本發明提供了一種基于聯邦學習的網絡認證方法及裝置，一種基于聯邦學習的網絡認證方法包括：根據在隱私計算平臺上預先建立的自簽名CA節點以及計算節點的證書請求，生成該計算節點的從屬CA證書；根據所述從屬CA證書生成該計算節點在所述隱私計算平臺上的用戶證書；根據所述從屬CA證書以及所述用戶證書注冊該計算節點的服務證書。一方面，本發明借助成熟的PKI技術，實現隱私計算網絡節點身份管理，平臺方可以管理計算節點，計算節點可以獨立管理各自的用戶身份。另一方面，本發明使用證書雙向認證，較token,AK/SK等認證方式更加安全，計算節點和平臺，以及應用之間都可以做到互認互信。

技術領域

本發明涉及網絡安全認證技術領域，特別是一種通過證書來實現雙向認證的網絡認證方法，具體涉及一種基于聯邦學習的網絡認證方法及裝置。

背景技術

隨著聯邦學習技術逐漸成熟，近年來各大公司紛紛布局建設自己的聯邦學習平臺，其中大概分為兩種架構，一種是去中心化的全分布式架構，另外一種是中心管理結合分布式計算的架構。無論那種，都需要安全靈活的身份認證技術。

一般來講，分布式系統的身份也都是需要一個中心節點管理的。比較常見的實現方式有token認證、AK/SK認證，basic認證。使用證書(PKI)技術保護某個平臺或分布式網絡。其中token認證一般用于短時間的會話鑒權。安全性不足，所以一般有效時間設定為1天。AK/SK認證適合一級認證管理，比較常見的是云計算產品或微信小程序，可以通過SDK使用accesskey的方式訪問。Basic認證就是用戶名密碼的認證方式，簡單粗暴不安全，一般企業級產品不會使用。

發明內容

本發明所提供的一種基于聯邦學習的網絡認證方法及裝置，具有以下有益效果：

(1)借助成熟的PKI技術，實現隱私計算網絡節點身份管理，平臺方可以管理計算節點，計算節點可以獨立管理各自的用戶身份。

(2)使用證書雙向認證，較token,AK/SK等認證方式更加安全，計算節點和平臺，以及應用之間都可以做到互認互信。

(3)證書管理和部署都有較為成熟的工具，主流網關(haproxy,nginx,k8s的ingress等)均支持證書雙向認證。無需單獨開發和配置。

為了實現上述目的，首先，本發明提供了一種針對服務器端的一種基于聯邦學習的網絡認證方法，包括：

根據在隱私計算平臺上預先建立的自簽名CA節點以及計算節點的證書請求，生成該計算節點的從屬CA證書；

根據所述從屬CA證書生成該計算節點在所述隱私計算平臺上的用戶證書；

根據所述從屬CA證書以及所述用戶證書注冊該計算節點的服務證書。

一實施例中，基于聯邦學習的網絡認證方法還包括：

在多個計算節點部署從屬CA服務。

一實施例中，基于聯邦學習的網絡認證方法還包括：

發送第一計算節點的數據訪問請求至第二計算節點；

轉發所述第二計算節點針對所述數據訪問請求的判定結果至所述第一計算節點。

一實施例中，所述根據在隱私計算平臺上預先建立的自簽名CA節點以及計算節點的證書請求，生成該計算節點的從屬CA證書，包括：

利用二級從屬CA方法，根據所述自簽名CA節點以及計算節點的證書請求生成所述從屬CA證書。

其次，本發明還提供一種基于聯邦學習的網絡認證裝置，該裝置包括：

從屬CA證書生成模塊，用于根據在隱私計算平臺上預先建立的自簽名CA節點以及計算節點的證書請求，生成該計算節點的從屬CA證書；