專利名稱:通信協(xié)議和電子通信系統(tǒng)——特別是認證控制系統(tǒng)——及相應的方法
技術領域:
本發(fā)明總體上涉及安全系統(tǒng)和/或門禁系統(tǒng)的技術領域,例如用于 運輸裝置領域,在這種情況下最主要是用于機動車輛的門禁系統(tǒng)。
本發(fā)明具體涉及權利要求1的前序部分中詳細描述的通信協(xié)議、
權利要求2的前序部分中詳細描述的電子通信系統(tǒng)、以及基于權利要 求4的前序部分中詳細描述的至少一種密碼算法的密碼認證方法。
背景技術:
在圖2中描述了基于具有128比特密鑰的標準密碼30'、 32'(也 即基于AES (先進加密標準)128密碼算法)的防盜認證過程的示例 (關于AES128的技術背景,可以參考例如現有技術文獻US 2004/0202317 Al)。
在圖2中,被布置在被保護以防止未授權的使用和/或未授權的訪 問的對象上或內(例如被布置在車輛上或內)的基站10'與遠程設備 20'(特別是密鑰)交換數據信號12、 22,其中通過所交換的數據信 號12、 22,可以確定針對使用和/或訪問的認證?;?0'和遠程設 備20'屬于認證系統(tǒng)100'。
認證系統(tǒng)100'包括電可擦除可編程只讀存儲器(EEPROM) 50'、 52', EEPROM50'、 52'被設計用于生成
-至少一個標識符數字IDE,特別是至少一個序號,優(yōu)選地是基 于32比特,和/或
-至少一個密鑰SK,優(yōu)選地是基于128比特。
為了認證,在第一認證階段或第一認證步驟i.l'中,通過上行鏈
路從所述遠程設備20'向所述基站10'傳輸所述標識符數字。
隨后,在第二認證階段或第二認證步驟i.2'中,通過下行鏈路從 基站10'向遠程設備20'傳輸至少一個128比特偽隨機數PRN'。由 在基站10'處布置的至少一個偽隨機數生成器40'生成該偽隨機數 PRN'。
在基站10'和遠程設備20'中提供至少一個相應的密碼單元30'、 32';通過AES128基于電子密碼本模式(所謂的ECB模式)操作該 相應的密碼單元30'、 32'。使用偽隨機數PRN'和密鑰SK提供該相 應的密碼單元30'、 32'。
在使用密鑰SK對偽隨機數PRN'進行加密/解密之后,在第三認 證階段或第三認證步驟i.3'中,通過上行鏈路從遠程設備20'向基 站10'傳輸128比特響應RSP';由遠程設備20'的密碼單元32'生 成該128比特響應RSP'。
隨后,基站10'通過將該128比特響應RSP'與基站10'的密 碼單元32'的輸出30a'比較,來檢查128比特響應RSP'的真實性 或有效性。如果該128比特響應RSP'等于(二圖2中的附圖標記Y) 密碼單元32'的輸出30a',則該認證過程有效(=圖2中的附圖標記 V)。
圖2中示出的本實施的最相關的缺點是認證需要較長的時間跨 度,所述時間跨度基本上是由上行鏈路U'、 i.3'和下行鏈路i.2'的 相應數據速率確定的。(特別是如果使用效率較低的處理器,)認證時 間的主要部分需要用于128比特偽隨機數PRN'的傳輸和AES128算 法的計算。
關于相關的現有技術,參考現有技術文獻US 6549 116B1,其中
公開了一種具有降低的驗證時間期間的特征的車輛密鑰驗證設備和方 法。但是,根據該現有技術文獻,建議了級聯(lián)的或迭代的認證。
但是,己知的現有技術并未解決用于認證所需要的較長時間跨度 的問題。
發(fā)明內容
從如上文所述的不足和缺點開始,并且考慮所討論的現有技術, 本發(fā)明的目的是通過縮短用于密碼認證的相關時間的方式,進一步研 究出一種屬于在技術領域部分中所描述的類型的通信協(xié)議、 一種屬于 在技術領域部分中所描述的類型的電子通信系統(tǒng)、以及一種屬于在技 術領域部分中所描述的類型的方法。
通過包括權利要求1所述的特征的通信協(xié)議、包括權利要求2所 述的特征的電子通信系統(tǒng)、以及包括權利要求4所述的特征的方法來 實現本發(fā)明的目的。在相應的從屬權利要求中公開了本發(fā)明的有益的 實施例和有利的改進。
本發(fā)明基于另一隨機數的初始化(特別是預初始化)的思想,以 減少另 一認證會話中的通信時間和/或計算時間。
因此,根據本發(fā)明,通過在成功地認證了當前的隨機數(特別是 第一或當前的偽隨機數)時,對下個隨機數(特別是下個或另一偽隨 機數)進行初始化(特別是通過預初始化),而縮短了 (例如至少一個 遠程設備的,優(yōu)選地是至少一個應答機的)密碼認證所需的時間(特 別是對稱密碼認證中的通信時間和/或計算時間)。
具體地,本發(fā)明基于將密碼挑戰(zhàn)-響應協(xié)議進行分段的思想,其中 有益地,可以使用較簡潔或簡短的挑戰(zhàn)(特別是較簡潔或簡短的消息 認證碼和/或較簡潔或簡短的隨機數)。
本發(fā)明所基于的主要思想之一是在完成第一認證會話(例如當前 的認證序列)之后(特別是在完成第一認證會話之后立即)初始化特 別是傳輸將被用于另一認證會話(例如另一認證序列)的另一隨機數 或另一挑戰(zhàn)。
根據本發(fā)明的特定發(fā)明細化,在傳輸之前加密隨機數。這種加密 提供了防止竊聽隨機數的附加保護并增強了隨機數生成器的熵。
根據本發(fā)明的有益的實施例,根據以下方面執(zhí)行認證
-至少一個第二認證階段,特別是至少一個短的和/或快速的認證
步驟(在正確地傳輸和/或存儲了另一隨機數的情況下),和/或
-至少一個第一認證階段,特別是至少一個長的認證步驟,例如
至少一個備份認證(在傳輸和/或存儲中發(fā)生差錯的情況下)。
與其獨立地或與其關聯(lián)地,在本發(fā)明的有益的實施例中,增強了
標準算法例如基于128比特的先進加密標準協(xié)議(AES128標準協(xié)議), 以實現在成功地執(zhí)行當前的認證會話或序列中的認證后(特別是立即) 對下個認證會話或序列的隨機數的初始化。
這導致在對時間要求苛刻的密碼認證步驟或階段期間不需要傳 輸另一隨機數的優(yōu)點。因此,AES128所需要的時間僅僅比標準HT2 (HiTag)算法所需要的時間多6毫秒,例如用于Hitag 2戳或用于Hitag 2應答機(使用125KHZ的示例性載波頻率以及每秒3.9K比特和每秒 5.2K比特的示例性數據速率)。
而且,根據優(yōu)選的實施例,引入了至少一個標記(特別是至少一 個隨機數可用標記),以向基站指示第二認證階段(特別是短的認證序 列)的可能性。特別是如果用于下個認證會話的另一隨機數可用則設 置所述隨機數可用標記,否則清空或復位所述隨機數可用標記。
根據本發(fā)明的另一優(yōu)選的實施例,可以將另一 (特別是下個)認 證會話的另一隨機數寫入和/或存儲在基站和遠程設備中的至少一個 非易失性存儲器中,特別是應答機和/或鑰匙的智能卡中。
這導致可以在遠程設備中(特別是在鑰匙中)和基站中(特別是 在車輛中)完整地預先計算在另一認證會話期間傳輸的至少一個第一 響應(特別是基于96比特)。
第一響應在認證過程中起到重要作用;有益地,通過將該第一響 應與通過密碼算法(特別是通過基于輸出反饋模式(所謂的OFB模式) 的AES128)加密和/或解密的至少一個第二信號進行比較,來檢查第 一響應的真實性或有效性,其中,如果第一響應等于第二信號,則確 定第一響應和/或認證過程有效。
而且,本發(fā)明的優(yōu)選的實施例被設計用于執(zhí)行
-針對另一認證會話的至少一個密碼比特,特別是標記,優(yōu)選地 是基于1比特,和/或
-針對至少一個標識符數字,優(yōu)選地基于32比特,和/或
-針對至少一個消息認證碼,優(yōu)選地基于16比特,和/或
-針對至少一個配置,優(yōu)選地基于32比特,和/或
-在任何時間(特別是在成功的認證時和/或緊接在成功的認證之
后立即)針對第一響應,優(yōu)選地基于96比特, 的完整的預先計算。
本發(fā)明導致即使在第一響應中僅有一個比特是錯誤的(例如在預 先計算和/或傳輸中(例如在對第一響應的預先計算和/或傳輸中)發(fā) 生差錯的情況)仍可以在遠程設備的復位(特別是標記的復位)之后 根據第一 (特別是長的)認證階段(優(yōu)選地是立即)執(zhí)行另一認證過 程的優(yōu)點。
更具體的,這種差錯情況導致隨機數標記(特別是偽隨機數標記) 的復位。由于這種差錯情況,應答機不繼續(xù)任何另一通信;結果是基 站的超時。在(通過磁場失效某段時間來實現的)應答機的復位后, 可以由應答機執(zhí)行長的、非臨時加速的認證。
本發(fā)明可以虛擬地應用于所有流密碼或分組密碼,以節(jié)省計算能 力和/或節(jié)省認證時間,例如可用于汽車門禁。
因此,本發(fā)明最后涉及針對上文所述的至少一個通信協(xié)議和/或上 文所述的至少一個電子通信系統(tǒng)和/或上文所述的方法的使用,
-用于認證和/或識別和/或檢査針對受保護的對象一一例如傳送
系統(tǒng)和/或門禁系統(tǒng)一一的使用、進入等的權限,禾n/或
-用于機動車和非機動車應用中的基于應答機或芯片的系統(tǒng),特 別是用于門禁系統(tǒng),在所述系統(tǒng)中,盡管數據速率較低,仍需要認證 時間盡可能低,例如用于車輛的電子防盜系統(tǒng),以縮短密碼認證所需 的時間,更具體的是以縮短密碼認證中的通信時間和計算時間。
如上文所述,也可以采用數個選項以以有利的方式改進本發(fā)明的 教義。為了這個目的,參照從屬于權利要求l、權利要求2和權利要 求4的權利要求;在下文中,以示例的方式結合優(yōu)選的實施例并參照 以下附圖更詳細地解釋了本發(fā)明的進一步改進、特征和優(yōu)點,其中
圖l示意性地示出了以根據本發(fā)明的方法工作的根據本發(fā)明的認
證控制系統(tǒng)的形式的通信系統(tǒng)的實施例;
圖2示意性地示出了用于防盜系統(tǒng)應用的根據現有技術的AES (先進加密標準)128密碼算法的標準實施;
圖3通過描述本發(fā)明的方法的流程圖(第一部分)的方式示意性 地詳細示出了圖1的通信系統(tǒng)的功能;以及
圖4通過描述本發(fā)明的方法的流程圖(第二部分)的方式示意性 地詳細示出了圖1的通信系統(tǒng)的功能。
針對圖1-4中的相應部分使用同樣的附圖標記。
具體實施例方式
如圖1所示,通過本發(fā)明實施的實施例為一種電子通信系統(tǒng)100, 其中包括數據載體形式的遠程設備20,其相應地是防盜系統(tǒng)(特別是 用于開啟或關閉機動車輛的門鎖的系統(tǒng))的一部分。所述電子通信系 統(tǒng)100是還包括被布置于所述機動車輛(在圖1的左側)中的基站10 的認證控制系統(tǒng)。
遠程設備20和基站10被設計用于交換數據信號12、 22 (特別是 密碼比特),在這種情況下通過數據信號12、 22可以確定針對使用和/ 或訪問的認證。為了這個目的,基站10和遠程設備20包括對應的處 理/記錄單元14、 24,被提供有對應的傳輸裝置和對應的接收裝置。
在圖3中詳細描述了通信系統(tǒng)100。在本上下文中,示例性地針 對AES (先進加密標準)128描述了根據本發(fā)明的方法(也即針對數 據信號12、 22的交換的控制)。但是,易于將本發(fā)明應用于幾乎任何 任意的(特別是對稱的)加密方法或加密過程,例如應用于實際上所 有的分組密碼和應用于實際上所有的流密碼。
在本上下文中,分組密碼是一種將固定長度分組的純文本(=未 加密的文本)變換為同樣長度的密碼文本(=加密的文本)的分組的 對稱密鑰加密算法。該變換基于用戶所提供的密鑰的操作而發(fā)生。通 過使用同樣的密鑰將逆變換應用于密碼分組來執(zhí)行解密。所述固定長 度稱為分組大小,對于許多分組密碼而言分組大小是64比特或者(使 用日益復雜的處理器)128比特。
流密碼是一種生成所謂的密鑰流(也即用作密鑰的比特序列)的
對稱加密算法。然后通過將密鑰流與純文本組合來進行加密(通常是
使用按位XOR操作)。密鑰流的生成可以與純文本和密碼文本獨立, 產生所謂的同步流密碼,或者密鑰流的生成可以基于數據和其加密, 在這種情況下將密碼稱為自同步的。大多數流密碼設計是用于同步流 密碼。
分組密碼基于大數據分組進行操作,而流密碼典型地基于純文本 的較小單元(通常是比特)進行操作。當使用同樣的密鑰時,使用分 組密碼對任何特定純文本的加密導致同樣的密碼文本。使用流密碼對 較小純文本單元的變換的變化取決于在加密過程中它們何時相遇。
如圖3中所描述的,遠程設備20包括第一存儲器52 (也即 EEPROM (電可擦除可編程只讀存儲器)),用于向基站10提供
-基于32比特的標識符數字IDE和基于1比特的標記F,指示隨 機數(也即第一隨機數PRN1或另一隨機數PRN2、 PRN3)是否可用 于對應的認證會話(也即第一認證會話n或另一認證會話n+l),以及
-基于32比特的配置CFG。
而且,所述EEPROM模塊52被設計用于向遠程設備20的第一 密碼單元32提供基于128比特的密鑰SK,其中第一密碼單元32是 基于電子密碼本模式(所謂的ECB模式)操作,電子密碼本模式是一 種特定的AES模式。
此外,EEPROM模塊52被設計用于向遠程設備20的第二密碼單 元36提供基于128比特的密鑰SK,其中第二密碼單元36是基于輸 出反饋模式(所謂的OFB模式)操作,輸出反饋模式是一種特定的 AES模式。
第二密碼單元36相應地被設計用于向基站10提供 -基于96比特的第一響應RSP1,以及
-加密的第二響應RSP2b,也即用于寫入和驗證ok的加密的指
最后,遠程設備20包括第二存儲器56(特別是非易失性存儲器), 也即寫入EEPROM或WEEPROM,用于在成功地執(zhí)行當前的會話n 中的認證之后存儲下個認證會話n+l的另一隨機數PRN2、 PRN3。
為了生成基于96比特的偽隨機數PRN1、 PRN2、 PRN3,基站10
包括隨機數生成器40。
而且,基站10包括第一存儲器模塊50,也即EEPROM,用于向 第一密碼單元30和第二密碼單元34提供基于128比特的密鑰SK, 其中密碼單元30、 34都被布置于基站IO處。
通過基于ECB模式的AES128來操作第一密碼單元30,并且第 一密碼單元30被設計用于向遠程設備20提供基于16比特的消息認證 碼MAC。通過基于OFB模式的AES128來操作基站10的第二密碼單 元32。
基站10還包括第二存儲器模塊54 (特別是非易失性存儲器),也 即寫入EEPROM或WEEPROM,用于在成功地執(zhí)行當前的認證會話n 中的認證之后存儲下個認證會話n+l的另一隨機數PRN2、 PRN3。
總之,圖3描述了第一或長認證階段或步驟i,也即在無差錯檢 測情況下的備份認證。如果沒有隨機數PRN1或PRN2、 PRN3可用于 對應的認證會話n或n+l,則執(zhí)行長認證階段或開始認證階段i。
圖3還描述了用于下個認證會話n+l的另一隨機數PRN2的初始 化(特別是預初始化)階段或步驟p。
在完成對時間要求苛刻的認證或證實之后,可以隨時執(zhí)行對另一 偽隨機數PRN2的初始化或預初始化p。而且,可以任意地保護或保 障對另一偽隨機數PRN2的初始化p,例如通過循環(huán)冗余校驗或通過 糾錯。
更詳細地,備份認證i包括以下步驟U、 i.2、 i.3、 i.4:
U:首先,將基于32比特的標識符數字IDE和指示沒有第一偽 隨機數PRN1可用的基于1比特的標記F從遠程設備20傳輸至基站 10 (特別是至正被基于電子密碼本模式(所謂的ECB模式)處理的第 一密碼單元30)。
第一密碼單元30
-還被提供
一由隨機數生成器40提供的基于96比特的第一偽隨機數 PRN1,以及-基于128比特的密鑰SK,以及
-輸出(=附圖標記303)基于16比特的消息認證碼MAC。
i.2:隨后,將基于96比特的第一隨機數PRN1和基于16比特的 消息認證碼MAC從基站10傳輸至遠程設備20。
在遠程設備20中,通過將消息認證碼MAC與遠程設備20的第 一密碼單元32的輸出32a進行比較,來檢驗第一隨機數PRN1和消息 認證碼MAC的真實性或有效性,其中基于電子密碼本模式(所謂的 ECB模式)處理第一密碼單元32,并且向第一密碼單元32提供
-基于32比特的標識符數字IDE,
-基于96比特的第一偽隨機數字PRN1,以及
-基于128比特的密鑰SK。
如果消息認證碼MAC不等于(=圖3中的附圖標記N)第一密碼 單元32的輸出32a,則停止認證過程。
i.3:如果消息認證碼MAC等于遠程設備20的第一密碼單元32 的輸出32a,則將基于32比特的配置CFG從遠程設備20傳輸至基站 10,其中在傳輸之前,使用遠程設備20的第一密碼單元32的輸出32a 來處理配置CFG,特別是將配置CFG添加到遠程設備20的第一密碼 單元32的輸出32a。
隨后,使用基站10的第一密碼單元30的輸出30a來處理配置 CFG,特別是將配置CFG添加到基站10的第一密碼單元30的輸出 30a;向正基于輸出反饋模式(所謂的OFB模式)操作的基站10的第 二密碼單元34提供基站10的第一密碼單元30的輸出30a和基于128 比特的密鑰SK。
而且,向正基于OFB模式操作的遠程設備20的第二密碼單元36 提供遠程設備20的第一密碼單元32的輸出32a和基于128比特的密 鑰SK。
i.4:隨后,將包括遠程設備20的第二密碼單元36的第一輸出信 號36a的基于96比特的第一響應RSP1傳輸至基站10。
i.4.1:在基站10中,通過將所述第一響應RSP1與基站10的第 二密碼單元34的第一輸出信號34a進行比較,來檢査第一響應RSP1
的真實性或有效性。
i.4.2:如果第一響應RSP1等于(=圖3中的附圖標記Y)基站10 的第二密碼單元34的第一輸出信號34a,則確定第一響應RSP1和/ 或整個認證過程有效(=圖3中的附圖標記V)。
在成功的認證之后,執(zhí)行對用于下個認證會話n+l的另一偽隨機 數RPN2的初始化。該初始化階段或步驟p包括以下步驟p.O、 p.l、 p.2。
p.0:首先,由基站10的偽隨機數生成器40提供基于96比特的 另一偽隨機數PRN2。然后,使用基站10的第二密碼單元34的第二 輸出信號34b處理該另一偽隨機數PRN2,特別是將該另一偽隨機數 PRN2添加到基站10的第二密碼單元34的第二輸出信號34b。為了傳 輸,可選地,可以對該另一偽隨機數PRN2進行加密。
p.l:隨后,將可選地加密的另一隨機數PRN2傳輸至遠程設備 20,并使用遠程設備20的第二密碼單元36的第二輸出信號36b來處 理可選地加密的另一隨機數PRN2,特別是將可選地加密的另一隨機 數PRN2添加到遠程設備20的第二密碼單元36的第二輸出信號36b。
p丄l:然后,在遠程設備20的非易失性存儲器模塊56上(也即 在寫入EEPROM或WEEROM上)存儲另一偽隨機數PRN2。在己經 以加密的方式傳輸了另一隨機數PRN2的情況下,在寫入存儲器模塊 56之前對所述另一隨機數PRN2進行解密。
p丄2:對未加密的或無格式的另一隨機數PRN2的提供發(fā)起了設 置標記F以指示該另一隨機數PRN2可用于下個認證會話n+l 。
隨后,以未加密的或無格式的方式提供基于任意比特的第二響應 RSP2a(也即用于寫入另一隨機數PRN2和用于驗證另一隨機數PRN2 的指令)(=圖3中的附圖標記XXX)。
使用第二響應RSP2a來處理遠程設備20的第二密碼單元36的第 三輸出信號36c,具體上將遠程設備20的第二密碼單元36的第三輸 出信號36c添加到第二響應RSP2a,隨后對作為結果的第二響應RSP2a 進行加密,因此形成加密的第二響應RSP2b。
p.2:最后,將所述加密的第二響應RSP2b傳輸至基站10。
p.2.h在基站10中,對第二響應RSP2b進行解密,因此形成解 密的或無格式的第二響應RSP2a;通過將所述解密的或無格式的第二 響應RSP2a與基站10的第二密碼單元34的第三輸出信號34c進行比 較,來檢查另一隨機數PRN2的真實性或有效性,其中如果第二響應 RSP2a等于(=圖3中的附圖標記¥)第二密碼單元34的第三輸出信 號34c,則另一隨機數PRN2是有效的(=圖3中的附圖標記V)。
p.2.2:如果另一隨機數PRN2是有效的,則將無格式的或未加密 的另一隨機數PRN2寫入或存儲在基站10的寫入EEPROM模塊或 WEEPROM模塊54上。
p.2.3:否則,也即如果另一隨機數PRN2不是有效的,重復傳輸 另一隨機數PRN2的初始化步驟p.l。
如果用于第二認證會話n+l的另一隨機數PRN2是可用的,也即 如果針對另一隨機數PRN2的第一認證步驟i和初始化步驟p是成功 的,則可以選擇用于下個認證會話n+l的第二認證階段ii,也即短的 和快速的認證步驟。
在另一偽隨機數PRN2的傳輸期間發(fā)生差錯等的情況下,在處理 消息認證碼MAC的最初的比特之后,在遠程設備20中可能已經檢測 到這種問題(參見下文的步驟ii.2)。在另一偽隨機數PRN2的傳輸中 的差錯情況下,遠程設備20不再應答,并且可以開始根據第一認證步 驟i的認證(參見圖3)。
這是對安全沒有不利影響的備份解決方案。但是,如果假設足夠 的安全布置(例如循環(huán)冗余校驗、重發(fā)等)用于初始化階段i,則所 描述的備份幾乎從不是必要的。
在圖4中更詳細地描述了包括以下步驟ii.l、 ii.2、 ii.3、 ii.4的短 的和快速的認證過程ii:
ii.l:首先,將基于32比特的標識符數字IDE和指示另一隨機數 PRN2可用的基于1比特的標記F從遠程設備20傳輸至基站10。
ii.2:隨后,傳輸基于16比特的消息認證碼MAC。
ii,2.1:通過將消息認證碼MAC與遠程設備20的第一密碼單元 32的第一輸出信號32a進行比較,來檢査另一隨機數PRN2和/或消息
認證碼MAC的真實性或有效性;如果消息認證碼MAC不等于(=圖 4中的附圖標記N)遠程設備20的第一密碼單元32的第一輸出信號 32a (特別是在傳輸(=附圖標記"、p,l、 ii.2)或者存儲(=附圖標記 p丄l)另一隨機數PRN2和/或消息認證碼MAC中發(fā)生的差錯的情況 下),停止第二認證階段并執(zhí)行第一認證階段,以及
ii.2.2:復位指示偽隨機數PRN2可用于下個認證會話n+l的標記F。
ii.3:如果消息認證碼MAC等于遠程設備20的第一密碼單元32 的第一輸出信號32a,將基于32比特的配置CFG從遠程設備20傳輸 至基站10。
ii.4:隨后,將第一響應RSP1從遠程設備20傳輸至基站10。如 上文所述地檢查第一響應RSP1的真實性或有效性(參見圖3)。
在成功地執(zhí)行短的和快速的認證步驟ii之后,如上文所述地,對 用于依序地下個認證會話n+2的另一偽隨機數PRN3進行初始化(= 附圖標記p)。
附圖標記
100 電子通信系統(tǒng),特別是認證控制系統(tǒng)
100'根據現有技術(參見圖2)的電子通信系統(tǒng)
10 基站(特別是主單元),例如車輛
10' 根據現有技術(參見圖2)的基站(特別是主單元),例如
車輛
12 基站10發(fā)送的和/或遠程設備20重傳的數據信號(特別是 第一信號),例如下行鏈路
14 基站10的處理/記錄單元(特別是具有傳輸裝置和/或接收 裝置)
20 遠程設備(特別是應答機站),例如數據載體,更特別是 用于類似于車鑰匙的小型終端(key fob)的智能卡
20' 根據現有技術(參見圖2)的遠程設備(特別是應答機站), 例如數據載體,更特別是用于類似于車鑰匙的小型終端的智能卡
22 遠程設備20發(fā)送的數據信號(特別是第二信號),例如上 行鏈路
24 遠程設備20的處理/記錄單元(特別是具有傳輸裝置和/ 或接收裝置)
30 基站10的第一密碼單元(特別是通過基于ECB模式的 AES128操作)
30' 基于ECB模式的根據現有技術的基站10'的密碼單元(參 見圖2)
30a 基站10的第一密碼單元30的輸出(特別是通過密碼算法 (特別是通過基于ECB模式的AES128)加密和/或解密的信號)
30a'根據現有技術(參見圖2)的基于ECB模式的基站10'的 密碼單元30'的輸出
32 遠程設備20的第一密碼單元(特別是通過基于ECB模式 的AES128操作)
32' 根據現有技術(參見圖2)的基于ECB模式的遠程設備20' 的密碼單元
32a 遠程設備20的第一密碼單元32的輸出(特別是通過密碼 算法(特別是通過基于ECB模式的AES128)加密和/或解密的信號)
34 基站10的第二密碼單元(特別是通過基于ECB模式的 AES128)
34a 基站10的第二密碼單元34的第一輸出(特別是通過密碼 算法(特別是通過基于ECB模式的AES128)加密和/或解密的第一信 號)
34b 基站10的第二密碼單元34的第二輸出(特別是通過密碼 算法(特別是通過基于ECB模式的AES128)加密和/或解密的第二信 號)
34c 基站10的第二密碼單元34的第三輸出(特別是通過密碼 算法(特別是通過基于ECB模式的AES128)加密和/或解密的第三信 號)
36 遠程設備20的第二密碼單元(特別是通過基于OFB模式
的AES128)
36a 遠程設備20的第二密碼單元36的第一輸出(特別是通過 密碼算法(特別是通過基于0FB模式的AES128)加密和/或解密的第
一信號)
36b 遠程設備20的第二密碼單元36的第二輸出(特別是通過 密碼算法(特別是通過基于OFB模式的AES128)加密和/或解密的第 二信號)
36c 遠程設備20的第二密碼單元36的第三輸出(特別是通過 密碼算法(特別是通過基于OFB模式的AES128)加密和/或解密的第 三信號)
40 隨機數生成器(特別是偽隨機數生成器),例如基于96比
特
40' 根據現有技術(參見圖2)的基于128比特的偽隨機數生
成器
50 基站10的第一存儲器單元(特別是EEPR0M (電可擦除可 編程只讀存儲器))
50' 根據現有技術(參見圖2)的基站10'的EEPROM(電可擦 除可編程只讀存儲器)
52 遠程設備20的第一存儲器單元(特別是EEPR0M (電可擦 除可編程只讀存儲器))
52' 根據現有技術的遠程設備20'的EEPR0M (電可擦除可編 程只讀存儲器)
54基站10的第二存儲器單元(特別是非易失性存儲器), 例如WEEPR0M (寫入電可擦除可編程只讀存儲器)
56 遠程設備20的第二存儲器單元(特別是非易失性存儲 器),例如WEEPR0M (寫入電可擦除可編程只讀存儲器)
AES 先進加密標準
AES128基于128比特的先進加密標準
CFG 配置
ECB 電子密碼本
ECB模式 第一特定的AES模式(特別是電子密碼本模式) F標記 指示第一隨機數PRN1和/或另一隨機數PRN2、
PRN3是否可用的標記(特別是基于1比特)
IDE 標識符數字(特別是序號),優(yōu)選地基于32比特
i 第一認證階段(特別是長認證階段),例如備份認證階
段
1.1 第一認證階段i的第一步驟(特別是從遠程設備20至基 站10的標識符數字IDE的上行鏈路)
i.l' 根據現有技術(參見圖2)的第一認證階段或第一認證 步驟(特別是從遠程設備20'至基站10'的標識符數字IDE的上行鏈 路)
1.2 第一認證階段i的第二步驟(特別是從基站10至遠程設 備20的消息認證碼MAC和/或第一隨機數PRN1的下行鏈路)
i.2' 根據現有技術(參見圖2)的第二認證階段或第二認證 步驟(特別是從基站10'至遠程設備20'的隨機數PRN'的下行鏈 路)
1.3 第一認證階段i的第三步驟(特別是從遠程設備20至基 站IO的配置CFG的上行鏈路)
1.4 第一認證階段i的第四步驟(特別是從遠程設備20至基 站10的第一響應RSP1的上行鏈路)
ii 第二認證階段(特別是短和/或快速的認證階段),例如 初始化之后的認證
11.1 第二認證階段ii的第一步驟(特別是從遠程設備20至 基站10的標識符數字IDE的上行鏈路)
11.2 第二認證階段ii的第二步驟(特別是從基站10至遠程 設備20的消息認證碼MAC的下行鏈路)
11.3 第二認證階段ii的第三步驟(特別是從遠程設備20至 基站10的配置CFG的上行鏈路)
11.4 第二認證階段ii的第四步驟(特別是從基站10至遠程 設備20的第一響應RSP1的下行鏈路)
MAC 消息認證碼(特別是基于16比特)
n 第一認證會話或第一認證序列(特別是當前的認證會話
或當前的認證序列)
n+l 另一認證會話或另一認證序列(特別是第一另一認證會 話或第一另一認證序列)
n+2 另一認證會話或另一認證序列(特別是第二另一認證會 話或第二另一認證序列)
N 否
OFB 輸出反饋
OFB模式第二特定的AES模式(特別是輸出反饋模式) p 另一隨機數PRN2、 PRN3的初始化階段(特別是預初
始化階段)
P.l 初始化階段p的第一步驟(特別是從基站IO至遠程設
備20的另一隨機數PRN2、 PRN3的下行鏈路)
P.2 初始化階段p的第二步驟(特別是從基站10至遠程設
備20的第二響應RSP2a、 RSP2b的上行鏈路)
PRN' 根據現有技術(參見圖2)的基于128比特的隨機數 (特別是偽隨機數)
PRN1 第一隨機數(特別是用于第一認證會話或第一認證序 列n的偽隨機數),例如基于96比特
PRN2 另一隨機數(特別是用于第一另一認證會話或第一另 一認證序列n+l的偽隨機數),例如基于96比特
PRN3 另一隨機數(特別是用于第二另一認證會話或第二另 一認證序列n+2的偽隨機數),例如基于96比特
RSP' 根據現有技術(參見圖2)的從遠程設備20'至基站 10'的響應(特別是基于128比特)
RSP1 從遠程設備20至基站10的第一響應(特別是基于96 比特)
RSP2a 無格式的或未加密的第二響應(特別是用于寫入和驗 證ok的指令)
RSP2b 從遠程設備20傳輸至基站10的加密的第二響應(特 別是用于寫入和驗證ok的指令)
SK 密鑰,特別是基于128比特模式
V 有效
XXX比特基于任意比特
Y 是
權利要求
1、一種用于基于至少一個密碼算法的密碼認證的通信協(xié)議,特別是根據AES(先進加密標準),例如基于128比特因此形成AES128,包括-提供至少一個隨機數(PRN′),特別是至少一個第一偽隨機數(PRN1),用于至少一個第一——特別是當前的——認證序列或認證會話(n),以及-提供至少一個另外的隨機數(PRN2,PRN3),特別是至少一個另外的偽隨機數,用于至少一個另外的——特別是第二或下個——認證序列或認證會話(n+1),其特征在于,在成功地執(zhí)行第一認證序列或認證會話(n)中的認證時,特別是緊接在成功地執(zhí)行認證之后,對另外的隨機數(PRN2,PRN3)進行初始化。
2、 一種電子通信系統(tǒng)(100),特別是一種認證控制系統(tǒng),包括 -至少一個基站(IO),特別是布置在被保護以防止未授權的使用和/或未授權的訪問的對象上或內,例如布置于車輛和/或門禁系統(tǒng)上 或內,-至少一個遠程設備(20),特別是至少一個應答機單元和/或至 少一個智能卡,所述遠程設備(20)被設計用于與基站(10)交換數 據信號(12, 22),特別是密碼比特,其中,通過數據信號(12, 22) 的方式,--可以確定針對使用和/或針對訪問的認證,和/或 --可以因此控制基站(10), 其特征在于,通過根據權利要求1的通信協(xié)議來控制數據信號 (12, 22)的交換。
3、 根據權利要求2所述的電子通信系統(tǒng),其特征在于, -至少一個隨機數生成器(40),-布置在基站(10)處,和/或-被設計用于生成隨機數(PRN1, PRN2, PRN3),特別是 基于96比特;-至少一個第一存儲器(50, 52),特別是至少一個EEPROM(電可擦除可編程只讀存儲器),—用于向基站(10)提供至少一個標識符數字(IDE),特別 是至少一個序號,例如基于32比特,和/或—用于向至少一個第一密碼單元(30, 32)和/或至少一個第 二密碼單元(34, 36)提供至少一個密鑰(SK),特別是基于128比 特,和/或--用于向基站(10)提供至少一個配置(CFG),特別是基于 32比特;和/或-至少一個第二存儲器(54, 56),特別是至少一個非易失性存儲 器,例如至少一個WEEPROM (寫入電可擦除可編程只讀存儲器), 用于在基站(10)和/或遠程設備(20)處存儲另一隨機數(PRN2, PRN3);-第一密碼單元(30, 32),布置于基站(10)和/或遠程設備(20) 處,和/或-第一密碼單元(30, 32),被設計用于向遠程設備(20)提供至 少一個消息認證碼(MAC),特別是基于16比特,和/或-第一密碼單元(30, 32),特別是通過基于至少一個第一 AES 模式一一特別是基于電子密碼本(ECB)模式一一的AES128操作;-第二密碼單元(34, 36),布置于基站(10)和/或遠程設備(20) 處,和/或-第二密碼單元(34, 36),被設計用于向基站(10)提供 -至少一個第一響應(RSP1),特別是基于96比特 —至少—個——特別是加密的——第二響應(RSP2a, RSP2b),特別是使用至少一個指令用于將另一隨機數(PRN2, PRN3)寫入和/或存儲在 第二存儲器(54)上,和/或用于通過將第二響應(RSP2a, RSP2b)與基站(10)的第二密碼單元(34)的輸出(34c)進行比較,來檢査另一隨機數 (PRN2, PRN3)的真實性或有效性,其中,如果第二響應(RSP2a, RSP2b)等于第二密碼單元(34)的輸出(34c),則寫入或存儲另一 隨機數(PRN2, PRN3),禾口/或-第二密碼單元(34, 36),特別是通過基于至少一個第二 AES 模式——特別是基于輸出反饋(OFB)模式一一的AES128來操作。
4、 一種用于基于至少一個密碼算法的密碼認證的方法,特別是 根據AES (先進加密標準),例如基于128比特因此形成AES128,其 中,數據信號(12, 22) —一特別是密碼比特一一被在以下設備之間 交換-至少一個基站(10),布置在被保護以防止未授權的使用和/或 未授權的訪問的對象上或內,例如布置于車輛和/或門禁系統(tǒng)上或內,-至少一個遠程設備(20),特別是至少一個應答機單元和/或至 少一個智能卡,其特征在于執(zhí)行至少一個根據權利要求1的通信協(xié)議。
5、 根據權利要求4所述的方法,其特征在于,至少一個第一認 證階段(i)包括以下步驟(U)傳輸至少一個標識符數字(IDE) —一特別是至少一個序 號,例如基于32比特一一特別是與基于1比特的至少一個標記(F) 一起傳輸,所述標記(F)指示第一隨機數(PRN1)和/或另一隨機數 (PRN2, PRN3)是否可用,例如指示沒有第一隨機數(PRN1)可用,(i.2)在提供特別是基于96比特的第一隨機數(PRN1)之后, 傳輸所述隨機數(PRN1)和至少一個消息認證碼(MAC),特別是基 于16比特,因此特別是通過將消息認證碼(MAC)與遠程設備(20) 的至少一個第一密碼單元(32)的至少一個第一輸出信號(32a)進行 比較,來檢查第一隨機數(PRN1)和/或消息認證碼(MAC)的真實 性和有效性,已經向遠程設備(20)的所述第一密碼單元(32)提供 第一隨機數(PRN1),G.3)特別是如果第一隨機數(PRN1)和/或消息認證碼(MAC) 等于第一輸出信號(32a),則傳輸至少一個配置(CFG),特別是基于 32比特,(i.4)傳輸至少一個第一響應(RSP1),特別是基于96比特,因 此特別是(1.4.1) 通過將所述第一響應(RSP1)與基站(10)的至少一個 第二密碼單元(34)的至少一個第一輸出信號(34a)進行比較,來檢 查第一響應(RSP1)的真實性和有效性,所述基站(10)的第二密碼 單元(34)-通過基于至少一個第二 AES模式一一特別是基于輸出反饋 (OFB)模式——的AES128來操作,以及-被提供基站(10)的至少一個第一密碼單元(30)的至少一個 輸出信號(30a),以及(1.4.2) 如果第一響應(RSP1)等于基站(10)的第二密碼單元 (34)的所述第一輸出信號(34a),則確定第一響應(RSP1)和/或密碼認證有效。
6、根據權利要求4或5所述的方法,其特征在于,另一隨機數 (PRN2, PRN3)的初始化階段(p) —一特別是預初始化一一包括以 下步驟(p.l)在已經提供另一隨機數(PRN2, PRN3)之后,特別是基 于96比特,傳輸所述另一隨機數(PRN2, PRN3),例如以加密的方 式,因此特別是(p丄l)將另一隨機數(PRN2, PRN3)存儲和/或寫入遠程設備 (20)的至少一個第二存儲器(56)中,特別是至少一個非易失性存 儲器中,例如遠程設備(20)的至少一個WEEPROM (寫入電可擦除 可編程只讀存儲器)中,和/或(p丄2)將標記(F)設為指示另一隨機數(PRN2, PRN3)可 用于另一認證序列或認證會話(n+l),以及(p.2)通過將所述第二響應(RSP2a, RSP2b)與基站(10)的 第二密碼單元G4)的至少一個第三輸出信號(34c)進行比較,來檢 查另一隨機數(PRN2, PRN3)的真實性或有效性,如果第二響應 (RSP2a, RSP2b)等于第二密碼單元(34)的第三輸出信號(34c), 則另一隨機數(PRN2, PRN3)有效,以及(p.2.2)如果另一隨機數(PRN2, PRN3)有效,則將另一隨機 數(PRN2, PRN3)存儲和/或寫入基站(10)的至少一個第二存儲器 (54)中,特別是至少一個非易失性存儲器中,例如基站(10)的至 少一個WEEPROM (寫入電可擦除可編程只讀存儲器)中,和/或(p.2.3)如果另一隨機數(PRN2, PRN3)無效,則重復傳輸另 一隨機數(PRN2, PRN3)的第一初始化步驟(p.l)。
7、 根據權利要求5或6所述的方法,其特征在于,至少一個第 二認證階段(ii)包括以下步驟(11.1) 傳輸標識符數字(IDE),特別是與標記(F) —起傳輸,(11.2) 傳輸消息認證碼(MAC),因此特別是(11.2.1) 通過將消息認證碼(MAC)與遠程設備(20)的第一密 碼單元(32)的第一輸出信號(32a)進行比較,來檢查另一隨機數(PRN2, PRN3)和/或消息認證碼(MAC)的真實性或有效性,其中, 如果消息認證碼(MAC)不等于遠程設備(20)的第一密碼單元(32) 的第一輸出信號(32a),例如在傳輸(p.l;ii.2)或存儲(p丄l)另一 隨機數(PRN2, PRN3)和/或消息認證碼(MAC)的過程中發(fā)生差錯 的情況下,則停止第二認證階段(ii)并執(zhí)行第一認證階段(i),以及(11.2.2) 復位指示另一隨機數(PRN2, PRN3)可用于另一認證 序列或認證會話(n+l)的標記(F),(11.3) 如果消息認證碼(MAC)等于遠程設備(20)的第一密 碼單元(32)的第一輸出信號(32a),則傳輸配置(CFG),以及(11.4) 傳輸第一響應(RSP1),因此特別是(11.4.1) 通過將第一響應(RSP1)與基站(10) n的第二密碼單 元(34)的第一輸出信號(34a)進行比較,來檢査第一響應(RSP1) 的真實性和有效性,以及(11.4.2) 如果第一響應(RSP1)等于基站(10) n的第二密碼單 元(34)的所述第一輸出信號(34a),則確定第一響應(RSP1)禾口/ 或密碼認證有效。
8、 根據權利要求4-7任一所述的方法,其特征在于,通過標記 (F)向基站(10)指示執(zhí)行第二認證階段(ii)的可能性。
9、 根據權利要求4-8任一所述的方法,其特征在于,特別是在 任何時間,例如在成功地執(zhí)行第一認證序列或認證會話(n)中的密碼 認證時和/或緊接在成功地執(zhí)行第一認證序列或認證會話(n)中的密 碼認證之后,執(zhí)行針對另一認證序列或認證會話(n+l)的數據信號(12, 22)——特別是針對密碼比特一一的完整的預先計算,例如針 對標識符數字(IDE)和/或標記(F)和/或消息認證碼(MAC)和/ 或配置(CFG)和/或第一響應(RSP1)。
10、 針對根據權利要求1的至少一個通信協(xié)議和/或根據權利要 求2或3的至少一個電子通信系統(tǒng)(100)和/或根據權利要求4至9 的方法的使用,-用于認證和/或識別和/或檢查針對受保護的對象一一例如傳送 系統(tǒng)和/或門禁系統(tǒng)——的使用、進入等的權限,和/或-用于機動車和非機動車應用中的基于應答機或芯片卡的系統(tǒng), 特別是用于門禁系統(tǒng),在所述系統(tǒng)中,盡管數據速率較低,仍需要認 證時間盡可能低,例如用于車輛的電子防盜系統(tǒng),以縮短密碼認證所 需的時間,特別是縮短密碼認證中的通信時間和計算時間。
全文摘要
本發(fā)明的目的是通過提供用于至少一個第一(特別是當前的)認證序列或認證會話(n)的至少一個隨機數(PRN′)、以及提供用于至少一個另一(特別是第二或下個)認證序列或認證會話的至少一個另一隨機數(PRN2、PRN3),來提供一種用于基于至少一個密碼算法(特別是根據AES(先進加密標準))的對稱認證的通信協(xié)議,其中,縮短了相應的密碼認證時間,建議在成功地執(zhí)行第一認證序列或認證會話(n)中的認證之后(特別是立即),對另一隨機數(PRN2,PRN3)進行初始化。
文檔編號H04L29/06GK101176329SQ200680016361
公開日2008年5月7日 申請日期2006年5月4日 優(yōu)先權日2005年5月11日
發(fā)明者于爾根·諾沃特里克 申請人:Nxp股份有限公司