基于区块链网络的证书吊销方法及装置与流程

本发明涉及区块链领域，特别涉及一种基于区块链网络的证书吊销方法及装置。

背景技术：

在联盟链系统中，为提高区块链网络的隐私性与安全性，需要使用ca证书来管控区块链节点的接入。由于区块链节点的对等性，即每个节点同时持有根证书及其节点证书。因此在ca证书吊销是，需要将吊销的证书列表同步到每个节点。现有一些方案利用区块链自身的特性，将证书吊销过程设计为智能合约实现，而智能合约中的数据可以实时、无差别地同步到区块链的每个节点；该方案无需单独部署证书服务器，有效降低了运营成本，并避免了证书服务器带来的单点失效问题。然而，其数据传输方式较为单一，不能满足用户对多样化数据传输方式的需求。另外，由于未采取加密措施，数据传输的安全性不高。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种具有多种数据传输方式、能满足用户对多样化数据传输方式的需求、数据传输的安全性较高的基于区块链网络的证书吊销方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种基于区块链网络的证书吊销方法，包括如下步骤：

a)对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块；所述无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合；

b)对所述加密后的证书吊销交易解密后，进行共识，执行证书吊销智能合约以变更吊销证书列表；

c)将区块链节点的证书验证模块与变更后的所述吊销证书列表进行信息同步；

d)根据所述吊销证书列表，与证书吊销的节点断开连接，并拒绝所述证书吊销的节点后续的网络接入。

在本发明所述的基于区块链网络的证书吊销方法中，所述加密算法为des加密算法、aes加密算法、rsa加密算法、base64加密算法、md5加密算法、sha1加密算法、hmac加密算法、3des加密算法、ecc加密算法、rc2加密算法、rc4加密算法、idea加密算法或blowfish加密算法。

在本发明所述的基于区块链网络的证书吊销方法中，所述证书吊销交易包含待吊销的证书凭证信息。

在本发明所述的基于区块链网络的证书吊销方法中，所述证书凭证信息包括证书序编号、证书指纹和证书节点地址。

本发明还涉及一种实现上述基于区块链网络的证书吊销方法的装置，包括：

加密发送单元：用于对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块；所述无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合；

智能合约执行单元：用于对所述加密后的证书吊销交易解密后，进行共识，执行证书吊销智能合约以变更吊销证书列表；

信息同步单元：用于将区块链节点的证书验证模块与变更后的所述吊销证书列表进行信息同步；

节点断开单元：用于根据所述吊销证书列表，与证书吊销的节点断开连接，并拒绝所述证书吊销的节点后续的网络接入。

在本发明所述的装置中，所述加密算法为des加密算法、aes加密算法、rsa加密算法、base64加密算法、md5加密算法、sha1加密算法、hmac加密算法、3des加密算法、ecc加密算法、rc2加密算法、rc4加密算法、idea加密算法或blowfish加密算法。

在本发明所述的装置中，所述证书吊销交易包含待吊销的证书凭证信息。

在本发明所述的装置中，所述证书凭证信息包括证书序编号、证书指纹和证书节点地址。

实施本发明的基于区块链网络的证书吊销方法及装置，具有以下有益效果：由于对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块；无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合；其提供了多种无线通讯方式，本发明具有多种数据传输方式、能满足用户对多样化数据传输方式的需求、数据传输的安全性较高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于区块链网络的证书吊销方法及装置一个实施例中方法的流程图；

图2为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明基于区块链网络的证书吊销方法及装置实施例中，其基于区块链网络的证书吊销方法的流程图如图1所示。图1中，该基于区块链网络的证书吊销方法包括如下步骤：

步骤s01对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块：本步骤中，对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块。证书吊销交易包含待吊销的证书凭证信息。证书凭证信息包括证书序编号、证书指纹和证书节点地址。上述加密算法为des加密算法、aes加密算法、rsa加密算法、base64加密算法、md5加密算法、sha1加密算法、hmac加密算法、3des加密算法、ecc加密算法、rc2加密算法、rc4加密算法、idea加密算法或blowfish加密算法。通过数据加密，可以提高数据传输的安全性。

des加密算法是一种分组密码，以64位为分组对数据加密，它的密钥长度是56位，加密解密用同一算法。des加密算法是对密钥进行保密，而公开算法，包括加密和解密算法。这样，只有掌握了和发送方相同密钥的人才能解读由des加密算法加密的密文数据。因此，破译des加密算法实际上就是搜索密钥的编码。对于56位长度的密钥来说，如果用穷举法来进行搜索的话，其运算次数为256。随着计算机系统能力的不断发展，des加密算法的安全性比它刚出现时会弱得多，然而从非关键性质的实际出发，仍可以认为它是足够的。不过，des加密算法现在仅用于旧系统的鉴定，而更多地选择新的加密标准。

aes加密算法是密码学中的高级加密标准，该加密算法采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。这种加密算法是美国联邦政府采用的区块加密标准，这个标准用来替代原先的des，已经被多方分析且广为全世界所使用。aes加密算法被设计为支持128/192/256位(/32＝nb)数据块大小(即分组长度)；支持128/192/256位(/32＝nk)密码长度，在10进制里，对应34×1038、62×1057、1.1×1077个密钥。

rsa加密算法是目前最有影响力的公钥加密算法，并且被普遍认为是目前最优秀的公钥方案之一。rsa加密算法是第一个能同时用于加密和数宇签名的算法，它能够抵抗到目前为止已知的所有密码攻击，已被iso推荐为公钥数据加密标准。rsa加密算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

base64加密算法是网络上最常见的用于传输8bit字节代码的编码方式之一，base64编码可用于在http环境下传递较长的标识信息。例如，在javapersistence系统hibemate中，采用了base64来将一个较长的唯一标识符编码为一个字符串，用作http表单和httpgeturl中的参数。在其他应用程序中，也常常需要把二进制数据编码为适合放在url(包括隐藏表单域)中的形式。此时，采用base64编码不仅比较简短，同时也具有不可读性，即所编码的数据不会被人用肉眼所直接看到。

md5加密算法为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。对md5加密算法简要的叙述可以为：md5加密算法以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成—个128位散列值。md5加密算法被广泛用于各种软件的密码认证和钥匙识别上。md5加密算法用的是哈希函数，它的典型应用是对一段信息产生信息摘要，以防止被篡改。md5加密算法的典型应用是对一段message产生fingerprin指纹，以防止被“篡改”。如果再有—个第三方的认证机构，用md5加密算法还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。md5加密算法还广泛用于操作系统的登陆认证上，如unix、各类bsd系统登录密码、数字签名等诸多方。

sha1加密算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段(通常更小)密文，也可以简单的理解为取一串输入码(称为预映射或信息)，并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。单向散列函数的安全性在于其产生散列值的操作过程具有较强的单向性。如果在输入序列中嵌入密码，那么任何人在不知道密码的情况下都不能产生正确的散列值，从而保证了其安全性。该sha1加密算法输入报文的长度不限，产生的输出是一个160位的报文摘要。输入是按512位的分组进行处理的。sha1加密算法是不可逆的、防冲突，并具有良好的雪崩效应。

通过散列算法可实现数字签名实现，数字签名的原理是将要传送的明文通过一种函数运算(hash)转换成报文摘要(不同的明文对应不同的报文摘要)，报文摘要加密后与明文一起传送给接受方，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致表示明文未被改动，如果不一致表示明文已被篡改。

hmac加密算法是密钥相关的哈希运算消息认证码(hash-basedmessageauthenticationcode)，hmac加密算法利用哈希算法(md5、sha1等)，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。hmac发送方和接收方都有的key进行计算，而没有这把key的第三方，则是无法计算出正确的散列值的，这样就可以防止数据被篡改。

3des加密算法是基于des的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高。

ecc加密算法也是一种非对称加密算法，主要优势是在某些情况下，它比其他的方法使用更小的密钥，比如rsa加密算法，提供相当的或更高等级的安全级别。不过一个缺点是加密和解密操作的实现比其他机制时间长(相比rsa加密算法，该ecc加密算法对cpu消耗严重)。

rc2加密算法和rc4加密算法用变长密钥对大量数据进行加密，比des加密算法快。idea加密算法是国际数据加密算法，使用128位密钥提供非常强的安全性。blowfish加密算法使用变长的密钥，长度可达448位，运行速度很快。

无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。通过设置多种无线通信方式，不仅可以增加无线通信方式的灵活性，还能满足不同用户和不同场合的需求。尤其是采用lora模块时，其通信距离较远，且通信性能较为稳定，适用于对通信质量要求较高的场合。采用5g通信方式可以达到高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。其提供多种无线通信方式，本发明的基于区块链网络的证书吊销方法具有多种数据传输方式、能满足用户对多样化数据传输方式的需求。

步骤s02对加密后的证书吊销交易解密后，进行共识，执行证书吊销智能合约以变更吊销证书列表：本步骤中，对加密后的证书吊销交易解密后，进行共识，执行证书吊销智能合约以变更吊销证书列表。

步骤s03将区块链节点的证书验证模块与变更后的吊销证书列表进行信息同步：本步骤中，将区块链节点的证书验证模块与变更后的吊销证书列表进行信息同步。

步骤s04根据吊销证书列表，与证书吊销的节点断开连接，并拒绝证书吊销的节点后续的网络接入：本步骤中，根据吊销证书列表，与证书吊销的节点断开连接，并拒绝证书吊销的节点后续的网络接入。

本实施例还涉及一种实现上述基于区块链网络的证书吊销方法的装置，该装置的结构示意图如图2所示。图2中，该装置包括加密发送单元1、智能合约执行单元2、信息同步单元3和节点断开单元4。

加密发送单元1用于对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块。上述加密算法为des加密算法、aes加密算法、rsa加密算法、base64加密算法、md5加密算法、sha1加密算法、hmac加密算法、3des加密算法、ecc加密算法、rc2加密算法、rc4加密算法、idea加密算法或blowfish加密算法。通过数据加密，可以提高数据传输的安全性。

des加密算法是一种分组密码，以64位为分组对数据加密，它的密钥长度是56位，加密解密用同一算法。des加密算法是对密钥进行保密，而公开算法，包括加密和解密算法。这样，只有掌握了和发送方相同密钥的人才能解读由des加密算法加密的密文数据。因此，破译des加密算法实际上就是搜索密钥的编码。对于56位长度的密钥来说，如果用穷举法来进行搜索的话，其运算次数为256。随着计算机系统能力的不断发展，des加密算法的安全性比它刚出现时会弱得多，然而从非关键性质的实际出发，仍可以认为它是足够的。不过，des加密算法现在仅用于旧系统的鉴定，而更多地选择新的加密标准。

aes加密算法是密码学中的高级加密标准，该加密算法采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。这种加密算法是美国联邦政府采用的区块加密标准，这个标准用来替代原先的des，已经被多方分析且广为全世界所使用。aes加密算法被设计为支持128/192/256位(/32＝nb)数据块大小(即分组长度)；支持128/192/256位(/32＝nk)密码长度，在10进制里，对应34×1038、62×1057、1.1×1077个密钥。

rsa加密算法是目前最有影响力的公钥加密算法，并且被普遍认为是目前最优秀的公钥方案之一。rsa加密算法是第一个能同时用于加密和数宇签名的算法，它能够抵抗到目前为止已知的所有密码攻击，已被iso推荐为公钥数据加密标准。rsa加密算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

base64加密算法是网络上最常见的用于传输8bit字节代码的编码方式之一，base64编码可用于在http环境下传递较长的标识信息。例如，在javapersistence系统hibemate中，采用了base64来将一个较长的唯一标识符编码为一个字符串，用作http表单和httpgeturl中的参数。在其他应用程序中，也常常需要把二进制数据编码为适合放在url(包括隐藏表单域)中的形式。此时，采用base64编码不仅比较简短，同时也具有不可读性，即所编码的数据不会被人用肉眼所直接看到。

md5加密算法为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。对md5加密算法简要的叙述可以为：md5加密算法以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成—个128位散列值。md5加密算法被广泛用于各种软件的密码认证和钥匙识别上。md5加密算法用的是哈希函数，它的典型应用是对一段信息产生信息摘要，以防止被篡改。md5加密算法的典型应用是对一段message产生fingerprin指纹，以防止被“篡改”。如果再有—个第三方的认证机构，用md5加密算法还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。md5加密算法还广泛用于操作系统的登陆认证上，如unix、各类bsd系统登录密码、数字签名等诸多方。

sha1加密算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段(通常更小)密文，也可以简单的理解为取一串输入码(称为预映射或信息)，并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。单向散列函数的安全性在于其产生散列值的操作过程具有较强的单向性。如果在输入序列中嵌入密码，那么任何人在不知道密码的情况下都不能产生正确的散列值，从而保证了其安全性。该sha1加密算法输入报文的长度不限，产生的输出是一个160位的报文摘要。输入是按512位的分组进行处理的。sha1加密算法是不可逆的、防冲突，并具有良好的雪崩效应。

通过散列算法可实现数字签名实现，数字签名的原理是将要传送的明文通过一种函数运算(hash)转换成报文摘要(不同的明文对应不同的报文摘要)，报文摘要加密后与明文一起传送给接受方，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致表示明文未被改动，如果不一致表示明文已被篡改。

hmac加密算法是密钥相关的哈希运算消息认证码(hash-basedmessageauthenticationcode)，hmac加密算法利用哈希算法(md5、sha1等)，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。hmac发送方和接收方都有的key进行计算，而没有这把key的第三方，则是无法计算出正确的散列值的，这样就可以防止数据被篡改。

3des加密算法是基于des的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高。

ecc加密算法也是一种非对称加密算法，主要优势是在某些情况下，它比其他的方法使用更小的密钥，比如rsa加密算法，提供相当的或更高等级的安全级别。不过一个缺点是加密和解密操作的实现比其他机制时间长(相比rsa加密算法，该ecc加密算法对cpu消耗严重)。

rc2加密算法和rc4加密算法用变长密钥对大量数据进行加密，比des加密算法快。idea加密算法是国际数据加密算法，使用128位密钥提供非常强的安全性。blowfish加密算法使用变长的密钥，长度可达448位，运行速度很快。

无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合。通过设置多种无线通信方式，不仅可以增加无线通信方式的灵活性，还能满足不同用户和不同场合的需求。尤其是采用lora模块时，其通信距离较远，且通信性能较为稳定，适用于对通信质量要求较高的场合。采用5g通信方式可以达到高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。其提供多种无线通信方式，本发明的装置具有多种数据传输方式、能满足用户对多样化数据传输方式的需求。

智能合约执行单元2用于对加密后的证书吊销交易解密后，进行共识，执行证书吊销智能合约以变更吊销证书列表；信息同步单元3用于将区块链节点的证书验证模块与变更后的吊销证书列表进行信息同步；节点断开单元4用于根据吊销证书列表，与证书吊销的节点断开连接，并拒绝证书吊销的节点后续的网络接入。

总之，本实施例中，由于对证书吊销交易利用加密算法加密后，通过无线通讯模块发送给证书吊销智能合约模块；无线通讯模块为5g通讯模块、4g通讯模块、蓝牙模块、wifi模块、gsm模块、cdma模块、cdma2000模块、wcdma模块、td-scdma模块、zigbee模块和lora模块中任意一种或任意几种的组合；其提供了多种无线通讯方式，本发明具有多种数据传输方式、能满足用户对多样化数据传输方式的需求、数据传输的安全性较高。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。