本發(fā)明公開了一種數(shù)字證書管理方法和裝置，涉及計算機技術領域。該方法的一具體實施方式包括：接收用戶發(fā)送的數(shù)字證書生成請求；根據(jù)所述數(shù)字證書應用場景，確定預設的與所述數(shù)字證書應用場景對應的門限值；將所述第一用戶信息廣播至區(qū)塊鏈上，以使得知曉所述門限值對應的聚合公鑰的區(qū)塊鏈節(jié)點，使用所述區(qū)塊鏈節(jié)點的私鑰分量對所述第一用戶信息進行簽名，以生成第一簽名信息，所述門限值對應的聚合公鑰是基于簽名生成算法聚合所述區(qū)塊鏈節(jié)點的公鑰分量而生成的；聚合所述第一簽名信息以為所述用戶生成數(shù)字證書。實施方式實現(xiàn)了提高了數(shù)字證書管理的安全性及不同應用場景下數(shù)字證書簽發(fā)的適用性。

技術領域

本發(fā)明涉及計算機技術領域，尤其涉及一種數(shù)字證書管理方法和裝置。

背景技術

CA(Certificate Authority，認證中心)作為PKI(Public Key Infrast ructure，公鑰基礎設施)中的重要組成部分，負責簽發(fā)可以識別用戶身份的數(shù)字證書。用于簽發(fā)數(shù)字證書的CA私鑰一旦泄露，則由該CA簽發(fā)的所有數(shù)字證書都將失去效力，因而保證CA私鑰的安全性是整個PKI安全的核心。

為提高CA私鑰的安全，提出了多方共同管理CA的方案。但是在目前實現(xiàn)的多方共同管理CA的場景中，每一個管理成員均可根據(jù)自身需求簽發(fā)數(shù)字證書，由于缺乏其他管理成員的監(jiān)督或統(tǒng)一的協(xié)調(diào)監(jiān)管機制，任何一方對CA私鑰的使用不當均有可能引入不可控的外界風險。此外，實際負責運維CA的管理成員或引入的第三方CA管理者對CA的控制能力偏高，容易因管理失當引起CA私鑰泄露，造成整個CA的不可信。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例提供了一種數(shù)字證書管理方法和裝置，能夠實現(xiàn)多方管理成員對數(shù)字證書簽發(fā)私鑰的共同管控，避免因任一方管理成員管理失當造成的私鑰泄露問題，且可以根據(jù)數(shù)字證書的應用場景確定具體參與數(shù)字證書的管理成員，進一步提高了數(shù)字證書簽發(fā)的安全性。

為實現(xiàn)上述目的，根據(jù)本發(fā)明的一個方面，提供了一種數(shù)字證書管理方法，包括：

接收用戶發(fā)送的數(shù)字證書生成請求，所述數(shù)字證書生成請求指示了所述用戶的第一用戶信息及數(shù)字證書應用場景；

根據(jù)所述數(shù)字證書應用場景，確定預設的與所述數(shù)字證書應用場景對應的門限值，所述門限值指示了所有區(qū)塊鏈節(jié)點中參與生成數(shù)字證書的區(qū)塊鏈節(jié)點的數(shù)量；

將所述第一用戶信息廣播至區(qū)塊鏈上，以使得知曉所述門限值對應的聚合公鑰的區(qū)塊鏈節(jié)點，使用所述區(qū)塊鏈節(jié)點的私鑰分量對所述第一用戶信息進行簽名，以生成第一簽名信息，所述門限值對應的聚合公鑰是基于簽名生成算法聚合所述區(qū)塊鏈節(jié)點的公鑰分量而生成的；

聚合所述第一簽名信息以為所述用戶生成數(shù)字證書。

可選地，還包括：

將所述數(shù)字證書上傳至區(qū)塊鏈，以供區(qū)塊鏈節(jié)點或智能合約根據(jù)所述門限值對應的聚合公鑰對所述數(shù)字證書進行驗證。

可選地，還包括：

接收用戶發(fā)送的數(shù)字證書撤銷請求，所述數(shù)字證書撤銷請求指示了所述用戶的第二用戶信息及待撤銷數(shù)字證書；

根據(jù)生成所述待撤銷數(shù)字證書時的門限值，將所述第二用戶信息廣播至區(qū)塊鏈上，以使得參與生成所述門限值對應的聚合公鑰的區(qū)塊鏈節(jié)點，使用所述區(qū)塊鏈節(jié)點的私鑰分量對所述第二用戶信息進行簽名，以生成第二簽名信息；

聚合所述第二簽名信息以生成所述待撤銷數(shù)字證書對應的撤銷憑證。

可選地，還包括：

將所述撤銷憑證上傳至區(qū)塊鏈，以供區(qū)塊鏈節(jié)點或智能合約根據(jù)所述門限值對應的聚合公鑰對所述撤銷憑證進行驗證。

可選地，在接收用戶發(fā)送的數(shù)字證書生成請求之前，還包括：