一種雙向動態(tài)無中心鑒權的安全接入認證方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡認證技術領域�����,尤其涉及一種雙向動態(tài)無中心鑒權的安全接入認證方法。
【背景技術】
[0002]在網(wǎng)絡安全中�����,身份認證技術作為第一道����,甚至是最重要的一道防線���,有著重要地位����,可靠的身份認證技術可以確保信息只被正確的“人”所訪問�����。身份認證技術提供了關于某個人或某個事物身份的保證�����,這意味著當某人(或某事)聲稱具有一個特別的身份時���,認證技術將提供某種方法來證實這一聲明是正確的��。
[0003]目前使用比較多的是用戶與系統(tǒng)間的身份認證��,它只需單向進行�,只由系統(tǒng)對用戶進行身份驗證。
[0004]常用的網(wǎng)絡接入認證機制包括:靜態(tài)口令認證機制是一種單因素的認證���,安全性僅依賴于口令���,口令一旦泄露,用戶即可被冒充�;同時易被攻擊,采用窺探�����、字典攻擊����、窮舉嘗試、網(wǎng)絡數(shù)據(jù)流竊聽����、重放攻擊等很容易攻破該認證系統(tǒng);動態(tài)口令認證機制�,也采用單向的認證機制���,新用戶容易被吸入非法網(wǎng)絡���,而使新節(jié)點不能進行正常為網(wǎng)絡服務;挑戰(zhàn)/響應方式的身份認證機制就是每次認證時認證服務器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”碼,客戶端程序收到這個“挑戰(zhàn)”碼�,根據(jù)客戶端和服務器之間共享的密鑰信息����,以及服務器端發(fā)送的“挑戰(zhàn)”碼做出相應的“應答”,存在于動態(tài)口令認證機制相同的風險��;EAP(Extensible Authenticat1n Protocol)擴展認證協(xié)議在RFC2248中定義�����,是一個普遍使用的認證機制�,它常被用于無線網(wǎng)絡或點到點的連接中。EAP實際是一個認證框架�����,不是一個特殊的認證機制。EAP提供一些公共的功能�����,并且允許協(xié)商所希望的認證機制����。
[0005]公鑰認證機制中要驗證用戶的身份,必須擁有用戶的公鑰��,而用戶公鑰是否正確���,是否是所聲稱擁有人的真實公鑰����,在認證體系中是一個關鍵問題���。常用的辦法是找一個值得信賴而且獨立的第三方認證機構充當認證中心(Certificate Authority�,CA)�,來確認聲稱擁有公開密鑰的人的真正身份。
[0006]在安全性要求越來越高的專用網(wǎng)絡通信系統(tǒng)中�����,應克服上述認證機制中口令單一易被攻擊,單向認證中新用戶被吸入非法網(wǎng)絡����,需要第三方進行驗證信用戶的身份等的缺陷,為專網(wǎng)網(wǎng)絡設置更加安全的第一道屏障�����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明提供一種雙向動態(tài)無中心鑒權的安全接入認證方法����,能夠進行雙向動態(tài)鑒權,網(wǎng)絡的靈活性和抗攻擊性高�����。
[0008]本發(fā)明是通過以下技術方案實現(xiàn):
[0009 ] 一種雙向動態(tài)無中心鑒權的安全接入認證方法����,其包括以下步驟:
[0010]步驟I����,新節(jié)點在發(fā)送入網(wǎng)請求時,本地產(chǎn)生隨機數(shù)radom_n���,與原始密鑰K作為加密算法F(X���,y)的參數(shù)獲得F(K�����,radom_n)���,并計算出結果Node-Aut-C保存,并在入網(wǎng)請求消息中攜帶radom_n和參考節(jié)點ID�,發(fā)送給網(wǎng)內(nèi)節(jié)點;
[0011]其中���,參考節(jié)點為新節(jié)點隨機選擇的在網(wǎng)的任意一個節(jié)點�����,所述新節(jié)點在初始化時得到要加入網(wǎng)絡的公用的初始密鑰K��,而加密算法F(x�,y)固化在新節(jié)點本地代碼中����;
[0012]步驟2�,網(wǎng)內(nèi)節(jié)點收到入網(wǎng)請求消息后�����,根據(jù)其攜帶的參考節(jié)點ID確定自身是否為參考節(jié)點����,若不為參考節(jié)點,則不進行處理�,若為參考節(jié)點則執(zhí)行步驟3;
[0013]步驟3,參考節(jié)點產(chǎn)生隨機數(shù)radom_c����,與原始密鑰K作為網(wǎng)內(nèi)加密算法f(x,y)的參數(shù)獲得f (K�,radom_c),并計算出結果Network_Aut_C保存����;同時利用入網(wǎng)請求消息中的隨機數(shù)radom_n與原始密鑰K作為加密算法f(x�,y)的參數(shù)獲得f(K,radom_n)�����,并計算出結果Node-Aut-1作為鑒權值,在認證請求消息中攜帶radom_(^PNode-Aut-1�,發(fā)送給申請入網(wǎng)的新節(jié)點;
[OOM] 步驟4���,新節(jié)點收到認證請求消息后���,先將Node-Aut-1與本地保存的Node-Aut-C進行比較,如果二者相同����,則說明參考節(jié)點為合法的參考節(jié)點,參考節(jié)點通過新節(jié)點對它的認證;然后新節(jié)點將K與radom_c作為加密算法F(x��,y)的參數(shù)獲得函數(shù)F(K��,radom_c)��,并計算出結果Network-Aut-1����,將Network-Aut-1攜帶在認證響應消息中發(fā)送給參考節(jié)點;
[0015]步驟5��,參考節(jié)點收到認證響應消息后�,將其中的N e t w ο r k - A u t -1與本地的Network-Aut-C進行比較����,如果二者相同����,則說明新節(jié)點合法,新節(jié)點通過參考節(jié)點的認證���,然后參考節(jié)點回復新節(jié)點入網(wǎng)成功響應消息;否則��,回復新節(jié)點入網(wǎng)失敗響應消息�;
[0016]步驟6����,若新節(jié)點收到入網(wǎng)成功響應消息,則完成雙向動態(tài)鑒權�,新節(jié)點入網(wǎng)成功;若新節(jié)點收到入網(wǎng)失敗響應消息�����,則新節(jié)點入網(wǎng)失敗���,不能加入網(wǎng)絡���。
[0017]與現(xiàn)有的技術相比,本發(fā)明的有益效果是:
[0018]本發(fā)明結合雙向和動態(tài)的認證機制的優(yōu)點���,同時保證了網(wǎng)絡和新接入節(jié)點雙方的安全�。具體包括如下幾方面:
[0019]1.采用雙向認證的機制�,不僅新接入節(jié)點需要被認證,認證參考節(jié)點同時需要被新節(jié)點認證����,新節(jié)點入網(wǎng)請求時僅僅發(fā)送的是隨機產(chǎn)生的隨機數(shù),參考節(jié)點認證時僅僅發(fā)送的也是算法結果和隨機數(shù)�����,公共秘鑰和加密算法均不在空口傳輸�����,每次認證過程中隨機產(chǎn)生認證隨機數(shù)不同�����,進一步提高接入時身份認證的安全性�;
[0020]2.無認證的中心節(jié)點���,任何已經(jīng)經(jīng)過認證入網(wǎng)的節(jié)點均可被選取作為入網(wǎng)認證的參考節(jié)點,若在網(wǎng)的任意節(jié)點出現(xiàn)故障或被攻擊�,則其他在網(wǎng)也能作為入網(wǎng)請求的參考節(jié)點,提高了網(wǎng)絡的靈活性和抗攻擊性��;
[0021]3.采用動態(tài)的一次性認證數(shù)據(jù)(隨機數(shù)和算法結果)����,每次提交的認證數(shù)據(jù)不同,提高認證過程的安全性���。
【附圖說明】
[0022]圖1為雙向動態(tài)無中心鑒權的安全接入認證方法示意圖��。
【具體實施方式】
[0023]為了使本發(fā)明的目的�����、技術方案及優(yōu)點更加清楚明白�,以下結合附圖及實施例��,對本發(fā)明進