WO2021218334A1

WO2021218334A1 - 过期数字证书管控方法、系统、装置及存储介质

Info

Publication number: WO2021218334A1
Application number: PCT/CN2021/078111
Authority: WO
Inventors: 薛明策
Original assignee: 深圳壹账通智能科技有限公司
Priority date: 2020-04-27
Filing date: 2021-02-26
Publication date: 2021-11-04
Also published as: CN111612456A

Abstract

提出一种过期数字证书管控方法、系统、装置及计算机可读存储介质，涉及区块链技术领域，该方法包括：公钥结合数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，CA添加预设的证书过期区块高度HC生成数字证书；数据节点判断交易对方的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；获取数据节点当前所处区块链系统中的区块高度HB，判断HB是否大于HC，若不大于，则将交易放入有效交易池；将所述交易池中的交易打包成区块达成共识，所述数据节点所处区块链的区块高度加一，结束交易处理。

Description

过期数字证书管控方法、系统、装置及存储介质

本申请要求于2020年4月27日提交中国专利局、申请号为202010345455.2，发明名称为“过期数字证书管控方法、系统、装置及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及区块链技术领域，尤其涉及一种过期数字证书管控方法、系统、装置及计算机可读存储介质。

背景技术

超级账本Hyperledger Fabric作为一个出色的联盟链框架，在身份管理、接入控制和权限策略管控方面有着全面且通用的设计。在Fabric区块链网络下，包含Peer、Orderer、Client和Admin等参与者和角色，每个参与者都拥有一个数字身份，该身份可验证且由可信机构管理控制，并且每个参与者都属于某个认证机构，每个机构均可为参与者颁发数字证书。

参与者的身份信息是否可靠可以通过有效数字证书来判断，数字证书是否有效需要首先判别该数字证书有无过期，判断数字证书有无过期的过程中均需要预先设置多个提醒时间阈值以及与之相对应的检索进程，然后再根据提醒时间阈值、预设的检索间隔时间以及当前时间确定各个检索进程的时间检索范围、截止日期等，再分别查询即将在各个检索进程的截止日期、截止时间检索范围内到期的数字证书，根据查询结果获取有效期与多个提醒时间阈值相对应的数字证书，发明人发现在一个分布式的系统中，各个物理机器的时间并不完全相同，当一个证书将要过期时，对数字证书有效时间的验证有可能会因不同节点而产生不一致的结果。数字证书中的时间对应的是物理时间，不同的物理机器对同一个证书的验证可能会产生不同的结果，以致传统的判别数字证书有无过期的方法执行复杂，且有效性低。

因此，亟须一种过期数字证书管控方法，以保证区块链分布式系统中各个数据节点时间判别标准的一致性，提高判别数字证书有无过期的准确、有效性。

技术问题

本申请提供一种过期数字证书管控方法、系统、电子装置及计算机可读存储介质，其主要目的在于通过使数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，添加预设的证书过期区块高度HC生成数字证书，在数据节点进行双方交易时，数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC，并判断HB是否大于HC，若大于，则交易无效，若不大于，则交易数据满足约束，将交易放入有效交易池，这种利用区块高度判定数字证书有无过期的方法解决了传统方法中相同区块系统各个物理机器的时间不完全相同，对数字证书有效时间的验证有可能会因不同数据节点而产生不同结果的问题，保证区块链分布式系统中各个数据节点时间判别标准的一致性，提高判别数字证书有无过期的准确、有效性。

为实现上述目的，本申请提供的过期数字证书管控方法，应用于电子装置，所述过期数字证书管控方法包括：

在数据节点生成公私钥对，所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

所述数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易有效，并将所述交易放入有效交易池；

将所述交易池中的交易打包成区块达成共识，所述数据节点所处区块链的区块高度加一，结束交易处理。

为实现上述目的，本申请还提供一种过期数字证书管控系统，包括数字证书生成单元、可信判断单元、过期判断单元和后期处理单元；

所述数字证书生成单元用于在数据节点生成公私钥对，令所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成含有证书过期区块高度HC的数字证书；

所述可信判断单元用于使数据节点判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

所述过期判断单元用于获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易数据满足约束，将交易放入有效交易池；

所述后期处理单元用于将交易池中的交易打包生成区块并写入账本，并使所述数据节点所处区块链的区块高度加一，结束交易处处理。

为实现上述目的，本申请还提供一种电子装置，该装置包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现权前述的过期数字证书管控方法中的步骤。

此外，为实现上述目的，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有过期数字证书管控程序，所述过期数字证书管控程序被处理器执行时，实现前述的过期数字证书管控方法的步骤。

本申请提出的过期数字证书管控方法、系统、电子装置及计算机可读存储介质，以区块高度作为时间标准，通过比较数据节点当前所处区块链系统中的区块高度HB与提前预设的证书过期区块高度HC的大小，来判定数字证书有无过期，避免了传统方法中以物理时间为时间标准，不同的物理机器对同一个证书的验证可能会产生不同的结果，以致传统的判别数字证书有无过期的方法执行复杂，且有效性低的问题，保证区块链分布式系统中各个数据节点时间判别标准的一致性，提高判别数字证书有无过期的准确、有效性。

技术解决方案

在此处键入技术解决方案描述段落。

有益效果

在此处键入有益效果描述段落。

附图说明

图1为根据本申请实施例的过期数字证书管控方法的流程图；

图2为根据本申请实施例的过期数字证书管控方法的系统框架图；

图3为根据本申请实施例的电子装置的结构示意图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

本发明的最佳实施方式

在此处键入本发明的最佳实施方式描述段落。

本发明的实施方式

应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

在一个分布式的系统中，各个物理机器的时间并不完全相同，当一个证书将要过期时，对数字证书有效时间的验证有可能会因数据节点的不同而产生不一致的结果。数字证书中的时间对应的是物理时间，不同的物理机器对同一个证书的验证可能会产生不同的结果，以致传统的判别数字证书有无过期的方法执行复杂，且有效性低。

基于上述问题，本申请提供一种过期数字证书管控方法，以区块高度作为时间标准，通过比较数据节点当前所处区块链系统中的区块高度HB与提前预设的证书过期区块高度HC的大小，来判定数字证书有无过期，保证区块链分布式系统中各个数据节点时间判别标准的一致性，提高判别数字证书有无过期的准确、有效性。

具体的，本申请提供一种过期数字证书管控方法，应用于一种电子装置30。

图1为根据本申请实施例的的流程图。如图1所示，在本实施例中，包括如下步骤：

S110：在数据节点生成公私钥对，该公私钥对中的公钥结合该数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，该CA通过CA自身的私钥对该证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

区块高度为区块链的一种标识符，在此以区块高度为标准，将区块高度作为衡量区块链时间的一个参考值，该过期区块高度HC为提前预设的一个阈值，若数据节点当前所处区块链的区块高度大于该阈值，则说明数据节点当前所处区块链已经超出了提前预设的时间，即该数据节点的数字证书的时间超过了提前预设的时间，进而判定该数字证书过期；

该公私钥对采用区块链分布式账本技术，按照X.509证书的预定义结构将各数据节点的身份信息录入服务器集群中，数据节点的身份信息包括：主机型号，相关配置，资产编号等；

CA（CertificateAuthorities，证书颁发机构）用于为该数据节点颁发数字证书以表明该数据节点为合格身份，颁发数字证书的过程为证书颁发机构通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名的过程，即CA在颁发数字证书的过程中通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名；

该CA生成数字证书的过程包括：该CA对该数据节点的证书申请请求文件中的信息进行核实验证，若该信息中的身份信息验证通过，则该CA签发初级数字证书，然后在该初级数字证书上设置证书过期区块高度HC，生成数字证书；

证书过期区块高度HC为提前预设的区块高度阈值，该区块高度阈值用于判定数字证书有无过期，若区块高度大于该区块高度阈值则数字证书过期；阈值的大小依据分布式系统具体情况而定，在此不作具体限定。

其中，在核实信息中包含的用户身份时，一般通过用户注册系统，如公司内部的员工系统，通过该系统可以验证用户身份的有效性；

该关联信息包括：该数据节点的所属机构、IP地址、公钥信息以及当前所处区块链系统中的区块高度HB。

S120：该数据节点判断交易对方的数据节点在CA的数字证书列表中的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

该数据节点通过依次验证该数字证书列表中各个数字证书的数字签名，从而判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发。

在区块链系统中，每个数据节点均会维护一份可信CA的数字证书列表，在该数字证书列表中包含所有CA本身的数字证书，每个节点认同由该列表中数字证书对应CA签发的数字证书是可信的这一基本前提，因此，验证交易中的数字证书是否由可信机构颁发的方法为：通过该证书列表中的数字证书依次验证交易中的数字证书中的签名，从而确定交易中的证书是否由可信CA签发；

当确认交易中的数字证书是由可信CA机构颁发后，则可以从数字证书中获取该数字证书生成时设置的HC；HC作为数字证书中的一个基本信息，可以用来判断数字证书在区块链系统上的有效时间范围。

S130：获取该数据节点当前所处区块链系统中的区块高度HB，判断该HB是否大于该HC，若大于，则交易无效，若不大于，则交易数据满足约束，即交易有效，并将交易放入有效交易池，区块链系统包括一个或多个区块链，数据节点当前所处的数据链系统为数据节点所处区块链所在的区块链系统；

在判断该HB是否大于该HC的过程中，包括：

该HB大于该HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度大，交易对方的数字证书已过期，数字证书过期则交易无效；

该HB小于该HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度小，交易对方的数字证书未过期，数字证书未过期则交易有效。

具体的，区块链中每个数据节点（Peer节点）获取数据节点所处当前账本中的HB，然后该数据节点验证该HB是否大于HC。如果大于，则表明交易的发起方的身份(数字证书)已经过期，交易无效；否则，交易的发起方身份有效；其中，由于交易的验证过程是顺序地进行的，因此验证期间， HB不会改变；其中，该账本（Ledgerium）为一种分布式数字分类账，以可验证和永久的方式高效地记录各方之间的交易；

若数字证书未过期（交易的发起者身份确认有效），则检查交易本身是否有效，另外，为了防止双花（双方消耗），对交易的信息进行MVCC验证，从而防止交易在执行期间读取到的区块链上的数据值，在完成验证之前没有被更改过，当交易验证完成后，通过一个标志位标示该交易是否有效，并将该交易放入一个交易池中。

其中，检查交易本身是否有效的过程包括，在Fabric中，数据节点中的 Peer通过VSCC系统智能合约验证交易是否满足背书策略，即只有满足一定规则的交易才可以通过该验证，交易规则根据交易具体而定，比如如果有三个机构，可以设置背书策略为三个机构中的多数签名，才能认为交易合法，即需要任意两个机构为该交易签名才能合法。

S140：将该交易池中的交易打包成区块达成共识，该数据节点所处区块链的区块高度加一，结束交易处理。

将该交易池中的交易打包成区块达成共识的过程，包括：

区块链系统的共识模块将该交易池中连续的多个交易按照自定义规则打包成区块；

基于共识算法，进行共识表决，在所有节点达成共识后，将该区块广播至所有数据节点；该共识算法包括PBFT算法、RAFT算法；

该数据节点接收该区块，并将该区块写入至本地的区块链账本上，当前所处区块链系统中的区块高度随之加一；具体的，节点收到区块后，首先将区块写入到本地的区块链上，此时区块的高度加一，即HB=HB+1。然后依次取出区块中的交易，并将标志位为有效的交易中的数据值提交到状态数据库中，完成最终区块链上数据值状态的更新，当区块中的所有交易处理完成后，该区块处理完毕；

其中，按照自定义规则打包成区块时，在Fabric中，规则可以是产生交易的时间，也可以是连续交易的大小，如当第一个交易产生三秒后，将第一个交易以及三秒中产生的所有交易打包成一个区块；也可以根据连续交易的大小生成区块，如设置区块中交易总大小设置成4M，当交易池中当交易总大小超过4M时，则将交易池中的所有交易打包成一个区块。

本申请从区块高度入手，以区块高度作为时间标准，通过比较数据节点当前所处区块链系统中的区块高度HB与提前预设的证书过期区块高度HC的大小，来判定数字证书有无过期，避免了传统方法中以物理时间为时间标准，不同的物理机器对同一个证书的验证可能会产生不同的结果，以致传统的判别数字证书有无过期的方法执行复杂，且有效性低的问题，保证区块链分布式系统中各个数据节点时间判别标准的一致性，提高判别数字证书有无过期的准确、有效性。

图2为根据本申请实施例的过期数字证书管控系统200的框架图，该系统对应于过期数字证书管控方法，置于过期数字证书管控电子装置30中。该系统200包括用于生成数字证书的数字证书生成单元210，用于对数字证书生成单元210所生成的数字证书进行可信判断的可信判断单元220，用于对可信判断单元220判断为可信的数字证书进行有无过期判断的过期判断单元230，和用于对未过期的数字证书的所属数据节点的交易进行后期处理的后期处理单元240；

数字证书生成单元210用于在数据节点生成公私钥对，令该公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，该CA通过CA自身的私钥对该证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成含有证书过期区块高度HC的数字证书；

具体的，该数字证书生成单元210包括请求文件模块211、验证模块212和区块高度预设模块213，请求文件模块211用于令数据节点本地生成公私钥对，将数据节点的关联信息生成一个证书申请请求文件；验证模块212用于将该证书申请请求文件发送到CA，令CA读取请求中的信息，检查请求中的信息是否合法；区块高度预设模块213用于预设证书过期区块高度，并在最初数字证书中设置证书过期区块高度，生成数字证书；

可信判断单元220用于使数据节点判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

过期判断单元230用于获取该数据节点当前所处区块链系统中的区块高度HB，判断该HB是否大于该HC，若大于，则交易无效，若不大于，则交易数据满足约束，将交易放入有效交易池；

后期处理单元240用于将交易池中的交易打包生成区块并写入账本，数据节点所处区块链的区块高度加一，结束交易处处理。

图3为根据本申请实施例的电子装置的逻辑结构示意图，在本实施例中，电子装置30可以是服务器、平板计算机、便携计算机、桌上型计算机等具有运算功能的终端设备。

该电子装置30包括：处理器31、存储器32、计算机程序33、网络接口及通信总线。

电子装置30可以是平板电脑、台式电脑、智能手机，但不限于此。

存储器32包括至少一种类型的可读存储介质。至少一种类型的可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器等的非易失性存储介质。在一些实施例中，可读存储介质可以是电子装置30的内部存储单元，例如该电子装置30的硬盘。在另一些实施例中，可读存储介质也可以是电子装置30的外部存储器，例如电子装置30上配备的插接式硬盘，智能存储卡（Smart Media Card, SMC），安全数字（Secure Digital, SD）卡，闪存卡（Flash Card）等。

在本实施例中，存储器32的可读存储介质通常用于存储安装于电子装置30的计算机程序33等。

处理器31在一些实施例中可以是一中央处理器（Central Processing Unit, CPU），微处理器或其他数据处理芯片，用于运行存储器32中存储的程序代码或处理数据，例如过期数字证书管控程序等。

网络接口可选地可以包括标准的有线接口、无线接口（如WI-FI接口），通常用于在该电子装置30与其他电子设备之间建立通信连接。

通信总线用于实现这些组件之间的连接通信。

图3仅示出了具有组件31-33的电子装置30，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

在图3所示的电子装置实施例中，作为一种计算机存储介质的存储器32中可以包括操作系统、以及过期数字证书管控程序；处理器31执行存储器32中存储的过期数字证书管控程序时实现如下步骤：

在数据节点生成公私钥对，该公私钥对中的公钥结合该数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，该CA通过CA自身的私钥对该证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

该数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

获取该数据节点当前所处区块链系统中的区块高度HB，判断该HB是否大于该HC，若大于，则交易无效，若不大于，则交易有效，并将交易放入有效交易池；

将该交易池中的交易打包成区块达成共识，该数据节点所处区块链的区块高度加一，结束交易处理。

该CA用于为该数据节点颁发数字证书以表明该数据节点为合格身份，该CA在颁发数字证书的过程中通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名。

CA对该数据节点的证书申请请求文件中的信息进行核实验证，若该信息中的身份信息验证通过，则该CA签发初级数字证书；

在该初级数字证书上设置证书过期区块高度HC，生成数字证书。

该数据节点通过依次验证该数字证书列表中各个数字证书的数字签名，判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发。

在判断该HB是否大于该HC的过程中，包括：

若该HB大于该HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度大，交易对方的数字证书已过期，交易无效；

若该HB小于该HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度小，交易对方的数字证书未过期，交易有效。

将该交易池中的交易打包成区块达成共识的过程，包括：

基于共识算法，进行共识表决，在所有节点达成共识后，将该区块广播至所有数据节点；

该数据节点接收该区块，并将该区块写入至本地的区块链上，当前所处区块链系统中的区块高度加一。

该共识算法包括PBFT算法、RAFT算法。

此外，本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质可以是非易失性，也可以是易失性，该计算机可读存储介质中包括过期数字证书管控程序，该过期数字证书管控程序被处理器执行时实现过期数字证书管控方法的步骤：

在数据节点生成公私钥对，该公私钥对中的公钥结合该数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，该CA通过CA自身的私钥对该证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有数字过期区块高度HC的数字证书；

本申请之计算机可读存储介质的具体实施方式与过期数字证书管控方法、系统、电子装置的具体实施方式大致相同，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

工业实用性

在此处键入工业实用性描述段落。

序列表自由内容

在此处键入序列表自由内容描述段落。

Claims

一种过期数字证书管控方法，应用于电子装置，其中，所述方法包括：

在数据节点生成公私钥对，所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

所述数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易有效，并将所述交易放入有效交易池；

将所述交易池中的交易打包成区块达成共识，所述数据节点所处区块链的区块高度加一，结束交易处理。
根据权利要求1所述的过期数字证书管控方法，其中，所述CA用于为所述数据节点颁发数字证书以表明所述数据节点为合格身份，所述CA在颁发数字证书的过程中通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名。
根据权利要求2所述的过期数字证书管控方法，其中，

所述关联信息包括：所述数据节点的所属机构、IP地址、公钥信息以及当前所处区块链系统中的区块高度HB。
根据权利要求1所述的过期数字证书管控方法，其中，生成数字证书的过程，包括：

所述CA对所述数据节点的证书申请请求文件中的信息进行核实验证，若所述信息中的身份信息验证通过，则所述CA签发初级数字证书；

在所述初级数字证书上设置证书过期区块高度HC，生成数字证书。
根据权利要求1所述的过期数字证书管控方法，其中，所述数据节点通过依次验证所述数字证书列表中各个数字证书的数字签名，判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发。
根据权利要求1所述的过期数字证书管控方法，其中，在判断所述HB是否大于所述HC的过程中，包括：

若所述HB大于所述HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度大，交易对方的数字证书已过期，交易无效；

若所述HB小于所述HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度小，交易对方的数字证书未过期，交易有效。
根据权利要求1所述的过期数字证书管控方法，其中，将所述交易池中的交易打包成区块达成共识的过程，包括：

区块链系统的共识模块将所述交易池中连续的多个交易按照自定义规则打包成区块；

基于共识算法，进行共识表决，在所有节点达成共识后，将所述区块广播至所有数据节点；

所述数据节点接收所述区块，并将所述区块写入至本地的区块链上，当前所处区块链系统中的区块高度加一。
一种过期数字证书管控系统，其中，包括数字证书生成单元、可信判断单元、过期判断单元和后期处理单元；

所述数字证书生成单元用于在数据节点生成公私钥对，令所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成含有证书过期区块高度HC的数字证书；

所述可信判断单元用于使数据节点判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

所述过期判断单元用于获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易数据满足约束，将交易放入有效交易池；

所述后期处理单元用于将交易池中的交易打包生成区块并写入账本，并使所述数据节点所处区块链的区块高度加一，结束交易处处理。
一种电子装置，其中，该电子装置包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

在数据节点生成公私钥对，所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

所述数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易有效，并将所述交易放入有效交易池；

将所述交易池中的交易打包成区块达成共识，所述数据节点所处区块链的区块高度加一，结束交易处理。
根据权利要求9所述的电子装置，其中，所述CA用于为所述数据节点颁发数字证书以表明所述数据节点为合格身份，所述CA在颁发数字证书的过程中通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名。
根据权利要求10所述的电子装置，其中，所述关联信息包括：所述数据节点的所属机构、IP地址、公钥信息以及当前所处区块链系统中的区块高度HB。
根据权利要求9所述的电子装置，其中，所述处理器执行所述计算机程序时实现的生成数字证书的步骤包括：所述CA对所述数据节点的证书申请请求文件中的信息进行核实验证，若所述信息中的身份信息验证通过，则所述CA签发初级数字证书；

在所述初级数字证书上设置证书过期区块高度HC，生成数字证书。
根据权利要求9所述的电子装置，其中，所述数据节点通过依次验证所述数字证书列表中各个数字证书的数字签名，判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发。
根据权利要求9所述的电子装置，其中，所述处理器执行所述计算机程序时实现的判断所述HB是否大于所述HC的步骤包括：

若所述HB大于所述HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度大，交易对方的数字证书已过期，交易无效；

若所述HB小于所述HC，代表交易对方的数字证书中出示的数据节点当前所处区块链系统中的区块高度比证书过期区块高度小，交易对方的数字证书未过期，交易有效。
根据权利要求9所述的电子装置，其中，所述处理器执行所述计算机程序时实现的将所述交易池中的交易打包成区块达成共识的步骤包括：

区块链系统的共识模块将所述交易池中连续的多个交易按照自定义规则打包成区块；

基于共识算法，进行共识表决，在所有节点达成共识后，将所述区块广播至所有数据节点；

所述数据节点接收所述区块，并将所述区块写入至本地的区块链上，当前所处区块链系统中的区块高度加一。
一种计算机可读存储介质，其中，所述计算机可读存储介质中存储有过期数字证书管控程序，所述过期数字证书管控程序被处理器执行时，实现以下步骤：

在数据节点生成公私钥对，所述公私钥对中的公钥结合所述数据节点的身份信息以及关联信息构成证书申请请求文件发送到CA，所述CA通过CA自身的私钥对所述证书申请请求文件中的公钥进行签名，并添加预设的证书过期区块高度HC，以生成设有证书过期区块高度HC的数字证书；

所述数据节点判断交易对方的数据节点的数字证书是否是可信机构颁发；若不是可信机构颁发，则交易无效，交易处理结束，若是可信机构颁发，则获取数字证书中关联信息的证书过期区块高度HC；

获取所述数据节点当前所处区块链系统中的区块高度HB，判断所述HB是否大于所述HC，若大于，则交易无效，若不大于，则交易有效，并将所述交易放入有效交易池；

将所述交易池中的交易打包成区块达成共识，所述数据节点所处区块链的区块高度加一，结束交易处理。
根据权利要求16所述的计算机可读存储介质，其中，所述CA用于为所述数据节点颁发数字证书以表明所述数据节点为合格身份，所述CA在颁发数字证书的过程中通过证书颁发机构本身的私钥对数据节点的关联信息进行数字签名。
根据权利要求16所述的计算机可读存储介质，其中，所述处理器执行所述计算机程序时实现的生成数字证书的步骤包括：所述CA对所述数据节点的证书申请请求文件中的信息进行核实验证，若所述信息中的身份信息验证通过，则所述CA签发初级数字证书；

在所述初级数字证书上设置证书过期区块高度HC，生成数字证书。
根据权利要求16所述的计算机可读存储介质，其中，所述数据节点通过依次验证所述数字证书列表中各个数字证书的数字签名，判断CA的数字证书列表中交易对方的数字证书是否是可信机构颁发。
根据权利要求16所述的计算机可读存储介质，其中，所述处理器执行所述计算机程序时实现的将所述交易池中的交易打包成区块达成共识的步骤包括：

区块链系统的共识模块将所述交易池中连续的多个交易按照自定义规则打包成区块；

基于共识算法，进行共识表决，在所有节点达成共识后，将所述区块广播至所有数据节点；

所述数据节点接收所述区块，并将所述区块写入至本地的区块链上，当前所处区块链系统中的区块高度加一。