[发明专利]一种基于联盟链的数字证书生命周期管理方法

说明书

本发明公开了一种基于联盟链的数字证书生命周期管理方法，改善了传统PKI系统的单点故障问题。该发明分为证书上链、链上证书更新和证书吊销三部分，包括：终端发起证书上链的请求A或链上证书更新的请求B给相应的背书节点，背书节点根据接收到的请求消息判断终端发起的请求属于哪一类交易提案，并完成对请求消息的验证，证书上链和链上证书更新所需的验证分别为验证过程A和验证过程B，得到第一验证结果；证书吊销包括背书节点中的证书吊销服务器执行智能合约C发起吊销证书的交易，执行结束后，背书节点对得到的背书结果签名，将签名结果广播给排序节点。该技术减少了证书吊销占用的大量内存，证书吊销更具实时性和可靠性。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于联盟链的数字证书生命周期管理方法。

背景技术

数字证书是一种具有特殊结构的电子文件，由证书颁发机构(CertificateAuthority,CA)进行数字签名并发布，含有拥有者身份信息、公钥信息和颁发机构的数字签名等内容。数字证书相当于一个电子身份证，终端设备在相互进行通信时就使用数字证书证明自己的身份，并识别对方的身份。传统的对数字证书生命周期的管理，依赖于公钥基础设施(Public Key Infrastructure,PKI)。此PKI体系一般由根CA及其子CA构成，根CA负责向一些子CA签发证书，最后一级CA负责终端设备证书的管理。但由于CA中心化程度高，一旦出现单点故障将会造成不可估量的损失，且传统PKI在吊销机制方面存在效率较低的问题，使得传统数字证书管理机制存在一些弊端。

区块链是指将数据区块按照生成的时间顺序排列成的链式结构，其中区块用来记录交易的具体信息。区块链具有去中心化、防篡改等特性，其通过共识机制保证分布式节点的互信，全网的节点共同维护链上数据的安全，且网络中每个节点都是对等的，拥有区块链分布式账本中的所有数据。区块链被分为公有链、联盟链和私有链，其中联盟链规定只有授权的组织才可以加入到此网络中，账本上的数据也只有参与联盟的节点可以访问和更改，联盟链的此特点为数字证书生命周期的管理提供了新思路。因此，将区块链运用到数字证书生命周期的管理中已经引起广泛的关注和研究。

但是，现有的基于区块链的数字证书管理方案仍存在不足，将证书存储在公有链上，进行证书的查询管理。但这种方式仍然存在内容终端身份信息透明度高、链上的节点可靠性低、认证效率低的问题。麻省理工大学学者提出的分布式系统Certcoin为世界上第一个采用区块链技术的PKI系统，通过此区块链系统对证书进行注册、更新、恢复和撤销，使用比特币进行交易，并运用密码累加器对用户的公钥进行验证。但是此方案将终端用户的身份与公钥关联会造成其身份信息公开并遭到窃取，无法进行广泛的实际应用。Zhiguo Wan等人提出的基于区块链技术的PKI系统BKI在区块链上存储事务，实现证书的颁发、更新和撤销。该链由多个可信的日志维护者管理，减少了漏洞的出现。但是由于需要第三方维护者进行验证，出现了多余的时间耗费问题。IKP是一个自动化的对未经授权的证书响应的平台，通过制定智能合约对CA提供正确颁发数字证书的激励，错误颁发证书的经济处罚，并为其它报告未经授权的证书的节点提供激励，这样可以提高平台交易的合法性。同时该系统制定了相应的域证书策略DCPs对该域证书的标准进行规定，最终在以太坊上实现了IKP。但是该系统由于其信息公开的特性仍然会有作恶节点冒充身份的可能，其安全性不能完全保证。Wang Z等人提出的区块链系统实现了撤销证书透明，将证书撤销过程记录在区块链中。其中区块链中的证书事务都有一个有效期，比发布的证书有效期短，因此一个证书在其生命周期中可能会发布几次，其更新后的撤销状态也会反映在证书事务中。当一个证书被撤销并且服务器在它到期之前将其从下一个事务中排除时，相应的证书吊销列表(Certificate Revocation List,CRL)文件或在线证书状态协议(Online CertificateStatus Protocol,OCSP)响应将被包含在内，所以CA的撤销操作也被公开地记录在区块链中。但此方法仍需要CA向终端用户发布CRL文件或OCSP响应，其中心化程度较高，易受到攻击。

基于此，研究基于联盟链的数字证书管理方案意义重大。

发明内容