基于多项式的密钥分发系统和方法

专利名称：基于多项式的密钥分发系统和方法
技术领域：
本发明涉及加密系统。更特别地，本发明涉及用于生成安全会话密钥的加密密钥分发。最为特别地，本发明是用于基于多项式的加密密钥分发的系统和方法。
在低功率和高功率设备之间要求安全通信的应用数量不断增长。例如，在未来，建筑物中将配备低成本和低能量的传感器，它们将不仅控制建筑物中的温度还负责建筑物的安全。也就是，它们将收集与建筑物安全相关的信息，诸如人员的进入和离开。它们将其聚集的信息发送给一个设施，即在建筑物中聚集和处理该信息的另一个点。在这个场景中重要的是聚集点能够信任传感器信息输入。
提供信任等级的一种方法是将简单的密码工具集成到传感器与聚集点之间的安全通信，并允许信息的认证被传输。然而，传感器可能只有有限数量的可用功率，并且理想地这些传感器从它们的环境中获得其功率，所述环境诸如太阳能或RF动力。由于该低功率的可用性，公共密钥加密变得很昂贵并且使得设备很慢。进一步，秘密密钥系统要求系统所有的参与者具有共享的秘密密钥，以使得安全地通信。
其中低功率加密重要的另一个应用是盘上芯片(Chip-in-Disc)，RFID标签(RFID-tag)技术。此处在高功率盘播放器与低功率盘之间发生通信。此处所包含的芯片控制访问盘上内容的权利。如果芯片确信播放器值得信任，其为盘播放器提供内容的密钥，并且如果播放器确信该芯片可信任则将仅仅播放该内容。
所有的这些应用例子以及其它类似的例子需要低成本和低功率的加密密钥管理系统。然而，所述的低成本和低功率系统在存储容量和计算能力方面都是非常有限的。
由Blundo等所提出的现有技术的方案是基于Blom的方案，使用Blom方案中的对称多项式，其中p(x，y)GF(Q)2→GF(q)(q为主要功率)，且p(x，y)＝p(y，x)为对称多项式。进一步假定只有一种类型的设备A，且设备A得到身份xA∈GF(q)连同秘密多项式qA(y)＝p(xA，y)。任意两个设备A和B可以通过将它们的身份相互通信并在此应用该秘密多项式而构建共享的秘密密钥KA，B＝qA(xB)＝qB(xA)。对于群G，与每一个g∈G相关联的表达式∏g是从群G去往一些向量空间V(该向量空间可以是多项式pGF(q)2→GF(q)≡P的空间)上线性映射空间L(V)的同态。Blom的方案在如下文献中描述了R.Blom，Non-Public Key Distribution，Advancesin Cryptology-Proceedings of Crypto 82，第231-236页，1983以及R.Blom，An Optimal Class of Symmetric Key Generation Systems，Advances in Cryptology-Proceedings of EUROCRYPT84，第335-338页，1985，上述两篇的全文在此引入作为参考。Blundo等的方案在如下文献中描述了C.Blundo，A.De Santis，A.Herzberg，Skutten，U.Vaccaro和M.Yung，Perfectly Secure Key Distribution for Dynamic Conference，Advances in Cryptology-CRYPT093，第110-125页，1994，在此结合其全文作为参考。
考虑矩阵群G=I{1001,0110}]]>然后对于G中的g，在向量空间P的线性映射空间上G的表达式∏g由下式给出(∏g(p))(x，y)＝p(g*(x，y))清楚的是该映射给出了从群G到L(P)的同态。从群G和对称多项式p的定义很容易得出多项式p在群G的作用下是不变的。
更为一般的是，让群G在向量空间VV上如下作用g(xy)＝yx并定义p(x，y)＝<x，Py>，其中P为对称矩阵，即<Px，y>＝<x，Py>，且<·，·>表示V上的内积(注意对于G中的g，g2＝1)。然后其遵循p在群G的g作用下为不变的。给定矩阵P，总是可以如下得到对称矩阵PSPS＝P+PT其中T代表矩阵的转置。
以同样的方式多项式是不变的，如下pS(x，y)＝p(x，y)+p(y，x)＝p(x，y)+p(g(x，y))现在参考

图1，两个相同类型的设备A和B之间的交互如下进行初始化阶段1.在步骤101，A和B每个都得到一个身份以及相等但是秘密的带有两个变量x和y的对称多项式p(x，y)＝p(y，x)；会话密钥生成阶段2.在步骤102，A发送其身份xA∈GF(q)到B；3.在步骤103，B发送其身份xB∈GF(q)到A；4.在步骤104，A使用接收到的B的身份，它自身的身份以及先前所分发的秘密对称多项式来计算密钥，这样KA，B＝qA(xB)＝p(xA，xB)；5.在步骤105，B使用接收到的A的身份，它自身的身份以及先前所分发的秘密对称多项式来计算密钥，这样KA，B＝qB(xA)＝p(xB，xA)；和6.共享的，相等的秘密密钥为KA，B＝qA(xB)≡qB(xA)。
现有技术中的方法对于设备的不同能力不能起到杠杆作用，并且不能为每个使用提供多于一个的秘密会话秘钥。
因而需要有一个能允许不昂贵的低功率设备和昂贵的高功率设备来共享多个秘密会话密钥的解决方案，以允许未来这些设备间的安全通信。
本发明的系统和方法提供了基于多项式的密钥分发方案，其允许低成本低功率设备与高成本高功率的设备共享多个秘密会话密钥。
本发明的第一个优选实施方式是使用具有多个变量的多项式的密钥分发方案，且该方案应用于至少两种设备。
第二个优选实施方式是使用具有多个变量的多项式的密钥分发方案，所述变量在群的转置下是不变的，且该方案应用于至少两种设备。
用于非对称协议的第三个实施方式被提供，强迫偷听者去破解(break)至少一个较难于破解的设备，即高成本高功率设备。
第四个实施方式强迫对手去破解至少一个较难于破解的设备，即高成本高功率设备。
图1示出了共享密钥生成的现有技术的方法；图2示出了根据本发明的共享密钥生成的第一优选实施方式；图3示出了根据本发明的共享密钥生成的第二优选实施方式；图4示出了根据本发明的共享密钥生成的第三优选实施方式；图5示出了根据本发明的共享密钥生成的第四优选实施方式；图6示出了根据本发明所改进的设备；和图7示出了根据本发明所改进的，包括至少两个设备A和B 702的无线网络系统702。
本领域普通技术人员可以理解的是，下面描述是为了示意性的目的被提供，而非限制性的。本领域的技术人员可以理解，在本发明的精神以及所附的权利要求的范围中可以有多种变化。已知功能和操作的不必要的细节可以从当前描述中省略，以免模糊本发明。
在本发明的第一优选实施方式中，至少两种设备使用分发的多变量多项式来构建秘密密钥。
首先，定义具有多个变量的多项式，从而最大功率p(x1，…，xk)GF(q)k→+GF(q)其任一变量最大为n-1。多项式p(x1，…，xk)代表分发方案中的主密钥，且不在任何设备中存储；只有从p导出的多项式qA，qB等被预分发给A，B等。
考虑被分为集合A和B的两种设备。对于A∈A定义了具有多个变量的秘密多项式qA如下qA(yi+1,...,yk)=p(x1A,...,xiA,yi+1,...,yk)]]>对于B∈B定义了具有多个变量的秘密多项式qB如下qB(y1,...,yi)=p(y1,...,yi,xi+1B,...,xkB)]]>在交换了xjA和xjB之后，设备A和B使用它们各自的秘密多项式计算它们互相协定的秘密密钥KA，BKA,B=qA(xi+1B,...,xkB)=qB(x1A,...,xiA)]]>A类型的设备需要在GF(q)中存储nk-i+i个元素(多项式qA具有n次，且为具有k-i个变量的多项式，因此在GF(q)中我们需要nk-i个系数来描述qA，A的身份花费了GF(q)中的另外i个元素)，B类型的设备需要在GF(q)中存储ni+k-i个元素。
现在参考图2，不同类型的两个设备A和B之间的交互如下进行1.在步骤201，A和B每一个得到身份以及各自的多项式qA(yi+1,...,yk)=p(x1A,...,xiA,yi+1,...,yk)]]>和qB(y1,...,yi)=p(y1,...,yi,xi+1B,...,xkB)]]>2.在步骤202，A发送其身份x1A,...,xiA∈GF(q)]]>到B；3.在步骤203，B发送其身份xi+1B,···...,xkB∈GF(q)]]>到A；
4.在步骤204，A使用接收到的B的身份，以及为A先前所分发的秘密多项式qA来计算密钥，这样KA,B=qA(xi+1B,...,xkB)=p(x1A,...,xiA,xi+1B,...,xkB);]]>5.在步骤205，B使用接收到的A的身份，以及为B先前所分发的秘密对称多项式qB来计算密钥，这样KA,B=qB(x1A,...,xiA)=p(x1A,...,xiA,xi+1B,...,xkB);]]>和6.互相协定的秘密密钥为KA,B=qA(xi+1B,...,xkB)=qB(x1A,...,xiA).]]>A类型的设备需要在GF(q)中存储nk-i+i个元素。B类型的设备需要在GF(q)中存储ni+k-i个元素。
在优选实施方式中，A类型的设备为低成本低功率设备，B类型的设备为具有更多功能的高成本设备。
在本发明的第二优选实施方式中，至少两种设备使用分发的多变量多项式来构建秘密密钥，其中多项式在某个群的作用下是不变的。该实施方式提供方法来获得每一设备对的多个会话密钥，与第一实施方式的重复具有相同的性能。
考虑多项式p(x1，…，xk)GF(pm)k→GF(pm)其具有多个变量，该多项式在由GF(pm)上k×k矩阵所组成的群G下为不变的。这种多项式的构建由任意的多项式P(x)，x＝(x1，…，xk)开始，这样 在G下为不变的。即，对于每一个g∈G，评估p(x)＝P(gx)＝∏gоP(x)。
设n-1为p(x)中xj的功率最大值。
设1≤i＜k并定义s(G)＝{M∈Gxy(x1，…，xi，yi+1，…，yk)＝(y1，…，yi，xi+1，…，xk)M}考虑被分为集合A和B的两种设备。对于A∈A和对于B∈B，在交换了xjA和xjB之后，设备A和B计算用于每个矩阵M∈s(G)的唯一yA，B，M，这样它们互相协定的秘密密钥为KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M)]]>每一个设备对A和B可以共享统一分发的秘密会话密钥|s(G)|。然而，同种设备不能共享秘密。
除了对于上述第一实施方式所描述的存储，所有的设备都需要存储s(G)的参数表示。例如，如果G为循环群则只有其生成矩阵需要被存储。
例如G可以如下被生成。设H为群且如下定义群GG＝{hh|h∈H}。则M＝hh，我们有如下等式(yi+1A,B,M,...,ykA,B,M)=h(xi+1B,...,xkB)]]>(y1A,B,M,...,yiA,B,M)=h-1(x1A,...,xiA)]]>可以容易地显示，如果对于M1，M2∈G所有设备A和B的会话密钥都相等，则意味着M1＝M2且因此所有的会话密钥不同(除意外冲突之外)。
现在参考图3，不同类型的两个设备A和B之间的交互如下进行初始化阶段1.在步骤301，A和B每个都得到一个身份，各自的秘密多项式qA，qB以及s(G)的参数化表示；会话密钥生成阶段2.在步骤302，A随机选择s(G)中的M并发送M的参数表示以及A的身份x1A,...,xiA∈GF(pm)]]>到B；3.在步骤303，B发送其身份xi+1B,...,xkB∈GF(pm)]]>到A；4.在步骤304，A使用接收到的B的身份以及其自身的多项式qA计算密钥，这样KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M);]]>5.在步骤305，B使用接收到的A的身份以及其自身的多项式qB计算密钥，这样KMA,B=qB(y1A,B,M,...,yiA,B,M)=p(y1A,B,M,...,yiA,B,M,xi+1B,...,xkB);]]>和6.互相协定的秘密密钥为KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M).]]>在优选实施方式中，A类型的设备是低成本低功率的设备而B类型的设备是具有更多功能的高成本的设备。
第三实施方式是第二实施方式的变型，允许两个设备计算同样的密钥而无需更难于破解的设备暴露其身份。
对于低成本低功率设备A∈A以及对于高功率更多功能的设备B∈B，首先由A传输其身份至更难于破解的设备B。B然后使用其身份和多项式计算向量(yi+1A，B，M，…，ykA，B，M)。无需暴露其身份，B传输该向量给A，现在A能够计算KMA，B。该非对称协议没有暴露B的身份，并更为重要的是低成本且易于破解的设备无需存储群G的表示。
现在参考图4，相同类型的两个设备A和B之间的交互如下进行初始化阶段1.在步骤401，A和B每个都得到一个身份、秘密多项式，且B得到s(G)的参数化表示；会话密钥生成阶段2.在步骤402，A发送身份x1A,...,xiA∈GF(pm)]]>到B；3.在步骤403，B使用先前分发的群s(G)的参数化表示随机选择s(G)中的M，并使用接收到的A的身份以及其自身的多项式qB计算密钥，这样KMA,B=qB(y1A,B,M,...,yiA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M)]]>4.在步骤404，B计算并发送向量(yi+1A，B，M，…，ykA，B，M)给A；5.在步骤405，A使用接收到向量以及其自身的多项式qA计算密钥，这样KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M);]]>和6.互相协定的秘密密钥为KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M).]]>代替在第三实施方式中隐藏群G，第四实施方式通过存储A的加密版本而从A中隐藏A的身份。A的已加密的身份被发送给B，然后B使用主密钥(为B中的所有设备所知)来解密A的已加密的身份。这迫使偷听者去破解至少一个更难于破解的设备B。
如果A类型设备的身份以加密的形式存储在这些设备中，则基于获得A设备的q多项式的篡改攻击不能工作。所述攻击为了能工作必须知道身份。这意味着，攻击者被迫使去破解至少一个B设备以得到加密A设备身份的主密钥。
现在参考图5，相同类型的两个设备A和B之间的交互如下进行1.在步骤501，A和B每个都得到一个身份、、秘密多项式， 且B得到s(G)的参数化表示；2.在步骤502，A发送其已加密的身份E(x1A,...,xiA)∈GF(pm)]]>到B；
3.在步骤503，B解密接收到的A的身份，使用先前分发的群s(G)的参数化表示随机选择s(G)中的M，并使用A的已解密的身份以及其自身的多项式qB计算密钥，这样KMA,B=qB(y1A,B,M,...,yiA,B,M)=p(x1A,...,xiA,xi+1B,...,xkB)]]>4.在步骤504，B使用其身份以及多项式来计算向量(yi+1A，B，M，…，ykA，B，M)，并由B发送给A；5.在步骤505，A使用接收到向量以及其自身的多项式qA计算密钥，这样KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M);]]>和6.互相协定的秘密密钥为KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M).]]>现在参考图6，示出了根据本发明所改进的设备，包括天线601，收发信机602，其可操作地耦合到天线以根据多项式密钥分发模块603的指挥发送和接收消息，以及存储器604，其供多项式密钥分发模块603存储本发明的多项式密钥分发方案所要求的各种数据。
现在参考图7，所示出的无线网络系统700包括根据本发明所改进的至少两个设备A 701和B 702，设备A 701不同于设备B 702之处在于，A 701代表低成本低功率的设备的集合，B 702是高功率和功能性更强的设备。
通常，A类型设备是低功率设备，诸如盘上芯片，B类型设备是具有更强功能性的高功率设备，诸如盘播放器。
虽然本发明的优选实施方式已经示出和描述，本领域技术人员可以理解，不背离本发明的实质范围可以做出多种变化和修改，以及元素的等同替换。此外，适应于特定环境可以做出多种修改，诸如设备的相对能力，本发明的教导可以适用于多种等同方式，而不背离其中心范围。因此，并不旨在将本发明限于作为最佳模式公开的特定实施方式和预期执行本发明的替换方案，本发明包括落入所附的权利要求范围中的所有实施方式。
权利要求
1.一种在第一设备A(701)和不同的第二设备B(702)之间生成公共秘密的方法，包括步骤给所述第一和第二设备预分发(201)(301)(401)(501)各自的秘密唯一身份x1A，...，xiA和xi+1B，...，xkB基于主多项式p(x1，...，xk)GF(q)k→GF(q)各自的具有多变量的秘密多项式qA(yi+1,...,yk)=p(x1A,...,xiA,yi+1,...,yk)]]>和qB(y1,...,yi)=p(y1,...,yi,xi+1B,...,xkB)]]>其中qA(xi+1B,...,xkB)=qB(x1A,...,xiA)]]>通过至少一个所述第一设备与所述第二设备之间(402)(502)以及所述第二设备与所述第一设备之间交换(202)(203)(302)所述唯一身份；和由每个所述第一和第二设备用它们各自的秘密多项式计算(204)(205)(304)(305)(403)(405)(503)(505)公共秘密密钥为KA,B=qA(xi+1B,...,xkB)=qB(x1A,...,xiA)=p(x1A,...,xiA,xi+1B,...,xkB).]]>
2.权利要求1的方法，其中多项式在预确定的群G的作用下为不变的。
3.权利要求2的方法，其中预确定的群G包括GF(pm)上k×k矩阵，这样p(x1，...，xk)GF(pm)k→GF(pm)。
4.权利要求2的方法，其中多项式通过执行下面步骤而构建选择任意的多项式P(x)，x＝(x1，...，xk)，这样 即，对于每一个g∈G，评估p(x)＝P(gx))＝IIgоP(x)在G之下为不变的；定义s(G)={M∈G:∀x∃y(x1,...,xi,yi+1,...,yk)=(y1,...,yi,xi+1,...,xk)M};]]>在交换步骤(302)之后，对于(n-1)作为p(x)中xj的功率最大值且1≤i＜k，对于每个矩阵M∈sG)计算yA，B，M(304)(305)(404)(504)，这样它们互相协定的秘密密钥为KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M).]]>
5.权利要求4的方法，其中G＝{hh|h∈H}，H为群，M＝hh，且(yi+1A,B,M,...,ykA,B,M)=h(xi+1B,...,xkB)]]>(y1A,B,M,...,yiA,B,M)=h-1(x1A,...,xiA).]]>
6.权利要求4的方法，进一步包括步骤预分发s(G)的参数化表示(301)(401)(501)给从由设备A和设备B所组成的群中所选出的至少一个接收设备；并由至少一个接收设备随机选择元素M∈s(G)(302)(403)(503)。
7.权利要求6的方法，进一步包括由接收设备将所选择的元素的参数化表示发送(302)给由设备A和设备B所组成的群中其它设备的步骤。
8.权利要求6的方法，进一步包括分别由设备A和设备B将M∈s(G)的解yA，B，M的它们各自部分通过信道发送(404)(504)给设备B和设备A的步骤。
9.权利要求8的方法，其中所述交换步骤只由设备A执行(402)(502)，将设备A的身份发送给设备B；所述为每个矩阵M计算yA，B，M进一步包括步骤i.设备B计算密钥(403)(503)KMA,B=qB(y1A,B,M,...,yiA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M),]]>ii.设备B计算(403)(504)并发送向量(404)(504)(yi+1A，B，M，...，ykA，B，M)给A，以及iii.设备A使用所发送的向量、预分发身份和群s(G)的参数化表示来计算(404)(505)密钥，这样KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=p(x1A,...,xiA,yi+1A,B,M,...,ykA,B,M),]]>和KMA,B=qA(yi+1A,B,M,...,ykA,B,M)=qB(y1A,B,M,...,yiA,B,M).]]>
10.权利要求9的方法，其中所述预分发步骤将加密的身份作为身份预分发(501)给设备A，以及将主加密密钥预分发(501)给设备B用于解密该加密的身份；和所述由设备B为每个矩阵M计算yA，B，M的步骤进一步包括首先解密(503)所发送的设备A身份的步骤。
11.一种系统(700)，包括至少一个第一设备A(701)和至少一个不同的第二设备B(702)被安排执行权利要求1的方法。
12.一种设备(600)，配置为操作在由权利要求9的第一设备A和权利要求10的第二设备B所组成的群中的至少一个。
13.权利要求11的设备(600)，包括存储器(604)，用于存储设备A(701)和设备B(702)的预分发的唯一秘密身份、设备A(701)和设备B(702)的秘密多项式以及群G的参数化表示中的任一个。
14.一种系统(700)，包括至少一个第一设备A(701)和至少一个不同的第二设备B(702)被安排执行权利要求4的方法。
15.一种设备(600)，配置作为由权利要求14的第一设备A(701)和权利要求14的第二设备B(702)所组成的群中的至少一个操作。
16.权利要求15的设备(600)，包括存储器(604)，用于存储设备A(701)和设备B(702)的预分发的唯一秘密身份、设备A(701)和设备B(702)的秘密多项式以及群G的参数化表示中的任一个。
17.一种系统(700)，包括至少一个第一设备A(701)和至少一个不同的第二设备B(702)被安排执行权利要求7的方法。
18.一种设备(600)，配置作为在由权利要求17的第一设备A(701)和权利要求17的第二设备B(702)所组成的群中的至少一个操作。
19.权利要求18的设备(600)，包括存储器(604)，用于存储设备A(701)和设备B(702)的预分发的唯一秘密身份、设备A(701)和设备B(702)的秘密多项式以及群G的参数化表示中的任一个。
20.一种系统(700)，包括至少一个第一设备A(701)和至少一个不同的第二设备B(702)被安排执行权利要求9的方法。
21.一种设备(600)，配置作为在由权利要求20的第一设备A(701)和权利要求20的第二设备B(702)所组成的群中的至少一个操作。
22.权利要求21的设备(600)，包括存储器(604)，用于存储设备A(701)和设备B(702)的预分发的唯一秘密身份、设备A(701)和设备B(702)的秘密多项式以及群G的参数化表示中的任一个。
23.一种计算机程序产品(603)，用于使得至少一个处理器执行权利要求1的方法。
24.一种计算机程序产品(603)，用于使得至少一个处理器执行权利要求4的方法。
25.一种计算机程序产品(603)，用于使得至少一个处理器执行权利要求7的方法。
26.一种计算机程序产品(603)，用于使得至少一个处理器执行权利要求9的方法。
全文摘要
本发明涉及一种在低功率设备(701)和更先进的设备(702)之间共享多个会话密钥的系统(600)和方法。一种带有某个数量的参数的多项式算法被使用。对于低功率设备(701)大量的参数是固定的，对于高功率的设备(702)少量的参数是固定的。
文档编号H04L9/08GK101032116SQ200580033135
公开日2007年9月5日 申请日期2005年9月21日 优先权日2004年9月30日
发明者P·T·塔伊尔斯, M·E·范迪克 申请人:皇家飞利浦电子股份有限公司