專利名稱：一種減小無(wú)線網(wǎng)絡(luò)資源消耗的認(rèn)證架構(gòu)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及無(wú)線通信技術(shù)領(lǐng)域，特別是無(wú)線傳輸理論和接入認(rèn)證機(jī)制。
背景技術(shù)：
在無(wú)線網(wǎng)絡(luò)中，數(shù)據(jù)傳輸是利用無(wú)線電波在空中輻射傳播，它的信號(hào)可以被發(fā)射機(jī)覆蓋范圍內(nèi)的任何無(wú)線客戶端接收，因此無(wú)線鏈路非常容易受到攻擊。另外為了能夠使用戶發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。顯而易見，開放的傳輸媒介使無(wú)線鏈路的安全性難以保障，目前傳統(tǒng)無(wú)線網(wǎng)絡(luò)中的安全隱患和攻擊主要有以下幾個(gè)方面
1)易受竊聽這是所有無(wú)線網(wǎng)絡(luò)的共同問(wèn)題，電磁輻射難以精確的控制在某個(gè)范圍之內(nèi)，攻擊者只需具有一般的無(wú)限接受設(shè)備即可獲取數(shù)據(jù)；
2)難以監(jiān)測(cè)在有線網(wǎng)絡(luò)中竊取數(shù)據(jù)必須靠經(jīng)傳輸線，而在無(wú)線網(wǎng)絡(luò)中攻擊者可在遠(yuǎn)處隱蔽。同時(shí)由于竊聽屬于被動(dòng)攻擊，系統(tǒng)管理員很難發(fā)現(xiàn)是否被竊聽
3)易受拒絕服務(wù)攻擊(DoS):這可以分為兩種情況一是發(fā)送大量垃圾信息阻塞信道， 二是不斷對(duì)某個(gè)移動(dòng)設(shè)備發(fā)送虛假服務(wù)請(qǐng)求，使該設(shè)備始終處于全額工作狀態(tài)而迅速耗盡電池，進(jìn)而不能進(jìn)行此后的正常工作；
4)基站偽裝在無(wú)線網(wǎng)絡(luò)中通常有類似于基站的中心節(jié)點(diǎn)(如WLAN的AP)，攻擊者可以用自己的大功率基站覆蓋真正的基站，而使得無(wú)線終端錯(cuò)誤與之連接；
5)密碼破譯攻擊者通過(guò)截獲大量數(shù)據(jù)，根據(jù)統(tǒng)計(jì)分析展開被動(dòng)式譯碼攻擊；
6)無(wú)線信道的高誤碼率限制了某些加密算法的應(yīng)用。為解決上述問(wèn)題，需采用高效可靠的認(rèn)證機(jī)制。目前，認(rèn)證方法主要有
I.基于對(duì)稱密鑰體制的認(rèn)證方案
對(duì)稱密鑰體制技術(shù)發(fā)展比較成熟，算法比較簡(jiǎn)單，因而對(duì)稱密鑰體制認(rèn)證方案計(jì)算復(fù)雜度低，易于實(shí)現(xiàn)，但由于在此體制的通信中，通信雙方需要擁有一個(gè)共享密鑰，給密鑰管理帶來(lái)了困難。只有擁有共享密鑰的兩用戶間才能進(jìn)行相互認(rèn)證，沒有共享密鑰的用戶間要進(jìn)行認(rèn)證必須借助于認(rèn)證服務(wù)器。通常有兩種情況，一是整個(gè)網(wǎng)絡(luò)共享同一個(gè)密鑰，該種方式安全性差，一旦一個(gè)節(jié)點(diǎn)被攻破，整個(gè)網(wǎng)絡(luò)的安全性都將受到威脅；再者就是任何兩個(gè)節(jié)點(diǎn)都擁有一對(duì)共享密鑰，此種網(wǎng)絡(luò)不易擴(kuò)展和更新，密鑰的維護(hù)開銷也大。2.基于公鑰體制的認(rèn)證方案
對(duì)于公鑰體制的認(rèn)證方案，由于通信用戶間各自都存在一對(duì)密鑰，因此在雙鑰體制認(rèn)證方案中，不再需要共享密鑰，簡(jiǎn)化了密鑰管理和網(wǎng)絡(luò)結(jié)構(gòu)。為了保證時(shí)效性，通常也需要采用第三方認(rèn)證服務(wù)器。3.自組織的密鑰管理
Jean. Pierre Hubaux等人首先提出了自組織的密鑰管理算法并進(jìn)行了概要介紹，并對(duì)該算法進(jìn)行了詳細(xì)論述和模擬實(shí)驗(yàn)。該算法不需要公認(rèn)的CA來(lái)發(fā)布證書，節(jié)點(diǎn)自己發(fā)布并維護(hù)證書，用戶通過(guò)證書鏈來(lái)實(shí)現(xiàn)認(rèn)證。與PGP不同的是，用戶證書是靠用戶自己分配并分
4布存儲(chǔ)于每個(gè)用戶自身節(jié)點(diǎn)之中，而不是存儲(chǔ)于認(rèn)證服務(wù)器之中。一種典型的安全接入過(guò)程機(jī)制如圖I所示，雖然網(wǎng)絡(luò)中的多數(shù)節(jié)點(diǎn)需要經(jīng)過(guò)中間節(jié)點(diǎn)的多跳轉(zhuǎn)發(fā)才能到達(dá)AP，但是也必然要有某些節(jié)點(diǎn)在AP的一跳范圍內(nèi)，這些節(jié)點(diǎn)的接入與在無(wú)線局域網(wǎng)絡(luò)中節(jié)點(diǎn)接入的情形相同，如圖2所示。因此，為實(shí)現(xiàn)高效安全的信息傳輸，需設(shè)計(jì)可靠的認(rèn)證架構(gòu)。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是解決無(wú)線網(wǎng)絡(luò)在用戶認(rèn)證過(guò)程中消耗網(wǎng)絡(luò)資源較大的問(wèn)題，在滿足安全認(rèn)證要求的前提下減少網(wǎng)絡(luò)資源的消耗。本發(fā)明為解決上述技術(shù)問(wèn)題提供一種減小無(wú)線網(wǎng)絡(luò)資源消耗的認(rèn)證架構(gòu)，其特征在于
A、設(shè)置無(wú)線網(wǎng)絡(luò)的用戶認(rèn)證架構(gòu)；
B、設(shè)置用戶登錄模塊的使用方法、認(rèn)證模塊的使用步驟和密碼變換模塊的使用步驟；
C、建立信任計(jì)算模塊結(jié)構(gòu)；
D、計(jì)算節(jié)點(diǎn)信任值和進(jìn)行網(wǎng)絡(luò)信任度判斷，并使用控制信息控制信任估計(jì)值和共享信任數(shù)據(jù)。所述步驟A中，無(wú)線網(wǎng)絡(luò)的用戶認(rèn)證架構(gòu)包括用戶登錄模塊、認(rèn)證模塊、信任計(jì)算模塊和密碼變換模塊，總的流程示意圖如圖3所示。所述步驟B中，設(shè)置用戶登錄模塊的使用方法。用戶登錄模塊的使用方法為a.用戶M向接收端提交用戶的身份信息和密碼;b.當(dāng)接收端收到用戶登錄請(qǐng)求時(shí)，接
收端計(jì)算 Regiq =s.//(/Dj) +并將信息{瑪,RegsvZi(JII),通過(guò)安全傳輸通道發(fā)送給用戶K。所述步驟B中，設(shè)置認(rèn)證模塊的使用步驟。認(rèn)證模塊的使用步驟包括登錄過(guò)程和驗(yàn)證過(guò)程。登錄過(guò)程為用戶K在終端插入智能卡和密鑰/A和P呵，若此與智能卡
中的ZDi相同，則執(zhí)行子步驟a.計(jì)算=，其中為用戶系統(tǒng)的時(shí)間戳；b.計(jì)
算Fi = T H(IWi) ；c.通過(guò)公用傳輸通道向接收端發(fā)送登錄請(qǐng)求信息{/1 , /馬,H ，相應(yīng)的驗(yàn)證過(guò)程為當(dāng)接收端在時(shí)刻7*收到登錄請(qǐng)求信息〖瑪,D/AA,時(shí)，執(zhí)行以下子步驟①對(duì)時(shí)間間隔進(jìn)行驗(yàn)證，若則接收端轉(zhuǎn)至子步驟②，其中為參考時(shí)間間隔，若,則拒絕用戶登錄請(qǐng)求；②驗(yàn)證 SiDIDi -VuP) = e{H [IDi),Pub^)7是否成立，若等式成立，則接受用戶登錄請(qǐng)求，反之則拒絕，其中￡)/勾為第r個(gè)用戶的動(dòng)態(tài)id信息。所述步驟B中，設(shè)置密碼變換模塊的使用步驟。密碼變換模塊的使用步驟為
a.用戶M在終端插入智能卡和密鑰嗎和m ,若此/A與存儲(chǔ)于智能卡上的IDi相同，則執(zhí)行子步驟b，反之，則停止執(zhí)行；b.用戶提交新的密碼；c.在智能卡中使用規(guī)則 Reg^ = Re gm + H (Pif ) + H (PW*)更新當(dāng)前的 Regffi<。所述步驟C中，信任計(jì)算模塊包含信任計(jì)算主模塊和判斷計(jì)算主模塊。信任計(jì)算主模塊包括網(wǎng)絡(luò)節(jié)點(diǎn)直連信任計(jì)算模塊和網(wǎng)絡(luò)節(jié)點(diǎn)非直連信任計(jì)算模塊，網(wǎng)絡(luò)節(jié)點(diǎn)非直連信任計(jì)算模塊通過(guò)節(jié)點(diǎn)推薦計(jì)算和判斷計(jì)算獲得。所述步驟D中，計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)信任值。節(jié)點(diǎn)信任值可分為節(jié)點(diǎn)直連信任值和節(jié)點(diǎn)非直連信任值，使用規(guī)則計(jì)算節(jié)點(diǎn)直連信任值，其中q
為節(jié)點(diǎn)i執(zhí)行正向行為的數(shù)目，《4為節(jié)點(diǎn)i執(zhí)行反向行為的數(shù)目，,sac*為與服務(wù)安全等
級(jí)相關(guān)的安全行為系數(shù)；使用規(guī)則計(jì)算節(jié)點(diǎn)非直連信任值，其中為
nIwi
節(jié)點(diǎn)i的信任值，為節(jié)點(diǎn)i的判決值；網(wǎng)絡(luò)節(jié)點(diǎn)信任值為Tw= ^χ Γ+^χ/Γ ,其中
TSmw Z A ^" 7為非直連信任系數(shù)，
^為非直連信■任系數(shù)，為直連信■任系數(shù)， 為節(jié)點(diǎn)
ι -^+2-.一
自身信任值的時(shí)間戳，TSi為節(jié)點(diǎn)t信任值的時(shí)間戳，為子網(wǎng)中節(jié)點(diǎn)的總數(shù)，~為被推薦的節(jié)點(diǎn)數(shù)目。所述步驟D中，進(jìn)行網(wǎng)絡(luò)信任度判斷。使用規(guī)則4 = ______U______________^_________________________________;進(jìn)行網(wǎng)絡(luò)信任
Maxmmm A
行為的總數(shù)判斷，其中Σ4為信任行為的總數(shù)，為信任行為的最大數(shù)目；對(duì)交
Vmessages^
換的信息數(shù)目的判決為4 = ———^，則網(wǎng)絡(luò)總的信任判決值為7 7 7。
Maximum messagesJ = JAx.JM所述步驟D中，使用控制信息控制信任估計(jì)值和共享信任數(shù)據(jù)。控制信息包括推薦信息、經(jīng)驗(yàn)信息、hello報(bào)文信息、一致性確認(rèn)信息和知識(shí)轉(zhuǎn)移信息。推薦信息用于信任推薦請(qǐng)求。經(jīng)驗(yàn)信息用于檢索統(tǒng)計(jì)行為信息。hello報(bào)文信息用于向鄰近節(jié)點(diǎn)通知本節(jié)點(diǎn)存在。一致性確認(rèn)信息用于測(cè)試某一節(jié)點(diǎn)的一致性行為，防止可疑行為對(duì)信任估計(jì)值的影響。知識(shí)轉(zhuǎn)移信息用于當(dāng)網(wǎng)絡(luò)中某一節(jié)點(diǎn)將離開此網(wǎng)絡(luò)時(shí)。本發(fā)明的有益效果為針對(duì)無(wú)線網(wǎng)絡(luò)在用戶認(rèn)證過(guò)程中消耗網(wǎng)絡(luò)資源較大的問(wèn)題，在滿足安全認(rèn)證要求的前提下減少網(wǎng)絡(luò)資源的消耗，提供了一種減小無(wú)線網(wǎng)絡(luò)資源消耗的認(rèn)證架構(gòu)。


圖I為安全接入過(guò)程機(jī)制示意圖2為AP點(diǎn)覆蓋范圍內(nèi)的認(rèn)證機(jī)制示意圖； 圖3為總的工作流程示意圖。
權(quán)利要求
1.一種減小無(wú)線網(wǎng)絡(luò)資源消耗的認(rèn)證架構(gòu)，解決無(wú)線網(wǎng)絡(luò)在用戶認(rèn)證過(guò)程中消耗網(wǎng)絡(luò)資源較大的問(wèn)題，在滿足安全認(rèn)證要求的前提下減少網(wǎng)絡(luò)資源的消耗，包括如下步驟A、設(shè)置無(wú)線網(wǎng)絡(luò)的用戶認(rèn)證架構(gòu)；B、設(shè)置用戶登錄模塊的使用方法、認(rèn)證模塊的使用步驟和密碼變換模塊的使用步驟；C、建立信任計(jì)算模塊結(jié)構(gòu)；D、計(jì)算節(jié)點(diǎn)信任值和進(jìn)行網(wǎng)絡(luò)信任度判斷，并使用控制信息控制信任估計(jì)值和共享信任數(shù)據(jù)。
2.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟A其特征在于無(wú)線網(wǎng)絡(luò)的用戶認(rèn)證架構(gòu)包括用戶登錄模塊、認(rèn)證模塊、信任計(jì)算模塊和密碼變換模塊。
3.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟B其特征在于設(shè)置用戶登錄模塊的使用方法，用戶登錄模塊的使用方法為a.用戶M向接收端提交用戶的身份信息和密碼P呵；b.當(dāng)接收端收到用戶登錄請(qǐng)求時(shí)，接收端計(jì)算 Reg21 At(/Di) +if (PifJ),并將信息(/￡)pReg瑪,/ (/￡!)，//(/^)丨通過(guò)安全傳輸通道發(fā)送給用戶M。
4.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟B其特征在于設(shè)置認(rèn)證模塊的使用步驟，認(rèn)證模塊的使用步驟包括登錄過(guò)程和驗(yàn)證過(guò)程，登錄過(guò)程為用戶Ui在終端插入智能卡和密鑰IDi和PWi ,若此[Di與智能卡中的IDi相同，則執(zhí)行以下子步驟a.計(jì)算DIDi = Tle，其中T為用戶系統(tǒng)的時(shí)間戳山.計(jì)算Κ =；c.通過(guò)公用傳輸通道向接收端發(fā)送登錄請(qǐng)求信息{馮工嗎,相應(yīng)的驗(yàn)證過(guò)程為當(dāng)接收端在時(shí)刻r*收到登錄請(qǐng)求信急、[IDiiDmiJiJfI時(shí),執(zhí)行以下子步驟①對(duì)時(shí)間間隔進(jìn)行驗(yàn)證，若則接收端轉(zhuǎn)至子步驟②,其中ΛΓ為參考時(shí)間間隔，若,則拒絕用戶登錄請(qǐng)求；②驗(yàn)證-IP) = (/Dj),是否成立，若等式成立，則接受用戶登錄請(qǐng)求，反之則拒絕，其中DIDi為第t個(gè)用戶的動(dòng)態(tài)ID信息。
5.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟B其特征在于設(shè)置密碼變換模塊的使用步驟，密碼變換模塊的使用步驟為a.用戶M在終端插入智能卡和密鑰/A和P丐，若此iA與存儲(chǔ)于智能卡上的相同，則執(zhí)行子步驟b，反之，則停止執(zhí)行；b.用戶R提交新的密碼PW* ；c.在智能卡中使用規(guī)則Re g*m =Re gm +H (PWri) +H (PW；)更新當(dāng)前的Re 。
6.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟C其特征在于信任計(jì)算模塊包含信任計(jì)算主模塊和判斷計(jì)算主模塊，信任計(jì)算主模塊包括網(wǎng)絡(luò)節(jié)點(diǎn)直連信任計(jì)算模塊和網(wǎng)絡(luò)節(jié)點(diǎn)非直連信任計(jì)算模塊，網(wǎng)絡(luò)節(jié)點(diǎn)非直連信任計(jì)算模塊通過(guò)節(jié)點(diǎn)推薦計(jì)算和判斷計(jì)算獲得。
7.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟D其特征在于計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)信任值，節(jié)點(diǎn)信任值可分為節(jié)點(diǎn)直連信任值和節(jié)點(diǎn)非直連信任值，使用規(guī)則^、
8.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟D其特征在于進(jìn)行網(wǎng)絡(luò)信任度判斷，使用規(guī)則八=M Σ4 ,進(jìn)行網(wǎng)絡(luò)信任行為的總數(shù)判斷，其中為信任 Maximum 3/, A行為的總數(shù)，施―麗j為信任行為的最大數(shù)目；對(duì)交換的信息數(shù)目的判決為
9.根據(jù)權(quán)利要求I的方法，對(duì)于所述步驟D其特征在于使用控制信息控制信任估計(jì)值和共享信任數(shù)據(jù)，控制信息包括推薦信息、經(jīng)驗(yàn)信息、hello報(bào)文信息、一致性確認(rèn)信息和知識(shí)轉(zhuǎn)移信息，推薦信息用于信任推薦請(qǐng)求，經(jīng)驗(yàn)信息用于檢索統(tǒng)計(jì)行為信息，hello報(bào)文信息用于向鄰近節(jié)點(diǎn)通知本節(jié)點(diǎn)存在，一致性確認(rèn)信息用于測(cè)試某一節(jié)點(diǎn)的一致性行為， 防止可疑行為對(duì)信任估計(jì)值的影響，知識(shí)轉(zhuǎn)移信息用于當(dāng)網(wǎng)絡(luò)中某一節(jié)點(diǎn)將離開此網(wǎng)絡(luò)時(shí)。
全文摘要
本發(fā)明針對(duì)無(wú)線網(wǎng)絡(luò)在用戶認(rèn)證過(guò)程中消耗網(wǎng)絡(luò)資源較大的問(wèn)題，在滿足安全認(rèn)證要求的前提下減少網(wǎng)絡(luò)資源的消耗，提供了一種減小無(wú)線網(wǎng)絡(luò)資源消耗的認(rèn)證架構(gòu)。
文檔編號(hào)H04W12/06GK102612031SQ20121005339
公開日2012年7月25日 申請(qǐng)日期2012年3月4日 優(yōu)先權(quán)日2012年3月4日
發(fā)明者黃東 申請(qǐng)人:黃東