[发明专利]一种数字证书管理方法和装置

说明书

本发明公开了一种数字证书管理方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：对于每一个区块链节点，生成一对非对称密钥对，所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量；生成一对全局密钥对，所述全局密钥对指示了全局公钥及全局私钥，并使用所述全局私钥对预设根证书信息进行签名以生成根证书；基于签名生成算法聚合一个或多个所述区块链节点的私钥分量，以生成一个或多个聚合公钥；将所述一个或多个聚合公钥、所述全局公钥、所述根证书写入区块链的创世区块中。该实施方式实现了聚合公钥与全局公钥解耦，保证了在管理成员出现变更的情况下，已签发数字证书的正常使用。

技术领域

本发明涉及计算机技术领域，尤其涉及一种数字证书管理方法和装置。

背景技术

CA(Certificate Authority，认证中心)作为PKI(Public Key Infrast ructure，公钥基础设施)中的重要组成部分，负责签发可以识别用户身份的数字证书。用于签发数字证书的CA私钥一旦泄露，则由该CA签发的所有数字证书都将失去效力，因而保证CA私钥的安全性是整个PKI安全的核心。

为提高CA私钥的安全，提出了多方共同管理CA的方案。但是在目前实现的多方共同管理CA的场景中，每一个管理成员均可根据自身需求签发数字证书，由于缺乏其他管理成员的监督或统一的协调监管机制，任何一方对CA私钥的使用不当均有可能引入不可控的外界风险。此外，在实际的管理过程中，会涉及CA私钥共同管理成员的变更，进而影响已签发数字证书的正常使用。

发明内容

有鉴于此，本发明提供一种数字证书管理方法和装置，既能够实现对多方管理成员对数字证书签发的共同管控，避免因任一方管理成员管理失当造成的私钥泄露问题，又可以在管理成员出现变更的情况下，保证已签发数字证书的正常使用。

为实现上述目的，根据本发明的一个方面，提供了一种数字证书管理方法，包括：

对于每一个区块链节点，生成一对非对称密钥对，所述非对称密钥对指示了所述区块链节点对应的公钥分量及私钥分量；

生成一对全局密钥对，所述全局密钥对指示了全局公钥及全局私钥，并使用所述全局私钥对预设根证书信息进行签名以生成根证书；

基于签名生成算法聚合一个或多个所述区块链节点的私钥分量，以生成一个或多个聚合公钥；

将所述一个或多个聚合公钥、所述全局公钥、所述根证书写入区块链的创世区块中。

可选地，还包括：

接收用户发送的数字证书生成请求，所述数字证书生成请求指示了第一用户信息；

将所述第一用户信息广播至区块链上，以使得所述区块链上参与生成同一所述聚合公钥的区块链节点使用对应的私钥分量对所述第一用户信息进行签名，以生成第一签名信息；

聚合所述第一签名信息以生成第一数字证书，所述第一数字证书指示了所述区块链节点的标识信息。

可选地，还包括：

将所述第一数字证书上传至区块链，以供区块链节点或智能合约根据所述第一数字证书指示的区块链节点的标识信息，从所述创世区块中获取所述聚合公钥，并使用所述聚合公钥对所述第一数字证书进行验证；

在所述第一数字证书验证通过的情况下，使用所述全局密钥对中的全局私钥对所述第一用户信息进行签名，以为所述用户生成第二数字证书。

可选地，还包括：

将所述第二数字证书上传至区块链，以供区块链节点或智能合约从所述创世区块中获取所述根证书或所述全局公钥，并使用所述全局公钥或所述根证书指示的全局公钥对所述第二数字证书进行验证。

可选地，还包括：