一种鉴权信息传输方法及装置制造方法

文档序号:7770444阅读:193来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种鉴权信息传输方法及装置制造方法
【专利摘要】本发明实施例公开了一种鉴权信息传输方法及装置,包括:中心节点接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息;所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。本发明实施例中利用中心节点对终端与终端通信时需要交互的鉴权信息进行转发的方式,极大地降低了将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。
【专利说明】一种鉴权信息传输方法及装置

【技术领域】
[0001]本发明涉及通信【技术领域】,特别涉及一种鉴权信息传输方法及装置。

【背景技术】
[0002]借助DSRC (Dedicated Short Range Communicat1ns,专用短距通信技术),通过车与车、车与道路基础设施间的直接通信,实时感知车辆周边状况并提供及时道路安全预警的车联网技术是当前世界各国解决道路安全问题的一个研究热点。
[0003]基于车与车、车与道路基础设施间直接通信的车联网具有无中心、自组织等特点,传统基于中心控制的无线网络,例如GSM(Global System of Mobile communicat1n,全球移动通讯系统)、3G (3rd-Generat1n Mobile communicat1n,第三代移动通信技术)、LTE(Long Term Evolut1n,长期演进)网络中,成熟的信息安全保障机制无法在这样的网络中使用,使得基于车与车、车与路直接通信的车联网更容易受到来自恶意节点的安全威胁。
[0004]IEEE WAVE车辆环境无线接入工作组制定的用于车与车、车与道路基础设施间直接通信的DSRC协议由底层协议(802.1lp)和上层协议(1609协议簇)两部分组成,其中,1609.2协议簇中定义了车与车、车与基础设施间通信消息的鉴权和加密机制,来防止电子欺诈、窃听。加密机制在车与车、车与道路基础设施间进行点对点通信时才需要使用;车辆及基础设施发送的道路安全消息希望覆盖范围内所有的车辆及路侧基础设施都能够接收至IJ,因此车辆和路侧基础设施发送的道路安全消息不需要加密,只需要接收端对消息的发送者进行鉴权,以确定消息的有效性。
[0005]SAE J2735消息集库定义了多种用于支持道路安全应用的消息格式,其中最重要的是基本安全消息(BSM),该消息用来发送支持车与车间道路安全应用的车辆状态信息,如当前的时间、车辆位置、速度以及其他一些基本的车辆状态信息。车辆间通过频繁的BSM消息交互可以跟踪彼此的位置及移动,从而使驾驶员能够采取恰当的驾驶行为来避免可能的碰撞。接收节点必须保证所接收到的BSM消息有效且未被篡改,才能够利用所接收的BSM中的信息来实现道路安全应用。
[0006]1609.2协议簇中对接收到的消息提供了如下鉴权方式:
[0007]消息的发送节点拥有一个私有签名密钥和一个包含了其私有签名密钥相关联的公共密钥的证书。发送节点使用私钥对发送的消息进行数字签名,数字签名信息携带在所发送的消息中;接收节点使用该接收消息对应的发送节点的公钥对消息中携带的数字签名信息进行验证,以判断消息的发送节点是否具有消息中所发送内容的发送权限以及判断消息的有效性。
[0008]目前每个节点发送的每条消息中均携带节点对所发消息的数字签名信息,以及包含了与其私钥相关联的公钥的证书,该证书还包括利用CA (Certificate Authority,证书管理机构)发布公钥对证书的签名。当一个节点接收到其他节点发送的消息时,先根据CA发布的公钥对该消息中包含的证书进行验证,以确定证书的有效性;对证书验证通过后,使用证书中包含的与发送节点使用的私钥相关联的公钥对接收到的消息的有效性进行验证,验证通过后,将该消息中包含的道路安全信息发送给高层处理。
[0009]目前,证书的发送方法主要采用以下方式:通过车与车、车与基础设施间直接通信来提高行车安全的车联网系统中,为了保证车与车、车与基础设施间交互信息的安全性和可信性,当前要求发送端节点在每条发送的消息中都携带消息的签名信息以及对应的证书,接收端节点(车辆或基础设施)对每条接收到的其他车辆或路侧基础设施发送的道路安全消息都进行鉴权。
[0010]节点发送的消息中包含的证书主要用来对发送节点的身份进行验证,证书中除了包含上述发送节点公钥、CA的签名外,还包含发送节点的标识(ID)、证书的序列号、证书发放机构的名称、以及能够使接收者验证证书是否已被撤销等信息。
[0011]此外,证书中还包含关于时间、内容、位置的范围限制信息(对于基础设施来讲,关于位置的范围限制信息是非常重要的);出于保护隐私,车辆使用一个证书通常只在有限时间有效(如5-10分钟),从而使它的轨迹不能够通过广播的道路安全信息被方便的长时间跟踪。当车辆变换证书的时候,它也会改变其发送的道路安全消息中的其他标识,如BSM消息中的源MAC地址、临时ID、序列号等。
[0012]证书可以采用两种方式来提供上述发送者公钥和进行CA鉴权。在显示证书中它们分别由证书中独立的域指示,如一个224bit的发送者公钥域和256bit的CA签名;在隐式证书中,发送者公钥和进行CA鉴权通过重建域隐式地提供。接收节点可以使用CA公钥和重建域的值恢复出发送者公钥,在这个过程中可以对证书本身进行鉴定,但隐式证书要求发送者和CA使用相同长度的密钥,重建域的长度等于密钥的长度。由于隐式证书中使用重建域来代替发送者公钥和CA签名域使得隐式证书相对于显示证书能够节约50-60字节。由于可以实现明显节省,1609工作组正在考虑将隐式证书设置为可选的方式。处理的负荷一定程度上取决于实现方式,但通常认为显式证书与隐式证书的处理要求基本相当。
[0013]显示证书的长度一般为一百多字节,即便是较小的隐式证书相对于BSM中指示车辆状态的信息(长度一般为50?150字节)的长度也是很大的。
[0014]发明人在实现本发明的过程中,发现现有证书的发送方案至少存在以下缺陷:
[0015]车辆及路侧基础设施发送的消息都需要进行数字签名以便让接收该消息的车辆确定该消息的有效性。现有技术中,在终端与对端通信时,根据对端发送消息中携带证书中的发送者公钥对对端身份进行验证,然而证书的发送占用了大量的传输资源,从而使发送消息占用了大量的传输信道资源,因此极大地降低了系统资源的利用率。


【发明内容】

[0016]本发明实施例提供了一种鉴权信息传输方法及装置,用以节约信道资源及提高系统的资源利用率。
[0017]本发明实施例中提供了一种鉴权信息传输方法,包括:
[0018]中心节点接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息;
[0019]所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0020]较佳地,进一步包括:所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给与所述中心节点相邻的中心节点。
[0021]较佳地,进一步包括:所述中心节点接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息;
[0022]所述中心节点将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,以防止小区边缘处出现盲区。
[0023]较佳地,所述鉴权信息包括发送者公钥,则终端接收到对端的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息中的发送者公钥对对端身份进行验证,从而保证接收到的对端的未携带鉴权信息的消息的安全性和可信性。
[0024]较佳地,所述鉴权信息还包括发送者的标识和/或证书管理机构CA的签名,则指示中心节点根据所述鉴权信息中的发送者的标识和/或CA的签名对该终端进行身份验证。
[0025]较佳地,所述鉴权信息包括发送者证书中的一项或多项内容。
[0026]较佳地,所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端之前,进一步包括:
[0027]基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对接收的每个终端进行身份验证;
[0028]验证通过后将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,从而保证接收到的终端的鉴权信息的安全性和可信性。
[0029]较佳地,所述鉴权信息为发送者证书,所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,包括:
[0030]将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
[0031 ] 较佳地,所述发送者证书包括CA签名,将接收的每个终端的发送者证书中的部分内容发送给所述中心节点覆盖的所有终端,包括:
[0032]将去掉CA签名的终端的发送者证书发送给所述中心节点覆盖的所有终端,以降低发送终端的鉴权信息所需的系统资源开销。
[0033]较佳地,所述中心节点将接收的每个终端的鉴权信息处理后发送给所述中心节点覆盖的终端,包括:
[0034]在接收的每个终端的鉴权信息中加入利用中心节点的私有密钥所作的签名,或中心节点的公钥及利用中心节点的私有密钥所作的签名;
[0035]将处理后的接收的每个终端的鉴权信息发送给所述中心节点覆盖的所有终端。
[0036]较佳地,所述中心节点将所述终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,包括:
[0037]所述中心节点按照设定时间间隔或事件触发方式,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端,将终端的鉴权信息按照设定时间间隔或事件触发方式统一下发给所述中心节点覆盖的所有终端,以提高网络资源利用率。
[0038]较佳地,所述中心节点通过以下方式中的任一种,将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端:
[0039]广播方式;组播方式;多播方式;点对点方式。
[0040]本发明的上述实施例中,可以达到合理利用信道资源,提高系统资源利用率的目的。
[0041]本发明实施例中提供了一种鉴权信息传输方法,包括:
[0042]终端将用于对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节占.
[0043]终端接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
[0044]较佳地,进一步包括:
[0045]终端接收所述中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息并进行存储。
[0046]较佳地,所述终端发送的鉴权信息包括发送者的公钥。
[0047]较佳地,所述终端发送的鉴权信息还包括发送者标识和/或证书管理机构CA的签名。
[0048]较佳地,所述终端发送的鉴权信息包括发送者证书中的一项或多项内容。
[0049]较佳地,终端将鉴权信息发送给覆盖所述终端的中心节点,包括:
[0050]终端按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖所述终端的中心节点。
[0051]终端使用的鉴权信息中的发送者证书通常只在有效时间有效,采用此方式可以向中心节点发送随时间更新的发送者证书,保证了发送者证书的有效性。
[0052]较佳地,所述中心节点发送的终端的鉴权信息还包括所述中心节点的签名,或包括所述中心节点的公钥及签名。
[0053]本发明实施例中提供了一种终端进行身份验证的方法,包括:
[0054]接收对端发送的未携带鉴权信息的消息;
[0055]根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0056]本发明的上述实施例中,可以降低将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。
[0057]较佳地,所述对端的鉴权信息包括对端的发送者的公钥,根据对端的鉴权信息对对端身份进行验证,包括:
[0058]根据对端的鉴权信息中的发送者公钥对对端身份进行验证,用以保证对端发送的消息的安全性和可信性。
[0059]较佳地,所述中心节点发送的终端的鉴权信息还包括中心节点的签名,或包括中心节点的公钥及签名,所述终端接收所述中心节点发送的终端的鉴权信息之后,进一步包括:
[0060]基于所述鉴权信息中的中心节点的签名或中心节点的公钥和签名,对所述中心节点进行身份验证,从而保证中心节点发送的终端的鉴权信息的安全性和可信性;
[0061]验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0062]根据上述方法,本发明实施例中提供了一种中心节点,包括:
[0063]接收模块,用于接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息;
[0064]发送模块,用于将接收到每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0065]较佳地,所述发送模块进一步用于将接收的每个终端的鉴权信息转发给或处理后发送给与所述中心节点相邻的中心节点。
[0066]较佳地,所述接收模块进一步用于接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息;
[0067]所述发送模块进一步用于将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0068]较佳地,所述鉴权信息包括发送者公钥。
[0069]较佳地,所述鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
[0070]较佳地,所述鉴权信息包括发送者证书中的一项或多项内容。
[0071]较佳地,进一步包括:
[0072]验证模块,用于基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对接收的每个终端进行身份验证;
[0073]所述发送模块进一步用于在验证通过后,将所述终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0074]较佳地,所述鉴权信息为发送者证书,所述发送模块具体用于将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
[0075]较佳地,所述发送者证书包括CA签名,所述发送模块具体用于将去掉CA签名的终端的发送者证书发送给所述中心节点覆盖的所有终端。
[0076]较佳地,进一步包括:
[0077]处理模块,用于在接收的每个终端的鉴权信息中加入利用中心节点的私有密钥所作的签名,或中心节点的公钥及利用中心节点的私有密钥所作的签名;
[0078]所述发送模块具体用于将处理模块处理后的接收的每个终端的鉴权信息发送给所述中心节点覆盖的所有终端。
[0079]较佳地,所述发送模块具体用于:
[0080]按照设定时间间隔或事件触发方式,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端。
[0081]较佳地,所述发送模块通过以下方式中的任一种,将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端:
[0082]广播方式;组播方式;多播方式;点对点方式。
[0083]本发明实施例还提供了一种中心节点,包括处理器和数据收发接口,其中:
[0084]所述处理器被配置为用于:接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息,将接收到每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端;
[0085]所述数据收发接口用于实现所述处理器与终端之间的数据通信。
[0086]根据上述方法,本发明实施例中提供了一种终端,包括:
[0087]发送模块,用于将对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节点;
[0088]接收模块,用于接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
[0089]较佳地,所述接收模块进一步用于接收所述中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息并进行存储。
[0090]较佳地,所述发送模块发送的鉴权信息包括发送者的公钥。
[0091 ] 较佳地,所述发送模块发送的鉴权信息还包括发送者标识和/或证书管理机构CA的签名。
[0092]较佳地,所述发送模块发送的鉴权信息包括发送者证书中的一项或多项内容。
[0093]较佳地,所述发送模块具体用于:
[0094]按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖所述终端的中心节点。
[0095]较佳地,所述接收模块接收的鉴权信息还包括所述中心节点的签名,或包括所述中心节点的公钥及签名。
[0096]较佳地,所述接收模块进一步用于接收对端发送的未携带鉴权信息的消息;
[0097]所述终端进一步包括:
[0098]验证模块,用于在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0099]较佳地,所述对端的鉴权信息包括对端的发送者的公钥,验证模块具体用于在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0100]较佳地,所述接收模块接收所述中心节点发送的终端的鉴权信息还包括中心节点的签名,或包括中心节点的公钥及签名,所述验证模块具体用于:
[0101]基于所述鉴权信息中的中心节点的签名或中心节点的公钥和签名,对所述中心节点进行身份验证;
[0102]验证通过后,在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0103]本发明还提供一种终端,包括处理器和数据收发接口,其中:
[0104]所述处理器被配置为用于将对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节点,接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储;
[0105]所述数据收发接口用于实现所述处理器与其它终端及中心节点间的数据通信。
[0106]本发明实施例提供的鉴权信息传输方法及装置,利用中心节点对终端与终端通信时需要交互的鉴权信息进行转发的方式,极大地降低了将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。

【专利附图】

【附图说明】
[0107]图1为本发明实施例提供的鉴权信息传输方法流程示意图;
[0108]图2为本发明实施例提供的终端鉴权信息传输方法流程示意图;
[0109]图3为本发明实施例提供的终端进行身份验证的方法流程示意图;
[0110]图4a为本发明提供的实施例一中的网络架构示意图;
[0111]图4b为本发明提供的实施例一的流程图;
[0112]图4c为本发明提供的实施例二中的网络架构示意图;
[0113]图4d为本发明提供的实施例二的流程图;
[0114]图4e为本发明提供的实施例三中的网络架构示意图;
[0115]图4f为本发明提供的实施例三的流程图;
[0116]图4g为本发明提供的实施例四中的网络架构示意图;
[0117]图4h为本发明提供的实施例四的流程图;
[0118]图5为本发明实施例提供的中心节点结构示意图;
[0119]图6为本发明实施例提供的终端结构示意图。

【具体实施方式】
[0120]本发明实施例应用于通信系统,该系统中与本发明实施例相关的设备主要包括:中心节点、终端。利用中心节点对终端与终端通信时需要交互的鉴权信息进行转发的方式,极大地降低了将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。
[0121]下面结合附图对本发明的【具体实施方式】进行详细说明。
[0122]参见图1,本发明实施例提供的鉴权信息传输方法的流程,具体实现步骤包括:
[0123]步骤101、中心节点接收其覆盖的终端发送的用于对终端身份进行验证的鉴权信肩、O
[0124]鉴权信息可以是任何形式的用于对终端进行身份认证的信息。
[0125]优选地,鉴权信息至少包括发送者公钥。进一步优选地,鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
[0126]目前发送者证书具有用于对终端身份验证的信息,除了包含上述发送者公钥、CA的签名和/或发送者的标识(ID)外、还包含证书的序列号、证书发放机构的名称、以及能够使接收者验证证书是否已被撤销等信息。优选地,鉴权信息包括发送者证书中的一项或多项内容,发送者公钥为必须包括的内容。
[0127]此外,证书中还包含关于时间、内容、位置的范围限制等信息,可以根据需要确定是否将其加入鉴权信息。当然,鉴权信息可以包括证书的全部内容。
[0128]步骤102、所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0129]中心节点对终端的鉴权信息进行处理时,可以是根据需要在鉴权信息中加入一些信息,或删除终端的鉴权信息中不必要的冗余信息,当然,还可以是其它处理方式。
[0130]本发明实施例利用中心节点对终端与终端通信时需要交互的鉴权信息进行转发的方式,极大地降低了将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。
[0131]实施中,中心节点可以采用如下方式将接收的每个终端的鉴权信息转发给或处理后发送给该中心节点覆盖的所有终端:
[0132]I)按照设定时间间隔方式发送
[0133]在设定时间间隔内中心节点接收终端的鉴权信息,当到达设定时间时,中心节点将此时间间隔内接收的每个终端的鉴权信息发送给或处理后发送给该中心节点覆盖的所有终端。
[0134]采用此方式可以实现将多个终端的鉴权信息按照设定时间间隔统一下发,以提高网络资源利用率。
[0135]2)按照事件触发方式发送
[0136]具体的触发方式可以是,当新接入该中心节点的终端数目达到一定数值时,将当前接收到的所有终端的鉴权信息统一下发,可以提高网络资源利用率。
[0137]3)立即发送方式
[0138]中心节点只要接收到终端发送的鉴权信息,则将接收的该终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0139]实施中,该中心节点通过以下方式中的任一种,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端:
[0140]广播方式;组播方式;多播方式;点对点方式。其中,广播可以为MBMS广播、车联网专用广播、系统广播等,以达到合理利用信道资源,提高系统资源利用率的目的。
[0141]依照本发明另一优选实施方式,该中心节点将接收的每个终端的鉴权信息转发给或处理后发送给与该中心节点相邻的中心节点,以防止小区边缘处出现盲区。
[0142]优选的,该方法还包括:该中心节点接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息;将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给该中心节点覆盖的所有终端。
[0143]对于不管是从中心节点覆盖的终端接收的鉴权信息,还是从相邻中心节点接收的终端的鉴权信息,将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端之前,还包括:
[0144]基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对该终端进行身份验证;验证通过后再发送。
[0145]通常,中心节点基于CA的签名对对应终端进行身份验证。中心节点对终端的身份验证方式也可以采用其他方式,如借助于现有蜂窝网络的鉴权认证体系,一旦确定终端是蜂窝网络的合法接入终端,那么认为该终端发送的鉴权信息就是可信的。
[0146]中心节点发送给所述中心节点覆盖的所有终端的鉴权信息是相同的。
[0147]该鉴权信息为发送者证书或发送者证书部分内容,该中心节点将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
[0148]在鉴权信息为发送者证书部分内容时,该中心节点将去掉CA签名的终端的发送者证书发送给该中心节点覆盖的所有终端。
[0149]在中心节点对终端的鉴权信息进行处理时,采用如下任一方式:
[0150]I)在终端的鉴权信息中加入利用中心节点的私有密钥所作的签名;
[0151]需要说明的是,若中心节点的公钥是公知信息时,则在规范或协议中规定或在中心节点的系统广播中通知,那么中心节点在向该中心节点覆盖的所有终端发送鉴权信息时不需要添加该中心节点的公钥。
[0152]2)在终端的鉴权信息中加入中心节点的公钥及利用中心节点的私有密钥所作的签名。
[0153]需要说明的是,此时中心节点的公钥是非公知信息,因此中心节点在向该中心节点覆盖的所有终端发送鉴权信息时,需要添加该中心节点的公钥。
[0154]基于加入的利用中心节点的私有密钥所作的签名,或中心节点的公钥及中心节点的私有密钥所作的签名,终端可以对该中心节点进行身份验证,从而保证中心节点发送的终端的鉴权信息的安全性和可信性。
[0155]本发明实施例对于上述鉴权信息的发送方式不做具体限制。
[0156]参见图2,本发明实施例提供的终端侧的鉴权信息传输方法的流程,具体实现步骤包括:
[0157]步骤201、将用于对该终端进行身份验证的鉴权信息发送给覆盖该终端的中心节点。
[0158]鉴权信息可以是任何形式的用于对终端进行身份认证的信息。
[0159]优选地,鉴权信息至少包括发送者公钥。进一步优选地,鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
[0160]目前发送者证书具有用于对终端身份验证的信息,除了包含上述发送者公钥、CA的签名和/或发送者的标识(ID)外、还包含证书的序列号、证书发放机构的名称、以及能够使接收者验证证书是否已被撤销等信息。优选地,鉴权信息包括发送者证书中的一项或多项内容,若包括发送者证书一项内容,则该项内容为发送者公钥。
[0161]此外,证书中还包含关于时间、内容、位置的范围限制等信息,可以根据需要确定是否将其加入鉴权信息。当然,鉴权信息可以包括证书的全部内容。
[0162]具体的,该终端按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖该终端的中心节点。
[0163]通常,若终端前后发送的鉴权信息中的证书的有效时间有30秒的重叠时间,那么终端可以在每两个证书的重叠时间范围内按照设定时间间隔向中心节点发送携带各自公钥的下一个将要使用的证书。
[0164]出于保护隐私,终端使用一个证书通常只在有限时间内有效;1609.2协议中规定每个终端的证书集中任意一个时刻只有一个证书是有效的。这个原则可以放松为相邻两个证书的有效时间段可以允许一个短时间的重叠,使得证书可以在重叠的时间段内随机转换从而更好地保护隐私,另外也可以使得当一个严重的事件发生时让终端拥有一定的延迟变换证书的灵活度。
[0165]步骤202、接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
[0166]优选的,该方法还包括:该终端接收该中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息并进行存储。
[0167]该步骤中,基于加入的利用中心节点的私有密钥所作的签名,或中心节点的公钥及中心节点的私有密钥所作的签名,终端可以对该中心节点进行身份验证,从而保证中心节点发送的终端的鉴权信息的安全性和可信性。
[0168]需要说明的是,若中心节点的公钥是公知信息时,则在规范或协议中规定或在中心节点的系统广播中通知,那么中心节点在向该中心节点覆盖的所有终端发送鉴权信息时不需要添加该中心节点的公钥。
[0169]参见图3,本发明实施例提供的终端进行身份验证的方法流程,具体实现步骤包括:
[0170]步骤301、接收对端发送的未携带鉴权信息的消息。
[0171]步骤302、根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0172]该步骤中,所述对端的鉴权信息包括对端的发送者的公钥,根据对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0173]上述实施例中,在终端接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证,以使终端利用存储的从中心节点接收的对端的鉴权信息对对端进行身份验证,这样终端与终端发送的消息中不需要携带鉴权信息,从而极大地降低了在终端与终端之间发送消息时携带鉴权信息造成的网络资源开销,显著地提高了终端与终端之间通信的效率。
[0174]步骤303、若根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证,若验证通过,则转入步骤304 ;若验证未通过,则转入步骤305。
[0175]步骤304、该终端将通过身份验证的所述对端发送的未携带鉴权信息的消息递交给高层进行处理。
[0176]步骤305、该终端将未通过身份验证的所述对端发送的未携带鉴权信息的消息丢弃。
[0177]进一步地,在接收到对端发送的未携带鉴权信息的消息时,若还未存储该对端的鉴权信息,则将对端发送的消息直接丢弃。
[0178]通过以上流程可以看出,本发明的上述实施例中,中心节点接收其覆盖的所有终端发送的用于对终端进行身份验证的鉴权信息;该中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。本发明实施例中利用中心节点对终端与终端通信时需要交互的鉴权信息进行转发的方式,极大地降低了将鉴权信息携带在终端与终端通信时发送的消息中所需的系统资源开销,从而提高了系统的资源利用率。
[0179]本发明实施例中,中心节点可以是具备基站功能的设备或是具有鉴权信息转发功能的管理设备,例如,中心节点可以为=S(Macro)基站或微(Pico)基站或家庭(femto)基站;终端设备为至少具备物理层传输功能的设备,例如车辆节点或路侧基础设施节点。
[0180]下面以基站与车辆节点构成的通信系统为例,并结合具体实施例对本发明进行详细说明:
[0181]实施例一:基站接收其覆盖的车辆节点发送的用于对车辆节点进行身份验证的鉴权信息,该基站将接收的每个车辆节点的鉴权信息转发给或处理后发送给该基站覆盖的所有车辆节点,其中,基站基于蜂窝网络的鉴权认证体系对车辆节点进行身份验证。
[0182]图4a为本发明提供的实施例一中的网络架构示意图,设基站A下包含3个车辆节点a、b、C。实施例一的流程如图4b所示,步骤如下:
[0183]步骤一、车辆节点a、b、c接入基站A后,车辆节点a、b、c将用于对车辆节点a、b、c进行身份验证的鉴权信息发送给覆盖车辆节点a、b、c的基站A。
[0184]该步骤中,车辆节点a、b、c按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖车辆节点a、b、c的基站A。
[0185]通常,若车辆节点a、b、c前后发送的两个发送者证书的有效时间有30秒的重叠时间,那么车辆节点a、b、c可以在每两个证书的重叠时间范围内向基站A发送携带各自公钥的下一个将要使用的证书。
[0186]步骤二、基站A接收其覆盖的车辆节点a、b、c发送的用于对车辆节点a、b、c进行身份验证的鉴权信息后,基于蜂窝网络的鉴权认证体系对车辆节点进行身份验证。
[0187]该步骤中、基站A基于蜂窝网络的鉴权认证体系对车辆节点进行身份验证,如基站A基于车辆节点的标识对车辆节点的身份进行验证,验证通过后转入步骤三,验证未通过则将未通过身份验证的鉴权信息丢弃。
[0188]步骤三、基站A将车辆节点a、b、c的鉴权信息(发送者证书)转发给或处理后发送给其覆盖的车辆节点a、b、C。
[0189]需要说明的是,基站A发送给各车辆节点a、b、c的是相同的鉴权信息。具体可以为将车辆节点a、b、c的鉴权信息放在一个数据包中进行发送。
[0190]优选的,在车辆节点的鉴权信息中加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名;将加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用该基站A的私有密钥所作的签名的车辆节点的鉴权信息发送给该基站A覆盖的车辆节点a、b、C。
[0191]需要说明的是,如果基站A的公钥是公知信息时,如在规范或协议中规定或在基站A的系统广播中通知,那么基站A在向其覆盖的车辆节点a、b、c发送鉴权信息时不需要添加基站A的公钥。
[0192]具体实施中,设车辆节点a、b通过了身份验证,车辆节点c没有通过身份验证,那么基站A将包含车辆节点a、b的车辆节点的鉴权信息按照设定时间间隔并通过系统广播方式发送给该基站A覆盖的所有车辆节点a、b、C。
[0193]在上述优选的实施方式中,在车辆节点a、b的鉴权信息中加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名;将加入加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名的车辆节点的鉴权信息按照设定时间间隔并通过系统广播方式发送给该基站A覆盖的所有车辆节点a、b、C。
[0194]步骤四、车辆节点a、b、c接收基站A发送的该基站覆盖的车辆节点的鉴权信息并进行存储。
[0195]步骤五、车辆节点a、b、c接收到对端发送的未携带鉴权信息的消息时,根据存储的从覆盖车辆节点a、b、c的基站A接收的对端的鉴权信息对对端身份进行验证。
[0196]该步骤中,车辆节点a、b、c根据对端的鉴权信息中的发送者公钥对对端身份进行验证。具体可以为,比较根据对端的发送者公钥和发送消息生成签名信息与对端发送消息中携带的采用对端私钥所作的签名信息是否一致,如果两个签名信息一致,则认为对端是可信终端,否则认为对端是不可信终端。
[0197]优选的,基站A发送的车辆节点的鉴权信息还包括基站A的签名,或基站A的公钥及签名,车辆节点a、b、c接收该基站发送的车辆节点的鉴权信息之后,还包括:
[0198]基于该基站A的签名,或基站A的公钥及签名对该基站A进行身份验证;
[0199]验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从该基站A接收的对端的鉴权信息对对端身份进行验证。
[0200]具体实施中,车辆节点c接收到覆盖该车辆节点的基站A发送的包含车辆节点a、b的证书的鉴权信息并进行存储后,先采用该鉴权信息中携带的基站A的签名,或基站A的公钥及签名对该基站A进行身份验证,验证通过后,车辆节点c在接收到对端车辆节点a、b发送的未携带鉴权信息的消息时,根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证。
[0201]步骤六、若车辆节点a、b、c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则转入步骤七;若车辆节点a、b、c根据从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则转入步骤八。
[0202]步骤七、车辆节点a、b、c将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理。
[0203]步骤八、车辆节点a、b、c将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃。
[0204]进一步地,车辆节点a、b、c对未接收到的对端的鉴权信息的对端发送的未携带鉴权信息的消息直接丢弃。
[0205]具体实施中,若车辆节点c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理;若车辆节点c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则将未通过身份验证的对端车辆节点a、b发送的未携带鉴权信息的消息丢弃;车辆节点a、b的操作与车辆节点c的操作类似,但由于基站A按照设定时间间隔通过系统广播形式发送的鉴权信息中没有车辆节点c的鉴权信息,因此车辆节点a、b、只能根据存储的从该基站A接收的车辆节点a、b的鉴权信息中彼此的鉴权信息对对端发送的未携带鉴权信息的消息进行验证,将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理,将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃,而车辆节点a、b在接收到对端发送的未携带鉴权信息的消息时,若还未存储对端的鉴权信息,则将对端发送的消息直接丢弃,如对于接收到的车辆节点c发送的未携带鉴权信息的消息时,直接将车辆节点c发送的未携带鉴权信息的消息丢弃。
[0206]实施例二:基站接收其覆盖的车辆节点发送的用于对车辆节点身份进行验证的鉴权信息,该基站将接收的每个车辆节点的鉴权信息转发给或处理后发送给该基站覆盖的所有车辆节点,其中,基站基于接收的车辆节点的鉴权信息中CA的签名对车辆节点进行身份验证。
[0207]图4c为本发明提供的实施例二中的网络架构示意图,设基站A下包含3个车辆节点a、b、c,实施例二的流程如图4d所示,步骤如下:
[0208]步骤一、车辆节点a、b、c接入基站A后,车辆节点a、b、c将用于对车辆节点a、b、c进行身份验证的鉴权信息发送给覆盖车辆节点a、b、c的基站A。
[0209]该步骤的【具体实施方式】如实施例一中步骤一中所述。
[0210]步骤二、基站A接收其覆盖的车辆节点a、b、c发送的用于对车辆节点a、b、c进行身份验证的鉴权信息后,基于鉴权信息中CA的签名对车辆节点的身份进行验证。
[0211]该步骤中、基站A基于接收的车辆节点的鉴权信息中CA的签名对车辆节点的身份进行验证,验证通过后转入步骤三,验证未通过则将未通过身份验证的鉴权信息丢弃。
[0212]步骤三、基站A将车辆节点a、b、c的鉴权信息(发送者证书)转发给或处理后发送给其覆盖的车辆节点a、b、C。
[0213]需要说明的是,基站A发送给各车辆节点a、b、c的是相同的鉴权信息。
[0214]优选的,在车辆节点a、b的鉴权信息中加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名;将加入加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名的车辆节点的鉴权信息按照设定时间间隔并通过系统广播方式发送给该基站A覆盖的所有车辆节点a、b、C。
[0215]需要说明的是,如果基站A的公钥是公知信息时,如在规范或协议中规定或在基站A的系统广播中通知,那么基站A在向其覆盖的车辆节点a、b、c发送鉴权信息时不需要添加基站A的公钥。
[0216]具体实施中,设车辆节点a、b通过了身份验证,车辆节点c没有通过身份验证,那么基站A将车辆节点a、b的鉴权信息按照设定时间间隔并通过MBMS广播形式发送给该基站A覆盖的车辆节点a、b、c。
[0217]在上述优选的实施方式中,在车辆节点a、b的鉴权信息中加入利用该基站A的私有密钥所作的签名,或该基站A的公钥及利用该基站A的私有密钥所作的签名;将加入利用该基站A的私有密钥所作的签名,或该基站A的公钥及利用该基站A的私有密钥所作的签名的车辆节点a、b的鉴权信息按照设定时间间隔并通过MBMS广播形式发送给该基站A覆盖的车辆节点a、b、c。
[0218]步骤四、车辆节点a、b、c接收该基站A发送的该基站A覆盖的车辆节点的鉴权信息并进行存储。
[0219]步骤五、车辆节点a、b、c接收到对端发送的未携带鉴权信息的消息时,根据存储的从覆盖车辆节点a、b、c的基站A接收的对端的鉴权信息对对端身份进行验证。
[0220]该步骤中,车辆节点a、b、c根据对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0221]优选的,该基站A发送的车辆节点的鉴权信息还包括该基站A的签名,或基站A的公钥及签名(当基站的公钥为公知信息时,基站A在向该基站覆盖的所有车辆节点发送鉴权信息时不需要添加该基站的公钥,即该鉴权信息中仅携带利用该基站的私有密钥所作的签名),车辆节点a、b、c接收该基站A发送的车辆节点的鉴权信息之后,还包括:
[0222]基于该基站A的签名,或基站A的公钥及签名对该基站A进行身份验证;
[0223]验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从该基站A接收的对端的鉴权信息对对端身份进行验证。
[0224]具体实施中,车辆节点c接收到覆盖该车辆节点的基站A发送的包含车辆节点a、b的证书的鉴权信息后,先采用该鉴权信息中携带的基站A的签名,或基站A的公钥及签名对该基站A进行身份验证,验证通过后,车辆节点c在接收到对端车辆节点a、b发送的未携带鉴权信息的消息时,根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证。
[0225]步骤六、若车辆节点a、b、c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则转入步骤七;若车辆节点a、b、c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则转入步骤八。
[0226]步骤七、车辆节点a、b、c将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理。
[0227]步骤八、车辆节点a、b、c将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃。
[0228]进一步地,车辆节点a、b、c对未接收到的对端的鉴权信息的对端发送的未携带鉴权信息的消息直接丢弃。
[0229]具体实施中,若车辆节点c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理;若车辆节点c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则将未通过身份验证的对端车辆节点a、b发送的未携带鉴权信息的消息丢弃;车辆节点a、b的操作与车辆节点c的操作类似,但由于基站A发送的鉴权信息中没有车辆节点c的鉴权信息,因此车辆节点a、b、只能根据存储的从基站A接收的车辆节点a、b的鉴权信息中彼此的鉴权信息对对端发送的未携带鉴权信息的消息进行验证,将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理,将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃,而车辆节点a、b在接收到对端发送的未携带鉴权信息的消息时,若还未存储对端的鉴权信息,则将对端发送的消息直接丢弃,如对于接收到的车辆节点c发送的未携带鉴权信息的消息时,直接将车辆节点c发送的未携带鉴权信息的消息丢弃。
[0230]实施例三:基站接收其覆盖的车辆节点发送的用于对车辆节点身份进行验证的鉴权信息,该基站将接收的每个车辆节点的鉴权信息发送给或处理后发送给该基站覆盖的所有车辆节点,其中,基站将去掉CA签名的车辆节点的发送者证书发送给该基站覆盖的所有车辆节点;基站基于蜂窝网络的鉴权认证体系或鉴权信息中CA的签名对车辆节点的身份进行验证。
[0231]图4e为本发明提供的实施例三中的网络架构示意图,设基站A下包含3个车辆节点a、b、c,实施例三的流程如图4f所示,步骤如下:
[0232]步骤一、车辆节点a、b、c接入基站A后,车辆节点a、b、c将用于对车辆节点a、b、c身份进行验证的鉴权信息发送给覆盖车辆节点a、b、c的基站A。
[0233]该步骤的【具体实施方式】如实施例一中步骤一中所述。
[0234]步骤二、基站A接收其覆盖的车辆节点a、b、c发送的用于对车辆节点a、b、c身份进行验证的鉴权信息后,基于蜂窝网络的鉴权认证体系或鉴权信息中CA的签名对车辆节点的身份进行验证。
[0235]该步骤中、基站A基于蜂窝网络的鉴权认证体系或CA的签名对车辆节点的身份进行验证,验证通过后转入步骤三,验证未通过则将未通过身份验证的鉴权信息丢弃。
[0236]步骤三、基站A将车辆节点a、b、c的鉴权信息(去掉CA签名的发送者证书)发送给其覆盖的所有车辆节点a、b、C。
[0237]需要说明的是,基站A发送给各车辆节点a、b、c的是相同的鉴权信息。
[0238]该步骤中,基站A去掉车辆节点a、b、c的发送者证书的CA的签名,将去掉CA的签名的车辆节点a、b、c的发送者证书(这里为去掉车辆节点a、b、c发送者证书中CA签名后的其他信息)发送给该基站A覆盖的车辆节点a、b、C。
[0239]优选的,在车辆节点a、b的鉴权信息中加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名;将加入加入利用基站A的私有密钥所作的签名,或基站A的公钥及利用基站A的私有密钥所作的签名的车辆节点的鉴权信息按照设定时间间隔并通过系统广播方式发送给该基站A覆盖的所有车辆节点a、b、C。
[0240]具体实施中,设车辆节点a、b通过了身份验证,车辆节点c没有通过身份验证,那么基站A将包含车辆节点a、b的车辆节点的鉴权信息按照设定时间间隔并通过车联网专用广播形式发送给该基站覆盖的车辆节点a、b、C。
[0241]在上述优选的实施方式中,在车辆节点a、b的鉴权信息中加入基站A的签名,或该基站A的公钥及利用该基站A的私有密钥所作的签名;将加入基站A的签名,或该基站A的公钥及利用该基站A的私有密钥所作的签名的车辆节点的鉴权信息按照设定时间间隔并通过车联网专用广播形式发送给该基站A覆盖的车辆节点a、b、C。
[0242]步骤四、车辆节点a、b、c接收该基站A发送的该基站A覆盖的车辆节点的鉴权信息并进行存储。
[0243]步骤五、车辆节点a、b、c接收到对端发送的未携带鉴权信息的消息时,根据存储的从覆盖车辆节点a、b、c的基站A接收的对端的鉴权信息对对端身份进行验证。
[0244]该步骤中,车辆节点a、b、c根据存储的对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0245]优选的,该基站A发送的车辆节点的鉴权信息还包括基站A的签名,或基站A的公钥及签名,车辆节点a、b、c接收基站A发送的车辆节点的鉴权信息之后,还包括:
[0246]基于接收到的基站A的签名,或基站A的公钥及签名对该基站进行身份验证;
[0247]验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从基站A接收的对端的鉴权信息对对端身份进行验证。
[0248]具体实施中,车辆节点c接收到覆盖该车辆节点的基站A发送的包含车辆节点a、b的证书的鉴权信息后,先采用该鉴权信息中携带的基站A的签名,或基站A的公钥及签名对该基站A进行身份验证,验证通过后,车辆节点c在接收到对端车辆节点a、b发送的未携带鉴权信息的消息时,根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证。
[0249]步骤六、若车辆节点a、b、c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则转入步骤七;若车辆节点a、b、c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则转入步骤八。
[0250]步骤七、车辆节点a、b、c将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理。
[0251]步骤八、车辆节点a、b、c将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃。
[0252]进一步地,车辆节点a、b、c对未接收到的对端的鉴权信息的对端发送的未携带鉴权信息的消息直接丢弃。
[0253]具体实施中,若车辆节点c根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证通过,则将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理;若车辆节点C根据存储的从该基站A接收的对端车辆节点a、b的鉴权信息分别对对端身份进行验证未通过,则将未通过身份验证的对端车辆节点a、b发送的未携带鉴权信息的消息丢弃;车辆节点a、b的操作与车辆节点c的操作类似,但由于基站A按照设定时间间隔通过车联网专用广播形式发送的鉴权信息中没有车辆节点c的鉴权信息,因此车辆节点a、b、只能根据存储的从基站A接收到的车辆节点a、b的鉴权信息中彼此的鉴权信息对对端发送的未携带鉴权信息的消息进行验证,将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理,将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃,而车辆节点a、b在接收到对端发送的未携带鉴权信息的消息时,若还未存储对端的鉴权信息,则将对端发送的消息直接丢弃,如对于接收到的车辆节点c发送的未携带鉴权信息的消息时,直接将车辆节点c发送的未携带鉴权信息的消息丢弃。
[0254]实施例四:基站将相邻基站发送的通过身份验证的车辆节点的鉴权信息转发给或处理后发送给该基站覆盖的所有车辆节点,其中,基站将去掉CA的签名的车辆节点的发送者证书发送给该基站覆盖的所有车辆节点,基站基于蜂窝网络的鉴权认证体系或CA的签名对车辆节点的身份进行验证。
[0255]图4g为本发明提供的实施例四中的网络架构示意图,设基站A下包含3个车辆节点a、b、C,基站B下包含2个车辆节点d、e,实施例四的流程如图4h所示,步骤如下:
[0256]步骤一、车辆节点a、b、C、d、e接入基站后,车辆节点a、b、C、d、e将用于对车辆节点a、b、C、d、e进行身份验证的鉴权信息发送给覆盖车辆节点a、b、C、d、e的基站A或B。
[0257]该步骤中,车辆节点a、b、c、d、e按照设定时间间隔将鉴权信息发送给覆盖车辆节点a、b、C、d、e的基站A或B。
[0258]通常,若车辆节点a、b、C、d、e前后发送的两个证书的有效时间有30秒的重叠时间,那么车辆节点a、b、C、d、e可以在每两个证书的重叠时间范围内向基站A或B发送携带各自公钥的下一个将要使用的证书。
[0259]步骤二、基站A或B接收其覆盖的车辆节点a、b、c、d、e发送的用于对车辆节点a、b、C、d、e身份进行验证的鉴权信息,并接收相邻基站发送的相邻基站覆盖的车辆节点的鉴权信息,然后基站A或B基于蜂窝网络的鉴权认证体系或鉴权信息中CA的签名对车辆节点的身份进行验证。
[0260]该步骤中、基站A或B基于蜂窝网络的鉴权认证体系或鉴权信息中CA的签名对车辆节点的身份进行验证,验证通过后转入步骤三,验证未通过则将未通过身份验证的鉴权信息丢弃。
[0261]步骤三、基站A或B将接收的每个车辆节点的鉴权信息(去掉CA签名的发送者证书)转发给或处理后发送给其覆盖的车辆节点a、b、C、d、e。
[0262]该步骤中,基站A或B将接收的相邻基站覆盖的车辆节点的鉴权信息与其接收的其覆盖的车辆节点a、b、C、d、e发送的用于对车辆节点a、b、C、d、e身份进行验证的鉴权信息发送给或处理后发送给基站A或B覆盖的所有车辆节点。
[0263]需要说明的是,每个基站发送给其覆盖各车辆节点的是相同的鉴权信息,但不同的基站间发送鉴权信息可以不同,如一个基站收集到了 5个车辆节点的鉴权信息,那么其向其覆盖各车辆节点发送的鉴权信息最多只有收集到的5个车辆节点的鉴权信息;而另一个基站收集到了 10个车辆节点的鉴权信息,那么该基站向其覆盖各车辆节点发送的鉴权信息最多可以包含收集到的10个车辆节点的鉴权信息。
[0264]该步骤中,基站A或B去掉车辆节点a、b、C、d、e的发送者证书的CA的签名,将去掉CA签名的车辆节点a、b、C、d、e的发送者证书(这里为去掉车辆节点a、b、C、d、e发送者证书中CA签名后的其他信息)发送给基站A或B覆盖的车辆节点a、b、C、d、e。
[0265]优选的,在车辆节点的鉴权信息中加入基站的签名,或基站的公钥及签名;将加入基站的签名,或基站的公钥及签名的车辆节点的鉴权信息发送给基站A或B覆盖的车辆节点 a、b、C、d、e。
[0266]具体实施中,基站A、B采用CA签名分别对其覆盖的并且接收到鉴权信息的车辆节点进行身份验证。设车辆节点a、b通过了基站A的验证,车辆节点c没有通过基站A的验证,车辆节点d、e都通过了基站B的验证,那么基站A和基站B将通过接口将各自通过验证的鉴权信息按照设定时间间隔通过MBMS广播形式转发给或处理后发送给相邻基站与其覆盖的车辆节点。即:基站A通过接口将通过验证的车辆节点a、b的鉴权信息按照设定时间间隔通过MBMS广播形式转发给或处理后发送给相邻基站B与其覆盖的车辆节点a、b、c ;基站B通过接口将通过验证的车辆节点d、e的鉴权信息按照设定时间间隔通过MBMS广播形式转发给或处理后发送给相邻基站A与其覆盖的车辆节点d、e。
[0267]步骤四、车辆节点a、b、c、d、e接收覆盖该车辆节点的基站A或B发送的车辆节点的鉴权信息并进行存储。
[0268]步骤五、车辆节点a、b、C、d、e接收到对端发送的未携带鉴权信息的消息时,根据存储的从覆盖该车辆节点的基站A或B接收的对端的鉴权信息对对端身份进行验证。
[0269]该步骤中,车辆节点a、b、c、d、e根据存储的对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0270]优选的,基站发送的车辆节点的鉴权信息还包括基站的签名,或基站的公钥及签名,车辆节点a、b、C、d、e接收覆盖该车辆节点的基站A或B发送的车辆节点的鉴权信息之后,还包括:
[0271]基于覆盖该车辆节点的基站A或B的签名或基站A或B的公钥及签名对覆盖该车辆节点的基站A或B进行身份验证;
[0272]验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从覆盖该车辆节点的基站A或B接收的对端的鉴权信息对对端身份进行验证。
[0273]具体实施中,车辆节点c接收到覆盖该车辆节点的基站A发送的包含车辆节点a、b、d、e证书的鉴权消息并进行存储后,先采用该鉴权消息中携带的基站A的签名,或基站A的公钥及签名对基站A进行身份验证,验证通过后,车辆节点c在接收到对端车辆节点a、b、d、e发送的未携带鉴权信息的消息时,根据存储的从基站A接收的对端车辆节点a、b、d、e的鉴权信息分别对对端身份进行验证。
[0274]步骤六、若车辆节点a、b、C、d、e根据存储的从覆盖该车辆节点的基站A或B接收的对端车辆节点的鉴权信息分别对对端身份进行验证通过,则转入步骤七;若车辆节点a、b、c、d、e根据存储的从覆盖该车辆节点的基站A或B接收的对端车辆节点的鉴权信息分别对对端身份进行验证未通过,则转入步骤八。
[0275]步骤七、车辆节点a、b、c、d、e将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理。
[0276]步骤八、车辆节点a、b、c、d、e将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃。
[0277]进一步地,车辆节点a、b、C、d、e对未接收到对端的鉴权信息的对端发送的未携带鉴权信息的消息直接丢弃。
[0278]具体实施中,若车辆节点c根据存储的从基站A接收的对端车辆节点a、b、d、e的鉴权信息分别对对端身份进行验证通过,则将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理;若车辆节点c根据存储的从基站A接收的对端车辆节点a、b、d、e的鉴权信息分别对对端身份进行验证未通过,则将未通过身份验证的对端车辆节点a、b、d、e发送的未携带鉴权信息的消息丢弃;车辆节点a、b、d、e的操作与车辆节点c的操作类似,但由于基站A或B发送的鉴权信息中没有车辆节点c的鉴权信息,因此车辆节点a、b、d、e只能根据存储的车辆节点a、b、d、e的鉴权信息对对端发送的未携带鉴权信息的消息进行验证,将通过身份验证的对端发送的未携带鉴权信息的消息递交给高层进行处理,将未通过身份验证的对端发送的未携带鉴权信息的消息丢弃,而车辆节点a、b在接收到对端发送的未携带鉴权信息的消息时,若还未存储对端的鉴权信息,则将对端发送的消息直接丢弃,如对于接收到的车辆节点c发送的未携带鉴权信息的消息时,直接将车辆节点c发送的未携带鉴权信息的消息丢弃。
[0279]基于相同的技术构思,本发明实施例还提供了一种中心节点、一种终端,由于该中心节点、终端设备解决问题的原理与方法相似,因此设备的实施可以参见方法的实施,重复之处不再赘述。
[0280]如图5所示,本发明实施例提供的中心节点,可包括:
[0281]接收模块501,用于接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息;
[0282]发送模块502,用于将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0283]以上功能模块的划分方式仅为本发明实施例给出的一种优选实现方式,功能模块的划分方式不构成对本发明的限制。
[0284]实施中,所述发送模块502进一步用于将接收的每个终端的鉴权信息转发给或处理后发送给与所述中心节点相邻的中心节点,并将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0285]实施中,所述接收模块501进一步用于接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息。
[0286]具体实施中,中心节点对终端的鉴权信息进行处理时,可以是根据需要在鉴权信息中加入一些信息,或删除终端的鉴权信息中不必要的冗余信息,当然,还可以是其它处理方式。
[0287]具体实施中,鉴权信息可以是任何形式的用于对终端进行身份认证的信息。
[0288]优选地,鉴权信息至少包括发送者公钥。进一步优选地,鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
[0289]目前发送者证书具有用于对终端身份验证的信息,除了包含上述发送者公钥、CA的签名和/或发送者的标识(ID)外、还包含证书的序列号、证书发放机构的名称、以及能够使接收者验证证书是否已被撤销等信息。优选地,鉴权信息包括发送者证书中的一项或多项内容,若包括发送者证书一项内容,则该项内容为发送者公钥。
[0290]此外,证书中还包含关于时间、内容、位置的范围限制等信息,可以根据需要确定是否将其加入鉴权信息。当然,鉴权信息可以包括证书的全部内容。
[0291]实施中,中心节点中还可以进一步包括:
[0292]验证模块503,用于基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对接收的每个终端进行身份验证;
[0293]所述发送模块502还可以进一步用于在验证通过后,将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0294]对于不管是从中心节点覆盖的终端接收的鉴权信息,还是从相邻中心节点接收的终端的鉴权信息,将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端之前,还包括:
[0295]基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对该终端进行身份验证;验证通过后再发送。
[0296]通常,中心节点基于CA的签名对对应终端进行身份验证。中心节点对终端的身份验证方式也可以采用其他方式,如借助于现有蜂窝网络的鉴权认证体系,一旦确定终端是蜂窝网络的合法接入终端,那么认为该终端发送的鉴权信息就是可信的。
[0297]实施中,所述鉴权信息为发送者证书,所述发送模块502具体用于将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
[0298]实施中,所述发送者证书包括CA签名,所述发送模块502具体用于将去掉CA签名的终端的发送者证书发送给所述中心节点覆盖的所有终端。
[0299]需要说明的是,中心节点发送给所述中心节点覆盖的所有终端的鉴权信息是相同的。
[0300]具体实施中,该鉴权信息为发送者证书或发送者证书部分内容,该中心节点将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端;在鉴权信息为发送者证书部分内容时,该中心节点将去掉CA签名的终端的发送者证书发送给该中心节点覆盖的所有终端。
[0301]实施中,中心节点中还可以进一步包括:
[0302]处理模块504,用于在接收的每个终端的鉴权信息中加入利用中心节点的私有密钥所作的签名,或中心节点的公钥及利用中心节点的私有密钥所作的签名;
[0303]所述发送模块502具体用于将处理模块处理后的接收的每个终端的鉴权信息发送给所述中心节点覆盖的所有终端。
[0304]具体实施中,在中心节点对终端的鉴权信息进行处理时,采用如下任一方式:
[0305]I)在终端的鉴权信息中加入利用中心节点的私有密钥所作的签名;
[0306]需要说明的是,若中心节点的公钥是公知信息时,则在规范或协议中规定或在中心节点的系统广播中通知,那么中心节点在向该中心节点覆盖的所有终端发送鉴权信息时不需要添加该中心节点的公钥。
[0307]2)在终端的鉴权信息中加入中心节点的公钥及利用中心节点的私有密钥所作的签名。
[0308]基于加入的利用中心节点的私有密钥所作的签名,或中心节点的公钥及中心节点的私有密钥所作的签名,终端可以对该中心节点进行身份验证,从而保证中心节点发送的终端的鉴权信息的安全性和可信性。
[0309]实施中,所述发送模块502具体用于:
[0310]按照设定时间间隔或事件触发方式,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端。
[0311]具体实施中,中心节点可以采用如下方式将接收的每个终端的鉴权信息转发给或处理后发送给该中心节点覆盖的所有终端:
[0312]I)按照设定时间间隔方式发送
[0313]在设定时间间隔内中心节点接收终端的鉴权信息,当到达设定时间时,中心节点将此时间间隔内接收的每个终端的鉴权信息发送给或处理后发送给该中心节点覆盖的所有终端。
[0314]采用此方式可以实现将多个终端的鉴权信息按照设定时间间隔统一下发,以提高网络资源利用率。
[0315]2)按照事件触发方式发送
[0316]具体的触发方式可以是,当新接入该中心节点的终端数目达到数值时,将当前接收到的所有终端的鉴权信息统一下发,可以提高网络资源利用率。
[0317]3)立即发送方式
[0318]中心节点只要接收到终端发送的鉴权信息,则将接收的该终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
[0319]实施中,所述发送模块502通过以下方式中的任一种,将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端:
[0320]广播方式;组播方式;多播方式;点对点方式。
[0321 ] 其中,广播可以为MBMS广播、车联网专用广播、系统广播等,以达到合理利用信道资源,提高系统资源利用率的目的。
[0322]如图6所示,本发明实施例提供的终端,可包括:
[0323]发送模块601,用于将对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节点;
[0324]接收模块602,用于接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
[0325]以上功能模块的划分方式仅为本发明实施例给出的一种优选实现方式,功能模块的划分方式不构成对本发明的限制。
[0326]实施中,所述接收模块602进一步用于接收所述中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息。
[0327]实施中,所述发送模块601发送的鉴权信息包括发送者的公钥。
[0328]实施中,所述发送模块601发送的鉴权信息还包括发送者标识和/或证书管理机构CA的签名。
[0329]实施中,所述发送模块601发送的鉴权信息包括发送者证书中的一项或多项内容。
[0330]实施中,所述发送模块601具体用于:
[0331]按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖所述终端的中心节点。
[0332]通常,若终端前后发送的鉴权信息中的证书的有效时间有30秒的重叠时间,那么终端可以在每两个证书的重叠时间范围内按照设定时间间隔向中心节点发送携带各自公钥的下一个将要使用的证书。
[0333]出于保护隐私,终端使用一个证书通常只在有限时间内有效;1609.2协议中规定每个终端的证书集中任意一个时刻只有一个证书是有效的。这个原则可以放松为相邻两个证书的有效时间段可以允许一个短时间的重叠,使得证书可以在重叠的时间段内随机转换从而更好地保护隐私,另外也可以使得当一个严重的事件发生时让终端拥有一定的延迟变换证书的灵活度。
[0334]实施中,所述接收模块602接收的鉴权信息还包括所述中心节点的签名,或包括所述中心节点的公钥及签名。
[0335]实施中,所述接收模块602还可以进一步用于接收对端发送的未携带鉴权信息的消息;
[0336]实施中,终端中还可以进一步包括:
[0337]验证模块603,用于在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0338]实施中,所述对端的鉴权信息包括对端的发送者的公钥,验证模块603具体用于在接收模块602接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息中的发送者公钥对对端身份进行验证。
[0339]实施中,所述接收模块602接收所述中心节点发送的终端的鉴权信息还包括中心节点的签名,或包括中心节点的公钥及签名,所述验证模块603具体用于:
[0340]基于所述鉴权信息中的中心节点的签名或中心节点的公钥和签名,对所述中心节点进行身份验证;
[0341]验证通过后,在接收模块602接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
[0342]本发明实施例还提供了一种中心节点,包括处理器和数据收发接口,其中:
[0343]所述处理器被配置为用于:接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息,将接收到每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端;
[0344]所述数据收发接口用于实现所述处理器与终端之间的数据通信。
[0345]本发明还提供一种终端,包括处理器和数据收发接口,其中:
[0346]所述处理器被配置为用于将对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节点,接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储;
[0347]所述数据收发接口用于实现所述处理器与其它终端及中心节点间的数据通信。
[0348]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0349]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0350]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0351]尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0352]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种鉴权信息传输方法,其特征在于,包括: 中心节点接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息; 所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
2.如权利要求1所述的方法,其特征在于,还包括: 所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给与所述中心节点相邻的中心节点。
3.如权利要求2所述的方法,其特征在于,还包括: 所述中心节点接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息; 所述中心节点将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
4.如权利要求1所述的方法,其特征在于,所述鉴权信息包括发送者公钥。
5.如权利要求4所述的方法,其特征在于,所述鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
6.如权利要求1所述的方法,其特征在于,所述鉴权信息包括发送者证书中的一项或多项内容。
7.如权利要求1?6任一所述的方法,其特征在于,所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端之前,还包括: 基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对接收的每个终端进行身份验证; 验证通过后将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
8.如权利要求1?6任一所述的方法,其特征在于,所述鉴权信息为发送者证书,所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,包括: 将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
9.如权利要求8所述的方法,其特征在于,所述发送者证书包括CA签名,将接收的每个终端的发送者证书中的部分内容发送给所述中心节点覆盖的所有终端,包括: 将去掉CA签名的终端的发送者证书发送给所述中心节点覆盖的所有终端。
10.如权利要求1?6任一所述的方法,其特征在于,所述中心节点将接收的每个终端的鉴权信息处理后发送给所述中心节点覆盖的终端,包括: 在接收的每个终端的鉴权信息中加入利用中心节点的私有密钥所作的签名,或中心节点的公钥及利用中心节点的私有密钥所作的签名; 将处理后的接收的每个终端的鉴权信息发送给所述中心节点覆盖的所有终端。
11.如权利要求1?6任一所述的方法,其特征在于,所述中心节点将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端,包括: 所述中心节点按照设定时间间隔或事件触发方式,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端。
12.如权利要求1?6任一所述的方法,其特征在于,所述中心节点通过以下方式中的任一种,将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端: 广播方式;组播方式;多播方式;点对点方式。
13.—种鉴权信息传输方法,其特征在于,包括: 终端将用于对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节点; 终端接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
14.如权利要求13所述的方法,其特征在于,还包括: 终端接收所述中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息并进行存储。
15.如权利要求13所述的方法,其特征在于,所述终端发送的鉴权信息包括发送者的公钥。
16.如权利要求15所述的方法,其特征在于,所述终端发送的鉴权信息还包括发送者标识和/或证书管理机构CA的签名。
17.如权利要求13所述的方法,其特征在于,所述终端发送的鉴权信息包括发送者证书中的一项或多项内容。
18.如权利要求13?17任一所述的方法,其特征在于,终端将鉴权信息发送给覆盖所述终端的中心节点,包括: 终端按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖所述终端的中心节点。
19.如权利要求13?17任一所述的方法,其特征在于,所述中心节点发送的终端的鉴权信息还包括所述中心节点的签名,或包括所述中心节点的公钥及签名。
20.一种终端进行身份验证的方法,其特征在于,包括: 接收对端发送的未携带鉴权信息的消息; 根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
21.如权利要求20所述的方法,其特征在于,所述对端的鉴权信息包括对端的发送者的公钥,根据对端的鉴权信息对对端身份进行验证,包括: 根据对端的鉴权信息中的发送者公钥对对端身份进行验证。
22.如权利要求20所述的方法,其特征在于,所述中心节点发送的终端的鉴权信息还包括中心节点的签名,或包括中心节点的公钥及签名,所述终端接收所述中心节点发送的终端的鉴权信息之后,还包括: 基于所述鉴权信息中的中心节点的签名或中心节点的公钥和签名,对所述中心节点进行身份验证; 验证通过后,在接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
23.—种中心节点,其特征在于,包括: 接收模块,用于接收其覆盖的终端发送的用于对终端进行身份验证的鉴权信息; 发送模块,用于将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
24.如权利要求23所述的中心节点,其特征在于,所述发送模块进一步用于将接收的每个终端的鉴权信息转发给或处理后发送给与所述中心节点相邻的中心节点。
25.如权利要求24所述的中心节点,其特征在于,所述接收模块进一步用于接收相邻中心节点发送的相邻中心节点覆盖的终端的鉴权信息; 所述发送模块进一步用于将接收的相邻中心节点覆盖的终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
26.如权利要求23所述的中心节点,其特征在于,所述鉴权信息包括发送者公钥。
27.如权利要求26所述的中心节点,其特征在于,所述鉴权信息还包括发送者的标识和/或证书管理机构CA的签名。
28.如权利要求23所述的中心节点,其特征在于,所述鉴权信息包括发送者证书中的一项或多项内容。
29.如权利要求23?28任一所述的中心节点,其特征在于,进一步包括: 验证模块,用于基于蜂窝网络的鉴权认证体系或接收的终端鉴权信息中CA的签名对接收的每个终端进行身份验证; 所述发送模块进一步用于在验证通过后,将终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端。
30.如权利要求23?28任一所述的中心节点,其特征在于,所述鉴权信息为发送者证书,所述发送模块具体用于将接收的每个终端的发送者证书或发送者证书中的部分内容发送给所述中心节点覆盖的所有终端。
31.如权利要求30所述的中心节点,其特征在于,所述发送者证书包括CA签名,所述发送模块具体用于将去掉CA签名的终端的发送者证书发送给所述中心节点覆盖的所有终端。
32.如权利要求23?28任一所述的中心节点,其特征在于,进一步包括: 处理模块,用于在接收的每个终端的鉴权信息中加入利用中心节点的私有密钥所作的签名,或中心节点的公钥及利用中心节点的私有密钥所作的签名; 所述发送模块具体用于将处理模块处理后的接收的每个终端的鉴权信息发送给所述中心节点覆盖的所有终端。
33.如权利要求23?28任一所述的中心节点,其特征在于,所述发送模块具体用于: 按照设定时间间隔或事件触发方式,将接收的每个终端的鉴权信息发送给或处理后发送给所述中心节点覆盖的所有终端。
34.如权利要求23?28任一所述的中心节点,其特征在于,所述发送模块通过以下方式中的任一种,将接收的每个终端的鉴权信息转发给或处理后发送给所述中心节点覆盖的所有终端: 广播方式;组播方式;多播方式;点对点方式。
35.一种终端,其特征在于,包括: 发送模块,用于将对所述终端进行身份验证的鉴权信息发送给覆盖所述终端的中心节占.接收模块,用于接收所述中心节点发送的所述中心节点覆盖的所有终端的鉴权信息并进行存储。
36.如权利要求35所述的终端,其特征在于,所述接收模块进一步用于接收所述中心节点发送的相邻中心节点覆盖的所有终端的鉴权信息并进行存储。
37.如权利要求35所述的终端,其特征在于,所述发送模块发送的鉴权信息包括发送者的公钥。
38.如权利要求37所述的终端,其特征在于,所述发送模块发送的鉴权信息还包括发送者标识和/或证书管理机构CA的签名。
39.如权利要求35所述的终端,其特征在于,所述发送模块发送的鉴权信息包括发送者证书中的一项或多项内容。
40.如权利要求35?39任一所述的终端,其特征在于,所述发送模块具体用于: 按照设定时间间隔或事件触发方式将鉴权信息发送给覆盖所述终端的中心节点。
41.如权利要求35?39任一所述的终端,其特征在于,所述接收模块接收的鉴权信息还包括所述中心节点的签名,或包括所述中心节点的公钥及签名。
42.如权利要求35?39任一所述的终端,其特征在于,所述接收模块进一步用于接收对端发送的未携带鉴权信息的消息; 所述终端进一步包括: 验证模块,用于在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
43.如权利要求42所述的终端,其特征在于,所述对端的鉴权信息包括对端的发送者的公钥,验证模块具体用于在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息中的发送者公钥对对端身份进行验证。
44.如权利要求42所述的终端,其特征在于,所述接收模块接收所述中心节点发送的终端的鉴权信息还包括中心节点的签名,或包括中心节点的公钥及签名,所述验证模块具体用于: 基于所述鉴权信息中的中心节点的签名或中心节点的公钥和签名,对所述中心节点进行身份验证; 验证通过后,在接收模块接收到对端发送的未携带鉴权信息的消息时,根据存储的从中心节点接收的对端的鉴权信息对所述对端身份进行验证。
【文档编号】H04W12/06GK104469763SQ201310418682
【公开日】2015年3月25日 申请日期:2013年9月13日 优先权日:2013年9月13日
【发明者】赵毅, 房家奕, 赵丽, 冯媛, 李凤 申请人:电信科学技术研究院, 北京大唐高鸿数据网络技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:赵毅;房家奕;赵丽;冯媛;李凤;
  • 技术所有人:电信科学技术研究院;北京大唐高鸿数据网络技术有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
用户信息传输装置相关技术
消防用户信息传输装置相关技术
无线电能传输装置相关技术
传输装置相关技术
无线电能传输装置设计相关技术
蓝天用户传输装置相关技术
医院专用空气传输装置相关技术
用户传输装置相关技术
我的世界向上传输装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2