本發明應用去中心化及無效信息推送安全認證技術方法，屬于信息安全技術領域，涉及密鑰認證體制。傳統的認證方式因為無效證書的存在使得安全認證無法去中心化，這種認證方法，無法滿足現場認證、及時認證、實時認證、進程認證等大規模網絡空間中的認證需求。為此，通過虎符認證、動態認證以及無效證書信息推送方式，給出了本發明。給出了解決傳統認證技術無法應用去中心化的問題。

技術領域

本發明屬于信息安全技術領域，涉及密鑰認證體制。

背景技術

當前的認證體制主要有PKI、IBC以及CFL三種認證體制。目前PKI、IBC的認證方法都沒有很好的解決認證設備的掛失或者丟失問題，因此，必須將掛失或者認證資源丟失的信息發送到認證中心，由認證中心的LDAP數據庫服務器登記失效信息，將認證資源的失效性信息發送給兩個等待認證的認證實體，這就是所謂的認證無法去中心化。上述認證方法，無法滿足現場認證、及時認證、實時認證、進程認證等大規模網絡空間中的認證需求。為此，本發明給出了應用去中心化及無效信息推送服務安全認證技術方法。

發明內容

本發明目的是給出CFL(或PKI)應用去中心化及掛失者信息推送安全認證技術方法。提供一種現場認證、及時認證、支持進程認證的安全快速、建設與運維資源消耗極低的安全認證方法。

應用去中心化及無效信息推送安全認證技術方法實現步驟：

(1)構建CFL(或PKI)證書生成中心；

(2)為每個用戶或實體配置相應的CFL(或PKI)證書以及認證資源；

(3)每個用戶或實體的CFL(或PKI)證書中含有虎符公鑰1、虎符公鑰2，它們分別對應虎符私鑰1(由客戶端安全硬件設備中的物理噪聲源隨機生成)、虎符私鑰2(由用戶或實體自主生成、使用時在客戶端認證設備安全輸入，認證設備離線時，自動消失)；

(4)在證書信息中由CFL(或PKI)證書生成中心填寫用戶或實體的相應權限標記；

(5)CFL(或PKI)證書生成中心及時向用戶端推送無效的證書信息；

(6)CFL(或PKI)證書在應用時，在本地首先查詢認證實體證書的有效性，然后再進行兩次虎符認證以及動態認證；

(7)在上述認證過程的基礎上，可實現鏈路層VPN、IP層VPN、SSL VPN，同時可對本地資源進行機密性、完整性、可控性、可用性、可認證性保護。

應用去中心化及無效信息推送安全認證技術方法安全性分析：

命題1 沒有合法的CFL(或PKI)證書的用戶無法認證通過。

命題2 若CFL(或PKI)證書設備丟失，在虎符私鑰2沒有泄密的前提下，用戶無法認證通過。

命題3 應用去中心化及無效信息推送安全認證技術方法現場認證是安全的，即應用是去中心化的。

命題4 在動態認證的支持下，可規避重放攻擊。

命題5 一般情況下，在用戶本地無效證書的量是很小的。

證明 設證書丟失的概率為p，虎符私鑰泄密的概率為q，證書的生命周期為PE天，每天證書的生成量為N_day，則在用戶本地無效證書的量為：

PE×N_day×p×q，

一般情況下，p，q都是很小的，因此，命題成立。

由命題5可知，CFL(或PKI)證書的推送量是很小的，用戶本地的無效查詢量也是很小的。因此，應用去中心化及無效信息推送安全認證技術方法的實現仍隸屬輕量級范疇的。

命題6 應用去中心化及無效信息推送安全認證技術方法可提供主動防御。