无线网状网络安全通信方法 【技术领域】
本发明涉及的是一种网络技术领域的方法,具体是一种无线网状网络安全通信方法。
背景技术
无线网状网络(Wireless Mesh Network)是一种与传统无线网络完全不同的多跳自组织无线网络结构。在传统的无线局域网中,每个客户端均通过一条固定的与接入点相连的无线链路来访问网络,每个接入点都通过有线网络连接到互联网。而在无线网状网络中,任何无线网状网络节点都同时作为AP和中转路由器存在,其中数个节点通过有线网络连接到互联网,其他节点通过无线网状网络路由算法通过多跳无线链路与互联网相连。而用户可以在无线网状网络信号覆盖范围内移动,通过任意的无线网状网络节点接入互联网。无线网状网络技术已经广泛应用于市政管理、灾难救助、安全监控、工业管理、医疗急救等领域。鉴于其主要应用领域,如何保证无线网状网络网络的安全是该技术能否得以成功应用的关键问题之一。
安全通信技术被广泛应用于网络领域。这一技术用于验证合法用户身份,确定合法用户许可权限,生成一套密钥体系并将其用于数据通信中以保护网络中传输数据的机密性和完整性。在常见的无线局域网中,由于所有的无线通信仅仅发生在用户和接入点(Access Point)之间,因此安全通信也仅被用于保护这一单一链路的安全性。而在无线网状网中,网状网络接入点之间同样通过无线链路相连通,这就要求在这一链路上需要一整套安全通信技术来保护其安全性。
在现有的无线局域网中的应用中,由于简单的有线等效保护协议(WEP)机制已无法有效保证网络上传输数据的安全性和接入用户的合法性。因此IEEE(国际电气电子工程师学会)标准化组织提出了802.11i增补方案用于完善无线局域网的安全特性。IEEE 802.11i标准为无线局域网用户提供了可靠的安全解决方案,其中提出了无线局域网新安全体系健壮安全网络(RSN,Robust SecurityNetwork)。RSN体系结构分为两大部分:安全关联管理和数据加密机制。其中RSN安全关联管理机制包括:RSN安全能力协商过程、802.1x认证过程和802.1x密钥发布过程。802.11i选择了IEEE 802.1x基于端口的接入控制协议,实现了申请者(Supplicant)、认证者(Authenticator)和认证服务器(AS)的接入控制模式。RSN安全能力协商后进行802.1x认证,认证完成后是802.1x的密钥发布过程四次握手,产生用于数据通信的密钥。RSN数据加密机制主要有TKIP(临时密钥完整性协议)和CCMP(计数器模式密码块链信息认证码协议)。上述技术细节为无线网状网络节点间安全设计提供了参考。
为了适应无线网状网络网络的特点,IEEE也专门提出了一个称为网状网络安全关联(MSA)的安全方案。与802.11i方案相比,MSA使用了新的密钥体系,并规定了一系列不同的角色定义,并使用一套新的认证协议来建立和运用这一密钥体系。角色定义的目的在于区分安全认证和加密通信的不同对象。建立密钥体系结构的主要在于通过细化网状网络节点角色,建立分支和层间隔离强化安全性。同时,系统中加入新的角色MKD(Mesh Key Distributor,Mesh密钥分发者)行使代理AS的部分功能,MP与MA(Mesh Authenticator,Mesh认证者)和MKD与MA不同的分支间通信使用不用的密钥。
经对现有技术的检索发现,申请号为02155172的中国专利“无线网路的认证系统与认证加密方法”,包括:一认证服务器,该认证服务器会产生随机数;一认证设备,在该认证设备中写入第一随机数;一终端设备,该终端设备与该认证设备相连接,并且至少包含一无线传输装置,该认证服务器与该终端设备利用该无线传输装置互相通讯,当终端用户欲取得认证时,该终端设备会发送一认证请求以及一用户名给该认证服务器;以及,一认证数据库,该认证数据库与该认证服务器相连接,并且在该认证数据库中写入该第一随机数。上述的无线网络认证加密方法只是采用了简单的握手协议过程加服务器认证方法来实现的,不适用于本发明所针对的无线mesh网络。首先从安全的角度而言,该发明仅用随机数的交互来完成认证,这在无线网络中很容易被窃取数据包进行重放攻击从而骗取服务器信任非法获取密钥加入网络,其次从设备需求的角度而言,该发明缺乏必要的通信加密技术来保证整个网络内的无线数据不被窃取,而这在无线mesh网络中是不合适的。第三,由于无线网状网络是一个多跳的无线网络,因此我们需要在需要认证的节点和服务期间维持一个同样加密的数据链路,才能够保障加密申请不被窃听和重放攻击。因此,这个专利无法满足无线网状网络的对于安全验证和加密通信的技术需求。
【发明内容】
本发明针对现有技术存在的上述不足,提供一种无线网状网络安全通信方法,通过在无线网状网络系统中对无线网状网络节点的角色进行区分,并进行安全认证流程和加密通信方法的设计,来满足无线网状网络中节点间通信安全的需求。
本发明是通过以下技术方案实现的,本发明包括以下步骤:
第一步,无线网状网络内所有已经存在的合法无线网状网络节点,使用一个当前的预共享密钥对所有在无线信道上进行传输的数据进行加密,当候选无线网状网络节点向该候选无线网状网络节点距离最近的合法无线网状网络节点发出初始认证请求时,合法无线网状网络节点将候选无线网状网络节点的初始认证请求通过无线网状网络内地链路转发给认证服务器,以开始初始认证协议流程。
所述的无线网状网络节点是指:具备与其它网状网络结点通信能力的节点。所有通过了认证服务器认证后加入无线网状网络的节点都成为合法的无线网状网络节点,合法的无线网状网络节点可以在网络内发送和接收数据通信的数据包,并转发候选节点的认证请求。
所述的预共享密钥是指:用于加密无线网状网络中无线信道上通信的一组字符,该字符被所有合法无线网状网络节点共有,并会在一定时间间隔下,被网状网络密钥分发节点更换。
所述的加密是指:使用一个预共享密钥,采用相同的加密方式对数据包进行加密运算,所得的密文无法被不拥有密钥的第三方解析成明文。
所述的加密方式是指DES算法。
所述的候选无线网状网络节点是指:希望能够加入当前无线网状网络的无线网状网络节点,当该无线网状网络节点通过认证服务器认证后即成为合法的无线网状网络节点。
所述的无线网状网络内的链路是指合法无线网状网络节点与认证服务器之间的无线数据链路,该无线数据链路与无线网状网络加密数据链路相互隔离。
所述的认证服务器是指:无线网状网络中与互联网出口相连的服务器,该服务器通过一个固定的有线连接与网状网络密钥分发节点连接,负责对所有申请加入网络的候选无线网状网络节点进行初始认证协议流程。
第二步,认证服务器开始初始认证协议流程:首先候选无线网状网络节点通过第一步中所述的合法无线网状网络节点向认证服务器发起一个验证请求消息;当认证服务器收到验证请求消息后进行验证处理,以判断该候选节点是否可以加入到网络中;
所述的验证请求消息包括:候选无线网状网络节点地址、待验证密钥以及密钥交换信息,该验证请求消息使用认证服务器内置的默认密钥进行加密。
所述的验证处理是指:将发送的身份验证请求中的身份信息与后台数据库中的身份信息进行对比,确定接入者使用了一个合法的身份进入无线网状网络中,
当验证处理通过则在认证服务器与候选无线网状网络节点进行一次密钥交换,然后通过网状网络密钥分发节点向候选无线网状网络节点分发预共享密钥,并执行第三步。
当验证处理未通过则候选无线网状网络节点将无法加入到无线网状网络中,也无法获得当前网络内的通信加密方式和密钥,安全通信失败。
所述的密钥交换是指认证服务器与候选无线网状网络节点在交换数据之前建立的公用的安全设置约定,用于安全地交换一套密钥,以便在它们的连接中使用。
所述的密钥由认证服务器和候选节点单独拥有,并且所有的数据通信均用这一对密钥进行加密,中间进行数据中转的合法网状网络节点无法获知密钥和通信内容。
所述的网状网络密钥分发节点是指:负责无线网状网络内的密钥的分发以及管理的节点,该网状网络密钥分发节点与认证服务器之间通过安全路径进行通信连接。
所述的网状网络密钥分发节点周期性地向无线网状网络内所有合法无线网状网络节点通过安全链路发送更新后的预共享密钥。
第三步,候选无线网状网络节点通过预共享密钥与无线网状网络内其他合法无线网状网络节点进行加密数据通信,实现无线网状网络的功能。
本发明既满足了无线网状网络的动态自组织等新特性的需求,又为其网络提供了接近于802.11标准要求的安全性能。本发明基于802.11协议族的无线网络通信标准,便于在基于802.11链路建立的无线网状网络网络中应用。本发明提出的框架和结构简单,不仅确保了兼容性和灵活性,而且易于实现。
【附图说明】
图1为本发明方法示意图。
【具体实施方式】
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例包括以下步骤:
1)无线网状网络内所有已经存在的合法无线网状网络节点,包括多个无限网状网络节点(MA)和网状网络密钥分发节点(MKD),共同使用一个当前的预共享密钥对所有在无线信道上进行传输的数据进行加密。同时,网络内的无线网状网络节点通过自组织,保证所有节点与Internet的连通。
2)一个候选无线网状网络节点(Candidate MP)希望能够加入当前这个无线网状网络,但它在网络中并没有合法的身份,也不知道网络内当前的共享密钥。所以,它向与其最近的合法无线网状网络节点发出初始认证请求,以开始初始认证协议流程(1)。其初始认证请求使用一个基本的共享密钥加密,保持初始请求的安全性。
3)无线网状网络内的合法无线网状网络节点将候选无线网状网络节点的请求通过一条逻辑上与无线网状网络加密数据链路隔离的无线数据链路转发给认证服务器(AS)。认证服务器在收到候选无线网状网络节点验证请求后,对其请求进行验证(2)。
4)上述步骤3)的验证失败后,该候选无线网状网络节点将无法加入到无线网状网络中,也无法获得当前网络内的通信加密方式和密钥。验证失败信息将被发送到该候选无线网状网络节点,短时间内,该节点将无法再一次请求进行验证请求。
5)无线网状网络内的合法无线网状网络节点将继续维持这一条逻辑上与无线网状网络加密数据链路隔离的无线链路转发给认证服务器和候选无线网状网络节点的通信,直到初始认证协议确定成功或者失败(3)。
6)候选无线网状网络节点的请求通过上述步骤3)的验证后,认证服务器与候选无线网状网络节点进行通信握手,并完成一次密钥交换过程。之后,密钥交换生成的公私钥对将保护认证服务器与这个候选无线网状网络节点完成初始认证协议,帮助候选节点成为一个合法无线网状网络节点(4)。
7)候选无线网状网络节点获得网络内的预共享密钥后,使用此密钥与网络内的其他节点进行加密数据通信。候选无线网状网络节点成为一个合法的无线网状网络节点。密钥将用于保护无线网状网络内的数据通信(5)。
8)为了维护网络内的安全性,由网络内的网状网络密钥分发节点向网络内更新一个新的预共享密钥。在分发密钥前,网状网络密钥分发节点将于所有合法的网状网络节点进行一次密钥交换,并使用一对公私钥对密钥分发过程的通信进行加密。所有合法的网状网络节点都将通过私有的加密链路收到新的预共享密钥(6),并可以将其用于无线网状网络的加密通信。