专利名称:匿名认证方法
技术领域:
本发明涉及利用至少一个用户的秘密密钥进行认证的方法,例如,当要求正在被认证的用户的匿名性时,考虑是否授权用户访问资源。
在本发明中,资源的范围必须具有非常宽的容纳性,通常是指用户能够访问的任何功能、应用程序、服务、数据集,并且这种访问以完成认证过程后所提供的在先的授权为条件。通过非限制性的示例,资源可以是专用服务器所提供的服务,访问网络的功能,信息资源(例如服务器上可用的、能够被几个用户共享的数据库或软件应用程序)。
通常,认证是一种由认证实体执行的安全服务,其目的是验证希望被识别的用户的身份,从而为该用户访问所需资源的合法性提供证据。认证实体一般是指集中处理认证过程的任何设备、机器或计算机系统,希望被认证以访问资源的用户可通过电信网络来访问上述设备、机器或计算机系统。
通常,希望启动认证过程的用户具有使该用户能与认证实体进行通信的客户实体。在本说明书中的客户实体是指用于与认证实体(优选地,以不接触的方式)交换数据的任何电子系统或设备。
根据现有技术,通过秘密密钥的认证的特征基本上在于以下阶段的连续性,如
图1所示。因此,当客户实体A希望得到认证实体B的认证时,客户实体A首先通过其专有的固定标识符将其身份提供给实体B,然后通过使用仅为实体A和B知道且共享的秘密密钥KA来进行证明。
为此,当认证实体B接收到由客户实体发送的认证请求(其表现为被委派以训练身份A)时,所述认证实体首先生成被称作“风险”或“挑战”的随机数,然后将“风险”发送给客户实体A。接着,客户实体根据预定的、使用秘密密钥的密码算法(例如,DES算法(数据加密标准的英文首字母缩写))来对所接收到的“风险”进行数字化或签名。实体A然后将值C(KA,“风险”)发送回认证实体B,其中,C是一种密码函数。
实体B在自己这一端使用密码函数C和A的秘密密钥KA进行相同计算,并将所得到的结果与由实体A返回的值进行比较。在期望的结果与返回值A之间一致时,认证实体B验证该认证有效,从而表示A已经成功获得认证。对认证的验证例如通过由指定用于已经被认证的客户实体A的认证实体来向资源发送访问权限来表达。
这种使用秘密密钥的认证方法广泛分布于电信网络上,但在保证希望被认证的客户的匿名性方面仍然表现出一定的缺陷。
事实上,为了初始化所述认证方法,必须以明文的方式将客户实体的特定标识符传送至认证实体。因此,通过观察认证实体与正在被认证的实体之间的通信内容,恶意第三方能够获知被认证的实体的特定标识符。
此外,希望被认证的实体的特定标识符同样能够被此时表现活跃的恶意第三方推导出,也就是说,通过伪装成认证实体或者正在被认证的实体发起认证过程。
通过观察被认证的实体的行为,更具体地说,通过观察由该实体在先前的认证过程期间所提供的响应,也能够识别出被认证的实体。
事实上,由被认证的实体所提供的响应的特征在于,某些输入与由认证实体发出的“风险”相对应,并且对于相同的输入,被认证的实体总是提供相同的响应。在先前观察实体对于“风险”特征的值的响应时,可通过再次向被认证的实体提交与已经被观察的该实体所提供的响应相对应的“风险”值的其中之一而识别出该实体。因此,对待认证的“风险”进行签名的实体的特征在于其对于特定的“风险”值(例如,0.10、100、1000等)的响应。通过观察使用相同“风险”的两个连续识别,可因此推导出被认证的是两个不同的实体还是同一实体。
本发明的目的在于,通过提供一种基于使用秘密密钥的加密算法的认证方法来克服上述缺陷,其中,能够确保被认证的实体的匿名性,从而只有合法认证实体能够对正在被认证的实体的身份进行识别,而任何第三方不能进行该识别。
针对这一目的,本发明涉及一种通过认证实体对至少一个客户实体认证的方法,所述认证实体包括一组秘密密钥,每个所述秘密密钥与能够被所述认证实体识别的一客户实体相关,其特征在于,所述方法包括以下步骤a-由所述客户实体的部分向所述认证实体发送匿名认证请求;b-由所述认证实体向所述客户实体发送与所述认证实体的计数器的当前状态相对应的认证计数器值;c-在所述客户实体端,验证所接收到的所述认证计数器值严格地大于由所述客户实体存储的计数器值;d-在所述客户实体端,通过应用由所述客户实体与所述认证实体共享的密码函数来计算计数器签名,所述密码函数将所述认证计数器值和与所述客户实体相关的秘密密钥作为运算对象;e-向所述认证实体发送所述计数器签名;f-用所述认证计数器值对所述客户实体存储的计数器值进行更新;g-在所述认证实体端,搜索至少一个能够被识别的客户实体,对于该客户实体,所述认证计数器值的相应计数器签名与所接收到的所述计数器签名一致;h-使所述认证计数器增加。
优选地,重复步骤b)至h)至少一次,以确保在每次重复时被识别的客户实体相同。
根据一个特定实施方案,所述搜索步骤包括i-对于每个能够被识别的客户实体,通过应用将所述认证计数器值和相关的秘密密钥作为运算对象的密码函数来计算相应的计数器签名,从而为所述计数器值建立包括了能够被识别的客户实体/相应的计数器签名的值对列表;j-验证所接收的计数器签名与所述列表的至少一个计数器签名之间的一致性。
优选地,在所述认证实体端,根据所述计数器签名的值,对为给定认证计数器值所编辑的能够被识别的客户实体/相应的计数器签名的值对列表进行排序。
根据该实施方案,在所接收的计数器签名与多个值对的计数器签名之间一致的情况下,重复步骤b)至h),直到获得唯一值对为止,所述唯一值对的计数器签名与所接收的计数器签名相符。
优选地,在重复步骤i)期间,仅为与在之前重复时确定的所述多个值对相对应的客户实体计算计数器签名。
在一个变形中,根据本发明的方法包括所述方法包括相对于在步骤a)中来自于客户实体的认证请求而按照预期执行步骤i),所述预期的步骤i)包括在所述认证实体端为未来的至少一个认证计数器值预先建立用于所述未来的认证计数器值的、能够被识别的客户实体/相应计数器签名的值对列表,并在所述认证实体端存储所述预先建立的列表,任何从所述认证实体向所述客户实体的认证计数器值的发送都与已经预先建立了能够被识别的客户实体/相应计数器签名的值对列表中的认证计数器值的发送相对应。
优选地,步骤h)包括使所述认证计数器以固定比率增加。
在一个变形中,步骤h包括使所述认证计数器以随机比率增加。
根据一个特定实施方案,响应于认证请求,步骤b)包括在所述认证实体端,除了所述认证计数器值之外,还发送与所述计数器值相关的随机值,所述随机值对于每个所发送的认证计数器值都不同,在所述方法中执行计数器签名的每个步骤都替换为对所述认证计数器值/相关随机值的值对进行签名的步骤,该步骤包括应用将所述相关随机值进一步作为运算对象的所述密码函数。
根据一个变形,步骤c)进一步包括验证所接收到的所述认证计数器值与所述客户实体存储的计数器值之间的差值小于或等于预定值。
在一个变形中,如果步骤c)中未通过验证,则执行以下中间步骤-由所述客户实体向所述认证实体发送所述客户实体存储的计数器值;
-由所述认证实体向所述客户实体发送大于由所述客户实体存储的所述计数器值的临时认证计数器值,然后-如果对所述客户实体的认证成功,则在所述临时认证计数器值的基础上执行步骤d)至g),-用所述临时认证计数器值对与所述认证实体的计数器的当前状态相对应的认证计数器值进行更新,执行步骤h)。
优选地,步骤e)包括进一步向所述认证实体发送所述认证计数器值。
优选地,所述认证计数器值编码为至少128比特。
本发明同样涉及所述芯片卡包括用于存储秘密密钥以及用于执行根据本发明的方法的集成电路和机构。
优选地,所述芯片卡是非接触式芯片卡。
本发明还进一步涉及至少一个客户实体的认证实体,其特征在于,所述认证实体包括芯片卡阅读器,所述芯片卡阅读器配备有用于执行根据本发明的方法的机构。
优选地,所述认证实体包括非接触式芯片卡阅读器。
通过以下参照附图、以示意性而非限制性的方式给出的说明,本发明的其它特征和有益效果将更加清晰,在附图中图1是示出根据现有技术的、利用秘密密钥进行认证的方法的示意图,该方法已经进行了描述;图2是示出根据本发明的认证方法的主要阶段的示意图。
图2因而描述了根据本发明的、由认证实体B对客户实体A利用秘密密钥进行的认证过程的主要阶段。
希望被认证的实体A具有特定的秘密密钥KA,计数器值CA的存储机构,以及同样由认证实体B共享的密码签名函数S,密码签名函数S被提供以使用以下两个运算对象秘密密钥和计数器值,从而对计数器值进行签名。
认证实体B包括一列值对(Ai,KAi),Ai是能够被认证实体B认证的n个客户实体的其中之一的名称,而KAi是与客户实体Ai相关、并对于其唯一的秘密密钥。
与在客户实体A中所实现的一样,认证实体同样包括供应计数器值CB的计数器COMPTB以及密码函数S。
根据本发明的匿名认证过程的执行顺序如下所述。在第一阶段,当客户实体A想要被认证实体B认证时,它通过传送匿名认证请求“DemandeAuthentification”来向B发信号示意。作为响应,在第二阶段,认证实体B向客户实体A发送与认证实体B的计数器COMPTB相对应的计数器值CB。
在第三阶段,客户实体A将所接收到的计数器值CB与由客户实体A存储的计数器值CA进行比较。在这一阶段,对于客户实体A而言存在两种可能性其中之一是CA≥CB,此时客户实体A不做任何反应,这是因为这种状态表示一实体正在尝试要求客户实体A重新签名。这时,根据本发明的特征,为了不会因其行为而被识别,客户实体将不会对同一数据进行两次签名。
这一状态因而使得认证方法终止。
或者CA<CB,此时客户实体A能够信任认证实体B,这是因为所接收到的计数器值CB严格地大于A所存储的计数器值CA,这表示计数器值CB从未被提交来获得签名。该过程随后进入以下阶段。
在第四阶段,客户实体A通过应用密码函数S来对所接收到的计数器值CB进行签名,该密码函数S以与客户实体A相关的秘密密钥KA和计数器值CB作为运算对象。计数器签名S(KA,CB)的运算结果从客户实体A传送到认证实体B。之后在第五阶段,客户实体A使用被认证实体B传送至其的最后一个合法的计数器值(即,CB)来更新其存储的计数器值CA。
在第六阶段,认证实体B在能够认证的n个客户实体中搜索至少一个客户实体Ai,对于该客户实体Ai而言,计数器值CB相应的签名S(KAi,CB)与从希望被认证的客户实体接收到的计数器签名S(KA,CB)相一致。
如果未找到能够被识别的客户实体,则意味着认证失败。相反,如果在完成S(KAi,CB)=S(KA,CB)的搜索过程时仅找到一个客户实体Ai,则认证实体B做出结论A=Ai。这意味着客户实体Ai就是希望得到认证实体B认证的实体,所述认证成功。
在第七阶段(最后阶段)完成认证方法,认证实体B使计数器值CB增加,用于下一个认证请求。
盗用者可能通过发送随机挑选的数字碰巧遇到已存在的值S(KAi,CB),从而被当作客户实体Ai获得通过。为了避免这一风险,认证实体B可系统地使得认证过程至少重新进行一次,以确保其每次识别的是同一客户实体。该过程甚至可重复N次,直到N次均随机地碰巧遇到与同一客户实体相对应的签名值的可能性非常低为止。
同样地,对上述认证方法的进一步优化涉及到管理冲突情况。实际上,在第六阶段的末尾,所得到的结果可能是冲突情况,也就是说,已经发现可能被认证实体B识别的几个客户实体Ai,对于这些客户实体Ai而言,计数器签名S(KAi,CB)与所接收到的S(KA,CB)相一致。对于密码签名函数S而言,为两个不同数据提供相同结果的概率虽然很低但并不为零。在这一冲突情况下,需要从第二阶段重复上述过程的各个阶段,使用每次重复都递增的计数器值CB,直到客户实体Ai(对于客户实体Ai而言,S(KAi,CB)=S(KA,CB))能够被唯一识别为止。
包括由认证实体在能够认证的n个客户实体中搜索至少一个客户实体Ai的搜索过程的第六阶段可进行如下配置,其中,对于该客户实体Ai而言,计数器值CB相应的签名S(KAi,CB)与从希望被认证的客户实体接收到的计数器签名S(KA,CB)相一致。认证实体B通过应用密码函数S(其将认证计数器值CB以及与Ai相关的秘密密钥KAi作为运算对象),为每个能够被识别的客户实体Ai计算相应的计数器签名S(KAi,CB),从而为当前的计数器值CB创建值对(Ai,S(KAi,CB))的列表,该值对为能够被识别的客户实体/相应的计数器签名。
一旦编辑了上述列表,则认证实体遍历该列表以验证是否存在至少一个能够被识别的客户实体Ai使得S(KAi,CB)=S(KA,CB)。
在几个值对(Ai,S(KAi,CB))符合的情况下,很显然,需要对计数器值CB重复发送并对其进行签名操作。然而,这一重复甚至还能导致出现几个相符的值对(Ai,S(KAi,CB))。这时,规定仅对那些在先前的重复已经选定的值对进行可能的值对搜索。
因此,该过程将更快地收敛到单个的客户实体Ai,这是因为,在每次重复时,仅对与先前重复已经选定的值对(Ai,S(KAi,CB))相对应的客户实体Ai计算计数器签名S(KAi,CB)。
在第六阶段,由B对于当前计数器值CB为能够被识别的每个客户实体Ai计算相应的计数器签名S(KAi,CB),以编辑包括能够被识别的客户实体/相应的计数器签名的值对(Ai,S(KAi,CB))的列表,这个节段可能在响应时间方面非常长且繁琐。为了解决这一问题,根据本发明的一个变型,假设认证实体B为至少一个未来的认证计数器值CB预先计算这些未来的值CB的值对(Ai,S(KAi,CB))的列表,并存储这些结果。因此,当客户实体想要通过发送消息DemandeAuthentification来得到认证时,认证实体B将通过发送认证计数器值CB来回应,对于该值CB,已经编辑了列表(Ai,S(KAi,CB))。通常,根据该实施方案,任何B向A发送的认证计数器值CB都与已经编辑了列表(Ai,S(KAi,CB))的认证计数器值相对应。
认证实体B执行的认证过程包括在列表(Ai,S(KAi,CB))中搜索存在至少一个客户实体Ai使得S(KAi,CB)=S(KA,CB),在顺序搜索的情况下,该验证过程也非常耗时。理论上,对包含n个元素的列表进行搜索需要大约n/2次测试。同样,为了优化这一过程,所获得的值对列表(Ai,S(KAi,CB))可根据计数器签名S(KAi,CB)的值而升序(或降序)排列。在排序后的列表中对计数器签名S(KAi,CB)与S(KA,CB)相符的值对的搜索可按照二叉树搜索来进行。在这种情况下,平均起来当进行了log2(n)运算后能够找到所搜索的客户实体,这样能够获得显著的时间节约。
计数CB对于每个认证是唯一的,其可用作认证会话的标识符。因此,如果几个实体Ai同时由实体B进行认证,则后者可根据上述值来区分对话。这一点能够通过想要被认证的客户实体返回值CB以及签名值S(KA,CB)来实现。
COMPTB计数器提供认证计数器值CB,优选地,计数器值CB以固定的比率增加。
同样地,计数CB以固定比率增加可提供将在以后的认证中使用的认证计数器值。因此,盗用者可向实体A要求对于几个计数器值CB的几个值S(KA,CB),并最终通过将这些先前从客户实体A处获得的值返回至实体B而设法得到实体B的认证。因此,该盗用者可冒充A而获得认证。可利用两种类型的防御(parade)来对抗对认证系统的上述攻击。
首先,第一种防御包括通过对每次认证以随机比率来增加COMPTB计数器,从而不再采用连续的CB值。在这种情况下,计数器将必须具有较高性能来避免停顿。
另一种防御包括不再对希望被认证的客户实体A签名简单的计数器值CB,而是对值对(CB,“风险”)进行签名,其中,CB有规律地递增而“风险”具有随机值。为发送的每个认证计数器值提供不同的随机值,在认证过程的任意一种变型中,认证过程期间使用计数器签名的每个阶段被替换为对值对(CB,“风险”)的签名阶段,包括应用将所述相关随机值作为附加运算对象的密码函数S。
如上所述的认证过程容易受到计数器跳跃的攻击,这是基于在每次认证时实体A和B对于计数器值CB同步的这一事实。因此,恶意机器可伪装成认证实体B,向想要被认证的客户实体A发送一计数器值,该计数器值远大于与实体B的COMPTB计数器的当前值相对应的有效认证计数器值CB。实体A通过用传递给它的这一较大值来更新其存储的计数器值CA,由于第三阶段的测试,认证实体B的计数器值CB将不能大于值CA,因此实体A将不再能响应认证请求。
此外,如果恶意机器向实体A提供最大计数器值,实体A由于将其存储的计数器值CA更新为这一最大值,而在之后将变得无法使用。
对于这些攻击的防御更特殊地是指认证过程的第三阶段,其中,客户实体A将所接收到的计数器值CB与客户实体A所存储的计数器值CA相比较。
在CA≥CB的情况下,根据本发明的一个变型,将采用以下中间阶段-实体A向实体B发信号表示其存储的计数器值CA大于值CB并将CA返回给实体B;-实体B向A发送临时计数器值CB>CA;然后,认证过程的其它阶段在该临时CB值的基础上执行,如果实体A用临时CB认证获得成功,则实体B对与COMPTB计数器的当前状态相对应的认证计数器值CB以上述临时认证计数器值CB进行更新。这一过程使得认证实体能够防止受到计数器跳跃的攻击。事实上,认证实体在更新其计数器之前将首先以临时CB对客户实体A进行认证。如果认证实体B已经经历了计数器跳跃攻击的话,这一过程同样使得客户实体A能够将认证实体B的计数器与实体A存储的计数器值进行同步。
在这一阶段,实体B也可执行附加的保护措施。例如,对于每个客户实体和每个时期,B可仅授权一定数量的计数器同步。同样,B可仅在由客户实体A存储的计数器值CA与认证计数器值CB之间的差值小于预定值的合理时期内授权这些保护。
根据另一变型,在认证过程的第三阶段,如果验证了关系CA<CB,则在客户实体端还验证所接收到的认证计数器值CB与客户实体A所存储的计数器值CA之间的差值小于或等于预定值,即CB-CA≤Δ。仅在这一附加条件被验证时,实体A接受对计数器值CB进行签名。该附加条件使得希望被认证的实体A能够仅接收对其存储的计数器值的一个适度增加,以及忽略使用远大于其存储的计数器值的认证计数器值的请求,从而限制计数器跳跃攻击。
根据一个实施方案,计数器值CA和CB可以是编码为至少128比特的二进制数,这使得在系统到达COMPTB计数器的极限之前能够执行2128个认证。
在客户实体端,根据本发明的认证过程的阶段能够例如在芯片卡上实现,优选地在非接触式芯片卡上实现。用于执行根据本发明的认证过程的各阶段的芯片卡仅需要较小的计算能力,因为待执行的计算很简单(最多是对计数器进行签名)。认证实体因而表现为(接触或非接触式)芯片卡阅读器的形式。
有利地,由于根据本发明的认证过程,仅合法认证实体能够对希望被认证的客户实体的身份进行识别。希望被认证的客户实体A的身份仅对于认证实体B已知,而不会在认证期间泄漏。此外,客户实体A不知道它以哪个名称被认证实体识别。正在被认证的实体实际上没有可能被泄漏的固定身份。
另一方面,通过确保实体在已经传递给它的问题出现时拒绝进行认证,恶意第三方不能够区分这些实体。观察两个连续的认证,不可能确认正在被认证的是两个不同的实体还是相同的实体。因而,匿名性得以实现。
权利要求
1.一种通过认证实体(B)对至少一个客户实体(A)认证的方法,所述认证实体(B)包括一组秘密密钥(KAi),每个所述秘密密钥与能够被所述认证实体识别的一客户实体(Ai)相关,其特征在于,所述方法包括以下步骤a-由所述客户实体(A)的部分向所述认证实体(B)发送匿名认证请求(DemandeAuthentification);b-由所述认证实体(B)向所述客户实体发送与所述认证实体(B)的计数器(COMPTB)的当前状态相对应的认证计数器值(CB);c-在所述客户实体(A)端,验证所接收到的所述认证计数器值(CB)严格地大于由所述客户实体(A)存储的计数器值(CA);d-在所述客户实体(A)端,通过应用由所述客户实体(A)与所述认证实体(B)共享的密码函数(S)来计算计数器签名,所述密码函数(S)将所述认证计数器值(CB)和与所述客户实体(A)相关的秘密密钥(KA)作为运算对象;e-向所述认证实体(B)发送所述计数器签名(S(KA,CB));f-用所述认证计数器值(CB)对所述客户实体(A)存储的计数器值(CA)进行更新;g-在所述认证实体(B)端,搜索至少一个能够被识别的客户实体(A),对于该客户实体(A),所述认证计数器值(CB)的相应计数器签名(S(KAi,CB))与所接收到的所述计数器签名(S(KA,CB))一致;h-使所述认证计数器(COMPTB)增加。
2.如权利要求1所述的认证方法,其特征在于,重复步骤b)至h)至少一次,以确保在每次重复时被识别的客户实体相同。
3.如权利要求1或2所述的方法,其特征在于,所述搜索步骤包括i-对于每个能够被识别的客户实体(Ai),通过应用将所述认证计数器值(CB)和相关的秘密密钥(KAi)作为运算对象的密码函数(S)来计算相应的计数器签名(S(KAi,CB)),从而为所述计数器值(CB)编辑包括了能够被识别的客户实体/相应的计数器签名的值对(Ai,S(KAi,CB))列表;j-验证所接收的计数器签名(S(KA,CB))与所述列表的至少一个计数器签名(S(KAi,CB))之间的一致性。
4.如权利要求3所述的认证方法,其特征在于,在所述认证实体端,根据所述计数器签名的值(S(KAi,CB)),对为给定认证计数器值(CB)所编辑的能够被识别的客户实体/相应的计数器签名的值对列表进行排序。
5.如权利要求3或4所述的认证方法,其特征在于,在所接收的计数器签名(S(KA,CB))与多个值对的计数器签名(S(KAi,CB))之间一致的情况下,重复步骤b)至h),直到获得唯一值对为止,所述唯一值对的计数器签名(S(KAi,CB))与所接收的计数器签名相符。
6.如权利要求5所述的认证方法,其特征在于,在重复步骤i)期间,仅为与在之前重复时确定的所述多个值对相对应的客户实体(Ai)计算计数器签名(S(KAi,CB))。
7.如权利要求3至5中任一项所述的认证方法,其特征在于,所述方法包括相对于在步骤a)中来自于客户实体(A)的认证请求而按照预期执行步骤i),所述预期的步骤i)包括在所述认证实体(B)端为未来的至少一个认证计数器值(CB)预先建立用于所述未来的认证计数器值的、能够被识别的客户实体/相应计数器签名的值对(Ai,S(KAi,CB))列表,并在所述认证实体(B)端存储所述预先建立的列表,任何从所述认证实体(B)向所述客户实体(A)的认证计数器值(CB)的发送都与已经预先建立了能够被识别的客户实体/相应计数器签名的值对(Ai,S(KAi,CB))列表中的认证计数器值(CB)的发送相对应。
8.如前述任一项权利要求所述的认证方法,其特征在于,步骤h)包括使所述认证计数器(COMPTB)以固定比率增加。
9.如权利要求1至7中任一项所述的认证方法,其特征在于,步骤h包括使所述认证计数器(COMPTB)以随机比率增加。
10.如权利要求1至8中任一项所述的认证方法,其特征在于,响应于认证请求,步骤b)包括在所述认证实体(B)端,除了所述认证计数器值(CB)之外,还发送与所述计数器值(CB)相关的随机值,所述随机值对于每个所发送的认证计数器值都不同,在所述方法中执行计数器签名的每个步骤都替换为对所述认证计数器值/相关随机值的值对进行签名的步骤,该步骤包括应用将所述相关随机值进一步作为运算对象的所述密码函数(S)。
11.如前述任一项权利要求所述的认证方法,其特征在于,步骤c)进一步包括验证所接收到的所述认证计数器值(CB)与所述客户实体存储的计数器值(CA)之间的差值小于或等于预定值。
12.如权利要求1至10中任一项所述的认证方法,其特征在于,如果步骤c)中未通过验证,则执行以下中间步骤-由所述客户实体(A)向所述认证实体(B)发送所述客户实体存储的计数器值(CA);-由所述认证实体(B)向所述客户实体(A)发送大于由所述客户实体(A)存储的所述计数器值(CA)的临时认证计数器值,然后-如果对所述客户实体的认证成功,则在所述临时认证计数器值的基础上执行步骤d)至g),-用所述临时认证计数器值对与所述认证实体(B)的计数器(COMPTB)的当前状态相对应的认证计数器值(CB)进行更新,执行步骤h)。
13.如前述任一项权利要求所述的认证方法,其特征在于,步骤e)包括进一步向所述认证实体(B)发送所述认证计数器值(CB)。
14.如前述任一项权利要求所述的认证方法,其特征在于,所述认证计数器值(CB)编码为至少128比特。
15.一种芯片卡,其特征在于,所述芯片卡包括用于存储秘密密钥(KA)以及用于执行根据权利要求1至14中任一项所述的方法的集成电路和机构。
16.如权利要求15所述的芯片卡,其特征在于,所述芯片卡是非接触式芯片卡。
17.至少一个客户实体(A)的认证实体(B),其特征在于,所述认证实体包括芯片卡阅读器,所述芯片卡阅读器配备有用于执行根据权利要求1至14中任一项所述的方法的机构。
18.如权利要求17所述的认证实体,其特征在于,所述认证实体包括非接触式芯片卡阅读器。
全文摘要
本发明涉及一种通过认证实体(B)对客户实体(A)进行认证的方法,该方法包括几个秘密密钥(K
文档编号H04L9/32GK1934823SQ200580008693
公开日2007年3月21日 申请日期2005年3月4日 优先权日2004年3月16日
发明者奥利维耶·查尔斯, 戴维·阿尔迪蒂, 塞巴斯蒂安·源努克, 蒂里·巴里托 申请人:法国电信公司