讯琥科技采用联盟链技术标准，支持搭建CA与颁发证书

物联网在蓬勃发展的同时，不可避免地会面临一些隐私和安全问题。

 

如同个人的护照、身份证一样，互联网上的数字证书可以对各类接入设备进行身份标识，是一种重要的安全认证措施。除此以外，还可利用数字证书对通过网络进行传输的数据进行加密，确保数据隐私及不可篡改性。而对于海量、异构的物联网设备来说，构建统一、基于数字证书的标准化身份认证体系对于实现安全、自动化的M2M（机器对机器）交互至关重要。

 

讯琥科技的联盟链（SnapScale DLT）融合了5G、多接入边缘计算（MEC）和分布式账本技术（DLT），致力于解决物联网的数据孤岛、隐私保护和信任缺失问题，为数以亿计的接入物联网设备提供CA认证背书的可信数字身份，最终实现5G网络边缘物联网设备服务自动化。

 

目前，SnapScale DLT 采用联盟链技术标准，符合PKI（Public Key Infrastructure，公共密钥基础建设 ）体系规范，已具备搭建CA及证书颁发功能，并可基于OpenSSL 实现双向（节点之间、节点与客户端之间）身份验证。

 

PKI的本质是把非对称密钥标准化，在公私钥基础之上建立起一种普遍适用的基础设施，实现安全可靠的数据通信，以支持和完成网络系统中的身份认证、信息加密，保证数据完整性和抗抵赖性。比较知名有RSA公司的PKCS（Public Key Cryptography Standards）标准和X.509规范等。

一般情况下，PKI系统至少包含以下组件：

• CA：CA（Certificate Authority，证书机构）是PKI的信任基础，负责管理公钥的整个生命周期，包括：发放证书、规定证书的有效期以及通过发布CRL（Certification Revocation List，证书吊销列表）确保必要时可以废除证书；

• RA：RA（Registration Authority，注册机构）获取并认证用户的身份，向CA提出证书请求；

• VA：VA （Verification Authority，验证机构) 通常是一个实体，提供验证数字证书有效性的服务；

• 证书数据库：存放证书，一般采用LDAP目录服务，标准格式采用X.500系列。

注：在大多数情况下，CA 可承担 RA 所有的功能。

 

常规的数字证书颁发流程如下：

图（一）：数字证书生成流程简图

1. 申请者提交证书申请至RA；

2. RA验证用户的数字证书请求，验证通过后，向CA发送证书颁发请求；

3. CA给申请者颁发数字证书；

4. CA向VA提交证书进行保存；

5. 申请者向客户端发送证书，证书经VA审核通过后，即完成证书申请及创建流程。

讯琥科技借助移动网络运营商的边缘基础设施，致力于建立领先的联盟区块链技术平台及边缘资源管理平台，最终建立一个蓬勃发展的边缘应用生态。在这个生态中，讯琥科技联盟链委员会及成员机构、运营商、企业/机构和终端用户将使用分层CA数字身份管理体系进行可信的数据通信，进而建立一个高效、安全、可信赖的联盟链数字生态。

讯琥科技联盟链采用了符合PKI的体系标准规范，可基于OpenSSL生成根证书，由根证书颁发的中间CA（二级证书）也被认为是可信的。

联盟链成员机构可向SnapSclae 联盟链委员会提交中间CA申请，并进行KYC认证，认证通过后，可获得颁发的二级证书；另外，SnapScale 支持使用智能合约对CRL列表进行自动化管理，将废除证书名单信息同步到各节点及联盟链参与方，实现联盟链及时、可信的身份管控。

图（二）：CA搭建及证书颁发流程简介

如上图所示：

1. SnapScale 联盟链基于OpenSSL 生成根CA证书；

2. 联盟链委员会可生成二级证书，颁发给联盟链成员机构；

3. 联盟链成员机构可进一步向联盟链参与方（节点或客户端）颁发数字证书。

讯琥科技的数字证书采用X.509 标准，证书信息并包含：证书版本及序列号、签名算法、有效期、证书所有人、所有人公钥及证书签名等信息。

 

讯琥科技目前支持搭建CA及证书颁发，向着建立自主可控的联盟链目标更近一步。下图展示的是搭载了eSIM的IoT设备通过运营商向SnapScale提交数字证书的申请流程：

图（三）：IoT设备证书申请流程

1.  搭载了eSIM的IoT设备数字钱包生成密钥对（Key Pair）；

2. IoT设备通过数字钱包向运营商发送密钥和KYC信息；

3. OBS（RA）对KYC信息进行审核，审核通过后进入下一步；

4-5. 证书机构（CA）颁发数字证书；并将数字证书发送至IoT设备；

6. IoT 设备在本地配置数字证书；

7-8. IOT设备与链进行交互，需要发送自己的证书并进行签名才能完成交易；

9. OBS 可通过智能合约管理CRL列表，保证其真实可信、不可篡改。

以上的数字证书申请及颁发流程也适用于联盟链节点及客户端加入SnapScale。CA颁发的数字证书与OBS的账户管理系统天然绑定，这对于讯琥科技的边缘应用生态来说，赋予了物联网设备安全、可信、可控的数字身份，有助于运营商和企业实现对边缘物联网设备的灵活管控。

目前关于SnapScale 搭建CA及证书颁发操作文档已经在Github开源，链接如下：

https://github.com/snapscale/snapscale/blob/master/docs/consortium_walkthrough_cn.md

 

面对物联网领域日益严峻的安全挑战，建立安全可信的数字身份认证体系变得越来越迫切。

讯琥科技将联盟链与PKI应用结合，并对数字证书的使用进行扩展，一方面保证了上链数据的真实性，另一方面保证了上链后数据的不可篡改，这对于解决物联网行业的数据不透明、信任缺失等问题提供了突破口。

讯琥科技将打造完整、可信的数字身份平台，并将该平台应用到物联网行业所有需要身份验证的场景中，如M2M（机器对机器）交易场景、eSIM +区块链钱包使用场景、智能物联网设备的设备身份验证、可信数据管理等。

讯琥科技联盟链的生态正逐步壮大，基础设施也正在逐步完善，后续还将支持数字存证等功能。欢迎有意合作者与我们联系！