專利名稱:具有安全而有效的簽名的數(shù)據(jù)發(fā)送器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例涉及數(shù)據(jù)發(fā)送器��,尤其是發(fā)送具有安全而有效的簽名的前后相繼的有效數(shù)據(jù)塊的數(shù)據(jù)發(fā)送器����。
背景技術(shù):
在汽車工業(yè)中所采用的用于在傳感器和控制設(shè)備之間的通信的通信協(xié)議不包含防黑客操控傳輸數(shù)據(jù)的預(yù)防措施。屬于這種攻擊的例如有發(fā)動機(jī)調(diào)諧和停車機(jī)構(gòu)破壞���。發(fā)動機(jī)調(diào)諧例如可導(dǎo)致汽車制造商方面的顯著的經(jīng)濟(jì)損失���。另外,將來在街電車(E-car���,)及其聯(lián)網(wǎng)中�����,通信伙伴的認(rèn)證�、例如傳感器和控制設(shè)備之間的認(rèn)證以及傳輸數(shù)據(jù)的完整性保護(hù)占據(jù)重要的位置。在汽車工業(yè)中��,為了例如傳感器和控制設(shè)備的聯(lián)網(wǎng)�,不僅使用單向協(xié)議,而且使用雙向協(xié)議���。汽車工業(yè)中的已知協(xié)議例如是SENT協(xié)議(SENT=單邊半字節(jié)傳輸(single edge nibble transmission))和PSI5協(xié)議(PSI5 =外圍傳感器接口 5�����,傳感器的數(shù)字接口)。 SENT協(xié)議是單向協(xié)議���,其在標(biāo)準(zhǔn)SAE J2716中被標(biāo)準(zhǔn)化并且作為數(shù)字傳感器接口例如用于將例如檢測閥門或踏板位置的發(fā)動機(jī)壓力傳感器或霍爾傳感器連接至E⑶(EOT =發(fā)動機(jī)控制設(shè)備)�。PSI5協(xié)議是雙向協(xié)議�����,其例如可以用于氣囊傳感器的連接���。一般����,已知在汽車工業(yè)中使用的協(xié)議具有CRC保護(hù)(CRC =循環(huán)冗余校驗(yàn)),以便探測傳輸差錯�,所述傳輸差錯尤其是可能出現(xiàn)在發(fā)動機(jī)的強(qiáng)電磁消噪環(huán)境中。但是�,對傳輸數(shù)據(jù)的例如防黑客惡意攻擊的保護(hù)不具有已知在汽車工業(yè)中使用的協(xié)議。例如�,黑客可以操控壓力傳感器的傳輸數(shù)據(jù),以便借助在發(fā)動機(jī)控制設(shè)備的輸入端處所操控的或偽造的數(shù)據(jù)來操控在發(fā)動機(jī)控制設(shè)備的輸出端處的數(shù)據(jù)���,由此例如可以實(shí)現(xiàn)發(fā)動機(jī)的功率提升(發(fā)動機(jī)的調(diào)諧)�。但是���,已知在汽車工業(yè)中使用的CRC保護(hù)如已經(jīng)提到的那樣不具有對傳輸數(shù)據(jù)的防操控的保護(hù)����,因?yàn)槿菀子嬎愠鲇糜谒鶄卧鞌?shù)據(jù)的正確CRC位�。汽車領(lǐng)域中的標(biāo)準(zhǔn)化協(xié)議——屬于所述標(biāo)準(zhǔn)化協(xié)議的除了 SENT協(xié)議和PSI5協(xié)議外還有協(xié)議SEC、CAN (CAN =控制器局域網(wǎng)�,用于汽車應(yīng)用的ISO標(biāo)準(zhǔn)協(xié)議)和FlexRay (用在汽車中的串行、確定性以及容差的現(xiàn)場總線系統(tǒng))一不能通過已知的用于完整性保護(hù)的措施來擴(kuò)展�。例如MAC(MAC=消息認(rèn)證碼)不能掛靠到在傳輸協(xié)議框架中的數(shù)據(jù)��,或者也不能在數(shù)據(jù)之后發(fā)送在自身框架中的總的MAC���,一方面是因?yàn)閰f(xié)議框架出于需要用于完整性保護(hù)的已知措施的兼容性原因不能再在程度上擴(kuò)展,另一方面是因?yàn)橛捎趯?shí)時性而不能在該所需程度上傳輸或插入附加框架����。
發(fā)明內(nèi)容
因此,本發(fā)明所基于的任務(wù)是����,提供一種構(gòu)想,該構(gòu)想提供在數(shù)據(jù)發(fā)送器和數(shù)據(jù)接收器之間的安全而有效的通信��。該任務(wù)通過根據(jù)權(quán)利要求1的數(shù)據(jù)發(fā)送器���、根據(jù)權(quán)利要求15的數(shù)據(jù)接收器�、根據(jù)權(quán)利要求21的用于發(fā)送的方法��、根據(jù)權(quán)利要求22的用于接收的方法或者根據(jù)權(quán)利要求23的計算機(jī)程序來解決����。本發(fā)明提供一種用于發(fā)送前后相繼的有效數(shù)據(jù)塊的數(shù)據(jù)發(fā)送器����,該數(shù)據(jù)發(fā)送器被構(gòu)造用于將第一有效數(shù)據(jù)塊編碼以獲得第一編碼結(jié)果�,并且用于在使用第一編碼結(jié)構(gòu)的一部分的情況下將第二有效數(shù)據(jù)塊編碼以獲得第二編碼結(jié)果��,其中該數(shù)據(jù)發(fā)送器被構(gòu)造用于將第一編碼結(jié)果的小于該第一編碼結(jié)果的一部分用作第一有效數(shù)據(jù)塊的簽名���,并且用于將第二編碼結(jié)果的小于該第二編碼結(jié)果的一部分用作第二有效數(shù)據(jù)塊的簽名���,并且用于產(chǎn)生具有第一有效數(shù)據(jù)塊和第一簽名的第一發(fā)送分組和用于產(chǎn)生具有第二有效數(shù)據(jù)塊和第二簽名的第二發(fā)送分組。本發(fā)明還提供一種用于接收第一發(fā)送分組和第二發(fā)送分組的數(shù)據(jù)接收器�����,其中接收的第一和第二發(fā)送分組分別具有接收的有效數(shù)據(jù)塊和接收的簽名��,并且其中該數(shù)據(jù)接收器被構(gòu)造用于將接收的第一有效數(shù)據(jù)塊編碼以獲得第一編碼結(jié)果和用于在使用第一編碼結(jié)果的情況下將接收的第二有效數(shù)據(jù)塊編碼以獲得第二編碼結(jié)果���,其中該數(shù)據(jù)接收器被構(gòu)造用于將第一編碼結(jié)果的小于該第一編碼結(jié)果的一部分用作接收的第一有效數(shù)據(jù)塊的參考簽名和用于將第二編碼結(jié)果的小于該第二編碼結(jié)果的一部分用作第二有效數(shù)據(jù)塊的參考簽名����,其中該數(shù)據(jù)接收器如此構(gòu)造���,即在有效的接收的第一發(fā)送分組情況下����,第一參考簽名等于接收的第一有效數(shù)據(jù)塊的接收的簽名,而在有效的接收的第二發(fā)送分組情況下���,第二參考簽名等于接收的第二有效數(shù)據(jù)塊的接收的簽名����。
以下參照附圖來詳細(xì)說明本發(fā)明的實(shí)施例���。圖1示出用于發(fā)送前后相繼的有效數(shù)據(jù)塊的數(shù)據(jù)發(fā)送器的方案��;圖2示出用于接收前后相繼的發(fā)送分組的數(shù)據(jù)接收器的方案���;圖3示出SENT協(xié)議的較高協(xié)議層的通信框架;圖4示出用于在數(shù)據(jù)發(fā)送器和數(shù)據(jù)接收器之間建立安全連接的兩個所需步驟���;圖5示出用于相對于數(shù)據(jù)接收器對數(shù)據(jù)發(fā)送器認(rèn)證的雙路請求-應(yīng)答檢查�����;圖6示出用于獲得前后相繼的有效數(shù)據(jù)塊的安全而有效的簽名的編碼裝置的方案;圖7a示出發(fā)送分組從數(shù)據(jù)發(fā)送器經(jīng)由通信信道至數(shù)據(jù)接收器的傳輸�;圖7b示出發(fā)送分組從數(shù)據(jù)發(fā)送器經(jīng)由通信信道至數(shù)據(jù)接收器的傳輸��,其中攻擊者在傳輸期間操控發(fā)送分組�����;圖8示出用于數(shù)據(jù)發(fā)送器和數(shù)據(jù)接收器之間的相互認(rèn)證的三路請求-應(yīng)答檢查���;圖9示出用于獲得安全而有效的簽名的編碼裝置的另一方案,所述簽名還相對于側(cè)信道攻擊(Seitenkanalangriff)而受到保護(hù)��。
具體實(shí)施例方式在以下對本發(fā)明實(shí)施例的描述中���,在附圖中相同的或作用相同的元件配備相同的附圖標(biāo)記�。圖1示出了用于發(fā)送前后相繼的有效數(shù)據(jù)塊Bi的數(shù)據(jù)發(fā)送器100的方案���。編碼裝置104被構(gòu)造用于對第一有效數(shù)據(jù)塊B1編碼以獲得第一編碼結(jié)果VE1�,并且用于對跟隨在第一有效數(shù)據(jù)塊B1之后的第二有效數(shù)據(jù)塊4編碼以獲得第二編碼結(jié)果VE2,其中編碼裝置104被構(gòu)造用于在對第二有效數(shù)據(jù)塊B2編碼時使用第一編碼結(jié)果VE115為此��,數(shù)據(jù)發(fā)送器100例如可以具有延遲裝置106�����,該延遲裝置被構(gòu)造用于存儲和延遲輸出在先的有效數(shù)據(jù)塊B"的在先編碼事件VEg�,以為后續(xù)有效數(shù)據(jù)塊Bi的編碼提供編碼裝置104的所存儲的在先編碼結(jié)果VEg��,以獲得編碼結(jié)果VEitl因此���,例如第三有效數(shù)據(jù)塊 的第三編碼結(jié)果被延遲裝置106存儲和延遲輸出,從而編碼裝置104可以將第三編碼結(jié)果犯3用于第四有效數(shù)據(jù)塊B4的編碼�����,以獲得第四編碼事件VE4��。數(shù)據(jù)發(fā)送器100還具有提取器108�����,該提取器被構(gòu)造用于提取出編碼結(jié)果VEi的一部分���,其中編碼結(jié)果VEi的提取部分小于編碼結(jié)果VEitl該提取器還可以被構(gòu)造用于將編碼結(jié)果VEi的所提取部分作為有效數(shù)據(jù)塊Bi的簽名Si輸出�����。因此�����,提取器108例如可以提取出第一編碼結(jié)果VE1的小于該第一編碼結(jié)果VE1的一部分并將該部分作為第一有效數(shù)據(jù)塊 B1的簽名S1輸出�,并且提取出第二編碼結(jié)果VE2的小于該第二編碼結(jié)果VE2的一部分并將該部分作為第二有效數(shù)據(jù)塊4的簽名&輸出。此外�����,數(shù)據(jù)發(fā)送器100具有用于將有效數(shù)據(jù)塊Bi和簽名Si組合的消息格式化器�����, 以產(chǎn)生發(fā)送分因此����,消息格式化器可以例如將第一有效數(shù)據(jù)塊B1與第一編碼結(jié)果 VE1的作為簽名S1提取出的部分組合�,以產(chǎn)生第一發(fā)送分組B1S1,并將第二有效數(shù)據(jù)塊化與第二編碼結(jié)果VE2的作為簽名&提取出的部分組合,以產(chǎn)生第二發(fā)送分組化&����。數(shù)據(jù)發(fā)送器100因此為每個有效數(shù)據(jù)塊Bi產(chǎn)生一個安全而有效的簽名Si,其中每個具有相應(yīng)簽名Si的有效數(shù)據(jù)塊Bi作為發(fā)送分組BiSi被發(fā)送。簽名Si —方面是有效的�����, 因?yàn)橹挥邢鄳?yīng)編碼結(jié)果VEi的一部分作為簽名Si使用����,并且另一方面是安全的�����,因?yàn)槭褂迷谙鹊挠行?shù)據(jù)塊Bg的在先編碼結(jié)果VEp1來對有效數(shù)據(jù)塊Bi編碼�����。如果編碼結(jié)果VEi的所提取部分例如包括一位并且該簽名因此只有該一位����,則有效數(shù)據(jù)塊Bi的操控保持不被察覺的概率P為P = 2_N����,其中N是傳輸有效數(shù)據(jù)塊Bi的數(shù)量。在例如12個傳輸?shù)挠行?shù)據(jù)塊Bi之后���,只4. 096個攻擊中的一個攻擊還保持不被察覺�����。識別對有效數(shù)據(jù)塊Bi的操控的概率隨著傳輸?shù)陌l(fā)送分組BiSi的數(shù)量N而升高��。出于該原因���,可以對跟隨在第二有效數(shù)據(jù)塊4之后的10個或更多的有效數(shù)據(jù)塊Bi編碼��,以獲得另外的編碼結(jié)果�,其中根據(jù)在先編碼結(jié)果VEi對每個另外的有效數(shù)據(jù)塊Bi編碼�����。此外����,作為簽名SiH用的編碼結(jié)果VEi的所提取部分當(dāng)然可以長于1位���,其中對于有效簽名Si,如此選擇所提取的位的數(shù)量N��,即編碼結(jié)果VEi的所提取部分小于編碼結(jié)果VEi的位的1/8�����。此外��,數(shù)據(jù)發(fā)送器100可以具有例如用于執(zhí)行請求-應(yīng)答檢查的可選的請求-應(yīng)答裝置112和/或例如用于編碼裝置的復(fù)位的可選的再同步裝置114���。請求-應(yīng)答裝置112 和再同步裝置114的準(zhǔn)確描述在圖5或圖6的描述中進(jìn)行,因而在此處放棄具體的描述。圖2示出用于接收前后相繼的發(fā)送分組Bi' Si'的數(shù)據(jù)接收器120的方案�。數(shù)據(jù)接收器120具有用于接收發(fā)送分組Bi' Si'的接收裝置122,例如用于接收第一發(fā)送分組B/和第二發(fā)送分組化‘���,其中每個發(fā)送分組Bi' Si'具有接收的有效數(shù)據(jù)塊Bi'和該接收的有效數(shù)據(jù)塊Bi'的接收的簽名Si'��。此外���,數(shù)據(jù)接收器120具有用于提取接收的發(fā)送分組Bi' Si'的消息提取器124,以獲得接收的有效數(shù)據(jù)塊Bi'和該接收的有效數(shù)據(jù)塊 Bi'的接收的簽名Si'����。因此,可以獲得例如接收的第一有效數(shù)據(jù)和接收的第一簽名S/以及接收的第二有效數(shù)據(jù)塊化‘和接收的第二簽名�����。
為檢查接收的簽名Si,數(shù)據(jù)接收器120具有編碼裝置126�、提取器1 和比較裝置130。編碼裝置1 被構(gòu)造用于對接收的第一有效數(shù)據(jù)塊B1'編碼以獲得第一編碼結(jié)果 VE1*,和用于對接收的第二有效數(shù)據(jù)塊化‘編碼以獲得第二編碼結(jié)果VE2*,其中編碼裝置 126被構(gòu)造用于在對接收的第二有效數(shù)據(jù)塊化編碼時使用第一編碼結(jié)果VE1I為此���,數(shù)據(jù)接收器120例如可以具有延遲裝置132�����,該延遲裝置被構(gòu)造用于例如存儲并且延遲輸出在先有效數(shù)據(jù)塊B"‘的在先編碼結(jié)果VEh*���,以為后續(xù)的有效數(shù)據(jù)塊Bi的編碼提供編碼裝置 126的所存儲的在先編碼結(jié)果VEh*�����,以獲得后續(xù)的編碼結(jié)果VEj����。因此����,可以由延遲裝置 132存儲并且延遲輸出例如接收的第四有效數(shù)據(jù)塊B4'的第四編碼結(jié)果VE4*,從而編碼裝置1 可將第四編碼結(jié)果VE4*用于對接收的第五有效數(shù)據(jù)塊B5'的編碼��,以獲得第五編碼結(jié)果犯5*�����。提取器1 被構(gòu)造用于提取編碼結(jié)果VEi*的一部分以獲得參考簽名Si*,其中編碼裝置1 和提取器1 被構(gòu)造為使得在有效的發(fā)送分組Bi' Si'情況下��,參考簽名Si*等于接收的有效數(shù)據(jù)塊Bi的接收的簽名S”數(shù)據(jù)接收器120還可以具有可選的輸出裝置134����,該輸出裝置被構(gòu)造用于如果接收的有效數(shù)據(jù)塊Bi'的接收的簽名Si'等于參考簽名Si*,則輸出接收的有效數(shù)據(jù)塊Bi'�����, 并且如果接收的有效數(shù)據(jù)塊Bi'的接收的簽名Si'不等于參考簽名Si*,則拋棄該接收的有效數(shù)據(jù)塊Bi'并觸發(fā)再同步事件���。為此,數(shù)據(jù)發(fā)送器120例如可以具有再同步裝置138��。 利用數(shù)據(jù)發(fā)送器100的再同步的工作方式將在對圖6的描述中更詳細(xì)地描述��,從而在此處放棄具體描述�����。此外�,數(shù)據(jù)接收器120可以具有可選的請求-應(yīng)答裝置136,以例如執(zhí)行請求-應(yīng)答檢查�。對請求-應(yīng)答裝置136的詳細(xì)描述同樣在對圖6的描述中進(jìn)行,因而在此處放棄具體描述����。數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120例如可以被用于建立雙向協(xié)議。因此�,以下將描述例如在使用已知的SENT協(xié)議的擴(kuò)展情況下的數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120的工作方式。在替代方案中��,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器被構(gòu)造用于以雙向協(xié)議、如PSI5協(xié)議工作����。圖3示出SENT協(xié)議的較高協(xié)議層的通信框架150。從應(yīng)用層角度看�����,SENT協(xié)議的通信框架150具有M位的有效數(shù)據(jù)152和4位的狀態(tài)和控制信息�,所述狀態(tài)和控制信息匯總在一個狀態(tài)塊(status中。狀態(tài)塊巧4具有兩個未使用的位��。從這兩個自由位���,例如可以將一位或兩位用于傳輸簽名Si或完整性保護(hù)信息。在圖3中�����,例如使用狀態(tài)塊巧4的第一位來傳送簽名S”為了對SENT協(xié)議進(jìn)行密碼擴(kuò)展��,隨后例如考慮第i個通信框架150�,該第i個通信框架150具有長度為m = 24+3 = 27位的有效數(shù)據(jù)塊Bi和長度為1位的簽名S”在發(fā)送分組BiSi從數(shù)據(jù)發(fā)送器100至數(shù)據(jù)接收器120的傳輸開始之前, 例如可以執(zhí)行請求-應(yīng)答檢查��,以提高有效數(shù)據(jù)塊Bi的防操控保護(hù)。圖4示出用于在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120之間建立安全連接的兩個必需步驟���。第一步驟180包括作為建立安全通信或連接的前提條件的對數(shù)據(jù)發(fā)送器120的認(rèn)證����。 此外����,如果需要這樣做時,則例如可以相對于數(shù)據(jù)接收器來認(rèn)證數(shù)據(jù)接收器��。對此��,數(shù)據(jù)發(fā)送器和/或數(shù)據(jù)接收器可以例如具有請求-應(yīng)答裝置112或者126�����。在第二步驟182中�,如果認(rèn)證成功,則可以開始在例如傳感器的數(shù)據(jù)發(fā)送器100和例如發(fā)動機(jī)控制設(shè)備的數(shù)據(jù)接收器120之間的發(fā)送分組BiSi的數(shù)據(jù)傳輸或傳輸����。如果認(rèn)證失敗,則例如數(shù)據(jù)發(fā)送器100或數(shù)據(jù)接收器120可以中斷連接��,因?yàn)榧俣ㄓ泄粽咴噲D例如操控或者偽造數(shù)據(jù)發(fā)送器100 和/或數(shù)據(jù)接收器120。例如如果認(rèn)證失敗����,則發(fā)動機(jī)控制單元可以假定攻擊者已操控傳感器,使得不再給出可靠發(fā)送分組BiSi的接收���。數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120及第一步驟180和第二步驟182因而將已知的SENT協(xié)議擴(kuò)展成安全的消息協(xié)議��。此外���,在第一步驟180中,可以產(chǎn)生密鑰k和隨機(jī)數(shù)R的編碼版r�,該編碼版對于在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120之間建立安全通信信道并且因而對于發(fā)送分組BiSi的傳輸?shù)牡诙襟E182是必需的。下面說明產(chǎn)生密鑰k和隨機(jī)數(shù)R的編碼版r的前提條件���。成功認(rèn)證和隨后傳輸發(fā)送分組BiSi的第一前提條件是����,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120具有共同的密鑰kID���。該共同的密鑰kID例如可以具有1 位長度。另外假定�����,該密鑰可以被視為獨(dú)立的并且一體考慮的隨機(jī)變量。此外����,該密鑰必須在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120中以及在密鑰的任意邏輯處理期間被保護(hù)以防讀取。這意味著����,該密鑰在每種情況下必須被保護(hù)以防讀取,例如在制作過程期間��,在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120 中傳輸密鑰時���,或者在更換數(shù)據(jù)發(fā)送器100或數(shù)據(jù)接收器120時��,并且需要對密鑰更新���。第二前提條件是,每個數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120具有自己的和單獨(dú)的密鑰�����。這意味著,沒有任何一個或多個數(shù)據(jù)發(fā)送器100和/或數(shù)據(jù)接收器120可以具有相同的密鑰�����。這是一個原則性的前提條件���,以保證當(dāng)攻擊者例如破解數(shù)據(jù)發(fā)送器100或數(shù)據(jù)接收器120的唯一密鑰時不會破解整個系統(tǒng)�。由攻擊者破解的唯一密鑰因此沒有威及到整個系統(tǒng)�����,例如機(jī)動車的多個傳感器和數(shù)據(jù)總線的控制設(shè)備���。第三前提條件是���,數(shù)據(jù)發(fā)送器100和/或數(shù)據(jù)接收器120具有真實(shí)的隨機(jī)數(shù)發(fā)生器(TRNG)或密碼的偽隨機(jī)數(shù)發(fā)生器(PRNG)。所產(chǎn)生的隨機(jī)數(shù)例如隨后可以被數(shù)據(jù)發(fā)送器 100或數(shù)據(jù)接收器120的請求-應(yīng)答裝置112或1 用于執(zhí)行請求-應(yīng)答檢查����。此外,數(shù)據(jù)發(fā)送器100或數(shù)據(jù)接收器120的請求-應(yīng)答裝置112或136例如可以具有隨機(jī)數(shù)發(fā)生器�����, 以產(chǎn)生所需要的隨機(jī)數(shù)����。第四前提條件是,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120的編碼裝置被構(gòu)造用于執(zhí)行相同的編碼�。對此,編碼裝置104或1 例如可以被構(gòu)造用于執(zhí)行AES塊編碼(AES =高級密碼標(biāo)準(zhǔn))���。在AES塊編碼的情況下�,可以使用例如1 位長的密鑰來編碼1 位長的有效數(shù)據(jù)塊4��。而解密裝置是不需要的���。AES塊編碼的實(shí)施可以根據(jù)功率要求以硬件或軟件來實(shí)現(xiàn)����。利用密鑰k的編碼在下面用c = AES (密鑰=k���,d)給出��,其中d是未編碼數(shù)據(jù)并且 c是編碼數(shù)據(jù)�����。圖5示出用于相對數(shù)據(jù)接收器120來認(rèn)證數(shù)據(jù)發(fā)送器100的雙路請求-應(yīng)答檢查����。該請求-應(yīng)答檢查因此展示了圖4中認(rèn)證的第一步驟180的方案。R是隨機(jī)的請求隨機(jī)數(shù)�,其中該請求隨機(jī)數(shù)R具有長度t。請求隨機(jī)數(shù)R的長度t不應(yīng)小于t = 72位����,其中 t可被視為可定標(biāo)的(skalierbar)安全參數(shù),該安全參數(shù)在需要的情況下可被提高�����。在第一消息190中��,數(shù)據(jù)接收器120給數(shù)據(jù)發(fā)送器100傳送隨機(jī)的請求隨機(jī)數(shù)R��。接著��,數(shù)據(jù)發(fā)送器100以及數(shù)據(jù)接收器120都用共同的密鑰kID確定隨機(jī)數(shù)R的編碼版r = AES (密鑰= kID��,R)或者r' = AES(密鑰=kID�����,R),其中數(shù)據(jù)發(fā)送器100獲得隨機(jī)數(shù)R的接收的編碼版 r'��,并且數(shù)據(jù)接收器120獲得隨機(jī)數(shù)R的編碼版r?��,F(xiàn)在,數(shù)據(jù)發(fā)送器100在第二消息192 中給數(shù)據(jù)接收器120傳送隨機(jī)數(shù)R的編碼版r'���,其中數(shù)據(jù)接收器120在接收了第二消息后將數(shù)據(jù)發(fā)送器100的隨機(jī)數(shù)R的編碼版r'與隨機(jī)數(shù)R的固有編碼版r進(jìn)行比較���。如果隨機(jī)數(shù)R的這兩個編碼版r'和r 一致(r' = r),則數(shù)據(jù)發(fā)送器100相對于數(shù)據(jù)接收器120 認(rèn)證并且數(shù)據(jù)接收器120因而接受數(shù)據(jù)發(fā)送器100���。如果隨機(jī)數(shù)R的這兩個編碼版r'和 r不一致(r' Φ r)����,則認(rèn)證失敗并且數(shù)據(jù)接收器120不接受數(shù)據(jù)發(fā)送器100��。替代地��,可以檢查認(rèn)證的有效性���,所通過的方式是數(shù)據(jù)發(fā)送器100直接轉(zhuǎn)入到數(shù)據(jù)傳輸階段�,而不是在第二消息192中將隨機(jī)數(shù)R的編碼版r'傳送給數(shù)據(jù)接收器120。該認(rèn)證在此可以例如直接通過簽名Si來進(jìn)行���。在第一步驟180或者雙路請求-應(yīng)答檢查之后�����,數(shù)據(jù)接收器120可以是安全的��,從而該數(shù)據(jù)發(fā)送器100是原數(shù)據(jù)發(fā)送器100�,前提是�����,該密鑰不是從數(shù)據(jù)發(fā)送器100中提取的并且攻擊者用該提取的密鑰來模擬數(shù)據(jù)發(fā)送器100�����。隨機(jī)的請求-應(yīng)答檢查或者隨機(jī)的請求-應(yīng)答協(xié)議阻止了可重復(fù)的攻擊�,例如涉及事先錄制或記錄下的會話的重復(fù)的攻擊。在認(rèn)證后���,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120可以在發(fā)送分組BiSi傳輸?shù)牡诙襟E182中使用共同的信息���、密鑰kID和隨機(jī)數(shù)的編碼版r或r'���。在此,隨機(jī)數(shù)R的編碼版r或r'例如可以具有1 位長度���。圖6示出獲得用于前后相繼的有效數(shù)據(jù)塊&的安全而有效簽名Si的編碼裝置104 和126的方案���。在此為獲得簽名Si而首先示例性地使用CBC-MAC結(jié)構(gòu)(CBC =密碼塊鏈接)�。通過@符號表示兩個輸入?yún)⒘恐g的組合。該組合例如可通過XOR加法或XNOR加法��、例如通過M)R門或XNOR門來實(shí)現(xiàn)�����,其中例如可以使用兩個128位長的矢量作為輸入?yún)⒘?����。然而�,CBC-MAC沒有按照常規(guī)方式實(shí)施,即沒有在每個傳輸?shù)挠行?shù)據(jù)塊Bi之后傳輸一個總的MAC����,而是更確切地說產(chǎn)生增量簽名Si,所通過的方式是在每次編碼后�、例如在AES 編碼后����,提取出編碼結(jié)果VEi的小于該編碼結(jié)果VEi的一部分并掛靠到未編碼的有效數(shù)據(jù)塊Bi上,以獲得發(fā)送分組BiSi,其中在對后續(xù)的有效數(shù)據(jù)塊Bw編碼時使用在先的編碼結(jié)果 VEi0在使用SENT協(xié)議的情況下�,編碼結(jié)果VEi的提取部分例如可以包括1位,借此完整性保護(hù)信息具有一連串的位S = Si, Si+1����,Si+2,... , Si+N��。有效數(shù)據(jù)塊&因此被未編碼地傳輸并且能例如被任何人看到���。但從攻擊者側(cè)對有效數(shù)據(jù)塊A的操控以很高概率被探測到�����。尤其在汽車傳感機(jī)構(gòu)領(lǐng)域中���,在一連串傳輸?shù)陌l(fā)送分組BiSi后延遲地識別出操控就足夠了。但是����,必須在一定數(shù)量的傳輸?shù)陌l(fā)送分組BiSi后�����、例如在50-100個傳輸?shù)陌l(fā)送分組BiSi后以非常高的安全性保證該識別���。數(shù)據(jù)發(fā)送器100和/或數(shù)據(jù)接收器120正好允許這種情況并且此外還實(shí)現(xiàn)了到現(xiàn)有傳輸協(xié)議中——如到SENT、SENT/SPC�����、SEC���、PSI5、CAN 或FlexRay中——的實(shí)施��,由此在同時獲得高度安全性時實(shí)施的費(fèi)用是最小的�����。在圖6中��,例如可以將初始矢量IV用于第一有效數(shù)據(jù)塊B1的編碼���,該初始矢量IV 例如具有1 位長度���。對于初始矢量IV����,可以使用例如隨機(jī)數(shù)R的編碼版r����,也就是例如IV =r。由此保證了�����,在每次認(rèn)證后計算出的簽名S = Si;Si+1�����,Si+2�,.. .,Si+N的順序不相同�����,即便應(yīng)發(fā)送相同順序的有效數(shù)據(jù)塊Bit5這意味著��,簽名Si的序列S是kID和r的函數(shù),也就是例如S = S(kID���,r)����。對于攻擊者�,該序列S看起來是隨機(jī)順序位。也就是借助強(qiáng)大的密碼元�,簽名Si的序列或順序S或者在使用如SENT協(xié)議的情況下根據(jù)密鑰k、隨機(jī)數(shù)r和有效數(shù)據(jù)塊Bi的順序迭代地產(chǎn)生并通過數(shù)據(jù)信道傳輸一連串的位��。在此可如此選擇計算函數(shù)�����,即攻擊者無法從對隨機(jī)數(shù)R����、所有迄今的有效數(shù)據(jù)塊Bi和所有迄今的簽名Si的了解中以可行的費(fèi)用預(yù)先計算出下個簽名Si+1���。
數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120的編碼裝置104和122此外可具有塊填充器 200���,該塊填充器被構(gòu)造用于在編碼前填充待編碼的有效數(shù)據(jù)塊Bi,以獲得經(jīng)過填充的有效數(shù)據(jù)塊,其中編碼裝置104或122、如AES編碼裝置被構(gòu)造用于在使用經(jīng)過填充的有效數(shù)據(jù)塊的情況下獲得編碼結(jié)果VEi,其中提取器被構(gòu)造為提取有效數(shù)據(jù)塊Bi的一部分�,該部分小于編碼結(jié)果VEitl在使用SENT協(xié)議的情況下,所提取的部分包括例如1位��。該1位在SENT 協(xié)議的情況下被用作為簽名Si或者完整性保護(hù)位�����。在此可將例如AES編碼和密鑰k = kID 用于編碼�����。消息格式化器110隨后將確定的簽名Si掛靠到未編碼的有效數(shù)據(jù)塊Bi,以獲得發(fā)送分組BA�����。該發(fā)送分組BiSi例如可被發(fā)送到數(shù)據(jù)接收器120�����。數(shù)據(jù)接收器120在此在使用相同初始值的情況下——例如利用密鑰kID和隨機(jī)數(shù)R的編碼版r——執(zhí)行與數(shù)據(jù)發(fā)送器100完全一樣的步驟����。也就是,數(shù)據(jù)接收器120的編碼裝置1 被構(gòu)造用于對接收的有效數(shù)據(jù)塊Bi'編碼以獲得編碼結(jié)果VEi*����。隨后從該編碼結(jié)果VEi*中提取與在數(shù)據(jù)發(fā)送器 100中時相同的部分����,以獲得參考簽名Si*,以便將參考簽名Si*與接收的簽名Si'比較��。圖7a示出發(fā)送分組BiSi從數(shù)據(jù)發(fā)送器100經(jīng)由通信信道204到數(shù)據(jù)接收器120 的傳輸�,其中數(shù)據(jù)接收器接收發(fā)送分組Bi' Si'。在對發(fā)送分組BiSi的不受干擾的或者正確的傳輸中��,數(shù)據(jù)接收器接收發(fā)送分組(B/ Si' ) = (BiSi),其中接收的簽名Si'等于參考簽名Si*,并且因此也等于發(fā)送的簽名Si����。圖7b示出發(fā)送分組BiSi從數(shù)據(jù)發(fā)送器100經(jīng)由通信信道204至數(shù)據(jù)接收器120 的傳輸,其中攻擊者206在傳輸期間操控發(fā)送分組BiSitl如果攻擊者已經(jīng)修改了傳輸?shù)挠行?shù)據(jù)塊Bi'��,則數(shù)據(jù)接收器120接收到發(fā)送分組(BPO=(BiSi) 4����,而不是(Bi' S/ )= (BiSi),其中Ai表示由攻擊者進(jìn)行的修改。因而在使用SENT協(xié)議的情況下����,所有后續(xù)簽名對(Si+/����,Si+1*)��,(Si+2' Si+2*), ... , (Si+N'����,Si+N*)以 ρ = 1/2 的概率不一致���,該概率由例如可具有CBC-MAC結(jié)構(gòu)的編碼裝置的塊編碼鏈的雪崩效應(yīng)(差錯傳播效應(yīng))決定�。這意味著�,在惡意修改后和在數(shù)據(jù)接收器120已經(jīng)接收到N個發(fā)送分組Bi' Si'后,攻擊保持不被察覺的概率為P = 2Λ因而在例如N = 20個傳輸?shù)陌l(fā)送分組Bi' Si'之后�,攻擊保持不被察覺的概率為1 1000000。因此���,通過數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120實(shí)現(xiàn)了數(shù)據(jù)保護(hù)所需要的傳輸信息量是最少的且是穩(wěn)定不變的���。因此,一方面保證了所用協(xié)議的實(shí)時能力����。另一方面,隨著傳輸?shù)暮灻鸖i的數(shù)量N的增加���,識別攻擊的可靠性呈指數(shù)地增大��。也就是����,可以實(shí)現(xiàn)可靠的差錯識別,但該差錯識別只是延遲地出現(xiàn)�。許多現(xiàn)有的協(xié)議標(biāo)準(zhǔn)——例如SENT、SENT/SPC�、 SEC、PSI5��、CAN和FlexRay——因此可以被擴(kuò)展以數(shù)據(jù)完整性安全��,而不會喪失向下兼容性�。在發(fā)送分組BiSi從數(shù)據(jù)發(fā)送器100至數(shù)據(jù)接收器120的傳輸時,可能出現(xiàn)傳輸差錯�,該傳輸差錯可能例如在技術(shù)上由強(qiáng)電磁噪音引起。如果在傳輸?shù)挠行?shù)據(jù)塊Bi'中出現(xiàn)傳輸差錯��,則例如具有CBC-MAC結(jié)構(gòu)的編碼裝置的差錯傳播特性可能導(dǎo)致所有后續(xù)傳輸?shù)挠行?shù)據(jù)塊Bi'不與給定概率一致���。該概率在例如以例如具有1位長度的簽名Si發(fā)送 SENT協(xié)議的情況下為ρ = 1/2���,正如在由攻擊者進(jìn)行修改時一樣����。處于該原因���,數(shù)據(jù)發(fā)送器 100和數(shù)據(jù)接收器120可以具有再同步裝置,該再同步裝置被構(gòu)造用于根據(jù)至少一個再同步事件來控制編碼裝置104或126�,使得第一編碼結(jié)果VE1與時間上在先的編碼結(jié)果VEw 無關(guān),并且用于對第一有效數(shù)據(jù)塊B1編碼的輸入只與預(yù)定數(shù)據(jù)相關(guān)并且至少第二編碼結(jié)果VE2與第一編碼結(jié)果VE1相關(guān)���,其中該預(yù)定數(shù)據(jù)包括存儲在存儲器中的初始矢量IV�、由請求-應(yīng)答裝置112或者136新獲得的隨機(jī)數(shù)或隨機(jī)數(shù)的編碼版或者有效數(shù)據(jù)塊B”此外��, 數(shù)據(jù)接收器120的再同步裝置138例如可被構(gòu)造用于將再同步事件觸發(fā)為使得該再同步事件可被數(shù)據(jù)發(fā)送器100檢測到�。攻擊和技術(shù)傳輸差錯之間的區(qū)分在此可以如下進(jìn)行。如果接收到具有無效簽名 Si'的發(fā)送分組Bi' Si'��,則所接收的發(fā)送分組Bi' Si'被拋棄并且不被用于進(jìn)一步計算�。 另外,數(shù)據(jù)接收器120可以具有差錯計數(shù)器140���,該差錯計數(shù)器被構(gòu)造用于計數(shù)每個傳輸差錯或者每個被拋棄的發(fā)送分組Bi' Si'���,以獲得差錯率�,其中該差錯計數(shù)器140被構(gòu)造用于只將預(yù)定數(shù)量的最新接收的和前后相繼的發(fā)送分組(Bi' Si')用于確定差錯率�。隨后,數(shù)據(jù)接收器120觸發(fā)再同步事件��,該再同步事件將數(shù)據(jù)發(fā)送器100的固有的編碼裝置1 和編碼裝置104復(fù)位�����,其中例如將編碼鏈的內(nèi)部變量(例如AES編碼的輸出和例如XOR加法的輸入)置位為初始矢量IV�����。接著���,繼續(xù)以經(jīng)過再同步的編碼裝置104的簽名Si進(jìn)行發(fā)送分組BiSi的傳輸���。數(shù)據(jù)接收器隨后借助差錯計數(shù)器140來檢查差錯率、例如出現(xiàn)的差錯數(shù)量就傳輸?shù)陌l(fā)送分組A' Si'的數(shù)量而言是否超過預(yù)定值�����。如果差錯率等于或小于預(yù)定值�����,則由此假定這是隨機(jī)的技術(shù)傳輸差錯。但如果超出該預(yù)定值�����,則假定出現(xiàn)攻擊�����。在此情況下����,例如可以拋棄所有后續(xù)接收到的發(fā)送分組4' Si'并且還可以例如執(zhí)行進(jìn)一步測量����。為了保護(hù)在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120之間的發(fā)送分組BiSi的傳輸免受側(cè)信道攻擊、例如免受DPA (DPA =差分功率分析)和DFA (DFA =差分故障分析)���,必須一方面擴(kuò)展第一步驟180以建立通信連接�,也就是認(rèn)證�����。圖8示出用于數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120之間的相互認(rèn)證的三路請求-應(yīng)答檢查����。在該三路請求-應(yīng)答檢查中傳輸另一信息���,其中數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120 的請求-應(yīng)答裝置112和136分別具有隨機(jī)數(shù)發(fā)生器或密碼的偽隨機(jī)數(shù)發(fā)生器,它們被構(gòu)造用于產(chǎn)生真實(shí)的或偽隨機(jī)的隨機(jī)數(shù)�。首先,數(shù)據(jù)發(fā)送器100產(chǎn)生兩個隨機(jī)數(shù)��,一個請求隨機(jī)數(shù)&和一個可以具有48位長度的附加隨機(jī)數(shù)rP����。因此,數(shù)據(jù)接收器120產(chǎn)生兩個隨機(jī)數(shù)����,即一個請求隨機(jī)數(shù)RT和一個隨機(jī)的隨機(jī)數(shù)rT,該隨機(jī)的隨機(jī)數(shù)例如可以具有與隨機(jī)數(shù)rP相同的長度�,例如48位。請求隨機(jī)數(shù)&和&可以分別具有例如72位的預(yù)定長度�����。共同的密鑰kID和兩個公開的隨機(jī)數(shù)rP和rT隨后可以被用來通過會話密鑰推導(dǎo)函數(shù)SK計算出會話密鑰1 k0 = SK(kID, rP, rT)�����。為此在圖8中,例如首先將第一消息210從數(shù)據(jù)發(fā)送器100傳輸至數(shù)據(jù)接收器 120�,其中第一消息210具有請求隨機(jī)數(shù)和公開的隨機(jī)數(shù)rP。隨后��,數(shù)據(jù)接收器120確定會話密鑰h并在使用該會話密鑰1 的情況下確定數(shù)據(jù)發(fā)送器100的請求隨機(jī)數(shù)&的編碼版 Cp = AES (密鑰=kQ����,RP)���。在第二消息212中��,數(shù)據(jù)接收器120向數(shù)據(jù)發(fā)送器100傳輸數(shù)據(jù)發(fā)送器100的隨機(jī)數(shù)&的編碼版cP���、請求隨機(jī)數(shù)&和公開的隨機(jī)數(shù)rT。接著��,數(shù)據(jù)發(fā)送器100首先確定會話密鑰h并借助該會話密鑰1 確定固有請求隨機(jī)數(shù)&的固有編碼版C/ = AES(密鑰= ‘�����。��。如果固有請求隨機(jī)數(shù)&的固有編碼版Cp'與固有請求隨機(jī)數(shù)&的由數(shù)據(jù)接收器 120獲得的編碼版Cp —致(Cp' = Cp),則數(shù)據(jù)接收器120已經(jīng)相對于數(shù)據(jù)發(fā)送器100得到認(rèn)證�,據(jù)此數(shù)據(jù)發(fā)送器100接受數(shù)據(jù)接收器120。如果認(rèn)證成功���,則數(shù)據(jù)發(fā)送器100還利用會話密鑰1 確定數(shù)據(jù)接收器120的請求隨機(jī)數(shù)&的編碼版cT = AES (密鑰=k0, Rt)�。在第三消息214中�,數(shù)據(jù)接收器120的請求隨機(jī)數(shù)&的編碼版cT被傳送。數(shù)據(jù)接收器120確定同有請求隨機(jī)數(shù)&的固有編碼版c/ =AES (密鑰=I^Rt)并隨后檢查利用第三消息214獲得的固有隨機(jī)數(shù)&的編碼版cT是否與隨機(jī)數(shù)&的固有編碼版c/ 一致��。 如果固有請求隨機(jī)數(shù)&的固有編碼版c/與所獲得的隨機(jī)變量&的編碼版cT 一致(cT = cT')��,則數(shù)據(jù)發(fā)送器100已經(jīng)相對于數(shù)據(jù)接收器得到認(rèn)證��,據(jù)此數(shù)據(jù)接收器120接受數(shù)據(jù)發(fā)送器100�����。否則(cT興c/ )����,中斷連接建立。替代地��,可以檢查認(rèn)證的有效性�,所通過的方式是數(shù)據(jù)發(fā)送器100直接轉(zhuǎn)入到數(shù)據(jù)傳輸階段��,而不是在第三信息214中將固有隨機(jī)數(shù)&的編碼版cT傳送給數(shù)據(jù)接收器120�。 認(rèn)證在此可以例如直接通過簽名Si來進(jìn)行���。會話密鑰推導(dǎo)函數(shù)SK在圖5所示方案中具有AES密碼和有限域運(yùn)算�,其被稱為非泄漏地址表(NLM���,Non-Leaking Map)�。因此獲得的會話密鑰隨后被用于圖4的第二步驟 182�,也就是被用于發(fā)送分組^Si的傳輸。圖9示出用于獲得安全而有效的��、還受保護(hù)免受側(cè)信道攻擊的簽名的編碼裝置 106和124的另一個方案����。MAC鏈的建立在此情況下基于HMAC (HMAC密鑰散列消息認(rèn)證碼���, 一種基于密碼哈希函數(shù)計算的MAC)���,其中Matyas-Meyer-Oseas結(jié)構(gòu)被用作基本構(gòu)造塊。有效數(shù)據(jù)塊Bi在編碼前被塊填充器200填充��,以獲得經(jīng)過填充的有效數(shù)據(jù)塊。經(jīng)過填充的有效數(shù)據(jù)塊隨后被編碼�����,其中例如可采用AES編碼�����。如圖9所示�,針對MAC計算鏈的每個編碼使用新的密鑰k1; k2, k3,. . .����,kN。該密鑰從在先密鑰中迭代產(chǎn)生��。例如有效數(shù)據(jù)塊Bi用密鑰h編碼以獲得編碼結(jié)果VEitl用于后續(xù)有效數(shù)據(jù)塊Bw的編碼的后續(xù)密鑰可例如從編碼結(jié)果VEi和有效數(shù)據(jù)塊Bi的組合中獲得�。該組合在此可例如通過XOR加法或XNOR加法進(jìn)行。計算鏈的第一密鑰h從會話密鑰1 和請求隨機(jī)數(shù)&和&中推導(dǎo)��。代替共同密鑰 kID而使用可變的密鑰Ici來編碼是前提條件�����,由此保護(hù)在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120 之間的發(fā)送分組BiSi的傳輸免受側(cè)信道攻擊�。在圖9所示的方案中����,編碼結(jié)果VEi的被提取出的作為簽名Si的部分也小于相應(yīng)的有效數(shù)據(jù)塊B”數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120 因此例如在汽車傳感結(jié)構(gòu)領(lǐng)域中開創(chuàng)了迄今未知的防攻擊安全水平��,例如防協(xié)議攻擊和防物理攻擊以及尤其是防有差異的側(cè)信道攻擊�。另外,在高的或者極端的實(shí)時請求的情況下可能需要的是�����,例如可以在數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120之間的認(rèn)證成功執(zhí)行之前數(shù)據(jù)接收器120就需要數(shù)據(jù)發(fā)送器100 的數(shù)據(jù)�。在此情況下,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器例如可被構(gòu)造用于在數(shù)據(jù)傳輸開始時傳輸發(fā)送分組BiSi,該發(fā)送分組(首先)未被認(rèn)證或者無法被認(rèn)證�����。該認(rèn)證可以隨后例如延遲地切換���。隨發(fā)送分組BiSi傳輸?shù)暮灻鸖i例如可以首先是未被分析或者不能被用于認(rèn)證的偽簽名(Dummy-Signature)。因此可能有兩個狀態(tài)��,即第一狀態(tài)和第二狀態(tài)����,在第一狀態(tài)中傳輸未被認(rèn)證的發(fā)送分組ASi���,在第二狀態(tài)中傳輸已認(rèn)證的發(fā)送分組BA。例如可以確保從第一狀態(tài)至第二狀態(tài)的過渡�����,所通過的方式是數(shù)據(jù)接收器120被構(gòu)造用于在第一狀態(tài)期間只接收有限數(shù)量的例如可在前區(qū)域中被確定或預(yù)定的發(fā)送分組BiSp數(shù)據(jù)接收器還可以被構(gòu)造用于在第一狀態(tài)期間將如圖5所示的隨機(jī)數(shù)R傳輸給數(shù)據(jù)發(fā)送器100�。數(shù)據(jù)發(fā)送器100還可以被構(gòu)造用于在第一狀態(tài)期間傳輸作為簽名Si具有例如已知數(shù)據(jù)模式的發(fā)送分組 BA。數(shù)據(jù)接收器120在此可以例如將在數(shù)據(jù)發(fā)送器100側(cè)的已知數(shù)據(jù)模式的變化解譯為從第一狀態(tài)至第二狀態(tài)的過渡����,其中可以隨后在第二狀態(tài)中認(rèn)證發(fā)送分組BiSi的傳輸。如果從第一狀態(tài)至第二狀態(tài)的過渡例如沒有在預(yù)定的時間窗或時間間隔內(nèi)進(jìn)行或者沒有在預(yù)定數(shù)量的傳輸?shù)陌l(fā)送分組BiSi之后進(jìn)行����,則數(shù)據(jù)接收器120例如可以被構(gòu)造用于將這解譯為攻擊并且例如中斷傳輸。替代地�,數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120例如可以被構(gòu)造用于計數(shù)發(fā)送分組ASi的數(shù)量,其中從第一狀態(tài)至第二狀態(tài)的過渡可以在預(yù)定 (固定)數(shù)量的發(fā)送分組ASi之后進(jìn)行�。可選地���,從第一狀態(tài)至第二狀態(tài)的過渡可以在預(yù)定時間���、例如等候時間后進(jìn)行�。此外�,可檢查認(rèn)證的有效性,所通過的方式是直接轉(zhuǎn)入數(shù)據(jù)傳輸階段�����,而不是借助 r'(隨機(jī)數(shù)R的編碼版)���、cP(隨機(jī)數(shù)&的編碼版)或4(隨機(jī)數(shù)&的編碼版)的回送檢查認(rèn)證有效性�。該認(rèn)證于是例如直接通過簽名Si得出�。數(shù)據(jù)發(fā)送器100和數(shù)據(jù)接收器120的完整性保護(hù)的方案可被實(shí)施到另外的協(xié)議中、例如實(shí)施到另外的低成本的雙向協(xié)議中�、例如PSI5協(xié)議中。當(dāng)不需要在發(fā)送分組BiSi 的每次傳輸后馬上識別到差錯時�����,也就是當(dāng)不需要實(shí)時識別時�����,所述方案總是有利的��。此夕卜���,當(dāng)取決于現(xiàn)有的帶寬和/或要遵守的最大延遲時間而無法在每個有效數(shù)據(jù)塊Bi后或在多個有效數(shù)據(jù)塊后插入整個MAC時�����,所述方案總是有利的�。所示的方案因此可被用于現(xiàn)有協(xié)議的擴(kuò)展��,因?yàn)閷τ趥鬏斨恍枰苌俚奈?����,甚至根?jù)實(shí)施方式的不同�����,只需要唯一一位�����, 其中安全性隨著每次傳輸?shù)挠行?shù)據(jù)塊Bi提升��,因?yàn)閷τ趶牡诙行?shù)據(jù)塊化起的簽名Si 的計算分別使用了在先編碼結(jié)果VEitl
權(quán)利要求
1.一種用于發(fā)送前后相繼的有效數(shù)據(jù)塊的數(shù)據(jù)發(fā)送器(100)�,具有以下特征編碼裝置(104),用于對第一有效數(shù)據(jù)塊(Bi)編碼以獲得第一編碼結(jié)果(VE1)和用于對跟隨第一有效數(shù)據(jù)塊(B1)的第二有效數(shù)據(jù)塊(B2)編碼以獲得第二編碼結(jié)果(VE2),其中該編碼裝置(104)被構(gòu)造用于在第二有效數(shù)據(jù)塊(B2)的編碼中使用第一編碼結(jié)果(VE1);提取器(108)�����,用于提取第一編碼結(jié)果(VE1)的小于該第一編碼結(jié)果(VE1)的一部分和第二編碼結(jié)果(VE2)的小于該第二編碼結(jié)果(VE2)的一部分��;以及消息格式化器(110)����,用于將第一有效數(shù)據(jù)塊(B1)和第一有效數(shù)據(jù)塊(B1)的作為簽名 (S1)的第一部分組合以產(chǎn)生第一發(fā)送分組(B1S1),和用于將第二有效數(shù)據(jù)塊(B2)和第二有效數(shù)據(jù)塊(B2)的作為簽名(S2)的第二部分組合以產(chǎn)生第二發(fā)送分組(B2S2)。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)發(fā)送器(100)���,其中所述編碼裝置(104)被構(gòu)造用于利用密鑰(kID)來對第一有效數(shù)據(jù)塊(B1)和第二有效數(shù)據(jù)塊(B2)編碼����,以獲得第一編碼結(jié)果 (VE1)和第二編碼結(jié)果(VE2)���。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)發(fā)送器(100)�,其中所述編碼裝置(104)被構(gòu)造用于利用第一密鑰GO對第一有效數(shù)據(jù)塊(B1)編碼和利用第二密鑰(k2)對第二有效數(shù)據(jù)塊(B2) 編碼�,其中所述編碼裝置(104)被構(gòu)造用于從第一編碼結(jié)果(VE1)、第一有效數(shù)據(jù)塊(B1)或第一密鑰GO的組合中獲得第二密鑰(k2)��。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)發(fā)送器��,其中所述編碼裝置具有XOR門或者XNOR門,第一編碼結(jié)果(VE1)�、第一有效數(shù)據(jù)塊(B1)或第一密鑰GO能施加到所述M)R門或者XNOR門上。
5.根據(jù)權(quán)利要求1至4之一所述的數(shù)據(jù)發(fā)送器(100)�����,其中所述編碼裝置(104)被構(gòu)造用于在編碼前將第二有效數(shù)據(jù)塊(B2)與第一編碼結(jié)果(VE1)組合����。
6.根據(jù)權(quán)利要求1至5之一所述的數(shù)據(jù)發(fā)送器(100)���,其中所述編碼裝置(104)被構(gòu)造用于在編碼前將第一有效數(shù)據(jù)塊(B1)與初始矢量(IV)組合�����。
7.根據(jù)權(quán)利要求6所述的數(shù)據(jù)發(fā)送器�,該數(shù)據(jù)發(fā)送器還具有請求-應(yīng)答裝置(112)���,該請求-應(yīng)答裝置被構(gòu)造用于獲得隨機(jī)數(shù)(R;RT���,Rp, rT, rP),該隨機(jī)數(shù)是真實(shí)的或偽隨機(jī)的���, 其中所述編碼裝置(104)被構(gòu)造用于將所述隨機(jī)數(shù)(R;I T�����,I P�,rT,rp)或所述隨機(jī)數(shù)(R;I T�����, Rp, rT�����,rP)的編碼版(r����,r',cP, cP'����,cT, cT')用作為初始矢量(IV)。
8.根據(jù)權(quán)利要求7所述的數(shù)據(jù)發(fā)送器(100)�,其中所述編碼裝置(104)被構(gòu)造用于在使用所述隨機(jī)數(shù)(R ;RT, Rp, rT���,rP)或所述隨機(jī)數(shù)(R �;RT, Rp, rT,rP)的編碼版(r���,r'���,cP, Cp'��,cT���,c/ )的情況下執(zhí)行請求-應(yīng)答檢查�,其中所述編碼裝置(104)被構(gòu)造用于當(dāng)所述請求-應(yīng)答檢查成功時將所述隨機(jī)數(shù)(R ���;RT, Rp, rT�,rP)或所述隨機(jī)數(shù)(R ����;RT, Rp, rT,rP)的編碼版(r���,r'��,Cp, Cp'��,cT, ct')用作初始矢量(IV)。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)發(fā)送器(100),其中所述請求-應(yīng)答裝置(11 還被構(gòu)造用于在執(zhí)行請求-應(yīng)答檢查之前已提供偽簽名�,并且所述消息格式化器還被構(gòu)造用于將至少所述第一有效數(shù)據(jù)塊(B1)與所述偽簽名組合以產(chǎn)生至少第一發(fā)送分組(B1S1)15
10.根據(jù)權(quán)利要求1至9之一所述的數(shù)據(jù)發(fā)送器(100)��,其中所述編碼裝置具有塊填充器000)�,所述塊填充氣被構(gòu)造用于填充第一有效數(shù)據(jù)塊(B1)和第二有效數(shù)據(jù)塊(B2)以獲得經(jīng)過填充的有效數(shù)據(jù)塊,其中所述編碼裝置(104)被構(gòu)造用于在使用所述經(jīng)過填充的有效數(shù)據(jù)塊的情況下獲得第一編碼結(jié)果(VE1)和第二編碼結(jié)果(VE2)����;其中所述提取器(108)被構(gòu)造用于如此提取出第一編碼結(jié)果(VE1)的部分和第二編碼結(jié)果(VE2)的部分,即第一部分小于第一有效數(shù)據(jù)塊(B1)并且第二部分小于第二有效數(shù)據(jù)塊(B2)��;并且其中消息格式化器(110)被構(gòu)造用于將填充前的第一有效數(shù)據(jù)塊(B1)和填充前的第二有效數(shù)據(jù)塊(B2)用于產(chǎn)生第一發(fā)送分組(B2S1)和第二發(fā)送分組(Bj2)����。
11.根據(jù)權(quán)利要求1至10之一所述的數(shù)據(jù)發(fā)送器(100),其中所述編碼裝置(104)被構(gòu)造用于將第一編碼結(jié)果(VE1)用作用于第二有效數(shù)據(jù)塊(B2)的編碼的密鑰��。
12.根據(jù)權(quán)利要求1至11之一所述的數(shù)據(jù)發(fā)送器(100)�,其中所述提取器(108)被構(gòu)造用于作為第一編碼結(jié)果(VE1)的部分和第二編碼結(jié)果(VE2)的部分提取出一定數(shù)量的位, 這些位小于第一編碼結(jié)果(VE1)和第二編碼結(jié)果(VE2)的位的1/8�。
13.根據(jù)權(quán)利要求12所述的數(shù)據(jù)發(fā)送器(100),其中所述提取器(108)被構(gòu)造用于作為第一編碼結(jié)果(VE1)的部分和第二編碼結(jié)果(VE2)的部分提取出最低值的位�����。
14.根據(jù)權(quán)利要求1至13之一所述的數(shù)據(jù)發(fā)送器(100),其中所述編碼裝置被構(gòu)造用于對至少十個跟隨第二有效數(shù)據(jù)塊(B2)的有效數(shù)據(jù)塊(Bi)編碼以獲得另外的編碼結(jié)果 (VEi),其中每個另外的有效數(shù)據(jù)塊(Bi)依據(jù)在先的編碼結(jié)果(VEp1)被編碼�����;其中所述提取器(108)還被構(gòu)造用于提取每個另外的編碼結(jié)果(VEi)的一部分����,其中所提取的部分分別小于相應(yīng)的編碼結(jié)果(VEi)的位的1/8 ;其中所述消息格式化器(110)還被構(gòu)造用于將所述另外的有效數(shù)據(jù)塊(Bi)與所述另外的部分組合以產(chǎn)生另外的發(fā)送分組(BiSi)15
15.根據(jù)權(quán)利要求1至14之一所述的數(shù)據(jù)發(fā)送器(100)��,該數(shù)據(jù)發(fā)送器具有以下特征 再同步裝置(114)�����,該再同步裝置被構(gòu)造用于依據(jù)至少一個再同步事件來如此控制所述編碼裝置(104)���,即第一編碼結(jié)果不取決于時間上在先的編碼結(jié)果并且用于第一有效數(shù)據(jù)塊(B1)的編碼的輸入只取決于預(yù)定數(shù)據(jù),并且至少第二編碼結(jié)果(VE2)取決于第一編碼結(jié)果(VE1),其中所述預(yù)定數(shù)據(jù)包括存儲在存儲器中的初始矢量(IV)���、由請求-應(yīng)答裝置 (112)新獲得的隨機(jī)數(shù)(R;RT��,RP����,rT,rP)或者隨機(jī)數(shù)(R ;&�����,&����,rT,rP)的編碼版(r����,r',cP�����, Cp' , CT, Ct')或有效數(shù)據(jù)塊�����。
16.一種數(shù)據(jù)接收器(120)���,具有以下特征接收裝置(122)�,用于接收發(fā)送分組(Bi' Si'),其中每個接收的發(fā)送分組(Bi' Si') 具有接收的有效數(shù)據(jù)塊(Bi')和接收的簽名(Si')�;消息提取器(IM),用于提取接收的發(fā)送分組(Bi' Si')以獲得接收的有效數(shù)據(jù)塊 (Bi')和接收的簽名(Si')����;編碼裝置(1 ),用于對接收的有效數(shù)據(jù)塊(Bi')編碼以獲得編碼結(jié)果(VEi*)�; 提取器(1 ),用于提取編碼結(jié)果(VEi*)的一部分以獲得參考簽名(Si*)�����;以及比較裝置(130)����,用于將接收的簽名(Si*)和參考簽名(Si*)比較��, 其中所述編碼裝置(126)和所述提取器(128)被構(gòu)造成����,使得在有效的發(fā)送分組 (Bi' Si')的情況下,所述接收的簽名(Si')等于所述參考簽名(Si*)��。
17.根據(jù)權(quán)利要求16所述的數(shù)據(jù)接收器(120)�����,該數(shù)據(jù)接收器還具有請求-應(yīng)答裝置 (136),該請求-應(yīng)答裝置被構(gòu)造用于獲得隨機(jī)數(shù)(R ;RT, Rp, rT, rP)���,該隨機(jī)數(shù)是真是的或偽隨機(jī)的�,其中所述編碼裝置(126)被構(gòu)造用于將所述隨機(jī)數(shù)(R;I T���,I P�,rT����,rp)或所述隨機(jī)變量(R ;RT,Rp, rT�����,rP)的編碼版(r��,r'��,cP, cP'�����,cT, cT')用作初始矢量(IV)或密鑰。
18.根據(jù)權(quán)利要求17所述的數(shù)據(jù)接收器(120)���,其中所述請求-應(yīng)答裝置(136)被構(gòu)造用于執(zhí)行請求-應(yīng)答檢查���,其中所述編碼裝置(126)被構(gòu)造用于當(dāng)請求-應(yīng)答檢查成功時將所述隨機(jī)數(shù)(R ;RT, Rp, rT�,rP)或所述隨機(jī)數(shù)(R ;RT, Rp, rT�����,rP)的編碼版(r����,r',cP, cP'�, cT,cT‘)用作初始矢量(IV)或密鑰�。
19.根據(jù)權(quán)利要求16至18之一所述的數(shù)據(jù)接收器(120)����,該數(shù)據(jù)接收器還具有輸出裝置(134),該輸出裝置被構(gòu)造用于在有效的發(fā)送分組(Bi' Si')的情況下輸出接收的有效數(shù)據(jù)塊(Bi')和在無效的發(fā)送分組(Bi' Si')的情況下拋棄接收的有效數(shù)據(jù)塊(Bi')。
20.根據(jù)權(quán)利要求16至19之一所述的數(shù)據(jù)接收器(120)�����,該數(shù)據(jù)接收器還具有再同步裝置(138)���,該再同步裝置被構(gòu)造用于在有效的發(fā)送分組(Bi' Si')的情況下輸出再同步事件并如此控制所述編碼裝置(1 )��,即第一編碼結(jié)果(VEi*)與時間上在先的編碼結(jié)果 (VEp1*)無關(guān)��,并且用于編碼第一有效數(shù)據(jù)塊(B/ )的輸入只與預(yù)定數(shù)據(jù)相關(guān)��,并且至少第二編碼結(jié)果(VE2*)與第一編碼結(jié)果(VE1*)相關(guān)�,其中該預(yù)定數(shù)據(jù)包括存儲在存儲器中的初始矢量(IV)或密鑰��、由請求-應(yīng)答裝置(136)新獲得的隨機(jī)數(shù)(R ;RT��,Rp, rT���,rP)或所述隨機(jī)數(shù)(R �;RT, Rp, rT�����,rP)的編碼版(r,r'����,cP, cP',cT, cT')或有效數(shù)據(jù)塊(B/ )��。
21.根據(jù)權(quán)利要求16至20之一所述的數(shù)據(jù)接收器(120)��,該數(shù)據(jù)接收器還具有差錯計數(shù)器(140)�,該差錯計數(shù)器被構(gòu)造用于計數(shù)每個接收的發(fā)送分組(Bi' Si')和每個無效的發(fā)送分組(Bi' Si')以確定差錯率,其中所述差錯計數(shù)器(140)被構(gòu)造用于只將預(yù)定數(shù)量的最后接收的和前后相繼的發(fā)送分組(Bi' Si')用于確定差錯率����,其中所述輸出裝置 (134)被構(gòu)造用于如果所述差錯率超過預(yù)定值則拋棄接收的有效數(shù)據(jù)塊(Bi')和所有后續(xù)的有效數(shù)據(jù)塊(Bi+1')。
22.一種用于發(fā)送前后相繼的有效數(shù)據(jù)塊的方法����,具有以下步驟對第一有效數(shù)據(jù)塊編碼以獲得第一編碼結(jié)果并且對跟隨第一有效數(shù)據(jù)塊的第二有效數(shù)據(jù)塊編碼以獲得第二編碼結(jié)果,其中在對第二有效數(shù)據(jù)塊編碼時使用第一編碼結(jié)果�����;提取第一編碼結(jié)果的小于該第一編碼結(jié)果的一部分和第二編碼結(jié)果的小于該第二編碼結(jié)果的一部分�;并且將第一有效數(shù)據(jù)塊和作為第一有效數(shù)據(jù)部分的簽名的第一部分組合以產(chǎn)生第一發(fā)送分組,并且將第二有效數(shù)據(jù)塊和作為第二有效數(shù)據(jù)塊的簽名的第二部分組合以產(chǎn)生第二發(fā)送分組�。
23.一種用于接收分別具有有效數(shù)據(jù)塊和簽名的發(fā)送分組的方法,具有以下特征提取接收的發(fā)送分組以獲得收到的有效數(shù)據(jù)塊和接收的簽名���;對接收的有效數(shù)據(jù)塊編碼以獲得編碼結(jié)果��;提取編碼結(jié)果的一部分以獲得參考簽名�����;并且將接收的簽名與參考簽名比較��,其中在有效的發(fā)送分組的情況下����,接收的簽名等于參考簽名��。
24.一種計算機(jī)程序�,用于在該計算機(jī)程序在計算機(jī)或微處理器上運(yùn)行時執(zhí)行根據(jù)權(quán)利要求22或23所述的方法。
全文摘要
本發(fā)明提供用于發(fā)送前后相繼的有效數(shù)據(jù)塊的數(shù)據(jù)發(fā)送器(100)��,具有以下特征編碼裝置(104)����,用于編碼第一有效數(shù)據(jù)塊(B1)以獲得第一編碼結(jié)果(VE1)并用于編碼跟隨第一有效數(shù)據(jù)塊(B1)的第二有效數(shù)據(jù)塊(B2)以獲得第二編碼結(jié)果(VE2),其中編碼裝置(104)被構(gòu)造用于在編碼第二有效數(shù)據(jù)塊(B2)時使用第一編碼結(jié)果(VE1)���;提取器(108)�,用于提取第一編碼結(jié)果(VE1)的小于第一編碼結(jié)果(VE1)的一部分和第二編碼結(jié)果(VE2)的小于第二編碼結(jié)果(VE2)的一部分;以及消息格式化器(110)�����,用于將第一有效數(shù)據(jù)塊(B1)和作為第一有效數(shù)據(jù)塊(B1)的簽名(S1)的第一部分組合以產(chǎn)生第一發(fā)送分組(B1S1)并用于將第二有效數(shù)據(jù)塊(B2)和作為第二有效數(shù)據(jù)塊(B2)的簽名(S2)的第二部分組合以產(chǎn)生第二發(fā)送分組(B2S2)����。
文檔編號H04L9/18GK102457380SQ201110403270
公開日2012年5月16日 申請日期2011年10月14日 優(yōu)先權(quán)日2010年10月15日
發(fā)明者B·加梅爾, L·博勒諾, M·布勞爾 申請人:英飛凌科技股份有限公司