[发明专利]一种跨域认证过程中基于多中间实体的实时证书撤销方法

权利要求书

1.一种跨域认证过程中基于多中间实体的实时证书撤销方法，其特征在于，包括以下步骤：

1)用户申请加入域，向域内授权中心CA发送请求；

2)授权中心CA审核用户身份，身份审核通过后，生成用户的私钥和证书；授权中心CA将私钥的一部分和证书发送给用户，将另一部分私钥发送给MED集群的主节点，主节点将私钥分发给集群的从节点们；用户接收私钥和证书，并以文件的形式保存至本地；

3)当用户有跨域认证请求时，先向域内的认证服务器发送信号，通知认证服务器自己有跨域认证的需求；认证服务器向用户发送信号，通知用户可以发送私钥和证书；用户向认证服务器发送自己的私钥和证书；认证服务器接收证书后，先向MED集群节点发送请求，查看该用户的另一部分私钥是否存在；如果MED集群主节点中不存在另一部分私钥，直接拒绝用户的跨域认证请求；如果存在另一部分私钥，向MED集群主节点请求另一部分私钥，并拼凑出完成的私钥文件；

认证服务器查看另一个域内认证服务器以及请求信息服务实体的证书是否失效，如果失效，拒绝此次跨域认证请求；请求域内的认证服务器向被请求域内的认证服务器发送信号，告知对方自己域内有用户想要进行跨域认证；被请求域内的认证服务器向请求域内认证服务器发送随机数；请求域内认证服务器接收到随机数值后，使用私钥签名，并将证书和签名值以及随机数发送给被请求域内的认证服务器；被请求域内认证服务器查看用户证书是否过期，如果过期，拒绝跨域认证请求，然后被请求域内的认证服务器从证书中提取出公钥，并验证签名值是否正确；如果正确，跨域认证成功，被请求域内的认证服务器通知被请求的ISE，用户可以获取该服务器内资源；

4)当用户身份撤销或者私钥泄露的时候，向授权中心CA提交申请，授权中心CA向MED集群发消息，通知集群主节点删除用户所对应的私钥并撤销用户证书，并且更新CRL列表；MED节点收到信号后，检索用户对应的私钥，将私钥删除，并通知从节点做删除操作。