CN113242133A - 一种数字证书管理方法和装置 - Google Patents

一种数字证书管理方法和装置 Download PDF

Info

Publication number
CN113242133A
CN113242133A CN202110475858.3A CN202110475858A CN113242133A CN 113242133 A CN113242133 A CN 113242133A CN 202110475858 A CN202110475858 A CN 202110475858A CN 113242133 A CN113242133 A CN 113242133A
Authority
CN
China
Prior art keywords
digital certificate
block chain
signature information
cooperative
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110475858.3A
Other languages
English (en)
Other versions
CN113242133B (zh
Inventor
霍云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Digital Currency Institute of the Peoples Bank of China
Original Assignee
Digital Currency Institute of the Peoples Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Digital Currency Institute of the Peoples Bank of China filed Critical Digital Currency Institute of the Peoples Bank of China
Priority to CN202110475858.3A priority Critical patent/CN113242133B/zh
Publication of CN113242133A publication Critical patent/CN113242133A/zh
Priority to EP22794893.2A priority patent/EP4333365A1/en
Priority to PCT/CN2022/089242 priority patent/WO2022228423A1/zh
Application granted granted Critical
Publication of CN113242133B publication Critical patent/CN113242133B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种数字证书管理方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。该实施方式能够基于每一个区块链节点的多项式生成协同私钥,提高了数字证书签发私钥本身的安全性。

Description

一种数字证书管理方法和装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种数字证书管理方法和装置。
背景技术
CA(Certificate Authority,认证中心)作为PKI(Public Key Infrast ructure,公钥基础设施)中的重要组成部分,负责签发可以识别用户身份的数字证书。用于签发数字证书的CA私钥一旦泄露,则由该CA签发的所有数字证书都将失去效力,因而保证CA私钥的安全性是整个PKI安全的核心。
目前,常通过引入可信的第三方机构对CA私钥进行管理,使得第三方CA管理者对CA的控制能力偏高,容易因管理失当引起CA私钥泄露,造成整个CA的不可信。
发明内容
有鉴于此,本发明实施例提供了一种数字证书管理方法和装置,能够基于每一个区块链节点的多项式生成协同私钥,既提高了数字证书签发私钥本身的安全性,又实现了多方管理成员对数字证书签发私钥的共同管控,避免了因第三方管理者管理失当造成的私钥泄露问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种数字证书管理方法,包括:
对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;
在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
可选地,还包括:对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
可选地,在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。
可选地,还包括:生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
可选地,还包括:
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;
收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
可选地,所述对所述第一签名信息进行验证,包括:
判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
可选地,还包括:将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
可选地,还包括:
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;
收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
可选地,所述对所述第二签名信息进行验证,包括:
判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
可选地,还包括:将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
为实现上述目的,根据本发明实施例的另一个方面,提供了一种数字证书管理装置,包括:多项式生成模块、协同私钥生成模块;其中,
所述多项式生成模块,用于对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;
所述协同私钥生成模块,用于在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
可选地,所述多项式生成模块,还用于,
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
可选地,所述协同私钥生成模块,用于在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。
可选地,所述协同私钥生成模块,还用于,生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
可选地,还包括:数字证书生成模块;其中,所述数字证书生成模块,用于,
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;
收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
可选地,所述对所述第一签名信息进行验证,包括:
判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
可选地,还包括:数字证书上传模块;其中,
所述数字证书上传模块,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
可选地,还包括:数字证书撤销模块;其中,所述数字证书撤销模块,用于,
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;
收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
可选地,所述对所述第二签名信息进行验证,包括:
判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
可选地,还包括:撤销凭证上传模块;其中,
所述撤销凭证上传模块,用于将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
为实现上述目的,根据本发明实施例的再一个方面,提供了一种用于数字证书管理的电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述数字证书管理方法中任一所述的方法。
为实现上述目的,根据本发明实施例的又一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述数字证书管理方法中任一所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:通过对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥,进而在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥的方式,提高了协同私钥被破解的难度,因而提高了协同私钥本身的安全性。此外,由于每一个区块链链节点均参与了协同私钥的生成,因而每一个区块链节点均可以参与数字证书的签发或撤销,进而可通过对数字证书签发或撤销过程中区块链节点生成的签名信息的验证,实现多方成员对数字证书的共同管理,避免了因第三方管理者管理失当造成的数字证书不可信问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的数字证书管理方法的主要流程的示意图;
图2是根据本发明实施例的另一数字证书管理方法的主要流程的示意图;
图3是根据本发明实施例的又一数字证书管理方法的主要流程的示意图;
图4是根据本发明实施例的数字证书管理装置的主要模块的示意图;
图5是根据本发明实施例的数字证书管理系统的主要结构示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的数字证书管理方法,主要涉及协同私钥的生成,如图1所示,该方法具体可以包括的步骤如下:
步骤S101,对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥。
同时,对于每一个区块链节点还通过加密机等方式产生一对非对称密钥对,该非对称密钥对指示了区块链节点的公钥分量及私钥分量。而区块链节点的标识信息是指区块链节点对应的节点编号、节点名称、公钥分量等任何可以区分区块链节点的信息。在本实施例中优选公钥分量的摘要作为区块链节点的标识信息。
具体地,对于区块链上的每一个区块链节点随机产生一个多项式,具体形式如下:
fi(x)=ai*x+bi
其中,i为区块链上第i个区块链节点;ai、bi分别为第i个区块链节点对应的多项式系数,且不同区块链节点的多项式取值不同;x为一多维向量,具体维数指示了区块链上的区块链节点总数,且x的具体取值指示了区块链节点的标识信息。基于此,对于每一个区块链节点可以基于该多项式以及所有区块链节点的标识信息计算得到对应的子协同私钥。
步骤S102,在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
具体地,在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。如此,保证了子协同私钥传输过程中的安全性。如以将区块链节点A的子协同私钥SA发送至区块链节点B为例进行说明,则区块链节点A可以采用区块链节点B的公钥分量对子协同私钥SA进行加密,并将加密后的子协同私钥SA发送至区块链节点B,如此有且仅有区块链节点B能够采用对应的私钥分量解密子协同私钥SA,保证了子协同私钥SA传输过程中的安全性。
在此基础上,在所有区块链节点均通过相互交互获取到其他区块链节点的子协同私钥的基础上,则可以通过按照预设规则,如按照顺序拼接子协同私钥的方式生成协同私钥。如此,每一个区块链上的区块链节点既参与了协同私钥的生成,提高了协同私钥破解的难度,又可以同时参与协同私钥的管理。
基于此,还包括:生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。如此,在区块链节点使用协同私钥签发了数字证书的情况下,其他区块链节点或验证方则可以从创世区块中获取协同公钥,并采用该协同公钥验证数字证书的有效性。
具体地,在用户请求签发数字证书的情况下,还包括:接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
可以理解的是,由于区块链上的区块链节点均参与了协同私钥的生成,且均知晓协同私钥,因而在用户请求生成数字证书的情况下,区块链上的每一个区块链节点均有可能生成第一签名信息以签发数字证书,故而最终收集到的签名信息有多个。基于此,为保证第一签名信息的可信度,以及多区块链节点对数字证书签发的共同管理,需要对收集的到第一签名信息进行验证。
具体地,所述对所述第一签名信息进行验证,包括:判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。也即是说,既可以验证参与生成第一签名信息的区块链节点的数量,以保证多方成员对数字证书签发的共同管理,避免单一成员滥用协同私钥签发数字证书造成的数字证书不可信问题,又可以验证每一个第一签名信息的合法性,以保证区块链节点本身的合法性及安全性,防止单个或少量区块链节点被攻击造成的数字证书的不可信。
其中,第一阈值数量、第二阈值数量是根据实际情况设定的不大于区块链节点总数量的整数。如以区块链节点总数量为10,且第一阈值数量、第二阈值数量分别为8、5为例进行说明,则在收集到区块链节点的第一签名信息后,则判断所搜集到的第一签名信息数量是否大于8,若大于,则表明参与生成第一签名信息的区块链节点数量大于8,即多数的区块链节点都同意签发数字证书,具有一定的可信度,可以继续生成数字证书;若小于,则表明参与生成第一签名信息的区块链节点数量小于8,即有相当一部分的区块链节点不同意签发该数字证书,可能存在一定的风险,不继续生成数字证书。在此基础上,在第一签名信息数量大于第一阈值数量的情况下,还可以继续采用协同公钥验证所收集的每一个第一签名信息的有效性,以剔除错误或者无效的第一签名信息,以保证第一签名信息来源的合法性及有效性,进而通过判断有效第一签名信息数量是否大于第二阈值数量,来判断是否签发数字证书,以进一步保证数字证书的可信度。
在一种可选的实施方式中,还包括:将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
具体地,以智能合约对区块链节点增加之后生成的数字证书进行验证为例进行说明:首先,上链的智能合约可以从区块链的创世区块中获取协同公钥,进而使用协同公钥解密数字证书中的签名信息,以获取哈希值;其次,使用哈希算法对数字证书中指示的签名信息以外的明文信息进行哈希运算,以生成新的哈希值;在此基础上,判断新生成的哈希值与使用协同公钥解密签名信息后获取的哈希值是否一致,若一致,则该数字证书验证通过,即该数字证书合法,若不一致,则该数字证书验证不通过,即该数字证书不合法。
除此之外,在数字证书的全生命周期中,还常涉及数字证书的撤销,因而还包括:接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
可以理解的是,由于区块链上的区块链节点均参与了协同私钥的生成,且均知晓协同私钥,因而在用户请求撤销数字证书的情况下,区块链上的每一个区块链节点均有可能生成第二签名信息以撤销数字证书,故而最终收集到的签名信息有多个。基于此,为保证第二签名信息的可信度,以及多区块链节点对数字证书撤销的共同管理,需要对收集的到第二签名信息进行验证。
具体地,所述对所述第二签名信息进行验证,包括:判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。也即是说,既可以验证参与生成第二签名信息的区块链节点的数量,以保证多方成员对数字证书撤销的共同管理,避免单一成员滥用协同私钥撤销发数字证书造成的数字证书不可信问题,又可以验证每一个第二签名信息的合法性,以保证区块链节点本身的合法性及安全性,防止单个或少量区块链节点被攻击造成的数字证书撤销凭证的不可信。
此外,还包括:将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
具体地,以智能合约对区块链节点增加之后生成的撤销凭证进行验证为例进行说明:首先,上链的智能合约可以从区块链的创世区块中获取协同公钥,进而使用协同公钥解密撤销凭证中的签名信息,以获取哈希值;其次,使用哈希算法对撤销凭证中指示的签名信息以外的明文信息进行哈希运算,以生成新的哈希值;在此基础上,判断新生成的哈希值与使用协同公钥解密签名信息后获取的哈希值是否一致,若一致,则该撤销凭证验证通过,即该撤销凭证合法,若不一致,则该撤销凭证验证不通过,即该撤销凭证不合法。
基于上述实施例,通过对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥,进而在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥的方式,提高了协同私钥被破解的难度,因而提高了协同私钥本身的安全性。此外,由于每一个区块链链节点均参与了协同私钥的生成,因而每一个区块链节点均可以参与数字证书的签发或撤销,通过数字证书签发或撤销过程中区块链节点生成的签名信息的验证,既实现了多方成员对数字证书的共同管理,避免了单一成员滥用协同私钥撤销或签发数字证书造成的数字证书不可信问题,又可以保证区块链节点本身的合法性及安全性,防止单个或少量区块链节点被攻击造成的数字证书撤销凭证的不可信。
参见图2,在上述实施例的基础上,本发明实施例提供了另一数字证书管理方法,该方法具体可以包括的步骤如下:
步骤S201,对于每一个区块链节点,生成对应的多项式及非对称密钥对,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥。
其中,非对称对指示了区块链节点的公钥分量及私钥分量,所述区块链节点的标识信息为区块链节点的公钥分量摘要。
步骤S202,在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
具体地,在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。如此,保证了子协同私钥传输过程中的安全性。
步骤S203,生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
步骤S204,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息。
步骤S205,将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息。
步骤S206,收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
具体地,所述对所述第一签名信息进行验证,包括:判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
此外,还包括:将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
参见图3,在上述实施例的基础上,本发明实施例提供了又一数字证书管理方法,该方法具体可以包括的步骤如下:
步骤S301,对于每一个区块链节点,生成对应的多项式及非对称密钥对,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥。
其中,非对称对指示了区块链节点的公钥分量及私钥分量,所述区块链节点的标识信息为区块链节点的公钥分量摘要。
步骤S302,在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
具体地,在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。如此,保证了子协同私钥传输过程中的安全性。
步骤S303,生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
步骤S304,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息。
步骤S305,将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息。
步骤S306,收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
具体地,所述对所述第一签名信息进行验证,包括:判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
此外,还包括:将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
步骤S307,接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书。
步骤S308,将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息。
步骤S309,收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
其中,所述对所述第二签名信息进行验证,包括:判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
此外,还包括:将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
参见图4,在上述实施例的基础上,本发明实施例提供了一种数字证书管理装置400,包括:多项式生成模块401、协同私钥生成模块402;其中,
所述多项式生成模块401,用于对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;
所述协同私钥生成模块402,用于在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
在一种可选的实施方式中,所述多项式生成模块401,还用于,
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
在一种可选的实施方式中,所述协同私钥生成模块402,用于在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。
在一种可选的实施方式中,所述协同私钥生成模块402,还用于,生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
在一种可选的实施方式中,还包括:数字证书生成模块403;其中,所述数字证书生成模块403,用于,接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
在一种可选的实施方式中,所述对所述第一签名信息进行验证,包括:判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
在一种可选的实施方式中,还包括:数字证书上传模块404;其中,所述数字证书上传模块404,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
在一种可选的实施方式中,还包括:数字证书撤销模块405;其中,所述数字证书撤销模块405,用于,接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
在一种可选的实施方式中,所述对所述第二签名信息进行验证,包括:判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
在一种可选的实施方式中,还包括:撤销凭证上传模块406;其中,所述撤销凭证上传模块406,用于将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
参见图5,在上述实施例的基础上,本发明实施例提供了一种数字证书管理系统500,包括:数字证书管理装置400、区块链501;其中,
所述数字证书管理装置400,用于对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理;
所述区块链501,用于存储所述子协同私钥、所述协同私钥。
图6示出了可以应用本发明实施例的数字证书管理方法或数字证书管理装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种客户端应用。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所发送的用户证书生成请求进行处理,并将处理结果如数字证书等反馈给终端设备。
需要说明的是,本发明实施例所提供的数字证书管理方法一般由服务器605执行,相应地,数字证书管理装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CP U)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括多项式生成模块、协同私钥生成模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,多项式生成模块还可以被描述为“用于对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
根据本发明实施例的技术方案,通过对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥,进而在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥的方式,提高了协同私钥被破解的难度,因而提高了协同私钥本身的安全性。此外,由于每一个区块链链节点均参与了协同私钥的生成,因而每一个区块链节点均可以参与数字证书的签发或撤销,进而可通过对数字证书签发或撤销过程中区块链节点生成的签名信息的验证,实现多方成员对数字证书的共同管理,避免了因第三方管理者管理失当造成的数字证书不可信问题。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (22)

1.一种数字证书管理方法,其特征在于,包括:
对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;
在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
2.根据权利要求1所述的数字证书管理方法,其特征在于,还包括:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
3.根据权利要求2所述的数字证书管理方法,其特征在于,
在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。
4.根据权利要求3所述的数字证书管理方法,其特征在于,还包括:
生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
5.根据权利要求4所述的数字证书管理方法,其特征在于,还包括:
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;
收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
6.根据权利要求5所述的数字证书管理方法,其特征在于,所述对所述第一签名信息进行验证,包括:
判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
7.根据权利要求5所述的数字证书管理方法,其特征在于,还包括:
将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
8.根据权利要求4所述的数字证书管理方法,其特征在于,还包括:
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;
收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
9.根据权利要求8所述的数字证书管理方法,其特征在于,所述对所述第二签名信息进行验证,包括:
判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
10.根据权利要求8所述的数字证书管理方法,其特征在于,还包括:
将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
11.一种数字证书管理装置,其特征在于,包括:多项式生成模块、协同私钥生成模块;其中,
所述多项式生成模块,用于对于每一个区块链节点,生成对应的多项式,以根据所述多项式及所有所述区块链节点的标识信息,生成所述区块链节点对应的子协同私钥;
所述协同私钥生成模块,用于在所述区块链节点之间交换所述子协同私钥,以使每一个所述区块链节点根据所有区块链节点对应的子协同私钥生成同一协同私钥,所述协同私钥用于对数字证书进行管理。
12.根据权利要求11所述的数字证书管理装置,其特征在于,所述多项式生成模块,还用于,
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量。
13.根据权利要求12所述的数字证书管理装置,其特征在于,
所述协同私钥生成模块,用于在所述区块链节点之间交换所述子协同私钥时,使用接收所述子协同私钥的区块链节点的公钥分量对所述子协同私钥进行加密,以使所述区块链节点在接收到所述子协同私钥后使用对应的私钥分量对所述子协同私钥进行解密。
14.根据权利要求13所述的数字证书管理装置,其特征在于,所述协同私钥生成模块,还用于,生成与所述协同私钥对应的协同公钥,并将所述协同公钥写入所述区块链的创世区块中。
15.根据权利要求14所述的数字证书管理装置,其特征在于,还包括:数字证书生成模块;其中,所述数字证书生成模块,用于,
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了所述用户的第一用户信息;
将所述第一用户信息广播至区块链上,以使得所述区块链上的一个或多个区块链节点分别使用所述协同私钥对所述第一用户信息进行签名,以生成第一签名信息;
收集所述第一签名信息并对所述第一签名信息进行验证,以在所述第一签名信息验证通过的情况下,根据所述第一签名信息为所述用户生成数字证书。
16.根据权利要求15所述的数字证书管理装置,其特征在于,所述对所述第一签名信息进行验证,包括:
判断所收集的第一签名信息数量是否大于第一阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第一签名信息的有效性,并判断有效的第一签名信息数量是否大于第二阈值数量,若大于则验证通过。
17.根据权利要求15所述的数字证书管理装置,其特征在于,还包括:数字证书上传模块;其中,
所述数字证书上传模块,用于将所述数字证书上传至区块链,以供区块链节点或智能合约根据所述协同公钥对所述数字证书进行验证。
18.根据权利要求14所述的数字证书管理装置,其特征在于,还包括:数字证书撤销模块;其中,所述数字证书撤销模块,用于,
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书;
将所述第二用户信息广播至区块链上,以使所述区块链上的一个或多个区块链节点使用所述协同私钥对所述第二用户信息进行签名,以生成第二签名信息;
收集所述第二签名信息并对所述第二签名信息进行验证,以在所述第二签名信息验证通过的情况下,根据所述第二签名信息生成所述待撤销数字证书对应的撤销凭证。
19.根据权利要求18所述的数字证书管理装置,其特征在于,所述对所述第二签名信息进行验证,包括:
判断所收集的第二签名信息数量是否大于第三阈值数量,若大于则验证通过;和/或,
使用所述协同公钥验证所述第二签名信息的有效性,并判断有效的第二签名信息数量是否大于第四阈值数量,若大于则验证通过。
20.根据权利要求18所述的数字证书管理装置,其特征在于,还包括:撤销凭证上传模块;其中,
所述撤销凭证上传模块,用于将所述撤销凭证上传至区块链,以供区块链节点或智能合约根据所述协同公约对所述撤销凭证进行验证。
21.一种用于数字证书管理的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10中任一所述的方法。
22.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-10中任一所述的方法。
CN202110475858.3A 2021-04-29 2021-04-29 一种数字证书管理方法和装置 Active CN113242133B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202110475858.3A CN113242133B (zh) 2021-04-29 2021-04-29 一种数字证书管理方法和装置
EP22794893.2A EP4333365A1 (en) 2021-04-29 2022-04-26 Digital certificate management method and apparatus
PCT/CN2022/089242 WO2022228423A1 (zh) 2021-04-29 2022-04-26 一种数字证书管理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110475858.3A CN113242133B (zh) 2021-04-29 2021-04-29 一种数字证书管理方法和装置

Publications (2)

Publication Number Publication Date
CN113242133A true CN113242133A (zh) 2021-08-10
CN113242133B CN113242133B (zh) 2022-12-13

Family

ID=77131702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110475858.3A Active CN113242133B (zh) 2021-04-29 2021-04-29 一种数字证书管理方法和装置

Country Status (1)

Country Link
CN (1) CN113242133B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022228423A1 (zh) * 2021-04-29 2022-11-03 中国人民银行数字货币研究所 一种数字证书管理方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108712261A (zh) * 2018-05-10 2018-10-26 杭州智块网络科技有限公司 一种基于区块链的密钥生成方法、装置及介质
CN109495478A (zh) * 2018-11-20 2019-03-19 桂林电子科技大学 一种基于区块链的分布式安全通信方法及系统
CN110266482A (zh) * 2019-06-21 2019-09-20 郑州轻工业学院 一种基于区块链的非对称群组密钥协商方法
WO2020143470A1 (zh) * 2019-01-09 2020-07-16 腾讯科技(深圳)有限公司 发放数字证书的方法、数字证书颁发中心和介质
CN111639361A (zh) * 2020-05-15 2020-09-08 中国科学院信息工程研究所 一种区块链密钥管理方法、多人共同签名方法及电子装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108712261A (zh) * 2018-05-10 2018-10-26 杭州智块网络科技有限公司 一种基于区块链的密钥生成方法、装置及介质
CN109495478A (zh) * 2018-11-20 2019-03-19 桂林电子科技大学 一种基于区块链的分布式安全通信方法及系统
WO2020143470A1 (zh) * 2019-01-09 2020-07-16 腾讯科技(深圳)有限公司 发放数字证书的方法、数字证书颁发中心和介质
CN110266482A (zh) * 2019-06-21 2019-09-20 郑州轻工业学院 一种基于区块链的非对称群组密钥协商方法
CN111639361A (zh) * 2020-05-15 2020-09-08 中国科学院信息工程研究所 一种区块链密钥管理方法、多人共同签名方法及电子装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022228423A1 (zh) * 2021-04-29 2022-11-03 中国人民银行数字货币研究所 一种数字证书管理方法和装置

Also Published As

Publication number Publication date
CN113242133B (zh) 2022-12-13

Similar Documents

Publication Publication Date Title
CN113162752B (zh) 基于混合同态加密的数据处理方法和装置
US11716206B2 (en) Certificate based security using post quantum cryptography
US11743048B2 (en) Method and apparatus for secure token generation
CN109800588B (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN113193961B (zh) 一种数字证书管理方法和装置
WO2019110018A1 (zh) 通信网络系统的消息验证方法、通信方法和通信网络系统
CN108923925B (zh) 应用于区块链的数据存储方法和装置
CN112073467A (zh) 基于区块链的数据传输方法、装置、存储介质及电子设备
WO2022247910A1 (zh) 一种信息验证方法和装置
US20210367772A1 (en) Computer implemented system and method for sharing a common secret
CN114697040A (zh) 一种基于对称密钥的电子签章方法和系统
CN113206746B (zh) 一种数字证书管理方法和装置
CN115203749A (zh) 一种基于区块链的数据交易方法和系统
CN116633522A (zh) 一种基于区块链的两方隐私求交方法及系统
WO2022116734A1 (zh) 数字证书签发的方法、装置、终端实体和系统
CN113242133B (zh) 一种数字证书管理方法和装置
CN114037447A (zh) 离线交易的方法和装置
CN113206745B (zh) 一种数字证书管理方法和装置
Mohammed et al. Secure third party auditor (tpa) for ensuring data integrity in fog computing
CN113179169B (zh) 一种数字证书管理方法和装置
CN113242132B (zh) 一种数字证书管理方法和装置
CN113206738B (zh) 一种数字证书管理方法和装置
CN110166226B (zh) 一种生成秘钥的方法和装置
CN114338629A (zh) 数据处理方法、装置、设备及介质
EP4333365A1 (en) Digital certificate management method and apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant