本發明公開了一種基于區塊鏈的PKI證書系統模型及證書管理方法，通過引入了RSA累加器技術，針對在PKI系統中引入區塊鏈而帶來的性能問題進行了優化。基于區塊鏈PKI系統模型，在不安全的互聯網環境中提供了透明度和追溯性，CA對數字證書的操作都由耦合的區塊鏈節點上傳到多方共同維護的區塊鏈上，具有去中心化，CA行為可追溯的特點。引入RSA累加器技術，通過知識證明方案，避免了在區塊鏈上存儲大量的數字證書，壓縮了存儲空間。針對數字證書管理全生命周期和RSA累加器的特性，提出了基于區塊鏈和雙重RSA累加器的數字證書管理辦法，所有PKI體系的參與者可以通過區塊鏈公開的累加器狀態，結合數字證書和對應的proof，在本地驗證數字證書的合法性。

技術領域

本發明屬于區塊鏈技術應用領域，主要涉及區塊鏈技術、密碼學RSA累加器，公鑰基礎設施(Public Key Infrastructure，PKI)及數字證書管理方法。

背景技術

隨著互聯網的發展和普及，網絡活動在人類日常活動中占據了越來愈大的比重。移動互聯網的發展使得人們能夠隨時通過終端進行通信，而電子商務和移動支付技術的發展讓經濟活動重心轉移到了線上。毋庸置疑，加強網絡安全建設對實際經濟具有至關重要的意義。

安全密鑰的生成和分發，是互聯網安全通信的基礎。PKI系統是目前網絡通信中最流行的解決方案，一個PKI系統包括證書機構CA、注冊機構RA、證書發布系統和PKI策略等，其通過實現基于公鑰加密的證書的生成、管理、分發和吊銷，提供了一種在互聯網上驗證身份的安全方法。隨著，PKI技術的不斷發展，PKI系統已經被廣泛應用于各種安全通信的場景，譬如電子商務、電子政務、網上銀行，以及越來越多的電子健康行業。

然而，近年來許多知名CA發生的安全事件暴露了傳統PKI系統結構的脆弱性。究其原因，當前的PKI結構，在對可信實體與數字身份綁定的過程中，由于過于依賴中心化的證書頒發機構，具有兩個致命的缺陷。其一，作為第三方的認證中心由于透明度不夠，其可信度無法保證。其二，若認證中心出現單點故障或密鑰泄露等問題，將導致用戶身份信息丟失甚至被篡改，甚至整個信任體系崩潰。

區塊鏈技術，是一種去中心化的分布式賬本技術，可以通過共識機制在不可信的公共環境中構建一個可信的分布式環境，將信任直接植入系統中而無需依賴可信的第三方，并使用加密算法來透明的記錄和校驗所有交易記錄。

區塊鏈技術有潛力解決傳統PKI結構中的問題。在區塊鏈系統中，參與者可以與認證機構、注冊機構等第三方機構共同管理和維護系統的運行，且所有過程透明課追溯，有效的防止了第三方濫用職權的隱患。考慮到這一點，本文基于區塊鏈，RSA累加器等技術，設計了一個基于區塊鏈的PKI系統模型，并在該系統基礎上，提出了其數字證書管理方法。

發明內容

本發明的主要目的是提出一種基于區塊鏈與RSA累加器的PKI證書系統模型和數字證書管理方法，將傳統PKI數字證書信任體系與區塊鏈相結合，旨在解決傳統PKI系統中的中心化問題，并通過引入了RSA累加器技術，針對在PKI系統中引入區塊鏈而帶來的性能問題進行了優化。其系統結構圖如圖1所示。

為了達到本發明的目的，本發明采用的技術方案為：一種基于區塊鏈的PKI數字證書系統模型和數字證書管理方法，其模型如圖2所示，主要包括以下角色：

1CA節點

CA節點是PKI系統中管理和維護數字證書的機構，提供數字證書的簽發、吊銷和更新操作。

2服務商

服務商是網絡服務的提供者，是證書請求的發起者，通過向CA節點發起證書申請獲得證書。

3用戶

用戶是網絡服務的請求者，用戶能夠根據服務器提供的數字證書及證明，結合區塊鏈上存儲的數據，檢驗數字證書的真實性和合法性。

4區塊鏈