16
2017年11月 第 11 期(第30卷 总第242期)月刊
2017 年 第 11 期
电信工程技术与标准化
中国移动网络与信息安全专题
基于区块链的PKI数字证书系统
阎军智,彭晋,左敏,王珂
(中国移动通信有限公司研究院,北京 100053)
摘 要
本文提出了一种基于区块链技术构建PKI数字证书系统的方法,利用区块链去中心化、不可篡改等特点,解
决了传统PKI技术中存在的单点失败问题以及多CA互信难等问题,可降低传统PKI技术中CA中心建设、运营
及维护成本,提高证书申请及配置的效率,提升用户使用体验。该系统作为安全基础设施可以应用于多个领
域,如4G小基站设备认证、网络切片认证、多CA互信等。
关键词
PKI;数字证书;区块链
中图分类号
TN918
文献标识码
A
文章编号
1008-5599(2017)11-0016-05
收稿日期 :
2017-10-11
1 背景
PKI(Public Key Infrastructure,公钥基础设施)
是一种使用公钥密码技术支持认证、加密、完整性和不
可否认服务的安全基础设施,在互联网和移动互联网中
均得到广泛使用,未来 5G 通信网中也可能扮演重要角
色。近年来,我国电子认证服务业数字证书持有量持续
增长,并且仍有较大的增长空间。
传统 PKI 技术中,CA 中心(Certificate Authority,
证书认证机构)是信任的起点,只有信任某个 CA,才
信任该 CA 给用户签发的数字证书。但在具体应用中,
PKI 技术存在如下问题 :
单点失败问题 :处于核心的 CA 极易遭受攻击,一
旦被控制,CA 根证书以及该 CA 已经签发的证书都不
再可信。
多 CA 互信难问题 :用户证书只能由所属 CA 的根
证书进行验证,不同 CA 之间不能相互验证,现有 CA
互信解决方案适用性受限。
在现有的 PKI 实践中,解决 CA 互信问题的方法有
权威 CA 列表、CA 交叉认证、桥 CA 等。这 3 种方式
都存在一定的应用限制 :
权威 CA 列表 :对依赖方有较高要求,且权威列表
本身的维护代价较高。
CA 交叉认证 :当 CA 数量较少时可以很好地解决
CA 互信问题,但大量 CA 两两进行交叉认证时,就会
形成复杂的网状结构,且证书策略经过多次映射之后会
使证书用途大大受限。
桥 CA :该方案类似现实生活中行业协会中介的信
任关系,CA 数量较多时可以避免两两交叉认证的弊端,
但桥 CA 运营方的选择是个难题,它的可信程度直接决
定了互信关系的可靠程度。
此外,用户在配置和使用证书时,需要首先向 CA
中心申请证书,CA 中心签发证书后,用户需要将签发
的证书配置或安装至目标设备或服务器中。在一些需要
DOI:10.13992/j.cnki.tetas.2017.11.004
评论0