CN113193961B - 一种数字证书管理方法和装置 - Google Patents
一种数字证书管理方法和装置 Download PDFInfo
- Publication number
- CN113193961B CN113193961B CN202110475946.3A CN202110475946A CN113193961B CN 113193961 B CN113193961 B CN 113193961B CN 202110475946 A CN202110475946 A CN 202110475946A CN 113193961 B CN113193961 B CN 113193961B
- Authority
- CN
- China
- Prior art keywords
- public key
- block chain
- digital certificate
- global public
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 68
- 230000004931 aggregating effect Effects 0.000 claims abstract description 43
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000012795 verification Methods 0.000 claims description 14
- 230000002776 aggregation Effects 0.000 claims description 9
- 238000004220 aggregation Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 239000000126 substance Substances 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 239000000835 fiber Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种数字证书管理方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;聚合所述第一签名信息以为所述用户生成数字证书。该实施方式实现了对签发数字证书私钥的多方控制,提高了签发数字证书私钥的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种数字证书管理方法和装置。
背景技术
CA(Certificate Authority,认证中心)作为PKI(Public Key Infrast ructure,公钥基础设施)中的重要组成部分,负责签发可以识别用户身份的数字证书。用于签发数字证书的CA私钥一旦泄露,则由该CA签发的所有数字证书都将失去效力,因而保证CA私钥的安全性是整个PKI安全的核心。
为提高CA私钥的安全,提出了多方共同管理CA的方案。但是在目前实现的多方共同管理CA的场景中,每一个管理成员均可根据自身需求签发数字证书,由于缺乏其他管理成员的监督或统一的协调监管机制,任何一方对CA私钥的使用不当均有可能引入不可控的外界风险。此外,实际负责运维CA的管理成员或引入的第三方CA管理者对CA的控制能力偏高,容易因管理失当引起CA私钥泄露,造成整个CA的不可信。
发明内容
有鉴于此,本发明实施例提供了一种数字证书管理方法和装置,能够实现多方管理成员对数字证书签发私钥的共同管控,避免因任一方管理成员管理失当造成的私钥泄露问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种数字证书管理方法,包括:
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;
聚合所述第一签名信息以为所述用户生成数字证书。
可选地,还包括:
将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。
可选地,还包括:
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;
聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
可选地,还包括:
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。
可选地,在接收用户发送的数字证书生成请求之前,还包括:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;
从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
可选地,还包括:
在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;
聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
可选地,还包括:
将所述区块链节点的公钥分量写入所述区块链的创世区块。
可选地,所述签名生成算法是BLS签名算法。
为实现上述目的,根据本发明实施例的另一个方面,提供了一种数字证书管理装置,包括:请求接收模块、信息发送模块、签名聚合模块;其中,
所述请求接收模块,用于接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
所述信息发送模块,用于将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;
所述签名聚合模块,用于聚合所述第一签名信息以为所述用户生成数字证书。
可选地,还包括:证书上传模块;其中,
所述证书上传模块,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。
可选地,还包括:证书撤销模块;其中,所述证书撤销模块,用于,
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;
聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
可选地,所述证书撤销模块,还用于,
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。
可选地,还包括:全局公钥生成模块;其中,所述全局公钥生成模块,用于在接收用户发送的数字证书生成请求之前:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;
从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
可选地,所述全局公钥生成模块,还用于,
在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;
聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
可选地,所述全局公钥生成模块,还用于,
将所述区块链节点的公钥分量写入所述区块链的创世区块。
可选地,所述签名生成算法是BLS签名算法。
为实现上述目的,根据本发明实施例的又一个方面,提供了一种用于数字证书管理的电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的数字证书管理方法中任一所述的方法。
为实现上述目的,根据本发明实施例的再一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的数字证书管理方法中任一所述的方法。
上述发明中具有如下优点或有益效果:通过多个区块链节点使用对应的私钥分量对第一用户信息进行签名生成第一签名信息,并采用签名生成算法聚合第一签名信息以生成数字证书的方式,将用于签发数字证书的私钥分散成各个区块链节点对应的私钥分量,实现了多方对用于签发数字证书的私钥的共同管控,避免了私钥泄露的问题;此外,当且仅当聚合了具有全局公钥的所有区块链节点生成的第一签名信息的情况下,才能成功生成新的数字证书,避免了因任何一个管理成员根据自身需求随意签发数字证书而引入的不可控外界风险的问题。与此相对应,当且仅当聚合了具有全局公钥的所有区块链节点生成的第二签名信息的情况下,才能成功撤销数字证书,进一步保证了数字证书的有效性及可靠性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的数字证书管理方法的主要流程的示意图;
图2是根据本发明实施例的另一数字证书管理方法的主要流程的示意图;
图3是根据本发明实施例的又一个数字证书管理方法的主要流程的示意图;
图4是根据本发明实施例的数字证书管理装置的主要模块的示意图;
图5是根据本发明实施例的数字证书管理系统的主要结构的示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的数字证书管理方法的主要流程的示意图,如图1所示,该数字证书管理方法具体可以包括的步骤如下:
步骤S101,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息。
数字证书是由认证中心签发的在互联网通讯中标志通讯各方身份信息的字符串,常用于B2B、B2C、P2P、O2O等商业网站、含有私密资料的信息资讯网站、政府机关及金融机构等服务网站,以提高网络的安全性。根据使用者不同,常见的数字证书可分为:个人身份数字证书、企业或机构身份数字证书、支付网关数字证书、服务器数字证书、安全电子邮件数字证书、个人代码签名数字证书等。数字证书至少指示了数字证书持有者公钥、数字证书持有者信息、数字证书签发者信息、签发者签名信息等。因此,为生成用户对应的数字证书,第一用户信息至少包括用户公钥、用户名称或者用户标识等用于标识数字证书持有者的信息。此外,第一用户信息还可包括用户需要在数字证书中显示的其他信息等。
可以理解的是,在接收用户发送的数字证书生成请求之前,还包括:对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
为防止数字证书签发私钥的泄露以提高数字证书的安全性,本实施例提供了基于区块链进行多方共同管理的方案,其中每一方管理成员均具有一个区块链节点。具体地,在区块链初始化环节,采用加密机对每一个区块链节点,生成一对非对称密钥对,非对称密钥对中的公钥分量既可以通过管理成员约定的邮件、信函等线下通讯方式进行交换,也可以将各自的公钥分量写入区块链的创世区块。如此,管理成员或管理成员对应的区块链节点之间可以相互知晓彼此的公钥分量,使得每一个区块链节点均可以使用签名生成算法聚合出全局公钥。其中,可使用的签名生成算法包括但不限于:Schnorr签名算法、BLS签名算法等,但为降低生成的全局公钥的大小,本实施例优先采用BL S签名算法。
具体地,以总共有10个管理成员参与CA协同管理为例进行说明,每一个管理成员均对应有一个区块链节点,则可以根据实际需求确定生成全局公钥时的管理成员数量,如10个、9个、8个、7个、6个、5个等。也即是说,在聚合区块链节点的公钥分量以生成全局公钥的过程中,并不一定是所有区块链节点都要参与,也可以部分区块链节点参与,如此保证了在管理成员不在线或部分区块链节点出现错误的情况下,仍可以生成全局公钥实现对CA的协同管理。
更进一步地,以确定的参与生成全局公钥的区块链节点分别为BL OCK1、BLOCK2、BLOCK3、BLOCK4,对应的公钥分量为别为Puc1、Puc2、Puc3、Puc4为例进行说明,由于每一个区块链节点均知晓其他区块链节点的公钥分量,因而BLOCK1、BLOCK2、BLOCK3、BLOC K4、中任一个区块链节点均可以使用BLS签名算法聚合公钥分量Puc1、Puc2、Puc3、Puc4,进而分别生成一个相同的全局公钥。
在此基础上,可以通过锁机制从聚合出全局公钥的区块链节点BL OCK1、BLOCK2、BLOCK3、BLOCK4中确定一个区块链节点(以BL OCK1为例进行说明),使得BLOCK1将其聚合出的全局公钥写入区块链的创世区块中,从而其他具有该全局公钥的区块链节点,即BLOCK2、BLOCK3、BLOCK4可以对创世区块中的全局公钥进行验证,即判断自身聚合出的全局公钥与创世区块中的全局是否一致,当且仅当且全局公钥验证通过,即区块链节点自身聚合出的全局公钥与创世区块中的全局公钥一致的情况下,区块链上的所有区块链节点才承认该全局公钥的有效性,才能继续进行后续的数字证书生成等步骤。
此外,为进一步确保全局公钥的可靠性,采用签发根证书并将根证书写入创世区块的方式确保全局公钥来源的真实有效性。具体地,在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。其中,根证书指示了全局公钥、根证书签发者信息、根证书签发者签名信息等。因此,为生成全局公钥对应的根证书,预设根证书信息至少包全局公钥、区块列节点名称或区块链节点标识等参与签发根正书的管理成员信息,还可包括多方管理成员约定的需要在根证书中显示的其他信息等。
步骤S102,将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的。
也即是说,在聚合生成全局公钥时需要一个或多个区块链节点共同参与,在签发数字证书同样需要该一个或多个区块链节点共同参与生成第一签名信息。具体地,以第一用户信息仅指示了用户公钥、用户名称为例进行说明,在将第一用户信息广播至区块链之后,区块链上的每一个具有全局公钥的节点则可以通过哈希算法计算出用户公钥、用户名称对应的哈希值,并使用自身的私钥分量对该哈希值进行加密生成第一签名信息。在此基础上,收集每一个具有全局公钥的区块链节点生成的第一签名信息,聚合所有的第一签名信息以生成数字证书中的签名信息,进而生成数字证书。可以理解的是,聚合后的签名信息与前述聚合的全局公钥相对应,也即可以使用全局公钥对数字证书中的签名信息进行验证,以判断数字证书的有效性及合法性。
步骤S103,聚合所述第一签名信息以为所述用户生成数字证书。
可以理解的是,当且仅当聚合了参与生成全局公钥的所有区块链节点的第一签名信息的情况下,才能生成与全局公钥对应的签名信息,进而成功生成数字证书。如此,通过将签发数字证书的私钥分散为各个区块链节点的私钥分量分别进行管控的方式,实现了多方管理成员对用于签发数字证书的私钥的共同管控,避免了私钥泄露的问题。同时,避免了因任何一个管理成员根据自身需求随意签发数字证书而引入的不可控外界风险的问题。
在此基础上,将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。具体地,以智能合约对数字证书进行验证为例进行说明:首先,上链的智能合约可以从区块链的创世区块中获取全局公钥或根证书,进而使用全局公钥解密数字证书中的签名信息,以获取哈希值;其次,使用哈希算法对数字证书中指示的签名信息以外的明文信息进行哈希运算,以生成新的哈希值;在此基础上,判断新生成的哈希值与使用全局公钥解密签名信息后获取的哈希值是否一致,若一致,则该数字证书验证通过,即该数字证书合法,若不一致,则该数字证书验证不通过,即该数字证书不合法。
可以理解的是,在生成数字证书以后,在数字证书的全生命周期中,还常涉及到数字证书的撤销。基于此,还包括:接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
具体地,以第二用户信息仅包括用户名称、用户公钥为例进行说明,则在将第二用户信息广播至区块链上以后,即通知参与生成待撤销数字证书的一个或多个区块链节点,以使其中每一个区块链节点分别使用哈希算法对用户名称、用户公钥进行哈希运算以生成哈希值,然后使用自身的私钥分量对哈希值进行加密,以生成第二签名信息。在此基础上,收集所有的第二签名信息并聚合以生撤销凭证中指示的签名信息,此外撤销凭证还指示了用户名称、用户公钥等信息。可以理解的是,还可根据实际需求使用哈希算法对用户名称、用户公钥、待撤销数字证书编号等信息进行哈希运算以生成哈希值,并生成第二签名信息。如此,通过参与生成待撤销数字证书的一个或多个区块链节点共同参与的方式实现了对数字证书撤销的共同管控,提高了数字证书的可靠性。
在此基础上,将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。具体地,以上链的智能合约对撤销凭证进行验证为例进行说明:首先从区块链上获取全局公钥或者指示了全局公钥的根证书,进而使用全局公钥解密撤销凭证中的签名信息,以获取哈希值;然后,使用哈希算法对撤销凭证中指示的签名信息以外的明文信息进行哈希运算,以生成新的哈希值;在此基础上,判断新生成的哈希值与使用全局公钥解密签名信息后获取的哈希值是否一致,若一致,则该撤销证书验证通过,即该撤销凭证对应的数字证书已无效,若不一致,则该撤销证书验证未通过,即该撤销凭证来源不可靠,无法使用该撤销凭证确定对应的数字证书是否被撤销。
在此基础上,为判断数字证书是否仍有效以确定数字证书持有者身份的有效性,数字证书验证方可以从区块链上查询该数字证书是否具有对应的撤销凭证,若无,则表明该数字证书尚未被撤销,若有,则表明该数字证书已经被撤销。更进一步地,为进一步确保区块链上存储的撤销凭证的有效性,验证方可以基于知晓的全局公钥对撤销凭证有效性进行如上验证。
基于上述实施例,通过多个区块链节点使用对应的私钥分量对第一用户信息进行签名生成第一签名信息,并采用签名生成算法聚合第一签名信息以生成数字证书的方式,将用于签发数字证书的私钥分散成各个区块链节点对应的私钥分量,实现了多管理成员对用于签发数字证书的私钥的共同管控,避免了私钥泄露的问题;此外,当且仅当聚合了参与生成全局公钥的所有区块链节点生成的第一签名信息的情况下,才能成功生成新的数字证书,避免了因任何一个管理成员根据自身需求随意签发数字证书而引入的不可控外界风险的问题。与此相对应,当且仅当聚合了参与生成全局公钥的所有区块链节点生成的第二签名信息的情况下,才能成功撤销数字证书,进一步保证了数字证书的有效性及可靠性。
参见图2,在上述实施例的基础上,本发明实施例提供了另一种数字证书管理方法,该方法具体可以包括的步骤如下:
步骤S201,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息。其中,第一用户信息包括但不限于:用户公钥、用户名称或用户标识等信息。
步骤S202,将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的。
步骤S203,聚合所述第一签名信息以为所述用户生成数字证书。
可以理解的是,该数字证书中的签名信息与全局公钥对应,也即可以使用全局公钥解密数字证书中的签名信息,进而实现对数字证书的验证。此外,还可以将该数字证书上传至区块链,以供知晓全局公钥的数字证书验证方可以根据该全局公钥验证数字证书的合法性。
步骤S204,接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书。
步骤S205,将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息。
步骤S206,聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
在此基础上,可以将撤销凭证上传至区块链,以使得待撤销数字证书的验证方可以根据从区块链上获取的待撤销凭证判断待撤销数字证书的有效性。
如此,通过将签发数字证书的私钥分散为区块链节点私钥分量的方式,实现了数字证书签发过程中及数字证书撤销过程中,对签发数字证书的私钥的共同管控。此外,通过区块链节使用各自私钥分别签名生成签名信息,并聚合生成数字证书或撤销凭证的方式,避免了数字证书签发私钥的出现,解决了现有的数字证书签发私钥泄露的问题,提高了数字证书的安全性及可靠性。同时,通过协同参与数字证书签发或撤销,实现了区块链节点对应的多方管理成员之间的制约,避免了因一方决策失误或管理不当造成的数字证书签发私钥滥用问题。
参见图3,在上述实施例的基础上,本发明实施例提供了又一种数字证书管理方法,该方法具体可以包括的步骤如下:
步骤S301,对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
步骤S302,基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥。
步骤S303,从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
可以理解的是,当且仅当其他知晓或者参与生成全局公钥的区块链节点对创世区块总的全局公钥验证通过的情况下,各个区块链节点才认同该全局公钥的合法性及有效性,才能进一步基于知晓该全局公钥的区块链节点签发或撤销数字证书。值得注意的是,由于参与生成全局公钥的区块链节点可能存在计算错误的情况,因而可以根据实际需求调整通过对全局公钥验证的区块链节点的数量。具体地,以其他知晓全局公钥的区块链节点数量为10为例进行说明,则可以确定当这10个区块链节点中有至少5个区块链节点通过对该全局公钥的验证时,则承认该全局公钥的有效性。
步骤S304,在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息。
步骤S305,聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
步骤S306,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息。
步骤S307,将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的。
步骤S308,聚合所述第一签名信息以为所述用户生成数字证书。
参见图4,在上述实施例的基础上,本发明实施例提供了一种数字证书管理装置400,其特征在于,包括:请求接收模块402、信息发送模块403、签名聚合模块404;其中,
所述请求接收模块402,用于接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
所述信息发送模块403,用于将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;
所述签名聚合模块404,用于聚合所述第一签名信息以为所述用户生成数字证书。
在一种可选的实施方式中,还包括:证书上传模块405;其中,
所述证书上传模块405,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。
在一种可选的实施方式中,还包括:证书撤销模块406;其中,所述证书撤销模块406,用于,
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;
聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
在一种可选的实施方式中,所述证书撤销模块406,还用于,
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。
在一种可选的实施方式中,还包括:全局公钥生成模块401;其中,所述全局公钥生成模块401,用于在接收用户发送的数字证书生成请求之前:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;
从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
在一种可选的实施方式中,所述全局公钥生成模块401,还用于,
在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;
聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
在一种可选的实施方式中,所述全局公钥生成模块401,还用于,
将所述区块链节点的公钥分量写入所述区块链的创世区块。
在一种可选的实施方式中,所述签名生成算法是BLS签名算法。
参见图5,在上述实施例的基础上,本发明实施例提供了一种数字证书管理系统500,包括:数字证书管理装置400、区块链501;其中,
所述数字证书管理装置400,用于接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;聚合所述第一签名信息以为所述用户生成数字证书;
所述区块链501,用于存储所述全局公钥,且所述区块链上知晓所述全局公钥的区块链节点用于使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息。
图6示出了可以应用本发明实施例的数字证书管理方法或数字证书管理装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的数字证书管理方法一般由服务器605执行,相应地,数字证书管理装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CP U)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括请求接收模块、信息发送模块、签名聚合模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,请求接收模块还可以被描述为“用于接收用户发送的数字证书生成请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;聚合所述第一签名信息以为所述用户生成数字证书。
根据本发明实施例的技术方案,通过多个区块链节点使用对应的私钥分量对第一用户信息进行签名生成第一签名信息,并采用签名生成算法聚合第一签名信息以生成数字证书的方式,将用于签发数字证书的私钥分散成各个区块链节点对应的私钥分量,实现了多方对用于签发数字证书的私钥的共同管控,避免了私钥泄露的问题;此外,当且仅当聚合了具有全局公钥的所有区块链节点生成的第一签名信息的情况下,才能成功生成新的数字证书,避免了因任何一个管理成员根据自身需求随意签发数字证书而引入的不可控外界风险的问题。与此相对应,当且仅当聚合了具有全局公钥的所有区块链节点生成的第二签名信息的情况下,才能成功撤销数字证书,进一步保证了数字证书的有效性及可靠性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (18)
1.一种数字证书管理方法,其特征在于,包括:
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;
聚合所述第一签名信息以为所述用户生成数字证书。
2.根据权利要求1所述的数字证书管理方法,其特征在于,还包括:
将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。
3.根据权利要求1所述的数字证书管理方法,其特征在于,还包括:
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;
聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
4.根据权利要求3所述的数字证书管理方法,其特征在于,还包括:
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。
5.根据权利要求1所述的数字证书管理方法,其特征在于,在接收用户发送的数字证书生成请求之前,还包括:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;
从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
6.根据权利要求5所述的数字证书管理方法,其特征在于,还包括:
在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;
聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
7.根据权利要求5所述的数字证书管理方法,其特征在于,还包括:
将所述区块链节点的公钥分量写入所述区块链的创世区块。
8.根据权利要求1-7任一项所述的数字证书管理方法,其特征在于,所述签名生成算法是BLS签名算法。
9.一种数字证书管理装置,其特征在于,包括:请求接收模块、信息发送模块、签名聚合模块;其中,
所述请求接收模块,用于接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
所述信息发送模块,用于将所述第一用户信息广播至区块链上,以使得知晓全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第一用户信息进行签名,以生成第一签名信息,所述全局公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的;
所述签名聚合模块,用于聚合所述第一签名信息以为所述用户生成数字证书。
10.根据权利要求9所述的数字证书管理装置,其特征在于,还包括:证书上传模块;其中,
所述证书上传模块,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述数字证书进行验证。
11.根据权利要求9所述的数字证书管理装置,其特征在于,还包括:证书撤销模块;其中,所述证书撤销模块,用于,
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述第二用户信息进行签名,以生成第二签名信息;
聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。
12.根据权利要求11所述的数字证书管理装置,其特征在于,所述证书撤销模块,还用于,
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述全局公钥或指示了所述全局公钥的根证书对所述撤销凭证进行验证。
13.根据权利要求9所述的数字证书管理装置,其特征在于,还包括:全局公钥生成模块;其中,所述全局公钥生成模块,用于在接收用户发送的数字证书生成请求之前:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
基于所述签名生成算法聚合一个或多个所述区块链节点的公钥分量,以为其中每一个所述区块链节点生成一个相同的全局公钥;
从所述区块链节点中计算出一个区块链节点,以将所述全局公钥写入所述区块链的创世区块,供其他知晓所述全局公钥的区块链节点对所述创世区块中的全局公钥进行验证。
14.根据权利要求13所述的数字证书管理装置,其特征在于,所述全局公钥生成模块,还用于,
在所述全局公钥验证通过的情况下,将预设根证书信息广播至区块链上,以使得知晓所述全局公钥的区块链节点使用所述区块链节点的私钥分量对所述预设根证书信息进行签名,以生成第三签名信息;
聚合所述第三签名信息以生成与所述全局公钥对应的根证书,并将所述根证书写入所述区块链的创世区块。
15.根据权利要求13所述的数字证书管理装置,其特征在于,所述全局公钥生成模块,还用于,
将所述区块链节点的公钥分量写入所述区块链的创世区块。
16.根据权利要求9-15任一项所述的数字证书管理装置,其特征在于,所述签名生成算法是BLS签名算法。
17.一种用于数字证书管理的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-8中任一所述的方法。
18.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-8中任一所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110475946.3A CN113193961B (zh) | 2021-04-29 | 2021-04-29 | 一种数字证书管理方法和装置 |
| EP22794893.2A EP4333365A1 (en) | 2021-04-29 | 2022-04-26 | Digital certificate management method and apparatus |
| PCT/CN2022/089242 WO2022228423A1 (zh) | 2021-04-29 | 2022-04-26 | 一种数字证书管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110475946.3A CN113193961B (zh) | 2021-04-29 | 2021-04-29 | 一种数字证书管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113193961A CN113193961A (zh) | 2021-07-30 |
| CN113193961B true CN113193961B (zh) | 2022-12-13 |
Family
ID=76980820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110475946.3A Active CN113193961B (zh) | 2021-04-29 | 2021-04-29 | 一种数字证书管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113193961B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022228423A1 (zh) * | 2021-04-29 | 2022-11-03 | 中国人民银行数字货币研究所 | 一种数字证书管理方法和装置 |
| CN114422198A (zh) * | 2021-12-23 | 2022-04-29 | 中国电信股份有限公司 | 数字证书处理方法、装置、电子设备及可读存储介质 |
| CN114168923B (zh) * | 2022-02-10 | 2022-07-12 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群ca证书生成方法和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900310A (zh) * | 2018-08-14 | 2018-11-27 | 数字钱包(北京)科技有限公司 | 区块链签名处理方法及区块链签名处理装置 |
| CN109714165A (zh) * | 2019-02-28 | 2019-05-03 | 矩阵元技术(深圳)有限公司 | 客户端各自生成密钥分量的密钥管理方法和电子设备 |
| CN109992953A (zh) * | 2019-02-18 | 2019-07-09 | 深圳壹账通智能科技有限公司 | 区块链上的数字证书签发、验证方法、设备、系统及介质 |
| CN111047324A (zh) * | 2020-03-16 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 用于更新区块链节点处的公钥集合的方法及装置 |
| CN111277417A (zh) * | 2020-01-15 | 2020-06-12 | 浙江华云信息科技有限公司 | 一种基于国网安全技术架构的电子签章实现方法 |
| US10848325B1 (en) * | 2016-10-21 | 2020-11-24 | Wells Fargo Bank, N.A. | Systems and methods for notary agent for public key infrastructure names |
-
2021
- 2021-04-29 CN CN202110475946.3A patent/CN113193961B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10848325B1 (en) * | 2016-10-21 | 2020-11-24 | Wells Fargo Bank, N.A. | Systems and methods for notary agent for public key infrastructure names |
| CN108900310A (zh) * | 2018-08-14 | 2018-11-27 | 数字钱包(北京)科技有限公司 | 区块链签名处理方法及区块链签名处理装置 |
| CN109992953A (zh) * | 2019-02-18 | 2019-07-09 | 深圳壹账通智能科技有限公司 | 区块链上的数字证书签发、验证方法、设备、系统及介质 |
| CN109714165A (zh) * | 2019-02-28 | 2019-05-03 | 矩阵元技术(深圳)有限公司 | 客户端各自生成密钥分量的密钥管理方法和电子设备 |
| CN111277417A (zh) * | 2020-01-15 | 2020-06-12 | 浙江华云信息科技有限公司 | 一种基于国网安全技术架构的电子签章实现方法 |
| CN111047324A (zh) * | 2020-03-16 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 用于更新区块链节点处的公钥集合的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113193961A (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11677569B1 (en) | Systems and methods for notary agent for public key infrastructure names | |
| US20220318907A1 (en) | Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| CN113193961B (zh) | 一种数字证书管理方法和装置 | |
| CN112131316B (zh) | 应用于区块链系统的数据处理方法及装置 | |
| US20080123862A1 (en) | Secure information transfer using dedicated public key pairs | |
| US9100171B1 (en) | Computer-implemented forum for enabling secure exchange of information | |
| US20170288866A1 (en) | Systems and methods of creating a distributed ring of trust | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN110189184B (zh) | 一种电子发票存储方法和装置 | |
| CN112804217B (zh) | 一种基于区块链技术的存证方法和装置 | |
| CN113206746B (zh) | 一种数字证书管理方法和装置 | |
| US8613057B2 (en) | Identity management facilitating minimum disclosure of user data | |
| CN115203749A (zh) | 一种基于区块链的数据交易方法和系统 | |
| CN114051031A (zh) | 基于分布式身份的加密通讯方法、系统、设备及存储介质 | |
| US11888997B1 (en) | Certificate manager | |
| CN111865761B (zh) | 一种基于区块链智能合约的社交聊天信息存证方法 | |
| CN113179169B (zh) | 一种数字证书管理方法和装置 | |
| CN113206745B (zh) | 一种数字证书管理方法和装置 | |
| CN113242133B (zh) | 一种数字证书管理方法和装置 | |
| CN113206738B (zh) | 一种数字证书管理方法和装置 | |
| CN113242132B (zh) | 一种数字证书管理方法和装置 | |
| US20230246817A1 (en) | Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| CN110166226B (zh) | 一种生成秘钥的方法和装置 | |
| CN111832046A (zh) | 一种基于区块链技术的可信数据存证方法 | |
| CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |