。
9. 一種無線網(wǎng)格網(wǎng)絡中的認證方法�����,包括以下步驟在認證器處�,存儲驗證以進入無線網(wǎng)格網(wǎng)絡的多個節(jié)點的用戶身份信息和認證信息;在認證器處��,基于從新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處接收 到的用戶身份信息和所存儲的用戶身份信息���,來執(zhí)行初始認證過程�; 以及在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�,存儲從認證器處 接收到的認證信息,以及基于從認證器處接收到的認證信息����,對相鄰 節(jié)點執(zhí)行逐跳認證過程。
10. 如權利要求9所述的認證方法�,還包括以下步驟 在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處,存儲在通過主節(jié)點連接認證器時主節(jié)點的路徑信息�;以及,在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�����,響應來自相鄰節(jié) 點的初始認證請求����,提供允許所述相鄰節(jié)點來執(zhí)行與認證器的安全連 接的安全路徑。
11. 如權利要求9所述的認證方法,還包括以下步驟 在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�����,根據(jù)預設條件選擇要與之無線連接的相鄰節(jié)點���;在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處��,將包括用戶身份 信息的初始認證請求消息傳輸至相鄰節(jié)點��;以及在所述相鄰節(jié)點處���,通過安全路徑將初始認證請求消息傳輸至認 證器。
12. 如權利要求9所述的認證方法���,其中執(zhí)行逐跳認證過程的步驟包括在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處����,將逐跳認證請求消息傳輸至相鄰節(jié)點���;以及�����,在所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點處�����,基于包括在從相 鄰節(jié)點處接收到的肯定應答消息中的認證信息和從認證器處接收到的 認證信息���,來執(zhí)行逐跳認證過程。
13. 如權利要求9所述的認證方法�,初始認證過程是集中式認證方 案,其中認證器對于節(jié)點執(zhí)行認證過程���。
14. 如權利要求9所述的認證方法�,其中逐跳認證過程是分布式認 證方案���,其中所述新近進入無線網(wǎng)格網(wǎng)絡的每一個節(jié)點對于相鄰節(jié)點 執(zhí)行認證過程����。
全文摘要
在用于無線網(wǎng)格網(wǎng)絡中的節(jié)點的認證設備及其方法中�,認證服務器對于進入無線網(wǎng)格網(wǎng)絡的新節(jié)點執(zhí)行初始認證過程,以及基于服務器提供的認證信息����,在新節(jié)點和相鄰節(jié)點之間執(zhí)行在新節(jié)點和相鄰節(jié)點之間執(zhí)行逐跳認證過程����。結果���,服務器不需要參與到逐跳認證過程中���。此外,快速地對于新節(jié)點執(zhí)行初始認證過程�,并克服與認證信息共享相關聯(lián)的逐跳認證的問題。此外��,可以防止任何惡意節(jié)點進入無線網(wǎng)格網(wǎng)絡�����。
文檔編號H04L9/30GK101155029SQ20071014857
公開日2008年4月2日 申請日期2007年8月29日 優(yōu)先權日2006年9月28日
發(fā)明者旭 崔, 崔孝賢, 樸容奭, 庸 李 申請人:三星電子株式會社