CN100566246C - 保护电子芯片免受欺骗的公钥加密方法 - Google Patents

Abstract

一种在应用方与电子芯片交易中保护电子芯片免受欺骗的不对称加密方法，包括在电子芯片中根据输入参数计算一个鉴别值V，该方法包括下列步骤：芯片借助包括在该芯片中的串行伪随机发生器产生专用于该交易的伪随机数r；芯片向应用方发送参数x，该参数由应用方在交易前事先计算并通过数学关系与随机数r相关联及被存储在芯片的数据存储器中；芯片借助一个串行函数计算参数y，作为该函数的输入参数至少包括专用于交易的随机数r及属于不对称密钥对(s，p)的私钥p，该参数y构成鉴别值V的全部或一部分，该串行函数由一个算术函数组成；芯片向应用方发送该鉴别值V；及应用方借助一个验证函数来验证所述鉴别值V，该验证函数的输入参数仅包括至少包含公钥p的公共参数。

Description

保护电子芯片免受欺骗的公钥加密方法

技术领域

本发明涉及密码技术领域。具体地，本发明涉及芯片与应用方之间的交易中保护电子芯片免受欺骗的加密方法。

本发明可有利地得到应用，即它允许保护具有布线逻辑的集成电路的芯片或微处理机的芯片以防止其诈用，尤其是保护装设在可在各种交易中使用的预付费卡上的芯片，这些交易例如为：建立电话通信，支付自动售货机中的物品，根据停车计时器收费的停车位，支付如公共交通或使用公共基础设施(通行税，博物馆，图书馆，...)的服务。

背景技术

当前，预付费卡易于受到不同类型的欺骗使用。第一类的欺骗包括未经授权的复制卡，“克隆”一词常常被用来表征这种操作。第二类的欺骗包括修改属于卡的数据、尤其是登在卡中的总信贷金额。为了与诈用作斗争，将借助于加密，一方面通过鉴别来保证卡的证实和/或通过数字签名来保证数据的证实，及另一方面通过译成密码以保证必要时的数据机密。加密涉及两个实体，即一个鉴别情况下的验证方及一个被验证体，及该加密可为对称的，或不对称的。当它是“对称”(或“使用密钥”，这两个词语互换)时，两个实体真正分享相同信息、尤其是一个密钥。当它是不对称(或“使用公钥”，这两个词语互换)时，这两个实体之一具有一对钥，其中一个为密钥，另一个为公钥；不具有密钥的分享。在许多系统中，尤其当芯片为“布线逻辑电路”类型时，仅是对称加密被预付费卡使用，因为不对称加密太慢及昂贵。为对称加密开发的鉴别的主要机制包括：一次性地计算一个鉴别值，该值对于每个卡不同；将该鉴别值存储到卡的存储器中；在每次交易时读出它及通过询问支持交易的网络的一个应用方来验证该值，在此已被赋予的鉴别值被存储或被再计算。该机制提供的保护仍不充分，因为鉴别值可被人窥探，被复制及再被欺诈地使用，这是由于对于一种给定卡鉴别值总是相同的，由此能够实现该卡的“克隆”。为了防止该复制，卡的被动鉴别机制被主动鉴别机制取代，该主动鉴别机制还可保证数据的完整性。

主动对称鉴别机制的主要原理如下：当鉴别时，电子芯片及应用方计算一个鉴别值，该值是对每次鉴别所确定的一个变元(argument)表施加一个函数的结果值；该变元表可包括：一个随机数，该随机数是在每次鉴别时由应用方确定的一个数据元素；包含在电子芯片中的数据元素及电子芯片与应用方均已知的秘密密钥。当由电子芯片计算的鉴别值与应用方计算的鉴别值相同时，该电子芯片被判断为真实的及电子芯片与应用方之间的交易被授权。

这种鉴别机制已被广泛地公知，但大部分需要的计算能力至少等于一个微处理机所拥有的计算能力。因此，该机制适合于微处理机，但很难适合具有硬布线逻辑电路的芯片，后者设有过于基本的计算装置。

当对称主动鉴别机制能够结合在具有布线逻辑电路的芯片中时，就已迈出了第一步。例如，在2002年12月27日以申请号FR 2826531公开的法国专利申请中描述了详细说明该机制的一个方法。应注意到，正如所述法国专利申请所指导的，由该机制产生的鉴别值也可被解释为通过改变至少一个输入参数的一个伪随机位序列，及由此该鉴别值计算方法变成了一个伪随机位的发生方法。

然而，该使用密钥的机制要求负责芯片鉴别的验证装置-如设置在公共电话、电子付费终端或公共交通入口中的验证装置-必需知道所述芯片所持有的密钥。由此带来一个较大的缺点，即，如果希望所述装置能够鉴别被发行的与应用方相关地的任何芯片，该装置应存储所有这些芯片的密钥，或应存储一个基本钥、主钥或母钥，以便能确定任何芯片的秘密密钥。在这两种情况下，每个这样的装置将存储足够的信息，以便能够再求得所有被发行的芯片的秘密密钥，由此也就存储了能够制造它们中任何芯片的复制品的足够信息。因此，对付任何这样的装置的成功入侵将会摧毁应用方整体的安全性。

发明内容

因此存在着一个紧迫的需要，即应能将使用公钥的主动鉴别机制纳入具有布线逻辑电路的芯片中、尤其是使用大量芯片的应用中，这通常是指使用具有布线逻辑电路的芯片的应用场合，因为它非常地便宜。不过这样的机制目前还不存在。其原因是使用公钥的机制通常需要对大数目进行大量运算，及由此它不适合纳入具有布线逻辑电路的芯片，在该芯片中硅的表面积很小，及它的计算逻辑缩减到极其基本的运算布线。这些基本运算通常是串行地执行的，意即其操作数是一位接一位顺序地引入的，这种引入方式累进地改变内部寄存器的状态，该寄存器的最终值作为计算函数结果的基数。

本发明涉及使用公钥主动鉴别机制，它可以使用在具有布线逻辑电路的芯片中。

更确切地，本发明涉及一种在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的加密方法，尤其适用于具有布线逻辑电路的芯片，及尤其旨在设置一种鉴别机制，它没有上述对称加密的缺点，以便在整体上使应用方的安全性得以增强，并尤其使复制更难产生。

为此目的，本发明给出一种在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该方法包括，在电子芯片中根据输入参数计算一个鉴别值V，所述方法包括下列步骤：

-芯片借助包括在该芯片中的串行伪随机发生器产生一个适用于该交易的伪随机数r，

-芯片向应用方发送一个参数x，该参数由应用方在交易前事先计算并通过数学关系与随机数r相关联，及被存储在芯片的数据存储器中，

-芯片借助一个串行函数计算一个参数y，作为该函数的输入参数至少为专用于交易的随机数r及属于不对称密钥(s，p)的一个私钥p，该参数y构成鉴别值V的全部或一部分，

-芯片向应用方发送一个鉴别值V，及

-应用方借助一个验证函数来验证所述鉴别值V，该验证函数的输入参数仅包括至少包含公钥p的公共参数。

为此目的，本发明还给出一种电子芯片装置，通过电子芯片根据输入参数计算一个鉴别值V，它能够实施根据本发明的、在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该装置包括：

-一个串行伪随机发生器，产生一个专用于该交易的随机数r，

-第一存储装置，在其中存储至少一个x的值，该参数x的值在交易前事先由应用方计算及通过一个数学关系与随机数r的值相关联，

-从电子芯片向应用方发送与专用于交易的随机数r相关联的参数x的发送装置，

-实现串行函数的装置，作为该函数的输入参数至少具有专用于交易的随机数r及属于不对称密钥对(s，p)的一个私钥s，及提供一个参数y作为输出，

-用于至少由参数y构成鉴别值V的输出装置。

为此目的，本发明还给出一种验证装置，它用于实施根据本发明目的的、在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该方法包括验证由电子芯片根据专一公共参数计算的鉴别值V。该装置包括用于执行该校验函数的装置，该函数至少采用鉴别值V及公钥P作为输入。

根据本发明的方法的优点是，允许仅借助公共参数产生可验证的鉴别值V，该公共参数仅由串行函数产生，这就是说，这种函数顺序地处理构成其输入的参数的各位。

该加密方法及装置的输入参数以串行函数的方式被处理，该函数在其输出上提供与输入参数全部或一部分相关的数据元素作为其输出。

该方法及装置的输入参数属于一个表，在使用该鉴别机制的情况下，该表包括：至少一个识别号I，一个私钥s，与该私钥s相对应的公共密钥p，该公钥的一个证书，由验证装置提供的第二随机数t。

用于计算随机数r的串行伪随机发生器可有利地基于上述在2002年12月27日以申请号FR 2826531公开的法国专利申请中所述类型的对称鉴别方法。由此，如果用f(K，M)表示这种方法的计算函数，其中符号K表示对称密钥及M表示函数f的其它操作数的集合，则随机数r可通过将不同的值M重复代入该函数f并保持同一值K来产生。作为一个例子，如果f的输出值z的字长等于k比特及如果随机数r的字长等于16k比特，在芯片第一次鉴别时使用的第一随机数r被选择为16个输出值f(K，M₁)，f(K，M₂)，...，f(K，M₁₆)的关联量(concatenation)，第二随机数被选择为16个输出值f(K，M₁₇)，f(K，M₁₈)，...，f(K，M₃₂)的关联量等，所有的值M_i彼此不同(典型地，值M_i+1由增加值M_i获得)。有很多使用鉴别方法的方式用于伪随机产生。

串行函数括加法，减法及向左或向右的移位运算。实际上，这些运算可非常简单地以顺序方式实现。

附图说明

通过以下参照附图对以非限制性例子给出的优选实施形式所作出的说明将阐明本发明的其它特征及优点。

图1是根据本发明的方法的一个流程图；

图2是根据本发明的电子芯片装置的示意图；

图3是用于本发明的电子芯片装置的伪随机发生器一个例子的示意图；

图4是用于执行本发明的电子芯片装置的串行函数的装置的实施例的示意图。

具体实施方式

图1表示根据本发明的保护电子芯片在应用方与该电子芯片之间的交易中以防欺骗的不对称加密方法的流程图。

该方法包括，在电子芯片中根据输入参数计算一个鉴别值。

在第一步骤1中，该方法包括：借助包括在芯片中的串行伪随机发生器由芯片产生一个伪随机数r。该随机数r专用于该交易。

在第二步骤2中，该方法包括：由芯片向应用方发送一个参数x。该参数x在交易前事先被应用方计算及被存储在芯片的数据存储器中。该参数x与随机数r通过一个数学关系相关联。应用方计算至少一个参数x，最好它计算多个参数。根据一个特别的实施例，这些参数x是将一个数学函数应用于从一个给定芯片的给定数集中相继取得的值的结果。该数集是这样的，由芯片产生的随机数r的不同值可包括在该数集中。

由此，使随机数r与参数x相关联的数学函数典型地是数集G中的指数函数，其设有一个至少具有相联特性及以乘法形式表示的运算，即该函数为x＝g^r，式中r表示一个整数及g为由应用方预先选择的所述集合G的一个元素。

伪随机数r是对于每个芯片及对于每次鉴别是均不同的。它被计算两次：第一次被应用方，第二次被芯片本身。在计算了r后，应用方计算相应的x。然后应用方在定制芯片时将至少一个x值存储在芯片中。有利地，应用方存储多个x值。由于应用方及芯片应产生相同的值r，当然需要应用方的伪随机发生器与芯片的伪随机发生器严格地相同。

有利地，对于与应用方相关联的所有芯片，g可以是是相同的或可为芯片专用。在后一情况下，g为电子芯片的公钥p的组成部分。集合G的典型例子是：小于n及与n互为素数的正整数或零的一个群Z_n ^*，n表示任一正整数，或是，在一个有限体上构成的任一椭圆曲线。

在第三步骤3中，该方法包括：由芯片借助一个串行函数计算一个参数y，该函数的输入参数至少为专用于交易的随机数r及属于不对称密钥对(s，p)的私钥s，该参数y构成鉴别值V的全部或一部分。该串行函数由一个算术函数组成。

在第四步骤4中，该方法包括：芯片向应用方发送该鉴别值V。

在第五步骤5中，该方法包括：由应用方借助一个验证函数来验证所述鉴别值V，该验证函数的输入参数仅是公共参数并至少包含公钥p。

图2概要地表示一个根据本发明的电子芯片装置。该电子芯片装置能够使用根据本发明的、在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该方法包括由电子芯片根据输入参数计算一个鉴别值V。

该装置6包括：

-一个串行伪随机发生器7，它产生一个专用于交易的随机数r，

-第一存储装置8，在其中存储一个或多个在交易前事先由应用方计算的参数x，每个参数x以相同的数学关系与包括在数值的集合中的一个随机数r值相关联，该集合的数值可由串行伪随机发生器产生，

-提供与专用于交易的随机数r相关联的参数x的第一输出装置9，

-执行串行函数的装置10，作为该函数的输入参数至少具有专用于交易的随机数r及属于不对称密钥对(s，p)的一个私钥s，该参数y构成鉴别值V的全部或一部分，

-在由至少参数y构成鉴别值后，提供该鉴别值V的第二输出装置9。

在参照图2所列举及描述的例子中，串行伪随机发生器7是使用对称鉴别方法，该类型的方法被描述在2002年12月27日公开的上述法国专利申请号FR 2826531中。于是，如果用f(K，M)表示该方法的计算函数，其中符号K表示对称密钥及M表示函数f的其它操作数的集合，则通过重复地向不同的值M施加该函数f并保持同一值K来产生随机数r。作为一个例子，如果f的输出值z的大小等于k比特及如果随机数r的大小等于16k比特，在芯片第一次鉴别时使用的第一随机数r被选择为16个输出值f(K，M₁)，f(K，M₂)，...，f(K，M₁₆)的关联量，第二随机数被选择为16个输出值f(K，M₁₇)，f(K，M₁₈)，...，f(K，M₃₂)的关联量等，所有的值M_i彼此不同。

图3概要地表示这种串行伪随机发生器6。该发生器包括：用于混合所有或部分输入参数以在输出上提供由上述混合产生的一个数据元素E’＝(e’₁，e’₂，...，e’_n，...，e’_N)的混合装置12；一个按照一个函数从旧状态变到新状态的有限状态的自动装置13，其中该函数取决于至少该旧状态与来自比特序列(e’₁，e’₂，…，e’_n，…，e’_N)中的一个值；根据包括自动装置的至少一个状态的输入变元来计算值z及然后通过执行16个相继输出值f(K，M₁)，f(K，M₂)，...，f(K，M₁₆)的关联来确定选择的随机数r的值的输出装置14。混合装置12的输入参数可在一个非穷尽的表中取出，该表包括：一个密钥K，芯片的内部数据D，数据D的存储器地址，芯片的外部数据D’，由应用方提供的一个随机数R’。

混合装置12执行混合函数MIX，该函数可为输入数据的线性或非线性函数。

线性函数的第一例包括执行输入数据之间的标量积。

根据使用线性函数的另一例，该混合装置包括一个线性反馈移位寄存器，在其中相继地输入输入参数的位及影响寄存器的初始状态和/或反馈位的值。

根据使用非线性函数的一个例子，该混合装置包括一个非线性反馈移位寄存器，在其中相继地输入输入参数的各位。输出值S’可由从寄存器内容中提取的一个或多个位组成。

自动装置13AUT的第一例包括使用布尔逻辑电路，将k+1位的矢量(A₁，A₂，...A_k+1)与k位的矢量(A’₁，A’₂，...A’_k)相关，其中每个位A’_i由位(A₁，A₂，...A_k+1)借助基本运算如“异或”、“或”、“与”、“非”得到，及其中(A₁，A₂，...A_k)代表自动装置的旧状态。该自动装置具有一个k位(A₁，A₂，...A_k)的内部状态及每当一个新矢量(A₁，A₂，...A_k，S’e’)出现在布尔逻辑电路的输入端上时输出一个新状态(A’₁，A’₂，...A’_k)，该新矢量由内部状态及混合函数MIX的输出组成。

自动装置13的第二例包括使用由数值表确定的位转换。在k＝8的情况下，例如可将一个字节(A₁，A₂，...A₈)分成两个四位(A₁，A₂，A₃，A₄)及(A₅，A₆，A₇，A₈)，然后当混合函数的输出比特值E’e’为零时对每个四位施加T变换，或当值E’e’为1时对每个四位施加U变换。T变换由将每个四位值(a，b，c，d)与四位值(a’，b’，c’，d’)相关的一个表确定。对于U变换也相同。

当所有的输入值均被处理时，自动装置13处于一个确定的最后状态(F₁，F₂，...，F_k)。

串行伪随机发生器的输出装置14典型地使用一个输出函数，该函数是施加于自动装置的最后状态的恒等函数及关联运算。该装置14包括一个其大小等于随机数r字长如16k位的存储区域。

用于存储一个或多个参数x的第一存储装置8典型地由一个非易失性类型的存储器组成，在需要时它可被改写。在电子芯片出售前参数x被写入到该存储器中。选择用于参数x计算的随机数r的值，以便芯片也能准确地再计算该值。在参照图2描述的串行伪随机发生器的例中，这意味着密钥k被芯片及应用方共享。并且在发售芯片前，应用方通过重复地应用鉴别方法(其中计算函数为如上所述f)来计算一定数目的x值，并将这些值存储在芯片的数据存储器中。对于每次鉴别，芯片重新计算随机数r及在数据存储器中读出与它对应的参数x的值。在参照图2描述的串行伪随机发生器的例中，r与x之间的对应性通常是通过对于M₁的值选择一个用于确定与特定值r对应的x值地址的信息来建立的，对于i大于或等于0的M_i+1的值是通过增加Mi的值获得的。

为了节省存储器空间，参数x可优选地选择为等于由散列函数h产生的元素g^r(也可能用其它的元素，如应用方数据)的象点(image)，而不是该元素本身，这就是说，x＝h(g^r，D)，其中D表示包括例如与应用方相关的数据的选择域。例如，D表示由应用方确定的以欧元为单位的金额。在此情况下，每个分值代表一个电子货币，及每次鉴别代表该个货币的支出。

输出与专用于交易的随机数r相关联的参数x的第一输出装置9典型为一个输入/输出缓冲器。

执行串行函数的装置10的一个例子将参照图4描述。作为串行函数的输入参数为随机数r及属于不对称密钥对(s，p)的一个私钥p。密钥p为公钥。

装置10由一个进行计算及考虑进位的位加法器组成。

r的当前位r_i的值被获取在第一寄存器15中，s的当前位s_i的值被获取在第二寄存器16中。第三寄存器17获取由上述位相加产生的进位c_i。最后，第四寄存器18获取当前位r_i与s_i的值以及在先相加时获得的进位相加后获得的位y_i，其中该进位相应于第三寄存器的17的内容。进位c_i是通过考虑在相加先前位(AND(与)门19的输出，其输入是前两个寄存器15、16的输出)产生的进位与在相加当前位(AND门20的输出，其输入是当前位r_i与s_i的值)产生的进位所得到的。如果进位是在相加先前位时产生的并且仅当当前位之一为1时，中间AND门21产生一个进位，在异或门22的输出处，其输入是这些当前位的值。

因此，进位c_i是中间AND门元件21的输出及AND门元件20的输出之间的一个“或”运算23的结果，AND门元件20的输入为当前位r_i及s_i的值。该进位c_i被捕获在第三寄存器17中，以便当下一位r_i及s_i相加时再考虑。

位y_i通过当前位r_i及s_i的值(在异或门元件22的输出处，其输入是当前位r_i及s_i的值)与进位值(在异或门元件24的输出处，其输入是前面异或门元件22的输出及第三寄存器17的输出)的相加得到的。

寄存器15，16，17，18的输出被初始化为0。

最后产生：y_i＝r_i+s_i+c_i(mod2)及c_i+1＝r_i+s_i+c_i(div2)，其中c₀被选择为等于0。

在一个特定的应用中，串行函数还具有一个由应用方提供的随机数t形式的输入参数。

当芯片根据参照图2所述的方法产生出一个随机数r后，并随后在其数据存储器中读出与所述随机数相应的参数x的值(例如通过函数x＝g^r)，芯片向应用方发送该x值，此后应用方对芯片发送一个随机数t，该随机数的字长被缩减到1位。

因此将出现两种情况，如果t的值等于0，芯片选择y＝r。如果t的值等于1，芯片选择y＝r+s。如何实施该选择是熟练技术人员公知的及由此不再赘述。

鉴别值V被取成等于y，及被发送给应用方。

该验证包括检验方程：g^y＝x，如果t等于0；或g^y＝xp，如果t等于1；式中p为芯片的与其密钥s相应的公钥，并由函数p＝g^s确定。如果这些参数被选择得足够大，则利用作为当前通常采取的离散对数假设，由g及p求解s是不可行的。

在一个特定的应用中，散列函数h可用于x的计算。在此情况下，验证方程变为：h(g^y，D)＝x，如果t等于0；或h(g^y/p，D)＝x，如果t等于1。为了避免验证方程中的任何除法(division)，也可选择y＝r-s，而非y＝r+s，在此情况下，第二验证方程变为：h(g^y.p，D)＝x。另一可能性是选择p＝g^-s，而非p＝g^s，这导致如下的验证方程：h(g^y，D)＝x及h(g^y.p，D)＝x。

在上述的实施例中，除了已知s值的芯片之外，任何其它芯片在两次提供被应用方确认有效的鉴别值时至多具有一次机会。这就允许在真正的与复制的芯片之间建立区别，但该区别在大多数实际应用的情况下显得不足。

为了显著减小复制成功的可能性，一个方案包括增加随机数t的位数m。例如随机数t被选择为等于64位串(t₆₃，t₆₂，...，t₀)，其中仅一个位等于1。如果i为t_i等于1的唯一的下标，则y的值可选择为等于：y＝r+2ⁱs。该值很容易按顺序计算，因为其表示为将r与通过将s左移I个位而获得的整数相加(假设高位处于左边)。验证方程则为： $g^y={\mathrm{xp}}^{2^i}.$ 在此情况下，除了已经知道密值s的芯片外，任何其它芯片至多具有64种提供被鉴别方确认有效的鉴别值中的一种可能机会。

在一个特定的应用中，散列函数h可用于x的计算。在此情况下，验证方程变为： $h(g^y/p^{2^i},D)=x.$ 为了避免验证方程中的任何除法，也可选择y＝r-2ⁱs，而非y＝r+2ⁱs，在此情况下，第二验证方程变为： $h(g^y\·p^{2^i},D)=x.$ 另一可能性是选择p＝g^-s，而非p＝g^s，这导致如下的验证方程： $h(g^y\·p^{2^i},D)=x.$

对于该所述方案，出于同样的安全观点，对于t的值将选择一个包括在0与m-1之间的整数取代如上面确定的串t，y则等于：y＝r+2^ts及验证方程为： $g^y={\mathrm{xp}}^{2^i}.$

在一个特定的应用中，散列函数h可用于x的计算。在此情况下，验证方程变为： $h(g^y/p^{2^i},D)=x.$ 为了避免验证方程中的任何除法，也可选择y＝r-2^ts，而非y＝r+2^ts，在此情况下，第二验证方程变为： $h(g^y\·p^{2^i},D)=x.$ 另一可能性是选择p＝g^-s，而非p＝g^s，这导致如下的验证方程： $h(g^y\·p^{2^i},D)=x.$

也出于同样的安全观点，对于t的值将选择一个包括在0与m-1之间的整数取代如上面确定的串t，y则等于：y＝r+ts及验证方程为：g^y＝xp^t。

在一个特定的应用中，散列函数h可用于x的计算。在此情况下，验证方程变为：h(g^y/p^t，D)＝x。为了避免验证方程中的任何除法，也可选择y＝r-ts，而非y＝r+ts，在此情况下，第二验证方程变为：h(g^y.p^t，D)＝x。另一可能性是选择p＝g^-s，而非p＝g^s，这导致如下的验证方程：h(g^y.p^t，D)＝x。

当然，随机数t也可取其它值。

鉴别值V的第二输出装置9使用的函数典型为应用于参数y的恒等函数。该装置9包括一个存储器区域，其字长例如等于参数y的大小。

当在应用方与电子芯片之间交易时，应用方及芯片使用不对称加密方法来保护电子芯片免受欺骗，其中在该方法中，应用方借助根据本发明的一个验证装置来验证芯片。该装置包括一个执行根据本发明方法的验证功能的装置，以验证电子芯片仅利用公共参数计算的鉴别值V，其中该公共参数至少包括链接到该芯片的密钥s的公钥p。

根据上述的本发明方法的一个实施形式，该验证装置将由应用于鉴别值V的数学函数提供的结果(g^y)与x值或与与对应于其秘密密钥s的芯片公钥p的乘积(xp)进行对比，作为参数t值的函数，其中y等于鉴别值V及p为对应于其密钥s的芯片的公钥，该公钥由函数p＝g^s限定。

该装置典型为一个计算机。

Claims (31)

1.一种在应用方与硬布线电子逻辑芯片之间的交易中保护该电子芯片免受欺骗的不对称加密方法，该方法包括在电子芯片中利用输入参数计算一个鉴别值V，所述方法包括下列步骤：

-1)芯片借助包括在该芯片中的串行伪随机发生器产生一个专用于该交易的伪随机数r，

-2)芯片向应用方发送一个参数x，该参数由应用方在交易前事先计算并通过数学关系与伪随机数r相关联，及被存储在芯片的数据存储器中，

-3)芯片借助一个串行函数计算一个参数y，作为该函数的输入参数至少是专用于交易的伪随机数r及属于不对称密钥对(s，p)的一个私钥s，该参数y构成鉴别值V的全部或一部分，

-4)由芯片向应用方发送该鉴别值V，及

-5)应用方借助一个验证函数来验证所述鉴别值V，该验证函数的输入参数仅由至少包含公钥p的公共参数构成。

2.根据权利要求1的方法，其中专用于交易的伪随机数r的产生包括：

-借助一个混合函数混合用于计算所述鉴别值的输入参数的全部或一部分及在混合函数的输出上提供一个位序列，

-根据至少取决于一个旧状态及该位序列中的一个值的函数，将有限状态自动装置的状态从该旧状态向一个新状态改变，

-借助一个输出函数确定一个随机位序列，以便形成伪随机数r的全部或一部分，其中该输出函数的输入变元包括该自动装置的至少一个状态。

3.根据权利要求2的方法，其中所述混合函数的一个输入参数由一个密钥K组成，该密钥在芯片与应用方之间被分享及被存储在芯片的受保护的存储区域中。

4.根据权利要求1或2的方法，其中数学关系为元素g的一个数集G中设有至少带有相联属性的运算的函数g^r。

5.根据权利要求4的方法，其中数集G是小于n及与n互为素数的正整数或零的一个群Z_n ^*。

6.根据权利要求4的方法，其中数集G是在任何有限体上构成的任一椭圆曲线。

7.根据权利要求1或2的方法，其中串行函数是执行一个表中的多个运算的算术函数，这些运算包括加法、减法及左移位或右移位。

8.根据权利要求7的方法，其中算术函数仅执行加法运算。

9.根据权利要求7的方法，其中算术函数仅执行减法运算。

10.根据权利要求7的方法，其中算术函数输入变元还包括输入参数t，及该算术函数根据由应用方赋予串行函数的输入参数t的值执行下列运算之一：y＝r及y＝r+s。

11.根据权利要求10的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数根据参数t的值将通过应用数学函数给鉴别值V而获得的结果与x值或x值与对应于其私钥s的芯片公钥p的乘积进行比较，该比较用于根据参数t的值检验以下方程之一：g^y＝x及g^y＝xp，y等于鉴别值V及p为对应于其私钥s的芯片的公钥，由函数p＝g^s限定。

12.根据权利要求7的方法，其中算术函数还具有用于输入变元的输入参数t，及包括根据由应用方赋予串行函数输入参数t的值执行下列运算：y＝r与y＝r-s。

13.根据权利要求12的方法，其中所述数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数根据参数t的值将通过应用数学关系给鉴别值V所获得的结果与x值或x值与对应于其私钥s的芯片公钥p的乘积进行比较，该比较用于根据参数t的值检验以下方程：g^y＝x及g^y.p＝x，y等于鉴别值V及p为芯片的公钥，该公钥对应于其私钥s，并由函数p＝g^s限定。

14.根据权利要求7的方法，其中算术函数还具有用于输入变元的输入参数t，及包括根据由应用方赋予串行函数的输入参数t执行下列运算：y＝r+2ⁱs，该参数t包括m位(t_m-1，...，t₀)的一个串，其中仅一个位t_i等于1，m为一个自然整数。

15.根据权利要求14的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数根据参数t的值测试以下方程： $g^y={\mathrm{xp}}^{2^i},$ y等于鉴别值V及p为对应于其私钥s的芯片公钥，该公钥由函数p＝g^s限定。

16.根据权利要求7的方法，其中算术函数还具有用于输入变元的输入参数t，及包括根据应用方赋予串行函数输入参数的值执行下列运算：y＝r+2^ts。

17.根据权利要求16的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数测试以下方程： $g^y={\mathrm{xp}}^{2^t},$ y等于鉴别值V及p为对应于其私钥s的芯片公钥，该公钥由函数p＝g^s限定。

18.根据权利要求7的方法，其中算术函数还具有用于输入变元的输入参数t，及包括根据由应用方赋予串行函数输入参数的值执行下列运算：y＝r+ts，t为一个整数。

19.根据权利要求18的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数根据参数t的值将由应用于鉴别值V的函数所提供的结果与x值或x值与对应于其私钥s的芯片公钥p的乘积进行比较，该比较用于根据参数t的值检验以下方程：g^y＝xp^t，y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^s限定。

20.根据权利要求7的方法，由芯片向应用方发送的参数x是将散列函数h应用于至少一个元素以及一个可选域D的结果，其中该元素通过一个数学函数与伪随机数r相关联，该可选域包含与应用方相关联的数据。

21.根据权利要求20的方法，其中所述算术函数还具有用于输入变元的输入参数t，及包括根据由应用方赋予串行函数输入参数t的值执行下列运算：y＝r+2ⁱs，该参数t包括m位(t_m-1，...，t₀)的一个串，其中仅一个位t_i等于1，m为一个自然整数。

22.根据权利要求21的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数根据参数t的值检验以下方程： $h(g^y/p^{2^i},D)=x,$ y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^s限定。

23.根据权利要求21的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数检验以下方程： $h(g^y\·p^{2^i},D)=x,$ y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^-s限定。

24.根据权利要求20的方法，其中所述算术函数还具有用于输入变元的输入参数t，及根据由应用方赋予串行函数的输入参数t的值执行下列运算：y＝r-2ⁱs，该参数t包括m位(t_m-1，...，t₀)的一个串，其中仅一个位t_i等于1，m为一个自然整数。

25.根据权利要求24的方法，其中数学关系包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中验证函数检验以下方程： $h(g^y\·p^{2^i},D)=x,$ y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^s限定。

26.根据权利要求20的方法，其中数学函数包括在元素g的一个数集G中设有一个至少具有相联属性的运算的函数g^r，及其中由芯片向应用方发送的参数x是应用了x＝h(g^y，D)类型的关系式的结果，其中D表示包括与应用方相关联的数据的选择域及h为散列函数。

27.根据权利要求26的方法，其中串行函数具有输入参数形式的输入变元，及根据由应用方赋予串行函数输入参数t的值执行下列运算：y＝r及y＝r+s，及其中验证函数根据参数t的值将x的值与值h(g^y，D)或值h(g^y/p，D)进行比较，y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^s限定。

28.根据权利要求26的方法，其中串行函数具有用于输入变元的输入参数t，及根据由应用方赋予串行函数输入参数t的值执行下列运算：y＝r及y＝r+s，及其中验证函数根据参数t的值将x的值与h(g^y，D)，h(g^y.p，D)进行比较，y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^-s限定。

29.根据权利要求26的方法，其中串行函数具有用于输入变元的输入参数t，及根据由应用方赋予串行函数输入参数t的值执行下列运算：y＝r及y＝r-s，及其中验证函数根据参数t的值将x的值与h(g^y，D)，h(g^y.p，D)进行比较，y等于鉴别值V及p为与私钥s相对应芯片的公钥，该公钥由函数p＝g^s限定。

30.一种包括按照前述任一权利要求的电子芯片的装置(6)，用于实施在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该方法包括电子芯片利用输入参数计算一个鉴别值V，所述装置包括：

-一个串行伪随机发生器(7)，用于产生专用于交易的随机数r，

-第一存储装置(8)，在其中存储参数x的一个或多个值，该参数x的值在交易前事先由应用方计算及通过一个数学关系与随机数r的值相关联，

-从电子芯片向应用方发送与专用于交易的随机数r相关联的参数x的发送装置(9)，

-实现串行函数的装置(10)，作为该函数的输入参数至少具有专用于交易的随机数r及属于不对称密钥对(s，p)的一个私钥s，及并提供一个参数y作为其输出，

-用于至少由参数y构成鉴别值V的输出装置(9)。

31.验证装置，用于执行根据权利要求1至29中任一项的、在应用方与电子芯片之间的交易中保护电子芯片免受欺骗的不对称加密方法，该方法包括验证由电子芯片利用专一公共参数计算的鉴别值V，所述装置包括至少以鉴别值V及公钥p作为其输入以执行该验证功能的装置。

Images