本发明涉及物联网领域,具体涉及一种异构标识体系下的可信解析方法。
背景技术:
当前物联网环境中的各种感知信息组成了海量的物联网资源,这是物联网的典型特征。在同一个物联网应用领域内部或不同应用领域之间,海量物联网资源的互联互通将是物联网发展面临的核心难题,是物联网“物物互联”关键所在。和传统互联网类似,任何物联网感知资源均需要进行统一标识和解析,如互联网中的域名系统,一旦域名系统出现故障或者安全隐患,互联网“物理基础设施层”被割裂,网络间将无法安全有效地互联互通,互联网将会面临瘫痪。因此,海量物联网资源的标识编码、标识解析等技术构成的物联网标识服务将成为物联网领域的核心支撑。
现有标识解析技术更多采用类似dns、handle协议,实现一个标识到另一个标识集合之间的映射,来实现物联网资源的寻址定位。
物联网标识作为识别区分不同对象的重要方式,是物联网中不可缺少的重要组成部分,而标识解析服务也随之成为物联网发展中最核心的基础服务。然而标识解析的安全、解析的权限保护、查询的安全、查询的权限、标识解析应答的不可篡改、映射关系的不可篡改、防止映射关系被劫持等日益成为标识解析安全需要关注的重点。标识解析的安全保护技术,需要从标识解析查询者、解析响应记录等多个角度进行考虑,进而有效保障标识解析过程中的安全防护。由于当前标识编码体系异构,所以导致了在标识解析过程中各个异构标识体系之间的身份可信成为了一个十分严重的安全问题。
基于物联网标识解析发展现状,必须要实现物联网跨域的安全互通,亟需要解决以下问题:如何实现异主异地异构的物联网资源在跨域互通过程中的身份可信,确保在标识解析过程中的数据安全。
技术实现要素:
本发明旨在提供一个更加安全可信的标识解析方法,解决物联网中大量异构标识体系下的跨域互通的可信解析问题,实现解析过程中身份的不可伪造、不可篡改以及数据的安全保护,解决物联网节点身份认证与数据安全问题。
本发明的技术方案如下:
一种异构标识体系下的可信解析方法,包括至少两个异构标识体系的请求信任链的建立和响应信任链的建立;
请求信任链的建立包括以下步骤:
异构标识体系接收客户端发起的标识解析请求,建立异构标识解析请求服务中的请求信任链,请求信任链中的第一个节点根据接收到该标识解析请求生成签名前的数据,针对该签名前的数据使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、当前节点的公钥组成了请求信任链初始区块的内容,并发送给下一节点;
下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签,验签无误后作为该下一个节点的签名前的数据,再使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、自己的公钥组成了该下一个节点的区块的内容,并发送给下下一节点;依次类推,直至标识解析请求的目标节点,该目标节点作为请求信任链上的最终区块,形成一条标识解析过程中的请求信任链,目标节点解析出可寻址的信息服务器地址标识;
响应信任链的建立包括以下步骤:
目标节点建立异构标识解析响应服务中的响应信任链,该目标节点作为响应信任链中的第一个节点,根据解析出的可寻址的信息服务器地址标识生成签名前的数据,针对该签名前的数据使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、当前节点的公钥组成了响应信任链初始区块的内容,并发送给下一节点;
下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签,验签无误后作为该下一个节点的签名前的数据,再使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、自己的公钥组成了该下一个节点的区块的内容,并发送给下下一节点;依次类推,直至接收标识解析请求的第一个节点,该节点作为响应信任链上的最终区块,形成一条标识解析过程中的响应信任链,该最终区块将响应数据发回到发起标识解析请求的客户端。
进一步地,所有的节点分属于至少两个异构标识体系,多个节点可为同一个标识体系的根节点、顶级节点、二级至多级节点。
进一步地,请求信任链中的第一个节点根据接收到该标识解析请求生成一个随机数,并作为签名前的数据。
进一步地,响应信任链中的第一个节点根据解析出的可寻址的信息服务器地址标识生成一个随机数,并作为签名前的数据。
进一步地,针对当前节点的签名前的数据,使用自己的私钥进行签名,得到签名后的数据。具体为针对签名前的数据使用加密算法进行加密得到加密数据,再针对加密数据使用哈希算法得到一定长度的字符集也就是哈希值。
进一步地,下一个节点接收到上一个节点发送过来的签名前的数据、签名后的数据、公钥后,使用上一个节点的公钥针对签名前的数据进行哈希值的生成,最终将这个哈希值与签名后的数据进行比对,如果相等则验签无误。
本方法通过非对称加密构建一种信任链实现异构标识解析过程中请求服务、相应服务的身份可信。通过使用本方法,可以进行物联网异构标识体系下的可信解析,能够在物联网资源异主异地异构的情况下,实现跨域互通,并且在开放的多个异构标识体系中实现身份可信。
通过使用本发明提供的方法,可以进行物联网异构标识体系下的可信解析。通过在异构标识解析过程中建立服务请求的信任链,运用密钥串、区块链等数据存储结构来实现异构标识解析过程中的身份可信,实现在解析请求过程中的各个标识解析节点之间身份可信、不可伪造、不可篡改,保证解析过程中的安全。在响应过程中,确保解析的结果能够经过标识解析节点发送到服务请求方,最后服务请求方根据区块链的特性实现数据的校验以及标识解析结果的查询,根据获取的信息服务器地址发起相应的查询请求得到最终查询的标识的所有信息,确保了整个过程的数据安全。
附图说明
图1是异构标识体系下的可信解析方法流程图。
图2是实施例中异构标识体系的请求信任链和响应信任链的建立过程图。
图3是密钥串示意图。
图4是实施例中请求信任链建立流程图。
图5是实施例中响应信任链建立流程图。
具体实施方式
为使本发明的技术方案能更明显易懂,特举实施例并结合附图详细说明如下。
本实施例公开一种异构标识体系下的可信解析方法,其包括异构标识体系下的请求信任链构成方法和响应信任链构成方法两个部分。
1.异构标识解析系统请求信任链的功能主要是请求信任链的建立,建立过程如图1所示,说明如下:
在异构标识解析请求服务中建立请求信任链,请求信任链(即异构标识解析请求服务)中的第一个节点(标识解析服务)生成一个随机数,再在针对随机数使用私钥进行签名,则签名前的数据、签名后的数据、当前节点的公钥组成了区块的内容,初始信任节点的区块称为“请求信任链初始区块”。
请求信任链中的上一个节点(标识解析服务)将区块内容(即当前区块的签名前的数据、签名后的数据、当前的公钥信息)发送给下一个节点(上一个节点解析出的标识解析服务器的地址对应的标识解析服务),下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签,验签无误后作为当前节点的签名前的数据,并使用自己的私钥进行相关签名认证,得到签名后的数据,从而保证请求信任链中的每一个节点的身份都是真实可信的。
依次类推,各个节点进行数字签名并将相关区块数据发送给下一个节点,下一个节点针对上一个节点的身份进行验证并生成自己区块的内容,最终形成一条标识解析过程中的请求信任链,最终节点(解析出可寻址的信息服务器地址标识)作为请求信任链上的最终区块。
以图2所示的异构标识体系请求b的二级节点为例具体说明请求信任链的建立,建立过程如图4所示。
a、客户端向标识体系a根节点发起标识解析请求,请求的标识为b001,这时标识体系a根节点会生成一个随机数r1即data1,在针对随机数data1使用标识体系a根节点的私钥privatekeya1进行签名得到privatekey(r1)即data1‘,则签名前的数据data1、签名后的数据data1‘、当前节点的公钥publickeya1组成了当前区块的内容,即data2,标识体系a根节点的区块即为初始信任节点的区块,也称为“请求信任链初始区块”。
b、在整个异构标识体系中,标识体系a根节点识别出标识b001的标识编码规则属于标识体系b,将解析请求发送到标识体系b根节点,标识体系b根节点接收到标识体系a根节点的区块内容data2,作为当前节点的签名前的数据,并使用标识体系a根节点的公钥publickeya1进行相关验签,验签无误后才能在针对data2使用标识体系b根节点的私钥privatekeyb1进行签名得到data2‘,则签名前的数据data2、签名后的数据data2‘、当前节点的公钥publickeyb1组成了当前区块的内容即data3。
c、在标识体系b中,标识体系b根节点验签无误后才能处理解析请求,解析出标识b001的顶级节点服务地址,将解析请求发送到标识体系b顶级节点,标识体系b顶级节点接收到标识体系b根节点的区块内容data3,作为当前节点的签名前的数据,并使用标识体系b根节点的公钥publickeyb1进行相关验签,验签无误后才能在针对data3使用标识体系b顶级节点的私钥privatekeyb2进行签名,得到data3‘,则签名前的数据data3、签名后的数据data3‘、当前节点的公钥publickeyb2组成了当前区块的内容,即data4。
d、在标识体系b中,标识体系b顶级节点验签无误后才能处理解析请求,解析出标识b001的二级节点服务地址,将解析请求发送到标识体系b二级节点,标识体系b二级节点接收到标识体系b顶级节点的区块内容data4,作为当前节点的签名前的数据,并使用标识体系b顶级节点的公钥publickeyb2进行相关验签,验签无误后才能在针对data4使用标识体系b二级节点的私钥privatekeyb3进行签名,得到data4‘,则签名前的数据data4、签名后的数据data4‘、当前节点的公钥publickeyb3组成了当前区块的内容,即data5,行成的密钥串如图3所示。标识体系b二级节点验签无误后才能处理解析请求,解析出标识b001的可寻址的信息服务器地址标识url。所以标识体系b二级节点的区块为最终区块,最终形成一条标识解析过程中的请求信任链,最终节点(解析出可寻址的信息服务器地址标识)作为请求信任链上的最终区块。
2.异构标识体系响应信任链的功能主要是响应信任链的建立,响应信任链的建立的原理与请求信任链类似,最终响应数据发回到标识解析服务请求方,服务请求方根据最终的响应信任链区块信息进行信息的验证。响应信任链的建立过程同样如图1所示,说明如下:
异构标识解析系统响应信任链的功能主要是响应信任链的建立,在异构标识解析响应服务中建立响应信任链,响应信任链(即异构标识解析响应服务)中的第一个节点(标识解析服务)生成一个随机数,再在针对随机数使用私钥进行签名,则签名前的数据、签名后的数据、当前节点的公钥组成了区块的内容,初始信任节点的区块称为“响应信任链初始区块”。
响应信任链中的上一个节点(标识解析服务)将当前区块的内容(即签名前的数据、签名后的数据、当前的公钥信息)发送给下一个节点,下一个节点接收到上一个节点的区块内容作为当前节点的签名前的数据,利用上一个节点的公钥进行验签,验签无误后作为当前节点的签名前的数据,并使用自己的私钥进行相关签名认证,从而保证响应信任链中的每一个节点的身份都是真实可信的。
依次类推,各个节点进行数字签名并将相关区块数据发送给下一个节点,下一个节点针对上一个节点的身份进行验证,并生成自己区块的内容,最终形成一条标识解析过程中的响应信任链,最终节点(异构标识解析请求服务中的第一个标识解析服务)作为响应信任链上的最终区块,最终响应数据发回到标识解析服务的请求发起方,服务请求发起方根据最终的响应信任链区块信息进行信息的验证。
仍以图2所示的异构标识体系为例,具体说明响应信任链的建立,建立过程如图5所示。
e、标识体系b二级节点将解析出的可寻址的信息服务器地址url作为信任链的随机数,在针对随机数使用标识体系b二级节点的私钥privatekeyb3进行签名,得到privatekeyb3(url),则签名前的数据url、签名后的数据privatekeyb3(url)、当前节点的公钥publickeyb3组成了“响应信任链初始区块”的内容,按照请求信任链相同的处理方式,生成响应信任链。响应信任链的最终区块的数据发回到标识解析服务请求方,服务请求方根据响应信任链的最终区块信息进行信息的验证,判断标识解析过程中的各个节点的身份可信,从而实现整个标识解析过程中从请求到响应的各个环节的身份可信,进而根据响应信任链的最终区块信息进行区块链上的数据回溯,查询到响应信任链初始区块中的未签名数据url,实现标识解析中信息的查询。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,本发明的保护范围以权利要求所述为准。
1.一种异构标识体系下的可信解析方法,其特征在于,包括至少两个异构标识体系的请求信任链的建立和响应信任链的建立;
请求信任链的建立包括以下步骤:
异构标识体系接收客户端发起的标识解析请求,建立异构标识解析请求服务中的请求信任链,请求信任链中的第一个节点根据接收到该标识解析请求生成签名前的数据,针对该签名前的数据使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、当前节点的公钥组成了请求信任链初始区块的内容,并发送给下一节点;
下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签,验签无误后作为该下一个节点的签名前的数据,再使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、自己的公钥组成了该下一个节点的区块的内容,并发送给下下一节点;依次类推,直至标识解析请求的目标节点,该目标节点作为请求信任链上的最终区块,形成一条标识解析过程中的请求信任链,目标节点解析出可寻址的信息服务器地址标识;
响应信任链的建立包括以下步骤:
目标节点建立异构标识解析响应服务中的响应信任链,该目标节点作为响应信任链中的第一个节点,根据解析出的可寻址的信息服务器地址标识生成签名前的数据,针对该签名前的数据使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、当前节点的公钥组成了响应信任链初始区块的内容,并发送给下一节点;
下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签,验签无误后作为该下一个节点的签名前的数据,再使用自己的私钥进行签名,得到签名后的数据,将该签名前的数据、签名后的数据、自己的公钥组成了该下一个节点的区块的内容,并发送给下下一节点;依次类推,直至接收标识解析请求的第一个节点,该节点作为响应信任链上的最终区块,形成一条标识解析过程中的响应信任链,该最终区块将响应数据发回到发起标识解析请求的客户端。
2.如权利要求1所述的方法,其特征在于,所有的节点分属于至少两个异构标识体系,多个节点可为同一个标识体系的根节点、顶级节点、二级至多级节点。
3.如权利要求1所述的方法,其特征在于,请求信任链中的第一个节点根据接收到该标识解析请求生成一个随机数,并作为签名前的数据。
4.如权利要求1所述的方法,其特征在于,响应信任链中的第一个节点根据解析出的可寻址的信息服务器地址标识生成一个随机数,并作为签名前的数据。
5.如权利要求1所述的方法,其特征在于,对签名前的数据使用私钥进行签名的方法为:针对签名前的数据使用加密算法进行加密,得到加密数据,再针对该加密数据使用哈希算法得到哈希值。
6.如权利要求1所述的方法,其特征在于,下一个节点接收到上一个节点的区块内容,利用上一个节点的公钥进行验签的方法是:利用上一个节点的公钥对区块内容中签名前的数据进行哈希值的生成,再将该哈希值与签名后的数据进行比对,如果相等,则验签无误。
技术总结