Khi một node muốn kết nối với mạng thì nó phải được nhận thực. Quá trình nhận thực được diễn ra với giao thức PKM (privacy key management).quá trình nhận thực diễn ra như sau.
Đầu tiên node mới cần tìm kiếm các node tài trợ bằng cách gởi các gói tin MSH-NENT,MSH-NCFG.Các node tài trợ sẽ cung cấp một phần băng thông của nó để cung cấp một kênh tài trợ. Sau khi tìm được node tài trợ,node mới sẽ gởi gói tin PKM-REQ đến server nhận thực. Tuy nhiên do nó không thể kết nối trực tiếp đến trạm gốc và server nhận thực nên node tài trợ gởi gói tin này bằng giao thức UDP qua tunnel (tunnel là một đường ống riêng). Gói tin PKM-REQ mang theo chứng thực X.509 (một đề nghị của ITU). Trong X.509 mang thông tin xác thực của node mới và chứa khóa RSA công khai.Nếu node mới này được xác thực thì sever nhận thực sẽ gởi trở lại gói tin PKM-RSP chứa đựng về chia sẻ bí mật hoạt động,danh sách những hợp đồng bảo mật,những khóa nhận thực (authorization keys: AKs),tất cả những thông tin này sẽ được mã hóa với khóa RSA công khai của node mới.
Thông tin về chia sẻ bí mật hoạt động được sử dụng để xác nhận tính hợp lệ trong quá trình thành lập kết nối,nó được sử dụng để tính toán HMACs (hashing message authentication codes:hàm băm dùng để chứng thực các gói tin và dữ liệu).
Những hợp đồng bảo mật được sử dụng để quản lý thông tin mã hóa cho các kết nối và phân công cho các AKs để kết nối.AKs được sử dụng để suy ra chìa khóa mã hóa khóa KEKs cho các giao tiếp với PKM sau đó cũng như là để xác nhận các giao tiếp PKM trong hợp đồng bảo mật với hàm băm HMACs. Những hợp đồng bảo mật có giới hạn về thời gian,nên giao thức PKM yêu cầu các node nhận thực lại theo định kỳ để có các AKs mới.
Trạm gốc luôn gởi các tham số về hợp đồng bảo mật và tùy vào đó các node được lựa chọn Qos cao hay thấp.
nhận thực trong mesh network
Sử dụng VPN cho bảo mật trong mesh network
Với cơ chế nhân thực như trên thì mạng nhận thực có thể bị xâm nhập bằng kỹ thuật tấn công " man in the middle ".Khi mà chứng thực X.509 gởi tới các node mới khóa công khai thì một node giả mạo sẽ giả danh như là một node chứng thực cung cấp thông tin giả cho node mới. Các node giả có AP phát sóng với công suất cao hơn AP hợp pháp nên node mới sẽ kết nối với nó.
Để khắc phục các nhà nghiên cứu đưa ra giải pháp sử dụng VPN tunnel và mã hóa ngay tại đầu cuối ở lớp mạng.
VPN: virtual private network một mạng riêng tư ảo. VPN tunnel là đường ống riêng trong mạng ảo VPN,các gói tin truyền trong đường truyền này được mã hóa để phòng tránh việc đánh cắp gói tin.
Đầu tiên thêm vào một server VPN phía sau POP nhưng trước khi đi ra Internet,sever VPN này sử dụng trên subnet riêng. Khi các WTs muốn kết nối phải thỏa thuận với server VPN sau đó sever mới cấp cho nó những đường ống riêng.Đường ống VPN có nhiều chế độ,nó có thể mã hóa payload hoặc cả hai phần header của gói IP và payload. Nhờ vậy dữ liệu truyền được bảo mật.
