[发明专利]无线Mesh网络中安全有效的即时认证方法

权利要求书

1.一种无线Mesh网络中安全有效的即时认证方法，其特征在于：整个技术方案包括标识证书预分配、通行证签署发布和即时认证三个阶段；无线Mesh网络包括至少一个离线CA、一个本地网络、一个访问网络和一个移动终端，本地网络和访问网络分别包括至少一个认证中心和至少一个无线Mesh接入点；具体步骤如下：

1.标识证书预分配阶段

标识证书预分配阶段包括以下具体步骤：

1.1离线CA为本地网络认证中心、访问网络认证中心和移动终端分配标识证书、公钥和私钥；

本地网络认证中心AuC₁获得的标识证书、公钥和私钥包括：离线CA为本地网络认证中心AuC₁发布的标识证书CA《AuC₁》、离线CA的公钥PK、本地网络认证中心AuC₁的私钥SK₁；

访问网络认证中心AuC₂获得的标识证书、公钥和私钥包括：离线CA为访问网络认证中心AuC₂发布的标识证书CA《AuC₂》、离线CA的公钥PK、访问网络认证中心AuC₂的私钥SK₂；

移动终端MT获得的标识证书、公钥和私钥包括：离线CA为移动终端MT发布的公钥证书CA《Certificate_MT》、离线CA的公钥PK、移动终端MT的私钥SK_MT；

所述标识证书CA《AuC₁》包括{AuC₁标识、AuC₁公钥、CA对标识证书的数字签名}三部分；

所述标识证书CA《AuC₂》包括{AuC₂标识、AuC₂公钥、CA对标识证书的数字签名}三部分；

1.2本地网络认证中心为本地网络无线Mesh接入点分配标识证书、公钥和私钥；访问网络认证中心为访问网络无线Mesh接入点分配标识证书、公钥和私钥；

本地网络无线Mesh接入点MAP₁获得的标识证书、公钥和私钥包括：本地网络认证中心AuC₁为无线Mesh接入点MAP₁发布的标识证书AuC₁《MAP₁》、本地网络认证中心AuC₁的公钥PK₁、无线Mesh接入点MAP₁的私钥SK_AP1；

访问网络无线Mesh接入点MAP₂获得的标识证书、公钥和私钥包括：访问网络认证中心AuC₂为无线Mesh接入点MAP₂发布的标识证书AuC₂《MAP₂》、访问网络认证中心AuC₂的公钥PK₂、无线Mesh接入点MAP₂的私钥SK_AP2；

所述标识证书AuC₁《MAP₁》包括{MAP₁标识、MAP₁公钥、AuC₁对标识证书的数字签名}三部分；

所述标识证书AuC₂《MAP₂》包括{MAP₂标识、MAP₂公钥、AuC₂对标识证书的数字签名}三部分；

2.通行证签署发布阶段

通行证签署发布阶段包括以下具体步骤：

2.1移动终端MT向本地网络认证中心AuC₁提交公钥证书CA《Certificate_MT》；

2.2本地网络认证中心AuC₁通过离线CA的公钥PK验证公钥证书CA《Certificate_MT》是否真实可信；

如果公钥证书CA《Certificate_MT》被验证是不真实的，本地网络认证中心AuC₁拒绝为移动终端MT提供服务；

如果公钥证书CA《Certificate_MT》被验证是真实可信的，本地网络认证中心AuC₁为移动终端MT制作通行证AuC₁《Passport_MT》；通行证AuC₁《Passport_MT》以移动终端MT的公钥加密传送给移动终端MT；

所述通行证AuC₁《Passport_MT》包括{MT标识、MT公钥、MT角色、MT安全级别、通行证有效期限、AuC₁标识证书CA《AuC₁》、AuC₁对通行证的数字签名、None}；当移动终端MT只在本地网络漫游时，通行证AuC₁《Passport_MT》中的None区域为空；当移动终端MT漫游进入访问网络并且被允许接入访问网络时，访问网络认证中心为移动终端MT签署通行证，并将签署的内容写入通行证AuC₁《Passport_MT》中的None区域；

2.3移动终端MT用私钥解密后，通过离线CA的公钥PK验证通行证AuC₁《Passport_MT》中包含的标识证书CA《AuC₁》是否真实可信；

如果标识证书CA《AuC₁》被验证是不真实的，移动终端MT拒绝接受通行证AuC₁《Passport_MT》；

如果标识证书CA《AuC₁》被验证是真实可信的，移动终端MT再通过标识证书CA《AuC₁》中包含的本地网络认证中心AuC₁的公钥PK₁验证通行证AuC₁《Passport_MT》是否真实可信；

如果通行证AuC₁《Passport_MT》被验证是不真实的，移动终端MT拒绝接受通行证AuC₁《Passport_MT》；

如果通行证AuC₁《Passport_MT》被验证是真实可信的，移动终端MT接受通行证AuC₁《Passport_MT》；

3.即时认证阶段

根据移动终端的具体漫游场景不同，即时认证阶段包括本地网络漫游认证、访问网络初始接入认证和访问网络漫游认证三种认证过程；

本地网络漫游认证包括以下具体步骤：

(1)移动终端MT向本地网络无线Mesh接入点MAP₁提交通行证AuC₁《Passport_MT》；

(2)无线Mesh接入点MAP₁通过本地网络认证中心AuC₁的公钥PK₁验证通行证AuC₁《Passport_MT》是否真实可信；

如果通行证AuC₁《Passport_MT》被验证是不真实的，无线Mesh接入点MAP₁拒绝为移动终端MT提供接入服务；

如果通行证AuC₁《Passport_MT》被验证是真实可信的，无线Mesh接入点MAP₁将本地网络认证中心AuC₁发布的标识证书AuC₁《MAP₁》以移动终端MT的公钥加密传送给移动终端MT；

(3)移动终端MT用私钥解密后，通过本地网络认证中心AuC₁的公钥PK₁验证标识证书AuC₁《MAP₁》是否真实可信；

如果标识证书AuC₁《MAP₁》被验证是不真实的，移动终端MT拒绝接受无线Mesh接入点MAP₁提供的接入服务；

如果标识证书AuC₁《MAP₁》被验证是真实可信的，移动终端MT接受无线Mesh接入点MAP₁提供的接入服务；

访问网络初始接入认证包括以下具体步骤：

(a1)移动终端MT向访问网络认证中心AuC₂提交由本地网络认证中心AuC₁发布的通行证AuC₁《Passport_MT》；

(a2)访问网络认证中心AuC₂通过离线CA的公钥PK验证通行证AuC₁《Passport_MT》中包含的标识证书CA《AuC₁》是否真实可信；

如果标识证书CA《AuC₁》被验证是不真实的，访问网络认证中心AuC₂拒绝为移动终端MT提供接入服务；

如果标识证书CA《AuC₁》被验证是真实可信的，访问网络认证中心AuC₂再通过标识证书CA《AuC₁》中包含的本地网络认证中心AuC₁的公钥PK₁验证通行证AuC₁《Passport_MT》是否真实可信；

如果通行证AuC₁《Passport_MT》被验证是不真实的，访问网络认证中心AuC₂拒绝为移动终端MT提供接入服务；

如果通行证AuC₁《Passport_MT》被验证是真实可信的，访问网络认证中心AuC₂为移动终端MT签署通行证，签署后的通行证AuC₂《Passport_MT》以移动终端MT的公钥加密传送给移动终端MT；

所述通行证AuC₂《Passport_MT》是访问网络认证中心AuC₂将签署的内容写入通行证AuC₁《Passport_MT》中的None区域后得到的通行证，其中签署的内容为{MT标识、MT公钥、MT角色、MT安全级别、通行证有效期限、AuC₂标识证书CA《AuC₂》、AuC₂对整个通行证的数字签名}；

(a3)移动终端MT用私钥解密后，通过离线CA的公钥PK验证通行证AuC₂《Passport_MT》中包含的标识证书CA《AuC₂》是否真实可信；

如果标识证书CA《AUC₂》被验证是不真实的，移动终端MT拒绝接受通行证AuC₂《Passport_MT》；

如果标识证书CA《AuC₂》被验证是真实可信的，移动终端MT再通过标识证书CA《AuC₂》中包含的访问网络认证中心AuC₂的公钥PK₂验证通行证AuC₂《Passport_MT》是否真实可信；

如果通行证AuC₂《Passport_MT》被验证是不真实的，移动终端MT拒绝接受通行证AuC₂《Passport_MT》；

如果通行证AuC₂《Passport_MT》被验证是真实可信的，移动终端MT接受通行证AuC₂《Passport_MT》；

访问网络漫游认证包括以下具体步骤：

(b1)移动终端MT向访问网络无线Mesh接入点MAP₂提交由访问网络认证中心AuC₂签署的通行证AuC₂《Passport_MT》；

(b2)无线Mesh接入点MAP₂通过访问网络认证中心AuC₂的公钥PK₂验证通行证AuC₂《Passport_MT》是否真实可信；

如果通行证AuC₂《Passport_MT》被验证是不真实的，无线Mesh接入点MAP₂拒绝为移动终端MT提供接入服务；

如果通行证AuC₂《Passport_MT》被验证是真实可信的，无线Mesh接入点MAP₂将访问网络认证中心AuC₂发布的标识证书AuC₂《MAP₂》以移动终端MT的公钥加密传送给移动终端MT；

(b3)移动终端MT用私钥解密后，通过访问网络认证中心AuC₂的公钥PK₂验证标识证书AuC₂《MAP₂》是否真实可信；

如果标识证书AuC₂《MAP₂》被验证是不真实的，移动终端MT拒绝接受无线Mesh接入点MAP₂提供的接入服务；

如果标识证书AuC₂《MAP₂》被验证是真实可信的，移动终端MT接受无线Mesh接入点MAP₂提供的接入服务。