本發(fā)明涉及數(shù)字證書管理，特別涉及一種多證書同步管理方法及系統(tǒng)。

背景技術(shù)：

1、在傳統(tǒng)的數(shù)字證書管理系統(tǒng)中，證書通常被集中存儲(chǔ)在一個(gè)或多個(gè)服務(wù)器上，供客戶端或服務(wù)器在需要時(shí)進(jìn)行訪問(wèn)和同步。然而，隨著云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)等新興技術(shù)的興起，數(shù)字證書的數(shù)量和種類急劇增加，對(duì)證書管理的要求也日益提高。傳統(tǒng)的證書管理方法逐漸暴露出效率低下、安全性不足等問(wèn)題，具體存在以下一些缺陷：

2、一、傳統(tǒng)證書管理系統(tǒng)往往采用基于角色的訪問(wèn)控制(rbac)或基于訪問(wèn)控制列表(acl)的方式，這些方式在面對(duì)大規(guī)模、多樣化的證書管理需求時(shí)顯得力不從心。它們無(wú)法根據(jù)證書的特性和使用場(chǎng)景提供細(xì)粒度的訪問(wèn)控制，導(dǎo)致訪問(wèn)權(quán)限管理過(guò)于粗放，容易引發(fā)安全風(fēng)險(xiǎn)。

3、二、傳統(tǒng)的證書加密方法往往依賴于單一的加密算法或密鑰，一旦加密算法被破解或密鑰泄露，整個(gè)證書管理系統(tǒng)將面臨嚴(yán)重的安全威脅。此外，傳統(tǒng)的加密方法往往沒(méi)有與證書的屬性和使用場(chǎng)景緊密結(jié)合，導(dǎo)致加密效果有限，無(wú)法有效抵御針對(duì)特定屬性的攻擊。

4、三、在分布式環(huán)境中，傳統(tǒng)證書管理系統(tǒng)往往需要通過(guò)復(fù)雜的同步機(jī)制來(lái)保持各個(gè)節(jié)點(diǎn)上證書的一致性。然而，這種同步機(jī)制往往存在延遲高、效率低等問(wèn)題，無(wú)法滿足實(shí)時(shí)性要求較高的應(yīng)用場(chǎng)景。

技術(shù)實(shí)現(xiàn)思路

1、基于此，本發(fā)明的目的是提出一種多證書同步管理方法及系統(tǒng)，以解決上述提到的問(wèn)題。

2、根據(jù)本發(fā)明提出的一種多證書同步管理方法，應(yīng)用于數(shù)字證書管理平臺(tái)，所述方法包括：

3、定義一組與數(shù)字證書相關(guān)的屬性；

4、為每個(gè)數(shù)字簽名服務(wù)器分配屬性；

5、當(dāng)有新的數(shù)字證書或待更新的數(shù)字證書時(shí)，使用abe算法對(duì)證書信息進(jìn)行加密，加密過(guò)程中，將數(shù)字證書信息與一組屬性進(jìn)行關(guān)聯(lián)；

6、當(dāng)所述數(shù)字簽名服務(wù)器發(fā)出訪問(wèn)或同步目標(biāo)數(shù)字證書的請(qǐng)求時(shí)，則獲取所述數(shù)字簽名服務(wù)器提供的屬性信息，并驗(yàn)證其屬性是否與所述目標(biāo)數(shù)字證書加密時(shí)所關(guān)聯(lián)的屬性匹配；

7、若匹配，則允許所述數(shù)字簽名服務(wù)器解密并獲取數(shù)字證書信息。

8、更進(jìn)一步的，所述為每個(gè)數(shù)字簽名服務(wù)器分配屬性，包括：

9、基于數(shù)字簽名服務(wù)器的身份、角色、權(quán)限或業(yè)務(wù)需求，為其分配一組初始屬性；

10、基于隨機(jī)森林構(gòu)建風(fēng)險(xiǎn)評(píng)估模型，并通過(guò)所述風(fēng)險(xiǎn)評(píng)估模型對(duì)數(shù)字簽名服務(wù)器的行為模式進(jìn)行實(shí)時(shí)分析，以實(shí)時(shí)預(yù)測(cè)潛在的安全風(fēng)險(xiǎn)，并輸出數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分；

11、根據(jù)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分的變化對(duì)數(shù)字簽名服務(wù)器的初始屬性進(jìn)行調(diào)整，得到最終屬性。

12、更進(jìn)一步的，所述通過(guò)所述風(fēng)險(xiǎn)評(píng)估模型對(duì)數(shù)字簽名服務(wù)器的行為模式進(jìn)行實(shí)時(shí)分析，以實(shí)時(shí)預(yù)測(cè)潛在的安全風(fēng)險(xiǎn)，并輸出數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分，包括：

13、獲取待預(yù)測(cè)的數(shù)字簽名服務(wù)器的行為數(shù)據(jù)；

14、從所述行為數(shù)據(jù)中提取關(guān)鍵特征，并輸入至風(fēng)險(xiǎn)評(píng)估模型的每棵決策樹中，所述關(guān)鍵特征包含一個(gè)或多個(gè)特征向量；

15、通過(guò)所述風(fēng)險(xiǎn)評(píng)估模型的每棵決策樹，按照其分裂規(guī)則，將數(shù)據(jù)樣本分配到不同的葉子節(jié)點(diǎn)中，其中，每個(gè)葉子節(jié)點(diǎn)都代表一個(gè)風(fēng)險(xiǎn)評(píng)分的預(yù)測(cè)值；

16、對(duì)所有決策樹的風(fēng)險(xiǎn)評(píng)分的預(yù)測(cè)值取平均值，得到最終預(yù)測(cè)結(jié)果，即數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分。

17、更進(jìn)一步的，所述通過(guò)所述風(fēng)險(xiǎn)評(píng)估模型的每棵決策樹，按照其分裂規(guī)則，將數(shù)據(jù)樣本分配到不同的葉子節(jié)點(diǎn)中，其中，每個(gè)葉子節(jié)點(diǎn)都代表一個(gè)風(fēng)險(xiǎn)評(píng)分的預(yù)測(cè)值，包括：

18、對(duì)于每棵決策樹，從根節(jié)點(diǎn)開(kāi)始，根據(jù)相應(yīng)節(jié)點(diǎn)上使用的特征和分裂規(guī)則，將輸入的特征數(shù)據(jù)分配到相應(yīng)的子節(jié)點(diǎn)；

19、將被分配到的子節(jié)點(diǎn)作為新的當(dāng)前節(jié)點(diǎn)；

20、根據(jù)當(dāng)前節(jié)點(diǎn)上使用的特征和分裂規(guī)則，將特征數(shù)據(jù)分配到下一個(gè)子節(jié)點(diǎn)，直到達(dá)到葉子節(jié)點(diǎn)為止；

21、當(dāng)特征數(shù)據(jù)被分配到葉子節(jié)點(diǎn)時(shí)，將相應(yīng)葉子節(jié)點(diǎn)所代表的風(fēng)險(xiǎn)評(píng)分預(yù)測(cè)值作為當(dāng)前決策樹的風(fēng)險(xiǎn)評(píng)分的預(yù)測(cè)結(jié)果。

22、更進(jìn)一步的，所述從根節(jié)點(diǎn)開(kāi)始，根據(jù)相應(yīng)節(jié)點(diǎn)上使用的特征和分裂規(guī)則，將輸入的特征數(shù)據(jù)分配到相應(yīng)的子節(jié)點(diǎn)，包括：

23、從根節(jié)點(diǎn)開(kāi)始，根據(jù)當(dāng)前節(jié)點(diǎn)上使用的分裂規(guī)則，選擇一個(gè)特征作為分裂特征；

24、對(duì)于選定的分裂特征，計(jì)算一個(gè)分裂閾值；

25、對(duì)于輸入的特征數(shù)據(jù)，將其在選定分裂特征上的值與分裂閾值進(jìn)行對(duì)比；

26、若小于或等于分裂閾值，則將特征數(shù)據(jù)分配到左子節(jié)點(diǎn)；

27、若大于分裂閾值，則將特征數(shù)據(jù)分配到右子節(jié)點(diǎn)。

28、更進(jìn)一步的，所述根據(jù)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分的變化對(duì)數(shù)字簽名服務(wù)器的初始屬性進(jìn)行調(diào)整，得到最終屬性，包括：

29、當(dāng)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分上升至第一預(yù)設(shè)閾值與第二預(yù)設(shè)閾值之間時(shí)，則將數(shù)字簽名服務(wù)器的安全等級(jí)從高安全等級(jí)調(diào)整為中安全等級(jí)，并相應(yīng)降低其部分敏感屬性的級(jí)別；

30、當(dāng)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分繼續(xù)上升，且超過(guò)第二預(yù)設(shè)閾值時(shí)，則將數(shù)字簽名服務(wù)器的安全等級(jí)從中安全等級(jí)調(diào)整為低安全等級(jí)，并移除其所有或特定的敏感屬性的級(jí)別。

31、更進(jìn)一步的，所述根據(jù)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分的變化對(duì)數(shù)字簽名服務(wù)器的初始屬性進(jìn)行調(diào)整，得到最終屬性，包括：

32、當(dāng)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分下降至第一預(yù)設(shè)閾值與第二預(yù)設(shè)閾值之間時(shí)，則將數(shù)字簽名服務(wù)器的安全等級(jí)從低安全等級(jí)調(diào)整為中安全等級(jí)，并提升其部分敏感屬性的級(jí)別；

33、當(dāng)數(shù)字簽名服務(wù)器的風(fēng)險(xiǎn)評(píng)分持續(xù)下降，且低于第一預(yù)設(shè)閾值時(shí)，則將數(shù)字簽名服務(wù)器的安全等級(jí)從中安全等級(jí)調(diào)整為高安全等級(jí)，并全面恢復(fù)其敏感屬性的級(jí)別，以增加其訪問(wèn)權(quán)限。

34、更進(jìn)一步的，所述驗(yàn)證其屬性是否與所述目標(biāo)數(shù)字證書加密時(shí)所關(guān)聯(lián)的屬性匹配，包括：

35、構(gòu)建屬性驗(yàn)證模型，通過(guò)所述屬性驗(yàn)證模型驗(yàn)證數(shù)字簽名服務(wù)器的屬性與數(shù)字證書加密時(shí)所關(guān)聯(lián)的屬性是否匹配。

36、更進(jìn)一步的，所述通過(guò)所述屬性驗(yàn)證模型驗(yàn)證數(shù)字簽名服務(wù)器的屬性與數(shù)字證書加密時(shí)所關(guān)聯(lián)的屬性是否匹配，包括：

37、從數(shù)字證書加密時(shí)關(guān)聯(lián)的屬性信息中提取第一屬性特征；

38、從數(shù)字簽名服務(wù)器的屬性信息中提取第二屬性特征；

39、將所述第一屬性特征和第二屬性特征組合成目標(biāo)特征向量；

40、將所述目標(biāo)特征向量輸入所述屬性驗(yàn)證模型，經(jīng)過(guò)隱藏層的計(jì)算，最終到達(dá)輸出層，輸出兩者屬性匹配的概率；

41、若屬性匹配的概率大于預(yù)設(shè)概率閾值，則判定為匹配；否則，判定為不匹配。

42、本發(fā)明還提出一種多證書同步管理系統(tǒng)，用于實(shí)現(xiàn)上述的多證書同步管理方法，所述系統(tǒng)包括：

43、屬性定義模塊：用于定義一組與數(shù)字證書相關(guān)的屬性；

44、屬性分配模塊：用于為每個(gè)數(shù)字簽名服務(wù)器分配屬性；

45、加密關(guān)聯(lián)模塊：用于當(dāng)有新的數(shù)字證書或待更新的數(shù)字證書時(shí)，使用abe算法對(duì)證書信息進(jìn)行加密，加密過(guò)程中，將數(shù)字證書信息與一組屬性進(jìn)行關(guān)聯(lián)；

46、屬性匹配模塊：用于當(dāng)所述數(shù)字簽名服務(wù)器發(fā)出訪問(wèn)或同步目標(biāo)數(shù)字證書的請(qǐng)求時(shí)，則獲取所述數(shù)字簽名服務(wù)器提供的屬性信息，并驗(yàn)證其屬性是否與所述目標(biāo)數(shù)字證書加密時(shí)所關(guān)聯(lián)的屬性匹配；

47、信息獲取模塊：用于若匹配，則允許所述數(shù)字簽名服務(wù)器解密并獲取數(shù)字證書信息。

48、綜上，本發(fā)明的多證書同步管理方法，該方法提供了基于屬性的細(xì)粒度訪問(wèn)控制機(jī)制，通過(guò)為數(shù)字簽名服務(wù)器分配特定的屬性，并與數(shù)字證書加密時(shí)關(guān)聯(lián)的屬性進(jìn)行精確匹配，從而確保了只有滿足特定屬性的服務(wù)器才能訪問(wèn)或同步數(shù)字證書信息。這種細(xì)粒度的訪問(wèn)控制不僅提高了系統(tǒng)的靈活性，還大大增強(qiáng)了安全性，因?yàn)榧词构粽吣軌蛲黄葡到y(tǒng)的某些防線，他們也必須滿足特定的屬性要求才能訪問(wèn)敏感信息，從而有效地防止了未經(jīng)授權(quán)的訪問(wèn)，保護(hù)了數(shù)字證書信息的機(jī)密性和完整性。

49、其次，在數(shù)據(jù)安全性方面，采用了屬性基加密算法對(duì)數(shù)字證書信息進(jìn)行加密保護(hù)，以允許數(shù)據(jù)所有者根據(jù)數(shù)據(jù)的敏感性和訪問(wèn)需求，定義一組屬性作為加密和解密的密鑰。在本發(fā)明中，數(shù)字證書信息與一組屬性關(guān)聯(lián)后，使用abe算法進(jìn)行加密，確保了即使數(shù)據(jù)在傳輸、存儲(chǔ)或處理過(guò)程中被竊取，也無(wú)法被未經(jīng)授權(quán)的用戶解密，這種加密方式提供了高級(jí)別的數(shù)據(jù)保護(hù)，大大降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

50、本發(fā)明的附加方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過(guò)本發(fā)明的實(shí)施例了解到。