用于共享密码密钥的系统的制作方法
【技术领域】
[0001] 本发明涉及用于针对密钥共享来配置网络设备的系统,该系统包括:用于获取多 项式的密钥素材获取器、用于以电子形式获取针对网络设备的身份编号的网络设备管理 器、以及多项式操纵单元。
【背景技术】
[0002] 在密码术中,密钥协商协议是其中尽管可能不共享公共密钥的两个或更多方可能 就这样的密钥协商一致的协议。优选地,这两方可以影响结果使得不管哪一方都不能迫使 选择密钥。偷听两方之间的所有通信的攻击者应当了解不到关于密钥的任何事情。然而, 虽然看到相同通信的攻击者了解不到任何事情或者了解到很少的事情,但是各方自身可以 导出共享密钥。
[0003] 密钥协商协议是有用的,例如以保护通信,例如以加密和/或验证各方之间的消 息。
[0004] 实用的密钥协商协议在1976年Whitfield Diffie和Martin Heilman引入公共 密钥密码术的概念时引入。他们提出一种利用具有q个元素的有限域GF(q)的计算算法的 表观难点的两方之间的密钥协商的系统。使用该系统,两个用户可以就对称密钥协商一致。 对称密钥然后可以用于比方说两方之间的加密通信。
[0005] 用于密钥协商的Diffie-Hellman系统在各方尚未具有共享秘密时适用。 Diffie-Hellman密钥协商方法要求资源密集型数学操作,诸如在有限域之上执行取幂操 作。指数和域大小二者可以是大的。这使得密钥协商协议较不适用于低资源设备。另一方 面,密钥协商协议将在资源受约束型设备中非常有用。例如,在诸如物联网、自组无线网络 等的应用领域中,密钥协商可以用于保护设备之间的链路。另一示例是读取器与电子标签 之间的通信,比方说卡读取器和智能卡,或者标签读取器和标签,例如RFID标签或NFC标 签。
[0006] 针对设立给定通信网络中的网络设备对之间的安全通信的问题的另一 方案在 C.Blundo,A.De Santis,A.Herzberg,S.Kutten,U.Vaccaro 和 M.Yung 的 "Perfectly-Secure Key distribution for Dynamic Conferences',,Springer Lecture Notes in Mathematics,卷 740,第 471-486 页,1993 年(称为 'Blundo')中给定。
[0007] 该系统采取集中权限,还被称为网络权限或者受信第三方(TTP),其生成对称二变 量多项式f (X,y),具有P个元素的有限域F中的系数,其中p是素数或者素数的幂。每一个 设备具有F中的身份编号并且通过TTP提供有本地密钥素材。对于具有标识符τι的设备, 本地密钥素材是多项式f(n,y)的系数。如果设备η想要与设备η'通信,则其使用该密 钥素材来生成密钥K(ri,II')=f(ri,II')。因为f是对称的,所以生成相同密钥。本地 密钥素材是秘密的。本地密钥素材的了解将直接使系统受损。特别地,其将允许偷听者获 取相同共享密钥。方法要求设备网络中的每一个设备具有其自身的唯一身份编号和本地密 钥素材。
[0008] 如果攻击者知道t+1或更多个设备的密钥素材,则发生该密钥共享架构的问题, 其中t是双变量多项式的阶。攻击者然后可以重构多项式f(x,y)。此时,系统的安全性被 完全破坏。在给定任何两个设备的身份编号的情况下,攻击者可以重构在该对设备之间共 享的密钥。
[0009] 参照具有标题 "Method Of Generating A Cryptographic Key, Network And Computer Program Therefor"的美国专利申请 2011/206201 Al。参照 Song Guo 等的论文 〃A Permutation-Based Multi-Polynomial Scheme for Pairwise Key Establishment in Sensor Networks"。
【发明内容】
[0010] 有利的是具有一种用于网络设备(尤其是低资源网络设备)之间的密钥分发和密 钥共享的改进型系统。
[0011] 提供一种用于针对密钥共享来配置网络设备的系统。该系统包括密钥素材获取 器、网络设备管理器和多项式操纵单元。
[0012] 密钥素材获取器配置成以电子形式获取公共全局归约多项式、双变量多项式的第 一私用集合、以及归约多项式的第二私用集合。第一集合中的每一个双变量多项式与第二 集合的归约多项式相关联。
[0013] 网络设备管理器配置成以电子形式获取用于网络设备的身份编号。
[0014] 多项式操纵单元配置成通过以下方式从第一和第二私用集合计算单变量私用密 钥多项式:将身份编号映射到身份多项式,通过针对第一私用集合的每一个特定多项式而 将身份多项式代入所述特定多项式并且以与所述特定多项式相关联的归约多项式为模进 行归约来获取单变量多项式的集合,以及对单变量多项式的集合求和。
[0015] 网络管理器还配置用于在网络设备处电子地存储所生成的单变量私用密钥多项 式和公共全局归约多项式。
[0016] 当系统已经针对密钥共享配置至少两个网络设备,例如第一和第二网络设备时, 则两个网络设备可以就对称共享密钥协商一致。
[0017] 提供配置成确定与第二网络设备的共享密钥的第一网络设备。第一网络设备包括 电子存储装置、通信单元、多项式操纵单元和密钥导出设备。
[0018] 电子存储装置存储从用于针对密钥共享来配置网络设备的系统获取的单变量私 用密钥多项式和公共全局归约多项式。存储装置还存储用于第一网络设备的身份编号。
[0019] 通信单元配置成获取第二网络设备的身份编号,第二网络设备不同于第一网络设 备。
[0020] 多项式操纵单元配置成将第二网络设备的身份编号映射到身份多项式、将身份多 项式代入单变量私用密钥多项式、以及以公共全局归约多项式为模来归约代入的结果。
[0021] 密钥导出设备配置成从以公共全局归约多项式为模归约的结果来导出共享密钥。
[0022] 用于密钥共享系统的系统包括用于针对密钥共享来配置网络设备的系统以及由 用于针对密钥共享来配置网络设备的系统配置的第一和第二网络设备。
[0023] 各自具有身份编号和针对其身份编号所生成的单变量私用密钥多项式的多个网 络设备当中的任何一对两个网络设备能够利用很少资源商议共享密钥。两个网络设备仅需 要交换其身份编号,其不需要保持为秘密的,并且执行多项式计算。所需计算类型不要求大 的计算资源,这意味着该方法适用于低成本大体积类型的应用。尽管当前的系统可以使用 有限域用于一些多项式(例如归约多项式)的系数,但是这些可以选择为相当小,甚至像2 那么小。
[0024] 通过相加在不同多项式环之上评估的多项式来获取单变量私用密钥多项式。作为 结果,单变量私用密钥多项式和根密钥素材(即第一和第二私用集合)之间的关系被扰乱。 能够访问一个或多个单变量私用密钥多项式的攻击者仍旧不能获取第一和第二私用集合。 这意味着系统针对网络设备的串通是安全的。
[0025] 此外,甚至在能够访问已经导出的共享密钥的情况下,也难以找到其它设备的本 地密钥素材。
[0026] 第二私用集合中的归约多项式以及全局归约多项式的系数具有整数系数,例如选 自具有P个元素的有限可换环或者有限域F,在该情况下,p是素数或者素数的幂。第一私 用集合中的双变量多项式、单变量多项式和私用密钥单变量多项式的系数具有选自由归约 多项式限定的多项式环的系数。
[0027] 令人惊奇地,即便不同多项式环之上的计算混合,两个网络设备也仍旧能够一起 获取相同共享密钥。
[0028] 在实施例中,身份编号的二进制表示至少具有像共享密钥的二进制表示那么多的 位。如果需要较大密钥,则系统可以执行多次以获取单变量私用密钥多项式以及因而多个 共享密钥。多个共享密钥然后可以组合,比方说级联,以创建较大密钥。在其中多个共享密 钥组合以创建较大共享密钥的实施例中,身份编号优选地大于共享密钥。例如,身份编号可 以是8倍大或者更大。在实施例中,网络设备具有一个或多个身份编号,以及多个单变量私 用密钥多项式。针对一个或多个身份编号中的一个生成每一个单变量私用密钥多项式。作 为示例,共享密钥可以是16位,而一个或多个身份编号是128位。通过级联多个共享密钥, 可以获取适当密钥长度,例如8个16位的共享密钥一起给出128位的共享密钥。如果所获 取的密钥位数目小于身份编码中的位数目,则攻击,特别地格攻击,要难得多;因而通过将 各自从较大身份编号所获取的多个共享小密钥组合成一个共享大密钥,安全性得以增加。
[0029] 因为单变量私用密钥多项式的导出使用与公共全局归约多项式不同的归约多项 式,所以将在工作时存在的数学关系(比方说在单个有限域中)扰乱。这意味着用于分析 多项式的常用数学工具,例如有限代数学,不再适用。最佳地,攻击者可以使用低效得多的 结构,诸如格子。方法允许直接成对的密钥生成并且对于非常高数目(例如在ΚΓ5的数量 级或者甚至更高)的网络设备的捕获是灵活的。
[0030] 每一个归约多项式Qjt)限定多项式环,例如ZttVQdt)。因而可换环与双变量 多项式的第一私用集合的每一个多项式相关联。在大多数实施例中,对于一些正整数P,多 项式环在有限整数环ZpbVQjt)之上限定。典型地,该模整数p将对于第二集合中的所有 多项式相同,然而可能的是限定模P的第三集合,使得第三集合中的归约模与第二集合中 的每一个归约多项式相关联。从代入身份多项式所获取的单变量多项式也按以模整数P或 相关联的模整数P1为模进行归约,如情况所可能的那样。所获取的密钥素材可以配置成获 模整数,例如通过生成或者来自外部源。
[0031] 单变量多项式的集合的求和在全局环中完成。该全局环可以简单地为Z[x](或 Z[y]),然而全局环也可以是Z[t]/N(t)或Zp[t]/N(t)。数字p可以是公共的并且存储在每 一个网络设备处。
[0032] 在实施例中,系统包括电子随机数生成器,并且密钥素材获取器配置成使用电子 随机数生成器生成公共全局归约多项式的一个或多个系数。
[0033] 在实施例中,系统包括电子随机数生成器,并且密钥素材获取器配置成使用电子 随机数生成器生成第一私用集合中的双变量多项式的一个或多个系数。
[0034] 在实施例中,系统包括电子随机数生成器,并且密钥素材获取器配置成使用电子 随机数生成器生成第二私用集合中的归约多项式的一个或多个系数。
[0035] 随机生成可能产生底层问题的艰难实例。底层问题涉及所谓的"隐藏数字问题"。 在这种类型的问题中,对手基于秘密信息获取计算的(部分)评估。然后对手的任务是重 构秘密信息。
[0036] 在用于密钥共享的系统的实施例中,第一私用集合中的所有多项式是对称双变量 多项式。在这样的系统中,任何设备可以导出与任何其它设备的共享密钥。
[0037] 在用