專利名稱:原創(chuàng)書畫類藝術(shù)品標(biāo)注與識別系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明利用物聯(lián)網(wǎng)技術(shù)和密碼學(xué)知識��,設(shè)計并實現(xiàn)出一種基于硬件密碼裝置的安全通信協(xié)議��,結(jié)合Web的ActiveX控件和數(shù)據(jù)庫將該協(xié)議應(yīng)用于實際的Web當(dāng)中進(jìn)行藝術(shù)品的安全認(rèn)證�����,以此實現(xiàn)鑒別���。此外,作為一個完整的系統(tǒng),本發(fā)明使用程序軟件結(jié)合本地數(shù)據(jù)庫實現(xiàn)書畫類藝術(shù)品標(biāo)注的后臺管理���。
背景技術(shù):
目前�����,在我國各類書畫類作品進(jìn)入市場難�����,同時有很多藝術(shù)欣賞人員想購買藝術(shù)品作為永久保存欣賞����,因此形成了兩難趨勢����,造成交易市場不活躍。網(wǎng)絡(luò)的出現(xiàn)和快速發(fā)展為藝術(shù)品交易提供了一個廣闊的平臺����,藝術(shù)家只需要將其作品通過藝術(shù)品交易平臺的對外宣傳網(wǎng)站發(fā)布,由交易平臺對外進(jìn)行宣傳�,吸引藝術(shù)品愛好者通過交易平臺進(jìn)行購買收藏。由于藝術(shù)品往往價格不菲��,購買者擔(dān)心購買的藝術(shù)品不是作者原創(chuàng)的贗品,上當(dāng)受騙造成經(jīng)濟(jì)損失���,而且目前的交易平臺不能為買家提供對原創(chuàng)藝術(shù)品的識別功能���,因此無法讓買家真正放心。當(dāng)前����,IC卡的高可靠性、高安全性和保密性被廣泛用作各種交易安全�,諸如銀行卡、校園一卡通�����、公交卡等都是基于IC卡實現(xiàn)的�。IC卡即智能卡,是指將集成電路芯片固封在塑料基片中的卡片���,是一種功能多樣、用途廣泛的電子卡片��。它可與多種終端設(shè)備連接使用���,具有高可靠性����、高安全性和保密性。IC卡按卡中所鑲嵌的集成電路不同����,主要有非加密存儲卡、邏輯加密卡及CPU卡等三類��。IC卡具有極強(qiáng)的安全性�,不僅在物理上具有抗篡改性,而且對存儲在卡上的數(shù)據(jù)具有邏輯完整性及認(rèn)證保護(hù)�。從硬件上,IC卡中加入了安全傳感器����,可防止數(shù)據(jù)在被讀出或?qū)懭霑r被修改;在卡芯的上層加入了一層金屬網(wǎng)格層��,可察覺外部探測和視覺分析���;卡內(nèi)帶有隨機(jī)時鐘產(chǎn)生器�����,可防止通過對電能消耗曲線分析而獲取保密數(shù)據(jù)����。從軟件上,對IC卡的使用需要首先通過雙因素認(rèn)證過程�����,即在出示IC卡的同時輸入密鑰進(jìn)入操作智能卡的安全狀態(tài)�,此后,IC卡可根據(jù)文件類型或密鑰的不同���,提供不同的訪問操作��。但是�����,如何利用IC卡的物理安全和數(shù)據(jù)邏輯完整性及認(rèn)證保護(hù)等優(yōu)勢����,結(jié)合密碼學(xué)等網(wǎng)絡(luò)安全原理和協(xié)議�����,用于藝術(shù)品的綁定及識別����,目前尚未有一個很好的解決方案。
發(fā)明內(nèi)容
本發(fā)明創(chuàng)新性地提出利用密碼裝置�、Web服務(wù)器、驗證服務(wù)器��、互聯(lián)網(wǎng)以及數(shù)據(jù)庫服務(wù)器構(gòu)成識別系統(tǒng)���,并對藝術(shù)品信息標(biāo)注實現(xiàn)原創(chuàng)藝術(shù)品的安全識別方法��。密碼裝置由智能認(rèn)證卡����、讀寫器及用于識別的有關(guān)信息和協(xié)議組成�。智能認(rèn)證卡由可用于計算的計算單元、隨機(jī)數(shù)發(fā)生器�、用于永久性存儲的E2PR0M和用于臨時存放數(shù)據(jù)的寄存器組成。讀寫器是符合智能卡通信數(shù)據(jù)接口 APDU(Application Protocol Data Units�����,應(yīng)用協(xié)議數(shù)據(jù)單元)的設(shè)備�。通過制定APDU的命令格式和響應(yīng)格式��,讀寫器向智能卡發(fā)送APDU命令���,智能卡返回APDU響應(yīng),從而完成智能卡與讀寫器的通信��。在認(rèn)證卡中保存有用于識別的密鑰信息��,通過制定的一系列安全協(xié)議對這些信息進(jìn)行處理��,實現(xiàn)對藝術(shù)品的識別��。為了達(dá)到以上發(fā)明目的����,本發(fā)明包括原創(chuàng)藝術(shù)品標(biāo)注系統(tǒng)和原創(chuàng)藝術(shù)品識別系統(tǒng)。原創(chuàng)書畫類藝術(shù)品標(biāo)注與識別系統(tǒng)�����,其特征在于標(biāo)注系統(tǒng)由帶本地數(shù)據(jù)庫的可進(jìn)行后臺管理的單機(jī)和與其相連接的密碼裝置組成�,其通過密碼裝置對標(biāo)注卡完成初始化,而后將可供識別的藝術(shù)品信息寫入該標(biāo)注卡�����,完成信息綁定;識別系統(tǒng)包括驗證服務(wù)器及其相連的密碼裝置�、連接驗證服務(wù)器的Web服務(wù)器、Web服務(wù)器上連接的數(shù)據(jù)庫服務(wù)器�����、 通過英特網(wǎng)與Web服務(wù)器連接的客戶端計算機(jī)���、以及與客戶端計算機(jī)連接的閱讀器。1.該系統(tǒng)中標(biāo)注與識別方法的特征在于依次包括有三個大流程認(rèn)證卡的初始化流程�����;標(biāo)注卡的信息綁定流程���;藝術(shù)品標(biāo)注卡的Web認(rèn)證流程��。各流程的具體步驟如下(1)認(rèn)證卡的初始化流程在認(rèn)證卡中����,設(shè)置了兩級目錄結(jié)構(gòu)MF和安全文件�����。其中,MF是認(rèn)證卡的文件系統(tǒng)根目錄��,對卡片的任何操作�,都需要通過MF自身認(rèn)證密鑰AuMKey的認(rèn)證;安全文件用來記錄認(rèn)證卡的外部認(rèn)證密鑰ExMKey�����,此密鑰只可通過密鑰標(biāo)識符使用���。整個認(rèn)證卡的初始化流程如下①.管理員安全登錄軟件后�,輸入需要修改的認(rèn)證卡密鑰AuMKeyNew和用于認(rèn)證標(biāo)注卡的密鑰ExMKey���,隨后通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令�����;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)Randl�����,用其初始的自身認(rèn)證密鑰AuMKeyl進(jìn)行加密����,將加密的隨機(jī)數(shù)EnRandl存儲于認(rèn)證卡的內(nèi)存中;同時將隨機(jī)數(shù)Randl通過密碼裝置發(fā)往PC 機(jī)��;③.PC機(jī)將獲取的Randl用管理員已知的認(rèn)證卡初始密鑰AuMKey2進(jìn)行加密�,將加密的數(shù)據(jù)EnRand2通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRand2���,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRandl進(jìn)行比較,若匹配�,則認(rèn)證成功,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值�����;否則���,無法進(jìn)入認(rèn)證卡的主目錄����,而且認(rèn)證計數(shù)器減一����,當(dāng)計數(shù)器減為0時該認(rèn)證卡將被鎖定,以此保證非法無限試探認(rèn)證卡;隨后���,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給PC機(jī)���;⑤.若認(rèn)證成功,將默認(rèn)進(jìn)入認(rèn)證卡的主目錄���;此時�����,PC機(jī)通過密碼裝置向認(rèn)證卡發(fā)送修改認(rèn)證卡自身認(rèn)證密鑰AuMKeyNew的命令和添加認(rèn)證卡用于認(rèn)證標(biāo)注卡的密鑰 ExMKey的命令����,該AuMKeyNew和ExMKey是由管理員通過操作界面輸入����;⑥.認(rèn)證卡獲取相關(guān)命令,先修改自身認(rèn)證密鑰為AuMKeyNew����,再創(chuàng)建安全文件, 并向該安全文件寫入ExMKey����。(2)標(biāo)注卡的信息綁定流程標(biāo)注卡的信息綁定就是將藝術(shù)品的信息即藝術(shù)品ID號ArtId通過一系列的安全設(shè)置寫入標(biāo)注卡���,而寫入的ArtId必須要通過標(biāo)注卡自身的安全認(rèn)證后才能夠進(jìn)行讀取, 以此實現(xiàn)標(biāo)注卡內(nèi)信息���;標(biāo)注卡的信息綁定必須要先通過認(rèn)證卡自身的認(rèn)證后才能進(jìn)行����。標(biāo)注卡的文件結(jié)構(gòu)決定了其安全性��,為標(biāo)注卡設(shè)計了三層樹狀型結(jié)構(gòu)�,各個文件的作用以及對文件能夠進(jìn)行的操作描述如下MF為標(biāo)注卡文件系統(tǒng)的根目錄�,是整個文件系統(tǒng)的根;對卡片的任何操作���,都需要通過對MF的密鑰認(rèn)證����;DDF是卡片文件系統(tǒng)的目錄文件�,用于創(chuàng)建一個應(yīng)用環(huán)境;在DDF下��,只能選擇其目錄下的DDF、透明文件和線性記錄文件��;透明文件用于記錄卡片ID ���;線性記錄文件中用于記錄藝術(shù)品的相關(guān)信息��;藝術(shù)品標(biāo)注卡的MF�、DDF�、透明文件、線性記錄文件都設(shè)置了相應(yīng)的讀�、寫密鑰,用來保護(hù)文件的讀����、寫權(quán)限,這些密鑰信息都寫在安全文件中�����;其中�����,MF����、DDF�、線性記錄文件的讀�、寫操作都須首先認(rèn)證其讀、寫密鑰�;透明文件中的卡片ID要用于子密鑰的生成,可以自由讀出�,但在透明文件中寫數(shù)據(jù)時仍需認(rèn)證寫密鑰。整個藝術(shù)品標(biāo)注信息綁定具體的流程如下①.管理員安全登錄軟件后����,輸入認(rèn)證卡密鑰AuMKeyNewl和需要綁定的藝術(shù)品標(biāo)號ArtId,然后通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令���;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)Rand2�,用其初始的自身認(rèn)證密鑰AuMKeyNew進(jìn)行加密�����,將加密的隨機(jī)數(shù)EnRand3存儲于認(rèn)證卡的內(nèi)存中�����;同時將隨機(jī)數(shù)Rand2通過密碼裝置發(fā)往PC 機(jī)�����;③.PC機(jī)將獲取的Rand2用管理員輸入的認(rèn)證卡密鑰AuMKeyNewl進(jìn)行加密��,將加密的數(shù)據(jù)EnRancM通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證��;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRancM�,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRand3進(jìn)行比較,若匹配����,則認(rèn)證卡自身認(rèn)證成功,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值��;否則����,認(rèn)證卡的認(rèn)證計數(shù)器減一,當(dāng)計數(shù)器減為0時該認(rèn)證卡將被鎖定�,以此保證非法無限試探認(rèn)證卡;隨后�,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給PC機(jī);⑤.若認(rèn)證卡認(rèn)證失敗��,則說明管理員輸入的AuMKeyNewl與認(rèn)證卡的密鑰 AuMKeyNew不同��,操作中止;否則若認(rèn)證卡認(rèn)證成功�����,PC機(jī)軟件產(chǎn)生一個72字節(jié)的隨機(jī)數(shù)�����, 用作標(biāo)注卡的標(biāo)號Cardld�,然后以每8字節(jié)為一個單元,分別用認(rèn)證卡的ExMKey進(jìn)行子密鑰生成計算�����,得到DKey����、DKeyl、DKey2����、DKey3. . . DKey8�����,將此9個子密鑰存放在PC機(jī)的內(nèi)存中;隨后�,PC機(jī)向本地數(shù)據(jù)庫發(fā)送查詢請求,查找是否存在藝術(shù)品標(biāo)號ArtId ����;若存在則由管理員選擇是否棄用舊卡,一旦選擇棄用�����,則向數(shù)據(jù)庫修改該藝術(shù)品標(biāo)號ArtId對應(yīng)的標(biāo)注卡標(biāo)號Cardld���,否則中止對該標(biāo)注卡的信息綁定操作�;若數(shù)據(jù)庫中不存在該藝術(shù)品標(biāo)號 ArtId����,則將Artld+Cardld作為一條新記錄寫入本地數(shù)據(jù)庫,數(shù)據(jù)庫操作完成����;⑥.接著,PC機(jī)通過密碼裝置對標(biāo)注卡進(jìn)行標(biāo)注卡自身的認(rèn)證�����,先通過密碼裝置向標(biāo)注卡發(fā)送獲取隨機(jī)數(shù)命令,標(biāo)注卡產(chǎn)生隨機(jī)數(shù)Rand3���,用其初始密鑰^itDKey進(jìn)行加密��,將加密的隨機(jī)數(shù)EnRand5存儲于標(biāo)注卡的內(nèi)存中����;同時將隨機(jī)數(shù)Rand3通過密碼裝置發(fā)往PC機(jī)�;⑦.PC機(jī)將獲取的Rand3用管理員已知的標(biāo)注卡初始密鑰InitDKeyl進(jìn)行加密, 將加密的數(shù)據(jù)EnRande通過密碼裝置發(fā)回給標(biāo)注卡進(jìn)行驗證�����;標(biāo)注卡獲取PC機(jī)上加密的數(shù)據(jù)EnRande�����,與存放在自身內(nèi)存中的加密數(shù)據(jù)EnRand5進(jìn)行比較����,若匹配,則認(rèn)證成功����,并將認(rèn)證結(jié)果返回PC機(jī);⑧.若標(biāo)注卡自身認(rèn)證成功����,則PC機(jī)向標(biāo)注卡發(fā)送一系列命令,清除原MF文件����; 創(chuàng)建MF文件;修改hitDKey為步驟⑤中的DKeyjf DKeyl和DKey2作為MF的讀寫安全密鑰����;再在MF下創(chuàng)建DDF文件,將DKey3和DKey4作為DDF的讀寫安全密鑰��;接著在DDF下創(chuàng)建透明文件用于寫標(biāo)注卡標(biāo)號的Cardld�����,DKey5和DKey6作為透明文件的安全讀����、寫密鑰; 然后在DDF下創(chuàng)建線性記錄文件用于存儲藝術(shù)品標(biāo)號ArtId�,DKey7和DKeyS作為線性記錄文件的安全讀寫密鑰�;以上文件創(chuàng)建后�����,再向透明文件寫入標(biāo)注卡標(biāo)號Cartld���,向線性文件寫入藝術(shù)品標(biāo)號ArtId �����;至此標(biāo)注卡信息綁定成功����。(3)藝術(shù)品標(biāo)注卡的Web認(rèn)證流程當(dāng)買家購買該藝術(shù)品后���,通過Web訪問特定站點進(jìn)行識別����;買家只要將已裝有標(biāo)識的藝術(shù)作品通過閱讀器向Web服務(wù)器進(jìn)行認(rèn)證�,由Web服務(wù)器通過安全驗證后返回該藝術(shù)品的認(rèn)證結(jié)果。具體的認(rèn)證過程如下①.客戶端連接閱讀器并下載相應(yīng)ActiveX后�����,通過閱讀器向標(biāo)注卡發(fā)送獲得隨機(jī)數(shù)和標(biāo)注卡ID的命令;②.標(biāo)注卡產(chǎn)生隨機(jī)數(shù)����,并用自身DKey對隨機(jī)數(shù)進(jìn)行加密,將加密后的數(shù)據(jù)存放在其內(nèi)存中�����,隨后�,將隨機(jī)數(shù)與標(biāo)記卡ID號發(fā)往客戶端�����;③.客戶端將隨機(jī)數(shù)與標(biāo)注卡ID號通過英特網(wǎng)發(fā)往Web服務(wù)器進(jìn)行驗證���;④.Web服務(wù)器接受請求�,通過密碼裝置將標(biāo)注卡ID號的前八字節(jié)和隨機(jī)數(shù)提交給驗證服務(wù)器�����;⑤.驗證服務(wù)器通過USB連接若干密碼裝置�����,它接受Web服務(wù)器轉(zhuǎn)接的驗證請求, 向碼裝置發(fā)送生成子密鑰和加密隨機(jī)數(shù)的相關(guān)命令����;⑥.該指定的密碼裝置接收命令,用自身的ExMKey對標(biāo)注卡ID號的前八字節(jié)進(jìn)行密鑰發(fā)散計算�,將計算結(jié)果DKeyGen存放在認(rèn)證卡內(nèi)存中,并用此DKeyGen對接收到的隨機(jī)數(shù)進(jìn)行加密計算���,將計算結(jié)果返回給驗證服務(wù)器�����;⑦.驗證服務(wù)器將加密的隨機(jī)數(shù)通過Web服務(wù)器回送至客戶端���;⑧.客戶端將此加密的隨機(jī)數(shù)通過閱讀器送至標(biāo)注卡;⑨.標(biāo)注卡將接收到的加密數(shù)據(jù)與自身內(nèi)存中的加密隨機(jī)數(shù)進(jìn)行匹配并返回匹配結(jié)果��;⑩.若匹配不成功�,則驗證失敗�;若匹配成功,則客戶端通過閱讀器向標(biāo)注卡發(fā)送讀取標(biāo)注卡內(nèi)藝術(shù)品ID號的命令���; .標(biāo)注卡讀取藝術(shù)品ID號�,將此數(shù)據(jù)發(fā)往客戶端;客戶端將收到的藝術(shù)品ID號通過Web發(fā)往Web服務(wù)器�; .ffeb服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)送查詢請求;數(shù)據(jù)庫服務(wù)器返回查詢結(jié)果�; .將查詢結(jié)果返回給客戶端用戶若查詢成功,返回藝術(shù)品相關(guān)信息�����;若查詢失敗����,返回錯誤信息��;至此藝術(shù)品標(biāo)注卡的Web認(rèn)證過程完成���。本發(fā)明主要由以上兩個系統(tǒng)和三個流程組成����,在具體的實施當(dāng)中����,是通過將IC芯片經(jīng)過開發(fā),植入可識別的標(biāo)注信息����,在對原創(chuàng)書畫類藝術(shù)品進(jìn)行裱畫時將該芯片植入該藝術(shù)品中�����;當(dāng)買家需要識別該藝術(shù)品是否為本系統(tǒng)所標(biāo)注的原創(chuàng)藝術(shù)品時�����,只需登錄藝術(shù)品識別網(wǎng)站���,將藝術(shù)品接近通過USB 口連接計算機(jī)的IC卡閱讀器進(jìn)行識別即可,如果是本系統(tǒng)所標(biāo)注的藝術(shù)品則顯示該藝術(shù)品的相關(guān)信息�,否則顯示不是該系統(tǒng)所標(biāo)注的藝術(shù)品。通過這樣的方式�����,可以對標(biāo)注的藝術(shù)品實現(xiàn)準(zhǔn)確����、快速、安全的識別��。
圖1識別系統(tǒng)結(jié)構(gòu)圖;圖2認(rèn)證卡文件結(jié)構(gòu)圖����;圖3認(rèn)證卡的初始化流程圖;圖4藝術(shù)品標(biāo)注卡的文件結(jié)構(gòu)圖��;圖5藝術(shù)品標(biāo)注卡的信息綁定流程圖�����;
圖6藝術(shù)品標(biāo)注卡的Web認(rèn)證流程圖����。
具體實施例方式1.密碼裝置密碼裝置由智能認(rèn)證卡、讀寫器及用于識別的有關(guān)信息和協(xié)議組成��。智能認(rèn)證卡由可用于計算的計算單元��、隨機(jī)數(shù)發(fā)生器�����、用于永久性存儲的E2PR0M和用于臨時存放數(shù)據(jù)的寄存器組成�����。讀寫器是符合智能卡通信數(shù)據(jù)接口 APDU(Application Protocol Data Units�,應(yīng)用協(xié)議數(shù)據(jù)單元)的設(shè)備。通過制定APDU的命令格式和響應(yīng)格式�����,讀寫器向智能卡發(fā)送APDU命令����,智能卡返回APDU響應(yīng),從而完成智能卡與讀寫器的通信��。在認(rèn)證卡中保存有用于識別的密鑰信息����,通過制定的一系列安全協(xié)議對這些信息進(jìn)行處理,實現(xiàn)對藝術(shù)品的識別����。本發(fā)明通過對密碼裝置中的認(rèn)證卡寫入用于識別的密鑰信息,實現(xiàn)對藝術(shù)品進(jìn)行識別�。在認(rèn)證卡中需要保存自身認(rèn)證密鑰AuMKey和外部認(rèn)證密鑰ExMKey,AuMKey用于認(rèn)證卡對管理員權(quán)限的鑒別����,ExMKey用于生成藝術(shù)品標(biāo)注卡的密鑰及對藝術(shù)品進(jìn)行識別。 在認(rèn)證卡中,至少需要設(shè)置兩層文件結(jié)構(gòu)���。第一級為主目錄�����,第二級用于存儲認(rèn)證卡的密鑰 fn息ο要在認(rèn)證卡中寫入信息����,必須首先對認(rèn)證卡進(jìn)行初始化����。認(rèn)證卡在出廠時存有一個初始的自身認(rèn)證密鑰AuMKeyl。對認(rèn)證卡的初始化���,就是要認(rèn)證智能卡的自身認(rèn)證密鑰 AuMKeyl0認(rèn)證卡的初始化過程如下通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)的命令���,認(rèn)證卡產(chǎn)生一個隨機(jī)數(shù)RancM后,用其卡內(nèi)的密鑰AuMKeyl進(jìn)行加密����,將加密的結(jié)果EnRand7存儲于認(rèn)證卡的內(nèi)存中����;同時將隨機(jī)數(shù)Rand4通過密碼裝置發(fā)往PC機(jī)���,在PC機(jī)軟件中用已知的出廠密鑰AuMKey2對此隨機(jī)數(shù)用相同的加密算法進(jìn)行加密,再將加密后的結(jié)果EnRandS 送給認(rèn)證卡�,認(rèn)證卡檢驗由卡內(nèi)的AuMKeyl對隨機(jī)數(shù)加密的結(jié)果EnRand7和收到的數(shù)據(jù) EnRandS是否匹配。如果匹配�����,則認(rèn)證卡的密鑰認(rèn)證成功�����。認(rèn)證卡自身認(rèn)證成功后�,發(fā)送改寫密鑰的命令,將新的認(rèn)證密鑰AuMKeyNew和外部認(rèn)證密鑰ExMKey寫入認(rèn)證卡內(nèi)�����,從而完成認(rèn)證卡的初始化���。在整個的初始化過程中���,加密操作采用Triple-DES算法���。2.原創(chuàng)藝術(shù)品標(biāo)注系統(tǒng)本系統(tǒng)完成對標(biāo)注卡進(jìn)行初始化,并將該標(biāo)注卡與藝術(shù)品綁定����。本系統(tǒng)中標(biāo)記卡由三層文件結(jié)構(gòu)組成,具體有主目錄MF���、環(huán)境目錄DDF�、透明文件���、線性記錄文件和兩個安全文件����。透明文件用于記錄標(biāo)記卡的ID號Cardld��,線性記錄文件用于記錄綁定的藝術(shù)品的ID號Artld�����。除安全文件��,每個文件或目錄��,都相對應(yīng)兩個密鑰��,用于控制對相應(yīng)文件的讀寫權(quán)限���,這些密鑰全部保存在安全文件中�。標(biāo)注卡的初始化就是對標(biāo)注卡進(jìn)行自身密鑰認(rèn)證����,從而獲得操作標(biāo)注卡的權(quán)限。 標(biāo)注卡自身出廠時存有一個初始密鑰hitDKey����。標(biāo)注卡的初始化過程如下通過密碼裝置向標(biāo)注卡發(fā)送獲取隨機(jī)數(shù)的命令,標(biāo)注卡產(chǎn)生一個隨機(jī)數(shù)Rand5后�,用卡內(nèi)的初始密鑰 InitDKey進(jìn)行加密,將加密的結(jié)果EnRand9存儲于標(biāo)注卡的內(nèi)存中���;同時將隨機(jī)數(shù)Rand5 通過密碼裝置發(fā)往PC機(jī)���,在PC機(jī)軟件中用已知的出廠初始密鑰InitDKeyl對此隨機(jī)數(shù)進(jìn)行加密,再將加密后的結(jié)果EnRandlO送給標(biāo)注卡����,標(biāo)注卡檢驗由自己的hitDKey將隨機(jī)數(shù)加密的結(jié)果EnDataQ和收到的數(shù)據(jù)EnRandlO是否匹配�。如果匹配��,則標(biāo)注卡的初始化完成��。初始化完成后��,就可將該標(biāo)注卡與藝術(shù)品綁定����。標(biāo)注卡的信息綁定過程需要在單機(jī)上連接密碼裝置,且此密碼裝置中的認(rèn)證卡密鑰與識別系統(tǒng)中的密碼裝置的認(rèn)證卡密鑰相同�����。管理人員必須有系統(tǒng)的最高權(quán)限����,知道密碼裝置上認(rèn)證卡里的自身認(rèn)證密鑰 AuMKeyNew,才能通過對認(rèn)證卡的認(rèn)證。對認(rèn)證卡的認(rèn)證過程如下通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)的命令����,認(rèn)證卡產(chǎn)生一個隨機(jī)數(shù)Rande后,用其卡內(nèi)的密鑰AuMKeyNew進(jìn)行加密�����,將加密的結(jié)果EnRandll存儲于認(rèn)證卡的內(nèi)存中;同時將隨機(jī)數(shù)Rand6通過密碼裝置發(fā)往PC機(jī)��,在PC機(jī)軟件中用已知的出廠密鑰AuMKeyNewl對此隨機(jī)數(shù)進(jìn)行加密��,再將加密后的結(jié)果EnRandl2送給認(rèn)證卡���,認(rèn)證卡檢驗由卡內(nèi)的AuMKeyNew對隨機(jī)數(shù)加密的結(jié)果 EnRandll和收到的數(shù)據(jù)EnRandl2是否匹配。如果匹配�,則認(rèn)證卡的密鑰認(rèn)證成功。通過對認(rèn)證卡的認(rèn)證和對標(biāo)注卡的初始化之后���,就可以向標(biāo)注卡綁定藝術(shù)品ID 號ArtId和生成各種密鑰的標(biāo)注卡ID號Cardld��,并將這些信息存儲在單機(jī)上的數(shù)據(jù)庫中�。在標(biāo)注卡中寫入ArtId和CardId后��,CardId經(jīng)認(rèn)證卡的外部認(rèn)證密鑰ExMkey處理���,可以得到至少9個密鑰Dkey��、DkeyU Dkey2�����、Dkey3��、Dkey4...���,密鑰的生成過程用認(rèn)證卡的外部認(rèn)證密鑰ExMKey對CardId進(jìn)行Triple-DES計算得到��,整個過程在認(rèn)證卡內(nèi)計算���,外界無法得到各密鑰。這些密鑰都用于讀寫標(biāo)注卡內(nèi)相關(guān)文件的安全�,如綁定藝術(shù)品ID 號時,將該ID號存儲入標(biāo)注卡的線性記錄文件內(nèi)��,而該文件需要在輸入密鑰DkeyS的同時才允許寫���,從而保證了沒有認(rèn)證卡或者即使有認(rèn)證卡但是該認(rèn)證卡未通過自身認(rèn)證的條件下��,拒絕對文件的寫操作���,保護(hù)標(biāo)注卡上存儲的信息。同樣��,對于讀該ID號,必須要在輸入另一個密鑰Dkey7的同時才允許讀��,保護(hù)標(biāo)注卡上的信息被非法讀取����。3.原創(chuàng)藝術(shù)品識別系統(tǒng)(1)系統(tǒng)結(jié)構(gòu)本系統(tǒng)包括識別系統(tǒng)、網(wǎng)絡(luò)傳輸系統(tǒng)和用接入系統(tǒng)三個部分組成��,結(jié)構(gòu)如圖1所示����。通過測試�,一個硬件密碼裝置的實際識別時間在IOms以內(nèi)�����,但是為了防止在這IOms內(nèi)有多個用戶同時接入認(rèn)證造成的沖突,本系統(tǒng)采取了增加多個密碼裝置進(jìn)行并行認(rèn)證的技巧����,這樣,即使有上百個用戶同時請求�,也能在數(shù)秒內(nèi)全部完成認(rèn)證,大大提高效率���。O) Web 服務(wù)器本系統(tǒng)中��,Web服務(wù)器主要的功能是接收用戶的查詢請求并向客戶返回查詢結(jié)果�。 具體來說,當(dāng)要識別某書畫類藝術(shù)品時��,將閱讀器連接到接入互聯(lián)網(wǎng)的客戶端的計算機(jī)上�����, 并將帶藝術(shù)品上的標(biāo)注卡接近客戶端連接的閱讀器�����,然后登錄到接入互聯(lián)的北京朝順平通藝術(shù)文化發(fā)展中心的網(wǎng)站上��,從Web服務(wù)器上下載閱讀藝術(shù)品標(biāo)注需要的ActiveX控件�。接著點擊網(wǎng)站上的識別按鈕,客戶端會將標(biāo)注上的驗證信息發(fā)往Web服務(wù)器��,Web服務(wù)器將需要驗證的信息經(jīng)處理后轉(zhuǎn)交給驗證服務(wù)器進(jìn)行驗證����。一旦驗證通過,證明此標(biāo)注卡是由本系統(tǒng)發(fā)放的�����,Web服務(wù)器便通知客戶端再向服務(wù)器發(fā)送加密的藝術(shù)品ID號,Web服務(wù)器將該藝術(shù)品ID號進(jìn)行解密等相關(guān)處理��,再向數(shù)據(jù)庫服務(wù)器發(fā)送查詢請求�����,并將查詢的信息返回給客戶���,從而實現(xiàn)識別功能����。 為了避免Web服務(wù)器的過重負(fù)載�����,系統(tǒng)將驗證服務(wù)器與Web服務(wù)器獨立開來���,Web 服務(wù)器上被請求的驗證將交由驗證服務(wù)器完成并通過遠(yuǎn)程方法調(diào)用RMI完成。
為了能夠同時驗證多個客戶的請求����,驗證服務(wù)器上連接著多個硬件密碼裝置,這些密碼裝置中的認(rèn)證卡密鑰與標(biāo)注系統(tǒng)中密碼裝置的認(rèn)證卡密鑰相同。當(dāng)客戶通過Web服務(wù)器向驗證服務(wù)器發(fā)送藝術(shù)品標(biāo)注卡ID號和隨機(jī)數(shù)時����,服務(wù)器接受請求,對收到的數(shù)據(jù)進(jìn)行驗證���。由于驗證服務(wù)器獨立于Web服務(wù)器只做驗證的單一功能���,而且驗證主要通過與驗證服務(wù)器相連的硬件密碼裝置完成,硬件密碼裝置的數(shù)量又有若干個����,因此對每個識別請求的響應(yīng)時間都很短,一般不超過10ms�,所以即使有大量的排隊等待,都能在客戶所能承受的范圍內(nèi)響應(yīng)客戶的請求�。(3)驗證服務(wù)器驗證服務(wù)器是整個系統(tǒng)安全的關(guān)鍵。只有通過服務(wù)器驗證的藝術(shù)品標(biāo)注��,才能夠向Web服務(wù)器再次發(fā)送藝術(shù)品標(biāo)注上的藝術(shù)品ID號��。驗證服務(wù)器上連接著多個硬件密碼裝置��,這些密碼裝置的認(rèn)證卡里面存儲了自身認(rèn)證主密鑰AuMKeyNew和外部認(rèn)證密鑰ExMkey����。當(dāng)驗證服務(wù)器上的密碼裝置接收到Web服務(wù)器轉(zhuǎn)交過來的認(rèn)證請求時���,密碼裝置先用AuMKeyNew完成自身的認(rèn)證,認(rèn)證通過后用ExMkey發(fā)散標(biāo)注卡的ID號Cardld�����,從而獲取密鑰DKey��,并將該Dkey存儲在認(rèn)證卡自身的內(nèi)存中�,然后驗證服務(wù)器再將標(biāo)注卡產(chǎn)生的隨機(jī)數(shù)Rand7傳給密碼系統(tǒng),讓它通過Dkey完成對隨機(jī)數(shù)的加密并返回加密后的值 EnRandl30驗證服務(wù)器隨后將該加密值EnRandl3返回給客戶����。客戶再將EnRandl3送給客戶PC機(jī)上所連的閱讀器上��,閱讀器將前面產(chǎn)生的隨機(jī)數(shù)用在標(biāo)注卡管理時用ExMKey對標(biāo)注卡ID號CardId分散的一個密鑰Dkey進(jìn)行加密����,加密的數(shù)據(jù)EnRandH存放在內(nèi)存中�����。然后將EnRandl3和EnRandH進(jìn)行匹配,成功則說明驗證通過��,接著客戶再通過閱讀器將藝術(shù)品的ID號讀出送給Web服務(wù)器����,Web服務(wù)器將數(shù)據(jù)進(jìn)行處理后從數(shù)據(jù)庫中進(jìn)行查詢并將結(jié)果返回給客戶。本發(fā)明將IC卡鑲嵌于書畫類藝術(shù)品當(dāng)中���,該IC卡中含有書畫類藝術(shù)品的相關(guān)信息���,當(dāng)買家購買該藝術(shù)品后,可通過Web訪問特定站點進(jìn)行真?zhèn)悟炞C�����。買家只要將已裝有標(biāo)識的藝術(shù)作品通過閱讀器向Web服務(wù)器進(jìn)行認(rèn)證�,由Web服務(wù)器通過安全驗證后返回該藝術(shù)品的認(rèn)證結(jié)果。在鑲嵌IC卡至藝術(shù)品之前�����,需要將IC卡的信息與該藝術(shù)品信息進(jìn)行安全綁定�,綁定時需要使用帶智能認(rèn)證卡的密碼裝置使用相關(guān)安全協(xié)議來完成操作,而智能認(rèn)證卡也需要后臺進(jìn)行相關(guān)設(shè)計完成初始化�����。具體實施本發(fā)明主要有三個大流程智能認(rèn)證卡的初始化流程;標(biāo)注卡的信息綁定流程���;藝術(shù)品標(biāo)注卡的Web認(rèn)證流程���。各流程的具體步驟如下1.智能認(rèn)證卡的初始化流程整個智能認(rèn)證卡的初始化流程由PC機(jī)上的軟件、帶智能認(rèn)證卡的密碼裝置組成��, 其中在認(rèn)證卡中�����,設(shè)置了兩級目錄結(jié)構(gòu)�,如圖2所示其中,MF是智能認(rèn)證卡的文件系統(tǒng)根目錄���,對卡片的任何操作����,都需要通過MF自身認(rèn)證密鑰AuMKey的認(rèn)證�����;安全文件用來記錄認(rèn)證卡的外部認(rèn)證密鑰ExMKey�����,此密鑰不可讀�,只可通過密鑰標(biāo)識符使用。整個智能認(rèn)證卡的初始化流程如下所示�����,具體的流程如圖3所示���。①.管理員安全登錄軟件后�,輸入需要修改的認(rèn)證卡密鑰AuMKeyNew和用于認(rèn)證標(biāo)注卡的密鑰ExMKey����,隨后通過密碼裝置向智能認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)RandS����,用其初始的自身認(rèn)證密鑰AuMKeyl進(jìn)行加密,將加密的隨機(jī)數(shù)EnRandl5存儲于認(rèn)證卡的內(nèi)存中����;同時將隨機(jī)數(shù)RandS通過密碼裝置發(fā)往PC 機(jī)��;③.PC機(jī)將獲取的Rand8用管理員已知的認(rèn)證卡初始密鑰AuMKey2進(jìn)行加密���,將加密的數(shù)據(jù)EnRandie通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRandie�����,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRandl5進(jìn)行比較�,若匹配,則認(rèn)證成功��,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值如16����,此時可以進(jìn)入認(rèn)證卡的主目錄MF進(jìn)行文件管理(能夠在MF目錄下創(chuàng)建、刪除�、讀寫相關(guān)目錄及文件);否則����,無法進(jìn)入認(rèn)證卡的主目錄,而且認(rèn)證計數(shù)器減一����,當(dāng)計數(shù)器減為0時該認(rèn)證卡將被鎖定,以此保證非法無限試探認(rèn)證卡�。隨后,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給 PC機(jī)��;⑤.若認(rèn)證成功����,將默認(rèn)進(jìn)入認(rèn)證卡的主目錄。此時�����,PC機(jī)再次通過密碼裝置向認(rèn)證卡發(fā)送修改認(rèn)證卡自身認(rèn)證密鑰AuMKeyNew的命令和添加認(rèn)證卡用于認(rèn)證標(biāo)注卡的密鑰ExMKey的命令��,該AuMKeyNew和ExMKey是由管理員通過操作界面輸入����;⑥.認(rèn)證卡獲取相關(guān)命令,先修改自身認(rèn)證密鑰為AuMKeyNew����,再創(chuàng)建安全文件, 并向該安全文件寫入ExMKey ����;2.標(biāo)注卡的信息綁定流程標(biāo)注卡的信息綁定就是將藝術(shù)品的信息即藝術(shù)品ID號ArtId通過一系列的安全設(shè)置寫入標(biāo)注卡�����,而寫入的ArtId必須要通過標(biāo)注卡自身的安全認(rèn)證后才能夠進(jìn)行讀取�����, 以此實現(xiàn)標(biāo)注卡內(nèi)信息�����。標(biāo)注卡的信息綁定必須要先通過認(rèn)證卡自身的認(rèn)證后才能進(jìn)行�����, 因此該綁定流程由帶智能認(rèn)證卡和標(biāo)注卡的密碼裝置和PC機(jī)上的軟件組成�����。標(biāo)注卡的文件結(jié)構(gòu)決定了其安全性���,本發(fā)明中,我們?yōu)闃?biāo)注卡設(shè)計了如圖4所示的的文件結(jié)構(gòu)�����。該文件系統(tǒng)具有三層樹狀型結(jié)構(gòu),各個文件的作用以及對文件能夠進(jìn)行的操作描述如下MF為標(biāo)注卡文件系統(tǒng)的根目錄���,是整個文件系統(tǒng)的根。對卡片的任何操作��,都需要通過對MF的密鑰認(rèn)證�����。DDF是卡片文件系統(tǒng)的目錄文件���,用于創(chuàng)建一個應(yīng)用環(huán)境���。在該環(huán)境下可建立若干與應(yīng)用環(huán)境相關(guān)的當(dāng)前環(huán)境目錄ADF、基本文件EF等����。在DDF下,只能選擇其目錄下的DDF�����、ADF 禾口 EF 文件。透明文件用于記錄卡片ID���,是一個連續(xù)的區(qū)域��,以字節(jié)為存取單元�。線性記錄文件中用于記錄藝術(shù)品的相關(guān)信息�,既可按記錄號方式訪問,也可按標(biāo)簽方式(TAG)訪問����。文件內(nèi)最多可以容納255條記錄。安全文件中記錄了卡片中的密鑰和口令信息����。安全文件中的所有信息不可讀取, 只可通過密鑰標(biāo)識符使用�����。藝術(shù)品標(biāo)注卡的MF����、DDF、透明文件��、線性記錄文件都設(shè)置了相應(yīng)的讀、寫密鑰�,用來保護(hù)文件的讀、寫權(quán)限��,只有認(rèn)證相應(yīng)文件的讀�、寫密鑰,才能對各文件進(jìn)行相應(yīng)的讀�、寫操作。這些密鑰信息都寫在安全文件中�。其中“安全文件1”記錄了 MF的讀��、寫密鑰����;“安全文件2”記錄了 DF、透明文件��、線性記錄文件的讀�、寫密鑰。其中�����,MF�����、DDF、線性記錄文件的讀���、寫操作都須首先認(rèn)證其讀���、寫密鑰。由于透明文件中的卡片ID要用于子密鑰的生成����, 所以可以自由讀出,但在透明文件中寫數(shù)據(jù)時仍需認(rèn)證寫密鑰����。整個藝術(shù)品標(biāo)注信息綁定具體的流程如下,其流程圖如圖5所示�����。①.管理員安全登錄軟件后�,輸入認(rèn)證卡密鑰AuMKeyNewl和需要綁定的藝術(shù)品標(biāo)號ArtId,然后通過密碼裝置向智能認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令����;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)Rand9��,用其初始的自身認(rèn)證密鑰AuMKeyNew進(jìn)行加密�����,將加密的隨機(jī)數(shù)EnRandl7存儲于認(rèn)證卡的內(nèi)存中�;同時將隨機(jī)數(shù)Rand9通過密碼裝置發(fā)往 PC機(jī)�;③.PC機(jī)將獲取的Rand9用管理員輸入的認(rèn)證卡密鑰AuMKeyNewl進(jìn)行加密,將加密的數(shù)據(jù)EnRandlS通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證�;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRandlS,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRandl7進(jìn)行比較���,若匹配,則認(rèn)證卡自身認(rèn)證成功�����,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值如16��,此時可以利用認(rèn)證卡做相關(guān)操作����;否則,認(rèn)證卡的認(rèn)證計數(shù)器減一���,當(dāng)計數(shù)器減為 0時該認(rèn)證卡將被鎖定����,以此保證非法無限試探認(rèn)證卡。隨后�����,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給PC機(jī)����;⑤.若認(rèn)證卡認(rèn)證失敗,則說明管理員輸入的AuMKeyNewl與認(rèn)證卡的密鑰 AuMKeyNew不同���,操作中止����;否則若認(rèn)證卡認(rèn)證成功�����,PC機(jī)軟件產(chǎn)生一個72字節(jié)的隨機(jī)數(shù)�����, 用作標(biāo)注卡的標(biāo)號Cardld,然后以每8字節(jié)為一個單元��,分別用認(rèn)證卡的ExMKey進(jìn)行子密鑰生成計算����,得到DKey、DKeyl���、DKey2��、DKey3. . . DKey8����,將此9個子密鑰存放在PC機(jī)的內(nèi)存中�����。隨后�,PC機(jī)向本地數(shù)據(jù)庫發(fā)送查詢請求�����,查找是否存在藝術(shù)品標(biāo)號Artld��。若存在則由管理員選擇是否棄用舊卡,一旦選擇棄用��,則向數(shù)據(jù)庫修改該藝術(shù)品標(biāo)號ArtId對應(yīng)的標(biāo)注卡標(biāo)號Cardld���,否則中止對該標(biāo)注卡的信息綁定操作���;若數(shù)據(jù)庫中不存在該藝術(shù)品標(biāo)號 ArtId,則將Artld+Cardld作為一條新記錄寫入本地數(shù)據(jù)庫�����,數(shù)據(jù)庫操作完成���;⑥.接著�,PC機(jī)通過密碼裝置對標(biāo)注卡進(jìn)行標(biāo)注卡自身的認(rèn)證����,先通過密碼裝置向標(biāo)注卡發(fā)送獲取隨機(jī)數(shù)命令,標(biāo)注卡產(chǎn)生隨機(jī)數(shù)RandlO�����,用其初始密鑰^itDKey進(jìn)行加密,將加密的隨機(jī)數(shù)EnRandig存儲于標(biāo)注卡的內(nèi)存中����;同時將隨機(jī)數(shù)RandlO通過密碼裝置發(fā)往PC機(jī);⑦.PC機(jī)將獲取的RandlO用管理員已知的標(biāo)注卡初始密鑰InitDKeyl進(jìn)行加密�, 將加密的數(shù)據(jù)EnRand20通過密碼裝置發(fā)回給標(biāo)注卡進(jìn)行驗證;標(biāo)注卡獲取PC機(jī)上加密的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRandig進(jìn)行比較�,若匹配,則認(rèn)證成功�, 并將認(rèn)證結(jié)果返回PC機(jī);⑧.若標(biāo)注卡自身認(rèn)證成功�,則PC機(jī)向標(biāo)注卡發(fā)送一系列命令,清除原MF文件�����; 創(chuàng)建MF文件�����;修改hitDKey為步驟⑤中的DKeyjf DKeyl和DKey2作為MF的讀寫安全密鑰�����;再在MF下創(chuàng)建DDF文件���,將DKey3和DKey4作為DDF的讀寫安全密鑰���;接著在DDF下創(chuàng)建透明文件用于寫標(biāo)注卡標(biāo)號的Cardld,DKey5和DKey6作為透明文件的安全讀�����、寫密鑰���; 然后在DDF下創(chuàng)建線性記錄文件用于存儲藝術(shù)品標(biāo)號ArtId��,DKey7和DKeyS作為線性記錄文件的安全讀寫密鑰�;以上文件創(chuàng)建后����,再向透明文件寫入標(biāo)注卡標(biāo)號Cartld,向線性文件寫入藝術(shù)品標(biāo)號Artld��。需要注意的是��,每個文件的讀寫密鑰用于相應(yīng)文件的安全讀寫��, 必須要在知道對應(yīng)密鑰的情況下才能進(jìn)行讀寫訪問�����,但是標(biāo)注卡標(biāo)號CartId的讀寫不需要密鑰,任何密碼裝置通過命令均可獲取�����。至此標(biāo)注卡信息綁定成功���。3.藝術(shù)品標(biāo)注卡的Web認(rèn)證流程當(dāng)買家購買該藝術(shù)品后�,可通過Web訪問特定站點進(jìn)行識別�。買家只要將已裝有標(biāo)識的藝術(shù)作品通過閱讀器向Web服務(wù)器進(jìn)行認(rèn)證,由Web服務(wù)器通過安全驗證后返回該藝術(shù)品的認(rèn)證結(jié)果���。具體的認(rèn)證過程如下��,其流程圖如圖6所示①.客戶端連接閱讀器并下載相應(yīng)ActiveX后���,通過閱讀器向標(biāo)注卡發(fā)送獲得隨機(jī)數(shù)和標(biāo)注卡ID的命令。②.標(biāo)注卡產(chǎn)生隨機(jī)數(shù)�����,并用自身DKey對隨機(jī)數(shù)進(jìn)行加密��,將加密后的數(shù)據(jù)存放在其內(nèi)存中,隨后�����,將隨機(jī)數(shù)與標(biāo)記卡ID號發(fā)往客戶端����。③.客戶端將隨機(jī)數(shù)與標(biāo)注卡ID號通過Web發(fā)往Web服務(wù)器進(jìn)行驗證�。④.Web服務(wù)器接受請求,查詢是否有空閑的密碼裝置�����,若沒有��,則睡眠等待固定時間如用戶無法察覺的5ms���,等待時間結(jié)束后��,繼續(xù)進(jìn)行查詢�,直到有空閑密碼裝置�;一旦有,則選擇該密碼裝置����,通過RMI將標(biāo)注卡ID號的前八字節(jié)和隨機(jī)數(shù)提交給驗證服務(wù)器�����。⑤.驗證服務(wù)器通過USB連接若干密碼裝置�����,它接受Web服務(wù)器轉(zhuǎn)接的驗證請求�����, 向步驟4中已指定的密碼裝置發(fā)送生成子密鑰和加密隨機(jī)數(shù)的相關(guān)命令�。⑥.該指定的密碼裝置接收命令��,用自身的ExMKey對標(biāo)注卡ID號的前八字節(jié)進(jìn)行密鑰發(fā)散計算����,將計算結(jié)果DKeyGen存放在認(rèn)證卡內(nèi)存中,并用此DKeyGen對接收到的隨機(jī)數(shù)進(jìn)行加密計算���,將計算結(jié)果返回給驗證服務(wù)器�����。⑦.驗證服務(wù)器將加密的隨機(jī)數(shù)通過Web服務(wù)器回送至客戶端���。⑧.客戶端將此加密的隨機(jī)數(shù)通過閱讀器送至標(biāo)注卡��。⑨.標(biāo)注卡將接收到的加密數(shù)據(jù)與自身內(nèi)存中的加密隨機(jī)數(shù)進(jìn)行匹配并返回匹配結(jié)果。⑩.若匹配不成功�,則驗證失敗���;若匹配成功����,則客戶端通過閱讀器想標(biāo)注卡發(fā)送讀取標(biāo)注卡內(nèi)藝術(shù)品ID號的命令�。 .標(biāo)注卡讀取藝術(shù)品ID號,將此數(shù)據(jù)發(fā)往客戶端����。客戶端將收到的藝術(shù)品ID號通過Web發(fā)往Web服務(wù)器�����。 .Web服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)送查詢請求�����。(g).數(shù)據(jù)庫服務(wù)器返回查詢結(jié)果。 .將查詢結(jié)果以特定的顯示方式返回給客戶端用戶若查詢成功��,返回藝術(shù)品相關(guān)信息���;若查詢失敗���,返回錯誤信息。至此藝術(shù)品標(biāo)注卡的Web認(rèn)證過程完成����。
權(quán)利要求
1.原創(chuàng)書畫類藝術(shù)品標(biāo)注與識別系統(tǒng),其特征在于標(biāo)注系統(tǒng)由帶本地數(shù)據(jù)庫的可進(jìn)行后臺管理的單機(jī)和與其相連接的密碼裝置組成�,其通過密碼裝置對標(biāo)注卡完成初始化, 而后將此標(biāo)注卡與藝術(shù)品綁定��,供識別系統(tǒng)進(jìn)行識別���;識別系統(tǒng)包括驗證服務(wù)器及與其相連的密碼裝置�、連接驗證服務(wù)器的Web服務(wù)器�、Web服務(wù)器上連接的數(shù)據(jù)庫服務(wù)器、通過英特網(wǎng)與Web服務(wù)器連接的客戶端計算機(jī)、以及與客戶端計算機(jī)連接的閱讀器���。
2.應(yīng)用權(quán)利要求1所述系統(tǒng)進(jìn)行原創(chuàng)書畫類藝術(shù)品標(biāo)注與識別方法��,其特征在于依次包括有三個大流程認(rèn)證卡的初始化流程�����;標(biāo)注卡的信息綁定流程��;藝術(shù)品標(biāo)注卡的Web 認(rèn)證流程�。各流程的具體步驟如下(1)認(rèn)證卡的初始化流程在認(rèn)證卡中���,設(shè)置了兩級目錄結(jié)構(gòu)MF和安全文件。其中����,MF是認(rèn)證卡的文件系統(tǒng)根目錄,對卡片的任何操作����,都需要通過MF自身認(rèn)證密鑰AuMKey的認(rèn)證;安全文件用來記錄認(rèn)證卡的外部認(rèn)證密鑰ExMKey��,此密鑰只可通過密鑰標(biāo)識符使用。整個認(rèn)證卡的初始化流程如下①.管理員安全登錄軟件后���,輸入需要修改的認(rèn)證卡密鑰AuMKeyNew和用于認(rèn)證標(biāo)注卡的密鑰ExMKey�����,隨后通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令���;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)Randl,用其初始的自身認(rèn)證密鑰AuMKeyl進(jìn)行加密���,將加密的隨機(jī)數(shù)EnRandl存儲于認(rèn)證卡的內(nèi)存中���;同時將隨機(jī)數(shù)Randl通過密碼裝置發(fā)往PC機(jī);③.PC機(jī)將獲取的Randl用管理員已知的認(rèn)證卡初始密鑰AuMKey2進(jìn)行加密����,將加密的數(shù)據(jù)EnRand2通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRand2�,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRandl進(jìn)行比較,若匹配��,則認(rèn)證成功��,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值;否則�����,無法進(jìn)入認(rèn)證卡的主目錄���,而且認(rèn)證計數(shù)器減一���,當(dāng)計數(shù)器減為0時該認(rèn)證卡將被鎖定,以此保證非法無限試探認(rèn)證卡���;隨后�,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給PC機(jī)�;⑤.若認(rèn)證成功��,將默認(rèn)進(jìn)入認(rèn)證卡的主目錄�;此時,PC機(jī)通過密碼裝置向認(rèn)證卡發(fā)送修改認(rèn)證卡自身認(rèn)證密鑰AuMKeyNew的命令和添加認(rèn)證卡用于認(rèn)證標(biāo)注卡的密鑰ExMKey 的命令�,該AuMKeyNew和ExMKey是由管理員通過操作界面輸入;⑥.認(rèn)證卡獲取相關(guān)命令�,先修改自身認(rèn)證密鑰為AuMKeyNew,再創(chuàng)建安全文件�,并向該安全文件寫入ExMKey。(2)標(biāo)注卡的信息綁定流程標(biāo)注卡的信息綁定就是將藝術(shù)品的信息即藝術(shù)品ID號ArtId通過一系列的安全設(shè)置寫入標(biāo)注卡,而寫入的ArtId必須要通過標(biāo)注卡自身的安全認(rèn)證后才能夠進(jìn)行讀取�����,以此實現(xiàn)標(biāo)注卡內(nèi)信息��;標(biāo)注卡的信息綁定必須要先通過認(rèn)證卡自身的認(rèn)證后才能進(jìn)行�。標(biāo)注卡的文件結(jié)構(gòu)決定了其安全性,為標(biāo)注卡設(shè)計了三層樹狀型結(jié)構(gòu)�,各個文件的作用以及對文件能夠進(jìn)行的操作描述如下MF為標(biāo)注卡文件系統(tǒng)的根目錄,是整個文件系統(tǒng)的根�;對卡片的任何操作,都需要通過對MF的密鑰認(rèn)證����;DDF是卡片文件系統(tǒng)的目錄文件,用于創(chuàng)建一個應(yīng)用環(huán)境���;在DDF下�����,只能選擇其目錄下的DDF����、透明文件和線性記錄文件;透明文件用于記錄卡片ID �����;線性記錄文件中用于記錄藝術(shù)品的相關(guān)信息���;藝術(shù)品標(biāo)注卡的MF��、DDF����、透明文件�、線性記錄文件都設(shè)置了相應(yīng)的讀、寫密鑰�����,用來保護(hù)文件的讀��、寫權(quán)限�,這些密鑰信息都寫在安全文件中�����;其中,MF���、DDF�����、線性記錄文件的讀����、 寫操作都須首先認(rèn)證其讀�����、寫密鑰����;透明文件中的卡片ID要用于子密鑰的生成,可以自由讀出��,但在透明文件中寫數(shù)據(jù)時仍需認(rèn)證寫密鑰�����。整個藝術(shù)品標(biāo)注信息綁定具體的流程如下①.管理員安全登錄軟件后�,輸入認(rèn)證卡密鑰AuMKeyNewl和需要綁定的藝術(shù)品標(biāo)號 Artld�����,然后通過密碼裝置向認(rèn)證卡發(fā)送獲取隨機(jī)數(shù)命令����;②.認(rèn)證卡產(chǎn)生隨機(jī)數(shù)Rand2��,用其初始的自身認(rèn)證密鑰AuMKeyNew進(jìn)行加密���,將加密的隨機(jī)數(shù)EnRand3存儲于認(rèn)證卡的內(nèi)存中��;同時將隨機(jī)數(shù)Rand2通過密碼裝置發(fā)往PC機(jī)�;③.PC機(jī)將獲取的Rand2用管理員輸入的認(rèn)證卡密鑰AuMKeyNewl進(jìn)行加密��,將加密的數(shù)據(jù)EnRancM通過密碼裝置發(fā)回給認(rèn)證卡進(jìn)行驗證�;④.認(rèn)證卡獲取PC機(jī)上加密的數(shù)據(jù)EnRancM,與步①產(chǎn)生的存放在自身內(nèi)存中的加密數(shù)據(jù)EnRand3進(jìn)行比較�����,若匹配����,則認(rèn)證卡自身認(rèn)證成功,認(rèn)證計數(shù)器恢復(fù)為預(yù)設(shè)閥值��;否則���,認(rèn)證卡的認(rèn)證計數(shù)器減一����,當(dāng)計數(shù)器減為0時該認(rèn)證卡將被鎖定�,以此保證非法無限試探認(rèn)證卡;隨后�����,認(rèn)證卡將認(rèn)證結(jié)果通過密碼裝置返回給PC機(jī)�;⑤.若認(rèn)證卡認(rèn)證失敗,則說明管理員輸入的AuMKeyNewl與認(rèn)證卡的密鑰AuMKeyNew 不同�����,操作中止���;否則若認(rèn)證卡認(rèn)證成功���,PC機(jī)軟件產(chǎn)生一個72字節(jié)的隨機(jī)數(shù)��,用作標(biāo)注卡的標(biāo)號Cardld����,然后以每8字節(jié)為一個單元�����,分別用認(rèn)證卡的ExMKey進(jìn)行子密鑰生成計算�,得到DKey、DKeyl����、DKey2、DKey3. . . DKey8�����,將此9個子密鑰存放在PC機(jī)的內(nèi)存中����;隨后, PC機(jī)向本地數(shù)據(jù)庫發(fā)送查詢請求�,查找是否存在藝術(shù)品標(biāo)號ArtId ;若存在則由管理員選擇是否棄用舊卡,一旦選擇棄用��,則向數(shù)據(jù)庫修改該藝術(shù)品標(biāo)號ArtId對應(yīng)的標(biāo)注卡標(biāo)號 Cardld��,否則中止對該標(biāo)注卡的信息綁定操作��;若數(shù)據(jù)庫中不存在該藝術(shù)品標(biāo)號ArtId���,則將Artld+Cardld作為一條新記錄寫入本地數(shù)據(jù)庫,數(shù)據(jù)庫操作完成�����;⑥.接著���,PC機(jī)通過密碼裝置對標(biāo)注卡進(jìn)行標(biāo)注卡自身的認(rèn)證��,先通過密碼裝置向標(biāo)注卡發(fā)送獲取隨機(jī)數(shù)命令��,標(biāo)注卡產(chǎn)生隨機(jī)數(shù)Rand3����,用其初始密鑰^itDKey進(jìn)行加密�����,將加密的隨機(jī)數(shù)EnRand5存儲于標(biāo)注卡的內(nèi)存中;同時將隨機(jī)數(shù)Rand3通過密碼裝置發(fā)往PC 機(jī)����;⑦.PC機(jī)將獲取的Rand3用管理員已知的標(biāo)注卡初始密鑰InitDKeyl進(jìn)行加密,將加密的數(shù)據(jù)EnRande通過密碼裝置發(fā)回給標(biāo)注卡進(jìn)行驗證�;標(biāo)注卡獲取PC機(jī)上加密的數(shù)據(jù) EnRande,與存放在自身內(nèi)存中的加密數(shù)據(jù)EnRand5進(jìn)行比較�����,若匹配�,則認(rèn)證成功,并將認(rèn)證結(jié)果返回PC機(jī)��;⑧.若標(biāo)注卡自身認(rèn)證成功��,則PC機(jī)向標(biāo)注卡發(fā)送一系列命令���,清除原MF文件��;創(chuàng)建 MF文件��;修改hitDKey為步驟⑤中的DKeyjf DKeyl和DKey2作為MF的讀寫安全密鑰�;再在MF下創(chuàng)建DDF文件,將DKey3和DKey4作為DDF的讀寫安全密鑰���;接著在DDF下創(chuàng)建透明文件用于寫標(biāo)注卡標(biāo)號的Cardld����,DKey5和DKey6作為透明文件的安全讀����、寫密鑰����;然后在DDF下創(chuàng)建線性記錄文件用于存儲藝術(shù)品標(biāo)號ArtId,DKey7和DKeyS作為線性記錄文件的安全讀寫密鑰�����;以上文件創(chuàng)建后��,再向透明文件寫入標(biāo)注卡標(biāo)號Cartld�����,向線性文件寫入藝術(shù)品標(biāo)號ArtId �;至此標(biāo)注卡信息綁定成功。(3)藝術(shù)品標(biāo)注卡的Web認(rèn)證流程當(dāng)買家購買該藝術(shù)品后,通過Web訪問特定站點進(jìn)行識別�����;買家只要將已裝有標(biāo)識的藝術(shù)作品通過閱讀器向Web服務(wù)器進(jìn)行認(rèn)證��,由Web服務(wù)器通過安全驗證后返回該藝術(shù)品的認(rèn)證結(jié)果��。具體的認(rèn)證過程如下①.客戶端連接閱讀器并下載相應(yīng)ActiveX后����,通過閱讀器向標(biāo)注卡發(fā)送獲得隨機(jī)數(shù)和標(biāo)注卡ID的命令;②.標(biāo)注卡產(chǎn)生隨機(jī)數(shù)���,并用自身DKey對隨機(jī)數(shù)進(jìn)行加密����,將加密后的數(shù)據(jù)存放在其內(nèi)存中���,隨后�����,將隨機(jī)數(shù)與標(biāo)記卡ID號發(fā)往客戶端���;③.客戶端將隨機(jī)數(shù)與標(biāo)注卡ID號通過英特網(wǎng)發(fā)往Web服務(wù)器進(jìn)行驗證�����;④.Web服務(wù)器接受請求����,通過密碼裝置將標(biāo)注卡ID號的前八字節(jié)和隨機(jī)數(shù)提交給驗證服務(wù)器��;⑤.驗證服務(wù)器通過USB連接若干密碼裝置���,它接受Web服務(wù)器轉(zhuǎn)接的驗證請求,向碼裝置發(fā)送生成子密鑰和加密隨機(jī)數(shù)的相關(guān)命令��;⑥.該指定的密碼裝置接收命令����,用自身的ExMKey對標(biāo)注卡ID號的前八字節(jié)進(jìn)行密鑰發(fā)散計算,將計算結(jié)果DKeyGen存放在認(rèn)證卡內(nèi)存中�,并用此DKeyGen對接收到的隨機(jī)數(shù)進(jìn)行加密計算,將計算結(jié)果返回給驗證服務(wù)器�����;⑦.驗證服務(wù)器將加密的隨機(jī)數(shù)通過Web服務(wù)器回送至客戶端;⑧.客戶端將此加密的隨機(jī)數(shù)通過閱讀器送至標(biāo)注卡����;⑨.標(biāo)注卡將接收到的加密數(shù)據(jù)與自身內(nèi)存中的加密隨機(jī)數(shù)進(jìn)行匹配并返回匹配結(jié)果;⑩.若匹配不成功�,則驗證失敗�;若匹配成功,則客戶端通過閱讀器向標(biāo)注卡發(fā)送讀取標(biāo)注卡內(nèi)藝術(shù)品ID號的命令�; .標(biāo)注卡讀取藝術(shù)品ID號,將此數(shù)據(jù)發(fā)往客戶端��;客戶端將收到的藝術(shù)品ID號通過Web發(fā)往Web服務(wù)器�; .Web服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)送查詢請求;數(shù)據(jù)庫服務(wù)器返回查詢結(jié)果�����; .將查詢結(jié)果返回給客戶端用戶若查詢成功����,返回藝術(shù)品相關(guān)信息;若查詢失敗���,返回錯誤信息��;至此藝術(shù)品標(biāo)注卡的Web認(rèn)證過程完成���。
全文摘要
原創(chuàng)書畫類藝術(shù)品標(biāo)注與識別系統(tǒng)和方法屬于物聯(lián)網(wǎng)技術(shù)和密碼學(xué)領(lǐng)域�。本發(fā)明主要由以上兩個系統(tǒng)和三個流程組成���,在具體的實施當(dāng)中�����,是通過將IC芯片經(jīng)過開發(fā)��,植入可識別的標(biāo)注信息����,在對原創(chuàng)書畫類藝術(shù)品進(jìn)行裱畫時將該芯片植入該藝術(shù)品中�;當(dāng)買家需要識別該藝術(shù)品是否為本系統(tǒng)所標(biāo)注的原創(chuàng)藝術(shù)品時���,只需登錄藝術(shù)品識別網(wǎng)站���,將藝術(shù)品接近通過USB口連接計算機(jī)的IC卡閱讀器進(jìn)行識別即可,如果是本系統(tǒng)所標(biāo)注的藝術(shù)品則顯示該藝術(shù)品的相關(guān)信息��,否則顯示不是該系統(tǒng)所標(biāo)注的藝術(shù)品。通過這樣的方式���,可以對標(biāo)注的藝術(shù)品實現(xiàn)準(zhǔn)確�、快速��、安全的識別�。
文檔編號G06K17/00GK102447691SQ20111026039
公開日2012年5月9日 申請日期2011年9月5日 優(yōu)先權(quán)日2011年9月5日
發(fā)明者徐慧, 田熲, 蔡永泉 申請人:北京朝順平通文化發(fā)展中心