《基于区块链和DNSSEC的身份认证模型》总结
主题
本文基于区块链和DNSSEC技术, 提出了一种新的身份认证模型。
方法
支持不依赖CA的服务端和用户端的双向身份认证, 同时改进了用户证书, 实现了对用户设备的授权管理, 在安全性和灵活性方面具有一定优势。
解决的问题
为改善当前PKI体系(公钥基础设施)为服务端颁发证书实现身份认证存在的对CA依赖较强、存在密钥泄露和单点失败等风险。(CA:即电子认证服务,证书认证中心)。
现状
当前身份认证技术通过PKI体系为服务端颁发证书实现。
存在的问题
服务端的DNS系统必须实施DNSSEC, 客户端必须支持DNSSEC验证
需要服务端搭建和管理区块链系统, 对于一些小型互联网应用可能存在一定难度
优点
1.在用户证书中引入了设备授权序列号, 实现了用户密钥和用户设备的双重认证
2.双向
3.降低了服务器证书签发成本, 并简化了客户端验证流程
4.不依赖于CA
方法
DNSSEC对DNS提供的安全保障, 为DNS在域名解析之外的应用提供了可能性。
一方面, 通过建立区块链用户证书管理子系统, 服务端实现对用户证书的签发、更新和认证,另一方面, 考虑到服务端通常通过域名发布服务地址的特性, 复用DANE技术, 将其证书通过TLSA记录关联, 发布在DNS系统上, 客户端利用DNSSEC机制实现对服务端身份的验证。
个人感受
本文中所建立的模型能够帮助解决现有问题,但是总体的实现在我看来当前仍然比较困难,需要DNSSEC技术等继续发展的更完善以后,可能才会成为现实应用起来。
