CN109508560A - 电子标签离线认证系统及方法 - Google Patents

电子标签离线认证系统及方法 Download PDF

Info

Publication number
CN109508560A
CN109508560A CN201811383710.1A CN201811383710A CN109508560A CN 109508560 A CN109508560 A CN 109508560A CN 201811383710 A CN201811383710 A CN 201811383710A CN 109508560 A CN109508560 A CN 109508560A
Authority
CN
China
Prior art keywords
electronic tag
authentication
public key
data
enterprise
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811383710.1A
Other languages
English (en)
Inventor
孟凡富
王建新
吴祥富
白绍江
靳佩佩
马歆裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201811383710.1A priority Critical patent/CN109508560A/zh
Publication of CN109508560A publication Critical patent/CN109508560A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Strategic Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种电子标签离线认证方法及系统。涉及内容包括:电子标签对认证数据签名并组成认证数据包发送给客户端认证工具;客户端认证工具依据三级密钥体系完成对认证数据签名的验证,并获得认证结果,并按预定规则将认证结果上传联盟链平台。通过上述方法,本发明能够保证电子标签内预置的数据不会被篡改、电子标签认证过程中的数据安全性,同时防止电子标签被复制,进而增强电子标签认证的可靠性,还能确保在无网络或网络环境不佳时完成认证,增加电子标签认证的适应性。

Description

电子标签离线认证系统及方法
技术领域
本发明涉及电子标签防伪认证领域,特别是涉及一种利用多级密钥体系实现电子标签离线认证的系统及方法。
背景技术
电子标签应用广泛,其应用了射频识别技术;匹配的客户端认证工具通过射频信号可以识别并读写电子标签中的相关数据。因其操作方便快捷,灵活性强,电子标签被广泛应用于防伪、金融、物流、零售、交通等各个领域。
电子标签被复制、数据被篡改等都将导致其无法起到应有的作用,甚至起到相反的作用。特别是在诸如防伪、金融等一些应用领域,电子标签(或数据)的真实性、完整性成为重要的问题。
因此,如何提高电子标签的安全性,仍然是本领域技术人员需要解决的技术难题。
发明内容
本发明针对电子标签的安全性问题,提出了一种创新的电子标签离线认证系统及方法,即基于电子标签的多级密钥体系以及密码学算法的离线认证系统及方法,该系统及方法能够防止电子标签被复制、电子标签中的数据被篡改,具有更高的可靠性。
本发明提供的电子标签离线认证方法中,一种电子标签离线认证方法,其特征在于,电子标签中预置基础数据;所述基础数据包括预定的静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书;所述电子标签公钥证书包括预定企业私钥对预定电子标签公钥的签名;所述企业公钥证书由所述认证中心根私钥对预定企业公钥签名获得;所述电子标签公钥与所述电子标签私钥形成非对称密钥对,所述企业私钥与企业公钥形成非对称密钥对;
所述电子标签认证方法具体包括以下步骤:
S210,客户端认证工具向电子标签发送认证触发消息;
S220,电子标签根据认证触发消息形成认证数据,利用所述电子标签私钥对所述认证数据至少一部分进行签名,生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名;
S230,客户端认证工具根据认证中心根公钥的索引获得对应的认证中心根公钥,并利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证认证数据签名,形成包括验证认证数据签名是否通过的认证结果;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对;
S240,客户端认证工具按预定规则将认证结果上传至预定的联盟链平台。
利用本发明提供的电子标签离线认证方法,电子标签私钥数据仅存在于电子标签中,且永不输出,进而可以防止电子标签被复制。进行认证时,电子标签用所述电子标签私钥签名认证数据,获得认证数据签名,客户端认证工具通过验签认证数据签名可以确定认证数据的完整性和真实性,提高认证的可靠性。采用离线认证的方式,解决了无网络或网络环境不佳时无法正常进行认证的问题,大大增加了电子标签认证的适用性。相应的认证结果按一定规则上传至联盟链平台,利用联盟链共享可信机制,可以增强了认证结果的可信度,也为电子标签认证系统的进一步拓展打下了基础。
进一步的技术方案中,所述电子标签中,所述电子标签公钥证书还包括由预定企业私钥对所述静态应用数据哈希值的签名;在所述步骤S230中,利用所述企业公钥验证所述电子标签公钥证书时,还恢复所述静态应用数据哈希值为基准哈希值;在所述步骤S230还包括:获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,并对比所述基准哈希值和校对哈希值,再形成认证结果,所述认证结果还包括:哈希值是否一致。客户端认证工具先从直接电子标签公钥证书获取静态应用数据哈希值,再对静态应用数据进行哈希运算,再通过对比二者实现验证静态应用数据是否真实和完整,可以防止电子标签中的数据被篡改;保证认证结果全面性和可靠性。
可选技术方案中,所述认证触发消息包括时间戳;在所述步骤S230中,还包括判断时间戳是否合法;所述认证结果还包括时间戳信息是否合法。通过时间戳可以更好保证认证可靠性。
可选技术方案中,在所述步骤S210中,客户端认证工具向电子标签发送包括时间戳的认证触发消息;在所述步骤S220中,所述认证数据还包括动态认证数据;所述动态认证数据包括以下数据中的至少一种:
(a)包含在认证触发消息中的时间戳;
(b)认证计数器;
(c)电子标签随机生成的随机数。
可选技术方案中,所述静态应用数据包括企业标识和电子标签标识。
可选技术方案中,所述步骤S230中,验证所述企业公钥证书或验证所述电子标签公钥证书的方法具体包括以下内容至少一个:
(1)公钥证书的长度、格式是否正确;
(2)公钥证书中的数据是否合法。
可选技术方案中,所述步骤S240中,所述预定规则是以下方式的至少一种:
(1)按照预定时间周期,客户端认证工具向预定的联盟链平台上传认证结果;
(2)当未上传的认证结果数量达到预定阈值时,客户端认证工具向预定的联盟链平台上传认证结果;
(3)网络连通时,客户端认证工具向预定的联盟链平台上传认证结果。
相应好,本发明提供的电子标签离线认证系统,包括电子标签和客户端认证工具。
电子标签,设置有存储单元、通讯单元和处理单元;
所述存储单元存储有基础数据;所述基础数据包括静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书;所述电子标签公钥证书包括预定企业私钥对预定电子标签公钥的签名,所述企业公钥证书由所述认证中心根私钥对预定企业公钥签名获得;所述电子标签公钥与所述电子标签私钥形成非对称密钥对,所述企业私钥与企业公钥形成非对称密钥对;
所述处理单元,用于通过通讯单元接收认证触发消息,并利用所述电子标签私钥对认证数据至少一部分进行签名,并生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名;
客户端认证工具,设置有处理模块、存储模块和通讯模块;
所述存储模块存在有预定的认证中心根公钥;
所述处理模块用于通过所述通讯模块向所述电子标签发送所述认证触发消息;还用于在获得认证数据包后,根据认证中心根公钥的索引获得对应的认证中心根公钥;再利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证所述认证数据签名,形成包括验证认证数据签名是否通过的认证结果,并按预定规则将认证结果上传至联盟链平台;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对。
可选技术方案中,所述电子标签中,所述电子标签公钥证书还包括由预定企业私钥对所述静态应用数据哈希值的签名;
所述处理模块利用所述企业公钥验证所述电子标签公钥证书时,还恢复所述静态应用数据哈希值作为基准哈希值;还用于获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,并对比所述基准哈希值和校对哈希值,再形成包括验证认证数据签名是否通过及哈希值是否一致的认证结果。
可选技术方案中,还包括与所述客户端认证工具通讯相连的联盟链平台;
所述客户端认证工具的处理单元将认证结果上传至联盟链平台之前,先利用预置的私钥对所述认证结果及预置的客户端数据进行签名,获得客户端签名;在上传所述认证结果时,同时上传所述客户端数据和客户端签名;
联盟链平台,包括多个联盟链节点,所述联盟链节点设置节点通讯模块、节点存储模块和验证程序;
所述通讯模块,用于接收由客户端认证工具上传的数据;
所述存储模块,用于存储客户端认证工具上传的数据;
所述验证程序,用于验证客户端认证工具上传客户端签名。
附图说明
图1为本发明实施例提供的电子标签离线认证方法整体流程图
图2为本发明实施例提供的电子标签离线认证系统的逻辑框图。
具体实施方式
下面结合附图,对本发明作进一步详细的说明,但该具体实施方式并不用于限定本发明的保护范围。
为了便于理解,本部分结合电子标签认证系统实施例,描述本发明提供的电子标签离线认证方法。但应当说明的是,实施本发明提供的电子标签离线认证方法,不限于利用该电子标签防伪认证系统,也可以是其他系统或设备的组合。
请参考图1,该图为本发明实施例提供的电子标签离线认证方法的流程示意图。
为了实施上述电子标签认证方法,需要电子标签预置有基础数据,所述基础数据包括预定的静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书。当然,根据实际需要,基础数据可以包括其他可选的数据,如可以包括企业自定义数据(产品名称、产品编号、产品有效期,产品状态信息和批次号等等)。
所述静态应用数据可以但不限于包括电子标签标识、企业标识。电子标签标识具有唯一性。在一个实施例中,电子标签标识可以是电子标签ID号。所述电子标签公钥证书由相应企业私钥对电子标签公钥签名获得,企业私钥可以是相应产品生产或销售企业控制的私钥。该电子标签公钥与所述电子标签私钥形成非对称密钥对。
所述企业公钥证书由预定的认证中心根私钥对企业公钥签名获得;认证中心根私钥可以预先确定。本实施例中,由生产产品的企业在联盟链平台上注册时确定认证节点或终端,并确定认证中心根密钥(包括认证中心根公钥和认证中心根私钥)。上述企业私钥与企业公钥形成非对称密钥对。
本发明提供的电子标签离线认证方法,依据三级密钥体系完成对电子标签的认证,括认证中心根密钥对、企业密钥对、电子标签密钥对。
为了保证电子标签中认证数据安全,防止被任意篡改,可以将基础数据设置成只读数据;为了更新认证数据的方便,也可以设置成可读可写方式;也可以按已知方式设置相应技术措施,保证写入、更新权限合法。
如图1所示,基于该电子标签,本发明实施例提供的电子标签认证方法可以包括以下步骤:
S210,客户端认证工具向电子标签发送认证触发消息。
电子标签可以与客户端认证工具进行数据交互,以接收认证触发消息;认证触发消息可以包括时间戳、客户端静态数据,也可以包括由客户端认证工具根据需要生成并发送给电子标签的其他具体消息。时间戳为客户端认证工具的当前时间,可以精确到秒。
认证触发消息也可以包含由客户端认证工具根据需要生成并发送给电子标签的其他具体消息。认证触发消息可以包括客户端认证工具中的客户端静态数据,例如,客户端认证工具标识等等,
客户端认证工具可以是专用设备、安装适合软件或程序的通用设备,还可以是安装适合APP的手机。客户端认证工具与电子标签之间可以利用已知方式进行通讯,发送认证触发消息,还可以采用非接触的方式读取认证初始数据,如NFC(近场通信,Near FieldCommunication)或RFID(射频识别,Radio Frequency Identification)方式。客户端认证工具预置有认证中心根公钥。
S220,电子标签根据认证触发消息形成认证数据,利用所述电子标签私钥对所述认证数据进行签名,生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名。
电子标签可以按已知策略生成认证数据,本实施例中,认证数据可以为静态认证数据,也可以为动态认证数据。所述静态认证数据包括所述基础数据和接收到的认证触发消息。动态认证数据可以是指认证触发消息中的时间戳、认证计数器或者电子标签按预定机制生成的随机数等等。认证计数器预置在电子标签中,每进行一次认证,认证计数器加1;随机数由电子标签随机生成。当然,动态认证数据中也可以包括电子标签静态应用数据、客户端静态数据或其他数据。
电子标签可以按已知策略,利用预置的电子标签私钥对所述认证数据进行签名,生成认证数据签名,然后再将认证数据以及认证数据签名打包生成认证数据包。当然,也可以根据实际需要,对所述认证数据至少一部分进行签名,生成相应的认证数据签名。
S230,客户端认证工具根据认证中心根公钥的索引获得对应的认证中心根公钥,并利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证认证数据签名,形成包括验证认证数据签名是否通过的认证结果;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对。
本实施例中,所述认证中心可以是联盟链平台,也可以是另外设立的专门机构;为提高安全性,客户端认证工具中预置多个认证中心根公钥,且与认证中心根公钥的索引对应存储。这样,在收到电子标签发送的认证数据包后,可以根据认证中心根公钥的索引获取对应的认证中心公钥。
获得认证中心公钥之后,就可以利用该认证中心公钥验证所述企业公钥证书,获得企业公钥;然后再利用企业公钥验证所述电子标签公钥证书就可以获得电子标签公钥。
这样,获得电子标签公钥之后就可以再利用电子标签公钥验证认证数据签名了。如果验证通过,就可以确定电子标签来自于正品,如果验证失败,电子标签随着产品可能有赝品的可能,进而将形成相应的认证结果。
验证所述企业公钥证书或验证所述电子标签公钥证书的方法具体包括以下内容至少一个:
(1)验证公钥证书的长度、格式是否正确,即相应公钥证书与公钥模长是否相同,公钥证书的格式是否正确。
(2)公钥证书中的数据是否正确,包括证书失效日期、证书序列号、公钥算法标识以及其他相关数据是否合法;
当然,上述过程中,任一过程如果验证失败,则说明待验证电子标签不合法。
S240,客户端认证工具按照预定规则将认证结果上传至预定的联盟链平台。
本实施例中,所述预定规则可以是以下方式的一种或几种的组合:
(1)按照预定时间周期,客户端认证工具向联盟链平台上传认证结果;
(2)当未上传的认证结果数量达到预定阈值时,客户端认证工具向联盟链平台上传认证结果;
(3)网络连通时,客户端认证工具向联盟链平台上传认证结果。
当然,也可以根据实际需要选择其他合理规则上传联盟链平台,以实现认证结果的共享及保证认证结果的可信性和安全性。
利用上述电子标签离线认证方法,电子标签私钥数据仅存在于电子标签中,且永不输出,进而可以防止电子标签被复制。进行认证时,电子标签用所述电子标签私钥签名认证数据,获得认证数据签名,客户端认证工具通过验签认证数据签名可以确定认证数据的完整性和真实性,提高认证的可靠性。采用离线认证的方式,解决了无网络或网络环境不佳时无法正常进行认证的问题,大大增加了电子标签认证的适用性。相应的认证结果按一定规则上传至联盟链平台,利用联盟链共享可信机制,可以增强了认证结果的可信度,也为电子标签认证系统的进一步拓展打下了基础。
本发明实施例中,电子标签中,所述电子标签公钥证书还包括由预定企业私钥对所述静态应用数据哈希值的签名。即电子标签公钥证书不仅包含预定的企业私钥对预定电子标签公钥进行签名数据,还包括对静态应用数据哈希值的签名数据。这样,在实施步骤S230,利用所述企业公钥验证所述电子标签公钥证书时,还可以恢复获得该静态应用数据哈希值为基准哈希值。
另外,步骤S230还包括:客户端认证工具获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,然后再对比所述基准哈希值和校对哈希值,确定二者是否一致,再形成认证结果,并将哈希值是否一致放入所述认证结果的数据中,即认证结果不仅包括验证认证数据签名是否通过,还包括哈希值是否一致的数据。这样,认证结果就包含更全面的信息。客户端认证工具先从直接电子标签公钥证书获取静态应用数据哈希值,再对静态应用数据进行哈希运算,再通过对比二者实现验证静态应用数据是否真实和完整,如果二者不一致,则说明认证数据中的静态应用数据并非电子标签发送的认证数据,如果二者一致,则可以说明静态应用数据是真实完整的数据,进而判断电子标签中的数据被篡改;保证认证结果全面性和可靠性。
另外,可以使所述认证触发消息包括时间戳,在电子标签将认证数据包发送客户端认证工具时,时间戳也发送客户端认证工具;在所述步骤S230中,还包括判断时间戳是否合法;所述认证结果还包括时间戳信息是否合法。通过时间戳可以进一步的判断认证数据包,进而,保证认证数据真实性、完整性,以判断电子标签数据真实性。
在提供上述电子标签认证方法的基础上,本发明实施例还提供一种电子标签认证系统。应当说明的是,本发明提供的电子标签认证方法不限于使用本发明提供的电子标签及其认证系统,也可以采用其他相应电子标签及相应的系统实施。
请参考图2,该图为本发明实施例提供的一种电子标签离线认证系统逻辑框图。该认证系统包括电子标签、客户端认证工具和联盟链平台:
电子标签,设置有存储单元、通讯单元、计数单元和处理单元。
所述存储单元存储有基础数据;所述基础数据包括静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书;所述电子标签公钥证书包括预定企业私钥对预定电子标签公钥的签名,所述企业公钥证书由所述认证中心根私钥对预定企业公钥签名获得;所述电子标签公钥与所述电子标签私钥形成非对称密钥对,所述企业私钥与企业公钥形成非对称密钥对。
所述计数单元,用于根据处理单元的指令更新认证计数器。更新的计数器可以作为动态数据参与认证过程。
所述处理单元,用于通过通讯单元接收认证触发消息,并利用所述电子标签私钥对认证数据至少一部分进行签名,并生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名。其具体过程可以参考上述方法中步骤S220,在此不再赘述。
电子标签可以设置电源单元,且使电源单元与存储单元、处理单元及计数单元电连接,以为各单元提供电能。
客户端认证工具,设置有存储模块、处理模块、输出模块和通讯模块。
所述存储模块存储有预定的认证中心根公钥,当然,根据实际需要,也可以存储其他相应数据、指令或程序。
所述处理模块用于通过所述通讯模块向所述电子标签发送所述认证触发消息;还用于在获得认证数据包后,根据认证中心根公钥的索引获得对应的认证中心根公钥;再利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证所述认证数据签名,形成包括验证认证数据签名是否通过的认证结果,并按预定规则将认证结果上传至联盟链平台;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对。具体的实施过程可以参考上述方法步骤S230、S240,不再赘述。
所述输出模块用于输出认证结果。
与上述方法实施例相对应,认证结果可以包括哈希值是否一致的内容。具体实施例中,电子标签公钥证书还可以包括由预定企业私钥对所述静态应用数据哈希值的签名。客户端认证工具的处理模块在利用所述企业公钥验证所述电子标签公钥证书时,还可以恢复获得所述静态应用数据哈希值作为基准哈希值;还用于获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,并对比所述基准哈希值和校对哈希值,进而形成相应认证结果,该认证结果中不仅包括验证认证数据签名是否通过,还包括哈希值是否一致的数据及信息。
客户端认证工具可以是专用设备、安装适合软件或程序的通用设备,还可以是安装适合APP的手机。
电子标签和客户端认证工具应当相互匹配,以进行数据交互。如电子标签可以包括RFID标签;RFID标签可以包括电路单元和天线单元,所述电路单元预置所述产品初始数据。客户端认证工具的通讯模块可以包括读取电路单元和读取天线单元;所述读取天线单元与所述RFID标签的天线单元耦合时,客户端认证工具可以向电子标签发送消息命令或获取电子标签数据。
联盟链平台可以包括多个通讯相连的联盟链节点,联盟链节点可以设置节点通讯模块、节点存储模块和验证程序。其中所述通讯模块,用于接收由客户端认证工具上传的数据;所述存储模块,用于存储客户端认证工具上传的数据,以备读取、复制及验证。
为了保证数据可靠性,并为验证数据真假提供前提,所述客户端认证工具的处理单元可以在将认证结果上传至联盟链平台之前,先利用预置的私钥对所述认证结果及预置的客户端数据进行签名,获得客户端签名;在上传所述认证结果时,同时上传所述客户端数据和客户端签名。
相应的,联盟链节点的所述验证程序,可以用于验证客户端认证工具上传的客户端签名。从而判断客户端认证工具上传数据的完整性及真实性。
与形成签名数据的方式相对应,具体的验证方式可以是:
(1)预定的联盟链节点预存的客户端认证工具公钥(与客户端认证工具私钥相对应)恢复上传的客户端签名,得到数据的哈希值;
(2)预定的联盟链节点上传的认证结果和客户端数据进行哈希运算,将得到哈希值与恢复的哈希值比较,若相同,则验证通过,否则,验证失败。验证失败的可以拒绝保存或进行相应处理。
以上内容仅是结合本发明实施例对其所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (10)

1.一种电子标签离线认证方法,其特征在于,电子标签中预置基础数据;所述基础数据包括预定的静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书;所述电子标签公钥证书包括预定企业私钥对预定电子标签公钥的签名;所述企业公钥证书由所述认证中心根私钥对预定企业公钥签名获得;所述电子标签公钥与所述电子标签私钥形成非对称密钥对,所述企业私钥与企业公钥形成非对称密钥对;
所述电子标签认证方法具体包括以下步骤:
S210,客户端认证工具向电子标签发送认证触发消息;
S220,电子标签根据认证触发消息形成认证数据,利用所述电子标签私钥对所述认证数据至少一部分进行签名,生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名;
S230,客户端认证工具根据认证中心根公钥的索引获得对应的认证中心根公钥,并利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证认证数据签名,形成包括验证认证数据签名是否通过的认证结果;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对;
S240,客户端认证工具按预定规则将认证结果上传至预定的联盟链平台。
2.根据权利要求1所述的电子标签离线认证方法,其特征在于,
所述电子标签中,所述电子标签公钥证书还包括由预定企业私钥对所述静态应用数据哈希值的签名;
在所述步骤S230中,利用所述企业公钥验证所述电子标签公钥证书时,还恢复所述静态应用数据哈希值为基准哈希值;
在所述步骤S230还包括:获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,并对比所述基准哈希值和校对哈希值,再形成认证结果,所述认证结果还包括:哈希值是否一致。
3.根据权利要求1所述的一种电子标签离线认证方法,其特征在于,所述认证触发消息包括时间戳;
在所述步骤S230中,还包括判断时间戳是否合法;所述认证结果还包括时间戳信息是否合法。
4.根据权利要求1所述的一种电子标签离线认证方法,其特征在于,在所述步骤S210中,客户端认证工具向电子标签发送包括时间戳的认证触发消息;
在所述步骤S220中,所述认证数据还包括动态认证数据;所述动态认证数据包括以下数据中的至少一种:
(a)包含在认证触发消息中的时间戳;
(b)认证计数器;
(c)电子标签随机生成的随机数。
5.根据权利要求1至4任一项所述的电子标签离线认证方法,其特征在于,所述静态应用数据包括企业标识和电子标签标识。
6.根据权利要求1所述的电子标签离线认证方法,其特征在于,
所述步骤S230中,验证所述企业公钥证书或验证所述电子标签公钥证书的方法具体包括以下内容至少一个:
(1)公钥证书的长度、格式是否正确;
(2)公钥证书中的数据是否合法。
7.根据权利要求1所述的电子标签离线认证方法,其特征在于,所述步骤S240中,所述预定规则是以下方式的至少一种:
(1)按照预定时间周期,客户端认证工具向预定的联盟链平台上传认证结果;
(2)当未上传的认证结果数量达到预定阈值时,客户端认证工具向预定的联盟链平台上传认证结果;
(3)网络连通时,客户端认证工具向预定的联盟链平台上传认证结果。
8.一种电子标签离线认证系统,其特征在于,包括:
电子标签,设置有存储单元、通讯单元和处理单元;
所述存储单元存储有基础数据;所述基础数据包括静态应用数据、认证中心根公钥的索引、电子标签私钥、电子标签公钥证书、企业公钥证书;所述电子标签公钥证书包括预定企业私钥对预定电子标签公钥的签名,所述企业公钥证书由所述认证中心根私钥对预定企业公钥签名获得;所述电子标签公钥与所述电子标签私钥形成非对称密钥对,所述企业私钥与企业公钥形成非对称密钥对;
所述处理单元,用于通过通讯单元接收认证触发消息,并利用所述电子标签私钥对认证数据至少一部分进行签名,并生成认证数据签名,并将认证数据包发给客户端认证工具;所述认证数据包括所述基础数据和认证触发消息;所述认证数据包包括认证数据以及认证数据签名;
客户端认证工具,设置有存储模块、处理模块和通讯模块;
所述存储模块存储有预定的认证中心根公钥;
所述处理模块用于通过所述通讯模块向所述电子标签发送所述认证触发消息;还用于在获得认证数据包后,根据认证中心根公钥的索引获得对应的认证中心根公钥;再利用预置的认证中心根公钥验证所述企业公钥证书,获得企业公钥;再利用所述企业公钥验证所述电子标签公钥证书,获得电子标签公钥;再利用电子标签公钥验证所述认证数据签名,形成包括验证认证数据签名是否通过的认证结果,并按预定规则将认证结果上传至联盟链平台;所述认证中心根公钥和所述认证中心根私钥形成非对称密钥对。
9.根据权利要求8所述的电子标签离线认证系统,其特征在于,
所述电子标签中,所述电子标签公钥证书还包括由预定企业私钥对所述静态应用数据哈希值的签名;
所述处理模块利用所述企业公钥验证所述电子标签公钥证书时,还恢复所述静态应用数据哈希值作为基准哈希值;还用于获取所述认证数据包中的静态应用数据的哈希值作为校对哈希值,并对比所述基准哈希值和校对哈希值,再形成包括验证认证数据签名是否通过及哈希值是否一致的认证结果。
10.根据权利要求9所述的电子标签离线认证系统,其特征在于,还包括与所述客户端认证工具通讯相连的联盟链平台;
所述客户端认证工具的处理单元将认证结果上传至联盟链平台之前,先利用预置的私钥对所述认证结果及预置的客户端数据进行签名,获得客户端签名;在上传所述认证结果时,同时上传所述客户端数据和客户端签名;
联盟链平台,包括多个通讯相连的联盟链节点,所述联盟链节点设置节点通讯模块、节点存储模块和验证程序;
所述通讯模块,用于接收由客户端认证工具上传的数据;
所述存储模块,用于存储客户端认证工具上传的数据;
所述验证程序,用于验证客户端认证工具上传的客户端签名。
CN201811383710.1A 2018-11-20 2018-11-20 电子标签离线认证系统及方法 Pending CN109508560A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811383710.1A CN109508560A (zh) 2018-11-20 2018-11-20 电子标签离线认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811383710.1A CN109508560A (zh) 2018-11-20 2018-11-20 电子标签离线认证系统及方法

Publications (1)

Publication Number Publication Date
CN109508560A true CN109508560A (zh) 2019-03-22

Family

ID=65749256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811383710.1A Pending CN109508560A (zh) 2018-11-20 2018-11-20 电子标签离线认证系统及方法

Country Status (1)

Country Link
CN (1) CN109508560A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112367165A (zh) * 2020-10-19 2021-02-12 珠海格力电器股份有限公司 串口通信方法、装置、电子设备和计算机可读介质
CN113037686A (zh) * 2019-12-24 2021-06-25 中国电信股份有限公司 多数据库安全通信方法和系统、计算机可读存储介质
US20220021532A1 (en) * 2019-01-02 2022-01-20 Citrix Systems, Inc. Tracking Tainted Connection Agents

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930307A (zh) * 2012-11-22 2013-02-13 重庆君盾科技有限公司 一种名酒防伪认证方法
CN103795546A (zh) * 2014-02-18 2014-05-14 广东数字证书认证中心有限公司 数据标签生成方法、数据标签的认证方法及其系统
CN104243164A (zh) * 2014-08-27 2014-12-24 韩洪慧 一种动态加密非接触式防伪标签及控制方法
CN107210919A (zh) * 2015-02-09 2017-09-26 阿姆Ip有限公司 在设备与装置之间建立信任的方法
CN108305083A (zh) * 2018-02-11 2018-07-20 张国忠 一种基于区块链的商品溯源方法及系统
CN108601001A (zh) * 2018-03-09 2018-09-28 天津大学 一种环形分割加速的rfid群组认证方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930307A (zh) * 2012-11-22 2013-02-13 重庆君盾科技有限公司 一种名酒防伪认证方法
CN103795546A (zh) * 2014-02-18 2014-05-14 广东数字证书认证中心有限公司 数据标签生成方法、数据标签的认证方法及其系统
CN104243164A (zh) * 2014-08-27 2014-12-24 韩洪慧 一种动态加密非接触式防伪标签及控制方法
CN107210919A (zh) * 2015-02-09 2017-09-26 阿姆Ip有限公司 在设备与装置之间建立信任的方法
CN108305083A (zh) * 2018-02-11 2018-07-20 张国忠 一种基于区块链的商品溯源方法及系统
CN108601001A (zh) * 2018-03-09 2018-09-28 天津大学 一种环形分割加速的rfid群组认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈新林 等: "一种基于区块链和NFC芯片的动态信息防伪技术", 《智能处理与应用》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220021532A1 (en) * 2019-01-02 2022-01-20 Citrix Systems, Inc. Tracking Tainted Connection Agents
CN113037686A (zh) * 2019-12-24 2021-06-25 中国电信股份有限公司 多数据库安全通信方法和系统、计算机可读存储介质
CN113037686B (zh) * 2019-12-24 2022-11-29 中国电信股份有限公司 多数据库安全通信方法和系统、计算机可读存储介质
CN112367165A (zh) * 2020-10-19 2021-02-12 珠海格力电器股份有限公司 串口通信方法、装置、电子设备和计算机可读介质

Similar Documents

Publication Publication Date Title
CN103065168B (zh) 一种电子标签防伪方法及系统
US20190165947A1 (en) Signatures for near field communications
US9697298B2 (en) ID tag authentication system and method
US9118643B2 (en) Authentication and data integrity protection of token
CN112689979B (zh) 物品身份管理方法、终端、微处理单元、标识设备和系统
CN107194694B (zh) 一种基于二维码的脱机支付方法
CN102779284B (zh) 一种集商品防伪、物流管控等综合功能于一体的rfid标签
CN101263503A (zh) 用于确定项目的真实性的改进设备、系统和方法
CN109508560A (zh) 电子标签离线认证系统及方法
CN103905202A (zh) 一种基于puf的rfid轻量级双向认证方法
CN106230813B (zh) 鉴权方法、鉴权装置和终端
CN109035024A (zh) 电子签约的方法、系统和存储介质
CN109522988B (zh) 产品防伪电子标签信息更新方法和系统
EP3432179B1 (en) Security tag and electronic system usable with molded case circuit breakers
CN109360008B (zh) 产品防伪认证更新方法和系统
US20180205714A1 (en) System and Method for Authenticating Electronic Tags
WO2015154482A1 (zh) 一种基于移动终端和rfid的一次一证防伪溯源系统
CN112073440A (zh) 一种物联网信息记录方法和系统
US10929807B2 (en) Supply chain life cycle validation
CN109583555A (zh) 产品防伪电子标签及电子标签认证方法和系统
CN104579660A (zh) 基于数据标签的通用身份信息管理系统及方法
CN109543791B (zh) 产品防伪验证方法和系统
CN109544182B (zh) 产品防伪验证方法及系统
US20210289422A1 (en) Bluetooth mesh network system and communication method having unprovisioned communication mechanism
KR100917177B1 (ko) 상품 위조 방지를 위한 오프라인 rfid 인증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190322