CN110740039B - 一种数字证书管理系统、方法及服务终端 - Google Patents
一种数字证书管理系统、方法及服务终端 Download PDFInfo
- Publication number
- CN110740039B CN110740039B CN201810795527.6A CN201810795527A CN110740039B CN 110740039 B CN110740039 B CN 110740039B CN 201810795527 A CN201810795527 A CN 201810795527A CN 110740039 B CN110740039 B CN 110740039B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- proxy node
- request
- blockchain
- management request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Abstract
本发明提供了一种数字证书管理系统、方法及服务终端。该系统包括:多个区块链数字证书系统,每一个区块链数字证书系统设置有至少一个代理节点,多个区块链数字证书系统通过代理节点相互通讯连接;多个区块链数字证书系统中的第一区块链数字证书系统对应的第一代理节点接收用户发送的第一数字证书管理请求;第一代理节点将第一数字证书管理请求转发给第二代理节点。本发明能够解决现有技术中多个区块链数字证书系统之间相互孤立,不能直接进行互通访问的问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种数字证书管理系统、方法及服务终端。
背景技术
公钥基础设施(Public Key Infrastructure,简称PKI)在信息安全领域扮演着非常重要的角色,广泛应用于数据加解密、数据完整性保护、数字签名、身份认证等多种场合。
数字证书是实现上述各种安全功能的重要载体。其中,数字证书中包含证书持有者的信息、证书签发机构的信息、持有者的公钥、证书有效期、证书用途、证书签发机构对该数字证书的签名等信息。此外,数字证书由认证机构(Certificate Authority,简称CA)签发,CA是PKI的核心,是一个权威的、可信任的、公正的第三方机构,负责验证用户申请信息的可信性,且CA是一个信任起点,只有信任某个CA,才信任该CA给用户签发的数字证书。
目前基于区块链技术,提出了不依赖于第三方CA机构,无中心节点的数字证书系统,该系统由所有参与验证的节点共同确保数字证书的正确性,即便某验证节点出现故障或者遭受攻击,也不会破坏证书的正确性,不会影响系统的正常运行。该方案解决了在同一系统内的证书发布、查询等问题,但是实际应用中,很有可能出现多个基于区块链的数字证书系统,并且这些系统之间相互孤立,不同的机构和企业分别采用各自的区块链记录数字证书,相互之间不能直接进行互通访问。
发明内容
本发明技术方案的目的是提供一种数字证书管理系统、方法及服务终端,用于解决现有技术中多个区块链数字证书系统之间相互孤立,不能直接进行互通访问的问题。
本发明提供一种数字证书管理系统,包括:
多个区块链数字证书系统,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
所述多个区块链数字证书系统中的第一区块链数字证书系统对应的第一代理节点接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作;
所述第一代理节点将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作;
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
优选地,所述第一代理节点还用于接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;
其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
优选地,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
优选地,当所述第一数字证书管理请求为查询请求时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
优选地,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点之后,还用于:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
优选地,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。
优选地,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。
优选地,所述代理节点之间采用对等网络P2P方式相互通讯连接。
本发明还提供一种数字证书管理方法,应用于第一代理节点,所述第一代理节点为多个区块链数字证书系统中的第一区块链数字证书系统对应的代理节点中的其中一个,其中,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
所述方法包括:
接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作;
将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作;
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
优选地,所述方法还包括:
接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;
其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
优选地,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
优选地,当所述第一数字证书管理请求为查询请求时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
优选地,将所述第一数字证书管理请求转发给第二代理节点之后,所述方法还包括:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
优选地,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。
优选地,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。
优选地,所述代理节点之间采用对等网络P2P方式相互通讯连接。
本发明还提供一种计算机可读存储介质,包括与一服务终端结合使用的计算机程序,所述计算机程序可被处理器执行如上述所述数字证书管理方法。
本发明还提供一种服务终端,包括处理器和存储器,所述处理器用于读取存储器中的程序,执行如上述所述数字证书管理方法中的步骤。
本发明的一个或多个实施例至少具有以下有益效果:
本发明的实施例中,在每一个区块链数字证书系统中均设置代理节点,从而使得不同的区块链数字证书系统通过各自的代理节点相互通讯连接。其中,代理节点之间可以转发用户提交的证书管理请求,从而实现对跨区块链的数字证书之间的访问,进而使得多个区块链数字证书系统不再相互孤立。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1表示本发明实施例的数字证书管理系统的架构图;
图2表示本发明实施例的数字证书管理方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的实施例提供了一种数字证书管理系统、方法及服务终端,通过在每一个区块链数字证书系统中均设置代理节点,从而使得不同的区块链数字证书系统通过各自的代理节点相互通讯连接。其中,代理节点之间可以转发用户提交的数字证书管理请求,从而实现对跨区块链的数字证书之间的访问,进而使得多个区块链数字系统不再相互孤立。
第一实施例
本发明的实施例提供了一种数字证书管理系统,该数字证书管理系统包括:
多个区块链数字证书系统,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
所述多个区块链数字证书系统中的第一区块链数字证书系统对应的第一代理节点接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作;
所述第一代理节点将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作;
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
如图1所示,每一个区块链数字证书系统均设置有至少一个代理节点,其中,一个代理节点即为区块链数字证书系统中的一个地址或者一个通用输入输出(UniversalInput Output,简称UIO)链接。而各个代理节点之间相互通讯连接,因此,每一个代理节点都可以将接收到的用户发送的消息转发给其他代理节点。
因此,当用户向如图1所示的数字证书管理系统中的第一区块链数字证书系统的第一代理节点发送第一数字证书管理请求时,第一代理节点可以将该第一数字证书管理请求转发给其他区块链数字证书系统的代理节点,从而可以在图1中所示的所有区块链数字证书系统中对数字证书执行第一管理操作。
由此可知,本发明实施例所述的数字证书管理系统,通过设置在各个区块链数字证书系统中的代理节点之间的通讯连接,将各个区块链数字证书系统相互连接,从而通过代理节点之间的相互访问实现跨区块链的数字证书之间的访问。
此外,由于各个代理节点之间相互通讯连接,因此,每一个代理节点还可以接收其他代理节点转发的消息,从而可以在该代理节点对应的区块链数字证书系统中对数字证书执行相关操作。
因此,所述第一代理节点还用于接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
另外,如图1所示,区块链数字证书管理系统还存在着各自的证书实体用户和证书依赖方。证书实体用户是指最终实体证书的拥有者;证书依赖方是指信任证书系统的使用者,需要验证证书实体用户提供的证书的合法性。其中,证书实体用户可以向区块链数字证书系统的代理节点发起更新请求、挂起请求、恢复请求或者吊销请求。此外,在证书的使用过程中(例如现有的安全传输层协议(Transport Layer Security,简称TLS)、Internet协议安全性(IPSec)等安全协议),证书实体用户需要将证书提交给依赖方,由依赖方检查证书的有效性,则依赖方需要在区块链数字证书系统中进行数字证书的查询,因而,依赖方可以向区块链数字证书系统的代理节点发起查询请求。
由上述可知,上述第一数字证书管理请求和第二数字证书管理请求可以为更新请求、挂起请求、恢复请求、吊销请求、查询请求中的任意一个。
具体地,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
即当数字证书需要更新或者挂起或者恢复或者吊销时,第一代理节点需要对更新请求/挂起请求/恢复请求/吊销请求进行验证,只有验证通过时,第一代理节点才能够将更新请求/挂起请求/恢复请求/吊销请求转发给其他区块链数字证书系统的代理节点。其中,更新请求/挂起请求/恢复请求/吊销请求里携带有所请求数字证书的证书信息和用户身份验证信息,则根据更新请求/挂起请求/恢复请求/吊销请求里携带的用户身份验证信息对用户身份进行验证,当验证通过时,则确定更新请求/挂起请求/恢复请求/吊销请求验证通过。
具体地,当所述第一数字证书管理请求为查询请求时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
即当依赖方需要查询数字证书时,第一代理节点在接收到依赖方发送的查询请求后,需要在第一代理节点对应的区块链数字证书系统(即第一区块链数字证书系统)中进行证书的查询。其中,若在第一区块链数字证书系统中就可以查询到与依赖方发送的查询请求相匹配的证书信息,则第一代理节点无需再将查询请求转发给其他区块链数字证书系统的代理节点。但是,若在第一区块链数字证书系统中无法查询到与依赖方发送的查询请求相匹配的证书信息时,则第一代理节点需要将查询请求转发给其他区块链数字证书系统的代理节点,从而可以在其他区块链数字证书系统中进行数字证书的查询。
进一步地,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点之后,还用于:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
即无论在与第一区块链数字证书系统通讯连接的其他区块链数字证书系统中是否查询到与第一数字证书管理请求相匹配的证书信息,其他区块链数字证书系统的代理节点中接收到第一数字证书管理请求的代理节点都需要向第一代理节点上报查询结果,从而使得第一代理节点可以将查询结果告知给用户,即依赖方。
优选地,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。每个区块链数字证书系统具有一个标识,该标识可以是身份信息,也可以是接口地址。
其中,第一数字证书管理请求中携带的区块链数字证书系统标识为与需要执行第一管理操作的数字证书对应的区块链数字证书系统的标识。即用户(例如证书实体用户或者证书依赖方)可以指定接收用户发送管理请求的代理节点,从而由该代理节点将管理请求转发给其他代理节点。
优选地,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。即当用户(例如证书实体用户或者证书依赖方)未指定接收用户发送管理请求的代理节点时,可以预先设置一个代理节点作为接收用户发送的管理请求的默认节点。
优选地,所述代理节点之间采用对等网络P2P方式相互通讯连接。其中,可以理解的是,对于代理节点之间的连接方式并不局限于P2P方式一种,还可为其他方式。
综上所述,基于本发明实施例的数字证书管理系统,所涉及到的数字证书的相关流程如下:
一、更新/挂起/恢复/吊销流程:
首先,证书实体用户向第一区块链数字证书系统的第一代理节点发起证书更新/挂起/恢复/吊销请求。其中,证书实体用户可以指定第一代理节点,即在更新/挂起/恢复/吊销请求中携带与证书对应的区块链数字证书系统标识,则该区块链数字证书系统的代理节点即为第一代理节点;或者,证书实体用户并不指定哪一个代理节点作为第一代理节点,则预先从区块链数字证书系统的代理节点中选出的代理节点(即默认代理节点)即为第一代理节点。
其次,第一代理节点对更新/挂起/恢复/吊销请求进行验证,如果验证通过,则将该请求继续转发给其他区块链数字证书系统的代理节点。
最后,每个接收到更新/挂起/恢复/吊销请求的代理节点均检查本区块链数字证书系统中是否含有相应的待更新/挂起/恢复/吊销的数字证书,如有则进行更新/挂起/恢复/吊销操作,若无则不予处理。
二、查询流程:
依赖方需要预先配置区块链数字证书的查询节点,例如将某区块链数字证书系统的代理节点作为查询节点,即预先从多个区块链数字证书系统的代理节点中选出一个代理节点作为查询节点。
首先,证书实体用户将证书发送给依赖方,可选的,证书实体用户可以将证书对应的区块链数字证书系统标识一起发送给依赖方。
其次,如果证书实体用户向依赖方提交了证书对应的区块链数字证书系统的标识,那么依赖方将该区块链数字证书系统的代理节点作为查询节点,并向其发起证书查询请求;如果证书实体用户未向依赖方提交证书对应的区块链数字证书系统的标识,则依赖方向预先设置的查询节点发起查询请求。
再次,如果依赖方预先配置的查询节点无法检索到证书信息,则向其他区块链数字证书系统的代理节点发起查询请求(即依赖方预先配置的查询节点将查询请求转发给其他区块链数字证书系统的代理节点)。
再次,其他代理节点接收到查询请求之后,从所处的区块链数字证书系统检索待查询的证书信息,若有则反馈查询结果。
最后,依赖方预先配置的查询节点接收到其他节点反馈的查询结果之后,将结果反馈给依赖方。
其中,在对证书的查询过流程中,依赖方可以预先配置其信任的区块链数字证书系统的代理节点,仅向这些节点发送查询请求;也可以仅配置某一个区块链数字证书系统的代理节点,通过该代理节点向所有区块链数字证书系统的代理节点发送证书查询请求。
三、证书发布流程:
首先,证书实体用户生成一份数字证书,并向区块链数字证书系统发起证书发布请求。
再次,区块链数字证书系统经过共识机制发布数字证书之后,将结果及区块链数字证书系统标识发送给证书实体用户。
最后,证书实体用户存储区块链数字证书系统标识。一个证书有可能在多个区块链数字证书系统发布,因此,一个证书可以对应多个区块链数字证书系统标识。
第二实施例
本发明的实施例还提供了一种数字证书管理方法,应用于第一代理节点,所述第一代理节点为多个区块链数字证书系统中的第一区块链数字证书系统对应的代理节点中的其中一个,其中,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
如图2所示,该方法包括:
步骤S201:接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作。
步骤S202:将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作。
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
本发明实施例的数字证书管理方法所适用的数字证书管理系统如图1所示,该数字证书管理系统包括多个区块链数字证书系统,每一个区块链数字证书系统均设置有至少一个代理节点,其中,一个代理节点即为区块链数字证书系统中的一个地址或者一个UIO链接。而各个代理节点之间相互通讯连接,因此,每一个代理节点都可以将接收到的用户发送的消息转发给其他代理节点。
因此,当用户向如图1所示的数字证书管理系统中的第一区块链数字证书系统的第一代理节点发送第一数字证书管理请求时,第一代理节点可以将该第一数字证书管理请求转发给其他区块链数字证书系统的代理节点,从而可以在图1中所示的所有区块链数字证书系统中对数字证书执行第一管理操作。
由此可知,本发明实施例所述的数字证书管理方法,通过设置在各个区块链数字证书系统中的代理节点之间的交互,实现了对跨区块链的数字证书之间的访问。
此外,由于各个代理节点之间相互通讯连接,因此,每一个代理节点还可以接收其他代理节点转发的消息,从而可以在该代理节点对应的区块链数字证书系统中对数字证书执行相关操作。
因此,本发明实施例的数字证书管理方法还包括:
接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;
其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
另外,如图1所示,区块链数字证书管理系统还存在着各自的证书实体用户和证书依赖方。证书实体用户是指最终实体证书的拥有者;证书依赖方是指信任证书系统的使用者,需要验证证书实体用户提供的证书的合法性。其中,证书实体用户可以向区块链数字证书系统的代理节点发起更新请求、挂起请求、恢复请求或者吊销请求。此外,在证书的使用过程中(例如现有的TLS、IPSec等安全协议),证书实体用户需要将证书提交给依赖方,由依赖方检查证书的有效性,则依赖方需要在区块链数字证书系统中进行数字证书的查询,因而,依赖方可以向区块链数字证书系统的代理节点发起查询请求。
由上述可知,上述第一数字证书管理请求和第二数字证书管理请求可以为更新请求、挂起请求、恢复请求、吊销请求、查询请求中的任意一个。
具体地,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
即当数字证书需要更新或者挂起或者恢复或者吊销时,第一代理节点需要对更新请求/挂起请求/恢复请求/吊销请求进行验证,只有验证通过时,第一代理节点才能够将更新请求/挂起请求/恢复请求/吊销请求转发给其他区块链数字证书系统的代理节点。
其中,更新请求/挂起请求/恢复请求/吊销请求里携带有所请求数字证书的证书信息和用户身份验证信息,则根据更新请求/挂起请求/恢复请求/吊销请求里携带的用户身份验证信息对用户身份进行验证,当验证通过时,则确定更新请求/挂起请求/恢复请求/吊销请求验证通过。
具体地,当所述第一数字证书管理请求为查询请求时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
即当依赖方需要查询数字证书时,第一代理节点在接收到依赖方发送的查询请求后,需要在第一代理节点对应的区块链数字证书系统(即第一区块链数字证书系统)中进行证书的查询。其中,若在第一区块链数字证书系统中就可以查询到与依赖方发送的查询请求相匹配的证书信息,则第一代理节点无需再将查询请求转发给其他区块链数字证书系统的代理节点。但是,若在第一区块链数字证书系统中无法查询到与依赖方发送的查询请求相匹配的证书信息时,则第一代理节点需要将查询请求转发给其他区块链数字证书系统的代理节点,从而可以在其他区块链数字证书系统中进行数字证书的查询。
进一步地,将所述第一数字证书管理请求转发给第二代理节点之后,所述方法还包括:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
即无论在与第一区块链数字证书系统通讯连接的其他区块链数字证书系统中是否查询到与第一数字证书管理请求相匹配的证书信息,其他区块链数字证书系统的代理节点中接收到第一数字证书管理请求的代理节点都需要向第一代理节点上报查询结果,从而使得第一代理节点可以将查询结果告知给用户,即依赖方。
优选地,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。其中,第一数字证书管理请求中携带的区块链数字证书系统标识为与需要执行第一管理操作的数字证书对应的区块链数字证书系统的标识。即用户(例如证书实体用户或者证书依赖方)可以指定接收用户发送管理请求的代理节点,从而由该代理节点将管理请求转发给其他代理节点。
优选地,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。即当用户(例如证书实体用户或者证书依赖方)未指定接收用户发送管理请求的代理节点时,可以预先设置一个代理节点作为接收用户发送的管理请求的默认节点。
优选地,所述代理节点之间采用对等网络P2P方式相互通讯连接。其中,可以理解的是,对于代理节点之间的连接方式并不局限于P2P方式一种,还可为其他方式。
综上所述,本发明实施例的数字证书管理方法,通过不同区块链数字证书系统的代理节点之间的交互,实现了对跨区块链的数字证书之间的访问,从而使得多个区块链数字证书系统不再孤立。
本发明实施例另一方面提供了一种计算机可读存储介质,包括与一服务终端结合使用的计算机程序,所述计算机程序可被处理器执行如上所述数字证书管理方法。
另外,本发明实施例还提供了一种服务终端,包括处理器和存储器,所述处理器用于读取存储器中的程序,执行如上所述数字证书管理方法中的步骤。
基于本发明具体实施例所述管理方法的具体描述,本领域技术人员应该能够了解上述计算机可读存储介质和服务终端的具体实现方式,在此不再赘述。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种数字证书管理系统,其特征在于,包括:
多个区块链数字证书系统,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
所述多个区块链数字证书系统中的第一区块链数字证书系统对应的第一代理节点接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作;
所述第一代理节点将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作;
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
2.根据权利要求1所述的数字证书管理系统,其特征在于,所述第一代理节点还用于接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;
其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
3.根据权利要求1所述的数字证书管理系统,其特征在于,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
4.根据权利要求1所述的数字证书管理系统,其特征在于,当所述第一数字证书管理请求为查询请求时,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点时,具体用于:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
5.根据权利要求4所述的数字证书管理系统,其特征在于,所述第一代理节点在将所述第一数字证书管理请求转发给第二代理节点之后,还用于:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
6.根据权利要求1所述的数字证书管理系统,其特征在于,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。
7.根据权利要求1所述的数字证书管理系统,其特征在于,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。
8.根据权利要求1所述的数字证书管理系统,其特征在于,所述代理节点之间采用对等网络P2P方式相互通讯连接。
9.一种数字证书管理方法,其特征在于,应用于第一代理节点,所述第一代理节点为多个区块链数字证书系统中的第一区块链数字证书系统对应的代理节点中的其中一个,其中,每一个所述区块链数字证书系统设置有至少一个代理节点,所述多个区块链数字证书系统通过所述代理节点相互通讯连接;
所述方法包括:
接收用户发送的第一数字证书管理请求,并根据所述第一数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第一管理操作;
将所述第一数字证书管理请求转发给第二代理节点,使得所述第二代理节点根据所述第一数字证书管理请求在所述第二代理节点对应的第二区块链数字证书系统中执行对数字证书的第一管理操作;
其中,所述第二代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
10.根据权利要求9所述的数字证书管理方法,其特征在于,所述方法还包括:
接收第三代理节点转发的第二数字证书管理请求,并根据所述第二数字证书管理请求在所述第一区块链数字证书系统中执行对数字证书的第二管理操作;
其中,所述第三代理节点为所述多个区块链数字证书系统中除所述第一区块链数字证书系统外的任意一个区块链数字证书系统的任意一个代理节点。
11.根据权利要求9所述的数字证书管理方法,其特征在于,当所述第一数字证书管理请求为更新请求、挂起请求、恢复请求、吊销请求中的任意一个时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
对所述第一数字证书管理请求进行验证,并在所述第一数字证书管理请求通过验证时,将所述第一数字证书管理请求转发给第二代理节点。
12.根据权利要求9所述的数字证书管理方法,其特征在于,当所述第一数字证书管理请求为查询请求时,所述将所述第一数字证书管理请求转发给第二代理节点的步骤,包括:
在所述第一区块链数字证书系统中未查询到与所述第一数字证书管理请求相匹配的证书信息时,将所述第一数字证书管理请求转发给第二代理节点。
13.根据权利要求12所述的数字证书管理方法,其特征在于,将所述第一数字证书管理请求转发给第二代理节点之后,所述方法还包括:
接收所述第二代理节点发送的所述第二代理节点在所述第二区块链数字证书系统中查询与所述第一数字证书管理请求相匹配的证书信息后生成的查询结果,并将所述查询结果转发给用户。
14.根据权利要求9所述的数字证书管理方法,其特征在于,当所述第一数字证书管理请求中携带有区块链数字证书系统标识时,所述第一代理节点为所述第一数字证书管理请求中携带的区块链数字证书系统标识对应的区块链数字证书系统的代理节点。
15.根据权利要求9所述的数字证书管理方法,其特征在于,当所述第一数字证书管理请求中未携带有区块链数字证书系统标识时,所述第一代理节点为预先从所述多个区块链数字证书系统的代理节点中选出的一个。
16.根据权利要求9所述的数字证书管理方法,其特征在于,所述代理节点之间采用对等网络P2P方式相互通讯连接。
17.一种计算机可读存储介质,其特征在于,包括与一服务终端结合使用的计算机程序,所述计算机程序可被处理器执行如权利要求9至16任一项所述数字证书管理方法。
18.一种服务终端,其特征在于,包括处理器和存储器,所述处理器用于读取存储器中的程序,执行如权利要求9至16任一项所述数字证书管理方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810795527.6A CN110740039B (zh) | 2018-07-19 | 2018-07-19 | 一种数字证书管理系统、方法及服务终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810795527.6A CN110740039B (zh) | 2018-07-19 | 2018-07-19 | 一种数字证书管理系统、方法及服务终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110740039A CN110740039A (zh) | 2020-01-31 |
| CN110740039B true CN110740039B (zh) | 2022-05-13 |
Family
ID=69235168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810795527.6A Active CN110740039B (zh) | 2018-07-19 | 2018-07-19 | 一种数字证书管理系统、方法及服务终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110740039B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268953B (zh) * | 2020-09-14 | 2023-08-15 | 中国移动通信集团重庆有限公司 | 一种基站认证方法、查询节点、系统及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106530083A (zh) * | 2016-10-27 | 2017-03-22 | 上海亿账通区块链科技有限公司 | 基于区块链的多链管理方法及系统 |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
| CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
| CN107592293A (zh) * | 2017-07-26 | 2018-01-16 | 阿里巴巴集团控股有限公司 | 区块链节点间通讯方法、数字证书管理方法、装置和电子设备 |
-
2018
- 2018-07-19 CN CN201810795527.6A patent/CN110740039B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106530083A (zh) * | 2016-10-27 | 2017-03-22 | 上海亿账通区块链科技有限公司 | 基于区块链的多链管理方法及系统 |
| CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
| CN107592293A (zh) * | 2017-07-26 | 2018-01-16 | 阿里巴巴集团控股有限公司 | 区块链节点间通讯方法、数字证书管理方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110740039A (zh) | 2020-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2022204148B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| CN109155730B (zh) | 用于装置授权的方法和系统 | |
| WO2020143470A1 (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| JP6526244B2 (ja) | ドメインネームサービスを介するプライベートキーの安全な委任された配信 | |
| US9137017B2 (en) | Key recovery mechanism | |
| US20110296171A1 (en) | Key recovery mechanism | |
| EP3017582B1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
| US10715502B2 (en) | Systems and methods for automating client-side synchronization of public keys of external contacts | |
| US8751792B2 (en) | Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party | |
| US20100154040A1 (en) | Method, apparatus and system for distributed delegation and verification | |
| WO2006076382A2 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
| US8719574B2 (en) | Certificate generation using virtual attributes | |
| CN110855445B (zh) | 一种基于区块链的证书管理方法、装置及存储设备 | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| CN113472790A (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
| WO2022116734A1 (zh) | 数字证书签发的方法、装置、终端实体和系统 | |
| JP2013143762A (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
| CN110740039B (zh) | 一种数字证书管理系统、方法及服务终端 | |
| JP2022552420A (ja) | 証明書認証用の分散台帳に基づく方法およびシステム | |
| CN114143010A (zh) | 数字证书获取方法、装置、终端、系统和存储介质 | |
| WO2022222722A1 (zh) | Id-pkc信息处理方法、装置、节点及存储介质 | |
| WO2024093684A1 (zh) | 通信方法、装置和系统 | |
| CN116308359A (zh) | 一种数字资产的转移方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |