一種基于公鑰密碼的多因素防偽方法及系統的制作方法
【技術領域】
[0001]本發明涉及密鑰安全領域,特別涉及一種基于公鑰密碼的多因素防偽方法及系統。
【背景技術】
[0002]公鑰密碼也稱為非對稱密碼,是一種密碼體制,其加密算法和解密算法使用不同的密鑰:一個是公鑰,一個是私鑰。公鑰密碼算法用兩個密鑰中的一個將明文轉換成密文,用另一個密鑰從密文恢復出明文。
[0003]公鑰算法依賴于一個加密密鑰和一個與之相關的不同的解密密鑰,其中,僅根據密碼算法和加密密鑰來確定解密密鑰在計算上是不可行的。目前,應用最廣泛的公鑰密碼體制是RSA,以及中國國家密碼管理局發布的橢圓曲線算法(SM2)。
[0004]當前普遍將私鑰以某種方式存儲在被驗證產品內,入侵者可以通過物理攻擊(如剖片)和軟件攻擊(如惡意軟件讀取存儲私鑰地址)等方式盜取私鑰。入侵者盜取私鑰之后,可以克隆被保護的產品“仿冒”當前用戶身份進行不法操作。考慮到的目前這種這樣的解決方案存在的問題會帶來的安全性相關問題,需要采用多重防偽方法以解決私鑰被盜而導致產品被復制的問題這一安全性漏洞。
【發明內容】
[0005]有鑒于此,本發明的主要目的在于提供一種基于公鑰密碼的多因素防偽方法及系統,以提尚安全性。
[0006]為實現上述目的,本發明提供了一種基于公鑰密碼的多因素防偽方法,包括:
[0007]注冊步驟:
[0008]防偽認證中心生成根證書,將根證書發送至驗證設備;
[0009]出廠打標設備生成第一私鑰,并通過公鑰密碼算法生成第一公鑰,并將第一公鑰發送至防偽認證中心;
[0010]所述防偽認證中心根據所述第一公鑰生成廠商證書,并將所述廠商證書發送至出廠打標設備;
[0011]所述出廠打標設備掃描形成于防偽模塊表面的、承載有特征碼的可識別標簽,獲取特征碼并對所述特征碼進行第一變換,將第一變換結果發送至設置于待防偽產品中的防偽豐吳塊;
[0012]所述防偽模塊生成并存儲隨機數以及不可克隆響應,利用所述隨機數、不可克隆響應和所述第一變換結果生成第二私鑰和第二公鑰,將所述第二公鑰發送至所述出廠打標設備;
[0013]所述出廠打標設備利用所述第一私鑰和第二公鑰生成商品證書,并將所述廠商證書和商品證書發送至所述防偽模塊;
[0014]驗證步驟:
[0015]驗證設備掃描形成于防偽模塊表面的、承載有特征碼的可識別標簽,獲取所述特征碼,并對所述特征碼進行與所述第一變換相同的第二變換,將第二變換結果發送至所述防偽模塊;
[0016]所述防偽模塊根據在注冊步驟中存儲的所述隨機數和不可克隆響應,以及所述第二變換結果生成待驗證的第二私鑰;
[0017]驗證設備生成隨機挑戰信息并將所述隨機挑戰信息發送至所述防偽模塊;
[0018]所述防偽模塊利用所述待驗證的第二私鑰和所述隨機挑戰信息生成隨機挑戰響應信息,并將所述隨機挑戰響應信息、廠商證書和商品證書發送至所述驗證設備;
[0019]所述驗證設備依次驗證根證書、廠商證書、商品證書以及隨機挑戰響應信息。
[0020]進一步,注冊步驟中,防偽認證中心生成根證書包括:
[0021]防偽認證中心生成第三私鑰和第三公鑰,利用第三私鑰對所述第三公鑰進行簽名生成根證書。
[0022]進一步,在注冊步驟中,防偽認證中心利用所述第三私鑰對所述第一公鑰進行簽名,生成所述廠商證書。
[0023]進一步,所述可識別標簽為一維碼、二維碼、圖片、數字或兩種及兩種之上的組合。
[0024]進一步,注冊步驟中防偽模塊生成并存儲隨機數以及不可克隆響應,利用所述隨機數、不可克隆響應和所述第一變換結果生成第二私鑰和第二公鑰,將所述第二公鑰發送至所述出廠打標設備包括:
[0025]所述防偽模塊生成隨機數和不可克隆響應,并存儲所述隨機數和不可克隆響應;
[0026]所述防偽模塊將所述隨機數、不可克隆響應與所述出廠打標設備發送的所述第一變換結果進行運算,將運算結果作為第二私鑰;
[0027]所述防偽模塊根據所述第二私鑰和公鑰密碼算法生成第二公鑰;
[0028]所述防偽模塊將所述第二公鑰發送至所述出廠打標設備。
[0029]進一步,所述防偽模塊將所述隨機數、不可克隆響應與所述出廠打標設備發送的第一變換結果進行異或運算,將運算結果作為第二私鑰。
[0030]進一步,注冊步驟中所述出廠打標設備利用所述第一私鑰和第二公鑰生成商品證書,并將所述廠商證書和商品證書發送至所述防偽模塊包括:
[0031]所述出廠打標設備利用所述第一私鑰對所述第二公鑰進行簽名,生成所述商品證書;
[0032]將所述廠商證書和商品證書發送至所述防偽模塊。
[0033]進一步,防偽模塊根據在注冊步驟中存儲的所述隨機數和不可克隆響應,以及由所述驗證設備發送的第二變換結果進行異或運算,將運算結果作為待驗證的第二私鑰。
[0034]進一步,所述防偽模塊利用所述待驗證的第二私鑰和所述隨機挑戰信息生成隨機挑戰響應信息,并將所述隨機挑戰響應信息、廠商證書和商品證書發送至所述驗證設備包括:
[0035]所述防偽模塊利用所述待驗證的第二私鑰對所述隨機挑戰信息進行簽名,生成所述隨機挑戰響應信息;
[0036]所述防偽模塊將所述隨機挑戰響應信息、廠商證書和商品證書發送至所述驗證設備。
[0037]進一步,所述驗證設備依次驗證根證書、廠商證書、商品證書以及隨機挑戰響應信息包括:
[0038]所述驗證設備驗證所述根證書,獲得第三公鑰;
[0039]所述驗證設備利用獲得的第三公鑰對所述廠商證書進行簽名驗證,獲得第一公鑰;
[0040]所述驗證設備利用獲得的第一公鑰對所述商品證書進行簽名驗證,獲得第二公鑰;
[0041]所述驗證設備利用獲得的第二公鑰對所述隨機挑戰響應信息進行簽名驗證,獲得隨機挑戰信息;
[0042]所述驗證設備對比由所述隨機挑戰響應信息中獲得的隨機挑戰信息與所述驗證設備生成的隨機挑戰信息,若一致則驗證成功,若不一致則驗證失敗。
[0043]本發明還提供了一種基于公鑰密碼的多因素防偽系統,包括:出廠打標設備、防偽認證中心、防偽模塊及驗證設備;
[0044]其中,所述出廠打標設備包括第一密鑰生成模塊、掃描模塊以及商品證書生成模塊;所述第一密鑰生成模塊用于在注冊階段生成第一私鑰,并通過公鑰密碼算法生成第一公鑰,并將第一公鑰發送至所述防偽認證中心;所述掃描模塊用于在注冊階段掃描形成于防偽模塊表面的、承載有特征碼的可識別標簽,獲取特征碼并對所述特征碼進行第一變換,將第一變換結果發送至設置于待防偽產品中的防偽模塊;所述商品證書生成模塊用于在注冊階段利用所述第一私鑰和第二公鑰生成商品證書,并將所述廠商證書和商品證書發送至所述防偽模塊;
[0045]所述防偽認證中心用于在注冊階段生成根證書,將根證書發送至驗證設備,以及用于根據所述第一公鑰生成廠商證書,并將