被配置成导出共享密钥的网络设备的制造方法
【技术领域】
[0001] 本发明涉及第一网络设备,其被配置成从多项式和第二网络设备的身份号确定与 第二网络设备共享的有密钥长度个比特的共享密码密钥,第一网络设备包括多项式操纵 (manipulate)设备,它被配置成对身份号施加多项式。
【背景技术】
[0002] 倘若通信网络包括多个网络设备,则在成对的这样的网络设备之间设立安全连接 是一个问题。在C.Blundo、A.DeSantis、A.Herzberg、S.Kutten、U.Vaccaro和M. Yung的"Perfectly-SecureKeydistributionforDynamicConferences',,Springer LectureNotesinMathematics,Vol. 740,pp. 471-486,1993 (被称作 "Blundo")中 描述了一种实现此的方式。
[0003] 它假定了中心管理机构,也被称作网络管理机构或可信第三方(TTP),其生成对称 双变量多项式f(x,y),令系数在具有P个元素的有限域F中,其中p是质数或质数的幂。每 个设备具有在F中的身份号,并且由TTP为每个设备提供本地密钥素材。对于具有标识符 n的设备,本地密钥素材是多项式f(n,y)的系数。
[0004] 如果设备n希望与设备n'通信,它就使用它的密钥素材生成密钥K(n,n') =f(n,n')。由于f是对称的,所以生成相同的密钥。
[0005] 在与本专利申请相同的申请人的题为"KEYSHARINGDEVICEANDSYSTEMFOR CONFIGURATIONTHEREOF"的专利申请中,给出了一种改进的配置网络设备以用于密钥共享 的方法。该专利申请具有申请号61/740488和提交日2012年12月21日(通过引用被合并 于此),并且将被称作"配置申请"。
[0006] 在多个网络设备的集合中,每个网络设备具有它自己的唯一身份号和本地密钥素 材。本地素材已从秘密多项式导出;后者通常是双变量多项式。在配置申请中,说明了可以 如何挑选秘密多项式来获得对某些攻击的较高抵抗。一种这样的攻击具体是共谋攻击,其 中多个网络设备尝试重构该秘密多项式。
[0007] 网络设备需要做些工作来建立共享密钥。例如,考虑一对网络设备,每个网络设备 接收到为它们而从秘密双变量多项式获得的单变量多项式。当两个网络设备需要在它们之 间建立密码密钥时,它们获得另一设备的身份号并将该身份号与它们的本地密钥素材组合 以获得共享密钥。
[0008] -种导出共享密钥的方式是针对其中的每个网络设备将另一网络设备的身份号 代入该网络设备的单变量多项式,将代入的结果对公共模数取模归约(reduce),然后接着 对密钥模数取模归约。密钥模数是2的幂,幂的指数至少是密钥长度。
[0009]因此,在朝向获得共享密钥的第一步中,网络设备可能必须在特定的点实施多项 式评估,接着是两次归约。
【发明内容】
[0010] 将会有利的是具有一种改进的被配置成确定共享密码密钥的网络设备,其要求更 少的资源一一例如时间和/或存储资源一一来获得共享密钥。
[0011] 提供了一种第一网络设备,其被配置成从多项式和第二网络设备的身份号来确定 与第二网络设备共享的有密钥长度(A)个比特的共享密码密钥。所述多项式具有多个项, 每一项与不同的次数和系数相关联。所述第一网络设备包括:电子存储装置、接收机、多项 式操纵设备和密钥导出设备。
[0012] 电子存储装置被配置用于存储针对第一网络设备的本地密钥素材,所述本地密钥 素材包括多项式的表示以用于稍后的由第一网络设备进行的评估。
[0013] 接收机被配置用于获得第二网络设备的身份号,所述第二网络设备与所述第一网 络设备不同。
[0014] 多项式操纵设备被配置成根据归约算法对身份号施加多项式。
[0015] 密钥导出设备被配置用于从归约结果中导出共享密钥。
[0016] 归约算法包括在多项式的项上的迭代。至少一个迭代包括第一乘法和第二乘法。 所述至少一个迭代与多项式的具体项相关联。
[0017] 第一乘法是在身份号与从多项式的表示获得的具体项的系数的最低有效部分之 间,所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形成。
[0018] 第二乘法是在身份号与从多项式的表示获得的具体项的系数的另外部分之间,所 述系数的另外部分由所述具体项的系数的不同于所述密钥长度个最低有效比特的比特形 成,所述另外部分和所述最低有效部分一起形成比在多项式的具体项的系数中严格地更少 的比特。
[0019] 第一网络设备和第二网络设备可以是移动设备,比如移动电话、计算机等等。在具 体的有利的实施例中,网络设备是照明设备,比如照明器。共享密钥可以被使用来传达与灯 的状况有关的信息和/或向灯传输操作命令,比如说将灯开启或关闭。可以用共享密钥对 通信加密。
[0020] 除了在要求安全通信的潜在地较大的照明网络中的密钥建立之外,本发明还可以 应用于要求设备对之间的安全通信的任何类型的通信网络。
[0021] 网络设备可以是配备有电子通信和计算手段的电子设备。网络设备可以例如以 RFID标签的形式被附着到任何非电子对象。例如,这种方法将适合于"物联网(internet ofthings)"。例如,物体,特别是低成本物体,可以配备有无线电标签,通过无线电标签它 们可以通信,例如可以被识别。可以通过诸如计算机这样的电子手段对这样的物体编目录。 被盗或损坏的项目将容易地被跟踪和定位。一个特别有前途的应用是包括被配置成确定共 享密钥的网络设备的照明器。这样的照明器可以安全地传达其状态;这样的照明器可以被 安全地控制,例如开启和/或关闭。网络设备可以是多个网络设备之一,所述多个网络设备 各自包括用于发送和接收身份号以及用于发送电子状态消息的电子通信器,并且各自包括 被配置用于遵循根据本发明的方法来导出共享密钥的集成电路。
[0022] 在实施例中,本发明的方法可以被用作针对诸如IPSec、(D)TLS、HIP或ZigBee这 样的安全性协议的密码方法。具体地,使用这些协议之一的设备与标识符相关联。希望与 第一设备通信的第二设备可以生成与给出其标识符的第一设备的共有的成对密钥,并且成 对密钥(或利用例如密钥导出功能由此导出的密钥)可以用在基于预先共享的密钥的以上 协议的方法中。具体地,如本发明中限定的设备的标识符可以是网络地址,比如ZigBee短 地址、IP地址或主机标识符。标识符还可以是设备的IEEE地址或与设备相关联的私有比 特串,以使得设备在制造期间接收与IEEE地址相关联的某种本地建钥(keying)素材。
[0023] 导出共享密钥可被使用于许多应用。典型地,共享密钥将是密码对称密钥。对称 密钥可被使用于保密,例如可以用对称密钥来加密外出的或进入的消息。只有可访问身份 号和两个本地密钥素材之一这两者(或访问根密钥素材)的设备才能够解密通信。对称密钥 可被使用于认证,例如,可以用对称密钥来认证外出的或进入的消息。按照这种方式,可以 证实消息的来源。只有可访问身份号和两个本地密钥素材之一这两者(或访问根密钥素材) 的设备才能够创建经认证的消息。
[0024] 网络设备可以被配置用于通过网络管理机构(例如可信第三方)的密钥共享。网络 管理机构可以从另一个源获得所需的素材,例如根密钥素材,但是也可以自己生成该素材。 例如,可以生成公共模数。如果网络管理机构使用配置申请中描述的方法之一,则网络管理 机构可以生成私有模数,即使公共模数是系统参数并且被接收到。
〇0表示多项式的与本地密钥素材相对应的次数,并且A表示密钥长度。例如,在实施例中 况=- 1。用于稍后挑选的模运算可以被特别高效地实现。具有固定的公共模数的 优点在于:它不需要被传达给网络设备,而是可以与例如网络设备的系统软件整合。
[0026] 可以依赖于安全性要求和可用的资源来挑选密钥长度(A)个比特。对于普通安全 性,128比特就可以足够,对于高安全性,256或者甚至更高是合理的,对于低安全性,80或 者甚至64是合理的。网络设备的身份号小于2的密钥长度次幂。
[0027] 对于每个网络设备,由网络管理机构生成与本地密钥素材相对应的多项式。典型 地,多项式是单变量的并且是从双变量根多项式导出的。如果根多项式是多变量的,具有比 如说k个变量。则网络设备需要接收k-1个不同的身份号来导出在k个设备之间共享的密 钥。将接收到的k-1个不同身份号代入网络设备中所表示的多项式的变量。情形k=2对应 于两个设备之间的密钥共享。
[0028] 有意思的是,网络设备中用于多项式评估的多项式表示可以是有损的,S卩,因为表 示了过少的信息而不能从该表示中构造多项式。例如,对于多项式的至少一个系数,某组比 特 比如说"中间字",即,不是最尚有效字,也不是最低有效字 可以被省去,即,不被 存储在该表示中。例如,对于多项式的常数项,仅需要记录最低有效字。字是密钥长度个比 特长的。例如,网络管理机构可以在生成本地多项式之后实施以下步骤:针对每个系数选择 另外的部分,比如说供在第二乘法中使用的最高有效部分,以及供在第一乘法中使用的最 低有效部分。对于至少一个系数,所述另外的部分和最低有效部分具有比对应的项的系数 严格地更少的比特。对于每个系数,所述另外的部分和最低有效部分被存储在本地密钥素 材中。优选地,系数的中间部分,即,在最高有效部分和最低有效部分之间的部分,不被存储 在本地密钥素材中。本地密钥素材被存储在网络设备处。
[0029] 第二网络设备的身份号可以以电子和数字的形式被接收,比如说作为二进制比特 串被接收。第二网络设备的身份号与第一网络设备的身份号不同。
[0030] 多项式操纵设备被配置成根据归约算法对身份号施加多项式。所述归约算法被配 置为使得它取得归约结果,所述归约结果对应于以下操作的结果,即:将第二网络设备的身 份号代入多项式,并将代入的结果对公共模数取模归约,接着对密钥模数取模归约,密钥模 数是2的幂,幂的指数至少是密钥长度。
[0031]在实施例中,公共模数等于2的指数幂加上偏移,其中所述指数是密钥 长度的倍数,并且其中所述偏移的绝对值小于2的密钥长度次幂,多项式的每个系数小于 公共模数。特别有利的是减去偏移1。在这种情况下,模N运算归约为相加(如以下说明的)。
[0032] 有意思的是,在实施例中,每个迭代具有第一乘法和第二乘法。第一乘法是在接收 到的身份号与该项的系数的