[发明专利]基于PKI和二维码的产品溯源方案

说明书

技术领域

本发明涉及密码学、产品防伪和食品药品安全领域，具体的说，本发明给出了一种基于PKI(Public Key Infrastructure：公钥基础设施)和二维码的产品溯源方案。

背景技术

PKI是一种新的安全技术，它由公开密钥密码技术、数字证书(Certificate)、CA(Certificate Authority：证书发放机构)和关于公开密钥的安全策略等基本成分共同组成的。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509格式的证书和证书废止列表CRL；CA操作协议；CA管理协议；CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下三个部分：

(1)认证中心CA：CA是PKI的核心，CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。

(2)X.500目录服务器：X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

(3)安全应用系统：安全应用系统即使用密钥和证书以确保信息安全的应用系统，各行业的具体应用系统各不相同，例如银行、证券的应用系统等。

HASH，即散列，也称哈希，即把任意长度的输入(又叫做预映射，pre-image)，通过HASH算法，变换成固定长度的输出，该输出就是HASH值。这种转换是一种压缩映射，即散列HASH值的空间通常远小于输入的空间，不同的输入可能会生成相同的输出，但不可能从散列值来唯一的确定输入值。

数字签名(又称公钥数字签名、电子签章)是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

二维码，又称二维条码，它是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的，在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。常用的二维码码制有：Data Matrix，Maxi Code，Aztec，QR Code，Vericode，PDF417，Ultracode，Code 49，Code 16K等。

发明内容

本发明提出了一种基于PKI和二维码的产品溯源方案，生产厂商在产品各层包装外侧都印刷有可信二维码，在产品流通的各个环节，都对产品进行二维码进行认证，所有流通环节的数据均上传到产品溯源中心，生产商、流通商和用户只需要扫描产品上的二维码，就可以看到产品整个流通过程的树状态图，为产品溯源提供简单快捷的管理方式。如附图所示，该方案至少由产品溯源中心、CA、二维码生成和二维码验证四个模块构成。

(1)CA系统为生产商(二维码所表述的内容与权利的所有人或者机构)生成加密私钥、签名私钥和与之对应的数字证书，私钥存放在USB KEY物理设备中提供给生产商，同时将数字证书的相关信息存储到X.500目录服务器，供用户(对二维码进行验证的个人或者机构)或者其它第三方查询；

(2)生产商向二维码生成模块输入生产商及其产品相关信息(简称产品信息)明文，生成模块将生成以下二组数据：私钥加密的产品信息密文与产品信息HASH值，或者产品信息明文(也可以是私钥加密的密文)与产品信息数字签名，然后将这二种数据当中的一种与其它相关信息一起嵌入到二维码中形成可信二维码，生产商可以同时生成多个互相关联的具有分级意义的可信二维码；