询问的步骤E21-6的过程中标签T所使用的函数f\。函数f#Pf2相同,对于标签T是有利的。实际上,这允许在存储空间方面可能是非常有限的标签仅存储一个函数。在该例中,通过截短第一认证响应yT并提取确定数量的低阶位,来获得第二询问c κ。在本发明的另一示例性实施例中,第二函数4不同于第一函数f i。
[0111]在随后的计算第二认证响应并发送的步骤E22-2中,阅读器R借助下列方程式:yK=r' +SkCk来计算对询问C !;的第二认证响应y Eo第二认证响应yK是随机项r’、和私密密钥sK与询问c郝标量积的和。在步骤E22-2的末尾,阅读器R向标签T发送第二响应y κ。在步骤Ε22-3中,标签接收并存储第二认证响应yK。
[0112]在获得询问的步骤E22-4中,标签T从其在计算响应的步骤E21-7的过程中已计算的第一认证响应yT推断第二询问c κ。为此,标签T应用与阅读器R在步骤Ε22-1的过程中应用于第一咨询单χτ的函数相同的函数f 2。在函数和函数f 2相同的该示例性实施例中,标签因而应用与用于生成第一询问cT的函数相同的函数。步骤E22-4不一定要紧随接收步骤E22-3之后。它可与阅读器R所实施的生成步骤E22-1并行实施。它也可在生成第一认证咨询单χτ的步骤E21-2之后,在第一认证阶段P21期间实施。
[0113]在随后的验证步骤E22-5中,标签T对从阅读器R接收的第二认证响应yK进行验证。为此,标签T验证在步骤E21-6的过程中从阅读器R接收的第二认证咨询单χκ等于通过将在椭圆曲线上将点P进行^次相加所获得的第一值、和在椭圆曲线上将公共密钥V 1;进行Ck次相加所获得的第二值相加所获得的值。换言之,第二认证咨询单X κ等于:y KP+CKVK。
[0114]如果所述验证为肯定(图2中的是分支),则标签已肯定地认证了阅读器R。如果所述验证为否定(图2中的否分支),则所述方法终止,且阅读器R还没有被认证。
[0115]在本发明的另一示例性实施例中,当标签T和阅读器R在第一通信信道上对话时,阅读器R生成第二询问的步骤E22-1和标签T获得第二询问的步骤E22-4在第一认证阶段P21的过程中实施。该示例构成所述方法的优化。实际上,第二信道上的阅读器R的认证更快,因为所述询问不再需要一方面由阅读器R来计算、而另一方面由标签T来计算。
[0116]在上述示例性实施例中,标签T和阅读器R存储函数4和f2,其使得可能分别从第一咨询单X1^P第二咨询单Xk推断第一询问C JP第二询问C κ。当函数fjp f 2相同时,标签仅不得不存储单一函数,这在标签的存储空间有限时是个优点。
[0117]通常认为所述两个认证(即阅读器R对标签T的认证、和标签T对阅读器R的认证)为两个完全独立的认证,它们在不同的会话中实施。以这样的方式将这两个会话混合在一起,使得在对应于标签认证的第一认证过程中生成通常在每个认证过程中生成的数据,且在与阅读器认证相关的第二认证过程中使用在标签认证的过程中所使用的数据,这与本领域技术人员的做法相反。该认证从而使得可能减少在阅读器R和标签T之间交换的消息的数量。在本例中,对于加密GPS认证,所交换的消息数量为从6到4。就成本和复杂度而言,该优化是非常显著的。
[0118]这里利用使用传统认证咨询单(即相当大尺寸)的加密GPS算法版本来描述所述方法。所述方法并不限于该版本。实际上,存在加密GPS算法的优化,所述方法也应用于这些优化。更确切地,在加密GPS的第一优化中,提出使用(Xi,ri)形式的认证咨询单Xi,并被称作“简化(reduced)咨询单”,其中Xi= MriP), !Ti是随机项,P是椭圆曲线上的点,f是已知的单向函数,例如SHA-U代表“安全散列算法”)。利用该优化,在标签上存储认证咨询单所需的存储空间减少。
[0119]在加密GPS的第二已知优化中,通过识别索引i来对认证咨询单\编索引。为了计算咨询单Xi,借助应用于索引i并由标签所存储的再生密钥k参数化的伪随机函数“PRF” (代表“伪随机函数”),来生成随机项& (ri= PRF k (i))。随机项巧(因而,函数PRF的输出)具有相当大尺寸,例如1100位。然后,根据下列方程式:Xi=HASH(riP)来计算标签认证咨询单Xi。这样,仅需在标签中存储咨询单Xi。借助函数PRF,在认证时再生随机项
已知地,PRF的使用需要很小的计算能力。
[0120]先前已描述了用于生成询问的函数f#Pf2的几个示例。第一示例在于通过提取预定数量的低阶或高阶位,来截短认证咨询单或认证响应。当然,本发明并不限于这些示例。这样,在另一示例性实施例中,函数fjPf2能够在于提取偶数索引或奇数索引的位。在另一示例性实施例中,函数4和f 2可以是扩展函数,其基于I位的认证咨询单或认证响应来生成L位的询问,其中1〈L。为此,可使用分组密码函数。最后,在另一示例中,函数可在于截短数据,而函数&在于扩展数据。根据所使用的加密GPS版本,认证咨询单具有范围在于从简化咨询单的64位到几百位的尺寸。通常在加密GPS的各个版本中,询问具有范围从32位到64位的尺寸。函数fjP f2的选取则可通过这些数据的大小来指导。
[0121]这里描述用于非对称加密GPS算法的方法。本发明并不限于该算法。这样,所述方法应用于任何基于非对称加密的认证协议,对于所述非对称加密,可证明对于实体之一昂贵的计算要求通信信道的改变。例如,所述方法还适用于RSA协议(取自发明者的名字,“Rivest、Shamir和Adleman”),对于该协议,已知地,实施私密密钥的计算在资源方面比实施公共密钥的计算更昂贵。
[0122]将结合图3来描述根据本发明实施例的具体形式的无线电标签T。标签T适合于在依照结合图2所描述的方法步骤的相互认证序列的过程中与无线电阅读器(未在图3中示出)对话。
[0123]在这里所描述的具体示例中,标签T是无源设备,它在无线电阅读器的讯问期间从所述阅读器接收其能量。标签T包含:
[0124]-适合于向阅读器发送数据、并从阅读器接收数据的天线30,
[0125]-存储装置31,例如存储器,适合于存储加密GPS密钥对(sT,VT)的私密密钥sT、点P和至少与随机项r关联的认证咨询单χτ。在涉及加密GPS加密方案优化的变型实施例中,存储装置31还被设计为存储该优化所特有的元素,例如用于再生在简化咨询单的计算中所使用的随机项的私密再生密钥、一个或多个伪随机函数、和预先计算出的认证咨询单,
[0126]-硅芯片32,包含适合于构成不可编程硬连线逻辑的逻辑门的多个晶体管。所述硬连线逻辑定义:
[0127]-与天线30连接的装置,所述装置构成适合于向阅读器发送第一认证咨询单巧的发送装置33。发送装置33还被设计为向阅读器发送标签所计算的第一认证响应yT。
[0128]-与天线30连接的第一装置,所述装置构成适合于在第一通信信道上从阅读器接收第二认证咨询单知的第一接收装置34,
[0129]-与天线30连接的第二装置,所述装置构成被设计为在第二通信信道上从阅读器接收第二认证响应第二接收装置35,
[0130]-与天线30连接的装置,所述装置构成通信信道切换装置36,其被设计为从第一通信信道转换至第二通信信道以与阅读器通信。例如根据阅读器与标签分离的距离,来执行一个或另一频带的选取以与阅读器进行通信。例如,在无源标签的情况中,该切换可由标签根据它从阅读器接收的能量等级来控制。实际上,阅读器离标签越近,提供给标签的能量就越高。标签从而可被设计为检测已达到阅读器所提供的能量阈值,并从第一通信信道切换至第二通信信道。通过从第一信道切换至第二通信信道,在第一信道上与阅读器对话的标签选择响应第二信道上来自阅读器的呼叫。这样,当阅读器位于距离标签一米或几米级别远处时,所选频带为UHF频带。如果阅读器靠近标签至大概十厘米的距离,则切换装置36选择HF频带以用于阅读器和标签之间的通信;在根据本发明的方法的情况中,切换至其上标签具有更高能量的第二通信信道使得可能启动阅读器的认证,
[0131]-验证装置37,被设计为验证从阅读器接收的第二认证咨询单知等于通过将在椭圆曲线上将点P进行^次相加所获得的第一值、和在椭圆曲线上将公共密钥Vk进行c ,次相加所获得的第二值相加所获得的值。换言之,第二认证咨询单χκ等于:y KP+cKVK。这样,所述验证装置使得可能验证阅读器的可靠性,
[0132]-用于获得询问的装置38,被设计为基于认证咨询单来获得询问。更确切地,用于获得询问38的所述装置包含函数和函数f2。应用于第一认证咨询单χτ的第一函数匕使得可能获得由标签用来计算第一认证响应yT的第一询问cT。应用于第一认证响应的第二函数&使得可能获得由标签用来验证阅读器的可靠性的第二询问c Eo
[0133]发送装置33被设计为实施上述相互认证方法的发送步骤E21-1和E21-7。第一接收装置34被设计为实施接收第二咨询单χκ的步骤E21-5。第二接收装置35被设计为实施接收第二认证响应yK的步骤E22-3。验证装置37被设计为实施验证步骤E22-5。用于获得询问的装置38适合于实施步骤E22-4和E21-6。切换装置36被设计为实施切换步骤E21-llo
[0134]在变型实施例中,标签T是有源设备,其具有用于朝向位于附近的阅读器发射信号的电池。
[0135]将结合图4来描述根据本发明实施例的具体形式的无线电阅读器R。
[0136]无线电阅读器R是有源的射频发射设备,它通过向附近经过的标签(未在图4中示出)提供其所需能量来激活其。根据本发明的阅读器R适合于在依照根据本发明的方法的先前所描述的步骤的认证序列的过程中与标签对话。阅读器