專利名稱:通過驗(yàn)證實(shí)體來認(rèn)證實(shí)體的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通過驗(yàn)證實(shí)體來認(rèn)證實(shí)體的方法。
背景技術(shù):
本發(fā)明在密碼協(xié)議領(lǐng)域中發(fā)現(xiàn)了對于認(rèn)證具有或不具有接觸的非常低成
本的電子微芯片(特別是射頻標(biāo)識(shí)(RFID)標(biāo)簽)的特別有利的應(yīng)用�。
在例如標(biāo)注或跟蹤對象(藥物、圖書館書籍等)并產(chǎn)生和驗(yàn)證例如公共
交通票的電子票的許多應(yīng)用中使用例如RFID類型的低成本電子微芯片��。
與涉及的應(yīng)用無關(guān)�,必須防止偽造微芯片的欺騙行為,特別是拷貝或復(fù)
制它們或重放它們所傳送的數(shù)據(jù)���。為了使得應(yīng)用免受這樣的攻擊����,當(dāng)微芯片
與微芯片讀取器互相作用時(shí)����,認(rèn)證微芯片是勢在必行的��。
然而�����,在例如低成本微芯片的要認(rèn)證的實(shí)體和例如微芯片讀取器的驗(yàn)證
實(shí)體之間使用的任何認(rèn)證協(xié)議必須考慮這類微芯片(通常是硬連線邏輯類型)
的特別有限的計(jì)算資源�����。
最近已提出了特別設(shè)計(jì)為滿足RFID微芯片的需求的對稱HB+ (霍珀-勃魯姆)認(rèn)證協(xié)議(見A. Juels and S.A. Weis��,"」w /7e""c加."g尸ervos/ve Z)ev/ces w"/z //wmaw尸roZocoA ", in V. Shoup, Editor, Advances in Cryptology - Crypto 05, Lecture Notes in Computer Science, Vol. 3126�����, pp. 293-308��, Springer Verlag )�����。
圖1表示在要認(rèn)證的實(shí)體和驗(yàn)證實(shí)體之間的HB+協(xié)議下的數(shù)據(jù)交換�。
如該圖中可以看出的,例如RFID微芯片的要認(rèn)證的實(shí)體和例如微芯片 讀取器的驗(yàn)證實(shí)體共享包括0_比特二進(jìn)制矢量的一對私鑰2L和Y���。這些私鑰 被存儲(chǔ)在微芯片的存儲(chǔ)部件10和微芯片讀取器的存儲(chǔ)部件20中��。
HB+協(xié)議在L次連續(xù)迭代上展開。在每一迭代中����,微芯片隨機(jī)抽取(draw) (塊100)并向微芯片讀取器發(fā)送(1) aJ匕特二進(jìn)制矢量b。類似地�����,微芯 片讀取器隨機(jī)抽取(塊200)并向微芯片發(fā)送(2) iL比特二進(jìn)制矢量g����。根據(jù) 統(tǒng)一概率法則來進(jìn)行矢量k和i的隨機(jī)抽取。
微芯片然后通過計(jì)算(塊120)噪聲影響的應(yīng)答z:",x十"y十v并向微芯片讀取器發(fā)送(3 ),而對微芯片讀取器發(fā)起的挑戰(zhàn)(challenge ) i作出應(yīng)答�����, 其中���,表示模2數(shù)積運(yùn)算�,而0表示模2加����。微芯片隨機(jī)抽取噪聲比特v/ (塊 110);它在概率/7<1/2的情況下取值1���,而在概率(l-77)的情況下取值0��。
如果接收的應(yīng)答L不滿足等式z-w;c①"少���,則微芯片讀取器拒絕當(dāng)前 迭代(塊210);在該情況下�����,將拒絕的迭代次數(shù)nbr的計(jì)數(shù)器遞增一個(gè)單位 (塊220 )����。在迭代次數(shù)nbt的計(jì)數(shù)器計(jì)數(shù)(塊250 )的^次迭代的結(jié)尾�,如果 且僅如果來自計(jì)數(shù)器的拒絕的迭代次數(shù)nbr低于給定閾值〖(塊230 )����,則接受 該認(rèn)證(塊240)��。 L的值當(dāng)然是概率7的函數(shù);L的簡單值是例如^rxT7����。
盡管在三遍L次迭代中構(gòu)造了提出的HB+協(xié)議的交換,但是可能通過同 時(shí)計(jì)算和發(fā)送b��、 i和^的L個(gè)值��,來將其降低為三遍一次交換。
HB+協(xié)議的優(yōu)點(diǎn)在于認(rèn)證計(jì)算的極大簡便性����。
此外�,其魯棒性起源于求出具有噪聲的線性系統(tǒng)的解的LPN (具有噪聲 的學(xué)習(xí)奇偶性)問題的困難��。最后�����,與歷史上較早的HB協(xié)議(其不同之處 在于,具有噪聲的應(yīng)答不包括6*少項(xiàng))相比�,HB+協(xié)議具有以下益處二進(jìn) 制矢量L引起的遮蔽效應(yīng)與私鑰L關(guān)聯(lián);HB協(xié)議對其中對手發(fā)送恒定挑戰(zhàn)g 并收聽來自微芯片讀取器的應(yīng)答的攻擊敏感�;最頻繁的應(yīng)答是a",并且已 知g,可能在第一步驟中獲得用于足夠數(shù)目值i的wx�,并在第二步驟中通過 求解線性系統(tǒng)而推知(deduce) 2£。
然而����,HB+協(xié)議具有防止其在實(shí)踐中被有效使用的缺陷��。 如已經(jīng)指明的�����,第一缺陷在于盡管該協(xié)議對抗對i的一些主動(dòng)攻擊, 但是其仍然易受當(dāng)對手訪問多個(gè)連續(xù)認(rèn)證的結(jié)果(成功/失敗)時(shí)遭遇的其他 攻擊��。
這樣的攻擊攔截當(dāng)從微芯片讀取器向微芯片發(fā)送時(shí)的挑戰(zhàn)并連續(xù)修 改其比特���。例如,如果修改了 l的第一比特����,則清楚的是,如果在該修改之 后沒有改變該結(jié)果��,則能推斷該私密矢量(secret vector) ^的第一比特可能 是0����。相反�,如果改變了該結(jié)果���,則2L的第一比特可能等于1��。為了獲得i的 所有IL比特,修改^的第二比特以發(fā)現(xiàn)i的第二比特��,依此類推��,直到比特n 為止�����,這就足夠了����。
HB+協(xié)議的第二缺陷在于其產(chǎn)生連續(xù)數(shù)目的錯(cuò)誤警報(bào)���,錯(cuò)誤警報(bào)被定義 為謝絕認(rèn)證合法微芯片。利用以下值11=224比特����、����;7=0.25、 r-100次迭代 和f^/7xr^25��,例如,錯(cuò)誤警報(bào)率為45%�����,這是完全不可接受的。錯(cuò)誤肯定
5率(即����,隨機(jī)應(yīng)答的芯片的成功認(rèn)證)接近3xl(T7����。
如果不是對于匕取期望值^ = /7>^=25����,而是取較高值(例如35)�,則錯(cuò) 誤警報(bào)率下降到1%(這仍然不可接受),但是錯(cuò)誤肯定率增加到大約1.7xl(T3�。
最后,HB+的第三缺陷在于其在微芯片和微芯片讀取器之間的通信中虧1 起的過分復(fù)雜性���。利用與前面相同的數(shù)值�,可示出�����,必須在每一認(rèn)證中交換 44卯0比特����,即在100次迭代的每一次中的用于k的224比特�����、用于i的224 比特、和用于結(jié)果的一比特���。
即使具有10000bps的比特率�,微芯片讀取器也需要多于四秒來認(rèn)證微芯 片(這在系統(tǒng)生物工程學(xué)方面是禁止的)��,更不用說向微芯片供電的結(jié)果問題����。
發(fā)明內(nèi)容
本發(fā)明所以提供了一種通過驗(yàn)證實(shí)體認(rèn)證實(shí)體的方法�,所述實(shí)體共享一 對私鑰X和Y。所述方法的顯著之處在于所述私鑰X和Y是nxm(n����,m〉
l)二進(jìn)制矩陣�,并且所述方法包括重復(fù)L次(r^ l)的步驟
所述要認(rèn)證的實(shí)體和所述驗(yàn)證實(shí)體交換由所述驗(yàn)證實(shí)體和所述要認(rèn)證 的實(shí)體分別隨機(jī)抽取的i比特的二進(jìn)制矢量i和b并且所述要認(rèn)證的實(shí)體隨
機(jī)抽取OL比特的噪聲二進(jìn)制矢量e,所述HL比特中的每一個(gè)在小于1/2的概 率 7的情況下等于1�����,并且所述要認(rèn)證的實(shí)體計(jì)算等于z:aX十6r④c的2]_比 特的應(yīng)答矢量并將其發(fā)送到該驗(yàn)證實(shí)體����;
該驗(yàn)證實(shí)體計(jì)算誤差矢量e-z④aJT④W的漢明權(quán);并然后
.如果L個(gè)誤差矢量^的漢明權(quán)滿足與作為概率;;的函數(shù)的參數(shù)的比較的
關(guān)系�����,則4妄受i人證�����。
由此����,可以看出,與HB+協(xié)議相比���,本發(fā)明的方法著眼于重組私密X�, 而提供了對于修改挑戰(zhàn)§_的比特的攻擊的改進(jìn)抵抗。如果修改了 §_的第一比 特��,則該修改影響該比特與X的HL列的第一比特的乘積��,也影響乘積aX的 HL比特并因此整體影響應(yīng)答Z�。結(jié)果,不可能通過觀察對于i的比特的修改的 認(rèn)證結(jié)果的效果�,而推知有關(guān)私密X的任何信息,因?yàn)榭尚薷腲的HL比特中 的多個(gè)����,而不可能告知它們的編號(hào)或它們的位置,而在HB+協(xié)議中���,對于且 的比特的任何修改直接影響僅包括一比特的應(yīng)答2�����。
關(guān)于本發(fā)明的方法的性能,應(yīng)觀察到的是�,每一迭代的應(yīng)答二被寫入到 UL比特上,本質(zhì)上似乎在僅一次迭代中進(jìn)行了 OL次迭代����。作為其結(jié)果����,在第一極端情況下�����,可能將迭代次數(shù)降低nL階數(shù)的因數(shù)���,
并由此實(shí)際上將迭代次數(shù)限制為僅一個(gè)����,這在錯(cuò)誤警報(bào)率方面維持了 HB+協(xié) 議的性能�����,但是將交換的比特?cái)?shù)目從1"(211+1)降低為(2n + m),即����,在n=224 和m=128的情況下從44900比特降低為576比特,這表示了相當(dāng)大的改進(jìn)���。
該示例全面證明了本發(fā)明將迭代次數(shù)L限制為1的益處����,這對于HB+協(xié)議來 說是不可能想象的。
在第二極端情況下�,迭代次數(shù)相同。交換的數(shù)據(jù)數(shù)量然后輕微增加���,但 是錯(cuò)誤警報(bào)率變得可以忽略�����。
當(dāng)然�����,在降低的錯(cuò)誤警報(bào)率以及在微芯片和微芯片讀取器之間交換的降
低的比特?cái)?shù)兩者的情況下�����,不得不在這兩種極端情況之間選定現(xiàn)實(shí)情況���。
這也許是事實(shí),但是清楚的是�����,本發(fā)明在錯(cuò)誤警報(bào)率和要在涉及的這兩
個(gè)實(shí)體之間交換的信息數(shù)量的方面��,比HB+協(xié)議提供更好的性能��。
在本發(fā)明的一個(gè)具體實(shí)現(xiàn)中�����,所述矩陣X和Y是Toeplitz矩陣����。下面更
詳細(xì)地示出,如果要選定其他矩陣���,則該有利特征將微芯片和微芯片讀取器
的存儲(chǔ)容量限制為(n + m - l)而不是n x m�����。另 一優(yōu)點(diǎn)是乘積aX和bY的簡化計(jì)算�����。
本發(fā)明還提供了 一種要由驗(yàn)證實(shí)體認(rèn)證的實(shí)體�,所述實(shí)體共享一對私鑰 X和Y�,其顯著之處在于所述要認(rèn)證的實(shí)體包括用于存儲(chǔ)包括n x m (n, m > 1) 二進(jìn)制矩陣的私鑰X和Y的部件�����、用于與驗(yàn)證實(shí)體通信的部件、和適于將以 下步驟實(shí)行L次(r ^ 1 )的計(jì)算部件
隨機(jī)抽取iL比特的二進(jìn)制矢量b��,并將其發(fā)送到驗(yàn)證實(shí)體�; .從驗(yàn)證實(shí)體接收iL比特的二進(jìn)制矢量i;
-隨機(jī)抽取HL比特的噪聲二進(jìn)制矢量e,所述HL比特中的每一個(gè)在小于 1/2的概率/7的情況下等于1,并計(jì)算等于z二"義④6r0c的HL比特的應(yīng)答矢量 ^并將其發(fā)送到驗(yàn)證實(shí)體。
本發(fā)明還提供了一種計(jì)算機(jī)程序��,包括以下程序指令�,當(dāng)所述程序由形 成要認(rèn)證的實(shí)體的所述計(jì)算部件的部分的計(jì)算機(jī)執(zhí)行時(shí),用于執(zhí)行由所述要 認(rèn)證的實(shí)體實(shí)行的步驟�����。
本發(fā)明還提供了一種驗(yàn)證實(shí)體�����,與要認(rèn)證的實(shí)體共享一對私鑰X和Y, 其顯著之處在于所述驗(yàn)證實(shí)體包括用于存儲(chǔ)包括n x m (n, m > l)二進(jìn)制矩陣 的私鑰X和Y的部件�、用于與要認(rèn)證的實(shí)體通信的部件、和適于將以下步驟實(shí)行L次(r S l)的計(jì)算部件
-從要認(rèn)證的實(shí)體接收i比特的二進(jìn)制矢量b;
隨機(jī)抽取0_比特的二進(jìn)制矢量^并將其發(fā)送到要認(rèn)證的實(shí)體��;
從要認(rèn)證的實(shí)體接收oL比特的應(yīng)答矢量z;
計(jì)算誤差矢量^z十"Z④W的漢明權(quán)�����,并且如果L個(gè)誤差矢量L的漢 明權(quán)滿足與作為預(yù)定概率/7的函數(shù)的參數(shù)(T,t)的比較的關(guān)系����,則接受認(rèn)證。 本發(fā)明最后提供了一種計(jì)算機(jī)程序��,包括以下程序指令�����,當(dāng)所述程序由
形成所述驗(yàn)證實(shí)體的所述計(jì)算部件的部分的計(jì)算機(jī)執(zhí)行時(shí)�����,用于執(zhí)行所述驗(yàn) 證實(shí)體實(shí)行的步驟�。
參考附圖作為非限制性示例而給出了以下描述,并且以下描述解釋了本 發(fā)明包括什么以及如何能將本發(fā)明還原為實(shí)踐�����。
圖2表示在本發(fā)明的方法期間在要認(rèn)證的實(shí)體和驗(yàn)證實(shí)體之間的交換���。
圖3是要通過圖2的方法認(rèn)證的實(shí)體的圖�。
圖4是用于使用圖2的方法認(rèn)證圖3的實(shí)體的驗(yàn)證實(shí)體的圖。
具體實(shí)施例方式
圖2示出了使得驗(yàn)證實(shí)體(例如接觸或非接觸微芯片讀取器)能夠驗(yàn)證 要認(rèn)證的實(shí)體(在該示例中可以是RFID微芯片)的身份的認(rèn)證方法����。
圖2中示出的方法是所謂對稱方法,其中兩個(gè)實(shí)體(微芯片和微芯片讀 取器)共享相同的私鑰��。被指定為X和Y的這些密鑰是包括il行和HL列的n x m (n, m 〉 l)二進(jìn)制矩陣���。私鑰X和Y被存儲(chǔ)在微芯片的存儲(chǔ)部件10和微 芯片讀取器的存儲(chǔ)部件20中(見圖2以及圖3和4)��。
本發(fā)明的方法被構(gòu)造為重復(fù)l次的步驟(r^ 1)����。表述"l次"指明可在 三遍L次迭代中依次實(shí)行的微芯片和微芯片讀取器之間的交換�����,如圖2中指 明的��,其中迭代次數(shù)nbt在每一迭代中由計(jì)數(shù)器遞增1 (塊250)��,或指明三
遍并行實(shí)行的微芯片和微芯片讀取器之間的交換�,每一遍包括數(shù)據(jù)的L項(xiàng)從 一個(gè)實(shí)體向另一實(shí)體的傳送。
在圖2的示例中��,微芯片1在每一迭代中隨機(jī)抽取(塊100)并向微芯 片讀取器2發(fā)送(1 ) iL比特的一行二進(jìn)制矢量b。微芯片讀取器2然后向微芯片1發(fā)送(2)作為隨機(jī)抽取的iL比特的一行二進(jìn)制矢量的挑戰(zhàn)這(塊200)���。 根據(jù)0和1比特的均勻分布來隨機(jī)抽取二進(jìn)制矢量k和&
響應(yīng)于挑戰(zhàn)逸����,微芯片1向微芯片讀取器2發(fā)送(3)等于模2和 z-M④6y0c的nL比特的一行二進(jìn)制矢量Z (塊120'),其中l(wèi)是由微芯片1 根據(jù)概率法則隨機(jī)抽取(塊IIO���,)的OL比特的一行噪聲二進(jìn)制矢量,該概率 法則確保^的每一比特在具有相等概率的情況下等于1����、或者小于或等于比 1/2小的參數(shù)T7。為此����,可根據(jù)具有參數(shù)/7 < 1/2的柏努利法則,而彼此獨(dú)立 地隨機(jī)抽取噪聲矢量^的每一比特�。也可從比特之和(漢明權(quán))不大于具有/7 <1/2的值/7 xm的所有HL比特矢量中隨機(jī)抽取噪聲矢量^當(dāng)然,可在微芯 片隨機(jī)抽取二進(jìn)制矢量b (如應(yīng)記得的那樣�,用于遮蔽對矢量i的主動(dòng)攻擊) 的同時(shí)隨機(jī)抽取噪聲矢量^。
在每一迭代上��,微芯片讀取器2計(jì)算(塊210')等于e-z④oX十W的m 比特的誤差矢量g,其中i是^t芯片l發(fā)送的應(yīng)答矢量��,并且按照這種方式獲 得誤差矢量i的漢明權(quán)PH(e)(塊220,)���。
在l次迭代之后��,從每次迭代中獲得的誤差矢量i的l個(gè)漢明權(quán)PH(e)��、 以及其與作為概率/7的函數(shù)的參數(shù)的比較����,來確定微芯片讀取器2驗(yàn)證微芯 片1的接受或拒絕��。
然后��,幾個(gè)策略是可能的�����。
圖2中表示的第一策略是如果且僅如果L個(gè)誤差矢量玍的漢明權(quán)之和S (塊221')低于給定閾值T (塊230')���,例如等于K7 + s)w�����,其中e是低于I/2 的極限(margin )(可能為零)��,則接受認(rèn)證(塊240���,)��。
第二策略是如果且僅如果每次迭代中獲得的誤差矢量i的漢明權(quán)低于閾
值t���,則4妻受認(rèn)證。
最后�,第三策略是如果且僅如果每次迭代中獲得的誤差矢量[的漢明權(quán) 等于值$,則接受認(rèn)證��。
在第二和第三策略中����,參數(shù)L具有值(/7 + s—,其中e是小于I/2的極P艮(可 能為零)���。
取值Fl��、 n=256���、 m=128、 ����;���; =0.25以及從具有漢明權(quán)32的長度128的 二進(jìn)制矢量中隨機(jī)抽取的噪聲矢量5 (即,7 x m)����,如果且僅如果每次迭代 中的誤差矢量i的權(quán)重精確等于值32 (這里,e=0)�,則在以上策略中的第三 策略下接受微芯片的認(rèn)證。
9在該示例中�,可以看出,交換的總長度僅為640比特����,即(2n + m)比特。 相反�,可以看出,錯(cuò)誤警報(bào)率嚴(yán)格為零�,而嘗試[的隨機(jī)值的攻擊的錯(cuò)誤肯 定率接近1(T8,這在實(shí)踐中是完全可接受的����。
在圖2中,微芯片1和微芯片讀取器2之間的交換順序如下向微芯片 讀取器發(fā)送b���,向微芯片發(fā)送5�,微芯片隨機(jī)抽取£,和向微芯片讀取器發(fā)送 2。無論如何必須注意的是��,可同樣好地使用不同順序����,即向微芯片發(fā)送5, 微芯片隨機(jī)抽取k和g����,和向微芯片讀取器發(fā)送^和2。該順序具有降低交換 次數(shù)的優(yōu)點(diǎn)�。
在顯著降低用于存儲(chǔ)矩陣X和Y所必需的存儲(chǔ)器數(shù)量、以及微芯片和驗(yàn) 證實(shí)體要實(shí)行的計(jì)算的復(fù)雜性的實(shí)現(xiàn)中��,可使用嚴(yán)格少于n x m的多個(gè)比特 從微芯片中定義的所有n x m矩陣的嚴(yán)格子集中選擇矩陣X和Y中的每一個(gè)���。 例如,當(dāng)X和Y是Toeplitz矩陣(即�,具有沿著對角線的恒定系數(shù)的矩陣, 其所有系數(shù)完全由第一行和第一列的系數(shù)確定)時(shí)���,用于存儲(chǔ)每一矩陣所必 需的存儲(chǔ)器數(shù)量被降低為僅(n + m - 1)���。如果X是Toeplitz矩陣并且如果�、是 第i行和第j列的系數(shù)�,如果i大于或等于i,則x,.,等于x,—,+u ,否則����、等于氣,_,+1 。
以下實(shí)現(xiàn)高度有效地逐比特地計(jì)算例如L的二進(jìn)制矢量和例如X的 Toeplitz矩陣的乘積��,該Toeplitz矩陣使用nL比特的兩個(gè)寄存器借助于其第一 行和其第一列的(n + m- l)個(gè)系數(shù)來定義���, 一個(gè)寄存器用于計(jì)算該矩陣的當(dāng)前 行��,而另一寄存器被初始化為0�����,用于累加該矢量矩陣乘積的部分結(jié)果�。第 一寄存器用X的第一行來初始化��,其后按照以下方式對矢量氐的每一比特進(jìn) 行處理如果i的當(dāng)前比特等于l�����,則使用異或運(yùn)算符將X的當(dāng)前行的值逐 比特地與部分結(jié)果累加寄存器的當(dāng)前值組合。否則���,不修改該寄存器的當(dāng)前 值���。或者�����,如果當(dāng)前行不是矩陣X的最后一行��,則通過將該寄存器的內(nèi)容向 右旋轉(zhuǎn)一 比特�,隨后將與新當(dāng)前行對應(yīng)的第 一列的系數(shù)拷貝到該寄存器的最 左單元,而更新包括該矩陣的當(dāng)前行的寄存器�����。
如圖3中所示����,微芯片讀取器2要認(rèn)證的微芯片1 (這兩個(gè)實(shí)體共享一 對私鑰X和Y )包括用于存儲(chǔ)包括n x m (n, m > l)二進(jìn)制矩陣的私鑰X和Y 的部件10���、用于與微芯片讀取器2通信的部件12��、和適于將參考圖2描述的
方法的步驟執(zhí)行L次(rS l)的計(jì)算部件11:
.隨機(jī)抽取L比特的二進(jìn)制矢量^并將其發(fā)送到微芯片讀取器2;
.從微芯片讀取器2接收iL比特的二進(jìn)制矢量
10-隨機(jī)抽取HL比特的噪聲二進(jìn)制矢量g (所述HL比特中的每一個(gè)在小于 1/2的概率;/的情況下等于1),并計(jì)算等于z:"X十W④c的匡比特的應(yīng)答矢 量并將其發(fā)送到微芯片讀取器2�。
類似地,在圖4中可以看出�,用于認(rèn)證微芯片l的微芯片讀取器2包括 用于存儲(chǔ)包括n x m (n, m > l)二進(jìn)制矩陣的私鑰X和Y的部件20、用于與要 認(rèn)證的微芯片l通信的部件22�、和適于將參考圖2描述的方法的步驟執(zhí)行r 次(r^ 1)的計(jì)算部件21:
-從要認(rèn)證的微芯片1接收jL比特的二進(jìn)制矢量b;
-隨機(jī)抽取OL比特的二進(jìn)制矢量i并將其發(fā)送到微芯片1;
從^(效芯片1接收HL比特的應(yīng)答矢量2;
'計(jì)算誤差矢量e-zG"x④6:r的漢明權(quán),并且如果L個(gè)誤差矢量^_的漢
明權(quán)滿足與作為概率 ;的函數(shù)的參數(shù)的比較的關(guān)系���,則接受認(rèn)證����。具體來說���,
如上面詳細(xì)描述的那樣����,如果通過n次迭代獲得的誤差矢量L的漢明權(quán)之和
小于與閾值T相等的參數(shù)��,則接受認(rèn)證���。
權(quán)利要求
1.一種由驗(yàn)證實(shí)體(2)認(rèn)證實(shí)體(1)的方法����,所述實(shí)體共享一對私鑰X和Y,其特征在于所述私鑰X和Y是n×m(n����,m>1)二進(jìn)制矩陣,所述方法包括重復(fù)r次(r≥1)的步驟·所述要認(rèn)證的實(shí)體(1)和所述驗(yàn)證實(shí)體(2)交換由所述驗(yàn)證實(shí)體(2)和所述要認(rèn)證的實(shí)體(1)分別隨機(jī)抽取的n比特的二進(jìn)制矢量a和b����,并且所述要認(rèn)證的實(shí)體(1)隨機(jī)抽取m比特的噪聲二進(jìn)制矢量c,所述m比特中的每一個(gè)在小于1/2的概率η的情況下等于1�,并且所述要認(rèn)證的實(shí)體(1)計(jì)算等于 id="icf0001" file="A2008800171010002C1.tif" wi="28" he="3" top= "89" left = "42" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/>的m比特的應(yīng)答矢量z并將其發(fā)送到該驗(yàn)證實(shí)體(2);·該驗(yàn)證實(shí)體(2)計(jì)算誤差矢量 id="icf0002" file="A2008800171010002C2.tif" wi="28" he="3" top= "97" left = "104" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/>的漢明權(quán)�����;并然后·如果r個(gè)誤差矢量e的漢明權(quán)滿足與作為概率η的函數(shù)的參數(shù)(T��,t)的比較的關(guān)系��,則接受認(rèn)證����。
2. 根據(jù)權(quán)利要求l的方法,其中所述比較的關(guān)系使得通過L次迭代獲得 的誤差矢量丄的漢明權(quán)之和小于與闞值T相等的參數(shù)�����。
3. 根據(jù)權(quán)利要求2的方法��,其中該閾值T具有值K;7 + �。m,其中s是小于1/2的極限��。
4. 根據(jù)權(quán)利要求l的方法��,其中所述比較關(guān)系使得在每一迭代中獲得的 誤差矢量[的漢明權(quán)小于與閾值L相等的參數(shù)����。
5. 根據(jù)權(quán)利要求l的方法,其中所述比較關(guān)系使得在每一迭代中獲得的 誤差矢量丄的漢明權(quán)等于與閾值L相等的參數(shù)����。
6. 根據(jù)權(quán)利要求4或權(quán)利要求5的方法,其中L具有值(W + ���。附��,其中s 是小于1/2的極限���。
7. 根據(jù)權(quán)利要求1到6中的任一個(gè)的方法���,其中所述矩陣X和Y是 丁oeplitz頭巨P車。
8. —種要由驗(yàn)證實(shí)體(2)認(rèn)證的實(shí)體�����,所述實(shí)體共享一對私鑰X和Y�, 其特征在于所述要認(rèn)證的實(shí)體(1 )包括用于存儲(chǔ)包括n x m (n, m > l)二進(jìn)制 矩陣的私鑰X和Y的部件(10 )、用于與驗(yàn)證實(shí)體(2 )通信的部件(12 )����、 和適于將以下步驟實(shí)行L次(r2 l)的計(jì)算部件(11 ):-隨機(jī)抽取IL比特的二進(jìn)制矢量b,并將其發(fā)送到驗(yàn)證實(shí)體(2); -從驗(yàn)證實(shí)體(2)接收n比特的二進(jìn)制矢量旦�����; 隨機(jī)抽取nL比特的噪聲二進(jìn)制矢量e�,所述HL比特中的每一個(gè)在小于1/2的概率 7的情況下等于1,并計(jì)算等于z:^T④W十c的OL比特的應(yīng)答矢量l并將其發(fā)送到驗(yàn)證實(shí)體(2)�����。
9. 一種計(jì)算機(jī)程序��,包括以下程序指令���,當(dāng)所述程序由形成要認(rèn)證的實(shí)體(1)的所述計(jì)算部件(11)的部分的計(jì)算機(jī)執(zhí)行時(shí)����,用于執(zhí)行權(quán)利要求8的步驟����。
10. —種驗(yàn)證實(shí)體,與要認(rèn)證的實(shí)體(1)共享一對私鑰X和Y��,其特征在于所述驗(yàn)證實(shí)體(2 )包括用于存儲(chǔ)包括n x m (n��, m > l)二進(jìn)制矩陣的私鑰X和Y的部件(20 )����、用于與要認(rèn)證的實(shí)體(1 )通信的部件(22 )、和適于將以下步驟實(shí)行H次(r2 l)的計(jì)算部件(21):.從要認(rèn)證的實(shí)體(1 )接收iL比特的二進(jìn)制矢量b;.隨機(jī)抽取iL比特的二進(jìn)制矢量^并將其發(fā)送到要認(rèn)證的實(shí)體(1); 從要認(rèn)證的實(shí)體(i)接收0L比特的應(yīng)答矢量2;.計(jì)算誤差矢量e-z0"z④6:r的漢明權(quán)�,并且如果L個(gè)誤差矢量玍的漢明權(quán)滿足與作為預(yù)定概率 7的函數(shù)的參數(shù)(T,t)的比較的關(guān)系,則接受認(rèn)證�����。
11. 一種計(jì)算機(jī)程序��,包括以下程序指令���,當(dāng)所述程序由形成所述驗(yàn)證實(shí)體(2)的所述計(jì)算部件(21)的部分的計(jì)算機(jī)執(zhí)行時(shí)����,用于執(zhí)行權(quán)利要求10的步驟。
全文摘要
由驗(yàn)證實(shí)體認(rèn)證實(shí)體的方法��,所述實(shí)體共享一對私鑰X和Y���。根據(jù)本發(fā)明���,所述私鑰X和Y是n×m二進(jìn)制矩陣(n,m>1)�,所述方法包括重復(fù)r次(r≥1)的步驟包括所述要認(rèn)證的實(shí)體(1)和所述驗(yàn)證實(shí)體(2)交換由所述驗(yàn)證實(shí)體(2)和所述要認(rèn)證的實(shí)體(1)分別隨機(jī)抽取的n比特的二進(jìn)制矢量a和b;并且所述要認(rèn)證的實(shí)體(1)隨機(jī)抽取m比特的二進(jìn)制噪聲矢量c���,所述m比特中的每一個(gè)在小于1/2的概率η的情況下等于1��,并且所述要認(rèn)證的實(shí)體(1)計(jì)算等于m比特的應(yīng)答矢量z并將其發(fā)送到該驗(yàn)證實(shí)體(2)�,該驗(yàn)證實(shí)體計(jì)算誤差矢量的漢明權(quán)(220’)�,然后如果r個(gè)誤差矢量e的漢明權(quán)滿足取決于概率η的參數(shù)(T)的比較關(guān)系(230’),則該驗(yàn)證實(shí)體接受(240’)認(rèn)證�����。應(yīng)用到密碼協(xié)議以非常低的成本認(rèn)證電子芯片。
文檔編號(hào)H04L9/32GK101682510SQ200880017101
公開日2010年3月24日 申請日期2008年5月21日 優(yōu)先權(quán)日2007年5月23日
發(fā)明者亨利·吉爾伯特, 馬修·羅布肖 申請人:法國電信公司