CN111783135A - 一种基于dnssec的数据可信服务实现方法 - Google Patents

一种基于dnssec的数据可信服务实现方法 Download PDF

Info

Publication number
CN111783135A
CN111783135A CN202010554352.7A CN202010554352A CN111783135A CN 111783135 A CN111783135 A CN 111783135A CN 202010554352 A CN202010554352 A CN 202010554352A CN 111783135 A CN111783135 A CN 111783135A
Authority
CN
China
Prior art keywords
data
service
key
dnssec
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010554352.7A
Other languages
English (en)
Inventor
郑立荣
刘毅
王俊宇
安晋静
王建俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fudan University
Original Assignee
Fudan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fudan University filed Critical Fudan University
Priority to CN202010554352.7A priority Critical patent/CN111783135A/zh
Publication of CN111783135A publication Critical patent/CN111783135A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6272Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/75Information technology; Communication
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于DNSSEC的数据可信服务实现方法,涉及物联网电子追溯技术领域,由查询接口、数据库、提交接口几个基本服务组成,数据可信服务的工作分为:密钥生成及公共密钥注册、主数据/事件数据签名及提交、查询和验签,将可信服务作为一个可信第三方为存储在物联网信息服务上的数据提供完整性验证服务。为了解决中小企业使用CA证书门槛过高的问题,这个数据可信服务将通过DNSSEC进行公共密钥分发,这样所提供的基于数字签名的数据验证功能可有效查验存储在物联网信息服务上的数据是否被篡改。

Description

一种基于DNSSEC的数据可信服务实现方法
技术领域
本发明涉及物联网电子追溯技术领域,尤其是一种基于DNSSEC的数据可信服务实现方法。
背景技术
在基于物联网的分布式服务构架中,食品安全追溯的数据(主数据、事件数 据、传感数据等)被保存在产生数据企业所管理的物联网信息服务中。供应链上下游企业、监管者、消费者查询与食品相关的信息时,将通过物联网的解析及目录服务获得信息服务的地址,最终从物联网信息服务中获得数据。
但是通过物联网信息服务接口,数据的访问者只能获取未获验证的数据,无法确认这些数据是否是原始的、未被篡改的,这在食品安全电子追溯中认定企业主体责任会存在问题。采用分布式构架进行数据的存储管理,不仅会收到外部的 攻击,还会受到内部的恶意破坏和非法篡改。物联网信息服务中数据库的数据被修改会有多种情况,其中包括:
1.企业自行篡改物联网信息服务上的原始记录数据。
2.物联网信息服务受到恶意攻击,造成数据被恶意篡改或删除。
3.物联网信息服务本身因为硬件原因导致服务中断、数据丢失等。
后两者可以通过增加设备冗余、多做备份、提升系统安全等级等方法进行防范,而对于企业自行篡改物联网信息服务上的数据则很难有效进行防范。 一个典型的情况如:当某小型生产企业的某一个成品批次食品的原料被检测出了问题,企业为了减少损失修改了其物联网信息服务数据库中该批次食品的原料批次等信息,以此来避免该批次食品被全部召回,并达到隐瞒及降低损失的目的。由于物联网信息服务数据库上的原始数据被篡改,消费者、下游企业、甚至监管者都无法通过食品溯源获得正确的问题食品信息,这将导致有问题的该批次食品没有被正确召回而继续在市场中流通,从而使得食品安全问题进一步发生扩散。类似的情况在小微型生产、流通企业中会有相当的发生几率。
当类似事件发生的时候,就需要有一种机制可以验证物联网信息服务中数据的完整性,其中,数据完整性就是指数据在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
发明内容
本发明针对现有技术的不足,提出一种基于DNSSEC的数据可信服务实现方法,将可信服务作为一个可信第三方为存储在物联网信息服务上的数据提供完整性验证服务。为了解决中小企业使用 CA 证书门槛过高的问题,这个数据可信服务将通过 DNSSEC(DNSSecurity Extension,DNSSEC)进行公共密钥分发,这样所提供的基于数字签名的数据验证功能可有效查验存储在物联网信息服务上的数据是否被篡改。
为了实现上述发明目的,本发明提供以下技术方案:
一种基于DNSSEC的数据可信服务实现方法,如下:
密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;
主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;
对客户端进行查询和验签:客户端通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取对应的所述公共密钥,通过所述公共密钥对企业信息服务中的主数据或事件数据进行验签,从而判断是否符合食品安全数据的完整性。
优选的,所述私有密钥和所述公共密钥为RSA 密钥,包括一个域名作为所述密钥编号,域名的前几级必须是企业物联网标识。
优选的,所述公共密钥保存前,需要先进行 BASE64 转码,以确保所述公共密钥中的所有特殊字符都转换为普通字符。
有益效果
本发明所提供的一种基于DNSSEC的数据可信服务实现方法, 具备如下优点:
1.数据可信服务是一个由可信第三方提供的数据完整性验证服务,它由政府机构、监管机构或第三方服务机构运营,以确保其公证性(如与物联网目录服务类似,可以部署在有诚信保障的公共平台);
2.数据可信服务仅存储食品安全物联网中主数据和事件数据的数字签名,这样可以减少数据交换量,并最大限度的保护数据所有者的隐私;
3.原始数据保存在企业端、签名保存在数据可信服务中、公共密钥通过扩展为DNSSEC的物联网解析服务分发,任何一方发生数据篡改都可以在验证时被发现;
4.数据可信服务的访问服务地址通过基于DNSSEC的物联网解析服务提供给查询用户,保证用于访问的服务本身是可靠的,同时数据可信服务在需要的情况下通过解析也可以支持分布式部署,以降低单点压力;
5.保存数字签名公共密钥的DNSSEC资源记录采用已有记录,兼容所有主流DNS服务软件和客户端。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明所述一种基于DNSSEC的数据可信服务实现方法的原理图;
图2为本发明所述一种基于DNSSEC的数据可信服务实现方法的解析服务中的KEY记录示例图;
图3为本发明所述一种基于DNSSEC的数据可信服务实现方法的使用 DNSSEC保护后的KEY记录示例图;
图4为本发明所述一种基于DNSSEC的数据可信服务实现方法的查询和验签工作流程原理图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
文件词语释义如下: IoT(Internet of Things) 物联网;
iotDS(internet of things Directory Services)物联网目录服务;
iotIS(internet of things Information Services)物联网信息服务;
iotNS(internet of things Name Services)物联网解析服务;
iotTS(internet of things Trust Services)物联网可信服务。
如图1所示,一种基于DNSSEC的数据可信服务实现方法,包括:
密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;
主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;
对客户端进行查询和验签:客户端通过物联网解析、目录、信息服务获得 食品全部生命周期信息,然后通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取对应的所述公共密钥,通过所述公共密钥对企业信息服务中的主数据或事件数据进行验签,从而判断是否符合食品安全数据的完整性。
本方案中的密钥生成及公钥注册工作原理如下:
企业用户首先需要与一台 iotTS 服务进行绑定,并将 iotTS 的服务访问入口 更新到 iotNS 的服务资源列表中。
然后企业需要先自行生成用于数字签名的RSA密钥(RSA加密算法是一种非对称加密算法,在公开密钥加密和电子商业中RSA被广泛使用。),并为该密钥设定一个域名作为密钥编号,域名的前几级必须是企业物联网标识,例如 key20180226.weigang.cfstroot.org.cn。
随后需要在负责对 key20180226.weigang.cfstroot.org.cn 进行解析的解析服务器上增加 KEY 类型资源记录,并选择对应的哈希算法和加密方法。
数据可信服务将企业用于对受保护数据签名的公钥存放到有安全扩展的 DNS 服务(DNSSEC)的 KEY 记录中。公钥保存前,需要先进行 BASE64 转码,以确保公钥中的所有特殊字符都转换为普通字符。例如,KEYID 的域名是: key20180226.weigang.cfstroot.org.cn,其使用的哈希算法是 SHA-256,加密算 法 RSA,公钥通过 BASE64 转换以后存放到密钥字段。
当客户端通过 DNS 进行请求时,可以获得如图2所示的结果。
同时,利用 DNSSEC 可通过信任链来确保资源记录不被篡改。对区域文件完成签名后,如图3所示。
本方案中的数据签名及提交工作原理如下:
企业信息服务向数据可信服务的接口存入主数据、事件数据的签名。数字签名使用管理主数据企业的RSA私钥。在对关键信息完成数字签名后,通过提交接口将信息(数字签名、主数据/事件 URN 形式数据标识符、公钥 ID)提交到数据可信服务上。以下是一个主数据进行提交的例子:
1.假定需保护的数据标识为:urn:cfst:id:item:001.weigang.cfstroot.org.cn, 其关联的内容包括:商品名称、原料表、保质期时长、生产标准号、质量等级、 食品生产许可证编号等与食品安全相关的信息。
2.在企业信息服务上,将主数据转换为JSON字符串(JSON:JavaScript ObjectNotation,是一种轻量级的数据交换格式。易于人阅读和编写,同时也易于机器解析和生成。),然后使用名称为 key1的私钥为这些 JSON 字符串进行签名,签名的结果为signature。
3. 调用物联网可信数据服务的提交接口,将主数据的URN标识符
(urn:cfst:id:item:001.weigang.cfstroot.org.cn)、数字签名(signature)、公钥ID(key1.weigang.cfstroot.org.cn)作为信息保存到数据可信服务。
本方案中的数据的查询和验签工作原理如下:
客户端在查询时,需要通过信息服务、数据可信服务、解析服务的配合来完成整个验证过程,具体的工作过程如图4所示,具体为包括如下步骤:
步骤(1)客户端首先通过解析服务获得数据可信服务的访问入口;
步骤(2)调用数据可信服务的查询接口获得对应的数字签名和公钥 ID;
步骤(3)访问解析服务的 DNSSEC 基础设施,通过公钥 ID 查询受保护的公钥 KEY资源记录获得实际的签名公钥;
步骤(4)使用公钥对数字签名进行解密获得被签名数据的哈希值;
步骤(5)访问企业信息服务,获取其中的主数据或事件数据,进行 JSON 转换后计算哈希值;
步骤(6)比较所述步骤(4)和所述步骤(5)产生的哈希值,如果相等,表示数据未被修改;如果不相等,则表示数据已经被篡改,即企业信息服务商的食品安全追溯电子数据存在问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (3)

1.一种基于DNSSEC的数据可信服务实现方法,其特征在于:
密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;
主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;
对客户端进行查询和验签:客户端通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取对应的所述公共密钥,通过所述公共密钥对企业信息服务中的主数据或事件数据进行验签,从而判断是否符合食品安全数据的完整性。
2.根据权利要求1所述一种基于DNSSEC的数据可信服务实现方法,其特征在于:所述私有密钥和所述公共密钥为RSA 密钥,包括一个域名作为所述密钥编号,域名的前几级必须是企业物联网标识。
3.根据权利要求1所述一种基于DNSSEC的数据可信服务实现方法,其特征在于:所述公共密钥保存前,需要先进行 BASE64 转码,以确保所述公共密钥中的所有特殊字符都转换为普通字符。
CN202010554352.7A 2020-06-17 2020-06-17 一种基于dnssec的数据可信服务实现方法 Pending CN111783135A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010554352.7A CN111783135A (zh) 2020-06-17 2020-06-17 一种基于dnssec的数据可信服务实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010554352.7A CN111783135A (zh) 2020-06-17 2020-06-17 一种基于dnssec的数据可信服务实现方法

Publications (1)

Publication Number Publication Date
CN111783135A true CN111783135A (zh) 2020-10-16

Family

ID=72757323

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010554352.7A Pending CN111783135A (zh) 2020-06-17 2020-06-17 一种基于dnssec的数据可信服务实现方法

Country Status (1)

Country Link
CN (1) CN111783135A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113282967A (zh) * 2021-06-08 2021-08-20 湖南思码智链教育科技有限责任公司 基于区块链存储的法律文件电子签名方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281386A (zh) * 2013-06-03 2013-09-04 复旦大学 一种为物品标识及其解析服务提供安全保护的方法
CN103929435A (zh) * 2014-05-05 2014-07-16 中国科学院计算机网络信息中心 一种基于dnssec及dane协议的可信验证方法
CN105162602A (zh) * 2015-09-01 2015-12-16 中国互联网络信息中心 一种可信网络身份管理和验证系统和方法
CN106603225A (zh) * 2015-10-15 2017-04-26 捷玛计算机信息技术(上海)股份有限公司 为企业信息服务器提供信息验证的验证方法
EP3462667A1 (en) * 2017-09-27 2019-04-03 Banco Bilbao Vizcaya Argentaria, S.A. Blockchain based joint blind key escrow

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281386A (zh) * 2013-06-03 2013-09-04 复旦大学 一种为物品标识及其解析服务提供安全保护的方法
CN103929435A (zh) * 2014-05-05 2014-07-16 中国科学院计算机网络信息中心 一种基于dnssec及dane协议的可信验证方法
CN105162602A (zh) * 2015-09-01 2015-12-16 中国互联网络信息中心 一种可信网络身份管理和验证系统和方法
CN106603225A (zh) * 2015-10-15 2017-04-26 捷玛计算机信息技术(上海)股份有限公司 为企业信息服务器提供信息验证的验证方法
EP3462667A1 (en) * 2017-09-27 2019-04-03 Banco Bilbao Vizcaya Argentaria, S.A. Blockchain based joint blind key escrow

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113282967A (zh) * 2021-06-08 2021-08-20 湖南思码智链教育科技有限责任公司 基于区块链存储的法律文件电子签名方法及系统

Similar Documents

Publication Publication Date Title
US11151236B2 (en) File verification database system
US20230046965A1 (en) Reduced-step blockchain verification of media file
US9473568B2 (en) Detecting code injections through cryptographic methods
CA2151590C (en) Method of extending the validity of a cryptographic certificate
US11379771B2 (en) Management of workflows
US8185733B2 (en) Method and apparatus for automatically publishing content based identifiers
US11139960B2 (en) File redaction database system
US20110231645A1 (en) System and method to validate and authenticate digital data
US11606201B2 (en) Cryptographic systems and methods using distributed ledgers
US11025430B2 (en) File provenance database system
CN110309197B (zh) 项目数据验证方法及其装置
US11283622B2 (en) Signature verification for a blockchain ledger
GB2520056A (en) Digital data retention management
CN112131309A (zh) 一种基于区块链技术的数据存证方法及系统
US11301823B2 (en) System and method for electronic deposit and authentication of original electronic information objects
US20240163118A1 (en) Blockchain-based data processing method, device, and readable storage medium
US20220045866A1 (en) Method and system for authentication seal deployment in networked immutable transactions
CN111783135A (zh) 一种基于dnssec的数据可信服务实现方法
CN101534296A (zh) 公开网络信息完整性、时间点存在性证明方法和系统
CN114422138B (zh) 一种域名所有者自定义验证策略的证书透明化方法和系统
US11962573B2 (en) System and method for providing access to secured content field
CN109271811B (zh) 一种基于群签名的电子物证防篡改存储方法
CN112615719A (zh) 一种去中心化线上合同签署方法、装置、设备及介质
CN112765622A (zh) 一种电子提单的数字证书管理方法、装置、设备及介质
JP4157540B2 (ja) 多重応募を判定するコンピュータ・システム及び多重応募判定コンピュータ・システムにおける応募者選考情報データベースへの記憶方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20201016

WD01 Invention patent application deemed withdrawn after publication