公开/公告号CN101426201A
专利类型发明专利
公开/公告日2009-05-06
原文格式PDF
申请/专利权人 北京工业大学;
申请/专利号CN200810239957.6
申请日2008-12-16
分类号H04W12/06(20090101);H04W12/08(20090101);H04L9/32(20060101);H04L29/06(20060101);H04W84/18(20090101);
代理机构11203 北京思海天达知识产权代理有限公司;
代理人刘萍
地址 100124 北京市朝阳区平乐园100号
入库时间 2023-12-17 21:53:28
法律状态公告日
法律状态信息
法律状态
2016-02-10
未缴年费专利权终止 IPC(主分类):H04W12/06 授权公告日:20100120 终止日期:20141216 申请日:20081216
专利权的终止
2010-01-20
授权
授权
2009-07-01
实质审查的生效
实质审查的生效
2009-05-06
公开
公开
技术领域
本发明涉及一种无线Mesh网络漫游的即时认证方法,具体是一种基于标识证书预分配的无线Mesh网络漫游的即时认证方法,可以用于无线Mesh网络中移动终端和无线Mesh接入点之间安全有效的双向即时认证,属于计算机网络领域。
背景技术
在无线Mesh网络中,现已部署实施的针对移动终端漫游进入访问网络的接入认证方法,大多需要访问网络认证中心与本地网络认证中心进行认证信息的交互。首先,访问网络认证中心将移动终端的认证信息通过安全信道传送给本地网络认证中心。然后,本地网络认证中心对移动终端的身份标识进行认证,并将认证结果通过安全信道传送给访问网络认证中心。最后,访问网络认证中心根据本地网络认证中心传送的认证结果,对移动终端做出接受接入或者拒绝接入的反馈。访问网络认证中心与本地网络认证中心之间的安全通信消耗了大量的网络资源,增加了漫游认证的延迟。
目前现有的即时认证方法没有考虑对现己广泛部署的公钥基础设施资源的充分利用,算法复杂,实施不便。
发明内容
本发明的目的在于提供一种无线Mesh网络中安全有效的即时认证方法。使用该方法可以充分利用现已广泛部署的公钥基础设施资源,减少漫游认证的资源消耗,减小漫游认证的延迟,并且不具有公钥基础设施证书使用上的复杂性,方便部署实现。
为实现上述目的,本发明采取以下技术方案。整个技术方案包括标识证书预分配、通行证签署发布和即时认证三个阶段。首先,在标识证书预分配阶段,离线CA和认证中心合理分配标识证书,保证本地网络认证中心、访问网络认证中心和移动终端持有离线CA发布的标识证书,无线Mesh接入点持有认证中心发布的标识证书。其次,在通行证签署发布阶段,本地网络认证中心为移动终端签署发布通行证。最后,在即时认证阶段,移动终端与无线Mesh接入点实现安全有效的双向即时认证。
1.标识证书预分配阶段
标识证书预分配阶段如图1所示,包括一个离线CA、一个本地网络、一个访问网络和一个移动终端,本地网络和访问网络分别包括一个认证中心和一个无线Mesh接入点。标识证书预分配阶段包括以下具体步骤:
1.1 离线CA为本地网络认证中心、访问网络认证中心和移动终端分配标识证书、公钥和私钥。
本地网络认证中心AuC1获得的标识证书、公钥和私钥包括:离线CA为本地网络认证中心AuC1发布的标识证书CA<<AuC1>>、离线CA的公钥PK、本地网络认证中心AuC1的私钥SK1。
访问网络认证中心AuC2获得的标识证书、公钥和私钥包括:离线CA为访问网络认证中心AuC2发布的标识证书CA<<AuC2>>、离线CA的公钥PK、访问网络认证中心AuC2的私钥SK2。
移动终端MT获得的标识证书、公钥和私钥包括:离线CA为移动终端MT发布的公钥证书CA<<CertificateMT>>、离线CA的公钥PK、移动终端MT的私钥SKMT。
所述标识证书CA<<AuC1>>包括{AuC1标识||AuC1公钥||CA对标识证书的数字签名}三部分。
所述标识证书CA<<AuC2>>包括{AuC2标识||AuC2公钥||CA对标识证书的数字签名}三部分。
1.2 本地网络认证中心为本地网络无线Mesh接入点分配标识证书、公钥和私钥。访问网络认证中心为访问网络无线Mesh接入点分配标识证书、公钥和私钥。
本地网络无线Mesh接入点MAP1获得的标识证书、公钥和私钥包括:本地网络认证中心AuC1为无线Mesh接入点MAP1发布的标识证书AuC1<<MAP1>>、本地网络认证中心AuC1的公钥PK1、无线Mesh接入点MAP1的私钥SKAP1。
访问网络无线Mesh接入点MAP2获得的标识证书、公钥和私钥包括:访问网络认证中心AuC2为无线Mesh接入点MAP2发布的标识证书AuC2<<MAP2>>、访问网络认证中心AuC2的公钥PK2、无线Mesh接入点MAP2的私钥SKAP2。
所述标识证书AuC1<<MAP1>>包括{MAP1标识||MAP1公钥||AuC1对标识证书的数字签名}三部分。
所述标识证书AuC2<<MAP2>>包括{MAP2标识||MAP2公钥||AuC2对标识证书的数字签名}三部分。
2.通行证签署发布阶段
通行证签署发布阶段如图2所示,包括以下具体步骤:
2.1 移动终端MT向本地网络认证中心AuC1提交公钥证书CA<<CertificateMT>>。
2.2 本地网络认证中心AuC1通过离线CA的公钥PK验证公钥证书CA<<CertificateMT>>是否真实可信。
如果公钥证书CA<<CertificateMT>>被验证是不真实的,本地网络认证中心AuC1拒绝为移动终端MT提供服务。
如果公钥证书CA<<CertificateMT>>被验证是真实可信的,本地网络认证中心AuC1为移动终端MT制作通行证AuC1<<PassportMT>>。通行证AuC1<<PassportMT>>以移动终端MT的公钥加密传送给移动终端MT。
所述通行证AuC1<<PassportMT>>包括{MT标识||MT公钥||MT角色||MT安全级别||通行证有效期限||AuC1标识证书CA<<AuC1>>||AuC1对通行证的数字签名||None}。当移动终端MT只在本地网络漫游时,通行证AuC1<<PassportMT>>中的None区域为空。当移动终端MT漫游进入访问网络并且被允许接入访问网络时,访问网络认证中心为移动终端MT签署通行证,并将签署的内容写入通行证AuC1<<PassportMT>>中的None区域。
2.3 移动终端MT用私钥解密后,通过离线CA的公钥PK验证通行证AuC1<<PassportMT>>中包含的标识证书CA<<AuC1>>是否真实可信。
如果标识证书CA<<AuC1>>被验证是不真实的,移动终端MT拒绝接受通行证AuC1<<PassportMT>>。
如果标识证书CA<<AuC1>>被验证是真实可信的,移动终端MT再通过标识证书CA<<AuC1>>中包含的本地网络认证中心AuC1的公钥PK1验证通行证AuC1<<PassportMT>>是否真实可信。
如果通行证AuC1<<PassportMT>>被验证是不真实的,移动终端MT拒绝接受通行证AuC1<<PassportMT>>。
如果通行证AuC1<<PassportMT>>被验证是真实可信的,移动终端MT接受通行证AuC1<<PassportMT>>。
3.即时认证阶段
根据移动终端的具体漫游场景不同,即时认证阶段包括本地网络漫游认证、访问网络初始接入认证和访问网络漫游认证三种认证过程。
本地网络漫游认证如图3所示,包括以下具体步骤:
(1)移动终端MT向本地网络无线Mesh接入点MAP1提交通行证AuC1<<PassportMT>>。
(2)无线Mesh接入点MAP1通过本地网络认证中心AuC1的公钥PK1验证通行证AuC1<<PassportMT>>是否真实可信。
如果通行证AuC1<<PassportMT>>被验证是不真实的,无线Mesh接入点MAP1拒绝为移动终端MT提供接入服务。
如果通行证AuC1<<PassportMT>>被验证是真实可信的,无线Mesh接入点MAP1将本地网络认证中心AuC1发布的标识证书AuC1<<MAP1>>以移动终端MT的公钥加密传送给移动终端MT。
(3)移动终端MT用私钥解密后,通过本地网络认证中心AuC1的公钥PK1验证标识证书AuC1<<MAP1>>是否真实可信。
如果标识证书AuC1<<MAP1>>被验证是不真实的,移动终端MT拒绝接受无线Mesh接入点MAP1提供的接入服务。
如果标识证书AuC1<<MAP1>>被验证是真实可信的,移动终端MT接受无线Mesh接入点MAP1提供的接入服务。
访问网络初始接入认证如图4所示,包括以下具体步骤:
(a1)移动终端MT向访问网络认证中心AuC2提交由本地网络认证中心AuC1发布的通行证AuC1<<PassportMT>>。
(a2)访问网络认证中心AuC2通过离线CA的公钥PK验证通行证AuC1<<PassportMT>>中包含的标识证书CA<<AuC1>>是否真实可信。
如果标识证书CA<<AuC1>>被验证是不真实的,访问网络认证中心AuC2拒绝为移动终端MT提供接入服务。
如果标识证书CA<<AuC1>>被验证是真实可信的,访问网络认证中心AuC2再通过标识证书CA<<AuC1>>中包含的本地网络认证中心AuC1的公钥PK1验证通行证AuC1<<PassportMT>>是否真实可信。
如果通行证AuC1<<PassportMT>>被验证是不真实的,访问网络认证中心AuC2拒绝为移动终端MT提供接入服务。
如果通行证AuC1<<PassportMT>>被验证是真实可信的,访问网络认证中心AuC2为移动终端MT签署通行证,签署后的通行证AuC2<<PassportMT>>以移动终端MT的公钥加密传送给移动终端MT。
所述通行证AuC2<<PassportMT>>是访问网络认证中心AuC2将签署的内容{MT标识||MT公钥||MT角色||MT安全级别||通行证有效期限||AuC2标识证书CA<<AuC2>>||AuC2对整个通行证的数字签名}写入通行证AuC1<<PassportMT>>中的None区域后得到的通行证。
(a3)移动终端MT用私钥解密后,通过离线CA的公钥PK验证通行证AuC2<<PassportMT>>中包含的标识证书CA<<AuC2>>是否真实可信。
如果标识证书CA<<AuC2>>被验证是不真实的,移动终端MT拒绝接受通行证AuC2<<PassportMT>>。
如果标识证书CA<<AuC2>>被验证是真实可信的,移动终端MT再通过标识证书CA<<AuC2>>中包含的访问网络认证中心AuC2的公钥PK2验证通行证AuC2<<PassportMT>>是否真实可信。
如果通行证AuC2<<PassportMT>>被验证是不真实的,移动终端MT拒绝接受通行证AuC2<<PassportMT>>。
如果通行证AuC2<<PassportMT>>被验证是真实可信的,移动终端MT接受通行证AuC2<<PassportMT>>。
访问网络漫游认证包括以下具体步骤:
(b1)移动终端MT向访问网络无线Mesh接入点MAP2提交由访问网络认证中心AuC2签署的通行证AuC2<<PassportMT>>。
(b2)无线Mesh接入点MAP2通过访问网络认证中心AuC2的公钥PK2验证通行证AuC2<<PassportMT>>是否真实可信。
如果通行证AuC2<<PassportMT>>被验证是不真实的,无线Mesh接入点MAP2拒绝为移动终端MT提供接入服务。
如果通行证AuC2<<PassportMT>>被验证是真实可信的,无线Mesh接入点MAP2将访问网络认证中心AuC2发布的标识证书AuC2<<MAP2>>以移动终端MT的公钥加密传送给移动终端MT。
(b3)移动终端MT用私钥解密后,通过访问网络认证中心AuC2的公钥PK2验证标识证书AuC2<<MAP2>>是否真实可信。
如果标识证书AuC2<<MAP2>>被验证是不真实的,移动终端MT拒绝接受无线Mesh接入点MAP2提供的接入服务。
如果标识证书AuC2<<MAP2>>被验证是真实可信的,移动终端MT接受无线Mesh接入点MAP2提供的接入服务。
当无线Mesh网络扩展包括至少2个离线CA,每个离线CA区域包括一个本地网络、至少两个访问网络和至少一个移动终端,每个本地网络和访问网络包括至少一个认证中心和至少一个无线Mesh接入点时,本发明技术方案包括标识证书预分配、通行证签署发布和即时认证三个阶段。
r1.标识证书预分配阶段
标识证书预分配阶段包括以下具体步骤:
r1.1 离线CA1和离线CA2分别为本地网络认证中心、访问网络认证中心和移动终端分配标识证书、公钥和私钥。
离线CA1区域内的本地网络认证中心AuC11获得的标识证书、公钥和私钥包括:离线CA1为本地网络认证中心AuC11发布的标识证书CA1<<AuC11>>、离线CA1为离线CA2发布的标识证书CA1<<CA2>>、离线CA1的公钥PK1、本地网络认证中心AuC11的私钥SK11。
离线CA1区域内的访问网络认证中心AuC12获得的标识证书、公钥和私钥包括:离线CA1为访问网络认证中心AuC12发布的标识证书CA1<<AuC12>>、离线CA1为离线CA2发布的标识证书CA1<<CA2>>、离线CA1的公钥PK1、访问网络认证中心AuC12的私钥SK12。
离线CA1区域内的访问网络认证中心AuC13获得的标识证书、公钥和私钥包括:离线CA1为访问网络认证中心AuC13发布的标识证书CA1<<AuC13>>、离线CA1为离线CA2发布的标识证书CA1<<CA2>>、离线CA1的公钥PK1、访问网络认证中心AuC13的私钥SK13。
离线CA1区域内的移动终端MT1获得的标识证书、公钥和私钥包括:离线CA1为移动终端MT1发布的公钥证书CA1<<CertificateMT1>>、离线CA1的公钥PK1、移动终端MT1的私钥SKMT1。
离线CA2区域内的本地网络认证中心AuC21获得的标识证书、公钥和私钥包括:离线CA2为本地网络认证中心AuC21发布的标识证书CA2<<AuC21>>、离线CA2为离线CA1发布的标识证书CA2<<CA1>>、离线CA2的公钥PK2、本地网络认证中心AuC21的私钥SK21。
离线CA2区域内的访问网络认证中心AuC22获得的标识证书、公钥和私钥包括:离线CA2为访问网络认证中心AuC22发布的标识证书CA2<<AuC22>>、离线CA2为离线CA1发布的标识证书CA2<<CA1>>、离线CA2的公钥PK2、访问网络认证中心AuC22的私钥SK22。
离线CA2区域内的访问网络认证中心AuC23获得的标识证书、公钥和私钥包括:离线CA2为访问网络认证中心AuC23发布的标识证书CA2<<AuC23>>、离线CA2为离线CA1发布的标识证书CA2<<CA1>>、离线CA2的公钥PK2、访问网络认证中心AuC23的私钥SK23。
离线CA2区域内的移动终端MT2获得的标识证书、公钥和私钥包括:离线CA2为移动终端MT2发布的公钥证书CA2<<CertificateMT2>>、离线CA2的公钥PK2、移动终端MT2的私钥SKMT2。
所述标识证书CA1<<CA2>>包括{CA2标识||CA2公钥||CA1对标识证书的数字签名}三部分。
所述标识证书CA2<<CA1>>包括{CA1标识||CA1公钥||CA2对标识证书的数字签名}三部分。
r1.2 本地网络认证中心为本地网络无线Mesh接入点分配标识证书、公钥和私钥。访问网络认证中心为访问网络无线Mesh接入点分配标识证书、公钥和私钥。
离线CA1区域内的本地网络无线Mesh接入点MAP111获得的标识证书、公钥和私钥包括:本地网络认证中心AuC11为无线Mesh接入点MAP111发布的标识证书AuC11<<MAP111>>、本地网络认证中心AuC11的公钥PK11、无线Mesh接入点MAP111的私钥SK111。
离线CA1区域内的访问网络无线Mesh接入点MAP121获得的标识证书、公钥和私钥包括:访问网络认证中心AuC12为无线Mesh接入点MAP121发布的标识证书AuC12<<MAP121>>、访问网络认证中心AuC12的公钥PK12、无线Mesh接入点MAP121的私钥SK121。
离线CA1区域内的访问网络无线Mesh接入点MAP131获得的标识证书、公钥和私钥包括:访问网络认证中心AuC13为无线Mesh接入点MAP131发布的标识证书AuC13<<MAP131>>、访问网络认证中心AuC13的公钥PK13、无线Mesh接入点MAP131的私钥SK131。
离线CA2区域内的本地网络无线Mesh接入点MAP211获得的标识证书、公钥和私钥包括:本地网络认证中心AuC21为无线Mesh接入点MAP211发布的标识证书AuC21<<MAP211>>、本地网络认证中心AuC21的公钥PK21、无线Mesh接入点MAP211的私钥SK211。
离线CA2区域内的访问网络无线Mesh接入点MAP221获得的标识证书、公钥和私钥包括:访问网络认证中心AuC22为无线Mesh接入点MAP221发布的标识证书AuC22<<MAP221>>、访问网络认证中心AuC22的公钥PK22、无线Mesh接入点MAP221的私钥SK221。
离线CA2区域内的访问网络无线Mesh接入点MAP231获得的标识证书、公钥和私钥包括:访问网络认证中心AuC23为无线Mesh接入点MAP231发布的标识证书AuC23<<MAP231>>、访问网络认证中心AuC23的公钥PK23、无线Mesh接入点MAP231的私钥SK231。
r2.通行证签署发布阶段
通行证签署发布阶段包括以下具体步骤:
r2.1 移动终端MT1向本地网络认证中心AuC11提交公钥证书CA1<<CertificateMT1>>。
r2.2 本地网络认证中心AuC11通过离线CA1的公钥PK1验证公钥证书CA1<<CertificateMT1>>是否真实可信。
如果公钥证书CA1<<CertificateMT1>>被验证是不真实的,本地网络认证中心AuC11拒绝为移动终端MT1提供服务。
如果公钥证书CA1<<CertificateMT1>>被验证是真实可信的,本地网络认证中心AuC11为移动终端MT1制作通行证AuC11<<PassportMT1>>。通行证AuC11<<PassportMT1>>和标识证书CA1<<CA2>>以移动终端MT1的公钥加密传送给移动终端MT1。
r2.3 移动终端MT1用私钥解密后,通过离线CA1的公钥PK1验证通行证AuC11<<PassportMT1>>中包含的标识证书CA1<<AuC11>>是否真实可信。
如果标识证书CA1<<AuC11>>被验证是不真实的,移动终端MT1拒绝接受通行证AuC11<<PassportMT1>>。
如果标识证书CA1<<AuC11>>被验证是真实可信的,移动终端MT1再通过标识证书CA1<<AuC11>>中包含的本地网络认证中心AuC11的公钥PK11验证通行证AuC11<<PassportMT1>>是否真实可信。
如果通行证AuC11<<PassportMT1>>被验证是不真实的,移动终端MT1拒绝接受通行证AuC11<<PassportMT1>>。
如果通行证AuC11<<PassportMT1>>被验证是真实可信的,移动终端MT1接受通行证AuC11<<PassportMT1>>。
移动终端MT2的通行证签署发布阶段发生在移动终端MT2和本地网络认证中心AuC21之间,通行证签署发布阶段包括的具体步骤如r2所述。
r3.即时认证阶段
根据移动终端的具体漫游场景不同,即时认证阶段包括本地网络漫游认证、访问网络初始接入认证、访问网络漫游认证和CA域间漫游认证四种认证过程。本地网络漫游认证、访问网络初始接入认证和访问网络漫游认证包括的具体步骤如3所述。
离线CA1区域内的移动终端MT1由离线CA1区域漫游进入离线CA2区域的AuC21认证区域内,CA域间漫游认证包括以下具体步骤:
(I)移动终端MT1向离线CA2区域内的认证中心AuC21提交离线CA1发布的公钥证书CA1<<CertificateMT1>>。
(II)离线CA2区域内的认证中心AuC21通过标识证书CA2<<CA1>>中包含的离线CA1的公钥PK1验证公钥证书CA1<<CertificateMT1>>是否真实可信。
如果公钥证书CA1<<CertificateMT1>>被验证是不真实的,认证中心AuC21拒绝为移动终端MT1提供接入服务。
如果公钥证书CA1<<CertificateMT1>>被验证是真实可信的,认证中心AuC21为移动终端MT1制作通行证AuC21<<PassportMT1>>。通行证AuC21<<PassportMT1>>以移动终端MT1的公钥加密传送给移动终端MT1。
(III)移动终端MT1用私钥解密后,通过标识证书CA1<<CA2>>中包含的离线CA2的公钥PK2验证通行证AuC21<<PassportMT1>>中包含的标识证书CA2<<AuC21>>是否真实可信。
如果标识证书CA2<<AuC21>>被验证是不真实的,移动终端MT1拒绝接受通行证AuC21<<PassportMT1>>。
如果标识证书CA2<<AuC21>>被验证是真实可信的,移动终端MT1再通过标识证书CA2<<AuC21>>中包含的认证中心AuC21的公钥PK21验证通行证AuC21<<PassportMT1>>是否真实可信。
如果通行证AuC21<<PassportMT1>>被验证是不真实的,移动终端MT1拒绝接受通行证AuC21<<PassportMT1>>。
如果通行证AuC21<<PassportMT1>>被验证是真实可信的,移动终端MT1接受通行证AuC21<<PassportMT1>>。
本发明提出的一种无线Mesh网络中安全有效的即时认证方法充分利用了现有的公钥基础设施资源,省去了访问网络认证中心和本地网络认证中心之间认证信息的交互,减少了认证中心参与漫游认证的次数,并且没有公钥基础设施证书使用上的复杂性,达到移动终端与无线Mesh接入点之间安全有效的双向即时认证的目的。
附图说明
图1本发明的标识证书预分配方案图
图2本发明的通行证签署发布图
图3本发明的本地网络漫游认证图
图4本发明的访问网络初始接入认证图
图5本发明的即时认证实施场景图
具体实施方式
具体实施示例如图5所示,具有以下特征:
整个无线Mesh网络包括一个本地网络H、一个访问网络V和一个只有在分配证书、更新证书和发布变更信息时才接入网络的离线CA。
本地网络H包括一个认证中心HAuC、一个Mesh路由器HMR和三个Mesh接入点HMAP1、HMAP2、HMAP3。
访问网络V包括一个认证中心VAuC、一个Mesh路由器VMR和三个Mesh接入点VMAP1、VMAP2、VMAP3。
本地网络Mesh路由器HMR与认证中心HAuC有线连接,访问网络Mesh路由器VMR与认证中心VAuC有线连接。
本地网络Mesh接入点HMAP1、HMAP2、HMAP3和访问网络Mesh接入点VMAP1、VMAP2、VMAP3聚集成簇,分别通过本地网络Mesh路由器HMR和访问网络Mesh路由器VMR以11Mbps无线连接。
Mesh路由器HMR和VMR的通讯距离为500米,Mesh接入点HMAP1、HMAP2、HMAP3和VMAP1、VMAP2、VMAP3的通讯距离为100米。
本地网络Mesh路由器HMR和访问网络Mesh路由器VMR分别与Internet有线连接。
整个无线Mesh网络中无线通信采用IEEE8 02.11b的MAC层协议,有线通信采用IEEE 802.3的MAC层协议。
本发明具体实施时包括标识证书预分配、通行证签署发布和即时认证三个阶段。
s1.标识证书预分配阶段
标识证书预分配阶段包括以下具体步骤:
s1.1 离线CA为本地网络认证中心HAuC、访问网络认证中心VAuC和移动终端MT分配标识证书、公钥和私钥。
本地网络认证中心HAuC获得的标识证书、公钥和私钥包括:离线CA为本地网络认证中心HAuC发布的标识证书{ID1||PK1||SIGCA}、离线CA的公钥PK、本地网络认证中心HAuC的私钥SK1。
访问网络认证中心VAuC获得的标识证书、公钥和私钥包括:离线CA为访问网络认证中心VAuC发布的标识证书{ID2||PK2||SIGCA}、离线CA的公钥PK、访问网络认证中心VAuC的私钥SK2。
移动终端MT获得的标识证书、公钥和私钥包括:离线CA为移动终端MT发布的公钥证书CA<<CertificateMT>>、离线CA的公钥PK、移动终端MT的私钥SKMT。
s1.2 本地网络认证中心HAuC为本地网络无线Mesh接入点HMAP1、HMAP2和HMAP3分配标识证书、公钥和私钥。访问网络认证中心VAuC为访问网络无线Mesh接入点VMAP1、VMAP2和VMAP3分配标识证书、公钥和私钥。
本地网络无线Mesh接入点HMAP1获得的标识证书、公钥和私钥包括:本地网络认证中心HAuC为无线Mesh接入点HMAP1发布的标识证书{IDHAP1||PKHAP1||SIGHAuC}、本地网络认证中心HAuC的公钥PK1、无线Mesh接入点HMAP1的私钥SKHAP1。
本地网络无线Mesh接入点HMAP2获得的标识证书、公钥和私钥包括:本地网络认证中心HAuC为无线Mesh接入点HMAP2发布的标识证书{IDHAP2||PKHAP2||SIGHAuC}、本地网络认证中心HAuC的公钥PK1、无线Mesh接入点HMAP2的私钥SKHAP2。
本地网络无线Mesh接入点HMAP3获得的标识证书、公钥和私钥包括:本地网络认证中心HAuC为无线Mesh接入点HMAP3发布的标识证书{IDHAP3||PKHAP3||SIGHAuC}、本地网络认证中心HAuC的公钥PK1、无线Mesh接入点HMAP3的私钥SKHAP3。
访问网络无线Mesh接入点VMAP1获得的标识证书、公钥和私钥包括:访问网络认证中心VAuC为无线Mesh接入点VMAP1发布的标识证书{IDVAP1||PKVAP1||SIGVAuC}、访问网络认证中心VAuC的公钥PK2、无线Mesh接入点VMAP1的私钥SKVAP1。
访问网络无线Mesh接入点VMAP2获得的标识证书、公钥和私钥包括:访问网络认证中心VAuC为无线Mesh接入点VMAP2发布的标识证书{IDVAP2||PKVAP2||SIGVAuC}、访问网络认证中心VAuC的公钥PK2、无线Mesh接入点VMAP2的私钥SKVAP2。
访问网络无线Mesh接入点VMAP3获得的标识证书、公钥和私钥包括:访问网络认证中心VAuC为无线Mesh接入点VMAP3发布的标识证书{IDVAP3||PKVAP3||SIGVAuC}、访问网络认证中心VAuC的公钥PK2、无线Mesh接入点VMAP3的私钥SKVAP3。
标识证书预分配阶段完成后,无线Mesh网络成员持有的证书和公私钥情况如下表所示:
s2.通行证签署发布阶段
通行证签署发布阶段包括以下具体步骤:
s2.1 移动终端MT向本地网络认证中心HAuC提交公钥证书CA<<CertificateMT>>。
s2.2 本地网络认证中心HAuC通过离线CA的公钥PK验证公钥证书CA<<CertificateMT>>中离线CA的数字签名SIGCA是否真实可信。
如果数字签名SIGCA被验证是不真实的,本地网络认证中心HAuC拒绝为移动终端MT提供服务。
如果数字签名SIGCA被验证是真实可信的,本地网络认证中心HAuC为移动终端MT制作通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None},通行证以移动终端MT的公钥PKMT加密传送给移动终端MT。
s2.3 移动终端MT用私钥SKMT解密后,通过离线CA的公钥PK验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}中包含的标识证书{ID1||PK1||SIGCA}中离线CA的数字签名SIGCA是否真实可信。
如果数字签名SIGCA被验证是不真实的,移动终端MT拒绝接受通行证。
如果数字签名SIGCA被验证是真实可信的,移动终端MT再通过标识证书{ID1||PK1||SIGCA}中包含的本地网络认证中心HAuC的公钥PK1验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}中本地网络认证中心HAuC的数字签名SIGHAuC是否真实可信。
如果数字签名SIGHAuC被验证是不真实的,移动终端MT拒绝接受通行证。
如果数字签名SIGHAuC被验证是真实可信的,移动终端MT接受通行证。
通行证签署发布阶段完成后,移动终端MT持有的证书和公私钥情况如下表所示:
s3.即时认证阶段
移动终端MT从本地网络H漫游进入访问网络V,先后经历了本地网络漫游认证、访问网络初始接入认证和访问网络漫游认证三种认证过程。
本地网络漫游认证包括以下具体步骤:
(1)移动终端MT向本地网络无线Mesh接入点HMAP1提交通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}。
(2)无线Mesh接入点HMAP1通过本地网络认证中心HAuC的公钥PK1验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}中本地网络认证中心HAuC的数字签名SIGHAuC是否真实可信。
如果数字签名SIGHAuC被验证是不真实的,无线Mesh接入点HMAP1拒绝为移动终端MT提供接入服务。
如果数字签名SIGHAuC被验证是真实可信的,无线Mesh接入点HMAP1将本地网络认证中心HAuC发布的标识证书{IDHAP1||PKHAP1||SIGHAuC}以移动终端MT的公钥PKMT加密传送给移动终端MT。
(3)移动终端MT用私钥SKMT解密后,通过本地网络认证中心HAuC的公钥PK1验证标识证书{IDHAP1||PKHAP1||SIGHAuC}中本地网络认证中心HAuC的数字签名SIGHAuC是否真实可信。
如果数字签名SIGHAuC被验证是不真实的,移动终端MT拒绝接受无线Mesh接入点HMAP1提供的接入服务。
如果数字签名SIGHAuC被验证是真实可信的,移动终端MT接受无线Mesh接入点HMAP1提供的接入服务。
本地网络漫游认证后,移动终端MT和本地网络无线Mesh接入点HMAP1持有的证书和公私钥情况如下表所示:
访问网络初始接入认证包括以下具体步骤:
(a1)移动终端MT向访问网络认证中心VAuC提交由本地网络认证中心HAuC发布的通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||
SIGHAuC||None}。
(a2)访问网络认证中心VAuC通过离线CA的公钥PK验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}中包含的标识证书{ID1||PK1||SIGCA}中离线CA的数字签名SIGCA是否真实可信。
如果数字签名SIGCA被验证是不真实的,访问网络认证中心VAuC拒绝为移动终端MT提供接入服务。
如果数字签名SIGCA被验证是真实可信的,访问网络认证中心VAuC再通过标识证书{ID1||PK1||SIGCA}中包含的本地网络认证中心HAuC的公钥PK1验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||None}中本地网络认证中心HAuC的数字签名SIGHAuC是否真实可信。
如果数字签名SIGHAuC被验证是不真实的,访问网络认证中心VAuC拒绝为移动终端MT提供接入服务。
如果数字签名SIGHAuC被验证是真实可信的,访问网络认证中心VAuC为移动终端MT签署通行证,签署的内容{IDMT||PKMT||MT||Mid||20091231||{ID2||
PK2||SIGCA}||SIGVAuC}写入通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1
||SIGCA}||SIGHAuC||None}中的None区域。签署后的通行证{IDMT||PKMT||MT||Mid
||20091231||{ID1||PK1||SIGCA}||SIGHAuC||{IDMT||PKMT||MT|{Mid||20091231||{ID2||PK2||SIGCA}||SIGHAuC}}以移动终端MT的公钥PKMT加密传送给移动终端MT。
(a3)移动终端MT用私钥解密后,通过离线CA的公钥PK验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||{IDMT||PKMT||
MT||Mid||20091231||{ID2||PK2||SIGCA}||SIGVAuC}}中包含的标识证书{ID2||
PK2||SIGCA}中离线CA的数字签名SIGCA是否真实可信。
如果数字签名SIGCA被验证是不真实的,移动终端MT拒绝接受通行证。
如果数字签名SIGCA被验证是真实可信的,移动终端MT再通过标识证书{ID2||PK2||SIGCA}中包含的访问网络认证中心VAuC的公钥PK2验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||{IDMT||PKMT||
MT||Mid||20091231||{ID2||PK2||SIGCA}||SIGVAuC}}中访问网络认证中心VAuC的数字签名SIGVAuC是否真实可信。
如果数字签名SIGVAuC被验证是不真实的,移动终端MT拒绝接受通行证。
如果数字签名SIGVAuC被验证是真实可信的,移动终端MT接受通行证。
访问网络初始接入认证后,移动终端MT持有的证书和公私钥情况如下表所示:
访问网络漫游认证包括以下具体步骤:
(b1)移动终端MT向访问网络无线Mesh接入点VMAP1提交由访问网络认证中心VAuC签署的通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||{IDMT||PKMT||MT||Mid||20091231||{ID2||PK2||SIGCA}||SIGVAuC}}。
(b2)无线Mesh接入点VMAP1通过访问网络认证中心VAuC的公钥PK2验证通行证{IDMT||PKMT||MT||Mid||20091231||{ID1||PK1||SIGCA}||SIGHAuC||{IDMT||PKMT||MT||Mid||20091231||{ID2||PK2||SIGCA}||SIGVAuC}}中访问网络认证中心VAuC的数字签名SIGVAuC是否真实可信。
如果数字签名SIGVAuC被验证是不真实的,无线Mesh接入点VMAP1拒绝为移动终端MT提供接入服务。
如果数字签名SIGVAuC被验证是真实可信的,无线Mesh接入点VMAP1将访问网络认证中心VAuC发布的标识证书{IDVAP1||PKVAP1||SIGVAuC}以移动终端MT的公钥PKMT加密传送给移动终端MT。
(b3)移动终端MT用私钥解密后,通过访问网络认证中心VAuC的公钥PK2验证标识证书{IDVAP1||PKVAP1||SIGVAuC}中访问网络认证中心VAuC的数字签名SIGVAuC是否真实可信。
如果数字签名SIGVAuC被验证是不真实的,移动终端MT拒绝接受无线Mesh接入点VMAP1提供的接入服务。
如果数字签名SIGVAuC被验证是真实可信的,移动终端MT接受无线Mesh接入点VMAP1提供的接入服务。
访问网络漫游认证后,移动终端MT和访问网络无线Mesh接入点VMAP1持有的证书和公私钥情况如下表所示:
在具体实施示例中,移动终端从本地网络漫游进入访问网络,先后经历了本地网络漫游认证、访问网络初始接入认证和访问网络漫游认证三种认证过程。在这三种认证过程中,没有了访问网络认证中心与本地网络认证中心之间的认证信息交互过程。只有在移动终端首次进入访问网络的初始接入认证过程中,访问网络认证中心参与认证。在随后的访问网络漫游认证过程,以及本地网络漫游认证过程中,认证中心不再参与认证。
本发明提出的一种无线Mesh网络中的即时认证方法,充分利用了现已广泛部署的公钥基础设施资源,减少了漫游认证过程中的资源消耗,减小了漫游认证的延迟,并且不具有公钥基础设施证书使用上的复杂性,部署实施方便,达到了安全有效的即时认证的目的。
机译: 无线网状网络,一种将MESH网络分离为逻辑和/或物理Mesh的子网络的方法
机译: 用于注册位于设施中的无线设备的方法,要在设施中安装的无线网络中注册的无线设备,设施中安装的照明设备以及相关性中安装的无线网络系统。
机译: 在MESH网络中进行双向认证的认证服务器及方法,系统,装置
