1.3 去中心化PKI体系

去中心化公钥基础设施（Decentralized Public Key Infrastructure，DPKI）是一种更好的PKI系统的替代方案。1990年左右，菲利普·季默曼（Phil Zimmermann）编写了一个密码软件——Pretty Good Privacy（很好的隐私），这是一个去中心化的信任系统，当时区块链还没有出现，建立各方之间的信任关系还存在问题。如今，随着区块链的出现，出现了不需要可信第三方的全新身份认证体系——DPKI。

2015年，Allen等人在一份题为Decentralized Public Key Infrastructure的文章中探讨了这一问题，他们认为，与传统方法不同，DPKI确保没有任何一个第三方可以损害整个系统的完整性和安全性。在DPKI系统中，新的可信第三方变成了矿工或验证者。

DPKI体系结合了区块链技术公开、去中心化、可追溯等优点，弥补了传统数字证书管理体系的安全缺陷，为数字世界中个人与组织的身份安全问题提供了一套全新的解决方案。

DPKI系统基于区块链进行设计与构建，提供一个去中心化的用来注册和发现公钥的技术实现。

举例来说，如图1-3-1所示，Alice在区块高度为98时，在区块链上注册了一个DID，随即将这个DID告知了Bob，Bob在区块高度为100（也可以是大于98的任意区块高度）时，在区块链上查询到了这个DID，并获取到了Alice公开的公钥（Public Key）。其中，Alice的DID注册过程由自己独立完成，没有依赖CA的颁发。在和Bob的通信过程中，Alice将DID给了Bob，Bob根据DID在区块链上查询到了Alice的公钥。在此过程中，Bob只和区块链进行了通信，就得到了Alice的公钥，没有依赖CA校验公钥的合法性。

DPKI弥补了PKI体系的缺陷，主要体现在以下几点。

（1）用户可以自己在区块链上注册和吊销身份标识符，身份标识符的控制权回到了用户手中，弥补了PKI体系依赖CA集中化管理的缺陷。

（2）基于区块链的公开、不可篡改等特性，其他人可快速、准确地查找到用户的公钥，验证用户的身份，弥补了PKI体系需要依赖CA机构辅助验证用户公钥合法性的缺陷。

（3）在基于区块链的DPKI体系中，证书的吊销、修改变得非常快捷，避免了证书吊销、修改不及时而引起的安全性问题。

图1-3-1 DPKI子系统基本构成示意