区块链网络中的根证书更新方法、装置、设备以及介质
技术领域
本申请涉及区块链技术领域,尤其涉及区块链网络中的根证书更新方法、装置、设备以及介质。
背景技术
数字证书是由CA(Certifacate Authority)负责签发的,用于认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。根证书是指CA认证中心为自己颁发的证书,业务节点或路由节点安装CA根证书即可表示为该业务节点或路由节点信任该CA认证中心,例如,业务节点在验证数字证书的过程中可以追溯到该CA根证书,表示该数字证书是合法的。
当业务服务触发CA认证中心更换根证书时,该CA认证中心会将旧根证书更新为新根证书,并使用新根证书对外颁发数字证书。此时,对于安装了旧根证书的节点均需要下载新根证书,替换旧根证书。然而,替换根证书的过程中,区块链网络中的各节点可能会存在一些时间差异,如路由节点A对根证书以及自身节点证书进行了更新,该路由节点A使用新的节点证书与业务节点B进行通信时,若业务节点B还未对旧的更证书进行更新,则该业务节点B无法对路由节点A进行识别认证,进而造成路由节点A和业务节点B之间的通信失败,影响了节点之间的通信成功率。
发明内容
本申请实施例提供一种区块链网络中的根证书更新方法、装置、设备以及介质,可以提高根证书更新过程中节点之间的通信成功率。
本申请实施例一方面提供了一种区块链网络中的根证书更新方法,该方法由路由节点执行,包括:
接收证书授权节点发送的根证书发布交易,根据根证书发布交易从证书授权节点获取目标根证书;
将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书;第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间;
根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链;第一证书链用于指示未包含目标根证书的业务节点验证目标路由节点证书的合法性。
本申请实施例一方面提供了一种区块链网络中的根证书更新方法,该方法由业务节点执行,包括:
接收路由节点发送的消息数据,获取消息数据所携带的目标路由节点证书;
获取包含目标路由节点证书、第一交叉认证证书以及起始数字证书的第一证书链,对第一证书链进行验证;
若第一证书链中的起始数字证书为初始根证书,则确定第一证书链通过验证;
根据通过验证的第一证书链,确定目标路由节点证书满足合法性条件;通过验证的第一证书链中的第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,目标根证书和初始根证书均由证书授权节点所发布,初始根证书的发布时间早于目标根证书的发布时间。
本申请实施例一方面提供了一种区块链网络中的根证书更新装置,该装置由路由节点执行,包括:
第一接收模块,用于接收证书授权节点发送的根证书发布交易,根据根证书发布交易从证书授权节点获取目标根证书;
第一更新模块,用于将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书;第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间;
生成模块,用于根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链;第一证书链用于指示未包含目标根证书的业务节点验证目标路由节点证书的合法性。
其中,该装置还包括:
第二更新模块,用于根据根证书发布交易从证书授权节点获取第二交叉认证证书,将第一根证书池中的初始根证书更新为目标根证书和第二交叉认证证书;第二交叉认证证书是指目标根证书为初始根证书所签发的数字证书,第二交叉认证证书与初始根证书具有相同的密钥对;
节点证书获取模块,用于当接收到业务节点发送的第一业务交易数据时,获取第一业务交易数据所携带的业务节点证书;
节点证书验证模块,用于根据业务节点证书的签发对象所对应的公钥,对业务节点证书进行验证,得到业务节点证书对应的证书验证结果;
节点身份确定模块,用于根据证书验证结果、初始根证书以及目标根证书,确定业务节点对应的身份验证结果,将身份验证结果返回至业务节点。
其中,节点证书验证模块包括:
证书链获取单元,用于获取业务节点证书对应的第二证书链,从第二证书链中获取数字证书Ci和数字证书Ci+1;第二证书链包括业务节点证书,数字证书Ci+1为业务节点证书的签发对象,数字证书Ci为数字证书Ci+1的签发对象,i为小于第二证书链中所包含的数字证书的数量的正整数;
证书链验证单元,用于根据数字证书Ci+1的公钥对业务节点证书中的数字签名进行验证,当业务节点证书中的数字签名正确时,根据数字证书Ci的公钥对数字证书Ci+1中的数字签名进行验证;
上述证书链验证单元,还用于当数字证书Ci+1中的数字签名正确时,根据数字证书Ci的签发对象所对应的公钥,对数字证书Ci中的数字签名进行验证;
结果确定单元,用于当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为初始根证书时,根据初始根证书确定业务节点证书的证书验证结果为证书合法结果;
上述结果确定单元,还用于当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为目标根证书时,根据目标根证书确定业务节点证书的证书验证结果为证书合法结果。
其中,节点身份确定模块包括:
第一信息生成单元,用于若证书验证结果与初始根证书相匹配,则生成验证通过信息和根证书更新提示信息,将验证通过信息和根证书更新提示信息作为身份验证结果返回至业务节点,以使业务节点根据根证书更新提示信息,对业务节点证书和第二根证书池中的初始根证书进行更新;
第二信息生成单元,用于若证书验证结果与目标根证书相匹配,则生成验证通过信息,将验证通过信息作为身份验证结果返回至业务节点;
第三信息生成单元,用于若证书验证结果与初始根证书和目标根证书均不匹配,则生成验证未通过信息,将验证未通过信息作为身份验证结果返回至业务节点。
其中,第一更新模块包括:
第一请求发送单元,用于向证书授权节点发送第一证书更换请求,以使证书授权节点获取与第一证书更换请求相关联的当前路由节点证书,并根据第一交叉认证证书的私钥对当前路由节点证书中的路由节点信息进行签名,生成目标路由节点证书;
第一节点证书接收单元,用于接收证书授权节点返回的目标路由节点证书,将当前路由节点证书更新为目标路由节点证书。
其中,生成模块包括:
第一确定单元,用于在目标路由节点证书所包含的证书信息中,确定目标路由节点证书的签发对象为第一交叉认证证书;
第一设置单元,用于为目标路由节点证书设置第一层次信息,为第一交叉认证证书设置第二层次信息;
第二确定单元,用于在第一交叉认证证书所包含的证书信息中,确定第一交叉认证证书的签发对象为初始根证书;
第二设置单元,用于为初始根证书设置第三层次信息,根据第一层次信息、第二层次信息以及第三层次信息,生成路由节点对应的第一证书链。
其中,该装置还包括:
期限获取模块,用于获取第二交叉认证证书对应的有效期限;
证书删除模块,用于若当前时间信息不属于有效期限,则确定第二交叉认证证书属于无效状态,在第一根证书池中删除第二交叉认证证书;
第二接收模块,用于当接收到业务节点发送的第二业务交易数据时,对第二业务交易数据所携带的业务节点证书进行验证,得到针对业务节点证书的待定验证结果;
结果信息生成模块,用于若待定验证结果与初始根证书相匹配,则生成验证未通过信息,将验证未通过信息返回至业务节点。
其中,该装置还包括:
节点身份验证模块,用于获取根证书发布交易所携带的初始根证书,根据证书授权节点对应的公钥对初始根证书进行合法性验证,得到初始根证书对应的根证书验证结果;
交易转发模块,用于当根证书验证结果为验证通过结果时,将根证书发布交易转发至共识网络,以使共识网络将根证书发布交易封装成区块数据,对区块数据进行共识处理。
本申请实施例一方面提供了一种区块链网络中的根证书更新装置,该装置由业务节点执行,包括:
第三接收模块,用于接收路由节点发送的消息数据,获取消息数据所携带的目标路由节点证书;
验证模块,用于获取包含目标路由节点证书、第一交叉认证证书以及起始数字证书的第一证书链,对第一证书链进行验证;
验证通过模块,用于若第一证书链中的起始数字证书为初始根证书,则确定第一证书链通过验证;
合法性确定模块,用于根据通过验证的第一证书链,确定目标路由节点证书满足合法性条件;通过验证的第一证书链中的第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,目标根证书和初始根证书均由证书授权节点所发布,初始根证书的发布时间早于目标根证书的发布时间。
其中,该装置还包括:
数据发送模块,用于向路由节点发送第一业务交易数据,以使路由节点对第一业务交易数据所携带的业务节点证书进行验证,得到业务节点对应的身份验证结果;
结果接收模块,用于接收路由节点返回的身份验证结果;
第三更新模块,用于当身份验证结果包括根证书更新提示信息时,根据根证书更新提示信息,对业务节点证书和第二根证书池中的初始根证书进行更新。
其中,第三更新模块包括:
根证书更新单元,用于根据根证书更新提示信息从证书授权节点获取目标根证书和第二交叉认证证书,将第二根证书池中的初始根证书更新为目标根证书和第二交叉认证证书;第二交叉认证证书是指目标根证书为初始根证书所签发的数字证书,第二交叉认证证书与初始根证书具有相同的密钥对;
第二请求发送单元,用于向证书授权节点发送第二证书更换请求,以使证书授权节点获取与第二证书更换请求相关联的业务节点证书,并根据第一交叉认证证书的私钥对业务节点证书中的业务节点信息进行签名,生成目标业务节点证书;
目标业务节点证书接收单元,用于接收证书授权节点返回的目标业务节点证书,将业务节点证书更新为目标业务节点证书。
其中,数据发送模块包括:
开票请求接收单元,用于接收请求终端针对企业的开票请求,获取与开票请求相关联的待校验电子发票数据;
封装单元,用于将待校验电子发票数据封装成第一业务交易数据,向路由节点发送第一业务交易数据,以使路由节点将第一业务交易数据转发至共识网络进行共识处理,得到第一业务交易数据对应的开票结果。
其中,验证模块具体用于:
获取第一交叉认证证书的公钥,根据第一交叉认证证书的公钥,对目标路由节点证书中的数字签名进行验证;
当目标路由节点证书中的数字签名正确时,获取起始数字证书的公钥,根据起始数字证书的公钥,对第一交叉认证证书中的数字签名进行验证;
当第一交叉认证证书中的数字签名正确时,根据起始数字证书的公钥,对起始数字证书中的数字签名进行验证;
若起始数字证书的公钥与初始根证书的公钥相同,则确定起始数字证书为初始根证书。
本申请实施例一方面提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行本申请实施例中一方面中方法的步骤。
本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时,执行如本申请实施例中一方面中方法的步骤。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面的各种可选方式中提供的方法。
本申请实施例中的路由节点在接收到证书授权节点发送的根证书发布交易时,可以根据该根证书发布交易从证书授权节点获取目标根证书,并将本地路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书,其中,第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,即初始根证书使用自己的私钥对目标根证书进行签名,生成第一交叉认证证书,此时初始根证书可以用于认证识别目标根证书所签发的数字证书的身份,该第一交叉认证证书与目标根证书具有相同的密钥对,且目标根证书的发布时间晚于初始根证书的发布时间,根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链,该第一证书链可以用于指示未包含目标根证书的业务节点验证该目标路由节点证书的合法性。可见,路由节点在接收到根证书发布交易后,可以从证书授权节点下载新根证书(即目标根证书),并对本地路由节点证书进行更新,将其更新为第一交叉认证证书所签发的目标路由节点证书,由于第一交叉认证证书是初始根证书为目标根证书所签发的数字证书,因此在路由节点与业务节点进行通信时,不管是下载了目标根证书的业务节点还是没有下载目标根证书的业务节点,均可以识别认证路由节点对应的目标路由节点证书,可以提高路由节点与业务节点之间的通信成功率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络架构图;
图2是本申请实施例提供的一种区块链网络中的根证书更新场景示意图;
图3是本申请实施例提供的一种区块链网络中的根证书更新方法的流程示意图;
图4是本申请实施例提供的一种证书授权节点颁发数字证书的示意图;
图5是本申请实施例提供的一种区块链网络中的根证书更新方法的时序示意图;
图6是本申请实施例提供的一种证书链验证的示意图;
图7是本申请实施例提供的一种电子发票区块链系统的结构示意图;
图8是本申请实施例提供的一种区块链网络中的根证书更新装置的结构示意图;
图9是本申请实施例提供的一种区块链网络中的根证书更新装置的结构示意图;
图10是本申请实施例提供的一种计算机设备的结构示意图;
图11是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
区块链(Blockchain)是一种分布式数据存储、点对点传输(P2P传输)、共识机制、加密算法等计算机技术的新型应用模式。区块链本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
CA认证中心(也可以称为证书授权节点,或者证书授权机构)是数字证书颁发和管理的权威机构,可以承担公钥体系中公钥的发行检验的责任。数字证书的颁发过程一般为:用户(可以理解为个人或企业终端设备、客户端等)可以在本地产生自己的密钥对,将密钥对中的公钥及部分个人身份信息传送给CA认证中心;CA认证中心在核实身份后,并确定请求确实由该用户所发送后,可以发给用户一个数字证书,该证书内包含用户的个人信息和公钥信息,同时还附有认证中心的签名信息。当该用户需要在区块链网络中与其余用户进行通信时,其余用户可以通过该用户的数字证书验证该用户的身份。
请参见图1,是本申请实施例提供的一种网络架构的结构示意图。如图1所示,该网络架构可以称为分层区块链架构,该网络架构可以包括见证网络、共识网络和中间路由层10i,见证网络可以包括一个或者多个业务节点,如图1所示的见证网络具体可以包括:业务节点10a、业务节点10b、……、业务节点10h,共识网络可以包括至少两个运行区块链共识协议的记账节点,如图1所示的共识网络具体可以包括:记账节点10j、记账节点10k、记账节点10m、……、记账节点10s,中间路由层10i可以包括一个或者多个路由节点;见证网络和共识网络之间通过中间路由层10i来进行隔离,即见证网络与共识网络之间的通信需要通过中间路由层10i来进行交互。其中,共识网络处于相对安全的私有云中,共识网络中不同记账节点之间的通信存在共识机制保证安全,无需加入额外的身份管理和网络控制;而见证网络可以为公共网络,该见证网络中的业务节点可以能会被不确定身份的网络终端进行访问,因此见证网络中的任一业务节点接入共识网络的行为均需要进行严格控制,即业务节点与共识网络之间的通信可以通过数字证书进行SSL(Secure Sockets Layer 安全套接字协议)安全通信,可以通过中间路由层10i对接入共识网络的每个业务节点所对应的数字证书进行验证,以确认业务节点的身份。可以理解的是,每个业务节点的数字证书可以由证书授权节点所签发,中间路由层10i中可以安装证书授权中心的根证书,以识别认证业务节点所对应数字证书的合法性。
其中,见证网络中的任一业务节点、共识网络中的任一记账节点以及中间路由层10i中的任一路由节点均可以是终端设备,或者是服务器;其中,终端设备可以包括智能手机、平板电脑、笔记本电脑、台式计算机、掌上电脑、移动互联网设备(mobile internetdevice,MID)、可穿戴设备(例如智能手表、智能手环等)等,但并不局限于此。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
在图1所示的网络架构中,为了区块链网络中的安全需要,可以触发证书授权节点更新根证书,证书授权节点在接收到根证书触发指令后,可以产生新根证书(也可以称为目标根证书),并负责用最新根证书对外颁发证书,在授权证书节点中可以对外提供最新根证书下载;与此同时,证书授权节点可以产生根证书发布交易,将根证书发布交易通过中间路由层提交给共识网络,其中,根证书发布交易是指一种零资产转移的交易,仅公布当前最新根证书。
共识网络可以用于执行区块链共识,根证书发布交易在共识网络中可以作为普通交易数据同等地被验证和共识,即可以将根证书发布交易作为普通交易数据封装成区块,并在共识网络中对封装成的区块进行共识处理,将达成共识的区块(此处的区块包括根证书发布交易)进行记账处理。
中间路由层10i中的路由节点可以用于校验身份证书和转发区块链请求(例如,业务节点向共识网络发送的上链请求,或者记账节点向业务节点发送的区块共识处理结果等);路由节点还可以用于获取最新根证书和交叉认证证书(此处交叉认证证书可以包括旧根证书为最新根证书所签发的第一交叉认证证书,以及最新根证书为旧根证书所签发的第二交叉认证证书,其中,旧根证书也可以称为初始根证书),并向业务节点返回根证书更新提示信息,以提示业务节点去证书授权节点下载最新根证书以及更新自身的数字证书。
见证网络中的任一业务节点均可以通过路由服务向共识网络提交请求,当接收到路由节点返回的根证书更新提示信息,可以向证书授权节点下载最新根证书,并根据新根证书更新自身的数字证书。
本申请实施例中,通过交叉认证方式进行根证书更新,可以实现新根证书和旧根证书之间进行相互认证,即使用新根证书可以识别认证旧根证书所颁发的数字证书,使用旧根证书也可以识别认证新根证书所颁发的数字证书,可以有效地保证新旧证书的过渡,且在进行根证书更新的同时,无论是采用新证书还是旧证书的节点都可以继续正常通信,可以有效提高节点之间的通信成功率。
请一并参见图2,图2是本申请实施例提供的一种区块链网络中的根证书更新场景示意图。如图2所示的证书授权节点20a是指进行了根证书更换的证书授权机构,路由节点20b可以为上述图1所对应实施例中的中间路由层10i中的任一路由节点。下面以路由节点20b为例,对中间路由层中路由节点的自身节点证书的更新过程进行说明。
如图2所示,当系统管理员或者业务服务触发证书授权节点20a对旧根证书进行更换时,证书授权节点20a可以获取到根证书更换指令,基于该根证书更换指令产生新根证书。为了保证区块链网络中所包含的节点(包括业务节点和记账节点)在新根证书替换旧根证书的过渡期间可以正常地进行通信,证书授权节点可以对新根证书和旧根证书进行交叉认证,即旧根证书可以使用自己的私钥为新根证书进行签名,生成第一交叉认证证书;新根证书可以使用自己的私钥为旧根证书进行签名,生成第二交叉认证证书;其中,该第一交叉认证证书的密钥对与新根证书的密钥对是相同的,该第二交叉认证证书的密钥对与旧根证书的密钥对是相同的。例如,从旧根证书切换到新根证书时,使用新根证书签发认证证书2,使用旧根证书签发认证证书4,这样处于新根证书体系和旧根证书体系下的数字证书可以互相认证,如新根证书可以认证旧根证书体系下的证书2和证书3,旧根证书同样可以认证新根证书体系下的证书4和证书5。
证书授权节点20a在生成新根证书、第一交叉认证证书以及第二交叉认证证书后,可以将自身根证书池中的旧根证书更新为新根证书和第二交叉认证证书,该第二交叉认证证书对应一个有效期限,该有效期限到期时表示第二交叉认证证书失效,此时整个区块链网络均切换为新根证书体系,即旧根证书所签发的数字证书在此时的区块链网络中是不被信任的。证书授权节点可以根据新根证书和第二交叉认证证书对自身服务进行更新,如对外提供证书下载服务和证书替换服务。其中,证书下载服务可以是指证书授权节点在接收到其余节点(例如,路由节点20b)的证书下载请求时,可以将其余节点想要下载的证书(例如新根证书和第二交叉认证证书)返回至对应的节点,证书替换服务可以是指证书授权节点20a在接收到其余节点的证书替换请求时,可以将使用旧根证书为其余节点所签发的初始数字证书替换成新根证书所签发的数字证书,该证书替换服务可以保留初始数字证书中的节点公钥、节点身份信息不变,但是使用新根证书重新进行签名,生成更新后的数字证书,并将更新后的数字证书返回至相应的节点。
证书授权节点20a对自身服务进行更新后,可以通过路由节点20b向共识网络20c提交根证书发布交易,该根证书发布交易用于发布证书授权节点20a中的新根证书,即证书授权节点20a将根证书发布交易提交至路由节点20b,由路由节点20b将根证书发布交易转发给共识网络20c,共识网络20c可以将根证书发布交易作为普通交易数据打包成区块进行共识处理,将达成共识的区块进行记账处理。
可以理解的是,路由节点20b在接收并读取到证书授权节点20a发送的根证书发布交易时,可以从证书授权节点20a下载新根证书,并更新自己的证书。具体地,路由节点20b可以通过证书授权节点20a所提供的证书下载服务,从证书授权节点20a下载新根证书和第二交叉认证证书,将路由节点20b中的旧根证书更新为新根证书和第二交叉认证证书,得到新根证书池20d;其中,该新根证书池20d中包括多个证书授权节点对应的最新根证书,如该新根证书池20d中除了包括上述证书授权节点20a对应的新根证书和第二交叉认证证书之外,还可以包括其余证书授权节点(例如,证书授权节点A和证书授权节点B)的最新根证书。此时的路由节点20b可以认证和识别新根证书和旧根证书所颁发的全部数字证书。
路由节点20b还可以通过证书授权节点20a所提供的证书替换服务,从证书授权节点20a获取更新后的目标路由节点证书,将当前路由节点证书更新为目标路由节点证书,以完成自身证书的更新过程;其中,目标路由节点证书可以是指第一交叉认证证书为路由节点20b所签发的数字证书,即使用第一交叉认证证书的私钥对路由节点20b的路由节点信息(可以包括路由节点公钥和路由节点身份信息)进行重新签名,生成目标路由节点证书。路由节点20b将当前路由节点证书更新为目标路由节点证书之后,该路由节点20b所对应的证书链20e为:初始根证书→第一交叉认证证书→目标路由节点认证证书,证书链20e可以表示为初始根证书签发的第一交叉认证证书,第一交叉认证证书签发的目标路由节点认证证书。由于第一交叉认证证书的密钥对与新根证书的密钥对相同,因此不管是新根证书体系下的业务节点(可以理解为业务节点的数字证书是新根证书签发的),还是旧根证书体系下的业务节点(可以理解为业务节点的数字证书是旧根证书签发的),均可以在身份认证过程中识别并认证到该路由节点20b,可以有效提高路由节点20b和业务节点之间的通信成功率。
请参见图3,图3是本申请实施例提供的一种区块链网络中的根证书更新方法的流程示意图,可以理解的是,该方法可以由区块链网络的中间路由层中的路由节点执行,该路由节点可以是区块链网络中的节点服务器,或者是区块链网络中的其他节点设备。如图3所示,该区块链网络中的根证书更新方法可以包括以下步骤:
步骤S101,接收证书授权节点发送的根证书发布交易,根据根证书发布交易从证书授权节点获取目标根证书。
具体的,证书授权节点(如上述图2所对应实施例中的证书授权节点20a)在接收到根证书更换命令后,可以生成目标根证书(也可以称为新根证书),并对该证书授权节点的目标根证书和初始根证书(也可以称为旧根证书)进行交叉认证,得到第一交叉认证证书和第二交叉认证证书,其中,目标根证书和初始根证书可以都是由该证书授权节点所发布的,目标根证书的发布时间晚于初始根证书的发布时间;证书授权节点可以将初始根证书更新为目标根证书和第二交叉认证证书,根据目标根证书、第一交叉认证证书以及第二交叉认证证书对自身服务进行更新,目标根证书与初始根证书之间的交叉认证过程,以及证书授权节点的自身服务更新过程可以参见上述图2所对应实施例中的描述,这里不再进行赘述。证书授权节点完成对初始根证书和自身服务的更新过程后,可以通过中间路由层中的路由节点(如上述图2所对应实施例中的路由节点20b)向区块链网络中的共识网络提交根证书发布交易,该根证书发布交易用于发布证书授权节点所对应的最新根证书。
证书授权节点向共识网络所提交的根证书发布交易首先发送至中间路由层中的路由节点,路由节点可以获取根证书发布交易所携带的初始根证书,根据证书授权节点对应的公钥对初始根证书进行合法性验证,得到初始根证书对应的根证书验证结果;当根证书验证结果为验证通过结果时,将根证书发布交易转发至共识网络,以使共识网络将根证书发布交易封装成区块数据,对区块数据进行共识处理。换言之,证书授权节点可以使用旧的身份信息(即初始根证书)向共识网络提交根证书发布交易,路由节点在接收到根证书发布交易后,同样可以使用本地所下载的初始根证书对根证书发布交易中所携带的初始根证书进行验证,即使用本地所下载的初始根证书中的公钥,对根证书发布交易中所携带的初始根证书进行验证,验证通过,表示路由节点可以认证和识别该证书授权节点的身份,可以将根证书发布交易转发给共识网络;验证未通过,标识路由节点不能认证和识别该证书授权节点的身份,不会将证书发布交易转发给共识网络,并生成验证未通过信息,将验证未通过信息返回至证书授权节点,以提示该证书授权节点重新提交根证书发布交易。
共识网络中的记账节点可以将根证书发布交易封装成区块数据,在共识网络中对该区块数据进行共识,当该区块数据达成共识后,可以对该区块数据进行记账处理。共识网络可以将达成共识的区块数据返回至路由节点,由路由节点将该区块数据转发至见证网络,以使见证网络中的业务节点可以在本地对该区块数据进行记账处理。
其中,该路由节点在读取到根证书发布交易时,表示该路由节点需要更新根证书和当前路由节点证书;此时的路由节点可以向证书授权节点发送证书下载请求,证书授权节点在接收到路由节点发送的证书下载请求后,可以将该路由节点所请求下载的目标根证书和第二交叉认证证书返回至路由节点,路由节点可以接收证书授权节点返回的目标根证书和第二交叉认证证书,根据目标根证书和第二交叉认证证书对路由节点中所安装的初始根证书进行更新。换言之,路由节点可以通过证书授权节点所提供的证书下载服务,从证书授权节点下载目标根证书和第二交叉认证证书。
步骤S102,将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书;第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间。
具体的,在证书授权节点将初始根证书更新为目标根证书和第一交叉认证证书后,表示初始根证书颁发的所有数字证书均需要进行更新,即路由节点同样需要对当前路由节点证书进行更新。路由节点可以向证书授权节点发送第一证书更换请求,以使证书授权节点获取与第一证书更换请求相关联的当前路由节点证书,并根据第一交叉认证证书的私钥对当前路由节点证书中的路由节点信息进行签名,生成目标路由节点证书;路由节点可以接收证书授权节点返回的目标路由节点证书,将当前路由节点证书更新为目标路由节点证书。证书授权节点在接收到路由节点发送的第一证书更换请求后,可以获取路由节点的当前路由节点证书,并从当前路由节点证书中获取路由节点信息,使用第一交叉认证证书的私钥(也可以理解为目标根证书的私钥)对路由节点信息进行签名,生成目标路由节点证书,并将目标路由节点证书返回至路由节点,目标路由节点证书与当前路由节点证书之间的区别在于:数字签名和签发对象不一样,其余的信息均相同,如路由节点的公钥、路由节点的名称等信息。换言之,路由节点可以通过证书授权节点所提供的证书替换服务,从证书授权节点获取目标路由节点证书。
其中,证书授权节点所颁发的数字证书可以包括如下表1所示的证书内容:
表1
可以理解的是,对于当前路由节点证书,对象名称可以为路由节点的名称,证书颁发者可以为初始根证书,签名算法可以为签名算法1,序列号可以为xxxxx1,生效期可以为201x年xx月xx日,失效期可以为202x年xx月xx日,公钥可以表示为路由节点对应的公钥,签名可以为使用初始根证书的私钥所得到的签名。更新后的目标路由节点证书中的证书颁发者变成了第一交叉认证证书签名变成了使用第一交叉认证证书的私钥所得到的签名,其余内容均保持不变。
步骤S103,根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链;第一证书链用于指示未包含目标根证书的业务节点验证目标路由节点证书的合法性。
具体的,路由节点自身的数字证书进行更新后,所对应的证书链也随之发生了变化。路由节点可以在目标路由节点证书所包含的证书信息中,确定目标路由节点证书的签发对象为第一交叉认证证书,为目标路由节点证书设置第一层次信息,为第一交叉认证证书设置第二层次信息;路由节点可以在第一交叉认证证书所包含的证书信息中,确定第一交叉认证证书的签发对象为初始根证书,为初始根证书设置第三层次信息,根据第一层次信息、第二层次信息以及第三层次信息,生成路由节点对应的第一证书链;由于该第一证书链包括初始根证书和第一交叉认证证书,因此所有包含目标根证书的业务节点以及不包含目标根证书的业务节点均可以验证目标路由节点证书的合法性,即所有处于目标根证书体系和初始根证书体系中的业务节点均可以识别认证到该路由节点。换言之,路由节点可以根据目标路由节点证书中所包含的签发对象,查询上一层数字证书,根据上一层数字证书中所包含的签发对象,再往上查找数字证书,直至找到初始根证书,此时从目标路由节点证书至初始根证书可以称为路由节点对应的第一证书链。
可以理解的是,证书授权节点可以通过中间证书替代根证书去做节点的证书签名,以确保根证书的安全性。请一并参见图4,图4是本申请实施例提供的一种证书授权节点颁发数字证书的示意图。如图4所示,初始根证书为证书授权节点为自己所签发的数字证书,中间证书1、中间证书2以及中间证书3均为初始根证书所签发的数字证书,数字证书1和数字证书2为中间证书1所签发的数字证书,数字证书3和数字证书4为中间证书2所签发的数字证书,数字证书5和数字证书6为中间证书3所签发的数字证书。如图4所示,初始根证书→中间证书1→数字证书1可以是一条证书链,初始根证书→中间证书1→数字证书2可以是一条证书链,初始根证书→中间证书2→数字证书3可以是一条证书链,初始根证书→中间证书2→数字证书4可以是一条证书链,初始根证书→中间证书3→数字证书5可以是一条证书链,初始根证书→中间证书3→数字证书6可以是一条证书链。若使用初始根证书的私钥对目标根证书进行签名,生成第一交叉认证证书,并将中间证书1更新为第一交叉认证证书所签发的中间证书11,将数字证书1更新为中间证书11所签发的数字证书11,则初始根证书→中间证书1→数字证书1可以更新为:初始根证书→第一交叉认证证书→中间证书11→数字证书11。
本申请实施例中,路由节点在接收到根证书发布交易后,可以从证书授权节点下载新根证书(即目标根证书),并对本地路由节点证书进行更新,将其更新为第一交叉认证证书所签发的目标路由节点证书,由于第一交叉认证证书是初始根证书为目标根证书所签发的数字证书,因此在路由节点与业务节点进行通信时,不管是下载了目标根证书的业务节点还是没有下载目标根证书的业务节点,均可以识别认证路由节点对应的目标路由节点证书,可以提高路由节点与业务节点之间的通信成功率。
请参见图5,图5是本申请实施例提供的一种区块链网络中的根证书更新方法的时序示意图,可以理解的是,该方法中的路由节点和业务节点均可以是区块链网络中的节点服务器,或者是区块链网络中的其他节点设备。如图5所示,该区块链网络中的根证书更新方法可以包括以下步骤:
步骤S201,提交根证书发布交易。
其中,步骤S201的具体实现方式可以参见上述图3所对应实施例中对步骤S101的描述,这里不再进行赘述。
步骤S202,发送第一证书更换请求。
具体的,路由节点在读取到根证书发布交易后,表示路由节点需要对本地所下载的初始根证书和自身的当前路由节点证书进行更新,路由节点可以向证书授权节点发送第一证书更换请求,以请求获取新的根证书(即目标根证书)和更新后的路由节点证书(即目标路由节点证书)。
步骤S203,返回目标根证书和目标路由节点证书。
具体的,证书授权节点在接收到第一证书更换请求后,可以获取目标根证书和第二交叉认证证书。该证书授权节点可以获取与该第一证书更换请求相关联的当前路由节点证书,并根据第一交叉认证证书的私钥对当前路由节点证书中的路由节点信息进行签名,生成目标路由节点证书。证书授权节点可以将目标根证书、第二交叉认证证书以及目标路由节点证书返回至路由节点。其中,第一交叉认证证书可以是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书可以具有相同的密钥对,第二交叉认证证书可以是指目标根证书为初始根证书所签发的数字证书,第二交叉认证证书与初始根证书可以具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间即可以将目标根证书称为新根证书,将初始根证书称为旧根证书,目标路由节点证书的生成过程可以参见上述图3所对应实施例中步骤S102的步骤,这里不再进行赘述。
步骤S204,更新初始根证书和当前路由节点证书。
具体的,路由节点可以接收证书授权节点返回的目标根证书、第二交叉认证证书以及目标路由节点证书,将第一根证书池中的初始根证书更新为目标根证书和第二交叉认证证书,将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书,其中,第一根证书池是指路由节点在本地所下载的根证书池,在第一根证书池中可以包括路由节点所下载的一个或多个证书授权节点对应的最新根证书。路由节点将当前路由节点证书更新为目标路由节点证书后,该路由节点对应的证书链也随着发生变化,即可以根据目标路由节点证书、第一交叉认证证书以及初始根证书,可以生成该路由节点对应的第一证书链,第一证书链的具体结构说明可以参见上述图3所对应实施例中对步骤S103的描述,这里不再进行赘述。
步骤S205,发送消息数据。
具体的,若路由节点将当前路由节点证书更新为目标路由节点证书后,使用目标路由节点证书向业务节点发送消息数据,如路由节点向业务节点转发共识网络返回的业务处理结果消息。
步骤S206,验证目标路由节点证书。
具体的,业务节点可以接收路由节点发送的消息数据,获取消息数据所携带的目标路由节点证书;业务节点可以从目标路由节点中的签发对象,确定目标路由节点证书的上一层证书为第一交叉认证证书,根据第一交叉认证证书中所包含的签发对象,确定第一交叉认证证书的上一层证书为起始证书(也可以称为根证书),即业务节点可以获取包含目标路由节点证书、第一交叉认证证书以及起始数字证书的第一证书链,并对第一证书链进行验证,得到该第一证书链的验证结果。
进一步地,第一证书链的具体验证过程可以包括:业务节点可以获取第一交叉认证证书的公钥,根据第一交叉认证证书的公钥对目标路由节点证书中的数字签名进行验证,即业务节点可以对目标路由节点证书进行解析,得到该目标路由节点证书中的证书内容(例如上述表1中所包含的路由节点的名称,证书序列号,生效期,失效期,路由节点对应的公钥等信息)和数字签名,业务节点可以使用相同的哈希算法(与签发对象生成数字签名所使用的哈希算法相同)计算证书内容的数字摘要信息;业务节点还可以从目标路由节点证书中确定签发对象为:第一交叉认证证书,获取第一交叉认证证书的公钥对目标路由节点证书中的数字签名进行解密,得到解密后的数字摘要信息,若业务节点使用哈希算法计算得到的数字摘要信息与解密后的数字摘要信息不相同,则可以表示目标路由节点证书中的数字签名不正确,进而可以确定第一证书链的验证结果为验证未通过。
若业务节点使用哈希算法计算得到的数字摘要信息与解密后的数字摘要信息相同,则可以表示目标路由节点证书中的数字签名正确,该目标路由节点证书是被第一交叉认证证书认证过的合法证书,业务节点需要进一步确定第一交叉认证证书的身份是否合法,进而业务节点同样可以使用上述方式对第一交叉认证证书进行验证,即可以获取起始数字证书的公钥,根据起始数字证书的公钥,对第一交叉认证证书中的数字签名进行验证,当第一交叉认证证书中的数字签名正确时,根据起始数字证书的公钥,对起始数字证书中的数字签名进行验证,当数字签名验证正确时,可以确定该起始数字证书为根证书;若起始数字证书的公钥与初始根证书的公钥相同,则确定起始数字证书为初始根证书,此时可以确定第一证书链通过验证;当第一证书链通过验证时,该第一证书链中所包含的目标路由节点证书满足合法性条件,即业务节点可以识别和认证该路由节点的身份。其中,通过验证的第一证书链中的第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,目标根证书和初始根证书均由证书授权节点所发布,初始根证书的发布时间早于目标根证书的发布时间。可以得知此时的业务节点还未对本地所下载的初始根证书进行更新,即可以使用初始根证书识别和认证更新过的目标路由节点证书。
可选的,若此时的业务节点已经对本地所下载的初始根证书进行了更新,即业务节点的本地安装有目标根证书,由于第一交叉认证证书的密钥对与目标根证书的密钥对相同,则业务节点同样可以识别认证到目标路由节点证书。
请一并参见图6,图6是本申请实施例提供的一种证书链验证的示意图。若路由节点对应的第一证书链如图6所示,该第一证书链为:初始根证书→第一交叉认证证书→目标路由节点证书。其中,初始根证书可以包括证书授权节点名称、证书授权节点公钥以及数字签名1等信息,该数字签名为证书授权节点的自签名;第一交叉认证证书可以包括目标根证书名称、目标根证书公钥、初始根证书名称以及数字签名2等信息,数字签名2是初始根证书为第一交叉认证证书所生成的签名;目标路由节点证书可以包括路由节点名称、路由节点公钥、第一交叉认证证书名称(即目标根证书名称)以及数字签名3等信息,数字签名3是第一交叉认证证书为目标路由节点证书所生成的签名。
业务节点根据目标路由节点证书获取到上述第一证书链后,可以使用第一交叉认证证书的公钥(即目标根证书公钥)对目标路由节点证书中的数字签名3进行合法性验证,数字签名3验证通过后,可以使用初始根证书的公钥(即证书授权节点公钥)对第一交叉认证证书中的数字签名2进行合法性验证,数字签名2验证通过后,可以对初始根证书进行验证,当业务节点在本地下载了初始根证书时,表示该业务节点无条件信任证书授权节点,可以确定该第一证书链通过验证。
需要说明的是,在第一证书链的验证过程中,除了验证每个证书中所包含的数字签名的合法性,还需要验证每个证书中所包含的证书内容是否合法,如验证证书中的签发对象是否为受到认可的证书颁发机构,证书是否处于有效期内,证书中所包含的证书持有者信息是否正确等,上述任一项不满足条件,该第一证书链的验证结果就可以确定为验证未通过;当第一证书链中所包含的所有证书的数字签名和证书内容均没有问题时,才可以确定该第一证书链通过验证。
步骤S207,发送第一业务交易数据。
具体的,在区块链网络中进行根证书替换时,见证网络中的业务节点不需要自动读取链上的证书交易发布交易,只需正常地执行响应的业务即可,当业务节点根据用户操作产生第一业务交易数据时,可以通过路由节点向共识网络上传该第一业务交易数据。换言之,该第一业务交易数据首先发送至路由节点,由路由节点对该业务节点的身份进行识别认证,身份认证通过之后才会把第一业务交易数据转发给共识网络。
可选的,以电子发票业务为例,企业或个人需要开电子发票时,可以通过请求终端(该请求终端可以为客户端)向税局提交开票请求,此时的税局可以理解为是一个业务节点,业务节点可以接收请求终端的开票请求,获取与开票请求相关联的待校验电子发票数据,进而可以将待校验电子发票数据封装成第一业务交易数据,向路由节点发送该第一业务交易数据,以使路由节点将第一业务交易数据转发至共识网络进行共识处理,得到第一业务交易数据对应的开票结果。当然,路由节点在接收到第一业务交易数据后,需要对该第一业务交易数据的发送者的身份进行认证,认证通过后才会将第一交易数据转发给共识网络,以使共识网络对第一业务交易数据进行共识处理,并得到该第一业务交易数据对应的开票结果,共识网络可以通过路由节点将开票结果返回至业务节点。
步骤S208,验证业务节点证书。
具体的,路由节点在接收到业务节点发送的第一业务交易数据后,可以获取第一业务交易数据所携带的业务节点证书,从业务节点证书中确定该业务节点证书的签发对象,获取该签发对象的公钥,根据该签发对象的公钥,对该业务节点证书进行验证,得到该业务节点证书对应的证书验证结果;进而可以根据证书验证结果、初始根证书以及目标根证书,确定业务节点对应的身份验证结果。
其中,获取业务节点证书对应的证书验证结果的具体过程可以包括:路由节点可以获取业务节点证书对应的第二证书链,从第二证书链中获取数字证书Ci和数字证书Ci+1,其中,数字证书Ci和数字证书Ci+1为第二证书链中相邻的两个数字证书,第二证书链可以包括业务节点证书,数字证书Ci+1为业务节点证书的签发对象,数字证书Ci为数字证书Ci+1的签发对象,i为小于第二证书链中所包含的数字证书的数量的正整数。需要说明的是,第二证书链可以包括至少两个数字证书,第二证书链中所包含的数字证书的数量与实际应用场景相关联,这里不做具体限定。在本申请实施例中,以第二证书链包括至少三个数字证书为例进行具体说明。
路由节点可以获取数字证书Ci+1的公钥,并根据数字证书Ci+1的公钥对业务节点证书中的数字签名进行验证,当业务节点证书中的数字签名正确时,可以继续根据数字证书Ci的公钥对数字证书Ci+1中的数字签名进行验证;当数字证书Ci+1中的数字签名正确时,继续根据数字证书Ci的签发对象所对应的公钥,对数字证书Ci中的数字签名进行验证;当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为初始根证书时根据初始根证书确定业务节点证书的证书验证结果为证书合法结果;当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为目标根证书时,根据目标根证书确定业务节点证书的证书验证结果为证书合法结果。需要说明的是,此时的路由节点的第一根证书池中包括目标根证书和第二交叉认证证书,对目标根证书所签发的数字证书和初始根证书所签发的数字证书均可以进行识别认证。业务节点证书的验证过程与上述目标路由节点证书的验证过程类似,第二证书链的具体验证过程可以参见上述步骤S206中对第一证书链验证过程的描述,这里不再进行赘述。
其中,获取业务节点的身份验证结果的具体过程可以包括:若证书验证结果与初始根证书相匹配,即第二证书链中的起始数字证书为初始根证书,则生成验证通过信息和根证书更新提示信息,将验证通过信息和根证书更新提示信息作为身份验证结果,该根证书更新提示信息可以用于提示业务节点对本地所下载的初始根证书和业务节点证书进行更新;若证书验证结果与目标根证书相匹配,即第二证书链中的起始数字证书为目标根证书,则生成验证通过信息,将验证通过信息作为身份验证结果;若证书验证结果与初始根证书和目标根证书均不匹配,即第二证书链中的起始数字证书不是目标根证书,也不是初始根证书,则生成验证未通过信息,将验证未通过信息作为身份验证结果。当然,若第二证书链中的任意一个证书超过有效期限,或者证书内容有误,则生成验证未通过信息,将验证未通过信息作为身份验证结果。换言之,业务节点证书的证书验证结果为证书合法结果,表示业务节点通过身份认证;业务节点证书的证书验证结果为证书非法结果,表示业务节点未通过身份认证。
步骤S209,返回业务节点的身份验证结果。
具体的,路由节点在得到业务节点的身份验证结果后,可以将业务节点对应的身份验证结果返回至业务节点。
步骤S210,当身份验证结果包括根证书更新提示信息时,发送第二证书更换请求。
具体的,业务节点接收路由节点返回的身份验证结果,当身份验证结果包括根证书更新提示信息时,表示业务节点需要对第二根证书池中的初始根证书进行更新,且业务节点需要对自身证书(即业务节点证书)进行更新。因此,业务节点可以向证书授权节点发送第二证书更换请求,以请求获取新的根证书(即目标根证书)和更新后的业务节点证书(即目标业务节点证书)。
步骤S211,返回目标根证书和目标业务节点证书。
具体的,证书授权节点在接收到第二证书更换请求后,可以获取目标根证书和第二交叉认证证书。该证书授权节点可以获取与该第二证书更换请求相关联的业务节点证书,并根据第一交叉认证证书的私钥对业务节点证书中的业务节点信息进行签名,生成目标业务节点证书。证书授权节点可以将目标根证书、第二交叉认证证书以及目标业务节点证书返回至业务节点。目标业务节点证书的生成过程与目标路由节点证书的生成过程相同,具体描述可以参见上述图3所对应实施例中步骤S102的步骤,这里不再进行赘述。
步骤S212,更新初始根证书和业务节点证书。
具体的,业务节点可以接收证书授权节点返回的目标根证书、第二交叉认证证书以及目标业务节点证书,将第二根证书池中的初始根证书更新为目标根证书和第二交叉认证证书,将当前业务节点证书更新为第一交叉认证证书所签发的目标业务节点证书,其中,第二根证书池是指业务节点在本地所下载的根证书池,在第二根证书池中可以包括业务节点所下载的一个或多个证书授权节点对应的最新根证书。业务节点将当前业务节点证书更新为目标业务节点证书后,该业务节点对应的证书链也随着发生变化,即可以根据目标业务节点证书、第一交叉认证证书以及初始根证书,可以生成该业务节点对应的第二证书链,第二证书链的具体结构与上述第一证书链类似,具体描述可以参见上述图3所对应实施例中对步骤S103的描述,这里不再进行赘述。
根据上述步骤S201-步骤S212,区块链网络中的所有业务节点和路由节点均可以实现根证书的更新过程。需要说明的是,当第二交叉认证证书的有效期限到期时,该第二交叉认证证书就会失效,此时整个区块链网络全部将初始根证书全部更新为目标根证书。以路由节点为例,路由节点可以实时获取第二交叉认证证书对应的有效期限;若当前时间信息不属于有效期限,则确定第二交叉认证证书属于无效状态,在第一根证书池中删除第二交叉认证证书,第二交叉认证证书失效之后,表示路由节点无法识别认证初始根证书所颁发的数字证书;当路由节点接收到业务节点发送的第二业务交易数据时,对第二业务交易数据所携带的业务节点证书进行验证,得到针对业务节点证书的待定验证结果;若待定验证结果与初始根证书相匹配,即业务节点证书为初始根证书所签发的数字证书,业务节点还未对自身的业务节点证书进行更新,则生成验证未通过信息,将验证未通过信息返回至业务节点,即该业务节点对于路由节点而言,是不被认可的。举例来说,当第二交叉认证证书的有效期限到期时,业务节点1还未更新自身的节点证书,业务节点2已经更新了自身的节点证书,那么在业务节点1与路由节点进行通信时,如业务节点1向路由节点发送交易数据,路由节点无法认证业务节点1的节点证书,即无法确认业务节点1的身份,此次业务节点1与路由节点之间的通信就无法正常进行;在业务节点2与路由节点进行通信时,路由节点可以认证业务节点2的节点证书,即可以确认业务节点2的身份,此次业务节点2与路由节点之间的通信可以正常进行。
请一并参见图7,图7是本申请实施例提供的一种电子发票区块链系统的结构示意图。如图7所示,以电子发票业务为例,用于执行电子发票业务的区块链网络可以包括业务层、路由代理层(也可以称为中间路由层)以及核心共识网络层,路由代理层可以用于隔离业务层和核心共识网络层。其中,业务层处于见证网络中,业务层可以包括一个或多个业务节点,可以用于处理电子发票业务,例如,电子税局30a可以通过税务专网30d与业务层中的地方税局进行通信,企业30b可以通过公有云30e与业务层中的开票服务商、报销服务商以及重要客户企业(也可以称为KA企业)进行通信,消费者30c可以通过私有云30f与业务层中的支付服务商、流转服务商以及KA企业进行通信,其中,私有云30f的安全性要高于公有云30e,可以更好地保护消费者的个人信息;业务层中的地方税局、开票服务商、报销服务商、重要客户企业、支付服务商、流转服务商等均可以作为业务节点。
路由代理层中包括代理节点(也可以称为路由节点),在路由代理层中可以包括路由服务、点对点服务以及认证服务等,路由代理层中还可以进行证书缓存。其中,路由服务可以用于在业务层和核心共识网络层之间转发数据,证书缓存可以用于对业务节点进行身份认证。
核心共识网络层可以包括可信区块链节点(也可以称为TrustSQL节点,或者记账节点共识网络层中可以包括多个核心链,如核心链1,……,核心链N(N为正整数),核心链1可以包括可信区块链节点30g、可信区块链节点30h等节点,核心链N可以包括可信区块链节点30i、可信区块链节点30j等节点。核心共识网络层中的可信区块链节点可以运行区块链网络中的共识协议,不同的核心链可以运行相同的共识协议,也可以运行不同的共识协议。
在图7所示的区块链网络中,需要进行根证书替换时,证书授权节点可以通过路由代理层向核心共识网络层提交根证书发布交易,路由代理层中的代理节点在读取到根证书发布交易后,可以下载目标根证书和第二交叉认证证书进行缓存,并将自身节点证书更新为第一交叉节点证书所签发的目标路由节点证书,即完成根证书和自身节点证书的更新过程。业务层中的任一业务节点在与代理节点进行通信时,不管是初始根证书体系下的业务节点(即该业务节点的节点证书是初始根证书所签发的),还是目标根证书体系下的业务节点,均可以进行正常的通信,但是对于初始根证书体系下的业务节点,代理节点在返回信息中可以添加根证书更新提示信息,以提醒业务节点对初始根证书和自身节点证书进行更新。在第二交叉认证证书的有效期限内,所有业务节点均可以在与代理节点的正常通信过程中,完成根证书的更新过程,可以动态且平滑的进行根证书替换。
本申请实施例中,通过对初始根证书和目标根证书进行交叉认证,可以生成初始根证书对目标根证书签发的第一交叉认证证书,以及目标根证书对初始根证书签发的第二交叉认证证书,证书授权节点可以通过路由节点向共识网络提交根证书发布交易,路由节点在接收到根证书发布交易后,可以从证书授权节点下载新根证书(即目标根证书)和第二交叉认证证书,将当前所安装的初始根证书更新为目标根证书和第二交叉认证证书,并对本地路由节点证书进行更新,将其更新为第一交叉认证证书所签发的目标路由节点证书,由于第一交叉认证证书是初始根证书为目标根证书所签发的数字证书,因此在路由节点与业务节点进行通信时,不管是下载了目标根证书的业务节点还是没有下载目标根证书的业务节点,均可以识别认证路由节点对应的目标路由节点证书,可以提高路由节点与业务节点之间的通信成功率;且在根证书替换过程中,可以实现节点之间的平滑互通,在节点之间的通信中可以消除证书版本依赖,提高了根证书体系的通用化。
请参见图8,图8是本申请实施例提供的一种区块链网络中的根证书更新装置的结构示意图。该区块链网络中的根证书更新装置可以是运行于路由节点中的一个计算机程序(包括程序代码),例如该区块链网络中的根证书更新装置为一个应用软件;该装置可以用于执行图3和图5所对应实施例提供的方法中的相应步骤。如图8所示,该区块链网络中的根证书更新装置1可以包括:第一接收模块101,第一更新模块102,生成模块103;
第一接收模块101,用于接收证书授权节点发送的根证书发布交易,根据根证书发布交易从证书授权节点获取目标根证书;
第一更新模块102,用于将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书;第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间;
生成模块103,用于根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链;第一证书链用于指示未包含目标根证书的业务节点验证目标路由节点证书的合法性。
其中,第一接收模块101,第一更新模块102,生成模块103的具体功能实现方式可以参见上述图3所对应实施例中步骤S101-步骤S103的描述,这里不再进行赘述。
请一并参见图8,第一更新模块102可以包括:第一请求发送单元1021,第一节点证书接收单元1022;
第一请求发送单元1021,用于向证书授权节点发送第一证书更换请求,以使证书授权节点获取与第一证书更换请求相关联的当前路由节点证书,并根据第一交叉认证证书的私钥对当前路由节点证书中的路由节点信息进行签名,生成目标路由节点证书;
第一节点证书接收单元1022,用于接收证书授权节点返回的目标路由节点证书,将当前路由节点证书更新为目标路由节点证书。
其中,第一请求发送单元1021,第一节点证书接收单元1022的具体功能实现方式可以参见上述图3所对应实施例中步骤S102的描述,这里不再进行赘述。
请一并参见图8,生成模块103可以包括:第一确定单元1031,第一设置单元1032,第二确定单元1033,第二设置单元1034;
第一确定单元1031,用于在目标路由节点证书所包含的证书信息中,确定目标路由节点证书的签发对象为第一交叉认证证书;
第一设置单元1032,用于为目标路由节点证书设置第一层次信息,为第一交叉认证证书设置第二层次信息;
第二确定单元1033,用于在第一交叉认证证书所包含的证书信息中,确定第一交叉认证证书的签发对象为初始根证书;
第二设置单元1034,用于为初始根证书设置第三层次信息,根据第一层次信息、第二层次信息以及第三层次信息,生成路由节点对应的第一证书链。
其中,第一确定单元1031,第一设置单元1032,第二确定单元1033,第二设置单元1034的具体功能实现方式可以参见上述图3所对应实施例中步骤S103的描述,这里不再进行赘述。
请一并参见图8,该区块链网络中的根证书更新装置1还可以包括:第二更新模块104,节点证书获取模块105,节点证书验证模块106,节点身份确定模块107;
第二更新模块104,用于根据根证书发布交易从证书授权节点获取第二交叉认证证书,将第一根证书池中的初始根证书更新为目标根证书和第二交叉认证证书;第二交叉认证证书是指目标根证书为初始根证书所签发的数字证书,第二交叉认证证书与初始根证书具有相同的密钥对;
节点证书获取模块105,用于当接收到业务节点发送的第一业务交易数据时,获取第一业务交易数据所携带的业务节点证书;
节点证书验证模块106,用于根据业务节点证书的签发对象所对应的公钥,对业务节点证书进行验证,得到业务节点证书对应的证书验证结果;
节点身份确定模块107,用于根据证书验证结果、初始根证书以及目标根证书,确定业务节点对应的身份验证结果,将身份验证结果返回至业务节点。
其中,第二更新模块104,节点证书获取模块105,节点证书验证模块106,节点身份确定模块107的具体功能实现方式可以参见上述图5所对应实施例中步骤S204的描述,这里不再进行赘述。
请一并参见图8,节点证书验证模块106可以包括:证书链获取单元1061,证书链验证单元1062,结果确定单元1063;
证书链获取单元1061,用于获取业务节点证书对应的第二证书链,从第二证书链中获取数字证书Ci和数字证书Ci+1;第二证书链包括业务节点证书,数字证书Ci+1为业务节点证书的签发对象,数字证书Ci为数字证书Ci+1的签发对象,i为小于第二证书链中所包含的数字证书的数量的正整数;
证书链验证单元1062,用于根据数字证书Ci+1的公钥对业务节点证书中的数字签名进行验证,当业务节点证书中的数字签名正确时,根据数字证书Ci的公钥对数字证书Ci+1中的数字签名进行验证;
上述证书链验证单元1062,还用于当数字证书Ci+1中的数字签名正确时,根据数字证书Ci的签发对象所对应的公钥,对数字证书Ci中的数字签名进行验证;
结果确定单元1063,用于当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为初始根证书时,根据初始根证书确定业务节点证书的证书验证结果为证书合法结果;
上述结果确定单元1063,还用于当数字证书Ci为第二证书链中的起始数字证书,且数字证书Ci为目标根证书时,根据目标根证书确定业务节点证书的证书验证结果为证书合法结果。
其中,证书链获取单元1061,证书链验证单元1062,结果确定单元1063的具体功能实现方式可以参见上述图5所对应实施例中步骤S208的描述,这里不再进行赘述。
请一并参见图8,节点身份确定模块107可以包括:第一信息生成单元1071,第二信息生成单元1072,第三信息生成单元1073;
第一信息生成单元1071,用于若证书验证结果与初始根证书相匹配,则生成验证通过信息和根证书更新提示信息,将验证通过信息和根证书更新提示信息作为身份验证结果返回至业务节点,以使业务节点根据根证书更新提示信息,对业务节点证书和第二根证书池中的初始根证书进行更新;
第二信息生成单元1072,用于若证书验证结果与目标根证书相匹配,则生成验证通过信息,将验证通过信息作为身份验证结果返回至业务节点;
第三信息生成单元1073,用于若证书验证结果与初始根证书和目标根证书均不匹配,则生成验证未通过信息,将验证未通过信息作为身份验证结果返回至业务节点。
其中,第一信息生成单元1071,第二信息生成单元1072,第三信息生成单元1073的具体功能实现方式可以参见上述图5所对应实施例中步骤S208的描述,这里不再进行赘述。
请一并参见图8,该区块链网络中的根证书更新装置1还可以包括:期限获取模块108,证书删除模块109,第二接收模块110,结果信息生成模块111;
期限获取模块108,用于获取第二交叉认证证书对应的有效期限;
证书删除模块109,用于若当前时间信息不属于有效期限,则确定第二交叉认证证书属于无效状态,在第一根证书池中删除第二交叉认证证书;
第二接收模块110,用于当接收到业务节点发送的第二业务交易数据时,对第二业务交易数据所携带的业务节点证书进行验证,得到针对业务节点证书的待定验证结果;
结果信息生成模块111,用于若待定验证结果与初始根证书相匹配,则生成验证未通过信息,将验证未通过信息返回至业务节点。
其中,期限获取模块108,证书删除模块109,第二接收模块110,结果信息生成模块111的具体功能实现方式可以参见上述图5所对应实施例中步骤S212的描述,这里不再进行赘述。
请一并参见图8,该区块链网络中的根证书更新装置1还可以包括:节点身份验证模块112,交易转发模块113;
节点身份验证模块112,用于获取根证书发布交易所携带的初始根证书,根据证书授权节点对应的公钥对初始根证书进行合法性验证,得到初始根证书对应的根证书验证结果;
交易转发模块113,用于当根证书验证结果为验证通过结果时,将根证书发布交易转发至共识网络,以使共识网络将根证书发布交易封装成区块数据,对区块数据进行共识处理。
其中,节点身份验证模块112,交易转发模块113的具体功能实现方式可以参见上述图5所对应实施例中步骤S212的描述,这里不再进行赘述。
本申请实施例中,通过对初始根证书和目标根证书进行交叉认证,可以生成初始根证书对目标根证书签发的第一交叉认证证书,以及目标根证书对初始根证书签发的第二交叉认证证书,证书授权节点可以通过路由节点向共识网络提交根证书发布交易,路由节点在接收到根证书发布交易后,可以从证书授权节点下载新根证书(即目标根证书)和第二交叉认证证书,将当前所安装的初始根证书更新为目标根证书和第二交叉认证证书,并对本地路由节点证书进行更新,将其更新为第一交叉认证证书所签发的目标路由节点证书,由于第一交叉认证证书是初始根证书为目标根证书所签发的数字证书,因此在路由节点与业务节点进行通信时,不管是下载了目标根证书的业务节点还是没有下载目标根证书的业务节点,均可以识别认证路由节点对应的目标路由节点证书,可以提高路由节点与业务节点之间的通信成功率;且在根证书替换过程中,可以实现节点之间的平滑互通,在节点之间的通信中可以消除证书版本依赖,提高了根证书体系的通用化。
请参见图9,图9是本申请实施例提供的一种区块链网络中的根证书更新装置的结构示意图。该区块链网络中的根证书更新装置可以是运行于业务节点中的一个计算机程序(包括程序代码),例如该区块链网络中的根证书更新装置为一个应用软件;该装置可以用于执行图3和图5所对应实施例提供的方法中的相应步骤。如图9所示,该区块链网络中的根证书更新装置2可以包括:第三接收模块21,验证模块22,验证通过模块23,合法性确定模块24;
第三接收模块21,用于接收路由节点发送的消息数据,获取消息数据所携带的目标路由节点证书;
验证模块22,用于获取包含目标路由节点证书、第一交叉认证证书以及起始数字证书的第一证书链,对第一证书链进行验证;
验证通过模块23,用于若第一证书链中的起始数字证书为初始根证书,则确定第一证书链通过验证;
合法性确定模块24,用于根据通过验证的第一证书链,确定目标路由节点证书满足合法性条件;通过验证的第一证书链中的第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,目标根证书和初始根证书均由证书授权节点所发布,初始根证书的发布时间早于目标根证书的发布时间。
其中,验证模块22可以具体用于:
获取第一交叉认证证书的公钥,根据第一交叉认证证书的公钥,对目标路由节点证书中的数字签名进行验证;
当目标路由节点证书中的数字签名正确时,获取起始数字证书的公钥,根据起始数字证书的公钥,对第一交叉认证证书中的数字签名进行验证;
当第一交叉认证证书中的数字签名正确时,根据起始数字证书的公钥,对起始数字证书中的数字签名进行验证;
若起始数字证书的公钥与初始根证书的公钥相同,则确定起始数字证书为初始根证书。
其中,第三接收模块21,验证模块22,验证通过模块23,合法性确定模块24的具体功能实现方式可以参见上述图5所对应实施例中步骤S205-步骤S206的描述,这里不再进行赘述。
请一并参见图9,该区块链网络中的根证书更新装置2还可以包括:数据发送模块25,结果接收模块26,第三更新模块27;
数据发送模块25,用于向路由节点发送第一业务交易数据,以使路由节点对第一业务交易数据所携带的业务节点证书进行验证,得到业务节点对应的身份验证结果;
结果接收模块26,用于接收路由节点返回的身份验证结果;
第三更新模块27,用于当身份验证结果包括根证书更新提示信息时,根据根证书更新提示信息,对业务节点证书和第二根证书池中的初始根证书进行更新。
其中,数据发送模块25,结果接收模块26,第三更新模块27的具体功能实现方式可以参见上述图5所对应实施例中步骤S207-步骤S212的描述,这里不再进行赘述。
请一并参见图9,数据发送模块25可以包括:开票请求接收单元251,封装单元252;
开票请求接收单元251,用于接收请求终端针对企业的开票请求,获取与开票请求相关联的待校验电子发票数据;
封装单元252,用于将待校验电子发票数据封装成第一业务交易数据,向路由节点发送第一业务交易数据,以使路由节点将第一业务交易数据转发至共识网络进行共识处理,得到第一业务交易数据对应的开票结果。
其中,开票请求接收单元251,封装单元252的具体功能实现方式可以参见上述图5所对应实施例中步骤S207的描述,这里不再进行赘述。
请一并参见图9,第三更新模块27可以包括:根证书更新单元271,第二请求发送单元272,目标业务节点证书接收单元273;
根证书更新单元271,用于根据根证书更新提示信息从证书授权节点获取目标根证书和第二交叉认证证书,将第二根证书池中的初始根证书更新为目标根证书和第二交叉认证证书;第二交叉认证证书是指目标根证书为初始根证书所签发的数字证书,第二交叉认证证书与初始根证书具有相同的密钥对;
第二请求发送单元272,用于向证书授权节点发送第二证书更换请求,以使证书授权节点获取与第二证书更换请求相关联的业务节点证书,并根据第一交叉认证证书的私钥对业务节点证书中的业务节点信息进行签名,生成目标业务节点证书;
目标业务节点证书接收单元273,用于接收证书授权节点返回的目标业务节点证书,将业务节点证书更新为目标业务节点证书。
其中,根证书更新单元271,第二请求发送单元272,目标业务节点证书接收单元273的具体功能实现方式可以参见上述图5所对应实施例中步骤S212的描述,这里不再进行赘述。
本申请实施例中,通过对初始根证书和目标根证书进行交叉认证,可以生成初始根证书对目标根证书签发的第一交叉认证证书,以及目标根证书对初始根证书签发的第二交叉认证证书,证书授权节点可以通过路由节点向共识网络提交根证书发布交易,路由节点在接收到根证书发布交易后,可以从证书授权节点下载新根证书(即目标根证书)和第二交叉认证证书,将当前所安装的初始根证书更新为目标根证书和第二交叉认证证书,并对本地路由节点证书进行更新,将其更新为第一交叉认证证书所签发的目标路由节点证书,由于第一交叉认证证书是初始根证书为目标根证书所签发的数字证书,因此在路由节点与业务节点进行通信时,不管是下载了目标根证书的业务节点还是没有下载目标根证书的业务节点,均可以识别认证路由节点对应的目标路由节点证书,可以提高路由节点与业务节点之间的通信成功率;且在根证书替换过程中,可以实现节点之间的平滑互通,在节点之间的通信中可以消除证书版本依赖,提高了根证书体系的通用化。
请参见图10,图10是本申请实施例提供的一种计算机设备的结构示意图。如图10所示,该计算机设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述计算机设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图10所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在如图10所示的计算机设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
接收证书授权节点发送的根证书发布交易,根据根证书发布交易从证书授权节点获取目标根证书;
将当前路由节点证书更新为第一交叉认证证书所签发的目标路由节点证书;第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,初始根证书的发布时间早于目标根证书的发布时间;
根据目标路由节点证书、第一交叉认证证书以及初始根证书,生成路由节点对应的第一证书链;第一证书链用于指示未包含目标根证书的业务节点验证目标路由节点证书的合法性。
应当理解,本申请实施例中所描述的计算机设备1000可执行前文图3和图5所对应实施例中对区块链网络中的根证书更新方法的描述,也可执行前文图8所对应实施例中对区块链网络中的根证书更新装置1的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
请参见图11,图11是本申请实施例提供的一种计算机设备的结构示意图。如图11所示,该计算机设备2000可以包括:处理器2001,网络接口2004和存储器2005,此外,上述计算机设备2000还可以包括:用户接口2003,和至少一个通信总线2002。其中,通信总线2002用于实现这些组件之间的连接通信。其中,用户接口2003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口2003还可以包括标准的有线接口、无线接口。网络接口2004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器2005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器2005可选的还可以是至少一个位于远离前述处理器2001的存储装置。如图11所示,作为一种计算机可读存储介质的存储器2005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在如图11所示的计算机设备2000中,网络接口2004可提供网络通讯功能;而用户接口2003主要用于为用户提供输入的接口;而处理器2001可以用于调用存储器2005中存储的设备控制应用程序,以实现:
接收路由节点发送的消息数据,获取消息数据所携带的目标路由节点证书;
获取包含目标路由节点证书、第一交叉认证证书以及起始数字证书的第一证书链,对第一证书链进行验证;
若第一证书链中的起始数字证书为初始根证书,则确定第一证书链通过验证;
根据通过验证的第一证书链,确定目标路由节点证书满足合法性条件;通过验证的第一证书链中的第一交叉认证证书是指初始根证书为目标根证书所签发的数字证书,第一交叉认证证书与目标根证书具有相同的密钥对,目标根证书和初始根证书均由证书授权节点所发布,初始根证书的发布时间早于目标根证书的发布时间。
应当理解,本申请实施例中所描述的计算机设备2000可执行前文图5所对应实施例中对区块链网络中的根证书更新方法的描述,也可执行前文图9所对应实施例中对区块链网络中的根证书更新装置2的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且计算机可读存储介质中存储有前文提及的区块链网络中的根证书更新装置1和区块链网络中的根证书更新装置2所执行的计算机程序,且计算机程序包括程序指令,当处理器执行程序指令时,能够执行前文图3和图5所对应实施例中对区块链网络中的根证书更新方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可被部署在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行,分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链网络。
此外,需要说明的是:本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或者计算机程序可以包括计算机指令,该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器可以执行该计算机指令,使得该计算机设备执行前文图3和图5所对应实施例中对区块链网络中的根证书更新方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节,请参照本申请方法实施例的描述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储器(Read-Only Memory,ROM)或随机存储器(Random Access Memory,RAM)等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
