微软|区块链在网络信任体系中的应用研究( 四 ) 浏览器|Windows

（2）不可篡改、不可伪造：区块链技术巧妙地利用哈希函数、数字签名等密码技术构造交易和链式结构，并结合共识机制，确保数据一经验证达成共识并被写入区块链后，任何人无法对数据进行修改和伪造。
（3）全程留痕、可追溯：在区块链中，交易的每次变更都会按照时间顺序被记录。全网所有节点共享交易记录，可以查询交易从发布源头到最新状态之间的整个变更流程。新老交易通过哈希函数前后关联，任意一条数据皆可通过链式结构，实现异常交易的精准定位和追踪溯源。
2.4　区块链应用于网络信任体系建设中的优势
（1）分布式结构防止单点故障：区块链应用于身份认证与管理领域，既可以采用联盟链结构实现多CA的协同管理，也可以以完全去中心的公有链为基础，实现完全自主的身份管理。两者均通过共识机制完成身份证书或信息的账本同步，从而规避传统PKI面临的单点故障问题，抵御中间人攻击。
（2）可构建多CA互信：在对等网络基础上，区块链以区块的链式结构聚集数字证书，以区块链数据同步的形式共享不同信任域的证书信息和证书路径，为实现跨CA认证提供了便捷条件。同时，区块链的不可篡改性和可追溯性可以保障认证记录的安全可靠。区块链也可以在多CA之间建立信任关系，对不同CA的认证记录提供精确、可靠和不可篡改的存在性证明，保证证书的真实可信。
（3）一致性可抵御网络分裂攻击：区块链技术通过共识机制保障多节点之间账本的一致性，有助于实现证书日志在CA、证书依赖方、证书服务器等多节点之间共享和同步。一旦新提交的证书经过多节点验证并达成共识最终被记录在区块链上，证书就无法再被删除或修改。
（4）简化证书验证与撤销流程：在每次建立TLS连接时都需要对证书进行验证。这个验证过程包括信任路径的构建和吊销检测两个阶段。目前，证书验证主要负担在客户端。使用区块链存储证书，证书在提交和申请状态变更的过程中，仅需要区块链节点进行验证并完成共识之后被记录在区块链上。当证书依赖方需要验证证书时，就可以摆脱繁琐的证书链构建过程，直接查验证书是否在区块链上即可。区块链同样可以消除证书依赖方对于CRL和OCSP等服务的依赖，提供统一的证书吊销和查验方法，并可以保护证书依赖方的隐私。
（5）结合密码技术保护身份隐私：为了保障证书用户和证书依赖方的隐私数据，证书状态数据和证书使用情况等日志记录不应该对所有参与方可见。但是，由于政策监管和技术问题，证书数据可能对部分参与方可见。
3.区块链在网络信任体系中的应用
作为一种新的“信任机器” ，区块链可以在多个互相不信任的节点之间构建相互信任、相互协同的桥梁，也为解决网络中的信任问题提供了新的技术思路。自2011年开始，各国学者开启了利用区块链技术构建网络信任的技术探索，先后将区块链应用于去中心化域名管理、去中心化PKI、证书日志管理以及跨域认证4个技术方向。
3.1　基于区块链的去中心化域名管理
随着以比特币为首的区块链应用的全球推广和大规模应用落地，区块链正在成为构建去中心化系统和应用程序的通用基础架构。基于区块链的域名管理系统成为区块链技术在网络信任体系的第一次探索。
早在2011年4月， Namecoin项目诞生，作为首个区块链在网络信任体系中的应用项目， Namecoin 基于区块链构建全球范围的去中心化DNS系统，避免对单一实体的信任依赖。实质上， Namecoin是比特币的一条侧链，它通过增加一些特殊的交易命令，完成域名注册、更新和转移等功能。用户通过name_new命令将新域名的摘要值发布到区块链上，作为对新域名的预订。等待新域名预订交易被记录在区块链上之后，与之对应的name_firstupdate域名注册命令在验证通过后也会被记录在区块链上，从而完成域名注册。