互联网经过50年的发展，规模不断增大，已发展为人类社会的重要基础设施，网络空间成为继陆、海、空和太空之后的人类第五疆域。从1969年阿帕网（ARPANET）的建立，到1974年TCP/IP协议的诞生，再到如今万维网、移动网络、物联网的出现，互联网的发展呈现出快速和多样化的趋势，这离不开互联网体系结构的支撑。随着网络空间的快速扩张，其安全问题也变得更加严峻，而当前互联网体系结构存在设计缺陷，缺少真实可信的技术基础，导致网络攻击事件频频发生，比如利用假冒地址身份发起攻击、欺骗等。

　　安全可信是下一代互联网体系结构面临的重大技术挑战，构建一个开放、可信、可知的互联网是未来互联网的发展方向。未来的安全可信互联网将基于真实地址、真实路径、真实身份构建自带安全属性和安全能力的互联网生态系统，提升网络基础设施内生安全防御能力，为用户提供“终端防护-设备验证-云端识别”的全链条全生命期“可信、可靠、可验证”的传输服务，同时确保用户及其行为“可信、可审计、可追溯”。IPv6和区块链技术的发展为此构想提供了支撑，IPv6能提供大量的网络空间地址，而区块链能构建起网络互联的信任基础。建设去中心化的可信网络基础设施是未来互联网发展中必不可少的一环。

　　1. 去中心化网络基础架构

　　区块链通过密码学、多方计算、共识机制等技术维护一个一致的全局账本。区块链中的区块结构大同小异，基本包括区块标识、前一个区块的哈希值和打包了交易的默克尔树（Merkle Tree）。区块一旦被打包并被网络确认，那么它将很难被篡改。并且它是透明开放的，任何参与到区块链网络的用户都能简单方便地查看区块数据。根据这种特性，可以利用区块链来构建互联网的信任基础，记录一些网络关键信息，比如地址、自治域（Autonomous Systems，AS）号、身份及其公钥信息、AS邻居关系等，保障其真实可信。

　　区块链是通过多个参与方共同维护的，不存在单一的服务器，没有宕机的风险，也没有被单点攻击的风险。不同的节点维护者通过一定的共识机制维护整个区块链的增长。常见的共识机制包括工作量证明（Proof-of-Work，PoW）、权益证明（Proof-of-Stake，PoS）等，一个好的共识机制能够保障区块链高效稳定地运行。智能合约的出现赋予了区块链新的活力，它能够使代码运行在区块链上，提供即时的区块链服务，即“区块链即服务”（Blockchain as a Service，BaaS）。目前国内很多互联网公司也构建了相应的BaaS平台，如阿里巴巴构建的蚂蚁区块链、百度搭建的超级链，还有腾讯区块链、华为区块链、京东区块链等。

　　基于区块链可以为互联网建立信任基础。本文将其作为一种底层网络基础设施，为互联网提供各种可信任的服务。第一层是区块链层，包括点对点通信（P2P）、共识机制、区块结构、智能合约、激励机制等，由不同节点维护。第二层是区块链服务层，将不同的区块链服务进行打包，为上层网络与应用提供简单可用的接口，包括去中心化的密钥管理系统、去中心化的域名管理系统、AS域管理系统、路由管理系统、网络行为可记录与追溯系统、身份验证服务等。除此之外，还可以根据网络的发展和场景的需要构建不同的服务。第三层是网络传输层。为了构建可信任的基础，本文以真实地址与真实身份为基石，通过去中心化的区块链进行注册与验证。用户一经注册，便可以以统一账户在不同服务之间进行验证，不仅保护用户隐私，也便于服务，提高安全性，使数据传输在可信环境下得到保障。终端设备在接入网络时，网络能够对其真实身份进行验证。另外该网络具备网络行为的可记录与溯源能力，对于恶意行为能够快速找到错误源，并进行矫正。数据在不同AS之间转发也是可信的，AS的可信是经过区块链保障的，用户可以对其进行验证。不同的AS之间能够通过区块链进行数据的协同，帮助网络进行自适应。最上层是应用层，包括各种应用。由于是建立在可信网络上的，各应用能够验证用户的身份，用户能够验证服务商的身份，增强端到端的通信安全，保证服务安全可信任。

　　2. 可信身份认证

　　近年来，针对公钥基础设施（Public Key Infrastructure，PKI）的攻击频繁发生。例如，被攻击的认证授权中心（Certificate Authority，CA）颁发的恶意域名证书十分普遍，而吊销的证书仍然受客户端的信任。尽管目前有很多关于加强安全套接层/安全传输层（SSL/TLS）连接的安全性的研究，但也有很多问题尚未解决，比如单点故障问题、证书的验证开销问题、证书的撤销更新问题等，都制约了传统PKI的安全性以及性能。为此，需要设计一个去中心化的PKI，一方面利用区块链的公开透明性质，保证公开证书的可验证性；另一方面可以通过区块链的多链分片技术以及高效的同步数据库查询提高去中心化PKI的性能，满足各个场景下的密钥分发及证书验证服务。建立去中心化的安全可信PKI基础设施是解决当前网络安全问题的重要手段，能够杜绝很多网络攻击，为网络提供安全可信的所有权证明、身份认证等能力支撑。例如针对用户身份认证，通过分布式密钥管理和身份验证，实现用户数据保护与行为审计。类似的工作包括陈晶等人提出的一种DPKI架构CertChain。

郑重声明：本文版权归天网查所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。