[发明专利]一种基于TEE预言机集群和区块链的数字证书系统及方法

权利要求书

1.一种基于TEE预言机集群和区块链的数字证书系统，其特征在于，包括预言机集群、用户、智能合约以及CA；

系统工作时，包括智能合约初始化与CA注册阶段、证书发布与上链阶段、证书验证阶段、预言机工作节点选择阶段以及预言机同步阶段；

智能合约初始化和CA注册阶段中，智能合约在布置到区块链中时要确定合约最初管理者，CA必须通过管理者授权后完成注册，注册成功后CA才能调用合约中的证书发布函数；

证书发布与上链阶段中，CA为用户生成数字证书，并调用合约将证书发布操作记录在链上，用户收到证书后，可以选择通过预言机将数字证书密文上链；

证书验证阶段中，按照数字证书里的字段信息，验证数字证书的发布者与证书真实性；

预言机工作节点选择阶段中，在预言机集群内选择部分节点对上链证书进行验证；

在预言机同步阶段中，对链上操作记录进行监听存储，并对预言机工作节点的计算结果达成共识；

数字证书系统包括以下步骤：

S1、区块链智能合约初始化，将智能合约管理者的区块链地址记录在区块链智能合约中；

S2、管理者在链上授权CA，将CA的区块链地址以及发布数字证书的根证书记录在智能合约中，CA使用区块链地址调用智能合约发布函数并智能记录合约发布相关信息；

S3、预言机集群中，预言机选择证书验证工作节点，用户调用智能合约中的证书上链服务注册函数，将上链请求发送到工作预言机节点；

S4、预言机监听智能合约中的事件，处理事件信息并缓存，实现对链上合约状态的同步；

S5、工作的TEE预言机节点对证书进行验证和加密并对最终计算结果与智能合约状态达成共识；具体为：

S51、工作预言机的Enclave收到数字证书后，在Enclave中通过调用访问外部数据的接口对自己维护的MPT进行访问，可以在本地完成对数字证书的验证，不需访问区块链；

S52、证书验证通过，工作预言机对数字证书按照用户要求进行加密，对密文进行哈希获得H_m；

S53、各工作预言机生成随机数r，将(r,H_m,Root_cert,Root_ca)发送给集群中其它节点；

S54、其它节点获得消息后会对Root_certRoot_ca验证，H_m如果出现次数超过工作预言机节点的一半则H_m对应密文就是要上链的证书密文；

S55、选择H_m正确且随机数最小的工作预言机将证书密文上链，上链成功后证书的有效性将不受其CA根证书有效性的限制，因为在上链时的证书验证已对其根证书进行确认，后续证书使用只需对比证书上链时间和CA根证书更新时间即可；

S56、更新集群中各预言机的表现分值S、剩余可等待次数T以及综合评分C。

2.根据权利要求1所述的数字证书系统，其特征在于，步骤S1中，区块链智能合约初始化具体为：

S11、确定证书管理者，管理者是CA联盟，将管理者的区块链公钥以及相关信息记录；

S12、合约状态变量定义，这些变量将会记录系统中CA、证书发布、上链服务列表等信息；

S13、合约函数以及相应事件的定义，合约中的事件能够让合约监听者获取感兴趣的信息。

3.根据权利要求1所述的数字证书系统，其特征在于，步骤S2中，发布证书具体包括：

S21、管理者授权CA在区块链中进行数字证书发布的权限，即将其区块链地址和发布数字证书的根证书进行绑定；

S22、CA根据多位用户的信息为他们生成基本的数字证书，将这些证书信息处理形成一棵默克尔树，即将所有证书信息进行哈希函数处理生成根哈希值)，通过根哈希值可对证书信息进行真实性验证；

S23、CA用自己的根证书对默克尔树的根哈希值进行签名，将签名、证书唯一标识CertID列表、证书接收人的区块链地址列表作为参数去调用智能合约中的证书发布函数；

S24、根据合约函数执行结果，将证书发布的交易hash、CA相关信息、证书的默克尔证明也加入到证书中形成完整证书，并将证书发布给用户。