一种分布式数字证书管理方法和系统、设备及存储介质与流程

[0001]
本发明涉及区块链技术领域，尤其涉及一种分布式数字证书管理方法和系统、设备及存储介质。


背景技术：

[0002]
在相关pki系统中，数字证书是核心，由相对权威的ca机构签发的。目前ca机构的相互认证以树状结构为主流，最顶端的根ca是系统的核心，通常为政府机构。一方面，这种中心结构可能存在性能问题，其涉及证书的所有操作，任务繁重，可能成为性能短板拖累效率。另一方面则是安全问题，我们虽然无需置疑根ca的信用问题，但这种单中心的结构容易使其成为攻击的目标，一旦中心失效，则左右与之关联的下级ca均会受到牵连。并且在这种串联式的ca结构中，只有上级ca可以验证下级的身份，每一个下级ca都无法验证上级。由于ca也有民间团体，因此无法完全保证每个ca的信用。
[0003]
相关数字身份的身份信息散落在各个身份认证者手中，可能是身份提供者本身对用户信息的保存，或者是身份依赖者在验证了用户身份后即获取了用户的身份信息。有些服务方可能在未获用户授权的情况下对这些数据进行处置，几乎毫无顾忌地收集、存储、传输、买卖用户，这实际上是对于用户隐私信息的严重侵犯。同时，用户信息保存在各个应用的中心化服务后，还存在着服务器被攻击，用户隐私泄露等问题。大部分企业都需要尽全力去保护用户个人信息，但是成本昂贵。


技术实现要素：

[0004]
1.发明要解决的技术问题
[0005]
为了克服上述技术问题，本发明提供了一种分布式数字证书管理方法和系统、设备及存储介质；利用作为区块链共识节点的包括ca中心在内的多个权威机构，共同签名用以生成数字证书，更新数字证书和撤销数字证书，以使数字证书的管理实现去中心化，以免发生数字证书泄露，盗取等情况，保护用户隐私，确保数据安全。
[0006]
2.技术方案
[0007]
为解决上述问题，本发明提供的技术方案为：
[0008]
一种分布式数字证书管理方法，适用于用户节点，包括：数字证书申请方法，包括：向区块链节点发送包请求申请数字证书的交易；若请求通过，则接收共识节点发来的数字证书；
[0009]
数字证书更新方法，包括：向区块链节点发送请求更新数字证书的交易；若请求通过，则接收共识节点发来的更新后的数字证书；
[0010]
数字证书撤销方法，包括：向区块链节点发送请求撤销数字证书的交易；若请求通过，则接收共识节点发来的撤销数字证书的通知；其中，
[0011]
请求申请数字证书的交易、请求更新数字证书的交易和请求撤销数字证书的交易均包括用户身份信息的可信声明；
[0012]
接收到请求申请数字证书的交易的共识节点，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0013]
接收到请求更新数字证书的交易的共识节点，根据可信声明验证用户身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0014]
接收到请求撤销数字证书的交易的共识节点，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0015]
可选的，所述可信声明生产方法，包括：发送包含有用户身份标识符和待验证信息的交易至m个第一证明方；接收m个第一证明方反馈的包含有第一证明方签名的待验证信息是否正确的通知；若接收到n个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知，则：构建请求可信声明的交易；发送请求可信声明的交易至区块链系统；若请求可信声明的交易验证通过，则：接收针对待验证信息的可信声明；其中，用户身份标识符，根据用户的公钥、私钥和身份信息在区块链系统上生成；请求可信声明的交易包括：n个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知，待验证信息哈希值和用户身份标识符；待验证信息的可信声明包括n个第一证明方的签名和待验证信息哈希值；2≤n≤m，m≥2，m和n均为整数；接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收到请求可信声明的交易的共识节点，验证可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0016]
可选的，用于生成用户身份标识符的身份信息中包含待验证信息，则接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法，包括：向区块链系统请求用户标识符包含的身份信息哈希值，将待验证信息的哈希值与身份信息哈希值比对，若存在一致，则验证通过；或，与第一证明方存储的待验证信息或待验证信息哈希值进行比对，若一致，则验证通过。
[0017]
可选的，构建包含有用户身份标识符和待验证信息的交易时，使用带验证信息的哈希值；接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法，包括：向区块链系统请求用户标识符包含的身份信息哈希值，将待验证信息的哈希值与身份信息哈希值比对，若存在一致，则验证通过；或，与第一证明方存储的待验证信息或待验证信息哈希值进行比对，若一致，则验证通过。
[0018]
一种分布式数字证书管理方法，适用于区块链共识节点，包括：数字证书生成方法，包括：接收请求申请数字证书的交易，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0019]
数字证书更新方法，包括：接收请求更新数字证书的交易，根据可信声明验证用户
身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0020]
数字证书撤销方法，包括：接收请求撤销数字证书的交易，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0021]
可选的，所述可信声明生成方法，包括：接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收请求可信声明的交易，验证请求可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0022]
一种分布式数字证书管理系统，适用于区块链共识节点，包括：
[0023]
数字证书生成单元，用于接收请求申请数字证书的交易，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0024]
数字证书更新单元，用于接收请求更新数字证书的交易，根据可信声明验证用户身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0025]
数字证书撤销单元，用于接收请求撤销数字证书的交易，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0026]
可选的，可信声明生成单元，包括：接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收请求可信声明的交易，验证请求可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0027]
此外，本发明提供了一种设备，所述设备包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如以上所述的方法。
[0028]
相应地，本发明提供了一种存储有计算机程序的存储介质，该程序被处理器执行时实现如以上任一项所述的方法。
[0029]
3.有益效果
[0030]
采用本发明提供的技术方案，与现有技术相比，具有如下有益效果：
[0031]
(1)针对ca的中心化签发所引发如中心失效、网络安全等问题，可以运用区块链技术实现分布式的数字证书签发，让以往由集中式ca认证中心签发数字证书可以由区块链的
分布式账本实现。
[0032]
(2)利用可信声明用以进行数字证书的申请、更新和撤销；利用作为区块链共识节点的包括ca中心在内的多个权威机构，共同签名用以生成数字证书，更新数字证书和撤销数字证书，以使数字证书的管理实现去中心化，以免发生数字证书泄露，盗取等情况，保护用户隐私，确保数据安全。
附图说明
[0033]
图1为本发明的一种设备结构示意图。
具体实施方式
[0034]
为进一步了解本发明的内容，结合附图及实施例对本发明作详细描述。
[0035]
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与发明相关的部分。本发明中所述的第一、第二等词语，是为了描述本发明的技术方案方便而设置，并没有特定的限定作用，均为泛指，对本发明的技术方案不构成限定作用。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0036]
实施例1
[0037]
一种分布式数字证书管理方法，适用于用户节点，包括：数字证书申请方法，包括：向区块链节点发送包请求申请数字证书的交易；若请求通过，则接收共识节点发来的数字证书；
[0038]
数字证书更新方法，包括：向区块链节点发送请求更新数字证书的交易；若请求通过，则接收共识节点发来的更新后的数字证书；
[0039]
数字证书撤销方法，包括：向区块链节点发送请求撤销数字证书的交易；若请求通过，则接收共识节点发来的撤销数字证书的通知；其中，
[0040]
请求申请数字证书的交易、请求更新数字证书的交易和请求撤销数字证书的交易均包括用户身份信息的可信声明；
[0041]
接收到请求申请数字证书的交易的共识节点，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0042]
接收到请求更新数字证书的交易的共识节点，根据可信声明验证用户身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0043]
接收到请求撤销数字证书的交易的共识节点，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0044]
利用可信声明用以进行数字证书的申请、更新和撤销；利用作为区块链共识节点
的包括ca中心在内的多个权威机构，共同签名用以生成数字证书，更新数字证书和撤销数字证书，以使数字证书的管理实现去中心化，以免发生数字证书泄露，盗取等情况，保护用户隐私，确保数据安全。
[0045]
可选的实施方式，所述可信声明生产方法，包括：发送包含有用户身份标识符和待验证信息的交易至m个第一证明方；接收m个第一证明方反馈的包含有第一证明方签名的待验证信息是否正确的通知；若接收到n个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知，则：构建请求可信声明的交易；发送请求可信声明的交易至区块链系统；若请求可信声明的交易验证通过，则：接收针对待验证信息的可信声明；其中，用户身份标识符，根据用户的公钥、私钥和身份信息在区块链系统上生成；请求可信声明的交易包括：n个第一证明方反馈的包含有第一证明方签名的待验证信息为正确的通知，待验证信息哈希值和用户身份标识符；待验证信息的可信声明包括n个第一证明方的签名和待验证信息哈希值；2≤n≤m，m≥2，m和n均为整数；接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收到请求可信声明的交易的共识节点，验证可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0046]
可选的实施方式，用于生成用户身份标识符的身份信息中包含待验证信息，则接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法，包括：向区块链系统请求用户标识符包含的身份信息哈希值，将待验证信息的哈希值与身份信息哈希值比对，若存在一致，则验证通过；或，与第一证明方存储的待验证信息或待验证信息哈希值进行比对，若一致，则验证通过。
[0047]
可选的实施方式，构建包含有用户身份标识符和待验证信息的交易时，使用带验证信息的哈希值；接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确的方法，包括：向区块链系统请求用户标识符包含的身份信息哈希值，将待验证信息的哈希值与身份信息哈希值比对，若存在一致，则验证通过；或，与第一证明方存储的待验证信息或待验证信息哈希值进行比对，若一致，则验证通过。
[0048]
一种分布式数字证书管理方法，适用于区块链共识节点，包括：数字证书生成方法，包括：接收请求申请数字证书的交易，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0049]
数字证书更新方法，包括：接收请求更新数字证书的交易，根据可信声明验证用户身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0050]
数字证书撤销方法，包括：接收请求撤销数字证书的交易，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0051]
可选的实施方式，所述可信声明生成方法，包括：接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收请求可信声明的交易，验证请求可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0052]
一种分布式数字证书管理系统，适用于区块链共识节点，包括：
[0053]
数字证书生成单元，用于接收请求申请数字证书的交易，根据可信声明验证用户身份信息，若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成数字证书，经过共识上链后，发送给用户；
[0054]
数字证书更新单元，用于接收请求更新数字证书的交易，根据可信声明验证用户身份信息，以及请求更新数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名生成更新后的数字证书，经过共识上链后，将更新后的数字证书发送给用户；
[0055]
数字证书撤销单元，用于接收请求撤销数字证书的交易，根据可信声明验证用户身份信息，以及请求更撤销数字证书的内容；若验证通过，则请求通过，作为共识节点的包括ca中心在内的多个数字证书签发方共同签名用于撤销数字证书的交易，经过共识上链后，将撤销数字证书的通知发送给用户。
[0056]
可选的实施方式，可信声明生成单元，包括：接收到包含有用户身份标识符和待验证信息的交易的第一证明方验证待验证信息是否正确；若正确，则对待验证信息和用户标识符签名，并发送第一证明方签名的待验证信息的通知给用户；接收请求可信声明的交易，验证请求可信声明的交易；根据n个第一证明方的公钥验证待验证信息和用户标识符的签名；若验证通过，则：根据n个第一证明方的签名和待验证信息哈希值，生成待验证信息的可信声明。
[0057]
实施例2
[0058]
本实施例提供了一种设备，所述设备包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如以上所述的方法。
[0059]
此外，本实施例提供了一种存储有计算机程序的存储介质，该程序被处理器执行时实现如以上实施例1所述的方法。
[0060]
图1为本发明一实施例提供的一种设备的结构示意图。
[0061]
如图1所示，作为另一方面，本申请还提供了一种设备500，包括一个或多个中央处理单元(cpu)501，其可以根据存储在只读存储器(rom)502中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram503中，还存储有设备500操作所需的各种程序和数据。cpu501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
[0062]
以下部件连接至i/o接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因
特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。
[0063]
特别地，根据本申请公开的实施例，上述任一实施例描述的方法可以被实现为计算机软件程序。例如，本申请公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行上述任一实施例描述的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。
[0064]
作为又一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例的装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，该程序被一个或者一个以上的处理器用来执行描述于本申请的方法。
[0065]
附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这根据所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以通过执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以通过专用硬件与计算机指令的组合来实现。
[0066]
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，例如，各所述单元可以是设置在计算机或移动智能设备中的软件程序，也可以是单独配置的硬件装置。其中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
[0067]
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离本申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。