基於pki和二維碼的產品溯源方案的製作方法
2023-04-24 13:49:11
專利名稱:基於pki和二維碼的產品溯源方案的製作方法
技術領域:
本發明涉及密碼學、產品防偽和食品藥品安全領域,具體的說,本發明給出了一種基於PKI (Public Key Infrastructure :公鑰基礎設施)和二維碼的產品溯源方案。
背景技術:
PKI是一種新的安全技術,它由公開密鑰密碼技術、數字證書(Certificate)、CA (Certificate Authority :證書發放機構)和關於公開密鑰的安全策略等基本成分共同組成的。PKI公鑰基礎設施是提供公鑰加密和數字籤名服務的系統或平臺,目的是為了管理密鑰和證書。一個機構通過採用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。PKI主要包括四個部分X. 509格式的證書和證書廢止列表CRL ;CA操作協議;CA管理協議; CA政策制定。一個典型、完整、有效的PKI應用系統至少應具有以下三個部分(I)認證中心CA CA是PKI的核心,CA負責管理PKI結構下的所有用戶(包括各種應用程式)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上驗證用戶的身份,CA還要負責用戶證書的黑名單登記和黑名單發布。(2)X. 500目錄伺服器X. 500目錄伺服器用於發布用戶的證書和黑名單信息,用戶可通過標準的LDAP協議查詢自己或其他人的證書和下載黑名單信息。(3)安全應用系統安全應用系統即使用密鑰和證書以確保信息安全的應用系統,各行業的具體應用系統各不相同,例如銀行、證券的應用系統等。HASH,即散列,也稱哈希,即把任意長度的輸入(又叫做預映射,pre-image),通過HASH算法,變換成固定長度的輸出,該輸出就是HASH值。這種轉換是一種壓縮映射,即散列HASH值的空間通常遠小於輸入的空間,不同的輸入可能會生成相同的輸出,但不可能從散列值來唯一的確定輸入值。數字籤名(又稱公鑰數字籤名、電子籤章)是不對稱加密算法的典型應用。數字籤名的應用過程是,數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理,完成對數據的合法「籤名」,數據接收方則利用對方的公鑰來解讀收到的「數字籤名」,並將解讀結果用於對數據完整性的檢驗,以確認籤名的合法性。數字籤名技術是在網絡系統虛擬環境中確認身份的重要技術,完全可以代替現實過程中的「親筆籤字」,在技術和法律上有保證。在數字籤名應用中,發送者的公鑰可以很方便地得到,但他的私鑰則需要嚴格保密。二維碼,又稱二維條碼,它是用某種特定的幾何圖形按一定規律在平面(二維方向上)分布的黑白相間的圖形記錄數據符號信息的,在代碼編制上巧妙地利用構成計算機內部邏輯基礎的比特流的概念,使用若干個與二進位相對應的幾何形體來表示文字數值信息,通過圖象輸入設備或光電掃描設備自動識讀以實現信息自動處理。它具有條碼技術的一些共性每種碼制有其特定的字符集;每個字符佔有一定的寬度;具有一定的校驗功能等。同時還具有對不同行的信息自動識別功能、及處理圖形旋轉變化等特點。常用的二維碼碼制有Data Matrix, Maxi Code, Aztec, QR Code, Vericode, PDF417, Ultracode,Code 49, Code 16K 等。
發明內容
本發明提出了一種基於PKI和二維碼的產品溯源方案,生產廠商在產品各層包裝外側都印刷有可信二維碼,在產品流通的各個環節,都對產品進行二維碼進行認證,所有流通環節的數據均上傳到產品溯源中心,生產商、流通商和用戶只需要掃描產品上的二維碼,就可以看到產品整個流通過程的樹狀態圖,為產品溯源提供簡單快捷的管理方式。如附圖所示,該方案至少由產品溯源中心、CA、二維碼生成和二維碼驗證四個模塊構成。(I)CA系統為生產商(二維碼所表述的內容與權利的所有人或者機構)生成加密私鑰、籤名私鑰和與之對應的數字證書,私鑰存放在USB KEY物理設備中提供給生產商,同時將數字證書的相關信息存儲到X. 500目錄伺服器,供用戶(對二維碼進行驗證的個人或者機構)或者其它第三方查詢;(2)生產商向二維碼生成模塊輸入生產商及其產品相關信息(簡稱產品信息)明·文,生成模塊將生成以下二組數據私鑰加密的產品信息密文與產品信息HASH值,或者產品信息明文(也可以是私鑰加密的密文)與產品信息數字籤名,然後將這二種數據當中的一種與其它相關信息一起嵌入到二維碼中形成可信二維碼,生產商可以同時生成多個互相關聯的具有分級意義的可信二維碼;(3)生產商將多個可信二維碼按照其分級含義,分別印刷在與其含義相匹配的不同層次的包裝外側,在二維碼生成或者印刷完成後,二維碼生成模塊將二維碼的相關信息提交到產品溯源中心,溯源中心將保存該信息,供產品溯源之用;(4)參與到產品流通領域各個環節的負責人,都具有二維碼驗證模塊,該模塊可以是通用軟體,也可以是專用設備,二維碼驗證模塊同時還具有GPS和AGPS定位功能,以確定模塊當前的地理位置;(5)流通領域各個環節的負責人從上一環節拿到產品後,通過二維碼驗證模塊對可見二維碼進行識讀,提取其中的產品信息密文與產品信息HASH值,或者產品信息明文(如果第(2)步中選擇加密則為密文)與產品信息數字籤名,然後進行哈希對比或者數字籤名驗籤,並將二維碼信息、二維碼驗證模塊唯一標識、二維碼驗證模塊位置、及二維碼驗證模塊的其它相關信息上傳到產品溯源中心。(6)由於產品各層包裝上的二維碼是相互關聯的,且具有分級功能,流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以通過二維碼驗證模塊提取當前包裝上的二維碼信息,提交到產品溯源中心,就可以獲得產品從生產商到目前為止所經歷的每個流通環節;(7)與此同時,二維碼驗證模塊還可以以樹狀圖的形式,將某類產品從出廠,到分發,以及最終流通到用戶手上的整個過程,讓生產商、流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以清楚地了解產品的流通狀況。
附圖為本發明的邏輯結構圖。
具體實施例方式通過本發明的技術方案,用戶可以輕易地確認自己所購買的產品是否是由包裝標明的廠商所生產的。方案以手機作為二維碼驗證模塊的承載平臺為例進行實施,具體實施方案如下所述(I)生產商CA系統提出申請,CA系統為其提供私鑰和與之對應的數字證書,私鑰存放在USB KEY物理設備中提供給生產商。(2)生產商向二維碼生成模塊輸入生產商及其產品相關信息(簡稱產品信息)明文,生成模塊將生成以下二組數據私鑰加密的產品信息密文與產品信息HASH值,或者產品信息明文(也可以是私鑰加密的密文)與產品信息數字籤名,然後將這二種數據當中的一種與其它相關信息一起嵌入到二維碼中形成可信二維碼,生產商可以同時生成多個互相關聯的具有分級意義的可信二維碼;(3)生產商將多個可信二維碼按照其分級含義,分別印刷在與其含義相匹配的不 同層次的包裝外側。與此同時,二維碼生成模塊將二維碼的相關信息提交到產品溯源中心,溯源中心將保存該信息,供產品溯源之用;(4)參與到產品流通領域各個環節的負責人的手機上都安裝有二維碼驗證模塊,同時,二維碼驗證模塊結合手機上的GPS和AGPS定位功能確定手機當前的地理位置;(5)流通領域各個環節的負責人從上一環節拿到產品後,通過二維碼驗證模塊對可見二維碼進行識讀,提取其中的產品信息密文與產品信息HASH值,或者產品信息明文(如果第(2)步中選擇加密則為密文)與產品信息數字籤名,然後進行哈希對比或者數字籤名驗籤,並將二維碼信息、二維碼驗證模塊唯一標識、二維碼驗證模塊位置、及二維碼驗證模塊的其它相關信息上傳到產品溯源中心。(6)由於產品各層包裝上的二維碼是相互關聯的,且具有分級功能,流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以通過二維碼驗證模塊提取當前包裝上的二維碼信息,提交到產品溯源中心,就可以獲得產品從生產商到目前為止所經歷的每個流通環節;(7)與此同時,二維碼驗證模塊還可以以樹狀圖的形式,將某類產品從出廠,到分發,以及最終流通到用戶手上的整個過程,讓生產商、流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以清楚地了解產品的流通狀況。
權利要求
1.一種基PKI和二維碼的產品溯源方案,至少由產品溯源中心、CA、二維碼生成和二維碼驗證四個模塊構成,其特徵至少由以下幾個步驟構成 (1)CA系統為生產商(二維碼所表述的內容與權利的所有人或者機構)生成加密私鑰、籤名私鑰和與之對應的數字證書,私鑰存放在USB KEY物理設備中提供給生產商,同時將數字證書的相關信息存儲到X. 500目錄伺服器,供用戶(對二維碼進行驗證的個人或者機構)或者其它第三方查詢; (2)生產商向二維碼生成模塊輸入生產商及其產品相關信息(簡稱產品信息)明文,生成模塊將生成以下二組數據私鑰加密的產品信息密文與產品信息HASH值,或者產品信息明文(也可以是私鑰加密的密文)與產品信息數字籤名,然後將這二種數據當中的一種與其它相關信息一起嵌入到二維碼中形成可信二維碼,生產商可以同時生成多個互相關聯的具有分級意義的可信二維碼; (3)生產商將多個可信二維碼按照其分級含義,分別印刷在與其含義相匹配的不同層次的包裝外側,在二維碼生成或者印刷完成後,二維碼生成模塊將二維碼的相關信息提交到產品溯源中心,溯源中心將保存該信息,供產品溯源之用; (4)參與到產品流通領域各個環節的負責人,都具有二維碼驗證模塊,該模塊可以是通用軟體,也可以是專用設備,二維碼驗證模塊同時還具有GPS和AGPS定位功能,以確定模塊當前的地理位置; (5)流通領域各個環節的負責人從上一環節拿到產品後,通過二維碼驗證模塊對可見二維碼進行識讀,提取其中的產品信息密文與產品信息HASH值,或者產品信息明文(如果第(2)步中選擇加密則為密文)與產品信息數字籤名,然後進行哈希對比或者數字籤名驗籤,並將二維碼信息、二維碼驗證模塊唯一標識、二維碼驗證模塊位置、及二維碼驗證模塊的其它相關信息上傳到產品溯源中心。
(6)由於產品各層包裝上的二維碼是相互關聯的,且具有分級功能,流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以通過二維碼驗證模塊提取當前包裝上的二維碼信息,提交到產品溯源中心,就可以獲得產品從生產商到目前為止所經歷的每個流通環節; (7)與此同時,二維碼驗證模塊還可以以樹狀圖的形式,將某類產品從出廠,到分發,以及最終流通到用戶手上的整個過程,讓生產商、流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以清楚地了解產品的流通狀況。
2.根據權利要求I所述的方法,方案需要生成多個相互關聯且具有分級含義的可信二維碼;
3.根據權利要求I所述的方法,可信二維碼中含有私鑰加密的產品信息密文與產品信息HASH值,或者產品信息明文(也可以是私鑰加密的密文)與產品信息數字籤名,以及廠商和產品的其它相關信息;
4.根據權利要求I所述的方法,分級二維碼生成或者印刷完成後,二維碼信息將被上傳到產品溯源中心,並由產品溯源中心保存;
5.根據權利要求I所述的方法,產品的各層包外側,均印刷有與本層包裝含義相匹配的可信二維碼;
6.根據權利要求I所述的方法,參與到產品流通領域的各個環節,都需要通過二維碼驗證模塊將其所負責的產品的包裝外側的二維碼信息上傳產品溯源中心;
7.根據權利要求I所述的方法,參與到產品流通領域的各個環節所持有的二維碼驗證模塊具有GPS和AGPS功能;
8.根據權利要求I所述的方法,生產商、流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以通過二維碼驗證模塊獲得產品從生產商到目前為止所經歷的每個流通環節;
9.根據權利要求I所述的方法,二維碼驗證模塊還可以以樹狀圖的形式,將某類產品從出廠,到分發,以及最終流通到用戶手上的整個過程,讓生產商、流通領域的各個環節、最終用戶或者其它關心產品流通的人,都可以清楚地了解產品的流通狀況。
全文摘要
本發明提出了一種基於PKI和二維碼的產品溯源方案,生產廠商在產品各層包裝外側都印刷有可信二維碼,在產品流通的各個環節,都對產品進行二維碼進行認證,所有流通環節的數據均上傳到產品溯源中心,生產商、流通商和用戶只需要掃描產品上的二維碼,就可以看到產品整個流通過程的樹狀態圖,為產品溯源提供簡單快捷的管理方式。如附圖所示,該方案至少由產品溯源中心、CA、二維碼生成和二維碼驗證四個模塊構成。
文檔編號G06K19/06GK102799989SQ20121021426
公開日2012年11月28日 申請日期2012年6月19日 優先權日2012年6月19日
發明者袁開國, 袁靜國, 劉強 申請人:袁開國