認證設備和系統(tǒng)的制作方法
【專利說明】認證設備和系統(tǒng)
[0001] 本申請是申請日為2011年8月22日��,申請?zhí)枮?01180040180. 0的專利申請"認 證設備和系統(tǒng)"的分案申請�。
[0002] 本申請要求2010年8月20日提交的題為"產(chǎn)品認證方法��、系統(tǒng)和設備(Pro化ct Authentication Method, System and Device)"的美國臨時申請 No. 61/375, 756 的權益�����, 其全部內(nèi)容通過引用合并在此�����。
[000引 認證設備(authentication device)是能夠W密碼方式向鑒定設備 (verification device)證明真實性的設備。當將認證設備附著至或包括在另一設備或產(chǎn) 品中時���,認證設備也可W證明該相應設備或產(chǎn)品的真實性�����。因此��,可W將常規(guī)認證設備作為 反偽造方案來使用����。
[0004] 圖1示出了常規(guī)認證架構10的框圖�����,其中認證設備12與鑒定設備14通信�。認證 設備12包括對于認證設備12而言獨有的認證私鑰16和認證公鑰證書18��。認證公鑰證書 18包括識別信息20,該識別信息20包括與認證設備12的身份和/或認證設備12所附著 的另一設備或產(chǎn)品(未示出)的身份有關的信息�。認證設備12也可W包括一個或更多個 可選的中間證書22, W將認證公鑰證書18與鑒定設備14中存儲的可信根認證證書24相聯(lián) 系?�?尚鸥J證證書24形成針對認證證書鏈的信任根(the root of trust)�����。
[0005] 常規(guī)認證過程典型地包括執(zhí)行認證協(xié)議,其中認證設備12向鑒定設備14證明其 知道認證私鑰16��。在該認證過程期間鑒定設備14使用來自認證公鑰證書18的公鑰來確定 認證設備12是否知道認證私鑰16�����。該認證過程也稱為挑戰(zhàn)-響應協(xié)議�����。然后��,鑒定設備 14鑒定認證公鑰證書18��。該鑒定包括對關于認證設備12和/或其所連接的設備的身份的 信息進行鑒定����。如果在認證證書鏈中存在多個證書,則鑒定設備14也使用來自認證證書鏈 中下一證書的公鑰來鑒定認證證書鏈中的每個證書�����,直到達到認證根證書24�����。
[0006] 雖然常規(guī)認證系統(tǒng)在某些方面是有效的,但是常規(guī)認證系統(tǒng)的其他方面帶來不必 要的局限���。例如��,認證公鑰只能由認證證書鏈中下一證書的認證私鑰的所有者來產(chǎn)生�����。此 夕F�����,稍后無法更新(或者非常難W更新)認證公鑰證書�����。
[0007] 常規(guī)認證系統(tǒng)中實施的證書和簽名方案的多個方面也存在某些缺點。具體地����,典 型地通過對消息施加單向變換(散列)來創(chuàng)建經(jīng)由該消息的密碼簽名。然后用公鑰密碼算 法的認證私鑰對散列加密�����。多種常規(guī)簽名方案提供部分消息恢復,其中可W從簽名中恢復 受簽名的消息的一部分�����。該就產(chǎn)生了常規(guī)的證書格式����,其除了包含簽名之外還包含數(shù)量顯 著的元數(shù)據(jù)。具體地�,在無消息恢復(或僅部分消息恢復)的情況下使用散列和簽名方案 造成大多數(shù)或所有經(jīng)散列處理的文本與簽名一起發(fā)送,導致要存儲和/或傳輸大量數(shù)據(jù)����。 [000引描述裝置實施例。在一個實施例中�����,該裝置是認證設備�����。該認證設備包括存儲設 備和處理邏輯電路。存儲設備存儲數(shù)據(jù)���。處理邏輯電路配置為在存儲設備中存儲設備認證 私鑰��、設備認證公鑰證書和配置根證書����。處理邏輯電路還配置為根據(jù)設備認證協(xié)議�����,使用設 備認證私鑰和設備認證公鑰證書來促進向鑒定設備認證該認證設備���。處理邏輯電路還配置 為根據(jù)配置認證協(xié)議��,使用配置根證書來促進向認證設備認證配置設備���。還描述了裝置的 其他實施例。
[0009] 還描述了認證方法的實施例��。在一個實施例中�,認證方法包括在認證設備上存儲 設備認證私鑰�����。該認證方法還包括在認證設備上存儲設備認證公鑰證書。設備認證私鑰和 設備認證公鑰證書促進根據(jù)設備認證協(xié)議向鑒定設備認證該認證設備�。該認證方法還包括 在認證設備上存儲配置根證書。配置根證書促進根據(jù)配置認證協(xié)議向認證設備認證配置設 備�。還描述了認證方法的其他實施例。
[0010] 還描述了針對認證設備的配置方法的實施例�。在一個實施例中,配置方法包括初 始化認證設備上的認證參數(shù)W向鑒定設備認證該認證設備����。配置方法還包括鎖定認證設備 上的認證參數(shù)W排除與任何參數(shù)有關的其他初始化操作。配置方法還包括在鎖定認證參數(shù) 之后在認證設備處接收配置參數(shù)�����。配置方法還包括對配置參數(shù)進行認證�����。配置方法還包括 在認證設備上存儲配置參數(shù)��。還描述了配置方法的其他實施例��。
[0011] 還描述了一種用于創(chuàng)建輕量簽名(li曲twei曲t signature)的方法的實施例�����。在 一個實施例中,創(chuàng)建方法包括根據(jù)簽名格式形成格式化數(shù)據(jù)元素�。該簽名格式包括對數(shù)據(jù) 的表示W(wǎng)及用于存儲填充值的填充字段。包含填充字段的格式化數(shù)據(jù)元素具有比私鑰的加 密模量(encryption mo化lus)的數(shù)值小的數(shù)值�。在特定實施例中,填充字段包括格式化數(shù) 據(jù)元素的數(shù)值解釋(numerical inte巧retation)的最高有效位����。該方法還包括隨后使用 私鑰對格式化數(shù)據(jù)元素施加加密算法。還描述了配置方法的其他實施例��。
[0012] 描述了系統(tǒng)實施例�。在一個實施例中,系統(tǒng)是用于在認證構架中結合輕量證書來 創(chuàng)建和使用輕量簽名的系統(tǒng)��。該系統(tǒng)包括用于存儲數(shù)據(jù)和私鑰的存儲設備�����。該系統(tǒng)還包括 禪接至存儲設備的處理器���。該處理器配置為根據(jù)簽名格式形成格式化數(shù)據(jù)元素����。該簽名格 式包括對數(shù)據(jù)的表示W(wǎng)及用于存儲填充值的填充字段。包含填充字段的格式化數(shù)據(jù)元素具 有比私鑰的加密模量的數(shù)值小的數(shù)值�。在特定實施例中�����,填充字段包括格式化數(shù)據(jù)元素的 數(shù)值解釋的最高有效位���。該處理器還配置為隨后使用私鑰對格式化數(shù)據(jù)元素進行加密����。還 描述了系統(tǒng)的其他實施例�。
[0013] 從W下結合附圖的詳細描述中,本發(fā)明實施例的其他方面和優(yōu)點將顯而易見�����,附 圖示出了本發(fā)明原理的示例����。
[0014] 圖1示出了常規(guī)認證架構的框圖。
[0015] 圖2示出了認證設備建立過程的階段的一個實施例的框圖���。
[0016] 圖3示出了認證過程的一個實施例的框圖�����。
[0017] 圖4示出了包括配置設備的認證架構的一個實施例的框圖����。
[0018] 圖5A示出了初始化認證設備的初始化操作的一個實施例的流程圖。
[0019] 圖5B示出了初始化配置設備的另一初始化操作的一個實施例的流程圖��。
[0020] 圖6示出了配置操作的一個實施例的流程圖�����。
[0021] 圖7示出了配置設備的一個實施例的框圖��。
[0022] 圖8示出了認證操作的一個實施例的流程圖����。
[0023] 圖9示出了計算機的一個實施例的框圖。
[0024] 圖10示出了簽名創(chuàng)建引擎的一個實施例的框圖�����。
[0025] 圖11示出了簽名格式化方案的一個實施例的框圖����。
[0026] 圖12示出了簽名產(chǎn)生(si即ature generation)的一個實施例的流程圖���。
[0027] 圖13示出了簽名鑒定(si即ature verification)的一個實施例的流程圖。
[002引圖14示出了證書格式化方案的一個實施例的框圖����。
[0029] 圖15示出了證書鑒定(certificate verification)的一個實施例的流程圖��。
[0030] 圖16示出了挑戰(zhàn)-響應格式化方案的一個實施例的框圖�。
[0031] 圖17示出了響應產(chǎn)生(response generation)的一個實施例的流程圖。
[0032] 圖18示出了響應鑒定(response verification)的一個實施例的流程圖����。
[0033] 在W下描述中,類似附圖標記可W用于指示類似元素�。
[0034] 容易理解本文總體上描述并在附圖中示出的實施例的組成部分可W按照多種不 同配置來布置和設計。因此���,對圖中所示的多種實施例的W下具體描述不是旨在限制本公 開的范圍�,而僅僅表示多種實施例��。在圖中提供了實施例的多種方面���,除非特別指明�,否則 圖不一定是按照比例繪制的。
[0035] 本發(fā)明可W實施為其他具體形式而不背離本發(fā)明精神或必要特征�。所示實施例在 所有方面均應視為是示例性的而非限制性的。因此��,本發(fā)明的范圍由所附權利要求而非具 體描述來表示�����。在權利要求等同物的含義和范圍內(nèi)的所有變化均應涵蓋在權利要求的范圍 內(nèi)���。
[0036] 整個說明書中對特征��、優(yōu)點的引述或類似表述不是意味著利用本發(fā)明可W實現(xiàn)的 所有特征和優(yōu)點應該在本發(fā)明的任何單個實施例中���。而是,對于特征和優(yōu)點的表述應理解 為結合實施例描述的具體特征�、優(yōu)點或特性包括在本發(fā)明的至少一個實施例中。因此整個 說明書中對特征����、優(yōu)點的討論或類似表述可W但不一定指示相同實施例。
[0037] 此外����,可W在一個或多個實施例中按照