CN101771537A - 分布式认证系统及其认证证书的处理方法、认证方法 - Google Patents
分布式认证系统及其认证证书的处理方法、认证方法 Download PDFInfo
- Publication number
- CN101771537A CN101771537A CN200810241111A CN200810241111A CN101771537A CN 101771537 A CN101771537 A CN 101771537A CN 200810241111 A CN200810241111 A CN 200810241111A CN 200810241111 A CN200810241111 A CN 200810241111A CN 101771537 A CN101771537 A CN 101771537A
- Authority
- CN
- China
- Prior art keywords
- authentication
- node
- certificate
- certification
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种分布式认证系统,所述分布式认证系统包含多个认证节点,所述认证节点用于处理认证证书申请和对终端用户进行认证。本发明的分布式认证系统具有多个可以进行认证功能的认证节点,使得认证不依赖于单一CA服务器的可用性,从而大大提高了认证的安全性。
Description
技术领域
本发明涉及通信网络认证技术领域,尤其涉及一种分布式认证系统及认证方法、分布式认证系统中认证证书的处理方法。
背景技术
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。
数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。例如,数字证书可以是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。在这种情况下,身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户身份信息可以保证数字信息的不可否认性。
在CA(Certification Authority,证书认证中心)认证体系中,数字证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。
目前,现有认证技术主要是基于CA的集中式认证机制,在这种机制中,CA服务器是集中式的证书颁发机制,即证书颁发都需要经过一个集中式的CA服务器或树状的CA结构进行,颁发的证书都存储在待认证的终端节点端(即终端用户处),并且在许多情况下需要中心CA服务器的干预,尤其是在基于树状CA链的认证过程中,终端用户需要维持多个CA证书的内容并进行认证。由于该机制中认证依赖于单一的CA服务器,一旦CA服务器出现故障,则无法实现认证功能,因而存在安全性低的问题。
发明内容
本发明所要解决的技术问题是提供一种分布式认证系统,提高认证的安全性。
为解决上述技术问题,本发明提出了一种分布式认证系统,所述分布式认证系统包含多个认证节点,所述认证节点用于处理认证证书申请和对终端用户进行认证。
进一步地,上述系统还可具有以下特点,所述认证节点还用于存储终端用户的认证证书。
进一步地,上述系统还可具有以下特点,所述分布式认证系统以分布式存储方式在各认证节点中存储终端用户的认证证书。
进一步地,上述系统还可具有以下特点,所述分布式存储方式为分布式哈希表方式。
进一步地,上述系统还可具有以下特点,所述分布式认证系统的认证节点中还存储其他认证节点的路由信息。
为解决上述技术问题,本发明还提出了一种认证方法,所述认证由分布式认证系统执行,所述分布式认证系统包含多个认证节点,所述认证节点存储有终端用户的认证证书,则所述认证方法包括:
a1、当终端用户发起某项业务时,分布式认证系统选取一个认证节点X对所述终端用户进行认证;
a2、认证节点X查询到存储有所述终端用户的认证证书的认证节点后,从该认证节点处获取所述终端用户的认证证书;
a3、认证节点X根据所述终端用户的认证证书进行认证。
进一步地,上述方法还可具有以下特点,步骤a1中,所述分布式认证系统选取一个认证节点X对所述终端用户进行认证包括下列步骤:根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点;或者,根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点。
进一步地,上述方法还可具有以下特点,所述步骤a2中,所述存储有所述终端用户的认证证书的认证节点为多个,认证节点X根据本认证节点的身份标识,从该多个认证节点中与本认证节点在地理位置上最近的认证节点处获取所述终端用户的认证证书;或者,所述存储有所述终端用户的认证证书的认证节点为多个,认证节点X根据本认证节点的IP地址,从该多个认证节点中与本认证节点在逻辑位置上最近的认证节点处获取所述终端用户的认证证书。
进一步地,上述方法还可具有以下特点,所述步骤a3包括:认证节点X根据所述终端用户的认证证书判断所述终端用户是否具有进行相应业务的权限,若有则允许所述终端用户继续进行相应业务,若无则禁止所述终端用户继续进行相应业务。
为解决上述技术问题,本发明还提出了一种分布式认证系统中认证证书的处理方法,包括:
b1、分布式认证系统接收终端用户申请认证证书的请求,所述分布式认证系统包含多个认证节点;
b2、所述分布式认证系统选取一个认证节点对所述请求进行处理;
b3、所述认证节点为所述终端用户生成认证证书。
进一步地,上述方法还可具有以下特点,步骤b3后还包括:
b4、所述认证节点进一步将所述终端用户的认证证书存储到所述分布式认证系统的至少一个认证节点中。
进一步地,上述方法还可具有以下特点,所述步骤b2包括下列步骤:所述分布式认证系统根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点对所述请求进行处理;或者,所述分布式认证系统根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点对所述请求进行处理。
进一步地,上述方法还可具有以下特点,所述步骤b3包括:所述认证节点根据所述终端用户的ID生成认证证书中的序列号信息、有效期信息,并在认证证书中加入本认证节点所在的分布式认证系统的名称、数字签名以及所述数字签名使用的签名算法信息。
进一步地,上述方法还可具有以下特点,所述步骤b4中,所述认证节点将所述终端用户的认证证书以分布式哈希表方式存储到所述分布式认证系统的至少一个认证节点中。
进一步地,上述方法还可具有以下特点,还包括下列步骤:
c1、分布式认证系统接收终端用户撤销认证证书的请求,所述分布式认证系统包含多个认证节点,所述终端用户的认证证书存储在所述分布式认证系统的至少一个认证节点中;
c2、所述分布式认证系统选取一个认证节点对所述撤销认证证书的请求进行处理;
c3、所述认证节点查询存储有所述终端用户认证证书的认证节点,向所有存储有所述终端用户认证证书的认证节点发出撤销请求;
c4、存储有所述终端用户认证证书的认证节点根据所述撤销请求销毁所述终端用户的认证证书。
进一步地,上述方法还可具有以下特点,所述步骤c2包括:所述分布式认证系统根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点对所述撤销认证证书的请求进行处理;或者,所述分布式认证系统根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点对所述撤销认证证书的请求进行处理。
进一步地,上述方法还可具有以下特点,还包括下列步骤:
所述分布式认证系统中的各认证节点周期性地检查本认证节点上是否有超过有效期的认证证书,若有则将过期的认证证书销毁。
本发明使得终端用户的认证、认证证书申请及撤销等功能不依赖于单一CA服务器的可用性,提高了认证、认证证书申请及撤销等功能的安全性。
附图说明
图1(a)为本发明实施例1中分布式认证系统的结构示意图;
图1(b)为本发明实施例1中分布式认证系统的认证节点存储终端认证证书的示意图;
图1(c)为本发明实施例1中分布式认证系统采用Chord方式进行存储的示意图;
图1(d)为本发明实施例1中分布式认证系统采用Chord方式进行存储时查找方式示意图;
图1(e)为本发明实施例1中分布式认证系统采用Chord方式进行存储时使用扩展的查询算法进行查找的示意图;
图2(a)为本发明实施例2的认证方法流程图;
图2(b)为本发明实施例2中终端间发起通话时的认证过程示意图;
图3为本发明实施例3的认证证书的申请方法流程图;
图4为本发明实施例4的认证证书的撤销方法流程图。
具体实施方式
本发明的主要构思是,采用分布式认证系统对终端用户进行认证,该分布式认证系统包含若干个认证节点,每个认证节点都具有认证功能,这样当某一个或几个认证节点出现故障时,可以由其他工作正常的认证节点来完成认证功能,从而大大提高了认证的安全性。
下面结合附图和实施例对本发明的技术方案作进一步阐述。
实施例1
本发明采用分布式认证系统来完成对终端用户的认证、认证证书申请和撤销等功能,该分布式认证系统包含若干个认证节点,每个认证节点均具有处理认证证书申请和根据认证证书对相应终端用户进行认证的功能。分布式认证系统的拓扑结构可以采用现有分布式系统的拓扑结构,例如环形、树形等等。本实施例的分布式认证系统结构如图1(a)所示,该分布式认证系统为环形结构,包含9个认证节点。
其中,认证节点可以是CA服务器。当终端用户进行某项业务时,分布式认证系统可以按照设定的规则选取一个工作正常的认证节点来对该终端用户进行认证。这样就不会因为某个或某些认证节点出现故障而不能实现认证功能了,从而提高了认证的安全性。
在其他实施例中,认证节点还可以用于存储终端用户的认证证书。分布式认证系统以分布式存储方式在各认证节点中存储终端用户的认证证书。例如DHT(Distributed Hash Table,分布式哈希表)方式。这样就不需要占用终端用户的存储空间,从而节省了终端用户的资源。如图1(b)所示,当认证节点S为终端M颁发认证证书后,可以进一步将终端M的认证证书存储在P1、P2、P3三个认证节点中。
下面以DHT方式为例,具体说明分布式认证系统中终端用户的认证证书的存储和查找方法。
DHT的主要思想是:首先,每条文件索引被表示成一个(K,V)对,K称为关键字,可以是文件名(或文件的其他描述信息)的哈希值,V是实际存储文件的节点的IP地址(或节点的其他描述信息)。所有的文件索引条目(即所有的(K,V)对)组成一张大的文件索引哈希表,只要输入目标文件的K值,就可以从这张表中查出所有存储该文件的节点地址。然后,再将上面的大文件哈希表分割成很多局部小块,按照特定的规则把这些小块的局部哈希表分布到系统中的所有参与节点上,使得每个节点负责维护其中的一块。这样,节点查询文件时,只要把查询报文路由到相应的节点即可(该节点维护的哈希表分块中含有要查找的(K,V)对)。节点要按照一定的规则来分割整体的哈希表,进而也就决定了节点要维护特定的邻居节点,以便路由能顺利进行。这个规则因具体系统的不同而不同,例如CAN(Content AddressableNetworks,基于内容编址网)、Chord,Pastry和Tapestry都有自己的规则,也就呈现出不同的特性。其中,CAN项目采用多维的标识符空间来实现分布式散列算法,Pastry是微软研究院提出的可扩展的分布式对象定位和路由协议,可用于构建大规模的P2P系统;Tapestry基于Plaxton的思想,加入了容错机制,从而可适应P2P的动态变化的特点。
基于分布式哈希表的分布式检索和路由算法具有查找可确定性、简单性和分布性等优点。下面以Chord为例,进一步说明认证证书的检索和路由方法。
Chord是UC Berkeley(University of California,Berkeley,伯克利加利福尼亚大学)和MIT(Massachusetts Institute of Technology,麻省理工学院)共同提出的一种分布式查找算法,目的是为了能在P2P网络中查找数据。给定一个关键字,Chord可以有效地把该关键字映射到网络中某个节点上。因而在P2P网络中只要给每个数据V都赋予一个关键字K,就可以利用Chord在该关键字映射的节点上存储或提取相应的(K,V)对。Chord的突出特点是算法简单,而且可扩展-查询过程的通信开销和节点维护的状态随着系统总节点数增加成指数关系。
Chord的设计:Chord中每个关键字和节点都分别拥有一个m比特的标识符。关键字标识符K通过哈希关键字本身得到,而节点标识符N则通过哈希节点的IP地址得到。哈希函数可以选用SHA-1(Secure Hash Algorithm-1,安全散列算法-1)。所有节点按照其节点标识符从小到大(取模2m后)沿着顺时针方向排列在一个逻辑的标识圆环上(称为Chord环)。Chord的映射规则是:关键字标识为K的(K,V)对存储在这样的节点上,该节点的节点标识等于K或者在Chord环上紧跟在K之后,这个节点被称为K的后继节点,表示为successor(K)。因为标识符采用m位二进制数表示,并且从0到2m-1顺序排列成一个圆圈,succesor(K)就是从K开始顺时针方向距离K最近的节点。
图1(c)给出了一个m=6的Chord环,环中分布了10个节点,存储了5个关键字,节点标识前加上N而关键字前加上K以示区别。因为successor(10)=14,所以关键字10存储到节点14上。同理,关键字24和30存储到节点32上,关键字38存储到节点38上,而关键字54则存储到节点56上。当网络中的参与节点发生变动时,上面的映射规则仍然要成立。为此,当某节点n加入网络时,某些原来分配给n的后继节点的关键字将分配给n。当节点n离开网络时,所有分配给它的关键字将重新分配给n的后继节点。除此之外,网络中不会发生其他的变化。以图1(c)为例,当标识为26的节点接入时,原有标识为32的节点负责的标识为24的关键字将转由新节点存储。显然,为了能在系统中转发查询报文,每个节点要了解并维护chord环上相邻节点的标识和IP地址,并用这些信息构成自身的路由表。有了这张表,Chord就可以在环上任意两点间进行寻路。
Chord的路由:Chord中每个节点只要维护它在环上的后继节点的标识和IP地址就可以完成简单的查询过程。对特定关键字的查询报文可以通过后继节点指针在圆环上传递,直到到达这样一个节点:关键字的标识落在该节点标识和它的后继节点标识之间,这里的后继节点就是存储目标(K,V)对的节点。
图1(d)给出了一个示例,节点8发起的查找关键字54的请求,通过后继节点依次传递,最后定位到存储有关键字54的节点56。在这种简单查询方式中,每个节点需要维护的状态信息很少,但查询速度太慢。若网络中有N个节点,查询的代价就为0(N)数量级。因而在网络规模很大时,这样的速度是不能接受的。为了加快查询的速度,Chord使用扩展的查询算法。为此,每个节点需要维护一个路由表,称为指针表(finger table)。如果关键字和节点标识符用m位二进制位数表示,那么指针表中最多含有m个表项。节点n的指针表中第i项是圆环上标识大于或等于n+2i-1的第一个节点(比较是以2m为模进行的)。例如若s=successor(n+2i-1),1≤i≤m,则称节点s为节点n的第i个指针,记为n.finger。n.finger[1]就是节点n的后继节点。指针表中每一项既包含相关节点的标识,又包含该节点的IP地址(和端口号)。
图1(e)给出了节点8的指针表,例如节点14是环上紧接在(8+20)mod2 6=9之后的第一个节点,所以节点8的第一个指针是节点14;同理因为节点42是环上紧接在(8+25)mod 26=40之后的第一个节点,所以节点8的第6个指针是节点42。维护指针表使得每个节点只需要知道网络中一小部分节点的信息,而且离它越近的节点,它就知道越多的信息。但是,对于任意一个关键字K,节点通常无法根据自身的指针表确定的K的后继节点。例如,图1(e)中的节点8就不能确定关键字34的后继节点,因为环上34的后继节点是38,而节点38并没有出现在节点8的指针表中。扩展的查询过程是:任何一个节点收到查询关键字K的请求时,首先检查关K是否落在该节点标识和它的后继节点标识之间,如果是的话,这个后继节点就是存储目标(K,V)对的节点。否则,节点将查找它的指针表,找到表中节点标识符最大但不超过K的第一个节点,并将这个查询请求转发给该节点。通过重复这个过程,最终可以定位到K的后继节点,即存储有目标(K,V)对的节点。
节点加入和退出:为了应对系统的变化,每个节点都周期性地运行探测协议来检测新加入节点或失效节点,从而更新自己的指针表和指向后继节点的指针。新节点n加入时,将通过系统中现有的节点来初始化自己的指针表。也就是说,新节点n将要求已知的系统中某节点为它查找指针表中的各个表项。在其他节点运行探测协议后,新节点n将被反映到相关节点的指针表和后继节点指针中。这时,系统中一部分关键字的后继节点也变为新节点n,因而先前的后继节点要将这部分关键字转移到新节点上。当节点n失效时,所有指针表中包括n的节点都必须把它替换成n的后继节点。为了保证节点n的失效不影响系统中正在进行的查询过程,每个Chord节点都维护一张包括r个最近后继节点的后继列表。如果某个节点注意到它的后继节点失效了,它就用其后继列表中第一个正常节点替换失效节点。
在其他实施例中,认证节点中还可以存储其他认证节点的路由信息,以便在需要时访问其他认证节点获取所需信息。
本实施例的分布式认证系统具有多个可以进行认证功能的认证节点,使得认证不依赖于单一的CA服务器,从而大大提高了认证的安全性。此外,认证节点还可以用于存储终端用户的认证证书,有利于节约终端用户的存储资源。
实施例2
本实施例提供了一种认证方法,该认证方法可以由实施例1的分布式认证系统执行,该分布式认证系统包含多个认证节点,并且认证节点中存储有终端用户的认证证书,存储的方式可以为分布式存储方式,比如DHT方式。如图2(a)所示,本实施例的认证方法可以包括以下步骤:
步骤101、当终端用户发起某项业务(例如VoIP或Streaming等业务)时,分布式认证系统选取一个认证节点X对所述终端用户进行认证;
任何终端节点在使用P2P(Peer to Peer,点对点网络)分布式环境下的业务之前,认证机制(本实施例中为分布式认证系统)都需要对其有效性进行认证。
本步骤中,分布式认证系统可以按照就近原则选取认证节点,例如:分布式认证系统可以根据终端用户的身份标识,选取在地理位置上与该终端用户最近的认证节点;或者,分布式认证系统还可以根据该终端用户的IP地址,选取在逻辑位置上与该终端用户最近的认证节点。
步骤102、认证节点X查询到存储有该终端用户的认证证书的认证节点后,从该认证节点处获取所述终端用户的认证证书;
认证节点X被选定执行认证功能后,需要获取该终端用户的认证证书,为此,认证节点X首先在分布式认证系统中查询终端用户的认证证书存储在哪个或哪些认证节点上,包括认证节点X本身。查询的方式可以依分布式认证系统存储认证证书的方式而定。例如,假设分布式认证系统以DHT方式在各认证节点中存储终端用户的认证证书,则认证节点X就可以根据DHT机制,通过定位和路由方法来查找待认证的终端用户的认证证书。
在本步骤中,存储有待认证的终端用户的认证证书的认证节点可以是一个或多个,如果是多个,认证节点X可以按照设定规则从该多个认证节点中选定一个从中获取上述终端用户的认证证书。例如,认证节点X可以根据本认证节点的身份标识,从该多个认证节点中与本认证节点在地理位置上最近的认证节点处获取所述终端用户的认证证书;或者,认证节点X还可以根据本认证节点的IP地址,从该多个认证节点中与本认证节点在逻辑位置上最近的认证节点处获取所述终端用户的认证证书。
步骤103、认证节点X根据该终端用户的认证证书进行认证。
本步骤中,认证节点X可以根据该终端用户的认证证书判断该终端用户是否具有进行相应业务的权限,若有则允许该终端用户继续进行相应业务,若无则禁止该终端用户继续进行相应业务。若认证节点X通过该终端用户的认证证书判断后得知,该终端用户没有进行相应业务的权限,则禁止该终端用户继续进行相应业务,并可以进一步向该终端返回认证失败的信息。
若所涉及的业务还需要对其他的终端进行认证,则分布式认证系统以同样的方式对相应的其他终端进行认证。
图2(b)给出了一个具体的应用示例,如图2所示:
终端A向终端B发起通话,分布式认证系统按照设定规则选取认证节点S对终端A进行认证;
认证节点S查询到存储有终端A的认证证书的认证节点有认证节点P、认证节点P′和认证节点P″后,从该三个认证节点中按照就近原则从认证节点P处获取所述终端用户的认证证书;
认证节点S根据终端A的认证证书判断终端A是否具有进行相应业务的权限,若有则允许终端A继续进行通话的后续流程,若无则禁止终端A继续进行后续流程。
同理,认证节点S以同样的方式判断终端B是否具有进行相应业务的权限,若有则允许终端B继续进行通话的后续流程,若无则禁止终端B继续进行后续流程。
判断完毕后,若通话的双方(即终端A和终端B)都具有相应权限,则双方继续通话的后续流程,若有一方不具有相应权限,则中止双方间的通话流程。
本实施例中,认证功能不依赖于单一的CA服务器,而是可以由分布式认证系统中的多个认证节点来完成,当某一个或几个认证节点出现故障时,仍可以由其他任何一个工作正常的认证节点来完成,因此大大提高了认证的安全性。
实施例3
本实施例提供了一种分布式认证系统中认证证书的处理方法,该方法由实施例1的分布式认证系统执行,该分布式认证系统包含多个认证节点。如图3所示,该方法可以包括以下步骤:
步骤201、分布式认证系统接收终端用户申请认证证书的请求,该分布式认证系统包含多个认证节点;
步骤202、分布式认证系统从本系统内的认证节点中选取一个认证节点Q对申请认证证书的请求进行处理;
本步骤中,分布式认证系统可以按照就近原则从本系统内的认证节点中选取一个认证节点对申请认证证书的请求进行处理,例如:分布式认证系统可以根据终端用户的身份标识,选取在地理位置上与该终端用户最近的认证节点;或者,分布式认证系统还可以根据该终端用户的IP地址,选取在逻辑位置上与该终端用户最近的认证节点。
步骤203、认证节点Q为上述终端用户生成认证证书。
认证证书中可以包括下列内容:
序列号:由颁发证书的实体(本实施例中为分布式认证系统)为该证书指定的独一无二的序列号,用以区别于该实体发布的其他证书,当一个认证证书被回收以后,它的序列号就被放入证书回收列表之中;
有效期:包括认证证书的起始日期和时间以及终止日期和时间,用以指明其何时失效;
证书签发者的身份信息:这是签发该证书的实体的唯一名字,使用该证书意味着信任签发该证书分配者,并服从其指派的权限,在分布式认证系统中,证书签发者为该分布式认证系统;
发布者的数字签名:使用发布者私钥生成的签名,在分布式认证系统中,发布者为该分布式认证系统;
签名算法:指明签名所使用的算法。
认证节点可以根据终端用户的ID生成认证证书中的序列号信息、有效期信息,并在认证证书中加入本认证节点所在的分布式认证系统的名称、数字签名以及该数字签名使用的签名算法信息。
如图2(a)所示,在其他实施例中,认证证书的申请方法还可以进一步包括:
步骤204、认证节点Q进一步将终端用户的认证证书存储到分布式认证系统的至少一个认证节点中。
本步骤中,认证节点Q可以将将终端用户的认证证书以分布式哈希表方式存储于所述分布式认证系统的至少一个认证节点中,当然,在其他的实施例中,也可以以其他的分布式存储方式来存储终端用户的认证证书。
本实施例中,认证证书的申请不依赖于单一的CA服务器,而是可以由分布式认证系统中的多个认证节点来完成,因此大大提高了认证的安全性。并且,本实施例还可以将终端用户的认证证书存储到分布式认证系统的至少一个认证节点中,有利于节约终端的存储资源。
实施例4
如图4所示,本实施例提供的分布式认证系统中认证证书的处理方法同实施例3相比,进一步包括以下步骤:
步骤301、分布式认证系统接收终端用户撤销认证证书的请求,该分布式认证系统包含多个认证节点;
步骤302、分布式认证系统选取一个认证节点C对上述请求进行处理;
本步骤中,分布式认证系统可以按照就近原则选取认证节点,例如:分布式认证系统可以根据终端用户的身份标识,选取在地理位置上与该终端用户最近的认证节点;或者,分布式认证系统还可以根据该终端用户的IP地址,选取在逻辑位置上与该终端用户最近的认证节点。
步骤303、认证节点C查询存储有所述终端用户认证证书的认证节点,向所有存储有该终端用户认证证书的认证节点发出撤销请求;
步骤304、存储有该终端用户认证证书的认证节点根据上述撤销请求销毁该终端用户的认证证书。
本实施例中,认证证书的撤销不依赖于单一的CA服务器,而是可以由分布式认证系统中的多个认证节点来完成,因此大大提高了撤销认证的安全性。
实施例5
如图4所示,本实施例提供的分布式认证系统中认证证书的处理方法同实施例3相比,可以进一步包括以下步骤:
分布式认证系统中的各认证节点周期性地检查本节点上是否有超过有效期的认证证书,若有则将过期的认证证书销毁。
本实施例中,由分布式认证系统中的各认证节点自动对过期的认证证书完成撤销,认证证书的撤销不依赖单一CA服务器的可用性,因此大大提高了撤销认证的安全性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种分布式认证系统,其特征在于,所述分布式认证系统包含多个认证节点,所述认证节点用于处理认证证书申请和对终端用户进行认证。
2.根据权利要求1所述的分布式认证系统,其特征在于,所述认证节点还用于存储终端用户的认证证书。
3.根据权利要求2所述的分布式认证系统,其特征在于,所述分布式认证系统以分布式存储方式在各认证节点中存储终端用户的认证证书。
4.根据权利要求3所述的分布式认证系统,其特征在于,所述分布式认证系统以分布式哈希表方式进行分布式存储。
5.根据权利要求1至4任一项所述的分布式认证系统,其特征在于,所述分布式认证系统的认证节点中还存储有其他认证节点的路由信息。
6.一种分布式认证方法,其特征在于,所述认证由分布式认证系统执行,所述分布式认证系统包含多个认证节点,所述认证节点存储有终端用户的认证证书,则所述认证方法包括:
a1、当终端用户发起某项业务时,分布式认证系统选取一个认证节点X对所述终端用户进行认证;
a2、认证节点X查询到存储有所述终端用户的认证证书的认证节点后,从该认证节点处获取所述终端用户的认证证书;
a3、认证节点X根据所述终端用户的认证证书进行认证。
7.根据权利要求6所述的认证方法,其特征在于,步骤a1中,所述分布式认证系统选取一个认证节点X对所述终端用户进行认证包括下列步骤:根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点;或者,根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点。
8.根据权利要求6所述的认证方法,其特征在于,所述步骤a2中,所述存储有所述终端用户的认证证书的认证节点为多个,认证节点X根据本认证节点的身份标识,从该多个认证节点中与本认证节点在地理位置上最近的认证节点处获取所述终端用户的认证证书;或者,所述存储有所述终端用户的认证证书的认证节点为多个,认证节点X根据本认证节点的IP地址,从该多个认证节点中与本认证节点在逻辑位置上最近的认证节点处获取所述终端用户的认证证书。
9.根据权利要求6所述的认证方法,其特征在于,所述步骤a3包括:认证节点X根据所述终端用户的认证证书判断所述终端用户是否具有进行相应业务的权限,若有则允许所述终端用户继续进行相应业务,若无则禁止所述终端用户继续进行相应业务。
10.一种分布式认证系统中认证证书的处理方法,其特征在于,包括:
b1、分布式认证系统接收终端用户申请认证证书的请求,所述分布式认证系统包含多个认证节点;
b2、所述分布式认证系统选取一个认证节点对所述请求进行处理;
b3、所述认证节点为所述终端用户生成认证证书。
11.根据权利要求10所述的分布式认证系统中认证证书的处理方法,其特征在于,步骤b3后还包括:
b4、所述认证节点进一步将所述终端用户的认证证书存储到所述分布式认证系统的至少一个认证节点中。
12.根据权利要求10所述的分布式认证系统中认证证书的处理方法,其特征在于,所述步骤b2包括下列步骤:所述分布式认证系统根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点对所述请求进行处理;或者,所述分布式认证系统根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点对所述请求进行处理。
13.根据权利要求10所述的分布式认证系统中认证证书的处理方法,其特征在于,所述步骤b3包括:所述认证节点根据所述终端用户的ID生成认证证书中的序列号信息、有效期信息,并在认证证书中加入本认证节点所在的分布式认证系统的名称、数字签名以及所述数字签名使用的签名算法信息。
14.根据权利要求11所述的分布式认证系统中认证证书的处理方法,其特征在于,所述步骤b4中,所述认证节点将所述终端用户的认证证书以分布式哈希表方式存储到所述分布式认证系统的至少一个认证节点中。
15.根据权利要求10至14任一项所述的分布式认证系统中认证证书的处理方法,其特征在于,还包括下列步骤:
c1、分布式认证系统接收终端用户撤销认证证书的请求,所述分布式认证系统包含多个认证节点,所述终端用户的认证证书存储在所述分布式认证系统的至少一个认证节点中;
c2、所述分布式认证系统选取一个认证节点对所述撤销认证证书的请求进行处理;
c3、所述认证节点查询存储有所述终端用户认证证书的认证节点,向所有存储有所述终端用户认证证书的认证节点发出撤销请求;
c4、存储有所述终端用户认证证书的认证节点根据所述撤销请求销毁所述终端用户的认证证书。
16.根据权利要求15所述的分布式认证系统中认证证书的处理方法,其特征在于,所述步骤c2包括:所述分布式认证系统根据所述终端用户的身份标识,选取在地理位置上与所述终端用户最近的认证节点对所述撤销认证证书的请求进行处理;或者,所述分布式认证系统根据所述终端用户的IP地址,选取在逻辑位置上与所述终端用户最近的认证节点对所述撤销认证证书的请求进行处理。
17.根据权利要求10至14任一项所述的分布式认证系统中认证证书的处理方法,其特征在于,还包括下列步骤:
所述分布式认证系统中的各认证节点周期性地检查本认证节点上是否有超过有效期的认证证书,若有则将过期的认证证书销毁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810241111A CN101771537A (zh) | 2008-12-26 | 2008-12-26 | 分布式认证系统及其认证证书的处理方法、认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810241111A CN101771537A (zh) | 2008-12-26 | 2008-12-26 | 分布式认证系统及其认证证书的处理方法、认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101771537A true CN101771537A (zh) | 2010-07-07 |
Family
ID=42504158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810241111A Pending CN101771537A (zh) | 2008-12-26 | 2008-12-26 | 分布式认证系统及其认证证书的处理方法、认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771537A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571794A (zh) * | 2012-01-10 | 2012-07-11 | 北京邮电大学 | 一种证书存储节点选择方法及网络节点 |
| CN102868709A (zh) * | 2011-07-04 | 2013-01-09 | 中国移动通信集团公司 | 一种基于p2p的证书管理方法及其装置 |
| CN104008100A (zh) * | 2013-02-21 | 2014-08-27 | 纽海信息技术(上海)有限公司 | 集群环境并发处理方法 |
| CN104468580A (zh) * | 2014-12-10 | 2015-03-25 | 北京众享比特科技有限公司 | 适用于分布式存储的认证方法 |
| CN104486314A (zh) * | 2014-12-05 | 2015-04-01 | 北京众享比特科技有限公司 | 基于对等网络的身份认证系统和身份认证方法 |
| CN105282111A (zh) * | 2014-07-14 | 2016-01-27 | 上海硅孚信息科技有限公司 | 一种云统一认证方法及系统 |
| CN105591753A (zh) * | 2016-01-13 | 2016-05-18 | 杭州复杂美科技有限公司 | 一种ca证书在区块链上的应用方法 |
| CN106603516A (zh) * | 2016-12-02 | 2017-04-26 | 航天星图科技(北京)有限公司 | 一种数据检验方法和系统 |
| CN106790261A (zh) * | 2017-02-03 | 2017-05-31 | 上海云熵网络科技有限公司 | 分布式文件系统及用于其中节点间认证通信的方法 |
| CN107026739A (zh) * | 2016-02-01 | 2017-08-08 | 中国移动通信集团重庆有限公司 | 短信签名认证方法及装置 |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| CN110213230A (zh) * | 2019-04-26 | 2019-09-06 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN110493002A (zh) * | 2018-06-25 | 2019-11-22 | 北京白山耘科技有限公司 | 一种证书续签的方法、装置及系统 |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络系统的安全控制方法、系统、装置和存储介质 |
| CN112789642A (zh) * | 2018-10-10 | 2021-05-11 | 西门子股份公司 | 在分布式数据库中的身份的关联 |
| CN114499947A (zh) * | 2021-12-22 | 2022-05-13 | 航天信息股份有限公司 | 一种基于分布式身份认证来生成电子凭证的方法及系统 |
| CN114826777A (zh) * | 2022-06-08 | 2022-07-29 | 中国工商银行股份有限公司 | 身份认证方法、装置、计算机设备和存储介质 |
| CN115225293A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团辽宁有限公司 | 鉴权方法、系统、装置、设备及计算机存储介质 |
-
2008
- 2008-12-26 CN CN200810241111A patent/CN101771537A/zh active Pending
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868709A (zh) * | 2011-07-04 | 2013-01-09 | 中国移动通信集团公司 | 一种基于p2p的证书管理方法及其装置 |
| WO2013004174A1 (zh) * | 2011-07-04 | 2013-01-10 | 中国移动通信集团公司 | 一种基于p2p的证书管理方法及其装置 |
| CN102571794A (zh) * | 2012-01-10 | 2012-07-11 | 北京邮电大学 | 一种证书存储节点选择方法及网络节点 |
| CN104008100A (zh) * | 2013-02-21 | 2014-08-27 | 纽海信息技术(上海)有限公司 | 集群环境并发处理方法 |
| CN104008100B (zh) * | 2013-02-21 | 2019-03-12 | 北京京东尚科信息技术有限公司 | 集群环境并发处理方法 |
| CN105282111A (zh) * | 2014-07-14 | 2016-01-27 | 上海硅孚信息科技有限公司 | 一种云统一认证方法及系统 |
| CN104486314A (zh) * | 2014-12-05 | 2015-04-01 | 北京众享比特科技有限公司 | 基于对等网络的身份认证系统和身份认证方法 |
| CN104468580B (zh) * | 2014-12-10 | 2017-08-11 | 北京众享比特科技有限公司 | 适用于分布式存储的认证方法 |
| CN104468580A (zh) * | 2014-12-10 | 2015-03-25 | 北京众享比特科技有限公司 | 适用于分布式存储的认证方法 |
| CN105591753A (zh) * | 2016-01-13 | 2016-05-18 | 杭州复杂美科技有限公司 | 一种ca证书在区块链上的应用方法 |
| CN107026739A (zh) * | 2016-02-01 | 2017-08-08 | 中国移动通信集团重庆有限公司 | 短信签名认证方法及装置 |
| CN107026739B (zh) * | 2016-02-01 | 2019-11-19 | 中国移动通信集团重庆有限公司 | 短信签名认证方法及装置 |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| CN106603516A (zh) * | 2016-12-02 | 2017-04-26 | 航天星图科技(北京)有限公司 | 一种数据检验方法和系统 |
| CN106603516B (zh) * | 2016-12-02 | 2021-04-30 | 中科星图股份有限公司 | 一种数据检验方法和系统 |
| CN106790261A (zh) * | 2017-02-03 | 2017-05-31 | 上海云熵网络科技有限公司 | 分布式文件系统及用于其中节点间认证通信的方法 |
| CN106790261B (zh) * | 2017-02-03 | 2019-11-08 | 上海云熵网络科技有限公司 | 分布式文件系统及用于其中节点间认证通信的方法 |
| CN110493002A (zh) * | 2018-06-25 | 2019-11-22 | 北京白山耘科技有限公司 | 一种证书续签的方法、装置及系统 |
| CN111800270B (zh) * | 2018-06-25 | 2023-05-23 | 北京白山耘科技有限公司 | 一种证书签名方法、装置、存储介质及计算机设备 |
| CN110493002B (zh) * | 2018-06-25 | 2020-05-08 | 北京白山耘科技有限公司 | 一种证书续签的方法、装置及系统 |
| CN111800270A (zh) * | 2018-06-25 | 2020-10-20 | 北京白山耘科技有限公司 | 一种证书签名方法、装置、存储介质及计算机设备 |
| US11483165B2 (en) | 2018-06-25 | 2022-10-25 | Beijing Baishancloud Technology Co., Ltd. | Certificate renewal method, apparatus, system, medium, and device |
| CN112789642A (zh) * | 2018-10-10 | 2021-05-11 | 西门子股份公司 | 在分布式数据库中的身份的关联 |
| CN110213230A (zh) * | 2019-04-26 | 2019-09-06 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN110213230B (zh) * | 2019-04-26 | 2020-01-31 | 特斯联(北京)科技有限公司 | 一种用于分布式通信的网络安全验证方法及装置 |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络系统的安全控制方法、系统、装置和存储介质 |
| CN115225293A (zh) * | 2021-04-16 | 2022-10-21 | 中国移动通信集团辽宁有限公司 | 鉴权方法、系统、装置、设备及计算机存储介质 |
| CN115225293B (zh) * | 2021-04-16 | 2024-03-08 | 中国移动通信集团辽宁有限公司 | 鉴权方法、系统、装置、设备及计算机存储介质 |
| CN114499947A (zh) * | 2021-12-22 | 2022-05-13 | 航天信息股份有限公司 | 一种基于分布式身份认证来生成电子凭证的方法及系统 |
| CN114826777A (zh) * | 2022-06-08 | 2022-07-29 | 中国工商银行股份有限公司 | 身份认证方法、装置、计算机设备和存储介质 |
| CN114826777B (zh) * | 2022-06-08 | 2023-09-15 | 中国工商银行股份有限公司 | 身份认证方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101771537A (zh) | 分布式认证系统及其认证证书的处理方法、认证方法 | |
| US11405219B2 (en) | Shared blockchain data storage | |
| EP3673620B1 (en) | Shared blockchain data storage | |
| CN110061838B (zh) | 一种dns资源记录的去中心化存储系统及其实现方法 | |
| KR102577139B1 (ko) | 스마트 계약 기반 데이터 처리 방법, 기기 및 저장 매체 | |
| EP3669281B1 (en) | Shared blockchain data storage | |
| CN109493050B (zh) | 基于区块链主链加并行多子链的转账方法 | |
| CN109472572B (zh) | 基于区块链主链加并行多子链的合约系统 | |
| Androutsellis-Theotokis et al. | A survey of peer-to-peer content distribution technologies | |
| CN109246211B (zh) | 一种区块链中的资源上传和资源请求方法 | |
| CN110945853A (zh) | 基于联盟链投票共识算法产生及管理多模标识网络的方法 | |
| CN107291862A (zh) | 业务数据存储方法、装置、存储介质及电子设备 | |
| JP2020511017A (ja) | ブロックチェーンベースのデジタル証明書を実装するためのシステム及び方法 | |
| CN110730225A (zh) | 基于区块链的物联网的数据处理方法、物联网及存储介质 | |
| CN109493052B (zh) | 一种基于主链加并行多子链的跨链合约系统 | |
| CN109919771B (zh) | 一种应用分层区块链技术的工业互联网交易装置 | |
| CN112468525B (zh) | 一种基于区块链的域名管理系统 | |
| CN101714996A (zh) | 基于对等计算网络的认证系统及方法 | |
| Abe et al. | Mitigating bitcoin node storage size by DHT | |
| CN109246190A (zh) | 网络寻址方法、数据编辑方法、装置及存储介质 | |
| CN101645831B (zh) | 一种p2p系统中的节点组织方法 | |
| CN102378407B (zh) | 一种物联网中的对象名字解析系统及其解析方法 | |
| CN113162971A (zh) | 区块链节点管理方法、装置、计算机以及可读存储介质 | |
| Abe | Blockchain storage load balancing among dht clustered nodes | |
| WO2023071554A1 (zh) | 基于区块链网络的数据处理方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20100707 |