專利名稱::執(zhí)行加密計算的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及對電子器件��,特別是基于POK(“PhysicallyObfuscatedKeys”��,物理模糊密鑰)類型的技術(shù)構(gòu)建的電子器件中的密鑰的管理�。加密算法使得基于對一個或多個密鑰的使用來確保數(shù)據(jù)的機密性成為可能�����。這些數(shù)據(jù)的機密性的安全等級依賴于在依據(jù)該加密算法所實現(xiàn)的加密運算的過程中所使用的這些密鑰的機密性的安全等級�。當(dāng)加密密鑰存儲于電子器件時,通過該電子器件自身的侵入方法����,以一種欺騙的方式可以輕易地得到它的值���。一旦擁有該存儲的密鑰,然后就能夠存取原本打算保持機密的數(shù)據(jù)����。就此而論,為了提高加密數(shù)據(jù)的安全等級����,必須提高存儲的密鑰的保護等級。在這方面�,2003年2月,BlaiseGassend發(fā)表了其碩士論文“PhysicalRandomFunctions”���。在該文獻中定義了“物理模糊密鑰”或POK類型的密鑰���,通過對輸入值應(yīng)用不可克隆的函數(shù)來獲取該密鑰。這些不可克隆的函數(shù)一方面有著確定的特征��,另一方面又難以描述這些函數(shù)的特征��。此外�����,一旦對于該電子器件入侵,這些函數(shù)有著可被銷毀的特性�����。在上述文獻中�,這些函數(shù)被稱為PUFs(“PhysicalUnclonableFunctions”),即“物理不可克隆函數(shù)”�����。對于同一輸入值�����,這種PUF函數(shù)總是提供相同的結(jié)果值����。然而�����,不能夠從這一結(jié)果值中反向找到該輸入值�����,并且在對一特定輸入值首次應(yīng)用該PUF函數(shù)獲取該結(jié)果值之前,也不能夠為該特定輸入值預(yù)先確定該結(jié)果值�。因此POK類型的密鑰是通過應(yīng)用不可克隆的函數(shù)而獲取的。就此而論���,POK類型的密鑰K可依據(jù)以下等式來獲取其中f是PUF類型的函數(shù)����;以及c是存儲于該電子器件的一給定值����,或者稱為“挑戰(zhàn)”(“challenge”);以及其中K’是存儲于該電子器件的密鑰�,在該電子器件中實現(xiàn)對于密鑰K的獲取。此外����,POK類型的密鑰的特征是任何入侵對于它來說都是破壞性的。因此���,一旦檢測到試圖對該電子器件進行入侵���,所述電子器件中執(zhí)行該PUF類型函數(shù)f的裝置便被禁用���。為了提高POK類型密鑰K的機密性的安全等級,有利地�����,應(yīng)用基于該密鑰K的加密運算的形式是分別基于兩部分密鑰K1和K2的兩個加密運算��,這兩個加密運算被連續(xù)執(zhí)行���。單獨考慮每一個加密運算��,都不能展示任何關(guān)于密鑰K的值的信息��。在這些情況下��,對于加密器件的一次入侵襲擊最多僅能提供兩部分密鑰K1和K2的其中之一����。因此���,這樣的襲擊不可能完整地恢復(fù)POK類型的密鑰K。如BlaiseGassend在上述文獻中所記載的�,以兩個加密運算的形式來實現(xiàn)基于密鑰K的加密運算并不容易�,特別是當(dāng)對于使用同一密鑰K的不同加密器件����,要求兩部分密鑰K1和K2是不同的時。在這一文獻中����,為此提出,在使用Rivest-Shamir-Adleman或RSA類型算法的情況下�,通過操作形式為兩部分密鑰的組合的POK類型密鑰K來確定兩部分密鑰K1和K2。然而并不是在所有電子器件中執(zhí)行RSA類型的算法都是容易的����,特別是當(dāng)電子器件只有相當(dāng)小的計算容量時,因為RSA類型算法的執(zhí)行是復(fù)雜的��。本發(fā)明的目的是使得在不同類型的電子器件中執(zhí)行加密運算成為可能����。本發(fā)明的第一方面提出了一種依據(jù)給定的加密算法在電子器件中執(zhí)行加密計算的方法,該加密算法包括至少一個單向函數(shù)的應(yīng)用��,依據(jù)對該電子器件的一次入侵而禁用該單向函數(shù)����;所述單向函數(shù)基于第一仿射運算(σK)���,該第一仿射運算對應(yīng)于第一密鑰(K);所述方法包括與所述單向函數(shù)的應(yīng)用相關(guān)的以下步驟/a/獲取第一和第二隨機值(r��,r’)�����;/b/通過對第一和第二隨機值的第一組合應(yīng)用第二仿射運算(σK1)來獲取第一結(jié)果��,第二仿射運算對應(yīng)于第二密鑰�����;/c/通過對第一結(jié)果應(yīng)用第三仿射運算(σK2)來獲取第二結(jié)果�,該第三仿射運算對應(yīng)于第三密鑰;其中第三和第二仿射運算的組合(σK2οσK1)對應(yīng)于第一仿射運算(σK)�;以及其中加密運算被應(yīng)用于所述第二結(jié)果以及第一和第二隨機值的第二組合的至少其中之一。在本發(fā)明的一個實施例中�����,由于其使用POK執(zhí)行�����,該單向函數(shù)被禁用����。該第二組合可能相同于或不同于該第一組合。通過以這種方式進行���,使第一仿射運算對應(yīng)于第一密鑰�����,該第一仿射運算可為一線性運算�。然后���,以兩個連續(xù)仿射運算的方式來應(yīng)用該第一仿射運算�,并在其后要么對前面獲取的結(jié)果�,要么對兩個隨機值的另外一個組合,執(zhí)行加密運算����。在上述這些情況的任何一種情況下,加密運算的應(yīng)用能夠獲取加密的總體結(jié)果�。在其中一種情況下,該加密的總體結(jié)果對應(yīng)于第二加密結(jié)果。在另一種情況下��,該加密的總體結(jié)果分為兩部分�,第一部分是獲取的第二結(jié)果,并且第二部分對應(yīng)于兩個隨機值的加密的組合�。在這里,術(shù)語“組合”的意思是指能夠?qū)蓚€值進行組合的任何一種應(yīng)用����,例如將兩個值首尾相接(end-to-end)、或者“異或”運算����,或其他可將兩個值變成一個的應(yīng)用。下文中�,使用的多個值的組合被標(biāo)記為“combi”,i是一整數(shù)索引��?��?赡軙峁┫嗤?、相似或不同的組合的使用�����。憑借這些方法,通過將基于該密鑰的單向函數(shù)的應(yīng)用分割為兩個連續(xù)的加密子運算(sub-operations)���,能夠保護用于加密數(shù)據(jù)的密鑰的機密性。為了發(fā)現(xiàn)該密鑰�����,然后必須找回這兩個加密子運算�。對于POK類型這一情況,其中依據(jù)對于該電子器件的一次入侵�����,應(yīng)用該單向函數(shù)的裝置被銷毀��,或被禁用����,該電子器件可以以第二仿射運算被發(fā)現(xiàn)的方式被打開。然而在這一情況下���,第三仿射運算可以不再被發(fā)現(xiàn)�。在另一種情況下����,可以設(shè)想該電子器件以第三仿射運算被發(fā)現(xiàn)的方式被打開����。然而在這種情況下�����,不能被確定的是該第二仿射運算����。因此,在這些條件下不可能在該電子器件的硬件基礎(chǔ)上發(fā)現(xiàn)第一加密運算���。應(yīng)指出����,通過考慮依據(jù)第一仿射運算的密鑰�,可容易地確定多個被連續(xù)應(yīng)用的第二和第三仿射運算對,使得以兩個連續(xù)的步驟來完成第一仿射應(yīng)用成為可能��。因此�����,通過兩個連續(xù)的步驟來執(zhí)行對數(shù)據(jù)的加密,可容易地基于POK類型的密鑰來加密數(shù)據(jù)��,這種執(zhí)行從而能夠在任意類型的電子器件中進行�,包括那些不具有很大的計算能力的電子器件。該加密運算可對應(yīng)于哈希函數(shù)或偽隨機函數(shù)���。例如,有利地��,該函數(shù)的執(zhí)行可利用對稱的加密函數(shù)����,例如AES,即“高級加密標(biāo)準(zhǔn)”(“AdvancedEncryptionStandard”)����。在本發(fā)明的一個實施例中,當(dāng)該加密運算應(yīng)用于第二結(jié)果時�,該第一、第二和第三仿射運算可對應(yīng)于線性位級置換(linearbit-levelpermutations)�。在這種情況下,第一和第二隨機值的組合對應(yīng)于將第一和第二隨機值作為輸入的加密運算的應(yīng)用����。在后的加密運算也可對應(yīng)于哈希函數(shù)���。在一個實施例中,第一和第二隨機值的組合對應(yīng)于第一和第二隨機值之間的“異或”運算(“exclusiveor”operation)的應(yīng)用����。在一個變化實施例中,當(dāng)該加密運算應(yīng)用于第一和第二隨機值的第二組合時�����,該第一�����、第二和第三仿射操作分別對應(yīng)于與第一����、第二和第三密鑰的“異或”運算,從而該第一密鑰等于第二和第三密鑰之間“異或”運算的結(jié)果�。這樣的執(zhí)行加密計算的方法能夠有利地應(yīng)用于識別無線標(biāo)簽的方法的情形中。因此其能夠有效地保護已被分配給該無線標(biāo)簽的密鑰的機密性����。因此,本發(fā)明的第二方面提出了一種在識別服務(wù)器中識別無線標(biāo)簽的方法���,該識別服務(wù)器依據(jù)一Q叉樹來管理多個密鑰���,該Q叉樹有一根結(jié)點和多個葉結(jié)點�,其中Q是一大于或等于2的整數(shù)�,該樹上的每個葉結(jié)點對應(yīng)于一個密鑰;所述多個密鑰中的一個密鑰與所述無線標(biāo)簽相關(guān)�;對所述無線標(biāo)簽進行識別的所述識別方法包括以下步驟/1/從所述識別服務(wù)器接收第一隨機值;/2/生成一第二隨機值���;/3/基于與所述無線標(biāo)簽相關(guān)的所述密鑰的至少一部分,通過對所述第一和第二隨機值應(yīng)用加密計算來獲取一結(jié)果����;以及/4/將所述結(jié)果傳輸至所述識別服務(wù)器;其中使用根據(jù)本發(fā)明第一方面所述的執(zhí)行加密計算的方法來執(zhí)行所述加密計算����。當(dāng)所述密鑰以多個部分的形式來表示,該多個部分分別表示從該樹的根結(jié)點至相應(yīng)葉結(jié)點的路徑的多個部分時���,針對所述密鑰的所述多個部分的每一部分重復(fù)執(zhí)行步驟/1/至/4/���。也可以僅重復(fù)執(zhí)行步驟/3/和/4/��,以避免為密鑰的每一部分生成一新的隨機值以及避免在合適的地方對這些值的傳輸����。有利地�,依據(jù)下述方程式,第二密鑰的每一部分可由一POK來確定K=f(c)���;其中f是PUF類型的函數(shù)�����;并且其中c是存儲于該電子器件的一給定值�,或稱為“挑戰(zhàn)”��;因此能夠節(jié)省用于存儲K’的存儲空間����,如上所述。如上所述關(guān)于執(zhí)行該加密計算的方法��,在一個變化實施例中����,通過對第二結(jié)果應(yīng)用加密運算可以獲取第三結(jié)果��。在此情形下�����,在所述識別方法的步驟/4/中���,第三結(jié)果以及由該無線標(biāo)簽生成的第二隨機值被傳輸至該識別服務(wù)器。接下來���,該認證服務(wù)器擁有該第一和第二隨機值以及第二加密結(jié)果�,然后其能夠確定哪個密鑰與相應(yīng)的無線標(biāo)簽相關(guān)并從而識別該無線標(biāo)簽�����。該確定基于一與在該無線標(biāo)簽上執(zhí)行的計算相似的計算����,然而該計算應(yīng)用于由該識別服務(wù)器所管理的所有密鑰�。應(yīng)指出,不必以相同的方式來執(zhí)行這些在無線標(biāo)簽和識別服務(wù)器之間相似的計算�����。事實上,該識別服務(wù)器可基于該密鑰執(zhí)行該運算而并不將其分為兩部分�。然后可基于對這些計算完成時獲取的結(jié)果以及從該無線標(biāo)簽接收的結(jié)果之間的比較,來確定該無線標(biāo)簽是否被識別���。在另一個變化實施例中���,該加密運算被應(yīng)用于第一和第二隨機值的第二組合。在這種情況下��,在步驟/4/中�����,第二結(jié)果和對這些隨機值的第二組合執(zhí)行的加密運算的結(jié)果被傳輸至該識別服務(wù)器����。還是在這一變化實施例中,基于針對該識別服務(wù)器所管理的所有密鑰執(zhí)行的類似于在無線標(biāo)簽上所執(zhí)行的計算的計算所獲取的結(jié)果以及從該無線標(biāo)簽接收到的信息之間的比較�����,該識別服務(wù)器可確定該無線標(biāo)簽是否被識別����,所述信息是第二結(jié)果和對r和r’的組合執(zhí)行的加密運算的結(jié)果�����。本發(fā)明的第三方面提出了一種適于依據(jù)給定的加密算法來執(zhí)行加密計算的電子器件�����,該加密算法包括至少一個單向函數(shù)的應(yīng)用��,依據(jù)對該電子器件的一次入侵而禁用該單向函數(shù)�����;所述單向函數(shù)基于密鑰(K)���,該密鑰對應(yīng)于第一仿射運算(σK);所述電子器件包括適于執(zhí)行根據(jù)本發(fā)明的第一方面所述的方法的裝置�����。本發(fā)明的第四方面提出了一種包括根據(jù)本發(fā)明的第三方面所述的電子器件的無線標(biāo)簽�,所述標(biāo)簽適于執(zhí)行根據(jù)本發(fā)明的第二方面所述的識別方法��。本發(fā)明的第五方面提出了一種無線標(biāo)簽識別系統(tǒng),包括識別服務(wù)器和根據(jù)本發(fā)明的第四方面所述的標(biāo)簽��。本發(fā)明的其他方面�����、目的和優(yōu)點可通過閱讀其中一個實施例的說明而變得更加明顯�、清晰。結(jié)合附圖�,本發(fā)明可被更好地理解,其中-圖1示出了根據(jù)本發(fā)明的一個實施例的執(zhí)行加密計算的方法的主要步驟�����;-圖2示出了根據(jù)本發(fā)明的一個實施例的依據(jù)二叉樹的密鑰管理��;-圖3示出了根據(jù)本發(fā)明的一個實施例的識別無線標(biāo)簽的方法的主要步驟���;-圖4示出了根據(jù)本發(fā)明的另一實施例的識別無線標(biāo)簽的方法的主要步驟����;圖1示出了根據(jù)本發(fā)明的一個實施例在一個電子器件中執(zhí)行的主要步驟�。在步驟11中,第一和第二隨機值r和r’被獲取����。本發(fā)明并不對這一步驟加以限制�。具體地�����,如下情形是可行的�,該電子器件生成兩個隨機值的其中之一并且從該電子器件的外部接收另一個隨機值。在步驟12中��,依據(jù)組合combi���,第一和第二隨機值被組合���。在一個變化實施例中,還可以對這兩個隨機值r和r’的組合應(yīng)用加密運算�����。然而這一步驟仍是可選的�,根據(jù)本發(fā)明的一個實施例的方法可以基于這些隨機值r和r’的任意組合進行執(zhí)行,例如“異或”運算�����,且不應(yīng)用加密運算���。但是����,為了更進一步地提高密鑰的機密性的安全等級�����,在該步驟中應(yīng)用加密運算例如哈希函數(shù)�����,是有利地��。根據(jù)本發(fā)明的一個實施例�,在執(zhí)行加密計算的方法中應(yīng)用的該單向函數(shù)基于密鑰K。認為一個仿射函數(shù)對應(yīng)于該密鑰K��,該仿射函數(shù)例如是對輸入值的第一位級置換σK�。通過將第一仿射應(yīng)用分解為至少第二和第三仿射應(yīng)用的組合,分別為σK1和σK2�,能夠提高第一仿射應(yīng)用的機密性的保護等級,以及因此可提高對應(yīng)的密鑰K的安全等級�。在此情形下�,當(dāng)對該電子器件的第一次入侵發(fā)生時��,單向函數(shù)的執(zhí)行被立即禁用�。因此,在步驟13中�����,第二仿射運算σK1被應(yīng)用于之前的步驟12完成時所獲取的結(jié)果����。然后,在步驟14中����,第三仿射運算σK2被應(yīng)用于步驟13所獲取的結(jié)果。最后����,在步驟15中,加密運算�,例如哈希函數(shù)的加密運算,被應(yīng)用于步驟14獲取的結(jié)果���。當(dāng)步驟15完成時����,通過應(yīng)用一包括考慮到密鑰K的單向函數(shù)的應(yīng)用的方法來獲取一加密結(jié)果,在執(zhí)行該方法的時候�,而不會危及密鑰值的機密性�����。在一個變化實施例中�,執(zhí)行于步驟15中的加密運算被應(yīng)用于兩個隨機值r和r’的組合,該組合可不同于在步驟12中使用的組合�����。在這一情況下�,通過應(yīng)用這里所考慮的加密計算而加密的結(jié)果,一方面�����,對應(yīng)于該第二結(jié)果����,也就是說在步驟14完成時所獲取的結(jié)果源于第二和第三仿射運算的組合,以及�,另一方面�����,對應(yīng)于兩個隨機值的加密后的組合����。在這里�����,第一����、第二和第三仿射運算,分別為σK����、σK1和σK2,可驗證以下等式其中x是輸入值���;其中K���、K1和K2分別是第一、第二和第三密鑰,其驗證了以下等式為了加密r和r’的組合�����,可應(yīng)用哈希函數(shù)或偽隨機函數(shù)����。有利地,在識別無線標(biāo)簽的情形下����,實施根據(jù)本發(fā)明的一個實施例的執(zhí)行加密計算的方法��,例如在使用下述文檔中描述的識別協(xié)議的類型的無線標(biāo)簽的情形下�,該文檔的名稱為“Ascalable,delegatablepseudonymprotocolenablingownershiptransferofRFIDtags”�����,作者為DavidMolnar��,AndreaSoppera以及DavidWagner�,發(fā)表于2005年?����!癛FID標(biāo)簽”是使用稱為“無線射頻識別”(“radiofrequencyidentification”)技術(shù)的無線標(biāo)簽。這些標(biāo)簽都包括與電子芯片相關(guān)的天線��,以便接收和發(fā)送信息�。在這種情況下,識別數(shù)據(jù)被存儲于無線標(biāo)簽中�。在前面提到的文檔中,識別中心或“可信賴中心”或“識別服務(wù)器”負責(zé)基于相關(guān)的密鑰來識別無線標(biāo)簽����。為此,它以Q叉樹的形式管理著多個密鑰�,其中Q是大于或等于2的整數(shù),該樹的每個葉節(jié)點對應(yīng)于一個密鑰�����。密鑰用從樹的根節(jié)點至對應(yīng)于該密鑰的葉節(jié)點的路徑部分的形式來表示���。更具體地��,例如�����,對于二叉樹來說����,表示密鑰的每個路徑部分通過在每個節(jié)點上指示需要從兩個分支中選擇哪個分支來到達期望的葉節(jié)點,來指明該樹的路徑����。圖2示出了根據(jù)這種樹對密鑰的管理,這里所示的是二叉樹����。因此,在這樣的一個識別系統(tǒng)中�,用于識別無線標(biāo)簽的密鑰以二叉樹路徑的形式來表示�。例如,在圖2中用箭頭指示的��、對應(yīng)于該樹葉節(jié)點的密鑰K的表示���、存儲和控制對應(yīng)于k00k01k12����。圖3示出了根據(jù)本發(fā)明的一個實施例的在識別系統(tǒng)中執(zhí)行的識別無線標(biāo)簽的方法的主要步驟�����。這一識別系統(tǒng)包括無線標(biāo)簽31和識別服務(wù)器32,該識別服務(wù)器依據(jù)圖2所示的二叉樹管理密鑰��。無線標(biāo)簽31首先從識別服務(wù)器32接收第一隨機值r���,然后其生成第二隨機值r’��。然后它基于以樹路徑的方式對其密鑰的表示���,對第一和第二隨機值應(yīng)用一加密計算,并且將該加密計算的執(zhí)行結(jié)果傳輸至識別服務(wù)器�����。然后后者將該加密計算應(yīng)用于它所管理的樹的葉節(jié)點所對應(yīng)的不同密鑰的各自表示����。因而,基于接收到的結(jié)果與從樹葉節(jié)點獲取的結(jié)果之間的比較���,其能夠確定哪個密鑰與該無線標(biāo)簽相關(guān)���,從而可以識別該無線標(biāo)簽����。在此情形下����,通常根據(jù)標(biāo)簽用途類型的分類,密鑰被分配給不同的無線標(biāo)簽�����。因此����,例如,如果這些無線標(biāo)簽用在鈔票(banknotes)上���,指派給給定數(shù)量紙幣的密鑰可對應(yīng)于有著許多相同比特值的密鑰。在這種情況下����,當(dāng)攻擊者恢復(fù)一些值時,這些值或者已經(jīng)通過識別中心和例如500歐元紙幣的無線標(biāo)簽的接口����,或者通過一適合的無線標(biāo)簽讀取器��,并且當(dāng)攻擊者還取回了上述的對500歐元紙幣的密鑰的表示時��,他就可能基于在識別中心和這些紙幣的無線標(biāo)簽之間傳輸?shù)男畔?�,掌握足夠信息以定位具有該值的紙幣�����。這是因為��,依賴于在密鑰樹中使用的分類��,掌握關(guān)于密鑰位置的信息可提供密鑰信息�,對其他依賴于相同上級節(jié)點的葉節(jié)點來說��,這些密鑰信息是非常有用的����。在通過Q叉樹管理密鑰的情況下,上述可能出現(xiàn)的攻擊僅僅是多個攻擊中的其中一例�,其開始于一個無線標(biāo)簽的密鑰的值,能夠獲取其他無線標(biāo)簽上的機密信息�。為提高附著于物理存儲于無線標(biāo)簽的密鑰的機密性的安全等級,有利地�,通過使用用上述方式存儲和管理關(guān)于POK類型的密鑰的特性來防御任意入侵式攻擊����。因此�����,在無線標(biāo)簽上實施根據(jù)本發(fā)明的一個實施例的執(zhí)行加密計算的方法在這里被提出����。這樣的無線標(biāo)簽擁有一個接收自識別服務(wù)器的隨機值r,并生成另一隨機值r’����。然后其在步驟35中執(zhí)行根據(jù)本發(fā)明的一個實施例的方法的步驟11到15。在這里描述的一個變化實施例中����,步驟15的加密運算被應(yīng)用于從步驟14獲取的結(jié)果。依據(jù)該方法����,對應(yīng)于例如k00k01k12的密鑰K的路徑部分被相繼處理��。在所描述的實施例中���,該方法包括兩個隨機值r和r’的組合���。然后��,加密運算h1被應(yīng)用于該組合�,之后進行線性位置換(linearbitpermutation)運算σK���。最后�,加密運算h2被應(yīng)用于位置換運算的結(jié)果�����。這一計算的結(jié)果可寫為h2(σK(h1(comb1(r��,r’))))其中comb1(r����,r’)是隨機值r和r’的組合。該方法被應(yīng)用于路徑部分k00�����,并且將獲取的結(jié)果�,對應(yīng)于通過消息36傳輸至識別服務(wù)器32����。然后�,該方法被應(yīng)用于路徑部分k01,并且將獲取的結(jié)果��,對應(yīng)于通過消息37傳輸至識別服務(wù)器32�。最后,該方法被應(yīng)用于路徑部分k12����,并且將獲取的結(jié)果,對應(yīng)于通過消息38傳輸至識別服務(wù)器�����。為涉及所有密鑰部分k00�����、k01��、k12所有步驟保留隨機值r和r’�����,或者為密鑰的每部分重新生成隨機值r和r’�����。然后����,與該無線標(biāo)簽一樣,服務(wù)器擁有了兩個隨機值r和r’�����。其將與由無線標(biāo)簽所執(zhí)行的計算相似的計算應(yīng)用于樹中不同的密鑰����,直到其能夠通過比較從后者獲取的加密值來識別該標(biāo)簽。這里應(yīng)當(dāng)指出�����,識別服務(wù)器其自身能夠執(zhí)行這種計算�,而并不將仿射運算的執(zhí)行分割成兩步。因而�����,根據(jù)本發(fā)明的一個實施例的無線識別方法對于現(xiàn)存的識別服務(wù)器是兼容的。圖4示出了根據(jù)本發(fā)明的另一個實施例的識別無線標(biāo)簽的方法的主要步驟�。在這一應(yīng)用示例中,步驟15實施的加密運算被應(yīng)用于兩個隨機值r和r’的組合����。在這種情況下,有利地���,兩個隨機值的組合對應(yīng)于隨機值r’��。因此�����,在這種情況下�����,如前一實施例���,無線標(biāo)簽31并不將第二隨機值傳輸至識別服務(wù)器32,反而其僅僅傳輸?shù)诙S機值的加密圖像�����。在根據(jù)上述執(zhí)行的方法的加密計算完成時,也就是步驟41完成時�,標(biāo)簽?zāi)軌驅(qū)⑾?2傳輸至識別服務(wù)器32,消息42表示r和r’加密后的組合��,h’(comb2(r�����,r’))����,其中h’是加密函數(shù)����,例如其可能是哈希函數(shù)或偽隨機函數(shù),以及其中comb2是隨機值r和r’的組合��。下面幾個部分描述了僅應(yīng)用于密鑰的第一部分的識別方法的步驟���,據(jù)此能夠輕易地推斷與其他部分相關(guān)的其他步驟�����。通過消息43�����,將仿射運算應(yīng)用的結(jié)果傳輸給r和r’的組合����。這里,該仿射運算應(yīng)用的結(jié)果可對應(yīng)于密鑰部分k00和r與r’的組合之間的“異或”運算��,下述等式被驗證其中comb3是r和r’的組合�����。為涉及所有密鑰部分k00�����、k01��、k12的所有步驟保留隨機值r和r’�,或者為密鑰的每部分重新生成隨機值r和r’。在此示例中��,為了識別無線標(biāo)簽����,識別服務(wù)器32擁有第一隨機值���、兩個隨機值的組合的加密結(jié)果、以及根據(jù)其管理的密鑰被應(yīng)用的仿射運算�。基于在識別服務(wù)器32中管理的密鑰�����、在消息42中接收的隨機值r和r’的加密后的組合����、消息43的內(nèi)容����、以及r的值,能夠驗證其是否獲得了相同的r和r’的加密后的組合��,以識別所使用的密鑰��。這里應(yīng)當(dāng)指出該識別服務(wù)器僅僅接收了r’加密后的圖像�����。為了確定密鑰第一部分的值,可為密鑰的第一部分應(yīng)用以下等式其中對應(yīng)于接收到的消息42的內(nèi)容�;以及其中comb3(r,r’1)和comb3(r�,r’2)是兩個隨機值r和r’的組合潛在的候選者。接下來����,其將與在無線標(biāo)簽中應(yīng)用的加密運算相同的加密運算應(yīng)用于r和r1’的組合以及r和r2’的組合。然后其比較與該加密運算相關(guān)的這些計算執(zhí)行完成時所獲取的兩個結(jié)果�����,并且之后確定密鑰第一部分的值����。其通過對密鑰所有的部分執(zhí)行相同的處理來確定整個密鑰的值。權(quán)利要求1.一種依據(jù)給定的加密算法在電子器件中執(zhí)行加密計算的方法�,該加密算法包括至少一個單向函數(shù)的應(yīng)用,依據(jù)對該電子器件的一次入侵而禁用該單向函數(shù)���;所述單向函數(shù)基于第一仿射運算(σK)����,該第一仿射運算對應(yīng)于第一密鑰(K)����;所述方法包括與所述單向函數(shù)的應(yīng)用相關(guān)的以下步驟/a/獲取第一和第二隨機值(r�,r’)���;/b/通過對第一和第二隨機值的第一組合應(yīng)用第二仿射運算(σK1)來獲取第一結(jié)果�,該第二仿射運算對應(yīng)于第二密鑰����;/c/通過對第一結(jié)果應(yīng)用第三仿射運算(σK2)來獲取第二結(jié)果,該第三仿射運算對應(yīng)于第三密鑰����;其中第三和第二仿射運算的組合(σK2oσK1)對應(yīng)于第一仿射運算(σK)��;以及其中加密運算被應(yīng)用于所述第二結(jié)果以及第一和第二隨機值的第二組合的至少其中之一����。2.根據(jù)權(quán)利要求1所述的執(zhí)行加密計算的方法,其中該加密運算對應(yīng)于哈希函數(shù)和偽隨機函數(shù)的其中之一���。3.根據(jù)權(quán)利要求1或2所述的執(zhí)行加密計算的方法�,其中該加密運算被應(yīng)用于第二結(jié)果����,并且其中第一��、第二和第三仿射運算對應(yīng)于位級置換���。4.根據(jù)權(quán)利要求3所述的執(zhí)行加密計算的方法,其中所述第一和第二隨機值的第一組合對應(yīng)于將第一和第二隨機值作為輸入的加密運算的應(yīng)用����。5.根據(jù)權(quán)利要求4所述的執(zhí)行加密計算的方法,其中該加密運算對應(yīng)于哈希函數(shù)���。6.根據(jù)權(quán)利要求1至3中任一項所述的執(zhí)行加密計算的方法��,其中所述第一和第二隨機值的第一組合對應(yīng)于第一和第二隨機值之間的“異或”運算的應(yīng)用���。7.根據(jù)權(quán)利要求1所述的執(zhí)行加密計算的方法,其中該加密運算應(yīng)用于所述第一和第二隨機值的第二組合��;其中該第一�����、第二和第三仿射操作(σK���,σK1����,σK2)對應(yīng)于分別與第一、第二和第三密鑰的“異或”運算�;以及其中該第一密鑰(K)等于所述第二和第三密鑰(K1,K2)之間“異或”運算的結(jié)果�。8.一種在識別服務(wù)器中識別無線標(biāo)簽的方法,該識別服務(wù)器依據(jù)一Q叉樹來管理多個密鑰��,該Q叉樹有一根結(jié)點和多個葉結(jié)點�����,其中Q是一大于或等于2的整數(shù)����,該樹上的每個葉結(jié)點對應(yīng)于一個密鑰����;所述多個密鑰中的一個密鑰與所述無線標(biāo)簽相關(guān);對所述無線標(biāo)簽進行識別的所述識別方法包括以下步驟/1/從所述識別服務(wù)器接收第一隨機值(r)����;/2/生成第二隨機值(r’)����;/3/基于與所述無線標(biāo)簽相關(guān)的所述密鑰的至少一部分��,通過對所述第一和第二隨機值應(yīng)用加密計算來獲取一結(jié)果�����;以及/4/將所述結(jié)果傳輸至所述識別服務(wù)器��;其中使用根據(jù)前述權(quán)利要求中任一項所述的執(zhí)行加密計算的方法來執(zhí)行所述加密計算�。9.根據(jù)權(quán)利要求8所述的識別無線標(biāo)簽的方法,其中通過對該第二結(jié)果應(yīng)用加密運算來獲取第三結(jié)果��;以及其中�����,在步驟/4/中����,第三結(jié)果和第二隨機值被傳輸至該識別服務(wù)器。10.根據(jù)權(quán)利要求8所述的識別無線標(biāo)簽的方法�����,其中通過對該第一和第二隨機值的第二組合應(yīng)用加密運算來獲取第四結(jié)果;以及其中�,在步驟/4/中,所述第二結(jié)果和第四結(jié)果被傳輸至該識別服務(wù)器��。11.根據(jù)權(quán)利要求8至10中任一項所述的識別無線標(biāo)簽的方法�,其中所述密鑰以多個部分的形式來表示,該多個部分分別代表從該樹的根結(jié)點至相應(yīng)葉結(jié)點的路徑的多個部分����,以及其中針對所述密鑰的所述多個部分的每一部分重復(fù)執(zhí)行步驟/1/至/4/。12.一種適于依據(jù)給定的加密算法來執(zhí)行加密計算的電子器件�����,該加密算法包括至少一個單向函數(shù)的應(yīng)用�����,依據(jù)對該電子器件的一次入侵而禁用該單向函數(shù)����;所述單向函數(shù)基于密鑰(K)��,該密鑰對應(yīng)于第一仿射運算(σK);所述電子器件包括適于執(zhí)行根據(jù)權(quán)利要求1至7中任一項所述的方法的裝置�。13.一種包括根據(jù)權(quán)利要求9所述的電子器件的無線標(biāo)簽,所述標(biāo)簽適于執(zhí)行根據(jù)權(quán)利要求8至11中任一項所述的識別方法�����。14.一種無線標(biāo)簽識別系統(tǒng)���,包括識別服務(wù)器和根據(jù)權(quán)利要求13所述的標(biāo)簽����。全文摘要依據(jù)加密算法�����,在電子器件中執(zhí)行加密計算����,該加密算法包括至少一個單向函數(shù)的應(yīng)用,依據(jù)對該電子器件的一次入侵而禁用該單向函數(shù)����。該單向函數(shù)基于對應(yīng)于第一密鑰的第一仿射運算。通過獲取(11)第一和第二隨機值(r����,r’)��、然后通過應(yīng)用對應(yīng)于第二密鑰的第二仿射運算(σK1)而獲取第一結(jié)果(13)�,該單向函數(shù)被應(yīng)用于該第一和第二隨機值的第一組合(12)�����,以及其后通過應(yīng)用對應(yīng)于第三密鑰的第三仿射運算(σK2)而獲取(14)第二結(jié)果���,該單向函數(shù)被應(yīng)用于所述第一結(jié)果���。第三和第二仿射運算的組合(σK2oσK1)對應(yīng)于第一仿射運算;此外加密運算被應(yīng)用于(15)所述第二結(jié)果以及第一和第二隨機值的第二組合的至少其中之一���。文檔編號H04L9/32GK101803273SQ200880023392公開日2010年8月11日申請日期2008年5月9日優(yōu)先權(quán)日2007年5月15日發(fā)明者荷芙·夏巴納,朱利安·博林格,托馬斯·艾卡特申請人:薩基姆安全公司