技术摘要：
本发明实施例公开了一种基于区块链网络的证书签发方法、相关设备及介质；其中，区块链网络包括共识节点和可信节点；可信节点基于可信执行环境提供证书签发服务，可信执行环境是指位于可信节点中，且与可信节点的操作系统相互隔离的安全区域；方法包括：接收客户端发送  全部
背景技术：
身份证书，是一种在互联网通讯中标志通讯各方身份信息的数字认证标识。目前， 客户端的身份证书通常是由统一的证书签发结构进行签发的；其具体的签发流程如下：当 客户端存在证书签发需求时，客户端向统一的证书签发机构发生证书签发请求；相应的，证 书签发机构可响应此证书签发请求，为客户端签发一个身份证书。然而在此签发流程中，一 旦证书签发机构被恶意攻击，则会导致客户端的身份证书在签发时被恶意篡改；由此可见， 现有的证书签发方式容易导致身份证书的安全性和可靠性较低。
技术实现要素：
本发明实施例提供了一种基于区块链网络的证书签发方法、相关设备及介质，可 以更好地实现身份证书的签发，提供身份证书的可靠性和安全性。 一方面，本发明实施例提供了一种基于区块链网络的证书签发方法；其中，区块链 网络包括共识节点和可信节点；可信节点基于可信执行环境提供证书签发服务，可信执行 环境是指位于可信节点中，且与可信节点的操作系统相互隔离的安全区域；所述方法由可 信节点执行，所述方法包括： 接收客户端发送的证书签发请求，所述证书签发请求是在所述客户端的证书申请 通知通过所述共识节点的共识后发送的；所述证书申请通知用于指示所述客户端欲向所述 可信节点申请身份证书； 响应于所述证书签发请求，在所述可信执行环境中为所述客户端生成一个身份证 书； 向所述客户端返回所述身份证书，并向所述共识节点发送与所述证书申请通知对 应的签发完成通知，所述签发完成通知用于指示已签发所述客户端的身份证书。 一方面，本发明实施例提供了一种基于区块链网络的证书签发方法；其中，区块链 网络包括共识节点和可信节点；可信节点基于可信执行环境提供证书签发服务，可信执行 环境是指位于可信节点中，且与可信节点的操作系统相互隔离的安全区域；所述方法由客 户端执行，所述方法包括： 向所述区块链网络中的共识节点发送证书申请通知，所述证书申请通知用于指示 所述客户端欲向所述可信节点申请身份证书； 若所述证书申请通知通过所述共识节点的共识，则向所述可信节点发送所述证书 签发请求，以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书， 并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签 6 CN 111597537 A 说　明　书 2/19 页 发完成通知，所述签发完成通知用于指示已签发所述客户端的身份证书； 接收所述可信节点返回的所述身份证书。 一方面，本发明实施例提供了一种基于区块链网络的证书签发装置；其中，区块链 网络包括共识节点和可信节点；所述可信节点基于可信执行环境提供证书签发服务，所述 可信执行环境是指位于所述可信节点中，且与所述可信节点的操作系统相互隔离的安全区 域；所述装置运行于所述可信节点中，所述装置包括： 接收单元，用于接收客户端发送的证书签发请求，所述证书签发请求是在所述客 户端的证书申请通知通过所述共识节点的共识后发送的；所述证书申请通知用于指示所述 客户端欲向所述可信节点申请身份证书； 生成单元，用于响应于所述证书签发请求，在所述可信执行环境中为所述客户端 生成一个身份证书； 发送单元，用于向所述客户端返回所述身份证书，并向所述共识节点发送与所述 证书申请通知对应的签发完成通知，所述签发完成通知用于指示已签发所述客户端的身份 证书。 一方面，本发明实施例提供了一种基于区块链网络的证书签发装置；其中，区块链 网络包括共识节点和可信节点；所述可信节点基于可信执行环境提供证书签发服务，所述 可信执行环境是指位于所述可信节点中，且与所述可信节点的操作系统相互隔离的安全区 域；所述装置运行于客户端中，所述装置包括： 发送单元，用于向所述区块链网络中的共识节点发送证书申请通知，所述证书申 请通知用于指示所述客户端欲向所述可信节点申请身份证书； 所述发送单元，还用于若所述证书申请通知通过所述共识节点的共识，则向所述 可信节点发送所述证书签发请求，以请求所述可信节点在所述可信执行环境中为所述客户 端生成一个身份证书，并向所述客户端返回身份证书以及向所述共识节点发送与所述证书 申请通知所对应的签发完成通知，所述签发完成通知用于指示已签发所述客户端的身份证 书； 接收单元，用于接收所述可信节点返回的所述身份证书。 一方面，本发明实施例提供了一种计算机设备，所述计算机设备包括输入接口和 输出接口，所述计算机设备还包括： 可信执行环境，所述可信执行环境是指位于可信节点中，且与可信节点的操作系 统相互隔离的安全区域； 处理器，适于实现一条或多条指令；以及， 计算机存储介质，所述计算机存储介质存储有一条或多条第一指令，所述一条或 多条第一指令适于由所述处理器加载并执行如下步骤： 接收客户端发送的证书签发请求，所述证书签发请求是在所述客户端的证书申请 通知通过所述共识节点的共识后发送的；所述证书申请通知用于指示所述客户端欲向所述 可信节点申请身份证书； 响应于所述证书签发请求，在所述可信执行环境中为所述客户端生成一个身份证 书； 向所述客户端返回所述身份证书，并向所述共识节点发送与所述证书申请通知对 7 CN 111597537 A 说　明　书 3/19 页 应的签发完成通知，所述签发完成通知用于指示已签发所述客户端的身份证书。 一方面，本发明实施例提供了一种客户端，所述客户端包括输入接口和输出接口， 所述客户端还包括： 处理器，适于实现一条或多条指令；以及， 计算机存储介质，所述计算机存储介质存储有一条或多条第二指令，所述一条或 多条第二指令适于由所述处理器加载并执行如下步骤： 向所述区块链网络中的共识节点发送证书申请通知，所述证书申请通知用于指示 所述客户端欲向所述可信节点申请身份证书； 若所述证书申请通知通过所述共识节点的共识，则向所述可信节点发送所述证书 签发请求，以请求所述可信节点在所述可信执行环境中为所述客户端生成一个身份证书， 并向所述客户端返回身份证书以及向所述共识节点发送与所述证书申请通知所对应的签 发完成通知，所述签发完成通知用于指示已签发所述客户端的身份证书； 接收所述可信节点返回的所述身份证书。 一方面，本发明实施例提供了一种计算机存储介质，所述计算机存储介质存储有 一条或多条第一指令，所述一条或多条第一指令适于由处理器加载并执行上述可信节点侧 的证书签发方法；或者，所述计算机存储介质存储有一条或多条第二指令，所述一条或多条 第二指令适于由处理器加载并执行上述客户端侧的证书签发方法。 本发明实施例中的客户端可先请求共识节点对证书申请通知进行共识，该证书申 请通知用于指示客户端欲向可信节点申请身份证书；并在证书申请通知通过共识后，向可 信节点发送证书签发请求；通过依靠区块链网络的共识安全，可有效提升证书签发请求的 可靠性。相应的，可信节点可在可信执行环境中为客户端签发身份证书，并向共识节点发送 与证书申请通知对应的签发完成通知；通过向共识节点返回签发完成通知，可实现将整个 证书签发行为上链，有效提升证书签发行为的可靠性。并且由于可信执行环境位于可信节 点中且与可信节点的操作系统相互隔离；因此，通过依靠可信执行环境的安全保密机制生 成身份证书，可有效提升保证链下证书签发服务的执行操作的可靠性。由此可见，本发明实 施例不仅可实现证书签发行为的上链，还可实现证书签发行为从上链到链下均处于安全可 靠的环境中；这样可有效地保护证书签发行为的安全，身份证书无法被恶意用户嗅探，进而 提升身份证书的安全性和可靠性。 附图说明 为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的 附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普 通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 图1a是本发明实施例提供的一种证书签发系统的架构示意图； 图1b是本发明实施例提供的一种可信节点的结构示意图； 图2是本发明实施例提供的一种基于区块链网络的证书签发方法的流程示意图； 图3是本发明实施例提供的一种基于区块链网络的证书签发方法的流程示意图； 图4a是本发明实施例提供的一种存储节点信息的示意图； 图4b是本发明实施例提供的一种生成目标区块的示意图； 8 CN 111597537 A 说　明　书 4/19 页 图4c是本发明实施例提供的一种查询节点地址的示意图； 图4d是本发明实施例提供的一种发送证书签发请求的示意图； 图5是本发明实施例提供的一种基于区块链网络的证书签发装置的结构示意图； 图6是本发明实施例提供的一种计算机设备的结构示意图； 图7是本发明实施例提供的一种基于区块链网络的证书签发装置的结构示意图； 图8是本发明实施例提供的一种客户端的结构示意图。