本發(fā)明提出基于預共享密鑰(PSK)的分布式鑒權方法，包括：請求入網(wǎng)節(jié)點入網(wǎng)前獲取PSK，選擇成功入網(wǎng)節(jié)點作為鑒權節(jié)點進行雙向鑒權；每一次雙向鑒權，雙方均生成一個隨機數(shù)，根據(jù)PSK和隨機數(shù)生成臨時密鑰和驗證密鑰，分別用于加密鑒權交互消息和驗證對方身份；雙方均本地維護一個標識序號，用于標識有效雙向鑒權；雙向鑒權過程中，一方根據(jù)PSK和對方隨機數(shù)恢復出對方的臨時密鑰和驗證密鑰，接收并解密對方標識序號后與本地比較，驗證是否滿足防重放攻擊條件，不滿足則本次雙向鑒權無效，滿足則將恢復出的對方驗證密鑰發(fā)給對方，對方接收并解密后驗證是否與自身生成的驗證密鑰相同，不相同則鑒權失敗，相同則所述一方的身份合法。

技術領域

本發(fā)明涉及無線通信領域，尤其涉及一種基于預共享密鑰的分布式鑒權方法。

背景技術

IEEE802.11i標準中的鑒權機制是：首先在發(fā)現(xiàn)階段，站點STA通過Probe流程(或偵聽Beacon)，獲得接入節(jié)點AP的安全信息，協(xié)商安全功能配置，并為之建立關聯(lián)；然后在認證階段，站點STA和認證服務器AS進行鑒權流程，站點STA和認證服務器AS相互向對方證明自己的標志，根據(jù)證明結果決定STA非認證流量的使用，其中接入節(jié)點AP不參與鑒權交互過程，只轉發(fā)站點STA與認證服務器AS之間的通信。

IEEE802.16標準中的鑒權機制是：當站點STA關聯(lián)或是重新關聯(lián)接入節(jié)點AP時，接入節(jié)點AP向站點STA發(fā)送認證激活啟動整個認證過程，然后站點STA向接入節(jié)點AP開始發(fā)送認證請求消息，AP向AS發(fā)送消息攜帶其證書、私鑰和STA認證信息，AS驗證AP和STA證書的有效性，返回應答，AP根據(jù)響應結果對STA進行接入控制，同時STA根據(jù)應答消息AS簽名進行認證，決定是否接入該AP。

上述兩種現(xiàn)有鑒權機制的缺陷在于：這兩種鑒權方式都設置有專門的鑒權節(jié)點，鑒權節(jié)點如果發(fā)生故障，將導致整個網(wǎng)絡都無法完成節(jié)點的接入。同時專有的鑒權節(jié)點可能成為網(wǎng)絡擴展的瓶頸。

發(fā)明內容

為了解決上述現(xiàn)有技術的缺陷，本發(fā)明提出一種基于預共享密鑰的分布式鑒權方法，凡是成功入網(wǎng)的節(jié)點都可以作為鑒權節(jié)點，認證過程用到的密鑰的都是基于預共享密鑰為根密鑰產(chǎn)生，該方法包括：

請求入網(wǎng)節(jié)點在入網(wǎng)前，獲取通信網(wǎng)絡的所有節(jié)點均共享的一個密鑰，即預共享密鑰，然后選擇任意一個成功入網(wǎng)的節(jié)點作為鑒權節(jié)點進行雙向鑒權，即相互驗證對方身份是否合法；

針對請求入網(wǎng)節(jié)點和驗證節(jié)點之間的每一次雙向鑒權，雙方節(jié)點均生成一個隨機數(shù)，并根據(jù)預共享密鑰和生成的隨機數(shù)生成一個臨時密鑰和一個驗證密鑰，臨時密鑰用于對發(fā)送的鑒權交互消息進行加密，驗證密鑰用于驗證對方節(jié)點身份；雙方節(jié)點還均在本地維護一個標識序號，用于在本地標識兩者之間的有效雙向鑒權；

在雙向鑒權過程中，一方節(jié)點根據(jù)預共享密鑰和接收到的對方節(jié)點的隨機數(shù)恢復出對方臨時密鑰和對方驗證密鑰，使用對方臨時密鑰對接收的鑒權交互消息進行解密，接收并解密對方標識序號后與本地標識序號比較，驗證是否滿足防重放攻擊條件，如果不滿足則判斷本次雙向鑒權無效，如果滿足則判斷本次雙向鑒權有效，將恢復出的對方驗證密鑰加密后發(fā)給對方節(jié)點，對方節(jié)點接收并解密后驗證是否與自身生成的驗證密鑰相同，如果不相同，則鑒權失敗，如果相同，則判斷雙方擁有相同的預共享密鑰，所述一方節(jié)點的身份合法。

優(yōu)選的，雙方節(jié)點均在本地維護一個標識序號，在雙向鑒權過程中，雙方節(jié)點均判斷本次雙向鑒權有效后，雙方節(jié)點的本地標識序號均增加固定步長。進一步的，雙方節(jié)點的本地標識序號的初始值均置為0，在雙向鑒權過程中：

一方節(jié)點接收并解密對方標識序號后與本地標識序號比較，驗證是否滿足防重放攻擊條件，如果不滿足則判斷本次雙向鑒權無效，雙方節(jié)點的本地標識序號均復位為0，如果滿足則判斷本次雙向鑒權有效；雙方節(jié)點均判斷本次雙向鑒權有效后，雙方節(jié)點的本地標識序號均增加1；所述防重放攻擊條件為解密出的對方標識序號與本地標識序號之間的差值不超出設定的門限值。