本發(fā)明涉及基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施系統(tǒng)及其證書管理方法，包括用戶u、若干個CA、若干個區(qū)塊鏈維護者BLM、區(qū)塊鏈、客戶端Client，用戶u向多個CA發(fā)送簽名請求，多個CA分別進行簽名并反饋給用戶u；用戶u將簽名合并到簽名后的證書頒發(fā)事務(wù)中，發(fā)送給區(qū)塊鏈維護者BLM；區(qū)塊鏈維護者BLM驗證并將其存儲到區(qū)塊鏈中的候選區(qū)塊中，并向用戶u發(fā)送簽名后的證書頒發(fā)事務(wù)CI_signed存在的證明；客戶端Client向用戶u請求證書，用戶u回復其域名和區(qū)塊鏈維護者BLM，客戶端Client向區(qū)塊鏈維護者BLM發(fā)送查詢驗證請求，查詢證書狀態(tài)并進行回復。本發(fā)明實現(xiàn)證書的簡便高效管理，并可避免CA單點故障的問題。

技術(shù)領(lǐng)域

本發(fā)明基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施系統(tǒng)及其證書管理方法，屬于區(qū)塊鏈技術(shù)領(lǐng)域。

背景技術(shù)

眾所周知，公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)在網(wǎng)絡(luò)空間安全領(lǐng)域中起著至關(guān)重要的作用。比如基于公鑰密碼的安全協(xié)議的SSL/TLS，用于保證Web通信安全。PKI解決了網(wǎng)絡(luò)通信中的身份認證、信息的完整性和信息的不可抵賴性等諸多安全問題，為諸如電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券等網(wǎng)絡(luò)應(yīng)用提供可靠安全的服務(wù)。證書的簽發(fā)機構(gòu)(Certificate Authority,CA)，作為PKI的核心，其安全性顯得尤為重要。最近，針對Google.com、Yahoo.com、mozilla.org等知名CA的域名發(fā)布欺詐證書的攻擊，傳統(tǒng)PKI已經(jīng)面臨著嚴重的脆弱性問題。

目前的PKI依舊采用可信第三方CA分等級管理證書。然而，受損或惡意的CA會發(fā)布一些惡意的證書進行中間人攻擊，這將使PKI遭受巨大的損失。究其根本，這個漏洞是就因為目前的PKI缺乏檢測和防止CA行為失常的機制造成的。

區(qū)塊鏈是比特幣等密碼貨幣的底層技術(shù)，作為一個由所有參與方共同維護的公共賬本，由于賬本是公開透明的，所以任何人都能查看其中任意一筆交易。此外，它通過共識機制實現(xiàn)了去中心、不可篡改的交易記錄，并可以進一步通過腳本或智能合約實現(xiàn)復雜的、強制執(zhí)行的交易。因此，這一技術(shù)在金融、證券、保險、醫(yī)療、IT等領(lǐng)域受到了廣泛重視和初步應(yīng)用。

目前，解決PKI的脆弱性的方案已有許多，其中，以日志為基礎(chǔ)的方案是最有效的辦法。使用公開追加日志記錄當前所有有效的證書，以便能快速找到任何惡意的證書頒發(fā)或撤銷，諸如AKI、ARPKI、EICT和DTKI等方案都遵循這種方法。但是，在這些方案中，一些實體需要維護一個或多個日志來記錄所有證書，CA和其他相關(guān)實體也需要監(jiān)控彼此的活動，這不可避免地造成PKI系統(tǒng)的通信成本過高，操作和交互復雜，使其在效率和功能等方面存在諸多缺點。

中國專利文獻CN 106789090A公開了一種基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施系統(tǒng)及半隨機聯(lián)合證書簽名方法，系統(tǒng)由用戶Client、Web服務(wù)器和若干證書授權(quán)中心CA組成；若干證書授權(quán)中心CA組成CA聯(lián)盟，所述Web服務(wù)器向若干證書授權(quán)中心CA申請證書，若干證書授權(quán)中心CA聯(lián)合簽名后，將證書存儲在區(qū)塊鏈中，存儲完成之后，證書授權(quán)中心CA將證書頒發(fā)給Web服務(wù)器，然后用戶Client與Web服務(wù)器進行TLS連接時，用戶Client需要驗證Web服務(wù)器的證書的合法性。但是，在該專利中，1、證書存儲在公鑰基礎(chǔ)設(shè)施外的區(qū)塊鏈系統(tǒng)中，但并非所有的區(qū)塊鏈系統(tǒng)均可信，這將導致整個公鑰基礎(chǔ)設(shè)施不安全；2、證書頒發(fā)操作需要多個CA之間協(xié)同進行聯(lián)合簽名，通信開銷大，效率較低；3、每一個區(qū)塊均需要存儲完整的證書撤銷列表，以保證證書撤銷信息的正確性，這導致了極大的存儲和通信開銷；4、client證書驗證過程復雜，須驗證證書本身、區(qū)塊鏈中的記錄以及證書撤銷列表，效率較低。

設(shè)計一種可追責、靈活有效、去中心化的PKI方法是網(wǎng)絡(luò)安全的迫切需求，具有重要的意義和巨大的應(yīng)用價值。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施系統(tǒng)；

本發(fā)明還提供了證書管理方法；