随机挑战信息与验证设备生成的随机挑战信息,若一致则验证成功,若不一致则验证失败。
[0095]在本实施例中,在注册步骤及验证步骤中所进行的签名,可采用现有的签名算法进行,例如SM2签名算法,签名的具体步骤为本领域公知常识,在此不再赘述;进一步,在验证步骤中,对根证书的验证包括利用根证书中的第三公钥的原文进行运算函数如哈希函数计算生成第三公钥的摘要,并利用第三公钥的原文解密由第三私钥加密的部分,获得由第三私钥加密的第三公钥的摘要,将两个摘要进行对比,若两个摘要相同,则说明第三公钥为可信的,将第三公钥用于其后的验证步骤。
[0096]根据上述签名的过程,在本实施例中进行的对厂商证书的签名验证的具体过程为,验证设备利用厂商证书中的第一公钥原文进行相同的运算函数进行运算,生成第一公钥原文的摘要,再利用第三公钥对厂商证书中加密的第一公钥摘要进行解密,然后对比两个第一公钥的摘要是否一致,若一致则认为厂商证书中的第一公钥可信,由此获得第一公钥;与此过程类似的,对商品证书的签名认证具体包括验证设备对商品证书中的第二公钥原文进行函数运算,生成第二公钥原文的摘要,再利用第一公钥解密商品证书中的加密的第二公钥的摘要,然后对比两个第二公钥的摘要是否一致,若一致则认为商品证书中的第二公钥可信,由此获得第二公钥;同理,对随机挑战响应信息的签名认证具体包括对随机挑战响应信息中的随机挑战信息原文进行函数运算得到随机挑战信息原文的摘要,再利用第二公钥对随机挑战响应信息中加密的随机挑战信息摘要进行解密,然后对比两个随机挑战信息的摘要是否一致,若一致则认为随机挑战响应信息的中的随机挑战信息可信。
[0097]与本发明提供的基于公钥密码的防伪方法对应的,本发明还提供了一种基于公钥密码的多因素防伪系统,包括:出厂打标设备、防伪认证中心、防伪模块及验证设备;
[0098]其中,所述出厂打标设备包括第一密钥生成模块、扫描模块以及商品证书生成模块;所述第一密钥生成模块用于在注册阶段生成第一私钥,并通过公钥密码算法生成第一公钥,并将第一公钥发送至所述防伪认证中心;所述扫描模块用于在注册阶段扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取特征码并对所述特征码进行第一变换,将第一变换结果发送至设置于待防伪产品中的防伪模块;所述商品证书生成模块用于在注册阶段利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块;
[0099]所述防伪认证中心用于在注册阶段生成根证书,将根证书发送至验证设备,以及用于根据所述第一公钥生成厂商证书,并将所述厂商证书发送至所述出厂打标设备;
[0100]所述防伪模块设置于待防伪产品中,其表面形成有承载特征码的可识别标签,包括随机数生成单元、不可克隆单元、存储单元、第二密钥生成单元和随机挑战响应信息生成单元;所述随机数生成单元用于在注册阶段生成随机数;所述不可克隆单元用于在注册阶段生成不可克隆响应;所述存储单元用于存储所述随机数和不可克隆响应;所述第二密钥生成单元用于在注册阶段利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备,以及用于在验证阶段利用存储单元中的所述随机数和不可克隆响应和第二变换结果生成待验证的第二私钥;所述随机挑战响应信息生成单元用于在验证阶段利用所述待验证的第二私钥和随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备;
[0101]所述验证设备包括在验证阶段用于生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块的随机挑战生成模块;以及用于根据根证书依次验证厂商证书、商品证书以及随机挑战响应信息的验证模块。
[0102]进一步,所述防伪认证中心包括在注册阶段用于生成第三公钥和第三私钥的第三密钥生成模块、以及用于利用所述第三私钥对所述第三公钥进行签名,生成所述根证书的根证书生成模块。
[0103]进一步,所述防伪认证中心包括在注册阶段用于利用所述第三私钥对所述第一公钥进行签名,生成所述厂商证书的厂商证书生成模块、以及用于将所述厂商证书发送至所述出厂打标设备的防伪密钥通信模块。
[0104]进一步,所述可识别标签为一维码、二维码、图片、数字或两种及两种之上的组合。
[0105]进一步,所述第二密钥生成单元进一步用于在注册阶段利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥,并利用所述第二私钥和公钥密码算法生成第二公钥。
[0106]进一步,所述第二密钥生成单元进一步用于在注册阶段利用所述随机数、不可克隆响应和所述第一变换结果进行异或运算,将运算结果作为第二私钥。
[0107]进一步,所述第一证书生成模块包括利用所述第一私钥对所述第二公钥进行签名,生成所述根证书的第一签名单元,以及用于将所述根证书和二级证书发送至所述防伪模块的出厂打标通信单元。
[0108]进一步,所述第二密钥生成单元进一步用于在验证阶段利用存储单元存储的所述随机数和不可克隆响应,以及所述第二变换结果进行异或运算,将运算结果作为待验证的第二私钥。
[0109]进一步,所述随机挑战响应信息生成模块包括用于利用所述第二私钥对所述挑战信息进行签名,生成所述随机挑战响应信息的第二签名单元,以及用于将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备的第二防伪通信单元。
[0110]进一步,所述验证模块包括第一验证单元、第二验证单元以及第三验证单元;所述第一验证单元用于验证所述根证书,获得所述第三公钥,并利用所述第三公钥对所述厂商证书进行签名验证,获得第一公钥;所述第二验证单元用于利用获得的第一公钥对所述商品证书进行签名验证,获得第二公钥;所述第三验证单元用于利用获得的第二公钥对所述随机挑战响应信息进行签名验证,获得随机挑战信息,并对比由所述随机挑战响应信息中获得的随机挑战信息与所述验证设备生成的随机挑战信息,若一致则验证成功,若不一致则验证失败。
[0111]需要说明的是,上述防伪系统中的出厂打标设备、防伪认证中心、防伪模块及验证设备,以及各自所包含的模块或单元所执行的功能,本领域技术人员均可基于硬件设备通过嵌入式软件实现,在此不再赘述。
[0112]综上所述,采用本发明提供的一种基于公钥密码的多因素防伪方法和系统,于防伪模块表面形成承载有特征码的可识别标签,由出厂打标设备生成第一公私密钥对,由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对,通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书,以及在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息,进行逐次验证,由此提高了安全性。
[0113]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种基于公钥密码的多因素防伪方法,其特征在于,包括: 注册步骤: 防伪认证中心生成根证书,将根证书发送至验证设备;