专利名称:基于pki和数字签名的可信二维码方案的制作方法
技术领域:
本发明涉及密码学、产品防伪和食品药品安全领域,具体的说,本发明给出了一种基于PKI (Public Key Infrastructure :公钥基础设施)和数字签名的可信二维码方案。
背景技术:
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书(Certificate)、CA (Certificate Authority :证书发放机构)和关于公开密钥的安全策略等基本成分共同组成的。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。 PKI主要包括四个部分X. 509格式的证书和证书废止列表CRL ;CA操作协议;CA管理协议;CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下三个部分(I)认证中心CA CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。(2)X. 500目录服务器Χ· 500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。(3)安全应用系统安全应用系统即使用密钥和证书以确保信息安全的应用系统,各行业的具体应用系统各不相同,例如银行、证券的应用系统等。数字签名(又称公钥数字签名、电子签章)是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。二维码,又称二维条码,它是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的,在代码编制上巧妙地利用构成计算机内部逻辑基础的比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。常用的二维码码制有Data Matrix,Maxi Code,Aztec,QR Code, Vericode,PDF417,Ultracode,Code 49, Code 16K 等
发明内容
本发明提出了一种基于PKI和数字签名的可信二维码方案,通过将明文信息或者经私钥加密后的密文和明文信息的数字签名嵌入到二维码中,用户识别出二维码后,通过对密文进行解密(如果是明文则不需要解密),并进行签名验证,从而可以简便快捷地确定该二维码是否被篡改过,如果二维码被没篡改过,则可信,否则不可信。如附图所示,该方案至少由CA、明文信息数字签名生成、明文信息加密、二维码图形生成、二维码图形识读、明文信息解密和明文信息数字签名验证七个模块构成。(I)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成签名私钥、加密私钥和与之对应的数字证书,私钥存放在USB KEY物理设备中提供给生产商,同时将数字证书的相关信息存储到X. 500目录服务器,供用户(对二维码进行验证的个人或者机构)或者其它第三方查询;(2)生产商向二维码信息数字签名生成模块输入明文信息,并选择适当的数字签名算法,签名模块采用存储在USB KEY中的签名私钥对明文信息进行签名,形成明文信息的数字签名,并输出给二维码图形生成模块; (3)如果需要对明文信息进行加密,则生产商向加密模块输入明文信息,选择适当的非对称加密算法,加密模块采用加密私钥对明文信息进行加密,生成密文信息;(4) 二维码图形生成模块根据生产商信息、加密算法标识和签名算法标识或者其中的任一组合、明文信息或者密文、明文信息的数字签名,以及用户所选择的二维码生成参数,生成二维码图形,生产商以印刷或者电子的方式将二维码图形提供给用户,供其验证;(5)生产商信息、加密算法标识和签名算法标识三者或者其中的任何组合,也可以以明文文本的方式出现在二维码附近,二维码验证用户通过OCR方式提取这些信息;(6)用户拿到二维码后,通过二维码图形识读模块对二维码进行正确识读,如果二维码附近的明文信息中包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合,也需要对其进行OCR识别,提取其中的信息,并将其输出到二维码信息验证模块;(7) 二维码信息签名验证模块从识读信息中提取生产商信息、明文信息明文(如果存储的是密文,还需要对其进行解密)、明文信息的数字签名和签名算法标识,并根据生产商信息从本地、X. 500目录服务器或者其它证书存储机构获取生产商的数字证书,然后对明文信息数字签名进行验证,如果验证通过,则该二维码未被篡改,是可信的,否则其已经被篡改过,不可信。
附图为本发明的逻辑结构图。
具体实施例方式通过本发明的技术方案,用户可以轻易地确认二维码中所存储的信息是否被第三方篡改。方案的具体实施方案如下所述(I)生产商CA系统提出申请,CA系统为其提供签名私钥和与之对应的数字证书,签名私钥存放在USB KEY物理设备中提供给生产商。(2)生产商向二维码信息数字签名生成模块输入明文信息明文,并选择适当的非对称加密算法,加密模块采用存储在USB KEY中的签名私钥对明文信息进行签名,形成明文信息的数字签名。(3) 二维码图形生成模块根据生产商信息、明文信息明文(也可以选择私钥加密的密文)、明文信息的数字签名、签名算法标识,以及用户所选择的二维码生成参数,生成二维码图形,生产商以印刷或者电子的方式将二维码图形提供给用户,供其验证。(4)用户拿到二维码后,通过二维码图形识读模块对二维码进行正确识读,提取其中的信息。 (5) 二维码信息签名验证模块从识读信息中提取生产商信息、明文信息明文(如果存储的是密文,还需要对其进行解密)、明文信息的数字签名和签名算法标识,并根据生产商信息从本地、X. 500目录服务器或者其它证书存储机构获取生产商的数字证书,然后对明文信息数字签名进行验证,如果验证通过,则该二维码未被篡改,是可信的,否则其已经被篡改过,不可信。
权利要求
1.一种基于PKI和数字签名的可信二维码方案,至少由CA、明文信息数字签名生成、明文信息加密、二维码图形生成、二维码图形识读、明文信息解密和明文信息数字签名验证七个模块构成,其特征至少由以下几个步骤构成 (1)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成签名私钥、加密私钥和与之对应的数字证书,私钥存放在USB KEY物理设备中提供给生产商,同时将数字证书的相关信息存储到X. 500目录服务器,供用户(对二维码进行验证的个人或者机构)或者其它第三方查询; (2)生产商向二维码信息数字签名生成模块输入明文信息,并选择适当的数字签名算法,签名模块采用存储在USB KEY中的签名私钥对明文信息进行签名,形成明文信息的数字签名,并输出给二维码图形生成模块; (3)如果需要对明文信息进行加密,则生产商向加密模块输入明文信息,选择适当的非对称加密算法,加密模块采用加密私钥对明文信息进行加密,生成密文信息; (4)二维码图形生成模块根据生产商信息、加密算法标识和签名算法标识或者其中的任一组合、明文信息或者密文、明文信息的数字签名,以及用户所选择的二维码生成参数,生成二维码图形,生产商以印刷或者电子的方式将二维码图形提供给用户,供其验证; (5)生产商信息、加密算法标识和签名算法标识三者或者其中的任何组合,也可以以明文文本的方式出现在二维码附近,二维码验证用户通过OCR方式提取这些信息; (6)用户拿到二维码后,通过二维码图形识读模块对二维码进行正确识读,如果二维码附近的明文信息中包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合,也需要对其进行OCR识别,提取其中的信息,并将其输出到二维码信息验证模块; (7)二维码信息签名验证模块从识读信息中提取生产商信息、明文信息明文(如果存储的是密文,还需要对其进行解密)、明文信息的数字签名和签名算法标识,并根据生产商信息从本地、X. 500目录服务器或者其它证书存储机构获取生产商的数字证书,然后对明文信息数字签名进行验证,如果验证通过,则该二维码未被篡改,是可信的,否则其已经被篡改过,不可信。
2.根据权利要求I所述的方法,信息以明文或者密文的形式存储在二维码中。
3.根据权利要求I所述的方法,二维码中可以包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合。
4.根据权利要求I所述的方法,二维码周围的明文文本中,可以包含有生产商信息、力口密算法标识和签名算法标识三者或者其中的任一组合,二维码验证用户通过OCR方式获取这些信息。
5.根据权利要求I所述的方法,用户对提取明文信息,并对二维码中的数字签名进行验证,从而确定二维码是否被篡改过,如果二维码未被篡改,是可信的,否则不可信。
全文摘要
本发明提出了一种基于PKI和数字签名的可信二维码方案,通过将明文信息或者经私钥加密后的密文和明文信息的数字签名嵌入到二维码中,用户识别出二维码后,通过对密文进行解密(如果是明文则不需要解密),并进行签名验证,从而可以简便快捷地确定该二维码是否被篡改过,如果二维码被没篡改过,则可信,否则不可信。如附图所示,该方案至少由CA、明文信息数字签名生成、明文信息加密、二维码图形生成、二维码图形识读、明文信息解密和明文信息数字签名验证七个模块构成。
文档编号G06K19/06GK102779263SQ20121021428
公开日2012年11月14日 申请日期2012年6月19日 优先权日2012年6月19日
发明者刘强, 袁开国, 袁静国 申请人:袁开国