CN111490873A - 基于区块链的证书信息处理方法及系统 - Google Patents
基于区块链的证书信息处理方法及系统 Download PDFInfo
- Publication number
- CN111490873A CN111490873A CN202010288657.8A CN202010288657A CN111490873A CN 111490873 A CN111490873 A CN 111490873A CN 202010288657 A CN202010288657 A CN 202010288657A CN 111490873 A CN111490873 A CN 111490873A
- Authority
- CN
- China
- Prior art keywords
- certificate
- identity
- issuer
- target
- contract
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于区块链的证书信息处理方法及系统,该方法包括获取用户身份注册信息;根据用户身份注册信息,确定满足签发验证条件的签发者;获取签发者发布的证书模板;响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。实现了能够基于发布的证书模板以及用户身份注册信息灵活生成证书,并且基于身份注册信息降低了参与门槛。
Description
本申请要求于2020年3月25日提交中国专利局、申请号为202010217520.3、发明名称为“基于区块链的证书信息处理方法及系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及区块链技术领域,特别是涉及一种基于区块链的正数信息处理方法及系统。
背景技术
目前的证书体系是以CA(certificate authority)为中心的,全球范围内有一套层级化的CA体系,其中,根CA是被几乎所有人认可的机构。根CA会给下级CA签发正数,下级CA必须有上级CA签发的证书才拥有签发证书的权限,最终,会由某个层级的CA给具体的网站签发证书。浏览器在登录该网站时会验证它的正数,确认证书的真实性和有效性。
但目前该系统存在以下问题,证书种类单一,通常证书的内容基本上是证明域名与公钥之间的对应关系;CA的准入门槛较高,由于CA体系过于中心化,且CA机构对于所有人都是可信的,因此其准入门槛较高;由于证书的验证包含两部分,第一是真实性,由数字签名技术确保,第二是有效性,通过查询撤销证书列表(CRL)确保。而CRL的查询包括浏览器定期从CA机构下载并更新本地的CRL,每次验证时都是本地验证,这种方式实时性不高,而是由CA机构提供查询接口,每次验证时实时查询,这种方式要求CA机构额外部署服务,且存在单点故障等风险。可见,现有的证书体系准入门槛较高且证书种类单一,并无法保证实时更新证书状态。
发明内容
针对于上述问题,本发明提供一种基于区块链的证书处理方法及系统,实现了提升证书种类的灵活性和降低参与限制的目的。
为了实现上述目的,本发明提供了如下技术方案:
一种基于区块链的证书信息处理方法,所述方法包括:
获取用户身份注册信息;
根据用户身份注册信息,确定满足签发验证条件的签发者;
获取所述签发者发布的证书模板;
响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
可选地,所述方法还包括:
响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
可选地,所述对目标证书进行验证,包括:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
可选地,所述方法还包括:生成用户身份信息,包括:
基于获得的随机数,生成私钥;
根据所述私钥,计算得到公钥;
利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
通过向身份注册合约提供所述资源标识符,获得身份注册信息。
可选地,所述根据用户身份注册信息,确定满足签发验证条件的签发者,包括:
响应于与用户根据身份注册信息进行注册,确定签发者,其中,所述用户根据身份注册信息进行注册包括:响应于用户根据合约模板部署签发者合约,获取合约地址;将所述合约地址作为注册合约的注册接口参数,实现对身份注册信息的注册。
可选地,所述获取所述签发者发布的证书模板,包括:
响应于签发者将自定义证书模板上传至预设存储网络,获取到所述证书模板的标识信息;
响应于签发者将所述自定义证书模板的证书名称与所述标识信息进行匹配,获得所述签发者发布的证书模板。
一种基于区块链的证书信息处理系统,所述系统包括:
第一获取单元,用于获取用户身份注册信息;
确定单元,用于根据用户身份注册信息,确定满足签发验证条件的签发者;
第二获取单元,用于获取所述签发者发布的证书模板;
证书生成单元,用于响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
可选地,所述系统还包括:
验证单元,用于响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
可选地,所述验证单元具体用于:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
可选地,所述系统还包括:生成单元,用生成用户身份信息,所述生成单元包括:
第一生成子单元,用于基于获得的随机数,生成私钥;
第一计算子单元,用于根据所述私钥,计算得到公钥;
运算子单元,用于利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
第二生成子单元,用于根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
第一获取子单元,用于响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
第二获取子单元,用于通过向身份注册合约提供所述资源标识符,获得身份注册信息。
相较于现有技术,本发明提供了一种基于区块链的证书信息处理方法及系统,该方法包括获取用户身份注册信息;根据用户身份注册信息,确定满足签发验证条件的签发者;获取签发者发布的证书模板;响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。实现了能够基于发布的证书模板以及用户身份注册信息灵活生成证书,并且基于身份注册信息降低了参与门槛。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种应用系统的示意图;
图2为本发明实施例提供的一种基于区块链的证书信息处理方法的流程示意图;
图3为本发明实施例提供的一种基于区块链的证书信息处理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
下面对本发明实施例中的应用系统进行说明,参见图1,其示出了一种应用系统的示意图。
在区块链网络中,预先部署了两个注册合约,身份注册合约和签发者注册合约。此外,系统还需要存储系统,存储系统可以由用户自由选择,存储用户上传的身份文档和证书模板等数据,存储系统中的文件可以使用文件URI自由下载。
在本发明实施例中不对存储系统做特殊要求,用户可以任意选择。主要有两类文件需要存储,身份文档和证书模板,身份文档是所有用户都有的,且一个身份标识对应一个身份文档;证书模板是签发者需要定义并上传的,每个签发者可以有多个证书模板。用户将文件上传至存储系统之后会获取到文件的唯一资源标识符,即URI,当其他用户查询到该URI之后,能够下载对应的文件。其中,身份文档的属性信息包括身份标识、创建时间、更新时间、认证时间和服务端口;证书模板的属性信息包括持有者身份标识、声明、证书编号、过期时间、签发者身份标识、签发者的数字签名。
身份注册合约的属性信息包括映射、身份标识、身份文档URI;接收包括:注册、更新、删除和查询接口。身份注册合约是预先部署在区块链上的智能合约,提供用户身份的注册和查询。
合约中包含一个映射,存储着所有用户的身份标识和其对应的身份文档的URI。合约中提供4个接口,可以让用户注册、更新、删除和查询身份。其中注册、更新和删除3个接口都需要提供身份文档的URI作为参数,且合约有权限规定,用户只能操作自己地址对应的身份文档URI。查询接口则使用身份标识作为参数,智能合约会返回对应的身份文档URI,用户可以根据URI下载身份文档。
用户想要签发证书,必须先注册成为签发者。注册之前,需要用户自己部署一个智能合约,我们称之为签发者合约,部署完成后得到签发者合约的地址,再向签发者注册合约注册相关信息。签发者合约在区块链上有很多个,由签发者自己部署,部署的合约模板是相同的,后续会由签发者添加不同的信息,例如证书模板等。签发者合约里包括以下属性:签发者身份标识、签发者基本信息、撤销证书列表(CRL)、证书模板等,其中CRL是一个列表,存储着所有已撤销证书的编号;证书模板是一个映射,保存着所有证书名字和其对应的模板文件的URI。签发者合约提供以下接口:更新信息,用于签发者更新自己的基本信息;撤销证书,用于签发者撤销已签发的证书,使用证书编号作为参数;发布模板、删除模板用于签发者管理自己能够签发的证书,发布模板使用证书名称和模板文件的URI作为参数,删除模板使用证书名称作为参数;查询模板是其他用户的查询接口,使用证书名称作为参数会返回相应的模板文件的URI;查询全部模板会返回该签发者的所有证书名称和模板文件URI对的列表;验证证书使用证书编号作为参数,返回该证书的状态(有效或已撤销)。
签发者在部署签发者合约之后会获取到该合约的地址,之后需要将自己的身份标识和签发者合约地址注册到签发者注册合约,签发者注册合约和身份注册合约类似,存储签发者身份标识和签发者合约地址的对应关系,并提供相应的注册和查询接口。
在本发明实施例中提供了一种基于区块链的证书信息处理方法,该方法是基于区块链的分布式的身份和数字证书系统,利用公钥加密技术实现了用可分布式生成唯一标识符,并可关联不同的数字证书,同时利用区块链技术实现了数字证书的撤销和验证等操作。在具体的应用场景中,从证书使用的角度来看,系统的参与方包括签发者、持有者和验证者三方,在不同的应用中,这三者的身份是可以互相转变的,在实际应用中,这三者的实体可能是人、企业、组织或者物联网设备等。
参见图2,该方法可以包括以下步骤:
S101、获取用户身份注册信息。
其中,生成用户身份信息,包括:
基于获得的随机数,生成私钥;
根据所述私钥,计算得到公钥;
利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
通过向身份注册合约提供所述资源标识符,获得身份注册信息。
在该方法中为了参与到新的证书系统中,所有用户需要生成一个唯一的标识符,并且能够证明自己对该身份标识符的所有权。身份标识是基于公钥加密技术生成的,所有操作在用户本地完成,并且能够确保所有用户的身份标识不会重复,这个身份标识同时也会作为用户的区块链地址。此外,每个身份标识都对应一个身份文档,文档中记录了这个身份标识对应的公钥、认证方式、用户的服务端口等信息。所有用户的身份应采用相同的格式和标准,例如使用JOSN文档。
身份生成过程如下:
产生一个随机数;
利用随机数生成私钥;
利用私钥计算对应的公钥;
对公钥进行哈希运算,并截取特定长度的位数,作为唯一身份标识和区块链地址;
根据身份标识、公钥类型、公钥值、服务端口等信息生成身份文档;
将身份文档上传至存储网络,并获取到文件的URI(资源标识符);
向身份注册合约提交身份文档的URI完成身份注册。
S102、根据用户身份注册信息,确定满足签发验证条件的签发者。
用户在拥有身份标识和对应的身份文档之后,可以注册成为签发者。该过程包括:响应于与用户根据身份注册信息进行注册,确定签发者,其中,所述用户根据身份注册信息进行注册包括:响应于用户根据合约模板部署签发者合约,获取合约地址;将所述合约地址作为注册合约的注册接口参数,实现对身份注册信息的注册。
例如,用户利用合约模板部署签发者合约,并获取合约地址;用户调用签发者注册合约中的注册接口,将合约地址作为接口参数。
签发者更新合约地址的流程与注册类似,部署新的合约之后调用签发者注册合约的更新接口,删除则调用删除接口。
具体的,签发者发布新的证书模板流程如下:
签发者根据证书模板的格式要求,定义生成证书模板;
签发者根据证书模板上传至存储网络,并获取到证书模板的URI;
签发者确定证书的名称;
签发者调用自己部署的签发者合约中的添加模板接口,使用证书名称和模板文件的URI作为参数。
S103、获取所述签发者发布的证书模板。
所述获取所述签发者发布的证书模板,包括:
响应于签发者将自定义证书模板上传至预设存储网络,获取到所述证书模板的标识信息;
响应于签发者将所述自定义证书模板的证书名称与所述标识信息进行匹配,获得所述签发者发布的证书模板。
具体的,签发者发布新的证书模板流程如下:
签发者根据证书模板的格式要求,定义生成证书模板;
签发者根据证书模板上传至存储网络,并获取到证书模板的URI;
签发者确定证书的名称;
签发者调用自己部署的签发者合约中的添加模板接口,使用证书名称和模板文件的URI作为参数。
S104、响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
其中,所述对目标证书进行验证,包括:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
以持有者向某个签发者申请证书为例对证书申请流程进行说明:
持有者获知签发者的身份标识;
持有者通过签发者注册合约的查询接口获取到该签发者的签发者合约地址,参数为持有者获知的签发者身份标识;
持有者调用该地址的签发者合约中的查询接口,获取到目标证书模板的URI;
持有者通过获取的URI下载到证书模板文件;
持有者根据下载的证书模板文件,填入相关的信息,生成证书;
持有者通过身份注册合约的查询接口获取到该签发者的身份文档的URI,其中调用时的参数为持有者获知的签发者身份标识;
持有者通过获取的URI下载到签发者的身份文档;
持有者从下载到的身份文档中解析出签发者的服务端口;
持有者通过解析出的服务端口连接到签发者,并提交生成的证书;
签发者检查证书内容,若不通过,则不做操作,若检查通过,则在证书中加入自己的数字签名,数字签名用签发者身份标识对应的私钥完成,即根据生成的私钥,签名后将证书返回给持有者。
签发者签发证书后,可以在证书到期前撤销证书,通过调用自己部署的签发者合约中的撤销证书接口,并将想要撤销的证书编号作为参数即可。
在证书的使用流程中还包括了证书的有效验证,以持有者获取到证书之后,由验证者进行验证为例,该验证流程可以包括:
验证者发起验证流程,并发送一个随机字符串给持有者;
持有者收到字符串后首先将其添加到证书中,并在证书上添加自己的数字签名(签名的内容包含了随机字符串)生成新的单次使用的证书,签名使用持有者身份标识对应的私钥,即生成的私钥;
持有者将生成的单次证书(即本发明实施例中的第一证书)发送给验证者;
验证者收到单次证书后,首先检查单次证书中的随机字符串是否与验证者生成的随机字符串匹配,若不匹配,验证不通过,若匹配,验证者利用单次证书、单次证书中的持有者身份标识、持有者生成的数字签名进行验签,若验签不通过,则验证不通过,若验签通过,验证者从单次证书中解析出原始证书,即去掉持有者的数字签名和随机字符串;
验证者利用原始证书、原始证书中签发者的身份标识、原始证书中签发者的数字签名进行验签操作,若验签不通过,则验证不通过,若验签通过,验证者用原始证书中的签发者身份标识作为参数,调用签发者注册合约的查询接口,获取到该签发者的签发者合约地址;
验证者用原始证书中的证书编号作为参数,调用获取到地址的签发者合约的验证证书接口,若返回结果为证书有效,则验证通过,否则验证不通过。
在本发明实施例中,利用区块链技术实现了完全分布式的证书体系,降低了参与门槛;通过灵活的证书定义,极大地扩展了数字证书的应用领域;通过智能合约实现了证书撤销机制,可以实时更新证书状态。
在本发明实施例中还提供了一种基于区块链的证书信息处理系统,参见图3,所述系统包括:
第一获取单元10,用于获取用户身份注册信息;
确定单元20,用于根据用户身份注册信息,确定满足签发验证条件的签发者;
第二获取单元30,用于获取所述签发者发布的证书模板;
证书生成单元40,用于响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
可选地,所述系统还包括:
验证单元,用于响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
可选地,所述验证单元具体用于:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
可选地,所述系统还包括:生成单元,用生成用户身份信息,所述生成单元包括:
第一生成子单元,用于基于获得的随机数,生成私钥;
第一计算子单元,用于根据所述私钥,计算得到公钥;
运算子单元,用于利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
第二生成子单元,用于根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
第一获取子单元,用于响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
第二获取子单元,用于通过向身份注册合约提供所述资源标识符,获得身份注册信息。
可选地,所述确定单元具体用于:
响应于与用户根据身份注册信息进行注册,确定签发者,其中,所述用户根据身份注册信息进行注册包括:响应于用户根据合约模板部署签发者合约,获取合约地址;将所述合约地址作为注册合约的注册接口参数,实现对身份注册信息的注册。
可选地,所述第二获取单元具体用于:
响应于签发者将自定义证书模板上传至预设存储网络,获取到所述证书模板的标识信息;
响应于签发者将所述自定义证书模板的证书名称与所述标识信息进行匹配,获得所述签发者发布的证书模板。
本发明提供了一种基于区块链的证书信息处理系统,获取用户身份注册信息;根据用户身份注册信息,确定满足签发验证条件的签发者;获取签发者发布的证书模板;响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。实现了能够基于发布的证书模板以及用户身份注册信息灵活生成证书,并且基于身份注册信息降低了参与门槛。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于区块链的证书信息处理方法,其特征在于,所述方法包括:
获取用户身份注册信息;
根据用户身份注册信息,确定满足签发验证条件的签发者;
获取所述签发者发布的证书模板;
响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
3.根据权利要求2所述的方法,其特征在于,所述对目标证书进行验证,包括:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:生成用户身份信息,包括:
基于获得的随机数,生成私钥;
根据所述私钥,计算得到公钥;
利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
通过向身份注册合约提供所述资源标识符,获得身份注册信息。
5.根据权利要求1所述的方法,其特征在于,所述根据用户身份注册信息,确定满足签发验证条件的签发者,包括:
响应于与用户根据身份注册信息进行注册,确定签发者,其中,所述用户根据身份注册信息进行注册包括:响应于用户根据合约模板部署签发者合约,获取合约地址;将所述合约地址作为注册合约的注册接口参数,实现对身份注册信息的注册。
6.根据权利要求1所述的方法,其特征在于,所述获取所述签发者发布的证书模板,包括:
响应于签发者将自定义证书模板上传至预设存储网络,获取到所述证书模板的标识信息;
响应于签发者将所述自定义证书模板的证书名称与所述标识信息进行匹配,获得所述签发者发布的证书模板。
7.一种基于区块链的证书信息处理系统,其特征在于,所述系统包括:
第一获取单元,用于获取用户身份注册信息;
确定单元,用于根据用户身份注册信息,确定满足签发验证条件的签发者;
第二获取单元,用于获取所述签发者发布的证书模板;
证书生成单元,用于响应于接收到证书申请请求,根据请求者的身份注册信息和所述证书模板,生成目标证书。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
验证单元,用于响应于请求者获取所述目标证书,对所述目标证书进行验证,使得所述请求者获得有效的目标证书。
9.根据权利要求8所述的系统,其特征在于,所述验证单元具体用于:
对所述目标证书添加数字签名,获得与所述目标证书对应的第一证书,所述第一证书包括与所述证书持有者相匹配的私钥,所述数字签名包括随机字符串;
若所述第一证书中的随机字符串验证通过,利用所述第一证书的身份标识信息,对所述第一证书的数字签名进行验证;
若验证通过,对所述第一证书进行解析,获得目标证书;
对所述目标证书的数字前面进行验签,若通过,依据所述目标证书的身份标识作为注册合约的查询参数,获得与所述目标证书对应的签发者的合约地址;
依据所述合约地址对所述目标证书进行验证,以获得所述目标证书是否有效的验证信息。
10.根据权利要求6所述的系统,其特征在于,所述系统还包括:生成单元,用于生成用户身份信息,所述生成单元包括:
第一生成子单元,用于基于获得的随机数,生成私钥;
第一计算子单元,用于根据所述私钥,计算得到公钥;
运算子单元,用于利用所述公钥进行哈希运算,得到用户的身份标识和区块链地址;
第二生成子单元,用于根据所述身份标识、所述公钥对应的类型、公钥值和服务端口信息,生成身份文档;
第一获取子单元,用于响应于将所述身份文档上传至预设存储网络,获取到与所述身份文档对应的资源标识符;
第二获取子单元,用于通过向身份注册合约提供所述资源标识符,获得身份注册信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010217520 | 2020-03-25 | ||
| CN2020102175203 | 2020-03-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111490873A true CN111490873A (zh) | 2020-08-04 |
| CN111490873B CN111490873B (zh) | 2023-08-08 |
Family
ID=71798152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010288657.8A Active CN111490873B (zh) | 2020-03-25 | 2020-04-14 | 基于区块链的证书信息处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111490873B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112148280A (zh) * | 2020-09-21 | 2020-12-29 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的数据存证业务模板化开发方法 |
| CN112653553A (zh) * | 2020-12-29 | 2021-04-13 | 上海交通大学 | 物联网设备身份管理系统 |
| CN113722696A (zh) * | 2021-07-28 | 2021-11-30 | 微易签(杭州)科技有限公司 | 基于区块链签发电子签名证书的方法、系统、装置和介质 |
| US20220094556A1 (en) * | 2020-09-19 | 2022-03-24 | Radu VESTEMEAN | Method and system for creating and storing digital certificates from online meetings using blockchains |
| CN114826609A (zh) * | 2022-04-06 | 2022-07-29 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的电子证书管理方法、装置及系统 |
| CN116011025A (zh) * | 2023-03-22 | 2023-04-25 | 天聚地合(苏州)科技股份有限公司 | 基于区块链的数字身份认证方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926493A (zh) * | 2004-04-08 | 2007-03-07 | 国际商业机器公司 | 用于将证书链接到签名文件的方法和系统 |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
| CN103856477A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| US20170277872A1 (en) * | 2016-03-25 | 2017-09-28 | Pearson Education, Inc. | Generation, management, and tracking of digital credentials |
| CN107426157A (zh) * | 2017-04-21 | 2017-12-01 | 杭州趣链科技有限公司 | 一种基于数字证书以及ca认证体系的联盟链权限控制方法 |
| US20180278427A1 (en) * | 2017-03-24 | 2018-09-27 | Cable Television Laboratories, Inc | System and method for distributed pki root |
| CN109196818A (zh) * | 2016-03-25 | 2019-01-11 | 克雷德里有限公司 | 数字证书的生成、管理和跟踪 |
-
2020
- 2020-04-14 CN CN202010288657.8A patent/CN111490873B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926493A (zh) * | 2004-04-08 | 2007-03-07 | 国际商业机器公司 | 用于将证书链接到签名文件的方法和系统 |
| CN103856477A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| US20170277872A1 (en) * | 2016-03-25 | 2017-09-28 | Pearson Education, Inc. | Generation, management, and tracking of digital credentials |
| CN109196818A (zh) * | 2016-03-25 | 2019-01-11 | 克雷德里有限公司 | 数字证书的生成、管理和跟踪 |
| US20180278427A1 (en) * | 2017-03-24 | 2018-09-27 | Cable Television Laboratories, Inc | System and method for distributed pki root |
| CN107426157A (zh) * | 2017-04-21 | 2017-12-01 | 杭州趣链科技有限公司 | 一种基于数字证书以及ca认证体系的联盟链权限控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 崔容宇等: "基于PKI的CA安全认证系统在保密通信网络中应用的研究", 《中国西部科技》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220094556A1 (en) * | 2020-09-19 | 2022-03-24 | Radu VESTEMEAN | Method and system for creating and storing digital certificates from online meetings using blockchains |
| CN112148280A (zh) * | 2020-09-21 | 2020-12-29 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的数据存证业务模板化开发方法 |
| CN112148280B (zh) * | 2020-09-21 | 2022-04-01 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的数据存证业务模板化开发方法 |
| CN112653553A (zh) * | 2020-12-29 | 2021-04-13 | 上海交通大学 | 物联网设备身份管理系统 |
| CN112653553B (zh) * | 2020-12-29 | 2022-07-12 | 上海交通大学 | 物联网设备身份管理系统 |
| CN113722696A (zh) * | 2021-07-28 | 2021-11-30 | 微易签(杭州)科技有限公司 | 基于区块链签发电子签名证书的方法、系统、装置和介质 |
| CN113722696B (zh) * | 2021-07-28 | 2024-02-06 | 微易签(杭州)科技有限公司 | 基于区块链签发电子签名证书的方法、系统、装置和介质 |
| CN114826609A (zh) * | 2022-04-06 | 2022-07-29 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的电子证书管理方法、装置及系统 |
| CN114826609B (zh) * | 2022-04-06 | 2024-03-26 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的电子证书管理方法、装置、系统及存储介质 |
| CN116011025A (zh) * | 2023-03-22 | 2023-04-25 | 天聚地合(苏州)科技股份有限公司 | 基于区块链的数字身份认证方法及系统 |
| CN116011025B (zh) * | 2023-03-22 | 2023-08-04 | 天聚地合(苏州)科技股份有限公司 | 基于区块链的数字身份认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111490873B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111490873B (zh) | 基于区块链的证书信息处理方法及系统 | |
| US6792531B2 (en) | Method and system for revocation of certificates used to certify public key users | |
| CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
| KR101054930B1 (ko) | 메타데이터 브로커 | |
| CN110138560B (zh) | 一种基于标识密码和联盟链的双代理跨域认证方法 | |
| KR101105121B1 (ko) | 진정문서의 전달, 저장 및 회복에 대한 시스템 및 방법 | |
| JP4989204B2 (ja) | 安全なオンライン商取引のための臨時および恒久的な信用証明書を設定するためのシステムおよび方法 | |
| CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
| US20120030469A1 (en) | Streamlined CSR Generation, Certificate Enrollment, and Certificate Delivery | |
| CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
| JP2022530601A (ja) | ブロックチェーンネットワークにおいてアイデンティティ証明書を取り換える方法、装置、記憶媒体及びコンピュータ機器 | |
| JP2018137788A (ja) | 構造化集合に組織化された様々な識別情報ドメインからのデータを管理及び検査する方法 | |
| US20080010448A1 (en) | Delegated Certificate Authority | |
| Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
| Tehrani et al. | The missing piece: On namespace management in NDN and how DNSSEC might help | |
| JP2003348077A (ja) | 属性証明書検証方法および装置 | |
| JP2005529392A (ja) | 階層的分散アイデンティティ管理 | |
| JPH10313308A (ja) | ホームページ認証方法及び装置 | |
| JP2001265216A (ja) | 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置 | |
| JP2001308841A (ja) | 送信装置および送信方法、受信装置および受信方法、ならびに、送受信システムおよび送受信方法 | |
| JP2019036781A (ja) | 認証システムおよび認証方法 | |
| JP3726259B2 (ja) | 公開鍵証明証の有効性確認方法、公開鍵証明証の有効性確認装置における利用者側装置、および公開鍵証明証の有効性確認プログラムを記録した記録媒体 | |
| CN112182009B (zh) | 区块链的数据更新方法及装置、可读存储介质 | |
| JP4350685B2 (ja) | 携帯端末装置および属性情報交換システム | |
| JP4057995B2 (ja) | Pki認証システムにおける代替証明書発行・検証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210726 Address after: 200241 Building 2, 889 Qishen Road, Minhang District, Shanghai Applicant after: Shenshang information technology (Shanghai) Co.,Ltd. Address before: 200241 301B, building 4, Zizhu Science Park, No. 555, Dongchuan Road, Minhang District, Shanghai Applicant before: SHANGHAI WURONG INTELLIGENT TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |