[发明专利]一种基于隐私保护的无线MESH网络接入认证系统及方法

说明书

技术领域

本发明属于无线移动网络安全领域，特别涉及一种基于隐私保护的无线MESH网络接入认证系统及方法。

背景技术

随着计算机网络和移动通信技术的飞速发展，大量移动设备涌现，人们对无处不在的泛在网络接入需求越发迫切。无线MESH网络(Wireless Mesh Network，WMN)因其易于部署、低成本和灵活性，已成为一个重要的技术，并得到广泛的部署。

然而WMN是一种无线多跳网络，相对于有线网络或无线局域网，安全性问题显得尤为重要。为了保障WMN安全，防止恶意用户进入，WMN需要对用户进行接入认证。同时用户为了获得可靠的网络服务，也需要对WMN的合法性进行认证。因此，双向接入认证是确保WMN安全的基础。

目前应用于WMN中的安全机制沿用了802.11i机制，在基于802.11i的集中式认证方法中，当移动用户接入访问网络时，首先向接入路由器提出认证请求，接入路由器中转认证请求至中心认证服务器，由中心认证服务器认证移动用户身份并完成移动用户与接入路由器间的密钥协商。集中式认证模式需要认证实体同远程中心认证服务器进行大量消息交互，降低了接入认证效率。

近年来，学者针对WMN接入安全做了大量研究，旨在实现安全、高效的接入认证机制。文献“A Wireless Mesh Network Authentication Method Based on Identity Based Signature”提出了一种基于身份密码学的接入认证方案，该方案把基于身份的签名机制运用在WMN接入认证过程中，以身份作为实体公钥能够减轻PKI体系下的数字证书管理和维护代价，用户与认证服务器分别向对方提供签名凭证，通过验证签名的有效性实现用户与WMN间的安全接入认证。但是该方案没有考虑接入认证过程的隐私保护问题，用户的身份信息很容易暴露，损害了用户的隐私。文献“Anonymous Communication in Wireless Mesh Network”采用洋葱路由协议，实现了WMN路由安全和对用户的隐私保护，但是没有考虑接入认证安全。另外在该方案中，网络由一些中间洋葱路由组成，每一个洋葱路由需要额外保存并维护一张路由表，大大增加了路由开销。

可见上述WLAN安全机制在隐私保护、数字证书维护代价和路由表维护代价等方面存在缺陷，并且接入认证效率低。

发明内容

针对现有技术存在的问题，本发明提供一种基于隐私保护的无线MESH网络接入认证系统及方法。

本发明的技术方案是：

一种基于隐私保护的无线MESH网络接入认证系统，包括网关路由器、多个MESH路由器和多个MESH客户端，网关路由器、多个MESH路由器和多个MESH客户端形成一个WMN群；

网关路由器为WMN群的管理者，用于生成系统公共参数、对WMN群中实体身份进行审核并为实体颁发公钥、基于身份加密机制私钥和群签名方案私钥；

MESH路由器用于通过定时广播将自己的公钥发送给MESH客户端、通过验证MESH客户端接入认证消息来验证MESH客户端身份，并返回MESH路由器接入认证消息至MESH客户端；

MESH客户端为待接入认证的实体，用于向MESH路由器发送MESH客户端接入认证消息和通过验证MESH路由器接入认证消息来验证MESH路由器身份。

采用所述的基于隐私保护的无线MESH网络接入认证系统进行无线MESH网络接入认证的方法，包括以下步骤：

步骤1：网关路由器生成系统公共参数；系统公共参数包括循环群G1和循环群G2、双线性对e、循环群G1上的基点P，网关路由器的公钥，字符集至循环群G1的单向哈希函数H1，字符集以及循环群G1至Z_q^*的单向哈希函数H2：Z_q^*为1到q-1范围的正整数，q为身份凭证管理服务器选择的安全参数，2个字符集至Z_q^*的单向哈希函数H3；

步骤2：网关路由器对WMN群中实体身份进行审核，并为实体颁发公钥和私钥；

网关路由器为WMN群中实体颁发私钥的过程如下：

步骤2.1：网关路由器为WMN群中所有实体颁发基于身份加密机制私钥；

步骤2.2：网关路由器为WMN群中的MESH客户端颁发群签名方案私钥；

步骤3：当MESH客户端接入某MESH路由器时，MESH客户端和MESH路由器之间进行双向接入认证；