身份号施 加多项式以获得归约结果。在步骤540,从归约结果导出共享密钥,比如通过诸如KDF这样 的密钥导出算法导出。此外,可以实施密钥均衡算法。步骤530包括归约算法,这由至步骤 522、524和526的虚线箭头图示。
[0126] 在步骤522,开始在多项式的项上的迭代,至少一个迭代与多项式的某个具体项相 关联。在步骤524,在身份号与从多项式的表示获得的具体项的系数的最低有效部分之间实 施第一乘法,所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形 成。
[0127] 在步骤526,在身份号与从多项式的表示获得的具体项的系数的另外部分之间实 施第二乘法,所述系数的另外部分由所述具体项的系数的不同于所述密钥长度个最低有效 比特的比特形成,所述另外部分和所述最低有效部分一起形成比在多项式的具体项的系数 中严格地更少的比特。
[0128] 如对于本领域技术人员来说将明显的是,许多执行该方法的不同方式是可能的。 例如,步骤的次序能够改变,或者一些步骤可以并行执行。而且,在步骤之间可以插入其他 方法步骤。插入的步骤可以代表比如本文描述的方法的细化,或者可以与该方法无关。例 如,通过创建其中所述另外部分和最低有效部分相邻的数,可以一起执行步骤524和526。 而且,给定的步骤可以在下一步骤开始之前尚未完全完成。
[0129] 可以使用软件来执行根据本发明的方法,所述软件包括用于使处理器系统实施方 法500的指令。软件可以仅包括由系统的具体子实体采取的那些步骤。软件可以被存储在 合适的存储介质中,比如硬盘、软盘、存储器等等。软件可以作为信号沿着线、或无线地、或 使用例如互联网这样的数据网络而被发送。可以使软件可用于下载和/或可用于在服务器 上远程使用。
[0130] 将认识到,本发明还延伸到计算机程序,尤其是在适于把本发明投入实践的载体 上或载体中的计算机程序。程序可以具有以下形式:源代码、目标代码、码中间源和目标代 码,比如部分编译的形式,或者具有适合于用在根据本发明的方法的实现中的任何其他形 式。与计算机程序产品有关的实施例包括计算机可执行指令,所述计算机可执行指令对应 于所阐述的方法中至少一个方法的处理步骤的每一个。这些指令可以被细分为子例程和/ 或被存储在可以被静态或动态链接的一个或多个文件中。与计算机程序产品有关的另一实 施例包括计算机可执行指令,所述计算机可执行指令对应于所阐述的系统和/或产品中至 少一个系统和/或产品的装置的每一个。
[0131] 应注意,上述实施例是例证说明而非限制本发明,并且本领域技术人员将能够设 计出许多可替换的实施例。
[0132] 在权利要求中,置于圆括号之间的任何参考数字不应被解读为限制权利要求。动 词"包括"及其变形的使用并不排除权利要求中记载的那些元件或步骤以外的元件或步骤 的存在。元素前面的冠词"一"或"一个"("a"或"an")并不排除多个这样的元素的存在。 可以利用包括若干相异元件的硬件以及利用合适地编程的计算机来实现本发明。在列举了 若干装置的设备权利要求中,这些装置中的若干个可以由硬件的同一项来体现。仅仅是在 互不相同的从属权利要求中陈述了某些措施的事实并不表明这些措施的组合不能被使用 来获益。
[0133]图la、图Ib和图2的参考数字的列表: 100通信网络 110第一网络设备 120第二网络设备 130收发机 142多项式操纵设备 144本地密钥素材存储装置 146密钥导出设备 148密钥均衡器 150密码元件 160网络管理机构 210获得另一网络设备的外部身份号 220向另一网络设备发送本地身份号 230执行归约算法 250导出共享密钥 260向另一网络设备发送密钥确认消息 270密钥被确认? 275否 280密码应用
【主权项】
1. 一种第一网络设备(110),被配置成从多项式和第二网络设备的身份号来确定与第 二网络设备共享的有密钥长度(A)个比特的共享密码密钥,所述多项式具有多个项,每一项 与不同的次数和系数相关联,所述第一网络设备包括: -电子存储装置(114),用于存储针对第一网络设备的本地密钥素材,所述本地密钥素 材包括多项式的表示以供第一网络设备在评估多项式时使用, -接收机(130),用于获得第二网络设备的身份号,所述第二网络设备与所述第一网络 设备不同, -多项式操纵设备(142),被配置成根据归约算法对身份号施加该多项式,以及 -密钥导出设备(146),用于从归约结果中导出该共享密钥,其中 _所述归约算法包括在多项式的项上的迭代,其中与多项式的具体项相关联的至少一 个迭代包括: _在身份号与从多项式的表示获得的具体项的系数的最低有效部分之间的第一乘法, 所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形成, _在身份号与从多项式的表示获得的具体项的系数的另外部分之间的第二乘法,所述 系数的另外部分由所述具体项的系数的不同于所述密钥长度个最低有效比特的比特形成, 所述另外部分和所述最低有效部分一起形成比在多项式的具体项的系数中严格地更少的 比特。2. 根据权利要求1所述的第一网络设备,其中,公共模数等于2的指数幂( 2^0)加上偏移,优选地偏移为-1,其中所述指数是密钥长度的倍数,并且其中所述偏移 的绝对值小于2的密钥长度次幂,多项式的每个系数小于该公共模数。3. 根据前述任一项权利要求所述的第一网络设备,其中,密钥模数等于2的密钥长度 次幂,身份号小于密钥模数。4. 根据前述任一项权利要求所述的第一网络设备,其中,在所述多项式的项上的迭代 中的每个迭代与多项式项中的特定一项相关联,每个迭代包括: _在身份号与从多项式的表示获得的特定项的系数的最低有效部分之间的第一乘法, 所述系数的最低有效部分由所述特定项的系数的密钥长度个最低有效比特形成, _在身份号与从多项式的表示获得的特定项的系数的另外部分之间的第二乘法,所述 系数的另外部分由所述特定项的系数的不同于所述密钥长度个最低有效比特的比特形成。5. 根据权利要求4所述的第一网络设备,其中,所述特定项的系数的另外部分是所述 特定项的系数的最高有效部分,所述系数的最高有效部分由所述特定项的系数的多个最高 有效比特形成。6. 根据权利要求4或5的任一项所述的第一网络设备,其中,所述另外部分中的比特数 是密钥长度的倍数。7. 根据权利要求4、5或6的任一项所述的第一网络设备,其中,所述另外部分中的比特 数随着所述特定项的次数的减小而减小。8. 根据权利要求7所述的第一网络设备,其中,所述另外部分中的比特数是密钥长度 的倍数,并且其中所述倍数等于所述项的次数加上误差控制数9. 根据权利要求8所述的第一网络设备,其中,所述误差控制数等于1或2。10. 根据前述任一项权利要求所述的第一网络设备,其中,所述多项式的系数中的至少 一个以预处理形式来表示,在预处理形式下具体项的系数的最低有效部分和所述另外部分 被表示在单个比特串中彼此相邻,所述归约算法包括在身份号与所述单个比特串之间的单 个乘法以便一起执行第一乘法和第二乘法。11. 一种密钥共享系统,包括用于配置网络设备以进行密钥共享的系统和至少两个根 据前述任一项权利要求所述的第一网络设备,所述用于针对密钥来配置网络设备的系统包 括: -密钥素材获得器,用于以电子形式获得公共模数以及具有整数系数的对称多变量多 项式, -生成器,用以生成用于所述至少两个第一网络设备的网络设备的本地密钥素材,所 述生成器包括: -网络设备管理器,用以以电子形式获得用于网络设备的身份号U)以及用于在网络 设备上电子地存储所生成的本地密钥素材, -多项式操纵设备,用于通过将身份号代入多变量多项式来从双变量多项式确定多项 式。12. 根据权利要求11所述的密钥共享系统,其中,用于配置网络设备的系统的生成器 被配置成通过以下操作来获得预处理形式的一个或多个系数,即:将所确定的多项式的系 数乘以2的密钥长度倍数次幂,接着对公共模数取模归约。13. -种从多项式和第二网络设备的身份号确定与第二网络设备共享的有密钥长度 (A)个比特的共享密码密钥的方法,所述多项式具有多个项,每一项与不同的次数和系数相 关联,所述方法包括: -存储针对第一网络设备的电子形式的本地密钥素材,所述本地密钥素材包括多项式 的表示以供第一网络设备在评估多项式时使用, -获得第二网络设备的身份号,所述第二网络设备与所述第一网络设备不同, -根据归约算法对身份号施加该多项式以获得归约结果,以及 -从归约结果导出共享密钥,其中, -所述归约算法包括在多项式的项上的迭代,其中与多项式的具体项相关联的至少一 个迭代包括: -在身份号与从多项式的表示获得的具体项的系数的最低有效部分之间的第一乘法, 所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形成, -在身份号与从多项式的表示获得的具体项的系数的另外部分之间的第二乘法,所述 系数的另外部分由所述具体项的系数的不同于所述密钥长度个最低有效比特的比特形成, 所述另外部分和所述最低有效部分一起形成比在多项式的具体项的系数中严格地更少的 比特。14. 一种计算机程序,其包括适于当所述计算机程序在计算机上运行时实施权利要求 13的所有步骤的计算机程序代码装置。15. 根据权利要求14所述的计算机程序,其体现在计算机可读介质上。
【专利摘要】提供了一种网络设备(110),所述网络设备被配置成从多项式和第二网络设备(120)的身份号确定与第二网络设备共享的有密钥长度(<i>b</i>)个比特的共享密码密钥。归约算法被用于通过第二网络设备的身份号评估多项式,并对公共模数取模和对密钥模数取模来归约。归约算法包括在多项式的项上的迭代。至少在与多项式的具体项相关联的迭代中,包括第一乘法和第二乘法。第一乘法是在身份号与从多项式的表示获得的具体项的系数的最低有效部分之间,所述系数的最低有效部分由所述具体项的系数的密钥长度个最低有效比特形成。第二乘法是在身份号与从多项式的表示获得的具体项的系数的另外部分之间的第二乘法之间,所述系数的另外部分由所述具体项的系数的不同于所述密钥长度个最低有效比特的比特形成,所述另外部分和所述最低有效部分一起形成比在多项式的具体项的系数中严格地更少的比特。
【IPC分类】H04L9/08, H04L9/30
【公开号】CN105027492
【申请号】CN201480011261
【发明人】O.加西亚莫乔恩, S.S.库马, L.M.G.M.托休伊泽恩
【申请人】皇家飞利浦有限公司
【公开日】2015年11月4日
【申请日】2014年2月11日
【公告号】WO2014132155A1