(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111542067.4 (22)申请日 2021.12.16 (71)申请人 北京国富 安电子商务 安全认证有限 公司 地址 100176 北京市大兴区经济技 术开发 区荣华中路11号7层 (72)发明人 唐清文　杜文慧　王晓辉　杨鹏武　 薛俊玉　 (74)专利代理 机构 北京卓岚智财知识产权代理 事务所 (特殊普通合伙) 11624 代理人 郭智 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于区块链PKI互信认证的方法和系统 (57)摘要 本发明实施例提供一种基于区块链PKI互信 认证的方法和系统， 通过将各认证域各自管理的 区块链节 点组成特定区块链网络， 并通过特定区 块链网络的账本中记录的由各认证域的根证书 构成的根证书集 以及特定区块链网络的账本中 记录的由各认证域的证书吊销列表实时更新得 到的证书吊销总列表， 对终端的证书进行跨域验 证， 实现了降低各认证域耦合度的基础上的跨域 认证。 权利要求书3页 说明书13页 附图4页 CN 114205162 A 2022.03.18 CN 114205162 A 1.一种基于区块链PKI互信认证的方法， 其特征在于， 基于一种基于区块链PKI互信认 证的系统， 所述系统包括： 至少一个认证域和特定区块链网络； 其中， 每个认证域包括该认 证域对应的认证中心、 该认证域管理的区块链节点和该认证域管理的终端； 各认证域的所 有区块链 节点属于特定区块链网络中的节点； 所述方法包括： 发出信息数据的终端向接收信息数据的终端发送信息数据； 所述信息数据包括： 所述 发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书； 所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书 验证请求， 并将所述证书验证请求发送给所述接 收信息数据的终端对应的区块链节点； 其 中， 所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证 域内； 所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出 信息数据的终端的终端证书， 并通过所述特定区块链网络对所述 发出信息数据的终端的终 端证书进行验证， 并将证书验证结果发送给 所述接收信息数据的终端； 如果所述接收信息数据的终端收到的所述证书验证结果为验证通过， 则进一步地， 所 述接收信息数据的终端验证所述发出信息数据的终端的签名信息； 如果所述发出信 息数据的终端的签名信 息有效， 则所述接收信 息数据的终端信任所述 发出信息数据的终端。 2.如权利要求1所述的基于区块链PKI互信认证的方法， 其特征在于， 所述接收信息数 据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终 端证书， 并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证， 并 将证书验证结果发送给 所述接收信息数据的终端， 包括： 所述接收信息数据的终端对应的区块链节点检查所述特定区块链网络的账本中记录 的证书吊销总列表； 其中， 所述证书吊销总列表包括所有认证域各自的证书吊销列表中的 证书； 若所述证书吊销总列表中有所述发出信 息数据的终端的终端证书， 则将验证结果设置 为验证未通过， 并向所述接收信息数据的终端发送所述证书验证结果； 否则， 进一步使用所 述账本中记录的根证书集中的每个根证书验证所述发出信息数据的终端的终端证书； 其 中， 所述根证书集被预先保存在所述特定区块链网络的账本中； 所述根证书集由各认证域 对应的认证中心的根证书构成； 若所述发出信 息数据的终端的终端证书被所述根证书集中的某个根证书验证通过， 则 将验证结果设置为验证通过， 并向所述接 收信息数据的终端发送所述证书验证结果； 若所 述根证书集中的所有根证书都无法验证所述 发出信息数据的终端的终端证书， 则将验证结 果设置为验证未通过， 并向所述接收信息数据的终端发送所述证书验证结果。 3.如权利要求1所述的基于区块链PKI互信认证的方法， 其特征在于， 所述签名信息包 括明文信息和数字签名； 所述数字签名由所述明文信息的信息摘要经签名信息中的发出信 息数据的终端的私钥加密得到； 所述信息摘要是明文信息的哈希值； 其中， 所述发出信息数 据的终端的私钥与所述发出信息数据的终端的终端证书中的公钥构成非对称秘钥对； 所述接收信息数据的终端验证所述发出信息数据的终端的签名信息， 包括：权　利　要　求　书 1/3 页 2 CN 114205162 A 2所述接收信息数据的终端从所述发出信息数据的终端的终端证书中获取所述发出信 息数据的终端的公钥； 所述接收信息数据的终端使用所述发出信息数据的终端的公钥解密所述发出信息数 据的终端的签名信息中的数字签名， 得到解密后的信息摘要； 所述接收信息数据的终端重新计算所述发出信息数据的终端的签名信息中的明文信 息的哈希值， 将得到的哈希值作为重新计算后的信息摘要； 所述接收信 息数据的终端比较所述重新计算后的信 息摘要和所述解密后的信 息摘要， 若比较结果 为相同， 则所述签名信息有效， 否则所述签名信息无效。 4.如权利要求2所述的基于区块链PKI互信认证的方法， 其特征在于， 所述特定区块链 网络包括指定共识 节点集群； 所述方法还 包括： 按以下步骤添加认证域： 通过所述特定区块链网络中的指定共识节点集群经区块链共识机制将待添加的认证 域对应的认证中心的根证书添加到所述特定区块链网络的账本中的根证书集中。 5.如权利要求2所述的基于区块链PKI互信认证的方法， 其特征在于， 所述特定区块链 网络包括指定共识 节点集群； 所述方法还 包括： 按以下步骤删除认证域： 通过所述特定区块链网络中的指定共识节点集群经区块链共识将待删除的认证域对 应的根证书从所述特定区块链网络的账本中的根证书集中删除。 6.如权利要求2所述的基于区块链PKI互信认证的方法， 其特 征在于， 所述方法还 包括： 按以下步骤添加区块链 节点： 通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点 分配节点证书； 使用所述根证书集中的所述待添加的区块链节点所在的认证域对应的根证书验证所 述待添加的区块链节点的节点证书， 若验证通过， 则将所述待添加的区块链节点加入到所 述特定区块链网络中。 7.如权利要求2所述的基于区块链PKI互信认证的方法， 其特 征在于， 还 包括： 按以下步骤为终端申请证书： 待申请证书的终端向所述待申请证书的终端要加入的认证域对应的认证中心提交申 请证书的请求； 所述待申请证书的终端要加入的认证域对应的认证中心审核所述申请证书的请求， 并 且审核通过后， 向所述待申请证书的终端签发 终端证书。 8.如权利要求2所述的基于区块链PKI互信认证的方法， 其特 征在于， 还 包括： 按以下步骤为终端吊销证书： 所述待吊销证书的终端向所述待吊销证书的终端所在的认证域对应的认证中心提交 吊销证书申请； 所述待吊销证书的终端所在的认证域对应的认证中心将所述待吊销证书的终端的终 端证书列入所述待吊销证书的终端所在的认证域的证书吊销列表； 通过所述特定区块链网络的智能合约按指定时间间隔周期性地将所述待吊销证书的权　利　要　求　书 2/3 页 3 CN 114205162 A 3