[发明专利]一种联盟链组织证书更换的方法与系统

说明书

本发明提出了一种联盟链组织证书更换方法，具体包括：在联盟链网络中，当组织内证书即将过期或泄露时，启动联盟链中CA服务生成新的组织证书和节点证书，从根证书开始更换所有证书；将新证书添加到通道配置块；在不导致Raft集群崩溃的情况下，滚动更换通道配置块中Raft节点的TLS client证书和TLS server证书，修改Orderer节点的环境变量并重启该Orderer节点，直到所有的Orderer节点完成证书更换和重启；修改所有Peer节点的环境变量并重启Peer节点。本发明解决了在联盟链网络平台中组织证书在即将过期和泄漏的情况下，实现整个组织证书安全更换的问题。本发明可实现在Raft集群正常的情况下实现对Raft TLS证书的更换，某一步的失败不会导致Raft集群崩溃。

技术领域

本发明涉及区块链技术领域，具体涉及一种联盟链组织证书更换的方法与系统。

背景技术

近年来区块链技术不断发展，不少企业都已开始使用基于Fabric的联盟链。区块链节点之间的通信通常需要验证彼此的身份，以保证区块链网络和区块链上数据的安全。为此，通常需要为每个区块链节点颁发公私钥，还需要为每个区块链节点颁发身份证书，身份证书通常是由具备权威性的机构签发的。为了提升区块链网络的安全性，避免身份证书被破解或者泄露的风险，区块链节点的身份证书不能是单一不变的，需要更换。如在证书过期或泄漏的情况下，需要更换组织内所有节点的相关证书。然而，基于区块链网络对安全性的极高要求，如何实现在联盟链网络中更换所有节点的身份证书，是一个难点。尤其是在通道内有多个同组织的Raft节点的情况下，Raft排序方式限制修改通道配置一次只允许修改一个节点的相关配置，而Raft修改稍有不慎就有可能导致整个通道的Raft集群崩溃掉，整个通道都将无法使用，更新证书就变得极具挑战性。

基于上述问题，本发明的目的是为了解决在联盟链网络平台中，组织证书在即将过期和泄漏的情况下，实现整个组织证书安全更换的问题。本发明可实现在Raft集群正常的情况下实现对Raft TLS证书的更换，某一步的失败不会导致Raft集群崩溃。

发明内容

本发明提出了一种联盟链组织证书更换的方法，具体包括：

检测到证书需要更换时,使用联盟链中的CA服务生成新证书；

将新证书添加到通道配置块；

修改通道配置块内某个Raft节点的TLS client证书和TLS server证书及修改Orderer节点的环境变量并重启该Orderer节点，直到所有的Orderer节点完成上述操作，以实现滚动更换通道配置块中Raft节点的TLS client证书和TLS server证书；

修改所有Peer节点的环境变量并重启Peer节点。

进一步的，所述检测到证书需要更换的情况包括组织内证书即将过期和证书泄露两种，当组织内证书即将过期时，使用联盟链中旧CA服务只生成新的节点证书；当组织内证书泄露时，使用联盟链中新CA服务，从根证书开始更换所有证书。

进一步的，所述将新证书添加到通道配置块包括：区分不同证书的种类，将新证书添加到不同证书的证书列表中。

进一步的，所述修改通道配置块内某个Raft节点的TLS client证书和TLS server证书包括：使用新生成的对应host的TLS节点证书替换client_tls_cert和server_tls_cert中的旧证书。

进一步的，修改Orderer节点的环境变量包括修改相关Orderer节点运行环境中证书的相关配置文件或环境变量。

进一步的，修改所有Peer节点的环境变量并重启Peer节点之后，还包括在证书泄露或者不允许使用旧证书的情况下，从通道配置中删除旧证书。