[发明专利]基于区块链的公钥基础设施系统及半随机联合证书签名方法

说明书

本发明公开了一种基于区块链的公钥基础设施系统及半随机联合证书签名方法，系统由用户Client、Web服务器和若干证书授权中心CA组成；若干证书授权中心CA组成CA联盟，所述Web服务器向若干证书授权中心CA申请证书，若干证书授权中心CA联合签名后，将证书存储在区块链中，存储完成之后，证书授权中心CA将证书颁发给Web服务器，然后用户Client与Web服务器进行TLS连接时，用户Client需要验证Web服务器的证书的合法性。

技术领域

本发明属于计算机网络安全技术与密码学技术领域，具体涉及到一种基于区块链(Blockchain)的公钥基础设施(Public Key Infrastructure，PKI)系统及半随机联合证书签名方法。

背景技术

公钥基础设施(PKI)的本质是将非对称密钥管理标准化，及身份与公钥的映射关系。公钥密码的诞生，标志着密码学进入了一个新的时代，密码技术的应用从单纯的保密通信发展到了身份认证。简单来说，在现实生活中，每个人都有一张身份证，用于鉴别身份，买火车票、住酒店、办理银行业务都需要确定身份，而身份证的发行机关——派出所充当可信第三方，只有派出所颁发的身份证才会被接受，任何人和单位不得颁发、修改、撤销身份证。而在网络世界，如何确定一个用户的身份呢？网络世界的数字证书就充当了现实世界身份证的角色了。公钥密码是数字证书的基础，数据的发送者A利用自己的私钥对数据进行签名，将消息与签名一起发送给接收者B，接收者B收到之后，利用发送者A的公钥验证签名是否正确，若正确，则接收者B认为该证书是发送者A发送的。在小范围的网络里，可以靠人工识别公钥与身份的映射关系，可是在庞大的因特网里，又如何才能找到身份与公钥的对应关系呢？用户的身份又由谁来验证呢？这就是PKI要解决的问题了。

PKI包含引入证书授权中心(Certificate Authority，CA)、证书撤销列表(Certificate Revocation List，CRL)/在线证书状态协议(OCSP)以及轻量级目录访问协议(LDAP)等技术制定相应标准，有效的管理身份与公钥的映射关系，一般用户可以通过验证其连接的实体的数字证书是否合法，来判断该实体身份的合法性，有效的解决了网络中的身份认证问题。

然而，CA作为可信第三方，也有被黑客攻击的可能，倘若CA被攻击者操控，则可以为任何恶意的网站或用户颁发证书，用户无法通过验证CA签名来辨别这些恶意网站及用户的身份，导致用户遭受钓鱼网站欺骗等，使用户蒙受经济损失，个人隐私信息遭到泄露。因此这类问题是亟待解决的。

发明内容

为了解决上述技术问题，本发明提供了一种基于区块链的公钥基础设施系统及半随机联合证书签名方法。

本发明的系统所采用的技术方案是：一种基于区块链的公钥基础设施系统，其特征在于：由用户Client、Web服务器和若干证书授权中心CA组成；若干证书授权中心CA组成CA联盟，所述Web服务器向若干证书授权中心CA申请证书，若干证书授权中心CA联合签名后，将证书存储在区块链中，存储完成之后，证书授权中心CA将证书颁发给Web服务器，然后用户Client与Web服务器进行TLS连接时，用户需要验证Web服务器的证书的合法性。

本发明的方法所采用的技术方案是：一种半随机联合证书签名方法，应用于基于区块链的公钥基础设施系统中；其特征在于，包括以下步骤：

步骤1：证书注册；

步骤2：证书撤销；

步骤3：证书更新；

步骤4：证书验证。