专利名称:用于分发加密装置的方法
技术领域:
本发明涉及一种用于将密码建钥资料(keying material)分发给网络中的多个无 线电台以便使得能够实现有效的密钥协定和/或认证和/或标识和/或授权的方法。本发明例如与像Zigbee网络那样的包括低功率或者低复杂度的无线电节点的无 线网络有关。
背景技术:
传统的无线传感器网络(WSN)包括无线传感器和执行器节点(actuator node), 所述无线传感器和执行器节点彼此无线地通信,以使得能够实现诸如普适医疗保健或者智 能照明环境之类的不同应用。例如,医疗传感器网络(MSN)是其中病人被配备有实时地测 量、处理和转发用户的生命体征的无线医疗传感器(WMS)的无线传感器网络。临床工作人 员可以例如凭借PDA或者床边监视器来监控病人的生命体征。在这个特定的上下文中,向无线传感器网络提供诸如实体标识、认证以及访问控 制之类的基本安全服务是必需的。实际上,这样的网络必须足够鲁棒和安全以阻止攻击者 得到对于网络的控制。当设计用于MSN的安全系统时,必须考虑诸如European directive 95/46之类的通用数据保护政策或者诸如美国的HIPAA之类的医疗保健规则。例如,仅被授 权的医生才应当能够监控病人的生命体征。为了使得网络能够是鲁棒的,分发加密密钥是至关重要的。这些加密密钥被用于 建立两个节点之间的加密的连接,由此避免窃听。从而,各节点之间的密钥分发是安全的基 石,因为所述密钥分发定义如何分发被用于使得能够实现那些安全服务的密码密钥。然而, 由于如MSN中的丽S的无线传感器节点的资源受限制的特性,密钥分发和安全服务两者的 有效提供是有具挑战性的。 α -安全(α -secure)密钥分发方案(KDS)已经被认为是一种诸如医疗传感器网 络(MSN)之类的无线传感器网络中的密钥分发和密钥协定的可行的选项。这些方案提供可 扩展性、适应能力、连接性以及计算开销之间的折衷。在α-安全KDS中,各节点不共享已 经制成的密钥。相反地,节点被配备有允许它们在输入该节点的标识符时计算在此安全域 中与任何其它节点共享的密钥的一些特定于节点的信息。此特定于节点的信息是从密码建 钥资料根(ΚΜΚ,导出的,节点i的特定于节点的密码建钥资料份额(share)由KM⑴表示。 因此,不同的密码建钥资料份额ΚΜω都是不同的,但是是相互关联的。对于移动无线传感 器和执行器网络来说,这种方法尤其令人感兴趣,这是因为包括以下的不同原因(i)其在 资源受限制的无线传感器节点上的效率;(ii)其在诸如其中可扩展性和分布式操作是关 键特征的、由Zigbee联盟处理的病人监护或者无线控制网络之类的移动情景中的可行性。图1描绘了 α-安全KDS的主要操作阶段。在第一阶段或者建立阶段,信任中心 (TC)生成根密码建钥资料(KMroot)。根据KMroot,TC为安全域中的每个节点i生成不同 的(但相互关联的)密码建钥资料份额KM(i),其中i = 1,...,N。之后,TC将一组密码建 钥资料份额分发给每个节点。执行此分发以增加系统的鲁棒性。通常,承载密码建钥资料份额KM⑴的节点由IDi标识。α-安全KDS可以通过使用有限域Fq(其中q足够大以容 纳密码密钥)上的α次对称二元多项式f (χ,y)作为KMroot而创建。给出f (x,y),TC可 以通过估计X变量的不同的值(其中KxSq)时的f(x,y)而生成多达q个不同的密码 建钥资料份额,即KM(i) =f(i,y)并且ID⑴=i。注意可以使用其它的α-安全KDS 以便最小化系统的计算要求。在第二阶段——操作阶段中,此安全域中的任意节点的任何配对A和B可以利用 它们各自的密码建钥资料份额来以分布式方式约定公共密钥,即不另外涉及Tc。为此目的, 两个节点通过作为绑定过程或者类似的过程的一部分而交换对等方的身份来获得对等方 的身份。之后,所述两个节点使用它们各自的密码建钥资料份额结合所述身份来生成成对 的密钥。
例如,我们可以再次假定将对称二元多项式f(x,y)用作根密码建钥资料,并且节 点A和B分别承载密码建钥资料份额f (A,y)和f(B,y)。首先,双方获得它们对应的身份, 即B获得A的身份IDA = A,并且A获得B的身份IDB = B。然后,每个设备可以通过估计 其在另一设备的身份中的多项式份额而以分布式方式生成公共密钥,即节点A估计其在y =B时的多项式份额f (A,y),节点B估计y = A时的f (B,y)。因此,两个节点约定公共密 钥K = f(A,B) = f(B, Α)。最后,两个节点都可以使用K来例如借助询问应答认证握手来 对于彼此认证,或者导出会话密钥以使得能够实现机密性。然而,有限域Fq(其中q足够大以容纳完整的密码密钥)上的多项式的估计在资 源受限制的设备(具有小字长的CPU,例如8比特的CPU)上是在计算上非常昂贵的,因为所 述估计需要具有大的操作数的模乘法的软件实施。
发明内容
本发明的一个目的是提出一种解决这些问题的用于分发密码建钥资料的改进的 方法。本发明的另一目的是提出一种用于分发在用于密钥协定或者规定或者诸如访问 控制或者标识之类的其它安全服务时鲁棒且资源有效的密码建钥资料的方法。本发明的又一目的是提供α -安全KDS与其它密码方法的有效组合,以便提供那 些安全服务。为此目的,本发明提出了一种用于基于使用诸如二元多项式之类的一些根密码建 钥资料函数的密码建钥资料分发和分布式密钥协定的方法,用于根据设备的标识符将一些 密码建钥资料函数份额分发给各设备。根密码建钥资料函数、密码建钥资料函数份额以及 标识符被分为多个段或者子根密码建钥资料函数、子密码建钥资料函数份额或者子标识 符,其允许更有效的计算并且提供更高的安全等级。根据另一实施例,本发明提出了一种用于通过利用更高的安全等级以及所述多个 段以便当小于一定数目的实体受损害(compromise)时确保系统中的最小安全等级,来进 行密码建钥资料函数与诸如散列(hash)函数和Merkle树之类的其它密码函数的有效组合 的方法。本发明还涉及信任中心。根据下面描述的实施例,本发明的这些和其它方面将是清楚明白的,并且将参照下面描述的实施例来阐明本发明的这些和其它方面。
现在将参照附图以示例的方式更详细地描述本发明,附图中-已经描述的图1是图示用于将密钥资料分发给网络的无线电台的传统方法的示 图。-图2是其中应用根据本发明的第一实施例的方法的网络的框图。-图3是表示作为受损害的节点的数目的函数的系统的相对安全性的曲线图。-图4是示出用于密钥分发方案的对于智能攻击者和低级进攻者的适应能力的曲 线图。-图5是表示根据传统方法经由无线电台分发多项式函数的示图。-图6是表示根据本发明经由无线电台分发多项式函数的示图。-图7是表示在具有段分散化(diversification)以及不具有段分散化的情况下 DPKPS的适应能力行为的曲线图。
具体实施例方式本发明涉及一种用于将密钥资料分发给多个无线电台以使得能够在各无线电台 之间进行安全通信的方法。本发明更特别地专用于低功率、低复杂度无线电网络,例如Zigbee网络。如图2所描绘的,无线网络10包括在此示例中凭借无线连接彼此连接的多个无线 电台100。然而,应注意本发明可以在有线网络中实施。在低成本网络的示例中,无线电 台100是资源受限制的。例如,无线电台100可以是PDA或者移动电话。为了管理和授权 无线电台创建安全连接,提供了信任中心110。此信任中心是能够检查无线电设备是否请求 访问网络10并且为此新的无线电设备提供标识符和加密装置的特定设备。作为示例,网络使用α -安全KDS,其操作在图1中图示。在初始化的第一阶段或者 建立阶段期间,信任中心Iio(TC)生成根密码建钥资料(ΚΜ_)。根据ΚΜ_,TC 110为安全 域中的每个节点或者无线电台IOOi生成不同的(但相互关联的)密码建钥资 料份额KM⑴, 其中i = 1,. . .,Ν。之后,TC 110将一组密码建钥资料份额分发给每个节点100。通常,承 载密码建钥资料份额KM⑴的节点100由IDi标识。典型地,KMratrt可以是有限域Fq(其中 q足够大以容纳密码密钥)上的α次对称二元多项式f(x,y)。给出f(x,y),TC 110可以 通过估计χ变量的不同的值(其中KxSq)时的f(x,y)而生成多达q个不同的密码建 钥资料份额,即KM⑴=f(i,y)并且ID⑴=i。注意可以使用其它的α-安全KDS以 便最小化系统的计算要求。在第二操作阶段中,此安全域中的任意节点100的任何配对A和B可以利用预先 分发的密码建钥资料份额来以分布式方式约定公共密钥,即不另外涉及Tc。为此目的,两个 节点100都通过作为绑定过程或者类似的过程的一部分而交换对等方的身份来获得对等 方的身份。之后,所述两个节点100使用它们各自的密码建钥资料份额结合所述身份来生 成成对的密钥。例如,我们可以再次假定将对称二元多项式f(x,y)用作根密码建钥资料,并且节点A和B分别承载密码建钥资料份额f (A,y)和f(B,y)。首先,双方获得它们对应的身份, 即无线电台B获得A的标识符IDa = A,并且无线电台A获得B的标识符IDb = B。然后,每 个无线电台可以通过估计其在另一无线电台的身份中的多项式份额而以分布式方式生成 公共密钥,即节点A估计其在y = B时的多项式份额f(A,y),节点B估计y = A时的f(B, y)。因此,两个节点约定公共密钥K = f(A,B) =f(B,A)。最后,两个节点都可以使用K来 例如借助询问应答认证握手来对于彼此认证,或者导出会话密钥以使得能够实现机密性。α -安全轻型数字证书(α -sLDC)可以与之前的系统组合使用以使得能够在资源 受限制的设备上认证数字身份以及基于角色的访问控制。轻型数字证书由一组与实体关联 的属性组成。这组属性可以包括实体的数字身份(名称、职业等等)、访问控制角色以及其 它参数。为了有效地验证和认证这样的证书,通过将KDS的标识符设置为证书中所有属性 上的散列,将所述实体的数字身份、访问控制角色以及其它参数与α-sKDS组合。如果节点 希望验证另一节点的证书,则它们使用上述系统来借助于由信任中心分发给它们的密钥资 料来彼此认证。如果其它节点的所认证的ID与证书中属性的散列匹配,则该证书是有效的 并且由信任中心发布。为了满足特定应用中的隐私要求,也可以使用Merkle树来生成注意 到隐 私的数字证书。在此方法中,在树的不同叶中对每个属性编码。因此,可以独立于其他 属性公开每个属性。然而,估计多项式的计算成本随着密钥的大小呈指数地增加。因此,必须定义一种 方法以便创建在诸如传感器节点之类的资源受限制的设备上成功地将a-sLDC与a-sKDS 组合的系统。根据本发明,提出了遵循分治技术将散列输出分为i比特长度的t个子ID(其中 i = {8,16}),即散列(数字身份)=ID= IDl Il ID2 || · · · || IDt于是,可以使用这t个子ID中的每一个来估计Fq,上的对应段。然而,此分治方法 不像传统方法那样安全,这是因为损害若干节点的攻击者可以通过组合来自不同节点的段 以创建比利用攻击者损害的节点数而可能的认证标识符多得多的认证标识符,而“重用”所 获得的密钥资料。例如,如果攻击者捕获到标识符A = Al Il A2和B = Bl Il B2的两个节点, 则她也可以通过重新组合她已经具有有效的密钥资料并且因此可以使用它们来伪造其它 身份的所获得的子ID,而创建(并且认证)诸如X = Al Il B2和Y = BlI A2之类的新的标识 符。注意这使得可以发现冲突,即伪造证书,因为现在攻击者具有呈指数地更好的概率来 创建她具有有效的密钥资料的证书。根据本发明的第一实施例,此系统是基于分治技术建立的,以允许a-sLDC与 a -sKDS的有效组合。此外,为了改善分发方案的鲁棒性,提出了使用更大数目的段以便即 使在捕获了若干节点的情况下也允许提供最小的安全阈值。可以根据本发明的第一实施例 执行以下步骤-根据实体的数字身份,通过对其进行散列或者使用Merkle树,而生成标识符 (ID)。ID具有it个比特的长度,其中i为i = Iog2 (q’ ),即系数、子密钥大小以及段的子 标识符大小,t是所使用的段的数目。通常,并且与没有数字证书的α-安全KDS不同,it 大于系统必须提供的最小安全等级。-系统利用基于多项式和密钥分段技术的a-安全KDS。所述α -安全KDS是这样的引擎 (i)其被信任中心使用以根据KMrat来为节点计算α -安全KM。(ii)其被节点使用以作为一连串的t个i比特的子密钥而计算成对的密钥。每个 子密钥在有限域Fq,(其中q’ > 2i)上根据段来生成。每个段j = i,. . .,t在对应的子标 识符IDj (其中j = 1,. . .,t)中估计。-系统散列所产生的i· t比特的密钥,其包括t个不同的子密钥,以便获得X比 特的新密钥,其中X是期望的密钥大小。这确保密钥适应潜在的安全算法的要求。例如,在 高级加密标准(AES)中使用的128比特的密钥。这具有以下优点其随机选择所使用的密 钥,以防止攻击者针对由于知晓密钥的特定部分而导致的潜在的攻击发起特殊的攻击。通常,此系统具有以下两个特性-该系统是α-安全的,即捕获多于α个节点允许攻击者破解系统。-使用i比特(i比特的子密钥,t个子密钥)的密钥根据α -安全KDS生成的 密钥(例如轻型数字证书)当小于η个节点受损害时提供χ比特的安全性,其中
i,t—x
权利要求
1.一种用于操作信任中心以便将密码建钥资料分发给至少一个无线电台的方法,包括 以下步骤在所述信任中心处,将所述无线电台的标识符分为多个子标识符、所述标识符是由第 一数目的比特组成的码字,并且为每个子标识符生成基于所考虑的子标识符而从一组密码 建钥资料函数中选择出的密码建钥资料函数,在所述信任中心处,向所述无线电台发送所述标识符以及包括所生成的加密函数的密 钥资料。
2.如权利要求1所述的方法,其中,所述标识符基于所述无线电台的至少一个身份参数。
3.如权利要求1或2所述的方法,其中,所述码字的长度远大于所述信任中心必须提供 的安全等级。
4.如上述权利要求中的任一项所述的方法,其中,所述密码建钥资料函数是多项式函数。
5.一种从第一无线电台向第二无线电台进行通信的方法,包括在所述第一无线电台 和所述第二无线电台处,分别接收根据上述权利要求中的任一项所述的方法而分发的第一 和第二标识符以及第一和第二密码建钥资料。
6.如权利要求5所述的方法,包括以下步骤在所述第一无线电台处,将所述第一标识符发送给所述第二无线电台, 在所述第二无线电台处,基于所述第二密码建钥资料和所述第一标识符计算第二加密 密钥,并且借助于所述第二加密密钥将第一消息发送给所述第一无线电台,在所述第一无线电台处,在开始与所述第二无线电台的通信之前,检查所述第一消息 是否有效。
7.如权利要求6所述的方法,还包括以下步骤在所述第二无线电台处,将所述第二标识符发送给所述第一无线电台, 在所述第一无线电台处,基于所述第一密钥资料和所述第二标识符计算第一加密密 钥,并且借助于所述第一加密密钥将第一消息发送给所述第二无线电台,在所述第二无线电台处,在开始与所述第一无线电台的通信之前,检查所述第二消息 是否有效。
8.如权利要求6或7所述的方法,其中,通过(a)借助于在所述第一标识符上应用的第 二密钥资料的一组密码建钥资料函数而生成一组子密钥,(b)根据子密钥的级联来获得所 述第二加密密钥,来获得所述第二加密密钥。
9.如权利要求8所述的方法,其中,步骤(b)包括在级联的子密钥上应用散列函数以获 得所述第二加密密钥。
10.如权利要求3所述的方法,其中,所述系统利用大得多的码字、标识符和密码建钥 资料函数以及所述多个子码字、子标识符和子密码建钥资料函数来允许将密码建钥资料函 数与具有不同目标的其它密码函数组合。
11.如权利要求10所述的方法,其中,所述密码函数是散列函数或者Merkle树。
12.如权利要求10所述的方法,其中,所述组合的目标是信息与所述密码建钥资料函 数的有效的密码关联。
13. 一种用于将密钥资料分发给至少一个无线电台的信任中心,包括 用于将所述无线电台的标识符分为多个子标识符的装置,所述标识符是由第一数目的 比特组成的码字,用于为每个子标识符生成基于所考虑的子标识符而从一组加密函数中选择出的加密 函数的装置,在所述信任中心处,向所述无线电台发送所述标识符以及包括所生成的加密函数的密 钥资料。
全文摘要
本发明涉及用于操作信任中心以便将密钥资料分发给至少一个无线电台的方法,包括以下步骤在所述信任中心处将所述无线电台的标识符分为多个子标识符,所述标识符是由第一数目的比特组成的码字,并且为每个子标识符生成基于所考虑的子标识符而从一组密码建钥资料函数中选择出的密码建钥资料函数,在所述信任中心处向所述无线电台发送所述标识符以及包括所生成的加密函数的密钥资料。
文档编号H04L9/32GK102007727SQ200980113144
公开日2011年4月6日 申请日期2009年4月10日 优先权日2008年4月14日
发明者B·埃德曼, M·P·西尔纳, O·加西亚莫尔琼 申请人:皇家飞利浦电子股份有限公司