进制表示的至少密钥长度的连续比特是全 零的比特。这个差应该通过使用公共模数减私有模数的符号数表示来估计,而不是使用补 码表示(two-complement representation)。可替换地,可以要求公共模数减私有模数的 绝对值的二进制表示的至少密钥长度的连续比特是全零的比特。存在这样的一组密钥长度 (b)的连续位置,其中,公共模数的二进制表示与所有私有模数的二进制表示相一致。
[0028] 公共模数与私有模数相一致的连续比特位置可以是最低有效比特。在实施例中, 公共模数减私有模数的二进制表示的密钥长度的最低有效的比特是全零的比特;这具有如 下优点,当导出共享密钥时,不需要除以2的幂。
[0029] 在实施例中,在所有参数集中,对应参数集的公共模数的二进制表示的相同的至 少密钥长度(b)的连续比特与该对应的参数集的私有模数的密钥长度(b)的最低有效的比 特相同。也就是说,存在一组连续比特位置,其表明,在每个参数集中,公共模数和私有模数 在哪里相一致。虽然这组连续比特位置对于所有的参数集是相同的,但是这些比特本身可 以在不同参数集上是不同的。在实施例中,至少密钥长度(b)的连续比特是密钥长度(b)的 最低有效的比特。也就是说,这组比特位置是最低有效的比特位置。
[0030] 允许的是,多个私有模数中的一个私有模数等于公共模数。然而,如果使用了仅仅 一个私有模数,那么这是不合期望的。
[0031] 期望的是,私有模数引入充分的非线性。在实施例中,存在公共模数不同于每个私 有模数的一组连续比特位置。此外,还可以强制的是,私有模数在它们自身中是不同的;私 有模数的二进制表示的成对比较还可以在比如至少密钥长度的一组连续比特中的至少一 个比特上是不同的,该组对于所有私有模数是相等的,并且可能地,对于公共模数也是相同 的。
[0032] 网络设备可以是装配有电子通信和计算模块的电子设备。网络设备可以例如以 RFID标签的形式附接到任何非电子物体。例如,这种方法可以适用于"物联网"。例如,物体 (特别是低成本的物体)可以装配有无线电标签,它们可以通过该无线电标签进行通信(例 如,可以被标识)。可以通过诸如计算机之类的电子模块为这样的物体编制清单。被偷盗或 者损坏的物品可以被容易地跟踪和定位。一种特别有前途的应用是包括被配置成确定共享 密钥的网络设备的灯。这样的灯可以安全地传送它的状态;这样的灯可以被安全地控制,例 如被打开和/或关闭。网络设备可以是多个网络设备中的一个,每个网络设备包括用于发 送和接收身份号和用于发送电子状态消息的电子通信器,并且每个网络设备包括被配置用 于遵循根据本发明的方法来导出共享密钥的集成电路。
[0033] 在实施例中,在本发明中的方法可以被用作用于安全性协议(诸如IPSec、(D)TLS、 HIP或者ZigBee)的密码学方法。特别地,使用这些协议中的一种协议的设备与标识符相 关联。想要与第一设备通信的第二设备可以采用第一设备给出的它的标识符来生成共同的 成对密钥,并且该成对密钥(或者凭借例如密钥导出函数据此导出的密钥)可以而被用在以 上基于预先共享的密钥的协议的方法中。特别地,如在本发明中所定义的设备的标识符可 以是网络地址,诸如ZigBee短地址、IP地址或者主机标识符。标识符还可以是设备的IEEE 地址或者与设备相关联的专用比特串,使得设备在制造期间接收与IEEE地址相关联的一 些本地密钥材料。
[0034] 导出共享密钥可以用于许多应用。典型地,共享密钥将是密码学的对称密钥。对 称密钥可以用于机密,例如,传出的或者传入的消息可以用对称密钥来加密。只有有权访问 两个身份号和这两个本地密钥材料之一(或者有权访问根密钥材料)的设备将能够对通信 进行解密。对称密钥可以用于认证,例如,传出或传入的消息可以用对称密钥来认证。以这 种方式,可以验证消息的来源。只有有权访问两个身份号和这两个本地密钥材料之一(或者 有权访问根密钥材料)的设备将能够创建被认证的消息。
[0035] 配置用于密钥共享的网络设备的方法将典型地由网络机构(例如,可信的第三方) 来执行。网络机构可以从另一个源获取所需要的材料(例如根密钥材料),但也可以自己生 成这种材料。例如,可以生成公共模数。例如,即使公共模数是系统参数并且被接收,也可 以生成私有模数。
[0036] 在实施例中,选取公共模数N的一个或者多个或者所有公共模数以使得其满足 - !,其中,a表示二元多项式的次数,b表示密钥长度。例如,在实施 例中, JV 2(紗1〇 针对后一选择的模操作可以被特别高效地实施。
[0037] 具有固定的公共模数具有以下优点,即:它不需要被传送到网络设备,而是可以与 例如它们的系统软件集成在一起。特别地,可以通过使用随机数发生器来选取公共模数。
[0038] 公共模数和私有模数可以被表示为比特串。它们还可以各自使用特定数学结构而 被缩写。例如,替代存储私有模数,也可以存储它与公共模数的差,这会短得多。
[0039] 以公共模数减私有模数的二进制表示的"密钥长度"数量的最低有效比特是全零 的比特的这样的方式来选取私有模数,这增大了在一对网络设备中的第一网络设备处的共 享密钥与在该对网络设备中的第二网络设备处所导出的共享密钥相近的可能性;也就是 说,私有模数的二进制表示在"密钥长度"的最低有效位置中具有与公共模数的二进制表示 相同的比特。例如,如果密钥长度是64,则可以通过从公共模数中减去2~64的倍数来选取 私有密钥。在实施例中,公共模数减去私有模数再除以2的密钥长度次幂小于2的密钥长 度次幂。
[0040] 在实施例中,以电子形式获取或者生成多个私有模数,对于多个私有模数中的每 个私有模数,选取具有整数系数的对称二元多项式,以获取多个对称的二元多项式,以使得 对称的二元多项式相对应于每个私有模数。确定一元多项式包括,将身份号代入多个对称 的二元多项式中的每一个中,针对模所述多个私有模数中相应于该对称的二元多项式的私 有模数进行归约,并且将多个归约的多个结果加在一起。对于不同模数具有多个对称二元 多项式增大了安全性,因为不兼容的结构被进一步混合。典型地,私有模数是不同的。如果 相应的代数结构非常不同的话,则具有多个私有模数进一步使得分析甚至更加复杂;例如, 将它们选取为互质的,特别是成对地互质的,甚至更特别地,将它们选取为相异的质数。
[0041] 具有不同的私有模数并且特别是多个私有模数将使得攻击者的分析复杂化。为了 进一步增强安全性,对于系数的附加控制是可能的。在实施例中,将多个归约所产生的多个 一元多项式加到一起的机构验证每个所产生的系数的数值是否过小或者过大,例如,小于 最小阈值或者在最大阈值以上。这甚至进一步地提高了安全性,因为在这两种情况的任一 种情况下,攻击者可能会找出多个归约的分量,如果它们过大或者过小的话。例如,如果在 相加后产生的系数值等于1并且仅存在两个一元多项式,那么攻击者知道,要么与第一多 项式相关联的相应系数是1而与第二多项式相关联的系数是0,要么情况相反。特别地,生 成针对设备的本地密钥材料的机构可以验证本地密钥材料的每个所产生的系数的值是否 至少是"最小值"并且至多是"最大值"。这种检查可以被省略,特别是在公共模数相对接近 于所有私有模数并且密钥材料的所有元素都在〇与N-I之间的情况下。如果TTP能够指派 身份号,则如果TTP检测到大或者小的系数,那么它也可以向设备指派另一个身份号。
[0042] 在实施例中,每个特定私有模数使得公共模数减该特定私有模数的二进制表示的 密钥长度(b)的最低有效比特是全零的比特。
[0043] 公共模数既可以比私有模数大,也可以比私有模数小。在实施例中,公共模数减私 有模数的二进制表示具有至少密钥长度的全零的比特。至少密钥长度的零比特中的零比特 是连续的,并且可以存在于该二进制表示中的任一点处。在公共模数和私有模数之间的差 中具有为零比特的串避免了混淆进位太过分。注意,该串可以但不需要存在于所有参数集 中。
[0044] 在实施例中,存在整数参数"s"以使得公共模数减私有模数再除以2的s次幂后 的密钥长度的最低有效比特是全零的。参数"s"对于所有私有模数是相同的,但是可以对 于每个参数集是不同的。
[0045] 例如,可以定义作为2的幂的零比特串除数,从而,每个特定私有模数使得公共模 数减该特定私有模数再除以该零比特串除数后的二进制表示的密钥长度(b)的比特是全零 的比特。如果最低有效比特是零,则可以将该零比特串除数取为1。在实施例中,该零比特 串除数大于1。考虑到与沿着最低有效比特方向对比特移位的结果相同的结果,除以2的幂 将被解释为整数除法。忽略除法的任何余数。
[0046] 为了生成密钥长度比特的共享密钥,网络设备首先应用附加的除法步骤。第一网 络设备如下估计密钥材料:第二设备的身份号模每个参数集的公共模数并且将结果相加, 然后除以2~s并且对模2的密钥长度次幂进行归约。注意,这等同于首先在公共模之后应 用模数2~ (s+密钥长度),并且然后除以2~s。此处,"除以"包括向下舍入。
[0047] 在实施例中,使用随机数发生器来生成私有模数。在实施例中,生成多个私有模数 使得它们是成对互质的。例如,多个私有模数可以迭代地生成,从而对每个新的私有模数验 证它们依然是成对互质的,并且如果不是,则丢弃最后生成的私有模数。实施例包括,使用 随机数发生器迭代地生成候选模数,以使得公共模数减该候选模数后的二进制表示的密钥 长度(b)的连续比特是全零的比特(例如,密钥长度的最低有效比特),直到通过使用素数测 试设备,该候选模数满足素数测试为止,其中如此获取的、满足素数测试的候选模数被用作 私有模数。素数测试可以例如是Mi Iler-Rabin素数测试或者Solovay-Strassen素数测试。
[0048] 次数为a的、以X和y作为变量的对称二元多项式仅具有形式为的单项式, 其中i彡a,j彡a。此外,相应于jriy/的系数与p 的系数相同。这可以用来将所存储 的系数数量减少大约一半。注意,使用更宽松的次数定义。将单项式的次数定义为单项式 中的变量的最大次数。所以的次数是max(i,j),即,i彡a,j彡a。所以,例如,我们 称为次数为1的多项式具有一般形式a+bx+cy+dxy,(注意,因为仅仅考虑对称多项式,所以 得到b=c)。注意,如果期望的话,可以对二元多项式施加附加的限制,包括例如仅使用满足 i+j < a的单项式,但是这不是必需的。
[0049] 在实施例中,对称二元多项式由网络机构生成。例如,对称二元多项式可以是随机 的对称二元多项式。例如,可以使用随机数发生器来将系数选为随机数。