(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210603332.3 (22)申请日 2022.05.30 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 董学文　郭校杰　张涛　陈国良　 李光夏　马梅　沈玉龙　吴镇岐　 姚青松　 (74)专利代理 机构 西安嘉思特知识产权代理事 务所(普通 合伙) 6123 0 专利代理师 王海栋 (51)Int.Cl. H04L 9/32(2006.01) H04L 67/1095(2022.01) H04L 67/1097(2022.01) (54)发明名称 分布式证书管 理系统及其构建方法、 证书管 理方法 (57)摘要 本发明涉及一种分布式证书管理系统及其 构建方法、 证书管理方法， 分布式证书管理系统 包括： 证书链、 撤销链和监管链， 证书链、 撤销链 和监管链均采用异构链结构， 其中， 证书链用于 存储证书签发机构颁发的证书信息； 撤销链用于 存储证书签发机构撤销的证书信息； 监管链用于 统计、 存储证书签发机构中对证书进行的部分重 要操作。 分布式证书管理系统实现了不同的证书 管理服务， 不同属性的证书存储在不同的区块链 中， 提高了链上证书信息查询和遍历效率， 提高 了分布式PKI对外提供服务效率； 该证书管理系 统框架结构清晰， 易扩展， 便于监督和管理链上 证书记录， 保证 了PKI系统安全、 稳定的扩 展。 权利要求书2页 说明书7页 附图5页 CN 115189883 A 2022.10.14 CN 115189883 A 1.一种基于区块链 的分布式证书管理系统， 其特征在于， 包括： 证书链、 撤销链和监管 链， 所述证书链、 所述撤销链和所述 监管链均采用异构链结构， 其中， 所述证书链用于存 储证书签发机构颁发的证书信息； 所述撤销链用于存 储所述证书签发机构撤销的证书信息； 所述监管链用于统计、 存 储所述证书签发机构中对证书 进行的部分重要操作。 2.根据权利要求1所述的基于区块链的分布式证书管理系统， 其特征在于， 所述证书链 和所述撤销链均包括主链和若干 子链， 其中， 在所述证书链中， 主链用于存储严格层析信任模型中的CA证书； 若干所述子链与所述 主链的若干区块一一对应链接， 用于存储所述严格层析信任模型中叶证书签发机构向用户 颁发的普通证书； 在所述撤销链中， 主链用于存储被撤销的所述CA证书； 若干所述子链与所述主链的若 干区块一一对应链接， 用于存 储被撤销的所述普通证书。 3.根据权利要求2所述的基于区块链的分布式证书管理系统， 其特征在于， 所述主链和 所述子链均包括若干区块， 每 个所述区块包括区块头、 区块交易和元 数据， 其中， 所述区块头用于 定义区块编号、 上一个区块的哈希值和本区块交易的哈希值； 所述区块交易用于存 储多个证书信息交易， 并生成哈希值记录在所述区块头； 所述元数据包含排序节点信息、 共识类型和签名。 4.根据权利要求所述的基于区块链的分布式证书管理系统， 其特征在于， 所述CA证书 和所述普通证书均包括： 版本号、 序列号、 签名算法、 颁 发者名称、 起始/截止时间、 证书持有 人信息、 证书持有人公钥、 颁发者唯一标识符、 链编号、 区块编号、 交易编号、 证书签名算法 和签名数据。 5.一种基于区块链的分布式证书管理系统的构建方法， 其特 征在于， 包括 步骤： 区块链系统启动， 创建初始区块， 对PKI系统中的证书签发机构进行身份注册和认证， 获取区块链 节点的属性信息； 按照严格层次信任模型中层级的级别从最高的根CA开始将CA证书上链， 生成智能合约 交易， 并打包在第一个区块中， 相同级别的CA按照证书颁发时间先后逐次生成智能合约交 易， 分别生成一个区块交易， 直到叶CA完成证书上链操作， 构建得到主链； 将所述严格层析信任模型中叶CA颁发的普通证书打包生成一个区块， 并寻找所述叶CA 链接的子链， 将所述普通证书对应的区块记录在所述子链的末端， 构建得到 子链。 6.根据权利要求5所述的基于区块链的分布式证书管理系统 的构建方法， 其特征在于， 还包括步骤： 当所述严格层次信任模型中生成新的叶CA时， 在所述PKI系 统中进行所述新的叶CA的 身份注册和认证， 并通过智能合约交易， 将所述新的叶CA颁发的证书信息链接在所述主链 的末端， 实现对所述主链的扩展。 7.一种基于区块链的分布式证书管理系统 的证书管理方法， 采用如权利要求1～4任一 项所述的基于区块链的分布式证书管理系统进行证书管理， 其特 征在于， 包括： 基于区块链的分布式证书管理系统进行证书申请或证书撤销； 基于区块链的分布式证书管理系统进行证书查询。 8.根据权利要求7所述的基于区块链的分布式证书管理系统的证书管理方法， 其特征权　利　要　求　书 1/2 页 2 CN 115189883 A 2在于， 基于区块链的分布式证书管理系统进行证书申请或证书撤销， 包括 步骤： CA根据通过验证的证书申请信息或者证书撤销信息为终端发送颁发证书信息或者撤 销证书信息， 并将所述 颁发证书信息或者所述撤销证书信息转发至区块链 节点； 所述区块链节点将所述颁发证书信息或者所述撤销证书信息按照智能合约生成证书 交易上传到证书链或者撤销链中。 9.根据权利要求7所述的基于区块链的分布式证书管理系统的证书管理方法， 其特征 在于， 基于区块链的分布式证书管理系统进行证书查询， 包括 步骤： 通过待查询证书的链编 号确定证书链中的第 一目标链， 通过区块编 号确定所述第 一目 标链中的第一目标区块， 通过 交易编号验证所述第一目标区块中存储的证书信息与所述待 查询证书的信息是否一 致； 当判断所述第 一目标区块中存储的证书信 息与所述待查询证书的信 息一致时， 通过所 述链编号确定 撤销链中的第二目标链， 查询所述第二目标链中所有的撤销证书交易； 当在所述撤销链中未发现所述待查询证书时， 则认证通过所述待查询证书； 当在所述 撤销链中发现所述待查询证书时， 则所述待查询证书已撤销。 10.根据权利要求9所述的基于区块链的分布式证书管理系统的证书查询方法， 其特征 在于， 查询所述第二目标链中所有的撤销证书交易， 包括： 采用多链并发遍历查询机制， 从多个子链的最新区块向初始区块进行遍历， 查询所述 第二目标链中所有的撤销证书交易。权　利　要　求　书 2/2 页 3 CN 115189883 A 3