【技术实现步骤摘要】
一种数字证书管理方法和装置
本专利技术涉及计算机
,尤其涉及一种数字证书管理方法和装置。
技术介绍
CA(CertificateAuthority,认证中心)作为PKI(PublicKeyInfrastructure,公钥基础设施)中的重要组成部分,负责签发可以识别用户身份的数字证书。用于签发数字证书的CA私钥一旦泄露,则由该CA签发的所有数字证书都将失去效力,因而保证CA私钥的安全性是整个PKI安全的核心。为提高CA私钥的安全,提出了多方共同管理CA的方案。但是在目前实现的多方共同管理CA的场景中,每一个管理成员均可根据自身需求签发数字证书,由于缺乏其他管理成员的监督或统一的协调监管机制,任何一方对CA私钥的使用不当均有可能引入不可控的外界风险。此外,在实际的管理过程中,会涉及CA私钥共同管理成员的变更,进而影响已签发数字证书的正常使用。
技术实现思路
有鉴于此,本专利技术提供一种数字证书管理方法和装置,既能够实现对多方管理成员对数字证书签发的共同管控,避免因任一方管理成员管理失当造成的私...
【技术保护点】
1.一种数字证书管理方法,其特征在于,包括:/n对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;/n生成一对全局密钥对,所述全局密钥对指示了全局公钥及全局私钥,并使用所述全局私钥对预设根证书信息进行签名以生成根证书;/n基于签名生成算法聚合一个或多个所述区块链节点的私钥分量,以生成一个或多个聚合公钥;/n将所述一个或多个聚合公钥、所述全局公钥、所述根证书写入区块链的创世区块中。/n
【技术特征摘要】
1.一种数字证书管理方法,其特征在于,包括:
对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
生成一对全局密钥对,所述全局密钥对指示了全局公钥及全局私钥,并使用所述全局私钥对预设根证书信息进行签名以生成根证书;
基于签名生成算法聚合一个或多个所述区块链节点的私钥分量,以生成一个或多个聚合公钥;
将所述一个或多个聚合公钥、所述全局公钥、所述根证书写入区块链的创世区块中。
2.根据权利要求1所述的数字证书管理方法,其特征在于,还包括:
接收用户发送的数字证书生成请求,所述数字证书生成请求指示了第一用户信息;
将所述第一用户信息广播至区块链上,以使得所述区块链上参与生成同一所述聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名,以生成第一签名信息;
聚合所述第一签名信息以生成第一数字证书,所述第一数字证书指示了所述区块链节点的标识信息。
3.根据权利要求2所述的数字证书管理方法,其特征在于,还包括:
将所述第一数字证书上传至区块链,以供区块链节点或智能合约根据所述第一数字证书指示的区块链节点的标识信息,从所述创世区块中获取所述聚合公钥,并使用所述聚合公钥对所述第一数字证书进行验证;
在所述第一数字证书验证通过的情况下,使用所述全局密钥对中的全局私钥对所述第一用户信息进行签名,以为所述用户生成第二数字证书。
4.根据权利要求3所述的数字证书管理方法,其特征在于,还包括:
将所述第二数字证书上传至区块链,以供区块链节点或智能合约从所述创世区块中获取所述根证书或所述全局公钥,并使用所述全局公钥或所述根证书指示的全局公钥对所述第二数字证书进行验证。
5.根据权利要求1所述的数字证书管理方法,其特征在于,还包括:
接收用户发送的数字证书撤销请求,所述数字证书撤销请求指示了所述用户的第二用户信息及待销数字证书;
将所述第二用户信息广播至区块链上,以使得区块链上知晓所述全局私钥的区块链节点,使用所述全局私钥对所述第二用户信息进行签名,以生所述待撤销数字证书对应的撤销凭证。
6.根据权利要求5所述的数字证书管理方法,其特征在于,还包括:
将所述撤销凭证上传至区块链,以供区块链节点或智能合约从所述创世区块中获取所述根证书或所述全局公钥,并使用所述全局公钥或所述根证书指示的全局公钥对所述第二数字证书进行验证。
7.一种数字证书管理装置,其特征在于,包括:密钥对生成模块、根证书生成模块、公钥聚合模块、公钥写入模块;其中,
所述密钥对生成模块,用于对于每一个区块链节点,生成一对非对称密钥对,所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量;
所述根证书生成模块,用于生成一对全局密钥对,所述全局密钥对指示了全局公钥及全局私钥,并使用所述全局私钥对预设根证书信息进行签名以生成根证...
【专利技术属性】
技术研发人员:霍云,狄刚,
申请(专利权)人:中国人民银行数字货币研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。