专利名称:共亨机密元素的制作方法
共享机密元素
本发明涉及密码术,更确切地涉及在密码术系统中共享机密元素。
本发明特别是在其中有多个密码术模块共享诸如举例而言加密密钥之类 的机密元素的安全通信领域中获得应用。
密码术系统可包括共有机密元素的数个密码术模块。在此类状况下,产生 了在诸密码术模块之间共享该共同机密元素的问题。
某些密码术系统通过在不同的密码术模块之间实现协议来使得它们能够 共享同一机密元素。
这适用Diffie-Hellman和Menezes-Qu-Vanstone类型的动态密钥协定协议。 例如,专利文献WO 98/18234 "Key agreement and transport protocol with implicit signatures (使用隐式签名的密钥协定和传输协议)"(Vanstone、 Menezes
和Qu)提出对第一和第二密码术模块共同的机密元素——其在此实例中为会 话密钥——的动态和共同构造的方法。为生成这样的会话密钥,第一和第二密 码术模块根据特定协议交换信息。在此类状况下,该机密元素由此被至少两个 密码术模块动态地和共同地获得。
在这种类型的系统中,在至少两个密码术模块之间共享机密元素要求在那 些模块之间的多向的消息交换,其在这些密码术模块之间实现起来仍然相对简 单,但可能涉及大量组合且因此在基于在大量密码术模块之间共享机密元素的 系统中是高度复杂的。
基于共享机密元素的其它某些密码术系统是建立在所涉机密元素的单向 分发上的。在此类状况下,该机密元素事先存在并被发送给该系统的多个密码 术模块。
例如,这样的系统使用OTAR (空中密钥更换)类型的协议,举例而言如 由来自美国美国国家标准学会的公共安全通信官员联合会的APCO-25标准所 定义的协议(ANSI/TIA-102.AACA-1 "APCO Project 25 Over The Air Rekeying
(APCO项目25:空中密钥更换)")、以及由欧洲电信标准学会所定义的 'Terrestrial Trunked Radio (地面集群无线电),标准的等效协议(ETSI EN 300
392-7 "TETRAVoice+Data Part 7 Security (TETRA语音+数据,第7部分安
全性)"及其补充"TETRA MoU FPG Recommendation02 End匿to-End Encryption (TETRA MoU SFPG推荐02:端到端加密)",MoU代表谅解备忘录而SFPG
代表安全性和防欺诈团体)。此类协议使得能将同一机密元素单向分发给多个
密码术模块。
相应地,如果密码术系统包括大量密码术模块,则使用基于单向分发的机 密共享比使用如上所述及的基于动态协定协议的机密共享要容易。
然而,在使用单向分发协议的密码术系统中,产生对抗旨在违犯分发的信 息的机密性的攻击的保护的问题。实际上,在某些单向分发协议中,机密元素 是在单个分发协议序列中被发送的,这在面临某些攻击的情况下就可能代表有 弱点。
后一类的这些系统的另一个问题在于为该机密元素提供的协议序列的格 式。实际上,该格式可能由某个标准来确定。其因此对该机密元素强加可能并 不适合要在该密码术系统中共享的机密元素的最大尺寸。这在要分发比该标准 所涵盖的机密元素大的机密元素的情况下尤其适用。
某些标准提供不同的消息用于分发不同尺寸的机密元素。例如,提供用于 分发各自尺寸最多达128位、256位、160位或2048位的机密元素的消息。
然而,即使这种类型的标准提供关于要被分发的机密元素的尺寸的某些灵 活性,所选取的尺寸却仍继续受到由该标准所定义的消息中的一个能够管理的 最大尺寸的限制。因此,基于这样一个标准的系统不能单向地传送尺寸大于该 最大尺寸的机密元素。
因此,基于共享机密元素的单向分发的密码术系统具有不允许关于要被共 享的机密元素的格式有很大灵活性的缺点。
还存在用于共享共同机密元素的以基于部分信息的分发的'广播加密'过 程著称的方法。例如,专利文献EP 0 641 103 "Method and apparatus for key distribution in a selective broadcasting system (用于在选择性广播系统中进行密 钥分发的方法和装置)"(Fiat)描述了使用这样一种方法的系统。该文献提出
以部分信息的形式来广播共同机密元素以使得该机密元素能通过应用异或运 算来重构。给定的一组密码术模块中的每个模块都接收获得该机密元素所必需 的所有部分信息。然而,给定模块只能有效地访问到接收到的信息的一部分。 因此,为了重构该机密元素,该模块通过其它手段来恢复其不能访问到的收到信息。
在这样一种系统中,重构该共同机密元素所必需的任何部分信息都在同一 信道上一般向所有密码术模块进行广播。该特征具有提供了用于攻击要被共享 的元素的机密性的信道的缺点。
此外,机密元素的熵值——即如在香农意义下定义的机密元素的可能值的 范围的量度——基本上与每一个信息广播项的熵值相同。其结果是,这样的一 个系统不提供对与以上所述元素的格式相关的灵活性问题的任何解决方案。此 外,在该系统中,给定了机密元素的熵值,就必须生成相对大量的消息用于向 这些模块中的每一个传送该机密元素。
本发明的一个目标是提出分发由密码术系统的多个密码术模块所共享的 机密元素的能保护该共享元素的机密特性的方式。此外,在本发明的实现中, 本发明的分发提供关于该机密元素的尺寸的灵活性。
根据本发明的实施例,分发是建立在要被共享的机密元素是以至少两个以 划分的、独立的、或有区别的方式分开传送的部分机密信息项的形式来传 送——其中这些项能可互换地使用以表征在本发明中的部分机密信息项的传
输的这一事实上的。从所有这些部分机密信息项开始,就能够获得所涉的机密 元素。
应注意,对于相对于要被共享的机密元素、或共同元素传送的部分机密信 息项的数目并没有限制。这样的分发因此提供关于机密元素的格式尤其是尺寸 的很大灵活性。
通过分开传送与该共同机密元素相关的各种部分机密信息项,就可有效地 保护该共同元素的机密性。实际上,由于不同的部分机密信息项不在同一传输 信道上传送,因此对其机密性发动攻击更复杂,这是因为该机密元素被分隔在 至少两个分开的传输之间。
此外,在此类状况下,如果机密元素的尺寸大于每个部分信息项的尺寸, 则通过传输其它部分机密信息项就能够重构大于该最大尺寸的机密元素,即使
使用了 OTAR类型的传输协议来传输部分机密信息项且该部分机密信息项的 尺寸因此受该协议所允许的最大尺寸所限制亦是如此。
这样的区别可以是物理的;例如,其可对应于物理上分开的传输信道。该 区别也可以是逻辑上的,例如,第一和第二传输可根据不同的密码术参数、以 不同的保密性、认证、或完好性密钥来实行。还可设想通过组合以上区别来区 分所传送的相应各部分机密信息项。
在本发明的一个优选实施例中,提供分开的传输信道用于分开传输各种部 分机密信息项。本发明并不以任意方式限定于这种类型的实施例。实际上,其 涵盖能够在不同的部分机密信息项的传输之间加以区别以有效地保护机密性 的任何实施例。以下本发明在其使用两个信道来传送部分机密信息项的应用中 来描述。
为增强传输的分开本质,这两个传输的划分可以进一步具有时间本质,即 第一和第二部分机密信息项可在不同时间被传输。例如,第一部分机密信息项 可在制造密码术模块的阶段、该模块的初始化阶段、该模块的首次使用阶段、 一组模块的初始定义阶段、或一组模块的动态重定义阶段期间被注入到该密码 术模块中,而第二部分机密信息项可在该密码术模块的正常操作期间接收到。
应注意,仅从在单个传输中所传输的部分机密信息项不能获得该机密元 素。实际上,每个传输对应于所述元素严格意义上的部分传输。这意味着为针 对除第一和第二部分信息传输中的一者之外的所有传输的攻击在任何境况下 都不能获得该共同机密元素。
此外,作为例示说明性和非限定性示例,为了更加清楚,以下考虑该机密 元素以第一和第二部分机密信息项的形式来传送。然而应注意,对相对于该机 密元素传送的部分机密信息项的数目并没有限制,且因此对要实行的分开的部 分传输的数目也没有限制。
第一和第二部分机密信息项自身可以用多个相应各部分机密信息项的形 式进行传送。以下,仅作为例示说明,第一部分机密信息项以单个信息项K0 的形式进行传送,而第二部分机密信息以多个信息项^-Kn的形式进行传送。
本发明的第一方面提出一种与至少一个密码术模块共享机密元素的方法。 对于可从至少第一和第二部分机密信息项获得的机密元素,该方法包括
/a/用于将第一部分机密信息项传送给该密码术模块但不传送第二部分 信息项的第一传输;
/b/用于将第二部分机密信息项传送给该密码术模块但不传送第一部分 信息项的第二传输,所述第二传输是与第一传输分开的;
/c/在该密码术模块中从所传送的第一和第二部分机密信息项获得该机 密元素。
借助于这些特征,通过以这种方式来划分要被共享的机密元素,就能够-第一,共享大机密元素,以及第二,保护以对抗对该共享元素的机密性的攻击。 实际上,给定了由某些标准强加的格式限制,通过以这种划分的形式传送该机 密元素,就能如上所指出地传送尺寸相对较大的机密元素。此外,藉由将传输 划分成多个独立的分开传输,就能通过使得由第三方对该机密元素的任意重构 变得更加复杂来增加对抗攻击的保护。
在本发明的一个优选实现中,机密元素的熵值基本上等于第一和第二部分 机密信息项的累积熵值,即,第一和第二部分机密信息项的熵值的总和。因此, 能够最小化关于给定机密元素所传送的信息的总量——特别是与以上所提及 的其中对所传送的部分信息项实行异或运算作的现有技术系统相比。
在本发明的一个实现中,目标是相对于各个部分信息项的相应熵来最大化
该机密元素的熵。
应注意,在本发明的一个实现中,密码术模块能够独立于且自主于同一密 码术系统的其它密码术模块地来从部分信息项获得该机密元素,这与如上所述 的使用动态密钥协定协议来获得机密元素的密码术模块尤成对比。
为了区别、划分第一和第二传输,第一传输可在第一物理传输信道中实行 而第二传输可在与第一物理信道分开的第二物理传输信道中实行。以此方式, 机密元素得到相对较好的保护以免受攻击。
第一和第二物理信道也可以是使用相应各不同无线电技术的无线电信道。 例如,可提供使用诸如蓝牙等的短程无线电技术的一个信道以及使用诸如GSM (全球移动通信系统)等蜂窝无线电技术的另一个信道。
还可设想第一和第二物理信道是使用不同技术的物理信道。例如,可将使 用符合IPSEC (网际协议安全性)传输协议的因特网技术的直接注入信道与使 用其它某种技术的另 一信道一起在电缆介质上提供。
第一物理信道还可以是直接注入到密码术模块的电缆信道,而第二物理信 道可以是无线电信道。
第一物理信道可对应于密码术模块到外围存储的连接,而第二物理信道可 以是无线电信道。
也可通过在第一逻辑传输信道中实行第一传输而在与所述第一逻辑信道 分开的但建立在与第一逻辑信道相同的物理信道上的第二逻辑传输信道中实 行第二传输来区别第一和第二传输。
在步骤/c/中,可通过对第一部分机密信息项和第二部分机密信息项应用单
向函数来获得机密元素。
本发明的第二方面提出一种在使用机密元素的密码术模块中实现的密码
术方法,其中该机密元素是藉由本发明的第一方面的共享方法从至少第一和第
二部分机密信息项获得的。
此外可规定还使用个人化密钥来实现这样的密码术方法。 随后可在该密码术模块中经由同一物理信道接收该个人化密钥和第一部
分机密信息项。
本发明的第三方面提出适用于共享能从至少第一和第二部分机密信息项 获得的机密元素的密码术系统的一种密码术模块,这些部分机密信息项使得能 够获得该机密元素。
该密码术模块可包括
接收接口 ,适用于通过第一传输接收第一部分机密信息项而非第二部分 信息项,并通过与第一传输分开的第二传输接收第二部分机密信息项而非第一 部分信息项;
,用于获得机密元素的单元,该单元适用于从第一和第二部分机密信息项 获得机密元素;以及
密码术单元,适用于在该机密元素的基础上执行密码术运算。 这样的密码术运算可对应于诸如对要被传送的数据进行加密和/或证明完
好性以及相应地对接收到的数据相应地进行解密和/或验证完好性的运算。 在本发明的一个实施例中,接收接口包括 ,适用于接收第一部分机密信息项的第一接口;以及 与第一接口分开且适用于接收第二部分机密信息项的第二接口。 第一接口可适用于经由直接注入电缆信道接收第一部分机密信息项,而第 二接口可适用于经由无线电信道接收第二部分机密信息项。 该直接注入信道可对应于到外围存储的连接。
该密码术单元可适用于借助由个人化密钥参数化的密码术算法来实行密 码术运算;密码术运算对应于例如数据加密或解密运算。第一接口还可适用于 将个人化密钥路由到密码术单元并将第一部分机密信息项路由到用于获得机 密元素的单元。
这样的密码术模块还可适用于与另一密码术模块共享与该密码术模块的 个体身份相关的机密信息项。
当该密码术模块属于一组密码术模块时,其还可适用于共享与该组密码术 模块的身份相关的机密信息项。
本发明的第四方面提出一种包括根据本发明第三方面的密码术模块的终端。
本发明的第五方面提出一种用于在包括多个密码术模块的密码术系统中 分发机密元素的中心。 该分发中心包括
划分单元,适用于将机密元素划分成至少第一和第二部分机密信息项, 所述机密元素可从所述这些部分机密信息项获得;以及
*接口,适用于向这多个密码术模块分别通过第一传输分发所述第一部分 信息项而不分发第二部分机密信息项,以及通过与第一传输分开的第二传输分 发第二部分信息项而不分发第一部分机密信息项。
本发明的第六方面提出一种包括多个根据本发明的第三方面的密码术模 块以及根据本发明第五方面的机密元素分发中心的密码术系统,其中机密元素 是借助于根据第一方面的共享方法来分发的。
本发明的其它方面、目标、以及优势在阅读了对其实现之一的描述后将变
得显而易见。
在附图的帮助下也可更好地理解本发明,附图中
图1示出现有技术的密码术模块; 图2示出根据本发明的密码术系统的一个实施例; 图3示出根据本发明的密码术模块的一个实施例的架构; 图4示出根据本发明的密码术模块的一个实施例的另一架构; *图5示出根据本发明的用于获得共享机密元素的单元的一个实施例的架
构;
*图6示出其中第一传输经由第一信道实行而第二传输经由第二信道实行 的本发明的一个实施例;
图7示出根据本发明的密码术模块的一个实施例的架构; 图8示出根据本发明的机密元素分发中心的一个实施例。
以下将在本发明对具有直接数据注入信道——S卩,对应于经由机械或电气 接口直接连接到密码术模块的物理连接的信道_—的密码术模块的应用中来 描述本发明。这样的直接注入信道可对应于通过光纤的传输、串行链路类型的 传输、或来自智能卡、或USB (通用串行总线)钥匙盘、或其它某种存储器介 质的传输。可有利地将某些现有技术密码术模块中已经存在的直接注入信道用 于该目的。
图1示出这样的现有技术密码术模块。这样的一个密码术模块包括根据密 码术算法操作的密码术单元11。该密码术单元在第一输入14处接收密码术个 人化密钥PK并在第二输入15处接收机密元素或会话密钥SK。个人化密钥PK 可对应于密码术算法参数(算子变量算法配置字段(OP,OPc)),例如,如在第 三代合作伙伴计划(3GPP)文献TS 35.206 v6.0.0. "3G Security: specification of the MILENAGE algorithm set; An example algorighm set for the 3 GPP authentication and key generation flinction fl, fl*, f2, f3, f4, f5 and f5*; Document 2: algorithm specification; Release 6 (3G安全性MILENAGE算法集规范;用 于3GPP认证和密钥生成函数fl、 fl*、 G、 f3、 f4、 f5和f5f的示例算法集;
文献2:算法规范,发行版6)"中所定义的。
以下作为例示说明和非限定性示例,根据本发明的一种实现来分发的要被 共享的机密元素SK是会话密钥。
使用密钥PK和SK,密码术单元11能够将在信道12上接收到的明文PT 以及要在信道13上发送的密文CT加密,以及反之将接收到的经加密文本解密。
在一个不同的实施例中,也是使用密钥PK和SK,密码术单元ll能够以 要在信道13上发送的密文CT的形式证明在信道12上接收到的明文PT的完 好性,以及反之验证接收到的密文的完好性。
在本发明的一个实施例中,对应于第一输入14的注入信道可有利地被用 作第一传输信道,用于传送第一部分机密信息项Ko。
图2示出本发明的密码术系统23的一个实施例。在本发明的一个实施例 中,这样的系统包括多个密码术模块20和适用于分发机密元素的密钥分发中 心(KDC) 21。作为说明性示例,第一部分机密信息项K。通过第一信道cl传 送,而第二部分机密信息项K,一K。通过第二信道c2——例如OTAR类型的无 线电信道传送。
图3示出本发明的密码术模块20的一个实施例的架构。这样的密码术模 块包括适用于在相应各个分开的传输中接收部分机密信息项的接口 30。该接口 30包括适用于经由第一传输信道cl接收第一部分机密信息项Ko的第一接口单 元31、以及适用于经由第二信道c2接收第二部分机密信息项的第二接口单元 32。该密码术模块还包括适用于从第一和第二部分机密信息项获得所分发的机 密元素SK的单元33、以及适用于执行对称密码术算法的密码术单元11。该密 码术单元适用于在由单元33所提供的机密元素SK的基础上加密在信道12上 接收到的文本PT和/或以要在信道13上发送的文本CT的形式证明文本PT的 完好性。该密码术单元还适用于在由单元33所提供的机密元素SK的基础上解 密经由信道13接收到的文本CT和/或验证文本CT的完好性并在信道12上提 供文本PT。
本发明可方便地实现在基于使用其它输入参数来执行密码术运算__例 如将文本PT加密或证明其完好性的密码术算法——的密码术模块中。实际上, 本发明并不以任何方式受要在密码术单元11中执行的对称密码术算法的类型
所限定。
相应地,图4示出根据本发明一个实施例的另一密码术模块架构,在其中 密码术算法接收个人化密钥PK作为进一步输入。接口单元31适用于将该密钥
PK路由到密码术单元11并将第一部分机密信息项Ko路由到单元33。个人化 密钥PK和第一部分机密信息项可有利地经由同一接口 31注入到密码术模块 中。它们可在不同的时间被注入。例如,个人化密钥可在工厂里被注入到密码 术模块20中,而第一部分机密信息项稍后在任用该密码术模块时,或甚至更 晚在该模块的初始化阶段、在一组模块的初始定义阶段、或在一组模块的动态 重定义阶段被注入。第一部分机密信息项甚至可在该密码术模块正在操作时定 期地更新。个人化密钥和第一部分机密信息项也可在基本相同的时间注入。
在本发明的特定实现条件下,能够规定密钥PK的值与第一部分机密信息 项K。的值相类似或相同。然则相同信息项可有利地被用作密码术单元11的输 入以及用作单元33的输入。
图5示出构成本发明的一个实施例的用于获得共享机密元素的单元33的 架构。此类单元有利地采用计及第一和第二部分机密信息项的单向函数。
在图5中,用于获得机密元素的单元33接收第一和第二部分机密信息项。 接收到的部分机密信息项随后被提供给组合函数51。
用于组合第一和第二部分机密信息项的组合函数51可以是任何类型的函 数。它可以是级联函数或有利地是任何其它非线性函数。
在本发明的一个优选实施例中,该函数确定组合信息项,其随后被提供给 密码术函数52。该函数可创建从组合函数51接收到的组合信息项的数字指纹。 此密码术函数52适用于从组合函数51所提供的组合信息项获得共享机密元素 SK。
密码术函数52可以是例如本领域的技术人员所熟知的类型的散列函数、 或者对应于如由ISO/ICE标准18033-2 'Information technology; Encryption algorithms; Part 2 Asymmetric cipher (信息技术;加密算法;第2部分非对称 密码'所定义的KEM (密钥封装机制)类型的封装函数的解封装函数。
组合函数和密码术函数优选地获得熵值基本上等于第一和第二部分机密 信息项的熵值的总和的元素SK。
当单元33获得机密元素SK时,其随后作为输入被提供给密码术单元11。 密码术单元11适用于将经由信道12接收到的文本PT加密以保护其以经加密 形式CT经由信道13进行的传输。密码术单元11还适用于经由信道13接收以 经加密形式从另 一模块传送来的文本CT并将其解密以经由信道12提供经解密 的文本PT。
应注意,组合函数51和密码术函数52有利地对应于机密元素分发中心 21所应用的将机密元素划分成多个部分机密信息项的方法,从而使得密码术模 块20能够从所传送的这多个部分机密信息项获得该机密元素。
图6示出本发明的一个实施例,其中第一传输经由直接注入第一信道cl 实行,而第二传输经由使用OTAR类型协议的无线电信道c2实行。这两个密 码术模块20相互独立地获得该共同的共享机密元素。它们随后能够以尤其基 于该共同机密元素SK加密的形式来交换信息。
图7示出本发明另一实施例中的密码术模块的架构。这样的密码术模块 20包括根据对称密码术算法进行操作的密码术单元11,其接收在本发明的一 个实施例中此处由单元33所提供的会话密钥SK作为输入用于获得该机密元 素。单元33可有利地采用概率加密,例如使用双线性形状以及椭圆曲线上的 —组点。其原理可类似于在文献WO 03/017559 "System and method of identity-based encryption and related cryptographic techniques (基于身份的力卩密及 相关密码术技术的系统和方法)"(Boneh, Franklin)中所解释的原理。
根据这样的原理,在传送端,此处记为Kx的补充信息项也由单元33获得 并经由信道13与经加密的流CT相关联地传送。
根据该同一原理,为了解密接收到的文本CT,在接收端需要与所涉目的 密码术模块的个体身份相关的机密信息项(相应地还有包括所述密码术模块的 一组目的密码术模块的身份)。这样的身份信息项随后可有利地根据基于本发 明的一种实现的机密元素共享方法——即,在至少两个分开的严格意义上的部 分传输中——传送给密码术模块。
相应地,该机密元素共享方法使得密码术模块能够获得与所述密码术模块 的个体身份(具体地是包括所述密码术模块的一组密码术模块的身份)相关的 机密信息项。
图8示出本发明一实施例中的机密元素分发中心21。这样的分发中心适
用于以至少两个分开的传输的形式来分发要被共享的机密元素。为此目的,分
发中心21包括适用于使用特定划分法将要被共享的机密元素SK分别划分成至 少第一和第二部分机密信息项K。和Ki -Kn的划分单元81。本发明涵盖能够划 分该机密元素的所有方法。优选使用尽可能多地避免第一和第二部分机密信息 项之间的信息冗余的划分法。这使得其能在提供最大熵的同时获得基于机密元 素的部分分发的系统。该划分法因此优选地验证该机密元素的熵值基本上等于 将对应于相应各部分机密信息项的熵值求和所得到的熵值。
这样的分发中心包括适用于分别通过第一传输和通过与第一传输分开的 第二传输向各个密码术模块分发第一部分机密信息项KQ和第二部分机密信息 项K,-K。的接口 82,其中每个传输关于该机密元素皆为严格意义上部分的。
该接口适用于验证上述第一和第二传输的使得这些传输能够被区别的特性。
如果这两个传输是分开的并且在两个分开的物理传输信道上实行,则接口 82可有利地包括适用于实行第一传输的第一接口 83以及适用于与第一传输分 开地实行第二传输的第二接口 84。
如上所述,第一接口 83可适用于向可能直接连接到密码术模块20的外围 存储传送第一部分机密信息项K。以将该第一部分机密信息项注入到其中。
第二接口 84可适用于经由例如使用OTAR类型的传输协议的无线电信道 来传送第二部分机密信息项K0。
本发明还可方便地在使用多组i个密钥——例如多组的密钥三元组——的 情况中应用。在这种情况下,如果密码术单元11需要一组会话密钥三元组SKA、 SKb和SKc,则可以按如上关于单个机密元素SK所解释的相同方式以部分机 密信息项的形式传送相应各第一部分机密信息项KQA、 K旭和K()c并以部分机 密信息项三元组的形式传送诸第二部分机密信息项。本发明一个实施例中的单 元33随后适用于获得相应的会话密钥SKA、 SKb和SKc。
本发明不以任何方式限定于两个分开的传输。实际上, 一旦要被共享的机 密元素被"拆分"成两个以上的部分机密信息项,使用更多数目个分开传输就 可有利地增加对抗攻击的保护。
一般来说,借助于这样的规定,就能够在有利地不会全部被第三方监视的 诸物理信道上并行且独立地传送严格意义上的部分机密信息项。
本发明还在非对称加密的背景中传送机密元素方面获得应用。实际上,在 本发明的一种实现中,该机密元素可对应于私钥、机密密钥、或椭圆曲线上的 一点。不管本发明的应用领域为何,其均有利地提供很大的灵活性,特别是提 供了关于要被分发的机密元素的长度的灵活性,其不拘于所使用的传输协议, 即使该协议涉及关于所传送的机密元素的尺寸限制亦是如此。
本发明不以任何方式在要被分发的机密元素的类型方面受限定,且这类元 素尤其可对应于同步信息项、身份信息项或密钥管理项。
本发明具有如下优点,其可通过以机密的严格意义上的部分信息的至少两
个独立的分别传输的形式来传送要被分发的共同机密元素来容易地实现在密 码术系统中以提供关于该共同机密元素的尺寸的更大灵活性。在这样的背景 中,除关于该机密元素的尺寸的灵活性之外,还可增强对要被分发的元素的机 密特性的保护,这是因为若要攻击必须监视至少两个分开且独立的传输。
此外,为限制传输消息的数目,本发明提出以多个部分机密信息项的形式 来传送具有某特定熵值的机密元素,其中这多个部分机密信息项的相应各熵值 的总和基本上等于该机密元素的熵值,这与上面描述的其中机密元素的熵基本 上与每个部分信息项的熵相同的'广播加密'类型的系统形成对比。
权利要求
1.一种与至少一个密码术模块(20)共享机密元素(SK)的方法,其中所述机密元素可从至少第一和第二部分机密信息项(K0;K1-Kn)获得,所述方法包括·/a/用于将所述第一部分机密信息项传送给所述密码术模块但不传送所述第二部分信息项的第一传输;·/b/用于将所述第二部分机密信息项传送给所述密码术模块但不传送所述第一部分信息项的第二传输,所述第二传输是与所述第一传输分开的;·/c/在所述密码术模块中从所述所传送的第一和第二部分机密信息项获得所述机密元素。
2. 如权利要求1所述的共享方法,其特征在于,对应于所述机密元素(SK) 的熵值基本上等于对应于所述第一部分机密信息项(Kq)和对应于所述第二部 分机密信息项(IQ-Kn)的相应各熵值的总和。
3. 如权利要求1或2所述的共享方法,其特征在于,所述第一传输是在 第一物理传输信道(cl)中实行的,并且所述第二传输是在与所述第一物理信 道分开的第二物理传输信道(c2)中实行的。
4. 如权利要求3所述的共享方法,其特征在于,所述第一和第二物理信 道是使用不同的相应无线电技术的无线电信道。
5. 如权利要求3所述的共享方法,其特征在于,所述第一物理信道是直 接注入到所述密码术模块的电缆信道,并且所述第二物理信道是无线电信道。
6. 如权利要求3所述的共享方法,其特征在于,所述第一物理信道对应 于所述密码术模块到外围存储的连接,并且所述第二物理信道是无线电信道。
7. 如以上权利要求中任一项所述的共享方法,其特征在于,所述第一传 输是在第一逻辑传输信道中实行的,并且所述第二传输是在与所述第一逻辑信 道分开但建立在与所述第一逻辑信道相同的物理信道上的第二逻辑传输信道 中实行的。
8. 如以上权利要求中任一项所述的共享方法,其特征在于,在所述步骤 /c/中,所述机密元素(SK)是通过对所述第一部分机密信息项(KQ)和所述 第二部分机密信息项(Ki-K》应用单向函数来获得的。
9. 一种在使用机密元素(SK)的密码术模块(20)中实现的密码术方法, 其中所述机密元素是通过如权利要求1到8中任一项所述的共享方法从至少第 一和第二部分机密信息项(KQ;Kn)获得的。
10. 如权利要求9所述的密码术方法,其特征在于,所述密码术方法在实 现时使用个人化密钥(PK)。
11. 如权利要求10所述的密码术方法,其特征在于,所述个人化密钥(PK) 和所述第一部分机密信息项(Ko)在所述密码术模块(20)中是经由相同物理 信道(cl)接收到的。
12. 适用于共享能从至少第一和第二部分机密信息项(KQ; K, - Kn)获 得的机密元素(SK)的密码术系统中的一种密码术模块(20),所述部分机密信息项使得能够获得所述机密元素,所述密码术模块包括 接收接口 (30),适用于通过第一传输接收所述第一部分机密信息项(K0)而非所述第二部分信息项,并通过与所述第一传输分开的第二传输接收所述第 二部分机密信息项(Ki-Kn)而非所述第一部分信息项;*用于获得机密元素的单元(33),适用于从所述第一和第二部分机密信 息项获得所述机密元素(SK);以及,密码术单元(11),适用于在所述机密元素的基础上执行密码术运算。
13. 如权利要求12所述的密码术模块(20),其特征在于,所述接收接 口 (30)包括 适用于接收所述第一部分机密信息项(Ko)的第一接口 (31); 与所述第一接口分开且适用于接收所述第二部分机密信息项(K,-K。) 的第二接口 (32)。
14. 如权利要求12或13所述的密码术模块(20),其特征在于,所述第 一接口 (31)适用于经由直接注入电缆信道(cl)接收所述第一部分机密信息 项,并且所述第二接口适用于经由无线电信道(c2)接收所述第二部分机密信 息项。
15. 如权利要求14所述的密码术模块(20),其特征在于,所述直接注 入信道(cl)对应于到外围存储的连接。
16. 如权利要求12-15中任一项所述的密码术模块(20),其特征在于, 所述密码术单元(11)适用于使用个人化密钥(PK)作为参数来实行密码术运 算,并且所述第一接口 (31)还适用于将所述个人化密钥路由到所述密码术单 元(11)并将所述第一部分机密信息项(KQ)路由到所述用于获得机密元素的 单元(33)。
17. 如权利要求12-16中任一项所述的密码术模块(20),其特征在于, 还适用于与另一密码术模块共享与所述密码术模块的个体身份相关的机密信 息项。
18. 如权利要求12-17中任一项所述的密码术模块(20),其特征在于, 还适用于共享与一组密码术模块的身份相关的机密信息项,所述密码术模块属 于所述一组密码术模块。
19. 一种包括如权利要求12-18中任一项所述的密码术模块的终端。
20. —种用于在包括多个密码术模块的密码术系统中分发机密元素的中 心,所述分发中心包括*划分单元(81),适用于将机密元素(SK)划分成至少第一和第二部 分机密信息项(KQ-Kn),所述机密元素可从所述诸部分机密信息项获得;以 及-接口 (82),适用于向所述多个密码术模块分别通过第一传输分发所述 第一部分信息项(KQ)而不分发所述第二部分机密信息项,以及相应地通过与 所述第一传输分开的第二传输分发所述第二部分机密信息项(Kt-Kn)而不分 发所述第一部分机密信息项。
21. 如权利要求20所述的机密元素分发中心(21),其特征在于,所述 接口 (82)包括,适用于执行所述第一传输的第一接口 (83);以及 ,适用于执行与所述第一传输分开的第二传输的第二接口 (84)。
22. 如权利要求21所述的机密元素分发中心(21),其特征在于,所述 第一接口 (83)适用于向外围存储传送所述第一部分机密信息项(Ko)。
23. 如权利要求21或22所述的机密元素分发中心(21),其特征在于, 所述第二接口 (84)适用于经由无线电信道传送所述第二部分机密信息项(Ki -Kn)。
24. —种密码术系统(23),其包括多个如权利要求12到16中的任一项 所述的密码术模块(20)以及如权利要求20到23中的任一项所述的机密元素 分发中心(21),其中机密元素是借助于如权利要求1到8中任一项所述的共 享方法来分发的。
全文摘要
与密码术模块(20)共享机密元素。该机密元素可从至少第一和第二部分机密信息项获得。第一传输将第一部分机密信息项传送给该密码术模块但不传送第二部分信息项。第二传输将第二部分机密信息项传送给该密码术模块但不传送第一部分信息项,该第二传输是与第一传输分开的。随后可在密码术模块中从所传送的第一和第二部分机密信息项获得该机密元素。
文档编号H04L9/08GK101366229SQ200680051896
公开日2009年2月11日 申请日期2006年12月19日 优先权日2005年12月20日
发明者F·鲁索, J-M·坦科斯, M·默弗隆 申请人:易兹安全网络公司