用于传送经密钥加密的信息及相关联的密钥的应答器系统的利记博彩app

专利名称：用于传送经密钥加密的信息及相关联的密钥的应答器系统的利记博彩app
技术领域：
本发明涉及一种应答器，包括用于存储已利用密钥加密的加密信 息并用于存储与该加密信息相关的密钥的至少一个存储器。
本发明还涉及适用于向所述应答器发送査询的读取设备。 最后，本发明涉及所述应答器和所述读取设备的系统。
背景技术：
如今，人们用具有各种功能的应答器或应答器芯片将个人产品加
上标签。例如，在商店中，它们被用作ID标签或价格标签，以简化 编目、运输/分发过程，而在家中，它们可能被各种设备(电冰箱、洗
衣机)分别用来电子地识别产品或产品的性质。举例来说如果用户 想以可能损害衣物的洗涤程序来洗涤衣物，则洗衣机可以警告该用户。
这样的应答器的一个例子是所谓的射频识别标签，或简称为RFID 标签。这里所使用的术语"RFID标签"和应答器包括那些包含可以 由读取设备以非接触的方式读出的信息的数据载体。RFID标签所携 带的信息包括产品电子代码(EPC)以及产品信息，如产品种类、价 格以及被期望用于何种场合等等。此外，RFID标签还可以包括用于 用户的信息，如洗涤温度、产品的处理过程以及该产品应该在哪个曰 期之前使用等等。
RFID标签是小的且通常可弯的标签。 一般它们由小的IC加天线 组成。IC的典型尺寸是大约lmm2，而天线则可以大得多。通常RFID 标签没有自己的电源(电池或类似物)，但是响应由读取设备所产生的 电磁场。当处于这样的电磁场内时，它们从这个电磁场获得电能，并 能够接收信息及给予响应。然而，本发明并不限制于被动式应答器， 也涉及主动式应答器。
RFID标签的使用很广泛。例如动物识别标签、门的访问钥匙、
航空行李处理、供给链管理、物资管理等等。此外，RFID标签可工 作在各种频带，从低频直到微波频带。
RFID标签是低功率设备，然而正获得越来越多的能力。它们能 够计算，且可以包括工作处理器。RFID标签可以包括几种类型的存 储器，如只有在出现电能时才激活的NV-RAM (非易失性的RAM)、 可以写入一次且其后不能改变的ROM部分、可以多次写入和擦除的 可擦除ROM (EROM)等等。
当然，对于厂商(或店主)来说，最方便和最划算的是将尽可能 多的功能置于单个RFID标签中。然而，虽然使用RFID标签是方便 和实际的，但是如果RFID标签可以被未授权的第三方读出的话，那 就糟糕了，因为这会导致隐私受到侵害。例如，对用于治疗AIDS或 阳痿的添加了RFID标签的药品、"令人难为情"的物品如性用品、或 者贵重的宝石或其它(不太显眼的)贵重物品(使得佩带者成为盗贼 的目标)来说，如果这样的信息落入不合适的人的手中，则可能使所 涉及的人难堪甚至使其危险。
通常，RFID标签将发送存储在某种类型的存储器中的固定消息， 对准备该消息来说，并不花费时间。该固定消息可以包括简单的字符 串和/或静态加密的串。然而，当标签始终发送完全相同的消息时，无 论这个消息是否被加密，与可链接性(linkability)和追踪(tracking) 相关的安全问题会出现。在这里，"可链接性"是一术语，用来描述当 应答器始终传送同样的消息时该应答器(以及应答器安装于其上的产 品)可被分配到特定的人。即使RFID标签没有直接传送与人相关的 信息，如"我属于Alice", —旦攻击者发现能够使他将这个消息分配 (链接)到Alice的情况，他也可以通过每次都传送同样消息的这个 RFID标签来识别Alice。通过由RFID标签所传送的消息进行语义安 全加密，可以阻碍可链接性，这要求每次读出该消息时必须进行再加 密。"追踪"是用于以下描述的术语Alice与应答器链接，并且可以 被攻击者通过跟随该应答器而追踪。即使是在使用语义安全加密时， 如果密钥泄漏了，则追踪也是可能的。
为了克服这些RFID标签所固有的保密问题，可以想到几个方案
-当在商店或仓库中履行完其编目等任务之后，该RFID标签被
毁坏或被禁用或被从产品中移除等等。这方法的缺点是对以后的应
用来说，如对在家中的使用来说，RPID标签不再可利用。
-将RFID的消息传送速度设置的很慢，以使未被授权的读取器 没有足够的时间和方法来顺道(当经过时)读取标签。这是不受欢迎 的，因为授权的读取器想要能够迅速地读取该标签。
文件US 2004 / 0222878 Al描述使用具有可以在便宜的RFID标 签中实现的复杂性水平的密码技术。在包括一个或多个应答器和与该 设备通信的至少一个读取器的RFID系统中，多个假名与给定的一个 应答器相关联。响应于不同的读取器查询，该应答器传送不同的假名， 而且，授权的检验器能够确定所传送的不同假名都与同一个应答器相 联系。为了更安全，在这个文件中建议在该应答器内利用低的査询响 应速度，这可以通过在该应答器内部实现基于硬件的响应延迟而实现。 在另一个例子中，指定该应答器被允许用所传送的假名来响应读取器 查询的最大速度。
然而，已知的应答器系统的缺点是当在该应答器内部实现所建 议的査询响应钳制措施时，将总是以降低的响应速度来完成从该应答 器至读取器的假名传送，并且，这将因此限制该应答器系统对低速应 用的适用性。已知的应答器系统的另一个缺点是保持对所有假名的 追踪需要大量的管理。

发明内容
本发明的目的是提供在起始段中所限定的那种类型的应答器、在 第二段中所限定的那种类型的读取设备以及在第三段中所限定的那种 类型的系统，其中避免了上述缺点。
为了实现上面所限定的目的，关于根据本发明的应答器，提供特 征要素，这样，可以以下列方式来表征根据本发明的应答器，艮P:
一种应答器，包括用于存储己利用密钥加密的加密信息和用于存 储与该加密信息相关的密钥的至少一个存储器，其中，该应答器适用于响应于读取设备的査询，慢于该加密信息而发送该密钥。
为了实现上面所限定的目的，关于根据本发明的读取设备，提供 特征要素，这样，可以以下列方式来表征根据本发明的读取设备，艮P:
一种读取设备，适于向请求加密信息和与该加密信息相关的密钥 的应答器发送查询，其中，该读取设备包括利用该密钥来对该加密信 息进行解密的解密装置。
为了实现上面所限定的目的，本发明的系统最终包括具有根据本 发明的特征的至少一个读取设备和应答器。
应当指出的是，就这点而言，这里所使用的"读取设备"通常不 仅仅是为从应答器读取数据而设的，也用于向应答器传送数据。当谈 到RFID系统时，读取设备经常被简称为"读取器"。
根据本发明的特征要素提供的优点是通过经由从应答器到读取 设备的快速路径发送经密钥加密的信息并通过经由从应答器到读取设 备的慢速路径发送对经密钥加密的信息进行解密所必需的相关密钥，
可以至少显著地减少应答器或RFID标签所固有的保密问题。虽然这
些措施成功地阻碍了经过应答器来读出存储信息的窃听者，但其并不 显著降低应答器系统的处理速度，并且因此分别适用于广泛的应答器
应用或特定的RFID应用。值得注意的是，以快速方式传送的经密钥 加密的信息通常要比以慢速方式传送的密钥长的多。对任意应用来说， 传送该加密信息和传送该密钥之间的响应速度中的差异完全是可以定 制的。在本发明的优选实施例中，以全处理速度传送该加密的信息， 而用于传送该密钥的响应速度受到在应答器中所实现的一个或多个下
列措施的限制
a) 将密钥延迟装置插入在包括该密钥的存储器与传送装置之间 的路径中。对任意应用来说，实际延迟在应答器中的出现方式是可以 定制的。可以在从应答器传送任何消息之前设置延迟(此后，尽可能 快地传送该加密信息)，而延迟也可被设置在消息的多个部分之间，如 在信息的每个比特之间。延迟可以依赖环境而变化。
b) 将响应速度限制装置插入在包括该密钥的存储器与传送装置
之间的路径中。响应速度限制装置与密钥延迟装置的不同点在于响应速度限制装置实际上钳制从存储器向传送装置进行数据传送的比特 率，而密钥延迟装置虽然延迟从存储器读出数据的传送的启动或者中 断数据传送，但一般允许数据以全比特率经过。
C)该加密信息存储在快速响应存储器中，而密钥存储在慢速响应 存储器中。
可以通过硬件电路，如计时器或计算器，来实现密钥延迟装置和 响应速度限制装置，但是，也可以通过软件，例如通过处理指令循环 来实现之。 一般而言，延迟和响应速度限制可以作为计算时间的副作 用而实现，计算时间适用于花费所需要的时间。
当应答器具备用于产生随机数的随机数发生器和用于计算随机 化的加密信息(优选地，来自加密的或未加密的信息和随机数的语义 安全加密信息)的加密装置时，可以成功地防止链接和追踪。这里所 使用的"语义安全加密"是指实际上添加随机分量的加密每一次使
用密钥k对消息m加密产生了随机串r，而加密实际上是使用k、 r对 m进行加密的函数F，简写为Fk乂m)。因此，E—k(m)并不是唯一确定 的，而是包括随机的因素。然而，当知道k (但是不知道r!)时，却 不可能对E一k(m)进行解密。对语义安全加密来说， 一个非常有意义的 例子是ElGamal加密，即公共密匙加密系统所选择的数g、私钥s、 公钥h:-gXORs ("XOR"是异或操作的符号)、消息m和随机性r 都是有限域F中的数。加密为m+(gr,hrm)。当知道s并接收消息(a, b)时，解密就是计算b除以a异或s。在对消息m进行解密的任何时 刻，随机变量r都是不同的。如果不知道私钥s，则不能够区分特定随 机r的消息(gr,hrm)以及a和b都是随机的(a、 b)。所以，简而言之， 在应发送加密的值的任何时刻，语义安全加密都需要计算时间，因为 要使用不同的随机性来重新计算该加密。
在根据本发明的应答器的另一个实施例中，未加密信息存储在可 阻断的存储器(blockable memory)中。术语"可阻断的存储器"可 以理解为存储器本身被毁坏或被禁用、或者来自存储器的数据路径被 中断。当实现这些特征时，应答器系统可以以不同方式运行。例如， 通过查询未加密信息，可以以快速方式进行应该在安全环境下进行的
分配或商店编目管理，而当销售或运输时，包括未加密信息的应答器 的存储器就被阻断了，这使得对未来的使用来说只有加密信息可以被 读出(以快速方式)。
在使用具有包括未加密信息的可阻断的存储器的应答器的本应 答器系统的另一个实施例中，如果读取设备发送具有正确密钥(例如 先前己从应答器传送到读取设备)的信息，所述存储器被阻断的应答 器将只能响应读取设备的查询。然而，本发明的这个实施例仍易受窃 听，因为该密钥可以被自由地听取。为了堵住这个潜在的安全漏洞， 在本发明的另一个实施例中，使用响应挑战协议。包括随机数发生器 和挑战产生装置的应答器产生并向读取设备发送包括有随机数的挑 战。接着，读取设备将源自该挑战和该密钥的消息发送回应答器。该 应答器包括消息分析装置，适用于分析从读取设备接收到的消息是否 真的源自先前在挑战内部所发送的随机数和密钥，并且，当这些条件 符合时，启动从存储器读出加密信息。
在本发明的另一个实施例中，在商店处提供了具有良好安全性的 高处理速度，而读取设备与数据库协作，在该数据库中，存储了多对 加密信息和相关联的密钥或者多对加密信息和相关联的未加密信息。 读取设备适用于在从应答器接收加密信息时，从数据库找回相关联的 密钥或相关联的未加密信息。当找回相关联的密钥时，可以利用该密 钥对加密信息进行解密。
通过下面对示例性实施例的描述，本发明上面所限定的方面以及 其它方面是明显的，此外，还参照这些示例性实施例对其进行说明。


下面将参照示例性实施例更详细地描述本发明。然而，本发明并 不被限制在这些示例性的实施例中。
图1示出了本发明的应答器系统的实施例的方框图。
图2示出了怎样运行本发明的应答器系统的第一场景的方框图。
图3示出了怎样运行本发明的应答器系统的第二场景的方框图。
图4示出了怎样运行本发明的应答器系统的第三场景的方框图。
图5示出了怎样运行本发明的应答器系统的第四场景的方框图。
具体实施例方式
图1示出了根据本发明的应答器系统的实施例的方框图。根据本
发明的系统包括应答器l (图1中只描绘了一个)和读取设备2。值得 注意的是，图1中所示出的应答器1和读取设备2包括几个选项和替 换项，它们通常不会合并在一个单一的设备中，附图中将其并入只是 为了更好的说明。
应答器1 (例如可以被配置为RFID标签)包括用于存储密钥k 的第一存储器MEM1和用于存储已经通过密钥k加密的加密信息 E—k(EPC， PI)的第二存储器MEM2。存储器MEM1和MEM2两者都可 以被配置为ROM。应该注意到，存储器MEM1和MEM2也可以被配 置为一个物理ROM设备的不同部分。可选地，加密信息E一k(EPC,PI) 可以存储在快速响应的第二存储器MEM2中，而密钥k可以存储在慢 速响应的第一存储器MEM1中。上述信息包括产品电子代码EPC(即， 唯一地识别各个对象的代码或数字)和描述产品或其性质的附加产品 信息PI。
根据本发明，响应于读取设备2的查询，慢于加密信息E一k(EPC， PI)向读取设备2传送密钥k是关键的。如上所述，这可以通过将密 钥k和加密信息E_k(EPC, PI)存储在具有不同响应速度的不同类型的 存储器中来实现。或者，将密钥延迟装置3和/或响应速度限制装置4 接入从第一存储器MEM1到应答器1的收发器5的第一路径tl，这样， 第一路径tl变成慢响应路径，而加密信息E—k(EPC, PI)经由第二路径 t2直接从第二存储器MEM2传送到收发器5。密钥延迟装置3和/或响 应速度限制装置4可以以硬件或软件实现。
为了实现随机化加密，并且特别地，实现语义安全加密，应答器 1包括用于产生随机数r (或伪随机数)的随机数发生器6和用于根据 加密信息E一k(EPC, PI)和随机数r来计算语义安全加密信息 F—r(E—k(EPC, PI))(在附图中，缩写为F—r)的加密装置7。例如，加 密装置7可以根据上面所解释的ElGamal加密而工作。
应该注意，可选地，快速响应的第二存储器MEM2可以包括未加 密的信息EPC、 PI和密钥k，而不是加密信息E—k(EPC, PI)。随机化 加密是通过将未加密的信息EPC、 PI、密钥k以及随机数r馈入到加 密装置7中而实现的，加密装置7输出信息EPC、 PI的随机化加密， 其中，密钥k已经被用来加密。当然，这个方案的缺点是信息EPC、 PI是以纯文本的形式存储在快速响应的第二存储器MEM2中的，但 是，为了读出快速响应的第二存储器MEM2，攻击者必须得到应答器 1，即使是在这种情况下，也不能直接读出快速响应的第二存储器 MEM2。
进一步地，应答器1包括存储未加密的信息EPC、 PI的第三存储 器MEM3。有利地，第三存储器MEM3被配置为可擦除ROM (可擦 只读存储器)，允许在将应答器1运送到不安全环境之前擦除其内容。 一般而言，第三存储器MEM3必须可以被阻断，以使其内容不再可以 从应答器l读出。为了实现这一点，如上所解释的那样，第三存储器 MEM3可被擦除，或者可以被禁用或者甚至被毁坏。或者， 一次性开 关10可以被接入第三存储器MEM3与收发器5之间的第三路径t3。 一次性开关10被配置为在应答器1外部产生的控制信号dis的控制下 中断第三路径t3。控制信号dis也可以被用于禁用/擦除第三存储器 MEM3。还可以这样配置第三存储器MEM3:它可以被从阻断状态 (blocked state)切换到去阻断状态(de-blocked state)。例如，所述去 阻断可以通过第二不可逆动作来实现，例如通过激活到一次性开关10 的旁路来实现。
应答器1还包括比较装置9，比较装置9适用于把从读取设备2 接收的消息M与密钥k进行比较。如果消息M与密钥k相对应，则 比较装置9向第二存储器MEM2发送激活信号act2，并由此启动从第 二存储器MEM2读出加密信息E—k(EPC， PI)。这个操作方式的更详细 说明将在下面给出。
应答器1进一步包括用于产生和向读取设备2发送挑战c的挑 战产生装置ll，挑战c包括随机数发生器6所产生的随机数r;消息 分析装置8，适用于分析从读取设备2接收的消息M是否源自先前与挑战c 一同发送的随机数r和先前也已经以低速方式被发送给读取设 备2的密钥k。当所分析的消息M正确时，则消息分析装置8向第二 存储器MEM2发送激活信号actl，并由此启动从第二存储器MEM2 读出加密信息E一k(EPC， PI)。这个操作方式的更详细说明将在下面给 出。
应该注意，随机数发生器6、挑战产生装置1K消息分析装置8 和比较装置9可以是通过使用应答器1内部的工作处理器而实现的软 件。
读取设备2包括用于与应答器1进行无线通信的收发器15以及 用于执行读取设备2内部的各种控制和计算功能的控制器12。例如， 控制器12启动将发送给应答器1的査询q，请求应答器1传送它们的 加密信息E—k(EPC， PI)和与加密信息E一k(EPC， PI)相关联的密钥k。读 取设备2进一步包括解密装置13，以利用接收的密钥k对接收的加密 信息Ek(EPC， PI)进行解密。读取设备2也可以与数据库DB和消息产 生器14协作，数据库DB适用于存储多对加密信息E—k(EPC， PI)和相 关联的密钥k，而消息产生器14适用于产生消息M，其中，消息M 或是源自先前接收自应答器1的密钥k，或是源自先前已经从应答器1 接收的密钥k和挑战c。读取设备2的操作的更详细说明将在下面给 出。
现在，借助于各种场景来解释包括应答器1和读取设备2的本应 答器系统的几个操作方式。这些场景是基于典型的商店应用，其中， 存储在应答器1中的信息也可在家中以受限方式读出，但应注意的是， 本发明并不局限于这些应用。
图2示意性地示出了怎样运行根据本发明的应答器系统的第一场 景。应答器1包括第一存储器MEM1，第一存储器MEM1在慢速可读 的第一路径tl中保持加密密钥k。应答器1进一步包括第二存储器 MEM2，第二存储器MEM2以经密钥加密的形式E—k(EPC,PI)来保持 信息EPC和PI。第二存储器MEM2连接至快速可读的第二路径t2。
商店中的协议经由慢速可读的第一路径tl,或者换句话说，经 由具有慢响应速度的第一路径tl，该商店将知道(或者在安全环境中
由读取设备2花费时间来读取)从应答器1读出的密钥k。此外，商
店中的读取设备2经由快速的第二路径t2向应答器1查询加密信息 E—k(EPC,PI)。在数据库DB中存储(E—k(EPC，PI),k)对，这使得可从数 据库DB为由读取设备2所接收的任何加密信息E—k(EPC，PI)找回相关 的密钥k，并可以接着将信息EPC和PI解密，因此，在商店中，可快 速读出应答器1。售出后，商店将(E一k(EPC,PI)， k)从其数据库DB中 擦除(或者至少将其标记为已售出的)。或者，在数据库DB中存储 (E—k(EPC，PI), EPC， PI)对，这使得可从数据库DB为由读取设备2接 收的任何加密信息E一k(EPC,PI)找回相关的未加密信息EPC和PI。
家中的协议经由慢速可读的第一路径tl，并入如洗衣机之类的 设备的读取设备2花费一些时间从应答器1读出密钥k。知道密钥k， 就可以对加密信息(E—k(EPC,PI), k)解密，加密信息(E—k(EPC,PI)， k)可 经由快速可读的第二路径t2从应答器1读取。家中的设备可以存储密 钥k，或者在每一次使用时将其读出。必要时，该设备可以在数据库 中存储(E—k(EPC,PI),k)对。
优点商店和用户都可以快速地读出应答器1。
缺点商店(以及或许在家的用户)必须具有元素(E一k(EPC,PI)，k)
对的数据库。
弱点应答器1易受链接和追踪的攻击，因为它总是快速可读的，
并发送唯一的串E_k(EPC，PI)。
图3示意性地示出了怎样运行根据本发明的应答器系统的第二场 景。应答器1包括第一存储器MEM1，第一存储器MEM1在慢速可读 的第一路径tl中保持加密密钥k。应答器1进一步包括第二存储器 MEM2，第二存储器MEM2以经密钥加密的形式E一k(EPC,PI)来保持 信息EPC和PI。第二存储器MEM2连接至快速可读的第二路径t2。 应答器1进一步包括第三存储器MEM3，第三存储器MEM3在快速可 读的第三路径t3中以未加密的形式包括信息EPC和PI。
商店中的协议快速的第三路径t3被用来快速读出未加密的信息 EPC和PI。售出后，必须将快速的第三路径t3毁坏或阻断(例如， 通过擦除存储器MEM3或通过激活一次性开关10)。
家中的协议经由慢速可读的第一路径tl，并入如洗衣机之类的 设备的读取设备2花费一些时间从应答器1读出密钥k。知道密钥k，
就可以对加密信息E—k(EPC,PI)解密，加密信息E—k(EPC,PI)可经由快 速可读的第二路径t2从应答器1读取。家中的设备可以存储密钥k，
或者在每一次使用时将其读出。必要时，该设备可以在数据库中存储 (E一k(EPC,PI),k)对。
优点商店和用户都可以快速地读出应答器l。
缺点或许在家的用户必须具有元素(E—k(EPC,PI),k)对的数据库。
弱点应答器1易受链接和追踪的攻击，因为它总是快速可读的， 并发送唯一的串E—k(EPC，PI)。
图4示意性地示出了怎样运行根据本发明的应答器系统的第三场 景。应答器1包括第一存储器MEM1，第一存储器MEM1在慢速可读 的第一路径tl中保持加密密钥k。应答器1进一步包括第二存储器 MEM2，第二存储器MEM2以经密钥加密的形式E一k(EPC,PI)来保持 信息EPC和PI。第二存储器MEM2连接至快速可读的第二路径t2， 并且要求激活将要被发送给它的认证密钥k。应答器1进一步包括第 三存储器MEM3，第三存储器MEM3在快速可读的第三路径t3中以 未加密的形式包括信息EPC和PI。
商店中的协议快速的第三路径t3被用来快速读出未加密的信息 EPC和PI。售出后，必须将快速的第三路径t3毁坏或阻断(例如， 通过擦除存储器MEM3或通过激活一次性开关10)。
家中的协议经由慢速可读的第一路径tl，并入如洗衣机之类的 设备的读取设备2花费一些时间从应答器1读出密钥k。知道密钥k 后，读取设备2产生包括密钥k的消息M，并将其发送至应答器l。 应答器1通过比较装置9来比较消息M中的密钥k是否正确，仅在该 密钥k正确时，通过经由快速可读的第二路径t2发送加密信息 E一k(EPC,PI)来做出响应。读取设备2利用密钥k可以将加密信息 E一k(EPC,PI)解密。家中的设备可以将密钥k存储在密钥数据库中，或 者在每一次使用时将其读出。
优点在商店和在家，应答器l是快速可读的。销售后，只有接
收到具有正确的密钥k的消息M时应答器1才会做出响应。
弱点窃听者可以自由地监听密钥k，并且可以使用该密钥将加
密信息(E一k(EPC,PI))解密、激活应答器1等等。因此，应答器1易于
被追踪。
图5示意性地示出了怎样运行根据本发明的应答器系统的第四场 景。在这个场景中，使用了应答器l内部的随机数发生器6。应答器l 包括第一存储器MEM1，第一存储器MEM1在慢速可读的第一路径 tl中保持加密密钥k。应答器1进一步包括第二存储器MEM2，第二 存储器MEM2以经密钥加密的形式E—k(EPC，PI)来保持信息EPC和 PI。第二存储器MEM2连接至快速可读的第二路径t2。使用挑战响应 协议来检验读取设备2是否被授权对存储在第二存储器MEM2中的加 密信息E一k(EPC,PI)进行查询。应答器1进一步包括第三存储器 MEM3，第三存储器MEM3在快速可读的第三路径t3中以未加密的 形式包括信息EPC和PI。
商店中的协议快速的第三路径t3被用来快速读出未加密的信息 EPC和PI。售出后，必须将快速的第三路径t3毁坏或阻断(例如， 通过檫除存储器MEM3或通过激活一次性开关10)。
家中的协议经由慢速可读的第一路径tl，并入如洗衣机之类的 设备的读取设备2花费一些时间从应答器1读出密钥k。于是，应答 器1发送随机挑战c。响应于挑战c，读取设备计算挑战c和密钥k的 散列H(c，k)，并向应答器1发送具有这个散列的消息M。应答器l 也计算散列H(c， k)，并且通过消息分析装置8来检査这个散列是否与 读取设备2在消息M内部所发送的那个散列相对应。如果散列是不同 的，则应答器l保持沉默。如果散列是相同的，则应答器l经由快速 的第二路径t2发送加密信息E—k(EPC，PI)。读取设备2对所接收的加 密信息E一k(EPC,PI)进行解密。
优点由于密钥k不是从读取设备2向应答器l传送的，所以窃 听者难以访问应答器l。在本发明的这个实施例中，密钥k是从应答 器1传送至读取设备2这个事实被认为是较小的隐患，因为偷听从应 答器1到读取设备2的传输通道要比偷听从读取设备2到应答器1的传输通道困难得多。
应该注意，还可以通过下列配置来解决本发明的问题。应答器具 有产品电子代码EPC和产品信息PI，其存储在可擦除的、可快速访问
的EROM中，也存储在具有延迟电路的ROM中。
商店中的协议在商店中将使用EROM，因此，可以快速读出产 品电子代码EPC和产品信息PI。售出后，该EROM被擦除或毁坏。
家中的协议应答器仅可通过ROM中的延迟电路慢速可读。
优点在商店中，可快速地读出应答器。销售后，应答器很难被
追踪，因此提供了对链接/追踪问题的解决方案。
缺点应答器在家总是慢的。
弱点当应答器静止了很长时间时，它可以被耐心的对手自由地 读取。
值得注意的是，本发明并不被限制在如上所述例子的商店和家庭 环境下。 一方面，商店和家的角色完全是可以互换的，另一方面，它 们也可以分别被转换成其它的人或机构。
最后，值得注意的是，上述实施例是示出而非限制本发明，而且， 本领域的技术人员将能够设计许多可替换的实施例，而不背离在所附 权利要求中所限定的本发明范围。在权利要求中，括号中的任何附图 标记不应视作对权利要求的限制。总的来说，字词"包括"等等并不 排除出现那些未列在任何权利要求或说明中的元件或步骤。元件的单 数形式引用并不排除这样的元件的复数形式引用，并且，反之亦然。 在一个包括若干装置的设备权利要求中，这些装置中的一些可以由同 一个软件或硬件实现。唯一的事实是，在互相不同的从属权利要求中 所述的某些措施并不意味着这些措施的组合不能够产生有益效果。
权利要求
1.一种应答器(1)，包括至少一个存储器(MEM1，MEM2)，所述存储器(MEM1，MEM2)用于存储已经利用密钥(k)加密的加密信息(E_k(EPC，PI))和与加密信息(E_k(EPC，PI))相关联的密钥(k)，其中，响应于读取设备(2)的查询，应答器(1)适用于慢于加密信息(E_k(EPC，PI))而发送该密钥(k)。
2. 如权利要求1所述的应答器(1)，包括密钥延迟装置(3)， 密钥延迟装置(3)以时间延迟的方式将密钥(k)传送至传送装置(5)。
3. 如权利要求l所述的应答器(l)，包括响应速度限制装置(4), 所述响应速度限制装置(4)限制向传送装置(5)传送密钥(k)的响 应速度。
4. 如权利要求1所述的应答器(l)，其中，加密信息(E一k(EPC， PI)) 存储在快速响应的存储器(MEM2)中，而密钥(k)存储在慢速响应 的存储器(MEM1)中。
5. 如权利要求l所述的应答器(1),包括随机数发生器(6)， 用于产生随机数(r);加密装置(7)，用于根据加密信息(E—k(EPC，PI)) 或未加密信息(EPC,PI)和随机数(r)来计算随机化的加密信息，优选 是语义安全加密的信息(Fj(E一k(EPC, PI)))。
6. 如权利要求l所述的应答器(1)，其中，未加密信息(EPC,PI) 存储在可阻断、并且可选地也可去阻断的存储器(MEM3)中。
7. 如权利要求1所述的应答器(1)，包括比较装置(9)，所述 比较装置(9)适用于把从读取设备(2)接收的消息M与密钥(k) 进行比较，并且，如果消息(M)与密钥(k)相对应，则启动从存储 器(MEM2)读出加密信息(E—k(EPC，PI))。
8. 如权利要求l所述的应答器(1)，包括随机数发生器(6)， 用于产生随机数(r);挑战产生装置(ll)，用于产生并向读取设备(2) 发送包括由随机数发生器(6)所产生的随机数(r)的挑战(c);消 息分析装置(8)，适用于分析从读取设备(2)接收到的消息(M)是 否源自先前与挑战(c) 一同发送的随机数(r)和密钥(k)，并且，如果是，则启动从存储器(MEM2)读出加密信息(E—k(EPC,PI))。
9. 一种读取设备(2)，适用于向应答器(1)发送査询，请求加 密信息(E—k(EPC， PI))和与加密信息(E—k(EPC, PI))相关联的密钥(k)， 其中，该读取设备包括利用密钥(k)对该加密信息(E一k(EPC， PI))进 行解密的解密装置(13)。
10. 如权利要求9所述的读取设备(2)，包括数据库(DB)，其 中存储了成对的加密信息(E—k(EPC， PI))和相关联的密钥(k)或者成 对的加密信息(E—k(EPC, PI))和相关联的未加密信息(EPC， PI)，其中， 读取设备(2)适用于当从应答器(1)接收到加密信息(E—k(EPC，PI)) 时，从数据库(DB)找回相关联的密钥(k)并利用密钥(k)对加密 信息E一k(EPC， PI))进行解密，或找回相关联的未加密信息(EPC， PI)。
11. 如权利要求9所述的读取设备(2)，包括适用于产生消息(M) 的消息产生器(14)，消息(M)或是源自先前从应答器(1)或密钥 数据库接收到的密钥(k)，或是源自先前己经从应答器(1)接收到的 密钥(k)和挑战(c)。
12. 包括如权利要求1-8中的一个或多个所述的应答器(1)和至 少一个如权利要求9-11中的一个或多个所述的读取设备(2)的系统。
全文摘要
一种应答器(1)，包括至少一个存储器(MEM1，MEM2)，存储器(MEM1，MEM2)用于存储已经利用密钥(k)加密的加密信息(E_k(EPC，PI))和与加密信息(E_k(EPC，PI))相关联的密钥(k)。应答器(1)适用于响应于读取设备(2)的查询，慢于加密信息(E_ k(EPC，PI))而发送该密钥(k)，优选地，这是通过延迟密钥(k)的传送或通过限制传送密钥(k)的响应速度而实现的。特别地，本发明涉及RFID系统。
文档编号G06K19/07GK101198971SQ200680021088
公开日2008年6月11日 申请日期2006年6月14日 优先权日2005年6月14日
发明者史蒂芬·毛巴赫, 安东·汤博, 格特·施里恩, 皮姆·图伊斯, 鲍里斯·什科里奇 申请人:Nxp股份有限公司