CN106603225B - 为企业信息服务器提供信息验证的验证方法 - Google Patents
为企业信息服务器提供信息验证的验证方法 Download PDFInfo
- Publication number
- CN106603225B CN106603225B CN201510665838.7A CN201510665838A CN106603225B CN 106603225 B CN106603225 B CN 106603225B CN 201510665838 A CN201510665838 A CN 201510665838A CN 106603225 B CN106603225 B CN 106603225B
- Authority
- CN
- China
- Prior art keywords
- key
- information
- event
- services device
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种为企业信息服务器提供信息验证的验证方法,包括:S1、企业自生成非对称密钥,指定密钥名称;S2、将私钥保存在企业,将公钥保存到域名的资源记录;S3、企业信息服务器捕获物品事件,计算事件信息的摘要,使用私钥签名;S4、将物品事件的事件信息、签名值、密钥名称提交至DS目录服务器;S5、客户端从DS目录服务器获取物品事件的目录记录,通过DNS查询密钥名称以获取公钥;S6、使用公钥解密目录记录的签名值获取事件信息原摘要值,访问相应的事件信息,计算事件信息的摘要值,比较原摘要值与计算的摘要值是否相同,若相同,信息验证通过。本发明确保物品在物联网标签下不被滥用,确保物品流通信息不被篡改。
Description
技术领域
本发明涉及物联网信息服务技术领域,特别是涉及一种为企业信息服务器提供信息验证的验证方法。
背景技术
物联网在国内正在普及,用户对可查询的产品信息的可信度要求也日益提高。在EPC(产品电子代码)的标准中,描述了DS(Discovery Service,发现服务)用来记录RFID(射频识别技术)所经过的所有IS(Information Service,信息服务器)服务器的访问方式。DS到底如何运用、拥有哪些功能,有人把DS与ONS(Object Name Service,对象名解析服务)集成在一起;有人提出使用点对点、路由、索引模式的3种DS构架;有人通过DHT(DistributedHash Table,分布式哈希表)方式构建DS服务。所有这些方案,除了解决如何去查找IS服务以外,最终都设法解决如何通过DS来控制用户对IS数据的访问,他们更加专注于如何保护IS数据的隐私。事实上,IS上的数据并不是这么可靠,IS服务由参与方企业运营,因此企业对这些服务拥有绝对的控制权,它甚至可以随时修改任何一项数据。这就带来一个问题,如何发现企业对敏感数据的修改?这些敏感数据包括产品的生产日期、保质期、批次号、运输的目的地等等。
为解决这个问题,EPC提出了电子履历的概念。将产品从出生开始的所有事件一层一层的进行签名打包,通过验证每次签名来发现数据是否被修改。但是这个方法有如下的问题:
1.首先参与生成履历的各方都需要申请属于自己的CA(certificate authority,认证授权),这对于一些个体参与者来说,是一个非常麻烦的事情;
2.电子履历采用中央集中式的方式部署,不利于扩展;实际部署对服务器的要求也很高;
3.对于最后一个数据提供者,查询人无法确定数据是否被它修改,因为签名是由它生成的,它随时可以进行改动;
于是一些研究者提出了分布式电子履历的构想。将电子履历分散到每一个IS服务器上。在查询时,通过读取RFID标签内的信息查询ONS和IS服务,然后通过IS前后级的关系依次找到所有的IS服务与电子履历。这个方法虽然解决了集中型电子履历部署的问题,但是实际上写入履历和查询都非常复杂,当单点IS服务器出现问题是,最极端的情况下将无法查询所有信息,而且必须使用RFID才可以工作。
发明内容
本发明要解决的技术问题是为了克服现有技术中无法通过DS来控制用户对IS数据的访问的缺陷,提供一种为企业信息服务器提供信息验证的验证方法。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种为企业信息服务器提供信息验证的验证方法,其特点在于,包括以下步骤:
S1、企业自生成一组非对称密钥,并为生成的非对称密钥指定一个密钥名称,密钥名称是一个URI(统一资源标识符)如:KEY1.JMIT.NIOT.CN,它的根域名由国家机构或权威机构运营;
S2、将私钥保存在企业中,在国家机构授权的DNS(Domain Name System,域名系统)中为企业分配一个子域名,并将公钥保存在所述子域名的资源记录中;
S3、企业信息服务器在捕获到物品事件后进行存储,并将物品事件的特征值组成JSON(一种轻量级的数据交换格式)字符串,计算摘要,并使用私钥进行签名;
S4、企业信息服务器将物品事件的事件信息、签名、使用的密钥名称提交至DS目录服务器中,并以目录记录的方式存储在DS目录服务器中;
S5、客户端扫描物品的物联网标识通过解析服务获取DS目录服务器的地址,根据所述地址访问DS目录服务器,并获取物品事件的目录记录;客户端通过访问目录记录以读取密钥名称,并根据密钥名称进行DNS查询,以在资源记录中获取公钥;
S6、客户端使用公钥解密目录记录中的签名并获取原摘要值,并通过企业信息服务器的地址获取企业信息服务器中的事件信息并计算新摘要值,比较解密的原摘要值与新摘要值是否相同,若相同,则信息验证通过,若不相同,则信息验证不通过。
较佳地,所述DNS为国家物联网标识管理公共服务平台的DNS,也可以为其他权威机构的DNS。
较佳地,所述物品事件的特征值包括时间、地点、负责人、事件描述等。
本发明通过公共的物联网服务提供物品关联的物联网信息防篡改可信验证服务,本方法中企业通过授权获得唯一的物联网企业域名,并通过基于DNSSEC协议由安全信任链确保对此域名解析的安全保护,企业生成一个密钥对并保管私钥,同时通过其唯一的企业物联网域名的资源记录进行公钥的保存分发,企业通过私钥对物品的动态时间信息进行加密并提交到物联网目录服务器(DS)中,通过物联网目录服务提供物品动态事件密文,进行事件信息完整性的验证。
本发明中使用DNSSEC技术作为可信验证方案的一个组成部分,完成最重要的物品解析服务。目前在物联网中普遍采用了DNS技术来完成物品标识到应用资源的寻址,但是DNS解析技术一直存在传输安全问题。Domain Name System Security Extensions(DNSSEC)DNS安全扩展技术,是由IETF(国际互联网工程任务组)提供的一系列DNS安全认证的机制,它提供了一种来源鉴定和数据完整性的扩展。DNSSEC技术能够解决DNS解析中的传输安全问题,同时在中国已经开始进行实际的部署。
DNSSEC也可以通过从域名到根的信任链来对数据提供者身份进行验证,通过公私验证域名记录内的资源记录是否安全。
本发明设计了通过物联网发现服务DS来为IS信息服务进行防止信息篡改的验证,通过DNS来进行密钥分发。
本发明的积极进步效果在于:本发明可以确保物品在物联网标签下不被滥用,增强防伪性,确保物品流通信息不被篡改,并且本发明中私钥由企业自行保护,避免因为第三方的失误导致信息被修改,而DS目录服务器作为第三方服务,仅保存签名信息,无法对数据进行修改,公钥保存在国家机构运行的具有DNSSEC(DNS安全扩展)扩展的DNS资源记录中,可以确保保存记录的DNS服务器由国际机构授权。
附图说明
图1为本发明的较佳实施例的为企业信息服务器提供信息验证的验证方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的为企业信息服务器提供信息验证的验证方法包括以下步骤:
步骤101、企业自生成一组非对称密钥,并为生成的非对称密钥指定一个密钥名称;
步骤102、将私钥保存在企业中,公钥则提交到国家权威机构的DNS(例如:jmit.niot.cn)中,具体地,在国家机构授权的DNS(如国家物联网标识管理公共服务平台的DNS)中为企业分配一个子域名(假定为:key1.jmit.niot.cn,则key1就是对应的公钥,jmit为对应的企业),并使用密钥名称,将公钥保存在所述子域名的资源记录中,部署好DNSSEC之后,则DNS的子域名是可靠的因为设置在国际权威机构中,子域名对应的资源记录也是可信的,并且不能被篡改;
步骤103、企业信息服务器在捕获到物品事件后进行存储,将物品事件的事件信息记录存放在企业信息服务器内,并将物品事件的特征值(时间、地点、负责人等)组成JSON字符串,计算摘要,以对特征值进行加密,并使用私钥进行签名;
步骤104、企业信息服务器将物品事件的事件信息、签名、使用的密钥名称(key1.jmit.niot.cn)共同提交至DS目录服务器中,并以目录记录的方式存储在DS目录服务器中;
步骤105、当客户端读取到物品的一个物联网标识时,客户端会通过解析查询物联网标识是否有效,并在判断为是时,通过扫描物品的物联网标识的物联网解析结果来获取DS目录服务器的地址,根据所述地址访问DS目录服务器,并获取与物品事件的目录记录,以获取与所查物品相关的事件信息、签名、密钥名称、企业信息服务器的地址等,进而客户端通过访问目录记录以读取密钥名称,并根据密钥名称进行DNS查询,以在资源记录中获取公钥;
步骤106、客户端使用公钥解密目录记录中的签名信息,并获取原摘要值,同时通过企业信息服务器的地址获取企业信息服务器中的事件信息并计算摘要,比较解密的原摘要值与新计算的摘要值是否相同,若相同,则信息验证通过,若不相同,则信息验证不通过。
在物联网中,物品是在“移动”的。通过物流等方式物品会在不同的企业间流转,每到达一个位置,就会产生相应的事件信息。通常这些事件信息被分别保存在事件担当企业的企业信息服务器中。当客户端查询与物品相关的事件信息时,透过物联网目录服务获取到事件目录,然后根据目录中提供的访问地址访问每一个企业信息服务,获取事件详细的记录。
为了确保客户端在查询信息时,这些信息的关键部分与它们被记录时是相同、未被修改的。本方案需要将敏感数据的签名附加在物品目录记录中,将公钥保存到DNS中。通过验证目录服务中的解密签名是否与信息服务中的敏感信息的摘要值一致来验证数据是否被篡改过。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (3)
1.一种为企业信息服务器提供信息验证的验证方法,其特征在于,包括以下步骤:
S1、企业自生成一组非对称密钥,并为生成的非对称密钥指定一个资源标识形式的密钥名称;
S2、将私钥保存在企业中,在国家机构授权的DNS中为企业分配一个公钥名称的子域名,并将公钥保存在所述子域名的资源记录中;
S3、企业信息服务器在捕获到物品事件后进行存储,并将物品事件的特征值组成JSON字符串,计算摘要,并使用私钥进行签名;
S4、企业信息服务器将物品事件的特征值、签名、使用的密钥名称提交至DS目录服务器中,并以目录记录的方式存储在DS目录服务器中;
S5、客户端扫描物品的物联网标识,通过物联网解析获取DS目录服务器的地址,根据所述地址访问DS目录服务器,并获取物品事件的目录记录;客户端通过读取目录记录以获得密钥名称,并根据密钥名称进行DNS查询,以在资源记录中获取公钥;
S6、客户端使用公钥解密目录记录中的签名并获取签名前的摘要值,并通过企业信息服务器的地址获取企业信息服务器中的物品事件的特征值并计算摘要,比较解密的签名前的摘要值与信息服务器中的物品事件的特征值计算的摘要值是否相同,若相同,则信息验证通过,若不相同,则信息验证不通过。
2.如权利要求1所述的验证方法,其特征在于,所述DNS为国家物联网标识管理公共服务平台的DNS。
3.如权利要求1所述的验证方法,其特征在于,所述物品事件的特征值包括时间、地点、负责人、事件描述。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510665838.7A CN106603225B (zh) | 2015-10-15 | 2015-10-15 | 为企业信息服务器提供信息验证的验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510665838.7A CN106603225B (zh) | 2015-10-15 | 2015-10-15 | 为企业信息服务器提供信息验证的验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106603225A CN106603225A (zh) | 2017-04-26 |
| CN106603225B true CN106603225B (zh) | 2019-09-06 |
Family
ID=58553377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510665838.7A Active CN106603225B (zh) | 2015-10-15 | 2015-10-15 | 为企业信息服务器提供信息验证的验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603225B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10389678B2 (en) * | 2017-02-27 | 2019-08-20 | Facebook, Inc. | Notification framework for smart objects |
| CN108399440B (zh) * | 2018-03-09 | 2019-11-08 | 海南大学 | 一种基于事件微结构模式的供应链rfid智能防伪方法 |
| CN110753066B (zh) * | 2019-10-29 | 2021-12-28 | 北京计算机技术及应用研究所 | 一种基于密码技术的物联网标识方法 |
| CN111783135A (zh) * | 2020-06-17 | 2020-10-16 | 复旦大学 | 一种基于dnssec的数据可信服务实现方法 |
| CN114079645B (zh) * | 2020-08-13 | 2022-12-30 | 花瓣云科技有限公司 | 注册服务的方法及设备 |
| CN112861056A (zh) * | 2021-02-07 | 2021-05-28 | 杭州云搜网络技术有限公司 | 一种企业网站建设信息展示发布系统及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929435A (zh) * | 2014-05-05 | 2014-07-16 | 中国科学院计算机网络信息中心 | 一种基于dnssec及dane协议的可信验证方法 |
-
2015
- 2015-10-15 CN CN201510665838.7A patent/CN106603225B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929435A (zh) * | 2014-05-05 | 2014-07-16 | 中国科学院计算机网络信息中心 | 一种基于dnssec及dane协议的可信验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106603225A (zh) | 2017-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603225B (zh) | 为企业信息服务器提供信息验证的验证方法 | |
| US11165579B2 (en) | Decentralized data authentication | |
| CN105162602B (zh) | 一种可信网络身份管理和验证系统和方法 | |
| CN102006299B (zh) | 一种面向可信互联网的基于实体标识的身份认证方法及系统 | |
| CN103078841B (zh) | 一种预防性电子数据保全的方法及系统 | |
| Agrawal et al. | Privacy and security of Aadhaar: a computer science perspective | |
| CN111492634A (zh) | 使用零知识协议的安全并且机密的保管交易系统、方法和设备 | |
| CN102647461A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN108830109A (zh) | 电子印章应用、客户端实现方法、系统及设备、存储介质 | |
| EP3997855A1 (en) | Method and system for reliable authentication of the origin of a website | |
| CN104683306A (zh) | 一种安全可控的互联网实名认证机制 | |
| CN102891856A (zh) | 一种多元实体与多元实体身份依赖方之间的安全访问方法 | |
| CN104394166B (zh) | 一种云环境下面向移动终端的证书防伪认证系统及方法 | |
| Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
| EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
| Yoon et al. | Blockchain-based object name service with tokenized authority | |
| Giannikos et al. | Towards secure and context-aware information lookup for the Internet of Things | |
| Xiong et al. | BDIM: A Blockchain-Based Decentralized Identity Management Scheme for Large Scale Internet of Things | |
| Tiwari et al. | India’s “Aadhaar” Biometric ID: Structure, Security, and Vulnerabilities | |
| Friedman et al. | The need for digital identity in cyberspace operations | |
| Shahin et al. | Big data platform privacy and security, a review | |
| Raje | Security and Microservice Architecture on AWS | |
| Schapranow et al. | Security extensions for improving data security of event repositories in EPCglobal networks | |
| Rech et al. | A decentralized service-platform towards cross-domain entitlement handling | |
| Xie et al. | TOA: a tag‐owner‐assisting RFID authentication protocol toward access control and ownership transfer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |