一种基于无证书公钥的句柄访问保护方法和系统技术方案

本申请实施例提供了一种基于无证书公钥的句柄访问保护方法，全局句柄注册机构依据句柄标识前缀查找到句柄对应的本地句柄服务机构的服务信息，并利用服务信息根据预设句柄服务协议生成响应数据，采用预设全局句柄注册机构的无证书私钥对响应数据签名，并返回至句柄客户端；所本地句柄服务机构接收句柄客户端对签名后的响应数据进行验签后，发出句柄查询请求信息，本地句柄服务机构利用句柄查询请求信息根据句柄服务协议生成查询响应，并使用预设本地句柄服务机构的无证书私钥对查询响应的响应数据签名；句柄客户端利用本地句柄服务机构的无证书公钥信息和本地句柄服务机构标识验证签名，验证成功则接受响应数据，否则拒绝响应数据。

【技术实现步骤摘要】
一种基于无证书公钥的句柄访问保护方法和系统
本申请涉及工业互联网
，特别是涉及一种基于无证书公钥的句柄访问保护方法和系统。
技术介绍
随着物联网、5G网络和工业技术的快速发展，智慧城市、虚拟现实、工业智能化生产等新型应用不断涌现，可穿戴设备、工业机器、传感器等数量呈爆炸式增长，未来网络正由消费型向生产型转变。根据2018年思科VNI报告，到2022年，机器设备连接数量将达到146亿，份额将达到51％，超过全球连接设备的一半。工业生产的特殊性要求工业网络能通过智能化手段对环境信息进行感知、支持大量异构设备接入、支持海量多源、多模态数据高速率传输、具备更强的安全性，从而为企业生产提供更好的服务，这给传统互联网在架构、安全、性能上带来了巨大的挑战。工业互联网连接产业上下游，打破了以往相对明晰的责任边界，产生更大范围、更复杂的影响，给安全防护带来了巨大挑战。此外，工业互联网服务与企业生产、人员安全密切相关，从而对安全有更高要求。然而，现有DNS协议在设计之初并未考虑太多安全因素，协议本身存在的脆弱性使DNS面临各种威胁，如缓存投毒、中间人本文档来自技高网...

【技术保护点】
1.一种基于无证书公钥的句柄访问保护方法，其特征在于，所述方法涉及全局句柄注册机构、本地句柄服务机构和句柄客户端；/n所述方法包括：/n所述全局句柄注册机构接收所述句柄客户端发送的句柄查询请求信息，所述句柄查询请求信息包括句柄标识前缀；/n所述全局句柄注册机构依据所述句柄标识前缀查找到句柄对应的本地句柄服务机构的服务信息，并利用所述服务信息根据预设句柄服务协议生成响应数据，采用预设全局句柄注册机构的无证书私钥对所述响应数据签名，并返回至所述句柄客户端，所述服务信息包括本地句柄服务机构的无证书公钥信息；/n所述本地句柄服务机构接收所述句柄客户端对所述签名后的响应数据进行验签后，发出句柄查询请求信...

【技术特征摘要】
1.一种基于无证书公钥的句柄访问保护方法，其特征在于，所述方法涉及全局句柄注册机构、本地句柄服务机构和句柄客户端；
所述方法包括：
所述全局句柄注册机构接收所述句柄客户端发送的句柄查询请求信息，所述句柄查询请求信息包括句柄标识前缀；
所述全局句柄注册机构依据所述句柄标识前缀查找到句柄对应的本地句柄服务机构的服务信息，并利用所述服务信息根据预设句柄服务协议生成响应数据，采用预设全局句柄注册机构的无证书私钥对所述响应数据签名，并返回至所述句柄客户端，所述服务信息包括本地句柄服务机构的无证书公钥信息；
所述本地句柄服务机构接收所述句柄客户端对所述签名后的响应数据进行验签后，发出句柄查询请求信息，具体地，所述句柄客户端使用预设全局句柄注册机构的无证书公钥信息与预设全局句柄注册机构标识验证所述全局句柄注册机构对响应数据的签名，验证成功后，根据所述响应数据中的本地句柄服务机构的服务信息获得本地句柄服务机构的地址信息、本地句柄服务机构的无证书公钥信息和本地句柄服务机构标识；
所述本地句柄服务机构利用所述句柄查询请求信息根据句柄服务协议生成查询响应，并使用预设本地句柄服务机构的无证书私钥对所述查询响应的响应数据签名，并返回至所述句柄客户端；所述句柄客户端利用所述本地句柄服务机构的无证书公钥信息和本地句柄服务机构标识验证所述本地句柄服务机构对所述响应数据的签名，验证成功则接受所述响应数据，否则拒绝所述响应数据。


2.根据权利要求1所述的方法，其特征在于，所述依据所述句柄标识前缀查找到句柄对应的本地句柄服务机构的服务信息的步骤之前，包括：
所述全局句柄注册机构生成第一私钥和第一公钥；
所述全局句柄注册机构利用所述第一公钥和预设全局句柄注册机构标识在预置密钥生成中心生成第二私钥和第二公钥，利用所述第二私钥和第一私钥生成全局句柄注册机构的无证书私钥，利用所述第二公钥和第一公钥生成公钥还原数据，并利用所述预设全局句柄注册机构标识、所述公钥还原数据和预设系统参数生成全局句柄注册机构的无证书公钥；具体地，所述预置密钥生成中心为无证书的公钥密码系统中的第三方密钥生成中心。


3.根据权利要求1所述的方法，其特征在于，所述依据所述句柄标识前缀查找到句柄对应的本地句柄服务机构的服务信息的步骤之前，包括：
所述本地句柄服务机构生成第三私钥和第三公钥；
所述本地句柄服务机构利用所述第三公钥和预设本地句柄服务机构标识在预置密钥生成中心生成第四私钥和第四公钥，利用所述第四私钥和第三私钥生成本地句柄服务机构的无证书私钥，利用所述第四公钥和第三公钥生成公钥还原数据，并利用所述预设本地句柄服务机构标识、所述公钥还原数据和预设系统参数生成本地句柄服务机构的无证书公钥；具体地，所述预置密钥生成中心为无证书的公钥密码系统中的第三方密钥生成中心。


4.根据权利要求1所述的方法，其特征在于，所述句柄客户端利用所述本地句柄服务机构的无证书公钥信息和本地句柄服务机构标识验证所述本地句柄服务机构对所述响应数据的签名的步骤之前，包括：
根据所述服务信息查询到所述本地句柄服务机构的站点信息，并将所述站点信息的记录中的标识值作为所述本地句柄服务机构标识；
若所述站点信息的记录中没有所述本地句柄服务机构标识，则将所述本地句柄服务机构的句柄前缀作为所述本地句柄服务机构标识。


5.根据权利要求1所述的方法，其特征在于，所述全局句柄注册机构接收所述句柄客户端发送的句柄查询请求信息的步骤，包括：
所述句柄客户端向所述全局句柄注册机构发出的句柄查询请求信息携带本地句柄服务机构拥有的HS_SITE信息的版本号，所述全局句柄注册机构在返回响应时应使用句柄客户端发送HS_SITE信息的版本对应的无证书私钥对所述响应数据进行签名。


6.根据权利要求1所述的方法，其特征在于，所述句柄客户端使用预设全局句柄注册机构的无证书公钥...

【专利技术属性】
技术研发人员：程朝辉，盛莉，谭泽顺，
申请(专利权)人：深圳奥联信息安全技术有限公司，
类型：发明
国别省市：广东;44