[发明专利]动态分布式CA配置方法

权利要求书

1.一种动态分布式CA配置方法，其特征在于：包含如下步骤：

(1)网络中所有节点在本地建立证书状态表和信用值表，网络系统管理员确定初始管理者节点，将CA的私钥分成n份子密钥，为每一个初始管理者节点分发一份子密钥；

(2)网络中所有节点监督邻居节点的行为，一旦有异常，则发起针对该节点的指控，所有节点定期监听网络中出现的指控信息；

(3)接收到指控信息的节点处理指控信息，将所述指控信息存储在本地的证书状态表中，并分别计算发出指控信息的节点和被指控节点的信用值，将其存储在信用值表中；所述信用值取值于一个有序的数集，且在信用值表中按照从高到低的顺序排列；

(4)网络所有节点根据本地存储的信用值表判断节点信用值排序是否发生改变，如果没有改变则转到步骤(2)，否则继续以下步骤；

(5)网络所有节点为本地存储的信用值表重新进行排序，并选择信用值表排名前n位的节点作为新的管理者节点，替换原有管理者节点；

(6)管理者节点判断管理者节点是否发生改变，如果没有改变则转到步骤(2)，否则执行步骤(7)；

(7)管理者节点更新CA的子密钥，并为新加入的管理者节点分发新的子密钥。

2.根据权利要求1中所述的动态分布式CA配置方法，其特征在于：步骤(2)所述的指控信息是由节点发起的，网络邻居节点根据网络中预先布置的入侵检测机制相互监督各自的行为，节点被攻击或者发起攻击或有其它异常行为，定义其为异常节点，周围感知到异常节点的邻居节点对其发起指控。

3.根据权利要求1中所述的动态分布式CA配置方法，其特征在于：步骤(3)所述的有序数集是介于0和1之间的实数，所有节点的初始信用值在网络初始化时被赋予，网络运行时节点的信用值将根据节点之间的指控信息发生变化。

4.根据权利要求1中所述的动态分布式CA配置方法，其特征在于：所述的证书状态表包含了所有节点证书的有效标志位和所有的有效指控信息，信用值表包含了所有节点当前的信用值。

5.根据权利要求1中所述的动态分布式CA配置方法，其特征在于：步骤(3)所述的发出指控信息的节点信用值按照公式计算，其中N指的是网络节点个数，β_i为该节点指控的节点总数；被指控信息指控的节点的信用值按照公式计算，其中α_i为指控该节点的节点总数。

6.根据权利要求1或2或3或4或5中所述的动态分布式CA配置方法，其特征在于：普通节点需要更新证书时其步骤如下：

6.1所述普通节点根据本地保存的信用值表确定当前管理者节点并选择至少k个管理者节点；

6.2普通节点向所选择的管理者节点发起证书更新申请；

6.3管理者节点验证申请证书节点的身份；

6.4管理者节点为申请证书节点生成新的公钥证书；

6.5管理者节点对新公钥证书进行部分签名；

6.6管理者节点将新公钥证书以及部分签名发送给申请证书节点；

6.7申请证书节点将收到的k个部分签名合成完整的证书签名；

6.8申请证书节点验证证书签名的合法性，如果不合法则重新选择k个管理者节点重新发起证书更新申请。

7.根据权利要求1或2或3或4或5中所述的动态分布式CA配置方法，其特征在于：

预先设置撤销门限值，当节点的信用值随指控信息而发生改变并降低到撤销门限值以下时，所述节点的证书将被撤销掉，并将证书状态表中所述节点的状态位设置为已撤销。