CN110086624A - 数字证书撤销信息验证方法、装置及系统 - Google Patents
数字证书撤销信息验证方法、装置及系统 Download PDFInfo
- Publication number
- CN110086624A CN110086624A CN201910218408.9A CN201910218408A CN110086624A CN 110086624 A CN110086624 A CN 110086624A CN 201910218408 A CN201910218408 A CN 201910218408A CN 110086624 A CN110086624 A CN 110086624A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- operation result
- random number
- revocation information
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种数字证书撤销信息验证方法、装置及存储介质,用以解决相关技术中由于数字证书签发机构匿名签发数字证书导致无法验证数字证书的撤销信息的合法性的问题,该方法包括:在第一CA机构匿名签发数字证书时,生成随机数;对随机数进行预设运算,得到第一运算结果;将第一运算结果写入数字证书中;在撤销数字证书时,将随机数以及数字证书的标识公布于区块链系统上,以使数字证书的验证方设备根据标识从所述区块链系统获取随机数,基于随机数进行预设运算,得到第二运算结果,通过比较第一运算结果以及第二运算结果对数字证书的撤销信息进行验证。本发明可使得数字证书的验证方设备方便快捷地对数字证书的撤销信息进行验证。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种数字证书撤销信息验证方法、装置及系统。
背景技术
目前,区块链系统使用CA(Certificate Authority,认证授权)机构签发数字证书以标识节点和用户身份。不同的节点和用户属于不同的机构,通常机构使用自身的CA机构为节点和用户签发数字证书。在区块链系统包括多个CA机构的情况下,数字证书的签发机构会公开用户的渠道信息,例如公开数字证书的实际颁发机构。在一些业务场景中,参与链上交易的机构不希望公开用户的渠道信息。CA机构可匿名签发数字证书,从而隐藏用户与CA机构之间的关系,故数字证书的获取方无法获取数字证书的实际颁发机构,这就导致数字证书的验证方设备无法对数字证书的撤销信息的合法性进行验证。
发明内容
本发明提供了一种数字证书撤销信息验证方法、装置及系统,用以解决相关技术中由于数字证书签发机构匿名签发数字证书导致无法验证数字证书的撤销信息的合法性的问题。
根据本发明的第一个方面,提供了一种数字证书撤销信息验证方法,所述方法应用于第一认证授权CA机构的服务器,所述方法包括:在所述第一CA机构匿名签发数字证书时,生成随机数;对所述随机数进行预设运算,得到第一运算结果;将所述第一运算结果写入所述数字证书中;在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
可选地,所述将所述第一运算结果写入所述数字证书中,包括:将所述第一运算结果写入所述数字证书的数据区域,或者,将所述第一运算结果写入所述数字证书的主题。
可选地,所述将所述随机数以及所述数字证书的标识公布于区块链系统上,包括:将所述随机数以及所述数字证书的标识写入所述数字证书的撤销列表CRL中;将所述CRL发布到所述区块链系统上。
可选地,所述生成随机数之前,还包括:通过所述第一CA机构以及其他至少一个CA机构构成的环中的各环成员对数字证书的待签名数据进行环签名,得到签名后的数字证书,该数字证书中包括所述环成员的公钥信息。
根据本发明的第二个方面,提供了一种数字证书撤销信息验证方法,所述方法应用于数字证书的验证方设备,包括:根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;获取预先写入所述CRL中的随机数;对所述随机数进行预设运算,得到第二运算结果;将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较;在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
可选地,所述根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数,包括:根据所述标识从区块链系统获取所述数字证书的CRL撤销列表CRL,所述CRL列表中包括所述标识以及所述随机数。
可选地,所述第一运算结果被写入所述数字证书的数据区域,或者,所述第一运算结果被写入所述数字证书的主题。
根据本发明的第三个方面,提供了一种数字证书撤销信息验证装置,所述装置应用于第一认证授权CA机构的服务器,所述装置包括:生成模块,用于在所述第一CA机构匿名签发数字证书时,生成随机数;第一运算模块,用于对所述随机数进行预设运算,得到第一运算结果;写入模块,用于将所述第一运算结果写入所述数字证书中;公布模块,用于在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
根据本发明的第四个方面,提供了一种数字证书撤销信息验证装置,所述装置应用于数字证书的验证方设备,包括:获取模块,用于根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;第二运算模块,用于对所述随机数进行预设运算,得到第二运算结果;比较模块,用于将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较;确定模块,用于在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
根据本发明的第五个方面,提供了一种电子交易系统,所述系统包括本发明第三个方面所述的数字证书撤销信息验证装置以及本发明第四个方面所述的数字证书撤销信息验证装置。
本发明实施例的数字证书撤销信息验证方法,在数字证书的签发机构匿名签发该数字证书时,在该数字证书中写入基于一随机数运算得到的运算结果,在撤销该数字证书时,公布该随机数,使得该数字证书的验证方设备可根据基于该随机数进行运算得到的运算结果确定撤销该数字证书的机构与签发该数字证书的机构是否为同一机构,从而使得的验证方设备能够方便快捷地对该数字证书的撤销信息的合法性进行验证,以确保数字证书撤销信息的合法性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图;
图2是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图;
图3是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图;
图4是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图;
图5是根据一示例性实施例示出的一种数字证书撤销信息验证装置的框图;
图6是根据一示例性实施例示出的一种数字证书撤销信息验证装置的框图;
图7是根据一示例性实施例示出的一种电子交易系统的框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图,所述方法应用于第一CA机构的服务器,如图1所示,所述方法包括:
步骤101:在所述第一CA机构匿名签发数字证书时,生成随机数;
在步骤101中,在第一CA机构匿名签发数字证书时,数字证书中隐藏了数字证书的实际签发机构,这样可以隐藏用户与数字证书签发机构之间的关系,使得客户的渠道信息不被公开。第一CA机构匿名签发数字证书例如可以是第一CA机构采用群签名方式或环签名方式签发数字证书,后文将对该两种签发数字证书的方式进行说明。
步骤102:对所述随机数进行预设运算,得到第一运算结果;
当步骤101中使用环签名算法签发所述数字证书且在进行环签名计算时使用了随机数的情况下,步骤102中的随机数可与参与环签名计算的随机数一致,在此基础上,如果在数字证书中公开该随机数,则相当于公开了该数字证书的实际签发机构,故,对该随机数进行预设运算,可在数字证书中隐藏该随机数,从而起到隐藏该数字证书的实际签发机构的目的。其中,预设运算可以是一种单向函数,如Hash(哈希)算法,对随机数据进行哈希运算后,得到的第一运算结果则为一个哈希值,该哈希算法可以为MD4、MD5、SHS、SHA-1、SHA-2、SHA-256、SHA-384等算法中的任意一种算法。
步骤103:将所述第一运算结果写入所述数字证书中;
其中,该第一运算结果例如可以是一个数值,可将该数值作为数字证书内容的一个部分,来唯一标识该数字证书,例如,可将数值写入数字证书的主题,或数据区域。数字证书的验证方设备在获取到该数字证书后,可直接从该数字证书中读取出该数值,从而可基于该数值对数字证书进行验证。此外,在第一CA机构签发该数字证书后,可将该数字证书发布到区块链系统上,以便于验证方设备直接从区块链系统上获取该数字证书。
步骤104:在撤销所述数字证书时,在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
其中,数字证书的标识例如为数字证书的序列号。
在一种可实现方式中,第一CA机构在签发上述数字证书的过程中,或签发上述数字证书之后,可将所述随机数保存至所述数字证书的签发记录(该签发记录保存在CA机构的数据库中)中,或者,可在该数字证书的签发记录中记录该随机数与数字证书之间的对应关系,例如,记录该随机数与数字证书的序列号之间的对应关系,以使得第一CA机构在撤销该数字证书时,可基于该数字证书的序列号获取该随机数。
在本发明的方法的一个实施场景下,由于第一CA机构签发的数字证书中隐藏了该数字证书的实际签发机构,故在数字证书的验证方设备对该数字证书的撤销信息进行验证时,在无法获知该数字证书的实际签发机构的情况下,无法确定撤销该数字证书的机构是否与签发该数字证书的机构一致,从而无法对该数字证书的撤销信息进行验证,故本实施例在第一CA机构撤销该数字证书时,公开上述随机数,以便于数字证书的验证方设备可根据利用该随机数计算得到的第二运算结果与上述第一运算结果进行比较,从而确保数字证书的撤销机构与颁发机构一致。
在步骤104中,第一CA机构在撤销数字证书时,可在数字证书的证书撤销信息中包括该随机数,例如,在第一CA机构通过CRL(Certificate Revocation List,证书撤销列表)管理证书撤销信息的情况下,可将该随机数写入CRL中,通过公布该CRL来公布该随机数,该CRL中可包括已撤销的数字证书的序列号,数字证书的验证方设备可根据数字证书的序列号来获取与之对应的随机数。第一CA机构在签发该CRL后,可将该CRL发布到区块链系统上,以便数字证书的验证方设备获取该CRL;在第一CA机构不通过CRL管理证书撤销信息的情况下,可直接公布该数字证书的撤销信息,例如,可直接将该数值证书的撤销信息发布到区块链系统,该撤销信息中可包括该数字证书的序列号以及随机数。数字证书的验证方设备在获取到该随机数后,对该随机数进行预设运算后得到第二运算结果,比较第一运算结果以及第二运算结果的数值,如果第一运算结果与第二运算结果一致,则认为数字证书的撤销信息合法,否则,可认为数字证书的撤销信息不合法。
本发明实施例的数字证书撤销信息验证方法,在数字证书的签发机构匿名签发该数字证书时,在该数字证书中写入基于一随机数运算得到的运算结果,在撤销该数字证书时,公布该随机数,使得该数字证书的验证方设备可根据基于该随机数进行运算得到的运算结果确定撤销该数字证书的机构与签发该数字证书的机构是否为同一机构,从而使得的验证方设备能够方便快捷地对该数字证书的撤销信息的合法性进行验证,以确保数字证书撤销信息的合法性。
在一种可实现方式中,将所述第一运算结果写入所述数字证书中可包括:将所述第一运算结果写入所述数字证书的数据区域,或者,将所述第一运算结果写入所述数字证书的主题。其中,数字证书的数据区域可包括:证书版本、证书序列号、签名算法、颁发者名称、证书效期、主体名称、主体公钥信息、证书自定义扩展项信息等。例如,可将第一运算结果写入数字证书的自定义扩展项信息中,或者,可将第一运算结果写入数字证书的主体名称中,又或者,可将该第一运算结果作为数字证书的一个DN(Distinguished Name,标识名)项写入数字证书中。在将第一运算结果写入数字证书的数据区域或数字证书的主题后,数字证书的获取方在获取到该数字证书后,可从该数字证书的数据区域或主题中直接读取出该第一运算结果。
在一种可实现方式中,所述将所述随机数以及所述数字证书的标识公布于区块链系统上,包括:将所述随机数以及所述数字证书的标识写入所述数字证书的撤销列表CRL中;将所述CRL发布到所述区块链系统上。例如,第一CA机构可将该随机数以及该证书的标识,例如该证书的序列号写入CRL的crlEntryExtensions(证书撤销列表的入口扩展项)中。第一CA机构在签发该CRL时,可使用群签名算法或环签名算法签发该CRL,这样可继续隐藏该CRL的实际签发机构,或者,还可以利用常规算法来签发该CRL。第一CA机构可利用与签发上述数字证书所使用的同样的私钥来签发该CRL,也可使用第一CA机构预先设置的专用于签发CRL的私钥来签发该CRL。此外,为了避免CRL中由于存储大量无效的数据导致CRL过长,可在数字证书的有效期达到后,在CRL中删除该数字证书的序列号以及该数字证书对应的随机数。
图2是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图,在该实施例中,第一CA机构通过群签名方式签发数字证书,如图2所示,该方法在图1所示的方法的基础上,在生成随机数之前还可包括:步骤201:使用所述第一CA机构的群成员私钥对所述数字证书的待签名数据进行签名,得到签名后的数字证书。其中,数字证书的待签名数据可包括:版本、证书序列号、签名算法、颁发者名称、证书效期、主体名称、主体公钥信息以及证书自定义扩展项信息。签发后的数字证书中的颁发机构为群证书中的CA机构群的信息,例如,颁发机构的名称可以为CA机构群的唯一标识或CA机构群的名称,从而可隐藏该数字证书的实际颁发机构。所述群成员私钥以及所述群证书由所述CA机构群颁发给所述第一CA机构,例如,在第一CA机构注册到CA机构群后,该CA机构群的群管理员向第一CA机构群证书以及群成员私钥,所述群证书中包括群公钥,所述群公钥与所述群成员私钥为密钥对。其中,CA机构群可包括至少两个CA机构,该至少两个CA机构称为CA机构群的群成员,该CA机构内的各群成员共用一个群证书为用户设备或节点设备签发数字证书,各群成员对应相同的群公钥,以及各群成员分别对应不同的群成员私钥,各群成员可使用各自的群成员私钥签发数字证书。CA机构群可将群证书发布到区块链系统上,以便数字证书的验证方设备可从区块链系统上获取该群证书,从而使用群证书中的群公钥验证该数字证书的合法性。
图3是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图,在该实施例中,第一CA机构可通过环签名方式签发数字证书,如图3所示,该方法在图1所示的方法的基础上,还可包括步骤301:在生成随机数之前,通过第一CA机构以及其他至少一个CA机构构成的环中的各环成员对数字证书的待签名数据进行环签名,得到签名后的数字证书,该数字证书中包括所述环成员的公钥信息,例如,该数字证书中可包括各环成员的公钥,或公钥标识,又或者,该数字证书中还可包括各环成员的公钥参与环签名计算的顺序信息,以便于数字证书的验证方设备可根据这些信息确定数字证书的实际颁发机构,从而对该数字证书的合法性进行验证。以下通过一个例子对第一CA机构签发环签名证书的过程进行示例性说明。在该例子中,第一CA机构对待签名数字证书进行环签名的过程可包括:构成环的各CA机构分别具有对应的公钥和私钥组成的密钥对,例如,构成环的各CA机构可预先自行通过非对称加密算法生成代表自身身份的公私钥对,例如,CA1机构、CA2机构,…,CAn机构的公私钥对分别为(P1,S1),(P2,S2),…,(Pn,Sn),其中,P1,P2…,Pn依次为各环成员的公钥或公钥标识,S1,S2…,Sn依次为各环成员的私钥。在CA1机构为用户或节点签发数字证书时,可基于消息m、各环成员的公钥(P1,P2,…,Pn)以及一个私钥(在本实施例中,该私钥为CA1机构的私钥S1)基于环签名算法进行计算得到环签名,输入参数为(m,Si,P1,…,Pn),其中,各环成员的公钥参与环签名计算的顺序为(P1,P2,…,Pn),在后续环签名证书的验证方验证该环签名时,需要使用与生成该环签名时同样的公钥顺序(P1,P2,…,Pn)。
在本发明的方法的一个实施场景中,交易发起端设备为了确认数据或操作是由数字证书持有人发起的,可对其发送的数据或执行的操作进行签名,而签名的验证方设备可通过其持有的公钥来验证签名的合法性,在验证方设备对数字证书中的签名进行验证时,需先验证数字证书的合法性,例如,验证该数字证书是否过期,或验证该数字证书是否已被撤销等,如果该数字证书本身已被撤销或已经过期,则该数字证书中的签名同样是无效的,故在对数字证书中的环签名进行验证之前,可先验证数字证书的证书撤销信息的合法性,图4是根据一示例性实施例示出的一种数字证书撤销信息验证方法的流程图,该方法应用于数字证书的验证方设备,即该方法可由数字证书验证方设备执行,如图4所示,该方法包括:
步骤401:根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;
在一种可实现方式中,该随机数可被写入数字证书的CRL中,基于此,在步骤401之前,数字证书的验证方设备可从区块链系统下载该数字证书的CRL,从该CRL的数据区域获取该随机数,例如,可从CRL的crlEntryExtensions中直接读取该随机数。
其中,本实施例中的数字证书为由CA机构匿名签发的数字证书,例如,CA机构可通上文介绍的环签名方式或群签名方式得到该数字证书,故该数字证书中隐藏了其实际颁发机构,。
步骤402:对所述随机数进行预设运算,得到第二运算结果;
其中,该预设运算可以是一种单向函数,例如哈希算法,可包括MD4、MD5、SHS、SHA-1、SHA-2、SHA-256、SHA-384等算法中的任意一种算法。
步骤403:将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较,例如,可比较第二运算结果与第一运算结果的数值是否相同。其中,第一运算结果可从数字证书的数据区域,或数字证书的主题中读取。
步骤404:在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
在第二运算结果与第一运算结果一致时,可确定签发数字证书的机构与撤销该数字证书的机构为同一机构,从而可确定数字证书的撤销信息合法,即可确认数字证书的撤销信息是可信任的;在第二运算结果与第一运算结果不一致时,可认为数字证书的撤销信息不合法。
图5是根据一示例性实施例示出的一种数字证书撤销信息验证装置的框图,该装置应用于上述第一CA机构的服务器,例如,该装置为第一CA机构的一个组成部分,如图5所示,该装置50包括:
生成模块51,用于在所述第一CA机构匿名签发数字证书时,生成随机数;
第一运算模块52,用于对所述随机数进行预设运算,得到第一运算结果;
写入模块53,用于将所述第一运算结果写入所述数字证书中;
公布模块54,用于在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
在一种可实现方式中,所述写入模块53可用于:将所述第一运算结果写入所述数字证书的数据区域,或者,将所述第一运算结果写入所述数字证书的主题。
在一种可实现方式中,所述公布模块54可包括:写入单元,用于将所述随机数以及所述数字证书的标识写入所述数字证书的撤销列表CRL中;发布单元,用于将所述CRL发布到所述区块链系统上。
在一种可实现方式中,所述装置50还可包括:第一签发模块,用于在生成随机数之前,使用所述第一CA机构的群成员私钥对所述数字证书的待签名数据进行签名,得到签名后的数字证书,该数字证书中的颁发者为群证书中的CA机构群的信息,所述群成员私钥以及所述群证书由所述CA机构群颁发给所述第一CA机构,所述群证书中包括群公钥,所述群公钥与所述群成员私钥为密钥对。
在一种可实现方式中,所述装置50还可包括:第二签发模块,用于在生成随机数之前,通过第一CA机构以及其他至少一个CA机构构成的环中的各环成员对数字证书的待签名数据进行环签名,得到签名后的数字证书,该数字证书中包括所述环成员的公钥信息。
图6是根据一示例性实施例示出的一种数字证书撤销信息验证装置的框图,该装置应用于数字证书的验证方设备,如图6所示,该装置60包括:
获取模块61,根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;
第二运算模块62,用于对所述随机数进行预设运算,得到第二运算结果;
比较模块63,用于将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较;
确定模块64,用于在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
图7是根据一示例性实施例示出的一种电子交易系统的框图,如图7所示,该系统70包括图5所示的装置50以及图6所示的装置60,装置50例如可为CA机构的服务器,在接收到数字证书申请方设备发送的数字证书申请请求时,装置50对该申请方的身份进行核查,在确认申请方的身份合法之后,其通过匿名方式为该申请方签发数字证书,在签发数字证书时,生成一随机数,对该随机数进行预设运算,该预设运算例如一种单向运算,将运算得到的结果写入数字证书中。其中,装置60以及装置50可预先协商好该预设算法。在撤销该数字证书时,将该随机数以及该数字证书的标识发布至区块链系统上。装置60例如数字证书的验证方设备,该装置60在验证数字证书的合法性时,如果该数字证书处理撤销状态,则装置60首先需验证该数字证书的撤销信息的合法性,这时,需确定数字证书的签发机构,装置60根据数字证书的序列号从区块链系统获取与该数字证书对应的随机数,对该随机数进行预设运算,得到一运算结果,将该运算结果与数字证书中预先写入的运算结果进行对比,如果二者一致,则可认为撤销该数字证书的机构与签发该数字证书的机构为同一机构,从而可确定该数字证书的撤销信息合法。
基于上述如图1和图4所示方法,相应的,本发明实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图4所示的数字证书撤销信息验证方法。
基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个可实现方式中所述的方法。
基于上述如图1、图4所示的方法,以及图5和图6所示的虚拟装置的实施例,为了实现上述目的,本发明实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该实体设备包括存储介质和处理器;存储介质用于存储计算机程序;处理器用于执行计算机程序以实现上述如图1和图4所示的数字证书撤销信息验证方法。
可选的,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本发明的技术方案。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种数字证书撤销信息验证方法,其特征在于,所述方法应用于第一认证授权CA机构的服务器,所述方法包括:
在所述第一CA机构匿名签发数字证书时,生成随机数;
对所述随机数进行预设运算,得到第一运算结果;
将所述第一运算结果写入所述数字证书中;
在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
2.根据权利要求1所述的方法,其特征在于,所述将所述第一运算结果写入所述数字证书中,包括:
将所述第一运算结果写入所述数字证书的数据区域,或者,将所述第一运算结果写入所述数字证书的主题。
3.根据权利要求1所述的方法,其特征在于,所述将所述随机数以及所述数字证书的标识公布于区块链系统上,包括:
将所述随机数以及所述数字证书的标识写入所述数字证书的撤销列表CRL中;
将所述CRL发布到所述区块链系统上。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述生成随机数之前,还包括:
通过所述第一CA机构以及其他至少一个CA机构构成的环中的各环成员对数字证书的待签名数据进行环签名,得到签名后的数字证书,该数字证书中包括所述环成员的公钥信息。
5.一种数字证书撤销信息验证方法,其特征在于,所述方法应用于数字证书的验证方设备,包括:
根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;
对所述随机数进行预设运算,得到第二运算结果;
将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较;
在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
6.根据权利要求5所述的方法,其特征在于,所述根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数,包括:
根据所述标识从区块链系统获取所述数字证书的CRL撤销列表CRL,所述CRL列表中包括所述标识以及所述随机数。
7.根据权利要求5或6所述的方法,其特征在于,所述第一运算结果被写入所述数字证书的数据区域,或者,所述第一运算结果被写入所述数字证书的主题。
8.一种数字证书撤销信息验证装置,其特征在于,所述装置应用于第一认证授权CA机构的服务器,所述装置包括:
生成模块,用于在所述第一CA机构匿名签发数字证书时,生成随机数;
第一运算模块,用于对所述随机数进行预设运算,得到第一运算结果;
写入模块,用于将所述第一运算结果写入所述数字证书中;
公布模块,用于在撤销所述数字证书时,将所述随机数以及所述数字证书的标识公布于区块链系统上,以使所述数字证书的验证方设备根据所述标识从所述区块链系统获取所述随机数,基于所述随机数进行所述预设运算,得到第二运算结果,通过比较所述第一运算结果以及所述第二运算结果对所述数字证书的撤销信息进行验证。
9.一种数字证书撤销信息验证装置,其特征在于,所述装置应用于数字证书的验证方设备,包括:
获取模块,用于根据待验证撤销信息合法性的数字证书的标识从区块链系统获取与所述数字证书对应的随机数;
第二运算模块,用于对所述随机数进行预设运算,得到第二运算结果;
比较模块,用于将所述第二运算结果与所述数字证书中预先写入的第一运算结果进行比较;
确定模块,用于在所述第二运算结果与所述第一运算结果一致时,确定所述数字证书的撤销信息合法。
10.一种电子交易系统,其特征在于,所述系统包括权利要求8所述的数字证书撤销信息验证装置以及权利要求9所述的数字证书撤销信息验证装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910218408.9A CN110086624A (zh) | 2019-03-21 | 2019-03-21 | 数字证书撤销信息验证方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910218408.9A CN110086624A (zh) | 2019-03-21 | 2019-03-21 | 数字证书撤销信息验证方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110086624A true CN110086624A (zh) | 2019-08-02 |
Family
ID=67413356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910218408.9A Withdrawn CN110086624A (zh) | 2019-03-21 | 2019-03-21 | 数字证书撤销信息验证方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110086624A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110611569A (zh) * | 2019-09-24 | 2019-12-24 | 腾讯科技(深圳)有限公司 | 一种认证方法及相关设备 |
CN111262707A (zh) * | 2020-01-16 | 2020-06-09 | 余志刚 | 数字签名方法及验证方法、设备、存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260926A1 (en) * | 2003-05-20 | 2004-12-23 | France Telecom | Electronic group signature method with revocable anonymity, equipment and programs for implementing the method |
US20080091941A1 (en) * | 2004-09-03 | 2008-04-17 | Nec Corporation | Group Signature System, Member Status Judging Device, Group Signature Method And Member Status Judging Program |
US20080270790A1 (en) * | 2007-04-30 | 2008-10-30 | Brickell Ernest F | Apparatus and method for enhanced revocation of direct proof and direct anonymous attestation |
US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
-
2019
- 2019-03-21 CN CN201910218408.9A patent/CN110086624A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260926A1 (en) * | 2003-05-20 | 2004-12-23 | France Telecom | Electronic group signature method with revocable anonymity, equipment and programs for implementing the method |
US20080091941A1 (en) * | 2004-09-03 | 2008-04-17 | Nec Corporation | Group Signature System, Member Status Judging Device, Group Signature Method And Member Status Judging Program |
US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
US20080270790A1 (en) * | 2007-04-30 | 2008-10-30 | Brickell Ernest F | Apparatus and method for enhanced revocation of direct proof and direct anonymous attestation |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110611569A (zh) * | 2019-09-24 | 2019-12-24 | 腾讯科技(深圳)有限公司 | 一种认证方法及相关设备 |
CN110611569B (zh) * | 2019-09-24 | 2022-06-14 | 腾讯科技(深圳)有限公司 | 一种认证方法及相关设备 |
CN111262707A (zh) * | 2020-01-16 | 2020-06-09 | 余志刚 | 数字签名方法及验证方法、设备、存储介质 |
CN111262707B (zh) * | 2020-01-16 | 2023-04-14 | 余志刚 | 数字签名方法及验证方法、设备、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108898389B (zh) | 基于区块链的内容验证方法及装置、电子设备 | |
CN109360091B (zh) | 一种基于区块链的随机对象选取方法和装置 | |
CN109992953A (zh) | 区块链上的数字证书签发、验证方法、设备、系统及介质 | |
TWI727594B (zh) | 塊鏈式帳本中的簽名驗證方法、系統、裝置及設備 | |
WO2018158102A1 (fr) | Procede et dispositif pour memoriser et partager des donnees integres | |
CN104917807B (zh) | 资源转移方法、装置和系统 | |
CN113283905A (zh) | 基于区块链的数据存证、获取方法和装置 | |
JP2019053269A (ja) | 電子投票によって収集した投票者の票を判定するシステムおよび方法 | |
CN107145768A (zh) | 版权管理方法和系统 | |
CN110796449B (zh) | 交易处理方法、系统、介质和计算设备 | |
CN102484638A (zh) | 经由多个中间客户端在线递送的身份数据的分层保护和验证 | |
CN109614813A (zh) | 基于区块链的隐私交易方法、装置及其应用方法、装置 | |
CN109858911A (zh) | 资质验证方法、装置、系统、设备和可读存储介质 | |
CN110489946A (zh) | 基于区块链的版权认证方法、装置、设备和存储介质 | |
CN107342966B (zh) | 权限凭证发放方法和装置 | |
WO2019110399A1 (en) | Two-party signature device and method | |
WO2022237588A1 (zh) | 基于区块链的数据存证方法、装置、设备和存储介质 | |
CN110086624A (zh) | 数字证书撤销信息验证方法、装置及系统 | |
CN106209730A (zh) | 一种管理应用标识的方法及装置 | |
CN114039733B (zh) | 一种针对联盟链的存证业务转移方法、装置及设备 | |
CN109818965B (zh) | 个人身份验证装置及方法 | |
CN110113166A (zh) | 在区块链上撤销环签名证书的方法、装置及存储介质 | |
WO2019186978A1 (ja) | 電子取引システム、取引サーバ、検証サーバ、電子取引方法及びプログラム | |
CN110060151B (zh) | 一种业务执行方法及装置 | |
CN111010283A (zh) | 用于生成信息的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190802 |
|
WW01 | Invention patent application withdrawn after publication |