用于超宽带测距中的数据帧传输的密钥导出方案的制作方法
本公开涉及用于导出用于对将在无钥匙进入系统中,在耦合到待打开和关闭和/或待锁定和解锁的基础结构的收发器装置与和所述结构耦合收发器装置相关联的移动收发器装置之间的超宽带测距会话期间传输的数据帧的内容进行编码的密钥的方法和装置。
背景技术:
当前市场上的现代舒适型汽车可以配备有被动无钥匙进入(pke)系统。在这种pke系统中,用相关联的标签(或钥匙坠)接近作为待打开和关闭和/或待锁定和解锁的基础结构的例子的汽车足以解锁汽车,而无需按下可以设置在标签(或钥匙坠)上的按钮。
在尝试在现代无钥匙进入系统中提供安全的汽车访问时——虽然并非市场上可获得的所有系统都真正安全,使用射频(rf)测距系统来防止已知可能存在于超宽带(uwb)rf测距系统中的如所谓的中继攻击等目前已知的攻击和/或如所谓的前导码注入攻击等原则上可能的攻击以及理论上已知但尚未在现场发现的蝉攻击。
uwbrf测距系统通常采用飞行时间原理确定标签与待打开的结构或结构上的标记之间的距离。收发器的发射器通常发出被物体反射或被第二收发器重传的波形,通常为啁啾或脉冲。基于反射或重传到达起始收发器的接收器所耗费的时间量,可以计算物体之间的距离。之后,将如此确定的接收器与发射器之间的距离用作实现访问的控制点。
ep3255851a1公开了一种用于防止重放之前传输的脉冲的概念,其中每个所传输脉冲都包括(或设置有)所谓的安全训练序列(sts),仅通过对一些共享密钥的了解就可以预测所述安全训练序列的内容。sts的概念还可以用于涉及数据帧的传输的rf通信中。
本申请人以所陈述的名称在本行业中参与开发了“安全训练序列”(sts)的概念。同时,除了别的之外,标准化组织正在考虑此概念以标准化、进一步完善并传播这种技术。如此,此概念已成为名称为“通用加扰时间戳序列”(gsts)的ieee802.15.4z标准文档的主题。在本公开中,名称“安全训练序列”(sts)和名称“通用加扰时间戳序列”(gsts)被同义或可互换地使用。
此外,在标签与相关联基础结构之间,例如在钥匙坠与相关联的汽车之间的通信中,还需要保护数据传送。具体地说,在测量脉冲以包括时间戳的数据帧的形式发送的rf测距应用中,期望防止在测距会话结束时发生时间戳操纵。这可以通过使用所谓的2型数据帧实现,所述数据帧可以用于传送长度无法预测的测距测量结果和其它信息中的时间戳。
为了应对两种不同类型的数据帧——1型数据帧和2型数据帧——的使用,期望提供必须允许实现以下的密钥导出方案:
-接收器必须能够接收sts索引并检查其真实性和完整性。
-在传输sts索引时,必须保护其机密性。
-一旦接收器同步到sts索引,就必须允许接收器生成sts。
-必须允许有效载荷的传送,其中应保护其机密性、真实性和完整性。
-必须通过确保不会明文(即在未加密的情况下)传送任何指纹,例如递增计数器、地址等来保护用户的隐私。
所有这些特征应以最小的开销支持。实际上,在超宽带rf通信操作中,每个额外的字节都将降低rf预算。因此,简而言之,应最小化所传输数据的量。
技术实现要素:
本公开的目的在于提供一种用于涉及使用第一类型的数据帧和第二类型的数据帧(例如,上述1型和2型数据帧)的超宽带rf通信的密钥导出方案,其中相对于常规使用的组帧方案,所传输数据的量减少,并且对用户隐私的保护以及所传输数据的机密性、完整性和真实性得到改进。
此目的通过具有根据独立权利要求所述的特征的主题实现。在从属权利要求中示出了另外的实施例例子。
根据本公开的示例性实施例例子,确定了一种用于对将在无钥匙进入系统,例如基于超宽带的进入系统中的测距会话期间传输的数据帧进行编码的方法,所述无钥匙进入系统包括:收发器装置,所述收发器装置可操作地耦合到将通过所述进入系统打开和关闭和/或锁定和解锁的基础结构;以及移动收发器装置,所述移动收发器装置被设置为可例如在由接近所述基础结构的用户携带时接近所述基础结构并且与所述结构耦合收发器装置相关联,所述数据帧在所述移动收发器装置与所述结构耦合收发器装置之间传输。测距会话包括:例如通过操作所述移动收发器装置发起测距会话的第一阶段;升级加密密钥例如以确定所述移动收发器装置的真实性和待交换数据的机密性的第二阶段;以及执行测距测量和传输例如包括有效载荷数据的数据帧的第三阶段。
在此方法中,待传输的数据帧是第一类型的数据帧或第二类型的数据帧。所述第一类型的数据帧具有至少一个同步部分、至少一个第一起始帧定界符、经过认证的通用加扰时间戳序列(gsts)(或安全训练序列(sts))以及数据部分,所述数据部分包括作为所述帧的密文的一部分的使用一次的加密标识符。所述第二类型的数据帧具有前导码和数据部分,其中所述前导码包括同步部分和第二起始帧定界符,并且其中所述数据部分包括具有不可预测的可变性的数据内容。
在此方法中,在准备传输所述第一类型的特定数据帧时,用于对所述第一类型的数据帧进行编码的所述方法具有:
-提供待传输的所述当前数据帧的通用加扰时间戳序列索引(或同义地:安全训练序列索引,或简称:sts索引),
-提供已在所述测距会话的所述升级加密密钥阶段中导出的认证密钥,
-执行密码学安全随机数生成(csprng),所述csprng以所述当前数据帧的所述通用加扰时间戳序列(gsts)索引(或:sts索引)作为其输入并且另外将所导出的认证密钥用作其密钥输入参数,以提供待传输的所述第一类型的所述当前数据帧的经过认证的通用加扰时间戳序列,以及
-执行电子密码本(ecb)加密或密码块链接(cbc)加密,所述加密将所述当前数据帧的所述通用加扰时间戳序列(gsts)索引(或:sts索引)作为其输入并且另外将已在所述测距会话的所述发起阶段中导出的隐私密钥用作其密钥输入参数,以提供待传输的所述第一类型的所述当前数据帧的所述数据部分的所述密文的使用一次的所述加密标识符。
在此方法中,此外,在准备传输所述第二类型的特定当前数据帧时,用于对所述第二类型的数据帧进行编码的所述方法具有:
-提供待传输的有效载荷数据,
-提供同样用于待传输的所述当前数据帧的所述通用加扰时间戳序列(gsts)索引(或:sts索引),
-提供已在所述测距会话的所述升级加密密钥阶段中导出的有效载荷密钥,以及
-执行认证加密(ae),所述ae将所述当前数据帧的所述有效载荷数据作为其输入并且另外将所述当前数据帧的所述通用加扰时间戳序列(gsts)索引(或:sts索引)用作其随机数输入参数并且将所导出的有效载荷密钥用作其密钥输入参数,以提供经过认证的经过加密的有效载荷数据作为待传输的所述第二类型的所述当前数据帧的所述数据部分的密文。
如本文所使用的表达“起始帧定界符”可以指代具有本领域中公知的功能/功能性的任何通用类型的起始帧定界符并且具体地涵盖ieee802.15.4中称为sfd的“帧起始定界符”。
术语“通用加扰时间戳序列(gsts)”或同义地“安全训练序列(sts)”在本文中应理解为指伪随机调制的脉冲序列,其仅对成对的一组收发器是已知的,并且其可以在接收时由接收器关联和/或验证,从而允许确保未为了缩短所述一组收发器之间的感知/测量的飞行时间距离的目的而操纵所传输信号。需要对任何潜在攻击者保持具有不可预测性的调制序列可以通过例如https://mentor.ieee.org/802.15/dcn/18/15-18-0107-01-004z-secure-rf-ranging.pptx中描述的确定性随机位生成器(drbg)生成。gsts或sts被定义为添加到含有如前导码和任选地常规有效载荷数据等其它字段的帧/分组中的帧/分组字段。
如us2018/0275268a1中所描述的,使用sts的概念保护rf通信免受攻击需要传送sts索引,所述sts索引在本文中也称为加密标识符或“加密id”。sts索引(或加密id)应在每一单次使用(例如,每次数据帧传送)时以给定速率递增,并且因此还可以用于标签(或标签中的收发器)与如汽车等基础结构(或基础结构中的收发器)之间的同步目的。
如us2018/0275268a1中另外描述的,必须传输sts索引以允许接收器在发射器上同步并正确预测接下来的帧的sts。这可以通过传输所谓的1型数据帧实现,所述数据帧包括:安全前导码,所述安全前导码包括同步报头和sts;以及有效载荷数据,所述有效载荷数据包括sts索引的当前值。除了传输sts和加密id外,1型数据帧还可以用于安全测距,这通过(仅)使用sts字段实现。
必须保护此sts索引的完整性和真实性,以防止攻击者重复使用。需要保护sts索引的机密性,以避免用户的隐私由于对其使用的sts索引进行指纹识别而受损。
根据本公开的另外一个示例性实施例例子,确定了一种用于对将在无钥匙进入系统,具体地说基于超宽带的进入系统中的测距会话期间在移动收发器装置与结构耦合收发器装置之间传输的数据帧进行编码的方法,所述无钥匙进入系统包括:所述收发器装置,所述收发器装置可操作地耦合到将通过所述进入系统打开和关闭和/或锁定和解锁的基础结构;以及所述移动收发器装置,所述移动收发器装置被设置为可例如在由接近所述基础结构的用户携带时接近所述基础结构并且与所述结构耦合收发器装置相关联。测距会话包括:例如通过操作所述移动收发器装置发起测距会话的第一阶段;升级加密密钥例如以确定所述移动收发器装置的真实性和待交换数据的机密性的第二阶段;以及执行测距测量和传输例如包括有效载荷数据的数据帧的第三阶段。
在此方法中,待传输的数据帧是第一类型的数据帧,例如上述1型数据帧,所述第一类型的数据帧具有至少一个同步部分、至少一个第一起始帧定界符、经过认证的通用加扰时间戳序列(gsts)(或安全训练序列(sts))以及数据部分,所述数据部分包括作为所述帧的密文的一部分的使用一次的加密标识符。
在此方法中,在准备传输所述第一类型的特定数据帧时,用于对所述第一类型的数据帧进行编码的所述方法具有:
-提供待传输的所述当前数据帧的通用加扰时间戳序列索引(或:sts索引),
-提供已在所述测距会话的所述升级加密密钥阶段中导出的认证密钥,
-执行密码学安全随机数生成(csprng),所述csprng以所述当前数据帧的所述通用加扰时间戳序列索引(或:sts索引)作为其输入并且另外将所导出的认证密钥用作其密钥输入参数,以提供待传输的所述第一类型的所述当前数据帧的经过认证的通用加扰时间戳序列,以及
-执行电子密码本(ecb)加密或密码块链接(cbc)加密,所述加密将所述当前数据帧的所述通用加扰时间戳序列索引(或:sts索引)作为其输入并且另外将已在所述测距会话的所述发起阶段中导出的隐私密钥用作其密钥输入参数,以提供待传输的所述第一类型的所述当前数据帧的所述数据部分的所述密文的使用一次的所述加密标识符。
在根据以上公开的示例性实施例例子的方法的实施例中,所述第一类型的数据帧可以被实施为根据以下实施例之一实施的所述第一类型的“紧凑型”帧:
i)所述第一类型的所述数据帧在所陈述的序列中具有:安全前导码,所述安全前导码包括同步部分、第一起始帧定界符、所述经过认证的通用加扰时间戳序列;以及数据部分,所述数据部分包括作为所述帧的密文的一部分的使用一次的所述加密标识符;
ii)所述第一类型的所述数据帧在所陈述的序列中具有:安全前导码,所述安全前导码包括同步部分、第一起始帧定界符;包括作为所述帧的密文的一部分的使用一次的所述加密标识符的所述数据部分;以及所述经过认证的通用加扰时间戳序列。
可替换的是,在根据以上公开的示例性实施例例子的方法的另一个实施例中,所述第一类型的数据帧可以被实施为根据以下实施例之一实施的所述第一类型的“超帧”:
iii)所述第一类型的所述数据帧由第一部分和第二部分构成,其中所述第一部分包括同步部分、第一起始帧定界符以及包括作为所述帧的密文的一部分的使用一次的所述加密标识符的所述数据部分,其中所述第二部分包括同步部分、第一起始帧定界符以及所述经过认证的通用加扰时间戳序列,并且其中所述第二部分相对于所述第一部分延迟间隔时间段;
iv)所述第一类型的所述数据帧由第一部分和第二部分构成,其中所述第一部分包括同步部分、第一起始帧定界符以及所述经过认证的通用加扰时间戳序列,其中所述第二部分包括同步部分、第一起始帧定界符以及包括作为所述帧的密文的一部分的使用一次的所述加密标识符的所述数据部分,并且其中所述第二部分相对于所述第一部分延迟间隔时间段。
在根据以上公开的示例性实施例例子的方法的实施例中,在所述测距会话的所述升级加密密钥阶段中导出的所述认证密钥已通过将第三密钥导出函数(第三kdf)应用于数据保护密钥获得,所述数据保护密钥用作所述第三密钥导出函数的输入并且已在所述测距阶段的发起阶段中导出,并且所述第三密钥导出函数另外将超宽带信道的已在所述测距会话的所述发起阶段中确定的配置信息用作其第一导出数据输入,并且将密钥更新帧的已在所述测距会话的所述升级加密密钥阶段中提供的通用加扰时间戳序列用作其第二导出数据输入。
在根据以上公开的示例性实施例例子的方法的实施例中,在所述测距会话的所述升级加密密钥阶段中导出的所述有效载荷密钥已通过将第四密钥导出函数(第四kdf)应用于数据保护密钥获得,所述数据保护密钥用作所述第四密钥导出函数的输入并且已在所述测距阶段的所述发起阶段中导出,并且所述第四密钥导出函数另外将超宽带信道的已在所述测距会话的所述发起阶段中确定的配置信息用作其第一导出数据输入,并且将密钥更新帧的已在所述测距会话的所述升级加密密钥阶段中提供的通用加扰时间戳序列用作其第二导出数据输入。
在根据以上公开的示例性实施例例子的方法的实施例中,在所述测距会话的所述发起阶段中导出的所述数据保护密钥已通过将第二密钥导出函数(第二kdf)应用于会话密钥获得,所述会话密钥已在所述测距会话的所述发起阶段中提供。在实施例中,所述第二密钥导出函数可以具有静态导出输入。
在根据以上公开的示例性实施例例子的方法的实施例中,在所述测距会话的所述发起阶段中导出的所述隐私密钥已通过将第一密钥导出函数(第一kdf)应用于会话密钥获得,所述会话密钥已在所述测距会话的所述发起阶段中提供。在实施例中,所述第一密钥导出函数可以具有静态导出输入。
在根据以上公开的示例性实施例例子的方法的实施例中,所述经过认证的通用加扰时间戳序列索引(或:sts索引)可以是使用一次的加密标识符的种子。
在根据以上公开的示例性实施例例子的方法的实施例中,待传输的所述数据帧从作为发射装置的所述移动收发器装置发送到作为接收装置的所述结构耦合收发器装置,或者可替换的是,待传输的所述数据帧从作为发射装置的所述结构耦合收发器装置传输到作为接收装置的所述移动收发器装置。
在根据以上公开的示例性实施例例子的方法的实施例中,所述移动收发器装置结合在钥匙坠装置中。
在根据以上公开的示例性实施例例子的方法的实施例中,所述移动收发器装置结合在移动电话装置中。所述移动电话装置可以能够与多个相关联的基础结构,具体地说汽车一次运行多个测距会话。可替换的是或者另外,所述基础结构,具体地说汽车可以能够与多个相关联的移动电话装置一次运行多个测距会话。
在根据以上公开的示例性实施例例子的方法的实施例中,待传输的所述数据帧的所述数据部分包括例如量为32位的辅助数据密文,例如所述发射装置的源地址和所述接收装置的目的地地址。
在根据以上公开的示例性实施例例子的方法的实施例中,所述数据部分另外包括用作真实性标签(例如,0x00..00)的例如量使所述数据部分具有密码块的大小,即128位的填充位。
根据本公开的仍另外一个示例性实施例例子,一种用于对将在无钥匙进入系统,具体地说基于超宽带的进入系统中的测距会话期间在移动收发器装置与结构耦合收发器装置之间传输的数据帧进行编码的方法,所述无钥匙进入系统包括:所述收发器装置,所述收发器装置可操作地耦合到将通过所述进入系统打开和关闭和/或锁定和解锁的基础结构;以及所述移动收发器装置,所述移动收发器装置被设置为可例如在由接近所述结构的用户携带时接近所述基础结构并且与所述结构耦合收发器装置相关联。测距会话包括:例如通过操作所述移动收发器装置发起测距会话的第一阶段;升级加密密钥例如以确定所述移动收发器装置的真实性和待交换数据的机密性的第二阶段;以及执行测距测量和传输例如包括有效载荷数据的数据帧的第三阶段。
在此方法中,待传输的数据帧是第二类型的数据帧,例如前述2型数据帧,所述第二类型的数据帧具有前导码和数据部分,其中所述前导码包括同步部分和第二起始帧定界符,并且其中所述数据部分包括具有不可预测的可变性的数据内容。
在此方法中,在准备传输所述第二类型的特定当前数据帧时,用于对所述第二类型的数据帧进行编码的所述方法具有:
-提供待传输的有效载荷数据,
-提供待传输的所述当前数据帧的通用加扰时间戳序列(gsts)索引(或同义地:安全训练序列索引,或简称:sts索引),
-提供已在所述测距会话的所述升级加密密钥阶段中导出的有效载荷密钥,以及
-执行认证加密,所述认证加密将所述当前数据帧的所述有效载荷数据作为其输入并且另外将所述当前数据帧的所述通用加扰时间戳序列(gsts)索引(或:sts索引)用作其随机数输入参数并且将所导出的有效载荷密钥用作其密钥输入参数,以提供经过认证的经过加密的有效载荷数据作为待传输的所述第二类型的所述当前数据帧的所述数据部分的密文。
在根据所述仍另外一个示例性实施例例子的方法的实施例中,所述认证加密被实施为以下之一:具有cbc-mac的aes-cbc、aes-ccm、aes-gcm或aes-eax。本文中,aes为高级加密标准的首字母缩略词,cbc为密码块链接的首字母缩略词,mac为消息认证码的首字母缩略词,ccm为cbc-mac计数器的首字母缩略词,gcm为伽罗瓦/计数器模式的首字母缩略词并且eax为另外的块加密操作模式。下文另外给出了对这些的参考。
在根据所述仍另外一个示例性实施例例子的方法的实施例中,所述无钥匙进入系统是基于超宽带的无钥匙进入系统。
在根据以上公开的示例性实施例例子的方法的实施例中,所述无钥匙进入系统是基于超宽带的无钥匙进入系统。
根据本公开的又另一个示例性实施例例子,提供了一种移动收发器装置或结构耦合收发器装置,其中所述收发器装置中的每一个收发器装置被配置成实施根据以上公开的本公开的第一、第二或第三示例性实施例例子中的任一项所述的方法。
在所述收发器装置的实施例中,提供了一种移动收发器装置或结构耦合收发器装置,其中所述收发器装置中的每一个收发器装置在集成电路中实施。
根据本公开的又另一个示例性实施例例子,提供了一种机器可读存储介质,所述机器可读存储介质存储有软件程序,所述软件程序当在如处理器、微处理器或计算机等数据处理系统上运行时用于控制或执行根据以上公开的本公开的第一、第二或第三示例性实施例例子中的任一项所述的方法。
以上编码方法中所涉及的加密和计算标准
根据本公开的第一、第二和第三示例性实施例例子的以上公开的方法涉及技术人员众所周知的并且在下文中引用的加密和计算标准。
根据本公开的第一和第二示例性实施例例子的以上公开的方法涉及使用密码学安全伪随机数生成(csprng)。此类技术对于技术人员来说是众所周知的并且例如在美国国家标准技术研究所(usnationalinstituteofstandardsandtechnology,nist)发布的文件,即题为“使用确定性随机位生成器的随机数生成推荐(recommendationforrandomnumbergenerationusingdeterministicrandombitgenerators)”,2015年6月的nist特别出版物800-90a,修订版1中进行了描述。
根据本公开的第一和第二示例性实施例例子的以上公开的方法另外涉及使用电子密码本(ecb)加密或密码块链接(cbc)加密。ecb加密和cbc加密属于最早的所谓的块加密操作模式,其在美国国家标准技术研究所(nist)发布的被引用为题为“des操作模式(desmodesofoperation)”,1980年12月2日的联邦信息处理和标准(federalinformationprocessingandstandards)出版物fipspub81的文件中首次宣布为标准。
ecb是加密模式中最简单的一种加密模式并且由此可以以最具时间效率的方式实施。待加密消息被分成块,并且每个块被单独加密。
cbc已经成为最常用的操作模式。待加密明文的每个块与前一个密文块进行xor运算,然后被加密。以此方式,每个密文块取决于在这个点之前处理的所有明文块。为了使每个消息具有唯一性,必须提供初始化向量,以便与第一明文块进行xor运算。cbc的主要缺点在于加密是按顺序进行的(即,加密无法并行进行)并且必须将消息填充到密码块大小的倍数。
2001年,nist通过将高级加密标准(aes)包括为块密码并且将ctr模式添加在题为“块密码操作模式推荐——方法和技术(recommendationforblockciphermodesofoperation-methodsandtechniques)”,2001年12月的文件nist特别出版物800-38a中修订了其批准操作模式的列表。
根据本公开的第三示例性实施例例子的以上公开的方法涉及认证加密,所述认证加密在实施例中被实施为以下之一:具有cbc-mac的aes-cbc、aes-ccm、aes-gcm或aes-eax。这些是技术人员众所周知的块密码操作模式。
如已经提及的,aes为高级加密标准的首字母缩略词,cbc为块密码链接的首字母缩略词,mac为消息认证码的首字母缩略词,ccm为cbc-mac计数器的首字母缩略词。这些操作模式在以上提及的nist特别出版物800-38a中进行了描述。
gcm为伽罗瓦/计数器模式的首字母缩略词。nist曾宣布发布题为“块密码操作模式推荐:伽罗瓦/计数器模式(gcm)和gmac(recommendationforblockciphermodesofoperation:galois/countermode(gcm)andgmac)”,2007年11月的nist特别出版物800-38d,这使gcm成为官方标准操作模式,并且也使gmac成为官方标准。gcm对于保护分组化数据来说是理想的,因为其延迟最小且操作开销最小。
eax是另一种块密码操作模式,其首次公开于m.bellare、p.rogaway、d.wagner,“eax操作模式——为了简单和效率的目的而优化的双通认证加密方案(theeaxmodeofoperation-atwo-passauthenticated-encryptionschemeoptimizedforsimplicityandefficiency)”,快速软件加密′04(fastsoftwareencryption′04),《计算机科学课程讲义(lecturenotesincomputerscience)》,r.bimal和w.meier编,施普林格(springer-verlag),2004中。
根据本公开的第一、第二和第三示例性实施例例子的以上公开的方法另外涉及密钥导出函数(kdf)。kdf是用于对被提供为kdf的输入的密钥进行修改、升级或进一步加密从而在kdf的输出处提供经过修改、升级或进一步加密的密钥的技术。此类技术对于技术人员来说是众所周知的并且在例如nist发表的文件,即题为“使用伪随机函数的密钥导出推荐(recommendationforkeyderivationusingpseudorandomfunctions)”,2009年10月的nist特别出版物800-10a(修订)中进行了描述。
附图说明
下文中,参考以下附图详细描述了本公开的示例性实施例例子。
图1示出了根据本公开的实施例例子的在被动无钥匙进入系统中执行的测距会话和其阶段。
图2示出了在被动无钥匙进入系统的测距会话中以常规方式传输的安全数据帧的示意性框图。
图3示出了根据本公开的实施例例子的在被动无钥匙进入系统的测距会话中传输的第一类型的安全数据帧的多个实施例和第二类型的安全数据帧的一个实施例的示意性框图。
图4示出了根据本公开的实施例例子的用于被动无钥匙进入系统中的以下的整体密钥导出方案的示意性框图:每测距会话执行的操作、测距会话中的每密钥更新步骤执行的操作以及测距会话中的每帧传输执行的操作。
图5示意性地示出了根据标准ieee802.15.4的mac数据帧的常规安全组帧方案。
不同附图中的类似或相似的部件提供有相同的附图标记。
具体实施方式
在参照附图描述本公开的示例性实施例例子之前,仍应解释如诸位发明人提出的本公开的一些一般方面。
在尝试在现代无钥匙进入系统中提供安全的汽车访问时——虽然并非市场上可获得的所有系统都真正安全,使用射频(rf)测距系统来防止已知可能存在于超宽带(uwb)rf测距系统中的如所谓的中继攻击等目前已知的攻击和/或如所谓的前导码注入攻击等原则上可能的攻击以及理论上已知但尚未在现场发现的蝉攻击。注意,仅根据以下文献了解蝉攻击:marcinpoturalski等人:“蝉攻击:ir测距时的服务降级和拒绝(thecicadaattack:degradationanddenialofserviceinirranging)”,2010年ieee国际超宽带会议(icuwb2010),2010年9月20日到23日,中国南京,但是已知蝉攻击实际上还未(至少尚未)实践。一些无钥匙进入系统依赖于接收信号强度指示(rssi)估计标签与汽车的范围(或距离)。攻击者可以使用放大器中继标签信号,使得所述标签信号似乎是从汽车附近传输的。
uwbrf测距系统通常采用飞行时间原理确定标签与待打开的结构或结构上的标记之间的距离。收发器的发射器通常发出被物体反射或被第二收发器重传的波形,通常为啁啾或脉冲。基于反射或重传到达起始收发器的接收器所耗费的时间量,可以计算物体之间的距离。之后,将如此确定的接收器与发射器之间的距离用作实现访问的控制点。
在已知攻击中,攻击者的目的是主动传输一个信号或一组信号,这将导致两侧(即,标签(例如,钥匙坠)侧)和待打开结构侧)涉及的装置错误地确定标签与结构之间的距离比其实际距离短,尤其是比用于实现访问的控制点/距离短。
ep3255851a1公开了一种用于防止重放之前传输的脉冲的概念,其中每个所传输脉冲都包括(或设置有)所谓的安全训练序列(sts),仅通过对一些共享密钥的了解就可以预测所述安全训练序列的内容。sts的概念还可以用于涉及数据帧的传输的rf通信中。
本申请人以所陈述的名称在本行业中参与开发了“安全训练序列”(sts)的概念。同时,除了别的之外,标准化组织正在考虑此概念以标准化、进一步完善并传播这种技术。如此,此概念已成为名称为“通用加扰时间戳序列”(gsts)的ieee802.15.4z标准文档的主题。在本公开中,名称“安全训练序列”(sts)和名称“通用加扰时间戳序列”(gsts)被同义或可互换地使用。
再次,形成无钥匙进入系统的一部分的rf测距系统采用飞行时间原理来确定两个物体或物体上的标记之间的距离。在此类系统中,收发器的发射器通常发出被物体反射或被第二收发器重传的波形,通常为啁啾或脉冲。基于反射或重传到达起始收发器的接收器所耗费的时间量,可以计算物体之间的距离。之后,接收器与发射器之间的距离将用作实现访问的控制点。
为了防止重放之前传输的脉冲,如本申请人先前已经开发和公开的,将在每个分组内包括如ep3255851a1中所述的安全训练序列(sts)或者同义地如ieee802.15.4z中所述的通用加扰时间戳序列(gsts),仅通过了解一些共享密钥就可以预测所述sts或gsts的内容。
如us2018/0275268a1中所述,涉及sts(或gsts)的方案需要传送sts索引(本文中也称为“加密id”),所述sts索引应始终以给定的速率递增并且将由发射器和接收器用于实现同步目的。
如us2018/0275268a1中另外描述的,必须传输sts索引以允许接收器在发射器上同步并正确预测接下来的帧的sts序列。这将通过传输1型帧实现,所述帧在本文中也称为第一类型的数据帧300并且在图3中示意性地示出了所述帧,其相关信息是当前sts索引值。必须保护此sts索引的完整性和真实性,以防止攻击者重复使用。需要保护此sts索引的机密性,以避免用户的隐私由于对其使用的sts索引进行指纹识别而受损。鉴于无钥匙进入系统中使用的超宽带rf通信中可用的(能量)预算有限,在1型帧中,为了检测安全前导码而对能量进行了优化,这通过最小化有效载荷的长度以限制对sts链路能量预算的影响来实现。
此外,还需要保护数据传送,即以防止在测距会话结束时发生时间戳操纵,参见图1和下面的相关进一步描述。这通过2型帧实现,所述帧在本文中也被称为第二类型的数据帧350并且在图3中也示意性示出了所述帧。2型帧用于传送长度无法预测的测距测量结果和其它信息。鉴于无钥匙进入系统中使用的超宽带rf通信中可用的(能源)预算有限,在2型帧中,针对数据传输和所传输数据的无误差检测优化了能量。
本公开提出了一种用于生成(包括编码)1型帧和2型帧的密钥导出方案。这种密钥导出方案应允许:
-接收器接收sts索引并检查其真实性和完整性;
-保护sts索引的机密性;
-一旦接收器同步到sts索引,就可以生成sts(或gsts);
-允许传送有效载荷,同时保护其机密性和真实性;以及
-通过确保不会明文(即在未加密的情况下)传送任何指纹,例如递增计数器、地址等来保护用户的隐私。
所有这些特征应以最小的开销支持。实际上,每个额外的字节将例如降低在例如无钥匙进入系统中使用的超宽带rf通信中可用的rf(能量)预算。换句话说,应最小化所传输数据的量。
大多数常规使用的安全数据传输方案依赖于ieee802.15.4中描述的对于技术人员来说是众所周知的并且在图5中示意性说明且仅供说明性参考的常规组帧和加密概念。
根据此常规组帧和加密概念,例如在具有cbc-mac的aes-cbc模式下或在aes-ccm模式下对数据有效载荷进行加密。对于两种模式,加密需要的随机数(仅使用一次的数的简称)使用如源地址和目的地地址以及帧计数器等信息。
此概念的一个缺点在于,由于其组帧而需要较大开销,并且所有明文信息均可以用于跟踪用户。即使组帧得到优化并且字段被随机化,也仍需要明确地传送随机数,以允许接收器解密消息。
应当注意,常规提出的保护方案已经使用不同的密钥来:
-对1型帧有效载荷进行加密,
-生成sts,并且
-对2型帧进行加密。
为了防止一些类型的攻击,例如针对系统的侧信道攻击,可以基于sts索引定期重新计算最后两个密钥,因为系统的两侧(发射器和接收器)将在所传输消息被使用时使其sts索引同步。
本公开旨在减少常规ieee802.15.4组帧方案的开销,同时通过对完整的分组进行加密来改进对用户隐私的保护。
为了实现此目标,目前提出的方案基于帧类型1密文的电子密码本(ecb)加密或密码块链接(cbc)加密(当要传输更多数据(例如,多于一个块(16字节或128位))时),并且另外基于帧类型2的认证加密,其中sts索引用作此认证加密的随机数。
具体地说,在本公开中,提出了如图4所示的整体密钥导出方案。
在图4中可以看出,对于1型帧,建议至少将电子密码本(ecb)加密模式用于普通1型帧。一般而言,ecb模式不是如此好的选择,因为同一个明文将产生同一个密文,但在这种特定使用情况下,因为sts索引值永不重复,因此不存在两次生成同一密文的风险。具体地说,sts索引是在每一下次使用之前修改的随机数。在每一下次使用之前使随机数递增是确保sts索引永不重复的性质的容易且常用的方法。
同样,ecb不包括真实性保护,但是此处建议1型帧包括:
·32位sts索引,
·32位辅助数据,例如,源地址和目的地地址,以及
·64位填充数据,例如,0x00..00。
填充数据在本文中用作真实性标签。这是可能的,因为如果在解密后,密文值不同于0x00..00,则不能信任密文值。
针对1型帧提出的密钥导出和编码方案的优点在于,在接收器侧,在一种简单的aes块解码中,可以访问sts索引和辅助数据并检查其完整性。不需要传输任何随机数,因为ecb加密不需要随机数并且因为sts索引的性质(即,sts索引值在(rf测距或rf通信)会话内不被重复使用)用于避免ecb在其它方面已知的陷阱。
对于2型帧,因为根据目前提出的方案不存在对要传输的有效载荷的明文数据的控制,所以应该认识到,确保加密的两次连续执行不会产生明文的同一编码很重要。为了确保这一点,建议使用认证加密,其中随机数是sts索引(具有一些填充数据以达到128位),因为sts索引具有对于每个帧来说不同的随机数的性质。
如us2018/0275268a1中已知并描述的,一旦接收器同步,就不需要在rf信道上传输sts索引,这减少了开销。也就是说,这将避免用有效载荷传输随机数的开销。用于有效载荷的组帧和传输的仅剩开销将是认证标签的开销。
对于对有效载荷进行加密,可以使用具有如aes-ccm等认证的加密方案。然而,如m.bellare等人,“eax操作模式(theeaxmodeofoperation)”——以上提供了对其的完整参考——中描述的aes-eax是优选的,因为eax模式允许在解密之前进行认证并且容易实施。
在图4中可以看到并且此处可以指出,在所提出的密钥导出方案中针对每种目的使用多个密钥:
·隐私密钥422,其用于加密1型帧(在图4的462处),以便由此获得加密id作为1型帧的密文。
·有效载荷密钥448,其用于加密2型帧的有效载荷(在图4的472处),以便由此获得2型帧的密文。可以基于sts索引值定期更新这个密钥,因为2型帧仅在发射器-接收器系统同步时才被传输。
·认证密钥446,其用于编码sts(或gsts)(在454处)。可以基于sts索引值定期更新这个密钥,因为在每次传输1型帧时检查sts。
目前提出的密钥导出方案的优点可以见于图4中,并且包括:
·无需传送明文中的数据或信息。
·当发射器和接收器装置不同步时,仅需要解码16位就可以传送sts索引,同时其机密性和真实性得到很好保护。
·当发射器和接收器同步时,有效载荷的认证加密的开销限于处理通常仅具有64位的认证标签。
图1示出了根据本公开的实施例例子的在无钥匙进入系统中执行的测距会话100和其阶段110、120、130、140。无钥匙进入系统包括:基础结构160,所述基础结构160将通过无钥匙进入系统打开和关闭和/或锁定或解锁并且具有各自耦合到相关联的结构耦合天线164的至少一个(并且通常为多个)结构耦合收发器162;以及与基础结构160相关联并且通信耦合到所述基础结构的至少一个移动装置170或标签。在所示例子中,基础结构160是汽车,所述汽车具有无钥匙进入系统并且包括定位在例如汽车160的四个角落并且靠近车顶的至少一个锚固件162(并且通常多个锚固件162)。在图1中示出的例子中,移动装置170是移动电话172,所述移动电话172具有与结构耦合收发器或锚固件162通信耦合的被配置用于超宽rf通信并且耦合到相关联移动天线184的移动收发器182。移动装置170还可以是与汽车160相关联的钥匙坠170,而不是移动电话。数据帧(或换言之,数据分组)300、350可以通过超宽带rf信道从移动收发器182传输到结构耦合收发器162并且在相反的传输方向上传输。
移动电话172被配置成用作汽车160的无钥匙进入系统中的钥匙坠,并且具有:低能耗收发器176,例如,蓝牙或wifi,所述低能耗收发器176耦合到低能耗天线174并且被配置成以低功耗操作;应用处理器178,所述应用处理器178可操作地耦合到低能耗收发器176;安全元件(或在安全数据存储方面的功能等同物)180,所述安全元件180用于存储如密钥等敏感数据;以及超宽带移动收发器182,所述超宽带移动收发器182耦合到相关联的移动天线184。低能耗天线174和移动天线184可以实施为单个多馈天线装置或结合在其中。
在充当钥匙坠(或一般地,充当移动装置170)的移动电话172侧,包括应用处理器178、安全元件180和移动收发器182的钥匙坠系统178、180、182被配置成实施并执行根据本公开提出的密钥导出方案,即,如本文公开的用于对数据帧300、350进行编码的方法。
在表示待打开和关闭和/或待锁定和解锁的基础结构160的汽车侧,基础结构耦合收发器162被配置成实施并执行根据本公开提出的密钥导出方案,即,如本文公开的用于对数据帧300、350进行编码的方法。
与安全元件180和移动收发器182协作的应用处理器178以相对高功耗操作并且因此在暂时不需要其操作时可以切换到一种/多种闲置状态。低能耗收发器176可以作为来自基础结构160的信号的接收器并作为当钥匙坠系统178、180、182已暂时处于闲置状态时通过信号线186唤醒钥匙坠系统178、180、182的唤醒装置进行操作。
当应用处理器178已经唤醒或可操作以在移动电话172上执行用于对数据帧300、350进行编码的方法时,其被配置成在安全元件180中存储并通过信号线188从安全元件180中检索用于对数据帧300、350进行编码的方法中需要或涉及的数据和/或密钥。移动收发器182还通过数据线190耦合到安全元件180,以便同样能够在安全元件180中存储并从其中检索用于对数据帧300、350进行编码的方法中需要或涉及的数据和/或密钥。移动收发器182通过数据线192耦合到应用处理器178,以便能够从应用处理器178接收数据或向其提供数据,所述数据包括要传输到结构耦合收发器162的帧或要从其处接收的帧。移动收发器182被另外配置成通过超宽带rf通信信道向结构耦合收发器162传输数据帧并且从其处接收数据帧,所述数据帧包括第一类型的数据帧300和第二类型的数据帧350。
移动收发器182和结构耦合收发器162相互作用例如以执行采用飞行时间原理的rf测距的测距会话100包括发起测距会话100并且另外配置移动收发器182与结构耦合收发器162之间的超宽带rf通信信道以及同意所述移动收发器和所述结构耦合收发器当中的物理和初始密码操作参数的第一阶段110。测距会话100可以另外包括交换会话密钥的随后的第二阶段120,所述第二阶段120包括升级加密密钥以确定移动收发器装置的真实性和待交换的数据的机密性。在移动装置170(此处为移动电话172)侧,当例如应用处理器178接收到会话密钥和/或加密密钥时,应用处理器178可以将会话密钥和/或加密密钥转发给安全元件180以供安全存储。测距会话100可以另外包括触发测距序列的随后阶段130,所述阶段130可以从汽车160侧或从钥匙坠或移动电话172侧发起。此后,测距会话100可以包括执行测距测量的随后阶段140,在所述阶段140中,第一类型的数据帧300和尤其第二类型的数据帧350从移动收发器182传输到结构耦合收发器162和/或在相反的传输方向上传输。
移动收发器装置182可以结合在移动电话172(如智能电话)中,所述移动电话172被布置成可作为如以上所提及的钥匙坠装置操作。可替换的是,例如,移动收发器装置182可以结合在“仅”钥匙坠装置中,所述钥匙坠装置被布置成控制对基础结构的访问并且如此缺少移动电话能够向用户提供的另外的功能和应用。
当移动收发器装置182结合在移动电话172中时,移动电话172可以能够与多个相关联的基础结构160,具体地说汽车一次运行多个测距会话。相反,基础结构160,具体地说汽车可以能够与多个相关联的移动电话172一次运行多个测距会话。
关于根据本公开的用于对数据帧300、350进行编码的方法,测距会话100包括例如通过移动收发器装置182例如由于载荷移动装置170由接近基础结构160(例如,汽车)的用户携带而接近基础结构160来“被动地”(或者通过用户激活设置在移动装置170上的按钮(未示出)主动地)发起测距会话100的第一阶段110;升级加密密钥以确定移动收发器装置的真实性和待交换数据的机密性的第二阶段120;触发测距测量的第三阶段130;和执行测距测量并传输包括包含时间戳的有效载荷数据和其它测量数据的数据帧300、350的第四阶段140。
注意,将在测距会话100期间传输的数据帧可以从作为发射装置的移动收发器装置172发送到作为接收装置的结构耦合收发器装置162。可替换的是或另外,待传输的数据帧可以在相反的传输方向上发送,即,从作为发射装置的结构耦合收发器装置162发送到作为接收装置的移动收发器装置172。在这方面,注意,往返飞行时间测量涉及双向消息(或信号)交换。
图2示出了在被动无钥匙进入系统的测距会话100中以常规方式传输的安全数据帧200的示意性框图。图2中示出的安全数据帧200处于自引入通用加扰时间戳序列(gsts)或同义地安全训练序列(sts)之后,但在引入1型帧和2型帧以改善帧传输的能量预算的使用之前使用的并且与常规ieee802.15.4组帧方案一致的实施方案中。
图2中示出的安全数据帧200包括安全前导码210和数据部分220。安全前导码210具有:同步报头(shr)212,所述同步报头212进而包括同步序列(sync)214和起始帧定界符216;以及安全训练序列(sts)218或同义地通用加扰时间戳序列(gsts)218。数据部分220具有有效载荷数据,在无钥匙进入系统中采用测距系统的情况下,所述有效载荷数据可以包括时间戳数据和其它测量数据。
一方面,已经认识到,当传输具有安全前导码210和数据部分220的数据帧200时,在接收器侧,安全前导码210的检测和数据部分220的检测彼此独立。因此,即使数据部分220(其中的数据)的接收失败,也可以检测到安全前导码210,并且即使安全前导码210的检测失败,也可以检测到数据部分220中的有效载荷数据。
另一方面,并且鉴于这些前述实现,具有安全前导码210和数据部分220的数据帧200相对较长,使得在超宽带中的rf传输的(能量)预算有限的情况下,可用于安全前导码210的能量和可用于数据部分220的能量是次优的。
这些考虑导致引入在用于传输安全前导码(即,1型数据帧或如以下命名的,第一类型的数据帧300)的能量方面优化的数据帧与在用于传输数据部分(即,2型数据帧或如以下命名的,第二类型的数据帧350)的能量方面优化的数据帧之间的差别。
图3示出了根据本公开的实施例例子的可以在被动无钥匙进入系统的测距会话100中传输的第一类型的安全数据帧300的多个实施例和第二类型的安全数据帧350的一个实施例的示意性框图。图3的第一行到第四行中示出了第一类型的安全数据帧300的多个实施例。图3的第五(即,最低)行中示出了第二类型的安全数据帧350的实施例。
第一类型的数据帧300可以实施为第一类型的“紧凑型”帧,所述帧可以根据图3的第一行和第二行中示出的实施例之一实施。
根据图3的第一行中示出的实施例,第一类型的数据帧300在所陈述的序列中具有:安全前导码310,所述安全前导码310包括同步部分314、第一起始帧定界符316和经过认证的通用加扰时间戳序列318;以及另外地,数据部分320,所述数据部分320包括作为所述帧的密文的一部分的使用一次的加密标识符322(或“加密id”)。组合起来,同步部分314和第一起始帧定界符316可以被称为同步报头312。
根据图3的第二行中示出的实施例,第一类型的数据帧300在所陈述的序列中具有:安全前导码310,所述安全前导码310包括同步部分314、第一起始帧定界符316;和数据部分320,所述数据部分320包括作为所述帧的密文的一部分的使用一次的加密标识符322(或“加密id”);以及此外,经过认证的通用加扰时间戳序列318。再次,组合起来,同步部分314和第一起始帧定界符316可以被称为同步报头312。
可替换的是,第一类型的数据帧300可以实施为第一类型的“超帧”,所述超帧可以根据图3的第三行和第四行中示出的实施例之一实施。
根据图3的第三行中示出的实施例,第一类型的数据帧300或超帧由第一部分和第二部分构成。第一部分具有同步报头312,所述同步报头312包括同步部分314和第一起始帧定界符316;并且另外具有数据部分320,所述数据部分320包括作为所述帧的密文的一部分的使用一次的加密标识符322(或“加密id”)。第二部分也具有同步报头312,所述同步报头312包括同步部分314和第一起始帧定界符316;并且另外具有经过认证的通用加扰时间戳序列318。在第一类型的超帧300中,第二部分相对于第一部分延迟间隔时间段324。
根据图3的第四行中示出的实施例,第一类型的数据帧300或超帧具有相对于图3的第三行中示出的实施例的第一部分和第二部分互换的第一部分和第二部分。即,第一类型的数据帧300或超帧由第一部分和第二部分构成。本文中,第一部分具有同步报头312,所述同步报头312包括同步部分314和第一起始帧定界符316;并且另外具有经过认证的通用加扰时间戳序列318。第二部分具有同步报头312,所述同步报头312包括同步部分314和第一起始帧定界符316;并且另外具有数据部分320,所述数据部分320包括作为所述帧的密文的一部分的使用一次的加密标识符322(或“加密id”)。而且在本文中,第二部分相对于第一部分延迟间隔时间段324。
接收器可以通过检查起始帧定界符区分其正接收第一类型的数据帧300还是第二类型的数据帧350。第一起始帧定界符316与第一类型的数据帧300相关联并且指示所述数据帧,而第二起始帧定界符366与第二类型的数据帧350相关联并且指示所述数据帧。
图4示出了根据本公开的实施例例子的整体密钥导出方案400的示意性框图。密钥导出方案细分为以下:(i)每测距会话100执行的操作期间的密钥导出(共同地用附图标记410表示),具体地说,发起测距会话100的第一阶段110;(ii)测距会话100中的每密钥更新步骤执行的操作期间的密钥导出(共同地用附图标记430表示),具体地说,测距会话100中升级加密密钥的第二阶段120;以及(iii)测距会话100中的每帧传输执行的操作期间的密钥导出(共同地用附图标记450表示),具体地说,执行测距测量并传输时间戳和其它测量数据的第三阶段140。
如图4可见,在每帧密钥导出部分450中,针对第一类型的数据帧300和第二类型的数据帧350提供不同的编码和密钥导出方案。
通常并且参照图3,第一类型的数据帧300具有至少一个同步部分314、至少一个第一起始帧定界符316、经过认证的通用加扰时间戳序列318和数据部分320,所述数据部分320包括作为所述帧的密文的一部分的使用一次的加密标识符322(或“加密id”)。
如图3的上部部分所示,第一类型的数据帧300可以被实施为“紧凑型”1型帧,所述帧具有:安全前导码310,所述安全前导码310包括同步部分314、第一起始帧定界符316和经过认证的通用加扰时间戳序列318;和数据部分320,所述数据部分包括作为所述帧的密文的一部分的使用一次的加密标识符322。
可替换的是,并且如图3的中间部分所示,第一类型的数据帧300可以被实施为1型“超帧”,所述超帧具有作为第一部分(未用附图标记表示)的前面是同步部分314和第一起始帧定界符316的经过认证的通用加扰时间戳序列318,并且超帧另外具有作为第二部分(未用附图标记表示)的数据部分320,所述数据部分320包括作为所述超帧的密文的一部分的使用一次的加密标识符322,并且所述数据部分320之前也是同步部分314和第一起始帧定界符316,其中所述第二部分(即,元素314、316、322)与第一部分(即,元素314、316、318)分离间隔时间段324。
通常,并且还参照图3,第二类型的数据帧350具有前导码360和数据部分370,其中前导码360包括同步部分314和第二起始帧定界符366,并且其中数据部分370包括具有不可预测的可变性的数据内容372。
用于对第一类型的数据帧300进行编码的所提出方法在第一类型的数据帧300每次被传输时以及之前,即,在准备传输第一类型的特定数据帧300时执行。
关于图4中指示的每帧密钥导出部分450,用于对第一类型的数据帧300进行编码的所提出方法包括为待传输的第一类型的当前数据帧300提供安全训练序列索引452(或sts索引,或同义地,通用加扰时间戳序列索引)。所述方法另外包括提供已在测距会话100的升级加密密钥阶段120中或换言之在每测距会话100执行的密钥导出(图4中共同地用附图标记410表示)之中导出的认证密钥446。
用于对1型数据帧300进行编码的方法另外包括执行密码学安全随机数生成(csprng)454,所述csprng454将当前数据帧的通用加扰时间戳序列索引(或:sts索引)452作为其输入并且另外将所导出的认证密钥446用作其密钥输入参数456;并且提供经过认证的通用加扰时间戳序列458,所述经过认证的通用加扰时间戳序列458将结合在待传输的第一类型的当前数据帧300的安全前导码310、460中。
此外,用于对1型数据帧300进行编码的所提出方法包括执行电子密码本(ecb)加密462,其中所述加密将当前数据帧的通用加扰时间戳序列索引(或:sts索引)452作为其输入并且另外将已在测距会话100的发起阶段110、410中导出的隐私密钥464用作其密钥输入参数464;并且提供待传输的第一类型的当前数据帧的数据部分320、468的密文的使用一次的加密标识符466(或“加密id”)。
尽管ecb加密模式对于抵御攻击来说总体上并不足够安全,因为其通常对于重复的输入会产生相同的输出,但是目前提出的方案取决于sts索引的性质,即在每一单次使用或帧传输之后改变的单调计数器,使得此处在每次执行加密462时输出将会不同。此外,ecb加密462在计算上成本相对较低且快速。
对于ecb加密462可替换的是,当要在1型数据帧300中传输更多数据,例如多于一个块(16字节或128位)时,所述方法可以使用密码块链接(cbc)加密,所述cbc加密同样在计算上成本相对较低且快速。
参照图4中指示的每密钥更新密钥导出部分430,在测距会话100的升级加密密钥阶段120(其在图4中共同地用附图标记430表示)中导出的认证密钥446通过将第三密钥导出函数434应用于数据保护密钥420获得,所述数据保护密钥420用作第三密钥导出函数434的输入并且已经在测距阶段100的发起阶段110(其在图4中共同地用附图标记410表示)中导出。第三密钥导出函数434另外将超宽带信道的已在测距会话100的发起阶段110中确定的配置信息414用作其第一导出数据输入436;并且将密钥更新帧的已在测距会话100的升级加密密钥阶段120中提供的安全训练序列432用作其第二导出数据输入438。
如图4中还可以看到的,在每密钥更新执行的密钥导出430之中,在测距会话100的升级加密密钥阶段120中导出的有效载荷密钥448已通过将第四密钥导出函数440应用于数据保护密钥420获得,所述数据保护密钥420用作第四密钥导出函数440的输入并且已经在测距阶段100的发起阶段110(其在图4中共同地用附图标记410表示)中导出。第四密钥导出函数440另外将超宽带信道的已在测距会话100的发起阶段110中确定的配置信息414用作其第一导出数据输入442;并且将密钥更新帧的已在测距会话100的升级加密密钥阶段120(其在图4中共同地用附图标记430表示)中提供的安全训练序列432用作其第二导出数据输入444。
测距会话100的发起阶段110、410中导出的数据保护密钥420已通过将第二密钥导出函数418应用于已在测距会话100的发起阶段110中(或在每会话执行的密钥导出410之中)提供的会话密钥412获得。
在测距会话100的发起阶段110、410中导出的隐私密钥422已通过将第一密钥导出函数416应用于已在测距会话100的发起阶段110、410中提供的会话密钥412获得。
经过认证的通用加扰时间戳序列索引(或:sts索引)452可以是使用一次的加密标识符的种子。
如以上已讨论的,待传输的数据帧300的数据部分320可以包括辅助数据密文,所述辅助数据密文包括例如量为32位的发射装置(具体地说,移动收发器182和结构耦合收发器162之一)的源地址和接收装置(具体地说,结构耦合收发器162和移动收发器182之一)的目标地址。在此实施例中,数据部分320另外包括用作真实性标签(例如,0x00..00)的例如量使数据部分320具有密码块的大小(即,128位)的填充位。填充数据在本文中可以用作真实性标签。这是可能的,因为如果在解密后,密文值不同于0x00..00,则不能信任密文值。
再次参照图4中指示的每帧密钥导出部分450,用于对第二类型的数据帧350进行编码的方法在第二类型的数据帧350每次被传输时以及之前,即,在准备传输第二类型的特定当前数据帧350时执行。
用于对第二类型的数据帧350进行编码的所提出方法包括提供待传输的有效载荷数据470,并且提供同样用于待传输的当前2型数据帧350的通用加扰时间戳序列(gsts)索引(或:sts索引)452。所述方法另外包括提供已在测距会话100的升级加密密钥阶段120中或换言之在测距会话100的密钥更新阶段120中执行的密钥导出(其在图4中共同地用附图标记430表示)之中导出的有效载荷密钥448。
用于对2型数据帧350进行编码的方法另外包括执行认证加密472,所述认证加密472将当前数据帧的有效载荷数据470用作其输入,并且另外将当前数据帧的通用加扰时间戳序列索引(或:sts索引)452用作其随机数输入参数474并将所导出的有效载荷密钥448用作其密钥输入参数476,并且因此提供经过认证的经过加密的有效载荷数据478作为待传输的第二类型的当前数据帧的数据部分370、480的密文。
认证加密472可以实施为以下之一:具有cbc-mac的aes-cbc、aes-ccm或aes-eax。这些实施方案在计算上成本相对较低并且可快速执行。
此外,应当注意,“具有”或“包括”不排除其它元件或步骤,并且“一个或一种(a或an)”不排除多个。另外,应当注意,上文已参考上述实施例例子之一描述的特征或步骤也可以与上文已描述的其它实施例例子的其它特征或步骤组合使用。权利要求中的附图标记不应解释为限制。
附图标记列表
100测距会话;
110发起阶段/信道配置;
120升级加密密钥;
130触发测距测量;
140执行测距测量;
160基础结构;
162结构耦合收发器;
164结构耦合天线;
170移动装置;
172移动电话;
174低能耗天线;
176低能耗收发器,例如,蓝牙或wifi;
178应用处理器;
180安全元件;
182移动收发器,例如,超宽带;
184移动天线;
186信号线;
186信号线;
188信号线;
190信号线;
192信号线;
194信号线;
200常规uwb测距数据帧;
210安全前导码;
212同步报头;
214同步序列;
216起始帧定界符;
218安全训练序列(sts)(或通用加扰时间戳序列(gsts));
220数据部分;
300第一类型的数据帧;
310安全前导码;
312同步报头;
314同步序列;
316第一起始帧定界符;
318经过认证的安全训练序列(sts)(或通用加扰时间戳序列(gsts));
320数据部分;
322使用一次的加密标识符;
324间隔时间段;
350第二类型的数据帧;
360前导码;
362同步报头;
364同步序列;
366第二起始帧定界符;
370数据部分;
372使用一次的加密标识符和测量数据;
400整体密钥导出方案;
410发起阶段中的密钥导出;
412会话密钥;
414配置信息;
416第一密钥导出函数(kdf);
418第二密钥导出函数(kdf);
420数据保护密钥;
422隐私密钥;
430升级加密密钥阶段中的密钥导出;
432密钥更新帧的安全训练序列;
434第三密钥导出函数(kdf);
436第一导出数据输入(kdf);
438第二导出数据输入;
440第四密钥导出函数;
442第一导出数据输入;
444第二导出数据输入;
446经过升级的认证密钥;
448经过升级的有效载荷密钥;
450传输有效载荷数据帧阶段中的密钥导出;
452当前帧的安全训练序列(sts);
454密码学安全伪随机生成(csprng);
456密钥输入参数;
458经过认证的安全训练序列(sts);
460安全前导码;
462电子密码本(ecb)加密;
464密钥输入参数;
466使用一次的加密标识符(加密id);
468数据部分;
470有效载荷数据(例如,时间戳数据);
472认证加密;
474随机数输入参数;
476密钥输入参数;
478经过认证的经过加密的有效载荷数据;
480数据部分。
- 还没有人留言评论。精彩留言会获得点赞!