專利名稱:一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬信息安全技術(shù)中的無線網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域����,尤其涉及一低開銷的種傳感 器網(wǎng)絡(luò)訪問控制方法及系統(tǒng)。
背景技術(shù):
無線傳感器網(wǎng)絡(luò)由大量具有感知能力的節(jié)點構(gòu)成����,以ad-hoc方式自組成網(wǎng),為用 戶提供數(shù)據(jù)的收集�����、處理、傳輸?shù)确?wù)��。訪問控制機制用于保護傳感器網(wǎng)絡(luò)數(shù)據(jù)����,禁止非法 用戶的訪問,控制合法用戶的訪問權(quán)限���,是傳感器網(wǎng)絡(luò)的基本安全服務(wù)之一?����,F(xiàn)有的傳感器網(wǎng)絡(luò)訪問控制方法中��,對于要求有訪問控制器在線參與的情形����,在 傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點收到用戶的訪問請求后����,即展開對用戶身份的認證,并且通 常是通過傳感器網(wǎng)絡(luò)中其他的節(jié)點轉(zhuǎn)發(fā)用戶的認證信息至訪問控制器,由訪問控制器對用 戶的身份進行認證�����,并將認證結(jié)果以及相應(yīng)的授權(quán)信息在經(jīng)過中間節(jié)點轉(zhuǎn)發(fā)至目的訪問節(jié) 點����,以此實現(xiàn)對網(wǎng)絡(luò)用戶的訪問控制。這種傳感器網(wǎng)絡(luò)訪問控制方法���,在有大量用戶頻繁訪 問網(wǎng)絡(luò)時將造成網(wǎng)絡(luò)中轉(zhuǎn)發(fā)節(jié)點產(chǎn)生大量的通信開銷�����,對于節(jié)點資源嚴格受限的傳感器網(wǎng) 絡(luò)��,這種方法將很快耗盡某些網(wǎng)絡(luò)節(jié)點的資源�,極大影響網(wǎng)絡(luò)的使用成本和壽命�����。而傳感器 網(wǎng)絡(luò)用戶通常情況下是資源不受限的��,如筆記本電腦��、PDA等����。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問題,本發(fā)明提出一種不需要傳感器網(wǎng)絡(luò)中 的其他節(jié)點參與認證過程的�����、低開銷的傳感器網(wǎng)絡(luò)訪問控制方法及系統(tǒng)�����。本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方 法�,其特殊之處在于所述低開銷的傳感器網(wǎng)絡(luò)訪問控制方法包括以下步驟1)用戶User向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送用戶認證請求消息;2)目的訪問節(jié)點DN收到步驟1)發(fā)來的用戶認證請求消息后向用戶User發(fā)送用 戶認證響應(yīng)消息��;3)用戶User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消息構(gòu)造節(jié)點認證請求消息發(fā)送給 訪問控制器AC;4)訪問控制器AC根據(jù)認證結(jié)果向用戶User發(fā)送節(jié)點認證響應(yīng)消息����;5)用戶User根據(jù)從訪問控制器AC收到的節(jié)點認證響應(yīng)消息構(gòu)造訪問請求消息發(fā) 送給目的訪問節(jié)點DN;6)目的訪問節(jié)點DN對用戶User的訪問請求進行授權(quán)管理并發(fā)送訪問請求響應(yīng)消 息給用戶User。上述步驟1)的具體實現(xiàn)方式是用戶User在向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送訪問請求之前���,首先向傳感 器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送認證請求消息���,所述認證請求消息包含用戶User產(chǎn)生的 詢問N10
上述步驟2)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的認證請求后,產(chǎn)生詢問N2,并利用與訪問控制器 AC之間的共享密鑰Kac, dn計算EI\ = E (Kac, dn�����,N:)���,將& | | N21 | EI\作為認證響應(yīng)消息發(fā)送給 用戶User���,其中,E為對稱加密算法�����。上述步驟3)的具體實現(xiàn)方式是用戶User收到目的訪問節(jié)點DN的用戶認證響應(yīng)消息后�,首先判斷消息中的詢問 K是否是用戶User選擇的詢問,若不是�,直接丟棄該響應(yīng)消息;若是��,則利用與訪問控制 器AC之間的共享密鑰Kac,Usct計算ET2 = 6 0^,11_^1)�,計算消息鑒別碼肌(1 = H(KAC,User, NJ |IDdn| |ETJ |ET2)���,構(gòu)造節(jié)點認證請求消息…|IDdn| |ETJ |ET2 IMIQ發(fā)送給訪問控制器 AC��,其中��,IDdn是目的訪問節(jié)點DN的身份標識�,H為單向哈希函數(shù),E為對稱加密算法�����。上述步驟4)的具體實現(xiàn)方式是訪問控制器AC收到用戶User的節(jié)點認證請求消息后��,首先根據(jù)MIQ判斷消息的 完整性��,若不完整���,丟棄該消息���;若完整,利用與目的訪問節(jié)點DN之間的共享密鑰KAe,DN解密 EI\����,若解密后得到的&與用戶User在步驟3)中發(fā)送的R不相等,訪問控制器AC構(gòu)造節(jié)點 認證響應(yīng)消息Nj |IDdn| Res (DN) | |MIC2發(fā)送給用戶User�,其中,Res (DN) = Failure�,表示 訪問控制器AC對目的訪問節(jié)點DN鑒別失敗�,其中MIQ:^!^,—���," |IDdn| Res(DN))��;若 解密后得到的K與用戶User在步驟3)中發(fā)送的R相等��,訪問控制器AC利用與用戶User 共享的密鑰KAe,UsCT解密ET2���,若解密后得到的&與用戶User在步驟3)中發(fā)送的R不相等, 終止鑒別����;若解密后得到的K與用戶User在步驟3)中發(fā)送的R相等,訪問控制器AC生 成用戶User和目的訪問節(jié)點DN間的會話密鑰KDN,UsCT��,并根據(jù)用戶User的身份標識查詢訪 問控制列表ACL�����,獲得用戶User的訪問控制信息ACLUse,�����,連同User的訪問期限Tv��,利用KAC, dn 計算 ET3 — E (Kac����,dn,IDUser | | Kdn�����,User I I Tv | | ACLUser)��,并禾1J用 KAC����,User 計算 ET4 — E (KAC,User�,KDN, UsJ����,計算消息鑒別碼 MIC2 = H(KACjUser, Nj |IDdn| Res (DN) | |ET3| | ET4),構(gòu)造節(jié)點認證響應(yīng) 消息 Nj |IDdn| Res (DN) | |ET3| |ET4| |MIC2 發(fā)送給用戶 User����,其中,Res(DN) = True 表示訪 問控制器AC對目的訪問節(jié)點DN鑒別成功����,IDdn是目的訪問節(jié)點DN的身份標識�����,H為單向 哈希函數(shù)��,E為對稱加密算法���。上述步驟5)的具體實現(xiàn)方式是用戶User收到訪問控制器AC的節(jié)點認證響應(yīng)消息后,首先判斷詢問R是否是 用戶User選擇的詢問��,若不是����,丟棄該響應(yīng)消息;若是����,根據(jù)MIC2判斷消息的完整性;若 不完整����,丟棄該消息;若完整,用戶User根據(jù)Res(DN)判斷目的訪問節(jié)點DN的合法性��,若 Res (DN) = Failure���,表示目的訪問節(jié)點DN非法�,用戶User終止訪問��;若Res (DN) = True, 用戶User解密消息中的ET4�����,產(chǎn)生詢問N3��,連同目的訪問節(jié)點DN的詢問N2以及用戶User 的訪問請求QUsct利用剛才解密后獲得的��、與目的訪問節(jié)點間的會話密鑰Kdn, User計算ET5 = E(KDNjUser, N2 N3 |QUsJ����,計算消息鑒別碼 MIC3 = H(KDNjUser, ET3 | ET5)�����,構(gòu)造訪問請求消息 ET3| |ET5 |MIC3發(fā)送給目的訪問節(jié)點DN�,其中,H為單向哈希函數(shù)��,E為對稱加密算法。上述步驟6)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的訪問請求后��,首先解密ET3����,獲得會話密鑰KDN, USCT,根據(jù)MIC3判斷消息完整性�,若不完整,終止訪問���;若完整��,利用Kdn,Usct解密ET5��,判斷解密 后得到的詢問N2是否目的訪問節(jié)點DN選擇的詢問N2����,若不是��,終止訪問�;若是,再確認解密6!~5后獲得的IDUSCT是否請求訪問的用戶User的身份標識���,若不是�����,終止訪問�����;若是��,記錄當 前時刻Tc��,從���!^到(Tc+Tv)這段時間即為用戶User的訪問有效期,用戶只能在此有效期內(nèi)訪 問網(wǎng)絡(luò)數(shù)據(jù)�,目的訪問節(jié)點DN根據(jù)ACLUsct判斷用戶User的訪問請求QUsCT是否合法,若不合 法�,終止訪問;若合法�����,生成應(yīng)答數(shù)據(jù)RDN���,連同N3利用Kdn,Usct計算ET6 = E (KDN,User, N31 | Rdn)���, 計算消息鑒別碼MIC4 = H (KDN,User, ET6)�����,構(gòu)造訪問請求響應(yīng)消息ET61 | MIC4發(fā)送給用戶User�����, 其中�,H為單向哈希函數(shù)�,E為對稱加密算法。上述低開銷的傳感器網(wǎng)絡(luò)訪問控制方法還包括用戶User收到請求響應(yīng)消息后��,首先根據(jù)MIC4判斷消息完整性�,若不完整,丟棄 該消息��;若完整��,利用Kdn,Usct解密ET6����,判斷解密得到的詢問N3是否是用戶User選擇的詢問 N3���,若不是,丟棄該消息����;若是,用戶User保存應(yīng)答數(shù)據(jù)RDN����,后續(xù)用戶User與目的訪問節(jié)點 DN之間的訪問請求和應(yīng)答數(shù)據(jù)均利用Kdn, User加以保護。一種低開銷的傳感器網(wǎng)絡(luò)訪問控制系統(tǒng)�����,其特殊之處在于所述低開銷的傳感器 網(wǎng)絡(luò)訪問控制系統(tǒng)包括用戶User�����、目的訪問節(jié)點DN以及訪問控制器AC ���;所述用戶User向 目的訪問節(jié)點DN發(fā)送用戶認證請求消息;所述目的訪問節(jié)點DN收到用戶認證請求消息后 向用戶User發(fā)送用戶認證響應(yīng)消息�;所述用戶User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消 息構(gòu)造節(jié)點認證請求消息發(fā)送給訪問控制器AC ;所述訪問控制器AC根據(jù)認證結(jié)果向用戶 User發(fā)送節(jié)點認證響應(yīng)消息�����;所述用戶User根據(jù)從訪問控制器AC收到的節(jié)點認證響應(yīng)構(gòu) 造訪問請求消息發(fā)送給目的訪問節(jié)點DN ;所述目的訪問節(jié)點DN對用戶User的訪問請求進 行授權(quán)管理并發(fā)送訪問請求響應(yīng)消息給用戶User���。本發(fā)明的優(yōu)點是本發(fā)明提出一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方法��,在傳感器 網(wǎng)絡(luò)中的目的訪問節(jié)點認證用戶的過程中���,由用戶轉(zhuǎn)發(fā)目的訪問節(jié)點和訪問控制器之間的 認證信息,然后由目的訪問節(jié)點對用戶進行授權(quán)管理�����,不需要傳感器網(wǎng)絡(luò)中的其他節(jié)點參 與認證過程����,從而避免網(wǎng)絡(luò)中的節(jié)點因轉(zhuǎn)發(fā)用戶和目的訪問節(jié)點間的認證信息而產(chǎn)生通信 開銷,有效節(jié)約了節(jié)點的資源����,實現(xiàn)一種輕量級和高效的訪問控制,尤其對于存在大量用戶 頻繁訪問的傳感器網(wǎng)絡(luò)���,能夠增加網(wǎng)絡(luò)的壽命�,降低使用成本。
圖1為本發(fā)明所提供的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法的流程圖�。
具體實施例方式參見圖1,本發(fā)明提供了一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方法�����,在協(xié)議運行前���, 用戶User和訪問控制器AC之間���、目的訪問節(jié)點DN和訪問控制器AC之間均已共享密鑰,根 據(jù)本發(fā)明的優(yōu)選實施例�,該方法包括以下步驟1)用戶User向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送用戶認證請求消息;2)目的訪問節(jié)點DN向用戶User發(fā)送用戶認證響應(yīng)消息����;3)用戶User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消息構(gòu)造節(jié)點認證請求消息發(fā)送給 訪問控制器AC;4)訪問控制器AC根據(jù)認證結(jié)果向用戶User發(fā)送節(jié)點認證響應(yīng)消息;5)用戶User根據(jù)從訪問控制器AC收到的節(jié)點認證響應(yīng)消息構(gòu)造訪問請求消息發(fā)送給目的訪問節(jié)點DN;6)目的訪問節(jié)點DN對用戶User的訪問請求進行授權(quán)管理����,若合法則發(fā)送訪問請 求響應(yīng)消息給用戶User��。上述步驟1)的具體實現(xiàn)方式是用戶User在向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送訪問請求之前���,首先向其發(fā) 送認證請求消息���,其中包含用戶User產(chǎn)生的詢問&����。上述步驟2)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的認證請求后��,產(chǎn)生詢問N2��,并利用與訪問控制器 AC之間的共享密鑰Kac, dn計算EI\ = E (Kac, dn��,N:)�,然后將& | | N21 | EI\作為認證響應(yīng)消息發(fā) 送給用戶User。其中E為一種對稱加密算法�����,下同����。上述步驟3)的具體實現(xiàn)方式是用戶User收到目的訪問節(jié)點DN的用戶認證響應(yīng)消息后,首先判斷消息中的 詢問&是否自己選擇的詢問��,若不是�����,直接丟棄該響應(yīng)消息;若是�,則利用與訪問控制器 AC之間的共享密鑰Kac, User計算ET2 = E (KACj User, N:),計算消息鑒別碼MIQ = H(KACj User, NJ |IDdn| |ETJ |ET2)��,構(gòu)造節(jié)點認證請求消息…|IDdn| |ETJ |ET2 IMIQ發(fā)送給訪問控制器 AC����。其中1~是目的訪問節(jié)點DN的身份標識,H為一種單向哈希函數(shù)��,下同�。上述步驟4)的具體實現(xiàn)方式是訪問控制器AC收到用戶User的節(jié)點認證請求消息后,首先根據(jù)MIQ判斷消息的 完整性�,若不完整,丟棄該消息����;若完整,利用與目的訪問節(jié)點DN之間的共享密鑰KAe,DN解密 EI\�,若解密后得到的&與用戶User在步驟3)中發(fā)送的R不相等,訪問控制器AC構(gòu)造節(jié)點 認證響應(yīng)消息Nj |IDdn| Res (DN) | |MIC2發(fā)送給用戶User�,其中���,Res (DN) = Failure����,表示 訪問控制器AC對目的訪問節(jié)點DN鑒別失敗,其中MIQ:^!^,—��," |IDdn| Res(DN))��;若 解密后得到的K與用戶User在步驟3)中發(fā)送的R相等�����,訪問控制器AC利用與用戶User 共享的密鑰KAe,UsCT解密ET2��,若解密后得到的&與用戶User在步驟3)中發(fā)送的R不相等����, 終止鑒別;若解密后得到的K與用戶User在步驟3)中發(fā)送的R相等�,訪問控制器AC生 成用戶User和目的訪問節(jié)點DN間的會話密鑰KDN,UsCT,并根據(jù)用戶User的身份標識查詢訪 問控制列表ACL�,獲得用戶User的訪問控制信息ACLUse,,連同User的訪問期限Tv��,利用KAC, dn 計算 ET3 — E (Kac,dn�����,IDUser | | Kdn�,User I I Tv | | ACLUser),并禾1J用 KAC���,User 計算 ET4 — E (KAC����,User����,KDN, UsJ�����,計算消息鑒別碼 MIC2 = H(KACjUser, Nj |IDdn| Res (DN) | |ET3| | ET4)��,構(gòu)造節(jié)點認證響應(yīng) 消息 | | IDdn I | Res (DN) | | ET31 | ET41 | MIC2 發(fā)送給用戶 User�����,其中 Res (DN) = True 表示訪問 控制器AC對目的訪問節(jié)點DN鑒別成功。上述步驟5)的具體實現(xiàn)方式是用戶User收到訪問控制器AC的節(jié)點認證響應(yīng)消息后���,首先判斷詢問R是否自 己選擇的詢問,若不是����,丟棄該響應(yīng)消息;若是����,根據(jù)MIC2判斷消息的完整性,若不完整�, 丟棄該消息;若完整�,用戶User根據(jù)Res (DN)判斷目的訪問節(jié)點DN的合法性,若Res (DN) =Failure�,表示目的訪問節(jié)點DN非法,用戶User終止訪問���;若Res(DN) = True�,用戶 User解密消息中的ET4����,產(chǎn)生詢問N3,連同目的訪問節(jié)點DN的詢問N2以及用戶User自己 的訪問請求QUsct利用剛才解密后獲得的、與目的訪問節(jié)點間的會話密鑰Kdn, User計算ET5 = E(KDNjUser, N2 N3 |QUsJ�����,計算消息鑒別碼 MIC3 = H(KDNjUser, ET3 | ET5)��,構(gòu)造訪問請求消息ET3| |ET5 |MIC3發(fā)送給目的訪問節(jié)點DN�����。上述步驟6)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的訪問請求后��,首先解密ET3�����,獲得會話密鑰KDN, USCT�����,根據(jù)MIC3判斷消息完整性�,若不完整,終止訪問��;若完整�,利用Kdn,Usct解密ET5�,判斷解密 后得到的詢問N2是否目的訪問節(jié)點DN自己選擇的詢問隊���,若不是��,終止訪問�����;若是,再確認 解密£!~5后獲得的IDUse,是否請求訪問的用戶User的身份標識�����,若不是�����,終止訪問����;若是,記 錄當前時刻Tc�����,從!^到(Tc+Tv)這段時間即為用戶User的訪問有效期��,用戶只能在此有效期 內(nèi)訪問網(wǎng)絡(luò)數(shù)據(jù)����。然后,目的訪問節(jié)點DN根據(jù)ACLUsct判斷用戶User的訪問請求QUsCT是否 合法����,若不合法,終止訪問��;若合法����,生成應(yīng)答數(shù)據(jù)RDN,連同N3利用Kdn,Usct計算ET6 = E (Kdn, Usct���,N3| |Rdn)�,計算消息鑒別碼MIC4 = H(Kdn,Usct��,ET6)�,構(gòu)造訪問請求響應(yīng)消息ET6| |MIC4發(fā)送 給用戶User。用戶User收到請求響應(yīng)消息后�,首先根據(jù)MIC4判斷消息完整性���,若不完整, 丟棄該消息���;若完整�,利用Kdn,Usct解密ET6���,判斷解密得到的詢問N3是否自己選擇的詢問N3���, 若不是��,丟棄該消息���;若是��,用戶User保存應(yīng)答數(shù)據(jù)Rdn����。后續(xù)用戶User與目的訪問節(jié)點DN 之間的訪問請求和應(yīng)答數(shù)據(jù)均利用Kdn,Usct加以保護�。本發(fā)明還提供了一種低開銷的傳感器網(wǎng)絡(luò)訪問控制系統(tǒng),該系統(tǒng)包括用戶User��、 目的訪問節(jié)點DN以及訪問控制器AC ;用戶User向目的訪問節(jié)點DN發(fā)送用戶認證請求消 息����;目的訪問節(jié)點DN收到用戶認證請求消息后向用戶User發(fā)送用戶認證響應(yīng)消息;用戶 User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消息構(gòu)造節(jié)點認證請求消息發(fā)送給訪問控制器AC �����; 訪問控制器AC根據(jù)認證結(jié)果向用戶User發(fā)送節(jié)點認證響應(yīng)消息����;用戶User根據(jù)從訪問控 制器AC收到的節(jié)點認證響應(yīng)消息構(gòu)造訪問請求消息發(fā)送給目的訪問節(jié)點DN ;目的訪問節(jié) 點DN對用戶User的訪問請求進行授權(quán)管理并發(fā)送訪問請求響應(yīng)消息給用戶User��。
權(quán)利要求
一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方法�����,其特征在于所述低開銷的傳感器網(wǎng)絡(luò)訪問控制方法包括以下步驟1)用戶User向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送用戶認證請求消息�;2)目的訪問節(jié)點DN收到步驟1)發(fā)來的用戶認證請求消息后向用戶User發(fā)送用戶認證響應(yīng)消息;3)用戶User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消息構(gòu)造節(jié)點認證請求消息發(fā)送給訪問控制器AC�����;4)訪問控制器AC根據(jù)認證結(jié)果向用戶User發(fā)送節(jié)點認證響應(yīng)消息�;5)用戶User根據(jù)從訪問控制器AC收到的節(jié)點認證響應(yīng)消息構(gòu)造訪問請求消息發(fā)送給目的訪問節(jié)點DN���;6)目的訪問節(jié)點DN對用戶User的訪問請求進行授權(quán)管理并發(fā)送訪問請求響應(yīng)消息給用戶User。
2.根據(jù)權(quán)利要求1所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法�����,其特征在于所述步驟1)的具體實現(xiàn)方式是用戶User在向傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點DN發(fā)送訪問請求之前�,首先向傳感器網(wǎng) 絡(luò)中的目的訪問節(jié)點DN發(fā)送認證請求消息,所述認證請求消息包含用戶User產(chǎn)生的詢問 N10
3.根據(jù)權(quán)利要求2所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法�,其特征在于所述步驟2)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的認證請求后,產(chǎn)生詢問N2,并利用與訪問控制器AC 之間的共享密鑰KAC, dn計算ET1 = E (KAC, dn��,N1)����,將N11 IN21 | ET1作為認證響應(yīng)消息發(fā)送給用 戶User�����,其中�����,E為對稱加密算法���。
4.根據(jù)權(quán)利要求3所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法�,其特征在于所述步驟3)的具體實現(xiàn)方式是用戶User收到目的訪問節(jié)點DN的用戶認證響應(yīng)消息后,首先判斷消息中的詢問N1 是否是用戶User選擇的詢問�,若不是,直接丟棄該響應(yīng)消息����;若是��,則利用與訪問控制器 AC之間的共享密鑰KAC, User計算ET2 = E (KAC, User, N1)�,計算消息鑒別碼MIC1 = H(KACJ User, N1I IIDdJ IET1 |ET2),構(gòu)造節(jié)點認證請求消息…|IDDN| IET1 IET2 IMIC1發(fā)送給訪問控制器 AC���,其中����,IDdn是目的訪問節(jié)點DN的身份標識�,H為單向哈希函數(shù),E為對稱加密算法�����。
5.根據(jù)權(quán)利要求4所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法,其特征在于所述步驟4)的具體實現(xiàn)方式是訪問控制器AC收到用戶User的節(jié)點認證請求消息后���,首先根據(jù)MIC1判斷消息的完整 性����,若不完整����,丟棄該消息;若完整�����,利用與目的訪問節(jié)點DN之間的共享密鑰KAC,DN解密ET1, 若解密后得到的N1與用戶User在步驟3)中發(fā)送的N1不相等�,訪問控制器AC構(gòu)造節(jié)點認 證響應(yīng)消息N11 IDdn Res (DN) | | MIC2發(fā)送給用戶User,其中����,Res (DN) = Failure,表示訪 問控制器AC對目的訪問節(jié)點DN鑒別失敗��,其中MIC2 = Hdu^N1I |IDdn| Res(DN))�;若解 密后得到的N1與用戶User在步驟3)中發(fā)送的N1相等�,訪問控制器AC利用與用戶User共 享的密鑰Ka。,Usct解密ET2,若解密后得到的N1與用戶User在步驟3)中發(fā)送的N1不相等,終 止鑒別�����;若解密后得到的N1與用戶User在步驟3)中發(fā)送的N1相等����,訪問控制器AC生成用戶User和目的訪問節(jié)點DN間的會話密鑰KDN,UsCT,并根據(jù)用戶User的身份標識查詢訪問控 制列表ACL�,獲得用戶User的訪問控制信息ACLusct,連同User的訪問期限Tv����,利用Kac,_計 算 ET3 — E (KAC,DN�����,IDuser I I KDN�,User I I Tv I I ACLuser),并禾1J用 KAC����,User 計算 ET4 — E (KAC,User���,KDN����,User), 計算消息鑒別碼MIC2 = H(KAC,User,Nj IIDdn Res(DN) | ET3 | ET4)���,構(gòu)造節(jié)點認證響應(yīng)消息N J IIDdnI Res(DN) I ET3 ET4 |MIC2發(fā)送給用戶User���,其中,IDdn是目的訪問節(jié)點DN的身份 標識����,Res (DN) = True表示訪問控制器AC對目的訪問節(jié)點DN鑒別成功,H為單向哈希函 數(shù)�,E為對稱加密算法。
6.根據(jù)權(quán)利要求5所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法���,其特征在于所述步驟5)的具體實現(xiàn)方式是用戶User收到訪問控制器AC的節(jié)點認證響應(yīng)消息后���,首先判斷詢問N1是否是用戶 User選擇的詢問,若不是���,丟棄該響應(yīng)消息;若是,根據(jù)MIC2判斷消息的完整性���;若不完整�����, 丟棄該消息�����;若完整����,用戶User根據(jù)Res (DN)判斷目的訪問節(jié)點DN的合法性���,若Res (DN) =Failure,表示目的訪問節(jié)點DN非法����,用戶User終止訪問��;若Res(DN) = True�,用戶 User解密消息中的ET4,產(chǎn)生詢問N3,連同目的訪問節(jié)點DN的詢問N2以及用戶User的 訪問請求Qusct利用剛才解密后獲得的��、與目的訪問節(jié)點間的會話密鑰KDN, User計算ET5 = E(KDNjUser, N2 N3 I QusJ,計算消息鑒別碼 MIC3 = H(KDNjUser, ET3 | ET5)��,構(gòu)造訪問請求消息 ET3| IET5I IMIC3發(fā)送給目的訪問節(jié)點DN�,其中���,Η為單向哈希函數(shù)����,Ε為對稱加密算法。
7.根據(jù)權(quán)利要求6所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法����,其特征在于所述步驟6)的具體實現(xiàn)方式是目的訪問節(jié)點DN收到用戶User的訪問請求后��,首先解密ET3,獲得會話密鑰KDN,Use,����,根 據(jù)MIC3判斷消息完整性���,若不完整,終止訪問�;若完整,利用KDN, User解密ET5,判斷解密后得 到的詢問N2是否目的訪問節(jié)點DN選擇的詢問N2�,若不是���,終止訪問;若是���,再確認解密ET5 后獲得的IDusct是否請求訪問的用戶User的身份標識���,若不是����,終止訪問��;若是����,記錄當前 時刻Tc,從1^到(Tc+Tv)這段時間即為用戶User的訪問有效期����,用戶只能在此有效期內(nèi)訪 問網(wǎng)絡(luò)數(shù)據(jù),目的訪問節(jié)點DN根據(jù)ACLusct判斷用戶User的訪問請求Qusct是否合法�����,若不合 法�����,終止訪問;若合法����,生成應(yīng)答數(shù)據(jù)Rdn��,連同N3利用Kdn,Usct計算ET6 = E (KDN,User, N31 I Rdn)����, 計算消息鑒別碼MIC4 = H (KDN,User, ET6)��,構(gòu)造訪問請求響應(yīng)消息ET61 IMIC4發(fā)送給用戶User, 其中����,H為單向哈希函數(shù),E為對稱加密算法���。
8.根據(jù)權(quán)利要求7所述的低開銷的傳感器網(wǎng)絡(luò)訪問控制方法���,其特征在于所述低開 銷的傳感器網(wǎng)絡(luò)訪問控制方法還包括用戶User收到請求響應(yīng)消息后�����,首先根據(jù)MIC4判斷消息完整性��,若不完整,丟棄該消 息��;若完整,利用Kdn,Usct解密ET6,判斷解密得到的詢問N3是否是用戶User選擇的詢問N3, 若不是�,丟棄該消息;若是�����,用戶User保存應(yīng)答數(shù)據(jù)Rdn�,后續(xù)用戶User與目的訪問節(jié)點DN 之間的訪問請求和應(yīng)答數(shù)據(jù)均利用Kdn,Usct加以保護�。
9.一種低開銷的傳感器網(wǎng)絡(luò)訪問控制系統(tǒng),其特征在于所述低開銷的傳感器網(wǎng)絡(luò)訪 問控制系統(tǒng)包括用戶User、目的訪問節(jié)點DN以及訪問控制器AC ;所述用戶User向目的訪 問節(jié)點DN發(fā)送用戶認證請求消息�;所述目的訪問節(jié)點DN收到用戶認證請求消息后向用戶 User發(fā)送用戶認證響應(yīng)消息���;所述用戶User結(jié)合目的訪問節(jié)點DN的認證響應(yīng)消息構(gòu)造節(jié) 點認證請求消息發(fā)送給訪問控制器AC ����;所述訪問控制器AC根據(jù)認證結(jié)果向用戶User發(fā)送節(jié)點認證響應(yīng)消息�;所述用戶User根據(jù)從訪問控制器AC收到的節(jié)點認證響應(yīng)消息構(gòu)造訪 問請求消息發(fā)送給目的訪問節(jié)點DN �;所述目的訪問節(jié)點DN對用戶User的訪問請求進行授 權(quán)管理并發(fā)送訪問請求響應(yīng)消息給用戶User��。
全文摘要
本發(fā)明所涉及的是一種低開銷的傳感器網(wǎng)絡(luò)訪問控制方法及系統(tǒng)����,該系統(tǒng)包括用戶User����、目的訪問節(jié)點DN以及訪問控制器AC��;在協(xié)議運行前�,用戶User和訪問控制器AC之間�、目的訪問節(jié)點DN和訪問控制器AC之間均已共享密鑰��;在傳感器網(wǎng)絡(luò)中的目的訪問節(jié)點認證用戶的過程中��,由用戶轉(zhuǎn)發(fā)目的訪問節(jié)點和訪問控制器之間的認證信息,然后由目的訪問節(jié)點對用戶進行授權(quán)管理�����,不需要傳感器網(wǎng)絡(luò)中的其他節(jié)點參與認證過程��,從而避免網(wǎng)絡(luò)中的節(jié)點因轉(zhuǎn)發(fā)用戶和目的訪問節(jié)點間的認證信息而產(chǎn)生通信開銷�����,有效節(jié)約了節(jié)點的資源�����,實現(xiàn)一種輕量級和高效的訪問控制,尤其對于存在大量用戶頻繁訪問的傳感器網(wǎng)絡(luò)���,能夠增加網(wǎng)絡(luò)的壽命�,降低使用成本。
文檔編號H04W84/18GK101902462SQ20101015309
公開日2010年12月1日 申請日期2010年4月22日 優(yōu)先權(quán)日2010年4月22日
發(fā)明者宋起柱, 曹軍, 李琴, 杜志強, 王文儉, 鐵滿霞, 陶洪波 申請人:國家無線電監(jiān)測中心檢測中心;西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司