大数据,云服务现在越来越多的在我们的商业及日常生活中普及,未来将会和互联网一样是我们生活不可或缺的一部分。当用户使用云服务时,很多情况下会使用基于数字签名的证书,因此数字证书的使用是这个过程非常重要的环节。而存储在服务器上的证书就成了黑客高度关注的攻击目标,一旦盗取了证书,黑客就可以肆无忌惮地闯入系统为所欲为。
什么是SPIN509?
SPIN509是一个为云服务供应商(比如salesforce, office365,谷歌,微软等)提供SaaS数据保护方案的项目团队。项目团队提供的数据保护方案基于区块链技术重新打造X.509数字证书颁发和验证的流程。凭借这套全新的流程方案,杜绝黑客对数字证书的盗取和攻击以达到保护系统的目的。
SPIN509解决的是什么痛点?
在现有的技术框架下,当用户使用数字证书来验证身份时,身份验证的过程统统在中心化的服务器上进行。服务器会使用所保存的根证书来验证用户提交的证书以确认用户的身份。
在这个过程中,一旦服务器上的根证书被黑客盗取或者篡改,那么黑客就彻底掌握了所有用户的权限和信息。SPIN509要解决的就是这个痛点,切断黑客通过盗取根证书获取最高权限的途径。
SPIN509怎么解决痛点?
在现有的技术框架下,根证书存储在中心化服务器上,这给了黑客可趁之机。SPIN509利用区块链,只把证书的验证码留下并把验证码存储在区块链上,而服务器上不存储任何证书,这样黑客就无法盗取根证书。
SPIN509提供的方案在验证用户证书的过程中,只需将用户证书的验证码和存储在区块链上的验证码进行比对就能核实用户的身份是否一致。因为验证码是独一无二的并且无法篡改的,因此黑客无法用伪造的证书创造出和存储在区块链上一模一样的验证码,因此就无法从根证书下手骗取用户信息和权限。
SPIN509的技术架构?
在SPIN509的方案中,关键是利用了区块链保障存储的数据不可篡改的特性保存关键的验证信息。SPIN项目的代币是基于以太坊的ERC-20代币。
SPIN509方案的工作流程?
SPIN509所提供的方案其工作流程如下:
1. SPIN系统首先经过授权通过API向用户的云服务商比如谷歌,微软,office365获取一定的用户信息。
2. SPIN509通过从云服务商获取的用户信息创建X.509证书。
3. SPIN509通加密算法对证书计算出一个哈希值,并将此哈希值存储在区块链上。
4. SPIN509将此证书发送给客户,并自动删除存储在自身服务器上的用户个人信息。
5. 用户在个人设备上保存好SPIN509发送来的证书。
6. 用户如果要登陆云服务商,则使用该证书,该证书会经过计算得到一个哈希值,这个哈希值会和存储在区块链上的哈希值进行比对,若一致,则用户被授权登陆,若不一致,用户登陆就被拒绝。
这整个过程没有任何证书长期存储在服务器上,因此黑客无法通过攻击服务器盗取证书来获得权限。
SPIN509发行的通证及用途?
SPIN509项目发行两种通证:SPINX和SPIN。其细节如下:
SPINX可兑换成SPIN,其比率为1 SPINX = 10 SPIN。SPINX属于证券类通证(Security Token),并向美国证监会SEC合法注册,可售卖给符合资质的投资者。SPINX是基于以太坊的ERC-20通证。
SPIN属于使用类通证(Utility Token),可用来购买SPIN509提供的各种证书服务。SPIN也是基于以太坊的ERC-20通证。
用户创建证书,更新证书和注销证书时都需要向SPIN509支付BTC或SPIN通证作为服务费。
我们的观察:
我们认为这个项目是个利用区块链技术很恰当的场景,确实解决了安全领域的一个痛点。但项目本身有三点值得注意:
1. SPIN509需要获得授权向云服务商拿到用户的某些个人信息,这要求项目团队本身要建立足够的信誉,没有一定的信誉,做不到这一点,后面的事情都无从谈起。
2. 项目本身的技术难度不高,可以说没有太大的技术门槛,因此如果后来竞争者蜂拥而入,项目可能面临极大竞争压力。
3. 项目成功的关键点在于项目团队和商界的合作,这一点在项目发展的全程都要密切关注。
综合来看,我们认为这个项目很值得关注。
网友评论