[发明专利]检验对象真伪的方法、设备和系统

说明书

发明领域

本发明涉及向验证者求证示证者的真伪的方法。本发明还涉及证明真伪的对象，该对象包括：使用物理令牌生成秘密S的秘密生成模块。本发明还涉及向检验真伪的设备求证对象的真伪的系统。

背景技术

由于伪造和盗版对象所造成的收入损失对厂商是严重的经济威胁，对卖主也同样地是严重的经济威胁。已知的容易遭伪造的产品遍布在从手表、衣服、鞋、珠宝、CD、DVD到软件的范围内。

对于诸如通行证、驾驶证和钞票等凭证来说，真伪的证明也是一个重要的问题。这些凭证意义重大，因此价值不菲。通行证和钞票是已经具备了很多手段来验证真伪的证件的好例子。

容易遭受伪造和盗版的产品没有明确的定义，然而存在一些共同性：它们是人们想要的，并且通常在获取真实产品时需要付出代价或者努力。为了应对伪造和盗版，合法的卖主已经向他们的产品添加了验证真伪的手段，例如全息标签(holographic sticker)。

在US2003/0063772中，提出了一种用于认证包括光学活性介质的工件的方法。所述方法能用于证实工件的合法性。使用字符串来证实合法性，所述字符串至少部分地基于包括或者嵌入工件的一部分或者多部分的光学活性介质的光学特性。

该方法的问题是：当证实工件的真伪时，暴露了来自工件的信息，特别是来自所述光学活性元件的回答。所述信息能够用于复制工件或者它的行为。

发明内容

本发明的目的是使用物理令牌向验证者(verifier)提供示证者(prover)真伪的足够证明，其减少了暴露关于发给验证者的对物理令牌的回答的信息。

-该目的在引言所提出的方法中得以实现，所述方法包括以下步骤：由示证者使用物理令牌生成秘密S；由验证者获取已经使用函数F从秘密S中导出的公开值PV，其中选取函数F以使得给定公开值PV时秘密S的确定需要高昂的计算量；在示证者和验证者之间实施零知识协议，从而以预定概率向验证者证明示证者能访问物理令牌，其中示证者使用秘密S而验证者使用公开值PV。

在使用物理令牌来证明真伪的传统方法中，物理令牌的唯一特征用来充分证明示证者能访问物理令牌。为此，使用挑战回答手段来挑战物理令牌，以便根据物理令牌得到唯一回答。然后由验证者使用该唯一回答来检验示证者的真伪。在这一处理中，回答暴露给验证者和/或其他存心不良的当事人。

相比之下，本发明的目的是根据回答生成秘密S。该秘密S用来生成伴随的公开值PV。公开值PV可以连同秘密S一起用于实施零知识协议。零知识协议可以从本领域技术人员公知的多个零知识协议中选取。

零知识协议利用这样的事实：对示证者进行挑战，以使得只有能访问秘密的示证者能够正确以及可靠地回答。通过使用从秘密S中导出的公开值PV，验证者能够检验示证者的回答是否正确。公开值PV是使用函数F从秘密S中导出的。为了不暴露秘密S，函数F的选择必须使得在给定公开值PV时秘密S的计算需要高昂的计算量。

通过重复地挑战示证者以及检验它的回答，验证者还可以减少存心不良的示证者能够通过连续猜测正确答案而进行行骗的概率。可以事先以处于[0，1)范围内的预定概率来确定阻碍存心不良的用户所需要的迭代的精确次数。

为此，本发明以减少向验证者暴露关于的物理令牌的回答的信息的安全方式来提供示证者真伪的足够证明。

为了从秘密S中生成公开值PV，优选实施例将应用单向函数，或者陷门单向函数。单向函数是在一个方向上的计算比在相反方向上的显著容易的数学函数。单向函数能够用于在几秒钟(或几十分之一秒)内从秘密S中计算出公开值PV。然而，给定公开值PV时计算秘密S可能需要花费几个月甚至几个世纪。陷门单向函数是给出特定信息时逆方向的计算容易的单向函数，但是在没有给出特定信息时却很困难。大多数公钥秘密系统都基于(假定)陷门单向函数。

本发明的实施例使用物理令牌建立秘密S。为此，物理令牌可以与挑战回答模块合并。挑战回答模块向物理令牌提出挑战C。令牌用回答R作为回应，回答R是由挑战回答模块分派的。该分派的回答用来生成秘密S。虽然有可能直接使用分派的回答R，但是通常还需要作进一步的处理，以改善对噪音的鲁棒性。这样的处理包括使用所谓的助手数据(helper data)。

助手数据可以用于：

1.随机化目的

助手数据可以用于随机化物理令牌的回答。通过存储用于特定挑战的预定随机数据，有可能合并助手数据和分派的回答，以便随机化合并后的数据，并且使合并后的数据与来自物理令牌的回答R不再相关。