| 发明名称 | 一种基于DNSSEC及DANE协议的可信验证方法 | ||
| 摘要 | 本发明公开了一种基于DNSSEC及DANE协议的可信验证方法。本方法为:1)为每一待验证对象生成一组密钥对,公钥提交给一权威服务器,私钥存储于设定的加密卡上且不能被复制;2)权威服务器在其DNS域中为该验证对象分配一子域名,并为该验证对象增加一存储其公钥的DANE资源记录,并用公钥进行签名;3)用户利用可信验证客户端获取该验证对象的标识,转换为域名后向权威服务器的DNS域发起查询请求;4)权威服务器返回对应的DANE资源记录;5)用户获取该验证对象的标识,并将其发送给该加密卡加密;6)该可信验证客户端利用返回资源记录中的公钥对该密文进行解密,对该验证对象进行验证。本发明大大提高了防伪能力。 | ||
| 申请公布号 | CN103929435A | 申请公布日期 | 2014.07.16 |
| 申请号 | CN201410187515.7 | 申请日期 | 2014.05.05 |
| 申请人 | 中国科学院计算机网络信息中心 | 发明人 | 孔宁;邓光青;沈烁;刘冰;黄向阳 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人 | 余长江 |
| 主权项 | 一种基于DNSSEC及DANE协议的可信验证方法,其步骤为:1)为每一待验证对象生成一组密钥对,将该验证对象的公钥提交给一权威服务器,将其私钥存储于设定的加密卡上;其中,该加密卡中的私钥不能被复制;2)权威服务器在其DNS域中为该验证对象分配一子域名,并为该验证对象增加一存储其公钥的DANE资源记录,权威服务器利用自己的公钥对该DANE资源记录进行签名;3)用户利用可信验证客户端获取该验证对象的标识,并将其转换为域名后向权威服务器的DNS域发起查询请求;4)权威服务器根据该查询请求查找对应的DANE资源记录,将其返回给该可信验证客户端;5)用户利用该可信验证客户端获取该验证对象的标识,并将其发送给该验证对象的加密卡;所述加密卡利用该验证对象的私钥对该标识进行加密,生成密文返回给该可信验证客户端;6)该可信验证客户端利用返回DANE资源记录中的公钥对该密文进行解密,对该验证对象进行验证;其中,每一验证对象具有一唯一标识,验证对象的子域名与标识一一对应。 | ||
| 地址 | 100190 北京市海淀区关村南四街4号1号楼 | ||