一种基于区块链的国密双证书签发及管理方法与系统

本发明涉及网络安全，特别是指一种基于区块链的国密双证书签发及管理方法与系统。

背景技术：

1、公钥基础设施是一种用于管理公钥和数字证书的安全框架和体系结构。公钥基础设施提供了一组技术和流程，用于生成数字证书、发布数字证书、分布数字证书、验证数字证书以及撤销数字证书，可确保安全的身份认证、数据加密以及电子签名安全通信和交互。数字证书颁发机构是公钥基础设施体系中的核心组件，负责颁发和管理数字证书。数字证书颁发机构验证申请者的身份，生成数字证书并签名，确保证书的可信性和完整性。

2、双证书体系包括为加密证书和签名证书两种类型，加密证书仅用于数据加密，不能用于数字签名。签名证书仅用于数字签名，不能用于数据加密。签名证书私钥由证书所有者私有，保证签名的不可抵赖性，加密证书私钥由证书所有者和监管机构共同所有，方便监管机构依法对加密流量进行监管。

3、近年来，针对公钥基础设施的攻击频繁发生，被攻击者入侵的数字证书颁发机构签发的恶意域名证书较为普遍。当公钥基础设施被攻击时，攻击者会对证书进行伪造或篡改，会增加虚假证书的风险；被吊销的证书由于证书状态更新效率较低，攻击者会窃取证书的敏感信息。此外，攻击者对数字证书颁发机构进行攻击会造成非安全性的单点失效，导致证书查询、证书吊销、证书签发以及证书验证等相关操作都无法正常进行。

技术实现思路

1、为了解决现有技术存在的由于证书管理系统的安全性较低以及证书管理系统管理的流程效率较低的技术问题，本发明实施例提供了一种基于区块链的国密双证书签发及管理方法与系统。所述技术方案如下：

2、一方面，提供了一种基于区块链的国密双证书签发及管理方法，该方法由基于区块链的国密双证书签发及管理设备实现，该方法包括：

3、s1、用户端向区块链的节点发送证书申请消息，当所述区块链的节点收到证书申请消息时，所述区块链的节点执行预先设置的证书签发合约，所述区块链的节点将证书申请消息发送到证书颁发机构；

4、s2、证书颁发机构对证书申请消息进行验证；若验证通过，生成加密证书、签名证书以及密钥信息；

5、s3、证书颁发机构将加密证书、签名证书以及密钥信息返回到所述区块链的节点；所述区块链的节点执行预先设置的证书签发合约，对加密证书和签名证书的证书状态设置为有效，生成证书签发相关事务，将证书签发相关事务提交到所述区块链上存储；其中，所述证书签发相关事务包含证书的事务，包括：证书状态为有效的加密证书和签名证书以及密钥信息；

6、s4a、当用户端向所述区块链的节点发送证书吊销消息时，当所述区块链的节点接收到证书吊销消息时，所述区块链的节点执行预先设置的证书管理合约，对证书吊销消息进行处理，生成证书吊销相关事务，将证书吊销相关事务提交到所述区块链上存储；

7、s4b、当用户端向所述区块链的节点发送证书验证消息时，当所述区块链的节点接收到证书验证消息时，所述区块链的节点执行预先设置的证书验证合约，对证书进行验证；若验证通过，所述区块链的节点向用户端发送证书验证成功消息。

8、可选地，所述s3的生成证书签发相关事务，将证书签发相关事务提交到所述区块链上存储，包括：

9、区块链的节点创建并广播一个包含证书的事务，其中，包含证书的事务包含签名证书、加密证书、证书状态以及密钥信息；

10、根据pow共识机制，具有出块权的区块链的节点将未上链的证书签发相关事务打包成区块并广播；

11、区块链的节点对要提交的区块进行交叉验证；若验证通过，将区块上传到区块链。

12、可选地，所述证书签发相关事务、证书吊销相关事务以及证书验证相关事务，均包括：包含证书的事务和包含日志的事务；

13、所述包含证书的事务，包括：证书事务标识、证书事务类型、证书类型、证书信息、证书状态信息、证书事务签名以及证书事务时间戳；

14、所述包含日志的事务，包括：日志事务标识、日志事务类型、智能合约标识、日志内容、关联用户标识、日志事务签名以及日志事务时间戳。

15、可选地，所述s4a的所述区块链的节点执行预先设置的证书管理合约，对证书吊销消息进行处理，包括：

16、当证书颁发机构定期检查，对部分证书进行吊销时，证书颁发机构定期对系统中所有证书进行检查，对已过期或存在其他安全问题的证书进行更改，将证书信息与更改后的状态进行签名，上传到所述区块链；所述区块链的节点执行预先设置的证书管理合约，对证书吊销信息进行处理，生成新的证书事务并提交到所述区块链；

17、当用户申请更新证书对旧证书进行吊销时，所述区块链的节点执行预先设置的证书管理合约，验证旧证书状态是否为有效；若有效，将旧证书状态更改为吊销，生成新的证书事务并提交到所述区块链；

18、当用户申请吊销证书时，所述区块链的节点执行预先设置的证书管理合约，验证证书当前状态是否为有效状态；若有效，将证书的状态改为吊销，生成新的证书事务并提交到所述区块链。

19、可选地，所述s4b的对证书进行验证，包括：验证证书完整性与真实性、验证证书的状态是否为有效状态以及验证证书是否在有效期内。

20、另一方面，提供了一种基于区块链的国密双证书签发及管理系统，该系统应用于基于区块链的国密双证书签发及管理方法，该系统包括：

21、所述基于区块链的国密双证书签发及管理系统，包括用户端、区块链、以及证书颁发机构；其中：

22、所述用户端，用于用户端向区块链的节点发送证书申请消息；用户端向所述区块链的节点发送证书吊销消息；用户端向所述区块链的节点发送证书验证消息；

23、所述区块链，用于当所述区块链的节点收到证书申请消息时，所述区块链的节点执行预先设置的证书签发合约，所述区块的链节点将证书申请消息发送到证书颁发机构；所述区块链的节点执行预先设置的证书签发合约，对加密证书和签名证书的证书状态设置为有效，生成证书签发相关事务，将证书签发相关事务提交到所述区块链上存储；当所述区块链的节点接收到证书吊销消息时，所述区块链的节点执行预先设置的证书管理合约，对证书吊销消息进行处理，生成证书吊销相关事务，将证书吊销相关事务提交到所述区块链上存储；当所述区块链的节点接收到证书验证消息时，所述区块链的节点执行预先设置的证书验证合约，对证书进行验证，生成证书验证相关事务，将证书验证相关事务提交到所述区块链上存储；若验证通过，所述区块链的节点向用户端发送证书验证成功消息；

24、所述证书颁发机构，用于证书颁发机构对证书申请消息进行验证；若验证通过，生成加密证书、签名证书以及密钥信息；证书颁发机构将加密证书、签名证书以及密钥信息返回到所述区块链的节点；

25、可选地，所述生成证书签发相关事务，将证书签发相关事务提交到所述区块链上存储，包括：

26、区块链的节点创建并广播一个包含证书的事务，其中，包含证书的事务包含签名证书、加密证书、证书状态以及密钥信息；

27、根据pow共识机制，具有出块权的区块链的节点将未上链的证书签发相关事务打包成区块并广播；

28、区块链的节点对要提交的区块进行交叉验证；若验证通过，将区块上传到区块链。

29、可选地，所述证书签发相关事务、证书吊销相关事务以及证书验证相关事务，均包括：包含证书的事务和包含日志的事务；

30、所述包含证书的事务，包括：证书事务标识、证书事务类型、证书类型、证书信息、证书状态信息、证书事务签名以及证书事务时间戳；

31、所述包含日志的事务，包括：日志事务标识、日志事务类型、智能合约标识、日志内容、关联用户标识、日志事务签名以及日志事务时间戳。

32、可选地，所述区块链的节点执行预先设置的证书管理合约，对证书吊销消息进行处理，包括：

33、当证书颁发机构定期检查，对部分证书进行吊销时，证书颁发机构定期对系统中所有证书进行检查，对已过期或存在其他安全问题的证书进行更改，将证书信息与更改后的状态进行签名，上传到所述区块链；所述区块链的节点执行预先设置的证书管理合约，对证书吊销信息进行处理，生成新的证书事务并提交到所述区块链；

34、当用户申请更新证书对旧证书进行吊销时，所述区块链的节点执行预先设置的证书管理合约，验证旧证书状态是否为有效；若有效，将旧证书状态更改为吊销，生成新的证书事务并提交到所述区块链；

35、当用户申请吊销证书时，所述区块链的节点执行预先设置的证书管理合约，验证证书当前状态是否为有效状态；若有效，将证书的状态改为吊销，生成新的证书事务并提交到所述区块链。

36、可选地，所述对证书进行验证，包括：验证证书完整性与真实性、验证证书的状态是否为有效状态以及验证证书是否在有效期内。

37、另一方面，提供一种基于区块链的国密双证书签发及管理设备，所述基于区块链的国密双证书签发及管理设备包括：处理器；存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，实现如上述基于区块链的国密双证书签发及管理方法中的任一项方法。

38、另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述至少一条指令由处理器加载并执行以实现上述基于区块链的国密双证书签发及管理方法中的任一项方法。

39、本发明实施例提供的技术方案带来的有益效果至少包括：

40、本发明实施例，当用户端向区块链的节点发送证书申请消息，区块链的节点收到证书申请消息并执行预先设置的证书签发合约，区块链的节点将证书申请消息发送到证书颁发机构；证书颁发机构对证书申请消息进行验证；若验证通过，生成加密证书、签名证书以及密钥信息；证书颁发机构将加密证书、签名证书以及密钥信息返回到区块链的节点；区块链的节点执行预先设置的证书签发合约，对加密证书和签名证书的证书状态设置为有效，生成证书签发相关事务，将证书签发相关事务提交到区块链上存储；当用户端向区块链的节点发送证书吊销消息时，区块链的节点接收到证书吊销消息并执行预先设置的证书管理合约，对证书吊销消息进行处理，生成证书吊销相关事务，将证书吊销相关事务提交到区块链上存储；当用户端向区块链的节点发送证书验证消息时，区块链的节点接收到证书验证消息并执行预先设置的证书验证合约，对证书进行验证，生成证书验证相关事务，将证书验证相关事务提交到区块链上存储；若验证通过，区块链的节点向用户端发送证书验证成功消息。

41、本发明实施例与现有技术相比，本发明实施例可以安全地存储数字证书的信息，防止攻击者对证书颁发机构攻击造成单点失效；证书上链前会进行交叉验证，确定有人没有伪造或篡改证书，可减少虚假证书的风险；本发明实施例设置的智能合约会定期对证书的有效性进行检查，可防止安全性存在问题的证书继续使用；其中，智能合约包括：证书签发合约、证书管理合约以及证书验证合约；通过智能合约可对证书进行自动化的管理，提高了证书管理流程的效率；其中流程包括：证书签发、证书状态管理以及证书查询；本发明实施例对新创建的证书与所有证书的状态都公开可见并将与证书管理相关的所有操作都记录在区块链中，可以监控所有操作并检测异常情况；本发明实施例通过将智能合约的操作日志保存到区块链，加强证书管理系统的安全性与安全问题的可追溯性。