密碼認證的通信的制作方法
【專利摘要】本發(fā)明涉及一種用于進行密碼認證的通信的系統(tǒng)，其中從通信裝置向存儲器裝置發(fā)送激活信號(410)。存儲器裝置從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)，并且將其發(fā)送回到通信裝置(420)。利用所接收到的隨機挑戰(zhàn)計算簽名(440)，并且將其與證書一起發(fā)送到存儲器裝置(450)。
【專利說明】密碼認證的通信

【技術領域】
[0001]本申請總體上涉及密碼認證的通信。

【背景技術】
[0002]移動通信裝置及其環(huán)境正變得越來越復雜，對于通信的安全性需求也相應地增加。
[0003]通過無線通信來提供信息或者所分發(fā)的內容的裝置和服務的數目的增加已經產生了對于通信安全性的新的需求。
[0004]此外，移動信息服務的用戶不僅越來越關注安全性，而且還越來越關注其隱私。如果在對于用戶數據的保護方面存在疑慮，用戶通常不希望采用新的服務。取決于服務和信息還存在不同的需要。因此，已經越來越難以管理應當如何存儲以及與其他裝置或用戶共享每一項信息。


【發(fā)明內容】

[0005]在權利要求書中闡述了本發(fā)明的實例的各個方面。
[0006]根據本發(fā)明的第一示例性方面，提供一種通信裝置，其包括:
[0007]存儲器單元；以及
[0008]輸入/輸出接口；
[0009]至少一個處理器，其被配置成:
[0010]向存儲器裝置發(fā)送激活信號；
[0011]從存儲器裝置接收從所述信號的至少一項物理屬性導出的隨機挑戰(zhàn)；
[0012]計算包括所述隨機挑戰(zhàn)的簽名；以及
[0013]向存儲器裝置發(fā)送簽名和證書。
[0014]所述至少一個處理器還可以被配置成利用隨機挑戰(zhàn)和私有密鑰來計算簽名。
[0015]所述至少一個處理器還可以被配置成:利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰；以及利用會話密鑰和私有密鑰來計算簽名。
[0016]所述至少一個處理器還可以被配置成:利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰；通過對會話密鑰和隱私策略進行封裝來計算計算閉包；以及利用計算閉包和私有密鑰來計算簽名。
[0017]所述至少一個處理器還可以被配置成將會話密鑰或計算閉包發(fā)送到存儲器裝置。
[0018]根據本發(fā)明的第二示例性方面，提供一種存儲器裝置，其包括:
[0019]存儲器單元；以及
[0020]輸入/輸出接口；
[0021]至少一個處理器，其被配置成:
[0022]從通信裝置接收激活信號；
[0023]從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)；以及
[0024]為通信裝置提供隨機挑戰(zhàn)。
[0025]所述至少一個處理器還可以被配置成將所述隨機挑戰(zhàn)存儲到存儲器單元的第一預先選擇節(jié)段中。
[0026]所述至少一個處理器還可以被配置成將所述隨機挑戰(zhàn)作為協(xié)議幀的一個節(jié)段的一部分發(fā)送。
[0027]所述至少一個處理器還可以被配置成:接收包括隨機挑戰(zhàn)和證書的簽名；以及將所述簽名和所述證書存儲到存儲器單元的第二預先選擇節(jié)段中。
[0028]所述至少一個處理器還可以被配置成從存儲器單元的第一預先選擇節(jié)段移除所述隨機挑戰(zhàn)。
[0029]所述至少一個處理器還可以被配置成通過將無線電信號的噪聲解釋成信息比特來導出隨機挑戰(zhàn)。
[0030]所述至少一個處理器還可以被配置成通過在關閉抑制器(quench)的情況下接收比特來導出隨機挑戰(zhàn)。
[0031]所述存儲器裝置還可以包括用于通過無線電信號接收信息的抑制器。所述至少一個處理器還可以被配置成通過在關閉抑制器的情況下解釋信號來導出隨機挑戰(zhàn)。
[0032]所述至少一個處理器還可以被配置成通過使用信號的持續(xù)時間計算隨機比特來導出隨機挑戰(zhàn)。
[0033]所述至少一個處理器還可以被配置成從通信裝置接收會話密鑰或計算閉包。
[0034]所述至少一個處理器還可以被配置成將簽名、證書以及會話密鑰或計算閉包存儲在存儲器單元的受保護節(jié)段中。
[0035]所述至少一個處理器還可以被配置成:從第二通信裝置接收激活信號；以及向第二通信裝置發(fā)送簽名和證書。
[0036]所述至少一個處理器還可以被配置成向第二通信裝置發(fā)送會話密鑰或計算閉包。
[0037]根據本發(fā)明的第三示例性方面，提供一種系統(tǒng)，其包括:
[0038]根據本發(fā)明的第二示例性方面的存儲器裝置；
[0039]根據本發(fā)明的第一示例性方面的第一通信裝置；以及
[0040]第二通信裝置，其包括:
[0041]第三存儲器單元；以及第三輸入/輸出接口 ；以及
[0042]至少一個第三處理器，其被配置成:
[0043]向存儲器裝置發(fā)送激活信號；
[0044]從存儲器裝置接收第一通信裝置的簽名和證書；以及
[0045]利用公共證書驗證所述簽名和證書。
[0046]所述至少一個第三處理器還可以被配置成從存儲器裝置接收第一通信裝置的會話密鑰或計算閉包。
[0047]所述至少一個第三處理器還可以被配置成對會話密鑰進行解密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。所述至少一個第三處理器還可以被配置成利用隨機挑戰(zhàn)與第一通信裝置形成會話。
[0048]所述至少一個第三處理器還可以被配置成執(zhí)行計算閉包，以便檢查第一通信裝置的隱私策略。
[0049]所述至少一個第三處理器還可以被配置成對會話密鑰進行解密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。所述至少一個第三處理器還可以被配置成取決于第一通信裝置的隱私策略，利用隨機挑戰(zhàn)與第一通信裝置形成會話。
[0050]根據本發(fā)明的第四示例性方面，提供一種方法，其包括:
[0051]向存儲器裝置發(fā)送激活信號；
[0052]從所述存儲器裝置接收從所述信號的至少一項物理屬性導出的隨機挑戰(zhàn)；
[0053]利用所述隨機挑戰(zhàn)計算簽名；以及
[0054]向存儲器裝置發(fā)送所計算的簽名和證書。
[0055]根據第五示例性方面，提供一種方法，其包括:
[0056]從通信裝置接收激活信號；
[0057]從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)；以及
[0058]為通信裝置提供隨機挑戰(zhàn)。
[0059]所述方法還可以包括將所述隨機挑戰(zhàn)存儲到存儲器單元的第一預先選擇節(jié)段中。
[0060]所述方法還可以包括將所述隨機挑戰(zhàn)作為協(xié)議幀的一個節(jié)段的一部分發(fā)送。
[0061]所述方法還可以包括:接收利用隨機挑戰(zhàn)和證書計算的簽名；以及將所述簽名和所述證書存儲到存儲器單元的第二預先選擇節(jié)段中。
[0062]所述方法還可以包括從存儲器單元的第一預先選擇節(jié)段移除所述隨機挑戰(zhàn)。
[0063]可以通過將信號的噪聲解釋成信息比特來導出隨機挑戰(zhàn)。
[0064]可以通過在關閉抑制器的情況下接收比特來導出隨機挑戰(zhàn)。
[0065]可以通過在關閉抑制器的情況下對信號進行解釋來導出隨機挑戰(zhàn)。
[0066]可以通過使用信號的持續(xù)時間計算隨機比特來導出隨機挑戰(zhàn)。
[0067]可以利用隨機挑戰(zhàn)和私有密鑰來計算簽名。
[0068]可以利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰?？梢岳脮捗荑€和私有密鑰來計算簽名。
[0069]可以利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰。可以通過對會話密鑰和隱私策略進行封裝來計算計算閉包?？梢岳糜嬎汩]包和私有密鑰來計算簽名。
[0070]可以將會話密鑰或計算閉包發(fā)送到存儲器裝置。
[0071 ]可以從通信裝置接收會話密鑰或計算閉包。
[0072]可以將簽名、證書以及會話密鑰或計算閉包存儲在存儲器單元的受保護節(jié)段中。
[0073]所述方法還可以包括從第二通信裝置接收激活信號。所述方法還可以包括向第二通信裝置發(fā)送簽名和證書。
[0074]可以向第二通信裝置發(fā)送會話密鑰或計算閉包。
[0075]根據本發(fā)明的第六示例性方面，提供一種方法，其包括:
[0076]向存儲器裝置發(fā)送激活信號；
[0077]從存儲器裝置接收至少一個通信裝置的簽名和證書；以及
[0078]利用公共證書來驗證所述簽名和證書。
[0079]所述方法還可以包括從存儲器裝置接收至少一個通信裝置的會話密鑰或計算閉包。
[0080]所述方法還可以包括對會話密鑰進行加密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。所述方法還可以包括利用隨機挑戰(zhàn)與第一通信裝置形成會話。
[0081]所述方法還可以包括執(zhí)行計算閉包，以便檢查第一通信裝置的隱私策略。所述方法還可以包括對會話密鑰進行加密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。所述方法還可以包括，取決于第一通信裝置的隱私策略，利用隨機挑戰(zhàn)與第一通信裝置形成會話。
[0082]根據本發(fā)明的第七示例性方面，提供一種計算機程序，其包括:
[0083]用于在處理器上運行所述計算機程序時實施本發(fā)明的任何示例性方面的方法的代碼。
[0084]根據本發(fā)明的第八示例性方面，提供一種存儲器介質，其包括第七示例性方面的計算機程序。
[0085]任何前述存儲器介質包括例如數據盤或盤片之類的數字數據存儲裝置、光學存儲裝置、磁性存儲裝置、全息存儲裝置、光-磁存儲裝置、相變存儲器、電阻性隨機存取存儲器、磁性隨機存取存儲器、固體電解質存儲器、鐵電隨機存取存儲器、有機存儲器或聚合物存儲器。所述存儲器介質可以被形成到除了存放存儲器之外沒有其他實質功能的裝置中，或者可以被形成為具有其他功能的裝置的一部分，其中包括而不限于計算機的存儲器、芯片組以及電子裝置的子套件。
[0086]前面說明了本發(fā)明的不同的非限定性示例性方面和示例性實施例。前面的示例性實施例僅僅是被用來解釋可以在本發(fā)明的實現(xiàn)方式中利用的所選方面或步驟。一些示例性實施例可能僅僅是參照本發(fā)明的特定示例性方面給出的。應當認識到，相應的示例性實施例也可以適用于其他示例性方面。

【專利附圖】

【附圖說明】
[0087]為了更加全面地理解本發(fā)明的示例性實施例，現(xiàn)在將參照后面結合附圖進行的描述，其中:
[0088]圖1示出了根據本發(fā)明的一個示例性實施例的隨機挑戰(zhàn)消息傳送的環(huán)境的方框圖；
[0089]圖2示出了根據一個示例性實施例的適合于隨機挑戰(zhàn)消息傳送的系統(tǒng)的方框圖；
[0090]圖3示出了根據一些示例性實施例的協(xié)議幀；
[0091]圖4示出了根據一個示例性實施例的消息傳送序列圖；
[0092]圖5示出了根據一個示例性實施例的消息傳送序列圖；
[0093]圖6示出了根據一個示例性實施例的消息傳送序列圖；以及
[0094]圖7示出了根據一個示例性實施例的消息傳送序列圖。

【具體實施方式】
[0095]通過參照附圖當中的圖1到7可以理解本發(fā)明的一個示例性實施例及其潛在的優(yōu)點。
[0096]圖1示出了根據本發(fā)明的一個示例性實施例的隨機挑戰(zhàn)消息傳送的環(huán)境的方框圖。如圖1中所示，通信裝置10aUOOb和100c、存儲器裝置200以及通信裝置1la和1lb形成所述環(huán)境。通信裝置10a到10c以及通信裝置1la到1lb被配置成根據后文中描述的隨機挑戰(zhàn)消息傳送方法的一個示例性實施例與存儲器裝置200進行通信。此外，在所述隨機挑戰(zhàn)消息傳送方法的一個示例性實施例中，通信裝置10a到10c和1la到1lb被配置成彼此通信。存儲器裝置200被配置成從接收自通信裝置10a到10c的第一通信裝置的至少一項物理屬性導出隨機挑戰(zhàn)。通信裝置10a到10c被配置成讀取和接收隨機挑戰(zhàn)，并且將其與對于存儲器裝置200的通信1a到1c或觸摸事件相關聯(lián)。通信裝置10a到10c還被配置成形成和/或計算和/或加密簽名、證書、會話密鑰和/或計算閉包并且存儲到存儲器裝置200的存儲器單元中，即存儲到第一存儲裝置中(圖2中的附圖標記210) ο
[0097]在所述隨機挑戰(zhàn)消息傳送的一些示例性實施例中，通信裝置1la到1lb被配置成與存儲器裝置200進行通信，并且取回存儲在第一存儲裝置210中的簽名、證書、會話密鑰和/或計算閉包，以便接收關于先前與存儲器裝置200進行通信的通信裝置10a到10c的信息。
[0098]在所述隨機挑戰(zhàn)消息傳送的一些示例性實施例中，通信裝置1la到1lb被配置成與通信裝置10a到10c開始通信或會話20a到20b。通信裝置1la到1lb被配置成從通信裝置10a到10c存儲到第一存儲裝置210中的信息獲得隨機挑戰(zhàn)，所述隨機挑戰(zhàn)是由存儲器裝置200從無線電信號的至少一項物理屬性導出的。通信裝置1la到1lb被配置成計算、解密和/或執(zhí)行從存儲器裝置200獲取的簽名、證書、會話密鑰和/或計算閉包，以便獲得與通信或觸摸事件1a到1c相關聯(lián)的隨機挑戰(zhàn)。通信裝置1la到1lb被配置成使用通信裝置10a到10c先前與通信或觸摸事件1a到1c相關聯(lián)的隨機挑戰(zhàn)，以便開始通信或會話20a到20b。
[0099]在一個示例性實施例中，通信裝置10a到10c和1la到1lb是個人計算機和/或服務器和/或移動電話和/或平板計算機和/或其他手持式或便攜式電子裝置。
[0100]在一個示例性實施例中，存儲器裝置200是獨立式存儲器裝置，比如射頻標識(RFID)標簽或射頻(RF)存儲器標簽，其被集成或嵌入到通信裝置中或者不被集成或嵌入。存儲器裝置200是有源的并且包括內部電源，或者是無源的并且依賴于接收供電信號。此夕卜，在一個示例性實施例中，存儲器裝置200能夠作為無源或有源裝置操作。
[0101]在一個示例性實施例中，通信裝置10a到100c、通信裝置1la到1lb以及存儲器裝置200被配置成支持無線通信，其中提供一個無線電頻率(例如超高頻(UHF))用于電力輸送，并且提供另一個無線電頻率(例如脈沖超寬帶(UWB))用于無線數據傳輸。此外，在一個示例性實施例中，通信裝置10a到100c、通信裝置1la到1lb以及存儲器裝置200當中的一項或更多項被配置成支持無線通信，其中利用近場通信(NFC)來進行電力輸送以及用于找到和選擇附近的其他裝置。存儲器裝置200還被配置成支持近場通信(NFC)以用于初始數據傳輸，并且還被配置成支持寬帶無線通信(例如脈沖超寬帶(UWB))以用于需要高容量的任何另外的數據傳輸。
[0102]圖2示出了根據一個示例性實施例的適合于隨機挑戰(zhàn)消息傳送的系統(tǒng)的方框圖。圖2示出了通信裝置100和存儲器裝置200。通信裝置100包括處理器110、第二存儲器單元120、輸入/輸出(I/O)接口 130以及用戶接口(UI) 140。通信裝置100還包括存儲在第二存儲器單元120中的軟件150，其適于被加載到處理器110中并且在其中執(zhí)行。根據一個示例性實施例，處理器110是中央處理單元(CPU)、微處理器、數字信號處理器(DSP)等等。圖2不出了一個處理器，但是在一些實施例中，設備100包括多個處理器。
[0103]存儲器裝置200包括處理器230、輸入/輸出(I/O)接口 220、先前提到的第一存儲器單元210和受保護節(jié)段240。存儲器裝置200還包括存儲在第一存儲器單元210中的軟件250，其適于被加載到處理器230中并且在其中執(zhí)行。根據一個示例性實施例，處理器230是中央處理單元(CPU)、微處理器、數字信號處理器(DSP)等等。圖2示出了一個處理器，但是在一些不例性實施例中，設備200包括多個處理器。在一個例性實施例中，存儲器裝置200的存儲器單元210包括用于存儲隨機挑戰(zhàn)的專用存儲器區(qū)域，以及用于存儲針對隨機挑戰(zhàn)的響應的另一個專用存儲區(qū)域。
[0104]通信裝置100被配置成利用根據一個示例性實施例的隨機挑戰(zhàn)消息傳送與存儲器裝置200進行通信。通信裝置100的輸入/輸出接口 130被配置成利用無線通信向/從存儲器裝置200發(fā)送和接收信號。對應地，存儲器裝置200的輸入/輸出接口 220被配置成向/從通信裝置100發(fā)送和接收消息。輸入/輸出接口 130、220被配置成與相應的處理器110、230和/或由處理器110、230執(zhí)行的任何軟件相結合并且可以由其控制。
[0105]在一個示例性實施例中，向/從通信裝置100和存儲器裝置200傳送的信號包括如在后文中定義的協(xié)議幀，并且所述處理器和/或第一存儲器單元和/或輸入/輸出接口被配置成解釋和/或處理和/或創(chuàng)建協(xié)議幀。在一個示例性實施例中，協(xié)議幀指的是物理層幀，比如作為分組在通信裝置100與存儲器裝置200之間發(fā)送的命令。在另一個示例性實施例中，協(xié)議幀指的是鏈路層幀。此外，在一個實施例中，存儲器單元210的專用存儲器區(qū)域被配置成利用協(xié)議幀處理和/或操作消息傳送序列。在一個示例性實施例中，存儲器裝置200或者其輸入/輸出接口 220包括被配置成從由存儲器裝置200的輸入/輸出接口220接收到的激活和/或供電信號導出電力的接口。
[0106]第二存儲器單元120和第一存儲器單元210被配置成存儲信息或數據，并且還被配置成從裝置的其他部件接收信息，并且向裝置的其他部件發(fā)送信息，也就是說讀取和寫入信息。第一和第二存儲器單元210、120被配置成與處理器230和處理器110相結合并且由其控制。在另一個示例性實施例中，通信裝置100或存儲器裝置200被配置成在被動模式下運作。在被動模式下，通信裝置100或存儲器裝置200的處理器110、230不活躍，并且第一或第二存儲器單元210、120被配置成由主動式裝置的處理器110、230控制。在一個示例性實施例中，第一存儲器單元210包括受保護節(jié)段240。第一和第二存儲器單元120、210包括從非易失性和/或易失性存儲器單元當中選擇的任何存儲器，比如只讀存儲器單元(ROM)、可編程只讀存儲器單元(PROM)、可擦寫可編程只讀存儲器單元(EPROM)Ji^ZlS取存儲器單元(RAM)、閃存單元、數據盤、光學存儲裝置、磁性存儲裝置以及/或者智能卡。
[0107]在一個示例性實施例中，通信裝置100和存儲器裝置200包括多個存儲器單元。每一個存儲器單元被配置成僅僅存儲信息，或者被配置成結合另外的部件服務于其他目的(比如處理信息)。
[0108]除了圖2中示出的元件之外，在一些示例性實施例中，通信裝置100和/或存儲器裝置200包括其他元件，比如麥克風或顯示器，以及附加的電路、存儲器芯片、專用集成電路(ASIC)、用于特定目的的處理電路，比如源編碼和解碼電路、信道編碼和解碼電路、加密和解密電路等等。
[0109]存儲器裝置200被配置成從無線電信號的至少一項物理屬性導出隨機挑戰(zhàn)，例如隨機信號或隨機信息比特。存儲器裝置200被配置成應用其各個部件(例如處理器230和存儲器單元210)來導出隨機挑戰(zhàn)。在一個示例性實施例中，為了導出隨機挑戰(zhàn)，也就是說為了形成隨機挑戰(zhàn)，存儲器裝置200被配置成將無線電信號中的噪聲解釋成信息比特，并且/或者在關閉抑制器的情況下接收比特，并且/或者在關閉抑制器的情況下解釋信號比特，并且/或者使用信號的持續(xù)時間來計算隨機比特。
[0110]圖3示出了一些示例性方法中的被用于在設備之間傳送數據的協(xié)議幀。協(xié)議幀301和302分別包括報頭節(jié)段310或320。報頭節(jié)段310、320包括有用于實施一些方法的信息比特。在一個示例性實施例中，報頭310、320的信息比特定義隨機挑戰(zhàn)和/或隱私使能器和/或擴展字段360是否被包括在協(xié)議幀中。協(xié)議幀301、302包括有效載荷節(jié)段330、340，所述有效載荷節(jié)段330、340包含數據字段。在一個示例性實施例中，根據一種方法的隨機挑戰(zhàn)被包含在有效載荷節(jié)段330的數據字段的節(jié)段350中。在一個示例性實施例中，根據一種方法的隨機挑戰(zhàn)被包含在有效載荷節(jié)段340的數據字段的擴展字段360中。
[0111]圖4到7示出了根據示例性實施例的系統(tǒng)、方法和/或計算機程序產品的處理的流程圖或消息傳送序列圖。
[0112]圖4示出了隨機挑戰(zhàn)消息傳送方法的消息傳送序列。在步驟410處，通信裝置100為存儲器裝置200傳送包含激活信號的無線電信號以便通電，從而使得存儲器裝置激活。在步驟420處，存儲器裝置200從由通信裝置100發(fā)送的激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl，即隨機數據流。存儲器裝置200將隨機挑戰(zhàn)Cl存儲在存儲器單元210中，參見圖2。從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl是根據前文中描述的一種方法來實施的。在步驟430處，通信裝置100從存儲器裝置200的存儲器單元210讀取隨機挑戰(zhàn)Cl。在步驟440處，通信裝置100從讀取自存儲器裝置200的隨機挑戰(zhàn)Cl以及通信裝置100的私有密鑰priv_A計算簽名Rl。簽名Rl連同通信裝置100的證書cert_A隨后在步驟450處被傳送到存儲器裝置200的存儲器單元210并且被存儲到其中。在簽名Rl和證書cert_A已被存儲到存儲器裝置200的存儲器單元210中之后，通信裝置100向存儲器裝置200傳送無線電信號，所述信號包含通信裝置100離開的意圖以及針對存儲器裝置200停用或斷電的指令。在步驟460處，從存儲器裝置200的存儲器單元210移除隨機挑戰(zhàn)Cl。
[0113]圖5示出了隨機挑戰(zhàn)消息傳送方法的消息傳送序列。在步驟510處，通信裝置100傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟520處，存儲器裝置200從由通信裝置100發(fā)送的激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl，即隨機數據流。從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl是根據前文中描述的一種方法來實施的。在步驟530處，通信裝置100向存儲器裝置200喜歡送無線電信號，所述無線電信號包含發(fā)起命令，其使得存儲器裝置200作為前文中描述的協(xié)議幀301或302的一部分向通信裝置100傳送隨機挑戰(zhàn)Cl，參見圖3。在步驟540處，通信裝置100由存儲器裝置200發(fā)送的隨機挑戰(zhàn)Cl以及通信裝置100的私有密鑰priv_A計算簽名Rl。簽名Rl連同通信裝置100的證書cert_A隨后在步驟550處被傳送到存儲器裝置200的存儲器單元210并且被存儲到其中。在簽名Rl和證書cert_A已被存儲到存儲器裝置200的存儲器單元210中之后，通信裝置100向存儲器裝置200傳送無線電信號，所述信號包含通信裝置100離開的意圖以及使得存儲器裝置200停用或斷電的指令。
[0114]在所述隨機挑戰(zhàn)消息傳送方法的一個示例性實施例中，通信裝置100能夠在與存儲器裝置200通信時設定隱私水平，以便控制存儲到存儲器裝置200的存儲器裝置210中的信息的數量。所設定的隱私水平在通信裝置100與存儲器裝置200之間的通信的開頭處被控制?？梢哉埱笸ㄐ叛b置的用戶許可存儲超出所設定的隱私水平的信息。
[0115]圖4和5還示出了隨機挑戰(zhàn)消息傳送方法的附加步驟。在步驟465、565處，另一個通信裝置101傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟475、575處，通信裝置101從存儲器裝置200的存儲器單元210讀取所存儲的簽名Rl和證書cert_A。在步驟485、585、495、595處，通信裝置101利用公共密鑰pub_Ca、put_A來驗證證書cert_A和簽名R1。在所述消息傳送方法的一個實施例中，通信裝置101不具有關于是否有任何隨機挑戰(zhàn)Cl、簽名和/或證書已被存儲在存儲器裝置200的存儲器單元210中的先前信息。相應地，在接收到激活信號之后，存儲器裝置200向通信裝置101表明是否有隨機挑戰(zhàn)、簽名或證書已被存儲在存儲器裝置200的存儲器單元210中以及所述存儲的信息的位置。此外，存儲器裝置200可以向通信裝置101提供關于所存儲的隨機挑戰(zhàn)、簽名和/或證書是否仍然有效(即不是太陳舊)的信息。
[0116]圖6示出了隨機挑戰(zhàn)消息傳送方法的消息傳送序列。在步驟610處，通信裝置100傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟620處，存儲器裝置200從由通信裝置100發(fā)送的激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl，即隨機數據流。存儲器裝置200將隨機挑戰(zhàn)Cl存儲在存儲器單元210中，參見圖2。從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl是根據前文中描述的一種方法來實施的。在步驟630處，通信裝置100從存儲器裝置200的存儲器單元210讀取隨機挑戰(zhàn)Cl。在步驟650處，通信裝置100利用公共密鑰pub_C對讀取自存儲器裝置200的隨機挑戰(zhàn)Cl進行加密，從而形成會話密鑰SKl。在步驟660處，通信裝置100從已加密會話密鑰SKl以及通信裝置100的私有密鑰priv_A計算簽名Rl。已加密會話密鑰SKl和簽名Rl連同通信裝置100的證書cert_A隨后在步驟670處被傳送到存儲器裝置200。在已加密會話密鑰SKl、簽名Rl和證書cert_A已被傳送之后，通信裝置100向存儲器裝置200傳送無線電信號，所述信號包含通信裝置100離開的意圖以及使得存儲器裝置200停用或斷電的指令。在步驟680處，從存儲器裝置200的存儲器單元210移除隨機挑戰(zhàn)Cl，并且將已加密會話密鑰SKl、簽名Rl和證書cert_A存儲到存儲器裝置200的存儲器單元210的受保護空間240中。在步驟690處，通信裝置100把隨機挑戰(zhàn)Cl與對于存儲器裝置200的通信或觸摸事件相關聯(lián)。
[0117]圖6還示出了隨機挑戰(zhàn)消息傳送方法的附加步驟。在步驟691處，另一個通信裝置101傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟692處，通信裝置101從存儲器裝置200的存儲器單元210的受保護空間240讀取所存儲的簽名R1、證書cert_A和會話密鑰SKl。在步驟693處，通信裝置101利用公共密鑰pub_Ca、put_A來驗證證書cert_A和簽名Rl。在步驟694處，通信裝置101利用私有密鑰priv_C對已加密會話密鑰SKl進行解密，從而獲得對于隨機挑戰(zhàn)Cl的訪問。在步驟699處，通信裝置101利用隨機挑戰(zhàn)Cl與通信裝置100開始會話，其中通信裝置100已把所述隨機挑戰(zhàn)Cl與對于存儲器裝置200的通信或觸摸事件相關聯(lián)。
[0118]在一個示例性實施例中，在步驟692處讀取幾個簽名、證書和會話密鑰，并且如前文中所描述的那樣分別對其進行進一步處理。
[0119]圖7示出了隨機挑戰(zhàn)消息傳送方法的消息傳送序列。在步驟710處，通信裝置100傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟720處，存儲器裝置200從由通信裝置100發(fā)送的激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl，即隨機數據流。存儲器裝置200將隨機挑戰(zhàn)Cl存儲在存儲器單元210中，參見圖2。從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)Cl是根據前文中描述的一種方法來實施的。在步驟730處，通信裝置100從存儲器裝置200的存儲器單元210讀取隨機挑戰(zhàn)Cl和公共密鑰pub_C。在步驟740處，通信裝置100利用讀取自存儲器裝置200的公共密鑰？1*_(:對讀取自存儲器裝置200的隨機挑戰(zhàn)Cl進行加密，從而形成會話密鑰SKl。在步驟750處，通信裝置100計算封裝有已加密會話密鑰SKl和通信裝置的隱私策略的計算閉包SCI。在步驟760處，通信裝置100從計算閉包SCl和通信裝置100的私有密鑰priv_A計算簽名Rl。計算閉包SCl和簽名Rl連同通信裝置100的證書cert_A隨后在步驟770處被傳送到存儲器裝置200。在計算閉包SC1、簽名Rl和證書cert_A已被傳送之后，通信裝置100向存儲器裝置200傳送無線電信號，所述信號包含通信裝置100離開的意圖以及使得存儲器裝置200停用或斷電的指令。在步驟780處，從存儲器裝置200的存儲器單元210移除隨機挑戰(zhàn)Cl，并且將計算閉包SC1、簽名Rl和證書cert_A存儲到存儲器裝置200的存儲器單元210的受保護空間240中。在步驟790處，通信裝置100把隨機挑戰(zhàn)Cl與對于存儲器裝置200的通信或觸摸事件相關聯(lián)。
[0120]圖7還示出了隨機挑戰(zhàn)消息傳送方法的附加步驟。在步驟791處，另一個通信裝置101傳送包含激活信號的無線電信號以使得存儲器裝置200通電。在步驟792處，通信裝置101從存儲器裝置200的存儲器單元210的受保護空間240讀取所存儲的簽名R1、證書cert_A和計算閉包SCI。在步驟793處，通信裝置101利用公共密鑰pub_CA、put_A來驗證證書cert_A和簽名Rl。在步驟794處，通信裝置101獲得已加密會話密鑰SKl，并且通過執(zhí)行計算閉包SCl檢查通信裝置100的隱私策略。在步驟795處，通信裝置101利用私有密鑰priv_C對已加密會話密鑰SKl進行解密，從而獲得對于隨機挑戰(zhàn)Cl的訪問。在步驟799處，取決于通信裝置100的隱私策略，通信裝置101利用隨機挑戰(zhàn)Cl與通信裝置100開始會話，其中通信裝置100已把所述隨機挑戰(zhàn)Cl與對于存儲器裝置200的通信或觸摸事件相關聯(lián)。
[0121 ] 在一個示例性實施例中，在步驟692處讀取幾個簽名、證書和會話密鑰，并且如前文中所描述的那樣分別對其進行進一步處理。
[0122]下面將給出與隨機挑戰(zhàn)消息傳送的給定的示例性實施例有關的一些使用事例。在第一使用事例中，通常在受益于密碼認證的通信的情況或事務中將隨機挑戰(zhàn)消息傳送與存儲器裝置相結合地使用。這樣的情況包括而不限于無線閃光(wireless flashing)、零售和圖像變型閃光(retail and image variants flashing)、公共或私有標簽訪問或者作為與附著到項目或產品(比如所訂閱的雜志)上的存儲器裝置的通信的一部分，其使用要求認證。此外，在一個示例性使用事例中，使用隨機挑戰(zhàn)消息傳送從存儲器裝置的受保護存儲器節(jié)段取回密碼信息。所述密碼信息可以是由存儲器裝置的制造商預先存儲的密碼密鑰。
[0123]在第二使用事例中，隨機挑戰(zhàn)消息傳送被使用在公共使用存儲器裝置中，例如射頻存儲器標簽，其由通信裝置(例如移動電話)的不同用戶聯(lián)系，以便使其接收關于感興趣的對象的信息。這一使用事例的一個更加具體的實例是位于電影院處的射頻存儲器標簽，以便提供例如關于排映時間的信息。應用隨機挑戰(zhàn)消息傳送的一些示例性實施例，以使得公共使用存儲器裝置(或者其所有者)保留接觸過或訪問過所述存儲裝置的通信裝置用戶的身份(即簽名等等)。公共使用標簽的所有者將能夠使用所保留的身份來例如收集例如在市場營銷中有用的統(tǒng)計使用數據，或者在后來的某一天與通信裝置的用戶通信，或者向這些用戶發(fā)送例如廣告之類的另外的信息(如果用戶已啟用了允許這樣做的隱私水平的話)。
[0124]在第三使用事例中，由通信裝置的用戶應用隨機挑戰(zhàn)消息傳送，以便跟蹤她的通信歷史。用戶的通信裝置利用隨機挑戰(zhàn)消息傳送存儲與各個存儲器裝置的所有通信的歷史，也就是說通信裝置保存接收自存儲器裝置的隨機挑戰(zhàn)連同關于通信的標識信息(比如通信的時間和地點)。如果通信裝置的用戶后來從與之發(fā)生過通信的存儲器裝置的所有者接收到通信或消息等等，則通信裝置的用戶將立即知曉哪一項先前的通信導致了所述新的聯(lián)系。這是由于新的通信將包含從先前與之進行過通信的存儲器裝置取回的隨機挑戰(zhàn)。此夕卜，在隨機挑戰(zhàn)消息傳送的一個示例性使用事例中，為通信裝置提供用戶接口以用于控制通信歷史、設定或者實施隱私規(guī)則，并且用于接受或拒絕由于先前的通信而發(fā)生的任何另外的通信。此外，在隨機挑戰(zhàn)消息傳送的一個示例性使用事例中，由于兩個用戶的相似通信歷史，也就是說由于全部兩個用戶先前都與相同的一個或多個存儲器裝置進行過通信，因此某一通信裝置的用戶可能會在后來接收到來自另一個用戶的通信。
[0125]在第四使用事例中，隨機挑戰(zhàn)消息傳送被用來允許存儲器裝置為與該存儲器裝置通信的通信裝置的用戶提供服務。利用隨機挑戰(zhàn)消息傳送，所述存儲器裝置例如提供去到其他服務的經過密碼認證的連接，例如公共環(huán)境中的安全互聯(lián)網連接。
[0126]在不以任何方式限制所附權利要求書的范圍、解釋或應用的情況下，這里所公開的其中一個或更多示例性實施例的技術效果是提供了生成真正隨機的簽名的一種簡單方式。這里所公開的其中一個或更多示例性實施例的另一個技術效果是使得有可能在安全的通信中使用被動式存儲器裝置(例如被動式RF存儲器標簽)，這是因為在存儲器裝置上幾乎不需要計算能力。這里所公開的其中一個或更多示例性實施例的另一個技術效果是提供了將未來的通信與先前的通信會話相關聯(lián)的一種方式。
[0127]應當理解的是，流程圖中的每一項操作以及/或者流程圖中的操作組合可以通過多種手段來實施。用于實施流程圖的操作、流程圖中的操作組合或者這里所描述的示例性實施例的其他功能的手段可以包括軟件、硬件、應用邏輯或者軟件、硬件和應用邏輯的組合。應用邏輯、軟件或指令集被保持在許多傳統(tǒng)的計算機可讀介質上。計算機可讀介質可以包括計算機可讀存儲介質，其可以是能夠包含或存儲指令以便由例如計算機之類的指令執(zhí)行系統(tǒng)、設備或裝置使用或者與之相結合地使用的任何介質或裝置。
[0128]如果希望的話，可以按照不同的順序以及/或者彼此同時地實施這里所討論的不同功能。此外，如果希望的話，其中一項或更多項前面描述的功能可以是可選的或者可以被組合。
[0129]雖然在獨立權利要求中闡述了本發(fā)明的各個方面，但是本發(fā)明的其他方面包括來自所描述的實施例和/或從屬權利要求的特征與獨立權利要求的特征的其他組合，而不僅僅是在權利要求書中明確地闡述的組合。
[0130]在這里還應當提到的是，雖然前面描述了本發(fā)明的示例性實施例，但是這些描述不應當被視為具有限制性。相反，在不背離如所附權利要求書中限定的本發(fā)明的范圍的情況下，可以有幾方面的變型和修改。
【權利要求】
1.一種通信裝置，其包括: 存儲器單元；以及 輸入/輸出接口； 至少一個處理器，其被配置成: 向存儲器裝置發(fā)送激活信號； 從存儲器裝置接收從所述信號的至少一項物理屬性導出的隨機挑戰(zhàn)； 計算包括所述隨機挑戰(zhàn)的簽名；以及 向存儲器裝置發(fā)送所述簽名和證書。
2.根據權利要求1的裝置，其中，所述至少一個處理器還被配置成利用隨機挑戰(zhàn)和私有密鑰來計算簽名。
3.根據權利要求1或2的裝置，其中，所述至少一個處理器還被配置成: 利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰；以及 利用會話密鑰和私有密鑰來計算簽名。
4.根據任一條在前權利要求的裝置，其中，所述至少一個處理器還被配置成: 利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰； 通過對會話密鑰和隱私策略進行封裝來計算計算閉包；以及 利用計算閉包和私有密鑰來計算簽名。
5.根據權利要求3或4的裝置，其中，所述至少一個處理器還被配置成將會話密鑰或計算閉包發(fā)送到存儲器裝置。
6.一種存儲器裝置，其包括: 存儲器單元；以及 輸入/輸出接口； 至少一個處理器，其被配置成: 從通信裝置接收激活信號； 從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)；以及 為通信裝置提供隨機挑戰(zhàn)。
7.根據權利要求6的存儲器裝置，其中，所述至少一個處理器還被配置成將所述隨機挑戰(zhàn)存儲到存儲器單元的第一預先選擇節(jié)段中。
8.根據權利要求6或7的存儲器裝置，其中，所述至少一個處理器還被配置成將所述隨機挑戰(zhàn)作為協(xié)議幀的一個節(jié)段的一部分發(fā)送。
9.根據權利要求6到8當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成: 接收包括隨機挑戰(zhàn)和證書的簽名；以及 將所述簽名和所述證書存儲到存儲器單元的第二預先選擇節(jié)段中。
10.根據權利要求6到9當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成從存儲器單元的第一預先選擇節(jié)段移除所述隨機挑戰(zhàn)。
11.根據權利要求6到10當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成通過將無線電信號的噪聲解釋成信息比特來導出隨機挑戰(zhàn)。
12.根據權利要求6到11當中的任一條的存儲器裝置，其還包括用于通過無線電信號接收信息的抑制器，其中所述至少一個處理器還被配置成通過在關閉抑制器的情況下接收比特來導出隨機挑戰(zhàn)。
13.根據權利要求6到11當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成通過在關閉抑制器的情況下解釋無線電信號來導出隨機挑戰(zhàn)。
14.根據權利要求6到11當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成通過使用無線電信號的持續(xù)時間計算隨機比特來導出隨機挑戰(zhàn)。
15.根據權利要求6到14當中的任一條的存儲器裝置，其中，所述至少一個處理器還被配置成從第一通信裝置接收會話密鑰或計算閉包。
16.根據權利要求15的存儲器裝置，其中，所述至少一個處理器還被配置成將簽名、證書以及會話密鑰或計算閉包存儲在存儲器單元的受保護節(jié)段中。
17.根據權利要求15或16的存儲器裝置，其中，所述至少一個處理器還被配置成: 從第二通信裝置接收激活信號；以及 向第二通信裝置發(fā)送簽名和證書。
18.根據權利要求15或16的存儲器裝置，其中，所述至少一個處理器還被配置成向第二通信裝置發(fā)送會話密鑰或計算閉包。
19.一種系統(tǒng),其包括: 根據權利要求6到18當中的任一條的存儲器裝置； 根據根據權利要求1到5當中的任一條的第一通信裝置；以及 第二通信裝置，其包括: 第三存儲器單元；以及第三輸入/輸出接口；以及 第三處理器，其被配置成: 向存儲器裝置發(fā)送激活信號； 從存儲器裝置接收至少一個第一通信裝置的簽名和證書；以及 利用公共證書驗證所述簽名和證書。
20.根據權利要求19的系統(tǒng)，其中，所述第三處理器還被配置成從存儲器裝置接收所述至少一個第一通信裝置的會話密鑰或計算閉包。
21.根據權利要求19或20的系統(tǒng)，其中，所述第三處理器還被配置成獲得與所述至少一個第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。
22.根據權利要求21的系統(tǒng)，其中，所述至少一個第三處理器還被配置成利用隨機挑戰(zhàn)與第一通信裝置形成會話。
23.根據權利要求19到22當中的任一條的系統(tǒng)，其中，所述至少一個第三處理器還被配置成執(zhí)行計算閉包，以便檢查第一通信裝置的隱私策略。
24.根據權利要求20、22或23當中的任一條的系統(tǒng)，其中，所述至少一個第三處理器還被配置成對會話密鑰進行解密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)。
25.根據權利要求21、22或24當中的任一條的系統(tǒng)，其中，所述至少一個第三處理器還被配置成取決于所述至少一個第一通信裝置的隱私策略，利用隨機挑戰(zhàn)與第一通信裝置形成會話。
26.—種方法,其包括: 向存儲器裝置發(fā)送激活信號； 從所述存儲器裝置接收從所述信號的至少一項物理屬性導出的隨機挑戰(zhàn)； 利用所述隨機挑戰(zhàn)計算簽名；以及 向存儲器裝置發(fā)送所計算的簽名和證書。
27.一種方法，其包括: 從通信裝置接收激活信號； 從激活信號的至少一項物理屬性導出隨機挑戰(zhàn)；以及 為通信裝置提供隨機挑戰(zhàn)。
28.根據權利要求27的方法，其還包括將所述隨機挑戰(zhàn)存儲到存儲器單元的第一預先選擇節(jié)段中。
29.根據權利要求28或29的方法，其還包括將所述隨機挑戰(zhàn)作為協(xié)議幀的一個節(jié)段的一部分發(fā)送。
30.根據權利要求27到29當中的任一條的方法，其還包括:接收利用隨機挑戰(zhàn)和證書計算的簽名；以及將所述簽名和所述證書存儲到存儲器單元的第二預先選擇節(jié)段中。
31.根據權利要求27到30當中的任一條的方法，其還包括從存儲器單元的第一預先選擇節(jié)段移除所述隨機挑戰(zhàn)。
32.根據權利要求26到31當中的任一條的方法，其中，可以通過將無線電信號的噪聲解釋成信息比特來導出隨機挑戰(zhàn)。
33.根據權利要求26到31當中的任一條的方法，其中，可以通過在關閉抑制器的情況下接收比特來導出隨機挑戰(zhàn)。
34.根據權利要求26到31當中的任一條的方法，其中，可以通過在關閉抑制器的情況下對無線電信號進行解釋來導出隨機挑戰(zhàn)。
35.根據權利要求26到31當中的任一條的方法，其中，可以通過使用無線電信號的持續(xù)時間計算隨機比特來導出隨機挑戰(zhàn)。
36.根據權利要求26或30到35當中的任一條的方法，其中，可以利用隨機挑戰(zhàn)和私有密鑰來計算簽名。
37.根據權利要求26或30到36當中的任一條的方法，其中，可以利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰?？梢岳脮捗荑€和私有密鑰來計算簽名。
38.根據權利要求26或30到36當中的任一條的方法，其中，可以利用隨機挑戰(zhàn)和公共密鑰來計算已加密會話密鑰?？梢岳梅庋b會話密鑰和隱私策略來計算計算閉包?？梢岳糜嬎汩]包和私有密鑰來計算簽名。
39.根據權利要求26或30到38當中的任一條的方法，其中，可以將會話密鑰或計算閉包發(fā)送到存儲器裝置。
40.根據權利要求27到39當中的任一條的方法，其中，可以從通信裝置接收會話密鑰或計算閉包。
41.根據權利要求27到40當中的任一條的方法，其中，可以將簽名、證書以及會話密鑰或計算閉包存儲在存儲器單元的受保護節(jié)段中。
42.根據權利要求27到41當中的任一條的方法，其還包括:從第二通信裝置接收激活信號；以及向第二通信裝置發(fā)送簽名和證書。
43.根據權利要求27到42當中的任一條的方法，其中，可以向第二通信裝置發(fā)送會話密鑰或計算閉包。
44.一種方法，其包括: 向存儲器裝置發(fā)送激活信號； 從存儲器裝置接收至少一個通信裝置的簽名和證書；以及 利用公共證書來驗證所述簽名和證書。
45.根據權利要求44的方法，其還包括從存儲器裝置接收至少一個通信裝置的會話密鑰或計算閉包。
46.根據權利要求44或45的方法，其還包括:對會話密鑰進行加密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)；以及利用隨機挑戰(zhàn)與第一通信裝置形成會話。
47.根據權利要求44到46的方法，其還包括:執(zhí)行計算閉包，以便檢查第一通信裝置的隱私策略；對會話密鑰進行加密，以便獲得與第一通信裝置相關聯(lián)的隨機挑戰(zhàn)；以及取決于第一通信裝置的隱私策略，利用隨機挑戰(zhàn)與第一通信裝置形成會話。
48.一種計算機程序，其包括: 用于在處理器上運行所述計算機程序時實施根據權利要求26到47當中的任一條的方法的代碼。
49.一種存儲器介質，其包括根據權利要求48的計算機程序。
【文檔編號】G06K19/07GK104321789SQ201280073388
【公開日】2015年1月28日 申請日期:2012年3月23日 優(yōu)先權日:2012年3月23日
【發(fā)明者】V-V·盧卡拉, S·索維奧, H·卡加, S·博爾迪萊夫, I·奧利弗 申請人:諾基亞公司