专利名称:用于在通信网络中两个节点之间建立秘密密钥的方法
技术领域:
本发明涉及一种用于在通信网络(特别是无线局域网(WLAN)) 中两个节点之间建立秘密密钥的方法。
背景技术:
为了在通信网络中两个节点之间建立秘密密钥,通常使用密钥交 换协议。已知的密钥交换协议例如是Diffie-Hdlman算法,特别是椭圆 曲线上的Diffie-Hellman,或基于RSA的方法。己知方法的安全性基于 所谓单向功能的应用。在这种情况下,Diffie-Hdlman算法利用自乘运 算是非常简单的计算运算的事实,但与此相反,数的离散对数的计算 需要花费极大的努力才可能实现。
在执行己知方法之后,算法中涉及的A和B方处理仅有他们将获知
的秘密密钥K。但是在已知方法的情况下,并没有对密钥交换本身进 行保密,这在特定环境可能是不利的。例如,当执行Diffie-Hellman密 钥交换时,发起方首先必须通过不安全介质发送两个值。在公共符号 中,这两个值是素数p以及生成元g,然后可以基于素数p以及生成元g, 根据= (g。 mod力* mod P = (gA mod力。来计算共享密钥。变量a和b 表示由双方选择的随机数。仅由于通过不安全介质发送具有值g、 p(以 及通常还有^:g。modp)的消息的事实,拦截该消息的攻击者可能已
经得出某些结论,例如在最简单的情况下,得出发生密钥一致的事实 以及谁是发起方。
发明内容
因此,本发明的目的是改进和进一步开发用于在通信网络中的两 个节点之间建立秘密密钥的最初描述类型的方法,以这样的方式,隐 藏发生密钥交换的事实。
4根据本发明,通过包括权利要求l特征的方法来实现上述目的。 根据该权利要求,最初描述类型的方法的特征在于
节点之一 (第一节点)对可由另一节点(第二节点)接收的一个 或多个分组进行广播,其中,每一分组均包含第一密钥,并且其中, 在发送每一分组之前,用第二密钥对每一分组进行加密;
第二节点从接收到的分组中随机地选择一个分组,并对所选分组 的加密进行破译以便获得第一密钥;以及
第二节点发起密钥交换协议,其中,第二节点用已揭示的密钥对 要被发送以发起密钥交换协议的消息进行加密。
根据本发明,首先认识到,可以通过执行密码单元(数据加密) 和密写单元(使数据不可见)相结合的协议来全面实现密钥交换的隐 藏。密写单元具体在于节点之一对一个分组或多个分组进行广播的 事实,其中,每一分组均包含第一密钥,并且其中,在对每一分组进
行广播之前,用第二密钥对每一分组进行加密。可以由从接收到的分 组中随机地选择一个分组的第二节点来接收分组。通过运行强力攻击, 第二节点对所选分组的加密进行破译,并因此获得利用分组而传输的 第一密钥。在下一步骤中,第二节点使用己揭示的密钥来发起密钥交 换协议。具体地,第二节点用已揭示的密钥对必须要被发送以发起密 钥交换协议的消息进行加密。
在根据本发明的方法的情况下,仅有加密的消息通过公共介质 (如公共广播链路)而被广播,由此攻击者不可能发现消息是密钥交 换协议的一部分或用来发起密钥交换协议。即使攻击者能够对分组进 行解密,但在攻击者没有投入(相当大的)进一步努力的情况下,也 认为所获得的信息本身是无用的,这是由于攻击者不知道另一节点将 从多个分组中随机地选择哪个分组。
为了进一步提高安全性,可以提出通过在由第一节点发送包含 第一密钥的分组与第二节点对加密进行破译或发起密钥交换之间,插 入预定义持续时间的等待时间,来加强密写单元。在该时间期间,网 络的其余节点在其普通的通信的环境下交换加密的消息,并使攻击者 更难发现任何关于发生密钥交换的情况。
5在有利实施例的环境下,提出第一节点存储具有已发送的第一 密钥的列表。当第一节点接收到由第二节点发送的、发起密钥交换协 议的消息时,第一节点可以仔细检查该列表,以尝试用所存储的密钥 中的一个对接收到的消息进行解密。当第一节点已经发现可用来对发 起密钥交换协议的消息进行加密的密钥时,在下一步骤中可以提出 第一节点采用所找到的密钥对来自第一节点一侧的密钥交换协议的、 第一节点的消息进行加密。在备选实施例中,可以提出将标识符附 在可由另一方恢复而不能由攻击者恢复的消息上。为此,例如,可以 采用对所使用的相应密钥进行标识的随机数。
采用如容易破译的加密的有利方式,设计第一节点用以对巳发送 分组进行加密的第二密钥。由于攻击者不知道第二节点将从多个已发 送的分组中选择哪个分组,因此攻击者尽管解密但不获得任何信息, 从这方面来说,在通过公共信道发送分组时攻击者可以容易地破译简 单加密的事实是无关的。
关于本方法的灵活应用,可以提出根据相应的安全性要求来定 义第一节点用以对分组进行加密的密钥的长度。在具体的示例中,可
以选择RC5加密,其中,假定具有密钥长度在16和64比特之间的RC5
加密适合于多种可能的应用中。
关于简化,可以提出将每种情况下都利用分组而传输的第一密 钥《和用于对相应分组进行加密的第二密钥A选择为相同。
在具体应用情形的环境下,节点之一可以是例如网络的接入点。 另一节点可以是与接入点相关联的节点,其中,在该节点在接入点处 注册的环境下,所述方法可以运行在接入点和该节点之间。
关于安全性的进一步提高,可以提出周期性地对分组进行广播。 这就再次加强了密写单元,这是由于与新节点是否向网络注册的事实 无关地执行该过程。由于发送分组的过程与网络中节点的任何关联过 程完全分开,因此,攻击者不可能发现密钥交换何时开始。为了避免 不必要的数据流量(特别是当向WLAN应用时),可以提出需要由第
一节点发送的分组是通常以100毫秒的常规时间间隔、以任何方式发送
的信标。换言之,将需要由分组传输的第一密钥《集成到信标的未使
6用字段中。
备选地,可能向在网络内发送的所有分组附加第一密钥《。 此外,在具体应用情形的环境下,可以提出所发起的密钥交换
是Diffie-Hellman密钥交换。还可以设想出如RSA之类的其他方法。
存在若干方式以有利地设计并进一步开发本发明的教导。因此, 一方面需要参照从属于专利权利要求l的专利权利要求,另一方面需要 参照附图所示的、作为示例的对本发明优选实施例的以下说明。结合 借助附图所作的对本发明优选实施例的说明,将对一般优选实施例和 教导的进一步开发进行说明。在附图中,
唯一的附图示意性地示出了根据用于在接入点与关联的节点之 间建立秘密密钥的本发明的方法的实施例的示例。
唯一的附图示意性地示出了根据基于无线局域网的接入点AP与 关联的节点A的本发明的方法的实施例的示例。
具体实施例方式
在第一步骤中,接入点AP产生多个分组《。每一分组f均包含第 一密钥尺,。接入点AP利用第二密钥&对每一分组《进行加密,并通过 无线链路发送以这样的方式加密的分组《,从而使节点A可以接收该 分组《。在具体示出的实施例中,利用块密码RC5对分组《进行加密。
在下一步骤中,节点A从多个接收到的分组s中随机地选择分组 Pm。通过运行强力攻击,节点A破译所选分组^的加密从而获得密钥 《。由于接入点AP使用相对弱的加密对分组s进行加密,因此可以通
过适当的努力来执行强力攻击。
在第三步骤中,节点A使用所找到的密钥&来发起与接入点AP
的密钥交换协议。在所示的实施例中,密钥交换协议遵从已知的 Diffie-Hellman算法。具体地,节点A以自身已知的方式产生素数p以及 生成元g (2《g^p-2)。节点A发送包含值g、 p和A的消息,其中,值A 计算如下^-g。modp。 a由节点A选择的、未公开的随机数。以加密的方式发送包含值g、 p和A的消息,其中,节点A采用所找到的密钥^ 来对消息进行加密。
接入点AP对由节点A接收到的消息进行解密,其中,在所示的实 施例中,接入点AP己存储了包含利用分组《发送的所有第一密钥《的
表。接入点AP访问该表并逐个测试密钥,直到碰到可用以成功解密的 密钥i^。因此,在接入点AP —方,接入点AP产生随机数b,计算
S二,modp,并向节点A发送利用所找到的密钥&加密的值B。
最后,在节点A—方根据s。m。dp计算新密钥《。^并在接入点AP
一方根据Zmodp来计算新密钥iT^,其中,新密钥《M而后用来对节
点A与接入点AP之间即将到来的数据交换进行加密。
本发明所属领域的技术人员将会想到这里提出的、本发明的许多
修改和其他实施例。本发明具有上述说明书以及关联附图中提出的教
导的优点。因此,应当理解的是,本发明不限于所公开的特定实施例,
并且意在将修改和其他实施例包含在所附权利要求的范围之内。尽管
这里釆用了特定的术语,但这些术语仅用于一般和描述的意义下而非
出于限制的目的。
权利要求
1、一种用于在通信网络,特别是无线局域网(WLAN)中的两个节点之间建立秘密密钥的方法,其中节点中的一个——第一节点(B)——对可由另一节点——第二节点(A)——接收的一个或多个分组(Pi)进行广播,其中,每一分组(Pi)均包含第一密钥(Ki),并且其中,在发送每一分组(Pi)之前,用第二密钥(ki)对每一分组(Pi)进行加密,第二节点(A)从接收到的分组(Pi)中随机地选择一个分组(Pm),并对所选分组(Pm)的加密进行破译以便获得第一密钥(Km),以及第二节点(A)发起密钥交换协议,其中,第二节点(A)利用已揭示的密钥(Km)对要被发送以发起密钥交换协议的消息进行加密。
2、 根据权利要求l所述的方法,其中,在第一节点(B)发送分 组(《)与第二节点对加密进行破译和/或发起密钥交换之间,提供可预配置的持续时间。
3、 根据权利要求1或2所述的方法,其中,第一节点(B)存储已 发送密钥(《)的列表。
4、 根据权利要求3所述的方法,其中,第一节点(B)对所存储 的密钥(尺,)进行测试,以便对发起密钥交换协议的第二节点(A)的消息进行解密。
5、 根据权利要求4所述的方法,其中,第一节点(B)用所找到 的密钥(&)对密钥交换协议的、第一节点(B)的消息进行加密。
6、 根据权利要求1至5所述的方法,其中,利用第二密钥(A)对 分组(《)的加密是容易被破译的加密。
7、 根据权利要求1至6中任意一项所述的方法,其中,根据相应 的安全性要求来设置第二密钥(A)的长度。
8、 根据权利要求1至7中任意一项所述的方法,其中,采用RC5 加密对分组(《)进行加密。
9、 根据权利要求1至8中任意一项所述的方法,其中,将利用分 组(s)而传输的第一密钥(&)和用于对分组(《)进行加密的第二密钥(A,)选择为相同。
10、 根据权利要求1至9中任意一项所述的方法,其中,节点(A、B)中的一个是网络的接入点(AP),节点(B、 A)中的另一个是与 所述接入点(AP)相关联的节点。
11、 根据权利要求1至10中任意一项所述的方法,其中,周期性 地发送分组(S)。
12、 根据权利要求l至ll中任意一项所述的方法,其中,分组(f)是信标。
13、 根据权利要求1至12中任意一项所述的方法,其中,所发起 的密钥交换协议是Diffie-Hdlman密钥交换。
全文摘要
本发明提供了一种用于在通信网络(特别是无线局域网(WLAN))中的两个节点之间建立秘密密钥的方法,该方法是关于对发生密钥交换的事实的隐藏,其特征在于节点之一——第一节点(B)——对可由另一节点——第二节点(A)——接收的一个或多个分组(P<sub>i</sub>)进行广播,其中,每一分组(P<sub>i</sub>)均包含第一密钥(K<sub>i</sub>),并且其中,在发送每一分组(P<sub>i</sub>)之前,用第二密钥(k<sub>i</sub>)对每一分组(P<sub>i</sub>)进行加密;第二节点(A)从接收到的分组(P<sub>i</sub>)中随机地选择一个分组(P<sub>m</sub>),并对所选分组(P<sub>m</sub>)的加密进行破译以便获得第一密钥(K<sub>m</sub>);以及第二节点(A)发起密钥交换协议,其中,第二节点(A)用已揭示的密钥(K<sub>m</sub>)对要被发送以发起密钥交换协议的消息进行加密。
文档编号H04L9/08GK101496340SQ200780027743
公开日2009年7月29日 申请日期2007年7月30日 优先权日2006年8月1日
发明者弗瑞德里克·阿姆内切, 若昂·吉朗, 阿尔弗雷多·马托斯, 鲁伊·路易斯·阿吉亚尔 申请人:Nec欧洲有限公司