[发明专利]基于PKI和数字签名的可信二维码方案

权利要求书

1.一种基于PKI和数字签名的可信二维码方案，至少由CA、明文信息数字签名生成、明文信息加密、二维码图形生成、二维码图形识读、明文信息解密和明文信息数字签名验证七个模块构成，其特征至少由以下几个步骤构成：

(1)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成签名私钥、加密私钥和与之对应的数字证书，私钥存放在USB KEY物理设备中提供给生产商，同时将数字证书的相关信息存储到X.500目录服务器，供用户(对二维码进行验证的个人或者机构)或者其它第三方查询；

(2)生产商向二维码信息数字签名生成模块输入明文信息，并选择适当的数字签名算法，签名模块采用存储在USB KEY中的签名私钥对明文信息进行签名，形成明文信息的数字签名，并输出给二维码图形生成模块；

(3)如果需要对明文信息进行加密，则生产商向加密模块输入明文信息，选择适当的非对称加密算法，加密模块采用加密私钥对明文信息进行加密，生成密文信息；

(4)二维码图形生成模块根据生产商信息、加密算法标识和签名算法标识或者其中的任一组合、明文信息或者密文、明文信息的数字签名，以及用户所选择的二维码生成参数，生成二维码图形，生产商以印刷或者电子的方式将二维码图形提供给用户，供其验证；

(5)生产商信息、加密算法标识和签名算法标识三者或者其中的任何组合，也可以以明文文本的方式出现在二维码附近，二维码验证用户通过OCR方式提取这些信息；

(6)用户拿到二维码后，通过二维码图形识读模块对二维码进行正确识读，如果二维码附近的明文信息中包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合，也需要对其进行OCR识别，提取其中的信息，并将其输出到二维码信息验证模块；

(7)二维码信息签名验证模块从识读信息中提取生产商信息、明文信息明文(如果存储的是密文，还需要对其进行解密)、明文信息的数字签名和签名算法标识，并根据生产商信息从本地、X.500目录服务器或者其它证书存储机构获取生产商的数字证书，然后对明文信息数字签名进行验证，如果验证通过，则该二维码未被篡改，是可信的，否则其已经被篡改过，不可信。

2.根据权利要求1所述的方法，信息以明文或者密文的形式存储在二维码中。

3.根据权利要求1所述的方法，二维码中可以包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合。

4.根据权利要求1所述的方法，二维码周围的明文文本中，可以包含有生产商信息、加密算法标识和签名算法标识三者或者其中的任一组合，二维码验证用户通过OCR方式获取这些信息。

5.根据权利要求1所述的方法，用户对提取明文信息，并对二维码中的数字签名进行验证，从而确定二维码是否被篡改过，如果二维码未被篡改，是可信的，否则不可信。