[发明专利]一种证书管理方法及装置

说明书

本发明公开了一种证书管理方法及装置，属于通信技术领域。该证书管理方法包括：生成根证书颁发节点的公钥和私钥，并创建根证书结构体；根据预设的根证书签名字段和根证书颁发节点的私钥，生成根证书签名值，并将根证书签名值和根证书颁发节点的公钥填入根证书结构体，生成根证书；在区块链网络中广播根证书，以供子证书颁发节点接收根证书，并基于根证书签发对应的子证书，以避免根证书被恶意篡改，保障根证书与关联的子证书的安全性。

技术领域

本发明涉及通信技术领域，具体涉及一种证书管理方法及装置。

背景技术

数字证书是在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网络中用它来识别对方的身份。负责发放和管理数字证书的权威机构称为证书颁发机构(CA，Certificate Authority)。一般来说，CA机构必须是相关行业和对应公众都信任和认可的权威第三方。在实际应用中，CA机构不仅数量众多，还具有不同的层级关系。因此，在CA认证过程中，不仅需要对CA证书本身进行验证，还需要对签发该CA证书的CA机构进行验证。而且，如果签发该CA证书的CA机构存在上级CA机构时，还需要进一步对上级CA机构进行验证，直至根CA机构。为此，用户通常预先在客户端中内置根CA机构对应的根证书，以便于可以快捷地完成CA验证。但是，用户内置在客户端中的根证书很容易遭遇黑客的攻击，而一旦根CA证书被盗取或者被恶意篡改，则会影响与根证书相关的所有证书的安全性，进而影响与这些证书相关的CA认证。

因此，如何避免根证书被恶意篡改，提高根证书与关联的子证书的安全性，成为本领域亟待解决的问题。

发明内容

为此，本发明提供一种证书管理方法及装置，以解决根证书容易被恶意篡改，导致根证书与关联的子证书安全性无法保障，进而影响相关CA验证的问题。

为了实现上述目的，本发明第一方面提供一种证书管理方法，应用于根证书颁发节点，包括：

生成所述根证书颁发节点的公钥和私钥；

创建根证书结构体；

根据预设的根证书签名字段和所述根证书颁发节点的私钥，生成根证书签名值；

将所述根证书签名值和所述根证书颁发节点的公钥填入所述根证书结构体，生成根证书；

在区块链网络中广播所述根证书，以供子证书颁发节点接收所述根证书，并基于所述根证书签发对应的子证书。

进一步地，所述根据预设的根证书签名字段和所述根证书颁发节点的私钥，生成根证书签名值，包括：

对预设的所述根证书签名字段进行编码，获得根证书签名字段编码；

使用所述根证书颁发节点的私钥对所述根证书签名字段编码进行签名，获得所述根证书签名值。

进一步地，所述根据预设的根证书签名字段和所述根证书颁发节点的私钥，生成根证书签名值之后，所述将所述根证书签名值和所述根证书颁发节点的公钥填入所述根证书结构体，生成根证书之前，还包括：

确定所述根证书的证书类型和有效期；

将所述证书类型和所述有效期填入所述根证书结构体。

进一步地，所述将所述根证书签名值和所述根证书颁发节点的公钥填入所述根证书结构体，生成根证书之后，所述在区块链网络中广播所述根证书之前，还包括：

使用所述根证书颁发节点的私钥对所述根证书进行签名。

为了实现上述目的，本发明第二方面提供一种证书管理方法，应用于子证书颁发节点，包括：

接收所述子证书颁发节点对应的根证书颁发节点在区块链网络广播的根证书；

生成所述子证书颁发节点的公钥；