r>[0050] 雖然所使用的混淆很大地增大了對于攻擊的彈性����,特別是對于其中多個本地密鑰 材料被組合的共謀攻擊的彈性�,但是它具有潛在的缺陷����。有時,由第一網(wǎng)絡設備所導出的共 享密鑰的所有比特并非與由第二網(wǎng)絡設備所導出的共享密鑰的所有比特完全相同�����。這主要 是因為在混淆系數(shù)加入之后進位的比特的誤匹配導致的���。另一個原因是缺少如下效果���,BP : 在密鑰生成期間的影響所生成的進位比特的每個私有模數(shù)的模效果。雖然麻煩��,但是這個 缺陷可以以各種方式來解決�����。通過更小心地選取混淆���,差異的可能性��,并且特別是很大差異 的可能性可以被顯著地減小�。此外����,發(fā)現(xiàn)的是,差異(如果存在的話)很可能位于所生成的密 鑰的最低有效比特中�。所以通過移除最低有效比特中的一個比特或者多個比特,可以增大 完全相同的共享密鑰的可能性���。例如����,在確定共享密鑰的方法的實施例中��,其包括確定第一 網(wǎng)絡設備和第二網(wǎng)絡設備是否導出了相同的共享密鑰��,并且如果沒有�,則根據(jù)對模密鑰模 數(shù)進行歸約的結果來導出另外的共享密鑰?��?梢詫С隽硗獾墓蚕砻荑€�,直到發(fā)現(xiàn)兩側都相 等為止���。如果在共享密鑰中保持有低于閾值數(shù)量的比特�,則方法可以終止。對于一些應用而 言����,僅僅可以接受的是,一定百分比的網(wǎng)絡設備不能進行通信�����。例如���,在消息可以沿著各種 路徑路由的移動自組網(wǎng)無線網(wǎng)絡中�����,如果一些網(wǎng)絡設備不能通信�����,則不存在連通性的損失���。
[0051] 在實施例中,移除了共享密鑰的若干最低有效比特;例如���,所移除的比特數(shù)量可以 是1�����、2或者更多、4或者更多����、8或者更多、16或者更多����、32或者更多、64或者更多�。通過移 除更多的最低有效比特,具有不相等的密鑰的幾率降低了�����;特別是�,其可以被降低到任何期 望的閾值。共享密鑰相等的幾率可以通過遵循數(shù)學關系來計算���,其也可通過實驗來確定����。
[0052] 此外,可以控制混淆數(shù)的選擇����,在實施例中,對于相應于較高次數(shù)的單項式的系數(shù) 而言��,從其選取混淆數(shù)的范圍減小�����。特別地���,可以要求I < f a+1�����,其中h,i表示對 于第i個單項式的混淆數(shù)��,i表示相應于系數(shù)的單項式的次數(shù)����,a表示二元多項式的次數(shù)并 且b表示密鑰長度。A表示為其生成本地密鑰材料的網(wǎng)絡設備�。在實施例中,為每個系數(shù)生 成混淆數(shù)(例如通過使用以上公式)���?��?梢詫Σ煌木W(wǎng)絡設備應用不同的混淆。例如�����,即使 存在3個或者更多個網(wǎng)絡設備�,那么對于每個網(wǎng)絡設備���,也可以生成不同的混淆數(shù)��。
[0053] 注意���,混淆數(shù)可以被限制為正數(shù),但是這不是必需的�����,混淆數(shù)可以是負的。在實施 例中�����,通過使用隨機數(shù)發(fā)生器生成混淆數(shù)��。多個混淆數(shù)可以被生成并且與一元多項式的系 數(shù)相加以獲取混淆的一元多項式����。一元多項式中的一個或者多個(優(yōu)選地,甚至所有)系數(shù) 可以以這種方式而被混淆�����。
[0054] 網(wǎng)絡設備的身份號中的比特數(shù)量通常被選取為小于或者等于密鑰長度��。身份號可 以是比特串�,比如32或者64或者更長的比特串。密鑰長度可以是32或者更長�、48或者更 長、64或者更長�、96或者更長、128或者更長���、256或者更長�����。密鑰長度可以被選取為要更長 幾個比特���,以便減少所確定的共享密鑰的相應的最低有效比特的數(shù)量��。另一方面�,在實施例 中�����,身份號的長度長于密鑰長度���。在該情況下,模操作的效果可以對所生成的密鑰的密鑰 長度的比特的最低有效比特產(chǎn)生更大的效果��,以使得對于希望生成共同密鑰的一對設備而 言����,那些比特可以不相等。然而�,具有更長的標識符長度可以在安全性上產(chǎn)生積極的效果, 因為在進行相應的計算時�,更多的比特被混合在一起���。
[0055] 多項式操縱設備可以被實施在計算機上(比如在集成電路上)運行的軟件中。多項 式操縱設備可以在硬件中非常高效地實施�。組合也是可能的。例如����,多項式操縱設備可以 通過操縱表示多項式的系數(shù)陣列來實施。
[0056] 在網(wǎng)絡設備處電子地存儲所生成的本地密鑰材料可以通過以下步驟實施:例如使 用有線連接或者使用無線連接向網(wǎng)絡設備電子地發(fā)送所生成的本地密鑰材料��,并且將所生 成的本地密鑰材料存儲在網(wǎng)絡設備處�����。這可以在網(wǎng)絡設備中的集成電路的制造或者安裝期 間(例如在測試期間)完成�。測試設施可以包括或者連接到網(wǎng)絡機構。這也可以在設備成功 加入到操作網(wǎng)絡中之后(即��,在網(wǎng)絡訪問或者引導程序之后)發(fā)生�����。特別地�����,本地密鑰材料可 以作為操作網(wǎng)絡參數(shù)的一部分而分發(fā)。
[0057] 以電子形式獲取對于第一網(wǎng)絡設備的本地密鑰材料可以通過從用于配置用于密 鑰共享的網(wǎng)絡設備的系統(tǒng)(例如��,網(wǎng)絡機構設備)電子地接收本地密鑰材料而完成��。獲取本 地密鑰材料還可以通過從本地存儲裝置(例如��,諸如閃速存儲器之類的存儲器)取回本地密 鑰材料來完成�。
[0058] 獲取對于第二網(wǎng)絡設備的身份號可以通過從第二網(wǎng)絡設備(例如,直接從第二網(wǎng) 絡設備)接收身份號來完成�,例如,從第二網(wǎng)絡設備無線地接收身份號來完成���。
[0059] 公共模數(shù)和密鑰模數(shù)可以被存儲在網(wǎng)絡設備中�����。還可以從網(wǎng)絡機構接收它們�����。它 們還可以隱含在網(wǎng)絡設備的軟件中。例如�����,在實施例中,密鑰模數(shù)是2的冪�。歸約模這樣的 密鑰模數(shù)可以通過丟棄除了密鑰長度的最低有效比特之外的所有比特來完成。首先����,代入 的結果被歸約模公共模數(shù),其隨后進一步被歸約模密鑰模數(shù)�。
[0060] 雖然不要求,但是公共模數(shù)和密鑰模數(shù)可以是互質的����。這可以通過使公共模數(shù)為 奇數(shù)而使密鑰模數(shù)為2的冪來實現(xiàn)。在任何情況下�,應避免的是,密鑰模數(shù)除盡公共模數(shù)���, 因為那時歸約模公共模數(shù)就可以被略去���。
[0061] 用于兩個設備之間的密鑰一致的方法可以使用若干二元多項式作為根密鑰材料。 可以通過使用X-變元的多項式作為根密鑰材料來使用該用于密鑰一致的方法�����,以用于X方 之間的X--致。在這種擴展中����,可信的第三方估算在相應的環(huán)中的變量中的X-變元的多 項式,所產(chǎn)生的X-I個變元的多項式隨后相加在整數(shù)上�����,從而生成存儲在設備上的本地密 鑰材料��。當X個設備需要在密鑰上一致時�,設備以另外X-I個設備的標識符來估算其本地 密鑰材料。
[0062] 將不對稱的二元多項式用作根密鑰材料(即�,f (X,y) !=f (y�,X))允許適應兩組設備 的構建,諸如在第一組中的設備接收KM(Id���,y)和在第二組中的設備接收KM(x�,iD)作為存 儲在設備上的KM本地密鑰材料���。屬于相同分組的兩個設備不能生成共同密鑰��,但是在不同 分組中的兩個設備可以���。進一步參見Blundo。
[0063]網(wǎng)絡設備的身份號可以被計算為含有與設備相關聯(lián)的信息的比特串的單向函數(shù)�。 單向函數(shù)可以是密碼學的哈希函數(shù),諸如SHA2或者SHA3���。單向函數(shù)的輸出可以被截短����,以 使得其適合于標識符的大小��?��?商鎿Q地���,單向函數(shù)的大小小于最大標識符大小。
[0064] 在實施例中���,對稱多項式涉及形式為的單個單項式��,其中<>p表示 模操作��。在該情況下�,元素在有限組內,并且操作是乘法�。公共模數(shù)可大于私有模數(shù)或者小 于私有模數(shù),如果存在多個稀有模數(shù)���,一些公共模數(shù)可以大于私有模數(shù)并且一些公共模數(shù) 可以小于私有模數(shù)�����。
[0065] 根密鑰材料可以在任何環(huán)中進行估算�?���?赡艿氖牵褂脝蝹€單項式(諸如Axfl)的 多項式��,在該情況下�����,可以使用一組�。
[0066] 本發(fā)明的一個方面涉及用于配置用于密鑰共享的網(wǎng)絡設備的系統(tǒng)(例如,網(wǎng)絡機 構)����,該系統(tǒng)包括用于以電子形式獲取至少兩個參數(shù)集的密鑰材料獲取器�,參數(shù)集包括私有 模數(shù)��、公共模數(shù)和具有整數(shù)系數(shù)的二元多項式���,公共模數(shù)的二進制表示和私有模數(shù)的二進 制表示在至少密鑰長度的連續(xù)比特上是相同的;用于生成對于網(wǎng)絡設備的本地密鑰材料的 發(fā)生器包括用于以電子形式獲取網(wǎng)絡設備的身份號并用于在網(wǎng)絡設備處電子地存儲所生 成的本地密鑰材料的網(wǎng)絡設備管理器和多項式操縱設備����,發(fā)生器被配置成,對于所述至少 兩個參數(shù)集中的每個參數(shù)集�,通過使用多項式操縱設備通過將身份號代入所述二元多項式 來根據(jù)該參數(shù)集的二元多項式確定一元多項式并且對代入結果模該參數(shù)集的私有模數(shù)進 行歸約,來獲取相應的一元多項式��,以及在網(wǎng)絡設備處電子存儲所生成的本地密鑰材料��,所 生成的本地密鑰材料包括每個參數(shù)集的公共模數(shù)和每個參數(shù)集的相應的一元多項式���。
[0067] 該系統(tǒng)的實施例包括用于生成混淆數(shù)的混淆數(shù)發(fā)生器�����,例如隨機數(shù)發(fā)生器�,多項 式操縱設備被配置用于將混淆數(shù)加到一元多項式的系數(shù)中�,以獲取混淆的一元多項式��,所 生成的本地密鑰材料包括混淆的一元多項式�����?���;煜龜?shù)可以被表示為混淆多項式的系數(shù)��。在 實施例中�����,混淆多項式之和的每個系數(shù)是2的密鑰長度次冪的倍數(shù)��。在實施例中��,混淆多項 式之和的每個系數(shù)除以2的冪是2的密鑰長度次冪的倍數(shù)����。除以2的冪可以通過向下舍入 來計算。
[0068] 本發(fā)明的一個方面涉及被配置成確定共享密鑰的第一網(wǎng)絡設備�����,所述密鑰是密碼 學密鑰,第一網(wǎng)絡設備包括:用于以電子的形式獲取對于第一網(wǎng)絡設備的本地密鑰材料的 本地密鑰材料獲取器����,所述本地密鑰材料包括至少兩個一元多項式(可選地,混淆一元多項 式)和相應的公共模數(shù)�����;用于獲取對于第二網(wǎng)絡設備的身份號的接收器��,第二網(wǎng)絡設備與第 一網(wǎng)絡設備不同�����;多項式操縱設備����,其用于:對于所述至少兩個可選地混淆的一元多項式 中的每個而言��,將第二網(wǎng)絡設備的身份號代入所述一元多項式中����,并且對代入結果模相應 于所述一元多項式的公共模數(shù)進行歸約,以及將歸約模公共模數(shù)的結果加到一起并且歸約 模密鑰模數(shù)��;以及用于根據(jù)歸約模密鑰模數(shù)的結果來導出共享密鑰的密鑰導出設備。
[0069] 密鑰導出設備可以被實施為計算機(例如�����,集成電路)�、為運行的軟件、在硬件中�����、 在兩者的組合中等����,其被配置用于根據(jù)歸約模密鑰模數(shù)的結果導出共享密鑰。
[0070] 根據(jù)歸約模密鑰模數(shù)的結果導出共享密鑰可以包括�����,應用密鑰導出函數(shù)����,例如在 開放移動聯(lián)盟(Open Mobile Alliance)的 OMA DRM 規(guī)范(0MA-TS-DRM-DRM-V2_0_2-200807 23-A,章節(jié)7.1.2 KDF)中定義的函數(shù)KDF和相似的函數(shù)�����。導出共享密鑰可以包括丟棄一個 或者多個最低有效比特(在應用密鑰導出函數(shù)之前)。導出共享密鑰可以包括加入���、減去�、或 者串接整數(shù)(在應用密鑰導出函數(shù)之前)���。
[0071] 多個網(wǎng)絡設備(每個網(wǎng)絡設備具有身份號和相應的本地密鑰材料)可以一起形成 通信網(wǎng)絡���,該通信網(wǎng)絡被配置用于保護例如網(wǎng)絡設備對之間的機密和/或被認證的通信。
[0072] 密鑰生成是基于ID的��,并且允許在設備對之間生成成對的密鑰��。第一設備A可以 依賴于根據(jù)本地密鑰材料和身份號導出密鑰的算法�。
[0073] 在實施例中���,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送密鑰確認消息���。例如,確認消息 可以包括消息的加密��,以及可選地消息本身�����。第二網(wǎng)絡設備可以驗證該消息的加密。消息 可以被固定并且存在于第二設備處�,以避免需要發(fā)送它。消