一种数字证书管理方法和装置与流程

文档序号：26146254发布日期：2021-08-03 14:32阅读：86来源：国知局

本发明涉及计算机技术领域，尤其涉及一种数字证书管理方法和装置。

背景技术：

ca(certificateauthority，认证中心)作为pki(publickeyinfrastructure，公钥基础设施)中的重要组成部分，负责签发可以识别用户身份的数字证书。用于签发数字证书的ca私钥一旦泄露，则由该ca签发的所有数字证书都将失去效力，因而保证ca私钥的安全性是整个pki安全的核心。

为提高ca私钥的安全，提出了多方共同管理ca的方案。但是在目前实现的多方共同管理ca的场景中，每一个管理成员均可根据自身需求签发数字证书，由于缺乏其他管理成员的监督或统一的协调监管机制，任何一方对ca私钥的使用不当均有可能引入不可控的外界风险。此外，在实际的管理过程中，会涉及ca私钥共同管理成员的变更，进而影响已签发数字证书的正常使用。

技术实现要素：

有鉴于此，本发明提供一种数字证书管理方法和装置，既能够实现对多方管理成员对数字证书签发或撤销的共同管控，避免因任一方管理成员管理失当造成的私钥泄露问题，又可以在管理成员出现变更的情况下，保证已签发数字证书的正常使用。

为实现上述目的，根据本发明的一个方面，提供了一种数字证书管理方法，包括：

在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量；

基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥；

根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

可选地，所述根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，包括：

在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

可选地，还包括：

接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息；

将所述第一用户信息广播至区块链上，以使得所述区块链上参与生成同一个所述第一聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名，以生成第一签名信息；

聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

可选地，还包括：将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述第一聚合公钥，并使用所述第一聚合公钥对所述数字证书进行验证。

可选地，还包括：

接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书；

将所述第二用户信息广播至区块链上，以使得区块链上与所述待撤销数字证书指示的标识信息对应的一个或多个区块链节点，使用对应的私钥分量对所述第二用户信息进行签名，以生成第二签名信息；

聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证，所述撤销凭证指示了所述一个或多个区块链节点的标识信息。

可选地，还包括：

将所述撤销凭证上传至区块链，以供区块链节点或智能合约根据所述撤销凭证指示的一个或多个区块链节点的标识信息，从所述创世区块中获取对应的第一聚合公钥或第二聚合公钥，并使用所述第一聚合公钥或第二聚合公钥对所述撤销凭证进行验证。

可选地，还包括：

在所述区块链新增节点之前为用户生成的数字证书均失效的情况下，从所述创世区块中删除所述一个或多个第二聚合公钥。

可选地，还包括：

将所述新增区块链节点对应的公钥分量写入所述创世区块中。

为实现上述目的，根据本发明的另一个方面，提供了一种数字证书管理装置，包括：密钥对生成模块、公钥聚合模块、公钥更新模块；其中，

所述密钥对生成模块，用于在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量；

所述公钥聚合模块，用于基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥；

所述公钥更新模块，用于根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

可选地，所述根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，包括：

在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

可选地，还包括：数字证书生成模块；其中，

所述数字证书生成模块，用于接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息；

聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

可选地，还包括：数字证书上传模块；其中，

所述数字证书上传模块，用于将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述第一聚合公钥，并使用所述第一聚合公钥对所述数字证书进行验证。

可选地，还包括：数字证书撤销模块；其中，

所述数字证书撤销模块，用于接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书；

聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证，所述撤销凭证指示了所述一个或多个区块链节点的标识信息。

可选地，还包括：撤销凭证上传模块；其中，

所述撤销凭证上传模块，用于将所述撤销凭证上传至区块链，以供区块链节点或智能合约根据所述撤销凭证指示的一个或多个区块链节点的标识信息，从所述创世区块中获取对应的第一聚合公钥或第二聚合公钥，并使用所述第一聚合公钥或第二聚合公钥对所述撤销凭证进行验证。

可选地，所述公钥更新模块，还用于，

在所述区块链新增节点之前为用户生成的数字证书均失效的情况下，从所述创世区块中删除所述一个或多个第二聚合公钥。

可选地，所述密钥对生成模块，还用于，

将所述新增区块链节点对应的公钥分量写入所述创世区块中。

为实现上述目的，根据本发明实施例的又一个方面，提供了一种用于数字证书管理的电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如上所述的数字证书管理方法中任一所述的方法。为实现上述目的，根据本发明实施例的再一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现如上所述的数字证书管理方法中任一所述的方法。

上述发明中具有如下优点或有益效果：通过在管理成员存在新增，即区块链上管理成员对应的区块链节点增加的情况下，基于签名生成算法聚合节点增加后的区块链节点的公钥分量以新生成一个或多个第一聚合公钥，并将第一聚合公钥写入创世区块中，实现了对创世区块中已有聚合公钥的更新，进而可以实现新增区块链节点对数字证书签发或撤销的共同管理；同时，通过保留创世区块中已存在的第二聚合公钥，保证了对区块链节点更新之前签发的数字证书的正常验证，进而实现了已签发数字证书的正常使用。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的数字证书管理方法的主要流程的示意图；

图2是根据本发明实施例的另一数字证书管理方法的主要流程的示意图；

图3是根据本发明实施例的又一数字证书管理方法的主要流程的示意图；

图4是根据本发明实施例的数字证书管理装置的主要模块的示意图；

图5是根据本发明实施例的数字证书管理系统的主要结构示意图；

图6是本发明实施例可以应用于其中的示例性系统架构图；

图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明实施例的基于区块链实现的数字证书管理方法的主要流程的示意图，其中，每一个参与数字证书管理的管理成员在区块链上对应有一个区块链节点。如图1所示，该数字证书管理方法具体可以包括的步骤如下：

步骤s101，在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量。

也即是说，在参与数字证书管理的管理成员增加的情况下，在区块链上为新增的管理成员增设对应的区块链节点，并采用加密机等为新增区块链节点生成一对非对称密钥对，该非对称密钥对包括区块链节点的公钥分量及私钥分量。其中，公钥分量用于基于签名生成算法生成聚合公钥以对数字证书进行验证，私钥分量则用于对用户信息进行签名以通过聚合签名信息生成数字证书。可以理解的是，对于区块链上已有的区块链节点，之前已采用加密机生成了对应的非对称密钥对，且各个区块链节点已知晓彼此对应的公钥分量。

此外，在为区块链节点生成非对称密钥对时，可以选择管理成员约定的信函、邮件等沟通方式交换彼此的公钥分量，也可以将所述新增区块链节点对应的公钥分量写入所述创世区块中。如此，各个区块链节点之间可以知晓彼此的公钥分量，进而基于schnorr签名算法、bls签名算法等签名生成算法聚合多个区块链节点的公钥分量以生成聚合公钥。

步骤s102，基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥。

其中，签名生成算法包括但不限于schnorr签名算法、bls签名算法等。在区块链上新增区块链节点之后，可以聚合区块链上任意区块链节点的公钥分量以生成多个第一聚合公钥。具体地，以区块链上原本有节点1、节点2、节点3、节点4四个区块链节点，并新增一个区块链节点即节点5为例进行说明，则可以基于签名生成算法，聚合节点1、节点2、节点3、节点4、节点5中任意两个、三个、四个或五个区块链节点的公钥分量以生成聚合公钥。如聚合节点1、节点2、节点3的公钥分量以生成一个第一聚合公钥，聚合节点1、节点3、节点4、节点5的公钥分量以生成另一个第一聚合公钥等。也即是说，新增节点5的公钥分量参与生成了一个或多个第一聚合公钥。

步骤s103，根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

具体地，所述根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，包括：在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

也即是说，在向创世区块中写入一个或多个第一聚合公钥的同时，保留创世区块中已存在的区块链节点新增之前生成的一个或多个第二聚合公钥。具体地，仍以区块链上原本有节点1、节点2、节点3、节点4四个区块链节点，并新增一个区块链节点即节点5为例进行说明，则第二聚合公钥是指基于签名生成算法聚合节点1、节点2、节点3、节点4中任意两个、三个、四个区块链节点的公钥分量生成的。如聚合节点1、节点2的公钥分量以生成一个第二聚合公钥，聚合节点1、节点2、节点3、节点4的公钥分量以生成另一个第二聚合公钥等。也即是说，新增节点5的公钥分量并未参与生成一个或多个第二聚合公钥。

此外，值得注意的是，一般为实现对数字证书签发或撤销的共同管控，避免单一区块链节点的公钥分量或私钥分量泄露造成的数字证书不可信问题，无论是第一聚合公钥还是第二聚合公钥通常都由多个区块链节点的公钥分量聚合而成，且参与生成聚合公钥的区块链节点数量不小于区块链节点总数量的一半。但也可以根据实际需求只采用一个或少数个区块链节点的公钥分量生成聚合公钥。

在此基础上，在创世区块中的聚合公钥更新完成之后，则新增的区块链节点以及区块链上其他节点均可以参与新数字证书的签发。具体地，还包括：接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息；将所述第一用户信息广播至区块链上，以使得所述区块链上参与生成同一个所述第一聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名，以生成第一签名信息；聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

其中，区块链节点的标识信息是指区块链节点对应的节点编号、节点名称、公钥分量等任何可以区分区块链节点的信息。由于区块链上新增区块链节点参与生成了第一聚合公钥，因而新增区块链节点也直接参与了数字证书的生成。如此，通过多个区块链节点使用对应的私钥分量对第一用户信息进行签名生成第一签名信息，并采用签名生成算法聚合第一签名信息以生成数字证书的方式，将用于签发数字证书的私钥分散成节点增加后区块链上各个区块链节点对应的私钥分量，实现了包含新增区块链节点对应的管理成员在内的多方管理成员对用于签发数字证书的私钥的共同管控，避免了私钥泄露的问题。

更进一步地，还包括：将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述第一聚合公钥，并使用所述第一聚合公钥对所述数字证书进行验证。

可以理解的是，区块链节点增加以后，新增区块链节点直接参与了数字证书的签发，因此，对于新生成的数字证书，区块链节点或智能合约需要从创世区块中获取新增区块链节点参与生成的第一聚合公钥才能对数字证书的有效性等进行验证。但值得注意的是，由于创世区块中仍保留由区块链节点增加之前生成的第二聚合公钥，因此，对于区块链节点增加之前生成的数字证书，数字证书验证方则需要从创世区块中获取新增区块链节点未参与生成的第二聚合公钥，才能对数字证书的有效性等进行验证。如此，即便是在区块链节点增加的情况下，通过在创世区块中保留原有的第二聚合公钥，保证了原有数字证书的正常使用。

更具体地，以智能合约对区块链节点增加之后生成的数字证书进行验证为例进行说明：首先，上链的智能合约可以从区块链的创世区块中获取第一聚合公钥，进而使用第一聚合公钥解密数字证书中的签名信息，以获取哈希值；其次，使用哈希算法对数字证书中指示的签名信息以外的明文信息进行哈希运算，以生成新的哈希值；在此基础上，判断新生成的哈希值与使用第一聚合公钥解密签名信息后获取的哈希值是否一致，若一致，则该数字证书验证通过，即该数字证书合法，若不一致，则该数字证书验证不通过，即该数字证书不合法。

此外，在数字证书签发以后，在数字证书的全生命周期中，除却数字证书因有效期到期而失效以外，还常涉及数字证书的撤销。具体地，还包括：接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书；将所述第二用户信息广播至区块链上，以使得区块链上与所述待撤销数字证书指示的标识信息对应的一个或多个区块链节点，使用对应的私钥分量对所述第二用户信息进行签名，以生成第二签名信息；聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证，所述撤销凭证指示了所述一个或多个区块链节点的标识信息。

在此基础上，还包括：将所述撤销凭证上传至区块链，以供区块链节点或智能合约根据所述撤销凭证指示的一个或多个区块链节点的标识信息，从所述创世区块中获取对应的第一聚合公钥或第二聚合公钥，并使用所述第一聚合公钥或第二聚合公钥对所述撤销凭证进行验证。

可以理解的是，在区块链节点增加的情况下，由于区块链节点增加之前生成的数字证书仍可正常使用，因此，用户既可以撤销区块链节点增加之前的签发的数字证书，也可以撤销区块链节点增加之后签发的数字证书。而参与撤销数字证书的区块链节点与参与生成数字证书的区块链节点需要一致，进而需要对应的区块链节点参与生成的聚合公钥才能对撤销凭证进行验证。因此，在对撤销凭证进行验证时，若涉及到区块链节点增加之前生成的数字证书，则需要从创世区块中获取对应的第二聚合公钥对数字证书进行验证，而若涉及到区块链节点增加之后生成的数字证书，则需要从创世区块中获取对应的第一聚合公钥对数字证书进行验证。

更具体地，以智能合约对区块链节点增加之前生成的数字证书对应的撤销凭证进行验证为例进行说明：首先，上链的智能合约可以从区块链的创世区块中获取第二聚合公钥，进而使用第二聚合公钥解密撤销凭证中的签名信息，以获取哈希值；其次，使用哈希算法对撤销凭证中指示的签名信息以外的明文信息进行哈希运算，以生成新的哈希值；在此基础上，判断新生成的哈希值与使用第二聚合公钥解密签名信息后获取的哈希值是否一致，若一致，则该撤销凭证验证通过，即该撤销凭证合法，若不一致，则该撤销凭证验证不通过，即该撤销凭证不合法。

此外，由于在区块链节点存在新增的情况下，在聚合公钥更新阶段，为保证区块链节点增加之前签发的数字证书的正常使用，在创世区块中写入第一聚合公钥的同时，还保留有第二聚合公钥。而随着区块链节点增加之前签发的数字证书的失效，创世区块中的第二聚合公钥逐步不再被使用。因此，在所述区块链新增节点之前为用户生成的数字证书均失效的情况下，从所述创世区块中删除所述一个或多个第二聚合公钥，以节约创世区块中的存储空间。

基于上述实施例，通过在管理成员存在新增，即区块链上管理成员对应的区块链节点增加的情况下，基于签名生成算法聚合节点增加后的区块链节点的公钥分量以新生成一个或多个第一聚合公钥，并将第一聚合公钥写入创世区块中，实现了对创世区块中已有聚合公钥的更新，进而实现了新增区块链节点对数字证书签发或撤销的共同管理。具体地，通过多个区块链节点使用对应的私钥分量对第一用户信息进行签名生成第一签名信息，并采用签名生成算法聚合第一签名信息以生成数字证书的方式，将用于签发数字证书的私钥分散成各个区块链节点对应的私钥分量，实现了多方对用于签发数字证书的私钥的共同管控，避免了私钥泄露的问题。同时，通过保留创世区块中已存在的第二聚合公钥，保证了对区块链节点更新之前签发的数字证书的正常验证，进而实现了已签发数字证书的正常使用。

参见图2，在上述实施例的基础上，本发明实施例提供了另一数字证书管理方法，该方法具体可以包括的步骤如下：

步骤s201，在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量。

步骤s202，基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥。

步骤s203，根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

具体地，在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

步骤s204，接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息。

步骤s205，将所述第一用户信息广播至区块链上，以使得所述区块链上参与生成同一个所述第一聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名，以生成第一签名信息。

步骤s206，聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

在此基础上，还可以将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述第一聚合公钥，并使用所述第一聚合公钥对所述数字证书进行验证。

参见图3，在上述实施例的基础上，本发明实施例提供了又一数字证书管理方法，该方法具体可以包括的步骤如下：

步骤s301，在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量。

步骤s302，基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥。

步骤s303，根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

具体地，在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

步骤s304，接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息。

步骤s305，将所述第一用户信息广播至区块链上，以使得所述区块链上参与生成同一个所述第一聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名，以生成第一签名信息。

步骤s306，聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

步骤s307，接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书。

步骤s308，将所述第二用户信息广播至区块链上，以使得区块链上与所述待撤销数字证书指示的标识信息对应的一个或多个区块链节点，使用对应的私钥分量对所述第二用户信息进行签名，以生成第二签名信息。

步骤s309，聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证，所述撤销凭证指示了所述一个或多个区块链节点的标识信息。

参见图4，在上述实施例的基础上，本发明实施例提供了一种数字证书管理装置400，包括：密钥对生成模块401、公钥聚合模块402、公钥更新模块403；其中，

所述密钥对生成模块401，用于在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量；

所述公钥聚合模块402，用于基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥；

所述公钥更新模块403，用于根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

在一种可选的实施方式中，所述根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，包括：

在所述区块链的创世区块中写入所述一个或多个第一聚合公钥，并保留所述创世区块中已存在的一个或多个第二聚合公钥。

在一种可选的实施方式中，还包括：数字证书生成模块404；其中，

所述数字证书生成模块404，用于接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息；

聚合所述第一签名信息以为所述用户生成数字证书，所述数字证书指示了所述区块链节点的标识信息。

在一种可选的实施方式中，还包括：数字证书上传模块405；其中，

所述数字证书上传模块405，用于将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述第一聚合公钥，并使用所述第一聚合公钥对所述数字证书进行验证。

在一种可选的实施方式中，还包括：数字证书撤销模块406；其中，

所述数字证书撤销模块406，用于接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书；

聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证，所述撤销凭证指示了所述一个或多个区块链节点的标识信息。

在一种可选的实施方式中，还包括：撤销凭证上传模块407；其中，

所述撤销凭证上传模块407，用于将所述撤销凭证上传至区块链，以供区块链节点或智能合约根据所述撤销凭证指示的一个或多个区块链节点的标识信息，从所述创世区块中获取对应的第一聚合公钥或第二聚合公钥，并使用所述第一聚合公钥或第二聚合公钥对所述撤销凭证进行验证。

在一种可选的实施方式中，所述公钥更新模块403，还用于，

在所述区块链新增节点之前为用户生成的数字证书均失效的情况下，从所述创世区块中删除所述一个或多个第二聚合公钥。

在一种可选的实施方式中，所述密钥对生成模块401，还用于，

将所述新增区块链节点对应的公钥分量写入所述创世区块中。

参见图5，在上述实施例的基础上，本发明实施例提供了一种数字证书管理系统500，包括：数字证书管理装置400、区块链501；其中，

所述数字证书管理装置400，用于在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量；基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥；根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

所述区块链501，用于存储所述第一聚合公钥、第二聚合公钥。

图6示出了可以应用本发明实施例的数字证书管理方法或数字证书管理装置的示例性系统架构600。

如图6所示，系统架构600可以包括终端设备601、602、603，网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备601、602、603通过网络604与服务器605交互，以接收或发送消息等。终端设备601、602、603上可以安装有各种应用。

终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器605可以是提供各种服务的服务器，例如对用户利用终端设备601、602、603所浏览的网站提供支持的后台管理服务器。后台管理服务器可以对接收到的数字证书生成请求等数据进行分析等处理，并将处理结果数字证书等反馈给终端设备。

需要说明的是，本发明实施例所提供的数字证书管理方法一般由服务器605执行，相应地，数字证书管理装置一般设置于服务器605中。

应该理解，图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图7，其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。

以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括密钥对生成模块、公钥聚合模块、公钥更新模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，公钥聚合模块还可以被描述为“用于基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：在区块链上存在一个或多个新增区块链节点的情况下，为新增区块链节点生成一对非对称密钥对，所述非对称密钥对指示了所述新增区块链节点对应的公钥分量及私钥分量；基于签名生成算法，聚合所述区块链上一个或多个区块链节点的公钥分量，以生成一个或多个第一聚合公钥；根据所述一个或多个第一聚合公钥，更新所述区块链的创世区块中已存在的一个或多个第二聚合公钥，所述第二聚合公钥是在所述区块链新增节点之前基于签名生成算法聚合所述区块链上一个或多个区块链节点的公钥分量而生成的。

根据本发明实施例的技术方案，通过在管理成员存在新增，即区块链上管理成员对应的区块链节点增加的情况下，基于签名生成算法聚合节点增加后的区块链节点的公钥分量以新生成一个或多个第一聚合公钥，并将第一聚合公钥写入创世区块中，实现了对创世区块中已有聚合公钥的更新，进而可以实现新增区块链节点对数字证书签发或撤销的共同管理；同时，通过保留创世区块中已存在的第二聚合公钥，保证了对区块链节点更新之前签发的数字证书的正常验证，进而实现了已签发数字证书的正常使用。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：霍云
技术所有人：中国人民银行数字货币研究所
我是此专利的发明人

上一篇：一种可持续工作的带式烧结机防护装置的制作方法
上一篇：一种无需表面处理的耐刮擦聚丙烯膜及其制备方法与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。