本发明涉及数字证书技术领域,尤其涉及一种基于区块链的数字证书使用方法、业务处理系统及计算机可读存储介质。
背景技术
现有数字证书的使用主要采用以下两种方式:一是使用u盾,二是安装并使用数字证书,具体实现方式如下:
方案一:用户先向相关机构申请u盾,然后再使用安装有数字证书的u盾进行登录以及进行签名和加密完成业务操作;
方案二:用户先向相关机构申请数字证书,然后再将数字证书安装到操作系统中;用户使用系统中预装的数字证书进行登录以及进行签名和加密完成业务操作。
由上可知,使用u盾和安装数字证书不仅存在携带与传输风险,同时还存在用户使用数字证书后的抵赖风险,也即传统的数字证书使用存在安全性风险。
技术实现要素:
本发明的主要目的在于提供一种基于区块链的数字证书使用方法、业务处理系统及计算机可读存储介质,旨在解决如何提升数字证书使用安全性的技术问题。
为实现上述目的,本发明提供一种基于区块链的数字证书使用方法,应用于业务处理系统,所述业务处理系统包括:客户端、业务后台,其特征在于,所述业务处理系统还包括:身份认证系统、证书服务系统、区块链存证系统;
所述基于区块链的数字证书使用方法包括以下步骤:
业务后台接收客户端发起的数字证书使用申请,并接收客户端提交的申请人员的生物特征信息;
调用身份认证系统对所述生物特征信息进行身份认证;
当身份认证通过后,确认客户端获得数字证书使用权限,并调用证书服务系统向第三方机构申请获得数字证书,以供证书服务系统使用所述数字证书对客户端提供数字签名或加密服务,其中,通过区块链存证系统存储与数字证书的申请使用相关的电子证据。
可选地,所述基于区块链的数字证书使用方法还包括:在身份认证通过后,业务后台与客户端建立登录连接。
可选地,所述基于区块链的数字证书使用方法还包括:
业务后台接收客户端发送的待签名或待加密的业务基础数据并进行业务处理,得到业务结果数据;
调用所述证书服务系统使用所述数字证书对所述业务结果数据进行数字签名或加密;
向客户端返回已进行数字签名或加密的所述业务结果数据。
可选地,所述基于区块链的数字证书使用方法还包括:
在进行身份认证时,所述身份认证系统将与身份认证相关的数据作为电子证据存入所述区块链存证系统中;
在申请或使用数字证书时,所述证书服务系统将与申请或使用数字证书相关的数据作为电子证据存入所述区块链存证系统中。
可选地,所述基于区块链的数字证书使用方法还包括:
在提交申请人员的生物特征信息时,所述客户端将与提交申请人员的生物特征信息相关的数据作为电子证据存入所述区块链存证系统中;
在消费所述数字签名或加密服务时,所述客户端将与消费所述数字签名或加密服务相关的数据作为电子证据存入所述区块链存证系统中。
进一步地,为实现上述目的,本发明还提供一种业务处理系统,包括:客户端、业务后台,所述业务处理系统还包括:身份认证系统、证书服务系统、区块链存证系统;
客户端,用于向业务后台发起的数字证书使用申请,并提交申请人员的生物特征信息;
业务后台,用于接收客户端发起的数字证书申请以及提交的申请人员的生物特征信息,并调用身份认证系统对所述生物特征信息进行身份认证;
身份认证系统,用于响应业务后台的调用请求,对所述生物特征信息进行身份认证,并返回身份认证结果;
所述业务后台还用于:当身份认证通过后,确认客户端获得数字证书使用权限,并调用证书服务系统向第三方机构申请获得数字证书;
证书服务系统,用于响应业务后台的调用请求,从第三方机构申请数字证书以及使用所述数字证书对客户端提供数字签名或加密服务,并返回数字证书的获取或使用结果;
区块链存证系统,用于存储与数字证书的申请使用相关的电子证据。
可选地,所述业务后台还用于:在身份认证通过后,与客户端建立登录连接。
可选地,所述客户端还用于:在与所述业务后台建立登录连接后,向所述业务后台发送待签名或待加密的业务基础数据;
所述业务后台还用于:接收所述客户端发送的待签名或待加密的业务基础数据并进行业务处理,得到业务结果数据;调用所述证书服务系统使用所述数字证书对所述业务结果数据进行数字签名或加密;向所述客户端返回已进行数字签名或加密的所述业务结果数据。
可选地,所述身份认证系统还用于:在进行身份认证时,将与身份认证相关的数据作为电子证据存入所述区块链存证系统中;
所述证书服务系统还用于:在申请或使用数字证书时,将与申请或使用数字证书相关的数据作为电子证据存入所述区块链存证系统中。
可选地,所述客户端还用于:
在提交申请人员的生物特征信息时,将与提交申请人员的生物特征信息相关的数据作为电子证据存入所述区块链存证系统中;
在消费所述数字签名或加密服务时,将与消费所述数字签名或加密服务相关的数据作为电子证据存入所述区块链存证系统中。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有数字证书使用程序,所述数字证书使用程序应用于业务处理系统,所述数字证书使用程序被处理器执行时实现如上述任一项所述的基于区块链的数字证书使用方法的步骤。
本发明中,客户端不直接使用数字证书与业务后台进行交互,而是向业务后台发起数字证书使用申请以获得使用权限,具体实现方式为:业务后台接收客户端发起的数字证书使用申请,并接收客户端提交的申请人员的生物特征信息;调用身份认证系统对所述生物特征信息进行身份认证;当身份认证通过后,确认客户端获得数字证书使用权限。本发明中,通过身份认证系统对申请人员进行身份认证,可保证数字证书的申请者与使用者的一致性。业务后台调用证书服务系统向第三方机构申请获得数字证书,并由证书服务系统使用数字证书对客户端提供数字签名或加密服务,进而避免了数字证书直接颁发给客户端所带来的携带与传输风险,提升了数字证书使用的安全性与便捷性,同时也节约了证书的颁发成本和使用成本。
此外,本发明还将与数字证书的申请使用相关的电子证据存入区块链存证系统中,以对数字证书的申请和使用提供见证服务,并利用区块链的防篡改特性,防止数字证书使用者抵赖,提升数字证书使用安全性。
附图说明
图1为本发明业务处理系统一实施例的功能模块示意图;
图2为本发明业务处理系统一实施例的功能模块技术架构示意图;
图3为本发明基于区块链的数字证书使用方法一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明中所述的数字证书是指互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在互联网上验证通信实体身份的方式,数字证书由权威机构—ca机构,又称为证书授权(certificateauthority)中心发行。
本发明中所述的电子证据是指以电子形式存在的、用作证据使用的一切材料及其派生物。它既包括反映法律关系产生、变更或消灭的电子信息正文本身,又包括反映电子信息生成、存储、传递、修改、增删等过程的电子记录,还包括电子信息所处的硬件和软件环境。例如,电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名均可视为电子证据。
本发明提供一种业务处理系统。
参照图1,图1为本发明业务处理系统一实施例的功能模块示意图。
本实施例中,业务处理系统包括:客户端10、业务后台20、身份认证系统30、证书服务系统40、区块链存证系统50。
本实施例对于业务处理系统实际处理的业务内容不限,可以是任意的业务处理系统。
客户端10:可以是智能手机、平板电脑、计算机等设备,主要为用户访问业务后台提供人机交互服务;
业务后台20:可以是计算机、服务器等设备,主要对客户端提供业务服务,比如各种金融业务;
身份认证系统30:可以是计算机、服务器等设备,主要对外提供身份认证服务,比如人脸识别、指纹识别、征信查询等;
证书服务系统40:可以是计算机、服务器等设备,主要对外提供数字证书的相关服务,比如从第三方机构申请数字证书、使用数字证书对外提供签名或加密服务;
区块链存证系统50:包括多个区块链节点,区块链节点节点是一组物理网络、计算机、区块链应用软件以及数据库的组合。节点和节点之间,通过tcp/ip协议互相连接。区块链存证系统优选由多个不同的独立机构共同管理,比如,业务机构(比如提供业务服务的公司机构)、法律仲裁机构(比如提供法律服务的仲裁委员会)。
另外,基于业务处理系统的规模大小,本实施例的业务处理系统可以包括多个客户端10、多个业务后台20,而身份认证系统30、证书服务系统40、区块链存证系统50可以采用集群部署方式对外提供服务。
参照图2,图2为本发明业务处理系统一实施例的功能模块技术架构示意图。
本实施例中,客户端10位于用户侧,业务后台20、身份认证系统30、证书服务系统40位于业务服务侧,而区块链存证系统50为独立于业务处理系统的第三方。
客户端10与业务后台20直接进行交互,以实现登录与业务操作;
身份认证系统30对业务后台20提供认证服务接口,以供业务后台20调用而执行身份认证服务;
证书服务系统40对业务后台20提供证书申请与证书使用服务接口,以供业务后台20调用而执行数字证书的申请与使用服务;
区块链存证系统50对身份认证系统30、证书服务系统40提供存证服务接口,以供身份认证系统30、证书服务系统40调用而执行与数字证书的申请使用相关的电子证据的存证服务。
可选的,在一实施例中,区块链存证系统50还对客户端10提供存证服务接口,以供客户端10调用而执行与数字证书的申请使用相关的电子证据的存证服务;也即区块链存证系统50分别独立存储有用户侧与业务服务侧的电子证据,进而可保证电子证据的双向统一。
可选的,在一实施例中,区块链存证系统50还对各管理机构提供管理接口,比如查询、删除等管理操作。
基于上述业务处理系统的功能模块技术架构,本实施例中,业务处理系统在实现数字证书使用方法时,各功能模块所实现的具体功能包括:
客户端10,用于向业务后台20发起的数字证书使用申请,并提交申请人员的生物特征信息;
业务后台20,用于接收客户端10发起的数字证书使用申请以及提交的申请人员的生物特征信息,并调用身份认证系统30对所述生物特征信息进行身份认证;
身份认证系统30,用于响应业务后台20的调用请求,对所述生物特征信息进行身份认证,并返回身份认证结果;
此外,业务后台20还用于:当身份认证通过后,确认客户端10获得数字证书使用权限,并调用证书服务系统40向第三方机构申请获得数字证书;
证书服务系统40,用于响应业务后台20的调用请求,从第三方机构申请数字证书以及使用所述数字证书对客户端10提供数字签名或加密服务,并返回数字证书的获取或使用结果;
区块链存证系统50,用于存储与数字证书的申请使用相关的电子证据。
进一步地,所述业务后台20还用于:在身份认证通过后,与客户端10建立登录连接。
进一步地,所述客户端10还用于:在与所述业务后台20建立登录连接后,向所述业务后台20发送待签名或待加密的业务基础数据;
所述业务后台20还用于:接收所述客户端10发送的待签名或待加密的业务基础数据并进行业务处理,得到业务结果数据;调用所述证书服务系统40使用所述数字证书对所述业务结果数据进行数字签名或加密;向所述客户端10返回已进行数字签名或加密的所述业务结果数据。
进一步地,所述身份认证系统30还用于:在进行身份认证时,将与身份认证相关的数据作为电子证据存入所述区块链存证系统50中;
所述证书服务系统40还用于:在申请或使用数字证书时,将与申请或使用数字证书相关的数据作为电子证据存入所述区块链存证系统50中。
进一步地,所述客户端10还用于:
在提交申请人员的生物特征信息时,将与提交申请人员的生物特征信息相关的数据作为电子证据存入所述区块链存证系统50中;
在消费所述数字签名或加密服务时,将与消费所述数字签名或加密服务相关的数据作为电子证据存入所述区块链存证系统50中。
基于上述业务处理系统的硬件结构,提出本发明基于区块链的数字证书使用方法的以下各实施例。
本发明提供一种基于区块链的数字证书使用方法。
参照图3,图3为本发明基于区块链的数字证书使用方法一实施例的流程示意图。
本实施例中,所述基于区块链的数字证书使用方法包括以下步骤:
步骤s10,业务后台接收客户端发起的数字证书使用申请,并接收客户端提交的申请人员的生物特征信息;
客户端不直接使用数字证书与业务后台交互,而是向业务后台发起数字证书使用申请以获得数字证书的使用权限。
本实施例中,为对客户端发起的数字证书使用申请的权限进行判断,同时保证数字证书的申请者(比如客户端账号所对应的用户)与使用者(比如当前通过客户端账号发起使用申请的用户)为同一个人,也即为本人操作,业务后台在接收数字证书使用申请的同时,还需要接收客户端提交的申请人员的生物特征信息,以便对申请人员进行身份认证。例如,业务后台在接收到客户端发起的数字证书使用申请时,自动调用客户端的摄像头,以采集申请人员的人脸图像信息,客户端在完成采集后,将申请人员的人脸图像信息提交给业务后台。
本实施例对于生物特征信息的类型不限,比如面部数据、指纹数据等能够唯一辨别申请人员身份的特征信息。
步骤s20,调用身份认证系统对所述生物特征信息进行身份认证;
本实施例中,身份认证系统对业务后台提供认证服务接口,以供业务后台调用而执行身份认证服务。
本实施例对于身份认证系统执行身份认证的实现方式不限。
例如,身份认证系统对申请人员的生物特征信息进行本地认证,比如身份认证系统本地存储有在业务后台注册人员的生物特征信息,通过本地比对即可完成身份认证。
又例如,身份认证系统申请人员的生物特征信息进行在线认证,比如身份认证系统将申请人员的生物特征信息上传公安身份认证系统、人民银行征信系统等第三方身份认证系统进行在线认证。
本实施例优选采用第三方身份认证系统对申请人员的生物特征信息进行在线认证。比如业务处理系统针对的是金融业务,比如借贷业务,则由第三方身份认证系统对申请人员进行身份认证,不仅可以审核申请人员的真实身份,同时还可以审核申请人员的信用情况,对于信用审核不通过的申请人员,则禁止向该类申请人员开放借贷业务。
本实施例中,身份认证系统在完成身份认证后,将身份认证结果返回给业务后台。
步骤s30,当身份认证通过后,确认客户端获得数字证书使用权限,并调用证书服务系统向第三方机构申请获得数字证书,以供证书服务系统使用所述数字证书对客户端提供数字签名或加密服务。
本实施例中,业务后台在收到身份认证系统返回的身份认证通过的结果后,即确认客户端获得数字证书使用权限,比如业务后台将客户端的数字证书使用权限从默认的无权限修改为有权限。
可选的,在一实施例中,在身份认证通过后,业务后台与客户端建立登录连接,也即身份认证取代了传统的客户端使用数字证书登录业务后台的登录方式,这不仅保证了登录连接的安全性,同时也避免了客户端直接使用数字证书所存在的潜在风险。
本实施例中,为保证数字证书的安全性,将所有的数字证书存储在第三方机构所提供的云服务器中。其中,第三方机构可以是ca机构,也可以是运营和管理数字证书的独立机构。
证书服务系统对业务后台提供证书申请与证书使用服务接口,以供业务后台调用而执行数字证书的申请与使用服务。
需要说明的是,鉴于数字证书通常用于进行数字签名或加密,而数字签名或加密通常发生在业务操作中,也即涉及到业务后台,因此,客户端申请和使用数字证书可以通过业务后台调用证书服务系统的服务接口来实现。
当客户端通过业务后台调用证书服务系统的证书申请服务接口时,证书服务系统向第三方机构申请并获得数字证书,也即证书服务系统实现了将数字证书从第三方机构颁发给业务处理系统的颁发服务。
当客户端通过业务后台调用证书服务系统的证书使用服务接口时,证书服务系统使用数字证书对客户端提供数字签名或加密服务。
本实施例中,考虑到使用数字证书的业务场景通常都涉及到比较敏感或机密的数据信息,因此,为避免使用数字证书后可能带来的安全风险,比如数字证书使用者抵赖或者业务提供方抵赖而产生纠纷,因而需要保留一方或双方在申请和使用数字证书处理敏感或机密数据信息时的电子证据。
本实施例中,将与数字证书的申请使用相关的电子证据存入区块链存证系统中,以对数字证书的申请和使用提供见证服务,并利用区块链的防篡改特性,防止数字证书使用者抵赖,提升数字证书使用安全性。
本实施例中,客户端不直接使用数字证书,而是向业务后台发起数字证书使用申请以获得数字证书的使用权限,通过身份认证系统对申请人员进行身份认证,这既可以对申请人员的证书使用权限进行判断,也可以保证数字证书的申请者与使用者的一致性。业务后台调用证书服务系统从第三方机构申请数字证书,并由证书服务系统使用数字证书对客户端提供数字签名或加密服务,进而避免了数字证书直接颁发给客户端所带来的携带与传输风险,提升了数字证书使用的安全性与便捷性,同时也节约了证书的颁发成本和使用成本。
进一步地,在本发明基于区块链的数字证书使用方法一实施例中,证书服务系统在获得数字证书后,对客户端提供数字签名或加密服务的实现流程包括:
(1)在身份认证通过后,业务后台与客户端建立登录连接,客户端在执行某些业务操作时向业务后台发起签名或加密请求;此过程可以让客户感知,比如设置签名或加密按钮而由用户手动触发发起签名或加密请求,也可以由客户端自动执行,从而让客户对签名或加密无感知。
(2)业务后台接收客户端发送的待签名或待加密的业务基础数据并进行业务处理,得到业务结果数据;
(3)调用证书服务系统使用数字证书对所述业务结果数据进行数字签名或加密,并接收证书服务系统返回的签名或加密处理结果;
(4)向客户端返回已进行数字签名或加密的所述业务结果数据。
本实施例中,数字签名或加密发生在业务服务侧的业务处理过程中,通常是对业务处理的结果数据进行数字签名或加密,证书服务系统在完成数字签名或加密后,将处理结果返回业务后台,并由业务后台转发给客户端。
例如,用户通过客户端在业务后台签署一份电子合同,客户端将用于签署电子合同的相关要素数据(业务基础数据)上传业务后台,并由业务后台处理后而生成电子合同(比如pdf格式),然后业务后台调用证书服务系统使用数字证书对电子合同进行签名,并将对应的数字签名嵌入到电子合同中;最后证书服务系统再将签名后的电子合同传回业务后台,并由业务后台转发给客户端,从而用户获得了已进行数字签名的电子合同。
进一步地,在本发明基于区块链的数字证书使用方法一实施例中,为防止申请人员使用数字证书处理相关敏感或机密数据后抵赖,因此,本实施例中,具体采用如下方式将与数字证书的申请使用相关的电子证据存入区块链存证系统中:
1、在进行身份认证时,由身份认证系统将与身份认证相关的数据作为电子证据存入区块链存证系统中;
例如,在进行身份认证时,身份认证系统将申请人员的生物特征信息、申请数字证书所使用的账户信息、身份认证时间等数据作为电子证据存入区块链存证系统中。
2、在申请或使用数字证书时,由证书服务系统将与申请或使用数字证书相关的数据作为电子证据存入区块链存证系统中。
例如,在申请数字证书时,证书服务系统将申请数字证书所使用的账户信息、颁发的数字证书信息、证书申请时间及对应的第三方机构名称等数据作为电子证据存入区块链存证系统中;
而在使用数字证书时,证书服务系统将客户端提供的业务基础数据、业务后台提供的业务处理结果数据、进行签名或加密的时间、使用的数字证书以及使用数字证书形成的结果等数据作为电子证据存入区块链存证系统中。
进一步地,在本发明基于区块链的数字证书使用方法一实施例中,为防止申请人员使用数字证书处理相关敏感或机密数据后,业务提供方抵赖,同时也为实现电子证据的双向统一,因此,本实施例中,具体采用如下方式将与数字证书的申请使用相关的电子证据存入区块链存证系统中:
1、在提交申请人员的生物特征信息时,由客户端将与提交申请人员的生物特征信息相关的数据作为电子证据存入区块链存证系统中;
例如,在提交申请人员的生物特征信息时,客户端调用区块链存证系统的存证服务接口,进而将申请人员的生物特征信息、申请数字证书所使用的账户信息、身份认证时间等数据作为电子证据存入区块链存证系统中。
2、在消费所述数字签名或加密服务时,由客户端将与消费所述数字签名或加密服务相关的数据作为电子证据存入区块链存证系统中。
例如,在消费数字签名或加密服务时,客户端调用区块链存证系统的存证服务接口,进而将客户端提供的业务基础数据、进行签名或加密的时间、使用数字证书形成的结果等数据作为电子证据存入区块链存证系统中。
本发明还提供一种计算机可读存储介质。
本实施例中,所述计算机可读存储介质上存储有数字证书使用程序,所述数字证书使用程序被处理器执行时实现如上述任一项实施例中所述的基于区块链的数字证书使用方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本发明的保护之内。