(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210915032.9 (22)申请日 2022.08.01 (71)申请人 云南大学 地址 650031 云南省昆明市五华区翠湖北 路2号 (72)发明人 冯立波　刘俊红　邓显　吴鹏　 袁泽辉　 (74)专利代理 机构 重庆乐泰知识产权代理事务 所(普通合伙) 50221 专利代理师 雷钞 (51)Int.Cl. H04L 9/32(2006.01) H04L 67/1097(2022.01) (54)发明名称 基于区块链技 术的数字 证书制备方法 (57)摘要 本发明涉及一种基于区块链技术的数字证 书制备方法， 属于区块链技术领域， 包括以下步 骤： S1： CA用户直接接入系统， 普 通用户在CA用户 许可后注册并登录系 统； S2： 生成密钥对； S3： 普 通用户申请 CA用户对自己的身份进行认 证， 并通 过区块链获取证书地址， 通过IPFS网关获取证 书； S4： 普通用户通过申请存证证书； S5： 普通用 户把存证证书用于交易， 在交易成功后证书的所 有者会发生改变， 并且在证书的交易记录里记录 证书属主变化的全部过程； 在完成交易后， 对于 内容发生改变的存证证书， 系统使用密钥对该证 书重新进行签名； S6： CA用户可以对所有普通用 户的身份 证书和存证 证书进行吊销和恢复操作。 权利要求书4页 说明书11页 附图10页 CN 115412253 A 2022.11.29 CN 115412253 A 1.一种基于区块链技 术的数字证书制备 方法， 其特 征在于： 包括以下步骤： S1： CA用户直接 接入系统， 普通用户在CA用户许 可后注册并登录系统； S2： 为CA用户和普通用户生成密钥对； S3： 普通用户申请CA用户对自己的身份进行认证， CA用户办法证书并存放于IPFS， 并把 证书相关元信息和IPFS地址上链存储， 普通用户通过查询区块链得到证书 元信息以及IPFS 地址， 并通过IPFS网关获取证书的原 始内容； S4： 普通用户通过申请存证 证书的方式对所拥有的数据进行确权； S5： 普通用户在获得系统颁发的存证证书后可以把证书用于交易， 在交易成功后证书 的所有者会发生改变， 并且在证书的交易记录里记录证书属主变化的全部过程； 在完成交 易后， 对于内容发生改变的存证 证书， 系统使用密钥对该证书重新进行签名； S6： CA用户可以对所有普通用户的身份 证书和存证 证书进行吊销和恢复操作。 2.根据权利要求1所述的基于区块链技术的数字证书制备方法， 其特征在于： 所述步骤 S1中的注 册步骤如下： S111： 对于CA用户， 直接使用系统初始化时的用户名和密码登录进入系统； 对于普通用 户， 首先在前台填写注册信息， 通过前台把注册信息提交给后台进 行暂存， 后台在CA用户登 录时把注 册信息发送给CA用户； S112： CA用户核验用户信息， 根据核验结果来允许或者拒绝普通用户的注册请求， 若CA 用户允许注 册， 则转到S1 13， 否则转到S1 14； S113： CA用户通过注册请求之后， CA用户通过前台将注册通过信息发送给系统后台， 后 台更新该注册请求消息的状态为通过状态并为该注册用户生 成接入Fabr ic的所需信息， 通 过HMAC算法对密码进行处 理后， 把账户信息写入区块链； S114： CA用户在核验普通用户注册信息后拒绝该普通用户的注册请求， CA用户通过前 台把该拒绝消息发送给后端， 后端更新该注 册请求消息的状态为拒绝状态； S115： 普通用户在提交注册请求:通过前台提供的查询接口查看当前注册消息的状态； 若查询到当前的注册请求状态为通过， 则该普通用户通过用户名和密码登录进入系统； 否 则表明CA用户拒绝该注 册请求， 注 册操作失败。 3.根据权利要求1所述的基于区块链技术的数字证书制备方法， 其特征在于： 所述步骤 S1中的登录步骤如下： S121： 用户通过前台填写并提交登录信息， 后 台服务器接收到登录请求后把该登录请 求发送给智能合约， 智能合约通过查询账本数据判断是否允许该用户登录， 智能合约把判 断结果返回给服 务器， 通过服 务器再把判断结果返回给 前台； S122： 前台根据智能合约返回的结果以及用户在登录时选择的用户类型来跳转到不同 的页面； 如果返回结果为失败则拒绝用户登录； 否则CA用户转到CA管 理页面， 普通用户转到 证书查看和申请页面； S123： 对于CA用户首次登录的情况， 系统自动生成一个初始化的密钥 对， 并把公钥上链 存储， 私钥保存在本地磁 盘上。 4.根据权利要求1所述的基于区块链技术的数字证书制备方法， 其特征在于： 步骤S2所 述密钥对的生成步骤如下： S21： 用户通过前台填写并提交即将要生成的密钥 对的标识符， 所述标识符只在该用户权　利　要　求　书 1/4 页 2 CN 115412253 A 2的命名空间内有效， 并且如果提交一个和之前已经存在的密钥标识符相同的密钥标识符则 会覆盖原有内容， 前台使用相应的加解密API 生成密钥对； S22： 在前台获取到生成的密钥对之后， 前台把该密钥对的私钥写入磁盘保存， 并把公 钥的相关信息提交给后台服 务器， 然后由服 务器代理该用户把该公钥上链存 储； S23： 前台刷新该用户所有可以使用的密钥对并显示在页面上； S24： 用户通过前台提供的密钥导入接口把存储在本地磁盘的密钥对导入以用于后续 其它操作。 5.根据权利要求1所述的基于区块链技术的数字证书制备方法， 其特征在于： 步骤S3具 体包括以下步骤： S31： 普通用户通过前台提供的密钥对导入接口导入需要和目前需要CA用户认证的身 份信息绑定的密钥对； S32： 普通用户通过前台输入要与导入的密钥对绑定的身份信息以及该身份证书的标 识符， 所述标识符只在该用户的命名空间内有效， 并且如果提交一个和之前已经存在的身 份证书标识符相同的身份 证书标识符则会覆盖原有内容； S33： 在完成身份信息 输入后， 前台使用导入的密钥对身份信息进行签名； S34： 前台把身份信息、 签名和该身份证书的元信息组合生成身份证书申请， 并把该身 份证书申请发送给后台 暂存等待CA用户验证和颁发， 同时在用户界面显示证书申请状态； S35： CA用户登录时拉取服务器暂存的身份证书申请请求， 若CA用户验证身份信息有效 并通过该身份证书的申请， 则为该普通用户进行颁发身份证书的操作， 否则结束身份证书 的申请流 程， 并把该身份 证书的申请状态更新 为失败； S36： 对于每个身份证书申请， CA:用户通过申请信息包含 的用户名和公钥标识去查询 账本数据获取该身份证书申请的签名所用私钥对应的公钥， 然后使用该公钥验证身份证书 申请的身份信息的有效性； 如果验证失败则结束 申请流程， 并把该身份证书的申请状态更 新为失败； S37： 当CA用户验证通过身份证书的有效性后， CA用户通过前台提供的密钥 对导入接口 导入需要 进行颁发操作所使用的密钥对； S38： CA用户对身份证书申请的身份信息进行签名并把该签名信息追加到该身份证书 申请生成身份 证书， 然后更新身份 证书申请状态为成功； S39： CA用户把生成的身份证书存入IPFS， 然后把该证书的元信息和IPFS地址写入区块 链进行存证； S310： 普通用户通过查询区块链账本数据获取证书的IPFS地址， 通过IPFS地址获取证 书完整内容。 6.根据权利要求1所述的基于区块链技术的数字证书制备方法， 其特征在于： 步骤S4具 体包括以下步骤： S41： 普通用户通过前台提供的密钥对导入接口导入需要用于签名和验证需要进行确 权的数据密钥对； S42： 普通用户通过前台选择需要进行存证的文件和输入该存证证书的标识符， 所述标 识符只在该用户的命名空间内有效， 并且如果提交一个和之前已经存在的存证证书标识符 相同的存证 证书标识符相同则会覆盖原有内容；权　利　要　求　书 2/4 页 3 CN 115412253 A 3