(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210491042.4 (22)申请日 2022.05.07 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市雁塔区太白南 路2号西安电子科技大 学 （北校区） (72)发明人 高明　石颖　杨浩然　赵海阔　 (74)专利代理 机构 郑州芝麻知识产权代理事务 所(普通合伙) 41173 专利代理师 张丹丹 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/1095(2022.01) (54)发明名称 一种基于联盟链的数字证书生命周期管理 方法 (57)摘要 本发明公开了一种基于联盟链的数字证书 生命周期管理方法， 改善了传统PKI系统的单点 故障问题。 该发明分为证书上链、 链上证书更新 和证书吊销三部分， 包括： 终端发起证书上链的 请求A或链上证书更新的请求B给相应的背书节 点， 背书节 点根据接收到的请求消息判断终端发 起的请求属于哪一类交易提案， 并完成对请求消 息的验证， 证书上链和链上证书更新所需的验证 分别为验证过程A和验证过程B， 得到第一验证结 果； 证书吊销包括背书节点中的证书吊销服务器 执行智能合约C发起吊销证书的交易， 执行结束 后， 背书节点对得到的背书结果签名， 将签名结 果广播给排序节点。 该技术减少了证书吊销占用 的大量内存， 证书吊销更 具实时性和可靠性。 权利要求书2页 说明书7页 附图3页 CN 114928450 A 2022.08.19 CN 114928450 A 1.一种基于联盟链的数字证书生命周期管理方法， 其特征在于： 数字证书生命周期管 理分为证书上链、 链上证书更新和证书吊销三部分， 其中终端证书上链和链上证书更新包 括： 终端发起证书上链的请求A或链上证书更新的请求B给相应的背书节点， 背书节点根据 接收到的请求消息判断终端发起的请求属于哪一类交易提案， 并完成对请求消息的验证， 证书上链和链上证书更新所需的验证分别为验证过程A和验证过程B， 得到第一验证结果； 若第一验证结果为成功， 则背书节点利用其接 收到的消息执行证书上链的智能合约A或链 上证书更新的智能合约B， 执行结束后， 背书节点对得到背书结果签名， 将得到签名结果返 回给终端设备， 终端设备收到足够多签名的背书结果后， 将此结果连同证书上链和链上证 书更新交易的提案广播给排序节点， 排序节点验签后将背书结果按照接收的时间进行排 序， 并使用共识算法将排完序的交易封装到区块中， 排序节点将打包好的区块广播给记账 节点； 记账节点接收到区块后， 对区块中的每笔交易通过验证过程C进行验证， 得到第二验 证结果， 若第二验证结果为 成功， 则记账节点进 行账本的持久化更新， 将新的区块加入区块 链， 且对于有效的证书 上链或链上证书 更新的交易， 将交易的操作结果提交到世界状态， 记 账节点将证书 上链或链上证书 更新的交易保存在区块链账本中的交易ID值返回给终端； 终 端将接收到的交易 ID值保存后， 结束证书上链或链上证书更新； 其中证书吊销包括： 背书节点中的证书吊销服务器执行智能合约C发起吊销证书的交 易， 执行结束后， 背书节点对得到的背书结果签名， 将签名结果广播给排序节点； 排序节点 对接收到的签名背书进行验签， 验签通过后将背书结果按照接 收的时间进行排序， 并使用 共识算法将排完序的交易封装到区块中， 排序节点将打包好的区块广播给记账节点； 记账 节点接收到区块后， 对区块中的每笔交易通过验证过程D进行验证， 得到第三验证结果； 若 第三验证结果为 成功， 则记账节点进 行账本的持久化更新， 将新的区块加入区块链， 且对于 有效的证书吊销的交易， 将交易的操作结果提交到世界状态； 世界状态依照此次交易结果 更新后， 结束证书吊销。 2.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 所述 背书节点验证通过后， 执行智能合约完成证书上链操作或链上证书 更新操作， 执行结束后， 将背书结果签名返回给终端， 具体包括： 证书上链服务器n执行的智能合约为： 存储证书X； 将证书X的使用期限设置为TimeX， 将 证书X的状态Status 设置为pas s(证书有效)； 证书更新服务器n执行的智能合约为： 存储证书X*； 将该证书X*的使用期限设置为新 的 使用期限 将该证书X*的状态Status 设置为pas s(证书有效)。 3.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 所述 证书吊销的智能合约C包括： 将证书的状态由通过改为吊销， 证书吊销的方法如下： 步骤1、 背书节点中的证书吊销服务器n查看证书X的世界状态， 并执行智能合约完成证 书吊销操作； 具体的证书吊销服 务器执行的智能合约为： 若证书状态为pas s， 则将证书状态改为revo ke,证书被吊销； 若证书状态为revo ke， 则不做改动； 步骤2、 证书吊销服 务器n将背 书结果签名， 并将签名结果广播给排序节点；权　利　要　求　书 1/2 页 2 CN 114928450 A 2步骤3、 排序节点收到K个签名的背书结果后进行验签， 验签通过后将证书吊销的过程 正式生成交易， 由排序 节点将此交易排序， 使用拜占庭容错算法PBFT封装到区块中， 并将打 包好的区块广播给记账节点； 步骤4、 记账节点接收到区块后， 对区块中的每笔交易进行验证， 得到第 三验证结果,记 账节点的验证内容 为证书上链和链上证书更新操作的记账节点的验证步骤； 步骤5、 记账节点将验证通过的区块加入到区块链， 进行账本的持久化更新， 对于有效 的交易， 将交易的操作结果提交到世界状态， 由世界状态进 行状态和版本号的更新， 结束交 易过程。 4.根据权利要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于： 所述 终端发起证书 上链的请求A或链上证书 更新的请求B， 包括： 基于哈希运算、 数字签名和随机 数的生成操作， 终端进行运算生成证书上链的请求A或链上证书更新的请求B； 所述背书节 点对请求A或请求B执行验证过程A或验证过程B得到第一验证结果， 包括： 基于数字签名、 哈 希运算和账本上数据的查询操作， 背书节点对接 收到的请求进行运算执行验证过程A或验 证过程B， 得到第一验证结果。 5.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 所述 证书上链的智能合约A包括： 存储证书、 设置证书的使用期限、 设置证书的状态； 链上证书 更 新的智能合约B包括： 存储链上证书更新后的证书、 将证书的使用期限设置为新的使用期 限、 设置证书的状态； 证书吊销的智能合约C包括： 改变 证书的状态。 6.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 所述 记账节点对区块中的每笔 交易执行验证过程C得到第二验证结果， 包括： 比较执行智能合约 得到的背书结果与真实交易时得到的状态数据的结果是否相等、 验证是否得到相应的背书 节点中至少K/N个主体的签名背 书， 得到第二验证结果。 7.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 记账 节点对区块中的每笔 交易执行验证过程D得到第三验证结果， 包括： 比较执行智能合约得到 的背书结果与真实交易时得到的状态数据的结果是否相等、 验证是否得到相应的背书节点 中至少K/N个主体的签名背 书， 得到第三验证结果。 8.根据权力要求1所述的基于联盟链的数字证书生命周期管理方法， 其特征在于， 所述 所述保存交易操作结果的世界状态包括： 证书ID值、 哈希 值、 使用期限、 当前状态和版本号， 对于链上证书更新世界状态更改的内容包括： 将使用期限改为新的使用期限、 版本号相较 于之前加1； 对于证书吊销世界状态更改的内容包括： 将当前状态改为 吊销、 版本号相较于 之前加1。权　利　要　求　书 2/2 页 3 CN 114928450 A 3