本發(fā)明公開了一種證書管理方法及裝置，屬于通信技術(shù)領(lǐng)域。該證書管理方法包括：生成根證書頒發(fā)節(jié)點(diǎn)的公鑰和私鑰，并創(chuàng)建根證書結(jié)構(gòu)體；根據(jù)預(yù)設(shè)的根證書簽名字段和根證書頒發(fā)節(jié)點(diǎn)的私鑰，生成根證書簽名值，并將根證書簽名值和根證書頒發(fā)節(jié)點(diǎn)的公鑰填入根證書結(jié)構(gòu)體，生成根證書；在區(qū)塊鏈網(wǎng)絡(luò)中廣播根證書，以供子證書頒發(fā)節(jié)點(diǎn)接收根證書，并基于根證書簽發(fā)對(duì)應(yīng)的子證書，以避免根證書被惡意篡改，保障根證書與關(guān)聯(lián)的子證書的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種證書管理方法及裝置。

背景技術(shù)

數(shù)字證書是在互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一個(gè)數(shù)字認(rèn)證，人們可以在網(wǎng)絡(luò)中用它來識(shí)別對(duì)方的身份。負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)稱為證書頒發(fā)機(jī)構(gòu)(CA，Certificate Authority)。一般來說，CA機(jī)構(gòu)必須是相關(guān)行業(yè)和對(duì)應(yīng)公眾都信任和認(rèn)可的權(quán)威第三方。在實(shí)際應(yīng)用中，CA機(jī)構(gòu)不僅數(shù)量眾多，還具有不同的層級(jí)關(guān)系。因此，在CA認(rèn)證過程中，不僅需要對(duì)CA證書本身進(jìn)行驗(yàn)證，還需要對(duì)簽發(fā)該CA證書的CA機(jī)構(gòu)進(jìn)行驗(yàn)證。而且，如果簽發(fā)該CA證書的CA機(jī)構(gòu)存在上級(jí)CA機(jī)構(gòu)時(shí)，還需要進(jìn)一步對(duì)上級(jí)CA機(jī)構(gòu)進(jìn)行驗(yàn)證，直至根CA機(jī)構(gòu)。為此，用戶通常預(yù)先在客戶端中內(nèi)置根CA機(jī)構(gòu)對(duì)應(yīng)的根證書，以便于可以快捷地完成CA驗(yàn)證。但是，用戶內(nèi)置在客戶端中的根證書很容易遭遇黑客的攻擊，而一旦根CA證書被盜取或者被惡意篡改，則會(huì)影響與根證書相關(guān)的所有證書的安全性，進(jìn)而影響與這些證書相關(guān)的CA認(rèn)證。

因此，如何避免根證書被惡意篡改，提高根證書與關(guān)聯(lián)的子證書的安全性，成為本領(lǐng)域亟待解決的問題。

發(fā)明內(nèi)容

為此，本發(fā)明提供一種證書管理方法及裝置，以解決根證書容易被惡意篡改，導(dǎo)致根證書與關(guān)聯(lián)的子證書安全性無法保障，進(jìn)而影響相關(guān)CA驗(yàn)證的問題。

為了實(shí)現(xiàn)上述目的，本發(fā)明第一方面提供一種證書管理方法，應(yīng)用于根證書頒發(fā)節(jié)點(diǎn)，包括：

生成所述根證書頒發(fā)節(jié)點(diǎn)的公鑰和私鑰；

創(chuàng)建根證書結(jié)構(gòu)體；

根據(jù)預(yù)設(shè)的根證書簽名字段和所述根證書頒發(fā)節(jié)點(diǎn)的私鑰，生成根證書簽名值；

將所述根證書簽名值和所述根證書頒發(fā)節(jié)點(diǎn)的公鑰填入所述根證書結(jié)構(gòu)體，生成根證書；

在區(qū)塊鏈網(wǎng)絡(luò)中廣播所述根證書，以供子證書頒發(fā)節(jié)點(diǎn)接收所述根證書，并基于所述根證書簽發(fā)對(duì)應(yīng)的子證書。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的根證書簽名字段和所述根證書頒發(fā)節(jié)點(diǎn)的私鑰，生成根證書簽名值，包括：

對(duì)預(yù)設(shè)的所述根證書簽名字段進(jìn)行編碼，獲得根證書簽名字段編碼；

使用所述根證書頒發(fā)節(jié)點(diǎn)的私鑰對(duì)所述根證書簽名字段編碼進(jìn)行簽名，獲得所述根證書簽名值。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的根證書簽名字段和所述根證書頒發(fā)節(jié)點(diǎn)的私鑰，生成根證書簽名值之后，所述將所述根證書簽名值和所述根證書頒發(fā)節(jié)點(diǎn)的公鑰填入所述根證書結(jié)構(gòu)體，生成根證書之前，還包括：

確定所述根證書的證書類型和有效期；

將所述證書類型和所述有效期填入所述根證書結(jié)構(gòu)體。

進(jìn)一步地，所述將所述根證書簽名值和所述根證書頒發(fā)節(jié)點(diǎn)的公鑰填入所述根證書結(jié)構(gòu)體，生成根證書之后，所述在區(qū)塊鏈網(wǎng)絡(luò)中廣播所述根證書之前，還包括：

使用所述根證書頒發(fā)節(jié)點(diǎn)的私鑰對(duì)所述根證書進(jìn)行簽名。

為了實(shí)現(xiàn)上述目的，本發(fā)明第二方面提供一種證書管理方法，應(yīng)用于子證書頒發(fā)節(jié)點(diǎn)，包括：

接收所述子證書頒發(fā)節(jié)點(diǎn)對(duì)應(yīng)的根證書頒發(fā)節(jié)點(diǎn)在區(qū)塊鏈網(wǎng)絡(luò)廣播的根證書；

生成所述子證書頒發(fā)節(jié)點(diǎn)的公鑰；