区块链在网络信任体系中的应用研究.pdf

《区块链在网络信任体系中的应用研究.pdf》由会员分享，可在线阅读，更多相关《区块链在网络信任体系中的应用研究.pdf（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、区块链在网络信任体系中的应用研究目录摘要.21 .序言.22 .网络信任体系的现状与不足.33 .区块链.44 .区块链在网络身份认证中的应用.55 .区块链在网络信任评估中的应用.66 .网络信任发展现状.86.1.网络信任概述.86.2.基于公钥密码的网络信任框架面临的安全问题.87.区块链技术概述.1 07.1.区块链定义.1 07.2.什么是区块链？.1 17.2.1.区块链的由来.1 17.2.2.区块链技术楼述.1 17.2.3.与区块链相关的其他技术.1 47.2.4.区块链的应用.1 57.2.5.区块链发展政策.1 67.2.6.总结.1 77.3.区块链工作原理.1 77.

2、4.区块链技术特点.1 97.5.区块链应用于网络信任体系建设中的优势.1 98.区块链在网络信任体系中的应用.2 08.1.基于区块链的去中心化域名管理.2 18.2.基于区块链的去中心化P K I.2 18.3.基于区块链的证书日志管理.2 38.4.基于区块链的跨域认证.2 59.区块链用于信任体系面临的挑战.2 99.1.区块链自身的技术问题.3 09.2.现有研究成果的应用局限.3 09.3.技术标准的滞后性.3 11 0.总结与展望.3 1第1页共31页摘要随着网络应用的蓬勃发展，网络信任问题日益突出，网络信任体系的建立迫在眉睫。通过分析网络信任体系的现状和区块链技术的应用情况，指

3、出现有网络信任体系中存在的问题，提出了利用区块链安全可信、分布共享、去中心化等特点解决信任体系有中心认证架构的弊端以及实现网络实体信用评价，为信任评估和动态授权提供了有力支撑。通过区块链技术在网络信任中的综合应用，改进完善现有网络信任运行规则，促进新的网络信任体系建立。1.序言网络信任问题是信息安全的核心问题。信息共享、电子商务、网络办公等网络应用的日益广泛，对各种实体间建立信任的需求越来越迫切，需要通过建立网络信任体系来维护网络空间的社会秩序。近年来，针对网络信任体系的研究日益深入。围绕认证、授权、责任认定三大主体功能，网络信任的内容得到一定程度的丰富和完善，应用范围涉及党政、军队以及互联网

4、的部分应用。随着网络和信息安全新技术、新规则的不断涌现，网络信任体系将融入更多先进的技术、理念和架构，满足不同环境和条件下构建灵活、稳固、可发展的网络信任系统的需要。区块链技术是随着比特币的兴起而发展起来的一项新兴技术和协议体系，具备公开透明、安全可信、分布共享、去中心化、可定制和封装等特性，能够为构建无中心的网络认证系统和信任评估系统提供有力支撑。信息技术飞速发展，在不断改变人们生产生活方式的同时，也带来了日益严峻的网络安全问题。如何在网络实体间建立信任关系，是信息安全领域需要解决的重点问题。作为网络安全的基石，网络信任体系衍生出公钥基础设施、标识密码等多种技术。当前，区块链技术以不可篡改、

5、不可伪造、可追溯等特点备受各界关注，在金融、政务、司法等领域广泛应用，也为网络信任体系的构建提供了新的思路。深入分析区块链技术在网络信任体系建设中的应用潜力，有望为新一代网络信任体系的建设提供参考借鉴，具有重要的研究价值与实践意义。第2页共31页随着信息化和网络化的深度融合，物联网、移动互联、工业互联网等技术迅猛发展。人类社会已经迈入“万物互联”的信息时代，信息系统也呈现出开放性、大规模性、复杂性等特征。高速发展的信息时代离不开网络空间安全的支撑。大到国家安全战略，小到个人数据安全，网络安全的重要地位越发凸显。网络实体之间信任关系的建立，已成为维护网络空间安全有序的基石。所谓网络信任，即以密码

6、技术为基础，以法律法规、技术标准和基础设施为主要内容，以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系，核心在于实现人、设备、应用、服务等网络空间中不同网络实体之间信任关系的建立。网络信任体系建设首先要解决的问题就是如何保障网络实体身份的可信。目前，网络信任的常用构建方法是基于密码技术来实现。其中，基于公钥基础设施(Public Key Infrastructure,PKI)的建设方案已经逐渐成熟。PKI主要依赖认证机构(Certification Authority,C A),使 用 X.509证书构建身份认证框架，是一种普适的基础设施，为各种网络应用提供全面的安全服务。然而，

7、以认证机构为核心的PKI体系还面临CA单点故障、证书验证和撤销不透明以及跨CA认证复杂等问题。区块链技术的出现，为网络信任体系的建设提供了新的思路。大量基于区块链实现网络实体身份认证与管理的研究成果涌现。一方面，建立在P2P网络上的区块链具有去中心化、分布式的特征，可以摆脱依赖中心节点的身份管理弊端，在跨信任域的信任传递上，也展现出独特优势。另一方面，基于哈希函数和Merkle树的块链式结构使得区块链具备不可篡改性的安全特征，有助于实现网络实体身份全生命周期管理，为身份信息的注册、使用提供不可篡改、可追溯的安全基础。综上所述，本文从网络信任体系发展现状出发，对网络信任体系建设的现有技术进行分析

8、，总结了网络信任体系面临的安全问题，并结合区块链的技术优势，分析其在构建网络信任体系过程中的适应性和优势，对现有区块链在构建网络信任体系中的应用方案进行归纳分析，进一步提出区块链技术需要重点解决的问题，以便更好地助力网络信任体系的发展。2.网络信任体系的现状与不足第 3 页共31页网络信任体系的定义有很多，但迄今为止还没有一个统一的定义。目前，比较认同的一种观点是：网络信任体系以密码技术为基础，包含网络实体身份管理、网络身份认证、网络授权管理、全网责任认定和网络信任服务等系列分体系的集合，能够解决网络空间中人、物、信息、软件等实体的身份鉴别、权限控制、行为审计、事件追查与责任认定等系列信任问题

9、。就网络身份认证而言，目前的认证体系和认证系统实现方式主要存在两方面问题。一方面，对认证方式多样化的支持不足。一个系统往往只能使用特定的认证方式，不具备认证方式的可扩展性，易用性和用户操作体验不佳。另一方面，目前认证系统大多具有中心化管理机构，主要起到各认证节点管理、系统内部工作调度等作用。这种方式的弊端是中心节点容易造成瓶颈，且中心节点容易遭到攻击，一旦瘫痪或连接不上，可能导致整个认证系统的认证服务功能不正常。因此，需要对现有的网络认证体系进行改良，使之适应现实网络应用需求和满足自身健壮性、可扩展性的要求。在网络授权管理领域，传统的授权管理方式是基于用户的身份、属性以及权限范围来制定静态的访

10、问控制规则，并建立用户与对应访问资源的一一映射关系。然而，由于网络环境的多变性和不确定性，需要补充一种相对的方法对安全信息进行度量和评估，确保用户访问资源的全程可信。特别是在访问重要涉密数据的情况下，这种基于信任评估的动态授权显得尤为需要。3.区块链狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合的一种链式数据结构，并以密码学方式保证不可篡改和不可伪造的分布式账本。广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生产和更新数据、利用密码学的方式保证数据传输和访问的安全、利用自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构和

11、计算范式。目前，对于区块链的研究主要集中在底层技术实现和应用普及方面。在信任应用方面，区块链在金融服务行业的应用相对成熟。它利用已经被验证的有效信息构建可信协议，通过全网节点分布式透明化记账来确认有效信息，从而构建金融交易的基础。目前，很多关于区块链能够解决网络信任问题第 4 页共31页的说法，其实是依赖区块链无需映射到真实物理社会的特性，仅通过历史信息验证便能达成网络虚拟实体之间进行交易的相互信赖，实则为网络信用的产生与发挥作用的过程。严格来说，区块链解决的是网络中的信用问题，而非真正意义上的网络信任。4.区块链在网络身份认证中的应用电子认证是目前比较典型和应用广泛的信任支撑机制，依托权威第

12、三方机构为网络主体提供信任保障。然而，业务应用需求千差万别，安全防护等级要求各不相同，再加之生物特征识别、二维码识别、先验知识认证等新型的身份验证方式层出不穷，用户对于身份认证的易用性体验要求越来越高。仅采用基于 PKI的电子认证应对网络环境中各个应用对实体的身份认证需求是不现实的，必须考虑支持多种不同机制的身份认证。采取的应对措施是通过认证功能服务化将各种认证系统提供的安全功能进行整合和集成，同时将安全认证系统的具体特性屏蔽。认证服务提供的认证功能可以根据下层挂接的认证系统进行切换，不同的认证服务之间能够进行协同认证 3。关于协同认证一般的处理方式是构建一个中心节点，负责各认证服务节点的注册

13、管理以及相互之间的服务调度。这种有中心的认证服务管理方式容易造成瓶颈和成为被攻击的对象，一旦各认证服务节点与中心节点连接不上，可能导致认证服务功能不正常。因此，引入区块链技术来解决有中心认证架构的弊端。第 5 页共31页图 1基于区快链的统一认证服务体系具体的设计思路：多个认证服务节分布于各地各域，各种不同机制的认证系统就近挂接在认证服务节点上，认证服务节点同时充当区块链的参与节点。当用户在某个认证服务节点完成身份认证时，该认证结果信息被认证服务节点记录于区块链中；当用户进行跨域访问时，首先在当前所在域的认证服务节点进行身份验证；若当前认证服务节点不支持该用户身份的认证，则向区块链查询该用户提

14、供的认证方式和认证标识曾在何处认证服务节点完成过认证，并将认证请求转发至该认证服务节点进行协同认证；认证结束获得用户数字身份凭证并返回给请求发起者，完成整个认证过程。5.区块链在网络信任评估中的应用信任关系是可以被评估的，信任程度的高低可以用信任值来表示。信任值的大小随实体的信用、当前行为活动以及所处环境等因素的影响而进行动态变化，能够较好地反映出网络环境的多变性和不确定性。信用评价技术作为信任评估技术的重要组成之一，对实现网络实体的动态可信度量具有重要意义。信任评估的信息来源比较广泛，包括用户当前操作终端的安全防护程度、数据通信线路的保密等级、数据流转过程的安全防护措施、用户的历史信用和用户

15、当第 6 页共31页前行为安全性分析等。其中，历史信用的产生与计算是一个相对独立的研究内容，是信任评估的重要组成之一。信用是与信任密切联系的一个概念。Abdul-Rehman对信用的定义是基于可看到的个体过去行为或者该行为的信息对该个体行为的一种期望。信用重点指的是对一个个体的可信赖度的综合，而信任强调的是一个个体对另一个个体也就是被信任方的主观信赖性。区块链提供了去中心化的信用建立模式，是公认能够解决信用问题的技术手段，实现了社会活动及交易活动的信用证明。图2基于傕用评价的动态整枚示意信用度与网络实体历史操作合法性相关。选择影响范围广、服务稳定、口碑良好的业务应用加入区块链，要求这些业务应用

16、对网络实体的操作进行评价，并记录到区块链中。信任评估系统能够从区块链获取网络实体的历史操作评价，按照预置的分析计算模型，经过运算得到实体当前的综合信用评价。信任评估系统将该综合信用评价作为计算信任评估值的一个因子，结合实体身份、当前状态等，综合得到网络实体的动态信任评估值。统一授权管理平台将动态信任评估值与访问控制规则结合，并进行综合评判得到动态鉴权结果。该动态鉴权结果提供给业务应用、应用访问控制网关和网络接入控制网关等安全控制类设备，实现对网络实体访问网络或应用的合理、安全的控制。第 7 页共31页6.网络信任发展现状随着互联网技术的发展，网络信任问题已经成为信息安全领域需要解决的核心问题。

17、相比理世界实体信任关系的简单建立，网络中各个实体之间的关系呈现出规模大、复杂性高、变化快等特点。这就为网络中实体之间的可信交互带来了巨大挑战，亟需建立网络信任体系来维护网络空间中的秩序。6.1.网络信任概述网络信任体系作为实现网络安全的重要因素，是保障网络空间实体活动的核心基石。网络信任体系的使命是在网络空间的不同实体之间建立信任关系，不仅要确保网络中各实体身份的有效分配，还需要保证身份的可信、可用，确保将人员、设备、应用等所有网络实体通过信任关系进行连接，最终形成面向不同应用场景的网络实体信任联盟域和可信链。基于公钥密码体制的认证技术是信任关系建立的重要手段之一。在1976年公钥密码体系问世

18、前，消息传输依赖对称密码，需要通信双方共享密钥。此时，对于通信双方身份的认证仅需要判断其是否拥有共享密钥。随着网络实体数量的增多，大规模网络实体之间的两两通信给密钥管理带来较高的复杂性。公钥密码的诞生解决了这一问题，经过多年发展，公钥密码已经成为构建网络信任体系的重要技术。目前，基于公钥密码的网络信任框架主要包括两种：一种是基于PKI的数字证书身份认证体系，已经被广泛应用于各类网络系统中，发展较为成熟；另一种是基于标识密码(Identity Based Cryptography,IBC)的身份认证体系，通过将网络实体的身份标识信息与公钥进行绑定，为网络身份管理提供良好的基础。除基于公钥密码方案

19、外，常见的身份认证方法还包括基于口令、智能卡、令牌、生物特征和多因素组合等多种方法。6.2.基于公钥密码的网络信任框架面临的安全问题尽 管PK I体系已经被成熟地应用于网络信任体系中，但并不是固若金汤。随着网络安全问题的升级，基于公钥密码的网络信任框架仍然面临诸多安全挑战。第 8 页共31页(1JC的单点故障问题：PKI证书的安全性依赖于根CA以及各级CA机构的安全性。近 10年来的安全事件表明，CA本身可能是不诚实的，可能会遭受攻击、签署欺诈性证书、误操作、使用过期或有缺陷的密码算法等。2011年 7月，荷兰DigiNotar公司的CA遭受黑客攻击，至少颁发了 531张欺诈性证书，其中涉及谷

20、歌、微软、雅虎等网站，此次事故直接DigiNotar公司于2011年 9 月宣告破产。在当前的Web模型下，TLSPKI也是十分脆弱的。由于误操作或者被攻陷，CA可能会颁发欺诈证书，不仅不易被发觉，还可能被用于实施窃取用户敏感数据等恶意行为。典型的欺诈性证书将DNS域名与假冒的Web服务器密钥对进行绑定。即使浏览器严格遵循证书验证步骤，假冒的服务器也会发起中间人攻击。为了降低对CA的可信依赖程度，谷歌于2013年提出证书透明度的概念。实现对证书日志的管理。随后，一些新的基于日志的PKI模型被提出，用于降低对于CA的信任程度。但是，如果攻击者拥有可以向目标展示不同日志的能力，那么攻击者就可以实施

21、网络分裂攻击。(2)证书验证和吊销问题：证书依赖方不仅需要识别网络实体的公钥与证书之间的绑定关系，还要确认证书是否在有效期内，即证书是否已经被吊销。证书依赖方往往需要定期维护一个证书注销列表(Certificate Revocation List,CR L),其中包含由CA颁发并且已经被吊销的证书。通过执行CRL来检查证书是否在吊销状态，但 CRL的更新不是实时的，这就给证书验证带来了风险。目前，常用在线证书状态协议(Online Certificate Status Protocol,OCSP)代替传统的CRL协议。在证书验证过程中，可实时访问OCSP查验证书状态，这也导致了 OCSP成为中

22、心节点，一旦被攻击，将难以识别证书状态，甚至会导致隐私问题的出现。(3)跨 CA互信问题：在 PKI体系下，面对实际应用场景的复杂需求，需要解决跨CA互信的问题。通常采用交叉认证的方式，在不同的根CA之间通过互相签发证书来建立信任关系。在认证阶段，通过寻找终端实体证书到信任锚之间的信任链，从而实现对终端实体证书的验证。当CA数量较多时，运用交叉认证方法会形成复杂的网状结构，证书链的发现过程也随之变得复杂。通过在多个信任域之间设置桥CA也可以实现跨CA认证，桥 CA作为连接桥梁，通过第9页共31页互相颁发交叉认证证书的方法与多个信任域建立信任关系。相比多CA之间的交叉互认，建立桥CA的方式便于发

23、现信任链路径，但是需要维护大量不同结构的证书，管理比较复杂。(4)跨异构信任域认证困难问题：除了 PKI体系内的跨CA互信问题，随着IBC的应用，如何实现PKI和 IBC之间的跨异构信任域认证也成为了网络信任体系建设面临的困难问题。目前，尚未出现实用、完善的PKI域与IBC域之间的跨异构信任域认证协议。一些异构跨域身份认证方案和密钥协商协议还面临计算效率、通信负担、信任等级等方面的问题，无法完全实现PKI域与IBC域之间的互联互通和无缝认证。(5)隐私性问题：基于公钥密码的身份认证体系将网络实体身份与公钥进行关联，缺乏隐私保护手段，在一定程度上泄露了网络实体身份信息。如在车联网、自组织网络(a

24、d-hoc networks)等需要防止网络实体行为被追踪的场景中，如何增强隐私性显得尤为重要。7.区块链技术概述区块链是一种分布式账本技术，具有去中心化、不可篡改、不可伪造、全程可追溯的特点，最初应用于以比特币为代表的数字代币场景中。随着技术的发展，区块链在全球学术界和产业界掀起了新一轮的研究热潮，已在金融、政务、司法等领域广泛应用。7.1.区块链定义2008年，区块链技术首次出现，随后成功应用于比特币系统。历经十余年的发展，区块链在不断完善的技术演进过程中，已经在政务、金融、司法等众多领域中落地应用。作为一种新兴技术，区块链迄今为止尚没有形成行业统一定义。本文对国内外4 个相关标准、技术白

25、皮书有关区块链技术的定义进行总结。区块链是一个信息技术领域的术语，是一个共享数据库。从科技层面来看，区块链涉及数学、密码学、互联网和计算机编程等很多科学技术问题。从应用视角来看，简单来说，区块链是一个分布式的共享账本和数据库，具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开第10页共31页透明等特点。这些特点保证了区块链的“诚实”与“透明”，为区块链创造信任奠定基础。区块链丰富的应用场景，基本上都基于区块链能够解决信息不对称问题，实现多个主体之间协作信任与一致行动。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。应用：区块链在国际汇兑、信用证、股权登

26、记和证券交易所等金融领域有着潜在的巨大应用价值。将区块链技术应用在金融行业中，能够省去第三方中介环节，实现点对点的直接对接，从而在大大降低成本的同时，快速完成交易支付。7.2.什么是区块链？近年来#区块链#技术越来越热，有些人痴迷于数字货币，有的人在推动“区块链+”，火热的背后是泡沫还是寂寞，今天我们就详细聊聊区块链。全文 3000字，结论在最后。7.2.1.区块链的由来区块链概念最早是从比特币衍生出来的。比特币(Bitcoin)诞生于2008年，是由一个名叫中本聪(Satoshi Nakamoto)的人首次提出，这个人非常神秘，至今没有他的任何准确信息。在提出后不久，比特币就诞生了。比特币以

27、及其他数字货币的核心技术称为区块链技术。区块链(Blockchain)在信息技术里是一种数据结构或数据存储方式。它创新性地组合了密码技术、点对点(P2P)网络、分布式部署等技术，可以称其为一个划时代的理念。7.2.2.区块链技术概述7.2.2.1.区块链的结构如下图所示：第 11页共31页区块1区块2区块N小*1给小蓝5毛在 小U给小首5毛锐 _ n n 小tl给小蓝5毛钱小 王 给 小 钱I 小王给小HU毛钱 I 小王给小黑1毛就小 马 到H3毛钱 小马给小M3毛钱!小马给小M3毛钱 小蓝1了1*钱 小Si推71块钱 小这忤71块钱图1区块链结构典型的区块链是由一系列区块构成，区块由前鉴(P

28、re-Hash)、成块时间(Block Time)和记录组成。前鉴，类似于档案上的封条，用于保证区块的内容不被更改。区块链的每一个块，通过计算机运算，形成一个Hash值(即封条)，并把它存到第二个块的前鉴中。这个Hash值是唯一的，块的内容发生改变，Hash值也会发生变化，这样就保证块的内容不可被更改。区块链设计的巧妙之处就在于，后一个块保存了前一个块的Hash值，块与块之间相互链接，就形成了区块链。成块时间用于记录一个区块形成的时间。记录，用于记载所有需要被保存的信息，可以是交易信息，也可以是一句话或者其他。7.2.2.2.运行机制除了精密的结构设计，区块链还需要一套严谨的机制保障区块链稳定

29、运行，也是区块链的核心创新点，解决信任问题。第12页共31页图2区块链运行机制区块链采用分布式的存储架构，区块链的数据完整保存在区块链网络的所有节点上。形象的比喻就是，我把一份档案复印了无数份，保存到世界的不同地方。任何想要篡改记录的人，都必须修改每一个节点的记录，在节点足够多的情况下，这种篡改是无法实现的，这就是区块链防篡改的奥秘。7.2.2.3.挖矿前面讲过，区块链是一个一个块链接而成的，后一个块是怎么生成的呢?图3挖矿要想把记录加入区块链上，就必须满足区块链规定的要求，找到符合标准的块，这一过程俗称为挖矿。因为挖矿的人很多，为了解决区块链同步以及伪第13页共31页造链攻击，必须增加挖矿难

30、度，增加难度的方法叫做POW（ProofofWork,即工作量证明）算法，具体算法感兴趣的可以搜索一下。这一算法将一次简单运算，变成了数亿次的重复运算，大幅增加运算难度。挖矿的过程是重复和运气，最先挖出此区块的矿工，将告知所有节点，并把此区块上链，矿工将得到奖励（即各种数字货币），所有的矿工重新开始计算下一个区块。由于显卡非常擅长重复简单运算，深受旷工喜爱，导致现在高端显卡的价格水涨船高。当然，这里还要说明一点，POW算法甚至挖矿过程并不是必需的，POW算法是共识算法的一种，其他共识算法也可以用于区块链。7.2.2.4.比特币（数字货币）与区块链的关系比特币等数字货币是基于区块链技术之上的应用

31、，比特币制定了一套规则，每计算出一个区块，就获得一定的比特币，每个区块上记录着比特币以及比特币的交易信息。通俗来说，比特币就是区块链上的一条记录。7.2.2.5,区块链技术总结经过上面的分析，我们总结区块链的几个特点：一是区块链可以用来存储数据或信息；二是区块链存储的信息几乎不可以被更改（除非逐个修改区块Hash）；三是区块链的每一个节点都是平等的，没有控制端和客户端的区别，即通常所说的去中心化。7.2.3.与区块链相关的其他技术7.2.3.1.智能合约智能合约（Smart contract）技术在90年代提出，是根据预先拟定的协议，基于计算机形成的自动化程序，全程无需人为干预。智能合约有效的

32、降低了交易成本。通俗来讲，我们在网络上购物，需要商家、买家和支付宝三方参与，如果商家和买家的交易过程足够可信，那么类似支付宝的第三方就无需参与，极大节约交易成本。因为信任的问题无法解决，智能合约仅停留在理论上，而区块链技术正好弥补了信任不足的问题。第 14页共31页7.2.3.2.多重共识算法共识算法也称为共识机制，是用于解决分布式部署中的数据同步问题。例如，上述区块链网络中，一个节点同时收到两个区块的入链请求，节点应该加入哪一个，这就需要共识算法来判断。常见的共识算法有：权威证明(Proofofauthority)人格证明(Proof of personhood)空间证明(Proof of

33、space)权益证明(Proof of stake)、工作量证明(Proof of work)等，具体就不介绍了。7.2.3.3.分布式容错机制容错机制是为了解决分布式节点网络中，数据错误、恶意攻击等问题。7.2.4.区块链的应用当前，区块链的最主要的应用是比特币等数字货币，区块链的价值尚未完全挖掘，在可以预见的情况下，区块链并不适合较为细节的应用场景，比如网购、转账等，而在解决组织或机构间信任上发挥作用。图4区块链应用一是解决国际信任问题。在跨境贸易、国际合作、货币结算、股票期货交易等方面建立平等的信任关系，进一步推动全球化发展。比如有专家提出“在一带一路范围里面先推区块链”。二是基于区块链

34、的数据共享。以政务数据共享为例，在政府内部建立政务第15页共31页区块链，传统的数据共享需要建设复杂的交换机制，而基于区块链的共享机制，能够准确的记录公民和法人的信息，每个部门只需建立本地节点并加入区块链网络，将本部门的记录更新到链上，区块链上的节点部门基于智能合约就可以获取所有的共享数据，而无需复杂的确认和审核。三是作为存证，在知识产权、交易记录、办事登记等场景下，将区块链作为存证凭据。在当前的普遍应用下，所谓的区块链均由强势权利方主导，缺乏多方参与形成共识，难以形成信任。基于多方互信，共建共享的联盟链是未来的应用方向。7.2.5.区块链发展政策政策层面，区块链技术被提升到前所未有的高度。图

35、5政策支持2019年10月24日下午，中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习。强调区块链技术的集成应用在新的技术革新和产业变革中起着重要作用，要把区块链作为核心技术自主创新的重要突破口，明确主攻方向，加大投入力度，着力攻克一批关键核心技术，加快推动区块链技术和产业创新发展。在“十四五”规划纲要（草案）中，又将区块链列入规划之中：“培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业，提升通信设第 16页共31页备、核心电子元器件、关键软件等产业水平。”“推动智能合约、多重共识算法、非对称加密算法、分布式容错机制等技术创新，以联盟链为重点发展区块链服务平台和金融

36、科技、供应链管理、政务服务等领域应用方案，完善监管机制。”需要注意的是，国家区块链应用采取备案制，根 据 区块链信息服务管理规定，“区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息，履行备案手续”。7.2.6.总结1.区块链是一种链式存储结构，可以用于记录数据，类似档案或记事本。2.基于信任和共识建立的区块链，数据不可被更改，就像档案涂改无效。3.比特币是基于区块链技术的应用，与区块链不可混为一谈。4.区块链技术是当下中国高度支持的数字技术，也是未来的发展方向。5.未来，区

37、块链技术在国际合作、数据共享、金融交易、可信认证等领域有着广泛应用，也是财富增长的密码。6.当前区块链的应用很不成熟，让你加入区块链发财的一定是骗局。7.3.区块链工作原理本质上，区块链核心目的是实现分布式网络中的一致性，即确保网络中所有节点保存一份相同的有效交易视图，工作原理如图1所示。第17页共31页图6区块链工作原理流程1 交易产生与传播：在 P2P网络中，用户将待写入区块链账本中的数据以交易的形式发布到网络中，通过Gossip协议传播至全网。交易通常包括待写入的数据、提交者身份、提交者的数字签名以及时间戳等信息。网络中的记账节点收到待写入区块链的交易，对这些交易进行验证，验证内容包括交

38、易格式是否正确、签名是否合法、是否与已经写入区块链中的交易存在冲突等。流程2 区块生成：区块由区块体和区块头两部分组成。区块体包含待提交的合法交易，以Merkle树的结构存储。区块头包含记账节点本地保存的区块第18页共31页链中最末区块的摘要值、待写入交易Merkle树的根、共识机制参数、时间戳、版本号以及区块生成者对新区块的签名等信息。当前区块链最末区块的摘要值用以标定新区块在区块链中的唯一位置。根据区块链采用的共识机制的不同，区块生成过程可以分为两类：流程2.a网络中的记账节点按一定共识策略选出一个主节点，将待写入交易进行打包，生成新区块，之后将新区块广播到网络中；流程2.b网络中的记账节

39、点各自均可生成区块并广播。网络中的其他节点根据共识协议，选择并确定唯一一个区块添加到区块链上。流程3 区块确认：记账节点收到新区块后，对区块的结构，包含的交易、签名和时间戳等信息进行一一验证。根据预设策略，判断新区块是否合法，并更新本地区块链。一般记账节点会选择最长的、有效的区块链。7.4.区块链技术特点区块链是分布式存储、密码学、共识机制等多种技术的创新型组合，在理论发展和实际应用中，逐渐显示出诸多技术优势。综合区块链技术定义和工作原理，区块链技术特点总结如下。(1)去中心化、分布式：去中心化是早期区块链技术应用最显著的特点。不同于依赖中心节点构建的系统，区块链系统依靠数据备份冗余保证安全性

40、，不再受到单点故障的威胁，在多种应用场景下解决了过度依赖可信第三方带来的成本高的问题。随着应用模式的变化，区块链逐渐从完全开放的公有链，发展出依赖授权的联盟链，仍然具有分布式的特点。(2)不可篡改、不可伪造：区块链技术巧妙地利用哈希函数、数字签名等密码技术构造交易和链式结构，并结合共识机制，确保数据一经验证达成共识并被写入区块链后，任何人无法对数据进行修改和伪造。(3)全程留痕、可追溯：在区块链中，交易的每次变更都会按照时间顺序被记录。全网所有节点共享交易记录，可以查询交易从发布源头到最新状态之间的整个变更流程。新老交易通过哈希函数前后关联，任意一条数据皆可通过链式结构，实现异常交易的精准定位

41、和追踪溯源。7.5.区块链应用于网络信任体系建设中的优势(1)分布式结构防止单点故障：区块链应用于身份认证与管理领域，既可以采用联盟链结构实现多CA的协同管理，也可以以完全去中心的公有链为基第 19页共31页础，实现完全自主的身份管理。两者均通过共识机制完成身份证书或信息的账本同步，从而规避传统PKI面临的单点故障问题，抵御中间人攻击。(2)可构建多CA互信：在对等网络基础上，区块链以区块的链式结构聚集数字证书，以区块链数据同步的形式共享不同信任域的证书信息和证书路径，为实现跨CA认证提供了便捷条件。同时，区块链的不可篡改性和可追溯性可以保障认证记录的安全可靠。区块链也可以在多CA之间建立信任

42、关系，对不同CA的认证记录提供精确、可靠和不可篡改的存在性证明，保证证书的真实可信。(3)一致性可抵御网络分裂攻击：区块链技术通过共识机制保障多节点之间账本的一致性，有助于实现证书日志在CA、证书依赖方、证书服务器等多节点之间共享和同步。一旦新提交的证书经过多节点验证并达成共识最终被记录在区块链上，证书就无法再被删除或修改。(4)简化证书验证与撤销流程：在每次建立TLS连接时都需要对证书进行验证。这个验证过程包括信任路径的构建和吊销检测两个阶段。目前，证书验证主要负担在客户端。使用区块链存储证书，证书在提交和申请状态变更的过程中，仅需要区块链节点进行验证并完成共识之后被记录在区块链上。当证书依

43、赖方需要验证证书时，就可以摆脱繁琐的证书链构建过程，直接查验证书是否在区块链上即可。区块链同样可以消除证书依赖方对于CRL和 OCSP等服务的依赖，提供统一的证书吊销和查验方法，并可以保护证书依赖方的隐私。(5)结合密码技术保护身份隐私：为了保障证书用户和证书依赖方的隐私数据，证书状态数据和证书使用情况等日志记录不应该对所有参与方可见。但是，由于政策监管和技术问题，证书数据可能对部分参与方可见。8.区块链在网络信任体系中的应用作为一种新的“信任机器”，区块链可以在多个互相不信任的节点之间构建相互信任、相互协同的桥梁，也为解决网络中的信任问题提供了新的技术思路。自2011年开始，各国学者开启了利

44、用区块链技术构建网络信任的技术探索，先后将区块链应用于去中心化域名管理、去中心化PKI、证书日志管理以及跨域认证4 个技术方向。第20页共31页8.1.基于区块链的去中心化域名管理随着以比特币为首的区块链应用的全球推广和大规模应用落地，区块链正在成为构建去中心化系统和应用程序的通用基础架构。基于区块链的域名管理系统成为区块链技术在网络信任体系的第一次探索。早在2011年4 月，Namecoin项目诞生，作为首个区块链在网络信任体系中的应用项目，Namecoin基于区块链构建全球范围的去中心化DNS系统，避免对单一实体的信任依赖。实质上，Namecoin是比特币的一条侧链，它通过增加一些特殊的交

45、易命令，完成域名注册、更新和转移等功能。用户通过name_new命令将新域名的摘要值发布到区块链上，作为对新域名的预订。等待新域名预订交易被记录在区块链上之后，与之对应的name_firstupdate域名注册命令在验证通过后也会被记录在区块链上，从而完成域名注册。受到Namecoin的启发，普林斯顿大学的学者于2016年提出一种DNS与PKI融合的系统Blockstack,并在比特币区块链上部署实现。为了应对区块链的容量限制，Blockstack将控制层和数据层分开。区块链上仅保存最小化的身份信息和状态转移的元数据，完整的数据存储在链下的数据库中。控制层包含注册可读性名字、创建名字与摘要的绑

46、定信息、创建绑定信息与密钥对的映射关系。基于区块链的去中心化域名管理方案的核心思想是将域名信息以“namevalue”键值对的形式记录在区块链上，通过共识机制确保全网所有节点持有一致的域名状态库，并实现对域名全生命周期的维护和管理。尽管后续方案在数据存储容量、安全性等角度进行了优化，但是，基于区块链的去中心化域名管理方案仍然面临与传统DNS系统难兼容等现实问题。8.2.基于区块链的去中心化PKI随着应用研究的深入，区块链技术在网络信任体系建设中的技术优势也初步显现。继 DNS之后，PKI作为构建网络信任体系的重要技术基础设施，逐渐成为学术界探索区块链应用的重要研究热点，也出现了许多技术方案。2

47、014年 5 月，麻省理工学者在Namecoin的基础上，提出了一种基于区块链的分布式PKI方案Certcoino Certcoin是区块链在PKI领域的首次应用，方案吸纳了透明证书和信任网络(Web of Trust,WoT)的优势，将区块链作第21页共31页为一个公开的账本，实现域名与公钥之间的绑定，支持完全的公开审计，基本架构如图2所示。Certcoin包含线上和线下两对密钥对。线上密钥对直接与身份绑定，用于证书认证，实现注册密钥、查询、验证和撤销。线下密钥用于撤销线上密钥对，通过旧私钥对包含新公钥的消息进行签名来实现密钥的更新。图7 Certcoin区块链基本架构随后，基于区块链进行隐

48、私保护的PKI方案，即PB-PKI在Certcoin方案的基础上用线下密钥对线上密钥进行保护，但没有将身份与公钥直接关联，从而提升隐私性。PB-PKI提供短期密钥更新和用户可控的公开功能，使用户可以自行选择公开公钥或者由参与共识的大多数节点来公开。但是，在不依赖于C A的完全去中心化的网络信任框架下，对于首次加入系统注册的网络实体无法进行有效验证，也没有密钥丢失、被窃取后的补救方案，无法进行身份回收。另外，每个网络实体选择信任锚的方式也非常主观，第 22页共31页存在一定安全风险。因此，一些研究通过计算信誉函数来优化基于区块链的身份系统，通过合理定义和选择信誉函数，保证信任评估的公平性和安全性

49、。8.3.基于区块链的证书日志管理为了更好地与现有的PKI体系相结合，一些研究也尝试利用区块链技术优势对以CA为核心的PKI体系进行优化。其中一个重要的研究方向是将区块链融入基于日志的PKI体系中，由信任单一日志节点转向依靠分布式证书日志管理，从而优化证书日志，强化PKI日志安全。一方面，在基于日志的PKI体系中，区块链技术的引入可以解决证书日志服务器的单点故障问题；另一方面，借助区块链技术构建信任网络，可以降低对CA机构的绝对依赖，增强证书日志服务的健壮性和可审计性。在基于证书透明度的Web PKI方案基础上，基于区块链的证书/撤销透明度方案被提出，可以兼容X.509证书。证书由CA签名，证

50、书的注销状态信息由网络实体以交易的形式发布到区块链上，记账者将验证通过的交易提交到一个全球证书区块链中。证书区块链作为一种只增不减的公共日志来监视CA证书的签发和注销，并授予网络实体对其证书的控制权限，以削弱CA机构对证书的绝对控制。区块链中的证书交易结构如图13所示。第23页共31页Block 0Hash preBlock nHash preBlock n-1MerkleTree RootMerkle Tree Ro)Hash叵ITx 0User IDDigest:nullType 1：Publish PKPublishing PKMultipleSignaturesBSK CHashTxH