專利名稱:用于驗證便攜式數(shù)據(jù)載體的方法
技術領域:
本發(fā)明涉及一種用于向終端設備驗證(authenticate)便攜式數(shù)據(jù)載體的方法�����,以及相應適配的數(shù)據(jù)載體和終端設備���。
背景技術:
便攜式數(shù)據(jù)載體(例如以電子身份證件的形式)包括具有處理器和存儲器的集成電路。在存儲器中���,存儲了關于數(shù)據(jù)載體的用戶的數(shù)據(jù)���。在處理器上可執(zhí)行驗證應用程序(application),數(shù)據(jù)載體可以經(jīng)由該驗證應用程序而向終端設備驗證其自身(例如在身份證件的情況下的邊境控制等中)。 在這種驗證方法期間��,通過用于被商定的隨后數(shù)據(jù)通信的對稱加密的保密通信密鑰(例如通過根據(jù)迪菲和赫爾曼(Diffie and Heilman)的已知密鑰交換方法或其它合適方法)來準備數(shù)據(jù)載體和終端設備之間的安全數(shù)據(jù)通信�。此外,至少終端通常核實(verify)數(shù)據(jù)載體的真實性(例如在證書的基礎上)�����。為了執(zhí)行用于商定保密通信密鑰的方法,需要終端以及數(shù)據(jù)載體分別使保密密鑰(secret key)和公開密鑰(public key)可用���。數(shù)據(jù)載體的證書例如可以與其公開密鑰有關�����。當具有由公開密鑰和保密密鑰組成的特有(individual)密鑰對的數(shù)據(jù)載體的集合或組中的每個數(shù)據(jù)載體被個性化(personalize)時,會產(chǎn)生關于數(shù)據(jù)載體的用戶的匿名性(anonymity)的問題�����。接著可以將數(shù)據(jù)載體的每次使用唯一地與對應用戶相關聯(lián)�,并且以這種方式創(chuàng)建例如用戶的完整動作設置文件(profile)����。為了考慮這個方面,已經(jīng)提出利用由公開組密鑰和保密組密鑰組成的相同的所謂組密鑰對分別配備多個或一組數(shù)據(jù)載體�����。這至少在組內(nèi)能夠恢復用戶的匿名性�。這種解決方案的缺點是如果組中的一個數(shù)據(jù)載體受損(compromise),則必須替換數(shù)據(jù)載體的整個組�����。例如,如果組中的一個數(shù)據(jù)載體的保密組密鑰已經(jīng)被偵破��,則組中的每個數(shù)據(jù)載體都不能再安全地使用�����。必要的替換工作的努力和成本可能是巨大的����。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種驗證方法��,其保護用戶的匿名性��,并且其中一個數(shù)據(jù)載體受損不會對其它數(shù)據(jù)載體的安全性產(chǎn)生反作用����。通過具有獨立權利要求特征的方法��、數(shù)據(jù)載體、終端設備以及系統(tǒng)實現(xiàn)這個目的�。在從屬權利要求中陳述有利的實施例和發(fā)展。根據(jù)本發(fā)明的用于向終端設備驗證便攜式數(shù)據(jù)載體的方法包括下列步驟在數(shù)據(jù)載體中��,從數(shù)據(jù)載體特有的公開密鑰導出公開會話密鑰�����。這個數(shù)據(jù)載體特有的公開密鑰已經(jīng)從公開組密鑰導出��。此外,在數(shù)據(jù)載體中�,保密會話密鑰從數(shù)據(jù)載體特有的保密密鑰導出����,數(shù)據(jù)載體特有的保密密鑰已經(jīng)從保密組密鑰導出。數(shù)據(jù)載體特有的公開密鑰和數(shù)據(jù)載體特有的保密密鑰被存儲于數(shù)據(jù)載體中�,而不是保密組密鑰和公開組密鑰被存儲于數(shù)據(jù)載體中。在向終端設備的數(shù)據(jù)載體的驗證的框架(framework)內(nèi)�����,使用公開和保密會話密鑰�。數(shù)據(jù)載體將使用其保密會話密鑰���。數(shù)據(jù)載體使公開會話密鑰對于終端設備變?yōu)榭捎?,所述終端設備在數(shù)據(jù)載體的驗證的框架內(nèi)使用它�。特別地,可以在數(shù)據(jù)載體和終端設備之間商定保密通信密鑰��。為了這個目的,數(shù)據(jù)載體具有公開和保密會話密鑰����。為了這個目的,終端設備于是具有公開終端密鑰和保密終端密鑰�。最后,終端設備核實數(shù)據(jù)載體的公開會話密鑰�。因此,根據(jù)本發(fā)明的便攜式數(shù)據(jù)載體包括處理器����、處理器和用于與終端設備數(shù)據(jù)通信的數(shù)據(jù)通信接口、以及驗證裝置�����。驗證裝置適配于從存儲在存儲器中的���、數(shù)據(jù)載體特有的保密密鑰導出保密會話密鑰�。驗證裝置還適配于從存儲在存儲器中的�����、數(shù)據(jù)載體特有的公開密鑰導出公開會話密鑰�����。此外,其可以與終端設備商 定保密通信密鑰����。為了這個目的,驗證裝置使用公開會話密鑰和保密會話密鑰�����。最后�,根據(jù)本發(fā)明的終端設備適配于與根據(jù)本發(fā)明的便攜式數(shù)據(jù)載體的數(shù)據(jù)通信、以及使用公開終端密鑰和保密終端密鑰與數(shù)據(jù)載體協(xié)商保密通信密鑰����。終端設備還適配于核實數(shù)據(jù)載體的公開會話密鑰,該公開會話密鑰已經(jīng)從公開組密鑰經(jīng)由數(shù)據(jù)載體特有的公開密鑰導出����。在根據(jù)本發(fā)明的方法中���,不再需要在數(shù)據(jù)載體中存儲保密組密鑰���。因此,不能在攻擊數(shù)據(jù)載體時偵破這樣的密鑰。還可以使用數(shù)據(jù)載體組中的其它未被攻擊的數(shù)據(jù)載體的保密會話密鑰����。不能在數(shù)據(jù)載體的保密會話密鑰的基礎上追蹤數(shù)據(jù)載體的用戶(其可能在用于向終端設備的驗證的質(zhì)疑-響應方法(challenge-response method)中被采用),因為這個會話密鑰從一個使用到下一個使用是變化的���。優(yōu)選地��,終端設備通過公開組密鑰的證書核實數(shù)據(jù)載體的公開會話密鑰��,該證書存儲在數(shù)據(jù)載體上���。為了這個目的,終端設備首先檢查證書��。此后����,終端設備從公開組密鑰經(jīng)由數(shù)據(jù)載體特有的公開密鑰重建公開會話密鑰的推導。數(shù)據(jù)載體使得為此所必需的推導信息成為可用�����。以這種方式���,數(shù)據(jù)載體可被驗證為與組密鑰對相關聯(lián)的組的數(shù)據(jù)載體�,但是不能在數(shù)據(jù)載體特有的證書的基礎上被追蹤,根據(jù)本發(fā)明不提供該證書�����。僅公開組密鑰的證書被存儲于數(shù)據(jù)載體上�����,所述證書對于組中的所有數(shù)據(jù)載體是相同的��,因此保護了數(shù)據(jù)載體的用戶的匿名性����。根據(jù)優(yōu)選實施例,數(shù)據(jù)載體特有的公開密鑰和數(shù)據(jù)載體特有的保密密鑰從公開組密鑰和保密組密鑰導出����,并在數(shù)據(jù)載體的個性化階段被存儲于數(shù)據(jù)載體中。公開組密鑰的證書也可以被合并入數(shù)據(jù)載體中���,并在此階段存儲。優(yōu)選地��,數(shù)據(jù)載體特有的保密密鑰通過使用第一隨機數(shù)而從保密組密鑰導出。為了這個目的���,可以使用將保密組密鑰以及第一隨機數(shù)等作為輸入數(shù)據(jù)����、(并且)將其處理為數(shù)據(jù)載體特有的保密密鑰的任何合適的操作���。例如���,可以使用數(shù)學操作,諸如乘法���、求冪等���。接著可以通過之前導出的數(shù)據(jù)載體特有的保密密鑰導出數(shù)據(jù)載體特有的公開密鑰。例如當也使用保密組密鑰形成了公開組密鑰時����,這是有利的,例如通過模數(shù)求冪(modularexponentiation),如從迪菲-赫爾曼密鑰交換方法所知��。也可以用不同方法從公開組密鑰導出數(shù)據(jù)載體特有的公開密鑰�����。以相同的方式,從數(shù)據(jù)載體特有的保密密鑰推導保密會話密鑰以及從數(shù)據(jù)載體特有的公開密鑰推導公開會話密鑰也以隨機方式(例如依賴于第二隨機數(shù))的進行�����。這里�����,也可以使用不同的推導操作����,其至少分別允許數(shù)據(jù)載體特有的各個密鑰和第二隨機數(shù)作為輸入數(shù)據(jù)。通常��,保密會話密鑰的推導不同于公開會話密鑰的推導���。然而���,通常將相同的第二隨機數(shù)用于會話密鑰對的兩個密鑰的推導。因為在每次使用數(shù)據(jù)載體時(例如向終端設備的每次驗證時)導出新的會話密鑰對�����,所以不能在會話密鑰的基礎上追蹤數(shù)據(jù)載體。根據(jù)本發(fā)明的方法的優(yōu)選實施例��,通過已知的迪菲-赫爾曼密鑰交換方法的手段來協(xié)商保密通信密鑰����。這種方法基于以指定的素數(shù)為模的指定本原根�����。數(shù)據(jù)載體特有的保密密鑰從保密組密鑰乘以第一隨機數(shù)導出����。數(shù)據(jù)載體特有的公開密鑰通過數(shù)據(jù)載體特有的保密密鑰對本原根的冪而計算。如此�����,通過保密組密鑰對本原根的冪形成了公開組密鑰�����。根據(jù)本發(fā)明的具有優(yōu)選地以隨機形式改變的會話密鑰的方法可以因此在任何實質(zhì)改變地情況下合并入已知的類似協(xié)議����,其提供牢固地綁定到數(shù)據(jù)載體的密鑰對并且使用迪菲-赫爾曼方法�?���?梢酝ㄟ^將數(shù)據(jù)載體特有的保密密鑰乘以第二隨機數(shù)而形成保密會話密鑰。接著 通過第二隨機數(shù)對數(shù)據(jù)載體特有的密鑰的冪而導出公開會話密鑰�����。以這種方式��,使得可以通過形成第一和第二隨機數(shù)的乘積對公開組密鑰的冪而計算公開會話密鑰�。為了終端能夠核實數(shù)據(jù)載體的公開會話密鑰,數(shù)據(jù)載體將公開會話密鑰�、第一和第二隨機數(shù)的乘積、以及公開組密鑰的證書發(fā)送到終端設備�����。終端設備在檢查公開組密鑰的證書之后��,通過形成兩個隨機數(shù)的乘積對公開組密鑰的冪而核實公開會話密鑰�。如上所述,這個計算準確地產(chǎn)生公開會話密鑰���,只要該公開會話密鑰已經(jīng)以規(guī)定的方式從公開組密鑰經(jīng)由數(shù)據(jù)載體特有的公開密鑰而導出了�����。因此可以僅使用公開組密鑰來核實公開會話密鑰����。以這種方式����,數(shù)據(jù)載體被驗證為屬于該公開組密鑰,同時保持了數(shù)據(jù)載體的用戶的匿名性并且無需數(shù)據(jù)載體特有的證書�。這里,數(shù)據(jù)載體被理解為例如電子身份證件�����、芯片卡�����、SM卡����、安全多媒體卡、或者安全USB令牌。終端可以是任意驗證伙伴����。特別地,其可以是本地或遠程終端�����、遠程服務器����、或者另一個數(shù)據(jù)載體。如以上多次指出的��,相同的公開和保密組密鑰分別用于導出形成數(shù)據(jù)載體組的多個不同數(shù)據(jù)載體的數(shù)據(jù)載體特有的保密密鑰以及數(shù)據(jù)載體特有的公開密鑰����。當然可以提供數(shù)據(jù)載體的多個組,其分別與他們自身的組密鑰對相關聯(lián)�����。
在下文中將通過參考附圖的示例的方式描述本發(fā)明����。其中示出圖I以示意的形式示出根據(jù)本發(fā)明的數(shù)據(jù)載體的優(yōu)選實施例�����,以及圖2和圖3是根據(jù)本發(fā)明用于向終端設備驗證來自圖I的數(shù)據(jù)載體的方法的優(yōu)選實施例的步驟�����。
具體實施例方式參考圖1��,這里表示為芯片卡的數(shù)據(jù)載體10包括數(shù)據(jù)通信接口 20�、20’ ����;處理器30 ;以及不同的存儲器40�、50和60。數(shù)據(jù)載體10也可以以不同的設計而出現(xiàn)�����。作為數(shù)據(jù)通信接口 20�、20’,數(shù)據(jù)載體10包括用于接觸式數(shù)據(jù)通信的接觸區(qū)域(contact pad) 20以及用于非接觸式數(shù)據(jù)通信的天線線圈20’���?��?梢蕴峁┨娲臄?shù)據(jù)通信接口�����。還可能的是�����,數(shù)據(jù)載體10僅支持一種數(shù)據(jù)通信����,即接觸式或非接觸式�����。非易失不可重寫ROM存儲器40包括數(shù)據(jù)載體10的操作系統(tǒng)(0S)42�����,其控制數(shù)據(jù)載體10�����。操作系統(tǒng)42的至少一部分也可以存儲在非易失可重寫存儲器50中�����。后者可以例如作為閃存而出現(xiàn)。存儲器50包括驗證裝置52���,通過驗證裝置52可以向終端設備執(zhí)行數(shù)據(jù)載體10的驗證��。這樣做使得同樣存儲于存儲器中的����、該數(shù)據(jù)載體特有(individual)的密鑰54����、56以及數(shù)字證書58找到它們的應用程序。將參考圖2和圖3更詳細地描述驗證裝置52��、密鑰54,56以及證書58的操作模式以及它們在驗證處理過程中的角色�。存儲器50可以進一步包含數(shù)據(jù)�����,例如關于其用戶的數(shù)據(jù)�����。易失性可重寫RAM存儲器60作為數(shù)據(jù)載體10的工作存儲器。
數(shù)據(jù)載體10當其例如構成電子身份證件時可以包括其它特征(未示出)�。這些特征可以明顯地施加于(例如壓印在)數(shù)據(jù)載體10的表面上,并且例如通過他的姓名或照片而指定數(shù)據(jù)載體的用戶����。參考圖2和圖3,現(xiàn)在將更詳細地描述用于向終端設備驗證數(shù)據(jù)載體10的方法的實施例��。在圖2中示出預備步驟���。這可以例如在數(shù)據(jù)載體10的制造期間(例如在個性化階段中)執(zhí)行�����。在第一步驟SI中����,形成保密組密鑰SK以及公開組密鑰PK����。密鑰PK被計算為以指定的素數(shù)P為模的指定本原根(primitive root) g的冪(exponentiation)的結果。所有以下描述的計算都以素數(shù)P為模而讀取�����,而不需要總是明確地聲明。兩個密鑰SK和PK形成組密鑰對并且提供以下描述的用于相同類型的數(shù)據(jù)載體10的組的密鑰結構的基礎��。在步驟S2中形成證書Cpk��,其用于公開組密鑰PK的核實�。步驟S3在數(shù)據(jù)載體10的個性化期間發(fā)生。這樣做使得構成指定組的數(shù)據(jù)載體的數(shù)據(jù)載體的數(shù)據(jù)載體10配備有該數(shù)據(jù)載體特有的密鑰對SKi���、PKi,以隨機方式由組密鑰對SK����、PK生成密鑰對SKi��、PKi,例如依賴于第一隨機數(shù)RNDitl以這種方式���,由于密鑰推導時的隨機成分,組中的每個數(shù)據(jù)載體10配備有該數(shù)據(jù)載體特有的其自己的密鑰對,其不同于組中的另一個數(shù)據(jù)載體的對應密鑰對��。另一方面,組中的所有數(shù)據(jù)載體10通過它們的密鑰對已從相同的組密鑰對SK�、PK導出的事實而連接。在子步驟TS31中��,通過將保密組密鑰SK乘以隨機數(shù)RNDi而得到該數(shù)據(jù)載體特有的保密密鑰SKitj隨后��,在子步驟TS32中,將該數(shù)據(jù)載體特有的公開密鑰PKi計算為以前形成的該數(shù)據(jù)載體特有的保密密鑰SKi對如上所述的本原根g的冪�。在子步驟TS33中,將這樣得到的SKi和PKi與數(shù)據(jù)載體10中的隨機數(shù)RNDi和證書Cpk —起存儲���。數(shù)據(jù)載體10因此適合于用其驗證裝置52執(zhí)行向終端設備的驗證�����,如將參考圖3更詳細地描述��。為了準備與終端設備的密鑰協(xié)議(參照步驟S7)����,驗證裝置52在步驟S4中導出保密會話密鑰SKSessim�。這個保密會話密鑰SKsessim與以下所述的公開會話密鑰PKsessim —起形成會話密鑰對(參照步驟S5)。然而���,這個密鑰對僅與向終端設備的單次驗證相關地被驗證裝置52使用在數(shù)據(jù)載體中�����。為了執(zhí)行每個將來的其它驗證��,驗證裝置52以如下所述的方式分別從數(shù)據(jù)載體特有的密鑰對SKpPKi得到新的會話密鑰對���。
也使用隨機成分形成會話密鑰對�����。為了這個目的��,第二隨機數(shù)RNDsessim被生成或者可被驗證裝置52使用�����。接著通過將該數(shù)據(jù)載體特有的保密密鑰SKi乘以第二隨機數(shù)RNDsession而計算保密會話密鑰SKSessim���。在步驟S5中,通過第二隨機數(shù)RNDsessira^t該數(shù)據(jù)載體特有的公開密鑰PKi的冪而得到公開會話密鑰PKSessim�����。在步驟S6中����,驗證裝置52將公開會話密鑰PKsessim、第一和第二隨機數(shù)相乘得到的值RND^RND—�����、以及證書Cpk發(fā)送到終端設備����。在步驟S7中,現(xiàn)在在數(shù)據(jù)載體10的驗證裝置52和終端設備之間商定通信密鑰KK����。這個密鑰通過對稱加密方法對數(shù)據(jù)載體10和終端設備之間的隨后數(shù)據(jù)通信加密?�?梢酝ㄟ^已知方法執(zhí)行密鑰協(xié)議(agreement),例如迪菲-赫爾曼(Diffie-Hellman)密鑰交換方法�����。最后,在步驟S8中��,終端設備檢查數(shù)據(jù)載體10的真實性(authenticity)�����。為了這個目的��,終端設備在第一子步驟TS81中檢查終端已知的公開組密鑰PK的證書CPK�。隨后, 終端設備核實數(shù)據(jù)載體10的公開會話密鑰PKs_im。為了這個目的���,終端設備計算兩個隨機數(shù)的乘積RNDjRNDsessim對公開組密鑰的冪的結果�����,并將該結果與公開會話密鑰PKsessim作比較�。通過該計算���,終端設備從公開組密鑰PK開始經(jīng)由該數(shù)據(jù)載體特有的公開密鑰PKi,重建公開會話密鑰PKsessim的推導���。這由于如下而實現(xiàn)PKsession=PKi' (RNDsession) (參照步驟 S5)= (g~ (SKi)) ~ (RNDsession) (參照子步驟 TS32)= (g~ (SK^RNDi)) ~ (RNDsession) (參照子步驟 TS31)= (g~SK) ~ (RNDi^RNDsession) (數(shù)學形式變化)=PK~ (RNDi^RNDsession) (參照步驟 SI).如果結果與公開會話密鑰PKsessim匹配,則認為數(shù)據(jù)載體10被核實�。在相反情況下,終端設備停止驗證處理�。該方法因此使數(shù)據(jù)載體10的用戶可以至少在與相同組密鑰對SK、PK相關聯(lián)的數(shù)據(jù)載體的組內(nèi)保持匿名性����。不可能將對數(shù)據(jù)載體10的使用追蹤回到用戶,因為��,一方面��,每個會話使用變化的會話密鑰SKSessim、PKsession ;并且另一方面�����,僅通過公開組密鑰PK的證書Cpk (其對于組中的所有數(shù)據(jù)載體是相同的)����、而不通過數(shù)據(jù)載體特有的證書���,進行數(shù)據(jù)載體10的核實�����。此外���,可以省去在組中的數(shù)據(jù)載體10中存儲保密組密鑰SK是有利的。在本解決方案的框架內(nèi)�����,乘法可以是任意組特定的乘法���,并且冪可以是任意組特定的冪���?���?梢曰陔x散對數(shù)或者基于橢圓��,執(zhí)行乘法和求冪�����。此外�,當例如推導特有密鑰SKi=SK^RNDi時,可以使用修正的推導���,從而使計算SK更困難�。例如���,可以選擇SKi=RNDi ~ SK����。
權利要求
1.一種用于向終端設備驗證便攜式數(shù)據(jù)載體(10)的方法��,其特征在于以下步驟 -在所述數(shù)據(jù)載體(10)中�,從公開組密鑰(PK)導出(TS32)的所述數(shù)據(jù)載體特有的公開密鑰(PKi)導出(S5)公開會話密鑰(PKsessim),并且從保密組密鑰(SK)導出(TS31)的所述數(shù)據(jù)載體特有的保密密鑰(SKi)導出(S4)保密會話密鑰(SKsessim)���; -使用所述數(shù)據(jù)載體(10)中的所述保密會話密鑰(SKsessim)和/或所述終端設備中的所述公開會話密鑰(PKsessim),向所述終端設備匿名地驗證(S8)所述數(shù)據(jù)載體(10)。
2.如權利要求I所述的方法�����,其特征在于�����,通過所述終端設備首先檢查(TS81)所述公開組密鑰(PK)的證書(CPK)�����、并且此后從所述公開組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開密鑰(PKi)重建(TS82)所述公開會話密鑰(PKsessim)的推導���,所述終端設備通過所述公開組密鑰(PK)的證書(Cpk)核實所述公開會話密鑰(PKsessim),所述證書(Cpk)存儲在所述數(shù)據(jù)載體(10)中。
3.如權利要求I或2所述的方法����,其特征在于,所述數(shù)據(jù)載體特有的公開密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)分別從所述公開組密鑰(PK)和所述保密組密鑰(SK)導出��,并且在所述數(shù)據(jù)載體(10)的個性化階段將所述數(shù)據(jù)載體特有的公開密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)存儲(S3 )在所述數(shù)據(jù)載體(10 )中�����。
4.如權利要求I至3中任意一項所述的方法,其特征在于��,使用第一隨機數(shù)(RNDi),從所述保密組密鑰(SK)導出所述數(shù)據(jù)載體特有的保密密鑰(SKi)�。
5.如權利要求I至4中任意一項所述的方法,其特征在于�����,使用第二隨機數(shù)(RNDsessim),分別從所述數(shù)據(jù)載體特有的公開密鑰(PKi)和所述數(shù)據(jù)載體特有的保密密鑰(SKi)導出所述公開會話密鑰(PKsessim)和所述保密會話密鑰(SKsessim)����。
6.如權利要求I至5中任意一項所述的方法,其特征在于�����,使用所述數(shù)據(jù)載體(10)的公開會話密鑰(PKsessim)和保密會話密鑰(SKSessim)����、以及所述終端設備的公開終端密鑰和保密終端密鑰時,在所述數(shù)據(jù)載體(10)和所述終端設備之間商定(S7)通信密鑰(KK)�����; 其中優(yōu)選地,通過迪菲-赫爾曼密鑰交換方法商定所述通信密鑰(KK)�,所述迪菲-赫爾曼密鑰交換方法基于以指定的素數(shù)為模的指定本原根(g),通過乘以所述第一隨機數(shù)(RNDi)而從所述保密組密鑰(SK)導出(TS31)所述數(shù)據(jù)載體特有的保密密鑰(SKi),并且通過所述數(shù)據(jù)載體特有的保密密鑰(SKi)對所述本原根(g)的冪而形成(TS32)所述數(shù)據(jù)載體特有的公開密鑰(PKi),其中通過由所述保密組密鑰(SK)對所述本原根(g)的冪而形成(SI)所述公開組密鑰(PK)�。
7.如權利要求I至6中任意一項所述的方法,其特征在于,通過將所述數(shù)據(jù)載體特有的保密密鑰(SKi)乘以所述第二隨機數(shù)(RND-)而導出(S4)所述保密會話密鑰(SKsessim),并且通過所述第二隨機數(shù)(RNDsessim)對所述數(shù)據(jù)載體特有的公開密鑰(PKi)的冪而導出(S5)所述公開會話密鑰(PKs_im)。
8.如權利要求I至7中任意一項所述的方法���,其特征在于,所述數(shù)據(jù)載體(10)將所述公開會話密鑰(PKSessim)、所述第一隨機數(shù)(RNDi)和所述第二隨機數(shù)(RNDsessim)的乘積(RNDi^RNDsession),以及所述公開組密鑰(PK)的證書(Cpk)發(fā)送到所述終端設備�。
9.如權利要求I至8中任意一項所述的方法����,其特征在于����,為了核實所述公開會話密鑰(PKsessim),所述終端設備形成所述第一隨機數(shù)(RNDi)和所述第二隨機數(shù)(RNDsessim)的乘積(RNDi^RNDsession)對所述公開組密鑰(PK)的冪。
10.如權利要求I至9中任意一項所述的方法����,其特征在于,為了導出多個不同數(shù)據(jù)載體(10)的數(shù)據(jù)載體特有的公開密鑰(PKi)和數(shù)據(jù)載體特有的保密密鑰(SKi),分別使用相同的公開和保密組密鑰(PK ;SK)����。
11.一種便攜式數(shù)據(jù)載體(10)����,包括處理器(30)����、存儲器(50)、和用于與終端設備進行數(shù)據(jù)通信的數(shù)據(jù)通信接口(20 ;20’)�����、以及驗證裝置(52)��,其特征在于所述數(shù)據(jù)載體(10)的驗證裝置(52)適配于從存儲在所述存儲器(50)中的����、所述數(shù)據(jù)載體特有的公開密鑰(PKi)導出公開會話密鑰(PKsessim),從存儲在所述存儲器(50 )中的�、所述數(shù)據(jù)載體特有的保密密鑰(SKi)導出保密會話密鑰(SKs_im),以及在向所述終端設備的驗證的框架內(nèi)使用所述保密會話密鑰(SKsessim)�����。
12.如權利要求11所述的數(shù)據(jù)載體(10)�����,其特征在于,所述數(shù)據(jù)載體(10)適配于根據(jù)權利要求I至10中任意一項所述的方法�����,向終端設備驗證其自身�。
13.一種用于與如權利要求11或12所述的便攜式數(shù)據(jù)載體(10)進行數(shù)據(jù)通信的終端設備,其中所述終端設備適配于使用公開終端密鑰和保密終端密鑰與所述便攜式數(shù)據(jù)載體(10)商定通信密鑰(KK)����,以及核實已經(jīng)從公開組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開密鑰(PKi)導出的、所述數(shù)據(jù)載體(10)的公開會話密鑰(PKSessim)���。
14.如權利要求13所述的終端設備�����,其特征在于,通過所述終端設備首先檢查所述公開組密鑰(PK)的證書(CPK)����、并且此后從所述公開組密鑰(PK)經(jīng)由所述數(shù)據(jù)載體特有的公開密鑰(PKi)重建所述公開會話密鑰(PKsessim)的推導,所述終端設備適配于通過所述公開組密鑰(PK)的證書(Cpk)核實所述數(shù)據(jù)載體(10)的公開會話密鑰(PKsessim),所述證書(Cpk)被存儲在所述數(shù)據(jù)載體(10)中����。
15.一種系統(tǒng)����,包括如權利要求11或12所述的便攜式數(shù)據(jù)載體(10)和如權利要求13或14所述的終端設備�,其適配于執(zhí)行如權利要求I至10中任意一項所述的方法。
全文摘要
本發(fā)明涉及一種用于關于終端驗證便攜式數(shù)據(jù)載體(10)的方法���,包括下列步驟在所述數(shù)據(jù)載體(10)中�,從所述數(shù)據(jù)載體特有的公開密鑰(PKi)導出(S5)公開會話密鑰(PKSession)��。從公開組密鑰(PK)導出(TS32��;S1)所述數(shù)據(jù)載體特有的公開密鑰(PKi)�����。此外���,從所述數(shù)據(jù)載體的特有的保密密鑰(SKi)導出(S4)保密會話密鑰(SKSession)�����,從保密組密鑰(SK)導出(TS31)所述數(shù)據(jù)載體特有的保密密鑰(SKi)���。隨后在所述數(shù)據(jù)載體(10)和所述終端之間商定(S7)保密通信密鑰(KK)����。最后�,所述終端核實(S8)所述數(shù)據(jù)載體(10)的公開會話密鑰(PKSession)。
文檔編號G06F21/34GK102792312SQ201180013064
公開日2012年11月21日 申請日期2011年3月7日 優(yōu)先權日2010年3月10日
發(fā)明者G.邁斯特, J.??苹魻柶?申請人:德國捷德有限公司