无线Mesh网络中安全有效的即时认证方法专利

【摘要】 无线Mesh网络中安全有效的即时认证方法属于计算机网络领域。该方法 包括标识证书预分配、通行证签署发布和即时认证三个阶段。在标识证书预 分配阶段，离线CA和认证中心合理分配标识证书，保证本地网络认证中心、 访问网络认证中心和移动终端持有离线CA发布的标识证书，无线Mesh接入 点持有认证中心发布的标识证书。在通行证签署发布阶段，本地网络认证中 心为移动终端签署发布通行证。最后，移动终端与无线Mesh接入点实现安全 有效的双向即时认证。该方法可以充分利用现已广泛部署的公钥基础设施资 源，减少漫游认证的资源消耗，减小漫游认证的延迟，并且不具有公钥基础 设施证书使用上的复杂性，方便部署实现。 【专利类型】发明授权 【申请人】北京工业大学 【申请人类型】学校 【申请人地址】100124北京市朝阳区平乐园100号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】朝阳区 【申请号】CN200810239957.6 【申请日】2008-12-16 【申请年份】2008 【公开公告号】CN100584117C 【公开公告日】2010-01-20 【公开公告年份】2010 【授权公告号】CN100584117C 【授权公告日】2010-01-20 【授权公告年份】2010.0 【发明人】何泾沙; 韦潜; 张兴 【主权项内容】1.一种无线Mesh网络中安全有效的即时认证方法，其特征在于：整个 技术方案包括标识证书预分配、通行证签署发布和即时认证三个阶段；无线 Mesh网络包括至少一个离线CA、一个本地网络、一个访问网络和一个移动终 端，本地网络和访问网络分别包括至少一个认证中心和至少一个无线Mesh接 入点；具体步骤如下： 1.标识证书预分配阶段 标识证书预分配阶段包括以下具体步骤： 1.1离线CA为本地网络认证中心、访问网络认证中心和移动终端分配标 识证书、公钥和私钥； 本地网络认证中心AuC1获得的标识证书、公钥和私钥包括：离线CA为本 地网络认证中心AuC1发布的标识证书CA《AuC1》、离线CA的公钥PK、本地网 络认证中心AuC1的私钥SK1； 访问网络认证中心AuC2获得的标识证书、公钥和私钥包括：离线CA为访 问网络认证中心AuC2发布的标识证书CA《AuC2》、离线CA的公钥PK、访问网 络认证中心AuC2的私钥SK2； 移动终端MT获得的标识证书、公钥和私钥包括：离线CA为移动终端MT 发布的公钥证书CA《CertificateMT》、离线CA的公钥PK、移动终端MT的私 钥SKMT； 所述标识证书CA《AuC1》包括{AuC1标识、AuC1公钥、CA对标识证书的数 字签名}三部分； 所述标识证书CA《AuC2》包括{AuC2标识、AuC2公钥、CA对标识证书的数 字签名}三部分； 1.2本地网络认证中心为本地网络无线Mesh接入点分配标识证书、公钥 和私钥；访问网络认证中心为访问网络无线Mesh接入点分配标识证书、公钥 和私钥； 本地网络无线Mesh接入点MAP1获得的标识证书、公钥和私钥包括：本地 网络认证中心AuC1为无线Mesh接入点MAP1发布的标识证书AuC1《MAP1》、本 地网络认证中心AuC1的公钥PK1、无线Mesh接入点MAP1的私钥SKAP1； 访问网络无线Mesh接入点MAP2获得的标识证书、公钥和私钥包括：访问 网络认证中心AuC2为无线Mesh接入点MAP2发布的标识证书AuC2《MAP2》、访 问网络认证中心AuC2的公钥PK2、无线Mesh接入点MAP2的私钥SKAP2； 所述标识证书AuC1《MAP1》包括{MAP1标识、MAP1公钥、AuC1对标识证书的 数字签名}三部分； 所述标识证书AuC2《MAP2》包括{MAP2标识、MAP2公钥、AuC2对标识证书的 数字签名}三部分； 2.通行证签署发布阶段 通行证签署发布阶段包括以下具体步骤： 2.1移动终端MT向本地网络认证中心AuC1提交公钥证书 CA《CertificateMT》； 2.2本地网络认证中心AuC1通过离线CA的公钥PK验证公钥证书 CA《CertificateMT》是否真实可信； 如果公钥证书CA《CertificateMT》被验证是不真实的，本地网络认证中 心AuC1拒绝为移动终端MT提供服务； 如果公钥证书CA《CertificateMT》被验证是真实可信的，本地网络认证 中心AuC1为移动终端MT制作通行证AuC1《PassportMT》；通行证 AuC1《PassportMT》以移动终端MT的公钥加密传送给移动终端MT； 所述通行证AuC1《PassportMT》包括{MT标识、MT公钥、MT角色、MT安 全级别、通行证有效期限、AuC1标识证书CA《AuC1》、AuC1对通行证的数字签 名、None}；当移动终端MT只在本地网络漫游时，通行证AuC1《PassportMT》 中的None区域为空；当移动终端MT漫游进入访问网络并且被允许接入访问 网络时，访问网络认证中心为移动终端MT签署通行证，并将签署的内容写入 通行证AuC1《PassportMT》中的None区域； 2.3移动终端MT用私钥解密后，通过离线CA的公钥PK验证通行证 AuC1《PassportMT》中包含的标识证书CA《AuC1》是否真实可信； 如果标识证书CA《AuC1》被验证是不真实的，移动终端MT拒绝接受通行 证AuC1《PassportMT》； 如果标识证书CA《AuC1》被验证是真实可信的，移动终端MT再通过标识 证书CA《AuC1》中包含的本地网络认证中心AuC1的公钥PK1验证通行证 AuC1《PassportMT》是否真实可信； 如果通行证AuC1《PassportMT》被验证是不真实的，移动终端MT拒绝接 受通行证AuC1《PassportMT》； 如果通行证AuC1《PassportMT》被验证是真实可信的，移动终端MT接受 通行证AuC1《PassportMT》； 3.即时认证阶段 根据移动终端的具体漫游场景不同，即时认证阶段包括本地网络漫游认 证、访问网络初始接入认证和访问网络漫游认证三种认证过程； 本地网络漫游认证包括以下具体步骤： (1)移动终端MT向本地网络无线Mesh接入点MAP1提交通行证 AuC1《PassportMT》； (2)无线Mesh接入点MAP1通过本地网络认证中心AuC1的公钥PK1验证通 行证AuC1《PassportMT》是否真实可信； 如果通行证AuC1《PassportMT》被验证是不真实的，无线Mesh接入点MAP1 拒绝为移动终端MT提供接入服务； 如果通行证AuC1《PassportMT》被验证是真实可信的，无线Mesh接入点 MAP1将本地网络认证中心AuC1发布的标识证书AuC1《MAP1》以移动终端MT的 公钥加密传送给移动终端MT； (3)移动终端MT用私钥解密后，通过本地网络认证中心AuC1的公钥PK1 验证标识证书AuC1《MAP1》是否真实可信； 如果标识证书AuC1《MAP1》被验证是不真实的，移动终端MT拒绝接受无 线Mesh接入点MAP1提供的接入服务； 如果标识证书AuC1《MAP1》被验证是真实可信的，移动终端MT接受无线 Mesh接入点MAP1提供的接入服务； 访问网络初始接入认证包括以下具体步骤： (a1)移动终端MT向访问网络认证中心AuC2提交由本地网络认证中心 AuC1发布的通行证AuC1《PassportMT》； (a2)访问网络认证中心AuC2通过离线CA的公钥PK验证通行证 AuC1《PassportMT》中包含的标识证书CA《AuC1》是否真实可信； 如果标识证书CA《AuC1》被验证是不真实的，访问网络认证中心AuC2拒 绝为移动终端MT提供接入服务； 如果标识证书CA《AuC1》被验证是真实可信的，访问网络认证中心AuC2 再通过标识证书CA《AuC1》中包含的本地网络认证中心AuC1的公钥PK1验证通 行证AuC1《PassportMT》是否真实可信； 如果通行证AuC1《PassportMT》被验证是不真实的，访问网络认证中心 AuC2拒绝为移动终端MT提供接入服务； 如果通行证AuC1《PassportMT》被验证是真实可信的，访问网络认证中心 AuC2为移动终端MT签署通行证，签署后的通行证AuC2《PassportMT》以移动终 端MT的公钥加密传送给移动终端MT； 所述通行证AuC2《PassportMT》是访问网络认证中心AuC2将签署的内容写 入通行证AuC1《PassportMT》中的None区域后得到的通行证，其中签署的内 容为{MT标识、MT公钥、MT角色、MT安全级别、通行证有效期限、AuC2标识 证书CA《AuC2》、AuC2对整个通行证的数字签名}； (a3)移动终端MT用私钥解密后，通过离线CA的公钥PK验证通行证 AuC2《PassportMT》中包含的标识证书CA《AuC2》是否真实可信； 如果标识证书CA《AUC2》被验证是不真实的，移动终端MT拒绝接受通行 证AuC2《PassportMT》； 如果标识证书CA《AuC2》被验证是真实可信的，移动终端MT再通过标识 证书CA《AuC2》中包含的访问网络认证中心AuC2的公钥PK2验证通行证 AuC2《PassportMT》是否真实可信； 如果通行证AuC2《PassportMT》被验证是不真实的，移动终端MT拒绝接 受通行证AuC2《PassportMT》； 如果通行证AuC2《PassportMT》被验证是真实可信的，移动终端MT接受 通行证AuC2《PassportMT》； 访问网络漫游认证包括以下具体步骤： (b1)移动终端MT向访问网络无线Mesh接入点MAP2提交由访问网络认证 中心AuC2签署的通行证AuC2《PassportMT》； (b2)无线Mesh接入点MAP2通过访问网络认证中心AuC2的公钥PK2验证通 行证AuC2《PassportMT》是否真实可信； 如果通行证AuC2《PassportMT》被验证是不真实的，无线Mesh接入点MAP2 拒绝为移动终端MT提供接入服务； 如果通行证AuC2《PassportMT》被验证是真实可信的，无线Mesh接入点 MAP2将访问网络认证中心AuC2发布的标识证书AuC2《MAP2》以移动终端MT的 公钥加密传送给移动终端MT； (b3)移动终端MT用私钥解密后，通过访问网络认证中心AuC2的公钥PK2 验证标识证书AuC2《MAP2》是否真实可信； 如果标识证书AuC2《MAP2》被验证是不真实的，移动终端MT拒绝接受无 线Mesh接入点MAP2提供的接入服务； 如果标识证书AuC2《MAP2》被验证是真实可信的，移动终端MT接受无线 Mesh接入点MAP2提供的接入服务。 【当前权利人】北京工业大学 【当前专利权人地址】北京市朝阳区平乐园100号 【专利权人类型】公立 【统一社会信用代码】12110000400687411U 【家族被引证次数】10