CN114157428A - 一种基于区块链的数字证书管理方法和系统 - Google Patents
一种基于区块链的数字证书管理方法和系统 Download PDFInfo
- Publication number
- CN114157428A CN114157428A CN202010920560.4A CN202010920560A CN114157428A CN 114157428 A CN114157428 A CN 114157428A CN 202010920560 A CN202010920560 A CN 202010920560A CN 114157428 A CN114157428 A CN 114157428A
- Authority
- CN
- China
- Prior art keywords
- certificate
- request
- processing
- client
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 121
- 230000007246 mechanism Effects 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 25
- 230000006854 communication Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 23
- 238000013523 data management Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000013459 approach Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于区块链的数字证书管理方法和系统,该方法包括:证书申请端将证书处理请求发送至CA客户端;CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。本发明基于区块链的不可篡改性和可追溯性的特征,在区块链中构建了一套高可信度的证书处理环境,替代了现有技术中的中心化存储方法,使得证书的处理过程变得公开且可标记,并且每一次证书操作记录都会被永久存储,从而避免了虚假认证的发生。
Description
技术领域
本发明涉及区块链技术领域,具体涉及一种基于区块链的数字证书管理方法和系统。
背景技术
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份,数字证书从本质上来说是一种电子文档,是由电子商务认证(Certificate Authority,CA)中心所颁发的一种较为权威与公正的证书,对电子商务活动有重要影响,例如我们在各种电子商务平台进行购物消费时,必须要在电脑上安装数字证书来确保资金的安全性。目前,CA中心颁发的CA数字证书是采用非对称加密算法(RSA算法)数字公钥机制形成的鉴权数字证书。CA数字证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等。CA数字证书的格式和验证方法普遍遵循X.509国际标准,CA数字鉴权证书的基础原理如下:CA中心拥有一个RSA证书(内含公钥和私钥),公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA中心的证书(含公钥),用以验证它所签发的证书;用户想得到一份属于自己的证书,他应先向CA中心提出申请。在CA中心判明申请者的身份后,便为他分配一个公钥,并且CA中心将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者;如果一个用户想鉴别另一个证书的真伪,他就用CA中心分配的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的,因此,该证书实际是由CA中心签发的对用户的公钥的认证。
由于针对该证书的密钥和私钥都存储于CA中心服务器,导致CA中心的服务器可能会收到黑客的攻击,从而导致虚假认证,造成业务损失,然而,采用上述CA处理证书的模式具有一定的安全风险。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于区块链的数字证书管理方法和系统。
根据本发明的一个方面,提供了一种基于区块链的数字证书管理方法,包括:
证书申请端将证书处理请求发送至CA客户端;
所述CA客户端将所述证书处理请求发送至包含有多个CA认证端的CA系统;
所述CA系统中的任一CA认证端根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端;
多个CA认证端通过共识机制标记所述证书操作记录,并将所述证书操作记录存储至区块链中。
根据本发明的另一方面,提供了一种基于区块链的数字证书管理系统,包括:证书申请端、CA客户端、包含有多个CA认证端的CA系统;
所述证书申请端用于:将证书处理请求发送至所述CA客户端;
所述CA客户端用于:将所述证书处理请求发送至所述CA系统;
所述CA系统中的任一CA认证端用于:根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端;
多个CA认证端用于:通过共识机制标记所述证书操作记录,并将所述证书操作记录存储至区块链中。
根据本发明的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述一种基于区块链的数字证书管理方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述一种基于区块链的数字证书管理方法对应的操作。
根据本发明的一种基于区块链的数字证书管理方法和系统,通过证书申请端将证书处理请求发送至CA客户端;CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。本发明基于区块链的不可篡改性和可追溯性的特征,通过共识机制标记证书操作记录,在区块链中构建了一套高可信度的证书处理环境,替代了现有技术中证书的密钥和私钥都存储于CA中心服务器这种中心化存储方案;同时,通过多个CA认证端对证书操作记录进行标记,使得证书的处理过程变得公开且可标记,并且每一次证书操作记录都会被永久存储,从而避免了虚假认证的发生。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1a示出了本发明实施例提供的一种基于区块链的数字证书管理方法的流程图;
图1b示出了本发明实施例提供的一种基于区块链的数字证书管理方法的数字证书鉴权流程示意图;
图1c示出了本发明实施例提供的一种基于区块链的数字证书管理方法的数字证书标记架构示意图;
图1d为本发明实施例提供的一种基于区块链的数字证书管理方法具体应用示意图;
图2示出了本发明实施例提供的一种基于区块链的数字证书管理系统的结构示意图;
图3示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
瑞波协议维护着一个全网络公共的分布式总账本。该协议有“共识机制”与“验证机制”,通过这两个机制将交易记录及时添加进入总账本中。在本发明中,采用瑞波协议的共识机制存储CA证书的操作记录,使证书申请端、CA客户端以及包含有多个CA认证端的CA系统通过瑞波协议的共识机制达成一致性。另外,本发明的区块链通过拜占庭容错算法(即少数服从多数的投票机制)共识机制来达成CA证书各项操作记录的共识,可以降低通信时间和操作复杂度。
图1a示出了本发明一种基于区块链的数字证书管理方法实施例的流程图,如图1a所示,该方法包括以下步骤:
S110:证书申请端将证书处理请求发送至CA客户端。
在本步骤中,证书申请者通过证书申请端发起证书处理请求,证书申请端将证书处理请求发送至CA客户端。其中,证书处理请求具体可为:证书申请请求、证书撤销请求、证书修改请求等处理请求。
S120:CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统。
在本步骤中,CA客户端在收到信息后,进一步地将证书处理请求发送至包含有多个CA认证端的CA系统,具体地,包含有多个CA认证端的CA系统可以通过在线证书状态协议(Online Certificate Status Protocol,OCSP)服务接口接收CA客户端发送过来的证书处理请求,需要特别说明的是,OCSP服务接口作为对外服务接口,可以对证书申请端或CA客户端进行数据接收与发放。
S130:CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端。
在一种可选的方式中,证书处理请求包括证书申请请求;步骤S130进一步包括:任一CA认证端根据证书申请请求为证书申请端分配公钥,为证书申请请求中的申请信息签发对应的CA证书,生成证书分发操作记录,将公钥和CA证书作为处理结果提供给证书申请端或者CA客户端。
具体地说,证书申请者使用明文通过网络页面向CA客户端申请鉴权公钥,网络页面通过自带的加密功能对该明文运用RSA加密算法进行加密之后,发送至CA客户端,CA客户端在收到信息后,可对证书处理请求进行初步审核、汇总等处理,而后将证书处理请求发送至包含有多个CA认证端的CA系统进行处理,CA系统中的任一CA认证端根据加密后的证书申请请求进行解密后,依据解密后的证书申请请求为证书申请端分配公钥并为证书申请请求中的申请信息签发对应的CA证书,生成证书分发操作记录,将公钥和CA证书作为处理结果通过加密通道将密钥提供给证书申请端或者CA客户端。若CA认证端将处理结果提供给CA客户端,那么CA客户端还可通过加密通道将处理结果传递给证书申请端。
在一种可选的方式中,证书处理请求包括证书撤销请求;步骤S130进一步包括:任一CA认证端对证书撤销请求对应的CA证书进行撤销处理,生成证书撤销状态数据和证书撤销操作记录,将证书撤销状态数据作为处理结果提供给证书申请端或者CA客户端。
具体地说,证书撤销者可根据实际需求发起证书撤销请求,并通过证书申请端将该证书撤销请求发送至CA客户端,CA客户端在收到信息后,可对证书撤销请求进行初步审核等处理,而后将证书撤销请求发送至包含有多个CA认证端的CA系统,任一CA认证端对证书撤销请求对应的CA证书进行撤销处理,生成证书撤销状态数据和证书撤销操作记录,将证书撤销状态数据作为处理结果提供给证书申请端或者CA客户端。
需要特别说明的是,在本实施例中,证书处理请求还可以包括证书修改请求等其他证书处理请求,证书申请端可根据实际需求发起证书修改请求等其他证书处理请求。
S140:多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。
在本步骤中,CA证书的签发、撤销、修改等处理依据实际操作记录保存在区块链中,并通过共识机制(如瑞波协议的共识机制)共同维护达到最终的一致性,基于区块链具有不可篡改性和可追溯性的特性,每一次操作记录都会被永久记录,从而更方便证书申请端和CA客户端对CA证书状态的查询,提高了查询效率。
在一种可选的方式中,证书操作记录包括:证书分发操作记录和证书撤销操作记录;区块链包括:证书分发链和证书撤销链;步骤S140进一步包括:多个CA认证端通过共识机制标记证书分发操作记录,并将证书分发操作记录存储至证书分发链中,通过共识机制标记证书撤销操作记录,并将证书撤销操作记录存储至证书撤销链中。
图1b为本发明实施例提供的一种基于区块链的数字证书管理方法的数字证书鉴权流程示意图,如图1b所示,证书申请者通过证书申请端发起证书处理请求,CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统,CA认证端对CA证书的证书操作记录保存在区块链中,并通过共识机制共同维护达到最终的一致性,证书操作记录采用区块链的方式进行存储,具体地,多个CA认证端通过共识机制标记证书操作记录,例如,CA认证端可对自己针对CA证书的管理行为进行自我标记,还可依赖于多个CA认证端或者区块链系统的相互标记。其中,多个CA认证端通过瑞波协议的共识机制对CA证书的管理行为进行相互标记,该标记行为将会作为证书操作记录采用区块链的方式进行存储,具体地,通过建立默克尔树(Merkle Trees)双链存储架构,区块链包括证书分发链和证书撤销链,证书分发链和证书撤销链采用分布式架构进行部署,将证书分发操作记录和证书撤销操作记录分别进行存储,并通过区块链进行统一管理,从而更方便查询证书操作记录,提高查询效率。另外,对于CA证书的存储也可采用区块链的方式进行存储,采用分布式架构进行部署,将CA证书及证书操作记录进行分别存储,并通过区块链进行一致性管理。
在一种可选的方式中,该方法还包括:证书申请端利用CA证书对待上链数据进行加密处理,得到加密数据,并将加密数据发送至数据管理系统;数据管理系统对加密数据进行解密,得到待上链数据,通过共识机制将待上链数据存储至区块链中。
具体地说,证书申请端利用任一CA认证端返回的CA证书对待上链数据进行加密处理,得到加密数据,并将加密数据发送至数据管理系统;数据管理系统对加密数据进行解密,得到待上链数据,通过共识机制将待上链数据存储至区块链中进行统一管理,待上链数据存储至区块链后即成为链上交易数据,只有交易双方可以看到链上交易数据的详细信息,链上交易数据可以用于进行业务的审计,基于区块链的特性,链上交易数据不可篡改且可追踪,从而提高了审计效率,同时为了满足监管的需要,可以在区块链上设置观察员角色,观察员可用于监管交易的合法性。
综合步骤S110-步骤S140的描述,下面对本发明的一种基于区块链的数字证书管理方法的具体架构加以描述:
图1c为本发明实施例提供的一种基于区块链的数字证书管理方法的数字证书标记架构示意图,如图1c所示,存储层用于负责所有用于标记数据的操作记录的存储,是基于区块链技术的底层分布式账本,存储层由两条链组成,一条是存储证书分发操作记录以及节点对证书分发内容的标记反馈信息的证书分发链,一条是存储证书撤销操作记录的证书撤销链,二者共同构成双链结构的证书存储层;网络层用于各个节点的通信,在网络层中,CA认证端之间通过P2P(Point to Point,点对点)的去中心化网络彼此连接,由于P2P去中心化网络可能会有部分的网络延迟和连接异常问题,采用P2P去中心化网络能够有效地规避各个系统终端掉线引起的系统运行故障,从而保障整个系统的正常运行;共识层用于达成CA证书各项操作记录的共识,共识层的区块链通过拜占庭容错算法(即少数服从多数的投票机制)的共识机制来达成CA证书各项操作记录的共识,可以降低通信时间和操作复杂度,其中,现有技术中的一次完整的一致性协议需要两次0(N2)的通信过程,非常消耗通信资源,本申请通过对一致性协议进行优化,将没有拜占庭错误的情况下的通信时间复杂度降为0(n);应用层用于负责CA证书的签发、更新、验证、撤销,与传统的CA证书保持模式不同,基于区块链的CA证书保存模式是通过对各个区块的操作记录是否存在以及操作记录是否正确进行验证而保障CA证书的完整性与正确性。
图1d为本发明实施例提供的一种基于区块链的数字证书管理方法具体应用示意图,如图1d所示,其中,接口层用于与客户关系管理系统(Customer RelationshipManagement,CRM)、BOSS系统、资管系统以及企业资源计划(Enterprise ResourcePlanning,ERP)系统进行通讯从而获取待上链数据;数据处理层用于对待上链数据的各项数据信息进行数据抽取、数据转换以及数据加载等数据处理;区块链技术组件包括用于用户信息管理和服务的成员管理模块,用于实现区块链各项功能的区块链模块,用于用户进行交易的交易模块以及用于存储和更新智能合约、链上规则以及安全容器的链码模块;数据集市层包含了链上数据的各项数据信息;以财务数据作为待上链数据为例;例如,本单位产生财务数据,本地留存完整财务数据,并结合产生时间生成完整哈希值的财务数据,并选取关键财务数据,结合完整哈希值的财务数据和时间戳,组成一条独立数据,并进行区块链广播,每隔预设时间间隔(如10分钟)生成一个区块财务数据,并将10分钟之内的交易数据计算哈希值,根据前一个区块财务数据的高度和哈希值生成本区块财务数据的哈希值和高度,同时计算本区块的默克尔树根,保证本区块内财务数据明细不被更改,计算完成后将本区块财务数据广播至区块链的各个操作节点,其他操作节点对该区块财务数据进行处理并将处理结果写入证书操作记录。
采用本实施例提供的方法,通过证书申请端将证书处理请求发送至CA客户端;CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。该方法基于区块链的不可篡改性和可追溯性的特征,通过共识机制标记证书操作记录,对CA证书的操作记录通过区块链进行存储,在区块链中构建了一套高可信度的证书处理环境,替代了现有技术中证书的密钥和私钥都存储于CA中心服务器这种中心化存储方案;同时,通过多个CA认证端对证书操作记录进行标记,使得证书的处理过程变得公开且可标记,并且每一次证书操作记录都会被永久存储,从而加强了对CA证书被攻击及欺诈的的监控,避免了虚假认证的发生。
图2示出了本一种基于区块链的数字证书管理系统实施例的结构示意图。如图2所示,该系统包括:证书申请端210、CA客户端220、包含有多个CA认证端240的CA系统230。
证书申请端210用于:将证书处理请求发送至CA客户端220。
CA客户端220用于:将证书处理请求发送至CA系统。
CA系统230中的任一CA认证端240用于:根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端210或者CA客户端220。
多个CA认证端240用于:通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。
在一种可选的方式中,证书处理请求包括证书申请请求;CA系统中的任一CA认证端240进一步用于:根据证书申请请求为证书申请端210分配公钥,为证书申请请求中的申请信息签发对应的CA证书,生成证书分发操作记录,将公钥和CA证书作为处理结果提供给证书申请端210或者CA客户端220。
在一种可选的方式中,证书处理请求包括证书撤销请求;CA系统中的任一CA认证端240进一步用于:对证书撤销请求对应的CA证书进行撤销处理,生成证书撤销状态数据和证书撤销操作记录,将证书撤销状态数据作为处理结果提供给证书申请端210或者CA客户端220。
在一种可选的方式中,证书操作记录包括:证书分发操作记录和证书撤销操作记录;区块链包括:证书分发链和证书撤销链;
多个CA认证端240进一步用于:通过共识机制标记证书分发操作记录,并将证书分发操作记录存储至证书分发链中,通过共识机制标记证书撤销操作记录,并将证书撤销操作记录存储至证书撤销链中。
在一种可选的方式中,证书申请端210进一步用于:利用CA证书对待上链数据进行加密处理,得到加密数据,并将加密数据发送至数据管理系统;数据管理系统对加密数据进行解密,得到待上链数据,通过共识机制将待上链数据存储至区块链中。
采用本实施例提供的系统,通过证书申请端将证书处理请求发送至CA客户端;CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。该系统基于区块链的不可篡改性和可追溯性的特征,通过共识机制标记证书操作记录,对CA证书的操作记录通过区块链进行存储,在区块链中构建了一套高可信度的证书处理环境,替代了现有技术中证书的密钥和私钥都存储于CA中心服务器这种中心化存储方案;同时,通过多个CA认证端对证书操作记录进行标记,使得证书的处理过程变得公开且可标记,并且每一次证书操作记录都会被永久存储,从而加强了对CA证书被攻击及欺诈的的监控,避免了虚假认证的发生。
本发明实施例提供了一种非易失性计算机存储介质,计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的一种基于区块链的数字证书管理方法。
可执行指令具体可以用于使得处理器执行以下操作:
证书申请端将证书处理请求发送至CA客户端;
CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;
CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;
多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。
图3示出了本发明计算设备实施例的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图3所示,该计算设备可以包括:
处理器(processor)、通信接口(Communications Interface)、存储器(memory)、以及通信总线。
其中:处理器、通信接口、以及存储器通过通信总线完成相互间的通信。通信接口,用于与其它设备比如客户端或其它服务器等的网元通信。处理器,用于执行程序,具体可以执行上述一种基于区块链的数字证书管理方法实施例中的相关步骤。
具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。
处理器可能是中央处理器CPU,或者是特定集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。服务器包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器,用于存放程序。存储器可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序具体可以用于使得处理器执行以下操作:
证书申请端将证书处理请求发送至CA客户端;
CA客户端将证书处理请求发送至包含有多个CA认证端的CA系统;
CA系统中的任一CA认证端根据证书处理请求进行相应处理,得到处理结果和证书操作记录,将处理结果提供给证书申请端或者CA客户端;
多个CA认证端通过共识机制标记证书操作记录,并将证书操作记录存储至区块链中。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种基于区块链的数字证书管理方法,其特征在于,包括:
证书申请端将证书处理请求发送至CA客户端;
所述CA客户端将所述证书处理请求发送至包含有多个CA认证端的CA系统;
所述CA系统中的任一CA认证端根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端;
多个CA认证端通过共识机制标记所述证书操作记录,并将所述证书操作记录存储至区块链中。
2.根据权利要求1所述的方法,其特征在于,所述证书处理请求包括证书申请请求;所述CA系统中的任一CA认证端根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端进一步包括:
任一CA认证端根据所述证书申请请求为所述证书申请端分配公钥,为所述证书申请请求中的申请信息签发对应的CA证书,生成证书分发操作记录,将所述公钥和CA证书作为处理结果提供给所述证书申请端或者CA客户端。
3.根据权利要求1所述的方法,其特征在于,所述证书处理请求包括证书撤销请求;所述CA系统中的任一CA认证端根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端进一步包括:
任一CA认证端对所述证书撤销请求对应的CA证书进行撤销处理,生成证书撤销状态数据和证书撤销操作记录,将所述证书撤销状态数据作为处理结果提供给所述证书申请端或者CA客户端。
4.根据权利要求1所述的方法,其特征在于,所述证书操作记录包括:证书分发操作记录和证书撤销操作记录;所述区块链包括:证书分发链和证书撤销链;
所述多个CA认证端通过共识机制标记所述证书操作记录,并将所述证书操作记录存储至区块链中进一步包括:
多个CA认证端通过共识机制标记所述证书分发操作记录,并将所述证书分发操作记录存储至所述证书分发链中,通过共识机制标记所述证书撤销操作记录,并将所述证书撤销操作记录存储至所述证书撤销链中。
5.根据权利要求1-4任一项中所述的方法,其特征在于,所述方法还包括:
所述证书申请端利用CA证书对待上链数据进行加密处理,得到加密数据,并将所述加密数据发送至数据管理系统;
所述数据管理系统对所述加密数据进行解密,得到待上链数据,通过共识机制将所述待上链数据存储至区块链中。
6.一种基于区块链的数字证书管理系统,其特征在于,包括:证书申请端、CA客户端、包含有多个CA认证端的CA系统;
所述证书申请端用于:将证书处理请求发送至所述CA客户端;
所述CA客户端用于:将所述证书处理请求发送至所述CA系统;
所述CA系统中的任一CA认证端用于:根据所述证书处理请求进行相应处理,得到处理结果和证书操作记录,将所述处理结果提供给所述证书申请端或者所述CA客户端;
多个CA认证端用于:通过共识机制标记所述证书操作记录,并将所述证书操作记录存储至区块链中。
7.根据权利要求6所述的系统,其特征在于,所述证书处理请求包括证书申请请求;所述CA系统中的任一CA认证端进一步用于:
根据所述证书申请请求为所述证书申请端分配公钥,为所述证书申请请求中的申请信息签发对应的CA证书,生成证书分发操作记录,将所述公钥和CA证书作为处理结果提供给所述证书申请端或者CA客户端。
8.根据权利要求6所述的系统,其特征在于,所述证书处理请求包括证书撤销请求;所述CA系统中的任一CA认证端进一步用于:
对所述证书撤销请求对应的CA证书进行撤销处理,生成证书撤销状态数据和证书撤销操作记录,将所述证书撤销状态数据作为处理结果提供给所述证书申请端或者CA客户端。
9.一种计算设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的基于区块链的数字证书管理方法对应的操作。
10.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-5中任一项所述的基于区块链的数字证书管理方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010920560.4A CN114157428A (zh) | 2020-09-04 | 2020-09-04 | 一种基于区块链的数字证书管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010920560.4A CN114157428A (zh) | 2020-09-04 | 2020-09-04 | 一种基于区块链的数字证书管理方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114157428A true CN114157428A (zh) | 2022-03-08 |
Family
ID=80460260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010920560.4A Pending CN114157428A (zh) | 2020-09-04 | 2020-09-04 | 一种基于区块链的数字证书管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157428A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900311A (zh) * | 2022-04-06 | 2022-08-12 | 平安国际智慧城市科技股份有限公司 | 一种监测数据管理方法、装置、设备和存储介质 |
| CN115189883A (zh) * | 2022-05-30 | 2022-10-14 | 西安电子科技大学 | 分布式证书管理系统及其构建方法、证书管理方法 |
| CN115189883B (zh) * | 2022-05-30 | 2024-10-22 | 西安电子科技大学 | 分布式证书管理系统及其构建方法、证书管理方法 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107273760A (zh) * | 2017-06-09 | 2017-10-20 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链多ca应用认证方法 |
| CN108292401A (zh) * | 2015-07-08 | 2018-07-17 | 巴克莱银行公开有限公司 | 安全的数字数据操作 |
| CN108696348A (zh) * | 2017-04-06 | 2018-10-23 | 中国移动通信有限公司研究院 | 一种实现ca互信的方法、装置、系统和电子设备 |
| CN108933667A (zh) * | 2018-05-03 | 2018-12-04 | 深圳市京兰健康医疗大数据有限公司 | 一种基于区块链的公钥证书的管理方法及管理系统 |
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| US20190036710A1 (en) * | 2017-07-26 | 2019-01-31 | Alibaba Group Holding Limited | Digital certificate management method and apparatus, and electronic device |
| CN110024352A (zh) * | 2016-12-30 | 2019-07-16 | 英特尔公司 | 用于iot装置的分散式数据存储和处理 |
| CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
| US20190317924A1 (en) * | 2018-04-12 | 2019-10-17 | ISARA Corporation | Constructing a Multiple Entity Root of Trust |
| CN110598482A (zh) * | 2019-09-30 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书管理方法、装置、设备及存储介质 |
| CN110689433A (zh) * | 2019-09-26 | 2020-01-14 | 上海克而瑞信息技术有限公司 | 一种基于联盟链的资管信息服务系统、方法和装置 |
| US20200021446A1 (en) * | 2017-03-06 | 2020-01-16 | Nokia Technologies Oy | Secure de-centralized domain name system |
| US20200067708A1 (en) * | 2018-08-22 | 2020-02-27 | Sasken Technologies Ltd | Method for ensuring security of an internet of things network |
| CN111031010A (zh) * | 2019-11-25 | 2020-04-17 | 鹏城实验室 | 一种基于区块链的资源公钥基础设施的证书交易告警方法 |
| CN111555885A (zh) * | 2020-03-18 | 2020-08-18 | 西安电子科技大学 | 一种可信身份认证方法、系统、存储介质、云计算终端 |
| CN111556035A (zh) * | 2020-04-20 | 2020-08-18 | 中国工商银行股份有限公司 | 多认证节点的联盟链系统及方法 |
-
2020
- 2020-09-04 CN CN202010920560.4A patent/CN114157428A/zh active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108292401A (zh) * | 2015-07-08 | 2018-07-17 | 巴克莱银行公开有限公司 | 安全的数字数据操作 |
| CN110024352A (zh) * | 2016-12-30 | 2019-07-16 | 英特尔公司 | 用于iot装置的分散式数据存储和处理 |
| US20200021446A1 (en) * | 2017-03-06 | 2020-01-16 | Nokia Technologies Oy | Secure de-centralized domain name system |
| CN108696348A (zh) * | 2017-04-06 | 2018-10-23 | 中国移动通信有限公司研究院 | 一种实现ca互信的方法、装置、系统和电子设备 |
| CN107273760A (zh) * | 2017-06-09 | 2017-10-20 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链多ca应用认证方法 |
| US20190036710A1 (en) * | 2017-07-26 | 2019-01-31 | Alibaba Group Holding Limited | Digital certificate management method and apparatus, and electronic device |
| US20190317924A1 (en) * | 2018-04-12 | 2019-10-17 | ISARA Corporation | Constructing a Multiple Entity Root of Trust |
| CN108933667A (zh) * | 2018-05-03 | 2018-12-04 | 深圳市京兰健康医疗大数据有限公司 | 一种基于区块链的公钥证书的管理方法及管理系统 |
| CN109067543A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 数字证书管理方法、装置、计算机设备和存储介质 |
| US20200067708A1 (en) * | 2018-08-22 | 2020-02-27 | Sasken Technologies Ltd | Method for ensuring security of an internet of things network |
| CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
| CN110689433A (zh) * | 2019-09-26 | 2020-01-14 | 上海克而瑞信息技术有限公司 | 一种基于联盟链的资管信息服务系统、方法和装置 |
| CN110598482A (zh) * | 2019-09-30 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书管理方法、装置、设备及存储介质 |
| CN111031010A (zh) * | 2019-11-25 | 2020-04-17 | 鹏城实验室 | 一种基于区块链的资源公钥基础设施的证书交易告警方法 |
| CN111555885A (zh) * | 2020-03-18 | 2020-08-18 | 西安电子科技大学 | 一种可信身份认证方法、系统、存储介质、云计算终端 |
| CN111556035A (zh) * | 2020-04-20 | 2020-08-18 | 中国工商银行股份有限公司 | 多认证节点的联盟链系统及方法 |
Non-Patent Citations (4)
| Title |
|---|
| 宗义民;杨朋义;刘阳;: "PKI证书链的分布式存储与应用", 计算机安全, no. 02 * |
| 梁昊;刘思辰;张一诺;吕科;: "面向农产品交易流程的多链式区块链应用技术研究", 智慧农业, no. 04, pages 3 - 4 * |
| 王强;刘长春;周保茹;: "基于区块链的制造服务可信交易方法", 计算机集成制造系统, no. 12 * |
| 阎军智;彭晋;左敏;王珂;: "基于区块链的PKI数字证书系统", 电信工程技术与标准化, no. 11 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900311A (zh) * | 2022-04-06 | 2022-08-12 | 平安国际智慧城市科技股份有限公司 | 一种监测数据管理方法、装置、设备和存储介质 |
| CN114900311B (zh) * | 2022-04-06 | 2024-06-04 | 平安国际智慧城市科技股份有限公司 | 一种监测数据管理方法、装置、设备和存储介质 |
| CN115189883A (zh) * | 2022-05-30 | 2022-10-14 | 西安电子科技大学 | 分布式证书管理系统及其构建方法、证书管理方法 |
| CN115189883B (zh) * | 2022-05-30 | 2024-10-22 | 西安电子科技大学 | 分布式证书管理系统及其构建方法、证书管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11842317B2 (en) | Blockchain-based authentication and authorization | |
| US11025435B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US11038670B2 (en) | System and method for blockchain-based cross-entity authentication | |
| EP3788523B1 (en) | System and method for blockchain-based cross-entity authentication | |
| CN108964924B (zh) | 数字证书校验方法、装置、计算机设备和存储介质 | |
| WO2021000419A1 (en) | System and method for blockchain-based cross-entity authentication | |
| CN110046996B (zh) | 数据处理方法和装置 | |
| CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| AU2017225928A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| CN112733178B (zh) | 基于数字证书认证的跨链信任方法、装置、设备以及介质 | |
| US20110167258A1 (en) | Efficient Secure Cloud-Based Processing of Certificate Status Information | |
| CN111460457A (zh) | 不动产权登记监管方法、装置、电子设备及存储介质 | |
| CN110601855B (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
| CN111488372A (zh) | 一种数据处理方法、设备及存储介质 | |
| CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
| CN111222963A (zh) | 基于区块链的招标信息处理方法及装置 | |
| CN115708119A (zh) | 跨链交易系统、方法、设备及存储介质 | |
| CN114157428A (zh) | 一种基于区块链的数字证书管理方法和系统 | |
| CN116866340A (zh) | 基于区块链的产能共享协作方法、装置、设备及存储介质 | |
| CN113869901B (zh) | 密钥生成方法、装置、计算机可读存储介质及计算机设备 | |
| CN118608155A (zh) | 一种区块链交易交付和验证方法及装置 | |
| CN112163917A (zh) | 基于区块链的票据处理方法、装置、介质及电子设备 | |
| US20240340188A1 (en) | Independent identity provenance and lineage for certificates | |
| Stengele | Decentralizing Software Identity Management | |
| CN116248283A (zh) | 区块链平台的多重签名方法、多重签名验证方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |