一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质

本发明涉及区块链技术领域，尤其涉及一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质。

随着社会信息化的程度越来越高，越来越多的用户依赖于信息化系统，数字证书作为用户的数字身份证明凸显了其重要性。目前数字证书的颁发、管理、认证操作都基于PKI体系，一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI体系能够为互联网的通讯、交易提供一整套安全的身份认证服务，但是在分布式环境下也存在以下不足：

1)权利中心化问题

传统PKI体系存在多个中心化的服务机构，如KMC(秘钥管理机构)、CA(证书管理中心)、OSCP(证书状态查询服务)、RA(证书注册管理机构)，如此多的中心化服务增加整个体系的复杂性，而且各个服务需要面临攻击、单点故障、流量、响应速度等问题，同时多个中心化的服务机构必然导致用户的使用成本和软件系统设计的复杂性。

2)数字证书吊销、冻结时效性问题

数字证书的状态查询是验证证书的必要步骤，目前有两种验证数字证书的方式：CRL(本地吊销列表)模式和OCSP(在线状态查询)模式，CRL需要下载最新的吊销列表文件才能进行判定，从吊销发起到用户使用最新的CRL需要经过很多步骤，时效性很低。OCSP模式虽然是实时验证，但是存在OCSP的数据处理耗时和网络的查询延迟，基本时效性也不强，一般应用很少用。

3)体系内信息的透明度问题

传统PKI体系下，数字证书的生成过程相对私密，PKI体系的几个关键服务机构可以获取用户的证书及公钥信息，但是对于普通用户很难知道其他人的证书信息，想要获取证书体系内的全量证书几乎不可能，但是在分布式的互联网思维中，公钥与证书是绝对公开的信息。

针对上述问题中存在的不足之处，本发明提供一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质。

为实现上述目的，本发明提供一种分布式环境中基于可信存储的身份认证方法，包括：

用户在客户端输入数字证书申请信息，所述申请信息包括身份信息、CA中心地址；

使用私钥对所述申请信息签名生成CSR文件，且将所述CSR文件、申请时间以及公钥创建一交易请求，并将所述交易请求向区块链广播交易；

对所述交易请求进行解析验证，验证通过后发送至与所述CA中心地址对应的CA中心；

所述CA中心生成数字证书，且将所述数字证书和申请信息生成第一区块；

将所述第一区块存储在分布式存储器中，且向所述区块链广播所述第一区块，并将所述第一区块的存储地址存储在所述区块链上。

优选的是，当所述第一区块的存储地址存储在所述区块链上后，所述方法还包括：

所述区块链接收验证请求，所述验证请求携带所述数字证书的证书信息；

根据所述验证请求，获得与之对应的所述区块链上的存储地址，并根据所述存储地址下载所述数字证书；

获得所述数字证书对应的状态信息。

优选的是，所述数字证书对应的状态信息，包括：

在状态数据库中查询所述数字证书对应的状态信息，所述状态数据库用于存储任一证书信息对应的最新状态信息。

优选的是，当确定所述数字证书满足冻结条件时，生成第二区块，所述第二区块包括所述用户信息、所述数字证书的证书信息和冻结状态信息；

所述区块链广播所述第二区块。

优选的是，所述区块链广播所述第二区块之后，所述方法还包括：

当确定所述数字证书满足解冻条件时，生成第三区块，所述第三区块包括所述用户信息、所述数字证书的证书信息和正常状态信息；

所述区块链广播所述第三区块。

优选的是，当确定所述数字证书满足注销条件时，生成第四区块，所述第四区块包括所述用户信息、所述数字证书的证书信息和注销状态信息；

所述区块链广播所述第四区块。

优选的是，当确定所述数字证书满足更新条件时，生成第五区块，所述第五区块包括所述用户信息、所述数字证书的证书信息和更新状态信息；

所述区块链广播所述第五区块。

本发明还一种根据所述的分布式环境中基于可信存储的身份认证方法的系统，包括：

申请模块，用于用户在客户端输入数字证书申请信息，所述申请信息包括身份信息、CA中心地址；

请求模块，用于使用私钥对所述申请信息签名生成CSR文件，且将所述CSR文件、申请时间以及公钥创建一交易请求，并将所述交易请求向区块链广播交易；

验证模块，用于对所述交易请求进行解析验证，验证通过后发送至与所述CA中心地址对应的CA中心；

生成模块，用于所述CA中心生成数字证书，且将所述数字证书和申请信息生成第一区块；

存储模块，用于将所述第一区块存储在分布式存储器中，且向所述区块链广播所述第一区块，并将所述第一区块的存储地址存储在所述区块链上。

本发明还提供一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条程序代码，所述至少一条程序代码由所述处理器加载并执行，以实现上述分布式环境中基于可信存储的身份认证方法所执行的操作。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条程序代码，所述至少一条程序代码由处理器加载并执行，以实现上述分布式环境中基于可信存储的身份认证方法所执行的操作。

与现有技术相比，本发明的有益效果为：

本发明中用户申请流程和证书发放流程都在区块链上交易进行，通过区块链全网节点共识出块，使得接入该区块链的用户都能够共享该证书。

图1是本发明分布式环境中基于可信存储的身份认证方法的流程图；

图2是本发明分布式环境中基于可信存储的身份认证申请方法流程图；

图3是本发明分布式环境中基于可信存储的身份认证证书生成方法流程图；

图4是本发明分布式环境中基于可信存储的身份认证区块链上存储证书对象图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图1对本发明做进一步的详细描述：

在本实施例中涉及到的一些名词进行解释：

区块链(Blockchain)：是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块，每个区块都包含一个时间戳和一个与前一区块的链接。狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本，即区块链中的数据一旦记录下来将不可逆。

公钥(Public Key)与私钥(Private Key)：是通过一种算法得到的一个密钥对(即一个公钥和一个私钥)，公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥通常用于加密数据、验证数字签名等。通过这种算法能够确保得到的密钥对是唯一的，使用这种密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密，例如，用公钥加密数据就必须用私钥解密，如果用私钥加密也必须用公钥解密，否则解密将不会成功。

共识机制(Consensus mechanism)：是区块链系统中实现不同节点之间建立信任、获取权益的数学算法。在区块链系统中，通过特殊节点设备的投票，可以在很短的时间内完成对交易的验证和确认，对一笔交易，如果利益不相干的若干个节点能够达成共识，就可以认为系统中的全部节点设备对此也能够达成共识。

参照图1，本发明提供一种分布式环境中基于可信存储的身份认证方法，包括：

步骤1、用户在客户端输入数字证书申请信息，申请信息包括身份信息、CA中心地址；

其中，申请信息包括输入相关参数信息，如机构、地址、身份信息、CA机构等，即在申请时必须制定申请的目标CA机构地址。

进一步地，该用户信息用于表示用户的身份。该用户可以为个人、企业或者其他组织。在一种可能实现方式中，用户信息包括用户标识。当用户为个人时，该用户标识可以为用户姓名、证件号码等用来表示该用户身份的信息；当用户为企业时，该用户标识可以为企业名称、机构代码或者其他用来表示该用户身份的信息。另外，该用户信息还可以包括用户的性别、年龄、等信息。

步骤2、使用私钥对申请信息签名生成CSR文件，且将CSR文件、申请时间以及公钥创建一交易请求，并将交易请求向区块链广播交易，如图2所示；

其中，上述步骤均在客户端内完成，且客户端为用户申请数字证书时使用的设备，该客户端可以为便携式、袖珍式、手持式等多种类型的终端，如手机、计算机、平板电脑等。该客户端直接与区块链节点连接，在客户端输入申请的相关内容，客户端将直接将用户输入信息格式化为交易参数，通过区块链节点生成类型为“证书申请”的区块链交易，并广播至区块链。

步骤3、对交易请求进行解析验证，验证通过后发送至与CA中心地址对应的CA中心；

其中，区域链接收到客户端发送的交易请求后，需要对该请求携带的用户信息进行验证，只有当用户信息验证通过之后才会生成与用户信息对应的唯一数字证书。

其中，客户端内设有公钥和私钥，公钥和私钥构成一对密钥对，公钥是密钥对中公开的部分，区块链系统中的任意节点设备均可获取该公钥，私钥是密钥对中私有的部分，仅客户端可拥有该私钥。该数字证书请求可以携带客户端的公钥，该节点设备对用户信息验证通过后，根据该节点设备所属的颁发机构的机构信息，对该用户信息和该公钥进行签名，得到数字证书。其中，颁发结构可以为CA机构或者其他机构，机构信息用于表示该颁发结构的身份。数字证书经过颁发结构签名确认，代表颁发结构已确认该数字证书的真实性。即CA中心会监控链上交易，对“证书申请”类型的交易进行解析处理。CA中心可以是根据不同场景分类的多个下级CA中心，每个CA中心只关系与自己相关的申请交易，在审核申请信息通过之后则为该申请颁发数字证书，然后将证书以及CA中心自身签名一起写入交易(类型为“证书发布”)，并广播到区块链网络。对区块链上节点来说，由于保存了系统的全量证书账本，可以对颁发者的做合理性共识校验。各节点通过区块交易解析，将解析出的证书写入本地证书账本，其流程如图3所示。

步骤4、CA中心生成数字证书，且将数字证书和申请信息生成第一区块；

其中，生成数字证书时，生成第一区块。第一区块包括用户信息和数字证书的证书信息。其中，证书信息用于对数字证书进行描述，与数字证书一一对应，该证书信息中可以包括数字证书编号、数字证书的有效期、客户端公钥、机构信息，还可以包括其他信息。

在一种可能实现方式中，生成该第一区块的过程可以包括：将区块链中最后一个区块称为上一区块，节点设备可以从区块链中获取该上一区块的信息，从而可以基于该上一区块的信息，生成上一区块的区块头特征值(哈希值)，对需要存入该第一区块中的用户信息和数字证书的证书信息等信息进行特征值计算，得到该第一区块的区块主体特征值，进而，该节点设备可以将上一区块的区块头特征值、第一区块的区块主体特征值存储至第一区块的区块头，并将用户信息和数字证书的证书信息等信息存储至第一区块的区块主体，从而生成第一区块。这样该上一区块和第一区块通过上一区块的区块头特征值相关，可以实现在区块链中区块串联起来的目的，使得后一个区块能够用于验证前一个区块是否正确。需要说明的是，上述对区块生成过程的说明仅是一种区块生成方式的示例性描述，本发明实施例对具体采用哪种区块生成方式不做限定。

另外，数字证书具有多种状态，如正常状态、冻结状态以及注销状态等，相应的，数字证书具有用于表示当前所处状态的状态信息。该状态信息用来表示该数字证书是否能够正常使用。则在使用该数字证书的过程中，通过获取状态信息，可以判断该数字证书是否能够正常使用，当状态信息为正常状态信息时，表示该数字证书可以正常使用，当状态信息为冻结状态信息或者注销状态信息时，表示该数字证书不可以正常使用。

因此，当节点设备生成数字证书时，将数字证书的状态信息设置为正常状态信息，在生成第一区块时，第一区块中也可以包括正常状态信息，以表示该数字证书处于正常状态，可以正常使用

步骤5、将第一区块存储在分布式存储器中，且向区块链广播第一区块，并将第一区块的存储地址存储在区块链上。

其中，由区块链中的多个节点对该第一区块进行共识，该第一区块通过共识后，将第一区块添加至区块链中。每个节点对第一区块进行共识，来确定该第一区块中的信息是否准确，也即是对该第一区块中的信息进行验证。上述共识过程可以基于共识机制实现，例如，该共识机制可以为用户身份证明机制或者其他机制。需要说明的是，上述共识过程仅为一种示例性描述，本发明实施例对此不做限定。该第一区块通过共识后，该区块链系统中的任一节点可以存储该数字证书，各个节点设备存储的数字证书一致，可以实现数字证书的分布式存储，确保数字证书的真实性和透明。

进一步地，证书账本是区块链上发布的所有数字证书的列表集合，由于全部数字证书会占用较大的存储空间，并不适合将证书实体放在区块链交易当中，而是将证书实体保存在可信的分布式存储服务中，因此列表中的证书对象只包含分布式存储服务的地址映射。链上证书对象如图4所示。

本发明还提供一种数字证书验证方法，该验证方法都可以在本地完成对其他证书的合法性校验，当第一区块的存储地址存储在区块链上后，该方法包括：

区块链接收验证请求，验证请求携带数字证书的证书信息；

该验证请求可以为任意机构的设备，该设备可以为终端或服务器，例如，可以为便携式、袖珍式、手持式等多种类型的终端，如手机、计算机、平板电脑等，或者为一台服务器，或者由若干台服务器组成的服务器集，或者是一个云计算服务中心。区块链中的数字证书吊销、冻结、解冻、更新操作都是已存在于证书账本的证书做状态的改变或实体替换，发起方为目标证书的直属上级证书拥有者，一般为对应的CA中心，将目标信息、操作参数写入交易并附带发起方签名，广播至区块链网络，由全网节点进行合理性校验，涉及到的交易类型包括“证书吊销”、“证书冻结”、“证书解冻”、“证书更新”。各节点通过区块交易解析，根据不同的交易类型，写入本地不同的列表中。

根据验证请求，获得与之对应的区块链上的存储地址，并根据存储地址下载数字证书；

具体地，根据数字证书的公钥哈希在节点的证书账本中到链上存储位置映射，然后从分布式存储服务中下载该目标证书，从而得到一个可信任的证书实体。根据下载的可信证书实体可直接进行有效期判断，利用链上吊销列表、冻结列表对目标证书的吊销状态和冻结状态进行查询判断，利用链上的用于证书校验的核心Merkel树查到从目标证书到Root证书的所有证书组成一个校验Bundle，使用该Bundle对证书进行根证书校验。

获得数字证书对应的状态信息，根据状态信息确定数字证书是否有效，从而确定数字证书的验证结果。

数字证书对应的状态信息，包括：

在状态数据库中查询数字证书对应的状态信息，状态数据库用于存储任一证书信息对应的最新状态信息。

在本实施例中，“吊销列表”和“冻结列表”并非两个独立的实体，可以合二为一作为“证书状态列表”，对于该列表的操作包含增、删、改，列表存在一个随每次操作变化状态哈希，每一次操作后会根据上一次的状态哈希StateHash-pre产生一个新的状态哈希StateHash-new，计算过程如下：

StateHash-new＝Base64(HASH256(StateHash-pre+StateOP)；

式中：Base64为base64编码算法、HASH256为哈希算法、StateOP为列表操作的序列化字符串。

即当确定数字证书满足冻结条件时，生成第二区块，第二区块包括用户信息、数字证书的证书信息和冻结状态信息；

区块链广播第二区块。

当确定数字证书满足解冻条件时，生成第三区块，第三区块包括用户信息、数字证书的证书信息和正常状态信息；

区块链广播第三区块。

在一种可能实现方式中，解冻条件包括申请冻结的用户申请解冻。当用户回数字证书对应的终端修复时，用户在终端上触发对数字证书的解冻请求，该解冻请求携带数字证书的证书信息。终端向区块链发送解冻请求，接收该解冻请求时，确定数字证书满足解冻条件。

需要说明的是，只有用户申请冻结的数字证书，在满足解冻条件后才能够进行解冻；而对于由于数字证书到期或者违反了数字证书的使用规则等情况而冻结的数字证书，则不能进行解冻，用户需要重新申请数字证书。

在另一种可能实现方式中，注销条件包括用户申请注销。当用户不需要该数字证书时，用户可以在终端上触发对数字证书的注销请求，该注销请求携带数字证书的证书信息。终端向区块链发送该注销请求，接收到该注销请求时，确定数字证书满足注销条件。

或者，该注销条件还可以包括监管机构或审计机构配置的节点设备申请注销，当监管机构或审计机构确定数字证书不满足使用规则时，可以通过配置的节点设备触发对数字证书的注销请求，该注销请求携带数字证书的证书信息。节点设备接收到该注销请求时，确定数字证书满足注销条件。

当确定数字证书满足注销条件时，生成第四区块，第四区块包括用户信息、数字证书的证书信息和注销状态信息；区块链广播第四区块。

在另一种可能实现方式中，当确定数字证书满足更新条件时，生成第五区块，第五区块包括用户信息、数字证书的证书信息和更新状态信息；

区块链广播第五区块。

需要说明的是，上述实施例中的处理过程可以进行任意形式的组合，并且上述处理过程之间独立进行，可以同时进行，也可以一前一后进行，本申请实施例对各个处理过程之间的时序关系不做限定。例如，用户可以采用上述实施例中的证书申请方法来申请数字证书，获得数字证书之后，当用户使用该数字证书时，验证设备可以采用上述实施例中的证书验证方法对该数字证书进行验证。当满足上述实施例中的数字证书的冻结条件、解冻条件或者注销条件时，可以相应地更新该数字证书的状态信息。

本发明还一种根据的分布式环境中基于可信存储的身份认证方法的系统，包括：

申请模块，用于用户在客户端输入数字证书申请信息，申请信息包括身份信息、CA中心地址；

请求模块，用于使用私钥对申请信息签名生成CSR文件，且将CSR文件、申请时间以及公钥创建一交易请求，并将交易请求向区块链广播交易；

验证模块，用于对交易请求进行解析验证，验证通过后发送至与CA中心地址对应的CA中心；

生成模块，用于CA中心生成数字证书，且将数字证书和申请信息生成第一区块；

存储模块，用于将第一区块存储在分布式存储器中，且向区块链广播第一区块，并将第一区块的存储地址存储在区块链上。

本发明还提供一种计算机设备，计算机设备包括处理器和存储器，存储器中存储有至少一条程序代码，至少一条程序代码由处理器加载并执行，以实现上述分布式环境中基于可信存储的身份认证方法所执行的操作。

本发明还提供一种计算机可读存储介质，计算机可读存储介质中存储有至少一条程序代码，至少一条程序代码由处理器加载并执行，以实现上述分布式环境中基于可信存储的身份认证方法所执行的操作。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。