CN116055069B - 一种基于区块链的分布式ca实现方法 - Google Patents
一种基于区块链的分布式ca实现方法 Download PDFInfo
- Publication number
- CN116055069B CN116055069B CN202310342282.2A CN202310342282A CN116055069B CN 116055069 B CN116055069 B CN 116055069B CN 202310342282 A CN202310342282 A CN 202310342282A CN 116055069 B CN116055069 B CN 116055069B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user certificate
- node
- user
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于区块链的分布式CA实现方法,包括:通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发;通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销;通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证。将数字证书的签发和撤销流程放到区块链上,提升了证书加密存储的安全性。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种基于区块链的分布式CA实现方法。
背景技术
数字证书是一种由权威机构颁发的、用于在网络上证明用户身份的证明文件,颁发数字证书的过程也可以称为认证授权(CertificationAuthority,简称CA)过程。
当前证书加密存储的方式安全性较低,联盟链体系里中心化CA的证书状态存在同步延迟,并且存在中心化节点故障以及跨网络验证造成的运行效率慢等问题。
公开号为CN106372941A的专利申请,公开了一种基于区块链的CA认证管理方法、装置及***,至少能够解决现有的CA验证方式所导致的根CA证书的安全性难以保证,进而导致整个验证过程的准确性降低的技术问题。其中,区块链进一步包括创世区块以及常规区块,且创世区块用于存储根CA证书,所述方法包括:接收待认证节点在区块链网络中发送的包含未签名证书的申请证书交易;获取所述申请证书交易中包含的未签名证书,根据所述未签名证书生成已签名证书;在区块链网络中向所述待认证节点发送包含所述已签名证书的颁发证书交易。该方案虽然采用了区块链技术,但是只是利用区块链的存证能力,对证书的申请和签发作为两条签发记录保存在链上,而且缺少证书撤销部分的能力。
因此,在现有数字证书签发及撤销的基础上,如何采用区块链技术,实现对数字证书的签发、撤销及验证,成为本领域技术人员亟需解决的问题。
发明内容
鉴于上述问题,本发明提出了一种至少解决上述部分技术问题的基于区块链的分布式CA实现方法,将数字证书的签发和撤销流程放到区块链上,提升了证书加密存储的安全性。
本发明实施例提供一种基于区块链的分布式CA实现方法,包括:
通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发;
通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销;
通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证。
进一步地,通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发,包括如下步骤:
S11、将用户证书申请发送至同步节点;
S12、所述同步节点将所述用户证书申请的交易信息广播到任意共识节点;
S13、所述任意共识节点将所述用户证书申请的交易信息放到待打包交易池;
S14、利用根证书签发用户证书,并将所述用户证书加密保存在待打包区块链中;
S15、将所述用户证书申请的交易信息广播到其他共识节点,多个共识节点达成共识,将所述待打包区块链出块;
S16、所述共识节点将所述用户证书同步到所述同步节点,实现对用户证书的申请及签发。
进一步地,通过所述同步节点发起证书申请,并通过所述同步节点接收生成的用户证书。
进一步地,通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销,包括如下步骤:
S21、将用户证书撤销申请发送至同步节点;
S22、所述同步节点将所述用户证书撤销申请的交易信息广播到任意共识节点;
S23、所述任意共识节点将所述用户证书撤销申请的交易信息放到待打包交易池;
S24、利用根证书对原有证书撤销行为进行签名,并将所述签名保存在待打包区块链中;
S25、将所述用户证书撤销申请的交易信息广播到其他共识节点,多个共识节点达成共识,将所述待打包区块链出块;
S26、所述共识节点将所述签名同步到所述同步节点,实现对用户证书的撤销。
进一步地,通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证,包括如下步骤:
S31、对待验证的用户证书进行解密并提交至验证方进行验证;
S32、所述验证方根据数字签名验证所述用户证书的真伪,并发送至同步节点验证所述用户证书的状态;
S33、所述同步节点接收所述验证方发送的证书验证申请,获取已有证书列表,查验证书已撤销列表CRL,得到证书状态验证结果;
S34、将所述证书状态验证结果返回至所述验证方;
S35、所述验证方根据返回的所述证书状态验证结果,生成所述用户证书的验证结果,实现对用户证书的验证。
进一步地,所述验证方根据数字签名验证所述用户证书的真伪,包括:
所述验证方查验所述用户证书是否由根证书签发;
所述验证方对所述用户证书的有效期进行验证。
本发明实施例提供的上述技术方案的有益效果至少包括:
本发明实施例提供的一种基于区块链的分布式CA实现方法,包括:通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发;通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销;通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证。将数字证书的签发和撤销流程放到区块链上,提升了证书加密存储的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例提供的基于区块链的分布式CA实现方法流程图;
图2为本发明实施例提供的数字证书的申请与签发流程图;
图3为本发明实施例提供的数字证书的撤销流程图;
图4为本发明实施例提供的数字证书的验证流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于区块链的分布式CA实现方法,参照图1所示,包括:
通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发;
通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销;
通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证。
本实施例提供的基于区块链的分布式CA实现方法,采取区块链技术,将数字证书的签发和撤销流程放到区块链上,提升了证书加密存储的安全性,并且提升了CA全生命流程上链可追溯、不可篡改的能力。
其中,参照图2所示,数字证书的申请与签发包括如下过程:
用户发起证书申请,填写证书申请所需材料,组装交易申请信息发送到同步节点;
同步节点接收到用户证书申请,交易信息广播到共识节点(可以为任意共识节点);
任意共识节点将该交易信息放到待打包交易池;
利用根证书签发用户证书,并将用户证书加密保存在待打包区块链中;
将用户证书申请的交易信息广播到其他共识节点,多个共识节点达成共识,将待打包区块链出块;
共识节点将签发的用户证书同步到同步节点,用户接收生成的数字证书。
参照图3所示,数字证书的撤销包括如下过程:
用户发起证书撤销申请,填写证书撤销申请所需材料,组装交易申请信息发送到同步节点;
同步节点接收用户证书撤销申请,交易信息广播到共识节点;
共识节点将该交易信息放到待打包交易池;
利用根证书对原有证书撤销行为进行签名,并将签名保存在待打包区块链中;
将用户证书撤销申请的交易信息广播到其他共识节点,多个共识节点达成共识,将待打包区块链出块;
共识节点将该签名(包含用户证书撤销申请的交易信息)同步到同步节点。
参照图4所示,数字证书的验证包括如下过程:
用户对持有的证书解密并提交至验证方进行验证;
验证方首先根据数字签名验证用户证书的真伪;其次需要发送至同步节点验证该数字证书的状态是否正常,是否已经被撤销;
同步节点接收验证方发送的证书验证申请,获取已有证书列表,查验证书已撤销列表CRL,得到证书状态验证结果;
将证书状态验证结果返回至验证方;
验证方根据返回的证书状态验证结果,生成用户证书的验证结果,实现对用户证书的验证。
具体地,验证方根据数字签名验证用户证书的真伪,包括:
验证方查验用户证书是否由根证书签发;
验证方对用户证书的有效期进行验证。
本实施例提供的基于区块链的分布式CA实现方法,满足了数字证书的链上申请、签发、验证和撤销;将根证书私钥保管在共识节点上,并利用共识节点打包区块,将证书签发和撤销流程放到区块链上。该方法提升了CA全生命流程上链可追溯、不可篡改的能力;采用证书加密存储的方式,解决了隐私安全问题,解决了联盟链体系里中心化CA的证书状态同步延迟,避免了中心化节点故障以及跨网络验证造成的运行效率慢等问题。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (5)
1.一种基于区块链的分布式CA实现方法,其特征在于,包括:
通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发;
通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销;
通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证;
通过验证方根据数字签名验证用户证书的真伪,并发送至同步节点验证用户证书的状态,实现对用户证书的验证,包括如下步骤:
S31、对待验证的用户证书进行解密并提交至验证方进行验证;
S32、所述验证方根据数字签名验证所述用户证书的真伪,并发送至同步节点验证所述用户证书的状态;
S33、所述同步节点接收所述验证方发送的证书验证申请,获取已有证书列表,查验证书已撤销列表CRL,得到证书状态验证结果;
S34、将所述证书状态验证结果返回至所述验证方;
S35、所述验证方根据返回的所述证书状态验证结果,生成所述用户证书的验证结果,实现对用户证书的验证。
2.如权利要求1所述的一种基于区块链的分布式CA实现方法,其特征在于,通过同步节点将用户证书申请的交易信息广播到共识节点,利用根证书签发用户证书,实现对用户证书的申请及签发,包括如下步骤:
S11、将用户证书申请发送至同步节点;
S12、所述同步节点将所述用户证书申请的交易信息广播到任意共识节点;
S13、所述任意共识节点将所述用户证书申请的交易信息放到待打包交易池;
S14、利用根证书签发用户证书,并将所述用户证书加密保存在待打包区块链中;
S15、将所述用户证书申请的交易信息广播到其他共识节点,多个共识节点达成共识,将所述待打包区块链出块;
S16、所述共识节点将所述用户证书同步到所述同步节点,实现对用户证书的申请及签发。
3.如权利要求2所述的一种基于区块链的分布式CA实现方法,其特征在于,通过所述同步节点发起证书申请,并通过所述同步节点接收生成的用户证书。
4.如权利要求1所述的一种基于区块链的分布式CA实现方法,其特征在于,通过同步节点将用户证书撤销申请的交易信息广播到共识节点,利用根证书对原有证书撤销行为进行签名,实现对用户证书的撤销,包括如下步骤:
S21、将用户证书撤销申请发送至同步节点;
S22、所述同步节点将所述用户证书撤销申请的交易信息广播到任意共识节点;
S23、所述任意共识节点将所述用户证书撤销申请的交易信息放到待打包交易池;
S24、利用根证书对原有证书撤销行为进行签名,并将所述签名保存在待打包区块链中;
S25、将所述用户证书撤销申请的交易信息广播到其他共识节点,多个共识节点达成共识,将所述待打包区块链出块;
S26、所述共识节点将所述签名同步到所述同步节点,实现对用户证书的撤销。
5.如权利要求1所述的一种基于区块链的分布式CA实现方法,其特征在于,所述验证方根据数字签名验证所述用户证书的真伪,包括:
所述验证方查验所述用户证书是否由根证书签发;
所述验证方对所述用户证书的有效期进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310342282.2A CN116055069B (zh) | 2023-04-03 | 2023-04-03 | 一种基于区块链的分布式ca实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310342282.2A CN116055069B (zh) | 2023-04-03 | 2023-04-03 | 一种基于区块链的分布式ca实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055069A CN116055069A (zh) | 2023-05-02 |
| CN116055069B true CN116055069B (zh) | 2023-06-27 |
Family
ID=86127685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310342282.2A Active CN116055069B (zh) | 2023-04-03 | 2023-04-03 | 一种基于区块链的分布式ca实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055069B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106372941A (zh) * | 2016-08-31 | 2017-02-01 | 江苏通付盾科技有限公司 | 基于区块链的ca认证管理方法、装置及*** |
| CN109150539A (zh) * | 2018-07-24 | 2019-01-04 | 深圳前海益链网络科技有限公司 | 一种基于区块链的分布式ca认证***、方法及装置 |
| WO2021018088A1 (zh) * | 2019-07-30 | 2021-02-04 | 华为技术有限公司 | 可信认证方法,网络设备、***及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101937216B1 (ko) * | 2017-02-01 | 2019-01-11 | 주식회사 데일리인텔리전스 | 블록체인을 인증서 발급기관으로 이용해서 인증서를 관리하는 장치 및 방법 |
| CN108737106B (zh) * | 2018-05-09 | 2021-06-01 | 深圳壹账通智能科技有限公司 | 区块链***上用户验证方法、装置、终端设备及存储介质 |
| CN112398658A (zh) * | 2020-11-13 | 2021-02-23 | 浙江数秦科技有限公司 | 一种分布式数字证书管理方法和***、设备及存储介质 |
-
2023
- 2023-04-03 CN CN202310342282.2A patent/CN116055069B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106372941A (zh) * | 2016-08-31 | 2017-02-01 | 江苏通付盾科技有限公司 | 基于区块链的ca认证管理方法、装置及*** |
| CN109150539A (zh) * | 2018-07-24 | 2019-01-04 | 深圳前海益链网络科技有限公司 | 一种基于区块链的分布式ca认证***、方法及装置 |
| WO2021018088A1 (zh) * | 2019-07-30 | 2021-02-04 | 华为技术有限公司 | 可信认证方法,网络设备、***及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055069A (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3642997B1 (en) | Secure communications providing forward secrecy | |
| CN112491846B (zh) | 一种跨链的区块链通信方法及装置 | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| US9490979B2 (en) | System and method for providing credentials | |
| CN110958229A (zh) | 一种基于区块链的可信身份认证方法 | |
| CN103490881B (zh) | 认证服务***、用户认证方法、认证信息处理方法及*** | |
| US20020154782A1 (en) | System and method for key distribution to maintain secure communication | |
| EP1912376A1 (en) | Method and apparatus for authentication | |
| JP2008527833A (ja) | 認証方法、暗号化方法、復号方法、暗号システム及び記録媒体 | |
| CN102594558A (zh) | 一种可信计算环境的匿名数字证书***及验证方法 | |
| CN102739626A (zh) | 时间同步方法和装置、时间戳设备以及可信时间服务器 | |
| CN111130777B (zh) | 一种用于短效证书的签发管理方法和*** | |
| CN113872760A (zh) | 一种sm9秘钥基础设施及安全*** | |
| WO2023184858A1 (zh) | 一种时间戳生成方法、装置、电子设备及存储介质 | |
| CN112351019A (zh) | 一种身份认证***及方法 | |
| Zhang et al. | NDN-MPS: supporting multiparty authentication over named data networking | |
| KR20010047563A (ko) | 무선통신시스템에서의 공개키 기반 상호 인증 방법 | |
| GB2543359A (en) | Methods and apparatus for secure communication | |
| CN114598455A (zh) | 数字证书签发的方法、装置、终端实体和*** | |
| CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、***及电子设备 | |
| CN116055069B (zh) | 一种基于区块链的分布式ca实现方法 | |
| CN114254284B (zh) | 数字证书生成、身份认证方法及量子ca认证中心与*** | |
| CN113676330B (zh) | 一种基于二级密钥的数字证书申请***及方法 | |
| CN111818072B (zh) | 数字证书的验证方法、用户节点及认证授权中心 | |
| Tedeschi et al. | When blockchain makes ephemeral keys authentic: a novel key agreement mechanism in the IoT world |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |