一種基于dnssec及dane協(xié)議的可信驗(yàn)證方法
【專利摘要】本發(fā)明公開了一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法���。本方法為:1)為每一待驗(yàn)證對(duì)象生成一組密鑰對(duì)��,公鑰提交給一權(quán)威服務(wù)器���,私鑰存儲(chǔ)于設(shè)定的加密卡上且不能被復(fù)制;2)權(quán)威服務(wù)器在其DNS域中為該驗(yàn)證對(duì)象分配一子域名���,并為該驗(yàn)證對(duì)象增加一存儲(chǔ)其公鑰的DANE資源記錄�����,并用公鑰進(jìn)行簽名�;3)用戶利用可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)�����,轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求��;4)權(quán)威服務(wù)器返回對(duì)應(yīng)的DANE資源記錄��;5)用戶獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)���,并將其發(fā)送給該加密卡加密���;6)該可信驗(yàn)證客戶端利用返回資源記錄中的公鑰對(duì)該密文進(jìn)行解密��,對(duì)該驗(yàn)證對(duì)象進(jìn)行驗(yàn)證����。本發(fā)明大大提高了防偽能力�����。
【專利說明】—種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種物聯(lián)網(wǎng)中基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法���,屬于網(wǎng)絡(luò)【技術(shù)領(lǐng)域】����。
【背景技術(shù)】
[0002]物聯(lián)網(wǎng)的一項(xiàng)重要應(yīng)用是商品的溯源和防偽����,當(dāng)前業(yè)界的常用做法是:為每一件商品分配一個(gè)唯一的標(biāo)簽代碼(如RFID標(biāo)簽),實(shí)現(xiàn)商品與標(biāo)簽的相綁定��;然后將商品相關(guān)的信息與該標(biāo)簽相關(guān)聯(lián)���,以實(shí)現(xiàn)通過標(biāo)簽來查詢商品相關(guān)信息的目的�����。
[0003]現(xiàn)有技術(shù)中的這些手段雖能在一定程度上起到了商品防偽的作用��,但依然存在著一些技術(shù)漏洞��。首先����,雖然提供了依據(jù)商品上的標(biāo)簽來定位到相應(yīng)官網(wǎng)并進(jìn)而查詢商品相關(guān)信息的機(jī)制��,但官網(wǎng)極有可能被不法分子假冒��,這會(huì)導(dǎo)致消費(fèi)者因受到虛假商品信息的蒙蔽而上當(dāng)受騙��,如何避免這種狀況有待技術(shù)改進(jìn)�;其次,當(dāng)前方案一般假設(shè)商品的標(biāo)簽代碼是唯一的���,事實(shí)上�,不法分子有可能偽造標(biāo)簽�����,從而造成消費(fèi)者購買假貨�����,因而,迫切需要研發(fā)新的技術(shù)方案�,以防止這種因標(biāo)簽不唯一而給消費(fèi)者帶來利益損害的犯罪行為;最后�����,目前的方案大多集中在消費(fèi)者購買商品后的驗(yàn)證環(huán)節(jié)�����,而沒有對(duì)銷售商品的經(jīng)銷商進(jìn)行約束����,導(dǎo)致消費(fèi)者即使發(fā)現(xiàn)購買了假冒商品卻很難維權(quán)。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)中存在的技術(shù)問題�����,本發(fā)明的目的在于提供一種物聯(lián)網(wǎng)中基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法�����。本發(fā)明基于DNSSEC/DANE等最新的互聯(lián)網(wǎng)域名技術(shù),利用數(shù)字簽名/加密技術(shù)��,制訂了針對(duì)商品經(jīng)銷商的銷售過程簽名機(jī)制�,使其對(duì)其所售出的商品終身負(fù)責(zé),進(jìn)而無法對(duì)其銷售假冒商品的行為進(jìn)行抵賴��。同時(shí)��,針對(duì)商品標(biāo)簽條碼可能被偽造的問題���,通過添加相應(yīng)的驗(yàn)證服務(wù)器���,或者添加帶計(jì)數(shù)功能的加密卡�����,以記錄商品標(biāo)簽被查詢的歷史記錄�����,從而解決不法分子利用偽造標(biāo)簽反復(fù)欺騙的問題��。從而:
[0005]I)���、確保與商品信息相關(guān)的網(wǎng)址及服務(wù)器是可靠的����,不會(huì)被假冒;
[0006]2)�����、確保經(jīng)銷商對(duì)所售的商品不可抵賴����,如果其銷售了假冒商品,其無法否認(rèn)售假行為�����;
[0007]3)�、防止商品標(biāo)簽被濫用。
[0008]本發(fā)明的技術(shù)方案為:
[0009]一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法���,其步驟為:
[0010]I)為每一待驗(yàn)證對(duì)象生成一組密鑰對(duì)�����,將該驗(yàn)證對(duì)象的公鑰提交給一權(quán)威服務(wù)器���,將其私鑰存儲(chǔ)于設(shè)定的加密卡上����;其中�,該加密卡中的私鑰不能被復(fù)制;
[0011]2)權(quán)威服務(wù)器在其DNS域中為該驗(yàn)證對(duì)象分配一子域名�����,并為該驗(yàn)證對(duì)象增加一存儲(chǔ)其公鑰的DANE資源記錄�����,權(quán)威服務(wù)器利用自己的公鑰對(duì)該DANE資源記錄進(jìn)行簽名��;
[0012]3)用戶利用可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)����,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求���;[0013]4)權(quán)威服務(wù)器根據(jù)該查詢請(qǐng)求查找對(duì)應(yīng)的DANE資源記錄�,將其返回給該可信驗(yàn)證客戶端�����;
[0014]5)用戶利用該可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí),并將其發(fā)送給該驗(yàn)證對(duì)象的加密卡����;所述加密卡利用該驗(yàn)證對(duì)象的私鑰對(duì)該標(biāo)識(shí)進(jìn)行加密,生成密文返回給該可信驗(yàn)證客戶端��;
[0015]6)該可信驗(yàn)證客戶端利用返回DANE資源記錄中的公鑰對(duì)該密文進(jìn)行解密��,對(duì)該驗(yàn)證對(duì)象進(jìn)行驗(yàn)證���;
[0016]其中�,每一驗(yàn)證對(duì)象具有一唯一標(biāo)識(shí)���,驗(yàn)證對(duì)象的子域名與標(biāo)識(shí)一一對(duì)應(yīng)�。
[0017]進(jìn)一步的��,所述DANE資源記錄的類型為TLSA���。
[0018]進(jìn)一步的��,該驗(yàn)證對(duì)象為經(jīng)銷商���、商品或生產(chǎn)商����。
[0019]一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法����,其步驟為:
[0020]I)為每一待驗(yàn)證對(duì)象生成一組密鑰對(duì),將該驗(yàn)證對(duì)象的公鑰提交給一權(quán)威服務(wù)器��,將其私鑰存儲(chǔ)于設(shè)定的加密卡上����;其中,該加密卡中的私鑰不能被復(fù)制��;
[0021]2)權(quán)威服務(wù)器在其DNS域中為該驗(yàn)證對(duì)象分配一子域名�,并為該驗(yàn)證對(duì)象增加一存儲(chǔ)其公鑰的DANE資源記錄,權(quán)威服務(wù)器利用自己的公鑰對(duì)該DANE資源記錄進(jìn)行簽名���;
[0022]3)用戶利用可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)����,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求�����;
[0023]4)權(quán)威服務(wù)器根據(jù)該查詢請(qǐng)求查找對(duì)應(yīng)的DANE資源記錄����,將其返回給該可信驗(yàn)證客戶端;
[0024]5)該可信驗(yàn)證客戶端利用返回DANE資源記錄中的公鑰對(duì)一隨機(jī)數(shù)進(jìn)行加密����,生成一密文發(fā)送給該加密卡;
[0025]6)該加密卡利用該驗(yàn)證對(duì)象的私鑰對(duì)該密文進(jìn)行解密并將解密后的隨機(jī)數(shù)發(fā)送給該可信驗(yàn)證客戶端��,對(duì)該驗(yàn)證對(duì)象進(jìn)行驗(yàn)證���;
[0026]其中�����,每一驗(yàn)證對(duì)象具有一唯一標(biāo)識(shí)��,驗(yàn)證對(duì)象的子域名與標(biāo)識(shí)一一對(duì)應(yīng)��。
[0027]進(jìn)一步的�����,所述DANE資源記錄的類型為TLSA��。
[0028]進(jìn)一步的���,該驗(yàn)證對(duì)象為經(jīng)銷商�����、商品或生產(chǎn)商���。
[0029]一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法,其步驟為:
[0030]I)商品生產(chǎn)商將其校驗(yàn)服務(wù)器的域名及其所生產(chǎn)每一商品的標(biāo)識(shí)提交給權(quán)威服務(wù)器�,為每一商品生成一資源記錄;
[0031]2)用戶利用可信驗(yàn)證客戶端獲取商品的標(biāo)識(shí)��,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求����;
[0032]3)權(quán)威服務(wù)器根據(jù)該查詢請(qǐng)求查找對(duì)應(yīng)的資源記錄,將其返回給該可信驗(yàn)證客戶端;
[0033]4)該可信驗(yàn)證客戶端獲取該商品的唯一序列號(hào)��,并根據(jù)返回資源記錄中的域名將該序列號(hào)發(fā)送給所述校驗(yàn)服務(wù)器�����;
[0034]5)所述校驗(yàn)服務(wù)器根據(jù)該序列號(hào)查找其數(shù)據(jù)庫�����,然后返回查詢結(jié)果給該可信驗(yàn)證客戶端��,對(duì)該商品進(jìn)行驗(yàn)證�。
[0035]進(jìn)一步的,所述資源記錄的域名根據(jù)商品的標(biāo)識(shí)轉(zhuǎn)化而來��。
[0036]進(jìn)一步的���,所述資源記錄為NAPTR資源記錄或txt資源記錄�。[0037]進(jìn)一步的���,所述對(duì)該商品進(jìn)行驗(yàn)證的方法為:如果所述校驗(yàn)服務(wù)器根據(jù)該序列號(hào)從數(shù)據(jù)庫中查找到該商品標(biāo)識(shí)并記錄查詢次數(shù)�����,如果查找到且為首次查詢�����,則返回查詢結(jié)果為真��;否則查詢結(jié)果為假���。
[0038] 商品防偽是物聯(lián)網(wǎng)技術(shù)的一個(gè)重要應(yīng)用����,本發(fā)明主要針對(duì)經(jīng)銷商和消費(fèi)者這兩個(gè)實(shí)體提出一套商品防偽方案�����,以確保:1)���、經(jīng)銷商需對(duì)其所售出的商品負(fù)責(zé)���,如果其出售了假冒商品,就不能對(duì)其違法行為進(jìn)行抵賴����,從而為追究其相應(yīng)的法律責(zé)任奠定了技術(shù)基礎(chǔ);
2)�����、消費(fèi)者在購買了商品之后,可以通過商品標(biāo)簽來查詢?cè)撋唐肥欠駷榧倜吧唐?���。下面從?jīng)銷商和消費(fèi)者兩個(gè)角度來分別論述相應(yīng)的技術(shù)方案。
[0039]首先結(jié)合使用DNSSEC/DANE域名安全技術(shù)以及數(shù)字簽名技術(shù)來約束經(jīng)銷商的行為�。技術(shù)方案如下:首先�����,經(jīng)銷商自己生成一組公私鑰���,私鑰由經(jīng)銷商自己保存�����,應(yīng)存儲(chǔ)在特定的加密卡上���,且該加密卡中的私鑰只能參與計(jì)算,不能被復(fù)制�,即任何人都不能將私鑰從加密卡中取出來。公鑰提交給國(guó)家權(quán)威機(jī)構(gòu)(例如國(guó)家工商管理部門的權(quán)威服務(wù)器)��,國(guó)家權(quán)威機(jī)構(gòu)在其DNS域(例如gsh.gov.cn)中為該經(jīng)銷商分配一個(gè)子域名(假設(shè)為dealerl.gsh.gov.cn,其中dealerl對(duì)應(yīng)上述經(jīng)銷商)�。然后,權(quán)威服務(wù)器為所述子域名(即dealerl.gsh.gov.cn)添加一條DANE資源記錄(資源記錄類型為TLSA),該資源記錄中存儲(chǔ)了域名dealerl.gsh.gov.cn對(duì)應(yīng)的公鑰。當(dāng)DNSSEC部署了之后����,權(quán)威服務(wù)器所在DNS域的子域dealerl.gsh.gov.cn是可靠的,國(guó)家權(quán)威機(jī)構(gòu)對(duì)經(jīng)銷商的資質(zhì)進(jìn)行了審核并增加對(duì)應(yīng)的資源記錄(即dealerl.gsh.gov.cn對(duì)應(yīng)的TLSA或DNSKEY資源記錄)�,并用國(guó)家權(quán)威部門自身的公鑰對(duì)該TLSA資源記錄進(jìn)行簽名,因而可以保證dealerl.gsh.gov.cn對(duì)應(yīng)的TLSA資源記錄是可靠的�����,即不能被偽造��。
[0040]消費(fèi)者驗(yàn)證經(jīng)銷商真?zhèn)蔚牧鞒倘鐖D1所示���。消費(fèi)者使用經(jīng)銷商防偽APP( —般為一種特制的手機(jī)應(yīng)用程序����,該APP由防偽服務(wù)提供方配套提供)掃描經(jīng)銷商標(biāo)識(shí)(一種特殊的標(biāo)簽�����,由經(jīng)銷商向權(quán)威機(jī)構(gòu)所注冊(cè)��,權(quán)威機(jī)構(gòu)基于該標(biāo)識(shí)為經(jīng)銷商分配相應(yīng)的域名���,標(biāo)
識(shí)與經(jīng)銷商--對(duì)應(yīng))�����。經(jīng)銷商防偽APP獲得經(jīng)銷商標(biāo)識(shí)后,先將其轉(zhuǎn)換成域名�,然后向國(guó)
家權(quán)威機(jī)構(gòu)DNS域發(fā)起查詢。國(guó)家權(quán)威機(jī)構(gòu)向經(jīng)銷商防偽APP返回相應(yīng)的TLSA資源記錄���,該記錄中包含了經(jīng)銷商的公鑰信息�。經(jīng)銷商防偽APP接著掃描商品標(biāo)識(shí)����,然后將該商品標(biāo)識(shí)發(fā)送給經(jīng)銷商加密卡��,該加密卡使用經(jīng)銷商的私鑰對(duì)商品標(biāo)識(shí)加密后將所得密文傳輸給經(jīng)銷商防偽APP����。經(jīng)銷商防偽APP使用經(jīng)銷商的公鑰對(duì)密文進(jìn)行解密,如能解開��,則說明經(jīng)銷商是可信的���,否則是不可信的��。
[0041]本發(fā)明還提供了商品的防偽方法�����,其技術(shù)方案與經(jīng)銷商防偽技術(shù)類似���,具體如下:為每一件商品分配一組公私鑰�����,公鑰存儲(chǔ)到國(guó)家權(quán)威機(jī)構(gòu)所在DNS域的子域���,私鑰存儲(chǔ)在一個(gè)加密卡中。加密卡中的私鑰只能讀取��,不能復(fù)制�����。商品防偽技術(shù)的具體細(xì)節(jié)如圖2所示��。商品防偽APP首先掃描商品得到商品標(biāo)識(shí)���,然后將標(biāo)識(shí)轉(zhuǎn)化成對(duì)應(yīng)的域名�����,之后基于該域名向國(guó)家權(quán)威機(jī)構(gòu)查詢相應(yīng)域名的TLSA資源記錄����。國(guó)家權(quán)威機(jī)構(gòu)所在的DNS域?qū)⑾蛏唐贩纻蜛PP返回對(duì)應(yīng)的TLSA資源記錄,里面包含了商品的公鑰����。之后,商品防偽APP向加密卡發(fā)送一個(gè)使用公鑰加密后的隨機(jī)數(shù)��。然后加密卡使用商品的私鑰對(duì)該密文進(jìn)行解密�����,并將解密后的隨機(jī)數(shù)發(fā)送給商品防偽APP��。最后����,商品防偽APP對(duì)接收到的來自于加密卡的隨機(jī)數(shù)進(jìn)行校驗(yàn)���,如果與原始隨機(jī)數(shù)一致�����,則商品為真�����,否則為假��。
[0042]除了上述重量級(jí)的商品防偽技術(shù)方案�����,本發(fā)明還提供一種輕量級(jí)的商品防偽技術(shù)方案�,具體如下:首先,商品生產(chǎn)商將其校驗(yàn)服務(wù)器的域名以及每一件商品的標(biāo)識(shí)提交給國(guó)家權(quán)威機(jī)構(gòu)���,國(guó)家權(quán)威機(jī)構(gòu)根據(jù)這兩項(xiàng)信息產(chǎn)生一條NAPTR資源記錄或txt資源記錄(資源記錄由商品標(biāo)識(shí)轉(zhuǎn)化而來��,商品標(biāo)識(shí)與資源記錄一一對(duì)應(yīng))�����,該資源記錄的域名根據(jù)商品的標(biāo)識(shí)轉(zhuǎn)化而來�����,資源記錄的主要內(nèi)容是存儲(chǔ)校驗(yàn)服務(wù)器的域名��。具體的防偽流程如圖3所示��,商品防偽APP掃描商品���,得到其商品標(biāo)識(shí)��。然后����,商品防偽APP將商品標(biāo)識(shí)轉(zhuǎn)化成域名�,并向國(guó)家權(quán)威機(jī)構(gòu)發(fā)起查詢,國(guó)家權(quán)威機(jī)構(gòu)向商品APP返回域名的NAPTR資源記錄���,該記錄包含了校驗(yàn)服務(wù)器的域名��。然后,商品防偽APP掃描商品上的唯一序列號(hào)���,接著將該序列號(hào)發(fā)送給校驗(yàn)服務(wù)器���。校驗(yàn)服務(wù)器查找其數(shù)據(jù)庫(存儲(chǔ)商品標(biāo)識(shí)����、商品序列號(hào)�����、以及商品序列號(hào)被查詢的記錄)�����,并將查詢結(jié)果返回給商品防偽APP���。商品防偽APP根據(jù)校驗(yàn)服務(wù)器返回的結(jié)果就可以判斷該商品是否為真�����,如果該商品已被查詢過����,則該商品不為真��,否則為真�����。
[0043]本發(fā)明的優(yōu)點(diǎn):
[0044]I)、防止經(jīng)銷商銷售假冒商品�,基于DNSSEC平臺(tái),可防止某些使用IDN域名來進(jìn)行欺詐的釣魚網(wǎng)站���;
[0045]2)�����、防止合法商品標(biāo)簽被濫用�����;
[0046]3)�����、使用技術(shù)手段保障消費(fèi)者權(quán)利�,一旦消費(fèi)者購買到假冒商品��,他可以根據(jù)相應(yīng)的數(shù)字證書來起訴經(jīng)銷商�,而此時(shí),經(jīng)銷商無法抵賴�。
【專利附圖】
【附圖說明】
[0047]圖1為消費(fèi)者鑒定經(jīng)銷商真?zhèn)蔚牧鞒虉D;
[0048]圖2為商品防偽流程圖�;
[0049]圖3為輕量級(jí)商品防偽流程圖;
[0050]圖4為經(jīng)銷商防偽實(shí)例流程圖���;
[0051]圖5為重量級(jí)商品防偽實(shí)例流程圖;
[0052]圖6為輕量級(jí)商品防偽實(shí)例流程圖。
【具體實(shí)施方式】
[0053]下面以三個(gè)具體事例來說明
【發(fā)明內(nèi)容】
��。先介紹一個(gè)經(jīng)銷商防偽的例子����,防偽流程如圖4所示,可分為兩個(gè)階段:注冊(cè)與查詢��。在注冊(cè)階段�����,經(jīng)銷商生成一對(duì)公私鑰����,并將公鑰以及該經(jīng)銷商的注冊(cè)號(hào)提交給國(guó)家權(quán)威機(jī)構(gòu)(在這里假設(shè)為“國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)”,下同)�,國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)為該經(jīng)銷商創(chuàng)建一條TLSA資源記錄,里面包含了經(jīng)銷商的公鑰信息�。在查詢階段,經(jīng)銷商防偽APP首先掃描經(jīng)銷商標(biāo)識(shí),并將所得的經(jīng)銷商標(biāo)識(shí)(這里具體為5936)轉(zhuǎn)換成域名(這里具體為5936.gsh.niot.cn)���,然后向國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)查詢域名5936.gsh.niot.cn的TLSA資源記錄�����。經(jīng)銷商防偽APP獲得國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)返回的上述TLSA資源記錄后即得到了經(jīng)銷商的公鑰����。然后���,經(jīng)銷商防偽APP掃描商品標(biāo)識(shí)(這里為7604)并將該標(biāo)識(shí)發(fā)送給經(jīng)銷商的加密機(jī)�����。加密機(jī)使用其私鑰對(duì)該商品標(biāo)識(shí)進(jìn)行加密并將密文返回給經(jīng)銷商防偽APP�����。經(jīng)銷商防偽APP使用域名5936.gsh.niot.cn的TLSA資源記錄中包含的經(jīng)銷商的公鑰對(duì)該密文進(jìn)行解密���,如能解密,則說明經(jīng)銷商是真實(shí)的��,否則為偽造的。[0054]針對(duì)商品防偽的舉例如圖5所示���,也分為兩個(gè)階段:注冊(cè)與查詢。在注冊(cè)階段��,商品生產(chǎn)廠商為每一件商品分配一對(duì)公私鑰�,并將公鑰以及商品標(biāo)識(shí)提交給國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái),平臺(tái)為該商品分配一個(gè)對(duì)應(yīng)的域名(這里假設(shè)為987604.redwine.niot.cn)并為該域名創(chuàng)建一個(gè)TLSA資源記錄����,該資源記錄里包含了該商品的公鑰信息。查詢流程如下:商品防偽APP對(duì)商品進(jìn)行掃描���,得到商品標(biāo)識(shí)987604��,然后�����,將其轉(zhuǎn)化成域名987604.redwine.niot.cn并向國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)查詢?cè)撚蛎腡LSA資源記錄�。商品防偽APP獲得該TLSA資源記錄后即獲得了該商品的公鑰���,然后��,商品防偽APP使用該公鑰對(duì)一個(gè)隨機(jī)數(shù)進(jìn)行加密��,并將加密后的密文發(fā)送給加密機(jī)��。加密機(jī)使用其存儲(chǔ)的關(guān)于商品987604的私鑰對(duì)密文進(jìn)行解密并將解密后的隨機(jī)數(shù)返回給商品防偽APP���。商品防偽APP將返回的隨機(jī)數(shù)與原始的隨機(jī)數(shù)進(jìn)行對(duì)比����,如一致則商品為真����,否則為假。
[0055]輕量級(jí)的商品防偽流程如圖6所示����,也分成兩個(gè)階段:注冊(cè)和查詢。注冊(cè)階段�����,商品生產(chǎn)商為每一件商品分配一個(gè)序列號(hào)(這里為987604)并將針對(duì)該序列號(hào)的查詢記錄存儲(chǔ)在校驗(yàn)服務(wù)器中�。然后,商品生產(chǎn)商將校驗(yàn)服務(wù)器的域名提交給國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理標(biāo)識(shí)公共服務(wù)平臺(tái)�����,平臺(tái)為該商品分配一個(gè)域名(這里為987604.redwine.niot.cn)建立一個(gè)NAPTR資源記錄,該資源記錄包含了校驗(yàn)服務(wù)器的域名�����。查詢流程如下:商品防偽APP先掃描商品標(biāo)識(shí)�,假設(shè)所獲得商品標(biāo)識(shí)為987604�����,然后�,將該標(biāo)識(shí)轉(zhuǎn)成域名,即987604.redwine.niot.cn����。接著,商品防偽APP向國(guó)家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)請(qǐng)求987604.redwine.niot.cn的NAPTR資源吉利。商品防偽APP獲得該資源記錄后即獲得了校驗(yàn)服務(wù)器的域名��,然后�����,商品防偽APP掃描商品的唯一序列號(hào)����,并將其發(fā)送給校驗(yàn)服務(wù)器�����。校驗(yàn)服務(wù)器將序列號(hào)相關(guān)查詢記錄返回給商品防偽APP���。商品防偽APP可以依據(jù)校驗(yàn)服務(wù)器返回的結(jié)果來判斷商品的真?zhèn)危绻麨槭状尾樵?���,則為真,否則為假�。
【權(quán)利要求】
1.一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法,其步驟為: 1)為每一待驗(yàn)證對(duì)象生成一組密鑰對(duì)�,將該驗(yàn)證對(duì)象的公鑰提交給一權(quán)威服務(wù)器,將其私鑰存儲(chǔ)于設(shè)定的加密卡上��;其中�����,該加密卡中的私鑰不能被復(fù)制����; 2)權(quán)威服務(wù)器在其DNS域中為該驗(yàn)證對(duì)象分配一子域名���,并為該驗(yàn)證對(duì)象增加一存儲(chǔ)其公鑰的DANE資源記錄,權(quán)威服務(wù)器利用自己的公鑰對(duì)該DANE資源記錄進(jìn)行簽名���; 3)用戶利用可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)����,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求�����; 4)權(quán)威服務(wù)器根據(jù)該查詢請(qǐng)求查找對(duì)應(yīng)的DANE資源記錄�,將其返回給該可信驗(yàn)證客戶端���; 5)用戶利用該可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)�,并將其發(fā)送給該驗(yàn)證對(duì)象的加密卡��;所述加密卡利用該驗(yàn)證對(duì)象的私鑰對(duì)該標(biāo)識(shí)進(jìn)行加密���,生成密文返回給該可信驗(yàn)證客戶端���; 6)該可信驗(yàn)證客戶端利用返回DANE資源記錄中的公鑰對(duì)該密文進(jìn)行解密��,對(duì)該驗(yàn)證對(duì)象進(jìn)行驗(yàn)證���; 其中,每一驗(yàn)證對(duì)象具有一唯一標(biāo)識(shí)����,驗(yàn)證對(duì)象的子域名與標(biāo)識(shí)對(duì)應(yīng)。
2.如權(quán)利要求1所述的方法�����,其特征在于所述DANE資源記錄的類型為TLSA�����。
3.如權(quán)利要求1或2所述的方法�����,其特征在于該驗(yàn)證對(duì)象為經(jīng)銷商�、商品或生產(chǎn)商。
4.一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法���,其步驟為: 1)為每一待驗(yàn)證對(duì)象生成一組密鑰對(duì)�,將該驗(yàn)證對(duì)象的公鑰提交給一權(quán)威服務(wù)器,將其私鑰存儲(chǔ)于設(shè)定的加密卡上�����;其中���,該加密卡中的私鑰不能被復(fù)制�; 2)權(quán)威服務(wù)器在其DNS域中為該驗(yàn)證對(duì)象分配一子域名����,并為該驗(yàn)證對(duì)象增加一存儲(chǔ)其公鑰的DANE資源記錄,權(quán)威服務(wù)器利用自己的公鑰對(duì)該DANE資源記錄進(jìn)行簽名�����; 3)用戶利用可信驗(yàn)證客戶端獲取該驗(yàn)證對(duì)象的標(biāo)識(shí)��,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求�; 4)權(quán)威服務(wù)器根據(jù)該查詢請(qǐng)求查找對(duì)應(yīng)的DANE資源記錄����,將其返回給該可信驗(yàn)證客戶端; 5)該可信驗(yàn)證客戶端利用返回DANE資源記錄中的公鑰對(duì)一隨機(jī)數(shù)進(jìn)行加密,生成一密文發(fā)送給該加密卡�����; 6)該加密卡利用該驗(yàn)證對(duì)象的私鑰對(duì)該密文進(jìn)行解密并將解密后的隨機(jī)數(shù)發(fā)送給該可信驗(yàn)證客戶端�,對(duì)該驗(yàn)證對(duì)象進(jìn)行驗(yàn)證; 其中����,每一驗(yàn)證對(duì)象具有一唯一標(biāo)識(shí),驗(yàn)證對(duì)象的子域名與標(biāo)識(shí)對(duì)應(yīng)�����。
5.如權(quán)利要求4所述的方法�����,其特征在于所述DANE資源記錄的類型為TLSA�。
6.如權(quán)利要求4或5所述的方法,其特征在于該驗(yàn)證對(duì)象為經(jīng)銷商���、商品或生產(chǎn)商�。
7.一種基于DNSSEC及DANE協(xié)議的可信驗(yàn)證方法����,其步驟為: 1)商品生產(chǎn)商將其校驗(yàn)服務(wù)器的域名及其所生產(chǎn)每一商品的標(biāo)識(shí)提交給權(quán)威服務(wù)器�����,為每一商品生成一資源記錄�; 2)用戶利用可信驗(yàn)證客戶端獲取商品的標(biāo)識(shí)��,并將其轉(zhuǎn)換為域名后向權(quán)威服務(wù)器的DNS域發(fā)起查詢請(qǐng)求�; 3)權(quán)威服務(wù)器根據(jù) 該查詢請(qǐng)求查找對(duì)應(yīng)的資源記錄,將其返回給該可信驗(yàn)證客戶端����;4)該可信驗(yàn)證客戶端獲取該商品的唯一序列號(hào),并根據(jù)返回資源記錄中的域名將該序列號(hào)發(fā)送給所述校驗(yàn)服務(wù)器��; 5)所述校驗(yàn)服務(wù)器根據(jù)該序列號(hào)查找其數(shù)據(jù)庫��,然后返回查詢結(jié)果給該可信驗(yàn)證客戶端����,對(duì)該商品進(jìn)行驗(yàn)證����。
8.如權(quán)利要求7所述的方法,其特征在于所述資源記錄的域名根據(jù)商品的標(biāo)識(shí)轉(zhuǎn)化而來。
9.如權(quán)利要求7或8所述的方法���,其特征在于所述資源記錄為NAPTR資源記錄或txt資源記錄�����。
10.如權(quán)利要求7所述的方法����,其特征在于所述對(duì)該商品進(jìn)行驗(yàn)證的方法為:如果所述校驗(yàn)服務(wù)器根據(jù)該序列號(hào)從數(shù)據(jù)庫中查找到該商品標(biāo)識(shí)并記錄查詢次數(shù)�,如果查找到且為首次查詢,則返回查詢結(jié)果 為真���;否則查詢結(jié)果為假����。
【文檔編號(hào)】H04L29/06GK103929435SQ201410187515
【公開日】2014年7月16日 申請(qǐng)日期:2014年5月5日 優(yōu)先權(quán)日:2014年5月5日
【發(fā)明者】孔寧, 鄧光青, 沈爍, 劉冰, 黃向陽 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心