技術領域

本發明涉及通信技術領域，尤其涉及一種認證服務器及網狀網中雙向認證的方法及系統。

背景技術

無線Mesh(無線網狀網)網絡也稱為“多跳”網絡，它是一種與傳統無線網絡完全不同的新型無線網絡技術。傳統的無線網絡必須首先訪問集中的AP(Access?point，接入點)才能進行無線連接。這樣，即使兩個802.11b的節點互相挨著，它們也必須通過接入點才能通信。而在無線Mesh網絡中，任何無線設備節點都可以同時作為AP或路由器，每個節點都可以發送和接收數據，都可以與一個或者多個對等節點進行直接通信。

無線Mesh網與傳統BSS(基本業務組)的角色劃分不同。在BSS域中只包括STA(station，站點或終端)、AP和AS(Authentication?Server，認證服務器)三種角色。認證時AS強制STA充當請求者的角色，AP充當認證者的角色。現有的802.11i體系結構中只定義了這三種角色：STA、AP和AS，以及執行角色功能的機制：(a)安全的AS-STA對等認證；(b)安全的AS-AP頻道；(c)AS訪問控制列表。

而在Mesh中的主要功能包括：

(1)傳輸(Transport)：與鄰居節點之間傳送非Mesh的應用數據。只發送、接收，而不轉發。

(2)內部路由(Internal?Routing)：Mesh設備之間建立轉發路徑。

(3)外部路由(External?Routing)：與Mesh外部設備建立轉發路徑。

(4)轉發(Forwarding)：發送收到的其他設備產生的幀。

(5)接入(Access?point)：允許一個802.11的STA通過AP連到Mesh中。

基本層次結構如圖1所示，Mesh中各種設備所完成的功能是不一樣的，按照上述功能劃分的角色為：

MAP(Mesh接入點)：傳輸+內部路由+轉發+接入；

MPP(Mesh與外網的網關，圖中未示出)：傳輸+內部路由+轉發+外部路由；

MP(Mesh節點)：傳輸+內部路由+轉發；

LWMP(輕量級Mesh節點，圖中未示出)：傳輸；

STA：數據源。

可見Mesh中的角色劃分與BSS域有很大差別。而目前802.11s中關于角色的定義與執行中只對STA和MAP有較全面的定義，而LWMP、MP、MPP以及AS在Mesh中的角色則沒有定義任何機制來執行。要使用802.1x來完成認證則存在如下問題：

(1)協商中每個MP可能有三種角色要完成：Supplicant(請求者)，Authenticator(認證者)，和Authentication?Server(AS，認證服務器)，因此，存在如何協商并確定雙方聯合的安全角色和安全策略問題。

(2)需要一個管理行動來給各個設備分配角色和選擇一個關聯的MP來安全地完成認證等問題。

目前，關于角色協商問題提案的主要思路是：在RSN?IE(健壯安全網絡的信息元素)中通過一個可達性的元素“AS?Reachability”來做為衡量協商角色的依據。具體實現如圖2所示包括：

首先在發現階段，需要關聯的節點通過Beacon(信標)或者探測響應來發送對于AS的可達性。然后通過可達性來協商認證的角色：

(1)如果雙方只有一個對AS可達，那么可達這方就是認證者，而另一方就是請求者。

(2)如果雙方都可達或都不可達，則選擇較大MAC地址的一方作為認證者，而另一方作為請求者。

角色確定后用802.1x的方式來完成認證，接入Mesh網絡。

上述認證方式存在如下缺點：

認證中在只有一方可達AS時的情況類似于普通的BSS，但仍存在惡意MP攻擊時切換認證點的問題。而且與BSS非對稱結構所不同的是，原有一輪802.1x認證只能完成對請求者的認證，是一個單向認證，現在Mesh中MP的層次結構是對稱平等的，要完成雙向認證需兩輪802.1x認證，不但浪費時間，而且大多數情況下第二輪認證是已接入Mesh的MP所并不想要的。