[发明专利]应答器、读取器及其操作方法

说明书

技术领域

本发明涉及操作应答器的方法、应答器、操作读取器的方法和读取器，其中具体地，应答器和读取器适于无线发射或传送信息。具体地，本发明涉及用于操作应答器的方法、应答器、用于操作读取器的方法和读取器，其中椭圆曲线密码学具体地用于验证和/或密钥协议。

背景技术

椭圆曲线密码学是接近基于也称为伽罗瓦域(Galois field)的有限域上的椭圆曲线的代数结构的公开密钥密码学的方法。根据基于椭圆曲线的协议，假设获得随机椭圆曲线元素相对于公知基点(椭圆曲线上的点)的离散对数是难实施的。从而，椭圆曲线的尺寸可以决定问题的难度。椭圆曲线是平面曲线，其由满足椭圆曲线方程的点(x，y)以及无穷远处的不同点构成。曲线上的点和无穷远处的点的这种集合与群运算(椭圆曲线加法运算)一同形成具有作为识别元素的无穷远处点的阿贝尔群。

在这里，椭圆曲线在有限域上限定，以便限定椭圆曲线的元素x的数量是有限的。对于椭圆曲线的由两个分量x和y给出的点，其中x和y满足椭圆曲线方程，限定了椭圆曲线加法运算。椭圆曲线加法运算的乘法应用可以限定椭圆曲线乘法运算，其中一点的乘法是该点的整数乘法。

1985年版Crypto中公开的Victor Miller的文章“Using of Elliptic Curves in Cryptography”讨论了椭圆曲线在密码学中的使用，其中提出了密钥交换协议，其看起来免受Western、Miller和Adleman类型的攻击。

2008年2月出版的“International Journal of Computer Science and Network Security(Vol.8，No.2)中公开的Braun，Hess，Meyer的文章“Using Elliptic Curves on RFIDs”公开了在轻量级加密装置中实现不对称加密技术的概念，并描述了基于椭圆曲线密码技术的实施方案，其可以用于大量RFID标签应用的验证。

发明内容

本发明的目的是提供使得特别是用于验证目的的密码协议较少受到未被授权的攻击的影响的装置和方法。具体地，本发明的目的是改善验证过程或数据交换过程期间的安全性的装置和方法。具体地，本发明的目的是提供用于安全验证的装置和方法，同时确定所涉及的装置，特别是所涉及的应答器，且特别是RFID标签的计算能力的界限。

由独立权利要求的主题解决该问题。示例性实施例在从属权利要求中限定。

根据本发明的实施例，提供了一种用于操作应答器的方法，该方法包括：应答器接收，特别是无线地接收，表示x和sqrt[b]/x的发射的读取器数据，其中x为二进制伽罗瓦域中的元素且b为常数；应答器处理读取器数据，以确定x是否为由椭圆曲线方程y²+xy＝x³+ax²+b定义的椭圆曲线上的点的第一坐标，其中在伽罗瓦域上定义该椭圆曲线，使得x和y为伽罗瓦域中的元素，其中y为椭圆曲线上的该点的第二坐标。

具体地，在伽罗瓦域中定义的加法运算和乘法运算将应用在椭圆曲线方程中。实施例采用椭圆曲线密码学用于验证和密钥协议。与椭圆曲线相关联的基础数据元素是“点”即，一对值(x，y)，使得这些值满足上述给定曲线方程(基本上，定义哪个点落在椭圆曲线上的x和y之间的数学关系)。某些协议的数学运算允许仅采用曲线上的点的x坐标进行椭圆曲线计算(即，忽略涉及y坐标的计算)，这会产生要求较少计算的协议。这种特性具体地与Diffie-Hellman密钥交换相关联。

对于给定椭圆曲线，基础有限域中的每个值为该曲线上的点的x坐标，或者为“姐妹”曲线(即，所谓的空间曲线(twisted curve))上的点的x坐标。如果在空间曲线上而不是在预期曲线上进行椭圆曲线计算，则可能的是在计算中使用的私有密钥可以容易地根据该计算的输入和输出计算。由于这种可能性，计算装置，如应答器，在计算之前检查输入落在预期曲线上而不落在空间曲线上。虽然这在x和y坐标二者都可用时是容易实现的(通过简单地检查所述坐标满足曲线方程)，但当由使用的协议仅提供x坐标时，这可能是非常复杂的过程。

因此，对于约束装置，根据本发明的实施例，提供了检查x坐标落在预期曲线上而不落在其空间曲线上的简单方法；具体地，这种操作在不存在与y坐标相关的信息时操作。从而该方法针对在二进制域上构建的曲线，由于二进制域中的简单的算法形式(与素域(prime field)相比)，这些曲线特别适合约束装置。