CN110601858B - 证书管理方法及装置 - Google Patents
证书管理方法及装置 Download PDFInfo
- Publication number
- CN110601858B CN110601858B CN201910926300.5A CN201910926300A CN110601858B CN 110601858 B CN110601858 B CN 110601858B CN 201910926300 A CN201910926300 A CN 201910926300A CN 110601858 B CN110601858 B CN 110601858B
- Authority
- CN
- China
- Prior art keywords
- certificate
- request
- block
- revoking
- revocation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本申请实施例公开了一种证书管理方法及装置,该方法包括第一节点在接收用户终端发送的证书吊销请求后,生成证书吊销区块,然后调用与证书吊销操作对应的智能合约,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块,之后将签名后的证书吊销区块同步至第二节点,在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应;本申请在吊销证书时,用户通过智能合约发起吊销操作,并用私钥证书对其签名上链之后,区块链上就会存储该证书被吊销的信息,该证书也就无法继续在区块链上,提高了证书吊销的实时性。
Description
技术领域
本申请涉及通信领域,具体涉及一种证书管理方法及装置。
背景技术
在区块链中,用户(如金融机构等)可向证书认证(Certification Authority,CA)机构申请用户证书,用户证书包含私钥证书、公钥证书、公钥证书拥有者信息,该用户在进行交易时,在用私钥证书签名交易后发送至对方用户(如银行等),对方用户用该用户证书里的公钥证书验证签名是否属实,以保证交易的正确性。
当用户的私钥证书泄露或者被窃取时,用户需要向CA机构申请吊销该用户证书,在一段时间后(根据CA机构配置不同,吊销时间会有差异),CA机构才会更新最新的CRL(Certificate revocation list,证书吊销列表,是尚未到期就被CA机构吊销的数字证书的名单,在证书吊销列表中的证书不再会受到信任),这时用户请求吊销的用户证书才失去有效性。而在该段时间内,用户证书仍然是有效的,即现有用户证书的吊销不是实时的,存在安全隐患。
发明内容
本申请实施例提供一种证书管理方法及装置,以提高证书吊销的实时性。
为解决技术问题,本申请实施例提供以下技术方案:
本申请实施例提供一种证书管理方法,其应用于区块链系统,区块链系统包括相互连接的至少两个节点,至少两个节点中包括第一节点和第二节点,证书管理方法由第一节点执行,证书管理方法包括:
接收用户终端发送的证书吊销请求;
响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
将签名后的证书吊销区块同步至第二节点;
在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
本申请实施例提供一种证书管理装置,其应用于区块链系统,区块链系统包括相互连接的至少两个节点,至少两个节点中包括第一节点和第二节点,证书管理装置设置于第一节点中,证书管理装置包括:
接收模块,用于接收用户终端发送的证书吊销请求;
生成模块,用于响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
签名模块,用于调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
同步模块,用于将签名后的证书吊销区块同步至第二节点;
发送模块,用于在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
本申请实施例提供一种电子设备,其包括处理器和存储器,存储器存储有多条指令,指令适于处理器进行加载,以执行方法中的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行方法中的步骤。
本申请实施例提供了一种证书管理方法及装置,该方法包括区块链中的第一节点在接收用户终端发送的证书吊销请求后,响应于证书吊销请求生成证书吊销区块,然后调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块,之后将签名后的证书吊销区块同步至第二节点,在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应;本申请基于区块链进行证书吊销,在吊销证书时,用户通过智能合约发起吊销操作,这个操作可以理解为是一笔交易,并用私钥证书对交易签名上链之后,区块链上就会存储该证书被吊销的信息,该证书也就无法继续在区块链上,提高了证书吊销的实时性,解决了当前CA机构公布CRL不及时所存在的安全隐患。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本申请实施例提供的分布式系统的示意图;
图1b是本申请实施例提供的区块结构的示意图;
图1c是本申请实施例提供的通信系统的示意图;
图1d是本申请实施例提供的区块链的示意图;
图2是本申请实施例提供的证书管理方法的第一种流程示意图;
图3是本申请实施例提供的证书管理方法的第二种流程示意图;
图4是本申请实施例提供的证书管理方法的第三种流程示意图;
图5是本申请实施例提供的证书管理装置的结构示意图;
图6是本申请实施例提供的终端的结构示意图;
图7是本申请实施例提供的服务器的结构示意图;
图8a至图8d是本申请实施例提供的界面示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在对本申请实施例进行详细地解释说明之前,先对本申请实施例涉及到的一些名词进行解释说明。
区块链:区块链技术脱胎于比特币技术,是比特币的底层技术,其是去中心化的分布式账本数据库。区块链本身是一串使用密码学算法相关联产生的数据块(即区块),每一个数据块中包含了多次区块链网络交易有效确认的信息。正是基于此,所以无法通过篡改区块上的数据来进行作弊,能够确保任何区块上的数据均是公开透明的,确保了数据的安全性。
区块链可以分为公有链、私有链、联盟链。其中,联盟链则介于公有链和私有链之间,由若干组织一起合作维护一条区块链,该区块链的使用必须是有权限的管理,相关信息会得到保护,典型如金融组织。例如,在一种实施方式中,区块链网络具体可以是一个由主链,以及若干子链构成的联盟链。
在本申请中,所描述的交易,是指用户通过区块链的客户端创建,并需要最终发布至区块链中的一笔数据。其中,区块链中的交易,存在狭义的交易以及广义的交易之分。狭义的交易是指用户向区块链发布的一笔价值转移;例如,在传统的比特币区块链网络中,交易可以是用户在区块链中发起的一笔转账。而广义的交易是指用户向区块链发布的一笔具有业务意图的业务数据;例如,运营方可以基于实际的业务需求搭建一个联盟链,依托于联盟链部署一些与价值转移无关的其它类型的在线业务(比如,租房业务、车辆调度业务、保险理赔业务、信用服务、医疗服务等),而在这类联盟链中,交易可以是用户在联盟链中发布的一笔具有业务意图的业务消息或者业务请求。
总结来说,区块链是由节点参与的分布式数据库系统,或者,也可称之为一个基于P2P(点对点)网络的分布式公共账本,其特点是不可更改、不可伪造,还可以将其理解为账簿系统。
区块链的节点:参与构建区块链的节点,可以为随机数生成的执行主体、节点之间交互可以实现交易等业务等。该节点存储有相关区块数据。其中,该节点可以为智能手机、智能手表、平板电脑以及车载电脑、服务器等网络设备。
区块链上的每个节点都会存储运行区块链上的智能合约,一个智能合约是一套以数字形式定义的承诺(promises),包括合约参与方可以在上面执行这些承诺的协议。当一个携带交易参数的交易请求传到区块链的节点上时,这个交易参数会被记录到该节点对应的事务记录上并同时传给与该交易参数对应的智能合约去运行,并由该交易参数对应的智能合约上的代码对智能合约的自身数据进行更新。
在本申请实施例中,目标证书、用户证书、认证证书等都可以是任意标准的数字证书,如CA证书,CA证书包括私钥证书和公钥证书,一个私钥证书仅对应一个公钥证书,而一个公钥证书则可以对应一个或多个私钥证书。CA机构签发的公钥证书中包含用户身份信息及用户使用的公钥,不包含私钥,而私钥证书应由用户秘密保存,CA证书将公钥证书的值绑定持有对应私钥证书的个人、设备或服务的身份。
本申请实施例涉及的系统可以是由客户端、多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)通过网络通信的形式连接形成的分布式系统。
以分布式系统为区块链系统为例,参见图1a,图1a是本申请实施例提供的分布式系统100应用于区块链系统的一个可选的结构示意图,由多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)和客户端形成,节点之间形成组成的点对点(P2P,PeerTo Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission ControlProtocol)协议之上的应用层协议。在分布式系统中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。
参见图1a示出的区块链系统中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链系统中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
例如,应用实现的业务包括:
2.1)钱包,用于提供进行电子货币的交易的功能,包括发起交易(即,将当前交易的交易记录发送给区块链系统中的其他节点,其他节点验证成功后,作为承认交易有效的响应,将交易的记录数据存入区块链的临时区块中;当然,钱包还支持查询电子货币地址中剩余的电子货币;
2.2)共享账本,用于提供账目数据的存储、查询和修改等操作的功能,将对账目数据的操作的记录数据发送到区块链系统中的其他节点,其他节点验证有效后,作为承认账目数据有效的响应,将记录数据存入临时区块中,还可以向发起操作的节点发送确认。
2.3)智能合约,计算机化的协议,可以执行某个合约的条款,通过部署在共享账本上的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于完成自动化的交易,例如查询买家所购买商品的物流状态,在买家签收货物后将买家的电子货币转移到商户的地址;当然,智能合约不仅限于执行用于交易的合约,还可以执行对接收的信息进行处理的合约。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
参见图1b,图1b是本申请实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
参见图1c,图1c是本申请实施例提供的通信系统一个可选的示意图,该系统包括至少两个用户终端31、区块链系统、至少一个CA机构对应的电子设备32(如服务器等),其中:
用户终端31包括用户终端31a和用户终端31b,是指图1a中的客户端,包括但不局限于手机、平板等设置有通信功能的便携终端,电脑、查询机、广告机等固定终端等;
电子设备32可以通过本地服务器和/或远程服务器等实现,用于根据用户申请分配CA证书、更新CA证书以及吊销CA证书等。
区块链系统包括至少两个节点(图1c中以区块链系统包括3个节点为例进行说明)。该至少两个节点通过网络连接,连接方式可以是无线连接或有线连接。具体的,该至少两个节点通过对等网络动态组网,形成一个“去中心化”的系统,该至少两个节点互为对等节点,即每个节点对于整个区块链系统来说都是一样的。可以理解的是,区块链系统中的节点数量可以N个,其中,N为正整数,且N不小于2(例如N=3),也即只需满足区块链系统10包括相互连接的至少两个节点即可,本申请对此不作限定。
在本申请实施例中,区块链系统包括第一节点331和第二节点,例如如图1c所示,第二节点可以包括第三节点333和第四节点334。需要说明的是,第一节点331、第三节点333以及第四节点334地位对等,第一节点331、第三节点333以及第四节点334的编号命名并不对其进行限定,编号命名仅仅是为了便于说明各节点之间发生的信息交互。第二节点仅是相对第一节点331而言,第二节点为区块链系统中除第一节点331之外的所有其他节点。在其他实施例中,第二节点也可以仅为区块链系统中除第一节点331之外的部分其他节点,本申请对此不作限定。
在本申请一种实施例中,区块链具体可以采用的主链一子链的架构,可以包括一主链((Main Chain)和若干子链(Child Chain)。其中,区块链网络中的子链的数量,可以基于实际的业务需求进行规划,在本说明书中不进行特别限定。
参见图1d,图1d为本申请实施例提供的一种区块链示意图,如图1d所示,区块链可以按照收录存储的数据类型,划分为“存证链”、“合同摘要子链”(第一子链)、“合同子链”(第二子链)、“CA证书子链”(第三子链)、“吊销证书子链”(第四子链)、“CRL子链”(第五子链)等。
存证链可以是区块链的主链,可以将区块链的主链作为存证链,用于对签约用户在区块链上完成的一系列操作相关的交易数据进行存储存证,以便于未来对签约用户的操作行为进行追溯;其中,区块链的运营方部署的智能合约,可以在共识通过后,收录存储至主链。
合同摘要子链,用于存储电子合同的摘要数据(对合同内容进行哈希计算得到的hash值)和电子合同的原始内容的访问地址。
合同子链,用于存储电子合同的原始内容。为了提升电子合同的原始内容的数据安全,可以为链上存储的电子合同的原始内容设置访问权限,来限制智能合约以外的用户账户进行访问。也即,通过为链上存储的电子合同的原始内容设置访问权限,来确保只有智能合约,能够具有访问链上存储的电子合同的原始内容的权限,对该电子合同的原始内容进行查看、操作。
CA证书子链,用于存储由CA机构颁发给签约用户的CA证书,包括私钥证书和公钥证书等、证书标识、以及证书对应用户的用户信息等。
吊销证书子链,用于存储用户主动通过区块链申请吊销的CA证书。
CRL子链,用于存储CA机构发布的CRL。
以上描述的子链划分方式,仅为示例性的,在实际应用中,可以基于实际的需求,对以上示出的各个子链进行进一步的细分,也可以对以上示出的多个子链进行合并处理。例如,可以将合同摘要子链,进一步划分为“合同摘要子链”和“合同地址子链”,在合同摘要子链中存储电子合同的摘要信息,在合同地址子链中存储电子合同的访问地址;又如,也可以将吊销证书子链和CRL子链,合并为同一个子链,将无效的证书均存储在该子链中。
在本申请实施例中,以用户仅需要申请一个CA证书即可完成所有的业务、交易的认证等功能的场景为例对本申请进行说明;若在一些应用场景中,用户需要针对不同的业务分别申请CA证书,则针对各业务分别执行本申请即可。
需要说明的是,图1a至图1d所示的场景示意图仅仅是一个示例,本申请实施例描述的服务端以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
以下针对本申请提供的证书管理方法进行详细说明。
图2是本申请实施例提供的证书管理方法的第一种流程示意图,请参阅图2,该证书管理方法包括以下步骤:
201:接收用户终端发送的证书吊销请求。
在一种实施例中,用户在知悉其私钥泄露或者被窃取时,通过操作用户终端31a生成证书吊销请求,然后用户终端31a将证书吊销请求发送至第一节点。
具体的,用户终端31a展示如图8a所示的证书管理界面,该证书管理界面提供证书申请以及证书吊销等功能,用户点击证书吊销控件,进入如图8b所示的证书吊销界面。
在一种实施例中,用户可以在证书吊销请求添加需要吊销的证书标识,此时,用户点击证书吊销界面的证书标识添加框,然后用户终端31a读取本地私钥证书(即需要吊销的用户证书对应的私钥证书),获取证书标识(例如00XXX001),然后添加至证书吊销请求中;由于私钥证书是根据公钥证书生成、且与公钥证书对应,那么基于私钥证书的证书标识,即可查询到对应的公钥证书,也即需要吊销的证书。
在一种实施例中,若用户终端31a不是用户的常用设备,其中没有安装用户的私钥证书,那么还可以基于用户信息,例如用户申请CA证书时提供的用户信息,确定需要吊销的证书,此时,用户点击证书吊销界面的用户信息添加框,输入用户信息,例如用户唯一标识等,然后添加至证书吊销请求中;由于CA机构是根据用户信息发布CA证书的,那么基于用户信息,即可查询到对应的公钥证书,也即需要吊销的证书。
在一种实施例中,本申请将证书吊销这一个业务视为一个交易,这样就可以调用智能合约,兼容区块链的交易流程。
在一种实施例中,在本步骤之后,还包括:对证书吊销请求进行合法性验证;在验证通过时,执行下一步骤,以响应于证书吊销请求生成证书吊销区块;在验证未通过时,拒绝证书吊销请求。例如获取发起证书吊销请求的用户的用户账号以及密码,验证发起该请求的用户是否是合法用户,若是合法用户,则响应证书吊销请求,若不是合法用户,则拒绝证书吊销请求;又如,获取发起证书吊销请求的设备的设备唯一标识(如MAC地址等),验证发起该请求的设备(如用户终端31a)是否是合法设备,若是合法设备,则响应证书吊销请求,若不是合法设备,则拒绝证书吊销请求。本实施例提供了合法性验证机制,避免了非法请求带来的安全隐患。
202:响应于证书吊销请求生成证书吊销区块。
在一种实施例中,证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书。
在一种实施例中,承接步骤201,若证书吊销请求携带有证书标识,那么,本步骤包括:对证书吊销请求进行解析,得到证书吊销请求携带的证书标识;将证书标识对应的认证证书,确定为目标证书;根据目标证书,生成证书吊销区块。例如,根据证书标识在CA证书子链中进行查找,将查找到的证书作为证书标识对应的认证证书,并确定为目标证书。
在一种实施例中,承接步骤201,若证书吊销请求携带有用户信息,那么,本步骤包括:对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;将用户信息对应的认证证书,确定为目标证书;根据目标证书,生成证书吊销区块。例如,根据用户信息在CA证书子链中进行查找,将查找到的证书作为用户信息对应的认证证书,并确定为目标证书。
在一种实施例中,用户在得知其私钥证书泄露或者被窃取时,可能会向CA机构重新申请一个新的CA证书,由于之前的证书尚且没有被吊销,此时,该用户信息对应的认证证书为多个,那么本步骤包括:在用户信息对应的认证证书为多个时,获取各认证证书的申请时间;根据各认证证书的申请时间,将旧认证证书确定为目标证书。例如,该用户信息对应的认证证书包括认证证书a和认证证书b,认证证书a的申请时间为2019.08.01,而认证证书b的申请时间为2019.09.01,那么认证证书a的申请时间早于认证证书b的申请时间,认证证书a为旧认证证书,将认证证书a确定为目标证书。
203:调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块。
智能合约用于实现不同的功能,本申请提供的智能合约包括用于申请CA证书的智能合约、用于吊销CA证书的智能合约、用于对电子文书进行签名的智能合约、用于验证私钥证书的智能合约等。
步骤203涉及的证书吊销操作对应的智能合约则是用于吊销CA证书的智能合约,在本步骤中,该智能合约从CA证书子链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块。
在一种实施例中,承接步骤201,若证书吊销请求携带有证书标识,那么,本步骤中的从区块链中读取与证书吊销请求对应的认证证书包括:对证书吊销请求进行解析,得到证书吊销请求携带的证书标识;将证书标识对应的认证证书,确定为证书吊销请求对应的认证证书。例如,根据证书标识在CA证书子链中进行查找,将查找到的证书作为证书吊销请求对应的认证证书,由于这个证书需要吊销,但是仍未吊销,那么就可以使用该证书的私钥证书进行区块签名。
在一种实施例中,承接步骤201,若证书吊销请求携带有用户信息,那么,本步骤中的从区块链中读取与证书吊销请求对应的认证证书包括:对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;将用户信息对应的认证证书,确定为证书吊销请求对应的认证证书。例如,根据用户信息在CA证书子链中进行查找,将查找到的证书作为证书吊销请求对应的认证证书,由于这个证书需要吊销,但是仍未吊销,那么就可以使用该证书的私钥证书进行区块签名。
在一种实施例中,用户在得知其私钥证书泄露或者被窃取时,可能会向CA机构重新申请一个新的CA证书,由于之前的证书尚且没有被吊销,此时,该用户信息对应的认证证书为多个,那么本步骤包括:在用户信息对应的认证证书为多个时,获取各认证证书的申请时间;根据各认证证书的申请时间,将新认证证书确定为证书吊销请求对应的认证证书。例如,该用户信息对应的认证证书包括认证证书a和认证证书b,认证证书a的申请时间为2019.08.01,而认证证书b的申请时间为2019.09.01,那么认证证书a的申请时间早于认证证书b的申请时间,认证证书b为新认证证书,将认证证书b确定为证书吊销请求对应的认证证书,并使用该证书的私钥证书进行区块签名。
204:将签名后的证书吊销区块同步至第二节点。
在一种实施例中,第一节点将签名后的证书吊销区块同步到至少一个第二节点,触发这些第二节点对签名后的证书吊销区块进行验证。此后,第二节点使用证书吊销请求对应的认证证书对证书吊销区块进行验证,在验证通过时,将这个证书吊销区块存入吊销证书子链以写入账本,并向第一节点反馈验证结果,此时该目标证书被正式吊销,所有基于该目标证书进行的交易都将被拒绝,保证了安全。
在一种实施例中,认证证书包括私钥证书和公钥证书;此时,使用认证证书对证书吊销区块进行签名,包括:使用私钥证书对证书吊销区块进行签名;第二节点验证签名后的证书吊销区块合法,包括:第二节点使用公钥证书验证签名后的证书吊销区块合法。
205:在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
本实施例提供了一种证书管理方法,该方法基于区块链进行证书吊销,在吊销证书时,用户通过智能合约发起吊销操作,这个操作可以理解为是一笔交易,并用私钥证书对交易签名上链之后,区块链上就会存储该证书被吊销的信息,该证书也就无法继续在区块链上,提高了证书吊销的实时性,解决了当前CA机构公布CRL不及时所存在的安全隐患。
用户可以基于区块链向CA机构申请CA证书,CA机构将证书发布在区块链中,用户在知悉证书泄露或者被窃取后,可以先在区块链内申请吊销该证书,然后再向CA机构申请吊销该证书,针对本场景,本申请提供的证书管理方法如图3所示。
图3是本申请实施例提供的证书管理方法的第二种流程示意图,请参阅图3,该证书管理方法包括以下步骤:
301:用户终端31a向节点331发送证书申请请求。
在本实施例中,用户需要执行某一业务,该业务要求用户到CA结构申请一个CA证书。此时,用户通过其用户终端31a向节点发送证书申请请求,该证书申请请求携带有用户信息。
具体的,用户终端31a展示如图8a所示的证书管理界面,用户点击证书申请控件,进入如图8c所示的证书申请界面,输入用户信息,例如用户唯一标识、用户执业信息等,并确定申请,用户终端31a生成证书申请请求,并发送至节点。
302:节点331基于证书申请请求生成证书申请区块,并同步至节点333。
在本实施例中,节点将证书申请请求作为一个交易,然后对证书申请请求的合法性进行验证,若验证未通过,直接拒绝该交易,若验证通过,则生成对应的区块,即证书申请区块,并同步至节点,本实施例以验证通过为例进行后续说明。
303:节点333基于证书申请区块向CA机构申请CA证书。
在本实施例中,节点对证书申请区块进行验证,以保证数据的准确性;若验证未通过,则向节点重新请求该证书申请区块,若验证通过,则获取用户信息,并基于用户信息向CA机构请求CA证书,本实施例以验证通过为例进行后续说明。
304:CA机构发布CA证书1到区块链。
在本实施例中,CA机构对用户信息进行验证,以验证用户信息的真实性,若验证未通过,则向用户终端31a返回申请失败响应,若验证通过,则生成CA证书1,并发布到区块链中,区块链系统将CA证书1写入CA证书子链;本实施例以验证通过为例进行后续说明。
在本实施例中,CA证书1包括私钥证书1和公钥证书1。
305:节点331接收用户终端31a发送的证书吊销请求。
在本实施例中,用户在知悉其私钥证书1泄露或者被窃取时,通过操作用户终端31a生成证书吊销请求,然后用户终端31a将证书吊销请求发送至节点。
具体的,用户终端31a展示如图8a所示的证书管理界面,用户点击证书吊销控件,进入如图8b所示的证书吊销界面。用户可以在证书吊销请求添加需要吊销的证书标识,此时,用户点击证书吊销界面的证书标识添加框,然后用户终端31a读取本地私钥证书1,获取证书标识:私钥证书1,然后添加至证书吊销请求中。
306:节点331基于证书吊销请求生成证书吊销区块,并同步至节点334。
在本实施例中,节点对证书吊销请求进行解析,得到证书吊销请求携带的证书标识:私钥证书1;根据证书标识在CA证书子链中进行查找,将查找到的证书作为证书标识对应的认证证书:CA证书1,确定为目标证书;根据目标证书,生成证书吊销区块。
之后,节点调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书:CA证书1,使用认证证书的私钥证书1对证书吊销区块进行签名,得到签名后的证书吊销区块,并将签名后的证书吊销区块同步至节点334。
307:节点334验证证书吊销区块并写入账本。
在本实施例中,节点使用公钥证书1验证签名后的证书吊销区块的合法性,即验证该证书吊销区块是否是通过私钥证书1签名的,若验证未通过,则向用户终端31a返回吊销失败响应,若验证通过,则将CA证书1写入吊销证书子链,CA证书1将无法使用;本实施例以验证通过为例进行后续说明。
308:节点334向节点331返回注销成功响应。
在本实施例中,注销成功响应表示节点验证签名后的证书吊销区块合法,且已经存储至区块链账本。
309:节点331向用户终端发送证书吊销成功的证书吊销响应。
310:用户终端31a展示证书吊销响应。
在本实施例中,如图8d所示,用户终端31a展示证书吊销响应,以告知用户CA证书1吊销成功,并引导用户向CA机构吊销CA证书1。
311:用户终端31a向CA机构发送证书吊销请求。
在本实施例中,用户通过用户终端31a向CA机构发送证书吊销请求,以请求吊销CA证书1,并获取新的CA证书。
312:CA机构吊销CA证书1,并生成新的CA证书2。
在本实施例中,CA机构对用户身份进行验证,并在验证通过后,将CA证书1添加至CRL中,实现CA证书1的吊销之后,并为用户生成新的CA证书2。
313:CA机构发布CA证书2到区块链。
在本实施例中,区块链将CA证书2存入CA证书子链。
314:CA机构在CRL更新周期到达时,将CRL发布到区块链。
在本实施例中,例如更新周期为24小时,那么在每天的0点0分,将CRL发布到区块链,区块链将CRL存入CRL子链。
本实施例先进行区块链的证书吊销,保证了证书吊销的实时性,降低了安全隐患。
用户可以基于区块链向CA机构申请CA证书,CA机构将证书发布在区块链中,用户在知悉证书泄露或者被窃取后,可以先向CA机构申请吊销该证书,然后在区块链内申请吊销该证书,针对本场景,本申请提供的证书管理方法如图4所示。
图4是本申请实施例提供的证书管理方法的第三种流程示意图,请参阅图4,该证书管理方法包括以下步骤:
401:用户终端31a向节点331发送证书申请请求。
在本实施例中,用户需要执行某一业务,该业务要求用户到CA结构申请一个CA证书。此时,用户通过其用户终端31a向节点发送证书申请请求,该证书申请请求携带有用户信息。
具体的,用户终端31a展示如图8a所示的证书管理界面,用户点击证书申请控件,进入如图8c所示的证书申请界面,输入用户信息,例如用户唯一标识、用户执业信息等,并确定申请,用户终端31a生成证书申请请求,并发送至节点。
402:节点331基于证书申请请求生成证书申请区块,并同步至节点333。
在本实施例中,节点将证书申请请求作为一个交易,然后对证书申请请求的合法性进行验证,若验证未通过,直接拒绝该交易,若验证通过,则生成对应的区块,即证书申请区块,并同步至节点,本实施例以验证通过为例进行后续说明。
403:节点333基于证书申请区块向CA机构申请CA证书。
在本实施例中,节点对证书申请区块进行验证,以保证数据的准确性;若验证未通过,则向节点重新请求该证书申请区块,若验证通过,则获取用户信息,并基于用户信息向CA机构请求CA证书,本实施例以验证通过为例进行后续说明。
404:CA机构发布CA证书1到区块链。
在本实施例中,CA机构对用户信息进行验证,以验证用户信息的真实性,若验证未通过,则向用户终端31a返回申请失败响应,若验证通过,则生成CA证书1,并发布到区块链中,区块链系统将CA证书1写入CA证书子链;本实施例以验证通过为例进行后续说明。
在本实施例中,CA证书1包括私钥证书1和公钥证书1。
405:用户终端31a向CA机构发送证书吊销请求。
在本实施例中,用户在知悉其私钥证书1泄露或者被窃取时,通过操作用户终端31a生成证书吊销请求,然后用户终端31a将证书吊销请求发送至CA机构,以请求吊销CA证书1,并获取新的CA证书。
406:CA机构吊销CA证书1,并生成新的CA证书2。
在本实施例中,CA机构对用户身份进行验证,并在验证通过后,将CA证书1添加至CRL中,实现CA证书1的吊销之后,并为用户生成新的CA证书2。
407:CA机构发布CA证书2到区块链。
在本实施例中,区块链将CA证书2存入CA证书子链,此时,区块链中针对该用户存在两个CA证书,即CA证书1和CA证书2,CA证书2包括私钥证书2和公钥证书2。
408:节点331接收用户终端31a发送的证书吊销请求。
在本实施例中,用户在完成CA机构的证书吊销之后,进行区块链的证书吊销,此时,通过操作用户终端31a生成证书吊销请求,然后用户终端31a将证书吊销请求发送至节点。
具体的,用户终端31a展示如图8a所示的证书管理界面,用户点击证书吊销控件,进入如图8b所示的证书吊销界面。若用户终端31a不是用户的常用设备,其中没有安装用户的私钥证书,那么用户点击证书吊销界面的用户信息添加框,输入用户信息,例如用户唯一标识等,然后添加至证书吊销请求中。
409:节点331基于证书吊销请求生成证书吊销区块,并同步至节点334。
在本实施例中,节点对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;将用户信息对应的认证证书,确定为目标证书,此时,该用户信息对应的认证证书包括CA证书1和CA证书2,CA证书1认的申请时间为2019.08.01,而CA证书2的申请时间(即用户向CA机构请求吊销CA证书1的时间)为2019.09.01,那么CA证书1的申请时间早于CA证书2的申请时间,CA证书1为旧认证证书,将CA证书1确定为目标证书;根据目标证书,生成证书吊销区块,用于吊销CA证书1。
之后,节点调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;在用户信息对应的认证证书为多个时,获取各认证证书的申请时间;根据各认证证书的申请时间,将新认证证书确定为证书吊销请求对应的认证证书,例如该用户信息对应的认证证书包括CA证书1和CA证书2,CA证书1认的申请时间为2019.08.01,而CA证书2的申请时间(即用户向CA机构请求吊销CA证书1的时间)为2019.09.01,那么CA证书1的申请时间早于CA证书2的申请时间,CA证书2为新认证证书,将CA证书2确定为证书吊销请求对应的认证证书,使用私钥证书2对证书吊销区块进行签名,得到签名后的证书吊销区块,并将签名后的证书吊销区块同步至节点334。
410:节点334验证证书吊销区块并写入账本。
在本实施例中,节点使用公钥证书2验证签名后的证书吊销区块的合法性,即验证该证书吊销区块是否是通过私钥证书2签名的,若验证未通过,则向用户终端31a返回吊销失败响应,若验证通过,则将CA证书1写入吊销证书子链,CA证书1将无法使用;本实施例以验证通过为例进行后续说明。
411:节点334向节点331返回注销成功响应。
在本实施例中,注销成功响应表示节点验证签名后的证书吊销区块合法,且已经存储至区块链账本。
412:节点331向用户终端发送证书吊销成功的证书吊销响应。
413:用户终端31a展示证书吊销响应。
在本实施例中,如图8d所示,用户终端31a展示证书吊销响应,以告知用户CA证书1吊销成功。
414:CA机构在CRL更新周期到达时,将CRL发布到区块链。
在本实施例中,例如更新周期为24小时,那么在每天的0点0分,将CRL发布到区块链,区块链将CRL存入CRL子链。
本实施例基于区块链的证书吊销,保证了证书吊销的实时性,降低了安全隐患。
如图1d所示,在本申请实施例中,区块链可以按照收录存储的数据类型,划分为“存证链”、“合同摘要子链”(第一子链)、“合同子链”(第二子链)、“CA证书子链”(第三子链)、“吊销证书子链”(第四子链)、“CRL子链”(第五子链)等。基于此,本申请提供了具体的场景对本申请的进一步应用进行详细说明。
本场景以签约用户进行电子文书的签约为例进行说明。
本实施例提供的电子文书的签约流程中,可以划分为电子合同上传、签约用户身份认证、签约用户合同确认、签约用户电子签名等四个阶段。
1、电子合同上传阶段。
电子合同的起草方,在完成电子合同的起草后,一方面可以通过客户端(例如用户终端31a)将电子合同的原始内容上传给区块链系统,而区块链系统可以进一步以交易的形式在合同子链中发布电子合同的原始内容(电子合同的原始内容以密文的形式携带在交易中);而合同子链中的节点,在收到电子合同的原始内容后,可以发起对电子合同的原始内容进行共识处理,并在共识通过后,将电子合同的原始内容收录存储至合同子链的分布式数据库。
当电子合同的原始内容被成功收录至合同子链的分布式数据库后,合同子链可以向区块链系统返回一个保存成功的通知消息,将电子合同的原始内容在合同子链上的访问地址,返回给电子合约系统;而电子合约系统在收到合同子链的反馈后,可以向客户端返回一个上传成功的通知消息,将电子合同的原始内容在合同子链上的访问地址,进一步返回给客户端;例如,电子合同的原始内容的访问地址,具体可以包括收录该电子合同的原始内容的交易的hash值,以及收录该交易的区块的区块编号等信息。
在一种实施方式中,为了提升电子文书的使用安全,当电子文书的原始内容经过共识处理,被成功收录存储至存证链的分布式数据库之后,可以为链上存储的电子文书的原始内容设置访问权限,来限制除了以上描述的智能合约以外的用户账户进行访问。即,通过为链上存储的电子文书设置访问权限,来确保只有链上部署的智能合约,能够具有访问链上存储的电子文书的原始内容的权限,对电子文书的原始内容进行查看、操作。
电子合同的起草方在通过客户端收到合同子链返回的电子合同的原始内容在合同子链上的访问地址后,还可以通过客户端计算该电子合同的摘要信息,并将该电子合同的摘要信息上传给区块链系统。而区块链系统可以进一步以交易的形式在合同摘要子链中发布该电子合同的摘要信息和该电子合同的访问地址(均以密文的形式携带在交易中)。合同摘要子链中的节点设备,在收到电子合同的摘要信息和该电子合同的访问地址后,可以发起对电子合同的摘要信息和该电子合同的访问地址进行共识处理,并在共识通过后,将电子合同的摘要信息和该电子合同的访问地址收录存储至合同摘要子链的分布式数据库。当电子合同的摘要信息和该电子合同的访问地址被成功收录至合同摘要子链的分布式数据库后,合同摘要子链也可以向电子合约系统返回一个保存成功的通知消息,将电子合同的摘要信息和该电子合同的访问地址在合同摘要子链中的访问地址,返回给区块链系统。而区块链系统在收到合同摘要子链的反馈后,也可以进一步向客户端返回一个上传成功的通知消息,将电子合同的摘要信息和该电子合同的访问地址在合同摘要子链中的访问地址,进一步返回给客户端。
此时,电子合同起草方,成功将电子合同的原始内容、电子合同的摘要信息和该电子合同的访问地址,分别收录存储至不同的子链。
2、签约用户身份认证阶段。
签约用户可以通过客户端向区块链系统发送签约请求,发起对电子合同的在线签约;而区块链系统在收到该签约请求后,可以响应该签约请求,对该签约用户进行身份认证。例如,在一个例子中,签约请求可以基于签约用户持有的私钥进行电子签名操作,而区块链系统可以通过与签约用户持有的私钥对应的公钥对签约请求的电子签名进行验证,以确定该签约请求是否由持有该私钥的签约用户本人发起的签约请求。
当区块链系统完成对签约用户的身份认证后,可以生成一条该签约用户己经通过身份认证的认证记录,并根据生成的认证记录构建一笔交易,然后将该交易在存证链(即主链)上进行发布,以发起对己经部署完成的,用于对区块链上的电子合同进行在线展示的智能合约进行调用,来触发在线展示需要签署的电子合同。
而存证链中的节点设备,在收到交易后,可以发起对交易进行共识处理,并在共识通过后,将交易收录存储至存证链的分布式数据库进行存证,然后向区块链系统返回交易在存证链上的访问地址。后续,区块链系统可以基于该交易在存证链上的访问地址,对该签约用户的身份认证结果进行追溯查询。
3、签约用户合同确认阶段。
区块链系统根据生成的认证记录构建的交易共识通过,在存证链上完成存证后,此时存证链上的节点设备,可以立即触发调用己经部署完成的,用于对区块链上的电子合同进行在线展示的智能合约,执行该智能合约中声明的验证程序,对该电子合同的原始内容进行验证,以确定该电子合同的原始内容是否发生篡改。
在一种实施方式中,在触发调用智能合约之前,首先确定该笔交易是否被成功存储至存证链;如果该笔交易被成功存储至存证链,此时再发起对智能合约的调用;也即,只有由用户发起的用于触发对电子合同进行在线展示的交易在存证链上完成存证后,才会触发调用智能合约。
智能合约在执行验证程序时,首先可以从合同摘要子链中读取电子文书的摘要信息和电子文书的访问地址;例如,在交易中,可以携带电子合同的摘要信息和电子合同的访问地址,在合同摘要子链中的访问地址,而智能合约可以基于该访问地址,从合同摘要子链读取电子合同的摘要信息和访问地址。然后,可以基于电子合同的访问地址,从合同子链中读取电子合同的原始内容。例如,智能合约可以构建一笔用于查询电子合同的原始内容的交易,并基于持有的私钥对该交易进行电子签名;而在合同子链中,可以将该智能合约的公钥配置为具有访问权限的授权公钥。当该合同子链中的节点设备收到该交易后,可以基于授权公钥对该交易的电子签名进行验证;如果验证通过,表明该智能合约具有访问该合同子链中存储的电子合同的原始内容的访问权限,可以正常响应该笔交易,向该智能合约返回被查询的电子合同的原始内容。
进一步的,在从合同子链读取到电子合同的原始内容后,可以进一步计算出读取到的电子合同的原始内容的摘要信息;例如,以摘要信息为hash值为例,可以基于哈希算法对读取到的电子合同的原始内容重新进行哈希计算得到对应的hash值;然后,可以将重新计算得到的电子合同的原始内容的摘要信息,与从合同摘要子链读取电子合同的摘要信息进行匹配;如果重新计算得到的摘要信息,与从合同摘要子链读取电子合同的摘要信息匹配,表明从合同子链中读取到的电子合同的原始内容,与合同起草方最初上传至合同子链的电子合同的原始内容完全一致,并没有发生篡改;此时,该电子合同的原始内容通过了内容验证;反之,如果重新计算得到的摘要信息,与从合同摘要子链读取电子合同的摘要信息匹配,表明从合同子链中读取到的电子合同的原始内容,与合同起草方最初上传至合同子链的电子合同的原始内容不一致,可能发生了篡改;此时,该电子合同的原始内容未通过内容验证。
当完成针对电子合同的原始内容的内容验证后,智能合约可以将读取到的电子合同的原始内容,以及针对该电子合同的原始内容的内容验证结果,返回给区块链系统,再通过区块链系统返回给签约用户的客户端(例如用户终端31b)向签约用户进行在线展示,由签约用户对展示的电子合同的原始内容进行签约确认。
当签约用户对展示的电子合同的原始内容进行确认后,可以通过客户端向区块链系统发送一笔内容确认消息;而区块链系统在收到该内容确认消息后,可以响应该内容确认消息,根据该内容确认消息构建一笔交易,然后将该交易在存证链(即主链)上进行发布。
而存证链中的节点设备,在收到交易后,可以发起对交易进行共识处理,并在共识通过后,将交易收录存储至存证链的分布式数据库进行存证,然后向区块链系统返回交易在存证链上的访问地址。后续,区块链系统可以基于该交易在存证链上的访问地址,对该签约用户对电子合同进行的内容确认操作进行追溯查询。
4、签约用户电子签名阶段。
当签约用户对需要签署的电子合同的原始内容进行内容确认,并且该笔内容确认成功在存证链上完成存证后,签约用户可以通过客户端向区块链系统发送电子签名请求,发起对电子合同的在线电子签名。
区块链系统在收到该电子签名请求后,可以基于该电子签名请求来构建一笔用于触发对电子合同进行电子签名操作的交易,然后将该交易在存证链(即主链)上进行发布,以发起对己经部署完成的,用于对区块链上的电子合同进行在线电子签名操作的智能合约进行调用,来触发对需要签署的电子合同进行在线电子签名操作。
而存证链中的节点设备,在收到交易后,可以发起对交易进行共识处理,并在共识通过后,将交易收录存储至存证链的分布式数据库进行存证,然后向区块链系统返回交易在存证链上的访问地址。后续,区块链系统可以基于该交易在存证链上的访问地址,对该签约用户对电子合同发起的本次对电子合同的电子签名操作进行追溯查询。
在一种实施方式中,电子签名请求可以携带签约用户对电子合同进行电子签名的授权信息。相应的,区块链系统根据该电子签名请求构建的交易中,也会携带该授权信息,授权信息具体用于指示将己经存储至CA证书子链上的该签约用户的CA证书的访问权限,授权给区块链上己经部署的用于对电子合同进行电子签名操作的智能合约。
区块链系统根据电子签名请求构建的交易共识通过,在存证链上完成存证后,此时存证链上的节点设备,可以立即触发调用己经部署完成的,用于对区块链上的电子合同进行电子签名操作的智能合约,执行该智能合约中声明的电子签名程序,对该电子合同进行在线电子签名。
在一种实施方式中,在触发调用智能合约之前,首先可以确定交易中是否携带授权信息;如果交易中携带授权信息,表明签约用户己经将存储在CA证书子链上的个人的CA证书的访问权限,授权给智能合约(即签约用户同意了由智能合约代替自己完成电子签名操作),此时再发起对智能合约的调用。也即,只有签约用户将个人的CA证书的访问权限授权给了智能合约后,才会触发调用智能合约。
在另一种实施方式中,如果交易中携带授权信息,还可以进一步确认该笔交易是否被成功存储至存证链;如果该笔交易被成功存储至存证链,此时再发起对智能合约的调用;也即,只有签约用户将个人的CA证书的访问权限授权给了智能合约,并且由用户发起的用于触发对电子合同进行电子签名操作的交易在存证链上完成存证后,才会触发调用智能合约。
智能合约在执行电子签名程序时,一方面,可以从合同子链上来读取电子合同的原始内容;例如,由于合同子链上存储的电子合同的原始内容,只有区块链上部署的智能合约具有访问权限,因此智能合约可以从合同子链正常读取电子合同的原始内容;另一方面,还可以从CA证书子链中来读取签约用户的CA证书。
例如,智能合约可以构建一笔用于查询CA证书的交易,在该交易中携带作为授权信息的电子凭证,然后将该交易在以证书子链中进行发布;而以证书子链上的节点设备收到该笔交易后们可以对该交易中的电子凭证进行验证,以确认该智能合约是否具有访问签约用户的CA证书的访问权限;如果验证通过,可以将签约用户的CA证书返回给智能合约;也即,智能合约可以通过向CA证书子链中的节点设备提交作为授权信息的电子凭证,从CA证书子链中以签约用户的访问权限来读取CA证书。
然后将读取到的CA证书,在吊销证书子链中进行查询是否已经被用户在区块链内吊销,若没有被用户在区块链内吊销,进一步在CRL子链中进行查询是否已经被CA机构吊销,若没有被CA机构吊销,则进行后续操作;若CA证书被用户在区块链内吊销或者被CA机构吊销,则交易结束。
当从合同子链上读取到了待签署的电子合同的原始内容,并且从CA证书子链中读取到签约用户的个人CA证书后,可以基于读取到的CA证书,对该电子合同的原始内容进行电子签名操作。
在一种实施方式中,如果签约用户的公钥私钥由CA机构统一分配,在签约用户的CA证书中,通常会携带该签约用户的公钥私钥对;在这种情况下,可以基于该CA证书中携带的私钥,对待签署的电子合同的原始内容进行电子签名操作即可。
在另一种实施方式中,如果签约用户的公钥私钥并不是由CA机构统一分配,而是由签约用户自主生成;例如,在用户客户端的安全环境中搭载密钥生成算法,或者在用户持有的安全硬件(比如USB key)中搭载密钥生成算法,签约用户可以通过触发运行密钥生成算法,为自己创建私钥公钥对;在这种情况下,CA证书中通常只会携带签约用户的公钥。签约用户可以对个人私钥进行加密后,将个人私钥单独提交给智能合约,进而智能合约可以对签约用户的私钥进行解密后,基于该私钥对待签署的电子合同的原始内容进行电子签名操作即可。
在基于CA证书对电子合同的原始内容进行电子签名操作时,也可以将CA证书也作为载荷携带在电子签名中;在这种情况下,在需要对签约用户的电子签名进行验证时,可以基于CA机构的公钥对电子签名中携带的CA证书进行解密,获得签约用户的公钥,然后基于签约用户的公钥对电子签名进行验证即可,而不再需要单独查询签约用户的公钥。
当完成针对电子签名的原始内容的电子签名操作后,智能合约可以生成一笔用于指示签约用户己完成对电子合同进行电子签名操作的签名记录,并基于该签名记录构建一笔交易,在存证链上进行发布,由存证链上的节点设备对该交易共识处理后,在存证链上进行存储,以便于电子合约系统后续可以对签约用户本次对该电子合同的电子签名操作进行追溯查询。
在实施例,由于用户可以通过调用智能合约的方式,来触发智能合约从区块链中读取与签约用户对应的CA证书,并基于读取到的CA证书对电子文书进行电子签名操作;因此,可以避免由用户手动对电子文书进行签名,简化电子签名操作的复杂度;另一方面,由于签约用户的CA证书被预先存储至区块链,并且区块链上的CA证书,只能由智能合约来统一使用,因此可以避免非法的第三方用户通过冒用签约用户的以证书的方式,在违背签约用户的意愿的情况下,使用签约用户的CA证书对电子文书进行电子签名操作,可以提升对电子文书进行电子签名操作时的安全等级。
相应的,图5是本申请实施例提供的证书管理装置的结构示意图,请参阅图5可知,该证书管理装置包括以下模块:
接收模块501,用于接收用户终端发送的证书吊销请求;
生成模块502,用于响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
签名模块503,用于调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
同步模块504,用于将签名后的证书吊销区块同步至第二节点;
发送模块505,用于在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
在一种实施例中,生成模块502用于对证书吊销请求进行解析,得到证书吊销请求携带的证书标识;将证书标识对应的认证证书,确定为目标证书;根据目标证书,生成证书吊销区块。
在一种实施例中,生成模块502用于对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;将用户信息对应的认证证书,确定为目标证书;根据目标证书,生成证书吊销区块。
在一种实施例中,生成模块502用于在用户信息对应的认证证书为多个时,获取各认证证书的申请时间;根据各认证证书的申请时间,将旧认证证书确定为目标证书。
在一种实施例中,签名模块503用于对证书吊销请求进行解析,得到证书吊销请求携带的证书标识;将证书标识对应的认证证书,确定为证书吊销请求对应的认证证书。
在一种实施例中,签名模块503用于对证书吊销请求进行解析,得到证书吊销请求携带的用户信息;将用户信息对应的认证证书,确定为证书吊销请求对应的认证证书。
在一种实施例中,签名模块503用于在用户信息对应的认证证书为多个时,获取各认证证书的申请时间;根据各认证证书的申请时间,将新认证证书确定为证书吊销请求对应的认证证书。
在一种实施例中,接收模块501用于对证书吊销请求进行合法性验证;在验证通过时,触发生成模块502以响应于证书吊销请求生成证书吊销区块。
在一种实施例中,认证证书包括私钥证书和公钥证书;生成模块502用于使用私钥证书对证书吊销区块进行签名。
相应的,本申请实施例提供的电子设备作为区块链系统中的任意节点,可以是终端,也可以是服务器。
相应的,本申请实施例还提供一种终端,如图6所示,该终端可以包括射频(RF,Radio Frequency)电路601、包括有一个或一个以上计算机可读存储介质的存储器602、输入单元603、显示单元604、传感器605、音频电路606、无线保真(WiFi,Wireless Fidelity)模块607、包括有一个或者一个以上处理核心的处理器608、以及电源609等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路601可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器608处理;另外,将涉及上行的数据发送给基站。通常,RF电路601包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM,Subscriber Identity Module)卡、收发信机、耦合器、低噪声放大器(LNA,Low Noise Amplifier)、双工器等。此外,RF电路601还可以通过无线通信与网络和其他设备通信。无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GSM,Global System of Mobile communication)、通用分组无线服务(GPRS,GeneralPacket Radio Service)、码分多址(CDMA,Code Division Multiple Access)、宽带码分多址(WCDMA,Wideband Code Division Multiple Access)、长期演进(LTE,Long TermEvolution)、电子邮件、短消息服务(SMS,Short Messaging Service)等。
存储器602可用于存储软件程序以及模块,处理器608通过运行存储在存储器602的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器602可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器602可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器602还可以包括存储器控制器,以提供处理器608和输入单元603对存储器602的访问。
输入单元603可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,在一个具体的实施例中,输入单元603可包括触敏表面以及其他输入设备。触敏表面,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面上或在触敏表面附近的操作),并根据预先设定的程式驱动相应的连接装置。在一实施例中,触敏表面可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器608,并能接收处理器608发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面。除了触敏表面,输入单元603还可以包括其他输入设备。具体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元604可用于显示由用户输入的信息或提供给用户的信息以及终端的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元604可包括显示面板,在一实施例中,可以采用液晶显示器(LCD,Liquid CrystalDisplay)、有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面板。进一步的,触敏表面可覆盖显示面板,当触敏表面检测到在其上或附近的触摸操作后,传送给处理器608以确定触摸事件的类型,随后处理器608根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图6中,触敏表面与显示面板是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面与显示面板集成而实现输入和输出功能。
终端还可包括至少一种传感器605,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板的亮度,接近传感器可在终端移动到耳边时,关闭显示面板和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路606、扬声器,传声器可提供用户与终端之间的音频接口。音频电路606可将接收到的音频数据转换后的电信号,传输到扬声器,由扬声器转换为声音信号输出;另一方面,传声器将收集的声音信号转换为电信号,由音频电路606接收后转换为音频数据,再将音频数据输出处理器608处理后,经RF电路601以发送给比如另一终端,或者将音频数据输出至存储器602以便进一步处理。音频电路606还可能包括耳塞插孔,以提供外设耳机与终端的通信。
WiFi属于短距离无线传输技术,终端通过WiFi模块607可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块607,但是可以理解的是,其并不属于终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器608是终端的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器602内的软件程序和/或模块,以及调用存储在存储器602内的数据,执行终端的各种功能和处理数据,从而对手机进行整体监控。在一实施例中,处理器608可包括一个或多个处理核心;优选的,处理器608可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,调制解调处理器也可以不集成到处理器608中。
终端还包括给各个部件供电的电源609(比如电池),优选的,电源可以通过电源管理系统与处理器608逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源609还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,终端中的处理器608会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器602中,并由处理器608来运行存储在存储器602中的应用程序,从而实现各种功能:
接收用户终端发送的证书吊销请求;
响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
将签名后的证书吊销区块同步至第二节点;
在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
相应的,本申请实施例还提供一种服务器,如图7所示,其示出了本申请实施例所涉及的服务器的结构示意图,具体来讲:
该服务器可以包括一个或者一个以上处理核心的处理器701、一个或一个以上计算机可读存储介质的存储器702、电源703和输入单元704等部件。本领域技术人员可以理解,图7中示出的服务器结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中:
处理器701是该服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。可选的,处理器701可包括一个或多个处理核心;优选的,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,调制解调处理器也可以不集成到处理器701中。
存储器702可用于存储软件程序以及模块,处理器701通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器702还可以包括存储器控制器,以提供处理器701对存储器702的访问。
服务器还包括给各个部件供电的电源703,优选的,电源703可以通过电源管理系统与处理器701逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源703还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该服务器还可包括输入单元704,该输入单元704可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,服务器还可以包括显示单元等,在此不再赘述。具体在本实施例中,服务器中的处理器701会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中,并由处理器701来运行存储在存储器702中的应用程序,从而实现各种功能,如下:
接收用户终端发送的证书吊销请求;
响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
将签名后的证书吊销区块同步至第二节点;
在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
在实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文的详细描述,此处不再赘述。
本领域普通技术人员可以理解,实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种方法中的步骤。例如,该指令可以执行如下步骤:
接收用户终端发送的证书吊销请求;
响应于证书吊销请求生成证书吊销区块;证书吊销区块用于记录与证书吊销请求对应的需要吊销的目标证书;
调用与证书吊销操作对应的智能合约,执行智能合约中声明的证书吊销程序,从区块链中读取与证书吊销请求对应的认证证书,使用认证证书对证书吊销区块进行签名,得到签名后的证书吊销区块;
将签名后的证书吊销区块同步至第二节点;
在第二节点验证签名后的证书吊销区块合法且存储至区块链账本时,向用户终端发送证书吊销成功的证书吊销响应。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请实施例所提供的任一种方法中的步骤,因此,可以实现本申请实施例所提供的任一种方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种证书管理方法及装置、终端、服务器及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种证书管理方法,其特征在于,应用于区块链系统,所述区块链系统包括相互连接的至少两个节点,所述至少两个节点中包括第一节点和第二节点,所述证书管理方法由所述第一节点执行,所述证书管理方法包括:
接收用户终端发送的证书吊销请求,所述证书吊销请求携带证书标识或用户信息;
当对所述证书吊销请求进行合法性验证通过时,响应于所述证书吊销请求生成证书吊销区块;所述证书吊销区块用于记录与所述证书吊销请求对应的需要吊销的目标证书,所述目标证书与所述证书标识或所述用户信息对应,所述合法性验证包括验证发起所述证书吊销请求的合法用户或者合法设备;
调用与证书吊销操作对应的智能合约,执行所述智能合约中声明的证书吊销程序,从区块链中读取与所述证书吊销请求对应的认证证书,使用所述认证证书对所述证书吊销区块进行签名,得到签名后的证书吊销区块;
将所述签名后的证书吊销区块同步至所述第二节点;
在所述第二节点验证所述签名后的证书吊销区块合法且存储至区块链账本时,向所述用户终端发送证书吊销成功的证书吊销响应。
2.根据权利要求1所述的证书管理方法,其特征在于,所述响应于所述证书吊销请求生成证书吊销区块的步骤,包括:
对所述证书吊销请求进行解析,得到所述证书吊销请求携带的证书标识;
将所述证书标识对应的认证证书,确定为所述目标证书;
根据所述目标证书,生成所述证书吊销区块。
3.根据权利要求1所述的证书管理方法,其特征在于,所述响应于所述证书吊销请求生成证书吊销区块的步骤,包括:
对所述证书吊销请求进行解析,得到所述证书吊销请求携带的用户信息;
将所述用户信息对应的认证证书,确定为所述目标证书;
根据所述目标证书,生成所述证书吊销区块。
4.根据权利要求3所述的证书管理方法,其特征在于,所述将所述用户信息对应的证书,确定为所述目标证书的步骤,包括:
在所述用户信息对应的认证证书为多个时,获取各认证证书的申请时间;
根据各认证证书的申请时间,将旧认证证书确定为所述目标证书。
5.根据权利要求1所述的证书管理方法,其特征在于,所述从区块链中读取与所述证书吊销请求对应的认证证书的步骤,包括:
对所述证书吊销请求进行解析,得到所述证书吊销请求携带的证书标识;
将所述证书标识对应的认证证书,确定为所述证书吊销请求对应的认证证书。
6.根据权利要求1所述的证书管理方法,其特征在于,所述从区块链中读取与所述证书吊销请求对应的认证证书的步骤,包括:
对所述证书吊销请求进行解析,得到所述证书吊销请求携带的用户信息;
将所述用户信息对应的认证证书,确定为所述证书吊销请求对应的认证证书。
7.根据权利要求6所述的证书管理方法,其特征在于,所述将所述用户信息对应的认证证书,确定为所述证书吊销请求对应的认证证书的步骤,包括:
在所述用户信息对应的认证证书为多个时,获取各认证证书的申请时间;
根据各认证证书的申请时间,将新认证证书确定为所述证书吊销请求对应的认证证书。
8.根据权利要求1所述的证书管理方法,其特征在于,在所述响应于所述证书吊销请求生成证书吊销区块的步骤之前,包括:
对所述证书吊销请求进行合法性验证;
在验证通过时,响应于所述证书吊销请求生成证书吊销区块。
9.根据权利要求1至8任一项所述的证书管理方法,其特征在于,所述认证证书包括私钥证书和公钥证书;
使用所述认证证书对所述证书吊销区块进行签名,包括:使用所述私钥证书对所述证书吊销区块进行签名;
所述第二节点验证所述签名后的证书吊销区块合法,包括:所述第二节点使用所述公钥证书验证所述签名后的证书吊销区块合法。
10.一种证书管理装置,其特征在于,应用于区块链系统,所述区块链系统包括相互连接的至少两个节点,所述至少两个节点中包括第一节点和第二节点,所述证书管理装置设置于所述第一节点中,所述证书管理装置包括:
接收模块,用于接收用户终端发送的证书吊销请求,所述证书吊销请求携带证书标识或用户信息;
生成模块,用于当对所述证书吊销请求进行合法性验证通过时,响应于所述证书吊销请求生成证书吊销区块;所述证书吊销区块用于记录与所述证书吊销请求对应的需要吊销的目标证书,所述目标证书与所述证书标识或所述用户信息对应,所述合法性验证包括验证发起所述证书吊销请求的合法用户或者合法设备;
签名模块,用于调用与证书吊销操作对应的智能合约,执行所述智能合约中声明的证书吊销程序,从区块链中读取与所述证书吊销请求对应的认证证书,使用所述认证证书对所述证书吊销区块进行签名,得到签名后的证书吊销区块;
同步模块,用于将所述签名后的证书吊销区块同步至所述第二节点;
发送模块,用于在所述第二节点验证所述签名后的证书吊销区块合法且存储至区块链账本时,向所述用户终端发送证书吊销成功的证书吊销响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910926300.5A CN110601858B (zh) | 2019-09-27 | 2019-09-27 | 证书管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910926300.5A CN110601858B (zh) | 2019-09-27 | 2019-09-27 | 证书管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110601858A CN110601858A (zh) | 2019-12-20 |
| CN110601858B true CN110601858B (zh) | 2021-05-28 |
Family
ID=68864286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910926300.5A Active CN110601858B (zh) | 2019-09-27 | 2019-09-27 | 证书管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110601858B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111666554B (zh) * | 2020-06-03 | 2023-09-12 | 泰康保险集团股份有限公司 | 一种证书认证方法、装置、设备及存储介质 |
| CN111753278A (zh) * | 2020-06-17 | 2020-10-09 | 北京版信通技术有限公司 | 一种电子版权认证证书的综合管理系统及方法 |
| CN114928450B (zh) * | 2022-05-07 | 2024-04-23 | 西安电子科技大学 | 一种基于联盟链的数字证书生命周期管理方法 |
| CN115021938A (zh) * | 2022-06-27 | 2022-09-06 | 中国银行股份有限公司 | 安全数字证书应用方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
| CN106504091A (zh) * | 2016-10-27 | 2017-03-15 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法及装置 |
| CN107508680A (zh) * | 2017-07-26 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 数字证书管理方法、装置及电子设备 |
| CN108768657A (zh) * | 2018-04-17 | 2018-11-06 | 深圳技术大学(筹) | 一种基于区块链平台的数字证书颁发系统及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107066893B (zh) * | 2017-02-28 | 2018-11-09 | 腾讯科技(深圳)有限公司 | 区块链中账户信息的处理方法和装置 |
| CN108960825A (zh) * | 2018-06-26 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 基于区块链的电子签名方法及装置、电子设备 |
| CN108898389B (zh) * | 2018-06-26 | 2021-05-18 | 创新先进技术有限公司 | 基于区块链的内容验证方法及装置、电子设备 |
-
2019
- 2019-09-27 CN CN201910926300.5A patent/CN110601858B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
| CN106504091A (zh) * | 2016-10-27 | 2017-03-15 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法及装置 |
| CN107508680A (zh) * | 2017-07-26 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 数字证书管理方法、装置及电子设备 |
| CN108768657A (zh) * | 2018-04-17 | 2018-11-06 | 深圳技术大学(筹) | 一种基于区块链平台的数字证书颁发系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110601858A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI713855B (zh) | 憑證管理方法及系統 | |
| CN110601858B (zh) | 证书管理方法及装置 | |
| US11902254B2 (en) | Blockchain joining for a limited processing capability device and device access security | |
| CN110365491B (zh) | 业务处理方法、装置、设备、存储介质以及数据共享系统 | |
| US11469891B2 (en) | Expendable cryptographic key access | |
| EP3308522B1 (en) | System, apparatus and method for multi-owner transfer of ownership of a device | |
| EP3639465B1 (en) | Improved hardware security module management | |
| CN108614878B (zh) | 协议数据管理方法、装置、存储介质及系统 | |
| CN110958118B (zh) | 证书认证管理方法、装置、设备及计算机可读存储介质 | |
| WO2017186100A1 (zh) | 身份认证方法、系统及设备 | |
| WO2019023452A1 (en) | METHOD, APPARATUS AND SYSTEM FOR MANAGING DIGITAL CERTIFICATE | |
| CN109891416A (zh) | 用于认证和授权装置的系统和方法 | |
| CN110826043B (zh) | 一种数字身份申请系统及方法、身份认证系统及方法 | |
| CN109241726B (zh) | 一种用户权限控制方法及装置 | |
| CN111340482B (zh) | 冲突检测方法、装置、节点设备及存储介质 | |
| CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
| CN111488596A (zh) | 数据处理权限验证方法、装置、电子设备及存储介质 | |
| CN112035897A (zh) | 区块链存证方法和相关装置 | |
| CN109565518A (zh) | 可互换的内容取回 | |
| US11943210B2 (en) | System and method for distributed, keyless electronic transactions with authentication | |
| CN116547959A (zh) | 通过使用区块链网络共享数据的电子装置及其运行方法 | |
| CN107517256B (zh) | 信息发布方法以及装置 | |
| CN114092101B (zh) | 交易验证方法、装置、存储介质及电子设备 | |
| CN110532324A (zh) | 基于区块链的公告信息展示方法、装置、设备及存储介质 | |
| CN111937013A (zh) | 电子设备管理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |