[发明专利]基于PKI和数字签名的可信二维码方案

说明书

技术领域

本发明涉及密码学、产品防伪和食品药品安全领域，具体的说，本发明给出了一种基于PKI(Public Key Infrastructure：公钥基础设施)和数字签名的可信二维码方案。

背景技术

PKI是一种新的安全技术，它由公开密钥密码技术、数字证书(Certificate)、CA(Certificate Authority：证书发放机构)和关于公开密钥的安全策略等基本成分共同组成的。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509格式的证书和证书废止列表CRL；CA操作协议；CA管理协议；CA政策制定。

一个典型、完整、有效的PKI应用系统至少应具有以下三个部分：

(1)认证中心CA：CA是PKI的核心，CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。

(2)X.500目录服务器：X.500目录服务器用于发布用户的证书和黑名单

信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

(3)安全应用系统：安全应用系统即使用密钥和证书以确保信息安全的应用系统，各行业的具体应用系统各不相同，例如银行、证券的应用系统等。

数字签名(又称公钥数字签名、电子签章)是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

二维码，又称二维条码，它是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的，在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。常用的二维码码制有：Data Matrix，Maxi Code，Aztec，QR Code，Vericode，PDF417，Ultracode，Code 49，Code 16K等。

发明内容

本发明提出了一种基于PKI和数字签名的可信二维码方案，通过将明文信息或者经私钥加密后的密文和明文信息的数字签名嵌入到二维码中，用户识别出二维码后，通过对密文进行解密(如果是明文则不需要解密)，并进行签名验证，从而可以简便快捷地确定该二维码是否被篡改过，如果二维码被没篡改过，则可信，否则不可信。如附图所示，该方案至少由CA、明文信息数字签名生成、明文信息加密、二维码图形生成、二维码图形识读、明文信息解密和明文信息数字签名验证七个模块构成。

(1)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成签名私钥、加密私钥和与之对应的数字证书，私钥存放在USB KEY物理设备中提供给生产商，同时将数字证书的相关信息存储到X.500目录服务器，供用户(对二维码进行验证的个人或者机构)或者其它第三方查询；

(2)生产商向二维码信息数字签名生成模块输入明文信息，并选择适当的数字签名算法，签名模块采用存储在USB KEY中的签名私钥对明文信息进行签名，形成明文信息的数字签名，并输出给二维码图形生成模块；

(3)如果需要对明文信息进行加密，则生产商向加密模块输入明文信息，选择适当的非对称加密算法，加密模块采用加密私钥对明文信息进行加密，生成密文信息；

(4)二维码图形生成模块根据生产商信息、加密算法标识和签名算法标识或者其中的任一组合、明文信息或者密文、明文信息的数字签名，以及用户所选择的二维码生成参数，生成二维码图形，生产商以印刷或者电子的方式将二维码图形提供给用户，供其验证；