一种基于区块链的分布式设备证书分发系统及其使用方法与流程

1.本发明涉及分布式设备证书分发系统技术领域，具体是指一种基于区块链的分布式设备证书分发系统及其使用方法。


背景技术：

2.在管理大量联网设备时，为保证业务安全，管理人员会为设备申请配置证书。传统证书配置需要手动申请分发，操作容易出错，流程不可信。而且设备证书需要定期更新维护，会耗费大量人力；同时，传统证书基础设施使用证书吊销列表crl维护证书状态，会有吊销不及时的问题；而使用rfc6960定义的在线证书状态协议ocsp虽然可以实现实时吊销，但在通信过程中，通信数据可能被篡改，导致服务不可用；同时因为是中心化服务，会有单点故障的风险。
3.所以，一种基于区块链的分布式设备证书分发系统及其使用方法成为人们亟待解决的问题。


技术实现要素：

4.本发明要解决的技术问题是传统证书基础设施使用证书吊销列表crl维护证书状态，会有吊销不及时的问题；而使用rfc6960定义的在线证书状态协议ocsp虽然可以实现实时吊销，但在通信过程中，通信数据可能被篡改，导致服务不可用；同时因为是中心化服务，会有单点故障的风险。
5.为解决上述技术问题，本发明提供的技术方案为：一种基于区块链的分布式设备证书分发系统，包括区块链网络、认证机构、证书申请方、证书验证方，所述认证机构与区块链网络进行双向通信，所述证书申请方与区块链网络进行双向通信，所述证书验证方与区块链网络进行双向通信；
6.所述区块链网络包括第一验证节点、第二验证节点、第三验证节点、第四验证节点、第五验证节点、第六验证节点、第七验证节点；
7.所述认证机构包括第一本地区块链节点和认证机构服务，所述第一本地区块链节点与认证机构服务进行双向通信；
8.所述证书申请方包括第二本地区块链节点和证书申请方服务，所述第二本地区块链节点与证书申请方服务进行双向通信；
9.所述证书验证方包括第三本地区块链节点和证书验证方服务，所述第三本地区块链节点与证书验证方服务进行双向通信；
10.所述认证机构通过第一本地区块链节点与第一验证节点进行双向通信；所述证书申请方通过第二本地区块链节点与第二验证节点进行双向通信；所述证书验证方通过第三本地区块链节点与第三验证节点进行双向通信；所述证书申请方通过证书申请方服务向证书验证方服务提交证书和签名。
11.进一步的，所述认证机构是向设备颁发证书的可信实体；所述认证机构受理证书
服务申请，根据证书管理策略验证申请方的信息，然后用其私钥对证书进行签名，并颁发给证书申请方。
12.进一步的，所述证书申请方是指设备入网时，需要作为证书申请方向认证机构申请证书。
13.进一步的，所述证书验证方是指设备对接服务时提供证书和证书签名，服务方作为证书验证方需要验证证书和证书签名。
14.一种基于区块链的分布式设备证书分发系统的使用方法，包括一种基于区块链的分布式设备证书分发系统，所述分布式设备证书分发系统的使用方法如下所示：步骤1、证书的申请和颁发：a.认证机构和证书申请方注册区块链账号；
15.b.证书申请方使用区块链账号私钥生成证书申请；
16.c.证书申请方将证书申请通过第二本地区块链节点提交到智能合约中；
17.d.认证机构通过第一本地区块链节点查询智能合约中的证书申请，并根据证书业务规则对证书申请进行证书签发；
18.e.认证机构将证书通过第一本地区块链节点提交到智能合约中；
19.f.证书通过区块链的分布式网络传输至证书申请方的本地区块链节点；
20.g.证书申请方通过第二本地区块链节点在智能合约中获取证书；
21.步骤2、证书的核验：a.证书申请方使用自己的区块链账号私钥进行签名操作，并将签名和证书发送给证书验证方；
22.b.证书验证方通过第三本地区块链节点同步证书列表；
23.c.证书验证方接收证书申请方的签名和证书，通过第三本地区块链节点查询智能合约中是否存在该证书，同时校验签名有效性；
24.步骤3、证书的吊销：认证机构通过第一本地区块链节点在智能合约中删除指定证书。
25.本发明与现有技术相比的优点在于：本发明实现认证机构、证书申请方和证书验证方通过区块链进行证书申请、分发、核验和吊销；由于各参与方基于各自的本地区块链节点进行证书操作，避免了中间人攻击，确保了证书分发的安全可信，服务高可用；任何一个区块链节点故障，也不会影响到其他区块链节点运行，从而避免了单点故障风险；本发明设计合理，值得大力推广。
附图说明
26.图1是本发明一种基于区块链的分布式设备证书分发系统的示意图。
27.图2是本发明一种基于区块链的分布式设备证书分发系统的使用方法的时序图。
28.如图所示：
29.1、区块链网络，2、认证机构，3、证书申请方，4、证书验证方，5、第一验证节点，6、第二验证节点，7、第三验证节点，8、第四验证节点，9、第五验证节点，10、第六验证节点，11、第七验证节点，12、第一本地区块链节点，13、认证机构服务，14、第二本地区块链节点，15、证书申请方服务，16、第三本地区块链节点，17、证书验证方服务。
具体实施方式
30.下面结合附图对本发明一种基于区块链的分布式设备证书分发系统及其使用方法做进一步的详细说明。
31.结合附图1-2，对本发明进行详细介绍。
32.一种基于区块链的分布式设备证书分发系统，包括区块链网络1、认证机构2、证书申请方3、证书验证方4，所述认证机构2与区块链网络1进行双向通信，所述证书申请方3与区块链网络1进行双向通信，所述证书验证方4与区块链网络1进行双向通信；
33.所述区块链网络1包括第一验证节点5、第二验证节点6、第三验证节点7、第四验证节点8、第五验证节点9、第六验证节点10、第七验证节点11；
34.所述认证机构2包括第一本地区块链节点12和认证机构服务13，所述第一本地区块链节点12与认证机构服务13进行双向通信；
35.所述证书申请方3包括第二本地区块链节点14和证书申请方服务15，所述第二本地区块链节点14与证书申请方服务15进行双向通信；
36.所述证书验证方4包括第三本地区块链节点16和证书验证方服务17，所述第三本地区块链节点16与证书验证方服务17进行双向通信；
37.所述认证机构2通过第一本地区块链节点12与第一验证节点5进行双向通信；所述证书申请方3通过第二本地区块链节点13与第二验证节点6进行双向通信；所述证书验证方4通过第三本地区块链节点16与第三验证节点7进行双向通信；所述证书申请方3通过证书申请方服务15向证书验证方服务17提交证书和签名。
38.所述认证机构2是向设备颁发证书的可信实体；所述认证机构2受理证书服务申请，根据证书管理策略验证申请方的信息，然后用其私钥对证书进行签名，并颁发给证书申请方3。
39.所述证书申请方3是指设备入网时，需要作为证书申请方3向认证机构2申请证书。
40.所述证书验证方4是指设备对接服务时提供证书和证书签名，服务方作为证书验证方需要验证证书和证书签名。
41.一种基于区块链的分布式设备证书分发系统的使用方法，包括一种基于区块链的分布式设备证书分发系统，所述分布式设备证书分发系统的使用方法如下所示：步骤1、证书的申请和颁发：a.认证机构2和证书申请方3注册区块链账号；
42.b.证书申请方3使用区块链账号私钥生成证书申请；
43.c.证书申请方3将证书申请通过第二本地区块链节点14提交到智能合约中；
44.d.认证机构2通过第一本地区块链节点12查询智能合约中的证书申请，并根据证书业务规则对证书申请进行证书签发；
45.e.认证机构2将证书通过第一本地区块链节点12提交到智能合约中；
46.f.证书通过区块链的分布式网络传输至证书申请方3的本地区块链节点；
47.g.证书申请方3通过第二本地区块链节点14在智能合约中获取证书；
48.步骤2、证书的核验：a.证书申请方3使用自己的区块链账号私钥进行签名操作，并将签名和证书发送给证书验证方4；
49.b.证书验证方4通过第三本地区块链节点16同步证书列表；
50.c.证书验证方4接收证书申请方的签名和证书，通过第三本地区块链节点16查询
智能合约中是否存在该证书，同时校验签名有效性；
51.步骤3、证书的吊销：认证机构2通过第一本地区块链节点12在智能合约中删除指定证书。
52.本发明一种基于区块链的分布式设备证书分发系统及其使用方法的具体实施过程如下：
53.步骤1、证书的申请和颁发：a.认证机构2和证书申请方3注册区块链账号；
54.b.证书申请方3使用区块链账号私钥生成证书申请；
55.c.证书申请方3将证书申请通过第二本地区块链节点14提交到智能合约中；
56.d.认证机构2通过第一本地区块链节点12查询智能合约中的证书申请，并根据证书业务规则对证书申请进行证书签发；
57.e.认证机构2将证书通过第一本地区块链节点12提交到智能合约中；
58.f.证书通过区块链的分布式网络传输至证书申请方3的本地区块链节点；
59.g.证书申请方3通过第二本地区块链节点14在智能合约中获取证书；
60.步骤2、证书的核验：a.证书申请方3使用自己的区块链账号私钥进行签名操作，并将签名和证书发送给证书验证方4；
61.b.证书验证方4通过第三本地区块链节点16同步证书列表；
62.c.证书验证方4接收证书申请方的签名和证书，通过第三本地区块链节点16查询智能合约中是否存在该证书，同时校验签名有效性；
63.步骤3、证书的吊销：认证机构2通过第一本地区块链节点12在智能合约中删除指定证书。
64.本发明实现认证机构、证书申请方和证书验证方通过区块链进行证书申请、分发、核验和吊销；由于各参与方基于各自的本地区块链节点进行证书操作，避免了中间人攻击，确保了证书分发的安全可信，服务高可用；任何一个区块链节点故障，也不会影响到其他区块链节点运行，从而避免了单点故障风险；本发明设计合理，值得大力推广。
65.以上对本发明及其实施方式进行了描述，这种描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。