[发明专利]一种数字证书管理方法和装置

说明书

本发明公开了一种数字证书管理方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：接收用户发送的数字证书生成请求；根据所述数字证书应用场景，确定预设的与所述数字证书应用场景对应的门限值；将所述第一用户信息广播至区块链上，以使得知晓所述门限值对应的聚合公钥的区块链节点，使用所述区块链节点的私钥分量对所述第一用户信息进行签名，以生成第一签名信息，所述门限值对应的聚合公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的；聚合所述第一签名信息以为所述用户生成数字证书。实施方式实现了提高了数字证书管理的安全性及不同应用场景下数字证书签发的适用性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种数字证书管理方法和装置。

背景技术

CA(Certificate Authority，认证中心)作为PKI(Public Key Infrast ructure，公钥基础设施)中的重要组成部分，负责签发可以识别用户身份的数字证书。用于签发数字证书的CA私钥一旦泄露，则由该CA签发的所有数字证书都将失去效力，因而保证CA私钥的安全性是整个PKI安全的核心。

为提高CA私钥的安全，提出了多方共同管理CA的方案。但是在目前实现的多方共同管理CA的场景中，每一个管理成员均可根据自身需求签发数字证书，由于缺乏其他管理成员的监督或统一的协调监管机制，任何一方对CA私钥的使用不当均有可能引入不可控的外界风险。此外，实际负责运维CA的管理成员或引入的第三方CA管理者对CA的控制能力偏高，容易因管理失当引起CA私钥泄露，造成整个CA的不可信。

发明内容

有鉴于此，本发明实施例提供了一种数字证书管理方法和装置，能够实现多方管理成员对数字证书签发私钥的共同管控，避免因任一方管理成员管理失当造成的私钥泄露问题，且可以根据数字证书的应用场景确定具体参与数字证书的管理成员，进一步提高了数字证书签发的安全性。

为实现上述目的，根据本发明的一个方面，提供了一种数字证书管理方法，包括：

接收用户发送的数字证书生成请求，所述数字证书生成请求指示了所述用户的第一用户信息及数字证书应用场景；

根据所述数字证书应用场景，确定预设的与所述数字证书应用场景对应的门限值，所述门限值指示了所有区块链节点中参与生成数字证书的区块链节点的数量；

将所述第一用户信息广播至区块链上，以使得知晓所述门限值对应的聚合公钥的区块链节点，使用所述区块链节点的私钥分量对所述第一用户信息进行签名，以生成第一签名信息，所述门限值对应的聚合公钥是基于签名生成算法聚合所述区块链节点的公钥分量而生成的；

聚合所述第一签名信息以为所述用户生成数字证书。

可选地，还包括：

将所述数字证书上传至区块链，以供区块链节点或智能合约根据所述门限值对应的聚合公钥对所述数字证书进行验证。

可选地，还包括：

接收用户发送的数字证书撤销请求，所述数字证书撤销请求指示了所述用户的第二用户信息及待撤销数字证书；

根据生成所述待撤销数字证书时的门限值，将所述第二用户信息广播至区块链上，以使得参与生成所述门限值对应的聚合公钥的区块链节点，使用所述区块链节点的私钥分量对所述第二用户信息进行签名，以生成第二签名信息；

聚合所述第二签名信息以生成所述待撤销数字证书对应的撤销凭证。

可选地，还包括：

将所述撤销凭证上传至区块链，以供区块链节点或智能合约根据所述门限值对应的聚合公钥对所述撤销凭证进行验证。

可选地，在接收用户发送的数字证书生成请求之前，还包括：