CN112398658A - 一种分布式数字证书管理方法和系统、设备及存储介质 - Google Patents
一种分布式数字证书管理方法和系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112398658A CN112398658A CN202011269379.8A CN202011269379A CN112398658A CN 112398658 A CN112398658 A CN 112398658A CN 202011269379 A CN202011269379 A CN 202011269379A CN 112398658 A CN112398658 A CN 112398658A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- information
- verified
- user
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000012795 verification Methods 0.000 claims description 60
- 238000004590 computer program Methods 0.000 claims description 9
- 239000000126 substance Substances 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种分布式数字证书管理方法和系统、设备及存储介质,属于区块链技术领域。包括数字证书申请方法,数字证书更新方法,数字证书撤销方法,针对CA的中心化签发所引发如中心失效、网络安全等问题,可以运用区块链技术实现分布式的数字证书签发,让以往由集中式CA认证中心签发数字证书可以由区块链的分布式账本实现。利用作为区块链共识节点的包括CA中心在内的多个权威机构,共同签名用以生成数字证书,更新数字证书和撤销数字证书,以使数字证书的管理实现去中心化,以免发生数字证书泄露,盗取等情况,保护用户隐私,确保数据安全。
Description
技术领域
本发明涉及区块链技术领域,尤其涉及一种分布式数字证书管理方法和系统、设备及存储介质。
背景技术
在相关PKI系统中,数字证书是核心,由相对权威的CA机构签发的。目前CA机构的相互认证以树状结构为主流,最顶端的根CA是系统的核心,通常为政府机构。一方面,这种中心结构可能存在性能问题,其涉及证书的所有操作,任务繁重,可能成为性能短板拖累效率。另一方面则是安全问题,我们虽然无需置疑根CA的信用问题,但这种单中心的结构容易使其成为攻击的目标,一旦中心失效,则左右与之关联的下级CA均会受到牵连。并且在这种串联式的CA结构中,只有上级CA可以验证下级的身份,每一个下级CA都无法验证上级。由于CA也有民间团体,因此无法完全保证每个CA的信用。
相关数字身份的身份信息散落在各个身份认证者手中,可能是身份提供者本身对用户信息的保存,或者是身份依赖者在验证了用户身份后即获取了用户的身份信息。有些服务方可能在未获用户授权的情况下对这些数据进行处置,几乎毫无顾忌地收集、存储、传输、买卖用户,这实际上是对于用户隐私信息的严重侵犯。同时,用户信息保存在各个应用的中心化服务后,还存在着服务器被攻击,用户隐私泄露等问题。大部分企业都需要尽全力去保护用户个人信息,但是成本昂贵。
发明内容
1.发明要解决的技术问题
为了克服上述技术问题,本发明提供了一种分布式数字证书管理方法和系统、设备及存储介质;利用作为区块链共识节点的包括CA中心在内的多个权威机构,共同签名用以生成数字证书,更新数字证书和撤销数字证书,以使数字证书的管理实现去中心化,以免发生数字证书泄露,盗取等情况,保护用户隐私,确保数据安全。
2.技术方案
为解决上述问题,本发明提供的技术方案为:
一种分布式数字证书管理方法,适用于用户节点,包括:数字证书申请方法,包括:向区块链节点发送包请求申请数字证书的交易;若请求通过,则接收共识节点发来的数字证书;
数字证书更新方法,包括:向区块链节点发送请求更新数字证书的交易;若请求通过,则接收共识节点发来的更新后的数字证书;
数字证书撤销方法,包括:向区块链节点发送请求撤销数字证书的交易;若请求通过,则接收共识节点发来的撤销数字证书的通知;其中,
请求申请数字证书的交易、请求更新数字证书的交易和请求撤销数字证书的交易均包括用户身份信息的可信声明;
接收到请求申请数字证书的交易的共识节点,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
接收到请求更新数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
接收到请求撤销数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
可选的,所述可信声明生产方法,包括:发送包含有用户身份标识符和待验证信息的交易至M个第一证明方;接收M个第一证明方反馈的包含有第一证明方签名的待验证信息是否正确的通知;若接收到N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,则:构建请求可信声明的交易;发送请求可信声明的交易至区块链系统;若请求可信声明的交易验证通过,则:接收针对待验证信息的可信声明;其中,用户身份标识符,根据用户的公钥、私钥和身份信息在区块链系统上生成;请求可信声明的交易包括:N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,待验证信息哈希值和用户身份标识符;待验证信息的可信声明包括N个第一证明方的签名和待验证信息哈希值;2≤N≤M,M≥2,M和N均为整数;接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收到请求可信声明的交易的共识节点,验证可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
可选的,用于生成用户身份标识符的身份信息中包含待验证信息,则接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;或,与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
可选的,构建包含有用户身份标识符和待验证信息的交易时,使用带验证信息的哈希值;接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;或,与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
一种分布式数字证书管理方法,适用于区块链共识节点,包括:数字证书生成方法,包括:接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新方法,包括:接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销方法,包括:接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
可选的,所述可信声明生成方法,包括:接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收请求可信声明的交易,验证请求可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
一种分布式数字证书管理系统,适用于区块链共识节点,包括:
数字证书生成单元,用于接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新单元,用于接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销单元,用于接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
可选的,可信声明生成单元,包括:接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收请求可信声明的交易,验证请求可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
此外,本发明提供了一种设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如以上所述的方法。
相应地,本发明提供了一种存储有计算机程序的存储介质,该程序被处理器执行时实现如以上任一项所述的方法。
3.有益效果
采用本发明提供的技术方案,与现有技术相比,具有如下有益效果:
(1)针对CA的中心化签发所引发如中心失效、网络安全等问题,可以运用区块链技术实现分布式的数字证书签发,让以往由集中式CA认证中心签发数字证书可以由区块链的分布式账本实现。
(2)利用可信声明用以进行数字证书的申请、更新和撤销;利用作为区块链共识节点的包括CA中心在内的多个权威机构,共同签名用以生成数字证书,更新数字证书和撤销数字证书,以使数字证书的管理实现去中心化,以免发生数字证书泄露,盗取等情况,保护用户隐私,确保数据安全。
附图说明
图1为本发明的一种设备结构示意图。
具体实施方式
为进一步了解本发明的内容,结合附图及实施例对本发明作详细描述。
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。本发明中所述的第一、第二等词语,是为了描述本发明的技术方案方便而设置,并没有特定的限定作用,均为泛指,对本发明的技术方案不构成限定作用。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
实施例1
一种分布式数字证书管理方法,适用于用户节点,包括:数字证书申请方法,包括:向区块链节点发送包请求申请数字证书的交易;若请求通过,则接收共识节点发来的数字证书;
数字证书更新方法,包括:向区块链节点发送请求更新数字证书的交易;若请求通过,则接收共识节点发来的更新后的数字证书;
数字证书撤销方法,包括:向区块链节点发送请求撤销数字证书的交易;若请求通过,则接收共识节点发来的撤销数字证书的通知;其中,
请求申请数字证书的交易、请求更新数字证书的交易和请求撤销数字证书的交易均包括用户身份信息的可信声明;
接收到请求申请数字证书的交易的共识节点,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
接收到请求更新数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
接收到请求撤销数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
利用可信声明用以进行数字证书的申请、更新和撤销;利用作为区块链共识节点的包括CA中心在内的多个权威机构,共同签名用以生成数字证书,更新数字证书和撤销数字证书,以使数字证书的管理实现去中心化,以免发生数字证书泄露,盗取等情况,保护用户隐私,确保数据安全。
可选的实施方式,所述可信声明生产方法,包括:发送包含有用户身份标识符和待验证信息的交易至M个第一证明方;接收M个第一证明方反馈的包含有第一证明方签名的待验证信息是否正确的通知;若接收到N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,则:构建请求可信声明的交易;发送请求可信声明的交易至区块链系统;若请求可信声明的交易验证通过,则:接收针对待验证信息的可信声明;其中,用户身份标识符,根据用户的公钥、私钥和身份信息在区块链系统上生成;请求可信声明的交易包括:N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,待验证信息哈希值和用户身份标识符;待验证信息的可信声明包括N个第一证明方的签名和待验证信息哈希值;2≤N≤M,M≥2,M和N均为整数;接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收到请求可信声明的交易的共识节点,验证可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
可选的实施方式,用于生成用户身份标识符的身份信息中包含待验证信息,则接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;或,与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
可选的实施方式,构建包含有用户身份标识符和待验证信息的交易时,使用带验证信息的哈希值;接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;或,与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
一种分布式数字证书管理方法,适用于区块链共识节点,包括:数字证书生成方法,包括:接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新方法,包括:接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销方法,包括:接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
可选的实施方式,所述可信声明生成方法,包括:接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收请求可信声明的交易,验证请求可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
一种分布式数字证书管理系统,适用于区块链共识节点,包括:
数字证书生成单元,用于接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新单元,用于接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销单元,用于接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
可选的实施方式,可信声明生成单元,包括:接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;接收请求可信声明的交易,验证请求可信声明的交易;根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;若验证通过,则:根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
实施例2
本实施例提供了一种设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如以上所述的方法。
此外,本实施例提供了一种存储有计算机程序的存储介质,该程序被处理器执行时实现如以上实施例1所述的方法。
图1为本发明一实施例提供的一种设备的结构示意图。
如图1所示,作为另一方面,本申请还提供了一种设备500,包括一个或多个中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM503中,还存储有设备500操作所需的各种程序和数据。CPU501、ROM502以及RAM503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本申请公开的实施例,上述任一实施例描述的方法可以被实现为计算机软件程序。例如,本申请公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包含用于执行上述任一实施例描述的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
作为又一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例的装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,该程序被一个或者一个以上的处理器用来执行描述于本申请的方法。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以通过执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以通过专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,各所述单元可以是设置在计算机或移动智能设备中的软件程序,也可以是单独配置的硬件装置。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离本申请构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种分布式数字证书管理方法,适用于用户节点,其特征在于,包括:
数字证书申请方法,包括:向区块链节点发送包请求申请数字证书的交易;若请求通过,则接收共识节点发来的数字证书;
数字证书更新方法,包括:向区块链节点发送请求更新数字证书的交易;若请求通过,则接收共识节点发来的更新后的数字证书;
数字证书撤销方法,包括:向区块链节点发送请求撤销数字证书的交易;若请求通过,则接收共识节点发来的撤销数字证书的通知;其中,
请求申请数字证书的交易、请求更新数字证书的交易和请求撤销数字证书的交易均包括用户身份信息的可信声明;
接收到请求申请数字证书的交易的共识节点,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
接收到请求更新数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
接收到请求撤销数字证书的交易的共识节点,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
2.根据权利要求1所述方法,其特征在于:
所述可信声明生产方法,包括:
发送包含有用户身份标识符和待验证信息的交易至M个第一证明方;
接收M个第一证明方反馈的包含有第一证明方签名的待验证信息是否正确的通知;
若接收到N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,则:
构建请求可信声明的交易;
发送请求可信声明的交易至区块链系统;
若请求可信声明的交易验证通过,则:
接收针对待验证信息的可信声明;
其中,
用户身份标识符,根据用户的公钥、私钥和身份信息在区块链系统上生成;
请求可信声明的交易包括:N个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知,待验证信息哈希值和用户身份标识符;
待验证信息的可信声明包括N个第一证明方的签名和待验证信息哈希值;
2≤N≤M,M≥2,M和N均为整数;
接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;
接收到请求可信声明的交易的共识节点,验证可信声明的交易;
根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;
若验证通过,则:
根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
3.根据权利要求2所述方法,其特征在于:
用于生成用户身份标识符的身份信息中包含待验证信息,则接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:
向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;
或,
与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
4.根据权利要求2所述的方法,其特征在于:
构建包含有用户身份标识符和待验证信息的交易时,使用带验证信息的哈希值;接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法,包括:
向区块链系统请求用户标识符包含的身份信息哈希值,将待验证信息的哈希值与身份信息哈希值比对,若存在一致,则验证通过;
或,
与第一证明方存储的待验证信息或待验证信息哈希值进行比对,若一致,则验证通过。
5.一种分布式数字证书管理方法,适用于区块链共识节点,其特征在于,包括:
数字证书生成方法,包括:接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新方法,包括:接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销方法,包括:接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述可信声明生成方法,包括:
接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;
接收请求可信声明的交易,验证请求可信声明的交易;
根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;
若验证通过,则:
根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
7.一种分布式数字证书管理系统,适用于区块链共识节点,其特征在于,包括:
数字证书生成单元,用于接收请求申请数字证书的交易,根据可信声明验证用户身份信息,若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成数字证书,经过共识上链后,发送给用户;
数字证书更新单元,用于接收请求更新数字证书的交易,根据可信声明验证用户身份信息,以及请求更新数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名生成更新后的数字证书,经过共识上链后,将更新后的数字证书发送给用户;
数字证书撤销单元,用于接收请求撤销数字证书的交易,根据可信声明验证用户身份信息,以及请求更撤销数字证书的内容;若验证通过,则请求通过,作为共识节点的包括CA中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易,经过共识上链后,将撤销数字证书的通知发送给用户。
8.根据权利要求7所述的系统,其特征在于,还包括:
可信声明生成单元,包括:
接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确;若正确,则对待验证信息和用户标识符签名,并发送第一证明方签名的待验证信息的通知给用户;
接收请求可信声明的交易,验证请求可信声明的交易;
根据N个第一证明方的公钥验证待验证信息和用户标识符的签名;
若验证通过,则:
根据N个第一证明方的签名和待验证信息哈希值,生成待验证信息的可信声明。
9.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1-6中任一项所述的方法。
10.一种存储有计算机程序的存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011269379.8A CN112398658A (zh) | 2020-11-13 | 2020-11-13 | 一种分布式数字证书管理方法和系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011269379.8A CN112398658A (zh) | 2020-11-13 | 2020-11-13 | 一种分布式数字证书管理方法和系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112398658A true CN112398658A (zh) | 2021-02-23 |
Family
ID=74600297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011269379.8A Pending CN112398658A (zh) | 2020-11-13 | 2020-11-13 | 一种分布式数字证书管理方法和系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398658A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422198A (zh) * | 2021-12-23 | 2022-04-29 | 中国电信股份有限公司 | 数字证书处理方法、装置、电子设备及可读存储介质 |
| CN114760071A (zh) * | 2022-06-13 | 2022-07-15 | 深圳市永达电子信息股份有限公司 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
| CN116055069A (zh) * | 2023-04-03 | 2023-05-02 | 北京微芯感知科技有限公司 | 一种基于区块链的分布式ca实现方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107769925A (zh) * | 2017-09-15 | 2018-03-06 | 山东大学 | 基于区块链的公钥基础设施系统及其证书管理方法 |
| CN108512667A (zh) * | 2018-04-16 | 2018-09-07 | 北京天德科技有限公司 | 一种基于区块链的认证证书生成方法 |
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
| CN111092737A (zh) * | 2019-12-27 | 2020-05-01 | 上海市数字证书认证中心有限公司 | 数字证书管理方法、装置及区块链节点 |
-
2020
- 2020-11-13 CN CN202011269379.8A patent/CN112398658A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
| CN107769925A (zh) * | 2017-09-15 | 2018-03-06 | 山东大学 | 基于区块链的公钥基础设施系统及其证书管理方法 |
| CN108512667A (zh) * | 2018-04-16 | 2018-09-07 | 北京天德科技有限公司 | 一种基于区块链的认证证书生成方法 |
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| CN111092737A (zh) * | 2019-12-27 | 2020-05-01 | 上海市数字证书认证中心有限公司 | 数字证书管理方法、装置及区块链节点 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422198A (zh) * | 2021-12-23 | 2022-04-29 | 中国电信股份有限公司 | 数字证书处理方法、装置、电子设备及可读存储介质 |
| CN114760071A (zh) * | 2022-06-13 | 2022-07-15 | 深圳市永达电子信息股份有限公司 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
| CN116055069A (zh) * | 2023-04-03 | 2023-05-02 | 北京微芯感知科技有限公司 | 一种基于区块链的分布式ca实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN107196966B (zh) | 基于区块链的多方信任的身份认证方法和系统 | |
| JP4879176B2 (ja) | ワンタイム秘密鍵を用いたデジタル署名を実装するためのシステムおよび方法 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| CN111884815A (zh) | 一种基于区块链的分布式数字证书认证系统 | |
| CN112398658A (zh) | 一种分布式数字证书管理方法和系统、设备及存储介质 | |
| CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及系统 | |
| CN108924107B (zh) | 一种区块链远程医疗数据调用可验证方法 | |
| KR101974062B1 (ko) | 클라우드 하드웨어 모듈 기반 전자 서명 방법 | |
| CN102546173B (zh) | 基于证书的数字签名系统及签名方法 | |
| CN113676334B (zh) | 基于区块链的分布式边缘设备身份认证系统及认证方法 | |
| WO2019174402A1 (zh) | 一种群组数字签名的群组成员发布方法和设备 | |
| CN108683506B (zh) | 一种数字证书申请方法、系统、雾节点和证书授权中心 | |
| CN111586049A (zh) | 一种针对移动互联网的轻量级密钥认证方法及装置 | |
| EP4035304A1 (en) | Computer implemented method and system for storing certified data on a blockchain | |
| CN114760071B (zh) | 基于零知识证明的跨域数字证书管理方法、系统和介质 | |
| CN112395356A (zh) | 一种分布式身份认证和验证方法、设备及存储介质 | |
| CN114944937B (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
| CN115134090A (zh) | 基于隐私保护的身份认证方法、装置、计算机设备及介质 | |
| CN113918899A (zh) | 一种身份认证方法以及凭证持有系统和验证系统 | |
| CN112332980B (zh) | 一种数字证书签发和验签方法、设备及存储介质 | |
| CN111651745A (zh) | 基于密码设备的应用授权签名方法 | |
| CN111541657A (zh) | 一种基于区块链的安全位置验证方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN112380287A (zh) | 一种分布式可信声明生成方法和系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210223 |
|
| RJ01 | Rejection of invention patent application after publication |