專利名稱:基于pki和二維碼的產(chǎn)品溯源方案的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及密碼學(xué)、產(chǎn)品防偽和食品藥品安全領(lǐng)域,具體的說(shuō)����,本發(fā)明給出了一種基于PKI (Public Key Infrastructure :公鑰基礎(chǔ)設(shè)施)和二維碼的產(chǎn)品溯源方案。
背景技術(shù):
PKI是一種新的安全技術(shù)����,它由公開(kāi)密鑰密碼技術(shù)����、數(shù)字證書(Certificate)�����、CA (Certificate Authority :證書發(fā)放機(jī)構(gòu))和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的����。PKI公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)���,目的是為了管理密鑰和證書�����。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境��。PKI主要包括四個(gè)部分X. 509格式的證書和證書廢止列表CRL ;CA操作協(xié)議�����;CA管理協(xié)議; CA政策制定����。一個(gè)典型�、完整��、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下三個(gè)部分(I)認(rèn)證中心CA CA是PKI的核心��,CA負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶(包括各種應(yīng)用程序)的證書�,把用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗(yàn)證用戶的身份���,CA還要負(fù)責(zé)用戶證書的黑名單登記和黑名單發(fā)布�。(2)X. 500目錄服務(wù)器X. 500目錄服務(wù)器用于發(fā)布用戶的證書和黑名單信息�����,用戶可通過(guò)標(biāo)準(zhǔn)的LDAP協(xié)議查詢自己或其他人的證書和下載黑名單信息����。(3)安全應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)即使用密鑰和證書以確保信息安全的應(yīng)用系統(tǒng),各行業(yè)的具體應(yīng)用系統(tǒng)各不相同��,例如銀行���、證券的應(yīng)用系統(tǒng)等���。HASH,即散列�,也稱哈希�,即把任意長(zhǎng)度的輸入(又叫做預(yù)映射,pre-image),通過(guò)HASH算法���,變換成固定長(zhǎng)度的輸出����,該輸出就是HASH值��。這種轉(zhuǎn)換是一種壓縮映射��,即散列HASH值的空間通常遠(yuǎn)小于輸入的空間�,不同的輸入可能會(huì)生成相同的輸出,但不可能從散列值來(lái)唯一的確定輸入值����。數(shù)字簽名(又稱公鑰數(shù)字簽名、電子簽章)是不對(duì)稱加密算法的典型應(yīng)用�。數(shù)字簽名的應(yīng)用過(guò)程是,數(shù)據(jù)源發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)校驗(yàn)和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理��,完成對(duì)數(shù)據(jù)的合法“簽名”����,數(shù)據(jù)接收方則利用對(duì)方的公鑰來(lái)解讀收到的“數(shù)字簽名”,并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)�����,以確認(rèn)簽名的合法性����。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù),完全可以代替現(xiàn)實(shí)過(guò)程中的“親筆簽字”���,在技術(shù)和法律上有保證�。在數(shù)字簽名應(yīng)用中��,發(fā)送者的公鑰可以很方便地得到����,但他的私鑰則需要嚴(yán)格保密。二維碼��,又稱二維條碼�����,它是用某種特定的幾何圖形按一定規(guī)律在平面(二維方向上)分布的黑白相間的圖形記錄數(shù)據(jù)符號(hào)信息的,在代碼編制上巧妙地利用構(gòu)成計(jì)算機(jī)內(nèi)部邏輯基礎(chǔ)的比特流的概念����,使用若干個(gè)與二進(jìn)制相對(duì)應(yīng)的幾何形體來(lái)表示文字?jǐn)?shù)值信息,通過(guò)圖象輸入設(shè)備或光電掃描設(shè)備自動(dòng)識(shí)讀以實(shí)現(xiàn)信息自動(dòng)處理�。它具有條碼技術(shù)的一些共性每種碼制有其特定的字符集;每個(gè)字符占有一定的寬度��;具有一定的校驗(yàn)功能等�。同時(shí)還具有對(duì)不同行的信息自動(dòng)識(shí)別功能、及處理圖形旋轉(zhuǎn)變化等特點(diǎn)����。常用的二維碼碼制有Data Matrix, Maxi Code, Aztec, QR Code, Vericode, PDF417, Ultracode,Code 49, Code 16K 等。
發(fā)明內(nèi)容
本發(fā)明提出了一種基于PKI和二維碼的產(chǎn)品溯源方案����,生產(chǎn)廠商在產(chǎn)品各層包裝外側(cè)都印刷有可信二維碼,在產(chǎn)品流通的各個(gè)環(huán)節(jié)����,都對(duì)產(chǎn)品進(jìn)行二維碼進(jìn)行認(rèn)證,所有流通環(huán)節(jié)的數(shù)據(jù)均上傳到產(chǎn)品溯源中心���,生產(chǎn)商����、流通商和用戶只需要掃描產(chǎn)品上的二維碼,就可以看到產(chǎn)品整個(gè)流通過(guò)程的樹(shù)狀態(tài)圖�����,為產(chǎn)品溯源提供簡(jiǎn)單快捷的管理方式�����。如附圖所示���,該方案至少由產(chǎn)品溯源中心、CA�、二維碼生成和二維碼驗(yàn)證四個(gè)模塊構(gòu)成。(I)CA系統(tǒng)為生產(chǎn)商(二維碼所表述的內(nèi)容與權(quán)利的所有人或者機(jī)構(gòu))生成加密私鑰��、簽名私鑰和與之對(duì)應(yīng)的數(shù)字證書�,私鑰存放在USB KEY物理設(shè)備中提供給生產(chǎn)商,同時(shí)將數(shù)字證書的相關(guān)信息存儲(chǔ)到X. 500目錄服務(wù)器����,供用戶(對(duì)二維碼進(jìn)行驗(yàn)證的個(gè)人或者機(jī)構(gòu))或者其它第三方查詢;(2)生產(chǎn)商向二維碼生成模塊輸入生產(chǎn)商及其產(chǎn)品相關(guān)信息(簡(jiǎn)稱產(chǎn)品信息)明·文���,生成模塊將生成以下二組數(shù)據(jù)私鑰加密的產(chǎn)品信息密文與產(chǎn)品信息HASH值���,或者產(chǎn)品信息明文(也可以是私鑰加密的密文)與產(chǎn)品信息數(shù)字簽名����,然后將這二種數(shù)據(jù)當(dāng)中的一種與其它相關(guān)信息一起嵌入到二維碼中形成可信二維碼�����,生產(chǎn)商可以同時(shí)生成多個(gè)互相關(guān)聯(lián)的具有分級(jí)意義的可信二維碼�����;(3)生產(chǎn)商將多個(gè)可信二維碼按照其分級(jí)含義����,分別印刷在與其含義相匹配的不同層次的包裝外側(cè),在二維碼生成或者印刷完成后��,二維碼生成模塊將二維碼的相關(guān)信息提交到產(chǎn)品溯源中心��,溯源中心將保存該信息�,供產(chǎn)品溯源之用;(4)參與到產(chǎn)品流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人����,都具有二維碼驗(yàn)證模塊��,該模塊可以是通用軟件����,也可以是專用設(shè)備�����,二維碼驗(yàn)證模塊同時(shí)還具有GPS和AGPS定位功能�����,以確定模塊當(dāng)前的地理位置���;(5)流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人從上一環(huán)節(jié)拿到產(chǎn)品后,通過(guò)二維碼驗(yàn)證模塊對(duì)可見(jiàn)二維碼進(jìn)行識(shí)讀��,提取其中的產(chǎn)品信息密文與產(chǎn)品信息HASH值��,或者產(chǎn)品信息明文(如果第(2)步中選擇加密則為密文)與產(chǎn)品信息數(shù)字簽名�����,然后進(jìn)行哈希對(duì)比或者數(shù)字簽名驗(yàn)簽,并將二維碼信息���、二維碼驗(yàn)證模塊唯一標(biāo)識(shí)���、二維碼驗(yàn)證模塊位置、及二維碼驗(yàn)證模塊的其它相關(guān)信息上傳到產(chǎn)品溯源中心����。(6)由于產(chǎn)品各層包裝上的二維碼是相互關(guān)聯(lián)的,且具有分級(jí)功能��,流通領(lǐng)域的各個(gè)環(huán)節(jié)����、最終用戶或者其它關(guān)心產(chǎn)品流通的人,都可以通過(guò)二維碼驗(yàn)證模塊提取當(dāng)前包裝上的二維碼信息���,提交到產(chǎn)品溯源中心�����,就可以獲得產(chǎn)品從生產(chǎn)商到目前為止所經(jīng)歷的每個(gè)流通環(huán)節(jié)��;(7)與此同時(shí)����,二維碼驗(yàn)證模塊還可以以樹(shù)狀圖的形式,將某類產(chǎn)品從出廠�,到分發(fā),以及最終流通到用戶手上的整個(gè)過(guò)程��,讓生產(chǎn)商��、流通領(lǐng)域的各個(gè)環(huán)節(jié)��、最終用戶或者其它關(guān)心產(chǎn)品流通的人��,都可以清楚地了解產(chǎn)品的流通狀況��。
附圖為本發(fā)明的邏輯結(jié)構(gòu)圖�。
具體實(shí)施例方式通過(guò)本發(fā)明的技術(shù)方案��,用戶可以輕易地確認(rèn)自己所購(gòu)買的產(chǎn)品是否是由包裝標(biāo)明的廠商所生產(chǎn)的����。方案以手機(jī)作為二維碼驗(yàn)證模塊的承載平臺(tái)為例進(jìn)行實(shí)施,具體實(shí)施方案如下所述(I)生產(chǎn)商CA系統(tǒng)提出申請(qǐng)����,CA系統(tǒng)為其提供私鑰和與之對(duì)應(yīng)的數(shù)字證書�����,私鑰存放在USB KEY物理設(shè)備中提供給生產(chǎn)商�。(2)生產(chǎn)商向二維碼生成模塊輸入生產(chǎn)商及其產(chǎn)品相關(guān)信息(簡(jiǎn)稱產(chǎn)品信息)明文�����,生成模塊將生成以下二組數(shù)據(jù)私鑰加密的產(chǎn)品信息密文與產(chǎn)品信息HASH值�,或者產(chǎn)品信息明文(也可以是私鑰加密的密文)與產(chǎn)品信息數(shù)字簽名,然后將這二種數(shù)據(jù)當(dāng)中的一種與其它相關(guān)信息一起嵌入到二維碼中形成可信二維碼�,生產(chǎn)商可以同時(shí)生成多個(gè)互相關(guān)聯(lián)的具有分級(jí)意義的可信二維碼;(3)生產(chǎn)商將多個(gè)可信二維碼按照其分級(jí)含義�����,分別印刷在與其含義相匹配的不 同層次的包裝外側(cè)���。與此同時(shí)��,二維碼生成模塊將二維碼的相關(guān)信息提交到產(chǎn)品溯源中心����,溯源中心將保存該信息,供產(chǎn)品溯源之用��;(4)參與到產(chǎn)品流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人的手機(jī)上都安裝有二維碼驗(yàn)證模塊����,同時(shí),二維碼驗(yàn)證模塊結(jié)合手機(jī)上的GPS和AGPS定位功能確定手機(jī)當(dāng)前的地理位置��;(5)流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人從上一環(huán)節(jié)拿到產(chǎn)品后����,通過(guò)二維碼驗(yàn)證模塊對(duì)可見(jiàn)二維碼進(jìn)行識(shí)讀,提取其中的產(chǎn)品信息密文與產(chǎn)品信息HASH值�,或者產(chǎn)品信息明文(如果第(2)步中選擇加密則為密文)與產(chǎn)品信息數(shù)字簽名,然后進(jìn)行哈希對(duì)比或者數(shù)字簽名驗(yàn)簽�,并將二維碼信息、二維碼驗(yàn)證模塊唯一標(biāo)識(shí)���、二維碼驗(yàn)證模塊位置、及二維碼驗(yàn)證模塊的其它相關(guān)信息上傳到產(chǎn)品溯源中心�����。(6)由于產(chǎn)品各層包裝上的二維碼是相互關(guān)聯(lián)的���,且具有分級(jí)功能�,流通領(lǐng)域的各個(gè)環(huán)節(jié)、最終用戶或者其它關(guān)心產(chǎn)品流通的人����,都可以通過(guò)二維碼驗(yàn)證模塊提取當(dāng)前包裝上的二維碼信息,提交到產(chǎn)品溯源中心��,就可以獲得產(chǎn)品從生產(chǎn)商到目前為止所經(jīng)歷的每個(gè)流通環(huán)節(jié)��;(7)與此同時(shí)�����,二維碼驗(yàn)證模塊還可以以樹(shù)狀圖的形式���,將某類產(chǎn)品從出廠����,到分發(fā)�,以及最終流通到用戶手上的整個(gè)過(guò)程,讓生產(chǎn)商�����、流通領(lǐng)域的各個(gè)環(huán)節(jié)、最終用戶或者其它關(guān)心產(chǎn)品流通的人����,都可以清楚地了解產(chǎn)品的流通狀況。
權(quán)利要求
1.一種基PKI和二維碼的產(chǎn)品溯源方案��,至少由產(chǎn)品溯源中心�、CA、二維碼生成和二維碼驗(yàn)證四個(gè)模塊構(gòu)成�,其特征至少由以下幾個(gè)步驟構(gòu)成 (1)CA系統(tǒng)為生產(chǎn)商(二維碼所表述的內(nèi)容與權(quán)利的所有人或者機(jī)構(gòu))生成加密私鑰、簽名私鑰和與之對(duì)應(yīng)的數(shù)字證書���,私鑰存放在USB KEY物理設(shè)備中提供給生產(chǎn)商�,同時(shí)將數(shù)字證書的相關(guān)信息存儲(chǔ)到X. 500目錄服務(wù)器��,供用戶(對(duì)二維碼進(jìn)行驗(yàn)證的個(gè)人或者機(jī)構(gòu))或者其它第三方查詢����; (2)生產(chǎn)商向二維碼生成模塊輸入生產(chǎn)商及其產(chǎn)品相關(guān)信息(簡(jiǎn)稱產(chǎn)品信息)明文,生成模塊將生成以下二組數(shù)據(jù)私鑰加密的產(chǎn)品信息密文與產(chǎn)品信息HASH值�����,或者產(chǎn)品信息明文(也可以是私鑰加密的密文)與產(chǎn)品信息數(shù)字簽名���,然后將這二種數(shù)據(jù)當(dāng)中的一種與其它相關(guān)信息一起嵌入到二維碼中形成可信二維碼�����,生產(chǎn)商可以同時(shí)生成多個(gè)互相關(guān)聯(lián)的具有分級(jí)意義的可信二維碼����; (3)生產(chǎn)商將多個(gè)可信二維碼按照其分級(jí)含義��,分別印刷在與其含義相匹配的不同層次的包裝外側(cè)����,在二維碼生成或者印刷完成后,二維碼生成模塊將二維碼的相關(guān)信息提交到產(chǎn)品溯源中心�,溯源中心將保存該信息,供產(chǎn)品溯源之用��; (4)參與到產(chǎn)品流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人����,都具有二維碼驗(yàn)證模塊,該模塊可以是通用軟件�,也可以是專用設(shè)備,二維碼驗(yàn)證模塊同時(shí)還具有GPS和AGPS定位功能�����,以確定模塊當(dāng)前的地理位置; (5)流通領(lǐng)域各個(gè)環(huán)節(jié)的負(fù)責(zé)人從上一環(huán)節(jié)拿到產(chǎn)品后��,通過(guò)二維碼驗(yàn)證模塊對(duì)可見(jiàn)二維碼進(jìn)行識(shí)讀��,提取其中的產(chǎn)品信息密文與產(chǎn)品信息HASH值����,或者產(chǎn)品信息明文(如果第(2)步中選擇加密則為密文)與產(chǎn)品信息數(shù)字簽名,然后進(jìn)行哈希對(duì)比或者數(shù)字簽名驗(yàn)簽�����,并將二維碼信息����、二維碼驗(yàn)證模塊唯一標(biāo)識(shí)、二維碼驗(yàn)證模塊位置�����、及二維碼驗(yàn)證模塊的其它相關(guān)信息上傳到產(chǎn)品溯源中心����。
(6)由于產(chǎn)品各層包裝上的二維碼是相互關(guān)聯(lián)的,且具有分級(jí)功能����,流通領(lǐng)域的各個(gè)環(huán)節(jié)、最終用戶或者其它關(guān)心產(chǎn)品流通的人�,都可以通過(guò)二維碼驗(yàn)證模塊提取當(dāng)前包裝上的二維碼信息,提交到產(chǎn)品溯源中心�����,就可以獲得產(chǎn)品從生產(chǎn)商到目前為止所經(jīng)歷的每個(gè)流通環(huán)節(jié)�����; (7)與此同時(shí)�����,二維碼驗(yàn)證模塊還可以以樹(shù)狀圖的形式����,將某類產(chǎn)品從出廠,到分發(fā)�,以及最終流通到用戶手上的整個(gè)過(guò)程,讓生產(chǎn)商��、流通領(lǐng)域的各個(gè)環(huán)節(jié)、最終用戶或者其它關(guān)心產(chǎn)品流通的人�����,都可以清楚地了解產(chǎn)品的流通狀況��。
2.根據(jù)權(quán)利要求I所述的方法����,方案需要生成多個(gè)相互關(guān)聯(lián)且具有分級(jí)含義的可信二維碼;
3.根據(jù)權(quán)利要求I所述的方法�,可信二維碼中含有私鑰加密的產(chǎn)品信息密文與產(chǎn)品信息HASH值,或者產(chǎn)品信息明文(也可以是私鑰加密的密文)與產(chǎn)品信息數(shù)字簽名�����,以及廠商和產(chǎn)品的其它相關(guān)信息�����;
4.根據(jù)權(quán)利要求I所述的方法���,分級(jí)二維碼生成或者印刷完成后�,二維碼信息將被上傳到產(chǎn)品溯源中心,并由產(chǎn)品溯源中心保存���;
5.根據(jù)權(quán)利要求I所述的方法��,產(chǎn)品的各層包外側(cè)�����,均印刷有與本層包裝含義相匹配的可信二維碼;
6.根據(jù)權(quán)利要求I所述的方法��,參與到產(chǎn)品流通領(lǐng)域的各個(gè)環(huán)節(jié)�,都需要通過(guò)二維碼驗(yàn)證模塊將其所負(fù)責(zé)的產(chǎn)品的包裝外側(cè)的二維碼信息上傳產(chǎn)品溯源中心;
7.根據(jù)權(quán)利要求I所述的方法�,參與到產(chǎn)品流通領(lǐng)域的各個(gè)環(huán)節(jié)所持有的二維碼驗(yàn)證模塊具有GPS和AGPS功能;
8.根據(jù)權(quán)利要求I所述的方法����,生產(chǎn)商、流通領(lǐng)域的各個(gè)環(huán)節(jié)��、最終用戶或者其它關(guān)心產(chǎn)品流通的人��,都可以通過(guò)二維碼驗(yàn)證模塊獲得產(chǎn)品從生產(chǎn)商到目前為止所經(jīng)歷的每個(gè)流通環(huán)節(jié)�����;
9.根據(jù)權(quán)利要求I所述的方法,二維碼驗(yàn)證模塊還可以以樹(shù)狀圖的形式���,將某類產(chǎn)品從出廠�,到分發(fā)��,以及最終流通到用戶手上的整個(gè)過(guò)程��,讓生產(chǎn)商���、流通領(lǐng)域的各個(gè)環(huán)節(jié)��、最終用戶或者其它關(guān)心產(chǎn)品流通的人���,都可以清楚地了解產(chǎn)品的流通狀況。
全文摘要
本發(fā)明提出了一種基于PKI和二維碼的產(chǎn)品溯源方案��,生產(chǎn)廠商在產(chǎn)品各層包裝外側(cè)都印刷有可信二維碼��,在產(chǎn)品流通的各個(gè)環(huán)節(jié)����,都對(duì)產(chǎn)品進(jìn)行二維碼進(jìn)行認(rèn)證,所有流通環(huán)節(jié)的數(shù)據(jù)均上傳到產(chǎn)品溯源中心,生產(chǎn)商��、流通商和用戶只需要掃描產(chǎn)品上的二維碼����,就可以看到產(chǎn)品整個(gè)流通過(guò)程的樹(shù)狀態(tài)圖,為產(chǎn)品溯源提供簡(jiǎn)單快捷的管理方式�。如附圖所示,該方案至少由產(chǎn)品溯源中心���、CA、二維碼生成和二維碼驗(yàn)證四個(gè)模塊構(gòu)成���。
文檔編號(hào)G06K19/06GK102799989SQ20121021426
公開(kāi)日2012年11月28日 申請(qǐng)日期2012年6月19日 優(yōu)先權(quán)日2012年6月19日
發(fā)明者袁開(kāi)國(guó), 袁靜國(guó), 劉強(qiáng) 申請(qǐng)人:袁開(kāi)國(guó)