CN110855445B - 一种基于区块链的证书管理方法、装置及存储设备 - Google Patents

一种基于区块链的证书管理方法、装置及存储设备 Download PDF

Info

Publication number
CN110855445B
CN110855445B CN201911088180.2A CN201911088180A CN110855445B CN 110855445 B CN110855445 B CN 110855445B CN 201911088180 A CN201911088180 A CN 201911088180A CN 110855445 B CN110855445 B CN 110855445B
Authority
CN
China
Prior art keywords
certificate
target
information
certificate information
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911088180.2A
Other languages
English (en)
Other versions
CN110855445A (zh
Inventor
刘攀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201911088180.2A priority Critical patent/CN110855445B/zh
Publication of CN110855445A publication Critical patent/CN110855445A/zh
Application granted granted Critical
Publication of CN110855445B publication Critical patent/CN110855445B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种基于区块链的证书管理方法、装置及存储设备,其中该方法可包括:接收来自证书签发设备的目标证书信息,该目标证书信息是证书签发设备为证书申请设备签发的证书信息;若目标证书信息满足存证条件,则将记录上述目标证书信息在区块链网络中进行第一次共识;若区块链网络达成所述第一次共识,则根据目标证书信息更新区块链存证合约,得到第一区块链存证合约,第一区块链存证合约中目标证书信息对应的状态为激活可用;将第一区块链存证合约添加至区块链网络的区块链账本中。采用本发明实施例,可以有效防止证书丢失或被篡改,从而可以提高证书的安全性。

Description

一种基于区块链的证书管理方法、装置及存储设备
技术领域
本发明涉及信息处理技术领域,尤其涉及一种基于区块链的证书管理方法、装置及存储设备。
背景技术
学历证书是学制***内实施学历教育的学校或者其他教育机构,对完成了学制***内一定教育阶段的学习任务的受教育者所颁发的文凭。学历证书可以包括学历(例如专科或本科等)、毕业院校、证书编号等信息。
目前,学校或者其他教育机构向受教育者颁发纸质学历证书,用以证明受教育者的文凭。不过纸质学历证书存在易丢失、易被篡改的风险,一旦受教育者的纸质学历证书丢失或被篡改,在受教育者需要证明其学历的情况下,会给受教育者带来巨大的不便。
发明内容
本发明实施例提供了一种基于区块链的证书管理方法、装置及存储设备,可以有效防止证书丢失或被篡改,从而可以提高证书的安全性。
第一方面,本发明实施例提供了一种基于区块链的证书管理方法,该方法包括:
接收来自证书签发设备的目标证书信息;该目标证书信息是该证书签发设备为证书申请设备签发的证书信息;
若该目标证书信息满足存证条件,则将记录该目标证书信息在区块链网络中进行第一次共识;
若该区块链网络达成第一次共识,则根据该目标证书信息更新区块链存证合约,得到第一区块链存证合约;该第一区块链存证合约中该目标证书信息对应的状态为激活可用;
将该第一区块链存证合约添加至区块链网络的区块链账本中。
在一种实施方式中,上述目标证书信息包括证书标识和证书签发设备的身份标识。若该证书标识未被存证过且证书签发设备的身份标识具有合法性,则确定上述目标证书信息满足所述存证条件。验证证书标识未被存证过和证书签发设备的身份标识,不仅可以确保证书不被重复存证,还确认了证书签发设备的身份。
在一种实施方式中,接收来自吊销设备的吊销请求,该吊销请求包括该目标证书信息的证书标识,该吊销请求用于请求吊销与该证书标识对应的该目标证书信息;若该吊销请求满足吊销条件,则将吊销该目标证书信息在区块链网络中进行第二次共识;若区块链网络达成该第二次共识,则更新上述第一区块链存证合约,得到第二区块链存证合约;该第二区块链存证合约中目标证书信息对应的状态为已吊销。
在一种实施方式中,上述吊销请求还包括该吊销设备的身份标识。若存在与证书标识对应的目标证书信息,该目标证书信息对应的状态为激活可用,且根据身份标识列表确定该吊销设备的身份标识具有合法性,则确定该吊销请求满足上述吊销条件。
在一种实施方式中,接收来自上述证书签发设备的针对上述目标证书信息的状态查询请求,该状态查询请求携带该目标证书信息的证书标识;根据上述证书标识查找该目标证书信息对应的状态;向该证书签发设备发送状态查询响应,该状态查询响应用于指示该目标证书信息对应的状态为激活可用、已吊销或未存证。
在一种实施方式中,上述目标证书信息包括上述证书签发设备的签名和上述证书签发设备的公钥标识;在接收到来自查询设备的针对目标证书信息的合法性查询请求的情况下,根据该公钥标识验证该签名是否具有合法性;根据验证结果向查询设备发送合法性查询响应,该合法性查询响应用于指示该签名具有合法性,或该签名不具有合法性,或该签名具有合法性,但证书签发设备的公钥处于取消状态。
具体的,根据该公钥标识获取公钥值和公钥的当前状态,公钥的当前状态为激活可用或取消状态。在一种可能的方式中,获取证书签发设备采用其私钥生成签名的第一摘要;根据公钥值对签名进行解密,得到第二摘要;若第一摘要与第二摘要相同,则证书签发设备的签名具有合法性,反之不具有合法性。在另一种可能的方式中,从证书授权中心获取证书签发中心为证书签发设备颁发的公钥,采用该公钥对签名进行解密得到第一摘要;根据公钥标识对应的公钥值对签名进行解密,得到第二摘要;若第一摘要与第二摘要相同,则证书签发设备的签名具有合法性,反之不具有合法性。
在一种实施方式中,接收来自查询设备的吊销查询请求,该吊销查询请求携带上述目标证书信息的证书标识;根据该证书标识查找目标证书信息;若查找到该目标证书信息且该目标证书信息对应的状态为已吊销,则向上述查询设备发送吊销查询响应,该吊销查询响应用于指示该目标证书信息已吊销。
第二方面,本发明实施例提供了一种证书管理装置,该装置包括收发单元和处理单元。
收发单元,用于接收来自证书签发设备的目标证书信息;该目标证书信息是上述证书签发设备为证书申请设备签发的证书信息。
处理单元用于若该目标证书信息满足存证条件,则将记录该目标证书信息在区块链网络中进行第一次共识;若该区块链网络达成第一次共识,则根据该目标证书信息更新区块链存证合约,得到第一区块链存证合约;该第一区块链存证合约中目标证书信息对应的状态为激活可用;将该第一区块链存证合约添加至区块链网络的区块链账本中。
第三方面,本发明实施例提供了一种证书管理装置,该装置包括处理器和存储器,处理器和存储器相互耦合,其中,存储器用于存储计算机程序,计算机程序包括程序指令,处理器被配置用于调用所述程序指令,执行第一方面所涉及到的操作。
第四方面,本发明实施例提供了一种存储设备,该存储设备可以包括计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序包括程序指令,当程序指令被处理器执行时,使得处理器执行第一方面所述的方法。
本发明实施例,通过区块链存证合约将证书存储在区块链上,可以有效防止证书丢失或被篡改,从而可以提高证书的安全性。采用本发明实施例,即使受教育者的纸质证书丢失,也可以通过区块链进行查找或证明,给受教育者带来便利。企业(例如招聘企业)或教育机构可通过区块链对他人提供的证书进行验证,为企业或教育机构验证证书提供便利。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A为数据共享***的示意图;
图1B为区块链的结构示意图;
图2为默克尔树的结构示例图;
图3为应用本发明实施例的网络架构示意图;
图4为本发明实施例提供的一种证书管理方法的流程示意图;
图5为本发明实施例提供的另一种证书管理方法的流程示意图;
图6为本发明实施例提供的又一种证书管理方法的流程示意图;
图7为本发明实施例提供的一种证书管理装置的结构示意图;
图8为本发明实施例提供的另一种证书管理装置的结构示意图。
具体实施方式
在对本发明实施例进行介绍之前,先介绍本发明实施例涉及的名称或术语。
(1)数据共享***和区块链
参见图1A所示的数据共享***,数据共享***100是指用于进行节点与节点之间数据共享的***,该数据共享***中可以包括多个节点101,多个节点101可以是指数据共享***中各个客户端。每个节点101在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享***内的共享数据。为了保证数据共享***内的信息互通,数据共享***中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享***中的任意节点接收到输入信息时,数据共享***中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享***中全部节点上存储的数据均一致。
对于数据共享***中的每个节点,均具有与其对应的节点标识,而且数据共享***中的每个节点均可以存储有数据共享***中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享***中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为网络之间互联的协议(Internet Protocol,IP)地址以及其他任一种能够用于标识该节点的信息,表1中仅以IP地址为例进行说明。
节点名称 节点标识
节点1 117.114.151.174
节点2 117.116.189.145
节点N 119.123.789.258
数据共享***也可以称为区块链网络,数据共享***中的节点也可以称为区块链节点。区块链网络中的每个区块链节点均存储一条相同的区块链。区块链由多个区块组成,参见图1B,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
在生成区块链中的各个区块时,区块链所在的节点在接收到输入信息时,对输入信息进行校验,完成校验后,将输入信息存储至内存池中,并更新其用于记录输入信息的哈希树;之后,将更新时间戳更新为接收到输入信息的时间,并尝试不同的随机数,多次进行特征值计算,使得计算得到的特征值可以满足下述公式:
SHA256(SHA256(version+prev_hash+merkle_root+ntime+nbits+x))<TARGET
其中,SHA256为计算特征值所用的特征值算法;version(版本号)为区块链中相关区块协议的版本信息;prev_hash为当前区块的父区块的区块头特征值;merkle_root为输入信息的特征值;ntime为更新时间戳的更新时间;nbits为当前难度,在一段时间内为定值,并在超出固定时间段后再次进行确定;x为随机数;TARGET为特征值阈值,该特征值阈值可以根据nbits确定得到。
这样,当计算得到满足上述公式的随机数时,便可将信息对应存储,生成区块头和区块主体,得到当前区块。随后,区块链所在节点根据区块链网络中其他区块链节点的节点标识,将新生成的区块分别发送给其所在的区块链网络中的其他区块链节点,由其他区块链节点对新生成的区块进行校验,并在完成校验后将新生成的区块添加至其存储的区块链中。
其中,区块链(Blockchain)是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链,本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
(2)默克尔树
默克尔树(Merkle Tree)是一类基于哈希值的二叉树或多叉树,其叶子节点上的值通常为数据块的哈希值,中间节点上的值通常为相邻两个叶子节点的组合结果的哈希值,而根节点上的值是将该根节点的所有子节点的组合结果的哈希值。
例如,可参见图2所示的默克尔树的结构示例图,D0~D3为四个数据块,叶子节点N0上的值为数据块D0进行哈希运算得到的哈希值,叶子节点N1上的值为数据块D1进行哈希运算得到的哈希值,叶子节点N2上的值为数据块D2进行哈希运算得到的哈希值,叶子节点N3上的值为数据块D3进行哈希运算得到的哈希值;中间节点N4上的值为叶子节点N0与N1经过哈希运算得到的哈希值,中间节点N5上的值为叶子节点N2和N3经过哈希运算得到的哈希值;根(root)节点上的值为中间节点N4和N5经过哈希运算得到的哈希值。
默克尔树一般用来进行完整性验证处理,在处理完整性验证的应用场景中,默克尔树会大大减少数据的传输量及计算的复杂度。根节点的哈希值通常存储在区块中的区块头中,叶子节点的哈希值和中间节点的哈希值通常存储在区块中的区块主体中。
(3)区块链存证合约
本发明实施例中,区块链存证合约是用于保存证书的智能合约。智能合约(SmartContract)是一套以数字形式定义、传播、验证或执行的约定,包括合约参与方可以在上面执行这些约定的协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可跟踪且不可逆转。
鉴于纸质证书存在的弊端,本发明实施例提供一种基于区块链的证书管理方法及装置、存储设备,可以有效防止证书丢失或被篡改,从而可以提高证书的安全性。
其中,证书可以包括但不限于教育机构颁发的各***书(例如专科学历证书或本科学历证书等)、各种学位证书(例如学士学位证书等)、各种职业资格证书或技能证书(例如心理咨询师或人力资源管理师等)等。证书还可以是学历可信声明证书、学位可信声明证书、技能可信声明证书或资格可信声明证书等。学历可信声明证书,是一种用于声明学历是可信的证书,以此类推其他可信声明证书。本发明实施例以学历可信声明证书为例进行描述。
请参见图3,为应用本发明实施例的网络架构示意图,该网络架构200包括证书申请设备201、证书签发设备202和区块链网络204,可选的还包括查询设备203。需要说明的是,图3各个设备的数量和形态用于举例,并不构成对本发明实施例的限定,例如以两个证书申请设备(分别为证书申请设备201a和证书申请设备201b)为例。
证书申请设备201、证书签发设备202和查询设备203可以是手机(或智能手机)、平板电脑、个人计算机、笔记本、膝上电脑、移动互联网设备(Mobile Internet Devices,MID)等设备。
其中,证书申请设备201,是用于申请证书的设备,可以是受教育者或毕业生的设备。证书签发设备202,是用于签发证书的设备,可以是教育机构或学校或***权威机构的设备。查询设备203,是用于查询证书是否具有合法性的设备,可以是招聘企业或招聘负责人的设备,还可以是毕业生的设备。
以学历可信声明证书为例,在一种可能的实现方式中,证书签发设备202可向证书申请设备201发送请求消息,该请求消息用于请求证书申请设备201反馈可信声明相关信息(例如学历、毕业时间、毕业院校等)。证书申请设备201在接收到该请求消息的情况下,接收毕业生输入可信声明相关信息,并向证书签发设备202发送响应消息,该响应消息包括可信声明相关信息。证书签发设备202在接收到该响应消息的情况下,可根据该响应消息生成学历可信声明证书,该学历可信声明证书包括证书标识(Identity,ID)、证书内容、证书元数据和签名。
其中,证书标识用于唯一标识学历可信声明证书;证书内容可以包括学历、毕业时间、毕业院校等信息;证书元数据可以包括创建时间即开具证书的时间、证书签发设备的身份标识、毕业生ID、过期时间(例如指学历可信声明证书的过期时间)和吊销机制等;签名包括证书签发设备的签名(即***权威机构的签名)和证书签发设备的公钥标识。证书签发设备的非对称密钥对可以是由证书授权中心(Certificate Authority,CA)为证书签发设备签发的。毕业生ID可以由证书签发设备为毕业生分配的,也可以是学历证书所包括的毕业生ID。
在另一种可能的实现方式中,证书申请设备201向证书签发设备202发送申请消息,该申请消息用于申请证书签发设备202生成学历可信声明证书,包括毕业生输入的可信声明相关信息。证书签发设备202在接收到该申请消息的情况下,根据该申请消息生成学历可信声明证书。
在又一种可能的实现方式中,证书签发设备202在获知毕业生的学历信息的情况下,生成学历可信声明证书。例如,证书签发设备202为***权威机构的设备,***权威机构在证书签发设备202中录入各个毕业生的学历信息时,可生成各个毕业生的学历可信声明证书。
证书签发设备202在生成学历可信声明证书之后,可将学历可信声明证书发送至区块链网络204,由区块链网络204将学历可信声明证书保存在区块链存证合约中,并将学历可信声明证书的状态标记为激活可用。查询设备203可通过向区块链网络204发送合法性查询请求,以查询毕业生的学历可信声明证书是否由合法的教育机构颁发,进而防止他人伪造学历。
证书签发设备202在生成学历可信声明证书之后,还可以将学历可信声明证书发送至证书申请设备201,并以安全传输方式将学历可信声明证书发送至证书申请设备201。例如,证书签发设备202可使用证书申请设备201的公钥对学历可信声明证书进行加密,将加密后的学历可信声明证书发送至证书申请设备201,证书申请设备201可采用其私钥对其进行解密。证书签发设备202可从CA获取证书申请设备201的公钥,或证书签发设备202直接从证书申请设备201获取证书申请设备201的公钥。证书申请设备201的非对称密钥对可以由CA颁发,也可以由证书申请设备201自主生成并由CA公证。
可选的,图3所示的网络架构还可以包括吊销设备205,吊销设备205是用于请求区块链网络204吊销学历可信声明证书的设备,可以是证书签发设备202,即证书签发设备202可申请吊销学历可信声明证书;也可以是其他用于请求吊销证书的设备。
本发明实施例提供的证书管理装置可以是区块链网络中的区块链节点,例如可以是记账节点或矿工节点等,证书管理装置也可以是区块链节点的一部分。
基于图3所示的网络架构,下面将结合附图4-附图6对本发明实施例提供的证书管理方法进行详细介绍。在介绍过程中,证书以学历可信声明证书为例,证书管理装置以区块链节点(可以是区块链网络中的任一区块链节点)为例。
请参见图4,为本发明实施例提供的一种证书管理方法的流程示例图,可以包括但不限于如下步骤:
301,证书签发设备202向区块链网络204中的区块链节点发送目标证书信息。假设证书签发设备202向区块链网络204中的区块链节点2044发送目标证书信息。相应的,区块链节点2044接收来自证书签发设备202的目标证书信息。
其中,目标证书信息可以是任意一个学历可信声明证书,即可以是任意一个毕业生的学历可信声明证书。对于每个学历可信声明证书,可按照本发明实施例提供的证书管理方法进行处理。证书签发设备202也可以向区块链节点2044发送多个学历可信声明证书,区块链节点2044可按照本发明实施例提供的证书管理方法对每个学历可信声明证书分别进行处理。学历可信声明证书是由证书签发设备202为证书申请设备201签发的,签发也可以理解为颁发或配置或分配等。
目标证书信息可以包括证书ID、证书内容、证书元数据和签名,具体如下:
证书ID即为证书签发设备202为学历可信声明证书分配的标识,用于唯一标识学历可信声明证书,即证书签发设备202为不同毕业生签发不同的学历可信声明证书。
证书内容可以包括学历、毕业时间、毕业院校和毕业生照片等信息,这些信息可以是毕业生在证书申请设备201中填写的,也可以是证书签发设备202自主录入的,还可以是证书签发设备202通过其他方式获取的,等等。
证书元数据可以包括证书签发设备202创建该学历可信声明证书的时间(即开具该证书的时间)、有效时间(即该证书在哪段时间内有效)或过期时间(即该证书在超过什么时间之后无效)、证书签发设备202的身份标识(用于标识不同的证书签发设备)、毕业生ID和吊销机制等。证书签发设备202的身份标识可以是***权威机构为其颁发或配置的标识,也可以是设备标识等。毕业生ID可以是由证书签发设备202为毕业生分配的,也可以是学历证书所包括的毕业生ID。吊销机制,表示在什么情况下可以吊销证书,例如在超过有效时间的情况下可以吊销证书,或在接收到吊销请求且吊销请求满足吊销条件的情况下可以吊销证书。
签名,指的是证书签发设备202的签名,还可以包括证书签发设备202的公钥标识。证书签发设备202的非对称密钥对可以由CA为证书签发设备202签发,也可以是证书签发设备202自主配置且获得CA的公证。非对称密钥对包括公钥和私钥。证书签发设备202可根据非对称密钥对中的私钥生成签名。将证书签发设备202的签名和公钥标识发送至区块链网络204,以便区块链网络204对证书签发设备202的合法性进行校验。
证书标识和证书签发设备202的身份标识,可用于判断是否满足存证条件。证书签发设备202的签名可用于校验是否存在其他设备仿造证书签发设备202颁发学历可信声明证书,即校验证书签发设备202的合法性。
证书签发设备202在为证书申请设备201签发学历可信声明证书之后,将学历可信声明证书发送至区块链网络204,例如可通过存证请求向区块链网络204发送学历可信声明证书,即存证请求携带学历可信声明证书。存证请求用于请求区块链网络204将学历可信声明证书保存在区块链存证合约中。图4中,以区块链网络204包括5个区块链节点(2041~2045),以区块链节点2044接收到目标证书信息为例。
302,区块链节点2044判断目标证书信息是否满足存证条件。
区块链节点2044在接收到目标证书信息的情况,判断目标证书信息是否满足存证条件。具体的,判断目标证书信息是否满足存证条件,即区块链节点2044判断目标证书信息所包括的证书标识是否被存证过,判断目标证书信息所包括的证书签发设备202的身份标识是否具有合法性。
判断证书标识是否被存证过,即判断证书标识所标识的学历可信声明证书是否被保存在区块链存证合约中,也即判断区块链网络204是否保存过该学历可信声明证书。例如,区块链节点2044上保存有已存证的证书标识列表,若该列表中不存在该证书标识,那么可确定该证书标识未被存证过;反之该证书标识被存证过。再例如,区块链节点2044根据该证书标识在区块链存证合约中查找与该证书标识相匹配的学历可信声明证书,若未查找到则可确定该证书标识未被存证过;反之该证书标识被存证过。
判断证书签发设备202的身份标识是否具有合法性,即判断证书签发设备202对应的教育机构是否具有合法性。例如,区块链节点2044上保存有具有合法性的证书签发设备的身份标识列表,若该列表中存在该证书签发设备202的身份标识,那么可确定该证书签发设备202的身份标识具有合法性;反之该证书签发设备202的身份标识不具有合法性。
在该证书标识未被存证过且证书签发设备202的身份标识具有合法性的情况下,确定目标证书信息满足存证条件,即区块链节点2044可以将目标证书信息记录并保存在区块链存证合约中。
303,在步骤302的判断结果为是的情况下,区块链节点2044将记录目标证书信息在区块链网络204中进行第一次共识。
在步骤302的判断结果为是的情况下,即在目标证书信息满足存证条件的情况下,区块链节点2044将记录目标证书信息在区块链网络204中进行第一次共识,即将记录目标证书信息这个操作在区块链网络204中进行第一次共识。在步骤302的判断结果为否的情况下,区块链节点2044向证书签发设备202发送存证响应,该存证响应用于指示目标证书信息不满足存证条件。
具体的,在步骤302的判断结果为是的情况下,区块链节点2044可将记录目标证书信息这个操作发送至区块链网络204中的其他区块链节点,若区块链网络204中超过一半的区块链节点同意该操作,那么可以确定区块链网络204达成第一次共识。例如,区块链网络204中的区块链节点2041~2043同意该操作,即三个区块链节点同意该操作,那么可确定区块链网络204达成第一次共识。
若区块链网络204达成第一次共识,则区块链节点2044执行步骤304;若区块链网络204未达成第一次共识,则区块链节点2044不能将目标证书信息保存在区块链存证合约中。
304,在区块链网络204达成第一次共识的情况下,区块链节点2044根据目标证书信息更新区块链存证合约,得到第一区块链存证合约。
具体的,区块链节点2044将目标证书信息保存在区块链存证合约中,并将目标证书信息对应的状态标记为激活可用,即将学历可信声明证书保存在区块链存证合约中,并将学历可信声明证书对应的状态标记为激活可用,得到第一区块链存证合约。那么,在第一区块链存证合约中,目标证书信息对应的状态为激活可用。
其中,激活可用表示证书是可以使用的,尚在有效期内。目标证书信息对应的状态可以是激活可用、未存证、已吊销或已过期等。
一个区块链存证合约可以对应一个或多个学历可信声明证书,例如同一学校的毕业生的学历可信声明证书可以对应一个区块链存证合约,同一学校同一专业的毕业生的学历可信声明证书可以对应一个区块链存证合约等。区块链网络204中可以存在一个或多个区块链存证合约。
305,区块链节点2044将第一区块链存证合约添加至区块链网络204的区块链账本中。
区块链节点2044将第一区块链存证合约添加至区块链网络204的区块链账本中,将对第一区块链存证合约进行上链,这样区块链网络204中的每个区块链节点都能获知第一区块链存证合约,或获知目标证书信息保存在区块链存证合约中,且目标证书信息对应的状态为激活可用。
可选的,区块链节点2044在执行步骤305之后,可向证书签发设备202发送存证响应,该存证响应用于指示目标证书信息已经保存在区块链存证合约中,且目标证书信息对应的状态为激活可用。
在图4所示的实施例中,区块链节点2044在接收到来自证书签发设备202的目标证书信息时,在目标证书信息满足存证条件且区块链网络204达成记录目标证书信息的共识的情况下,将目标证书信息保存在区块链存证合约中,并将目标证书信息对应的状态标记为激活可用,对更新后的区块链存证合约进行上链,从而实现区块链网络保存证书,可以有效防止证书丢失或被篡改,提高证书的安全性。
请参见图5,为本发明实施例提供的另一种证书管理方法的流程示例图。可以理解的是,图4所示实施例为存证过程,图5所示实施例为吊销过程,图5所示实施例在图4所示实施例之后执行,即步骤401在步骤305之后执行。图5所示实施例可以包括但不限于如下步骤:
步骤401,吊销设备205向区块链网络204中的区块链节点发送吊销请求。可以向区块链网络204中的任一区块链节点发送吊销请求。假设吊销设备205向区块链网络204中的区块链节点2044发送吊销请求。相应的,区块链节点2044接收来自吊销设备205的吊销请求。
鉴于学历存在伪造的可能等原因,需要吊销学历可信声明证书,吊销设备205可通过向区块链网络204发送吊销请求,以请求吊销相应的学历可信声明证书。吊销设备205可以是***权威机构中的设备,即***权威机构在发现某个学历是伪造时,通过吊销设备205向区块链网络204发送吊销请求,这种情况下吊销设备205可以是证书签发设备202。吊销设备205也可以是发现伪造学历的设备。
其中,吊销请求用于请求区块链网络204吊销目标证书信息,即吊销学历可信声明证书。可以理解为,吊销请求是针对目标证书信息的吊销请求。吊销请求可携带目标证书信息的证书标识,用于请求区块链网络204吊销该证书标识对应的学历可信声明证书。
吊销请求还包括吊销设备205的身份标识,用于标识吊销设备205,以便区块链网络204判断吊销设备205是否具有合法性。
步骤402,区块链节点2044判断吊销请求是否满足吊销条件。
区块链节点2044在接收到吊销请求的情况,判断吊销请求是否满足存证条件。具体的,区块链节点2044判断目标证书信息是否被存证过,其对应的状态是否为激活可用,并判断吊销设备205的身份标识是否具有合法性。
判断目标证书信息是否被存证过,可通过目标证书信息的证书标识进行判断,若存在该证书标识,则表示目标证书信息被存证过,进而获取目标证书信息对应的状态是否为激活可用。若目标证书信息未被存证过,则区块链节点2044可向吊销设备205发送吊销响应,该吊销响应用于指示不存在目标证书信息或目标证书信息对应的状态为未存证。若目标证书信息被存证过,且其对应的状态为已吊销,则向吊销设备205发送吊销响应,该吊销响应用于指示目标证书信息对应的状态为已吊销。
判断吊销设备205的身份标识是否具有合法性,即判吊销设备205是否有资格申请吊销证书。若吊销设备205的身份标识具有合法性,则吊销设备205拥有申请吊销证书的资格;若吊销设备205的身份标识不具有合法性,则吊销设备205不具有申请吊销证书的资格。例如,区块链节点2044上保存有具有合法性的吊销设备的身份标识列表,若该列表中存在该吊销设备205的身份标识,那么可确定该吊销设备205的身份标识具有合法性;反之该吊销设备205的身份标识不具有合法性。
在目标证书信息被存证过,其对应的状态为激活可用,且吊销设备205的身份标识具有合法性的情况下,区块链节点2044可确定吊销请求满足吊销条件。
步骤403,在步骤402的判断结果为是的情况下,区块链节点2044将吊销目标证书信息在区块链网络204中进行第二共识。
在步骤402的判断结果为是的情况下,即在吊销请求满足吊销条件的情况下,区块链节点2044将吊销目标证书信息在区块链网络204中进行第二次共识,即将吊销目标证书信息这个操作在区块链网络204中进行第二次共识。区块链节点2044可执行吊销目标证书信息这个操作,即执行吊销行为,并将吊销行为结果在区块链网络204中进行第二次共识。
在步骤402的判断结果为否的情况下,区块链节点2044向证书签发设备202发送吊销响应,该吊销响应用于指示吊销请求不满足吊销条件。
若区块链网络204达成第二次共识,则区块链节点2044执行步骤404;若区块链网络204未达成第二次共识,则区块链节点2044不吊销目标证书信息。
步骤404,在区块链网络204达成第二次共识的情况下,区块链节点2044更新第一区块链存证合约,得到第二区块链存证合约。
具体的,区块链节点2044将吊销目标证书信息,并将目标证书信息对应的状态标记为已吊销,得到第二区块链存证合约。那么,在第二区块链存证合约中,目标证书信息对应的状态为已吊销。
可选的,步骤404之后,区块链节点2044将第二区块链存证合约添加至区块链网络204的区块链账本中,以更新第一区块链存证合约。
可选的,步骤404之后,区块链节点2044可向吊销设备205发送吊销响应,该吊销响应用于指示目标证书信息已吊销或指示目标证书信息对应的状态为已吊销。
在图5所示的实施例中,通过吊销设备205的吊销请求可实现区块链网络205吊销目标证书信息,从而可以有效杜绝伪造的学历证书。
基于图4或图5所示的实施例,证书签发设备202或吊销设备205可以查询学历可信声明证书的状态,即区块链网络204可以提供状态查询功能。具体的,区块链网络205中的任一区块链节点在接收到来自证书签发设备202或吊销设备205的状态查询请求的情况下,状态查询请求可携带证书标识,区块链节点根据证书标识在区块链存证合约中查找相应的证书的状态,向证书签发设备202或吊销设备205发送状态查询响应,该状态查询响应用于指示目标证书信息对应的状态为激活可用、已吊销、未存证或已过期等。例如,对于图4所示的实施例,状态查询响应用于指示目标证书信息对应的状态为激活可用;对于图5所示的实施例,状态查询响应用于指示目标证书信息对应的状态为已吊销。
在本发明实施例中,第一种情况:一个学历可信声明证书可以对应于一个学历,例如本科学历对应一个学历可信声明,研究生学历对应一个学历可信声明;第二种情况:一个学历可信声明证书也可以对应一个受教育者的所有学历,例如某个受教育者拥有专科学历和本科学历。图4或图5所示的实施例可以理解为针对第一种情况。
对于第二种情况,该学历可信声明证书包括的证书签发设备可以对应于同一***权威机构,即多个学历均由***权威机构颁发,该学历可信声明证书包括一个证书签发设备的信息(例如签名、公钥和身份标识等);也可以对应于多个学校,即不同学历由不同学校颁发,该学历可信声明证书包括多个证书签发设备的信息。
对于学历可信声明证书包括一个证书签发设备的信息的情况,在某个受教育者的学历发生变化的情况下,例如该受教育者完成专升本,那么该证书签发设备在获知该受教育的学历发生变化时,向区块链网络发送证书更新请求,该证书更新请求携带证书标识以及更新内容;区块链网络更新该证书标识对应的学历可信声明证书,并将更新结果在区块链网络中进行共识,达成共识后,更新区块链存证合约,并将更新后的区块链存证合约添加至区块链账本。
对于学历可信声明证书包括多个证书签发设备的信息的情况,在某个受教育者的学历发生变化的情况下,例如该受教育者完成专升本,那么本科学历对应的证书签发设备获取该受教育者之前存证的学历可信声明证书的证书标识,向区块链网络发送证书更新请求,该证书更新请求携带该证书标识、更新内容和该证书签发设备的身份标识;区块链网络在判断出存在该证书标识对应的学历可信声明证书以及该证书对应的状态为激活可用,且该证书签发设备的身份标识具有合法性的情况下,更新该证书标识对应的学历可信声明证书,并将更新结果在区块链网络中进行共识,达成共识后,更新区块链存证合约,并将更新后的区块链存证合约添加至区块链账本。
请参见图6,为本发明实施例提供的又一种证书管理方法的流程示例图,可以包括但不限于如下步骤:
步骤501,查询设备203向区块链网络204中的区块链节点发送合法性查询请求。可以向区块链网络204中的任一区块链节点发送合法性查询请求。假设查询设备203向区块链网络204中的区块链节点2044发送合法性查询请求。相应的,区块链节点2044接收来自查询设备203的合法性查询请求。
其中,合法性查询请求是针对目标证书信息的合法性查询请求,用于查询目标证书信息是否具有合法性,具体用于查询目标证书信息中的签名是否具有合法性,即查询是否为具有合法性的证书签发设备颁发的学历可信声明证书。合法性查询请求可携带目标证书信息的证书标识,以便区块链网络204进行查询和校验。
区块链节点2044在接收到该合法性查询请求的情况下,可检验发布目标证书信息的交易是否在区块链账本中,即检验区块链账本中是否存在包含目标证书信息的区块链存证合约。在区块链网络204不同步完整区块链账本的情况下,区块链节点2044可以采用检验交易的默克尔树证明存在包含目标证书信息的区块链存证合约。
在存在的情况下,区块链节点2044执行步骤502。可选的,在存在的情况下,区块链节点2044还需获取目标证书信息对应的状态。
步骤502,区块链节点2044验证签名是否具有合法性。
区块链节点2044从目标证书信息中获取证书签发设备202的签名和公钥标识,根据公钥标识获取公钥值和公钥的当前状态,调用对应的密码验签算法对签名进行验证。其中,公钥的当前状态用于表示证书签发设备202的公钥处于激活可用状态或取消(revoked)状态,激活可用状态可以理解为证书签发设备202的公钥还能继续使用;取消状态可以理解为证书签发设备202的公钥被取消,不能继续使用,那么该证书签发设备202存在被取消的可能。密码验签算法,例如可以是通过非对称密钥对校验签名的算法。
在一种可能的实现方式中,证书签发设备202通过其私钥对第一摘要进行加密生成签名,将签名和第一摘要告知区块链节点2044,那么目标证书信息还可以包括第一摘要。区块链节点2044采用获取的公钥值对签名进行解密,获得第二摘要,若第二摘要与第一摘要相同,则签名校验通过,具有合法性;否则签名校验不通过,不具有合法性。
在另一种可能的实现方式中,区块链节点2044从CA获取CA为证书签发设备202签发的公钥,采用该公钥对签名进行解密得到第一摘要;根据公钥标识对应的公钥值对签名进行解密得到第二摘要;若第二摘要与第一摘要相同,则签名校验通过,具有合法性;否则签名校验不通过,不具有合法性。
区块链节点2044验证证书签发设备202的签名,可得到如下三种结果中的任意一种:A,签名具有合法性;B,签名不具有合法性;C,签名具有合法性,但证书签发设备的公钥处于取消状态。
其中,A,签名具有合法性,表示证书签发设备202是合法的证书签发设备,且证书签发设备202的公钥处于激活可用状态,其为证书申请设备签发的学历可信声明证书值得信任。B,签名不具有合法性,表示证书签发设备202不是合法的证书签发设备,其为证书申请设备签发的学历可信声明证书不值得信任。C,签名具有合法性,但证书签发设备202的公钥处于取消状态,表示证书签发设备202是合法的证书签发设备,但是该证书签发设备存在被取消的可能,其为证书申请设备签发的学历可信声明证书具有一定的可信度。
可选的,若目标证书信息包括有效时间或过期时间,那么区块链节点2044还需验证当前时间是否超过有效时间或过期时间。
步骤503,区块链节点2044向查询设备203发送合法性查询响应。相应的,查询设备203接收来自区块链节点2044的合法性查询响应。
其中,合法性查询响应用于指示上述三种结果中的任意一种,具体指示哪种视具体情况而定。可选的,若区块链节点2044验证当前时间是否超过有效时间或过期时间,那么合法性查询响应还用于指示是否超过有效时间或过期时间。
查询设备203在接收到合法性查询响应的情况下,可获知学历可信声明证书是否可信,例如针对结果A,可获知学历可信声明证书可信;针对结果B,可获知学历可信声明证书不可信。查询设备203还可以获知学历可信声明证书是否过期。
在图6所示的实施例中,查询设备可以通过区块链网络查询证书是否可信,进而可有效防止他人伪造证书。
可以理解的是,图6所示的实施例是检验证书是否合法的过程,可以在图4或图5所示的实施例之后执行,图4或图5是实现图6的基础。
作为一种可选的实施例,查询设备203还可以查询证书是否被吊销。具体的,查询设备203向区块链网络204发送吊销查询请求,该吊销查询请求携带目标证书信息的证书标识,用于请求查询目标证书信息是否被吊销。区块链网络204在接收到该吊销查询请求的情况下,根据证书标识查找目标证书信息。
若未查找到目标证书信息,则区块链网络204向查询设备203发送吊销查询响应,该吊销查询响应用于指示目标证书信息不存在或目标证书信息对应的状态为未存证。若查找到目标证书信息,且目标证书信息对应的状态为已吊销,则区块链网络204向查询设备203发送吊销查询响应,该吊销查询响应用于指示目标证书信息已吊销或目标证书信息对应的状态为已吊销。若查找到目标证书信息,且目标证书信息对应的状态为激活可用,则区块链网络204向查询设备203发送吊销查询响应,该吊销查询响应用于指示目标证书信息有效或目标证书信息对应的状态为激活可用。
基于上述方法实施例的描述,本发明实施例还提供相应的证书管理装置,该装置可运行于区块链节点中,该装置可以是运行于区块链节点中的计算机程序(包括程序代码)。
请参见图7,为本发明实施例提供的一种证书管理装置的结构示意图,该装置可包括:收发单元701和处理单元702。
收发单元701,用于接收来自证书签发设备的目标证书信息;所述目标证书信息是所述证书签发设备为证书申请设备签发的证书信息;
处理单元702,用于若所述目标证书信息满足存证条件,则将记录所述目标证书信息在区块链网络中进行第一次共识;若所述区块链网络达成所述第一次共识,则根据所述目标证书信息更新区块链存证合约,得到第一区块链存证合约;所述第一区块链存证合约中所述目标证书信息对应的状态为激活可用;将所述第一区块链存证合约添加至所述区块链网络的区块链账本中。
可选的,所述目标证书信息包括证书标识和所述证书签发设备的身份标识;
处理单元702,还用于若所述证书标识未被存证过且所述证书签发设备的身份标识具有合法性,则确定所述目标证书信息满足所述存证条件。
可选的,收发单元701,还用于接收来自吊销设备的吊销请求,所述吊销请求包括所述目标证书信息的证书标识,所述吊销请求用于请求吊销与所述证书标识对应的所述目标证书信息;
处理单元702,还用于若所述吊销请求满足吊销条件,则将吊销所述目标证书信息在所述区块链网络中进行第二次共识;若所述区块链网络达成所述第二次共识,则更新所述第一区块链存证合约,得到第二区块链存证合约;所述第二区块链存证合约中所述目标证书信息对应的状态为已吊销。
可选的,所述吊销请求还包括所述吊销设备的身份标识;
处理单元702,还用于若存在与所述证书标识对应的所述目标证书信息,所述目标证书信息对应的状态为激活可用,且根据身份标识列表确定所述吊销设备的身份标识具有合法性,则确定所述吊销请求满足所述吊销条件。
可选的,收发单元701,还用于接收来自所述证书签发设备的针对所述目标证书信息的状态查询请求,所述状态查询请求携带所述目标证书信息的证书标识;
处理单元702,还用于根据所述证书标识查找所述目标证书信息对应的状态;
收发单元701,还用于向所述证书签发设备发送状态查询响应,所述状态查询响应用于指示所述目标证书信息对应的状态为激活可用、已吊销或未存证。
可选的,所述目标证书信息包括所述证书签发设备的签名和所述证书签发设备的公钥标识;
处理单元702,还用于在收发单元701接收到来自查询设备的针对所述目标证书信息的合法性查询请求的情况下,根据所述公钥标识验证所述签名是否具有合法性;
收发单元701,还用于根据验证结果向所述查询设备发送合法性查询响应,所述合法性查询响应用于指示所述签名具有合法性,或所述签名不具有合法性,或所述签名具有合法性,但所述证书签发设备的公钥处于取消状态。
可选的,收发单元701,还用于接收来自查询设备的吊销查询请求,所述吊销查询请求携带所述目标证书信息的证书标识;
处理单元702,还用于根据所述证书标识查找所述目标证书信息;
收发单元701,还用于若查找到所述目标证书信息且所述目标证书信息对应的状态为已吊销,则向所述查询设备发送吊销查询响应,所述吊销查询响应用于指示所述目标证书信息已吊销。
请参见图8,为本发明实施例提供的另一种证书管理装置的结构示意图,该装置包括处理器801、存储器802以及通信接口803,该处理器801、存储器802以及通信接口803通过一条或多条通信总线连接。
处理器801被配置为支持区块链节点执行图4-图6中方法中区块链节点2044相应的功能。该处理器801可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP),硬件芯片或者其任意组合。
存储器802用于存储程序代码等。存储器802可以包括易失性存储器(volatilememory),例如随机存取存储器(random access memory,RAM);存储器802也可以包括非易失性存储器(non-volatile memory),例如只读存储器(read-only memory,ROM),快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器802还可以包括上述种类的存储器的组合。
通信接口803用于收发数据、信息或消息等,也可以描述为收发器、收发电路等。例如,通信接口803用于接收来自证书签发设备的目标证书信息,或者,通信接口803用于接收来自查询设备的合法性查询请求等。
在本发明实施例中,该处理器801可以调用存储器802中存储的程序代码以执行以下操作:
在一个实施例中,控制通信接口803接收来自证书签发设备的目标证书信息;所述目标证书信息是所述证书签发设备为证书申请设备签发的证书信息;若所述目标证书信息满足存证条件,则将记录所述目标证书信息在区块链网络中进行第一次共识;若所述区块链网络达成所述第一次共识,则根据所述目标证书信息更新区块链存证合约,得到第一区块链存证合约;所述第一区块链存证合约中所述目标证书信息对应的状态为激活可用;将所述第一区块链存证合约添加至所述区块链网络的区块链账本中。
可选的,所述目标证书信息包括证书标识和所述证书签发设备的身份标识;
处理器801,还用于若所述证书标识未被存证过且所述证书签发设备的身份标识具有合法性,则确定所述目标证书信息满足所述存证条件。
可选的,处理器801,还用于控制通信接口803接收来自吊销设备的吊销请求,所述吊销请求包括所述目标证书信息的证书标识,所述吊销请求用于请求吊销与所述证书标识对应的所述目标证书信息;若所述吊销请求满足吊销条件,则将吊销所述目标证书信息在所述区块链网络中进行第二次共识;若所述区块链网络达成所述第二次共识,则更新所述第一区块链存证合约,得到第二区块链存证合约;所述第二区块链存证合约中所述目标证书信息对应的状态为已吊销。
可选的,所述吊销请求还包括所述吊销设备的身份标识;
处理器801,还用于若存在与所述证书标识对应的所述目标证书信息,所述目标证书信息对应的状态为激活可用,且根据身份标识列表确定所述吊销设备的身份标识具有合法性,则确定所述吊销请求满足所述吊销条件。
可选的,处理器801,还用于控制通信接口803接收来自所述证书签发设备的针对所述目标证书信息的状态查询请求,所述状态查询请求携带所述目标证书信息的证书标识;根据所述证书标识查找所述目标证书信息对应的状态;控制通信接口803向所述证书签发设备发送状态查询响应,所述状态查询响应用于指示所述目标证书信息对应的状态为激活可用、已吊销或未存证。
可选的,所述目标证书信息包括所述证书签发设备的签名和所述证书签发设备的公钥标识;
处理器801,还用于在控制通信接口803接收到来自查询设备的针对所述目标证书信息的合法性查询请求的情况下,根据所述公钥标识验证所述签名是否具有合法性;根据验证结果向所述查询设备发送合法性查询响应,所述合法性查询响应用于指示所述签名具有合法性,或所述签名不具有合法性,或所述签名具有合法性,但所述证书签发设备的公钥处于取消状态。
可选的,处理器801,还用于控制通信接口803接收来自查询设备的吊销查询请求,所述吊销查询请求携带所述目标证书信息的证书标识;根据所述证书标识查找所述目标证书信息;若查找到所述目标证书信息且所述目标证书信息对应的状态为已吊销,则控制通信接口803向所述查询设备发送吊销查询响应,所述吊销查询响应用于指示所述目标证书信息已吊销。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例处理设备中的模块可以根据实际需要进行合并、划分和删减。在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、存储盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态存储盘Solid State Disk(SSD))等。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (7)

1.一种基于区块链的证书管理方法,其特征在于,应用于区块链节点,所述方法包括:
接收来自证书签发设备的目标证书信息;所述目标证书信息是所述证书签发设备为证书申请设备签发的证书信息,所述目标证书信息包括证书标识、证书内容、证书元数据和签名,所述证书元数据包括所述证书签发设备的身份标识和吊销机制,所述吊销机制包括吊销所述目标证书信息需要满足的吊销条件;
若所述目标证书信息满足存证条件,则将记录所述目标证书信息在区块链网络中进行第一次共识;
若所述区块链网络达成所述第一次共识,则根据所述目标证书信息更新区块链存证合约,得到第一区块链存证合约;所述第一区块链存证合约中所述目标证书信息对应的状态为激活可用;
将所述第一区块链存证合约添加至所述区块链网络的区块链账本中;
接收来自吊销设备的吊销请求,所述吊销请求包括所述目标证书信息的证书标识和所述吊销设备的身份标识,所述吊销请求用于请求吊销与所述证书标识对应的所述目标证书信息;
若所述第一区块链存证合约中存在与所述证书标识对应的所述目标证书信息,所述目标证书信息对应的状态为激活可用,且根据预先存储的具有合法性的吊销设备的身份标识列表确定所述吊销设备的身份标识具有合法性,则确定所述吊销请求满足所述吊销条件,并将吊销所述目标证书信息在所述区块链网络中进行第二次共识;
若所述区块链网络达成所述第二次共识,则更新所述第一区块链存证合约,得到第二区块链存证合约,并将所述第二区块链存证合约添加至所述区块链网络的区块链账本中;所述第二区块链存证合约中所述目标证书信息对应的状态为已吊销;
接收来自所述证书签发设备的针对所述目标证书信息的状态查询请求,所述状态查询请求携带所述目标证书信息的证书标识;
根据所述证书标识查找所述目标证书信息对应的状态;
向所述证书签发设备发送状态查询响应,所述状态查询响应用于指示所述目标证书信息对应的状态为激活可用、已吊销或未存证。
2.根据权利要求1所述的方法,其特征在于,所述目标证书信息包括证书标识和所述证书签发设备的身份标识;
所述方法还包括:
若所述证书标识未被存证过且所述证书签发设备的身份标识具有合法性,则确定所述目标证书信息满足所述存证条件。
3.根据权利要求1或2所述的方法,其特征在于,所述目标证书信息包括所述证书签发设备的签名和所述证书签发设备的公钥标识;
所述方法还包括:
在接收到来自查询设备的针对所述目标证书信息的合法性查询请求的情况下,根据所述公钥标识验证所述签名是否具有合法性;
根据验证结果向所述查询设备发送合法性查询响应,所述合法性查询响应用于指示所述签名具有合法性,或所述签名不具有合法性,或所述签名具有合法性,但所述证书签发设备的公钥处于取消状态。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收来自查询设备的吊销查询请求,所述吊销查询请求携带所述目标证书信息的证书标识;
根据所述证书标识查找所述目标证书信息;
若查找到所述目标证书信息且所述目标证书信息对应的状态为已吊销,则向所述查询设备发送吊销查询响应,所述吊销查询响应用于指示所述目标证书信息已吊销。
5.一种证书管理装置,其特征在于,应用于区块链节点,包括:
收发单元,用于接收来自证书签发设备的目标证书信息;所述目标证书信息是所述证书签发设备为证书申请设备签发的证书信息,所述目标证书信息包括证书标识、证书内容、证书元数据和签名,所述证书元数据包括所述证书签发设备的身份标识和吊销机制,所述吊销机制包括吊销所述目标证书信息需要满足的吊销条件;以及用于接收来自吊销设备的吊销请求,所述吊销请求包括所述目标证书信息的证书标识和所述吊销设备的身份标识,所述吊销请求用于请求吊销与所述证书标识对应的所述目标证书信息;以及用于接收来自所述证书签发设备的针对所述目标证书信息的状态查询请求,所述状态查询请求携带所述目标证书信息的证书标识;
处理单元,用于若所述目标证书信息满足存证条件,则将记录所述目标证书信息在区块链网络中进行第一次共识;若所述区块链网络达成所述第一次共识,则根据所述目标证书信息更新区块链存证合约,得到第一区块链存证合约;所述第一区块链存证合约中所述目标证书信息对应的状态为激活可用;将所述第一区块链存证合约添加至所述区块链网络的区块链账本中;
所述处理单元,还用于若所述第一区块链存证合约中存在与所述证书标识对应的所述目标证书信息,所述目标证书信息对应的状态为激活可用,且根据预先存储的具有合法性的吊销设备的身份标识列表确定所述吊销设备的身份标识具有合法性,则确定所述吊销请求满足所述吊销条件,并将吊销所述目标证书信息在所述区块链网络中进行第二次共识;若所述区块链网络达成所述第二次共识,则更新所述第一区块链存证合约,得到第二区块链存证合约,并将所述第二区块链存证合约添加至所述区块链网络的区块链账本中;所述第二区块链存证合约中所述目标证书信息对应的状态为已吊销;
所述处理单元,还用于根据所述证书标识查找所述目标证书信息对应的状态;向所述证书签发设备发送状态查询响应,所述状态查询响应用于指示所述目标证书信息对应的状态为激活可用、已吊销或未存证。
6.一种证书管理装置,其特征在于,包括:
处理器和存储器,所述处理器和存储器相互耦合,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1至4任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,当所述程序指令被处理器执行时,使得所述处理器执行如权利要求1至4中任一项所述的方法。
CN201911088180.2A 2019-11-08 2019-11-08 一种基于区块链的证书管理方法、装置及存储设备 Active CN110855445B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911088180.2A CN110855445B (zh) 2019-11-08 2019-11-08 一种基于区块链的证书管理方法、装置及存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911088180.2A CN110855445B (zh) 2019-11-08 2019-11-08 一种基于区块链的证书管理方法、装置及存储设备

Publications (2)

Publication Number Publication Date
CN110855445A CN110855445A (zh) 2020-02-28
CN110855445B true CN110855445B (zh) 2022-05-13

Family

ID=69600123

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911088180.2A Active CN110855445B (zh) 2019-11-08 2019-11-08 一种基于区块链的证书管理方法、装置及存储设备

Country Status (1)

Country Link
CN (1) CN110855445B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112560072B (zh) * 2021-02-18 2021-06-04 腾讯科技(深圳)有限公司 基于区块链的密钥管理方法、装置、介质及设备
CN115146320A (zh) * 2021-03-31 2022-10-04 华为技术有限公司 一种证书查询方法及装置
CN115001699A (zh) * 2022-05-05 2022-09-02 华东师范大学 一种互联网教育平台的数字认证签发***
CN115225639B (zh) * 2022-09-15 2022-12-27 杭州趣链科技有限公司 共识可信集群的变更方法、装置、计算机设备及介质
WO2024065798A1 (en) * 2022-09-30 2024-04-04 Nokia Shanghai Bell Co., Ltd. Certificate management for network functions

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108512667A (zh) * 2018-04-16 2018-09-07 北京天德科技有限公司 一种基于区块链的认证证书生成方法
CN108768657A (zh) * 2018-04-17 2018-11-06 深圳技术大学(筹) 一种基于区块链平台的数字证书颁发***及方法
CN108768933A (zh) * 2018-04-11 2018-11-06 深圳技术大学(筹) 一种区块链平台上自主可监管数字身份认证***
CN110111105A (zh) * 2019-05-05 2019-08-09 江苏全链通信息科技有限公司 基于区块链的合同存证方法、设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180293547A1 (en) * 2017-04-06 2018-10-11 Jaspreet Randhawa Methods and systems for employment and education verification using blockchain
CN107360001B (zh) * 2017-07-26 2021-12-14 创新先进技术有限公司 一种数字证书管理方法、装置和***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768933A (zh) * 2018-04-11 2018-11-06 深圳技术大学(筹) 一种区块链平台上自主可监管数字身份认证***
CN108512667A (zh) * 2018-04-16 2018-09-07 北京天德科技有限公司 一种基于区块链的认证证书生成方法
CN108768657A (zh) * 2018-04-17 2018-11-06 深圳技术大学(筹) 一种基于区块链平台的数字证书颁发***及方法
CN110111105A (zh) * 2019-05-05 2019-08-09 江苏全链通信息科技有限公司 基于区块链的合同存证方法、设备及存储介质

Also Published As

Publication number Publication date
CN110855445A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
US11438173B2 (en) Methods and apparatus for providing blockchain participant identity binding
CN110855445B (zh) 一种基于区块链的证书管理方法、装置及存储设备
CN107231351B (zh) 电子证件的管理方法及相关设备
Lesavre et al. A taxonomic approach to understanding emerging blockchain identity management systems
US11228452B2 (en) Distributed certificate authority
US10547643B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
CN111144881A (zh) 对资产转移数据的选择性访问
US20200052880A1 (en) Ad-hoc trusted groups on a blockchain
US10715502B2 (en) Systems and methods for automating client-side synchronization of public keys of external contacts
CN113328997B (zh) 联盟链跨链***及方法
US9037849B2 (en) System and method for managing network access based on a history of a certificate
CN113824563B (zh) 一种基于区块链证书的跨域身份认证方法
Abraham et al. Revocable and offline-verifiable self-sovereign identities
US20230006840A1 (en) Methods and devices for automated digital certificate verification
US20220094542A1 (en) Methods and devices for public key management using a blockchain
CN111327426B (zh) 数据共享方法及相关装置、设备及***
Konoplev et al. A blockchain decentralized public key infrastructure model
CN112712372A (zh) 联盟链跨链***和信息调用方法
CN114944937A (zh) 分布式数字身份验证方法、***、电子设备及存储介质
JP2022552420A (ja) 証明書認証用の分散台帳に基づく方法およびシステム
KR102044396B1 (ko) 블록체인을 기반으로 한 국가 재난 관리 시스템 및 방법
US20240031341A1 (en) Methods, devices and system related to a distributed ledger and user identity attribute
Casola et al. Interoperable grid pkis among untrusted domains: an architectural proposal
Azeem URS–A universal revocation service for applying in self-sovereign identity
CN115996131A (zh) 基于区块链的密钥处理方法、装置、介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant