[发明专利]用以认证通讯装置下阶群组的方法

权利要求书

1.一种用以认证通讯装置下阶群组的方法，所述通讯装置下阶群组是基于通讯装置上阶群组所建立，所述通讯装置上阶群组包含多个通讯装置，第一管理者装置内存上阶群组私钥以及与所述上阶群组私钥配对的上阶群组公钥，每一个通讯装置内存各自的第一阶装置安全凭证、上阶群组公钥以及各自的装置序号，包含下列步骤：

由第二管理者装置产生下阶群组私钥以及与所述下阶群组私钥配对的下阶群组公钥；

由所述第一管理者装置以所述上阶群组私钥签署该下阶群组公钥以及授权装置序号范围，进而产生下阶群组授权凭证，该下阶群组授权凭证包含该下阶群组公钥、该授权装置序号范围以及授权凭证签章；

由所述第二管理者装置以所述下阶群组私钥为所述多个通讯装置之中其装置序号分别为所述授权装置序号范围所包含的所述多个通讯装置签署各自的第二阶装置安全凭证，其中所述多个通讯装置之中其装置序号为所述授权装置序号范围所包含的所述多个通讯装置归属于所述通讯装置下阶群组；

将所述下阶群组授权凭证结合所述多个第二阶装置安全凭证形成多个凭证链，每一个凭证链对应归属于所述通讯装置下阶群组的一个通讯装置；以及

由归属于所述通讯装置下阶群组的每一个通讯装置接收其对应的凭证链，以所述上阶群组公钥检验所述下阶群组授权凭证，并且若检验结果为肯定者，则以所述下阶群组授权凭证中的所述下阶群组公钥来检验其对应的凭证链中的所述第二阶装置安全凭证，并且若为检验结果为肯定者，则将其对应的第二阶装置安全凭证取代其内存的第一阶装置安全凭证。

2.根据权利要求1所述的方法，其中每一个通讯装置并且产生各自的装置私钥以及与所述装置私钥配对的各自的装置公钥，所述第二阶管理者装置以所述下阶群组私钥根据归属于所述通讯装置下阶群组的每一个通讯装置的所述装置序号、所述装置公钥以及凭证有效期限签署其对应的第二阶装置安全凭证，每一个第二阶装置安全凭证包含其对应的通讯装置的所述装置序号、所述装置公钥、所述凭证有效期限以及装置凭证签章。

3.根据权利要求2所述的方法，其中所述下阶群组授权凭证并且包含授权凭证签章。

4.根据权利要求3所述的方法，其中归属于所述通讯装置下阶群组的所述多个通讯装置包含第一通讯装置以及第二通讯装置，所述方法进一步包含下列步骤：

由所述第一通讯装置与所述第二通讯装置彼此交换其对应的第二阶装置安全凭证；

由所述第一通讯装置以其下阶群组公钥检验所述第二通讯装置的所述第二阶装置安全凭证进而判断所述第二通讯装置是否归属于所述通讯装置下阶群组，由所述第二通讯装置以其下阶群组公钥检验所述第一通讯装置的所述第二阶装置安全凭证进而判断所述第一通讯装置是否归属于所述通讯装置下阶群组，并且若检验结果皆为肯定者，则执行下列步骤：

由所述第一通讯装置与所述第二通讯装置彼此继续交换其产生的各自的随机变数；

由所述第一通讯装置产生第一临时私钥以及与所述第一临时私钥配对的第一临时公钥，并且由所述第二通讯装置产生第二临时私钥以及与所述第二临时私钥配对的第二临时公钥；

由所述第一通讯装置传送所述第一临时公钥至所述第二通讯装置，并且由所述第二通讯装置传送所述第二临时公钥至所述第一通讯装置；以及

由所述第一通讯装置通过所述第二通讯装置的所述装置公钥、所述第二临时公钥、所述第二通讯装置的所述随机变数以及所述第一通讯装置的所述装置私钥、所述第一临时私钥且根据密钥交换协议产生会议密钥；

由所述第二通讯装置通过所述第一通讯装置的所述装置公钥、所述第一临时公钥、所述第一通讯装置的所述随机变数以及所述第二通讯装置的所述装置私钥、所述第二临时私钥且根据所述密钥交换协议同样地产生所述会议密钥；以及

由所述第一通讯装置与所述第二通讯装置以所述会议密钥建立彼此之间的第一通讯安全通道。

5.根据权利要求4所述的方法，进一步包含下列步骤：

由所述第一通讯装置通过所述会议密钥将网络密钥加密，再将所述经加密的网络密钥传送给归属于所述通讯装置下阶群组的其他通讯装置，其中归属于所述通讯装置下阶群组的所述多个通讯装置彼此间通过所述网络密钥建立彼此之间的第二通讯安全通道。