一种双向动态无中心鉴权的安全接入认证方法

一种双向动态无中心鉴权的安全接入认证方法
【技术领域】
[0001]本发明涉及网络认证技术领域，尤其涉及一种双向动态无中心鉴权的安全接入认证方法。
【背景技术】
[0002]在网络安全中，身份认证技术作为第一道，甚至是最重要的一道防线，有着重要地位，可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证，这意味着当某人(或某事)声称具有一个特别的身份时，认证技术将提供某种方法来证实这一声明是正确的。
[0003]目前使用比较多的是用户与系统间的身份认证，它只需单向进行，只由系统对用户进行身份验证。
[0004]常用的网络接入认证机制包括:静态口令认证机制是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充；同时易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统;动态口令认证机制，也采用单向的认证机制，新用户容易被吸入非法网络，而使新节点不能进行正常为网络服务;挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“挑战”码做出相应的“应答”，存在于动态口令认证机制相同的风险；EAP(Extensible Authenticat1n Protocol)扩展认证协议在RFC2248中定义，是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP实际是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。
[0005]公钥认证机制中要验证用户的身份，必须拥有用户的公钥，而用户公钥是否正确，是否是所声称拥有人的真实公钥，在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心(Certificate Authority，CA)，来确认声称拥有公开密钥的人的真正身份。
[0006]在安全性要求越来越高的专用网络通信系统中，应克服上述认证机制中口令单一易被攻击，单向认证中新用户被吸入非法网络，需要第三方进行验证信用户的身份等的缺陷，为专网网络设置更加安全的第一道屏障。

【发明内容】

[0007]本发明提供一种双向动态无中心鉴权的安全接入认证方法，能够进行双向动态鉴权，网络的灵活性和抗攻击性高。
[0008]本发明是通过以下技术方案实现:
[0009 ] 一种双向动态无中心鉴权的安全接入认证方法，其包括以下步骤:
[0010]步骤I，新节点在发送入网请求时，本地产生随机数radom_n，与原始密钥K作为加密算法F(X，y)的参数获得F(K，radom_n)，并计算出结果Node-Aut-C保存，并在入网请求消息中携带radom_n和参考节点ID，发送给网内节点；
[0011]其中，参考节点为新节点随机选择的在网的任意一个节点，所述新节点在初始化时得到要加入网络的公用的初始密钥K，而加密算法F(x，y)固化在新节点本地代码中；
[0012]步骤2，网内节点收到入网请求消息后，根据其携带的参考节点ID确定自身是否为参考节点，若不为参考节点，则不进行处理，若为参考节点则执行步骤3;
[0013]步骤3，参考节点产生随机数radom_c，与原始密钥K作为网内加密算法f(x，y)的参数获得f (K，radom_c)，并计算出结果Network_Aut_C保存；同时利用入网请求消息中的随机数radom_n与原始密钥K作为加密算法f(x，y)的参数获得f(K，radom_n)，并计算出结果Node-Aut-1作为鉴权值，在认证请求消息中携带radom_(^PNode-Aut-1，发送给申请入网的新节点；
[OOM] 步骤4，新节点收到认证请求消息后，先将Node-Aut-1与本地保存的Node-Aut-C进行比较，如果二者相同，则说明参考节点为合法的参考节点，参考节点通过新节点对它的认证;然后新节点将K与radom_c作为加密算法F(x，y)的参数获得函数F(K，radom_c)，并计算出结果Network-Aut-1，将Network-Aut-1携带在认证响应消息中发送给参考节点；
[0015]步骤5，参考节点收到认证响应消息后，将其中的N e t w ο r k - A u t -1与本地的Network-Aut-C进行比较，如果二者相同，则说明新节点合法，新节点通过参考节点的认证，然后参考节点回复新节点入网成功响应消息;否则，回复新节点入网失败响应消息；
[0016]步骤6，若新节点收到入网成功响应消息，则完成双向动态鉴权，新节点入网成功；若新节点收到入网失败响应消息，则新节点入网失败，不能加入网络。
[0017]与现有的技术相比，本发明的有益效果是:
[0018]本发明结合双向和动态的认证机制的优点，同时保证了网络和新接入节点双方的安全。具体包括如下几方面:
[0019]1.采用双向认证的机制，不仅新接入节点需要被认证，认证参考节点同时需要被新节点认证，新节点入网请求时仅仅发送的是随机产生的随机数，参考节点认证时仅仅发送的也是算法结果和随机数，公共秘钥和加密算法均不在空口传输，每次认证过程中随机产生认证随机数不同，进一步提高接入时身份认证的安全性；
[0020]2.无认证的中心节点，任何已经经过认证入网的节点均可被选取作为入网认证的参考节点，若在网的任意节点出现故障或被攻击，则其他在网也能作为入网请求的参考节点，提高了网络的灵活性和抗攻击性；
[0021]3.采用动态的一次性认证数据(随机数和算法结果)，每次提交的认证数据不同，提高认证过程的安全性。
【附图说明】
[0022]图1为双向动态无中心鉴权的安全接入认证方法示意图。
【具体实施方式】
[0023]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进