[发明专利]一种基于公钥基础设施的移动互联网接入认证方法

权利要求书

1.一种基于公钥基础设施的移动互联网接入认证方法，其特征在于该方法的具体流程为：

步骤1). 用户到认证中心录入自己的信息，包括用户名、所在部门、单位、城市、省份、国家、密钥长度、证书有效期、私钥密码，认证中心这些信息生成用户证书，并将认证码和授权码返回给用户；

步骤2). 用户根据步骤1)的认证码和授权码生成证书申请书，并提交给注册机构，注册机构收到证书申请书后将其转发给认证中心，认证中心根据认证码和授权码选出匹配的证书，并通过注册机构转发给用户，这样用户成功下载了自己的数字证书；网络服务节点预置自己的数字证书；

步骤3). 用户向接入节点发送入网注册请求，请求信息包括用户的私有身份标识；

步骤4). 接入节点收到用户注册信息后，选择合适的网络服务节点为用户提供接入认证服务；

步骤5). 网络服务节点收到用户的私有身份标识后，根据私有身份标识判断该用户是不是本地用户，如果是本地用户则直接发起双向认证过程，执行步骤7)，如果不是，网络服务节点则查找备份服务节点发起认证过程；

步骤6). 如果网络服务节点找到备份服务节点，则由备份服务节点发起双向认证过程，执行步骤7)，如果没有找到备份服务节点，则接入过程失败；

步骤7). 用户向网络服务节点发起入网登记请求；

步骤8). 网络服务节点收到请求后，产生一个随机数，并将该随机数与自己的数字证书一起发送给用户

步骤9). 用户收到网络服务节点的数字证书后，首先向认证中心申请最新的证书撤销列表，然后利用认证中心的公钥来验证该网络服务节点的数字证书是否由认证中心签发以及是否被撤销，如果验证网络服务节点的数字证书失败，则接入认证失败，用户与该网络服务节点断开连接；如果验证通过，则，

a) 首先用户用自己的私有密钥对接收到的网络服务节点生成的随机数作数字签名；

b) 其次生成一个随机数，然后用网络服务节点的公开密钥对该随机数进行加密，最后采用对称性加密算法，用该随机数对用户私有身份标识、用户证书、a)生成的数字签名进行加密，生成加密信息；

c) 将加密信息发送到网络服务节点，同时用户存储网络服务节点生成的随机数、网络节点的数字证书以及自己生成的随机数；

步骤10). 网络服务节点收到用户发送过来的加密信息后，用自己的私钥解密得到用户生成的随机数，然后用该随机数解密收到的加密信息，得到用户的私有身份标识和数字证书，

(a)首先验证用户私有身份标识的合法性，如果用户身份不合法，则拒绝该用户的接入，如果合法则继续以下步骤；

(b)其次网络服务节点向认证中心申请最新的证书撤销列表，利用认证中心的公钥验证用户数字证书的真实性，验证方法与之前用户验证网络服务节点的方法相同；

(c)然后使用用户的公钥来解密消息获得随机数，如果该随机数跟步骤(8)中生成的随机数是一致的，则再生成一个新的随机数，使用用户的公钥对该随机数进行加密，把该加密信息发送给用户，并存储该随机数；

(d)至此网络服务节点确认了用户的身份；

步骤11). 用户收到网络服务节点发送过来的加密信息后，

(a)用自己的私钥解密信息获得随机数；

(b)发送确认消息给网络服务节点；

(c)存储该随机数，并把该随机数作为会话密钥；

(d)用户认证完成；

步骤12).当网络服务节点收到确认消息后，利用步骤(10)中存储的随机数作为会话密钥，网络服务节点认证完成。