数字证书管理方法、装置及区块链节点.pdf

《数字证书管理方法、装置及区块链节点.pdf》由会员分享，可在线阅读，更多相关《数字证书管理方法、装置及区块链节点.pdf（21页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911386678.7 (22)申请日 2019.12.27 (71)申请人 上海市数字证书认证中心有限公司 地址 200080 上海市虹口区四川北路1717 号1808、 1809、 1810室 (72)发明人 崔久强李腾跃张芬赵鸣 郑宁 (74)专利代理机构 北京超凡宏宇专利代理事务 所(特殊普通合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 9/32(2006.01) H04L 29/06(2006.01) (54)发明名称 数字证书管理方法、 装。

2、置及区块链节点 (57)摘要 本申请提供了一种数字证书管理方法、 装置 及区块链节点， 其中， 该方法包括： 接收客户终端 发送的对第一数字证书的数字证书验证请求， 数 字证书验证请求携带验证数据及待验证的数字 证书标识； 从区块链的各个区块中获取数字证书 标识对应的验证信息， 区块链的各个区块中包括 已发布的数字证书的验证信息； 根据验证信息对 验证数据进行验证， 得到验证结果； 将验证结果 发送给客户终端。 权利要求书2页 说明书13页 附图5页 CN 111092737 A 2020.05.01 CN 111092737 A 1.一种数字证书管理方法， 其特征在于， 应用于区块链节点， 。

3、所述数字证书管理方法包 括： 接收客户终端发送的对第一数字证书的数字证书验证请求， 所述数字证书验证请求携 带验证数据及待验证的数字证书标识； 从区块链的各个区块中获取所述数字证书标识对应的第一验证信息， 所述区块链的各 个区块中包括已发布的数字证书的验证信息； 根据所述第一验证信息对所述验证数据进行验证， 得到验证结果； 将所述验证结果发送给所述客户终端。 2.根据权利要求1所述的方法， 其特征在于， 所述第一数字证书为目标电子印章携带的 数字证书， 所述数字证书验证请求还携带待验证的电子印章标识； 所述从区块链的各个区 块中获取所述数字证书标识对应的第一验证信息的步骤， 包括： 从所述区块。

4、链的各个区块中获取所述数字证书标识和所述电子印章标识对应的第一 验证信息， 所述第一验证信息包括第一证书信息和印章信息； 所述根据所述第一验证信息对所述验证数据进行验证， 得到验证结果的步骤， 包括： 根据所述第一证书信息对证书数据的有效性进行验证； 所述验证数据包括印章数据和 所述证书数据； 根据所述印章信息对所述电子印章标识对应的电子印章的有效性进行验证。 3.根据权利要求2所述的方法， 其特征在于， 所述证书数据包括所述第一数字证书的数 据原文以及所述数据原文对应的数字签名， 所述根据所述第一证书信息对证书数据的有效 性进行验证的步骤， 包括： 根据所述第一证书信息确定所述数字证书标识对。

5、应的所述第一数字证书的是否有效； 根据所述第一证书信息中的解密密钥对所述数字签名进行解密， 以根据解密后得到的 数字摘要确定所述数据原文是否为完整数据； 当所述第一数字证书在有效期内， 且所述数据原文为完整数据时， 则确定所述第一数 字证书的验证通过。 4.根据权利要求2所述的方法， 其特征在于， 所述根据所述印章信息对所述电子印章标 识对应的电子印章的有效性进行验证的步骤， 包括： 根据所述印章信息中的印章状态信息， 判断所述电子印章标识对应的电子印章当前状 态是否为有效， 所述印章状态信息为电子印章发布时， 或电子印章状态发生变更时产生的 状态信息。 5.根据权利要求1-4任意一项所述的方。

6、法， 其特征在于， 所述方法还包括： 获取第二数字证书及目标电子印章图案； 从所述区块链的各个区块中获取所述第二数字证书的第二证书信息； 根据所述第二证书信息验证所述的第二数字证书是否为有效证书； 当所述第二数字证书是有效证书时， 根据所述电子印章图案及所述第二数字证书形成 印章结构体； 将所述印章结构体转化成目标哈希值； 将所述目标哈希值、 所述印章结构体对应的印章信息形成一条交易信息写入所述区块 链中。 权利要求书 1/2 页 2 CN 111092737 A 2 6.根据权利要求5所述的方法， 其特征在于， 所述方法还包括： 获取第一数字证书的状态变更请求， 所述状态变更请求包括证书序列。

7、号以及变更目标 状态； 从所述区块链的各个区块中查询以所述证书序列号签发的所有电子印章的变更印章 信息； 将所述证书序列号、 所述变更印章信息以及所述变更目标状态形成一条交易信息写入 所述区块链中。 7.一种数字证书管理装置， 其特征在于， 应用于区块链节点， 所述数字证书管理装置包 括： 接收模块， 用于接收客户终端发送的对第一数字证书的数字证书验证请求， 所述数字 证书验证请求携带验证数据及待验证的数字证书标识； 获取模块， 用于从区块链的各个区块中获取所述数字证书标识对应的第一验证信息， 所述区块链的各个区块中包括已发布的数字证书的第一验证信息； 验证模块， 用于根据所述第一验证信息对所。

8、述验证数据进行验证， 得到验证结果； 发送模块， 用于将所述验证结果发送给所述客户终端。 8.一种区块链节点， 其特征在于， 包括： 处理器、 存储器， 所述存储器存储有所述处理器 可执行的机器可读指令， 当区块链节点运行时， 所述机器可读指令被所述处理器执行时执 行如权利要求1至6任一所述的方法的步骤。 9.一种区块链网络， 其特征在于， 包括： 第一区块链节点， 权利要求8所述的区块链节点， 用于执行如权利要求1至6任一所述的 方法的步骤； 第二区块链节点， 用于发布新的数字证书， 或， 对已发布的数组证书的状态进行更新。 10.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质。

9、上存储有计算机程 序， 该计算机程序被处理器运行时执行如权利要求1至6任一所述的方法的步骤。 权利要求书 2/2 页 3 CN 111092737 A 3 数字证书管理方法、 装置及区块链节点 技术领域 0001 本申请涉及计算机技术领域， 具体而言， 涉及一种数字证书管理方法、 装置及区块 链节点。 背景技术 0002 PKI(Public Key Infrastructure， 公钥基础设施)技术采用数字证书管理用户的 公钥， 通过CA(Certificate Authority， 电子认证服务)认证中心对用户的身份信息进行验 证， 将用户的公钥与用户的实体信息进行绑定， 在互联网上认证用。

10、户的信息。 但是在传统的 PKI技术中， 是将CA中心作为一完全受信任的机构， 信任该CA给用户签发的数字证书， 但是 CA中心如果被攻破， 就容易导致已经签发或待签发的数字证书存在安全隐患。 发明内容 0003 有鉴于此， 本申请实施例的目的在于提供一种数字证书管理方法、 装置及区块链 节点。 能够达到提高数字证书管理的安全性的效果。 0004 第一方面， 本申请实施例提供了一种数字证书管理方法， 应用于区块链节点， 所述 数字证书管理方法包括： 0005 接收客户终端发送的对第一数字证书的数字证书验证请求， 所述数字证书验证请 求携带验证数据及待验证的数字证书标识； 0006 从区块链的各。

11、个区块中获取所述数字证书标识对应的第一验证信息， 所述区块链 的各个区块中包括已发布的数字证书的验证信息； 0007 根据所述第一验证信息对所述验证数据进行验证， 得到验证结果； 0008 将所述验证结果发送给所述客户终端。 0009 在一实施方式中， 所述第一数字证书为目标电子印章携带的数字证书， 所述数字 证书验证请求还携带待验证的电子印章标识； 所述从区块链的各个区块中获取所述数字证 书标识对应的第一验证信息的步骤， 包括： 0010 从所述区块链的各个区块中获取所述数字证书标识和所述电子印章标识对应的 第一验证信息， 所述第一验证信息包括第一证书信息和印章信息； 0011 所述根据所述。

12、第一验证信息对所述验证数据进行验证， 得到验证结果的步骤， 包 括： 0012 根据所述第一证书信息对证书数据的有效性进行验证； 所述验证数据包括印章数 据和所述证书数据； 0013 根据所述印章信息对所述电子印章标识对应的电子印章的有效性进行验证。 0014 本申请实施例提供的数字证书管理方法， 还可以扩展到电子印章领域， 从而可以 实现电子印章的验证的安全， 提高电子印章的使用的安全、 有效性。 0015 在一实施方式中， 所述证书数据包括所述第一数字证书的数据原文以及所述数据 原文对应的数字签名， 所述根据所述第一证书信息对证书数据的有效性进行验证的步骤， 说明书 1/13 页 4 CN。

13、 111092737 A 4 包括： 0016 根据所述第一证书信息确定所述数字证书标识对应的所述第一数字证书的是否 有效； 0017 根据所述第一证书信息中的解密密钥对所述数字签名进行解密， 以根据解密后得 到的数字摘要确定所述数据原文是否为完整数据； 0018 当所述第一数字证书在有效期内， 且所述数据原文为完整数据时， 则确定所述第 一数字证书的验证通过。 0019 本申请实施例提供的数字证书管理方法， 还可以在区块链节点上通过将数据原文 与解密后的数据摘要确定出数字证书的有效性， 从而可以提高证书验证的安全性。 0020 在一实施方式中， 所述根据所述印章信息对所述电子印章标识对应的电。

14、子印章的 有效性进行验证的步骤， 包括： 0021 根据所述印章信息中的印章状态信息， 判断所述电子印章标识对应的电子印章当 前状态是否为有效， 所述印章状态信息为电子印章发布时， 或电子印章状态发生变更时产 生的状态信息。 0022 本申请实施例提供的数字证书管理方法， 印章的状态还可以根据需求设置， 在此 基础上， 还可以对电子印章的当前状态进行识别确定， 从而可以提高电子印章的有效性的 判断的准确性， 从而提高电子印章的使用的安全。 0023 在一实施方式中， 所述方法还包括： 0024 获取第二数字证书及目标电子印章图案； 0025 从所述区块链的各个区块中获取所述第二数字证书的第二证。

15、书信息； 0026 根据所述第二证书信息验证所述的第二数字证书是否为有效证书； 0027 当所述第二数字证书是有效证书时， 根据所述电子印章图案及所述第二数字证书 形成印章结构体； 0028 将所述印章结构体转化成目标哈希值； 0029 将所述目标哈希值、 所述印章结构体对应的印章信息形成一条交易信息写入所述 区块链中。 0030 本申请实施例提供的数字证书管理方法， 还可以在链上发布电子印章， 从而可以 使区块链上有印章的发布时的相关数据， 从而可以提高电子印章使用的安全性。 0031 在一实施方式中， 所述方法还包括： 0032 获取第一数字证书的状态变更请求， 所述状态变更请求包括证书序。

16、列号以及变更 目标状态； 0033 从所述区块链的各个区块中查询以所述证书序列号签发的所有电子印章的变更 印章信息； 0034 将所述证书序列号、 所述变更印章信息以及所述变更目标状态形成一条交易信息 写入所述区块链中。 0035 本申请实施例提供的数字证书管理方法， 还可以在区块链上记录电子印章状态的 变更， 从而可以使区块链节点能够更准确地判断电子印章有效性。 0036 第二方面， 本申请实施例还提供一种数字证书管理装置， 应用于区块链节点， 所述 数字证书管理装置包括： 说明书 2/13 页 5 CN 111092737 A 5 0037 接收模块， 用于接收客户终端发送的对第一数字证书。

17、的数字证书验证请求， 所述 数字证书验证请求携带验证数据及待验证的数字证书标识； 0038 获取模块， 用于从区块链的各个区块中获取所述数字证书标识对应的第一验证信 息， 所述区块链的各个区块中包括已发布的数字证书的第一验证信息； 0039 验证模块， 用于根据所述第一验证信息对所述验证数据进行验证， 得到验证结果； 0040 发送模块， 用于将所述验证结果发送给所述客户终端。 0041 第三方面， 本申请实施例还提供一种区块链节点， 包括： 处理器、 存储器， 所述存储 器存储有所述处理器可执行的机器可读指令， 当区块链节点运行时， 所述机器可读指令被 所述处理器执行时执行上述第一方面， 或。

18、第一方面的任一种可能的实施方式中的方法的步 骤。 0042 第四方面， 本申请实施例还提供一种计算机可读存储介质， 该计算机可读存储介 质上存储有计算机程序， 该计算机程序被处理器运行时执行上述第一方面， 或第一方面的 任一种可能的实施方式中的方法的步骤。 0043 本申请实施例提供的数字证书管理方法、 装置、 区块链节点及计算机可读存储介 质， 采用通过区块链上的节点对数字证书进行验证， 与现有技术中的仅依赖CA认证中心来 对数字证书的验证相比， 其由于区块链这一安全的使用环境， 可以提高数字证书验证的安 全性。 0044 为使本申请的上述目的、 特征和优点能更明显易懂， 下文特举实施例， 。

19、并配合所附 附图， 作详细说明如下。 附图说明 0045 为了更清楚地说明本申请实施例的技术方案， 下面将对实施例中所需要使用的附 图作简单地介绍， 应当理解， 以下附图仅示出了本申请的某些实施例， 因此不应被看作是对 范围的限定， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这 些附图获得其他相关的附图。 0046 图1为本申请实施例提供的区块链网络的交互示意图 0047 图2为本申请实施例提供的区块链节点的方框示意图。 0048 图3为本申请实施例提供的数字证书管理方法的流程图。 0049 图4为本申请实施例提供的数字证书管理方法的步骤205的详细流程图。 005。

20、0 图5为本申请实施例提供的数字证书管理方法的部分流程图。 0051 图6a为本申请实施例提供的数字证书管理方法中使用的区块示意图。 0052 图6b为本申请实施例提供的数字证书管理方法中使用的区块中部分信息示意图。 0053 图7为本申请实施例提供的数字证书管理方法的流程图 0054 图8为本申请实施例提供的数字证书管理装置的功能模块示意图。 具体实施方式 0055 下面将结合本申请实施例中附图， 对本申请实施例中的技术方案进行描述。 0056 应注意到： 相似的标号和字母在下面的附图中表示类似项， 因此， 一旦某一项在一 个附图中被定义， 则在随后的附图中不需要对其进行进一步定义和解释。 。

21、同时， 在本申请的 说明书 3/13 页 6 CN 111092737 A 6 描述中， 术语 “第一” 、“第二” 等仅用于区分描述， 而不能理解为指示或暗示相对重要性。 0057 目前PKI-CA的工作原理通常是： 通过发放和维护数字证书来建立一套信任网络， 在同一信任网络中的用户可以通过申请到的数字证书来完成身份认证和安全处理。 但是CA 认证中心一旦存在安全隐患， 该CA中心信息有被截获和篡改的风险。 另外， 如果CA认证中心 受到恶意攻击， 一旦被控制， CA认证中心以及该CA认证中心已经签发的数字证书和电子印 章都不再可信。 0058 与CA中心化技术相对的是区块链技术， 它是一种。

22、可以在去中心化网络环境中， 按 照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构， 并以密码学方式保 证的不可篡改和不可伪造的分布式账本。 区块链使用分布式数据存储、 共识机制、 防篡改等 技术， 提供了以去中心化方式建立信任关系。 0059 基于上述研究， 本申请提供的一种数字证书管理方法、 装置、 区块链节点、 区块链 网络以及计算机可读存储介质。 可以使用去中心的方式对数字证书进行管理， 提高数字证 书的管理的安全性。 下面通过几个实施例对上述研究进行详细描述。 0060 实施例一 0061 为便于对本实施例进行理解， 首先对执行本申请实施例所公开的一种数字证书管 理方法的运。

23、行环境进行详细介绍。 0062 如图1所示， 是本申请实施例提供的区块链网络进行交互的示意图。 本实施例中的 区块链网络可以包括多个区块链节点。 各个区块链节点通过网络进行通信连接， 以进行数 据通信或交互。 区块链节点可以是网络服务器、 数据库服务器(图示中的服务器110、 120、 130)等； 区块链节点也可以是个人电脑(personal computer， PC)(图示中的150)、 平板电 脑、 智能手机(图示中的140)、 个人数字助理(personal digital assistant， PDA)等。 0063 可选地， 上述的区块链网络可以是联盟链。 可选地， 区块链网络中可。

24、以包括第一区 块链节点， 用于执行该区块链网络可以执行的数字证书的验证等步骤。 0064 可选地， 区块链网络中可以包括第二区块链节点， 该第二区块链节点， 用于发布新 的数字证书， 或， 对已发布的数组证书的状态进行更新。 可选地， 上述的用于验证的第一区 块链节点可以与用于发布或更新数字证书的第二区块链节点可以是同一节点， 也可以是不 同节点。 0065 本实施例中， 上述的区块链网络中还可以包括第三区块链节点， 该第三区块链节 点与第一区块链节点和第二区块链节点可以通信连接， 用于存储区块链的各个区块。 0066 示例性地， 每一个加入联盟链的CA认证中心都作为区块链网络中的一个区块链节。

25、 点， 可以发布、 更新CA认证中心中的数字证书和电子印章。 以及通过区块链验证其他CA发布 的数字证书。 可选地， 若一CA认证中心也可以用于制作电子印章， 则CA认证中心加入联盟链 后， 则可以在链上制作电子印章。 0067 本实施例中， 存储在区块链网络中的各个区块链节点中的区块链的各个区块中记 录着区块链中每一份数字证书和与该数字证书相关的动作， 以及动作执行之后的数字证书 状态。 0068 区块链的区块是一种记录交易的数据结构。 每个区块由区块头和区块主体组成， 区块主体只负责记录前一段时间内的所有交易信息， 区块链的大部分功能都由区块头实 现。 说明书 4/13 页 7 CN 11。

26、1092737 A 7 0069 每个区块中包含一哈希值， 该哈希值唯一标识该区块。 其中， 哈希值也可以称为散 列值。 哈希值可以是使用SHA256加密算法计算得出的一串值。 0070 每个区块还可以包括时间戳。 时间戳服务是一款基于PKI技术的时间戳权威系统， 可以提供精确可信的时间戳服务。 0071 因此， 区块链中的每个区块储存着多类信息， 主要包含了以下内容： 1)每个区块的 中储存着一个散列值， 代表了该区块的唯一标识； 2)带有时间戳的最近的交易信息； 3)前一 个区块的散列值。 0072 区块链中的所有区块前后相连形成一个链条。 示例性地， 如果区块链中的其中一 个区块损坏， 。

27、则可以根据它前后两个区块的交易信息， 补全缺失的交易信息。 其中， 每个区 块的交易信息包括： 1)交易时间戳； 2)交易所有者的公钥； 3)由前一交易信息和当前交易所 有者的公钥生成的散列值； 4)前一区块的数字签名。 0073 本实施例中， 当新的交易信息加入进来时， 利用当前交易所有者的公钥和上一条 交易信息， 生成一个唯一的散列值， 作为此条交易信息的唯一标识。 同时， 上一条交易的所 有者使用自己的私钥， 对此条交易的散列值进行签名， 作为标记储存在交易的区块中。 0074 如图2所示， 是区块链节点的方框示意图。 区块链节点200可以包括存储器211、 存 储控制器212、 处理器。

28、213、 外设接口214、 输入输出单元215、 显示单元216。 本领域普通技术 人员可以理解， 图2所示的结构仅为示意， 其并不对区块链节点200的结构造成限定。 例如， 区块链节点200还可包括比图2中所示更多或者更少的组件， 或者具有与图2所示不同的配 置。 本实施例中的区块链节点可以作为图2所示的区块链网络中的任一区块链节点的实施 设备。 0075 上述的存储器211、 存储控制器212、 处理器213、 外设接口214、 输入输出单元215及 显示单元216各元件相互之间直接或间接地电性连接， 以实现数据的传输或交互。 例如， 这 些元件相互之间可通过一条或多条通讯总线或信号线实现。

29、电性连接。 上述的处理器213用 于执行存储器中存储的可执行模块。 0076 其中， 存储器211可以是， 但不限于， 随机存取存储器(Random Access Memory， 简 称RAM)， 只读存储器(Read Only Memory， 简称ROM)， 可编程只读存储器(Programmable Read-Only Memory， 简称PROM)， 可擦除只读存储器(Erasable Programmable Read-Only Memory， 简称EPROM)， 电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory， 简称。

30、EEPROM)等。 其中， 存储器211用于存储程序， 所述处理器213在接收到执行指令 后， 执行所述程序， 本申请实施例任一实施例揭示的过程定义的区块链节点200所执行的方 法可以应用于处理器213中， 或者由处理器213实现。 0077 上述的处理器213可能是一种集成电路芯片， 具有信号的处理能力。 上述的处理器 213可以是通用处理器， 包括中央处理器(Central Processing Unit， 简称CPU)、 网络处理 器(Network Processor， 简称NP)等； 还可以是数字信号处理器(digital signal processor， 简称DSP)、 专用集成。

31、电路(Application Specific Integrated Circuit， 简称 ASIC)、 现场可编程门阵列(FPGA)或者其他可编程逻辑器件、 分立门或者晶体管逻辑器件、 分立硬件组件。 可以实现或者执行本申请实施例中的公开的各方法、 步骤及逻辑框图。 通用 处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。 0078 上述的外设接口214将各种输入/输出装置耦合至处理器213以及存储器211。 在一 说明书 5/13 页 8 CN 111092737 A 8 些实施例中， 外设接口214， 处理器213以及存储控制器212可以在单个芯片中实现。 在其他 一些实例中。

32、， 他们可以分别由独立的芯片实现。 0079 上述的输入输出单元215用于提供给用户输入数据。 所述输入输出单元215可以 是， 但不限于， 鼠标和键盘等。 0080 上述的显示单元216在区块链节点200与用户之间提供一个交互界面(例如用户操 作界面)或用于显示图像数据给用户参考。 在本实施例中， 所述显示单元可以是液晶显示器 或触控显示器。 若为触控显示器， 其可为支持单点和多点触控操作的电容式触控屏或电阻 式触控屏等。 支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个 或多个位置处同时产生的触控操作， 并将该感应到的触控操作交由处理器进行计算和处 理。 0081 本实施。

33、例中的区块链节点200可以用于执行本申请实施例提供的各个方法中的各 个步骤。 下面通过几个实施例详细描述数字证书管理方法的实现过程。 0082 实施例二 0083 请参阅图3， 是本申请实施例提供的数字证书管理方法的流程图。 下面将对图3所 示的具体流程进行详细阐述。 0084 步骤201， 接收客户终端发送的对第一数字证书的数字证书验证请求。 0085 其中， 数字证书验证请求携带验证数据及待验证的数字证书标识。 0086 本实施例中， 数字证书标识可以用于表示待验证的数字证书。 示例性地， 数字证书 标识可以是数字证书的序号。 0087 步骤203， 从区块链的各个区块中获取所述数字证书标。

34、识对应的第一验证信息。 0088 区块链的各个区块中包括已发布的数字证书的验证信息。 0089 其中， 电子印章是数字证书的一项主要应用。 电子印章的实现方式是将数字签名 通过数字水印、 加密等技术， 使数字签名和电子印章图案进行有效的绑定。 例如， 利用隐藏 技术将数据隐藏在电子印章的图像中等。 电子印章加盖的电子文件具有与使用物理印章的 纸质文件同等的法律效力。 验证电子印章真伪主要是通过验证数字签名以实现电子印章的 验证。 所以当电子印章中隐藏的数字签名对应的数字证书被吊销或冻结时， 那么该电子印 章效力随即变更。 0090 可选地， 上述的第一数字证书可以为目标电子印章携带的数字证书，。

35、 数字证书验 证请求还携带待验证的电子印章标识。 步骤203可以包括： 从所述区块链的各个区块中获取 所述数字证书标识和所述电子印章标识对应的第一验证信息。 0091 第一验证信息包括第一证书信息和印章信息。 0092 示例性地， 上述的第一证书信息可以包括： 证书状态信息、 解密密钥、 证书序列号、 证书主体标识等。 示例性地， 证书状态信息可以包括： 有效、 吊销、 过期等。 可以知道的是， 每 一数字证书在每一时刻仅对应一个状态信息。 例如， 一数字证书在其中一时间节点仅可能 是有效、 吊销、 过期中的一种状态。 0093 示例性地， 印章信息可以包括： 印章状态信息、 印章序列号、 印。

36、章所属主体等。 0094 示例性地， 印章状态信息可以包括： 吊销、 有效、 过期、 中断等。 可以知道的是， 每一 电子印章在每一时刻仅对应一个状态信息。 例如， 一电子印章在其中一时间节点仅可能是 吊销、 有效、 过期、 中断中的一种状态。 说明书 6/13 页 9 CN 111092737 A 9 0095 示例性地， 印章序列号可以唯一表示一电子印章。 0096 本实施例中， 每一数字证书可以对应绑定一个或多个电子印章。 0097 步骤205， 根据所述第一验证信息对所述验证数据进行验证， 得到验证结果。 0098 可选地， 如图4所示， 步骤205可以包括以下步骤。 0099 步骤2。

37、051， 根据所述第一证书信息对证书数据的有效性进行验证。 0100 其中， 验证数据可以包括印章数据和证书数据。 0101 本实施例中， 可以使用第一证书信息对证书数据进行验证； 可以使用印章信息对 印章数据进行验证。 0102 本实施例中， 数字证书的验证是通过对接收到的数字签名进行验证。 0103 在一实施方式中， 证书数据可以包括所述第一数字证书的数据原文以及根据所述 数据原文的数字签名。 步骤2051可以包括以下步骤。 0104 a、 根据所述第一证书信息确定所述数字证书标识对应的所述第一数字证书的是 否有效。 0105 本实施例中， 第一证书信息包括区块链中的所有区块中记录的关于第。

38、一数字证书 的信息。 0106 示例性地， 可以根据第一数字证书所有证书信息中的状态信息的最新状态确定出 第一数字证书是否为有效数字证书。 0107 示例性地， 如果第一数字证书的状态经过三次更改， 第一次为数字证书签发时， 当 前状态为有效； 第二次为中止数字证书的使用， 则当前状态更改为中断； 第三次为恢复数字 证书的使用， 则当前状态被更改为有效。 在此实例中， 则可以根据第三次记录的状态信息确 定第一数字证书为有效状态。 0108 b、 根据所述第一证书信息中的解密密钥对所述数字签名进行解密， 以根据解密后 得到的数字摘要确定所述数据原文是否为完整数据。 0109 本实施例中， 接收到。

39、客户终端发送的证书数据可以包括数字签名和数据原文。 0110 其中， 数字签名可以是将数据原文的摘要信息使用私钥加密得到的签名。 0111 可选地， 可以使用哈希函数将上述的数据原文进行处理， 以得到摘要信息。 将该摘 要信息与上述解密得到的数字摘要进行对比， 以确定数据原文是否为完整数据。 0112 c、 当所述第一数字证书在有效期内， 且所述数据原文为完整数据时， 则确定所述 第一数字证书的验证通过。 0113 步骤2052， 根据所述印章信息对所述电子印章标识对应的电子印章的有效性进行 验证。 0114 步骤2052可以包括： 根据所述印章信息中的印章状态信息， 判断所述电子印章标 识对。

40、应的电子印章当前状态是否为有效。 0115 其中， 印章状态信息为电子印章发布时， 或电子印章状态发生变更时产生的状态 信息。 0116 示例性地， 可以根据目标电子印章所有印章信息中的状态信息的最新状态确定出 目标电子印章是否为有效电子印章。 0117 示例性地， 如果目标电子印章的状态经过两次更改， 第一次为电子印章签发时， 当 前状态为有效； 第二次为吊销目标电子印章， 则当前状态更改为吊销。 在此实例中， 则可以 说明书 7/13 页 10 CN 111092737 A 10 根据第三次记录的状态信息确定目标电子印章为吊销状态， 则目标电子印章为无效印章。 0118 步骤207， 将所。

41、述验证结果发送给所述客户终端。 0119 示例性地， 若上述步骤是用于对电子印章的验证， 则将有效的结果发送给客户终 端时， 则客户终端再使用目标电子印章为目标文件盖章； 将无效的结果发送给客户终端时， 则客户终端不再使用目标电子印章为目标文件盖章。 0120 通过上述的步骤可以实现对数字证书的验证和电子印章的验证。 但是为了使用数 字证书的各个阶段都处于相关更安全的环境中。 如图5所示， 本实施例中的方法还可以包括 以下步骤。 0121 步骤208， 获取第二数字证书及目标电子印章图案。 0122 本实施例中， 上述的第二数字证书可以是已经发布的使用中的数字证书。 也可以 是为了制作电子印章。

42、而当前发布的一数字证书。 0123 本实施例中， 已经发布的数字证书的证书信息可以被广播至区块链中的各个节点 中， 且被认证通过后可以存储在一区块链的区块中。 0124 可选地， 上述的第二数字证书及目标电子印章图案可以是由其中一个CA节点发布 的信息； 也可以是由一客户终端发送的信息。 0125 步骤209， 从所述区块链的各个区块中获取所述第二数字证书的第二证书信息。 0126 步骤210， 根据所述第二证书信息验证所述的第二数字证书是否为有效证书。 0127 可选地， 步骤210中通过第二证书信息对第二数字证书的验证过程可以与步骤 2051的验证过程类似， 具体可以参考步骤2501中的描。

43、述， 在此不再赘述验证过程。 0128 步骤211， 当所述第二数字证书是有效证书时， 根据所述电子印章图案及所述第二 数字证书形成印章结构体。 0129 步骤212， 将所述印章结构体转化成目标哈希值。 0130 本实施例中， 可以使用一哈希算法将印章结构体转化成目标哈希值。 0131 步骤213， 将所述目标哈希值、 所述印章结构体对应的印章信息形成一条交易信息 写入所述区块链中。 0132 示例性地， 如图6a和6b所示， 用于存储印章信息的区块中的信息可以包括如下信 息： 当前区块的哈希值、 前一区块的哈希值、 随机数、 用来实现区块间的链接、 用来实现挖矿 机制、 当前时段所有交易单。

44、的哈希值。 如图6b所示， 当前时段所有交易单的哈希值中的任意 交易单可以包括： 上链资源哈希值、 扩展项A至扩展项n以及数字签名。 0133 示例性地， 上述的当前区块的哈希值可以通过上一个区块哈希值和随机数， 以及 当前时段所有交易单的哈希值进行哈希计算得到。 0134 示例性地， 上述的当前时段所有交易单的哈希值由该区块主体中的所有交易单中 的上链资源哈希值， 进行逐级计算得到。 可选地， 逐级计算可以表示为： 交易单1中的上链资 源哈希值与交易单2中的上链资源哈希值进行哈希计算， 得到一哈希值； 再将该哈希值与交 易单3的上链资源哈希值进行哈希计算， 以此类推， 得到当前时段所有交易单。

45、的哈希值。 0135 可选地， 可以将本地内存中的数字证书、 电子印章操作信息记录到区块主体中。 其 次， 还可以在区块主体中生成此区块中所有数字证书、 电子印章操作信息的可信Merkle树， 把Merkle树根的值保存在区块头中。 0136 再次， 可以将前一区块的区块头的数据通过哈希算法生成一个哈希值填入到当前 说明书 8/13 页 11 CN 111092737 A 11 区块的哈希值中。 再次， 可以当前生成区块的区块头的数据通过哈希算法生成一个哈希值 填入到当前区块的哈希值中。 再次， 生成当前区块的当前时间保存在时间戳字段中。 再次， 难度值字段会根据之前一段时间区块的平均生成时间。

46、进行调整。 通过将难度值字段的调整 以应对整个网络不断变化的整体计算总量， 如果计算总量增长了， 则系统会调高数学题的 难度值， 使得预期完成下一个区块的时间依然在一定时间。 0137 本实施例中， 数字证书的序列号可以作为上链交易的唯一标识。 0138 由于本实施例提供的区块链节点可以是不同的CA认证中心， 为了避免不同的CA认 证中心所发布的数字证书的序列号不重复。 本实施例中， 图6a所示的用来实现挖矿机制中 可以定义证书序列号的生成规则。 以防止不同的CA认证中心发布的数字证书的序列号的重 复。 0139 可选地， 当一数字证书发布时， 证书的发布操作可以作为一次交易信息的上链， 具 。

47、体一笔数字证书对应的交易信息可以如下表： 0140 0141 本实施例中， 证书序列号可以唯一标识一数字证书。 证书状态可以包括多种， 例 如， 有效、 吊销、 终止等。 企业名称、 企业统一信用代码、 其他基本信息可以包括使用发布的 该数字证书的企业信息。 0142 本实施例中， 还可以通过区块链的交易的形式对数字证书或电子印章的状态的状 态进行变更。 如图7所示， 本实施例中的数字证书管理方法还可以包括以下步骤。 0143 步骤214， 获取第一数字证书的状态变更请求。 0144 状态变更请求包括证书序列号以及变更目标状态。 0145 可选地， 状态变更请求可以包括证书注销请求、 证书暂停。

48、请求、 证书恢复有效请求 等。 0146 可选地， 状态变更请求可以包括印章注销请求、 印章暂停请求、 印章恢复有效请求 等。 0147 本实施例中， 状态变更请求可以由一客户终端发送， 也可以由发布该第一数字证 书的CA认证中心发送。 可选地， 发布该第一数字证书的CA认证中心可以是区块链中的一节 点。 0148 步骤215， 从所述区块链的各个区块中查询以所述证书序列号签发的所有电子印 章的变更印章信息。 0149 变更印章信息可以包括待变更的印章的印章信息， 和该待变更的印章所使用的数 字证书的证书信息。 0150 本实施例中， 状态变更请求中还可以包括需要变更状态的数字证书的证书数据。。

49、 说明书 9/13 页 12 CN 111092737 A 12 在步骤2016之前， 还可以包括： 使用变更印章信息中的证书信息对证书数据进行验证， 在验 证成功之后再执行步骤216。 0151 步骤216， 将所述证书序列号、 所述变更印章信息以及所述变更目标状态形成一条 交易信息写入所述区块链中。 0152 当电子印章中的数字证书的状态发生变更时， 对应的上链的交易信息可以如下表 所示： 0153 0154 0155 如上表可以知道， 在印章的状态发生改变时， 交易信息相较于发布数字证书时， 多 了两个扩展项： 印章序列号和印章状态。 印章序列号为发布印章时， 形成的唯一标识该印章 的序。

50、列号。 0156 本实施例中， 当电子印章所使用的数字证书为失效状态时， 该电子印章的效力也 将失效。 0157 当数字证书状态发生变更时， 以吊销为例， 则根据证书序列号调用电子印章系统 进行查询该数字证书签发的电子印章， 然后将数字证书、 电子印章等信息以一笔交易上链， 此时交易信息可以如下表所示。 说明书 10/13 页 13 CN 111092737 A 13 0158 0159 本实施例中的数字证书管理方法， 采用区块链作为应用背景， 区块链用于存储CA 操作数字证书的记录以及电子印章信息， 并由CA通过共识机制进行维护， 将数字证书、 电子 印章以区块链的方式进行发布、 存储、 更。