CN109150539A - 一种基于区块链的分布式ca认证系统、方法及装置 - Google Patents

Abstract

本发明涉及计算机技术领域，提供了一种基于区块链的分布式CA认证系统、方法及装置。所述方法包括从区链块网络所有节点中选出n个节点组成分布式私钥存储区；将所述CA认证系统的私钥分割为n个单元并传递给n个所述节点；证书注册中心RA接受认证申请，后向证书管理中心申请签发数字证书；证书管理中心生成数字证书，密钥管理中心从分布式私钥存储区的任意k个服务节点调取密钥分割单元恢复CA私钥；证书签名服务器对所述数字证书进行数字签名，由证书注册中心RA向客户发放完成签名的数字证书，采用该方法完成CA认证，保证了CA私钥的安全，实现了去中心化的认证，能更好地与区块链搭配使用。

Description

一种基于区块链的分布式CA认证系统、方法及装置

技术领域

本发明涉及计算机技术领域，具体涉及一种基于区块链的分布式CA认证系统、方法及装置。

背景技术

CA(Certificate Authority)认证中心采用PKI(Public Key Infrastructure)公开密钥基础架构技术，专门提供网络身份认证服务，CA认证中心可以是民间团体，也可以是政府机构。CA认证中心负责签发和管理数字证书，且具有权威性和公正性，其作用就像我们现实生活中颁发证件的公司，如护照办理机构。CA认证中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改数字证书。

目前的CA认证系统属于中心化的认证，CA认证中心所在地设置有多台服务器，每台服务器分别完成特定的功能，多台服务器组合完成数字证书的签发、更新和撤销。

这种模式下CA认证中心的安全性差，证书管理服务器一旦被攻破，将直接威胁到用户的数据安全，而且与区块链的去中心化的思路相矛盾，不适合与区块链搭配使用。

发明内容

基于此，有必要针对上述的问题，提供一种基于区块链的分布式CA认证系统、方法及装置。

本发明实施例是这样实现的，一种基于区块链的分布式CA系统，包括：

分布式私钥存储区，用于存储CA认证系统的私钥分割单元，所述分布式私钥存储区由区链块网络中选出的n个节点组成，1≤n，所述私钥分割单元由所述CA认证系统的私钥分割成n份得到，每个所述节点各存储一个私钥分割单元；

证书注册中心RA，用于接受客户的认证申请、对客户提交的材料进行审核、审核通过后向证书管理中心申请签发数字证书发及向客户发放完成数字签名的数字证书；

证书管理中心，用于接受证书注册中心发出的签发数字证书的申请、密钥管理中心发出密钥调用指令、生成相应的数字证书并传递给证书签名服务器；

密钥管理中心，用于接收证书管理中心的密钥调用指令，从分布式私钥存储区的n个所述节点中的任意k个节点调取密钥分割单元，恢复CA私钥，1≤k≤n，并将密钥进行临时存储及传递给证书签名服务器；

证书签名服务器，用于接收证书管理中心生成的数字证书，使用恢复的CA私钥对所述数字证书进行数字签名，并向证书注册中心RA分发数字证书。

另外，本发明还提供了一种基于区块链的分布式认证方法，应用于密钥管理中心，包括以下步骤：

密钥管理中心从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，1≤n；

密钥管理中心将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点；

在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，密钥管理中心接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

在证书签名服务器收到证书管理中心生成的数字证书之后，密钥管理中心接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，密钥管理中心接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，销毁暂时存储的CA私钥，完成CA认证。

另外，本发明还提供了一种基于区块链的分布式认证装置，应用于密钥管理中心，包括：

节点选取单元，用于从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，1≤n；

私钥分割传递单元，用于将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点；

私钥恢复单元，用于在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

私钥传递单元，用于在证书签名服务器收到证书管理中心生成的数字证书之后，接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

私钥使用监管单元，用于在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，并销毁暂时存储的CA私钥，完成CA认证。

本发明实施例提供的一种基于区块链的分布式CA认证系统，从所有网络节点中按照随机或者利用区块链的共识算法选出n个节点组成分布式私钥存储区，将分布式CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点，在需要CA认证系统的私钥对数字证书进行数字签名时，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，完成数字证书的数字签名。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

附图说明

图1是本发明实施例提供的一种基于区块链的分布式CA认证系统实施环境示意图；

图2是本发明实施例提供的一种基于区块链的分布式CA认证系统结构示意图；

图3是本发明实施例提供的一种基于区块链的分布式CA认证系统用于完成数字证书更新的流程图；

图4是本发明实施例提供的一种基于区块链的分布式CA认证系统用于完成数字证书撤销的流程图；

图5是本发明实施例提供的一种基于区块链的分布式CA认证方法流程图；

图6是本发明实施例提供的一种基于区块链的分布式CA认证方法时序图；

图7是本发明实施例提供的一种基于区块链的分布式CA认证装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图1-7及实施例，对本发明进行进一步详细说明。应当理解，此处所述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

本发明实施例提供的一种基于区块链的分布式CA认证系统，从所有网络节点中按照随机或者利用区块链的共识算法选出n个节点组成分布式私钥存储区，将分布式CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点，在需要CA认证系统的私钥对数字证书进行数字签名时，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，完成数字证书的数字签名。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

图1是本发明实施例提供的一种基于区块链的分布式CA认证系统实施环境示意图，为了便于说明，仅示出与本发明实施例有关的部分。

参见图1，包括至少n个节点通过网络与本发明实施例提供的一种基于区块链的分布式CA认证系统连接，组成分布式密钥存储区，这n个结点的类型包括但不限于客户终端1，站点2及服务器3，系统内部服务器包括证书注册中心RA，证书管理中心，密钥管理中心及证书签名服务器，各部分之间相互连接，客户线下向证书注册中心RA申请进行认证，证书管理中心生成相应的数字证书，密钥管理中心通过网络从分布式密钥存储区中调取密钥分割单元恢复CA私钥，证书签名服务器使用恢复的CA私钥对证书管理中心生成的数字证书进行数字签名，并向证书注册中心分发数字证书，由证书注册中心向客户分发数字证书，当该系统用于数字证书的更新或者撤销时，至少有一个客户终端1通过网络与本系统相连接，这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

其中，分布式密钥存储区只接受密钥管理中心的统一管理

在本发明实施例中，网络可以有线网络，也可以是无线网络。

实施例一

图2是本发明实施例提供的一种基于区块链的分布式CA认证系统200的结构示意图，为了便于说明，仅给出与本发明相关的部分。

系统200包括分布式私钥存储区201，证书注册中心RA202，证书管理中心203，密钥管理中心204，证书签名服务器205。

分布式私钥存储区201，用于存储CA认证系统的私钥分割单元，所述分布式私钥存储区由区链块网络中选出的n个节点组成，1≤n，所述私钥分割单元由所述CA认证系统的私钥分割成n份得到，每个所述节点各存储一个私钥分割单元。

在本发明实施例中，所述n个节点按照随机或者利用区块链的共识算法或者其他自定义规则从区块链网络所有节点中选出。

在本发明实施例中，所述所述私钥分割单元由所述CA认证系统的私钥分割成n份得到，利用的是(k，n)门限秘密共享的思想，将私钥以适当的方式分割为n个单元，每个单元由分布式私钥存储区201中的一个节点管理，单个节点无法恢复CA认证系统的私钥，只有k个及k个以上节点一同协作才能恢复CA认证系统的私钥。更重要的是，当其中任何相应数理范围内的服务节点遭受攻击或因其它原因不能继续工作时，CA认证系统的私钥仍可以完整恢复。

证书注册中心RA202，用于接受客户的认证申请、对客户提交的材料进行审核、审核通过后向证书管理中心申请签发数字证书发及向客户发放完成数字签名的数字证书。

在本发明实施例中，所述证书注册中心RA按照统一的认证流程和管理规范对客户提交的材料进行核验，根据核验的结果有权决定是否为其进行认证；所述证书注册中心RA下设有证书申请终端，负责证书信息的录入和申请的提交；所述证书注册中心RA通常为实体受理点，直接与用户对接。

在本发明实施例中，所述客户提交的材料包括《单位数字证书申请表》及使用协议、工商营业执照、组织机构代码证、经办人有效身份证件、承诺书以及相应的证书费用。

证书管理中心203，用于接受证书注册中心发出的签发数字证书的申请、密钥管理中心发出密钥调用指令、生成相应的数字证书并传递给证书签名服务器。

密钥管理中心204，用于接收证书管理中心的密钥调用指令，从分布式私钥存储区的n个所述节点中的任意k个节点调取密钥分割单元，恢复CA私钥，1≤k≤n，并将密钥进行临时存储及传递给证书签名服务器。

证书签名服务器205，用于接收证书管理中心生成的数字证书，使用恢复的CA私钥对所述数字证书进行数字签名，并向证书注册中心RA分发数字证书。

在本发明实施例中，所述数字证书遵守X.509格式标准，内容包括但不限于：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。

在本发明实施例中，从所有网络节点中按照随机或者利用区块链的共识算法选出n个节点组成分布式私钥存储区，将分布式CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点，在需要CA认证系统的私钥对数字证书进行数字签名时，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，完成数字证书的数字签名。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

在本发明实施例中，分布式私钥存储区201的组建一次完成，之后应客户申请，使用该系统进行数字证书的认证、更新及撤销时无需重复组建，即本系统是一次组建永久使用，以下结合实施例进行说明。

实施例二：

图3是本发明实施例提供的一种基于区块链的分布式CA认证系统用于完成数字证书更新的流程图，为了便于说明，仅给出与本发明相关的部分。

在步骤S301中，证书管理中心向客户发出更新提示，并接收客户的更新申请。

在本发明实施例中，所述证书管理中心是对所有数字证书进行管理的核心，负责数字证书的生成、更新、撤销等操作，维护数字证书库，发布CRL等。数字证书的内容中包含了数字证书的有效期，在该有效期之前，所述证书管理中心向客户发出更新提示，其用户接受更新则向所述证书管理中心提交更新请求，若客户放弃更新，则数字证书效力到期终止。

在步骤S302中，证书签名服务器接收证书管理中心接受客户的更新申请后生成的新的数字证书。

在步骤S303中，密钥管理中心接收证书管理中心模块发出的指令，所述从分布式私钥存储模块的n个所述服务节点中任意k个服务节点调取密钥分割单元恢复CA私钥，1≤k≤n。

在步骤S304中，证书签名服务器调用恢复的私钥对所述新的数字证书进行数字签名，并向证书注册中心RA分发数字证书。

在步骤S305中，证书注册中心RA接收证书签名中心分发的数字证书，并向客户发放完成签名的数字证书，完成数字证书的更新。

该过程与初次进行认证的过程相同，此处不再赘述。

在本发明实施例中，数字证书的更新采用的是线上操作，系统在客户初次申请数字证书时已经完成了对客户身份的核验，数字证书更新时只需要提交相应的费用及申请文件，即可在线完成数字证书的更新，此过程的前期不再需要证书注册中心RA的参与。

本发明实施例提供的一种基于区块链的分布式CA认证系统，采用该系统完成数字证书的更新，证书管理中心向客户发出更新提示，并接收客户的更新申请，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，签名服务器使用恢复的CA私钥完成数字证书的数字签名，由证书注册中心下发数字证书。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

本发明实施例提供的一种基于区块链的分布式CA认证系统，还可完成数字证书的撤销，以下结合实施例三进行说明。

实施例三：

图4是本发明实施例提供的一种基于区块链的分布式CA认证系统用于完成数字证书撤销的流程图，为了便于说明，仅给出与本发明相关的部分。

在步骤S401中，证书管理中心向客户发出数字证书撤销提示。

在步骤S402中，证书管理中心发出撤销提示后的相应时间段之后发布相应CRL。

在本发明的实施例中，数字证书的撤销是指在数字证书终止日期之前，CA认证中心可以单方面进行撤销，条件包括但不限于：证书管理系统的不适用或者证书系统的整合需要；证书用户未能履行与SHECA之间的协议，如未缴纳费用，而被这些有权利主张撤销的实体提出；证书的不当使用而违反国家的法律法规、SHECA CPS规定的主要和重要义务等。撤销也可由客户发起，理由包括但不限于：与证书中的公钥相对应的私钥被泄密、被窃取、被篡改或者其它原因产生对私钥的安全性顾虑；证书中的用户相关信息发生变更；由于证书不再需要用于原来的用途而要求终止；证书中的相关内容，和提交申请进行注册时不同的等。

在本发明的实施例中，CRL(Certificate Revocation List)为证书吊销列表，表中列出了被CA中心依规定撤销其有效性的数字证书序列号，通过全网公开的形式宣布其无效。

本发明实施例提供的一种基于区块链的分布式CA认证系统，采用该系统完成数字证书的撤销，全程在线上进行，只需要证书管理中心的参与，便捷高效。

实施例四：

图5是本发明实施例提供的一种基于区块链的分布式CA认证方法流程图，图6是与之对应的时序图，为了便于说明，仅给出与本发明相关的部分。

在步骤S501中，密钥管理中心从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，其中1≤n。

在本发明实施例中，所述n个节点按照随机或者利用区块链的共识算法或者其他自定义规则从区块链网络所有节点中选出。

在步骤S502中，密钥管理中心将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点。

在本发明实施例中，所述所述私钥分割单元由所述CA认证系统的私钥分割成n份得到，利用的是(k，n)门限秘密共享的思想，将私钥以适当的方式分割为n个单元，每个单元由分布式私钥存储区201中的一个节点管理，单个节点无法恢复CA认证系统的私钥，只有k个及k个以上节点一同协作才能恢复CA认证系统的私钥。更重要的是，当其中任何相应数理范围内的服务节点遭受攻击或因其它原因不能继续工作时，CA认证系统的私钥仍可以完整恢复。

在步骤S503中，在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，密钥管理中心接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n。

在本发明实施例中，所述证书注册中心RA按照统一的认证流程和管理规范对客户提交的材料进行核验，根据核验的结果有权决定是否为其进行认证；所述证书注册中心RA下设有证书申请终端，负责证书信息的录入和申请的提交；所述证书注册中心RA通常为实体受理点，直接与用户对接。

在本发明实施例中，所述客户提交的材料包括《单位数字证书申请表》及使用协议、工商营业执照、组织机构代码证、经办人有效身份证件、承诺书以及相应的证书费用。

在步骤S504中，在证书签名服务器收到证书管理中心生成的数字证书之后，密钥管理中心接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器。

在本发明实施例中，所述数字证书遵守X.509格式标准，内容包括但不限于：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。

在步骤S505中，在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，密钥管理中心接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，销毁暂时存储的CA私钥，完成CA认证。

在本发明实施例中，从所有网络节点中按照随机或者利用区块链的共识算法选出n个节点组成分布式私钥存储区，将分布式CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点，在需要CA认证系统的私钥对数字证书进行数字签名时，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，完成数字证书的数字签名。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

实施例五：

图7是本发明实施例提供的一种基于区块链的分布式CA认证装置的结构示意图，应用于密钥管理中心，为了便于说明，仅示出了与本发明实施例相关的部分。

装置700包括：节点选取单元701，私钥分割传递单元702，密钥恢复单元703，CA私钥传递单元704，密钥使用监管单元705。

节点选取单元701，用于从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，1≤n。

在本发明实施例中，所述n个节点按照随机或者利用区块链的共识算法或者其他自定义规则从区块链网络所有节点中选出。

私钥分割传递单元702，用于将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点。

私钥恢复单元703，用于在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n。

在本发明实施例中，所述证书注册中心RA按照统一的认证流程和管理规范对客户提交的材料进行核验，根据核验的结果有权决定是否为其进行认证；所述证书注册中心RA下设有证书申请终端，负责证书信息的录入和申请的提交；所述证书注册中心RA通常为实体受理点，直接与用户对接。

在本发明实施例中，所述客户提交的材料包括《单位数字证书申请表》及使用协议、工商营业执照、组织机构代码证、经办人有效身份证件、承诺书以及相应的证书费用。

私钥传递单元704，用于在证书签名服务器收到证书管理中心生成的数字证书之后，接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器。

私钥使用监管单元705，用于在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，并销毁暂时存储的CA私钥，完成CA认证。

在本发明实施例中，所述数字证书遵守X.509格式标准，内容包括但不限于：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。

在本发明实施例中，从所有网络节点中按照随机或者利用区块链的共识算法选出n个节点组成分布式私钥存储区，将分布式CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点，在需要CA认证系统的私钥对数字证书进行数字签名时，由密钥管理中心从n个所述分布式私钥存储区中的任意k个节点调取密钥分割单元恢复CA私钥，完成数字证书的数字签名。这种去中心化的认证方法有效避免了CA认证系统服务器被攻击造成密钥丢失，保证了客户信息的安全，并且采用分布式架构，易于与区块链搭配使用。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (10)

1.一种基于区块链的分布式CA认证系统，其特征在于，所述系统包括：

分布式私钥存储区，用于存储CA认证系统的私钥分割单元，所述分布式私钥存储区由区链块网络中选出的n个节点组成，1≤n，所述私钥分割单元由所述CA认证系统的私钥分割成n份得到，每个所述节点各存储一个私钥分割单元；

证书注册中心RA，用于接受客户的认证申请、对客户提交的材料进行审核、审核通过后向证书管理中心申请签发数字证书发及向客户发放完成数字签名的数字证书；

证书管理中心，用于接受证书注册中心发出的签发数字证书的申请、密钥管理中心发出密钥调用指令、生成相应的数字证书并传递给证书签名服务器；

密钥管理中心，用于接收证书管理中心的密钥调用指令，从分布式私钥存储区的n个所述节点中的任意k个节点调取密钥分割单元，恢复CA私钥，1≤k≤n，并将密钥进行临时存储及传递给证书签名服务器；

证书签名服务器，用于接收证书管理中心生成的数字证书，使用恢复的CA私钥对所述数字证书进行数字签名，并向证书注册中心RA分发数字证书。

2.根据权利要求1所述的系统，其特征在于，所述n个节点按照随机或者利用区块链的共识算法在区块链网络所有节点中选出。

3.根据权利要求1所述的认证系统，其特征在于，

所述证书管理中心还用于：向客户发出更新提示，接收客户的更新申请；

所述证书签名服务器还用于：接收证书管理中心接受客户的更新申请后生成的新的数字证书；

所述分布式私钥存储区还用于：存储CA认证系统的私钥分割单元；

所述密钥管理中心还用于：接收证书管理中心模块发出的指令，所述从分布式私钥存储模块的n个所述服务节点中任意k个服务节点调取密钥分割单元恢复CA私钥，1≤k≤n；

所述证书签名服务器还用于：调用恢复的私钥对所述新的数字证书进行数字签名，并向证书注册中心RA分发数字证书；

所述证书注册中心RA还用于：接收证书签名中心分发的数字证书，并向客户发放完成签名的数字证书，完成数字证书的更新。

4.根据权利要求1所述的系统，其特征在于，所述分布式CA认证系统完成数字证书撤销的模块包括：

证书管理中心，用于向客户发出撤销提示，并在发出撤销提示后的相应时间段之后发布相应CRL。

5.一种基于区块链的分布式CA认证方法，应用于密钥管理中心，其特征在于，所述方法包括以下步骤：

密钥管理中心从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，其中1≤n；

密钥管理中心将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点；

在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，密钥管理中心接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

在证书签名服务器收到证书管理中心生成的数字证书之后，密钥管理中心接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，密钥管理中心接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，销毁暂时存储的CA私钥，完成CA认证。

6.根据权利要求5所述的方法，应用于密钥管理中心，其特征在于，所述方法完成数字证书更新的步骤包括：

在证书管理中心向客户发出更新提示并接收客户的更新申请后，密钥管理中心接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

在证书签名服务器收到证书管理中心生成的数字证书之后，密钥管理中心接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，密钥管理中心接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，销毁暂时存储的CA私钥，完成CA认证。

7.根据权利要求5所述的方法，其特征在于，所述n个节点按照随机或者利用区块链的共识算法在区块链网络所有节点中选出。

8.一种基于区块链的分布式CA认证装置，应用于密钥管理中心，其特征在于，所述装置包括：

节点选取单元，用于从区链块网络所有节点中选出n个节点组成分布式CA私钥存储区，1≤n；

私钥分割传递单元，用于将CA认证系统的私钥分割为n个单元，并将这n个单元一对一地分别传递给n个所述节点；

私钥恢复单元，用于在证书注册中心通过客户的认证申请并向证书管理中心申请签发数字证书之后，接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

私钥传递单元，用于在证书签名服务器收到证书管理中心生成的数字证书之后，接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

私钥使用监管单元，用于在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，并销毁暂时存储的CA私钥，完成CA认证。

9.根据权利要求8所述的装置，应用于密钥管理中心，其特征在于，所述装置实现数字证书的更新包括：

私钥恢复单元，用于在证书管理中心向客户发出更新提示并接收客户的更新申请后，接收证书管理中心发出的密钥恢复请求，并从所述分布式CA私钥存储区的n个节点中的任意k个节点调取密钥分割单元恢复CA私钥并暂时存储，1≤k≤n；

私钥传递单元，用于在证书签名服务器收到证书管理中心生成的数字证书之后，接收证书签名服务器发出的密钥调用申请，并将存储的CA私钥传递给证书签名服务器；

私钥使用监管单元，用于在证书签名服务器使用所述CA私钥完成数字签名并向证书注册中心发放数字证书之后，接收证书签名服务器发出的CA私钥使用完毕并已成功销毁的通知，并销毁暂时存储的CA私钥，完成CA认证。

10.根据权利要求8所述的装置，其特征在于，所述n个节点按照随机或者利用区块链的共识算法在区块链网络所有节点中选出。