[发明专利]一种基于公钥实现用户与网络认证和密钥分发的方法

权利要求书

1.一种基于公钥实现用户与网络认证和密钥分发的方法，其步骤包括：

1)通讯网络中配置一套公钥基础设施PKI，由证书认证中心对网络中通讯实体包括用户设备、网络移动管理实体、网络归属用户服务器颁发公钥证书；

2)用户设备和网络移动管理实体通过验证对方的公钥证书进行互相认证；

3)用户设备和网络归属服务器分别产生随机数、会话密钥，所述会话密钥由用户设备和网络归属服务器根据两个随机数各自推导，网络归属服务器推导的会话密钥发送给网络移动管理实体；

4)用户设备与网络移动管理实体之间利用会话密钥对通信数据进行保护。

2.如权利要求1所述的方法，其特征在于，所述步骤1)证书认证中心利用自己的私钥对用户设备、网络移动管理实体、网络归属用户服务器的公钥进行签名生成对应的证书。

3.如权利要求1所述的方法，其特征在于，所述步骤2)用户设备向网络移动管理实体发送一个请求连接消息，网络移动管理实体收到连接消息后发送自己的证书和给用户分配的临时身份标识给用户设备，用户设备收到网络移动管理实体的证书之后利用CA的证书验证网络移动管理实体的证书，并对临时身份标识签名。

4.如权利要求1所述的方法，其特征在于，所述步骤3)用户设备生成的随机数使用网络移动管理实体的公钥加密。

5.如权利要求1所述的方法，其特征在于，所述步骤3)用户设备将自己的证书利用生成的随机数进行加密。

6.如权利要求5所述的方法，其特征在于，用户设备以产生的随机数为密钥，使用事先约定的对称密码算法将自己的证书加密。

7.如权利要求5所述的方法，其特征在于，用户设备使用自己的私钥对临时身份标识进行签名。

8.如权利要求1所述的方法，其特征在于，所述步骤3)网络归属服务器使用用户设备的公钥加密产生的随机数后并签名，通过网络移动管理实体转发给用户设备。

9.如权利要求7所述的方法，其特征在于，网络移动管理实体将解密后的随机数和用户设备证书发送给网络归属服务器。

10.如权利要求7所述的方法，其特征在于，网络移动管理实体以用户设备产生的随机数为密钥，使用事先约定的对称密码算法解密用户设备加密的证书，对用户身份、签名进行验证并将解密结果上报给网络归属用户服务器。

11.如权利要求7所述的方法，其特征在于，用户设备使用网络归属服务器的公钥验证加密随机数的签名，验证成功后，用户设备利用自己的私钥对加密的随机数进行解密，再利用网络归属服务器的随机数产生会话密钥。