密钥共享网络设备及其配置的制作方法
【专利说明】密钥共享网络设备及其配置 技术领域
[0001] 本发明涉及一种配置用于密钥共享的网络设备的方法,该方法包括生成对于该网 络设备的本地密钥材料,其包括以电子形式获取对于该网络设备的身份号,使用多项式操 纵设备通过将身份号代入二元多项式来根据该二元多项式确定一元多项式,并且在该网络 设备处电子地存储所生成的本地密钥材料。
[0002] 本发明进一步涉及一种用于第一网络设备确定共享密钥的方法,所述密钥是密码 学密钥,所述方法包括:以电子形式获取对于第一网络设备的本地密钥材料,所述本地密钥 材料包括一元多项式;获取对于第二网络设备的身份号,第二网络设备与第一网络设备不 同;将第二网络设备的身份号代入该一元多项式并且据此导出共享密钥。
[0003] 本发明进一步涉及用于配置用于密钥共享的网络设备的系统和被配置成确定共 享密钥的网络设备。 【背景技术】
[0004] SONG⑶0等人的文章:"用于在传感器网络中建立成对密钥的基于置换的多 元多项式方案(A Permutation-Based Multi-Polynomial Scheme for Pairwise Key Establishment in Sensor Network)^, COMMUNICATIONS (ICC), 2010 IEEE INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ(新泽西),美国,2010 年 5 月 23 日(2010-05-23), 第1-5页中公开了现有技术的解决方案。
[0005] 考虑包括多个网络设备的通信网络,在这样的网络设备对之间设立安全连接是个 问题。解决该问题的一种方式在 C. Blundo、A. De Santis、A. Herzberg、S. Kutten、 U. Vaccaro和M. Yung的"用于动态会议的极度安全的密钥分发(Perfectly-Secure Key distribution for Dynamic Conferences)'',Springer Lecture Notes in Mathematics, 卷740,第471-486页,1993年(被称为"Blundo")中描述。
[0006] 假设中央机构(也被称为网络机构或者可信第三方(TTP))生成对称二元多项式 f (X,y),其具有在含有p个元素的有限域F中的系数,其中p是质数或者是质数的幂。每个 设备具有在F中的身份号,并且由TTP向每个设备提供本地密钥材料。对于具有标识符Tl 的设备,本地密钥材料是多项式f( n,y)的系数。
[0007] 如果设备η希望与设备η'通信,则它使用它的密钥材料来生成密钥K (η,η' )=f(n,η')。因为f是对称的,所以生成相同的密钥。
[0008] 如果攻击者知道t+i或者更多设备的密钥材料,则这种密钥共享方案的问题出 现,其中t是二元多项式的次数。攻击者可以随后重建多项式f(x,y)。此时,系统的安全性 被完全破坏了。考虑任何两个设备的身份号,攻击者可以重建在该对设备之间共享的密钥。
【发明内容】
[0009] 具有一种用于建立两个网络设备之间的共享密钥的改进方法将是有利的。本发明 由独立权利要求限定;从属权利要求限定有利的实施例。提供了一种配置用于密钥共享的 网络设备的方法和一种用于使网络设备确定所共享的密钥的方法。
[0010] 配置用于密钥共享的网络设备的方法包括以电子形式获取至少两个参数集,参数 集包括私有模数(modulus)、公共模数和具有整数系数的二元多项式,公共模数的二进制表 示和私有模数的二进制表示至少在密钥长度连续比特上是相同,生成对于网络设备的本地 密钥材料包括,以电子形式获取对于网络设备的身份号并且对于所述至少两个参数集中的 每个参数集通过以下步骤来获取相对应的一元多项式:使用多项式操纵设备通过将身份号 代入所述二元多项式来根据该参数集的二元多项式确定一元多项式并且对代入的结果模 (modulo)该参数集的私有模数进行归约(reduction),以及在网络设备处电子存储所生成 的本地密钥材料,所生成的本地密钥材料包括每个参数集的公共模数和每个参数集的相对 应的一元多项式。
[0011] 用于第一网络设备确定共享密钥(所述密钥是密码学密钥)的方法包括:以电子 形式获取对于第一网络设备的本地密钥材料,所述本地密钥材料包括至少两个可选地混淆 一元多项式和相对应的公共模数,获取对于第二网络设备的身份号,第二网络设备与第一 网络设备不同,对于所述至少两个可选混淆一元多项式中的每个而言:将第二网络设备的 身份号代入所述一元多项式中,对代入的结果模相应于所述一元多项式的公共模数进行归 约,将归约模公共模数的结果加到一起,对模密钥模数进行归约,以及根据归约模所述密钥 模数的结果来导出共享密钥。
[0012] 在实施例中,所述方法包括对代入结果模公共模数进行归约,将结果除以2的幂 并且归约模密钥模数。
[0013] 多个网络设备中的任何两个网络设备的对能够采用很少资源来协商共享密钥,所 述多个网络设备中的每个网络设备具有身份号和针对该身份号生成的本地密钥材料。两个 网络设备仅需要交换它们的身份号(这不需要被保密)并且执行多项式计算。计算的类型无 需要求大的计算资源,这意味着该方法适合于低成本、高容量类型的应用。
[0014] 已经从根密钥材料中的共同多项式中获取了本地密钥材料;这允许一对网络设备 中的两个网络设备获取相同的共享密钥。如果所有的二元多项式都是对称的,那么任何两 个网络设备都可以导出共同的多项式。如果一些或者所有二元多项式是不对称的,则一些 设备对可以导出共享密钥,而一些对则不能导出共享密钥。
[0015] 从参数集中(特别是从多个不同公共模数和多个二元多项式中)导出本地密钥材 料。所产生的本地密钥材料包括多个、典型不同的一元多项式,每个一元多项式具有相对应 的公共模数。
[0016] 如果使用了仅仅一个参数集,那么网络设备被提供有多项式的系数,使得通过估 计该多项式模N并且取b比特,该网络设备能够生成与任何其他设备的b比特密钥。这关 于所谓的噪声多项式插值问题,即,通过具有那些b比特密钥中的许多b比特密钥,攻击者 可能能够恢复给定的、受攻击的实体的多项式。
[0017] 例如,面向单个参数集系统的攻击可以通过以下2个步骤来得到那些b比特值:攻 击者损害与N_c密钥材料相关联的N_c设备,并且攻击者使用那些N_c密钥材料来获取N_ c的b比特密钥(通过以受攻击的设备的标识符来估计每个密钥材料)。这意味着对于噪声 多项式插值问题做出的进展可以扩展至对于单个参数集系统的攻击。这被认为是不合期望 的。
[0018] 具有多个参数集,通过在设备上以及在本地密钥生成期间混合模操作来避免这个 问题。
[0019] 在一对设备A和B之间共享的共同密钥Kab作为至少两个(一般地,m'个)子密钥 的加法(即,心8 = /αβ +私)而被获取。每个子密钥根据不同密钥材料(其中,通过以 公共模数Ni为模执行模操作)而生成。因为在本地密钥生成期间以及在共享密钥生成期间 混合模操作,所以不可能将噪声多项式插值攻击扩展到密码系统。即使攻击者能够得到N_ c的b比特密钥,每个N_c的b比特密钥也是从两个子密钥中导出的,每个子密钥来自不同 密钥材料的估计。但是攻击者将不能区分子密钥,使得攻击者不能恢复受攻击的设备的这 两个(一般是m'个)密钥材料。
[0020] 存在对于设备的攻击的两种级别的严重性。在较低的严重性中,攻击者仅仅能够 得到许多共同的共享密钥。在较高的严重性中,攻击者能够得到许多本地密钥材料。其结 果是,在网络设备处混合模操作是针对较低严重性的攻击的很好的对抗手段。然而,如果攻 击者有权访问密钥材料本身,那么他也有权访问子密钥。
[0021] 通过向设备的两个密钥材料加入噪声来避免后者的问题。向本地密钥材料加入混 淆数干扰了在本地密钥材料和根密钥材料之间的关系。将存在于未被混淆的一元多项式和 (对称的)二元多项式之间的关系将不再存在。这意味着对于这样的方案,直接的攻击不再 起作用。
[0022] 有趣的是,通过向设备的两个密钥材料加入噪声以使得噪声的相加等于零模2b, 进一步改进了系统。在该情况下:所生成的密钥依然是有噪声的,因此,攻击者不能使用它 们来恢复受攻击的设备的密钥材料共享;而为了移除噪声,攻击者必须加它们,但是随后他 具有如上文的加后的值,并且不能在源自每个密钥材料的分量之间进行区分。这种技术可 以容易地推广到任何数量的密钥材料。条件也可以被扩展,以确保噪声等于并不位于最低 有效比特而是位于其他位置的b比特中的零。
[0023] 在实施例中,每个参数集中的所有公共模数的二进制表示和私有模数的二进制表 示至少在密钥长度(b )的连续比特上是相同的。注意,可以使用多个私有模数,可以选取这 些私有模数以使得公共模数的多个私有模数中的任一个的二进制表示和该私有模数的二 进制表示至少在密钥长度(b)的连续比特上是相同的。对于所述多个私有模数a的每个私 有模数而言,选取具有整数系数的可选地对称的二元多项式,以获取多个并且可选地对称 的二元多项式。
[0024] 因为本地密钥材料的导出使用不同于公共模数的私有模数,所以在比如单个有限 域中起作用时将存在的数学关系被干扰。这意味着用于分析多项式的常规数学工具(例如, 有限代数)不再适用。攻击者最多可以使用少得多的有效结构,诸如格子(lattice)。此外, 当导出共享密钥时,在常规的数学意义上不兼容的两个模操作被组合;所以在两个地方避 免了数学结构。该方法允许直接的成对密钥的生成并且对于捕获极大量的网络设备(例如, ΚΓ5级别的或者甚至更多)是有弹性的。另一方面,因为私有模式和公共模数在若干连续 比特上重叠,所以具有本地密钥材料的两个网络设备很可能能够导出相同的共享密钥。
[0025] 本发明人特别意识到,公共模数不需要是质数。在实施例中,公共模数是合成的。 同样,没有理由公共模数在其二进制表示中应该是"全一"的比特数,例如仅仅由"1"的比 特组成的数。在实施例中,公共模数不是2的幂减去1。在实施例中,公共模数的二进制表 示包括至少一个零比特(不算第一位的零,即,公共模数的二进制表示包括低于该公共模数 的最高有效比特的至少一个零比特)。在实施例中,公共模数是2的幂减1并且是合成的。
[0026] 在实施例中,一个或者多个参数集的公共模数大于一个或者多个私有模数。
[0027] 在实施例中,公共模数减私有模数的二