專利名稱:用于驗(yàn)證便攜式數(shù)據(jù)載體的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于向終端設(shè)備驗(yàn)證(authenticate)便攜式數(shù)據(jù)載體的方法,以及相應(yīng)適配的數(shù)據(jù)載體和終端設(shè)備。
背景技術(shù):
便攜式數(shù)據(jù)載體(例如以電子身份證件的形式)包括具有處理器和存儲(chǔ)器的集成電路。在存儲(chǔ)器中,存儲(chǔ)了關(guān)于數(shù)據(jù)載體的用戶的數(shù)據(jù)。在處理器上可執(zhí)行驗(yàn)證應(yīng)用程序(application),數(shù)據(jù)載體可以經(jīng)由該驗(yàn)證應(yīng)用程序而向終端設(shè)備驗(yàn)證其自身(例如在身份證件的情況下的邊境控制等中)。 在這種驗(yàn)證方法期間,通過(guò)用于被商定的隨后數(shù)據(jù)通信的對(duì)稱加密的保密通信密鑰(例如通過(guò)根據(jù)迪菲和赫爾曼(Diffie and Heilman)的已知密鑰交換方法或其它合適方法)來(lái)準(zhǔn)備數(shù)據(jù)載體和終端設(shè)備之間的安全數(shù)據(jù)通信。此外,至少終端通常核實(shí)(verify)數(shù)據(jù)載體的真實(shí)性(例如在證書(shū)的基礎(chǔ)上)。為了執(zhí)行用于商定保密通信密鑰的方法,需要終端以及數(shù)據(jù)載體分別使保密密鑰(secret key)和公開(kāi)密鑰(public key)可用。數(shù)據(jù)載體的證書(shū)例如可以與其公開(kāi)密鑰有關(guān)。當(dāng)具有由公開(kāi)密鑰和保密密鑰組成的特有(individual)密鑰對(duì)的數(shù)據(jù)載體的集合或組中的每個(gè)數(shù)據(jù)載體被個(gè)性化(personalize)時(shí),會(huì)產(chǎn)生關(guān)于數(shù)據(jù)載體的用戶的匿名性(anonymity)的問(wèn)題。接著可以將數(shù)據(jù)載體的每次使用唯一地與對(duì)應(yīng)用戶相關(guān)聯(lián),并且以這種方式創(chuàng)建例如用戶的完整動(dòng)作設(shè)置文件(profile)。為了考慮這個(gè)方面,已經(jīng)提出利用由公開(kāi)組密鑰和保密組密鑰組成的相同的所謂組密鑰對(duì)分別配備多個(gè)或一組數(shù)據(jù)載體。這至少在組內(nèi)能夠恢復(fù)用戶的匿名性。這種解決方案的缺點(diǎn)是如果組中的一個(gè)數(shù)據(jù)載體受損(compromise),則必須替換數(shù)據(jù)載體的整個(gè)組。例如,如果組中的一個(gè)數(shù)據(jù)載體的保密組密鑰已經(jīng)被偵破,則組中的每個(gè)數(shù)據(jù)載體都不能再安全地使用。必要的替換工作的努力和成本可能是巨大的。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種驗(yàn)證方法,其保護(hù)用戶的匿名性,并且其中一個(gè)數(shù)據(jù)載體受損不會(huì)對(duì)其它數(shù)據(jù)載體的安全性產(chǎn)生反作用。通過(guò)具有獨(dú)立權(quán)利要求特征的方法、數(shù)據(jù)載體、終端設(shè)備以及系統(tǒng)實(shí)現(xiàn)這個(gè)目的。在從屬權(quán)利要求中陳述有利的實(shí)施例和發(fā)展。根據(jù)本發(fā)明的用于向終端設(shè)備驗(yàn)證便攜式數(shù)據(jù)載體的方法包括下列步驟在數(shù)據(jù)載體中,從數(shù)據(jù)載體特有的公開(kāi)密鑰導(dǎo)出公開(kāi)會(huì)話密鑰。這個(gè)數(shù)據(jù)載體特有的公開(kāi)密鑰已經(jīng)從公開(kāi)組密鑰導(dǎo)出。此外,在數(shù)據(jù)載體中,保密會(huì)話密鑰從數(shù)據(jù)載體特有的保密密鑰導(dǎo)出,數(shù)據(jù)載體特有的保密密鑰已經(jīng)從保密組密鑰導(dǎo)出。數(shù)據(jù)載體特有的公開(kāi)密鑰和數(shù)據(jù)載體特有的保密密鑰被存儲(chǔ)于數(shù)據(jù)載體中,而不是保密組密鑰和公開(kāi)組密鑰被存儲(chǔ)于數(shù)據(jù)載體中。在向終端設(shè)備的數(shù)據(jù)載體的驗(yàn)證的框架(framework)內(nèi),使用公開(kāi)和保密會(huì)話密鑰。數(shù)據(jù)載體將使用其保密會(huì)話密鑰。數(shù)據(jù)載體使公開(kāi)會(huì)話密鑰對(duì)于終端設(shè)備變?yōu)榭捎?,所述終端設(shè)備在數(shù)據(jù)載體的驗(yàn)證的框架內(nèi)使用它。特別地,可以在數(shù)據(jù)載體和終端設(shè)備之間商定保密通信密鑰。為了這個(gè)目的,數(shù)據(jù)載體具有公開(kāi)和保密會(huì)話密鑰。為了這個(gè)目的,終端設(shè)備于是具有公開(kāi)終端密鑰和保密終端密鑰。最后,終端設(shè)備核實(shí)數(shù)據(jù)載體的公開(kāi)會(huì)話密鑰。因此,根據(jù)本發(fā)明的便攜式數(shù)據(jù)載體包括處理器、處理器和用于與終端設(shè)備數(shù)據(jù)通信的數(shù)據(jù)通信接口、以及驗(yàn)證裝置。驗(yàn)證裝置適配于從存儲(chǔ)在存儲(chǔ)器中的、數(shù)據(jù)載體特有的保密密鑰導(dǎo)出保密會(huì)話密鑰。驗(yàn)證裝置還適配于從存儲(chǔ)在存儲(chǔ)器中的、數(shù)據(jù)載體特有的公開(kāi)密鑰導(dǎo)出公開(kāi)會(huì)話密鑰。此外,其可以與終端設(shè)備商 定保密通信密鑰。為了這個(gè)目的,驗(yàn)證裝置使用公開(kāi)會(huì)話密鑰和保密會(huì)話密鑰。最后,根據(jù)本發(fā)明的終端設(shè)備適配于與根據(jù)本發(fā)明的便攜式數(shù)據(jù)載體的數(shù)據(jù)通信、以及使用公開(kāi)終端密鑰和保密終端密鑰與數(shù)據(jù)載體協(xié)商保密通信密鑰。終端設(shè)備還適配于核實(shí)數(shù)據(jù)載體的公開(kāi)會(huì)話密鑰,該公開(kāi)會(huì)話密鑰已經(jīng)從公開(kāi)組密鑰經(jīng)由數(shù)據(jù)載體特有的公開(kāi)密鑰導(dǎo)出。在根據(jù)本發(fā)明的方法中,不再需要在數(shù)據(jù)載體中存儲(chǔ)保密組密鑰。因此,不能在攻擊數(shù)據(jù)載體時(shí)偵破這樣的密鑰。還可以使用數(shù)據(jù)載體組中的其它未被攻擊的數(shù)據(jù)載體的保密會(huì)話密鑰。不能在數(shù)據(jù)載體的保密會(huì)話密鑰的基礎(chǔ)上追蹤數(shù)據(jù)載體的用戶(其可能在用于向終端設(shè)備的驗(yàn)證的質(zhì)疑-響應(yīng)方法(challenge-response method)中被采用),因?yàn)檫@個(gè)會(huì)話密鑰從一個(gè)使用到下一個(gè)使用是變化的。優(yōu)選地,終端設(shè)備通過(guò)公開(kāi)組密鑰的證書(shū)核實(shí)數(shù)據(jù)載體的公開(kāi)會(huì)話密鑰,該證書(shū)存儲(chǔ)在數(shù)據(jù)載體上。為了這個(gè)目的,終端設(shè)備首先檢查證書(shū)。此后,終端設(shè)備從公開(kāi)組密鑰經(jīng)由數(shù)據(jù)載體特有的公開(kāi)密鑰重建公開(kāi)會(huì)話密鑰的推導(dǎo)。數(shù)據(jù)載體使得為此所必需的推導(dǎo)信息成為可用。以這種方式,數(shù)據(jù)載體可被驗(yàn)證為與組密鑰對(duì)相關(guān)聯(lián)的組的數(shù)據(jù)載體,但是不能在數(shù)據(jù)載體特有的證書(shū)的基礎(chǔ)上被追蹤,根據(jù)本發(fā)明不提供該證書(shū)。僅公開(kāi)組密鑰的證書(shū)被存儲(chǔ)于數(shù)據(jù)載體上,所述證書(shū)對(duì)于組中的所有數(shù)據(jù)載體是相同的,因此保護(hù)了數(shù)據(jù)載體的用戶的匿名性。根據(jù)優(yōu)選實(shí)施例,數(shù)據(jù)載體特有的公開(kāi)密鑰和數(shù)據(jù)載體特有的保密密鑰從公開(kāi)組密鑰和保密組密鑰導(dǎo)出,并在數(shù)據(jù)載體的個(gè)性化階段被存儲(chǔ)于數(shù)據(jù)載體中。公開(kāi)組密鑰的證書(shū)也可以被合并入數(shù)據(jù)載體中,并在此階段存儲(chǔ)。優(yōu)選地,數(shù)據(jù)載體特有的保密密鑰通過(guò)使用第一隨機(jī)數(shù)而從保密組密鑰導(dǎo)出。為了這個(gè)目的,可以使用將保密組密鑰以及第一隨機(jī)數(shù)等作為輸入數(shù)據(jù)、(并且)將其處理為數(shù)據(jù)載體特有的保密密鑰的任何合適的操作。例如,可以使用數(shù)學(xué)操作,諸如乘法、求冪等。接著可以通過(guò)之前導(dǎo)出的數(shù)據(jù)載體特有的保密密鑰導(dǎo)出數(shù)據(jù)載體特有的公開(kāi)密鑰。例如當(dāng)也使用保密組密鑰形成了公開(kāi)組密鑰時(shí),這是有利的,例如通過(guò)模數(shù)求冪(modularexponentiation),如從迪菲-赫爾曼密鑰交換方法所知。也可以用不同方法從公開(kāi)組密鑰導(dǎo)出數(shù)據(jù)載體特有的公開(kāi)密鑰。以相同的方式,從數(shù)據(jù)載體特有的保密密鑰推導(dǎo)保密會(huì)話密鑰以及從數(shù)據(jù)載體特有的公開(kāi)密鑰推導(dǎo)公開(kāi)會(huì)話密鑰也以隨機(jī)方式(例如依賴于第二隨機(jī)數(shù))的進(jìn)行。這里,也可以使用不同的推導(dǎo)操作,其至少分別允許數(shù)據(jù)載體特有的各個(gè)密鑰和第二隨機(jī)數(shù)作為輸入數(shù)據(jù)。通常,保密會(huì)話密鑰的推導(dǎo)不同于公開(kāi)會(huì)話密鑰的推導(dǎo)。然而,通常將相同的第二隨機(jī)數(shù)用于會(huì)話密鑰對(duì)的兩個(gè)密鑰的推導(dǎo)。因?yàn)樵诿看问褂脭?shù)據(jù)載體時(shí)(例如向終端設(shè)備的每次驗(yàn)證時(shí))導(dǎo)出新的會(huì)話密鑰對(duì),所以不能在會(huì)話密鑰的基礎(chǔ)上追蹤數(shù)據(jù)載體。根據(jù)本發(fā)明的方法的優(yōu)選實(shí)施例,通過(guò)已知的迪菲-赫爾曼密鑰交換方法的手段來(lái)協(xié)商保密通信密鑰。這種方法基于以指定的素?cái)?shù)為模的指定本原根。數(shù)據(jù)載體特有的保密密鑰從保密組密鑰乘以第一隨機(jī)數(shù)導(dǎo)出。數(shù)據(jù)載體特有的公開(kāi)密鑰通過(guò)數(shù)據(jù)載體特有的保密密鑰對(duì)本原根的冪而計(jì)算。如此,通過(guò)保密組密鑰對(duì)本原根的冪形成了公開(kāi)組密鑰。根據(jù)本發(fā)明的具有優(yōu)選地以隨機(jī)形式改變的會(huì)話密鑰的方法可以因此在任何實(shí)質(zhì)改變地情況下合并入已知的類似協(xié)議,其提供牢固地綁定到數(shù)據(jù)載體的密鑰對(duì)并且使用迪菲-赫爾曼方法??梢酝ㄟ^(guò)將數(shù)據(jù)載體特有的保密密鑰乘以第二隨機(jī)數(shù)而形成保密會(huì)話密鑰。接著 通過(guò)第二隨機(jī)數(shù)對(duì)數(shù)據(jù)載體特有的密鑰的冪而導(dǎo)出公開(kāi)會(huì)話密鑰。以這種方式,使得可以通過(guò)形成第一和第二隨機(jī)數(shù)的乘積對(duì)公開(kāi)組密鑰的冪而計(jì)算公開(kāi)會(huì)話密鑰。為了終端能夠核實(shí)數(shù)據(jù)載體的公開(kāi)會(huì)話密鑰,數(shù)據(jù)載體將公開(kāi)會(huì)話密鑰、第一和第二隨機(jī)數(shù)的乘積、以及公開(kāi)組密鑰的證書(shū)發(fā)送到終端設(shè)備。終端設(shè)備在檢查公開(kāi)組密鑰的證書(shū)之后,通過(guò)形成兩個(gè)隨機(jī)數(shù)的乘積對(duì)公開(kāi)組密鑰的冪而核實(shí)公開(kāi)會(huì)話密鑰。如上所述,這個(gè)計(jì)算準(zhǔn)確地產(chǎn)生公開(kāi)會(huì)話密鑰,只要該公開(kāi)會(huì)話密鑰已經(jīng)以規(guī)定的方式從公開(kāi)組密鑰經(jīng)由數(shù)據(jù)載體特有的公開(kāi)密鑰而導(dǎo)出了。因此可以僅使用公開(kāi)組密鑰來(lái)核實(shí)公開(kāi)會(huì)話密鑰。以這種方式,數(shù)據(jù)載體被驗(yàn)證為屬于該公開(kāi)組密鑰,同時(shí)保持了數(shù)據(jù)載體的用戶的匿名性并且無(wú)需數(shù)據(jù)載體特有的證書(shū)。這里,數(shù)據(jù)載體被理解為例如電子身份證件、芯片卡、SM卡、安全多媒體卡、或者安全USB令牌。終端可以是任意驗(yàn)證伙伴。特別地,其可以是本地或遠(yuǎn)程終端、遠(yuǎn)程服務(wù)器、或者另一個(gè)數(shù)據(jù)載體。如以上多次指出的,相同的公開(kāi)和保密組密鑰分別用于導(dǎo)出形成數(shù)據(jù)載體組的多個(gè)不同數(shù)據(jù)載體的數(shù)據(jù)載體特有的保密密鑰以及數(shù)據(jù)載體特有的公開(kāi)密鑰。當(dāng)然可以提供數(shù)據(jù)載體的多個(gè)組,其分別與他們自身的組密鑰對(duì)相關(guān)聯(lián)。
在下文中將通過(guò)參考附圖的示例的方式描述本發(fā)明。其中示出圖I以示意的形式示出根據(jù)本發(fā)明的數(shù)據(jù)載體的優(yōu)選實(shí)施例,以及圖2和圖3是根據(jù)本發(fā)明用于向終端設(shè)備驗(yàn)證來(lái)自圖I的數(shù)據(jù)載體的方法的優(yōu)選實(shí)施例的步驟。
具體實(shí)施例方式參考圖1,這里表示為芯片卡的數(shù)據(jù)載體10包括數(shù)據(jù)通信接口 20、20’ ;處理器30 ;以及不同的存儲(chǔ)器40、50和60。數(shù)據(jù)載體10也可以以不同的設(shè)計(jì)而出現(xiàn)。作為數(shù)據(jù)通信接口 20、20’,數(shù)據(jù)載體10包括用于接觸式數(shù)據(jù)通信的接觸區(qū)域(contact pad) 20以及用于非接觸式數(shù)據(jù)通信的天線線圈20’??梢蕴峁┨娲臄?shù)據(jù)通信接口。還可能的是,數(shù)據(jù)載體10僅支持一種數(shù)據(jù)通信,即接觸式或非接觸式。非易失不可重寫(xiě)ROM存儲(chǔ)器40包括數(shù)據(jù)載體10的操作系統(tǒng)(0S)42,其控制數(shù)據(jù)載體10。操作系統(tǒng)42的至少一部分也可以存儲(chǔ)在非易失可重寫(xiě)存儲(chǔ)器50中。后者可以例如作為閃存而出現(xiàn)。存儲(chǔ)器50包括驗(yàn)證裝置52,通過(guò)驗(yàn)證裝置52可以向終端設(shè)備執(zhí)行數(shù)據(jù)載體10的驗(yàn)證。這樣做使得同樣存儲(chǔ)于存儲(chǔ)器中的、該數(shù)據(jù)載體特有(individual)的密鑰54、56以及數(shù)字證書(shū)58找到它們的應(yīng)用程序。將參考圖2和圖3更詳細(xì)地描述驗(yàn)證裝置52、密鑰54,56以及證書(shū)58的操作模式以及它們?cè)隍?yàn)證處理過(guò)程中的角色。存儲(chǔ)器50可以進(jìn)一步包含數(shù)據(jù),例如關(guān)于其用戶的數(shù)據(jù)。易失性可重寫(xiě)RAM存儲(chǔ)器60作為數(shù)據(jù)載體10的工作存儲(chǔ)器。
數(shù)據(jù)載體10當(dāng)其例如構(gòu)成電子身份證件時(shí)可以包括其它特征(未示出)。這些特征可以明顯地施加于(例如壓印在)數(shù)據(jù)載體10的表面上,并且例如通過(guò)他的姓名或照片而指定數(shù)據(jù)載體的用戶。參考圖2和圖3,現(xiàn)在將更詳細(xì)地描述用于向終端設(shè)備驗(yàn)證數(shù)據(jù)載體10的方法的實(shí)施例。在圖2中示出預(yù)備步驟。這可以例如在數(shù)據(jù)載體10的制造期間(例如在個(gè)性化階段中)執(zhí)行。在第一步驟SI中,形成保密組密鑰SK以及公開(kāi)組密鑰PK。密鑰PK被計(jì)算為以指定的素?cái)?shù)P為模的指定本原根(primitive root) g的冪(exponentiation)的結(jié)果。所有以下描述的計(jì)算都以素?cái)?shù)P為模而讀取,而不需要總是明確地聲明。兩個(gè)密鑰SK和PK形成組密鑰對(duì)并且提供以下描述的用于相同類型的數(shù)據(jù)載體10的組的密鑰結(jié)構(gòu)的基礎(chǔ)。在步驟S2中形成證書(shū)Cpk,其用于公開(kāi)組密鑰PK的核實(shí)。步驟S3在數(shù)據(jù)載體10的個(gè)性化期間發(fā)生。這樣做使得構(gòu)成指定組的數(shù)據(jù)載體的數(shù)據(jù)載體的數(shù)據(jù)載體10配備有該數(shù)據(jù)載體特有的密鑰對(duì)SKi、PKi,以隨機(jī)方式由組密鑰對(duì)SK、PK生成密鑰對(duì)SKi、PKi,例如依賴于第一隨機(jī)數(shù)RNDitl以這種方式,由于密鑰推導(dǎo)時(shí)的隨機(jī)成分,組中的每個(gè)數(shù)據(jù)載體10配備有該數(shù)據(jù)載體特有的其自己的密鑰對(duì),其不同于組中的另一個(gè)數(shù)據(jù)載體的對(duì)應(yīng)密鑰對(duì)。另一方面,組中的所有數(shù)據(jù)載體10通過(guò)它們的密鑰對(duì)已從相同的組密鑰對(duì)SK、PK導(dǎo)出的事實(shí)而連接。在子步驟TS31中,通過(guò)將保密組密鑰SK乘以隨機(jī)數(shù)RNDi而得到該數(shù)據(jù)載體特有的保密密鑰SKitj隨后,在子步驟TS32中,將該數(shù)據(jù)載體特有的公開(kāi)密鑰PKi計(jì)算為以前形成的該數(shù)據(jù)載體特有的保密密鑰SKi對(duì)如上所述的本原根g的冪。在子步驟TS33中,將這樣得到的SKi和PKi與數(shù)據(jù)載體10中的隨機(jī)數(shù)RNDi和證書(shū)Cpk —起存儲(chǔ)。數(shù)據(jù)載體10因此適合于用其驗(yàn)證裝置52執(zhí)行向終端設(shè)備的驗(yàn)證,如將參考圖3更詳細(xì)地描述。為了準(zhǔn)備與終端設(shè)備的密鑰協(xié)議(參照步驟S7),驗(yàn)證裝置52在步驟S4中導(dǎo)出保密會(huì)話密鑰SKSessim。這個(gè)保密會(huì)話密鑰SKsessim與以下所述的公開(kāi)會(huì)話密鑰PKsessim —起形成會(huì)話密鑰對(duì)(參照步驟S5)。然而,這個(gè)密鑰對(duì)僅與向終端設(shè)備的單次驗(yàn)證相關(guān)地被驗(yàn)證裝置52使用在數(shù)據(jù)載體中。為了執(zhí)行每個(gè)將來(lái)的其它驗(yàn)證,驗(yàn)證裝置52以如下所述的方式分別從數(shù)據(jù)載體特有的密鑰對(duì)SKpPKi得到新的會(huì)話密鑰對(duì)。
也使用隨機(jī)成分形成會(huì)話密鑰對(duì)。為了這個(gè)目的,第二隨機(jī)數(shù)RNDsessim被生成或者可被驗(yàn)證裝置52使用。接著通過(guò)將該數(shù)據(jù)載體特有的保密密鑰SKi乘以第二隨機(jī)數(shù)RNDsession而計(jì)算保密會(huì)話密鑰SKSessim。在步驟S5中,通過(guò)第二隨機(jī)數(shù)RNDsessira^t該數(shù)據(jù)載體特有的公開(kāi)密鑰PKi的冪而得到公開(kāi)會(huì)話密鑰PKSessim。在步驟S6中,驗(yàn)證裝置52將公開(kāi)會(huì)話密鑰PKsessim、第一和第二隨機(jī)數(shù)相乘得到的值RND^RND—、以及證書(shū)Cpk發(fā)送到終端設(shè)備。在步驟S7中,現(xiàn)在在數(shù)據(jù)載體10的驗(yàn)證裝置52和終端設(shè)備之間商定通信密鑰KK。這個(gè)密鑰通過(guò)對(duì)稱加密方法對(duì)數(shù)據(jù)載體10和終端設(shè)備之間的隨后數(shù)據(jù)通信加密。可以通過(guò)已知方法執(zhí)行密鑰協(xié)議(agreement),例如迪菲-赫爾曼(Diffie-Hellman)密鑰交換方法。最后,在步驟S8中,終端設(shè)備檢查數(shù)據(jù)載體10的真實(shí)性(authenticity)。為了這個(gè)目的,終端設(shè)備在第一子步驟TS81中檢查終端已知的公開(kāi)組密鑰PK的證書(shū)CPK。隨后, 終端設(shè)備核實(shí)數(shù)據(jù)載體10的公開(kāi)會(huì)話密鑰PKs_im。為了這個(gè)目的,終端設(shè)備計(jì)算兩個(gè)隨機(jī)數(shù)的乘積RNDjRNDsessim對(duì)公開(kāi)組密鑰的冪的結(jié)果,并將該結(jié)果與公開(kāi)會(huì)話密鑰PKsessim作比較。通過(guò)該計(jì)算,終端設(shè)備從公開(kāi)組密鑰PK開(kāi)始經(jīng)由該數(shù)據(jù)載體特有的公開(kāi)密鑰PKi,重建公開(kāi)會(huì)話密鑰PKsessim的推導(dǎo)。這由于如下而實(shí)現(xiàn)PKsession=PKi' (RNDsession) (參照步驟 S5)= (g~ (SKi)) ~ (RNDsession) (參照子步驟 TS32)= (g~ (SK^RNDi)) ~ (RNDsession) (參照子步驟 TS31)= (g~SK) ~ (RNDi^RNDsession) (數(shù)學(xué)形式變化)=PK~ (RNDi^RNDsession) (參照步驟 SI).如果結(jié)果與公開(kāi)會(huì)話密鑰PKsessim匹配,則認(rèn)為數(shù)據(jù)載體10被核實(shí)。在相反情況下,終端設(shè)備停止驗(yàn)證處理。該方法因此使數(shù)據(jù)載體10的用戶可以至少在與相同組密鑰對(duì)SK、PK相關(guān)聯(lián)的數(shù)據(jù)載體的組內(nèi)保持匿名性。不可能將對(duì)數(shù)據(jù)載體10的使用追蹤回到用戶,因?yàn)椋环矫?,每個(gè)會(huì)話使用變化的會(huì)話密鑰SKSessim、PKsession ;并且另一方面,僅通過(guò)公開(kāi)組密鑰PK的證書(shū)Cpk (其對(duì)于組中的所有數(shù)據(jù)載體是相同的)、而不通過(guò)數(shù)據(jù)載體特有的證書(shū),進(jìn)行數(shù)據(jù)載體10的核實(shí)。此外,可以省去在組中的數(shù)據(jù)載體10中存儲(chǔ)保密組密鑰SK是有利的。在本解決方案的框架內(nèi),乘法可以是任意組特定的乘法,并且冪可以是任意組特定的冪。可以基于離散對(duì)數(shù)或者基于橢圓,執(zhí)行乘法和求冪。此外,當(dāng)例如推導(dǎo)特有密鑰SKi=SK^RNDi時(shí),可以使用修正的推導(dǎo),從而使計(jì)算SK更困難。例如,可以選擇SKi=RNDi ~ SK。
權(quán)利要求
1.一種用于向終端設(shè)備驗(yàn)證便攜式數(shù)據(jù)載體(10)的方法,其特征在于以下步驟 -在所述數(shù)據(jù)載體(10)中,從公開(kāi)組密鑰(PK)導(dǎo)出(TS32)的所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)導(dǎo)出(S5)公開(kāi)會(huì)話密鑰(PKsessim),并且從保密組密鑰(SK)導(dǎo)出(TS31)的所述數(shù)據(jù)載體特有的保密密鑰(SKi)導(dǎo)出(S4)保密會(huì)話密鑰(SKsessim); -使用所述數(shù)據(jù)載體(10)中的所述保密會(huì)話密鑰(SKsessim)和/或所述終端設(shè)備中的所述公開(kāi)會(huì)話密鑰(PKsessim),向所述終端設(shè)備匿名地驗(yàn)證(S8)所述數(shù)據(jù)載體(10)。
2.如權(quán)利要求I所述的方法,其特征在于,通過(guò)所述終端設(shè)備首先檢查(TS81)所述公開(kāi)組密鑰(PK)的證書(shū)(CPK)、并且此后從所述公開(kāi)組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)重建(TS82)所述公開(kāi)會(huì)話密鑰(PKsessim)的推導(dǎo),所述終端設(shè)備通過(guò)所述公開(kāi)組密鑰(PK)的證書(shū)(Cpk)核實(shí)所述公開(kāi)會(huì)話密鑰(PKsessim),所述證書(shū)(Cpk)存儲(chǔ)在所述數(shù)據(jù)載體(10)中。
3.如權(quán)利要求I或2所述的方法,其特征在于,所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)分別從所述公開(kāi)組密鑰(PK)和所述保密組密鑰(SK)導(dǎo)出,并且在所述數(shù)據(jù)載體(10)的個(gè)性化階段將所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)存儲(chǔ)(S3 )在所述數(shù)據(jù)載體(10 )中。
4.如權(quán)利要求I至3中任意一項(xiàng)所述的方法,其特征在于,使用第一隨機(jī)數(shù)(RNDi),從所述保密組密鑰(SK)導(dǎo)出所述數(shù)據(jù)載體特有的保密密鑰(SKi)。
5.如權(quán)利要求I至4中任意一項(xiàng)所述的方法,其特征在于,使用第二隨機(jī)數(shù)(RNDsessim),分別從所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)導(dǎo)出所述公開(kāi)會(huì)話密鑰(PKsessim)和所述保密會(huì)話密鑰(SKsessim)。
6.如權(quán)利要求I至5中任意一項(xiàng)所述的方法,其特征在于,使用所述數(shù)據(jù)載體(10)的公開(kāi)會(huì)話密鑰(PKsessim)和保密會(huì)話密鑰(SKSessim)、以及所述終端設(shè)備的公開(kāi)終端密鑰和保密終端密鑰時(shí),在所述數(shù)據(jù)載體(10)和所述終端設(shè)備之間商定(S7)通信密鑰(KK); 其中優(yōu)選地,通過(guò)迪菲-赫爾曼密鑰交換方法商定所述通信密鑰(KK),所述迪菲-赫爾曼密鑰交換方法基于以指定的素?cái)?shù)為模的指定本原根(g),通過(guò)乘以所述第一隨機(jī)數(shù)(RNDi)而從所述保密組密鑰(SK)導(dǎo)出(TS31)所述數(shù)據(jù)載體特有的保密密鑰(SKi),并且通過(guò)所述數(shù)據(jù)載體特有的保密密鑰(SKi)對(duì)所述本原根(g)的冪而形成(TS32)所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi),其中通過(guò)由所述保密組密鑰(SK)對(duì)所述本原根(g)的冪而形成(SI)所述公開(kāi)組密鑰(PK)。
7.如權(quán)利要求I至6中任意一項(xiàng)所述的方法,其特征在于,通過(guò)將所述數(shù)據(jù)載體特有的保密密鑰(SKi)乘以所述第二隨機(jī)數(shù)(RND-)而導(dǎo)出(S4)所述保密會(huì)話密鑰(SKsessim),并且通過(guò)所述第二隨機(jī)數(shù)(RNDsessim)對(duì)所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)的冪而導(dǎo)出(S5)所述公開(kāi)會(huì)話密鑰(PKs_im)。
8.如權(quán)利要求I至7中任意一項(xiàng)所述的方法,其特征在于,所述數(shù)據(jù)載體(10)將所述公開(kāi)會(huì)話密鑰(PKSessim)、所述第一隨機(jī)數(shù)(RNDi)和所述第二隨機(jī)數(shù)(RNDsessim)的乘積(RNDi^RNDsession),以及所述公開(kāi)組密鑰(PK)的證書(shū)(Cpk)發(fā)送到所述終端設(shè)備。
9.如權(quán)利要求I至8中任意一項(xiàng)所述的方法,其特征在于,為了核實(shí)所述公開(kāi)會(huì)話密鑰(PKsessim),所述終端設(shè)備形成所述第一隨機(jī)數(shù)(RNDi)和所述第二隨機(jī)數(shù)(RNDsessim)的乘積(RNDi^RNDsession)對(duì)所述公開(kāi)組密鑰(PK)的冪。
10.如權(quán)利要求I至9中任意一項(xiàng)所述的方法,其特征在于,為了導(dǎo)出多個(gè)不同數(shù)據(jù)載體(10)的數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)和數(shù)據(jù)載體特有的保密密鑰(SKi),分別使用相同的公開(kāi)和保密組密鑰(PK ;SK)。
11.一種便攜式數(shù)據(jù)載體(10),包括處理器(30)、存儲(chǔ)器(50)、和用于與終端設(shè)備進(jìn)行數(shù)據(jù)通信的數(shù)據(jù)通信接口(20 ;20’)、以及驗(yàn)證裝置(52),其特征在于所述數(shù)據(jù)載體(10)的驗(yàn)證裝置(52)適配于從存儲(chǔ)在所述存儲(chǔ)器(50)中的、所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)導(dǎo)出公開(kāi)會(huì)話密鑰(PKsessim),從存儲(chǔ)在所述存儲(chǔ)器(50 )中的、所述數(shù)據(jù)載體特有的保密密鑰(SKi)導(dǎo)出保密會(huì)話密鑰(SKs_im),以及在向所述終端設(shè)備的驗(yàn)證的框架內(nèi)使用所述保密會(huì)話密鑰(SKsessim)。
12.如權(quán)利要求11所述的數(shù)據(jù)載體(10),其特征在于,所述數(shù)據(jù)載體(10)適配于根據(jù)權(quán)利要求I至10中任意一項(xiàng)所述的方法,向終端設(shè)備驗(yàn)證其自身。
13.一種用于與如權(quán)利要求11或12所述的便攜式數(shù)據(jù)載體(10)進(jìn)行數(shù)據(jù)通信的終端設(shè)備,其中所述終端設(shè)備適配于使用公開(kāi)終端密鑰和保密終端密鑰與所述便攜式數(shù)據(jù)載體(10)商定通信密鑰(KK),以及核實(shí)已經(jīng)從公開(kāi)組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)導(dǎo)出的、所述數(shù)據(jù)載體(10)的公開(kāi)會(huì)話密鑰(PKSessim)。
14.如權(quán)利要求13所述的終端設(shè)備,其特征在于,通過(guò)所述終端設(shè)備首先檢查所述公開(kāi)組密鑰(PK)的證書(shū)(CPK)、并且此后從所述公開(kāi)組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)重建所述公開(kāi)會(huì)話密鑰(PKsessim)的推導(dǎo),所述終端設(shè)備適配于通過(guò)所述公開(kāi)組密鑰(PK)的證書(shū)(Cpk)核實(shí)所述數(shù)據(jù)載體(10)的公開(kāi)會(huì)話密鑰(PKsessim),所述證書(shū)(Cpk)被存儲(chǔ)在所述數(shù)據(jù)載體(10)中。
15.一種系統(tǒng),包括如權(quán)利要求11或12所述的便攜式數(shù)據(jù)載體(10)和如權(quán)利要求13或14所述的終端設(shè)備,其適配于執(zhí)行如權(quán)利要求I至10中任意一項(xiàng)所述的方法。
全文摘要
本發(fā)明涉及一種用于關(guān)于終端驗(yàn)證便攜式數(shù)據(jù)載體(10)的方法,包括下列步驟在所述數(shù)據(jù)載體(10)中,從所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)導(dǎo)出(S5)公開(kāi)會(huì)話密鑰(PKSession)。從公開(kāi)組密鑰(PK)導(dǎo)出(TS32;S1)所述數(shù)據(jù)載體特有的公開(kāi)密鑰(PKi)。此外,從所述數(shù)據(jù)載體的特有的保密密鑰(SKi)導(dǎo)出(S4)保密會(huì)話密鑰(SKSession),從保密組密鑰(SK)導(dǎo)出(TS31)所述數(shù)據(jù)載體特有的保密密鑰(SKi)。隨后在所述數(shù)據(jù)載體(10)和所述終端之間商定(S7)保密通信密鑰(KK)。最后,所述終端核實(shí)(S8)所述數(shù)據(jù)載體(10)的公開(kāi)會(huì)話密鑰(PKSession)。
文檔編號(hào)G06F21/34GK102792312SQ201180013064
公開(kāi)日2012年11月21日 申請(qǐng)日期2011年3月7日 優(yōu)先權(quán)日2010年3月10日
發(fā)明者G.邁斯特, J.??苹魻柶?申請(qǐng)人:德國(guó)捷德有限公司