CN104394166A - 一种云环境下面向移动终端的证书防伪认证系统及方法 - Google Patents

一种云环境下面向移动终端的证书防伪认证系统及方法 Download PDF

Info

Publication number
CN104394166A
CN104394166A CN201410735639.4A CN201410735639A CN104394166A CN 104394166 A CN104394166 A CN 104394166A CN 201410735639 A CN201410735639 A CN 201410735639A CN 104394166 A CN104394166 A CN 104394166A
Authority
CN
China
Prior art keywords
certificate
subsystem
authentication
mobile terminal
query
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410735639.4A
Other languages
English (en)
Other versions
CN104394166B (zh
Inventor
周福才
王强
秦诗悦
徐剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northeastern University China
Original Assignee
Northeastern University China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northeastern University China filed Critical Northeastern University China
Priority to CN201410735639.4A priority Critical patent/CN104394166B/zh
Publication of CN104394166A publication Critical patent/CN104394166A/zh
Application granted granted Critical
Publication of CN104394166B publication Critical patent/CN104394166B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种云环境下面向移动终端的证书防伪认证系统及方法,该系统包括证书制作子系统、证书发布子系统和移动终端子系统;证书制作子系统根据证书的关键信息生成二维码,得到认证数据结构及其认证特征值basis,XML数字签名后发送至证书发布子系统更新认证数据结构副本;证书制作子系统制作含有二维码的证书并颁发给证书持有者;利用移动终端子系统扫描证书上的二维码信息后,向证书发布子系统发送查询认证请求;证书发布子系统对查询认证SOAP包进行解析,将应答SOAP包返回给移动终端子系统进行细粒度的真实性认证。集成XML数字签名技术解决分布式证书认证问题,较传统的证书认证系统而言,既保证了必须的真实性认证,也降低了证书制作子系统的负担。

Description

一种云环境下面向移动终端的证书防伪认证系统及方法
技术领域
本发明属于网络安全技术领域,特别涉及一种云环境下面向移动终端的证书防伪认证系统及方法。
背景技术
近年来高校毕业人数的不断增多,对学历证书的认证需求不断增大。不仅要保证纸质证书的真实性,而且还需对网上电子毕业证书进行认证。目前,中国高等教育学生信息网www.chsi.com.cn就可以提供此类学历证书的查询与认证服务。查询者需要登陆到这个唯一指定的网站,输入证书编号、姓名、查询码、验证码等才能进行证书的查询。然后通过输入在线验证码才能进行证书真伪的验证。这种查询验证方法所采用的技术是典型的集中式数据处理技术。该网站经教育部授权存储全国证书数据库副本,用户每次向该数据库发起验证查询。当用户发起查询时,该网站将查询证书信息与数据库(这个数据库是存储在教育部的服务器上的)进行逐项比对,若完全一致,验证通过(真证书);否则验证失败(伪证书)。
随着数据量不断增加,该集中式数据处理系统挑战也愈发突出。海量数据需大量的存储空间;数据高度集中,会不可避免的引起“网络延时”和“拒绝服务攻击”等问题,并且该系统还需额外建立与维护可信数据环境来保证证书的真实性,而建立和维护可信环境的成本是极其昂贵的;同时也面临着难以升级的问题。这种集中式的处理形式已不适用于目前网络环境,将毕业证书系统移植到云计算环境下,利用云计算的海量存储空间与丰富的计算资源来解决现有毕业证书的验证问题。其主要技术手段就是解决云环境下数据认证问题。
目前的解决方法有:将传统的消息认证技术(如数字签名或消息认证码)直接应用到此类数据认证问题中,对于查询应答任何数据项进行签名并把这些签名附加到每个数据项上。由于数据将随着时间而快速增长,而且为每个数据项(网页)进行数字签名是非常困难的,还要耗费大量的时间,因此这种解决方法的效率将非常低下;利用可信服务器的方法。这种方法的一个主要缺点是每个服务器必须在一个安全的环境中得到维护,因此需要额外的建立与维护操作,这就需要大量的实现费用。这个方法从经济角度上是不可行的;对数据库整体进行数字签名方法。数据源周期性地对数据库当前版本的消息摘要进行数字签名。该种方案只能解决静态结构问题,且对于客户端要有较高的计算要求。为了验证查询数据的真实性,客户端需要处理整个数据库,更新代价过高;认证数据结构模型虽能解决分布式数据的高效查询和认证问题,但是最大缺点在于客户端必须访问体积庞大的、私有的接口。程序开发人员必须具有专门的知识,同时还需要为不同的目标操作系统和程序设计语言提供独立的工具,这些工具都拥有各自独立的通信协议和规范器等等。
可见,上述方案虽可解决认证问题,但是在实际的应用过程中却存在着效率低下、运营维护成本高的问题、可扩展性差、不利于大范围推广。
发明内容
针对现有技术存在的不足,本发明提供一种云环境下面向移动终端的证书防伪认证系统及方法。
本发明的技术方案是:
一种云环境下面向移动终端的证书防伪认证系统,包括证书制作子系统、证书发布子系统和移动终端子系统;
证书制作子系统在证书颁发机构终端实现,用于根据证书的关键信息生成二维码,同时得到认证数据结构及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;接收到证书发布子系统返回的更新结果后,根据关键信息制作含有二维码的证书,并颁发给证书持有者;
证书发布子系统在云服务器中实现,用于更新认证数据结构副本,把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后,将更新结果返回给证书制作子系统;接收移动终端子系统发送的查询认证SOAP包,并对其进行解析,将应答SOAP包返回给移动终端子系统;
移动终端子系统在移动终端实现,用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求,并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证。
所述的云环境下面向移动终端的证书防伪认证系统的证书防伪认证方法,包括以下步骤:
步骤1:证书制作子系统根据证书的关键信息生成二维码,同时得到认证数据结构及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;
步骤1.1:证书颁发机构将证书的关键信息录入到证书制作子系统中,生成与证书关键信息对应的二维码,更新认证数据结构及其认证特征值basis;
步骤1.2:证书制作子系统使用自己的私钥对认证特征值basis进行XML数字签名并存储在证书制作子系统数据库;
步骤1.3:证书制作子系统把证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis通过SOAP封装发给证书发布子系统;
步骤2:证书发布子系统更新认证数据结构副本,并将更新结果返回给证书制作子系统;
步骤2.1:证书发布子系统对证书制作子系统发送的SOAP包进行解析,得到证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis;
步骤2.2:更新证书发布子系统的数据库和认证数据结构副本,生成新的认证特征值basis;
步骤2.3:证书发布子系统把进行XML数字签名后的认证特征值basis作为认证根数据,以XML文件的形式保存在证书发布子系统数据库;
步骤2.4:更新认证数据结构副本成功后,证书发布子系统将更新结果返回给证书制作子系统;
步骤3:证书制作子系统根据关键信息生成对应二维码,将包含该二维码的证书颁发给证书持有者;
步骤4:利用移动终端子系统扫描证书上的二维码信息后,移动终端子系统向证书发布子系统发送查询认证请求;
步骤4.1:扫描证书上的二维码,读出二维码内关键信息,作为移动终端子系统的输入信息;
步骤4.2:将扫描得到的关键信息进行SOAP封装,得到查询认证SOAP包;
步骤4.3:将查询认证SOAP包发给证书发布子系统,即发送查询认证请求至云服务器;
步骤5:证书发布子系统对查询认证SOAP包进行解析,将应答SOAP包返回给移动终端子系统;
步骤5.1:证书发布子系统在接收到查询认证请求后,对查询认证SOAP包进行解析,得到需要查询的关键信息;
步骤5.2:执行查询算法生成与需要查询的关键信息对应的查询路径与查询结果;
步骤5.3:将查询路径通过base64编码序列化,得到一系列的哈希链序列,再将这些哈希序列与查询结果一同封装到Query Response标签元素下;
步骤5.4:将认证根数据的XML文件的信息复制过来,与Query Response标签元素一起封装得到应答SOAP包,应答SOAP包中包括查询路径、查询结果以及认证根数据的XML文件;
步骤5.5:将应答SOAP包返回给移动终端子系统;
步骤6:移动终端子系统对应答SOAP包中的认证特征值basis进行细粒度的防伪认证;
步骤6.1:移动终端子系统接收应答SOAP包后,解析该SOAP包,获得认证查询路径、查询结果及认证根数据的XML文件;
步骤6.2:利用关键信息与查询路径计算认证根数据;
步骤6.3:将计算得到的认证根数据替换XML文件中的认证根数据;
步骤6.4:利用证书制作子系统的公钥还原与每项关键信息对应的认证根数据,如果还原出的认证根数据与替换前的XML文件中的认证根数据不同,则防伪认证失败,当前证书为假,同时在移动终端子系统显示防伪认证失败,否则防伪认证成功,当前证书为真,同时在移动终端子系统显示防伪认证成功。
有益效果:
一、集成XML数字签名技术解决分布式证书认证问题,较传统的证书认证系统,既保证了必须的真实性认证,也降低了证书制作子系统的负担。
由于传统的证书认证系统,仍然是集中式数据管理的模式,证书制作子系统在完成数据录入等基本功能之外,还要承担查询、认证的功能,这样不可避免地会出现“访问延时”与“拒绝服务攻击”等问题。将XML数字签名技术用在证书认证上,保证证书内容在不可信环境下的信用度,使得将证书副本与查询功能分割给第三方服务器成为可能,也使云环境下证书防伪认证系统成为可能。
二、将认证数据结构引入到认证系统中,降低原本数字签名的花费,完善系统结构组成。
利用XML数字签名技术可以保证异地存储的信息的真实性,但是如何对原本信息进行数字签名是个大问题。由于数字签名技术开销代价大,所以应该减少签名次数。利用认证数据结构,将所有证书信息中的各个字段作为各认证跳表的叶子节点,通过计算哈希值,可以得到证书的关键信息的一个认证特征值basis,如果关键信息发生改变,认证特征值basis就会变,所以可以通过对认证特征值basis的签名验证,来验证整个证书内容的真实性。同时创新性地将认证数据结构模型中各实体代入到本系统中,并进行改善,使得整个系统更加严谨、高效。
三、更加全面的错误报告,细粒度的证书认证。
由于系统针对所有证书信息中的各个字段进行建立跳表,也就是说可以验证每一个字段的每一个值的真实性,同时利用XML数字签名技术可以对本系统中任何一个包含关键信息的标签元素进行签名的特征,从而实现了对证书细粒度的认证。目前完成的系统不但可以验证整个证书的内容是否真实、内容是否正确,还可以验证证书中具体哪一项信息错误或者被篡改。
四、利用移动终端取代传统的PC端,通过二维码扫描形式进行输入,大大简化了用户使用的复杂度。
由于现在手机的普及度,使用移动客户端比较PC端更加有优势,用人单位或部门可以随时对证书进行认证,并且不用进行复杂的输入与操作,只需轻松扫一扫,就可以进行验证,便于该系统的推广,提升了用户体验。
五、具有更加完善的安全性。
本系统采用了认证数据结构和XML数字签名技术,移动终端进行认证查询时,云服务器会返回签名值和认证路径来进行细粒度的分析检测,该系统可以成功防御中间人攻击、拦劫攻击、信息伪造、自动攻击等几类攻击形式并给出认证报告。
针对篡改验证通过毕业证书某项内容并重新生成二维码伪造毕业证书情况,数据库中查询到的,云服务器会返回对应每个关键信息对应的签名值和认证路径。移动终端子系统根据认证路径计算对应的签名值与服务器返回的签名值做比对,返回每项的查询结果,并将认证报告显示在客户端的屏幕上。本系统不仅完成了验证功能,而且还给出了细粒度的分析报告。
针对敌手编造新的证书的情况,新的证书内容对验证有两种可能,一个是证书的内容全是错误的,另一个是证书的内容部分是正确的。这两种情况是都不能通过验证的,只有被授权部门授权的有效证书才能通过验证。敌手伪造的证书里面的关键信息都是错误的,这时云服务器直接返回查询结果,而没有认证路径的和签名值。
针对伪证书附上验证通过的证书二维码的情况,移动终端子系统在扫描后证书二维码后验证返回的结果为ture,客户将移动终端子系统生成的电子证书与实体证书对比就会发现两张证书内容是不一样的,这样就可以检测出该证书是假的,这样不仅能知道了该证书二维码是真实的,伪造证书内容是假的,同样也可以做到细粒度分析。
针对中间人攻击的情况,目前,黑客在进行某些攻击时,往往会收集网络传输的数据,通过这些信息数据来到达攻击的目的,称作拦截攻击。本系统采用了数字签名及认证跳表数据结构可以成功的防御拦截攻击。移动终端子系统验证证书有效性时,需要证据和电子证书内容(查询的内容)。即便是敌手截获了一个验证通过的电子毕业证书证据与证书内容。敌手想用这个证据伪造一个电子毕业证书试图通过验证这是不可能的。
针对敌手截获并对信息进行篡改的情况,第一、篡改的数据项在服务器查询不到,也就是信息全部是错误的;第二、篡改的数据项在服务器可以查到,也就是部分信息是正确的。
附图说明
图1是本发明具体实施方式的云环境下面向移动终端的证书防伪认证系统示意图;
图2是本发明具体实施方式的云环境下面向移动终端的证书防伪认证方法流程图;
图3是本发明具体实施方式的证书颁发及发布流程图;
图4是本发明具体实施方式的证书查询及认证流程图;
图5是本发明具体实施方式的证书制作子系统示意图;
图6是本发明具体实施方式的证书发布子系统示意图;
图7是本发明具体实施方式的移动终端子系统示意图;
图8是本发明具体实施方式的证书发布子系统更新认证数据结构副本流程图;
图9是本发明具体实施方式的防伪认证的流程图;
图10是本发明具体实施方式的XML转换的执行情况示意图;
图11是本发明具体实施方式的证书发布子系统具体工作流程图;
图12是本发明具体实施方式的移动终端子系统具体工作流程图。
具体实施方式
下面结合附图对本发明的具体实施方式做详细说明。
本实施方式是针对毕业证书的一种云环境下面向移动终端的证书防伪认证系统,如图1所示,包括证书制作子系统S、证书发布子系统R和移动终端子系统C。
证书制作子系统在证书颁发机构终端实现,用于根据证书的关键信息Key生成二维码,同时得到认证数据结构ADS及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;接收到证书发布子系统返回的更新结果后,根据关键信息制作含有二维码的证书,并颁发给证书持有者。
本实施方式的证书颁发机构指经教育部授权的学校或者培训机构。证书制作子系统既是原始数据的录入和更新方,也是唯一的可信方。其主要功能有:对证书信息的录入,以及与证书发布子系统的交互,如图5所示。
证书发布子系统在云服务器中实现,用于更新认证数据结构副本,把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后,将更新结果返回给证书制作子系统;接收移动终端子系统发送的查询认证SOAP包,并对其进行解析,将应答SOAP包返回给移动终端子系统,如图6所示,具体工作流程如图11所示。
移动终端子系统在移动终端实现,用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求,并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证,如图7所示,具体工作流程如图12所示。
为方便后续描述,给出如表1所示的标识及说明。
表1各实体间通信的符号描述
云环境下面向移动终端的证书防伪认证系统的证书防伪认证方法,如图2所示,包括以下步骤:
步骤1:证书制作子系统根据证书的关键信息生成二维码,同时得到认证数据结构及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;
步骤1.1:证书颁发机构将证书的关键信息录入到证书制作子系统中,生成与证书关键信息对应的二维码,更新认证数据结构及其认证特征值basis;
认证特征值basis即认证跳表的特征值basis;
步骤1.2:证书制作子系统使用自己的私钥对认证特征值basis进行XML数字签名并存储在证书制作子系统数据库;
证书制作子系统选择一个安全参数1k,调用密钥生成算法KeyG(1k)生成公私钥对证书制作子系统使用自己的私钥KA -1对新的认证特征值basis进行XML数字签名 { basis , SK } K A - 1 ( XML ) ;
步骤1.3:证书制作子系统把证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis通过SOAP封装发给证书发布子系统;
步骤2:证书发布子系统更新认证数据结构副本,并将更新结果UR返回给证书制作子系统;
证书发布子系统更新认证数据结构副本流程如图8所示;
步骤2.1:证书发布子系统对证书制作子系统发送的SOAP包进行解析,得到证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis,XML数字签名后的认证特征值basis即该认证特征值basis的签名值;
步骤2.2:更新云服务器的数据库和认证数据结构副本,生成新的认证特征值basis;
步骤2.3:证书发布子系统把进行XML数字签名后的认证特征值basis作为认证根数据,以XML文件的形式保存在证书发布子系统数据库;
步骤2.4:更新认证数据结构副本成功后,证书发布子系统将更新结果UR返回给证书制作子系统;
步骤3:证书制作子系统根据关键信息生成对应二维码,将包含该二维码的证书颁发给证书持有者;
上述本实施方式的证书颁发及发布流程如图3所示;
步骤4:利用移动终端子系统扫描证书上的二维码信息后,移动终端子系统向证书发布子系统发送查询认证请求q;
步骤4.1:扫描证书上的二维码,读出二维码内关键信息Key,作为移动终端子系统的输入信息;
步骤4.2:将扫描得到的关键信息进行SOAP封装,得到查询认证SOAP包;
步骤4.3:将查询认证SOAP包发给证书发布子系统,即发送查询认证请求至云服务器;
步骤5:证书发布子系统对查询认证SOAP包进行解析,将应答SOAP包返回给移动终端子系统;
步骤5.1:证书发布子系统在接收到查询认证请求后,对查询认证SOAP包进行解析,得到需要查询的关键信息;
步骤5.2:执行查询算法Res(q,S)生成与需要查询的关键信息对应的查询路径p与查询结果a;
步骤5.3:将查询路径p通过base64编码序列化,得到一系列的哈希链序列,再将这些哈希序列与查询结果a一同封装到Query Response标签元素下;
步骤5.4:将认证根数据的XML文件的信息复制过来,与Query Response标签元素一起封装得到应答SOAP包,应答SOAP包中包括查询路径、查询结果以及认证根数据的XML文件;
步骤5.5:将应答SOAP包返回给移动终端子系统;
步骤6:移动终端子系统对应答SOAP包中的认证特征值basis进行细粒度的防伪认证;
防伪认证的过程如图9所示;
首先扫描输入XML文件,找到查询结果子树,即QueryResponse子树。然后将该子树的查询结果部分进行循环读出,并将查询结果生成报告给客户端显示。即移动终端子系统在收到应答SOAP包后,将查询结果(包含多个查询,有几个关键信息就有几个查询结果)和关键信息对应的节点所在的树BasisSubTree分离。由认证数据结构的理论知识可以得到,如果证书发布子系统的数据没有被篡改的话,用户就可以利用移动终端子系统,根据BasisSubTree下的查询信息与认证哈希链通过级联哈希来得到认证数据结构的认证特征值basis。计算得到的认证特征值basis,与BasisSubTree子树的Basis标签下的认证特征值basis进行比对,最后通过验证XML数字签名来证明信息是否被篡改。
对于将计算得到的认证特征值basis与原本值做比对,定义了一个APB(Answer Proof toBasis)转换,主要负责根据查询路径与查询结果来计算认证特征值basis,并将所得的新的认证特征值basis来替换原本的认证特征值basis,再通过对每个关键信息进行逐项验证,即可验证XML数字签名是否被篡改,同时也可以验证计算所得认证特征值basis是否正确。
步骤6.1:移动终端子系统接收应答SOAP包后,解析该SOAP包,获得认证查询路径(认证哈希链)、查询结果及认证根数据的XML文件;
步骤6.2:利用关键信息与查询路径计算认证根数据;
步骤6.3:将计算得到的认证根数据替换XML文件中的认证根数据(即APB(Answer Proofto Basis)转换);
APB转换的具体步骤如图10所示,具体如下:
(1)确认当前是Value元素。
(2)如果找到查询的关键信息(即敏感字段),则根据查询的敏感字段信息,由本地的哈希函数计算其哈希值,得到初始的消息摘要。
(3)如果找不到查询的关键信息(即敏感字段),则计算其相邻两个元素的双元哈希值。
(4)将QueryResponse子树各级的Proof标签的哈希链序列,即所有HashList元素里Hash元素的哈希值,取出并根据本地的认证数据结构的认证算法Ver(PK,(a,p),basis),利用可交换双元哈希函数的特性,循环进行哈希级联运算。依次计算出各个敏感字段的认证数据结构的认证特征值basis,理论上这个值应该与证书发布子系统传来的认证特征值basis一致。
(5)最后将生成的认证特征值basis替换原本BasisSubTree子树中的Basis标签下的认证特征值basis,得到XML文件。该XML文件与原文件除了认证特征值basis不同之外,其他都一致。系统所使用的XML数字签名技术是分项签名。标签SignedInfo中存的为每个关键信息下对应的是一个认证特征值basis与它的签名值,而另一个标签SignatureValue存的为整个XML文件的签名值,也就是说在替换认证特征值basis之后,可以根据分项签名验证认证特征值basis是否变化。由于认证特征值basis进行了替换,如果替换后的认证特征值basis发生变化也就是说认证特征值basis不同,即查询数据错误,再根据标签SignatureValue中整个XML文件的签名值来验证整个XML文件的正确性,即文件是否被篡改。
(6)返回认证特征值basis,即认证特征值basis。
步骤6.4:利用证书制作子系统的公钥PK还原与每项关键信息对应的认证根数据如果还原出的认证根数据与替换前的XML文件中的认证根数据不同,则防伪认证失败,当前证书为假,同时在移动终端子系统显示防伪认证失败,否则防伪认证成功,当前证书为真,同时在移动终端子系统显示防伪认证成功。
上述本实施方式的证书查询及认证流程如图4所示。
移动终端子系统调用认证算法Ver(PK,(a,p),basis)算法,生成认证结果VR并生成认证报告,在移动终端子系统上显示出来,用户即可通过验证认证报告来确定证书信息的真实性。

Claims (2)

1.一种云环境下面向移动终端的证书防伪认证系统,其特征在于:包括证书制作子系统、证书发布子系统和移动终端子系统;
证书制作子系统在证书颁发机构终端实现,用于根据证书的关键信息生成二维码,同时得到认证数据结构及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;接收到证书发布子系统返回的更新结果后,根据关键信息制作含有二维码的证书,并颁发给证书持有者;
证书发布子系统在云服务器中实现,用于更新认证数据结构副本,把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后,将更新结果返回给证书制作子系统;接收移动终端子系统发送的查询认证SOAP包,并对其进行解析,将应答SOAP包返回给移动终端子系统;
移动终端子系统在移动终端实现,用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求,并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证。
2.权利要求1所述的云环境下面向移动终端的证书防伪认证系统的证书防伪认证方法,其特征在于:包括以下步骤:
步骤1:证书制作子系统根据证书的关键信息生成二维码,同时得到认证数据结构及其认证特征值basis,对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统;
步骤1.1:证书颁发机构将证书的关键信息录入到证书制作子系统中,生成与证书关键信息对应的二维码,更新认证数据结构及其认证特征值basis;
步骤1.2:证书制作子系统使用自己的私钥对认证特征值basis进行XML数字签名并存储在证书制作子系统数据库;
步骤1.3:证书制作子系统把证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis通过SOAP封装发给证书发布子系统;
步骤2:证书发布子系统更新认证数据结构副本,并将更新结果返回给证书制作子系统;
步骤2.1: 证书发布子系统对证书制作子系统发送的SOAP包进行解析,得到证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis;
步骤2.2:更新证书发布子系统的数据库和认证数据结构副本,生成新的认证特征值basis;
步骤2.3:证书发布子系统把进行XML数字签名后的认证特征值basis作为认证根数据,以XML文件的形式保存在证书发布子系统数据库;
步骤2.4:更新认证数据结构副本成功后,证书发布子系统将更新结果返回给证书制作子系统;
步骤3:证书制作子系统根据关键信息生成对应二维码,将包含该二维码的证书颁发给证书持有者;
步骤4:利用移动终端子系统扫描证书上的二维码信息后,移动终端子系统向证书发布子系统发送查询认证请求;
步骤4.1:扫描证书上的二维码,读出二维码内关键信息,作为移动终端子系统的输入信息;
步骤4.2:将扫描得到的关键信息进行SOAP封装,得到查询认证SOAP包;
步骤4.3:将查询认证SOAP包发给证书发布子系统,即发送查询认证请求至云服务器;
步骤5:证书发布子系统对查询认证SOAP包进行解析,将应答SOAP包返回给移动终端子系统;
步骤5.1:证书发布子系统在接收到查询认证请求后,对查询认证SOAP包进行解析,得到需要查询的关键信息;
步骤5.2:执行查询算法生成与需要查询的关键信息对应的查询路径与查询结果;
步骤5.3:将查询路径通过base64编码序列化,得到一系列的哈希链序列,再将这些哈希序列与查询结果一同封装到Query Response标签元素下;
步骤5.4:将认证根数据的XML文件的信息复制过来,与Query Response标签元素一起封装得到应答SOAP包,应答SOAP包中包括查询路径、查询结果以及认证根数据的XML文件;
步骤5.5:将应答SOAP包返回给移动终端子系统;
步骤6:移动终端子系统对应答SOAP包中的认证特征值basis进行细粒度的防伪认证;
步骤6.1:移动终端子系统接收应答SOAP包后,解析该SOAP包,获得认证查询路径、查询结果及认证根数据的XML文件;
步骤6.2:利用关键信息与查询路径计算认证根数据;
步骤6.3:将计算得到的认证根数据替换XML文件中的认证根数据;
步骤6.4:利用证书制作子系统的公钥还原与每项关键信息对应的认证根数据,如果还原出的认证根数据与替换前的XML文件中的认证根数据不同,则防伪认证失败,当前证书为假,同时在移动终端子系统显示防伪认证失败,否则防伪认证成功,当前证书为真,同时在移动终端子系统显示防伪认证成功。
CN201410735639.4A 2014-12-04 2014-12-04 一种云环境下面向移动终端的证书防伪认证系统及方法 Active CN104394166B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410735639.4A CN104394166B (zh) 2014-12-04 2014-12-04 一种云环境下面向移动终端的证书防伪认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410735639.4A CN104394166B (zh) 2014-12-04 2014-12-04 一种云环境下面向移动终端的证书防伪认证系统及方法

Publications (2)

Publication Number Publication Date
CN104394166A true CN104394166A (zh) 2015-03-04
CN104394166B CN104394166B (zh) 2017-07-07

Family

ID=52612001

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410735639.4A Active CN104394166B (zh) 2014-12-04 2014-12-04 一种云环境下面向移动终端的证书防伪认证系统及方法

Country Status (1)

Country Link
CN (1) CN104394166B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107852633A (zh) * 2015-05-25 2018-03-27 Lg 电子株式会社 通过终端报告wlan连接状态的方法和设备
CN108242998A (zh) * 2016-12-27 2018-07-03 航天信息股份有限公司 一种移动设备通过二维码提取数字证书的方法及系统
CN108494562A (zh) * 2018-03-28 2018-09-04 湖南东方华龙信息科技有限公司 在云端创建私有ca的方法和数字签名认证方法
CN109450896A (zh) * 2018-11-08 2019-03-08 济南浪潮高新科技投资发展有限公司 一种证书二维码电子认证云服务系统、方法和装置
CN110008683A (zh) * 2019-04-17 2019-07-12 尤尼泰克(嘉兴)信息技术有限公司 一种基于二维码的证书识别方法及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006115491A1 (en) * 2005-04-25 2006-11-02 Tecsec, Incorporated Process of encryption and operational control of tagged data elements
CN101616165A (zh) * 2009-07-28 2009-12-30 江苏先安科技有限公司 一种新型x509数字证书白名单发布查询验证的方法
CN101340282B (zh) * 2008-05-28 2011-05-11 北京易恒信认证科技有限公司 复合公钥的生成方法
CN103166762A (zh) * 2013-03-07 2013-06-19 武汉理工大学 一种应对私钥泄露的身份标识使用方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006115491A1 (en) * 2005-04-25 2006-11-02 Tecsec, Incorporated Process of encryption and operational control of tagged data elements
CN101340282B (zh) * 2008-05-28 2011-05-11 北京易恒信认证科技有限公司 复合公钥的生成方法
CN101616165A (zh) * 2009-07-28 2009-12-30 江苏先安科技有限公司 一种新型x509数字证书白名单发布查询验证的方法
CN103166762A (zh) * 2013-03-07 2013-06-19 武汉理工大学 一种应对私钥泄露的身份标识使用方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107852633A (zh) * 2015-05-25 2018-03-27 Lg 电子株式会社 通过终端报告wlan连接状态的方法和设备
CN108242998A (zh) * 2016-12-27 2018-07-03 航天信息股份有限公司 一种移动设备通过二维码提取数字证书的方法及系统
CN108494562A (zh) * 2018-03-28 2018-09-04 湖南东方华龙信息科技有限公司 在云端创建私有ca的方法和数字签名认证方法
CN109450896A (zh) * 2018-11-08 2019-03-08 济南浪潮高新科技投资发展有限公司 一种证书二维码电子认证云服务系统、方法和装置
CN110008683A (zh) * 2019-04-17 2019-07-12 尤尼泰克(嘉兴)信息技术有限公司 一种基于二维码的证书识别方法及设备

Also Published As

Publication number Publication date
CN104394166B (zh) 2017-07-07

Similar Documents

Publication Publication Date Title
CN107171794B (zh) 一种基于区块链和智能合约的电子文书签署方法
CN109889497B (zh) 一种去信任的数据完整性验证方法
Shu et al. Blockchain-based decentralized public auditing for cloud storage
CN111092737B (zh) 数字证书管理方法、装置及区块链节点
US8874921B2 (en) System and method for generating keyless digital multi-signatures
Abbasi et al. Veidblock: Verifiable identity using blockchain and ledger in a software defined network
CN110569674A (zh) 基于区块链网络的认证方法及装置
Xie et al. Blockchain‐Based Cloud Data Integrity Verification Scheme with High Efficiency
Yao et al. PBCert: privacy-preserving blockchain-based certificate status validation toward mass storage management
CN104394166B (zh) 一种云环境下面向移动终端的证书防伪认证系统及方法
CN109861996B (zh) 基于区块链的关系证明方法、装置、设备及存储介质
CN112527912A (zh) 基于区块链网络的数据处理方法、装置及计算机设备
CN105207780A (zh) 一种认证用户方法及装置
CN111130800A (zh) 一种基于tee的可信预言机实现方法及装置
CN109981287A (zh) 一种代码签名方法及其存储介质
Zhao et al. A blockchain-facilitated secure sensing data processing and logging system
CN112311779B (zh) 应用于区块链系统的数据访问控制方法及装置
CN115208628B (zh) 基于区块链的数据完整性验证方法
CN105187218A (zh) 一种多核心基础设施的数字化记录签名、验证方法
Saleem et al. ProofChain: An X. 509-compatible blockchain-based PKI framework with decentralized trust
CN109495458A (zh) 一种数据传输的方法、系统及相关组件
CN104361295B (zh) 一种基于云平台的车联网rsu数据查询验证方法
Jia et al. PROCESS: Privacy-preserving on-chain certificate status service
Mishra et al. Blockchain assisted privacy-preserving public auditable model for cloud environment with efficient user revocation
Xiao et al. A novel blockchain-based digital forensics framework for preserving evidence and enabling investigation in industrial Internet of Things

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant