專利名稱:一種基于id的無線多跳網絡密鑰管理方法
技術領域:
本發明涉及一種無線網絡的密鑰管理方法,尤其涉及一種基于ID的無線多 跳網絡密鑰管理方法。
技術背景隨著計算機網絡和全球移動通信技術的發展,便攜的數字處理終端設備已 經成為人們日常生活和辦公的必需品,這些終端設備包括筆記本電腦、個人數 字助理(PDA)、計算機外設、移動電話、尋呼機和家用電子產品等。它們都具 有較強的處理能力和較大的存儲空間,從而形成了一個個人操作空間(POS)。 但是目前這些終端設備之間的信息交換大都還依賴于電纜的連接,使用非常不 方便,人們越來越需要一種無線技術將個人操作空間內的這些終端設備連接起 來,真正實現終端設備之間可移動的、自動的互聯,這就是無線多跳網絡技術。 在無線多跳網絡中,非相鄰終端設備之間的通信數據需要以多跳路由的方式傳 輸。在無線多跳網絡中存在著四種角色的設備終端設備、路由協調器、網絡 協調器和可信中心。終端設備可與該網絡中的其他設備進行通信,但在該網絡 中不能為其他設備轉發數據,即不能完成路由功能。路由協調器除了完成終端 設備的功能外還負責為該網絡中的其他設備轉發數據,即能完成路由功能。網 絡協調器負責發送網絡信標、建立一個網絡、管理網絡節點、存儲網絡節點信 息、尋找一對節點間的路由消息和不斷地接收信息,也能為該網絡中的其他設 備轉發數據,即能完成路由功能。網絡協調器和路由協調器可統稱為協調器。 可信中心是該網絡的密鑰中心,負責為該網絡中的所有設備配置密鑰信息。可 信中心可以由網絡協調器充當,也可以由網絡協調器在該網絡中指定的其他設 備充當。無線多跳網絡支持兩種網絡拓撲結構星型網絡和點到點網絡,點到 點網絡的網絡拓撲結構又可分為網狀結構和簇型結構,如圖IA-圖IC所示。對于無線多跳網絡,目前采用的密鑰管理方法通常為基于預共享密鑰的密 鑰管理方法和基于PKI的密鑰管理方法。對于第一種密鑰管理方法,由于預共享密鑰不便于管理, 一般不適合于規 模較大的網絡。對于第二種密鑰管理方法,由于證書的管理以及通信量較大, 所以也不適合無線多跳網絡。 發明內容本發明的目的是提供一種基于ID的無線多跳網絡密鑰管理方法,其解決了 現有基于預共享密鑰的密鑰管理方法不適合于規模較大的網絡以及基于PKI的 密鑰管理方法不適合無線多跳網絡的技術問題。本發明的技術解決方案是 本發明的優點1、 由于基于ID是一種公鑰體制,所以每個設備只需擁有自身基于ID的公 私鑰對就可以在無線多跳網絡中進行安全通信,從而提高了無線多跳網絡的安 全性和性能。2、 由于基于ID的公鑰本身具有撤銷特性且基于ID的公鑰長度較短,所以 這不僅可以減少了公鑰有效性查詢的次數,而且還減少了傳輸的通信量,從而 提高了無線多跳網絡的性能。3、 由于采用了三元結構,所以在認證接入過程中設備和協調器都可以根據 可信中心的公鑰撤銷表知道它們的基于ID的公鑰有效性,從而提高了無線多跳 網絡認證接入的安全性;4、 利用基于ID的公私鑰對,可以非交互式地進行密鑰協商,從而提高了 無線多跳網絡的性能。
圖1為無線多跳網絡的網絡拓撲結構圖,其中圖1A為星型網絡拓撲結構圖, 圖1B為網狀網絡拓撲結構圖,圖1C為簇型網絡拓撲結構圖,"參"協調器, "O"為終端設備,為通信信道。圖2是無線多跳網絡的認證接入系統結構示意圖;A為請求認證接入的終 端設備,B是A所關聯的協調器,S是該無線多跳網絡的可信中心。
具體實施方式
本發明適用于WAPI框架方法(TePA,基于三元對等鑒別的訪問控制方法) 在包括無線局域網、無線城域網在內的具體網絡上應用時的安全應用協議。無線多跳網絡包括低速率無線個域網、高速率無線個域網和無線傳感器網 等,這種密鑰管理方法可適用于這些網絡。基于ID的無線多跳網絡密鑰管理方法詳述如下基于ID的無線多跳網絡 密鑰管理主要包括密鑰的產生、分發、存儲、更改和撤銷。基于ID的無線多跳網密鑰管理方法的具體實現如下-1、 密鑰產生在基于ID的密碼體制中,由于基于ID的私鑰等于主密鑰和基于ID的公鑰 的標量乘,所以主密鑰的安全非常重要,可采取多個可信中心共同分享。當產生注冊設備基于ID的私鑰的主密鑰由上一層可信中心群共同分享時, 該無線多跳網絡中的可信中心首先根據注冊設備的身份標識構造注冊設備基于 ID的公鑰,然后采用密碼學中的門限機制向上一層可信中心群的k個可信中心 提交注冊設備的基于ID的公鑰,接著該k個可信中心利用所擁有的部分主密鑰 產生注冊設備基于ID的部分私鑰并發送給該無線多跳網絡中的可信中心,最后 該無線多跳網絡中的可信中心利用注冊設備基于ID的部分私鑰合成為該注冊設 備基于ID的私鑰。當產生注冊設備基于ID的私鑰的主密鑰存儲于該無線多跳網絡的可信中心 時,該無線多跳網絡中的可信中心根據注冊設備的身份標識構造注冊設備基于 ID的公鑰,然后利用存儲于本地的主密鑰產生該注冊設備基于ID的私鑰。注冊設備基于ID的公鑰可為無線多跳網絡中可信中心的CA證書身份、無 線多跳網絡標識、注冊設備的身份標識和公鑰的時限的級聯值。2、 密鑰分發-注冊設備首先向該無線多跳網絡的可信中心提交注冊設備的身份標識,然 后從該無線多跳網絡的可信中心獲得注冊設備基于ID的公私鑰對。其中,基于 ID的私鑰需要保密傳輸給注冊設備。3、 密鑰存儲當產生注冊設備基于ID的私鑰的主密鑰由上一層可信中心群共同分享時, 該主密鑰經多項式函數分成n個部分后存儲于上一層可信中心群的n個可信中 心中。每個可信中心存儲部分主密鑰。當產生注冊設備基于ID的私鑰的主密鑰不是由上一層可信中心群共同分享時,該主密鑰存儲于該無線多跳網絡的可信中心。無線多跳網絡的可信中心完成注冊設備基于ID的公私鑰對分發后就刪除注 冊設備基于ID的公私鑰對,僅存儲自身的基于ID的公私鑰對。注冊設備存儲 從無線多跳網絡的可信中心獲得的注冊設備基于ID的公私鑰對。其中,基于ID 的私鑰需要進行安全存儲。4、 密鑰撤銷無線多跳網絡的可信中心中維護一個公鑰撤銷表,使注冊設備可以進行基 于ID公鑰的撤銷査詢;當注冊設備基于ID的私鑰發生泄漏時,該注冊設備以離線形式向該無線多跳網絡中的可信中心申請撤銷注冊設備基于ID的公鑰,可信中心收到該申請后將該注冊設備基于ID的公鑰加入公鑰撤銷表;當注冊設備基于ID的私鑰沒有被泄漏但不再使用時,該注冊設備利用與該無線多跳網絡中可信中心之間的會話密鑰向該可信中心申請撤銷注冊設備基于ID的公鑰,可信中心收到該申請后將該注冊設備基于ID的公鑰加入公鑰撤銷表;5、 密鑰更改當注冊設備基于ID的公私鑰對需要更改時,該注冊設備利用與該無線多跳 網絡中可信中心之間的會話密鑰向該可信中心申請更改注冊設備基于ID的公私 鑰對,可信中心收到該申請后重新構造該注冊設備基于ID的公鑰,然后從上層 可信中心群獲得(或本地產生)該注冊設備基于ID的公鑰對應的注冊設備基于 ID的私鑰,最后該可信中心利用與該注冊設備之間的會話密鑰傳輸重新產生的 注冊設備基于ID的公私鑰對,同時將原來的注冊設備基于ID的公鑰加入公鑰 撤銷表。
權利要求
1、一種基于ID的無線多跳網絡密鑰管理方法,其特征在于所述密鑰管理方法包括以下步驟步驟10]密鑰產生,具體包括以下步驟步驟11]無線多跳網絡中的可信中心根據注冊設備的身份標識構造基于ID的公鑰;步驟12]無線多跳網絡中的可信中心產生注冊設備的基于ID的私鑰;步驟20]密鑰分發,具體包括以下步驟步驟21]注冊設備向無線多跳網絡的可信中心提交自身的身份標識;步驟22]注冊設備從該無線多跳網絡的可信中心安全獲得基于ID的公私鑰對;步驟30]密鑰存儲,具體包括以下步驟步驟31]存儲用于產生注冊設備基于ID的私鑰的主密鑰;步驟32]存儲注冊設備的基于ID的公私鑰對。
2、 根據權利要求1所述的一種基于ID的無線多跳網絡密鑰管理方法,其特征在于當產生注冊設備基于ID的私鑰的主密鑰由上一層可信中心群共同分享時,步驟IO]密鑰產生的具體步驟如下步驟11]無線多跳網絡中的可信中心根據注冊設備的身份標識構造基于ID 的公鑰;步驟12]無線多跳網絡中的可信中心向上一層可信中心群提交注冊設備的 基于ID的公鑰,然后獲得注冊設備基ID的部分私鑰,最后利用所獲得的注冊 設備基于ID的部分私鑰產生注冊設備基于ID的私鑰;步驟30]密鑰存儲的具體步驟如下步驟31]主密鑰由上一層可信中心群共同分享,每個可信中心只存儲部分 主密鑰;步驟32]無線多跳網絡的可信中心完成注冊設備基于ID的公私鑰對分發后 刪除該注冊設備基于ID的公私鑰對,存儲自身的基于ID的公私鑰對;注冊設備存儲從無線多跳網絡的可信中心獲得的基于ID的公私鑰對。
3、 根據權利要求1所述的一種基于ID的無線多跳網絡密鑰管理方法,其特 征在于-當產生注冊設備基于ID的私鑰的主密鑰存儲于該無線多跳網絡的可信中心 時,步驟10]密鑰產生的具體步驟如下步驟11]無線多跳網絡中的可信中心根據注冊設備的身份標識構造基于ID 的公鑰;步驟12]無線多跳網絡中的可信中心利用存儲于本地的主密鑰產生注冊設 備基于ID的私鑰;步驟30]密鑰存儲的具體步驟如下步驟31]主密鑰存儲于無線多跳網絡中的可信中心;步驟32]無線多跳網絡的可信中心完成注冊設備基于ID的公私鑰對分發后 刪除該注冊設備基于ID的公私鑰對,僅存儲自身的基于ID的公私鑰對;注冊 設備存儲從無線多跳網絡的可信中心獲得的基于ID的公私鑰對。
4、 根據權利要求1或2或3所述的一種基于ID的無線多跳網絡密鑰管理方法, 其特征在于所述密鑰管理方法還包括以下步驟步驟40]密鑰更改,具體包括以下步驟步驟41]若注冊設備基于ID的公私鑰對需要更改,則注冊設備利用與該無 線多跳網絡中可信中心之間的會話密鑰向該可信中心申請更改注冊設備基于ID的公私鑰對;步驟42]可信中心收到步驟41]注冊設備發送的申請后重新構造注冊設備基于ID的公鑰;步驟43]根據步驟42]中注冊設備基于ID的公鑰,可信中心按照密鑰產生的步驟生成注冊設備基于ID的私鑰;步驟44]可信中心利用與注冊設備之間的會話密鑰傳輸重新產生的注冊設 備基于ID的公私鑰對,同時將原來的注冊設備基于ID的公鑰加入公鑰撤銷表。
5、 根據權利要求4所述的一種基于ID的無線多跳網絡密鑰管理方法,其 特征在于所述密鑰管理方法還包括以下步驟步驟5Q]密鑰撤銷,具體步驟如下步驟51]若注冊設備基于ID的公鑰需要撤銷,則注冊設備向無線多跳網絡 中的可信中心申請撤銷注冊設備基于ID的公鑰;步驟52]可信中心收到注冊設備發送的申請后將注冊設備基于ID的公鑰加入公鑰撤銷表。
6、 根據權利要求5所述的一種基于ID的無線多跳網絡密鑰管理方法,其 特征在于步驟51]具體步驟為當注冊設備基于ID的私鑰發生泄漏時,注冊設備以 離線形式向無線多跳網絡中的可信中心申請撤銷注冊設備基于ID的公鑰。
7、 根據權利要求5所述的一種基于ID的無線多跳網絡密鑰管理方法,其 特征在于步驟51]具體步驟為當注冊設備基于ID的私鑰沒有被泄漏但不再使用時, 注冊設備利用與無線多跳網絡中可信中心之間的會話密鑰向該可信中心申請撤銷注冊設備基于ID的公鑰。
8、 根據權利要求1或2或3所述的一種基于ID的無線多跳網絡密鑰管理方法,其特征在于所述密鑰管理方法還包括以下步驟 步驟50]密鑰撤銷;具體包括以下步驟歩驟51]若注冊設備基于ID的公鑰需要撤銷,則注冊設備向無線多跳網絡中的可信中心申請撤銷注冊設備基于ID的公鑰;步驟52]可信中心收到注冊設備發送的申請后將注冊設備基于ID的公鑰加入公鑰撤銷表。
9、 根據權利要求8所述的一種基于工D的無線多跳網絡密鑰管理方法,其特征在于當注冊設備基于ID的私鑰發生泄漏時,步驟51]具體為注冊設備以離線形式向無線多跳網絡中的可信中心申請撤銷注冊設備基于ID的公鑰。
10、 根據權利要求8所述的一種基于ID的無線多跳網絡密鑰管理方法,其特征在于當注冊設備基于ID的私鑰沒有被泄漏但不再使用時,步驟51]具體為注冊設備利用與無線多跳網絡中可信中心之間的會話密鑰向該可信中心申請撤銷注冊設備基于ID的公鑰。
全文摘要
一種基于ID的無線多跳網絡密鑰管理方法,適用于WAPI框架方法(TePA,基于三元對等鑒別的訪問控制方法)在包括無線局域網、無線城域網和無線個域網在內的具體網絡上應用時的安全應用協議。本發明密鑰管理方法包括密鑰產生、密鑰分發、密鑰存儲、密鑰更改和密鑰撤銷的步驟。本發明解決了現有基于預共享密鑰的密鑰管理方法不適合于規模較大的網絡以及基于PKI的密鑰管理方法不適合無線多跳網絡的技術問題,由于采用了公鑰體制且采用了三元結構,從而可提高了無線多跳網絡的安全性和性能。
文檔編號H04L9/08GK101222325SQ20081001738
公開日2008年7月16日 申請日期2008年1月23日 優先權日2008年1月23日
發明者軍 曹, 肖躍雷, 賴曉龍, 黃振海 申請人:西安西電捷通無線網絡通信有限公司