基于IOTA的PKI身份认证系统及方法技术方案

本发明专利技术提供了一种基于IOTA的PKI身份认证系统及方法。本发明专利技术基于IOTA网络的分片技术形成跨域身份认证系统的基础模型，跨域划分、识别方便，以及基于IOTA网络进行PKI数字证书的交易化处理，可以减轻因服务器被攻破而导致数字证书失效的问题，交易化处理可以保证数字证书最新状态的实时更新。因此，本发明专利技术利用IOTA网络的去中心化和数据不可篡改的良好安全特性，结合PKI系统产生标准通用数字证书的优势，可为海量数字证书服务器以及使用数字证书的用户身份认证，所述身份认证系统在速度、功能、安全性方面都有良好的提升。

【技术实现步骤摘要】
基于IOTA的PKI身份认证系统及方法
本专利技术属身份认证
，具体是涉及到一种基于IOTA的PKI身份认证系统及方法。
技术介绍
身份认证是信息时代构建信任的最基本方式，基于证书的公钥基础设施（PublicKeyInfrastructure，PKI）生成的数字证书实现身份认证是目前比较常用的一种方法。通过PKI技术，我们可以在不可信的互联网上使用公钥密码技术实现对用户及其公钥的绑定，从而达到对用户的身份认证，以及对发送信息的加密、完整性和不可否认等服务。在实际应用过程中，PKI技术对于web安全、安全电子邮件、虚拟专用网络等领域的支持是不可替代的，随着5G时代的来临，PKI技术将发挥其更大的作用。传统的PKI系统的构成如图1所示，其所有的信任起点来源于CA中心（CertificateAuthority，证书认证机构），各个PKI系统有各自的CA中心，这导致了两个问题的发生。一是单点失效问题，过分依赖于对CA中心（CertificateAuthority，证书认证机构）的信任，一旦CA中心受到攻击，整个PKI系统将面临崩溃；二是多本文档来自技高网...

【技术保护点】
1.一种基于IOTA的PKI身份认证系统，其特征在于，包括：至少一个IOTACA系统服务器、认证服务器和IOTA节点，所述IOTACA服务器中集成有PKI系统的服务模块和IOTA客户端模块，/n所述IOTACA系统服务器用于根据用户发送的数字证书申请信息，生成的数字证书，并将所述数字证书返回发送给所述用户，且在生成所述数字证书的时间点，所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点，/n所述认证服务器用于根据所述用户获得的数字证书提供所述用户的身份认证服务，/n在所述认证服务器接收到所述用户发送的所述数字证书后，向所述IOTA节点发送查询所...

【技术特征摘要】
1.一种基于IOTA的PKI身份认证系统，其特征在于，包括：至少一个IOTACA系统服务器、认证服务器和IOTA节点，所述IOTACA服务器中集成有PKI系统的服务模块和IOTA客户端模块，
所述IOTACA系统服务器用于根据用户发送的数字证书申请信息，生成的数字证书，并将所述数字证书返回发送给所述用户，且在生成所述数字证书的时间点，所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点，
所述认证服务器用于根据所述用户获得的数字证书提供所述用户的身份认证服务，
在所述认证服务器接收到所述用户发送的所述数字证书后，向所述IOTA节点发送查询所述数字证书的签名以及状态的请求，以通过所述IOTA节点查询所述数字证书签名及状态后接收所述IOTA节点返回的查询结果，并根据所述查询结果向所述用户返回身份认证结果。


2.根据权利要求1所述的基于IOTA的PKI身份认证系统，其特征在于，还包括数据库，所述IOTACA系统服务器获得所述用户及所述数字证书的信息通过所述数据库存储。


3.根据权利要求2所述的基于IOTA的PKI身份认证系统，其特征在于，所述IOTACA系统服务器还用于注销所述数字证书，并在注销所述数字证书注销时，向所述IOTA节点发送包含所述数字证书签名值和注销状态，以更新所述数字证书的签名值的最新状态，并将所述数字证书在IOTA节点中标记注销，
在所述数字证书注销后，所述数据库中与所述数字证书对应的所述用户的所有信息被删除。


4.根据权利要求1所述的基于IOTA的PKI身份认证系统，其特征在于，所述IOTACA系统服务器生成的所述数字证书的数据结构在X.509V3证书标准的基础上增加的构成部分包括：“使用者的域”、“跨域签发者”、“跨域签发者的域”以及“跨域CA签名”。


5.根据权利要求2所述的基于IOTA的PKI身份认证系统，其特征在于，包括多个所述IOTACA系统服务器，各个所述IOTACA系统服务器分别通过所述IOTA客户端模块与IOTA网络中的不同的IOTA子网络中的IOTA节点进行耦合绑定。


6.一种根据权利要求1所述的基于IOTA的PKI身份认证系统的认证方法，其特征在于，包括：
步骤11：用户向所述IOTACA系统服务器发送数字证书申请信息，
步骤12：所述IOTACA系统服务器根据所述用户发送的数字证书申请信息，生成的数字证书，并将所述数字证书返回发送给所述用户，且在生成所述数字证书的时间点，所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点，
步骤13：所述用户将获得的所述数字证书发送给所述认证服务器，以请求认证服务，
步骤14：所述认证服务器根据所述用户发送的所述数字证书后，向所述IOTA节点发送查询所述数字证书的签名以及状态的请求，
步骤15：所述IOTA节点查询所述数字证书签名及状态，并将查询的结果发送给所述认证服务器，
步骤16：所述认证服务器根据所述查询的结果向所述用户返回身份认证结果。


7.一种根据权利要求5所述的基于IOTA的PKI身份认证系统的跨域认证方法，其特征在于，包括：
步骤21：第一用户通过多个所述IOTACA系统服务器中的第一IOTACA系统服务器和与所述第一IOTACA系统...

【专利技术属性】
技术研发人员：付绍静，刘开放，张富成，范书珲，冯丹，徐明，赵文涛，王勇军，罗玉川，柳林，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南;43