• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    Eine Sende- beziehungsweise Übertragungsvorrichtung (100) zeigt eine Nachricht (102). Die Nachricht weist eine Nachrichtenlänge (104) auf und umfasst Nachrichtendaten (106). Eine Schlüsseleingabe (108) wird identifiziert und ein Nachrichtenauthentifikationsschlüssel (112) wird abgeleitet, basierend auf der Schlüsseleingabe und der Nachrichtenlänge. Basierend auf dem Nachrichtenauthentifikationsschlüssel und den Nachrichtendaten wird ein Nachrichtenauthentifikationscode (118) abgeleitet, der zur Authentifizierung der Nachricht verwendet wird.
    公开号:DE102004001490A1
    申请号:DE200410001490
    申请日:2004-01-09
    公开日:2004-08-19
    发明作者:Michael W. Arlington Heights Bright;Ronald L. Elgin Shaffer
    申请人:Motorola Solutions Inc;
    IPC主号:H04L9-32
    专利说明:
    [0001] Die vorliegende Erfindung beziehtsich im Allgemeinen auf ein Verfahren zur Authentifizierung einerNachricht.
    [0002] Es ist dem Fachmann bekannt, dassNachrichten unter Verwendung eines Verschlüsselungsalgorithmus, der mitdem Chiffre-Blockverkettungsverfahren ("CBC = cipher block chaining") arbeitet, um einenNachrichtenauthentifizierungscode ("MAC = message authentication code") zu erzeugen, authentifiziertwerden können.Bei der Verwendung von CBC-Verfahren zur Authentifizierung bestehenzwei Nachteile in der Schlüsselmanagementkomplexität und dermöglichenBeeinträchtigungaufgrund der Ausbreitung von Fälschungen.
    [0003] Die gemeinsame Benutzung von Schlüsseln durchSicherheitsdienste (z. B. Vertraulichkeit, Authentifizierung, etc.)kann möglicherweisedie Sicherheit des gesamten Systems beeinträchtigen; wenn ein gemeinsambenützterSchlüsseleines Sicherheitsdienstes aufgrund der Schwäche entweder des Aufbaus desSicherheitsdienstes, des Sicherheitsalgorithmus oder der speziellenImplementierung des Sicherheitsdienstes beeinträchtigt wird, dann wird dergemeinsame Schlüsselfür alleSicherheitsdienste, in denen dieser Schlüssel gemeinsam benutzt wird,beeinträchtigt.Deshalb ist es üblichund rechtmäßig, getrennteund unterschiedliche Schlüsselfür verschiedeneSicherheitsdienste zu verwenden. Dies erhöht jedoch die Anzahl der ineinem System verwendeten Schlüsselund es erhöhtdemzufolge den Aufwand zur Schlüsselverwaltungdieses Systems außerordentlich.Bei einem kleinen System mit einer begrenzten Anzahl von Benutzernund kryptografischen Gerätenmag dies kein Problem darstellen, aber sobald die Größe des Systemsund die Anzahl von kryptografischen Geräten zunimmt, nimmt die Komplexität und derAufwand fürdie Schlüsselverwaltungdeutlich zu. Bei großenSystemen, die sowohl eine Authentifizierung als auch andere Sicherheitsdienstebenützen,könnendie Anforderungen an die Schlüsselverwaltungleicht die Benutzermanagementmöglichkeitensowie die Leistungsfähigkeitdes Systems, Schlüsselzu verteilen, übersteigen.
    [0004] Der interne Aufbau des CBC-MAC erleichtert dieMöglichkeit,eine Nachricht zu fälschen,indem einfach Nachrichten-MAC-Paare gesammelt werden; dies wurdein der Fachliteratur veröffentlichtund ausgiebig diskutiert. Durch das Sammeln von genug Nachrichten-MAC-Paaren,um zwei verschiedene Nachrichten mit dem gleichen MAC zu finden,die auch nach dem Anhängeneiner identischen beliebigen Zeichenfolge an beide Nachrichten dengleichen sich ergebenden MAC aufweisen, kann eine Nachricht miteinem authentischen MAC gefälschtwerden. Diese Art von Angriff auf einen CBC-MAC ist als Anhangsfälschungsangriff ("forgery extensionattack") bekannt.Eine möglicheLösungfür einenAnhangsfälschungsangriffbesteht darin, verschiedene Schlüsselzur Authentifizierung von Schlüsselnmit unterschiedlicher Längezu verwalten, wodurch die Anforderungen an die Schlüsselverwaltungweiter erhöhtwerden.
    [0005] Es sind einige Lösungskonzepte vorgeschlagenworden, um die Probleme der Schlüsselverwaltungund der Anhangsfälschungenzu entschärfen. Umdas Schlüsselverwaltungsproblemzu lösen,könnendie Systeme eine Infrastruktur mit einem öffentlichen Schlüssel ("PKI = public keyinfrastructure"),basierend auf der Kryptographie mit öffentlichen Schlüsseln, verwenden,um entweder digitale Unterschriften zur Authentifizierung bereitzustellenoder einen automatischen Schlüsselaustauschoder eine Schlüsselübereinkunftvon Authentifizierungsschlüsselnals auch von Schlüsselfür andereSicherheitsdienste zu ermöglichen.Die PKI kann jedoch die Entwicklungskosten sowie die Kosten desSystems erhöhen,da weitere Einrichtungen, wie eine Zertifizierungsstelle, benötigt werden.Die PKI ist zudem mit ihrer Komplexität verbunden, da Zertifizierungswiderrufslisten("CRLs = certificaterevocation lists")gepflegt und verteilt werden müssen.Die Kryptographie mit öffentlichenSchlüsselnhat ihre eigenen Nachteile, die darin liegen, dass sie tendenzielllangsamer ist, eine höhereKommunikationsbandbreite benötigt unddass der Stand der Technik keine gleichzeitige Multipunktsschlüsselübereinkunftoder keinen gleichzeitigen Multipunktsschlüsselaustausch ermöglicht.
    [0006] Es wurden auch andere MAC-Algorithmen vorgeschlagen,die auf von den CBC-MAC abweichenden Konstrukten basieren, die nichtden Anhangsfälschungsangriffenerliegen. Beispielsweise basiert der Hash-Nachrichtenauthentifizierungscode HMAC("HMAC = hash messageauthentication code")auf der Verwendung von Hash-Algorithmen, wie beispielsweise MD5("MD5 = messagedigest v5") oderSHA-1 ("SH1 = securehash algorithm v1"),mit einem geheimen Schlüssel,um MACs zu erzeugen. Der Nachteil hierbei besteht entweder in derZusammenarbeitsmöglichkeitoder den technischen Ressourcen. CBC-MAC ist ein seit Jahren eingeführtes Authentifizierungsverfahrenund als solches benutzen Millionen von bestehenden Geräten, Protokollen undStandards CBC-MAC, was es fürCBC-MAC notwendig macht, diese Architekturen einfach mit einem Ersatzumzurüsten.Viele dieser Systeme besitzen zudem begrenzte Ressourcen (Millionenvon Anweisungen pro Sekunde ("MIPS= millions of instructions per second"), Speicher, Gatter, etc.), so dassdie Fähigkeitzur Nutzung von Kernkonstruktionen zwischen Sicherheitsdienstennotwendig ist. Die Fähigkeitzur Nutzung einer Kernkonstruktion zur Authentifizierung und für andereSicherheitsdienste, wie beispielsweise die Vertraulichkeit, istein Vorteil fürdiese Systeme. Lösungen,wie beispielsweise HMAC, könnennicht fürdie Vertraulichkeit wiederverwendet werden, was diese Lösungen wenigakzeptabel macht, wohingegen CBC sowohl bei der Authentifizierungals auch bei der Vertraulichkeit benutzt werden kann. Da die zummomentanen Stand der Technik zählendenKryptographietechniken mit öffentlichenSchlüsseln,mit Ausnahme der Schlüsselverteilung,nicht fürdie Vertraulichkeit akzeptierbar sind, ist die PKI aufgrund derLeistungsfähigkeitund der erforderlichen erheblichen Umstrukturierung von bestehendenEinrichtungen, Systemen und Standards ebenfalls kein akzeptablerErsatz.
    [0007] Aus diesem Grunde besteht Bedarf,die Anhangsfälschungsangriffezu beseitigen und die Anzahl der in einer Einrichtung und/oder einemSystem zu verwaltenden Schlüsselzu reduzieren. Gleichzeitig ist es notwendig, dass die Ersatzmethodikeinfach in derzeit implementierten Systemen unter Verwendung einesMinimums an Ressourcen nachgerüstet werdenkann.
    [0008] Die Eigenschaften der vorliegendenErfindung sind insbesondere in den beigefügten Ansprüchen dargelegt. Die Erfindung,zusammen mit ihren bevorzugten Ausführungsformen, kann am besten unterBezugnahme auf die zugehörigenZeichnungen verstanden werden, in denen
    [0009] 1 eineinfaches Blockdiagramm eines Chiffreblockverkettungs-Nachrichtenauthentifizierungscodes("CBC-MAC") mit Schlüsselableitungsmechanismusgemäß der vorliegendenErfindung zeigt;
    [0010] 2 eindetailliertes Blockdiagramm des Schlüsselableitungsmechanismus von 1 gemäß der bevorzugten Ausführungsformder vorliegenden Erfindung zeigt; und
    [0011] 3 eineTabelle mit Alternativen der im Schlüsselableitungsmechanismus undim CBC-MAC verwendeten Kryptographiealgorithmen gemäß der vorliegendenErfindung zeigt.
    [0012] Detaillierte Beschreibung der bevorzugten AusführungsformEs ist klar, dass zum Zweck der Einfachheit und der Klarheit derDarstellungen die abgebildeten Elemente nicht notwendigerweise maßstäblich gezeichnetwurden. Beispielsweise sind die Dimensionen einiger der Elementeim Vergleich zu den anderen übertrieben.Weiterhin wurden, wo es angemessen erschien, Bezugszeichen in denZeichnungen wiederholt, um identische Elemente anzuzeigen.
    [0013] Die vorliegende Erfindung authentifizierteine Nachricht, indem sie einen Nachrichtenauthentifizierungscode("MAC = messageauthentication Code") aufsichere Weise aus der Längeder Nachricht und aus einer momentan lokal im Übertragungsgerät gespeichertenSchlüsseleingabe(z.B. ein Verkehrsschlüssel,ein Schlüssel-Verschlüsselungsschlüssel, einPasswort etc.) ableitet. Ein Vorteil der vorliegenden Erfindungbesteht darin, dass sie lediglich erfordert, dass Systeme Schlüsseleingabenverwalten, da die möglicheBeeinträchtigungdes Schlüssels,der zur Authentifizierung der Nachricht benutzt wird, im Folgendenals Nachrichtenidentifizierungsschlüssel ("MAK = message authentication key") bezeichnet, nichtdie Schlüsseleingabebeeinträchtigt.Der zusätzlicheSpeicherplatz und der Aufwand, der zur Schlüsselverwaltung getrennter MAKserforderlich ist, ist nicht notwendig. Wie im Folgenden im Detail beschriebenwird, kann, da der Algorithmus zur Ableitung des MAKs durch dieLänge derNachricht initialisiert wird, fürNachrichten mit unterschiedlicher Länge aus der gleichen Schlüsseleingabeein unterschiedlicher MAK abgeleitet werden. Somit besteht ein weitererVorteil der vorliegenden Erfindung darin, dass sie Anhangsfälschungsangriffe,speziell gegen Chiffre- Blockverkettungs-MAC("CBC = cypher block chaining"), reduziert bzw.beseitigt, indem fürNachrichten mit unterschiedlichen Längen unterschiedliche MAKserzeugt werden und die Anzahl der von der Einrichtung und/oder demSystem zu verwaltenden Schlüsselreduziert wird.
    [0014] 1 zeigtein einfaches Blockdiagramm der vorliegenden Erfindung. Gemäß der vorliegendenErfindung erzeugt ein Übertragungs-bzw. Sendegerät 100 eineNachricht 102, die eine Authentifizierung benötigt. DieNachricht 102 besitzt eine Nachrichtenlänge 104 und umfasstDaten 106. Bei der Erzeugung der Nachricht 102 wirddie Längeder Nachricht 104 und eine momentan im Sendegerät 100 gespeicherteSchlüsseleingabe 108,beispielsweise ein Schlüssel,der zur Vertraulichkeit, Authentifizierung, Schlüsselverschlüsselung oder ähnlichem verwendetwird, in einen Schlüsselableitungsmechanismus 110 eingegeben.Der Schlüsselableitungsmechanismus 110 istein sicherer Mechanismus zur Ableitung des neuen Schlüssels 112,auf den im Folgenden als der MAK Bezug genommen wird, aus der momentangespeicherten Schlüsseleingabe 108 und derNachrichtenlänge 104.Es sollte klar sein, dass jeglicher Mechanismus zur Ableitung einessicheren Schlüsselsverwendet werden kann und, solange der Mechanismus die Nachrichtenlänge 104 derNachricht 102 in Bytes oder Bits als Eingabe verwendet, innerhalbdes Grundgedankens und des Anwendungsbereichs der vorliegenden Erfindungliegt. Sowie der MAK 112 abgeleitet ist, wird der MAK 112 zusammenmit den Nachrichtendaten 106 als Eingabe für einenCBC-MAC-Generator 116 verwendet, um die Nachricht 102 zuauthentifizieren. Der CBC-MAC-Generator 116 ist ein Authentifizierungsverfahren,dass zur Ableitung eines MAC-Wertes 118 verwendetwird; der CBC-MAC-Generator 116 ist dem Fachmann hinreichendbekannt und wird deshalb nicht weiter im Detail diskutiert. DerMAC-Wert 118 wird dann an ein Empfangsgerät (nichtgezeigt) zusammen mit der Nachricht 102 zum Zweck der Authentifizierunggesendet bzw. übertragen.
    [0015] Die bevorzugte Ausführungsformdes Schlüsselableitungsmechanismus 110 wirdunter Bezugnahme auf die 2 ausführlicherbeschrieben, in der sich gleiche Bezugszeichen auf die gleichen Elementeder 1 beziehen. Wiegezeigt, wird, wenn das Sendegerät 100 diezu authentifizierende Nachricht 102 erzeugt, das RegisterA 200 mit einem der Nachrichtenlänge 104 der Nachricht 102 entsprechendemWert initialisiert. Der Anfangswert des Registers A 200 istbis N/2 Bits mit Nullen gefüllt,wobei N die Anzahl von Bits der Blockgröße des Schlüsselableitungsalgorithmus 202 ist.Einige Beispiele des Schlüsselableitungsalgorithmus 202 sindin der in 3 dargestelltenTabelle skizziert. Wenn der Schlüsselableitungsalgorithmus 202 beispielsweise aufdem AES ("AES =advanced encryption standard")basiert, beträgtdie Blockgröße N 128 Bits,wobei der Anfangswert des Registers A 200 gleich dem Wertist, welcher der bis 64 Bits (N/2 entsprechend) mit Nullen aufgefüllten Nachrichtenlänge 104 entspricht;in ähnlicherWeise beträgt,wenn der Schlüsselalgorithmus 102 aufdem DES ("DES =data encryption standard")oder dem Dreifach-DES-Algorithmus basiert, die Blockgröße N 64Bits, wobei der Anfangswert des Registers A 200 gleichdem Wert ist, welcher der bis zu 32 Bits (N/2 entsprechend) mit NullenaufgefülltenNachrichtenlänge 104 entspricht. Esist fürden Fachmann naheliegend, dass andere, nicht in der in 3 abgebildeten Tabelle skizzierten Algorithmenverwendet werden könnenund noch innerhalb des Grundgedankens und des Anwendungsbereichsder vorliegenden Erfindung liegen.
    [0016] Erneut auf 2 Bezug nehmend, umfasst der Schlüsselableitungsmechanismus 110 eine Mehrzahlvon Registern: Register R1 ... RegisterRn. Um die Erläuterungen der 2 zu erleichtern, wird angenommen, dassder Schlüsselableitungsalgorithmus 202 denAES-256 verwendet, der einen Schlüssel mit einer Länge von 256Bits aufweist, wodurch die Register R1 ...Rn mit einem Teil des Werts initialisiertwerden, welcher der momentan im Gerät 100 gespeichertenSchlüsseleingabe 108,aufgeteilt in Blöckevon N/2 Bits (d. h., 64 Bits), zugeordnet ist. Es sollte beachtetwerden, dass das Register R1 in der bevorzugtenAusführungsform ausAnordnungsgründenmit den höchstwertigenBits der Schlüsseleingabe 108 unddas Register Rn mit den niedrigstwertigenBits der Schlüsseleingabe 108 initialisiertwerden. Um den Wert von n (die Anzahl der Register R1 ...Rn) zu bestimmen, wird die Anzahl der Bitsder Schlüsseleingabe 108 (welche 256 beträgt) durchN/2 (was 64 entspricht) dividiert; als Ergebnis gibt es in diesemBeispiel vier Register: Register R1 204,Register R2 206, Register R3 208 und Register R4 210,wovon jedes 64 Bits enthält.Der im Schlüsselableitungsmechanismus 110 verwendete Algorithmus 202 wirdebenfalls mit dem Wert der Schlüsseleingabe 108 initialisiert.Wie oben erwähnt, sindin der in 3 abgebildetenTabelle verschiedene Schlüsselableitungsalgorithmenskizziert.
    [0017] Schließlich wird in der bevorzugtenAusführungsformder Wert des Zählerst 212 mit 1 initialisiert. Bei der vorliegenden Erfindungist der Zählert 212 ein Schleifenzähler.In der bevorzugten Ausführungsformerhöhtsich der Zählert 212 um 1, bis er das 6-fache des Wertes von n erreicht;im vorliegenden Beispiel beträgtdas 6-fache des Wertes von n 24, weshalb das nachfolgend beschriebeneiterative Verfahren in diesem Beispiel 24 mal durchgeführt wird.
    [0018] Jetzt, da jedes der Register 200, 204, 206, 208 und 210 sowieder Zähler 212 initialisiertist, führt derSchlüsselableitungsmechanismus 110 seineerste Iteration durch. Bei der ersten Iteration werden der Anfangswertim Register A (welcher N/2 Bit lang ist) und der Anfangswert imRegister R1 (welcher N/2 Bit lang ist) verkettet,um einen verketteten Wert 214 (welcher N Bit lang ist)zu erzeugen. Es wird ein ECB-Modus ("ECB = electronic codebook") des Schlüsselableitungsalgorithmus 202 verwendet,um den verketteten Wert 214 zu verschlüsseln und eine verschlüsselte Ausgabe 216 zuerzeugen. Die verschlüsselteAusgabe 216 wird in zwei N/2 große Blöcke aufgeteilt: eine höchstwertigeHälfte 218 (dieN/2 Bit lang ist) und eine niedrigstwertige Hälfte 220 (die N/2Bit lang ist). Das Register A 200 wird dann auf den Wertgesetzt, der aus einer Exklusiv-Oder-Vernüpfung der höchstwertigen Hälfte 218 derverschlüsseltenAusgabe 216 mit dem momentanen Wert des Zählers t 212 resultiert,und das Register R1 204 wird aufeinen Wert gleich der niedrigstwertigen Hälfte 220 der verschlüsseltenAusgabe 216 gesetzt. Sowie das Register A 200 unddas Register R1 204 auf ihre entsprechendenneuen Werte gesetzt sind, wird der Zähler t 212 um 1 erhöht und dienächsteIteration findet statt.
    [0019] Fürdie zweite Iteration wird nun der momentan im Register A 200 gespeicherteWert mit dem im Register R2 206 gespeichertenAnfangswert verkettet und der Prozess wieder holt sich, um den neuenverketteten Wert 214, die neue verschlüsselte Ausgabe 216,und die höchstwertigeHälfte 218 sowiedie niedrigstwertige Hälfte 220 derverschlüsseltenAusgabe 220 zu erzeugen. Bei der zweiten Iteration wird dasRegister A 200 dann auf den Wert gesetzt, der aus einerExklusiv-Oder-Verknüpfungder höchstwertigenHälfte 218 mitdem momentanen Wert des Zählerst 212 resultiert, und das Register R2 206 wirdauf einen Wert gleich dem momentanen Wert der niedrigstwertigenHälfte 220 derverschlüsselten Ausgabe 216 gesetzt.Sowie das Register A 200 und das Register R2 206 mitihren jeweiligen neuen Werten gesetzt sind, wird der Zähler t 212 wiederum 1 erhöht.Dieser iterative Vorgang wird sechs mal n Iterationen (d. h. t =6*n) durchgeführt,kontinuierlich die Register R1 ... Rn 204–210durchlaufend, bis die letzte Iteration durchgeführt ist. Es ist wichtig anzumerken, dassdieser iterative Vorgang wie beschrieben in einer Software oderin einer Hardware stattfinden kann, indem die Werte der RegisterR1 ... Rn nach linksgeschoben werden und immer der momentane Wert des Registers A 200 mitdem momentanen Wert des Registers R1 verkettetwird, fürsechs mal n Iterationen. Demzufolge wird der Fachmann leicht verstehen,dass eine Kombination von Software und Hardware oder andere Verfahren,die das iterative Verfahren mit Software und/oder Hardware implementieren, implementiertwerden könnenund noch im Grundgedanken und Anwendungsbereich der vorliegenden Erfindungliegen; beispielsweise kann ein Speichermedium einen Satz von Anweisungengespeichert haben, der, wenn er in ein Hardwaregerät (beispielsweiseeinen Mikroprozessor oder ähnliches)geladen wird, das Hardwaregerätveranlasst, die Funktionen der vorliegenden Erfindung durchzuführen.
    [0020] Die momentan in den Registern R1 ... Rn nach sechsmal n Iterationen gespeicherten Werte des in 2 beschriebenen iterativen Verfahrens werdenverwendet, um den MAK 112 zu bilden. Der MAK 112 wirddann in den CBC-MAC-Generator 116 eingegeben,zusammen mit den Nachrichtendaten 106, um den MAC-Wert 118 abzuleiten.
    [0021] Fürdiejenigen, die im Schreiben/Lesen von Softwareprogrammen versiertsind, kann der iterative Prozess des unter Bezugnahme auf 2 beschriebenen Schlüsselableitungsmechanismus 110 alsder nachstehende Pseudocode zusammengefasst werden: Eingaben:Schlüssel,n N/2-Bit Werte {K1, K2,...Kn} Schlüssel,K Ausgaben: MAK 1) Initialisiere Variablen SetzeA = Längeder Nachricht in Bits oder Bytes, aufgefüllt mit Nullen bis N/2 Bit(0 || Nachrichtenlänge) Setzet = 1 Initialisiere Kernschlüsselableitungsalgorithmus mit Schlüssel Für i = 1bis n Ri = Ki 2) Berechne Zwischenwerte Für i = 0 bis 5 Für j = 1bis n B = ECBSchlüssel (A || Rj) A= t ⨁ MSBN/2 (B) Rj = LSBN/2 (B) t = t + 1 3) Gebe die Ergebnisse aus Setze MAK = (R1 ||R2 || ... || Rn)
    [0022] Sowie der MAC-Wert 118 abgeleitetist, wird der MAC-Wert 118 andas Empfangsgerät(nicht gezeigt) gesendet, zusammen mit der Nachricht 102. BeimEmpfang der Nachricht 102 des MAC-Wertes 118 führt dasEmpfangsgeräteine CBC-MAC-Verifikationdurch, indem es unter Verwendung des oben beschriebenen Verfahrensversucht, den MAC-Wert 118 unabhängig abzuleiten; es wird angenommen, dassdas Empfangsgerätdie Schlüsseleingabe 108 lokalgespeichert hat. Das Empfangsgerätvergleicht dann das Ergebnis des unabhängig abgeleiteten MAC-Wertsmit dem empfangenen MAC-Wert 118. Wenn die MAC-Werte gleichsind, ist die Verifikation erfolgreich und die Nachricht 102 wirdals authentisch betrachtet. Wenn die MAC-Werte nicht zueinander passen,ist die Verifikation erfolglos und die Nachricht 102 wirdals nicht authentisch betrachtet; vorzugsweise werden nicht authentischeNachrichten verworfen oder alternativ von dem Empfangsgerät als nichtauthentisch markiert.
    [0023] Obwohl die Erfindung in Verbindungmit speziellen Ausführungsformenbeschrieben wurde, werden dem Fachmann zusätzliche Vorteile und Modifikationenleicht einfallen. Die Erfindung in ihren weitergefassten Gesichtspunktenist deshalb nicht auf spezielle Details, repräsentative Vorrichtungen und dieillustrativen abgebildeten und beschriebenen Beispiele beschränkt. VerschiedeneAbänderungen,Modifika tionen und Veränderungensind fürden Fachmann im Licht der vorangegangenen Beschreibung naheliegend.Demzufolge sollte klar sein, dass die Erfindung nicht auf die vorangegangeneBeschreibung beschränktist, sondern alle dem Grundgedanken und dem Geltungsbereich derbeigefügtenAnsprücheentsprechenden Abänderungen,Modifikationen und Variationen einschließt.
    [0024] Außerdem sind die Begriffe "ein", "einer", "eine", sowie sie hierbenutzt wurden, als eines oder mehr als eines definiert. Der Begriff "Mehrzahl" bzw. "Vielzahl", so wie er hierbenutzt wurde, definiert zwei oder mehr als zwei. Der Begriff "weitere", so wie er hierbenutzt wurde, definiert mindestens ein zweites oder mehr. Die Begriffe "beinhalten" und/oder "mit", sowie sie hierbenutzt wurden, sind als einschließend (d. h. offener Sprachgebrauch)definiert.
    权利要求:
    Claims (10)
    [1] Verfahren zur Authentifizierung einer Nachricht,wobei das Verfahren folgende Schritte umfasst: Erzeugen einerNachricht, die eine Nachrichtenlänge aufweistund Nachrichtendaten umfasst; Identifizieren einer Schüsseleingabe; Ableiteneines Nachrichtenauthentifizierungsschlüssels basierend auf der Schlüsseleingabeund der Nachrichtenlänge; Ableiteneines Nachrichtenauthentifizierungscodes basierend auf dem Nachrichtenauthentifizierungsschlüssel undden Nachrichtendaten; und Verwenden des Nachrichtenauthentifizierungscodes zurAuthentifizierung der Nachricht.
    [2] Verfahren nach Anspruch 1, wobei der Schritt desAbleitens des Nachrichtenauthentifizierungsschlüssels das Eingeben der Schlüsseleingabeund der Nachrichtenlängein einen Schlüsselableitungsmechanismusbeinhaltet.
    [3] Verfahren nach Anspruch 2, wobei der Schlüsselableitungsmechanismuseinen Schlüsselableitungsalgorithmusum fasst, und wobei der Schlüsselableitungsalgorithmusmit der Schlüsseleingabeinitialisiert wird.
    [4] Verfahren nach Anspruch 2, wobei der Schlüsselableitungsmechanismuseine Mehrzahl von Registern umfasst, und wobei mindestens ein Register mitder Nachrichtenlängeinitialisiert wird und mindestens ein Register mit mindestens einemTeil der Schlüsseleingabeinitialisiert wird.
    [5] Verfahren nach Anspruch 2, wobei der Schlüsselableitungsalgorithmusmindestens auf einem der nachfolgenden Standards basiert: einemAdvanced-Encryption-Standard, und einem Triple-Data-Encryption-Standard.
    [6] Verfahren nach Anspruch 1, das weiterhin die Schrittedes Sendens der Nachricht und des Nachrichtenauthentifizierungscodesan einen Empfänger umfasst,wobei der Empfängerdie Schlüsseleingabe identifiziertund die Schlüsseleingabemit der Nachrichtenlängeverwendet, um den Nachrichtenauthentifizierungsschlüssel undden Nachrichtenauthentifizierungscode unabhängig abzuleiten.
    [7] Verfahren nach Anspruch 6, wobei der Empfänger denempfangenen Nachrichtenauthentifizierungscode mit dem unabhängig abgeleitetenNachrichtenauthentifizierungscode vergleicht.
    [8] Verfahren nach Anspruch 7, wobei der Empfänger dieNachricht als authentisch betrachtet, wenn der empfangene Nachrichtenauthentifizierungscode identischmit dem unabhängigabgeleiteten Nachrichtenauthentifizierungscode ist.
    [9] Verfahren nach Anspruch 7, wobei der Empfänger dieNachricht als nicht authentisch betrachtet, wenn der empfangeneNachrichtenauthentifizierungscode nicht identisch mit dem unabhängig abgeleitetenNachrichtenauthentifizierungscode ist.
    [10] Speichermedium, auf dem ein Satz von Anweisungengespeichert ist, der, wenn er in ein Hardwaregerät geladen wird, das Hardwaregerät zum Ausführen derfolgenden Funktionen veranlasst: Erzeugen einer Nachricht,die eine Nachrichtenlänge aufweistund Nachrichtendaten umfasst; Identifizieren einer Schlüsseleingabe; Ableiteneines Nachrichtenauthentifizierungsschlüssels basierend auf der Schlüsseleingabeund der Nachrichtenlänge; Ableiteneines Nachrichtenauthentifizierungscodes basierend auf dem Nachrichtenauthentifizierungsschlüssel undden Nachrichtendaten; und Verwenden des Nachrichtenauthentifizierungscodes zurAuthentifizierung der Nachricht.
    类似技术:
    公开号 | 公开日 | 专利标题
    EP3318043B1|2020-09-16|Gegenseitige authentifizierung von vertraulicher kommunikation
    CN107196966B|2020-04-14|基于区块链的多方信任的身份认证方法和系统
    Aziz et al.1994|Privacy and authentication for wireless local area networks
    US9077521B2|2015-07-07|Method and system for secure communication
    Toorani et al.2008|SSMS-A secure SMS messaging protocol for the m-payment systems
    KR101714108B1|2017-03-08|검증가능 누출 방지 암호화 및 복호화
    JP5432156B2|2014-03-05|Uiccと端末との間のセキュア通信方法
    JP4723251B2|2011-07-13|機器固有の機密保護データの安全な組み込みと利用
    JP2017175624A|2017-09-28|Encryption key generation
    US8712046B2|2014-04-29|Cryptographic key split combiner
    CN1777096B|2010-09-29|用于口令保护的方法和设备
    KR101095239B1|2011-12-20|보안 통신
    KR100675836B1|2007-01-29|Epon 구간내에서의 링크 보안을 위한 인증 방법
    KR100674390B1|2007-01-26|무선 통신장치의 인증을 위한 보안 프로세싱
    US6993652B2|2006-01-31|Method and system for providing client privacy when requesting content from a public server
    US8966276B2|2015-02-24|System and method providing disconnected authentication
    DE60314060T2|2008-01-24|Verfahren und Vorrichtung zur Schlüsselverwaltung für gesicherte Datenübertragung
    US5661807A|1997-08-26|Authentication system using one-time passwords
    US5815573A|1998-09-29|Cryptographic key recovery system
    US7373509B2|2008-05-13|Multi-authentication for a computing device connecting to a network
    CA2071413C|1999-01-05|Method to establish and enforce a network cryptographic security policy in a public key cryptosystem
    JP4593533B2|2010-12-08|System and method for updating keys used for public key cryptography
    US5142578A|1992-08-25|Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors
    US8130961B2|2012-03-06|Method and system for client-server mutual authentication using event-based OTP
    US8788802B2|2014-07-22|Constrained cryptographic keys
    同族专利:
    公开号 | 公开日
    IL159804D0|2004-06-20|
    GB2397203A|2004-07-14|
    CA2454974C|2009-07-14|
    US20040139321A1|2004-07-15|
    CA2454974A1|2004-07-10|
    GB0400419D0|2004-02-11|
    GB2397203B|2005-04-06|
    US7613925B2|2009-11-03|
    MY134483A|2007-12-31|
    IL159804A|2008-11-03|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2004-08-19| OP8| Request for examination as to paragraph 44 patent law|
    2011-02-10| 8131| Rejection|
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]