[发明专利]自治公钥证书管理方法、系统及设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种自治公钥证书管理方法、系统及设备。

背景技术

移动自组网是一种不依赖任何固定基础设施的无线移动多跳网络。移动自组网除了具有移动性、自组织性外，还往往具有完全分布性、节点自治性和临时性。具体地说，移动自组网中不存在任何固定基础设施为其它节点提供服务，网络中所有节点都是对等的，为完成一项任务，节点之间往往需要相互协作(完全分布性)；各个节点都完全自主地管理和控制自己的各种资源，决定自己的行为(自治性)；移动自组网往往是为了某个特殊目的而临时紧急建立，由于网络中的节点大多是移动设备，能量往往是有限的，使得移动自组网节点不可能长期持续存在(临时性)。

移动自组网往往是面向特定应用的，在其很多应用中可能存在外部的离线组织者或管理组织，对即将进入网络的节点进行身份的认证与授权，只有合法的节点才可以进入网络。

公开密钥(简称公钥)技术是一种重要的密钥体制，广泛应用于身份认证、数字签名、密钥协商中。其中，公钥证书是公开密钥的重要载体，公钥证书管理是实现网络信息安全的重要基础，通常包括对公钥证书的生成、分发、验证、刷新以及撤消。因为只有有效的公钥证书管理方案才能保证网络中的节点方便地拥有自己的密钥对(私有密钥/公开密钥)，与其它节点实现有效的密钥交换，实现节点间的密钥一致性、节点的身份认证以及对消息的数字签名。

在实现本发明的过程中，发明人发现现有技术存在以下缺点：

现有方案或者在移动自组网公钥管理需要依赖在线可信第三方，不适应移动自组网节点自治特性，或者密钥管理操作代价过高，效率低下。另外，移动自组网公钥管理中缺乏有效的证书撤消机制，证书安全性控制有待提高。

发明内容

本发明实施例提供了一种自治公钥证书管理方法，不依赖在线可信第三方实现移动自组网公钥管理。

本发明实施例提供了一种一种自治公钥证书管理方法，应用于包括多个网络节点的系统中。所述方法包括以下步骤：所述网络节点通过所述离线管理设备进行身份认证；身份认证通过的网络节点向所述离线管理设备请求为其签发证书存根；所述网络节点根据所述证书存根自治地生成并管理公钥证书，其中，所述身份认证通过的网络节点向所述离线管理设备请求为其签发证书存根包括：所述身份认证通过的网络节点向所述离线管理设备请求为其签发多个证书存根。

所述网络节点对生成的公钥证书进行分发、刷新、撤消等管理操作。

本发明实施例提供了一种相应的自治公钥证书管理系统。所述自治公钥证书管理系统包括多个网络节点和离线管理设备，所述离线管理设备，用于对网络节点进行身份认证，并为身份认证通过的网络节点签发证书存根；所述网络节点，用于通过所述离线管理设备进行身份认证，身份认证通过的网络节点还用于向所述离线管理设备请求为其签发多个证书存根，以及根据所述证书存根自治地生成并管理公钥证书。

本发明实施例提供了一种网络节点，包括：证书存根获取单元，用于向所述离线管理设备请求为其签发多个证书存根；公钥证书生成单元，用于在移动自组网中运行时根据需要从所述多个证书存根中选择证书存根以自治地生成并管理公钥证书。

本发明的实施例中，在分布、自治的环境下，充分考虑网络的临时性以及面向应用特性，无须固定在线可信第三方的支持，实现节点公开密钥证书的生成、分发、验证、刷新和撤消。

附图说明

图1是本发明实施例中一种支持分级授权的自治公钥证书管理方法流程图；

图2是本发明实施例中由两级授权机构组成的HOTTPO结构图；

图3是本发明实施例中MA设备与SA设备为该节点联合授权的过程示意图；

图4是本发明实施例中多级HOTTPO中的授权路径示意图；

图5是本发明实施例中单向哈希链中的哈希值与刷新周期的对应关系示意图；

图6是本发明实施例中一种自治公钥证书管理系统结构图。

具体实施方式

请参照图1，本发明实施例提供了一种自治公钥证书管理方法，应用于包括多个网络节点和离线管理设备的系统中，该方法包括以下步骤：

步骤101，网络节点通过离线管理设备进行身份认证。

步骤102，身份认证通过的网络节点向离线管理设备请求为其签发证书存根。

步骤103，网络节点根据证书存根自治地生成并管理公钥证书。

步骤103之后还包括，在公钥证书使用过程中，网络节点可以将其公钥证书传递给验证节点，由验证节点检验证书的有效性；网络节点还可以在必要时更新或撤消自己的公钥证书。