未来智讯 > 区块链论文 > 基于区块链技艺的数字证书处置构思

基于区块链技艺的数字证书处置构思

发布时间:2020-04-07 01:06:01 文章来源:未来智讯    
    基于区块链技艺的数字证书处置构思作者:未知  在X.509尺度中,PKI(Public Key Infrastructure)的界说是支撑公钥经管并能支撑加密、认证、完整性和不行否定服务的根本办法。简略来说,PKI便是一种使用公鑰暗码理论和技艺而设立的在信息安好护卫范畴广泛实用的体系或平台,为种种网络应用供给需要的安好服务。一个比力典型的PKI体系包罗证书机构CA、PKI策略、数字证书库、证书打消体系和PKI应用接口等。PKI是今朝网络安好建设的根本与焦点,是各类信息服务可以安好实行的基本保险,是以,对PKI的切磋和开辟是今朝信息安好范畴的热门。
  区块链技艺是行使块链式数据布局来验证与存储数据、行使分布式节点共鸣算法来天生和更新数据、行使暗码学的体式格局保证数据传输和会见的安好、行使由主动化剧本代码构成的智能合约来编程和操作数据的一种全新的分布式根本架构与谋略范式。作为一项新兴的技艺,区块链界说了一种全新的网络互信体式格局,具备去中心化、分布式谋略、可编程及安好可托等特点,过程高度透明,数据高度安好,但凡必要公允公然而且彼此相信的范畴,都能够应用区块链技艺。Lux Research于2018年12月公布的《2019年的19项关头技艺》讲演显示,区块链是即将变化天下经济,并在将来变化人们糊口体式格局的19项关头技艺之一。
  一、PKI存在问题
  跟着大数据时代的到来,数据体量将会出现爆炸性上升的趋向,社会对信息安好服务的效果和多样性需求变得越来越强,人与人之间的相信关系越来越纷乱易变,现有的PKI体系对付信息的护卫和相信关系的设立,已经不值得完全信赖。传统PKI技艺在具体应用时存在以下问题:
  (一)相信锚点问题:根CA是相信的开始,务必保证其具有极高的诺言。但若何能保证CA是绝对可托的?有人提议能够把当局或国度构造作为根CA,以国度名誉来包管。然而在某些环境下,国度也变得不再可托。据google官方安好博客报道,2013年12月7日,他们发现一个与法国信息体系安好局(ANSSI)相关系的中级CA刊行商向多个Google域名刊行了伪造的CA证书。这是全球首例曝光的国度级伪造CA证书挟制加密通信事务,在网络安好行业影响十分卑劣。
  (二)中心失效问题:作为体系焦点的根CA对付黑客来说是极其较着的抨击指标,抨击成原形对较低而收入却很是大。根CA一旦被攻下,该CA给其他用户签发的证书以及CA给本身签发的根证书都将失去作用。
  (三)本能瓶颈问题:PKI体系的焦点是CA,它所做的事情包罗证书发放、证书更新、证书打消、证书验证等,义务繁重且无法被代办。这很轻易使CA成为整个体系的本能短板,发生瓶颈问题。
  (四)证书设置效果问题:用户在设置证书时,要起首向CA申请证书,CA签发证书后,用户必要将签发的证书安装在小我的终端上。在一些必要批量操作的场所例如终端设备的出产线上,因为私钥的私密性和独一性,务必一个一个地设置安装证书,如许会糟蹋大量的时间和精力。
  (五)树状布局问题:CA证书系统是一个条理明确的树状布局。上司CA在大都环境下以静态的体式格局使用本身的私钥给下级节点签发证书,而下级节点却很难证实它的上司是否可托。不仅云云,上司CA对本身的署名私钥的护卫力度在很大水平上决意了基层全部节点的安好水平。是以,受到这种设立相信关系的体式格局的影响,为保证体系的安好可托,各级CA对其组织和职员的经管维护成本变得极其昂扬。
  二、基于区块链的证书处置体式格局
  区块链技艺选取了分布式存储谋略、共鸣机制等要领,供给了一种全新的设立相信的方案,已被应用于各类交易场景,如跨境付出、保障理赔、慈悲公益等。今朝已有EMCSSL、CertCoin等基于区块链的PKI技艺应用能够兑现去中心化的认证体式格局,美国科技公司Pomcor也提议基于区块链的PKI体系,该体系仍然选取中心化的认证体式格局,使用区块链存储已公布或打消证书的散列值。
  本文提议一个新的构思,在保留本来PKI总体体系架构稳定的根本上,变化证书的处置体式格局,将CA所要完成的事情疏散化,由全部证书持有者配合完成。数字证书以区块链的体例存储,证书的申请、发表、验证、吊销等都由体系内跨越对折以上的证书持有者配合决意,初步兑现PKI去中心化。
  体系中的区块蕴含区块头和区块体两个局部,个中区块头中记载着天生本区块的时戳、上一区块的哈希值、默克尔树根等信息,区块体中记载着网络中每一份数字证书和与该证书有关的动作,以及动作执行之后的证书状况。在必要CA对质书用户的操作或央求做出相应时,由区块链网络中的跨越对折的其他证书用户应用共鸣机制核准或阻止体系做出相应。本文提议的构思与传统PKI体系处置证书流程相似,涉及证书申请、签发、验证、打消的过程。
  证书申请:用户本身天生公私钥对,私钥由用户奥秘留存,然后向区块链网络提交必要申请数字证书的动静,该动静中包罗用户的公钥和验证小我身份的信息。
  证书签发:新用户的证书申请动静将被网络中的全部证书用户收到,之后网络中的正当证书用户会凭据新用户提交的信息验证其身份的真正性;验证议决则用本身的私钥对新用户的身份信息和公钥进行署名,天生一份数字证书。然后将当前还没增加到区块的正当证书以及证书状况作为区块体中的数据记载,打包天生一个新区块,并选取POW事情量表明来确定谁有权公布该区块,将其增加在网络中最长的区块链条上;其他证书用户领受到新区块后,就会中止对该动静的处置,转而验证新区块中记载的准确性,若是准确,那么将该区块下载到当地。其性子上是将证布告录到区块链的过程。
  证书验证:当应用步骤必要验证用户的身份时,证书用户则应将证书提交给应用,应用起首察看用户提交的数字证书的序列号和有用期,查抄若是呈现错误,则向用户返回证书验证失败的动静,并阻止该用户会见应用,若是异国问题,再向区块链网络提交证书查询央求,央求中蕴含要查询的证手札息;区块链中的节点向应用返回该证书今朝的状况信息。
  证书打消:证书用户提议证书打消央求,个中包罗用户的证书以及能够证适用户身份的信息;网络中全部用户均能收到用户的证书吊销央求,并凭据用户提交的信息验证用户身份,审核证书打消央求议决后,修改该用户所对应证书的状况信息并天生一个新区块;之后的操作与证书签发过程一律。
  三、方案可行性
  本文行使区块链去中心化、不行窜改以及分布式存储处置数据等特点,将区块链技艺融入传统的PKI体系中,提议了一种新的证书处置要领。该要领继承了区块链自身的一些长处,而且只必要对现存的PKI体系做出简略的变化,即可在必然水平上缓解或解决上述问题。
  起首,选取基于区块链技艺的分布式证书处置要领,对付中心失效和本能瓶颈问题做出有用应对。传统PKI的焦点——CA机构被网络中全部证书持有者所代替,是以不存在中心节点,整个体系的安好性不会由于一个甚至多个用户呈现阻碍或遭受抨击而受到影响,且跟着网络中正当证书用户的增多,该体系的处置速率和本能会不息提高,解决了传统PKI体系中的中心节点本能瓶颈问题。
  其次,作废了CA中心节点,使体系布局由树状转折为网状,节点间不存在上下级关系。各节点的安好性不再取决于某一节点的信息安好水平,而是依靠于网络中每个用户存储的区块链中的信息和人人告竣的共鸣,这个共鸣是全部正当用户公认的,是以袪除了根CA不行信以及树状布局维护成本高的问题。
  最终,变化了证书签发与设置逻辑。在传统的PKI系统中,CA是独一具备证书公布天资的节点,各用户只可使用证书而不克不及制作证书,但在本方案中,区块链网络中的随意率性正当证书用户都能给新用户天生证书,并经区块链体系公布出去。这有利于在某些特殊应用场景下批量天生和设置证书,提高事情效果。
  四、结语
  本文对现有PKI体系存在的问题和缺陷做了归纳剖析,联合新兴的区块链技艺,在原有根本上对传统PKI进行立异,变化了数字证书的处置体式格局,必然水平上解决了现有的问题,并贬低了PKI技艺的应用门槛,提高了用户的使用体验,同时也贬低了向第三方CA申请证书的用度,贬低建设、维护经管体系的成本,为将来数字名誉社会的遍及做出进献。
转载请注明来源。原文地址:https://www.7428.cn/page/2020/0407/87960/
 与本篇相关的热门内容: