摘要 本文提出了一種基于區塊鏈技術構建PKI數字證書系統的方法，利用區塊鏈去中心化、不可篡改等特點，解決了傳統PKI技術中存在的單點失敗問題以及多CA互信難等問題，可降低傳統PKI技術中CA中心建設、運營及維護成本，提高證書申請及配置的效率，提升用戶使用體驗。該系統作為安全基礎設施可以應用于多個領域，如4G小基站設備認證、網絡切片認證、多CA互信等。

1. 背景

單點失敗問題 ：處于核心的 CA 極易遭受攻擊，一旦被控制，CA 根證書以及該 CA 已經簽發的證書都不再可信。

多 CA 互信難問題 ：用戶證書只能由所屬 CA 的根證書進行驗證，不同 CA 之間不能相互驗證，現有 CA互信解決方案適用性受限。

在現有的 PKI 實踐中，解決 CA 互信問題的方法：

• 權威 CA 列表
  對依賴方有較高要求，且權威列表本身的維護代價較高。
• CA 交叉認證
  當 CA 數量較少時可以很好地解決CA 互信問題，但大量 CA 兩兩進行交叉認證時，就會形成復雜的網狀結構，且證書策略經過多次映射之后會使證書用途大大受限。
• 橋 CA
  該方案類似現實生活中行業協會中介的信任關系，CA 數量較多時可以避免兩兩交叉認證的弊端，但橋 CA 運營方的選擇是個難題，它的可信程度直接決定了互信關系的可靠程度

2. 系統架構

數據存儲：區塊體中包含若干條記錄，每一條記錄包括數字證書以及該證書相應操作執行后的證書狀態。

2.1 流程

證書申請、證書簽發、證書更新、證書吊銷、證書驗證流程。

2.1.1 證書申請流程

證書用戶自己生成一份數字證書，該證書可采用國際標準的 X.509 格式，且在擴展項中增加一個標識，用于標識該證書所屬的區塊鏈網絡 ；與證書相應的私鑰存儲于用戶側。

證書用戶向區塊鏈網絡發起證書申請請求，該請求中包括用戶的數字證書，以及驗證證書所需的信息。如果證書實體用戶申請的是個人匿名證書，則無需提交其他信息 ；如果證書實體用戶申請的是個人實名證書，則需提交用于證實其身份的信息。

2.1.2 證書簽發流程

驗證節點收集用戶的證書申請請求，根據用戶提交的信息驗證證書的合法性 ；
驗證節點將當前所有未納入區塊的合法證書信息以及證書狀態作為區塊鏈中的記錄，使用區塊鏈中的共識機制生成一個新區塊 ；

驗證節點向區塊鏈網絡發布該新區塊并同步到其他節點。

2.1.3 證書吊銷流程

證書實體用戶提交證書吊銷請求，該請求中包括用戶的證書信息，以及證實用戶身份的信息（例如用戶的簽名信息）；

驗證節點收集用戶的證書吊銷請求，根據用戶提交的信息驗證用戶身份 ；

驗證節點將當前所有未納入區塊的合法證書信息以及證書狀態作為區塊鏈中的記錄，生成一個新區塊并同步。

2.1.4 證書更新流程

a. 當用戶需要更新證書時，用戶需要產生一份新的數字證書，該新產生的證書與原有證書具有相同的DN（Distinguished Name）項。
b. 證書用戶向區塊鏈網絡發起證書更新請求，該請求中包括用戶待更新的數字證書，新產生的數字證書，以及驗證證書所需的信息。

2.1.5 證書使用流程

在證書使用過程中（例如現有的 TLS、IPSec 等安全協議），證書用戶需要將證書提交給依賴方，依賴方接收到證書后，需要檢查證書的合法性和有效性。
a. 如果依賴方存儲有完整的區塊鏈信息，那么可以在區塊鏈中查找證書以及證書的狀態 ：若證書最新的狀態顯示為證書正常，則證書合法。

b. 如果依賴方本地無區塊鏈信息，那么可以向區塊鏈網絡發起證書查詢請求，請求中包含待查詢的證書信息 ；區塊鏈中的節點向依賴方反饋查詢結果，查詢結果中包含待查證書的最新狀態信息

3 應用案例

4G小基站證書申請流程

基于區塊鏈PKI系統的4G小基站認證流程

4. 擴展功能

如果將驗證節點限定為特定CA 機構，即以聯盟鏈的方式，由 CA 通過共識完成用戶證書的驗證工作。經過共識的證書將記錄到區塊鏈當中，那么這些證書就被區塊鏈中得所有 CA 認為是可信的證書。

4.1 多CA互信方案示意圖

4.2 網絡切片認證

切片間通信需要進行安全保護，安全信道的建立可采用數字證書技術實現，但不同運營商的切片通常使用不同 CA簽發的證書，在建立 CA 互信之后可以實現相互認證。

參考
【1】“電信工程技術與標準化” Telecom Engineering Technics and Standardization 11-4017.

總結

以上是生活随笔為你收集整理的区块链系统之《基于区块链的PKI数字证书系统》的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。