一种基于分布式数字身份的CA证书签发方法、装置、介质及设备

技术领域

本发明涉及一种基于分布式数字身份的CA证书签发方法、装置、介质及设备，属于量化交易技术领域。

背景技术

当前CA机构除了公共的CA证书服务外，由于行业或领域的特性，会与金融机构、电商、电子签平台合作，私有化部署CA证书申请服务，共同运营证书的签发，使CA证书服务之间相互隔离，形成孤岛。不但各个CA机构签发的证书之间相互隔离，难以互认，同一家CA机构的私有化部署服务签发的证书之间也无法互认。

CA机构签发CA证书前需要对申请者做资质认证，尤其是金融、政务等领域需要对CA证书持有人做实名认证，当前常用的做法是申请者向CA机构提供身份证、营业执照等由权威部门颁发的传统证件，经过人工审核申请后为申请者签发CA证书。CA证书签发流程长，需要人工审核申请材料，一方面依赖审核人员的尽职程度，另一方面存在伪造证件难以被甄别的问题。

CA证书签发完成后，如果发生持有人的认证信息变更、存在安全隐患、不正当行为被发现或者被举报且情况属实、业务终止等情况，获得的CA证书会被吊销，被吊销的证书永不复用。CA证书的认证信息由CA机构掌控，持有者、验证方都需要通过CA机构核验信息，持有者无法自证。无法及时识别异常状况。比如使用企业身份认证的CA证书，如果企业变更名称，在持有者不主动到CA机构上报更新的情况下，那么在一段时间内，原来的CA证书依然有效。

发明内容

本发明的目的在于克服现有技术中的不足，提供一种基于分布式数字身份的CA证书签发方法、装置、介质及设备，能够实现自动化审核、签发，能够实现CA证书与数字身份的强绑定。为达到上述目的，本发明是采用下述技术方案实现的：

第一方面，本发明提供了一种基于分布式数字身份的CA证书签发方法，由CA服务系统执行，包括：

获取申请人在分布式数字身份平台使用的身份认证VC；

对申请人的身份认证VC进行自动化审核；

响应于自动化审核通过，签发CA证书，将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定，CA证书签发完成，提供能够被申请人下载的CA证书。

结合第一方面，可选地，所述申请人在分布式数字身份平台使用的身份认证VC，包括：

当申请人为个人时，使用公安机关签发在分布式数字身份平台签发的身份认证VC；

当申请人为企业时，使用市场监管总局签发的电子营业执照作为在分布式数字身份平台使用的身份认证VC。

结合第一方面，可选地，所述在分布式数字身份平台使用的身份认证VC还包括委托授权VC，所述委托授权VC用于为申请人代办申请CA证书。

结合第一方面，可选地，所述对申请人的身份认证VC进行自动化审核，包括：

通过身份认证VC的签名，审核身份认证VC为发证方所签发；

通过身份认证VC的结构化数据，审核身份认证VC的的内容。

结合第一方面，可选地，还包括：由分布式数字身份平台将签发的CA证书添加到申请人DID Document中，更新申请人的DID Document，采用方法a和方法b中任一种进行更新：

方法a：将CA证书中的公钥更新到verification Method section，并且在authentication section中增加身份认证并引用该公钥的id，使用方法a添加的CA证书能够用于共享给其他authentication作为认证项；

方法b：在authentication section中增加身份认证并使用内嵌的形式直接添加CA证书中的公钥，使用方法b添加的CA证书仅能应用在当前的authentication section的认证项。

结合第一方面，可选地，还包括：申请人下载CA证书，保管私钥到安全设备。

第二方面，本发明提供了一种分布式数字身份的CA证书签发装置，包括：

获取模块：用于获取申请人在分布式数字身份平台使用的身份认证VC；

审核模块：用于对申请人的身份认证VC进行自动化审核；

签发模块：用于对响应于自动化审核通过，签发CA证书，将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定，CA证书签发完成，提供能够被申请人下载的CA证书。

第三方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现如第一方面所述的分布式数字身份的CA证书签发方法。

第四方面，本发明提供了一种设备，包括：

存储器，用于存储指令；

处理器，用于执行所述指令，使得所述设备执行实现如第一方面所述的分布式数字身份的CA证书签发方法的操作。

与现有技术相比，本发明实施例所提供的一种分布式数字身份的CA证书签发方法、装置、介质及设备所达到的有益效果包括：

本发明CA服务系统获取申请人在分布式数字身份平台使用的身份认证VC；对申请人的身份认证VC进行自动化审核；本发明以数字身份作为用户的身份主体，CA证书依附于数字身份，所以只要多家CA机构都对接到分布式数字身份平台，便能够打破CA机构的证书孤岛，实现多家CA机构证书的互认互信；本发明CA证书签发流程中实现了自动化审核，不但大大缩短了CA证书从申请到签发的时间，而且避免了人工审核过程中的合规风险，规避了伪造证件的识别风险；

本发明CA服务系统响应于自动化审核通过，签发CA证书，将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定，CA证书签发完成，提供能够被申请人下载的CA证书；本发明CA证书绑定分布式数字身份后，持证者通过自己数字身份下的认证VC，能够实现身份的自证，不需要要依赖CA机构保存的认证信息；本发明持证者的DID和认证VC的状态变化会同步影响CA证书的状态，例如DID吊销、更新DID与CA证书的绑定关系、认证VC失效等异常情况发生后，因为DID与CA证书的绑定关系，在验证CA签名的时候，CA机构会调用分布式数字身份平台提供的接口验证DID的状态，及时侦测到DID的状态变化。

附图说明

图1是本发明实施例一提供的一种基于分布式数字身份的CA证书签发方法的流程图；

图2是本发明实施例一提供的一种基于分布式数字身份的CA证书签发方法的原理图；

图3是本发明实施例一提供的一种基于分布式数字身份的CA证书签发方法的示意图；

图4是本发明实施例一提供的一种基于分布式数字身份的CA证书签发方法的使用示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例一：

如图1所示，本实施例提供了一种基于分布式数字身份的CA证书签发方法，由CA服务系统执行，包括：

获取申请人在分布式数字身份平台使用的身份认证VC；

对申请人的身份认证VC进行自动化审核；

响应于自动化审核通过，签发CA证书，将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定，CA证书签发完成，提供能够被申请人下载的CA证书。

如图2所示，一种基于分布式数字身份的CA证书签发方法中涉及：

用于签发CA证书的CA服务系统，

用于申请人操作申请CA证书和下载CA证书的数字身份客户端，

用于办理CA证书电子签的业务办理系统，

以及分布式数字身份平台、与分布式数字身份平台连接的区块链；。

具体步骤包括：

步骤1：申请阶段。

步骤1.1：申请人在分布式数字身份平台申请DID，完成在分布式数字身份平台的身份认证，得到身份认证VC。

申请人在分布式数字身份平台使用的身份认证VC，包括：

当申请人为个人时，使用公安机关签发在分布式数字身份平台签发的身份认证VC；

当申请人为企业时，使用市场监管总局签发的电子营业执照作为在分布式数字身份平台使用的身份认证VC。

在分布式数字身份平台使用的身份认证VC还包括委托授权VC，委托授权VC用于为申请人代办申请CA证书。

步骤1.2：如图3所示，申请人在数字身份客户端操作申请CA证书，CA服务系统创建申请流程。

步骤1.3：如图1所示，CA服务系统获取申请人在分布式数字身份平台使用的身份认证VC，并分布式数字身份平台记录本次CA证书申请。

本实施例以数字身份作为用户的身份主体，CA证书依附于数字身份，所以只要多家CA机构都对接到分布式数字身份平台，便能够打破CA机构的证书孤岛，实现多家CA机构证书的互认互信。

步骤2：审核签发阶段。

步骤2.1：如图1所示，CA服务系统对申请人的身份认证VC进行自动化审核。

具体包括：利用分布式数字身份平台的SDK/API，通过身份认证VC的签名，审核身份认证VC为发证方所签发；通过身份认证VC的结构化数据，审核身份认证VC的的内容。

本实施例CA证书签发流程中实现了自动化审核，不但大大缩短了CA证书从申请到签发的时间，而且避免了人工审核过程中的合规风险，规避了伪造证件的识别风险。

步骤2.2：如图1、图3所示，CA服务系统响应于自动化审核通过，签发CA证书。

步骤2.3：CA服务系统将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定。把公钥同步给分布式数字身份平台。

具体的，申请人在分布式数字身份平台使用的DID能够从该申请人的认证VC中获得，不需要申请人额外提供。在CA证书中的使用者填写申请人的DID，颁发者填写颁发CA证书的CA服务系统的DID。

需要说明的是，在CA证书与DID的相互绑定过程中，要求CA证书的使用者一定是申请人的DID，但是颁发者不是非要填写为CA机构的DID，也可以和现行方式一样，使用CA机构的名称。

本实施例CA证书绑定分布式数字身份后，持证者通过自己数字身份下的认证VC，能够实现身份的自证，不需要要依赖CA机构保存的认证信息。

步骤2.4：由分布式数字身份平台将CA服务系统签发的CA证书添加到申请人DIDDocument中，更新申请人的DID Document，采用方法a和方法b中任一种进行更新：

方法a：将CA证书中的公钥更新到verification Method section，并且在authentication section中增加身份认证并引用该公钥的id，使用方法a添加的CA证书能够用于共享给其他authentication作为认证项；

方法b：在authentication section中增加身份认证并使用内嵌的形式直接添加CA证书中的公钥，使用方法b添加的CA证书仅能应用在当前的authentication section的认证项。

将CA证书绑定到DID Document其实是将CA证书与DID的关系保存到区块链上，并且能够通过W3C标准的DID解析获取该对应关系以及有效期。

步骤2.5：CA证书签发完成，提供能够被申请人下载的CA证书。申请人在数字身份客户端下载CA证书，保管私钥到安全设备。

本实施例持证者的DID和认证VC的状态变化会同步影响CA证书的状态，例如DID吊销、更新DID与CA证书的绑定关系、认证VC失效等异常情况发生后，因为DID与CA证书的绑定关系，在验证CA签名的时候，CA机构会调用分布式数字身份平台提供的接口验证DID的状态，及时侦测到DID的状态变化。

步骤2.2’：如图3所示，若自动化审核未通过，CA服务系统将未通过的申请人的身份认证VC发送至分布式数字身份平台记录异常，并通过数字身份客户端将终止申请的结果反馈给申请人。

步骤3：电子签阶段。

该步骤为通用的使用场景。

如图4所示，具体包括：

步骤3.1：用户在业务办理系统内填写表单，选择通过分布式数字身份进行电子签。

步骤3.2：业务办理系统要求绑定用户在分布式数字身份平台使用的数字身份，用户提供DID后，业务办理系统连接到分布式数字身份平台，根据服务类型产生相应消息通知到用户的数字身份客户端。

步骤3.3：用户在数字身份客户端确认绑定操作，把自己的身份认证VC出示给业务办理系统。

步骤3.4：业务办理系统统核验用户的身份认证VC，确认用户身份后，发起CA证书电子签请求。

步骤3.5：用户在数字身份客户端确认使用CA证书签名，将签名回传给业务办理系统。

步骤3.6：业务办理系统通过CA服务核验证书的有效性和签名的有效性；核验通过后，把签名更新到电子表单，完成电子签流程。

本实施例提供一种基于分布式数字身份的CA证书签发方法，能够实现自动化审核、签发，能够实现CA证书与数字身份的强绑定。

实施例二：

本发明实施例提供一种分布式数字身份的CA证书签发装置，包括：

获取模块：用于获取申请人在分布式数字身份平台使用的身份认证VC；

审核模块：用于对申请人的身份认证VC进行自动化审核；

签发模块：用于对响应于自动化审核通过，签发CA证书，将CA证书与申请人、颁发者在分布式数字身份平台使用的DID绑定，CA证书签发完成，提供能够被申请人下载的CA证书。

实施例三：

本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现如实施例一所述的分布式数字身份的CA证书签发方法。

实施例四：

本发明实施例还提供一种设备，包括：

存储器，用于存储指令；

处理器，用于执行所述指令，使得所述设备执行实现如实施例一所述的分布式数字身份的CA证书签发方法的操作。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。