一种面向区块链PKI的非法签名者确定系统技术方案

本申请提供了一种面向区块链PKI的非法签名者确定系统，包括：CA节点和溯源节点；CA节点生成待签名数字证书的验证公钥和验证私钥；对待签名数字证书的第一预设信息和验证公钥进行计算得到第一对称密钥；对第一随机数和CA节点的数字证书序列号进行签名以及对签名结果进行哈希计算得到第一初始值；对待签名数字证书进行环签名。溯源节点在环签名数字证书为非法环签名数字证书时，向目标环中的每个CA节点，分别发送指示主动认领信息；采用验证公钥对主动认领CA节点反馈的待验证签名信息进行验证，在无任一CA节点主动认领的情况下，通过间接验证的方式确定非法签名者。本申请在无需CA节点主动曝光身份的前提下，实现对非法签名者的确定。

【技术实现步骤摘要】
一种面向区块链PKI的非法签名者确定系统
本申请涉及区块链领域，尤其涉及一种面向区块链PKI的非法签名者确定系统。
技术介绍
基于区块链构建公钥基础设施(PublicKeyInfrastructure，PKI)，通过将数字证书上链实现数字证书的公开透明、分布式管理，可有效解决由第三方证书颁发机构(CertificateAuthority，CA)被攻击或弱安全实践带来的安全问题，满足随着物联网、大数据、云计算等分布式计算模式日益广泛应用带来的数字证书跨域验证需求。目前基于区块链的PKI都不允许链中CA节点匿名，以保证PKI的可信性。但是，在一些特殊的应用场景或商业CA不愿泄露商业隐私的场景下，区块链PKI需要保证CA节点的匿名性，实现数字证书的匿名管理。可是，保证CA节点的匿名性不能以降低PKI的可信性为代价。例如，在发现链上有非法签名数字证书后，必须能够准确追溯到该证书的颁发者。可验证环签名机制是一种在必要时通过真实签名者出示一些相关数据来证明签名者真实身份的环签名机制。但是，目前可验证环签名机制无法直接用于实现数字证书的可监管本文档来自技高网...

【技术保护点】
1.一种面向区块链PKI的非法签名者确定系统，其特征在于，包括：CA节点和用于溯源非法签名者的溯源节点；/n所述CA节点，用于在接收到对待签名数字证书的签发请求的情况下，生成所述待签名数字证书的验证公钥和验证私钥；对所述待签名数字证书的第一预设信息和所述验证公钥进行计算，得到包含所述验证公钥的第一对称密钥；对第一随机数和所述CA节点的数字证书序列号进行签名以及对签名结果进行哈希计算，得到第一初始值；依据所述第一对称密钥和所述第一初始值，对所述待签名数字证书进行环签名，得到环签名数字证书；/n所述溯源节点，用于在所述环签名数字证书为非法环签名数字证书的情况下，分别向目标环中的每个CA节点，发送用...

【技术特征摘要】
1.一种面向区块链PKI的非法签名者确定系统，其特征在于，包括：CA节点和用于溯源非法签名者的溯源节点；
所述CA节点，用于在接收到对待签名数字证书的签发请求的情况下，生成所述待签名数字证书的验证公钥和验证私钥；对所述待签名数字证书的第一预设信息和所述验证公钥进行计算，得到包含所述验证公钥的第一对称密钥；对第一随机数和所述CA节点的数字证书序列号进行签名以及对签名结果进行哈希计算，得到第一初始值；依据所述第一对称密钥和所述第一初始值，对所述待签名数字证书进行环签名，得到环签名数字证书；
所述溯源节点，用于在所述环签名数字证书为非法环签名数字证书的情况下，分别向目标环中的每个CA节点，发送用于指示主动认领所述非法环签名数字证书的信息；
所述溯源节点，还用于在接收到目标CA节点发送的认领信息的情况下，向所述目标CA节点发送第一指示信息；所述第一指示信息包括第二预设信息；所述第一指示信息用于指示所述目标CA节点反馈：采用所述验证私钥对所述第二预设信息进行签名得到的待验证签名信息；
所述溯源节点，还用于采用所述验证公钥对所述待验证签名信息进行验证，在验证结果表示验证成功的情况下，确定所述目标CA节点为所述非法环签名数字证书的签名者；
所述溯源节点，还用于在每个CA节点都未发送认领信息的情况下，向所述目标环中每个CA节点分别发送第二指示信息；所述第二指示信息用于指示反馈目标信息；所述目标信息包括：CA节点的数字证书序列号，以及对所述数字证书序列号和所述第一随机数的数字签名；
所述溯源节点，还用于在接收到任一CA节点反馈的目标信息的情况下，依据该CA节点的数字证书序列号查询到的RSA公钥，验证所述数字签名是否为真；
所述溯源节点，还用于在验证为真的情况下，在该CA节点的目标信息中数字签名的哈希计算结果等于所述第一初始值的情况下，确定该CA节点...

【专利技术属性】
技术研发人员：杜学绘，陈性元，王娜，李少卓，王文娟，单棣斌，任志宇，曹利峰，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南;41