基于区块链的PKI安全基础设施

PKI技术起源于互联网,可有效解决身份认证、密钥协商等安全问题,但应用于移动通信网时存在便捷性和安全性等方面的问题。利用区块链去中心化信任、分布式记账的特点,结合智能合约构建区块链PKI安全基础设施,可以为移动通信终端设备、接入设备、网络设备以及业务应用提供低成本的身份认证和通信安全解决方案,在5G网络、物联网中具有广阔的应用前景。

一、背景

PKI技术广泛应用于互联网身份认证、密钥协商、安全通信等领域,随着通信技术的发展,正逐步应用于宽带移动网、物联网、车联网等场景,但在具体应用中存在如下问题:

1)证书配置效率低、成本高、安全风险大:

以4G小基站为例,小基站多部署于公开场合,安全防护能力较低,因此小基站需要与安全网关之间利用PKI技术进行双向认证。然而,小基站设备在出厂之前无法预知销售到何处,因此只有在运营商采购设备之后,才能从特定CA机构为每台设备申请证书,之后施工人员从CA机构获取证书,并逐设备进行配置,效率较低。

2)异厂家设备无法统一CA,相互之间认证难:

数字证书只能由所属CA的根证书验证,不同CA之间不能相互验证。以物联网智能家居应用场景为例,同一品牌的物联网设备采用相同CA机构签发的数字证书,相互之间可进行认证;但不同品牌的设备之间若采用不同CA机构签发的数字证书,则现有技术解决相互信任问题效率较低、管理开销大。

二、方案介绍

技术原理

采用传统PKI技术时,CA机构依据证书用户提交的申请信息(主要包括设备公钥、设备标识等),基于对证书用户的信任(如根据联系人、公文函等确立信任关系)签发证书。基于区块链的PKI系统具有去中心化信任的特点,在设备商、运营商之间建立信任关系,将传统集中式的证书发放改变为自动化、分布式实现,由设备自行签发证书、由授权节点验证和写入证书。在证书使用时,传统PKI技术中,证书依赖方(即需要验证证书状态的认证方)需要向集中式CA查询;基于区块链的PKI系统中,证书依赖方可以向多个节点的任何一个查询。如图1所示。

图1 基于区块链的PKI技术与传统PKI技术的区别

在基于区块链的PKI系统中,证书用户可自行生成自签名数字证书并提交给区块链系统。通过验证和共识之后,该数字证书就可以记录到区块链系统中。在证书使用过程中(例如现有的TLS、IPSec等安全协议),证书用户需要将证书提交给认证方,认证方接收到证书后,通过区块链系统检查证书的正确性和有效性。如图2所示。

图2 技术原理

在流程设计上,根据传统PKI体系中数字证书的管理流程要求,设计包括证书发布、更新、挂起、恢复、吊销等流程在区块链中的实现方案;为了兼容现有技术方案,参照X.509数字证书格式要求,可以根据区块链特点简化数字证书格式,减小证书占用的存储空间。该安全基础设施利用智能合约技术,判断数字证书是否可以记录到区块链,判断依据包括证书提交者身份是否真实、具有相应权限,以及数字证书格式是否正确、字段取值是否合法等。

技术优势

利用区块链去中心化信任、不可篡改的技术特点,上述方案具有如下优势:

1) 优化了PKI体系中数字证书申请逻辑,提升了证书配置效率

2) 支持X.509证书以兼容现有技术,降低设备改造难度

3) 通过优化TLS、IPSec等安全协议,可降低证书传输和验证开销,节约通信带宽和系统计算资源

4) 通过自行搭建证书验证节点,业务系统可实现证书状态在本地验证,提高验证效率,避免传统PKI系统单点故障问题

三、应用场景

该基于区块链的PKI安全基础设施可应用于网络设备身份认证、客户端认证等多种场景。

5G设备认证

利用基于区块链的PKI安全基础设施,网络和终端设备在出厂之前可以自行产生并配置私钥和数字证书,极大地提高证书配置效率,提升安全性。此外,利用该安全基础设施,芯片商和设备商无需自行建设和维护CA系统,也无需向商业CA机构申请证书,即可支持大量现有基于数字证书的安全机制,降低设备成本。

智能家居场景

在智能家居场景中,家庭网关可作为区块链节点,智能家电设备配置数字证书并在区块链安全基础设施中发布证书,从而,家庭网关可以在本地实现对智能家电设备的安全认证,智能家电相互之间也可以使用数字证书进行双向认证,实现了用户家庭区域内不同厂家物联网设备之间直接通信,避免用户关注的内容经过网关、服务器层层转发带来的安全风险。

客户端认证场景

传统用户名口令认证方式存在口令在传输和存储过程中存在泄漏的安全风险,利用区块链PKI安全基础设施,客户端可以自行产生和配置数字证书,无需引入CA或第三方,可通过数字证书实现对客户端用户和设备的认证。既避免了口令泄露的安全风险,又可以在同一设备上实现对多个用户的认证。

四、结束语

基于区块链的PKI安全基础设施可以为芯片、模组、终端和应用提供多样化的认证服务,且对现有技术升级改造要求较低,具有广阔的应用前景。在移动通信领域,区块链技术还可以应用于漫游结算、数据共享、供应链溯源管理、设备租赁&共享经济、积分兑换等多种场景,提高各参与方之间的协作效率,提升便捷性和安全性。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190129B0WS9A00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券