一种基于公钥密码的多因素防伪方法及系统技术方案

本发明专利技术公开了一种基于公钥密码的多因素防伪方法和系统，于防伪模块表面形成承载有特征码的可识别标签，由出厂打标设备生成第一公私密钥对，由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对，通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书，以此构成了由根证书、厂商证书、商品证书的防伪体系，并在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息，进行逐次验证，由此提高了安全性。

【技术实现步骤摘要】

本专利技术涉及密钥安全领域，特别涉及一种基于公钥密码的多因素防伪方法及系统。
技术介绍
公钥密码也称为非对称密码，是一种密码体制，其加密算法和解密算法使用不同的密钥：一个是公钥，一个是私钥。公钥密码算法用两个密钥中的一个将明文转换成密文，用另一个密钥从密文恢复出明文。公钥算法依赖于一个加密密钥和一个与之相关的不同的解密密钥，其中，仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的。目前，应用最广泛的公钥密码体制是RSA，以及中国国家密码管理局发布的椭圆曲线算法(SM2)。当前普遍将私钥以某种方式存储在被验证产品内，入侵者可以通过物理攻击(如剖片)和软件攻击(如恶意软件读取存储私钥地址)等方式盗取私钥。入侵者盗取私钥之后，可以克隆被保护的产品“仿冒”当前用户身份进行不法操作。考虑到的目前这种这样的解决方案存在的问题会带来的安全性相关问题，需要采用多重防伪方法以解决私钥被盗而导致产品被复制的问题这一安全性漏洞。
技术实现思路
有鉴于此，本专利技术的主要目的在于提供一种基于公钥密码的多因素防伪方法及系统，以提高安全性。为实现上述目的，本专利技术提供了一种基于公钥密码的多因素防伪方法，包括：注册步骤：防伪认证中心生成根证书，将根证书发送至验证设备；出厂打标设备生成第一私钥，并通过公钥密码算法生成第一公钥，并将第一公钥发送至防伪认证中心；所述防伪认证中心根据所述第一公钥生成厂商证书，并将所述厂商证书发送至出厂打标设备；所述出厂打标设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取特征码并对所述特征码进行第一变换，将第一变换结果发送至设置于待防伪产品中的防伪模块；所述防伪模块生成并存储随机数以及不可克隆响应，利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥，将所述第二公钥发送至所述出厂打标设备；所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书，并将所述厂商证书和商品证书发送至所述防伪模块；验证步骤：验证设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取所述特征码，并对所述特征码进行与所述第一变换相同的第二变换，将第二变换结果发送至所述防伪模块；所述防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应，以及所述第二变换结果生成待验证的第二私钥；验证设备生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块；所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备；所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息。进一步，注册步骤中，防伪认证中心生成根证书包括：防伪认证中心生成第三私钥和第三公钥，利用第三私钥对所述第三公钥进行签名生成根证书。进一步，在注册步骤中，防伪认证中心利用所述第三私钥对所述第一公钥进行签名，生成所述厂商证书。进一步，所述可识别标签为一维码、二维码、图片、数字或两种及两种之上的组合。进一步，注册步骤中防伪模块生成并存储随机数以及不可克隆响应，利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥，将所述第二公钥发送至所述出厂打标设备包括：所述防伪模块生成随机数和不可克隆响应，并存储所述随机数和不可克隆响应；所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的所述第一变换结果进行运算，将运算结果作为第二私钥；所述防伪模块根据所述第二私钥和公钥密码算法生成第二公钥；所述防伪模块将所述第二公钥发送至所述出厂打标设备。进一步，所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的第一变换结果进行异或运算，将运算结果作为第二私钥。进一步，注册步骤中所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书，并将所述厂商证书和商品证书发送至所述防伪模块包括：所述出厂打标设备利用所述第一私钥对所述第二公钥进行签名，生成所述商品证书；将所述厂商证书和商品证书发送至所述防伪模块。进一步，防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应，以及由所述验证设备发送的第二变换结果进行异或运算，将运算结果作为待验证的第二私钥。进一步，所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备包括：所述防伪模块利用所述待验证的第二私钥对所述随机挑战信息进行签名，生成所述随机挑战响应信息；所述防伪模块将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备。进一步，所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息包括：所述验证设备验证所述根证书，获得第三公钥；所述验证设备利用获得的第三公钥对所述厂商证书进行签名验证，获得第一公钥；所述验证设备利用获得的第一公钥对所述商品证书进行签名验证，获得第二公钥；所述验证设备利用获得的第二公钥对所述随机挑战响应信息进行签名验证，获得随机挑战信息；所述验证设备对比由所述随机挑战响应信息中获得的随机挑战信息与所述验证设备生成的随机挑战信息，若一致则验证成功，若不一致则验证失败。本专利技术还提供了一种基于公钥密码的多因素防伪系统，包括：出厂打标设备、防伪认证中心、防伪模块及验证设备；其中，所述出厂打标设备包括第一密钥生成模块、扫描模块以及商品证书生成模块；所述第一密钥生成模块用于在注册阶段生成第一私钥，并通过公钥密码算法生成第一公钥，并将第一公钥发送至所述防伪认证中心；所述扫描模块用于在注册阶段扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取特征码并对所述特征码进行第一变换，将第一变换结果发送至设置于待防伪产品中的防伪模块；所述商品证书生成模块用于在注册阶段利用所述第一私钥和第二公钥生成商品证书，并将所述厂商证书和商品证书发送至所述防伪模块；所述防伪认证中心用于在注册阶段生成根证书，将根证书发送至验证设备，以及用于根据所述第一公钥生成厂商证书，并将所述厂商证书发送至所述出厂打标设备；所述防伪模块设置于待防伪产品中，其表面形成有承载特征码的可识别标签，包括随机数生成单元、不可克隆单元、存储单元、第二密钥生成单元和随机挑战响应信息生成单元；所述随机数生成单元用于在注册阶段生成随机数；所述不可...

【技术保护点】
一种基于公钥密码的多因素防伪方法，其特征在于，包括：注册步骤：防伪认证中心生成根证书，将根证书发送至验证设备；出厂打标设备生成第一私钥，并通过公钥密码算法生成第一公钥，并将第一公钥发送至防伪认证中心；所述防伪认证中心根据所述第一公钥生成厂商证书，并将所述厂商证书发送至出厂打标设备；所述出厂打标设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取特征码并对所述特征码进行第一变换，将第一变换结果发送至设置于待防伪产品中的防伪模块；所述防伪模块生成并存储随机数以及不可克隆响应，利用所述随机数、不可克隆响应和所述第一变换结果生成第二私钥和第二公钥，将所述第二公钥发送至所述出厂打标设备；所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书，并将所述厂商证书和商品证书发送至所述防伪模块；验证步骤：验证设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取所述特征码，并对所述特征码进行与所述第一变换相同的第二变换，将第二变换结果发送至所述防伪模块；所述防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应，以及所述第二变换结果生成待验证的第二私钥；验证设备生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块；所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战响应信息，并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设备；所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息。...

【技术特征摘要】
1.一种基于公钥密码的多因素防伪方法，其特征在于，包括：
注册步骤：
防伪认证中心生成根证书，将根证书发送至验证设备；
出厂打标设备生成第一私钥，并通过公钥密码算法生成第一公钥，并将第一公
钥发送至防伪认证中心；
所述防伪认证中心根据所述第一公钥生成厂商证书，并将所述厂商证书发送至
出厂打标设备；
所述出厂打标设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，
获取特征码并对所述特征码进行第一变换，将第一变换结果发送至设置于待防伪
产品中的防伪模块；
所述防伪模块生成并存储随机数以及不可克隆响应，利用所述随机数、不可克
隆响应和所述第一变换结果生成第二私钥和第二公钥，将所述第二公钥发送至所
述出厂打标设备；
所述出厂打标设备利用所述第一私钥和第二公钥生成商品证书，并将所述厂商
证书和商品证书发送至所述防伪模块；
验证步骤：
验证设备扫描形成于防伪模块表面的、承载有特征码的可识别标签，获取所述
特征码，并对所述特征码进行与所述第一变换相同的第二变换，将第二变换结果
发送至所述防伪模块；
所述防伪模块根据在注册步骤中存储的所述随机数和不可克隆响应，以及所述
第二变换结果生成待验证的第二私钥；
验证设备生成随机挑战信息并将所述随机挑战信息发送至所述防伪模块；
所述防伪模块利用所述待验证的第二私钥和所述随机挑战信息生成随机挑战
响应信息，并将所述随机挑战响应信息、厂商证书和商品证书发送至所述验证设
备；
所述验证设备依次验证根证书、厂商证书、商品证书以及随机挑战响应信息。
2.根据权利要求1所述的方法，其特征在于，注册步骤中，防伪认证中心生
成根证书包括：
防伪认证中心生成第三私钥和第三公钥，利用第三私钥对所述第三公钥进行签
名生成根证书。
3.根据权利要求2所述的方法，其特征在于，在注册步骤中，防伪认证中心
利用所述第三私钥对所述第一公钥进行签名，生成所述厂商证书。
4.根据权利要求3所述的方法，其特征在于，所述可识别标签为一维码、二
维码、图片、数字或两种及两种之上的组合。
5.根据权利要求4所述的方法，其特征在于，注册步骤中防伪模块生成并存
储随机数以及不可克隆响应，利用所述随机数、不可克隆响应和所述第一变换结
果生成第二私钥和第二公钥，将所述第二公钥发送至所述出厂打标设备包括：
所述防伪模块生成随机数和不可克隆响应，并存储所述随机数和不可克隆响
应；
所述防伪模块将所述随机数、不可克隆响应与所述出厂打标设备发送的所述第
一变换结果进行运算，将运算结果作为第二私钥；
所述防伪模块根据所述第二私钥和公钥密码算法生成第二公钥；
所述防伪模块将所述第二公钥发送至所述出厂打标设备。
6.根据权利要求5所述的方法，其特征在于，所述防伪模块将所述随机数、
不可克隆响应与所述出厂打标设备发送的第一变换结果进行异或运算，将运算结
果作为第二私钥。
7.根据权利要求6所述的方法，其特征在于，注册步骤中所述出厂打标设备
利用所述第一私钥和第二公钥生成商品证书，并将所述厂商证书和商品证书发送
至所述防伪模块包括：
所述出厂打标设备利用所述第一私钥对所述第二公钥进行签名，生成所述商品
证书；
将所述厂商证书和商品证书发送至所述防伪模块。
8.根据权利要求7所述的...

【专利技术属性】
技术研发人员：刘宗斌，章庆隆，韩晔，向继，高能，马存庆，王琼霄，
申请(专利权)人：中国科学院数据与通信保护研究教育中心，
类型：发明
国别省市：北京;11