本申請(qǐng)實(shí)施例提供了一種基于無(wú)證書(shū)公鑰的句柄訪(fǎng)問(wèn)保護(hù)方法，全局句柄注冊(cè)機(jī)構(gòu)依據(jù)句柄標(biāo)識(shí)前綴查找到句柄對(duì)應(yīng)的本地句柄服務(wù)機(jī)構(gòu)的服務(wù)信息，并利用服務(wù)信息根據(jù)預(yù)設(shè)句柄服務(wù)協(xié)議生成響應(yīng)數(shù)據(jù)，采用預(yù)設(shè)全局句柄注冊(cè)機(jī)構(gòu)的無(wú)證書(shū)私鑰對(duì)響應(yīng)數(shù)據(jù)簽名，并返回至句柄客戶(hù)端；所本地句柄服務(wù)機(jī)構(gòu)接收句柄客戶(hù)端對(duì)簽名后的響應(yīng)數(shù)據(jù)進(jìn)行驗(yàn)簽后，發(fā)出句柄查詢(xún)請(qǐng)求信息，本地句柄服務(wù)機(jī)構(gòu)利用句柄查詢(xún)請(qǐng)求信息根據(jù)句柄服務(wù)協(xié)議生成查詢(xún)響應(yīng)，并使用預(yù)設(shè)本地句柄服務(wù)機(jī)構(gòu)的無(wú)證書(shū)私鑰對(duì)查詢(xún)響應(yīng)的響應(yīng)數(shù)據(jù)簽名；句柄客戶(hù)端利用本地句柄服務(wù)機(jī)構(gòu)的無(wú)證書(shū)公鑰信息和本地句柄服務(wù)機(jī)構(gòu)標(biāo)識(shí)驗(yàn)證簽名，驗(yàn)證成功則接受響應(yīng)數(shù)據(jù)，否則拒絕響應(yīng)數(shù)據(jù)。

技術(shù)領(lǐng)域

本申請(qǐng)涉及工業(yè)互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別是涉及一種基于無(wú)證書(shū)公鑰的句柄訪(fǎng)問(wèn)保護(hù)方法和系統(tǒng)。

背景技術(shù)

隨著物聯(lián)網(wǎng)、5G網(wǎng)絡(luò)和工業(yè)技術(shù)的快速發(fā)展，智慧城市、虛擬現(xiàn)實(shí)、工業(yè)智能化生產(chǎn)等新型應(yīng)用不斷涌現(xiàn)，可穿戴設(shè)備、工業(yè)機(jī)器、傳感器等數(shù)量呈爆炸式增長(zhǎng)，未來(lái)網(wǎng)絡(luò)正由消費(fèi)型向生產(chǎn)型轉(zhuǎn)變。根據(jù)2018年思科VNI報(bào)告，到2022年，機(jī)器設(shè)備連接數(shù)量將達(dá)到146億，份額將達(dá)到51％，超過(guò)全球連接設(shè)備的一半。工業(yè)生產(chǎn)的特殊性要求工業(yè)網(wǎng)絡(luò)能通過(guò)智能化手段對(duì)環(huán)境信息進(jìn)行感知、支持大量異構(gòu)設(shè)備接入、支持海量多源、多模態(tài)數(shù)據(jù)高速率傳輸、具備更強(qiáng)的安全性，從而為企業(yè)生產(chǎn)提供更好的服務(wù)，這給傳統(tǒng)互聯(lián)網(wǎng)在架構(gòu)、安全、性能上帶來(lái)了巨大的挑戰(zhàn)。

工業(yè)互聯(lián)網(wǎng)連接產(chǎn)業(yè)上下游，打破了以往相對(duì)明晰的責(zé)任邊界，產(chǎn)生更大范圍、更復(fù)雜的影響，給安全防護(hù)帶來(lái)了巨大挑戰(zhàn)。此外，工業(yè)互聯(lián)網(wǎng)服務(wù)與企業(yè)生產(chǎn)、人員安全密切相關(guān)，從而對(duì)安全有更高要求。然而，現(xiàn)有DNS協(xié)議在設(shè)計(jì)之初并未考慮太多安全因素，協(xié)議本身存在的脆弱性使DNS面臨各種威脅，如緩存投毒、中間人攻擊等。工業(yè)互聯(lián)網(wǎng)通信主體多樣，許多傳統(tǒng)DNS防護(hù)機(jī)制均采用基于IP地址的訪(fǎng)問(wèn)控制，無(wú)法滿(mǎn)足工業(yè)對(duì)隱私保護(hù)與安全的需求。

句柄(Handle)是全球范圍分布式通用標(biāo)識(shí)服務(wù)系統(tǒng)，由互聯(lián)網(wǎng)之父Robert Kahn于1994年提出，旨在提供高效、可擴(kuò)展、安全的全局標(biāo)識(shí)解析服務(wù)。Handle系統(tǒng)于2005年加入下一代網(wǎng)絡(luò)研究，并成為GENI項(xiàng)目中數(shù)字對(duì)象注冊(cè)表的一個(gè)組成部分，Handle可用于標(biāo)識(shí)數(shù)字對(duì)象、服務(wù)和其他的網(wǎng)絡(luò)資源。Handle體系包括一組開(kāi)放協(xié)議、命名空間和協(xié)議的參考實(shí)現(xiàn)，定義了編碼規(guī)則、后臺(tái)解析系統(tǒng)和全球分布式管理架構(gòu)。現(xiàn)有的句柄系統(tǒng)采用數(shù)字簽名機(jī)制保護(hù)句柄解析數(shù)據(jù)，支持普通公鑰或者證書(shū)方式發(fā)布簽名方的公鑰。采用普通公鑰方式，當(dāng)Handle系統(tǒng)出現(xiàn)安全性問(wèn)題時(shí)，簽名人的公鑰可能被替換，可導(dǎo)致句柄解析客戶(hù)端接受被偽造的數(shù)據(jù)。采用證書(shū)方式時(shí)，證書(shū)數(shù)據(jù)較大，全局句柄注冊(cè)機(jī)構(gòu)在響應(yīng)句柄解析時(shí)，需要傳遞較大數(shù)據(jù)，容易受到流量放大攻擊。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本申請(qǐng)實(shí)施例以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種基于無(wú)證書(shū)公鑰的句柄訪(fǎng)問(wèn)保護(hù)方法和相應(yīng)的一種基于無(wú)證書(shū)公鑰的句柄訪(fǎng)問(wèn)保護(hù)系統(tǒng)。

為了解決上述問(wèn)題，本申請(qǐng)實(shí)施例公開(kāi)了一種基于無(wú)證書(shū)公鑰的句柄訪(fǎng)問(wèn)保護(hù)方法，所述方法涉及全局句柄注冊(cè)機(jī)構(gòu)、本地句柄服務(wù)機(jī)構(gòu)和句柄客戶(hù)端；

所述方法包括：

所述全局句柄注冊(cè)機(jī)構(gòu)接收所述句柄客戶(hù)端發(fā)送的句柄查詢(xún)請(qǐng)求信息，所述句柄查詢(xún)請(qǐng)求信息包括句柄標(biāo)識(shí)前綴；

所述全局句柄注冊(cè)機(jī)構(gòu)依據(jù)所述句柄標(biāo)識(shí)前綴查找到句柄對(duì)應(yīng)的本地句柄服務(wù)機(jī)構(gòu)的服務(wù)信息，并利用所述服務(wù)信息根據(jù)預(yù)設(shè)句柄服務(wù)協(xié)議生成響應(yīng)數(shù)據(jù)，采用預(yù)設(shè)全局句柄注冊(cè)機(jī)構(gòu)的無(wú)證書(shū)私鑰對(duì)所述響應(yīng)數(shù)據(jù)簽名，并返回至所述句柄客戶(hù)端，所述服務(wù)信息包括本地句柄服務(wù)機(jī)構(gòu)的無(wú)證書(shū)公鑰信息；