发明名称 |
一种基于DNSSEC及DANE协议的可信验证方法 |
摘要 |
本发明公开了一种基于DNSSEC及DANE协议的可信验证方法。本方法为:1)为每一待验证对象生成一组密钥对,公钥提交给一权威服务器,私钥存储于设定的加密卡上且不能被复制;2)权威服务器在其DNS域中为该验证对象分配一子域名,并为该验证对象增加一存储其公钥的DANE资源记录,并用公钥进行签名;3)用户利用可信验证客户端获取该验证对象的标识,转换为域名后向权威服务器的DNS域发起查询请求;4)权威服务器返回对应的DANE资源记录;5)用户获取该验证对象的标识,并将其发送给该加密卡加密;6)该可信验证客户端利用返回资源记录中的公钥对该密文进行解密,对该验证对象进行验证。本发明大大提高了防伪能力。 |
申请公布号 |
CN103929435A |
申请公布日期 |
2014.07.16 |
申请号 |
CN201410187515.7 |
申请日期 |
2014.05.05 |
申请人 |
中国科学院计算机网络信息中心 |
发明人 |
孔宁;邓光青;沈烁;刘冰;黄向阳 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
余长江 |
主权项 |
一种基于DNSSEC及DANE协议的可信验证方法,其步骤为:1)为每一待验证对象生成一组密钥对,将该验证对象的公钥提交给一权威服务器,将其私钥存储于设定的加密卡上;其中,该加密卡中的私钥不能被复制;2)权威服务器在其DNS域中为该验证对象分配一子域名,并为该验证对象增加一存储其公钥的DANE资源记录,权威服务器利用自己的公钥对该DANE资源记录进行签名;3)用户利用可信验证客户端获取该验证对象的标识,并将其转换为域名后向权威服务器的DNS域发起查询请求;4)权威服务器根据该查询请求查找对应的DANE资源记录,将其返回给该可信验证客户端;5)用户利用该可信验证客户端获取该验证对象的标识,并将其发送给该验证对象的加密卡;所述加密卡利用该验证对象的私钥对该标识进行加密,生成密文返回给该可信验证客户端;6)该可信验证客户端利用返回DANE资源记录中的公钥对该密文进行解密,对该验证对象进行验证;其中,每一验证对象具有一唯一标识,验证对象的子域名与标识一一对应。 |
地址 |
100190 北京市海淀区关村南四街4号1号楼 |