技術領域

本發明涉及密碼學、產品防偽和食品藥品安全領域，具體的說，本發明給出了一種基于PKI(Public?Key?Infrastructure：公鑰基礎設施)和數字簽名的可信二維碼方案。

背景技術

PKI是一種新的安全技術，它由公開密鑰密碼技術、數字證書(Certificate)、CA(Certificate?Authority：證書發放機構)和關于公開密鑰的安全策略等基本成分共同組成的。PKI公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。PKI主要包括四個部分：X.509格式的證書和證書廢止列表CRL；CA操作協議；CA管理協議；CA政策制定。

一個典型、完整、有效的PKI應用系統至少應具有以下三個部分：

(1)認證中心CA：CA是PKI的核心，CA負責管理PKI結構下的所有用戶(包括各種應用程序)的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，CA還要負責用戶證書的黑名單登記和黑名單發布。

(2)X.500目錄服務器：X.500目錄服務器用于發布用戶的證書和黑名單

信息，用戶可通過標準的LDAP協議查詢自己或其他人的證書和下載黑名單信息。

(3)安全應用系統：安全應用系統即使用密鑰和證書以確保信息安全的應用系統，各行業的具體應用系統各不相同，例如銀行、證券的應用系統等。

數字簽名(又稱公鑰數字簽名、電子簽章)是不對稱加密算法的典型應用。數字簽名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理，完成對數據的合法“簽名”，數據接收方則利用對方的公鑰來解讀收到的“數字簽名”，并將解讀結果用于對數據完整性的檢驗，以確認簽名的合法性。數字簽名技術是在網絡系統虛擬環境中確認身份的重要技術，完全可以代替現實過程中的“親筆簽字”，在技術和法律上有保證。在數字簽名應用中，發送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格保密。

二維碼，又稱二維條碼，它是用某種特定的幾何圖形按一定規律在平面(二維方向上)分布的黑白相間的圖形記錄數據符號信息的，在代碼編制上巧妙地利用構成計算機內部邏輯基礎的“0”、“1”比特流的概念，使用若干個與二進制相對應的幾何形體來表示文字數值信息，通過圖象輸入設備或光電掃描設備自動識讀以實現信息自動處理。它具有條碼技術的一些共性：每種碼制有其特定的字符集；每個字符占有一定的寬度；具有一定的校驗功能等。同時還具有對不同行的信息自動識別功能、及處理圖形旋轉變化等特點。常用的二維碼碼制有：Data?Matrix，Maxi?Code，Aztec，QR?Code，Vericode，PDF417，Ultracode，Code?49，Code?16K等。

發明內容

本發明提出了一種基于PKI和數字簽名的可信二維碼方案，通過將明文信息或者經私鑰加密后的密文和明文信息的數字簽名嵌入到二維碼中，用戶識別出二維碼后，通過對密文進行解密(如果是明文則不需要解密)，并進行簽名驗證，從而可以簡便快捷地確定該二維碼是否被篡改過，如果二維碼被沒篡改過，則可信，否則不可信。如附圖所示，該方案至少由CA、明文信息數字簽名生成、明文信息加密、二維碼圖形生成、二維碼圖形識讀、明文信息解密和明文信息數字簽名驗證七個模塊構成。

(1)CA系統為生產商(二維碼所表述的內容與權利的所有人或者機構)生成簽名私鑰、加密私鑰和與之對應的數字證書，私鑰存放在USB?KEY物理設備中提供給生產商，同時將數字證書的相關信息存儲到X.500目錄服務器，供用戶(對二維碼進行驗證的個人或者機構)或者其它第三方查詢；

(2)生產商向二維碼信息數字簽名生成模塊輸入明文信息，并選擇適當的數字簽名算法，簽名模塊采用存儲在USB?KEY中的簽名私鑰對明文信息進行簽名，形成明文信息的數字簽名，并輸出給二維碼圖形生成模塊；

(3)如果需要對明文信息進行加密，則生產商向加密模塊輸入明文信息，選擇適當的非對稱加密算法，加密模塊采用加密私鑰對明文信息進行加密，生成密文信息；

(4)二維碼圖形生成模塊根據生產商信息、加密算法標識和簽名算法標識或者其中的任一組合、明文信息或者密文、明文信息的數字簽名，以及用戶所選擇的二維碼生成參數，生成二維碼圖形，生產商以印刷或者電子的方式將二維碼圖形提供給用戶，供其驗證；