CN104393999B - 一种主设备对其从属设备的认证方法和系统 - Google Patents

Abstract

本发明公开了一种主设备对其从属设备的认证方法和系统，认证方法如下：生成公共参数、对称密钥、伪随机函数以及主设备和从属设备之间的公钥/私钥，主设备读取记录从属设备当前状态的数据，然后发送挑战信息给从属设备；从属设备带种子密钥的伪随机函数输出对应挑战信息和数据标识的随机共享密钥，然后根据私钥和随机共享密钥生成对应读取数据的数字签名；在主设备接收到包含该数字签名的应答信息后，主设备先用对称密钥和伪随机函数恢复出对应的随机共享密钥，再结合公钥和数字签名验证算法认证应答信息的有效性，该方法能一次同时针对多个从属设备进行认证，并且具有计算效率高以及通信成本低的优点。

Description

一种主设备对其从属设备的认证方法和系统

技术领域

本发明属于电子设备的认证技术领域，特别涉及一种主设备对其从属设备的认证方法和系统。

背景技术

电子设备和电子配件已经广泛应用于许多领域，例如电脑、智能手机、网络器件等电子通信设备，医疗卫生中的B超、核磁共振成像、高压氧舱等电子设备及其电子配件。一般地，品质纯正信誉卓著的名牌电子设备及其配件，比较受到消费者的青睐。与此同时，利用劣质材料制成假冒的知名品牌产品也日益成为造假者的主要目标。为了保障电子设备及其配件企业和消费者的利益，相关行业都在使用防伪技术来保护自己的电子设备及其配件，防止假冒。

现代防伪技术一般可分为两类，即基于产品的特定物理性质的方法和基于数字技术的方法。第一种方法通过特殊的制造步骤或特殊材料制作产品标识或软件包，其防伪功能的实现是基于合法制造商的制作技术优于假冒者这一假设。第二种方法主要依赖于密码系统的相关算法；这些算法的安全性质仅依赖于密钥的保密，而不是建立在制造商的技术上优于假冒者的理念上的；其防伪保护级别主要取决于密码算法中所使用密钥的长度，通过扩大密钥的长度使假冒者的仿制很难实现。

公开号为US20140129840A1的美国专利公开了一种设备和数据的认证方法和系统(Systems and methods for device and data authentication)，该专利采用椭圆曲线上的公钥密码系统，对认证双方设置一对公钥/私钥(PAK,SAK)。其中主设备持有公钥PAK，而对应的私钥SAK存储在从属设备的认证集成电路(IC)中；主设备为每次挑战选取一个随机数λ，利用公钥密码系统的基点P计算A＝λP＝(X_A,Z_A)，将X_A发送给从属设备；从属设备根据横坐标X_A计算椭圆椭圆曲线上点A的纵坐标Z_A，得到点A＝(X_A,Z_A)，并利用私钥SAK计算点B＝SAK×A；主设备根据公钥PAK和随机数λ，计算点C＝λ×PAK(即，C＝λ×SAK×P＝B)；最后，从属设备根据共享的会话密钥SK＝f(X_B,Z_B)生成对应的消息认证码MAC，而主设备利用SK′＝f(X_C,Z_C)验证从属设备的认证信息的正确性。但该专利公开的设备和数据的认证存在以下缺陷：(1)该专利为了计算共享密钥SK，从属设备和主设备都要求执行椭圆曲线上点的纯量乘法计算，因此要求从属设备的认证集成电路(IC)必须配置实现该计算的芯片，这对一般的从属设备来增加了制造成本；(2)该专利只考虑了一个主设备对一个从属设备的认证，而许多主设备常常配置多个从属设备，有时需要同时对几个从属设备进行认证。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种主设备对其从属设备的认证方法，该方法能一次同时针对多个从属设备进行认证，并且具有计算效率高以及通信成本低的优点。

本发明的第二目的在于提供一种用于实现上述方法的系统。

本发明的第一目的通过下述技术方案实现：一种主设备对其从属设备的认证方法，步骤如下：

S1、生成密钥：生成系统的公共参数pps、伪随机函数对称密钥K和生成需要认证的各从属设备C_i与主设备之间的私钥/公钥对(sk_i,PK_i)；在主设备中保存系统的公共参数pps、伪随机函数对称密钥K以及各从属设备C_i与主设备之间对应的公钥PK_i；在需要认证的各从属设备中保存伪随机函数对称密钥K以及私钥sk_i，各从属设备C_i根据其存储的伪随机函数和对称密钥K生成带种子密钥的伪随机函数

S2、主设备读取各从属设备中存储的记录当前状态的数据D_i及数据标识τ_i，然后生成对应的随机整数c_i，将随机整数c_i作为挑战信息发送给各从属设备C_i；

S3、各从属设备C_i在接收到主设备的挑战信息c_i后，首先利用挑战信息c_i、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥然后根据随机共享密钥和私钥sk_i，利用签名算法生成关于数据y_0i＝D_i的数字签名最后将数字签名y_1i作为应答信息发送给主设备；

S4、主设备接收到各从属设备C_i发送的应答信息y_1i后，首先根据主设备发送给各从属设备C_i的挑战信息c_i、数据标识τ_i、对称密钥K和伪随机函数生成步骤S3中各从属设备C_i所生成的随机共享密钥然后根据其保存的公共参数pps、从属设备C_i与主设备之间对应的公钥PK_i、主设备读取的数据y_0i＝D_i以及主设备接收到的应答信息y_1i验证以下等式是否成立：

其中L为从属设备的个数；

若是，则表示不存在假冒产品的从属设备，若否，表示存在假冒产品从属设备，执行步骤S5；

S5、判断从属设备的个数L是否为1；

若是，则认定这个从属设备为假冒产品；

若否，则根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及各从属设备C_i与主设备之间对应的公钥PK_i验证各从属设备C_i对应的以下等式是否成立：

对于不满足上述等式的从属设备，主设备认证其为假冒产品。

优选的，所述步骤S1中基于椭圆曲线上的公钥密码系统生成公共参数pps＝{G,P,p,q}、对称密钥空间和伪随机函数其中公共参数中p、q是两个大素数，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元；

为各从属设备C_i选取私钥sk_i，sk_i∈Z_q，根据私钥sk_i获取其逆元1/sk_i，满足(1/sk_i)·sk_imodq＝1；通过从属设备的私钥sk_i计算得到主设备对应的公钥PK_i＝sk_i.P；选取的对称密钥

其中在主设备中，公共参数pps＝{G,P,p,q}，伪随机函数和公钥{PK₁,…,PK_L}保存在主设备的内存中，对称密钥K保存在主设备的智能卡中；

在从属设备中，对称密钥K和私钥sk_i保存在从属设备的内存中。

优选的，所述步骤S2中，主设备选取当前的时间戳c_i∈{0,1}^l作为为挑战信息发送给从属设备，其中l是时间戳的长度，l<q；

当主设备同时认证多个从属设备时，即L>1时，所述步骤S2中，在同时认证过程中，主设备发送给各个从属设备的挑战信息c_i是相同的，即c₁＝c₂＝，...，＝c_L。

更进一步的，所述步骤S3中利用签名算法生成各从属设备C_i关于数据y_0i＝D_i的数字签名y_1i的具体过程如下：

S3-1、首先从属设备C_i从内存读入从属设备C_i当前状态的数据y_0i＝D_i对应的数据标识τ_i，根据挑战信息c_i、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥

S3-2、然后根据从属设备当前状态的数据y_0i＝D_i和私钥sk_i的逆元1/sk_i，利用减法运算输出与y_0i的差通过乘法运算输出与的积

S3-3、最后利用模余数运算输出签名y_1i：

更进一步的，所述步骤S4中主设备首先根据发送给从属设备C_i的挑战信息c_i、数据标识τ_i、对称密钥K和伪随机函数生成随机共享密钥然后根据读取的从属设备当前状态的数据y_0i＝D_i、接收的数字签名y_1i、随机共享密钥以及公钥PK_i验证等式以下等式是否成立：

其中L为从属设备的个数；

若是，则表示不存在假冒产品的从属设备，若否，表示存在假冒产品从属设备，执行步骤S5；

所述步骤S5中当从属设备的个数L大于1时，则根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及各从属设备C_i与主设备之间对应的公钥PK_i验证各从属设备C_i对应的以下等式是否成立：

对于不满足上述等式的从属设备，主设备认证其为假冒产品。

更进一步的，所述步骤S1中从属设备中伪随机函数根据对称密钥K，采用对称加密算法AES算法生成带种子密钥的伪随机函数

所述步骤S3中从属设备生成共享密钥的具体过程如下；首先通过长度为l位的时间戳c_i与数据标识τ_i进行异或操作，得到加密明文基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，获取到随机共享密钥

本发明的第二目的通过下述技术方案实现：一种用于实现上述主设备对其从属设备的认证方法的认证系统，包括设置在主设备上的第一认证单元和设置在从属设备上的第二认证单元；其中第一认证单元和第二认证单元通过有线或无线网络进行通信；

所述第一认证单元包括：

存储设备：用于存放系统的公共参数pps、伪随机函数以及各从属设备和主设备之间对应的各公钥PK_i；

从属设备的数据读入单元，用于读取从属设备中存储的记录当前状态的数据D_i及数据标识τ_i；

随机整数的生成单元，用于生成作为挑战信息的随机整数c_i；

伪随机函数输出处理单元，用于输出主设备中存储的伪随机函数；

应答信息验证单元，用于验证从属设备发送的应答信息；

通信处理单元，用于与从属设备的第二认证单元进行通信；

所述第二认证单元包括：

存储装置：用于保存对称密钥K和私钥sk_i；

带种子密钥的伪随机函数的芯片单元，用于利用伪随机函数根据输入的挑战信息c_i、数据标识τ_i和对称密钥K生成随机的共享密钥r_τi；

输出数字签名电路单元，用于根据输入的主设备与从属设备C_i之间的随机的共享密钥私钥sk_i和数据D_i生成关于数据y_0i＝D_i的数字签名y_1i，作为从属设备C_i发送给主设备的应答信息。

优选的，所述各从属单元C_i带种子密钥的伪随机函数的芯片单元包括实现对称加密算法AES的芯片和异或操作单元；

异或操作单元：用于输入挑战信息c_i与数据标识τ_i，通过异或操作得到加密明文

实现对称加密算法AES的芯片：用于输入加密明文和对称密钥K，基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，获取到随机共享密钥

优选的，所述各从属单元C_i输出数字签名电路单元包括减法门单元、乘法门单元和模余数单元；

减法门单元，用于输出从属设备C_i生成的随机共享密钥与从属设备当前状态的数据y_0i＝D_i的差，获取与y_0i的差

乘法门单元，用于输入减法门单元的输出结果和密钥的逆元对密钥的逆元1/sk_i和减法门单元的输出结果作乘法运算，最后输出私钥的逆元与的积

模余数单元，用于输入乘法门单元的输出结果，对模q求余数，输出从属设备的数字签名公共参数pps＝{G,P,p,q}，公共参数中p、q是两个大素数，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元。

优选的，从属设备中的带种子密钥的伪随机函数的芯片单元和输出数字签名电路单元在安全模式环境下进行工作，所述安全模式为一种防篡改的装置，所述安全模式为储卡、电子电路配套模式、包含相应功能的集成电路模块或实现防篡改功能的软件。

本发明相对于现有技术具有如下的优点及效果：

(1)、本发明将从属设备与记录其当前状态的数据进行绑定，利用带种子密钥的伪随机函数生成主设备和从属设备之间的共享密钥，使伪随机函数输出的共享密钥具有随机性，从而使主设备和被认证的从属设备之外的设备能获取这一共享密钥的概率很小，保护了主设备和从属设备之间的机密信息。主设备利用挑战-应答方式，基于应答信息中的数字签名认证从属设备，使只有同时持有带种子密钥的伪随机函数和私钥的从属设备才能通过认证，以阻止假冒从属设备的使用。

(2)、本发明中从属设备接收到主设备关于读取数据的挑战信息后，计算主设备和从属设备之间的随机共享密钥，从属设备根据挑战信息和与主设备共享的随机共享密钥，利用私钥生成关于读取数据的签名。这一签名生成算法，使从属设备不需执行公钥计算操作，使得签名计算代价相对较低，与已有的方法相比，在相同的安全级别下，本发明可以减少计算量、节约储存空间、降低网络带宽的需求，具有计算效率高以及通信成本低的优点。

(3)、本发明中从属设备用带种子密钥的伪随机函数生成其与主设备的共享密钥，且每个从属设备持有的私钥也不同，利用对应的签名验证算法认证从属设备的签名，实现对从属设备的认证；当主设备针对多个从设备进行同时认证时，首先通过所有从属设备关于挑战信息的多重签名验证是否有假冒产品，不需要针对每个从属设备进行验证，进一步提高了认证的效率。在所有从属设备关于挑战信息的多重签名验证不成立的情况下，知晓存在假冒产品，在这种情况下通过对每个从属设备进行验证，识别出具体的假冒产品。

(4)、本发明在主设备同一次认证多个从属设备过程中，主设备发送给每个从属设备挑战信息为相同的，因此可通过广播发送挑战信息给从属设备，减少了通信成本。

(5)、本发明用于实现认证方法的从属设备的认证系统通过带种子密钥的伪随机函数的芯片单元生成从属设备与主设备之间的随机共享密钥，通过输出数字签名电路生成数字签名作为从属设备发送给主设备的应答信息，本发明认证系统只需要在从属设备的第二认证单元输入挑战信息、数据以及对应数据标识，就可以生成数字签名，无需在从属设备中另外输入签名密钥，防止了攻击者对签名密钥的复制和克隆攻击。

(6)、本发明中从属设备根据挑战信息、数据标识和带种子密钥的伪随机函数生成随机共享密钥。主设备利用对称密钥K，结合挑战信息、数据的数据标识和伪随机函数也可以计算出随机共享密钥，因此主设备和从属设备能够分别生成它们之间的随机共享密钥，无需通过网络将一方生成的随机共享密钥传送给另一方。另外对于两个不同的挑战信息，一个从属设备利用同一数据的数据标识输出相同的随机共享秘密的概率很小，可以忽略不计。因此本实施例中利用这种随机共享秘密的生成的数字签名可防止攻击者对从属设备发送的应答信息的篡改、“搭载”攻击和重放攻击。

附图说明

图1是本发明主设备针对每个从属设备进行认证时的流程图。

图2是本发明主设备针对每个从属设备进行认证时挑战-应答协议流程图。

图3是本发明认证系统结构框图。

图4是本发明认证系统中主设备上第一认证单元的结构框图。

图5是本发明认证系统中从属设备上第二认证单元的结构框图。

图6是本发明认证系统中从属设备上第二认证单元的组成原理图。

图7是本发明主设备同时对多个从属设备进行认证时的流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例1

如图1和2所示，本实施例公开了一种主设备对其从属设备的认证方法，其中下述为主设备针对一个从属设备进行认证时的步骤：

(1)、生成密钥：生成系统的公共参数pps、伪随机函数对称密钥K和需要认证的从属设备与主设备之间的私钥/公钥对(sk,PK)；具体为：

在本步骤基于椭圆曲线上的公钥密码系统生成公共参数pps＝{G,P,p,q}、对称密钥空间和伪随机函数其中公共参数中p、q是两个大素数，在本实施例中分别为1024比特和160比特，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元；

为从属设备选取私钥sk，sk∈Z_q，根据私钥sk获取其逆元1/sk，满足(1/sk)·skmodq＝1；通过从属设备的私钥计算得到主设备对应的公钥PK＝sk.P；选取的对称密钥

将上述生成的公共参数pps＝{G,P,p,q}，伪随机函数和公钥PK保存在主设备的内存中，对称密钥K保存在主设备的智能卡中；

将上述生成的伪随机函数对称密钥K、私钥sk和私钥逆元1/sk保存在从属设备中，从属设备中伪随机函数根据对称密钥K，采用对称加密算法AES算法生成带种子密钥的伪随机函数

(2)、主设备读取从属设备中存储的记录当前状态的数据D及数据标识τ，然后生成一个随机整数c，将随机整数c作为挑战信息发送给从属设备，其中在本步骤中主设备选取当前的时间戳c∈{0,1}^l作为为挑战信息发送给从属设备，其中l是时间戳的长度，l<q。

(3)、从属设备在接收到主设备的挑战信息c后，首先利用挑战信息c、数据标识τ和带种子密钥的伪随机函数生成随机共享密钥r_τ；然后根据随机共享密钥r_τ和私钥sk，利用签名算法生成关于数据y₀＝D的数字签名最后将数字签名y₁作为应答信息发送给主设备。

其中在本步骤中从属设备利用签名算法生成关于数据y₀＝D的数字签名y₁的具体过程如下：

(3-1)、从属设备从内存读入从属设备当前状态的数据y₀＝D对应的数据标识τ，根据挑战信息c、数据标识τ和带种子密钥的伪随机函数生成随机共享密钥其中本步骤中随机共享密钥生成过程为：首先通过长度为l位的时间戳c及从属设备接收到的挑战信息与数据标识τ进行异或操作，得到加密明文然后基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，得到输出的随机共享密钥r_τ。当然在本实施例中伪随机函数也可以通过其它对称加密算法或其它方式对二元字符串进行处理，如通过哈希函数等算法对二元字符串进行随机化处理。

(3-2)、根据从属设备当前状态的数据y₀＝D和私钥sk的逆元利用减法运算输出r_τ与y₀的差通过乘法运算输出与的积

(3-3)、利用模余数运算输出签名y₁：

(4)、主设备接收到从属设备发送的应答信息y₁后，首先根据主设备发送给从属设备的挑战信息c、数据标识τ、对称密钥K和伪随机函数生成步骤(3)中从属设备所生成的随机共享密钥然后根据读取的从属设备当前状态的数据y₀＝D、接收的数字签名y₁、随机共享密钥以及公钥PK验证等式以下等式是否成立：

v(y₀,r_τ,PK,y₁)＝(r_τ-y₀)P-y₁.PK＝0，即(r_τ-y₀)P＝y₁.PK；

若等式成立，则从属设备的认证通过，否则从属设备的认证不通过，相应从属设备被认定为假冒产品。

在本实施例中，从属设备根据挑战信息c、数据标识τ和带种子密钥的伪随机函数生成随机共享密钥r_τ。主设备利用对称密钥K，结合挑战信息c和数据D的数据标识τ也可以计算出随机共享密钥r_τ，因此主设备和从属设备能够分别生成它们之间的随机共享密钥r_τ，无需通过网络将一方生成的随机共享密钥r_τ传送给另一方。对于相同挑战信息c和同一数据D的数据标识τ，针对于伪随机函数和对称密钥K都相同的同一类型的从属设备会生成相同的随机共享密钥r_τ，但是对于两个不同的挑战信息c′和c，一个从属设备利用同一数据D的数据标识τ输出相同的随机共享秘密r_τ的概率很小，可以忽略不计。因此本实施例中利用这种随机共享秘密r_τ的生成的数字签名可防止攻击者对从属设备发送的应答信息的篡改、“搭载”攻击和重放攻击。

本实施例还公开了一种用于实现上述主设备对其从属设备的认证方法的认证系统，本实施例的主设备对其从属设备的认证系统包括设置在主设备上的第一认证单元和设置在从属设备上的第二认证单元。主设备的第一认证单元和第二认证单元通过有线或无线网络进行通信。

如图3所示，在本实施例中主设备的第一认证单元用于读取从属设备的数据，生成对应的挑战信息，执行对从属设备的应答信息的认证操作。从属设备的第二认证单元用于提供其当前状态的数据，生成关于主设备的挑战信息的应答信息。

本实施例中需要认证的主设备可以为任何有线或无线电子设备，具有发送信息和接受应答信息的相关组件，它可以是移动电话、视频摄像机、MP3播放器、个人数字助理、游戏系统、音频和/或视频系统或其它娱乐设备；它可以是电脑、计算机系统、网络或计算设备、复印机、扫描仪或其它的数字成像或重放设备；它可以是医疗装置或设备或诊断器械；它可以是汽车和汽车系统或一些其它的电子或计算机设备。如图4所示，主设备上配置一个或多个处理器211(如CPU)、一个系统存储器212(如只读存储器ROM、随机存储器RAM)，一个外置存储器213和一条数据传送总线214。数据传送总线214将出来处理器211、系统存储器212和外置存储器213与显示控制器215和显示设备216相连，同时通过I/O控制器217将它们与输入设备2171(如鼠标、键盘)、输出设备2172(如调制解调器、网络接口)和阅读器2173(如CD-ROM)等外围设备相连。

在本实施例认证系统中设置在主设备上的第一认证单元包括：

作为内存的存储设备：用于存放系统的公共参数pps、伪随机函数以及公钥PK，其中该存储设备可以为主设备中配置的外置存储设备。

从属设备的数据读入单元，用于读取从属设备中存储的记录当前状态的数据及数据标识。

随机整数的生成单元，用于生成作为挑战信息的随机整数；

伪随机函数输出处理单元，用于输出主设备中存储的伪随机函数；

应答信息验证单元，用于验证从属设备发送的应答信息，根据从属设备发送的应答信息，判断等式上述步骤S4中等式是否成立，以确定从属设备是否为假冒产品；

通信处理单元，用于与从属设备的第二认证单元进行通信；

本实施例中上述第一认证单元中的从属设备的数据读入单元231、随机整数的生成单元232、伪随机函数输出处理单元234、应答信息验证单元235和通信处理单元236均为设置在处理器中的单元；另外在主设备的外置存储器中存放从属设备的数据读入程序221、随机整数的生成程222序、计算伪随机函数输出的程序224，应答信息验证程序225和通信程序226。这些程序通过主设备的处理器CPU单元211执行它们的代码，导出需要的功能。CPU211分别在对应的从属设备的数据读入单元231、随机整数的生成单元232、伪随机函数输出处理单元234、应答信息验证单元235和通信处理单元236执行这些程序，完成相应功能。

本实施例需要认证的从属设备可以为主设备的售后配件或电池，这些配件可以是耳机、头戴式耳机、扬声器、扩展坞、游戏控制器、充电器、麦克风等；可以是计算机或计算机系统的组件、网络设备、外围设备、USB或其它存储装置；可以是汽车零件、部件或附件；或一些其他部件、附件或组件，以及执行一些认证必需的或所希望的部件、附件或组件。如图5所示，从属设备配置有电源311、输入/输出组件312和构成本实施例认证系统第二认证单元，其中在本实施例中的第二认证单元为认证集成电路313。电源311(如，电池)给输入/输出组件312、认证集成电路313和从属设备104的其它组件提供电源。输入/输出组件312用于接收主设备的挑战信息、发送从属设备的数据与应答信息。认证集成电路313用于生成当前数据及其挑战信息对应的应答信息。对于如蓝牙耳机等小尺寸从属设备204可能不能够再容纳额外的认证集成电路313，可将认证集成电路313集成到现有的芯片上，可节省空间和成本。

在本实施例中作为第二认证单元的从属设备的认证集成电路313包括：

作为内存321的存储设备：用于保存对称密钥、私钥、私钥逆元和从属设备当前状态的数据及其数据标识。

带种子密钥的伪随机函数的芯片单元322，用于利用伪随机函数根据输入的挑战信息、数据标识和对称密钥生成随机的共享密钥。

输出数字签名电路单元323，用于根据输入的随机的共享密钥、私钥和数据生成关于数据的数字签名，作为从属设备发送给主设备的应答信息。

如图6所示为本实施例中认证集成电路313的结构图，其中带种子密钥的伪随机函数的芯片单元322包括实现对称加密算法AES的芯片和异或操作单元；

异或操作单元：用于输入挑战信息与数据标识，通过异或操作得到加密明文

实现对称加密算法AES的芯片：用于在输入端输入128位的加密明文和对称密钥K，然后通过针对伪随机函数的加密算法后输出128位的随机共享密钥。其中在输入的加密明文中，对称密钥K的长度可分别取128、192和256位三种情形；对于长度为l位的时间戳c组成的挑战信息，将它与数据标识τ进行异或操作，得到128位的加密明文其中这里取τ的长度不超过128比特，且l＝128；对不足l位的时间戳c，在高位添零补足。

如图6所示，本实施例认证集成电路313中的输出数字签名电路单元323包括减法门单元、乘法门单元和模余数单元；

减法门单元，用于输出从属设备生产的随机共享密钥与从属设备当前状态的数据y₀＝D的差，获取r_τ与y₀的差

乘法门单元，用于输入减法门单元的输出结果和认证集成电路313内存中的密钥逆元对密钥的逆元和减法门单元的输出结果作乘法运算，最后输出密钥的逆元与的积

模余数单元，用于输入乘法门单元的输出结果，对模q求余数，输出从属设备的数字签名y₁作为应答信息：

在本实施例中输出数字签名电路单元323利用带种子密钥的伪随机函数的芯片单元322输出的随机共享密钥r_τ和私钥的逆元1/sk，结合减法、乘法和关于模q的求余数的运算，构造输出数字签名电路单元最后获取到基于上述内存、带种子密钥的伪随机函数的芯片单元322和输出数字签名电路单元323三部分组件构造的从属设备的认证集成电路C(.,.,K,sk)。从属设备在接收到挑战信息c后，在认证集成电路C(.,.,K,sk)中输入挑战信息c、数据D及其对应的数据标识τ，即可输出签名因此本实施例通过从属设备的认证集成电路可以快速的输出签名，提高了认证系统的工作效率。该认证集成电路可由主设备的生产商或授权部门提供。

在本实施例中从属设备中的带种子密钥的伪随机函数的芯片单元和输出数字签名电路单元在安全模式环境下进行工作，其中安全模式为一种防篡改的装置，安全模式为储卡、电子电路配套模式、包含实现对应功能的集成电路模块或实现防篡改功能的软件。

在本实施例认证系统中利用依赖于伪随机函数和数字签名的挑战-应答方式认证从属设备，针对每个需要认证的从属设备需要一个公钥/私钥对。主设备持有公钥、伪随机函数及其对称密钥，选择一个随机数作为挑战信息，利用公钥认证从属设备的应答信息；从属设备持有带种子密钥的伪随机函数和私钥，这两者用于在安全模式下从挑战信息输出其对应数据的一个随机共享密钥，再利用这一随机共享密钥和私钥生成关于该主设备从从属设备中读取的数据对应的数字签名，得到挑战信息的应答信息。在生成应答信息中的数字签名过程中，从属设备利用带种子密钥的伪随机函数输出一个随机共享密钥，不需要执行基于公钥的数字签名公钥算法中的公钥计算，这一特性非常适合于低计算能力的从属设备和配件的认证。主设备利用挑战-应答方式，基于应答信息中的数字签名认证从属设备，使只有同时持有带种子密钥的伪随机函数和私钥的从属设备才能通过认证，以阻止假冒从属设备的使用。

采用本实施例的认证方法与公开号为US20140129840A1的美国专利公开的认证方法相比，在从属设备的计算效率和通信成本方面本发明具有明显的优势：具体见表1：

表1

其中表中T_h是计算1个单向hash函数所需时间，T_Z是根据横坐标X计算椭圆曲线上点的纵坐标所需时间，T_F是执行1次伪随机函数计算所需要的时间，T_P是执行1次点的纯量乘法所需时间，l是主设备中的一个时间戳c对应的比特数，特别地对AES加密算法构造的伪随机函数设置l＝128。在存储方面，本实施例认证方法从属设备的存储空间略少,而主设备需要增加|K|比特用于保存对称密钥K；一般地，|K|约为200比特，这是完全可接收的。此外，本实施例从属设备的认证集成电路只需要集成有带种子密钥的伪随机函数的芯片，该芯片比具有计算椭圆曲线上点的纯量乘法芯片便宜很多，因而具有更高的性价比。

实施例2

在本实施例中公开了一种主设备对其从属设备的认证方法，其中本实施例与实施例1的区别在于，本实施例中主设备同时针对多个从属设备C₁,…,C_L进行认证，其中如图7所示，具体步骤如下：

S1、生成密钥：选择系统的公共参数pps、一个伪随机函数一个对称密钥K和需要认证的各从属设备C_i与主设备之间的私钥/公钥对(sk_i,PK_i)，其中1≤i≤L，L为需要同时进行认证的从属设备的总数，L>1；具体为：

在本步骤基于椭圆曲线上的公钥密码系统生成公共参数pps＝{G,P,p,q}、对称密钥空间伪随机函数和各从属设备S_i的公钥PK_i；其中公共参数中p、q是两个大素数，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元；

为各从属设备C_i分别选取私钥sk_i，sk_i∈Z_q，根据私钥sk_i获取其逆元1/sk_i，满足(1/sk_i)·sk_imodq＝1；通过从属设备的私钥计算得到主设备对应的公钥PK_i＝sk_i.P；选取的对称密钥

将上述选择的公共参数pps＝{G,P,p,q}，伪随机函数和所有从属设备对应在主设备中的公钥集{PK₁,…,PK_L}保存在主设备的内存中，对称密钥K保存在主设备的智能卡中；

将上述生成的伪随机函数对称密钥K以及各从属设备赌赢的私钥sk_i和私钥逆元1/sk_i保存在对应的从属设备C_i中，从属设备C_i中伪随机函数根据对称密钥K，采用对称加密算法AES算法生成带种子密钥的伪随机函数

S2、主设备读取各从属设备C_i中存储的记录当前状态的数据D_i及数据标识τ_i，对于读取的数据集合D_i，主设备然后生成一个随机整数c_i，将随机整数c_i作为挑战信息发送给各从属设备C_i，其中在本步骤中主设备选取当前的时间戳c_i∈{0,1}^l作为为挑战信息发送给从属设备，其中l是时间戳的长度，l<<q；本实施例在主设备同一次认证多个从属设备过程中，主设备发送给每个从属设备C_i挑战信息为相同的，即c₁＝c₂＝，...，＝c_L＝c，因此可以通过广播的方式将挑战信息发送给各从属设备，减少了主设备同时认证多个从属设备时的计算量。当然在本实施例中主设备在同次认证过程中也可以发送给各从属设备不同的挑战信息。

S3、各从属设备S_i在接收到主设备的挑战信息c后，首先利用挑战信息c、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥然后各从属设备根据随机共享密钥和私钥sk_i，利用签名算法生成各从属设备C_i关于数据y_0i＝D_i的数字签名最后将各从属设备生成的数字签名y_1i作为应答信息发送给主设备。

其中在本步骤中各从属设备C_i利用签名算法生成关于数据y_0i＝D_i的数字签名y_1i的具体过程如下：

S3-1、从属设备C_i从内存读入从属设备当前状态的数据y_0i＝D_i对应的数据标识τ_i，根据挑战信息c、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥其中本步骤中随机共享密钥生成过程为：首先通过长度为l位的时间戳c与数据标识τ_i进行异或操作，得到加密明文然后基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，获取到随机共享密钥

S3-2、根据从属设备C_i当前状态的数据y_0i＝D_i和私钥sk_i的逆元1/sk_i，从属设备利用减法运算输出与y_0i的差通过乘法运算输出与的积

S3-3、利用余数运算输出从属设备C_i的签名：

S4、主设备接收到各从属设备C_i发送的应答信息y_1i后，首先根据主设备发送给各从属设备的挑战信息c、各从属设备C_i的数据标识τ_i、对称密钥K和伪随机函数生成步骤S3中各从属设备C_i对应所生成的随机共享密钥然后根据接收到的各从属设备的应答信息y_1i，结合各从属设备对应在主设备中生成的公钥PK_i，计算出：

然后根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及上述计算的验证以下等式是否成立：

即

若上述等式成立，则表示各从属设备的认证均通过。

若等式不成立，则表示主设备同时认证的从属设备中存在假冒产品，此时进入步骤S5。

S5、根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及各从属设备C_i对应在主设备中生成的公钥PK_i验证以下等式是否成立：

即

对于不满足上述等式的从属设备，主设备认证其为假冒产品。

从本实施例上述步骤中可以看出，当主设备针对多个从设备进行同时认证时，首先通过一个步骤S4中挑战信息的多重签名验证是否有假冒产品，不需要针对每个从属设备进行验证，这样提高了认证效率。在步骤S4中挑战信息的多重签名验证不成立的情况下，知晓存在假冒产品，在这种情况下通过对每个从属设备进行验证，识别出具体的假冒产品。

本实施例中用于实现上述认证方法的主设备和各从属设备上的第一认证单元和第二认证单元的组成结构与实施例1中相同。不同之处在于本实施例主设备中应答信息验证单元在验证步骤S5中等式成立之前，要先验证步骤S4中的挑战信息的多重签名等式是否成立，在步骤S4中挑战信息的多重签名不成立的情况下才针对每个从属设备验证是否成立。

本实施例中通过各从属设备C_i认证集成电路313的异或操作单元对时间戳c_i＝c与数据标识τ_i进行异或操作，获取到步骤各从属设备加密明文然后通过各从属设备C_i中对称加密算法AES的芯片获取到随机共享密钥

本实施例中各从属设备C_i通过输出数字签名电路单元323的减法门单元获取到步骤S3-2中与y_0i的差通过乘法门单元输出与的积通过模余数单元对模q求余数，输出从属设备的数字签名作为应答信息。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (10)

1.一种主设备对其从属设备的认证方法，其特征在于，步骤如下：

S1、生成密钥：生成系统的公共参数pps、伪随机函数对称密钥K和生成需要认证的各从属设备C_i与主设备之间的私钥/公钥对(sk_i,PK_i)；在主设备中保存系统的公共参数pps、伪随机函数对称密钥K以及各从属设备C_i与主设备之间对应的公钥PK_i；在需要认证的各从属设备中保存伪随机函数对称密钥K以及私钥sk_i，各从属设备C_i根据其存储的伪随机函数和对称密钥K生成带种子密钥的伪随机函数

本步骤中基于椭圆曲线上的公钥密码系统生成公共参数pps＝{G,P,p,q}；其中公共参数中p、q是两个大素数，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元；

S2、主设备读取各从属设备中存储的记录当前状态的数据D_i及数据标识τ_i，然后生成对应的随机整数c_i，将随机整数c_i作为挑战信息发送给各从属设备C_i；

S3、各从属设备C_i在接收到主设备的挑战信息c_i后，首先利用挑战信息c_i、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥然后根据随机共享密钥和私钥sk_i，利用签名算法生成关于数据y_0i＝D_i的数字签名最后将数字签名y_1i作为应答信息发送给主设备；其中

S4、主设备接收到各从属设备C_i发送的应答信息y_1i后，首先根据主设备发送给各从属设备C_i的挑战信息c_i、数据标识τ_i、对称密钥K和伪随机函数生成步骤S3中各从属设备C_i所生成的随机共享密钥然后根据其保存的公共参数pps、从属设备C_i与主设备之间对应的公钥PK_i、主设备读取的数据y_0i＝D_i以及主设备接收到的应答信息y_1i验证以下等式是否成立：

L≥1；其中L为从属设备的个数；

若是，则表示不存在假冒产品的从属设备，若否，表示存在假冒产品从属设备，执行步骤S5；

S5、判断从属设备的个数L是否为1；

若是，则认定这个从属设备为假冒产品；

若否，则根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及各从属设备C_i与主设备之间对应的公钥PK_i验证各从属设备C_i对应的以下等式是否成立：

对于不满足上述等式的从属设备，主设备认证其为假冒产品；

其中

2.根据权利要求1所述的主设备对其从属设备的认证方法，其特征在于，所述步骤S1中基于椭圆曲线上的公钥密码系统生成对称密钥空间和伪随机函数

为各从属设备C_i选取私钥sk_i，sk_i∈Z_q，根据私钥sk_i获取其逆元1/sk_i，满足(1/sk_i)·sk_imodq＝1；通过从属设备的私钥sk_i计算得到主设备对应的公钥PK_i＝sk_i.P；选取的对称密钥

其中在主设备中，公共参数pps＝{G,P,p,q}，伪随机函数和公钥{PK₁,…,PK_L}保存在主设备的内存中，对称密钥K保存在主设备的智能卡中；

在从属设备中，对称密钥K和私钥sk_i保存在从属设备的内存中。

3.根据权利要求2所述的主设备对其从属设备的认证方法，其特征在于，

所述步骤S2中，主设备选取当前的时间戳c_i∈{0,1}^l作为挑战信息发送给从属设备，其中l是时间戳的长度，l<q；

当主设备同时认证多个从属设备时，即L>1时，所述步骤S2中，在同时认证过程中，主设备发送给各个从属设备的挑战信息c_i是相同的，即c₁＝c₂＝，...，＝c_L。

4.根据权利要求2所述的主设备对其从属设备的认证方法，其特征在于，所述步骤S3中利用签名算法生成各从属设备C_i关于数据y_0i＝D_i的数字签名y_1i的具体过程如下：

S3-1、首先从属设备C_i从内存读入从属设备C_i当前状态的数据y_0i＝D_i对应的数据标识τ_i，根据挑战信息c_i、数据标识τ_i和带种子密钥的伪随机函数生成随机共享密钥

S3-2、然后根据从属设备当前状态的数据y_0i＝D_i和私钥sk_i的逆元1/sk_i，利用减法运算输出与y_0i的差通过乘法运算输出与的积

S3-3、最后利用模余数运算输出签名y_1i：

5.根据权利要求4所述的主设备对其从属设备的认证方法，其特征在于，所述步骤S4中主设备首先根据发送给从属设备C_i的挑战信息c_i、数据标识τ_i、对称密钥K和伪随机函数生成随机共享密钥然后根据读取的从属设备当前状态的数据y_0i＝D_i、接收的数字签名y_1i、随机共享密钥以及公钥PK_i验证等式以下等式是否成立：

L≥1，其中L为从属设备的个数；

若是，则表示不存在假冒产品的从属设备，若否，表示存在假冒产品从属设备，执行步骤S5；

所述步骤S5中当从属设备的个数L大于1时，则根据主设备读取的各从属设备C_i的数据y_0i＝D_i、主设备中生成的与各从属设备对应的随机共享密钥以及各从属设备C_i与主设备之间对应的公钥PK_i验证各从属设备C_i对应的以下等式是否成立：

<mrow> <mo>(</mo> <msub> <mi>r</mi> <msub> <mi>&amp;tau;</mi> <mi>i</mi> </msub> </msub> <mo>-</mo> <msub> <mi>D</mi> <mi>i</mi> </msub> <mo>)</mo> <mi>P</mi> <mo>=</mo> <msub> <mi>y</mi> <mrow> <mn>1</mn> <mi>i</mi> </mrow> </msub> <msub> <mi>PK</mi> <mi>i</mi> </msub> <mo>,</mo> <mi>i</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>...</mo> <mi>L</mi> <mo>,</mo> <mi>L</mi> <mo>&gt;</mo> <mn>1</mn> <mo>;</mo> </mrow>

对于不满足上述等式的从属设备，主设备认证其为假冒产品。

6.根据权利要求4所述的主设备对其从属设备的认证方法，其特征在于，所述步骤S1中从属设备中伪随机函数根据对称密钥K，采用对称加密算法AES算法生成带种子密钥的伪随机函数

所述步骤S3中从属设备生成共享密钥的具体过程如下；首先通过长度为l位的时间戳c_i与数据标识τ_i进行异或操作，得到加密明文基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，获取到随机共享密钥

7.一种用于实现权利要求1至6中任一项所述的主设备对其从属设备的认证方法的认证系统，其特征在于，包括设置在主设备上的第一认证单元和设置在从属设备上的第二认证单元；其中第一认证单元和第二认证单元通过有线或无线网络进行通信；

所述第一认证单元包括：

存储设备：用于存放系统的公共参数pps、伪随机函数以及各从属设备和主设备之间对应的各公钥PK_i；

从属设备的数据读入单元，用于读取从属设备中存储的记录当前状态的数据D_i及数据标识τ_i；

随机整数的生成单元，用于生成作为挑战信息的随机整数c_i；

伪随机函数输出处理单元，用于输出主设备中存储的伪随机函数；

应答信息验证单元，用于验证从属设备发送的应答信息；

通信处理单元，用于与从属设备的第二认证单元进行通信；

所述第二认证单元包括：

存储装置：用于保存对称密钥K和私钥sk_i；

带种子密钥的伪随机函数的芯片单元，用于利用伪随机函数根据输入的挑战信息c_i、数据标识τ_i和对称密钥K生成随机的共享密钥

输出数字签名电路单元，用于根据输入的主设备与从属设备C_i之间的随机的共享密钥私钥sk_i和数据D_i生成关于数据y_0i＝D_i的数字签名y_1i，作为从属设备C_i发送给主设备的应答信息。

8.根据权利要求7所述的主设备对其从属设备的认证系统，其特征在于，所述各从属单元C_i带种子密钥的伪随机函数的芯片单元包括实现对称加密算法AES的芯片和异或操作单元；

异或操作单元：用于输入挑战信息c_i与数据标识τ_i，通过异或操作得到加密明文

实现对称加密算法AES的芯片：用于输入加密明文和对称密钥K，基于对称加密算法AES的伪随机函数利用对称密钥K对二元字符串进行加密处理，获取到随机共享密钥

9.根据权利要求7所述的主设备对其从属设备的认证系统，其特征在于，所述各从属单元C_i输出数字签名电路单元包括减法门单元、乘法门单元和模余数单元；

减法门单元，用于输出从属设备C_i生成的随机共享密钥与从属设备当前状态的数据y_0i＝D_i的差，获取与y_0i的差

乘法门单元，用于输入减法门单元的输出结果和密钥的逆元sk_i，对私钥的逆元1/sk_i和减法门单元的输出结果作乘法运算，最后输出密钥的逆元与的积

模余数单元，用于输入乘法门单元的输出结果，对模q求余数，输出从属设备的数字签名公共参数pps＝{G,P,p,q}，公共参数中p、q是两个大素数，满足p＝αq+1，α为一个大素数因子，G是基于椭圆曲线上E(F_p)上的一个加法群，P是G的一个q阶生成元。

10.根据权利要求7所述的主设备对其从属设备的认证系统，其特征在于，从属设备中的带种子密钥的伪随机函数的芯片单元和输出数字签名电路单元在安全模式环境下进行工作，所述安全模式为一种防篡改的装置，所述安全模式为储卡、电子电路配套模式、包含相应功能的集成电路模块或实现防篡改功能的软件。