本發明公開了一種基于聯盟鏈的數字證書生命周期管理方法，改善了傳統PKI系統的單點故障問題。該發明分為證書上鏈、鏈上證書更新和證書吊銷三部分，包括：終端發起證書上鏈的請求A或鏈上證書更新的請求B給相應的背書節點，背書節點根據接收到的請求消息判斷終端發起的請求屬于哪一類交易提案，并完成對請求消息的驗證，證書上鏈和鏈上證書更新所需的驗證分別為驗證過程A和驗證過程B，得到第一驗證結果；證書吊銷包括背書節點中的證書吊銷服務器執行智能合約C發起吊銷證書的交易，執行結束后，背書節點對得到的背書結果簽名，將簽名結果廣播給排序節點。該技術減少了證書吊銷占用的大量內存，證書吊銷更具實時性和可靠性。

技術領域

本發明涉及信息安全技術領域，特別是涉及一種基于聯盟鏈的數字證書生命周期管理方法。

背景技術

數字證書是一種具有特殊結構的電子文件，由證書頒發機構(CertificateAuthority,CA)進行數字簽名并發布，含有擁有者身份信息、公鑰信息和頒發機構的數字簽名等內容。數字證書相當于一個電子身份證，終端設備在相互進行通信時就使用數字證書證明自己的身份，并識別對方的身份。傳統的對數字證書生命周期的管理，依賴于公鑰基礎設施(Public Key Infrastructure,PKI)。此PKI體系一般由根CA及其子CA構成，根CA負責向一些子CA簽發證書，最后一級CA負責終端設備證書的管理。但由于CA中心化程度高，一旦出現單點故障將會造成不可估量的損失，且傳統PKI在吊銷機制方面存在效率較低的問題，使得傳統數字證書管理機制存在一些弊端。

區塊鏈是指將數據區塊按照生成的時間順序排列成的鏈式結構，其中區塊用來記錄交易的具體信息。區塊鏈具有去中心化、防篡改等特性，其通過共識機制保證分布式節點的互信，全網的節點共同維護鏈上數據的安全，且網絡中每個節點都是對等的，擁有區塊鏈分布式賬本中的所有數據。區塊鏈被分為公有鏈、聯盟鏈和私有鏈，其中聯盟鏈規定只有授權的組織才可以加入到此網絡中，賬本上的數據也只有參與聯盟的節點可以訪問和更改，聯盟鏈的此特點為數字證書生命周期的管理提供了新思路。因此，將區塊鏈運用到數字證書生命周期的管理中已經引起廣泛的關注和研究。

但是，現有的基于區塊鏈的數字證書管理方案仍存在不足，將證書存儲在公有鏈上，進行證書的查詢管理。但這種方式仍然存在內容終端身份信息透明度高、鏈上的節點可靠性低、認證效率低的問題。麻省理工大學學者提出的分布式系統Certcoin為世界上第一個采用區塊鏈技術的PKI系統，通過此區塊鏈系統對證書進行注冊、更新、恢復和撤銷，使用比特幣進行交易，并運用密碼累加器對用戶的公鑰進行驗證。但是此方案將終端用戶的身份與公鑰關聯會造成其身份信息公開并遭到竊取，無法進行廣泛的實際應用。Zhiguo Wan等人提出的基于區塊鏈技術的PKI系統BKI在區塊鏈上存儲事務，實現證書的頒發、更新和撤銷。該鏈由多個可信的日志維護者管理，減少了漏洞的出現。但是由于需要第三方維護者進行驗證，出現了多余的時間耗費問題。IKP是一個自動化的對未經授權的證書響應的平臺，通過制定智能合約對CA提供正確頒發數字證書的激勵，錯誤頒發證書的經濟處罰，并為其它報告未經授權的證書的節點提供激勵，這樣可以提高平臺交易的合法性。同時該系統制定了相應的域證書策略DCPs對該域證書的標準進行規定，最終在以太坊上實現了IKP。但是該系統由于其信息公開的特性仍然會有作惡節點冒充身份的可能，其安全性不能完全保證。Wang Z等人提出的區塊鏈系統實現了撤銷證書透明，將證書撤銷過程記錄在區塊鏈中。其中區塊鏈中的證書事務都有一個有效期，比發布的證書有效期短，因此一個證書在其生命周期中可能會發布幾次，其更新后的撤銷狀態也會反映在證書事務中。當一個證書被撤銷并且服務器在它到期之前將其從下一個事務中排除時，相應的證書吊銷列表(Certificate Revocation List,CRL)文件或在線證書狀態協議(Online CertificateStatus Protocol,OCSP)響應將被包含在內，所以CA的撤銷操作也被公開地記錄在區塊鏈中。但此方法仍需要CA向終端用戶發布CRL文件或OCSP響應，其中心化程度較高，易受到攻擊。

基于此，研究基于聯盟鏈的數字證書管理方案意義重大。

發明內容