[发明专利]一种实现CA互信的方法、装置、系统和电子设备

说明书

本发明提供一种实现CA互信的方法、装置、系统和电子设备，涉及通信技术领域，用以提高实现CA互信的灵活性。本发明的实现CA互信的方法包括：为证书请求方分配待签发实体证书；向所述系统中的其他CA实体请求对所述待签发实体证书进行共识；若确定所述其他CA实体对所述待签发实体证书的认证通过，则向所述证书请求方签发所述待签发实体证书，在所述待签发实体证书中包括区块链认证标记，其中所述区块链认证标记为所述区块链系统的标识；更新存储的区块链记录。利用本发明实施例的方案，提高了实现CA互信的灵活性。

技术领域

本发明涉及通信技术领域，尤其涉及一种实现CA互信的方法、装置、系统和电子设备。

背景技术

PKI(Public Key Infrastructure，公钥基础设施)在信息安全领域扮演着非常重要的角色。无论是使用HTTPS((Hyper Text Transfer Protocol over Secure SocketLayer，超文本传输协议安全)访问安全的网站，还是在数字商务/政务/办公领域经常用到的电子签名，都必须有PKI的支撑。

PKI的依赖方在验证对方证书时，需要构建相应的证书认证路径，而在路径中必须有一个信任起点，即信任锚。信任锚通常是被依赖方信任的CA(Certificate Authority，证书权威)的自签名证书。依赖方的信任锚数量通常是有限的。当对方证书对应的CA自签名证书不在依赖方的信任锚范围内时，依赖方就无法构建一个可信的证书认证路径，也就无法完成基于证书的保密通信或签名认证等操作。这就引出了CA互信的问题。

在现有的PKI实践中，解决CA互信问题的方法一般有如下三种：

列表方案：常见的权威列表有工信部《电子认证服务许可证》列表、微软公司RootCertificate Program维护的列表(也就是预置在Windows操作系统和IE浏览器中的CA列表)、以及北美WebTrust认证的列表等。

CA交叉认证方案(网状结构)：一个CA通过为其他CA签发证书的方式，使得信任自己的依赖方能与其他CA的证书持有者达成互信。

桥CA方案(星型结构)：引入桥CA作为其他CA互信的中介，两个CA分别与桥CA双向交叉认证后，这两个CA之间也达成了互信。

但是，在实现本发明的过程中发明人发现：

列表方案对依赖方有较高要求(有专业的判断能力、能够合理配置自己的信任锚)，且权威列表本身的维护代价较高。CA交叉认证方案类似现实生活中集团平等合作的信任关系。当CA数量较少时可以很好地解决CA互信问题，但大量CA两两进行交叉认证时，就会形成复杂的网状结构，使证书认证路径变长甚至形成环路，而且证书策略(CP)经过多次映射之后会使证书用途大大受限。桥CA方案类似现实生活中行业协会中介的信任关系，CA数量较多时可以避免两两交叉认证的弊端，但桥CA运营方的选择是个难题，它的可信程度直接决定了互信关系的可靠程度。

发明内容

有鉴于此，本发明提供一种实现CA互信的方法、装置、系统和电子设备，以提高实现CA互信的灵活性。

为解决上述技术问题，本发明提供一种实现CA互信的方法，应用于CA互信系统；所述CA互信系统包括：至少三个CA实体，各CA实体组成点到点P2P网络并形成区块链系统；各CA实体中存储有区块链记录，用于记录对实体证书的操作记录；所述方法应用于CA实体，包括：

为证书请求方分配待签发实体证书；

向所述系统中的其他CA实体请求对所述待签发实体证书进行共识；

若确定所述其他CA实体对所述待签发实体证书的共识通过，则向所述证书请求方签发所述待签发实体证书，在所述待签发实体证书中包括区块链认证标记，其中所述区块链认证标记为所述区块链系统的标识；

更新存储的区块链记录。