• <source id="ygue0"><bdo id="ygue0"></bdo></source>
  • <s id="ygue0"></s>
  • 在線客服

    咨詢熱線

    基于區塊鏈技術的數字證書處理構想

    作者:未知

      在X.509標準中,PKI(Public Key Infrastructure)的定義是支持公鑰管理并能支持加密、認證、完整性和不可否認服務的基礎設施。簡單來說,PKI就是一種使用公鑰密碼理論和技術而建立的在信息安全保護領域普遍適用的系統或平臺,為各種網絡應用提供必要的安全服務。一個比較典型的PKI系統包括證書機構CA、PKI策略、數字證書庫、證書撤銷系統和PKI應用接口等。PKI是目前網絡安全建設的基礎與核心,是各類信息服務能夠安全實施的基本保障,因此,對PKI的研究和開發是目前信息安全領域的熱點。
      區塊鏈技術是利用塊鏈式數據結構來驗證與存儲數據、利用分布式節點共識算法來生成和更新數據、利用密碼學的方式保證數據傳輸和訪問的安全、利用由自動化腳本代碼組成的智能合約來編程和操作數據的一種全新的分布式基礎架構與計算范式。作為一項新興的技術,區塊鏈定義了一種全新的網絡互信方式,具備去中心化、分布式計算、可編程及安全可信等特點,過程高度透明,數據高度安全,凡是需要公平公開并且互相信任的領域,都可以應用區塊鏈技術。Lux Research于2018年12月發布的《2019年的19項關鍵技術》報告顯示,區塊鏈是即將改變世界經濟,并在未來改變人們生活方式的19項關鍵技術之一。
      一、PKI存在問題
      隨著大數據時代的到來,數據體量將會呈現爆炸性上升的趨勢,社會對信息安全服務的效率和多樣性需求變得越來越強,人與人之間的信任關系越來越復雜易變,現有的PKI系統對于信息的保護和信任關系的建立,已經不值得完全信賴。傳統PKI技術在具體應用時存在以下問題:
      (一)信任錨點問題:根CA是信任的起點,必須保證其具有極高的信譽。但如何能保證CA是絕對可信的?有人提出可以把政府或國家機關作為根CA,以國家信用來擔保。然而在某些情況下,國家也變得不再可信。據谷歌官方安全博客報道,2013年12月7日,他們發現一個與法國信息系統安全局(ANSSI)有關系的中級CA發行商向多個Google域名發行了偽造的CA證書。這是全球首例曝光的國家級偽造CA證書劫持加密通訊事件,在網絡安全行業影響十分惡劣。
      (二)中心失效問題:作為系統核心的根CA對于黑客來說是極其明顯的攻擊目標,攻擊成本相對較低而收益卻非常大。根CA一旦被攻陷,該CA給其他用戶簽發的證書以及CA給自己簽發的根證書都將失去作用。
      (三)性能瓶頸問題:PKI系統的核心是CA,它所做的工作包括證書發放、證書更新、證書撤銷、證書驗證等,任務繁重且無法被代理。這很容易使CA成為整個系統的性能短板,產生瓶頸問題。
      (四)證書配置效率問題:用戶在配置證書時,要首先向CA申請證書,CA簽發證書后,用戶需要將簽發的證書安裝在個人的終端上。在一些需要批量操作的場合例如終端設備的生產線上,由于私鑰的私密性和唯一性,必須一個一個地配置安裝證書,這樣會浪費大量的時間和精力。
      (五)樹狀結構問題:CA證書體系是一個層次分明的樹狀結構。上級CA在多數情況下以靜態的方式使用自己的私鑰給下級節點簽發證書,而下級節點卻很難證實它的上級是否可信。不僅如此,上級CA對自己的簽名私鑰的保護力度在很大程度上決定了下層所有節點的安全程度。因此,受到這種建立信任關系的方式的影響,為保證系統的安全可信,各級CA對其組織和人員的管理維護成本變得極其高昂。
      二、基于區塊鏈的證書處理方式
      區塊鏈技術采用了分布式存儲計算、共識機制等方法,提供了一種全新的建立信任的方案,已被應用于各類業務場景,如跨境支付、保險理賠、慈善公益等。目前已有EMCSSL、CertCoin等基于區塊鏈的PKI技術應用可以實現去中心化的認證方式,美國科技公司Pomcor也提出基于區塊鏈的PKI系統,該系統仍然采用中心化的認證方式,使用區塊鏈存儲已發布或撤銷證書的散列值。
      本文提出一個新的構想,在保持原來PKI整體系統架構不變的基礎上,改變證書的處理方式,將CA所要完成的工作分散化,由所有證書持有者共同完成。數字證書以區塊鏈的形式存儲,證書的申請、頒發、驗證、吊銷等都由系統內超過半數以上的證書持有者共同決定,初步實現PKI去中心化。
      系統中的區塊包含區塊頭和區塊體兩個部分,其中區塊頭中記錄著生成本區塊的時戳、上一區塊的哈希值、默克爾樹根等信息,區塊體中記錄著網絡中每一份數字證書和與該證書相關的動作,以及動作執行之后的證書狀態。在需要CA對證書用戶的操作或請求做出響應時,由區塊鏈網絡中的超過半數的其他證書用戶應用共識機制批準或禁止系統做出響應。本文提出的構想與傳統PKI系統處理證書流程相似,涉及證書申請、簽發、驗證、撤銷的過程。
      證書申請:用戶自己生成公私鑰對,私鑰由用戶秘密保存,然后向區塊鏈網絡提交需要申請數字證書的消息,該消息中包括用戶的公鑰和驗證個人身份的信息。
      證書簽發:新用戶的證書申請消息將被網絡中的所有證書用戶收到,之后網絡中的合法證書用戶會根據新用戶提交的信息驗證其身份的真實性;驗證通過則用自己的私鑰對新用戶的身份信息和公鑰進行簽名,生成一份數字證書。然后將當前還沒添加到區塊的合法證書以及證書狀態作為區塊體中的數據記錄,打包生成一個新區塊,并采用POW工作量證明來確定誰有權發布該區塊,將其添加在網絡中最長的區塊鏈條上;其他證書用戶接收到新區塊后,就會停止對該消息的處理,轉而驗證新區塊中記錄的正確性,如果正確,那么將該區塊下載到本地。其本質上是將證書記錄到區塊鏈的過程。
      證書驗證:當應用程序需要驗證用戶的身份時,證書用戶則應將證書提交給應用,應用首先查看用戶提交的數字證書的序列號和有效期,檢查如果出現錯誤,則向用戶返回證書驗證失敗的消息,并禁止該用戶訪問應用,如果沒有問題,再向區塊鏈網絡提交證書查詢請求,請求中包含要查詢的證書信息;區塊鏈中的節點向應用返回該證書目前的狀態信息。
      證書撤銷:證書用戶提出證書撤銷請求,其中包括用戶的證書以及可以證實用戶身份的信息;網絡中所有用戶均能收到用戶的證書吊銷請求,并根據用戶提交的信息驗證用戶身份,審核證書撤銷請求通過后,修改該用戶所對應證書的狀態信息并生成一個新區塊;之后的操作與證書簽發過程一致。
      三、方案可行性
      本文利用區塊鏈去中心化、不可篡改以及分布式存儲處理數據等特點,將區塊鏈技術融入傳統的PKI系統中,提出了一種新的證書處理方法。該方法繼承了區塊鏈自身的一些優點,并且只需要對現存的PKI系統做出簡單的改變,即可在一定程度上緩解或解決上述問題。
      首先,采用基于區塊鏈技術的分布式證書處理方法,對于中心失效和性能瓶頸問題做出有效應對。傳統PKI的核心——CA機構被網絡中所有證書持有者所取代,因此不存在中心節點,整個系統的安全性不會因為一個甚至多個用戶出現故障或遭受攻擊而受到影響,且隨著網絡中合法證書用戶的增多,該系統的處理速度和性能會不斷提高,解決了傳統PKI系統中的中心節點性能瓶頸問題。
      其次,取消了CA中心節點,使系統結構由樹狀轉變為網狀,節點間不存在上下級關系。各節點的安全性不再取決于某一節點的信息安全程度,而是依賴于網絡中每個用戶存儲的區塊鏈中的信息和大家達成的共識,這個共識是所有合法用戶公認的,因此消除了根CA不可信以及樹狀結構維護成本高的問題。
      最后,改變了證書簽發與配置邏輯。在傳統的PKI體系中,CA是唯一具備證書發布資質的節點,各用戶只能使用證書而不能制作證書,但在本方案中,區塊鏈網絡中的任意合法證書用戶都能給新用戶生成證書,并經區塊鏈系統發布出去。這有利于在某些特殊應用場景下批量生成和配置證書,提高工作效率。
      四、結語
      本文對現有PKI系統存在的問題和缺陷做了總結分析,結合新興的區塊鏈技術,在原有基礎上對傳統PKI進行創新,改變了數字證書的處理方式,一定程度上解決了現有的問題,并降低了PKI技術的應用門檻,提高了用戶的使用體驗,同時也降低了向第三方CA申請證書的費用,降低建設、維護管理系統的成本,為未來數字信用社會的普及做出貢獻。
    轉載注明來源:http://www.361tx.com/8/view-14699281.htm

    ?
    天天啪啪,天天啪一啪,天天啪影院,啪啪在线影院免费