[发明专利]基于区块链的CA跨域认证方法及系统

说明书

本发明公开了一种基于区块链的CA跨域认证方法及系统，方法包括：以fabric联盟链框架为基础构建CA联盟链，其中，将根CA作为主节点，将用户CA作为从节点；以raft算法作为CA联盟链的共识算法完成CA节点之间的共识流程，其中，根CA节点参与共识流程，用户CA节点作为分布式数据库存储生成的区块数据；通过智能合约生成三个不同的非对称的秘钥对，并将三个密钥对分别颁发给不同域内的根CA节点、策略CA节点和用户CA节点，使不同域内的根CA节点、策略CA节点和用户CA节点分别拥有相同的秘钥对，以实现不同域内的CA颁发的数字证书相互认证；基于CA联盟链进行跨域认证。实现满足可信、高效、大规模的CA跨域认证需求。

技术领域

本发明涉及区块链技术领域，更具体地，涉及一种基于区块链的CA跨域认证方法及系统。

背景技术

基于PKI体系(公钥基础设施)的CA系统中，CA是这个体系的核心，其应用范围涉及需要身份认证及数据安全的各个行业，如在线商业贸易、安全电子邮件、网上办公等支付型和非支付型电子事务活动，都需要CA颁发的数字证书进行身份认证，没有跨域认证的CA就像一座孤岛，孤岛之间不互联互通则会阻碍商贸活动的发展。

传统的CA跨域认证模型有：对等交叉信任模型、严格分层等级模型、网状信任模型、桥CA信任模型、WEB信任模型、以用户为中心的信任模型、混合模型。然而这些模型实现的CA跨域认证系统的可信度存在质疑，且技术复杂、成本高、效率低，尤其是在面对大规模的CA跨域认证问题时无能为力。传统的CA跨域认证模型无法满足可信、高效、大规模的CA跨域认证需求。

发明内容

本发明的目的是提出一种基于区块链的CA跨域认证方法及系统，实现满足可信、高效、大规模的CA跨域认证需求。

为实现上述目的，本发明提出了一种基于区块链的CA跨域认证方法，包括：

以fabric联盟链框架为基础构建CA联盟链，并将不同域内的CA系统作为区块链节点，所述CA包括位于最高层的根CA、位于中间层的多个策略CA和位于底层的多个用户CA，其中，将所述根CA作为主节点，将所述用户CA作为从节点；

以raft算法作为所述CA联盟链的共识算法完成CA节点之间的共识流程，所述共识流程包含Leader选取流程和数据共识流程，其中，根CA节点参与共识流程，用户CA节点作为分布式数据库存储生成的区块数据；

通过智能合约生成三个不同的非对称的秘钥对，并将三个所述密钥对分别颁发给不同域内的根CA节点、策略CA节点和用户CA节点，使不同域内的根CA节点、策略CA节点和用户CA节点分别拥有相同的秘钥对，以实现不同域内的CA颁发的数字证书相互认证；

基于所述CA联盟链进行跨域认证。

可选地，所述Leader选取流程包括：

所述根CA节点的状态包括follower、candidate或leader，所述CA联盟链起始时，所有根CA节点的状态均为follower；

若状态为follower的根CA节点在选举超时时间内没有收到leader状态根CA节点的心跳信号，则将状态从follower切换为candidate，成为状态为candidate的根CA节点，并向其他状态处于follower的根CA节点发出选举请求；

如果收到超过一半以上状态为follower的根CA节点投票同意，则状态为candidate的根CA节点将状态切换为leader，并在一段时间内不停的给其他状态为follower的根CA节点发送心跳消息以保持其主节点状态。

可选地，所述数据共识流程包括：