一种云环境下面向移动终端的证书防伪认证系统及方法技术方案

本发明专利技术提供一种云环境下面向移动终端的证书防伪认证系统及方法，该系统包括证书制作子系统、证书发布子系统和移动终端子系统；证书制作子系统根据证书的关键信息生成二维码，得到认证数据结构及其认证特征值basis，XML数字签名后发送至证书发布子系统更新认证数据结构副本；证书制作子系统制作含有二维码的证书并颁发给证书持有者；利用移动终端子系统扫描证书上的二维码信息后，向证书发布子系统发送查询认证请求；证书发布子系统对查询认证SOAP包进行解析，将应答SOAP包返回给移动终端子系统进行细粒度的真实性认证。集成XML数字签名技术解决分布式证书认证问题，较传统的证书认证系统而言，既保证了必须的真实性认证，也降低了证书制作子系统的负担。

【技术实现步骤摘要】
一种云环境下面向移动终端的证书防伪认证系统及方法
本专利技术属于网络安全
，特别涉及一种云环境下面向移动终端的证书防伪认证系统及方法。
技术介绍
近年来高校毕业人数的不断增多，对学历证书的认证需求不断增大。不仅要保证纸质证书的真实性，而且还需对网上电子毕业证书进行认证。目前，中国高等教育学生信息网www.chsi.com.cn就可以提供此类学历证书的查询与认证服务。查询者需要登陆到这个唯一指定的网站，输入证书编号、姓名、查询码、验证码等才能进行证书的查询。然后通过输入在线验证码才能进行证书真伪的验证。这种查询验证方法所采用的技术是典型的集中式数据处理技术。该网站经教育部授权存储全国证书数据库副本，用户每次向该数据库发起验证查询。当用户发起查询时，该网站将查询证书信息与数据库(这个数据库是存储在教育部的服务器上的)进行逐项比对，若完全一致，验证通过(真证书)；否则验证失败(伪证书)。随着数据量不断增加，该集中式数据处理系统挑战也愈发突出。海量数据需大量的存储空间；数据高度集中，会不可避免的引起“网络延时”和“拒绝服务攻击”等问题，并且该系统还需额外建立与维护可信数据环境来保证证书的真实性，而建立和维护可信环境的成本是极其昂贵的；同时也面临着难以升级的问题。这种集中式的处理形式已不适用于目前网络环境，将毕业证书系统移植到云计算环境下，利用云计算的海量存储空间与丰富的计算资源来解决现有毕业证书的验证问题。其主要技术手段就是解决云环境下数据认证问题。目前的解决方法有：将传统的消息认证技术(如数字签名或消息认证码)直接应用到此类数据认证问题中，对于查询应答任何数据项进行签名并把这些签名附加到每个数据项上。由于数据将随着时间而快速增长，而且为每个数据项(网页)进行数字签名是非常困难的，还要耗费大量的时间，因此这种解决方法的效率将非常低下；利用可信服务器的方法。这种方法的一个主要缺点是每个服务器必须在一个安全的环境中得到维护，因此需要额外的建立与维护操作，这就需要大量的实现费用。这个方法从经济角度上是不可行的；对数据库整体进行数字签名方法。数据源周期性地对数据库当前版本的消息摘要进行数字签名。该种方案只能解决静态结构问题，且对于客户端要有较高的计算要求。为了验证查询数据的真实性，客户端需要处理整个数据库，更新代价过高；认证数据结构模型虽能解决分布式数据的高效查询和认证问题，但是最大缺点在于客户端必须访问体积庞大的、私有的接口。程序开发人员必须具有专门的知识，同时还需要为不同的目标操作系统和程序设计语言提供独立的工具，这些工具都拥有各自独立的通信协议和规范器等等。可见，上述方案虽可解决认证问题，但是在实际的应用过程中却存在着效率低下、运营维护成本高的问题、可扩展性差、不利于大范围推广。
技术实现思路
针对现有技术存在的不足，本专利技术提供一种云环境下面向移动终端的证书防伪认证系统及方法。本专利技术的技术方案是：一种云环境下面向移动终端的证书防伪认证系统，包括证书制作子系统、证书发布子系统和移动终端子系统；证书制作子系统在证书颁发机构终端实现，用于根据证书的关键信息生成二维码，同时得到认证数据结构及其认证特征值basis，对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统；接收到证书发布子系统返回的更新结果后，根据关键信息制作含有二维码的证书，并颁发给证书持有者；证书发布子系统在云服务器中实现，用于更新认证数据结构副本，把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后，将更新结果返回给证书制作子系统；接收移动终端子系统发送的查询认证SOAP包，并对其进行解析，将应答SOAP包返回给移动终端子系统；移动终端子系统在移动终端实现，用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求，并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证。所述的云环境下面向移动终端的证书防伪认证系统的证书防伪认证方法，包括以下步骤：步骤1：证书制作子系统根据证书的关键信息生成二维码，同时得到认证数据结构及其认证特征值basis，对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统；步骤1.1：证书颁发机构将证书的关键信息录入到证书制作子系统中，生成与证书关键信息对应的二维码，更新认证数据结构及其认证特征值basis；步骤1.2：证书制作子系统使用自己的私钥对认证特征值basis进行XML数字签名并存储在证书制作子系统数据库；步骤1.3：证书制作子系统把证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis通过SOAP封装发给证书发布子系统；步骤2：证书发布子系统更新认证数据结构副本，并将更新结果返回给证书制作子系统；步骤2.1：证书发布子系统对证书制作子系统发送的SOAP包进行解析，得到证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis；步骤2.2：更新证书发布子系统的数据库和认证数据结构副本，生成新的认证特征值basis；步骤2.3：证书发布子系统把进行XML数字签名后的认证特征值basis作为认证根数据，以XML文件的形式保存在证书发布子系统数据库；步骤2.4：更新认证数据结构副本成功后，证书发布子系统将更新结果返回给证书制作子系统；步骤3：证书制作子系统根据关键信息生成对应二维码，将包含该二维码的证书颁发给证书持有者；步骤4：利用移动终端子系统扫描证书上的二维码信息后，移动终端子系统向证书发布子系统发送查询认证请求；步骤4.1：扫描证书上的二维码，读出二维码内关键信息，作为移动终端子系统的输入信息；步骤4.2：将扫描得到的关键信息进行SOAP封装，得到查询认证SOAP包；步骤4.3：将查询认证SOAP包发给证书发布子系统，即发送查询认证请求至云服务器；步骤5：证书发布子系统对查询认证SOAP包进行解析，将应答SOAP包返回给移动终端子系统；步骤5.1：证书发布子系统在接收到查询认证请求后，对查询认证SOAP包进行解析，得到需要查询的关键信息；步骤5.2：执行查询算法生成与需要查询的关键信息对应的查询路径与查询结果；步骤5.3：将查询路径通过base64编码序列化，得到一系列的哈希链序列，再将这些哈希序列与查询结果一同封装到QueryResponse标签元素下；步骤5.4：将认证根数据的XML文件的信息复制过来，与QueryResponse标签元素一起封装得到应答SOAP包，应答SOAP包中包括查询路径、查询结果以及认证根数据的XML文件；步骤5.5：将应答SOAP包返回给移动终端子系统；步骤6：移动终端子系统对应答SOAP包中的认证特征值basis进行细粒度的防伪认证；步骤6.1：移动终端子系统接收应答SOAP包后，解析该SOAP包，获得认证查询路径、查询结果及认证根数据的XML文件；步骤6.2：利用关键信息与查询路径计算认证根数据；步骤6.3：将计算得到的认证根数据替换XML文件中的认证根数据；步骤6.4：利用证书制作子系统的公钥还原与每项关键信息对应的认证根数据，如果还原出的认证根数据与替换前的XML文件中的认证根数据不同，则防伪认证失败，当前证书为假，同时在移动终端子系统显示防伪认证失败，否则本文档来自技高网...

【技术保护点】
一种云环境下面向移动终端的证书防伪认证系统，其特征在于：包括证书制作子系统、证书发布子系统和移动终端子系统；证书制作子系统在证书颁发机构终端实现，用于根据证书的关键信息生成二维码，同时得到认证数据结构及其认证特征值basis，对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统；接收到证书发布子系统返回的更新结果后，根据关键信息制作含有二维码的证书，并颁发给证书持有者；证书发布子系统在云服务器中实现，用于更新认证数据结构副本，把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后，将更新结果返回给证书制作子系统；接收移动终端子系统发送的查询认证SOAP包，并对其进行解析，将应答SOAP包返回给移动终端子系统；移动终端子系统在移动终端实现，用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求，并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证。

【技术特征摘要】
1.一种云环境下面向移动终端的证书防伪认证系统，其特征在于：包括证书制作子系统、证书发布子系统和移动终端子系统；证书制作子系统在证书颁发机构终端实现，用于根据证书的关键信息生成二维码，同时得到认证数据结构及其认证特征值basis，对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统；接收到证书发布子系统返回的更新结果后，根据关键信息制作含有二维码的证书，并颁发给证书持有者；证书发布子系统在云服务器中实现，用于更新认证数据结构副本，把进行XML数字签名后的认证特征值basis作为认证根数据以XML文件的形式保存后，将更新结果返回给证书制作子系统；接收移动终端子系统发送的查询认证SOAP包，并对其进行解析，将应答SOAP包返回给移动终端子系统；移动终端子系统在移动终端实现，用于扫描证书上的二维码获得关键信息后向证书发布子系统发送查询认证请求，并对应答SOAP包中的认证特征值basis进行细粒度的真实性验证。2.权利要求1所述的云环境下面向移动终端的证书防伪认证系统的证书防伪认证方法，其特征在于：包括以下步骤：步骤1：证书制作子系统根据证书的关键信息生成二维码，同时得到认证数据结构及其认证特征值basis，对认证特征值basis进行XML数字签名后存储并发送至证书发布子系统；步骤1.1：证书颁发机构将证书的关键信息录入到证书制作子系统中，生成与证书关键信息对应的二维码，更新认证数据结构及其认证特征值basis；步骤1.2：证书制作子系统使用自己的私钥对认证特征值basis进行XML数字签名并存储在证书制作子系统数据库；步骤1.3：证书制作子系统把证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis通过SOAP封装发给证书发布子系统；步骤2：证书发布子系统更新认证数据结构副本，并将更新结果返回给证书制作子系统；步骤2.1：证书发布子系统对证书制作子系统发送的SOAP包进行解析，得到证书的关键信息、认证数据结构和进行XML数字签名后的认证特征值basis；步骤2.2：更新证书发布子系统的数据库和认证数据结构副本，生成新的认证特征值basis；步骤2.3：证书发布子系统把进行XML数字...

【专利技术属性】
技术研发人员：周福才，王强，秦诗悦，徐剑，
申请(专利权)人：东北大学，
类型：发明
国别省市：辽宁;21