您现在的位置: 比特财富网 >> 区块链 >  >> 區塊鏈應用
區塊鏈技術有望成為寶貴數字身份的守護者
摘要: 對於數字身份而言,任何單一技術都無法保證其絕對安全,需要多種技術進行優勢互補,形成軟硬件一體的完整解決方案。www.emoneybtc.com
如今,區塊鏈概念已經十分火熱,但區塊鏈產業的落地應用依舊只聞其聲。究其原因,區塊鏈並不能孤立存在,其只能作為底層基礎設施的一塊拼圖,與之相配套的設備與環境還有待進一步完善。隨著區塊鏈發展到一定階段,相關的可信設備和可信環境將成為下一步發展重點,並與區塊鏈數字身份共同構成完整的可信數字生態圖景。
科技巨頭共同瞄向TEE 成為可信基礎設施又一塊重要拼圖
Intel平台安全部門副總裁Rick Echevarria認為,硬件可作為一種方式來改善區塊鏈技術及其實施的兩大主要弱點:信任和安全性。然而,Intel並不是唯一將硬件定位為發展區塊鏈基礎的企業。
去年,埃森哲整合法國泰勒斯集團的硬件安全模塊產品,作為各種數字密鑰的安全倉庫,用於解決企業對區塊鏈安全漏洞的爭論。IBM也為高安全性區塊鏈商業網絡用戶提供了硬件安全模塊。最近,微軟接連發布兩項專利申請,其正在研究在區塊鏈產品中使用可信執行環境(Trusted Execution Environments,簡稱TEE)。
不過,並不是所有人都認為硬件解決方案會解決區塊鏈的安全性問題,將區塊鏈數字身份這一軟性治理基礎設施,與可信執行環境相結合,或許可以提供一個全新的技術思路。作為一種通過隔離的方法保護數據和程序的技術,TEE由Global Platform(GP)提出,旨在構建一個資源豐富的執行環境,能夠主動防御來自外部的安全威脅,更有效地保障身份安全。
當前的身份認證模型,本質上就是用戶向遠程的服務端證明“你是你”,以確認在端側的動作都是用戶本人發出並確認的,這個模型的兩個端點分別是遠程的服務端和用戶本身。以傳統的賬號+密碼身份認證為例,用戶在手機上輸入預設好的賬號、密碼,密碼傳輸到遠程服務端進行比對,如果比對正確,則證明用戶就是他自己。這裡用戶端的端點就是他自身,服務端就是服務器上數據庫裡存儲的密碼或是一個哈希值。
可信身份認證模型又是怎樣的?一般情況下,可信身份認證模型都會在端側隔離出一個獨立的硬件環境建立一個安全區域,理論上這個隔離出來的硬件本身是難於攻破的,比如ARM公司在其處理器上隔離出來的Trust Zone,或者是手機裡加了一個獨立安全芯片模塊。這個安全模型可以保證即使手機客戶端整個被攻破也不影響整個系統身份認證的安全可信。
安全區域將身份認證鏈條分割成了兩個部分:用戶到安全區域、安全區域到服務端,分別保障這兩個分路徑的可信和安全,就可以保證從用戶到服務端的可信身份認證。從用戶到安全區域之間的認證也叫本地認證,一般有以下幾種方案:PIN碼、指紋識別、瞳孔識別等生物特征識別。
一方面,由於做了硬件隔離,這些認證信息是直接輸入到安全區域,不經過開放的手機軟件系統,所以,病毒木馬對其起不了作用;另一方面,此認證是本地進行的認證,由於區域本身是可信和安全的,所以這條路徑可以保證是安全的。
另一段必經的路經,從這個硬隔離出來的安全區域到服務端之間的認證,這其實是大部分的安全威脅所在,因為這個路徑要通過開放的、處處充滿威脅的、不可信的操作系統並途經開放的互聯網才能到達遠程的服務端。
一個完整的可信身份認證模型要在這個可信的、堅固的安全區域與遠程服務端之間建立一條可信的安全通道,這也是可信身份認證協議的主要內容。目前,主流的可信身份協議包括應用於網銀U盾的PKI/CA協議,以及近幾年比較火熱的FIDO、IFAA兩大統一身份認證標准。  
這兩個統一身份認證標共同特點,是硬件隔離配合高強度的密碼學算法來實現身份認證。其核心思路是在終端側通過TEE實現硬件隔離,同時結合密鑰存儲和密碼算法運算,避免開放系統上的軟件病毒、木馬的攻擊,在此基礎上通過密碼學算法為應用服務商和用戶之間建立一套端到端的安全認證協議,這是業界公認的可信安全技術框架。
數字身份+TEE一體化方案 為可信身份提供全新技術方向
TEE本身可以作為一個天然ID,如面部識別、指紋傳感器和聲音授權等,比PIN碼和密碼形式更加安全。一般基於TEE的認證可以劃分為三個步驟:提取一個樣本;在設備TEE存儲一個參考模板,供與提取的樣本對比;TEE的一個匹配引擎用於對比樣本和模板,進行身份認證。
由此可見,TEE是存儲匹配引擎以及認證用戶的相關進程的一個理想空間,其可以與移動設備的主操作系統相互隔離,保證安全運行。FIDO聯盟正在和Global Platform合作,一起制定將TEE作為天然ID的規范。
搭載TEE的可信硬件可以讓設備記錄系統或特定程序,一旦代碼被更改,痕跡會被記錄下來。這種情況下,黑客難以默默攻破軟件。同時,TEE就像一個黑盒子,能讓節點並不知道自身所處理的代碼和數據,假設節點相當於房子,芯片則像裡面的保險櫃,可是房主沒有鑰匙,無法讀取或者修改保險櫃裡的數據。
圍繞TEE的可信身份認證解決方案,從硬件與安全協議的配合使用上主要可以分為兩大類:單純依靠硬件隔離的安全認證方案、硬件隔離結合可信身份認證協議的技術方案。
▷ 有安全硬件無安全協議
由於搭建一套可信身份認證協議需要一定技術門檻,所以對於一些安全等級要求不高的場景,暫時就僅靠安全硬件隔離來實現安全,而未配合可信身份認證協議。相當於只實現了可信身份認證模型的前一段:本地認證。
TEE結合生物特征識別安全認證方案,比如指紋解鎖、指紋支付功能就屬於這一類型。此類安全方案只做了端的安全,實現了從用戶到手機TEE側的安全,但是不保證從TEE安全區域到服務端之間的身份安全,所以其安全等級並不高,所以至多只能作為密碼認證方式的一種補充。
▷ 硬件隔離結合可信身份認證協議的方案
此類方案,實現了完整的可信身份認證模型,本地認證以及本地安全區域到遠端服務器之間的認證。包括傳統的網銀U盾系統和FIDO(線上快速身份驗證聯盟)、IFAA(互聯網金融身份認證聯盟)統一身份認證協議都屬於這種類型。
另外,還有一些沒有建立可信安全區域,僅依靠安全協議的方案,也在廣泛使用。比如https協議、區塊鏈技術就是屬於有安全認證協議,但是用戶端側沒有可信硬件節點支撐。實際上它建立起來的通道的一端還是在開放的操作系統和軟件系統裡,也就是為什麼它還是存在被攻擊的可能性,理論上還是有被病毒木馬獲取的可能。
雖然區塊鏈的分布式賬本已經是安全級別較高的技術,但黑客會將攻擊重點轉向用戶和設備,一旦這些安全優先事項得到解決,區塊鏈技術將充分發揮其潛力,成為寶貴數字身份的守護者。
  • RSI指標在外匯技術分析中的運用原則

    歡迎訪問 外 匯 邦 WWW.WaiHuiBang.com   (1)受計算公式的限制,不論價位怎樣變動,強弱指標的值均在0與100之間. 

  • 黃金期貨多少起

        按照上海黃金交易所10月23日的報價,Au9999黃金價格為每克183.50元。這樣,一手黃金期貨合約的價值為

  • 外匯招商平台有哪些?如何代理外匯平台?

    外匯招商平台主要的作用就是幫助外匯經紀商招收代理,投資人可以通過外匯招商平台成為外匯代理,然後在幫助外匯經紀商開發客戶獲得收益。那麼,外匯招

  • 抖音直播是怎麼分成的?

    最佳答案: 目前抖音直播分成,根據主播的身份一般分為兩種情況:1、如果是個人主播,在抖音平台直播一般

  • 2018拼多多砍價群有嗎?

    最佳答案: 想找拼多多砍價群的話可以從這兩個方面入手:1、去百度貼吧找其實早就有拼多多砍價群的百度貼

  風險提示:比特財富網的各種信息資料僅供參考,不構成任何投資建議,不對任何交易提供任何擔保,亦不構成任何邀約,不作為任何法律文件,投資人據此進行投資交易而產生的後果請自行承擔,本網站不承擔任何責任,理財有風險,投資需謹慎。
比特財富網 版權所有 © www.emoneybtc.com