減少通過無線鏈路的低數據率應用中的安全協議開銷的製作方法

2023-10-22 09:30:12

專利名稱：減少通過無線鏈路的低數據率應用中的安全協議開銷的製作方法
技術領域：
本發明涉及無線通信網絡中的安全性、具體地涉及在基帶級提供安全性。
背景技術：
在全操作模式下，低速率無線電通信模塊需要與如下主機模塊
通信該主機模塊控制在主機模塊與低速率無線電通信模塊之間的操作和數據流。主機接口通常實施為串行接口 ，比如串行外圍接口
(SPI)、通用異步接收器/發送器(UART)或者其它類似接口。然而在一些情況下，通信模塊也可以在沒有來自主機模塊的任何控制的情況下操作。在這樣的情況下，數據流和/或操作模式與全操作模式相比在某種程度上受限。例如，通信模塊發送的數據可以恆定，因而無需從主機模塊到通信模塊的數據流。另外，通信模塊的行為可以恆定，這使控制主機模塊的存在沒有必要。然而，對於初始化、操作控制和通信控制，主機模塊一直是需要的。
在一 些情況下，默認操作需要可以提供對數據流進行完全控制的主機模塊的存在。另一方面，如果應用或者用途無需完全主機模塊，則它的存在是不必要的。在一些情況下，在一個分組中在無線電接口上傳送很少量的可變數據，並且佔空比也可以很低。在最小程度的情況下，淨荷信息如傳感器值可以是僅僅一個比特或者一個字節，而在一些應用中，包含如下設備標識(ID)的分組幀是足夠的，該設備標識(ID)表明了設備在通信範圍以內的存在。這樣，雖然需要全程度的更低層，但是簡化的主機功能/實施是適宜的。
目前，通信模塊如藍牙低端擴展(BT-LEE)模塊的主機接口如上層接口 (ULIF)不支持不同操作模式。針對默認ULIF模式存在
8主機模塊和它的活躍控制。然而，缺乏以極低功率和需要主機模塊
功率消耗更少的簡易應用為目標的實施。BT-LEE技術允許小型設備連接到其它設備如移動終端而沒有傳統藍牙技術的功率和成本負擔。典型的小型設備包括傳感器如溫度傳感器、玩具、無線筆、耳機和其它遠程用戶接口外設。關於BT-LEE技術的更多信息在MauriHonkanen等人的如下文獻中有描述"Low End Extension forBluetooth", IEEE Radio and Wireless Conference RAWCON 2004，Atlanta, GA， 2004年9月，第19-22頁。
常規地，具有近程無線電連通能力的設備被實施成使得主機層或者單元(例如微型控制器)控制無線通信模塊的媒體訪問控制(MAC)層。圖1圖示了常規通信模塊101。例如，當利用藍牙技術時，在主機層或者單元105與MAC層107之間的接口 103糹皮稱為主機控制器接口 (HCI)。當利用BT-LEE才支術時，接口 103#皮稱為上層接口 (ULIF)。在相對簡易的應用中，主機層105從通信的角度看不是強制的。這樣，主機層105的功能能被顯著削減。此外，小型設備的有限功率資源要求功率消耗最少，而使製造成本最少的壓力驅使製造商開發更簡易的實施。因此，使針對主機層的要求最少將是有利的。
儘管使主機層的要求最少具有某些優點，但是應當注意有無線通信所共有的許多基本安全威脅。 一種威脅是如下可能設備可以偽裝成被授權設備，因此獲得對資源的未授權訪問。另一種威脅是未授權設備可以接收發送，這可能允許對數據的未授權公開。又一種威脅是未授權設備可以嘗試對設備進行尋址並且獲得對資源的未授權使用。其它威脅包括通過使用幹擾來中斷服務以及中斷數據的完整性。
因此，BT-LEE的某些用途將從在MAC層中包括諸如高級加密標準(AES)之類的安全協議中受益，從而提供數據的秘密發送。

發明內容
9本發明的各方面涉及一種與藍牙技術有關並且以提供簡化的低
速率通信為目標的新通信協議BT-LEE (用於藍牙的低端擴展)。在一個實施例中，可以提供用以在基帶級加密明文的安全4莫塊。可以是128比特的塊密碼可以與控制塊一起用來提供加密。控制塊可以包括臨時數(nonce)、上級分組計數器、分組計數器和塊計數器。控制塊的計數器的狀態可以按預定方式遞增以便允許提供可以在密碼算法中容易處理的唯一控制塊或者啟動矢量(IV)從而允許加密
和解密而無需將臨時數與各分組一起發送。在一個實施例中，對於加密的分組可以用完整性校驗值(ICV )取代循環冗餘校驗(CRC ),並且ICV可以是基於零值塊計數器的IV。
提供這一發明內容是為了以簡化的形式介紹下文在具體實施方式
中進一步描述的內容節選。發明內容既不是為了標識要求保護的主題內容的關鍵特徵或者基本特徵，也不是為了用來限制要求保護的主題內容的範圍。


在結合附圖來閱讀時更好地理解本發明的前述發明內容以及示例實施例的以下詳細描述，其中通過例子而不是對要求保護的發明有所限制的方式包括這些附圖。
圖1圖示了常規無線通信模塊的一個例子；
圖2圖示了根據本發明至少一個方面處於通信中的無線通信模塊的系統的實施例；
圖2a圖示了根據本發明至少一個方面的處於通信中的無線通信模塊的系統的另 一 實施例；
圖2b圖示了根據本發明至少一個方面的處於通信中的無線通信模塊的系統的另 一 實施例；
圖3圖示了根據本發明至少一個方面的BT-LEEMAC層的狀態機的框圖4圖示了根據本發明至少一個方面用於在輪詢方與被輪詢設法的示例實施例；
圖5-圖6圖示了根據本發明至少一個方面可以發送的分組的格式的實施例；
圖7圖示了根據本發明至少一個方面可以用圖5中所示格式來發送的ID-分組的格式的實施例；
圖8圖示了根據本發明至少一個方面可以用圖6中所示格式來發送的DATA-分組的格式的實施例；
圖9圖示了根據本發明至少一個方面可以在圖8中所示DATA-分組中使用的報頭格式的實施例；
圖10圖示了根據本發明至少一個方面可以與MAC控制分組一起使用的淨荷格式的實施例；
圖11圖示了可以用作啟動矢量的控制塊格式的實施例；
圖12圖示了根據本發明至少一個方面使用啟動矢量以生成可以使用的密文的過程的示例實施例；以及
圖13-圖13a圖示了根據本發明至少一個方面可以使用的示例啟動矢量的實施例。
具體實施例方式
在各種示例實施例的以下描述中對附圖進行參考，這些附圖形成該描述的 一 部分並且在附圖中通過舉例說明來示出其中可以實施本發明的各種實施例。將理解可以利用其它實施例並且可以進行結構和功能修改而不脫離本發明的範圍。
如圖2中所示，通信模塊201包括在主機層或者單元205與MAC層207之間的接口 203。還示出了通信模塊201包括寄存器209和存儲器空間211。在一個實施例中，可以通過空中接口 215來訪問通信模塊241的寄存器249和存儲器251,而在該模塊中不存在主機層或者沒有來自主機層的動作。通信模塊201的主機層或者單元205可以處理空中接口 215用於通信模塊241的主機層的功能，並且與通信模塊241通信(經由通信模塊201和241的MAC層之間的空中接
ii口 215)。在這樣的配置中，在通信模塊241中無需主機處理器，而 通信模塊241可以在簡化的主機或者無主機模式下運行。通過空中 接口 215對寄存器249和存儲器251的訪問還允許在與射頻標識 (RFID )標籤技術相似的模式下使用通信模塊241 。
圖2a圖示了通信模塊202經由空中接口 217與通信模塊243通 信並且經由空中接口 219與通信模塊244通信的實施例。因此，圖 2a圖示了點到多點廣播的一個例子。正如可以認識到的那樣，各模 塊202、 243、 244可以被配置成模塊201或者模塊241 (如圖2中所 示)，由此允許許多不同的系統配置。另外，可以按照需要來添加 附加模塊(出於清楚的原因而沒有示出附加模塊)。
圖2b圖示了一個替代實施例，其中可以是蜂窩電話或者一些其 它設備的設備270包括經由空中接口 221與通信模塊245通信的通 信模塊204。正如所描述的那樣，該設備還包括經由空中接口 223 與蜂窩網絡280通信的蜂窩無線電260。因此，設備270是雙模設備 的實施例，並且，儘管所描繪的是蜂窩無線電，但也可以使用其它 的已知無線電。正如可以認識到的那樣，雙;漠設備和點到點或者點 到多點的各種組合是可能的。因此，所示配置僅是代表性的並且許 多變型是可被預期的。然而為求簡明，將不描述所示實施例的附加 變型。
應當注意到上層通過ULIF接口來施加的控制數量可以視設備 的性質而定。例如，在某些簡易設備中，可以無需安全性，因此與 提供安全性相關聯的數據開銷不在考慮之列。對於其它設備，上層 可以提供安全性。然而，對於某些設備，使上層活動性最少是優選 的，因為它本來是不需要的或者不希望的。在這樣的設備中，在基 帶級中提供安全性可以允許在設備上的安全性更具成本效益和/或更 具能量效益的實施。如果用於在基帶層中提供安全性的功率使用也 可以被減少，則用以提供這樣的安全性的能力變得更有吸引力。
MAC狀態才幾
如圖3中所示在虛線框301內通過組件311、 313、 315、 317、319和321來圖示BT-LEE MAC功能的狀態機。用以在不同狀態之 間轉移的能力可以根據設備的作用而不同並且可以在設備之間變 化，因此例如某些設備可以不具有用以進入通告(adverse)狀態的
厶匕"fr
3匕刀。
正如所描述的那樣，設備在它初始起動時從關閉狀態311轉變
到空閒狀態313,並且可以從空閒狀態313轉變到任何狀態，然而， 設備在空閒狀態313下之時對空中接口不採取動作。如果設備移動 到通告狀態321,則設備可以定期地廣播對處於掃描狀態315或者連 接狀態317下的設備可見的ID-INFO通告消息。在掃描狀態315下 的設備監聽廣播消息。在連接狀態317下的設備可以啟動與通告設 備的連接建立並且被稱為啟動方設備。設備然後可以從掃描狀態和 連接狀態315、 317轉變到與通告設備的已連接狀態139,該通告設 備也將轉變到已連接狀態319。 一旦處於已連接狀態319下，設備可 以適當地轉變回到四個其它狀態。
圖4圖示了設備如何可以在狀態之間轉變的示例實施例。正如 可以認識到的那樣，用戶激活的設備起初在休眠(這可以等效於關 閉或者空閒狀態)，但是在用戶激活時變成連接狀態。 一旦進行連 接，則通過所選數據信道來發送和接收數據，然後設備終止連接並 且再次進入休眠模式。然而，正如可以從圖3中的上述狀態圖中認 識到的那樣，許多其它變型是可能的。
新分組
在BT-LEE技術中，如圖5和圖6中所示，在MAC層分組之前 可以是前導碼和同步字。前導碼可以用來執行頻率同步，而同步字 視分組類型而定。如圖5中所示，如果基帶級分組是ID-分組，則同 步字可以是13比特巴克碼。如圖6中所示，如果分組是DATA-分組， 則同步字可以是2個零比特、繼而是64比特設備地址的40比特部 分(在一個實施例中40比特可以是64比特設備地址的最低有效比 特)。
如果分組是ID-分組，則圖7中所示格式可以用於由圖5的MAC部分定義的PDU。設備服務欄位可以包括表明是否啟用任務切換的 1比特，和表明設備是否支持安全性的另一比特。如果使用8比特， 則這些比特的其餘比特可以按照需要被使用，或者被預留用於其它 目的。
如果分組是DATA-分組，則圖6中所示PDU可以包括如圖8 中所示的格式，其中圖9圖示了基本報頭的一個示例格式。應當注 意到，如果提供1位元組的報頭校驗(它可以使用典型CRC算法來形 成)，則可以使用多項式乂8+乂5+1來形成它，以便提供附加的報頭可 靠性。參看圖9，類型欄位可以用來代表無擴展報頭的數據分組、有 擴展報頭的數據分組、有短擴展報頭的數據分組、無擴展報頭的MAC 控制、有擴展報頭的MAC控制和有短擴展報頭的MAC控制。SAR 比特表明分組是否在更高層的數據分組的末尾(或者這樣的分組的 開頭/中間)。ACK比特表明最後的數據分組是否被正確地接收(即 接收具有正確CRC值的分組)。SN比特用來表明分組是否為在數 據信道中發送的第一分組。SEC比特表明分組是否被加密。SEC比 特還可以用來表明是否已經用完整性校驗值(ICV)來取代CRC。 FLOW比特用來表明RX-緩存器的狀態(例如是否允許新數據)。 淨荷長度欄位表明淨荷的字節數目(0-255 )。
長擴展和短擴展)的值0、 1或者2來代表DATA-分組。長擴展報頭 可以由輪詢方設備用來在探聽模式下發送數據、用來輪詢和確認， 如果在偵聽中有多個被輪詢設備，則偵聽輪詢被延遲或者輪詢方表 明附加數據發送。
MAC控制分組可以使用具有值3、 4和5的類似格式，這些值 代表所用報頭類型(非擴展、長擴展和短擴展)。MAC控制分組還 包括用於淨荷部分的格式，該格式具有用於控制類型的1位元組和用 於數據的多達254位元組(如圖IO所示)。儘管控制類型字節隨需允 許附加消息，但是控制類型包括用於ID—INFO—RSP消息、 TERMINATE消息、SNIFF—REQ消息、SNIFF—RSP消息、
14KEY—UPDATE 消息、 SESSION—REFRESH 消息 、 ID—FEATURES—MAP消息、CONNECTION—FEATURES—MAP消息、 FLUSH消息和UNKNOWN—RSP消息的值。SESSION—REFRESH消 息用來傳達如下文將討論的那樣可以在分組保護中使用的8位元組臨 時數，並且該8位元組臨時數可以從上級層獲得。
正如所知，數據淨荷可以包括數據白化以避免0比特或者1比 特的長序列。在一個實施例中，可以在發送側上計算CRC之後而在 接收方 一 側上的錯誤校驗計算之前完成數據白化。
可以對圖13中所示用於ID-分組的設備地址欄位和設備服務字 段的全部48比特完成可以是以使用X16+x12+x5+l多項式的CRC16 CCITT算法(基於X25標準)為基礎的CRC計算。對於DATA-分 組，可以針對利用在末尾追加的16個零比特來擴充的淨荷完成該算 法。正如將從下文提供的討論中認識到的那樣，可以修改CRC算法 以便提供ICV。
一旦接收到分組，則可以對具有追加CRC的淨荷運行CRC算 法以校驗不存在錯誤。如果檢測到錯誤，則在響應分組的報頭中的 ACK比特可以設置為零。
安全考慮
對於無線通信而言，存在很多共有的基本安全威脅。 一種威脅 是如下可能設備可以偽裝成被授權設備，因此獲得對資源的未授 權訪問。另一種威脅是未授權設備可以接收發送，這可能允許對數 據的未授權公開。又一種威脅是未授權設備可以嘗試對設備進行尋 址並且獲得對資源的未授權使用。其它威脅包括通過使用幹擾來中 斷服務以及中斷數據完整性。
儘管許多方法已經被用來解決一些上述關注問題，但是數據機 密性通常要求在發送之前對數據的某類加密。存在並且可以使用許 多加密算法。例如， 一種流行的加密算法是塊密碼，而塊密碼的一 個例子是高級加密標準(AES)算法。當然，其它加密算法也適合 於加密數據。另外，取代AES塊密碼也可以使用其它塊密碼，比如但不限於Twofish。 AES塊密碼的一個優點在於已經對它進行測試並 且已經證明已知攻擊利用當前技術無法危及加密。另外，AES是公 認的加密標準並且已經被廣泛地採用。因此，被接受的AES安全性 (至少就當前技術而言)使其適合於在需要相對魯棒的安全措施的 設備中使用。具體而言，AES-計數器(AES-CTR)很好地適合於使 用在用流發送數據的無線安全協議中。為了易於討論，下文將描述 128比特的實施，其中可以理解的是，也可以設想其它比特規模的實 施，如192比特或者256比特。
正如所知，AES-CTR使用唯一的每一分組的值(或者控制塊) 對明文淨荷進行加密。在一個實施例中，如圖12中所示，通過使用
32比特臨時數1105、 64比特隨機臨時數1110和針對各控制塊而遞 增的32比特計數器1115來生成128比特控制塊1102。在一個實施 例中，當兩個設備變得關聯時生成臨時數1105,並且通過所希望的 方法來隨機確定(並且通常經由ULIF來提供)隨機臨時數1110, 從而輪詢方設備可以發送它。為了加密數據，將明文淨荷(將要加 密的數據)劃分成128比特的分部
明文(Pt)二Pt(l);Pt(2);…Pt(n)(其中P(n)小於或者等於128比特)
然後，在圖12中所示過程中對每個分部進行加密以形成密文。首先 在步驟1205中確定控制塊(CTRBLK)並且將i設置為等於1。 CTRBLK可以是AES控制塊，下文進一步討論其一個實施例。然後 在步驟1210中，針對Pt(i)確定密文Ct(i)，其中i = 1至n。這是通過 可以是AES算法的加密算法、通過運行作為啟動矢量例子的 CTRBLK以獲得密鑰流、然後將所得密鑰流與分部Pt(i)進行異或來 實現的。接著在步驟1215中，進行校驗以查看"i"是否等於"n"。如 果不是，則在步驟1220中遞增控制塊和"i"(通過遞增計數器2515 來遞增控制塊)並且重複步驟1210。如果"i"等於"n",則在步驟1225 中針對分組的加密過程結束並且然後可以發送密文。應當注意，如
16果最終分部(分部n)少於128比特，則在生成密文時使用的密鑰流 可以在與明文異或之前被截斷。為了保證每一塊都可以被解密，將 隨機臨時數1110與各分組一起發送。由於通常在更高級(例如在基 帶層以上)執行安全功能並且由於將隨機臨時數1110與臨時數1105 和計數器1115—起再用使明文暴露，所以在一個實施例中為每個更 高級分組提供新的隨^/l臨時數1110。應當注意，一^:而言，可以經 由已知過程如隨機數生成器或者經由已知方法如網際網路密鑰交換 (IKE)和IKEv2來提供隨機臨時數如隨機臨時數1110。
儘管用於實施AES-CTR的上述方法相對地安全，但是假設用消 息認證碼來處理認證問題， 一個問題在於，它對相對不頻繁地和以 可能更低數據率來發送數據的設備設定了相對高的負擔。正如可以 認識到的那樣，可以通過使用在基帶層的處理器(其中該處理器可 以是一個或者多個處理器)來提供安全性。然而，就在簡化的模式 下操作的BT-LEE設備而言，對於將隨機臨時數1110與每個更高級 分組一起發送的需要對設備設定了大量負擔並且對於給定的能量存 儲設備而言可能明顯地減少設備的潛在壽命、尤其是如果僅僅數個 數據比特在被發送。另外，允許在基帶級中提供安全性將是有益的， 因為某些BT-LEE設備在上級功能的方式下所需不多。
因此，為了解決這些關注問題，在一個實施例中，隨機臨時數 可以間斷地被發送並被存儲在設備的存儲器中。應當注意，存儲器 可以包括設備上的一個或者多個不同的類型和物理位置，因此除非 另有指明，否則術語存儲器用來一般性地指代設備上的存儲器。在 一個實施例中，控制塊的格式可以如圖13中公開的那樣。該格式包 括用於64比特隨機臨時數的欄位、用於1比特方向指示符的欄位、 用於39比特上級分組計數器的欄位、用於16比特分組計數器(例 如MAC級分組計數器)的欄位和用於8比特塊計數器的欄位。在一 個實施例中，64比特隨機臨時數由輪詢方設備提供，而在由被輪詢 設備接收時，隨機臨時數與被輪詢設備的地址異或。正如可以認識 到的那樣，這允許點到多點通信，因為向不同設備提供的單個隨機臨時數將允許每個設備為隨機臨時數欄位生成可以由輪詢方設備和 被輪詢設備計算的唯一值。
方向(Dir)比特表明分組的行進方向，並且在一個實施例中， 如果源自於輪詢方則可以被設置為1，而如果源自於一個被輪詢設備 則可以被設置為0。上級分組計數器針對在SAR-0時發送的每個分 組(例如針對每個上級分組)而遞增。它也在新臨時數例如在 SESSION—REFRESH PDU中被發送時加以重置。遞增上級分組計數 器重置與上級分組中的下級分組數目對應的分組計數器。分組計數 器在SAR=0時被重置並且針對在SAR不=0時發送的每個分組而遞 增。分組計數器也可以針對被視為子塊的分組而遞增。在一個實施 例中，可以在兩組中提供用於輪詢方設備和被輪詢設備的計數器， 一組用於發送而一組用於接收，從而各組計數器針對來自輪詢方和 被輪詢設備而分開地遞增。可替換地，單組計數器可以用於兩個方 向，從而發送的每個加密數據塊使計數器中的至少一個計數器遞增 一，但是方向比特基於發送或者接收的下一分組來更新。
在每個分組內，塊計數器可以被設置為零，而與零值塊計數器 狀態相關聯的啟動矢量(IV)——(其在塊密碼算法中也稱為控制 塊)可以用來建立完整性校驗值(ICV)。換而言之，可以用ICV/CRC 取代CRC以連同由CRC提供的錯誤校驗一起提供完整性和認證。 用於塊計數器的其餘值1-255可以用來依次地加密128比特的塊中 的明文分部。當然，也可以使用一些其它遞增順序。通過加密算法 (其可以是塊密碼、比如AES塊密碼UO輪))來處理每個後續IV 以形成密鑰流，而該密鑰流與相應的128比特明文異或以創建128 比特密文。因此，如果發送的第一數據是2400比特的明文淨荷，則 將通過一個分組來發送它，並且第一分組將包括19個密文塊(最後 一個塊可能被截斷)。另外，用於在第二分組中加密的最後一個塊 的IV可能具有先前提供的隨機臨時數(如果需要則它可以與64比 特設備地址值異或)，值"O"用於dir比特，值'T，用於上級計數器(其 中上級計數器可以是39比特，值"l"用於分組計數器(其可以是16比特)，而值"19"用於塊計數器(其可以是8比特)。應當注意每 個分組可以被加密或者可以不被加密，然而加密解析度(resolution) 優選地將處於MAC分組級。因此，加密分組之後可以是未加密分組， 而未加密分組的發送將無需遞增計數器的狀態。
因此，當使用上述IV時，對於給定的分組，每個後續128比特 分部將與一開始作為iv (通過各種計數器的適當遞增/重置來確定) 並且通過加密算法來處理的密鑰流異或。應當注意，各種計數器的 遞增可以視需要而定，並且可以例如涉及到在預定模式中添加或者 減去預定值。換而言之，每個計數器可以例如基於發送的分組的數 目和類型以及預定模式來改變狀態。另外，可以調整計數器的大小 以便提供所需要的每MAC級分組的塊數目、每上級分組的MAC分 組數目和上級分組的數目。
因此正如所描述的那樣，對於給定的隨機臨時數值，最大的MAC 層分組大小可以約為2千比特，最大的上級分組大小可以約為1兆 字節，而上級分組的最大數目可以是40億。其它值也是可能的，並 且例如可以根據希望使用的緩存器空間數量來增加MAC層分組的 大小或者將之限於更小的大小。這一系統的一個優點在於由於隨 機臨時數可以存儲於處於通信中的設備的存儲器中，所以隨機臨時 數無需與發送的每個分組一起發送，這減少了發送開銷而又仍然為 每隨機臨時數的大量上級分組提供相對安全的加密。另外，如果隨 機臨時數與設備地址異或，則單個隨機臨時數可以在點到多點發送 中與多個被輪詢設備一起使用。正如可以認識到的那樣，隨著MAC
層分組的上限增加，發送隨機臨時數的開銷變得成比例地增大，而 不將其包括在發送中的這一能力變得更有價值。
儘管大量上級分組可以利用同一隨機臨時數，但是隨機臨時數 也可以隨需而變並且可以如上文討論的那樣藉助 SESSION—REFRESH PDU來傳達。如果通過ULIF層來設置用於會 話的隨機臨時數，則也可以改變隨機臨時數。如果例如丟失分組並 且兩個設備失去同步，則也可以作為錯誤恢復過程的部分來改變隨
19機臨時數。也可以在輪詢設備可能在將組密鑰用於所有設備的情況 下設立一個多點網絡的情形下重置隨機臨時數。正如可以認識到的 那樣，也可以出於包括時間流逝等的其它原因而重置隨才幾臨時數。
儘管利用經測試的算法如AES-CTR的128比特加密為多數應用 提供了可接受級別的加密，但是變型是可能的。例如，192比特加密 對於結合128比特隨機臨時數的所示系統將是可能的，而256比特 加密對於192比特隨機臨時數(或者計數器的大小有適當改變)將 是可能的。更小型且安全性更低的加密也是可能的。例如，如圖13a 中所示，64比特隨機臨時數可以與64比特計數器組進行異或以形成 64比特IV。自然而言，其它變型也是可能的(通過將隨機臨時數的 一部分與計數器的一部分異或)。然而，在計算能力增長的當前趨
勢既定的情況下，並不推薦使用少於64比特。
如上文所言，儘管諸如AES-CTR算法之類的塊密碼算法可以提 供良好的機密性，但是它沒有解決認證和完整性的問題。實際上， 使用有效密文以便偽造讓解密方看起來有效的其它密文被認為是相 對直接簡單的。廣而言之，因此推薦將加密算法與某類認證算法如 HMAC-SHA —起使用。
在一個實施例中，可以在分組中包括附加字節集以使用已知認 證算法來提供分組的認證和完整性。然而在一個替代實施例中，為 了減少字節發送，用來檢測發送錯誤並且可以是CRC16 CCITT算法 的如圖8中所示16比特CRC可以在密文被發送時用也如圖8中所 示基於16比特CRC的消息認證碼或者ICV^來取代以便提供錯誤檢 測和認證的組合而無需增加發送的比特數。
在一個實施例中，可以生成ICVw如下。首先可以在加密算法中 處理具有零值塊計數器的IV以形成第一密鑰流。第一矢量的前兩字 節(兩個最高有效字節)可以用來生成多項式p(x),然而為了改進 錯誤檢測性質，多項式中的一階x可以設置為1。例如
P(x) z pjXS; for Pa2…is， and Pi = 1
因此，前兩字節可以用來提供用於前15比特的值(最高有效比特用於對應的最高有效比特)，1可以用於X、匕特的值，然後前兩字節 的最低有效值可以用於多項式P(X)的X"直。正如可以認識到的那樣， 在基於密鑰流來確定多項式p(x)時的變化是可能的。此外，第一密
鑰流的後兩字節(密鑰流的最低有效字節)可以用作k (將用作一次 性填充)。需要在消息認證碼始發方與驗證方之間^-繪她共享p(x) 和k。然而，如果始發方和驗、i正方可以預先確定第一密鑰流(這之所 以可能是因為可以基於報頭比特和計數器的當前狀態以及預定的狀 態改變模式來確定計數器的下一狀態)，則可以預先計算用於p(x) 和k的值。然後，對於b比特消息B (如上文討論的那樣，它可以 是密文淨荷)，可以使用以下符號表示
將B"Bw,』i，Bo與多項式B(x^S-o B^相關聯， 然後計算
卿《 coef諷x) * xm咖d2 p(幼 從而在將800*滻除以p(x)之後，根據m階餘項多項式獲得m比特(在 本例中m二16)係數串。然後，矢量116被設置等於餘項的係數。用 於消息B的ICV^值是/16異或k。因此，該算法的運算實質上是消 息B與p(x)的二元多項式除法、繼而是所得係數與一次性碼k的異 或，其中p(x)是基於與零值塊計數器相關聯的密鑰流的兩個最高有 效字節，而k是基於與零值塊計數器相關聯的密鑰流的兩個最低有 效字節。當然，也可以使用與一值(one-value)塊計數器相關聯的 密鑰流以提供p(x)和k的值，因為如果連至少部分密文塊也沒有， 則無需ICV^。然而，如果分組沒有被加密(例如安全比特為0), 則無需ICVw,而可以使用普通CRC。
正如可以認識到的那樣，上述計算ICV^的方法允許適度迅速的 計算以便提供及時的ACK/NACK響應。由於上級分組的第一和最後 分組由報頭比特標識，所以可以根據序列中的任何分組來唯一地標 識將與特定對應分組一起使用的下一 IV,並且可以預先確定用於具 有零值計數器塊的IV的密鑰流。因此，如果預先計算p(x)和k，則 可以基本上實時地完成ICV^的計算。正如可以認識到的那樣，視密
21鑰流的大小以及p(x)和k的期望大小而定，密鑰流的不同部分可以 用來生成p(x)和k的值。應當注意，儘管如果認證算法與CRC結合 使用則更強的完整性級別和錯誤檢測級別是可能的，但是通過用 ICV!6來取代CRC所提供的完整性和錯誤檢測級別提供了在防範已 知明文攻擊與千擾和發送錯誤之間的適當權衡同時又將發送功率要 求最小化。
因此，可以用與非加密分組相比最少的開銷來發送加密的數據 PDU。正如所知，可以使用查找表來實現加密算法如AES算法。在 一個實施例中，硬體(HW)模塊也可以用來以已知方式用加密算法 如AES算法來處理IV。因此，可以在晶片上提供安全性而無需高昂 成本或者更高層大量介入。
還應當注意，ICVw使用與上文討論的CRC16 CCITT算法基本 上相同的算法。因此，有可能使用相同邏輯硬體以執行CRC16 CCITT 和ICV^算法的部分。在集成電路中，這允許通過允許算法將同一可 配置CRC塊用於多項式除法來進一步降低硬體複雜性和成本。
此外，為了提供某一錯誤校正級別，可以提供4組不同硬體模 塊以允許同時評價所接收的CRC/ICV。在一個實施例中，每個石更件 模塊可以處理分組計數器有不同值的被接收分組(例如x、 x+l、 x+2 和x+3，其中x等於分組計數器的當前值或者等於當前值減去y—— 其中y是l、 2或者3)。正如可以認識到的那樣，即使已經錯過多 達三個分組，這樣的配置仍將允許設備接收分組。因此，將需要對 隨機臨時數的更少重置，因為兩個設備失去同步的可能性將更低。
加設備的成本，所以它將提供一種減少分組重發和/或隨機臨時數的 成本有效並且高效的方法。自然而言，可以隨需添加更多或者更少 硬體塊。
然而，預期可能需要某一數量的IV重新同步。例如，如果無法 接收加密的分組，則可以經由Session—Refresh控制分組來提供新臨 時數，並且可以重置計數器的狀態。為了提高安全性，可以在輪詢
22方設備進入密探或者功率減少的才莫式之後發送Session—Refresh以便 為臨時數的發送提供更高安全性。
儘管示出了如這裡所述的將本發明的各種方面具體化的示例系
特別是根據前述教導，本領域技術人員可以進行修改。例如，實施 例的各要素可以單獨地或者在與其它實施例的要素的組合或者二次 組合中加以利用。也將認識和理解可以在不脫離本發明的真實精神 和範圍的情況下進行修改。說明書因此將被認為是舉例說明而不是 限制本發明。
權利要求
1. 一種在設備中使用基帶級以經由無線發送來提供安全數據的方法，所述方法包括(a)基於接收的臨時數和計數器狀態來計算用於啟動矢量(IV)的第一個值；(b)使用所述IV以生成第一密鑰流；(c)發送包括用所述第一密鑰流形成的密文的第一分組，其中所述第一分組不包括所述臨時數；(d)基於所述接收的臨時數和第一遞增的計數器狀態來計算所述IV的第二個值；(e)如果成功地接收到所述第一分組，則(i)使用所述IV的所述第二個值以生成第二密鑰流；以及(ii)發送包括通過所述第二密鑰流形成的密文的第二分組，其中所述第二分組不包括所述臨時數；以及(f)如果沒有成功地接收到所述第一分組，則重新同步所述IV。
2，根據權利要求1所述的方法，其中在(a)中接收的臨時數包括與所述設備的地址異或的64比特隨機臨時數，其中所述64比 特隨機臨時數由與所述設備的所述基帶層通信的上級層確定。
3. 根據權利要求1所述的方法，其中(c)中的所述發送還包括(i) 形成完整性校驗值(ICV);以及(ii) 將所述ICV添加到所述分組，所述ICV取代循環冗餘校驗。
4. 根據權利要求3所述的方法，其中所述ICV是基於通過所述 IV的第三個值生成的第三密鑰流。
5. 根據權利要求4所述的方法，其中(i)中的所述形成包括 (1 )基於所述第三密鑰流的兩個最高有效比特，利用多項式執行消息的模2除法，以生成係數矢量；以及(2)將所述係數矢量與所述第三密鑰流的兩個最低有效比特異 或以形成所述ICV。
6. 根據權利要求1所述的方法，其中在(f)中重新同步所述 IV包括，通過無線發送來接收新臨時數並且重置所述計數器狀態。
7. 根據權利要求6所述的方法，其中接收所述新臨時數包括從 輪詢方設備接收用減少的功率發送的信號。
8. 根據權利要求1所述的方法，其中(f)中的所述重新同步所 述IV包括(i) 基於至少一個附加遞增的計數器狀態來計算至少一個附加IV;(ii) 使用所述至少一個附加IV以生成至少一個密鑰流；以及(iii) 發送至少一個附加分組，其中所述至少一個附加分組分別 使用所述至少 一個密鑰流以加密所述分組，以及其中對已經接收到 所述至少 一 個附加分組的確認被用來基於與用於與接收的所述分組 相關聯的所述IV的所述計數器狀態來更新所述計數器的狀態。
9. 根據權利要求1所述的方法，其中所述計數器包括計數器集， 所述計數器集包括塊計數器、分組計數器和上級分組計數器。
10. 根據權利要求9所述的方法，其中所述塊計數器包括8比 特，所述分組計數器包括8比特，而所述上級分組計數器包括39比 特，並且所述計數器集還包括1比特方向計數器。
11. 一種用於安全數據的無線通信的無線電模塊，包括 被配置來發送和接收數據的收發器；以及 被配置來實施媒體訪問控制(MAC)的組件，其中所述組件包括處理器和存儲器，以及其中所述存儲器存儲用於使所述處理器執 行以下步驟的計算機可執行指令(a)從輪詢方設備接收臨時數；(b )基於所述臨時數和計數器狀態集來確定用於啟動矢量(IV ) 的第一個值；(c) 生成與所述IV相關聯的第一密鑰流；(d) 提供用以發送第一分組的指令，所述第一分組包括用所述 第一密鑰流加密的密文；(e) 基於所述接收的臨時數和遞增的計數器狀態集來計算所述 IV的第二個值；(f) 如果成功地接收到所述第一分組，則(i) 使用所述IV的所述第二個值以生成第二密鑰流；以及(ii) 提供用以發送第二分組的指令，所述第二分組包括通 過所述第二密鑰流形成的密文，其中所述第二分組不包括所述 臨時數；以及(g )如果沒有成功地接收到所述第 一分組，則重新同步所述IV。
12. 根據權利要求11所述的無線電模塊，其中(d)中的所述 指令還包括(1) 用完整性校驗值(ICV)取代循環冗餘校驗。
13. 根據權利要求12所述的無線電模塊，其中(i)中用於取代 的指令包括(1 )基於所述IV的第三個值來確定第三密鑰流；以及(2) 基於從所述第三密鑰流中選擇的比特來生成所述ICV，其 中在所述第二密鑰流之前生成所述第三密鑰流。
14. 根據權利要求13所述的無線電模塊，其中(2)中用於生 成的指令是通過基於從所述第三密鑰流中選擇的兩個字節利用多項 式除以所述消息來完成的，以及其中所述除法的商與所述密鑰流的 兩個其它字節異或。
15. 根據權利要求11所述的無線電模塊，其中(f)中重新同步所述IV包括通過無線發送來接收新臨時數並且重置所述計數器狀 太'"、o
16. —種用於在設備中加密明文的安全模塊，所述模塊包括 被配置來在基帶層中用加密算法加密明文的組件，其中所述組件包括處理器和存儲器，其中所述存儲器存儲用於使所述處理器執行以下步驟的計算機可執行指令(a) 基於臨時數和計數器狀態集來計算用於啟動矢量(IV)的 第一個值；(b) 使用所述IV以生成第一密鑰流；(c) 提供用以發送第一分組的指令，所述第一分組包括用所述 第一密鑰流形成的密文，其中所述第一分組不包括所述臨時數；(d) 基於所述接收的臨時數和遞增的計數器狀態來計算所述IV 的第二個值；(e) 如果成功地接收到所述第一分組，則(i) 使用所述IV的所述第二個值以生成第二密鑰流；以及(ii) 提供用以發送第二分組的指令，所述第二分組包括通 過所述第二密鑰流形成的密文，其中所述第二分組不包括所述 臨時數；以及(f) 如果沒有成功地接收到所述第一分組，則重新同步所述IV。
17. 根據權利要求16所述的安全模塊，其中所述存儲器包括用 於使所述處理器執行以下步驟的指令(g) 形成完整性校驗值(ICV);以及(h) 將所述ICV添加到所述第一分組，所述ICV取代循環冗餘校驗。
18. 根據權利要求16所述的安全模塊，其中所述加密算法是在 計數器模式下運行的高級加密標準密碼。
19. 根據權利要求18所述的安全模塊，其中所述組件包括用於 將所述IV變換成所述密鑰流的硬體AES模塊。
20. 根據權利要求16所述的安全模塊，其中(f)中重新同步所 述IV包括通過無線發送來接收新臨時數並且重置所述計數器狀態。
21. —種在基帶級中提供安全無線發送的方法，包括(a)基於接收的臨時數以及第一和第二計數器狀態集來計算第一和第二啟動矢量(iv);(b) 基於用所述第一啟動矢量生成的第一密鑰流來確定第一完 整性校驗值(ICV);(c) 發送第一分組，所述第一分組具有通過用所述第二 IV生 成的第二密鑰流而形成的密文，所述分組包括第一 ICV而省略所述臨時數；(d) 基於所述臨時數以及第三和和第四計數器狀態集來生成第 三和第四IV;(e) 如果接收到所述第一分組，則(i) 基於用所述第三IV生成的第三密鑰流來確定第二 ICV;以及(ii) 發送第二分組，所述第二分組具有以用所述第四IV 生成的第四密鑰流為基礎的密文，其中所述第二分組包括所述 第二 ICV而不包括所述臨時數；以及(f) 如果沒有接收到所述第一分組，則重新同步所述IV。
22. 根據權利要求21所述的方法，其中(c)中的所述發送包括(i)用所述ICV取代循環冗佘校驗(CRC)。
23. 根據權利要求22所述的方法，其中使用用來形成所述CRC 的所述邏輯塊來生成所述ICV。
24. —種無線地接收具有加密淨荷的分組的方法，包括(a)利用以臨時數和在初始狀態下的計數器集為基礎的啟動矢 量(IV)來生成密鑰流，其中所述計數器集中的一個計數器是分組 計數器，而所述計數器集中的另一計數器是塊計數器，其中所述塊 計數器的值是零和一其中之一；(b )基於所述密鑰流來確定所述分組中包括的ICV是否與預期 ICV匹配；(c)如果所述ICV就所述計數器的初始狀態而言與所述預期 ICV匹配，則基於用來形成所述密鑰流的所述IV來遞增所述計數器集的狀態；以及(d)如果所述ICV不與所述預期ICV匹配，則重新同步所述IV。
25. 根據權利要求24所述的方法，其中所述密鑰流是第一密鑰 流，而(a)中的所述生成提供多個密鑰流，其中每個密鑰流是基於 所述分組計數器的遞增值，以及其中(b)中的所述確定使用所述多 個密鑰流中的每個密鑰流來校-驗來自所述接收的分組的所述ICV。
26. 根據權利要求25所述的方法，其中(b)中的所述確定以 並行方式來完成以便允許用所述多個密鑰流中的每個密鑰流來基本 上實時校驗所述ICV。
全文摘要
公開一種用以在基帶層提供安全性的無線通信模塊。明文淨荷可以劃分成分部。該模塊可以使用塊密碼如高級加密標準(AES)算法以處理用於各分部的唯一啟動矢量(IV)，以使各分部可以與基於相應IV的密鑰流異或，結果提供密文。IV可以包括臨時數、上級分組計數器、分組計數器和塊計數器。計數器的狀態可以按預確定模式遞增以便提供用於與各分部一起使用的唯一IV。可以在具有表明淨荷被加密的安全比特、但是省略臨時數的分組中發送密文。加密的分組可以包括完整性校驗值(ICV)用以提供加密消息的完整性。
文檔編號H04L9/06GK101502040SQ200780030137
公開日2009年8月5日 申請日期2007年7月27日 優先權日2006年8月15日
發明者A·拉佩特萊南, J·E·埃克伯格 申請人:諾基亞公司