專(zhuān)利名稱(chēng):一種多元實(shí)體身份憑證信息存儲(chǔ)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全中的身份標(biāo)識(shí)領(lǐng)域,具體涉及一種多元實(shí)體身份憑證信息存儲(chǔ)方法。
背景技術(shù):
隨著云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)的興起,諸如基于X. 509目錄服務(wù)的PKI、基于Kerberos架構(gòu)的CAS等傳統(tǒng)信息化身份管理系統(tǒng)在實(shí)體管理規(guī)模、組織結(jié)構(gòu)復(fù)雜度、用戶(hù)業(yè)務(wù)模式演化等方面與現(xiàn)實(shí)安全需求間日益產(chǎn)生差距。近年來(lái),一些科研機(jī)構(gòu)和組織針對(duì)上述信息化發(fā)展趨勢(shì),提出了相關(guān)解決方案。OpenID是由LiveJournal組織提出的一個(gè)去中心化的網(wǎng)上身份認(rèn)證系統(tǒng),它通過(guò)統(tǒng)一資源標(biāo)志符(URI)對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行唯一標(biāo)識(shí)和身份驗(yàn)證,它的核心思想是將身份管理、驗(yàn)證鑒別功能和具體應(yīng)用業(yè)務(wù)剝離并托管給專(zhuān)業(yè)的身份服務(wù)提供商,從而實(shí)現(xiàn)用戶(hù)可選擇的身份登錄方案。微軟從Vista操作系統(tǒng)開(kāi)始, 引入了 CardSpace標(biāo)識(shí)元系統(tǒng),為不同的數(shù)字身份系統(tǒng)提供一個(gè)統(tǒng)一的抽象表示層,從而在用戶(hù)體驗(yàn)層面屏蔽了不同的安全令牌和標(biāo)識(shí)信息結(jié)構(gòu)。上述系統(tǒng)雖然部分體現(xiàn)了以用戶(hù)為中心的身份管理模式,但是針對(duì)人、機(jī)、物融合的物理信息網(wǎng)絡(luò)場(chǎng)景缺乏技術(shù)支撐,沒(méi)有考慮物理設(shè)備標(biāo)識(shí)、信息對(duì)象標(biāo)識(shí)、虛擬對(duì)象標(biāo)識(shí)等多元實(shí)體身份的管理架構(gòu),在標(biāo)識(shí)管理涉及的信息存儲(chǔ)方面缺乏解決方案。
發(fā)明內(nèi)容
本發(fā)明旨在針對(duì)人、機(jī)、物融合的新一代網(wǎng)絡(luò)場(chǎng)景所面臨的身份管理技術(shù)挑戰(zhàn),提供一種多元實(shí)體身份憑證信息存儲(chǔ)方法。依據(jù)云計(jì)算提供不同層次的服務(wù)模式,該方法涉及的實(shí)體類(lèi)型包括用戶(hù)實(shí)體、終端設(shè)備實(shí)體、虛擬對(duì)象實(shí)體(軟件實(shí)體)和物化實(shí)體。簡(jiǎn)要介紹本方案的基本思想本發(fā)明吸取了已有解決方案的優(yōu)點(diǎn),具體來(lái)說(shuō),本發(fā)明技術(shù)方案包括下列幾個(gè)方面方面一定義基于統(tǒng)一資源標(biāo)識(shí)URI的多兀實(shí)體身份標(biāo)識(shí)的統(tǒng)一描述,該定義為多元實(shí)體在各自標(biāo)識(shí)體系下完成到統(tǒng)一標(biāo)識(shí)的映射,為多元實(shí)體統(tǒng)一標(biāo)識(shí)的注冊(cè)以及基于一致性哈希環(huán)多元實(shí)體身份標(biāo)識(shí)信息的存儲(chǔ)索引的實(shí)現(xiàn)奠定了堅(jiān)實(shí)的基礎(chǔ)。方面二 針對(duì)云計(jì)算場(chǎng)景下的多元實(shí)體(用戶(hù)實(shí)體、終端設(shè)備實(shí)體、虛擬對(duì)象實(shí)體和物化實(shí)體),分別給出其在統(tǒng)一身份標(biāo)識(shí)下注冊(cè)流程的實(shí)施方法。該階段任務(wù)的實(shí)現(xiàn)了云計(jì)算場(chǎng)景下多元實(shí)體的統(tǒng)一描述及其多元實(shí)體間相互服務(wù)提供了很大的便利。方面三由于云計(jì)算中多元實(shí)體的統(tǒng)一標(biāo)識(shí)信息的海量性以及業(yè)務(wù)應(yīng)用的需要,本發(fā)明利用了一種快速存儲(chǔ)檢索的方法——一致性哈希環(huán)CRH,建立多元實(shí)體統(tǒng)一標(biāo)識(shí)信息分布式存儲(chǔ)的索引結(jié)構(gòu),實(shí)現(xiàn)多元實(shí)體標(biāo)識(shí)的高效存儲(chǔ)查詢(xún)。本發(fā)明與現(xiàn)有技術(shù)相比,具有以下顯著優(yōu)點(diǎn)本發(fā)明存儲(chǔ)方便、查詢(xún)效率高。由于本發(fā)明采用了基于一致性哈希技術(shù)的存儲(chǔ)索引方法,使其多元實(shí)體的統(tǒng)一身份標(biāo)識(shí)的存儲(chǔ)檢索依賴(lài)于高效簡(jiǎn)易的一致性哈希環(huán)CHR,達(dá)到一種理想的分布式存儲(chǔ)查詢(xún)的目的,因此存儲(chǔ)更容易、查詢(xún)效率更高。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的說(shuō)明。圖I為本發(fā)明實(shí)施總體框架;圖2為基于URI的多元實(shí)體身份標(biāo)識(shí)統(tǒng)一的結(jié)構(gòu)示意圖;圖3為虛擬對(duì)象實(shí)體映射表;圖4為EPC-96編碼體系不意圖;圖5為物化實(shí)體映射表。 圖6為圖I中統(tǒng)一多元實(shí)體身份憑證的存儲(chǔ)索引結(jié)構(gòu)映射示意圖;圖7為圖2存儲(chǔ)索引結(jié)構(gòu)數(shù)值區(qū)間映射示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、優(yōu)點(diǎn)以及技術(shù)方案更加清楚明白,以下通過(guò)具體實(shí)施,并結(jié)合附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。對(duì)于圖I從整體上描述了該方案實(shí)施的總體框架,主要包括下面五部分的內(nèi)容。一、基于URI的多元實(shí)體身份標(biāo)識(shí)統(tǒng)一描述基于統(tǒng)一資源標(biāo)識(shí)符URI的分層結(jié)構(gòu)和標(biāo)識(shí)唯一特性,對(duì)用戶(hù)實(shí)體、終端設(shè)備實(shí)體、虛擬對(duì)象實(shí)體等多元實(shí)體類(lèi)型進(jìn)行編碼,具體編碼方案如下URI標(biāo)識(shí)體系的結(jié)構(gòu)主要由管理域標(biāo)識(shí)、類(lèi)型標(biāo)識(shí)、實(shí)體標(biāo)識(shí)等組成,管理域標(biāo)識(shí)表示為Domain ID,類(lèi)型標(biāo)識(shí)表示為Class ID,實(shí)體標(biāo)識(shí)表示為Entity ID,完整的標(biāo)識(shí)結(jié)構(gòu)為URI //Domain ID/Class ID/Entity ID,其中Domain ID可以根據(jù)管理域的內(nèi)部組織結(jié)構(gòu)進(jìn)行細(xì)化分層,例如Domain A/Organization B/Group C/ ;類(lèi)型標(biāo)識(shí)在同一父類(lèi)型下可以劃分若干子類(lèi)型,例如Class A/Subclass B/ ;實(shí)體標(biāo)識(shí)Entity ID編碼結(jié)構(gòu)在不與Domain ID所蘊(yùn)含語(yǔ)義沖突的前提下,可采用自定義的編碼規(guī)則進(jìn)行描述,例如字符串(組)和數(shù)字串(組)等,形如圖2。上述三種類(lèi)型標(biāo)識(shí)的組合為后繼該方案中其他方法的實(shí)施奠定了基礎(chǔ)。下面是基于URI組合標(biāo)記分別描述用戶(hù)實(shí)體、終端設(shè)備實(shí)體的舉例說(shuō)明。例如針對(duì)用戶(hù)實(shí)體“中國(guó)科學(xué)院信息工程研究所LOIS實(shí)驗(yàn)室認(rèn)證授權(quán)工作組的員工Jame,,的身份標(biāo)識(shí)可表示為URI://id. cas. net/iie/lois/AAI/Jame ;針對(duì)15位IMEI編號(hào)為χχχχχχ-χχ-χχχχχχ-χ的移動(dòng)設(shè)備,若出廠商為Axx Group,產(chǎn)地為BxxCity,生產(chǎn)線為 CxxLine,則該實(shí)體標(biāo)識(shí)可表示為 URI ://Axx Group/Bxx City/Cxx Line/χχχχχχ-χχ-χχχχχχ-χ。二、多元實(shí)體注冊(cè)流程用戶(hù)實(shí)體、終端設(shè)備實(shí)體、虛擬對(duì)象實(shí)體和物化實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊(cè);在進(jìn)行基于URI統(tǒng)一標(biāo)識(shí)身份注冊(cè)前一般都已擁有在各自管理體系下的標(biāo)識(shí),因此在多元實(shí)體注冊(cè)URI標(biāo)記過(guò)程中,URI標(biāo)識(shí)服務(wù)提供者(URI-IdP)需要驗(yàn)證多元實(shí)體的有效身份憑證。( I )針對(duì)具有X. 509證書(shū)標(biāo)識(shí)的用戶(hù)實(shí)體,注冊(cè)流程如下
①URI-IdP導(dǎo)入為用戶(hù)實(shí)體頒發(fā)的證書(shū)CA或CA信任鏈(為用戶(hù)實(shí)體E頒發(fā)證書(shū)的認(rèn)證中心CA的根證書(shū)及證書(shū)信任鏈),生成信任庫(kù)Trust-Store ;②針對(duì)注冊(cè)實(shí)體E,URI-IdP確定其Domain ID和Class ID ;在URI-IdP端確定統(tǒng)一的 Domain ID 和 Class ID。③實(shí)體E的公鑰證書(shū)為Certpub,私鑰為KeypH,用戶(hù)實(shí)體所在注冊(cè)端生成隨機(jī)數(shù)nonce,用私鑰Keylffi對(duì)nonce簽名,簽名和E的公鑰證書(shū)Certpub通過(guò)安全通道傳遞至URI-IdP ;用戶(hù)實(shí)體所在注冊(cè)端與URI-IdP進(jìn)行交互時(shí)建立該安全通道,一般通過(guò)SSL(Https)協(xié)議建立。用戶(hù)實(shí)體注冊(cè)時(shí),只提供簽名和公鑰證書(shū),而私鑰是只有注冊(cè)的用戶(hù)實(shí)體知道,不需要提供。④URI-IdP用Certpub驗(yàn)證簽名,并將nonce值加I后用公鑰Certpub加密返回;⑤注冊(cè)端在實(shí)體E的介入下(即實(shí)體E輸入所需信息)對(duì)返回信息解密,并驗(yàn)證nonce的值,若驗(yàn)證通過(guò),則由實(shí)體E(或其他方式)確定其Entity ID ;實(shí)體E可根據(jù)URI編·碼規(guī)范自己確定Entity ID,或者采用其他方式,比如利用第三方根據(jù)URI編碼規(guī)范確定。⑥在實(shí)體E的自愿前提下,通過(guò)安全信道提供給URI-IdP若干屬性信息,URI-IdP為具體的屬性類(lèi)型定級(jí),級(jí)別越高的屬性涉及的實(shí)體信息越精細(xì),URI-IdP日后為其提供的潛在服務(wù)質(zhì)量也越高(可根據(jù)具體應(yīng)用場(chǎng)景,強(qiáng)制用戶(hù)提供某些屬性信息);⑦URI-IdP將實(shí)體E的URI標(biāo)識(shí)和公鑰證書(shū)Certpub以及屬性集綁定,生成實(shí)體的身份憑證并根據(jù)第三部分介紹的方案進(jìn)行后臺(tái)存儲(chǔ)。(II)以iphone、android手機(jī)為代表的終端設(shè)備,通常將設(shè)備唯一標(biāo)識(shí)符固化到硬器件中(例如頂EI,MEID,ESN, IMSI等),針對(duì)這類(lèi)實(shí)體類(lèi)型,URI注冊(cè)流程如下(以MEI為例)①注冊(cè)端通過(guò)安裝在終端設(shè)備的可信軟件代理agent獲取設(shè)備的MEI標(biāo)識(shí)符以及基礎(chǔ)的系統(tǒng)信息(包括設(shè)備廠商標(biāo)識(shí)、系統(tǒng)版本號(hào)及其他連帶信息);②注冊(cè)端通過(guò)agent通過(guò)安全信道將上述信息傳遞至URI-IdP ;終端設(shè)備實(shí)體E注冊(cè)端與URI-IdP進(jìn)行交互時(shí)建立該安全通道;③URI-IdP通過(guò)具體設(shè)備信息確定其Domain ID和Class ID,由agent確定其Entity ID ;④URI-IdP針對(duì)終端設(shè)備提供附加屬性選項(xiàng),在用戶(hù)的介入下,可以將更多用戶(hù)的屬性信息和終端設(shè)備標(biāo)識(shí)符綁定; ⑤URI-IdP將終端設(shè)備實(shí)體E的URI標(biāo)識(shí)和MEI標(biāo)識(shí)符以及終端用戶(hù)屬性集綁定,生成實(shí)體的身份憑證并根據(jù)第三部分介紹的方案進(jìn)行后臺(tái)存儲(chǔ)。(III)虛擬對(duì)象實(shí)體注冊(cè)流程如下以Android、Symbian手機(jī)為代表終端設(shè)備的安裝包(APK、Sis),針對(duì)該類(lèi)實(shí)體,URI注冊(cè)流程如下(以APK為例)①URI-IdP導(dǎo)入可信任的軟件供應(yīng)商CA或CA信任鏈(為虛擬對(duì)象實(shí)體APK頒發(fā)證書(shū)的認(rèn)證中心CA的根證書(shū)及證書(shū)信任鏈,即虛擬對(duì)象實(shí)體的軟件供應(yīng)商的可信根證書(shū)或證書(shū)信任鏈),生成信任庫(kù)Trust-Store ;②注冊(cè)端通過(guò)可信軟件代理agent獲取虛擬對(duì)象實(shí)體E (APK安裝包)的相關(guān)信息(包括軟件供應(yīng)商的OID (供應(yīng)商唯一標(biāo)識(shí))和公鑰PK、APK的哈希摘要等),創(chuàng)建與維護(hù)一張?zhí)摂M對(duì)象實(shí)體(軟件實(shí)體)映射表,為被注冊(cè)虛擬對(duì)象實(shí)體登記。該映射表由四部分屬性字段組成,分別為Domain ID、OID、Hash (供應(yīng)商加密軟件的哈希摘要)和Alias (別名,指存儲(chǔ)軟件的名稱(chēng)),保證DomainID與OID —致性及(Domain ID Alias)組合的唯一1丨生,形如圖3 ;③agent取出上述映射表中將被注冊(cè)虛擬對(duì)象實(shí)體的登記記錄及相關(guān)信息(供應(yīng)商公鑰PK、APK)通過(guò)安全信道遞至URI-IdP ;④URI-IdP使用供應(yīng)商公鑰PK驗(yàn)證APK的可信任性,驗(yàn)證通過(guò)后,URI-IdP依據(jù)映射表記錄,確定其Domain ID和Class ID,Domain ID取映射表Domain ID屬性值,ClassID取映射表Alias屬性值;⑤虛擬對(duì)象實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商公鑰PK以及APK的哈希摘要綁定,生成實(shí)體的身份憑證并根據(jù)第三部分介紹方案進(jìn)行后臺(tái)存儲(chǔ)。
( IV)物化實(shí)體注冊(cè)流程如下以物聯(lián)網(wǎng)中嵌入RFID電子標(biāo)簽為代表的設(shè)備,針對(duì)這類(lèi)實(shí)體,URI注冊(cè)流程如下(以RFID中典型代表EPCGlobal體系中的EPC-96電子標(biāo)簽設(shè)備為例)①URI-IdP導(dǎo)入可信任的RFID設(shè)備供應(yīng)商CA或CA信任鏈(為物化實(shí)體RFID設(shè)備頒發(fā)證書(shū)的認(rèn)證中心CA的根證書(shū)及證書(shū)信任鏈,即物化實(shí)體供應(yīng)商的可信根證書(shū)或證書(shū)信任鏈),生成信任庫(kù)Trust-Store ;②注冊(cè)端通過(guò)可信任的RFID代理agent獲取電子標(biāo)簽設(shè)備中存儲(chǔ)的被識(shí)別實(shí)體的相關(guān)信息(這里指RFID電子標(biāo)簽的控制模塊存儲(chǔ)器中存儲(chǔ)的標(biāo)簽的所有信息,如EPC-96編碼信息,形如圖4),創(chuàng)建與維護(hù)一張物化實(shí)體(RFID電子標(biāo)簽設(shè)備)映射表,為被注冊(cè)物化實(shí)體登記。該映射表由五個(gè)屬性字段組成,分別為實(shí)體代碼Entity ID (EPC編碼體系標(biāo)頭與序列號(hào)連接字符串)、Domain ID、廠商識(shí)別代碼、Alias (指存儲(chǔ)物化設(shè)備類(lèi)型名)和對(duì)象分類(lèi)代碼,保證實(shí)體代碼Entity ID唯一'丨生,Domain ID和廠商識(shí)別代碼、Alias (物化設(shè)備類(lèi)型名)和對(duì)象分類(lèi)代碼的一致性,形如圖5。③agent取出上述映射表中將被注冊(cè)物化實(shí)體的登記記錄及RFID設(shè)備供應(yīng)商公鑰PK通過(guò)安全信道遞至URI-IdP ;④URI-IdP使用供應(yīng)商公鑰PK驗(yàn)證RFID設(shè)備的可信任性,驗(yàn)證通過(guò)后,URI-IdP依據(jù)映射表記錄,確定其Domain ID、Class ID和EntityID, Domain ID取映射表Domain ID屬性值,Class ID取映射表Alias屬性值,Entity ID取映射表是實(shí)體代碼屬性值;⑤URI-IaP將物化實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商公鑰PK以及Domain ID、廠商識(shí)別代碼、Alias和對(duì)象分類(lèi)代碼綁定,生成實(shí)體的身份憑證并根據(jù)第三部分介紹方案進(jìn)行后臺(tái)存儲(chǔ)。三、基于一致性哈希技術(shù)的多元實(shí)體身份憑證存儲(chǔ)索引建立方法多元實(shí)體的身份憑證信息是海量的,同時(shí)需要配合業(yè)務(wù)系統(tǒng)滿(mǎn)足對(duì)身份信息的快速檢索,基于這種需求,本發(fā)明利用一致性哈希環(huán)建立針對(duì)標(biāo)識(shí)信息分布式存儲(chǔ)的索引結(jié)構(gòu)。具體過(guò)程如下①預(yù)先設(shè)定(Γ232為一致性哈希環(huán)CHR的數(shù)值區(qū)間,分布式存儲(chǔ)節(jié)點(diǎn)K的標(biāo)識(shí)表示為IdentificationK,基于哈希算法Hashltl (具體實(shí)現(xiàn)可采用SHA-1系列算法、MD5算法等)計(jì)算HashM(IdentificationK),從而確定節(jié)點(diǎn)K在CHR中的位置,形如圖6 ;
②設(shè)定實(shí)體E 的 URI 表示為 URI://AAA/BBB/CCC/DDD,計(jì)算 Ii1=Iiashni(AAA),h2=hashm(AAA/BBB), h3=hashm(AAA/BBB/CCC), h4=hashm (AAA/BBB/CCC/DDD),K=K h2 Ih3I Ih4 ;通過(guò)這個(gè)結(jié)構(gòu)計(jì)算出的哈希值來(lái)確定實(shí)體信息在一致性哈希環(huán)CHR中存儲(chǔ)位置,Ii1值首先確定存儲(chǔ)節(jié)點(diǎn),h2,h3,h4值確定在該節(jié)點(diǎn)的存儲(chǔ)位置,實(shí)現(xiàn)一種目錄結(jié)構(gòu)樹(shù)的存儲(chǔ);③將數(shù)值區(qū)間劃分為32個(gè)子區(qū)間,每一子區(qū)間對(duì)應(yīng)一個(gè)節(jié)點(diǎn),設(shè)哈希環(huán)CHR分布32個(gè)存儲(chǔ)控制節(jié)點(diǎn),為CHR建立子區(qū)間到存儲(chǔ)節(jié)點(diǎn)的映射列表,形如圖7,若實(shí)體E的URI標(biāo)識(shí)按照步驟②的方法計(jì)算哈希h e [O, 227-1],則實(shí)體E的身份憑證由節(jié)點(diǎn)Node1負(fù)責(zé)存儲(chǔ)或管理;④若URI //AAA對(duì)應(yīng)實(shí)體E的相關(guān)信息存儲(chǔ)在節(jié)點(diǎn)K上,則其他以URI //AAA開(kāi)頭的實(shí)體信息也都存儲(chǔ)在節(jié)點(diǎn)K上(或通過(guò)節(jié)點(diǎn)K控制管理),例如URI: //AAA/BBB.URI //AAA/BBB/CCC、URI: //AAA/BBB/CCC/DDD對(duì)應(yīng)的實(shí)體信息都存儲(chǔ)在節(jié)點(diǎn)K上(或通過(guò)節(jié)點(diǎn)K控 制);⑤節(jié)點(diǎn)K對(duì)應(yīng)hE為Ill開(kāi)頭的所有實(shí)體信息,若經(jīng)過(guò)統(tǒng)計(jì)hE的結(jié)構(gòu)相對(duì)簡(jiǎn)單,即下層路徑分支少于某一閾值的結(jié)構(gòu),則節(jié)點(diǎn)K對(duì)應(yīng)的物理主機(jī)負(fù)責(zé)實(shí)現(xiàn)實(shí)體信息的本地存儲(chǔ);若經(jīng)過(guò)統(tǒng)計(jì)hE的結(jié)構(gòu)相對(duì)復(fù)雜,即下層路徑分支較多,則節(jié)點(diǎn)K對(duì)應(yīng)的物理主機(jī)可以也采用一致性哈希環(huán)對(duì)下一級(jí)路徑不同的實(shí)體信息進(jìn)行分布式定位存儲(chǔ)。⑥出于信息冗余考慮,若實(shí)體E的信息定位在節(jié)點(diǎn)Nodei,則相關(guān)信息可以在節(jié)點(diǎn)Nodei+1和Nodei+2上進(jìn)行備份存儲(chǔ),保證每個(gè)實(shí)體信息在CHR有至少2個(gè)備份。
權(quán)利要求
1.一種多元實(shí)體身份憑證信息存儲(chǔ)方法,其步驟為 1)采用統(tǒng)一標(biāo)識(shí)結(jié)構(gòu)URI對(duì)多元實(shí)體進(jìn)行編碼;其中,標(biāo)識(shí)結(jié)構(gòu)URI包括管理域標(biāo)識(shí)Domain ID、類(lèi)型標(biāo)識(shí) Class ID、實(shí)體標(biāo)識(shí) Entity ID; 2)將步驟I)統(tǒng)一描述后的多元實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊(cè),得到實(shí)體的身份憑證并存儲(chǔ),即 21)預(yù)設(shè)一致性哈希環(huán)CHR的數(shù)值區(qū)間,分布式存儲(chǔ)節(jié)點(diǎn)K的標(biāo)識(shí)表示為Identif icationK,基于哈希算法 Hashltl 計(jì)算 HashM(Identif icationK),確定節(jié)點(diǎn) K 在 CHR 中的位置; 22)設(shè)一實(shí)體E 的 URI 表示為 URI: //AAA/BBB/CCC/DDD,計(jì)算 Ii1=Iiashni(AAA),h2=hashm(AAA/BBB), h3=hashm(AAA/BBB/CCC), h4=hashm (AAA/BBB/CCC/DDD),hE=h」|h2| |h3| |h4 ;其中,管理域標(biāo)識(shí)Domain ID取值為AM、類(lèi)型標(biāo)識(shí)Class ID取值為BBB、實(shí)體標(biāo)識(shí)Entity ID取值為CCC/DDD ; 23)將數(shù)值區(qū)間劃分為N個(gè)子區(qū)間,每一子區(qū)間對(duì)應(yīng)一個(gè)存儲(chǔ)節(jié)點(diǎn),為CHR建立子區(qū)間到存儲(chǔ)節(jié)點(diǎn)的映射列表;若實(shí)體E的URI標(biāo)識(shí)按照步驟22)的方法計(jì)算實(shí)體E的身份憑證對(duì)應(yīng)的存儲(chǔ)節(jié)點(diǎn); 24)若URI://AAA對(duì)應(yīng)實(shí)體E的身份憑證存儲(chǔ)在節(jié)點(diǎn)K上,則其他以URI: //AAA開(kāi)頭的實(shí)體信息也都存儲(chǔ)在節(jié)點(diǎn)K上; 25)統(tǒng)計(jì)hE的結(jié)構(gòu)中,如果其下層路徑分支少于設(shè)定閾值,則節(jié)點(diǎn)K對(duì)應(yīng)的物理主機(jī)負(fù)責(zé)實(shí)現(xiàn)實(shí)體信息的本地存儲(chǔ);否則節(jié)點(diǎn)K對(duì)應(yīng)的物理主機(jī)采用一致性哈希環(huán)對(duì)下一級(jí)路徑不同的實(shí)體信息進(jìn)行分布式定位存儲(chǔ)。
2.如權(quán)利要求I所述的方法,其特征在于所述表示結(jié)構(gòu)URI為URI://DomainID/ClassID/Entity ID。
3.如權(quán)利要求I所述的方法,其特征在于多元實(shí)體包括用戶(hù)實(shí)體、終端設(shè)備實(shí)體、虛擬對(duì)象實(shí)體和物化實(shí)體。
4.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為用戶(hù)實(shí)體時(shí),所述實(shí)體注冊(cè)流程為 41)URI-IdP導(dǎo)入為用戶(hù)實(shí)體E頒發(fā)的證書(shū)CA或CA信任鏈,生成信任庫(kù)Trust-Store; 42)對(duì)注冊(cè)實(shí)體E,URI-IdP確定其DomainID和Class ID,即在URI-IdP端確定統(tǒng)一的 Domain ID 和 Class ID ; 43)實(shí)體E的公鑰證書(shū)為Certpub,私鑰為KeypH;實(shí)體E的注冊(cè)端生成隨機(jī)數(shù)nonce,用私鑰Key#對(duì)nonce簽名,簽名和實(shí)體E的公鑰證書(shū)Certpub傳遞至URI-IdP ; 44)URI-IdP用Cerypub驗(yàn)證簽名,并將nonce值加I后用公鑰Certpub加密返回給注冊(cè)端; 45)注冊(cè)端對(duì)返回信息解密,并驗(yàn)證nonce的值,若驗(yàn)證通過(guò),則確定其EntityID ; 46)注冊(cè)端將實(shí)體E提供的屬性信息發(fā)送給URI-IdP,URI-IdP為所提供的屬性類(lèi)型定級(jí); 47)URI-IdP將實(shí)體E的URI標(biāo)識(shí)和公鑰證書(shū)Certpub以及屬性集綁定,生成實(shí)體的身份憑證。
5.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為終端設(shè)備實(shí)體時(shí),所述實(shí)體注冊(cè)流程為 51)注冊(cè)端通過(guò)安裝在終端設(shè)備實(shí)體E的可信軟件代理agent獲取終端設(shè)備實(shí)體E的IMEI標(biāo)識(shí)符以及系統(tǒng)信息; 52)注冊(cè)端將上述信息傳遞至URI-IdP; 53)URI-IdP根據(jù)終端設(shè)備實(shí)體E的信息確定其DomainID和Class ID,由agent確定其 Entity ID ; 54)URI-IdP將終端設(shè)備實(shí)體E的URI標(biāo)識(shí)和MEI標(biāo)識(shí)符以及終端設(shè)備實(shí)體E提供的屬性集綁定,生成實(shí)體E的身份憑證。
6.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為虛擬對(duì)象實(shí)體時(shí),所述實(shí)體注冊(cè)流程為 61)URI -1 dP導(dǎo)入為虛擬對(duì)象實(shí)體E頒發(fā)的證書(shū)CA或CA信任鏈,生成信任庫(kù)Trust-Store ; 62)注冊(cè)端通過(guò)虛擬對(duì)象實(shí)體E的可信軟件代理agent獲取虛擬對(duì)象實(shí)體E的相關(guān)信息,創(chuàng)建與維護(hù)一張?zhí)摂M對(duì)象實(shí)體映射表,登記注冊(cè)的虛擬對(duì)象實(shí)體;該虛擬對(duì)象實(shí)體映射表的屬性字段包括Domain ID、OID、Hash和Alias ; 63)agent取出虛擬對(duì)象實(shí)體映射表中注冊(cè)的虛擬對(duì)象實(shí)體的登記記錄及其相關(guān)信息遞至 URI-IdP ; 64)URI-IdP利用所提取的相關(guān)信息驗(yàn)證虛擬對(duì)象實(shí)體E的可信任性,驗(yàn)證通過(guò)后,URI-IdP依據(jù)虛擬對(duì)象實(shí)體映射表記錄,確定其Domain ID和Class ID, Domain ID取映射表Domain ID屬性值,Class ID取映射表Alias屬性值; 65)URI-IdP將虛擬對(duì)象實(shí)體E的URI標(biāo)識(shí)及實(shí)體E相關(guān)信息綁定,生成實(shí)體E的身份憑證。
7.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為物化實(shí)體時(shí),所述實(shí)體注冊(cè)流程為 71)URI-IdP導(dǎo)入為物化實(shí)體E頒發(fā)的證書(shū)CA或CA信任鏈,生成信任庫(kù)Trust-Store; 72)注冊(cè)端通過(guò)物化實(shí)體E的RFID代理agent獲取物化實(shí)體E中存儲(chǔ)的被識(shí)別實(shí)體的相關(guān)信息,并創(chuàng)建與維護(hù)一張物化實(shí)體映射表,登記注冊(cè)的物化實(shí)體;該物化實(shí)體映射表的屬性字段包括實(shí)體代碼Entity ID、管理域標(biāo)識(shí)Domain ID、廠商識(shí)別代碼、別名Alias和對(duì)象分類(lèi)代碼; 73)agent取出物化實(shí)體映射表中注冊(cè)的物化實(shí)體E的登記記錄及物化實(shí)體E供應(yīng)商PK 遞至 URI-IdP ; 74)URI-IdP使用供應(yīng)商PK驗(yàn)證物化實(shí)體E的可信任性,驗(yàn)證通過(guò)后,URI-IdP依據(jù)物化實(shí)體映射表記錄,確定其Domain ID、Class ID和Entity ID ;Domain ID取映射表DomainID屬性值,Class ID取映射表Alias屬性值,EntityID取映射表是實(shí)體代碼屬性值; 75)URI-IdP將物化實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商PK以及Domain ID、廠商識(shí)別代碼、Alias和對(duì)象分類(lèi)代碼綁定,生成實(shí)體E的身份憑證。
8.如權(quán)利要求I所述的方法,其特征在于若實(shí)體E的信息定位在節(jié)點(diǎn)Nodei,則實(shí)體E的相關(guān)信息在節(jié)點(diǎn)Nodei+1和Nodei+2上進(jìn)行備份存儲(chǔ),保證每個(gè)實(shí)體信息在CHR有至少2個(gè)備份。
9.如權(quán)利要求I所述的方法,其特征在于所述數(shù)值區(qū)間為(Γ2ν ;將數(shù)據(jù)區(qū)間等分為N個(gè)區(qū)間,N為大于I的整數(shù)。
全文摘要
本發(fā)明公開(kāi)了一種多元實(shí)體身份憑證信息存儲(chǔ)方法,本方法為1)采用統(tǒng)一標(biāo)識(shí)結(jié)構(gòu)URI對(duì)多元實(shí)體進(jìn)行編碼;2)將統(tǒng)一描述后的多元實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊(cè),得到實(shí)體的身份憑證并存儲(chǔ),即預(yù)設(shè)一致性哈希環(huán)CHR的數(shù)值區(qū)間,基于哈希算法確定節(jié)點(diǎn)K在CHR中的位置;設(shè)一實(shí)體E的URI表示為URI//AAA/BBB/CCC/DDD;將數(shù)值區(qū)間劃分為N個(gè)子區(qū)間,每一子區(qū)間對(duì)應(yīng)一個(gè)存儲(chǔ)節(jié)點(diǎn),為CHR建立子區(qū)間到存儲(chǔ)節(jié)點(diǎn)的映射列表;計(jì)算實(shí)體E的身份憑證對(duì)應(yīng)的存儲(chǔ)節(jié)點(diǎn);若URI://AAA對(duì)應(yīng)實(shí)體E的身份憑證存儲(chǔ)在節(jié)點(diǎn)K上,則其他以URI//AAA開(kāi)頭的實(shí)體信息也都存儲(chǔ)在節(jié)點(diǎn)K上。
文檔編號(hào)H04L9/32GK102916811SQ201210397880
公開(kāi)日2013年2月6日 申請(qǐng)日期2012年10月18日 優(yōu)先權(quán)日2012年10月18日
發(fā)明者王雅哲, 林東岱, 王瑜 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所