一种基于公钥密码的多因素防伪方法及系统的制作方法
【技术领域】
[0001]本发明涉及密钥安全领域,特别涉及一种基于公钥密码的多因素防伪方法及系统。
【背景技术】
[0002]公钥密码也称为非对称密码,是一种密码体制,其加密算法和解密算法使用不同的密钥:一个是公钥,一个是私钥。公钥密码算法用两个密钥中的一个将明文转换成密文,用另一个密钥从密文恢复出明文。
[0003]公钥算法依赖于一个加密密钥和一个与之相关的不同的解密密钥,其中,仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的。目前,应用最广泛的公钥密码体制是RSA,以及中国国家密码管理局发布的椭圆曲线算法(SM2)。
[0004]当前普遍将私钥以某种方式存储在被验证产品内,入侵者可以通过物理攻击(如剖片)和软件攻击(如恶意软件读取存储私钥地址)等方式盗取私钥。入侵者盗取私钥之后,可以克隆被保护的产品“仿冒”当前用户身份进行不法操作。考虑到的目前这种这样的解决方案存在的问题会带来的安全性相关问题,需要采用多重防伪方法以解决私钥被盗而导致产品被复制的问题这一安全性漏洞。
【发明内容】
[0005]有鉴于此,本发明的主要目的在于提供一种基于公钥密码的多因素防伪方法及系统,以提尚安全性。
[0006]为实现上述目的,本发明提供了一种基于公钥密码的多因素防伪方法,包括:
[0007]注册步骤:
[0008]防伪认证中心生成根证书,将根证书发送至验证设备;
[0009]出厂打标设备生成第一私钥,并通过公钥密码算法生成第一公钥,并将第一公钥发送至防伪认证中心;
[0010]所述防伪认证中心根据所述第一公钥生成厂商证书,并将所述厂商证书发送至出厂打标设备;
[0011]所述出厂打标设备扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取特征码并对所述特征码进行第一变换,将第一变换结果发送至设置于待防伪产品中的防伪丰吴块;
[0012]所述防伪模块生成并存储随机数以及不可克隆响应,利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备;
[0013]所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块;
[0014]验证步骤:
[0015]验证设备扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取所述特征码,并对所述特征码进行与所述第一变换相同的第二变换,将第二变换结果发送至所述防伪模块;
[0016]所述防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应,以及所述第二变换结果生成待验证的第二私钥;
[0017]验证设备生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块;
[0018]所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备;
[0019]所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息。
[0020]进一步,注册步骤中,防伪认证中心生成根证书包括:
[0021]防伪认证中心生成第三私钥和第三公钥,利用第三私钥对所述第三公钥进行签名生成根证书。
[0022]进一步,在注册步骤中,防伪认证中心利用所述第三私钥对所述第一公钥进行签名,生成所述厂商证书。
[0023]进一步,所述可识别标签为一维码、二维码、图片、数字或两种及两种之上的组合。
[0024]进一步,注册步骤中防伪模块生成并存储随机数以及不可克隆响应,利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备包括:
[0025]所述防伪模块生成随机数和不可克隆响应,并存储所述随机数和不可克隆响应;
[0026]所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的所述第一变换结果进行运算,将运算结果作为第二私钥;
[0027]所述防伪模块根据所述第二私钥和公钥密码算法生成第二公钥;
[0028]所述防伪模块将所述第二公钥发送至所述出厂打标设备。
[0029]进一步,所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的第一变换结果进行异或运算,将运算结果作为第二私钥。
[0030]进一步,注册步骤中所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块包括:
[0031]所述出厂打标设备利用所述第一私钥对所述第二公钥进行签名,生成所述商品证书;
[0032]将所述厂商证书和商品证书发送至所述防伪模块。
[0033]进一步,防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应,以及由所述验证设备发送的第二变换结果进行异或运算,将运算结果作为待验证的第二私钥。
[0034]进一步,所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备包括:
[0035]所述防伪模块利用所述待验证的第二私钥对所述随机挑战信息进行签名,生成所述随机挑战响应信息;
[0036]所述防伪模块将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备。
[0037]进一步,所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息包括:
[0038]所述验证设备验证所述根证书,获得第三公钥;
[0039]所述验证设备利用获得的第三公钥对所述厂商证书进行签名验证,获得第一公钥;
[0040]所述验证设备利用获得的第一公钥对所述商品证书进行签名验证,获得第二公钥;
[0041]所述验证设备利用获得的第二公钥对所述随机挑战响应信息进行签名验证,获得随机挑战信息;
[0042]所述验证设备对比由所述随机挑战响应信息中获得的随机挑战信息与所述验证设备生成的随机挑战信息,若一致则验证成功,若不一致则验证失败。
[0043]本发明还提供了一种基于公钥密码的多因素防伪系统,包括:出厂打标设备、防伪认证中心、防伪模块及验证设备;
[0044]其中,所述出厂打标设备包括第一密钥生成模块、扫描模块以及商品证书生成模块;所述第一密钥生成模块用于在注册阶段生成第一私钥,并通过公钥密码算法生成第一公钥,并将第一公钥发送至所述防伪认证中心;所述扫描模块用于在注册阶段扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取特征码并对所述特征码进行第一变换,将第一变换结果发送至设置于待防伪产品中的防伪模块;所述商品证书生成模块用于在注册阶段利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块;
[0045]所述防伪认证中心用于在注册阶段生成根证书,将根证书发送至验证设备,以及用于根据所述第一公钥生成厂商证书,并将