专利名称:用于认证便携式数据载体的方法
技术领域:
本发明涉及一种用于向终端设备认证便携式数据载体的方法,并涉及从而适配的数据载体和终端设备。
背景技术:
便携式数据载体(例如以电子身份文件的形式)包括具有处理器和存储器的集成电路。在存储器中,存储有与数据载体的使用者有关的数据。在处理器上,可以执行认证应用,经由该认证应用,数据载体可以向终端设备认证它自己(例如在身份文件的情况下在界限控制等时)。在这样的认证方法期间,通过秘密通信密钥来准备数据载体与终端设备之间的安全数据通信,例如通过根据Diffie和Hellman的已知密钥(key)交换方法或其它合适的方法而协商该秘密通信密钥,其用于对称地加密随后的数据通信。此外,至少终端通常例如使用证书验证数据载体的真实性。为了执行用于协商秘密通信密钥的方法,终端和数据载体必须分别使得秘密密钥和公共密钥可用。数据载体的证书可以例如与其公共密钥有关。当具有由公共密钥(public key)和秘密密钥(secret key)组成的独有密钥对的数据载体的集合或组的每个数据载体被个人化时,关于数据载体的使用者的匿名性的问题产生。从而将可以将数据载体的每次采用与对应的使用者唯一地关联,并例如如此创建使用者的完整移动简档。为了考虑此方面,已经提出为多个数据载体或一组数据载体分别配备由公共组密钥(public group key)和秘密组密钥(secret group key)组成的相同的所谓组密钥对。这使得可以至少在该组内恢复使用者的匿名性。此解决方案是不利的,因为如果该组数据载体中的一个被损害(compromise),则必须替换整组数据载体。例如,如果该组数据载体中的一个的秘密组密钥已经被窥探出,则不能再安全地使用该组数据载体。必要的替换计划的精力和成本可能是巨大的。
发明内容
本发明的目的是提出一种保护使用者的匿名性的认证方法,并且其中,数据载体中的一个的损耗对其它数据载体的安全性不具有不利影响。通过具有独立权利要求的特征的方法、数据载体、终端设备和系统来实现此目的。在从属权利要求中陈述了有利实施例和发展。根据本发明的一种用于向终端设备认证便携式数据载体的方法采用所述数据载体的公共密钥和秘密密钥、以及所述终端设备的公共会话密钥(public session key)和秘密会话密钥(secret session key)。所述数据载体采用公共组密钥作为公共密钥。所述数据载体采用从与所述公共组密钥关联的秘密组密钥得出的秘密密钥作为秘密密钥。在根据本发明的方法中,不再需要将秘密组密钥存储在数据载体中。因此,当对数据载体攻击时,无法窥探出这种密钥。可以进一步使用一组数据载体中的其它未被攻击的数据载体的秘密会话密钥。使用对于数据载体独有的公共密钥追踪该数据载体是不可能的,因为在该数据载体中不存在这种东西。所采用的公共密钥是并非对于该数据载体独有的、而是对于该组的所有数据载体相同的公共组密钥。在这点上,一组中的所有数据载体是无法区分的。因此,可以维持使用者的匿名性。优选地,在认证方法的进一步执行之前,所述数据载体的秘密密钥分别被从所述秘密密钥得出的所述数据载体的秘密会话密钥替换。也就是,所述数据载体在每次执行时利用不同秘密密钥执行认证方法。因此,所述数据载体的秘密密钥被配置为所述数据载体的秘密会话密钥。在本发明的框架内,会话密钥始终被理解为为每个“会话”(即,当每次执行这里的认证方法时)新确定的密钥。不同的会话密钥通常是不同的,即,第一会话中的会话密钥的值不同于随后的第二会话的会话密钥的值。不可能从较早的会话密钥推断出随后采用的会话密钥,反之亦然。因此,同样不可能使用数据载体的秘密密钥追踪数据载体的使用者。还可以在另一已知方法中(例如,在用于向数据处理设备认证的挑战-响应(challenge-response)方法中)使用数据载体的秘密密钥。然而,因为根据本发明,秘密密钥是会话密钥,即,当每次使用时具有不同的值,所以无法仅仅从秘密密钥推断出数据载体的身份。因此,在这点上还可以维持使用者的匿名性。根据本发明的便携式数据载体包括处理器、存储器、向终端设备的数据通信接口、以及认证装置。所述认证装置被适配为在采用数据载体的公共密钥和秘密密钥、以及终端设备的公共会话密钥和秘密会话密钥的同时执行向终端设备的认证。所述认证装置还被适配为将数据载体的秘密密钥分别用从该秘密密钥得出的数据载体的秘密会话密钥替换。这样,如所述的,对于每次执行认证方法,可以利用数据载体的会话特定的秘密密钥实现。根据本发明的用于与根据本发明的便携式数据载体数据通信的终端设备被适配为在采用数据载体的公共密钥和秘密密钥、以及终端设备的公共会话密钥和秘密会话密钥的同时执行向便携式载体的认证。根据本发明的系统包括根据本发明的数据载体以及根据本发明的终端设备。这些被分别适配为执行根据本发明的认证方法。在方法的框架内,通过数据载体的公共组密钥和秘密密钥、以及终端设备的公共会话密钥和秘密会话密钥,在数据载体与终端设备之间协商通信密钥。因而,此通信密钥仅对这两方可用。在这个意义上,其是秘密通信密钥。例如,可以通过DifTie-Hellman密钥交换方法来实现这样的密钥协商。同样可以使用其它相当的方法。协商通信密钥可以被认作数据载体与终端设备之间的隐性认证的形式。如果可以在数据载体与终端设备之间对于两方均成功实现通过所协商的通信密钥加密的随后的数据通信,则一方相应地被另一方认为被成功认证。优选地,终端设备通过公共组密钥的证书验证被采用作为数据载体的公共密钥的公共组密钥。为此,数据载体可以以合适的方式使得终端设备的对应证书可用。例如,数据载体可以将证书发送给终端设备。还可以将证书保持在数据载体的可自由读取的存储区域中。验证证书的步骤可以被认作认证方法的部分,其中数据载体通过证书向终端设备识别它自己。这样,数据载体可以被认证为与组密钥对关联的组中的数据载体,但不被使用对于数据载体独有的证书而追踪,根据本发明不提供该证书。在数据载体上仅存储公共组密钥的证书,该证书对于该组的所有数据载体相同,由此在这点上也维持数据载体的使用者的匿名性。同样地,终端可以通过类似的证书向数据载体识别它自己。优选地,在采用第一随机数的同时从秘密组密钥得出数据载体的秘密密钥。为此,可以采用任何合适的操作,其特别地可以采取秘密组密钥和第一随机数作为输入数据,并将它们处理为对于数据载体独有的秘密密钥。例如,可以使用数学运算,诸如乘法、取幂等。例如,可以在数据载体的制造期间(例如,在个人化阶段中)实现从秘密组密钥得出秘密密钥。然后,在数据载体中存储数据载体的秘密密钥。在此阶段中,还可以将与此密钥有关的公共组密钥和证书合并到数据载体中。在执行认证方法之后分别替换数据载体的当前秘密密钥的数据载体的秘密会话密钥可以以不同方式从当前秘密密钥得出。在数据载体中实现所述得出。因为已经从秘密组密钥得出了原始秘密密钥,并且从数据载体的相应当前秘密密钥推出数据载体的每个会话密钥(所述每个会话密钥然后替换所述相应当前秘密密钥),所以也从秘密组密钥间接得出数据载体的每个会话密钥。然而,不可能从数据载体的秘密会话密钥推断出秘密组密钥。例如,可以实现用数据载体的所得出的秘密会话密钥替换秘密密钥,使得秘密密钥被得出的会话密钥“覆写(overwritten)”,S卩,秘密密钥采取所得出的会话密钥的值。删除秘密密钥的在前值。也就是,数据载体始终具有在根据本发明的方法中采用的“该”秘密密钥。然而,该秘密密钥的值在两次执行该方法之间改变。因此,数据载体因此分别具有会话特定的秘密密钥。基于会话参数实现从当前秘密密钥得出秘密会话密钥。根据第一实施例,可以在采用随机数的同时从秘密密钥得出数据载体的秘密会话密钥。也就是,随机数表示会话参数。这样做,为数据载体的会话密钥的每次得出而分别采用新随机数。可以在数据载体中产生随机数。在该得出之后,删除随机数。这使得不可能从所得出的会话密钥推断出为该得出所采用的秘密密钥。根据替代实施例,可以依赖于终端设备使得可用的值而确定会话参数。例如,这个值可以采取终端设备的公共区域(sector)密钥的形式,并且被使得在已经在数据载体与终端之间实现认证之后对于数据载体可用。现在,在数据载体中使用此区域密钥,用于以合适的方式得出秘密会话密钥。为了得出数据载体的秘密会话密钥,当然还可以采用若干会话参数,S卩,例如随机数和终端参数。根据优选实施例,通过对指定的本原根取秘密组密钥次幂来确定公共组密钥。然后,在此实施例中,通过将秘密组密钥乘以第一随机数来形成原始秘密密钥。最后,通过对本原根取第一随机数的倒数次幂而形成数据载体的第一底数(base)。然后,如果需要,则通过将当前秘密密钥乘以会话参数而确定数据载体的秘密会话密钥。数据载体通过对第一底数取会话参数的倒数次幂而确定会话底数。恰似用于准备进一步执行认证方法的秘密会话密钥的计算一样,实现会话底数的计算。如所提及的,例如可以由第二随机数或者依赖于终端设备的参数指定会话参数。然后,以所述方式用数据载体的秘密会话密钥替换数据载体的秘密密钥。以同样的方式,用会话底数替换第一底数,即,用会话底数的值替换第一底数的值。因此,数据载体的第一底数也可以被认为是会话特定的,如同秘密密钥一样。数据载体例如通过将第一底数(即其当前值)发送至终端设备或者以可自由读取的方式保持该第一底数,使得该第一底数对于终端设备可用。然后,终端设备通过对被数据载体使得可用的第一底数取终端设备的秘密会话密钥次幂,来确定其公共会话密钥。终端设备以会话特定的方式分别产生所述设备的秘密会话密钥。最后,终端设备将如所述确定的公共会话密钥发送至数据载体。因此,在数据载体与终端设备之间交换用于协商通信密钥所必须的数据。数据载体通过对终端设备的所接收的公共会话密钥取其自己的秘密密钥次幂,来计算用于其部分的通信密钥。终端设备通过对公共组密钥(即,数据载体的公共密钥)取终端设备自己的秘密会话密钥次幂,来确定用于其部分的通信密钥。根据此实施例,随后、或者替代地在协商会话密钥之前,终端设备也可以通过如所述由数据载体使得对于其可用的证书来检查数据载体的公共密钥(即,公共组密钥)。
在下文中,将参考附图,通过示例描述本发明。其中示出:图1示意性地示出根据本发明的数据载体的优选实施例,图2和图3示出根据本发明的方法的优选实施例的用于向终端设备认证来自图1的数据载体的步骤,以及图4示出来自图2和图3的方法的用于使得会话特定的数据载体参数可用的附加步骤。
具体实施例方式参考图1,这里被表示为芯片卡的数据载体10包括数据通信接口 20、20’、处理器30、以及不同的存储器40、50和60。数据载体10还可以以不同设计来呈现。作为数据通信接口 20、20’,数据载体10包括用于接触型数据通信的接触垫20、以及用于无接触数据通信的天线线圈20’。可以提供替代的数据通信接口。数据载体10还可以仅支持一种数据通信,即仅仅接触型或无接触型。非易失性不可重写ROM存储器40包括数据载体10的操作系统(0S)42,其控制数据载体10。也可以将操作系统42的至少部分存储在非易失性可重写ROM存储器50中。后者可以例如被呈现为快闪(FLASH)存储器。存储器50包括认证装置52,通过其可以执行数据载体10向终端设备的认证。这样做,同样存储在存储器中的密钥54、56、另外的值57、以及数字证书58找到它们的应用。将参考图2和图3更准确地描述认证装置52、密钥54、56、值57和证书58的工作方式、以及它们在认证方法期间的作用。存储器50可以包含另外的数据,例如与使用者有关的数据。易失性可重写RAM存储器60作为工作存储器服务于数据载体10。
如果数据载体10是例如电子身份文件,则数据载体10包括另外的特征(未示出)。它们可以被可见地施加(例如压印)在数据载体10的表面上,并例如通过使用者的名字或照片指明数据载体的使用者。参考图2和图3,现在将更准确地描述用于向终端设备认证数据载体10的方法的实施例。图2示出预备步骤。这些可以例如在数据载体10的制造期间(例如在个人化阶段中)执行。在第一步骤SI中,形成秘密组密钥SKG和公共组密钥PKG。作为对以指定质数P为模的指定本原根g的取幂的结果而计算公共组密钥PKG。在下文中描述的所有计算都将理解为以质数P为模,而并不总是明确声明此。两个密钥SKG和PKG形成组密钥对,并使得下文描述的用于一组类似的数据载体10的密钥架构的基础可用。在此点上应注意,可以不仅在一组以P为模的本原剩余类(primitive residueclass)上、而且在任意组(这里被理解为数学结果,而不与上述数据载体组混淆)上(例如也基于椭圆曲线),执行在本发明的框架内呈现的所有计算(即,乘法和取幂)。在步骤S2中,形成证书CPKe,其用于公共组密钥PKG的验证。步骤S3发生在数据载体10的个人化期间。这里,表示指定组的数据载体中的数据载体的数据载体10配备有密钥对。公共组密钥PKG作为公共密钥而服务于数据载体10。以随机方式(即,采用随机数RND1)从秘密组密钥SKG得出数据载体10的秘密密钥SK1。这样,通过各个不同的秘密密钥SK1,该组的每个数据载体10配备与该组的另一数据载体的对应密钥对不同的密钥对(由于在密钥得出时的随机成分)。另一方面,该组的所有数据载体10包括相同的公共密钥。此外,已经从相同的秘密组密钥得出了该组数据载体的所有秘密密钥。在子步骤TS31中,通过将秘密组密钥SKG乘以随机数RNDl而得出对数据载体独有的秘密密钥SKl。在另外的步骤TS32中,从本原根g开始计算第一底数gl。这样做,对本原根g取随机数RNDl的倒数次幂,随机数RNDl已经被用于确定秘密密钥:gl:=g~ (1/RND1)。这里,随机数RNDl的倒数1/RND1形成随机数RNDl关于以质数p为模的乘法的乘法逆元。在子步骤TS33中,将密钥SKl和PKG与底数gl和证书CPKG —起存储在数据载体10中。随机数RNDl不存储在数据载体10中。因此,数据载体10被适配为通过其认证装置52执行向终端设备的认证,如将参考图3而更准确描述的。在步骤S4中,数据载体10使得相互认证所必须的数据对于终端装置可用。为了协商通信密钥KK,在所述实施例中,终端设备需要底数gl和公共组密钥PKG。为了验证所述通信密钥KK,终端设备需要对应证书CPKe。数据载体10可以将数据载体10的这些参数发送至终端设备。还可以将这些值存储在数据载体10的可自由读取的存储区域中,并由终端设备在需要时读出。在步骤S5中,终端设备准备认证。为此,终端设备产生秘密会话密钥SKT。例如,这可以例如以随机方式完成。终端设备通过对由数据载体10使得可用的底数gl取其自己的秘密会话密钥次幂而计算终端设备的公共会话密钥:PKT:=gl"SKTO可选地,终端设备可以确认(validate) gl和/或PKT,即,特别地针对特定标准检查它们。因此,终端可以辨识处通过为gl聪明地选择的值而对秘密会话密钥SKt的攻击,终端然后可以异常中断(abort)处理或拒绝进一步通信。终端设备例如通过将公共会话密钥PKt发送至数据载体10,使得公共会话密钥PKt对于数据载体10可用。在下面的步骤S6中,现在具体协商通信密钥KK。数据载体10通过对终端设备的公共会话密钥PKt取其自己的秘密密钥SKl次幂而计算此通信密钥KK:KKdt: =PKt ~ SKI=(grSKT)~SKl(PKt 的定义)=((g~(l/RNDl)~SKT)~SKl(gl 的定义)=((g~ (I/RNDI) ~SKT) ~ (SKG*RND1) (SKI 的定义)= (g~ ((1/RND1) *SKT*SKG*RND1) (变形)=g~ (SKT*SKG)终端设备通过对公共组密钥PKG取终端设备的秘密会话密钥SKt次幂,计算通信密钥KK:KKT: =PKG ~ SKt=(g~SKG)~SKT (PKG 的定义)=g~ (SKT*SKG) (变形)因此,显然,数据载体10和终端设备由于对于它们分别可用的数据而得到相同的结果。在步骤S7中,最后,终端设备检查公共组密钥PKG的证书CPKe。还可以替代地在协商步骤S6中地通信密钥KK、以及/或者步骤S5中的秘密会话密钥SKt之前实现证书的此检查。因此,完成在数据载体10与终端设备之间的认证。为了防止数据载体10在随后通过举例所述的方法向同一或另一终端设备进一步认证时能够被识别以及与使用者唯一地关联,在数据载体10中使得会话特定的数据载体参数可用。这与秘密密钥SKl和底数gl有关。如所述的,后者被传递至终端设备、或者在该认证方法的框架内以不同方式被使得对于终端设备可用。因此,可以采用对于数据载体独有的未改变的底数gl,用于识别数据载体10。如果数据载体10的秘密密钥SKl在统计上对于数据载体是独有的、并例如被在挑战-响应方法的框架内使用,则这同样适用于数据载体10的秘密密钥SKl。在下文中将参考图4描述在数据载体内产生会话特定的数据载体参数。在步骤S8中,示出了在数据载体10中得出秘密会话密钥SKs。为此,在数据载体10中使得以随机数RNSs形式的会话参数可用。将当前秘密密钥SKl乘以随机数RNSs,由此得出数据载体10的秘密会话密钥SKs:SKs:=SKl*RNSs。随后,在步骤S9中,用会话密钥的值替换当前秘密密钥SKl的值:
SK1: =SKs。因此,数据载体10的秘密密钥SKl是会话特定的。不能使用秘密密钥SKl追踪数据载体10,因为秘密密钥SKl在每两个执行的认证方法之间以所述方式改变。
同样地,如步骤SlO和Sll中所示,用会话底数gs替换底数gl (gl:=gs),之前通过对底数gl取随机数RNSs的倒数次幂而计算该会话底数gs:gs:=gr (l/RNSs)。因此,数据载体10的底数gl也始终是会话特定的,并且,不能使用传递至终端设备的底数gl追踪数据载体10。随后删除随机数RNSs。因此,同样排除推断出在前会话参数。代替随机数RNSs、或者在随机数RNSs之外附加地,还可以采用另一会话参数。后者还可以依赖于由终端装置使得可用的值(例如在向数据载体10的成功认证之后)。依赖于由终端设备使得可用的值,在数据载体内部计算对应会话参数。然后可以使用如此计算的会话参数,例如代替在步骤S8和SlO中为了产生秘密会话密钥或会话底数而采用的随机数RNSs,并随后删除。因此,数据载体10处理会话特定的参数,用于执行下个认证方法。根据优选实施例,终端设备使得所谓的公共区域密钥PKsk对于数据载体10可用。然后,数据载体10可以依赖于该公共区域密钥PKsk计算当前会话参数,如在下文中所述。这里,公共区域密钥PKsrc是区域密钥对(PKSE。,SKsec)的部分,对应的秘密区域密钥SKse。对于终端设备本身不可用,而仅对于更高层区组化实体(higher-level blockingentity)可用,在不同的所谓区域中的不同终端设备从属于该更高层区组化实体。也就是,区组化实体管理不同区域(例如不同的行政管理区(administrative district)等)中的不同终端设备。在所述区域密钥对(PKSE。,SKSE。)之外,数据载体10还可以包括对应的数据载体区域密钥对(PKDse。,SKDsk),其包括秘密数据载体区域密钥SKDse。和公共数据载体区域密钥PKDse。。后者存储在区组化实体可以访问的数据库中。所述区域密钥用于使得数据载体10可以被至少在一区域内的终端设备识别。区组化实体还可以使用此识别用于区组化的目的。使用在终端设备与数据载体10之间协商的值1^来实现数据载体10的识别。终端设备通过使得其公共区域密钥PKse。对于 数据载体10可用来计算此值。数据载体10通过其秘密数据载体区域密钥SKDsrc从该公共区域密钥PKsrc得出值,例如,如从DifTie-Hellman密钥交换方法已知的。然后通过哈希函数H压缩此值,并使得此值对于终端设备可用。终端设备将所接收的值Isrc与终端设备已经从区组化实体接收的对应值相比较。仅区组化实体能够依赖于存储在数据库中的公共数据载体区域密钥PKDse。、以及秘密区域密钥SKse。,计算用于其部分的值ISE。。因此,值Ise。依赖于区域,并依赖于数据载体10。区组化实体拥有从属于它的区域的所有秘密区域密钥。现在,值Isec在数据载体10内用作会话参数。也就是,类似于步骤S8和S10,用Isec代替_Ss,实现秘密会话密钥SKs和会话底数gs的计算。现在可以提供将第一底数gl独立地存储在数据载体10中(例如作为gB)。此底数gB服务于检查的目的(如在下文中所述)并且不被覆写。此外,对于每个会话(即,对于每个在数据载体10与终端设备之间执行的认证方法),可以参考该会话(即,该会话在实现的顺序中的编号i),将由终端设备使得可用的公共区域密钥PKSK;i存储在数据载体10中。这仅仅涉及公共数据。因此,在这些数据被窥探出的情况下,不存在安全风险。根据本发明,这些数据仅仅在向区组化实体呈现数据载体10用于检查时可被区组化实体读取。代替公共密钥,也可以存储颁发者(certifying body)的标识符(例如,根据IS0/IEC7816-4的发行者识别(Issuer Identification))。因为区组化实体知道公共数据载体区域密钥PKDsk (从数据库)、以及用于从属于该区组化实体的所有区域的所有秘密区域密钥SKSK;i,所以区组化实体能够确定已经在会话i中在数据载体10与这样的区域的终端设备之间协商的值ISEC;i。这样,区组化设备可以基于存储在数据载体10中的值(即,底数gB和用于每个会话i的公共数据载体区域密钥PKDSK;i)计算数据载体中当前存在的底数gs,并从而确认该底数gs。为此,仅仅需要将用于会话i的相应公共区域密钥PKSK;i与用于此会话i的对应值ISK;i关联,并最后通过对值gB(原始gl)取用于各个会话的值ISK;i的乘积的倒数次幂,来重构当前底数gs的计算:gs:-gB (1/(ISEC;1*ISEC;2*IsEC;3...*IsEC;n)。这样,区组化实体可以检查数据载体10是否已经实际以规定方式采用了秘密数据载体区域密钥SKDse。,用于得出底数gs。如果情况不是这样,则数据载体中当前存在的底数会偏离由区组化实体计算的底数gs。不拥有正确的秘密数据载体区域密钥SKDsk的伪造数据载体10可以被区组化实体以此方式清楚地辨识出,并随后在使用的情况下阻止。
权利要求
1.一种用于在采用便携式数据载体(10)的公共密钥(PKG)和秘密密钥(SK1)、以及终端设备的公共会话密钥(PKt)和秘密会话密钥(SKt)的同时向所述终端设备认证所述便携式数据载体(10)的方法,其特征在于,所述数据载体(10) 采用公共组密钥(PKG)作为公共密钥(PKG),以及 采用从与所述公共组密钥(PKG)关联的秘密组密钥(SKG)得出的秘密密钥(SKl)作为秘密密钥(SKl)。
2.如权利要求1所述的方法,其特征在于,在所述认证方法的进一步执行之前,用从所述秘密密钥(SKl)得出的所述数据载体(10 )的秘密会话密钥(SKs)替换所述数据载体(10 )的秘密密钥(SKl)。
3.如权利要求1或2所述的方法,其特征在于,通过所述数据载体(10)的公共组密钥(PKG)和秘密密钥(SKl )、以及所述终端设备的公共会话密钥(PKt)和秘密会话密钥(SKt),优选通过DifTie-Hellman密钥交换方法在所述数据载体(10)与所述终端设备之间协商通信密钥(KK)。
4.如权利要求1至3中的任何一项所述的方法,其特征在于,所述终端设备通过所述公共组密钥(PKG)的证书(Cpk)验证被用作所述数据载体(10)的公共密钥(PKG)的公共组密钥(PKG)。
5.如权利要求1至4中的任何一项所述的方法,其特征在于,在采用第一随机数(RNDl)的同时从所述秘密组密钥(SKG)得出所述秘密密钥(SK1)。
6.如权利要求1至5中的任何一项所述的方法,其特征在于,在采用会话参数的同时从所述秘密密钥(SKl)得出所述数据载体(10)的秘密会话密钥(SKs),至少使得第二随机数(RNDs)和/或所述终端设备的参数可用作会话参数。
7.如权利要求1至6中的任何一项所述的方法,其特征在于,通过对指定的本原根(g)取所述秘密组密钥(SKG)次幂而确定所述公共组密钥(PKG),通过将所述秘密组密钥(SKG)乘以第一随机数(RNDl)而形成所述秘密密钥(SK1),以及通过对所述本原根(g)取所述第一随机数(RNDl)的倒数次幂而形成第一底数值(gl)。
8.如权利要求7所述的方法,其特征在于,通过将所述秘密密钥(SKl)乘以会话参数(RNDs)而确定所述便携式数据载体(10)的秘密会话密钥(SKs),以及对第一底数(gl)取所述会话参数(RNDs)的倒数次幂而形成会话底数(gs),所述会话参数(RNDs)由第二随机数和/或所述终端装置的参数指定,并且,用所述秘密会话密钥(SKs)替换所述秘密密钥(SK1),用所述会话底数(gs)替换所述第一底数(gl)。
9.如权利要求7或8所述的方法,其特征在于,所述数据载体(10)使得所述终端设备的第一底数(gl)可用。
10.如权利要求9所述的方法,其特征在于,通过对由所述数据载体(10)使得可用的第一底数(gl)取所述终端设备的秘密会话密钥(SKt)次幂而确定所述终端设备的公共会话密钥(PKT)。
11.一种便携式数据载体(10),包括处理器(30)、存储器(40 ;50;60)、向终端设备的数据通信接口( 20 ; 20 ’)、以及认证装置(52 ),所述认证装置(52 )被适配为在采用所述数据载体(10)的公共密钥(PKG)和秘密密钥(SKl )、以及所述终端设备的公共会话密钥(PKt)和秘密会话密钥(SKt)的同时向所述终端设备执行认证,其特征在于,所述认证装置(52)还被适配为用从所述秘密密钥(SKl)得出的所述数据载体(10)的秘密会话密钥(SKs)替换所述数据载体(10)的秘密密钥(SKl)。
12.如权利要求11所述的便携式数据载体(10),其特征在于,所述数据载体(10)被适配为根据如权利要求1至10中的任一项所述的方法向终端设备认证它自己。
13.一种用于与如权利要求11或12所述的便携式数据载体(10)进行数据通信的终端设备,其中,所述终端设备被适配为在采用所述数据载体(10)的公共密钥(PKG)和秘密密钥(SK1)、以及所述终端设备的公共会话密钥(PKt)和秘密会话密钥(SKt)的同时向便携式数据载体(10)执行认证。
14.如权利要求13所述的终端设备,其特征在于,所述终端设备被适配为在结合所述终端设备的秘密会话密钥(SKt)而采用由所述数据载体(10)使得可用的底数(gl)的同时确定其公共密钥(PKt)。
15.如权利要求13或14所述的终端设备,其特征在于,所述终端设备被适配为根据如权利要求1至10中的任一项所述的方法向便携式数据载体(10)认证它自己。
16.一种包括如权利要求11至1 2中任一项所述的便携式数据载体(10)、以及如权利要求13至15中的任一项所述的终端设备的系统,被适配用于执行如权利要求1至10中的任一项所述的方法。
全文摘要
一种用于向终端设备认证便携式数据载体(10)的方法包括使用来自所述数据载体(10)的公共密钥(PKG)和秘密密钥(SK1)、以及来自所述终端设备的公共会话密钥(PKT)和秘密会话密钥(SKT)。所述数据载体(10)使用公共组密钥(PKG)作为公共密钥。所述数据载体(10)使用已经从与所述公共组密钥(PKG)关联的秘密组密钥(SKG)得出的密钥(SK1)作为秘密密钥。
文档编号H04L9/32GK103081395SQ201180039858
公开日2013年5月1日 申请日期2011年8月19日 优先权日2010年8月23日
发明者G.美斯特 申请人:德国捷德有限公司