前言
传统的中心化存储结构,一旦受到攻击,将导致大量数据泄露、破坏,甚至造成平台瘫痪。区块链技术采用分布式存储的方式,每个服务节点都存在一份完整的数据备份,利用这种高冗余的分布式的存储机制,可以有效保证平台核心数据的完整性,极大提高了物联网系统的可用性。
融安网络一直致力于将创新技术应用于网络安全领域。近期,融安网络成功将区块链技术应用于电力行业的物联网安全领域,实现终端设备身份的可信任性、数据完整性、防泄露和篡改,改善终端设备接入混乱、易被恶意攻击的现状,实现了在电力物联网的安全防护工作上的一次突破性的技术应用创新。
项目背景
目前,全球进入互联网和数字经济时代。物联网技术在各个行业得到广泛应用,智慧电网、智慧城市、智慧消防等的建设,促使物联网终端的数量快速增长。Gartner发布的物联网行业报告显示,2020年全球物联设备数量将达260亿个,全球物联网经济价值达1.9万亿美元。
智能电网信息化、自动化、互动化的特征,决定了传统电网需要在各个环节与先进物联网技术相融合,而电网状态全感知的目标的实现必将意味着物联网技术在电网的广泛应用,促使电网终端设备的数量快速增长的同时,也带来了愈加严峻的安全挑战。终端设备节点数量多,部署范围广,节点物理环境不可控,容易受到物理劫持、节点复制、信号截获窃取重放、中间人攻击等威胁。当前基于纵深防御的网络安全防御体系存在中心化认证带来的单点失败和性能瓶颈问题,难以适应更高的管理需求,亟需设计新的认证方法,提升对电网终端设备的把控能力。
基于区块链技术的去中心化的物联网终端安全认证系统,可以解决目前传统物联网中心化认证所带来的单点失败、性能瓶颈、终端管理等方面的问题,并从网络基础架构层面赋能,适应未来的物联网网络的业务发展,满足物联网各主体之间的信息交互的频度、复杂性和时效性等越来越高的要求。
关键技术
那么,究竟什么是区块链技术?区块链技术实现数字身份,是基于何种技术原理呢?
首先,区块链技术是利用加密链式区块结构来验证与存储数据、分布式节点共识算法来生成和更新数据、自动化脚本代码(智能合约)来编程和操作数据的一种去中心化基础架构与分布式计算范式。具有去中心化、信息不可篡改、信息透明和可共同维护等特点。而随着区块链技术的发展,使得完全的去中心化的身份管理变为可能。
基于区块链实现的身份管理方法具有分布式数据存储、点对点传输、加密安全、共识确认等特点,可以有效解决身份确认和操作授权问题。并且,去中心化身份(Decentralized Identifiers,简称DID)已经形成了相关标准,包括W3C的去中心化身份标识(DIDs)、W3C的可验证凭证(Verifible Credentials,简称VC)、DIF基金会的DID Auth(身份认证)等。诸如DID管理技术和基于VC的身份认证技术就为区块链数字身份提供了一种新类型标识符和标准方法。
DID管理技术——DID是用于可验证的去中心化数字身份的一种新类型标识符,具有全局唯一性、高可用性、可解析性和加密可验证性。DIDs是互联网的新的去中心化身份和DPKI(Decentralized Public Key Infrastructure)架构的核心组件。
DID管理包括:
Ø DID创建:产生算法,碰撞几率足够小。通过PKI的公钥,加上hash算法;
Ø DID注册:DID信息的区块链存储技术;
Ø DID解析:DID跨链路由技术,参考DID的统一解析器规范;
Ø DID更新和撤销:基于PKI技术,实现相应的认证和授权。
区块链数字身份主张用户管理和控制数字身份,不同用户之间不依赖于第三方进行安全通信。用户管理自己的DID标识符、密钥以及注册到区块链账本的数字身份数据,满足基于DID的点对点相互认证和安全通信需要。
就全网所有节点而言,通过部署在去中心化服务器及个人客户端的身份密钥钱包,以及全网共享的DID分布式账本,代表任意不同实体身份的节点之间都可以实现基于非对称密钥方式的认证交互,并最终通过这种实体间的信任传递实现全网信任。
基于VC的身份认证技术——可验证凭证(VC)提供了一个标准方法,用于定义支持加密安全、尊重隐私和机器可验证的数字证明。DIDs用于标识VC生态系统的各种实体(角色),比如发行者、持有者、验证者等。
可验证凭证应用层包括各类基于DID交互的上层应用。数字身份应用的主要目的是认证身份属性,和基于其身份信息提供应用系统的授权访问。可验证凭证提供了一种以身份持有方为主导,连接凭证发行方和凭证验证方(应用系统),凭证发行方和凭证验证方不需要通信的凭证流转方式。涉及的关键技术包括:VC申请和存储、身份认证技术、选择性披露、零知识证明等。
应用创新
近几年来,基于区块链系统的去中心化身份项目发展迅速,融安网络又是如何借助区块链数字身份技术手段赋能电力物联网安全,构建可信互联的网络安全环境。
当前,区块链系统的去中心化身份项目大致可以分为两类:第一类偏向于应用,解决重复KYC(Know Your Customer)这类问题,例如微软的去中心化身份系统ION、ShoCard;另一类解决的是自我身份的创建和使用,通过一个去中心化的系统来使用,例如Ontology、Sovrin这一类公链。尽管,物联网一直被视为区块链的一个重要应用领域,但第一家成功将区块链技术、去中心化 (自主) 身份、智能合约和分布式存储结合起来的,将DID技术应用于物联网的当属著名项目IoTeX,作为以隐私保护为中心的区块链驱动的去中心化的物联网网络,为区块链技术在物联网的应用发展带来了大规模落地和扩展的可能。
而融安网络应用区块链数字身份赋能电力物联网项目,主要采用了自主可控的高性能底层区块链平台,单链TPS可达两万。支持国密加解密、签名、验签、哈希算法、国密SSL通信协议,并实现了对国家密码局认定商用密码的完全支持。
结合区块链账本既适合用于数字身份数据(标识符、公钥、通讯地址等)的发布和维护,也适用于被多方信任公开的信息公示和验证(如凭证发行方的真实的身份信息、凭证模板信息需要被多个凭证验证方进行验证),且不可篡改的特点,把具有分布式key-value数据存储能力的区块链账本,用作标识符的注册表,确保身份所有者保持对其私钥的控制权,使得任何第三方都无法拥有该标识符的使用权,避免违背和冒充身份持有者的意愿,危害其利益。
系统结构
融安网络的系统结构主要由认证网关、智能终端设备和非智能终端设备三部分构成。认证网关根据认证最终结果设置白名单,来决定终端设备的接入与否,终端设备将认证数据转发至区块链系统,区块链系统解析数据流,对终端设备的身份信息进行合法性校验;通过认证后,认证网关则制定相关策略,允许该终端业务接入;若认证不通过,则返回失败信息给业务终端。
l 认证网关:作为区块链节点,共同构建区块链系统。节点的个数可以灵活地配置,其它认证网关或物理机皆可加入该系统。认证网关作为终端设备的上层建筑,可以全局管理和配置终端设备,同时,便于终端设备快速接入区块链网络。
l 智能终端设备(可编程,支持证书存储、程序安装等):集成Agent客户端,从而具备DID能力。设备基于Agent在链上注册身份,获得DID及相关的公私钥,并存储在Agent中(Agent中的钱包,可以防止私钥的泄露和丢失)。链上记录的信息有公钥、DID、DID文档等,私钥并不进行上链处理。
l 非智能终端设备:不支持DID能力,由认证网关提供代理服务,到链上注册设备的DID等身份信息。
拓扑结构示意图
技术优势
区块链数字身份的优势在于,可以基于区块链为终端设备生产不同的公私钥,每一个终端设备都具有自己的DID,以及该DID在区块链系统中所对应身份的证明,这在系统架构上为未来更多的创新应用,提供了基础安全保障。
标准化的命名空间服务(DID),使得不同的终端设备在同一名字空间内实现有效可控的交互式访问和定位。区块链中的加密、信任、去中心化等机制,让终端设备可以实现数据自管理,实现设备间数据的互联互通,实现自主协同。在保障安全和隐私的前提下,完成对于设备数据价值的有效量化,完成各主体间的价值流通。
区块链技术使得不同网络区域间,在共享数据时能够实现真正的互信。利用区块链的智能合约,实现信息的多方共识验证,提升各设备协作联动和可信生产的能力。并在可信协作联动的基础上,进一步实现跨域、跨平台甚至跨行业的数据互联互通,同时保证数据的权属和隐私。
来源:freebuf.com 2021-07-27 10:05:55 by: 融安网络RA
请登录后发表评论
注册