專利名稱:容許消息數(shù)據(jù)非順序到達的情況下消息完整性的處理方法
容許消息數(shù)據(jù)非順序到達的情況下消息完整性的處理方法 優(yōu)先權(quán)信息
本非臨時專利申請依據(jù)35U.S.C. 119 (e) ( 2 )要求2006年10月23 日提交的臨時專利申請60/853�, 646的優(yōu)先權(quán),其公開的內(nèi)容在此完全引 入����。
背景技術(shù):
需要加密和消息認證/完整性來提供無線空中接口上的安全性。消息加 密保護消息的保密性�����,而消息認證保護消息免受篡改����。
在消息認證過程中,使用秘密密鑰和消息認證算法的發(fā)射機計算被附 加到消息的短標簽�。接收機也基于所述秘密密鑰計算用于接收的消息的標 簽,并且將所計算的標簽與接收的標簽比較����。如果標簽相同,則接收機接 受該消息;否則�����,該消息纟皮丟棄��。
現(xiàn)有的消息認證算法�����,例如�,鍵入式散列消息認證碼-安全散列算法 (HMAC-SHA)和密碼塊鏈接中的高級加密標準密碼算法(AES-CBC)�, 不允許順序無次序的分組處理,因為它們是串行操作并且要求比特應(yīng)當以 它們祐發(fā)送的順序進行處理���。因此�,傳統(tǒng)的消息認證方法必須向RAM發(fā) 送數(shù)據(jù)��,讓中央處理器(CP)重排序數(shù)據(jù)分組并且重組應(yīng)用分組(消息)����, 并且向硬件發(fā)送該應(yīng)用分組以進行消息認證。這顯著增長了總線上的業(yè)務(wù) 量�����,并且可以顯著增加分組處理中的等待時間。
另外�,現(xiàn)有的消息認證算法每次(at a time)在塊上操作。因而����,塊 級算法不能在以非塊邊界結(jié)束的消息段上操作。在開始實施消息認證標簽 驗證前���,有必要從所有的消息段重組整個應(yīng)用分組
發(fā)明內(nèi)容
在本發(fā)明的示例實施例中�,提供了 一種處理應(yīng)用分組用于傳輸?shù)姆椒ǎ?所述方法包括將所述應(yīng)用分組拆分成多個段�����、創(chuàng)建第一偽隨機比特��、以及 基于所述多個段的每個和與所述多個段的每個相關(guān)聯(lián)的所述第一偽隨機比
特的部分生成局部標簽(partial tag)����。該方法進一步包括組合包括與所述 應(yīng)用分組的最后段相關(guān)聯(lián)的最后局部標簽的所述局部標簽來創(chuàng)建累加標 簽、基于所述累加標簽和第二偽隨機比特生成認證標簽�����、存儲所述認證標 簽、以及傳輸包括所述認證標簽的所述多個段���。
在另一示例性實施例中�����,處理所接收的應(yīng)用分組段的方法包括接收包 括認證標簽的應(yīng)用分組的多個段�����、創(chuàng)建第一偽隨機比特、以瓦基于接收的 多個段的每個和與接收的多個段的每個相關(guān)聯(lián)的所述第一偽隨機比特的部 分生成局部標簽���。所述方法進一步包括在存儲器中存儲所述局部標簽�����、所 述接收的多個段和所述接收的認證標簽����、組合所述接收的多個段來創(chuàng)建所 述應(yīng)用分組��、組合所述局部標簽來創(chuàng)建計算的標簽�、以及基于所述計算的 標簽和所述接收的認證標簽驗證所述應(yīng)用分組的可靠性。
從以下給出的詳細描述和附圖,將更充分地理解本發(fā)明的示例實施例�, 僅通過示例方式給出所述附圖,因而���,所述附圖不限制本發(fā)明的示例實施 例�。
圖1是根據(jù)本發(fā)明示例示例實施例的邏輯加密方法的流程圖���; 圖2示出圖1中的實施例的圖例�����;
圖3示出才艮據(jù)本發(fā)明的示例實施例創(chuàng)建完整性標簽(integrity tag)的 流程圖4A示出圖3中示出的完整性標簽創(chuàng)建方法的圖例����;
圖4B示出根據(jù)圖3的方法的累加操作�����;
圖5示出根據(jù)本發(fā)明的示例實施例用于重傳RLP段的流程圖6示出根據(jù)本發(fā)明的示例實施例解密和在線完整性檢查的流程圖7示出根據(jù)本發(fā)明的示例實施例用于非倍數(shù)塊大小段的局部標簽計算��;以及
圖8示出根據(jù)本發(fā)明的示例實施例用于可變長度應(yīng)用分組的局部標簽 計算��。
具體實施例方式
應(yīng)當理解�,盡管術(shù)語第一�、第二���、第三等此處可以被用來描述各種單 元���、部件、區(qū)域和/或部��,這些單元�����、部件����、區(qū)域和/或部不應(yīng)當受這些術(shù)語 限制���。這些術(shù)語僅可以被用來區(qū)分一個單元����、部件���、區(qū)域/或部與另--個
單元���、部件��、區(qū)^y或部����。因而�����,在不背離本發(fā)明內(nèi)容的情況下���,以下討論 的第一單元�����、部件�、區(qū)域或部可以被稱為第二單元���、部件��、區(qū)域或部��。
此處使用的術(shù)語僅用于描述特定示例實施例的目的�,不是旨在限制。 如此處所使用的�,"一種"、"該"和"所述"可以旨在也包括多個��,除 非上下文另外清楚指示���。還應(yīng)理解�,當在本說明書中使用時�����,術(shù)語"包括" 說明存在所聲明的特征�、整數(shù)、步驟���、操作、單元和/或部件����,但不排除存 在或添加一個或多個其它特征、整數(shù)���、步驟�、操作、單元�、部件和/或它們 的組。
此處可以參考代表性說明描述示例實施例�,所述代表性說明可以是理 想化實施例(和媒介結(jié)構(gòu))的示意性說明。因而�����,示例實施例不應(yīng)當被解
釋為限于此處說明的特定位置和配置����,而是包括其偏差(deviation)。
除非另外定義��,此處使用的所有術(shù)語(包括技術(shù)上的和學(xué)術(shù)上的術(shù)語) 具有本領(lǐng)域的普通技術(shù)人員普遍理解的相同意義�����。進一步將理解�����,諸如在 普遍使用的字典中定義的那些的術(shù)語��,應(yīng)當被解釋為具有與它們在相關(guān)領(lǐng) 域的上下文中的意義一致的意義����,而不是在理想化的或過度正式的意義上 被解釋�����,除非此處明確這樣定義��。
本發(fā)明涉及發(fā)射機和接收機之間的消息認證�����。發(fā)射機可以是任何已知 無線通信系統(tǒng)中任何能夠發(fā)送分組通信的通信設(shè)備��。例如���,發(fā)射機可以是 移動站、基站等��。如將理解的�,移動站可以是移動電話、PDA���、便攜式計 算機等。接收機可以M射機的任何接收配對物�,諸如移動站�����、基站等�。此外�����,將理解��,本發(fā)明可以被應(yīng)用于無線和/或網(wǎng)絡(luò)通信�。
為了更好理解消息認證,根據(jù)本發(fā)明實施例�,將首先描述消息加密。 并且����,為了理解加密,將首先描述無線電鏈路協(xié)議��。
無線電鏈路協(xié)議
無線電鏈路協(xié)議(RLP)是在接入終端(AT )(也被稱為移動站)和 接入節(jié)點(AN)(也被稱為基站)之間的無線空中接口上操作的分段和重 組協(xié)議�����。RLP負責(zé)將應(yīng)用分組分割(分段)成RLP段或分組以便它們可 以經(jīng)過RF鏈路被有效地發(fā)送。此外�,RLP還負責(zé)在接收機處重組RLP 段、重排序失序分組�����、以及在傳輸期間丟失段的情況下重傳��。
消息加密
可以在RLP段上實施加密和/或認證/完整性��。例如����,已知的計數(shù)器 (CTR )加密模式可以被用來加密RLP段。
RLP段����,例如要被力口密的消息、數(shù)據(jù)�、語音等,通常被稱為明文��,而 加密過程的結(jié)果被稱為密文���。通常�����,加密過程涉及在明文上實施加密算法 以獲得密文���。諸如數(shù)據(jù)加密標準(DES)、高級加密標準(AES)等的很 多加密算法涉及在加密過程中使用密鑰�����。加密密鑰是在加密算法中被用來 生成密文的比特序列�。加密密鑰在通信的發(fā)送側(cè)和接收側(cè)均是已知的,并 且在接收側(cè)加密密鑰被用來將密文解密成明文����。
在無線通信環(huán)境中加密的情況下,涉及加密AN和AT之間被發(fā)送的 信息幀����,出現(xiàn)相同信息(即,相同明文)在兩個不同幀期間是否被發(fā)送的 問題�����。在該情形中���,為兩個幀的每個產(chǎn)生相同的密文����。同樣地,關(guān)于密文 的信息祐:稱為已泄露了 ��。為避免可以伴隨這樣泄露的密文發(fā)生的重放攻擊���, 已t艮了使用cryptosync (密碼同步)的加密4支術(shù)����。cryptosync例如包括 在每次使用cryptosync用于加密后被遞增的計數(shù)值�。通過這種方式, cryptosync隨時間改變�。在cryptosync的典型用法中,加密算法被應(yīng)用于 cryptosync好像cryptosync是明文一樣���。作為結(jié)果的輸出被稱為掩碼�����。該掩碼然后與用于加密的信息(例如���,RLP段)進行異或操作以生成密文�。
與加密密鑰一樣�����,cryptosync在發(fā)送側(cè)和接收側(cè)均是已知的����,并且在接收 側(cè)cryptosync ;故用來將密文解密成明文���。
應(yīng)用分組加密
為更好理解根據(jù)本發(fā)明實施例的消息完整性�����,將給出加密應(yīng)用分組方 法當它應(yīng)用于消息完整性時的簡要描述��。
圖1是才艮據(jù)本發(fā)明示例實施例的邏輯加密方法的流程圖�,圖2示出該 過程的圖例��。
在示例性實施例中��,假定應(yīng)用分組的無線電鏈路協(xié)議(RLP)段#^ 送用于加密而不與另一應(yīng)用分組的RLP段交錯���。僅為了說明目的���,還假定 在RLP流的第8000個字節(jié)上發(fā)送768字節(jié)應(yīng)用分組�����,并且RLP段是4 字節(jié)的倍數(shù)����。換言之�����,RLP段是塊大小的倍數(shù)����。如普通技術(shù)人員所理解的, 應(yīng)用分組大小�、RLP字節(jié)流、以及RLP段的大小都可以是變化的�。
參考圖1和2,發(fā)射機邏輯上將具有768字節(jié)長度的應(yīng)用分組或數(shù)據(jù) 分組拆分成塊大小的倍數(shù)(在步驟S100)��,例如��,32比特(4字節(jié))明文 塊MrMm����。在圖2中示出塊!Vh至M8���。
使用具有兩個(2)自變量(輸入)的高級加密標準(AES),例如密 鑰k和基于字節(jié)數(shù)的cryptosync值����,可以在步驟S110創(chuàng)建笫一偽隨機塊 (比特)AESK ( 0, 8000 ) -AESK ( 0�����, 8016)����。在圖2中�,標記,即��,TYPE (類型)�,"0"被用來區(qū)分第一偽隨機比特與其它偽隨機比特。見下文�����。
更詳細地,第一偽隨機比特AESK (0�, 8000)-AESK (0, 8016)可以 被寫為
第一偽隨機比特(OUTPUT (輸出))=AES (k�, INPUT (輸入)) AES的cryptosync值(INPUT)可以;陂拆分成兩個部分,TYPE (類 型)(例如����,8比特))和COUNTER (計數(shù)器)(例如,64比特)�,INPUT 比特的其余部分可以被設(shè)為零。公知的��,對特定TYPE值應(yīng)當從不重復(fù) COUNTER值����,以4更確保整個INPUT值對AES從不重復(fù)。再次��,"TYPE"被用來區(qū)分AES的使用����,以創(chuàng)建各種偽隨機比特。為創(chuàng)建第一偽隨機比特�����, RLP流中的字節(jié)數(shù)可以被用作COUNTER值,因為對特定流從不重復(fù) BYTE—NUMBER (字節(jié)—數(shù))�����。相應(yīng)地��,密鑰k和cryptosync值可以用來 創(chuàng)建128比特輸出����。cryptosync值的大小可以是變化的,并且cryptosync 值可以包含例如流ID��、復(fù)位計數(shù)器等的其它輸入��。以下將提供附加細節(jié)���。
接下來,在步驟S120���,發(fā)射機在明文塊IV^至Ms上與第一偽隨機比 特AESK (0, 8000 ) -AESK (0�, 8016)實施異或操作(XORed )�,以創(chuàng) 建如圖2中示出的加密的(密文)塊d-Q。
盡管以上描述了加密RLP段的計數(shù)器(CTR)加密模式����,例如輸出 反饋(OFB)模式�����、密碼反饋(CFB)模式等的其它已知加密方法可以使 用�����。
消息完整性
一旦應(yīng)用分組����,更具體地�,RLP段被加密,可以在RLP段上實施根 據(jù)本發(fā)明實施例的完整性過程����,以創(chuàng)建用于該應(yīng)用分組的認證標簽。
圖3示出根據(jù)本發(fā)明示例實施例創(chuàng)建完整(認證)標簽的流程圖����。圖 4A示出該過程的圖例。為了簡化���,術(shù)語密文塊和RLP段將遍及本公開可 互換地使用���。
參考圖3����,在步驟S200�����,發(fā)射機創(chuàng)建笫二偽隨機比特Ai�����。詳細地��,再 次4吏用具有兩個(2)自變量(輸入)的高級加密標準(AES)��,例如��,密 鑰k和基于字節(jié)數(shù)的cryptosync值����,可以創(chuàng)建第二偽隨^L比特AESK ( 0���, 8000) -AESK (0��, 8016)�。在圖4A中,標記��,即����,TYPE (類型),'T����, 被用來區(qū)分第二偽隨機比特與例如第一偽隨機比特的其它偽隨機比特。
更詳細地��,第二偽隨機比特AESK (0��, 8000)-AESK (0�����, 8016)可以 被寫為
第二偽隨機比特(OUTPUT) =AES (k�����, INPUT) AES的cryptosync值(INPUT)可以,皮拆分成兩個部分,TYPE (例 如��,8比特))和COUNTER (例如��,64比特)����,INPUT比特的其余部分可以被設(shè)為零。如一公知的���,對特定TYPE值應(yīng)當從不重復(fù)COUNTER 值�,以便確保整個INPUT值對AES從不重復(fù)���。再次����,"TYPE"被用來 區(qū)分AES的使用�����,以創(chuàng)建各種偽隨機比特����。為了創(chuàng)建第二偽隨機比特, RLP流中的字節(jié)數(shù)可以被用作COUNTER值��,因為對特定流從不重復(fù) BYTE NUMBER (字節(jié)數(shù))���。 例如,
OUTPUT0=AES ( k����, TYPE, 0 )是128比特或16字節(jié)長�����。接下來���, OUTPUT [16[=AES ( k, TYPE, 16)也是128比特長�,OUTPUT[32=AES (k���, TYPE, 32)也是128比特長��,等等���。
OUTPUT每次;故標注32比特長。相應(yīng)地�,
A0= OUTPUT
的第二個4字節(jié)
A2= OUTPUT [O]的第三個4字節(jié)
A3= OUTPUT [O]的最后一個4字節(jié)
A4= OUTPUT[16的第一個4字節(jié)
A5= OUTPUT [16的第二個4字節(jié)
A6= OUTPUT [16的第三個4字節(jié)
A7= OUTPUT [16的最后一個4字節(jié)
A8= OUTPUT [32]的第一個4字節(jié)
A9= OUTPUT [32的第二個4字節(jié)
A10= OUTPUT [32的第三個4字節(jié)
All= OUTPUT [32的最后一個4字節(jié)
結(jié)論
Ai=
OUTPUT的i/4比特部分字節(jié)勤16
//4(ft 32 M part of 0UTW7" 18y花一A/L/M8ER/16
相應(yīng)地�����,密鑰k和cryptosync值可以用來創(chuàng)建128比特輸出����。 cryptosync值的大小可以是變化的��,并且cryptosy n c值可以包含例如流ID ���、復(fù)位計數(shù)器等的其它輸入����。
接下來參考圖3����,在圖1的步驟S120創(chuàng)建的每個密文塊(RLP段)被 乘以各第二偽隨機比特Ai以在步驟S210創(chuàng)建局部標簽。
然后在步驟S220�,發(fā)射機確定RLP段是否是最后一個RLP段。RLP 段的頭部中的標記可以被設(shè)為指示開始段�、中間段或最后段。如果RLP段 不是最后RLP段�����,在步驟S230,例如32比特局部標簽的局部標簽被發(fā)送 到發(fā)射機中的累加器(未示出)。在步驟S240���,發(fā)射機向接收者發(fā)送RLP 段。
如果RLP段是最后RLP段��,則在步驟S235�,向累加器發(fā)送最后局部 標簽。向累加器發(fā)送最后局部標簽的過程與向累加器發(fā)送非最后局部標簽 的過程相同����。如圖4B中所示出的,在向累加器發(fā)送最后局部標簽后�����,在 步驟S245��,通過增加局部標簽創(chuàng)建32比特累加標簽來形成累加標簽���。如 將理解的���,在每個局部標簽^f皮生成后,局部標簽可以替代地^^皮添加到部分 累加的標簽���。然后��,在步驟S250,發(fā)射機通過異或累加標簽與第三偽隨機 比特AESk(2���,最后字節(jié)數(shù))的最低有效位創(chuàng)建認證標簽��,來加密累加標 簽����。因為第三偽隨機比特的形成從以上描述中是顯而易見的����,為了簡潔, 省略創(chuàng)建第三偽隨機比特的描述���。
在步驟S260��,在RLP段重傳的情況下����,認證標簽也被發(fā)送到存儲器��。 在步驟S270,認證標簽被附加到最后RLP段并且被傳輸?shù)浇邮諜C用于解 碼���。存儲器可以是RAM或受中央處理器(CP)控制的任何其它存儲設(shè)備����, 或者所述存儲設(shè)備可以是專用集成電路(ASIC )的一部分或受專用集成電 路(ASIC)控制����。僅對應(yīng)用分組的最后RLP分組���,存儲^人證標簽��。
可以理解�����,在不背離由此提供的全部內(nèi)容的情況下��,對圖4的實施例 的眾多修改是可4亍的�。例如�����,可以逆序或者并行實施步驟S210和S220��。 作為另一例子,可以并行和/或串行實施步驟S260和S270�����。
重傳
公知的���,接收機可以不必接收從發(fā)射機或傳輸者傳輸?shù)乃蠷LP段��。接收機為什么可以不必接收所有^X送的RLP段��,有很多原因�����。為了簡潔�����, 將省略RLP段為什么被丟棄的細節(jié)�����。如果接收方并非接收所有的RLP段���, 則未接收的RLP段可以#^射機重傳��。
當發(fā)射機中的中央處理器向硬件發(fā)送RLP段用于傳輸和重傳時�����,中央 處理器還發(fā)送指示RLP段是否是重傳的比特����。請求重傳的過程在本領(lǐng)域中 是已知的�����,因而為了簡潔將省略其描述�。
參考圖5,發(fā)射機或傳輸者在步驟S300接收重傳RLP段的請求�����。在 步驟S310,發(fā)射機確定重傳請求是用于應(yīng)用分組的最后RLP段還是用于 非最后RLP段�。如果請求是用于非最后RLP段,則在步驟S320���, RLP 段被加密并且被重傳��。
如果在步驟S310,請求是用于應(yīng)用分組的最后RLP段��,則在步驟 S330,存儲在CP/RAM中的累加認證標簽被加密并且被附加到最后RLP 段�。在步驟S340,被加密的最后RLP段與被加密的認證標簽一起被重傳 到接收機。
作為選項����,在步驟S310和S330之間,最后RLP段可以被進一步重 新分割�。例如,傳輸者可以基于傳輸條件確定整個最后RLP段應(yīng)當被進一 步拆分成更小的碎片來減輕負載更小的段的每個在不同的時隙上^J^送��。 此處�,在重傳前,僅更小的碎片的最后一個被附有加密的認證標簽��。
解密和在線(inline)完整性檢查
如果接收機完全地接收包括認證標簽的所有RLP段�����,如果它們^^口 密����,接收機必須解密RLP段,并且實施完整性檢查��。
圖6示出根據(jù)本發(fā)明示例實施例的解密和在線完整性檢查的方法的流 程圖。此處�����,"在線��,��,意味著與等待接收整個RLP段相比�����,在RLP段被
接收機接收時進行完整性計算��。
在所有RLP段被在接收機處接收后���,在步驟S400,創(chuàng)建第四偽隨機 比特����。如圖4的步驟S200 —樣,AES可以被用來創(chuàng)建第四偽隨機比特�����。 因為第四偽隨機比特的形成從以上描述中是顯而易見的,為了簡潔���,省略創(chuàng)建第四偽隨機比特的描述�。
在步驟S410,為接收的RLP段創(chuàng)建局部標簽��。所述局部標簽可以是 32比特局部標簽����。然后在步驟S420,接收機確定RLP段是否是最后RLP 段。如果RLP段不是最后RLP段�,RLP段被解密,并且在步驟S430與 局部標簽一起被發(fā)送到接收機中的存儲器�。與發(fā)送機類似,接收機的存儲 器可以是RAM或受中央處理器(CP)控制的任何其它存儲設(shè)備�����,或者該 存儲設(shè)備可以是專用集成電路(ASIC )的一部分或受專用集成電路(ASIC ) 控制�����。同樣類似于以上關(guān)于圖3和4描述的步驟���,局部標簽創(chuàng)建步驟和確 定RLP段是否是最后RLP段的步驟可以被顛倒����。解密方法在本領(lǐng)域是已 知的,因此��,為了簡潔�����,其描述將被省略����。
在步驟S420,如果接收機確定RLP段是最后RLP段�,則在步驟S440, 最后RLP分組被解密����。而且,最后RLP段的局部標簽被與第五偽隨機比 特AESk (2�,最后字節(jié)數(shù))的lsb (最低有效位)異或,并且在步驟S440, 與步驟S270的i人證標簽一起被發(fā)送到存儲器��。為了簡潔����,將省略創(chuàng)建第 五偽隨機比特的說明。另外��,對普通技術(shù)人員來說將明顯的是創(chuàng)建第四和 第五偽隨機比特的方法與以上分別描述的創(chuàng)建第二和第三偽隨機比特的方 法相同�����。
中央處理器(CP)組裝所有的RLP段來形成應(yīng)用分組�����。CP還添加在 步驟S430和S440接收的所有局部標簽�����。如果計算的局部標簽的總和等于 接收的認證標簽�����,則應(yīng)用分組在步驟S450被驗證�。
非倍數(shù)塊大小
在以上描述的示例性實施例中,關(guān)于是塊大小的倍數(shù)的RLP段描述了 完整性�、加密和解密方法,例如���,32比特(4字節(jié))��。換言之���,所述RLP 段是32比特的標準塊大小���。在以下示例實施例中,將描述不是標準塊大小 的RLP分組����,例如,不是32比特的倍數(shù)����。為了簡潔,將僅描述標準RLP 段塊大小和非標準RLP段塊大小之間不同的那些方面(步驟)�。
假定應(yīng)用分組的RLP段不是塊大小的倍數(shù),例如�����,不是32比特的倍數(shù)�,并且給定比特序號,標識是32比特的倍數(shù)的開始字節(jié)是可行的�。 一旦 是32比特的倍數(shù)的開始字節(jié)被標識,可以在32比特值上實施全局散列�。
如將被理解的,在"32比特的倍數(shù)"之前的比特和結(jié)束比特必須被適 當管理����。不是32比特的倍數(shù)的RLP段在RLP段的開始可以被在先添加為 零,和/或零還可以被附加到RLP段的末端來完成32比特密文塊Ci�����。例如����, 32比特密文可以被寫為多項式t
Ci,a X t" + Ci,b X t" + Ci,c X t8 + Ci,d X t0
因此AjXCi可以被重寫為
Ai x d,a x t24 + Ai x Ci,b.x t化+ Ai x C" x t8 + Ai x Ci,d x t0
可以基于伽羅瓦域(232 )計算加法或乘法,或者其它域可以被用于修 改���,例如�,在大于32比特的調(diào)制器素數(shù)(modulator prime )上工作���。完 整的32比特Ai可以與該塊Ci相關(guān)聯(lián)����。
詳細地���,并且參考圖7�����,假定第一RLP段(RLP 1)是7字節(jié)長���,這 意味著該RLP段1以3個額外字節(jié)結(jié)束����。下一個段�����,RLP段2�����,在4字節(jié) 倍數(shù)開始前具有剩余字節(jié)(3字節(jié))�。32比特Ci由32比特Ci, a、 Ci, b��、 Ci, c和Ci, d組成��。相應(yīng)地���,C2的3字節(jié)是RLP段1的一部分����,并且最后 字節(jié)是RLP段2的一部分。另外����,32比特A2被創(chuàng)建�����,并且被RLP段1 和RLP段2用來創(chuàng)建局部32比特標簽���。因而��,用于RLP段1的32比特 局部標簽增加
Ai x Ci,a x t24 + Ai x Ci,b x t16 + Ai x Ci,c x t8 并且用于RLP段2的32比特局部標簽增加
Ai X Ci,d X t0
加密和局部標簽創(chuàng)建過程的剩余部分類似于以上關(guān)于圖1-4描述的過 程����。另外���,以上公開的認證標簽創(chuàng)建���、RLP分組的解密、RLP分組的重傳、以及驗證的方法是相同的����。見圖5-6及其描述。
可變長度應(yīng)用分組
應(yīng)用分組還可以具有各種字節(jié)長度��。相應(yīng)地�����,現(xiàn)在將給出描述本發(fā)明 的示例實施例如何可以適用于那些應(yīng)用分組的描述�����。為了簡潔��,將僅描述 不同于以上描述的示例實施例的那些方面�。
應(yīng)用分組可以具有可變字節(jié)長度。在傳統(tǒng)技術(shù)中��,通過包括長度(塊 的數(shù)量)參數(shù)作為通用散列計算的一部分或者作為標簽加密的輸入�,具有 可變字節(jié)長度的應(yīng)用分組可以被處理。例如�����,填充法可以被用于填充最后 部分填充的塊。然而��,該方法不能被用于示例性實施例中��,因為當RLP段 無序地接收時�����,長度是未知的��。
開始字節(jié)和最后字節(jié)的字節(jié)數(shù)可以被用來替換字節(jié)長度值��。CO值可以 被設(shè)為開始字節(jié)的數(shù)量��,這可以有助于COxAO項�����。例如����,AO可以是偽隨 機的�����、預(yù)先計算的以及固定的值,或者AO可以例如是在偽隨機流Ai中的 Al之前的32比特值��,并且CO是在應(yīng)用分組之前的開始比特�����。
假定AO是在偽隨機流Ai中的Al之前的用于任何CO (開始字節(jié)數(shù)) 的32比特值��,該C0不是32比特界限的倍數(shù)��,AO被設(shè)為在包含開始字節(jié) 數(shù)的塊之前的32比特偽隨機塊�。也要求附加步驟用于RLP流的開始,例 如��,字節(jié)0����、 1、 2和3�,因為沒有之前的塊。示意性地���,AO可以裙 沒為第 六偽隨機比特AESk(3��, O)的最后字節(jié),或者被設(shè)為AO-AESk(l�����, 264誦1)��, 這是在0 mod 264之前的值����。要注意的是,RLP流達到26432比特塊實際上 是不可行的�����。因此����,假定輸入到AES的整個字節(jié)數(shù)是64比特��。因此���,為 了創(chuàng)建局部32比特標簽��,CO是開始字節(jié)數(shù)(32比特)���;并且AO是在偽 隨機流Ai中的Al之前的32比特掩碼�����,例如��,AO-前AESk(l,…)輸出 比特的最后32比特��。如以上所描述的�����,用于RLP流的開始4字節(jié)的CO 的AO是專門創(chuàng)建的�。
當使用第七偽隨機比特AESk (2����,最后字節(jié)數(shù))創(chuàng)建加密的標簽(認 證標簽)時,在不同字節(jié)數(shù)結(jié)束的應(yīng)用分組將具有不同的加密標簽����。再次,創(chuàng)建第七偽隨機比特的方法可以與以上描述的創(chuàng)建第三和第五偽隨機比特
的方法相同���。為了加密標簽�,不使用128比特塊數(shù)�,而是可以使用精確的 最后字節(jié)數(shù)作為AES輸入���。兩個不同的消息可以創(chuàng)建相同的標簽,例如����, 32比特倍數(shù)長度消息M,并且該消息M被0字節(jié)緊隨���。然而��,每個消息 將被不同地加密����,因為將為每個消息添加隨機字符串�。
對于在非32比特倍數(shù)處開始和結(jié)束但是屬于相同應(yīng)用分組的RLP段, 可以在RLP段的開始字節(jié)處以及還在下一個RLP段的開始字節(jié)處重用 Ai��。參考圖8�,將描述在非32比特倍數(shù)處結(jié)束的應(yīng)用分組和在非32比特 倍數(shù)處開始的下一個應(yīng)用分組��。
RLP分組可以被填充零來完成4字節(jié)Ci�����。此處,可以對兩個應(yīng)用分組 重用Ai�。換言之,在第一應(yīng)用分組的末端處以及再次在第二應(yīng)用分組的開 始處將使用Ai���。
基于當前i,第二應(yīng)用分組的開始字節(jié)將繼續(xù)使用4字節(jié)Ai�����,其中�����,i 等于(最后字節(jié)勤4)��。對于第一應(yīng)用分組的結(jié)束字節(jié)����,例如����,4X+1、 4X+2 或4X+3字節(jié)�����,與最后字節(jié)相關(guān)聯(lián)的32比特Ai,即,等于(最后字節(jié)勿4) 的i被使用��。
當接收數(shù)據(jù)時�����,本發(fā)明的示例性實施例允許"即時(on the fly)"消 息認證標簽驗證��,而不必等待重組整個應(yīng)用分組�。該示例性實施例允許字 節(jié)級加密和認證處理以及無序處理。
顯而易見的是����,這樣描述的本發(fā)明示例性實施例在很多方面可以是變 化的。這樣的變化不被被視為背離本發(fā)明�����,并且所有這樣的修改都包括在 本發(fā)明的范圍內(nèi)���。
權(quán)利要求
1.一種處理應(yīng)用分組用于傳輸?shù)姆椒ǎ龇椒ò▽⑺鰬?yīng)用分組拆分成多個段��;創(chuàng)建第一偽隨機比特;基于所述多個段的每個和與所述多個段的每個相關(guān)聯(lián)的所述第一偽隨機比特的部分生成局部標簽��;組合包括最后局部標簽的所述局部標簽來創(chuàng)建累加標簽�,所述最后局部標簽與所述應(yīng)用分組的最后段相關(guān)聯(lián);基于所述累加標簽和第二偽隨機比特生成認證標簽�����;存儲所述認證標簽�����;以及傳輸包括所述認證標簽的所述多個段�����。
2. 根據(jù)權(quán)利要求l所述的方法��,其中��,生成所述認證標簽包括 在所述累加標簽和所述第二偽隨機比特上實施異或操作�����。
3. 根據(jù)權(quán)利要求2所述的方法���,其中�����,所述第二偽隨機比特是第二偽 隨機比特的最低有效位(lsb)���。
4. 根據(jù)權(quán)利要求l所述的方法�,進一步包括 通過在所述多個段上與第三偽隨機比特的各部分實施異或操作創(chuàng)建密文塊�,來加密所述多個段。
5�����,根據(jù)權(quán)利要求4所述的方法���,其中�����,使用具有密鑰k和crptosync 值的高級加密標準(AES)創(chuàng)建所述第一�、第二和第三偽隨^/L比特�。
6. 根據(jù)權(quán)利要求5所述的方法,其中�,所述局部標簽的生成包括 用第四偽隨機比特去乘所述應(yīng)用分組的開始字節(jié)數(shù)�����,所述第四偽隨機比特使用具有密鑰k和crptosync值的AES被創(chuàng)建,所述crptosync值是 在所述應(yīng)用分組之前的字節(jié)數(shù)��。
7. 根據(jù)權(quán)利要求l所述的方法����,進一步包括 接收重傳所述多個段的最后段的請求; 將所述存儲的認證標簽附加到所述多個段的最后段�����;以及重傳所述最后段和所述認證標簽����。
8. 根據(jù)權(quán)利要求7所述的方法,進一步包括 將所述最后段重新分割成多個段���;并且其中 所述重傳傳輸所述多個碎片和所述認證標簽�。
9. 根據(jù)權(quán)利要求l所述的方法����,其中�����,所述多個段的每個是塊大小的 倍數(shù)����。
10. 根據(jù)權(quán)利要求1所述的方法�,其中,如果所述多個段不是塊大小 的倍數(shù)��,所述方法進一步包括標識是塊大小的倍數(shù)的段���;以及實施下面的至少一個�����,用零在先添加所述塊大小倍數(shù)段的開始以及用 零附加所述塊大小倍數(shù)段的末端����。
11. 一種處理接收的應(yīng)用分組段的方法���,包括 接收包括認證標簽的應(yīng)用分組的多個段�; 創(chuàng)建第一偽隨機比特�����;基于接收的多個段的每個和與接收的多個段的每個相關(guān)聯(lián)的所述第一 偽隨才幾比特的部分生成局部標簽;在存儲器中存儲所述局部標簽�����、所述接收的多個段和接收的認證標簽���; 組合所述接收的多個段來創(chuàng)建所述應(yīng)用分組; 組合所述局部標簽來創(chuàng)建計算的標簽��;以及基于所述計算的標簽和所述接收的認證標簽驗證所述應(yīng)用分組的可靠性�。
12. 根據(jù)權(quán)利要求11所述的方法,其中���,使用具有密鑰k和crptosync 值的高級加密標準(AES)創(chuàng)建所述第一偽隨機比特��。
13. 根據(jù)權(quán)利要求ll所述的方法�,進一步包括 為接收的所述多個段的最后段創(chuàng)建最后局部標簽����;以及 在所述局部標簽上與第二偽隨機比特的最低有效位(lsb)實施異或操作。
14. 根據(jù)權(quán)利要求13所述的方法�,其中����,使用具有密鑰k和crptosync值的高級加密標準(AES)創(chuàng)建所述第二偽隨機比特�����。
15.根據(jù)權(quán)利要求ll所述的方法�����,進一步包括 接收所述多個段的最后段的重傳�; 為接收的所述多個段的最后段創(chuàng)建最后局部標簽;以及 在所述局部標簽上與第二偽隨機比特的最低有效位(lsb)實施異或操
全文摘要
本發(fā)明的一個示例性實施例公開了一種處理應(yīng)用分組用于傳輸?shù)姆椒?,該方法包括將所述?yīng)用分組拆分成多個段、創(chuàng)建第一偽隨機比特��、以及基于所述多個段的每個和與所述多個段的每個相關(guān)聯(lián)的所述第一偽隨機比特的部分生成局部標簽����。該方法進一步包括組合包括與所述應(yīng)用分組的最后段相關(guān)聯(lián)的最后局部標簽的所述局部標簽以創(chuàng)建累加標簽、基于所述累加標簽和第二偽隨機比特生成認證標簽����、存儲所述認證標簽、以及傳輸包括所述認證標簽的所述多個段����。
文檔編號H04L9/32GK101529798SQ200780039355
公開日2009年9月9日 申請日期2007年10月22日 優(yōu)先權(quán)日2006年10月23日
發(fā)明者S·帕特爾 申請人:朗訊科技公司