密鑰共享網(wǎng)絡設備及其配置的制作方法
【專利說明】密鑰共享網(wǎng)絡設備及其配置 技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及一種配置用于密鑰共享的網(wǎng)絡設備的方法,該方法包括生成對于該網(wǎng) 絡設備的本地密鑰材料,其包括以電子形式獲取對于該網(wǎng)絡設備的身份號�����,使用多項式操 縱設備通過將身份號代入二元多項式來根據(jù)該二元多項式確定一元多項式�����,并且在該網(wǎng)絡 設備處電子地存儲所生成的本地密鑰材料�����。
[0002] 本發(fā)明進一步涉及一種用于第一網(wǎng)絡設備確定共享密鑰的方法�����,所述密鑰是密碼 學密鑰���,所述方法包括:以電子形式獲取對于第一網(wǎng)絡設備的本地密鑰材料,所述本地密鑰 材料包括一元多項式�����;獲取對于第二網(wǎng)絡設備的身份號�����,第二網(wǎng)絡設備與第一網(wǎng)絡設備不 同;將第二網(wǎng)絡設備的身份號代入該一元多項式并且據(jù)此導出共享密鑰�����。
[0003] 本發(fā)明進一步涉及用于配置用于密鑰共享的網(wǎng)絡設備的系統(tǒng)和被配置成確定共 享密鑰的網(wǎng)絡設備��。 【背景技術(shù)】
[0004] SONG⑶0等人的文章:"用于在傳感器網(wǎng)絡中建立成對密鑰的基于置換的多 元多項式方案(A Permutation-Based Multi-Polynomial Scheme for Pairwise Key Establishment in Sensor Network)^, COMMUNICATIONS (ICC), 2010 IEEE INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ(新澤西)����,美國,2010 年 5 月 23 日(2010-05-23)��, 第1-5頁中公開了現(xiàn)有技術(shù)的解決方案���。
[0005] 考慮包括多個網(wǎng)絡設備的通信網(wǎng)絡�,在這樣的網(wǎng)絡設備對之間設立安全連接是個 問題����。解決該問題的一種方式在 C. Blundo、A. De Santis���、A. Herzberg��、S. Kutten�����、 U. Vaccaro和M. Yung的"用于動態(tài)會議的極度安全的密鑰分發(fā)(Perfectly-Secure Key distribution for Dynamic Conferences)''�����,Springer Lecture Notes in Mathematics, 卷740,第471-486頁��,1993年(被稱為"Blundo")中描述���。
[0006] 假設中央機構(gòu)(也被稱為網(wǎng)絡機構(gòu)或者可信第三方(TTP))生成對稱二元多項式 f (X�����,y)���,其具有在含有p個元素的有限域F中的系數(shù),其中p是質(zhì)數(shù)或者是質(zhì)數(shù)的冪����。每個 設備具有在F中的身份號��,并且由TTP向每個設備提供本地密鑰材料。對于具有標識符Tl 的設備���,本地密鑰材料是多項式f( n���,y)的系數(shù)。
[0007] 如果設備η希望與設備η'通信�����,則它使用它的密鑰材料來生成密鑰K (η���,η' )=f(n���,η')。因為f是對稱的�����,所以生成相同的密鑰����。
[0008] 如果攻擊者知道t+i或者更多設備的密鑰材料,則這種密鑰共享方案的問題出 現(xiàn)�����,其中t是二元多項式的次數(shù)。攻擊者可以隨后重建多項式f(x���,y)����。此時�����,系統(tǒng)的安全性 被完全破壞了�。考慮任何兩個設備的身份號����,攻擊者可以重建在該對設備之間共享的密鑰。
【發(fā)明內(nèi)容】
[0009] 具有一種用于建立兩個網(wǎng)絡設備之間的共享密鑰的改進方法將是有利的��。本發(fā)明 由獨立權(quán)利要求限定���;從屬權(quán)利要求限定有利的實施例�。提供了一種配置用于密鑰共享的 網(wǎng)絡設備的方法和一種用于使網(wǎng)絡設備確定所共享的密鑰的方法�。
[0010] 配置用于密鑰共享的網(wǎng)絡設備的方法包括以電子形式獲取至少兩個參數(shù)集����,參數(shù) 集包括私有模數(shù)(modulus)����、公共模數(shù)和具有整數(shù)系數(shù)的二元多項式����,公共模數(shù)的二進制表 示和私有模數(shù)的二進制表示至少在密鑰長度連續(xù)比特上是相同,生成對于網(wǎng)絡設備的本地 密鑰材料包括�,以電子形式獲取對于網(wǎng)絡設備的身份號并且對于所述至少兩個參數(shù)集中的 每個參數(shù)集通過以下步驟來獲取相對應的一元多項式:使用多項式操縱設備通過將身份號 代入所述二元多項式來根據(jù)該參數(shù)集的二元多項式確定一元多項式并且對代入的結(jié)果模 (modulo)該參數(shù)集的私有模數(shù)進行歸約(reduction),以及在網(wǎng)絡設備處電子存儲所生成 的本地密鑰材料�����,所生成的本地密鑰材料包括每個參數(shù)集的公共模數(shù)和每個參數(shù)集的相對 應的一元多項式��。
[0011] 用于第一網(wǎng)絡設備確定共享密鑰(所述密鑰是密碼學密鑰)的方法包括:以電子 形式獲取對于第一網(wǎng)絡設備的本地密鑰材料�����,所述本地密鑰材料包括至少兩個可選地混淆 一元多項式和相對應的公共模數(shù)�,獲取對于第二網(wǎng)絡設備的身份號,第二網(wǎng)絡設備與第一 網(wǎng)絡設備不同��,對于所述至少兩個可選混淆一元多項式中的每個而言:將第二網(wǎng)絡設備的 身份號代入所述一元多項式中,對代入的結(jié)果模相應于所述一元多項式的公共模數(shù)進行歸 約���,將歸約模公共模數(shù)的結(jié)果加到一起����,對模密鑰模數(shù)進行歸約����,以及根據(jù)歸約模所述密鑰 模數(shù)的結(jié)果來導出共享密鑰。
[0012] 在實施例中����,所述方法包括對代入結(jié)果模公共模數(shù)進行歸約,將結(jié)果除以2的冪 并且歸約模密鑰模數(shù)��。
[0013] 多個網(wǎng)絡設備中的任何兩個網(wǎng)絡設備的對能夠采用很少資源來協(xié)商共享密鑰����,所 述多個網(wǎng)絡設備中的每個網(wǎng)絡設備具有身份號和針對該身份號生成的本地密鑰材料。兩個 網(wǎng)絡設備僅需要交換它們的身份號(這不需要被保密)并且執(zhí)行多項式計算�����。計算的類型無 需要求大的計算資源���,這意味著該方法適合于低成本���、高容量類型的應用����。
[0014] 已經(jīng)從根密鑰材料中的共同多項式中獲取了本地密鑰材料�����;這允許一對網(wǎng)絡設備 中的兩個網(wǎng)絡設備獲取相同的共享密鑰�����。如果所有的二元多項式都是對稱的�����,那么任何兩 個網(wǎng)絡設備都可以導出共同的多項式����。如果一些或者所有二元多項式是不對稱的�,則一些 設備對可以導出共享密鑰,而一些對則不能導出共享密鑰����。
[0015] 從參數(shù)集中(特別是從多個不同公共模數(shù)和多個二元多項式中)導出本地密鑰材 料�。所產(chǎn)生的本地密鑰材料包括多個����、典型不同的一元多項式,每個一元多項式具有相對應 的公共模數(shù)����。
[0016] 如果使用了僅僅一個參數(shù)集,那么網(wǎng)絡設備被提供有多項式的系數(shù)�,使得通過估 計該多項式模N并且取b比特,該網(wǎng)絡設備能夠生成與任何其他設備的b比特密鑰��。這關(guān) 于所謂的噪聲多項式插值問題���,即�,通過具有那些b比特密鑰中的許多b比特密鑰���,攻擊者 可能能夠恢復給定的�、受攻擊的實體的多項式��。
[0017] 例如,面向單個參數(shù)集系統(tǒng)的攻擊可以通過以下2個步驟來得到那些b比特值:攻 擊者損害與N_c密鑰材料相關(guān)聯(lián)的N_c設備�����,并且攻擊者使用那些N_c密鑰材料來獲取N_ c的b比特密鑰(通過以受攻擊的設備的標識符來估計每個密鑰材料)��。這意味著對于噪聲 多項式插值問題做出的進展可以擴展至對于單個參數(shù)集系統(tǒng)的攻擊�。這被認為是不合期望 的。
[0018] 具有多個參數(shù)集�����,通過在設備上以及在本地密鑰生成期間混合模操作來避免這個 問題�。
[0019] 在一對設備A和B之間共享的共同密鑰Kab作為至少兩個(一般地����,m'個)子密鑰 的加法(即,心8 = /αβ +私)而被獲取��。每個子密鑰根據(jù)不同密鑰材料(其中��,通過以 公共模數(shù)Ni為模執(zhí)行模操作)而生成�。因為在本地密鑰生成期間以及在共享密鑰生成期間 混合模操作,所以不可能將噪聲多項式插值攻擊擴展到密碼系統(tǒng)��。即使攻擊者能夠得到N_ c的b比特密鑰,每個N_c的b比特密鑰也是從兩個子密鑰中導出的����,每個子密鑰來自不同 密鑰材料的估計。但是攻擊者將不能區(qū)分子密鑰�,使得攻擊者不能恢復受攻擊的設備的這 兩個(一般是m'個)密鑰材料。
[0020] 存在對于設備的攻擊的兩種級別的嚴重性����。在較低的嚴重性中,攻擊者僅僅能夠 得到許多共同的共享密鑰���。在較高的嚴重性中����,攻擊者能夠得到許多本地密鑰材料�����。其結(jié) 果是�,在網(wǎng)絡設備處混合模操作是針對較低嚴重性的攻擊的很好的對抗手段。然而����,如果攻 擊者有權(quán)訪問密鑰材料本身,那么他也有權(quán)訪問子密鑰。
[0021] 通過向設備的兩個密鑰材料加入噪聲來避免后者的問題�����。向本地密鑰材料加入混 淆數(shù)干擾了在本地密鑰材料和根密鑰材料之間的關(guān)系���。將存在于未被混淆的一元多項式和 (對稱的)二元多項式之間的關(guān)系將不再存在��。這意味著對于這樣的方案����,直接的攻擊不再 起作用�。
[0022] 有趣的是,通過向設備的兩個密鑰材料加入噪聲以使得噪聲的相加等于零模2b����, 進一步改進了系統(tǒng)�。在該情況下:所生成的密鑰依然是有噪聲的,因此����,攻擊者不能使用它 們來恢復受攻擊的設備的密鑰材料共享;而為了移除噪聲�����,攻擊者必須加它們,但是隨后他 具有如上文的加后的值�,并且不能在源自每個密鑰材料的分量之間進行區(qū)分。這種技術(shù)可 以容易地推廣到任何數(shù)量的密鑰材料���。條件也可以被擴展��,以確保噪聲等于并不位于最低 有效比特而是位于其他位置的b比特中的零�����。
[0023] 在實施例中����,每個參數(shù)集中的所有公共模數(shù)的二進制表示和私有模數(shù)的二進制表 示至少在密鑰長度(b )的連續(xù)比特上是相同的�。注意,可以使用多個私有模數(shù)�����,可以選取這 些私有模數(shù)以使得公共模數(shù)的多個私有模數(shù)中的任一個的二進制表示和該私有模數(shù)的二 進制表示至少在密鑰長度(b)的連續(xù)比特上是相同的�。對于所述多個私有模數(shù)a的每個私 有模數(shù)而言,選取具有整數(shù)系數(shù)的可選地對稱的二元多項式��,以獲取多個并且可選地對稱 的二元多項式。
[0024] 因為本地密鑰材料的導出使用不同于公共模數(shù)的私有模數(shù)��,所以在比如單個有限 域中起作用時將存在的數(shù)學關(guān)系被干擾����。這意味著用于分析多項式的常規(guī)數(shù)學工具(例如, 有限代數(shù))不再適用����。攻擊者最多可以使用少得多的有效結(jié)構(gòu),諸如格子(lattice)��。此外�, 當導出共享密鑰時,在常規(guī)的數(shù)學意義上不兼容的兩個模操作被組合�;所以在兩個地方避 免了數(shù)學結(jié)構(gòu)。該方法允許直接的成對密鑰的生成并且對于捕獲極大量的網(wǎng)絡設備(例如����, ΚΓ5級別的或者甚至更多)是有彈性的�。另一方面,因為私有模式和公共模數(shù)在若干連續(xù) 比特上重疊�,所以具有本地密鑰材料的兩個網(wǎng)絡設備很可能能夠?qū)С鱿嗤墓蚕砻荑€。
[0025] 本發(fā)明人特別意識到�,公共模數(shù)不需要是質(zhì)數(shù)�。在實施例中��,公共模數(shù)是合成的�。 同樣,沒有理由公共模數(shù)在其二進制表示中應該是"全一"的比特數(shù)����,例如僅僅由"1"的比 特組成的數(shù)。在實施例中���,公共模數(shù)不是2的冪減去1���。在實施例中,公共模數(shù)的二進制表 示包括至少一個零比特(不算第一位的零�����,即���,公共模數(shù)的二進制表示包括低于該公共模數(shù) 的最高有效比特的至少一個零比特)����。在實施例中�,公共模數(shù)是2的冪減1并且是合成的����。
[0026] 在實施例中�,一個或者多個參數(shù)集的公共模數(shù)大于一個或者多個私有模數(shù)。
[0027] 在實施例中��,公共模數(shù)減私有模數(shù)的二