消息认证码生成方法,实现该方法的认证装置及认证请求装置

摘要

本发明提供消息认证码生成方法，实现该方法的认证装置及认证请求装置。上述消息认证码生成方法包括利用加密算法对种子数据、第一密钥及第一辅助数据进行加密生成第二密钥，且利用上述加密算法对上述种子数据、上述第二密钥及第二辅助数据进行加密，而上述加密算法得到预设的基准比特数的数据输入进行加密，且上述第二辅助数据的比特数随上述第一密钥的比特数和上述第二密钥的比特数发生变化。

说明书

技术领域

本发明涉及消息认证码生成方法，实现该方法的认证装置及认证请求 装置。

背景技术

一般而言，电子装置与配件、电池等辅助装置相互联动而执行任务。

在目前的电子装置中，若有必要，任何人都可以无任何限制地拆卸或 装设辅助装置。但是，若将非正品辅助装置的假冒产品装设于电子装置使 用，则发生因误动作或过热而给使用者带来危害，无法保证电子装置的安 全性，而在现有技术中，没有可区分正品辅助装置和假冒辅助装置的方法。

大韩民国注册专利第10-0655051号公开了一种移动通信终端的正品辅 助装置认证装置及方法，其利用电子标签技术对欲装设于移动通信终端的 电池进行正品认证。

大韩民国注册专利第10-0655051号只公开了利用电子标签技术对欲装 设于移动通信终端的电池进行正品认证的技术，但电子标签容易被伪造或 复制，因此，需要更安全的认证方法。

发明内容

本发明的目的在于提供一种利用挑战应答模式生成消息认证码完成辅 助装置和认证装置之间的认证的方法。

解决上述技术课题的本实施例的消息认证码生成方法的一方面，包括 利用加密算法对种子数据、第一密钥及第一辅助数据进行加密生成第二密 钥，且利用上述加密算法对上述种子数据、上述第二密钥及第二辅助数据 进行加密，而上述加密算法得到预设的基准比特数的数据输入进行加密， 且上述第二辅助数据的比特数随上述第一密钥的比特数和上述第二密钥的 比特数发生变化。

解决上述另一技术课题的认证装置的一方面，包括：加密部，包括利 用加密算法对种子数据、第一密钥及第一辅助数据进行加密生成第二密钥， 且利用上述加密算法对上述种子数据、上述第二密钥及第二辅助数据进行 加密生成第一消息认证码，而上述加密算法得到预设的基准比特数的数据 输入进行加密，且上述第二辅助数据的比特数随上述第一密钥的比特数和 上述第二密钥的比特数发生变化；认证部，比较上述生成的第一消息认证 码和从认证请求装置接收的第二消息认证码实施认证。

解决上述又一技术课题的认证请求装置的一方面，包括：接收部，接 收认证装置生成的种子(seed)数据；加密部，包括利用加密算法对种子 数据、第一密钥及第一辅助数据进行加密生成第二密钥，且利用上述加密 算法对上述种子数据、上述第二密钥及第二辅助数据进行加密生成第一消 息认证码，而上述加密算法得到预设的基准比特数的数据输入进行加密， 且上述第二辅助数据的比特数随上述第一密钥的比特数和上述第二密钥的 比特数发生变化；及发送部，将上述所生成的消息认证码发送至上述认证 装置。

根据本发明，生成随随机数变化的密钥并利用随机数信息及所生成的 密钥生成消息认证码实施认证，从而实施更安全的认证。另外，因改变一 个加密算法的输入值重复使用，无需多个加密过程中额外的存储器或加密 模块，从而可节省费用。

附图说明

图1为利用本发明一实施例的消息认证码生成方法的认证系统框图；

图2为本发明一实施例的消息认证码生成方法流程图；

图3为比较对象的通过加密算法的消息认证码生成方法流程图；

图4A为图2所示的消息认证码生成方法详细流程图；

图4B为图2所示的消息认证码生成方法详细流程图；

图5为图3所示的消息认证码生成方法详细流程图；

图6为本发明一实施例的通过消息认证码进行认证的流程图；

图7为本发明一实施例的消息认证码生成方法实施结果示意图；

图8为本发明几个实施例的认证系统示例图。

*附图标记*

100：认证装置       110：随机数生成部

120：加密部         130：认证部

200：认证请求装置   210：接收部

220：加密部         230：发送部

具体实施方式

下面的内容只是示例性地说明本发明的原理。因此，虽然未在本说明 书中进行明确的说明或图示，但本领域技术人员可实施发明的原理，发明 包含于发明的概念和范围的各种装置。另外，本说明书中所列举的所有条 件性属于及术语原则上只是为了使本领域技术人员更好地理解本发明，而 本发明不受所列举的实施例及状态的限制。

上述目的、特点及优点，将通过与所附附图相关的下面的详细说明变 得更加明了，因此，本领域技术人员容易实现发明的技术思想。

但是，在详细说明本发明的过程中，若认为对相关已公开技术的具体 说明有碍于对本发明的理解，则将省略其详细说明。

在语境中没有明显的区别，则用于本说明书的单数的记载包含复数的 含义。在本说明书中，“构成”或“包含”等术语不能解释为包括说明书 中所记载的多个要素或多个步骤，可不包括其中的部分要素或部分步骤， 而且，还可包括其他要素或步骤。

在本说明书中，加密是指将信息变换为不能知道意思的形式(密码)。 可将信息以密码的形式存储于记忆装置或通过通信线路传送以保护信息。

另外，在本说明书中，解密是加密的逆向过程，是指根据加密算法将 密码变换为明文的过程。加密方式可大致分为对称加密方式和非对称加密 方式两种。对称加密方式是指在加密和解密时使用相同密码的方式，而非 对称加密方式是指在加密和解密时使用不同密码的方式。

在本发明的几个实施例中，说明利用根据对称加密方式减少硬件复杂 性，最大限度地减少计算时间的消息认证码的生成方法进行加密的方法。

下面，结合附图对本发明的进行详细说明。

图1为利用本发明一实施例的消息认证码生成方法实施认证的认证系 统框图。

如图1所示，本发明实施例的认证系统包括认证装置100和认证请求 装置(辅助装置)200。

如图所示，认证装置100和装设于认证装置100的认证请求装置200 可进行通信。认证装置100可通过通信判定认证请求装置200的正品与否。

认证装置100可通过各种形式实施。例如，认证装置100可包括手机、 智能手机(smart phone)、笔记本电脑(notebook computer)、数字广播用 终端、PDA(Personal Digital Assistants)、PMP(Portable Multimedia Player)、 导航仪、平板电脑、电视等媒体播放装置、打印机、电动汽车、电动自行 车等。

另外，认证请求装置200是指电连接(例如，装设或搭载)于认证装 置100与认证装置100相互联动运行的装置。认证请求装置200可包括电 池、USB装置、游戏控制器、打印机墨盒、搭载或装设于电子装置100的 各种配件、扬声器、遥控器等，但非限制。

下面对各装置的结构进行说明。在本实施例中，认证装置100包括随 机数生成部110、加密部120及认证部130，而认证请求装置200包括接收 部210、加密部220及发送部230。

即，当认证请求装置200请求认证时，认证装置100的随机数生成部 110生成随机数传送至认证请求装置200的接收部210。

生成或接收随机数，则各加密部120、220利用随机数实施加密并生成 消息认证码。当生成消息认证码，则认证请求状指200的发送部230将所 生成的消息认证码传送至认证装置100。

此时，认证装置100生成随机数并传送称之为挑战(Challenge)，而 认证请求装置200传送所生成的消息认证码称之为应答(Response)，统 称挑战应答(Challenge and response)方式。

之后，认证装置100的认证部130比较作为应答接收的消息认证码和 自身的加密部120生成的消息认证码决定认证与否。

下面，结合图2对根据本发明一实施例在各认证装置100或认证请求 装置200的加密部120、220实施的消息认证码生成方法进行详细说明。

如图2所示，本实施例的消息认证码生成方法包括第一数据输入步骤 S110、第二密钥生成步骤S120、第二数据输入步骤S130及第一消息认证 码生成步骤S140。

首先，在第一数据输入步骤S110获得用于在第二密钥生成步骤S120 生成第二密钥的输入值的输入。

具体而言，为了在本实施中生成第二密钥，加密算法获得种子(seed) 数据、第一密钥及用于填满基准比特数的第一辅助数据。

接着，在第二密钥生成步骤S120根据加密算法利用在数据输入步骤获 得输入的数据生成第二密钥。

在本实施例中，加密算法以预定的基准比特数的数据作为输入值实施 加密，具体而言，可以是将获得输入的基准比特数的数据变换为预定的基 准输出比特数的数据的哈希算法。

即，根据本实施例，为增加从输出至推算输入值的难度，可将具有单 向特性的哈希函数作为加密算法。具有单向特性的哈希函数有MD4 (Message-Digest algorithm4)、MD5(Message-Digest algorithm5)、SHA (Secure Hash Algorithm)-1、SHA(Secure Hash Algorithm)-512、CRC (Cyclical Redundancy Check)等，如图4所示，本实施例以将SHA-1作 为加密算法的情况作为示例。

如图4所示，在本实施例中，加密算法是将在第一数据输入步骤S110 获得输入的基准比特数的数据变换为预定的基准输出比特数的数据的算 法，以预定的基准比特数n比特作为输入，将获得输入的数据变化为例如 160比特的数据。

因此，在本实施例中，在第一数据输入步骤S110获得s比特的第一密 钥(S-Key)、c比特的挑战(CHLG：Challenge)值及用于填满n比特的 剩余n-s-c比特的第一空白比特(PAD)的输入。在此，第一空白比特(PAD) 可以是第一辅助数据。

此时，用于实施加密的种子数据在图1的随机数生成部110生成或接 收部210接收的随机数信息中包含挑战值。另外，在本实施例中，辅助数 据是用于填满基准比特数的数据，对种子数据和第一密钥或第二密钥占据 的比特之外的比特进行空白处理决定。即，对应于剩余数据的比特(n-s-c 比特)用0进行填充(PAD)而进行空白处理。

如图4B所示，第一密钥(S-Key)可存储于例如存储装置(例如，非 挥发性存储器装置)191。第一密钥(S-Key)可以被第一扰码器192加扰。 第一扰码器192可根据使用者的指示信号选择性的运行。即，只在使用者 发出指示信号时进行加扰动作。另外，第一扰码器192包含多个加扰方式， 根据使用者的选择选择至少一种进行加扰动作。

另外，所生成的第二密钥(RESP，S-Key*)也可以被第二扰码器193 加扰。第一扰码器192和第二扰码器193可以是同一个，也可以是相互不 同的一个。

另外，如图所示，也可以不同时具备第一扰码器192和第二扰码器193， 而是单独具备第一扰码器192或第二扰码器193。

上述扰码器192、193可进一步提高密钥(S-Key、S-Key*)的安全性。 例如，即使黑客获知密钥并获知使用了SHA算发的事实，若不知道还有加 扰动作，则进行黑客行为的难度很大。

在本实施例中，加扰规则通过认证装置100的固件升级设置或重置。

又如图2所示，在第二密钥生成步骤S120根据以预定的基准比特数的 数据作为输入的加密算法，以种子(seed)数据、第一密钥及用于填满上 述基准比特数的第一辅助数据作为输入实施加密。第一辅助数据的比特数 由从种子数据的比特数和第一密钥的比特数之和减去上述基准比特数之差 决定。

接着，在第二数据输入步骤S130根据加密算法获得由种子数据和在上 述第二密钥生成步骤S120所生成的第二密钥及第一密钥和第二密钥的比 特数之差决定的第二辅助数据的输入。即，第一辅助数据的比特数和上述 第二辅助数据的比特数有可能不同。

即，同样获得上述第一数据输入步骤S110的种子数据的输入，而替代 第一密钥获得在第二密钥生成步骤S120生成的第二密钥的输入。此时，因 替代第一密钥获得第二密钥的输入，因此，根据上述比特数之差获得不同 大小的第二辅助数据的输入。即，第二辅助数据的比特数随第一密钥的比 特数和第二密钥的比特数之差发生变化。

如图4所示，在第一数据输入步骤S110，第一密钥为s比特，但第二 密钥的大小根据加密算法增加至160比特，因此，第二辅助数据反映大小 增加额96比特而具有288比特的大小。

另外，在本实施例中，第二密钥可以直接获得输入，但在上述加扰规 则信息包含于种子数据时，根据上述规则变更第二密钥的特定信息值位置 获得输入。

接着，在第一消息认证码生成步骤S140对在第二数据输入步骤S130 获得输入的数据进行加密生成消息认证码。

如上所述，在本实施例中，说明了通过两个加密步骤生成消息认证码 的方法，但可根据需要反复实施，而该反复次数也可以包含于种子数据中。 即，在种子数据中包含反复三次生成消息认证码的信息，则将利用第二密 钥实施加密的结果用作第三密钥生成消息认证码。

即，在本实施例中，因为利用相同的加密算法，不受加密次数的影响， 无需额外的存储器或加密模块，从而降低硬件或软件实施的复杂性，可在 无需增加费用的情况下提高消息认证码的安全性。

对此，将与如图3所示的比较对象的认证方法进行比较进行详细说明。 图3所示为不生成第二密钥而只利用第一密钥生成消息认证码的方法，包 括获得第一密钥、种子数据及辅助数据的输入的数据输入步骤S10，及利 用上述数据生成消息认证码的消息认证码生成步骤S20。

若利用与如图4所示的上述实施例所使用的相同的加密算法生成消息 认证码，则可通过如图5所示的过程生成图3所示的消息认证码。

如图5所示，作为加密算法的输入值使用s比特的密钥(S-Key)及c 比特的种子数据。与上述实施例相同，加密算法的输入值定为n比特，因 此，对应于剩余数据的比特(n-s-c＝384比特)用0填充而进行空白处理。 若输入包含s比特的密钥(S-Key)及c比特的种子数据的n比特的输入值， 则生成160比特的输出值。此时，在如图5所示的消息认证码生成方法中， 160比特的输出值成为消息认证码。

若比较图4和图5所示的实施例，则在图4中，在S120步骤及S140 步骤各实施加密过程(即，两次加密过程)，但在图5中，只实施例一次 加密过程(S20)。

此时，若想推算第一密钥，则根据如图4所示的实施例，需经过从消 息认证码(MAC)推算第二密钥(SKey*)的步骤及从第二密钥(S-Key*) 推算第一密钥(S-Key)的步骤(即，两个步骤)才能推算出第一密钥 (S-Key*)。

与此相反，根据如图5所示的实施例，只经过从消息认证码(MAC) 推算密钥(S-Key)的步骤(即，一个步骤)即可推算出密钥(S-Key)。

因此，较之如图5所示的只经过一次加密生成消息认证码的方法，如 图4所示的经过两次加密生成消息认证码的方法的安全性更高，而且，在 如图4所示的实施例中生成的第二密钥(S-Key*)的比特数比第一密钥 (S-Key)的比特数多，推算第二密钥(S-Key*)的计算量增加，因此，较 之利用与第一密钥相同比特数的信息的如图5所示的方法，其安全性更高。

下面，结合图6说明利用消息认证码生成方法生成的消息认证码，通 过挑战应答方式在如图1所示的认证装置和认证请求装置之间实施认证的 方法进行详细说明。

图6为本发明一实施例的通过消息认证码进行认证的流程图。

如图6所示，首先，若本实施例的认证请求装置200向认证装置100 请求认证，则认证装置100作为种子数据生成随机数S105。种子数据是在 每次认证中随机生成的值，可以是由一系列数字组成的随机数(Random  Number)，也可以是数字、文字及符号中的两种以上组合的随机数。

所生成的种子数据可通过随机数生成部(图1中的110)传送至上述 认证请求装置200。而且，种子数据可不加密直接传送至认证请求装置200 或经过加密之后传送至认证请求装置200。但是，若种子数据经过加密之 后传送至认证请求装置200，则认证装置的加密部120也可以对种子数据 进行加密，而认证请求装置200还可包括对经过加密的种子数据进行解密 的解密部(未图示)。

接着，在第一数据输入步骤S110，利用所生成的随机数生成种子数据 之后，为生成第二密钥而读取存储于存储器中的第一密钥。此时，存储器 可以是非挥发性存储器(Non Volatile Memory)。

第一密钥可以纯文本密码(plain text key)的形式存储于存储器，但也 可加密或加扰(scramble)之后存储。加扰可以包括在特定明文中变化部分 数据的位置。例如，假设有16比特的特定明文，则当第16比特的值和第 10比特的值的位置变化，就可视为上述特定明文被加扰。在本说明书中， 因加扰广义上也可算是加密，因此，将其称之为加密。

在上述实施例中，以第一密钥加密至存储器为例进行了说明，但本发 明不受上述限制。此时，将上述经过加密的第一密钥解密为原来的纯文本 形式的密钥(为了便于说明称之为“解密密码”)的规则或信息存储于认 证装置100中。此时，第一密钥加密于存储器的情况较之未加密的情况安 全性高。

例如，认证装置100中第一密钥未经加密存储于存储器时(即以纯文 本密码(plain text key)形式被存储)，可通过监控传送第一密钥的传送线 对第一密钥进行黑客行为。因此，为防止黑客行为，第一密钥可加密存储 于存储器。

在第二密钥生成步骤S120，当读取存储于存储器中的第一密钥，则可 利用第一密钥和所生成的种子数据生成第二密钥。

具体而言，在第二密钥生成步骤S120，解密第一密钥生成原来的解密 密码。另外，在第二密钥生成步骤S120，利用解密密码和上述种子数据生 成第二密钥之后，将上述所生成的第二密钥存储于挥发性存储器(Volatile  Memory)(未图示)中。

接着，在第二数据输入步骤S130，为生成消息认证码而读取存储于存 储器的第二密钥并获得上述种子数据及第二密钥的输入。

在第一消息认证码生成步骤S140，可利用存储于上述挥发性存储器的 第二密钥和上述所生成的种子数据生成消息认证码。在作为生成第二密钥 的步骤的S120步骤及作为生成消息认证码的步骤的S140步骤可使用特定 加密算法。

在各步骤可使用不同的加密算法，但为了降低实施的复杂性，可在S120 步骤及S140步骤都使用相同的加密算法。

另外，在认证装置100中根据上例生成消息认证码的过程中，认证请 求装置200也生成消息认证码。

如图6所示，认证请求装置200在随机数接收步骤S205接收在认证装 置100的随机数生成步骤S105生成的随机数作为生成认证请求装置200的 消息认证码的种子数据。

接着，在第三数据输入步骤S210，以所接收的随机数为种子数据，为 生成第四密钥而读取存储于存储器中的第三密钥。此时，存储器可以是非 挥发性存储器(Non Volatile Memory)。

在第四密钥生成步骤S220，当读取存储于存储器中的第三密钥，则可 利用第三密钥和所生成的种子数据生成第四密钥。

在第四数据输入步骤S230，为生成第二消息认证码而读取存储于存储 器的第四密钥并获得上述种子数据及第四密钥的输入。

在第二消息认证码生成步骤S240，可利用存储于上述挥发性存储器的 第四密钥和上述所生成的种子数据生成第二消息认证码。

在消息认证码传送步骤S250，将在第二消息认证码生成步骤S240生 成的第二消息认证码传送至认证装置100。

在消息认证码一致确认步骤S150，认证装置100比较所生成的第一消 息认证码和所接收的第二消息认证码，若一致则进行认证S170，而若不一 致则不认证S160。

在上例中，首先由认证装置侧作为种子数据生成随机数并挑战 (challenge)发送至接收侧，对此，作为应答(response)将利用种子数据 所生成的消息应答码传送至认证装置。

此时，根据MIPI(Mobile Industry Processor Interface)标准规格，认 证装置和认证请求装置根据MIPI协议通过单线(single wire)收发挑战和 应答，但非限制。

上述根据本实施例的认证方法的应答信号为所生成的消息认证码本 身，无需为实施认证提取消息认证码内的密钥进行认证，从而比较简单。

即，如图6所示，在第一消息认证码生成步骤S140之后，无需提取密 钥的附加步骤而将认证请求装置的第二消息认证码生成步骤S240所生成 的第二消息认证码作为应答(Response)接收并进行比较。

因此，在本实施例中，只通过两次加密过程和一次比较过程即可实施 对认证请求装置200的认证，无需额外的解密过程，从而通过较简单的过 程实施认证。因此，可减少认证所导致的硬件及软件方面的开销。

另外，虽然以实施两次加密过程为例进行了说明，但也可实施三次以 上的加密过程。

另外，因为两次加密过程使用相同的加密算法，因此，无需增加额外 的硬件也可以大幅提高安全性。

下面，结合图7对本实施例的加密结果进行详细说明。

图7表示根据上例利用SHA-1生成的哈希(Hash)结果。如图所示， 上面的第一输入值和下面的第二输入值除了存在有无一个句号的差异之外 是相同的值。但是，与第一输入值及第二输入值相对应的第一输出值610 和第二输出值620完全不同。因此，若使用本实施例的消息认证码生成方 法实施加密，则想通过输出值推算输入值几乎是不可能的。

另外，虽然未图示，但根据本发明的另一实施例，用于第二密钥生成 步骤S120和第一消息认证码生成步骤S140的种子数据可以不同。即，第 一种子数据用于第二密钥生成步骤S120，而第二种子数据用于第一消息认 证码生成步骤S140。此时，第二种子数据可以利用第一种子数据生成。

上述本发明一实施例的认证(请求)装置的消息认证码生成方法每次 认证中都改变用于认证的密钥，防止认证时对密钥的黑客行为，从而可减 少认证请求装置的复制或伪造等危险，而且，可节省费用。

另外，上述认证(请求)装置的消息认证码生成方法可实现为可通过 各种计算机装置执行的程序命令形式并记录于计算机可读的记录媒体。此 时，计算机可读的记录媒体可单独或组合包含程序命令、数据文件、数据 结构等。另外，记录于记录媒体的程序命令可以是为本发明特殊设计构成 的，也可以是计算机软件领域公开使用的。

计算机可读的记录媒体包括硬盘、软盘及磁带等磁性媒体(Magnetic  Media)、CD-ROM、DVD等光媒体(Optical Media)、光磁软盘(Floptical  Disk)等磁光媒体(Magneto-Optical Media)及ROM)、RAM、闪存等可存 储及执行程序命令的硬件装置。

另外，程序命令不仅包括编译器中产生的机器语言代码，而且还包括 使用翻译器等在计算机中执行的高级语言代码。上述硬件装置可由实施本 发明的动作的一个以上的软件模块组成，反之亦然。

图8为本发明几个实施例的认证系统示例图。在图8中，作为示例表 示便携式设备的一部分。

如图8所示，在本发明几个实施例的认证系统中，应用处理器310与 调制解调器340、显示器320、摄像头321、大容量存储器(mass storage) 322、扬声器330、麦克风331、蓝牙332等以控制各部分或与各部分进行 通信。虽然未在图8示出，还可设置例如功率放大器(power amp)、开关、 天线调谐器、GPS(global positioning system)、NFC(Near Field  Communication)等。

另外，本发明几个实施例的认证系统可在电池360内还包括用于控制 电池360的BMIC(Battery Management IC)350。BMIC350是可有效使用 电池360的能量的集成电路装置。BMIC350可包括通过检测电池的电压、 电流、温度等准确预测电池的可用时间的测量(gauging)功能，为改善电 池的可用容量和寿命而调节电池的多个电池之间的电压平衡的电池平衡 (cell balancing功能，防止无法满足机械/电气性能的非法复制电池以确保 使用者的安全性和满意度的认证(authentication)功能等。

另外，BMIC350和应用处理器310可利用单线接口(single wire  interface)进行通信。因通过一个线(wire)进行通信，因此，BMIC350 传送的挑战(challenge)和应用处理器310传送的传送消息应答码的应答 (response)通过相同的线传送。在图8中表示BMIC350与应用处理器310 进行通信的情况，但非限制。例如，BMIC350可利用单线接口与便携式设 备的PMIC(Power Management IC)进行通信。

另外，在本发明几个实施例的认证系统中，上述单线接口不在认证系 统的其他部分使用，但非限制。例如，可能与应用处理器310(或PMIC) 和BMI350之间的接口、应用处理器310和显示器320之间的接口(例如， 使用DSI(Display Serial Interface))或应用处理器310和大容量存储器之 间的接口(例如，使用UFS(Universal Flash Storage))不同。

上述认证请求装置的认证方法、认证请求装置及认证装置不受上述实 施例的结构和方法的限制，而在不脱离本发明的精神和范围内，可以对本 发明进行修改、变形或者等同替换。