[发明专利]节点交互方法、证书验证方法、装置及相关设备

说明书

本发明提供一种节点交互方法、证书验证方法、装置及相关设备。其中节点交互方法包括：第一CA节点加入互信联盟，其中，互信联盟包括与第一CA节点互相信任的多个CA节点，互信联盟的区块链包括实时的CA状态树以及CA状态树的全部叶子节点对应的根哈希值，CA状态树的每个叶子节点均包括一个CA节点的节点证书和节点信任评分值，每一个CA节点均存储区块链。这样，针对终端所信任的CA节点加入同一互信联盟内的其他CA节点为其他终端下发的证书，终端可以通过哈希树的方式先验证该互信联盟内CA节点证书再通过CA节点证书验证其他终端的终端证书的合法性，以实现互信联盟内的CA节点颁发的所有证书也被信任，以较低成本解决任意CA节点之间互信问题。

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种节点交互方法、证书验证方法、装置及相关设备。

背景技术

证书为实体提供身份证明，而验证实体证书本身合法性，就需要证书信任模型。传统根证书中心(Certificate Authority，简称CA)信任模型中，根CA签发中级CA1和CA2证书，CA1和CA2分别签发证书1到证书4。设备存储根CA证书作为信任锚，则可通过证书链的方式验证证书1到证书4的合法性。

为了弥补传统树状证书链的缺陷，诞生了交叉认证信任模型，桥CA信任模型，以及列表信任模型三种信任模型。其中交叉认证信任模型和桥CA信任模型成本较高且不够灵活。而列表信任模型需要在设备侧存储多个信任锚点，例如Web浏览器会内置多个CA证书作为信任锚。对于资源受限设备，存储和更新维护多个信任锚的成本较高。以上四种传统信任模型无法解决证书信任验证问题。

可见，现有的传统信任模型无法解决证书信任验证问题。

发明内容

本发明实施例提供一种节点交互方法、证书验证方法、装置及相关设备，以解决现有信任模型无法解决证书信任验证的问题。

为解决上述问题，本发明是这样实现的：

第一方面，本发明实施例提供了一种节点交互方法，由第一CA节点执行，所述方法包括：

加入互信联盟，其中，所述互信联盟包括与所述第一CA节点互相信任的多个CA节点，所述互信联盟的区块链包括实时的CA状态树以及所述CA状态树的全部叶子节点对应的根哈希值，所述CA状态树的每个叶子节点均包括一个CA节点的节点证书和节点信任评分值，所述互信联盟内的每一个CA节点均存储所述区块链。

第二方面，本发明实施例提供了一种证书验证方法，由第一终端执行，所述方法包括：

向所信任的第一CA节点申请终端证书，其中，所述第一CA节点为互信联盟内的任一节点；

接收所述第一CA节点返回的终端证书、所述第一CA节点的节点证书以及验证所述终端证书所需要的路径哈希节点；

将所述终端证书、所述第一CA节点的节点证书以及所述路径哈希节点发送至第二终端，以使第二终端根据所述第一CA节点的节点证书、所述路径哈希节点和第二CA节点返回的互信联盟的根哈希值验证所述第一终端的终端证书的合法性，其中，所述第二CA节点为所述第二终端信任的位于所述互信联盟内的CA节点，所述第二终端信任所述第二CA节点。

第三方面，本发明实施例提供了一种证书验证方法，由第二终端执行，所述方法包括：

向互信联盟内的第二CA节点请求获取实时的根哈希值；

接收第一终端发送的终端证书、所述第一终端所信任的第一CA节点的节点证书以及验证所述第一终端的终端证书所需要的路径哈希节点；

根据根哈希值、所述第一CA节点的节点证书和所述路径哈希节点验证所述第一终端的终端证书的合法性。

第四方面，本发明实施例提供了一种节点交互方法，由终端设备执行，所述方法包括：