[发明专利]一种对漂移用户进行无线网络通用认证的方法

说明书

技术领域

本发明属于无线通信技术领域，特别是涉及到无线网络中的漂移认证过程。

背景技术

无线网络和移动设备正逐步地改善着我们的日常生活。为了让移动用户不受地域限制而跨区域进行无缝的连接，应当建立漂移服务。典型的漂移服务包括三个部分：漂移用户，用户要访问的外地服务器和家乡服务器（用户所注册的服务器）。当用户进入外地服务器的服务区域的时候，漂移服务可以使用户通过该外部网络访问他所注册的服务。在用户和外地服务器，外地服务器和家乡服务器之间分别建立直接通信，但是在用户和家乡服务器之间并没有直接的通信。为了防止滥用服务，用户认证是一个强制要求。另外，由于漂移方法在其认证过程中有可能泄露用户的身份及地理等隐私信息，在漂移服务中的用户隐私也变成了一个十分严重的问题。这些客观情况使得基于隐私保护的用户认证成为一种必要。

发明内容

本发明的目的在于提供一种对漂移用户进行无线网络通用认证方法。

为实现上述目的，本发明所采取的技术方案是：外地服务器对漂移用户进行无线网络通用认证方法包括：

家乡服务器和外地服务器事先获得数字证书且家乡服务器为家乡服务器的合法用户生成密钥，并且家乡服务器将所有外地服务器的数字证书广播给家乡服务器的所有合法用户；外地服务器周期性地从家乡服务器下载撤销用户名单。

当漂移用户向外地服务器提出登录请求信息时，利用家乡服务器为家乡服务器的合法用户所生成的密钥对登录请求信息进行组签名，外地服务器根据从家乡服务器下载的所述撤销用户名单和所述数字证书对该漂移用户的所述组签名后的登录请求信息进行组签名认证，以判断该漂移用户是否是家乡服务器的合法用户：若不是合法用户，则外地服务器拒绝该漂移用户的登录请求信息；若是合法用户，则外地服务器和漂移用户各自生成会话密钥并利用所生成的会话密钥相互建立通信。

进一步地，漂移用户生成登录请求信息并对该登录请求信息进行组签名，接着漂移用户将组签名后的登录请求信息发送给外地服务器，所述登录请求信息包括随机数和临时身份信息。

外地服务器收到所述组签名后的登录请求信息后，根据从家乡服务器下载的所述撤销用户名单对该组签名后的登录请求信息进行组签名认证，以判断该漂移用户是否是家乡服务器的合法用户：若不是合法用户，外地服务器拒绝该登录请求；若是合法用户，则外地服务器生成随机数并利用该随机数和所述登录请求信息中的随机数生成与漂移用户的第一会话密钥，同时外地服务器生成响应信息（包括随机数），接着外地服务器对所述响应进行组签名，并将组签名后的响应信息发送给漂移用户，漂移用户根据所述数字证书对该组签名后的响应信息进行组签名认证：如果组签名认证成功，则漂移用户使用所述登录请求信息中的随机数和所述响应信息中的随机数生成与外地服务器的第二会话密钥，所述第二会话密钥与第一会话密钥相同；漂移用户和外地服务器利用各自生成的会话密钥相互建立通信。

进一步地，本发明在家乡服务器为家乡服务器的合法用户生成密钥后，若有新用户加入，则该新用户向家乡服务器发送注册申请，家乡服务器检查该新用户的信息是否合法，若不合法，则家乡服务器拒绝该新用户的注册请求；若合法，则家乡服务器为该新用户生成密钥，并将该密钥发送给该新用户。

与现有技术相比，本发明的优点是：

（1）本发明所提出的认证过程之前，外地服务器周期性的从家乡服务器下载撤销用户名单，故认证过程可以在外地服务器本地完成，并不需要家乡服务器保持在线状态；

（2）本发明在漂移用户的家乡服务器和外地服务器中所使用的认证方法和通信的信号流是相同的，这二者不会随漂移用户所在区域的不同而改变，因此本方法是一种通用的认证方法；

（3）本发明通过对向后不可连接性的本地认证撤销的组签名技术的利用保证了漂移用户与外地服务器之间的通信过程的安全；

（4）本发明通过对向后不可连接性的本地认证撤销的组签名技术的利用保证了漂移用户行为的匿名性和不可追踪性；

（5）本发明通过如下改进克服了向后不可连接性的本地认证撤销的组签名技术在无线网络用户认证应用中家乡服务器不支持新用户加入的弊端：该新用户向家乡服务器发送注册申请，家乡服务器检查该新用户的信息是否合法，若不合法，则家乡服务器拒绝该新用户的注册请求；若合法，则家乡服务器为该新用户生成密钥，并将该密钥发送给该新用户。

附图说明

图1是现有技术的无线网络认证方法的流程示意图；

图2是本发明的无线网络通用认证方法的流程示意图。

具体实施方式

有关的技术术语如下：