最低有效b比特字之间,S卩,第一乘法的尺寸是恒定的。第二乘 法是在接收到的身份号与系数的另外部分之间。所述另外部分的尺寸随着项的次数而增 大;优选地其单调地增大;更优选地,其严格地增大。例如,尺寸可以是与次数加上误差控 制项相等的字数。因此,第二乘法的尺寸可以随次数减小。通过使另外部分的尺寸随次数 严格增大,该尺寸仅仅在归约结果的影响大的情况下才大,并且在影响小的情况下小,从而 实现了计算资源的大的缩减。
[0033]发明人发现,具体是系数的最高有效部分和最低有效部分对最后结果,即归约结 果,做出贡献。在系数中,这两个部分被中间字分开,所述中间字是不被需要的,因为它们对 归约结果没有影响或只是影响很小。在实施例中,使最低有效部分和所述另外部分(即,最 高有效部分)聚集在一起。例如,在多项式的系数的至少一个中以预处理形式来表示,在预 处理形式下具体项的系数的最低有效部分和所述另外部分被表示在单个比特串中彼此相 邻,归约算法包括在身份号与该单个比特串之间的单个乘法,以便一起执行第一乘法和第 二乘法。
[0034] 通过乘以2的密钥长度倍数次幂然后对公共模数取模归约,可以以预处理形式高 效地获得系数。
[0035] 多个网络设备当中各自具有身份号和针对身份号生成的本地密钥素材的任何一 对两个网络设备能够以非常少的资源协商共享密钥。这两个网络设备只需要交换它们的不 需要保密的身份号,并实施多项式计算。所需的计算的类型不要求大的计算资源,这意味着 该方法适合于低成本的大量类型的应用。
[0036] 如果已从对称多项式获得了本地密钥素材,这允许网络设备对中的两个网络设备 都获得相同的共享密钥。如果将模糊数(obfuscatingnumber)加到了本地密钥素材,贝Ij本 地密钥素材和根密钥素材之间的关系被打乱。
[0037] 在实施例中,对称双变量多项式由网络管理机构生成。例如,对称双变量多项式可 以是随机对称双变量多项式。例如,可以使用随机数生成器来把系数选择为随机数。
[0038]在实施例中,去除共享密钥的多个最低有效比特;例如,去除的比特的数目可以是 1、2或更多、4或更多、8或更多、16或更多、32或更多、64或更多。通过去除最低有效比特中 的更多个,减小了具有不相等密钥的或然率;具体地,可以将其减小到任何期望的阈值。可 以通过遵循数学关系来计算共享密钥相等的或然率,也可以通过经验来确定共享密钥相等 的或然率。
[0039] 多项式操纵设备可以以运行在计算机上(比如说集成电路上)的软件实现。多项式 操纵设备可以以硬件非常高效地被实现。组合也是可能的。例如,可以通过操纵表示多项 式的系数的阵列来实现多项式操纵设备。
[0040] 通过例如使用有线连接或使用无线连接电子地向网络设备发送所生成的本地密 钥素材、并使所生成的本地密钥素材存储在网络设备上,可以实现在网络设备处电子地存 储所生成的本地密钥素材。这可以在网络设备的集成电路的制造或安装期间(例如测试期 间)进行。测试装备可以包括网络管理机构或与网络管理机构连接。这也可以发生在设备 成功加入某个操作网络之后(即,在网络访问或自举之后)。具体地,本地密钥素材可以作为 操作的网络参数的一部分来分发。
[0041] 可以通过从用于配置网络设备以便密钥共享的系统(例如,网络管理机构设备)电 子地接收本地密钥素材,来做到以电子形式获得用于第一网络设备的本地密钥素材。还可 以通过从本地存储装置(例如像闪速存储器这样的存储器)取回本地密钥素材,来做到获得 本地密钥素材。
[0042] 可以通过从第二网络设备接收身份号(例如从第二网络设备直接接收,例如从第 二网络设备无线地接收)来做到获得针对第二网络设备的身份号。
[0043] 公共模数和密钥模数可以存储在网络设备中。公共模数和密钥模数也可以从网络 管理机构接收。公共模数和密钥模数也可以隐含在网络设备的软件中。例如,在实施例中, 密钥模数是2的幂。可以通过丢弃除了密钥长度个最低有效比特之外的所有比特,来进行 对这样的密钥模数取模的归约。首先,将代入的结果对公共模数取模归约,然后进一步对密 钥模数取模归约。
[0044] 尽管不是必需的,但是公共模数和密钥模数可以是互质的。这可以通过使公共模 数为奇数而使密钥模数为2的幂来实现。在任何情况下,避免密钥模数除尽公共模数,因为 那样对公共模数取模归约就可以被省略。
[0045] 在实施例中,第一网络设备接收与设备的标识符相关联的多个(n)本地密钥素材。 在该第一设备和第二设备之间生成的密钥被作为通过用第二设备的标识符评估第一设备 的多个(n)本地密钥素材中的每一个而获得的多个(n)密钥的组合(例如,拼接)获得。这 允许并行地使用该方法。
[0046] 将非对称双变量多项式用作为根建钥素材,S卩,Ife5禮柄,允许容纳两组设备 的创建,比如,第一组中的设备接收寒!#?_,而第二组中的设备接收::|.關_:〖_,KM是设 备上存储的本地密钥素材。属于同一组的两个设备不能生成共有密钥,但是不同组中的两 个设备能。进一步参见Blundo。
[0047] 网络设备的身份号可以作为包含与该设备相关联的信息的比特串的单向函数来 计算。单向函数可以是密码散列函数,比如SHA2或SHA3。可以将单向函数的输出截短,使 得其适合标识符尺寸。可替换地,单向函数的尺寸小于最大标识符尺寸。
[0048] 本发明的一方面牵涉到一种密钥共享系统,其包括用以配置网络设备以用于密钥 共享的系统以及至少两个第一网络设备。用于配置网络设备的系统从多变量根多项式,比 如双变量多项式,导出本地多项式,比如单变量多项式。从本地多项式导出多项式的表示。 在简单的实施例中,多项式的表示是比如说按照项的次数排序的多项式系数的数字列表。 但是在先进的实施例中,在表示中省去了系数的一些部分。
[0049] 在实施例中,用于针对密钥来配置网络设备的系统包括:密钥素材获得器,用于以 电子形式获得公共模数以及具有整数系数的对称多变量多项式;生成器,用于生成所述至 少两个第一网络设备的网络设备的本地密钥素材,所述生成器包括:网络设备管理器,用于 以电子形式获得用于网络设备的身份号以及用于在网络设备处电子地存储所生成的本地 密钥素材;多项式操纵设备,用于通过将身份号代入多变量多项式来从双变量多项式确定 多项式。
[0050] 用于配置网络设备的系统还可以进行预处理,例如,在实施例中,用于配置网络设 备的系统的生成器被配置成通过将所确定的多项式的系数乘以2的密钥长度倍数次幂并 接着对公共模数取模归约,来获得预处理形式的一个或多个系数。
[0051] 这种预处理也可以由网络设备进行,比如说由多项式操纵设备来进行。
[0052] 在用于配置网络设备的系统的实施例中,包括: -密钥素材获得器,用于以电子形式获得私有模数、公共模数以及具有整数系数的对 称双变量多项式,公共模数的二进制表示和私有模数的二进制表示在至少密钥长度(^个 连续比特中相同, -生成器,用于生成所述至少两个第一网络设备的网络设备的本地密钥素材,所述生 成器包括: -网络设备管理器,用于以电子形式获得用于网络设备的身份号U)以及用于在网络 设备处电子地存储所生成的本地密钥素材, -多项式操纵设备,用于通过将身份号代入双变量多项式、以代入的结果对私有模数 取模归约,来从双变量多项式确定单变量多项式。
[0053] 本发明的一方面牵涉到用于配置网络设备的系统。
[0054] 密钥导出设备可以被实现为计算机(例如集成电路)、运行的软件、以硬件实现、以 二者的组合来实现等等,被配置用于从对密钥模数取模归约的结果导出共享密钥。
[0055] 从对密钥模数取模归约的结果导出共享密钥可以包括密钥导出函数的施加,例如 在theOpenMobileAlliance(开放移动联盟)的OMADRM规范(0MA-TS-DRM-DRM-V2_0_2 -20080723-A,section7.1.2KDF)中定义的函数KDF和类似的函数。导出共享密钥可以 包括丢弃一个或多个最低有效比特(在施加密钥导出函数之前)。导出共享密钥可以包括加 上、减去或拼接某个整数(在施加密钥导出函数之前)。
[0056] 各自具有身份号和对应的本地密钥素材的多个网络设备可以一起形成通信网络, 所述通信网络被配置用于网络设备对之间安全的(例如保密的和/或经认证的)通信。
[0057] 密钥生成是基于ID的,并且允许在设备对之间的成对密钥的生成。第一设备A可 以依靠从本地密钥素材和身份号导出密钥的算法。
[0058]参考作者SongGuo、VictorLeung和ZhuzhongQian的论文"APermutation-Ba sedMulti-PolynomialSchemeforPairwiseKeyEstablishmentinSensorNetworks',。
[0059] 本发明的一方面牵涉到一种从多项式和第二网络设备的身份号确定与第二网络 设备共享的有密钥长度(A)个比特的共享密码密钥的方法。
[0060] 根据本发明的方法可以作为计算机实现的方法被实现在计算机上,或以专用硬件 来实现,或以两者的组合来实现。用于根据本发明的方法的可执行代码可以被存储在计算 机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、 在线软件等等。优选地,计算机程序产品包括被存储在计算机可读介质上的用于当在计算 机上执行所述程序产品时实施根据本发明的方法的非暂时性程序代码装置。
[0061] 在优选实施例中,计算机程序包括适于当该计算机程序在计算机上运行时实施根 据本发明的方法的所有步骤的计算机程序代码装置。优选地,计算机程序被体现在计算机 可读介质上。
[0062] 提供了一种网络设备,所述网络设备被配置成从多项式和第二网络设备的身份号 确定与第二网络设备共享的有密钥长度(A)个比特的共享密码密钥。归约算法被用于通过 第二网络设备的身份号评估多项式,并对公共模数取模和对密钥模数取模来归约。归约算 法包括在多项式的项上的迭代。与多项式的具体项相关联的至少一个迭代包括第一乘法和 第二乘法。第一乘法是在身份号与从多项式的表示获得的具体项的系数的最低有效部分之 间,所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形成。第二 乘法是在身份号与从多项式的表示获得的具体项的系数的另外部分之间,所述系数的另外 部分由所述具体项的系数的不同于所述密钥长度个最低有效比特的比特形成,所述另外部 分和所述最低有效部分一起形成比在多项式的具体项的系数中严格地更少的比特