[发明专利]一种基于联盟的全网统一信任锚系统及构建方法

说明书

本发明提供了一种基于联盟的全网统一信任锚系统及构建方法，其中系统包括：联盟区域，联盟区域包括n个信任根服务器，各个信任根服务器互相连接；n个顶级信任服务器集合，每个顶级信任服务器集合连接一个信任根服务器，每个顶级信任服务器集合包括m个顶级信任服务器，且m个顶级信任服务器连接同一个信任根服务器；n*m个权限信任服务器集合，每个权限信任服务器集合连接一个顶级信任服务器，每个权限信任服务器集合包括j个权限信任服务器，且j个权限信任服务器连接同一个顶级信任服务器；n*m*j个终端集合，每个终端集合连接一个权限信任服务器，每个终端集合包括i个终端，i个终端连接同一个权限信任服务器。

技术领域

本发明涉及通信领域，尤其涉及一种基于联盟的全网统一信任锚系统及构建方法。

背景技术

由于现有TCP/IP协议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查。路由设备基于目的地址转发分组，对数据包的来源不做验证，大量基于地址伪造的攻击行为无法跟踪，造成源地址欺骗、路由劫持、拒绝服务等大量攻击的发生，严重威胁网络的安全。解决包括地址安全在内的网络命名安全问题，构建安全可信的互联网环境，已成为亟待解决的重要课题。

在网络命名安全研究方面，基于密码学的地址安全机制得到越来越多的关注，包括基于证书的公钥密码机制和自认证机制。在公钥密码体制下，公钥数字签名技术需依赖公钥基础设施(PKI)颁发的CA证书绑定实体身份和公钥，以保证实体公钥的真实性。以公钥证书的形式将用户公钥和用户身份进行绑定，形成了解决网络安全问题的成熟方案。但是，PKI通过引入可信第三方CA，由此带来证书的管理、存储和计算上的代价：一是证书的签发、发布、获取、验证、撤销等，流程较为复杂；二是需要在线的证书目录为用户随时提供证书下载和状态查询服务，增加了维护开销；三是如果用户通信的对象比较多，用户必须在本地存储和管理这些证书，增加了用户端使用开销；四是大规模密钥管理的问题一般是采用物理上增加CA的方法，而且各个CA的用户之间还存在交叉认证和信任管理的问题。

随着移动互联网、物联网的蓬勃发展，接入互联网的传感器、可穿戴设备、智能终端数量剧增，实体鉴别所需公钥数量巨大，如何实现高效公钥的管理、远程通信实体如何得到对方的公钥、并确保公钥的真实性，将成为一项挑战，也是关系到未来互联网体系结构能否落地的重要问题。

发明内容

本发明旨在至少克服上述缺陷之一提供一种基于联盟的全网统一信任锚系统及构建方法，以实现公钥的高效管理。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种基于联盟的全网统一信任锚系统，包括：联盟区域，联盟区域包括n个信任根服务器，各个信任根服务器互相连接；n个顶级信任服务器集合，每个顶级信任服务器集合连接一个信任根服务器，每个顶级信任服务器集合包括m个顶级信任服务器，且m个顶级信任服务器连接同一个信任根服务器；n*m个权限信任服务器集合，每个权限信任服务器集合连接一个顶级信任服务器，每个权限信任服务器集合包括j个权限信任服务器，且j个权限信任服务器连接同一个顶级信任服务器；n*m*j个终端集合，每个终端集合连接一个权限信任服务器，每个终端集合包括i个终端，i个终端连接同一个权限信任服务器；其中，每个信任根服务器，用于存储全部信任根服务器的名称和公钥信息，并存储全部顶级信任服务器的名称、地址和公钥信息，以及用于签发证书，且每个信任根服务器存储的信息完全相同，通过共识算法保证存储的信息的一致性；每个顶级信任服务器，用于存储自身的公钥信息，并存储与其连接的权限信任服务器的名称、地址和公钥信息；每个权限信任服务器，用于存储自身的公钥信息，并存储与其连接的终端的名称、地址和公钥信息。

另外，每个顶级信任服务器集合连接全部信任根服务器，每个顶级信任服务器集合包括m个顶级信任服务器，且m个顶级信任服务器连接每一个信任根服务器。