CN109936453B - 基于区块链维护证书注销列表的方法、装置、设备及介质 - Google Patents
基于区块链维护证书注销列表的方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN109936453B CN109936453B CN201711365678.XA CN201711365678A CN109936453B CN 109936453 B CN109936453 B CN 109936453B CN 201711365678 A CN201711365678 A CN 201711365678A CN 109936453 B CN109936453 B CN 109936453B
- Authority
- CN
- China
- Prior art keywords
- crl
- data block
- block
- block chain
- crl data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种基于区块链维护证书注销列表的方法、装置、设备及介质,用以解决证书注销状态的查询流程比较繁琐的问题。具体为:联盟区块链系统中的各个CA运营节点在设定的维护周期内获取待发布的CRL;创建用于维护CRL的CRL数据块;广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中。通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,实现了各个CA运营节点的CRL的共享,进而,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于区块链维护证书注销列表(Certificate Revocation List,CRL)的方法、装置、设备及介质。
背景技术
证书授权(Certificate Authority,CA)运营机构是数字证书的签发机构,CA运营机构在签发数字证书时,通常会附有该数字证书的有效期,即该数字证书必须在有效期内使用,若在有效期内出现私钥泄密、用户和CA机构之间的关系发生改变等情况,CA运营机构必须在该数字证书的有效期过期之前注销该数字证书,而且,CA运营机构需要定期发布证书注销列表(Certificate Revocation List,CRL),以便在使用数字证书的过程中根据CRL查验该数字证书是否已注销。
目前,全国的CA运营机构多达数十家,各个CA运营机构维护各自的CRL,而且,各个CA运营机构的CRL无法实现共享,这就给数字证书的注销状态查询带来很大难度,查询流程较为繁琐。
发明内容
本发明实施例提供了一种基于区块链维护CRL的方法、装置、设备及介质,用以解决现有技术中存在的证书注销状态的查询流程比较繁琐的问题。
本发明实施例提供的具体技术方案如下:
一种维护CRL的方法,应用于联盟区块链系统中的各个CA运营节点,方法包括在设定的维护周期内执行以下操作:
获取待发布的CRL;
创建用于维护CRL的CRL数据块;
广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
较佳的,采用以下方式设定维护周期:
基于当前时间、预设的维护优先级和预设的维护时间段,确定维护周期的起始时间;
将以起始时间为起始的预设的维护时间段设定为维护周期。
较佳的,创建用于维护CRL的CRL数据块,包括:
获取本地维护的注销区块链中的当前最后一个CRL数据块;
确定当前最后一个CRL数据块的摘要值;
将当前最后一个CRL数据块的摘要值作为区块头,以及将CRL作为区块体;
基于区块头和区块体,生成用于维护CRL的CRL数据块。
较佳的,该方法还包括:
接收联盟区块链系统中的其他CA运营节点广播的CRL数据块;
验证CRL数据块是否合法;
若是,则将CRL数据块更新至本地维护的注销区块链中;
若否,则删除CRL数据块。
较佳的,验证CRL数据块是否合法,包括:
从联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对CRL数据块进行合法性验证;
从每一个共识节点返回的验证结果中,统计出表征CRL数据块合法的验证结果的数量;
若数量不小于预设阈值,则认定CRL数据块合法;若数量小于预设阈值,则认定CRL数据块非法。
一种维护CRL的装置,应用于联盟区块链系统中的各个CA运营节点,装置包括获取模块,创建模块,以及广播模块,其中,获取模块、创建模块和广播模块分别用于在设定的维护周期内执行以下操作:
获取模块,用于获取待发布的CRL;
创建模块,用于创建用于维护CRL的CRL数据块;
广播模块,用于广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
较佳的,该装置还包括设定模块,其中,设定模块用于采用以下方式设定维护周期:
基于当前时间、预设的维护优先级和预设的维护时间段,确定维护周期的起始时间;
将以起始时间为起始的预设的维护时间段设定为维护周期。
较佳的,在创建用于维护CRL的CRL数据块时,创建模块具体用于:
获取本地维护的注销区块链中的当前最后一个CRL数据块;
确定当前最后一个CRL数据块的摘要值;
将当前最后一个CRL数据块的摘要值作为区块头,以及将CRL作为区块体;
基于区块头和区块体,生成用于维护CRL的CRL数据块。
较佳的,该装置还包括更新模块,其中,更新模块用于:
接收联盟区块链系统中的其他CA运营节点广播的CRL数据块;
验证CRL数据块是否合法;
若是,则将CRL数据块更新至本地维护的注销区块链中;
若否,则删除CRL数据块。
较佳的,在验证CRL数据块是否合法时,更新模块具体用于:
从联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对CRL数据块进行合法性验证;
从每一个共识节点返回的验证结果中,统计出表征CRL数据块合法的验证结果的数量;
若数量不小于预设阈值,则认定CRL数据块合法;若数量小于预设阈值,则认定CRL数据块非法。
一种非易失性计算机存储介质,非易失性计算机存储有计算机可执行指令,计算机可执行指令用于使计算机执行如上述维护CRL的方法的步骤。
一种用于维护证书注销列表CRL的设备,包括:存储器、处理器和存储在存储器上的计算机程序,处理器执行计算机程序时实现如上述维护CRL的方法的步骤。
本发明实施例的有益效果如下:
本发明实施例中,通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,在实现了对该联盟区块链系统中的各个CA运营节点的CRL的维护的同时,也实现了各个CA运营节点的CRL的共享,而且,联盟区块链系统中的各个CA运营节点均维护有注销区块链,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率,而且,在通过CRL数据块维护各个CA运营节点的CRL的过程中,由于CRL数据块一旦被创建,则不易被篡改,因此,通过CRL数据块对各个CA运营节点的CRL进行维护,安全性较高,可靠性较强。
附图说明
图1A为本发明实施例中提供的联盟区块链系统的结构示意图;
图1B为本发明实施例一中提供的维护CRL的方法的概况示意图;
图2为本发明实施例二中维护CRL的方法的具体流程示意图;
图3为本发明实施例三中维护CRL的装置的功能结构示意图;
图4为本发明实施例五中用于维护CRL的设备的硬件结构示意图;
图5为本发明实施例六中数字证书管理系统的层结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中存在的证书注销状态的查询流程比较繁琐的问题,本发明实施例中,CA监管机构(包括但不限于工信部、国密局等)作为CA监管节点加入如图1A所示的联盟区块链系统,各个CA运营机构作为CA运营节点由CA监管节点审核并签发包含公私钥密钥对的数字证书后加入该联盟区块链系统,也就是说,只有持有合法的数字证书的CA运营节点才能加入该联盟区块链系统,而且,为了避免信息泄露,保证信息安全,各个CA管理节点和CA运营节点的操作权限各不相同,比如,CA管理节点的操作权限是验证各个CA运营节点的身份是否合法、访问各个CA运营节点维护的注销区块链等;各个CA运营节点的操作权限是创建CRL数据块、维护注销区块链等。具体地,该联盟区块链系统中的各个CA运营节点可以在设定的维护周期内获取待发布的CRL,并创建用于维护获得的CRL的CRL数据块,以及广播该CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将该CRL数据块更新至本地维护的注销区块链中。这样,通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,在实现了对该联盟区块链系统中的各个CA运营节点的CRL的维护的同时,也实现了各个CA运营节点的CRL的共享,而且,联盟区块链系统中的各个CA运营节点均维护有注销区块链,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率,而且,在通过CRL数据块维护各个CA运营节点的CRL的过程中,由于CRL数据块一旦被创建,则不易被篡改,因此,通过CRL数据块对各个CA运营节点的CRL进行维护,安全性较高,可靠性较强。
下面通过具体实施例对本发明方案进行详细描述,当然,本发明并不限于以下实施例。
实施例一
本发明实施例一中提供了一种维护CRL的方法,应用于如图1A所示的联盟区块链系统中的各个CA运营节点,参阅图1B所示,该维护CRL的方法的流程如下:
步骤101:获取待发布的CRL。
步骤102:创建用于维护CRL的CRL数据块。
步骤103:广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
本发明实施例一中,通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,在实现了对该联盟区块链系统中的各个CA运营节点的CRL的维护的同时,也实现了各个CA运营节点的CRL的共享,而且,联盟区块链系统中的各个CA运营节点均维护有注销区块链,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率,而且,在通过CRL数据块维护各个CA运营节点的CRL的过程中,由于CRL数据块一旦被创建,则不易被篡改,因此,通过CRL数据块对各个CA运营节点的CRL进行维护,安全性较高,可靠性较强。
实施例二
本发明实施例二对上述实施例作了进一步详细说明,具体地,参阅图2所示,该维护CRL的方法的具体流程如下:
步骤201:设定维护周期。
在具体实施时,在执行步骤201时可以采用但不限于以下方式:基于当前时间、预设的维护优先级和预设的维护时间段,确定维护周期的起始时间;将以起始时间为起始的预设的维护时间段设定为维护周期。比如,当前时间为00:00,预设的维护优先级为3,预设的维护时间段为6分钟,则维护周期的起始时间为当前时间00:00+(维护优先级3-1)×预设的维护时间段6min=00:12,进一步地,可以将以00:12为起始时间的6min作为维护周期,即将00:12-00:18作为维护周期。这样,就可以使联盟区块链系统中的各个CA运营节点在各自对应的维护周期内创建CRL数据块,尽可能地避免了由于各个CA运营节点同时产生CRL数据块区块,导致注销区块链的维护和更新较为混乱,从而影响计算性能的问题。
步骤202:确定到达设定的维护周期的起始时间时,获取待发布的CRL。
步骤203:获取本地维护的注销区块链中的当前最后一个CRL数据块,并确定该当前最后一个CRL数据块的摘要值。
步骤204:将该当前最后一个CRL数据块的摘要值作为区块头,将获得的该CRL作为区块体,并基于该区块头和该区块体,生成用于维护该CRL的CRL数据块。
步骤205:广播该CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将该CRL数据块更新至本地维护的注销区块链中。
具体地,联盟区块链系统中的各个CA运营节点可以采用但不限于如步骤206至步骤210所示的方法,来将其他CA运营节点广播的CRL数据块更新至本地维护的注销区块链中:
步骤206:接收联盟区块链系统中的其他CA运营节点广播的CRL数据块。
步骤207:验证该CRL数据块是否合法,若是,则执行步骤208;若否,则执行步骤209。
在具体实施时,在验证该CRL数据块是否合法时,可以采用但不限于以下方式:
首先,从联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对该CRL数据块进行合法性验证。
然后,从每一个共识节点返回的验证结果中,统计出表征该CRL数据块合法的验证结果的数量。
最后,根据统计出的表征CRL数据块合法的验证结果的数量是否不小于预设阈值,确定该CRL数据块是否合法,即若数量不小于预设阈值,则认定该CRL数据块合法;若数量小于预设阈值,则认定该CRL数据块非法。
步骤208:将该CRL数据块更新至本地维护的注销区块链中。
步骤209:删除该CRL数据块。
本发明实施例二中,通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,在实现了对该联盟区块链系统中的各个CA运营节点的CRL的维护的同时,也实现了各个CA运营节点的CRL的共享,而且,联盟区块链系统中的各个CA运营节点均维护有注销区块链,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率,而且,在通过CRL数据块维护各个CA运营节点的CRL的过程中,由于CRL数据块一旦被创建,则不易被篡改,因此,通过CRL数据块对各个CA运营节点的CRL进行维护,安全性较高,可靠性较强。
实施例三
基于上述实施例,本发明实施例三中提供了一种维护CRL的装置,应用于联盟区块链系统中的各个CA运营节点,参阅图3所示,该维护CRL的装置至少包括获取模块301,创建模块302,以及广播模块303,其中,获取模块301、创建模块302和广播模块303分别用于在设定的维护周期内执行以下操作:
获取模块301,用于获取待发布的CRL;
创建模块302,用于创建用于维护CRL的CRL数据块;
广播模块303,用于广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
较佳的,该装置还包括设定模块304,其中,设定模块304用于采用以下方式设定维护周期:
基于当前时间、预设的维护优先级和预设的维护时间段,确定维护周期的起始时间;
将以起始时间为起始的预设的维护时间段设定为维护周期。
较佳的,在创建用于维护CRL的CRL数据块时,创建模块302具体用于:
获取本地维护的注销区块链中的当前最后一个CRL数据块;
确定当前最后一个CRL数据块的摘要值;
将当前最后一个CRL数据块的摘要值作为区块头,以及将CRL作为区块体;
基于区块头和区块体,生成用于维护CRL的CRL数据块。
较佳的,该装置还包括更新模块305,其中,更新模块305用于:
接收联盟区块链系统中的其他CA运营节点广播的CRL数据块;
验证CRL数据块是否合法;
若是,则将CRL数据块更新至本地维护的注销区块链中;
若否,则删除CRL数据块。
较佳的,在验证CRL数据块是否合法时,更新模块305具体用于:
从联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对CRL数据块进行合法性验证;
从每一个共识节点返回的验证结果中,统计出表征CRL数据块合法的验证结果的数量;
若数量不小于预设阈值,则认定CRL数据块合法;若数量小于预设阈值,则认定CRL数据块非法。
实施例四
在介绍了本发明示例性实施方式的方法和装置之后,接下来,对本发明示例性实施方式的用于维护CRL的非易失性计算机存储介质进行介绍。本发明实施例四中提供了一种非易失性计算机存储介质,该非易失性计算机存储介质存储有计算机可执行指令,该计算机可执行指令用于使计算机执行上述维护CRL方法的步骤,比如执行如图1中所示的步骤101:获取待发布的CRL;步骤102:创建用于维护CRL的CRL数据块;步骤103:广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
实施例五
在介绍了本发明示例性实施方式的方法、装置和非易失性计算机存储介质之后,接下来,对本发明示例性实施方式的用于维护CRL的设备进行介绍。本发明实施例五中提供了一种用于维护CRL的设备,该设备可以是但不限于是个人计算机设备、智能终端、平板电脑等,具体地,该设备可以包括:存储器401、处理器402和存储在存储器401上的计算机程序,处理器402执行该计算机程序时实现上述维护CRL方法的步骤,比如实现如图1中所示的步骤101:获取待发布的CRL;步骤102:创建用于维护CRL的CRL数据块;步骤103:广播CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
较佳的,存储器401可以包括只读存储器(ROM)和随机存取存储器(RAM),处理器402可以是并向处理器。
进一步地,本发明实施例五中的用于数据处理的设备还可以包括输入装置403和输出装置404等。输入装置403可以包括触控笔、键盘、鼠标、触摸屏等;输出装置404可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode RayTube,CRT),触摸屏等。存储器401,处理器402、输入装置403和输出装置404可以通过总线或者其他方式连接,图4中仅以通过总线连接为例。
实施例六
基于同一发明构思,本发明实施例六还提供了一种数字证书管理系统,参阅图5所示,该数字证书管理系统包含两层:区块链基础支撑层510和数字证书管理应用层520,其中,区块链基础支撑层510用于为联盟区块链系统提供技术支撑,包括密码算法模块511、共识机制模块512、智能合约模块513和数据通信模块514;数字证书管理应用层520用于为联盟区块链系统提供应用支撑,包括系统配置模块521、用户管理模块522、区块管理模块523和隐私保护模块524。
具体地,密码算法模块511是区块链基础支撑层510的基础模块,用于利用杂凑算法实现注销区块链中的各个CRL数据块之间的链接,保证各个CRL数据块记录的CRL可追溯、不可篡改;利用非对称密码算法实现用户身份认证;利用非对称密码算法和对称密码算法共同实现安全数据通信。其中,在联盟区块链系统中,所有验证机制的基础是非对称加密算法,包括但不限于:RSA公钥加密算法,Elgamal算法,D-H算法,ECC椭圆曲线加密算法等。
共识机制模块512用于验证CRL数据块的准确性和一致性。较佳的,可以利用随机竞争分配算法验证CRL数据块的准确性和一致性。
智能合约模块513中预置由标准合约和业务定制合约,其中,标准合约是区块链基础支撑层510的内置合约,用于实现一致性检查、自动成交撮合、多方共同确认的转账、到期自动清算等功能;业务定制合约可以在独立的环境中运行,可以是用户自编程的合约。
数据通信模块514采用P2P协议,使得联盟区块链系统中的各个节点彼此对等,共同提供网络服务。
系统配置模块521用于联盟区块链系统的初始化配置以及相应规则的配置。
用户管理模块522用于管理所有CA运营节点的身份信息,包括维护公私钥密钥对的生成,密钥存储管理等,并在授权的情况下,监管CRL的发布情况。
区块管理模块523用于实现区块产生、区块验证、区块确认、区块广播和区块存储等操作。
隐私保护模块524用于对各个节点和数字证书的使用用户的隐私进行保护。
综上所述,本发明实施例中,联盟区块链系统中的各个CA运营节点可以在设定的维护周期内获取待发布的CRL,并创建用于维护该CRL的CRL数据块,以及广播该CRL数据块,以便联盟区块链系统中的其他每一个CA运营节点分别将该CRL数据块更新至本地维护的注销区块链中,其中,注销区块链由联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。这样,通过联盟区块链系统中的各个CA运营节点共同创建一条注销区块链,在实现了对该联盟区块链系统中的各个CA运营节点的CRL的维护的同时,也实现了各个CA运营节点的CRL的共享,而且,联盟区块链系统中的各个CA运营节点均维护有注销区块链,在查询数字证书的注销状态时,从任意一个CA运营节点本地维护的注销区块链中,均能查找到该数字证书的注销状态,简化了注销状态的查询流程,提高了查询效率,而且,在通过CRL数据块维护各个CA运营节点的CRL的过程中,由于CRL数据块一旦被创建,则不易被篡改,因此,通过CRL数据块对各个CA运营节点的CRL进行维护,安全性较高,可靠性较强。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种维护证书注销列表CRL的方法,其特征在于,应用于联盟区块链系统中的各个证书授权CA运营节点,所述方法包括在设定的维护周期内执行以下操作:
获取待发布的CRL;
创建用于维护所述CRL的CRL数据块;
广播所述CRL数据块,以便所述联盟区块链系统中的其他每一个CA运营节点分别将所述CRL数据块更新至本地维护的注销区块链中,其中,所述注销区块链由所述联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成;
创建用于维护所述CRL的CRL数据块,包括:
获取本地维护的注销区块链中的当前最后一个CRL数据块;
确定所述当前最后一个CRL数据块的摘要值;
将所述当前最后一个CRL数据块的摘要值作为区块头,以及将所述CRL作为区块体;
基于所述区块头和所述区块体,生成用于维护所述CRL的CRL数据块。
2.如权利要求1所述的方法,其特征在于,采用以下方式设定维护周期:
基于当前时间、预设的维护优先级和预设的维护时间段,确定所述维护周期的起始时间;
将以所述起始时间为起始的所述预设的维护时间段设定为所述维护周期。
3.如权利要求1所述的方法,其特征在于,还包括:
接收所述联盟区块链系统中的其他CA运营节点广播的CRL数据块;
验证所述CRL数据块是否合法;
若是,则将所述CRL数据块更新至本地维护的所述注销区块链中;
若否,则删除所述CRL数据块。
4.如权利要求3所述的方法,其特征在于,验证所述CRL数据块是否合法,包括:
从所述联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对所述CRL数据块进行合法性验证;
从每一个共识节点返回的验证结果中,统计出表征所述CRL数据块合法的验证结果的数量;
若所述数量不小于预设阈值,则认定所述CRL数据块合法;若所述数量小于所述预设阈值,则认定所述CRL数据块非法。
5.一种维护证书注销列表CRL的装置,其特征在于,应用于联盟区块链系统中的各个证书授权CA运营节点,所述装置包括获取模块,创建模块,以及广播模块,其中,所述获取模块、所述创建模块和所述广播模块分别用于在设定的维护周期内执行以下操作:
所述获取模块,用于获取待发布的CRL;
所述创建模块,用于创建用于维护所述CRL的CRL数据块;在创建用于维护所述CRL的CRL数据块时,所述创建模块具体用于:获取本地维护的注销区块链中的当前最后一个CRL数据块;确定所述当前最后一个CRL数据块的摘要值;将所述当前最后一个CRL数据块的摘要值作为区块头,以及将所述CRL作为区块体;基于所述区块头和所述区块体,生成用于维护所述CRL的CRL数据块;
所述广播模块,用于广播所述CRL数据块,以便所述联盟区块链系统中的其他每一个CA运营节点分别将所述CRL数据块更新至本地维护的注销区块链中,其中,所述注销区块链由所述联盟区块链系统中的各个CA运营节点创建的CRL数据块链接而成。
6.如权利要求5所述的装置,其特征在于,还包括设定模块,其中,所述设定模块用于采用以下方式设定维护周期:
基于当前时间、预设的维护优先级和预设的维护时间段,确定所述维护周期的起始时间;
将以所述起始时间为起始的所述预设的维护时间段设定为所述维护周期。
7.如权利要求5所述的装置,其特征在于,还包括更新模块,其中,所述更新模块用于:
接收所述联盟区块链系统中的其他CA运营节点广播的CRL数据块;
验证所述CRL数据块是否合法;
若是,则将所述CRL数据块更新至本地维护的所述注销区块链中;
若否,则删除所述CRL数据块。
8.如权利要求7所述的装置,其特征在于,在验证所述CRL数据块是否合法时,所述更新模块具体用于:
从所述联盟区块链系统中的各个CA运营节点中选取共识节点,并指示选取出的每一个共识节点对所述CRL数据块进行合法性验证;
从每一个共识节点返回的验证结果中,统计出表征所述CRL数据块合法的验证结果的数量;
若所述数量不小于预设阈值,则认定所述CRL数据块合法;若所述数量小于所述预设阈值,则认定所述CRL数据块非法。
9.一种非易失性计算机存储介质,其特征在于,所述非易失性计算机存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1-4任一项所述的方法的步骤。
10.一种用于维护证书注销列表CRL的设备,其特征在于,包括:存储器、处理器和存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711365678.XA CN109936453B (zh) | 2017-12-18 | 2017-12-18 | 基于区块链维护证书注销列表的方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711365678.XA CN109936453B (zh) | 2017-12-18 | 2017-12-18 | 基于区块链维护证书注销列表的方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109936453A CN109936453A (zh) | 2019-06-25 |
CN109936453B true CN109936453B (zh) | 2021-12-21 |
Family
ID=66982643
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711365678.XA Active CN109936453B (zh) | 2017-12-18 | 2017-12-18 | 基于区块链维护证书注销列表的方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109936453B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
CN106384236A (zh) * | 2016-08-31 | 2017-02-08 | 江苏通付盾科技有限公司 | 基于区块链的ca认证管理方法、装置及系统 |
CN106789090A (zh) * | 2017-02-24 | 2017-05-31 | 陈晶 | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 |
CN107171829A (zh) * | 2017-04-24 | 2017-09-15 | 杭州趣链科技有限公司 | 一种基于bft共识算法实现的动态节点管理方法 |
CN107273760A (zh) * | 2017-06-09 | 2017-10-20 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链多ca应用认证方法 |
WO2017190057A1 (en) * | 2016-04-30 | 2017-11-02 | Civic Technologies, Inc. | Methods and apparatus for providing attestation of information using a centralized or distributed ledger |
CN107360001A (zh) * | 2017-07-26 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 一种数字证书管理方法、装置和系统 |
CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10523447B2 (en) * | 2016-02-26 | 2019-12-31 | Apple Inc. | Obtaining and using time information on a secure element (SE) |
KR101799343B1 (ko) * | 2016-05-16 | 2017-11-22 | 주식회사 코인플러그 | 인증 정보의 사용 방법, 파기 방법 및 이를 지원하는 블록체인기반 인증 정보 관리 서버 |
US10764067B2 (en) * | 2016-05-23 | 2020-09-01 | Pomian & Corella, Llc | Operation of a certificate authority on a distributed ledger |
-
2017
- 2017-12-18 CN CN201711365678.XA patent/CN109936453B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017190057A1 (en) * | 2016-04-30 | 2017-11-02 | Civic Technologies, Inc. | Methods and apparatus for providing attestation of information using a centralized or distributed ledger |
CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
CN106384236A (zh) * | 2016-08-31 | 2017-02-08 | 江苏通付盾科技有限公司 | 基于区块链的ca认证管理方法、装置及系统 |
CN106789090A (zh) * | 2017-02-24 | 2017-05-31 | 陈晶 | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 |
CN107171829A (zh) * | 2017-04-24 | 2017-09-15 | 杭州趣链科技有限公司 | 一种基于bft共识算法实现的动态节点管理方法 |
CN107273760A (zh) * | 2017-06-09 | 2017-10-20 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链多ca应用认证方法 |
CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
CN107360001A (zh) * | 2017-07-26 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 一种数字证书管理方法、装置和系统 |
Non-Patent Citations (2)
Title |
---|
Jason J. Haas ; Yih-Chun Hu ; Kenneth P. Laberteaux."Efficient Certificate Revocation List Organization and Distribution".《IEEE Journal on Selected Areas in Communications》.2011, * |
阎军智 ; 彭晋 ; 左敏 ; 王珂."基于区块链的PKI数字证书系统".《电信工程技术与标准化》.2017, * |
Also Published As
Publication number | Publication date |
---|---|
CN109936453A (zh) | 2019-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
US11228452B2 (en) | Distributed certificate authority | |
CN108646983B (zh) | 在区块链上存储业务数据的处理方法和装置 | |
US11115418B2 (en) | Registration and authorization method device and system | |
CN109547445B (zh) | 一种验证客户端网络请求合法的方法及系统 | |
CN100592678C (zh) | 用于网络元件的密钥管理 | |
US10846372B1 (en) | Systems and methods for trustless proof of possession and transmission of secured data | |
CN110572262A (zh) | 区块链联盟链构建方法、装置及系统 | |
CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
CN101969377B (zh) | 零知识身份认证方法和系统 | |
CN109474430B (zh) | 一种集群密钥生成方法、装置及其存储介质 | |
CN112152778B (zh) | 一种节点管理方法、装置、及电子设备 | |
US10439809B2 (en) | Method and apparatus for managing application identifier | |
CN103490881A (zh) | 认证服务系统、用户认证方法、认证信息处理方法及系统 | |
CN111753014B (zh) | 基于区块链的身份认证方法及装置 | |
CN113824674B (zh) | 联盟链式数据结构网络管理方法、管理节点及介质 | |
CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
US9065639B2 (en) | Device for generating encryption key, method thereof and computer readable medium | |
CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
CN109167771B (zh) | 基于联盟链的鉴权方法、装置、设备及可读存储介质 | |
CN104735064B (zh) | 一种标识密码系统中标识安全撤销并更新的方法 | |
CN116204923A (zh) | 数据管理、数据查询方法及装置 | |
CN113472783B (zh) | 区块链密码证书服务方法、系统、存储介质及装置 | |
CN111222989B (zh) | 多通道区块链的交易方法、电子设备和存储介质 | |
CN112182009A (zh) | 区块链的数据更新方法及装置、可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |