一种基于加密技术对疫苗进行溯源的方法及系统与流程

1.本发明涉及加密技术领域，并且更具体地涉及，一种基于加密技术对疫苗进行溯源的方法及系统。


背景技术：

2.在“互联网 政务服务”的大背景下，密码技术是网络安全的核心技术和基础支撑。当前，我国对于信息系统中如何应用密码已经制定了相关的技术标准和管理规定。其中，gbt 39786-2021《信息安全技术信息系统密码应用基本要求》给出了面向通用信息系统的商用密码应用基本要求，《商用密码安全性评估管理办法(试行)》对重要领域网络和信息系统中如何开展商用密码应用安全性评估工作做出了规定。国家密码管理局组织编制的《政务信息系统密码应用实施指南》，为政务信息系统的建设、使用和管理单位提供信息系统密码应用相关要求的解读，为业务数据系统、政务网站系统、移动办公系统和政务云平台系统、安全电子邮件系统等各类政务信息系统的密码应用实施提供指导，帮助责任单位在政务信息系统的规划设计、建设实施和运行维护中合规、正确、有效地运用密码技术，更加充分有效的发挥密码技术在政务信息系统中的安全保障作用。
3.为规范商用密码应用安全性评估工作，国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定，对测评机构、网络运营者、管理部分三类对象提出了要求，对评估程序、评估方法、监督管理等进行了明确。同时，组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准，及《政务信息系统密码应用与安全性评估工作指南》、《商用密码应用安全性评估测评作业指导书(试行)》等指导性文件，指导测评机构规范有序开展评估工作。其中，《信息系统密码应用基本要求》从技术要求(包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)以及管理要求(包括管理制度、人员管理、建设运行和应急处置)方面提出密码应用安全性评估指标。


技术实现要素：

4.一种基于密码安全的疫苗全流程追溯的方法及系统就是在此基础上应运而生，以解决目前存在的问题。基于密码安全的疫苗全流程追溯监管平台从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面进行设计。
5.根据本发明的一个方面，提供一种基于加密技术对疫苗进行溯源的方法，所述方法包括：
6.确定疫苗的生产时间、疫苗的描述信息和生产方的标识符，由生产方基于所述疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符生成第一字符串，利用第一密钥对第一字符串进行加密以生成第一密文；
7.基于所述第一密文和溯源服务器的网络地址生成第一标识信息，利用第一标识信息对疫苗进行标注并将第一密文发送给溯源服务器；
8.在疫苗的物流阶段，物流方识别疫苗的第一标识信息，基于第一标识获取第一密文和溯源服务器的网络地址；
9.物流方基于物流信息和物流方的标识符生成第二字符串，将第二字符串和第一密文进行组合以生成待加密的字符串，利用第二密钥对待加密的字符串进行加密以生成第二密文，并通过溯源服务器的网络地址，将第二密文发送给溯源服务器；以及
10.在疫苗的使用阶段，使用方识别疫苗的第一标识信息，基于第一标识获取溯源服务器的网络地址，根据溯源服务器的网络地址向溯源服务器发送针对疫苗的溯源请求，从而基于溯源服务器的响应消息确定疫苗的溯源结果。
11.优选地，所述疫苗的描述信息包括：生产方信息、生产资质信息、许可证信息、原料供应商信息和生产设备信息。
12.优选地，所述基于所述疫苗的生产时间、疫苗的描述信息和生产方的标识符生成第一字符串包括：
13.将所述疫苗的生产时间、疫苗的描述信息和生产方的标识符按照预定顺序进行字符连接，从而生成第一字符串。
14.优选地，所述利用第一标识信息对疫苗进行标注包括：
15.利用第一标识信息生成标识编码；
16.将所述标识编码喷涂在疫苗的瓶体上，或者将所述标识编码喷涂在疫苗的包装盒上。
17.优选地，在将第一密文发送给溯源服务器之后还包括，将所述第一密钥发送给密钥服务器。
18.优选地，所述物流信息包括：入库时间、出库时间、送达时间、运送时长、环境温度以及附加数据。
19.优选地，所述物流方基于物流信息和物流方的标识符生成第二字符串包括：
20.物流方将物流信息和物流方的标识符按照预定顺序进行字符连接，从而生成第二字符串。
21.优选地，所述将第二字符串和第一密文进行组合以生成待加密的字符串包括：
22.将第二字符串和第一密文按照预定顺序进行字符组合，以生成待加密的字符串。
23.优选地，在将第二密文发送给溯源服务器之后还包括，将第二密钥发送给密钥服务器。
24.优选地，基于溯源服务器的响应消息确定疫苗的溯源结果包括：
25.溯源服务器对针对疫苗的溯源请求进行解析，以获取疫苗的第一标识信息；
26.基于疫苗的标识信息向密钥服务器发送密钥获取请求，以促使密钥服务器将与疫苗相关联的第一密钥和第二密钥发送给溯源服务器；
27.溯源服务器根据第二密钥对与疫苗相关联的第二密文进行解密以获取，第二字符串和第一密文，基于第二字符串获取基于物流信息和物流方的标识符；
28.溯源服务器根据第一密钥对于疫苗相关联的第一密文进行解密以获取，疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符；
29.将疫苗的生产时间、疫苗的标识信息、疫苗的描述信息、生产方的标识符、物流信息和物流方的标识符作为溯源结果，并将溯源结果发送给使用方。
30.根据本发明的另一方面，提供一种基于加密技术对疫苗进行溯源的系统，所述系统包括：
31.生成装置，用于确定疫苗的生产时间、疫苗的描述信息和生产方的标识符，由生产方基于所述疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符生成第一字符串，利用第一密钥对第一字符串进行加密以生成第一密文；
32.标注装置，用于基于所述第一密文和溯源服务器的网络地址生成第一标识信息，利用第一标识信息对疫苗进行标注并将第一密文发送给溯源服务器；
33.获取装置，用于在疫苗的物流阶段，物流方识别疫苗的第一标识信息，基于第一标识获取第一密文和溯源服务器的网络地址；
34.发送装置，用于物流方基于物流信息和物流方的标识符生成第二字符串，将第二字符串和第一密文进行组合以生成待加密的字符串，利用第二密钥对待加密的字符串进行加密以生成第二密文，并通过溯源服务器的网络地址，将第二密文发送给溯源服务器；以及
35.处理装置，用于在疫苗的使用阶段，使用方识别疫苗的第一标识信息，基于第一标识获取溯源服务器的网络地址，根据溯源服务器的网络地址向溯源服务器发送针对疫苗的溯源请求，从而基于溯源服务器的响应消息确定疫苗的溯源结果。
36.优选地，所述疫苗的描述信息包括：生产方信息、生产资质信息、许可证信息、原料供应商信息和生产设备信息。
37.优选地，所述生成装置具体用于：
38.将所述疫苗的生产时间、疫苗的描述信息和生产方的标识符按照预定顺序进行字符连接，从而生成第一字符串。
39.优选地，所述标注装置包括：
40.生成单元，用于利用第一标识信息生成标识编码；
41.喷涂单元，用于将所述标识编码喷涂在疫苗的瓶体上，或者将所述标识编码喷涂在疫苗的包装盒上。
42.优选地，在将第一密文发送给溯源服务器之后还包括，将所述第一密钥发送给密钥服务器。
43.优选地，所述物流信息包括：入库时间、出库时间、送达时间、运送时长、环境温度以及附加数据。
44.优选地，所述发送装置具体用于：
45.物流方将物流信息和物流方的标识符按照预定顺序进行字符连接，从而生成第二字符串。
46.优选地，所述发送装置具体用于：
47.将第二字符串和第一密文按照预定顺序进行字符组合，以生成待加密的字符串。
48.优选地，在将第二密文发送给溯源服务器之后还包括，将第二密钥发送给密钥服务器。
49.优选地，处理装置包括：
50.解析单元，用于促使溯源服务器对针对疫苗的溯源请求进行解析，以获取疫苗的第一标识信息；
51.发送单元，用于促使基于疫苗的标识信息向密钥服务器发送密钥获取请求，以促
使密钥服务器将与疫苗相关联的第一密钥和第二密钥发送给溯源服务器；
52.解密单元，用于促使溯源服务器根据第二密钥对与疫苗相关联的第二密文进行解密以获取，第二字符串和第一密文，基于第二字符串获取基于物流信息和物流方的标识符；溯源服务器根据第一密钥对于疫苗相关联的第一密文进行解密以获取，疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符；
53.处理单元，用于将疫苗的生产时间、疫苗的标识信息、疫苗的描述信息、生产方的标识符、物流信息和物流方的标识符作为溯源结果，并将溯源结果发送给使用方。
54.本发明的技术关键点在于：1、完全遵循国家密码安全相关法律法规要求，完成密码应用建设方案，便于后续对于疫苗追溯监管平台密码应用的合规性、正确性和有效性进行评估。2、完成疫苗追溯监管平台《密码应用解决方案》、《实施方案》和《应急处置方案》建设，相关内容符合标准且完备。
55.本发明的有益效果在于：1、密码技术是信息安全领域的核心技术，在疫苗追溯监管平台中使用密码技术能够有效解决信息的真实性、完整性和保密性问题。2、解决了商用密码的不广泛、不规范、不安全的问题，疫苗追溯监管平台通过密码测评后可以有效提升疫苗追溯监管平台安全隐患的发现能力。
附图说明
56.通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：
57.图1为根据本发明实施方式的基于加密技术对疫苗进行溯源的方法的流程图；
58.图2为根据本发明实施方式的实现疫苗追溯监管平台密码安全的示意图；
59.图3为根据本发明实施方式的密码设备的示意图；
60.图4为根据本发明实施方式的基于加密技术对疫苗进行溯源的系统的结构示意图。
具体实施方式
61.图1为根据本发明实施方式的基于加密技术对疫苗进行溯源的方法100的流程图。
62.方法100包括：步骤101，确定疫苗的生产时间、疫苗的描述信息和生产方的标识符，由生产方基于所述疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符生成第一字符串，利用第一密钥对第一字符串进行加密以生成第一密文。
63.在一个实施方式中，所述疫苗的描述信息包括：生产方信息、生产资质信息、许可证信息、原料供应商信息和生产设备信息。在一个实施方式中，所述基于所述疫苗的生产时间、疫苗的描述信息和生产方的标识符生成第一字符串包括：将所述疫苗的生产时间、疫苗的描述信息和生产方的标识符按照预定顺序进行字符连接，从而生成第一字符串。
64.步骤102，基于所述第一密文和溯源服务器的网络地址生成第一标识信息，利用第一标识信息对疫苗进行标注并将第一密文发送给溯源服务器。
65.在一个实施方式中，所述利用第一标识信息对疫苗进行标注包括：利用第一标识信息生成标识编码；将所述标识编码喷涂在疫苗的瓶体上，或者将所述标识编码喷涂在疫苗的包装盒上。在一个实施方式中，在将第一密文发送给溯源服务器之后还包括，将所述第一密钥发送给密钥服务器。
66.步骤103，在疫苗的物流阶段，物流方识别疫苗的第一标识信息，基于第一标识获取第一密文和溯源服务器的网络地址。
67.步骤104，物流方基于物流信息和物流方的标识符生成第二字符串，将第二字符串和第一密文进行组合以生成待加密的字符串，利用第二密钥对待加密的字符串进行加密以生成第二密文，并通过溯源服务器的网络地址，将第二密文发送给溯源服务器。
68.在一个实施方式中，所述物流信息包括：入库时间、出库时间、送达时间、运送时长、环境温度以及附加数据。在一个实施方式中，所述物流方基于物流信息和物流方的标识符生成第二字符串包括：物流方将物流信息和物流方的标识符按照预定顺序进行字符连接，从而生成第二字符串。
69.在一个实施方式中，所述将第二字符串和第一密文进行组合以生成待加密的字符串包括：将第二字符串和第一密文按照预定顺序进行字符组合，以生成待加密的字符串。在一个实施方式中，在将第二密文发送给溯源服务器之后还包括，将第二密钥发送给密钥服务器。
70.步骤105，在疫苗的使用阶段，使用方识别疫苗的第一标识信息，基于第一标识获取溯源服务器的网络地址，根据溯源服务器的网络地址向溯源服务器发送针对疫苗的溯源请求，从而基于溯源服务器的响应消息确定疫苗的溯源结果。
71.在一个实施方式中，基于溯源服务器的响应消息确定疫苗的溯源结果包括：溯源服务器对针对疫苗的溯源请求进行解析，以获取疫苗的第一标识信息；基于疫苗的标识信息向密钥服务器发送密钥获取请求，以促使密钥服务器将与疫苗相关联的第一密钥和第二密钥发送给溯源服务器；溯源服务器根据第二密钥对与疫苗相关联的第二密文进行解密以获取，第二字符串和第一密文，基于第二字符串获取基于物流信息和物流方的标识符；溯源服务器根据第一密钥对于疫苗相关联的第一密文进行解密以获取，疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符；将疫苗的生产时间、疫苗的标识信息、疫苗的描述信息、生产方的标识符、物流信息和物流方的标识符作为溯源结果，并将溯源结果发送给使用方。
72.图2为根据本发明实施方式的实现疫苗追溯监管平台密码安全的示意图。实现疫苗追溯监管平台密码安全至少包括以下四个方面：
73.1、物理和环境安全
74.疫苗全流程追溯监管平台数据中心所在机房须采用密码技术进行物理访问控制身份鉴别，保证重要区域进入人员身份的真实性。在系统所在机房部署符合国密标准的电子门禁系统，为机房管理和运维管理人员配发ic卡电子门禁，使用sm4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于sm4算法对人员身份进行鉴别。
75.在系统环境监控区部署符合国密标准的服务器密码机，使用hmac-sm3对电子门禁系统进出记录和视频监控记录等数据进行完整性保护。
76.2、网络和通信安全
77.疫苗全流程追溯监管平台的网络包含互联网、物联网和内部专网等不同网络区域，不同网络间存在数据交互和共享，在网络接入区分别部署符合国密标准的ipsec vpn和ssl vpn，对进行数据通信的设备在通信前进行身份鉴别和安全接入认证，并建立安全的数据传输通道，保证通信数据的完整性和重要数据的机密性；保证网络边界访问控制信息的
完整性。
78.3、设备和计算安全
79.在疫苗全流程追溯监管平台各运维服务区pc端部署国密安全浏览器，并向管理员配发智能密码钥匙(usbkey)，对登录堡垒机用户进行身份鉴别和远程管理信息传输机密性保护，防止非授权人员登录、管理员远程登录身份鉴别信息被非授权篡改。
80.在疫苗全流程追溯监管平台各业务系统区部署符合国密标准的服务器密码机和签名验签服务器，对系统访问控制信息列表进行签名，保证访问控制信息完整性；对系统中重要信息资源的安全标记列表进行签名，保证重要信息资源安全标记完整性。
81.调用疫苗追溯监管业务系统区的服务器密码机，使用hmac-sm3对应用服务器、数据库服务器等设备日志进行完整性保护。
82.调用疫苗追溯监管业务系统区的签名验签服务器，对应用服务器中所有的重要可执行程序在生成时进行签名，使用或读取时进行验签，保证重要可执行程序完整性和来源真实性。
83.4、应用和数据安全
84.在疫苗全流程追溯监管平台各业务区部署符合国密标准的统一密码服务平台，在业务区pc端部署国密安全浏览器，并配发智能密码钥匙(usbkey)，在移动端app中部署符合国密标准的移动端密码模块(手机盾)，通过证书认证系统和协同签名系统分别向usbkey和手机盾配发数字证书，实现登录用户的安全身份鉴别，防止非授权人员登录。
85.通过统一密码服务平台调用疫苗追溯监管业务服务区的签名验签服务器，对统一身份认证系统中应用用户的访问权限控制列表进行完整性保护，防止应用资源被非授权用户获取。
86.通过统一密码服务平台调用疫苗追溯监管业务服务区的服务器密码机，对pc端和移动端用户身份鉴别数据、业务系统中关键敏感的数据(例如用户身份鉴别信息、企业核心机密信息等)和重要的机密文件进行传输和存储机密性、完整性保护，防止非法窃取和篡改。
87.通过统一密码服务平台调用疫苗追溯监管业务服务区的签名验签服务器和电子签章服务器，对重要的数据和流转文件进行数字签名或电子签章，保证重要数据的完整性，防止非法篡改，以及保证发送方和接收方操作行为的不可否认性。
88.图3为根据本发明实施方式的密码设备的示意图。密码设备至少能够实现：1、统一密码服务平台；2、ipsec/ssl vpn；3、服务器密码机；4、签名验签服务器；5、数字证书认证系统；6、统一身份认证系统；7、密钥管理系统；8、电子签章系统；9、协同签名系统；10、智能密码钥匙；11、国密浏览器；12、移动端安全密码模块；13、门禁管理系统；14、16位国密硬盘录像机；15、400万半球国密网络摄像机；以及16、国密视频播放客户端软件。
89.图4为根据本发明实施方式的基于加密技术对疫苗进行溯源的系统的结构示意图。系统400包括：生成装置401、标注装置402、获取装置403、发送装置404以及处理装置。
90.生成装置401，用于确定疫苗的生产时间、疫苗的描述信息和生产方的标识符，由生产方基于所述疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符生成第一字符串，利用第一密钥对第一字符串进行加密以生成第一密文。在一个实施方式中，生成装置401具体用于：将所述疫苗的生产时间、疫苗的描述信息和生产方的标识符按照预
定顺序进行字符连接，从而生成第一字符串。
91.标注装置402，用于基于所述第一密文和溯源服务器的网络地址生成第一标识信息，利用第一标识信息对疫苗进行标注并将第一密文发送给溯源服务器。在一个实施方式中，标注装置402包括：生成单元，用于利用第一标识信息生成标识编码；喷涂单元，用于将所述标识编码喷涂在疫苗的瓶体上，或者将所述标识编码喷涂在疫苗的包装盒上。
92.获取装置403，用于在疫苗的物流阶段，物流方识别疫苗的第一标识信息，基于第一标识获取第一密文和溯源服务器的网络地址。
93.发送装置404，用于物流方基于物流信息和物流方的标识符生成第二字符串，将第二字符串和第一密文进行组合以生成待加密的字符串，利用第二密钥对待加密的字符串进行加密以生成第二密文，并通过溯源服务器的网络地址，将第二密文发送给溯源服务器。在一个实施例中，发送装置404具体用于：物流方将物流信息和物流方的标识符按照预定顺序进行字符连接，从而生成第二字符串。在一个实施例中，发送装置404具体用于：将第二字符串和第一密文按照预定顺序进行字符组合，以生成待加密的字符串。
94.处理装置405，用于在疫苗的使用阶段，使用方识别疫苗的第一标识信息，基于第一标识获取溯源服务器的网络地址，根据溯源服务器的网络地址向溯源服务器发送针对疫苗的溯源请求，从而基于溯源服务器的响应消息确定疫苗的溯源结果。
95.在一个实施例中，处理装置405包括：解析单元，用于促使溯源服务器对针对疫苗的溯源请求进行解析，以获取疫苗的第一标识信息；发送单元，用于促使基于疫苗的标识信息向密钥服务器发送密钥获取请求，以促使密钥服务器将与疫苗相关联的第一密钥和第二密钥发送给溯源服务器；解密单元，用于促使溯源服务器根据第二密钥对与疫苗相关联的第二密文进行解密以获取，第二字符串和第一密文，基于第二字符串获取基于物流信息和物流方的标识符；溯源服务器根据第一密钥对于疫苗相关联的第一密文进行解密以获取，疫苗的生产时间、疫苗的标识信息、疫苗的描述信息和生产方的标识符；处理单元，用于将疫苗的生产时间、疫苗的标识信息、疫苗的描述信息、生产方的标识符、物流信息和物流方的标识符作为溯源结果，并将溯源结果发送给使用方。
96.在一个实施例中，所述疫苗的描述信息包括：生产方信息、生产资质信息、许可证信息、原料供应商信息和生产设备信息。在一个实施例中，在将第一密文发送给溯源服务器之后还包括，将所述第一密钥发送给密钥服务器。在一个实施例中，物流信息包括：入库时间、出库时间、送达时间、运送时长、环境温度以及附加数据。在一个实施例中，在将第二密文发送给溯源服务器之后还包括，将第二密钥发送给密钥服务器。