一種身份認證的方法和系統的製作方法

2023-05-09 15:51:16

專利名稱：一種身份認證的方法和系統的製作方法
技術領域：
本發明屬於計算機認證和安全領域，具體涉及一種基於網狀拓撲結構的認證方法和實現系統。
背景技術：
人們在享受網絡和計算機帶來便利的同時，也品嘗到了安全問題的苦澀。病毒的快速傳播、電腦「黑客」的肆虐入侵、重要信息的洩密……這些問題已威脅到政府服務、金融、電信、電力等國家基礎設施。為了防範這些隱患，許多新的安全技術規範不斷湧現，公鑰基礎設施/認證中心(簡稱PKI/CA)技術便是其一。
認證中心(Certificate Authority，簡稱CA)可以對網上身份的合法性進行校驗。但由於認證中心很難解決數據傳輸中的安全性和完整性，因此它一般都需與公鑰基礎設施技術一起進行應用。公鑰基礎設施是一種建立在公開密鑰技術之上的信息安全體系結構，主要包括兩方面的內容一是數字籤名，該技術可以保證所傳輸信息的完整性；另一內容是加密，用戶在使用公開密鑰法對信息進行加密後，在解密時使用的密鑰無須在Internet上傳輸，這樣就避免了密鑰被人竊取後造成信息的暴露。但公鑰基礎設施又無法保證用戶身份的確認，於是出現了PKI/CA這一完整的認證中心概念。(通用的PKI/CA系統的設計方法在一些文獻上都有介紹，如《現代計算機雜誌》第113期上的「PKI系統設計和實現」，以及《計算機工程》第27卷第6期上的「公鑰基礎設施PKI的設計」的文章都有介紹和說明。)PKI/CA是利用公鑰技術實現安全通信的一種體系，它由公開密鑰密碼技術、數字證書、認證中心和關於公開密鑰的安全策略等基本成分共同組成的。
PKI/CA架構主要採用證書管理公鑰，通過第三方的可信任機構——認證中心，把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網上驗證用戶的身份。目前，通用的辦法是採用建立在公鑰基礎設施基礎之上的數字證書，通過把要傳輸的數字信息進行加密和籤名，保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。
認證中心是公鑰基礎設施系統的核心，根據不同認證中心分布的拓撲結構，PKI/CA系統可以分成不同的類型。傳統的PKI/CA基本結構一般有以下三種類型單認證中心結構(圖1(1))、分級層次認證中心結構(圖1(2))和網狀認證中心結構(圖1(3))。三種基本結構都有各自的優缺點。
單認證中心結構是最基本也是最簡單的公鑰基礎設施結構，它為公鑰基礎設施中所有的用戶提供公鑰基礎設施服務(證書服務、證書狀態信息等)，這種結構的優點是容易實現，只需要建立一個根認證中心，所有的用戶就可以實現相互認證，但是，這種結構的缺點也是顯而易見的擴展性差，難以支持大量的或者不同群體的用戶，同時，單一的根認證中心信任將產生單一的用戶信任點，該信任點出現故障，後果將是災難性的。
分級層次認證中心結構是以從屬認證中心關係建立的公鑰基礎設施結構，根認證中心為各個域的本地認證中心籤發公鑰證書，而本地認證中心則為本域內的用戶籤發證書。整個系統都信任根認證中心，這樣既可以實現本地域內的證書認證，也可以實現跨域的證書認證。這種結構層次清晰，擴展性好，易於將新的認證域添加到現有的公鑰基礎設施系統中，由於其認證中心之間為簡單的單向信任關係，因而可以容易的生成從用戶證書到可信任點的簡單而明確的證書路徑，並且其證書路徑相對較短，最長的路徑等於樹的深度加一。然而該結構仍然依附於一個單一的可信任點，即「根認證中心」。根認證中心安全性方面的漏洞和問題，將導致整個公鑰基礎設施系統安全性的削弱。
網狀認證中心結構是以對等關係將各個認證中心聯繫在一起的公鑰基礎設施結構，通過相互頒發證書，各個認證中心之間建立起相互信任的關係。在這個可信任的網絡結構中，每個認證中心都可以作為用戶的可信任點。由於存在多個信任點，單個認證中心安全性的削弱就不會影響到整個公鑰基礎設施系統，從而消除分級層次認證中心結構中單一信任點的不足。然而這種雙向網狀信任關係同時也帶來了證書路徑擴展和發現的過於複雜，與層次分級結構的公鑰基礎設施不同，從用戶證書到可信任點建立證書的路徑是不確定的，因為存在多種選擇，使得路徑發現較為困難，一些選擇可以形成正確路徑，而其他選擇會走入死胡同。更糟糕的是，在網狀結構的公鑰基礎設施中可能會建立一個無止境的證書環路。對於網狀的公鑰基礎設施，擴展有好有壞。證書路徑的最大長度是公鑰基礎設施中的認證中心的數量加一，隨著認證中心數量的增加，證書路徑也隨之變長，對於證書路徑處理的複雜性也隨之增大。

發明內容
本發明的目的在於克服現有技術缺陷，提供一種身份認證的方法和系統，以解決網狀認證中心結構中存在的路徑難以發現、證書路徑變長和處理複雜等問題。
本發明提供的一種身份認證的方法，首先完成構建域間信任關係，將各個自治域聯合構成一個統一的公鑰基礎設施複合域，之後，當用戶A需要對用戶B的證書進行認證時，用戶A首先通過檢查用戶B的證書，判斷用戶B是否和自己處在同一個自治域，如果是同一個域，則是可信的；否則，用戶A則通過以下兩種方式之一對用戶B的證書進行驗證第一種方式是通過直接向認證中心提出證書認證請求，由認證中心負責認證用戶B的證書，並將認證結果返回給用戶A；第二種方式是由用戶A直接利用在線證書狀態協議直接從本域的輕量級證書目錄伺服器中查詢用戶B用戶B所在域的根認證中心是否被本域所信任，如果兩個自治域存在信任關係，那麼用戶的B的證書是可信的，否則，用戶B的證書是不可信的；構建公鑰基礎設施複合域的步驟為(1)將整個公鑰基礎設施系統劃分成自治域，使每個域內都只有一個根認證中心；(2)為各認證中心建立用戶證書，為各根認證中心建立用戶證書和域證書，用戶證書和域證書均包括證書頒發者、證書主題、公鑰、證書功能、有效日期以及證書頒發籤名欄位，域證書還包括信任代理欄位和授權內容欄位；(3)按照下述方式建立各個自治域之間的信任關係(3.1)簡單自治域與簡單自治域兩個域的信任錨分別根據各自域的證書安全策略相互為對方籤發域證書，再將域證書和域名添加到各自域的跨.域證書信任數據表；
(3.2)簡單自治域與複合自治域將簡單自治域與複合自治域中的任何一個簡單域建立直接信任關係，簡單自治域再通過該直接信任域的作用與複合域中的其他簡單域建立間接信任關係；(3.3)複合自治域與複合自治域每個複合自治域中各選一個域，在這些域之間直接建立信任關係，雙方互相交換各自跨域證書信任數據表中可傳遞的信任證書鏈，然後將這些域得到的信任證書鏈傳遞給所在複合自治域中的其它域，使各複合域中的其它簡單域之間相互建立起信任關係。
實現上述方法的系統，包括認證中心服務模塊、註冊服務模塊、證書資料庫和輕量級目錄證書資料庫伺服器，所述認證中心服務模塊與用戶終端以及所述註冊服務模塊、證書資料庫和輕量級目錄證書資料庫伺服器相連，用於根據用戶不同的請求創建各種類型的用戶證書，管理本自治域所有用戶的證書，包括證書的吊銷、驗證、更新等操作；所述註冊服務模塊用於接受用戶的證書申請，並向所述認證中心服務模塊提出創建用戶證書的請求，並向用戶發放證書；所述證書資料庫用於存放本域的所有用戶證書數據和其它信任域的域信任證書數據，所述輕量級目錄證書資料庫伺服器用於發布用戶的證書和黑名單信息；其特徵在於證書資料庫增設有跨域證書信任數據表，用於存放域信任證書，該系統還包括用於跨域認證所需要的跨域認證服務模塊，該模塊由域認證子模塊和域證書管理子模塊構成，域認證子模塊與域證書管理子模塊相連，用於完成各個自治域的認證中心之間的身份認證過程；域證書管理子模塊分別與證書資料庫和輕量級目錄證書資料庫伺服器相連，用於負責創建和維護跨域證書信任數據表，同時，通過輕量級目錄證書資料庫伺服器發布域信任證書供本域用戶在查詢和驗證域外用戶的證書時使用。
本發明針對現有PKI/CA結構的不足，提出一種網狀和層次相結合的擴展PKI/CA結構並重點實現網狀結構中處於不同域的認證中心之間相互認證的方法。該擴展PKI/CA結構在整個PKI/CA域內劃分多個自治域，在各個自治域內部採用基本的層次PKI/CA結構，每個域內都有唯一的根認證中心，根據域的大小和應用的實際需要，可以動態配置多個二級認證中心為終端用戶提供各種類型的證書服務，每個域內的根認證中心為本域內所有用戶的單一信任點。在各個自治域之間採用網狀PKI/CA結構，每個自治域中，只有該域的根認證中心才能和其它自治域建立信任關係。採用本擴展PKI/CA結構，各個自治域可以動態的加入到整個PKI/CA系統中，避免了傳統PKI/CA系統必須按頂級到下級的次序依次建立各級域CA中心，從而使整個系統有良好的動態可擴展性。各個自治域可以根據具體情況制定本地的證書策略，可以有選擇的和其它自治域建立相互信任關係，各個自治域有相對獨立的自治和靈活的證書策略管理機制。


圖1為現有的PKI/CA的體系結構示意圖；圖2為基於網狀和層次相結合的擴展PKI/CA系統的體系結構示意圖；圖3為簡單自治域和複合自治域之間信任關係構建過程圖；圖4為複合自治域之間信任關係構建過程圖；圖5為複合自治域之間信任關係構建流程圖；圖6為根認證中心伺服器結構圖。
具體實施例方式
下面將詳細說明本擴展PKI/CA系統中的認證中心之間身份認證的認證過程。
本擴展PKI/CA系統的體系結構如圖2所示，它由六個自治域(自治域A——自治域F)組成，每個域內都有唯一的根認證中心，根據域的大小和應用的實際需要，可以動態配置多個二級認證中心為終端用戶提供各種類型的證書服務，如該圖右側所示自治域C中的根認證中心下設兩個二級認證中心。
首先，在本PKI/CA系統中，我們在證書資料庫中為根認證中心建立了兩種類型的證書用戶證書和域證書。用戶證書採用基於ITU定義的X.509標準公鑰證書，其作用是將用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網上實現對用戶身份的認證和鑑別，主要用於完成通用證書系統的基本功能。而域證書是在本系統中為了實現認證中心之間的相互認證而引入的一種特殊的證書，該證書擴展了X.509標準證書，增加了跨域認證所需的一些證書擴展屬性，該域證書的結構如表一所示，證書資料庫中用於存放域證書信息的數據表被稱為跨域證書信任數據表。

表一域證書的結構主要包括八個基本元素，分別是證書頒發者證書的籤發者的標識名。
證書主題證書主體的標識名。
公鑰證書主體的公鑰。
信任代理欄位指明是否允許該證書主體傳遞信任關係；該欄位是一個授權信任代理標誌，它表示授權認證中心是否允許被授權認證中心代理其執行認證功能，具體所代理執行的認證功能由授權內容欄位指定。
證書功能該欄位描敘該證書的用途，此處的用途是域間認證。
授權內容授權信任的內容，該區域的內容定義完全和具體應用相關，表示證書的籤發者信任證書主體所籤發的哪些類型的證書。
有效日期證書有效的期限。
證書頒發者的籤名證書的籤名，由籤發者使用自己的私鑰對證書內容進行籤名。
其中信任代理欄位和授權內容欄位是為了實現成跨域認證而新增的證書擴展屬性，上述用戶證書和域證書也可以採用其它證書標準，如PKCS12證書標準，不同的證書標準只是證書格式的標準，證書所包含的內容是一致的。
該PKI/CA系統的跨域信任關係建立比較複雜，在說明跨域信任關係的構建過程之前，我們定義以下兩種類型的自治域簡單自治域和複合自治域。只有一個根認證中心的自治域，稱為簡單自治域。由兩個或者兩個以上具有相互信任關係的簡單自治域構成的自治域叫做複合自治域。
由此，我們將系統中跨域信任關係分成以下三類簡單自治域之間的信任關係、簡單自治域和複合自治域之間的信任關係、複合自治域之間的信任關係。下面將分別介紹這三類信任關係的構建過程。
1、簡單自治域之間信任關係的構建過程兩個簡單自治域之間建立相互信任關係的過程比較簡單，只需要兩個域的信任錨(即域根認證中心)相互為對方籤發域證書，然後將域證書和域名添加到本域的跨域證書信任數據表中，這樣雙方就建立了相互信任的證書鏈。同時，建立起相互信任關係的二個或二個以上的自治域也就構成了一個複合域。
2、簡單自治域和複合自治域之間信任關係的構建過程簡單自治域和複合自治域之間信任關係的建立可以分成兩個步驟，首先是簡單自治域與複合自治域中的任何一個簡單域建立直接信任關係，然後簡單自治域通過該直接信任域的作用與複合域中的其他簡單域建立間接信任關係。
如圖3所示，簡單自治域B、C和D通過建立相互信任關係構成複合域1，下面將說明簡單自治域A和該複合域1建立信任關係的過程。
首先，域A可以選擇複合域中任意一個簡單域來開始域間信任關係的建立過程，這裡，我們選用複合域中的域B。域A和域B相互為對方籤發域證書，然後將域證書和域名添加到各自的跨域證書信任數據表中，從而形成了到對方域的信任證書鏈，這樣雙方就建立了直接的信任關係(①)。由於域B之前就與域C、D之間建立起了信任關係，所以域B的跨域證書信任數據表中各有一條通向域C和域D的信任證書鏈，域B將此證書鏈信息發送給A，同時B將剛剛和域A建立的信任證書鏈也發送給域C和域D，此時，通過中間域B的作用，域A與域C和域D都獲得了一條通向對方的信任證書鏈，這樣，域A與域C和域D之間也建立了相互信任的關係(②③)。
在某些情況下，域A和域B建立信任關係，但域A並不希望通過域B同複合域中的其它域——例如域C——建立信任關係，也就是說域A不希望域B為其傳遞信任關係，這時候就需要用到上文描敘域證書中提到的信任代理欄位欄位，該欄位指明是否允許該證書主體傳遞信任關係。如果域A向域B籤發的域證書中的信任代理欄位欄位為真，那麼，表示域A允許域B將域A和域B之間的信任關係傳遞給複合域中的其它域，否則，禁止域B傳遞這種信任關係。如果本例中域A向域B籤發的域證書中的信任代理欄位欄位為假，域B就不會將域A和域B之間的信任關係傳遞給域C，從而域A和域C之間就不能通過域B來建立信任關係。
3、複合自治域之間信任關係的構建過程複合自治域之間信任關係的構建過程和上一部分描敘的過程類似。如圖4所示，首先，複合域2中的域A和複合域1中的域B直接建立信任關係後(①)，雙方互相交換各自跨域證書信任數據表中可傳遞的信任證書鏈，然後域A將從域B處得到的信任證書鏈傳遞給域E，同時域B將從域A處得到的信任證書鏈傳遞給域C和域D，從而使複合域1和複合域2中的其它簡單域之間相互建立起信任關係〔②③④⑤〕。
當存在多個複合域時，其處理方式也包含在上面三種情況中，因為兩個複合域之間建立信任關係以後，這兩個域就合併成了一個新的複合域。
綜合以上三種情況說明，下面給出建立認證中心之間信任關係的算法描述，見圖5。首先域根認證中心伺服器等待其它域根認證中心伺服器要求建立信任關係的請求，收到請求後判斷是建立直接信任關係還是建立間接信任關係，如果是建立直接連接，則判斷是否滿足建立信任關係的策略，如果滿足則為對方籤發域證書，並將域證書和域名添加到本域的跨域證書信任數據表中，隨後將本地的信任證書鏈路表發送給對方，然後接收對方發送過來的跨域證書信任數據表，並逐條處理對方發送過來的信任條目，根據建立信任關係的策略，將滿足條件的信任條目添加到本地的跨域證書信任數據表中。這樣就完成了域間信任關係的構建。
完成構建域間信任關係的各個自治域將聯合構成一個統一的PKI複合域，在該PKI複合域中，各個自治域的用戶既能夠對本域其它用戶的身份進行認證，也可以實現對複合域中其它自治域的用戶身份進行認證。
當自治域的用戶A需要對另一用戶B的證書進行認證的時候，用戶A首先通過檢查用戶B的證書，判斷用戶B是否和自己處在同一個自治域，如果是同一個域，則由於同一域內所有用戶共同信任同一個根CA，用戶證書鏈都是起始於該根CA，因此彼此的證書都是可信的。如果用戶B和自己不是處在同一個域，用戶A則通過以下兩種方式來對用戶B的證書進行驗證，第一種方式是通過直接向認證中心提出證書認證請求，由認證中心負責認證用戶B的證書，並將認證結果返回給用戶A；第二種方式是由用戶A直接利用在線證書狀態OCSP協議(Online Certificate Status Protocol簡稱OCSP協議)直接從本域的輕量級證書目錄伺服器中查詢用戶B證書的頒發者(也就是用戶B所在域的根認證中心)是否被本域所信任，如果兩個自治域存在信任關係，那麼用戶的B的證書是可信的，否則，用戶B的證書是不可信的。
該擴展PKI/CA系統結構的優點是在公鑰基礎設施系統內劃分自治域，各個自治域都有相對獨立的根認證中心作為本域的單一信任點，從而避免了層次結構公鑰基礎設施模型的全系統單一信任點的不足；僅僅採用各個自治域的根認證中心作為網狀公鑰基礎設施結構中的節點，大大減少了網狀公鑰基礎設施結構中的節點數目，降低了跨域證書路徑處理的複雜性。同時，在該層次和網狀PKI/CA結構的實現中，通過引入了跨域信任證書和相應的跨域信任證書路徑構造算法，解決了雙向網狀信任關係的證書路徑擴展和發現過於複雜的問題。
本發明的核心內容就是各個自治域的根認證中心之間相互認證的過程和建立這種跨域信任體系的算法。自治域的根認證中心不僅作為本域內的頂級信任點來構建域內的信任關係，而且通過構建跨域信任證書路徑表實現認證中心之間的信任關係。
如圖6所示，本擴展PKI/CA系統可以分成一下兩大部分，一部分是標準的認證中心所具備的模塊，如認證中心服務模塊1、註冊服務模塊2、證書資料庫3和輕量級目錄證書資料庫伺服器4，另一部分就是用於跨域認證所需要的模塊——跨域認證服務模塊5，本發明技術所要說明的就是如何擴展標準的認證中心，使其具備構建認證中心之間相互信任關係的能力。
認證中心服務模塊1是PKI的核心，該模塊負責管理PKI結構下的所有用戶(包括各種應用程式)的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，該模塊負責接收驗證最終用戶數字證書的申請，確定是否接受最終用戶數字證書的申請-證書的審批，向申請者頒發或拒絕頒發數字證書，接收、處理最終用戶的數字證書更新請求，接收最終用戶數字證書的查詢、撤銷，產生和發布證書廢止列表(CertificateRevoke List簡稱CRL)，同時承擔數字證書的歸檔，密鑰歸檔和歷史數據歸檔等職能。
註冊服務模塊2主要接受用戶的證書申請，通過審核後，向認證中心服務模塊提出創建用戶證書的請求，證書創建完畢後，該模塊還負責向用戶發放證書。
證書資料庫3用於存放整個認證中心系統相關的數據，包括，用戶證書、用戶備份私鑰，域信任證書等等輕量級目錄證書資料庫伺服器4用於發布用戶的證書和黑名單信息，用戶可通過標準的輕量級目錄訪問協議(Lightweight Directory AccessProtocol簡稱LDAP協議)查詢自己或其他人的證書和下載黑名單信息。
認證中心間的身份認證是由跨域認證服務模塊5負責實現，該模塊可以分成兩個子模塊，域認證子模塊和域證書管理子模塊。域認證子模塊負責完成認證中心之間的身份認證過程和構建跨域證書信任數據表，而域證書管理子模塊負責維護跨域證書信任數據表，該數據表中存放著本地認證中心所信任的其他認證中心信息和為該認證中心所頒發的域信任域證書，這樣通過構建和維護跨域證書信任數據表，就可以構建出整個系統的信任關係，從而實現認證中心之間的身份認證和信任關係的建立。
域證書管理子模塊主要負責維護跨域證書信任數據表，對外提供操作接口對跨域證書信任數據表的內容進行添加、修改、刪除等操作。
下面將詳細介紹域認證子模塊的工作流程。
1、域認證子模塊在一個系統約定的服務埠監聽服務請求，檢查是否有其它域發出要求建立信任關係的請求，如果沒有收到請求，則模塊阻塞，繼續監聽服務請求。
2、如果收到建立域信任關係的請求，則先判斷請求類型是否是直接建立信任關係的請求，如果不是，則直接轉第3步，如果是，則檢查是否滿足建立信任關係的條件，如果滿足條件，則為對方域的根認證中心頒發域信任證書，並將本域信任證書存放入證書資料庫的跨域證書信任數據表中，同時通過輕量級目錄證書資料庫伺服器向外發布。如果不滿足條件，則發出拒絕消息，轉最後一步。
3、將證書資料庫的跨域證書信任數據表中允許傳遞信任關係(即Delegation欄位為真)條目發送給對方，同時接收對方發送過來的信任域的證書信息。
4、對收到的信任域證書信息逐條進行處理，如果滿足建立信任關係的條件，那麼就為對方域的根認證中心伺服器頒發域信任證書，並將該信任證書存放入證書資料庫的跨域證書信任數據表中，同時通過輕量級目錄證書資料庫伺服器向外發布。如果不滿足條件，則丟棄本條信息，繼續處理下一條信任域證書信息，直到處理完最後一條信息。全部處理完畢以後，域認證子模塊重新進入阻塞狀態，等待新的建立域信任關係的服務請求。
域之間的信任關係通常是穩定的，一旦建立，較少發生改動。一旦信任關係變更，只需要認證中心服務模塊通過操作跨域認證服務模塊的域證書管理子模塊從證書庫中刪除該域證書，並且更新輕量級目錄證書資料庫伺服器中的證書吊銷列表，即可完成信任關係的解除。
我們在具有16個節點機上的集群系統上部署本PKI/CA系統，其每個節點基本配置如表二所示。

表二在本實現系統中我們將16個節點分成四個域，每個域有四臺機器，其中一臺作為本域的根認證中心伺服器，另外一臺作為域二級認證中心伺服器，剩下兩臺作為本域認證中心客戶機。二級認證中心和根認證中心伺服器的區別是二級認證中心不具有跨域認證中心服務模塊3，因此不能提供跨域認證服務，而且其初始化過程並不產生自籤名證書，而是從根認證中心處獲取證書。
我們基於網狀和層次相結合的擴展PKI/CA系統中採用如下形式的OID格式，也就是區別名(Distinguished Name)。
cn證書實體名org組織名local區域名本實現系統一共由四個自治域組成，域名、本地域根認證中心的DN名、以及認證中心的職能在表三中進行了描述。

表三結合附圖，對整個系統的配置說明如下輕量級目錄證書資料庫伺服器3是採用開放原始碼的OpenLDAP 2.1.22穩定版本，主要提供本域所信任證書信息，包括用戶證書和域證書，以及證書吊銷列表供用戶查詢和下載使用。
證書資料庫4中存放有本域認證中心伺服器頒發的證書信息和跨域證書信任數據表。本實現資料庫採用MySQL4.0.13版本，在資料庫存放有如下幾張數據表，已頒發的有效證書表，表結構如表四

表四證書吊銷數據表，表結構如表五


證書作廢原因編碼欄位值定義如下000 客戶私鑰洩漏001 證書主題改名002 認證中心主動回收證書003 證書到期其它的原因可以根據需要加入定義。
跨域證書信任數據表，表結構類型如表六

表六跨域認證服務模塊5是本PKI/CA系統實現域間信任關係構建和跨域認證的核心模塊，它負責發起和接受信任關係建立的請求，建立和維護本域跨域證書信任數據表。響應域內證書用戶的跨域證書認證請求。
構建根認證中心伺服器的操作如下，首先在各個域根認證中心伺服器上安裝認證中心伺服器軟體，初始化本地自治域認證中心配置，然後啟動跨域認證中心證書服務。假設「edu.cn」域的安全策略只允許和「com.cn」和「gov.cn」建立相互信任關係，並且不允許「com.cn」代理其信任關係，只允許「gov.cn」代理「伺服器認證」和「安全電子郵件」的功能。而「gov.cn」只允許其他信任域代理「安全電子郵件」功能，那麼最後在「edu.cn」域的根認證中心伺服器上形成的域信任證書鏈路表內容如表七

表七同時，在「gov.cn」域的根認證中心伺服器上形成的域信任證書鏈路表內容如表八

表八
權利要求
1.一種身份認證的方法，首先完成構建域間信任關係，將各個自治域聯合構成一個統一的公鑰基礎設施複合域，之後，當用戶A需要對用戶B的證書進行認證時，用戶A首先通過檢查用戶B的證書，判斷用戶B是否和自己處在同一個自治域，如果是同一個域，則是可信的；否則，用戶A則通過以下兩種方式之一對用戶B的證書進行驗證第一種方式是通過直接向認證中心提出證書認證請求，由認證中心負責認證用戶B的證書，並將認證結果返回給用戶A；第二種方式是由用戶A直接利用在線證書狀態協議直接從本域的輕量級證書目錄伺服器中查詢用戶B用戶B所在域的根認證中心是否被本域所信任，如果兩個自治域存在信任關係，那麼用戶的B的證書是可信的，否則，用戶B的證書是不可信的；構建公鑰基礎設施複合域的步驟為(1)將整個公鑰基礎設施系統劃分成自治域，使每個域內都只有一個根認證中心；(2)為各認證中心建立用戶證書，為各根認證中心建立用戶證書和域證書，用戶證書和域證書均包括證書頒發者、證書主題、公鑰、證書功能、有效日期以及證書頒發籤名欄位，域證書還包括信任代理欄位和授權內容欄位；(3)按照下述方式建立各個自治域之間的信任關係(3.1)簡單自治域與簡單自治域兩個域的信任錨分別根據各自域的證書安全策略相互為對方籤發域證書，再將域證書和域名添加到各自域的跨域證書信任數據表；(3.2)簡單自治域與複合自治域將簡單自治域與複合自治域中的任何一個簡單域建立直接信任關係，簡單自治域再通過該直接信任域的作用與複合域中的其他簡單域建立間接信任關係；(3.3)複合自治域與複合自治域每個複合自治域中各選一個域，在這些域之間直接建立信任關係，雙方互相交換各自跨域證書信任數據表中可傳遞的信任證書鏈，然後將這些域得到的信任證書鏈傳遞給所在複合自治域中的其它域，使各複合域中的其它簡單域之間相互建立起信任關係。
2.實現上述方法的系統，包括認證中心服務模塊、註冊服務模塊、證書資料庫和輕量級目錄證書資料庫伺服器，所述認證中心服務模塊與用戶終端以及所述註冊服務模塊、證書資料庫和輕量級目錄證書資料庫伺服器相連，用於根據用戶不同的請求創建各種類型的用戶證書，管理本自治域所有用戶的證書，包括證書的吊銷、驗證、更新等操作；所述註冊服務模塊用於接受用戶的證書申請，並向所述認證中心服務模塊提出創建用戶證書的請求，並向用戶發放證書；所述證書資料庫用於存放本域的所有用戶證書數據和其它信任域的域信任證書數據，所述輕量級目錄證書資料庫伺服器用於發布用戶的證書和黑名單信息；其特徵在於證書資料庫(3)增設有跨域證書信任數據表，用於存放域信任證書，該系統還包括用於跨域認證所需要的跨域認證服務模塊(5)，該模塊由域認證子模塊(5.1)和域證書管理子模塊(5.2)構成，域認證子模塊(5.1)與域證書管理子模塊(5.2)相連，用於完成各個自治域的認證中心之間的身份認證過程；域證書管理子模塊(5.2)分別與證書資料庫(3)和輕量級目錄證書資料庫伺服器(4)相連，用於負責創建和維護跨域證書信任數據表，同時，通過輕量級目錄證書資料庫伺服器發布域信任證書供本域用戶在查詢和驗證域外用戶的證書時使用。
全文摘要
本發明公開了一種身份認證的方法和系統。該系統基於網狀和層次相結合的擴展PKI/CA結構，將整個公鑰基礎設施域劃分多個自治域，在各個自治域內部採用基本的層次PKI/CA結構，每個域內都有唯一的根認證中心，根據域的大小和應用的實際需要，可以動態配置多個二級認證中心為終端用戶提供各種類型的證書服務，每個域內的根認證中心為本域內所有用戶的單一信任點。在各個自治域之間採用網狀PKI/CA結構，只有每個自治域中的根認證中心才能和其它自治域建立信任關係。本發明避免了層次結構公鑰基礎設施模型的全系統單一信任點的不足；大大減少了網狀公鑰基礎設施結構中的節點數目，降低了跨域證書路徑處理的複雜性，解決了雙向網狀信任關係的證書路徑擴展和發現過於複雜的問題。
文檔編號H04L9/32GK1545243SQ20031011143
公開日2004年11月10日 申請日期2003年11月24日 優先權日2003年11月24日
發明者金海 , 黃琛, 吳松, 冉龍波, 王志平, 陳勇, 海 金 申請人:華中科技大學