本發明提供一種實現CA互信的方法、裝置、系統和電子設備，涉及通信技術領域，用以提高實現CA互信的靈活性。本發明的實現CA互信的方法包括：為證書請求方分配待簽發實體證書；向所述系統中的其他CA實體請求對所述待簽發實體證書進行共識；若確定所述其他CA實體對所述待簽發實體證書的認證通過，則向所述證書請求方簽發所述待簽發實體證書，在所述待簽發實體證書中包括區塊鏈認證標記，其中所述區塊鏈認證標記為所述區塊鏈系統的標識；更新存儲的區塊鏈記錄。利用本發明實施例的方案，提高了實現CA互信的靈活性。

技術領域

本發明涉及通信技術領域，尤其涉及一種實現CA互信的方法、裝置、系統和電子設備。

背景技術

PKI(Public Key Infrastructure，公鑰基礎設施)在信息安全領域扮演著非常重要的角色。無論是使用HTTPS((Hyper Text Transfer Protocol over Secure SocketLayer，超文本傳輸協議安全)訪問安全的網站，還是在數字商務/政務/辦公領域經常用到的電子簽名，都必須有PKI的支撐。

PKI的依賴方在驗證對方證書時，需要構建相應的證書認證路徑，而在路徑中必須有一個信任起點，即信任錨。信任錨通常是被依賴方信任的CA(Certificate Authority，證書權威)的自簽名證書。依賴方的信任錨數量通常是有限的。當對方證書對應的CA自簽名證書不在依賴方的信任錨范圍內時，依賴方就無法構建一個可信的證書認證路徑，也就無法完成基于證書的保密通信或簽名認證等操作。這就引出了CA互信的問題。

在現有的PKI實踐中，解決CA互信問題的方法一般有如下三種：

列表方案：常見的權威列表有工信部《電子認證服務許可證》列表、微軟公司RootCertificate Program維護的列表(也就是預置在Windows操作系統和IE瀏覽器中的CA列表)、以及北美WebTrust認證的列表等。

CA交叉認證方案(網狀結構)：一個CA通過為其他CA簽發證書的方式，使得信任自己的依賴方能與其他CA的證書持有者達成互信。

橋CA方案(星型結構)：引入橋CA作為其他CA互信的中介，兩個CA分別與橋CA雙向交叉認證后，這兩個CA之間也達成了互信。

但是，在實現本發明的過程中發明人發現：

列表方案對依賴方有較高要求(有專業的判斷能力、能夠合理配置自己的信任錨)，且權威列表本身的維護代價較高。CA交叉認證方案類似現實生活中集團平等合作的信任關系。當CA數量較少時可以很好地解決CA互信問題，但大量CA兩兩進行交叉認證時，就會形成復雜的網狀結構，使證書認證路徑變長甚至形成環路，而且證書策略(CP)經過多次映射之后會使證書用途大大受限。橋CA方案類似現實生活中行業協會中介的信任關系，CA數量較多時可以避免兩兩交叉認證的弊端，但橋CA運營方的選擇是個難題，它的可信程度直接決定了互信關系的可靠程度。

發明內容

有鑒于此，本發明提供一種實現CA互信的方法、裝置、系統和電子設備，以提高實現CA互信的靈活性。

為解決上述技術問題，本發明提供一種實現CA互信的方法，應用于CA互信系統；所述CA互信系統包括：至少三個CA實體，各CA實體組成點到點P2P網絡并形成區塊鏈系統；各CA實體中存儲有區塊鏈記錄，用于記錄對實體證書的操作記錄；所述方法應用于CA實體，包括：

為證書請求方分配待簽發實體證書；

向所述系統中的其他CA實體請求對所述待簽發實體證書進行共識；

若確定所述其他CA實體對所述待簽發實體證書的共識通過，則向所述證書請求方簽發所述待簽發實體證書，在所述待簽發實體證書中包括區塊鏈認證標記，其中所述區塊鏈認證標記為所述區塊鏈系統的標識；

更新存儲的區塊鏈記錄。