被配置成導(dǎo)出共享密鑰的網(wǎng)絡(luò)設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及第一網(wǎng)絡(luò)設(shè)備�,其被配置成從多項(xiàng)式和第二網(wǎng)絡(luò)設(shè)備的身份號確定與 第二網(wǎng)絡(luò)設(shè)備共享的有密鑰長度個比特的共享密碼密鑰���,第一網(wǎng)絡(luò)設(shè)備包括多項(xiàng)式操縱 (manipulate)設(shè)備�����,它被配置成對身份號施加多項(xiàng)式�����。
【背景技術(shù)】
[0002] 倘若通信網(wǎng)絡(luò)包括多個網(wǎng)絡(luò)設(shè)備����,則在成對的這樣的網(wǎng)絡(luò)設(shè)備之間設(shè)立安全連接 是一個問題����。在C.Blundo、A.DeSantis�����、A.Herzberg���、S.Kutten�����、U.Vaccaro和M. Yung的"Perfectly-SecureKeydistributionforDynamicConferences'���,�����,Springer LectureNotesinMathematics,Vol. 740���,pp. 471-486,1993 (被稱作 "Blundo")中 描述了一種實(shí)現(xiàn)此的方式���。
[0003] 它假定了中心管理機(jī)構(gòu)���,也被稱作網(wǎng)絡(luò)管理機(jī)構(gòu)或可信第三方(TTP),其生成對稱 雙變量多項(xiàng)式f(x���,y)����,令系數(shù)在具有P個元素的有限域F中�����,其中p是質(zhì)數(shù)或質(zhì)數(shù)的冪。每 個設(shè)備具有在F中的身份號��,并且由TTP為每個設(shè)備提供本地密鑰素材����。對于具有標(biāo)識符 n的設(shè)備����,本地密鑰素材是多項(xiàng)式f(n,y)的系數(shù)�����。
[0004] 如果設(shè)備n希望與設(shè)備n'通信����,它就使用它的密鑰素材生成密鑰K(n,n') =f(n���,n')��。由于f是對稱的����,所以生成相同的密鑰。
[0005] 在與本專利申請相同的申請人的題為"KEYSHARINGDEVICEANDSYSTEMFOR CONFIGURATIONTHEREOF"的專利申請中�,給出了一種改進(jìn)的配置網(wǎng)絡(luò)設(shè)備以用于密鑰共享 的方法。該專利申請具有申請?zhí)?1/740488和提交日2012年12月21日(通過引用被合并 于此)�,并且將被稱作"配置申請"。
[0006] 在多個網(wǎng)絡(luò)設(shè)備的集合中��,每個網(wǎng)絡(luò)設(shè)備具有它自己的唯一身份號和本地密鑰素 材����。本地素材已從秘密多項(xiàng)式導(dǎo)出;后者通常是雙變量多項(xiàng)式�。在配置申請中,說明了可以 如何挑選秘密多項(xiàng)式來獲得對某些攻擊的較高抵抗���。一種這樣的攻擊具體是共謀攻擊���,其 中多個網(wǎng)絡(luò)設(shè)備嘗試重構(gòu)該秘密多項(xiàng)式。
[0007] 網(wǎng)絡(luò)設(shè)備需要做些工作來建立共享密鑰��。例如���,考慮一對網(wǎng)絡(luò)設(shè)備�����,每個網(wǎng)絡(luò)設(shè)備 接收到為它們而從秘密雙變量多項(xiàng)式獲得的單變量多項(xiàng)式�。當(dāng)兩個網(wǎng)絡(luò)設(shè)備需要在它們之 間建立密碼密鑰時,它們獲得另一設(shè)備的身份號并將該身份號與它們的本地密鑰素材組合 以獲得共享密鑰�。
[0008] -種導(dǎo)出共享密鑰的方式是針對其中的每個網(wǎng)絡(luò)設(shè)備將另一網(wǎng)絡(luò)設(shè)備的身份號 代入該網(wǎng)絡(luò)設(shè)備的單變量多項(xiàng)式,將代入的結(jié)果對公共模數(shù)取模歸約(reduce)���,然后接著 對密鑰模數(shù)取模歸約。密鑰模數(shù)是2的冪��,冪的指數(shù)至少是密鑰長度�。
[0009]因此,在朝向獲得共享密鑰的第一步中���,網(wǎng)絡(luò)設(shè)備可能必須在特定的點(diǎn)實(shí)施多項(xiàng) 式評估����,接著是兩次歸約�。
【發(fā)明內(nèi)容】
[0010] 將會有利的是具有一種改進(jìn)的被配置成確定共享密碼密鑰的網(wǎng)絡(luò)設(shè)備,其要求更 少的資源一一例如時間和/或存儲資源一一來獲得共享密鑰����。
[0011] 提供了一種第一網(wǎng)絡(luò)設(shè)備,其被配置成從多項(xiàng)式和第二網(wǎng)絡(luò)設(shè)備的身份號來確定 與第二網(wǎng)絡(luò)設(shè)備共享的有密鑰長度(A)個比特的共享密碼密鑰���。所述多項(xiàng)式具有多個項(xiàng)���, 每一項(xiàng)與不同的次數(shù)和系數(shù)相關(guān)聯(lián)��。所述第一網(wǎng)絡(luò)設(shè)備包括:電子存儲裝置���、接收機(jī)、多項(xiàng) 式操縱設(shè)備和密鑰導(dǎo)出設(shè)備��。
[0012] 電子存儲裝置被配置用于存儲針對第一網(wǎng)絡(luò)設(shè)備的本地密鑰素材���,所述本地密鑰 素材包括多項(xiàng)式的表示以用于稍后的由第一網(wǎng)絡(luò)設(shè)備進(jìn)行的評估��。
[0013] 接收機(jī)被配置用于獲得第二網(wǎng)絡(luò)設(shè)備的身份號�����,所述第二網(wǎng)絡(luò)設(shè)備與所述第一網(wǎng) 絡(luò)設(shè)備不同�。
[0014] 多項(xiàng)式操縱設(shè)備被配置成根據(jù)歸約算法對身份號施加多項(xiàng)式�。
[0015] 密鑰導(dǎo)出設(shè)備被配置用于從歸約結(jié)果中導(dǎo)出共享密鑰。
[0016] 歸約算法包括在多項(xiàng)式的項(xiàng)上的迭代���。至少一個迭代包括第一乘法和第二乘法��。 所述至少一個迭代與多項(xiàng)式的具體項(xiàng)相關(guān)聯(lián)��。
[0017] 第一乘法是在身份號與從多項(xiàng)式的表示獲得的具體項(xiàng)的系數(shù)的最低有效部分之 間�,所述系數(shù)的最低有效部分由所述具體項(xiàng)的系數(shù)的密鑰長度個最低有效比特形成。
[0018] 第二乘法是在身份號與從多項(xiàng)式的表示獲得的具體項(xiàng)的系數(shù)的另外部分之間��,所 述系數(shù)的另外部分由所述具體項(xiàng)的系數(shù)的不同于所述密鑰長度個最低有效比特的比特形 成�,所述另外部分和所述最低有效部分一起形成比在多項(xiàng)式的具體項(xiàng)的系數(shù)中嚴(yán)格地更少 的比特。
[0019] 第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備可以是移動設(shè)備��,比如移動電話���、計(jì)算機(jī)等等。在具 體的有利的實(shí)施例中����,網(wǎng)絡(luò)設(shè)備是照明設(shè)備,比如照明器�����。共享密鑰可以被使用來傳達(dá)與燈 的狀況有關(guān)的信息和/或向燈傳輸操作命令�����,比如說將燈開啟或關(guān)閉??梢杂霉蚕砻荑€對 通信加密。
[0020] 除了在要求安全通信的潛在地較大的照明網(wǎng)絡(luò)中的密鑰建立之外���,本發(fā)明還可以 應(yīng)用于要求設(shè)備對之間的安全通信的任何類型的通信網(wǎng)絡(luò)�。
[0021] 網(wǎng)絡(luò)設(shè)備可以是配備有電子通信和計(jì)算手段的電子設(shè)備��。網(wǎng)絡(luò)設(shè)備可以例如以 RFID標(biāo)簽的形式被附著到任何非電子對象�。例如,這種方法將適合于"物聯(lián)網(wǎng)(internet ofthings)"���。例如���,物體,特別是低成本物體���,可以配備有無線電標(biāo)簽�����,通過無線電標(biāo)簽它 們可以通信���,例如可以被識別����?��?梢酝ㄟ^諸如計(jì)算機(jī)這樣的電子手段對這樣的物體編目錄���。 被盜或損壞的項(xiàng)目將容易地被跟蹤和定位。一個特別有前途的應(yīng)用是包括被配置成確定共 享密鑰的網(wǎng)絡(luò)設(shè)備的照明器�����。這樣的照明器可以安全地傳達(dá)其狀態(tài)��;這樣的照明器可以被 安全地控制�,例如開啟和/或關(guān)閉����。網(wǎng)絡(luò)設(shè)備可以是多個網(wǎng)絡(luò)設(shè)備之一,所述多個網(wǎng)絡(luò)設(shè)備 各自包括用于發(fā)送和接收身份號以及用于發(fā)送電子狀態(tài)消息的電子通信器�,并且各自包括 被配置用于遵循根據(jù)本發(fā)明的方法來導(dǎo)出共享密鑰的集成電路。
[0022] 在實(shí)施例中��,本發(fā)明的方法可以被用作針對諸如IPSec���、(D)TLS����、HIP或ZigBee這 樣的安全性協(xié)議的密碼方法。具體地����,使用這些協(xié)議之一的設(shè)備與標(biāo)識符相關(guān)聯(lián)。希望與 第一設(shè)備通信的第二設(shè)備可以生成與給出其標(biāo)識符的第一設(shè)備的共有的成對密鑰�,并且成 對密鑰(或利用例如密鑰導(dǎo)出功能由此導(dǎo)出的密鑰)可以用在基于預(yù)先共享的密鑰的以上 協(xié)議的方法中。具體地����,如本發(fā)明中限定的設(shè)備的標(biāo)識符可以是網(wǎng)絡(luò)地址,比如ZigBee短 地址�、IP地址或主機(jī)標(biāo)識符。標(biāo)識符還可以是設(shè)備的IEEE地址或與設(shè)備相關(guān)聯(lián)的私有比 特串�,以使得設(shè)備在制造期間接收與IEEE地址相關(guān)聯(lián)的某種本地建鑰(keying)素材。
[0023] 導(dǎo)出共享密鑰可被使用于許多應(yīng)用�。典型地,共享密鑰將是密碼對稱密鑰���。對稱 密鑰可被使用于保密����,例如可以用對稱密鑰來加密外出的或進(jìn)入的消息。只有可訪問身份 號和兩個本地密鑰素材之一這兩者(或訪問根密鑰素材)的設(shè)備才能夠解密通信��。對稱密鑰 可被使用于認(rèn)證���,例如�,可以用對稱密鑰來認(rèn)證外出的或進(jìn)入的消息���。按照這種方式�����,可以 證實(shí)消息的來源���。只有可訪問身份號和兩個本地密鑰素材之一這兩者(或訪問根密鑰素材) 的設(shè)備才能夠創(chuàng)建經(jīng)認(rèn)證的消息。
[0024] 網(wǎng)絡(luò)設(shè)備可以被配置用于通過網(wǎng)絡(luò)管理機(jī)構(gòu)(例如可信第三方)的密鑰共享����。網(wǎng)絡(luò) 管理機(jī)構(gòu)可以從另一個源獲得所需的素材����,例如根密鑰素材,但是也可以自己生成該素材�����。 例如,可以生成公共模數(shù)���。如果網(wǎng)絡(luò)管理機(jī)構(gòu)使用配置申請中描述的方法之一����,則網(wǎng)絡(luò)管理 機(jī)構(gòu)可以生成私有模數(shù)�����,即使公共模數(shù)是系統(tǒng)參數(shù)并且被接收到�。
〇0表示多項(xiàng)式的與本地密鑰素材相對應(yīng)的次數(shù),并且A表示密鑰長度����。例如,在實(shí)施例中 況=- 1�。用于稍后挑選的模運(yùn)算可以被特別高效地實(shí)現(xiàn)。具有固定的公共模數(shù)的 優(yōu)點(diǎn)在于:它不需要被傳達(dá)給網(wǎng)絡(luò)設(shè)備��,而是可以與例如網(wǎng)絡(luò)設(shè)備的系統(tǒng)軟件整合�����。
[0026] 可以依賴于安全性要求和可用的資源來挑選密鑰長度(A)個比特。對于普通安全 性����,128比特就可以足夠,對于高安全性���,256或者甚至更高是合理的�,對于低安全性��,80或 者甚至64是合理的���。網(wǎng)絡(luò)設(shè)備的身份號小于2的密鑰長度次冪�����。
[0027] 對于每個網(wǎng)絡(luò)設(shè)備�����,由網(wǎng)絡(luò)管理機(jī)構(gòu)生成與本地密鑰素材相對應(yīng)的多項(xiàng)式����。典型 地�����,多項(xiàng)式是單變量的并且是從雙變量根多項(xiàng)式導(dǎo)出的��。如果根多項(xiàng)式是多變量的��,具有比 如說k個變量�。則網(wǎng)絡(luò)設(shè)備需要接收k-1個不同的身份號來導(dǎo)出在k個設(shè)備之間共享的密 鑰。將接收到的k-1個不同身份號代入網(wǎng)絡(luò)設(shè)備中所表示的多項(xiàng)式的變量�����。情形k=2對應(yīng) 于兩個設(shè)備之間的密鑰共享����。
[0028] 有意思的是,網(wǎng)絡(luò)設(shè)備中用于多項(xiàng)式評估的多項(xiàng)式表示可以是有損的��,S卩����,因?yàn)楸?示了過少的信息而不能從該表示中構(gòu)造多項(xiàng)式。例如��,對于多項(xiàng)式的至少一個系數(shù),某組比 特 比如說"中間字"���,即��,不是最尚有效字����,也不是最低有效字 可以被省去�����,即����,不被 存儲在該表示中。例如�����,對于多項(xiàng)式的常數(shù)項(xiàng)����,僅需要記錄最低有效字。字是密鑰長度個比 特長的�����。例如,網(wǎng)絡(luò)管理機(jī)構(gòu)可以在生成本地多項(xiàng)式之后實(shí)施以下步驟:針對每個系數(shù)選擇 另外的部分���,比如說供在第二乘法中使用的最高有效部分,以及供在第一乘法中使用的最 低有效部分����。對于至少一個系數(shù),所述另外的部分和最低有效部分具有比對應(yīng)的項(xiàng)的系數(shù) 嚴(yán)格地更少的比特��。對于每個系數(shù)��,所述另外的部分和最低有效部分被存儲在本地密鑰素 材中��。優(yōu)選地����,系數(shù)的中間部分,即���,在最高有效部分和最低有效部分之間的部分���,不被存儲 在本地密鑰素材中����。本地密鑰素材被存儲在網(wǎng)絡(luò)設(shè)備處�����。
[0029] 第二網(wǎng)絡(luò)設(shè)備的身份號可以以電子和數(shù)字的形式被接收��,比如說作為二進(jìn)制比特 串被接收�����。第二網(wǎng)絡(luò)設(shè)備的身份號與第一網(wǎng)絡(luò)設(shè)備的身份號不同����。
[0030] 多項(xiàng)式操縱設(shè)備被配置成根據(jù)歸約算法對身份號施加多項(xiàng)式。所述歸約算法被配 置為使得它取得歸約結(jié)果���,所述歸約結(jié)果對應(yīng)于以下操作的結(jié)果��,即:將第二網(wǎng)絡(luò)設(shè)備的身 份號代入多項(xiàng)式���,并將代入的結(jié)果對公共模數(shù)取模歸約,接著對密鑰模數(shù)取模歸約�����,密鑰模 數(shù)是2的冪,冪的指數(shù)至少是密鑰長度�����。
[0031]在實(shí)施例中���,公共模數(shù)等于2的指數(shù)冪加上偏移,其中所述指數(shù)是密鑰 長度的倍數(shù)�,并且其中所述偏移的絕對值小于2的密鑰長度次冪,多項(xiàng)式的每個系數(shù)小于 公共模數(shù)��。特別有利的是減去偏移1��。在這種情況下�����,模N運(yùn)算歸約為相加(如以下說明的)��。
[0032] 有意思的是�,在實(shí)施例中,每個迭代具有第一乘法和第二乘法�。第一乘法是在接收 到的身份號與該項(xiàng)的系數(shù)的