江苏龙网

  1. 首页 > 人文 > >

讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书

讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
物联网在蓬勃发展的同时 , 不可避免地会面临一些隐私和安全问题 。
如同个人的护照、身份证一样 , 互联网上的数字证书可以对各类接入设备进行身份标识 , 是一种重要的安全认证措施 。 除此以外 , 还可利用数字证书对通过网络进行传输的数据进行加密 , 确保数据隐私及不可篡改性 。 而对于海量、异构的物联网设备来说 , 构建统一、基于数字证书的标准化身份认证体系对于实现安全、自动化的M2M(机器对机器)交互至关重要 。
讯琥科技的联盟链(SnapScaleDLT)融合了5G、多接入边缘计算(MEC)和分布式账本技术(DLT) , 致力于解决物联网的数据孤岛、隐私保护和信任缺失问题 , 为数以亿计的接入物联网设备提供CA认证背书的可信数字身份 , 最终实现5G网络边缘物联网设备服务自动化 。
目前 , SnapScaleDLT采用联盟链技术标准 , 符合PKI(PublicKeyInfrastructure , 公共密钥基础建设)体系规范 , 已具备搭建CA及证书颁发功能 , 并可基于OpenSSL实现双向(节点之间、节点与客户端之间)身份验证 。
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
*来源于网络
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
PKI的本质是把非对称密钥标准化 , 在公私钥基础之上建立起一种普遍适用的基础设施 , 实现安全可靠的数据通信 , 以支持和完成网络系统中的身份认证、信息加密 , 保证数据完整性和抗抵赖性 。 比较知名有RSA公司的PKCS(PublicKeyCryptographyStandards)标准和X.509规范等 。
一般情况下 , PKI系统至少包含以下组件:
CA:CA(CertificateAuthority , 证书机构)是PKI的信任基础 , 负责管理公钥的整个生命周期 , 包括:发放证书、规定证书的有效期以及通过发布CRL(CertificationRevocationList , 证书吊销列表)确保必要时可以废除证书;RA:RA(RegistrationAuthority , 注册机构)获取并认证用户的身份 , 向CA提出证书请求;VA:VA(VerificationAuthority , 验证机构)通常是一个实体 , 提供验证数字证书有效性的服务;证书数据库:存放证书 , 一般采用LDAP目录服务 , 标准格式采用X.500系列 。注:在大多数情况下 , CA可承担RA所有的功能 。
常规的数字证书颁发流程如下:
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
图(一):数字证书生成流程简图
申请者提交证书申请至RA;RA验证用户的数字证书请求 , 验证通过后 , 向CA发送证书颁发请求;CA给申请者颁发数字证书;CA向VA提交证书进行保存;申请者向客户端发送证书 , 证书经VA审核通过后 , 即完成证书申请及创建流程 。 讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
讯琥科技借助移动网络运营商的边缘基础设施 , 致力于建立领先的联盟区块链技术平台及边缘资源管理平台 , 最终建立一个蓬勃发展的边缘应用生态 。 在这个生态中 , 讯琥科技联盟链委员会及成员机构、运营商、企业/机构和终端用户将使用分层CA数字身份管理体系进行可信的数据通信 , 进而建立一个高效、安全、可信赖的联盟链数字生态 。
【讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书】讯琥科技联盟链采用了符合PKI的体系标准规范 , 可基于OpenSSL生成根证书 , 由根证书颁发的中间CA(二级证书)也被认为是可信的 。
联盟链成员机构可向SnapSclae联盟链委员会提交中间CA申请 , 并进行KYC认证 , 认证通过后 , 可获得颁发的二级证书;另外 , SnapScale支持使用智能合约对CRL列表进行自动化管理 , 将废除证书名单信息同步到各节点及联盟链参与方 , 实现联盟链及时、可信的身份管控 。
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
图(二):CA搭建及证书颁发流程简介
如上图所示:
SnapScale联盟链基于OpenSSL生成根CA证书;联盟链委员会可生成二级证书 , 颁发给联盟链成员机构;联盟链成员机构可进一步向联盟链参与方(节点或客户端)颁发数字证书 。讯琥科技的数字证书采用X.509标准 , 证书信息并包含:证书版本及序列号、签名算法、有效期、证书所有人、所有人公钥及证书签名等信息 。
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
讯琥科技目前支持搭建CA及证书颁发 , 向着建立自主可控的联盟链目标更近一步 。 下图展示的是搭载了eSIM的IoT设备通过运营商向SnapScale提交数字证书的申请流程:
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
图(三):IoT设备证书申请流程
1.搭载了eSIM的IoT设备数字钱包生成密钥对(KeyPair);
2.IoT设备通过数字钱包向运营商发送密钥和KYC信息;
3.OBS(RA)对KYC信息进行审核 , 审核通过后进入下一步;
4-5.证书机构(CA)颁发数字证书;并将数字证书发送至IoT设备;
6.IoT设备在本地配置数字证书;
7-8.IOT设备与链进行交互 , 需要发送自己的证书并进行签名才能完成交易;
9.OBS可通过智能合约管理CRL列表 , 保证其真实可信、不可篡改 。
以上的数字证书申请及颁发流程也适用于联盟链节点及客户端加入SnapScale 。 CA颁发的数字证书与OBS的账户管理系统天然绑定 , 这对于讯琥科技的边缘应用生态来说 , 赋予了物联网设备安全、可信、可控的数字身份 , 有助于运营商和企业实现对边缘物联网设备的灵活管控 。
目前关于SnapScale搭建CA及证书颁发操作文档已经在Github开源
讯琥科技采用联盟链技术标准,支持搭建CA与颁发证书
文章图片
面对物联网领域日益严峻的安全挑战 , 建立安全可信的数字身份认证体系变得越来越迫切 。
讯琥科技将联盟链与PKI应用结合 , 并对数字证书的使用进行扩展 , 一方面保证了上链数据的真实性 , 另一方面保证了上链后数据的不可篡改 , 这对于解决物联网行业的数据不透明、信任缺失等问题提供了突破口 。
讯琥科技将打造完整、可信的数字身份平台 , 并将该平台应用到物联网行业所有需要身份验证的场景中 , 如M2M(机器对机器)交易场景、eSIM+区块链钱包使用场景、智能物联网设备的设备身份验证、可信数据管理等 。


    推荐阅读


    上一篇:消息称苹果2亿美元收购人工智能初创公司Xnor.ai

    下一篇:三星两大当家旗舰齐降价,卢泰文又要做加“跳水王”吗