CN111597537B - 基于区块链网络的证书签发方法、相关设备及介质 - Google Patents
基于区块链网络的证书签发方法、相关设备及介质 Download PDFInfo
- Publication number
- CN111597537B CN111597537B CN202010434873.9A CN202010434873A CN111597537B CN 111597537 B CN111597537 B CN 111597537B CN 202010434873 A CN202010434873 A CN 202010434873A CN 111597537 B CN111597537 B CN 111597537B
- Authority
- CN
- China
- Prior art keywords
- certificate
- node
- trusted
- client
- consensus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本发明实施例公开了一种基于区块链网络的证书签发方法、相关设备及介质;其中,区块链网络包括共识节点和可信节点;可信节点基于可信执行环境提供证书签发服务,可信执行环境是指位于可信节点中,且与可信节点的操作系统相互隔离的安全区域;方法包括:接收客户端发送的证书签发请求,证书签发请求是在客户端的证书申请通知通过共识节点的共识后发送的;该证书申请通知用于指示客户端欲向可信节点申请身份证书;响应于证书签发请求,在可信执行环境中为客户端生成一个身份证书;向客户端返回身份证书,并向共识节点发送与证书申请通知对应的签发完成通知。本发明实施例可以更好地实现身份证书的签发,提供身份证书的可靠性和安全性。
Description
技术领域
本发明涉及互联网技术领域,具体涉及通信技术领域,尤其涉及一种基于区块链网络的证书签发方法、一种基于区块链网络的证书签发装置、一种计算机设备、一种客户端及一种计算机存储介质。
背景技术
身份证书,是一种在互联网通讯中标志通讯各方身份信息的数字认证标识。目前,客户端的身份证书通常是由统一的证书签发结构进行签发的;其具体的签发流程如下:当客户端存在证书签发需求时,客户端向统一的证书签发机构发生证书签发请求;相应的,证书签发机构可响应此证书签发请求,为客户端签发一个身份证书。然而在此签发流程中,一旦证书签发机构被恶意攻击,则会导致客户端的身份证书在签发时被恶意篡改;由此可见,现有的证书签发方式容易导致身份证书的安全性和可靠性较低。
发明内容
本发明实施例提供了一种基于区块链网络的证书签发方法、相关设备及介质,可以更好地实现身份证书的签发,提供身份证书的可靠性和安全性。
一方面,本发明实施例提供了一种基于区块链网络的证书签发方法;其中,区块链网络包括共识节点和可信节点;可信节点基于可信执行环境提供证书签发服务,可信执行环境是指位于可信节点中,且与可信节点的操作系统相互隔离的安全区域;所述方法由可信节点执行,所述方法包括:
接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;
向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
一方面,本发明实施例提供了一种基于区块链网络的证书签发方法;其中,区块链网络包括共识节点和可信节点;可信节点基于可信执行环境提供证书签发服务,可信执行环境是指位于可信节点中,且与可信节点的操作系统相互隔离的安全区域;所述方法由客户端执行,所述方法包括:
向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;
接收所述可信节点返回的所述身份证书。
一方面,本发明实施例提供了一种基于区块链网络的证书签发装置;其中,区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述装置运行于所述可信节点中,所述装置包括:
接收单元,用于接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
生成单元,用于响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;
发送单元,用于向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
一方面,本发明实施例提供了一种基于区块链网络的证书签发装置;其中,区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述装置运行于客户端中,所述装置包括:
发送单元,用于向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
所述发送单元,还用于若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;
接收单元,用于接收所述可信节点返回的所述身份证书。
一方面,本发明实施例提供了一种计算机设备,所述计算机设备包括输入接口和输出接口,所述计算机设备还包括:
可信执行环境,所述可信执行环境是指位于可信节点中,且与可信节点的操作系统相互隔离的安全区域;
处理器,适于实现一条或多条指令;以及,
计算机存储介质,所述计算机存储介质存储有一条或多条第一指令,所述一条或多条第一指令适于由所述处理器加载并执行如下步骤:
接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;
向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
一方面,本发明实施例提供了一种客户端,所述客户端包括输入接口和输出接口,所述客户端还包括:
处理器,适于实现一条或多条指令;以及,
计算机存储介质,所述计算机存储介质存储有一条或多条第二指令,所述一条或多条第二指令适于由所述处理器加载并执行如下步骤:
向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;
接收所述可信节点返回的所述身份证书。
一方面,本发明实施例提供了一种计算机存储介质,所述计算机存储介质存储有一条或多条第一指令,所述一条或多条第一指令适于由处理器加载并执行上述可信节点侧的证书签发方法;或者,所述计算机存储介质存储有一条或多条第二指令,所述一条或多条第二指令适于由处理器加载并执行上述客户端侧的证书签发方法。
本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识,该证书申请通知用于指示客户端欲向可信节点申请身份证书;并在证书申请通知通过共识后,向可信节点发送证书签发请求;通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。相应的,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明实施例提供的一种证书签发系统的架构示意图;
图1b是本发明实施例提供的一种可信节点的结构示意图;
图2是本发明实施例提供的一种基于区块链网络的证书签发方法的流程示意图;
图3是本发明实施例提供的一种基于区块链网络的证书签发方法的流程示意图;
图4a是本发明实施例提供的一种存储节点信息的示意图;
图4b是本发明实施例提供的一种生成目标区块的示意图;
图4c是本发明实施例提供的一种查询节点地址的示意图;
图4d是本发明实施例提供的一种发送证书签发请求的示意图;
图5是本发明实施例提供的一种基于区块链网络的证书签发装置的结构示意图;
图6是本发明实施例提供的一种计算机设备的结构示意图;
图7是本发明实施例提供的一种基于区块链网络的证书签发装置的结构示意图;
图8是本发明实施例提供的一种客户端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
区块链是一种分布式数据存储、点对点传输(P2P传输)、共识机制、加密算法等计算机技术的新型应用模式;其本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块。此处的数据块又可称为区块,其本质上是一个用于记录数据信息的数据结构;每一个数据块(区块)中包含了一批次网络交易的信息,用于验证其信息的有效性性(即防伪)和生成下一个区块。基于区块链和点对点网络(P2P网络)所构成的网络可称为区块链网络,区块链网络中进行证书签发的计算机设备可称为节点设备(简称节点)。应理解的是,区块链网络中的任一计算机设备(即节点)可以是终端设备,也可以是服务器。其中,终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机等,对此不作限制;服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器等,对此不作限制。
其中,云计算是一种计算模式;其通过将计算任务分布在大量计算机构成的资源地上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务提供资源的网络可称作“云”,“云”中的资源支持随时获取、按需使用、随时扩展等功能。也就是说,云计算是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。大数据则是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
为了可以更好地实现证书签发,本发明实施例基于区块链技术提出了一种证书签发系统。参见图1a所示,该证书签发系统可至少包括:客户端11以及区块链网络12;此处的客户端11可以是任一终端设备,也可以是运行于终端设备中的APP(Application,应用程序),对此不作限制。区块链网络12中可至少包括:一个或多个共识节点121以及可信节点122。其中,共识节点121是指区块链网络中按照智能合约的规定,基于共识机制执行共识处理的节点;所谓的智能合约是指一种以信息化方式传播、验证或执行合同的计算机协议;所谓的共识机制是指通过特殊节点(即共识节点)的投票,在较短的时间内完成对交易数据的验证和确认的机制。可信节点122是指区块链网络中在可信执行环境(Trusted executionenvironment,TEE)中,通过执行可信计算(Trusted Computing,TC)来提供证书签发服务的节点;所谓的可行执行环境是指位于可信节点中,且与可信节点的操作系统(System onChip,Soc)相互隔离的安全区域;所谓的可信计算又可称为可信用计算,是一项由可信计算组(可信计算集群,简称为TCPA)推动和开发的技术。
在物理部署上述区块链网络12时,可选择区块链网络中所涉及的关键部门(如政府部门、企业的管理部门)所对应的节点作为可信节点122;参见图1b所示,可信节点122中可至少包括:可信执行环境、其他区域以及支撑可信节点的硬件。其中,可信执行环境可包括可信应用(Trusted Application,TA)、可信执行环境的API(Application ProgrammingInterface,应用程序接口)接口以及安全系统;可信执行环境通过硬件和软件的结合,能够保证敏感数据安全传输、存储和处理,以及保证TA执行的机密性和完整性。其他区域可包括其他模块、其他API接口以及操作系统(如安卓系统、IOS操作系统等);硬件则可包括用于通信的视频发射器、中央处理器(CPU,central processing unit)、硬盘等。应理解的是,图1a只是实例性地表示证书签发系统的架构;但并不对证书签发系统的具体架构进行限定。例如,图1a中客户端11是位于区块链网络12外的,但在实际应用中,客户端11也可位于区块链网络12内;又如,图1a中的可信节点122的数量为一个,但在实际部署区块链网络12时,也可在区块链网络12中部署多个可信节点122,等等。
基于上述的证书签发系统,本发明实施例提出了一种证书签发方案。在具体实现中,该证书签发方案主要基于可信执行环境和智能合约,为证书签发服务提供可信的证书签发机制;其方案原理大致如下:当客户端存在证书签发需求时,可先请求共识节点调用智能合约允许该客户端向可信节点申请身份证书;在得到共识节点的允许之后,客户端再请求可信节点为其提供证书签发服务。相应的,可信节点可在可信执行环境中为该客户端签发一个身份证书;然后将身份证书返回给客户端,并同步通知共识节点已为客户端完成身份证书的签发。由此可见,本发明实施例提出的证书签发方案可实现将证书签发行为进行上链,并可依靠链上的智能合约所提供的共识安全和链下的可信执行环境的安全保密机制,使得证书签发行为从上链到链下均处于安全可靠的环境中。这样可有效地提升证书签发行为的安全,使得身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述证书签发系统和证书签发方案的相关描述,本发明实施例提出一种基于区块链网络的证书签发方法。请参见图2,该证书签发方法可包括以下步骤S201-S204:
S201,客户端向区块链网络中的共识节点发送证书申请通知。
在具体实现中,当客户端存在证书签发需求时,可生成一个证书申请通知;该证书申请通知用于指示客户端欲向可信节点申请身份证书。然后,可向区块链网络中的共识节点发送该证书申请通知,以请求共识节点对该证书申请通知进行共识处理。
相应的,共识节点可响应于客户端所发送的证书申请通知,调用智能合约对该证书申请通知进行共识处理。具体的,区块链网络中的各个共识节点可对是否同意客户端向可信节点申请身份证书进行投票,得到各个共识节点的共识投票结果;此处的共识投票结果可包括:同意客户端向可信节点申请身份证书的第一投票结果,以及反对客户端向可信节点申请身份证书的第二投票结果。然后,根据各个共识节点的共识投票结果确定证书申请通知是否通过共识;并在确定证书申请通知通过共识后,向客户端返回一个允许申请通知。其中,根据各个共识节点的共识投票结果确定证书申请通知是否通过共识的步骤可至少包括如下几种实施方式:
在一种实施方式中,若第一投票结果的数量大于第二投票结果的数量,则可确定证书申请通知通过共识;否则,则可确定证书申请通知未通过共识。在一种实施方式中,若第一投票结果的数量大于数量阈值,则可确定证书申请通知通过共识;否则,则可确定证书申请通知未通过共识;此处的数量阈值可根据经验值或者业务需求设置。在一种实施方式中,若第一投票结果的数量和区块链网络中的共识节点的数量(即总投票结果的数量)之间的比值大于预设数值,则可确定证书申请通知通过共识;否则,则可确定证书申请通知未通过共识;此处的预设数值可根据经验值或者业务需求设置。应理解的是,若区块链网络中只包含一个共识节点,则该共识节点若同意客户端向可信节点申请身份证书,则可直接确定证书申请通知通过共识。
S202,若证书申请通知通过共识节点的共识,则客户端向可信节点发送证书签发请求。
由前述可知,若证书申请通知通过共识,则共识节点将会向客户端返回允许申请通知;因此若客户端接收到共识节点返回的允许申请通知,则可确定证书申请通知通过共识节点的共识。在此情况下,客户端便可根据客户端的身份信息生成证书签发请求。然后,可向可信节点发送一个证书签发请求,以请求可信节点在可信执行环境中为客户端生成一个身份证书,并向客户端返回身份证书以及向共识节点发送与证书申请通知所对应的签发完成通知,签发完成通知用于指示已签发客户端的身份证书。
相应的,可信节点接收客户端发送的证书签发请求。由前述可知,证书签发请求是在客户端的证书申请通知通过共识节点的共识后发送的;因此,可信节点在接收到证书签发请求后,便可通过步骤S203-S204为客户端签发一个身份证书。
S203,可信节点响应于证书签发请求,在可信执行环境中为客户端生成一个身份证书。
在具体实施过程中,由于证书签发请求中携带客户端的身份信息;因此可信节点可响应于此证书签发请求,解析该证书签发请求得到客户端的身份信息。其次,可信节点可在可信执行环境中,根据客户端的身份信息生成一个初始证书。然后,可信节点可从可信执行环境中获取根证书;其中,根证书是指采用自签名算法生成的证书;其具体可以是未被签名的公钥证书。在获取到根证书之后,可信节点可在可信执行环境中采用该根证书对初始证书进行签名,得到客户端的身份证书。然后,可信节点可通过步骤S204将身份证书发送给客户端,并通过步骤S205通知共识节点已完成证书签发操作。
S204,可信节点向客户端返回身份证书。相应的,客户端可接收可信节点返回的身份证书。
S205,可信节点向共识节点发送与证书申请通知对应的签发完成通知,该签发完成通知用于指示已签发客户端的身份证书。
需要说明的是,本发明实施例对步骤S204和步骤S205的具体执行顺序不作限定。也就是说,可信节点可先执行步骤S204再执行步骤S205;或者,可信节点也可先执行步骤S205再执行步骤S204;再或者,可信节点也可同时执行步骤S204和S205。
本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识,该证书申请通知用于指示客户端欲向可信节点申请身份证书;并在证书申请通知通过共识后,向可信节点发送证书签发请求;通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。相应的,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述方法实施例的相关描述,本发明实施例还提出了一种基于区块链网络的证书签发方法。请参见图3,该证书签发方法可包括以下步骤S301-S308:
S301,可信节点若检测到针对可信节点的启动指令,则可获取可信节点的节点信息。其中,节点信息可至少包括:节点标识、节点地址及设备信息;此处的设备信息可指示可信节点内安装有可信执行环境。
S302,可信节点可生成携带节点信息的注册请求;该注册请求用于指示可信节点欲基于可信执行环境开通证书签发服务。
S303,可信节点将注册请求发送至共识节点,使得共识节点根据节点信息对可信节点进行共识,并在可信节点通过共识后返回注册成功通知,以及将可信节点的节点信息添加至区块链网络的区块链上。
相应的,共识节点在接收到可信节点发送的注册请求后,可响应该注册请求,调用智能合约根据节点信息对可信节点进行共识。具体的,区块链网络中的各个共识节点可调用智能合约根据可信节点的节点信息,对是否同意可信节点开通证书签发服务进行投票,得到各个共识节点的服务投票结果;此处的服务投票结果可包括:同意可信节点开通证书签发服务的正向投票结果,以及反对可信节点开通证书签发服务的负向投票结果。然后,根据各个共识节点的服务投票结果确定可信节点是否通过共识;具体的,若大多数共识节点(如2/3的共识节点)的服务投票结果均为正向投票结果,则可确定可信节点通过共识;否则,则可确定可信节点未通过共识。若可信节点通过共识,则共识节点还可向可信节点返回注册成功通知,并将可信节点的节点信息添加至区块链网络的区块链上。在具体实施过程中,共识节点可先采用节点信息生成目标区块;然后,将目标区块添加至区块链网络中的区块链上,如图4a所示。其中,采用节点信息生成目标区块的流程如下:
首先,共识节点可将节点信息添加至目标区块的区块主体中,如图4b所示。其次,共识节点可采用默克尔树算法(Merkle Tree算法)对区块主体中的节点信息进行哈希运算,得到节点信息的哈希值。然后,共识节点可采用随机算法生成一个随机值,并采用计算得到的节点信息的哈希值、随机值、版本号、父区块哈希值、当前时间戳以及当前难度值组成目标区块的区块头部。并可采用特征值算法(如SHA256算法)对区块头部所包含的内容进行多次哈希运算,得到目标区块的区块头部的哈希值;此处的哈希运算的次数可根据计算难度确定,计算难度越大,哈希运算的次数越多。若目标区块的区块头部的哈希值小于预设阈值,则表明目标区块的区块头部是有效的,此时便可得到有效的目标区块。若目标区块的区块头部的特征值不小于预设阈值,则表明目标区块的区块头部是无效的;此时需要跳转至“采用随机算法生成一个随机值”的步骤,直至生成有效的区块头部以得到有效的目标区块。
由此可见,本发明实施例在启动区块链网络中的可信节点之后,通过调用智能合约可将可信节点的节点信息注册到区块链网络中的区块链上;保证可信节点的节点不被篡改,从而提升可信节点的可靠性。
S304,若接收到共识节点返回的注册成功通知,则在可信执行环境中启动证书签发服务。
在具体实施过程中,若接收到共识节点返回的注册成功通知,则可确定共识节点已将可信节点的节点信息注册到区块链上,并同意可信节点开通证书签发。因此,可信节点在接收到共识节点返回的注册成功通知后,可在可信执行环境中启动证书签发服务。并且,可信节点还可在可信执行环境中,通过证书签发服务加载根证书,以便于后续可使用该根证书为客户端签发身份证书。其中,在可信执行环境中,通过证书签发服务加载根证书的具体实施方式如下:
首先,可信节点可在可信执行环境中,采用证书签发服务所涉及的密钥算法生成密钥对;其中,密钥对可包括私钥和公钥。然后,可信节点可在可信执行环境中根据该密钥对生成根证书。在一种实施方式中,可采用随机算法生成随机数,并采用密钥对中的私钥对随机数进行签名,得到根证书。在一种实施方式中,可信节点可直接将密钥对中的公钥作为根证书。在一种实施方式中,由于可信执行环境具有一个设备私钥和一个设备公钥;且该设备私钥只存储在可信执行环境中,外界无法获取。因此,可信节点还可采用设备私钥对密钥对中的公钥进行签名,得到根证书。由此可见,根证书的整个加载过程均是在可信执行环境中执行的;凭借可信执行环境的硬件加密机制,可使得根证书的整个加载过程对外不可见,可有效提升根证书的安全性。
S305,客户端向区块链网络中的共识节点发送证书申请通知。
S306,若证书申请通知通过共识节点的共识,则客户端向可信节点发送证书签发请求。
若证书申请通知通过共识节点的共识,则可表明共识节点已同意客户端向可信节点申请身份证书。因此,客户端向可信节点发送证书签发请求。在具体实施过程中,步骤S306可包括以下步骤s11-s13:
s11,若证书申请通知通过共识节点的共识,则客户端可先获取可信节点的节点地址。
由前述可知,区块链网络的区块链中存储有可信节点的节点信息,该节点信息包括可信节点的节点标识和节点地址。因此,步骤s11的具体实施过程可一并参见图4c所示,具体如下:若证书申请通知通过共识节点的共识,则客户端可根据可信节点的节点标识生成关于可信节点的地址查询请求;该地址查询请求中携带可信节点的节点标识。然后,客户端可向共识节点发送关于可信节点的地址查询请求,以请求共识节点根据节点标识从区块链中获取可信节点的节点地址,并返回节点地址。相应的,共识节点可在接收到该地址查询请求后,可根据地址查询请求所携带的节点标识从区块链中找到存储有可信节点的节点信息的目标区块;然后,共识节点可从该目标区块所存储的节点信息中获取可信节点的节点地址,并将获取到的节点地址返回给客户端。相应的,客户端可接收共识节点返回的可信节点的节点地址。
s12,客户端生成携带客户端的身份信息的证书签发请求。
s13,客户端根据节点地址向可信节点发送证书签发请求。
在一种实施方式中,客户端在通过步骤s12生成证书签发请求后,可直接执行步骤s13,即直接根据节点地址向可信节点发送证书签发请求。在一种实施方式中,客户端在通过步骤s12生成证书签发请求后,还可根据可信执行环境所适配的验证方式以及可信节点的节点地址,对可信节点进行安全校验。若可信节点通过安全校验,则再执行步骤s13以提升证书签发的可靠性,如图4d所示。其中,根据可信执行环境所适配的验证方式以及可信节点的节点地址,对可信节点进行安全校验这一步骤可至少包括以下几种实施方式:
在一种实施方式中,由前述可知,可信节点内的可信执行环境具有唯一的设备私钥和设备公钥;且设备私钥位于可信执行环境中且不对外公开,设备公钥可对外公开。因此,客户端可采用设备公钥对可信执行环境的设备私钥进行验证,从而实现对可信节点的安全校验。具体的,客户端可先获取校验参数,并根据可信节点的节点地址向可信节点发送携带校验参数的签名指令;该签名指令用于指示可信节点采用可信执行环境的设备私钥对校验参数进行签名,并返回私钥签名。相应的,可信节点若接收到客户端发送的签名指令,则可在可信执行环境中,采用可信执行环境的设备私钥对校验参数进行签名;然后将签名得到的私钥签名返回给客户端。相应的,客户端可接收可信节点返回的私钥签名,并采用可信执行环境的设备公钥对私钥签名进行验证;若私钥签名通过验证,则可确定可信节点通过安全校验;若私钥签名未通过验证,则可确定可信节点未通过安全校验。
在一种实施方式中,由于可信节点的可信执行环境通常具有唯一的硬件信息(如设备序列号),因此客户端还可通过硬件信息来实现对可信节点的安全校验。具体的,客户端可先确定向可信节点提供可信执行环境的设备提供方,并从设备提供方处获取可信执行环境的硬件信息。然后,客户端可根据可信节点的节点地址向可信节点发送信息查询请求,以请求可信节点返回可信执行环境的硬件信息。相应的,可信节点若接收到客户端发送的信息查询请求,则获取可信节点内所安装的可信执行环境的硬件信息,并将获取到的硬件信息返回给客户端。相应的,客户端可接收可信节点返回的硬件信息,并将可信节点返回的硬件信息和设备提供方提供的硬件信息进行匹配;若匹配成功,则可确定可信节点通过安全校验;若匹配失败,则可确定可信节点未通过安全校验。
S307,可信节点响应于证书签发请求,在可信执行环境中为客户端生成一个身份证书。
在具体实施过程中,可信节点可响应于证书签发请求,解析证书签发请求得到客户端的身份信息。其次,可在可信执行环境中,根据客户端的身份信息生成一个初始证书。然后,从可信执行环境中获取根证书,并在可信执行环境中采用根证书对初始证书进行签名,得到客户端的身份证书。
S308,可信节点向客户端返回身份证书,并向共识节点发送与证书申请通知对应的签发完成通知。
在具体实施过程中,可信节点通过步骤S307生成身份证书后,可向客户端返回该身份证书,使得客户端接收并存储该身份证书,以便于后续可使用该身份证书实现数据存储、查询等处理。并且,可信节点还可根据身份证书的证书标识(如证书编号),生成与证书申请通知对应的签发完成通知;即该签发完成通知携带所述身份证书的证书标识。然后,可信节点可将该签发完成通知发送至共识节点,以通知共识节点已为客户端签发身份证书,并使得共识节点将该证书标识添加至区块链网络的区块链中。下面以客户端使用该身份证书实现数据存储处理为例,对身份证书的应用进行阐述,具体的数据存储处理流程可一并参见图4d所示:
客户端若检测到数据存储触发事件,则可获取待存储的业务数据。其次,客户端可采用身份证书对业务数据进行签名得到签名信息,并根据业务数据和签名信息生成交易数据。然后,客户端将交易数据发送至共识节点,以使得共识节点向可信节点发送关于交易数据的信息验证请求。相应的,共识节点在接收到客户端发送的交易数据后,可从区块链中获取客户端的身份证书的证书标识,并根据交易数据和身份证书的证书标识生成信息验证请求;然后,将该信息验证请求发送给可信节点将信息验证请求发送至可信节点,以请求可信节点根据证书标识对交易数据中的签名信息进行验证。
相应的,可信节点可接收共识节点发送的信息验证请求。由前述可知,信息验证请求是由共识节点在接收到客户端发送的交易数据后,根据交易数据和身份证书的证书标识生成的;且交易数据包括业务数据以及采用身份证书对业务数据进行签名所得到的签名信息。因此,可信节点在接收到信息验证请求后,并响应信息验证请求,在可信执行环境中根据证书标识获取身份证书,并采用身份证书对交易数据中的签名信息进行验证。若签名信息通过验证,则可向共识节点返回验证成功通知,以通知共识节点将交易数据存储至区块链网络的区块链中。由于验证成功通知是可信节点在可信执行环境中根据所述证书标识采用身份证书,采用身份证书对交易数据中的签名信息进行验证,且签名信息通过验证后发送的;因此,共识节点若接收到可信节点返回的验证成功通知,则可确定交易数据中的签名信息是可靠正确的;此时可将交易数据存储至区块链网络的区块链中。具体的,可直接将交易数据打包成数据区块,或者只将交易数据中的业务数据打包成数据区块;然后,将该数据区块添加至区块链。由此可见,本发明实施例在使用该身份证书实现数据存储处理的整个流程中,并不会将身份证书发送给共识节点,而是让共识节点通过证书标识来实现验证;这样可减少身份证书被盗用的风险,可有效提升身份证书的安全性。
本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识,该证书申请通知用于指示客户端欲向可信节点申请身份证书;并在证书申请通知通过共识后,向可信节点发送证书签发请求;通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。相应的,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述基于区块链网络的证书签发方法实施例的描述,本发明实施例还公开了一种基于区块链网络的证书签发装置。其中,区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述证书签发装置可以是运行于区块链网络中的可信节点中的一个计算机程序(包括程序代码),该证书签发装置可以执行图2-图3所示的部分方法步骤。请参见图5,所述证书签发装置可以运行如下单元:
接收单元501,用于接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
生成单元502,用于响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;
发送单元503,用于向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
在一种实施方式中,所述证书签发请求中携带所述客户端的身份信息;相应的,生成单元502在用于响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书时,可具体用于:响应于所述证书签发请求,解析所述证书签发请求得到所述客户端的身份信息;在所述可信执行环境中,根据所述客户端的身份信息生成一个初始证书;并从所述可信执行环境中获取根证书,所述根证书是指采用自签名算法生成的证书;在所述可信执行环境中采用所述根证书对所述初始证书进行签名,得到所述客户端的身份证书。
在一种实施方式中,生成单元502还可用于:在所述可信执行环境中启动所述证书签发服务;在所述可信执行环境中,通过所述证书签发服务加载所述根证书。
在一种实施方式中,生成单元502在用于在所述可信执行环境中,通过所述证书签发服务加载所述根证书时,可具体用于:在所述可信执行环境中,采用所述证书签发服务所涉及的密钥算法生成密钥对,所述密钥对包括私钥和公钥;采用随机算法生成随机数,并采用所述密钥对中的私钥对所述随机数进行签名,得到所述根证书。
在一种实施方式中,生成单元502还可用于:若检测到针对所述可信节点的启动指令,则获取所述可信节点的节点信息;所述节点信息至少包括:节点标识、节点地址及设备信息,所述设备信息指示所述可信节点内安装有所述可信执行环境;生成携带所述节点信息的注册请求,所述注册请求用于指示所述可信节点欲基于所述可信执行环境开通证书签发服务;
发送单元503还可用于:将所述注册请求发送至所述共识节点,使得所述共识节点根据所述节点信息对所述可信节点进行共识,并在所述可信节点通过共识后返回注册成功通知,以及将所述可信节点的节点信息添加至所述区块链网络的区块链上。
生成单元502还可用于:若接收到所述共识节点返回的注册成功通知,则执行在所述可信执行环境中启动所述证书签发服务的步骤。
在一种实施方式中,所述签发完成通知携带所述身份证书的证书标识;相应的,接收单元501还可用于:接收所述共识节点发送的信息验证请求,所述信息验证请求是由所述共识节点在接收到所述客户端发送的交易数据后,根据所述交易数据和所述身份证书的证书标识生成的;所述交易数据包括业务数据以及采用所述身份证书对所述业务数据进行签名所得到的签名信息;
生成单元502还可用于:响应所述信息验证请求,在所述可信执行环境中根据所述证书标识获取所述身份证书,并采用所述身份证书对所述交易数据中的签名信息进行验证;
发送单元503还可用于:若所述签名信息通过验证,则向所述共识节点返回验证成功通知,以通知所述共识节点将所述交易数据存储至所述区块链网络的区块链中。
根据本发明的一个实施例,图2-图3所示的方法所涉及的部分步骤可以是由图5所示的证书签发装置中的各个单元来执行的。例如,图2中所示的步骤S203可由图5中所示的生成单元502来执行,步骤S204-S205均可由图5中所示的发送单元503来执行;又如,图3中所示的步骤S301-S302、步骤S304和步骤S307均可由图5中所示的生成单元502来执行,步骤S303和步骤S308均可由图5中所示的发送单元503来执行。
根据本发明的另一个实施例,图5所示的证书签发装置中的各个单元可以分别或全部合并为一个或若干个另外的单元来构成,或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成,这可以实现同样的操作,而不影响本发明的实施例的技术效果的实现。上述单元是基于逻辑功能划分的,在实际应用中,一个单元的功能也可以由多个单元来实现,或者多个单元的功能由一个单元实现。在本发明的其它实施例中,基于证书签发装置也可以包括其它单元,在实际应用中,这些功能也可以由其它单元协助实现,并且可以由多个单元协作实现。
根据本发明的另一个实施例,可以通过在包括中央处理单元(CPU)、随机存取存储介质(RAM)、只读存储介质(ROM)等处理元件和存储元件的例如计算机的通用计算设备上运行能够执行如图2-图3中所示的相应方法所涉及的部分步骤的计算机程序(包括程序代码),来构造如图5中所示的证书签发装置设备,以及来实现本发明实施例的证书签发方法的相关步骤。所述计算机程序可以记载于例如计算机可读记录介质上,并通过计算机可读记录介质装载于上述计算设备中,并在其中运行。
本发明实施例中的可信节点可接收客户端发送的证书签发请求,由于证书签发请求是客户端的证书申请通知通过共识节点的共识后发送的,因此通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。然后,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述方法实施例以及图5所示的装置实施例的描述,本发明实施例还提供一种计算机设备;该计算机设备可以是上述所提及的可信节点。请参见图6,该计算机设备至少包括处理器601、输入接口602、输出接口603以及计算机存储介质604。其中,计算机设备内的处理器601、输入接口602、输出接口603以及计算机存储介质604可通过总线或其他方式连接。
计算机存储介质604可以存储在计算机设备的存储器中,所述计算机存储介质604用于存储计算机程序,所述计算机程序包括程序指令,所述处理器201用于执行所述计算机存储介质604存储的程序指令。处理器601(或称CPU(Central Processing Unit,中央处理器))是计算机设备的计算核心以及控制核心,其适于实现一条或多条指令,具体适于加载并执行一条或多条指令从而实现相应方法流程或相应功能。在一个实施例中,本发明实施例所述的处理器601可以用于对客户端进行一系列的证书签发处理,包括:接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书,等等。
本发明实施例还提供了一种计算机存储介质(Memory),所述计算机存储介质是计算机设备中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机存储介质既可以包括计算机设备中的内置存储介质,当然也可以包括计算机设备所支持的扩展存储介质。计算机存储介质提供存储空间,该存储空间存储了计算机设备的操作系统。并且,在该存储空间中还存放了适于被处理器601加载并执行的一条或多条的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
在一个实施例中,可由处理器601加载并执行计算机存储介质中存放的一条或多条第一指令,以实现上述有关证书签发方法实施例中的相应方法步骤;具体实现中,计算机存储介质中的一条或多条第一指令由处理器601加载并执行如下步骤:
接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书;
向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
在一种实施方式中,所述证书签发请求中携带所述客户端的身份信息;相应的,在响应于所述证书签发请求,在所述可信执行环境中为所述客户端生成一个身份证书时,所述一条或多条第一指令由处理器601加载并具体执行:响应于所述证书签发请求,解析所述证书签发请求得到所述客户端的身份信息;在所述可信执行环境中,根据所述客户端的身份信息生成一个初始证书;并从所述可信执行环境中获取根证书,所述根证书是指采用自签名算法生成的证书;在所述可信执行环境中采用所述根证书对所述初始证书进行签名,得到所述客户端的身份证书。
在一种实施方式中,所述一条或多条第一指令还可由处理器601加载并具体执行:在所述可信执行环境中启动所述证书签发服务;在所述可信执行环境中,通过所述证书签发服务加载所述根证书。
在一种实施方式中,在在所述可信执行环境中,通过所述证书签发服务加载所述根证书时,所述一条或多条第一指令由处理器601加载并具体执行:在所述可信执行环境中,采用所述证书签发服务所涉及的密钥算法生成密钥对,所述密钥对包括私钥和公钥;采用随机算法生成随机数,并采用所述密钥对中的私钥对所述随机数进行签名,得到所述根证书。
在一种实施方式中,所述一条或多条第一指令还可由处理器601加载并具体执行:若检测到针对所述可信节点的启动指令,则获取所述可信节点的节点信息;所述节点信息至少包括:节点标识、节点地址及设备信息,所述设备信息指示所述可信节点内安装有所述可信执行环境;生成携带所述节点信息的注册请求,所述注册请求用于指示所述可信节点欲基于所述可信执行环境开通证书签发服务;将所述注册请求发送至所述共识节点,使得所述共识节点根据所述节点信息对所述可信节点进行共识,并在所述可信节点通过共识后返回注册成功通知,以及将所述可信节点的节点信息添加至所述区块链网络的区块链上;若接收到所述共识节点返回的注册成功通知,则执行在所述可信执行环境中启动所述证书签发服务的步骤。
在一种实施方式中,签发完成通知携带所述身份证书的证书标识;相应的,所述一条或多条第一指令还可由处理器601加载并具体执行:接收所述共识节点发送的信息验证请求,所述信息验证请求是由所述共识节点在接收到所述客户端发送的交易数据后,根据所述交易数据和所述身份证书的证书标识生成的;所述交易数据包括业务数据以及采用所述身份证书对所述业务数据进行签名所得到的签名信息;响应所述信息验证请求,在所述可信执行环境中根据所述证书标识获取所述身份证书,并采用所述身份证书对所述交易数据中的签名信息进行验证;若所述签名信息通过验证,则向所述共识节点返回验证成功通知,以通知所述共识节点将所述交易数据存储至所述区块链网络的区块链中。
本发明实施例中的可信节点可接收客户端发送的证书签发请求,由于证书签发请求是客户端的证书申请通知通过共识节点的共识后发送的,因此通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。然后,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述基于区块链网络的证书签发方法实施例的描述,本发明实施例还公开了一种基于区块链网络的证书签发装置。其中,区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述证书签发装置可以是运行于客户端中的一个计算机程序(包括程序代码),该证书签发装置可以执行图2-图3所示的部分方法步骤。请参见图7,所述证书签发装置可以运行如下单元:
发送单元701,用于向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
所述发送单元701,还用于若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;
接收单元702,用于接收所述可信节点返回的所述身份证书。
在一种实施方式中,发送单元701在用于若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求时,可具体用于:若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址;生成携带所述客户端的身份信息的证书签发请求,并根据所述节点地址向所述可信节点发送所述证书签发请求。
在一种实施方式中,所述区块链网络的区块链中存储有所述可信节点的节点信息,所述节点信息包括所述可信节点的节点标识和节点地址;相应的,发送单元701在用于若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址时,可具体用于:若所述证书申请通知通过所述共识节点的共识,则根据所述可信节点的节点标识生成关于所述可信节点的地址查询请求;向所述共识节点发送关于所述可信节点的地址查询请求,以请求所述共识节点根据所述节点标识从所述区块链中获取所述可信节点的节点地址,并返回所述节点地址;接收所述共识节点返回的所述可信节点的节点地址。
在一种实施方式中,发送单元701还可用于:根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验;若所述可信节点通过安全校验,则执行根据所述节点地址向所述可信节点发送所述证书签发请求的步骤。
在一种实施方式中,发送单元701在用于根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验时,可具体用于:获取校验参数,并根据所述可信节点的节点地址向所述可信节点发送携带所述校验参数的签名指令,所述签名指令用于指示所述可信节点采用所述可信执行环境的设备私钥对所述校验参数进行签名,并返回私钥签名;接收所述可信节点返回的私钥签名,并采用所述可信执行环境的设备公钥对所述私钥签名进行验证;若所述私钥签名通过验证,则确定所述可信节点通过安全校验;若所述私钥签名未通过验证,则确定所述可信节点未通过安全校验。
在一种实施方式中,发送单元701在用于根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验时,可具体用于:确定向所述可信节点提供所述可信执行环境的设备提供方,并从所述设备提供方处获取所述可信执行环境的硬件信息;根据所述可信节点的节点地址向所述可信节点发送信息查询请求,以请求所述可信节点返回所述可信执行环境的硬件信息;接收所述可信节点返回的硬件信息,并将所述可信节点返回的硬件信息和所述设备提供方提供的硬件信息进行匹配;若匹配成功,则确定所述可信节点通过安全校验;若匹配失败,则确定所述可信节点未通过安全校验。
在一种实施方式中,客户端还可包括处理单元703,该处理单元703可用于:若检测到数据存储触发事件,则获取待存储的业务数据;采用所述身份证书对所述业务数据进行签名得到签名信息,并根据所述业务数据和所述签名信息生成交易数据;
相应的,发送单元701还可用于:将所述交易数据发送至所述共识节点,以使得所述共识节点向所述可信节点发送关于所述交易数据的信息验证请求,并在接收到所述可信节点返回的验证成功通知后,将所述交易数据存储至所述区块链网络的区块链中;其中,所述信息验证请求是根据所述交易数据和所述身份证书的证书标识生成的;所述验证成功通知是所述可信节点在所述可信执行环境中根据所述证书标识采用所述身份证书,采用所述身份证书对所述交易数据中的签名信息进行验证,且所述签名信息通过验证后发送的。
根据本发明的一个实施例,图2-图3所示的方法所涉及的部分步骤可以是由图7所示的证书签发装置中的各个单元来执行的。例如,图2中所示的步骤S201-S202可由图7中所示的发送单元701来执行;又如,图3中所示的步骤S305-S306可由图7中所示的发送单元701来执行。
根据本发明的另一个实施例,图7所示的证书签发装置中的各个单元可以分别或全部合并为一个或若干个另外的单元来构成,或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成,这可以实现同样的操作,而不影响本发明的实施例的技术效果的实现。上述单元是基于逻辑功能划分的,在实际应用中,一个单元的功能也可以由多个单元来实现,或者多个单元的功能由一个单元实现。在本发明的其它实施例中,基于证书签发装置也可以包括其它单元,在实际应用中,这些功能也可以由其它单元协助实现,并且可以由多个单元协作实现。
根据本发明的另一个实施例,可以通过在包括中央处理单元(CPU)、随机存取存储介质(RAM)、只读存储介质(ROM)等处理元件和存储元件的例如计算机的通用计算设备上运行能够执行如图2-图3中所示的相应方法所涉及的部分步骤的计算机程序(包括程序代码),来构造如图7中所示的证书签发装置设备,以及来实现本发明实施例的证书签发方法的相关步骤。所述计算机程序可以记载于例如计算机可读记录介质上,并通过计算机可读记录介质装载于上述计算设备中,并在其中运行。
本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识,该证书申请通知用于指示客户端欲向可信节点申请身份证书;并在证书申请通知通过共识后,向可信节点发送证书签发请求;通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。相应的,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
基于上述方法实施例以及图7所示的装置实施例的描述,本发明实施例还提供一种客户端。请参见图8,该客户端至少包括处理器801、输入接口802、输出接口803以及计算机存储介质804。其中,客户端内的处理器801、输入接口802、输出接口803以及计算机存储介质804可通过总线或其他方式连接。
计算机存储介质804可以存储在客户端的存储器中,所述计算机存储介质804用于存储计算机程序,所述计算机程序包括程序指令,所述处理器201用于执行所述计算机存储介质804存储的程序指令。处理器801(或称CPU(Central Processing Unit,中央处理器))是客户端的计算核心以及控制核心,其适于实现一条或多条指令,具体适于加载并执行一条或多条指令从而实现相应方法流程或相应功能。在一个实施例中,本发明实施例所述的处理器801可以用于进行一系列的证书签发处理,包括:向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;接收所述可信节点返回的所述身份证书,等等。
本发明实施例还提供了一种计算机存储介质(Memory),所述计算机存储介质是客户端中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机存储介质既可以包括客户端中的内置存储介质,当然也可以包括客户端所支持的扩展存储介质。计算机存储介质提供存储空间,该存储空间存储了客户端的操作系统。并且,在该存储空间中还存放了适于被处理器801加载并执行的一条或多条的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
在一个实施例中,可由处理器801加载并执行计算机存储介质中存放的一条或多条第一指令,以实现上述有关证书签发方法实施例中的相应方法步骤;具体实现中,计算机存储介质中的一条或多条第二指令由处理器801加载并执行如下步骤:
向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;
接收所述可信节点返回的所述身份证书。
在一种实施方式中,在若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求时,所述一条或多条第二指令由处理器801加载并具体执行:若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址;生成携带所述客户端的身份信息的证书签发请求,并根据所述节点地址向所述可信节点发送所述证书签发请求。
在一种实施方式中,所述区块链网络的区块链中存储有所述可信节点的节点信息,所述节点信息包括所述可信节点的节点标识和节点地址;相应的,在若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址时,所述一条或多条第二指令由处理器801加载并具体执行:若所述证书申请通知通过所述共识节点的共识,则根据所述可信节点的节点标识生成关于所述可信节点的地址查询请求;向所述共识节点发送关于所述可信节点的地址查询请求,以请求所述共识节点根据所述节点标识从所述区块链中获取所述可信节点的节点地址,并返回所述节点地址;接收所述共识节点返回的所述可信节点的节点地址。
在一种实施方式中,所述一条或多条第二指令还可由处理器801加载并具体执行:根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验;若所述可信节点通过安全校验,则执行根据所述节点地址向所述可信节点发送所述证书签发请求的步骤。
在一种实施方式中,在根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验时,所述一条或多条第二指令由处理器801加载并具体执行:获取校验参数,并根据所述可信节点的节点地址向所述可信节点发送携带所述校验参数的签名指令,所述签名指令用于指示所述可信节点采用所述可信执行环境的设备私钥对所述校验参数进行签名,并返回私钥签名;接收所述可信节点返回的私钥签名,并采用所述可信执行环境的设备公钥对所述私钥签名进行验证;若所述私钥签名通过验证,则确定所述可信节点通过安全校验;若所述私钥签名未通过验证,则确定所述可信节点未通过安全校验。
在一种实施方式中,在根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验时,所述一条或多条第二指令由处理器801加载并具体执行:确定向所述可信节点提供所述可信执行环境的设备提供方,并从所述设备提供方处获取所述可信执行环境的硬件信息;根据所述可信节点的节点地址向所述可信节点发送信息查询请求,以请求所述可信节点返回所述可信执行环境的硬件信息;接收所述可信节点返回的硬件信息,并将所述可信节点返回的硬件信息和所述设备提供方提供的硬件信息进行匹配;若匹配成功,则确定所述可信节点通过安全校验;若匹配失败,则确定所述可信节点未通过安全校验。
在一种实施方式中,所述一条或多条第二指令还可由处理器801加载并具体执行:若检测到数据存储触发事件,则获取待存储的业务数据;采用所述身份证书对所述业务数据进行签名得到签名信息,并根据所述业务数据和所述签名信息生成交易数据;将所述交易数据发送至所述共识节点,以使得所述共识节点向所述可信节点发送关于所述交易数据的信息验证请求,并在接收到所述可信节点返回的验证成功通知后,将所述交易数据存储至所述区块链网络的区块链中;其中,所述信息验证请求是根据所述交易数据和所述身份证书的证书标识生成的;所述验证成功通知是所述可信节点在所述可信执行环境中根据所述证书标识采用所述身份证书,采用所述身份证书对所述交易数据中的签名信息进行验证,且所述签名信息通过验证后发送的。
本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识,该证书申请通知用于指示客户端欲向可信节点申请身份证书;并在证书申请通知通过共识后,向可信节点发送证书签发请求;通过依靠区块链网络的共识安全,可有效提升证书签发请求的可靠性。相应的,可信节点可在可信执行环境中为客户端签发身份证书,并向共识节点发送与证书申请通知对应的签发完成通知;通过向共识节点返回签发完成通知,可实现将整个证书签发行为上链,有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节点中且与可信节点的操作系统相互隔离;因此,通过依靠可信执行环境的安全保密机制生成身份证书,可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见,本发明实施例不仅可实现证书签发行为的上链,还可实现证书签发行为从上链到链下均处于安全可靠的环境中;这样可有效地保护证书签发行为的安全,身份证书无法被恶意用户嗅探,进而提升身份证书的安全性和可靠性。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (14)
1.一种基于区块链网络的证书签发方法,其特征在于,所述区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述方法由所述可信节点执行,所述方法包括:
接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;所述证书签发请求中携带所述客户端的身份信息;
响应于所述证书签发请求,解析所述证书签发请求得到所述客户端的身份信息;
在所述可信执行环境中,根据所述客户端的身份信息生成一个初始证书;并从所述可信执行环境中获取根证书,所述根证书是指采用自签名算法生成的证书;
在所述可信执行环境中采用所述根证书对所述初始证书进行签名,得到所述客户端的身份证书;
向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述可信执行环境中启动所述证书签发服务;
在所述可信执行环境中,通过所述证书签发服务加载所述根证书。
3.如权利要求2所述的方法,其特征在于,所述在所述可信执行环境中,通过所述证书签发服务加载所述根证书,包括:
在所述可信执行环境中,采用所述证书签发服务所涉及的密钥算法生成密钥对,所述密钥对包括私钥和公钥;
采用随机算法生成随机数,并采用所述密钥对中的私钥对所述随机数进行签名,得到所述根证书。
4.如权利要求2所述的方法,其特征在于,所述方法还包括:
若检测到针对所述可信节点的启动指令,则获取所述可信节点的节点信息;所述节点信息至少包括:节点标识、节点地址及设备信息,所述设备信息指示所述可信节点内安装有所述可信执行环境;
生成携带所述节点信息的注册请求,所述注册请求用于指示所述可信节点欲基于所述可信执行环境开通证书签发服务;
将所述注册请求发送至所述共识节点,使得所述共识节点根据所述节点信息对所述可信节点进行共识,并在所述可信节点通过共识后返回注册成功通知,以及将所述可信节点的节点信息添加至所述区块链网络的区块链上;
若接收到所述共识节点返回的注册成功通知,则执行在所述可信执行环境中启动所述证书签发服务的步骤。
5.如权利要求1所述的方法,其特征在于,所述签发完成通知携带所述身份证书的证书标识;所述方法还包括:
接收所述共识节点发送的信息验证请求,所述信息验证请求是由所述共识节点在接收到所述客户端发送的交易数据后,根据所述交易数据和所述身份证书的证书标识生成的;所述交易数据包括业务数据以及采用所述身份证书对所述业务数据进行签名所得到的签名信息;
响应所述信息验证请求,在所述可信执行环境中根据所述证书标识获取所述身份证书,并采用所述身份证书对所述交易数据中的签名信息进行验证;
若所述签名信息通过验证,则向所述共识节点返回验证成功通知,以通知所述共识节点将所述交易数据存储至所述区块链网络的区块链中。
6.一种基于区块链网络的证书签发方法,其特征在于,所述区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述方法由客户端执行,所述方法包括:
向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;所述证书签发请求中携带所述客户端的身份信息;
接收所述可信节点返回的所述身份证书,所述身份证书是由所述可信节点在所述可信执行环境中根据所述客户端的身份信息生成初始证书,以及从所述可信执行环境中获取根证书后,在所述可信执行环境中采用所述根证书对所述初始证书进行签名得到的,所述根证书是指采用自签名算法生成的证书。
7.如权利要求6所述的方法,其特征在于,所述若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,包括:
若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址;
生成携带所述客户端的身份信息的证书签发请求,并根据所述节点地址向所述可信节点发送所述证书签发请求。
8.如权利要求7所述的方法,其特征在于,所述区块链网络的区块链中存储有所述可信节点的节点信息,所述节点信息包括所述可信节点的节点标识和节点地址;
所述若所述证书申请通知通过所述共识节点的共识,则获取所述可信节点的节点地址,包括:
若所述证书申请通知通过所述共识节点的共识,则根据所述可信节点的节点标识生成关于所述可信节点的地址查询请求;
向所述共识节点发送关于所述可信节点的地址查询请求,以请求所述共识节点根据所述节点标识从所述区块链中获取所述可信节点的节点地址,并返回所述节点地址;
接收所述共识节点返回的所述可信节点的节点地址。
9.如权利要求7或8所述的方法,其特征在于,所述方法还包括:
根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验;
若所述可信节点通过安全校验,则执行根据所述节点地址向所述可信节点发送所述证书签发请求的步骤。
10.如权利要求9所述的方法,其特征在于,所述根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验,包括:
获取校验参数,并根据所述可信节点的节点地址向所述可信节点发送携带所述校验参数的签名指令,所述签名指令用于指示所述可信节点采用所述可信执行环境的设备私钥对所述校验参数进行签名,并返回私钥签名;
接收所述可信节点返回的私钥签名,并采用所述可信执行环境的设备公钥对所述私钥签名进行验证;
若所述私钥签名通过验证,则确定所述可信节点通过安全校验;若所述私钥签名未通过验证,则确定所述可信节点未通过安全校验。
11.如权利要求9所述的方法,其特征在于,所述根据所述可信执行环境所适配的验证方式以及所述可信节点的节点地址,对所述可信节点进行安全校验,包括:
确定向所述可信节点提供所述可信执行环境的设备提供方,并从所述设备提供方处获取所述可信执行环境的硬件信息;
根据所述可信节点的节点地址向所述可信节点发送信息查询请求,以请求所述可信节点返回所述可信执行环境的硬件信息;
接收所述可信节点返回的硬件信息,并将所述可信节点返回的硬件信息和所述设备提供方提供的硬件信息进行匹配;
若匹配成功,则确定所述可信节点通过安全校验;若匹配失败,则确定所述可信节点未通过安全校验。
12.如权利要求6所述的方法,其特征在于,所述签发完成通知携带所述身份证书的证书标识;所述方法还包括:
若检测到数据存储触发事件,则获取待存储的业务数据;
采用所述身份证书对所述业务数据进行签名得到签名信息,并根据所述业务数据和所述签名信息生成交易数据;
将所述交易数据发送至所述共识节点,以使得所述共识节点向所述可信节点发送关于所述交易数据的信息验证请求,并在接收到所述可信节点返回的验证成功通知后,将所述交易数据存储至所述区块链网络的区块链中;其中,所述信息验证请求是根据所述交易数据和所述身份证书的证书标识生成的;所述验证成功通知是所述可信节点在所述可信执行环境中根据所述证书标识采用所述身份证书,采用所述身份证书对所述交易数据中的签名信息进行验证,且所述签名信息通过验证后发送的。
13.一种基于区块链网络的证书签发装置,其特征在于,所述区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述装置运行于所述可信节点中,所述装置包括:
接收单元,用于接收客户端发送的证书签发请求,所述证书签发请求是在所述客户端的证书申请通知通过所述共识节点的共识后发送的;所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;所述证书签发请求中携带所述客户端的身份信息;
生成单元,用于响应于所述证书签发请求,解析所述证书签发请求得到所述客户端的身份信息;在所述可信执行环境中,根据所述客户端的身份信息生成一个初始证书;并从所述可信执行环境中获取根证书,所述根证书是指采用自签名算法生成的证书;在所述可信执行环境中采用所述根证书对所述初始证书进行签名,得到所述客户端的身份证书;
发送单元,用于向所述客户端返回所述身份证书,并向所述共识节点发送与所述证书申请通知对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书。
14.一种基于区块链网络的证书签发装置,其特征在于,所述区块链网络包括共识节点和可信节点;所述可信节点基于可信执行环境提供证书签发服务,所述可信执行环境是指位于所述可信节点中,且与所述可信节点的操作系统相互隔离的安全区域;所述装置运行于客户端中,所述装置包括:
发送单元,用于向所述区块链网络中的共识节点发送证书申请通知,所述证书申请通知用于指示所述客户端欲向所述可信节点申请身份证书;
所述发送单元,还用于若所述证书申请通知通过所述共识节点的共识,则向所述可信节点发送所述证书签发请求,以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书,并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签发完成通知,所述签发完成通知用于指示已签发所述客户端的身份证书;所述证书签发请求中携带所述客户端的身份信息;
接收单元,用于接收所述可信节点返回的所述身份证书,所述身份证书是由所述可信节点在所述可信执行环境中根据所述客户端的身份信息生成初始证书,以及从所述可信执行环境中获取根证书后,在所述可信执行环境中采用所述根证书对所述初始证书进行签名得到的,所述根证书是指采用自签名算法生成的证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010434873.9A CN111597537B (zh) | 2020-05-20 | 2020-05-20 | 基于区块链网络的证书签发方法、相关设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010434873.9A CN111597537B (zh) | 2020-05-20 | 2020-05-20 | 基于区块链网络的证书签发方法、相关设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111597537A CN111597537A (zh) | 2020-08-28 |
CN111597537B true CN111597537B (zh) | 2021-09-10 |
Family
ID=72187596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010434873.9A Active CN111597537B (zh) | 2020-05-20 | 2020-05-20 | 基于区块链网络的证书签发方法、相关设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111597537B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112307445B (zh) * | 2020-09-30 | 2021-08-10 | 深圳百纳维科技有限公司 | 一种基于区块链的身份管理方法及装置 |
CN112182627A (zh) * | 2020-10-27 | 2021-01-05 | 杭州云链趣链数字科技有限公司 | 基于移动设备的区块链数字证书管理方法和系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI456427B (zh) * | 2012-12-12 | 2014-10-11 | Inst Information Industry | 進行授權管理之主要管理裝置、代理管理裝置、電子裝置及其授權管理方法 |
CN109639427B (zh) * | 2017-10-09 | 2021-01-29 | 华为技术有限公司 | 一种数据发送的方法及设备 |
CN108769173B (zh) * | 2018-05-21 | 2021-11-09 | 阿里体育有限公司 | 运行智能合约的区块链实现方法及设备 |
CN110569674B (zh) * | 2019-09-10 | 2023-11-17 | 腾讯科技(深圳)有限公司 | 基于区块链网络的认证方法及装置 |
CN110535872B (zh) * | 2019-09-12 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 在区块链网络中处理数据请求的方法和装置 |
-
2020
- 2020-05-20 CN CN202010434873.9A patent/CN111597537B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111597537A (zh) | 2020-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110727712B (zh) | 基于区块链网络的数据处理方法、装置、电子设备及存储介质 | |
CN112926982B (zh) | 一种交易数据处理方法、装置、设备及存储介质 | |
CN111383021B (zh) | 基于区块链网络的节点管理方法、装置、设备及介质 | |
CN111163182B (zh) | 基于区块链的设备注册方法、装置、电子设备和存储介质 | |
CN111262889B (zh) | 一种云服务的权限认证方法、装置、设备及介质 | |
CN111541785A (zh) | 基于云计算的区块链数据处理方法及装置 | |
KR102152360B1 (ko) | IoT 서비스를 위한 블록체인 기반 데이터 신뢰성 제공 시스템 및 방법 | |
CN110535971B (zh) | 基于区块链的接口配置处理方法、装置、设备及存储介质 | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
CN111885050B (zh) | 基于区块链网络的数据存储方法、装置、相关设备及介质 | |
CN111597567B (zh) | 数据处理方法、装置、节点设备及存储介质 | |
CN112527912B (zh) | 基于区块链网络的数据处理方法、装置及计算机设备 | |
CN106529952B (zh) | 数据转移中的验证实现方法及系统 | |
CN110149323B (zh) | 一种具有千万级tps合约处理能力的处理装置 | |
CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
CN112308561A (zh) | 基于区块链的存证方法、系统、计算机设备和存储介质 | |
CN111740966A (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
CN112559993A (zh) | 身份认证方法、装置、系统及电子设备 | |
CN111488372A (zh) | 一种数据处理方法、设备及存储介质 | |
CN111597537B (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CN112702419B (zh) | 基于区块链的数据处理方法、装置、设备和存储介质 | |
CN112651044B (zh) | 基于区块链技术的业务交易方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40027010 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |