CN101110141B

CN101110141B - Ic卡上的密钥多样化的方法

Info

Publication number: CN101110141B
Application number: CN2007101464766A
Authority: CN
Inventors: G·方塔纳; S·多纳提洛
Original assignee: Incard SA
Current assignee: STMicroelectronics International NV
Priority date: 2006-06-29
Filing date: 2007-06-29
Publication date: 2012-09-05
Anticipated expiration: 2027-06-29
Also published as: CN101110141A; US20080008315A1; ATE440417T1; EP1873962A1; DE602006008600D1; EP1873962B1; US7894601B2

Abstract

本发明公开了一种用于在存储主密钥(K_M)的SAM IC卡(1)和与标识号(ICC.SN)相关的用户IC卡(2)之间的相互验证期间产生密钥多样化的方法，其中所述用户卡(2)通过通信接口(ITF)连接到所述SAM IC卡(1)上；该方法包括以下步骤：从主密钥K_M导出一对子密钥(K_Ma，K_Mb)；通过对字符串T的一对相应加密计算来计算一对加密字符串(A，B)，所述字符串T通过利用所述子密钥(K_Ma，K_Mb)对所述标识号(ICC.SN)的加工而获得；建立连接加密字符串(A，B)的字节组合的多样化密钥(K_ICC)。

Description

IC卡上的密钥多样化的方法

技术领域

本发明涉及一种在存储主密钥的主IC卡和与标识号相关的用户IC卡之间相互验证期间产生密钥多样化的方法，其中该用户IC卡通过通信接口连接到主IC卡。

更具体地，本发明涉及一种指示在用户IC卡和主IC卡之间的相互验证中所涉及的类型的方法，只有当这样的IC卡都彼此验证时这样的IC卡之间的通信才被授权。

背景技术

在大多数IC卡应用中用户IC卡通过终端连接到主IC卡上。用户IC卡和主IC卡(在下文中称为用户卡和主卡)必须在开始通信之前互相验证。

更具体地，使用能够读取主卡的中央单元是标准惯例，该中央单元连接到多个打算与用户卡通信的终端上。

这些终端通过网络互连到中央单元上，以便主卡可以与用户卡进行通信，但是两个不同的用户卡不能同时通信。

更具体地，数据处理系统使在用户卡和主卡之间执行安全交易成为可能，并且同时其不允许两个用户卡之间的相互安全交易。

更具体地，该数据处理系统需要在两卡之间建立公共会话密钥期间每个卡都具有与其它卡的密钥相同的私人密钥，其中该卡希望与所述其它卡建立公共会话密钥。

通常，通过主密钥、即存储在主卡中的密钥的多样化获得密钥。

因此，以这种方式获得的每个密钥都是涉及主卡和对用户卡特定的参数的计算的结果，其中主卡希望与该用户卡进行通信。

该主卡和用户卡能够通过基于身份的密钥算法来互相验证。这样的密钥算法同样可以允许建立两卡之间的会话密钥，从而对几百位的数执行类似乘法、乘方、除法的算术运算。

为了生产这样的卡，这种计算复杂度使得有必要具有目前非常昂贵的范围元件(range component)中的最好的元件。

在下文中示意性地描述在用户卡和主卡之间相互验证期间多样化算法的使用；这种相互验证意图相互保证用户卡被授权读取存储在主卡中的多个信息和/或反之亦然。

该主卡包括至少一个第一存储单元，其存储第一多个数据，以及用户卡包括至少一个第二存储单元，其包括第二多个数据。通常，第一和第二多个数据中的至少一部分是保密的并且需要被保护，例如因为它们包括在银行业应用的安全交易中所使用的敏感数据或者信息。

如图1中示意性地示出的，POS终端3连接主SAM卡1和用户卡2。该连接示意性地通过由POS终端3本身提供的第一插槽3a和第二插槽3b来表示。主SAM卡1包括至少一个第一存储单元1a，其存储第一多个数据，以及用户卡2包括至少一个第二存储单元2a，其包括第二多个数据。

主SAM卡1内部的存储单元1a保存主密钥1M和函数1F，该函数1F被用于导出附加密钥，所述附加密钥涉及插入POS终端3的第二插槽3b中的用户卡2。更具体地，这种附加密钥被用于实施主SAM卡1和用户卡2之间的相互验证，在下文中该附加密钥被表示为子唯一密钥1K。

该验证规定将卡标识号、例如通常存储在用户卡2的第二存储单元2a内部的卡序列号2sn传送到主SAM卡1上。函数1F通过主密钥1M和卡序列号2sn处理要被用于对验证相应用户卡2的子唯一密钥1K。

处理主密钥1M和用户卡序列号2sn以获得子唯一密钥1K的函数1F也被称为密钥多样化算法。对应于用户卡2的每个子唯一密钥1K事实上必须通过对应于其它用户卡2的每个其它子唯一密钥1K被多样化。

一旦主SAM卡1已经产生子唯一密钥1K，其同样产生随机数1rand，将该随机数存储在第一存储单元1a中并向用户卡2发送该随机数。该用户卡2通过POS终端3读取该随机数1rand，将该随机数加密并将该随机数发送回主SAM卡1作为加密随机数2enc-rand。

主SAM卡1可以通过子唯一密钥1K对该加密随机数2enc-rand进行解密，其中所述子唯一密钥1K对应于插入第二插槽3b内部的用户卡2并且预先被存储在第一存储单元1a内部。

这种解密的结果与被存储在主SAM卡1的第一存储单元1a内部的随机数1rand相比较。如果解密的结果等于预先存储的随机数1rand，则主SAM卡1验证该用户卡2；否则主SAM卡1拒绝用户卡2。

更具体地，如果主SAM卡1验证用户卡2，则执行由用户卡2调用并意图验证主SAM卡1的反向验证方法。该反向验证基本上包括上述用于验证用户卡2的所有计算。

通过密钥多样化算法的多样化密钥处理是一种费时的操作，该操作不仅在密钥被加载到IC卡内时而且在必须进行相互验证算法时产生影响，以便由用户卡验证主卡，反之亦然。

通过多样化算法的多样化密钥处理事实上是相互验证算法的步骤。

因此，尤其在关键应用中，用户卡和终端之间的操作的安全性和执行速度可能被密钥多样化算法的复杂度破坏。

实际上，用于在不缺乏安全性的情况下并且在可以接受的时间内、尤其是当IC卡未配备有能够支持耗费时间并且计算昂贵的处理的特殊硬件时在这种IC卡上实施密钥多样化算法的方法是未知的。

此外，实施密钥多样化的方法包括多个也影响主卡和用户卡之间的相互验证的操作，因此限制主卡和用户卡之间的通信会话的数量。

发明内容

本发明所基于的问题在于提供一种实施密钥多样化的方法，该方法能够减少主IC卡和用户IC卡之间的相互验证所需要的时间，能够至少保证由现有技术方法提供的相同的安全等级，同时通过非耗费时间和非计算密集的运算来执行，克服与现有技术相关的所有上述缺点。

本发明所基于的解决方案是提供一种用于通过存储在主IC卡中的主密钥和与用户IC卡相关的标识号产生密钥多样化的方法，这种方法仅仅包括由包括在IC卡中的通用硬件所支持的不昂贵的、如同CRC、DES和XOR操作的计算操作。

更具体地，这种操作包括：

-由主密钥导出至少一对子密钥；

-通过所导出的子密钥来计算至少一对加密字符串；

-利用对该加密字符串的加工(elaboration)来产生多样化密钥。

根据本发明，所述问题通过如先前所指示的并且由所附的权利要求1的特征部分所定义的用于产生多样化密钥的方法来解决。

由参考附图所进行的并且为了指示性和非限制性目的而给出的本发明实施例的下列描述，根据本发明的用于产生多样化密钥的方法的其它特征和优点将变得显而易见。

附图说明

图1示意性地表示根据现有技术的插入终端的第一插槽中并打算与第二IC卡通信的第一IC卡；

图2示意性地表示根据现有技术的插入终端的第一插槽中的第一IC卡和第二IC卡之间的数据流。

图3以框图表示根据本发明在SAM卡和用户IC卡之间的相互验证，该图同样包括表示密钥多样化方法的框。

图4更详细地示意性表示图3的框，该框表示根据本发明的密钥多样化方法。

具体实施方式

更具体地参照图3，示出并用10整体表示框图，该框图示意性表示一对IC卡之间的相互验证。

更具体地，接口ITF3驱动SAM主卡1和用户卡2之间的连接，接口ITF3例如属于用于银行业应用的终端POS。

用户卡2和SAM主卡1在开始通信之前通过相互验证而彼此验证。

更具体地，这样的相互验证包括一种密钥多样化方法，该方法用框图10的框逻辑单元4来示意性表示。

根据本发明的方法，SAM卡1存储主密钥K_M、例如16字节密钥。

主密钥K_M结合用户卡2的唯一标识号被用于获得多样化密钥。

更具体地，密钥多样化方法提供数据输入，该数据输入包括主密钥K_M和用户卡2的标识号、例如存储在用户卡2内部的序列号ICC.SN。这种序列号对于每个用户卡2来说是唯一的并且例如是8字节长的字符串。

更具体地，该方法提供对这种数据输入的多个计算，包括：

-对ICC.SN进行CRC处理。

例如，ISO 3309 CRCB可以被用于获得C＝CRC(ICC.SN)，C是2字节长的字符串。当然，这是一个并非限制本发明的范围的实例，因为针对这个步骤可以使用其它种类的CRC。

-建立链接ICC.SN的、具有一个序列并具有一个或者多个字节的CRC的纯文本字符串。

例如，可以使用类似80 00 00 00 00 00的序列，该序列之后跟随2字节的CRC，以便获得文本字符串T＝ICS.SN ‖80 00 00 00 00 00 C₂ C₁。更具体地，C₂表示C的最高有效字节，而C₁表示C的最低有效字节。

-对在先前步骤中所建立的文本字符串T计算两个DES计算，分别使用K_Ma和K_Mb作为DES密钥，获得两个16字节长的加密文本字符串A和B。

例如，针对DES计算，初始向量被设置为0并且模式是CBC。

-根据固定字节组合对这两个16字节长的加密文本字符串A和B执行操作，以便获得两个8字节字符串作为结果。例如可以在这个步骤中使用“XORing”操作。

-将这两个8字节字符串连接并产生多样化密钥K_ICC。

-调整该多样化密钥K_ICC的奇偶校验位。

参照图4，以更具体的细节表示属于根据本发明的密钥多样化方法的步骤。

整体上用参考数字4来指示例如在用户卡2的个性化阶段期间意图在用户卡2内部加载多样化密钥的密钥多样化方法。

更具体地，密钥多样化方法也在SAM卡1和用户卡2之间的相互验证期间被使用，以便在继续进行关键性操作之前检验相应的对方的可靠性。

用于使密钥多样化的方法提供与用户卡2相关的用户IC卡序列号和存储在SAM IC卡中的主密钥作为数据输入。

根据本发明的方法，提供这种用户卡序列号的第一加工，例如进行ICC.SN的CRC计算C＝CRC(ICC.SN)，产生2字节长的字符串。这种第一加工示意性地用图4中的框逻辑单元4a来表示。

CRC算法可以服从ISO 3309并与CRCB计算兼容。

更具体地，密钥多样化方法处理8字节长的ICC.SN以及SAM主密钥K_M，以获得两个8字节长的文本字符串的连接。

根据该方法，加载在SAM卡中的SAM主密钥K_M是类型K_M＝K_M16，K_M15，......K_M1为16字节长的文本字符串的16字节长的密钥。

K_M被用于导出两个8字节长的文本字符串：

K_Ma＝K_M16，K_M15，......K_M9

以及

K_Mb＝K_M8，K_M7，......K_M1。

如框逻辑单元4b中所示，密钥多样化方法提供用户卡序列号ICC.SN与在前一步骤期间所处理的数C之间的连接。

这种连接目的在于获得文本字符串T。

例如T＝ICC.SN‖80 00 00 00 00 00 C₂ C₁，其中C₂是C的最高有效字节，而C₁是最低有效字节。

更具体地，如果A是类型A＝A_n，A_n-1，......A₁的n字节的字符串，其中A_i是A中的第i个字节，则当A₁是A的最低有效字节(LSB)时，A_n被定义为A的最高有效字节(MSB)。

如在步骤4c中示意性所示对在步骤4b中所计算出的数T进行DES计算。

更具体地，密钥K_Ma被用于获得A＝DES(K_Ma，T)，其是16字节长的加密文本字符串。类似地，对T计算另一计算B＝DES(K_Mb，T)，以便获得另一个16字节长的加密文本字符串。

根据本发明的方法，对A的计算在步骤4d中执行以便获得类型K_ICCa＝A₁XORA₉‖A₂ XOR A₁₀‖..........‖A₈ XOR A₁₆的8字节长的文本字符串。

更具体地，XOR是布尔运算，也被称为异或。

类似地，对B的计算意图获得相应的8字节长的加密文本字符串K_ICCb＝B₁XORB₉‖B₂XORB₁₀‖..........‖B₈XORB₁₆。

根据本发明的方法，多样化密钥K_ICC通过K_ICCa和K_ICCb的连接K_ICCa‖K_ICCb来获得。

根据之前的假设，多样化密钥K_ICC是16字节长的文本字符串。

如框逻辑单元4e中示意性表示的那样，调整K_ICC的奇偶校验位。

例如，在K_ICC的每个字节中，奇偶校验位是最低有效位；对于K_ICC中的每个字节来说，奇偶校验位可以被设置为奇数。

有利地，根据本发明的方法基于包括CRC、DES和XOR计算的非常快速的计算步骤。

有利地，大多数当前用于IC卡的微处理器集成了用于CRC和DES计算的硬件外围设备。

下表针对根据本发明的方法的计算的每个步骤表示预期的计算时间。该计算是在考虑到以10MHz运行的具有CRC和DES硬件加速器的8位CPU的情况下进行的。

密钥多样化方法的计算时间预期小于1毫秒。

有利地，本发明的方法基于以下基本假设，即主密钥K_M是保密的并且在SAM外部是未知的，因此保证多样化方法的安全性。

该方法在不缺乏在时间关键应用中所涉及的IC卡的安全性的情况下并且在IC卡不具有加速计算密集操作的特殊硬件时处理密钥多样化。

密钥多样化方法被用于在IC卡个性化阶段期间在IC卡内部加载多样化密钥以及在IC卡和装备有主SAM IC卡的外部终端之间的相互验证期间减少这种相互验证的计算时间。

有利地，该相互验证可以包括根据本发明的方法，以在与主SAM卡通信期间使用户卡的密钥多样化。

有利地，根据本发明的方法同样提供安全性、就执行时间而言的效率、和无歧义性。

事实上，不同IC卡具有不同序列号，从而保证无歧义性的需要。由接口设备读取ICC.SN并将该ICC.SN传送给主SAM卡。

有利地，根据本发明的方法执行少数计算步骤以获得存储在IC卡中的多样化密钥，所有的所述计算都基于例如CRC、DES和XOR的非计算密集的操作，这保证效率的需要。

Claims

1.一种用于在存储主密钥(K_M)的主IC卡(1)和与标识号(ICC.SN)相关的用户IC卡(2)之间的相互验证期间产生密钥多样化的方法，所述用户IC卡(2)通过通信接口(ITF)连接到所述主IC卡(1)上，该方法包括以下步骤：

-从所述主密钥(K_M)导出至少一对子密钥(K_Ma，K_Mb)；

-利用所述子密钥(K_Ma，K_Mb)通过对字符串(T)的相应加密计算来计算至少一对加密字符串(A，B)，所述字符串(T)通过对所述标识号(ICC.SN)的加工而获得；

-建立连接所述加密字符串(A，B)的字节组合的多样化密钥(K_ICC)，

其中，所述计算步骤包括所述标识号(ICC.SN)的CRC操作(C)，

其中，所述计算步骤中的所述加工包括所述标识号(ICC.SN)与固定文本字符串和/或所述CRC操作(C)的最高有效字节和/或最低有效字节的连接。

2.根据权利要求1所述的用于产生密钥多样化的方法，其特征在于以下事实，即所述建立所述多样化密钥(K_ICC)的步骤中的所述字节组合包括对所述加密字符串(A，B)的XOR操作。

3.根据权利要求1所述的用于产生密钥多样化的方法，其特征在于包括调整所述多样化密钥(K_ICC)的奇偶校验位的步骤。

4.根据权利要求1所述的用于产生密钥多样化的方法，其特征在于包括调整所述多样化密钥(K_ICC)的至少一个奇偶校验位的步骤。

5.根据权利要求1所述的用于产生密钥多样化的方法，其特征在于以下事实，即所述计算步骤中的所述加密计算包括一个或者多个DES计算。

6.一种IC卡，存储主密钥(K_M)，意图用于与存储标识号(ICC.SN)的用户IC卡的通信会话中，所述IC卡能够通过通信接口连接到所述用户IC卡上，其特征在于包括装置，该装置用于：

-从所述主密钥(K_M)导出至少一对子密钥(K_Ma，K_Mb)；

-利用所述子密钥(K_Ma，K_Mb)通过对字符串(T)的相应加密计算来计算一对加密字符串(A，B)，所述字符串(T)通过对所述标识号(ICC.SN)的加工而获得；

其中，所述计算包括所述标识号(ICC.SN)的CRC操作(C)，

其中，所述计算中的所述加工包括所述标识号(ICC.SN)与固定文本字符串和/或所述CRC操作(C)的最高有效字节和/或最低有效字节的连接。