专利名称:基于pki和二维码的产品溯源方案的制作方法
技术领域:
本发明涉及密码学、产品防伪和食品药品安全领域,具体的说,本发明给出了一种基于PKI (Public Key Infrastructure :公钥基础设施)和二维码的产品溯源方案。
背景技术:
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书(Certificate)、CA (Certificate Authority :证书发放机构)和关于公开密钥的安全策略等基本成分共同组成的。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分X. 509格式的证书和证书废止列表CRL ;CA操作协议;CA管理协议; CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下三个部分(I)认证中心CA CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。(2)X. 500目录服务器X. 500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。(3)安全应用系统安全应用系统即使用密钥和证书以确保信息安全的应用系统,各行业的具体应用系统各不相同,例如银行、证券的应用系统等。HASH,即散列,也称哈希,即把任意长度的输入(又叫做预映射,pre-image),通过HASH算法,变换成固定长度的输出,该输出就是HASH值。这种转换是一种压缩映射,即散列HASH值的空间通常远小于输入的空间,不同的输入可能会生成相同的输出,但不可能从散列值来唯一的确定输入值。数字签名(又称公钥数字签名、电子签章)是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。二维码,又称二维条码,它是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的,在代码编制上巧妙地利用构成计算机内部逻辑基础的比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。常用的二维码码制有Data Matrix, Maxi Code, Aztec, QR Code, Vericode, PDF417, Ultracode,Code 49, Code 16K 等。
发明内容
本发明提出了一种基于PKI和二维码的产品溯源方案,生产厂商在产品各层包装外侧都印刷有可信二维码,在产品流通的各个环节,都对产品进行二维码进行认证,所有流通环节的数据均上传到产品溯源中心,生产商、流通商和用户只需要扫描产品上的二维码,就可以看到产品整个流通过程的树状态图,为产品溯源提供简单快捷的管理方式。如附图所示,该方案至少由产品溯源中心、CA、二维码生成和二维码验证四个模块构成。(I)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成加密私钥、签名私钥和与之对应的数字证书,私钥存放在USB KEY物理设备中提供给生产商,同时将数字证书的相关信息存储到X. 500目录服务器,供用户(对二维码进行验证的个人或者机构)或者其它第三方查询;(2)生产商向二维码生成模块输入生产商及其产品相关信息(简称产品信息)明·文,生成模块将生成以下二组数据私钥加密的产品信息密文与产品信息HASH值,或者产品信息明文(也可以是私钥加密的密文)与产品信息数字签名,然后将这二种数据当中的一种与其它相关信息一起嵌入到二维码中形成可信二维码,生产商可以同时生成多个互相关联的具有分级意义的可信二维码;(3)生产商将多个可信二维码按照其分级含义,分别印刷在与其含义相匹配的不同层次的包装外侧,在二维码生成或者印刷完成后,二维码生成模块将二维码的相关信息提交到产品溯源中心,溯源中心将保存该信息,供产品溯源之用;(4)参与到产品流通领域各个环节的负责人,都具有二维码验证模块,该模块可以是通用软件,也可以是专用设备,二维码验证模块同时还具有GPS和AGPS定位功能,以确定模块当前的地理位置;(5)流通领域各个环节的负责人从上一环节拿到产品后,通过二维码验证模块对可见二维码进行识读,提取其中的产品信息密文与产品信息HASH值,或者产品信息明文(如果第(2)步中选择加密则为密文)与产品信息数字签名,然后进行哈希对比或者数字签名验签,并将二维码信息、二维码验证模块唯一标识、二维码验证模块位置、及二维码验证模块的其它相关信息上传到产品溯源中心。(6)由于产品各层包装上的二维码是相互关联的,且具有分级功能,流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以通过二维码验证模块提取当前包装上的二维码信息,提交到产品溯源中心,就可以获得产品从生产商到目前为止所经历的每个流通环节;(7)与此同时,二维码验证模块还可以以树状图的形式,将某类产品从出厂,到分发,以及最终流通到用户手上的整个过程,让生产商、流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以清楚地了解产品的流通状况。
附图为本发明的逻辑结构图。
具体实施例方式通过本发明的技术方案,用户可以轻易地确认自己所购买的产品是否是由包装标明的厂商所生产的。方案以手机作为二维码验证模块的承载平台为例进行实施,具体实施方案如下所述(I)生产商CA系统提出申请,CA系统为其提供私钥和与之对应的数字证书,私钥存放在USB KEY物理设备中提供给生产商。(2)生产商向二维码生成模块输入生产商及其产品相关信息(简称产品信息)明文,生成模块将生成以下二组数据私钥加密的产品信息密文与产品信息HASH值,或者产品信息明文(也可以是私钥加密的密文)与产品信息数字签名,然后将这二种数据当中的一种与其它相关信息一起嵌入到二维码中形成可信二维码,生产商可以同时生成多个互相关联的具有分级意义的可信二维码;(3)生产商将多个可信二维码按照其分级含义,分别印刷在与其含义相匹配的不 同层次的包装外侧。与此同时,二维码生成模块将二维码的相关信息提交到产品溯源中心,溯源中心将保存该信息,供产品溯源之用;(4)参与到产品流通领域各个环节的负责人的手机上都安装有二维码验证模块,同时,二维码验证模块结合手机上的GPS和AGPS定位功能确定手机当前的地理位置;(5)流通领域各个环节的负责人从上一环节拿到产品后,通过二维码验证模块对可见二维码进行识读,提取其中的产品信息密文与产品信息HASH值,或者产品信息明文(如果第(2)步中选择加密则为密文)与产品信息数字签名,然后进行哈希对比或者数字签名验签,并将二维码信息、二维码验证模块唯一标识、二维码验证模块位置、及二维码验证模块的其它相关信息上传到产品溯源中心。(6)由于产品各层包装上的二维码是相互关联的,且具有分级功能,流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以通过二维码验证模块提取当前包装上的二维码信息,提交到产品溯源中心,就可以获得产品从生产商到目前为止所经历的每个流通环节;(7)与此同时,二维码验证模块还可以以树状图的形式,将某类产品从出厂,到分发,以及最终流通到用户手上的整个过程,让生产商、流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以清楚地了解产品的流通状况。
权利要求
1.一种基PKI和二维码的产品溯源方案,至少由产品溯源中心、CA、二维码生成和二维码验证四个模块构成,其特征至少由以下几个步骤构成 (1)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成加密私钥、签名私钥和与之对应的数字证书,私钥存放在USB KEY物理设备中提供给生产商,同时将数字证书的相关信息存储到X. 500目录服务器,供用户(对二维码进行验证的个人或者机构)或者其它第三方查询; (2)生产商向二维码生成模块输入生产商及其产品相关信息(简称产品信息)明文,生成模块将生成以下二组数据私钥加密的产品信息密文与产品信息HASH值,或者产品信息明文(也可以是私钥加密的密文)与产品信息数字签名,然后将这二种数据当中的一种与其它相关信息一起嵌入到二维码中形成可信二维码,生产商可以同时生成多个互相关联的具有分级意义的可信二维码; (3)生产商将多个可信二维码按照其分级含义,分别印刷在与其含义相匹配的不同层次的包装外侧,在二维码生成或者印刷完成后,二维码生成模块将二维码的相关信息提交到产品溯源中心,溯源中心将保存该信息,供产品溯源之用; (4)参与到产品流通领域各个环节的负责人,都具有二维码验证模块,该模块可以是通用软件,也可以是专用设备,二维码验证模块同时还具有GPS和AGPS定位功能,以确定模块当前的地理位置; (5)流通领域各个环节的负责人从上一环节拿到产品后,通过二维码验证模块对可见二维码进行识读,提取其中的产品信息密文与产品信息HASH值,或者产品信息明文(如果第(2)步中选择加密则为密文)与产品信息数字签名,然后进行哈希对比或者数字签名验签,并将二维码信息、二维码验证模块唯一标识、二维码验证模块位置、及二维码验证模块的其它相关信息上传到产品溯源中心。
(6)由于产品各层包装上的二维码是相互关联的,且具有分级功能,流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以通过二维码验证模块提取当前包装上的二维码信息,提交到产品溯源中心,就可以获得产品从生产商到目前为止所经历的每个流通环节; (7)与此同时,二维码验证模块还可以以树状图的形式,将某类产品从出厂,到分发,以及最终流通到用户手上的整个过程,让生产商、流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以清楚地了解产品的流通状况。
2.根据权利要求I所述的方法,方案需要生成多个相互关联且具有分级含义的可信二维码;
3.根据权利要求I所述的方法,可信二维码中含有私钥加密的产品信息密文与产品信息HASH值,或者产品信息明文(也可以是私钥加密的密文)与产品信息数字签名,以及厂商和产品的其它相关信息;
4.根据权利要求I所述的方法,分级二维码生成或者印刷完成后,二维码信息将被上传到产品溯源中心,并由产品溯源中心保存;
5.根据权利要求I所述的方法,产品的各层包外侧,均印刷有与本层包装含义相匹配的可信二维码;
6.根据权利要求I所述的方法,参与到产品流通领域的各个环节,都需要通过二维码验证模块将其所负责的产品的包装外侧的二维码信息上传产品溯源中心;
7.根据权利要求I所述的方法,参与到产品流通领域的各个环节所持有的二维码验证模块具有GPS和AGPS功能;
8.根据权利要求I所述的方法,生产商、流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以通过二维码验证模块获得产品从生产商到目前为止所经历的每个流通环节;
9.根据权利要求I所述的方法,二维码验证模块还可以以树状图的形式,将某类产品从出厂,到分发,以及最终流通到用户手上的整个过程,让生产商、流通领域的各个环节、最终用户或者其它关心产品流通的人,都可以清楚地了解产品的流通状况。
全文摘要
本发明提出了一种基于PKI和二维码的产品溯源方案,生产厂商在产品各层包装外侧都印刷有可信二维码,在产品流通的各个环节,都对产品进行二维码进行认证,所有流通环节的数据均上传到产品溯源中心,生产商、流通商和用户只需要扫描产品上的二维码,就可以看到产品整个流通过程的树状态图,为产品溯源提供简单快捷的管理方式。如附图所示,该方案至少由产品溯源中心、CA、二维码生成和二维码验证四个模块构成。
文档编号G06K19/06GK102799989SQ20121021426
公开日2012年11月28日 申请日期2012年6月19日 优先权日2012年6月19日
发明者袁开国, 袁静国, 刘强 申请人:袁开国