专利名称:用于传感器数据的操纵保护的方法和用于此的传感器的制作方法
技术领域:
本发明涉及一种用于传感器数据的操纵保护的方法和一种用于此的传感器。
背景技术:
在申请人没有在先公开的文献DE-102009002396中描述了一种用于传感器数据的操纵保护的方法,该方法的特征在于,通过传感器的认证和传感器数据的完整性保护的关联实现交易认证并且因此确保了相对于传感器数据操纵的极度提高的保护。
发明内容
根据本发明的方法或者根据本发明的传感器能够实现传感器数据的交易认证,其中即使在例如由于侧通道攻击而导致密钥丢失的情况下也不会丧失操纵保护。因此,以最小的附加开销得出对于传感器数据的更稳健的操纵保护。由从属权利要求的特征得出其他优点和改进。在一种有利的构型中,在交易认证的每个步骤中改变时变参数。该过程对应于顺序计数器并且能够实现认证和交易认证的方法部分的特别紧密的密码学耦合,并且因此能够实现进一步的安全收益。因为可特别简单地实施而特别有利的是,所述时变参数的改变对应于逐步的递增。一种特别的实施方式基于密码学的认证消息的第一部分与密码学的认证消息的第二部分不相交,所述密码学的认证消息的第一部分在认证方法的范畴内通过从密码学的认证消息的截断(Trimkierimg)生成并且由传感器传输给控制设备,并且所述密码学的认证消息的第二部分被用于计算时变参数。特别有利的是,在每个交易认证步骤中由在从密码学的认证消息中获得的初始参数与当前参数之间的差值计算所述时变参数,其中当前参数通过从初始参数逐步递增产生。由此对于迄今的优点也不会削弱认证方法中的可能的回应截断。在优选的实施例中,作为认证方法使用挑战一响应方法,其特征在于特别高的安全性。此外有利的是使用用于传感器数据的完整性保护的MAC方法,其同样满足高安全标准,其中极其可靠的方法EMAC和OMAC是特别符合目的的。在特别的构型方式中,时变参数或者被设计为时间戳、顺序计数器或者被设计为随机数。该构型尤其是带来根据本发明方法的特别简单但符合目的的实施。
在附图中示出并且在以下描述中详细阐述本发明的实施例。附图仅仅是示例性的并且不限制一般性的发明构思。图1示出用于借助于挑战一响应方法在控制设备B处认证传感器A的系统的示意图,
图2示出用于传感器数据的完整性保护的系统的示意图,图3示出用于在控制设备B处认证传感器A的系统的示意图, 图4示出用于阐述简单认证时的反射攻击的示意图,
图5示出用于阐述通过消息认证码EMAC或CMAC对传感器数据进行完整性保护的示意
图,
图6A,6B示出用于阐述认证与完整性保护或者认证与交易认证的根据本发明的连接以用于传感器数据的交易安全性的示例性总体协议的示意图。
具体实施例方式以下为了描述本发明符合目的地利用机动车中的RDS传感器和控制设备的示例。 但这不表示本发明限于该示例,因为所描述的安全总体方案一般性地设计用于任意控制设备与传感器之间的通信的安全性保证。如果观察对通信信道的安全性的要求,则主要观察以下方面
(1)[Message authentication (消息认证)]数据完整性的保护
(2)[Entity authentication (实体认证)]源认证的确保
(3)[Confidentiality (保密性)]数据保密性的保护(可选)
除这些基本要求以外,还引出其他阻碍或者阻止特定攻击类型的要求,这些要求未明确通过基本要求覆盖但隐含存在。这里可能有其他方面要提到
(a) [Replay protection(重放保护)]保护数据以免重放,所述数据虽然是完整的(1 ), 但已经发送了一遍。(b) [Liveliness (生命力)]确保源在传输的时刻是“活的”,即不使用在更早的时刻预先计算的(或者记录并且未发送的)数据。以下假设数据不是机密的,即不需要(3)。这可以例如在车辆领域中的传感器中是这样的情形。申请人的DE-102009002396已经包含了在考虑有限资源(计算时间、信道容量)的情况下用于实现(1)、(2)以及(a)和(b)的协议。在此,基本想法是使用消息认证码 (MAC)来实现完整性保证,使用基于对称密码的挑战一响应协议来实现源认证以及使用这两部分的组合以实现交易保护。两个单个协议分别具有自己的对称密钥(Kma。和Kauth)。以下借助实施例详细描述用于根据本发明的交易认证的方法。安全性方案的在此首先介绍的步骤1-3在很大程度上由DE-102009002396公开,但在根据本发明的安全性方案的决定性的第四步骤中得出显著的区别,所述第四步骤根据图6进行阐述并且基于方法步骤的关联。为了获得认证和完整性保护的固定结合,在此提出,连接两个步骤的随机数或者如以下所述的连接两个步骤的随机数或Nonce (—次使用的数字)和时变参数。通过两个子步骤——认证和完整性保护——的连接实现两个部分的紧密的密码学耦合并且同时还省去了传感器侧上的随机数生成器的实现。此外,借助在这里提出的方法或者传感器实现了 即使在密钥之一丢失的情况下(例如由于侧通道攻击)也不破坏操纵保护。图1示出用于借助于挑战一响应方法在控制设备B处对传感器A进行认证的系统的示意图。在此,控制设备B向传感器B发送请求,即“挑战”,传感器B为了进行认证而以回应“响应”进行回应。在此,示意性地示出了具体的方法,该方法是整体安全性方案的一部分,其满足较高的安全性要求并且在密码学上可靠地识别以上列出类型的攻击以及其他安全性威胁和侵犯。
在第一步骤中涉及在控制设备ECU处用于认证RDS传感器的挑战一响应方法。认证的目的是确定在认证时刻RDS是否具有有效的认证特征,即密码学密钥的知识,并且将该特征与其标识(例如序列号)固定地结合(要点密钥的新鲜度、生命力)。图2示出用于传感器数据的完整性保护的系统的示意图。在安全性方案的该第二步骤中,在此在认证一一也就是数据的接收机、即控制设备(ECU) B知道其与经认证的发射机、即RDS传感器A通信——之后,所传输的数据持续地设有完整性保护,优选地设有时变参数,如随机数、顺序数(顺序计数器)或者时间戳。这在图2中通过在由传感器A发送给控制设备B的数据上附加“标签”示出,其中 “标签”代表时变参数。在处理压力数据之后,在密码学上检查这些时变参数,并且在密码学上可靠识别RDS数据的操纵,也就是说,在实时数据处理中不会由于加密而出现附加的等待时间并且因此可以探测到操纵。作为用于实现密码学的完整性保护的有效方法,建议所谓的消息认证码MAC。 对于所谓的CBC-MAC方法,使用两个另外的密码学密钥,在另一修改的建议(所谓的 0MAC)中甚至考虑仅仅一个附加的完整性密钥。作为具有数字PSI5接口的RDS传感器的实现可选方案具体建议=EMAC以及CMAC,也称作0MAC。两种方法使用对称的块密码 (Blockchiffre),要么建议 AES-128 (参见 “FIPS 197, Advanced Encryption Standard (AES), Federal Information Processing Standards Publication 197, 2001 年 11 月, http://csrc. nist. gov/”,密钥长度k=U8位,块宽度n=U8位),要么替代地建议PRESENT (参 JAL "A. Bogdanov, L. R. Knudsen, G. Leander, C. Paar, A. Poschmann, Μ. J. B. Robshaw, Y. Seurin 禾口 C. Vikkelsoe, PRESENT :An ultra—lightweight block cipher, P. Pallier 禾口 I. Verbauwhede 编著,Proceedings of CHES 2007, Lecture Notes in Computer Science 第4727卷,第450-467页,Springer出版社,2007”密钥长度k=128位,块宽度n=64位)。 PRESENT仍是相对较新的块密钥,其远远没有AES那样成熟,其间还存在关于理论密码分析攻击的首次报道。在安全性方案的第三步骤中,为了阻止所谓的重放攻击,除有用数据(即压力值) 以外还在通过完整性保护来保护的数据中附加随机数。所述随机数以明文传输给ECU并且借助于MAC验证。应当在发动机启动后尽快进行认证,也就是说,在前几分钟内。但无需直接在启动阶段中执行该认证。在认证后才进行完整性保护,该完整性保护在之前在密码学方面没有意义。认证相对较少发生,至少在每次发动机启动之后和多个分组或同步丢失之后发生,而压力数据持续地设有完整性标签,也就是说,例如所有t=16个块。在认证期间由ECU向传感器传输的随机数为了连接方法步骤例如可以用作完整性保护时的组成部分、作为顺序计数器并且每次以(t=16)X (n=128)位的块递增。如果根据标准对于每个压力分组使用完整性保护,则在认证之前应当要么忽略 MAC数据(这是无效的),要么与RDS传感器上存在的随机数一起使用MAC数据。在所进行的认证之后,使用经协商的顺序计数器。借助于以下机制实现密码学的安全性目的——发射机和数据的认证、数据的完整性以及密码学密钥和数据的新鲜度和对重放攻击的阻止
借助于挑战一响应方法的认证(挑战连同标识的加密);借助于基于CBC模式连同相应
6的填充和MAC加强的消息认证码的完整性保护,即EMAC和CMAC ;通过附加随机数连同纯粹的有用数据来阻止重放攻击;通过使用挑战的一部分作为用于完整性保护的顺序计数器来可靠地密码学地结合两个协议部分;对于所有机制仅仅需要一个唯一的基本模块——对称块密码作为实现选择方案,具体地建议AES-U8或者替代地PRESENT ;此外,由于仅仅在控制设备上连接两个协议部分,所以需要随机数生成器。令A是RDS传感器而B是控制设备E⑶。目的是A相对于B的认证,也就是说,A 向B证明其在认证时刻具有共同的秘密——密码学密钥。协议的两个参与者具有三个共同密钥
Kab,Auth -共同的认证密钥 Vmaci -共同的消息认证码密钥1 Vmac2 -共同的消息认i正码密钥2。在CMAC算法的情况下,共同的消息认证码密钥1——KAB;MAC1就足够了。EncK是具有长度为k和块宽度为η的密钥K的加密算法,例如EncK = AES, k =长度(K) =128,η = 128。替代地,例如考虑EncK= PRESENT,k =长度(K) =1 ,η = 64。此外,令IDa和IDb是整个系统上明确的参与方标识,例如32位长的序列号或者类型部分号。序列号的长度在密码学上意义不大。重要的是,可以明确地标识整个系统中的所有参与方——即不仅仅是发动机/车辆。这在密钥管理方面起中心作用,如稍后描述的那样。此外在该示例中,令&或者&是由A或者B生成的随机数,随后符合目的地规定它们的长度。以下根据DE-102009002396描述传感器A相对于控制设备B的示例性认证。在此, 在图3中示意性地示出了步骤1-3。1. B生成64位的随机数&
2.B将该随机数&连同其标识IDb发送给A :
B -> A RbII IDe (64 位 Il 32 位)
3.A加密消息Rb Il IDb,即En+cKm h(RB||lDJ并且将这连同IDa—起发送回B A ■> B: Enc哪_ {Rb H IDe)丨| ID, (128 位 Il 32 位)
4.B可以在2中的协议步骤结束后立即开始在其方面计算响应 y = EncKW,推(Rb || ID0)。在3中获得回应y’后,B比较y与所传输的回应f
)f = y' = EncKAB,Arti (Rb Il IOb)是否成立? 此外B比较A的标识与所期望的标识,即 IDa =丨D'A是否成立?
仅仅在两个比较都成功的情况下,A相对于B成功认证。以下描述步骤3和4的符合目的的修改。为了节省通信带宽,在步骤3中仅仅传输加密的最高64位并且随后在步骤4中也进行比较。这与使用具有64位块宽度的加密方法意义不同。3,· Α·> B msb TM A [EncK(R8 H IDJ il 10Λ (64 位 Il 32 位) 以下示出用于认证1的总体方法。
1. B生成64位的随机数&
2.B将该随机数&连同其标识IDb发送给A :
权利要求
1.一种用于传感器(A)的传感器数据(χ)的操纵保护的方法,其中在传感器(A)的认证范畴内,由控制设备(B)向传感器(A)发送一次性使用的数字( )并且传感器(A)在使用该一次性使用的数字αΒ)的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备(B),其中传感器数据(X)设有密码学的完整性保护,给所述传感器数据(X)添加时变参数(C),并且其中具有密码学的完整性保护的传感器数据(χ) 和所添加的时变参数(C )由传感器(A)发送给控制设备(B ),其特征在于,对于所述时变参数(c)的计算,使用所述密码学的认证消息的至少第二部分并且对于所述密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分。
2.根据权利要求1所述的方法,其特征在于,在每次传感器数据交易中改变所述时变参数(C)。
3.根据权利要求2所述的方法,其特征在于,所述时变参数(c)的改变对应于逐步的递+曰O
4.根据权利要求2所述的方法,其特征在于,在每次传感器数据交易中由所述密码学的认证消息的第二部分(Ratl)计算当前的参数(Ra),并且由所述当前的参数(Ra)与所述密码学的认证消息的第二部分(Ratl)的差值计算出用于第η次传感器数据交易的时变参数(c)。
5.根据权利要求4所述的方法,其特征在于,对于所述密码学的完整性保护的计算使用所述当前的参数(Ra)。
6.根据以上权利要求之一所述的方法,其特征在于,根据挑战一响应方法实施传感器 (A)的认证。
7.根据以上权利要求之一所述的方法,其特征在于,根据消息认证码(MAC)方法实施传感器数据(χ)的密码学的完整性保护。
8.根据权利要求7所述的方法,其特征在于,作为MAC方法使用OMAC方法或EMAC方法。
9.根据权利要求2所述的方法,其特征在于,通过时间戳或顺序计数器或随机数改变所述时变参数(C)。
10.根据以上权利要求之一所述的方法,其特征在于,所述密码学的认证消息的第一部分和所述密码学的认证消息的第二部分不相交,并且所述密码学的认证消息的第一部分和所述密码学的认证消息的第三部分不相交。
11.一种传感器(A),其具有在所述传感器(A)的认证的范畴内从控制设备(B)接收一次性使用的数字(RB)、在使用该一次性使用的数字( )的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备(B)的装置,以及具有为传感器数据(χ)设有密码学的完整性保护、向传感器数据(χ)添加时变参数(c)并且将具有密码学的完整性保护的传感器数据(χ)和所添加的时变参数(c)由传感器(A)发送给控制设备(B) 的装置,其特征在于,所述传感器(A)具有对于所述时变参数(c)的计算使用所述密码学的认证消息的至少第二部分并且对于所述密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分的装置。
12.根据权利要求11所述的传感器(A),其特征在于,所述传感器(A)具有在每次传感器数据交易中改变所述时变参数(c)的装置。
13.根据权利要求12所述的传感器(A),其特征在于,所述时变参数(c)的改变对应于逐步的递增。
14.根据权利要求12所述的传感器(A),其特征在于,在每次传感器数据交易中由所述密码学的认证消息的第二部分(Ratl)计算当前的参数(Ra),并且由该当前的参数(Ra)与所述密码学的认证消息的第二部分(Ratl)的差值计算出用于第η次传感器数据交易的时变参数(C)。
15.一种控制设备(B),其具有在传感器(A)的认证的范畴内生成并且向所述传感器 (A)发送一次性使用的数字(RB)、从所述传感器(A)接收在使用该一次性使用的数字(Rb)的情况下生成的密码学的认证消息的至少第一部分、自己生成密码学的比较认证消息并且借助于该自己生成的密码学的比较认证消息来分析所述密码学的认证消息的所接收的第一部分的装置,以及具有分析设有密码学的完整性保护和时变参数(c)的传感器数据(χ)的装置,其特征在于,所述控制设备(B)具有对于所述时变参数(c)的分析使用所述自己生成的密码学的比较认证消息的至少第二部分并且对于所述密码学的完整性保护的分析使用所述自己生成的密码学的比较认证消息的至少第三部分的装置。
全文摘要
本发明涉及一种用于传感器数据的操纵保护的方法以及一种用于此的传感器。在此,在传感器的认证的范畴内,由控制设备向传感器发送一次性使用的数字,其中传感器在使用该一次性使用的数字的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备。此外,传感器数据设有密码学的完整性保护,其中向传感器数据添加时变参数,其中具有密码学的完整性保护的传感器数据和所添加的时变参数由传感器发送给控制设备。在此,对于初始参数的计算使用所述密码学的认证消息的至少第二部分,并且对于密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分,并且在使用初始参数的情况下计算所述时变参数。
文档编号H04L9/18GK102577228SQ201080043299
公开日2012年7月11日 申请日期2010年9月8日 优先权日2009年9月29日
发明者J.哈耶克, J.纽瑟姆, R.瑟温斯基 申请人:罗伯特·博世有限公司