出厂打标设备生成第一私钥,并通过公钥密码算法生成第一公钥,并将第一公钥发送至防伪认证中心; 所述防伪认证中心根据所述第一公钥生成厂商证书,并将所述厂商证书发送至出厂打标设备; 所述出厂打标设备扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取特征码并对所述特征码进行第一变换,将第一变换结果发送至设置于待防伪产品中的防伪模块; 所述防伪模块生成并存储随机数以及不可克隆响应,利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备; 所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块; 验证步骤: 验证设备扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取所述特征码,并对所述特征码进行与所述第一变换相同的第二变换,将第二变换结果发送至所述防伪模块; 所述防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应,以及所述第二变换结果生成待验证的第二私钥; 验证设备生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块; 所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备; 所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息。2.根据权利要求1所述的方法,其特征在于,注册步骤中,防伪认证中心生成根证书包括: 防伪认证中心生成第三私钥和第三公钥,利用第三私钥对所述第三公钥进行签名生成根证书。3.根据权利要求2所述的方法,其特征在于,在注册步骤中,防伪认证中心利用所述第三私钥对所述第一公钥进行签名,生成所述厂商证书。4.根据权利要求3所述的方法,其特征在于,所述可识别标签为一维码、二维码、图片、数字或两种及两种之上的组合。5.根据权利要求4所述的方法,其特征在于,注册步骤中防伪模块生成并存储随机数以及不可克隆响应,利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备包括: 所述防伪模块生成随机数和不可克隆响应,并存储所述随机数和不可克隆响应; 所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的所述第一变换结果进行运算,将运算结果作为第二私钥; 所述防伪模块根据所述第二私钥和公钥密码算法生成第二公钥; 所述防伪模块将所述第二公钥发送至所述出厂打标设备。6.根据权利要求5所述的方法,其特征在于,所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的第一变换结果进行异或运算,将运算结果作为第二私钥。7.根据权利要求6所述的方法,其特征在于,注册步骤中所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪模块包括: 所述出厂打标设备利用所述第一私钥对所述第二公钥进行签名,生成所述商品证书; 将所述厂商证书和商品证书发送至所述防伪模块。8.根据权利要求7所述的方法,其特征在于,防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应,以及由所述验证设备发送的第二变换结果进行异或运算,将运算结果作为待验证的第二私钥。9.根据权利要求8所述的方法,其特征在于,所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备包括: 所述防伪模块利用所述待验证的第二私钥对所述随机挑战信息进行签名,生成所述随机挑战响应信息; 所述防伪模块将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备。10.根据权利要求9所述的方法,其特征在于,所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息包括: 所述验证设备验证所述根证书,获得第三公钥; 所述验证设备利用获得的第三公钥对所述厂商证书进行签名验证,获得第一公钥; 所述验证设备利用获得的第一公钥对所述商品证书进行签名验证,获得第二公钥; 所述验证设备利用获得的第二公钥对所述随机挑战响应信息进行签名验证,获得随机挑战信息; 所述验证设备对比由所述随机挑战响应信息中获得的随机挑战信息与所述验证设备生成的随机挑战信息,若一致则验证成功,若不一致则验证失败。11.一种基于公钥密码的多因素防伪系统,其特征在于,包括:出厂打标设备、防伪认证中心、防伪模块及验证设备; 其中,所述出厂打标设备包括第一密钥生成模块、扫描模块以及商品证书生成模块;所述第一密钥生成模块用于在注册阶段生成第一私钥,并通过公钥密码算法生成第一公钥,并将第一公钥发送至所述防伪认证中心;所述扫描模块用于在注册阶段扫描形成于防伪模块表面的、承载有特征码的可识别标签,获取特征码并对所述特征码进行第一变换,将第一变换结果发送至设置于待防伪产品中的防伪模块;所述商品证书生成模块用于在注册阶段利用所述第一私钥和第二公钥生成商品证书,并将所述厂商证书和商品证书发送至所述防伪丰吴块; 所述防伪认证中心用于在注册阶段生成根证书,将根证书发送至验证设备,以及用于根据所述第一公钥生成厂商证书,并将所述厂商证书发送至所述出厂打标设备; 所述防伪模块设置于待防伪产品中,其表面形成有承载特征码的可识别标签,包括随机数生成单元、不可克隆单元、存储单元、第二密钥生成单元和随机挑战响应信息生成单元;所述随机数生成单元用于在注册阶段生成随机数;所述不可克隆单元用于在注册阶段生成不可克隆响应;所述存储单元用于存储所述随机数和不可克隆响应;所述第二密钥生成单元用于在注册阶段利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥,将所述第二公钥发送至所述出厂打标设备,以及用于在验证阶段利用存储单元中的所述随机数和不可克隆响应和第二变换结果生成待验证的第二私钥;所述随机挑战响应信息生成单元用于在验证阶段利用所述待验证的第二私钥和随机挑战信息生成随机挑战响应信息,并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备;所述验证设备包括在验证阶段用于生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块的随机挑战生成模块;以及用于依次验证根证书、厂商证书、商品证书以及随机挑战响应信息的验证模块。
【专利摘要】本发明公开了一种基于公钥密码的多因素防伪方法和系统,于防伪模块表面形成承载有特征码的可识别标签,由出厂打标设备生成第一公私密钥对,由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对,通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书,以此构成了由根证书、厂商证书、商品证书的防伪体系,并在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息,进行逐次验证,由此提高了安全性。
【IPC分类】H04L9/32, H04L9/08
【公开号】CN105703903
【申请号】CN201410698853
【发明人】刘宗斌, 章庆隆, 韩晔, 向继, 高能, 马存庆, 王琼霄
【申请人】中国科学院数据与通信保护研究教育中心
【公开日】2016年6月22日
【申请日】2014年11月27日