(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211136613.9 (22)申请日 2022.09.19 (71)申请人 上证所信息网络有限公司 地址 201203 上海市浦东 新区张东路1387 号37栋 (72)发明人 张清　刘雪峰　蔡楚煌　魏胜男　 刘俊明　朱贤　张宇聪　姚嘉华　 唐麟雁　 (74)专利代理 机构 上海三方专利事务所(普通 合伙) 31127 专利代理师 吴玮 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于CA证书机制的可信区块链网络管 理方法 (57)摘要 本发明公开一种基于CA证书机制的可信区 块链网络管理方法， 对于新建一个区块链网络， 需要为该区块链网络申请一个区块链CA证书作 为整个区块链网络的根证书， 对于每一个想要加 入该区域链网络中新节点， 区块链网络连接协议 和处理方法包括： 新的节点要向区块链网络申请 一个节点证书、 在核实后区块链网络将利用根证 书私钥签发出节点证书并与根证书一起返回给 该节点、 启动节点程序并发起建立连接、 根据新 节点的IP身份、 节点IP地址列表和区块链网络ID 是否匹配等判断是否建立连接； 本发 明与现有技 术对比， 很大程度上减轻了维护的负担， 增加了 管理可控性， 通过黑名单管 理机制剔除被入侵控 制的节点， 从而加强了整个区块链网络从外到内 的安全性。 权利要求书2页 说明书4页 附图2页 CN 115442056 A 2022.12.06 CN 115442056 A 1.一种基于 CA证书机制的可信区块链网络管理方法， 其特 征在于 对于新建一个区块链网络， 联盟 需要为该区块链网络申请一个区块链CA证书作为整个 区块链网络的根证书； 对于每一个想要加入该区块链网络中新节点， 区块链网络连接协议和处 理方法如下： S1.每个新的节点， 首 先向区块链网络申请一个节点证书； S2.在核实了节点证书申请者的身份和权限后， 区块链网络将利用根证书私钥签发出 节点证书， 并与根证书一 起返回给 该节点； S3. 节点所有者对节点进行配置， 设置节点证书和区块链网络根证书这两个证书信 息； S4. 启动节点 程序， 新加入的节点向指定的区块链 节点发起建立连接； S5. 此时， 连接并非已经建立成功， 被指定连接的已存在区块链节点需根据新节点的 节点证书， 验证新节点通讯IP地址是否匹配新节点证书中所包含的IP地址， 明确新节点的 IP身份， 如果 不匹配， 则断开连接， 建立连接失败； 否则， 继续 步骤S6； S6.被指定连接的已存在区块链节点需根据新节点的节点证书， 验证本端IP是否在新 节点证书指 定的可连接的节点IP地址列表中,如果不在， 则断开连接， 建立连接失败； 否则， 继续步骤S7； S7. 被指定连接的已存在区块链节点需根据新节点的节点证书， 验证节点证书中所包 含的区块链网络ID是否匹配当前节点所属的区块链网络ID， 如果不匹配， 则断开连接， 建立 连接失败； 否则， 建立连接成功， 此时节点加入区块链网络成功。 2.如权利要求1所述的一种基于CA证书机制的可信区块链网络管理方法， 其特征在于 所述步骤S1中， 在申请节点证书时， 节点所有者需要提交至少该节 点的对外IP地址， 所要加 入的区块链网络的ID， 验证其身份的公钥 及算法， 所支持的签名算法信息， 以及一些节 点本 身的描述信息 。 3.如权利要求1所述的一种基于CA证书机制的可信区块链网络管理方法， 其特征在于 所述步骤S2中， 节点证书中包含了节点连接到区块链网络的IP地址信息， 用于明确节点可 以拥有的IP身份， 以及节点所加入的区块链网络ID和指定的可连接的节点IP地址列表， 节 点证书用于新加入的节点向区块链网络中已存在节点证实其身份合法性， 从而与已存在节 点建立连接加入区块链网络， 根证书用于新加入的节点验证其连接的已存在节点确实是区 块链网络中有效的合法节点， 而非欺诈 节点， 以解决中间人攻击 。 4.如权利要求1所述的一种基于CA证书机制的可信区块链网络管理方法， 其特征在于 所述步骤S3中， 节点证书中包含节点公钥所对应的私钥信息， 以及区块链网络中指定建立 连接的已存在节点 IP列表， 根证书包 含证书公钥 信息及区块链网络信息 。 5.如权利要求1所述的一种基于CA证书机制的可信区块链网络管理方法， 其特征在于 所述步骤S4中， 基于标准 化的TLS协议， 具体如下： a.协商确定协议版本和所支持的加密算法； b.秘钥交换， 确定后续所使用的通讯加密算法和秘钥； c.身份认证， 双方交换区块链网络根证书， 同时使用各自节点证书对应的私钥签名连 接过程中产生的随机数， 确定通讯双方身份的真实性； d.使用区块链网络根证书检验节点证书的有效性、 证书有效期， 若检验通过， 则继续到权　利　要　求　书 1/2 页 2 CN 115442056 A 2步骤S5； 否则， 断开连接， 建立连接失败。 6.如权利要求1 ‑5任一所述的一种基于CA证书机制的可信区块链网络管理方法， 其特 征在于所述方法还包括黑名单方法： 在网络层增加IP黑名单， 隔离某些已被控制的非法节 点， 即便， 通过修改IP绕开了该拦截， 但由于在通讯IP上不匹配证书中的IP信息， 最终也无 法成功建立连接 。 7.如权利要求1 ‑5任一所述的一种基于CA证书机制的可信区块链网络管理方法， 其特 征在于所述方法还包括黑名单方法： 通过更新区块链网络根证书， 可回收已经签发的节点 证书， 使其无效， 从而拒绝那些拥有节点证书的恶意节点建立连接 。权　利　要　求　书 2/2 页 3 CN 115442056 A 3