[go: up one dir, main page]

CN101803273B - 执行加密计算的方法 - Google Patents

执行加密计算的方法 Download PDF

Info

Publication number
CN101803273B
CN101803273B CN200880023392.6A CN200880023392A CN101803273B CN 101803273 B CN101803273 B CN 101803273B CN 200880023392 A CN200880023392 A CN 200880023392A CN 101803273 B CN101803273 B CN 101803273B
Authority
CN
China
Prior art keywords
key
result
affine
combination
random values
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200880023392.6A
Other languages
English (en)
Other versions
CN101803273A (zh
Inventor
荷芙·夏巴纳
朱利安·博林格
托马斯·艾卡特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Identity and Security France SAS
Original Assignee
Sagem Securite SA
Morpho SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sagem Securite SA, Morpho SA filed Critical Sagem Securite SA
Publication of CN101803273A publication Critical patent/CN101803273A/zh
Application granted granted Critical
Publication of CN101803273B publication Critical patent/CN101803273B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Electrophonic Musical Instruments (AREA)
  • Soundproofing, Sound Blocking, And Sound Damping (AREA)

Abstract

依据加密算法,在电子器件中执行加密计算,该加密算法包括至少一个单向函数的应用,依据对该电子器件的一次入侵而禁用该单向函数。该单向函数基于对应于第一密钥的第一仿射运算。通过获取(11)第一和第二随机值(r,r’)、然后通过应用对应于第二密钥的第二仿射运算(σK1)而获取第一结果(13),该单向函数被应用于该第一和第二随机值的第一组合(12),以及其后通过应用对应于第三密钥的第三仿射运算(σK2)而获取(14)第二结果,该单向函数被应用于所述第一结果。第三和第二仿射运算的组合(σK2 o σK1)对应于第一仿射运算;此外加密运算被应用于(15)所述第二结果以及第一和第二随机值的第二组合的至少其中之一。

Description

执行加密计算的方法
本发明涉及对电子器件,特别是基于POK(“Physically ObfuscatedKeys”,物理模糊密钥)类型的技术构建的电子器件中的密钥的管理。
加密算法使得基于对一个或多个密钥的使用来确保数据的机密性成为可能。这些数据的机密性的安全等级依赖于在依据该加密算法所实现的加密运算的过程中所使用的这些密钥的机密性的安全等级。
当加密密钥存储于电子器件时,通过该电子器件自身的侵入方法,以一种欺骗的方式可以轻易地得到它的值。一旦拥有该存储的密钥,然后就能够存取原本打算保持机密的数据。
就此而论,为了提高加密数据的安全等级,必须提高存储的密钥的保护等级。
在这方面,2003年2月,Blaise Gassend发表了其硕士论文“Physical Random Functions”。在该文献中定义了“物理模糊密钥”或POK类型的密钥,通过对输入值应用不可克隆的函数来获取该密钥。这些不可克隆的函数一方面有着确定的特征,另一方面又难以描述这些函数的特征。此外,一旦对于该电子器件入侵,这些函数有着可被销毁的特性。
在上述文献中,这些函数被称为PUFs(“Physical UnclonableFunctions”),即“物理不可克隆函数”。
对于同一输入值,这种PUF函数总是提供相同的结果值。然而,不能够从这一结果值中反向找到该输入值,并且在对一特定输入值首次应用该PUF函数获取该结果值之前,也不能够为该特定输入值预先确定该结果值。
因此POK类型的密钥是通过应用不可克隆的函数而获取的。就此而论,POK类型的密钥K可依据以下等式来获取:
K = f ( c ) ⊕ K , ;
其中f是PUF类型的函数;以及
c是存储于该电子器件的一给定值,或者称为“挑战”(“challenge”);以及
其中K’是存储于该电子器件的密钥,在该电子器件中实现对于密钥K的获取。
此外,POK类型的密钥的特征是任何入侵对于它来说都是破坏性的。因此,一旦检测到试图对该电子器件进行入侵,所述电子器件中执行该PUF类型函数f的装置便被禁用。
为了提高POK类型密钥K的机密性的安全等级,有利地,应用基于该密钥K的加密运算的形式是分别基于两部分密钥K1和K2的两个加密运算,这两个加密运算被连续执行。
单独考虑每一个加密运算,都不能展示任何关于密钥K的值的信息。
在这些情况下,对于加密器件的一次入侵袭击最多仅能提供两部分密钥K1和K2的其中之一。因此,这样的袭击不可能完整地恢复POK类型的密钥K。
如Blaise Gassend在上述文献中所记载的,以两个加密运算的形式来实现基于密钥K的加密运算并不容易,特别是当对于使用同一密钥K的不同加密器件,要求两部分密钥K1和K2是不同的时。
在这一文献中,为此提出,在使用Rivest-Shamir-Adleman或RSA类型算法的情况下,通过操作形式为两部分密钥的组合的POK类型密钥K来确定两部分密钥K1和K2。然而并不是在所有电子器件中执行RSA类型的算法都是容易的,特别是当电子器件只有相当小的计算容量时,因为RSA类型算法的执行是复杂的。
本发明的目的是使得在不同类型的电子器件中执行加密运算成为可能。
本发明的第一方面提出了一种依据给定的加密算法在电子器件中执行加密计算的方法,该加密算法包括至少一个单向函数的应用,依据对该电子器件的一次入侵而禁用该单向函数;所述单向函数基于第一仿射运算(σK),该第一仿射运算对应于第一密钥(K);
所述方法包括与所述单向函数的应用相关的以下步骤:
/a/获取第一和第二随机值(r,r’);
/b/通过对第一和第二随机值的第一组合应用第二仿射运算(σK1)来获取第一结果,第二仿射运算对应于第二密钥;
/c/通过对第一结果应用第三仿射运算(σK2)来获取第二结果,该第三仿射运算对应于第三密钥;
其中第三和第二仿射运算的组合(σK2οσK1)对应于第一仿射运算(σK);以及
其中加密运算被应用于所述第二结果以及第一和第二随机值的第二组合的至少其中之一。
在本发明的一个实施例中,由于其使用POK执行,该单向函数被禁用。
该第二组合可能相同于或不同于该第一组合。
通过以这种方式进行,使第一仿射运算对应于第一密钥,该第一仿射运算可为一线性运算。然后,以两个连续仿射运算的方式来应用该第一仿射运算,并在其后要么对前面获取的结果,要么对两个随机值的另外一个组合,执行加密运算。
在上述这些情况的任何一种情况下,加密运算的应用能够获取加密的总体结果。在其中一种情况下,该加密的总体结果对应于第二加密结果。在另一种情况下,该加密的总体结果分为两部分,第一部分是获取的第二结果,并且第二部分对应于两个随机值的加密的组合。
在这里,术语“组合”的意思是指能够将两个值进行组合的任何一种应用,例如将两个值首尾相接(end-to-end)、或者“异或”运算,或其他可将两个值变成一个的应用。
下文中,使用的多个值的组合被标记为“combi”,i是一整数索引。可能会提供相同、相似或不同的组合的使用。
凭借这些方法,通过将基于该密钥的单向函数的应用分割为两个连续的加密子运算(sub-operations),能够保护用于加密数据的密钥的机密性。
为了发现该密钥,然后必须找回这两个加密子运算。
对于POK类型这一情况,其中依据对于该电子器件的一次入侵,应用该单向函数的装置被销毁,或被禁用,该电子器件可以以第二仿射运算被发现的方式被打开。然而在这一情况下,第三仿射运算可以不再被发现。
在另一种情况下,可以设想该电子器件以第三仿射运算被发现的方式被打开。然而在这种情况下,不能被确定的是该第二仿射运算。
因此,在这些条件下不可能在该电子器件的硬件基础上发现第一加密运算。
应指出,通过考虑依据第一仿射运算的密钥,可容易地确定多个被连续应用的第二和第三仿射运算对,使得以两个连续的步骤来完成第一仿射应用成为可能。因此,通过两个连续的步骤来执行对数据的加密,可容易地基于POK类型的密钥来加密数据,这种执行从而能够在任意类型的电子器件中进行,包括那些不具有很大的计算能力的电子器件。
该加密运算可对应于哈希函数或伪随机函数。例如,有利地,该函数的执行可利用对称的加密函数,例如AES,即“高级加密标准”(“Advanced Encryption Standard”)。
在本发明的一个实施例中,当该加密运算应用于第二结果时,该第一、第二和第三仿射运算可对应于线性位级置换(linear bit-levelpermutations)。
在这种情况下,第一和第二随机值的组合对应于将第一和第二随机值作为输入的加密运算的应用。
在后的加密运算也可对应于哈希函数。
在一个实施例中,第一和第二随机值的组合对应于第一和第二随机值之间的“异或”运算(“exclusive or”operation)的应用。
在一个变化实施例中,当该加密运算应用于第一和第二随机值的第二组合时,该第一、第二和第三仿射操作分别对应于与第一、第二和第三密钥的“异或”运算,从而该第一密钥等于第二和第三密钥之间“异或”运算的结果。
这样的执行加密计算的方法能够有利地应用于识别无线标签的方法的情形中。因此其能够有效地保护已被分配给该无线标签的密钥的机密性。
因此,本发明的第二方面提出了一种在识别服务器中识别无线标签的方法,该识别服务器依据一Q叉树来管理多个密钥,该Q叉树有一根结点和多个叶结点,其中Q是一大于或等于2的整数,该树上的每个叶结点对应于一个密钥;所述多个密钥中的一个密钥与所述无线标签相关;对所述无线标签进行识别的所述识别方法包括以下步骤:
/1/从所述识别服务器接收第一随机值;
/2/生成一第二随机值;
/3/基于与所述无线标签相关的所述密钥的至少一部分,通过对所述第一和第二随机值应用加密计算来获取一结果;以及
/4/将所述结果传输至所述识别服务器;
其中使用根据本发明第一方面所述的执行加密计算的方法来执行所述加密计算。
当所述密钥以多个部分的形式来表示,该多个部分分别表示从该树的根结点至相应叶结点的路径的多个部分时,针对所述密钥的所述多个部分的每一部分重复执行步骤/1/至/4/。
也可以仅重复执行步骤/3/和/4/,以避免为密钥的每一部分生成一新的随机值以及避免在合适的地方对这些值的传输。
有利地,依据下述方程式,第二密钥的每一部分可由一POK来确定:
K=f(c);
其中f是PUF类型的函数;并且
其中c是存储于该电子器件的一给定值,或称为“挑战”;
因此能够节省用于存储K’的存储空间,如上所述。
如上所述关于执行该加密计算的方法,在一个变化实施例中,通过对第二结果应用加密运算可以获取第三结果。在此情形下,在所述识别方法的步骤/4/中,第三结果以及由该无线标签生成的第二随机值被传输至该识别服务器。
接下来,该认证服务器拥有该第一和第二随机值以及第二加密结果,然后其能够确定哪个密钥与相应的无线标签相关并从而识别该无线标签。该确定基于一与在该无线标签上执行的计算相似的计算,然而该计算应用于由该识别服务器所管理的所有密钥。应指出,不必以相同的方式来执行这些在无线标签和识别服务器之间相似的计算。事实上,该识别服务器可基于该密钥执行该运算而并不将其分为两部分。
然后可基于对这些计算完成时获取的结果以及从该无线标签接收的结果之间的比较,来确定该无线标签是否被识别。
在另一个变化实施例中,该加密运算被应用于第一和第二随机值的第二组合。在这种情况下,在步骤/4/中,第二结果和对这些随机值的第二组合执行的加密运算的结果被传输至该识别服务器。
还是在这一变化实施例中,基于针对该识别服务器所管理的所有密钥执行的类似于在无线标签上所执行的计算的计算所获取的结果以及从该无线标签接收到的信息之间的比较,该识别服务器可确定该无线标签是否被识别,所述信息是第二结果和对r和r’的组合执行的加密运算的结果。
本发明的第三方面提出了一种适于依据给定的加密算法来执行加密计算的电子器件,该加密算法包括至少一个单向函数的应用,依据对该电子器件的一次入侵而禁用该单向函数;所述单向函数基于密钥(K),该密钥对应于第一仿射运算(σK);所述电子器件包括适于执行根据本发明的第一方面所述的方法的装置。
本发明的第四方面提出了一种包括根据本发明的第三方面所述的电子器件的无线标签,所述标签适于执行根据本发明的第二方面所述的识别方法。
本发明的第五方面提出了一种无线标签识别系统,包括识别服务器和根据本发明的第四方面所述的标签。
本发明的其他方面、目的和优点可通过阅读其中一个实施例的说明而变得更加明显、清晰。
结合附图,本发明可被更好地理解,其中:
-图1示出了根据本发明的一个实施例的执行加密计算的方法的主要步骤;
-图2示出了根据本发明的一个实施例的依据二叉树的密钥管理;
-图3示出了根据本发明的一个实施例的识别无线标签的方法的主要步骤;
-图4示出了根据本发明的另一实施例的识别无线标签的方法的主要步骤;
图1示出了根据本发明的一个实施例在一个电子器件中执行的主要步骤。
在步骤11中,第一和第二随机值r和r’被获取。本发明并不对这一步骤加以限制。具体地,如下情形是可行的,该电子器件生成两个随机值的其中之一并且从该电子器件的外部接收另一个随机值。
在步骤12中,依据组合combi,第一和第二随机值被组合。
在一个变化实施例中,还可以对这两个随机值r和r’的组合应用加密运算。然而这一步骤仍是可选的,根据本发明的一个实施例的方法可以基于这些随机值r和r’的任意组合进行执行,例如“异或”运算,且不应用加密运算。但是,为了更进一步地提高密钥的机密性的安全等级,在该步骤中应用加密运算例如哈希函数,是有利地。
根据本发明的一个实施例,在执行加密计算的方法中应用的该单向函数基于密钥K。认为一个仿射函数对应于该密钥K,该仿射函数例如是对输入值的第一位级置换σK。通过将第一仿射应用分解为至少第二和第三仿射应用的组合,分别为σK1和σK2,能够提高第一仿射应用的机密性的保护等级,以及因此可提高对应的密钥K的安全等级。在此情形下,当对该电子器件的第一次入侵发生时,单向函数的执行被立即禁用。
因此,在步骤13中,第二仿射运算σK1被应用于之前的步骤12完成时所获取的结果。然后,在步骤14中,第三仿射运算σK2被应用于步骤13所获取的结果。
最后,在步骤15中,加密运算,例如哈希函数的加密运算,被应用于步骤14获取的结果。
当步骤15完成时,通过应用一包括考虑到密钥K的单向函数的应用的方法来获取一加密结果,在执行该方法的时候,而不会危及密钥值的机密性。
在一个变化实施例中,执行于步骤15中的加密运算被应用于两个随机值r和r’的组合,该组合可不同于在步骤12中使用的组合。在这一情况下,通过应用这里所考虑的加密计算而加密的结果,一方面,对应于该第二结果,也就是说在步骤14完成时所获取的结果源于第二和第三仿射运算的组合,以及,另一方面,对应于两个随机值的加密后的组合。
在这里,第一、第二和第三仿射运算,分别为σK、σK1和σK2,可验证以下等式:
σ K ( x ) = x ⊕ K
σ K 1 ( x ) = x ⊕ K 1
σ K 2 ( x ) = x ⊕ K 2
其中x是输入值;
其中K、K1和K2分别是第一、第二和第三密钥,其验证了以下等式:
K = K 1 ⊕ K 2
为了加密r和r’的组合,可应用哈希函数或伪随机函数。
有利地,在识别无线标签的情形下,实施根据本发明的一个实施例的执行加密计算的方法,例如在使用下述文档中描述的识别协议的类型的无线标签的情形下,该文档的名称为“A scalable,delegatablepseudonym protocol enabling ownership transfer of RFID tags”,作者为David Molnar,Andrea Soppera以及David Wagner,发表于2005年。
“RFID标签”是使用称为“无线射频识别”(“radiofrequencyidentification”)技术的无线标签。这些标签都包括与电子芯片相关的天线,以便接收和发送信息。在这种情况下,识别数据被存储于无线标签中。
在前面提到的文档中,识别中心或“可信赖中心”或“识别服务器”负责基于相关的密钥来识别无线标签。为此,它以Q叉树的形式管理着多个密钥,其中Q是大于或等于2的整数,该树的每个叶节点对应于一个密钥。密钥用从树的根节点至对应于该密钥的叶节点的路径部分的形式来表示。更具体地,例如,对于二叉树来说,表示密钥的每个路径部分通过在每个节点上指示需要从两个分支中选择哪个分支来到达期望的叶节点,来指明该树的路径。
图2示出了根据这种树对密钥的管理,这里所示的是二叉树。因此,在这样的一个识别系统中,用于识别无线标签的密钥以二叉树路径的形式来表示。
例如,在图2中用箭头指示的、对应于该树叶节点的密钥K的表示、存储和控制对应于k0 0k0 1k1 2
图3示出了根据本发明的一个实施例的在识别系统中执行的识别无线标签的方法的主要步骤。
这一识别系统包括无线标签31和识别服务器32,该识别服务器依据图2所示的二叉树管理密钥。
无线标签31首先从识别服务器32接收第一随机值r,然后其生成第二随机值r’。
然后它基于以树路径的方式对其密钥的表示,对第一和第二随机值应用一加密计算,并且将该加密计算的执行结果传输至识别服务器。然后后者将该加密计算应用于它所管理的树的叶节点所对应的不同密钥的各自表示。因而,基于接收到的结果与从树叶节点获取的结果之间的比较,其能够确定哪个密钥与该无线标签相关,从而可以识别该无线标签。
在此情形下,通常根据标签用途类型的分类,密钥被分配给不同的无线标签。因此,例如,如果这些无线标签用在钞票(banknotes)上,指派给给定数量纸币的密钥可对应于有着许多相同比特值的密钥。
在这种情况下,当攻击者恢复一些值时,这些值或者已经通过识别中心和例如500欧元纸币的无线标签的接口,或者通过一适合的无线标签读取器,并且当攻击者还取回了上述的对500欧元纸币的密钥的表示时,他就可能基于在识别中心和这些纸币的无线标签之间传输的信息,掌握足够信息以定位具有该值的纸币。这是因为,依赖于在密钥树中使用的分类,掌握关于密钥位置的信息可提供密钥信息,对其他依赖于相同上级节点的叶节点来说,这些密钥信息是非常有用的。
在通过Q叉树管理密钥的情况下,上述可能出现的攻击仅仅是多个攻击中的其中一例,其开始于一个无线标签的密钥的值,能够获取其他无线标签上的机密信息。
为提高附着于物理存储于无线标签的密钥的机密性的安全等级,有利地,通过使用用上述方式存储和管理关于POK类型的密钥的特性来防御任意入侵式攻击。
因此,在无线标签上实施根据本发明的一个实施例的执行加密计算的方法在这里被提出。
这样的无线标签拥有一个接收自识别服务器的随机值r,并生成另一随机值r’。然后其在步骤35中执行根据本发明的一个实施例的方法的步骤11到15。
在这里描述的一个变化实施例中,步骤15的加密运算被应用于从步骤14获取的结果。
依据该方法,对应于例如k0 0k0 1k1 2的密钥K的路径部分被相继处理。
在所描述的实施例中,该方法包括两个随机值r和r’的组合。然后,加密运算h1被应用于该组合,之后进行线性位置换(linear bitpermutation)运算σK。最后,加密运算h2被应用于位置换运算的结果。
这一计算的结果可写为:
h2K(h1(comb1(r,r’))))
其中comb1(r,r’)是随机值r和r’的组合。
该方法被应用于路径部分k0 0,并且将获取的结果,对应于
Figure G2008800233926D00111
通过消息36传输至识别服务器32。然后,该方法被应用于路径部分k0 1,并且将获取的结果,对应于
Figure G2008800233926D00112
通过消息37传输至识别服务器32。最后,该方法被应用于路径部分k1 2,并且将获取的结果,对应于
Figure G2008800233926D00113
通过消息38传输至识别服务器。
为涉及所有密钥部分k0 0、k0 1、k1 2所有步骤保留随机值r和r’,或者为密钥的每部分重新生成随机值r和r’。
然后,与该无线标签一样,服务器拥有了两个随机值r和r’。其将与由无线标签所执行的计算相似的计算应用于树中不同的密钥,直到其能够通过比较从后者获取的加密值来识别该标签。
这里应当指出,识别服务器其自身能够执行这种计算,而并不将仿射运算的执行分割成两步。因而,根据本发明的一个实施例的无线识别方法对于现存的识别服务器是兼容的。
图4示出了根据本发明的另一个实施例的识别无线标签的方法的主要步骤。在这一应用示例中,步骤15实施的加密运算被应用于两个随机值r和r’的组合。在这种情况下,有利地,两个随机值的组合对应于随机值r’。
因此,在这种情况下,如前一实施例,无线标签31并不将第二随机值传输至识别服务器32,反而其仅仅传输第二随机值的加密图像。
在根据上述执行的方法的加密计算完成时,也就是步骤41完成时,标签能够将消息42传输至识别服务器32,消息42表示r和r’加密后的组合,h’(comb2(r,r’)),其中h’是加密函数,例如其可能是哈希函数或伪随机函数,以及其中comb2是随机值r和r’的组合。
下面几个部分描述了仅应用于密钥的第一部分的识别方法的步骤,据此能够轻易地推断与其他部分相关的其他步骤。
通过消息43,将仿射运算
Figure G2008800233926D00121
应用的结果传输给r和r’的组合。
这里,该仿射运算应用的结果可对应于密钥部分k0 0和r与r’的组合之间的“异或”运算,下述等式被验证:
σ k 0 0 = k 0 0 ⊕ comb 3 ( r , r , )
其中comb3是r和r’的组合。
为涉及所有密钥部分k0 0、k0 1、k1 2的所有步骤保留随机值r和r’,或者为密钥的每部分重新生成随机值r和r’。
在此示例中,为了识别无线标签,识别服务器32拥有第一随机值、两个随机值的组合的加密结果、以及根据其管理的密钥被应用的仿射运算。
基于在识别服务器32中管理的密钥、在消息42中接收的随机值r和r’的加密后的组合、消息43的内容、以及r的值,能够验证其是否获得了相同的r和r’的加密后的组合,以识别所使用的密钥。这里应当指出该识别服务器仅仅接收了r’加密后的图像。
为了确定密钥第一部分的值,可为密钥的第一部分应用以下等式:
comb 3 ( r , r , 1 ) = k 0 0 ⊕ ( k 0 0 ⊕ comb 3 ( r , r , ) ) ;
comb 3 ( r , r , 2 ) = k 0 1 ⊕ ( k 0 0 ⊕ comb 3 ( r , r , ) ) ;
其中
Figure G2008800233926D00125
对应于接收到的消息42的内容;以及
其中comb3(r,r’1)和comb3(r,r’2)是两个随机值r和r’的组合潜在的候选者。
接下来,其将与在无线标签中应用的加密运算相同的加密运算应用于r和r1’的组合以及r和r2’的组合。然后其比较与该加密运算相关的这些计算执行完成时所获取的两个结果,并且之后确定密钥第一部分的值。
其通过对密钥所有的部分执行相同的处理来确定整个密钥的值。

Claims (14)

1.一种依据给定的加密算法在电子器件中执行加密计算的方法,该加密算法包括至少一个单向函数的应用,依据对该电子器件的一次入侵而禁用该单向函数;
所述单向函数基于第一仿射运算(σK),该第一仿射运算使用第一密钥(K);
所述方法包括与所述单向函数的应用相关的以下步骤:
/a/获取第一和第二随机值(r,r’);
/b/通过对第一和第二随机值的第一组合应用第二仿射运算(σK1)来获取第一结果,该第二仿射运算使用第二密钥;
/c/通过对第一结果应用第三仿射运算(σK2)来获取第二结果,该第三仿射运算使用第三密钥;
其中第三和第二仿射运算的组合(σK2оσK1)对应于第一仿射运算(σK);以及
其中加密运算被应用于所述第二结果以及第一和第二随机值的第二组合的至少其中之一。
2.根据权利要求1所述的执行加密计算的方法,其中该加密运算对应于哈希函数和伪随机函数的其中之一。
3.根据权利要求1或2所述的执行加密计算的方法,其中该加密运算被应用于第二结果,并且其中第一、第二和第三仿射运算对应于位级置换。
4.根据权利要求3所述的执行加密计算的方法,其中所述第一和第二随机值的第一组合对应于将第一和第二随机值作为输入的加密运算的应用。
5.根据权利要求4所述的执行加密计算的方法,其中该加密运算对应于哈希函数。
6.根据权利要求1所述的执行加密计算的方法,其中所述第一和第二随机值的第一组合对应于第一和第二随机值之间的“异或”运算的应用。
7.根据权利要求1所述的执行加密计算的方法,其中该加密运算应用于所述第一和第二随机值的第二组合;
其中该第一、第二和第三仿射操作(σK,σK1,σK2)对应于分别与第一、第二和第三密钥的“异或”运算;以及
其中该第一密钥(K)等于所述第二和第三密钥(K1,K2)之间“异或”运算的结果。
8.一种在识别服务器中识别无线标签的方法,该识别服务器依据一Q叉树来管理多个密钥,该Q叉树有一根结点和多个叶结点,其中Q是一大于或等于2的整数,该树上的每个叶结点对应于一个密钥;所述多个密钥中的一个密钥与所述无线标签相关;对所述无线标签进行识别的所述识别方法包括以下步骤:
/1/从所述识别服务器接收第一随机值(r);
/2/生成第二随机值(r’);
/3/基于与所述无线标签相关的所述密钥的至少一部分,通过对所述第一和第二随机值应用加密计算来获取一结果;以及
/4/将所述结果传输至所述识别服务器;
其中使用根据前述权利要求中任一项所述的执行加密计算的方法来执行所述加密计算,且所述识别服务器基于所述传输的结果识别所述无线标签。
9.根据权利要求8所述的识别无线标签的方法,其中通过对该第二结果应用加密运算来获取第三结果;以及
其中,在步骤/4/中,第三结果和第二随机值被传输至该识别服务器。
10.根据权利要求8所述的识别无线标签的方法,其中通过对该第一和第二随机值的第二组合应用加密运算来获取第四结果;以及
其中,在步骤/4/中,所述第二结果和第四结果被传输至该识别服务器。
11.根据权利要求8至10中任一项所述的识别无线标签的方法,其中所述密钥以多个部分的形式来表示,该多个部分分别代表从该树的根结点至相应叶结点的路径的多个部分,以及
其中针对所述密钥的所述多个部分的每一部分重复执行步骤/1/至/4/。
12.一种适于依据给定的加密算法来执行加密计算的电子器件,该加密算法包括至少一个单向函数的应用,依据对该电子器件的一次入侵而禁用该单向函数;所述单向函数基于第一仿射运算(σK),该第一仿射运算使用第一密钥(K);所述电子器件包括适于执行根据权利要求1至7中任一项所述的方法的装置,其包括:
-获取装置,其获取第一和第二随机值(r,r’);
-第一结果计算装置,其通过对第一和第二随机值的第一组合应用第二仿射运算(σK1)来获取第一结果,该第二仿射运算使用第二密钥;
-第二结果计算装置,其通过对第一结果应用第三仿射运算(σK2)来获取第二结果,该第三仿射运算使用第三密钥。
13.一种包括根据权利要求12所述的电子器件的无线标签,所述标签适于执行根据权利要求8至11中任一项所述的识别方法。
14.一种无线标签识别系统,包括识别服务器和根据权利要求13所述的标签。
CN200880023392.6A 2007-05-15 2008-05-09 执行加密计算的方法 Expired - Fee Related CN101803273B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0703483A FR2916317B1 (fr) 2007-05-15 2007-05-15 Protection d'execution d'un calcul cryptographique
FR0703483 2007-05-15
PCT/FR2008/050817 WO2008145936A2 (fr) 2007-05-15 2008-05-09 Protection d'execution d'un calcul cryptographique

Publications (2)

Publication Number Publication Date
CN101803273A CN101803273A (zh) 2010-08-11
CN101803273B true CN101803273B (zh) 2013-08-07

Family

ID=38761281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880023392.6A Expired - Fee Related CN101803273B (zh) 2007-05-15 2008-05-09 执行加密计算的方法

Country Status (7)

Country Link
US (1) US8681972B2 (zh)
EP (1) EP2149220B1 (zh)
CN (1) CN101803273B (zh)
AT (1) ATE547854T1 (zh)
FR (1) FR2916317B1 (zh)
RU (1) RU2470470C2 (zh)
WO (1) WO2008145936A2 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683210B2 (en) * 2008-11-21 2014-03-25 Verayo, Inc. Non-networked RFID-PUF authentication
CN103875006B (zh) * 2011-08-08 2017-06-06 米高公司 射频识别(rfid)标签及相关设备和方法
CN108063756B (zh) * 2017-11-21 2020-07-03 阿里巴巴集团控股有限公司 一种密钥管理方法、装置及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1788449A (zh) * 2002-12-13 2006-06-14 皇家飞利浦电子股份有限公司 Rijndael的子字节函数的小型硬件实现
WO2007031908A2 (en) * 2005-09-14 2007-03-22 Koninklijke Philips Electronics N.V. Improved device, system and method for determining authenticity of an item
WO2007046018A1 (en) * 2005-10-17 2007-04-26 Koninklijke Philips Electronics N.V. Integrated physical unclonable function (puf) with combined sensor and display

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5517567A (en) * 1994-08-23 1996-05-14 Daq Electronics Inc. Key distribution system
JPH1153173A (ja) * 1997-08-07 1999-02-26 Nec Corp 擬似乱数発生方法及び装置
FR2789776B1 (fr) * 1999-02-17 2001-04-06 Gemplus Card Int Procede de contre-mesure dans un composant electronique mettant en oeuvre un algorithme de cryptographie a cle secrete
JP2001016196A (ja) * 1999-04-28 2001-01-19 Fuji Soft Abc Inc 多重アファイン鍵を用いる暗号化・復号化方法、認証方法、及びこれを用いる各装置
ES2230814T3 (es) * 1999-04-29 2005-05-01 Cp8 Technologies Metodos y sistemas de firma de clave publica.
FR2841020A1 (fr) * 2002-06-13 2003-12-19 St Microelectronics Sa Authentification d'une etiquette electronique
JP2004072184A (ja) * 2002-08-01 2004-03-04 Nippon Hoso Kyokai <Nhk> データ改竄防止装置およびそのプログラム
JP4553565B2 (ja) * 2002-08-26 2010-09-29 パナソニック株式会社 電子バリューの認証方式と認証システムと装置
KR20060113685A (ko) * 2003-10-29 2006-11-02 코닌클리케 필립스 일렉트로닉스 엔.브이. 물리적 랜덤 함수들을 함께 공유하는 신뢰성 있는 포워드비밀 키의 시스템 및 방법
JP4373279B2 (ja) * 2004-05-25 2009-11-25 大日本印刷株式会社 電子署名用icカードの管理方法
WO2007116355A2 (en) * 2006-04-11 2007-10-18 Koninklijke Philips Electronics N.V. Challenge-response authentication of token by means physical uncloneable function
UA18443U (en) * 2006-04-18 2006-11-15 Univ Nat Aviation Method of the cryptographic transformation of information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1788449A (zh) * 2002-12-13 2006-06-14 皇家飞利浦电子股份有限公司 Rijndael的子字节函数的小型硬件实现
WO2007031908A2 (en) * 2005-09-14 2007-03-22 Koninklijke Philips Electronics N.V. Improved device, system and method for determining authenticity of an item
WO2007046018A1 (en) * 2005-10-17 2007-04-26 Koninklijke Philips Electronics N.V. Integrated physical unclonable function (puf) with combined sensor and display

Also Published As

Publication number Publication date
RU2470470C2 (ru) 2012-12-20
FR2916317A1 (fr) 2008-11-21
FR2916317B1 (fr) 2009-08-07
ATE547854T1 (de) 2012-03-15
EP2149220A2 (fr) 2010-02-03
US20110213972A1 (en) 2011-09-01
WO2008145936A2 (fr) 2008-12-04
WO2008145936A3 (fr) 2009-02-19
EP2149220B1 (fr) 2012-02-29
CN101803273A (zh) 2010-08-11
US8681972B2 (en) 2014-03-25
RU2009146386A (ru) 2011-06-20

Similar Documents

Publication Publication Date Title
CN110881063B (zh) 一种隐私数据的存储方法、装置、设备及介质
Avoine et al. A scalable and provably secure hash-based RFID protocol
Cho et al. Consideration on the brute-force attack cost and retrieval cost: A hash-based radio-frequency identification (RFID) tag mutual authentication protocol
US8898086B2 (en) Systems and methods for transmitting financial account information
US20200106600A1 (en) Progressive key encryption algorithm
Khedr et al. Cryptographic accumulator-based scheme for critical data integrity verification in cloud storage
Gupta et al. A confidentiality preserving data leaker detection model for secure sharing of cloud data using integrated techniques
Jayapandian et al. Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption
US20220417018A1 (en) Cryptographic Pseudonym Mapping Method, Computer System, Computer Program And Computer-Readable Medium
US20240062190A1 (en) Generating and maintaining digital tokens on a blockchain using physical device identifiers
US20200014668A1 (en) System and method of securely transmitting and storing data over a network
Gupta et al. Database relation watermarking resilient against secondary watermarking attacks
Kumar et al. Detection of data leakage in cloud computing environment
Swetha et al. Advancing Quantum Cryptography Algorithms for Secure Data Storage and Processing in Cloud Computing: Enhancing Robustness Against Emerging Cyber Threats.
CN101803273B (zh) 执行加密计算的方法
Chen et al. Enhancement of the RFID security method with ownership transfer
CN109347923A (zh) 基于非对称密钥池的抗量子计算云存储方法和系统
Shoukat et al. A survey about the latest trends and research issues of cryptographic elements
CN112380404A (zh) 数据过滤方法、装置及系统
Maleki et al. New clone-detection approach for RFID-based supply chains
CN118395474A (zh) 一种供应链数据安全流通的隐私计算增强区块链解决系统
CN104363096B (zh) 匿名的不可追踪的rfid相互认证方法
Miyaji et al. Efficient and low-cost rfid authentication schemes
Rahman et al. A secure RFID authentication protocol with low communication cost
Sharma et al. Comparative analysis of NPN algorithm & DES Algorithm

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130807

Termination date: 20200509