WO2018184485A1 - 数字证书的管理方法、装置、非易失性可读存储介质及服务终端 - Google Patents
数字证书的管理方法、装置、非易失性可读存储介质及服务终端 Download PDFInfo
- Publication number
- WO2018184485A1 WO2018184485A1 PCT/CN2018/080491 CN2018080491W WO2018184485A1 WO 2018184485 A1 WO2018184485 A1 WO 2018184485A1 CN 2018080491 W CN2018080491 W CN 2018080491W WO 2018184485 A1 WO2018184485 A1 WO 2018184485A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- digital certificate
- information
- request
- blockchain
- verification
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Definitions
- FIG. 1 is a system architecture diagram of a method for managing a digital certificate using some embodiments of the present disclosure
- FIG. 2 is a schematic flowchart of a method for managing a digital certificate according to some embodiments of the present disclosure
- the management method does not depend on the third-party CA organization, and has no central node. All the nodes participating in the verification jointly ensure the correctness of the digital certificate. Even if a verification node fails or is attacked, the correctness of the digital certificate will not be damaged. It will affect the normal operation of the system, so it can solve the related technology to realize the digital certificate system through the CA center. There is a problem that the security of the digital certificate cannot be guaranteed, and it is easy to be attacked and affect the operation of the entire system.
- Some embodiments of the present disclosure provide a method of managing a digital certificate, applied to a first node of the blockchain network shown in FIG. 1 (wherein the first node is any node). As shown in FIG. 3, the management method includes steps S310-S340.
- a digital certificate can be generated by any node in the blockchain network, not generated by the CA center.
- FIG. 5 illustrates another example of verifying a digital certificate status issue request by some embodiments of the present disclosure.
- step S320 specifically includes S3221-S3226.
- step S330 is further performed, the blockchain information corresponding to the digital certificate status is established, and the name summary of the applied digital certificate is recorded by the blockchain information. And the public key digest, as well as the status information of the digital certificate, specifically, the status information is marked as "normal" for the digital certificate of the application for verification.
- Summary 1 Hash (Certificate Name, such as Certificate Subject Field);
- the method further includes S340.
- step S340 after the other verification nodes on the blockchain network receive the block issued by the first node, verify the correctness of each record in the block and the block, and if correct, add the block to the local The saved blockchain information, otherwise the block is discarded.
- the verification node can implement the issuance process of the certificate request request.
- Some embodiments of the present disclosure also provide a method of managing a digital certificate, applied to a first node of the blockchain network shown in FIG. Specifically, as shown in FIG. 7, the management method includes steps S710-S750.
- the verification node can implement a processing flow of the digital certificate revocation request, the digital certificate suspension request, or the digital certificate recovery request.
- Some embodiments of the present disclosure also provide a method for managing a digital certificate.
- the first node When applied to the first node of the blockchain network shown in FIG. 1, the first node is further used as a certificate relying party in the process of using the digital certificate. It is used to receive the digital certificate to be verified submitted by the certificate entity user, and verify the legality and validity of the digital certificate.
- the management method includes steps S810-S820.
- the management method of some embodiments of the present disclosure since the identifier of the blockchain network to which the digital certificate belongs is added when generating the digital certificate, when the digital certificate to be verified is received When the identifier of the blockchain network is included, it may be determined that the digital certificate to be verified is verified based on the blockchain network; when the identifier of the blockchain network is not included in the received digital certificate to be verified, the verification is performed in a conventional manner.
- the verification process of the conventional mode which is not an improvement focus of the present disclosure and will not be described in detail herein.
- step S810 after the digital certificate verification request is obtained, the digital certificate to be verified in the digital certificate verification request needs to be parsed, and it is determined whether there is an identifier of the blockchain network to which the digital certificate belongs. When the identifier exists, step S820 is performed.
- the first node may serve as a certificate entity user, and may send a digital certificate application request to the verification node, in addition to being a verification node and a certificate relying party.
- the management method may further include: generating a digital certificate to be applied, wherein the digital certificate to be applied includes an extension item for recording an identifier of a blockchain network to which the digital certificate to be applied belongs; and the blockchain The network sends a digital certificate application request including the digital certificate to be applied for.
- a digital certificate to be applied is generated, including an extension for recording the identifier of the blockchain network to which the digital certificate to be applied belongs, to mark the digital certificate as being generated and used based on the blockchain.
- the first node may also receive the blockchain information sent by other verification nodes on the blockchain network for updating the blockchain information on the blockchain network, so the management method further includes: receiving the location The blockchain information sent by the fourth node on the blockchain network; and when the blockchain information sent by the fourth node is verified as correct information, the blockchain information sent by the fourth node is saved.
- each node on the blockchain network can separately execute the processes as the verification node, the certificate entity user, and the certificate relying party, and implement corresponding functions, based on the above
- the first node applies the description of the management method described in some embodiments of the present disclosure, and those skilled in the art should be able to understand the specific manner in which each node executes each of the processes separately.
- the first verification module 102 is configured to verify the digital certificate status issue request.
- the information issuance module 104 is configured to issue the blockchain information to other nodes except the first node on the blockchain network.
- the management apparatus without relying on a third-party CA organization, there is no central node, and all the nodes participating in the verification jointly ensure the correctness of the digital certificate, even if a verification node fails or is attacked, It will destroy the correctness of the digital certificate, so it can solve the related technology to realize the digital certificate system through the CA center. There is a problem that the security of the digital certificate cannot be guaranteed, and it is easy to be attacked and affect the operation of the entire system.
- the management apparatus 100 further includes a second request obtaining module 105, a second verification module 106, a result feedback module 107, a digital certificate generating module 108, an application request sending module 109, and a blockchain receiving module 110. And save module 111.
- the second request obtaining module 105 is configured to obtain a digital certificate verification request issued by a third node on the blockchain network, where the digital certificate verification request includes a digital certificate to be verified.
- the second verification module 106 is configured to verify the digital certificate to be verified in the digital certificate verification request, and obtain a verification result.
- the result feedback module 107 is configured to feed back the verification result to the third node.
- the second verification module 106 includes a second determining unit 1061, a fourth determining unit 1062, a first result determining unit 1063, a second result determining unit 1064, and a query request sending unit 1065.
- the query request sending unit 1065 is configured to send a certificate query request to the blockchain network when the blockchain information is not present, wherein the certificate query request includes summary information of the digital certificate to be verified, The other nodes on the blockchain network verify the digital certificate to be verified according to the summary information of the digital certificate to be verified, and obtain a verification result.
- the digital certificate generating module 108 is configured to generate a digital certificate to be applied, where the digital certificate to be applied includes an extension item for recording a blockchain network to which the digital certificate to be applied belongs logo.
- the application request sending module 109 is configured to send a digital certificate request request including the digital certificate to be applied to the blockchain network.
- the first node acts as a certificate entity user and sends a digital certificate request request to the verification node.
- the management device further includes a blockchain receiving module 110, and the blockchain receiving module 110 is configured to receive the blockchain information sent by the fourth node on the blockchain network.
- the saving module 111 is configured to save the blockchain information sent by the fourth node when verifying that the blockchain information sent by the fourth node is correct information.
- the management apparatus of the digital certificate can solve the related art to implement the digital certificate system through the CA center, and there is a problem that the security of the digital certificate cannot be guaranteed, and it is vulnerable to attacks and affects the operation of the entire system;
- Using the summary information of the digital certificate recorded in the created blockchain information is not a way of recording the complete digital certificate, effectively reducing the storage space of the blockchain, and avoiding the user's private information when recording the complete digital certificate. Easy to expose problems.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供一种数字证书的管理方法和装置、非易失性计算机可读存储介质及服务终端。该方法包括:获取第二节点在区块链网络上发布的数字证书状态发布请求,其中第一节点和第二节点为区块链网络上的任意两个节点;对数字证书状态发布请求进行验证;当验证通过时,建立与数字证书状态对应的区块链信息,其中区块链信息中记录数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息;向区块链网络上除第一节点外的其他节点发布区块链信息。
Description
相关申请的交叉引用
本申请主张在2017年4月6日在中国提交的中国专利申请号No.201710227192.3的优先权,其全部内容通过引用包含于此。
本公开涉及网络安全领域,尤其涉及数字证书的管理方法、数字证书的管理装置、非易失性计算机可读存储介质及服务终端。
PKI(Public Key Infrastructure,公钥基础设施)在信息安全领域扮演着非常重要的角色,广泛应用于数据加解密、数据完整性保护、数字签名、身份认证等多种场合。
数字证书是实现上述各种安全功能的重要载体。数字证书中包含证书持有者的信息、证书签发机构的信息、持有者的公钥、证书有效期、证书用途、证书签发机构对该数字证书的签名等信息。相关技术中数字证书通常由CA(认证机构)签发。CA是PKI的核心,是一个权威的、可信任的、公正的第三方机构,负责验证用户申请信息的可信性。然而,处于核心的CA极易遭受攻击,当一CA被控制时,则可以利用该CA机构随意签发证书,因此一旦某个CA被破坏,那么该CA签发的所有证书都不再安全,不能继续使用。
因此,相关技术中该种通过CA中心实现的数字证书系统,无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行。
发明内容
本公开提供数字证书的管理方法和装置、非易失性计算机可读存储介质及服务终端,以解决相关技术通过CA中心实现的数字证书系统,容易遭受攻击从而影响整个系统运行的问题。
在第一方面,本公开提供一种数字证书的管理方法,该数字证书的管理方法应用于第一节点并且包括:获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点;对所述数字证书状态发布请求进行验证;当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息;以及,向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
可选地,在所述数字证书的管理方法中,所述建立与所述数字证书状态发布请求对应的区块链信息的步骤中,所建立的所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息。
可选地,在所述数字证书的管理方法中,所述建立与所述数字证书状态对应的区块链信息的步骤包括:生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
可选地,在所述数字证书的管理方法中,所述获取第二节点在区块链网络上发布的数字证书状态发布请求的步骤中,所述数字证书状态发布请求为数字证书申请请求,所述数字证书申请请求包括所申请的数字证书,其中所述数字证书由所述第二节点生成。其中所述对所述数字证书状态发布请求进行验证的步骤包括:获取所申请数字证书的名称信息和公钥信息;判断所述区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;当存在时,则确定所述数字证书状态发布请求验证不通过;以及当不存在,且所述数字证书状态发布请求中不包括用户身份验证信息时,则确定所述数字证书状态发布请求验证通过。
可选地,在所述数字证书的管理方法中,所述数字证书状态发布请求还包括用户身份验证信息,其中当判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书的步骤之后,所述方法还包括:根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
可选地,在所述数字证书的管理方法中,所述获取第二节点在区块链网 络上发布的数字证书状态发布请求的步骤中,所述数字证书状态发布请求为数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,分别包括所请求数字证书的证书信息和用户身份验证信息。其中所述对所述数字证书状态发布请求进行验证的步骤包括:根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
可选地,在所述数字证书的管理方法中,所述向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息的步骤之后,所述方法还包括:获取区块链网络上的第三节点发布的数字证书验证请求,所述数字证书验证请求中包括待验证数字证书;对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果;以及向所述第三节点反馈所述验证结果。
可选地,在所述数字证书的管理方法中,所述对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果的步骤包括:判断所存储的区块链信息中是否存在所述待验证数字证书的区块链信息;当存在所述区块链信息时,确定相对应所述区块链信息中所记录的摘要信息和状态信息;当相对应所述区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果;当相对应所述区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果;以及当判断不存在所述区块链信息时,向所述区块链网络发送证书查询请求,其中所述证书查询请求中包括待验证数字证书的摘要信息,由所述区块链网络上的其他节点根据所述待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
可选地,所述数字证书的管理方法还包括:生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识;以及向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
可选地,所述数字证书的管理方法还包括:接收所述区块链网络上第四节点发送的区块链信息;以及当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
在第二方面,本公开还提供一种数字证书的管理装置,该装置应用于第 一节点并且包括:第一请求获取模块,用于获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点;第一验证模块,用于对所述数字证书状态发布请求进行验证;信息建立模块,用于当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息;以及信息发布模块,用于向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
可选地,在所述数字证书的管理装置中,所述信息建立模块所建立的所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息。
可选地,在所述数字证书的管理装置中,所述信息建立模块包括:区块生成单元,用于生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
可选地,在所述数字证书的管理装置中,所述第一请求获取模块所获取的数字证书状态发布请求为数字证书申请请求,所述数字证书申请请求包括所申请的数字证书,其中所述数字证书由所述第二节点生成。其中所述第一验证模块包括:第一获取单元,用于获取所申请数字证书的名称信息和公钥信息;第一判断单元,用于判断所述区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;第一确定单元,用于当所述第一判断单元判断所述区块链网络上存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,则确定所述数字证书状态发布请求验证不通过;以及第二确定单元,用于当所述第一判断单元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,且所述数字证书状态发布请求中不包括用户身份验证信息时,则确定所述数字证书状态发布请求验证通过。
可选地,在所述数字证书的管理装置中,所述数字证书状态发布请求还包括用户身份验证信息,其中所述第一验证模块还包括:第三确定单元,用于当所述第一判断单元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书,且根据所述用户身份验证信息对用户身 份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
可选地,在所述数字证书的管理装置中,所述第一请求获取模块所获取的数字证书状态发布请求为数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,分别包括所请求数字证书的证书信息和用户身份验证信息。其中所述第一验证模块包括:身份验证单元,用于根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
可选地,所述数字证书的管理装置还包括:第二请求获取模块,用于获取区块链网络上的第三节点发布的数字证书验证请求,所述数字证书验证请求中包括待验证数字证书;第二验证模块,用于对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果;以及结果反馈模块,用于向所述第三节点反馈所述验证结果。
可选地,在所述数字证书的管理装置中,所述第二验证模块包括:第二判断单元,用于判断所存储的区块链信息中是否存在所述待验证数字证书的区块链信息;第四确定单元,用于当所述第二判断单元判断所存储的区块链信息中存在所述待验证数字证书的区块链信息时,确定相对应所述区块链信息中所记录的摘要信息和状态信息;第一结果判定单元,用于当相对应所述区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果;第二结果判定单元,用于当相对应所述区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果;以及查询请求发送单元,用于当判断不存在所述区块链信息时,向所述区块链网络发送证书查询请求,其中所述证书查询请求中包括待验证数字证书的摘要信息,由所述区块链网络上的其他节点根据所述待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
可选地,所述数字证书的管理装置还包括:数字证书生成模块,用于生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识;以及申请请求发送模块,用于向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
可选地,所述数字证书的管理装置还包括:区块链接收模块,用于接收所述区块链网络上第四节点发送的区块链信息;以及保存模块,用于当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
在第三方面,本公开还提供一种非易失性计算机可读存储介质,包括与一服务终端结合使用的计算机程序,所述计算机程序可被处理器执行如上第一方面所述的数字证书的管理方法。
在第四方面,本公开还提供一种服务终端,包括处理器和存储器,所述处理器用于读取存储器中的程序,执行如上第一方面所述的数字证书的管理方法中的步骤。
本公开的一个或多个实施例至少具有以下有益效果:所述管理方法和装置中,由多个节点构成区块链网络,由所有参与验证的节点共同确保数字证书的正确性,即便某验证节点出现故障或者遭受攻击,也不会破坏数字证书的正确性,因此能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行的问题。另外,在所建立的区块链信息中记录数字证书的摘要信息,并非为记录完整的数字证书,这样可以有效减少区块链的存储空间,并避免记录完整的数字证书时,造成用户的隐私信息容易曝露的问题。
图1为采用本公开的一些实施例的数字证书的管理方法的系统架构图;
图2为本公开的一些实施例的数字证书的管理方法的流程示意图;
图3为本公开的一些实施例的数字证书的管理方法的流程示意图;
图4为图3中步骤S320的示例的流程示意图;
图5为图3中步骤S320的另一示例的流程示意图;
图6为本公开的一些实施例的数字证书的管理方法中所生成区块的结构示意图;
图7为本公开的一些实施例的数字证书的管理方法的流程示意图;
图8为本公开的一些实施例的数字证书的管理方法的流程示意图;
图9为本公开的一些实施例的数字证书的管理装置的结构示意图;以及
图10为本公开的一些实施例的服务终端的结构示意图。
下面将结合本公开的一些实施例中的附图,对本公开的一些实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开的一些实施例提供的数字证书的管理方法,无需第三方CA机构(认证机构),也即无中心CA节点,利用多个节点构成区块链网络即能够实现数字证书的管理,因此能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行的问题。
为清楚说明本公开的一些实施例所述的数字证书的管理方法的过程和原理,先对采用本公开的一些实施例所述管理方法的系统架构进行说明。参阅图1所示,多个节点构成区块链网络,其中在整个架构中,从实现所述管理方法的逻辑功能上划分,其中的部分节点形成为验证节点:用于验证数字证书的合法性,产生新区块;部分节点形成为证书实体用户,也即为数字证书的拥有者;部分节点形成为证书依赖方,也即为数字证书的使用者。
当然,在具体实施中,验证节点也可以形成为证书实体用户或者证书依赖方,证书实体用户也可以形成为验证节点或者证书依赖方,以及证书依赖方也可以形成为验证节点或者证书实体用户。
在上述架构基础上,本公开的一些实施例提供一种数字证书的管理方法,应用于图1所示区块链网络的第一节点(其中第一节点为任一节点)。如图2所示,所述数字证书的管理方法包括步骤S210-S240。
S210,获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点。
S220,对所述数字证书状态发布请求进行验证。
S230,当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
S240,向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
本公开的一些实施例提供的数字证书的管理方法,由多个节点构成区块链网络,执行本公开的一些实施例所述的数字证书的管理方法的节点可以为区块链网络的任一节点,每一节点均可以形成为验证节点、证书实体用户和证书依赖方,因此当其中一节点在区块链网络上申请数字证书或申请数字证书状态变更时,其他任一节点可以作为验证节点,对数字证书的合法性进行验证,将合法的数字证书加入区块链网络中。
因此该管理方法不依赖第三方CA机构,无中心节点,由所有参与验证的节点共同确保数字证书的正确性,即便某验证节点出现故障或者遭受攻击,也不会破坏数字证书的正确性,不会影响系统的正常运行,因此能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行的问题。
本公开的一些实施例的另一方面,当第一节点作为验证节点,对数字证书状态发布请求验证通过时,在所建立的区块链信息中记录数字证书的摘要信息,并非为记录完整的数字证书,这样可以有效减少区块链的存储空间,并避免记录完整的数字证书时,造成用户的隐私信息容易曝露的问题。
可选地,在步骤S230中,所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息,通过记录数字证书的名称信息和公钥信息,使所记录的不同数字证书的名称和公钥分别不同,以进行区分。
另外,在步骤S230中,建立与所述数字证书状态对应的区块链信息的步骤包括:生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
本公开的一些实施例中,所述数字证书状态发布请求为数字证书申请请求、数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,以下将对上述每一请求中的具体过程详细说明。
本公开的一些实施例提供一种数字证书的管理方法,应用于图1所示区块链网络的第一节点(其中第一节点为任一节点)。如图3所示,所述管理方法包括步骤S310-S340。
S310,获取第二节点在区块链网络上发布的数字证书申请请求。
具体地,数字证书申请请求中包括所申请的数字证书,由第二节点生成,参阅图1,该第二节点用户构成为证书实体用户。其中第二节点生成数字证书时可以采用相关通用国际标准格式,如为标准的X.509数字证书,且在所生成数字证书中加入数字证书所属区块链网络的标识,用于标记该证书基于区块链产生和使用,另外第二节点还存储与所述数字证书相对应的私钥。
进一步地,若第二节点申请的为个人匿名证书,则数字证书申请请求中无需提交用户身份验证信息;若第二节点申请的为个人实名证书、服务器证书或者其他有归属身份证书时,则需要在数字证书申请请求中同时提供用户身份验证信息。具体地,当第二节点申请的为个人实名证书时,所需要提交的用户身份验证信息包括身份证、社保卡和/或银行帐号等;当第二节点申请的为服务器证书时,则需要提交用于证实服务器归属的信息,如域名归属和/或IP归属等信息。
因此,基于上述,采用本公开的一些实施例所述管理方法,可以由区块链网络中的任一节点生成数字证书,并非由CA中心产生。
S320,对数字证书状态发布请求进行验证。
当数字证书状态发布请求中包括数字证书,不包括用户身份验证信息时,图4示出了本公开的一些实施例中对数字证书状态发布请求进行验证的示例。具体地步骤S320包括S3211-S3214。
S3211,获取数字证书状态发布请求中所申请数字证书的名称信息和公钥信息.
S3212,判断区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;当存在时,执行步骤S3213,当不存在时,执行步骤S3214。
S3213,确定数字证书状态发布请求验证不通过。
S3214,确定数字证书状态发布请求验证通过。
通过上述的步骤S3212,当判断区块链网络上存在与所申请数字证书的名称信息或者公钥信息相同的数字证书时,则确定验证不通过,拒绝数字证书申请请求,以保证第二节点所申请数字证书的名称摘要不能与区块链网络中其他节点数字证书的名称摘要相同,同时公钥摘要也不能与区块链网络中其他节点数字证书的公钥摘要相同。
进一步,图5示出了本公开的一些实施例对数字证书状态发布请求进行验证的另一示例。参阅图5,当数字证书状态发布请求中既包括数字证书,也包括用户身份验证信息时,具体地步骤S320包括S3221-S3226。
S3221,获取数字证书状态发布请求中所申请数字证书的名称信息和公钥信息。
S3222,判断区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;当存在时,执行步骤S3223,当不存在时,执行步骤S3224。
S3223,确定数字证书状态发布请求验证不通过。
S3224,根据数字证书状态发布请求中的用户身份验证信息对用户身份进行验证,当验证不通过时,执行步骤S3225,当验证通过时,执行步骤S3226。S3225,确定数字证书状态发布请求验证不通过。
S3226,确定数字证书状态发布请求验证通过。
通过上述的步骤,不但实现对数字证书申请请求中数字证书的验证,还实现对第二节点用户身份的验证。
基于上述,在步骤S320之后,当获得验证通过的验证结果时,进一步执行步骤S330,建立与所述数字证书状态对应的区块链信息,通过该区块链信息记录所申请数字证书的名称摘要和公钥摘要,以及数字证书的状态信息,具体地,对于验证通过的申请数字证书,状态信息标记为“正常”。
另外,建立与数字证书状态对应的区块链信息具体为,使用区块链网络中的共识机制生成一区块,通过所生成的区块记录所申请数字证书的名称摘要和公钥摘要(双摘要),以及数字证书的状态信息。
如图6为本公开的一些实施例的数字证书的管理方法中所生成的区块格式的结构示意图。所生成的区块包括区块头和区块体,其中区块头用于记录 区块体的摘要信息以及上一区块头的散列值,区块体用于记录数字证书的名称摘要和公钥摘要,以及数字证书的状态信息。
另外,数字证书的名称摘要和公钥摘要可以采用Hash函数计算,举例如下:
名称摘要:摘要1=Hash(证书名称,例如证书Subject字段);
公钥摘要:摘要2=Hash(证书公钥)。
此外,生成区块的共识机制可以采用相关的PoW(Proof of Work,工作量证明)、PoS(Proof of Stake,权益证明)、RPCA(Ripple Consensus Algorithm,一致性算法)等。
本领域技术人员应该能够了解上述名称摘要和公钥摘要的计算获得方式,以及利用公识机制生成区块的方式,在此不详细说明。
参阅图3,在步骤S330之后,所述方法还包括S340。
S340,向区块链网络上发布所生成的区块链信息,也即发布所生成的区块。
在步骤S340之后,当区块链网络上的其他验证节点接收到第一节点发布的区块后,验证区块以及区块中每条记录的正确性,如果正确,则将区块加入到本地保存的区块链信息中,否则丢弃该区块。
基于上述的步骤S310至S340,验证节点能够实现对证书申请请求的签发流程。
本公开的一些实施例还提供一种数字证书的管理方法,应用于图1所示区块链网络的第一节点。具体地,如图7所示,所述管理方法包括步骤S710-S750。
S710,获取第二节点在区块链网络上发布的数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求。
具体地,所接收的数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求分别包括所请求数字证书的证书信息和用于证实所请求用户身份的用户身份验证信息。
S720,根据所接收的数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求中的用户身份验证信息,对用户身份进行验证;当验证不通过时, 执行步骤S730,当验证通过时,执行步骤S740。
S730,忽略所接收的数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求。
S740,建立区块链信息,其中区块链信息中记录所请求数字证书的摘要信息和状态信息。
具体地,建立区块链信息具体为,使用区块链网络中的共识机制生成一区块,通过所生成的区块记录所请求数字证书的名称摘要和公钥摘要(双摘要),以及数字证书的状态信息。其中,所生成区块的结构可以参阅图4所示,且对于数字证书吊销请求,状态信息标记为“吊销”;对于数字证书挂起请求,状态信息标记为“挂起”;对于数字证书恢复请求,状态信息标记为“正常”。
S750,向区块链网络上发生所生成的区块链信息,也即发布所生成的区块。
此外,在步骤S750之后,当区块链网络上的其他验证节点接收到第一节点发布的区块后,验证区块以及区块中每条记录的正确性,如果正确,则将区块加入到本地保存的区块链信息中,否则丢弃该区块。
基于上述的步骤S710至S750,验证节点能够实现对数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求的处理流程。
本公开的一些实施例还提供一种数字证书的管理方法,应用于图1所示区块链网络的第一节点时,该第一节点还用于在数字证书使用过程中,作为证书依赖方,用于接收证书实体用户所提交的待验证数字证书,验证数字证书的合法性和有效性。具体地,如图8所示,该所述管理方法包括步骤S810-S820。
S810,获取区块链网络上的第三节点(证书实体用户)发布的数字证书验证请求,其中数字证书验证请求中包括待验证数字证书。
具体地,采用本公开的一些实施例所述管理方法,根据图2所示的实施例,由于在生成数字证书时加入了数字证书所属区块链网络的标识,因此当所接收的待验证数字证书中包括区块链网络的标识时,可以确定需要基于区块链网络对待验证数字证书进行验证;当所接收的待验证数字证书中不包括区块链网络的标识时,则按照传统方式进行验证。本领域技术人员应该能够 了解传统方式的验证过程,该技术并非为本公开的改进重点,在此不详细描述。
因此,在步骤S810中,获取数字证书验证请求之后,需要解析数字证书验证请求中的待验证数字证书,判断是否存在数字证书所属区块链网络的标识,当存在该标识时,执行步骤S820。
S820,对数字证书验证请求中的待验证数字证书进行验证,获得验证结果。
具体地,对待验证数字证书进行验证的过程包括:判断所存储的区块链信息中是否存在待验证数字证书的区块链信息;当存在区块链信息时,确定相对应区块链信息中所记录的摘要信息和状态信息;当相对应区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果;当相对应区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果;当判断不存在区块链信息时,向区块链网络发送证书查询请求,其中证书查询请求中包括待验证数字证书的摘要信息,由区块链网络上的其他节点根据待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
本公开的一些实施例所述的数字证书的管理方法,通过上述的步骤,可以使第一节点作为证书依赖方,用于实现对证书实体用户所提交数字证书的验证,以上仅以数字证书的状态验证过程进行了说明,当然可以理解的是,数字证书的验证过程还需要根据证书的有效期对证书有效性进行验证,本领域技术人员基于上述的原理,应该能够了解对证书有效性的验证过程,在此不作详细说明。
本公开的一些实施例的管理方法,应用于第一节点时,第一节点除可以作为验证节点和证书依赖方之外,还可以作为证书实体用户,向验证节点发送数字证书申请请求,因此所述管理方法还可以包括:生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识;以及向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
利用上述的过程,生成待申请数字证书,其中包括用于记录所述待申请 数字证书所属区块链网络的标识的扩展项,以标记该数字证书为基于区块链产生和使用。
另一方面,第一节点也可以接收区块链网络上其他验证节点发送的区块链信息,以用于区块链网络上区块链信息的更新,因此所述管理方法还包括:接收所述区块链网络上第四节点发送的区块链信息;以及当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
采用上述步骤,实现整个区块链网络上每一节点位置的区块链信息的更新。
通过采用本公开的一些实施例的数字证书的管理方法的,区块链网络上的每一节点可以分别执行作为验证节点、证书实体用户和证书依赖方的流程,实现对应的功能,基于上述对第一节点应用本公开的一些实施例所述管理方法的描述,本领域技术人员应该能够了解每一节点分别执行其中任一流程时的具体方式。
通过采用本公开的一些实施例所述管理方法,用户在使用PKI技术时,无需向第三方CA申请证书,也无需部署CA设备,只需要加入区块链网络即能够实现证书服务;由所有参与验证的节点共同确保数字证书的正确性,即便某验证节点出现故障或者遭受攻击,也不会破坏数字证书的正确性,不会影响系统的正常运行,因此能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行的问题。
另外,由于区块链信息中仅需要记录摘要信息,因此所占用空间小,每一数字证书仅需要数百字节存储空间,而且能够保证用户隐私性,避免出现证书重名或者公钥相同的情况。
本公开的一些实施例还提供一种数字证书的管理装置,应用于第一节点。参阅图9所示,所述装置100包括第一请求获取模块101、第一验证模块102、信息建立模块103以及信息发布模块104。
第一请求获取模块101用于获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点。
第一验证模块102用于对所述数字证书状态发布请求进行验证。
信息建立模块103用于当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
信息发布模块104,用于向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
通过采用本公开的一些实施例所述管理装置,不依赖第三方CA机构,无中心节点,由所有参与验证的节点共同确保数字证书的正确性,即便某验证节点出现故障或者遭受攻击,也不会破坏数字证书的正确性,因此能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受攻击从而影响整个系统的运行的问题。
另外,对数字证书状态发布请求验证通过时,在所建立的区块链信息中记录数字证书的摘要信息,并非为记录完整的数字证书,这样可以有效减少区块链的存储空间,并避免记录完整的数字证书时,造成用户的隐私信息容易曝露的问题。
本公开的一些实施例中,具体地,所述信息建立模块所建立的所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息。
参阅图9所示,所述信息建立模块103包括区块生成单元1031,区块生成单元1031用于生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
另外,所述第一请求获取模块101所获取的数字证书状态发布请求为数字证书申请请求,所述数字证书申请请求包括所申请的数字证书,其中所述数字证书由所述第二节点生成。
其中所述第一验证模块102包括:第一获取单元1021,用于获取所申请数字证书的名称信息和公钥信息;第一判断单元1022,用于判断所述区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;第一确定单元1023,用于当所述第一判断单元判断所述区块链网络上存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,则确定所述数字证书状态发布请求验证不通过;第二确定单元1024,用于当所述第一判断单 元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,且所述数字证书状态发布请求中不包括用户身份验证信息时,则确定所述数字证书状态发布请求验证通过。
结合图9,所述数字证书状态发布请求还包括用户身份验证信息时,其中所述第一验证模块还包括:第三确定单元1025,用于当所述第一判断单元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书,且根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
第一节点作为验证节点接收数字证书申请请求时的具体过程可以结合图3至图6,并参阅以上的图2所示的实施例的描述,在此不再详细说明。
本公开的一些实施例另一方面,所述第一请求获取模块101所获取的数字证书状态发布请求为数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,分别包括所请求数字证书的证书信息和用户身份验证信息;
如图9所示,所述第一验证模块102包括身份验证单元1026,身份验证单元1026用于根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
通过身份验证单元1026,第一节点作为验证节点接收数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求时对用户身份进行验证,其中具体过程可以结合图7并参阅上面关于图7的描述,在此不再赘述。
进一步如图9所示,所述管理装置100还包括第二请求获取模块105、第二验证模块106、结果反馈模块107、数字证书生成模块108、申请请求发送模块109、区块链接收模块110和保存模块111。
第二请求获取模块105用于获取区块链网络上的第三节点发布的数字证书验证请求,所述数字证书验证请求中包括待验证数字证书。第二验证模块106用于对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果。结果反馈模块107用于向所述第三节点反馈所述验证结果。
可选地,所述第二验证模块106包括第二判断单元1061、第四确定单元1062、第一结果判定单元1063、第二结果判定单元1064以及查询请求发送单元1065。
第二判断单元1061用于判断所存储的区块链信息中是否存在所述待验证数字证书的区块链信息。第四确定单元1062用于当所述第二判断单元1061判断所存储的区块链信息中存在所述待验证数字证书的区块链信息时,确定相对应所述区块链信息中所记录的摘要信息和状态信息。第一结果判定单元1063用于当相对应所述区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果。第二结果判定单元1064,用于当相对应所述区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果。查询请求发送单元1065用于当判断不存在所述区块链信息时,向所述区块链网络发送证书查询请求,其中所述证书查询请求中包括待验证数字证书的摘要信息,由所述区块链网络上的其他节点根据所述待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
通过上述的结构,第一节点作为证书依赖方,用于接收证书实体用户所提交的待验证数字证书,验证数字证书的合法性和有效性,具体过程可以参阅图8所示的实施例的该部分的描述,在此不再赘述。
可选地,如图9所示,数字证书生成模块108用于生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识。申请请求发送模块109用于向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
通过上述的模块,第一节点作为证书实体用户,向验证节点发送数字证书申请请求。
可选地,所述管理装置还包括区块链接收模块110,区块链接收模块110用于接收所述区块链网络上第四节点发送的区块链信息。保存模块111,保存模块111用于当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
通过上述的模块,第一节点也可以接收区块链网络上其他验证节点发送的区块链信息,以用于区块链网络上区块链信息的更新。
本公开的一些实施例所述的数字证书的管理装置,能够解决相关技术通过CA中心实现数字证书系统,存在无法保证数字证书的安全性,容易遭受 攻击从而影响整个系统的运行的问题;并且通过采用在所建立的区块链信息中记录数字证书的摘要信息,并非为记录完整的数字证书的方式,有效减少区块链的存储空间,并避免记录完整的数字证书时,造成用户的隐私信息容易曝露的问题。
本公开的一些实施例另一方面提供一种非易失性计算机可读存储介质,包括与一服务终端结合使用的计算机程序,所述计算机程序可被处理器执行以实现如上所述数字证书的管理方法。
另外,本公开的一些实施例还提供一种服务终端。参见图10,该服务终端包括处理器1100和存储器1200,所述处理器1100用于读取存储器1200中的程序,执行如上所述数字证书的管理方法中的步骤。
基于本公开具体实施例所述管理方法的具体描述,本领域技术人员应该能够了解上述计算机可读存储介质和服务终端的具体实现方式,在此不再赘述。
以上所述的是本公开的可选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本公开所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本公开的保护范围内。
Claims (22)
- 一种数字证书的管理方法,所述方法应用于第一节点并且包括:获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点;对所述数字证书状态发布请求进行验证;当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息;以及向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
- 根据权利要求1所述的数字证书的管理方法,其中,所述建立与所述数字证书状态发布请求对应的区块链信息的步骤中,所建立的所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息。
- 根据权利要求1所述的数字证书的管理方法,其中,所述建立与所述数字证书状态对应的区块链信息的步骤包括:生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
- 根据权利要求1所述的数字证书的管理方法,其中,所述获取第二节点在区块链网络上发布的数字证书状态发布请求的步骤中,所述数字证书状态发布请求为数字证书申请请求,所述数字证书申请请求包括所申请的数字证书,其中所述数字证书由所述第二节点生成;其中所述对所述数字证书状态发布请求进行验证的步骤包括:获取所申请数字证书的名称信息和公钥信息;判断所述区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;当存在时,则确定所述数字证书状态发布请求验证不通过;以及当不存在,且所述数字证书状态发布请求中不包括用户身份验证信息时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求4所述的数字证书的管理方法,其中,所述数字证书状 态发布请求还包括用户身份验证信息,其中当判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书的步骤之后,所述方法还包括:根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求1所述的数字证书的管理方法,其中,所述获取第二节点在区块链网络上发布的数字证书状态发布请求的步骤中,所述数字证书状态发布请求为数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,分别包括所请求数字证书的证书信息和用户身份验证信息;其中所述对所述数字证书状态发布请求进行验证的步骤包括:根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求1所述的数字证书的管理方法,其中,所述向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息的步骤之后,所述方法还包括:获取区块链网络上的第三节点发布的数字证书验证请求,所述数字证书验证请求中包括待验证数字证书;对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果;以及向所述第三节点反馈所述验证结果。
- 根据权利要求7所述的数字证书的管理方法,其中,所述对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果的步骤包括:判断所存储的区块链信息中是否存在所述待验证数字证书的区块链信息;当存在所述区块链信息时,确定相对应所述区块链信息中所记录的摘要信息和状态信息;当相对应所述区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果;当相对应所述区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果;以及当判断不存在所述区块链信息时,向所述区块链网络发送证书查询请求,其中所述证书查询请求中包括待验证数字证书的摘要信息,由所述区块链网络上的其他节点根据所述待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
- 根据权利要求1所述的数字证书的管理方法,还包括:生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识;以及向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
- 根据权利要求1所述的数字证书的管理方法,还包括:接收所述区块链网络上第四节点发送的区块链信息;以及当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
- 一种数字证书的管理装置,所述装置应用于第一节点并且包括:第一请求获取模块,用于获取第二节点在区块链网络上发布的数字证书状态发布请求,其中所述第一节点和所述第二节点为所述区块链网络上的任意两个节点;第一验证模块,用于对所述数字证书状态发布请求进行验证;信息建立模块,用于当验证通过时,建立与所述数字证书状态对应的区块链信息,其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息;以及信息发布模块,用于向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。
- 根据权利要求11所述的数字证书的管理装置,其中,所述信息建立模块所建立的所述区块链信息中记录的摘要信息包括所发布数字证书的名称信息和公钥信息。
- 根据权利要求11所述的数字证书的管理装置,其中,所述信息建立模块包括:区块生成单元,用于生成一区块,在所述区块中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息。
- 根据权利要求11所述的数字证书的管理装置,其中,所述第一请求获取模块所获取的数字证书状态发布请求为数字证书申请请求,所述数字证书申请请求包括所申请的数字证书,其中所述数字证书由所述第二节点生成;其中所述第一验证模块包括:第一获取单元,用于获取所申请数字证书的名称信息和公钥信息;第一判断单元,用于判断所述区块链网络上是否存在与所申请数字证书的名称信息或公钥信息相同的数字证书;第一确定单元,用于当所述第一判断单元判断所述区块链网络上存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,则确定所述数字证书状态发布请求验证不通过;以及第二确定单元,用于当所述第一判断单元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书时,且所述数字证书状态发布请求中不包括用户身份验证信息时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求14所述的数字证书的管理装置,其中,所述数字证书状态发布请求还包括用户身份验证信息,其中所述第一验证模块还包括:第三确定单元,用于当所述第一判断单元判断所述区块链网络上不存在与所申请数字证书的名称信息或公钥信息相同的数字证书,且根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求11所述的数字证书的管理装置,其中,所述第一请求获取模块所获取的数字证书状态发布请求为数字证书吊销请求、数字证书挂起请求或者数字证书恢复请求,分别包括所请求数字证书的证书信息和用户身份验证信息;其中所述第一验证模块包括:身份验证单元,用于根据所述用户身份验证信息对用户身份进行验证,当验证通过时,则确定所述数字证书状态发布请求验证通过。
- 根据权利要求11所述数字证书的管理装置,还包括:第二请求获取模块,用于获取区块链网络上的第三节点发布的数字证书 验证请求,所述数字证书验证请求中包括待验证数字证书;第二验证模块,用于对所述数字证书验证请求中的待验证数字证书进行验证,获得验证结果;以及结果反馈模块,用于向所述第三节点反馈所述验证结果。
- 根据权利要求17所述数字证书的管理装置,其中,所述第二验证模块包括:第二判断单元,用于判断所存储的区块链信息中是否存在所述待验证数字证书的区块链信息;第四确定单元,用于当所述第二判断单元判断所存储的区块链信息中存在所述待验证数字证书的区块链信息时,确定相对应所述区块链信息中所记录的摘要信息和状态信息;第一结果判定单元,用于当相对应所述区块链信息中最后一次记录的状态信息为“正常”时,则获得待验证数字证书为合法证书的验证结果;第二结果判定单元,用于当相对应所述区块链信息中最后一次记录的状态信息为“吊销”或“挂起”时,则获得待验证数字证书并非为合法证书的验证结果;以及查询请求发送单元,用于当判断不存在所述区块链信息时,向所述区块链网络发送证书查询请求,其中所述证书查询请求中包括待验证数字证书的摘要信息,由所述区块链网络上的其他节点根据所述待验证数字证书的摘要信息对所述待验证数字证书进行验证,获得验证结果。
- 根据权利要求11所述数字证书的管理装置,还包括:数字证书生成模块,用于生成待申请数字证书,其中所述待申请数字证书中包括一扩展项,用于记录所述待申请数字证书所属区块链网络的标识;以及申请请求发送模块,用于向所述区块链网络发送包括所述待申请数字证书的数字证书申请请求。
- 根据权利要求11所述数字证书的管理装置,还包括:区块链接收模块,用于接收所述区块链网络上第四节点发送的区块链信息;以及保存模块,用于当验证第四节点发送的区块链信息为正确信息时,保存所述第四节点发送的区块链信息。
- 一种非易失性计算机可读存储介质,包括:与服务终端结合使用的计算机程序,其中所述计算机程序可被处理器执行如权利要求1至10任一项所述的数字证书的管理方法。
- 一种服务终端,包括:处理器,和存储器,其中所述处理器用于读取存储器中的程序,以执行如权利要求1至10任一项所述的数字证书的管理方法中的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710227192.3 | 2017-04-06 | ||
| CN201710227192.3A CN108696358B (zh) | 2017-04-06 | 2017-04-06 | 数字证书的管理方法、装置、可读存储介质及服务终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2018184485A1 true WO2018184485A1 (zh) | 2018-10-11 |
Family
ID=63712317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2018/080491 WO2018184485A1 (zh) | 2017-04-06 | 2018-03-26 | 数字证书的管理方法、装置、非易失性可读存储介质及服务终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108696358B (zh) |
| WO (1) | WO2018184485A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109857751A (zh) * | 2019-01-23 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于区块链的跨平台数据更新方法、装置和计算机设备 |
| CN110474887A (zh) * | 2019-07-25 | 2019-11-19 | 北京合力中税科技发展有限公司 | 一种数字证书调用方法及系统 |
| CN110598482A (zh) * | 2019-09-30 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书管理方法、装置、设备及存储介质 |
| CN110941840A (zh) * | 2019-11-19 | 2020-03-31 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、系统及终端 |
| WO2020130864A1 (en) | 2018-12-21 | 2020-06-25 | Sava Zivanovic | System for automatic management and depositing of documents (images) hash in block-chain technology |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547200A (zh) * | 2018-11-21 | 2019-03-29 | 上海点融信息科技有限责任公司 | 区块链网络中的证书分配方法及相应的计算设备和介质 |
| CN109787771B (zh) * | 2019-01-02 | 2021-09-03 | 浙江师范大学 | 一种基于区块链的身份授权方法及系统 |
| CN109918874B (zh) * | 2019-03-14 | 2022-09-02 | 度小满科技(北京)有限公司 | 一种实物信息存储方法及装置、实物信息查找方法及装置 |
| CN110602234B (zh) * | 2019-09-20 | 2021-10-26 | 腾讯科技(深圳)有限公司 | 区块链网络节点管理方法、装置、设备以及存储介质 |
| CN110611569B (zh) * | 2019-09-24 | 2022-06-14 | 腾讯科技(深圳)有限公司 | 一种认证方法及相关设备 |
| CN111030826A (zh) * | 2019-12-06 | 2020-04-17 | 杭州溪塔科技有限公司 | 一种区块链网络的证书吊销方法、装置、及电子设备 |
| CN113114463B (zh) * | 2020-01-13 | 2023-04-07 | 中国移动通信有限公司研究院 | 一种证书注册方法、验证方法及设备 |
| CN114268953B (zh) * | 2020-09-14 | 2023-08-15 | 中国移动通信集团重庆有限公司 | 一种基站认证方法、查询节点、系统及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
| CN106529946A (zh) * | 2016-11-01 | 2017-03-22 | 北京金股链科技有限公司 | 基于区块链实现用户身份数字化的方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105701372B (zh) * | 2015-12-18 | 2019-04-09 | 布比(北京)网络技术有限公司 | 一种区块链身份构建及验证方法 |
| CN106301792B (zh) * | 2016-08-31 | 2019-10-18 | 江苏通付盾科技有限公司 | 基于区块链的ca认证管理方法、装置及系统 |
| US10984081B2 (en) * | 2016-09-30 | 2021-04-20 | Cable Television Laboratories, Inc. | Systems and methods for secure person to device association |
| CN106453636A (zh) * | 2016-11-22 | 2017-02-22 | 深圳银链科技有限公司 | 可信区块生成方法及系统 |
-
2017
- 2017-04-06 CN CN201710227192.3A patent/CN108696358B/zh active Active
-
2018
- 2018-03-26 WO PCT/CN2018/080491 patent/WO2018184485A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106385315A (zh) * | 2016-08-30 | 2017-02-08 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
| CN106529946A (zh) * | 2016-11-01 | 2017-03-22 | 北京金股链科技有限公司 | 基于区块链实现用户身份数字化的方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020130864A1 (en) | 2018-12-21 | 2020-06-25 | Sava Zivanovic | System for automatic management and depositing of documents (images) hash in block-chain technology |
| US11893055B2 (en) | 2018-12-21 | 2024-02-06 | Sava ZIVANOVIC | System for automatic management and depositing of documents (images) hash in block-chain technology |
| CN109857751A (zh) * | 2019-01-23 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于区块链的跨平台数据更新方法、装置和计算机设备 |
| CN110474887A (zh) * | 2019-07-25 | 2019-11-19 | 北京合力中税科技发展有限公司 | 一种数字证书调用方法及系统 |
| CN110598482A (zh) * | 2019-09-30 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书管理方法、装置、设备及存储介质 |
| CN110598482B (zh) * | 2019-09-30 | 2023-09-15 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书管理方法、装置、设备及存储介质 |
| CN110941840A (zh) * | 2019-11-19 | 2020-03-31 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、系统及终端 |
| CN110941840B (zh) * | 2019-11-19 | 2023-07-25 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、系统及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108696358B (zh) | 2021-05-04 |
| CN108696358A (zh) | 2018-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018184485A1 (zh) | 数字证书的管理方法、装置、非易失性可读存储介质及服务终端 | |
| AU2022204148B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
| US11032086B2 (en) | Certificate authority master key tracking on distributed ledger | |
| TWI725793B (zh) | 用於將分散識別符映射到真實世界實體的系統及方法 | |
| US10728042B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US11159307B2 (en) | Ad-hoc trusted groups on a blockchain | |
| US20200328878A1 (en) | System and method for blockchain-based cross-entity authentication | |
| CN109067801B (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| US20190378142A1 (en) | Biometric token for blockchain | |
| CN109327481B (zh) | 一种基于区块链的全网统一在线认证方法及系统 | |
| AU2017225928A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US11791990B2 (en) | Apparatus and method for managing personal information | |
| US20220067189A1 (en) | Data Sharing Via Distributed Ledgers | |
| JP2023527815A (ja) | 非中央集権化されたコンピュータ・ネットワークを介したセキュアなデータ転送のための方法、装置、及びコンピュータ可読媒体 | |
| WO2020211481A1 (zh) | 用于生成区块链授权信息的方法、装置及系统 | |
| WO2009138028A1 (zh) | 用户生成内容的注册方法、装置和系统 | |
| JP2022552420A (ja) | 証明書認証用の分散台帳に基づく方法およびシステム | |
| EP4252384B1 (en) | Methods, devices and system related to a distributed ledger and user identity attribute | |
| WO2010045885A1 (zh) | 一种内容管理方法和装置 | |
| JP2023082548A (ja) | ウェブ会議システム、クライアント装置、クライアントプログラム、サーバ装置、サーバプログラム、認証局装置および認証局プログラム | |
| JP5202646B2 (ja) | 自己認証通信機器および機器認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18780865 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 29/01/2020) |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 18780865 Country of ref document: EP Kind code of ref document: A1 |