[发明专利]基于标识即公钥的自信任路由资源标识及密钥分配方法

权利要求书

1.一种基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于包括以下步骤：

S1.网络地址数字授权机构NANA以及网络自治域管理机构NASA部署层级网络标识密钥管理机构，完成信任体系的初始化，公布系统公共安全参数，启动网络信任根；

S2.网络自治域管理机构NASA根据网络标识密钥管理协议，为其部署的路由器生成路由资源私钥，并分发至路由器；

S3.路由器根据网络标识密钥管理协议，利用路由资源私钥对消息进行签名，发布消息、消息签名及路由资源有效期，或者对消息进行加密，发布消息密文及路由资源有效期；

S4.路由器根据网络标识密钥管理协议，利用对等路由器的路由资源标识即公钥，验证对等路由器发布的消息签名，或解密对等路由器发布的消息密文。

2.根据权利要求1所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于，所述步骤S1的具体步骤包括：

S1.1.网络地址数字授权机构NANA部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，所述公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法；

S1.2.网络自治域管理机构NASA部署本自治域子网络的子密钥管理机构nasa-PKG。

3.根据权利要求2所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于，所述步骤S1.2的具体步骤包括：

S1.2.1.网络自治域管理机构NASA选择私密值作为子密钥管理机构nasa-PKG的层级密钥；

S1.2.2.网络自治域管理机构NASA通过网络自治域管理机构标识、层级密钥和私钥管理有效期向根密钥管理机构root-PKG申请密钥生成构件，所述密钥生成构件用于生成路由资源私钥；

S1.2.3.根密钥管理机构root-PKG验证网络自治域管理机构NASA的申请信息，并为通过验证的网络自治域管理机构NASA生成密钥生成构件，将该密钥生成构件安全分发至网络自治域管理机构NASA；

S1.2.4.网络自治域管理机构NASA获得密钥生成构件，完成子密钥管理机构nasa-PKG的部署。

4.根据权利要求3所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于：所述网络自治域管理机构NASA可以使用不同的私钥管理有效期向根密钥管理机构root-PKG申请对应的具有不同有效期的密钥生成构件，所述子密钥管理机构nasa-PKG可通过同一密钥生成构件分别为不同的路由器生成具有相同有效期的路由资源私钥，也可通过具有不同有效期的密钥生成构件为同一个路由器生成多个具有不同有效期的路由资源私钥。

5.根据权利要求4所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于，所述步骤S2的具体步骤包括：

S2.1.网络自治域管理机构NASA的子密钥管理机构nasa-PKG为其拥有的具有不同有效期密钥生成构件，提取路由器的路由资源标识即公钥；

S2.2.网络自治域管理机构NASA的子密钥管理机构nasa-PKG根据信任根发布的公共安全参数，通过密钥生成构件为路由资源标识生成对应的路由资源私钥；

S2.3.网络自治域管理机构NASA的子密钥管理机构nasa-PKG将路由资源私钥及路由资源有效期安全分发至路由器。

6.根据权利要求5所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于，所述步骤S3的具体步骤包括：

S3.1.路由器向所在网络自治域管理机构NASA查询，获取信任根发布的公共安全参数；

S3.2.路由器根据网络自治域管理机构NASA发布的路由资源有效期，提取路由资源私钥；

S3.3.路由器根据信任根发布的公共安全参数，通过路由资源私钥为其发布的消息进行签名或加密；

S3.4.路由器发布包括消息，消息签名，路由资源有效期的可验证消息三元组，或者发布包括消息密文，路由资源有效期的加密消息二元组。

7.根据权利要求6所述的基于标识即公钥的自信任路由资源标识及密钥分配方法，其特征在于，所述步骤S4的具体步骤包括：

S4.1.路由器向所在网络自治域管理机构NASA查询，获取信任体系的公共安全参数；

S4.2.路由器获取对等路由器发布的包括消息，消息签名，路由资源有效期的可验证消息三元组，或者包括消息密文，路由资源有效期的加密消息二元组；

S4.3.路由器根据对等路由器的路由器标识、对等路由器所属网络自治域管理机构标识以及可验证消息三元组或加密消息二元组的路由资源有效期，提取对等路由器路由资源标识；

S4.4.路由器根据信任根发布的公共安全参数，利用对等路由器路由资源标识，验证对等路由器发布的消息签名或解密对等路由器发布的消息密文。