技術領域

本發明涉及一種無線Mesh網絡漫游的即時認證方法，具體是一種基于標識證書預分配的無線Mesh網絡漫游的即時認證方法，可以用于無線Mesh網絡中移動終端和無線Mesh接入點之間安全有效的雙向即時認證，屬于計算機網絡領域。

背景技術

在無線Mesh網絡中，現已部署實施的針對移動終端漫游進入訪問網絡的接入認證方法，大多需要訪問網絡認證中心與本地網絡認證中心進行認證信息的交互。首先，訪問網絡認證中心將移動終端的認證信息通過安全信道傳送給本地網絡認證中心。然后，本地網絡認證中心對移動終端的身份標識進行認證，并將認證結果通過安全信道傳送給訪問網絡認證中心。最后，訪問網絡認證中心根據本地網絡認證中心傳送的認證結果，對移動終端做出接受接入或者拒絕接入的反饋。訪問網絡認證中心與本地網絡認證中心之間的安全通信消耗了大量的網絡資源，增加了漫游認證的延遲。

目前現有的即時認證方法沒有考慮對現已廣泛部署的公鑰基礎設施資源的充分利用，算法復雜，實施不便。

發明內容

本發明的目的在于提供一種無線Mesh網絡中安全有效的即時認證方法。使用該方法可以充分利用現已廣泛部署的公鑰基礎設施資源，減少漫游認證的資源消耗，減小漫游認證的延遲，并且不具有公鑰基礎設施證書使用上的復雜性，方便部署實現。

為實現上述目的，本發明采取以下技術方案。整個技術方案包括標識證書預分配、通行證簽署發布和即時認證三個階段。首先，在標識證書預分配階段，離線CA和認證中心合理分配標識證書，保證本地網絡認證中心、訪問網絡認證中心和移動終端持有離線CA發布的標識證書，無線Mesh接入點持有認證中心發布的標識證書。其次，在通行證簽署發布階段，本地網絡認證中心為移動終端簽署發布通行證。最后，在即時認證階段，移動終端與無線Mesh接入點實現安全有效的雙向即時認證。

1.標識證書預分配階段

標識證書預分配階段如圖1所示，包括一個離線CA、一個本地網絡、一個訪問網絡和一個移動終端，本地網絡和訪問網絡分別包括一個認證中心利一個無線Mesh接入點。標識證書預分配階段包括以下具體步驟：

1.1離線CA為本地網絡認證中心、訪問網絡認證中心和移動終端分配標識證書、公鑰和私鑰。

本地網絡認證中心AuC₁獲得的標識證書、公鑰和私鑰包括：離線CA為本地網絡認證中心AuC₁發布的標識證書CA<<AuC₁>>、離線CA的公鑰PK、本地網絡認證中心AuC₁的私鑰SK₁。

訪問網絡認證中心AuC₂獲得的標識證書、公鑰和私鑰包括：離線CA為訪問網絡認證中心AuC₂發布的標識證書CA<<AuC₂>>、離線CA的公鑰PK、訪問網絡認證中心AuC₂的私鑰SK₂。

移動終端MT獲得的標識證書、公鑰和私鑰包括：離線CA為移動終端MT發布的公鑰證書CA<<Certificate_MT>>、離線CA的公鑰PK、移動終端MT的私鑰SK_MT。

所述標識證書CA<<AuC₁>>包括{AuC₁標識||AuC₁公鑰||CA對標識證書的數字簽名}三部分。

所述標識證書CA<<AuC₂>>包括{AuC₂標識||AuC₂公鑰||CA對標識證書的數字簽名}三部分。

1.2本地網絡認證中心為本地網絡無線Mesh接入點分配標識證書、公鑰和私鑰。訪問網絡認證中心為訪問網絡無線Mesh接入點分配標識證書、公鑰和私鑰。

本地網絡無線Mesh接入點MAP₁獲得的標識證書、公鑰和私鑰包括：本地網絡認證中心AuC₁為無線Mesh接入點MAP₁發布的標識證書AuC₁<<MAP₁>>、本地網絡認證中心AuC₁的公鑰PK₁、無線Mesh接入點MAP₁的私鑰SK_AP1。