[发明专利]基于区块链的公钥基础设施系统及半随机联合证书签名方法有效
| 申请号: | 201710104258.X | 申请日: | 2017-02-24 |
| 公开(公告)号: | CN106789090B | 公开(公告)日: | 2019-12-24 |
| 发明(设计)人: | 陈晶;姚世雄;王持恒;何琨;杜瑞颖 | 申请(专利权)人: | 陈晶 |
| 主分类号: | H04L9/32 | 分类号: | H04L9/32;H04L29/06 |
| 代理公司: | 42222 武汉科皓知识产权代理事务所(特殊普通合伙) | 代理人: | 魏波 |
| 地址: | 430072 湖北省武*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 区块 基础设施 系统 随机 联合 证书 签名 方法 | ||
1.一种半随机联合证书签名方法,应用于基于区块链的公钥基础设施系统中;其特征在于:所述系统由用户Client、Web服务器和若干证书授权中心CA组成;若干证书授权中心CA组成CA联盟,所述Web服务器向若干证书授权中心CA申请证书,若干证书授权中心CA联合签名后,将证书存储在区块链中,存储完成之后,证书授权中心CA将证书颁发给Web服务器,然后用户Client与Web服务器进行TLS连接时,用户需要验证Web服务器的证书的合法性;
所述方法包括以下步骤:
步骤1:证书注册;
步骤1的具体实现包括以下子步骤:
步骤1.1:证书申请;
Web服务器生成公私钥对(pk,sk),将公钥pk与身份id进行绑定成证书提交给所有证书授权中心CA进行签名;其中,CA1由Web服务器指定,CAi为系统随机选择算法在CA联盟中选定;
步骤1.2:证书签名;
CA1、CAi各自运行联合签名算法,分别计算子签名σ1、σi,然后将子签名发送给对方,双方分别根据联合签名子签名验证算法验证对方的子签名,若签名无效,则将错误广播到CA联盟中;若无误,CAi合成联合签名σ并计算联合签名证书的hash值;
步骤1.3:证书存储;
CAi将签名证书的hash值广播发送给矿工,矿工挖出区块后将其存放于区块中,所有的证书均是以Merkle Hash树的数据结构存放;
步骤1.4:证书颁发;
当下一个区块生成之后,即当前区块被确认,CAi将签名证书及该证书hash值所在区块链的高度值h发送给Web服务器;
步骤2:证书撤销;
步骤3:证书更新;
步骤4:证书验证。
2.根据权利要求1所述的半随机联合证书签名方法,其特征在于,步骤2的具体实现包括以下子步骤:
步骤2.1:撤销申请;
当Web服务器需要撤销证书时,由Web服务器向CAi提交证书撤销申请,CAi验证该证书的联合签名σ以及Web服务器身份,若无误,将该证书广播到CA联盟中;
步骤2.2:生成证书撤销列表CRL;
当区块生成,矿工将当前区块生成时间段内收到的撤销申请的证书存于区块中,并删除已经存在于证书撤销列表CRL但已经过期的证书,建立最新的证书撤销列表,仍然以Merkle Hash树的数据结构记录当前撤销证书。
3.根据权利要求1所述的半随机联合证书签名方法,其特征在于,步骤3的具体实现过程与证书注册过程一致,Web服务器向证书授权中心CA申请新证书即可。
4.根据权利要求1-3任意一项所述的半随机联合证书签名方法,其特征在于:用户Client验证证书,包括以下步骤:
步骤4.1:证书联合签名签证;
先合成联合公钥,根据联合签名验证算法验证签名是否合法,若合法则进行步骤4.2操作,否则直接向CA联盟举报证书不合法;
步骤4.2:证书存在性验证;
根据该证书hash值所在区块高度值,查找到对应区块,根据Merklehash树特性,可快速查询该证书是否存在于区块链中,若存在,则验证通过,则进行步骤4.3验证,否则向CA联盟举报证书不存在;
步骤4.3:证书撤销验证;
查找当前最新区块,验证证书是否存在于证书撤销列表中,若存在,则说明该证书被撤销,中止TLS连接,若不存在,则说明证书可使用,可以进行TLS安全连接。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于陈晶,未经陈晶许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710104258.X/1.html,转载请声明来源钻瓜专利网。
