JP7109569B2 - デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム - Google Patents

デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム Download PDF

Info

Publication number
JP7109569B2
JP7109569B2 JP2020551483A JP2020551483A JP7109569B2 JP 7109569 B2 JP7109569 B2 JP 7109569B2 JP 2020551483 A JP2020551483 A JP 2020551483A JP 2020551483 A JP2020551483 A JP 2020551483A JP 7109569 B2 JP7109569 B2 JP 7109569B2
Authority
JP
Japan
Prior art keywords
certificate
digital certificate
subject
transaction record
transaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020551483A
Other languages
English (en)
Other versions
JP2021517412A (ja
Inventor
▲鋭▼ 郭
茂材 李
建俊 ▲張▼
▲禎▼ ▲曾▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Publication of JP2021517412A publication Critical patent/JP2021517412A/ja
Application granted granted Critical
Publication of JP7109569B2 publication Critical patent/JP7109569B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Description

「関連出願の相互参照」
本願は、2018年07月24日に出願された、出願番号が201810821667.6であり、出願名称が「デジタル証明書の検証方法、装置、コンピュータ機器及び記憶媒体」である中国特許出願の優先権を主張し、その内容全体が援用により本願に組み込まれる。
本願は、コンピュータ技術の分野に関し、特に、デジタル証明書の検証方法、装置、コンピュータ機器及びコンピュータプログラムに関する。
デジタル証明書とは、ネットワーク上でネットワークノードの身元を証明するための証明用ファイルであり、身元を証明するために、ネットワークノードは、権威のある認証局にデジタル証明書を申請し、権威のある認証局が身元認証を行ってから、当該ネットワークノードにデジタル証明書を発布する。
現在、デジタル証明書の検証は、いずれもデジタル証明書を生成する権威のある認証局によって行われるため、当該認証局がハイジャックされると、認証局がデジタル証明書を検証して得た検証結果が信頼できず、ネットワークセキュリティが低くなる。
これに鑑みて、上記問題に対して、デジタル証明書の検証方法、装置、コンピュータ機器、及びコンピュータプログラムを提供し、対象デジタル証明書がブロックチェーンにおいて記載するトランザクションレコードに基づいて、対応する対象アカウントタイプを取得し、対応する対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を取得し、デジタル証明書がトランザクションリソースとしてブロックチェーン中に記憶されることによって、トランザクションレコードが改竄されにくくなり、そして、異なるアカウントタイプが異なる証明書操作状態に対応するため、ブロックチェーンにおけるトランザクションレコードのアカウントタイプに基づいて得る検証結果は信頼性が高く、ネットワークセキュリティが高い。
デジタル証明書の検証方法であって、前記方法は、対象デジタル証明書を検証する検証リクエストを受信するステップと、ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するステップであって、前記対象デジタル証明書はトランザクションリソースとして前記ブロックチェーンに記憶される、ステップと、前記対象トランザクションレコードに対応する対象アカウントタイプを取得するステップであって、異なるアカウントタイプが異なる証明書操作状態に対応する、ステップと、前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定するステップと、を含む。
デジタル証明書検証装置であって、前記装置は、対象デジタル証明書を検証する検証リクエストを受信するための検証リクエスト受信モジュールと、ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するためのモジュールであって、前記対象デジタル証明書はトランザクションリソースとして前記ブロックチェーンに記憶される、対象トランザクションレコード取得モジュールと、前記対象トランザクションレコードに対応する対象アカウントタイプを取得するためのモジュールであって、異なるアカウントタイプが異なる証明書操作状態に対応する、対象アカウントタイプ取得モジュールと、前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定するための検証結果決定モジュールと、を含む。
1つの実施例では、前記装置は、前記対象デジタル証明書を操作する操作リクエストを受信するための操作リクエスト受信モジュールと、前記操作リクエストの操作タイプに基づいて、前記対象デジタル証明書に対応する対象受信アカウントタイプを決定するための受信アカウントタイプ決定モジュールと、前記操作リクエストに対応する証明書トランザクションレコードを生成し、前記証明書トランザクションレコードを前記ブロックチェーンに書き込むためのモジュールであって、前記証明書トランザクションレコードのトランザクションリソースは前記対象デジタル証明書であり、前記証明書トランザクションレコードにおける受信アカウントは前記対象受信アカウントタイプに対応するアカウントである、証明書トランザクションレコード生成モジュールと、をさらに含む。
1つの実施例では、前記受信アカウントタイプ決定モジュールは、前記操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、前記対象受信アカウントタイプを証明書発行アカウントタイプとして決定するために用いられる。
1つの実施例では、前記受信アカウントタイプ決定モジュールは、前記操作リクエストに対応する操作タイプが取り消し操作タイプである場合、前記対象受信アカウントタイプを証明書回収アカウントタイプとして決定するために用いられる。
1つの実施例では、前記対象トランザクションレコードは最新のトランザクションレコードであり、前記対象アカウントタイプ取得モジュールは、前記最新のトランザクションレコードに対応する、前記対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、前記対象アカウントタイプとするために用いられ、前記検証結果決定モジュールは、前記現在の受信アカウントタイプが証明書発行アカウントタイプである場合、前記対象デジタル証明書に対応する検証結果を検証成功として決定するために用いられる。
1つの実施例では、前記対象アカウントタイプ取得モジュールは、前記最新のトランザクションレコードに対応する、前記対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、前記対象アカウントタイプとするために用いられ、前記検証結果決定モジュールは、前記現在の受信アカウントタイプが証明書回収アカウントタイプである場合、前記対象デジタル証明書に対応する検証結果を検証失敗として決定するために用いられる。
1つの実施例では、前記検証リクエストが前記対象デジタル証明書に対応するトランザクション識別子を持ち、前記対象トランザクションレコード取得モジュールは、前記トランザクション識別子に基づいて、前記対象デジタル証明書に対応するトランザクションチェーンを取得し、前記トランザクションチェーンの末端にあるトランザクションレコードを前記最新のトランザクションレコードとするために用いられ、前記トランザクションチェーンにおける各トランザクションレコードがトランザクション順序に従って配列される。
1つの実施例では、前記装置は、前記検証リクエストに基づいて、前記ブロックチェーンから前記対象デジタル証明書に対応するルート証明書を取得するためのルート証明書取得モジュールと、前記ルート証明書に基づいて、前記対象デジタル証明書を検証し、ルート検証結果を取得するためのルート検証結果取得モジュールと、前記ルート検証結果は検証失敗である場合、前記対象デジタル証明書に対応する検証結果を検証失敗として確認し、そうではなければ、ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するステップに進む進入モジュールと、をさらに含む。
コンピュータ機器であって、プロセッサと、前記プロセッサによって実行される時に、前記プロセッサに上記デジタル証明書の検証方法のステップを実行させるコンピュータプログラムが記憶されているメモリと、をさらに含む。
コンピュータに上記デジタル証明書の検証方法を実行させるコンピュータプログラムである
前述したデジタル証明書の検証方法、装置、コンピュータ機器及びコンピュータプログラムは、対象デジタル証明書を検証する検証リクエストを受信し、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得し、ただし、対象デジタル証明書がトランザクションリソースとしてブロックチェーンに記憶され、対象トランザクションレコードに対応する対象アカウントタイプを取得し、ただし、異なるアカウントタイプが異なる証明書操作状態に対応し、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定する。デジタル証明書がトランザクションリソースとしてブロックチェーンに記憶されることによって、トランザクションレコードが改竄されにくくなり、そして、異なるアカウントタイプが異なる証明書操作状態に対応するため、ブロックチェーンにおけるトランザクションレコードのアカウントタイプに基づいて得る検証結果は信頼性が高く、ネットワークセキュリティが高い。
一実施例にて提供されるデジタル証明書の検証方法の利用環境の図である。 一実施例におけるデジタル証明書の検証方法のフローチャートである。 一実施例におけるデジタル証明書の検証方法のフローチャートである。 一実施例におけるデジタル証明書の検証方法のフローチャートである。 一実施例におけるデジタル証明書の模式図である。 一実施例における対象デジタル証明書をトランザクションリソースとして合意認証局に対応するブロックチェーンに書き込むフローチャートである。 一実施例におけるトランザクションチェーンの模式図である。 一実施例におけるデジタル証明書の検証方法のフローチャートである。 一実施例にて提供されるデジタル証明書の検証方法の利用環境の図である。 一実施例におけるデジタル証明書検証装置の構造ブロック図である。 一実施例におけるデジタル証明書検証装置の構造ブロック図である。 一実施例におけるデジタル証明書検証装置の構造ブロック図である。 一実施例におけるコンピュータ機器の内部構造ブロック図である。
本願の目的、技術的解決手段及び利点をより明確にするために、以下、図面及び実施例を参照しながら、本願についてさらに詳細に説明する。ここに記載されている具体的な実施例は、本願を解釈するためのものに過ぎず、本願を限定するものではないことが理解できる。
本願に使用される「第1」、「第2」などの用語は、本明細書において各種の素子を説明するために用いることができるが、特に断りのない限り、これらの素子はこれらの用語に限定されるものではないことが理解できる。これらの用語は、1つ目の素子と別の素子を区別するためのものに過ぎない。例を挙げると、本願の範囲を逸脱せず、第1トランザクションレコードを第2トランザクションレコードと読んでもよく、同様に、第2トランザクションレコードを第1トランザクションレコードと読んでもよい。
図1は、一実施例にて提供されるデジタル証明書の検証方法の利用環境の図であり、図1に示すように、当該利用環境は、証明書申請ノードと、インタラクションノードと、認証局と、を含む。インタラクションノードは、証明書申請ノードとインタラクションを行う時、デジタル証明書取得リクエストを証明書申請ノードまで送信し、証明書申請ノードはインタラクションノードに対象デジタル証明書及びトランザクション識別子を返信する。インタラクションノードは、トランザクション識別子及び対象デジタル証明書を持つ検証リクエストを認証局に送信することができる。認証局は、本願の実施例にて提供されるデジタル証明書の検証方法を実行し、検証結果を取得し、インタラクションノードに検証結果を返信する。
インタラクションノードと証明書申請ノードとの間、インタラクションノードと認証局との間は、ネットワークを介して接続することができる。各認証局は、独立した物理サーバ又は端末であってもよいし、複数の物理サーバからなるサーバグループであってもよく、クラウドサーバ、クラウドデータベース、クラウドストレージ及びCDN(Content Delivery Network、コンテンツデリバリネットワーク)など基本のクラウドコンピューティングサービスを提供するクラウドサーバであってもよい。証明書申請ノード及びインタラクションノードは、独立した物理サーバ又は端末であってもよいし、複数の物理サーバからなるサーバグループであってもよく、クラウドサーバ、クラウドデータベース、クラウドストレージ及びCDNなど基本のクラウドコンピューティングサービスを提供するクラウドサーバであってもよい。
図2に示すように、一実施例では、デジタル証明書の検証方法が提供され、本実施例は、主に、当該方法を上記図1における認証局に適用することを例として説明する。具体的に以下のステップを含んでもよい。
ステップ202は、対象デジタル証明書を検証する検証リクエストを受信する。
具体的に、デジタル証明書とは、ネットワーク通信において通信相手の身元情報を表す一連の数字であり、通信相手の身元を識別するために用いられる。デジタル証明書は、Internet(インターネット)上で通信エンティティ身元を検証する方式を提供するため、デジタル証明書は、一般的に、権威のあるCA(Certificate Authority、証明書認証)機構によって発行される。CA機構は、例えば、CFCA(China Financial Certification Authority、中国金融認証局)であってもよい。検証リクエストは、デジタル証明書の有効性及び真実性を確認するように、対象デジタル証明書に対する検証を請求するために用いられる。対象デジタル証明書は、身元が検証されることを必要とするノードのデジタル証明書であり、例えば、図1の証明書申請ノードに対応するデジタル証明書である。検証リクエストは、証明書申請ノードとインタラクションを行うインタラクションノードから送信されてもよい。例えば、インタラクションノードは、証明書申請ノードに対応するウェブサイトにログインする必要がある場合、証明書申請ノードから対象デジタル証明書を取得し、認証局に検証リクエストを送信してもよい。
ステップS204は、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得し、前記対象デジタル証明書はトランザクションリソースとしてブロックチェーンに記憶される。
具体的に、トランザクションリソースは、トランザクションに用いることができるリソースであってもよい。ブロックチェーンは、ブロックチェーン技術を実行させるキャリア及び組織方式である。ブロックチェーン技術は、BT(Blockchain technology)と略称し、分散型台帳技術とも呼ばれ、インターネットデータベース技術であって、非中央集権、公正かつ透明を特徴とし、人々をデータベース記録に参加させることができるものである。ブロックチェーン技術は、ブロックチェーンのデータ構造を用いてデータを検証及び記憶し、分散型ノード合意アルゴリズムを用いてデータを生成及び更新し、暗号学の方式を用いてデータの伝送及びアクセスのセキュリティを保証し、自動化したスクリプトコードからなるスマートコントラクトを用いてデータをプログラミング及び操作する分散型基本アーキテクチャ及び計算方式である。トランザクションレコードは、トランザクションリソースに対応する、達成できたトランザクションを記載するものである。トランザクションレコードは、今回のトランザクションにおいてトランザクションリソースを転出する転出アカウント及びトランザクションリソースを受信する受信アカウントを含んでもよい。トランザクションレコードは、デジタル証明書そのもの又はデジタル証明書に対応する識別子を含んでもよい。ブロックチェーンにおいて、トランザクションリソースは、トランザクションレコードの形式で表される。証明書のトランザクションレコードは、UTXO(Unspent Transaction Output、未使用のトランザクションの出力)トランザクションに相当する。UTXOトランザクションは、トランザクション入力(input)及びトランザクション出力(output)を含む。各トランザクションは、いずれもトランザクション入力、つまり、トランザクションリソースの出所を有し、トランザクション出力、つまり、トランザクションリソースの行き先も有する。本願の実施例では、トランザクション入力に対応するアカウントを転出アカウントと呼び、トランザクション出力に対応するアカウントを受信アカウントと呼ぶ。対象トランザクションレコードは、対象デジタル証明書に対応する最新のトランザクションレコードであってもよい。
一実施では、検証リクエストは対象デジタル証明書に対応するトランザクション識別子を持つ。証明書トランザクションが生成されると、認証局はトランザクションレコードに対応するトランザクション識別子を生成し、証明書申請ノードがトランザクション識別子を、証明書申請ノードとインタラクションを行うインタラクションノードである検証リクエスト送信ノードに送信するように、トランザクション識別子を証明書申請ノードに送信する。
ステップS206は、対象トランザクションレコードに対応する対象アカウントタイプを取得し、ただし、異なるアカウントタイプが異なる証明書操作状態に対応する。
具体的に、ブロックチェーンに記憶される対象デジタル証明書は、アカウントタイプに応じて証明書の操作状態を具現する。対象アカウントタイプは、対象デジタル証明書を受信するアカウントのタイプである受信アカウントタイプであってもよい。ブロックチェーンにおけるデジタル証明書の操作状態は挿入状態、更新状態及び取り消し状態のうちいずれかであってもよい。挿入状態に対応するデジタル証明書は、新たに生成される初期のデジタル証明書としてブロックチェーンに挿入されるものである。更新状態に対応するデジタル証明書は、初期のデジタル証明書を更新してから得るデジタル証明書であり、すなわち、証明書がすでに更新された。取り消し状態に対応するデジタル証明書は、すでに取り消されたデジタル証明書である。各認証局のアカウントは、証明書回収アカウントタイプ及び証明書発行状態タイプを含んでもよい。取り消し状態のデジタル証明書について、対応する最新のトランザクションレコードの受信アカウントタイプは証明書回収アカウントタイプであり、トランザクションレコードにおける受信アカウントが証明書回収アカウントタイプである場合は、デジタル証明書が取り消し状態にあり、すなわち、すでに取り消されたことを示す。挿入状態及び更新状態にあるデジタル証明書については、対応する最新のトランザクションレコードの受信アカウントタイプは証明書発行アカウントタイプであり、トランザクションレコードにおける受信アカウントが証明書発行アカウントタイプである場合は、デジタル証明書がすでに発行され、すなわち、発行状態にあり、有効なデジタル証明書であることを示す。
ステップS208は、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定する。
具体的に、検証結果は検証成功又は検証失敗としてもよい。対象トランザクションレコードを得た後、対象トランザクションレコードの対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果が検証合格か検証失敗かを決定し、最新のトランザクションレコードに対応する対象アカウントタイプにより、対象デジタル証明書の操作状態を決定することができる。最新のトランザクションレコードに対応する受信アカウントタイプが証明書回収アカウントタイプである場合、対象デジタル証明書がすでに取り消され、対象デジタル証明書に対応する検証結果が検証失敗であることを決定する。最新のトランザクションレコードに対応する受信アカウントタイプが証明書発行アカウントタイプである場合、この時、デジタル証明書が挿入されたデジタル証明書又は更新されたデジタル証明書であってもよいため、デジタル証明書を有効として確認し、対象デジタル証明書に対応する検証結果を検証成功として決定する。あるいは、最新のトランザクションレコードに対応する転出アカウントタイプを取得してもよく、転出アカウントがプリセット初期アカウントであれば、当該デジタル証明書を新たに挿入されるデジタル証明書として、検証結果を成功として確認する。
一実施例では、対象トランザクションレコードは最新のトランザクションレコードであり、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップは、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするステップを含む。対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップは、現在の受信アカウントタイプが証明書発行アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証成功として決定するステップと、現在の受信アカウントタイプが証明書回収アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証失敗として決定するステップと、を含む。ただし、現在のアカウントタイプとは、最新のトランザクションレコードにおける受信アカウントのタイプである。
上記デジタル証明書の検証方法は、対象デジタル証明書を検証する検証リクエストを受信し、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得し、対象デジタル証明書はトランザクションリソースとしてブロックチェーンに記憶されており、対象トランザクションレコードに対応する対象アカウントタイプを取得し、ただし、異なるアカウントタイプが異なる証明書操作状態に対応し、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定する。デジタル証明書がトランザクションリソースとしてブロックチェーンに記憶されることによって、トランザクションレコードが改竄されにくくなり、そして、異なるアカウントタイプが異なる証明書操作状態に対応するため、ブロックチェーンにおけるトランザクションレコードのアカウントタイプに基づいて得る検証結果は信頼性が高く、ネットワークセキュリティが高い。
一実施例では、図3に示すように、デジタル証明書検証は、以下のステップを含んでもよい。
ステップ302は、対象デジタル証明書を操作する操作リクエストを受信する。
具体的に、操作は、挿入操作、取り消し操作及び更新操作のうちいずれかであってもよい。挿入操作は、初めてデジタル証明書をブロックチェーンに記憶することに対応する操作であり、更新操作は、すでに記憶された対象デジタル証明書を更新することに対応する操作である。取り消し操作は、対象デジタル証明書を取り消すことに対応する操作である。対象デジタル証明書を操作する操作リクエストは、証明書申請ノード、認証局又は他のノードによってトリガされるものであってもよい。例えば、対象デジタル証明書を更新する必要があれば、証明書申請ノードはデジタル証明書更新リクエストを送信することができる。対象デジタル証明書を取り消す必要があれば、証明書申請ノードはデジタル証明書取り消しリクエストを送信することができる。あるいは、認証局が証明書申請ノードの対象デジタル証明書の取得時における詐欺行為を発覚した場合、認証局の従業者は認証局において取り消し操作を起こすことができ、認証局は、取り消し操作に基づいて、デジタル証明書取り消しリクエストをトリガし、当該デジタル証明書の取り消しを請求する。あるいは、認証局ノードが対象デジタル証明書を生成し、対象デジタル証明書をブロックチェーンに記憶する必要がある時に、対象デジタル証明書を操作する操作リクエストをトリガすることもできる。
ステップS304は、操作リクエストの操作タイプに基づいて、対象デジタル証明書に対応する対象受信アカウントタイプを決定する。
ここで、対象デジタル証明書に対応する対象受信アカウントタイプは、対象デジタル証明書を受信するアカウントに対応する対象受信アカウントタイプであってもよい。
具体的に、操作タイプに応じて受信アカウントタイプが異なる。各認証局のアカウントは、証明書回収アカウントタイプ及び証明書発行状態タイプを含んでもよい。取り消し操作タイプについては、対応する受信アカウントタイプは証明書回収アカウントタイプであり、トランザクションレコードにおける受信アカウントが証明書回収アカウントタイプである場合は、デジタル証明書が取り消し状態にあり、すなわち、すでに取り消されたことを示す。更新操作タイプ及び挿入操作タイプについては、対応するアカウントタイプは証明書発行アカウントタイプであり、トランザクションレコードにおける受信アカウントが証明書発行アカウントタイプである場合は、デジタル証明書がすでに発行され、すなわち、発行状態にあり、有効なデジタル証明書であることを示す。
一実施例では、操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、対象受信アカウントタイプを証明書発行アカウントタイプとして決定する。
一実施例では、操作リクエストに対応する操作タイプが取り消し操作タイプである場合、対象受信アカウントタイプを証明書回収アカウントタイプとして決定する。ただし、証明書回収アカウント及び証明書発行アカウントは、デジタル証明書を生成する認証ノードに対応するアカウントであってもよい。
ステップS306は、操作リクエストに対応する証明書トランザクションレコードを生成し、証明書トランザクションレコードをブロックチェーンに書き込み、ただし、証明書トランザクションレコードのトランザクションリソースは対象デジタル証明書であり、証明書トランザクションレコードにおける受信アカウントは対象受信アカウントタイプに対応するアカウントである。
具体的に、トランザクションにおいて、受信アカウントとは、トランザクションリソースを有するアカウントである。転出アカウントとは、トランザクションリソースを受信アカウントまで転出するアカウントである。対象デジタル証明書を、トランザクションが可能なリソースとし、当該デジタル証明書のトランザクションレコードがブロックチェーンに記憶される。アカウントタイプとアカウントとの間の対応関係が予め設定され、例えば、証明書発行アカウントタイプについては、対応するアカウントは00001であり、証明書回収アカウントタイプについては、対応するアカウントは00002である。対象受信アカウントタイプを得た後、対象受信アカウントタイプに対応するアカウントを取得し、証明書トランザクションレコードに対応する受信アカウントとする。証明書トランザクションレコードを得た後、ブロックに当該証明書トランザクションレコードを記憶するように、証明書トランザクションレコードをブロックチェーンのブロック中に書き込む。証明書トランザクションレコードをブロックに書き込む時、ブロックチェーンにおけるノードもブロックにおいて証明書トランザクションレコードを記憶するように、証明書トランザクションレコードをブロードキャストすることが理解できる。証明書トランザクションレコードをブロードキャストする前に、秘密鍵を用いて証明書トランザクションレコードに対して署名し、署名後の証明書トランザクションレコードをブロードキャストするものとしてもよい。証明書トランザクションレコードを生成する時、証明書トランザクションを識別するために、対応するトランザクション識別子を生成してもよい。
一実施例では、証明書トランザクションレコードに対応するトランザクション識別子を生成した後、トランザクション識別子を証明書申請ノードに送信する。このように、証明書申請ノードと通信するインタラクションノードは、当該証明書申請ノードに対応するトランザクション識別子及び対象デジタル証明書を取得するとともに、証明書検証を行うように、トランザクション識別子に基づいて、ブロックチェーンにおいて対象デジタル証明書がブロックチェーンに記憶したトランザクションレコードを取得することができる。
ステップS302~S306は、ステップS202~S208の前に実行してもよいし、ステップS202~S208の後に実行してもよいことが理解できる。
一実施例では、対象デジタル証明書に対する操作は挿入操作であり、図4に示すように、デジタル証明書の検証方法は、具体的に、以下のステップをさらに含んでもよい。
ステップS402は、証明書申請ノードから送信された、身元認証情報を持つデジタル証明書生成リクエストを受信する。
具体的に、身元認証情報は、証明書申請ノードの身元を認証するために用いられ、身元認証情報は、例えば、証明書申請ノードの企業に対応する営業許可書情報又は証明書申請ノードの個人ユーザに対応する身分証明書情報などであってもよい。証明書申請ノードは、デジタル証明書の申請を必要とするノードである。例えば、企業がウェブサイトを作成する必要がある場合には、当該ウェブサイトに対応するデジタル証明書を申請する必要があり、この場合、デジタル証明書を申請する必要がある企業のサーバによって認証局にデジタル証明書生成リクエストを送信してもよい。
一実施例では、デジタル証明書生成リクエストは、公開鍵をさらに持ってもよい。公開鍵(Public Key)と秘密鍵(Private Key)は、アルゴリズムによって得られた鍵ペアであり、公開鍵は鍵ペアうち公開される鍵であり、秘密鍵は公開されない鍵である。公開鍵は、通常、セッション鍵の暗号又はデジタル署名の検証に用いられる。デジタル証明書を申請する必要がある場合、証明書申請ノードは鍵ペアを生成し、鍵ペアの秘密鍵を記憶するとともに、認証局が公開鍵をデジタル証明書に書き込むように、公開鍵を認証局に送信する。このように、証明書申請ノードは、秘密鍵を用いて送信する情報を署名することができ、署名された情報を受信したノードは、デジタル証明書の公開鍵を用いて、証明書申請ノードから送信された情報に対して署名認証を行い、受信した情報を証明書申請ノードから送信された情報として確認することができる。
ステップS404は、身元認証情報を各合意認証局に送信して認証し、各合意認証局が身元認証情報に基づいて認証することによって得た認証結果を取得する。
具体的に、合意認証局の数は、必要に応じて設定されてもよい。身元認証情報の送信は、P2P(peer-to-peer、ピアツーピア)技術によって実現されてもよい。認証局1はブロックチェーンにおいて当該身元認証情報をブロードキャストしてもよく、身元認証情報を受信した合意認証局も当該身元認証情報をブロードキャストし続けることで、各合意認証局は身元認証情報を受信できることになる。合意認証局は、合意認証を行うための認証局であり、合意とは、多くの参加者同士のノードが、予め設定されたルール下で、複数のノードのインタラクションにより、あるデータ、行為又はフローについて合致するプロセスである。合意を行う時に用いる合意アルゴリズムは、PBFT(Practical Byzantine Fault Tolerance、プラクティカルビザンチンフォールトトレランス)であってもよい。認証局は、ネットワークにおいて、認証サービス、ノード身元の確認のためのデジタル証明書の署名発行などの仕事をする、権威性及び公正性を有するコンピュータノードであってもよい。各合意認証局が身元認証情報を受信した後、受信した身元情報が記憶されている身元情報に一致するか否かを確認するように、受信した身元認証情報を予め記憶された当該証明書申請ノードの身元認証情報と比較するか、又は身元認証情報を身元認証情報が記憶されている信頼できるソースに送信して比較するものとしてもよく、一致する場合、受信した身元情報を真実なものとして確認すると、合意認証局に対応する認証結果は合格であり、そうではなければ、認証結果は不合格である。信頼できるソースは、身元認証情報を発布するノード、例えば、公安機関による個人身分証明書の発布に対応するノードであってもよい。
ステップs406は、各合意認証局の認証結果に基づいて、証明書申請ノードに対応する身元認証結果を決定する。
具体的に、身元認証結果は、身元認証合格又は身元認証不合格であってもよい。身元認証結果は、各合意認証局の認証結果と結びつけて計算することで得られるものである。身元認証結果を決定する時に、認証結果が認証合格の合意認証局に対応する第1数量及び認証結果が認証不合格の合意認証局に対応する第2数量のうち少なくとも1つを取得し、第1数量及び第2数量のうち少なくとも1つに基づいて、身元認証結果を決定することができる。例えば、第1数量が第2数量より大きい、第1数量が第1プリセット閾値に達する、第1数量と合意検証に参加する認証局の数量との比が第2プリセット閾値に達する、第1数量とブロックチェーンのノードの数量との比が第2プリセット閾値に達するという条件のうち少なくとも1つを満たす場合、身元認証結果は合格であり、第1数量が第2数量より大きく、第1数量が第1プリセット閾値に達し、第1数量と合意検証に参加するノードの数量との比が第3プリセット閾値に達する。認証局1も合意認証局であることが理解できる。第1プリセット閾値、第2プリセット閾値及び第3プリセット閾値に対応する具体的な数は、必要に応じて設定されてもよい。例えば、認証局1~4に対応する認証結果はそれぞれ合格、合格、合格及び不合格であると仮定すると、第1数量は3であり、第2数量は1であり、身元認証結果が合格である条件を、第1数量より大きい合意認証局が合意認証局の総量を占める比率が3/4以上であることと仮定すると、身元認証結果は合格である。
ステップs408は、デジタル証明書生成リクエストに基づいて、証明書申請ノードに対応する対象デジタル証明書を生成する。
具体的に、デジタル証明書は、認証局によってデジタル署名されるファイルで、ネットワークノードの身元を証明するために用いられる。デジタル証明書は、証明書申請ポイントの身元情報及び公開鍵情報を含むとともに、認証局の署名情報を付けるものとしてもよい。当然ながら、デジタル証明書の有効期限などの情報をさらに含んでもよい。対象デジタル証明書は、身元認証結果を認証合格として確認した後に生成されるものであってもよいし、身元認証結果を認証合格として確認していない時に対象デジタル証明書を生成するものであってもよい。身元認証結果を認証合格として確認していない時に対象デジタル証明書を生成する場合は、身元認証結果は合格である時に、対象デジタル証明書をブロックチェーンに速やかに書き込んでもよい。身元認証結果を認証合格として確認した後に対象デジタル証明書を生成すれば、身元認証結果は認証不合格である場合にも対象デジタル証明書を生成する必要がある状況の発生を回避することができる。
図5に示すように、図5は、デジタル証明書の模式図であり、証明書発布者の情報、証明書申請ノードの公開鍵、証明書申請ノードである証明書オーナーの情報、有効期限情報、デジタル署名を行う署名ハッシュアルゴリズム及びデジタル署名を有し、デジタル署名とは、デジタル証明書を双方が約束したハッシュアルゴリズムに従って計算して得られるメッセージダイジェストである。数学上に、デジタル証明書におけるいずれか1つを変更しさえすれば、改めて算出したメッセージダイジェストの値は元の値に一致しないことが保証される。このように、デジタル証明書が変更されるか否かを識別できることが保証される。
ステップS410は、身元認証結果は認証合格である場合、対象デジタル証明書をトランザクションリソースとして合意認証局に対応するブロックチェーンに書き込み、ただし、対象デジタル証明書に対応する受信アカウントはデジタル証明書生成リクエスト受信ノードに対応する第1アカウントである。
具体的に、対象デジタル証明書が書き込まれるブロックチェーンは合意認証局に対応するブロックチェーンである。デジタル証明書生成リクエスト受信ノードとは、デジタル証明書生成リクエストを受信するノードである。トランザクションにおいて、受信アカウントとは、トランザクションリソースを有するアカウントである。転出アカウントとは、トランザクションリソースを受信アカウントまで転出するアカウントである。対象デジタル証明書をブロックチェーンに書き込む時に、対象デジタル証明書を、トランザクションが可能なリソースとし、当該デジタル証明書のトランザクションレコードがブロックチェーンに記憶される。対象デジタル証明書をブロックチェーンに記憶する時に、対象デジタル証明書のトランザクションレコードにおける受信アカウントはデジタル証明書生成リクエストを受信するノードに対応するアカウントである。対象デジタル証明書は初めて記憶される対象デジタル証明書であるため、転出アカウントは予め設定されたアカウントであってもよい。例えば、すべて0である文字列としてもよく、当該トランザクションリソースは初期のトランザクションリソースであることを示す。対象デジタル証明書をトランザクションリソースとして合意認証局に対応するブロックチェーンに書き込む時に、新しいブロックを作成し、対象デジタル証明書を作成した新しいブロックに書き込んでもよい。
ブロックチェーンにおけるアカウントは、公開鍵が一方向の暗号化ハッシュアルゴリズムを経て得られるアドレスと呼ばれてもよい。ハッシュアルゴリズムは、任意長の入力を受信して指紋ダイジェストを生成する一方向関数である。公開鍵によってアドレスを生成する時に使用するアルゴリズムはSHA(Secure Hash Algorithm、
セキュアハッシュアルゴリズム)又はRIPEMD(the RACE Integrity Primitives Evaluation Message Digest、初期完全性検証メッセージダイジェスト)アルゴリズムであってもよく、例えば、SHA256又はRIPEMD160アルゴリズムである。
本願の実施例では、身元認証情報に対して合意認証を行い、得た身元認証結果は認証合格である場合、対象デジタル証明書をブロックチェーンに書き込み、認証局がハイジャックされれば、ブロックチェーンにおいてデジタル証明書を書き込むことが困難になり、そして、デジタル証明書は、トランザクションリソースとしてブロックに書き込まれ、受信アカウントは、デジタル証明書生成リクエスト受信ノードに対応するアカウントであり、他のノードは、デジタル証明書を随意に変更したり取り消したりできないことにより、デジタル証明書の安全性が保証され、デジタル証明書の信頼度が向上し、ネットワークセキュリティも向上する。
一実施例では、図6に示すように、ステップS410である対象デジタル証明書をトランザクションリソースとして合意認証局に対応するブロックチェーンに書き込むステップは、具体的に以下のステップを含んでもよい。
ステップS602は、第1証明書トランザクションレコードであって、そのトランザクションリソースは対象デジタル証明書であり、その中の転出アカウントはプリセット初期アカウントであり、その中の受信アカウントはデジタル証明書生成リクエスト受信ノードに対応する証明書発行アカウントである、第1証明書トランザクションレコードを生成する。
具体的に、証明書トランザクションレコードは、今回のトランザクションにおいてトランザクションリソースを転出する転出アカウントと、トランザクションリソースを受信する受信アカウントと、を含んでもよい。トランザクションレコードは、デジタル証明書そのもの又はデジタル証明書に対応する識別子を含む。プリセット初期アカウントは予め設定されたもので、現在のトランザクションを行う前に、トランザクションリソースが初期で、トランザクションを行っていないリソースであり、ビットコインのトランザクションの採掘に対応するCoinbaseトランザクションに相当することを示すために用いられ、プリセット初期アカウントの具体的な値は、必要に応じて設定されてもよく、例えば、すべて0で、その中の文字の数が必要に応じて設定される文字列であってもよい。証明書発行アカウントは証明書を発行するためのアカウントである。受信アカウントが証明書発行アカウントタイプである場合は、デジタル証明書が発行状態にあり、有効なデジタル証明書であることを示す。証明書トランザクションレコードは、証明書トランザクションの時間などの情報をさらに含んでもよい。
一実施例では、証明書トランザクションレコードにおける転出アカウントは、当該証明書トランザクションレコードの1つ前のトランザクションレコードにおける受信アカウントであってもよく、あるいは、当該証明書トランザクションレコードの1つ前の証明書トランザクションレコードに対応するトランザクション識別子を用いてトランザクションの入力を識別するものとしてもよく、すなわち、転出アカウントは、1つ前のトランザクションレコードに対応するトランザクション識別子を用いて示すものとしてもよい。
ステップS604は、第1証明書トランザクションレコードを合意認証局に対応するブロックチェーンに書き込む。
具体的に、第1証明書トランザクションレコードを得た後、第1証明書トランザクションレコードを、ブロックに当該第1証明書トランザクションレコードを記憶させるように、合意認証局に対応するブロックチェーンのブロックに書き込む。第1証明書トランザクションレコードをブロックに書き込む時に、ブロックチェーンにおけるノードもブロックにおいて第1証明書トランザクションレコードを記憶するように、第1証明書トランザクションレコードをブロードキャストすることが理解できる。第1証明書トランザクションレコードをブロードキャストする前に、秘密鍵を用いて第1証明書トランザクションレコードを署名し、署名した第1証明書トランザクションレコードをブロードキャストする。
一実施例では、第1証明書トランザクションレコードに対応する第1トランザクション識別子を生成した後、第1トランザクション識別子を証明書申請ノードに送信する。このように、証明書申請ノードと通信するノードは、当該証明書申請ノードに対応する第1トランザクション識別子及び対象デジタル証明書を取得するとともに、証明書検証を行うように、第1トランザクション識別子に基づいて、ブロックチェーンにおいて対象デジタル証明書がブロックチェーンに記憶するトランザクションレコードを取得することができる。
一実施例では、対象デジタル証明書をブロックチェーンに挿入した後、対象デジタル証明書を取り消したり、更新したりしてもよく、認証局による対象デジタル証明書に対する操作は更新操作又は取り消し操作である場合、第2証明書トランザクションレコードを生成し、第2トランザクションレコードをブロックチェーンに書き込み、ただし、第2証明書トランザクションレコードのトランザクションリソースは対象デジタル証明書である。対象デジタル証明書に対する操作は更新操作である場合、第2証明書トランザクションレコードにおける受信アカウントは、更新操作に対応する対象受信アカウントタイプに対応する第2アカウントであり、対象デジタル証明書に対する操作は取り消し操作である場合、第2証明書トランザクションレコードにおける受信アカウントは、取り消し操作に対応する対象受信アカウントタイプに対応する第2アカウントである。
第2証明書トランザクションレコードにおける転出アカウントは、第2証明書トランザクションレコードの1つ前のトランザクションレコードにおける受信アカウントであってもよいことが理解でき、例えば、第2証明書トランザクションレコードの1つ前のトランザクションレコードが第1証明書トランザクションレコードである場合、第2証明書トランザクションレコードにおける転出アカウントは、第1トランザクションレコードにおける受信アカウントである第1アカウントである。あるいは、第2証明書トランザクションレコードの1つ前のトランザクションレコードに対応するトランザクション識別子を用いてトランザクションの入力を識別してもよく、すなわち、転出アカウントは、1つ前のトランザクションレコードに対応するトランザクション識別子を用いて示すものとしてもよい。
ブロックチェーンにおいて、初めてデジタル証明書をブロックチェーンに書き込む操作を挿入操作と呼び、挿入操作をトランザクションとし、トランザクションレコードを形成してブロックチェーンに書き込み、操作リクエストの操作タイプに基づいて、対象デジタル証明書を受信する対象受信アカウントタイプを決定し、第2証明書トランザクションレコードであって、その中の受信アカウントが対象受信アカウントタイプに対応する第2アカウントである第2トランザクションレコードを生成し、したがって、異なるアカウントタイプを用いて、デジタル証明書がすでに取り消されたか否か、又は更新されるか否かを示す。記憶されるトランザクションレコードは、一般的に、改竄できないため、引き続いてデジタル証明書を更新したり取り消したりする時に、デジタル証明書に対応する操作をトランザクションとし、操作のタイプに基づいて対応するトランザクションレコードを形成し、ブロックチェーンに記憶するものとしてもよい。このように、デジタル証明書の状態を調べる場合は、最新のトランザクションレコードに対応するアカウントタイプに基づいて、デジタル証明書がすでに更新されたか否か、又は取り消されるか否かを決定することができる。
一実施例では、認証局は、証明書申請ノードがインタラクションノードに第2トランザクション識別子を送信するように、証明書申請ノードに第2証明書トランザクションレコードに対応する第2トランザクション識別子を返信してもよく、検証リクエストは、第2トランザクション識別子を持つものとしてもよい。
一実施では、対象トランザクションレコードは最新のトランザクションレコードであり、検証リクエストは対象デジタル証明書に対応するトランザクション識別子を持ち、ブロックチェーンから、対象デジタル証明書に対応する対象トランザクションレコードを取得するステップは、トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得し、トランザクションチェーンの末端にあるトランザクションレコードを最新のトランザクションレコードとするステップであって、トランザクションチェーンで中の各トランザクションレコードがトランザクションの順序に従って配列されるステップを含む。トランザクションチェーンは、デジタル証明書に対応するトランザクションレコードを記憶するブロックチェーンであってもよい。
具体的に、最新のトランザクションレコードは、対象デジタル証明書に対応するトランザクションレコードうち、トランザクションレコードの時刻が最も遅いトランザクションレコードである。ブロックチェーンにおいて、対象デジタル証明書に対する操作を対象デジタル証明書に対するトランザクションと見なすため、ブロックチェーンに対象デジタル証明書のトランザクションレコードが記憶され、対象デジタル証明書のトランザクションレコードから、トランザクションの時刻が最も遅いトランザクションレコードを取得して最新のトランザクションレコードとすることができる。
ブロックチェーンにおけるトランザクションリソースのトランザクションレコードは、前後が接続されており、トランザクションチェーンは、1つのトランザクションが親トランザクションの出力を消耗するとともに、その後のトランザクション(サブトランザクション)のために入力を生じるという形式を有する。トランザクションチェーンにおける各トランザクションレコードは、トランザクションの順序に従って接続されるため、トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得し、トランザクションチェーンの末端にあるトランザクションレコードを最新のトランザクションレコードとすることができる。ただし、トランザクションチェーンの末端とは、トランザクションの時刻が最も遅いトランザクションレコードがあるエンドポイントである。各トランザクションレコードには親トランザクションに対応するトランザクション識別子が記録されている。図7に示すように、1つのトランザクションチェーンを示す図である。図7において、トランザクション識別子が1001#のトランザクションレコードは、デジタル証明書をブロックチェーンに書き込む操作に対応するレコードであり、1001#は2001#の親トランザクションであり、2001#は3001#の親トランザクションである。トランザクションレコードは、デジタル証明書そのもの又はデジタル証明書に対応する識別子を含んでもよい。図7から分かるように、トランザクション入力は、前回のトランザクションに対応するトランザクション識別子である。トランザクション出力は、ユーザに対応するアカウントであり、アドレスと呼ばれてもよい。1つのトランザクションレコードには、複数のトランザクション出力が存在してもよく、1つのトランザクションレコードは、複数のトランザクションリソースを含んでもよい。
一実施例では、検証リクエストは第2トランザクション識別子を持ち、第2トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得することができる。第2トランザクション識別子は第2証明書トランザクションレコードに対応する識別子である。認証局は、第2証明書トランザクションレコードを生成する時に、証明書申請ノードが対応するインタラクションノードに第2トランザクション識別子を送信するように、証明書申請ノードに第2トランザクション識別子を送信してもよい。
一実施例では、検証リクエストは第1トランザクション識別子を持ち、トランザクションチェーンにより、対象デジタル証明書の第1トランザクション識別子に基づいて、最新のトランザクションレコードを取得することができ、このように、第2トランザクションレコードに対応する第2トランザクション識別子を証明書申請ノードに適時送信せず、証明書申請ノードが第1トランザクション識別子をインタラクションノードに送信しても、第1トランザクション識別子により最新のトランザクションレコードを取得s売ることができる。
図8に示すように、一実施例では、デジタル証明書管理方法は、以下のステップをさらに含んでもよい。
ステップS802は、検証リクエストに基づいて、ブロックチェーンから対象デジタル証明書に対応するルート証明書を取得する。
具体的に、ルート証明書は、認証局が自分に発布する証明書であり、トラストチェーンの開始点である。ルート証明書は、認証局が発布するデジタル証明書を検証するために用いられ、デジタル証明書の正当及び有効性を確認し、すなわち、対象デジタル証明書が確かにCA機構によって発行されるか否かを検証するように、ルート証明書における公開鍵を用いてデジタル証明書におけるデジタル署名を検証することできる。ルート証明書はブロックチェーンに記憶されてもよい。ルート証明書が改竄される可能性を低減するように、ルート証明書をブロックチェーンの1つ目のブロックであるブロックチェーンのジェネシスブロックに記憶してもよい。
ステップS804は、ルート証明書に基づいて、対象デジタル証明書を検証し、ルート検証結果を取得する。
具体的に、ルート検証結果は検証合格又は検証失敗であってもよい。ルート証明書を得た後、ルート証明書における公開鍵を取得して、対象デジタル証明書のデジタル署名を検証することができ、デジタル署名が検証に合格すると確認すれば、検証成功になり、デジタル署名が検証に不合格であれば、検証失敗になる。
ステップS806は、ルート検証結果は検証失敗であるか否かを判断する。
具体的に、ルート検証結果は検証失敗である場合、ステップS808に進む。ルート検証結果は検証成功である場合、ステップS204に進む。
ステップS808は、ルート検証結果は検証失敗である場合、対象デジタル証明書に対応する検証結果を検証失敗として確認する。
具体的に、ルート検証結果は検証失敗である場合、対象デジタル証明書に対応する検証結果を検証失敗として確認し、対象デジタル証明書に対する検証を続ける必要がなく、ルート検証結果は検証成功である場合、ブロックチェーンから対象デジタル証明書に対応する最新のトランザクションレコードを取得するステップに進み、対象デジタル証明書に対する検証を続ける。
一実施例では、ルート証明書、証明書発行アカウント及び証明書回収アカウントは、認証局に記憶されてもよいし、ブロックチェーンに記憶されてもよく、例えば、ルート証明書、証明書発行アカウント及び証明書回収アカウントはブロックチェーンのくあsに記憶されてもよい。検証リクエストを受信する認証局とデジタル証明書生成リクエストを受信する認証局とは同じであってもよいし、異なってもよいことが理解できる。例えば、ルート証明書、証明書発行アカウント及び証明書回収アカウントは、デジタル証明書生成リクエストを受信する認証局に記憶されてもよく、このように、ただデジタル証明書生成リクエストを受信する認証局こそ、対象デジタル証明書を検証できる。各認証局は、ルート証明書、デジタル証明書生成リクエストを受信するノードに対応する証明書発行アカウント及び証明書回収アカウントを記憶してもよく、あるいは、ブロックチェーン上のルート証明書、証明書発行アカウント、証明書回収アカウントは合意に参加する認証局に向けて公開されて調べることができる。このように、各認証局は、いずれも対象デジタル証明書を検証する検証リクエストを受信し、対象デジタル証明書を検証することができ、証明書を発布する認証局がハイジャックされ、又は崩れるとしても、他の認証局を用いて検証することができる。すなわち、異なる認証局の間は、互いに信頼でき、証明書を発布する認証局しか対象デジタル証明書を検証できないことに制限されず、1つの認証局は、複数の認証局が発布するデジタル証明書を検証することができる。
一実施例では、ブロックチェーンに対象デジタル証明書が存在するか否かを確認してもよく、存在すれば、対象デジタル証明書が検証に合格することを確認する。ブロックチェーンの数字が改竄されにくいため、ブロックチェーンにおいて一致するデジタル証明書が存在する場合は、当該デジタル証明書が信頼できることを示す。
図9は、一実施例にて提供されるデジタル証明書の検証方法の利用環境の図であり、当該利用環境は、証明書申請ノードと、同じブロックチェーンに属する認証局1、認証局2、認証局3及び認証局4とを含む。以下、図9を参照しながら、本願の実施例にて提供される証明書検証方法について説明する。
1、デジタル証明書を申請する必要がある場合、証明書申請ノードは、身元認証情報を持つデジタル証明書生成リクエストを認証局1に送信する。
2、認証局1はデジタル証明書生成リクエストを受信し、合意認証を行うように、認証局1は認証局2、認証局3及び認証局4に身元認証情報を送信する。
、合意認証の結果に基づいて、身元認証結果を合格として得る場合、認証局1は対象デジタル証明書及び対応する第1トランザクションレコードを生成し、第1トランザクションレコードをブロックチェーンにおける最新のブロックに記憶し、対象デジタル証明書及び第1トランザクション識別子を証明書申請ノードに返信する。
、インタラクションノードは、証明書申請ノードとインタラクションを行う時、デジタル証明書取得リクエストを証明書申請ノードまで送信する。
、証明書申請ノードはインタラクションノードに対象デジタル証明書及び第1トランザクション識別子を返信する。
、インタラクションノードは、第1トランザクション識別子及び対象デジタル証明書を持つ検証リクエストを認証局4に送信する。
、認証局4は、ジェネシスブロックからルート証明書を取得し、ルート証明書に基づいて、対象デジタル証明書を検証し、ルート検証結果を取得する。
8、ルート検証結果は検証合格である場合、認証局4は、第1トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンにおける最新のトランザクションレコードの受信アカウントタイプを取得し、最新のトランザクションレコードの受信アカウントタイプに基づいて検証結果を決定する。例えば、回収アカウントタイプであれば、対象デジタル証明書がすでに取り消され、検証結果は失敗であることが示される。
検証リクエストを受信して検証するものは、インタラクションノードは信頼できると考えれば、ブロックチェーンの他のノードであってもよいことが理解できる。あるいは、インタラクションノードはブロックチェーンにおけるノードであってもよく、このように、インタラクションノードもローカルに記憶されているブロックチェーンデータからルート証明書及びトランザクションレコードを取得して、検証する。
図10に示すように、一実施例では、デジタル証明書検証装置が提供され、当該デジタル証明書検証装置は、上記の認証ノード4に集積してもよく、具体的に、検証リクエスト受信モジュール1002と、対象トランザクションレコード取得モジュール1004と、対象アカウントタイプ取得モジュール1006と、検証結果決定モジュール1008とを含んでもよい。
検証リクエスト受信モジュール1002は、対象デジタル証明書を検証する検証リクエストを受信するために用いられ、
対象トランザクションレコード取得モジュール1004は、ブロックチェーンから、トランザクションリソースとして記憶される対象デジタル証明書に対応する対象トランザクションレコードを取得するために用いられ、
対象アカウントタイプ取得モジュール1006は、対象トランザクションレコードに対応する対象アカウントタイプを取得するために用いられ、ただし、異なるアカウントタイプが異なる証明書操作状態に対応し、
検証結果決定モジュール1008は、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するために用いられる。
1つの実施例では、図11に示すように、デジタル証明書検証装置は、
対象デジタル証明書を操作する操作リクエストを受信するための操作リクエスト受信モジュール1102と、
操作リクエストの操作タイプに基づいて、対象デジタル証明書に対応する対象受信アカウントタイプを決定するための受信アカウントタイプ決定モジュール1104と、
操作リクエストに対応する証明書トランザクションレコードを生成し、証明書トランザクションレコードをブロックチェーンに書き込むためのモジュールであって、証明書トランザクションレコードのトランザクションリソースは対象デジタル証明書であり、証明書トランザクションレコードにおける受信アカウントは対象受信アカウントタイプに対応するアカウントである、証明書トランザクションレコード生成モジュール1106とをさらに含む。
1つの実施例では、受信アカウントタイプ決定モジュール1104は、操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、対象受信アカウントタイプを証明書発行アカウントタイプとして決定するために用いられる。
1つの実施例では、受信アカウントタイプ決定モジュール1104は、操作リクエストに対応する操作タイプが取り消し操作タイプである場合、対象受信アカウントタイプを証明書回収アカウントタイプとして決定するために用いられる。
1つの実施例では、対象トランザクションレコードは最新のトランザクションレコードであり、対象アカウントタイプ取得モジュール1006は、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするために用いられ、検証結果決定モジュール1008は、現在の受信アカウントタイプが証明書発行アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証成功として決定するために用いられる。
1つの実施例では、対象アカウントタイプ取得モジュール1006は、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするために用いられ、検証結果決定モジュール1008は、現在の受信アカウントタイプが証明書回収アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証失敗として決定するために用いられる。
1つの実施例では、検証リクエストは対象デジタル証明書に対応するトランザクション識別子を持ち、対象トランザクションレコード取得モジュール1004は、第1トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得し、トランザクションチェーンの末端にあるトランザクションレコードを最新のトランザクションレコードとするために用いられ、ただし、トランザクションチェーン中の各トランザクションレコードがトランザクションの順序に従って配列される。
一実施例では、図12に示すように、証明書検証装置は、
証明書申請ノードから送信された、身元認証情報を持つデジタル証明書生成リクエストを受信するための証明書生成リクエスト受信モジュール1202と、
身元認証情報を各合意認証局に送信して認証し、各合意認証局が身元認証情報に基づいて認証することによって得た認証結果を取得するための認証モジュール1204と、
各合意認証局の認証結果に基づいて、証明書申請ノードに対応する身元認証結果を決定するための身元認証結果決定モジュール1206と、
デジタル証明書生成リクエストに基づいて、証明書申請ノードに対応する対象デジタル証明書を生成するための証明書生成モジュール1208と、
身元認証結果は認証合格である場合、対象デジタル証明書をトランザクションリソースとして合意認証局に対応するブロックチェーンに書き込むために用いたれ、ただし、対象デジタル証明書に対応する受信アカウントはデジタル証明書生成リクエスト受信ノードに対応する第1アカウントである書き込みモジュールとをさらに含む。
1つの実施例では、証明書検証装置は、
検証リクエストに基づいて、ブロックチェーンから対象デジタル証明書に対応するルート証明書を取得するためのルート証明書取得モジュールと、
ルート証明書に基づいて、対象デジタル証明書を検証し、ルート検証結果を取得するためのルート検証結果取得モジュールと、
ルート検証結果は検証失敗である場合、対象デジタル証明書に対応する検証結果を検証失敗として確認し、そうでなければ、ブロックチェーンから、対象デジタル証明書に対応する対象トランザクションレコードを取得するステップに進むための進入モジュールとをさらに含む。
図13は、一実施例におけるコンピュータ機器の内部構造図を示す。当該コンピュータ機器は、具体的に、図1における認証局であってもよい。図13に示すように、当該コンピュータ機器は、システムバスを介して接続されるプロセッサと、メモリと、ネットワークインタフェースと、入力装置とを含む。ただし、メモリは不揮発性記憶媒体と内部メモリとを含む。当該コンピュータ機器の不揮発性記憶媒体には、オペレーティングシステムが記憶されており、さらに、コンピュータプログラムが記憶されており、当該コンピュータプログラムがプロセッサによって実行されると、プロセッサはデジタル証明書の検証方法を実現することができる。当該内部メモリにもコンピュータプログラムが記憶されてもよく、当該コンピュータプログラムがプロセッサによって実行されると、プロセッサはデジタル証明書の検証方法を実行することができる。コンピュータ機器の入力装置は、ディスプレイ上を覆うタッチレイヤであってもよく、コンピュータ機器のハウジング上に設置されたボタン、トラックボール又はタッチパネルであってもよく、さらに、外付けのキーボード、タッチパネル又はマウスなどであってもよい。
当業者であれば、図13に示す構造は、本願の解決手段に関連する一部の構造のブロック図に過ぎず、本願の解決手段が適用されるコンピュータ機器を限定するものではなく、具体的なコンピュータ機器は、図示より多く、又は図示より少ない部材を含み、又はいくつかの部材を組み合わせ、又は異なる部材配置を有するものとしてもよいことを理解できる。
一実施例では、本願が提供するデジタル証明書検証装置は、コンピュータプログラムの形式として実現でき、コンピュータプログラムは、図13に示すコンピュータ機器上で実行できる。コンピュータ機器のメモリは、当該デジタル証明書検証装置を構成する各プログラムモジュールを記憶することができ、例えば、図10に示す検証リクエスト受信モジュール1002、対象トランザクションレコード取得モジュール1004、対象アカウントタイプ取得モジュール1006及び検証結果決定モジュール1008が挙げられる。各プログラムモジュールからないコンピュータプログラムは、本明細書に記載される本願の各実施例のデジタル証明書の検証方法におけるステップをプロセッサに実行させる。
例えば、図13に示すコンピュータ機器は、図10に示すデジタル証明書検証装置における検証リクエスト受信モジュール1002により、対象デジタル証明書を検証する検証リクエストを受信し、レコード取得モジュール1004により、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得し、対象デジタル証明書はトランザクションリソースとして記憶されており、対象アカウントタイプ取得モジュール1006により、対象トランザクションレコードに対応する対象アカウントタイプを取得し、ただし、異なるアカウントタイプが異なる証明書操作状態に対応し、検証結果決定モジュール1008により、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定する。
一実施例では、コンピュータ機器が提供され、コンピュータ機器は、メモリと、プロセッサと、メモリに記憶され、プロセッサ上で実行できるコンピュータプログラムとを含み、プロセッサは、コンピュータプログラムを実行する時に、対象デジタル証明書を検証する検証リクエストを受信するステップと、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得するステップであって、前記対象デジタル証明書はトランザクションリソースとして記憶される、ステップと、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップであって、異なるアカウントタイプが異なる証明書操作状態に対応する、ステップと、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップとを実現する。
一実施例では、コンピュータプログラムは、対象デジタル証明書を操作する操作リクエストを受信するステップと、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する対象受信アカウントタイプを決定するステップと、操作リクエストに対応する証明書トランザクションレコードを生成し、証明書トランザクションレコードをブロックチェーンに書き込むステップであって、証明書トランザクションレコードのトランザクションリソースは対象デジタル証明書であり、証明書トランザクションレコードにおける受信アカウントは対象受信アカウントタイプに対応するアカウントである、ステップと、をプロセッサに実行させる。
一実施例では、プロセッサが実行する、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する対象受信アカウントタイプを決定するステップは、操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、対象受信アカウントタイプを証明書発行アカウントタイプとして決定するステップを含む。
一実施例では、プロセッサが実行する、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する受信アカウントタイプを決定するステップは、
操作リクエストに対応する操作タイプが取り消し操作タイプである場合、対象受信アカウントタイプを証明書回収アカウントタイプとして決定するステップを含む。
一実施例では、プロセッサが実行する、対象トランザクションレコードは最新のトランザクションレコードであり、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップは、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするステップを含み、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップは、現在の受信アカウントタイプが証明書発行アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証成功として決定するステップを含む。
一実施例では、対象トランザクションレコードは最新のトランザクションレコードであり、プロセッサが実行する、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップは、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするステップを含み、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップは、現在の受信アカウントタイプが証明書回収アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証失敗として決定するステップを含む。
一実施例では、検証リクエストは対象デジタル証明書に対応するトランザクション識別子を持ち、プロセッサが実行する、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得するステップは、トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得し、トランザクションチェーンの末端にあるトランザクションレコードを最新のトランザクションレコードとするステップであって、トランザクションチェーン中の各トランザクションレコードがトランザクションの順序に従って配列される、ステップを含む。
一実施例では、コンピュータプログラムはプロセッサに、検証リクエストに基づいて、ブロックチェーンから対象デジタル証明書に対応するルート証明書を取得するステップと、ルート証明書に基づいて、対象デジタル証明書を検証し、ルート検証結果を取得するステップと、ルート検証結果は検証失敗である場合、対象デジタル証明書に対応する検証結果を検証失敗として確認し、そうでなければ、ブロックチェーンから、対象デジタル証明書に対応する対象トランザクションレコードを取得するステップに進むステップとを実行させる。
一実施例では、コンピュータ可読記憶媒体が提供され、コンピュータ可読記憶媒体にコンピュータプログラムが記憶されており、コンピュータプログラムがプロセッサによって実行される時に、対象デジタル証明書を検証する検証リクエストを受信ステップと、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得するステップであって、対象デジタル証明書はトランザクションリソースとして記憶される、ステップと、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップであって、異なるアカウントタイプが異なる証明書操作状態に対応する、ステップと、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップと、をプロセッサに実行させる。
一実施例では、コンピュータプログラムは、対象デジタル証明書を操作する操作リクエストを受信するステップと、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する対象受信アカウントタイプを決定するステップと、操作リクエストに対応する証明書トランザクションレコードを生成し、証明書トランザクションレコードをブロックチェーンに書き込むステップであって、証明書トランザクションレコードのトランザクションリソースは対象デジタル証明書であり、証明書トランザクションレコードにおける受信アカウントは対象受信アカウントタイプに対応するアカウントである、ステップと、をプロセッサに実行させる。
一実施例では、プロセッサが実行する、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する対象受信アカウントタイプを決定するステップは、操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、対象受信アカウントタイプを証明書発行アカウントタイプとして決定するステップを含む。
一実施例では、プロセッサが実行する、操作リクエストの操作タイプに基づいて、対象デジタル証明書の受信に対応する受信アカウントタイプを決定するステップは、
操作リクエストに対応する操作タイプが取り消し操作タイプである場合、対象受信アカウントタイプを証明書回収アカウントタイプとして決定するステップを含む。
一実施例では、プロセッサが実行する、対象トランザクションレコードは最新のトランザクションレコードであり、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップは、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするステップを含み、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップは、現在の受信アカウントタイプが証明書発行アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証成功として決定するステップを含む。
一実施例では、対象トランザクションレコードは最新のトランザクションレコードであり、プロセッサが実行する、対象トランザクションレコードに対応する対象アカウントタイプを取得するステップは、最新のトランザクションレコードに対応する、対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、対象アカウントタイプとするステップを含み、対象アカウントタイプに基づいて、対象デジタル証明書に対応する検証結果を決定するステップは、現在の受信アカウントタイプが証明書回収アカウントタイプである場合、対象デジタル証明書に対応する検証結果を検証失敗として決定するステップを含む。
一実施例では、検証リクエストは対象デジタル証明書に対応するトランザクション識別子を持ち、プロセッサが実行する、ブロックチェーンから対象デジタル証明書に対応する対象トランザクションレコードを取得するステップは、トランザクション識別子に基づいて、対象デジタル証明書に対応するトランザクションチェーンを取得し、トランザクションチェーンの末端にあるトランザクションレコードを最新のトランザクションレコードとするステップであって、トランザクションチェーン中の各トランザクションレコードがトランザクションの順序に従って配列される、ステップを含む。
一実施例では、コンピュータプログラムは、検証リクエストに基づいて、ブロックチェーンから対象デジタル証明書に対応するルート証明書を取得するステップと、ルート証明書に基づいて、対象デジタル証明書を検証し、ルート検証結果を取得するステップと、ルート検証結果は検証失敗である場合、対象デジタル証明書に対応する検証結果を検証失敗として確認し、そうでなければ、ブロックチェーンから、対象デジタル証明書に対応する対象トランザクションレコードを取得するステップに進むステップと、をプロセッサに実行させる。
本願の各実施例のフローチャートにおける各ステップは、矢印が示すように表示されるが、これらのステップは、必ずしも矢印が示す順序に従って実行するものではないことが理解できる。本明細書に明確に説明されない限り、これらのステップの実行は、厳しい順序に限定されず、これらのステップは他の順序で実行してもよい。そして、各実施例における少なくとも一部のステップは、複数のサブステップ又は複数の段階を含んでもよく、これらのサブステップ又は段階は、必ずしも同じ時刻で実行して完成するものではなく、異なる時刻で実行してもよく、これらのサブステップ又は段階の実行順序は、必ずしも順次行うものではなく、他のステップ又は他のステップのサブステップ若しくは段階の少なくとも一部と順番又は交替で実行してもよい。
当業者であれば、上記実施例の方法におけるフローのすべて又は一部は、コンピュータプログラムによって関連するハードウェアを指令して完成してもよく、プログラムは不揮発性コンピュータ可読記憶媒体に記憶されてもよく、当該プログラムは、実行時に、上記各方法の実施例のフローを含んでもよい。ただし、本願にて提供される各実施例に用いるメモリ、ストレージ、データベース又は他の媒体に対する援用は、いずれも不揮発性及び/又は揮発性メモリを含んでもよい。不揮発性メモリは、リードオンリーメモリ(ROM)、プログラミングROM(PROM)、電気的プログラマブルROM(EPROM)、電気的消去可能プログラマブルROM(EEPROM)又はフラッシュメモリを含んでもよい。揮発性メモリはランダムアクセスメモリ(RAM)又は外部キャッシュを含んでもよい。制限ではなく、説明として、RAMは、例えば、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、同期式DRAM(SDRAM)、ダブルデータレートSDRAM(DDRSDRAM)、強化型SDRAM(ESDRAM)、シンクリンク(Synchlink)DRAM(SLDRAM)、メモリバス(Rambus)ダイレクトRAM(RDRAM)、ダイレクトメモリバスダイナミックRAM(DRDRAM)及びメモリバスダイナミックRAM(RDRAM)など、複数種の形式で得ることができる。
以上の実施例の各技術的特徴は、任意に組み合わせてもよく、説明を簡潔にするために、上記実施例における各技術的特徴の可能な組み合わせをすべて説明しないが、これらの技術的特徴の組み合わせは、矛盾しない限り、すべて本明細書に記載される範囲と見なすべきである。
以上に記載される実施例は、本願のいくつかの実施形態を具体的で詳細的に示すが、本願の特許請求の範囲を限定するものと見なすべきではない。なお、当業者であれば、本願の思想を逸脱せず、変形及び改良をいろいろ行うことができ、これらはすべて本願の保護範囲に属する。したがって、本願の特許の保護範囲は添付する特許請求の範囲を基準とすべきである。
1002 検証リクエスト受信モジュール
1004 対象トランザクションレコード取得モジュール
1006 対象アカウントタイプ取得モジュール
1008 検証結果決定モジュール
1102 操作リクエスト受信モジュール
1104 受信アカウントタイプ決定モジュール
1106 証明書トランザクションレコード生成モジュール
1202 証明書生成リクエスト受信モジュール
1204 認証モジュール
1206 身元認証結果決定モジュール
1208 証明書生成モジュール

Claims (15)

  1. 証明書申請ノードによって発行されたデジタル証明書をコンピュータが検する方法であって、
    対象デジタル証明書を検証する検証リクエストを受信するステップと、
    ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するステップであって、前記対象デジタル証明書はトランザクションリソースとして前記ブロックチェーンに記憶される、ステップと
    前記対象トランザクションレコードに対応する対象アカウントタイプを取得するステップであって、異なるアカウントタイプが異なるトランザクションレコードに対応する、ステップと、
    前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定するステップと、を含む方法。
  2. 前記対象デジタル証明書を操作する操作リクエストを受信するステップと、
    前記操作リクエストの操作タイプに基づいて、前記対象デジタル証明書に対応する対象受信アカウントタイプを決定するステップと、
    前記操作リクエストに対応する証明書トランザクションレコードを生成し、前記証明書トランザクションレコードを前記ブロックチェーンに書き込むステップであって、記証明書トランザクションレコードのトランザクションリソースは前記対象デジタル証明書であり、前記証明書トランザクションレコードにおける受信アカウントは前記対象受信アカウントタイプに対応するアカウントである、ステップと、をさらに含む請求項1に記載の方法。
  3. 前記操作リクエストの操作タイプに基づいて、前記対象デジタル証明書に対応する対象受信アカウントタイプを決定する前記ステップは、
    前記操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、前記対象受信アカウントタイプを証明書発行アカウントタイプとして決定するステップを含み、前記挿入操作タイプは、初めてデジタル証明書を前記ブロックチェーンに記憶することに対応する操作のタイプである、請求項2に記載の方法。
  4. 前記操作リクエストの操作タイプに基づいて、前記対象デジタル証明書に対応する受信アカウントタイプを決定するステップは、
    前記操作リクエストに対応する操作タイプが取り消し操作タイプである場合、前記対象受信アカウントタイプを証明書回収アカウントタイプとして決定するステップを含む請求項2に記載の方法。
  5. 前記対象トランザクションレコードは最新のトランザクションレコードであり、対象トランザクションレコードに対応する対象アカウントタイプを取得する前記ステップは、
    前記最新のトランザクションレコードに対応する、前記対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、前記対象アカウントタイプとするステップを含み、
    前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定する前記ステップは、
    前記現在の受信アカウントタイプが証明書発行アカウントタイプである場合、前記対象デジタル証明書に対応する検証結果を検証成功として決定するステップを含む請求項1に記載の方法。
  6. 前記対象トランザクションレコードは最新のトランザクションレコードであり、前記対象トランザクションレコードに対応する対象アカウントタイプを取得する前記ステップは、
    前記最新のトランザクションレコードに対応する、前記対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、前記対象アカウントタイプとすることを含み、
    前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定する前記ステップは、
    前記現在の受信アカウントタイプが証明書回収アカウントタイプである場合、前記対象デジタル証明書に対応する検証結果を検証失敗として決定するステップを含む請求項1に記載方法。
  7. 前記検証リクエストが前記対象デジタル証明書に対応するトランザクション識別子を持ち、前記ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得する前記ステップは、
    前記トランザクション識別子に基づいて、前記対象デジタル証明書に対応するトランザクションチェーンを取得し、前記トランザクションチェーンの末端にあるトランザクションレコードを前記最新のトランザクションレコードとするステップであって、前記トランザクションチェーン中の各トランザクションレコードがトランザクションの順序に従って配列される、ステップを含む請求項5又は6に記載の方法。
  8. 前記検証リクエストに基づいて、前記ブロックチェーンから前記対象デジタル証明書に対応するルート証明書を取得するステップと、
    前記ルート証明書に基づいて、前記対象デジタル証明書を検証し、ルート検証結果を取得するステップと、
    前記ルート検証結果は検証失敗である場合、前記対象デジタル証明書に対応する検証結果を検証失敗として確認し、そうではなければ、ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するステップに進むステップと、をさらに含む請求項1に記載の方法。
  9. 認証局に適用する、証明書申請ノードによって発行されたデジタル証明書を検証する装置であって、
    対象デジタル証明書を検証する検証リクエストを受信するための検証リクエスト受信モジュールと、
    ブロックチェーンから前記対象デジタル証明書に対応する対象トランザクションレコードを取得するためのモジュールであって、前記対象デジタル証明書はトランザクションリソースとして前記ブロックチェーンに記憶される、対象トランザクションレコード取得モジュールと、
    前記対象トランザクションレコードに対応する対象アカウントタイプを取得するためのモジュールであって、異なるアカウントタイプが異なるトランザクションレコードに対応する、対象アカウントタイプ取得モジュールと、
    前記対象アカウントタイプに基づいて、前記対象デジタル証明書に対応する検証結果を決定するための検証結果決定モジュールと、を含む装置。
  10. 前記対象デジタル証明書を操作する操作リクエストを受信するための操作リクエスト受信モジュールと、
    前記操作リクエストの操作タイプに基づいて、前記対象デジタル証明書に対応する対象受信アカウントタイプを決定するための受信アカウントタイプ決定モジュールと、
    前記操作リクエストに対応する証明書トランザクションレコードを生成し、前記証明書トランザクションレコードを前記ブロックチェーンに書き込むためのモジュールであって、前記証明書トランザクションレコードのトランザクションリソースは前記対象デジタル証明書であり、前記証明書トランザクションレコードにおける受信アカウントは前記対象受信アカウントタイプに対応するアカウントである、証明書トランザクションレコード生成モジュールと、をさらに含む請求項9に記載の装置。
  11. 前記受信アカウントタイプ決定モジュールは、
    前記操作リクエストに対応する操作タイプが更新操作タイプ又は挿入操作タイプである場合、前記対象受信アカウントタイプを証明書発行アカウントタイプとして決定するために用いられ、前記挿入操作タイプは、初めてデジタル証明書を前記ブロックチェーンに記憶することに対応する操作のタイプである請求項10に記載の装置。
  12. 前記受信アカウントタイプ決定モジュールは、
    前記操作リクエストに対応する操作タイプが取り消し操作タイプである場合、前記対象受信アカウントタイプを証明書回収アカウントタイプとして決定するために用いられる請求項10に記載の装置。
  13. 前記対象トランザクションレコードは最新のトランザクションレコードであり、前記対象アカウントタイプ取得モジュールは、
    前記最新のトランザクションレコードに対応する、前記対象デジタル証明書を受信する現在の受信アカウントタイプを取得して、前記対象アカウントタイプとするために用いられ、
    前記検証結果決定モジュールは、
    前記現在の受信アカウントタイプが証明書発行アカウントタイプである場合、前記対象デジタル証明書に対応する検証結果を検証成功として決定するために用いられる請求項9に記載の装置。
  14. プロセッサと、前記プロセッサによって実行される時に、前記プロセッサに請求項1から8のいずれか一項に記載の方法のステップを実行させるコンピュータプログラムが記憶されているメモリと、を含むことを特徴とするコンピュータ。
  15. コンピュータに請求項1から8のいずれか一項に記載の方法を実行させるコンピュータプログラム。
JP2020551483A 2018-07-24 2019-06-21 デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム Active JP7109569B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810821667.6 2018-07-24
CN201810821667.6A CN108964924B (zh) 2018-07-24 2018-07-24 数字证书校验方法、装置、计算机设备和存储介质
PCT/CN2019/092268 WO2020019914A1 (zh) 2018-07-24 2019-06-21 数字证书校验方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
JP2021517412A JP2021517412A (ja) 2021-07-15
JP7109569B2 true JP7109569B2 (ja) 2022-07-29

Family

ID=64463748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020551483A Active JP7109569B2 (ja) 2018-07-24 2019-06-21 デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム

Country Status (6)

Country Link
US (1) US20200382326A1 (ja)
JP (1) JP7109569B2 (ja)
KR (1) KR102469024B1 (ja)
CN (1) CN108964924B (ja)
SG (1) SG11202011156YA (ja)
WO (1) WO2020019914A1 (ja)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108964924B (zh) * 2018-07-24 2020-06-05 腾讯科技(深圳)有限公司 数字证书校验方法、装置、计算机设备和存储介质
CN112492006B (zh) * 2018-10-31 2023-12-05 创新先进技术有限公司 一种基于区块链的节点管理方法和装置
WO2020168564A1 (zh) * 2019-02-22 2020-08-27 王健 数字货币的交易和账户验证方法,装置及存储介质
US11888992B2 (en) 2019-02-28 2024-01-30 Advanced New Technologies Co., Ltd. System and method for generating digital marks
KR102332031B1 (ko) * 2019-02-28 2021-11-29 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. 블록체인-기반 디지털 인증서를 구현하기 위한 시스템 및 방법
CN110011988B (zh) * 2019-03-21 2021-08-10 平安科技(深圳)有限公司 基于区块链的证书验证方法及装置、存储介质、电子装置
CN109921910A (zh) * 2019-03-21 2019-06-21 平安科技(深圳)有限公司 证书状态的验证方法及装置、存储介质、电子装置
CN109981689B (zh) * 2019-04-29 2020-05-12 清华大学 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置
GB2583767A (en) * 2019-05-10 2020-11-11 Nchain Holdings Ltd Methods and devices for public key management using a blockchain
CN111047319B (zh) * 2019-09-03 2021-12-10 腾讯科技(深圳)有限公司 区块链网络的交易处理方法及区块链网络
CN110688364A (zh) * 2019-09-05 2020-01-14 Oppo(重庆)智能科技有限公司 数据转移方法、装置、存储介质及电子设备
CN110675147B (zh) * 2019-09-11 2022-11-29 上海唯链信息科技有限公司 一种区块链交易方法、电子设备以及存储装置
CN110601851B (zh) * 2019-09-12 2021-06-04 腾讯科技(深圳)有限公司 在区块链网络中更换身份证书的方法、装置、介质和设备
CN110598375B (zh) * 2019-09-20 2021-03-16 腾讯科技(深圳)有限公司 一种数据处理方法、装置及存储介质
CN111106940B (zh) * 2019-11-25 2022-11-04 广州大学 一种基于区块链的资源公钥基础设施的证书交易验证方法
CN110933117B (zh) * 2020-02-18 2020-05-19 支付宝(杭州)信息技术有限公司 数字身份信息的派生、验证方法、装置及设备
CN111814145B (zh) * 2020-08-19 2024-04-26 深圳市富之富信息科技有限公司 基于日志采集的请求校验方法、装置及计算机设备
US10958450B1 (en) * 2020-10-15 2021-03-23 ISARA Corporation Constructing a multiple-entity root certificate data block chain
CN112616155B (zh) * 2020-12-28 2023-03-24 中国人民解放军63861部队 无线自组织网络性能评估方法
CN113014392B (zh) * 2021-02-19 2022-04-08 湖南大学 基于区块链的数字证书管理方法及系统、设备、存储介质
CN113114625B (zh) * 2021-03-16 2023-07-18 上海源庐加佳信息科技有限公司 基于区块链的用户身份校验方法、系统、介质及终端
CN113098879B (zh) * 2021-04-06 2022-09-20 北京众享比特科技有限公司 一种防止后端篡改上链数据的方法、系统和区块链网络
CN113112270B (zh) * 2021-05-13 2021-12-14 深圳艾贝链动科技有限公司 基于区块链的数据组织方法
CN113723957B (zh) * 2021-08-20 2023-10-27 上海浦东发展银行股份有限公司 区块链账户信息确认方法、装置、计算机设备和存储介质
US20230306439A1 (en) * 2022-03-23 2023-09-28 Keel Coleman System, method, and apparatus registering documentation of training on a distributed ledger

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170338967A1 (en) 2016-05-23 2017-11-23 Pomian & Corella Llc Operation of a certificate authority on a distributed ledger
US20180082256A1 (en) 2016-09-19 2018-03-22 Sap Se Decentralized credentials verification network
US20180101684A1 (en) 2016-10-06 2018-04-12 Mastercard International Incorporated Method and system for identity and credential protection and verification via blockchain
US20180121923A1 (en) 2015-06-18 2018-05-03 Coinplug, Inc. System and method for verifying forgery of financial institution proof documents on basis of block chain

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100453685B1 (ko) * 2002-11-05 2004-10-20 한국전자통신연구원 루트키 검증과 시알엘 선행 검증을 포함하는 변형된인증경로 검증장치및 방법
US9876775B2 (en) * 2012-11-09 2018-01-23 Ent Technologies, Inc. Generalized entity network translation (GENT)
CN106385315B (zh) * 2016-08-30 2019-05-17 北京三未信安科技发展有限公司 一种数字证书管理方法及系统
CN106384236B (zh) * 2016-08-31 2019-07-16 江苏通付盾科技有限公司 基于区块链的ca认证管理方法、装置及系统
CN106301792B (zh) * 2016-08-31 2019-10-18 江苏通付盾科技有限公司 基于区块链的ca认证管理方法、装置及系统
CN106372941B (zh) * 2016-08-31 2019-07-16 江苏通付盾科技有限公司 基于区块链的ca认证管理方法、装置及系统
US20180082290A1 (en) * 2016-09-16 2018-03-22 Kountable, Inc. Systems and Methods that Utilize Blockchain Digital Certificates for Data Transactions
US11113695B2 (en) * 2016-11-15 2021-09-07 Paypal, Inc. Token-based determination of transaction processing resources
JP6931999B2 (ja) * 2017-02-06 2021-09-08 株式会社日立製作所 信用度管理システムおよび信用度管理方法
CN106972931B (zh) * 2017-02-22 2020-05-15 中国科学院数据与通信保护研究教育中心 一种pki中证书透明化的方法
US10762481B2 (en) * 2017-03-21 2020-09-01 The Toronto-Dominion Bank Secure offline approval of initiated data exchanges
WO2018179152A1 (ja) * 2017-03-29 2018-10-04 日本電気株式会社 仮想通貨の支払代行装置、仮想通貨の支払代行方法及びプログラム記録媒体
CN107508680B (zh) * 2017-07-26 2021-02-05 创新先进技术有限公司 数字证书管理方法、装置及电子设备
CN107360001B (zh) * 2017-07-26 2021-12-14 创新先进技术有限公司 一种数字证书管理方法、装置和系统
CN107592293A (zh) * 2017-07-26 2018-01-16 阿里巴巴集团控股有限公司 区块链节点间通讯方法、数字证书管理方法、装置和电子设备
CN107590738A (zh) * 2017-08-24 2018-01-16 阿里巴巴集团控股有限公司 选择共识节点的处理方法、装置及服务器
CN108111314B (zh) * 2018-01-19 2021-04-02 苏州朗润创新知识产权运营有限公司 数字证书的生成和校验方法及设备
US20190238316A1 (en) * 2018-01-31 2019-08-01 Salesforce.Com, Inc. Systems, methods, and apparatuses for implementing intelligent consensus, smart consensus, and weighted consensus models for distributed ledger technologies in a cloud based computing environment
US10489780B2 (en) * 2018-03-05 2019-11-26 Capital One Services, Llc Systems and methods for use of distributed ledger technology for recording and utilizing credit account transaction information
US10826987B2 (en) * 2018-04-06 2020-11-03 Datalogic Ip Tech S.R.L. Systems and methods for consensus-based data security for networked devices
CN110392014B (zh) * 2018-04-17 2022-08-05 阿里巴巴集团控股有限公司 物联网设备之间的通信方法及装置
US20200013050A1 (en) * 2018-07-06 2020-01-09 Keir Finlow-Bates Blockchain based payments for digital certificate provisioning of internet of things devices
CN108964924B (zh) * 2018-07-24 2020-06-05 腾讯科技(深圳)有限公司 数字证书校验方法、装置、计算机设备和存储介质
CN109067543B (zh) * 2018-07-24 2020-04-14 腾讯科技(深圳)有限公司 数字证书管理方法、装置、计算机设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180121923A1 (en) 2015-06-18 2018-05-03 Coinplug, Inc. System and method for verifying forgery of financial institution proof documents on basis of block chain
US20170338967A1 (en) 2016-05-23 2017-11-23 Pomian & Corella Llc Operation of a certificate authority on a distributed ledger
US20180082256A1 (en) 2016-09-19 2018-03-22 Sap Se Decentralized credentials verification network
US20180101684A1 (en) 2016-10-06 2018-04-12 Mastercard International Incorporated Method and system for identity and credential protection and verification via blockchain

Also Published As

Publication number Publication date
KR20200141086A (ko) 2020-12-17
KR102469024B1 (ko) 2022-11-22
CN108964924A (zh) 2018-12-07
SG11202011156YA (en) 2020-12-30
CN108964924B (zh) 2020-06-05
US20200382326A1 (en) 2020-12-03
WO2020019914A1 (zh) 2020-01-30
JP2021517412A (ja) 2021-07-15

Similar Documents

Publication Publication Date Title
JP7109569B2 (ja) デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム
US11349674B2 (en) Digital certificate management method and apparatus, computer device, and storage medium
US11159526B2 (en) System and method for decentralized-identifier authentication
US9853819B2 (en) Blockchain-supported, node ID-augmented digital record signature method
WO2021120253A1 (zh) 链式结构数据存储、验证、实现方法、系统、装置及介质
CN108696358B (zh) 数字证书的管理方法、装置、可读存储介质及服务终端
US20230006840A1 (en) Methods and devices for automated digital certificate verification
EP3966997B1 (en) Methods and devices for public key management using a blockchain
JP7417583B2 (ja) コンピュータネットワークの間のタスクの分配のためのアキュムレータに基づくプロトコルのためのコンピュータ実施システム及び方法
JP2022051652A (ja) デジタル資産データパケットの信頼性検証システム
US11863689B1 (en) Security settlement using group signatures
Schmid Right to Sign: Safeguarding data immutability in Blockchain systems with cryptographic signatures over a broad range of available consensus finding scenarios
CN115632794A (zh) 一种分布式数字身份验证系统、方法和相关装置
CN117997559A (zh) 基于区块链的身份验证方法、装置和计算机设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200925

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220704

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220719

R150 Certificate of patent or registration of utility model

Ref document number: 7109569

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150