WO2022206247A1

WO2022206247A1 - 一种证书查询方法及装置

Info

Publication number: WO2022206247A1
Application number: PCT/CN2022/078223
Authority: WO
Inventors: 雷骜; 吴义壮; 崔洋; 孙陶然
Original assignee: 华为技术有限公司
Priority date: 2021-03-31
Filing date: 2022-02-28
Publication date: 2022-10-06
Also published as: CN115146320A

Abstract

一种证书查询方法及装置，该方法包括：管理设备接收来自于第二设备的第一信息，第一信息包括第一设备的证书的标识。管理设备根据第一设备的证书的标识和第一映射关系确定第一设备的证书的证书状态信息，管理设备向第二设备发送证书状态信息。第一映射关系指示第一设备的证书的标识与证书状态信息的对应关系，证书状态信息用于指示第一设备的证书是否被吊销。采用上述方法，管理设备可以根据第一映射关系为第二设备查询第一设备的证书的证书状态信息，并告知第二设备查询到的证书状态信息，实现较为简便查询证书的证书状态信息。

Description

一种证书查询方法及装置

相关申请的交叉引用

本申请要求在2021年03月31日提交中国专利局、申请号为202110346361.1、申请名称为“一种证书查询方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及无线通信领域，尤其涉及一种证书查询方法及装置。

背景技术

公钥和私钥分别用于对消息进行加密和生成数字签名。公钥可以发到网络中而私钥必须存在于持有者内部。公钥基础设施(public key infrastructure，PKI)用于实现基于公私钥的密钥和数字证书(certificate)的产生、管理、存储、分发和撤销等功能，其中，数字证书是用于数字通讯中标识一方身份和所持公钥所有权的数字认证信息。

为了便于管理证书，PKI架构可以为树状结构。如图1所示，PKI架构中的节点包括锚点根证书颁发机构(certificate authority，CA)(以下简称根CA)、多级叶CA(即图1上除根CA外的其他CA)和底层的网元。其中，根CA负责对自己(自签名证书)和下一层叶CA签发证书，下一层叶CA再对其下一层CA签发证书，以此类推，最后由最后一层叶CA对网元签发证书。

当前，在网元之间建立初始通信时，通信双方需要分别将本端证书发送给对端以验证证书是否为被吊销，并根据证书中的公钥建立安全连接。具体步骤如下，以图1中网元A1发起同网元B1的通信建立为例：

步骤1：网元A1向网元B1发送消息，该消息包括网元A1的证书和网元A1对应的证书链包括的证书。该消息用网元A1的私钥进行数字签名。

网元A1对应的证书链为：{网元A1证书，CA-A1证书，CA-A证书，根CA证书}。

步骤2：网元B1依次确认根CA证书、CA-A证书、CA-A1证书和网元A1证书是否被吊销。

具体的，网元B1可以通过查询证书吊销列表(certificate revocation list，CRL)或线证书状态协议(online certificate status protocol,OCSP)依次确认上述证书是否被吊销。其中，CRL的更新周期较长(例如约为一小时)，而较长的更新周期将会导致节点查询到的证书吊销记录的时效性较差。而OCSP需要以特定节点ID作为查询索引，存在潜在的隐私问题。

发明内容

本申请实施例提供一种证书查询方法及装置，用以优化查询证书是否被吊销的查询过程。

第一方面，本申请实施例提供一种证书查询方法，该方法包括：

管理设备接收来自于第二设备的第一信息，所述第一信息包括第一设备的证书的标识，所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述第一设备的证书的证书状态信息，所述管理设备向所述第二设备发送所述证书状态信息。所述第一映射关系指示所述第一设备的证书的标识与所述证书状态信息的对应关系，所述证书状态信息用于指示所述第一设备的证书是否被吊销。

采用上述方法，管理设备可以根据第一映射关系在管理设备本地为第二设备查询第一设备的证书的证书状态信息，并告知第二设备查询到的证书状态信息。相较于现有的查询CRL的方法，第二设备不需要下载CRL且可获得最新的证书状态信息，避免了CRL时效性不佳导致无法获取最新的证书状态信息；相较于查询OCSP，不需要以特定节点ID为查询索引，避免了隐私泄露的风险。

示例性地，第一信息包括第一设备的证书的标识，或者第一信息包括第一设备的证书，其中，第一设备的证书包括第一设备的证书的标识。

在一种可能的设计中，所述证书状态信息指示所述第一设备的证书未被吊销，或者所述第一设备的证书的吊销原因值；或者所述证书状态信息指示所述第一设备的证书未被吊销，或者所述第一设备的证书被吊销和所述第一设备的证书的吊销原因值。

采用上述设计，证书状态信息可以具有多种实现方式。

在一种可能的设计中，所述第一映射关系具体指示所述第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息的对应关系，其中，所述第一区块在所述第一区块链上，所述第一区块存储所述证书状态信息。示例性地，所述管理设备根据所述第一设备的证书的标识和上述第一映射关系确定所述证书状态信息具体包括：所述管理设备根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息和所述第一区块的标识信息，所述管理设备根据所述第一区块链的标识信息和所述第一区块的标识信息从所述第一区块获取所述证书状态信息。

采用上述设计，第一映射关系指示证书的标识，区块链和区块标识的对应关系，通过上述对应关系，管理设备可以通过证书的标识作为索引查询第一映射关系确定存储证书状态信息的区块，从该区块中获取证书状态信息。第一映射关系依赖区块链的分布式共识和分布式账本机制，区块链网络可以由网络运营商独立运营，进而实现运营商内网查询证书状态信息，省去跨网查询步骤。

在一种可能的设计中，所述第一映射关系具体指示被吊销的证书的标识、存储所述被吊销的证书的吊销原因值的区块所在的区块链的标识信息和所述存储所述被吊销的证书的吊销原因值的区块的标识信息的对应关系。这里的第一映射关系可以理解为一个映射关系的集合。

示例性地，所述管理设备根据所述第一设备的证书的标识和上述第一映射关系确定所述证书状态信息具体包括两种情况：情况1：在所述被吊销的证书的标识不包括所述第一设备的证书的标识时，所述管理设备确定所述证书状态信息，所述证书状态信息指示所述第一证书未被吊销。情况2：在所述被吊销的证书的标识包括所述第一设备的证书的标识时，所述第一映射关系包括第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息，其中，所述第二区块在所述第二区块链上，所述第二区块存储所述被吊销证书的标识和所述被吊销的证书对应的吊销原因值，所述管理设备根据所述第一设备的证书的标识和所述第四映射关系确定所述第二区块链的标识信息和所述第二区块的标识信息，所述管理设备根据所述第二区块链的标识信息和所述第二区块的标识信息从所述第二区块获取所述第一设备的证书的吊销原因值，所述管理设备确定所述证书状态信息，所述证书状态信息指示所述第一设备的证书的吊销原因值。

采用上述设计，第一映射关系指示被吊销证书的标识，区块链和区块标识的对应关系，通过上述对应关系，管理设备可以通过证书的标识作为索引查询第一映射关系中是否存在该证书标识对应的映射关系以确定证书是否被吊销，如果第一映射关系中存在该证书标识对应的映射关系，管理设备可以进一步根据该证书标识确定存储证书状态信息的区块并从该区块中获取证书状态信息。第一映射关系依赖区块链的分布式共识和分布式账本机制，区块链网络可以由网络运营商独立运营，进而实现运营商内网查询证书状态信息，省去跨网查询步骤。

在一种可能的设计中，还包括：所述管理设备获取第一CA的公钥，所述管理设备向所述第二设备发送所述第一CA的公钥。所述第一CA是指为所述第一设备签发所述第一设备的证书的CA。

采用上述设计，管理设备还需向第二设备发送第一CA的公钥，以实现第二设备检查第一设备的证书的数字签名是否有效。

在一种可能的设计中，在所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述证书状态信息之前，所述管理设备获取第一CA的公钥，所述管理设备根据所述第一CA的公钥确定所述第一设备的证书的数字签名有效。所述第一CA是指为所述第一设备签发所述第一设备的证书的CA。

采用上述设计，管理设备在根据第一CA的公钥确定第一设备的证书的数字签名有效时，管理设备执行查询证书状态信息，以实现在管理设备确定第一设备证书数字签名无效时省去后续查询证书状态信息的步骤，节省处理资源。

在一种可能的设计中，在所述管理设备确定所述证书状态信息指示所述第一设备的证书未被吊销时，所述管理设备获取第一CA的公钥，所述第一CA是指为所述第一设备签发所述第一设备的证书的CA。所述管理设备根据所述第一CA的公钥判断所述第一设备的证书的数字签名是否有效，所述管理设备向所述第一设备发送第二信息，所述第二信息指示所述第一设备的证书的数字签名是否有效。

采用上述设计，管理设备在确定证书状态信息指示第一设备的证书未被吊销时，管理设备获取第一CA的公钥判断第一设备的证书的数字签名是否有效，并将判断结果发送至第二设备，以实现在管理设备确定第一设备证书未被吊销时再获取第一CA的公钥以验证第一设备数字证书签名有效性，只在管理设备确定第一设备证书有效时再验证第一设备数字证书签名有效性，节省处理资源。

在一种可能的设计中，所述第一信息包括所述第一CA的证书的标识。所述管理设备获取第一CA的公钥可以采用以下方法：所述管理设备根据第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系，所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书。所述第一CA的证书包括所述第一CA的公钥。

采用上述设计，管理设备根据第二映射关系和第一CA的证书的标识确定存储第一CA 的证书的区块，并从该区块获取第一CA的公钥。通过上述方法可以实现减少CA的数量，将原有多层级的PKI架构扁平化，减少了设备投入和运维成本。区块链的分布式账本性质保证所有管理设备上均存储同样的区块链、区块和区块交易，可以实现信任锚点的功能。PKI架构中心化信任机制变为去中心化信任机制，信任锚点均锚定在区块链上，第二设备任意查询最近的运营区块链的网元(即管理设备)便可以获取与第一设备的信任关系。使用区块链简化PKI架构，将原有中心化的根信任机制，变为去中心化的信任机制,简化证书验证机制，防止因多层CA的PKI架构导致需要验证多个证书以确定是否存在共同信任锚点，和因没有共同的信任锚点导致无法验证证书的问题。

在一种可能的设计中，在所述管理设备获取第一CA的公钥之前，所述管理设备根据所述第一设备的证书的标识和第三映射关系确定所述第一CA的证书的标识；所述第三映射关系指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系。在所述管理设备获取第一CA的证书的标识之后，所述管理设备获取第一CA的公钥可以采用以下方法：所述管理设备根据所述第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系，所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书。所述第一CA的证书包括所述第一CA的公钥。

采用上述设计，管理设备通过第一设备的证书的标识和第三映射关系确定第一CA的证书的标识，进而确定根据第一CA的证书的标识和第二映射关系获取第一CA的公钥。

在一种可能的设计中，所述管理设备接收第一广播消息，所述第一广播消息指示所述第二映射关系。

采用上述设计，管理设备通过广播消息获取第二映射关系。

在一种可能的设计中，在所述管理设备接收第一广播消息之前，所述管理设备接收来自于所述第一CA的第三信息，所述第三信息包括所述第一CA的证书。所述管理设备确定所述第三区块链的标识信息，所述管理设备将所述第一CA的证书公布至所述第三区块链的标识信息对应的区块链网络。在所述管理设备接收第一广播消息之后，所述管理设备向所述第一CA发送第四信息，所述第四信息指示所述第一CA的证书已公布至所述第三区块链的标识信息对应的所述区块链网络。

采用上述设计，管理设备通过将第一CA的证书公布至区块链网络，实现通过区块链网络保存第一CA的证书。

在一种可能的设计中，所述第三信息还包括用于指示所述第一CA的证书的适用范围的信息，所述管理设备根据用于指示所述第一CA的证书的适用范围的信息确定所述第三区块链的标识信息。

采用上述设计，管理设备可以根据第一CA的证书的适用范围确定区块链的标识信息。

在一种可能的设计中，所述管理设备接收第二广播消息，所述第二广播消息指示所述第一映射关系。

采用上述设计，管理设备通过广播消息获取第一映射关系。

在一种可能的设计中，在所述管理设备接收第二广播消息之前，所述管理设备接收来自于所述第一CA的第五信息，所述第五信息包括所述第一设备的证书和所述证书状态信息，所述证书状态信息指示所述第一设备的证书未被吊销。所述管理设备确定所述第一区块链的标识信息，所述管理设备将所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络。在所述管理设备接收第二广播消息之后，所述管理设备向所述第一CA发送第六信息，所述第六信息指示所述证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。

采用上述设计，管理设备通过将第一设备的证书和证书状态信息公布至区块链网络，实现通过区块链网络保存第一设备的证书和证书状态信息。

在一种可能的设计中，所述第五信息还包括所述第一CA的证书的标识。所述管理设备将所述第一CA的证书的标识、所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络，所述管理设备接收第二广播消息，所述第二广播消息还指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系。

采用上述设计，管理设备可以同时将第一CA的证书的标识公布至区块链网络。

在一种可能的设计中，所述第五信息还包括用于指示所述第一设备的证书的适用范围的信息，所述管理设备根据用于指示所述第一设备的证书的适用范围的信息确定所述第一区块链。

采用上述设计，管理设备可以根据第一设备的证书的适用范围确定区块链的标识信息。

在一种可能的设计中，所述管理设备接收第三广播消息，所述第三广播消息指示更新后的第一映射关系，所述更新后的第一映射关系指示所述第一设备的证书的标识、所述第一区块链的标识信息和所述第四区块的标识信息的对应关系，所述第四区块在所述第一区块链上，所述第四区块存储所述第一设备的证书的标识和更新后的证书状态信息，所述更新后的证书状态信息指示所述第一设备的证书的吊销原因值。

采用上述设计，管理设备通过广播消息获取更新后的第一映射关系。

在一种可能的设计中，在所述管理设备接收第三广播消息之前，所述管理设备接收来自于所述第一CA的第七信息，所述第七信息包括所述第一设备的证书的标识和所述更新后的证书状态信息。所述管理设备根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息。所述管理设备将所述更新后的证书状态信息、所述第一设备的证书的标识公布至所述第一区块链的标识信息对应的所述区块链网络。在所述管理设备接收第三广播消息之后，所述管理设备向所述第一CA发送第八信息，所述第八信息指示所述更新后的证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。

采用上述设计，管理设备通过将第一设备的证书和更新后的证书状态信息公布至区块链网络，实现通过区块链网络及时更新第一映射关系。

在一种可能的设计中，所述管理设备接收第四广播消息，所述第四广播消息指示第四映射关系，所述第一映射关系包括所述第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、所述第二区块链的标识信息和所述第二区块的标识信息的对应关系。

采用上述设计，管理设备通过广播消息获取第四映射关系。

在一种可能的设计中，在所述管理设备接收第四广播消息之前，所述管理设备接收来自于所述第一CA的第九信息，所述第九信息包括所述第一设备的证书的标识和所述证书状态信息，所述证书状态信息指示所述第一设备的证书的吊销原因值。所述管理设备确定所述第二区块链的标识信息，所述管理设备将所述第一设备的证书的标识、所述证书状态信息公布至所述第二区块链的标识信息对应的区块链网络。在所述管理设备接收第四广播消息之后，所述管理设备向所述第一CA发送第十信息，所述第十信息指示所述证书状态信息已公布至所述第二区块链的标识信息对应的区块链网络。

采用上述设计，管理设备通过将第一设备的证书和证书状态信息(证书状态信息指示第一设备的证书的吊销原因值)公布至区块链网络，实现通过区块链网络保存被吊销的证书的证书状态信息。

在一种可能的设计中，所述第九信息还包括用于指示所述第一设备的证书的适用范围的信息。所述管理设备根据用于指示所述第一设备的证书的适用范围的信息确定所述第二区块链。

第二方面，本申请实施例提供一种证书查询装置，该装置包括收发单元和处理单元：收发单元用于接收来自于第二设备的第一信息，所述第一信息包括第一设备的证书的标识，处理单元用于根据所述第一设备的证书的标识和第一映射关系确定所述第一设备的证书的证书状态信息，收发单元用于向所述第二设备发送所述证书状态信息。所述第一映射关系指示所述第一设备的证书的标识与所述证书状态信息的对应关系，所述证书状态信息用于指示所述第一设备的证书是否被吊销。

在一种可能的设计中，所述第一映射关系具体指示所述第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息的对应关系，其中，所述第一区块在所述第一区块链上，所述第一区块存储所述证书状态信息。处理单元用于在根据所述第一设备的证书的标识和上述第一映射关系确定所述证书状态信息时，根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息和所述第一区块的标识信息，根据所述第一区块链的标识信息和所述第一区块的标识信息从所述第一区块获取所述证书状态信息。

在一种可能的设计中，所述第一映射关系具体指示被吊销的证书的标识、存储所述被吊销的证书的吊销原因值的区块所在的区块链的标识信息和所述存储所述被吊销的证书的吊销原因值的区块的标识信息的对应关系。这里的第一映射关系可以理解为一个映射关系的集合。处理单元用于在根据所述第一设备的证书的标识和上述第一映射关系确定所述证书状态信息时，在所述被吊销的证书的标识不包括所述第一设备的证书的标识时，确定所述证书状态信息，所述证书状态信息指示所述第一证书未被吊销；或者，在所述被吊销的证书的标识包括所述第一设备的证书的标识时，所述第一映射关系包括第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息，其中，所述第二区块在所述第二区块链上，所述第二区块存储所述被吊销证书的标识和所述被吊销的证书对应的吊销原因值，根据所述第一设备的证书的标识和所述第四映射关系确定所述第二区块链的标识信息和所述第二区块的标识信息，根据所述第二区块链的标识信息和所述第二区块的标识信息从所述第二区块获取所述第一设备的证书的吊销原因值，确定所述证书状态信息，所述证书状态信息指示所述第一设备的证书的吊销原因值。

在一种可能的设计中，还包括：处理单元用于获取第一CA的公钥，向所述第二设备发送所述第一CA的公钥。所述第一CA是指为所述第一设备签发所述第一设备的证书的CA。

在一种可能的设计中，在根据所述第一设备的证书的标识和第一映射关系确定所述证书状态信息之前，处理单元用于获取第一CA的公钥，根据所述第一CA的公钥确定所述第一设备的证书的数字签名有效。所述第一CA是指为所述第一设备签发所述第一设备的证书的CA。

在一种可能的设计中，在确定所述证书状态信息指示所述第一设备的证书未被吊销时，处理单元用于获取第一CA的公钥，根据所述第一CA的公钥判断所述第一设备的证书的数字签名是否有效，收发单元用于向所述第一设备发送第二信息，所述第一CA是指为所述第一设备签发所述第一设备的证书的CA，所述第二信息指示所述第一设备的证书的数字签名是否有效。

在一种可能的设计中，所述第一信息包括所述第一CA的证书的标识。处理单元获取第一CA的公钥可以采用以下方法：根据第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系，所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书。所述第一CA的证书包括所述第一CA的公钥。

在一种可能的设计中，在所述管理设备获取第一CA的公钥之前，处理单元用于根据所述第一设备的证书的标识和第三映射关系确定所述第一CA的证书的标识，所述第三映射关系指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系。在所述处理单元获取第一CA的公钥时，所述处理单元根据所述第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系；所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书；所述第一CA的证书包括所述第一CA的公钥。所述处理单元根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。

在一种可能的设计中，收发单元用于接收第一广播消息，所述第一广播消息指示所述第二映射关系。

在一种可能的设计中，在接收第一广播消息之前，收发单元用于接收来自于所述第一CA的第三信息，所述第三信息包括所述第一CA的证书。处理单元用于确定所述第三区块链的标识信息，通过收发单元将所述第一CA的证书公布至所述第三区块链的标识信息对应的区块链网络。在接收第一广播消息之后，收发单元用于向所述第一CA发送第四信息，所述第四信息指示所述第一CA的证书已公布至所述第三区块链的标识信息对应的所述区块链网络。

在一种可能的设计中，所述第三信息还包括用于指示所述第一CA的证书的适用范围的信息，处理单元用于根据用于指示所述第一CA的证书的适用范围的信息确定所述第三区块链的标识信息。

在一种可能的设计中，收发单元用于接收第二广播消息，所述第二广播消息指示所述第一映射关系。

在一种可能的设计中，在接收第二广播消息之前，收发单元用于接收来自于所述第一CA的第五信息，所述第五信息包括所述第一设备的证书和所述证书状态信息，所述证书状态信息指示所述第一设备的证书未被吊销。处理单元用于确定所述第一区块链的标识信息，所述管理设备将所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络。在接收第二广播消息之后，收发单元用于向所述第一CA发送第六信息，所述第六信息指示所述证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。

在一种可能的设计中，所述第五信息还包括所述第一CA的证书的标识。处理单元用于通过收发单元将所述第一CA的证书的标识、所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络。收发单元用于接收第二广播消息，所述第二广播消息还指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系。

在一种可能的设计中，所述第五信息还包括用于指示所述第一设备的证书的适用范围的信息，处理单元用于根据用于指示所述第一设备的证书的适用范围的信息确定所述第一区块链。

在一种可能的设计中，收发单元用于接收第三广播消息，所述第三广播消息指示更新后的第一映射关系，所述更新后的第一映射关系指示所述第一设备的证书的标识、所述第一区块链的标识信息和所述第四区块的标识信息的对应关系，所述第四区块在所述第一区块链上，所述第四区块存储所述第一设备的证书的标识和更新后的证书状态信息，所述更新后的证书状态信息指示所述第一设备的证书的吊销原因值。

在一种可能的设计中，在接收第三广播消息之前，收发单元用于接收来自于所述第一CA的第七信息，所述第七信息包括所述第一设备的证书的标识和所述更新后的证书状态信息。处理单元用于根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息。通过收发单元将所述更新后的证书状态信息、所述第一设备的证书的标识公布至所述第一区块链的标识信息对应的所述区块链网络。在接收第三广播消息之后，收发单元用于向所述第一CA发送第八信息，所述第八信息指示所述更新后的证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。

在一种可能的设计中，收发单元用于接收第四广播消息，所述第四广播消息指示第四映射关系，所述第一映射关系包括所述第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、所述第二区块链的标识信息和所述第二区块的标识信息的对应关系。

在一种可能的设计中，在接收第四广播消息之前，收发单元用于接收来自于所述第一CA的第九信息，所述第九信息包括所述第一设备的证书的标识和所述证书状态信息，所述证书状态信息指示所述第一设备的证书的吊销原因值。处理单元用于确定所述第二区块链的标识信息，将所述第一设备的证书的标识、所述证书状态信息公布至所述第二区块链的标识信息对应的区块链网络。在接收第四广播消息之后，收发单元用于向所述第一CA发送第十信息，所述第十信息指示所述证书状态信息已公布至所述第二区块链的标识信息对应的区块链网络。

在一种可能的设计中，所述第九信息还包括用于指示所述第一设备的证书的适用范围的信息。处理单元用于根据用于指示所述第一设备的证书的适用范围的信息确定所述第二区块链。

第三方面，本申请实施例提供一种证书公钥查询方法，该方法包括：管理设备获取第二映射关系，所述第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系，所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书，所述第一CA的证书包括所述第一CA的公钥。所述管理设备根据所述第一CA的证书的标识和所述第二映射关系确定所述第三区块链的标识信息和所述第三区块的标识信息，所述管理设备根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。

采用上述方法，管理设备根据第二映射关系和第一CA的证书的标识确定存储第一CA的证书的区块，并从该区块获取第一CA的公钥。通过上述方法可以实现减少CA的数量，将原有多层级的PKI架构扁平化，减少了设备投入和运维成本。区块链的分布式账本性质保证所有管理设备上均存储同样的区块链、区块和区块交易，可以实现信任锚点的功能。PKI架构中心化信任机制变为去中心化信任机制，信任锚点均锚定在区块链上。使用区块链简化PKI架构，将原有中心化的根信任机制，变为去中心化的信任机制,简化证书验证机制，防止因多层CA的PKI架构导致需要验证多个证书以确定是否存在共同信任锚点，和因没有共同的信任锚点导致无法验证证书的问题。

在一种可能的设计中，管理设备获取第二映射关系可以通过以下方式：所述管理设备接收第一广播消息，所述第一广播消息指示所述第二映射关系。

采用上述设计，管理设备通过广播消息获取第二映射关系。

在一种可能的设计中，在所述管理设备接收第一广播消息之前，所述管理设备接收来自于所述第一CA的第三信息，所述第三信息包括所述第一CA的证书。所述管理设备确定所述第三区块链的标识信息，所述管理设备将所述第一CA的证书公布至所述第三区块链的标识信息对应的区块链网络。在所述管理设备接收第一广播消息之后，所述管理设备向所述第一CA发送第四信息，所述第四信息指示所述第一CA的证书已公布至所述第三区块链的标识信息对应的区块链网络。

第四方面，本申请实施例提供一种证书公钥查询方法，该方法包括：

第一CA向管理设备发送第三信息，所述第三信息包括所述第一CA的证书。所述第一CA接收来自于所述管理设备的第四信息，所述第四信息指示所述第一CA的证书已公布至区块链网络。

通过上述方法可以实现减少CA的数量，将原有多层级的PKI架构扁平化，减少了设备投入和运维成本。区块链的分布式账本性质保证所有管理设备上均存储同样的区块链、区块和区块交易，可以实现信任锚点的功能。PKI架构中心化信任机制变为去中心化信任机制，信任锚点均锚定在区块链上。使用区块链简化PKI架构，将原有中心化的根信任机制，变为去中心化的信任机制,简化证书验证机制，防止因多层CA的PKI架构导致需要验证多个证书以确定是否存在共同信任锚点，和因没有共同的信任锚点导致无法验证证书的问题。

第五方面，本申请还提供一种装置。该装置可以执行上述方法设计。该装置可以是能够执行上述方法对应的功能的芯片或电路，或者是包括该芯片或电路的设备。

在一种可能的实现方式中，该装置包括：存储器，用于存储计算机可执行程序代码；以及处理器，处理器与存储器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，使该装置或者安装有该装置的设备执行上述第一方面或第一方面的任意一种可能的设计中的方法，或者第三方面或第三方面的任意一种可能的设计中的方法，或者第四方面或第四方面的任意一种可能的设计中的方法。

其中，该装置还可以包括通信接口，该通信接口可以是收发器，或者，如果该装置为芯片或电路，则通信接口可以是该芯片的输入/输出接口，例如输入/输出管脚等。

在一种可能的设计中，该装置包括相应的功能单元，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。

第六方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在装置上运行时，执行如第一方面或第一方面的任意一种可能的设计中的方法，或者第三方面或第三方面的任意一种可能的设计中的方法，或者第四方面或第四方面的任意一种可能的设计中的方法。

第七方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括计算机程序，当所述计算机程序在装置上运行时，执行如第一方面或第一方面的任意一种可能的设计中的方法，或者第三方面或第三方面的任意一种可能的设计中的方法，或者第四方面或第四方面的任意一种可能的设计中的方法。

附图说明

图1为本申请背景技术中PKI系统的架构示意图；

图2为本申请实施例中区块链的链状结构的示意图；

图3为本申请实施例中证书查询方法的概述流程图；

图4A为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之一；

图4B为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之二；

图5A为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之三；

图5B为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之四；

图6A为本申请实施例中以NRF仅维护一个区块链为例进行说明证书查询过程的示意图之一；

图6B为本申请实施例中以NRF仅维护一个区块链为例进行说明证书查询过程的示意图之二；

图7A为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之五；

图7B为本申请实施例中以NRF维护多个区块链为例进行说明证书查询过程的示意图之六；

图8为本申请实施例中一种装置的结构示意图之一；

图9为本申请实施例中一种装置的结构示意图之二。

具体实施方式

首先，下面对本申请实施例所涉及的技术概念进行简要说明。

1、PKI

一个典型的PKI系统可以包括一个或多个CA。CA负责管理证书的整个生命周期，包括发放证书、定义证书有效期和吊销证书。PKI架构中的节点可包括通信网络中的网元和CA，即CA可以负责为网元管理证书，例如图1中的CA-A1和CA-B1，也可以负责为其他CA管理证书，例如，图1中的CA-A和CA-B。

PKI架构可以用于显示该PKI架构下任意两个节点的信任关系，如果两个节点可以在同一PKI架构下找到共同的信任锚点，则这两个节点可以信任对方，即在PKI架构下，任意两个节点可以信任对端是基于两个节点所持有的证书中存在由共同的信任锚点颁发的证书，例如图1中所有节点均持有根CA签发的证书，则根CA可以为图1所示的PKI架构中其他节点的信任锚点。因此，一个节点所持有的证书包括该节点自己的证书，也包括PKI架构中该节点证书颁发者到信任锚点的路径上所有节点的证书，其中，该节点自己的证书和PKI架构中该节点证书颁发者到信任锚点的路径上所有节点的证书，共同组成证书链。

需要说明的是，信任锚点需要处于绝对安全的位置，保证安全隔离和尽量少的通信交互。借助多级叶CA可以实现对证书的适用范围的划分，例如，北京的网元和上海的网元使用不同的叶CA下发证书，或用于公共业务的网元和用于私有业务的网元使用不同的叶CA下发证书。因此，当某个叶CA被攻击时，不会导致整个PKI系统失效和崩溃，有利于整个PKI系统的稳定性。

示例性地，节点向CA请求签发证书的流程具体如下：

步骤A：节点本地生成配对的公钥和私钥，将公钥和自己的身份信息交给CA。

步骤B：CA确定是否同意为该节点签发证书，如果同意则生成证书并使用CA的私钥对该证书生成数字签名。其中，该证书中至少包括如表1所示的信息：

表1.一般的证书格式

步骤C：节点从CA处获取CA为该节点签发的证书。同时，除从CA获取该节点证书外，节点还从CA处获取查询证书吊销信息的地址和证书链中其他证书信息。其中，查询证书吊销的地址可以是查询记录证书吊销信息的CRL存储地址或OCSP服务器地址，证书链用于从PKI架构中从该节点循序向上一直显示到信任锚点，用以使其他网元循序找到与该节点共同的信任锚点。例如，对于图1中网元A1和网元B1，他们的证书分别由CA-A1和CA-B1签发，因此，这两个网元证书无法独立显示共同的信任锚点。这时需要借助各自的证书链来显示共同的信任锚点为根CA。其中，网元A1对应的证书链为：{网元A1证书，CA-A1证书，CA-A证书，根CA证书}。网元B1对应的证书链为：{网元B1证书，CA-B1证书，CA-B证书，根CA证书}。

此外，对于上述背景技术中提到的网元A1发起的与网元B1的通信建立的过程，若网元B1依次确认根CA、CA-A、CA-A1证书和网元A1证书未被吊销，网元B1还需根据证书链中根CA证书内的根CA的公钥验证CA-A证书的数字签名是否有效，根据证书链中CA-A证书内的CA-A的公钥验证CA-A1证书的数字签名是否有效，根据证书链中CA-A1证书内的CA-A1的公钥验证网元A1证书的数字签名是否有效，以及根据网元A1证书中网元A1的公钥验证步骤1中网元A1发送的消息的数字签名是否有效。如果证书链更长，则以此类推需要从信任锚点向下一步验证。同理，网元B1向网元A1发送网元B1的证书和网元B1对应的证书链包括的证书，网元A1需要执行与网元B1类似的过程。由上可知，证书链的验证开销较大。

若网元A1和网元B1不在同一PKI架构下，则无法依赖证书链寻址到共同的信任锚点。而要实现不同PKI架构下的网元互通，需要大量的证书交叉认证，导致证书验证效率过低。例如，此种场景一般出现在运营商与运营商之间，需要单个运营商与其他所有运营商点对点的签订漫游协议和互通协议以实现交叉授权。

此外，在实际工程实现中，通信网络中使用的证书为了保证安全性能，证书的生成依赖高复杂度的加密算法以确保安全性能，因此需要特定安全能力的CA来生成证书，进一步导致了CA的高昂成本。5G对不同网元分别需要配置一个或多个证书，导致5G网络对证书的需求进一步加大，例如，这些证书可能包括与其他网络虚拟化功能(network function virtualization,NFV)之间、与其他网元之间的安全传输层协议(transport layer security，TLS)和/或互联网安全协议(internet protocol security，IPSec)连接使用的证书等。对于TLS场景，同一网元还要对该网元在TLS通信中的不同角色由专有的CA来配置不同证书，例如，为服务端服务的CA为服务端配置证书，为客户端服务的CA为客户端配置证书。因此，进一步地导致需要多台CA和多级CA组成的PKI架构，如果运营商需要自建和自维护网络的PKI架构，则运营商需要付出巨大成本。基于以上原因，现在运营商均倾向于向专职提供PKI的第三方公司租用以控制成本(但是成本依然高昂)。此外，运营商向第三方租用整套PKI设备，其中包括对应的证书查询解决方案，而第三方维护的CRL和OCSP均在运营商外网(即第三方网域)维护。因此，实现证书查询需要运营商进行频繁内外网交互，违背运营商内外网隔离的需求。

2、区块链技术(Blockchain)。

区块链技术也被称为分布式账本技术，是一种互联网数据库技术，其特点是去中心化、公开透明、不可篡改。区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式架构。区块链技术最早是比特币的基础技术，目前已有研究将其应用在金融和供应链等领域。

区块链主要包括：

交易(Transaction)：一次操作，导致账本状态的一次改变，如添加一条记录；

区块(Block)：记录一段时间内发生的交易和状态结果，是对当前账本状态的一次共识；

链(Chain)：由一个个区块按照发生顺序串联而成，是整个状态变化的日志记录。

如果把区块链作为一个状态机，则每次交易就是试图改变一次状态，而每次共识生成的区块，就是参与者对于区块中所有交易内容导致状态改变的结果进行确认。

区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。举例来说，原有数据记录机制只存在于通信的两点之间，而区块链代表的分布式账本技术将需要记录的数据公布，由所有可接收到的节点参与记录。

示例性地，区块链的链状结构如下图2所示。每个区块中父区块ID表示该区块在区块链中前一区块的标识，而本区块ID则与该区块在区块链中后一区块内父区块ID相同(即顺序相连方式组成链式数据结构)。共识凭证用于标识该区块通过某种共识机制生成(密码学方式不可篡改和不可伪造)。

本申请实施例涉及的设备可以包括第一设备、第二设备、CA和管理设备。

其中，第一设备和第二设备可以为两个网元。其中，该网元具体可以用于实现3GPP使用或3GPP定义的网络处理功能。例如，网元可以作为专用硬件上的网元(例如基站)、在专用硬件上运营的软件实例(例如在专用于网络存储功能(network repository function，NRF)的硬件上实例化多个NRF实例)或作为在平台商实例化的虚拟化功能(例如在云基础设施上实例化出NRF和其他功能网元)。可以理解的是，下述实施例仅以网元之间使用证书建立连接的过程为例进行说明，但随着未来技术发展，第一设备和第二设备还可能扩展到终端设备与终端设备之间，或者终端设备与网元之间，本申请实施例对此不做限定。以第一设备为例，第一设备可以为终端设备，例如，终端设备可以是手机、智能终端、车载终端、无人机、可穿戴设备、多媒体设备、流媒体设备等。第一设备还可以为接入网设备，例如，接入网设备可以是基站、中继站、接入点、车载设备以及网络侧设备等。本申请对第一设备和第二设备的具体形式不做限定。

CA负责管理证书的整个生命周期，包括发放证书、定义证书有效期和吊销证书。需要说明的是，CA还可以包括注册机构(registration authority，RA)，RA用于在获取并认证用户身份后向CA提出证书签发请求。其中，RA可以是集成在CA的一项功能，也可单独部署RA的功能。本申请实施例对CA的具体形式不做限定。

管理设备为承担与区块链网络交互和维护区块链的功能的设备。示例性地，管理设备可以为独立的区块链维护网元，与其他网元共同部署实现区块链维护功能，也可以是NRF。其中，NRF负责网元的登记和管理。由于5G的网元数量多，因此需要用NRF来实现自动化管理网元。每个网元都通过服务化接口对外提供服务，并允许其他网元访问或调用自身的服务。其中，提供服务的网元被称作“网元服务提供者”，访问或调用服务的网元被称作“网元服务使用者”，上述活动需要NRF的管理和监控。每个网元启动时，需要到NRF进行注册登记才能提供服务。一个网元想请求另一个网元的服务，需要到NRF来进行服务发现。

在一些实施例中，区块链网络可以由多个NRF负责运营，NRF可以作为区块链网元连接到区块链网络、维护区块链、生成新区块和向区块链网络发布内容。需要注意的是，该区块链功能网元可为独立部署或与其他网元合设。

此外，在本申请实施例中，区块链的标识信息可以包括区块链的ID、区块链地址，区块链的版本号中的至少一种。区块的标识信息可以包括区块的ID、区块的哈希值、区块交易编号和区块交易哈希值中的至少一种。可以理解的是，本申请实施例对区块链的标识信息和区块的标识信息的具体形式不做限定，以下仅区块链的标识信息包括区块链的ID，区块的标识信息包括区块的ID为例进行说明。

基于此，本申请实施例提供一种证书查询方法，如图3所示，该方法包括：

步骤300：管理设备接收来自于第二设备的第一信息。

其中，第一信息可以包括第一设备的证书或第一设备的证书的标识。其中，第一证书包括第一证书的标识。

示例性地，这里的第一信息用于请求查询第一证书的有效性(即第一证书的证书状态信息)，也可以为TLS连接建立信息。

步骤310：管理设备根据第一设备的证书的标识和第一映射关系确定第一设备的证书的证书状态信息。其中，第一映射关系指示第一设备的证书的标识与证书状态信息的对应关系。

其中，证书状态信息用于指示第一设备的证书是否被吊销。示例性地，证书状态信息指示第一设备的证书未被吊销，或者第一设备的证书的吊销原因值，或者证书状态信息指示第一设备的证书未被吊销，或者第一设备的证书被吊销和吊销原因值。其中，第一设备的证书的吊销原因值可能为第一设备的私钥已泄露，或者第一设备为恶意用户等。本申请实施例对第一设备的证书的吊销原因值不做限定。

步骤320：管理设备向第二设备发送证书状态信息。

针对上述步骤310，第一映射关系可以显示指示第一设备的证书的标识与证书状态信息的对应关系，或者隐示指示第一设备的证书的标识与证书状态信息的对应关系。以下仅以示例1和示例2为例说明第一映射关系，此外，第一映射关系还可以具有其他多种实现形式，本申请实施例对此不做限定。

示例1：第一映射关系可以指示第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息的对应关系，其中，第一区块在第一区块链上，第一区块存储第一证书和证书状态信息，或者第一区块存储第一证书的标识和证书状态信息。

基于示例1所示的第一映射关系，在管理设备根据第一设备的证书的标识和第一映射关系确定证书状态信息时，管理设备根据第一设备的证书的标识和第一映射关系确定第一区块链的标识信息和第一区块的标识信息，根据第一区块链的标识信息和第一区块的标识信息确定第一区块，管理设备根据第一设备的证书的标识从第一区块获取证书状态信息。

需要说明的是，在示例1中，证书状态信息可以直接指示第一设备的证书未被吊销，或者直接指示第一设备的证书被吊销，此时，证书状态信息可以同时包括第一设备的证书的吊销原因值，或者不包括第一设备的证书的吊销原因值。或者，证书状态信息可以直接指示第一设备的证书未被吊销，或者证书状态信息包括第一设备的证书的吊销原因值。或者证书状态信息为空，则表明第一设备的证书未被吊销，或者证书状态信息包括第一设备的证书的吊销原因值。

此外，第一映射关系可以指示第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息和第一设备的证书状态信息的对应关系。

示例2：第一映射关系指示被吊销的证书的标识、存储被吊销的证书的区块所在的区块链的标识信息和存储被吊销的证书的区块的标识信息的对应关系。

可以理解的是，示例2所示的第一映射关系可以包括一个或多个映射关系，当第一映射关系包括多个映射关系时，第一映射关系可以看做多个映射关系的集合。例如，当网元A的证书被吊销且网元B的证书被吊销时，则第一映射关系包括网元A的证书的标识、存储网元A的证书的吊销原因值的区块所在的区块链(简称区块链1)的标识、存储网元A的证书的吊销原因值的区块(简称区块1)的标识，其中，区块1在区块链1上，区块1存储网元A的证书的标识和网元A的证书的吊销原因值，第一映射关系还包括网元B的证书的标识、存储网元B的证书的吊销原因值的区块所在的区块链(简称区块链1)的标识、存储网元B的证书的吊销原因值的区块(简称区块2)的标识，其中，区块2在区块链1上，区块2存储网元B的证书的标识和网元B的证书的吊销原因值。

基于示例2所示的第一映射关系，管理设备根据第一设备的证书的标识和第一映射关系确定证书状态信息包括两种情况：

情况1：在被吊销的证书的标识不包括第一设备的证书的标识时，管理设备确定证书状态信息，证书状态信息指示第一证书未被吊销。因此，通过示例2所示的第一映射关系可以隐示确定证书未被吊销。

情况2：在被吊销的证书的标识包括第一设备的证书的标识时，第一映射关系包括第四映射关系，第四映射关系指示第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息，其中，第二区块在第二区块链上，第二区块存储被吊销证书的标识和被吊销的证书对应的吊销原因值。管理设备根据第一设备的证书的标识和第一映射关系确定第二区块链的标识信息和第二区块的标识信息，根据第二区块链的标识信息和第二区块的标识信息确定第二区块，管理设备根据第一设备的证书的标识从第二区块获取第一设备的证书的吊销原因值，管理设备确定证书状态信息，证书状态信息指示第一设备的证书的吊销原因值或第一设备的证书被吊销。

进一步地，对应于上述示例1和示例2，管理设备可以通过以下方式获得第一映射关系。

对应于上述示例1所示的第一映射关系，管理设备获得第一映射关系可以包括以下两种场景：

场景1：当管理设备为将证书状态信息公布至区块链网络的管理设备时，管理设备通过以下过程获得第一映射关系：

步骤1：管理设备接收来自于第一CA的第五信息，第五信息包括第一设备的证书和证书状态信息，证书状态信息指示第一设备的证书未被吊销。或者第五信息包括第一设备的证书的标识和证书状态信息，证书状态信息指示第一设备的证书未被吊销。

此外，在一些实施例中，第五信息包括第一设备的证书或第一设备的证书的标识，但未包括证书状态信息，在这种情况下，管理设备默认第一设备的证书的证书状态信息指示第一设备的证书未被吊销。

步骤2：管理设备确定第一区块链的标识信息。

在一些实施例中，管理设备负责多个使用场景的多个区块链维护，即管理设备维护多个区块链。例如，管理设备同时为TLS通信、IPSec通信等场景维护区块链，不同使用场景的证书或证书的标识(例如TLS证书或IPSec的证书)可以维护在不同的区块链上。

示例性地，当不同使用场景的证书维护在不同的区块链上时，管理设备可以基于证书的适用范围确定与该适用范围对应的区块链，作为存储该证书的区块链。若第五信息还包括用于指示第一设备的证书的适用范围的信息，管理设备根据用于指示第一设备的证书的适用范围的信息确定第一区块链的标识信息。

同理，当不同使用场景的证书的标识维护在不同的区块链上时，管理设备可以基于证书的标识对应的证书的适用范围确定与该适用范围对应的区块链，作为存储该证书的标识的区块链。示例性地，若第五信息还包括用于指示第一设备的证书的标识对应的证书的适用范围的信息，管理设备根据用于指示第一设备的证书的标识对应的证书的适用范围的信息确定第一区块链的标识信息。

在一些实施例中，管理设备可以负责单一特定场景的多个区块链维护，但是同一场景下不同类别的网元的证书或证书标识维护在不同区块链之上。例如，管理设备将CA的证书和基站的证书或证书标识分别维护在不同区块链之上。此时，可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。管理设备根据第一设备的证书所对应的网元的类别确定第一区块链的标识信息。

在一些实施例中，管理设备可以负责多个使用场景的单个区块链维护，即管理设备仅维护一个区块链。例如，管理设备同时为TLS通信、IPSec通信等场景维护区块链，但是这些场景所对应的证书维护在一条区块链上，即不同使用场景的证书或证书的标识(例如TLS证书或IPSec的证书)可以维护在同一个区块链上。此时可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。

在一些实施例中，管理设备可以负责单一特定场景的单一区块链维护，即管理设备仅维护一个区块链，则此时可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。

步骤3：当第五信息包括第一设备的证书和证书状态信息时，管理设备将第一设备的证书、证书状态信息公布至第一区块链的标识信息对应的区块链网络。

可以理解的是，区块链网络可以维护一个或多个区块链。在一些实施例中，当区块链网络维护一个区块链时，管理设备将第一设备的证书、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书、证书状态信息。

在一些实施例中，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书、证书状态信息和第一区块链的标识信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书、证书状态信息和第一区块链的标识信息。或者，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书、证书状态信息，同时，管理设备还向区块链网络广播第一区块链的标识信息。

进一步地，第一区块链的标识信息对应的区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块的标识信息和第一区块链的标识信息。在第一区块链的标识信息对应的区块链网络中，最快生成新区块的节点将该新区块以第二广播消息的形式广播到该区块链网络，其余节点在接收到该第二广播消息后，使用共识算法验证该新区块，若该新区块有效，则停止根据该区块交易生成新区块，该新区块记为第一区块。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。在这种情况下，第一区块存储第一证书、证书状态信息、第一区块的标识信息和第一区块链的标识信息。其中，第一证书包括第一证书的标识。

类似的，当第五信息包括第一设备的证书的标识和证书状态信息时，管理设备将第一设备的证书的标识、证书状态信息公布至第一区块链的标识信息对应的区块链网络，可以参考上述过程，此处不再赘述。在这种情况下，第一区块存储第一证书的标识、证书状态信息、第一区块的标识信息和第一区块链的标识信息。

步骤4：管理设备获取第二广播消息，第二广播消息指示第一映射关系，第一映射关系指示第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息的对应关系。

具体的，第二广播消息包括第一区块，管理设备保存上述第一区块，将该第一区块更新到第一区块链末端。管理设备根据第一区块可以确定第一映射关系。管理设备保存上述第一映射关系。

此外，在一些实施例中，第五信息还可以包括第一CA的证书的标识，此时，管理设备通过区块交易的形式将第一CA的证书的标识、第一设备的证书、证书状态信息公布至第一区块链的标识信息对应的区块链网络。在这种情况下，第一区块存储第一CA的证书的标识、第一证书、证书状态信息、第一区块的标识信息和第一区块链的标识信息。

类似的，管理设备将第一CA的证书的标识、第一设备的证书的标识、证书状态信息公布至第一区块链的标识信息对应的区块链网络，可以参考上述过程，此处不再赘述。在这种情况下，第一区块存储第一CA的证书的标识、第一证书的标识、证书状态信息、第一区块的标识信息和第一区块链的标识信息。

此时，管理设备获取的第二广播消息还指示第三映射关系。第三映射关系指示第一设备的证书的标识和第一CA的证书的标识的对应关系。示例性地，第一映射关系和第三映射关系可以独立存在，第一映射关系和第三映射关系可以分开发送或者合并到一条信息中发送。又或者，第一映射关系和第三映射关系可以合并为一条映射关系。

步骤5：管理设备向第一CA发送第六信息，第六信息指示证书状态信息已公布至第一区块链的标识信息对应的区块链网络。

场景2：当管理设备不是将证书状态信息公布至区块链网络的管理设备时，管理设备获取第二广播消息。第二广播消息指示第一映射关系，或者第一映射关系和第三映射关系。

具体可以参阅上述对应示例1的场景1中步骤3和步骤4的相关内容，重复之处不再赘述。具体的，第二广播消息包括第一区块，管理设备保存上述第一区块，将该第一区块更新到第一区块链末端。管理设备根据第一区块可以确定第一映射关系，管理设备保存上述第一映射关系，或者管理设备根据第一区块可以确定第一映射关系和第三映射关系，管理设备保存上述第一映射关系和第三映射关系。

进一步地，在证书状态信息发生改变时，管理设备还需要获取更新后的第一映射关系。具体的，管理设备获得更新后的第一映射关系可以包括以下两种场景：

场景1：当管理设备是将更新后的证书状态信息公布至区块链网络的管理设备时，管理设备通过以下过程获得更新后的第一映射关系：

步骤1：管理设备接收来自于第一CA的第七信息，第七信息包括第一设备的证书的标识和证书状态信息，更新后的证书状态信息指示第一设备的证书的吊销原因值。

步骤2：管理设备根据第一设备的证书的标识和第一映射关系确定第一区块链的标识信息。

通过上述管理设备获得第一映射关系的相关描述可知，管理设备当前已保存第一映射关系，因此，管理设备可以根据第一设备的证书的标识和已保存的第一映射关系确定第一区块链的标识信息。

步骤3：管理设备将第一设备的证书的标识、更新后的证书状态信息公布至第一区块链的标识信息对应的区块链网络。

在一些实施例中，当区块链网络维护一个区块链时，管理设备将第一设备的证书的标识、更新后的证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、更新后的证书状态信息。

在一些实施例中，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书的标识、更新后的证书状态信息和第一区块链的标识信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、更新后的证书状态信息和第一区块链的标识信息。或者，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书的标识、更新后的证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、更新后的证书状态信息。同时，管理设备还向区块链网络广播第一区块链的标识信息。

进一步地，区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块的标识信息和第一区块链的标识信息。在区块链网络中，最快生成新区块的节点将该新区块以第三广播消息的形式广播到该区块链网络，其余节点在接收到该第三广播消息后，使用共识算法验证该新区块，若该新区块有效，则停止根据该区块交易生成新区块，该新区块记为第四区块。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。在这种情况下，第四区块存储第一证书的标识、更新后的证书状态信息、第四区块的标识信息和第四区块链的标识信息。

步骤4：管理设备获取第三广播消息，第三广播消息包括更新后的第一映射关系，更新后的第一映射关系指示第一设备的证书的标识、第一区块链的标识信息和第四区块的标识信息的对应关系。

具体的，第三广播消息包括第四区块，管理设备保存上述第四区块，将该第四区块更新到第一区块链末端。管理设备根据第四区块可以确定更新后的第一映射关系。管理设备保存更新后的第一映射关系。

步骤5：管理设备向第一CA发送第八信息，第八信息指示更新后的证书状态信息已公布至第一区块链的标识信息对应的区块链网络。

场景2：当管理设备不是将更新后的证书状态信息公布至区块链网络的管理设备时，管理设备获取第三广播消息，第三广播消息指示更新后的第一映射关系。更新后的第一映射关系指示第一设备的证书的标识、第一区块链的标识信息和第四区块的标识信息的对应关系。

具体的，第三广播消息包括第四区块，管理设备保存上述第四区块，将该第四区块更新到第一区块链末端。管理设备根据第四区块可以确定更新后的第一映射关系，管理设备保存上述更新后的第一映射关系。

对应于上述示例2所示的第一映射关系，管理设备获得第一映射关系可以包括以下两种场景：

场景1：当管理设备为将第一设备的证书的标识和证书状态信息(证书状态信息指示第一设备的证书的吊销原因值)公布至区块链网络的管理设备时，管理设备通过以下过程获得第四映射关系，第四映射关系指示第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息的对应关系。第一映射关系包括第四映射关系。

步骤1：管理设备接收来自于第一CA的第九信息，第九信息包括第一设备的证书的标识和证书状态信息。

步骤2：管理设备确定第二区块链的标识信息。

在一些实施例中，管理设备负责多个使用场景的多个区块链维护，即管理设备维护多个区块链。例如，管理设备同时为TLS通信、IPSec通信等场景维护区块链，不同使用场景的证书的标识(例如TLS证书或IPSec的证书)可以维护在不同的区块链上。

当不同使用场景的证书的标识维护在不同的区块链上时，管理设备可以基于证书的标识对应的证书的适用范围确定与该适用范围对应的区块链，作为存储该证书的标识的区块链。示例性地，若第九信息还包括用于指示第一设备的证书的标识对应的证书的适用范围的信息，管理设备根据用于指示第一设备的证书的标识对应的证书的适用范围的信息确定第一区块链的标识信息。

在一些实施例中，管理设备可以负责单一特定场景的多个区块链维护，但是同一场景下不同类别的网元的证书或证书标识维护在不同区块链之上。例如，管理设备将CA的证书标识和基站的证书标识分别维护在不同区块链之上。此时，可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。管理设备根据第一设备的证书标识对应的证书所对应的网元的类别确定第一区块链的标识信息。

在一些实施例中，管理设备可以负责多个使用场景的单个区块链维护，即管理设备仅维护一个区块链。例如，管理设备同时为TLS通信、IPSec通信等场景维护区块链，但是这些场景所对应的证书维护在一条区块链上，即不同使用场景的证书的标识(例如TLS证书或IPSec的证书)可以维护在同一个区块链上。此时可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。

步骤3：管理设备将第一设备的证书的标识、证书状态信息和第二区块链的标识信息公布至第二区块链的标识信息对应的区块链网络。

可以理解的是，区块链网络可以维护一个或多个区块链。在一些实施例中，当区块链网络维护一个区块链时，管理设备将第一设备的证书的标识、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、证书状态信息。

在一些实施例中，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书的标识、证书状态信息和第一区块链的标识信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、证书状态信息和第二区块链的标识信息。或者，当区块链网络维护多个区块链时，管理设备可以将第一设备的证书的标识、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括第一设备的证书的标识、证书状态信息。同时，管理设备还向区块链网络广播第二区块链的标识信息。

进一步地，第一区块链的标识信息对应的区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块的标识信息和第二区块链的标识信息。在第一区块链的标识信息对应的区块链网络中，最快生成新区块的节点将该新区块以第二广播消息的形式广播到该区块链网络，其余节点接收到该第二广播消息，使用共识算法验证该新区块，若新区块有效，则停止根据该区块交易生成新区块，新区块记为第二区块。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。在这种情况下，第二区块存储第一设备的证书的标识、证书状态信息、第二区块的标识信息和第二区块链的标识信息。

步骤4：管理设备获取第二广播消息。第二广播消息指示第四映射关系，第四映射关系指示第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息的对应关系。

具体的，第三广播消息包括第二区块，管理设备保存上述第二区块，将第二区块更新到第二区块链末端。管理设备根据第二区块可以确定第四映射关系，管理设备保存第四映射关系。

步骤5：管理设备向第一CA发送第八信息，第八信息指示证书状态信息已公布至第二区块链的标识信息对应的区块链网络。

场景2：当管理设备不是将第一设备的证书的标识和证书状态信息(证书状态信息指示第一设备的证书的吊销原因值)公布至区块链网络的管理设备时，管理设备获取第二广播消息。第二广播消息指示第四映射关系，第四映射关系指示第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息的对应关系。

通过上述过程，第一映射关系依赖区块链的分布式共识和分布式账本机制，负责确定证书状态信息。证书状态信息可以存储在区块链网络内的区块链中，区块链网络由网络运营商独立运营，因此可以实现运营商内网查询证书状态信息，省去跨网查询步骤。

管理设备除了需要确定第一设备的证书的证书状态信息，管理设备还需获得第一CA的公钥，以验证第一设备的证书的数字签名是否有效。其中，第一CA是指为第一设备签发第一设备的证书的CA。需要说明的是，本申请实施例不限定管理设备获得第一CA的公钥的具体方式。

在一些实施例中，管理设备获取第一CA的公钥，并向第二设备发送第一CA的公钥，以使第二设备根据第一CA的公钥验证第一设备的证书的数字签名是否有效。其中，第一CA的公钥可以与第一证书的证书状态信息同时发送给第二设备或者分开发送给第二设备。

示例性地，管理设备可以在确定第一设备的证书的证书状态信息之后，获取第一CA的公钥并向第二设备发送第一CA的公钥，或者管理设备可以在确定第一设备的证书的证书状态信息之前，获取第一CA的公钥，在后续确定第一设备的证书的证书状态有效后向第二设备发送第一CA的公钥。

示例性地，管理设备在确定第一设备的证书的证书状态信息指示第一设备的证书未被吊销时，管理设备向第二设备发送第一CA的公钥。管理设备在确定第一设备的证书的证书状态信息指示第一设备的证书被吊销时，管理设备不向第二设备发送第一CA的公钥。示例性的，管理设备可以先获取第一CA的公钥，在确定第一设备的证书的证书状态信息指示第一设备的证书未被吊销时，管理设备向第二设备发送第一CA的公钥。

在一些实施例中，管理设备获取第一CA的公钥，管理设备根据第一CA的公钥确定第一设备的证书的数字签名是否有效。

示例性地，管理设备可以在确定第一设备的证书的证书状态信息之后，根据第一CA的公钥确定第一设备的证书的数字签名是否有效。或者管理设备可以在确定第一设备的证书的证书状态信息之前，根据第一CA的公钥确定第一设备的证书的数字签名是否有效。

示例性地，在管理设备确定第一设备的证书的证书状态信息之前，管理设备根据第一CA的公钥确定第一设备的证书的数字签名是否有效。进一步地，若管理设备根据第一CA的公钥确定第一设备的证书的数字签名有效，管理设备执行根据第一设备的证书的标识和第一映射关系确定第一设备的证书的证书状态信息。若管理设备根据第一CA的公钥确定第一设备的证书的数字签名无效，管理设备可以不需要执行根据第一设备的证书的标识和第一映射关系确定第一设备的证书的证书状态信息。

示例性地，在管理设备确定证书状态信息指示第一设备的证书未被吊销时，管理设备获取第一CA的公钥，管理设备根据第一CA的公钥判断第一设备的证书的数字签名是否有效，管理设备向第一设备发送第二信息，第二信息指示第一设备的证书的数字签名是否有效。在管理设备确定证书状态信息指示第一设备的证书被吊销时，管理设备可以不需要获取第一CA的公钥，也不需要判断第一设备的证书的数字签名是否有效。

在一些实施例中，管理设备获得第一CA的公钥，需要基于第二映射关系。第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系。管理设备获得第二映射关系可以包括以下两种场景：

场景1：当管理设备是将第一CA的证书公布至区块链网络的管理设备时，管理设备通过以下过程获得第二映射关系：

步骤1：管理设备接收来自于第一CA的第三信息，第三信息包括第一CA的证书。

步骤2：管理设备确定第三区块链的标识信息。

当不同使用场景的证书的标识维护在不同的区块链上时，管理设备可以基于证书的标识对应的证书的适用范围确定与该适用范围对应的区块链，作为存储该证书的标识的区块链。示例性地，若第三信息还包括用于指示第一CA的证书对应的证书的适用范围的信息，管理设备根据用于指示第一CA的证书对应的证书的适用范围的信息确定第三区块链的标识信息。

在一些实施例中，管理设备可以负责单一特定场景的多个区块链维护，但是同一场景下不同类别的网元的证书或证书标识维护在不同区块链之上。例如，管理设备将CA的证书标识和基站的证书标识分别维护在不同区块链之上。此时，可以由第一CA根据证书适用范围选择管理设备，第一CA可以不携带证书适用范围。管理设备根据第一CA的证书所对应的网元的类别确定第三区块链的标识信息。

需要说明的是，第三区块链与第一区块链可以是相同的区块链或者不同的区块链。或者，第三区块链与第二区块链可以是相同的区块链或者不同的区块链。当第三区块链与第一区块链(或第二区块链)是不同的区块链时，第三区块链与第一区块链(或第二区块链)可以是相同适用范围的不同区块链，或者，不同适用范围的不同区块链。

步骤3：管理设备将第一CA的证书公布至第三区块链的标识信息对应的区块链网络。

可以理解的是，区块链网络可以维护一个或多个区块链。在一些实施例中，当区块链网络维护一个区块链时，管理设备将第一CA的证书通过区块交易的形式广播到区块链网络，该区块交易包括第一CA的证书。

在一些实施例中，当区块链网络维护多个区块链时，管理设备可以将第一CA的证书和第一区块链的标识信息通过区块交易的形式广播到区块链网络，该区块交易包括第一CA的证书和第三区块链的标识信息。或者，当区块链网络维护多个区块链时，管理设备可以将第一CA的证书通过区块交易的形式广播到区块链网络，该区块交易包括第一CA的证书。同时，管理设备还向区块链网络广播第三区块链的标识信息。

进一步地，第三区块链的标识信息对应的区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块的标识信息和第三区块链的标识信息。在第三区块链的标识信息对应的区块链网络中，最快生成新区块的节点将该新区块以第一广播消息的形式广播到该区块链网络，其余节点接收到该第一广播消息，使用共识算法验证该新区块有效后，停止根据该区块交易生成新区块，该新区块记为第三区块。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。在这种情况下，第三区块存储第一CA的证书、第三区块的标识和第三区块链的标识信息。

步骤4：管理设备获取第一广播消息，第一广播消息指示第二映射关系，第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系。

具体的，第一广播信息包括第三区块，管理设备保存上述第三区块，将该第三区块更新到第三区块链末端。管理设备根据第三区块可以确定第二映射关系。管理设备保存上述第二映射关系。

步骤5：管理设备向第一CA发送第四信息，第四信息指示第一CA的证书已公布至第三区块链的标识信息对应的区块链网络。

场景2：当管理设备不是将第一CA的证书公布至区块链网络的管理设备时，管理设备获取第一广播消息，第一广播消息指示第二映射关系，第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系。

进一步地，在获得第二映射关系之后，管理设备可以具体采用以下方式获取第一CA的公钥。

方式1：在第一信息不包括第一CA的证书的标识时，管理设备需要首先根据第一设备的证书的标识和第三映射关系确定第一CA的证书的标识，第三映射关系指示第一设备的证书的标识和第一CA的证书的标识的对应关系，然后管理设备根据第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系。管理设备根据第三区块链的标识信息和第三区块的标识信息确定第三区块，管理设备根据第一CA的证书的标识从第三区块获取第一CA的公钥。

其中，方式1可以适用于示例1所示的第一映射关系对应的实施例。

方式2：在第一信息包括第一CA的证书的标识时，管理设备根据第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，第二映射关系指示第一CA的证书的标识、第三区块链的标识信息和第三区块的标识信息的对应关系。然后管理设备根据第三区块链的标识信息和第三区块的标识信息确定第三区块，管理设备根据第一CA的证书的标识从第三区块获取第一CA的公钥。

其中，方式2可以适用于示例2所示的第一映射关系对应的实施例。

通过上述方法可以实现减少CA的数量，将原有多层级的PKI架构扁平化，减少了设备投入和运维成本。区块链的分布式账本性质保证所有管理设备上均存储同样的区块链、区块和区块交易，可以实现信任锚点的功能。PKI架构中心化信任机制变为去中心化信任机制，信任锚点均锚定在区块链上，第二设备任意查询最近的运营区块链的网元(即管理设备)便可以获取与第一设备的信任关系。使用区块链简化PKI架构，将原有中心化的根信任机制，变为去中心化的信任机制,简化证书验证机制，防止因多层CA的PKI架构导致需要验证多个证书以确定是否存在共同信任锚点，和因没有共同的信任锚点导致无法验证证书。

下面结合具体示例对上述内容进行详细说明。

实施例一：

以下以NRF维护多个区块链为例进行说明证书查询过程，如图4A和图4B所示。

步骤1：CA-A生成自签名的证书。其中，CA-A独立生成私钥和对应的公钥，并生成自己的证书，CA-A证书使用CA-A的私钥进行自签名。其中，CA-A证书可以包括如表2中内容：

表2.CA-A证书

步骤2：CA-A向NRF发送CA-A证书和CA-A证书的证书适用范围。

可以理解的是，第一，NRF可以负责多个使用场景的多个区块链维护，不同使用场景的证书和/或证书的标识(例如TLS证书或IPSec的证书)可以维护在不同的区块链上。CA-A可以携带CA-A证书的证书适用范围，NRF可以根据CA-A证书的证书适用范围确定对应的区块链标识。示例性地，CA-A证书的证书适用范围用于指示CA-A证书的证书用途，例如，CA-A证书可以用于TLS通信、IPSec通信或是运营商之间通信等。

第二，NRF可以负责单一特定场景的多个区块链维护，但是同一场景下不同类别的网元的证书和/或证书标识维护在不同区块链之上。此时，可以由CA-A根据证书适用范围选择NRF，CA-A可以不携带证书适用范围。NRF根据CA-A证书所对应的网元的类别确定对应的区块链标识。

以下仅以CA-A携带CA-A证书的证书适用范围为例进行说明。

步骤3：NRF根据CA-A证书的证书适用范围确定对应的区块链标识，此处记为区块链A的标识。NRF将CA-A证书公布到区块链标识对应的区块链网络。

示例性地，当区块链网络仅维护一个区块链时，CA-A证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书。

示例性地，当区块链网络维护多个区块链时，CA-A证书和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书和区块链标识。或者，当区块链网络维护多个区块链时，CA-A证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书。NRF同时广播区块链标识。

进一步地，区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识和区块链标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链停止根据该区块交易生成新区块，其中，新区块标识为区块A1的标识和区块链标识为区块链A的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤4：NRF接收广播信息，保存CA-A证书的CA证书映射关系。

具体的，NRF接收步骤3中包括区块A1的广播消息，该广播消息指示区块链标识、区块标识和CA-A证书的ID的对应关系，其中该区块链标识为区块链A的标识，区块标识为区块A1的标识。因此，NRF可以确定具体如表3所示的对应关系，记为CA-A证书的CA证书映射关系。NRF保存区块A1，将区块A1更新到区块链A末端。NRF根据区块A1可以确定上述映射关系，NRF保存上述映射关系。

表3.CA-A证书的CA证书映射关系

其中，区块链标识、区块标识和CA-A证书的ID的对应关系可以对应上述第二映射关系。

步骤5：NRF向CA-A发送上链确认消息。该上链确认消息用于指示CA-A的证书已公布到区块链网络。

同理，CA-B和NRF执行类似步骤1-5的步骤6-10。可以理解的是，本申请实施例不限定步骤1-5与步骤6-10的先后顺序。

步骤6：CA-B生成自签名的证书。其中，CA-B独立生成私钥和对应的公钥，并生成自己的证书，CA-B证书使用CA-B的私钥进行自签名。其中，CA-B证书可以包括如表4中内容：

表4.CA-B证书

步骤7：CA-B向NRF发送CA-B证书和CA-B证书的证书适用范围。

类似的，这里可以参考步骤2的相关描述，以下仅以CA-B携带CA-B证书的证书适用范围为例进行说明。

步骤8：NRF根据CA-B证书的证书适用范围选择对应的区块链标识。NRF将CA-B证书公布到区块链标识对应的区块链网络。

这里可以假设CA-A的证书的证书适用范围与CA-B的证书的证书适用范围相同，NRF根据CA-B证书的证书适用范围确定区块链A的标识。

示例性地，当区块链网络仅维护一个区块链时，CA-B证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-B证书。

示例性地，当区块链网络维护多个区块链时，CA-B证书和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括CA-B证书和区块链标识。或者，当区块链网络维护多个区块链时，CA-B证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-B证书。NRF同时广播区块链标识。

进一步地，区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识和区块链标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链，停止根据该区块交易生成新区块，其中新区块标识为区块A2的标识和区块链标识为区块链A的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤9：NRF接收广播信息，保存CA-B证书的CA证书映射关系。

具体的，NRF接收步骤3中包括区块A2的广播消息，该广播消息包括区块链标识、区块标识和CA-B证书的ID的对应关系，其中该区块链标识为区块链A的标识，区块标识为区块A2的标识。因此，NRF可以确定具体如表5所示的对应关系，记为CA-B证书的CA证书映射关系。NRF保存区块A2，将区块A2更新到区块链A末端。NRF根据区块A2可以确定上述映射关系，NRF保存上述映射关系。

其中，区块A2和区块A1可为同一区块，也可为不同区块。示例性地，区块链网络中的节点可将一段时间内接收到的所有区块交易使用共识算法形成新区块，当CA-B证书和CA-A证书在该段时间内均被公布到区块链网络时，区块A2和区块A1可以为同一区块，否则区块A2和区块A1是不同的区块。

表5.CA-B证书的CA证书映射关系

其中，区块链A的标识、区块A2的标识和CA-B证书的ID的对应关系可以对应上述第二映射关系。

步骤10：NRF向CA-B发送上链确认消息。该上链确认消息用于指示CA-B的证书已公布到区块链网络。

步骤11：网元A在本地生成自己的公钥和私钥，并将公钥发送给CA-A以请求CA-A为网元A签发证书。

步骤12：CA-A根据网元A的公钥生成网元A的证书，并将网元A的证书发送给网元A。其中网元A证书可以包括如表6A所示的信息：

表6A.CA-A为网元A签发的证书内容

同样的，网元B执行步骤13-14，从CA-B获取网元B的证书。

步骤13：网元B在本地生成自己的公钥和私钥，并将公钥发送给CA-B以请求CA-B为网元B签发证书。

步骤14：CA-B根据网元B的公钥生成网元B的证书，并将网元B的证书发送给网元B。其中网元B证书可以包括如表6B所示的信息：

表6B.CA-B为网元B签发的证书内容

步骤15：CA-A向NRF将发送网元A证书、网元A证书的证书状态信息和CA-A的证书ID。网元A证书的证书状态信息指示网元A证书未被吊销，或者网元A证书有效。

示例性地，CA-A可以同时向NRF发送网元A证书的证书适用范围。类似的，这里可以参考步骤2的相关描述，以下仅以CA-A携带网元A证书的证书适用范围为例进行说明。

需要说明的是，NRF可以根据CA-A证书的ID查询CA证书映射关系(如表3所示)获取区块链标识和区块标识(分别为区块链A的标识和区块A1的标识)，通过获取的区块链A的标识和区块A1的标识从区块链A中获取区块A1，得到CA-A的公钥。该CA-A公钥用于验证网元A证书中的数字签名是否有效。在确认网元A证书中的数字签名有效时，继续执行下述步骤。

可选的，CA-A也可在本步骤流程中，将网元A证书的标识(网元A证书ID)而非网元A证书发送给NRF。

步骤16：NRF根据网元A证书的证书适用范围选择对应的区块链标识，记为区块链B的标识。NRF将CA-A证书ID、网元A证书、网元A证书的证书状态信息公布到区块链标识对应的区块链网络。

可选的，如果NRF对同一场景不同网元的证书或证书的标识均维护在同一条区块链上，此时NRF也可根据CA-A证书ID查询CA证书映射关系获得区块链标识，将此区块链标识对应的区块链网络作为公布CA-A证书ID、网元A证书、网元A证书的证书状态信息的区块链网络。

示例性地，当区块链网络仅维护一个区块链时，CA-A证书ID、网元A证书、网元A证书的证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书ID、网元A证书、网元A证书的证书状态信息。

示例性地，当区块链网络维护多个区块链时，CA-A证书ID、网元A证书、网元A证书的证书状态信息和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书ID、网元A证书、网元A证书的证书状态信息和区块链标识。或者，当区块链网络维护多个区块链时，CA-A证书ID、网元A证书、网元A证书的证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书ID、网元A证书、网元A证书的证书状态信息。NRF同时广播区块链标识。

进一步地，区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识和区块链标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链，停止根据该区块交易生成新区块，其中新区块标识为区块B1的标识和区块链标识为区块链B的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

需要说明的是，基于上述假设2，区块链B与区块链A不同。

可选的，NRF也可在本步骤上述流程中，将网元A证书的标识(网元A证书ID)而非网元A证书公布到区块链网络。该区块交易和新区块B1包括网元A证书的标识，而不包括网元A证书。

步骤17：NRF接收广播信息，保存网元A的网元证书映射关系。

具体的，NRF接收步骤16中包括区块B1的广播消息，该广播消息指示区块链标识、区块标识、CA-A证书ID和网元A证书ID对应关系，其中该区块链标识为区块链B的标识，区块标识为区块B1的标识。或者，该广播消息指示区块链标识、区块标识、CA-A证书ID、网元A证书ID和网元A证书的证书状态信息的对应关系，其中该区块链标识为区块链B的标识，区块标识为区块B1的标识。

其中，上述广播消息所指示的对应关系对应上述示例1所示的第一映射关系和第三映射关系，具体如表7A所示。NRF保存区块B1，将区块B1更新到区块链B末端。NRF根据区块B1可以确定上述映射关系，NRF保存上述映射关系。

表7A.NRF对网元A的网元证书映射关系

步骤18：NRF向CA-A发送上链确认消息，该上链确认消息用于指示网元A的证书的证书状态信息已公布到区块链网络。

同样的，CA-B和NRF执行类似步骤19-22，将网元B的证书或网元B的证书的标识(网元B证书ID)公布到区块链网络。NRF接收广播消息，该广播消息指示CA-A证书ID、区块链标识，区块标识，CA-B证书ID、网元B证书ID的对应关系，或者，该广播消息指示CA-A证书ID、区块链标识，区块标识，CA-B证书ID、网元B证书ID和网元B证书的证书状态信息的对应关系，其中，该区块链标识为区块链B的标识，区块标识为区块B2的标识，如表7B所示。NRF保存区块B2，将区块B2更新到区块链B末端。NRF根据区块B2可以确定上述映射关系，NRF保存上述映射关系。

区块B2和区块B1可为同一区块，也可为不同区块。示例性地，区块链网络中的节点可将一段时间内接收到的所有区块交易使用共识算法形成新区块，当网元A证书和网元B证书，或网元A证书的标识和网元B证书的标识在该段时间内均被公布到区块链网络时，区块B1和区块B2可以为同一区块，否则区块B1和区块B2是不同的区块。

表7B.NRF对网元B的网元证书映射关系

在另一种可能的实现中，对于步骤16-18，NRF还可以将CA-A证书ID、网元A的证书的标识和网元A的证书的证书状态信息公布至区块链标识对应的区块链网络，具体过程与NRF将CA-A证书ID、网元A的证书和网元A的证书的证书状态信息公布至区块链网络类似，重复之处不再赘述。对于步骤19-22，NRF还可以将CA-A证书ID、网元B的证书的标识和网元B的证书的证书状态信息公布至区块链标识对应的区块链网络，具体过程与NRF将CA-A证书ID、网元B的证书和网元B的证书的证书状态信息公布至区块链标识对应的区块链网络类似，重复之处不再赘述。

步骤23：CA-B触发对网元B证书执行吊销，CA-B向NRF发送网元B证书ID和证书状态信息。证书状态信息指示CA-B证书的吊销原因值。需要说明的是，此时以CA-B触发对网元B证书吊销为例，实际情况中任何CA都可吊销其管辖的网元的证书。

步骤24：NRF根据网元B证书ID查找网元证书映射关系获取区块链标识(区块链B的标识)，将网元B证书ID、证书状态信息公布到区块链标识对应的区块链网络。

示例性地，当区块链网络仅维护一个区块链时，网元B证书ID、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息。

示例性地，当区块链网络维护多个区块链时，网元B证书ID、证书状态信息和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息和区块链标识。或者，当区块链网络维护多个区块链时，网元B证书ID、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息。NRF同时广播区块链标识。

区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识信息和区块链标识信息。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链停止根据该区块交易生成新区块，其中新区块标识为区块B3的标识和区块链标识为区块链B的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤25：NRF接收广播信息，保存更新后的网元B的网元证书映射关系。

NRF接收步骤24包含区块B3的广播消息，该广播消息指示区块链标识，区块标识，CA-B证书ID、网元B证书ID的对应关系，或者，该广播消息指示区块链标识，区块标识，CA-B证书ID、网元B证书ID和网元B证书的证书状态信息的对应关系，其中，该区块链标识为区块链B的标识，区块标识为区块B3的标识。

其中，上述广播消息所指示的对应关系对应上述示例1所示的更新后的第一映射关系，以及第三映射关系，其中，第三映射关系未更新，具体如表8所示。NRF保存区块B3，将区块B3更新到区块链B末端。NRF根据区块B3可以确定上述映射关系，NRF保存上述映射关系。

表8.NRF更新过后(吊销网元B证书后)的网元B的网元证书映射关系

步骤26：NRF向CA-B发送上链确认消息。该上链确认消息用于指示网元B的证书的证书状态信息已公布到区块链网络。

步骤27：网元A和网元B发起连接请求，其中互相交互本端证书，用于标识本端身份和所持公钥所有权。其中，携带证书的消息可以是TLS连接建立握手期间通过服务证书(server certificate)或用户证书(client certificate)携带证书，也可为IPSec连接建立在IKE_AUTH消息中携带证书，也可以是其他需要携带证书的场景，此处不做限定。

步骤28：网元A获取网元B证书后，网元A向NRF发送网元B证书或网元B证书ID，用以向NRF请求验证网元B证书是否吊销和验证网元B证书的数字签名是否有效。

示例性地，网元B证书可以由NRF的网元状态通知订阅(Nnrf_NFManagement_NFStatusSubscribe)消息或NRF的网元发现(Nnrf_NFDiscovery)消息承载。

步骤29：NRF根据网元B证书中的网元B证书ID查找更新后的网元B的网元证书映射关系(如表8)获取证书状态信息。

具体的，如果网元证书映射关系不包括证书状态信息，则NRF根据网元B证书ID查找网元证书映射关系获取区块链标识和区块标识(分别为区块链B的标识和区块B3的标识)，通过获取区块链B的标识和区块B3的标识从区块链B中获取区块B3，并在该区块B3内通过网元B证书ID查询网元B的证书的证书状态信息。由于在步骤23中CA-B已吊销网元B证书，NRF确定证书状态信息指示网元B证书已吊销和网元B证书的吊销原因值，例如网元B私钥已泄露，或网元B为恶意用户等，此处不做限定。

步骤30：NRF根据网元B证书中的网元B证书ID查找更新后的网元B的网元证书映射关系(如表8)获取CA证书ID，即CA-B证书ID，以此为索引查找CA-B证书的CA证书映射关系(如表5)获取CA-B的公钥。具体的，以CA-B证书ID为索引查找CA-B证书的CA证书映射关系(如表5)获取区块链标识和区块标识(分别为区块链A的标识和区块A2的标识)，通过获取的区块链A的标识和区块A2的标识从区块链A中获取区块A2，并在区块A2内通过CA-B证书ID查询CA-B的证书，CA-B的证书包括CA-B的公钥。

步骤31：NRF验证网元B证书的数字签名是否有效。

步骤32：NRF将步骤29中查找的证书状态信息和网元B证书的数字签名是否有效的结果发送给网元A。

此外，作为一种可能的实现方式，NRF在获取CA-B公钥后不在本地验证网元B证书的数字签名，NRF将CA-B公钥和步骤29中查找的证书状态信息发送给网元A，由网元A验证网元B证书的数字签名有效性。

作为一种可能的实现方式中，NRF确定网元B证书的证书状态信息指示网元B的证书被吊销，则NRF可以不执行获取CA-B公钥，进而不需要验证网元B证书的数字签名有效性。

其中，步骤32所示的消息可以是NRF的网元状态通知(Nnrf_NFManagement_NFStatusNotify)消息或Nnrf_NFDiscovery消息的回复消息。

步骤33：网元A根据NRF返回的证书状态信息确定网元B证书被吊销，停止与网元B的连接建立流程并拆除连接。

需要说明的是，只有在NRF返回的证书状态信息显示证书有效，且网元B证书的数字签名有效的情况下，网元A才继续后续的连接建立流程。网元A获知网元B证书的数字签名有效可以是由NRF告知，也可以是自己本地使用CA-B公钥对网元B证书的数字签名进行验证。

对应的，网元B也验证网元A发来的证书，由于CA-A没有吊销网元A证书，所以网元B从NRF获知网元A证书未被吊销且网元A证书的数字签名有效。

需要说明的是，步骤28-33可以在网元A和网元B连接建立中执行，如证书被吊销或证书的数字签名无效则停止连接建立，也可在连接建立后再执行，如证书被吊销或证书的数字签名无效则拆除连接。

需要说明的是，步骤23-33以CA-B吊销网元B证书，后续网元A请求验证该被吊销的网元证书为例进行说明，实际情况CA-A也可吊销网元A的证书，CA-B也可不吊销网元B证书，此处不再赘述。

采用上述实施例1，管理设备可以通过区块链方式维护CA证书映射关系和网元证书映射关系，并基于维护的上述映射关系查询最新的证书状态信息和CA公钥。

实施例二：

以下以NRF维护多个区块链为例进行说明证书查询过程，如图5A和图5B所示。

步骤1至步骤10可以参考上述实施例一的相关描述，重复之处不再赘述。

步骤12：CA-A根据网元A的公钥生成网元A的证书，并将生成的证书和CA-A证书ID发送给网元A。其中网元A证书可以包括如表6A所示的信息。

同样的，网元B执行步骤13-14，从CA-B获取网元B的证书。

步骤13：网元B在本地生成自己的公钥和私钥，并将公钥发送给CA-B以请求CA-B为网元B签发证书。其中网元B书可以包括如表6B的信息。

步骤14：CA-B根据网元B的公钥生成网元B的证书，并将生成的证书和CA-B证书ID发送给网元B。其中网元B证书可以包括如表6B所示的信息。

步骤15：CA-B触发对网元B证书执行吊销，CA-B向NRF发送网元B证书ID、证书状态信息和网元B证书的适用范围。证书状态信息指示CA-B证书的吊销原因值。需要说明的是，此时以CA-B触发对网元B证书吊销为例，实际情况中任何CA都可吊销其管辖的网元的证书。

类似的，这里可以参考实施例一中的步骤2的相关描述，以下仅以CA-B携带网元B证书的证书适用范围为例进行说明。

步骤16：NRF根据网元B证书的适用范围确定对应的区块链标识，此处记为区块链B的标识。NRF将网元B证书ID和证书状态信息公布到区块链标识对应的区块链网络。NRF将网元B证书ID、证书状态信息公布到区块链网络。

示例性地，当区块链网络仅维护一个区块链时，该区块链即区块链B，网元B证书ID、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息。可选的，如果区块链网络进维护一个区块链，此时区块链的标识信息可为区块链网络的标识信息。

示例性地，当区块链网络维护多个区块链时，网元B证书ID、证书状态信息和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息和区块链标识。或者，当区块链网络维护多个区块链时，网元B证书ID、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID、证书状态信息，此外，NRF同时广播区块链标识。

区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识和区块链标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链停止根据该区块交易生成新区块，其中，新区块标识为区块B1的标识和区块链标识为区块链B的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤17：NRF接收广播信息，保存网元B的网元证书映射关系。

其中，NRF接收步骤16中包括区块B1的广播消息，该广播消息指示区块链标识、区块标识和网元B证书ID的对应关系，其中该区块链标识为区块链B的标识，区块标识为区块B1的标识。

因此，NRF可以确定具体如表9所示的对应关系，记为NRF在网元B证书吊销后维护的网元B的网元证书映射关系。NRF保存区块B1，将区块B1更新到区块链B末端作为区块链B最后一个区块。NRF根据区块B1可以确定上述映射关系，NRF保存上述映射关系。

表9.NRF在网元B证书吊销后维护的网元B的网元证书映射关系

在另一种可能的实现方式中，在步骤15中，CA-B向NRF发送网元B证书ID、证书状态信息、网元B证书的适用范围和CA-B证书ID。证书状态信息指示CA-B证书的吊销原因值。在步骤16中，NRF将网元B证书ID、证书状态信息和CA-B证书ID公布到区块链网络，则在步骤17中，NRF可以确定具体如表10所示的对应关系。

表10NRF在网元B证书吊销后维护的网元B的网元证书映射关系

步骤18：NRF向CA-B发送上链确认消息。该上链确认消息用于指示网元B的证书的证书状态信息已公布到区块链网络。

步骤19：网元A和网元B发起连接请求，其中互相交互本端证书，用于标识本端身份和所持公钥所有权。网元还需将获取自己证书时一同获取的CA证书ID发送给对端，具体的，网元A在步骤12中获取了网元A的证书，和CA-A证书ID，则在网元A和网元B发起连接请求时，网元A需将网元A的证书和CA-A证书ID一同发送给网元B；网元B在步骤14中获取了网元B的证书，和CA-B证书ID，则在网元A和网元B发起连接请求时，网元B需将网元B的证书和CA-B证书ID一同发送给网元A。

步骤20：网元A获取网元B证书后，网元A向NRF发送网元B证书和CA-B证书ID，或者网元A向NRF发送网元B证书ID和CA-B证书ID，用以向NRF请求验证网元B证书是否吊销和验证网元B证书的数字签名是否有效。

步骤21：NRF根据CA-B证书ID查找CA-B证书的CA证书映射关系(如表5)获取CA-B的公钥。具体的，NRF根据CA-B证书ID查找表5，获取区块链标识和区块标识(分别为区块链A的标识和区块A2的标识)，通过获取的区块链A的标识和区块A2的标识从区块链A中获取区块A2，并在区块A2内通过CA-B证书ID查询CA-B的证书，CA-B的证书包括CA-B的公钥。NRF。

步骤22：NRF将CA-B公钥发送给网元A。由网元A验证网元B证书的数字签名有效性。

此外，在另一种可能的实现方式中，NRF验证网元B证书的数字签名是否有效，NRF将步骤24中查找的证书状态信息和网元B证书的数字签名是否有效的结果发送给网元A。

步骤23：NRF根据网元B证书中的网元B证书ID查找网元B的网元证书映射关系(如表9或表10)获取证书状态信息。

具体的，如果网元证书映射关系不包括证书状态信息，则NRF根据网元B证书ID查找网元证书映射关系获取区块链标识和区块标识(分别为区块链B的标识和区块B1的标识)，通过获取的区块链B的标识和区块B1的标识从区块链B中获取区块B1，并在该区块B3内通过网元B证书ID查询并获取网元B的证书对应的证书状态信息。由于在步骤15-18中CA-B已吊销网元B证书，NRF确定证书状态信息指示网元B证书的吊销原因值，例如网元B私钥已泄露，或网元B为恶意用户等，此处不做限定。

在另一种可能的实现方式中，NRF确定网元B证书的证书状态信息指示网元B的证书被吊销，则NRF可以不执行获取CA-B公钥，进而不需要验证网元B证书的数字签名有效性。

步骤24：NRF向网元A发送证书状态信息。

步骤25：网元A根据NRF返回的证书状态信息确定网元B证书被吊销，停止与网元B的连接建立流程并拆除连接。

对应的，网元B也验证网元A发来的证书，由于CA-A没有吊销网元A证书，NRF查询表9或表10无法获得网元A的标识，进而无法获得网元A的证书对应的证书状态信息，在这种情况下NRF默认确定网元A证书未被吊销。

需要说明的是，步骤20-24可以在网元A和网元B连接建立中执行，如证书被吊销或证书的数字签名无效则停止连接建立，也可在连接建立后再执行，如证书被吊销或证书的数字签名无效则拆除连接。

需要说明的是，步骤15-24以CA-B吊销网元B证书，后续网元A请求验证该被吊销的网元证书为例进行说明，实际情况CA-A也可吊销网元A的证书，CA-B也可不吊销网元B证书，此处不再赘述。

采用上述实施例2，管理设备可以通过区块链方式维护CA证书映射关系和被吊销的网元的证书映射关系，并基于维护的上述映射关系查询最新的证书状态信息和CA公钥，相较于实施例1可以节省未被吊销的网元的证书上链所需的信令开销。

实施例三：

以下以NRF仅维护一个区块链(例如区块链A)为例进行说明证书查询过程，如图6A和图6B所示。

步骤1：CA-A生成自签名的证书。其中，CA-A独立生成私钥和对应的公钥，并生成自己的证书，CA-A证书使用CA-A的私钥进行自签名。其中，CA-A证书可以包括如表2中内容。

步骤2：CA-A向NRF发送CA-A证书。

在一些实施例中，NRF可以负责多个使用场景的单个区块链维护，即NRF仅维护一个区块链。例如，NRF同时为TLS通信、IPSec通信等场景维护区块链，但是这些场景所对应的证书维护在一条区块链上，即不同使用场景的证书和/或证书的标识(例如TLS证书或IPSec的证书)可以维护在同一个区块链上。由CA-A根据CA-A证书的证书适用范围选择NRF。

在一些实施例中，NRF可以负责单一特定场景的单一区块链维护，即NRF仅维护一个区块链，由第一CA根据证书适用范围选择NRF。例如，NRF专门服务TLS通信场景的区块链，所有TLS场景对应的证书均维护在一条区块链之上，在CA将网元证书上链时，根据证书是在TLS场景使用，选择专门负责TLS通信场景的NRF。

步骤3：NRF将CA-A证书公布到区块链网络。

CA-A证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-A证书。区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块、更新对应区块链并停止根据该区块交易生成新区块，其中，新区块标识为区块A1的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤4：NRF接收广播消息，保存CA-A证书的CA证书映射关系。

其中，NRF接收步骤3中包括区块A1的广播消息，该广播消息指示区块标识和CA-A证书的ID的对应关系，其中，区块标识为区块A1的标识。因此，NRF可以确定具体如表11所示的对应关系，记为CA-A证书的CA证书映射关系。NRF保存区块A1，将区块A1更新到区块链A末端。NRF根据区块A1可以确定上述映射关系，NRF保存上述映射关系。

表11.NRF对CA-A证书的CA证书映射关系

其中，区块标识和CA-A证书的ID的对应关系可以对应上述第二映射关系。

步骤5：NRF向CA-A发送证书上链确认消息。该上链确认消息用于指示CA-A的证书已公布到区块链网络。

步骤6：CA-B独立生成私钥和对应的公钥，并生成自己的证书，CA-B证书使用CA-B的私钥进行自签名。

步骤7：CA-B向NRF发送CA-B证书。

类似于上述步骤2的相关内容，重复之处不再赘述。

步骤8：NRF将CA-B证书公布到区块链网络。

CA-B证书通过区块交易的形式广播到区块链网络，该区块交易包括CA-B证书。区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块、更新对应区块链并停止根据该区块交易生成新区块，其中，新区块标识为区块A2的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤9：NRF接收广播消息，保存CA-B证书的CA证书映射关系。

其中，NRF接收步骤8中包括区块A2的广播消息，该广播消息包括区块标识和CA-B证书的ID的对应关系，其中，区块标识为区块A2的标识。因此，NRF可以确定具体如表12所示的对应关系，记为CA-B证书的CA证书映射关系。NRF保存区块A2，将区块A2更新到区块链A末端。NRF根据区块A2可以确定上述映射关系，NRF保存上述映射关系。

其中，区块A2和区块A1可为同一区块，也可为不同区块。示例性地，区块链网络中的节点可将一段时间内接收到的所有区块交易使用共识算法形成新区块，当CA-B证书和 CA-A证书在该段时间内均被公布到区块链网络时，区块A2和区块A1可以为同一区块，否则区块A2和区块A1是不同的区块。

表12.NRF对CA-B证书的CA证书映射关系

步骤12：CA-A根据网元A的公钥生成证书，并将证书发送给网元A。其中网元A证书可以包括如表6A示的信息。

同样的，网元B执行步骤13-14，从CA-B获取网元B的证书。

步骤13：网元B在本地生成自己的公钥和私钥，并将公钥发送给CA-B以请求CA-B为网元B签发证书。其中网元B证书可以包括如表6B示的信息。

步骤14：CA-B根据网元B的公钥生成证书，并将证书发送给网元B。

类似于上述步骤2的相关内容，重复之处不再赘述。

步骤16：NRF将网元A证书、网元A证书的证书状态信息公布到区块链网络。

网元A证书、网元A证书的证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元A证书、网元A证书的证书状态信息。区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息后，使用共识算法验证该新区块有效后存储该区块并更新对应区块链，停止根据该区块交易生成新区块，其中，新区块标识为区块B1的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

步骤17：NRF接收广播信息，保存网元A的网元证书映射关系。

其中，NRF接收步骤16中包括区块B1的广播消息，该广播消息指示区块标识、CA-A证书ID和网元A证书ID对应关系，其中，区块标识为区块B1的标识。或者，该广播消息指示区块标识、CA-A证书ID、网元A证书ID和网元A证书的证书状态信息的对应关系，其中，区块标识为区块B1的标识。其中，上述广播消息所指示的对应关系对应上述示例1所示的第一映射关系和第三映射关系，具体如表13A所示。NRF保存区块B1，将区块B1更新到区块链A末端。NRF根据区块B1可以确定上述映射关系，NRF保存上述映射关系。

表13A.NRF对网元A的网元证书映射关系

同样的，CA-B和NRF执行类似步骤19-22，将网元B的证书或网元B的证书的标识公布到区块链网络。NRF接收广播消息，该广播消息指示区块标识，CA-B证书ID、网元B证书ID的对应关系，或者，该广播消息指示区块标识，CA-B证书ID、网元B证书ID和网元B证书的证书状态信息的对应关系，如表13B所示。其中，区块标识为区块B2的标识。NRF保存区块B2，将区块B2更新到区块链A末端。NRF根据区块B2可以确定上述映射关系，NRF保存上述映射关系。

表13B.NRF对网元B的网元证书映射关系

步骤23：CA-B触发对网元B证书执行吊销，CA-B向NRF发送网元B证书ID和证书状态信息。证书状态信息指示CA-B证书的吊销原因值。

步骤24：NRF将网元B证书ID、证书状态信息公布到区块链网络。

网元B证书ID、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书ID和证书状态信息。区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识信息。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息后，使用共识算法验证该新区块有效后存储该区块、更新对应区块链并停止根据该区块交易生成新区块，其中新区块标识为区块B3的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

NRF接收步骤24包含区块B3的广播消息，该广播消息指示区块标识，CA-B证书ID、网元B证书ID的对应关系，或者，该广播消息指示区块标识，CA-B证书ID、网元B证书ID和网元B证书的证书状态信息的对应关系，其中，区块标识为区块B3的标识。其中，上述广播消息所指示的对应关系对应上述示例1所示的更新后的第一映射关系，以及第三映射关系，其中，第三映射关系未更新，具体如表14所示。NRF保存区块B3，将区块B3更新到区块链A末端。NRF根据区块B3可以确定上述映射关系，NRF保存上述映射关系。

表14.NRF更新过后(吊销网元B证书后)的网元B的网元证书映射关系

步骤26：NRF向CA-B发送网元证书上链确认消息。该上链确认消息用于指示网元B的证书的证书状态信息已公布到区块链网络。

步骤27：网元A和网元B发起连接请求，其中互相交互本端证书，用于标识本端身份和所持公钥所有权。

步骤28：网元A获取网元B证书后，网元A向NRF发送网元B证书，用以向NRF请求验证网元B证书是否吊销和验证网元B证书的数字签名是否有效。

步骤29：NRF根据网元B证书中的网元B证书ID查找更新后的网元B的网元证书映射关系(如表14)获取证书状态信息。

具体的，如果网元证书映射关系不包括证书状态信息，则NRF根据网元B证书ID查找网元证书映射关系获取区块标识(区块B3的标识)，通过获取的区块B3的标识从区块链A中获取区块B3，并在该区块B3内通过网元B证书ID查询并获取网元B的证书的证书状态信息。

由于在步骤23中CA-B已吊销网元B证书，NRF确定证书状态信息指示网元B证书已吊销和网元B证书的吊销原因值，例如网元B私钥已泄露，或网元B为恶意用户等，此处不做限定。

步骤30：NRF根据网元B证书中的网元B证书ID查找更新后的网元B的网元证书映射关系(如表14)获取CA证书ID，即CA-B证书ID，以此为索引查找CA-B证书的CA证书映射关系(如表12)获取CA-B的公钥。

具体的，NRF以CA-B证书ID为索引查找CA证书映射关系(如表12)获取区块标识(区块A2的标识)，通过获取的区块A2的标识从区块链A中获取区块A2，并在区块A2内通过CA-B证书ID查询CA-B的证书，CA-B的证书包括CA-B的公钥。

步骤31至步骤33可以参考上述实施例一的相关描述，重复之处不再赘述。

采用上述实施例3，管理设备可以通过区块链方式维护CA证书映射关系和网元证书映射关系，并基于维护的上述映射关系查询最新的证书状态信息和CA公钥。

实施例四：

以下以NRF维护多个区块链为例进行说明证书查询过程，如图7A和图7B所示。

步骤1步骤10可以参考上述实施例一的相关描述，重复之处不再赘述。

步骤12：CA-A根据网元A的公钥生成证书，并将证书发送给网元A。其中网元A证书可以包括如表15A所示的信息。相比表6所示的信息，表15A新增了CA证书ID，即CA-A证书ID。

表15A.CA-A为网元A签发的证书内容

同样的，网元B执行步骤13-14，从CA-B获取网元B的证书。

同理，CA-B为网元B的生成的证书，也新增了CA证书ID，即CA-B证书ID，如表15B所示。

表15B.CA-B为网元B签发的证书内容

步骤15：CA-A向NRF发送网元A证书、网元A证书的证书状态信息和网元A证书的适用范围。网元A证书的证书状态信息指示网元A证书未被吊销，或者网元A证书有效。

类似的，这里可以参考实施例一中的步骤2的相关描述，以下仅以CA-A携带网元A证书的证书适用范围为例进行说明。

步骤16：NRF根据网元A证书的适用范围选择对应的区块链标识，记为区块链B的标识。NRF将网元A证书、网元A证书的证书状态信息公布到区块链标识对应的区块链网络。

网元A证书、网元A证书的证书状态信息和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括网元A证书、网元A证书的证书状态信息和区块链标识。区块链网络中的节点接收到该区块交易后使用共识算法形成新区块，该新区块包含该区块交易、新区块标识和区块链标识。在区块链网络中，最快生成新区块的节点将该新区块以广播消息的形式广播到该区块链网络，其余节点接收到该广播消息，并使用共识算法验证该新区块有效后存储该区块并更新对应区块链，停止根据该区块交易生成新区块，其中新区块标识为区块B1的标识和区块链标识为区块链B的标识。其中，该区块交易可以通过区块交易标识和/或区块交易哈希值标识来识别。

需要说明的是，基于上述假设2，区块链B与区块链A不同。

步骤17：NRF接收广播信息，保存更新后的网元A的网元证书映射关系。

NRF接收步骤16中包括区块B1的广播消息，该广播消息指示区块链标识、区块标识和网元A证书ID对应关系，其中该区块链标识为区块链B的标识，区块标识为区块B1的标识。或者，该广播消息指示区块链标识、区块标识、网元A证书ID和网元A证书的证书状态信息的对应关系，其中该区块链标识为区块链B的标识，区块标识为区块B1的标识。

其中，上述广播消息所指示的对应关系对应上述示例1所示的第一映射关系和第三映射关系，具体如表16A所示。NRF保存区块B1，将区块B1更新到区块链B末端。NRF根据区块B1可以确定上述映射关系，NRF保存上述映射关系。

表16A.NRF对网元A的网元证书映射关系

同样的，CA-B和NRF执行类似步骤19-22，将网元B的证书公布到区块链网络。NRF接收广播消息，该广播消息指区块链标识，区块标识，CA-B证书ID、网元B证书ID的对应关系，或者，该广播消息指示区块链标识，区块标识，CA-B证书ID、网元B证书ID和网元B证书的证书状态信息的对应关系，其中，该区块链标识为区块链B的标识，区块标识为区块B2的标识。NRF保存区块B2，将区块B2更新到区块链B末端。NRF根据区块B2可以确定上述映射关系，NRF保存上述映射关系，如表16B所示。

表16B.NRF对网元B的网元证书映射关系

区块B2和区块B1可为同一区块，也可为不同区块。示例性地，区块链网络中的节点可将一段时间内接收到的所有区块交易使用共识算法形成新区块，当网元A证书和网元B证书在该段时间内均被公布到区块链网络时，区块B1和区块B2可以为同一区块，否则区块B1和区块B2是不同的区块。

步骤23：CA-B触发对网元B证书执行吊销，CA-B向NRF发送网元B证书和证书状态信息。证书状态信息指示CA-B证书的吊销原因值。其中，网元B证书包括网元B证书ID信息。

步骤24：NRF根据网元B证书中的网元B证书ID查找网元证书映射关系获取区块链标识(区块链B的标识)，将网元B证书、证书状态信息公布到区块链标识对应的区块链网络。

示例性地，当区块链网络仅维护一个区块链时，网元B证书、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书、证书状态信息。

示例性地，当区块链网络维护多个区块链时，网元B证书、证书状态信息和区块链标识通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书、证书状态信息和区块链标识。或者，当区块链网络维护多个区块链时，网元B证书、证书状态信息通过区块交易的形式广播到区块链网络，该区块交易包括网元B证书、证书状态信息，NRF同时广播区块链标识。

NRF接收步骤24包含区块B3的广播消息，该广播消息指示区块链标识，区块标识，网元B证书ID的对应关系，或者，该广播消息指示区块链标识，区块标识，网元B证书ID和网元B证书的证书状态信息的对应关系，其中，该区块链标识为区块链B的标识，区块标识为区块B3的标识。其中，上述广播消息所指示的对应关系对应上述示例1所示的更新后的第一映射关系，以及第三映射关系，其中，第三映射关系未更新，具体如表17所示。NRF保存区块B3，将区块B3更新到区块链B末端。NRF根据区块B3可以确定上述映射关系，NRF保存上述映射关系。

表17.NRF更新过后(吊销网元B证书后)的网元B的网元证书映射关系

根据网元A向NRF发送的内容不同，可以包括但不限于以下两种实现方式：

第一种实现方式执行下述步骤28a至步骤30a，第二种实现方式执行下述步骤28b至步骤30b。

第一种实现方式：

步骤28a：网元A获取网元B证书后，网元A向NRF发送网元B证书，用以向NRF请求验证网元B证书是否吊销和验证网元B证书的数字签名是否有效。

步骤29a：NRF根据网元B证书中的网元B证书ID查找更新后的网元B的网元证书映射关系(如表17)获取证书状态信息。

步骤30a：NRF根据网元B证书中的CA证书ID，即CA-B证书ID，以此为索引查找CA-B证书的CA证书映射关系(如表5)获取CA-B的公钥。

NRF以CA-B证书ID为索引查找CA-B证书的CA证书映射关系(如表5)获取区块链标识和区块标识(分别为区块链A的标识和区块A2的标识)，通过获取的区块链A的标识和区块A2的标识从区块链A中获取区块A2，并在区块A2内通过CA-B证书ID查询CA-B的证书，CA-B的证书包括CA-B的公钥。

第二种实现方式：

步骤28b：网元A获取网元B证书后，网元A向NRF发送网元B证书ID，用以向NRF请求验证网元B证书是否吊销和验证网元B证书的数字签名是否有效。

步骤29b：NRF根据网元B证书ID查找更新后的网元B的网元证书映射关系(如表17)获取证书状态信息。

步骤30b：NRF根据网元B证书ID查找更新后的网元B的网元证书映射关系(如表17)获取区块链标识和区块标识(分别为区块链B的标识和区块B3的标识)，通过获取区块链B的标识和区块B3的标识从区块链B中获取区块B3，并在该区块B3内通过网元B证书ID查询网元B的证书。NRF根据网元B证书中的CA证书ID，即CA-B证书ID，以此为索引查找CA证书映射关系(如表5)获取区块链标识和区块标识(分别为区块链A的标识和区块A2的标识)，通过获取的区块链A的标识和区块A2的标识从区块链A中获取区块A2，并在区块A2内通过CA-B证书ID查询CA-B的证书，CA-B的证书包括CA-B的公钥。

步骤31至步骤33可以参考实施例1的相关内容，重复之处不再赘述。

采用上述实施例4，管理设备可以通过区块链方式维护CA证书映射关系和网元证书映射关系，基于维护的网元证书映射关系查询最新的证书状态信息。由于网元的证书新增签发证书的CA的证书的标识，管理设备通过网元的证书获取CA证书的标识，并基于维护的CA证书映射关系查询CA公钥。

上述主要从方法流程的角度对本申请实施例提供的方案进行了介绍。下面结合附图介绍本申请实施例中用来实现上述方法的装置。因此，上文中的内容均可以用于后续实施例中，重复的内容不再赘述。

为了实现上述本申请实施例提供的方法中的各功能，本申请实施例还提供一种装置用于实现上述方法。该装置可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

本申请实施例提供的装置可以是能够执行上述方法对应的功能的芯片或电路，该芯片或电路可以设置在处理器等设备中。进一步的，本申请实施例提供的装置，还能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的范围。

本申请实施例提供的装置可以进行功能模块的划分，例如，可对应各个功能划分各个功能模块，也可将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

一种可能的实现方式中，如图8所示，为本申请实施例提供一种证书查询装置的结构示意图。该装置可以是处理器，也可以是处理器中的装置。该装置800可以包括：处理模块81和通信模块82。当然，该装置800还可能包括其他模块，本申请实施例并不限定，仅示出主要的功能模块。通信模块82用于接收来自于第二设备的第一信息，所述第一信息包括第一设备的证书的标识，处理模块81用于根据所述第一设备的证书的标识和第一映射关系确定所述第一设备的证书的证书状态信息，通信模块82用于向所述第二设备发送所述证书状态信息。所述第一映射关系指示所述第一设备的证书的标识与所述证书状态信息的对应关系，所述证书状态信息用于指示所述第一设备的证书是否被吊销。

应理解，本申请实施例中的处理模块81可以由处理器或处理器相关电路组件实现，通信模块82可以由通信接口或通信接口相关电路组件或者通信接口实现。应理解，通信接口可以包括例如发射器和接收器，处理器、发射器和接收器相互耦合，其中，发射器和接收器例如通过天线、馈线和编解码器等实现，或者，如果所述装置为设置在设备中的芯片，那么发射器和接收器例如为芯片中的通信接口，该通信接口与设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。

例如，如图9所示为本申请实施例提供的装置900，图9所示的装置可以为图8所示的装置的一种硬件电路的实现方式。该装置可用于执行图3所示出的流程图中的管理设备的功能。为了便于说明，图9仅示出了该装置的主要部件。

需要说明的是，图9所示的装置可以是能够执行上述方法对应的功能的芯片或电路，也可以是包括上述芯片或电路的设备，本申请实施例对此并不限定。

图9所示的装置900包括至少一个处理器920，用于实现本申请实施例提供的图3中管理设备的功能。

装置900还可以包括至少一个存储器930，用于存储程序指令和/或数据。存储器930和处理器920耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器920可能和存储器930协同操作。处理器920可能执行存储器930中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

可选地，若该装置900为芯片或电路，该装置900也可以不包括存储器930，处理器920可以读取该芯片或电路外部的存储器中的指令(程序或代码)以实现图3所示的实施例所提供的管理设备的功能。

装置900还可以包括通信接口910，用于通过传输介质和其它设备进行通信，从而用于装置900中的装置可以和其它设备进行通信。在本申请实施例中，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。在本申请实施例中，收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。处理器920利用通信接口910收发数据，并用于实现图3所示实施例中处理器的功能，具体可以参考前面的描述，在此不再赘述。

装置900还可以包括通信总线940。其中，通信接口910、处理器920以及存储器930 可以通过通信总线940相互连接；通信总线940可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。所述通信总线940可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

再一种可选的方式，本申请实施例提供的装置使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地实现本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

需要说明的是，用于执行本申请实施例提供的方法的上述装置中所包含的处理器可以是中央处理器(central processing unit，CPU)，通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

结合本申请实施例所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(random access memory，RAM)、闪存、只读存储器(read-only memory，ROM)存储器、可擦除可编程只读存储器(erasable programmable read-only memory，EPROM)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(compact disc read-only memory，CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于雷达装置或者安装雷达装置的探测设备中。当然，处理器和存储介质也可以作为分立组件存在于雷达装置或者安装雷达装置的探测设备中。

可以理解的是，图8～图9仅仅示出了该装置的简化设计。在实际应用中，本申请实施例提供的装置可以包含任意数量的发射器，接收器，处理器，控制器，存储器以及其他可能存在的元件。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

本申请实施例还提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，当在所述芯片上运行所述软件程序时，使得所述芯片实现图3中处理器的功能。

本申请实施例还提供一种计算机可读存储介质，包括指令，当在计算机上运行所述指令时，使得计算机实现图3中管理设备的功能。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种证书查询方法，其特征在于，该方法包括：

管理设备接收来自于第二设备的第一信息，所述第一信息包括第一设备的证书的标识；

所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述第一设备的证书的证书状态信息；所述第一映射关系指示所述第一设备的证书的标识与所述证书状态信息的对应关系；所述证书状态信息用于指示所述第一设备的证书是否被吊销；

所述管理设备向所述第二设备发送所述证书状态信息。
如权利要求1所述的方法，其特征在于，所述证书状态信息具体指示：所述第一设备的证书未被吊销，或者所述第一设备的证书的吊销原因值；

或者所述证书状态信息具体指示：所述第一设备的证书未被吊销，或者所述第一设备的证书被吊销和所述第一设备的证书的吊销原因值。
如权利要求1或2所述的方法，其特征在于，所述第一映射关系具体指示所述第一设备的证书的标识、第一区块链的标识信息和第一区块的标识信息的对应关系，其中，所述第一区块在所述第一区块链上，所述第一区块存储所述证书状态信息；

所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述证书状态信息，包括：

所述管理设备根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息和所述第一区块的标识信息；

所述管理设备根据所述第一区块链的标识信息和所述第一区块的标识信息从所述第一区块获取所述证书状态信息。
如权利要求1或2所述的方法，其特征在于，所述第一映射关系具体指示被吊销的证书的标识、存储所述被吊销的证书的吊销原因值的区块所在的区块链的标识信息和所述存储所述被吊销的证书的吊销原因值的区块的标识信息的对应关系；

所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述证书状态信息，包括：

在所述被吊销的证书的标识不包括所述第一设备的证书的标识时，所述管理设备确定所述证书状态信息，所述证书状态信息指示所述第一证书未被吊销；或者，

在所述被吊销的证书的标识包括所述第一设备的证书的标识时，所述第一映射关系包括第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、第二区块链的标识信息和第二区块的标识信息，其中，所述第二区块在所述第二区块链上，所述第二区块存储所述被吊销证书的标识和所述被吊销的证书对应的吊销原因值；所述管理设备根据所述第一设备的证书的标识和所述第四映射关系确定所述第二区块链的标识信息和所述第二区块的标识信息；所述管理设备根据所述第二区块链的标识信息和所述第二区块的标识信息从所述第二区块获取所述第一设备的证书的吊销原因值，所述管理设备确定所述证书状态信息，所述证书状态信息指示所述第一设备的证书的吊销原因值。
如权利要求1-4任一项所述的方法，其特征在于，还包括：

所述管理设备获取第一数字证书颁发机构CA的公钥，所述第一CA是指为所述第一设备签发所述第一设备的证书的CA；

所述管理设备向所述第二设备发送所述第一CA的公钥。
如权利要求1-4任一项所述的方法，其特征在于，在所述管理设备根据所述第一设备的证书的标识和第一映射关系确定所述证书状态信息之前，还包括：

所述管理设备获取第一CA的公钥；所述第一CA是指为所述第一设备签发所述第一设备的证书的CA；

所述管理设备根据所述第一CA的公钥确定所述第一设备的证书的数字签名有效。
如权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

在所述管理设备确定所述证书状态信息指示所述第一设备的证书未被吊销时，所述管理设备获取第一CA的公钥；所述第一CA是指为所述第一设备签发所述第一设备的证书的CA；

所述管理设备根据所述第一CA的公钥判断所述第一设备的证书的数字签名是否有效；

所述管理设备向所述第一设备发送第二信息，所述第二信息指示所述第一设备的证书的数字签名是否有效。
如权利要求5-7任一项所述的方法，其特征在于，所述第一信息还包括所述第一CA的证书的标识；

所述管理设备获取第一CA的公钥，包括：

所述管理设备根据所述第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系；所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书；所述第一CA的证书包括所述第一CA的公钥；

所述管理设备根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。
如权利要求5-7任一项所述的方法，其特征在于，在所述管理设备获取第一CA的公钥之前，还包括：

所述管理设备根据所述第一设备的证书的标识和第三映射关系确定所述第一CA的证书的标识；所述第三映射关系指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系；

所述管理设备获取第一CA的公钥，包括：

所述管理设备根据所述第一CA的证书的标识和第二映射关系确定第三区块链的标识信息和第三区块的标识信息，所述第二映射关系指示所述第一CA的证书的标识、所述第三区块链的标识信息和所述第三区块的标识信息的对应关系；所述第三区块在所述第三区块链上，所述第三区块存储所述第一CA的证书；所述第一CA的证书包括所述第一CA的公钥；

所述管理设备根据所述第三区块链的标识信息和所述第三区块的标识信息从所述第三区块获取所述第一CA的公钥。
如权利要求8或9所述的方法，其特征在于，还包括：

所述管理设备接收第一广播消息，所述第一广播消息指示所述第二映射关系。
如权利要求10所述的方法，其特征在于，在所述管理设备接收第一广播消息之前，还包括：

所述管理设备接收来自于所述第一CA的第三信息，所述第三信息包括所述第一CA 的证书；

所述管理设备确定所述第三区块链的标识信息；

所述管理设备将所述第一CA的证书公布至所述第三区块链的标识信息对应的区块链网络；

在所述管理设备接收第一广播消息之后，还包括：

所述管理设备向所述第一CA发送第四信息，所述第四信息指示所述第一CA的证书已公布至所述第三区块链的标识信息对应的所述区块链网络。
如权利要求6-11任一项所述的方法，其特征在于，还包括：

所述管理设备接收第二广播消息，所述第二广播消息指示所述第一映射关系。
如权利要求12所述的方法，其特征在于，在所述管理设备接收第二广播消息之前，还包括：

所述管理设备接收来自于所述第一CA的第五信息，所述第五信息包括所述第一设备的证书和所述证书状态信息；所述证书状态信息指示所述第一设备的证书未被吊销；

所述管理设备确定所述第一区块链的标识信息；

所述管理设备将所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络；

在所述管理设备接收第二广播消息之后，还包括：

所述管理设备向所述第一CA发送第六信息，所述第六信息指示所述证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。
如权利要求13所述的方法，其特征在于，所述第五信息还包括所述第一CA的证书的标识；

所述管理设备将所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络，包括：

所述管理设备将所述第一CA的证书的标识、所述第一设备的证书、所述证书状态信息公布至所述第一区块链的标识信息对应的区块链网络；

所述管理设备接收第二广播消息，包括：

所述管理设备接收第二广播消息，所述第二广播消息还指示所述第一设备的证书的标识和所述第一CA的证书的标识的对应关系。
如权利要求12-14任一项所述的方法，其特征在于，还包括：

所述管理设备接收第三广播消息，所述第三广播消息指示更新后的第一映射关系，所述更新后的第一映射关系指示所述第一设备的证书的标识、所述第一区块链的标识信息和所述第四区块的标识信息的对应关系，所述第四区块在所述第一区块链上，所述第四区块存储所述第一设备的证书的标识和更新后的证书状态信息，所述更新后的证书状态信息指示所述第一设备的证书的吊销原因值。
如权利要求15所述的方法，其特征在于，在所述管理设备接收第三广播消息之前，还包括：

所述管理设备接收来自于所述第一CA的第七信息，所述第七信息包括所述第一设备的证书的标识和所述更新后的证书状态信息；

所述管理设备根据所述第一设备的证书的标识和所述第一映射关系确定所述第一区块链的标识信息；

所述管理设备将所述更新后的证书状态信息、所述第一设备的证书的标识公布至所述第一区块链的标识信息对应的所述区块链网络；

在所述管理设备接收第三广播消息之后，还包括：

所述管理设备向所述第一CA发送第八信息，所述第八信息指示所述更新后的证书状态信息已公布至所述第一区块链的标识信息对应的区块链网络。
如权利要求6-11任一项所述的方法，其特征在于，还包括：

所述管理设备接收第四广播消息，所述第四广播消息指示第四映射关系，所述第一映射关系包括所述第四映射关系，所述第四映射关系指示所述第一设备的证书的标识、所述第二区块链的标识信息和所述第二区块的标识信息的对应关系。
如权利要求17所述的方法，其特征在于，在所述管理设备接收第四广播消息之前，还包括：

所述管理设备接收来自于所述第一CA的第九信息，所述第九信息包括所述第一设备的证书的标识和所述证书状态信息；所述证书状态信息指示所述第一设备的证书的吊销原因值；

所述管理设备确定所述第二区块链的标识信息；

所述管理设备将所述第一设备的证书的标识、所述证书状态信息公布至所述第二区块链的标识信息对应的区块链网络；

在所述管理设备接收第四广播消息之后，还包括：

所述管理设备向所述第一CA发送第十信息，所述第十信息指示所述证书状态信息已公布至所述第二区块链的标识信息对应的区块链网络。
一种通信装置，其特征在于，包括用于执行如权利要求1至18中的任一项所述的方法的模块。
一种通信装置，其特征在于，包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至18中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至18中任一项所述的方法。