CN102577228B - 用于传感器数据的操纵保护的方法和用于此的传感器 - Google Patents
用于传感器数据的操纵保护的方法和用于此的传感器 Download PDFInfo
- Publication number
- CN102577228B CN102577228B CN201080043299.9A CN201080043299A CN102577228B CN 102577228 B CN102577228 B CN 102577228B CN 201080043299 A CN201080043299 A CN 201080043299A CN 102577228 B CN102577228 B CN 102577228B
- Authority
- CN
- China
- Prior art keywords
- authentication message
- cryptographic
- sensing data
- transducer
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 105
- 230000004044 response Effects 0.000 claims description 26
- 239000005043 ethylene-methyl acrylate Substances 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 7
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 18
- 238000004891 communication Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002146 bilateral effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002087 whitening effect Effects 0.000 description 2
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 1
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 1
- 239000008000 CHES buffer Substances 0.000 description 1
- 102100039558 Galectin-3 Human genes 0.000 description 1
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 1
- -1 K aB Proteins 0.000 description 1
- 101150115300 MAC1 gene Proteins 0.000 description 1
- 101150051246 MAC2 gene Proteins 0.000 description 1
- MKWKNSIESPFAQN-UHFFFAOYSA-N N-cyclohexyl-2-aminoethanesulfonic acid Chemical compound OS(=O)(=O)CCNC1CCCCC1 MKWKNSIESPFAQN-UHFFFAOYSA-N 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- NCEXYHBECQHGNR-UHFFFAOYSA-N chembl421 Chemical compound C1=C(O)C(C(=O)O)=CC(N=NC=2C=CC(=CC=2)S(=O)(=O)NC=2N=CC=CC=2)=C1 NCEXYHBECQHGNR-UHFFFAOYSA-N 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000037213 diet Effects 0.000 description 1
- 235000005911 diet Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002826 magnetic-activated cell sorting Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本发明涉及一种用于传感器数据的操纵保护的方法以及一种用于此的传感器。在此,在传感器的认证的范畴内,由控制设备向传感器发送一次性使用的数字,其中传感器在使用该一次性使用的数字的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备。此外,传感器数据设有密码学的完整性保护,其中向传感器数据添加时变参数,其中具有密码学的完整性保护的传感器数据和所添加的时变参数由传感器发送给控制设备。在此,对于初始参数的计算使用所述密码学的认证消息的至少第二部分,并且对于密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分,并且在使用初始参数的情况下计算所述时变参数。
Description
技术领域
本发明涉及一种用于传感器数据的操纵保护的方法和一种用于此的传感器。
背景技术
在申请人没有在先公开的文献DE-102009002396中描述了一种用于传感器数据的操纵保护的方法,该方法的特征在于,通过传感器的认证和传感器数据的完整性保护的关联实现交易认证并且因此确保了相对于传感器数据操纵的极度提高的保护。
发明内容
根据本发明的方法或者根据本发明的传感器能够实现传感器数据的交易认证,其中即使在例如由于侧通道攻击而导致密钥丢失的情况下也不会丧失操纵保护。因此,以最小的附加开销得出对于传感器数据的更稳健的操纵保护。
由从属权利要求的特征得出其他优点和改进。
在一种有利的构型中,在交易认证的每个步骤中改变时变参数。该过程对应于顺序计数器并且能够实现认证和交易认证的方法部分的特别紧密的密码学耦合,并且因此能够实现进一步的安全收益。因为可特别简单地实施而特别有利的是,所述时变参数的改变对应于逐步的递增。
一种特别的实施方式基于:密码学的认证消息的第一部分与密码学的认证消息的第二部分不相交,所述密码学的认证消息的第一部分在认证方法的范畴内通过从密码学的认证消息的截断(Trunkierung)生成并且由传感器传输给控制设备,并且所述密码学的认证消息的第二部分被用于计算时变参数。
特别有利的是,在每个交易认证步骤中由在从密码学的认证消息中获得的初始参数与当前参数之间的差值计算所述时变参数,其中当前参数通过从初始参数逐步递增产生。由此对于迄今的优点也不会削弱认证方法中的可能的回应截断。
在优选的实施例中,作为认证方法使用挑战-响应方法,其特征在于特别高的安全性。此外有利的是使用用于传感器数据的完整性保护的MAC方法,其同样满足高安全标准,其中极其可靠的方法EMAC和OMAC是特别符合目的的。
在特别的构型方式中,时变参数或者被设计为时间戳、顺序计数器或者被设计为随机数。该构型尤其是带来根据本发明方法的特别简单但符合目的的实施。
附图说明
在附图中示出并且在以下描述中详细阐述本发明的实施例。附图仅仅是示例性的并且不限制一般性的发明构思。
图1示出用于借助于挑战-响应方法在控制设备B处认证传感器A的系统的示意图,
图2示出用于传感器数据的完整性保护的系统的示意图,
图3示出用于在控制设备B处认证传感器A的系统的示意图,
图4示出用于阐述简单认证时的反射攻击的示意图,
图5示出用于阐述通过消息认证码EMAC或CMAC对传感器数据进行完整性保护的示意图,
图6A,6B示出用于阐述认证与完整性保护或者认证与交易认证的根据本发明的连接以用于传感器数据的交易安全性的示例性总体协议的示意图。
具体实施方式
以下为了描述本发明符合目的地利用机动车中的RDS传感器和控制设备的示例。但这不表示本发明限于该示例,因为所描述的安全总体方案一般性地设计用于任意控制设备与传感器之间的通信的安全性保证。
如果观察对通信信道的安全性的要求,则主要观察以下方面:
(1)[Message
authentication(消息认证)]数据完整性的保护
(2)[Entity
authentication(实体认证)]源认证的确保
(3)[Confidentiality(保密性)]数据保密性的保护(可选)
除这些基本要求以外,还引出其他阻碍或者阻止特定攻击类型的要求,这些要求未明确通过基本要求覆盖但隐含存在。这里可能有其他方面要提到:
(a)[Replay
protection(重放保护)]保护数据以免重放,所述数据虽然是完整的(1),但已经发送了一遍。
(b)[Liveliness(生命力)]确保源在传输的时刻是“活的”,即不使用在更早的时刻预先计算的(或者记录并且未发送的)数据。
以下假设:数据不是机密的,即不需要(3)。这可以例如在车辆领域中的传感器中是这样的情形。申请人的DE-102009002396已经包含了在考虑有限资源(计算时间、信道容量)的情况下用于实现(1)、(2)以及(a)和(b)的协议。在此,基本想法是使用消息认证码(MAC)来实现完整性保证,使用基于对称密码的挑战-响应协议来实现源认证以及使用这两部分的组合以实现交易保护。两个单个协议分别具有自己的对称密钥(Kmac和Kauth)。
以下借助实施例详细描述用于根据本发明的交易认证的方法。安全性方案的在此首先介绍的步骤1-3在很大程度上由DE-102009002396公开,但在根据本发明的安全性方案的决定性的第四步骤中得出显著的区别,所述第四步骤根据图6进行阐述并且基于方法步骤的关联。为了获得认证和完整性保护的固定结合,在此提出,连接两个步骤的随机数或者如以下所述的连接两个步骤的随机数或Nonce(一次使用的数字)和时变参数。通过两个子步骤——认证和完整性保护——的连接实现两个部分的紧密的密码学耦合并且同时还省去了传感器侧上的随机数生成器的实现。此外,借助在这里提出的方法或者传感器实现了:即使在密钥之一丢失的情况下(例如由于侧通道攻击)也不破坏操纵保护。
图1示出用于借助于挑战-响应方法在控制设备B处对传感器A进行认证的系统的示意图。在此,控制设备B向传感器B发送请求,即“挑战”,传感器B为了进行认证而以回应“响应”进行回应。在此,示意性地示出了具体的方法,该方法是整体安全性方案的一部分,其满足较高的安全性要求并且在密码学上可靠地识别以上列出类型的攻击以及其他安全性威胁和侵犯。
在第一步骤中涉及在控制设备ECU处用于认证RDS传感器的挑战-响应方法。认证的目的是:确定在认证时刻RDS是否具有有效的认证特征,即密码学密钥的知识,并且将该特征与其标识(例如序列号)固定地结合(要点:密钥的新鲜度、生命力)。
图2示出用于传感器数据的完整性保护的系统的示意图。在安全性方案的该第二步骤中,在此在认证——也就是数据的接收机、即控制设备(ECU)B知道其与经认证的发射机、即RDS传感器A通信——之后,所传输的数据持续地设有完整性保护,优选地设有时变参数,如随机数、顺序数(顺序计数器)或者时间戳。
这在图2中通过在由传感器A发送给控制设备B的数据上附加“标签”示出,其中“标签”代表时变参数。在处理压力数据之后,在密码学上检查这些时变参数,并且在密码学上可靠识别RDS数据的操纵,也就是说,在实时数据处理中不会由于加密而出现附加的等待时间并且因此可以探测到操纵。
作为用于实现密码学的完整性保护的有效方法,建议所谓的消息认证码MAC。对于所谓的CBC-MAC方法,使用两个另外的密码学密钥,在另一修改的建议(所谓的OMAC)中甚至考虑仅仅一个附加的完整性密钥。作为具有数字PSI5接口的RDS传感器的实现可选方案具体建议:EMAC以及CMAC,也称作OMAC。两种方法使用对称的块密码(Blockchiffre),要么建议AES-128(参见“FIPS 197,Advanced
Encryption Standard (AES),Federal
Information Processing Standards Publication 197,2001年11月,http://csrc.nist.gov/”,密钥长度k=128位,块宽度n=128位),要么替代地建议PRESENT(参见“A.Bogdanov,L.R.Knudsen,G.Leander,C.Paar,A.Poschmann,M.J.B.Robshaw,Y.Seurin和C.Vikkelsoe,PRESENT:An ultra-lightweight block cipher,P.Pallier和I.Verbauwhede编著,Proceedings of CHES 2007,Lecture
Notes in Computer Science 第4727卷,第450-467页,Springer出版社,2007”密钥长度k=128位,块宽度n=64位)。PRESENT仍是相对较新的块密钥,其远远没有AES那样成熟,其间还存在关于理论密码分析攻击的首次报道。
在安全性方案的第三步骤中,为了阻止所谓的重放攻击,除有用数据(即压力值)以外还在通过完整性保护来保护的数据中附加随机数。所述随机数以明文传输给ECU并且借助于MAC验证。
应当在发动机启动后尽快进行认证,也就是说,在前几分钟内。但无需直接在启动阶段中执行该认证。在认证后才进行完整性保护,该完整性保护在之前在密码学方面没有意义。认证相对较少发生,至少在每次发动机启动之后和多个分组或同步丢失之后发生,而压力数据持续地设有完整性标签,也就是说,例如所有t=16个块。在认证期间由ECU向传感器传输的随机数为了连接方法步骤例如可以用作完整性保护时的组成部分、作为顺序计数器并且每次以(t=16)× (n=128)位的块递增。
如果根据标准对于每个压力分组使用完整性保护,则在认证之前应当要么忽略MAC数据(这是无效的),要么与RDS传感器上存在的随机数一起使用MAC数据。在所进行的认证之后,使用经协商的顺序计数器。
借助于以下机制实现密码学的安全性目的——发射机和数据的认证、数据的完整性以及密码学密钥和数据的新鲜度和对重放攻击的阻止:
借助于挑战-响应方法的认证(挑战连同标识的加密);借助于基于CBC模式连同相应的填充和MAC加强的消息认证码的完整性保护,即EMAC和CMAC;通过附加随机数连同纯粹的有用数据来阻止重放攻击;通过使用挑战的一部分作为用于完整性保护的顺序计数器来可靠地密码学地结合两个协议部分;对于所有机制仅仅需要一个唯一的基本模块——对称块密码作为实现选择方案,具体地建议AES-128或者替代地PRESENT;此外,由于仅仅在控制设备上连接两个协议部分,所以需要随机数生成器。
令A是RDS传感器而B是控制设备ECU。目的是A相对于B的认证,也就是说,A向B证明其在认证时刻具有共同的秘密——密码学密钥。协议的两个参与者具有三个共同密钥:
KAB,Auth - 共同的认证密钥
KAB,MAC1 - 共同的消息认证码密钥1
KAB,MAC2 - 共同的消息认证码密钥2。
在CMAC算法的情况下,共同的消息认证码密钥1——KAB,MAC1就足够了。EncK是具有长度为k和块宽度为n的密钥K的加密算法,例如EncK =
AES,k = 长度(K)=128,n = 128。替代地,例如考虑EncK = PRESENT,k = 长度(K)=128,n = 64。此外,令IDA和IDB是整个系统上明确的参与方标识,例如32位长的序列号或者类型部分号。序列号的长度在密码学上意义不大。重要的是,可以明确地标识整个系统中的所有参与方——即不仅仅是发动机/车辆。这在密钥管理方面起中心作用,如稍后描述的那样。
此外在该示例中,令RA或者RB是由A或者B生成的随机数,随后符合目的地规定它们的长度。
以下根据DE-102009002396描述传感器A相对于控制设备B的示例性认证。在此,在图3中示意性地示出了步骤1-3。
1. B生成64位的随机数RB
2. B将该随机数RB连同其标识IDB发送给A:
(64位‖32位)
3. A加密消息RB‖IDB,即并且将这连同IDA一起发送回B:
(128位‖32位)
4. B可以在2中的协议步骤结束后立即开始在其方面计算响应。在3中获得回应y'后,B比较y与所传输的回应y':
是否成立?
此外B比较A的标识与所期望的标识,即
是否成立?
仅仅在两个比较都成功的情况下,A相对于B成功认证。
以下描述步骤3和4的符合目的的修改。为了节省通信带宽,在步骤3中仅仅传输加密的最高64位并且随后在步骤4中也进行比较。这与使用具有64位块宽度的加密方法意义不同。
3’. (64位‖32位)
以下示出用于认证1的总体方法。
1. B生成64位的随机数RB
2. B将该随机数RB连同其标识IDB发送给A:
(64位‖32位)
3. A加密消息RB‖IDB,即并且将64个最高有效位(最高位)连同IDA一起发送回B:
(64位‖32位)
4. B可以在2中的协议步骤结束后立即开始在其方面计算响应。在3中获得回应y'后,B比较y与所传输的回应y':
是否成立?
此外B比较A的标识与所期望的标识,即
是否成立?
仅仅在两个比较都成功的情况下,A相对于B成功认证。
对此,应注意以下方面:
(i)安全性方案的在这里建议的步骤基本上涉及ISO/IEC 9798-2双通单向认证协议。对此参见“ISO/IEC 9798-2, Information technology – Security techniques –
Entity Authentication – Part 2:
Mechanisms using symmetric encipherment. algorithums ISO/IEC, 1994”。这直至Enc的仅仅64个最高有效位的传输的修改都是有效的。
(ii)为了阻止重放攻击,也就是说,在稍后的协议进程中记录全部业务和重放,在协议中使用随机数RB。在密码学上,该随机数必然是“nonce = number used only once(仅使用一次的数字)”。为了在认证时阻止重放攻击,在所观察的应用场景中64位的长度被视为是足够的。更短的时变参数在过去(例如WLAN 802.11b中的WEP加密,KeeLoq)已经导致攻击和/或方法的可充分利用的弱点。以下给出认证所需的其他实施方式和替代可行方案。为了在控制设备B中产生随机数,需要随机数生成器RNG。所述随机数生成器RNG应对于确定性的RNG具有特征K3高。对此参见“Bundesamt für
Sicherheit in der Informationstechnik BSI, AIS 20: Funktionalitätsklassen und
Evaluationsmethodologie für
derterminitische Zufallzahlengeneratoren, Anwendungshinweise und Interpretation
zum Schema (AIS) 第一版,1999年12月2日, BSI, 2001, 可在http://www.bsi.bund.de/zertifiz/zert/interpr/ais20.pdf查阅”。
所述随机数生成器至少应该对于物理性RNG具有特征P1高,更好地具有P2高。对此参见“Bundesamt für Sicherheit in der Informationstechnik BSI, AIS 31:
Funktionalitätsklassen und Evaluationsmethodologie für physikalische Zufallzahlengeneratoren, Anwendungshinweise
und Interpretation zum Schema (AIS) 第一版,
2001年9月25日, BSI, 2001 可在:http://www.bsi.bund.de/zertifiz/zert/interpr/ais3i.pdf查阅”。对此还参见“W.Killmann和W.Schindler,Ein Vorschlag zu: Funktionalitätsklassen und
Evaluationsmethodologie für physikalische
Zufallzahlengeneratoren, Technisches Papier zu AIS 31,第3.1版,2001年9月25日, BSI, 2001, 可在http://www.bsi.bund.de/zertifiz/zert/
interpr/trngkr31.pdf查阅”。
(iii)示例性的选择︱RB︱=64对于简单的两步词典攻击导致233=264/2+1个通信会话的攻击复杂性,同时存储264/2×232对(64位‖64位)。对此例如参见“Andrey Bogdanov和Christof
Paar的On the Security and Efficiency of
Real-Word Lightweight Authentication Protocals, In Secure Component and System
Identification, 2007年3月, Workshop Record of SECSI, 柏林, 2008年3月17-18日”。注意到:在应用场景RDS传感器中,去往发射机的通信(挑战)比从发射机到控制设备的通信(响应)慢若干数量级。64位响应的简单速率具有264-1=263攻击复杂性。在系统中需要标识IDA、IDB,因为稍后也规划使用更多传感器。这些传感器例如被假设为32位的值,但在没有更大问题的情况下也可以是64位长。如果数据分组RB‖IDB例如由于选择80位的ID而长于128位,则应注意:这样的话对于使用更可靠的操作模式(实施模式),例如具有随机IV和填充的CBC加密,而不再使用简单的ECB模式,也就是说,该解决方案原则上是可用的,但更昂贵。
从密码学来看,对于挑战长度的更好的值可能例如是︱RB︱= 128。于是无论是扫描攻击(响应的速率)还是词典攻击均具有约264的攻击复杂度。然而,这样的话消息块超过128位的界限,但更短的标识ID是不可能的。
(iv)所建议的方法有效地阻止了所谓的“反射攻击”,有时也称“模仿”或者“平行会话攻击”。简化的协议:
2. (64位)
3. (128位)
(即没有标识ID)可以受到攻击,其方式是,攻击方O立即反射并且向B发送回随机数RB。B以所计算的值应答该平行的第二会话,O在其方面使用该所计算的值作为回应。图4示出简单认证情况下这样的反射攻击的示意图。
在没有关于A和B的特性的附加隐含假设简单情况下的应对措施是在待加密的文本中引入标识,即。
(v)替代加密功能Enc,在协议中也可以使用带密钥的哈希函数HMAC、一般的哈希函数(如SHA-256)、或者消息认证码(MAC)(如CBC-MAC)。但这些实现可选方案均导致更高的开销。
(vi)在该实施例中出于开销原因并且在考虑(iii)中的说明的情况下放弃挑战的认证,即。
(vii)在这里示例性建议的协议是所谓的“two-pass unilateral authentication
protocol with nonces(具有仅使用一次的数字的单向的双通认证协议)”。在密码学方面,始终寻求具有最小数量的协议通路和(尽管如此)高安全特性的协议。一般而言,当取代仅使用一次的数字、随机数而要么使用Time
Stamp(时间戳)要么使用同步计数器、Sequence Number(顺序计数器/顺序数)时,一个协议通路大多数情况下是不够的。时间戳或计数器尤其不允许由A——Prover(检验方)——来设置或者重置。在这样的情形中,可能出现并且因此可以记录A的所有协议动作。
因此决定性的一点是:如果仅仅发生从A向B的单向通信并且可以不使用在系统中同步并且必须不可被操纵地存在的时间戳和顺序计数器,则由A发起所有的协议动作,B是被动的,并且Prover/Claimant(检验方/要求方)A理论上可以事先记录和置入所有数据。也就是原则上不可能放弃反向通道并且(尽管如此)例如通过隐含的认证实现所要求的安全性。
对此可参见“Walter Fumy和Hans-Peter
Riess的Krytographie, Entwurf; Einsatz und
Analyse symmetrischer Krytoverfahren,R.
Odenbourg出版社,慕尼黑,维也纳,第二版,1994”。那里教导了,使用时间戳要求足够精确和可靠的系统时间的可用性。在所述情形中,验证实例根据所属的时间戳检验消息的有效性。如果消息进入的时刻与时间戳之间的偏差不超过阈值,则接受该消息。如果也应阻止容忍时间间隔内的交易的重放,则必须通过所接受的消息引导相应长的密码簿。但这在传感器上下文中是不可能的。对于所参与的实例,时钟同步形成在实际使用时间戳时的一定困难性;但问题也可能是其往往缺少的操纵安全性。顺序数的基本想法在于,在关于每一顺序数的认证机制中仅仅接受一个消息或者特定逻辑时间段内的消息。使用顺序数要求一定的管理开销,该管理开销对于每个相应的通信关系出现。最低要求是分别对于每个通信方向存储当前顺序数。例如对于系统故障的情况,也必须设有同步机制。
根据密码学教科书中的陈述,在认证时不可以放弃任何形式的双向或同步的通信。这对于通过PSI5总线的传感器-控制设备通信的实施例而言明确地否定了是否可以放弃ECU和传感器之间的同步的、双向的PSI5通信的问题。
(viii)出于完整性原因,还要说明根据ISO/IEC 9798-2的相应的“具有时间戳/顺序计数器的单通单向认证协议”。对此可参见“ISO/IEC 9798-2, Information technology -
Security techniques - Entity authentication - Part 2: Mechanisms using
symmetric encipherment algorithms ISO/IEC, 1994”。
其中,TSA是由A生成的时间戳。以明文传输的IDA不具有直接的密码学意义,其在ISO标准中不存在。
以下探讨密码学协议的设计原理。为了设计密码学协议存在若干应当注意的原理。在此可以参考“Colin Boyd和Anish Mathuria的Protocols
for Authentication and Key Establishment,Springer出版社,2003年,第31页”。
在该文献中说明的协议可以在那里作为协议3.4和3.5找到,参见第77和78页,符号代表具有密钥K的经认证的加密。
协议3.4:ISO/IEC 9798-2 单通单向认证协议
1.
2.
协议3.4:ISO/IEC
9798-2 双通单向认证协议
从文献中第80页的表3.2中可以看到,两个协议3.4和3.5满足所期望的特征——生命力、密钥新鲜度和A的实体认证,并且尽管不存在正式的安全性论证,也不存在已知的攻击。在过去广泛地研究了两个协议的安全性。协议的正式的安全性论证是最近才对标准的硬性要求。所产生的协议往往由于技术原因比经典的认证协议略微更丰富。以下示例性选择的协议(依据协议3.5)是所有那里示出的协议中最有效的,对其而言迄今不存在攻击。
以下更详细地探讨传感器数据的完整性保护、安全性总体方案的第二步骤。除阻止更换传感器以外,阻止或者更确切地说发现和证明传感器数据的修改非常重要。用于数据保护的密码学技术专注于数据源(即数据源认证)、发射机的完整性和数据的完整性,也就是数据未被修改的事实。其他重要方面是时间性、数据的顺序和可能有企图的接收机。这些特征与应用紧密相关。例如存在例如在分组丢失的情况下重放未经修改的数据是否是密码学攻击的问题。因此,在密码学基本机制自身中不具有与时间相关的状态。
以下使用以上说明的名称。也就是,可能在所实施的填充后,令是块宽度n的t个消息文本块。为了实现数据认证或者完整性的目的,基本上可以区分三种密码学方式:认证码、数字签名和消息认证码。
认证码是组合目标,其攻击成功概率可以明确地计算出并且与攻击方的计算性能无关。认证码现今相对较少使用,对于每一交易往往需要新的密钥。
数字签名是非对称的方法,其比对称的方法慢100至1000倍。在非对称方法的情形中,每个传感器/参与方A具有自己的密钥对pkA、skA(公共密钥、秘密密钥/私有密钥)。在签名中,参与方A抓取消息x并且使用具有其私有密钥skA的签名生成方法GenSig并且向B发送结果得到的签名s,即
B:成立? 接受或者拒绝。
B获得消息x'和签名s并且借助于签名验证方法VerSig在使用A的认证public key(公共密钥)的情况下检验所述签名。当今,例如在汽车领域中大多使用签名:
1. RSA 1024位:GenSig:1024位1024 位,VerSig:1024位16 位;签名,模型,私有密钥每128字节,公共密钥≈16位
2. RSA 2048位:GenSig:2048位2048 位,VerSig:2048位16 位;签名,模型,私有密钥每256字节,公共密钥≈16位
ECC(Elliptic Curve Cryptography,椭圆曲线密码学)具有显著更好的特性。
3.
ECDSA 160位 - 安全性与RSA
1024位相当:GenSig:一个标量点乘,VerSig:两个标量点乘;签名 40字节
4. ECDSA 256位 - 安全性与RSA 2048位相当:GenSig:一个标量点乘,VerSig:两个标量点乘;签名 80字节
数字签名除完整性保护以外还提供非否认性(Non Repudiation
Property)的特性,其可以相当有助于通信方之间的争执。因为在示例性描述的传感器上下文中两个通信方在汽车系统内工作(发动机或者控制设备B以及传感器A)并且控制设备B很少否认从传感器A获得的消息,所以非否认性在该具体情形中不是必要的。
以下阐述消息认证码。如以上看到的,标签、例如线性标签或者哈希摘要(Hashdigest)的简单加密解决不了消息认证的问题。消息认证码由以下组成:
1. 密钥生成算法:输出:对称密钥K,位长k,例如k = 56…256,
2. MAC生成算法:输入:文本x,密钥K,输出:MACk(x) – 长度m的位串,例如m = 24…128,
3. MAC验证算法:输入:文本x,MAC值 MACk(x),密钥K,输出:接受或者拒绝。
可以非正式地如下描述MAC算法的安全性——一般接受的安全模型:攻击方实际上不可能(在计算上不可行)借助于所谓的自适应的选择文本攻击生成所谓的存在性伪造,即某种可靠的伪造,这尤其也包括MAC验证询问,例如参见“Jonathan Kahtz和Yehuda
Lindell的Introduction to Modern Cryptography,CRC
Publishing, 2007,第16页”。如果消息认证码在此意义上是安全的,则安全性尤其与数据的特定编码无关。
对MAC算法的四种典型攻击是:
1. 暴力破解密钥尝试 -> 足够大的密钥空间,例如对于中期安全性k≥80
2. MAC值的猜测 -> 成功概率。对于大多数应用而言k>m并且m=32…64
3. 基于内部冲突的一般性伪造。尤其是在以上说明的经修改的建议的“完整性保护方法”中是这样的情形
4. 基于密码分析弱点的攻击。
为了解释后两种攻击情形,引用“van Tilborg著作中的Bart
Preneel的MAC 算法, 对此参见Heck.C.A.van Tilborg编著的Encyclopedia
of Cryptography and Security,Springer出版社,2005,第365页”。
区分基于块密码的MAC与基于专用哈希函数的MAC。在不久以前在国际委员会中已经另外开始标准化具有所谓的通用哈希函数的工作,参见ISO/IEC 9797-3。但这没有广泛传播。
以下阐述带有密钥的哈希函数HMAC。在带有密钥的哈希函数中,HMAC结构应用最广泛,可参见“Mihir Bellare、Ran
Canetti和Hugo Krawczyk的Keying hash function for message authentication,Neal Koblitz编著,CRYPTO'96的议程,Lecture Notes in Computer Science第1109卷,第1-15页,Springer出版社,1996)。该带有密钥的哈希函数尤其常常应用于IETF领域,例如在IPsec和http-digest中。HMAC基于在使用具有合适哈希函数H的密钥K的情况下消息x的两次交错散列(Hashen)。
两个串ipad(inner-padding:内填充)和opad(outer-padding:外填充)是预先给定的串常量。与基于块密码的MAC不同,在HMAC结构中不存在多个填充方法和可选的处理。
广泛传播的例如是HMAC-SHA-1(H=SHA-1,m=96,也就是说160位输出仅仅96个最高有效位)和HMAC-SHA-256(H=SHA-256,m=96,也就是说256位输出仅仅96个最高有效位),可参见例如IPsec。在传感器保护范畴内观察HMAC,但其明显比最后在具体实施例中建议的解决方案更昂贵。
以下阐述基于块密码的MAC。令x1, x2…xt是消息文本的块,例如对于算法Enc=AES具有块长度n=128并且对于算法Enc=DES、Triple DES、IDEA或PRESENT具有块长度n=64,即:
其中,t'是所谓的填充之前的块的数量,在此最后的块在必要时可以包括少于n位,即。在填充之后获得t个消息文本块x1, x2…xt,其中根据填充方法有:
填充方法1:以零个或多个0位填充明文直到达到块长度n的四倍,即。对此可参见“A.J.Menezes、P.C.van
Oorschot和S.A.Vanstone的Handbook of Applied Cryptography,CRC Press,1996,算法9.29,第334页”。
填充方法2:向明文附加一个1位,然后以0位填充所述明文直到达到块长度n的四倍,即或。对此可参见“A.J.Menezes、P.C.van
Oorschot和S.A.Vanstone的Handbook of Applied Cryptography,CRC Press,1996,算法9.30,第334-335页”。
填充方法3:编码长度块L的原始消息的长度,大多数为64位,在必要时左对齐地以0位填充。以零个或多个0位填充原始消息直到达到块长度n的四倍,附加长度块L,即或。
在消息认证码标准的1999版本(参见ISO/IEC 9797-1,
Information technology - Security techniques - Message Authentication Codes
(MACs) Part 1: Mechanisms using a block cipher, ISO/IEC, 1999)中才补充了填充方法3并且在之前的版本(参见ISO/IPC 9797,
Information technology - Security techniques - Data integrity mechanism using a
cryptographic check function employing block cipher algorithm, ISO/IEC, 1994)中不包含填充方法3。该填充方法也用于哈希函数。
第一填充方法与方法2和3相比具有更差的安全特性。
简单起见假设,在该消息文本数据中已经包含了附加的随机化数据,其用于防御所谓的重放攻击,以下更详细地进行说明。
因此令x1, x2…xt是经填充的并且在必要时补充了随机化数据的压力值——消息文本。在具体实施例RDS传感器保护中现在具体规划:
EncK – 具有密钥K的加密算法AES
k – 密钥K的长度(单位:位),在此k=128
n – 加密算法的块宽度,在此n=128
t – 块的数量,在此t=16
对于基于块密码的消息认证码,CBC-MAC结构应用最广泛。令IV是长度为n的初始化向量。在CBC-MAC中,与CBC加密不同可以选择值。
初始化
CBC码
输出变换
以下应当注意:
(i)在标准“ISO/IPC 9797, Information technology -
Security techniques - Data integrity mechanisms using a cryptographic check
function employing block cipher algorithm, ISO/IEC, 1994”的附录A中还定义了两个可选的处理:
可选处理1:在第一可选处理中,借助第二独立密钥K2再一次特别处理最后的块Ht:借助K2解密并且借助K1加密最后的块Ht。这相应于。该处理称作MAC加强并且用于防御特定的选择文本存在的伪造攻击。
可选处理2:第二可选处理包含借助于第二密钥K2再次加密最后的块,即。
(ii)新的标准(参见“ISO/IEC 9797-1, Information technology - Security
techniques - Message Authentication Codes (MACs) Part 1: Mechanisms using a
block cipher, ISO/IEC 1999)不再包含选择处理,而是取而代之地规定六个不同的MAC算法,其可以分别与三种不同的填充方法组合。MAC算法4至5是新的模式。在这里建议的方法中的两种由于2003年的新密码分析知识而不再适用。所提到的旧算法是:
1. 不具有可选处理的CBC-MAC:通常的CBC-MAC,即g(Ht)=Ht。
Bellare、Kilian和Rogaway(参见M. Bellare, J. Kilian和F.:'
Rogaway的The security of the cipher block
chaining, Journal of Computer Sciences, 3(61):362-399, 2000)在2000年指出:如果所基于的块密码是安全的,即是伪随机函数,则该CBC-MAC在具有固定长度的消息的情况下是安全的。注意到,对于可变长度的消息立刻得出攻击,例如 。因此,在实践中不使用该简单的CBC-MAC。
2. 具有可选处理1的CBC-MAC:零售MAC。具有 的该MAC首次用于零售银行领域中的DES,因此得名,即m=n/2=32,n=64,Enc – DES,对于k1和k2而言k=56。如此修改CBC-MAC,使得全部最后n位块g(Ht)不用作MAC,而是仅仅m个左对齐的位用于抵抗穷举密钥攻击的安全性。在实践中,往往m=n/2。在RDS传感器研讨会在2008年10月29日首次建议将CBC-MAC方法用于传感器数据的完整性。如果使用DES作为加密算法,则无论在软件方面还是硬件方面是仅仅使用加密还是使用加密和解密在实现开销方面区别不大。但对于AES,解密的开销与加密相比大得多。因此,在随后的会议中建议以下的仅仅应付加密的方法。
3. 具有可选处理2的CBC-MAC:EMAC:该模式使用具有第二密钥K2的输出变换:。EMAC结构在1995年首先由RIPE联合组织建议。Petrank/Rackoff(参见E. Petrank和C.
Rackoff的CBC MAC for real-time data sources,
Journal of Cryptology, 3(13):315-338, 2000)借助该模式第一次实现了:证实CBC-MACS在可变长度的输入时的安全性。该模式被建议作为用于传感器保护的实现可选方案,具体地Enc-AES,对于密钥k1和k2而言k=128,n=128,m=m/2=54。
(iii)Black和Rogaway的另一优化方案通过填充来减小开销。XCBC或三密钥MAC(参见J.Black和P.Rogawa的CBC MACs for
arbitrary-length messages,Mihir Bellare编著的Advances in Cryptology-CRYPTO 2000, Lecture Notes in
Computer Science第1880号, 第197-215页, Springer出版社,
2000)使用k位密钥K1用于块密码和两个n位密钥K2和K3用于所谓的密钥白化(Key
Whitening),对于XOR-Encrypt-XOR方案可参见“T.Schütze的Algorithmen für
eine Crypto-Library für Embedded
Systems,技术报告,Robert Bosch有限公司,CR/AEA,2007年8月,内部文档,1.0版,2007-08-07,第46页)。XCBC-MAC如此修改最后的加密和填充,使得块的数量在填充前和填充后是相同的,即:
如果,则
否则,附加一个“1”位和个“0”位并且。
(iv)当然还有另一密钥K3不是很有利。Iwata和Kurosawa的OMAC算法(参见T.Iwata和K.Kurosawa的OMAC:One key CBC MAC,T.Johannson编著的Fast
Software Encryption,Lechture Notes
in Computer Science 第2887号,第129-153页,Springer出版社,2003)减小对密钥的开销,其方式是,特定地选择 和。
应提到的是,和是伽罗华域(Galoisfeld)的两个元素,并且x是体中的乘法。
期待NIST在名称CMAC下标准化该算法。对此参见“Morris Dworkin的Cipher
Modes of Operation: The CMAC Mode for Authentication,NIST Special Publication 800-38b, National Institute of
Standards and Technology NIST, 2005年5月, 参见http://csrc.
nist.gov/publications/nistpubs/800-38b/sp800-38b.pdf, 第2和3页”。
对于实施例建议与EMAC并行地研究作为用于传感器保护的消息认证码的算法OMAC或者CMAC。
(v)在CBC加密的情况下当然输出所有加密的块,在CBC-MAC的情况下仅仅输出最后的块。这不仅仅是技术原因。输出所有Hi的CBC-MAC方法是不安全的,参见“Jonathan Kahtz和Yehuda Lindeill的Introduction
to Modern Cryptography,CRC Publishing,
2007, 第 126页”。
以下示出和汇总所建议的完整性保护方法。如迄今那样,表示消息文本块,压力值,具有块长度n,表示对称的块密码,即k=128并且n=128或n=64。在填充之后,为了选择现有的填充方法1或2,获得t个消息文本块。为了能够给出具体的数字,对于随后的表示在RDS传感器情况下选择当前规划的实现方式:
t=16块
Enc AES,k = 128,n=128
填充方法1
以下阐述EMAC:
初始化
CBC模式
输出变换
具有两个128位MAC密钥和(m=n/2=64,即MAC输出的截断)和输出变换。
在当前所观察的变型方案中,位的数量2048可除以块长度128,即填充方法1等同于无填充。对于该安全性方案的一般性应用,强烈推荐填充方法2,否则该方法确实仅仅用于固定长度的输入。方法EMAC的安全性证实可见“E.
Petrank和C. Rackoff的CBC
MAC for realtime data sources,Journal of
Cryptology, 3(13):315-338, 2000”,即在可变输入长度的自适应的选择消息攻击下存在不可伪造。该方法在“ISO/ IEC 9797-2, Information
technology - Security techniques - Message Authentication Codes MACs - Part 2:
Mechanisms using a dedicated hash function, ISO/1 EC; 2002”中标准化。开销基本上由块密码的t+1次调用组成。
以下观察CMAC/OMAC。K或者KAB,MAC1是128位的MAC密钥,K1、K2表示两个128位导出密钥。此外如通常的那样,令是块长度为n的消息文本块(对于AES,n=128)。对于CMAC方法有,即块的数量在再处理(“填充”)最后的块之前和之后是相同的,甚至有,即最后的块中的位数量是相同的,但不存在。更确切地,最后的块通过XCBC结构修改。
以下阐述CMAC中用于子密钥生成的算法。
输如:密钥K,输出:子密钥K1、K2
S1:;
S2:如果则否则;
S3:如果则否则;
常数用于块长度为128的块密码,即例如AES,而用于64位的块长度密码,例如Triple DES。如果,即最后的块是完整的,则设置
,否则
其中,。借助该仅仅在最后的块中相对于原始数据改变的消息块,现在实施标准CBC-MAC算法,在需要时截断输出直至64位:
初始化
CBC模式
输出变换
在CMAC方法中,与EMAC相反,即使在位数量不可除以块长度的情况下也不必额外地附加块。仅仅需要128位MAC密钥。对于所述方法的表示和安全性参阅“T. Iwata和K.
Kurosawa的OMAC: One key CBC MAC(T. Johannson编著的Fast
Software Encryption,Lecture Notes in
Computer Science第2887号, 第129-153页, Springer出版社, 2003)”和“Morris Dworkin的Cipher
Modes of Operation: The CMAC Mode for Authentication(NIST Special Publication 800-38b, National Institute of
Standards and Technology (NIST),2005年5月), 也可参见http://csrc.nist.gov/publications/nistpubs/800-38b/sp800-38b.
pdf”。现在,所述方法在NIST中标准化。开销在于块密码的t次调用、的一次预计算以及或者移位运算。
方法CMAC在实践中是否可以比EMAC更快并且尤其更节省空间或者节省存储空间地实现,完全取决于CMAC中块密码和组合开销的实现。细节在各种实现测试之后才可以得知。MAC计算或者验证在传感器侧(A)和控制设备侧(B)基本上同时发生。
图5示出用于阐述通过消息认证码EMAC或CMAC对传感器数据进行完整性保护的示意性表示。
A:借助于共同的密钥(要么对于EMAC有,要么对于CMAC仅有)由长度分别为n的输入块计算64位MAC值:
将MAC值连同消息文本发送给B
t×n位,m位=2048位,64位
B:以明文获得消息文本,其可以无等待延迟地立即转发用于进一步处理并且在其方面计算并且随后与所传输的A的MAC值进行比较。在不相等的情况下,产生适于处理的错误信号。
以下作为安全整体方案的另一部分描述用于阻止重放攻击的方法。因为消息认证码应当总是与数据的语义无关,所以出于慎重在MAC的结构中不添加与时间相关的状态。如果数据在以上协议中仅仅是纯粹的压力数据,则攻击方/调谐器可能记录并且随后重放(re-play)其感兴趣的发动机状态或者压力变化(全速)。为了阻止该情形,除数据以外在消息内容中附加随机元素(随机数、时变参数),即完整性保护方法、即MAC本身不变。基于效率考虑和具有所记录的压力数据的本地数据库的可能性的估计,例如建议在每t×n=16×128=2048位块中附加至少r=32位的随机数据RA。从密码学角度来看,必要时甚至推荐r=48位的随机数据。因为假设所传输的真正压力数据也具有一定的熵,所以以下继续遵循该折衷。真正的分布——即在哪个位置上出现压力数据并且何时出现随机位——在密码学上是不重要的。对于RDS传感器的实施例的建议如下:9位压力数据×224+r=32位随机数(RA)=2048=128×16=t×n。因此在完整性保护时可以有效地阻止重放攻击。攻击方必须完整地记录至少232+ 熵 (x) 协议运行。
以下演示,如何在根据本发明的安全性方案的决定性的第四步骤中通过两种方法的适当连接获得所谓的交易认证。对于传感器安全必要的不止是纯粹的消息认证,即还有唯一性和新鲜度。可参阅“A. J.
Menezes、P. C. van Oorschot和S. A. Vanstone的Handbook
of Applied Cryptography,CRC Press, 1996年, 表9.10, 第362页”。在所述文献位置上说明的认证类型表如下:
| 源标识 | 数据完整性 | 时效性或唯一性 | 定义在 | |
| 消息认证 | 是 | 是 | - | §9.6.1 |
| 交易认证 | 是 | 是 | 是 | §9.6.1 |
| 实体认证 | 是 | - | 是 | §10.1.1 |
| 密钥认证 | 是 | 是 | 合意的 | §12.2.1 |
借助用于完整性保护的MAC(第一行)无法实现新鲜度。为此使用认证(在这里倒数第二行并且称作实体认证)。在这里看到,最好是Transaction
Authentication(交易认证)。但这样要求每个分组中的Message
Authentication(消息认证)和相应长的时变参数。即例如关于压力数据和足够长的时间戳或者(同步的)计数器的MAC。因为按照标准在传感器上既不具有时钟也不具有同步计数器,所以选择由行3(实体认证,认证)和行1(消息认证,完整性保护)组成的组合。
在此处进行两种协议的决定性连接。在认证时,控制设备B例如向传感器A发送随机数RB。在完整性保护时,传感器向控制设备发送随机数RA。在DE-102009002396中,现在对于RA在开始时使用RB的32个最高有效位并且在每一步骤中(即所有t×n=2048位)以1向上计数RA的值。由此在密码学上可靠地连接两种协议。攻击方不使用用作顺序计数器的Isb(RB)的知识,因为在每次认证时由控制设备重新选择顺序计数器。此外,不在传感器侧A上实现随机数生成器,因为所有的随机数来自控制设备B。但在控制设备上现今已经存在确定性的RNG。
现在,对于这样的实现而言,一个重要的问题是,可以怎样频繁地实施完整性保护协议步骤,而不出现顺序计数器RA的重复。假设:32位计数器简单溢出(无符号的整数wrap),即可以传输232×(2048-32)位压力数据。在每秒8000×9位的数据传输率时,在
天后出现计数器的重复。
最晚在该时间之后进行重新认证。控制设备B自己向传感器发送随机数RB,从而也可以计算用于顺序计数器的起始值。随着每个数据分组,即每个t×n位,控制设备获得新的值。如果所传输的值在一定的窗内,例如,则控制设备接受该顺序计算器并且设置。重要的是,传感器不可以从其方面重新设置顺序计数器,相当于KeeLoq中的较差设计解决方案。在正常情况下,即在没有分组丢失的情况下利用,即RA随着每个分组仅仅递增1。
在此明确指出,交易认证——即发射机的完整性、数据的完整性以及新鲜度,要么可以通过双向的通信协议(挑战-响应)或者可以通过全局的、独立的时间戳或顺序计数器实现。要求方/验证方(在此情形中是传感器)应当不能够重新设置计数器或时钟。这可以如在KeeLoq的情形中那样导致服务攻击的拒绝。仅仅在确定的有效窗中接受计数器,攻击方如此操纵计数器,使得计数器总是无效的。随后不接受或必须重新拒绝传感器。在防盗锁装置中假设,认证的车辆密钥自身是防操纵的,并且通过这种方式不能够产生非自然的计数器。如果车辆密钥的内计数器与最后授权的计数器偏差多于100000,则大多必须拒绝该车辆密钥。
根据DE-102009002396的传感器的认证和传感器数据的完整性保护的结合实现了整体方案的更高安全性,而另一问题尚未解决。没有排除由于侧通道攻击(side
channel attack,SCA)引起的密钥丢失,例如差分功率分析(Differential
Power Analysis,DPA)。因此,由迄今描述的结构可以导出以下问题:当密钥的一部分例如由于侧通道攻击而已知时(在此,密钥Kauth或者Kmac之一的丢失),总体协议的期望特性表现如何?在迄今建议的协议中,部分协议的这种破坏导致总体协议的破坏。对于迄今提出的安全性方案,所谓的会话分裂攻击是可能的,该攻击在充分利用密钥之一的破坏的情况下废除总体安全性方案。在此,攻击方例如可以在完整性保护破坏之后(Kmac已知)划分交易(即会议):该攻击方计算用于由其选择的数据的完整性保护的值本身(因为Kmac已知)并且使用原始源,以便成功完成挑战-响应协议。
通过如下方式使SCA更困难:提高两个部分协议进程之间的最小可靠时间。这导致攻击期间的可能采样率的降低并且因此提高成功攻击的时间开销。在部分协议中的该最小时间段的提高期间完整性保护受限于所需的数据率,在认证时可以使用高得多的值。
以下描述的方案是在相对部分协议成功的会话分裂攻击(例如SCA攻击)的情况下防止总体协议破坏的有效且高效的措施。在此在迄今描述的协议的变型中建议如此彼此连接两种部分协议,即例如对Kmac的认识(例如通过SCA,其在此比在其他部分协议中更难阻止)不导致总体协议的破坏。所建议的改变获得关于资源和安全性方面的原始协议的正面特性。所建议的变型方案的基础由挑战和Kauth可靠地导出秘密值。然后该值用作Nonce(仅使用一次的数字)Ra的初始值Ra0,该初始值被引入到每次MAC计算。在原始协议中(DE-102009002396),该初始值直接由挑战(由攻击方已知的值)形成。
图6或者图6a和6b示出用于阐述在新建议的变型方案中连接完整性保护和认证以用于传感器数据的交易安全性的总体协议的示意图。在此示出了传感器A与控制设备B的通信。传感器A发给控制设备B的传感器数据由x表示。传感器A和控制设备B具有用于认证的共同的密钥KAB,Auth(例如128位的AES密钥)以及用于消息认证码CMAC的共同的密钥KAB,MAC(例如又是128位的AES密钥)(在消息认证码EMAC的替代情形中是两个密钥KAB,MAC1,KAB,MAC2)。
图6a示出安全总体方案的第一步骤,更确切地说,挑战-响应方法的描述。在第一步骤中,控制设备B产生在密码学上可靠的64位随机数RB并且将其与标识IDB级联地发送给传感器A:。
传感器A借助对称的AES密钥KAB,Auth对接收到的数据分组加密。从所产生的长度为128位的结果取64 msb(最高有效位)并且将其与标识IDA一起发送回控制设备B:。
在数据发送给传感器之后,控制设备B可以马上在其方面开始计算。控制设备B随后比较所接收的数据,不论是还是IDA。仅仅在每两个值一致的情况下才继续所述协议,传感器被相对于控制设备认证。如果仅仅一个值有偏差,则生成错误报告“传感器认证失败”。
图6b示出在从挑战和Kauth导出Nonce(仅使用一次的数字)的起始值Ra0的情况下认证和完整性保护的结合。
如在图6a中可以看到的,Rb连同IDb在传感器中已经被加密,以便计算出认证回应。作为响应,在认证的挑战-响应方法中传输 ;最后8个字节通过截断来保密。现在从导出初始的,例如作为,即例如将在挑战-响应中截断的部分用作为Ra。也就是传感器例如如同在图6b中示出的那样存储的64个最低有效位(lsb)作为RA或者作为Nonce
RA的初始值Ra0。
出于效率的原因,使用由认证的挑战-响应方法中已经计算出的部分——例如没有发送的部分(响应截断)作为初始值Ra0。如所描述的那样,传感器数据由x表示。以下可以使用用于计算消息认证码(例如EMAC或者CMAC)的不同可行方案,如以上描述的那样。传感器数据x(与时变参数级联)与消息认证码的msb64一起发送给控制设备,参见图6b。在原始协议中不加密地传输时变参数,或者当前的Nonce。但这在经改变的、在这里建议的协议中不再可能,因为这会削弱认证的回应截断。为了不削弱回应截断,在一个优选的构型中现在附加地取代Ra而传输作为具有溢出的无符号整数的值c,其中,并且在MAC计算中继续使用Ra,参见6b:
最后使顺序计数器RA提高1。
控制设备B获得传感器数据x并且对其进行处理和/或转发该传感器数据x。现在,借助接收到的数据在控制设备侧在其方面计算MAC值并且将其与接收到的MAC值进行比较。因为对于控制设备而言c或者RA的初始值是已知的,因此可以检验:所发送的顺序计数器c是否位于预给定的间隔内。如果是这种情况,则所述控制设备接受所述顺序计算器并且实施以上计算。如果不是这种情况,则传感器A和控制设备B明显已经丢失过多分组或者丧失同步。随后应当进行重新认证,以及诸如此类以用于重新协商c或者Ra。在MAC计算和比较之后,使c或者RA递增1。
一般性地可以表述为:对于在交易认证或者传感器数据完整性保护范畴内使用的时变参数的计算使用密码学认证消息的至少第二部分并且对于密码学完整性保护的计算使用密码学认证消息的第三部分,而在传感器认证范畴内发送了密码学认证消息的第一部分。在图6中示出的示例对应于第二和第三部分 。但在此第二部分和第三部分不一定一致。有利的是,第一部分不与第二和第三部分相交或者至少不与其一致。第二部分和第三部分可以一致,表现为的相交或分离的部分。
在每次传感器数据交易中计算当前的参数Ra,时变参数c在每次传感器数据交易中对应于初始值Ra0(即在示例中)和之前传感器数据交易的当前参数的差值。
对于根据本发明的安全性总体方案的所提出的实施例存在替代方案。
在交易认证的每一步骤中,在以上提到的实施例中使RA递增1。根据所确定的规则的其他递增或其他改变也是可考虑的并且可能是有利的。在这里提出的用于认证和用于完整性保护或者用于交易认证的(密码学的)方法也仅仅是示例性的并且也可以通过在说明书中提到的其他替代方法或者没有提到的相当的方法替代。
数字RB在所提到的方案中称作随机数。更一般性地,该数字RB也可设置为Nonce(仅使用一次的数字),例如除随机数以外作为时间戳或顺序计数器。
Claims (15)
1.一种用于传感器(A)的传感器数据(x)的操纵保护的方法,其中在传感器(A)的认证范畴内,由控制设备(B)向传感器(A)发送一次性使用的数字(RB)并且传感器(A)在使用该一次性使用的数字(RB)的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备(B),其中传感器数据(x)设有密码学的完整性保护,给所述传感器数据(x)添加时变参数(c),并且其中具有密码学的完整性保护的传感器数据(x)和所添加的时变参数(c)由传感器(A)发送给控制设备(B),
其特征在于,
对于所述时变参数(c)的计算,使用所述密码学的认证消息的至少第二部分并且对于所述密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分。
2.根据权利要求1所述的方法,其特征在于,在每次传感器数据交易中改变所述时变参数(c)。
3.根据权利要求2所述的方法,其特征在于,所述时变参数(c)的改变对应于逐步的递增。
4.根据权利要求2所述的方法,其特征在于,在每次传感器数据交易中由所述密码学的认证消息的第二部分(Ra0)计算当前的参数(Ra),并且由所述当前的参数(Ra)与所述密码学的认证消息的第二部分(Ra0)的差值计算出用于第n次传感器数据交易的时变参数(c)。
5.根据权利要求4所述的方法,其特征在于,对于所述密码学的完整性保护的计算使用所述当前的参数(Ra)。
6.根据权利要求1至5之一所述的方法,其特征在于,根据挑战-响应方法实施传感器(A)的认证。
7.根据权利要求1至5之一所述的方法,其特征在于,根据消息认证码MAC方法实施传感器数据(x)的密码学的完整性保护。
8.根据权利要求7所述的方法,其特征在于,消息认证码MAC方法是OMAC方法或EMAC方法。
9.根据权利要求2所述的方法,其特征在于,通过时间戳或顺序计数器或随机数改变所述时变参数(c)。
10.根据权利要求1至5之一所述的方法,其特征在于,所述密码学的认证消息的第一部分和所述密码学的认证消息的第二部分不相交,并且所述密码学的认证消息的第一部分和所述密码学的认证消息的第三部分不相交。
11.一种传感器(A),其具有在所述传感器(A)的认证的范畴内从控制设备(B)接收一次性使用的数字(RB)、在使用该一次性使用的数字(RB)的情况下生成密码学的认证消息并且将该密码学的认证消息的至少第一部分发送给控制设备(B)的装置,以及具有为传感器数据(x)设有密码学的完整性保护、向传感器数据(x)添加时变参数(c)并且将具有密码学的完整性保护的传感器数据(x)和所添加的时变参数(c)由传感器(A)发送给控制设备(B)的装置,
其特征在于,
所述传感器(A)具有对于所述时变参数(c)的计算使用所述密码学的认证消息的至少第二部分并且对于所述密码学的完整性保护的计算使用所述密码学的认证消息的至少第三部分的装置。
12.根据权利要求11所述的传感器(A),其特征在于,所述传感器(A)具有在每次传感器数据交易中改变所述时变参数(c)的装置。
13.根据权利要求12所述的传感器(A),其特征在于,所述时变参数(c)的改变对应于逐步的递增。
14.根据权利要求12所述的传感器(A),其特征在于,在每次传感器数据交易中由所述密码学的认证消息的第二部分(Ra0)计算当前的参数(Ra),并且由该当前的参数(Ra)与所述密码学的认证消息的第二部分(Ra0)的差值计算出用于第n次传感器数据交易的时变参数(c)。
15.一种控制设备(B),其具有在传感器(A)的认证的范畴内生成并且向所述传感器(A)发送一次性使用的数字(RB)、从所述传感器(A)接收在使用该一次性使用的数字(RB)的情况下生成的密码学的认证消息的至少第一部分、自己生成密码学的比较认证消息并且借助于该自己生成的密码学的比较认证消息来分析所述密码学的认证消息的所接收的第一部分的装置,以及具有分析设有密码学的完整性保护和时变参数(c)的传感器数据(x)的装置,
其特征在于,
所述控制设备(B)具有对于所述时变参数(c)的分析使用所述自己生成的密码学的比较认证消息的至少第二部分并且对于所述密码学的完整性保护的分析使用所述自己生成的密码学的比较认证消息的至少第三部分的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102009045133A DE102009045133A1 (de) | 2009-09-29 | 2009-09-29 | Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu |
| DE102009045133.1 | 2009-09-29 | ||
| PCT/EP2010/063168 WO2011039037A1 (de) | 2009-09-29 | 2010-09-08 | Verfahren zum manipulationsschutz von sensordaten und sensor hierzu |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102577228A CN102577228A (zh) | 2012-07-11 |
| CN102577228B true CN102577228B (zh) | 2015-01-07 |
Family
ID=43221947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080043299.9A Expired - Fee Related CN102577228B (zh) | 2009-09-29 | 2010-09-08 | 用于传感器数据的操纵保护的方法和用于此的传感器 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9100193B2 (zh) |
| EP (1) | EP2484047B1 (zh) |
| JP (1) | JP5584767B2 (zh) |
| CN (1) | CN102577228B (zh) |
| DE (1) | DE102009045133A1 (zh) |
| IN (1) | IN2012DN00473A (zh) |
| WO (1) | WO2011039037A1 (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102009002396A1 (de) * | 2009-04-15 | 2010-10-21 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu |
| DE102013206202A1 (de) * | 2013-04-09 | 2014-10-30 | Robert Bosch Gmbh | Sensormodul und Verfahren zum Betreiben eines Sensorsmoduls |
| DE102013218212A1 (de) * | 2013-09-11 | 2015-03-12 | Robert Bosch Gmbh | Verfahren zum abgesicherten Übermitteln von Daten |
| JP6126980B2 (ja) | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| JP2015122620A (ja) * | 2013-12-24 | 2015-07-02 | 富士通セミコンダクター株式会社 | 認証システム、認証方法、認証装置、及び、被認証装置 |
| RU2685982C2 (ru) | 2014-04-28 | 2019-04-23 | Роберт Бош Гмбх | Способ генерирования секретного криптографического ключа в сети |
| CN104079408B (zh) * | 2014-05-30 | 2018-01-19 | 国家电网公司 | 一种工业控制系统中增强通信安全性的方法 |
| DE102014212219A1 (de) | 2014-06-25 | 2015-12-31 | Robert Bosch Gmbh | Verfahren zur Authentifizierung und Anbindung eines Geräts an ein Netzwerk sowie hierzu eingerichteter Teilnehmer des Netzwerks |
| JP2016131311A (ja) * | 2015-01-14 | 2016-07-21 | 日本電信電話株式会社 | ユーザ端末、サーバ装置、通信システム、通信方法、プログラム |
| EP3056706A1 (en) | 2015-02-16 | 2016-08-17 | Honeywell International Inc. | An approach for aftertreatment system modeling and model identification |
| DE102015202935A1 (de) * | 2015-02-18 | 2016-08-18 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz |
| DE102015220038A1 (de) | 2015-05-22 | 2016-11-24 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015209496A1 (de) | 2015-05-22 | 2016-11-24 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| JP6361589B2 (ja) * | 2015-06-11 | 2018-07-25 | 株式会社デンソー | 通信システム |
| DE102015211451A1 (de) | 2015-06-22 | 2017-01-05 | Volkswagen Aktiengesellschaft | Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen |
| EP3125052B1 (en) | 2015-07-31 | 2020-09-02 | Garrett Transportation I Inc. | Quadratic program solver for mpc using variable ordering |
| US10272779B2 (en) | 2015-08-05 | 2019-04-30 | Garrett Transportation I Inc. | System and approach for dynamic vehicle speed optimization |
| DE102015220026A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses für eine Einmalverschlüsselung in einem Netzwerk |
| DE102015220081A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Schlüssels in einer Schaltungsanordnung |
| DE102015220048A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015220053A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Generierung eines Schlüssels in einem Netzwerk und zu Aktivierung einer Absicherung einer Kommunikation in dem Netzwerk auf Basis des Schlüssels |
| DE102015220057A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Schaltungsanordnung zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015220024A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015220055A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015220083A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Schaltungsanordnung zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| DE102015220045A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| US10230756B2 (en) | 2015-11-25 | 2019-03-12 | International Business Machines Corporation | Resisting replay attacks efficiently in a permissioned and privacy-preserving blockchain network |
| DE102016103498A1 (de) * | 2016-02-26 | 2017-08-31 | Infineon Technologies Ag | Ein Verfahren zum Übermitteln von Daten von einem Sensorbauelement an eine elektronische Steuereinheit, ein Sensorbauelement und eine elektronische Steuereinheit |
| US10036338B2 (en) | 2016-04-26 | 2018-07-31 | Honeywell International Inc. | Condition-based powertrain control system |
| US10728249B2 (en) | 2016-04-26 | 2020-07-28 | Garrett Transporation I Inc. | Approach for securing a vehicle access port |
| US10124750B2 (en) | 2016-04-26 | 2018-11-13 | Honeywell International Inc. | Vehicle security module system |
| US10630481B2 (en) * | 2016-11-07 | 2020-04-21 | Ford Global Technologies, Llc | Controller area network message authentication |
| US11199120B2 (en) | 2016-11-29 | 2021-12-14 | Garrett Transportation I, Inc. | Inferential flow sensor |
| KR101966088B1 (ko) * | 2017-04-06 | 2019-04-05 | 상명대학교산학협력단 | Iot 응용에 최적화된 인증 암호 장치 및 방법 |
| JP6818623B2 (ja) * | 2017-04-27 | 2021-01-20 | 株式会社東芝 | 情報処理装置 |
| US20210165870A1 (en) * | 2017-08-04 | 2021-06-03 | Nidec Corporation | Authentication system, electronic apparatus used in authentication system, and authentication method |
| US11057213B2 (en) | 2017-10-13 | 2021-07-06 | Garrett Transportation I, Inc. | Authentication system for electronic control unit on a bus |
| JP7119537B2 (ja) * | 2018-04-24 | 2022-08-17 | 日本電信電話株式会社 | 検知システムおよび検知方法 |
| CN108833346A (zh) * | 2018-05-04 | 2018-11-16 | 北京天元创新科技有限公司 | 一种工业控制系统安全通信方法和装置 |
| CN110351095B (zh) * | 2019-07-12 | 2022-06-07 | 四川虹美智能科技有限公司 | 一种控制多联式空调机组运行的方法和装置 |
| JP7325318B2 (ja) * | 2019-12-17 | 2023-08-14 | 株式会社日立製作所 | 証跡記録システム及びデータ検証方法 |
| CN111786797B (zh) * | 2020-07-03 | 2022-10-18 | 四川阵风科技有限公司 | 三方通信的时效性验证方法 |
| US20220103354A1 (en) * | 2020-09-25 | 2022-03-31 | Renesas Electronics Corporation | Secure encryption key generation and management in open and secure processor environments |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007088288A1 (fr) * | 2006-02-03 | 2007-08-09 | Advanced Track & Trace | Procede et dispositif d'authentification |
| CN101116281A (zh) * | 2005-02-10 | 2008-01-30 | 国际商业机器公司 | 询问-应答签名和安全迪菲-海尔曼协议 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4198509B2 (ja) * | 2003-04-14 | 2008-12-17 | 日本電信電話株式会社 | 相互認証方法 |
| DE10318031A1 (de) * | 2003-04-19 | 2004-11-04 | Daimlerchrysler Ag | Verfahren zur Sicherstellung der Integrität und Authentizität von Flashware für Steuergeräte |
| JP4665465B2 (ja) | 2004-09-07 | 2011-04-06 | パナソニック株式会社 | 通信装置、通信システム、通信方法 |
| JP2006270348A (ja) * | 2005-03-23 | 2006-10-05 | Victor Co Of Japan Ltd | 相互認証及び鍵共有システム |
| EP1944907A4 (en) | 2005-11-04 | 2011-08-31 | Nec Corp | DEVICE, METHOD AND MESSAGE AUTHENTICATION AND RECORD MEDIUM DEVICE THEREFOR |
| JP4810289B2 (ja) * | 2006-04-17 | 2011-11-09 | ルネサスエレクトロニクス株式会社 | メッセージ認証子生成装置、メッセージ認証子検証装置、及びメッセージ認証システム |
| WO2008011376A2 (en) * | 2006-07-21 | 2008-01-24 | General Electric Company | System and method for providing network device authentication |
| US8102999B2 (en) * | 2006-08-18 | 2012-01-24 | Medtronic, Inc. | Secure telemetric link |
| US7957533B2 (en) * | 2007-10-02 | 2011-06-07 | Alcatel-Lucent Usa Inc. | Method of establishing authentication keys and secure wireless communication |
| DE102009002396A1 (de) | 2009-04-15 | 2010-10-21 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu |
-
2009
- 2009-09-29 DE DE102009045133A patent/DE102009045133A1/de not_active Withdrawn
-
2010
- 2010-09-08 JP JP2012531314A patent/JP5584767B2/ja not_active Expired - Fee Related
- 2010-09-08 IN IN473DEN2012 patent/IN2012DN00473A/en unknown
- 2010-09-08 EP EP10754456.1A patent/EP2484047B1/de active Active
- 2010-09-08 WO PCT/EP2010/063168 patent/WO2011039037A1/de active Application Filing
- 2010-09-08 US US13/498,954 patent/US9100193B2/en active Active
- 2010-09-08 CN CN201080043299.9A patent/CN102577228B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101116281A (zh) * | 2005-02-10 | 2008-01-30 | 国际商业机器公司 | 询问-应答签名和安全迪菲-海尔曼协议 |
| WO2007088288A1 (fr) * | 2006-02-03 | 2007-08-09 | Advanced Track & Trace | Procede et dispositif d'authentification |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102009045133A1 (de) | 2011-03-31 |
| JP2013506369A (ja) | 2013-02-21 |
| CN102577228A (zh) | 2012-07-11 |
| IN2012DN00473A (zh) | 2015-06-05 |
| US20120303973A1 (en) | 2012-11-29 |
| EP2484047A1 (de) | 2012-08-08 |
| JP5584767B2 (ja) | 2014-09-03 |
| EP2484047B1 (de) | 2016-03-23 |
| US9100193B2 (en) | 2015-08-04 |
| WO2011039037A1 (de) | 2011-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102577228B (zh) | 用于传感器数据的操纵保护的方法和用于此的传感器 | |
| US8639925B2 (en) | Method for protecting a sensor and data of the sensor from manipulation and a sensor to that end | |
| US10218499B1 (en) | System and method for secure communications between controllers in a vehicle network | |
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| US8670563B2 (en) | System and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
| Blanchet | Symbolic and computational mechanized verification of the ARINC823 avionic protocols | |
| CN105049401B (zh) | 一种基于智能车的安全通信方法 | |
| CN101202623B (zh) | 消息验证码产生方法、验证/加密和验证/解密方法 | |
| US10057071B2 (en) | Component for connecting to a data bus, and methods for implementing a cryptographic functionality in such a component | |
| Alomair et al. | Efficient authentication for mobile and pervasive computing | |
| US7248700B2 (en) | Device and method for calculating a result of a modular exponentiation | |
| KR101608815B1 (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
| Koko et al. | Comparison of Various Encryption Algorithms and Techniques for improving secured data Communication | |
| US20150006900A1 (en) | Signature protocol | |
| CA2819211A1 (en) | Data encryption | |
| US11115187B2 (en) | Apparatus and method for block ciphers for real-time data transmission | |
| Sari et al. | Energizing the advanced encryption standard (AES) for better performance | |
| Liu et al. | Universal forgery with birthday paradox: application to blockcipher-based message authentication codes and authenticated encryptions | |
| Kapoor | A new cryptography algorithm with an integrated scheme to improve data security | |
| Atwal et al. | A Comparative Analysis of Different Encryption Algorithms: RSA, AES, DSS for Data Security | |
| WO2005039102A1 (ja) | 情報の暗号化送受信方法 | |
| Hwang et al. | PFX: an essence of authencryption for block‐cipher security | |
| Kiryukhin | On security aspects of CRISP | |
| Zhang et al. | iFeed [AES] v1 | |
| Bottinelli et al. | Breaking the IOC authenticated encryption mode |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150107 Termination date: 20190908 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |