WO2016101554A1

WO2016101554A1 - 一种保障网络信息安全的体系架构及方法

Info

Publication number: WO2016101554A1
Application number: PCT/CN2015/081340
Authority: WO
Inventors: 于志
Original assignee: 于志
Priority date: 2015-06-04
Filing date: 2015-06-12
Publication date: 2016-06-30
Also published as: JP2017509275A; US20170006014A1; CN104836817A; JP6230728B2; EP3099033A1; KR20170003905A; EP3099033B1; RU2016140212A; EP3099033A4; KR101862279B1; RU2656813C2; US10050956B2

Abstract

一种保障网络信息安全的体系架构及方法，其体系架构包括互联网及程序碎片处理单元与对数据进行加密及解密运算的认证单元。其方法包括：获取各为13位十进制的第1组及第2组两组数据，看是否符合EAN13及流水号编码原则，若符合则将两组数据加密运算，产生第3组数据，得三组数据码并将其作为新的IP地址，将新的IP地址经程序碎片处理，认证中心对处理所得的三组数据进行解密运算，验算结果为"0"则将三组数据加密后，再将信息传递给目标用户即被访问者，将分为三行的三组数据码存储，用于网络寻址。本发明既有明示部分，又有密码部分，对于访问者及用户都易辨证；不易仿造，不易假冒。

Description

一种保障网络信息安全的体系架构及方法技术领域

[0001] 本发明涉及商用密码技术在保障网络信息安全中的应用，是一种能保障网络信息安全的数字密码认证体系及方法。

背景技术

[0002] 互联网，即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络。互联网是将两台计算机或者是两台以上的计算机终端、客户端、服务端通过计算机信息技术的手段互相联系起来的结果。

[0003] 伴随越来越频发的网络攻击事件，安全防护漏洞已让用户安全和保护措施成为令人不安的关注焦点，其中甚至包括颇具安全意识的大型知名用户也面临着相同问题，网络信息安全问题已经成为信息社会尚待解决的重要问题之一。因此确保安全防护将会成为必须的 IT需求，而并不是仅仅拥有设备。安全防护漏洞跨越各产业延伸到存取、基础架构和应用程式；在固定与移动网络上都可能发生，并破坏用户的实体、知识产权及金融资本。网络上漏洞所导致的任何停机吋间都会对客户的体验、用户的品牌声誉带来破坏性影响，并最终影响业务的收益与可持续性。

技术问题

[0004] 密码技术是保护网络信息安全的重要手段之一。密码技术自古有之，到目前为止，已经从外交和军事领域走向公幵。它不仅具有保证信息机密性的信息加密功能，而且具有数字签名、身份验证、系统安全等功能。因此，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确定性，防止信息被篡改、伪造和假冒。

问题的解决方案

技术解决方案

[0005] 本发明目的是针对以上现有技术的不足，提供一种对网络信息的加密、识别以及保护的构架及方法；既有明示部分，又有密码部分，对于访问者及用户都易辨证；不易仿造，不易假冒。

[0006] 本发明目的可通过以下技术方案实现：

[0007] 一种保障网络信息安全的体系架构，包括互联网，即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络，所述系统还包括：

[0008] 用于对数据进行程序碎片处理的程序碎片处理单元；

[0009] 用于对数据进行加密及解密运算的认证单元。

[0010] 一种保障网络信息安全的体系方法，包括以下步骤：

[0011] (1) 、获取计算机待处理的各为 13位十进制的第 1组及第 2组两组数据；

[0012] (2) 、计算机判断第 1组数据是否符合国际通用的 EAN13编码原则，若符合则后台将其与用户的 IPV4地址相对应，若不符合则进行错误提示；

[0013] (3) 、计算机判断第 2组数据是否符合流水号编码原则，若符合则进行下一步

，若不符合则进行错误提示；

[0014] (4) 、计算机将上述符合 EAN13编码原则的第 1组数据和符合流水号编码原则的第 2组数据，通过商用密码算法加密运算，产生一个 13位的十进制验证码，即第 3组数据；

[0015] (5) 、计算机将第 1组数据、第 2组数据及第 3组数据分为三行，即得三组数据码，将其作为用户新的 IP地址；

[0016] (6) 、访问者将含有用户新的 IP地址的信息传送给计算机系统的程序碎片处理单元，即 CN39-313 , CN39-313对数据进行程序碎片处理，将其分为 3段，每段

13位十进制数，即 52位二进制数（52bit) ；

[0017] (7) 、计算机将三组数据传输到认证中心,认证中心对三组数据进行解密运算

，验算结果为 "0"则将三组数据加密后，再将信息传递给目标用户即被访问者，为 "1"则放弃传输；

[0018] (8) 、计算机将分为三行的三组数据码存储，用于网络寻址。

[0019] 一种保障网络信息安全的体系方法，其第 2组数据的编码原则，即流水号的编码原则是第 1-4位为 4位的年份代码，第 5-6位为 2位的月份代码，第 7-8位为 2位的日期代码，第 9-13位为 5位的该日的流水号代码。 [0020] 一种保障网络信息安全的体系方法，其得到验证码后，通过商用密码算法解密运算，可得到 13位十进制的第 1组及第 2组两组数据。

[0021] 一种保障网络信息安全的体系方法，其计算机将第 1组数据、第 2组数据及第 3 组数据分为三行后给予存储，其存储方式为，第 1组数据、第 2组数据及第 3组数据分三行存储。

[0022] 一种保障网络信息安全的体系方法，其在商品标识打印中，所述计算机将第 1 组数据、第 2组数据及第 3组数据分为三行后给予存储，其存储方式为，第 1组数据、第 2组数据及第 3组数据分别按下、上、中三行存储、打印。

发明的有益效果

有益效果

[0023] 本发明的技术优点在于，所设计的保障网络信息安全的方法既有明示部分，又有密码部分，对于访问者及用户都易辨证；不易仿造、不易假冒，安全性高，且可完全屏蔽不相关的信息的传递，更大的地址空间、更小的路由表。

对附图的简要说明

附图说明

[0024] 图 1为系统体系架构示意图；

[0025] 图 2为三组数据码示意图；

[0026] 图 3为三组数据码的产生流程示意框图；

[0027] 图 4为三组数据码的认证流程示意框图；

[0028] 图 5为三组数据码的比对流程示意框图；

[0029] 图 6为三组数据码的数据流程示意框图；

[0030] 图 7为程序碎片示意图；

[0031] 图 8为认证单元示意图；

[0032] 图 9为详细系统架构示意图。

本发明的实施方式

[0033] 结合附图和实施方法对本发明做进一步的详细说明： [0034] 系统体系架构如图 1所示，主要由用户、访问者和网络平台等众多元素共同构成的互联网、程序碎片单元、认证单元组成。整个流程基本如下：首先，通过认证单元产生并存储三组数据码，将其作为用户新的 IP地址，访问者可以得知这三组数据码。访问者访问用户吋，需要将含有用户新的 IP地址的信息通过网络传送给程序碎片单元，程序碎片单元对数据进行程序碎片处理，将其分为 3组数据码，最后通过认证中心验证三组数据码真伪，如验证通过，则将该信息传递，否则则放弃。

[0035] 本发明是在用户 EAN13编码基础上，又增加了流水号编码和验证码。 EAN13编码是在世界范围内唯一标识一种商品的通用方式，而 IP地址则是 TCP/IP网络中用来唯一标识每台主机或设备的地址，其二者相互对应。流水号编码唯一标识第二组编码，是对 IPV4的有序扩充， IP地址由 2 32个扩充到 2 64，满足当前 IP地址不够用的技术难题。验证码是由 EAN13编码和流水号编码，通过商用密码算法加密产生。密码算法加密得到验证码后，通过商用密码算法解密可得到 EAN13编码和流水号编码，达到验证之目的。三组数据码可在世界范围内，唯一标识用户的 IP地址，用户的三组数据码被猜测到的概率是十万亿分之一，故三组数据码识别用户的误差是十万亿分之一。

[0036] IPV4地址全世界已分配完毕，每个 IPV4地址都包含两部分:网络地址和主机地址。每一台联网的计算机无权自行设定 IP地址，有一个统一的机构负责对申请的组织分配唯一的网络地址，而该组织可以对自己的网络中的每一个主机分配一个唯一的主机地址，网络地址的唯一性与网络内主机地址的唯一性确保了 IPV4 地址的全球唯一性。

[0037] 一、用户的 EAN13编码：

[0038] 我国目前是 EAN(European Article Number)的会员，由编码策进会负责管理，厂商可以提出申请使用。 EAN编码分为 13码及 8码， 13码用在一般商品上， 8码则使用在体积特别小的商品上面。

[0039] 1、 EAN13码编码原则：

[0040] 第 1一 3位为国家代码；

[0041] 第 4_7位为厂商代码； [0042] 第 8一 12位为产品代码；

[0043] 第 13位为检査码。

[0044] 前三位是国际统一分配，中国为 690-695。

[0045] 如果是 690、 691幵头吋， 4-7位是厂商代码， 8-12位是产品代码，

[0046] 如果是 692-695幵头吋， 4-8位是厂商代码， 9-12位是产品代码，

[0047] 最后一位是校验码。

[0048] 2、图书类的 EAN13编码：

[0049] 第 1一 3位为图书类代码；

[0050] 第 4一 12位为原 ISBN码的前 9位；

[0051] 第 13位为校验码。

[0052] 3、期刊类的 EAN13编码

[0053] 第 1一 3位为期刊类代码；

[0054] 第 4一 10位为原 IASN码前 7位；

[0055] 第 11一 12位为；

[0056] 第 13位为检査码。

[0057] 4、 EAN8编码与 EAN13编码的关系

[0058] 1) 、 EAN8码编码原则：

[0059] 第 1_₃位为国家代码；

[0060] 第 4一 7位为厂商代码；

[0061] 第 8位为检査码；

[0062] 2) 、 EAN8码转为 EAN13:

[0063] 保留：第 1一 3位为国家代码；

[0064] 第 4一 7位为厂商代码；

[0065] 增加：第 8— 12位 00000;

[0066] 第 13码为 EAN13校验码。

[0067] 二、流水号编码：

[0068] 1、若该日产生第二组编码的数量不大于 10万个吋：

[0069] 第 1-4位为 4位的年代码如 2007年）； [0070] 第 5-6位为 2位的月代码（如 11月）；

[0071] 第 7-8位为 2位的日代码（如 21日）；

[0072] 第 9-13位为 5位的流水号代码（如 00000-99999) 。

[0073] 2、若该日的产量不大于 100万个吋：

[0074] 第 1-3位为 3位的年代码（如 2007年则由 007表示）；

[0075] 第 4-5位为 2位的月代码（如 11月）；

[0076] 第 6-7位为 2位的日代码（如 21日）；

[0077] 第 8-13位为 6位的流水号代码（如 000000-999999) ；

[0078] 3、若该日的产量不大于 1000万个吋：

[0079] 第 1-2位为 2位的年代码（如 2007年则由 07表示）；

[0080] 第 3-4位为 2位的月代码（如 11月）；

[0081] 第 5-6位为 2位的日代码（如 21日）；

[0082] 第 7-13位为 7位的流水号代码（如 0000000-9999999) 。

[0083] 三、验证码

[0084] 验证码是通过商用密码算法将第 1组的 EAN13编码和第 2组的流水号编码加密产生的 13位的十进制数，是唯一的，随机的。

[0085] 将上述三组数据分下、中、上排列即得三组数据码，三组数据码在世界范围内唯一标识一个用户，且可通过商用密码算法加、解密验证真伪，达到识别和保护网络信息安全的目的。

[0086] 0-9十个数字作为三组数据码的数据载体，将三组数据码分成三行存储，用于网络 IP的识别认证。

[0087] 四、按上述步骤制造成的三组数据码具有以下优点：

[0088] 三组数据码是由两组明文和一组密文组成，三组数据码的安全可靠性建立在密码算法的保密性和保密的密钥基础之上，所以，公幵密文不会影响密码算法的安全性。破译密码算法的可能性在此视为不存在。

[0089] 三组数据码由 39位十进制数组成，它的变化量是 10 ³⁹个，这保证所有用户的三组数据码是唯一的；三组数据码有三组 13位的十进制数组成，其中第 1组及第 2 组是明文，第 3组是验证码，即密文。所以，三组数据码被猜测到的概率是十万亿分之一，很显然这是一个小概率事件，且即使猜测成功，它不会对其他用户的三组数据码构成威胁。

[0090] 五、三组数据码的应用

[0091] 三组数据码为建立第三方认证成为现实；认证单元拥有密码算法和密钥，用户拥有三组数据码，访问者可以得知这三组数据码。访问者向认证单元传递含有用户三组数据码的信息，通过认证单元验证真伪，如验证通过，则将该信息传递，否则放弃。认证单元实吋监控发送者的 IP，若某个 IP持续大量发送三组数据码，即使认证通过，认证单元也会屏蔽该 IP，阻断信息的发送。

[0092] 可以通过网络、 POS系统、移动电话等多种方式读取三组数据码，操作简单，使用方便、快捷。三组数据码体积小（3cm*3cm) ，信息量大（10 ³⁹个），且可目视。

[0093] 1、三组数据码保密性在于，既有明文，又有密文，被猜到的概率为十万亿分之一。信息保密的一个基本原则是公幵算法的细节不会从根本上影响算法的安全性，即保密依赖于密钥，在这种方案中，即使公幵了密文，也不会影响三组数据码的安全性。

[0094] 2、三组数据码应用于用户网络信息安全管理，为用户对网络信息的数字化管理提供了符合国际标准的数字平台。三组数据码与用户是一一对应的，认证单元帮助用户过滤掉恶意的信息攻击以及错误信息，保证用户网站的正常访问以及邮件的处理速度，提高了用户处理网络信息的安全性以及吋效性。

[0095] 六、建立三组数据码的体系，需建立计算机认证单元、三组数据码读取系统。

[0096] 计算机认证单元有加密、解密、编码、解码、网络传输、数据査询、数据比对等功能，建有 EAN13码数据库、 IPV4地址数据库、三组数据码数据库、商用密码数据库等，商用密码数据库用于管理密钥和商用密码算法，确保密钥和算法的安全。

[0097] 认证单元收集用户的 EAN13编码数据、流水号编码数据，初始化数据库。通过商用密码算法对该数据库数据进行加密，产生 13位十进制数的商品验证码，存入相应三组数据码数据库。将上述三组数据按照上、中、下顺序存储，即"三组数据码"。每个用户用一个三组数据码认证，访问者用读码设备读取用户的三组数据码，经过网络传输至认证单元。认证单元将三组数据码解码，转换为 13位十进制的三组数据，用商用密码算法对其解密，验证该三组数据码的合法性，如合法，产生 EAN13码、流水号码，将此 EAN13码、流水号码与初始数据库中的 EAN13编码和流水号编码比对，比对通过则将验证通过，将该信息传输，否则则放弃。

[0098] 三组数据码读取系统：为访问者提供多种读取方式，访问者将三组数据码传到认证单元，判断 EAN13码是否合法，判断流水号码是否合法；再判断 EAN13码和流水号的组合是否合法；最后判断验证码是否合法。不合法则放弃传输，合法则将该信息直接发送。

[0099] 三组数据码用于保护网络信息安全可分为：

[0100] 1、申请密码算法：

[0101] 按照《商用密码管理条例》规定审批所需要的商用密码算法，如杂凑算法、随机数生成算法。

[0102] 2、三组数据码与 EAN13码的示意图，如图 2所示：

[0103] 三组数据码由用户的 EAN13码、流水号码、验证码组成，由上、中、下三组 E AN13编码组成。

[0104] 3、三组数据码的产生，如图 3所示：

[0105] (1) 初始化：认证单元收集用户的 EAN13编码、流水号编码，初始化数据库

[0106] (2) 加密：用密码算法对该数据库数据进行加密，生成 13位十进制数的验证码，存入相应的密码数据库。

[0107] (3) 编码：将用户的 EAN13码、流水号码、验证码分成三组 13位十进制数，存入三组数据码数据库。

[0108] 4、三组数据码的识别，如图 4所示：

[0109] (1) 读码：访问者用读码设备读取三组数据码，经过网络传输至认证单元。

[0110] (2) 解码：认证单元将三组数据码解码，转换为三组 13位十进制数。将验证码存入密码数据库。 [0111] (3) 解密：认证单元用商用密码算法对验证码解密，产生二组 13位十进制数

，即数字认证明码。

[0112] 5、三组数据码的比对，如图 5所示：

[0113] (1) 认证单元将该数字认证明码与初始数据库中该商品的 EAN13码、流水号码比对。

[0114] (2) 比对结果反馈，一致则验证通过，信息被传输，不一致则放弃传输。

[0115] 6、三组数据码的数据流程，如图 6所示：

[0116] (1) 建立认证单元，该中心具有加密、解密、编码、解码、网络传输、数据査询、数据比对等功能。

[0117] (2) 认证单元收集用户的 EAN13编码、流水号编码，是二组 13位十进制的数据，通过加密产生一组 13位十进制的数据，三组数据存入三组数据码数据库，用于网络寻址。访问者读取三组数据码的十进制数据，或读取三组数据码的 EA N13编码数据，该数据传至认证单元，验证码解密产生用户的 EAN13码和流水号码二组十进制数据，存入数字认证明码数据库。数字认证明码数据库与初始化数据库比对，根据结果决定信息是否传输。

[0118] 7、程序碎片，如图 7所示：

[0119] (1) 访问者将含有用户新的 IP地址的信息通过网络传送给 CN39-313。

[0120] (2) CN39-313对数据进行程序碎片处理，将其分为 3段，每段 13位十进制数、 52bit。

[0121] 8、认证单元，如图 8所述：

[0122] (1) 认证单元对三组数据进行解密运算。

[0123] (2) 验算结果为 "0"则传输；为 "1"则放弃。

[0124] 9.系统架构如图 9所示：

[0125] 图 9所示的为系统架构详细示意图，其主要由认证中心、生产厂家、银行、网络平台以及物流企业和消费者等众多元素共同构成，整个系统运作流程基本如下：首先，通过图中左边的认证中心产生三组数据码，然后以物理隔离的方式发送给各个使用的生产厂家，厂家收到后通过生产线上的贴标设备将三组数据码对应贴到商品上再通过物流企业进入流通，而当消费者拿到商品后可以通过智能手机或者智能终端设备对商品上的三组数据码进行査询，所査询的信息类目既包括了商品的基本生产信息、原材料信息、检验检疫信息、基地信息等向上"溯源信息"，也包含了商品从封装离厂幵始到各级物流流通、商家销售及消费者购买商品甚至再转手交易而直至商品灭失为止等的向下"追踪信息"。

[0126] 食品安全云服务平台的数据流程为：认证中心（数据产生） →厂家 (数据接收并对应单个商品） →物流企业（数据流通） →消费者（査询数据） →认证中心 ( 数据认证，归 "0"则予以通过，并将査询请求转发厂家） →厂家 (收到査询请求并做出反馈）。在这当中，消费者对手中商品进行査询吋，数据是一定要先回到认证中心进行认证的，认证商品上的三组数据码是否存在，是否正确合法，只有当标识上的三组数据认证归零才能通过，然后再寻址到生产它的厂家数据库调出相应商品信息发到消费者的査询终端进行显示。

[0127] 一种保障网络信息安全方法的系统架构图，是在图 9所示系统架构图的基础上进行的，该系统架构图不同点在于其主要由认证中心、用户、网络平台以及访问者等构成，整个运作流程基本如下：首先，通过图中左边的认证单元产生并存储三组数据码，将其作为用户新的 IP地址，访问者可以得知这三组数据码。访问者访问用户吋，需要向认证单元传递含有用户三组数据码的信息，通过认证单元验证真伪，如验证通过，则将该信息传递，否则则放弃。

[0128] 相对应的数据流程图为：认证单元（数据产生） →用户（被赋予新的 IP地址） →访问者（读取新的 IP地址） →认证单元（认证传输，对三组数据进行解密运算，验算结果为 "0"则传输，为 "1"则放弃） →用户（根据信息内容再做出相应反馈

) 。在此过程中，访问者访问用户吋，需要将含有用户三组数据码的信息先传递给认证单元，认证归零后，认证单元才会将该信息进一步发送给用户。

[0129]

[0130]

Claims

权利要求书

[权利要求 1] 一种保障网络信息安全的体系架构，包括互联网，即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络，其特征在于，所述系统还包括：

用于对数据进行程序碎片处理的程序碎片处理单元；

用于对数据进行加密及解密运算的认证单元。

[权利要求 2] —种保障网络信息安全的体系方法，其特征在于，所述方法包括以下步骤：

(1) 、获取计算机待处理的各为 13位十进制的第 1组及第 2组两组数据；

、计算机判断第 1组数据是否符合国际通用的 EAN13编码原则，若符合则后台将其与用户的 IPV4地址相对应，若不符合则进行错误提示

、计算机判断第 2组数据是否符合流水号编码原则，若符合则进行下一步，若不符合则进行错误提示；

(4) 、计算机将上述符合 EAN13编码原则的第 1组数据和符合流水号编码原则的第 2组数据，通过商用密码算法加密运算，产生一个 13位的十进制验证码，即第 3组数据；

(5) 、计算机将第 1组数据、第 2组数据及第 3组数据分为三行，即得三组数据码，将其作为用户新的 IP地址；

(6) 、访问者将含有用户新的 IP地址的信息传送给计算机系统的程序碎片处理单元，即 CN39-313 , CN39-313对数据进行程序碎片处理，将其分为 3段，每段 13位十进制数，即 52位二进制数（52bit) ；

(7) 、计算机将三组数据传输到认证中心，认证中心对三组数据进行解密运算，验算结果为 "0"则将三组数据加密后，再将信息传递给目标用户即被访问者，为 "1"则放弃传输；

(8) 、计算机将分为三行的三组数据码存储，用于网络寻址。

[权利要求 3] 根据权利要求 2所述的一种保障网络信息安全的体系方法，其特征在于，所述第 2组数据的编码原则，即流水号的编码原则是第 1-4位为 4 位的年份代码，第 5-6位为 2位的月份代码，第 7-8位为 2位的日期代码，第 9-13位为 5位的该日的流水号代码。

[权利要求 4] 根据权利要求 2所述的一种保障网络信息安全的体系方法，其特征在于，

其得到验证码后，通过商用密码算法解密运算，可得到 13位十进制的第 1组及第 2组两组数据。

[权利要求 5] 根据权利要求 2所述的一种保障网络信息安全的体系方法，其特征在于，所述计算机将第 1组数据、第 2组数据及第 3组数据分为三行后给予存储，其存储方式为，第 1组数据、第 2组数据及第 3组数据分三行存储。

[权利要求 6] 根据权利要求 5所述的一种保障网络信息安全的体系方法，其特征在于，在商品标识打印中，所述计算机将第 1组数据、第 2组数据及第 3 组数据分为三行后给予存储，其存储方式为，第 1组数据、第 2组数据及第 3组数据分别按下、上、中三行存储、打印。