專利名稱：：認(rèn)證射頻識別及其密鑰分配系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及射頻識別(radiofrequencyidentification,RFID)標(biāo)簽以及RFID認(rèn)證系統(tǒng)，且特別適用于對RFID標(biāo)簽進(jìn)行簽名和認(rèn)證。
背景技術(shù)：
：按照傳統(tǒng)，庫存和商品等物品一直一皮給予一個相關(guān)的標(biāo)識，以讓該物品可被追蹤、識別及/或監(jiān)控。最近，在提供這種標(biāo)識方面，條形碼正逐漸被RFID技術(shù)取代。RFID的優(yōu)點(diǎn)在于，它提供了一種自動識別系統(tǒng)，而不需要用戶或機(jī)器找到條形碼標(biāo)簽然后以一種特定的方式掃描該條形碼。RFID依賴于使用通常被稱為RFID標(biāo)簽或RFID應(yīng)答器的裝置來進(jìn)行數(shù)據(jù)的存儲和遠(yuǎn)程獲耳又。RFID標(biāo)簽是一種可被貼到或加入產(chǎn)品中或甚至是活體(例如動物)上以利用無線電波進(jìn)行識別的物體。業(yè)界已有包含硅芯片和天線的基于芯片的RFID標(biāo)簽。RFID標(biāo)簽可以是無源或有源的。無源RFID標(biāo)簽不需要內(nèi)部電源。通過輸入的射頻信號在天線內(nèi)感應(yīng)得到的相對較小的電流為標(biāo)簽內(nèi)的電路提供足夠的啟動和傳送應(yīng)答所需的電力。經(jīng)常，無源標(biāo)簽通過反向散射(backscatter)來自讀取器的載送信號而發(fā)出信號，因此，天線被設(shè)計(jì)成用以既收集來自輸入信號的電力，也發(fā)送射出的反向散射信號。由于不需要板載電源，無源RFID標(biāo)簽可以更小，其實(shí)施更符合成本效益。有源RFID標(biāo)簽具有內(nèi)部電源，該內(nèi)部電源用于為標(biāo)簽上的用于產(chǎn)生輸出信號的任何電路供電。已經(jīng)發(fā)現(xiàn)，相對于無源RFID標(biāo)簽而言，因?yàn)橛性礃?biāo)簽可與讀取器進(jìn)行"會話"，因而具有更高的可靠性。由于具有板載電源供應(yīng)，有源RFID標(biāo)簽可以傳送更大功率的信號，使它們在RF信號傳輸比較困難的區(qū)域，例如水中，可以更有效地傳輸并可傳輸較長的距離。板載電源供應(yīng)需要更大的空間，因此有源RFID標(biāo)簽尺寸一般較大，也比無源RFID標(biāo)簽昂貴。RFID系統(tǒng)一般包括標(biāo)簽、標(biāo)簽讀取器以及支持性基礎(chǔ)架構(gòu)。RFID系統(tǒng)的目的是使數(shù)據(jù)能夠利用移動裝置(標(biāo)簽)進(jìn)行傳輸，其中該移動裝置被RFID讀取器讀取并處理。處理量和數(shù)據(jù)的性質(zhì)很大程度上是由其應(yīng)用決定。例如，標(biāo)簽傳送的信息可提供被貼上該標(biāo)簽的物品的識別或位置信息，或其規(guī)格。在一些典型的應(yīng)用，例如庫存追蹤應(yīng)用中，RFID系統(tǒng)使用尺寸小且成本低的標(biāo)簽，貼到將要被追蹤的物體上。該標(biāo)簽包含一個應(yīng)答器，該應(yīng)答器具有被賦予一個唯一碼(例如，產(chǎn)品碼)的存儲器。讀取器發(fā)出信號啟動該RFID標(biāo)簽，使得該讀取器可讀取和寫入數(shù)據(jù)至該標(biāo)簽中。當(dāng)RFID標(biāo)簽通過由該發(fā)射的信號形成的電磁區(qū)時，該標(biāo)簽偵測到讀取器的啟動信號。讀取器對在標(biāo)簽的存儲器內(nèi)編碼的數(shù)據(jù)進(jìn)行解碼，然后該數(shù)據(jù)被傳輸至該支持性基礎(chǔ)架構(gòu)用于其特定用途。RFID技術(shù)不僅在減輕追蹤庫存和商品時的人力物力方面越來越受歡迎，在解決安全問題方面，例如打擊假冒偽劣產(chǎn)品方面，也越來越受到歡迎。這些安全問題在醫(yī)藥產(chǎn)業(yè)對于改善醫(yī)藥供應(yīng)鏈的安全以及提高病人的安全已經(jīng)變得越來越重要。目前的做法包括增加一層認(rèn)證至該供應(yīng)鏈中的醫(yī)藥中，特別是結(jié)合使用公鑰基礎(chǔ)架構(gòu)(public-keyinfrastructure,PKI)與RFID系統(tǒng)，這種做法在2005年1月發(fā)表的題為《利用RFID和PKI技術(shù)來保障醫(yī)藥供應(yīng)鏈安全》的白皮書RFIDPH01中有過討論，該文作者為德州射頻識別(TI-RFIDTM)系統(tǒng)公司的約瑟夫'皮爾森。認(rèn)證RFID系統(tǒng)，例如上述白皮書中所描述的系統(tǒng)讓標(biāo)簽可在供應(yīng)鏈的一個或多個階段被認(rèn)證以在整個過程中確保供應(yīng)鏈的完整性。上述實(shí)施方案要求RFID標(biāo)簽必須足夠大以能夠存儲相對較大的簽名，例如1024位數(shù)字Rivest-Shamir-Adleman(RSA)簽名，這可能因成本太高而無法實(shí)施。因此，在保證標(biāo)簽不會因成本太高而無法使用的前提下，被認(rèn)證的RFID標(biāo)簽進(jìn)行RSA簽名后，可能只能容納一個簽名。即使是只想要一個簽名，也仍然需要相對較大的標(biāo)簽。在不進(jìn)一步增加標(biāo)簽大小的情況下，使用這種相對較大的RSA簽名也使得在相同標(biāo)簽上使用多個簽名不可行，而進(jìn)一步增加標(biāo)簽尺寸將使得成本更高而更加不可能實(shí)施。因此，下文的一個目的是消除或i爰解上述這些缺點(diǎn)。
發(fā)明內(nèi)容—方面，本發(fā)明提供了一種提高射頻識別標(biāo)簽安全性的方法，包括獲得RFID標(biāo)簽以及使用橢圓曲線(EC)加密算法對上述RFID標(biāo)簽簽名。上述方法可使用ECPVS或ECDSA簽名算法來執(zhí)行。另一方面，本發(fā)明提供了一種射頻識別(RFID)標(biāo)簽，其包括橢圓曲線加密簽名。另一方面，本發(fā)明提供了一種對RFID標(biāo)簽簽名的方法，該方法包括獲得將被寫入上述標(biāo)簽中的第一組數(shù)據(jù)，上述第一組數(shù)據(jù)包含對未授權(quán)的RFID讀取器隱藏的信息；將上述第一組數(shù)據(jù)作為可恢復(fù)部并入具有信息恢復(fù)的簽名方案中；以及利用具有對應(yīng)驗(yàn)證密鑰的私鑰將簽名寫入上述標(biāo)簽；其中上述第一組數(shù)據(jù)僅可通過允許訪問上述驗(yàn)證密鑰的授權(quán)RFID讀取器來恢復(fù)。另一方面，本發(fā)明提供了一種RFID簽名站，包括讀取RFID標(biāo)簽的RFID讀取器和寫入簽名至上述RFID標(biāo)簽的加密模塊，上述加密模塊構(gòu)造成用以獲得將要被寫入上述標(biāo)簽中的第一組數(shù)據(jù)，上述第一組數(shù)據(jù)具有對未授權(quán)的RFID讀取器隱藏的信息；將上述第一組數(shù)據(jù)作為可恢復(fù)部并入具有信息恢復(fù)的簽名方案中；以及利用具有對應(yīng)驗(yàn)證密鑰的私鑰將簽名寫入上述標(biāo)簽；其中上述第一組數(shù)據(jù)僅可通過允許訪問上述驗(yàn)證密鑰的^受權(quán)RFID讀取器來恢復(fù)。另一方面，本發(fā)明提供了一種認(rèn)證RFID標(biāo)簽的方法，包括獲得上述標(biāo)簽，上述標(biāo)簽上有具有至少一個分量的簽名，上述分量加密第一組數(shù)據(jù)，上述標(biāo)簽具有為明文的第二組數(shù)據(jù)；獲得驗(yàn)證密鑰；使用上述驗(yàn)證密鑰解密上述至少一個分量以獲得上述第一組數(shù)據(jù)；以及檢查上述第一組數(shù)據(jù)的預(yù)定特性以驗(yàn)證上述簽名，/人而認(rèn)證上述標(biāo)簽。另一方面，本發(fā)明提供了一種RFID讀取器，包括用于驗(yàn)證RFID標(biāo)簽上的EC加密簽名的加密模塊，上述加密模塊構(gòu)造成用以獲得上述標(biāo)簽，上述標(biāo)簽上有具有至少一個分量的簽名，上述分量加密第一組^:據(jù)，上述標(biāo)簽具有為明文的第二組^據(jù)；獲得驗(yàn)證密鑰；使用上述-驗(yàn)證密鑰解密上述至少一個分量以獲得上述第一組數(shù)據(jù)；以及檢查上述第一組數(shù)據(jù)的預(yù)定特性以驗(yàn)證上述簽名，從而認(rèn)證上述標(biāo)簽。另一方面，本發(fā)明提供了一種為認(rèn)證RFID系統(tǒng)中的多個RFID讀取器管理驗(yàn)證密鑰的方法，包括確定一組許可，上述許可指征上述多個RFID讀取器中的其中哪一個或多個RFID讀取器被允許認(rèn)證一個或多個產(chǎn)品類型；根據(jù)這組許可，為上述多個讀取器中的一個或多個讀取器準(zhǔn)備一組驗(yàn)證密鑰，每個驗(yàn)證密鑰與特定產(chǎn)品類型相關(guān)聯(lián)；以及分配每組驗(yàn)證密鑰至對應(yīng)的RFID讀取器。另一方面，本發(fā)明提供了一種密鑰管理系統(tǒng)，用于具有多個RFID讀取器的認(rèn)證RFID系統(tǒng)中，上述密鑰管理系統(tǒng)構(gòu)造成用以確定一組許可，上述許可指征上述多個RFID讀^^器中的其中哪一個或多個RFID讀取器#1允許讀取一個或多個具有對應(yīng)RFID標(biāo)簽的產(chǎn)品類型；根據(jù)這組許可，為上述多個讀取器中的一個或多個讀取器準(zhǔn)備一組驗(yàn)證密鑰；以及分配上述驗(yàn)證密鑰至上述讀取器。另一方面，本發(fā)明提供了一種產(chǎn)生聚合數(shù)字簽名的方法，包括通過使用第一加密密鑰加密第一數(shù)據(jù)部來產(chǎn)生第一簽名分量；才艮據(jù)上述第一簽名分量和第二數(shù)據(jù)部來產(chǎn)生第一中間簽名分量；根據(jù)上述第一中間簽名分量和第一私鑰來產(chǎn)生第二簽名分量；通過使用第二加密密鑰加密上述第一和第二簽名分量的其中之一來產(chǎn)生第三簽名分量；根據(jù)上述第三簽名分量和上述第二數(shù)據(jù)部來產(chǎn)生第二中間簽名分量；根據(jù)上述第二中間簽名分量和第二私鑰來產(chǎn)生第四簽名分量；以及將上述第一和第二簽名分量的其中另一以及上述第三和第四簽名分量作為上述數(shù)字簽名而輸出。另一方面，本發(fā)明提供了一種驗(yàn)證聚合數(shù)字簽名的方法，包括獲得上述數(shù)字簽名，上述數(shù)字簽名具有第一簽名分量和至少一個第二簽名分量，上述第一簽名分量使用相應(yīng)的加密密鑰加密至少一個其它簽名分量，上述至少一個其它簽名分量中的第一個分量加密第一數(shù)據(jù)部，每個第二簽名分量要么是根據(jù)上述第一簽名分量產(chǎn)生的，要么是根據(jù)上述至少一個其它簽名分量中的相應(yīng)一個以及相應(yīng)的私鑰而產(chǎn)生的；使用上述第一簽名分量和第二數(shù)據(jù)部來產(chǎn)生第一解密密鑰并解密上述第一簽名分量以獲得被恢復(fù)的簽名分量；使用上述被恢復(fù)的簽名分量并通過產(chǎn)生一個或多個之后的解密密鑰來恢復(fù)與上述至少一個其它簽名分量對應(yīng)的額外簽名分量；從上述至少一個其它簽名分量的第一個中恢復(fù)上述第一數(shù)據(jù)部的代表；以及檢查上述第一數(shù)據(jù)部的代表是否具有預(yù)定特性以驗(yàn)證上述數(shù)字簽名。另一方面，本發(fā)明提供了一種在多個簽名階"^殳產(chǎn)生聚合數(shù)字簽名的方法，包括產(chǎn)生一對初始的簽名分量；在下一組簽名分量中加密上述初始分量對中的一個分量，上述下一組簽名分量包括上述初始分量對中的另一個分量和兩個新簽名分量；以及對于之后的簽名階段，加密前一個簽名分量并產(chǎn)生另外的新簽名分量，其中上述前一個簽名分量依次加密另一個之前的簽名分量；其中，在每一階段的上述數(shù)字簽名的簽名分量的數(shù)量比簽名階段的總數(shù)量多一個。另一方面，本發(fā)明提供了一種用于產(chǎn)生聚合數(shù)字簽名的方法，包括使用第一值產(chǎn)生第一簽名分量，其中上述第一值是從多個簽名者中的每一個簽名者貢獻(xiàn)的各自的第一值中得到；使用第二值產(chǎn)生第二簽名分量，其中上述第二值是從上述多個簽名者中的每一個簽名者貢獻(xiàn)的各自的第二值中得到；以及輸出具有上述第一簽名分量和上述第二簽名分量的上述數(shù)字簽名。另一方面，本發(fā)明提供了一種驗(yàn)證聚合數(shù)字簽名的方法，包括獲得上述數(shù)字簽名，上述數(shù)字簽名具有使用第一值產(chǎn)生的第一簽名分量和使用第二值產(chǎn)生的第二簽名分量，上述第一值是從多個簽名者中每一個簽名者貢獻(xiàn)的各自第一值中得到的，上述第二值是從上述多個簽名者中每一個簽名者貢獻(xiàn)的各自第二值中得到的；組合上述多個簽名者中的相應(yīng)簽名者的各自公有值以產(chǎn)生組合公鑰；以及在簽名驗(yàn)證過程的至少一個步驟中使用上述組合公鑰。另一方面，本發(fā)明提供了用于執(zhí)行上述方法的加密處理器和計(jì)算機(jī)可讀介質(zhì)。以下僅以舉例的方式結(jié)合附圖來描述本發(fā)明的實(shí)施例，其中圖1是認(rèn)證RFID系統(tǒng)的示意性方框圖。圖2是圖1所示的認(rèn)證機(jī)構(gòu)(CA)、簽名站和驗(yàn)證站的示意性方框圖。圖3是一般RFID標(biāo)簽的示意圖。圖4是兩種不同的RFID識別(ID)碼的方框圖。圖5是256位RFID標(biāo)簽的示意圖。圖6是密鑰分配程序的流程圖。圖7是簽名程序的流程圖。圖8是圖7的編程程序的流程圖。圖9是驗(yàn)證程序的流程圖。圖10是用于在認(rèn)i正RFID系統(tǒng)內(nèi)分配密鑰的密鑰管理系統(tǒng)及供應(yīng)鏈的生方框圖。圖11是圖IO的制造階段的示意性方框圖。圖12是圖IO的讀取器制造商的示意性方框圖。圖13是圖10的KMS的示意性方框圖。圖14是圖10的診所/藥房的示意性方框圖。圖15是密鑰產(chǎn)生和標(biāo)簽簽名過程的流程圖。圖16是讀取器注冊過程的流程圖。圖17是密鑰分配過程的流程圖。圖18是收入追蹤過程的流程圖。圖19是半聚合簽名產(chǎn)生方案的示意性方框圖。圖20是半聚合簽名驗(yàn)證方案的示意性方框圖。圖21是另一種半聚合簽名產(chǎn)生方案的示意性方框圖。圖22是另一種半聚合簽名驗(yàn)證方案的示意性方框圖。圖23是全聚合簽名產(chǎn)生方案的示意性方框圖。圖24是全聚合簽名驗(yàn)證方案的示意性方框圖。圖25是另一種聚合簽名產(chǎn)生方案的示意性方框圖。圖26是另一種聚合簽名驗(yàn)證方案的示意性方框圖。具體實(shí)施例方式認(rèn)證RFID系統(tǒng)以及供應(yīng)鏈范例如圖1,其示出一個認(rèn)證RFID系統(tǒng)10。所示的系統(tǒng)10包括認(rèn)證機(jī)構(gòu)(CA)12、任意N個RFID讀取器14以及任意T個簽名站16。其中，在一個實(shí)施例中，認(rèn)證機(jī)構(gòu)12用于簽發(fā)證書以控制公鑰的分配。RFID讀取器14沿供應(yīng)鏈22分布，用于讀取貼在物品18(例如，醫(yī)藥產(chǎn)品、消費(fèi)性產(chǎn)品、行李、移動通訊裝置等)上的RFID標(biāo)簽20。簽名站16用于將簽名寫入RFID標(biāo)簽20中以為標(biāo)簽20建立電子履歷。每個讀取器14產(chǎn)生激活標(biāo)簽20的射頻(RF)場26。在本范例中，優(yōu)選的是，這些標(biāo)簽20是無源的。應(yīng)當(dāng)理解的是，如果在特定應(yīng)用中，這些花費(fèi)是有必要的，這些標(biāo)簽20也可以是有源的。優(yōu)選的是，CA12通過通信信道24與讀取器14和簽名站16進(jìn)行通信以通過證書簽發(fā)來進(jìn)行密鑰分配以及必要的進(jìn)行日志報告。通信信道24可以是電子形式，例如局域網(wǎng)或廣域網(wǎng)(安全網(wǎng)絡(luò)或設(shè)有加密措施的非安全網(wǎng)絡(luò))，或者可以利用分發(fā)如CD-ROM碟片這樣的介質(zhì)或者部署技師等方式來實(shí)施。因此，應(yīng)當(dāng)理解的是，讀取器14和簽名站16可在網(wǎng)絡(luò)中協(xié)同工作，或者可以是作為實(shí)質(zhì)上相互獨(dú)立的單機(jī)來運(yùn)作。在一些應(yīng)用中，可能這些讀取器14和簽名站16中的個別之間沒有關(guān)系或基本上沒有關(guān)系，使得他們處在不同方的控制之下。因此，每一方可被要求與CA12單獨(dú)聯(lián)系和通信，以讓每個讀取器14能夠驗(yàn)證簽名站所寫入的簽名。應(yīng)當(dāng)理解的是，CA12的參與只是其中一種實(shí)施方式，如將要在后面討論的，也可以使用任何其它管理或控制實(shí)體。圖2的示意性方塊圖示出了CA12、簽名站16和讀取器14之間的密鑰分配的一4殳實(shí)施例。CA12為簽名站16和讀耳又器14兩者簽發(fā)證書。CA12也能夠簽發(fā)子CA(sub-CA)證書使得其它CA(圖未示)可以簽發(fā)讀取器證書。這些證書用于分配和馬全證公鑰，而且證書通常不是存儲在RFID標(biāo)簽20中。由于這些證書不是存儲在標(biāo)簽20中，所有簽名讀取器16的整個證書鏈都被分配至每個讀取器14，使得它們可驗(yàn)證寫入標(biāo)簽20中的每個簽名。CA12包括用于執(zhí)行加密運(yùn)算和產(chǎn)生證書的加密模塊30。CA12還包括用于存儲密鑰和證書的安全存儲裝置32。每個CA12具有CA證書Cca，并存儲簽名站16的公鑰『w、讀取器Z!-n的公鑰以及待分配的相應(yīng)證書CSIGN1-T和CVER1.N。一般而言，y'表示特定的簽名站16，其中y是從l至T的一個數(shù)字，/表示特定的讀取器14,其中/是從1至N的一個數(shù)字(根據(jù)圖l所示的任意標(biāo)示)。在一個實(shí)施例中，CA12產(chǎn)生讀取器14的私鑰(其對應(yīng)于相應(yīng)公鑰ZhN)并將這些私鑰以整批加密的方式連同證書CvHU-N—起提供至讀取器14的制造廠商。因?yàn)镃A12可以規(guī)定產(chǎn)生這些密鑰的操作者不能通過未經(jīng)加密的路徑來訪問這些私鑰，因此本實(shí)施例提供了額外的措施來保障這些密鑰的完整性。后面將結(jié)合圖11來討論私鑰的提供和讀取器14的制造。簽名站16連接至RFID讀取器，能夠利用加密^t塊30a產(chǎn)生橢圓曲線加密(ellipticcurvecryptography,ECC)簽名并將這些簽名寫入RFID標(biāo)簽20。優(yōu)選的是，這些簽名站16并不用于驗(yàn)證來自其它簽名者16的簽名，因此通常在簽名和驗(yàn)證時，都不需要訪問其它RFID讀取器的證書。圖2所示的被稱為簽名站1的簽名站16具有存儲在密鑰存儲器34中的私/公鑰對(w/，W)和一個ECC加密模塊30a。優(yōu)選的是，私鑰w;存儲在安全硬件中并利用密碼或其它機(jī)制來保護(hù)。讀取器14用于驗(yàn)證簽名站16寫入標(biāo)簽20中的簽名，通常不用于或不能產(chǎn)生簽名。優(yōu)選的是，每個讀取器14都有自己的密鑰對，例如讀取器1具有(Z7，Z/)。私鑰z;用于解密簽名者證書CSIGN1,公鑰Z/對應(yīng)于私鑰^，并具有對應(yīng)的證書CVER1。讀取器14還存儲有CA證書CcA的副本以及針對各簽名站16的經(jīng)驗(yàn)證的公鑰巧列表。讀取器14還具有一個加密模塊30a，該加密模塊30a能夠驗(yàn)證證書和驗(yàn)證ECC簽名。使用橢圓曲線加密法的RFID認(rèn)證方案圖3示出了一個一般的RFID標(biāo)簽20。標(biāo)簽20主要用于數(shù)據(jù)存儲。標(biāo)簽20的固件在制造階段就被鎖住。因此，這些標(biāo)簽20—旦出廠后就只對一組固定的命令作出響應(yīng)。這些命令用于讀取、寫入以及鎖住數(shù)據(jù)塊。圖3描繪了這種標(biāo)簽20的一種典型的存儲器結(jié)構(gòu)。在圖3所示的范例中，標(biāo)簽20被分成多個32位的塊，而每個塊具有兩個鎖定位，即一個制造商鎖定位(F)和一個用戶鎖定位(U)。在制造時，標(biāo)簽20被給予一個序列號，在本范例中，該序列號占用2個塊或64位。優(yōu)選的是，序列號是由被信任的一方燒入只讀存儲器(ROM)中以確保每個標(biāo)簽20是唯一的。在制造時，配置數(shù)據(jù)也被加入到標(biāo)簽20中，在本范例中，配置數(shù)據(jù)占用一個塊的所有或一部分位(即，最多32位)。在例如醫(yī)藥供應(yīng)鏈這樣的應(yīng)用中，根據(jù)適當(dāng)?shù)臉?biāo)準(zhǔn)和法規(guī)，產(chǎn)品具體信息，例如產(chǎn)品類型標(biāo)識，也^皮加入。在本范例中，產(chǎn)品類型標(biāo)識占用3個塊或96位。標(biāo)簽20的剩余存儲空間專門用于存儲用戶數(shù)據(jù)，而用戶數(shù)據(jù)可包括例如數(shù)字簽名?？梢钥闯?，圖3示出了任意N塊的用戶^據(jù)。因此，常用的2048位標(biāo)簽將提供64個數(shù)據(jù)塊用于存儲簽名。256位標(biāo)簽將提供8個數(shù)據(jù)塊。圖5示出一種供認(rèn)證RFID系統(tǒng)使用的256位標(biāo)簽20的范例。本范例中的序列號是唯一標(biāo)識符(UID)，其在工廠被編程并被鎖定，對每個標(biāo)簽20而言是唯一的，且通常如圖所示具有64位。配置數(shù)據(jù)包括數(shù)據(jù)存儲格式標(biāo)識符(DSFID)和應(yīng)用程序系列標(biāo)識符(AFI)，其中DSFID用于識別用戶數(shù)據(jù)如何編碼以及如何存儲在標(biāo)簽20上，AFI可被用于識別該UID與多個編碼系統(tǒng)中的哪個相關(guān)聯(lián)(如果適用)。在本范例中，DSFID和AFI每個占用8位，因此，如果他們被寫入相同的塊，將出現(xiàn)16個空位，如果他們被寫入兩個分開但連續(xù)的塊中，則可能出現(xiàn)48個空位。在圖5中，產(chǎn)品類型標(biāo)識是％位的EPCglobal產(chǎn)品ID。如下面將要討論的，產(chǎn)品ID的至少一部分可包含與貼上標(biāo)簽20的產(chǎn)品18有關(guān)的敏感或機(jī)密信息，如果沒有適當(dāng)?shù)谋Ｗo(hù)措施，任何讀取器M都是假定可以讀取產(chǎn)品ID的這部分信息的，因此會造成私密性上的擔(dān)心。用戶數(shù)據(jù)提供8個塊用于256位標(biāo)簽的數(shù)字簽名?？梢岳斫獾氖牵琑SA簽名太大而無法寫入這樣一個256位標(biāo)簽20中，其必須使用一個更大的標(biāo)簽，例如2048位標(biāo)簽20。也可以理解的是，RSA簽名對于其它大小的標(biāo)簽20，例如512位的標(biāo)簽而言也會太大。而且，當(dāng)從原始標(biāo)簽中讀取后，RSA簽名可以被復(fù)制并寫入另一個標(biāo)簽中。然而，由于標(biāo)簽20是唯一的，不能重新編程，復(fù)制的簽名將無法通過驗(yàn)證。從圖3可以看出，例如RSA這樣的簽名將占用標(biāo)簽20的相當(dāng)大的一部分(或者要求其具有相對較大數(shù)目的用戶數(shù)據(jù)塊)，在可負(fù)擔(dān)的成本條件下，標(biāo)簽20僅可容納一個簽名。簽名可能在制造過程中形成嚴(yán)重的瓶頸。因此，業(yè)界希望在維持類似安全等級的情況下，用更小的簽名來代替RSA簽名。1024位RSA簽名需要相對較大的RFID標(biāo)簽(例如，2048位)，而這樣容量的RFID標(biāo)簽只能容納一個簽名。為了突破這種瓶頸，讓多個簽名能夠存儲在同一個RFID標(biāo)簽20(例如，代表制造過程的不同階段)中，以及能夠使用更小(因此更便宜)的RFID標(biāo)簽20,我們需要使用具有類似安全性但尺寸更小的簽名。通過以下分析已經(jīng)認(rèn)識到，橢圓曲線加密(ECC)簽名特別適合于提供這些功能和優(yōu)點(diǎn)。ECC是在有限域上的橢圓曲線上的點(diǎn)定義的代數(shù)系統(tǒng)中來實(shí)現(xiàn)的。使用ECC的加密方案是基于有限群的離散對數(shù)問題的難解性。在一個范例中，這種ECC加密系統(tǒng)的域參數(shù)是曲線/=x3+血+c和種子點(diǎn)(seedpoint)尸。該系統(tǒng)中的其中一個通信者具有私鑰a以及對應(yīng)的公鑰^=aP，0<a<w，其中w是點(diǎn)P的階。公鑰可由認(rèn)證機(jī)構(gòu)(CA)掌管。下列原則也適用于二進(jìn)制域i^,應(yīng)用場合。與RSA相比，ECC提供相同的安全性但具有更少的位數(shù)。下表摘自于2006年5月發(fā)表于國家標(biāo)準(zhǔn)與技術(shù)研究院的NIST特別刊800-57:密鑰管理建議書，第一部分總則(修訂)，其比較了在類似安全等級情況下的ECC和RSA的位大小。<table>tableseeoriginaldocumentpage24</column></row><table>4/.'W&4與五CC之比較為達(dá)到1024位RSA簽名的同樣安全等級，橢圓曲線加密應(yīng)該使用160位或更多位。在此描述的范例比較了使用橢圓曲線Pintsov-Vanstone簽名(ECPVS)方案和橢圓曲線數(shù)字簽名算法(ECDSA)與使用公鑰方案例如RSA的情形。應(yīng)當(dāng)理解的是，其它的ECC方案也適用。ECPVS是具有信息恢復(fù)的數(shù)字簽名方案，這意味著簽過名的信息中的一部分可通過簽名驗(yàn)證過程來被恢復(fù)。作為ANSI標(biāo)準(zhǔn)草案，ECPVS在正EE1363a-2004和ISO/正EE9796-3中有規(guī)定。在ECPVS中，待簽名的信息Af被視為兩個分開且不同的部分或數(shù)據(jù)組//和K(例如，IIF),其中/7是將要被隱藏于簽名中并將在驗(yàn)證過程中被恢復(fù)的信息或數(shù)據(jù)組，K是也被簽名但被不加密地(或以其它方式容易或者公開得到)發(fā)送并用于驗(yàn)證過程的信息或數(shù)據(jù)組。信息/Z只能由那些擁有特定驗(yàn)證密鑰的實(shí)體進(jìn)行恢復(fù)，信息F可被任何實(shí)體讀取，例如任何RFID讀取器14，即不需要驗(yàn)證簽名。ECPVS簽名產(chǎn)生算法通常從指定信息//的特性開始，其中該特性可在簽名驗(yàn)證過程中被驗(yàn)證以驗(yàn)證該簽名。例如，可以判斷信息H是否具有一定量的冗余而該冗余量是否高于足夠防止存在性偽造攻擊(existentialforgeryattack)的預(yù)定界限。如果判斷構(gòu)成信息M的原始數(shù)據(jù)含有足夠的冗余，則M可只是該數(shù)據(jù)的一個子集(subset)。如果沒有發(fā)現(xiàn)預(yù)定冗余，則H可被修改以人工加入冗余，例如額外的零。應(yīng)當(dāng)理解的是，一定量的冗余只是其中一個特性，也可以使用其它特性，例如可與已知和期待值進(jìn)行比較的任何數(shù)據(jù)串或組。例如，通常需要80位冗余來提供與1024位RSA相同的安全等級。因此，當(dāng)希望達(dá)到或超過1024位RSA的安全性時，優(yōu)選的是應(yīng)選擇80位冗余作為最低下限。然而，如下所討論的，可根據(jù)所想要的標(biāo)簽大小以及使攻擊簽名變得不經(jīng)濟(jì)或因其它原因被視為可以接受的最低安全等級來挑選所用的冗余量以適合于實(shí)際應(yīng)用。下面對ECPV簽名的產(chǎn)生進(jìn)行總結(jié)。首先，產(chǎn)生臨時密鑰對(k,Q)，其中Q-kG是橢圓曲線上的一個點(diǎn)，k是符合1Sk〈n的隨機(jī)整數(shù)，n是橢圓曲線基點(diǎn)G產(chǎn)生的群的階。接著，構(gòu)建密鑰ld二KDF(Q),其中KDF是密鑰導(dǎo)出函數(shù)。一^t殳而言，密鑰導(dǎo)出函數(shù)用于從秘密值和/或其它已知信息中導(dǎo)出一個密鑰。在ECPVS中，KDF使用Q點(diǎn)可能還有其它信息作為輸入，產(chǎn)生加密密鑰k"簽名實(shí)體然后計(jì)算第一簽名分量c=EM;,(//),即使用密鑰b對信息H進(jìn)行的加密，其中ENC是合適的加密方案，其使用明文(例如，H)作為輸入并利用密鑰l^加密H以產(chǎn)生密文c。接著，計(jì)算中間分量/7^Hash(cHF)，其中Hash是合適的散列函數(shù)，例如，SHA1。如果愿意，額外的信息可被力。入到中，額外的信息比如是驗(yàn)證簽名的各方可獲得或變得可獲得的信息(換句話說，驗(yàn)證者為了驗(yàn)證而另外需要的信息)，例如，簽名者的證書或識別信息。中間分量/z然后^^轉(zhuǎn)換成整數(shù)e。第二簽名分量i"然后使用合適的簽名算法進(jìn)行計(jì)算，該算法例如是Schnorr算法，其中s=e，+kmodn,w是簽名實(shí)體的長期私鑰，該簽名實(shí)體即為上述討論的范例中的簽名站。簽名結(jié)果就是(c，s，V)或(s，cllV)。下面說明了當(dāng)提供了簽名者的真實(shí)公鑰r之后對簽名(s,cllV)進(jìn)行的ECPV簽名驗(yàn)證。首先，中間分量/通過使用分量4IV和與簽名階段使用的相同的散列函數(shù)以及例如簽名者的識別信息之類的任何其它信息計(jì)算得到，其中/7=Hash(c||V)。接著，/z被轉(zhuǎn)換成整數(shù)e。然后，臨時公鑰Q的代表Q，使用整數(shù)e、簽名者的公鑰W、基點(diǎn)G以及簽名分量s計(jì)算得到，例如Q':sG-eW。接著，解密密鑰kr使用與簽名階段使用的相同的密鑰導(dǎo)出函數(shù)KDF(包括使用同樣的額外信息)計(jì)算得到，即kr=KDF(Q')。然后，隱藏部H的代表H'通過使用上述導(dǎo)出的密鑰以及互補(bǔ)解密函數(shù)DEC進(jìn)行恢復(fù)，即i/'-i^C^,(c)。然后，驗(yàn)證者可檢驗(yàn)例如H'中包含的冗余的指定特性(例如，特定的格式)。如果H'包含必要的特性，比如一定量的冗余，則H'是一個有效的信息，簽名通過驗(yàn)證。如果H'不包含必要的冗余，則回傳無效的簽名。因?yàn)樾畔是被細(xì)分成幾個部分，因此只需要其中一個部分(例如//)包含該必需的特性(例如冗余)以及被隱藏。其它部分r是與原始信息具有相同結(jié)構(gòu)的明文，因此可以提高帶寬效率。如此，對于RFID標(biāo)簽，可見部F可包括以其它方式可為RFID讀取器14所獲得的任何數(shù)據(jù)部。隱藏在c中的部分//只可被那些擁有簽名者的公鑰『的個體所獲得，而包含在F中的數(shù)據(jù)對所有人而言都可獲得。雖然在此描述的隱藏部分?jǐn)?shù)據(jù)以隱藏敏感信息的原理特別適合于將在以下舉例說明的醫(yī)藥供應(yīng)鏈，但應(yīng)當(dāng)理解的是，這些原理同樣適合于針對任何產(chǎn)品類型的RFID識別系統(tǒng)以及需要認(rèn)證和保障隱私或機(jī)密性的任何環(huán)境中。例如，下面的這些原理也適合于利用RFID技術(shù)進(jìn)行機(jī)場的行李追蹤、任何商品的追蹤或者移動裝置的用戶認(rèn)證，等等。在此描述的ECPVS在RFID系統(tǒng)10認(rèn)證中的使用使得，例如在定期掃描操作中，標(biāo)簽20上的部分識別信息可對未授權(quán)讀取器保密，但允許常規(guī)讀取器來讀取其余數(shù)據(jù)。這是因?yàn)閿?shù)據(jù)的某一部分可被隱藏在簽名中，而其它任何非敏感信息可以就像明文r一樣或作為明文「的一部分留在標(biāo)簽20上。而且，由于ECPVS簽名小于1024位RSA簽名，可以使用更小的標(biāo)簽來提供類似的安全性。例如，可根據(jù)具體應(yīng)用來使用512位標(biāo)簽或256位標(biāo)簽，所要求的安全等級和這些標(biāo)簽的有效性將更詳細(xì)地解釋如下。產(chǎn)品識別(ID)碼40(例如，EPCglobal碼)大致展示于圖4。在下面的討論中，ID碼40的大小假定為96位。變化形式(a)包括標(biāo)頭50a和序列號5h。變化形式(b)包括標(biāo)頭50b、序列號52b和產(chǎn)品ID54。產(chǎn)品ID54可為序列號52b的一部分或?yàn)椴煌拇a。該產(chǎn)品ID54顯示了貼有該標(biāo)簽20的產(chǎn)品的類型。在醫(yī)藥產(chǎn)業(yè)等產(chǎn)業(yè)中，使用變化形式(b)的ID碼40b—直被視為會造成隱私問題，因?yàn)樵揑D碼40b暴露了該產(chǎn)品是什么。因此，當(dāng)位于必要的范圍內(nèi)時，非法讀取器有可能辨識顧客正在購買什么藥品。這些隱私上的擔(dān)心在題為《FDA假冒偽劣藥品特別工作組報告2006更新》的一篇食品和藥品管理局(FDA)報告中討論過。這篇報告在某種程度上建議不要在RFID標(biāo)簽上顯示含有識別藥品信息的NDC號。因此，當(dāng)變化形式(b)的ID碼40b被使用時，業(yè)界希望加密或隱藏至少該產(chǎn)品ID54，以使非法讀取器無法辨識產(chǎn)品類型。已經(jīng)認(rèn)識到ECPVS能夠提供一個合適的ECC簽名方案(針對大小和效率而言)，通過指定ID碼40為待簽名的信息且將產(chǎn)品ID54指定為被隱藏并在驗(yàn)證過程中被恢復(fù)的H部分，該ECC簽名方案也可在簽名中隱藏該產(chǎn)品ID54。而且，使用ECPVS，無論是變化形式(a)還是變化形式(b)，整個ID碼40可被選擇作為//部分，而不可恢復(fù)的或可見部F可以是該UID。在一個簡單的范例中，ECPVS允許數(shù)字簽名存放在具有256位存儲空間(參見圖5)的RFID標(biāo)簽20中，如下表所示<table>tableseeoriginaldocumentpage27</column></row><table>42:fiCPFS的吝名義小在實(shí)際實(shí)施方案中，有一些問題需要考慮。首先，如果整個ID碼40被隱藏(將在簽名驗(yàn)證過程中被恢復(fù))，則不支持ECPVS或沒有正確么^鑰^的讀取器14將根本無法讀取ID碼40。該ID碼40本身可被分成可恢復(fù)部和非可恢復(fù)部(例如，產(chǎn)品ID54是可恢復(fù)部)，然而，可恢復(fù)部的冗余可能不足。如果ID碼40要被細(xì)分成幾個部分，如果需要額外的冗余，則RFID標(biāo)簽20可能需要更大容量，及/或?qū)⒁剿髟黾尤哂嗟钠渌绞?，例如填補(bǔ)(padding),以提供足夠的安全性。其次，IEEE標(biāo)準(zhǔn)1363a-2004規(guī)定可恢復(fù)信息H應(yīng)當(dāng)凈皮填補(bǔ)至少1個字節(jié)。如果希望符合該標(biāo)準(zhǔn)，就需要增加一個額外字節(jié)的存儲空間。再次，如果使用256位標(biāo)簽20，除非使用AFID中的一些未使用的位，標(biāo)簽20中可能沒有空間去存^f渚例如簽名時間等數(shù)據(jù)。最后，ID碼40中可能沒有足夠的冗余供驗(yàn)證者14去判斷該簽名是否有效。這時可能需要一些帶外(out-of-band)信息(例如，利用紙質(zhì)標(biāo)簽的可視化驗(yàn)證)。冗余的問題將通過下面的方式加以解決。如上所討論的，存在兩種類型的ID碼40a、40b。變化形式(a)的字段無法直接鏈接至產(chǎn)品。在變化形式(b)的碼40b中，產(chǎn)品ID54直接識別產(chǎn)品。因此，業(yè)界希望加密或隱藏至少該產(chǎn)品ID54,即通過〗吏該產(chǎn)品ID^成為至少該隱藏部//的一部分來實(shí)現(xiàn)?？梢岳斫獾氖?，根據(jù)具體應(yīng)用，該ID碼40可能沒有包含足夠的冗余以及可能嚴(yán)格要求字段的式樣或?qū)ψ侄问┘酉拗埔员苊夂灻麄卧炻┒?。使?60位曲線并將SHA-1作為散列函數(shù)時，典型的經(jīng)-險法則就是使用80位的冗余。然而，由于每個偽造的簽名是特定于一個特別的RFID標(biāo)簽20，使用更小的位數(shù)也可能是足夠的。而且，可能偽造簽名所需的計(jì)算能力和/或時間就高到足夠阻止偽造者去偽造簽名。安全等級應(yīng)當(dāng)根據(jù)實(shí)際應(yīng)用而定以提供足夠能力來阻礙這種偽造者。為提供與1024位RSA簽名同樣的安全等級，利用160位曲線的ECPVS簽名將適合于圖5所示的256位結(jié)構(gòu)。產(chǎn)品ID54(如果有)以及其它部分，例如ID碼40中包含冗余的部分，將構(gòu)成可恢復(fù)信息//。ID碼40的其余部分和UID則構(gòu)成非可恢復(fù)部F。應(yīng)當(dāng)可以從非可恢復(fù)部V獲得足夠的用于識別簽名站16的信息。例如，利用加密密鑰A:，簽名分量c可計(jì)算為c-ENC"產(chǎn)品ID+其它)。而且，利用作為可見部r的序列號和ID碼40的標(biāo)頭，中間分量/z可計(jì)算為/-HASH(cll序列號+標(biāo)頭)。在該范例中，任何讀取器14都可讀取該序列號和標(biāo)頭信息，但要解密該產(chǎn)品ID54，讀取器14必須獲取合適的驗(yàn)證密鑰(例如，W)。除非存在80位的冗余，否則ECPVS不能提供與1024位RSA簽名相同的抵御偽造簽名的水平。然而，由于每個偽造簽名僅對一個特定的RFID標(biāo)簽20適用，其它簽名將不會受到危及，因此低一些的抵御水平可能也是可以接受的。情況下執(zhí)行ECPVS,應(yīng)該依靠ID碼40的自身冗余來判斷該簽名是否有效。這可能包括規(guī)定ID碼40的某些式樣或結(jié)構(gòu)，或者使用一些帶外信息，例如參考產(chǎn)品數(shù)據(jù)庫。由于ID碼40的一部分是包含在可恢復(fù)部^中，不支持ECPVS的讀取器14就無法讀取整個ID碼40。為了執(zhí)行使用填補(bǔ)情況下的ECPVS，AFI、DSFID和用戶鎖定(U)位可被用于增加可恢復(fù)部//的冗余。例如，從圖5中可理解到，AFI(當(dāng)寫入其自身的塊)與DSFID字段一樣將具有24個未使用的位，用戶鎖具有8個未使用的位(如果不鎖定用戶數(shù)據(jù)塊是可以接受的)。這些位將可用于提供填補(bǔ)。雖然理想的填補(bǔ)水平是80位，如果針對該特別應(yīng)用更少的填補(bǔ)位就安全到足夠使偽造簽名不經(jīng)濟(jì)的話，也可以使用這個更少的填補(bǔ)位。使用額外的填補(bǔ)后，就可以不需要依靠ID碼40自身的冗余。因此，除產(chǎn)品ID54之外的整個碼40可被存儲為不可恢復(fù)信息F。所有讀取器14將能夠讀取ID碼40,但只有擁有正確公鑰的讀取器14才能恢復(fù)產(chǎn)品ID54。因此，可以看出，相比那些適合于RSA簽名的RFID標(biāo)簽，適合于ECPVS簽名的RFID標(biāo)簽20可以更小。通過才全查標(biāo)簽20內(nèi)的信息的數(shù)據(jù)結(jié)構(gòu)，利用冗余來填補(bǔ)未使用的塊可以提供變化等級的冗余。而且，如果ID碼40不需要被未授權(quán)的讀取器14來讀取，可以依靠ID碼40中的冗余，或者為了提供期望數(shù)量的冗余而添加冗余。因此，應(yīng)當(dāng)認(rèn)識到，在RFID標(biāo)簽20上使用ECC簽名可提供與RSA簽名類似的保護(hù)，但ECC簽名更小且更有效率。這允許使用更小的標(biāo)簽(或?qū)衫玫臄?shù)據(jù)塊進(jìn)行更有效地使用)和/或在同一個標(biāo)簽中存放多個簽名。這是使用RSA簽名時不可能達(dá)到的，因?yàn)樗麄冋w尺寸過大。應(yīng)當(dāng)理解的是，在此描述的關(guān)于使用ECPV簽名的原理同樣適合于其它具有信息恢復(fù)的簽名方案，例如具有信息恢復(fù)的橢圓曲線數(shù)字簽名(ECDSR),ECDSR在2007年9月4日申請的名稱為"具有機(jī)密信息恢復(fù)的簽名，，的美國臨時專利申請第_號中描述過，這件臨時專利申請的內(nèi)容在此以引用的方式并入本文中。當(dāng)使用ECDSR時，與上述所討論類似的有關(guān)安全性和標(biāo)簽尺寸的因素也應(yīng)當(dāng)考慮。在另一個實(shí)施例中，ECDSA簽名可用于為RFID標(biāo)簽20提供安全性，特別是在隱私不是一個重要問題的情況下應(yīng)用于變化形式(b)的ID碼卯b。ECDSA是一個廣泛標(biāo)準(zhǔn)化的基于橢圓曲線的簽名方案，出現(xiàn)在ANSIX9.62、FIPS186-2、IEEE1363-2000和ISO/IEC15946-2標(biāo)準(zhǔn)以及幾個標(biāo)準(zhǔn)草案中。ECDSA簽名產(chǎn)生運(yùn)算對幾個域參數(shù)、私鑰d和信息m進(jìn)行操作，并輸出簽名(r,力，其中r和s是整數(shù)。該算法總結(jié)如下。1.選擇/^[1,"-1],其中"是橢圓曲線基點(diǎn)產(chǎn)生的群的階，而且是其中一個域參數(shù)。2.計(jì)算fc尸(;q,力)并轉(zhuǎn)換;q為整數(shù)&,其中戶是橢圓曲線五上的一個點(diǎn)，而且是其中一個域參數(shù)。3.計(jì)算r-mod"，其中如果r-O,則回到步驟l。4.計(jì)算6=//(>),其中//表示密碼散列函數(shù)，其輸出的位長不超過n的位長(如果這個條件不滿足，則/f的輸出可被截斷。)。5.計(jì)算s-y^O+A)mod",其中如果s-0，則回到步驟l。6.將對(。力作為ECDSA簽名輸出。ECDSA簽名驗(yàn)證對幾個域參數(shù)、公鑰g、信息m和上述導(dǎo)出的簽名(n)進(jìn)行操作。ECDSA簽名驗(yàn)證輸出對該簽名是拒絕還是接受的結(jié)果，并按如下步驟進(jìn)行。1.驗(yàn)證r和s是否是區(qū)間[l,n-l]內(nèi)的整數(shù)。如果有任何驗(yàn)證失敗，則回答拒絕。2.計(jì)算eK3.計(jì)算vv二fmodw。4.計(jì)算w=ewmodw以及M2=rwmodw。5.計(jì)算i二MpP+M必6.如果^=00，則簽名被拒絕。7.轉(zhuǎn)4灸R的x坐才示:q為整凄t^;計(jì)算v=^mod"。8.如果v二r,則簽名被接受，如果不相等，則簽名被拒絕。如上所討論的，ECDSA簽名由兩個整數(shù)，即r和s構(gòu)成，兩者的大小都與橢圓曲線的基礎(chǔ)域大小相同。例如，使用160位曲線時，簽名大小是160x2=320位或者40字節(jié)。如杲信息M已用ECDSA簽名，則M、r和s^皮發(fā)送至驗(yàn)證者，在此假定該驗(yàn)證者已經(jīng)擁有正確的公鑰g。與使用RSA相比，在認(rèn)證RFID系統(tǒng)10中使用ECDSA減少了數(shù)字簽名的讀/寫次數(shù)，然而ECDSA不能提供ECPVS的保護(hù)隱私功能。實(shí)施ECDSA的最簡單的方式是利用安全性相當(dāng)?shù)腅CDSA簽名來代替1024位RSA簽名。所要求的最小的曲線大小通常是160位，因此ECDSA簽名占用至少320位。NIST建議的曲線最低是163位，其對應(yīng)的ECDSA簽名大小是42字節(jié)。下表說明了假設(shè)ID碼40占用96位時所要求的RFID存儲空間。<table>tableseeoriginaldocumentpage32</column></row><table>利用ECDSA簽名的信息可以是標(biāo)簽20的UID和ID碼40的鏈接(concatenationX對于變化形式(a)的碼40a,其沒有產(chǎn)品ID5《簽名元素r可單獨(dú)利用填補(bǔ)來計(jì)算。如果被恢復(fù)的信息與期望的填補(bǔ)匹配，則簽名有效。對于變化形式(b)，產(chǎn)品ID54可由與任何產(chǎn)品都不對應(yīng)的任何無效值來代替。然后，實(shí)際產(chǎn)品ID54和該填補(bǔ)將用于計(jì)算r。如果被恢復(fù)的信息與期望的填補(bǔ)匹配，則簽名有效。然后，該讀取器14可用該被恢復(fù)的值來代替該無效的產(chǎn)品ID54以形成正確的ID碼40b。ECC簽名方案的選擇通常是根據(jù)RFID標(biāo)簽20上可利用的存儲空間而定。應(yīng)當(dāng)理解的是，所使用的標(biāo)簽的大小可根據(jù)可接受的安全性以及可利用的空間大小來加以選擇?？山邮艿陌踩燃壍呐袛鄻?biāo)準(zhǔn)通常是偽造者進(jìn)行偽造簽名是否具有經(jīng)濟(jì)可行性。如果ECPVS簽名中的冗余可以降低并且偽造仍然不具有可4亍性，則可以使用更小的標(biāo)簽。在此使用2(M8位和M6位的簽名的例子僅僅是示范性說明。應(yīng)當(dāng)理解的是，其它標(biāo)簽大小，例如512位標(biāo)簽，也可以被使用。如果使用2048位RFID標(biāo)簽20，則ECDSA或ECPVS可以被使用。ECDSA可被用于代替RSA簽名，數(shù)字簽名將占用320位而不是1024位，但可提供相同的安全等級。包括ID碼40在內(nèi)的所要求的總存儲空間為416位或13個儲存塊。因此，可以看出使用ECDSA允許多個簽名被寫入一個2048位標(biāo)簽20中但同時提供類似安全性并降低讀/寫次數(shù)，從而允許產(chǎn)品18在供應(yīng)鏈22流通過程中建立電子履歷。然而，與ECPVS不同的是，ECDSA不能隱藏產(chǎn)品ID54。ECPVS可被用于進(jìn)一步降低簽名大小以及隱藏產(chǎn)品ID54不讓沒有合適公鑰Z,的讀取器14讀取。利用2048位標(biāo)簽20中的額外存儲空間，填補(bǔ)可被用于增加冗余至可接受的程度。在不考慮ID碼40自身的冗余的情況下，可添加80個填補(bǔ)位以提供與1024位RSA簽名相同的安全性。所要求的總存儲空間將是96位用于ID碼40,20位用于產(chǎn)品ID54,80個填補(bǔ)位用于r，以及160位用于&因此，總共有356位或12個存儲塊被用于該填補(bǔ)的ECPVS簽名。如果更低的安全等級是可以接受的，則存儲空間要求可進(jìn)一步降低。下表總結(jié)了可#1用于256和2048位RFID標(biāo)簽的多個簽名方案。<table>tableseeoriginaldocumentpage34</column></row><table>《4:ECC^名之比^因此可以看出，使用ECPVS的2048位RFID標(biāo)簽20提供寫入多個簽名至標(biāo)簽中的能力，例如在供應(yīng)鏈22的不同階^:寫入，并允許該系統(tǒng)10可對非授權(quán)讀取器隱藏產(chǎn)品ID54以增加隱私性。應(yīng)當(dāng)理解的是，上述只是為了示范性說明的目的，根據(jù)上述討論的原理和考慮因素，其它標(biāo)簽大小也可能會被視為適合的。因此，通過考慮某些參數(shù)，例如可接受的安全等級以及ID碼40提供的自身冗余之后，可以使用更小的標(biāo)簽20，例如使用或不使用填補(bǔ)的256位RFID標(biāo)簽20或512位標(biāo)簽(圖未示)等。在使用ECPVS以隱藏產(chǎn)品ID54時，存儲在讀取器14內(nèi)的公鑰Z,應(yīng)當(dāng)受到物理保護(hù)，這些密鑰的分配應(yīng)該被例如CA12小心控制。如果每個讀取器14包含其自身的公/私鑰對，在分配前，證書可針對每個特定讀取器14被加密。CA12同時為簽名站16和讀取器14簽發(fā)證書。讀取器14和簽名站16的密鑰對是在制造時產(chǎn)生的。如上述所討論的，每個讀取器14針對這些簽名站具有一列驗(yàn)證過的公鑰巧.以使簽名可以被驗(yàn)證。使用簽名者證書CsKJNj的密鑰分配程序的一個范例顯示于圖6。在步驟100，CA12獲得合適的公鑰巧并在步驟102產(chǎn)生對應(yīng)的證書CSIGNj。然后，在步驟104，使用針對該證書將要被分配給它的那個讀取器14的適當(dāng)公鑰Z/來加密該證書以獲得加密版本CsKiNj，。然后，在步驟106,該加密版本被分配給該適當(dāng)?shù)淖x取器14，該讀取器14在步驟108接收該證書。在步驟IIO,使用私鑰z,來解密該加密版本以獲得原始證書CSIGNj。在步驟114，該證書使用CA證書CcA進(jìn)行驗(yàn)證，其中該CA證書是在步驟112中獲得的。如果有效，則從證書中得到密鑰巧并將其存儲在安全密鑰存儲36中。然后，在步驟214,簽名站16從標(biāo)簽20中選擇或讀取序列號(可使用缺省計(jì)數(shù)值)。如果適用(變化形式(b))，在步驟216,產(chǎn)品碼被選擇。優(yōu)選的是，在到達(dá)簽名/編程設(shè)施之前序列號如上所述一皮預(yù)燒入ROM中。這使得未簽名的標(biāo)簽20的制造商能夠確保以下事實(shí)要危害其安全性或攻擊該系統(tǒng)，這些硬件只有被偽造才行，而非直接就能夠使用一般部件以及編寫適合偽造者用途的UID。如上所述，簽名站16通常是預(yù)編程以自動產(chǎn)生合適的簽名類型，但在一些情形下，也可以被編程以提供以下能力讓操作者可選擇要寫入標(biāo)簽中的簽名類型(例如，ECDSA或ECPVS)(步驟218),寫入該簽名(步驟219),該標(biāo)簽20然后可被編程(步驟220)。在步驟222創(chuàng)建一個記錄，優(yōu)選的是該記錄作為一個日志報告被存儲，用于追蹤和審計(jì)用途。應(yīng)當(dāng)理解，優(yōu)選的是，每個簽名站16被預(yù)編程，使得上述的任何決定都在簽名者被部署之前就被校準(zhǔn)。然而，如果需要，上述決定結(jié)構(gòu)可由程序提供，例如從圖形用戶界面(GUI)(圖未示)的下拉菜單中提供。這種GUI也可以被技師使用，用以編程和維修該簽名站16。步驟220的更具體細(xì)節(jié)顯示于圖8。在步驟230，從標(biāo)簽20中讀取UID。在步驟232，根據(jù)用戶選擇和產(chǎn)品類型等產(chǎn)生ID碼40。在步驟234,該UID、ID碼、任何元數(shù)據(jù)(metadata)和任何隱藏數(shù)據(jù)(例如產(chǎn)品ID54并使用ECPVS)使用制造商特定公鑰進(jìn)行簽名以產(chǎn)生簽名。在步驟236,該ID碼40和該簽名然后被寫入標(biāo)簽20。在步驟238，優(yōu)選的是，時間戳(timestamp)被至少記錄在簽名站16內(nèi)部的一個記錄檔案中。如果希望，可在簽名站16中存儲日志記錄和日志報告，且之后為了審計(jì)和追蹤目的輪詢(poll)或報告這些日志記錄和曰志報告。驗(yàn)證程序顯示于圖9。在某一時刻，讀取器14在步驟300從CA獲得制造商特定公鑰％.。當(dāng)該標(biāo)簽20進(jìn)入RF區(qū)26時，該標(biāo)簽20在步驟302被激活(如果是無源標(biāo)簽)。該UID、數(shù)據(jù)和簽名在步驟304被讀取器14讀取。讀取器14然后在步驟306使用公鑰巧.并根據(jù)所使用的簽名方案類型來驗(yàn)證該簽名。如果適用，在步驟308記錄時間戳。優(yōu)選的是，在步驟310產(chǎn)生日志報告，該日志報告可由負(fù)責(zé)產(chǎn)品供應(yīng)鏈和完整性的適當(dāng)機(jī)構(gòu)使用，用于審計(jì)目的。因此，可以看出，<吏用ECC,特別是ECPVS和ECDSA(合適時)可以減小認(rèn)證RFID系統(tǒng)10中的讀/寫次數(shù)和簽名大小。使用ECPVS進(jìn)一步增加了能夠隱藏一部分產(chǎn)品信息的優(yōu)點(diǎn)，這為采用RFID技術(shù)增加了動力。ECPVS也在提供與RSA簽名類似安全性的情況下，提供了最小的簽名。更小的簽名可使多個簽名站16可#1使用在供應(yīng)鏈中，使得多個簽名可被依序?qū)懭朊總€標(biāo)簽的可利用的剩余空間中，而這些簽名將需要被依序驗(yàn)證。因此，在產(chǎn)品在供應(yīng)鏈中移動過程中，產(chǎn)品的追蹤變得更加容易。認(rèn)證RFID系統(tǒng)的密鑰管理系統(tǒng)現(xiàn)在參考圖10，其示出密鑰管理系統(tǒng)(KMS)400,作為如圖2大體所示的分配密鑰的一個實(shí)施例。在圖IO所示的范例中，KMS400負(fù)責(zé)在醫(yī)藥制造階段、供應(yīng)鏈22和隨后的分發(fā)給客戶過程中管理密鑰的分配。如上所討論的，包括私密或其它敏感信息(例如藥品或產(chǎn)品ID碼54)的RFID標(biāo)簽20可使用ECPV簽名來隱藏。然而，因?yàn)殡[藏部可分別使用簽名站16和讀取器14的公鑰和^-w進(jìn)行恢復(fù)，當(dāng)整體系統(tǒng)計(jì)劃被分配和可更新時，一般優(yōu)選的是確保這些ECPV公鑰的安全并監(jiān)測和控制其分配。KMS400可被用于控制ECPV公鑰的分配，使得只有被授權(quán)的讀取器14才能恢復(fù)產(chǎn)品ID碼54。鑒于對這些密鑰的使用施加這種控制之后，她們就不是傳統(tǒng)意義上的"公開，，了，因此下面的范例中的密鑰『w和Z/省被稱為"驗(yàn)證密鑰"。從圖10中可看出，制造商402制造(可包括RFID編程和貼簽條等)的產(chǎn)品18可進(jìn)入供應(yīng)鏈22并最終結(jié)束于診所或藥房408,而診所或藥房408然后分發(fā)產(chǎn)品至客戶。產(chǎn)品18已經(jīng)貼上已被簽名的RFID標(biāo)簽20，在該供應(yīng)鏈20的各個階段以及在銷售點(diǎn)，這些簽名從標(biāo)簽20中被讀取并進(jìn)行驗(yàn)證。診所或藥房408因此設(shè)置有RFID讀取器14，該讀取器14由讀取器制造商410編程并供應(yīng)。如上所討論的，被簽名的RFID標(biāo)簽20的驗(yàn)證要求具有最新的驗(yàn)證密鑰，這些驗(yàn)證密鑰是由中央KMS400分配、更新、追蹤或以其它方式控制。KMS400可使用密鑰注入控制器422來追蹤被簽名的標(biāo)簽20的數(shù)量、被編程的讀取器14的數(shù)量以及被部署的讀取器14的數(shù)量，其中被部署的讀取器14被更新以進(jìn)行收費(fèi)并保護(hù)產(chǎn)品18的分發(fā)和內(nèi)容的隱私。KMS400可用于以一種受控制和可靠的方式分配這些密鑰以及相關(guān)信息至被部署的讀取器14,這確保標(biāo)簽20上的ECPV簽名416只能被"授權(quán)"的讀取器14認(rèn)證。例如，這可以防止未授權(quán)的讀取器得到藥品ID碼54或隱藏在RFID標(biāo)簽20的無源存儲器上的ECPV簽名中的其它^L密信息。如圖ll所示，本范例中，由藥品制造商402實(shí)施的制造過程的一部分包括RFID標(biāo)簽編程階段404和醫(yī)藥產(chǎn)品貼簽條階段406。一旦該醫(yī)藥產(chǎn)品18被給予一個簽條19，如上所討論的，如果適合，該醫(yī)藥產(chǎn)品18可然后進(jìn)入供應(yīng)鏈22，其最終到達(dá)診所或藥店408，而該診所或藥店408繼而分發(fā)(銷售)該產(chǎn)品18至消費(fèi)者。該標(biāo)簽編程階，險404—^:獲取或接收未編程RFID標(biāo)簽20(優(yōu)選的是，其包含預(yù)燒入的序列號或UID)，這些未編程RFID標(biāo)簽20使用RFID編程器414進(jìn)行編程以使它們包含例如產(chǎn)品ID碼54,比如圖5所示的EPCglobal碼。在本范例中，利用RFID編程器414將數(shù)字簽名416,例如ECPV簽名寫入標(biāo)簽20中。RFID編程器414優(yōu)選的是與密鑰注入系統(tǒng)417a連接并至少部分地被該密鑰注入系統(tǒng)417a控制。密鑰注入系統(tǒng)417a包括簽名代理419a、密鑰注入服務(wù)器418a(在本范例中，密鑰注入服務(wù)器418a與編程階段4(H位于相同地點(diǎn))和密鑰注入控制器422a(其通常是與密鑰注入服務(wù)器418a安全通信的外部實(shí)體)。在本范例中，RFID編程器414直接連接該簽名代理419a以獲得必要信息來準(zhǔn)備和寫入簽名416至標(biāo)簽20中?；旧?，密鑰注入系統(tǒng)417是這樣一種系統(tǒng)，其用于遠(yuǎn)程監(jiān)測設(shè)備注冊，如果需要，其還用于計(jì)量注入該設(shè)備的唯一且不可變的信息。該密鑰注入系統(tǒng)417完整介紹于2006年6月12日申請的共同待決的美國專利申請第11/450,418號中，該專利申請的內(nèi)容以參考的方式并入本文中。在本范例中，控制器422a是遠(yuǎn)離RFID編程設(shè)施的計(jì)算機(jī)系統(tǒng)，但優(yōu)選的是該控制器422a是在生產(chǎn)該藥品的公司的控制之下。密鑰注入服務(wù)器418a、簽名代理419a和RFID編程器414可以位于也可以不位于相同的地點(diǎn)或大樓。優(yōu)選的是，通過網(wǎng)絡(luò)建立一個安全連接以在內(nèi)部和/或外部連接該密鑰注入系統(tǒng)417的各組件。簽名代理419a包括數(shù)據(jù)存儲裝置420,優(yōu)選的是數(shù)據(jù)存儲裝置420位于硬件安全模塊內(nèi)。該數(shù)據(jù)存儲裝置420是一種受到保護(hù)的裝置，為簽名代理419a所使用以執(zhí)行例如加密、解密和簽名等加密安全操作以及存儲敏感數(shù)據(jù)。存儲裝置420存儲針對每種產(chǎn)品類型(例如，針對每種藥)的密鑰對巧)。如圖11所示，在本范例中，藥品制造商402負(fù)責(zé)寫入針對五(5)種不同產(chǎn)品的簽名416,因此存儲五對密鑰對。應(yīng)當(dāng)理解的是，凝:據(jù)存儲裝置420可被相同設(shè)施內(nèi)或分布在不同大樓的多個產(chǎn)品線上的多個RFID編程器414訪問。因此，根據(jù)該制造過程的物流情況，可以使用任何數(shù)目的密鑰注入系統(tǒng)417a、數(shù)據(jù)存儲裝置420和RFID編程器414。為了簡明，本范例說明了同一個設(shè)施內(nèi)共用一個密鑰注入系統(tǒng)417的五個產(chǎn)品線，該共用的密鑰注入系統(tǒng)417具有單一RFID編程器414,該RFID編程器414配置成可使用適合于該產(chǎn)品的任何一個密鑰對O,,巧)寫入簽名416。應(yīng)當(dāng)理解的是，密鑰注入系統(tǒng)417a只是分配密鑰的一種方式，也可以使用使該KMS400能夠監(jiān)控這個過程的其它配置。因此，總體上，該KMS400可被認(rèn)為是用于分配密鑰的控制器，其可使用任何適用的子系統(tǒng)與整個認(rèn)證RFID系統(tǒng)中涉及的各方進(jìn)行互動。簽名416是通過使用該序列號、特定于該產(chǎn)品18的藥品ID碼54以及其它供應(yīng)鏈22特定元數(shù)據(jù)并使用針對該產(chǎn)品18的私鑰對該標(biāo)簽20進(jìn)行簽名而產(chǎn)生的。該簽名416優(yōu)選的是如上所述的寫入該標(biāo)簽20的ECPV簽名。也可以從圖11中看出，貼簽條階段406將已編程的RFID標(biāo)簽20(其包含有該簽名416)貼到簽條19上，然后將該簽條19貼到該產(chǎn)品18上。可以理解的是，該貼簽條階段406也可以整合于RFID編程階段404,而且類似地，可位于相同設(shè)施內(nèi)。同樣，該制造過程的性質(zhì)是由該產(chǎn)品和產(chǎn)業(yè)上的要求等來決定的，圖11只是一個說明性的安排。在本范例中，可以使用一個貼標(biāo)機(jī)(圖未示)，而且，如果需要或如果在貼簽條階段406要添加簽名，則該貼標(biāo)機(jī)可與密鑰注入系統(tǒng)417a界面連接?！┊a(chǎn)品18貼上簽條，產(chǎn)品18就可以進(jìn)入供應(yīng)鏈22,供應(yīng)鏈22可能包括運(yùn)輸、倉儲和分發(fā)等步驟。如將要在下面討論的，可以添加額外簽名416至該標(biāo)簽20中和/或該簽名416可在該供應(yīng)鏈的任何一個或所有階段利用RFID讀取器14進(jìn)行驗(yàn)證。產(chǎn)品18，在這個例子中是藥品，最終到達(dá)一個或多個診所或藥房408(更詳細(xì)地顯示于圖14)，該診所或藥房408然后負(fù)責(zé)將藥品18分發(fā)至客戶。每個診所或藥房408包括讀取器14,該讀取器14包括一套存儲在本地(優(yōu)選的是存儲在安全硬件中)的數(shù)據(jù)存儲裝置426中的最新密鑰。如圖2大體上所示，讀取器14存有其自身密鑰對(在本實(shí)施例中，其為讀取器1，密鑰對(&，Z7))、對應(yīng)證書CvERi的副本、CA證書CcA的副本以及該讀取器14被允許使用的驗(yàn)證密鑰(例如，密鑰『w)。驗(yàn)證密鑰由KMS400有條件地提供，此將在下面闡釋。每個讀取器14在圖12所示的讀取器制造商410處被編程，該讀取器制造商410.也使用密鑰注入系統(tǒng)417來創(chuàng)建密鑰對(z,，Z,)并為了識別用途而分配裝置識別符Devi給每個讀取器14。該讀取器制造商410包括為KMS400記錄這些裝置識別符的數(shù)據(jù)庫424。讀取器制造商讀取器/編程器421與另一個密鑰注入代理419b界面連接，該密鑰注入代理419b又與另一個密鑰注入服務(wù)器418b通信以追蹤讀取器14的編程。以這種方式，當(dāng)每個讀取器14被給予一個新的密鑰對時，該密鑰注入服務(wù)器418b可將該新密鑰通過另一個密鑰注入控制器422b傳回給KMS400并追蹤這一操作的營業(yè)收入。如圖13所示，KMS400包括CA429、證書服務(wù)器4"和有條件訪問數(shù)據(jù)庫(conditionalaccessdatabase)430，并讓部署在現(xiàn)場的讀取器14可獲得針對簽名站16的最新的證書。然后，這些證書可被這些讀取器14使用以驗(yàn)證密鑰注入代理418在簽名站16產(chǎn)生的數(shù)字簽名416。針對簽名站16的新密鑰對O》巧)可以多種方式來產(chǎn)生。例如，密鑰對可由經(jīng)過核準(zhǔn)的人員在安全環(huán)境中產(chǎn)生然后在適當(dāng)?shù)臅r候被上載至簽名站16中。在另一個實(shí)施例中，密鑰對可由簽名代理419或密鑰注入服務(wù)器418自動產(chǎn)生。在又一個實(shí)施例中，密鑰對可由密鑰注入控制器422或KMS400產(chǎn)生(即，從一個遠(yuǎn)程地點(diǎn))，然后安全地傳送或上載至簽名站16(即，通過密鑰注入服務(wù)器418和代理419)。每次部署新簽名站16時或者已存在的簽名站16希望使用多個密鑰(例如，針對不同的產(chǎn)品線)時，新密鑰對O,.,巧)都是必需的。如果簽名站16產(chǎn)生新密鑰對，則可創(chuàng)建一個證書請求，其包含利用私鑰簽名的公鑰。該證書請求然后傳回至KMS400，該傳回操作在本范例中是通過密鑰注入控制器422a來完成的。通過使用密鑰注入控制器422a，KMS400不僅能夠保持最新的密鑰信息，也使KMS400能夠阻止在不經(jīng)過適當(dāng)同意的情況下建立新生產(chǎn)線的欺詐性企圖。因此，KMS400能夠針對適當(dāng)注冊的每條產(chǎn)品線追蹤和獲得針對已簽名的每個標(biāo)簽20的收入。KMS400也可以追蹤使用其它密鑰注入控制器422b編程的讀取器14的數(shù)量。以這種方式，KMS400可以確保其知悉所有有能力(并允許)對簽名站16簽署的簽名進(jìn)行驗(yàn)證的讀取器14。在簽名416的至少一部分可恢復(fù)內(nèi)容是敏感或私密信息時，這種配置使得KMS400在整個系統(tǒng)的安全性和隱私性方面更具有信心。KMS400可類似地追蹤每個簽名驗(yàn)證或發(fā)生在標(biāo)簽20通過該供應(yīng)鏈22過程中的額外簽名寫入操作。因此，KMS400不僅安全地分配密鑰至適當(dāng)實(shí)體，同時也可以追蹤就提供密鑰分配服務(wù)而收取費(fèi)用的各收入點(diǎn)。例如，KMS400可追蹤已被簽名的標(biāo)簽的數(shù)量和已被編程的讀取器14的數(shù)量，并按每臺裝置(per-device)或每個標(biāo)簽(per-tag)進(jìn)行收費(fèi)。KMS400也可以追蹤診所或藥房408的讀取器用量，并針對為部署的讀取器14同步最新密鑰的服務(wù)按月收費(fèi)或按統(tǒng)一費(fèi)率進(jìn)行收費(fèi)。診所或藥房408和制造商402繼而可為它們的客戶和/或商業(yè)伙伴提供安全性和隱私保護(hù)。參考圖15，其示出為簽名站16和簽名標(biāo)簽20產(chǎn)生新密鑰的一般過程。如上面所指出的，新密鑰對(w》巧)可在安全環(huán)境中產(chǎn)生然后被手動載入至簽名代理419a,或者可由KMS400和/或密鑰注入系統(tǒng)417a產(chǎn)生并載入。一旦新密鑰對已經(jīng)在簽名站16(例如，制造商402)產(chǎn)生并被載入，密鑰代理419a則產(chǎn)生并發(fā)送證書請求至KMS400(例如通過密鑰注入系統(tǒng)417a發(fā)送)。值得注意的是，圖10-14所示的系統(tǒng)并不要求簽名站16和讀取器14時時刻刻都聯(lián)機(jī)在線。因此，證書請求可由密鑰注入服務(wù)器418a稍后發(fā)送至CA429，例如，通過電子郵件或其它形式的通信，與業(yè)務(wù)請求一起發(fā)送至KMS400。業(yè)務(wù)請求通常包括KMS400與制造商402之間的業(yè)務(wù)關(guān)系的參數(shù)。例如，為了讓制造商402保持擁有用于產(chǎn)生簽名的最新的有效密鑰，可能它們之間簽訂按每筆簽名收費(fèi)的協(xié)議，其中該費(fèi)用可由KMS400來收取。根據(jù)制造環(huán)境的性質(zhì)、產(chǎn)品18、數(shù)量和單價等因素，也可以建立其它協(xié)議，例如統(tǒng)一月費(fèi)率或一次性費(fèi)用等?！㎏MS400處理完業(yè)務(wù)協(xié)議之后，KMS400則簽發(fā)并回傳一個與產(chǎn)生的密鑰對相對應(yīng)的證書CSIGNi。該證書與有權(quán)使用證書的讀取器14的列表一起存放在證書服務(wù)器428上。因此，可以理解的是，業(yè)務(wù)請求通常還包括首選的或強(qiáng)制分銷商和/或該供應(yīng)鏈22中的各方的詳細(xì)信息。這使得KMS400可追蹤對讀取器14的許可并相應(yīng)地更新它們的密鑰。如上所述，證書CsKjNj也存儲在簽名站16中以供今后參考。值得注意的是，在普通"t喿作時，該簽名站16不一定非要使用證書?！⒁粋€或多個密鑰提供給簽名代理419a之后，標(biāo)簽20則可在編程階段404被簽名，其中該一個或多個密鑰與一條或多條產(chǎn)品線上的一個或多個產(chǎn)品相對應(yīng)。密鑰注入系統(tǒng)417a可被用于計(jì)量信用池(creditpool)以限制被簽名的標(biāo)簽20的數(shù)量，或者只是利用安全報告程序來追蹤被簽名的標(biāo)簽20的數(shù)量。例如，如圖15所示，對標(biāo)簽20進(jìn)行簽名之后，簽名代理419a然后回報給簽名服務(wù)器418表明標(biāo)簽20已經(jīng)被簽名，在該特定的一輪中對每個標(biāo)簽20重復(fù)這樣的操作，然后該簽名代理等待下一個指令、更新或下一批標(biāo)簽20。服務(wù)器418a然后可以在適當(dāng)時機(jī)通過密鑰注入控制器422a將已^皮簽名的標(biāo)簽的總數(shù)量報告給KMS400?？蛇x擇的是，簽名代理419a可追蹤已被簽名的標(biāo)簽的數(shù)量，然后報告該總數(shù)量給服務(wù)器418a,而該服務(wù)器418a又將該總數(shù)量通過控制器422a報告給KMS400。密鑰注入系統(tǒng)417不僅可以追蹤標(biāo)簽簽名，同時也可以計(jì)量信用池以限定在特定時間內(nèi)和/或針對特定制造商402或產(chǎn)線等的被簽名的標(biāo)簽20的數(shù)量。參考圖16，其示出注冊讀取器14的程序。讀取器14首先在制造商410處制造，其包括創(chuàng)建讀取器密鑰對(z,,Z,)。讀取器14產(chǎn)生證書請求，通過密鑰注入系統(tǒng)417b發(fā)送該證書請求至KMS400,然后被簽發(fā)相應(yīng)的證書CVERi。然后，讀取器14可被部署在診所或藥房408或該供應(yīng)鏈22的一個特定階段。一旦部署之后，讀取器14然后通過密鑰注入系統(tǒng)417b連接至KMS400以請求注冊。KMS400判斷該讀取器14的特定擁有者有資襠"使用哪個密鑰(如果有)并驗(yàn)證該請求。如果通過-驗(yàn)證，KMS400然后分配一組許可給讀取器l4并記錄該組許可。KMS400將這些許可的指示連同相關(guān)的驗(yàn)證密鑰巧發(fā)送給讀取器14,此時可附加上元數(shù)據(jù)。讀取器14然后安全地存儲這些密鑰，優(yōu)選的是存儲在硬件安全模塊(HSM)中并向KMS400確認(rèn)收到這些密鑰。讀取器l4然后可以根據(jù)其許可來使用這些驗(yàn)證密鑰以當(dāng)產(chǎn)品18被銷售時驗(yàn)證標(biāo)簽20上的簽名。與此同時，讀取器14等待來自KMS400的更新，其原因在于一些密鑰可能在一段規(guī)定時間后已到期以及新產(chǎn)品18可能需要被驗(yàn)證。KMS400能夠根據(jù)從簽名站16(例如，制造商402)收到的反饋以及產(chǎn)品信息、隱私問題等來更新讀取器14。參考圖17,其示出更新讀取器14的程序。KMS400首先獲取或搜集與證書撤銷和產(chǎn)品過期有關(guān)的信息以及其它任何影響產(chǎn)品18和用于驗(yàn)證對應(yīng)簽名416的密鑰巧.的有效性的信息。這些信息與本地存儲的與已分配給某些讀取器14的許可相關(guān)的信息作比較，然后準(zhǔn)備好針對每個讀取器14的更新。當(dāng)有連接可用時(或者使用輪詢或其它預(yù)定的日常程序)，KMS400連接至讀取器14，然后發(fā)送這些更新，等待讀取器14已被更新的確認(rèn)，然后斷開連接直到要求進(jìn)行下一次更新和/或有下一次更新可用。可以看出，KMS400可以半在線(semi-online)的方式工作，因此讀取器14和簽名站16并不要求一個時刻在線的專門連接。KMS400可以在適當(dāng)時刻更新或進(jìn)行預(yù)定更新，而更新時需要建立連接。應(yīng)當(dāng)理解的是，在可能的情況下，根據(jù)制造環(huán)境、供應(yīng)鏈22和分配渠道的性質(zhì)，也可以使用全部在線系統(tǒng)和/或在單個實(shí)體內(nèi)的閉環(huán)系統(tǒng)。圖18示出一個示例性收入流，其使KMS400能夠追蹤和收if又為保持最新密鑰而按每用戶或統(tǒng)一費(fèi)率收取的費(fèi)用。例如，在簽名端，密鑰注入服務(wù)器418a可用于追蹤被寫入的簽名的數(shù)量，報告該數(shù)量至控制器422a，如果必要,該控制器422a然后判斷是否可寫入更多的簽名等(計(jì)量)并報告給KMS400申請更大的"信用額度，，或者只是報告應(yīng)從該特定制造商402收^U々收入。服務(wù)器418a可用于追蹤多條產(chǎn)品線上的多個簽名代理419a以為KMS400準(zhǔn)備一份綜合收入報告。優(yōu)選的是，在KMS400監(jiān)督控制器422的操作(例如，使用日志報告)情況下，控制器422a負(fù)責(zé)管理信用以及更新信用池(并傳遞這些信息至KMS400)。然而，在適當(dāng)時，KMS400也可以授予額外的額度，可在連接建立后準(zhǔn)備更新，之后，KMS400將可以直接從制造商4(^收取針對已被寫入的簽名的收入。如上所指出的，該收入是由對應(yīng)的業(yè)務(wù)要求和安排來決定的。例如，KMS400可被提前支付針對預(yù)定數(shù)量的簽名的費(fèi)用，而后收取針對個別簽名的額外收入。對于讀取器制造商410而言，KMS400可按制造的每個讀取器14來收費(fèi)，此由密鑰注入服務(wù)器418b和控制器422b進(jìn)行追蹤并被回報給KMS400用于收款和追蹤需求。一旦這些讀取器14被部署，優(yōu)選的是，KMS400提供提供收取定期服務(wù)費(fèi)以換取密鑰更新的服務(wù)。應(yīng)當(dāng)理解的是，雖然例如由于漏讀等原因造成追蹤每個讀取器的每次讀取更加困難，KMS400仍然可以按每次讀取來收費(fèi)。也應(yīng)當(dāng)理解的是，根據(jù)其它實(shí)體在供應(yīng)鏈22中的參與的性質(zhì)，類似的收入流也可以在供應(yīng)鏈22的各其它階段被追蹤和收取。多簽名者的聚集簽名如果簽名者的數(shù)量很多使得簽名的數(shù)量也很多的情況下，以及在用于存儲簽名的空間受限或非常寶貴(例如，RFID標(biāo)簽20)的情況下，所有簽名的合并大小可能使得成本很高。下面的簽名方案通過聚集一個或多個簽名分量的方式降低了多個簽名的大小。傳統(tǒng)多簽名采用壓縮兩個或多個簽名的方案，下面的方案對此作出改進(jìn)。應(yīng)當(dāng)理解的是，下文討論的簽名方案可適用于任何環(huán)境，盡管其特別適用于在如本文所討論和舉例的RFID簽名方案中整合來自多個簽名實(shí)體的貢獻(xiàn)。在一種實(shí)施中，以下聚合簽名方案可用于多個簽名站(例如用于醫(yī)藥供應(yīng)《連中的RFID標(biāo)簽20)。傳統(tǒng)上，聚合簽名是基于使用雙線性對(BilinearPairings)的數(shù)字簽名算法而提出的。該算法定義一個聚合簽名方案，該方案是配備有兩個額外操作的傳統(tǒng)簽名方案。第一個操作提取t個使用者用公鑰U,,...，Ut來簽名的信息mi,m2,...,mt的一組簽名Sl,s2,...，st,并將這些聚合到單一的壓縮簽名s中。第二個操作在給定信息mi,..,mt和使用者的公鑰Ui,..,Ut的情況下驗(yàn)證聚合簽名S。當(dāng)且僅當(dāng)每一Si證實(shí)相關(guān)的信息和使用者時，該簽名S才有效。盡管同樣適用于其它ElGamal簽名，但以下對ECPVS簽名特別有用，其它方案(例如將在下文中說明的ECDSA)也類似。當(dāng)提及ECPVS和ECDSA簽名方案時，重復(fù)使用上文所使用的術(shù)語以保持一致。根據(jù)上述示例，假定有T個簽名者16，每一簽名者都將對信息M簽名。為了簡單化，假定M對所有的簽名者都是一樣的，當(dāng)用ECPVS簽名時，可恢復(fù)部7/和可見部K也是相同的，例如，分別是產(chǎn)品ID和UID。應(yīng)當(dāng)理解的是，在某些情況下，對每一簽名者而言r將不同，即K。以下還可以考慮的是，取而代之每一簽名者簽署一個不同的可恢復(fù)部巧。下文描述兩種聚合，即半聚合簽名方案和全聚合簽名方案。已經(jīng)發(fā)現(xiàn)，半聚合簽名方案可將簽名壓縮至原始大小的三分之二。由于不論涉及多少個簽名站16，壓縮的聚合簽名是一個單一簽名的大小，全聚合簽名方案由此命名。當(dāng)有T個簽名者時，壓縮率是T倍，且因此當(dāng)有許多簽名者時全聚合簽名方案可實(shí)現(xiàn)很高的壓縮率。盡管全聚合比半聚合壓縮率更高，但這需要簽名者們合作創(chuàng)建聚合簽名，因此其可能不適合簽名者在不同位置的情形。而且，在其它情況下，例如，多方不同時期簽名時，全聚合可能不可行。然而，下文所討論的半聚合簽名使不同時簽名成為可能，因此可在有需要的時候取代全聚合簽名。半聚合ECPVS在T個簽名者使用ECPVS的半聚合簽名方案中，首先第一簽名者，即簽名者l,通過加密d中的隱藏部分/Z來計(jì)算傳統(tǒng)的ECPVS簽名(CbS!)。然后，當(dāng)計(jì)算C2時，簽名者2加密d，而不是加密//，并隨后以常規(guī)方式計(jì)算其它的分量s2，產(chǎn)生最新的簽名(c2，S!,s2)。每一簽名重復(fù)這個操作，直至簽名者T加密Cw來計(jì)算CT，且所產(chǎn)生的半聚合簽名為(CT,Si，...,ST)。換言之，每一簽名者加密之前的"C，，分量，同時用最新的"C"分量來產(chǎn)生下一"S，，分量。為了驗(yàn)證半聚合ECPVS簽名，驗(yàn)證者14(例如RFID讀取器)首先通過對分量(ct，st)執(zhí)行ECPVS驗(yàn)證以從ct中解密出Cw來恢復(fù)Cw。然后，該驗(yàn)證者從(ct小s^)中恢復(fù)ct-2，如此重復(fù)直至的代表/T被恢復(fù)。/T被檢查是否具有某一特性，例如冗余，如果該特性存在，信息M可利用/T和r重建。半聚合方式如此命名有兩個原因。首先，中間密文q,...，cw不需要包含在最終的密文Ct中。其次，-險證者14推遲接受或拒絕中間簽名，直至所有的密文都被解密。例如，對簽名2至T而言不需要增加任何冗余。因此，額外的簽名者1^又通過加入值s2，...，st來增加信息擴(kuò)張。參照圖19和20,提供以下三個簽名者的示例以進(jìn)一步解釋半聚合簽名方案。以下示例特別適用于在供應(yīng)鏈22中有三個簽名站的醫(yī)藥供應(yīng)鏈，每一簽名站16對被加到貼在物品18上的RFID標(biāo)簽(參看圖1)中的簽名作出貢獻(xiàn)。應(yīng)當(dāng)理解，半聚合簽名方案可用于在任何環(huán)境中提供多個簽名并不應(yīng)限于RFID系統(tǒng)。如圖19中所示，如上文所述，簽名站1產(chǎn)生臨時密鑰對(h,Qi)并隨后產(chǎn)生加密密鑰^-KDF(QO。在本示例中，在確保/7中有足夠的冗余以備之后的驗(yàn)證的同時，第一簽名者的第一簽名分量q通過用密鑰《加密信息M的可恢復(fù)部//來計(jì)算。中間分量^用信息M的可見部r和散列函數(shù)(例如SHA1)來計(jì)算，并轉(zhuǎn)換為整數(shù)q,然后整數(shù)et與簽名站1的私鑰Wi和臨時密鑰1^一起使用來產(chǎn)生第一簽名者的第二簽名分量在本示例中，具有分量(d,s,)的簽名按照ECPVS中的慣例寫入RFID標(biāo)簽20。第二簽名站，簽名站2對最新的半聚合簽名的產(chǎn)生作出貢獻(xiàn)，而不是增加一個單獨(dú)的簽名。在本示例中，簽名站2位于供應(yīng)鏈中的另一點(diǎn)。與簽名站1類似，簽名站2產(chǎn)生臨時密鑰對&2》2)和解密密鑰JT2=KDF(Q0。然而，在這個階4殳，簽名站2用義2加密現(xiàn)有的簽名分量d來產(chǎn)生簽名分量C2。中間簽名分量/Z2、整數(shù)e2和簽名分量&如前文所述來計(jì)算，但產(chǎn)生的最新的簽名現(xiàn)包含這組分量(C2,Si，S2)。如此，簽名分量d被加密到C2中，"S，，分量(即本階段的Sl和s2)^皮保存在最新的簽名內(nèi)。第三簽名站，簽名站3,本示例中最后的簽名階段，也對半聚合簽名作出貢獻(xiàn)，半聚合簽名當(dāng)前包括RFID標(biāo)簽上的(C2,Si，S2)。與之前的簽名站16類似，簽名站3產(chǎn)生自己加密密鑰，即本情形中的k3,并用k3加密簽名分量C2以產(chǎn)生最新的"c"簽名分量c3。中間分量h3、整數(shù)es和分量S3如前文所述來計(jì)算，且產(chǎn)生的最新的(本示例中最終的)簽名包括分量(C3,S!,S2,S3)。在每一階段，插入之前的簽名者16的"c"分量中的新簽名覆蓋半聚合簽名的之前的形式。因此，半聚合簽名(CT，Sh…ST)的大小小于將單獨(dú)的簽名((d,Si),...,(CT,ST))寫入RFID標(biāo)簽20所得到的簽名的大小。參照圖20，半聚合簽名的驗(yàn)證基本上針對每一簽名階段都有一個驗(yàn)證階段，且在本示例中RFID標(biāo)簽20包括具有分量(C3,ShS2,S3)的簽名和信息M的可見部F(例如UID)。在階段1,驗(yàn)證者14利用分量C3和可見的部分7來計(jì)算/73，，將/3，轉(zhuǎn)換為整數(shù)e/,利用s3、e/和簽名站3的公鑰\￥3來計(jì)算Q3，，并隨后通過應(yīng)用相同的KDF至Q3，來產(chǎn)生Z3，。然后，驗(yàn)證者14通過利用13，和互補(bǔ)解密函數(shù)(例如在圖22中用"DEC"所表示的互補(bǔ)解密函數(shù))解密C3來獲得S2。驗(yàn)證者現(xiàn)已獲得c2,在階段2中驗(yàn)證者利用分量C2和可見部F來計(jì)算/z2，，將/z2，轉(zhuǎn)化為整數(shù)e/，利用s2,、e/和簽名站2的公鑰W，—來計(jì)算Q2，，并隨后通過應(yīng)用相同的KDF至Q2，產(chǎn)生Z2'。驗(yàn)證者然后通過利用12，和互補(bǔ)解密函數(shù)解密C2來獲得C,。在階段3中，-驗(yàn)證者利用分量q和可見部r來計(jì)算/z,',將/V轉(zhuǎn)化為整數(shù)e/，利用spe/和簽名站1的公鑰W!來計(jì)算Q卩，并隨后通過應(yīng)用相同的KDF至Qf產(chǎn)生X/。由于q是通過加密信息7/的可恢復(fù)部來產(chǎn)生的，則通過利用X/，解密Cl來獲礙作為//的代表的位串在階段4中，驗(yàn)證者14檢查預(yù)期特性，例如本示例中的冗余，如果冗余足夠，則接受/T作為可恢復(fù)部仏并可重建信息M,例如通過在階段5中結(jié)合/T和F。然后，驗(yàn)證者14可推斷每一簽名者簽署過用分量(i/，F(xiàn))代表的信息M。應(yīng)當(dāng)注意的是，盡管在本示例中每一簽名者16對相同的可見部F操作，但對每一簽名者16而言可見部r可選擇地變化為K。這個變化中，每一中間分量/7，將利用各自的可見部Fi來計(jì)算，驗(yàn)證者14將用那些各自的可見部K來執(zhí)行每一驗(yàn)證階-度。為了簡化說明，上述示例用相同的可見部K可以看出的是，用上述半聚合簽名方法，第一簽名者16之后的具有80位安全等級的每一新增的簽名者16提供大約160位的信息擴(kuò)張，這是"和Si在80位安全等級的位長。在128位安全等級上，每一簽名者的相對最低限度的信息擴(kuò)張將大約為256位。如此，半聚合簽名方法特別適用于讓多個簽名實(shí)體對一個簽名作出貢獻(xiàn)，因此使驗(yàn)證者確保，例如RFID標(biāo)簽已被供應(yīng)鏈中預(yù)期的參與者處理過。應(yīng)當(dāng)理解的是，半聚合簽名方案在存儲或帶寬很寶貴或兩者都很寶貴的環(huán)境中提供類似的優(yōu)勢。半聚合簽名--變化形式可對上述半聚合方法進(jìn)行變化。例如，每一簽名者在每一簽名階段可加入少量的冗余。這可確保驗(yàn)證過程不需要修正，驗(yàn)證過程中明文通常需要小量的填補(bǔ)(例如一個字節(jié))。在對稱加密方案能夠使用任何字節(jié)長度的明文并使密文不長于明文的情形中，這種變化最適合。另一變化為中間明文加入之前簽名者的"s"分量的部分。在這種變化中，最終答名將具有(Ct,St)的形式，驗(yàn)證者14將從ct恢復(fù)Cw和St-"以此類推。因?yàn)槊芪腃T是Cw和Sw的加密，Cw其自身為Ct.2和St.2的加密，以此類推，因此盡管這種形式的半聚合簽名的分量較少，但位長可能不必然較短。可以預(yù)料的是，CT的位長至少為Zf的位長加上Sh...,ST的位長之和，其大致與半聚合簽名(Ct，S!,...St)的第一形式的位長相同。在另一變化中，中間明文為之前"s"值，不包括之前的密文。在這種變化中，最終答名具有(C，…，Ct，St)的形式，這里驗(yàn)證者將從CT中恢復(fù)st.,，以此類推。同樣，預(yù)計(jì)簽名長度將大致與第一形式(d，Sh…，ST)的位長相同。參照圖21和22，為了進(jìn)一步闡明半聚合簽名方案中的這種變化，以下示例針對三個簽名者來說明。以下示例也特別適用于供應(yīng)鏈22中有三個簽名站16的醫(yī)藥供應(yīng)鏈，每一簽名站對被加到貼在物品18(參照圖1)的RFID標(biāo)簽20中的簽名作出貢獻(xiàn)。與圖19類似，簽名站1如圖21所示產(chǎn)生一個臨時密鑰對化，Q,),并計(jì)算加密密鑰《=KDF(QD。然后利用信息M的可恢復(fù)部//來計(jì)算第一簽名分量，同時確保7/中存在足夠的冗余以備后續(xù)驗(yàn)證。利用信息M的可見部K，中間分量/z,通過散列函數(shù)(例如SHA1)計(jì)算，然后轉(zhuǎn)換為整數(shù)ep整數(shù)e,與簽名站1的私鑰w!和密鑰k!一同使用以產(chǎn)生第二簽名分量slQ在本示例中，具有分量(c,,s，)的簽名隨后纟皮寫入RFID標(biāo)簽20。同前，然后簽名站2通過產(chǎn)生臨時密鑰對(k2，Q2)和計(jì)算Z2:KDF(Q2)來對半聚合簽名作出貢獻(xiàn)。然而，在這種變化中，簽名站2利用X2加密現(xiàn)有簽名分量s,以產(chǎn)生簽名分量c2。中間簽名分量/2、整數(shù)e2和簽名分量s2照例計(jì)算，但最新的結(jié)果簽名包括(C,，C2,S2)。如此，簽名分量S)被加密到C2中，且"C"分量(即本階段中的Cl,c2)可從簽名中直接獲得。同前，如圖21所示，簽名站3通過產(chǎn)生最新的結(jié)果簽名來對半聚合簽名作出貢獻(xiàn)。可以看出的是，與上文相似，簽名站3通過在產(chǎn)生下一個"c"分量中加密之前的"s，，分量來更新簽名，且每一"c，，分量的貢獻(xiàn)在更新時被保存在簽名中。因此，在這種變化的每一階段，插入之前簽名者16的"s，，分量的新簽名覆蓋半聚合簽名的之前的形式。因此，半聚合簽名(d,…CT,ST)的大小小于將單獨(dú)的簽名((d，s!),…,(CT，ST))寫入RFID標(biāo)簽20所得到的簽名大小?，F(xiàn)參照圖22，半聚合簽名的驗(yàn)證與前面一樣基本上針對每一簽名階段都有一個驗(yàn)證階段，且在本示例中RFID標(biāo)簽20包括具有分量(C!，C2，C3,S3)的簽名和信息M的可見部F(例如UID)。在階段1中，驗(yàn)證者14利用分量C3和可見部F來計(jì)算/3',將&，轉(zhuǎn)換為整數(shù)e/,利用s3、e/和簽名站3的公鑰W3來計(jì)算Q3，，并隨后通過應(yīng)用相同的KDF至Q來產(chǎn)生Z3，。驗(yàn)證者14通過利用&，和互補(bǔ)解密函數(shù)(例如在圖22中用"DEC"所表示的互補(bǔ)解密函數(shù))解密C3來獲得s2。驗(yàn)證者現(xiàn)已獲得s2，在階段2中驗(yàn)證者利用分量c2和可見部K來計(jì)算/Z2，，將/2，轉(zhuǎn)化為整數(shù)e/，利用S2、Q，和簽名站2的公鑰W2來計(jì)算Q2'，并隨后通過應(yīng)用相同的KDF至Q2，來產(chǎn)生X2'。驗(yàn)證者然后通過利用X2，和互補(bǔ)解密函數(shù)解密C2獲得S"在階段3中，驗(yàn)證者利用分量c!和可見部F來計(jì)算/zr，將/^，轉(zhuǎn)化為整數(shù)e/，利用Sl(s,在階段2中被恢復(fù))、e/和簽名站1的公鑰W!來計(jì)算Qr，并隨后通過應(yīng)用相同的KDF至Qi，來產(chǎn)生X/。可以看出，在這種變化中，只有在恢復(fù)了s!之后才能恢復(fù)《'。由于c!與前面一樣是通過力。密信息/Z的可恢復(fù)部來產(chǎn)生，因此通過利用《，解密c!來獲得作為/f的代表的位串/T。在階段4中，驗(yàn)證者14檢查預(yù)期特性，例如本示例中的冗余，如果冗余足夠，則接受//，作為可恢復(fù)部//，并可重建信息M,例如通過在階段5結(jié)合//'和F。然后，驗(yàn)證者14可能隨后推斷每一簽名者已簽署該信息M。對每一簽名者16而言，可恢復(fù)信息部分7/也可能并不相同。例如，假設(shè)對每一簽名者而言可恢復(fù)信息部分為/^。在非聚合情形下，每一簽名者16針對信息/^有一個ECPVS簽名(Cj,Sj),且信息巧是在。.內(nèi)編碼。如果簽名被聚合，每一消息將需要被編碼。半聚合簽名的第一種方式可修改為在中間明文中附加不同的信息馬。由于中間明文被認(rèn)為是之前的中間密文，之前的密文可被鏈接(或其它方式結(jié)合)至當(dāng)前可恢復(fù)信息部分。第一明文PT!為具有任何必需的填補(bǔ)以使其具有足夠冗余的Z/p且中間明文可按PT2-d||//2來計(jì)算，以此類推。例如，簽名站3將產(chǎn)生臨時密鑰對(k3,Q3)并計(jì)算X3-KDF(Q3),計(jì)算c3=五M;(c2II//3),計(jì)算/3=HASH(c3||F)，轉(zhuǎn)化為e3，并計(jì)算s3=e3w3+k3(mod")。在這種變化中，最終聚合簽名具有(CT，S,，...ST)的形式。然而，CT的長度至少為不同的信息//,,//2,...,//T的結(jié)合長度，而不僅僅是/f的長度。分量CT不長于被簽名的可恢復(fù)信息的總長度，因此，盡管簽過名的信息較長，但信息擴(kuò)張量相同。換句話說，不管是不同的可恢復(fù)部巧或單一的可恢復(fù)部//，信息擴(kuò)張的產(chǎn)生主要?dú)w咎于"s"分量?？梢岳斫獾氖?，上述其它變化形式也可利用不同的可恢復(fù)部/^.和不同的可見部G來實(shí)現(xiàn)半聚合簽名。用于隱式證書的半聚合簽名上述半聚合簽名方法也可與隱式證書配合使用。對有通信者Alice和Bob的隱式證書而言，Alice接收來自Bob或某些通訊錄的Bob的隱式證書CB。僅根據(jù)這點(diǎn)，Alice按照B=Hash(CB,lB)+QcA來計(jì)算Bob的公鑰，逸里Ib是識別Bob、認(rèn)證機(jī)構(gòu)(CertifyingAuthority,CA)及其它相關(guān)信息(例如有效期、密鑰的使用等)的字符串；QcA是所識別的CA的公鑰。Alice可使用B作為Bob的隱式認(rèn)證的公鑰。該隱式本質(zhì)是歸咎于雖然Alice可確定僅Bob知曉與B相關(guān)的私鑰，j旦她不能確定Bob實(shí)際上知曉該私鑰。然而，《艮快Alice就期望Bob使用該私鑰，因此Alice幾乎一需要使用B就能夠發(fā)現(xiàn)這個問題。對半聚合簽名而言，如果簽名者y有隱式證書CSignerj，驗(yàn)證者14按照Qsig呵'=Hash(CSignerj.，ISigner》+Qc勿來計(jì)算簽名者y'的公鑰，這里Isigner乂.是與簽名者乂相關(guān)的證書信息，QcA,.是發(fā)布隱式證書CSigneu的CA的公鑰。例如，當(dāng)驗(yàn)證者14正在恢復(fù)比如簽名站2使用ECPVS簽過名的明文，則驗(yàn)證者14通常計(jì)算V=^4S//(c2，將/z/轉(zhuǎn)換為整數(shù)e2，，并計(jì)算込'^2G-e2'『，最終計(jì)算X「KDF(込')。當(dāng)有隱式證書C2時，所執(zhí)行的運(yùn)算可能分別變?yōu)閂=^4S//(c21|7)/^45//(<:2||/2)mod"及JT2=+e2'C2+//a#2||r)2③。與由C2計(jì)算Q2然后用前面的等式計(jì)算X2相比，已知的方法，比如Shamir算法(Shamir'strick)和Solinas的"聯(lián)合稀疏形，，算法(JointSparseForm)等，提高了計(jì)算X2的單一運(yùn)算的速度。應(yīng)當(dāng)理解的是，如果使用顯式證書，驗(yàn)證者14將需要驗(yàn)證依據(jù)公鑰Q2計(jì)算的CA的顯式簽名，這將花費(fèi)更長的時間。因此可以看出半聚合ECPVS簽名可有幾種變化形式。對上文舉例的醫(yī)藥供應(yīng)鏈22而言，每一制造商、批發(fā)商、銷售商和貨運(yùn)商可能添加他們自己的ECPVS至貼在物品18上的RFID標(biāo)簽20。因?yàn)镽FID標(biāo)簽20中的可用數(shù)據(jù)存儲空間有限，在這樣的應(yīng)用場合，半聚合簽名的有點(diǎn)在于在相同的有限空間內(nèi)允許裝下更多的簽名。當(dāng)物品18到達(dá)藥房時，聚合簽名可凈皮驗(yàn)證從而藥房可推斷在供應(yīng)鏈22的整個過程中是由認(rèn)可方處理交付的。應(yīng)當(dāng)理解的是，上述原則同樣適用于其它系統(tǒng)，不應(yīng)限于醫(yī)藥環(huán)境或iU正RFID系統(tǒng)。全聚合ECPVS簽名在可實(shí)現(xiàn)多個簽名者合作的某些情形中，可使用全聚合ECPVS簽名方案。在以下方案中，T個簽名者合作將通常為T個不同的ECPVS簽名聚合在全部T個簽名者的單一ECPVS簽名中?？偟膩碚f，當(dāng)簽名站j有私鑰Wj和^^鑰Wj時，如同上文詳述的傳統(tǒng)ECPVS，簽名站j產(chǎn)生臨時密鑰對(kj，Qj)和加密密鑰Xj-KDF(Qj)。然后聚合加密密鑰按照Z=X,+X2+...+A來計(jì)算。按照上文描述，信息M的可恢復(fù)部//是用加密密鑰進(jìn)行加密的，在這種情形中，是用聚合加密密鑰X來獲得密文c=SVC《(if)。如果可恢復(fù)部變化，則//由Z/,.取代，c由Cj取代。中間分量/^=/^5//(^可能然后由c計(jì)算得來，中間分量h轉(zhuǎn)換為整數(shù)e,每一簽名站j計(jì)算"s，，分量，例如按照^=m7+、(1110(1")計(jì)算。聚合3值按照5=^+...+^來計(jì)算，聚合簽名為(c，"，這里c是i/的加密。如果有不同的可恢復(fù)信息部巧，聚合簽名將看起來與半聚合簽名類似，也就是(q，...,c,A)。由于每一密文c,可能貢獻(xiàn)一些信息擴(kuò)張以提供冗余，但是，在全聚合中信息擴(kuò)張量不會隨著簽名者的數(shù)量增加而增加，因此，后者的聚合簽名不如前者的簽名聚合度高。為了克服這點(diǎn)，可注意的是，在ECPVS中填補(bǔ)可恢復(fù)信息巧的通常方式為用足夠長的串S來預(yù)先設(shè)定信息//,從而II巧。如果簽名者全部使用相同的Sj以致Sj=S，則對某些固定的簽名者共用串C和特定簽名者串Cj，而言，可能出現(xiàn)。五M^(/^^5M^CSI17/,):cllc/的情形。如果對稱加密具有流密碼(streamcipher)的特性，這將有可能出現(xiàn)。對對稱加密方案而言，例如CBC模式下的AES,倘若S具有與AES的塊的大小(通常為128位或16位)相匹配的某一長度，上述情形將會出現(xiàn)。在這種情形下，聚合簽名可能更緊湊地表示為(C，q',…,C7'，》,且唯一的信息擴(kuò)張為(C,S),(C力為簽過名的單一信息的大小，使得這種方式完全聚合。應(yīng)當(dāng)注意的是，當(dāng)使用流密碼時，無論信息在何處具有共有部分，密文也有共有部分，因此共有密文部分可僅被發(fā)送一次以進(jìn)一步減少信息擴(kuò)張量。如此，即使共有不在信息的開始處，不管共有在何處，密文部分的共有性都可被充分利用。對固定格式的信息和在CTR模式下的塊密碼(例如像流密碼一樣)或ECB模式下的塊密碼(64或128位的塊)而言，這可能發(fā)生。當(dāng)有單一可見部V時，為了驗(yàn)證，中間分量可按照/2'=/￡"http://(0||r)計(jì)算，如前所述/z，轉(zhuǎn)化為整數(shù)e，，臨時公鑰Q，按照e'wG-6'(『1+...+^)計(jì)算，由此解密密鑰按照X:KDF(Q，)計(jì)算。然而，應(yīng)當(dāng)注意的是，當(dāng)有不同的可見部K.時，每一中間分量按照^^^^5^(^1^)計(jì)算，臨時公鑰Q，按照2'=刃-(VR+…+V^)計(jì)算。還應(yīng)當(dāng)注意的是，如果可恢復(fù)部/Z隨簽名者16而變化，每次C都由Cj來代替。不僅運(yùn)算^'=^-+...+^)可更有效率地計(jì)算，這也表示(c，"是對公鑰^+『2+...+『7.有效的ECPVS簽名。驗(yàn)證者14可能通過用解密密鑰X來解密c獲得明文/T，解密密鑰X是用相同的KDF從臨時密鑰Q，中導(dǎo)出的。如果//'有必需的冗余，則信息M可被重建，例如通過鏈接/7'和r,驗(yàn)證者14可推斷每一簽名者對該信息簽過名。參照圖23和24,其示出了具有簽名站1至3的示例。從圖23中可以看出，在計(jì)算X中每一簽名者16貢獻(xiàn)一個分量，每一簽名者16使用中間分量h，來計(jì)算"s"分量，"s，，分量被貢獻(xiàn)給簽名中所使用的聚合s。從圖24中也可看出，臨時公鑰用簽名者的公鑰的組合來重建，可恢復(fù)部//的代表//，用該公鑰從c中解密出來。在每一簽名者16使用不同的可恢復(fù)部巧的情形中，恢復(fù)///的步驟被///二朋cv(。)取代。應(yīng)當(dāng)注意的是，全聚合方式需要每一簽名者16的主動參與。如果新的簽名者16將被增加至該聚合，則之前的簽名者將需要為簽名分量s貢獻(xiàn)新的分量力。與半聚合ECPVS中任何新的簽名者可加在一個額外的簽名中相比，這可個特定的應(yīng)用場合。為了安全因素，在聚合ECPVS中，更可取的是，獲得Qsigner,.的證書的簽名者/提供私鑰的擁有證明(Proof-Of-Possession,POP)給一些CA(或者如果失敗，提供給驗(yàn)證者)。通常，簽署的公鑰的POP是通過簽署發(fā)送給CA的證書請求來完成的。當(dāng)證書頒發(fā)時，驗(yàn)證者可通常依靠CA以從每一證書的主體中獲得POP。同樣，全聚合ECPVS簽名可與隱式證書配合使用。例如，如果簽名者乂有隱式證書CSignerv,則驗(yàn)證者14可按照W7.=Hash(CSigner7.，ISlgner》CSigner,.+QCA,來計(jì)算簽名者7'的公鑰，這里Is砂q是與簽名者乂相關(guān)的證書信息，QCA,.是頒發(fā)隱式證書的CA的公鑰。與半聚合簽名中一樣，Q,的計(jì)算可被計(jì)算X的等式所取代，與先計(jì)算(^.再計(jì)算X相比，這可提供更好的性能。其它簽名方案其它ElGamal類型的簽名可使用上述關(guān)于ECPVS的原則以應(yīng)用上述的半聚合和全聚合方式。其它簽名方案，例如ECDSA，具有完全不同的特性，因此需要進(jìn)行其它的考慮。聚合ECDSA簽名業(yè)界也可能想要聚合ECDSA簽名，例如，在ECDSA被用于簽署RFID標(biāo)簽20的醫(yī)藥供應(yīng)鏈22中。這樣的實(shí)施例在圖25和26中表示。與上文類似，在此考慮的是T個簽名者如何能合作產(chǎn)生一個當(dāng)且僅當(dāng)對應(yīng)的T個ECDSA簽名有效時才有效的全聚合簽名。下文參考前文對ECDSA的描述。每一簽名者選擇隨機(jī)值、并計(jì)算發(fā)送給其它簽名者的;/=、/>的值。R的公共值按照+&來計(jì)算。用于計(jì)算R=AP所對應(yīng)的k為=&+...+^。因?yàn)楹灻遹'只知道其自身對共用密鑰k的貢獻(xiàn)部分、，因此沒有單獨(dú)的簽名者知曉k值。類似地，^/=《+...+力表示簽名者們的共用私鑰，這里沒有單獨(dú)的簽名者知曉完整的d值。對應(yīng)的公鑰將因此按照單獨(dú)的簽名者的公鑰的總和『"尸=《尸+".+...+^來計(jì)算。第一簽名分量r按照r=/(i)來計(jì)算，這里/()是通常用在ECDSA的特定操作中將一個點(diǎn)的x坐標(biāo)轉(zhuǎn)換為整數(shù)的函數(shù)，減少證書整數(shù)模"(參見上文ECDSA的定義)。最終，第二簽名分量s可按照s=F1(//(/")+W)mod"來計(jì)算，該簽名可按照來(w)計(jì)算，其將是在信息M上使用共用公鑰『=『1+...+^的有效的ECDSA簽名。驗(yàn)證聚合的ECDSA簽名可由驗(yàn)證者14完成，首先計(jì)算共用公鑰『=『1+...+^(這里w,是簽名站y的公鑰)，然后利用共用公鑰『驗(yàn)證(r，力(例如通過讀耳又FR1D標(biāo)簽20)。值s是從d和k計(jì)算得來，d和k是沒有單獨(dú)的簽名者16整體知曉的秘密值。類似地，沒有簽名者16知道任何其它簽名者的私鑰。為了保持這個安全等級，簽名者16可用已知的多方安全運(yùn)算的方法其中之一，這允許s在任何一方不需要對其它方揭露與其自身秘密相關(guān)的任何內(nèi)容的情況下多方計(jì)算一個值，這個值是多個個別保存的秘密的函數(shù)。在1988年出版的美國計(jì)算機(jī)學(xué)會計(jì)算理論，88年會會刊中由Chaum等人發(fā)表的題為《多方無條件安全協(xié)議》W朋)的論文中和1988年出版的美國計(jì)算機(jī)學(xué)會計(jì)算理論，88年會會刊中由Ben-Or等人發(fā)表的題為《非密碼容錯分布式運(yùn)算的完全法則》("Com/7/efeweM爿CMS7UC7P朋,j^.的論文的第1-10頁中，已經(jīng)給出已知的多方安全運(yùn)算的方法。因此，可以看出多個簽名者的復(fù)合簽名可用更少的信息擴(kuò)張來實(shí)現(xiàn)。半聚合和全聚合簽名方案都可用于并特別適用于ECPVS和ECDSA。在存儲簽名的空間很寶貴的場合中，復(fù)合簽名很有用，且復(fù)合簽名使簽名能夠在一個過程中的不同階段被寫入，比如醫(yī)藥供應(yīng)鏈22中的RFID標(biāo)簽20。盡管本發(fā)明已結(jié)合一些具體的實(shí)施例進(jìn)行說明，但本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明的精神與本發(fā)明的權(quán)利要求所記載的范圍的前提下可作出各種修改。權(quán)利要求1.一種提高射頻識別(RFID)標(biāo)簽安全性的方法，包括獲得上述RFID標(biāo)簽；以及使用橢圓曲線(EC)加密方案對上述RFID標(biāo)簽簽名。2.如4又利要求1所述的方法，其中上述加密方案是橢圓曲線Pintsov-Vanstone(ECPV)簽名方案，上述方法包括-險查上述RFID標(biāo)簽；以及如果將被隱藏在第一簽名分量中的第一數(shù)據(jù)部具有少于預(yù)定數(shù)量的冗余，則填補(bǔ)上述第一數(shù)據(jù)部。3.如權(quán)利要求2所述的方法，其中上述RFID標(biāo)簽上未使用的數(shù)據(jù)塊被用于提供上述填補(bǔ)。4.如權(quán)利要求2所述的方法，其中上述第一數(shù)據(jù)部識別貼有上述RFID標(biāo)簽的產(chǎn)品類型，上述填補(bǔ)是通過上述RFID標(biāo)簽上的另一^t據(jù)部自身的冗余來提供的。5.如權(quán)利要求1所述的方法，其中上述RFID標(biāo)簽被選擇足夠大以適應(yīng)多個EC簽名。6.如權(quán)利要求1所述的方法，其中上述加密方案是橢圓曲線數(shù)字簽名算法(ECDSA)。7.如權(quán)利要求6所述的方法，其中待簽名的信息是上述FRID標(biāo)簽的序列號和識別碼的組合。8.—種射頻識別(RFID)標(biāo)簽，包括橢圓曲線加密簽名。9.如權(quán)利要求8所述的RFID標(biāo)簽，其中上述橢圓曲線加密簽名是ECPV簽名，如果將被隱藏在第一簽名分量中的第一數(shù)據(jù)部具有少于預(yù)定數(shù)量的冗余，則填補(bǔ)上述第一數(shù)據(jù)部。10.如權(quán)利要求9所述的RFID標(biāo)簽，其中上述RFID標(biāo)簽上未使用的數(shù)據(jù)塊被用于提供上述填補(bǔ)。11.如權(quán)利要求9所述的RFID標(biāo)簽，其中上述第一凄t據(jù)部識別貼有上述RFID標(biāo)簽的產(chǎn)品類型，上述填補(bǔ)是通過上述RPID標(biāo)簽上的另一數(shù)據(jù)部自身的冗余來提供的。12.如權(quán)利要求8所述的RFID標(biāo)簽，其中上述RFID標(biāo)簽被選擇足夠大以適應(yīng)多個EC簽名。13.如權(quán)利要求8所述的RFID標(biāo)簽，其中上述橢圓曲線加密簽名是ECDSA簽名。14.如權(quán)利要求]3所述的RFID標(biāo)簽，其中待簽名的信息是上述FRID標(biāo)簽的序列號和識別碼的組合。15.如權(quán)利要求8所述的RFID標(biāo)簽，其中上述標(biāo)簽的序列號是在簽名之前被燒入上述標(biāo)簽。16.—種對RFID標(biāo)簽簽名的方法，該方法包括獲得將被寫入上述標(biāo)簽中的第一組數(shù)據(jù)，上述第一組數(shù)據(jù)包含對未授權(quán)的RFID讀取器隱藏的信息；將上述第一組數(shù)據(jù)作為可恢復(fù)部并入具有信息恢復(fù)的簽名方案中；以及利用具有對應(yīng)馬全^〖正密鑰的私鑰將簽名寫入上述標(biāo)簽；其中上述第一組數(shù)據(jù)僅可通過允許訪問上述驗(yàn)證密鑰的授權(quán)RFID讀取器來恢復(fù)。17.如權(quán)利要求16所述的方法，其中上述第一組數(shù)據(jù)是產(chǎn)品標(biāo)識符。18.如權(quán)利要求16所述的方法，包括通過分配上述驗(yàn)證密鑰至選定的一個或多個授權(quán)RFID讀取器來控制對上述驗(yàn)證密鑰的訪問。19.如權(quán)利要求16所述的方法，其中上述簽名具有第一分量和第二分量，上述第一分量加密上述第一組數(shù)據(jù)，上述第二分量用上述私鑰和上述第一分量產(chǎn)生，上述方法包括通過在第三分量中加密上述第一分量以及用上述第三分量產(chǎn)生第四分量來產(chǎn)生更新的簽名，上述更新的簽名包括上述第二、第三和第四分量。20.如權(quán)利要求16所述的方法，包括通過在下一個簽名分量中加密之前的簽名分量以及使用上述下一個簽名分量產(chǎn)生另一下一個簽名分量來產(chǎn)生進(jìn)一步更新的簽名。21.RFID標(biāo)簽的加密模塊，上述加密模塊構(gòu)造成用以獲得將要被寫入上述標(biāo)簽中的第一組數(shù)據(jù)，上述第一組數(shù)據(jù)具有對未授權(quán)的RFID讀取器隱藏的信息；將上述第一組數(shù)據(jù)作為可恢復(fù)部并入具有信息恢復(fù)的簽名方案中；以及利用具有對應(yīng)驗(yàn)證密鑰的私鑰將簽名寫入上述標(biāo)簽；其中上述第一組數(shù)據(jù)僅可通過允許訪問上述驗(yàn)證密鑰的授權(quán)RFID讀取器來恢復(fù)。22.如權(quán)利要求21所述的簽名站，其中上述第一組數(shù)據(jù)是產(chǎn)品識別符。23.—種iU正RFID沖示簽的方法，包括獲得上述標(biāo)簽，上述標(biāo)簽上有具有至少一個分量的簽名，上述分量加密第一組數(shù)據(jù)，上述標(biāo)簽具有為明文的第二組數(shù)據(jù)；獲得驗(yàn)證密鑰；使用上述驗(yàn)證密鑰解密上述至少一個分量以獲得上述第一組數(shù)據(jù)；以及檢查上述第一組數(shù)據(jù)的預(yù)定特性以驗(yàn)證上述簽名，從而認(rèn)證上述標(biāo)簽。24.如權(quán)利要求23所述的方法，其中上述第一組數(shù)據(jù)是產(chǎn)品識別符。25.—種RFID讀取器，包括用于驗(yàn)證RFID標(biāo)簽上的EC加密簽名的加密模塊，上述加密模塊構(gòu)造成用以獲得上述標(biāo)簽，上述標(biāo)簽上有具有至少一個分量的簽名，上述分量加密第一組數(shù)據(jù)，上述標(biāo)簽具有為明文的第二組數(shù)據(jù)；獲得驗(yàn)證密鑰；使用上述驗(yàn)證密鑰解密上述至少一個分量以獲得上述第一組數(shù)據(jù)；以及檢查上述第一組數(shù)據(jù)的預(yù)定特性以驗(yàn)證上述簽名，從而認(rèn)證上述標(biāo)簽。26.如權(quán)利要求25所述的RFID讀取器，其中上述第一組數(shù)據(jù)是產(chǎn)品識別符。27.—種為認(rèn)證RFID系統(tǒng)中的多個RFID讀取器管理驗(yàn)證密鑰的方法，包括確定一組許可，上述許可指征上述多個RFID讀取器中的哪一個或多個RFID讀取器被允許認(rèn)證一個或多個產(chǎn)品類型；根據(jù)這組許可，為上述多個讀取器中的一個或多個讀取器準(zhǔn)備一組驗(yàn)證密鑰，每個驗(yàn)證密鑰與特定產(chǎn)品類型相關(guān)聯(lián)；以及分配每組,險證密鑰至對應(yīng)的RFID讀取器。28.如權(quán)利要求27所述的方法，其中上述分配是周期性地執(zhí)行的，使得連接至RFID讀取器的專用連接不是必要的。29.如權(quán)利要求27所述的方法，包括從一個或多個上述RFID讀取器接收密鑰更新請求，上述確定一組許可包括檢查是否有新許可。30.如權(quán)利要求27所述的方法，包括從新RFID讀取器接收注冊請求，以及確定一組新的針對上述新RFID讀取器的許可。31.如權(quán)利要求27所述的方法，包括接收與新驗(yàn)證密鑰相關(guān)聯(lián)的證書請求；回傳針對上述新-瞼證密鑰的證書；確定上述多個讀取器中的哪些有權(quán)使用上述證書；更新上述許可；以及存儲上述證書用于今后更新。32.如權(quán)利要求27所述的方法，包括接收指征上述驗(yàn)證密鑰用量的報告；以及將收入與上述用量關(guān)聯(lián)起來。33.如權(quán)利要求27所述的方法，包括接收表明被寫入對應(yīng)RFID標(biāo)簽中的簽名的數(shù)量的報告；以及將收入與上述被寫入的簽名的數(shù)量關(guān)聯(lián)起來。34.如權(quán)利要求27所述的方法，包括根據(jù)收到的訂購款來執(zhí)行上述分配。35.—種密鑰管理系統(tǒng)，用于具有多個RFID讀取器的認(rèn)證RFID系統(tǒng)中，上述密鑰管理系統(tǒng)構(gòu)造成用以確定一組許可，上述許可指征上述多個RFID讀:取器中的哪一個或多個RFID讀^^器^皮允許讀耳又一個或多個具有對應(yīng)RFID標(biāo)簽的產(chǎn)品類型；根據(jù)這組許可，為上述多個讀取器中的一個或多個讀取器準(zhǔn)備一組驗(yàn)證密鑰；以及分配上述驗(yàn)證密鑰至上述讀取器。36.如權(quán)利要求35所述的密鑰管理系統(tǒng)，包括證書代理、證書服務(wù)器和有條件訪問數(shù)據(jù)庫，其中上述證書代理用以簽發(fā)針對上述驗(yàn)證密鑰的證書，上述有條件訪問數(shù)據(jù)庫用以存儲與上述驗(yàn)證密鑰相關(guān)聯(lián)的證書。37.如權(quán)利要求35所述的密鑰管理系統(tǒng)，包括至少一個控制器，用以監(jiān)測對RFID標(biāo)簽進(jìn)行的簽名以及使用上述驗(yàn)證密鑰對RFID標(biāo)簽進(jìn)行的驗(yàn)證。38.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述分配是按預(yù)定的間隔執(zhí)行，使得連接至RFID讀取器的專用連接不是必要的。39.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以從一個或多個上述RFID讀取器4妄收密鑰更新請求，上述確定一組許可包括;險查是否有新許可。40.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以從新RFID讀取器接收注冊請求，以及確定一組新的針對上述新RFID讀取器的許可。41.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以接收與新驗(yàn)證密鑰相關(guān)聯(lián)的證書請求；回傳針對上述新驗(yàn)證密鑰的證書；確定上述多個讀取器中的哪些有權(quán)使用上述證書；更新上述許可；以及存儲上述證書用于今后更新。42.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以接收指征上述驗(yàn)證密鑰用量的報告；以及將收入與上述用量關(guān)聯(lián)起來。43.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以接收表明被寫入對應(yīng)RFID標(biāo)簽中的簽名的數(shù)量的報告；以及將收入與上述被寫入的簽名的數(shù)量關(guān)if關(guān)起來。44.如權(quán)利要求35所述的密鑰管理系統(tǒng)，其中上述密鑰管理系統(tǒng)構(gòu)造成用以根據(jù)收到的訂購款來執(zhí)行上述分配。45.—種產(chǎn)生聚合數(shù)字簽名的方法，包括通過使用第一加密密鑰加密第一數(shù)據(jù)部來產(chǎn)生第一簽名分量；根據(jù)上述第一簽名分量和第二數(shù)據(jù)部來產(chǎn)生第一中間簽名分量；才艮據(jù)上述第一中間簽名分量和第一私鑰來產(chǎn)生第二簽名分量；通過使用第二加密密鑰加密上述第一和第二簽名分量的其中之一來產(chǎn)生第三簽名分量；根據(jù)上述第三簽名分量和上述第二數(shù)據(jù)部來產(chǎn)生第二中間簽名分量；根據(jù)上述第二中間簽名分量和第二私鑰來產(chǎn)生第四簽名分量；以及將上述第一和第二簽名分量的其中另一以及上述第三和第四簽名分量作為上述數(shù)字簽名輸出。46.如權(quán)利要求45所述的方法，包括通過將密鑰導(dǎo)入函數(shù)應(yīng)用在對應(yīng)的臨時公鑰上來產(chǎn)生上述第一和第二加密密鑰。47.如權(quán)利要求45所述的方法，其中上述第一和第二中間分量是通過對對應(yīng)簽名分量和上述第二數(shù)據(jù)部的組合進(jìn)行散列運(yùn)算產(chǎn)生的。48.如權(quán)利要求45所述的方法，其中上述第二和第四簽名分量是使用對應(yīng)的中間分量的整數(shù)表示、對應(yīng)的長期私鑰和對應(yīng)的臨時私鑰來產(chǎn)生的。49.如權(quán)利要求45所述的方法，其中上述第一和第二簽名分量是由第一簽名實(shí)體產(chǎn)生以產(chǎn)生上述數(shù)字簽名的第一代表；上述第三和第四簽名分量是由第二簽名實(shí)體根據(jù)上述第一代表產(chǎn)生以產(chǎn)生上述數(shù)字簽名的第二代表。50.如權(quán)利要求45所述的方法，其中上述簽名分量是#4居ECPVS加密方案產(chǎn)生的。51.—種驗(yàn)證聚合數(shù)字簽名的方法，包括獲得上述數(shù)字簽名，上述數(shù)字簽名具有第一簽名分量和至少一個第二簽名分量，上述第一簽名分量使用相應(yīng)的加密密鑰加密至少一個其它簽名分量，上述至少一個其它簽名分量中的第一個簽名分量加密第一數(shù)據(jù)部，每個第二簽名分量要么是根據(jù)上述第一簽名分量產(chǎn)生的，要么是根據(jù)上述至少一個其它簽名分量中的相應(yīng)一個以及相應(yīng)的私鑰而產(chǎn)生的；使用上述第一簽名分量和第二數(shù)據(jù)部來產(chǎn)生第一解密密鑰并解密上述第一簽名分量以獲得被恢復(fù)的簽名分量；使用上述被恢復(fù)的簽名分量并通過產(chǎn)生一個或多個之后的解密密鑰來恢復(fù)與上述至少一個其它簽名分量對應(yīng)的額外簽名分量；從上述至少一個其它簽名分量的第一個中恢復(fù)上述第一數(shù)據(jù)部的代表；以及52.如權(quán)利要求51所述的方法，其中上述解密密鑰的產(chǎn)生包括以下步驟根據(jù)上述第一簽名分量或上述至少一個其它簽名分量以及上述第二數(shù)據(jù)部來計(jì)算各相應(yīng)的中間值；將上述中間值轉(zhuǎn)換為整數(shù)表示；使用上述整數(shù)表示和公有數(shù)據(jù)產(chǎn)生相應(yīng)的臨時公鑰；以及根據(jù)上述臨時公鑰產(chǎn)生上述解密密鑰。53.如權(quán)利要求52所述的方法，其中上述中間分量是通過對相應(yīng)的簽名分量和上述第二數(shù)據(jù)部進(jìn)行散列運(yùn)算計(jì)算得到的。54.如權(quán)利要求51所述的方法，其中上述預(yù)定特性是冗余。55.如權(quán)利要求51所述的方法，其中上述解密密鑰是使用密鑰導(dǎo)入函數(shù)產(chǎn)生的。56.如權(quán)利要求51所述的方法，其中上述方法使用ECPVS驗(yàn)證方案。57.—種在多個簽名階段產(chǎn)生聚合數(shù)字簽名的方法，包括產(chǎn)生一對初始的簽名分量；在下一組簽名分量中加密上述初始分量對中的一個分量，上述下一組簽名分量包括上述初始分量對中的另一個分量和兩個新簽名分量；以及對于之后的簽名階段，加密前一個簽名分量并產(chǎn)生另外的新簽名分量，其中上述前一個簽名分量依次加密另一個之前的簽名分量；其中，在每一階段的上述數(shù)字簽名的簽名分量的數(shù)量比簽名階段的總數(shù)量多一個。58.—種計(jì)算機(jī)可讀介質(zhì)，含有計(jì)算機(jī)可讀指令，上述指令致使加密處理器執(zhí)行如權(quán)利要求45至57中任何一項(xiàng)所述的方法。59.—種加密處理器，構(gòu)造成用以產(chǎn)生如權(quán)利要求45至57中任何一項(xiàng)所述的聚合數(shù)字簽名。60.—種用于產(chǎn)生聚合數(shù)字簽名的方法，包括使用第一值產(chǎn)生第一簽名分量，其中上述第一值是從多個簽名者中的每一個簽名者貢獻(xiàn)的各自的第一值中得到；使用第二值產(chǎn)生第二簽名分量，其中上述第二值是從上述多個簽名者中的每一個簽名者貢獻(xiàn)的各自的第二值中得到；以及輸出具有上述第一簽名分量和上述第二簽名分量的上述數(shù)字簽名。61.如權(quán)利要求60所述的方法，其中上述第一簽名分量是通過使用上述第一值加密第一數(shù)據(jù)部計(jì)算得到的，上述第一值是從每個上述簽名者產(chǎn)生的各自加密密鑰中得到的加密密鑰，上述第二簽名分量是通過組合各自第二分量和第二數(shù)據(jù)部計(jì)算得到的，其中上述各自第二分量是從上述第一簽名分量中得到的。62.如權(quán)利要求60所述的方法，其中上述各自加密密鑰是從由上述多個簽名者所得到的相應(yīng)臨時密鑰中得到的。63.如權(quán)利要求60所述的方法，其中每個上述各自第二分量是從中間簽名分量中得到的，而上述中間簽名分量是通過對上述第一簽名分量和上述第二數(shù)據(jù)部的組合進(jìn)行散列運(yùn)算而得到的。64.如權(quán)利要求60所述的方法，其中每個上述各自第二分量是從上述多個簽名者的相應(yīng)的私有值中得到的。65.如權(quán)利要求60所述的方法，其中上述第一簽名分量是作為上述第一值的函數(shù)而計(jì)算得到的，上述第一值是上述各自第一值的組合，上述第二簽名分量是使用上述第二值和上述第一簽名分量計(jì)算得到的，其中上述第二值是通過組合上述多個簽名者中的每一個簽名者的私有值而得到的組合私鑰。66.如權(quán)利要求65所述的方法，其中上述各自第一值是使用上述多個簽名者產(chǎn)生的相應(yīng)的臨時私鑰計(jì)算而成的。67.如權(quán)利要求65所述的方法，其中上述第二簽名是使用被簽名的信息的代表計(jì)算得到的。68.如權(quán)利要求67所述的方法，其中上述代表是上述信息的散列。69.—種驗(yàn)證聚合數(shù)字簽名的方法，包括獲得上述數(shù)字簽名，上述數(shù)字簽名具有使用第一值產(chǎn)生的第一簽名分量和使用第二值產(chǎn)生的第二簽名分量，上述第一值是從多個簽名者中每一個簽名者貢獻(xiàn)的各自第一值中得到的，上述第二值是從上述多個簽名者中每一個簽名者貢獻(xiàn)的各自第二值中得到的；在簽名驗(yàn)證過程的至少一個步驟中使用上述組合公鑰。70.如權(quán)利要求69所述的方法，其中上述第一簽名分量已經(jīng)通過使用上述第一值加密第一數(shù)據(jù)部的方式計(jì)算而成，上述第一值是上述多個簽名者中每一個簽名者產(chǎn)生的各自加密密鑰中得到的加密密鑰，上述第二簽名分量已經(jīng)通過組合從上述第一簽名分量中得到的各自第二分量和第二數(shù)據(jù)部而計(jì)算而成。71.如權(quán)利要求70所述的方法，其中上述組合公鑰用于產(chǎn)生臨時公鑰的代表，上述代表用于產(chǎn)生解密密鑰，上述解密密鑰用于從上述第一簽名分量中解密上述第一數(shù)據(jù)部。72.如權(quán)利要求71所述的方法，其中上述臨時公鑰的上述代表是使用上述第二簽名分量和中間簽名分量的整數(shù)表示計(jì)算而成的，上述中間簽名分量是從上述第一簽名分量和上述第二數(shù)據(jù)部得到的。73.如權(quán)利要求69所述的方法，其中上述第一簽名分量已經(jīng)作為上述第一值的函數(shù)計(jì)算而成，上述第一值是上述各自第一值的組合，上述第二簽名分量已經(jīng)使用上述第二值和上述第一簽名分量計(jì)算而成，其中上述第二值是通過組合上述多個簽名者中每個簽名者的私有值計(jì)算而成的組合私鑰。74.如權(quán)利要求73所述的方法，其中上述簽名驗(yàn)證方法是ECDSA。75.—種計(jì)算機(jī)可讀介質(zhì)，含有計(jì)算機(jī)可讀指令，上述指令致使加密處理器執(zhí)行如權(quán)利要求60至74中任何一項(xiàng)所述的方法。76.—種加密處理器，構(gòu)造成用以產(chǎn)生如權(quán)利要求60至74中任何一項(xiàng)所述的聚合數(shù)字簽名。全文摘要本發(fā)明公開了一種使用橢圓曲線加密(ECC)的認(rèn)證RFID系統(tǒng)，與傳統(tǒng)公鑰實(shí)施方案例如RSA相比，其降低了簽名大小和讀/寫次數(shù)。可以使用ECDSA或ECPVS來降低簽名大小，且ECPVS可用于隱藏RFID標(biāo)簽中含有敏感產(chǎn)品識別信息的部分?jǐn)?shù)據(jù)。因此，可以使用更小的標(biāo)簽，或者多個簽名可在制造過程或供應(yīng)鏈的不同階段被寫入。本發(fā)明也公開了用于分配驗(yàn)證密鑰的密鑰分配系統(tǒng)。本發(fā)明還公開了用于例如在供應(yīng)鏈中向RFID標(biāo)簽中添加多個簽名的聚合簽名方案。文檔編號G01V15/00GK101535845SQ200780038280公開日2009年9月16日申請日期2007年9月10日優(yōu)先權(quán)日2006年9月8日發(fā)明者丹尼爾·R·布朗,蘭迪·曾,安東尼·J·沃特,布萊恩·尼爾,托尼·羅薩蒂,斯高斯·A·萬斯通,柯伊蘭·斯密斯,瓦特·戴維斯,邁克爾·格里斯-哈維申請人:塞爾蒂卡姆公司