技术领域
[0001] 本
发明涉及通信技术领域,尤其涉及一种实现CA互信的方法、装置、系统和电子设备。
背景技术
[0002] PKI(Public Key Infrastructure,公钥
基础设施)在信息安全领域扮演着非常重要的
角色。无论是使用HTTPS((Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输协议安全)
访问安全的
网站,还是在数字商务/政务/办公领域经常用到的电子签名,都必须有PKI的
支撑。
[0003] PKI的依赖方在验证对方证书时,需要构建相应的证书认证路径,而在路径中必须有一个信任起点,即信任锚。信任锚通常是被依赖方信任的CA(Certificate Authority,证书权威)的自签名证书。依赖方的信任锚数量通常是有限的。当对方证书对应的CA自签名证书不在依赖方的信任锚范围内时,依赖方就无法构建一个可信的证书认证路径,也就无法完成基于证书的保密通信或签名认证等操作。这就引出了CA互信的问题。
[0004] 在现有的PKI实践中,解决CA互信问题的方法一般有如下三种:
[0005] 列表方案:常见的权威列表有工信部《电子认证服务
许可证》列表、微软公司Root Certificate Program维护的列表(也就是预置在Windows
操作系统和IE浏览器中的CA列表)、以及北美WebTrust认证的列表等。
[0006] CA交叉认证方案(网状结构):一个CA通过为其他CA签发证书的方式,使得信任自己的依赖方能与其他CA的证书持有者达成互信。
[0007] 桥CA方案(星型结构):引入桥CA作为其他CA互信的中介,两个CA分别与桥CA双向交叉认证后,这两个CA之间也达成了互信。
[0008] 但是,在实现本发明的过程中
发明人发现:
[0009] 列表方案对依赖方有较高要求(有专业的判断能
力、能够合理配置自己的信任锚),且权威列表本身的维护代价较高。CA交叉认证方案类似现实生活中集团平等合作的信任关系。当CA数量较少时可以很好地解决CA互信问题,但大量CA两两进行交叉认证时,就会形成复杂的网状结构,使证书认证路径变长甚至形成环路,而且证书策略(CP)经过多次映射之后会使证书用途大大受限。桥CA方案类似现实生活中行业协会中介的信任关系,CA数量较多时可以避免两两交叉认证的弊端,但桥CA运营方的选择是个难题,它的可信程度直接决定了互信关系的可靠程度。
发明内容
[0010] 有鉴于此,本发明提供一种实现CA互信的方法、装置、系统和电子设备,以提高实现CA互信的灵活性。
[0011] 为解决上述技术问题,本发明提供一种实现CA互信的方法,应用于CA互信系统;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成
区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述方法应用于CA实体,包括:
[0013] 向所述系统中的其他CA实体请求对所述待签发实体证书进行共识;
[0014] 若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;
[0015] 更新存储的区块链记录。
[0016] 其中,所述各CA实体分别对应设置有互信代理,各CA实体通过对应设置的互信代理组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理中。
[0017] 其中,所述为证书请求方分配待签发实体证书,包括:
[0019] 根据所述证书申请请求对所述证书请求方进行身份
鉴别,获得所述证书请求方的身份鉴别信息;
[0020] 当对所述证书请求方的身份鉴别通过后,为所述证书请求方分配所述待签发实体证书。
[0021] 其中,所述向所述系统中的其他CA实体请求对所述待签发实体证书进行共识,包括:
[0022] 通过对应设置的互信代理,向所述系统中其他CA实体对应的互信代理模块请求对所述待签发实体证书进行共识;
[0023] 所述若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,包括:
[0024] 若确定所述其他CA实体对应的互信代理模块对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书;
[0025] 所述更新存储的区块链记录,包括:
[0026] 在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0027] 其中,所述通过对应设置的互信代理,向所述系统中其他CA实体对应的互信代理模块请求对所述待签发实体证书进行共识,包括:
[0028] 通过对应设置的互信代理,向所述系统中其他CA实体对应的互信代理模块发送所述待签发实体证书、所述证书请求方的身份鉴别信息,以请求对所述待签发实体证书进行共识。
[0029] 其中,所述CA互信系统还包括:各CA实体对应的中间CA实体;所述向所述证书请求方签发所述待签发实体证书,包括:
[0030] 通过所述中间CA实体向所述证书请求方签发所述待签发实体证书。
[0031] 其中,所述方法还包括:
[0032] 若确定所述其他CA实体对所述待签发实体证书的共识未通过,则删除所述待签发实体证书,并向所述证书请求方签发最终实体证书,其中所述最终实体证书中不包括所述区块链认证标记。
[0033] 其中,在所述为证书请求方分配待签发实体证书的步骤之前,所述方法还包括:
[0034] 接收所述证书请求方的证书更新请求;
[0035] 所述为证书请求方分配待签发实体证书,包括:
[0036] 根据所述证书更新请求,为所述证书请求方分配新的待签发实体证书;
[0037] 所述向所述系统中的其他CA实体请求对所述待签发实体证书进行共识,包括:
[0038] 通过对应设置的互信代理,向所述系统中的其他CA实体对应的互信代理请求对所述新的待签发实体证书进行共识;
[0039] 所述若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,包括:
[0040] 所述若确定所述其他CA实体对应的互信代理对所述新的待签发实体证书的共识通过,则向所述证书请求方签发所述新的待签发实体证书;
[0041] 所述更新存储的区块链记录,包括:
[0042] 在所述区块链记录中,增加所述证书请求方的原实体证书对应的更新记录。
[0043] 其中,所述方法还包括:
[0044] 通知所述其他CA实体吊销所述证书请求方的原实体证书。
[0045] 其中,所述通知所述其他CA实体吊销所述证书请求方的原实体证书,包括:
[0046] 通过对应设置的互信代理,向所述其他CA实体对应的互信代理发送证书吊销请求,请求吊销所述证书请求方的原实体证书;
[0047] 所述更新存储的区块链记录,包括:
[0048] 在所述区块链记录中,增加所述原实体证书对应的吊销记录。
[0049] 其中,所述方法还包括:
[0050] 接收证书验证请求方的证书验证请求,在所述证书验证请求中包括待验证实体证书;
[0051] 根据所述待验证实体证书确定根CA实体,并与所述根CA实体交互完成对所述待验证实体证书的验证,获得第一验证结果;
[0052] 确定所述待验证实体证书中是否包含区块链认证标记;
[0053] 若包含所述区块链认证标记,则利用对应设置的互信代理和所述区块链认证标记查找存储的区块链记录,根据查找确定是否通过对所述待验证实体证书的验证,获得第二验证结果;
[0054] 根据所述第一验证结果和所述第二验证结果,向所述证书验证请求方发送最终的验证结果。
[0055] 其中,所述根据所述第一验证结果和所述第二验证结果,向所述证书验证请求方发送最终的验证结果,包括:
[0056] 若所述第一验证结果和所述第二验证结果均表示通过对所述待验证实体证书的验证,则向所述证书验证请求方发送所述第一验证结果和/或所述第二验证结果;
[0057] 若所述第一验证结果和所述第二验证结果不一致,则根据设置的验证结果选择信息,选择优先级较高的验证结果作为最终的验证结果,并向所述证书验证请求方发送所述最终的验证结果。
[0058] 第二方面,本发明
实施例提供了一种实现CA互信的方法,应用于CA互信系统;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述方法应用于CA实体,包括:
[0059] 接收第一CA实体的证书共识请求;
[0060] 根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;
[0061] 若确定对所述待签发实体证书的共识通过,则更新存储的区块链记录。
[0062] 其中,所述更新存储的区块链记录,包括:
[0063] 在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0064] 其中,所述更新存储的区块链记录,还包括:
[0065] 当有实体证书更新时,在所述区块链记录中,增加对进行更新的实体证书对应的更新记录。
[0066] 其中,所述方法还包括:
[0067] 接收所述第一CA实体的证书吊销请求,根据所述证书吊销请求确定是否通过所述证书吊销请求;
[0068] 所述更新存储的区块链记录,包括:
[0069] 当通过所述证书吊销请求时,在所述区块链记录中,增加被吊销的实体证书对应的吊销记录。
[0070] 第三方面,本发明实施例提供了一种实现CA互信的装置,应用于CA互信系统中的CA实体;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述装置包括:
[0071] 分配模块,用于为证书请求方分配待签发实体证书;
[0072] 请求模块,用于向所述系统中的其他CA实体请求对所述待签发实体证书进行共识;
[0073] 签发模块,用于若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;
[0074] 更新模块,用于更新存储的区块链记录。
[0075] 其中,所述装置还包括:
[0076] 互信代理模块,用于将所述实现CA互信的装置与其他CA实体组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理模块中。
[0077] 其中,所述分配模块包括:
[0078] 接收子模块,用于接收所述证书请求方的证书申请请求;
[0079] 身份鉴别子模块,用于根据所述证书申请请求对所述证书请求方进行身份鉴别,获得所述证书请求方的身份鉴别信息;
[0080] 分配子模块,用于当对所述证书请求方的身份鉴别通过后,为所述证书请求方分配所述待签发实体证书。
[0081] 其中,所述请求模块具体用于,通过对应设置的互信代理模块,向所述系统中其他CA实体对应的互信代理模块请求对所述待签发实体证书进行共识;
[0082] 所述签发模块具体用于,若确定所述其他CA实体对应的互信代理模块对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书;
[0083] 所述更新模块具体用于,在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0084] 其中,所述请求模块具体用于,通过对应设置的互信代理模块,向所述系统中其他CA实体对应的互信代理模块发送所述待签发实体证书、所述证书请求方的身份鉴别信息,以请求对所述待签发实体证书进行共识。
[0085] 其中,所述CA互信系统还包括:各CA实体对应的中间CA实体;所述签发模块具体用于,通过所述中间CA实体向所述证书请求方签发所述待签发实体证书。
[0086] 其中,所述装置还包括:
[0087] 删除模块,用于若确定所述其他CA实体对所述待签发实体证书的共识未通过,则删除所述待签发实体证书,并向所述证书请求方签发最终实体证书,其中所述最终实体证书中不包括所述区块链认证标记。
[0088] 其中,所述装置还包括:
[0089] 第一接收模块,用于接收所述证书请求方的证书更新请求;
[0090] 所述分配模块具体用于,根据所述证书更新请求,为所述证书请求方分配新的待签发实体证书;
[0091] 所述请求模块具体用于,通过对应设置的互信代理模块,向所述系统中的其他CA实体对应的互信代理模块请求对所述新的待签发实体证书进行共识;
[0092] 所述签发模块具体用于,若确定所述其他CA实体对应的互信代理模块对所述新的待签发实体证书的共识通过,则向所述证书请求方签发所述新的待签发实体证书;
[0093] 所述更新模块具体用于,在所述区块链记录中,增加所述证书请求方的原实体证书对应的更新记录。
[0094] 其中,所述装置还包括:
[0095] 通知模块,用于通知所述其他CA实体吊销所述证书请求方的原实体证书。
[0096] 其中,所述通知模块具体用于,通过所述互信代理模块,向所述其他CA实体对应的互信代理模块发送证书吊销请求,请求吊销所述证书请求方的原实体证书;
[0097] 所述更新模块具体用于,在所述区块链记录中,增加所述原实体证书对应的吊销记录。
[0098] 其中,所述装置还包括:
[0099] 第二接收模块,用于接收证书验证请求方的证书验证请求,在所述证书验证请求中包括待验证实体证书;
[0100] 第一验证模块,用于根据所述待验证实体证书确定根CA实体,并与所述根CA实体交互完成对所述待验证实体证书的验证,获得第一验证结果;
[0101] 第一确定模块,用于确定所述待验证实体证书中是否包含区块链认证标记;
[0102] 第二验证模块,用于若包含所述区块链认证标记,则利用对应设置的互信代理模块和所述区块链认证标记查找存储的区块链记录,根据查找确定是否通过对所述待验证实体证书的验证,获得第二验证结果;
[0103] 结果发送模块,用于根据所述第一验证结果和所述第二验证结果,向所述证书验证请求方发送最终的验证结果。
[0104] 其中,所述结果发送模块具体用于,若所述第一验证结果和所述第二验证结果均表示通过对所述待验证实体证书的验证,则向所述证书验证请求方发送所述第一验证结果和/或所述第二验证结果;若所述第一验证结果和所述第二验证结果不一致,则根据设置的验证结果选择信息,选择优先级较高的验证结果作为最终的验证结果,并向所述证书验证请求方发送所述最终的验证结果。
[0105] 第四方面,本发明实施例提供了一种实现CA互信的装置,应用于CA互信系统中的CA实体;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述装置包括:
[0106] 接收模块,用于接收第一CA实体的证书共识请求;
[0107] 共识模块,用于根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;
[0108] 更新模块,用于若确定对所述待签发实体证书的共识通过,则更新存储的区块链记录。
[0109] 其中,所述更新模块具体用于,在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0110] 其中,所述更新模块具体用于,当有实体证书更新时,在所述区块链记录中,增加对进行更新的实体证书对应的更新记录。
[0111] 其中,所述接收模块还用于,接收所述第一CA实体的证书吊销请求,根据所述证书吊销请求确定是否通过所述证书吊销请求;
[0112] 所述更新模块具体用于,当通过所述证书吊销请求时,在所述区块链记录中,增加被吊销的实体证书对应的吊销记录。
[0113] 第五方面,本发明实施例提供了一种实现CA互信的系统,包括:
[0114] 至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;
[0115] 所述至少三个CA实体中的第一CA实体,为证书请求方分配待签发实体证书,并向所述系统中的第二CA实体请求对所述待签发实体证书进行共识;若确定所述第二CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识,并更新存储的区块链记录;
[0116] 所述至少三个CA实体中的第二CA实体,接收所述第一CA实体的证书共识请求,并根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,若确定对所述待签发实体证书的共识通过,则更新存储的区块链记录。
[0117] 其中,所述各CA实体分别对应设置有互信代理,各CA实体通过对应设置的互信代理组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理中。
[0118] 第六方面,本发明实施例提供了一种电子设备,包括
存储器、处理器及存储在所述存储器上并可在所述处理器上运行的
计算机程序;所述处理器执行所述程序时实现如前述第一方面所述的实现CA互信的方法。
[0119] 第七方面,本发明实施例提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行如前述第一方面所述的实现CA互信的方法。
[0120] 第八方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如前述第二方面所述的实现CA互信的方法。
[0121] 第九方面,本发明实施例提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行如前述第二方面所述的实现CA互信的方法。
[0122] 本发明的上述技术方案的有益效果如下:
[0123] 在本发明实施例中,在区块链系统中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每个用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
附图说明
[0124] 图1为本发明实施例的实现CA互信的方法的
流程图;
[0125] 图2为本发明实施例的实现CA互信的方法的流程图;
[0126] 图3为本发明实施例的实现CA互信的系统的示意图;
[0127] 图4为本发明实施例的证书注册流程的流程图;
[0128] 图5为本发明实施例的区块链的结构示意图;
[0129] 图6为本发明实施例的证书更新流程的流程图;
[0130] 图7为本发明实施例的证书吊销流程的流程图;
[0131] 图8为本发明实施例的证书查询流程的流程图;
[0132] 图9为本发明实施例的实现CA互信的装置的示意图;
[0133] 图10为本发明实施例的实现CA互信的装置的结构图;
[0134] 图11为本发明实施例的实现CA互信的装置的示意图。
具体实施方式
[0135] 下面将结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
[0136] 如图1所示,本发明实施例的实现CA互信的方法,应用于CA互信系统。所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述方法应用于CA实体。该方法包括:
[0137] 步骤101、为证书请求方分配待签发实体证书。
[0138] 步骤102、向所述系统中的其他CA实体请求对所述待签发实体证书进行共识。
[0139] 步骤103、若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识。
[0140] 步骤104、更新存储的区块链记录。
[0141] 在实际应用中,所述各CA实体分别对应设置有互信代理,各CA实体通过对应设置的互信代理组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理中。而各CA实体之间的通信,是通过各CA实体对应设置的互信代理完成的。
[0142] 在本发明实施例中,在区块链系统中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
[0143] 如图2所示,本发明实施例的实现CA互信的方法,应用于CA互信系统;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述方法应用于CA实体,包括:
[0144] 步骤201、接收第一CA实体的证书共识请求。
[0145] 步骤202、根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识。
[0146] 步骤203、若确定对所述待签发实体证书的共识通过,则更新存储的区块链记录。
[0147] 其中,所述第一CA实体为CA互信系统中其他的任意一个CA实体。
[0148] 在本发明实施例中,在区块链系统中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
[0149] 如图3所示,本发明实施例的实现CA互信的系统包括:至少三个CA实体301,各CA实体组成点到点P2P网络并形成区块链系统;各CA实体中存储有区块链记录,用于记录对实体证书的操作记录。
[0150] 其中,所述至少三个CA实体中的第一CA实体,为证书请求方分配待签发实体证书,并向所述系统中的第二CA实体请求对所述待签发实体证书进行共识;若确定所述第二CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识,并更新存储的区块链记录;
[0151] 所述至少三个CA实体中的第二CA实体,接收所述第一CA实体的证书共识请求,并根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,若确定对所述待签发实体证书的共识通过,则更新存储的区块链记录。
[0152] 在实际应用中,所述各CA实体分别对应设置有互信代理302,各CA实体通过对应设置的互信代理组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理中。
[0153] 每个CA实体为传统PKI系统中的证书权威。每个CA拥有一定数量的依赖方,这些依赖方将该CA的自签名证书作为自己的信任锚。该系统中CA的数量应为3个以上。其中,每个CA可有多个二级CA,每个CA可以签发若干个二级CA证书,每个二级CA又可以签发若干个最终实体证书,从而构成以CA自签名证书为根的证书链。常见的证书链长度一般是3级,但也可以少于或多于3级。
[0154] 在图3中,证书实体(可作为证书请求方、证书验证请求方等角色)为最终实体证书的拥有者,其身份真实性由为其颁发最终实体证书的CA担保。证书依赖方为最终实体证书的验证者。每个证书依赖方可以选择一个或多个信任的CA,并将其自签名证书作为自己的信任锚。只有能够链接到某个信任锚的最终实体证书,才可以被依赖方直接验证。无法链接到信任锚的最终实体证书,只能通过CA互信机制才可被依赖方验证。
[0155] 以下,结合不同的过程来描述一下本发明实施例的实现过程,包括:1)证书注册流程;2)证书更新流程;3)证书吊销流程;4)证书使用查询流程。
[0156] 如图4所示,本发明实施例的证书注册流程包括:
[0157] 步骤401、证书实体1向
选定的CA1提交证书申请请求。
[0158] 在此,证书实体1作为证书请求方,在本地生成公私钥对,并将公钥、身份信息及一些辅助信息写入CSR(Certificate Signing Request,证
书签名请求)请求,并用私钥对CSR请求进行签名,最后将带有签名的CSR请求发送给CA
指定的注册权威(RA)。
[0159] 步骤402、CA1根据证书策略(CP)和认证业务
声明(CPS)中的约定,对证书实体1进行身份鉴别,并保存身份鉴别的证据(即证书实体1的身份鉴别信息)。
[0160] 其中,CA在进行身份鉴别时可以采用很多种方法,如要求申请者(证书实体)提供相关证明文件、或接受电话访谈、或点击一封确认邮件中的某个链接等等。具体采用何种形式,由CPS来约定。
[0161] 步骤403、若身份鉴别无误,则CA1为证书实体1分配一个待签发的实体证书,该待签发的实体证书中包含了区块链认证标记,并通过互信代理1将上述待签发的实体证书、以及在身份鉴别过程中获取的证据(经过电子化处理)一并发给区块链系统中其它CA的互信代理,请求对该新增证书达成共识。
[0162] 其中,区块链认证标记可以是用于区分不同区块链系统的一个ID,形如CA_alliance_cn,由区块链系统自己约定,CA实体的互信代理在加入区块链系统的时候会获知这个ID。这个标记可以作为一个证书扩展项存在,因此不会造成与传统证书的不兼容,不支持该证书扩展项的依赖方可以忽略不予处理。
[0163] 步骤404、区块链系统中其它CA的互信代理收到CA1的共识请求后,根据预先设定的规则(例如根据自己CP、CPS编写的
智能合约)判断是否接受CA1对证书实体1的身份鉴别结论、以及验证CA1为证书实体1签发的证书本身是否有误。
[0164] 在本发明实施例的系统中,区块链系统由代表根CA的互信代理组成。一个根CA下面可以有CP/CPS互异的多个二级CA,并分别签发不同类型的证书。互信代理负责进行CP/CPS映射和身份鉴别证据的审查,这个过程可以用智能合约来完成。
[0165] 步骤405、区块链系统中所有CA的互信代理通过某种预先约定的“共识机制”达成集体决议。若共识成功,则该新增证书被追加到区块链中,并在区块链系统中生成一条新的“新增证书记录”,被所有CA的互信代理保存。若共识失败,则该新增证书被区块链系统放弃。只有通过了系统中所有CA共识的那些证书才被区块链包含,所以可以说本发明实施例的方案是一个“per用户证书(每个用户证书)”的互信方案。
[0166] 其中,各CA可能采用的区块链“共识机制”包括但不限于:1)拜占庭
算法;2)
工作量证明;3)权益证明等。
[0167] 如图5所示为区块链的结构示意图。为了方便证书查询,在一定时间单位内生成的证书可放入同一区块,例如可以24小时为时间单位。
[0168] 步骤406、若上述包含了区块链认证标记的待签发实体证书在区块链系统中共识成功,则CA1将通知证书实体1下载该证书,或者直接将该证书发送给证书实体1。
[0169] 步骤407、若共识失败,则CA1删除上述包含了区块链认证标记的待签发实体证书,重新为证书实体1签发不包含区块链认证标记的实体证书,并通知证书实体1下载该证书,或者直接将该证书发送给证书实体1。
[0170] 其中,为保护CA1的自签名证书私钥,通常通过1个或多个中间CA进行证书的签发。最终下载或发送实体证书时,除了CA1签发的证书之外,还可能包括中间CA的证书。
[0171] 最后,证书实体1将收到的证书与对应的私钥一起安全存储在本地备用。
[0172] 如图6所示,本发明实施例的证书更新流程包括:
[0173] 步骤601、证书实体1向CA1提交证书更新请求。
[0174] 其中,证书实体1需要生成新的公私钥对。证书实体1所提交的证书更新请求,指的是针对包含了区块链认证标记的最终实体证书的证书更新请求。
[0175] 步骤602、CA1为证书实体1分配新的包含了区块链认证标记的待签发实体证书,并通过互信代理1将上述证书及相关辅助信息发给区块链系统中其它CA的互信代理,请求对更新证书达成共识。
[0176] 步骤603、区块链系统中其它CA的互信代理收到CA1的共识请求后,根据预先设定的规则判断是否接受这条证书更新记录。
[0177] 区块链系统中所有CA的互信代理通过预先约定的“共识机制”达成集体决议。
[0178] 步骤604、若共识成功,则该证书更新记录被追加到区块链中,生成一条新的“证书更新记录”,被所有CA的互信代理保存。该证书更新记录用于记录证书实体1的原有证书被更新。若共识失败,则该证书的更新记录被区块链系统放弃。
[0179] 步骤605、若上述证书更新记录在区块链系统中共识成功,则CA1将该新的待签发证书返回给证书实体1。若共识失败,则CA1删除上述新的待签发证书,重新为证书实体1签发不包含区块链认证标记的最终实体证书,并将其返回给证书实体1。同时,CA1发起一次证书吊销流程(下文详细描述),通知系统中其它CA将区块链中的旧证书吊销。
[0180] 在上述过程中,系统中存在两种不同的最终实体证书,一种包含区块链认证标记,另一种不包含区块链认证标记。这是为了实现“per用户证书”的互信。如果区块链中的其他CA不认同CA1提供的身份鉴别结果(根据鉴别证据和各自的CP/CPS来判断),这个证书就不能写入区块链。
[0181] 最后,证书实体1将收到的证书与对应的私钥一起,安全存储在本地备用。
[0182] 其中,上述证书更新过程可以独立实现,也可结合证书注册过程实现。
[0183] 如图7所示,本发明实施例的证书吊销流程包括:
[0184] 步骤701、证书实体1向CA1提交证书吊销申请(主动吊销),或CA1单方面决定吊销证书实体1的证书(被动吊销)。
[0185] 此处仅考虑包含了区块链认证标记的最终实体证书。
[0186] 步骤702、CA1通过互信代理1发送证书吊销请求,将证书吊销记录发给区块链系统中其它CA的互信代理,请求对吊销证书达成共识。
[0187] 步骤703、区块链系统中其它CA的互信代理收到CA1的共识请求后,根据预先设定的规则判断是否接受这条证书吊销记录。
[0188] 为了及时应对私钥泄露等安全事件,证书吊销请求应具有最高优先级,因此系统中的每个CA应设定适当的规则,确保吊销请求能够快速达成共识。
[0189] 步骤704、区块链系统中所有CA的互信代理通过预先约定的“共识机制”达成集体决议。共识成功后该证书吊销记录被追加到区块链中。
[0190] 具体的,在所述区块链记录中,增加证书实体1的原实体证书对应的吊销记录。
[0191] 若共识失败,CA1可在本身的证书状态记录(可与区块链相同,或者不同)中,增加证书实体1的原实体证书对应的吊销记录。
[0192] 如图8所示,本发明实施例的证书查询流程包括:
[0193] 步骤801、证书实体1与证书依赖方1建立通信关系,证书实体1向证书依赖方1出示自己的最终实体证书(可能还包含相应中间CA的证书),例如用于加密通信或数字签名。
[0194] 步骤802、证书依赖方1需要验证证书实体1出示的最终实体证书是否真实有效。证书依赖方1尝试重建该证书的完整证书链,发现该证书链的根是CA1,而CA1并不是证书依赖方1的信任锚。
[0195] 步骤803、证书依赖方1向自己的信任锚CA5发送证书验证请求,请求中携带证书实体1出示的最终实体证书。
[0196] 步骤804、CA5收到证书验证请求后,进行验证。其中,(1)(2)两种方式不分先后:
[0197] (1)尝试重建该证书的完整证书链,发现该证书链的根是CA1。接着检查是否与CA1存在传统的交叉认证、桥认证关系。若存在,则按照传统的方法校验证书链。同时,获得第一验证结果。
[0198] (2)检查该最终实体证书中是否包含区块链认证标记。若包含,则执行如下操作:
[0199] CA5通过互信代理5在区块链中查询关于该最终实体证书的所有记录,包括新增、更新、吊销等。互信代理5根据查询结果判断该证书是否被自己共识过,以及是否仍然有效。这个判断过程仅凭查询到的记录即可完成,无需再重建和验证整个证书链。同时,获得第二验证结果。
[0200] 步骤805、CA5向证书依赖方1发送验证结果。
[0201] 在具体实现过程中,为了兼容传统的PKI互信体系,允许为传统互信体系和区块链互信体系设置不同的优先级;有些证书不带有区块链认证标识,无法在区块链上查询到,只能依靠传统的互信体系。
[0202] 若步骤804中的两种方法均无法完成证书验证,则CA5返回给证书依赖方1一个“无法验证”的响应。若只有一种方法可以完成证书验证,或两种方法均可完成验证且验证结果一致,则直接将该任意一个或者两个验证结果返回给证书依赖方1。若两种方法均可完成验证但验证结果不一致,则按照CA5预定的规则,取优先级较高的一种方法,将其验证结果返回给证书依赖方1。
[0203] 证书依赖方1收到来自CA5的验证结果,根据验证结果决定是否继续执行与证书实体1之间的通信过程(如建立加密通信关系,或验证证书实体1的数字签名)。
[0204] 上述一些流程合在一起,可实现区块链系统中所有CA信任域的全面融合。系统中的CA无需再进行复杂的交叉认证,也无需另一个公信力更高的机构来建立一个桥CA。同时,可实现per用户证书粒度的精细互信控制,即,其它CA无需信任CA1签发的所有最终实体证书,它们可以选择只信任能够在区块链中达成共识的证书(包含了区块链认证标记的证书)。需要说明的是,在实际应用中,上述几个流程可以结合使用,也可单独使用。
[0205] 在本发明实施例中,在区块链系统中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
[0206] 如图9所示,本发明实施例的实现CA互信的装置,应用于CA互信系统中的CA实体;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;
各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述装置包括:
[0207] 分配模块901,用于为证书请求方分配待签发实体证书;请求模块902,用于向所述系统中的其他CA实体请求对所述待签发实体证书进行共识;签发模块903,用于若确定所述其他CA实体对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书,在所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;更新模块904,用于更新存储的区块链记录。
[0208] 如图10所示,所述装置还包括:
[0209] 互信代理模块905,用于将所述实现CA互信的装置与其他CA实体组成P2P网络并形成区块链系统;所述区块链记录存储在所述互信代理模块中。
[0210] 其中,所述分配模块901包括:
[0211] 接收子模块,用于接收所述证书请求方的证书申请请求;身份鉴别子模块,用于根据所述证书申请请求对所述证书请求方进行身份鉴别,获得所述证书请求方的身份鉴别信息;分配子模块,用于当对所述证书请求方的身份鉴别通过后,为所述证书请求方分配所述待签发实体证书。
[0212] 其中,所述请求模块902具体用于,通过对应设置的互信代理模块,向所述系统中其他CA实体对应的互信代理模块请求对所述待签发实体证书进行共识;所述签发模块903具体用于,若确定所述其他CA实体对应的互信代理模块对所述待签发实体证书的共识通过,则向所述证书请求方签发所述待签发实体证书;所述更新模块904具体用于,在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0213] 在一个实施例中,所述请求模块902具体用于,通过对应设置的互信代理模块,向所述系统中其他CA实体对应的互信代理模块发送所述待签发实体证书、所述证书请求方的身份鉴别信息,以请求对所述待签发实体证书进行共识。
[0214] 在实际应用中,所述CA互信系统还包括:各CA实体对应的中间CA实体;所述签发模块具体用于,通过所述中间CA实体向所述证书请求方签发所述待签发实体证书。
[0215] 再如图10所示,所述装置还包括:
[0216] 删除模块906,用于若确定所述其他CA实体对所述待签发实体证书的共识未通过,则删除所述待签发实体证书,并向所述证书请求方签发最终实体证书,其中所述最终实体证书中不包括所述区块链认证标记。
[0217] 第一接收模块907,用于接收所述证书请求方的证书更新请求。此时,所述分配模块901具体用于,根据所述证书更新请求,为所述证书请求方分配新的待签发实体证书;所述请求模块902具体用于,通过对应设置的互信代理模块,向所述系统中的其他CA实体对应的互信代理模块请求对所述新的待签发实体证书进行共识;所述签发模块903具体用于,若确定所述其他CA实体对应的互信代理模块对所述新的待签发实体证书的共识通过,则向所述证书请求方签发所述新的待签发实体证书;所述更新模块904具体用于,在所述区块链记录中,增加所述证书请求方的原实体证书对应的更新记录。
[0218] 再如图10所示,所述装置还包括:
[0219] 通知模块908,用于通知所述其他CA实体吊销所述证书请求方的原实体证书。
[0220] 具体的,所述通知模块908具体用于,通过所述互信代理模块,向所述其他CA实体对应的互信代理模块发送证书吊销请求,请求吊销所述证书请求方的原实体证书;所述更新模块904具体用于,在所述区块链记录中,增加所述原实体证书对应的吊销记录。
[0221] 再如图10所示,所述装置还包括:
[0222] 第二接收模块909,用于接收证书验证请求方的证书验证请求,在所述证书验证请求中包括待验证实体证书;第一验证模块910,用于根据所述待验证实体证书确定根CA实体,并与所述根CA实体交互完成对所述待验证实体证书的验证,获得第一验证结果;第一确定模块911,用于确定所述待验证实体证书中是否包含区块链认证标记;第二验证模块912,用于若包含所述区块链认证标记,则利用对应设置的互信代理模块和所述区块链认证标记查找存储的区块链记录,根据查找确定是否通过对所述待验证实体证书的验证,获得第二验证结果;结果发送模块913,用于根据所述第一验证结果和所述第二验证结果,向所述证书验证请求方发送最终的验证结果。
[0223] 其中,所述结果发送模块913具体用于,若所述第一验证结果和所述第二验证结果均表示通过对所述待验证实体证书的验证,则向所述证书验证请求方发送所述第一验证结果和/或所述第二验证结果;若所述第一验证结果和所述第二验证结果不一致,则根据设置的验证结果选择信息,选择优先级较高的验证结果作为最终的验证结果,并向所述证书验证请求方发送所述最终的验证结果。
[0224] 本发明所述装置的工作原理可参照前述方法实施例的描述。
[0225] 在本发明实施例中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
[0226] 如图11所示,本发明实施例的实现CA互信的装置,应用于CA互信系统中的CA实体;所述CA互信系统包括:至少三个CA实体,各CA实体组成点到点P2P网络并形成区块链系统;
各CA实体中存储有区块链记录,用于记录对实体证书的操作记录;所述装置包括:
[0227] 接收模块1101,用于接收第一CA实体的证书共识请求;共识模块1102,用于根据所述第一CA实体的证书共识请求,对所述第一CA实体的待签发实体证书进行共识,所述待签发实体证书中包括区块链认证标记,其中所述区块链认证标记为所述区块链系统的标识;更新模块1103,用于若确定对所述待签发实体证书的认证通过,则更新存储的区块链记录。
[0228] 具体的,所述更新模块1103具体用于,在所述区块链记录中,增加所述待签发实体证书对应的新增记录。
[0229] 具体的,所述更新模块1103具体用于,当有实体证书更新时,在所述区块链记录中,增加对进行更新的实体证书对应的更新记录。
[0230] 其中,所述接收模块1101还用于,接收所述第一CA实体的证书吊销请求,根据所述证书吊销请求确定是否通过所述证书吊销请求;所述更新模块1103具体用于,当通过所述证书吊销请求时,在所述区块链记录中,增加被吊销的实体证书对应的吊销记录。
[0231] 本发明所述装置的工作原理可参照前述方法实施例的描述。
[0232] 在本发明实施例中,可实现基于区块链认证标记进行证书的相关处理,无需复杂的网状交叉认证,无需依靠公信力更高的权威中介建立桥接关系,即可实现每用户证书粒度的精细互信控制。因此,利用本发明实施例的方案,提高了实现CA互信的灵活性。
[0233] 本发明实施例的电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述程序时实现如前述任一实施例的实现CA互信的方法。
[0234] 本发明实施例的计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序可被处理器执行如前述任一实施例的实现CA互信的方法。
[0235] 在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些
接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0236] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用
硬件的形式实现,也可以采用硬件加
软件功能单元的形式实现。
[0237] 上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,
服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动
硬盘、
只读存储器(Read-Only Memory,简称ROM)、
随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0238] 以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
