一种基于区块链多CA应用认证方法技术

本发明专利技术公开一种基于区块链多CA应用认证方法，涉及信息安全技术领域；分布式部署多个节点建立区块链，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。

A method of multi CA application authentication based on block chain

The invention discloses a block chain authentication method based on CA application, which relates to the technical field of information security; the establishment of block chain multiple nodes of a distributed deployment, all nodes maintain a record books, the access node determines the node join or exit CA digital certificate authentication center node released the digital certificate and the state information service system node permission to publish the correspondence, and distributed to each node through the network, each node of the transaction sorting and validation, let the nodes involved in the block chain to reach a consensus, the business system node through the permission information to achieve authentication query block chain record.

【技术实现步骤摘要】
一种基于区块链多CA应用认证方法
本专利技术公开一种基于区块链多CA应用认证方法，涉及信息安全

技术介绍
区块链是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了过去一定时间内所有比特币网络交易的信息，用于验证其信息的有效性和生成下一个区块。近年来，区块链（Blockchain）技术得到广泛关注和发展。区块链技术，又称为“分布式账本技术”，其本质是去中心化且寓于分布式结构的数据存储、传输和证明的方法，由多个节点集体参与的分布式数据库系统。它不是一种单一的技术，而是多种技术整合的结果，利用区块链技术维护一个可靠的、难以篡改的账本记录，可以降低信任的风险，并能有效的降低多参与方协作的维护成本。现有的PKI/CA技术是以数字证书认证中心为基础，通过第三方可信CA来发放数字证书，并与应用系统对接，通过发布CRL和OCSP为应用系统提供证书状态查询服务，实现相关的身份认证以及完整性保护。但随着业务应用的开展，“一证多用”和多家CA交叉认证的需求更加迫切，特别是一些政务应用，需要通过整合数字证书，降低开展政务网上业务的成本。在这情况下，本专利技术提供一种基于区块链多CA应用认证方法，通过建立区块链将各家CA数字证书认证中心和多个业务系统结合起来，所有节点共同维护一份账本记录，相对于现有的交叉认证方式，提供了统一的、去中心化的数字证书和权限发布服务，增强了认证的可靠性和不可伪造性；CA数字证书认证中心发布数字证书和CRL确认证书的有效性，而业务系统发布证书权限信息，通过白名单实现本业务系统的身份认证，有效利用现有可信的数字证书，实现证书一证多用，还可以采用多家CA数字证书，解决互信问题。
技术实现思路
本专利技术提供一种基于区块链多CA应用认证方法，将CA证书和应用系统身份信息相结合，通过建立区块链，记录应用系统与数字证书的权限对应，实现“一证多用”和多CA证书信任。本专利技术提出的具体方案是：一种基于区块链多CA应用认证方法：分布式部署多个节点建立区块链，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。业务系统节点可以包括排序和验证节点，负责协调和认证，让参与区块链的节点达成共识。所述的方法使用现有数字证书进行认证时，所述业务系统节点根据用户信息查询区块链，获取相应的用户数字证书信息，业务系统节点根据数字证书信息和用户权限信息生成交易信息，发布到区块链，区块链中各个节点达成共识，更新本地账本记录，所述业务系统节点根据区块链中的权限信息进行用户的身份认证。所述的方法，用户首次进行认证时，所述业务系统节点向所述CA数字证书认证中心节点提出首次申请数字证书请求，所述CA数字证书认证中心节点审核提交请求的用户信息，签发数字证书，并生成包含数字证书信息和用户权限信息的交易信息，发布到区块链，所述业务系统节点根据收到的交易信息生成区块链，区块链中各个节点达成共识，更新本地账本记录，所述业务系统节点根据区块链中的权限信息进行用户的身份认证。所述的方法，用于CA数字证书认证中心节点发布CRL，用户通过所述业务系统节点向所述CA数字证书认证中心节点提出注销证书申请，CA数字证书认证中心节点审核申请并签发CRL，同时根据数字证书查询所有可用权限，生成注销交易信息，发布到区块链；所述业务系统节点根据收到的交易信息生成区块链，区块链的各个节点达成共识，更新本地账本记录，则注销用户无法登陆。所述的方法，用于业务系统节点取消用户权限，其中业务系统节点查询用户数字证书和可用权限，生成注销交易信息，发布到区块链；业务系统节点根据收到的交易信息生成区块链，区块链的各个节点达成共识，更新本地账本记录，则注销用户无法登陆。一种基于区块链多CA应用认证系统，包括分布式部署多个节点建立的区块链及其中各个节点，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。所述系统中区块链的区块信息包括：版本号、时间戳、交易Merkle树根摘要、交易执行结果、前区块摘要值、本区块摘要值。所述系统中区块链的交易信息包括：ID号、发起方、证书URL地址、Nonce唯一码、证书摘要、签名值、账联代码、业务系统标识、权限标识。本专利技术的有益之处是：本专利技术提供了一种基于区块链多CA应用认证方法，通过建立区块链将各家CA数字证书认证中心和多个业务系统结合起来，相对于现有的交叉认证方式，提供了统一的、去中心化的数字证书和权限发布服务，增强了认证的可靠性和不可伪造性；CA数字证书认证中心发布数字证书和CRL确认证书的有效性，而业务系统发布证书权限信息，通过白名单实现本业务系统的身份认证。这样可以有效利用现有可信的数字证书，实现证书一证多用，还可以采用多家CA数字证书，解决互信问题。附图说明图1是本专利技术节点部署区块链示意图；图2是区块链部分结构示意图；图3是用户首次认证过程流程图；图4是使用现有数字证书进行认证流程图；图5是用户取消权限流程图；图6是业务节点取消用户权限流程图。具体实施方式本专利技术提供一种基于区块链多CA应用认证方法，同时提供一种基于区块链多CA应用认证系统，结合附图，对本专利技术做进一步说明。利用本专利技术方法，分布式部署多个节点建立区块链，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。其中，准入节点来决定新节点的加入和节点的退出；CA数字证书认证中心节点负责发布数字证书和其状态信息；业务系统节点负责发布其用户的权限身份信息并通过区块链记录权限信息来进行身份认证；业务系统节点可以包括排序和验证节点，负责协调和认证，让参与区块链的节点达成共识。为了进一步描述清楚，在本实施例中，使用图2所示区块链结构，区块（Block）结构如下：版本号：描述区块链的版本；时间戳：本次区块生成的时间；交易Merkle树根摘要：本区块的所有交易生成Merkle树的树根摘要值；交易执行结果：本区块链关联的所有交易的执行结果；前区块摘要值：上一区块链的摘要值；本区块摘要值：计算本区块内容得到的摘要值。交易（transaction）信息结构如下：ID号：交易唯一标识号；发起方：交易发起方数字证书的内容，这里采用的是证书的SHA1摘要；证书URL地址：证书外部下载地址；Nonce：唯一码；证书摘要：颁发的用户证书的摘要值，可以通过URL地址下载；签名值：使用交易发起方私钥进行签名；账联代码：对应所在区块的标识；业务系统标识：业务系统节点标识，例如接收方的证书摘要；权限标识：标识业务系统用户的权限。除了使用以上结本文档来自技高网...

【技术保护点】
一种基于区块链多CA应用认证方法，其特征是分布式部署多个节点建立区块链，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。

【技术特征摘要】
1.一种基于区块链多CA应用认证方法，其特征是分布式部署多个节点建立区块链，所有节点维护一份账本记录，其中准入节点判断节点的加入或退出，CA数字证书认证中心节点发布数字证书及其状态信息，业务系统节点发布权限对应，并通过全网网络分发到各个节点，对各个节点的交易进行排序和验证，让参与区块链的节点达成共识，业务系统节点还通过查询区块链记录的权限信息实现身份认证。2.根据权利要求1所述的方法，其特征是使用现有数字证书进行认证时，所述业务系统节点根据用户信息查询区块链，获取相应的用户数字证书信息，业务系统节点根据数字证书信息和用户权限信息生成交易信息，发布到区块链，区块链中各个节点达成共识，更新本地账本记录，所述业务系统节点根据区块链中的权限信息进行用户的身份认证。3.根据权利要求1所述的方法，其特征是用户首次进行认证时，所述业务系统节点向所述CA数字证书认证中心节点提出首次申请数字证书请求，所述CA数字证书认证中心节点审核提交请求的用户信息，签发数字证书，并生成包含数字证书信息和用户权限信息的交易信息，发布到区块链，所述业务系统节点根据收到的交易信息生成区块链，区块链中各个节点达成共识，更新本地账本记录，所述业务系统节点根据区块链中的权限信息进行用户的身份认证。4.根据权利要求1-3任一所述的方法，其特征是用户通过所述业务系统节点向所述CA数字证书认证...

【专利技术属性】
技术研发人员：孙善宝，于治楼，张爱成，
申请(专利权)人：济南浪潮高新科技投资发展有限公司，
类型：发明
国别省市：山东,37