本发明专利技术公开了一种基于DNSSEC的数据可信服务实现方法,涉及物联网电子追溯技术领域,由查询接口、数据库、提交接口几个基本服务组成,数据可信服务的工作分为:密钥生成及公共密钥注册、主数据/事件数据签名及提交、查询和验签,将可信服务作为一个可信第三方为存储在物联网信息服务上的数据提供完整性验证服务。为了解决中小企业使用CA证书门槛过高的问题,这个数据可信服务将通过DNSSEC进行公共密钥分发,这样所提供的基于数字签名的数据验证功能可有效查验存储在物联网信息服务上的数据是否被篡改。
【技术实现步骤摘要】
一种基于DNSSEC的数据可信服务实现方法
本专利技术涉及物联网电子追溯
,尤其是一种基于DNSSEC的数据可信服务实现方法。
技术介绍
在基于物联网的分布式服务构架中,食品安全追溯的数据(主数据、事件数据、传感数据等)被保存在产生数据企业所管理的物联网信息服务中。供应链上下游企业、监管者、消费者查询与食品相关的信息时,将通过物联网的解析及目录服务获得信息服务的地址,最终从物联网信息服务中获得数据。但是通过物联网信息服务接口,数据的访问者只能获取未获验证的数据,无法确认这些数据是否是原始的、未被篡改的,这在食品安全电子追溯中认定企业主体责任会存在问题。采用分布式构架进行数据的存储管理,不仅会收到外部的攻击,还会受到内部的恶意破坏和非法篡改。物联网信息服务中数据库的数据被修改会有多种情况,其中包括:1.企业自行篡改物联网信息服务上的原始记录数据。2.物联网信息服务受到恶意攻击,造成数据被恶意篡改或删除。3.物联网信息服务本身因为硬件原因导致服务中断、数据丢失等。后两者可以通过增加设备冗余、多做备份、提升系统安全等级等方法进行防范,而对于企业自行篡改物联网信息服务上的数据则很难有效进行防范。一个典型的情况如:当某小型生产企业的某一个成品批次食品的原料被检测出了问题,企业为了减少损失修改了其物联网信息服务数据库中该批次食品的原料批次等信息,以此来避免该批次食品被全部召回,并达到隐瞒及降低损失的目的。由于物联网信息服务数据库上的原始数据被篡改,消费者、下游企业、甚至监管者都无法通过食品溯源获得正确的问题食品信息,这将导致有问题的该批次食品没有被正确召回而继续在市场中流通,从而使得食品安全问题进一步发生扩散。类似的情况在小微型生产、流通企业中会有相当的发生几率。当类似事件发生的时候,就需要有一种机制可以验证物联网信息服务中数据的完整性,其中,数据完整性就是指数据在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
技术实现思路
本专利技术针对现有技术的不足,提出一种基于DNSSEC的数据可信服务实现方法,将可信服务作为一个可信第三方为存储在物联网信息服务上的数据提供完整性验证服务。为了解决中小企业使用CA证书门槛过高的问题,这个数据可信服务将通过DNSSEC(DNSSecurityExtension,DNSSEC)进行公共密钥分发,这样所提供的基于数字签名的数据验证功能可有效查验存储在物联网信息服务上的数据是否被篡改。为了实现上述专利技术目的,本专利技术提供以下技术方案:一种基于DNSSEC的数据可信服务实现方法,如下:密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;对客户端进行查询和验签:客户端通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取对应的所述公共密钥,通过所述公共密钥对企业信息服务中的主数据或事件数据进行验签,从而判断是否符合食品安全数据的完整性。优选的,所述私有密钥和所述公共密钥为RSA密钥,包括一个域名作为所述密钥编号,域名的前几级必须是企业物联网标识。优选的,所述公共密钥保存前,需要先进行BASE64转码,以确保所述公共密钥中的所有特殊字符都转换为普通字符。有益效果本专利技术所提供的一种基于DNSSEC的数据可信服务实现方法,具备如下优点:1.数据可信服务是一个由可信第三方提供的数据完整性验证服务,它由政府机构、监管机构或第三方服务机构运营,以确保其公证性(如与物联网目录服务类似,可以部署在有诚信保障的公共平台);2.数据可信服务仅存储食品安全物联网中主数据和事件数据的数字签名,这样可以减少数据交换量,并最大限度的保护数据所有者的隐私;3.原始数据保存在企业端、签名保存在数据可信服务中、公共密钥通过扩展为DNSSEC的物联网解析服务分发,任何一方发生数据篡改都可以在验证时被发现;4.数据可信服务的访问服务地址通过基于DNSSEC的物联网解析服务提供给查询用户,保证用于访问的服务本身是可靠的,同时数据可信服务在需要的情况下通过解析也可以支持分布式部署,以降低单点压力;5.保存数字签名公共密钥的DNSSEC资源记录采用已有记录,兼容所有主流DNS服务软件和客户端。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。图1为本专利技术所述一种基于DNSSEC的数据可信服务实现方法的原理图;图2为本专利技术所述一种基于DNSSEC的数据可信服务实现方法的解析服务中的KEY记录示例图;图3为本专利技术所述一种基于DNSSEC的数据可信服务实现方法的使用DNSSEC保护后的KEY记录示例图;图4为本专利技术所述一种基于DNSSEC的数据可信服务实现方法的查询和验签工作流程原理图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。文件词语释义如下:IoT(InternetofThings)物联网;iotDS(internetofthingsDirectoryServices)物联网目录服务;iotIS(internetofthingsInformationServices)物联网信息服务;iotNS(internetofthingsNameServices)物联网解析服务;iotTS(internetofthingsTrustServices)物联网可信服务。如图1所示,一种基于DNSSEC的数据可信服务实现方法,包括:密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;对客户端进行查询和验签:客户端通过物联网解析、目录、信息服务获得食品全部生命周期信息,然后通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获本文档来自技高网...
【技术保护点】
1.一种基于DNSSEC的数据可信服务实现方法,其特征在于:/n密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;/n主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;/n对客户端进行查询和验签:客户端通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取对应的所述公共密钥,通过所述公共密钥对企业信息服务中的主数据或事件数据进行验签,从而判断是否符合食品安全数据的完整性。/n
【技术特征摘要】
1.一种基于DNSSEC的数据可信服务实现方法,其特征在于:
密钥生成及公共密钥注册:企业生成用于数字签名的密钥对,所述密钥对包括私有密钥和公共密钥;所述私有密钥用于签名数据,所述公共密钥保存到基于DNSSEC扩展的物联网解析服务中;
主数据、事件数据签名及提交:信息服务商使用所述私有密钥对主数据或事件数据进行数字签名,通过提交接口将数字签名和密钥编号保存到数据可信服务的数据库中;
对客户端进行查询和验签:客户端通过所述数据可信服务的查询接口获取所述数字签名及所述密钥编号,根据所述密钥编号从解析服务获取...
【专利技术属性】
技术研发人员:郑立荣,刘毅,王俊宇,安晋静,王建俊,
申请(专利权)人:复旦大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。