安全符号串的分段建立的制作方法

专利名称：安全符号串的分段建立的制作方法
技术领域：
本发明一般涉及电信，并且更具体地涉及密码术。
背景技术：
当两方经由电信网络进行通信时，各方通常i.加密他们的消息，以使得他们对于偷听者保密，以及ii.验证他们的消息，以使得接收者确信是谁实际发送了消息。在现有技术中已知如何利用一个或多个安全符号串来加密和验证消息。可能有许 多已知的建立安全串的方式，但是现有技术中建立安全串的过程具有缺点。

发明内容
本发明提供了一种用于在电信网络中的成对或成组的节点之间建立安全符号串 的技术，而不会有现有技术中为此而产生的某些开销和缺点。这些安全串然后可被用于创 建和发送“安全消息”，为了说明的目的，此安全消息被定义为如下的消息i.经过验证的，或者ii.经过加密的，或者iii.经过验证并且经过加密的。当电信网络中的节点被开启、上线或者被重新启动时，可能需要节点建立与一个 或多个其它节点的安全符号串。因为建立即使一个非常安全的符号串的过程的计算强度也 是很大的，所以一个节点建立与若干其它节点中的每个的高度安全的串所需的时间量可能 是相当大的。结果是节点的用户可能在一段长时间被阻止发送安全消息。为了解决此不足，说明性实施例把建立安全串的过程分段。在第一段中，说明性实 施例建立与其它节点的第一段符号串。第一段符号串选自第一小的密钥空间，这意味着它 们可以比来自大的密钥空间的高度安全的密钥更块地被建立。第一段串的优点在于其使得 用户能够比利用高度安全的串保护的消息更快地发送安全消息。说明性实施例的缺点在于 第一段串不如来自更大密钥空间的串安全。然而，此缺点由于如下事实而被减弱第一段串 仅用于短时间量-仅在在第二段中建立起第二段串之前使用。在第二段中，说明性实施例建立与其它节点的第二段串。第二段串选自第二中间 尺寸的密钥空间。第二段串的优点在于比第一段串更安全，虽然不如在第三段中建立的第 三段串安全。一旦第二段串被建立，则它们可以替代第一段串来使用。在第三段中，说明性实施例建立与其它节点的第三段串。第三段串选自第三大尺 寸的密钥空间。第三段串的优点在于比第二段串更安全。一旦第三段串被建立，则它们可 以替代第三段串来使用。说明性实施例包括对于从时刻Id1到时刻X1的第一间隔，在电信节点以第一符号 串发送安全消息，其中，所述第一符号串选自具有&个成员的第一密钥空间，其中K1是自然 数；以及对于从时刻b2到时刻X2的第二间隔，在电信节点以第二符号串发送安全消息，其
3中，所述第二符号串选自具有K2个成员的第二密钥空间，其中K2是自然数；其中，b2<x1; 并且其中，


图1示出典型的无线电信系统的一部分的示意图。图2示出与本发明的说明性实施例的操作相关联的重要任务的流程图。图3示出与任务201-i的操作相关联的重要任务的流程图。
具体实施例方式图1是根据本发明的说明的实施例的密码化电信系统100的主要部分部件的示意 图。密码化电信系统100包括电信节点101-1至101-4以及电信网络102，它们如图所示
被互连。根据说明性实施例，节点101-4是通信集线器，并且节点101-1、101-2、101_3之间 的消息通过节点101-4，但是本领域技术人员在阅读本公开之后将清楚如何制造和使用本 发明的如下替代实施例，其中，任何节点直接与任何其它集线器通信(即，节点以点对点的 方式来通信)。根据说明性实施例，为了与节点101-4交换安全消息，节点101-1至101-3的节点 中的每个建立了对于节点101-4的逐步更加安全的符号串。虽然说明性实施例示出三个节点针对一个其它节点建立符号串序列，但是本领域 的技术人员在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中，任 何数量的节点针对任何数量的其他节点建立符号串序列。根据说明性实施例，节点101-1至101-4中的每个使用一个符号串序列来交换安 全消息，但是本领域的技术人员在阅读本公开之后将清楚如何制造和使用本发明的如下替 代实施例，其中，一个节点利用一个符号串来向第二节点发送安全消息，而第二节点利用第 二符号串序列向第一节点发送安全消息。节点101_j(其中，j e {1,2,3,4})是向用户提供语音、视频和数据能力并且能够 执行下面描述的以及附图中的功能的硬件和软件。根据说明性实施里，节点101-j是经由 有线线路连接到网络102的无线终端，但是本领域的技术人员在阅读本公开之后将清楚如 何制造和使用本发明的如下替代实施例，其中，节点101-j经由无线连接到网络102。网络102是因特网，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明的如下替代实施例，其中，电信网络102是利用相同或相异的网络并且在一个 或多个地址空间中的任何网络(例如，公共交换电话网络、企业内网、802. 11网络等)或者 网络的组合。图2是与本发明的说明的实施例的操作相关联的重要任务的流程图。根据说明性实施例，任务201-1，201-2和201-3是同步执行的，但是本领域的技术 人员在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中，这些任务 中的一些或全部被顺序执行或同时执行。此外，根据说明性实施例，任务201-1、201-2和201-3内的子任务是顺序执行的，以使得不会打击控制节点101-4的计算能力，但是本领域 的技术人员在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中这些 子任务中的一个或全部被同步或同时执行。在任务201-1处，节点101-1和节点101_4建立三个逐步更安全的符号串序列并 且利用这些符号串来交换秘密的并且经过验证的消息。这在下面详细描述并且在图3中示 出。虽然节点101-1和节点101-4建立了三个安全的符号串序列，但是本领域的技术人员 在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中这些序列包括任 意多个安全符号串。在任务201-2处，节点101-2和节点101_4建立三个逐步更安全的符号串序列并 且利用这些符号串来交换秘密的并且经过验证的消息。这在下面详细描述并且在图3中示 出。虽然节点101-2和节点101-4建立了三个安全的符号串序列，但是本领域的技术人员 在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中这些序列包括任 意多个安全符号串。在任务201-3处，节点101-3和节点101_4建立三个逐步更安全的符号串序列并 且利用这些符号串来交换秘密的并且经过验证的消息。这在下面详细描述并且在图3中示 出。虽然节点101-3和节点101-4建立了三个安全的符号串序列，但是本领域的技术人员 在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中这些序列包括任 意多个安全符号串。图3是与任务201-i的操作相关联的重要任务的流程图，其中，i e {1，2，3}，涉及 节点101-i和节点101-4。通过定义，任务201-i在当节点101-i被开启、被重新启动或者 不管什么理由而需要更新其安全串时开始。任务201-i的开始被定义为时刻、-士。在任务301-i——其发生在时刻bfi——节点101-i和节点101-4建立第一段安 全符号串31-土。根据说明性实施里，第一段符号串S「i选自具有！^-i个成员的密钥空间，其中， K1是自然数，利用已知的Diffie-Hellman密钥交换协议。本领域的技术人员在阅读本公开 之后将清楚如何制造和使用本发明的如下替代实施例，其中另外的协议用于建立第一段串 S1-I (例如，物理安全密钥交换、基于在解决大的费解的数中固有的计算难点的分解大数的 协议、使大矩阵逆变换的协议，等等)。根据说明性实施例，任务301-i发生在与所有其它任务不同的时刻，以使得不会 打击节点101-4的计算能力，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明的如下替代实施例，其中任务301-i实际上与一个或多个其它任务同步发生。 在任何情况中，本领域的技术人员都将清楚如何制造和使用本发明的实现任务301-i的实 施例。在任务302-i——其发生在时刻nifi i.节点101-i向节点101-4发送第一安全消息，并且利用第一段串Sfi来保护第 一消息，并且ii.节点101-4向节点101-i发送第二安全消息，并且利用第一段串S1H来保护
第二消息。虽然说明性实施例利用对称密钥或者“传统”密码来进行加密和验证，但是本领域的技术人员在阅读本公开之后将清楚如何制造和使用本发明的如下替代实施例，其中使用 不对称密钥或者“公钥”技术。在任务303-i——其发生在时刻b2_i——节点101-i和节点101_4建立第二段安 全符号串S2-i。在所有情况中，第二段串s2-i是在第一段串S「i期满之前建立的(即，b2-i < x「i) ο根据说明性实施例，第二段串S2_i选自具有K2_i个成员的密钥空间，其中，K2是比 第一段串的密钥空间大的自然数(即，K2-i > K1-I)。如果所有其他情况都相等，则第二段串S2_i选自比第一段串S1-I更大的密钥空间 的事实意味着第二段串s2-i是比第一段串更安全的，并且在其可能损坏之前可用于较长间 隔。根据说明性实施例，期间他们比较安全的密钥空间和间隔长度与下式有关
In(ZC2) In(ZC1)(> ( W (公式 1)然而，但是本领域的技术人员在阅读本公开之后将清楚如何制造和使用本发明如 下替代实施例，其中第二段串的密钥空间小于第一段串的密钥空间(即，K2-i < K1-I)或者 其中，它们相等(即，K2-i = K1-D。根据说明性实施例，节点101-i和节点101-4利用已知的Diffie-Hellman密钥交 换协议来建立第二段串S2-i，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明如下替代实施例，其中，节点利用另外的协议来建立第二段串s2-i (例如，物理 安全密钥交换，基于在解决大的费解的数中固有的计算难点的分解大数的协议、使大矩阵 逆变换的协议，等等)。根据说明性实施例，任务303-i发生在与所有其它任务不同的时刻，以使得不会 打击节点101-4的计算能力，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明的如下替代实施例，其中任务303-i实际上与其他一个或多个其他任务同步发 生。在任何情况中，本领域的技术人员都将清楚如何制造和使用本发明的实现任务303-i 的实施例。在时刻Xl_i，第一段串S1-I期满，因为自从时刻Vi已经过去充分的时间以供相 当熟练的译码者能够发现它。本领域的技术人员将清楚如何确定对于给定K1可时发生时 刻Xl_i以及用于生成第一段串S1-I的技术。在所有情况中，时刻h-i发生在时刻mi-i之 前，时亥丨J m「i发生在时亥Ij X1-I之前(即，Vi < m「i < X1-I)。在任务304-i——其发生在时刻m2_i i.节点101-i向节点101-4发送第三安全消息，并且利用第二段串S2_i来保护第 三消息，并且ii.节点101-4向节点101-i发送第四安全消息，并且利用第二段串S2_i来保护 第四消息。虽然说明性实施例利用对称密钥或者“传统”密码来进行加密和验证，但是本领域 的技术人员在阅读本公开之后将清楚如何制造和使用本发明的其中使用不对称密钥或者 “公钥”技术的替代实施例。在任务305-i——其发生在时刻b3_i——节点101-i和节点101-4建立第三段安 全符号串S3-i。在所有情况中，第三段串s3-i是在第二段串s2-i期满之前建立的(即，b3-i< x2-i) ο根据说明性实施例，第三段串S3_i选自具有K3_i个成员的密钥空间，其中，K3是比 第二段串的密钥空间大的自然数(即，K3-i > K2-i)。如果所有其他情况都相等，则第三段串S3_i选自比第二段串S2_i更大的密钥空间 的事实意味着第三段串s3-i是比第二段串更安全的，并且在其可能损坏之前可用于较长间 隔。根据说明性实施例，期间他们比较安全的密钥空间和间隔长度与下式有关
In(ZC3)、In(ZC2) In(ZC1)
0054 7-ΤΓΛ > 7- ΓΛ > 7- Γ\ (公式 2)
-63) [X2 - b2) (X1 - ^1)然而，但是本领域的技术人员在阅读本公开之后将清楚如何制造和使用本发明的 如下替代实施例，其中第三段串的密钥空间小于第二串的密钥空间(即，K3-i < K2-i)或者 其中，它们相等(即，K3-i = K2-i)。根据说明性实施例，节点101-i和节点101-4利用已知的Diffie-Hellman密钥交 换协议来建立第三段串S3-i，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明如下的替代实施例，其中，节点利用另外的协议来建立第三段串s3-i (例如，物 理安全密钥交换，基于在解决大的费解的数中固有的计算难点的分解大数的协议、使大矩 阵逆变换的协议，等等)。根据说明性实施例，任务305-i发生在与所有其它任务不同的时刻，以使得不会 打击节点101-4的计算能力，但是本领域的技术人员在阅读本公开之后将清楚如何制造和 使用本发明的如下替代实施例，其中任务305-i实际上与其他一个或多个其他任务同步发 生。在任何情况中，本领域的技术人员都将清楚如何制造和使用本发明的实现任务305-i 的实施例。在时刻x2_i，第二段串S2_i期满，因为自从时刻b2_i已经过去充分的时间以供相 当熟练的译码者能够发现它。本领域的技术人员将清楚如何确定对于给定K2何时发生时 刻x2_i以及用于生成第二段串S2-i的技术。在所有情况中，时刻b2-i发生在时刻m2-i之 前，时刻m2-i发生在时刻x2-i之前(即，b2-i < m2-i < x2-i)。在任务306-i——其发生在时刻m3_i i.节点101-i向节点101-4发送第五安全消息，并且利用第三段串S3_i来保护第 五消息，并且ii.节点101-4向节点101-i发送第六安全消息，并且利用第三段串S3_i来保护 第六消息。虽然说明性实施例利用对称密钥或者“传统”密码来进行加密和验证，但是本领域 的技术人员在阅读本公开之后将清楚如何制造和使用本发明的其中使用不对称密钥或者 “公钥”技术的替代实施例。在时刻x3_i，第三段串S3_i期满，因为自从时刻b3_i已经过去充分的时间以供相 当熟练的译码者能够发现它。本领域的技术人员将清楚如何确定对于给定K3何时发生时 刻x3_i以及用于生成第三段串S3-i的技术。在所有情况中，时刻b3-i发生在时刻m3-i之 前，时亥丨J m3-i发生在时亥Ij x3-i之前(即，b3-i < m3-i < x3_i)。将理解，本公开只是教导出说明性实施例的一个示例，并且本领域的技术人员在 阅读了本公开之后可以容易地设计出不能发明的许多变体，并且本发明的范围由所附权利
7要求来确定。
权利要求
一种方法，包括对于从时刻b1到时刻x1的第一间隔，在电信节点处利用第一符号串发送安全消息，其中，所述第一符号串选自具有K1个成员的第一密钥空间，其中K1是自然数；并且对于从时刻b2到时刻x2的第二间隔，在所述电信节点处利用第二符号串发送安全消息，其中，所述第二符号串选自具有K2个成员的第二密钥空间，其中K2是自然数；其中，b2＜x1；并且其中， <mrow><mfrac> <mrow><mi>ln</mi><mrow> <mo>(</mo> <msub><mi>K</mi><mn>2</mn> </msub> <mo>)</mo></mrow> </mrow> <mrow><mo>(</mo><msub> <mi>x</mi> <mn>2</mn></msub><mo>-</mo><msub> <mi>b</mi> <mn>2</mn></msub><mo>)</mo> </mrow></mfrac><mo>></mo><mfrac> <mrow><mi>ln</mi><mrow> <mo>(</mo> <msub><mi>K</mi><mn>1</mn> </msub> <mo>)</mo></mrow> </mrow> <mrow><mo>(</mo><msub> <mi>x</mi> <mn>1</mn></msub><mo>-</mo><msub> <mi>b</mi> <mn>1</mn></msub><mo>)</mo> </mrow></mfrac><mo>.</mo> </mrow>
2.根据权利要求1所述的方法，其中，K2> &。
3.根据权利要求1所述的方法，其中，K2< &。
4.根据权利要求1所述的方法，其中，K2= &。
5.根据权利要求1所述的方法，还包括对于从时刻b3到时刻X3的第三间隔，在电信 节点处利用第三符号串发送安全消息，其中，所述第三符号串选自具有K3个成员的第三密 钥空间，其中K3是自然数；并且其中，b3<x2;并且In(K3) 、In(ZC2) 、In(ZC1)其中，
6.根据权利要求5所述的方法，其中，K3> K2 > K10
7.根据权利要求5所述的方法，其中，K3< K2 < K10
8.根据权利要求5所述的方法，其中，K3= K2 = K10
9.一种方法，包括为电信节点建立用于从时刻h到时刻X1的第一间隔的第一符号串，其中，所述第一符 号串选自具有K1个成员的第一密钥空间，其中K1是自然数；在时刻Hl1从所述电信节点发送第一消息，其中，所述第一消息利用所述第一符号串来 验证；为所述电信节点建立用于从时刻b2到时刻X2的第二间隔的第二符号串，其中，所述第 二符号串选自具有K2个成员的第二密钥空间，其中K2是自然数；并且在时刻Hl2从所述电信节点发送第二消息，其中，所述第二消息利用所述第二符号串来 验证；其中，bi < Hl1 < X1 ；其中，b2 < m2 < X2 ；其中，b2<x1;并且In(ZC2) In(ZC1)其中，^21 I^D。
10.根据权利要求9所述的方法，其中，K2>&。
全文摘要
公开了一种安全符号串的分段建立的技术。在第一段中，说明性实施例建立针对每个其它节点的第一段符号串。第一段串选自第一小的密钥空间，这意味着它们可以比来自大的密钥空间的高度安全的密钥更块地被建立。第一段串的优点在于其使得用户能够比利用高度安全的串保护的消息更快地发送安全消息。说明性实施例的缺点在于第一段串不如来自更大密钥空间的串安全。然而，此缺点由于如下事实而被减弱第一段串仅用于短的时间量-仅在在第二段中建立起第二段串之前使用。
文档编号H04L9/00GK101902294SQ201010141570
公开日2010年12月1日 申请日期2010年3月30日 优先权日2009年5月27日
发明者马克·约翰·卡罗尔 申请人:阿瓦雅公司