CN110113166B - 在区块链上撤销环签名证书的方法、装置及存储介质 - Google Patents
在区块链上撤销环签名证书的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110113166B CN110113166B CN201910219145.3A CN201910219145A CN110113166B CN 110113166 B CN110113166 B CN 110113166B CN 201910219145 A CN201910219145 A CN 201910219145A CN 110113166 B CN110113166 B CN 110113166B
- Authority
- CN
- China
- Prior art keywords
- certificate
- ring signature
- ring
- crl
- revoking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Technology Law (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Marketing (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种在区块链上撤销环签名证书的方法、装置及存储介质,用以解决相关技术中在撤销环签名证书时需要保证撤销该证书的机构与该证书的颁发机构一致的问题,该方法包括:选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一机构对应的环,第一CA机构以及第二CA机构为环的环成员;生成随机数;基于环的所有环成员各自的公钥、随机数、预设消息以及第一CA机构的私钥进行环签名计算,得到环签名;使用环签名对待签名证书进行签名,得到环签名证书;在确定撤销环签名证书时,公布在对环签名证书进行环签名时参与环签名计算的随机数;撤销环签名证书。本发明便于数字证书的验证方设备对环签名证书的撤销信息的验证。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种在区块链上撤销环签名证书的方法、装置及存储介质。
背景技术
目前,区块链系统使用CA(Certificate Authority,认证授权)机构签发数字证书以标识节点和用户身份。不同的节点和用户属于不同的机构,通常机构使用自身的CA机构为节点和用户签发数字证书。在区块链系统包括多个CA机构的情况下,数字证书的签发机构会公开用户的渠道信息,例如公开数字证书的实际颁发机构。在一些业务场景中,参与链上交易的机构不希望公开用户的渠道信息。CA机构使用环签名技术对数字证书进行签名得到的环签名证书,可以隐藏用户与数字证书的实际颁发机构之间的关系,环签名证书的获取方基于该环签名证书仅可获知该证书由多个CA机构共同签发,而无法获知该证书的实际颁发机构。对于一般的数字证书来说,在撤销该数字证书时,可由该数字证书的颁发机构对该证书进行撤销,但由于环签名证书隐藏了证书的实际颁发机构,所以环签名证书的验证方设备在对环签名证书进行验证时,无法对其撤销信息的合法性进行验证。
发明内容
本发明提供了一种在区块链上撤销环签名的方法、装置及存储介质,用以解决相关技术中由于环签名证书隐藏了证书的实际签发机构导致环签名证书的验证方设备在对环签名证书进行验证时,无法验证该证书的撤销信息的有效性的问题。
根据本发明的第一个方面,提供了一种在区块链上撤销环签名证书的方法,所述方法应用于第一认证授权CA机构的服务器,所述方法包括:选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;生成随机数;基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;使用所述环签名对待签名证书进行签名,得到所述环签名证书;在确定撤销所述环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;撤销所述环签名证书。
可选地,所述公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,包括:将所述环签名证书的序列号以及所述随机数加入CRL(Certificate RevocationList,证书撤销列表)中;使用预设私钥签发所述CRL。
可选地,将所述随机数加入所述CRL中,包括:将所述随机数写入所述CRL的自定义扩展项中。
可选地,所述使用所述预设私钥签发所述CRL之后,还包括:将所述CRL发布到区块链系统上。
可选地,所述预设私钥包括所述第一CA机构用于签发所述环签名证书的私钥。
可选地,所述公布在对所述环签名证书进行环签名时参与环签名计算的随机数,包括:在区块链系统上公布所述环签名证书的证书撤销信息,所述证书撤销信息中包括所述随机数。
可选地,所述使用预设私钥签发所述CRL之前还包括:获取所述CRL中其他数字证书的有效期;在所述其他数字证书的有效期到达后,在所述CRL中删除该数字证书的信息。
根据本发明的第二个方面,提供了一种在区块链上撤销环签名证书的装置,所述装置应用于第一认证授权CA机构的服务器,所述装置包括:选择模块,用于选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;生成模块,用于生成所述随机数;计算模块,用于基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;签名模块,用于使用所述环签名对待签名证书进行签名,得到所述环签名证书;公布模块,用于在确定撤销所述环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;撤销模块,用于撤销所述环签名证书。
根据本发明的第三个方面,提供了一种在区块链上撤销环签名证书的装置,包括:存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如本发明第一个方面所述的在区块链上撤销环签名证书的方法的步骤。
根据本发明的第四个方面,提供了一种非临时性计算机可读存储介质,当所述存储介质中的指令由处理器执行时,使得处理器能够执行根据如本发明第一个方面所述的在区块链上撤销环签名证书的方法的步骤。
本发明实施例的在区块链上撤销环签名证书的方法、装置及存储介质,通过在撤销环签名证书时公布参与环签名计算的随机数,使得环签名证书的验证方设备可根据该随机数确定环签名证书的实际签发机构,从而通过验证该证书的撤销机构与该实际签发机构是否一致来验证环签名证书撤销信息的合法性的验证,可使得环签名证书的验证方能够方便快捷地对证书撤销信息的合法性进行验证。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程图;
图2是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程图;
图3是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框图;
图4是根据一示例性实施例示出的一种公布模块的框图;
图5是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在对本发明的在区块链上撤销环签名证书的方法进行说明之前,首先对该方法一个实施场景进行示例性说明。在签发环签名证书时,该证书的实际签发机构在进行环签名计算时,可生成一个随机数,使用该随机数参与环签名计算,从而可以使得签名结果具有一定随机性,即对相同的数据进行环签名,如每次进行环签名时计算所使用的数值不同,则每次签名所产生的签名结果不同,相对于每次使用相同数值进行环签名计算所产生相同签名结果的算法来说安全性更高。但由于数字证书签发机构在对证书进行签名时使用了环签名算法,故在签发的证书中隐藏了证书的实际签发机构。而在交易过程中,签名的验证方设备需验证签名的合法性,在对环签名进行验证之前时,需先验证该环签名证书的合法性,例如,验证该环签名证书是否过期,或验证该证书是否已被撤销等,如果该证书本身已被撤销或已经过期,则该证书中的环签名同样是无效的,在验证环签名证书的证书撤销信息的合法性时,需验证撤销该信息的机构是否与签发该证书的机构一致,如果二者一致,认为证书的撤销信息是合法的,否则,可认为证书的撤销信息不合法。而由于该证书采用了环签名方式隐藏了该证书的实际签发机构,故验证方设备需先获知证书的实际签发机构,基于此,在本发明的实施例中,可通过向验证方设备公开参与环签名证书的环签名计算的随机数,使得验证方设备在获得该随机数后,可基于该随机数、参与环签名计算的各环成员的公钥,以及各公钥参与环签名计算的顺序,环签名计算所使用的消息基于环签名验证算法,确定撤销该环签名证书的机构与签发该环签名证书的是否机构一致,从而可验证证书的撤销信息的合法性。
图1是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程图,所述方法应用于第一CA机构的服务器,即该方法可由第一CA机构执行,该第一CA机构所述环签名证书的实际颁发机构,如图1所示,该方法包括如下步骤:
步骤101:选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;
其中,第二CA机构可以是已在区块链系统上发布根证书或中间证书的任意CA机构。
步骤102:生成随机数;
步骤103:基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;
步骤104:使用所述环签名对待签名证书进行签名,得到所述环签名证书;
步骤105:在确定撤销环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;
为了便于后续签名验证方设备对该环签名证书的合法性进行验证,在对待签名证书进行环签名时,可在该环签名证书的证书内容中包括环成员的公钥信息,例如可包括各环成员的各公钥以及各公钥参与环签名计算的顺序。例如,可在环签名证书的自定义扩展项,或环签名证书的主体中携带各环成员的各公钥(或公钥标识),以及各公钥参与环签名计算的顺序。此外,由于第一CA机构每次进行环签名所使用的随机数有可能不同,故,第一CA机构在每次签发环签名证书之后,可记录该证书的标识与随机数据的对应关系,例如,可记录该证书的序列号与随机数的对应关系。
以下通过一个例子对第一CA机构签发环签名证书的过程进行示例性说明。在该例子中,第一CA机构对待签名数字证书进行环签名的过程可包括:构成环的各CA机构分别具有对应的公钥和私钥组成的密钥对,例如,构成环的各CA机构可预先自行通过非对称加密算法生成代表自身身份的公私钥对,例如,CA1机构、CA2机构,…,CAn机构的公私钥对分别为(P1,S1),(P2,S2),…,(Pn,Sn),其中,P1,P2…,Pn依次为各环成员的公钥或公钥标识,S1,S2…,Sn依次为各环成员的私钥。在CA1机构为用户或节点签发数字证书时,可基于消息m、各环成员的公钥(P1,P2,…,Pn)以及一个私钥(在本实施例中,该私钥为CA1机构的私钥S1)基于环签名算法进行计算得到环签名,输入参数为(m,Si,P1,…,Pn),其中,各环成员的公钥参与环签名计算的顺序为(P1,P2,…,Pn),在后续环签名证书的验证方验证该环签名时,需要使用与生成该环签名时同样的公钥顺序(P1,P2,…,Pn),故可将各环成员的公钥参与环签名计算的顺序作为各环成员的公钥信息保存在环签名证书中。
在环签名证书用户的个人身份信息发生变化,或其持有的私钥丢失或者被破坏时,用户可向之前申请该环签名证书的CA机构,例如向上述第一CA机构申请撤销该环签名证书,但由于环签名证书隐藏了该证书的实际颁发机构,故从环签名证书中仅可获知该证书由够成环的多个CA机构共同签发,在该种情况下,用户向该多个CA机构发出撤销该证书的申请,例如,用户可通过Web客户端基于Web服务器向该多个CA机构发出撤销申该证书的申请。由于CA机构在签发数字证书后,通常会保留所有本机构已签发的数字证书及该数字证书的签发记录,故该环签名证书的实际签发机构,即第一CA机构,可根据自身存储的证书签发记录确认该环签名证书是由自身签发的。用户可作为撤销证书的申请方通过向第一CA机构提供申请该证书时使用的身份证明信息,第一CA机构在对这些信息进行审核并确认用户的身份后,确定撤销环签名证书,即可发起撤销环签名证书业务。例如,在第一CA机构确认发起证书撤销申请的请求方的身份与申请证书时的请求方身份一致时,第一CA机构可发起撤销环签名证书的业务,撤销该证书,证书被撤销表示该证书生命周期的终结,第一CA机构在撤销环签名证书后,可向申请撤销该证书的用户返回证书撤销结果,以通知用户该证书已被注销,例如,可直接在客户端上呈现证书已被成功注销的信息。另外,在一些特殊场景下,环签名证书也可能在其失效日期之前被撤销,例如,第一CA机构获知环签名证书的用户没有按时向第一CA机构缴纳年费,或者环签名证书的用户擅自将证书进行了第一CA机构所不允许的用途且被第一CA机构发现,或者政府机关等权力部门(超出PKI(Public KeyInfrastructure,公钥基础设施)系统技术范畴但是具有法律行政权力的部门单位)提出对尚处于有效期内的该环签名证书的撤销要求,第一CA机构可确定需撤销该证书,可主动发起对用户的环签名证书的撤销业务,在撤销该证书后,可将该证书的证书撤销信息发布至区块链系统上,或者可签发CRL,在CRL中记录该证书的证书撤销信息。
步骤106:撤销所述环签名证书。
在步骤106中,撤销所述环签名证书可包括,第一CA机构修改并记录该环签名证书的状态,例如,将该环签名证书的状态由有效修改为已撤销状态,第一CA机构可签发新的CRL,可在该CRL中包括该证书的信息,用以标识该证书,例如,可在CRL中包括该证书的序列号,同时,该CRL中还可包括第一CA机构在一段时间内撤销的其他数字证书的信息,例如,可包括这些被撤销的数字证书的序列号,被列入CRL的数字证书可被认为是不能再使用的数字证书,即意味着该数字证书失效,但这些证书仍存在着被非法使用的可能性,故数字证书的验证方可通过对数字证书的CRL进行验证来确保该证书已被撤销。此外,CRL中还可包括数字证书被撤销的理由,或者还可包括数字证书被确认为已撤销状态的起始时间,例如起始日期,假设该日期为2018年11月1日,则表明该数字证书自该日起为撤销状态。
在一种可实现方式中,由于数字证书具有效期,数字证书在该有效期达到之后即失效,故在被撤销的环签名证书的有效期到达之后,可在CRL中删除该环签名证书的所有相关信息,基于此,在使用预设私钥签发所述CRL之前,上述方法还可包括:获取所述CRL中其他数字证书的有效期;在所述其他数字证书的有效期到达后,在所述CRL中删除该数字证书的信息。例如,删除CRL中该环签名证书条目下的所有信息,从而缩短CRL列表的长度,第一CA机构可在每次签发新的CRL时,删除该CRL中记录的有效期已到达的数字证书的所有相关信息,还可以预设周期定期删除该CRL中记录的有效期已到达的数字证书的所有相关信息。
本发明实施例的在区块链上撤销环签名证书的方法、装置及存储介质,通过在撤销环签名证书时公布参与环签名计算的随机数,使得环签名证书的验证方设备可根据该随机数确定环签名证书的实际签发机构,从而通过验证该证书的撤销机构与该实际签发机构是否一致来验证环签名证书撤销信息的合法性的验证,可使得环签名证书的验证方能够方便快捷地对证书撤销信息的合法性进行验证
在第一CA机构通过CRL文件管理环签名证书的撤销信息的情况下,在撤销环签名证书之前,可签发新的CRL,以在该新的CRL中记录被撤销的环签名证书的信息。图2是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程图,如图2所示,在该方法中,公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数可通过步骤201以及步骤202实现,步骤201,将所述环签名证书的序列号以及所述随机数加入CRL中;步骤202:使用预设私钥签发所述CRL。在确定撤销所述环签名证书之后,可生成CRL,由于所述CRL中包括环签名证书的序列号,从而可通过公布该CRL,公布环签名证书的撤销信息,以使该证书的撤销信息便于被获取。其中,第一CA机构可初始化和维持一个CRL,该CRL中罗列着已经被撤销的数字证书,在第一CA机构签发新的CRL时,可将当前确定撤销的环签名证书的序号加入该CRL。
在一种可实现方式中,将所述随机数加入所述CRL中可包括:将所述随机数写入所述CRL的自定义扩展项中。例如,可将该随机数写入CRL的crlEntryExtensions(证书撤销列表的入口扩展项)中。此外,还可在该CRL中指示该随机数与环签名证书的对应关系,例如,指示出该随机数与环签名证书的序列号之间唯一对应。在一些使用场景中,交易发起端设备为了确认数据或操作是由证书持有人发起的,可对其发送的数据或执行的交易操作进行签名,而签名的验证方设备可通过使用证书中的公钥来验证签名的合法性,在该证书使用环签名的情况下,在验证方设备对证书中的环签名进行验证时,需先验证该环签名证书的合法性,例如,验证该环签名证书是否过期,或验证该证书是否已被撤销等,如果该证书本身已被撤销或已经过期,则该证书中的环签名同样是无效的,故在对证书中的环签名进行验证之前,可先验证环签名证书的证书撤销信息,例如先对该证书的CRL进行验证。在对环签名证书的CRL进行验证时,由于该证书采用了环签名方式,隐藏了该证书的实际颁发机构,而使用参与对该证书进行环签名计算的一组CA机构的一组公钥(该一组公钥例如可包括在环签名证书中)只能获知环签名证书的实际颁发机构为该一组CA机构中的其中一个CA机构,但并无法获知该证书的实际颁发机构具体是哪一个CA机构,在此基础上,再结合基于参与环签名计算的随机数,则可获知该环签名证书的实际颁发机构。在获知环签名证书的实际颁发机构后,可以使用该机构的公钥验证CRL的有效性,在经过验证后,确认CRL有效时,验证方设备则可确认CRL中的证书撤销信息被认为是可信的,表明该证书已被颁发机构撤销。将在对证书进行环签名时参与环签名计算的随机数写入被撤销的环签名证书的CRL,可充分利用目前已有的CRL格式来携带该随机数,无需对验证方设备进行系统改造,即可使其能够从CRL中获取该随机数,方便了验证方设备对环签名证书的CRL的验证。
在一种可实现方式中,上述在区块链上撤销环签名证书的方法还可包括:在使用所述预设私钥签发所述CRL之后,将所述CRL发布到区块链系统上。以方便用户获取该CRL,例如,可通过网络,包括Web、FTP(File Transfer Protocol,文件传输协议)或无线网络将CRL发布到区块链系统上。第一CA机构本地可通过CRL缓存机制缓存生成的该CRL。其中,环签名证书的自定义扩展项中可包括该CRL的地址,故验证方设备可根据该地址获取CRL,从而可获知该证书目前的状态,例如,在CRL中包括该证书的序列号时,可确定该证书处于已撤销状态,在CRL中不包括该证书的序列号时,确定该证书并未被注销。例如,用户可从区块链系统上下载或查看该CRL,从而基于该CRL中记录的证书的撤销信息获知证书的状态。此外,为了避免第一CA机构频繁的向区块链系统发布CRL而造成第一CA机构运营成本的提高,可设置第一CA机构每隔一个预设时间段,将该时间段内更新的CRL列表(该列表中可记录有该时间段内第一CA机构撤销的数字证书的序列号)发布至区块链系统上,相应地,第一CA机构向区块链系统发布CRL时,即可在第一CA机构的本地对该CRL进行缓存,以确保本地保存的是最新的CRL。此外,为了避免数字证书的撤销信息未及时发布而导致的风险,该预设时间段不宜过长,例如,可设置为1-5天。
在一种可实现方式中,在第一CA机构不通过CRL文件管理环签名证书的撤销信息的情况下,可直接发布该环签名证书的证书撤销信息,基于此,公布在对所述环签名证书进行环签名时参与环签名计算的随机数可包括:在区块链系统上公布所述环签名证书的证书撤销信息,所述证书撤销信息中包括所述随机数。验证方设备在需要获知环签名证书的状态时,可从区块链系统获取该环签名证书的撤销信息,例如,可从区块链系统上查看或下载该撤销信息,同时,还可从该撤销信息中获知参与该环签名证书的环签名计算的随机数,基于该随机数可获知环签名证书的实际颁发机构,从而实现对环签名证书的撤销信息的验证。
在一种可实现方式中,所述预设私钥包括所述第一CA机构用于签发所述环签名证书的私钥,使得CRL的验证方设备在根据上述随机数获知了环签名证书的实际签发机构为第一CA机构后,可使用第一CA机构的公钥验证该CRL的合法性。此外,还可以使用第一CA机构预先设置的专用于签发CRL的私钥签发该CRL,该私钥可不同于第一CA机构用于签发数字证书的私钥,例如,第一CA机构可预先通过非对称算法预先生成一对密钥对,将该密钥对中的私钥作为专用于签发CRL的私钥,在需签发CRL时,直接使用该私钥对CRL进行签发。
图3是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框图,所述装置应用于第一认证授权CA机构,用于实现上述在区块链上撤销环签名证书的方法,例如,该装置可设置于第一CA机构中,如图3所述,该装置40包括如下组成部分:
选择模块41,用于选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;
生成模块42,用于生成所述随机数;
计算模块43,用于基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;
签名模块44,用于使用所述环签名对待签名证书进行签名,得到所述环签名证书;
公布模块45,用于在确定撤销环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;
撤销模块46,用于撤销所述环签名证书。
本发明实施例的在区块链上撤销环签名证书的装置,通过环签名证书的签发机构在撤销环签名证书时公布参与环签名计算的随机数,使得环签名证书的验证方设备可根据该随机数获知环签名证书的实际签发机构,从而实现对环签名证书撤销信息的合法性的验证。
图4是根据一示例性实施例示出的一种公布模块的框图,如图4所示,该公布模块45可包括:添加单元451,用于在撤销所述环签名证书之前,将所述环签名证书的序列号以及所述随机数加入CRL中;签发单元452,用于使用预设私钥签发所述CRL。
在一种可实现方式中,所述添加单元可用于:将所述随机数写入所述CRL的自定义扩展项中。
在一种可实现方式中,所述装置还可包括:发布模块,用于在使用预设私钥签发所述CRL之后,将所述CRL发布到区块链系统上。
在一种可实现方式中,所述预设私钥包括所述第一CA机构用于签发所述环签名证书的私钥。
在一种可实现方式中,所述公布模块可用于:在区块链系统上公布所述环签名证书的证书撤销信息,所述证书撤销信息中包括所述随机数。
在一种可实现方式中,所述装置还可包括获取模块,用于获取所述CRL中其他数字证书的有效期;
删除模块,用于在所述其他数字证书的有效期到达后,在所述CRL中删除该数字证书的信息。
图5是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框图。例如,装置600可以被提供为一服务器。参照图5,装置600包括处理器622,其数量可以为一个或多个,以及存储器632,用于存储可由处理器622执行的计算机程序。存储器632中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器622可以被配置为执行该计算机程序,以执行上述的在区块链上撤销环签名证书的方法。
另外,装置600还可以包括电源组件626和通信组件650,该电源组件626可以被配置为执行装置600的电源管理,该通信组件650可以被配置为实现装置600的通信,例如,有线或无线通信。此外,该装置600还可以包括输入/输出(I/O)接口658。装置600可以操作基于存储在存储器632的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种存储有计算机可读指令的非临时性计算机可读存储介质,例如包括程序指令的存储器632,上述程序指令可由装置600的处理器622执行以完成上述的在区块链上撤销环签名证书的方法的步骤。
上述存储介质中还可以包括操作系统、网络通信模块。操作系统是管理计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种在区块链上撤销环签名证书的方法,其特征在于,所述方法应用于第一认证授权CA机构的服务器,所述方法包括:
选择区块链系统中的至少一个第二CA机构与第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;
生成随机数;
基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;
使用所述环签名对待签名证书进行签名,得到所述环签名证书;
在确定撤销所述环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;
在撤销证书的申请方通过向所述第一CA机构提供申请所述环签名证书时使用的身份证明信息,所述第一CA机构进行审核并确认发起撤销证书的申请方的身份与申请证书时的请求方身份一致时,撤销所述环签名证书。
2.根据权利要求1所述的方法,其特征在于,所述公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,包括:
将所述环签名证书的序列号以及所述随机数加入证书撤销列表CRL中;
使用预设私钥签发所述CRL。
3.根据权利要求2所述的方法,其特征在于,将所述随机数加入所述CRL中,包括:
将所述随机数写入所述CRL的自定义扩展项中。
4.根据权利要求2所述的方法,其特征在于,所述使用所述预设私钥签发所述CRL之后,还包括:
将所述CRL发布到区块链系统上。
5.根据权利要求2所述的方法,其特征在于,所述预设私钥包括所述第一CA机构用于签发所述环签名证书的私钥。
6.根据权利要求1所述的方法,其特征在于,所述公布在对所述环签名证书进行环签名时参与环签名计算的随机数,包括:
在区块链系统上公布所述环签名证书的证书撤销信息,所述证书撤销信息中包括所述随机数。
7.根据权利要求2至5任一项所述的方法,其特征在于,所述使用预设私钥签发所述CRL之前,还包括:
获取所述CRL中其他数字证书的有效期;
在所述其他数字证书的有效期到达后,在所述CRL中删除该数字证书的信息。
8.一种在区块链上撤销环签名证书的装置,其特征在于,所述装置应用于第一认证授权CA机构的服务器,所述装置包括:
选择模块,用于选择区块链系统中的至少一个第二CA机构与第一CA机构构成与所述第一CA机构对应的环,所述第一CA机构以及所述第二CA机构为所述环的环成员;
生成模块,用于生成随机数;
计算模块,用于基于所述环的所有环成员各自的公钥、所述随机数、预设消息以及所述第一CA机构的私钥进行环签名计算,得到环签名;
签名模块,用于使用所述环签名对待签名证书进行签名,得到所述环签名证书;
公布模块,用于在确定撤销所述环签名证书时,公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数,以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机数、参与所述环签名计算的各环成员的公钥、各所述公钥参与环签名计算的顺序以及所述预设消息,确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致;
撤销模块,用于在撤销证书的申请方通过向所述第一CA机构提供申请所述环签名证书时使用的身份证明信息,所述第一CA机构进行审核并确认发起撤销证书的申请方的身份与申请证书时的请求方身份一致时,撤销所述环签名证书。
9.一种在区块链上撤销环签名证书的装置,其特征在于,包括:
存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1至7中任一项权利要求所述的在区块链上撤销环签名证书的方法的步骤。
10.一种非临时性计算机可读存储介质,当所述存储介质中的指令由处理器执行时,使得处理器能够执行根据权利要求1至7任一项所述的在区块链上撤销环签名证书的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910219145.3A CN110113166B (zh) | 2019-03-21 | 2019-03-21 | 在区块链上撤销环签名证书的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910219145.3A CN110113166B (zh) | 2019-03-21 | 2019-03-21 | 在区块链上撤销环签名证书的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110113166A CN110113166A (zh) | 2019-08-09 |
| CN110113166B true CN110113166B (zh) | 2023-02-21 |
Family
ID=67484419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910219145.3A Active CN110113166B (zh) | 2019-03-21 | 2019-03-21 | 在区块链上撤销环签名证书的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110113166B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3993339B1 (de) * | 2020-10-29 | 2023-05-31 | Siemens Aktiengesellschaft | Zertifikatsmanagement in einer technischen anlage |
| CN114650160B (zh) * | 2020-12-21 | 2024-05-10 | 航天信息股份有限公司 | 数字证书的处理方法、装置、存储介质及电子设备 |
| CN112910660B (zh) * | 2021-03-25 | 2023-02-24 | 中国工商银行股份有限公司 | 区块链系统的证书颁发方法、添加方法及交易处理方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9660813B1 (en) * | 2012-03-27 | 2017-05-23 | EMC IP Holding Company LLC | Dynamic privacy management for communications of clients in privacy-preserving groups |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4250429B2 (ja) * | 2003-01-24 | 2009-04-08 | キヤノン株式会社 | 連鎖型署名作成装置、及びその制御方法 |
| FR2855343B1 (fr) * | 2003-05-20 | 2005-10-07 | France Telecom | Procede de signature electronique de groupe avec anonymat revocable, equipements et programmes pour la mise en oeuvre du procede |
| KR20120071884A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 래티스 기반의 링 서명 방법 |
-
2019
- 2019-03-21 CN CN201910219145.3A patent/CN110113166B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9660813B1 (en) * | 2012-03-27 | 2017-05-23 | EMC IP Holding Company LLC | Dynamic privacy management for communications of clients in privacy-preserving groups |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110113166A (zh) | 2019-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11349674B2 (en) | Digital certificate management method and apparatus, computer device, and storage medium | |
| US12095932B2 (en) | Digital certificate verification method and apparatus, computer device, and storage medium | |
| CN107403303B (zh) | 一种基于区块链存证的电子合同系统的签署方法 | |
| JP6483827B2 (ja) | 契約合意方法、合意検証方法、契約合意システム、合意検証装置、契約合意装置、契約合意プログラム及び合意検証プログラム | |
| CN107508686B (zh) | 身份认证方法和系统以及计算设备和存储介质 | |
| CN109003083A (zh) | 一种基于区块链的ca认证方法、装置及电子设备 | |
| CN110113166B (zh) | 在区块链上撤销环签名证书的方法、装置及存储介质 | |
| JP6672889B2 (ja) | 電子抽選システム及び電子抽選方法 | |
| CN112396421B (zh) | 一种基于区块链通证的身份认证系统及方法 | |
| CN109995737B (zh) | 去中心化的数字证书管理方法及装置、节点、系统 | |
| CN111815321A (zh) | 交易提案的处理方法、装置、系统、存储介质和电子装置 | |
| WO2021105816A1 (en) | Methods and devices for automated digital certificate verification | |
| CN111786812A (zh) | 节点管理方法、装置、计算机设备和存储介质 | |
| US11943210B2 (en) | System and method for distributed, keyless electronic transactions with authentication | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信系统及存储介质 | |
| JP2007295430A (ja) | 属性認証システム、同システムにおける属性情報の匿名化方法およびプログラム | |
| CN101895388B (zh) | 分布式动态密钥管理方法及装置 | |
| CN114092092B (zh) | 基于门限签名的去中心化的数字证书管理系统及使用方法 | |
| Dwivedi et al. | Design of blockchain and ECC-based robust and efficient batch authentication protocol for vehicular ad-hoc networks | |
| CN114528601A (zh) | 基于区块链数据的访问方法和装置、处理器及电子设备 | |
| CN112235276B (zh) | 主从设备交互方法、装置、系统、电子设备和计算机介质 | |
| CN111682937B (zh) | 增强型cpk的密钥申请与分发方法及装置 | |
| CN111010283B (zh) | 用于生成信息的方法和装置 | |
| CN112364335A (zh) | 标识身份鉴别方法、装置及电子设备和存储介质 | |
| CN112182009A (zh) | 区块链的数据更新方法及装置、可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |