CN102447691B - 原创书画类艺术品标注与识别系统和方法 - Google Patents
原创书画类艺术品标注与识别系统和方法 Download PDFInfo
- Publication number
- CN102447691B CN102447691B CN201110260396.XA CN201110260396A CN102447691B CN 102447691 B CN102447691 B CN 102447691B CN 201110260396 A CN201110260396 A CN 201110260396A CN 102447691 B CN102447691 B CN 102447691B
- Authority
- CN
- China
- Prior art keywords
- card
- certification
- mark
- key
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
原创书画类艺术品标注与识别系统和方法属于物联网技术和密码学领域。本发明主要由以上两个系统和三个流程组成,在具体的实施当中,是通过将IC芯片经过开发,植入可识别的标注信息,在对原创书画类艺术品进行裱画时将该芯片植入该艺术品中;当买家需要识别该艺术品是否为本系统所标注的原创艺术品时,只需登录艺术品识别网站,将艺术品接近通过USB口连接计算机的IC卡阅读器进行识别即可,如果是本系统所标注的艺术品则显示该艺术品的相关信息,否则显示不是该系统所标注的艺术品。通过这样的方式,可以对标注的艺术品实现准确、快速、安全的识别。
Description
技术领域
本发明利用物联网技术和密码学知识,设计并实现出一种基于硬件密码装置的安全通信协议,结合Web的ActiveX控件和数据库将该协议应用于实际的Web当中进行艺术品的安全认证,以此实现鉴别。此外,作为一个完整的系统,本发明使用程序软件结合本地数据库实现书画类艺术品标注的后台管理。
背景技术
目前,在我国各类书画类作品进入市场难,同时有很多艺术欣赏人员想购买艺术品作为永久保存欣赏,因此形成了两难趋势,造成交易市场不活跃。
网络的出现和快速发展为艺术品交易提供了一个广阔的平台,艺术家只需要将其作品通过艺术品交易平台的对外宣传网站发布,由交易平台对外进行宣传,吸引艺术品爱好者通过交易平台进行购买收藏。由于艺术品往往价格不菲,购买者担心购买的艺术品不是作者原创的赝品,上当受骗造成经济损失,而且目前的交易平台不能为买家提供对原创艺术品的识别功能,因此无法让买家真正放心。
当前,IC卡的高可靠性、高安全性和保密性被广泛用作各种交易安全,诸如银行卡、校园一卡通、公交卡等都是基于IC卡实现的。IC卡即智能卡,是指将集成电路芯片固封在塑料基片中的卡片,是一种功能多样、用途广泛的电子卡片。它可与多种终端设备连接使用,具有高可靠性、高安全性和保密性。IC卡按卡中所镶嵌的集成电路不同,主要有非加密存储卡、逻辑加密卡及CPU卡等三类。IC卡具有极强的安全性,不仅在物理上具有抗篡改性,而且对存储在卡上的数据具有逻辑完整性及认证保护。从硬件上,IC卡中加入了安全传感器,可防止数据在被读出或写入时被修改;在卡芯的上层加入了一层金属网格层,可察觉外部探测和视觉分析;卡内带有随机时钟产生器,可防止通过对电能消耗曲线分析而获取保密数据。从软件上,对IC卡的使用需要首先通过双因素认证过程,即在出示IC卡的同时输入密钥进入操作智能卡的安全状态,此后,IC卡可根据文件类型或密钥的不同,提供不同的访问操作。
但是,如何利用IC卡的物理安全和数据逻辑完整性及认证保护等优势,结合密码学等网络安全原理和协议,用于艺术品的绑定及识别,目前尚未有一个很好的解决方案。
发明内容
本发明创新性地提出利用密码装置、Web服务器、验证服务器、互联网以及数据库服务器构成识别系统,并对艺术品信息标注实现原创艺术品的安全识别方法。
密码装置由智能认证卡、读写器及用于识别的有关信息和协议组成。智能认证卡由可用于计算的计算单元、随机数发生器、用于永久性存储的E2PROM和用于临时存放数据的寄存器组成。读写器是符合智能卡通信数据接口APDU(Application Protocol Data Units,应用协议数据单元)的设备。通过制定APDU的命令格式和响应格式,读写器向智能卡发送APDU命令,智能卡返回APDU响应,从而完成智能卡与读写器的通信。在认证卡中保存有用于识别的密钥信息,通过制定的一系列安全协议对这些信息进行处理,实现对艺术品的识别。
为了达到以上发明目的,本发明包括原创艺术品标注系统和原创艺术品识别系统。
原创书画类艺术品标注与识别系统,其特征在于:标注系统由带本地数据库的可进行后台管理的单机和与其相连接的密码装置组成,其通过密码装置对标注卡完成初始化,而后将可供识别的艺术品信息写入该标注卡,完成信息绑定;识别系统包括验证服务器及其相连的密码装置、连接验证服务器的Web服务器、Web服务器上连接的数据库服务器、通过英特网与Web服务器连接的客户端计算机、以及与客户端计算机连接的阅读器。
1.该系统中标注与识别方法的特征在于:依次包括有三个大流程:认证卡的初始化流程;标注卡的信息绑定流程;艺术品标注卡的Web认证流程。各流程的具体步骤如下:
(1)认证卡的初始化流程
在认证卡中,设置了两级目录结构:MF和安全文件。其中,MF是认证卡的文件系统根目录,对卡片的任何操作,都需要通过MF自身认证密钥AuMKey的认证;安全文件用来记录认证卡的外部认证密钥ExMKey,此密钥只可通过密钥标识符使用。
整个认证卡的初始化流程如下:
①.管理员安全登录软件后,输入需要修改的认证卡密钥AuMKeyNew和用于认证标注卡的密钥ExMKey,随后通过密码装置向认证卡发送获取随机数命令;
②.认证卡产生随机数Rand1,用其初始的自身认证密钥AuMKey1进行加密,将加密的随机数EnRand1存储于认证卡的内存中;同时将随机数Rand1通过密码装置发往PC机;
③.PC机将获取的Rand1用管理员已知的认证卡初始密钥AuMKey2进行加密,将加密的数据EnRand2通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand2,与步骤②产生的存放在自身内存中的加密数据EnRand1进行比较,若匹配,则认证成功,认证计数器恢复为预设阀值;否则,无法进入认证卡的主目录,而且认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡;随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证成功,将默认进入认证卡的主目录;此时,PC机通过密码装置向认证卡发送修改认证卡自身认证密钥AuMKeyNew的命令和添加认证卡用于认证标注卡的密钥ExMKey的命令,该AuMKeyNew和ExMKey是由管理员通过操作界面输入;
⑥.认证卡获取相关命令,先修改自身认证密钥为AuMKeyNew,再创建安全文件,并向该安全文件写入ExMKey。
(2)标注卡的信息绑定流程
标注卡的信息绑定就是将艺术品的信息即艺术品ID号ArtId通过一系列的安全设置写入标注卡,而写入的ArtId必须要通过标注卡自身的安全认证后才能够进行读取,以此实现标注卡内信息;标注卡的信息绑定必须要先通过认证卡自身的认证后才能进行。
标注卡的文件结构决定了其安全性,为标注卡设计了三层树状型结构,各个文件的作用以及对文件能够进行的操作描述如下:
MF为标注卡文件系统的根目录,是整个文件系统的根;对卡片的任何操作,都需要通过对MF的密钥认证;
DDF是卡片文件系统的目录文件,用于创建一个应用环境;在DDF下,只能选择其目录下的DDF、透明文件和线性记录文件;
透明文件用于记录卡片ID;
线性记录文件中用于记录艺术品的相关信息;
艺术品标注卡的MF、DDF、透明文件、线性记录文件都设置了相应的读、写密钥,用来保护文件的读、写权限,这些密钥信息都写在安全文件中;其中,MF、DDF、线性记录文件的读、写操作都须首先认证其读、写密钥;透明文件中的卡片ID要用于子密钥的生成,可以自由读出,但在透明文件中写数据时仍需认证写密钥。
整个艺术品标注信息绑定具体的流程如下:
①.管理员安全登录软件后,输入认证卡密钥AuMKeyNew1和需要绑定的艺术品标号ArtId,然后通过密码装置向认证卡发送获取随机数命令;
②.认证卡产生随机数Rand2,用其初始的自身认证密钥AuMKeyNew进行加密,将加密的随机数EnRand3存储于认证卡的内存中;同时将随机数Rand2通过密码装置发往PC机;
③.PC机将获取的Rand2用管理员输入的认证卡密钥AuMKeyNew1进行加密,将加密的数据EnRand4通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand4,与步骤②产生的存放在自身内存中的加密数据EnRand3进行比较,若匹配,则认证卡自身认证成功,认证计数器恢复为预设阀值;否则,认证卡的认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡;随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证卡认证失败,则说明管理员输入的AuMKeyNew1与认证卡的密钥AuMKeyNew不同,操作中止;否则若认证卡认证成功,PC机软件产生一个72字节的随机数,用作标注卡的标号CardId,然后以每8字节为一个单元,分别用认证卡的ExMKey进行子密钥生成计算,得到DKey、DKey1、DKey2、DKey3…DKey8,将此9个子密钥存放在PC机的内存中;随后,PC机向本地数据库发送查询请求,查找是否存在艺术品标号ArtId;若存在则由管理员选择是否弃用旧卡,一旦选择弃用,则向数据库修改该艺术品标号ArtId对应的标注卡标号CardId,否则中止对该标注卡的信息绑定操作;若数据库中不存在该艺术品标号ArtId,则将ArtId+CardId作为一条新记录写入本地数据库,数据库操作完成;
⑥.接着,PC机通过密码装置对标注卡进行标注卡自身的认证,先通过密码装置向标注卡发送获取随机数命令,标注卡产生随机数Rand3,用其初始密钥InitDKey进行加密,将加密的随机数EnRand5存储于标注卡的内存中;同时将随机数Rand3通过密码装置发往PC机;
⑦.PC机将获取的Rand3用管理员已知的标注卡初始密钥InitDKey1进行加密,将加密的数据EnRand6通过密码装置发回给标注卡进行验证;标注卡获取PC机上加密的数据EnRand6,与存放在自身内存中的加密数据EnRand5进行比较,若匹配,则认证成功,并将认证结果返回PC机;
⑧.若标注卡自身认证成功,则PC机向标注卡发送一系列命令,清除原MF文件;创建MF文件;修改InitDKey为步骤⑤中的DKey、将DKey1和DKey2作为MF的读写安全密钥;再在MF下创建DDF文件,将DKey3和DKey4作为DDF的读写安全密钥;接着在DDF下创建透明文件用于写标注卡标号的CardId,DKey5和DKey6作为透明文件的安全读、写密钥;然后在DDF下创建线性记录文件用于存储艺术品标号ArtId,DKey7和DKey8作为线性记录文件的安全读写密钥;以上文件创建后,再向透明文件写入标注卡标号CartId,向线性文件写入艺术品标号ArtId;至此标注卡信息绑定成功。
(3)艺术品标注卡的Web认证流程
当买家购买该艺术品后,通过Web访问特定站点进行识别;买家只要将已装有标识的艺术作品通过阅读器向Web服务器进行认证,由Web服务器通过安全验证后返回该艺术品的认证结果。
具体的认证过程如下:
①.客户端连接阅读器并下载相应Activex后,通过阅读器向标注卡发送获得随机数和标注卡ID的命令;
②.标注卡产生随机数,并用自身DKey对随机数进行加密,将加密后的数据存放在其内存中,随后,将随机数与标注卡ID号发往客户端;
③.客户端将随机数与标注卡ID号通过英特网发往Web服务器进行验证;
④.Web服务器接受请求,通过密码装置将标注卡ID号的前八字节和随机数提交给验证服务器;
⑤.验证服务器通过USB连接若干密码装置,它接受Web服务器转接的验证请求,向码装置发送生成子密钥和加密随机数的相关命令;
⑥.该指定的密码装置接收命令,用自身的ExMKey对标注卡ID号的前八字节进行密钥发散计算,将计算结果DKeyGen存放在认证卡内存中,并用此DKeyGen对接收到的随机数进行加密计算,将计算结果返回给验证服务器;
⑦.验证服务器将加密的随机数通过Web服务器回送至客户端;
⑧.客户端将此加密的随机数通过阅读器送至标注卡;
⑨.标注卡将接收到的加密数据与自身内存中的加密随机数进行匹配并返回匹配结果;
⑩.若匹配不成功,则验证失败;若匹配成功,则客户端通过阅读器向标注卡发送读取标注卡内艺术品ID号的命令;
标注卡读取艺术品ID号,将此数据发往客户端;
客户端将收到的艺术品ID号通过Web发往Web服务器;
Web服务器向数据库服务器发送查询请求;
数据库服务器返回查询结果;
将查询结果返回给客户端用户:若查询成功,返回艺术品相关信息;若查询失败,返回错误信息;至此艺术品标注卡的Web认证过程完成。
本发明主要由以上两个系统和三个流程组成,在具体的实施当中,是通过将IC芯片经过开发,植入可识别的标注信息,在对原创书画类艺术品进行裱画时将该芯片植入该艺术品中;当买家需要识别该艺术品是否为本系统所标注的原创艺术品时,只需登录艺术品识别网站,将艺术品接近通过USB口连接计算机的IC卡阅读器进行识别即可,如果是本系统所标注的艺术品则显示该艺术品的相关信息,否则显示不是该系统所标注的艺术品。通过这样的方式,可以对标注的艺术品实现准确、快速、安全的识别。
附图说明
图1识别系统结构图;
图2认证卡文件结构图;
图3认证卡的初始化流程图;
图4艺术品标注卡的文件结构图;
图5艺术品标注卡的信息绑定流程图;
图6艺术品标注卡的Web认证流程图。
具体实施方式
1.密码装置
密码装置由智能认证卡、读写器及用于识别的有关信息和协议组成。智能认证卡由可用于计算的计算单元、随机数发生器、用于永久性存储的E2PROM和用于临时存放数据的寄存器组成。读写器是符合智能卡通信数据接口APDU(Application Protocol Data Units,应用协议数据单元)的设备。通过制定APDU的命令格式和响应格式,读写器向智能卡发送APDU命令,智能卡返回APDU响应,从而完成智能卡与读写器的通信。在认证卡中保存有用于识别的密钥信息,通过制定的一系列安全协议对这些信息进行处理,实现对艺术品的识别。
本发明通过对密码装置中的认证卡写入用于识别的密钥信息,实现对艺术品进行识别。
在认证卡中需要保存自身认证密钥AuMKey和外部认证密钥ExMKey,AuMKey用于认证卡对管理员权限的鉴别,ExMKey用于生成艺术品标注卡的密钥及对艺术品进行识别。在认证卡中,至少需要设置两层文件结构。第一级为主目录,第二级用于存储认证卡的密钥信息。
要在认证卡中写入信息,必须首先对认证卡进行初始化。认证卡在出厂时存有一个初始的自身认证密钥AuMKey1。对认证卡的初始化,就是要认证智能卡的自身认证密钥AuMKey1。认证卡的初始化过程如下:通过密码装置向认证卡发送获取随机数的命令,认证卡产生一个随机数Rand4后,用其卡内的密钥AuMKey1进行加密,将加密的结果EnRand7存储于认证卡的内存中;同时将随机数Rand4通过密码装置发往PC机,在PC机软件中用已知的出厂密钥AuMKey2对此随机数用相同的加密算法进行加密,再将加密后的结果EnRand8送给认证卡,认证卡检验由卡内的AuMKey1对随机数加密的结果EnRand7和收到的数据EnRand8是否匹配。如果匹配,则认证卡的密钥认证成功。认证卡自身认证成功后,发送改写密钥的命令,将新的认证密钥AuMKeyNew和外部认证密钥ExMKey写入认证卡内,从而完成认证卡的初始化。
在整个的初始化过程中,加密操作采用Triple-DES算法。
2.原创艺术品标注系统
本系统完成对标注卡进行初始化,并将该标注卡与艺术品绑定。
本系统中标记卡由三层文件结构组成,具体有主目录MF、环境目录DDF、透明文件、线性记录文件和两个安全文件。透明文件用于记录标记卡的ID号CardId,线性记录文件用于记录绑定的艺术品的ID号ArtId。除安全文件,每个文件或目录,都相对应两个密钥,用于控制对相应文件的读写权限,这些密钥全部保存在安全文件中。
标注卡的初始化就是对标注卡进行自身密钥认证,从而获得操作标注卡的权限。标注卡自身出厂时存有一个初始密钥InitDKey。标注卡的初始化过程如下:通过密码装置向标注卡发送获取随机数的命令,标注卡产生一个随机数Rand5后,用卡内的初始密钥InitDKey进行加密,将加密的结果EnRand9存储于标注卡的内存中;同时将随机数Rand5通过密码装置发往PC机,在PC机软件中用已知的出厂初始密钥InitDKey1对此随机数进行加密,再将加密后的结果EnRand10送给标注卡,标注卡检验由自己的InitDKey将随机数加密的结果EnData9和收到的数据EnRand10是否匹配。如果匹配,则标注卡的初始化完成。
初始化完成后,就可将该标注卡与艺术品绑定。标注卡的信息绑定过程需要在单机上连接密码装置,且此密码装置中的认证卡密钥与识别系统中的密码装置的认证卡密钥相同。管理人员必须有系统的最高权限,知道密码装置上认证卡里的自身认证密钥AuMKeyNew,才能通过对认证卡的认证。对认证卡的认证过程如下:通过密码装置向认证卡发送获取随机数的命令,认证卡产生一个随机数Rand6后,用其卡内的密钥AuMKeyNew进行加密,将加密的结果EnRand11存储于认证卡的内存中;同时将随机数Rand6通过密码装置发往PC机,在PC机软件中用已知的出厂密钥AuMKeyNew1对此随机数进行加密,再将加密后的结果EnRand12送给认证卡,认证卡检验由卡内的AuMKeyNew对随机数加密的结果EnRand11和收到的数据EnRand12是否匹配。如果匹配,则认证卡的密钥认证成功。
通过对认证卡的认证和对标注卡的初始化之后,就可以向标注卡绑定艺术品ID号ArtId和生成各种密钥的标注卡ID号CardId,并将这些信息存储在单机上的数据库中。
在标注卡中写入ArtId和CardId后,CardId经认证卡的外部认证密钥ExMkey处理,可以得到至少9个密钥Dkey、Dkey1、Dkey2、Dkey3、Dkey4…,密钥的生成过程用认证卡的外部认证密钥ExMKey对CardId进行Triple-DES计算得到,整个过程在认证卡内计算,外界无法得到各密钥。这些密钥都用于读写标注卡内相关文件的安全,如绑定艺术品ID号时,将该ID号存储入标注卡的线性记录文件内,而该文件需要在输入密钥Dkey8的同时才允许写,从而保证了没有认证卡或者即使有认证卡但是该认证卡未通过自身认证的条件下,拒绝对文件的写操作,保护标注卡上存储的信息。同样,对于读该ID号,必须要在输入另一个密钥Dkey7的同时才允许读,保护标注卡上的信息被非法读取。
3.原创艺术品识别系统
(1)系统结构
本系统包括识别系统、网络传输系统和用接入系统三个部分组成,结构如图1所示。通过测试,一个硬件密码装置的实际识别时间在10ms以内,但是为了防止在这10ms内有多个用户同时接入认证造成的冲突,本系统采取了增加多个密码装置进行并行认证的技巧,这样,即使有上百个用户同时请求,也能在数秒内全部完成认证,大大提高效率。
(2)Web服务器
本系统中,Web服务器主要的功能是接收用户的查询请求并向客户返回查询结果。具体来说,当要识别某书画类艺术品时,将阅读器连接到接入互联网的客户端的计算机上,并将带艺术品上的标注卡接近客户端连接的阅读器,然后登录到接入互联的北京朝顺平通艺术文化发展中心的网站上,从Web服务器上下载阅读艺术品标注需要的ActiveX控件。接着点击网站上的识别按钮,客户端会将标注上的验证信息发往Web服务器,Web服务器将需要验证的信息经处理后转交给验证服务器进行验证。一旦验证通过,证明此标注卡是由本系统发放的,Web服务器便通知客户端再向服务器发送加密的艺术品ID号,Web服务器将该艺术品ID号进行解密等相关处理,再向数据库服务器发送查询请求,并将查询的信息返回给客户,从而实现识别功能。
为了避免Web服务器的过重负载,系统将验证服务器与Web服务器独立开来,Web服务器上被请求的验证将交由验证服务器完成并通过远程方法调用RMI完成。
为了能够同时验证多个客户的请求,验证服务器上连接着多个硬件密码装置,这些密码装置中的认证卡密钥与标注系统中密码装置的认证卡密钥相同。当客户通过Web服务器向验证服务器发送艺术品标注卡ID号和随机数时,服务器接受请求,对收到的数据进行验证。
由于验证服务器独立于Web服务器只做验证的单一功能,而且验证主要通过与验证服务器相连的硬件密码装置完成,硬件密码装置的数量又有若干个,因此对每个识别请求的响应时间都很短,一般不超过10ms,所以即使有大量的排队等待,都能在客户所能承受的范围内响应客户的请求。
(3)验证服务器
验证服务器是整个系统安全的关键。只有通过服务器验证的艺术品标注,才能够向Web服务器再次发送艺术品标注上的艺术品ID号。
验证服务器上连接着多个硬件密码装置,这些密码装置的认证卡里面存储了自身认证主密钥AuMKeyNew和外部认证密钥ExMkey。
当验证服务器上的密码装置接收到Web服务器转交过来的认证请求时,密码装置先用AuMKeyNew完成自身的认证,认证通过后用ExMkey发散标注卡的ID号CardId,从而获取密钥DKey,并将该Dkey存储在认证卡自身的内存中,然后验证服务器再将标注卡产生的随机数Rand7传给密码系统,让它通过Dkey完成对随机数的加密并返回加密后的值EnRand13。验证服务器随后将该加密值EnRand13返回给客户。客户再将EnRand13送给客户PC机上所连的阅读器上,阅读器将前面产生的随机数用在标注卡管理时用ExMKey对标注卡ID号CardId分散的一个密钥Dkey进行加密,加密的数据EnRand14存放在内存中。然后将EnRand13和EnRand14进行匹配,成功则说明验证通过,接着客户再通过阅读器将艺术品的ID号读出送给Web服务器,Web服务器将数据进行处理后从数据库中进行查询并将结果返回给客户。
本发明将IC卡镶嵌于书画类艺术品当中,该IC卡中含有书画类艺术品的相关信息,当买家购买该艺术品后,可通过Web访问特定站点进行真伪验证。买家只要将已装有标识的艺术作品通过阅读器向Web服务器进行认证,由Web服务器通过安全验证后返回该艺术品的认证结果。
在镶嵌IC卡至艺术品之前,需要将IC卡的信息与该艺术品信息进行安全绑定,绑定时需要使用带智能认证卡的密码装置使用相关安全协议来完成操作,而智能认证卡也需要后台进行相关设计完成初始化。
具体实施本发明主要有三个大流程:智能认证卡的初始化流程;标注卡的信息绑定流程;艺术品标注卡的Web认证流程。各流程的具体步骤如下:
1.智能认证卡的初始化流程
整个智能认证卡的初始化流程由PC机上的软件、带智能认证卡的密码装置组成,其中在认证卡中,设置了两级目录结构,如图2所示:
其中,MF是智能认证卡的文件系统根目录,对卡片的任何操作,都需要通过MF自身认证密钥AuMKey的认证;安全文件用来记录认证卡的外部认证密钥ExMKey,此密钥不可读,只可通过密钥标识符使用。
整个智能认证卡的初始化流程如下所示,具体的流程如图3所示。
①.管理员安全登录软件后,输入需要修改的认证卡密钥AuMKeyNew和用于认证标注卡的密钥ExMKey,随后通过密码装置向智能认证卡发送获取随机数命令;
②.认证卡产生随机数Rand8,用其初始的自身认证密钥AuMKey1进行加密,将加密的随机数EnRand15存储于认证卡的内存中;同时将随机数Rand8通过密码装置发往PC机;
③.PC机将获取的Rand8用管理员已知的认证卡初始密钥AuMKey2进行加密,将加密的数据EnRand16通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand16,与步①产生的存放在自身内存中的加密数据EnRand15进行比较,若匹配,则认证成功,认证计数器恢复为预设阀值如16,此时可以进入认证卡的主目录MF进行文件管理(能够在MF目录下创建、删除、读写相关目录及文件);否则,无法进入认证卡的主目录,而且认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡。随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证成功,将默认进入认证卡的主目录。此时,PC机再次通过密码装置向认证卡发送修改认证卡自身认证密钥AuMKeyNew的命令和添加认证卡用于认证标注卡的密钥ExMKey的命令,该AuMKeyNew和ExMKey是由管理员通过操作界面输入;
⑥.认证卡获取相关命令,先修改自身认证密钥为AuMKeyNew,再创建安全文件,并向该安全文件写入ExMKey;
2.标注卡的信息绑定流程
标注卡的信息绑定就是将艺术品的信息即艺术品ID号ArtId通过一系列的安全设置写入标注卡,而写入的ArtId必须要通过标注卡自身的安全认证后才能够进行读取,以此实现标注卡内信息。标注卡的信息绑定必须要先通过认证卡自身的认证后才能进行,因此该绑定流程由带智能认证卡和标注卡的密码装置和PC机上的软件组成。
标注卡的文件结构决定了其安全性,本发明中,我们为标注卡设计了如图4所示的的文件结构。
该文件系统具有三层树状型结构,各个文件的作用以及对文件能够进行的操作描述如下:
MF为标注卡文件系统的根目录,是整个文件系统的根。对卡片的任何操作,都需要通过对MF的密钥认证。
DDF是卡片文件系统的目录文件,用于创建一个应用环境。在该环境下可建立若干与应用环境相关的当前环境目录ADF、基本文件EF等。在DDF下,只能选择其目录下的DDF、ADF和EF文件。
透明文件用于记录卡片ID,是一个连续的区域,以字节为存取单元。
线性记录文件中用于记录艺术品的相关信息,既可按记录号方式访问,也可按标签方式(TAG)访问。文件内最多可以容纳255条记录。
安全文件中记录了卡片中的密钥和口令信息。安全文件中的所有信息不可读取,只可通过密钥标识符使用。
艺术品标注卡的MF、DDF、透明文件、线性记录文件都设置了相应的读、写密钥,用来保护文件的读、写权限,只有认证相应文件的读、写密钥,才能对各文件进行相应的读、写操作。这些密钥信息都写在安全文件中。其中“安全文件1”记录了MF的读、写密钥;“安全文件2”记录了DF、透明文件、线性记录文件的读、写密钥。其中,MF、DDF、线性记录文件的读、写操作都须首先认证其读、写密钥。由于透明文件中的卡片ID要用于子密钥的生成,所以可以自由读出,但在透明文件中写数据时仍需认证写密钥。
整个艺术品标注信息绑定具体的流程如下,其流程图如图5所示。
①.管理员安全登录软件后,输入认证卡密钥AuMKeyNew1和需要绑定的艺术品标号ArtId,然后通过密码装置向智能认证卡发送获取随机数命令;
②.认证卡产生随机数Rand9,用其初始的自身认证密钥AuMKeyNew进行加密,将加密的随机数EnRand17存储于认证卡的内存中;同时将随机数Rand9通过密码装置发往PC机;
③.PC机将获取的Rand9用管理员输入的认证卡密钥AuMKeyNew1进行加密,将加密的数据EnRand18通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand18,与步①产生的存放在自身内存中的加密数据EnRand17进行比较,若匹配,则认证卡自身认证成功,认证计数器恢复为预设阀值如16,此时可以利用认证卡做相关操作;否则,认证卡的认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡。随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证卡认证失败,则说明管理员输入的AuMKeyNew1与认证卡的密钥AuMKeyNew不同,操作中止;否则若认证卡认证成功,PC机软件产生一个72字节的随机数,用作标注卡的标号CardId,然后以每8字节为一个单元,分别用认证卡的ExMKey进行子密钥生成计算,得到DKey、DKey1、DKey2、DKey3…DKey8,将此9个子密钥存放在PC机的内存中。随后,PC机向本地数据库发送查询请求,查找是否存在艺术品标号ArtId。若存在则由管理员选择是否弃用旧卡,一旦选择弃用,则向数据库修改该艺术品标号ArtId对应的标注卡标号CardId,否则中止对该标注卡的信息绑定操作;若数据库中不存在该艺术品标号ArtId,则将ArtId+CardId作为一条新记录写入本地数据库,数据库操作完成;
⑥.接着,PC机通过密码装置对标注卡进行标注卡自身的认证,先通过密码装置向标注卡发送获取随机数命令,标注卡产生随机数Rand10,用其初始密钥InitDKey进行加密,将加密的随机数EnRand19存储于标注卡的内存中;同时将随机数Rand10通过密码装置发往PC机;
⑦.PC机将获取的Rand10用管理员已知的标注卡初始密钥InitDKey1进行加密,将加密的数据EnRand20通过密码装置发回给标注卡进行验证;标注卡获取PC机上加密的数据EnRand20,与存放在自身内存中的加密数据EnRand19进行比较,若匹配,则认证成功,并将认证结果返回PC机;
⑧.若标注卡自身认证成功,则PC机向标注卡发送一系列命令,清除原MF文件;创建MF文件;修改InitDKey为步骤⑤中的DKey、将DKey1和DKey2作为MF的读写安全密钥;再在MF下创建DDF文件,将DKey3和DKey4作为DDF的读写安全密钥;接着在DDF下创建透明文件用于写标注卡标号的CardId,DKey5和DKey6作为透明文件的安全读、写密钥;然后在DDF下创建线性记录文件用于存储艺术品标号ArtId,DKey7和DKey8作为线性记录文件的安全读写密钥;以上文件创建后,再向透明文件写入标注卡标号CartId,向线性文件写入艺术品标号ArtId。需要注意的是,每个文件的读写密钥用于相应文件的安全读写,必须要在知道对应密钥的情况下才能进行读写访问,但是标注卡标号CartId的读写不需要密钥,任何密码装置通过命令均可获取。至此标注卡信息绑定成功。
3.艺术品标注卡的Web认证流程
当买家购买该艺术品后,可通过Web访问特定站点进行识别。买家只要将已装有标识的艺术作品通过阅读器向Web服务器进行认证,由Web服务器通过安全验证后返回该艺术品的认证结果。具体的认证过程如下,其流程图如图6所示:
①.客户端连接阅读器并下载相应Activex后,通过阅读器向标注卡发送获得随机数和标注卡ID的命令。
②.标注卡产生随机数,并用自身DKey对随机数进行加密,将加密后的数据存放在其内存中,随后,将随机数与标记卡ID号发往客户端。
③.客户端将随机数与标注卡ID号通过Web发往Web服务器进行验证。
④.Web服务器接受请求,查询是否有空闲的密码装置,若没有,则睡眠等待固定时间如用户无法察觉的5ms,等待时间结束后,继续进行查询,直到有空闲密码装置;一旦有,则选择该密码装置,通过RMI将标注卡ID号的前八字节和随机数提交给验证服务器。
⑤.验证服务器通过USB连接若干密码装置,它接受Web服务器转接的验证请求,向步骤4中已指定的密码装置发送生成子密钥和加密随机数的相关命令。
⑥.该指定的密码装置接收命令,用自身的ExMKey对标注卡ID号的前八字节进行密钥发散计算,将计算结果DKeyGen存放在认证卡内存中,并用此DKeyGen对接收到的随机数进行加密计算,将计算结果返回给验证服务器。
⑦.验证服务器将加密的随机数通过Web服务器回送至客户端。
⑧.客户端将此加密的随机数通过阅读器送至标注卡。
⑨.标注卡将接收到的加密数据与自身内存中的加密随机数进行匹配并返回匹配结果。
⑩.若匹配不成功,则验证失败;若匹配成功,则客户端通过阅读器想标注卡发送读取标注卡内艺术品ID号的命令。
标注卡读取艺术品ID号,将此数据发往客户端。
客户端将收到的艺术品ID号通过Web发往Web服务器。
Web服务器向数据库服务器发送查询请求。
数据库服务器返回查询结果。
将查询结果以特定的显示方式返回给客户端用户:若查询成功,返回艺术品相关信息;若查询失败,返回错误信息。至此艺术品标注卡的Web认证过程完成。
Claims (1)
1.原创书画类艺术品标注与识别方法,应用以下系统:标注系统由带本地数据库的可进行后台管理的单机和与其相连接的密码装置组成,其通过密码装置对标注卡完成初始化,而后将此标注卡与艺术品绑定,供识别系统进行识别;识别系统包括验证服务器及与其相连的密码装置、连接验证服务器的Web服务器、Web服务器上连接的数据库服务器、通过英特网与Web服务器连接的客户端计算机、以及与客户端计算机连接的阅读器;
其特征在于:依次包括有三个大流程:认证卡的初始化流程;标注卡的信息绑定流程;艺术品标注卡的Web认证流程;各流程的具体步骤如下:
(1)认证卡的初始化流程
在认证卡中,设置了两级目录结构:MF和安全文件;其中,MF是认证卡的文件系统根目录,对卡片的任何操作,都需要通过MF自身认证密钥AuMKey的认证;安全文件用来记录认证卡的外部认证密钥ExMKey,此密钥只可通过密钥标识符使用;
整个认证卡的初始化流程如下:
①.管理员安全登录软件后,输入需要修改的认证卡密钥AuMKeyNew和用于认证标注卡的密钥ExMKey,随后通过密码装置向认证卡发送获取随机数命令;
②.认证卡产生随机数Rand1,用其初始的自身认证密钥AuMKey1进行加密,将加密的随机数EnRand1存储于认证卡的内存中;同时将随机数Rand1通过密码装置发往PC机;
③.PC机将获取的Rand1用管理员已知的认证卡初始密钥AuMKey2进行加密,将加密的数据EnRand2通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand2,与步骤②产生的存放在自身内存中的加密数据EnRand1进行比较,若匹配,则认证成功,认证计数器恢复为预设阀值;否则,无法进入认证卡的主目录,而且认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡;随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证成功,将默认进入认证卡的主目录;此时,PC机通过密码装置向认证卡发送修改认证卡自身认证密钥AuMKeyNew的命令和添加认证卡用于认证标注卡的密钥ExMKey的命令,该AuMKeyNew和ExMKey是由管理员通过操作界面输入;
⑥.认证卡获取相关命令,先修改自身认证密钥为AuMKeyNew,再创建安全文件,并向该安全文件写入ExMKey;
(2)标注卡的信息绑定流程
标注卡的信息绑定就是将艺术品的信息即艺术品ID号ArtId通过一系列的安全设置写入标注卡,而写入的ArtId必须要通过标注卡自身的安全认证后才能够进行读取,以此实现标注卡内信息;标注卡的信息绑定必须要先通过认证卡自身的认证后才能进行;
标注卡的文件结构决定了其安全性,为标注卡设计了三层树状型结构,各个文件的作用以及对文件能够进行的操作描述如下:
MF为标注卡文件系统的根目录,是整个文件系统的根;对卡片的任何操作,都需要通过对MF的密钥认证;
DDF是卡片文件系统的目录文件,用于创建一个应用环境;在DDF下,只能选择其目录下的DDF、透明文件和线性记录文件;
透明文件用于记录卡片ID;
线性记录文件中用于记录艺术品的相关信息;
艺术品标注卡的MF、DDF、透明文件、线性记录文件都设置了相应的读、写密钥,用来保护文件的读、写权限,这些密钥信息都写在安全文件中;其中,MF、DDF、线性记录文件的读、写操作都须首先认证其读、写密钥;透明文件中的卡片ID要用于子密钥的生成,可以自由读出,但在透明文件中写数据时仍需认证写密钥;
整个艺术品标注信息绑定具体的流程如下:
①.管理员安全登录软件后,输入认证卡密钥AuMKeyNew1和需要绑定的艺术品标号ArtId,然后通过密码装置向认证卡发送获取随机数命令;
②.认证卡产生随机数Rand2,用其初始的自身认证密钥AuMKeyNew进行加密,将加密的随机数EnRand3存储于认证卡的内存中;同时将随机数Rand2通过密码装置发往PC机;
③.PC机将获取的Rand2用管理员输入的认证卡密钥AuMKeyNew1进行加密,将加密的数据EnRand4通过密码装置发回给认证卡进行验证;
④.认证卡获取PC机上加密的数据EnRand4,与步骤②产生的存放在自身内存中的加密数据EnRand3进行比较,若匹配,则认证卡自身认证成功,认证计数器恢复为预设阀值;否则,认证卡的认证计数器减一,当计数器减为0时该认证卡将被锁定,以此保证非法无限试探认证卡;随后,认证卡将认证结果通过密码装置返回给PC机;
⑤.若认证卡认证失败,则说明管理员输入的AuMKeyNew1与认证卡的密钥AuMKeyNew不同,操作中止;否则若认证卡认证成功,PC机软件产生一个72字节的随机数,用作标注卡的标号CardId,然后以每8字节为一个单元,分别用认证卡的ExMKey进行子密钥生成计算,得到DKey、DKey1、DKey2、DKey3…DKey8,将此9个子密钥存放在PC机的内存中;随后,PC机向本地数据库发送查询请求,查找是否存在艺术品标号ArtId;若存在则由管理员选择是否弃用旧卡,一旦选择弃用,则向数据库修改该艺术品标号ArtId对应的标注卡标号CardId,否则中止对该标注卡的信息绑定操作;若数据库中不存在该艺术品标号ArtId,则将ArtId+CardId作为一条新记录写入本地数据库,数据库操作完成;
⑥.接着,PC机通过密码装置对标注卡进行标注卡自身的认证,先通过密码装置向标注卡发送获取随机数命令,标注卡产生随机数Rand3,用其初始密钥InitDKey进行加密,将加密的随机数EnRand5存储于标注卡的内存中;同时将随机数Rand3通过密码装置发往PC机;
⑦.PC机将获取的Rand3用管理员已知的标注卡初始密钥InitDKey1进行加密,将加密的数据EnRand6通过密码装置发回给标注卡进行验证;标注卡获取PC机上加密的数据EnRand6,与存放在自身内存中的加密数据EnRand5进行比较,若匹配,则认证成功,并将认证结果返回PC机;
⑧.若标注卡自身认证成功,则PC机向标注卡发送一系列命令,清除原MF文件;创建MF文件;修改InitDKey为步骤⑤中的DKey、将DKey1和DKey2作为MF的读写安全密钥;再在MF下创建DDF文件,将DKey3和DKey4作为DDF的读写安全密钥;接着在DDF下创建透明文件用于写标注卡标号的CardId,DKey5和DKey6作为透明文件的安全读、写密钥;然后在DDF下创建线性记录文件用于存储艺术品标号ArtId,DKey7和DKey8作为线性记录文件的安全读写密钥;以上文件创建后,再向透明文件写入标注卡标号CartId,向线性文件写入艺术品标号ArtId;至此标注卡信息绑定成功;
(3)艺术品标注卡的Web认证流程
当买家购买该艺术品后,通过Web访问特定站点进行识别;买家只要将已装有标识的艺术作品通过阅读器向Web服务器进行认证,由Web服务器通过安全验证后返回该艺术品的认证结果;
具体的认证过程如下:
①.客户端连接阅读器并下载相应Activex后,通过阅读器向标注卡发送获得随机数和标注卡ID的命令;
②.标注卡产生随机数,并用自身DKey对随机数进行加密,将加密后的数据存放在其内存中,随后,将随机数与标注卡ID号发往客户端;
③.客户端将随机数与标注卡ID号通过英特网发往Web服务器进行验证;
④.Web服务器接受请求,通过密码装置将标注卡ID号的前八字节和随机数提交给验证服务器;
⑤.验证服务器通过USB连接若干密码装置,它接受Web服务器转接的验证请求,向码装置发送生成子密钥和加密随机数的相关命令;
⑥.该指定的密码装置接收命令,用自身的ExMKey对标注卡ID号的前八字节进行密钥发散计算,将计算结果DKeyGen存放在认证卡内存中,并用此DKeyGen对接收到的随机数进行加密计算,将计算结果返回给验证服务器;
⑦.验证服务器将加密的随机数通过Web服务器回送至客户端;
⑧.客户端将此加密的随机数通过阅读器送至标注卡;
⑨.标注卡将接收到的加密数据与自身内存中的加密随机数进行匹配并返回匹配结果;
⑩.若匹配不成功,则验证失败;若匹配成功,则客户端通过阅读器向标注卡发送读取标注卡内艺术品ID号的命令;
标注卡读取艺术品ID号,将此数据发往客户端;
客户端将收到的艺术品ID号通过Web发往Web服务器;
Web服务器向数据库服务器发送查询请求;
数据库服务器返回查询结果;
将查询结果返回给客户端用户:若查询成功,返回艺术品相关信息;若查询失败,返回错误信息;至此艺术品标注卡的Web认证过程完成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110260396.XA CN102447691B (zh) | 2011-09-05 | 2011-09-05 | 原创书画类艺术品标注与识别系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110260396.XA CN102447691B (zh) | 2011-09-05 | 2011-09-05 | 原创书画类艺术品标注与识别系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102447691A CN102447691A (zh) | 2012-05-09 |
CN102447691B true CN102447691B (zh) | 2015-03-11 |
Family
ID=46009781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110260396.XA Expired - Fee Related CN102447691B (zh) | 2011-09-05 | 2011-09-05 | 原创书画类艺术品标注与识别系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102447691B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104616051A (zh) * | 2015-02-09 | 2015-05-13 | 马晓霞 | Nfc电子印章及应用该印章的书画防伪应用系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1352492A (zh) * | 2001-12-13 | 2002-06-05 | 大唐微电子技术有限公司 | 防伪识别通信系统及使用方法 |
CN1584913A (zh) * | 2003-08-18 | 2005-02-23 | 有限公司美术研究室 | 美术作品鉴定方法 |
CN1949262A (zh) * | 2006-11-06 | 2007-04-18 | 赵万森 | 艺术品信用交易系统 |
CN101894283A (zh) * | 2010-06-25 | 2010-11-24 | 朱建宗 | 一种鉴定书画作品的设备及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8659389B2 (en) * | 2008-12-17 | 2014-02-25 | The Jewellery Store | Secure inventory control systems and methods for high-value goods |
-
2011
- 2011-09-05 CN CN201110260396.XA patent/CN102447691B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1352492A (zh) * | 2001-12-13 | 2002-06-05 | 大唐微电子技术有限公司 | 防伪识别通信系统及使用方法 |
CN1584913A (zh) * | 2003-08-18 | 2005-02-23 | 有限公司美术研究室 | 美术作品鉴定方法 |
CN1949262A (zh) * | 2006-11-06 | 2007-04-18 | 赵万森 | 艺术品信用交易系统 |
CN101894283A (zh) * | 2010-06-25 | 2010-11-24 | 朱建宗 | 一种鉴定书画作品的设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102447691A (zh) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8713661B2 (en) | Authentication service | |
US8751829B2 (en) | Dispersed secure data storage and retrieval | |
US8752153B2 (en) | Accessing data based on authenticated user, provider and system | |
US8931689B2 (en) | Systems and methods for anti-counterfeit authentication through communication networks | |
US8972719B2 (en) | Passcode restoration | |
US8555079B2 (en) | Token management | |
US8789146B2 (en) | Dual interface device for access control and a method therefor | |
US7657740B2 (en) | Verifying the ownership of an owner's authority in terms of product and service | |
US8839391B2 (en) | Single token authentication | |
CN104217327B (zh) | 一种金融ic卡互联网终端及其交易方法 | |
CN1588386B (zh) | 射频识别与移动通信结合实现物品信息查验的系统和方法 | |
US20050232421A1 (en) | Secure logging of transactions | |
CN107004080A (zh) | 环境感知安全令牌 | |
CN104320251B (zh) | 一种离线使用在线认证的印章信息化装置、电子印鉴管理系统及认证方法 | |
WO2013122875A1 (en) | Secure digital storage | |
CN101110728A (zh) | Rfid产权证安全验证系统和验证方法 | |
US8156548B2 (en) | Identification and authentication system and method | |
CN1954345B (zh) | 智能卡数据事务系统以及用于提供存储和传输安全的方法 | |
CN110533417B (zh) | 一种数字资产管理装置、发行方法及系统 | |
GB2446175A (en) | Updating secure data on a data storage unit | |
CN103793742B (zh) | 一种交通电子车牌的电子标签安全认证和信息加密的系统 | |
US20100211488A1 (en) | License enforcement | |
CN102447691B (zh) | 原创书画类艺术品标注与识别系统和方法 | |
CN204066182U (zh) | 一种金融ic卡互联网终端 | |
CN112926972A (zh) | 一种基于区块链的信息处理方法、区块链系统及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150311 Termination date: 20150905 |
|
EXPY | Termination of patent right or utility model |