[发明专利]一种跨域认证过程中基于多中间实体的实时证书撤销方法

说明书

本发明属于跨域认证技术领域，具体涉及一种跨域认证过程中基于多中间实体的实时证书撤销方法。本发明中用户向CA提出申请成为该域的一员；CA审核用户的身份通过后向用户颁发证书和一部分私钥，将另一部分私钥分发给MED集群；用户进行跨域认证时，将自己的证书和私钥发送给认证服务器，认证服务器向集群请求另一部分私钥，如果私钥不存在说明用户证书已过期；如果私钥存在，认证服务器拼凑出完整私钥后，代替用户向另一个域内发起跨域认证请求；当用户身份撤销或者私钥泄露的时候，向CA提交申请，CA向MED集群发消息，通知集群主节点删除用户所对应的私钥并撤销用户证书，并且更新CRL列表。

技术领域

本发明属于跨域认证技术领域，具体涉及一种跨域认证过程中基于多中间实体的实时证书撤销方法。

背景技术

当今社会，信息安全在日常生活中越来越重要。数据共享是构建信息化平台的基本手段，通过数据共享可以实现不同的企业和机构之间各种公开信息的互联互通。为了获取不同的资源，用户会对多个域内的资源进行访问，因此出现了跨域认证的问题。目前，基于PKI体系的跨域认证仍然为跨域认证的主流方法。在跨域认证过程中，可以使用CA的公钥对用户提供的数字证书进行解密从而验证证书的有效性以及用户的可靠性。在PKI体系中，使用CRL和OCSP来撤销用户证书，但CRL和OCSP都存在缺点，不能保证用户证书的实时撤销，从而导致用户证书过期后仍可以使用过期证书进行一段时间的跨域认证。基于中间实体的证书撤销模型可以保证用户证书的实时撤销，但难以抵抗DDOS攻击。

发明内容

本发明的目的在于提供一种跨域认证过程中基于多中间实体的实时证书撤销方法。

一种跨域认证过程中基于多中间实体的实时证书撤销方法，包括以下步骤：

1)用户申请加入域，向域内授权中心CA发送请求；

2)授权中心CA审核用户身份，身份审核通过后，生成用户的私钥和证书；授权中心CA将私钥的一部分和证书发送给用户，将另一部分私钥发送给MED集群的主节点，主节点将私钥分发给集群的从节点们；用户接收私钥和证书，并以文件的形式保存至本地；

3)当用户有跨域认证请求时，先向域内的认证服务器发送信号，通知认证服务器自己有跨域认证的需求；认证服务器向用户发送信号，通知用户可以发送私钥和证书；用户向认证服务器发送自己的私钥和证书；认证服务器接收证书后，先向MED集群节点发送请求，查看该用户的另一部分私钥是否存在；如果MED集群主节点中不存在另一部分私钥，直接拒绝用户的跨域认证请求；如果存在另一部分私钥，向MED集群主节点请求另一部分私钥，并拼凑出完成的私钥文件；

认证服务器查看另一个域内认证服务器以及请求信息服务实体的证书是否失效，如果失效，拒绝此次跨域认证请求；请求域内的认证服务器向被请求域内的认证服务器发送信号，告知对方自己域内有用户想要进行跨域认证；被请求域内的认证服务器向请求域内认证服务器发送随机数；请求域内认证服务器接收到随机数值后，使用私钥签名，并将证书和签名值以及随机数发送给被请求域内的认证服务器；被请求域内认证服务器查看用户证书是否过期，如果过期，拒绝跨域认证请求，然后被请求域内的认证服务器从证书中提取出公钥，并验证签名值是否正确；如果正确，跨域认证成功，被请求域内的认证服务器通知被请求的ISE，用户可以获取该服务器内资源；

4)当用户身份撤销或者私钥泄露的时候，向授权中心CA提交申请，授权中心CA向MED集群发消息，通知集群主节点删除用户所对应的私钥并撤销用户证书，并且更新CRL列表；MED节点收到信号后，检索用户对应的私钥，将私钥删除，并通知从节点做删除操作。

本发明的有益效果在于：

本发明通过将用户的私钥存储至多个中间实体中，实现了私钥的分布式存储；当为用户提供服务的中间实体遭受攻击时，系统会完成中间实体的切换，保证仍然能正常提供跨域认证服务，提高了系统的鲁棒性。

附图说明