[发明专利]全局信任的无线IP系统移动终端的漫游接入方法

摘要

本发明是一种全局信任的无线IP系统移动终端的漫游接入方法，包括接入节点自动更新协议和漫游认证协议两部分。自动更新协议用于接入节点从本地认证服务器获得信任的认证服务器列表，在接入节点和本地认证服务器的安全信道的保护下运行；漫游认证协议用于移动终端接入无线IP网络时的鉴别过程，移动终端不需要区分漫游状态。本发明在证书鉴别响应消息中的签名由移动终端的家乡认证服务器生成，通过自动更新协议，接入节点获得所有信任的认证服务器列表，可以验证移动终端MT的家乡认证服务器的签名。这既保证了与无线局域网国家标准GB 15629.11的兼容性，又支持了移动终端的漫游。

主权项

1、一种全局信任的无线IP系统移动终端的漫游接入方法，包括接入节点AP自动更新协议和漫游认证协议，其中接入节点AP自动更新协议如下：1)当本地认证服务器通过AS之间的信任维护协议更新信任的认证服务器列表后，使用更新通知消息通知接入节点AP认证服务器列表已经发生改变；2)接入节点AP收到更新通知消息后，或由于它的信任的认证服务器列表到达定时刷新时间后，发送更新请求消息给本地认证服务器；3)本地认证服务器将更新响应消息发送给接入节点AP，消息中包含最新的信任的认证服务器列表；漫游认证协议如下：1)移动终端MT关联到接入节点AP后，接入节点AP把鉴别激活消息发给移动终端MT；2)移动终端MT将移动终端MT的证书通过接入鉴别请求消息发往接入节点AP；3)接入节点AP将移动终端MT的证书和接入节点AP的证书通过证书鉴别请求消息发给外地认证服务器F-AS；4)外地认证服务器F-AS验证证书鉴别请求消息中接入节点AP的签名和接入节点AP的证书，并判断移动终端MT是否为本地节点，若移动终端MT是本地节点，则外地认证服务器F-AS即为家乡认证服务器H-AS，执行步骤5)；否则外地认证服务器F-AS将接入节点AP的证书鉴别结果信息和移动终端MT的证书构成漫游证书鉴别请求消息发送到移动终端MT的家乡认证服务器H-AS；5)家乡认证服务器H-AS验证移动终端MT的证书，构造漫游证书鉴别响应消息，通过外地认证服务器F-AS发送给接入节点AP；若移动终端MT为本地节点，则家乡认证服务器H-AS构造证书鉴别响应消息，直接发送给接入节点AP；6)接入节点AP根据移动终端MT的证书的颁发者信息，在信任的认证服务器列表中查询对应的公钥，若移动终端MT的证书的颁发者在列表中且家乡认证服务器H-AS的签名通过验证，并且证书鉴别响应消息中的移动终端MT的证书鉴别结果为成功，则根据证书鉴别响应消息生成接入鉴别响应消息，消息内容和证书鉴别响应消息一样，将接入鉴别响应消息发送给移动终端MT，然后进入密钥协商阶段；否则与移动终端MT解除链路验证；7)移动终端MT收到接入鉴别响应消息后，验证家乡认证服务器H-AS的签名并判断接入节点AP的证书鉴别结果信息，成功后进入密钥协商阶段；否则与接入节点AP解除链路验证。