[发明专利]两个数据处理单元相互身份鉴别方法和装置

说明书

技术领域

本发明为一种采用询问/响应方法的两个数据处理单元相互进行身份鉴别的方法和装置。

背景技术

数据处理单元的身份鉴别连同电子数据传输、电子签名、智能卡，如：电话卡和电子钱包，具有重要的经济价值。数据处理单元身份鉴别的重要性在于，仅有经过授权的用户或数据处理单元才能读取或修改数据。

已知的数据处理单元身份鉴别方法采用的是基于加密方法的询问和响应(challenge and response)方法，比如DES(数据加密标准)、RSA((Rivest Shamir Adelman)，或者由Fiat Schamir，GuillouQuisquater或Schnorr开发的所谓的零知识(zero knowledge)技术。

询问和响应方法的一般特征是，产生一个随机数(询问)并发送到需要被检验的数据处理单元。需要被检验的数据处理单元利用该随机数和适当的加密方法产生一个响应数(响应)，并将该随机数发回到进行检验的数据处理单元。进行检验的数据处理单元便利用询问和响应来检验被检验数据处理单元的身份的可靠性。

在相互进行身份鉴别的情况下，询问和响应方法被执行了两次。当第二次执行该方法时，进行检验的数据处理单元与被检验的数据处理单元相互颠倒，因而实现了两个数据处理单元的相互检验。

发明内容

本发明的目标是规定一种执行两个数据处理单元相互进行身份鉴别的简单方法。本发明的另一个目标是指定一种能够执行该方法的装置。

要实现本发明规定的目标，第一数据处理单元与第二数据处理单元之间的相互身份鉴别方法应遵循以下步骤：

第一数据处理单元中产生一个第一位串(bit string)；将第一位串传送到第二数据处理单元；在第二数据处理单元通过第一算法从第一位串和第一数据中产生第二位串和第三位串；将第二位串传送到第一数据处理单元；在第一数据处理单元通过第二算法从第一位串、第二位串和第二数据中产生第一身份鉴别结果和第四位串；在第一数据单元通过第三算法从第四位串和第三数据中产生第五位串；将第五位串传送到第二数据处理单元；在第二数据处理单元通过第四算法分别从第三位串、第五位串和第四数据中产生第二身份鉴别结果。

根据本发明，该方法的优点在于，利用第一位串使第一数据处理单元实现对第二数据处理单元的身份鉴别，以及计算第三和第四位串序列。该方法使第二数据处理单元不再需要随机数发生器，这使得第二数据处理单元的设计可以更加小型、更加简单，因而造价更加低廉。例如，当一种可靠的身份鉴别方法应用于大销量的应用(如：智能卡)时，这一因素将变得至关重要。省去一个随机数发生器意味着数据处理单元的设计可大大简化，因为随机数发生器必须满足与其随机性质和对外部操作(external manipulation)的敏感性有关的众多要求。尽管设计大大简化了，但是依然能够使用安全加密(cryptographicallysecure)类的加密方法，如DES、RSA或零知识技术。因此，本发明的方法达到了与现有技术相关的方法所达到的同样的安全标准。

本发明的方法的优点在于，第三位串从第二数据处理单元传送到第一数据处理单元，并被第二算法用来产生第一身份鉴别结果和/或第四位串。这一程序允许在第二算法中采用更多的计算方法，因而使第二算法得到简化。

本发明的方法的优点还在于，第三位串在计算第二位串的过程中成为中间结果。这一程序使第一算法不必过于复杂，因而第一算法执行速度可以加快。

本发明的方法的优点还在于，第一位串随机生成。产生随机第一位串提高了方法的安全性。

本发明的方法的优点还在于，第一位串经过了挑选，不同于任何已经使用过的第一位串。这确保了攻击者无法预测从中计算出的第一位串和第二位串，因而提高了方法的安全性。

执行本发明规定的方法的装置包括：第一数据处理单元和第二数据处理单元；第一数据处理单元配有一个位串发生器，用于产生第一位串；第二数据处理单元配有第一位串处理单元，用于从第一位串和第一数据中产生第二位串和第三位串；第一数据处理单元配有第二位串处理单元，用于从第一位串、第二位串和第二数据中产生第一身份鉴别结果和第四位串；第一数据处理单元中配有第三位串处理单元，用于产生第五位串；第二数据处理单元中配有第四位串处理单元，用于从第三位串、第五位串和第四数据中产生第二身份鉴别结果。