隨機挑戰信息與驗證設備生成的隨機挑戰信息,若一致則驗證成功,若不一致則驗證失敗。
[0095]在本實施例中,在注冊步驟及驗證步驟中所進行的簽名,可采用現有的簽名算法進行,例如SM2簽名算法,簽名的具體步驟為本領域公知常識,在此不再贅述;進一步,在驗證步驟中,對根證書的驗證包括利用根證書中的第三公鑰的原文進行運算函數如哈希函數計算生成第三公鑰的摘要,并利用第三公鑰的原文解密由第三私鑰加密的部分,獲得由第三私鑰加密的第三公鑰的摘要,將兩個摘要進行對比,若兩個摘要相同,則說明第三公鑰為可信的,將第三公鑰用于其后的驗證步驟。
[0096]根據上述簽名的過程,在本實施例中進行的對廠商證書的簽名驗證的具體過程為,驗證設備利用廠商證書中的第一公鑰原文進行相同的運算函數進行運算,生成第一公鑰原文的摘要,再利用第三公鑰對廠商證書中加密的第一公鑰摘要進行解密,然后對比兩個第一公鑰的摘要是否一致,若一致則認為廠商證書中的第一公鑰可信,由此獲得第一公鑰;與此過程類似的,對商品證書的簽名認證具體包括驗證設備對商品證書中的第二公鑰原文進行函數運算,生成第二公鑰原文的摘要,再利用第一公鑰解密商品證書中的加密的第二公鑰的摘要,然后對比兩個第二公鑰的摘要是否一致,若一致則認為商品證書中的第二公鑰可信,由此獲得第二公鑰;同理,對隨機挑戰響應信息的簽名認證具體包括對隨機挑戰響應信息中的隨機挑戰信息原文進行函數運算得到隨機挑戰信息原文的摘要,再利用第二公鑰對隨機挑戰響應信息中加密的隨機挑戰信息摘要進行解密,然后對比兩個隨機挑戰信息的摘要是否一致,若一致則認為隨機挑戰響應信息的中的隨機挑戰信息可信。
[0097]與本發明提供的基于公鑰密碼的防偽方法對應的,本發明還提供了一種基于公鑰密碼的多因素防偽系統,包括:出廠打標設備、防偽認證中心、防偽模塊及驗證設備;
[0098]其中,所述出廠打標設備包括第一密鑰生成模塊、掃描模塊以及商品證書生成模塊;所述第一密鑰生成模塊用于在注冊階段生成第一私鑰,并通過公鑰密碼算法生成第一公鑰,并將第一公鑰發送至所述防偽認證中心;所述掃描模塊用于在注冊階段掃描形成于防偽模塊表面的、承載有特征碼的可識別標簽,獲取特征碼并對所述特征碼進行第一變換,將第一變換結果發送至設置于待防偽產品中的防偽模塊;所述商品證書生成模塊用于在注冊階段利用所述第一私鑰和第二公鑰生成商品證書,并將所述廠商證書和商品證書發送至所述防偽模塊;
[0099]所述防偽認證中心用于在注冊階段生成根證書,將根證書發送至驗證設備,以及用于根據所述第一公鑰生成廠商證書,并將所述廠商證書發送至所述出廠打標設備;
[0100]所述防偽模塊設置于待防偽產品中,其表面形成有承載特征碼的可識別標簽,包括隨機數生成單元、不可克隆單元、存儲單元、第二密鑰生成單元和隨機挑戰響應信息生成單元;所述隨機數生成單元用于在注冊階段生成隨機數;所述不可克隆單元用于在注冊階段生成不可克隆響應;所述存儲單元用于存儲所述隨機數和不可克隆響應;所述第二密鑰生成單元用于在注冊階段利用所述隨機數、不可克隆響應和所述第一變換結果生成第二私鑰和第二公鑰,將所述第二公鑰發送至所述出廠打標設備,以及用于在驗證階段利用存儲單元中的所述隨機數和不可克隆響應和第二變換結果生成待驗證的第二私鑰;所述隨機挑戰響應信息生成單元用于在驗證階段利用所述待驗證的第二私鑰和隨機挑戰信息生成隨機挑戰響應信息,并將所述隨機挑戰響應信息、廠商證書和商品證書發送至所述驗證設備;
[0101]所述驗證設備包括在驗證階段用于生成隨機挑戰信息并將所述隨機挑戰信息發送至所述防偽模塊的隨機挑戰生成模塊;以及用于根據根證書依次驗證廠商證書、商品證書以及隨機挑戰響應信息的驗證模塊。
[0102]進一步,所述防偽認證中心包括在注冊階段用于生成第三公鑰和第三私鑰的第三密鑰生成模塊、以及用于利用所述第三私鑰對所述第三公鑰進行簽名,生成所述根證書的根證書生成模塊。
[0103]進一步,所述防偽認證中心包括在注冊階段用于利用所述第三私鑰對所述第一公鑰進行簽名,生成所述廠商證書的廠商證書生成模塊、以及用于將所述廠商證書發送至所述出廠打標設備的防偽密鑰通信模塊。
[0104]進一步,所述可識別標簽為一維碼、二維碼、圖片、數字或兩種及兩種之上的組合。
[0105]進一步,所述第二密鑰生成單元進一步用于在注冊階段利用所述隨機數、不可克隆響應和所述第一變換結果生成第二私鑰,并利用所述第二私鑰和公鑰密碼算法生成第二公鑰。
[0106]進一步,所述第二密鑰生成單元進一步用于在注冊階段利用所述隨機數、不可克隆響應和所述第一變換結果進行異或運算,將運算結果作為第二私鑰。
[0107]進一步,所述第一證書生成模塊包括利用所述第一私鑰對所述第二公鑰進行簽名,生成所述根證書的第一簽名單元,以及用于將所述根證書和二級證書發送至所述防偽模塊的出廠打標通信單元。
[0108]進一步,所述第二密鑰生成單元進一步用于在驗證階段利用存儲單元存儲的所述隨機數和不可克隆響應,以及所述第二變換結果進行異或運算,將運算結果作為待驗證的第二私鑰。
[0109]進一步,所述隨機挑戰響應信息生成模塊包括用于利用所述第二私鑰對所述挑戰信息進行簽名,生成所述隨機挑戰響應信息的第二簽名單元,以及用于將所述隨機挑戰響應信息、廠商證書和商品證書發送至所述驗證設備的第二防偽通信單元。
[0110]進一步,所述驗證模塊包括第一驗證單元、第二驗證單元以及第三驗證單元;所述第一驗證單元用于驗證所述根證書,獲得所述第三公鑰,并利用所述第三公鑰對所述廠商證書進行簽名驗證,獲得第一公鑰;所述第二驗證單元用于利用獲得的第一公鑰對所述商品證書進行簽名驗證,獲得第二公鑰;所述第三驗證單元用于利用獲得的第二公鑰對所述隨機挑戰響應信息進行簽名驗證,獲得隨機挑戰信息,并對比由所述隨機挑戰響應信息中獲得的隨機挑戰信息與所述驗證設備生成的隨機挑戰信息,若一致則驗證成功,若不一致則驗證失敗。
[0111]需要說明的是,上述防偽系統中的出廠打標設備、防偽認證中心、防偽模塊及驗證設備,以及各自所包含的模塊或單元所執行的功能,本領域技術人員均可基于硬件設備通過嵌入式軟件實現,在此不再贅述。
[0112]綜上所述,采用本發明提供的一種基于公鑰密碼的多因素防偽方法和系統,于防偽模塊表面形成承載有特征碼的可識別標簽,由出廠打標設備生成第一公私密鑰對,由防偽模塊根據出廠打標設備獲取并生成的特征碼變換結果、隨機數和不可克隆響應多因素結合生成第二公私密鑰對,通過在注冊步驟生成根證書、與第一公鑰相關的廠商證書、與第一私鑰和第二公鑰相關的商品證書,以及在驗證步驟中生成隨機挑戰信息和與第二私鑰相關的隨機挑戰響應信息,進行逐次驗證,由此提高了安全性。
[0113]以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的范圍之內。
【主權項】
1.一種基于公鑰密碼的多因素防偽方法,其特征在于,包括: 注冊步驟: 防偽認證中心生成根證書,將根證書發送至驗證設備;