ネットワークにおけるセキュア通信に関する方法、通信デバイス、ネットワーク及びコンピュータプログラム
ルート鍵材料を具備する管理デバイス2を有するネットワークにおける第1のノードN1と第2のノードN2との間の通信を安全に行う方法が、ルート鍵材料に基づき、多数のサブエレメントを有する第1のノードの鍵材料共有物を上記管理デバイスが生成するステップであって、上記第1のノードの鍵材料共有物が、第1の完全な鍵を生成するよう構成される、ステップと、上記管理デバイスが、上記第1の鍵材料共有物のサブエレメントのサブセットを選択するステップであって、上記選択されるサブエレメントの数が、上記第1の鍵材料共有物のサブエレメントの総数以下であり、上記選択されたサブエレメントが、第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成する、ステップと、上記第1のノードの対称鍵生成エンジン及び上記第2のノードの識別子に基づき、上記第2のノードとの通信を安全に行うのに使用される第1の鍵を上記第1のノードが生成するステップとを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュア通信に関する方法、及び通信を安全に行うための暗号化システムといったセキュア手段を用いる通信デバイスを持つ通信ネットワークに関する。本発明は、例えば携帯型ワイヤレスセンサ及びアクチュエータネットワーク(WSN)といった通信ネットワークにおいて、より詳細には、患者監視のための医療無線ネットワーク、又は例えば照明環境ネットワーク、ビル自動化ネットワーク、車載装置ネットワークといった他のパーソナルネットワークにおいて、有利な用途を見いだす。
【背景技術】
【0002】
これらのセンシティブな用途のため、ネットワーク等は、秘密性、認証(authentication)、完全性及びアクセス権限(authorization)といったセキュリティサービスを具備しなければならない。
【0003】
従来の通信ネットワークにおいて使用される暗号化システムは通常、通信を安全に行うための暗号方法に基づかれるセキュリティサービスを可能にする。暗号方法は、その処理のため暗号鍵を必要とする。
【0004】
より詳細には、通信相手又はノードを有し、非常にコスト効率が良くなければならないいくつかのネットワークでは通常、必要なセキュリティサービスを可能にするため対称性暗号が適用される。実際、無線センサネットワークのようなネットワークにおいて、ノードは通常、バッテリーパワー、通信帯域幅、処理パワー又はメモリの点で、リソースが制限されている。非対称暗号に基づかれるセキュリティ方法は従って、斯かるノードでは非効率的又は実現不可能と一般には考えられる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
対称性暗号における基本的な問題は、鍵配布にある。即ち、ネットワークに属し、安全に通信しなければならないノードにおける共有される秘密の確立にある。この問題は、WSNにおいて特に顕著である。なぜなら、それらのサイズは十から数万ノードまで変化することができ、それらの性質は非常に動的であるからである。例えば、ネットワークトポロジが先験的に知られるということができない。
【0006】
暗号鍵は、公開鍵暗号法、鍵配布センター又は他の対称性技術に基づかれる異なる方法を用いて、関係する通信相手の間で分散及び確立される。特に、最近、センサネットワークに対する鍵配布方式の設計に関する調査が実施された。ランダム鍵事前配布方式、トラストセンターベースの鍵配布方式又は公開鍵暗号法の適用が提案されている。それらの方式の多くにおいて、セキュリティとパフォーマンスとの間のトレードオフが存在する。例えば、ランダム鍵事前配布方式は、M個の鍵のプールからランダムに選択されるW個の鍵をWSNにおける各ノードに配布する。こうして、2つノードは、W及びMに依存して、共通の鍵を共有する確率pを持ち、セキュア通信リンクを確立することができる。しかしながら、これらの方式は、ノード及び格納された鍵をキャプチャすることにより破られることができる。また、これは比較的多数の鍵の格納を必要とする。例えば、50〜200の間であり、100ビットの鍵に対して500〜2000バイトに等しい。公開鍵ベースの鍵合意方式は、単一の鍵の格納で済むが、鍵生成に関するアルゴリズムはかなり複雑である。その上、このシステムは計算的な観点から言えば更に遅い。なぜなら、鍵合意ハンドシェイク手順のため数秒が必要とされるからである。従来の鍵配布方式の中には、αセキュアと呼ばれる鍵材料共有物配布方式を取るものがある。その場合、ネットワークに属するノードは、レディーメードの暗号鍵を直接具備するのではなく、通信を安全に行うためこのネットワークの別のノードと共有される鍵を計算することを可能にするあるノード特有の鍵材料を具備する。このノード特有の情報は、ネットワークの管理デバイスに含まれるルート鍵材料から得られる鍵材料共有物である。これらのαセキュア方式は、パフォーマンス、可用性及びセキュリティ間のトレードオフを提供する。それらのシステムの主な欠点は、αノードのキャプチャ、従ってα鍵材料共有物の組合せのキャプチャがルート鍵材料全体を危うくする性質をルート鍵材料が持つという事実にある。
【0007】
本発明の目的は、上述した欠点を解決し、従来の鍵配布方式のパフォーマンスを増加させる、ネットワークにおける通信を安全に行う方法を提案することにある。
【0008】
本発明の別の目的は、任意の数のノードがキャプチャされてもネットワークが危険にならないネットワークを提供することである。
【0009】
本発明の更に別の目的は、ネットワークのノードに関するリソース要件を最小化しつつ、従来のαセキュア鍵配布方式より非常に高いセキュリティレベルを実現する効果的な鍵配布を確立することである。
【課題を解決するための手段】
【0010】
このために、本発明は、対称鍵生成エンジン(SKGE)を具備する管理デバイスを有するネットワークにおいて第1のノードと第2のノードとの間の通信を安全に行う方法を提供する。対称鍵生成エンジン
は、3つの望ましい処理特性を用いて、第1の通信相手アリスが、ネットワークにおける他の任意の通信相手、例えば、ボブとのペアワイズ鍵を生成することを可能にする暗号ブロックである。まず、本発明は、鍵合意のための非対称ハンドシェイクより計算的に非常に効率的である。第2に、この鍵生成エンジンは、非常に効率的な態様で格納されることができる。即ち、本発明は、トリビアルな対称鍵分布方式のN−1の鍵と比較されるとき、数バイトのストレージで済む。第3に、このエンジンは、破られることが困難である。
【0011】
一般性のため、エンティティ
、例えばノードのSKGEを、他の通信相手の識別子が与えられるとき、システムにおける他の任意のエンティティ
での対称鍵の高速かつ効率的な生成をエンティティ
が行うことを可能にする構造として定める。エンティティ
のSKGEは、同じ秘密鍵材料
に基づかれる。この秘密情報は、nの独立した鍵材料共有物
から生成される鍵材料
のセットのn個の組合せである。異なるエンティティ
に関する鍵材料共有物
が、いくつかのルート鍵材料
から生成される。
【0012】
ルート鍵材料
及び鍵材料共有物
は例えば、暗号において使用される既知の数学関数に基づかれる。これらの数学関数は、多項式、行列、組合せ構造等を含むことができる。数学演算は、例えば群(group)、体(field)、環(ring)、ベクトル空間等を含む代数構造といった任意の有限体又は他の数学的構造にわたり実行されることができる。
【0013】
SKGEの処理は、
管理デバイスが、ルート鍵材料、例えば、多項式のルート鍵材料と、第1のノードの識別子とに基づき、例えば第1の多項式の下で、第1のノードに関する鍵材料共有物のセットを生成するステップであって、各第1の鍵材料共有物が、サブエレメントに分割される、ステップと、
管理デバイスが、上記第1の鍵材料共有物のサブエレメントのサブセット、例えば多項式の係数を選択するステップであって、各第1の鍵材料共有物に対して選択されるサブエレメントの数が、上記第1の鍵材料共有物のサブエレメントの総数以下であり、上記選択されたサブエレメントが、第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成する、ステップと、
管理デバイスが、第1のノードの部分的な物質共有物を第1のノードに送信するステップと、
上記第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンと上記第2のノードの識別子とに基づき、上記第2のノードとの通信を安全に行うのに使用される第1の鍵を上記第1のノードが生成するステップとを有する。
【0014】
対称鍵生成エンジンに関する斯かる方法は、鍵配布方式の弾力性を増加させる。なぜなら、ノードは、第1のノードの鍵材料共有物の一部のみを具備し、従って、多数のノードがキャプチャされたとしても、攻撃者は、最初のルート鍵材料を取得することができないからである。
【0015】
その上、対称鍵生成エンジンは、例えば、異なる有限体にわたり実行される、異なるルート鍵材料の混合処理から生成される異なる鍵材料共有物から生じる多数の要素を結合することができる。
【0016】
追加的なセキュリティ機能は、異なる複雑さの鍵材料共有物及びルート鍵材料共有物を用いて、設定可能なセキュリティレベルを参照する。例えば、ルート鍵材料が多項式である場合、選択される多項式の次数は、計算的複雑さとセキュリティとの間のトレードオフを提供するために用いられることができる。
【0017】
更に、ノードは、より少ない数の要素を具備し、こうしてより少ないビット数を具備するので、これらの要素を格納するためのメモリ要件は最小化され、部分的な鍵を生成するための計算要件も減らされる。
【0018】
別の実施形態では、ルート鍵材料は、対称性の二変量多項式である。第2のノードが、第1のノードの鍵材料共有物と同じ態様で計算される部分的な鍵材料共有物を具備し、これに従って第2の部分的な鍵を生成する場合、斯かる特性は、この第2の鍵が第1の鍵に等しいことをもたらす。
【0019】
本発明の更に別の実施形態において、ルート鍵材料は、有限体GF(q)nにおける係数を持つ次数1の多項式である。ここで、qnは2n−1に等しい素数である。nは整数である。
【0020】
別の実施形態では、エンティティの対称鍵生成エンジンは、異なる次数で異なる有限体にわたる多数の二変量多項式から生成される多数の多項式の共有物から生じる要素を結合することにより設計される。多項式の共有物の実際の生成が、対応する体で実行されるという態様で、組合せが実行される。しかし、対称鍵生成エンジンは、そうした体全てに共通する要素及び処理を結合する。
【0021】
本発明の別の側面は、ノードを有するネットワークにおいてルート鍵材料を具備する管理デバイスに関する。この管理デバイスは、
上記ノードの識別子を受信するとき、上記ルート鍵材料に基づき、ノード鍵材料共有物を生成する手段であって、各鍵材料共有物が、サブエレメントに分けられる、手段と、
対称鍵生成エンジンの設計に関する第1の鍵材料共有物のサブエレメントのサブセットを選択する手段であって、各鍵材料共有物から選択される上記サブエレメントの数が、第1の鍵を生成するよう構成されるノードの部分的な鍵材料共有物を形成するよう、このサブ識別子のサブエレメントの総数以下である、手段と、
上記ノードの部分的な鍵生成共有物を上記ノードに配布する手段とを有する。
【0022】
本発明の別の側面は、上記の管理デバイスと通信デバイスとを有するネットワークシステムに関する。この通信デバイスは、識別子及び対称鍵生成エンジンを具備する。このシステムは、
上記管理デバイスに上記識別子を送信する手段と、
上記管理デバイスから、ノードの部分的な鍵材料共有物を受信する手段と、
上記別のノードの識別子を受信する手段と、
上記受信した対称鍵生成エンジン又はノードの部分的な鍵材料共有物と、上記受信した他のノードの識別子とに基づき、上記他のノードとの通信のための鍵を生成する手段とを有する。
【図面の簡単な説明】
【0023】
【図1】管理デバイス及び2つのノードを有する本発明によるネットワークを表す図である。
【図2】基本的な対称鍵生成エンジンに関する本発明による方法のシーケンスを示すブロック図である。
【図3】基本的な対称鍵生成エンジンにおける従来の鍵生成処理を示す図である。
【図4a】本発明による鍵生成処理を示す図である。
【図4b】本発明による別の鍵生成処理を示す図である。
【図4c】2つの異なる有限体にわたり2つの異なる二変量多項式から生成される2つの多項式の共有物から選択されるサブエレメントが、エンティティRの対称鍵生成エンジンを作成するために結合される本発明の実施形態を示し、モジュラー乗算に関連付けられる要素だけを表す図である。
【図5】二変量多項式の次数がルート鍵材料として使用されるとき、SKGEのいくつかのサブエレメントの生成に関係するルート鍵材料のビットを表す図である。
【発明を実施するための形態】
【0024】
本発明のこれら及び他の側面が、以下に説明される実施形態から明らかとなり、これらの実施形態を参照して説明されることになる。
【0025】
本発明が、以下、添付の図面を参照して、例を用いて、より詳細に説明されることになる。
【0026】
本発明は、ネットワークにおける通信を安全に行う方法に関する。斯かる方法の例示的な動作シークエンスが、本発明によるネットワークを示す図1及びネットワークの動作シークエンスのブロック図を示す図2と共に説明されることになる。図2は、基本的な対称鍵生成エンジンの設計において使用されるいくつかの例示的な要素を含む。
【0027】
このネットワークは、構成フェーズCONFIGの間ルート鍵材料を具備する管理デバイス2を有する。ある例示的な実施形態では、ルート鍵材料は、有限体GF(q)における係数を持つ次数1の対称性の二変量多項式F(x、y)である。この多項式は、F(x,y)=a00+a01x+a10y+a11xyのように記述されることができる。ここで、a01=a10である。
【0028】
ある実施形態において、体GF(q)の特性は、素数のメルセンヌ数qn=2n−1であり、ここで、nは、例えばn=17、127又は521といった整数である。
【0029】
この構成フェーズCONFIGの間、ネットワークの各ノード(N1、N2)は、識別子(ID1、ID2)をそれぞれ具備する。それらの識別子は、rビット長である。ここで、rはnより少ない整数である。ある例において、rは、n/3の整数部に等しい。この構成フェーズは一般に、ネットワークの事前配備フェーズの間に、即ちノードが実際にネットワークに参加する前に発生する。
【0030】
一旦ノードが配備されると、管理デバイスは、GENERフェーズの間、ルート鍵材料F(x,y)と識別子ID1とに基づき、ノードN1に関する完全な鍵材料共有物を生成する。ノードN1に関する完全な鍵材料共有物は、
であり、ここで、この多項式の係数は、以下の
及び
として計算される。斯かる方法において実行される他の全ての処理同様、これらの処理はqを法として(modulo q)実行される。なぜなら、このシステムは、有限体GF(q)にわたり実行されるからである。
【0031】
ここで、従来の方法による鍵生成処理を簡単に説明する。その後、SKGEに基づかれる本発明の改良を説明する。
【0032】
斯かる従来の処理は、図3を参照して、以下の設定で説明されることになる。
【0033】
−管理デバイスにおいて与えられるルート鍵材料は、F(x,y)=a00+a01x+a10y+a11xyである。これは、式F(x,y)=(a00+a01x)+(a10+a11x)yと因数分解されることができる。
【0034】
−F(x,y)の係数は、連結される3つのセグメントの式の下で表される。
【0035】
−このネットワークは、2つのノードを有し、その識別はR及びVである。
【0036】
第1のステップは、x=RにおいてF(x,y)を評価することにより、ノードRに関する鍵材料共有物を生成することにある。これは、
を生成する。
【0037】
この評価は、図3の上部に示され、ここで、
−上部左側では
の計算となり、及び
-上部右側では
の計算となる。
【0038】
その後、従来のシステムにおいて、管理デバイスにより生成される完全な鍵材料共有物は、Rノード、即ち6つのセグメント
に送信される。
【0039】
ノードRとノードVとの間で通信が確立されなければならないとき、識別子Vが、ノードRに与えられる。その結果、このノードは、通信を安全に行うための完全な鍵を生成することができる。この鍵は、両方のノードが合意するペアワイズ鍵である。これは、y=VにおいてノードFR(y)の鍵材料共有物を評価することにより計算される。この計算は、図3の下部に示される。計算
は、3つの連結されたセグメントK1、K2及びK3を含む鍵Kを与える。
【0040】
要素W1及びz1はキャリーに対応し、有限体のサイズに依存する。
【0041】
斯かる従来のシステムにおいて、ノードの完全な鍵材料共有物のすべてのセグメントが、このノードに送信される。従って、多数のノードがキャプチャされる場合、攻撃者はルート鍵材料及び従ってシステム全体の安全性を低下させることができる。今の例の場合、2つのノードがキャプチャされれば、ルート鍵材料を危うくするのに十分である。なぜなら、次数1の多項式が使用されるからである。
【0042】
次に、図2及び図4を参照して、他の欠点の中でもこのセキュリティ問題を解決するために本発明により提案される改良を説明する。
【0043】
図2の動作シークエンスに戻り、ID1を用いてノードN1の完全な鍵材料共有物を生成した後、管理デバイスは、SELECTステップにおいて、部分的な鍵材料共有物を生成するため、異なる係数のいくつかのセグメントを選択する。
【0044】
サブエレメントとも呼ばれるそれらのセグメントが、完全な鍵の一部の生成を可能にするように選択される。こうして、ある例示的な実施形態において、管理デバイスは、図4における太い正方形で示される以下の係数
だけをノードN1に配布する。部分的な鍵材料共有物を形成するそれらの要素が、ノードN1にその後配布される。
【0045】
その後、ノードN1とN2との間で通信が確立されなければならないとき、識別子ID2がN1に送信され、鍵生成処理(KEY_GEN)が実行される。図4から分かるように、
だけを具備しているので、ノードN1は、すべての鍵要素K1、K2及びK3を計算することはできないが、鍵K3の最上位ビットを生成することができる。読者は、係数の異なる部分と実行されるモジュラー処理との関係を分析することにより、これを理解することができるであろう。部分的な鍵K3はその後、ノードN1とノードN2との間の通信を暗号化するために使用される。
【0046】
同様に、管理デバイスは、ある実施形態において、ルート鍵材料共有物と第2のノードの識別子とに基づき、第2のノードの鍵材料共有物も生成する。この第2のノードの鍵材料共有物は、第2の多項式の形式下にあり、第1の係数と同じ数の係数を持つ。第2の鍵材料共有物は、第2の完全な鍵を生成するために構成される。この第2のノードの鍵材料共有物の第2の多項式の係数は、第1の多項式の係数と同様に分割される。即ち各係数は3つのサブエレメントに分けられる。その後、管理デバイスは、第2のノードの部分的な鍵材料共有物を形成し、それを第2のノードに送信するため、第2の多項式の係数のいくつかのサブエレメントを選択する。
【0047】
第2の多項式の係数に関して選択されるサブエレメントは、第1のノードの部分的な鍵材料共有物を形成するために選択されるサブエレメントに対応する。この文脈において、「対応する要素」という用語は、同じ位置にあるサブエレメント
を意味し、これは、第1の係数の第3の要素及び第2の係数の第1及び第3の要素を表す。
【0048】
第2のノードの鍵材料共有物と第1のノードの識別子とに基づき、第2のノードは、第1のノードとの通信を安全に行うのに使用される第2の部分的な鍵を生成する。ルート鍵材料が対称性の多項式であり、対応するサブエレメントが第1のノードの部分的な鍵材料共有物及び第2のノードの鍵材料共有物から選択されるので、第2の部分的な鍵は、第1の部分的な鍵に等しい。更に、この第2の部分的な鍵は、第2の完全な鍵の一部である。
【0049】
この実施形態は、結果として生じる鍵の最上位ビットだけを使用する点に留意されたい。即ち、単純な対称鍵生成エンジンの本実施形態を用いる2つの通信相手は、K3の最上位ビットについてのみ合意することができる。これは、この処理が「元の体GF(q)の外で」実行され、情報の一部が失われるからである。特に、両方の通信相手とも、鍵生成フェーズにおけるキャリーの効果を含むよう、任意の情報を格納するものではない。しかしながら、この効果は最小限である。なぜなら、キャリー伝搬の確率がビット数と共に減少するからである。特に、結果として生じる鍵のb個の最下位ビットを除去した後、2つのノードが確率1−2−bで共通鍵に関して同意することができるということが証明されることができる。
【0050】
更に、本発明の提案されたシステムは、従来のαセキュアシステムのパフォーマンスの改善も可能にする。実際に、部分的な鍵材料共有物だけがノードに与えられるので、鍵材料共有物の格納に関するメモリリソース及び鍵を計算するための計算要件は、従来のシステムよりかなり小さい。
【0051】
下記の表1は、この第1の実施形態によるシステムの3つの構成のストレージ要件及び計算要件を詳述する。
【表1】
【0052】
それらの3つの構成は、メモリを最小化することを可能にする。なぜなら、ほんの数ビットだけが必要とされるからである。また、計算要件を最小化することも可能にする。なぜなら、2つの非モジュラー乗算と1つの加算だけが実行されなければならないからである。
【0053】
対称鍵生成エンジンのこの基本的な実施形態のセキュリティは、攻撃者が、ノードに配布される部分的な鍵材料共有物、即ち、SKGEに関して使用される情報から、元のルート鍵材料を回復させることができないという事実に依存する。
【0054】
SKGEのセキュリティを説明するために、最初にブロック暗号の既知の概念とこの概念とを比較する。ブロック暗号は、固定長のプレーンテキストのブロックを用いて機能する暗号化方式である。ブロック暗号は、2つの変換、即ち暗号変換
及び復号変換
からなる。Kは、両方の変換において使用される秘密鍵である。通信相手アリスは、鍵Kを用いてメッセージを暗号化して、ボブにそれを送信するため
を使用することができる。ボブは、受信した暗号化されたメッセージを復号化して、元のメッセージを得るため、同じ鍵及び復号変換
を使用することができる。プレーンテキスト攻撃を想定する場合、即ち、攻撃者が暗号化されていない及び暗号化されたメッセージのペア
を知っている場合、攻撃者は秘密鍵Kの回復を試すことができる。SKGEを攻撃することは、いくらか類似する。攻撃者は、
個のペア
を得ている多くのノードをキャプチャすることができる。ここで、
は、エンティティ
のSKGEにおいて使用される鍵材料である。攻撃者は、キャプチャされた
個のペア
を用いることでシステムにおける各エンティティの対称鍵生成エンジンの生成において使用されるルート鍵材料を再構成することを目的とする。ブロック暗号への攻撃とこの攻撃とを比較する場合、SKGEのルート鍵材料は、ブロック暗号における暗号化鍵と同じ役割を果たすと言うことができる。その上、
のペアは、プレーン/暗号テキストのペアに等しい。
【0055】
前述したように、この基本的なSKGEは、N_c個のペア
を危険にすることにより、攻撃されるかもしれない。以下、攻撃フローの輪郭だけを描く。
【0056】
●事前知識。
【0057】
○
は、図3にて図示するように、3つのサブエレメント
を有する。
は、ノード
にリンクされる次数1の多項式の共有物の係数
の一部である。
【0058】
○実験によれば、システムのセキュリティが、ルート鍵材料の係数
に強く依存することが示される。これは容易に理解されることができる。なぜなら、
のすべてのビットだけが、生成された鍵に含まれるからである。システムセキュリティに関する
の強い効果は、これがモジュラー処理が実行される唯一の要素であるという事実にも起因する。従って、攻撃者は、
を回復することにより、この特殊なSKGEを破壊することができる。
【0059】
●
個のペア
をキャプチャすることによる
を回復する処理。
【0060】
○2つのエンティティ
及び
のサブエレメント
を考える。それらのサブエレメントが
から生じるので、それらの間の差、即ち
を算出することができ、こうして、
に非常に相関される結果を得ることができる。結果として生じる
は、
ビット長であり、一方
は
ビット長である。ここで、
である。すると、
と書くことができる。その後、GF(q)にわたり
の逆数を算出することにより、直接
を得ることができる。
の(
の外の)kビットが、こうして得られることができる。残りの
ビットに対して、攻撃者は、
及び
の間の差が1に向かうような態様でエンティティ
のペアを探すことができる。これは、多くのステップにおいて実行されることができる。最終的に、攻撃者は、ペア
を生成又は見つけることができる。その結果、それらの2つの識別子にリンクされる対応する値は
に等しい。ここで、
が成り立つ。
【0061】
こうすることを必要とするペア
の予想される数は、約
であるべきである。
【0062】
別の攻撃は、異なるポイントの補間に基づかれることができる。有限体にわたり、任意の関数が、多項式関数として表されることができる。斯かる多項式関数は、ラグランジュ補間法を使用することにより生成されることができる。
【0063】
上記の基本的なSKGEに対するこの攻撃は、例えばブロック暗号といった他の暗号構造に対する他の攻撃と比較されることができる。多くのブロック暗号において、システムのセキュリティは、メッセージを暗号化するために用いられるラウンド(round)の数に依存する。数ラウンドを用いる同じブロック暗号は、線形、差分又は補間攻撃といった異なる種類の攻撃に対して弱いかもしれない。
【0064】
同様に、本発明の異なる実施形態において、セキュア鍵生成エンジンは、セキュリティを強化するため、1つ又は複数の以下の機能を有することができる。
【0065】
●システムセキュリティを増加させるため、より複雑なルート鍵材料関数の使用。例えば、次数>1の多項式の使用。多項式の次数を増加させることは、ブロック暗号のラウンドの数を増加させることに相当する。
【0066】
●情報のより良好な混合を実現するため、等しい又は異なるサイズの環又は体といった異なる数学的構造に対して同じ又は異なる動作を用いて、同じ又は異なる複雑さで生成される鍵材料共有物の要素のスマートな組み合わせ。例えば、異なる体にわたる多数の二変量多項式に基づかれるルート鍵材料が使用されることができる。それらのエンティティのそれぞれの識別子において二変量多項式を評価することにより、多数の多項式の共有物が、多くのエンティティに対して生成される。異なる有限体にわたるそれらの多項式の共有物のサブエレメントはその後、各エンティティのSKGEを作成するために結合される。
【0067】
●攻撃者が実際の鍵材料を回復することができないという態様で、更なる別の拡張は、SKGEにおける処理の設計を参照する。この最適化は、どのルート鍵材料共有物のどの鍵材料から、SKGEのサブエレメントが生成されるかを攻撃者が発見することを不可能にするため、SKGE自体において実行される処理の混合及び組合せを参照する。
【0068】
ブロック暗号の処理と比較する場合、これらの教示のいくつかがより好適に理解される。例えば、ブロック暗号は、暗号又は復号変換において多くのラウンドを使用する。ラウンドの数が多いほど、セキュリティはより高い。ブロック暗号も、混乱を引き起こし、秘密鍵の回復を難しくするため、ビットを混合することを目的とする。これは、SKGEの設計においてより複雑な関数を導入する本発明の目的でもある。次に、上記の拡張を用いるより複雑なSKGEの実施形態を紹介する。
【0069】
高次多項式に基づかれるSKGE
基本的な実施形態は、次数α=1の二変量多項式をルート鍵材料として使用する。即ち
である。この実施形態において、qは、式
における素数であり、システム識別子は、
ビット長であるよう選ばれる。前述されたように、斯かる構成は、多くのビットに対するラッピングモジュラ処理の効果を制限することを可能にする。この理論に従い、ビットでの体サイズと、kビットに等しい識別子サイズとの間の比率は減少しなければならない。特に、この比率を
に等しいとすることができる。ここで、αは多項式の次数である。α=3とし、多項式
を用いて、
においてそれを評価する場合、
ビット長であり、多項式の共有物
が得られる。各係数
は、
として算出される。斯かる設計は、約
ビットの出力鍵を持つSGKEを作成することを可能にすることができる。一般性を失うことなく、比率は、2*α+1に等しい。α=1に対して、比率は、3に等しい(基本的な実施形態)。
【0070】
特に、SKGEを従わせるサブエレメントは、
として表されることができる。ノードN1に関するSKGEは、N2での鍵を生成するために用いられることができ、
となる。この特定の例では、鍵生成の複雑さが増加することが分かる。従って、より計算要件を必要とするが、より好適な混合を実現する。一般に、ノードN2での鍵を生成するために有限体
にわたり次数αの二変量多項式をルート鍵材料として使用するノードN1のSKGEに関する処理は、
と書かれることができる。
【0071】
ここで、一般性を失うことなく、
が成り立つ。値
は、エンティティN1のSKGEのサブエレメントを有し、
として元の多項式の共有物の係数に依存する。
【0072】
この式は、
での単一の二変量多項式を使用したこの文書の冒頭に記載された基本的なSKGE実施形態のより一般的な規定を表す。
【0073】
エンティティN1のSKGEのそれらのサブエレメントのそれぞれは、元のルート二変量多項式のα+1係数に依存する。図5は、ノードN1に関する多項式の共有物の係数
の生成に関係する元のルート鍵材料
の4つの係数を表す。
から生成されるSKGEの2つのサブエレメント
も示す。係数は、kビットブロックに分けられる。Xでマークされるブロックは、SKGE要素の生成に関係するブロックである。これらの生成されたSKGE要素は、XXでマークされる。
【0074】
更に、生成された鍵のサイズにより分けられる鍵の生成に関係するルート鍵材料の実際のビット数は、増加する。同じ長さの鍵を生成する2つのSKGEだが、第2のSKGEが、より複雑さの次元の高いルート鍵材料関数、例えば、より高次の二変量多項式を用いる場合、攻撃者は、より多くの情報を決めなければならない。これは、より難しいものとなる。従って、SKGEに関するルート鍵材料として、高い次数の多項式といったより複雑な数学関数の使用は、ルート鍵材料の回復をより難しくする。結果的に、αがSKGEの複雑さ及びセキュリティを決定するように見える。
【0075】
二変量多項式の係数
は、対称性マトリクス
として図示されることができる。生成された鍵がkビットブロックであると仮定すれば、次数αの二変量多項式の係数は、2*α+1のkビットブロック長である。ここで、既に規定したのと同じ比率を使用する。次数1の二変量多項式に対して、4つの係数
を持つ。それらのそれぞれは、3つのkビットブロックに分けられる。この分割は、ルート鍵材料のどの一部が、SKGE要素
のビットに影響を及ぼすかについて分析するのに有益である。これは例えば、図4bを分析することにより理解されることができる。
【0076】
複数の結論が、それから得られることができる。
【0077】
第1に、次数αの多項式に関して、
のときの
の要素は、わずか1ブロック長であるが、α+1の効果及び
のブロックを含む。
であるとき、複雑さαのSKGEの要素
は、
ブロック長であり、
のブロックに依存する。システムが攻撃されたい場合、これを知っていることは有益でありえる。なぜなら、攻撃者は、ルート鍵材料のより少ないブロックに依存するSKGEのそれらの要素を分析し始めることができるからである。
【0078】
第2に、最高次の係数のすべてのビットだけが、SKGE要素の生成に関係する。これは、その係数に関する「現実の」モジュラー処理だけを言うことに等しい。
【0079】
2つの異なる有限体にわたる多項式の組合せに基づかれるSKGE
より複雑及び安全なSKGEは、2つの異なる体
及び
にわたる次数1の2つの二変量多項式
を考慮することにより構築されることができる。特に、
は、式
におけるメルセンヌ素数として考慮されることができ、
は、式
における別の素数として考慮されることができる。ここで、βは、
が素数である最小の正の整数である。これらの特定の値は、斯かる態様で選ばれる。
【0080】
(i)それらの2つの多項式から生成される多項式の共有物は、異なる体の効果を含む。しかし、
【0081】
(ii)この体は、それらの多項式の共有物のいくつかのサブエレメントを結合するよう十分類似する。及び
【0082】
(iii)各エンティティのSKGEは、2つの異なる有限体にわたり生成される多項式の共有物のサブエレメントの組合せとして作成される。この特定の実施形態は、例えば次数1の多項式といった低い複雑さの数学関数に関するものであるが、例えば、異なる次数の体、体及び環等の異なる数学的構造の組み合わせが、例えば、より高次の多項式といったより高い複雑さの数学的構造に関して行われることができる点に留意されたい。
【0083】
この特有の実施形態の基本的概念は、図4及び図4cに示される。ここで、2つの要素
及び
を乗算した結果が、識別子R[n/3]ビット長をnビット長倍したものであることが分かる。
【0084】
Rの長さは、
及び
の非モジュラー乗算が、4*[n/3]ビット長であるような態様で選ばれる。選ばれた体の特殊な形式が原因で、これらの4*[n/3]ビット長の結果の[n/3]の最上位ビットが、両方の結果の[n/3]の最下位ビットと、第2の体
の場合におけるモジュラー処理を適用した後の[n/3]の最上位ビットとに影響を与える。図4の左部分は、有限体
にわたる乗算を表す。この乗算は、例えば、エンティティに関する鍵材料共有物の生成に関係する図3に表される乗算のいずれかとすることができる。
【0085】
これを念頭におくと、この手法を用いるシステム処理は、以下のように働く。構成エンティティは、2つのエンティティN1及びN2に関する合計4つの多項式の共有物を生成するため、上記2つの二変量多項式を使用する。両方のエンティティの識別子に関する変数xにおいて両方の二変量多項式を評価することにより、これは、通常通り行われる。4つの多項式の共有物は
である。
における
及び
はそれぞれ、多項式の共有物がN1又はN2に属するかどうか、及びその計算が
又は
に対して実行されたかを示す。これらの多項式の共有物の係数のそれぞれは、基本的な実施形態の場合同様、異なるサブエレメントに分けられる。例えば、
は、3つの要素、即ち
の連結と見られることができる。ここで、
は、連結を表す。同様に、
、
及び
が成り立つ。構成エンティティは、多項式の共有物のサブエレメントの組合せとして両方のエンティティのSKGEを有することになる要素を算出するため、関係する体の特殊な形式を考慮する。特に、
であるときノード
のSKGEの3つの要素を考慮すると、
となる。別のノードNjの識別子が与えられるときのノードNiの一般的なSKGE処理は、本実施形態では
となる。SKGEの要素
が、異なる多項式の共有物から生じる2つのサブエレメントの加算として得られることが観測される。それらの加算のそれぞれにおいて第2のサブエレメントを除去すれば、基本的なSKGE実施形態に戻る。
【0086】
この拡張は、SKGEへの攻撃を難しくする興味深い機能をもたらす。ルート鍵材料は、この特殊なケースにおいて、異なる次数の体にわたる多項式を有する。攻撃者が、基本的な実施形態に対するのと同じ攻撃を実行したい場合、その者は障壁を見つけることになる。実際、ここで、攻撃者は識別子の逆数を算出することができない。なぜなら、それは2つの異なる体の要素だからである。更に、基本的なSKGEへの以前の攻撃では、システムのセキュリティが、係数
に依存すると述べた。詳細な解析によれば、この特殊かつ例示的な実施形態において、攻撃者が、nビットの代わりに4*[n/3]ビットを見つけなければならないことが示され、これは、システム解析をより困難なものにする。この意味で、SKGEの弾力性を測定する方法は、それらのSKGEサブエレメントのビット長分SKGEを有するサブエレメントの生成に関係するルート鍵材料のビット数間の比率を参照する。
【0087】
この概念は、例えば多項式の共有物といった2つ以上の鍵材料共有物から生成され、例えば異なる有限体にわたる二変量多項式といった異なるルート鍵材料にリンクされる多くのサブエレメントを混合することにより更に拡張される。
【0088】
例えば体といった異なる代数構造にわたる複数のルート鍵材料を用いる別の拡張は、その結合素数と拡張された有限体とを参照する。例えば、2つの体を参照し、1つは、モジュラー処理のための素数を用いるものであり、もう1つは、pを素数とするとき次数
であり、削減のため多項式を用いるものである。この理由は、処理が、体の構造により「互換性がない」ためである。
【0089】
上記例から、SKGEを有するサブエレメントが、単一の鍵材料共有物又はそれらの組合せから生成されたかどうかを攻撃者が区別することはできないように見える。
【0090】
しかしながら、この情報についての知識は、攻撃者が、ルート鍵材料を回復するためのよりスマートな攻撃を実行することを可能にするかもしれない。これは、異なるルート鍵材料から生成される多数の異なる鍵材料要素からサブエレメントを有するSKGEを生成し、ルート鍵材料のパラメタを秘密に保つ更なる拡張の可能性を与える。これらのパラメタは、例えば、体、環又はベクトル空間といった使用される数学的構造の種類及び例えば体のサイズ又は多項式の次数といったそれらの複雑さを参照することができる。
【0091】
最終的に、異なるルート鍵材料から生じる複数の鍵材料共有物の使用に基づかれるシステムの別の拡張は、SKGEにおいて鍵生成のために必要とされるそうした要素及び処理が、鍵材料共有物の実際の値を隠すよう構成されることができるという事実を参照する。これを説明するために、4つの異なるルート鍵材料から生成されるエンティティN1に対する4つの異なる鍵材料共有物を仮定する。各鍵材料共有物から2つの要素が抽出されると仮定する。即ち、
である。ここで、最後の1つを除き、3つの中から抽出が行われる。また、SKGEが、基本的なSKGE実施形態のような3つの異なる要素
を有し、鍵が
として生成されると仮定する。ここで、SKGEの実際の要素は、異なる鍵材料共有物から選択される上記サブエレメントの組合せである。この特殊な例では、それらは、
として組み合わせられる。鍵材料共有物は互いに独立であるので、異なるサブエレメントは互いを妨害する。従って、斯かる手法は、実際の元のルート鍵材料共有物の回復をより困難なものにする。
【0092】
完全なSKGE設計
このSKGE設計は、前の2つの設計を基にしている。この設計は、次数αの単一の二変量多項式に基づかれるSKGEにおいて、係数
のすべてのビットだけが、多項式の共有物/鍵の計算に関係するという事実により動機づけされる。この理由は、上記の方式が、体サイズと鍵サイズの間の比率が
に等しいよう設計される点にある。係数
は、モジュラー演算の効果を含むが、係数の残りの効果はより小さい。実際に、それらの効果は、非モジュラー処理の効果と比較されることができる。更に、単一のルートに鍵材料だけが用いられる。従って、このシステムは、かなり線形である。
【0093】
この問題を処理するため、それぞれ次数1、2、…、α及びαのルート鍵材料としてα+1の二変量多項式を含む完全なSKGE設計を説明する。この特定の実施形態では、これらの二変量多項式は、以下の体にわたり存在する。
【0094】
次数1の
にわたる
。
【0095】
…
【0096】
次数iの
にわたる
。
【0097】
…
【0098】
次数αの
にわたる
。
【0099】
次数αの
にわたる
。ここで
は
より大きい素数である。
【0100】
ここで、SKGEがkビット長の鍵を生成すると仮定する。次数
の多項式に関する素数
の式は、以下の事実に依存する。項
は、ルート鍵材料の係数に関する所望の数のkビット「ブロック」から現れる。
は、
の最上位kビットブロック、又は言い換えると、
の最上位のビットに影響を及ぼすモジュラー処理を持つことが必要とされる。結合処理を可能にするため、即ち、多項式の共有物のちょうど一部を用いることにより鍵を生成するため、1が選択される。最終的に、項
が、素数を見つけるために用いられる。βの値は、数
が素数であるための最小の正の整数である。
【0101】
このアイデアは、
のモジュラー処理が
の次数1の係数等に影響を及ぼすシステムを設計することである。同じことが
及び
にも言える。一般に、
の貢献は、より高い識別子
を持つすべての多項式に影響を及ぼすことになる。
【0102】
この設計は、上述の両方のSKGEの利点を結合し、更に新たな利点を提供する。まず、すべての多項式で最も高い次数の係数のすべてのビットが鍵の生成に関係するという態様で、このシステムは設計される。これは特に重要である。なぜなら、それらの係数が、モジュラー処理を含むからである。第2に、ビットで測定される異なるサイズの体が使用され、こうして、任意の要素の逆転がずっと困難になる。特に、同じ識別子が、4つの多項式の生成に使用されるが、これらの多項式は、異なる体にわたり存在するので、ルート鍵材料の完全な係数又はその一部を回復するために、識別子の逆要素を計算することはかなり困難である。この事実は、補間攻撃をもより困難なものにする。なぜなら、今や攻撃者は、多項式を用いてSKGE挙動を近似することに狙いを定めるからである。しかしながら、斯かる多項式は、異なる体に起源を持ち、未知のビットにより影響された情報の効果を含む。これは、補間多項式の予想次数を非常に高くし、こうして、このシステムは非常に弾力的である。第3に、異なるルート鍵材料(即ち、二変量多項式
)から生じる鍵材料共有物(多項式の共有物)から生成されるサブエレメントが、互いを乱すという態様で、体のオーダーが選択される。これは、元のルート鍵材料の回復をより困難なものにする。この混乱効果は、例えば
といったより高い識別子を持つ多項式の係数に関する、最高次数の多項式
の係数の効果を参照する。追加的な事実は、素数における項
に起因するモジュラー処理の効果を参照する。これらの項は、式
におけるSKGEの要素に強く影響を及ぼす。これは、異なる有限体にわたる異なる多項式から実際に生じる非線形効果をもたらす。SKGEの他の要素
とルート鍵材料の係数との間の関係はそのまま残る。違いは、これらの要素も、α+1のルート鍵材料すべてに依存する点である。従って、SKGEに関するアルゴリズムにおいて使用される処理は、セクション「次数が1より大きな多項式に基づかれるSKGE」において導入されたものと変わりがない。そのSKGEは、
となる。
【0103】
これは、
となる。
【0104】
ここで、SKGE
の要素が、上記の手法に従い、α+1の鍵材料共有物の要素の組合せとして生成される。すると、この表現は、例えば補間技術を用いて近似されることがかなり困難である。なぜなら、要素
が、異なる有限体にわたるモジュラー処理の非線形効果をもたらすからである。
【0105】
システムの複雑さが大きくなる場合、即ち長いα値が選択される場合、このシステムの実現は、長い整数の非モジュラー乗算を必要とする。ここで、パフォーマンスとセキュリティとの間のトレードオフが発見される。SKGEの複雑さを高めるほど、セキュリティレベルは高くなる。これは、暗号セキュリティがラウンド数に依存するブロック暗号の処理に相当する。このトレードオフは特に挑戦的である。なぜなら、乗算の数が、指数的に大きくなるからである。これは、上記のSKGEの最後の項
を解析することにより理解されることができる。上記の和における要素
は、
ビット長の2つの要素の乗算を含む。これが非モジュラー処理である場合でも、
の大きな値に対しては、非常にコストがかかる(constly)。計算パフォーマンスも、第2の項
に依存する。しかし、その程度はそれほど強くない。i番目の指数に対して、
及び
ビット長の2つの要素の乗算を含む。図5は、乗算が指数関数的に大きくなることを示す。ここで、kビット乗算の数を参照する点に留意されたい。
【0106】
システムのパフォーマンスは、上記のSKGE表現をわずかに修正し、いくつか事前計算をすることで、最適化されることができる。ここで、以下のように規定される3つの変化又は変形例を説明する。
【0107】
第1に、ノードN1は、両方の項
に関してN2の出力を事前計算することができる。これは、再帰的な態様でそれを計算することにより、効率的に実行されることができる。これは、αのkビット乗算を必要とする。一般に、
となる。
【0108】
第2に、N2の上記の事前計算された出力が与えられるとすると、上記のSKGEにおける第2の項
の貢献は、N2のi番目の出力のk最下位ビットとSKGE要素
との乗算として計算されることができる。これは、α(α+1)/2からαへと、即ち係数(α+1)/2分、必要とされるkビット乗算の数を減らす。
【0109】
第3の最適化は、上記のSKGEの第3の項
のパフォーマンスを改善する。これを理解するため、4kビット長の2つの要素A及びBの乗算を観測することができる。ここで、一般性を失うことなく、4kビット長オペランドが選択される。A及びBは、各kビット長の4つのサブエレメントを有する。この乗算は、i=4のとき項
の特殊な乗算を表す。乗算の結果は、8*kビット長変数Cである。しかしながら、C全体を持つ必要はなく、Cのkビットだけを持つ必要がある。従って、和
における項の各々の計算は、最適化されたバージョンにより置換されることができる。計算的な観点から、
に関するこの最適化された表現が、以下に示される。
及び
がそれぞれ、
kビット要素を有する点に留意されたい。これらの要素は、
及び
である。そして、
が成り立つ。
【0110】
これは、和
のj番目の項のこの最適化された生成が、
から
へとkビット乗算の数を減らすことを可能にすることを意味する。通常、すでに指摘したように、この近似は、結果のいくつかのビットを除去することを必要とする。なぜなら、この最適化は、前の項の効果を含まないからである。その結果、これは、加算から生じるキャリーの効果を含まない。しかしながら、kが十分に大きい場合、及び特に上記3つの最適化のある場合と無い場合とでシステムのパフォーマンスを比較する場合、これは軽微な事実である。従って、これらの最適化は、高い複雑さのSKGEの使用を可能にする。ここで、複雑さは、元のルート二変量多項式を回復するための複雑さを参照する。なぜなら、αのより高い値を選択すると、より多くの多項式が導入されるからである。
【0111】
上記すべての教示は、他のSKGEの設計にも適用されることができる。追加的な設計手法は、システムへの攻撃の可能性を最小化するために多数のランダム特性を満たす識別子を使用することを含む。これは、攻撃者が元のルート鍵材料を回復することを防止する。更に、本書で説明されるシステムは、例えば多変量多項式といった多変量関数を用いることにより、多数の通信相手間での鍵合意のために容易に適合されることができる点に留意されたい。
【0112】
本書において説明される技術的特徴は、幅広い用途において使用されることができる。
【0113】
主な用途は、無線センサネットワークにおいて実現されるセキュリティシステムでの使用である。例えば、それらのネットワークは、以下の通りである。
【0114】
−広範的な患者モニタリングに使用される医療センサネットワーク。それらのネットワークにおいて、ノードは一般に、患者に配置され、メモリ及び計算能力に関する少ないリソースしか持たないセンサノードである。
【0115】
−分散照明環境、ビル自動化システム、車載装置ネットワーク、又はアクセス制御方針が設定され、観測されなければならない他の任意のネットワークといったスマートな環境。
【0116】
−より詳細には、標準的なIEEE 802.15.4/ZigBeeに基づかれる任意の無線センサネットワーク。
【0117】
本発明は、例えばセンサノード又はパーソナルデジタルアシスタントといった資源制約されたデバイス上で、他のシステム及び例えば軽量デジタル証明書といった他の方法と組み合わされることもできる。軽量デジタル証明書は、エンティティを確認及び認証するため、このエンティティに関連付けられる属性のセットから成る。この属性のセットは、エンティティのデジタル識別(名前、職業等)、アクセス制御役割だけでなく、他のパラメタを含むことができる。
【0118】
更に、本発明は、以下の領域において新しい機会を開くことができる。
【0119】
−無線センサネットワーク又はデータ通信ネットワークにおける安全なブロードキャスト。実際、ネットワークにおけるベースステーションは、ネットワークにおけるルート鍵材料及びノードの複数の各ノードを格納することができる。従って、ベースステーションは、本発明において提供される破られない鍵材料共有物を用いてメッセージを暗号化するためにルート鍵材料を用いることができる。
【0120】
−異なる通信用途における完全にセキュアな電子チケットの創作。
【0121】
SKGEは、偽造発見を含む他の多くの用途を可能にする。この用途において、異なるが、相関されるSKGEが、製品の一意性の署名を提供する各製品に埋め込まれることができる。例えば、デジタル文書において、ランダムシーケンスを用いてわずかに修正される、例えばデジタル画像の元のデジタルシーケンスを持つことができる。例えば、デジタル画像におけるいくつかのピクセルの最下位ビットをランダムに修正することが可能である。この情報の指紋は、ハッシュ関数を計算することにより決定されることができ、そのデジタル文書に関する秘密のルート鍵材料からSKGEの要素を生成するため、ハッシュの出力を用いることができる。生成されたSKGEの要素は、同じデジタル文書に埋め込まれる。例えば、デジタル画像のいくつかのピクセルの最下位(last significant)ビットに埋め込まれる。この手法は、SKGEの使用に基づかれる偽造発見を可能にする。即ち、複製されたデジタル文書は、追跡されることができ、偽の文書は、有効なSKGEを含まない。
【0122】
本願明細書及び請求項において、ある要素に先行する「a」又は「an」という単語は、斯かる要素が複数存在することを除外するものではない。更に、「有する」という単語は、記載される要素又はステップ以外の他の要素又はステップの存在を除外するものではない。
【0123】
請求項において括弧内の参照符号が含まれることは、理解を助けるためのものであり、限定することを目的とするものではない。
【0124】
本開示を読めば、他の修正が当業者に対して明らかであろう。斯かる修正は、セキュア通信の従来技術において既に知られており、本書に説明される特徴の代わりに、又はこれに加えて使用されることができる他の特徴を含むことができる。
【技術分野】
【0001】
本発明は、セキュア通信に関する方法、及び通信を安全に行うための暗号化システムといったセキュア手段を用いる通信デバイスを持つ通信ネットワークに関する。本発明は、例えば携帯型ワイヤレスセンサ及びアクチュエータネットワーク(WSN)といった通信ネットワークにおいて、より詳細には、患者監視のための医療無線ネットワーク、又は例えば照明環境ネットワーク、ビル自動化ネットワーク、車載装置ネットワークといった他のパーソナルネットワークにおいて、有利な用途を見いだす。
【背景技術】
【0002】
これらのセンシティブな用途のため、ネットワーク等は、秘密性、認証(authentication)、完全性及びアクセス権限(authorization)といったセキュリティサービスを具備しなければならない。
【0003】
従来の通信ネットワークにおいて使用される暗号化システムは通常、通信を安全に行うための暗号方法に基づかれるセキュリティサービスを可能にする。暗号方法は、その処理のため暗号鍵を必要とする。
【0004】
より詳細には、通信相手又はノードを有し、非常にコスト効率が良くなければならないいくつかのネットワークでは通常、必要なセキュリティサービスを可能にするため対称性暗号が適用される。実際、無線センサネットワークのようなネットワークにおいて、ノードは通常、バッテリーパワー、通信帯域幅、処理パワー又はメモリの点で、リソースが制限されている。非対称暗号に基づかれるセキュリティ方法は従って、斯かるノードでは非効率的又は実現不可能と一般には考えられる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
対称性暗号における基本的な問題は、鍵配布にある。即ち、ネットワークに属し、安全に通信しなければならないノードにおける共有される秘密の確立にある。この問題は、WSNにおいて特に顕著である。なぜなら、それらのサイズは十から数万ノードまで変化することができ、それらの性質は非常に動的であるからである。例えば、ネットワークトポロジが先験的に知られるということができない。
【0006】
暗号鍵は、公開鍵暗号法、鍵配布センター又は他の対称性技術に基づかれる異なる方法を用いて、関係する通信相手の間で分散及び確立される。特に、最近、センサネットワークに対する鍵配布方式の設計に関する調査が実施された。ランダム鍵事前配布方式、トラストセンターベースの鍵配布方式又は公開鍵暗号法の適用が提案されている。それらの方式の多くにおいて、セキュリティとパフォーマンスとの間のトレードオフが存在する。例えば、ランダム鍵事前配布方式は、M個の鍵のプールからランダムに選択されるW個の鍵をWSNにおける各ノードに配布する。こうして、2つノードは、W及びMに依存して、共通の鍵を共有する確率pを持ち、セキュア通信リンクを確立することができる。しかしながら、これらの方式は、ノード及び格納された鍵をキャプチャすることにより破られることができる。また、これは比較的多数の鍵の格納を必要とする。例えば、50〜200の間であり、100ビットの鍵に対して500〜2000バイトに等しい。公開鍵ベースの鍵合意方式は、単一の鍵の格納で済むが、鍵生成に関するアルゴリズムはかなり複雑である。その上、このシステムは計算的な観点から言えば更に遅い。なぜなら、鍵合意ハンドシェイク手順のため数秒が必要とされるからである。従来の鍵配布方式の中には、αセキュアと呼ばれる鍵材料共有物配布方式を取るものがある。その場合、ネットワークに属するノードは、レディーメードの暗号鍵を直接具備するのではなく、通信を安全に行うためこのネットワークの別のノードと共有される鍵を計算することを可能にするあるノード特有の鍵材料を具備する。このノード特有の情報は、ネットワークの管理デバイスに含まれるルート鍵材料から得られる鍵材料共有物である。これらのαセキュア方式は、パフォーマンス、可用性及びセキュリティ間のトレードオフを提供する。それらのシステムの主な欠点は、αノードのキャプチャ、従ってα鍵材料共有物の組合せのキャプチャがルート鍵材料全体を危うくする性質をルート鍵材料が持つという事実にある。
【0007】
本発明の目的は、上述した欠点を解決し、従来の鍵配布方式のパフォーマンスを増加させる、ネットワークにおける通信を安全に行う方法を提案することにある。
【0008】
本発明の別の目的は、任意の数のノードがキャプチャされてもネットワークが危険にならないネットワークを提供することである。
【0009】
本発明の更に別の目的は、ネットワークのノードに関するリソース要件を最小化しつつ、従来のαセキュア鍵配布方式より非常に高いセキュリティレベルを実現する効果的な鍵配布を確立することである。
【課題を解決するための手段】
【0010】
このために、本発明は、対称鍵生成エンジン(SKGE)を具備する管理デバイスを有するネットワークにおいて第1のノードと第2のノードとの間の通信を安全に行う方法を提供する。対称鍵生成エンジン
は、3つの望ましい処理特性を用いて、第1の通信相手アリスが、ネットワークにおける他の任意の通信相手、例えば、ボブとのペアワイズ鍵を生成することを可能にする暗号ブロックである。まず、本発明は、鍵合意のための非対称ハンドシェイクより計算的に非常に効率的である。第2に、この鍵生成エンジンは、非常に効率的な態様で格納されることができる。即ち、本発明は、トリビアルな対称鍵分布方式のN−1の鍵と比較されるとき、数バイトのストレージで済む。第3に、このエンジンは、破られることが困難である。
【0011】
一般性のため、エンティティ
、例えばノードのSKGEを、他の通信相手の識別子が与えられるとき、システムにおける他の任意のエンティティ
での対称鍵の高速かつ効率的な生成をエンティティ
が行うことを可能にする構造として定める。エンティティ
のSKGEは、同じ秘密鍵材料
に基づかれる。この秘密情報は、nの独立した鍵材料共有物
から生成される鍵材料
のセットのn個の組合せである。異なるエンティティ
に関する鍵材料共有物
が、いくつかのルート鍵材料
から生成される。
【0012】
ルート鍵材料
及び鍵材料共有物
は例えば、暗号において使用される既知の数学関数に基づかれる。これらの数学関数は、多項式、行列、組合せ構造等を含むことができる。数学演算は、例えば群(group)、体(field)、環(ring)、ベクトル空間等を含む代数構造といった任意の有限体又は他の数学的構造にわたり実行されることができる。
【0013】
SKGEの処理は、
管理デバイスが、ルート鍵材料、例えば、多項式のルート鍵材料と、第1のノードの識別子とに基づき、例えば第1の多項式の下で、第1のノードに関する鍵材料共有物のセットを生成するステップであって、各第1の鍵材料共有物が、サブエレメントに分割される、ステップと、
管理デバイスが、上記第1の鍵材料共有物のサブエレメントのサブセット、例えば多項式の係数を選択するステップであって、各第1の鍵材料共有物に対して選択されるサブエレメントの数が、上記第1の鍵材料共有物のサブエレメントの総数以下であり、上記選択されたサブエレメントが、第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成する、ステップと、
管理デバイスが、第1のノードの部分的な物質共有物を第1のノードに送信するステップと、
上記第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンと上記第2のノードの識別子とに基づき、上記第2のノードとの通信を安全に行うのに使用される第1の鍵を上記第1のノードが生成するステップとを有する。
【0014】
対称鍵生成エンジンに関する斯かる方法は、鍵配布方式の弾力性を増加させる。なぜなら、ノードは、第1のノードの鍵材料共有物の一部のみを具備し、従って、多数のノードがキャプチャされたとしても、攻撃者は、最初のルート鍵材料を取得することができないからである。
【0015】
その上、対称鍵生成エンジンは、例えば、異なる有限体にわたり実行される、異なるルート鍵材料の混合処理から生成される異なる鍵材料共有物から生じる多数の要素を結合することができる。
【0016】
追加的なセキュリティ機能は、異なる複雑さの鍵材料共有物及びルート鍵材料共有物を用いて、設定可能なセキュリティレベルを参照する。例えば、ルート鍵材料が多項式である場合、選択される多項式の次数は、計算的複雑さとセキュリティとの間のトレードオフを提供するために用いられることができる。
【0017】
更に、ノードは、より少ない数の要素を具備し、こうしてより少ないビット数を具備するので、これらの要素を格納するためのメモリ要件は最小化され、部分的な鍵を生成するための計算要件も減らされる。
【0018】
別の実施形態では、ルート鍵材料は、対称性の二変量多項式である。第2のノードが、第1のノードの鍵材料共有物と同じ態様で計算される部分的な鍵材料共有物を具備し、これに従って第2の部分的な鍵を生成する場合、斯かる特性は、この第2の鍵が第1の鍵に等しいことをもたらす。
【0019】
本発明の更に別の実施形態において、ルート鍵材料は、有限体GF(q)nにおける係数を持つ次数1の多項式である。ここで、qnは2n−1に等しい素数である。nは整数である。
【0020】
別の実施形態では、エンティティの対称鍵生成エンジンは、異なる次数で異なる有限体にわたる多数の二変量多項式から生成される多数の多項式の共有物から生じる要素を結合することにより設計される。多項式の共有物の実際の生成が、対応する体で実行されるという態様で、組合せが実行される。しかし、対称鍵生成エンジンは、そうした体全てに共通する要素及び処理を結合する。
【0021】
本発明の別の側面は、ノードを有するネットワークにおいてルート鍵材料を具備する管理デバイスに関する。この管理デバイスは、
上記ノードの識別子を受信するとき、上記ルート鍵材料に基づき、ノード鍵材料共有物を生成する手段であって、各鍵材料共有物が、サブエレメントに分けられる、手段と、
対称鍵生成エンジンの設計に関する第1の鍵材料共有物のサブエレメントのサブセットを選択する手段であって、各鍵材料共有物から選択される上記サブエレメントの数が、第1の鍵を生成するよう構成されるノードの部分的な鍵材料共有物を形成するよう、このサブ識別子のサブエレメントの総数以下である、手段と、
上記ノードの部分的な鍵生成共有物を上記ノードに配布する手段とを有する。
【0022】
本発明の別の側面は、上記の管理デバイスと通信デバイスとを有するネットワークシステムに関する。この通信デバイスは、識別子及び対称鍵生成エンジンを具備する。このシステムは、
上記管理デバイスに上記識別子を送信する手段と、
上記管理デバイスから、ノードの部分的な鍵材料共有物を受信する手段と、
上記別のノードの識別子を受信する手段と、
上記受信した対称鍵生成エンジン又はノードの部分的な鍵材料共有物と、上記受信した他のノードの識別子とに基づき、上記他のノードとの通信のための鍵を生成する手段とを有する。
【図面の簡単な説明】
【0023】
【図1】管理デバイス及び2つのノードを有する本発明によるネットワークを表す図である。
【図2】基本的な対称鍵生成エンジンに関する本発明による方法のシーケンスを示すブロック図である。
【図3】基本的な対称鍵生成エンジンにおける従来の鍵生成処理を示す図である。
【図4a】本発明による鍵生成処理を示す図である。
【図4b】本発明による別の鍵生成処理を示す図である。
【図4c】2つの異なる有限体にわたり2つの異なる二変量多項式から生成される2つの多項式の共有物から選択されるサブエレメントが、エンティティRの対称鍵生成エンジンを作成するために結合される本発明の実施形態を示し、モジュラー乗算に関連付けられる要素だけを表す図である。
【図5】二変量多項式の次数がルート鍵材料として使用されるとき、SKGEのいくつかのサブエレメントの生成に関係するルート鍵材料のビットを表す図である。
【発明を実施するための形態】
【0024】
本発明のこれら及び他の側面が、以下に説明される実施形態から明らかとなり、これらの実施形態を参照して説明されることになる。
【0025】
本発明が、以下、添付の図面を参照して、例を用いて、より詳細に説明されることになる。
【0026】
本発明は、ネットワークにおける通信を安全に行う方法に関する。斯かる方法の例示的な動作シークエンスが、本発明によるネットワークを示す図1及びネットワークの動作シークエンスのブロック図を示す図2と共に説明されることになる。図2は、基本的な対称鍵生成エンジンの設計において使用されるいくつかの例示的な要素を含む。
【0027】
このネットワークは、構成フェーズCONFIGの間ルート鍵材料を具備する管理デバイス2を有する。ある例示的な実施形態では、ルート鍵材料は、有限体GF(q)における係数を持つ次数1の対称性の二変量多項式F(x、y)である。この多項式は、F(x,y)=a00+a01x+a10y+a11xyのように記述されることができる。ここで、a01=a10である。
【0028】
ある実施形態において、体GF(q)の特性は、素数のメルセンヌ数qn=2n−1であり、ここで、nは、例えばn=17、127又は521といった整数である。
【0029】
この構成フェーズCONFIGの間、ネットワークの各ノード(N1、N2)は、識別子(ID1、ID2)をそれぞれ具備する。それらの識別子は、rビット長である。ここで、rはnより少ない整数である。ある例において、rは、n/3の整数部に等しい。この構成フェーズは一般に、ネットワークの事前配備フェーズの間に、即ちノードが実際にネットワークに参加する前に発生する。
【0030】
一旦ノードが配備されると、管理デバイスは、GENERフェーズの間、ルート鍵材料F(x,y)と識別子ID1とに基づき、ノードN1に関する完全な鍵材料共有物を生成する。ノードN1に関する完全な鍵材料共有物は、
であり、ここで、この多項式の係数は、以下の
及び
として計算される。斯かる方法において実行される他の全ての処理同様、これらの処理はqを法として(modulo q)実行される。なぜなら、このシステムは、有限体GF(q)にわたり実行されるからである。
【0031】
ここで、従来の方法による鍵生成処理を簡単に説明する。その後、SKGEに基づかれる本発明の改良を説明する。
【0032】
斯かる従来の処理は、図3を参照して、以下の設定で説明されることになる。
【0033】
−管理デバイスにおいて与えられるルート鍵材料は、F(x,y)=a00+a01x+a10y+a11xyである。これは、式F(x,y)=(a00+a01x)+(a10+a11x)yと因数分解されることができる。
【0034】
−F(x,y)の係数は、連結される3つのセグメントの式の下で表される。
【0035】
−このネットワークは、2つのノードを有し、その識別はR及びVである。
【0036】
第1のステップは、x=RにおいてF(x,y)を評価することにより、ノードRに関する鍵材料共有物を生成することにある。これは、
を生成する。
【0037】
この評価は、図3の上部に示され、ここで、
−上部左側では
の計算となり、及び
-上部右側では
の計算となる。
【0038】
その後、従来のシステムにおいて、管理デバイスにより生成される完全な鍵材料共有物は、Rノード、即ち6つのセグメント
に送信される。
【0039】
ノードRとノードVとの間で通信が確立されなければならないとき、識別子Vが、ノードRに与えられる。その結果、このノードは、通信を安全に行うための完全な鍵を生成することができる。この鍵は、両方のノードが合意するペアワイズ鍵である。これは、y=VにおいてノードFR(y)の鍵材料共有物を評価することにより計算される。この計算は、図3の下部に示される。計算
は、3つの連結されたセグメントK1、K2及びK3を含む鍵Kを与える。
【0040】
要素W1及びz1はキャリーに対応し、有限体のサイズに依存する。
【0041】
斯かる従来のシステムにおいて、ノードの完全な鍵材料共有物のすべてのセグメントが、このノードに送信される。従って、多数のノードがキャプチャされる場合、攻撃者はルート鍵材料及び従ってシステム全体の安全性を低下させることができる。今の例の場合、2つのノードがキャプチャされれば、ルート鍵材料を危うくするのに十分である。なぜなら、次数1の多項式が使用されるからである。
【0042】
次に、図2及び図4を参照して、他の欠点の中でもこのセキュリティ問題を解決するために本発明により提案される改良を説明する。
【0043】
図2の動作シークエンスに戻り、ID1を用いてノードN1の完全な鍵材料共有物を生成した後、管理デバイスは、SELECTステップにおいて、部分的な鍵材料共有物を生成するため、異なる係数のいくつかのセグメントを選択する。
【0044】
サブエレメントとも呼ばれるそれらのセグメントが、完全な鍵の一部の生成を可能にするように選択される。こうして、ある例示的な実施形態において、管理デバイスは、図4における太い正方形で示される以下の係数
だけをノードN1に配布する。部分的な鍵材料共有物を形成するそれらの要素が、ノードN1にその後配布される。
【0045】
その後、ノードN1とN2との間で通信が確立されなければならないとき、識別子ID2がN1に送信され、鍵生成処理(KEY_GEN)が実行される。図4から分かるように、
だけを具備しているので、ノードN1は、すべての鍵要素K1、K2及びK3を計算することはできないが、鍵K3の最上位ビットを生成することができる。読者は、係数の異なる部分と実行されるモジュラー処理との関係を分析することにより、これを理解することができるであろう。部分的な鍵K3はその後、ノードN1とノードN2との間の通信を暗号化するために使用される。
【0046】
同様に、管理デバイスは、ある実施形態において、ルート鍵材料共有物と第2のノードの識別子とに基づき、第2のノードの鍵材料共有物も生成する。この第2のノードの鍵材料共有物は、第2の多項式の形式下にあり、第1の係数と同じ数の係数を持つ。第2の鍵材料共有物は、第2の完全な鍵を生成するために構成される。この第2のノードの鍵材料共有物の第2の多項式の係数は、第1の多項式の係数と同様に分割される。即ち各係数は3つのサブエレメントに分けられる。その後、管理デバイスは、第2のノードの部分的な鍵材料共有物を形成し、それを第2のノードに送信するため、第2の多項式の係数のいくつかのサブエレメントを選択する。
【0047】
第2の多項式の係数に関して選択されるサブエレメントは、第1のノードの部分的な鍵材料共有物を形成するために選択されるサブエレメントに対応する。この文脈において、「対応する要素」という用語は、同じ位置にあるサブエレメント
を意味し、これは、第1の係数の第3の要素及び第2の係数の第1及び第3の要素を表す。
【0048】
第2のノードの鍵材料共有物と第1のノードの識別子とに基づき、第2のノードは、第1のノードとの通信を安全に行うのに使用される第2の部分的な鍵を生成する。ルート鍵材料が対称性の多項式であり、対応するサブエレメントが第1のノードの部分的な鍵材料共有物及び第2のノードの鍵材料共有物から選択されるので、第2の部分的な鍵は、第1の部分的な鍵に等しい。更に、この第2の部分的な鍵は、第2の完全な鍵の一部である。
【0049】
この実施形態は、結果として生じる鍵の最上位ビットだけを使用する点に留意されたい。即ち、単純な対称鍵生成エンジンの本実施形態を用いる2つの通信相手は、K3の最上位ビットについてのみ合意することができる。これは、この処理が「元の体GF(q)の外で」実行され、情報の一部が失われるからである。特に、両方の通信相手とも、鍵生成フェーズにおけるキャリーの効果を含むよう、任意の情報を格納するものではない。しかしながら、この効果は最小限である。なぜなら、キャリー伝搬の確率がビット数と共に減少するからである。特に、結果として生じる鍵のb個の最下位ビットを除去した後、2つのノードが確率1−2−bで共通鍵に関して同意することができるということが証明されることができる。
【0050】
更に、本発明の提案されたシステムは、従来のαセキュアシステムのパフォーマンスの改善も可能にする。実際に、部分的な鍵材料共有物だけがノードに与えられるので、鍵材料共有物の格納に関するメモリリソース及び鍵を計算するための計算要件は、従来のシステムよりかなり小さい。
【0051】
下記の表1は、この第1の実施形態によるシステムの3つの構成のストレージ要件及び計算要件を詳述する。
【表1】
【0052】
それらの3つの構成は、メモリを最小化することを可能にする。なぜなら、ほんの数ビットだけが必要とされるからである。また、計算要件を最小化することも可能にする。なぜなら、2つの非モジュラー乗算と1つの加算だけが実行されなければならないからである。
【0053】
対称鍵生成エンジンのこの基本的な実施形態のセキュリティは、攻撃者が、ノードに配布される部分的な鍵材料共有物、即ち、SKGEに関して使用される情報から、元のルート鍵材料を回復させることができないという事実に依存する。
【0054】
SKGEのセキュリティを説明するために、最初にブロック暗号の既知の概念とこの概念とを比較する。ブロック暗号は、固定長のプレーンテキストのブロックを用いて機能する暗号化方式である。ブロック暗号は、2つの変換、即ち暗号変換
及び復号変換
からなる。Kは、両方の変換において使用される秘密鍵である。通信相手アリスは、鍵Kを用いてメッセージを暗号化して、ボブにそれを送信するため
を使用することができる。ボブは、受信した暗号化されたメッセージを復号化して、元のメッセージを得るため、同じ鍵及び復号変換
を使用することができる。プレーンテキスト攻撃を想定する場合、即ち、攻撃者が暗号化されていない及び暗号化されたメッセージのペア
を知っている場合、攻撃者は秘密鍵Kの回復を試すことができる。SKGEを攻撃することは、いくらか類似する。攻撃者は、
個のペア
を得ている多くのノードをキャプチャすることができる。ここで、
は、エンティティ
のSKGEにおいて使用される鍵材料である。攻撃者は、キャプチャされた
個のペア
を用いることでシステムにおける各エンティティの対称鍵生成エンジンの生成において使用されるルート鍵材料を再構成することを目的とする。ブロック暗号への攻撃とこの攻撃とを比較する場合、SKGEのルート鍵材料は、ブロック暗号における暗号化鍵と同じ役割を果たすと言うことができる。その上、
のペアは、プレーン/暗号テキストのペアに等しい。
【0055】
前述したように、この基本的なSKGEは、N_c個のペア
を危険にすることにより、攻撃されるかもしれない。以下、攻撃フローの輪郭だけを描く。
【0056】
●事前知識。
【0057】
○
は、図3にて図示するように、3つのサブエレメント
を有する。
は、ノード
にリンクされる次数1の多項式の共有物の係数
の一部である。
【0058】
○実験によれば、システムのセキュリティが、ルート鍵材料の係数
に強く依存することが示される。これは容易に理解されることができる。なぜなら、
のすべてのビットだけが、生成された鍵に含まれるからである。システムセキュリティに関する
の強い効果は、これがモジュラー処理が実行される唯一の要素であるという事実にも起因する。従って、攻撃者は、
を回復することにより、この特殊なSKGEを破壊することができる。
【0059】
●
個のペア
をキャプチャすることによる
を回復する処理。
【0060】
○2つのエンティティ
及び
のサブエレメント
を考える。それらのサブエレメントが
から生じるので、それらの間の差、即ち
を算出することができ、こうして、
に非常に相関される結果を得ることができる。結果として生じる
は、
ビット長であり、一方
は
ビット長である。ここで、
である。すると、
と書くことができる。その後、GF(q)にわたり
の逆数を算出することにより、直接
を得ることができる。
の(
の外の)kビットが、こうして得られることができる。残りの
ビットに対して、攻撃者は、
及び
の間の差が1に向かうような態様でエンティティ
のペアを探すことができる。これは、多くのステップにおいて実行されることができる。最終的に、攻撃者は、ペア
を生成又は見つけることができる。その結果、それらの2つの識別子にリンクされる対応する値は
に等しい。ここで、
が成り立つ。
【0061】
こうすることを必要とするペア
の予想される数は、約
であるべきである。
【0062】
別の攻撃は、異なるポイントの補間に基づかれることができる。有限体にわたり、任意の関数が、多項式関数として表されることができる。斯かる多項式関数は、ラグランジュ補間法を使用することにより生成されることができる。
【0063】
上記の基本的なSKGEに対するこの攻撃は、例えばブロック暗号といった他の暗号構造に対する他の攻撃と比較されることができる。多くのブロック暗号において、システムのセキュリティは、メッセージを暗号化するために用いられるラウンド(round)の数に依存する。数ラウンドを用いる同じブロック暗号は、線形、差分又は補間攻撃といった異なる種類の攻撃に対して弱いかもしれない。
【0064】
同様に、本発明の異なる実施形態において、セキュア鍵生成エンジンは、セキュリティを強化するため、1つ又は複数の以下の機能を有することができる。
【0065】
●システムセキュリティを増加させるため、より複雑なルート鍵材料関数の使用。例えば、次数>1の多項式の使用。多項式の次数を増加させることは、ブロック暗号のラウンドの数を増加させることに相当する。
【0066】
●情報のより良好な混合を実現するため、等しい又は異なるサイズの環又は体といった異なる数学的構造に対して同じ又は異なる動作を用いて、同じ又は異なる複雑さで生成される鍵材料共有物の要素のスマートな組み合わせ。例えば、異なる体にわたる多数の二変量多項式に基づかれるルート鍵材料が使用されることができる。それらのエンティティのそれぞれの識別子において二変量多項式を評価することにより、多数の多項式の共有物が、多くのエンティティに対して生成される。異なる有限体にわたるそれらの多項式の共有物のサブエレメントはその後、各エンティティのSKGEを作成するために結合される。
【0067】
●攻撃者が実際の鍵材料を回復することができないという態様で、更なる別の拡張は、SKGEにおける処理の設計を参照する。この最適化は、どのルート鍵材料共有物のどの鍵材料から、SKGEのサブエレメントが生成されるかを攻撃者が発見することを不可能にするため、SKGE自体において実行される処理の混合及び組合せを参照する。
【0068】
ブロック暗号の処理と比較する場合、これらの教示のいくつかがより好適に理解される。例えば、ブロック暗号は、暗号又は復号変換において多くのラウンドを使用する。ラウンドの数が多いほど、セキュリティはより高い。ブロック暗号も、混乱を引き起こし、秘密鍵の回復を難しくするため、ビットを混合することを目的とする。これは、SKGEの設計においてより複雑な関数を導入する本発明の目的でもある。次に、上記の拡張を用いるより複雑なSKGEの実施形態を紹介する。
【0069】
高次多項式に基づかれるSKGE
基本的な実施形態は、次数α=1の二変量多項式をルート鍵材料として使用する。即ち
である。この実施形態において、qは、式
における素数であり、システム識別子は、
ビット長であるよう選ばれる。前述されたように、斯かる構成は、多くのビットに対するラッピングモジュラ処理の効果を制限することを可能にする。この理論に従い、ビットでの体サイズと、kビットに等しい識別子サイズとの間の比率は減少しなければならない。特に、この比率を
に等しいとすることができる。ここで、αは多項式の次数である。α=3とし、多項式
を用いて、
においてそれを評価する場合、
ビット長であり、多項式の共有物
が得られる。各係数
は、
として算出される。斯かる設計は、約
ビットの出力鍵を持つSGKEを作成することを可能にすることができる。一般性を失うことなく、比率は、2*α+1に等しい。α=1に対して、比率は、3に等しい(基本的な実施形態)。
【0070】
特に、SKGEを従わせるサブエレメントは、
として表されることができる。ノードN1に関するSKGEは、N2での鍵を生成するために用いられることができ、
となる。この特定の例では、鍵生成の複雑さが増加することが分かる。従って、より計算要件を必要とするが、より好適な混合を実現する。一般に、ノードN2での鍵を生成するために有限体
にわたり次数αの二変量多項式をルート鍵材料として使用するノードN1のSKGEに関する処理は、
と書かれることができる。
【0071】
ここで、一般性を失うことなく、
が成り立つ。値
は、エンティティN1のSKGEのサブエレメントを有し、
として元の多項式の共有物の係数に依存する。
【0072】
この式は、
での単一の二変量多項式を使用したこの文書の冒頭に記載された基本的なSKGE実施形態のより一般的な規定を表す。
【0073】
エンティティN1のSKGEのそれらのサブエレメントのそれぞれは、元のルート二変量多項式のα+1係数に依存する。図5は、ノードN1に関する多項式の共有物の係数
の生成に関係する元のルート鍵材料
の4つの係数を表す。
から生成されるSKGEの2つのサブエレメント
も示す。係数は、kビットブロックに分けられる。Xでマークされるブロックは、SKGE要素の生成に関係するブロックである。これらの生成されたSKGE要素は、XXでマークされる。
【0074】
更に、生成された鍵のサイズにより分けられる鍵の生成に関係するルート鍵材料の実際のビット数は、増加する。同じ長さの鍵を生成する2つのSKGEだが、第2のSKGEが、より複雑さの次元の高いルート鍵材料関数、例えば、より高次の二変量多項式を用いる場合、攻撃者は、より多くの情報を決めなければならない。これは、より難しいものとなる。従って、SKGEに関するルート鍵材料として、高い次数の多項式といったより複雑な数学関数の使用は、ルート鍵材料の回復をより難しくする。結果的に、αがSKGEの複雑さ及びセキュリティを決定するように見える。
【0075】
二変量多項式の係数
は、対称性マトリクス
として図示されることができる。生成された鍵がkビットブロックであると仮定すれば、次数αの二変量多項式の係数は、2*α+1のkビットブロック長である。ここで、既に規定したのと同じ比率を使用する。次数1の二変量多項式に対して、4つの係数
を持つ。それらのそれぞれは、3つのkビットブロックに分けられる。この分割は、ルート鍵材料のどの一部が、SKGE要素
のビットに影響を及ぼすかについて分析するのに有益である。これは例えば、図4bを分析することにより理解されることができる。
【0076】
複数の結論が、それから得られることができる。
【0077】
第1に、次数αの多項式に関して、
のときの
の要素は、わずか1ブロック長であるが、α+1の効果及び
のブロックを含む。
であるとき、複雑さαのSKGEの要素
は、
ブロック長であり、
のブロックに依存する。システムが攻撃されたい場合、これを知っていることは有益でありえる。なぜなら、攻撃者は、ルート鍵材料のより少ないブロックに依存するSKGEのそれらの要素を分析し始めることができるからである。
【0078】
第2に、最高次の係数のすべてのビットだけが、SKGE要素の生成に関係する。これは、その係数に関する「現実の」モジュラー処理だけを言うことに等しい。
【0079】
2つの異なる有限体にわたる多項式の組合せに基づかれるSKGE
より複雑及び安全なSKGEは、2つの異なる体
及び
にわたる次数1の2つの二変量多項式
を考慮することにより構築されることができる。特に、
は、式
におけるメルセンヌ素数として考慮されることができ、
は、式
における別の素数として考慮されることができる。ここで、βは、
が素数である最小の正の整数である。これらの特定の値は、斯かる態様で選ばれる。
【0080】
(i)それらの2つの多項式から生成される多項式の共有物は、異なる体の効果を含む。しかし、
【0081】
(ii)この体は、それらの多項式の共有物のいくつかのサブエレメントを結合するよう十分類似する。及び
【0082】
(iii)各エンティティのSKGEは、2つの異なる有限体にわたり生成される多項式の共有物のサブエレメントの組合せとして作成される。この特定の実施形態は、例えば次数1の多項式といった低い複雑さの数学関数に関するものであるが、例えば、異なる次数の体、体及び環等の異なる数学的構造の組み合わせが、例えば、より高次の多項式といったより高い複雑さの数学的構造に関して行われることができる点に留意されたい。
【0083】
この特有の実施形態の基本的概念は、図4及び図4cに示される。ここで、2つの要素
及び
を乗算した結果が、識別子R[n/3]ビット長をnビット長倍したものであることが分かる。
【0084】
Rの長さは、
及び
の非モジュラー乗算が、4*[n/3]ビット長であるような態様で選ばれる。選ばれた体の特殊な形式が原因で、これらの4*[n/3]ビット長の結果の[n/3]の最上位ビットが、両方の結果の[n/3]の最下位ビットと、第2の体
の場合におけるモジュラー処理を適用した後の[n/3]の最上位ビットとに影響を与える。図4の左部分は、有限体
にわたる乗算を表す。この乗算は、例えば、エンティティに関する鍵材料共有物の生成に関係する図3に表される乗算のいずれかとすることができる。
【0085】
これを念頭におくと、この手法を用いるシステム処理は、以下のように働く。構成エンティティは、2つのエンティティN1及びN2に関する合計4つの多項式の共有物を生成するため、上記2つの二変量多項式を使用する。両方のエンティティの識別子に関する変数xにおいて両方の二変量多項式を評価することにより、これは、通常通り行われる。4つの多項式の共有物は
である。
における
及び
はそれぞれ、多項式の共有物がN1又はN2に属するかどうか、及びその計算が
又は
に対して実行されたかを示す。これらの多項式の共有物の係数のそれぞれは、基本的な実施形態の場合同様、異なるサブエレメントに分けられる。例えば、
は、3つの要素、即ち
の連結と見られることができる。ここで、
は、連結を表す。同様に、
、
及び
が成り立つ。構成エンティティは、多項式の共有物のサブエレメントの組合せとして両方のエンティティのSKGEを有することになる要素を算出するため、関係する体の特殊な形式を考慮する。特に、
であるときノード
のSKGEの3つの要素を考慮すると、
となる。別のノードNjの識別子が与えられるときのノードNiの一般的なSKGE処理は、本実施形態では
となる。SKGEの要素
が、異なる多項式の共有物から生じる2つのサブエレメントの加算として得られることが観測される。それらの加算のそれぞれにおいて第2のサブエレメントを除去すれば、基本的なSKGE実施形態に戻る。
【0086】
この拡張は、SKGEへの攻撃を難しくする興味深い機能をもたらす。ルート鍵材料は、この特殊なケースにおいて、異なる次数の体にわたる多項式を有する。攻撃者が、基本的な実施形態に対するのと同じ攻撃を実行したい場合、その者は障壁を見つけることになる。実際、ここで、攻撃者は識別子の逆数を算出することができない。なぜなら、それは2つの異なる体の要素だからである。更に、基本的なSKGEへの以前の攻撃では、システムのセキュリティが、係数
に依存すると述べた。詳細な解析によれば、この特殊かつ例示的な実施形態において、攻撃者が、nビットの代わりに4*[n/3]ビットを見つけなければならないことが示され、これは、システム解析をより困難なものにする。この意味で、SKGEの弾力性を測定する方法は、それらのSKGEサブエレメントのビット長分SKGEを有するサブエレメントの生成に関係するルート鍵材料のビット数間の比率を参照する。
【0087】
この概念は、例えば多項式の共有物といった2つ以上の鍵材料共有物から生成され、例えば異なる有限体にわたる二変量多項式といった異なるルート鍵材料にリンクされる多くのサブエレメントを混合することにより更に拡張される。
【0088】
例えば体といった異なる代数構造にわたる複数のルート鍵材料を用いる別の拡張は、その結合素数と拡張された有限体とを参照する。例えば、2つの体を参照し、1つは、モジュラー処理のための素数を用いるものであり、もう1つは、pを素数とするとき次数
であり、削減のため多項式を用いるものである。この理由は、処理が、体の構造により「互換性がない」ためである。
【0089】
上記例から、SKGEを有するサブエレメントが、単一の鍵材料共有物又はそれらの組合せから生成されたかどうかを攻撃者が区別することはできないように見える。
【0090】
しかしながら、この情報についての知識は、攻撃者が、ルート鍵材料を回復するためのよりスマートな攻撃を実行することを可能にするかもしれない。これは、異なるルート鍵材料から生成される多数の異なる鍵材料要素からサブエレメントを有するSKGEを生成し、ルート鍵材料のパラメタを秘密に保つ更なる拡張の可能性を与える。これらのパラメタは、例えば、体、環又はベクトル空間といった使用される数学的構造の種類及び例えば体のサイズ又は多項式の次数といったそれらの複雑さを参照することができる。
【0091】
最終的に、異なるルート鍵材料から生じる複数の鍵材料共有物の使用に基づかれるシステムの別の拡張は、SKGEにおいて鍵生成のために必要とされるそうした要素及び処理が、鍵材料共有物の実際の値を隠すよう構成されることができるという事実を参照する。これを説明するために、4つの異なるルート鍵材料から生成されるエンティティN1に対する4つの異なる鍵材料共有物を仮定する。各鍵材料共有物から2つの要素が抽出されると仮定する。即ち、
である。ここで、最後の1つを除き、3つの中から抽出が行われる。また、SKGEが、基本的なSKGE実施形態のような3つの異なる要素
を有し、鍵が
として生成されると仮定する。ここで、SKGEの実際の要素は、異なる鍵材料共有物から選択される上記サブエレメントの組合せである。この特殊な例では、それらは、
として組み合わせられる。鍵材料共有物は互いに独立であるので、異なるサブエレメントは互いを妨害する。従って、斯かる手法は、実際の元のルート鍵材料共有物の回復をより困難なものにする。
【0092】
完全なSKGE設計
このSKGE設計は、前の2つの設計を基にしている。この設計は、次数αの単一の二変量多項式に基づかれるSKGEにおいて、係数
のすべてのビットだけが、多項式の共有物/鍵の計算に関係するという事実により動機づけされる。この理由は、上記の方式が、体サイズと鍵サイズの間の比率が
に等しいよう設計される点にある。係数
は、モジュラー演算の効果を含むが、係数の残りの効果はより小さい。実際に、それらの効果は、非モジュラー処理の効果と比較されることができる。更に、単一のルートに鍵材料だけが用いられる。従って、このシステムは、かなり線形である。
【0093】
この問題を処理するため、それぞれ次数1、2、…、α及びαのルート鍵材料としてα+1の二変量多項式を含む完全なSKGE設計を説明する。この特定の実施形態では、これらの二変量多項式は、以下の体にわたり存在する。
【0094】
次数1の
にわたる
。
【0095】
…
【0096】
次数iの
にわたる
。
【0097】
…
【0098】
次数αの
にわたる
。
【0099】
次数αの
にわたる
。ここで
は
より大きい素数である。
【0100】
ここで、SKGEがkビット長の鍵を生成すると仮定する。次数
の多項式に関する素数
の式は、以下の事実に依存する。項
は、ルート鍵材料の係数に関する所望の数のkビット「ブロック」から現れる。
は、
の最上位kビットブロック、又は言い換えると、
の最上位のビットに影響を及ぼすモジュラー処理を持つことが必要とされる。結合処理を可能にするため、即ち、多項式の共有物のちょうど一部を用いることにより鍵を生成するため、1が選択される。最終的に、項
が、素数を見つけるために用いられる。βの値は、数
が素数であるための最小の正の整数である。
【0101】
このアイデアは、
のモジュラー処理が
の次数1の係数等に影響を及ぼすシステムを設計することである。同じことが
及び
にも言える。一般に、
の貢献は、より高い識別子
を持つすべての多項式に影響を及ぼすことになる。
【0102】
この設計は、上述の両方のSKGEの利点を結合し、更に新たな利点を提供する。まず、すべての多項式で最も高い次数の係数のすべてのビットが鍵の生成に関係するという態様で、このシステムは設計される。これは特に重要である。なぜなら、それらの係数が、モジュラー処理を含むからである。第2に、ビットで測定される異なるサイズの体が使用され、こうして、任意の要素の逆転がずっと困難になる。特に、同じ識別子が、4つの多項式の生成に使用されるが、これらの多項式は、異なる体にわたり存在するので、ルート鍵材料の完全な係数又はその一部を回復するために、識別子の逆要素を計算することはかなり困難である。この事実は、補間攻撃をもより困難なものにする。なぜなら、今や攻撃者は、多項式を用いてSKGE挙動を近似することに狙いを定めるからである。しかしながら、斯かる多項式は、異なる体に起源を持ち、未知のビットにより影響された情報の効果を含む。これは、補間多項式の予想次数を非常に高くし、こうして、このシステムは非常に弾力的である。第3に、異なるルート鍵材料(即ち、二変量多項式
)から生じる鍵材料共有物(多項式の共有物)から生成されるサブエレメントが、互いを乱すという態様で、体のオーダーが選択される。これは、元のルート鍵材料の回復をより困難なものにする。この混乱効果は、例えば
といったより高い識別子を持つ多項式の係数に関する、最高次数の多項式
の係数の効果を参照する。追加的な事実は、素数における項
に起因するモジュラー処理の効果を参照する。これらの項は、式
におけるSKGEの要素に強く影響を及ぼす。これは、異なる有限体にわたる異なる多項式から実際に生じる非線形効果をもたらす。SKGEの他の要素
とルート鍵材料の係数との間の関係はそのまま残る。違いは、これらの要素も、α+1のルート鍵材料すべてに依存する点である。従って、SKGEに関するアルゴリズムにおいて使用される処理は、セクション「次数が1より大きな多項式に基づかれるSKGE」において導入されたものと変わりがない。そのSKGEは、
となる。
【0103】
これは、
となる。
【0104】
ここで、SKGE
の要素が、上記の手法に従い、α+1の鍵材料共有物の要素の組合せとして生成される。すると、この表現は、例えば補間技術を用いて近似されることがかなり困難である。なぜなら、要素
が、異なる有限体にわたるモジュラー処理の非線形効果をもたらすからである。
【0105】
システムの複雑さが大きくなる場合、即ち長いα値が選択される場合、このシステムの実現は、長い整数の非モジュラー乗算を必要とする。ここで、パフォーマンスとセキュリティとの間のトレードオフが発見される。SKGEの複雑さを高めるほど、セキュリティレベルは高くなる。これは、暗号セキュリティがラウンド数に依存するブロック暗号の処理に相当する。このトレードオフは特に挑戦的である。なぜなら、乗算の数が、指数的に大きくなるからである。これは、上記のSKGEの最後の項
を解析することにより理解されることができる。上記の和における要素
は、
ビット長の2つの要素の乗算を含む。これが非モジュラー処理である場合でも、
の大きな値に対しては、非常にコストがかかる(constly)。計算パフォーマンスも、第2の項
に依存する。しかし、その程度はそれほど強くない。i番目の指数に対して、
及び
ビット長の2つの要素の乗算を含む。図5は、乗算が指数関数的に大きくなることを示す。ここで、kビット乗算の数を参照する点に留意されたい。
【0106】
システムのパフォーマンスは、上記のSKGE表現をわずかに修正し、いくつか事前計算をすることで、最適化されることができる。ここで、以下のように規定される3つの変化又は変形例を説明する。
【0107】
第1に、ノードN1は、両方の項
に関してN2の出力を事前計算することができる。これは、再帰的な態様でそれを計算することにより、効率的に実行されることができる。これは、αのkビット乗算を必要とする。一般に、
となる。
【0108】
第2に、N2の上記の事前計算された出力が与えられるとすると、上記のSKGEにおける第2の項
の貢献は、N2のi番目の出力のk最下位ビットとSKGE要素
との乗算として計算されることができる。これは、α(α+1)/2からαへと、即ち係数(α+1)/2分、必要とされるkビット乗算の数を減らす。
【0109】
第3の最適化は、上記のSKGEの第3の項
のパフォーマンスを改善する。これを理解するため、4kビット長の2つの要素A及びBの乗算を観測することができる。ここで、一般性を失うことなく、4kビット長オペランドが選択される。A及びBは、各kビット長の4つのサブエレメントを有する。この乗算は、i=4のとき項
の特殊な乗算を表す。乗算の結果は、8*kビット長変数Cである。しかしながら、C全体を持つ必要はなく、Cのkビットだけを持つ必要がある。従って、和
における項の各々の計算は、最適化されたバージョンにより置換されることができる。計算的な観点から、
に関するこの最適化された表現が、以下に示される。
及び
がそれぞれ、
kビット要素を有する点に留意されたい。これらの要素は、
及び
である。そして、
が成り立つ。
【0110】
これは、和
のj番目の項のこの最適化された生成が、
から
へとkビット乗算の数を減らすことを可能にすることを意味する。通常、すでに指摘したように、この近似は、結果のいくつかのビットを除去することを必要とする。なぜなら、この最適化は、前の項の効果を含まないからである。その結果、これは、加算から生じるキャリーの効果を含まない。しかしながら、kが十分に大きい場合、及び特に上記3つの最適化のある場合と無い場合とでシステムのパフォーマンスを比較する場合、これは軽微な事実である。従って、これらの最適化は、高い複雑さのSKGEの使用を可能にする。ここで、複雑さは、元のルート二変量多項式を回復するための複雑さを参照する。なぜなら、αのより高い値を選択すると、より多くの多項式が導入されるからである。
【0111】
上記すべての教示は、他のSKGEの設計にも適用されることができる。追加的な設計手法は、システムへの攻撃の可能性を最小化するために多数のランダム特性を満たす識別子を使用することを含む。これは、攻撃者が元のルート鍵材料を回復することを防止する。更に、本書で説明されるシステムは、例えば多変量多項式といった多変量関数を用いることにより、多数の通信相手間での鍵合意のために容易に適合されることができる点に留意されたい。
【0112】
本書において説明される技術的特徴は、幅広い用途において使用されることができる。
【0113】
主な用途は、無線センサネットワークにおいて実現されるセキュリティシステムでの使用である。例えば、それらのネットワークは、以下の通りである。
【0114】
−広範的な患者モニタリングに使用される医療センサネットワーク。それらのネットワークにおいて、ノードは一般に、患者に配置され、メモリ及び計算能力に関する少ないリソースしか持たないセンサノードである。
【0115】
−分散照明環境、ビル自動化システム、車載装置ネットワーク、又はアクセス制御方針が設定され、観測されなければならない他の任意のネットワークといったスマートな環境。
【0116】
−より詳細には、標準的なIEEE 802.15.4/ZigBeeに基づかれる任意の無線センサネットワーク。
【0117】
本発明は、例えばセンサノード又はパーソナルデジタルアシスタントといった資源制約されたデバイス上で、他のシステム及び例えば軽量デジタル証明書といった他の方法と組み合わされることもできる。軽量デジタル証明書は、エンティティを確認及び認証するため、このエンティティに関連付けられる属性のセットから成る。この属性のセットは、エンティティのデジタル識別(名前、職業等)、アクセス制御役割だけでなく、他のパラメタを含むことができる。
【0118】
更に、本発明は、以下の領域において新しい機会を開くことができる。
【0119】
−無線センサネットワーク又はデータ通信ネットワークにおける安全なブロードキャスト。実際、ネットワークにおけるベースステーションは、ネットワークにおけるルート鍵材料及びノードの複数の各ノードを格納することができる。従って、ベースステーションは、本発明において提供される破られない鍵材料共有物を用いてメッセージを暗号化するためにルート鍵材料を用いることができる。
【0120】
−異なる通信用途における完全にセキュアな電子チケットの創作。
【0121】
SKGEは、偽造発見を含む他の多くの用途を可能にする。この用途において、異なるが、相関されるSKGEが、製品の一意性の署名を提供する各製品に埋め込まれることができる。例えば、デジタル文書において、ランダムシーケンスを用いてわずかに修正される、例えばデジタル画像の元のデジタルシーケンスを持つことができる。例えば、デジタル画像におけるいくつかのピクセルの最下位ビットをランダムに修正することが可能である。この情報の指紋は、ハッシュ関数を計算することにより決定されることができ、そのデジタル文書に関する秘密のルート鍵材料からSKGEの要素を生成するため、ハッシュの出力を用いることができる。生成されたSKGEの要素は、同じデジタル文書に埋め込まれる。例えば、デジタル画像のいくつかのピクセルの最下位(last significant)ビットに埋め込まれる。この手法は、SKGEの使用に基づかれる偽造発見を可能にする。即ち、複製されたデジタル文書は、追跡されることができ、偽の文書は、有効なSKGEを含まない。
【0122】
本願明細書及び請求項において、ある要素に先行する「a」又は「an」という単語は、斯かる要素が複数存在することを除外するものではない。更に、「有する」という単語は、記載される要素又はステップ以外の他の要素又はステップの存在を除外するものではない。
【0123】
請求項において括弧内の参照符号が含まれることは、理解を助けるためのものであり、限定することを目的とするものではない。
【0124】
本開示を読めば、他の修正が当業者に対して明らかであろう。斯かる修正は、セキュア通信の従来技術において既に知られており、本書に説明される特徴の代わりに、又はこれに加えて使用されることができる他の特徴を含むことができる。
【特許請求の範囲】
【請求項1】
ルート鍵材料を具備する管理デバイスを有するネットワークにおいて第1のノードと第2のノードとの間の通信を安全に行う方法において、
ルート鍵材料に基づき、多数のサブエレメントを有する第1のノードの鍵材料共有物を前記管理デバイスが生成するステップであって、前記第1のノードの鍵材料共有物が、第1の完全な鍵を生成するよう構成される、ステップと、
前記管理デバイスが、前記第1の鍵材料共有物のサブエレメントのサブセットを選択するステップであって、前記選択されるサブエレメントの数が、前記第1の鍵材料共有物のサブエレメントの総数以下であり、前記選択されたサブエレメントが、第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成する、ステップと、
前記第1のノードの対称鍵生成エンジンと前記第2のノードの識別子とに基づき、前記第2のノードとの通信を安全に行うのに使用される第1の鍵を前記第1のノードが生成するステップとを有する、方法。
【請求項2】
前記ルート鍵材料が、多数の数学関数を有する、請求項1に記載の方法。
【請求項3】
前記対称鍵生成エンジンのパフォーマンス及び安全性が、ルート数学関数の数、前記数学関数の複雑さ、前記鍵材料共有物の生成が行われる数学的構造、又は前記ルート鍵材料のパラメタを含む多数の秘密性又は公開性設計により規定される、請求項2に記載の方法。
【請求項4】
前記数学関数が、多項式である、請求項2に記載の方法。
【請求項5】
前記多項式のルート鍵材料及び前記第1のノードの識別子に基づき、多数の多項式の共有物の式の下で第1のノードの鍵材料共有物を前記管理デバイスが生成するステップであって、各多項式の共有物係数がサブエレメントに分割され、前記サブエレメントが前記前記第1のノードの鍵材料共有物を有する、ステップと、
前記管理デバイスが、第1の対称鍵生成エンジンを形成する前記第1の多項式の係数のサブエレメントのセットを選択するステップであって、前記第1のノードの対称鍵生成エンジンの前記選択されたサブエレメントが、前記第1のノード鍵材料共有物の前記選択されたサブエレメントに対応する、ステップと、
第1のノードの対称鍵生成エンジン及び第1のノードの識別子に基づき、前記第2のノードとの通信を安全に行うのに使用される部分的な鍵を前記第1のノードが生成するステップとを更に有する、請求項4に記載の方法。
【請求項6】
前記ルート鍵材料が、
前記管理デバイスが、異なる有限体にわたり処理を実行する前記ルート多項式から、第1のデバイスに関する多項式の共有物を生成し、
前記管理デバイスが、前記多項式の共有物をサブエレメントに分けることができ、対称鍵生成エンジンを形成するため前記サブエレメントを結合することができ、
前記対称鍵生成エンジンを有する前記サブエレメントが、前記ルート鍵材料の回復をより困難にするよう結合され、
前記第1のデバイスが、該第1のデバイスの対称鍵生成エンジンと第2のデバイスの識別子とを用いて、前記第2のデバイスでの鍵を生成し、
鍵生成に必要とされる前記処理が、前記体の外で行われる、
という態様で選択される多数の有限体にわたる多項式である、請求項4又は5の方法。
【請求項7】
前記数学関数の複雑さが、前記対称鍵生成エンジンのセキュリティと計算要件との間のトレードオフを提供するよう調整されることができる、請求項2又は3に記載の方法。
【請求項8】
前記数学関数の複雑さが、前記有限体の前記多項式の次数及び/又はサイズを参照する、請求項4又は5の方法。
【請求項9】
前記ルート数学関数から第1のデバイスに関する鍵材料共有物を生成するステップが、単一の数学的構造又は数学的構造の組合せに対する処理を含む、請求項1又は4の方法。
【請求項10】
前記第1のデバイスの対称鍵生成エンジンと第2のデバイスの識別子とが与えられるとき、第1のデバイス間での鍵の生成に必要とされる前記処理が、共通の数学的構造にわたり実行される、請求項9に記載の方法。
【請求項11】
前記管理デバイスが、前記第1のノードの鍵材料共有物又は前記第2のノードの鍵材料共有物を生成する前記ステップが、前記第1のノードの識別子又は前記第2のノードの識別子にそれぞれ対応する点における前記対称性の二変量多項式を評価するステップを有する、請求項3又は4に記載の方法。
【請求項12】
ノードを有するネットワークにおいてルート鍵材料を具備する管理デバイスであって、
前記ノードの識別子を受信するとき、前記ルート鍵材料に基づき、ノード鍵材料を生成する手段であって、各鍵材料共有物が、サブエレメントに分けられる、手段と、
前記第1の鍵材料共有物のサブエレメントのサブセットを選択する手段であって、前記選択されるサブエレメントの数が、第1の鍵を生成するよう構成されるノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成するよう、前記鍵材料共有物のサブエレメントの総数以下である、手段と、
前記ノードの対称鍵生成エンジンを前記ノードに配布する手段とを有する、管理デバイス。
【請求項13】
請求項12に記載の管理デバイスと、識別子を具備する通信デバイスとを有するネットワークシステムであって、
前記管理デバイスに前記識別子を送信する手段と、
前記管理デバイスから、ノードの対称鍵生成エンジンを受信する手段と、
前記別のノードの識別子を受信する手段と、
前記受信したノードの対称鍵生成エンジンと前記受信した他のノードの識別子とに基づき、前記他のノードとの通信のための鍵を生成する手段とを有する、ネットワークシステム。
【請求項14】
請求項12に記載の管理デバイスと請求項13に記載の通信デバイスとを有するネットワークシステム。
【請求項15】
前記対称鍵生成エンジンが、ハードウェア又はソフトウェアで実現され、前記第2のデバイスの識別子が与えられるとき、第1のデバイスが、第2のデバイスでの対称性鍵を計算することを可能にする、請求項1に記載の方法。
【請求項1】
ルート鍵材料を具備する管理デバイスを有するネットワークにおいて第1のノードと第2のノードとの間の通信を安全に行う方法において、
ルート鍵材料に基づき、多数のサブエレメントを有する第1のノードの鍵材料共有物を前記管理デバイスが生成するステップであって、前記第1のノードの鍵材料共有物が、第1の完全な鍵を生成するよう構成される、ステップと、
前記管理デバイスが、前記第1の鍵材料共有物のサブエレメントのサブセットを選択するステップであって、前記選択されるサブエレメントの数が、前記第1の鍵材料共有物のサブエレメントの総数以下であり、前記選択されたサブエレメントが、第1のノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成する、ステップと、
前記第1のノードの対称鍵生成エンジンと前記第2のノードの識別子とに基づき、前記第2のノードとの通信を安全に行うのに使用される第1の鍵を前記第1のノードが生成するステップとを有する、方法。
【請求項2】
前記ルート鍵材料が、多数の数学関数を有する、請求項1に記載の方法。
【請求項3】
前記対称鍵生成エンジンのパフォーマンス及び安全性が、ルート数学関数の数、前記数学関数の複雑さ、前記鍵材料共有物の生成が行われる数学的構造、又は前記ルート鍵材料のパラメタを含む多数の秘密性又は公開性設計により規定される、請求項2に記載の方法。
【請求項4】
前記数学関数が、多項式である、請求項2に記載の方法。
【請求項5】
前記多項式のルート鍵材料及び前記第1のノードの識別子に基づき、多数の多項式の共有物の式の下で第1のノードの鍵材料共有物を前記管理デバイスが生成するステップであって、各多項式の共有物係数がサブエレメントに分割され、前記サブエレメントが前記前記第1のノードの鍵材料共有物を有する、ステップと、
前記管理デバイスが、第1の対称鍵生成エンジンを形成する前記第1の多項式の係数のサブエレメントのセットを選択するステップであって、前記第1のノードの対称鍵生成エンジンの前記選択されたサブエレメントが、前記第1のノード鍵材料共有物の前記選択されたサブエレメントに対応する、ステップと、
第1のノードの対称鍵生成エンジン及び第1のノードの識別子に基づき、前記第2のノードとの通信を安全に行うのに使用される部分的な鍵を前記第1のノードが生成するステップとを更に有する、請求項4に記載の方法。
【請求項6】
前記ルート鍵材料が、
前記管理デバイスが、異なる有限体にわたり処理を実行する前記ルート多項式から、第1のデバイスに関する多項式の共有物を生成し、
前記管理デバイスが、前記多項式の共有物をサブエレメントに分けることができ、対称鍵生成エンジンを形成するため前記サブエレメントを結合することができ、
前記対称鍵生成エンジンを有する前記サブエレメントが、前記ルート鍵材料の回復をより困難にするよう結合され、
前記第1のデバイスが、該第1のデバイスの対称鍵生成エンジンと第2のデバイスの識別子とを用いて、前記第2のデバイスでの鍵を生成し、
鍵生成に必要とされる前記処理が、前記体の外で行われる、
という態様で選択される多数の有限体にわたる多項式である、請求項4又は5の方法。
【請求項7】
前記数学関数の複雑さが、前記対称鍵生成エンジンのセキュリティと計算要件との間のトレードオフを提供するよう調整されることができる、請求項2又は3に記載の方法。
【請求項8】
前記数学関数の複雑さが、前記有限体の前記多項式の次数及び/又はサイズを参照する、請求項4又は5の方法。
【請求項9】
前記ルート数学関数から第1のデバイスに関する鍵材料共有物を生成するステップが、単一の数学的構造又は数学的構造の組合せに対する処理を含む、請求項1又は4の方法。
【請求項10】
前記第1のデバイスの対称鍵生成エンジンと第2のデバイスの識別子とが与えられるとき、第1のデバイス間での鍵の生成に必要とされる前記処理が、共通の数学的構造にわたり実行される、請求項9に記載の方法。
【請求項11】
前記管理デバイスが、前記第1のノードの鍵材料共有物又は前記第2のノードの鍵材料共有物を生成する前記ステップが、前記第1のノードの識別子又は前記第2のノードの識別子にそれぞれ対応する点における前記対称性の二変量多項式を評価するステップを有する、請求項3又は4に記載の方法。
【請求項12】
ノードを有するネットワークにおいてルート鍵材料を具備する管理デバイスであって、
前記ノードの識別子を受信するとき、前記ルート鍵材料に基づき、ノード鍵材料を生成する手段であって、各鍵材料共有物が、サブエレメントに分けられる、手段と、
前記第1の鍵材料共有物のサブエレメントのサブセットを選択する手段であって、前記選択されるサブエレメントの数が、第1の鍵を生成するよう構成されるノードの部分的な鍵材料共有物又は対称鍵生成エンジンを形成するよう、前記鍵材料共有物のサブエレメントの総数以下である、手段と、
前記ノードの対称鍵生成エンジンを前記ノードに配布する手段とを有する、管理デバイス。
【請求項13】
請求項12に記載の管理デバイスと、識別子を具備する通信デバイスとを有するネットワークシステムであって、
前記管理デバイスに前記識別子を送信する手段と、
前記管理デバイスから、ノードの対称鍵生成エンジンを受信する手段と、
前記別のノードの識別子を受信する手段と、
前記受信したノードの対称鍵生成エンジンと前記受信した他のノードの識別子とに基づき、前記他のノードとの通信のための鍵を生成する手段とを有する、ネットワークシステム。
【請求項14】
請求項12に記載の管理デバイスと請求項13に記載の通信デバイスとを有するネットワークシステム。
【請求項15】
前記対称鍵生成エンジンが、ハードウェア又はソフトウェアで実現され、前記第2のデバイスの識別子が与えられるとき、第1のデバイスが、第2のデバイスでの対称性鍵を計算することを可能にする、請求項1に記載の方法。
【図1】
【図2】
【図3】
【図4a】
【図4b】
【図4c】
【図5】
【図2】
【図3】
【図4a】
【図4b】
【図4c】
【図5】
【公表番号】特表2012−521136(P2012−521136A)
【公表日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2012−500353(P2012−500353)
【出願日】平成22年3月16日(2010.3.16)
【国際出願番号】PCT/IB2010/051134
【国際公開番号】WO2010/106496
【国際公開日】平成22年9月23日(2010.9.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成22年3月16日(2010.3.16)
【国際出願番号】PCT/IB2010/051134
【国際公開番号】WO2010/106496
【国際公開日】平成22年9月23日(2010.9.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]