在区块链上撤销环签名证书的方法、装置及存储介质.pdf

上传人:二狗 文档编号:11457415 上传时间:2021-09-27 格式:PDF 页数:15 大小:641.70KB
收藏 版权申诉 举报 下载
在区块链上撤销环签名证书的方法、装置及存储介质.pdf_第1页
第1页 / 共15页
在区块链上撤销环签名证书的方法、装置及存储介质.pdf_第2页
第2页 / 共15页
在区块链上撤销环签名证书的方法、装置及存储介质.pdf_第3页
第3页 / 共15页
文档描述:

《在区块链上撤销环签名证书的方法、装置及存储介质.pdf》由会员分享,可在线阅读,更多相关《在区块链上撤销环签名证书的方法、装置及存储介质.pdf(15页完成版)》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910219145.3 (22)申请日 2019.03.21 (71)申请人 平安科技 (深圳) 有限公司 地址 518000 广东省深圳市福田街道福安 社区益田路5033号平安金融中心23楼 (72)发明人 霍云 (74)专利代理机构 北京中强智尚知识产权代理 有限公司 11448 代理人 黄耀威 (51)Int.Cl. H04L 9/32(2006.01) G06Q 40/04(2012.01) (54)发明名称 在区块链上撤销环签名证书的方法、 装置及 存储介质 (5。

2、7)摘要 本发明涉及一种在区块链上撤销环签名证 书的方法、 装置及存储介质, 用以解决相关技术 中在撤销环签名证书时需要保证撤销该证书的 机构与该证书的颁发机构一致的问题, 该方法包 括: 选择区块链系统中的至少一个第二CA机构与 所述第一CA机构构成与所述第一机构对应的环, 第一CA机构以及第二CA机构为环的环成员; 生成 随机数; 基于环的所有环成员各自的公钥、 随机 数、 预设消息以及第一CA机构的私钥进行环签名 计算, 得到环签名; 使用环签名对待签名证书进 行签名, 得到环签名证书; 在确定撤销环签名证 书时, 公布在对环签名证书进行环签名时参与环 签名计算的随机数; 撤销环签名证书。

3、。 本发明便 于数字证书的验证方设备对环签名证书的撤销 信息的验证。 权利要求书2页 说明书8页 附图4页 CN 110113166 A 2019.08.09 CN 110113166 A 1.一种在区块链上撤销环签名证书的方法, 其特征在于, 所述方法应用于第一认证授 权CA机构的服务器, 所述方法包括: 选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构 对应的环, 所述第一CA机构以及所述第二CA机构为所述环的环成员; 生成随机数; 基于所述环的所有环成员各自的公钥、 所述随机数、 预设消息以及所述第一CA机构的 私钥进行环签名计算, 得到环签名; 使用所述环。

4、签名对待签名证书进行签名, 得到所述环签名证书; 在确定撤销所述环签名证书时, 公布在对所述环签名证书进行环签名时参与环签名计 算的所述随机数, 以使所述环签名证书的验证方设备基于环签名验证算法根据所述随机 数、 参与所述环签名计算的各环成员的公钥、 各所述公钥参与环签名计算的顺序以及所述 预设消息, 确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致; 撤销所述环签名证书。 2.根据权利要求1所述的方法, 其特征在于, 所述公布在对所述环签名证书进行环签名 时参与环签名计算的所述随机数, 包括: 将所述环签名证书的序列号以及所述随机数加入证书撤销列表CRL中; 使用预设私钥签发所述C。

5、RL。 3.根据权利要求2所述的方法, 其特征在于, 将所述随机数加入所述CRL中, 包括: 将所述随机数写入所述CRL的自定义扩展项中。 4.根据权利要求2所述的方法, 其特征在于, 所述使用所述预设私钥签发所述CRL之后, 还包括: 将所述CRL发布到区块链系统上。 5.根据权利要求2所述的方法, 其特征在于, 所述预设私钥包括所述第一CA机构用于签 发所述环签名证书的私钥。 6.根据权利要求1所述的方法, 其特征在于, 所述公布在对所述环签名证书进行环签名 时参与环签名计算的随机数, 包括: 在区块链系统上公布所述环签名证书的证书撤销信息, 所述证书撤销信息中包括所述 随机数。 7.根据。

6、权利要求2至6任一项所述的方法, 其特征在于, 所述使用预设私钥签发所述CRL 之前, 还包括: 获取所述CRL中其他数字证书的有效期; 在所述其他数字证书的有效期到达后, 在所述CRL中删除该数字证书的信息。 8.一种在区块链上撤销环签名证书的装置, 其特征在于, 所述装置应用于第一认证授 权CA机构的服务器, 所述装置包括: 选择模块, 用于选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所 述第一CA机构对应的环, 所述第一CA机构以及所述第二CA机构为所述环的环成员; 生成模块, 用于生成所述随机数; 计算模块, 用于基于所述环的所有环成员各自的公钥、 所述随机数、 预设。

7、消息以及所述 第一CA机构的私钥进行环签名计算, 得到环签名; 权利要求书 1/2 页 2 CN 110113166 A 2 签名模块, 用于使用所述环签名对待签名证书进行签名, 得到所述环签名证书; 公布模块, 用于在确定撤销所述环签名证书时, 公布在对所述环签名证书进行环签名 时参与环签名计算的所述随机数, 以使所述环签名证书的验证方设备基于环签名验证算法 根据所述随机数、 参与所述环签名计算的各环成员的公钥、 各所述公钥参与环签名计算的 顺序以及所述预设消息, 确定撤销该环签名证书的机构与签发该环签名证书的机构是否一 致; 撤销模块, 用于撤销所述环签名证书。 9.一种在区块链上撤销环签。

8、名证书的装置, 其特征在于, 包括: 存储器和处理器, 所述存储器中存储有计算机可读指令, 所述计算机可读指令被所述 处理器执行时, 使得所述处理器执行如权利要求1至7中任一项权利要求所述的在区块链上 撤销环签名证书的方法的步骤。 10.一种非临时性计算机可读存储介质, 当所述存储介质中的指令由处理器执行时, 使 得处理器能够执行根据权利要求1至7任一项所述的在区块链上撤销环签名证书的方法的 步骤。 权利要求书 2/2 页 3 CN 110113166 A 3 在区块链上撤销环签名证书的方法、 装置及存储介质 技术领域 0001 本发明涉及信息安全技术领域, 特别是涉及一种在区块链上撤销环签名。

9、证书的方 法、 装置及存储介质。 背景技术 0002 目前, 区块链系统使用CA(Certificate Authority, 认证授权)机构签发数字证书 以标识节点和用户身份。 不同的节点和用户属于不同的机构, 通常机构使用自身的CA机构 为节点和用户签发数字证书。 在区块链系统包括多个CA机构的情况下, 数字证书的签发机 构会公开用户的渠道信息, 例如公开数字证书的实际颁发机构。 在一些业务场景中, 参与链 上交易的机构不希望公开用户的渠道信息。 CA机构使用环签名技术对数字证书进行签名得 到的环签名证书, 可以隐藏用户与数字证书的实际颁发机构之间的关系, 环签名证书的获 取方基于该环签名。

10、证书仅可获知该证书由多个CA机构共同签发, 而无法获知该证书的实际 颁发机构。 对于一般的数字证书来说, 在撤销该数字证书时, 可由该数字证书的颁发机构对 该证书进行撤销, 但由于环签名证书隐藏了证书的实际颁发机构, 所以环签名证书的验证 方设备在对环签名证书进行验证时, 无法对其撤销信息的合法性进行验证。 发明内容 0003 本发明提供了一种在区块链上撤销环签名的方法、 装置及存储介质, 用以解决相 关技术中由于环签名证书隐藏了证书的实际签发机构导致环签名证书的验证方设备在对 环签名证书进行验证时, 无法验证该证书的撤销信息的有效性的问题。 0004 根据本发明的第一个方面, 提供了一种在区。

11、块链上撤销环签名证书的方法, 所述 方法应用于第一认证授权CA机构的服务器, 所述方法包括: 选择区块链系统中的至少一个 第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环, 所述第一CA机构以及所述 第二CA机构为所述环的环成员; 生成随机数; 基于所述环的所有环成员各自的公钥、 所述随 机数、 预设消息以及所述第一CA机构的私钥进行环签名计算, 得到环签名; 使用所述环签名 对待签名证书进行签名, 得到所述环签名证书; 在确定撤销所述环签名证书时, 公布在对所 述环签名证书进行环签名时参与环签名计算的所述随机数, 以使所述环签名证书的验证方 设备基于环签名验证算法根据所述随机数、。

12、 参与所述环签名计算的各环成员的公钥、 各所 述公钥参与环签名计算的顺序以及所述预设消息, 确定撤销该环签名证书的机构与签发该 环签名证书的机构是否一致; 撤销所述环签名证书。 0005 可选地, 所述公布在对所述环签名证书进行环签名时参与环签名计算的所述随机 数, 包括: 将所述环签名证书的序列号以及所述随机数加入CRL(Certificate Revocation List, 证书撤销列表)中; 使用预设私钥签发所述CRL。 0006 可选地, 将所述随机数加入所述CRL中, 包括: 将所述随机数写入所述CRL的自定义 扩展项中。 0007 可选地, 所述使用所述预设私钥签发所述CRL之后。

13、, 还包括: 将所述CRL发布到区块 说明书 1/8 页 4 CN 110113166 A 4 链系统上。 0008 可选地, 所述预设私钥包括所述第一CA机构用于签发所述环签名证书的私钥。 0009 可选地, 所述公布在对所述环签名证书进行环签名时参与环签名计算的随机数, 包括: 在区块链系统上公布所述环签名证书的证书撤销信息, 所述证书撤销信息中包括所 述随机数。 0010 可选地, 所述使用预设私钥签发所述CRL之前还包括: 获取所述CRL中其他数字证 书的有效期; 在所述其他数字证书的有效期到达后, 在所述CRL中删除该数字证书的信息。 0011 根据本发明的第二个方面, 提供了一种在。

14、区块链上撤销环签名证书的装置, 所述 装置应用于第一认证授权CA机构的服务器, 所述装置包括: 选择模块, 用于选择区块链系统 中的至少一个第二CA机构与所述第一CA机构构成与所述第一CA机构对应的环, 所述第一CA 机构以及所述第二CA机构为所述环的环成员; 生成模块, 用于生成所述随机数; 计算模块, 用于基于所述环的所有环成员各自的公钥、 所述随机数、 预设消息以及所述第一CA机构的 私钥进行环签名计算, 得到环签名; 签名模块, 用于使用所述环签名对待签名证书进行签 名, 得到所述环签名证书; 公布模块, 用于在确定撤销所述环签名证书时, 公布在对所述环 签名证书进行环签名时参与环签名。

15、计算的所述随机数, 以使所述环签名证书的验证方设备 基于环签名验证算法根据所述随机数、 参与所述环签名计算的各环成员的公钥、 各所述公 钥参与环签名计算的顺序以及所述预设消息, 确定撤销该环签名证书的机构与签发该环签 名证书的机构是否一致; 撤销模块, 用于撤销所述环签名证书。 0012 根据本发明的第三个方面, 提供了一种在区块链上撤销环签名证书的装置, 包括: 存储器和处理器, 所述存储器中存储有计算机可读指令, 所述计算机可读指令被所述处理 器执行时, 使得所述处理器执行如本发明第一个方面所述的在区块链上撤销环签名证书的 方法的步骤。 0013 根据本发明的第四个方面, 提供了一种非临时。

16、性计算机可读存储介质, 当所述存 储介质中的指令由处理器执行时, 使得处理器能够执行根据如本发明第一个方面所述的在 区块链上撤销环签名证书的方法的步骤。 0014 本发明实施例的在区块链上撤销环签名证书的方法、 装置及存储介质, 通过在撤 销环签名证书时公布参与环签名计算的随机数, 使得环签名证书的验证方设备可根据该随 机数确定环签名证书的实际签发机构, 从而通过验证该证书的撤销机构与该实际签发机构 是否一致来验证环签名证书撤销信息的合法性的验证, 可使得环签名证书的验证方能够方 便快捷地对证书撤销信息的合法性进行验证。 附图说明 0015 此处所说明的附图用来提供对本申请的进一步理解, 构成。

17、本申请的一部分, 本申 请的示意性实施例及其说明用于解释本申请, 并不构成对本申请的不当限定。 在附图中: 0016 图1是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程 图; 0017 图2是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程 图; 0018 图3是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框 说明书 2/8 页 5 CN 110113166 A 5 图; 0019 图4是根据一示例性实施例示出的一种公布模块的框图; 0020 图5是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框 图。 具体实施方式 0021 。

18、为了使本发明的目的、 技术方案及优点更加清楚明白, 以下结合附图及实施例, 对 本发明进行进一步详细说明。 应当理解, 此处所描述的具体实施例仅仅用以解释本发明, 并 不用于限定本发明。 0022 在对本发明的在区块链上撤销环签名证书的方法进行说明之前, 首先对该方法一 个实施场景进行示例性说明。 在签发环签名证书时, 该证书的实际签发机构在进行环签名 计算时, 可生成一个随机数, 使用该随机数参与环签名计算, 从而可以使得签名结果具有一 定随机性, 即对相同的数据进行环签名, 如每次进行环签名时计算所使用的数值不同, 则每 次签名所产生的签名结果不同, 相对于每次使用相同数值进行环签名计算所。

19、产生相同签名 结果的算法来说安全性更高。 但由于数字证书签发机构在对证书进行签名时使用了环签名 算法, 故在签发的证书中隐藏了证书的实际签发机构。 而在交易过程中, 签名的验证方设备 需验证签名的合法性, 在对环签名进行验证之前时, 需先验证该环签名证书的合法性, 例 如, 验证该环签名证书是否过期, 或验证该证书是否已被撤销等, 如果该证书本身已被撤销 或已经过期, 则该证书中的环签名同样是无效的, 在验证环签名证书的证书撤销信息的合 法性时, 需验证撤销该信息的机构是否与签发该证书的机构一致, 如果二者一致, 认为证书 的撤销信息是合法的, 否则, 可认为证书的撤销信息不合法。 而由于该证。

20、书采用了环签名方 式隐藏了该证书的实际签发机构, 故验证方设备需先获知证书的实际签发机构, 基于此, 在 本发明的实施例中, 可通过向验证方设备公开参与环签名证书的环签名计算的随机数, 使 得验证方设备在获得该随机数后, 可基于该随机数、 参与环签名计算的各环成员的公钥, 以 及各公钥参与环签名计算的顺序, 环签名计算所使用的消息基于环签名验证算法, 确定撤 销该环签名证书的机构与签发该环签名证书的是否机构一致, 从而可验证证书的撤销信息 的合法性。 0023 图1是根据一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程 图, 所述方法应用于第一CA机构的服务器, 即该方法可由第一C。

21、A机构执行, 该第一CA机构所 述环签名证书的实际颁发机构, 如图1所示, 该方法包括如下步骤: 0024 步骤101: 选择区块链系统中的至少一个第二CA机构与所述第一CA机构构成与所 述第一CA机构对应的环, 所述第一CA机构以及所述第二CA机构为所述环的环成员; 0025 其中, 第二CA机构可以是已在区块链系统上发布根证书或中间证书的任意CA机 构。 0026 步骤102: 生成随机数; 0027 步骤103: 基于所述环的所有环成员各自的公钥、 所述随机数、 预设消息以及所述 第一CA机构的私钥进行环签名计算, 得到环签名; 0028 步骤104: 使用所述环签名对待签名证书进行签名。

22、, 得到所述环签名证书; 0029 步骤105: 在确定撤销环签名证书时, 公布在对所述环签名证书进行环签名时参与 说明书 3/8 页 6 CN 110113166 A 6 环签名计算的随机数, 以使所述环签名证书的验证方设备基于环签名验证算法根据所述随 机数、 参与所述环签名计算的各环成员的公钥、 各所述公钥参与环签名计算的顺序以及所 述预设消息, 确定撤销该环签名证书的机构与签发该环签名证书的机构是否一致; 0030 为了便于后续签名验证方设备对该环签名证书的合法性进行验证, 在对待签名证 书进行环签名时, 可在该环签名证书的证书内容中包括环成员的公钥信息, 例如可包括各 环成员的各公钥以。

23、及各公钥参与环签名计算的顺序。 例如, 可在环签名证书的自定义扩展 项, 或环签名证书的主体中携带各环成员的各公钥(或公钥标识), 以及各公钥参与环签名 计算的顺序。 此外, 由于第一CA机构每次进行环签名所使用的随机数有可能不同, 故, 第一 CA机构在每次签发环签名证书之后, 可记录该证书的标识与随机数据的对应关系, 例如, 可 记录该证书的序列号与随机数的对应关系。 0031 以下通过一个例子对第一CA机构签发环签名证书的过程进行示例性说明。 在该例 子中, 第一CA机构对待签名数字证书进行环签名的过程可包括: 构成环的各CA机构分别具 有对应的公钥和私钥组成的密钥对, 例如, 构成环的。

24、各CA机构可预先自行通过非对称加密 算法生成代表自身身份的公私钥对, 例如, CA1机构、 CA2机构, , CAn机构的公私钥对分别 为(P1,S1), (P2,S2), , (Pn,Sn), 其中, P1,P2,Pn依次为各环成员的公钥或公钥标识, S1,S2,Sn依次为各环成员的私钥。 在CA1机构为用户或节点签发数字证书时, 可基于消息 m、 各环成员的公钥(P1,P2, ,Pn)以及一个私钥(在本实施例中, 该私钥为CA1机构的私钥 S1)基于环签名算法进行计算得到环签名, 输入参数为(m,Si,P1,Pn), 其中, 各环成员的 公钥参与环签名计算的顺序为(P1,P2,Pn), 在。

25、后续环签名证书的验证方验证该环签名 时, 需要使用与生成该环签名时同样的公钥顺序(P1,P2,Pn), 故可将各环成员的公钥参 与环签名计算的顺序作为各环成员的公钥信息保存在环签名证书中。 0032 在环签名证书用户的个人身份信息发生变化, 或其持有的私钥丢失或者被破坏 时, 用户可向之前申请该环签名证书的CA机构, 例如向上述第一CA机构申请撤销该环签名 证书, 但由于环签名证书隐藏了该证书的实际颁发机构, 故从环签名证书中仅可获知该证 书由够成环的多个CA机构共同签发, 在该种情况下, 用户向该多个CA机构发出撤销该证书 的申请, 例如, 用户可通过Web客户端基于Web服务器向该多个CA。

26、机构发出撤销申该证书的 申请。 由于CA机构在签发数字证书后, 通常会保留所有本机构已签发的数字证书及该数字 证书的签发记录, 故该环签名证书的实际签发机构, 即第一CA机构, 可根据自身存储的证书 签发记录确认该环签名证书是由自身签发的。 用户可作为撤销证书的申请方通过向第一CA 机构提供申请该证书时使用的身份证明信息, 第一CA机构在对这些信息进行审核并确认用 户的身份后, 确定撤销环签名证书, 即可发起撤销环签名证书业务。 例如, 在第一CA机构确 认发起证书撤销申请的请求方的身份与申请证书时的请求方身份一致时, 第一CA机构可发 起撤销环签名证书的业务, 撤销该证书, 证书被撤销表示该。

27、证书生命周期的终结, 第一CA机 构在撤销环签名证书后, 可向申请撤销该证书的用户返回证书撤销结果, 以通知用户该证 书已被注销, 例如, 可直接在客户端上呈现证书已被成功注销的信息。 另外, 在一些特殊场 景下, 环签名证书也可能在其失效日期之前被撤销, 例如, 第一CA机构获知环签名证书的用 户没有按时向第一CA机构缴纳年费, 或者环签名证书的用户擅自将证书进行了第一CA机构 所不允许的用途且被第一CA机构发现, 或者政府机关等权力部门(超出PKI(Public Key Infrastructure, 公钥基础设施)系统技术范畴但是具有法律行政权力的部门单位)提出对 说明书 4/8 页 7。

28、 CN 110113166 A 7 尚处于有效期内的该环签名证书的撤销要求, 第一CA机构可确定需撤销该证书, 可主动发 起对用户的环签名证书的撤销业务, 在撤销该证书后, 可将该证书的证书撤销信息发布至 区块链系统上, 或者可签发CRL, 在CRL中记录该证书的证书撤销信息。 0033 步骤106: 撤销所述环签名证书。 0034 在步骤106中, 撤销所述环签名证书可包括, 第一CA机构修改并记录该环签名证书 的状态, 例如, 将该环签名证书的状态由有效修改为已撤销状态, 第一CA机构可签发新的 CRL, 可在该CRL中包括该证书的信息, 用以标识该证书, 例如, 可在CRL中包括该证书的。

29、序列 号, 同时, 该CRL中还可包括第一CA机构在一段时间内撤销的其他数字证书的信息, 例如, 可 包括这些被撤销的数字证书的序列号, 被列入CRL的数字证书可被认为是不能再使用的数 字证书, 即意味着该数字证书失效, 但这些证书仍存在着被非法使用的可能性, 故数字证书 的验证方可通过对数字证书的CRL进行验证来确保该证书已被撤销。 此外, CRL中还可包括 数字证书被撤销的理由, 或者还可包括数字证书被确认为已撤销状态的起始时间, 例如起 始日期, 假设该日期为2018年11月1日, 则表明该数字证书自该日起为撤销状态。 0035 在一种可实现方式中, 由于数字证书具有效期, 数字证书在该。

30、有效期达到之后即 失效, 故在被撤销的环签名证书的有效期到达之后, 可在CRL中删除该环签名证书的所有相 关信息, 基于此, 在使用预设私钥签发所述CRL之前, 上述方法还可包括: 获取所述CRL中其 他数字证书的有效期; 在所述其他数字证书的有效期到达后, 在所述CRL中删除该数字证书 的信息。 例如, 删除CRL中该环签名证书条目下的所有信息, 从而缩短CRL列表的长度, 第一 CA机构可在每次签发新的CRL时, 删除该CRL中记录的有效期已到达的数字证书的所有相关 信息, 还可以预设周期定期删除该CRL中记录的有效期已到达的数字证书的所有相关信息。 0036 本发明实施例的在区块链上撤销。

31、环签名证书的方法、 装置及存储介质, 通过在撤 销环签名证书时公布参与环签名计算的随机数, 使得环签名证书的验证方设备可根据该随 机数确定环签名证书的实际签发机构, 从而通过验证该证书的撤销机构与该实际签发机构 是否一致来验证环签名证书撤销信息的合法性的验证, 可使得环签名证书的验证方能够方 便快捷地对证书撤销信息的合法性进行验证 0037 在第一CA机构通过CRL文件管理环签名证书的撤销信息的情况下, 在撤销环签名 证书之前, 可签发新的CRL, 以在该新的CRL中记录被撤销的环签名证书的信息。 图2是根据 一示例性实施例示出的一种在区块链上撤销环签名证书的方法的流程图, 如图2所示, 在该。

32、 方法中, 公布在对所述环签名证书进行环签名时参与环签名计算的所述随机数可通过步骤 201以及步骤202实现, 步骤201, 将所述环签名证书的序列号以及所述随机数加入CRL中; 步 骤202: 使用预设私钥签发所述CRL。 在确定撤销所述环签名证书之后, 可生成CRL, 由于所述 CRL中包括环签名证书的序列号, 从而可通过公布该CRL, 公布环签名证书的撤销信息, 以使 该证书的撤销信息便于被获取。 其中, 第一CA机构可初始化和维持一个CRL, 该CRL中罗列着 已经被撤销的数字证书, 在第一CA机构签发新的CRL时, 可将当前确定撤销的环签名证书的 序号加入该CRL。 0038 在一种。

33、可实现方式中, 将所述随机数加入所述CRL中可包括: 将所述随机数写入所 述CRL的自定义扩展项中。 例如, 可将该随机数写入CRL的crlEntryExtensions(证书撤销列 表的入口扩展项)中。 此外, 还可在该CRL中指示该随机数与环签名证书的对应关系, 例如, 指示出该随机数与环签名证书的序列号之间唯一对应。 在一些使用场景中, 交易发起端设 说明书 5/8 页 8 CN 110113166 A 8 备为了确认数据或操作是由证书持有人发起的, 可对其发送的数据或执行的交易操作进行 签名, 而签名的验证方设备可通过使用证书中的公钥来验证签名的合法性, 在该证书使用 环签名的情况下,。

34、 在验证方设备对证书中的环签名进行验证时, 需先验证该环签名证书的 合法性, 例如, 验证该环签名证书是否过期, 或验证该证书是否已被撤销等, 如果该证书本 身已被撤销或已经过期, 则该证书中的环签名同样是无效的, 故在对证书中的环签名进行 验证之前, 可先验证环签名证书的证书撤销信息, 例如先对该证书的CRL进行验证。 在对环 签名证书的CRL进行验证时, 由于该证书采用了环签名方式, 隐藏了该证书的实际颁发机 构, 而使用参与对该证书进行环签名计算的一组CA机构的一组公钥(该一组公钥例如可包 括在环签名证书中)只能获知环签名证书的实际颁发机构为该一组CA机构中的其中一个CA 机构, 但并无。

35、法获知该证书的实际颁发机构具体是哪一个CA机构, 在此基础上, 再结合基于 参与环签名计算的随机数, 则可获知该环签名证书的实际颁发机构。 在获知环签名证书的 实际颁发机构后, 可以使用该机构的公钥验证CRL的有效性, 在经过验证后, 确认CRL有效 时, 验证方设备则可确认CRL中的证书撤销信息被认为是可信的, 表明该证书已被颁发机构 撤销。 将在对证书进行环签名时参与环签名计算的随机数写入被撤销的环签名证书的CRL, 可充分利用目前已有的CRL格式来携带该随机数, 无需对验证方设备进行系统改造, 即可使 其能够从CRL中获取该随机数, 方便了验证方设备对环签名证书的CRL的验证。 0039。

36、 在一种可实现方式中, 上述在区块链上撤销环签名证书的方法还可包括: 在使用 所述预设私钥签发所述CRL之后, 将所述CRL发布到区块链系统上。 以方便用户获取该CRL, 例如, 可通过网络, 包括Web、 FTP(File Transfer Protocol, 文件传输协议)或无线网络将 CRL发布到区块链系统上。 第一CA机构本地可通过CRL缓存机制缓存生成的该CRL。 其中, 环 签名证书的自定义扩展项中可包括该CRL的地址, 故验证方设备可根据该地址获取CRL, 从 而可获知该证书目前的状态, 例如, 在CRL中包括该证书的序列号时, 可确定该证书处于已 撤销状态, 在CRL中不包括该。

37、证书的序列号时, 确定该证书并未被注销。 例如, 用户可从区块 链系统上下载或查看该CRL, 从而基于该CRL中记录的证书的撤销信息获知证书的状态。 此 外, 为了避免第一CA机构频繁的向区块链系统发布CRL而造成第一CA机构运营成本的提高, 可设置第一CA机构每隔一个预设时间段, 将该时间段内更新的CRL列表(该列表中可记录有 该时间段内第一CA机构撤销的数字证书的序列号)发布至区块链系统上, 相应地, 第一CA机 构向区块链系统发布CRL时, 即可在第一CA机构的本地对该CRL进行缓存, 以确保本地保存 的是最新的CRL。 此外, 为了避免数字证书的撤销信息未及时发布而导致的风险, 该预设。

38、时 间段不宜过长, 例如, 可设置为1-5天。 0040 在一种可实现方式中, 在第一CA机构不通过CRL文件管理环签名证书的撤销信息 的情况下, 可直接发布该环签名证书的证书撤销信息, 基于此, 公布在对所述环签名证书进 行环签名时参与环签名计算的随机数可包括: 在区块链系统上公布所述环签名证书的证书 撤销信息, 所述证书撤销信息中包括所述随机数。 验证方设备在需要获知环签名证书的状 态时, 可从区块链系统获取该环签名证书的撤销信息, 例如, 可从区块链系统上查看或下载 该撤销信息, 同时, 还可从该撤销信息中获知参与该环签名证书的环签名计算的随机数, 基 于该随机数可获知环签名证书的实际颁。

39、发机构, 从而实现对环签名证书的撤销信息的验 证。 0041 在一种可实现方式中, 所述预设私钥包括所述第一CA机构用于签发所述环签名证 说明书 6/8 页 9 CN 110113166 A 9 书的私钥, 使得CRL的验证方设备在根据上述随机数获知了环签名证书的实际签发机构为 第一CA机构后, 可使用第一CA机构的公钥验证该CRL的合法性。 此外, 还可以使用第一CA机 构预先设置的专用于签发CRL的私钥签发该CRL, 该私钥可不同于第一CA机构用于签发数字 证书的私钥, 例如, 第一CA机构可预先通过非对称算法预先生成一对密钥对, 将该密钥对中 的私钥作为专用于签发CRL的私钥, 在需签发。

40、CRL时, 直接使用该私钥对CRL进行签发。 0042 图3是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框 图, 所述装置应用于第一认证授权CA机构, 用于实现上述在区块链上撤销环签名证书的方 法, 例如, 该装置可设置于第一CA机构中, 如图3所述, 该装置40包括如下组成部分: 0043 选择模块41, 用于选择区块链系统中的至少一个第二CA机构与所述第一CA机构构 成与所述第一CA机构对应的环, 所述第一CA机构以及所述第二CA机构为所述环的环成员; 0044 生成模块42, 用于生成所述随机数; 0045 计算模块43, 用于基于所述环的所有环成员各自的公钥、 所述随。

41、机数、 预设消息以 及所述第一CA机构的私钥进行环签名计算, 得到环签名; 0046 签名模块44, 用于使用所述环签名对待签名证书进行签名, 得到所述环签名证书; 0047 公布模块45, 用于在确定撤销环签名证书时, 公布在对所述环签名证书进行环签 名时参与环签名计算的随机数, 以使所述环签名证书的验证方设备基于环签名验证算法根 据所述随机数、 参与所述环签名计算的各环成员的公钥、 各所述公钥参与环签名计算的顺 序以及所述预设消息, 确定撤销该环签名证书的机构与签发该环签名证书的机构是否一 致; 0048 撤销模块46, 用于撤销所述环签名证书。 0049 本发明实施例的在区块链上撤销环签。

42、名证书的装置, 通过环签名证书的签发机构 在撤销环签名证书时公布参与环签名计算的随机数, 使得环签名证书的验证方设备可根据 该随机数获知环签名证书的实际签发机构, 从而实现对环签名证书撤销信息的合法性的验 证。 0050 图4是根据一示例性实施例示出的一种公布模块的框图, 如图4所示, 该公布模块 45可包括: 添加单元451, 用于在撤销所述环签名证书之前, 将所述环签名证书的序列号以 及所述随机数加入CRL中; 签发单元452, 用于使用预设私钥签发所述CRL。 0051 在一种可实现方式中, 所述添加单元可用于: 将所述随机数写入所述CRL的自定义 扩展项中。 0052 在一种可实现方式。

43、中, 所述装置还可包括: 发布模块, 用于在使用预设私钥签发所 述CRL之后, 将所述CRL发布到区块链系统上。 0053 在一种可实现方式中, 所述预设私钥包括所述第一CA机构用于签发所述环签名证 书的私钥。 0054 在一种可实现方式中, 所述公布模块可用于: 在区块链系统上公布所述环签名证 书的证书撤销信息, 所述证书撤销信息中包括所述随机数。 0055 在一种可实现方式中, 所述装置还可包括获取模块, 用于获取所述CRL中其他数字 证书的有效期; 0056 删除模块, 用于在所述其他数字证书的有效期到达后, 在所述CRL中删除该数字证 书的信息。 说明书 7/8 页 10 CN 110。

44、113166 A 10 0057 图5是根据一示例性实施例示出的一种在区块链上撤销环签名证书的装置的框 图。 例如, 装置600可以被提供为一服务器。 参照图5, 装置600包括处理器622, 其数量可以为 一个或多个, 以及存储器632, 用于存储可由处理器622执行的计算机程序。 存储器632中存 储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。 此外, 处理器 622可以被配置为执行该计算机程序, 以执行上述的在区块链上撤销环签名证书的方法。 0058 另外, 装置600还可以包括电源组件626和通信组件650, 该电源组件626可以被配 置为执行装置600的电源管理,。

45、 该通信组件650可以被配置为实现装置600的通信, 例如, 有 线或无线通信。 此外, 该装置600还可以包括输入/输出(I/O)接口658。 装置600可以操作基 于存储在存储器632的操作系统, 例如Windows ServerTM, Mac OS XTM, UnixTM,LinuxTM等 等。 0059 在另一示例性实施例中, 还提供了一种存储有计算机可读指令的非临时性计算机 可读存储介质, 例如包括程序指令的存储器632, 上述程序指令可由装置600的处理器622执 行以完成上述的在区块链上撤销环签名证书的方法的步骤。 0060 上述存储介质中还可以包括操作系统、 网络通信模块。 操。

46、作系统是管理计算机设 备硬件和软件资源的程序, 支持信息处理程序以及其它软件和/或程序的运行。 网络通信模 块用于实现存储介质内部各组件之间的通信, 以及与该实体设备中其它硬件和软件之间通 信。 0061 通过以上的实施方式的描述, 本领域的技术人员可以清楚地了解到本申请可以借 助软件加必要的通用硬件平台的方式来实现, 也可以通过硬件实现。 0062 本领域技术人员可以理解附图只是一个优选实施场景的示意图, 附图中的模块或 流程并不一定是实施本申请所必须的。 本领域技术人员可以理解实施场景中的装置中的模 块可以按照实施场景描述进行分布于实施场景的装置中, 也可以进行相应变化位于不同于 本实施场。

47、景的一个或多个装置中。 上述实施场景的模块可以合并为一个模块, 也可以进一 步拆分成多个子模块。 0063 上述本申请序号仅仅为了描述, 不代表实施场景的优劣。 以上公开的仅为本申请 的几个具体实施场景, 但是, 本申请并非局限于此, 任何本领域的技术人员能思之的变化都 应落入本申请的保护范围。 说明书 8/8 页 11 CN 110113166 A 11 图1 说明书附图 1/4 页 12 CN 110113166 A 12 图2 说明书附图 2/4 页 13 CN 110113166 A 13 图3 说明书附图 3/4 页 14 CN 110113166 A 14 图4 图5 说明书附图 4/4 页 15 CN 110113166 A 15 。

展开阅读全文
内容关键字: 区块 撤销 签名 证书 方法 装置 存储 介质
关于本文
本文标题:在区块链上撤销环签名证书的方法、装置及存储介质.pdf
链接地址:https://www.zhuanlichaxun.net/pdf/11457415.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1 
 


收起
展开