暗号秘密鍵の分配
本発明は、暗号秘密鍵を生成している間に交換されるべきメッセージの数が繰り返し数の設定値に基づいて変えられ得るように繰り返し数の値が個別に設定される、暗号秘密鍵分配に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、送信側と受信側との間の暗号秘密鍵の分配に関する。
【背景技術】
【0002】
国際公開第2007/031089号は、無線通信システムにおける安全な通信のための方法を開示している。鍵生成モードにおいて、ESPARアンテナを備えたアクセスポイントは、ビームパターンを形成し、測定用パケットを送信する。端末は、無指向性パターンでそのパケットを受信し、ノイズの影響を均一にするために平均化した後の受信信号強度表示(RSSI)値を取得する。次に、測定用パケットは、ユーザにより無指向性パターンを用いて出力される。アクセスポイントは、オリジナルパターンと一致するパターンによりそのパケットを受信し、平均化した後のRSSI値を取得する。RSSIの測定をK会繰り返してアクセスポイントのビームパターンを変えることにより取得されるK個の異なるRSSI値が存在する。繰り返しKは、鍵の長さに従って簡単に設定される。次に、K個のRSSI値に対して閾値が設定され、値が閾値よりも高い場合には1になり、値が閾値よりも低い場合には0になる。2値化の後、同じ鍵がアクセスポイント及びユーザにおいて生成され、鍵の一致が実現され得る。
【0003】
無線通信システムにおいて、秘密鍵暗号が用いられる。その処理速度が大容量データを処理することができるからである。秘密鍵暗号は、時には対称暗号と呼ばれる。これは、単一の鍵がメッセージを暗号化及び復号化するために用いられ得る暗号の従来の形式である。秘密鍵暗号は、暗号化を処理するだけでなく、認証も処理する。一の斯様な技術は、メッセージ認証コード(MAC)と呼ばれる。暗号鍵は、暗号鍵及び復号鍵が一致するか又は2つの鍵の間に入る単純な変形が存在するという点において、復号鍵に自明に関連付けられる。鍵は、実際には、特定の人だけの情報リンクを維持するために用いられ得る2又はそれ以上の当事者間の共有秘密鍵を表す。秘密鍵暗号の利点は、一般的に公開鍵暗号よりも速いことである。
【0004】
対称鍵暗号に関する他の用語は、秘密鍵、単一鍵(single key)、共有鍵、一つ鍵(one key)及びプライベート鍵暗号である。しかしながら、最後の用語の使用は、公開鍵暗号におけるプライベート鍵という用語と対立する。
【0005】
秘密鍵暗号システムでの主要な問題は、他の誰もが発見することなく送信側及び受信側が秘密鍵を合意することである。これは、双方の当事者が傍受の恐れを伴うことなく通信し得る方法を必要とする。それ故、重要な問題は、最初の鍵交換をどのように実現するかである。
【0006】
第1のアプローチは、2つのノード間の共有秘密鍵を確立するために2つの送受信機間の信号経路の減衰変化を評価するための双方向LQI/RSSI(リンク品質指数/受信信号強度表示)測定の使用に属する。双方の通信当事者間の電波の伝播の相反定理の結果、これらが、チャンネルの変動特性を用いることにより共通の情報を計算することが可能となる。このアプローチは、如何なる鍵分配プロセスを伴うことなく、秘密鍵合意スキームを提供することができる。このスキームは、必要とされる場合に1回限りの鍵を供給することができるので、鍵の分配及び鍵の管理の問題を解決するための高度な方法である。
【0007】
第2のアプローチは、オプション的に低送信電力で、乱数のセットを送信し、"鍵"を生成するためにこれらを全て一緒に組み合わせること(例えばXOR)に属する。攻撃者がこれらの全てを正確に理解する可能性は低い。
【0008】
第1のアプローチは、確立された共有鍵が、複数のデバイスのうち1つにより生成された128ビットのランダム鍵を保護するために用いられるという、オプション的な変形例を有する。これは、信号の減衰における"でたらめさ"の量に対する将来の攻撃に対して保護を支援する。追加的に、第1のアプローチは、攻撃者の受信機がそれ自身と互いに有する目的物のそれぞれとの間で異なる経路減衰をもつので、攻撃者が鍵を得るのを困難にさせる。2つのノード間の各方向において評価されたリンク品質指数(典型的には受信信号強度表示(RSSI)として評価されるLQI)自体は、強力に相関され、これに対し、3番目のノードに対するLQI/RSSIは、典型的には、非常に弱く相関されるだろう。
【0009】
第2のアプローチは、導入時点で正しいチャンネルを探るように非常に近くで特別に構成された無線受信機を攻撃者がもつ必要があるので、攻撃者が鍵を得ることを困難にさせる。それにも関わらず、(複数の鍵を組み合わせる)第2のアプローチによるリスクの一つは、攻撃者が、探索デバイスを、場合により高品質受信機により、絶えず実行中の状態にする場合があることである。そして、彼らは、後にログファイルを介して徹底的に探すことができ、運のいい場合には、全ての鍵情報を受信することができる。これは、低送信電力での送信によりオプション的に軽減され、願わくは、攻撃者のリスクを、製造者がこれを用いて製品を展開することに満足するレベルまで削減する。
【0010】
しかしながら、双方のアプローチは、全ての場合で使用するのに十分強力な鍵を生成するために多くの取引を必要とするという弱点をもつ。例えば、第1の提案は、128ビットのセキュリティを与えるために300メッセージの交換を必要とする場合がある。多くのアプリケーションに関して、これは過剰である。これが不適切であるというアプリケーションの特定の例は、エネルギ採取(energy scavenging)デバイスである。これは、光スイッチ等のデバイスが、短い期間の間、送受信機及びマイクロプロセッサをイネーブルにすることができるスイッチを押す動作から十分な電力を生成するのを可能にする。この期間は、恐らく、数十又は数百のメッセージの交換に対しては十分ではないだろう。
【0011】
待ち時間も重要な検討事項である。ユーザがキーを押して例えば3秒間何も起こらない場合には、彼は他のボタンを押すかもしれない。これは、恐らくPOSアプリケーションを含む、ネットワークに頻繁に参加することを必要とするデバイスに対してより重要になる可能性が高い。
【0012】
逆に、セキュリティのためのより高い要求は、攻撃者が成功する可能性を低減させるためにより多くのメッセージが送られることを必要とする。高いセキュリティ及び低動作電力/待ち時間という対立する要求は、利用可能なシステムによっては適切に適合され得ない。
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明の目的は、前述した対立する要求に関してフレキシビリティを与える改良された暗号秘密鍵分配スキームを提供することにある。
【課題を解決するための手段】
【0014】
本発明は独立請求項により規定される。従属請求項は有利な実施形態を規定する。本発明は、暗号秘密鍵を用いて暗号化データを送信又は受信するためのシステムであって、設定機能が繰り返し数を設定するために与えられ、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数が前記繰り返し数に基づいて制御される、システムを提供する。
【0015】
従って、一又は双方のノード、デバイス、送信側又は受信側は、暗号秘密鍵の生成の間に転送されるメッセージの数を変化させ、これを決定し、又は、これに影響を与え得る。これは、繰り返しが鍵の長さに従って単純に設定される国際公開第2007/031089号の従来技術よりも、ニーズに対してより多くの適合可能なものにする。
【0016】
本発明において、"設定ユニット"という用語は、本願の文書の範囲内において理解されるべきである。これは、設定ユニットが、繰り返し数を効果的に設定する任意のユニット又は機能性であり得ることを意味する。これは、種々の態様において、例えば、繰り返し数を自発的に設定することにより(例えば特定の範囲内において数(例えば(擬似)乱数)を生成することにより)、予め決められた数を読み込むことにより、及び/又は、外部入力に基づいて繰り返し数を設定することにより(例えば他のデバイスから繰り返し数を受信することにより)、実行され得る。
【0017】
第1の実施形態によれば、繰り返し数は、鍵確立の開始に応答して供給又は生成され得る。それ故、鍵生成プロセスの迅速な開始が保証され得る。
【0018】
第1の実施形態と組み合わせられ得る第2の実施形態によれば、繰り返し数は、鍵生成装置で与えられた入力動作に基づいて生成され得る。このオプションは、セキュリティ及び待ち時間が例えばアプリケーションの要件に基づいて個別に制御され得るという点で、ユーザに対してフレキシビリティを与える。
【0019】
第1及び第2の実施形態のうち少なくとも1つと組み合わせられ得る第3の実施形態によれば、繰り返し数は、暗号化データのタイプに基づいて生成され得る。それ故、セキュリティ及び/又は待ち時間は、暗号化データのタイプの要件に基づいて自動的に制御され得る。
【0020】
第1〜第3の実施形態のうち少なくとも1つと組み合わせられ得る第4の実施形態によれば、繰り返し数は、他の送信側から受信され得る。第1〜第4の実施形態のうち少なくとも1つと組み合わせられ得る第5の実施形態によれば、繰り返し数は、他の送信側に送信され得る。これにより、双方の送信側が鍵を生成するために同じ数のメッセージを用いることが保証され得る。
【0021】
第1〜第5の実施形態のうち少なくとも1つと組み合わせられ得る第6の実施形態によれば、メモリが繰り返し値を格納するために設けられ得る。これは、繰り返し値が利用可能な状態のままにし、受信後に見失わない。
【0022】
第1〜第6の実施形態のうち少なくとも1つと組み合わせられ得る第7の実施形態によれば、暗号秘密鍵を生成している間に交換されるべきメッセージの数をカウントするためにカウンタが設けられ得る。
【0023】
第1〜第7の実施形態のうち少なくとも1つと組み合わせられ得る第8の実施形態によれば、暗号秘密鍵は、交換されるべきメッセージの数から取得された記録された受信信号強度表示値に基づいて生成され得る。
【0024】
第1〜第8の実施形態のうち少なくとも1つと組み合わせられ得る第9の実施形態によれば、暗号秘密鍵は、交換されるべきメッセージの数から得られた乱数の組み合わせに基づいて生成され得る。特定の実施例によれば、この組み合わせは、排他的論理和(XOR)の組み合わせであり得る。
【0025】
第1〜第9の実施形態のうち少なくとも1つと組み合わせられ得る第10の実施形態によれば、暗号秘密鍵は、前の暗号秘密鍵で安全に取得した後の暗号秘密鍵の送信に基づいて生成され、前の暗号秘密鍵及び後の暗号秘密鍵は、交換されるべきメッセージの数を用いることにより送信される。第10の実施形態の有利な変更において、暗号秘密鍵は、1よりも多い伝送チャンネル上に送信され、これにより、鍵交換の安全性を更に強化する。
【0026】
第1〜第10の実施形態のうち少なくとも1つと組み合わせられ得る第11の実施形態によれば、本装置は、暗号秘密鍵の複数のビットを連結して複数のグループにし、各グループをサンプル符号のセットと比較し、最も密接にマッチングするサンプル符号に従ってグループを分類し、予め決められた閾値よりも高い信頼性で分類され得ないグループを拒絶するように構成され得る。これにより、ノイズによりもたらされた少数のビットエラーが回避され、共有秘密鍵が、共有データセットから良好に抽出され得る。
【0027】
本発明のこれら及び他の態様は、後述される実施形態から明らかになり、この実施形態を参照して説明されるだろう。
【図面の簡単な説明】
【0028】
【図1】第1の実施形態によるRSSIベースの乱数生成の信号図を示す。
【図2】異なる送信側で受信された典型的なRSSI値を示す概略図を示す。
【図3】第2の実施形態による後の組み合わせを伴う複数の鍵の伝送の信号図を示す。
【図4】第3の実施形態による、1よりも多いチャンネル上での前の鍵で安全に取得された鍵の伝送の信号図を示す。
【図5】本実施形態が実装され得る鍵分配システムのテレビ(TV)デバイスの概略的なブロック図を示す。
【図6】本実施形態が実装され得る鍵分配システムの遠隔制御デバイスの概略的なブロック図を示す。
【図7】第4の実施形態によるRSSIベースの乱数生成システムの双方の送信側でのハードウェア実装の概略的なブロック図を示す。
【図8】第5の実施形態によるRSSIベースの乱数生成システムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図9】第5の実施形態によるRSSIベースの乱数生成システムのTV側での鍵分配手順のフローチャートを示す。
【図10】第6の実施形態による複数鍵組み合わせシステムの遠隔制御側でのハードウェア実装の概略的なブロック図を示す。
【図11】第6の実施形態による複数鍵組み合わせシステムのTV側でのハードウェア実装の概略的なブロック図を示す。
【図12】第7の実施形態による複数鍵組み合わせシステムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図13】第7の実施形態による複数鍵組み合わせシステムのTV側での鍵分配手順のフローチャートを示す。
【図14】第8の実施形態による安全な複数チャンネルの複数鍵伝送システムの遠隔制御側でのハードウェア実装の概略的なブロック図を示す。
【図15】第8の実施形態による安全な複数チャンネルの複数鍵伝送システムのTV側でのハードウェア実装の概略的なブロック図を示す。
【図16】第9の実施形態による安全な複数チャンネルの複数鍵伝送システムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図17】第9の実施形態による安全な複数チャンネルの複数鍵伝送システムのTV側での鍵分配手順のフローチャートを示す。
【発明を実施するための形態】
【0029】
以下、本発明の種々の実施形態が、遠隔制御デバイスとTVデバイスとの間の鍵分配に基づいて述べられる。
【0030】
本実施形態は、参加ノードの一方又は双方に、転送されるメッセージ数を変えることを許可するための2つの最初に述べたアプローチ(及び/又はこれらの変形)のいずれか又は双方の変更に向けられる。しかしながら、本発明は、これらのアプローチに限定されるものではなく、如何なる鍵分配メカニズムにも適用され得る。
【0031】
一実施例として、小さなソーラーパネルから給電されるTV遠隔制御は、例えば最大5のメッセージが鍵確立の間に交換されることを許可し得る。これは、標準的なデバイスよりも低いセキュリティを与えるが、電力が使い果たされる前に交換が完了することを可能にするだろう。
【0032】
他の実施例として、安全な関係を確立するTV及びデジタル多用途ディスク(DVD)プレーヤは、電力効率があまり重要ではなく、セキュリティ侵害に対する妨害がより重要であるので、例えば1000のメッセージを交換し得る。
【0033】
無線プロトコルに基づく実施形態は、転送されるメッセージの数Nに対する有効値の範囲を規定し得る。Nの典型的な値は、0から1000の範囲である。
【0034】
前記のRSSIベースの第1のアプローチに関して、設定N=0は、"共有秘密鍵"がゼロであることをもたらすだろう。128ビットの鍵を運ぶためにこの共有秘密鍵を使用することは、暗号化されていない鍵を送るのと同等であるだろう。
【0035】
XORベースの第2のアプローチに関して、設定N=1も、暗号化されていない鍵を送るのと機能的に同等であるだろう。
【0036】
第1の実施形態は、RSSIベースの共有秘密鍵の生成を用いた実施形態に向けられる。
【0037】
図1は、第1の実施形態のRSSIベースの鍵確立メカニズムの信号図を示している。第1のノード又はデバイスA(例えば遠隔制御)は、第2のノード又はデバイスB(例えばTV)との通信を開始する。各デバイスは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行することを許可される。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスAのボタンを押し、その逆もまた同様である。第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送り、第3のステップにおいて、第1のデバイスAは、ペイロードを含まないテストRSSIメッセージT_rssiを送る。第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信した受信テストRSSIメッセージT_rssiのRSSIを記録し、確認応答Ackを送る。第5のステップにおいて、第2のデバイスBは、ペイロードを含まないテストRSSIメッセージT_rssiを送る。第6のステップにおいて、第1のデバイスAは、受信テストRSSIメッセージT_rssiのRSSIを記録し、確認応答Ackを送る。そして、短遅延Dの後、各ノードがN個のメッセージを送受信するまで、第3から第6までのステップが繰り返される。
【0038】
予め決められた閾値Tよりも高いデータは"1"として分類され、その閾値Tよりも低いデータは"0"として分類される。そして、"限界(marginal)"RSSIデータが識別され、限界ビットのビットフィールドが生成される。第7のステップにおいて、第1のデバイスAは、限界ビットのビットフィールドを含む限界データメッセージMRを構成及び送信する。第8のステップにおいて、第2のデバイスBは、確認応答Ackを送る。そして、第9のステップにおいて、第2のデバイスBは、限界ビットのビットフィールドを含む限界データメッセージMRを構成及び送信する。最後の第10のステップにおいて、第1のデバイスAは、確認応答Ackを送る。
【0039】
さて、双方のデバイスA及びBは、例えば論理ORの組み合わせにより、限界ビットの2つのビットフィールドを組み合わせ、全てのRSSIサンプルを考慮した限界が、いずれかのデバイスにより拒絶される。残りの非限界ビットは、共有秘密鍵に連結される。オプション的に、この共有秘密鍵は、第1のデバイスAから第2のデバイスBに乱数を送るために用いられ得る。鍵は、他の鍵交換アルゴリズムにより確認され得る。
【0040】
メッセージが予想通りに受信されない場合には、送信端末は、タイムアウトになり、そのプロセスを中断し、ユーザは後にリトライしなければならない。
【0041】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表1】
確認応答メッセージAckのフォーマット
【表2】
テストRSSIメッセージT_rssiのフォーマット
【表3】
限界ビットメッセージのフォーマット
【表4】
【0042】
短遅延Dの後、双方のデバイスA及びBは、RSSI値のセットをもつ。これら2つのセットは相関されるが、概して、以下に示されるように同一ではない。
【0043】
図2は、異なる送信側、例えばデバイスA及びBで受信した典型的なRSSI値を示す概略図を示す。各RSSIサンプルは、(閾値Tよりも高い場合には)"1"及び(閾値Tよりも低い場合には)"0"として分類される。限界領域MRにおけるサンプルは、"限界"としてフラグ付けされる。これらのフラグ付けされたRSSIサンプルは、ハッチングが掛けられた円として示され、その一方で、黒色の円は、第2のデバイスBで受信したRSSIサンプルを示し、白色の円は、第1のデバイスAで受信したRSSIサンプルを示す。プロトコルは、デバイスA及びBのいずれかにより限界としてフラグ付けされた全てのサンプルを拒絶する。図2の前記の例において、双方のデバイスA及びデバイスBは、全ての非拒絶サンプルに同意し、値"0b110"の共有秘密鍵をもつ。
【0044】
種々の他のアルゴリズムが2つの相関されたデータセットから共有秘密鍵を抽出するために用いられ得ることが留意されるべきである。前記のものは、直接的な例として与えられる。
【0045】
1つの他の例は、信号バリエーション(例えば1=強くなる、0=弱くなる)の使用である。幾つかのアルゴリズムは、例えば高い、上部の、低い、底部のレベルの間に3つの閾値ラインをもつことにより、交換された各メッセージから1つよりも多いデータビットを抽出することができる。適用され得る他のアルゴリズムは、複数のビットのグループへの連結、及び、サンプル"シンボル"のセットをもつ各グループの比較をもたらす。グループは、最も密接にマッチするサンプルシンボルに応じて分類され得る。何れかの側で限界分類をもつグループ(即ち予め決められた閾値よりも高い信頼で分類され得ないグループ)は、ビット分類に対する同様の手法で双方の側により拒絶される。これは、ノイズによりもたらされた少数のビットエラーを回避することを支援し、共有データセットからの共有秘密鍵のより効率的な抽出を可能にする。
【0046】
これら及び他のアルゴリズムは、同一の手法において、交換されるメッセージの数Nを変える能力から恩恵を受けるだろう。
【0047】
図3は、第2の実施形態の後の組み合わせ(例えばXOR)による複数鍵の伝送の信号図を示している。第2の実施形態において、第1のデバイスA(例えば遠隔制御デバイス)は、第2のデバイス(例えばTV)との通信を開始する。各デバイスは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行するのを許可される。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスA上のボタンを押し、又は、その逆も同様である。
【0048】
第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送る。第3のステップにおいて、第1のデバイスAは、128ビットの乱数を生成し、その数を含む鍵素材メッセージKMを構成し、オプション的に削減された送信電力を用いて、鍵素材メッセージKMを第2のデバイスに送る。第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信したメッセージ中の乱数を記録し、確認応答Ackを送る。第3及び第4のステップは、第1のデバイスAがN個のメッセージを送るまで繰り返される。
【0049】
そして、双方のデバイスA及びBは、論理XORの態様で、数"0"を、順次送受信される各乱数と組み合わせる。それ故、2つのデバイスA及びBは共有秘密鍵を共有する。その後、取得した鍵は、他の鍵交換アルゴリズムにより確認され得る。
【0050】
デバイスは、所与のフレームに対する確認応答Ackを受信しない場合には、その後、例えばメディアアクセス制御(MAC)プロトコルに従ってリトライし得る。任意のフレームの全てのリトライが失敗した場合には、送信機は、そのプロセスを中断し、受信機は、最終的にはタイムアウトになり、そのプロセスを中断する。そして、ユーザは後にリトライし得る。
【0051】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表5】
確認応答メッセージAckのフォーマット
【表6】
鍵素材メッセージKMのフォーマット
【表7】
【0052】
第2の実施形態の前記手順は、開始鍵が暗号化されずに送られ、この後に次の鍵が前の鍵により保護されて送られるように変更されてもよい。これは、固定された回数又は可変回数繰り返される。この場合もやはり、任意の単一のメッセージを見逃す攻撃者は、最終的な鍵をもたないだろう。
【0053】
更なる変更として、チャンネルは、別個の鍵の伝送間において変更されてもよい。これは、攻撃者が簡素な無線スヌープデバイスしか備えない場合には、これらが典型的には単一のチャンネルで動作するので、攻撃者が全ての必要な鍵を取得するのをより困難にさせる。
【0054】
図4は、第3の実施形態の、1つよりも多いチャンネル上における前の鍵で保護された鍵の伝送の信号図を示している。この場合もやはり、第1のデバイスA(例えば遠隔制御)は、第2のデバイスB(例えばTV)との通信を開始する。デバイスA及びBのそれぞれは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行することを許可され得る。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスA上のボタンを押し、又は、その逆も同様である。
【0055】
第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送る。第3のステップにおいて、第1のデバイスAは、128ビットのランダム鍵knを生成し、新たなチャンネルをランダムに選択し、その鍵knと新たなチャンネルの番号ch1とを含む鍵輸送メッセージKMを構成し、オプション的に削減された送信電力を用いて、このメッセージを第2のデバイスBに送る。そして、第1のデバイスAは、確認応答Ackを待ち、新たなチャンネルに切り替える。
【0056】
第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信したメッセージ中の鍵を記録し、確認応答Ackを送り、新たなチャンネルに切り替える。第5のステップにおいて、第1のデバイスAは、他の128ビットのランダム鍵を生成し、他の新たなチャンネルを選択し、その鍵と新たなチャンネルの番号ch2とを含む鍵輸送メッセージKMを構成し、これを前に輸送された鍵を用いて保護し、オプション的に削減された送信電力を用いて、このメッセージを第2のデバイスBに送る。そして、第1のデバイスAは、確認応答Ackを待ち、新たなチャンネルに切り替える。
【0057】
第6のステップにおいて、第2のデバイスBは、確認応答Ackを送り、その後、受信したコマンドが適切に保護されたかどうかを確認する。適切に保護されたものである場合には、その後、第2のデバイスBは、メッセージからセキュリティを取り除き、そして、そのメッセージから新たな鍵を抽出し、これを記録する。そして、第2のデバイスBは、新たなチャンネルに切り替える。
【0058】
第5及び第6のステップは、第1のデバイスAがN個の鍵輸送メッセージを送るまで繰り返される。現在の鍵は、他の鍵交換アルゴリズムにより確認され、他の通信のために用いられる。デバイスが所与のフレームに対する確認応答Ackを受信しない場合には、その後、デバイスは、MACプロトコルに従ってこれをリトライし得る。任意のフレームの全てのリトライが失敗した場合には、送信機は、そのプロセスを中断し、受信機は、最終的にはタイムアウトになり、そのプロセスを中断する。そして、ユーザは後にリトライし得る。
【0059】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表8】
確認応答メッセージAckのフォーマット
【表9】
鍵輸送メッセージKMのフォーマット
【表10】
【0060】
他の実施形態のバリエーションが可能である。例えば、チャンネルは、連続チャンネル又は擬似ランダムシーケンスのような幾つかの予め設けられたスケジュールに従って変更されてもよい。
【0061】
更に、鍵の確認は、2つのデバイスA及びB間の鍵で保護されたメッセージを送り、他方からのメッセージが正しく保護されたという受信を確認することにより実行され得る。
【0062】
図5は、本発明の実施形態が実行され得る鍵分配システムのTVデバイスの概略的なブロック図を示している。TVデバイスは、スクリーン又はディスプレイ(例えば、液晶ディスプレイ(LCD)等)10、ディスプレイドライバ11、制御ボタンを備えたフロントパネルキーパッド12、他のオーディオ及びビデオ入力14、チューナ15、電源16、揮発性メモリ(例えば、ランダムアクセスメモリ(RAM))17、不揮発性メモリ(例えばフラッシュメモリ)18、中央処理ユニット(CPU)19、及び、アンテナ21が接続された送受信機20を有する。これらの部品の間の接続は通信ライン(例えばシステムバス)13により実現される。
【0063】
動作において、メディアデータは、チューナ15及び他のオーディオ/ビデオ入力14を介して入力される。メディアデータは、ディスプレイドライバ11を介してディスプレイ10に出力される。ディスプレイ10とディスプレイドライバ11との間のインタフェースは、TVの制御及び設定のために用いられ得る。CPU19は、制御ソフトウェアを実行し、本発明の実施形態のメカニズムを提供する。送受信機20は、例えばIEEE 802.15.4 MACプロトコルを実行し得る。これは、IEEE 802.15.4 PHYレイヤプロトコルを実行してもよい。フロントパネルキーパッド12は、本実施形態においては鍵確立の開始と呼ばれるボタンをもち得る。メモリ17及び18は、制御ソフトウェアを格納するため、及び、IEEE 802.15.4スタックを実行するために用いられ得る。
【0064】
図6は、本発明の実施形態が実行され得る鍵分配システムの遠隔制御デバイスの概略的なブロック図を示している。
【0065】
遠隔制御デバイスは、制御ボタンを備えたキーパッド22、電源24、揮発性メモリ(例えばランダムアクセスメモリ(RAM))25、不揮発性メモリ(例えばフラッシュメモリ)26、中央処理ユニット(CPU)27、及び、アンテナ29が接続された送受信機28を有する。これらの部品間の接続は、通信ライン(例えばシステムバス)23により実現される。
【0066】
キーパッド22は、ユーザが押し得るボタンを表す。これは、本発明の実施形態において述べられた、鍵確立を開始するためのボタンを含み得る。CPU27は、制御ソフトウェアを実行し、本発明の実施形態のメカニズムを提供し得る。送受信機28は、IEEE 802.15.4 MACプロトコルを実行し得る。これは、IEEE 802.15.4 PHYレイヤプロトコルを実行してもよい。メモリ25及び26は、制御ソフトウェアを格納するため、及び、IEEE 802.15.4スタックを実行するために用いられ得る。
【0067】
図7は、第4の実施形態のRSSIベースの乱数生成システムの双方の送信側でのハードウェア実装の概略的なブロック図を示している。図7に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)33は、カウンタ(C)30及びメモリ(MEM)31にアクセスでき、開始ボタン(IB)32により制御され得る。制御論理33は、許可された繰り返し数Nの出力値をメモリ31に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ30を制御する。カウンタ30のカウント値とメモリ31に格納された数Nの値との比較に基づいて、制御論理33は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理33は、RSSI分類回路又はブロック(RSSI−C)34、及び、RSSI分類ブロック34からの情報を受信する鍵生成回路又はブロック(KG)35を制御する。入力/出力信号は、送受信機(TRX)36及びアンテナ38を介して受信/送信される。送受信機36からRSSIサンプルを受信したRSSI測定回路又はブロック(RSSI−M)37は、これらを測定し、測定結果をRSSI分類ブロック34に転送する。送受信機により受信したRSSIサンプルは、図1及び図2と組み合わせて前述された手順と同様の測定結果を分類するRSSI分類ブロック34で予め決められた閾値Tと比較される。N個のRSSIサンプルの分類に基づいて、鍵生成ブロック35は共有秘密鍵を生成する。
【0068】
図8は、第5の実施形態のRSSIベースの鍵確立システムの遠隔制御側での鍵分配手順のフローチャートを示している。図8の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0069】
ステップS100において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS101において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS102において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ103において、遠隔制御デバイスは、テストRSSI(例えば図1の"T_rssi")メッセージを、制御されたTVに送り、確認応答を待つ。そして、ステップS104において、遠隔制御デバイスは、制御されたTVからのテストRSSIメッセージを待つ。その後、ステップS105において、遠隔制御デバイスは、受信したRSSIサンプルを記録し、確認応答を送る。ステップS106における短遅延の後、遠隔制御デバイスは、ステップ107において、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの数Nが依然として受信されてない場合には、本手順は、次のテストRSSIメッセージを送るためにステップS103に戻る。そうでなければ、メッセージの数Nが受信された場合には、ステップS108において、記録されたRSSIサンプル又は値が分類され、限界ビットが識別される。そして、ステップS109において、限界データメッセージが制御TVに送られ、これの確認応答が待たれる。後のステップS110において、遠隔制御デバイスは、制御されたTVからの限界データメッセージを待ち、その受信の後に確認応答を送る。ステップS111において、限界ビットフィールドがOR結合され、全ての限界ビットが拒絶される。追加的に、残りの非限界ビットが共有秘密鍵を形成するために連結される。ステップS112において、ランダム鍵が生成され、共有秘密鍵を用いることにより保護され、制御されたTVに送られる。ステップS113において、遠隔制御デバイスは、幾つかのメッセージを生成し、ランダム鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS114において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS115において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを送るためにステップS102に戻る。そうでなければ、ステップS115において、セキュリティがOKであることが決定された場合には、ステップS116において、鍵確立が終了することが結論付けられる。
【0070】
図9は、第5の実施形態のRSSIベースの鍵確立システムのTV側での鍵分配手順のフローチャートを示している。図9の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0071】
ステップS200において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS201において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待ち、その受信後に確認応答を送る。ステップS202において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS203において、TVデバイスは、テストRSSIメッセージを待ち、その受信後にRSSI値を記録し、確認応答を待つ。ステップS204において、TVデバイスは、テストRSSIメッセージを遠隔制御デバイスに送り、確認応答を待つ。そして、ステップS205において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの信号数Nが依然として受信されていない場合には、本手順は、次のテストRSSIメッセージを待つためにステップS203に戻る。そうでなければ、メッセージの数Nが受信された場合には、ステップS206において、記録されたRSSIサンプル又は値が分類され、限界ビットが識別される。そして、ステップS207において、TVデバイスは、遠隔制御デバイスにより送られた限界データメッセージを待ち、その受信後に確認応答を送る。後のステップS208において、TVデバイスは、限界データメッセージを遠隔制御デバイスに送り、確認応答を待つ。ステップS209において、限界ビットフィールドがOR結合され、全ての限界ビットが拒絶される。追加的に、残りの非限界ビットが共有秘密鍵を形成するために連結される。ステップS210において、TVデバイスは、共有秘密鍵で保護された遠隔制御からのメッセージを待ち、セキュリティを取り除き、運ばれた鍵を記録する。ステップS211において、TVデバイスは、記録された鍵で保護された遠隔制御デバイスからのメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS212において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを待つためにステップS201に戻る。そうでなければ、ステップS212において、セキュリティがOKであることが決定された場合には、TVデバイスは、ステップS213において、幾つかのメッセージを生成し、記録された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップ214において、鍵確立が終了することが結論付けられる。
【0072】
図10は、第6の実施形態の複数鍵組み合わせシステムの遠隔制御側でのハードウェア実装の概略的なブロック図を示している。図10に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)43は、カウンタ(C)40及びメモリ(MEM)41にアクセスでき、開始ボタン(IB)42により制御され得る。制御論理43は、許可された繰り返し数Nの出力値をメモリ41に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ40を制御する。カウンタ40のカウント値とメモリ41に格納された数Nの値との比較に基づいて、制御論理43は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理43は、乱数生成回路又はブロック(RNG)44、素材を入力するための鍵ストレージ又は鍵メモリ(KMEM)45、及び、鍵生成のためのXOR組み合わせ回路又はブロック47を制御する。入力/出力信号は、送受信機(TRX)46及びアンテナ48を介して受信/送信される。乱数生成ブロック44は、乱数を生成し、これらを、制御されたTVデバイスへの送信のための送受信機46に供給する。生成され信号化された乱数は、鍵メモリ45にメモリされるか又は記録され、共有秘密鍵を生成するためにXOR組み合わせブロック47でXOR結合される。
【0073】
図11は、第6の実施形態の複数鍵組み合わせシステムのTV側でのハードウェア実装の概略的なブロック図を示している。図11に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)53は、カウンタ(C)50及びメモリ(MEM)51にアクセスでき、開始ボタン(IB)52により制御され得る。制御論理53は、許可された繰り返し数Nの受信値をメモリ51に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ50を制御する。カウンタ50のカウント値とメモリ51に格納された数Nの値との比較に基づいて、制御論理53は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理53は、素材を入力するための鍵ストレージ又は鍵メモリ(KMEM)55、及び、鍵生成のためのXOR組み合わせ回路又はブロック57を制御する。入力/出力信号は、送受信機(TRX)56及びアンテナ58を介して受信/送信される。遠隔制御デバイスから送受信機56により受信した乱数は、鍵メモリ55にメモリされるか又は記録され、共有秘密鍵を生成するためにXOR組み合わせブロック47でXOR結合される。
【0074】
図12は、第7の実施形態の複数鍵組み合わせシステムの遠隔制御側での鍵分配手順のフローチャートを示している。図12の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0075】
ステップS300において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS301において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS302において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ303において、遠隔制御デバイスは、128ビットの乱数を生成し、ステップ304において、鍵素材メッセージにおけるこれを、制御されたTVに送り、確認応答を待つ。そして、ステップS305において、遠隔制御デバイスは、メッセージの信号数Nが送信されたかどうかを確認する。メッセージの数Nが依然として送信されてない場合には、本手順は、新たな乱数を生成するためにステップS303に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS306において、共有秘密鍵を形成するために、送信された乱数がXOR結合される。そして、ステップS307において、遠隔制御デバイスは、幾つかのメッセージを生成し、生成された鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS308において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS309において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを送るためにステップS302に戻る。そうでなければ、ステップS309において、セキュリティがOKであることが決定された場合には、ステップS310において、鍵確立が終了することが結論付けられる。
【0076】
図13は、第7の実施形態の複数鍵組み合わせシステムのTV側での鍵分配手順のフローチャートを示している。図13の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0077】
ステップS400において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS401において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待つ。ステップS402において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS403において、TVデバイスは、遠隔制御デバイスからの鍵素材メッセージを待ち、その受信後に確認応答を送る。そして、ステップS404において、TVデバイスは、遠隔制御デバイスから受信した128ビットの乱数を記録する。ステップS405において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの信号数Nが依然として送信されていない場合には、本手順は、新たな鍵素材メッセージを待つためにステップS403に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS406において、共有秘密鍵を形成するために、受信した乱数がXOR結合される。ステップS407において、TVデバイスは、生成された鍵で保護された遠隔制御デバイスからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS408において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを待つためにステップS401に戻る。そうでなければ、ステップS408において、セキュリティがOKであることが決定された場合には、TVデバイスは、ステップS409において、幾つかのメッセージを生成し、生成された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップS410において、鍵確立が終了することが結論付けられる。
【0078】
図14は、第8の実施形態の保護された複数チャンネル複数鍵伝送システムの遠隔制御側でのハードウェア実装の概略的なブロック図を示している。図14に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)73は、カウンタ(C)70及びメモリ(MEM)71にアクセスでき、開始ボタン(IB)72により制御され得る。制御論理73は、許可された繰り返し数Nの送信値をメモリ71に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ70を制御する。カウンタ70のカウント値とメモリ71に格納された数Nの値との比較に基づいて、制御論理73は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理73は、乱数生成回路又はブロック(RNG)74、及び、ワーキング鍵のためのワーキング鍵ストレージ又はワーキング鍵メモリ(WKMEM)75を制御する。入力/出力信号は、送受信機(TRX)76及びアンテナ78を介して受信/送信される。乱数生成ブロック74は、乱数を生成し、これらを、制御されたTVデバイスへの送信のための送受信機76に供給する。生成され信号化された乱数は、共有秘密鍵を生成するためにワーキング鍵メモリ75にメモリされるか又は記録される。追加的に、制御論理73は、出力/入力信号を送信/受信するために送受信機76により用いられたチャンネルを制御するチャンネル変更回路又はブロック77を制御する。
【0079】
図15は、第8の実施形態の保護された複数チャンネル複数鍵伝送システムのTV側でのハードウェア実装の概略的なブロック図を示している。図15に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)83は、カウンタ(C)80及びメモリ(MEM)81にアクセスでき、開始ボタン(IB)82により制御され得る。制御論理83は、許可された繰り返し数Nの受信値をメモリ81に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ80を制御する。カウンタ80のカウント値とメモリ81に格納された数Nの値との比較に基づいて、制御論理83は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理83は、ワーキング鍵のための鍵ストレージ又は鍵メモリ(WKMEM)85を制御する。入力/出力信号は、送受信機(TRX)86及びアンテナ88を介して受信/送信される。遠隔制御デバイスから送受信機86により受信した乱数又は鍵は、共有秘密鍵を生成するためにワーキング鍵メモリ85にメモリされるか又は記録される。追加的に、制御論理83は、出力/入力信号を送信/受信するために送受信機86により用いられたチャンネルを制御するチャンネル変更回路又はブロック87を制御する。
【0080】
図16は、第9の実施形態の保護された複数チャンネル複数鍵伝送システムの遠隔制御側での鍵分配手順のフローチャートを示している。図16の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0081】
ステップS500において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS501において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS502において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ503において、遠隔制御デバイスは、128ビットの乱数を生成し、ステップ504において、ランダムチャンネル番号を生成する。そして、ステップS505において、遠隔制御デバイスは、ワーキング鍵で保護された鍵輸送メッセージを、制御されたTVに送り、確認応答を待つ。次のステップS506において、遠隔制御デバイスは、前で選択された新たなチャンネルに変更する。ステップS507において、遠隔制御デバイスは、ワーキング鍵を、受信した乱数の値又はパターンに設定し、その後、ステップS508において、メッセージの信号数Nが送信されたかどうかを確認する。メッセージの数Nが依然として送信されてない場合には、本手順は、新たな乱数を生成するためにステップS503に戻る。そうでなければ、メッセージの数Nが送信された場合には、ワーキング鍵がこのTVと共有されるように、ステップS509においてワーキング鍵が格納される。ステップS510において、遠隔制御デバイスは、幾つかのメッセージを生成し、格納された鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS511において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS512において、セキュリティがOKではないと決定された場合には、本手順は、新たな開始メッセージを送るためにステップS502に戻る。そうでなければ、ステップS512において、セキュリティがOKであると決定された場合には、ステップS513において、鍵確立が終了することが結論付けられる。
【0082】
図17は、第9の実施形態の保護された複数チャンネル複数鍵伝送システムのTV側での鍵分配手順のフローチャートを示している。図17の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0083】
ステップS600において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS601において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待つ。ステップS602において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS603において、TVデバイスは、遠隔制御デバイスからの鍵輸送メッセージを待ち、その受信後に確認応答を送り、受信したメッセージからセキュリティを取り除く。そして、ステップS604において、TVデバイスは、受信したメッセージから取り出された128ビットの乱数を記録し、ステップS605において、TVデバイスは、受信したメッセージから取り出されたチャンネル番号を記録する。ステップS606において、TVデバイスは、遠隔制御デバイスから信号伝送される新たなチャンネルに変更し、ステップS607において、ワーキング鍵を、送信された乱数の値に設定する。ステップS608において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの数Nが依然として送信されていない場合には、本手順は、新たな鍵輸送メッセージを待つためにステップS603に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS609において、ワーキング鍵がこの遠隔制御デバイスと共有されるように、ワーキング鍵が格納される。ステップS610において、TVデバイスは、格納された鍵で保護された遠隔制御デバイスからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS611において、セキュリティがOKではないと決定された場合には、本手順は、新たな開始メッセージを待つためにステップS601に戻る。そうでなければ、ステップS611において、セキュリティがOKであると決定された場合には、TVデバイスは、ステップS612において、幾つかのメッセージを生成し、格納された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップS613において、鍵確立が終了することが結論付けられる。
【0084】
要約すると、暗号秘密鍵を生成している間に交換されるべきメッセージの数が繰り返し数の設定値に基づいて変えられ得るように繰り返し数の値が個別に設定される、暗号秘密鍵分配を実行するための装置及び方法が述べられた。
【0085】
本発明は、前記の実施形態に限定されるものではなく、遠隔制御デバイスとTVデバイスとの間だけではなく、ネットワークにおけるデバイス間の安全な輸送メカニズムを提供するために、任意のタイプのアプリケーションにおける任意の鍵分配スキームに対して用いられ得ることに留意されたい。鍵の管理は、簡素で透明的に維持され得る。それ故、消費者体験に対する影響を最小にする。
【0086】
前記RSSIベースの実施形態のLQIベースの変更実施例において、例えば繰り返し数Nの提案された信号伝送に続く無線又は無線周波数(RF)リンクで交換されるダミーパケットから、同一の鍵が双方のデバイス上に生成されてもよい。(最低限のデータの)肯定応答パケットがデバイス間で交換され、リンク品質が各パケット交換に対して測定される。経時的なLQIの変化から鍵が生成されてもよい。リンク品質の経時的な変化は、少なくとも1つのノードの移動により、又は、2つのデバイス間の物理的環境を変えることにより、"強化"され得る。
【0087】
開示された実施形態に対するバリエーションは、図面、開示及び特許請求の範囲の研究から、当業者により理解され達成され得る。請求項において、"有する"という用語は、他の要素又はステップを除外するものではなく、単数表記は、複数の要素又はステップを除外するものではない。単一のプロセッサ又は他のユニットが、図7〜17の機能及び請求項に記載された幾つかのアイテムを充足してもよい。特定の手段が相互に異なる従属請求項に記載されるという単なる事実は、これらの手段の組み合わせが有利に用いられ得ないことを示すものではない。請求項に記載された方法に係る特徴を実行するようにプロセッサを制御するために用いられるコンピュータプログラムは、他のハードウェアと一緒に又はその部分として供給される光学格納媒体又はソリッドステート媒体のような適切な媒体に格納/分配されてもよく、インターネット又は他の有線若しくは無線通信システムを介するような他の形式で分配されてもよい。請求項における如何なる参照符号も、その範囲を限定するものとして考慮されるべきではない。
【技術分野】
【0001】
本発明は、概して、送信側と受信側との間の暗号秘密鍵の分配に関する。
【背景技術】
【0002】
国際公開第2007/031089号は、無線通信システムにおける安全な通信のための方法を開示している。鍵生成モードにおいて、ESPARアンテナを備えたアクセスポイントは、ビームパターンを形成し、測定用パケットを送信する。端末は、無指向性パターンでそのパケットを受信し、ノイズの影響を均一にするために平均化した後の受信信号強度表示(RSSI)値を取得する。次に、測定用パケットは、ユーザにより無指向性パターンを用いて出力される。アクセスポイントは、オリジナルパターンと一致するパターンによりそのパケットを受信し、平均化した後のRSSI値を取得する。RSSIの測定をK会繰り返してアクセスポイントのビームパターンを変えることにより取得されるK個の異なるRSSI値が存在する。繰り返しKは、鍵の長さに従って簡単に設定される。次に、K個のRSSI値に対して閾値が設定され、値が閾値よりも高い場合には1になり、値が閾値よりも低い場合には0になる。2値化の後、同じ鍵がアクセスポイント及びユーザにおいて生成され、鍵の一致が実現され得る。
【0003】
無線通信システムにおいて、秘密鍵暗号が用いられる。その処理速度が大容量データを処理することができるからである。秘密鍵暗号は、時には対称暗号と呼ばれる。これは、単一の鍵がメッセージを暗号化及び復号化するために用いられ得る暗号の従来の形式である。秘密鍵暗号は、暗号化を処理するだけでなく、認証も処理する。一の斯様な技術は、メッセージ認証コード(MAC)と呼ばれる。暗号鍵は、暗号鍵及び復号鍵が一致するか又は2つの鍵の間に入る単純な変形が存在するという点において、復号鍵に自明に関連付けられる。鍵は、実際には、特定の人だけの情報リンクを維持するために用いられ得る2又はそれ以上の当事者間の共有秘密鍵を表す。秘密鍵暗号の利点は、一般的に公開鍵暗号よりも速いことである。
【0004】
対称鍵暗号に関する他の用語は、秘密鍵、単一鍵(single key)、共有鍵、一つ鍵(one key)及びプライベート鍵暗号である。しかしながら、最後の用語の使用は、公開鍵暗号におけるプライベート鍵という用語と対立する。
【0005】
秘密鍵暗号システムでの主要な問題は、他の誰もが発見することなく送信側及び受信側が秘密鍵を合意することである。これは、双方の当事者が傍受の恐れを伴うことなく通信し得る方法を必要とする。それ故、重要な問題は、最初の鍵交換をどのように実現するかである。
【0006】
第1のアプローチは、2つのノード間の共有秘密鍵を確立するために2つの送受信機間の信号経路の減衰変化を評価するための双方向LQI/RSSI(リンク品質指数/受信信号強度表示)測定の使用に属する。双方の通信当事者間の電波の伝播の相反定理の結果、これらが、チャンネルの変動特性を用いることにより共通の情報を計算することが可能となる。このアプローチは、如何なる鍵分配プロセスを伴うことなく、秘密鍵合意スキームを提供することができる。このスキームは、必要とされる場合に1回限りの鍵を供給することができるので、鍵の分配及び鍵の管理の問題を解決するための高度な方法である。
【0007】
第2のアプローチは、オプション的に低送信電力で、乱数のセットを送信し、"鍵"を生成するためにこれらを全て一緒に組み合わせること(例えばXOR)に属する。攻撃者がこれらの全てを正確に理解する可能性は低い。
【0008】
第1のアプローチは、確立された共有鍵が、複数のデバイスのうち1つにより生成された128ビットのランダム鍵を保護するために用いられるという、オプション的な変形例を有する。これは、信号の減衰における"でたらめさ"の量に対する将来の攻撃に対して保護を支援する。追加的に、第1のアプローチは、攻撃者の受信機がそれ自身と互いに有する目的物のそれぞれとの間で異なる経路減衰をもつので、攻撃者が鍵を得るのを困難にさせる。2つのノード間の各方向において評価されたリンク品質指数(典型的には受信信号強度表示(RSSI)として評価されるLQI)自体は、強力に相関され、これに対し、3番目のノードに対するLQI/RSSIは、典型的には、非常に弱く相関されるだろう。
【0009】
第2のアプローチは、導入時点で正しいチャンネルを探るように非常に近くで特別に構成された無線受信機を攻撃者がもつ必要があるので、攻撃者が鍵を得ることを困難にさせる。それにも関わらず、(複数の鍵を組み合わせる)第2のアプローチによるリスクの一つは、攻撃者が、探索デバイスを、場合により高品質受信機により、絶えず実行中の状態にする場合があることである。そして、彼らは、後にログファイルを介して徹底的に探すことができ、運のいい場合には、全ての鍵情報を受信することができる。これは、低送信電力での送信によりオプション的に軽減され、願わくは、攻撃者のリスクを、製造者がこれを用いて製品を展開することに満足するレベルまで削減する。
【0010】
しかしながら、双方のアプローチは、全ての場合で使用するのに十分強力な鍵を生成するために多くの取引を必要とするという弱点をもつ。例えば、第1の提案は、128ビットのセキュリティを与えるために300メッセージの交換を必要とする場合がある。多くのアプリケーションに関して、これは過剰である。これが不適切であるというアプリケーションの特定の例は、エネルギ採取(energy scavenging)デバイスである。これは、光スイッチ等のデバイスが、短い期間の間、送受信機及びマイクロプロセッサをイネーブルにすることができるスイッチを押す動作から十分な電力を生成するのを可能にする。この期間は、恐らく、数十又は数百のメッセージの交換に対しては十分ではないだろう。
【0011】
待ち時間も重要な検討事項である。ユーザがキーを押して例えば3秒間何も起こらない場合には、彼は他のボタンを押すかもしれない。これは、恐らくPOSアプリケーションを含む、ネットワークに頻繁に参加することを必要とするデバイスに対してより重要になる可能性が高い。
【0012】
逆に、セキュリティのためのより高い要求は、攻撃者が成功する可能性を低減させるためにより多くのメッセージが送られることを必要とする。高いセキュリティ及び低動作電力/待ち時間という対立する要求は、利用可能なシステムによっては適切に適合され得ない。
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明の目的は、前述した対立する要求に関してフレキシビリティを与える改良された暗号秘密鍵分配スキームを提供することにある。
【課題を解決するための手段】
【0014】
本発明は独立請求項により規定される。従属請求項は有利な実施形態を規定する。本発明は、暗号秘密鍵を用いて暗号化データを送信又は受信するためのシステムであって、設定機能が繰り返し数を設定するために与えられ、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数が前記繰り返し数に基づいて制御される、システムを提供する。
【0015】
従って、一又は双方のノード、デバイス、送信側又は受信側は、暗号秘密鍵の生成の間に転送されるメッセージの数を変化させ、これを決定し、又は、これに影響を与え得る。これは、繰り返しが鍵の長さに従って単純に設定される国際公開第2007/031089号の従来技術よりも、ニーズに対してより多くの適合可能なものにする。
【0016】
本発明において、"設定ユニット"という用語は、本願の文書の範囲内において理解されるべきである。これは、設定ユニットが、繰り返し数を効果的に設定する任意のユニット又は機能性であり得ることを意味する。これは、種々の態様において、例えば、繰り返し数を自発的に設定することにより(例えば特定の範囲内において数(例えば(擬似)乱数)を生成することにより)、予め決められた数を読み込むことにより、及び/又は、外部入力に基づいて繰り返し数を設定することにより(例えば他のデバイスから繰り返し数を受信することにより)、実行され得る。
【0017】
第1の実施形態によれば、繰り返し数は、鍵確立の開始に応答して供給又は生成され得る。それ故、鍵生成プロセスの迅速な開始が保証され得る。
【0018】
第1の実施形態と組み合わせられ得る第2の実施形態によれば、繰り返し数は、鍵生成装置で与えられた入力動作に基づいて生成され得る。このオプションは、セキュリティ及び待ち時間が例えばアプリケーションの要件に基づいて個別に制御され得るという点で、ユーザに対してフレキシビリティを与える。
【0019】
第1及び第2の実施形態のうち少なくとも1つと組み合わせられ得る第3の実施形態によれば、繰り返し数は、暗号化データのタイプに基づいて生成され得る。それ故、セキュリティ及び/又は待ち時間は、暗号化データのタイプの要件に基づいて自動的に制御され得る。
【0020】
第1〜第3の実施形態のうち少なくとも1つと組み合わせられ得る第4の実施形態によれば、繰り返し数は、他の送信側から受信され得る。第1〜第4の実施形態のうち少なくとも1つと組み合わせられ得る第5の実施形態によれば、繰り返し数は、他の送信側に送信され得る。これにより、双方の送信側が鍵を生成するために同じ数のメッセージを用いることが保証され得る。
【0021】
第1〜第5の実施形態のうち少なくとも1つと組み合わせられ得る第6の実施形態によれば、メモリが繰り返し値を格納するために設けられ得る。これは、繰り返し値が利用可能な状態のままにし、受信後に見失わない。
【0022】
第1〜第6の実施形態のうち少なくとも1つと組み合わせられ得る第7の実施形態によれば、暗号秘密鍵を生成している間に交換されるべきメッセージの数をカウントするためにカウンタが設けられ得る。
【0023】
第1〜第7の実施形態のうち少なくとも1つと組み合わせられ得る第8の実施形態によれば、暗号秘密鍵は、交換されるべきメッセージの数から取得された記録された受信信号強度表示値に基づいて生成され得る。
【0024】
第1〜第8の実施形態のうち少なくとも1つと組み合わせられ得る第9の実施形態によれば、暗号秘密鍵は、交換されるべきメッセージの数から得られた乱数の組み合わせに基づいて生成され得る。特定の実施例によれば、この組み合わせは、排他的論理和(XOR)の組み合わせであり得る。
【0025】
第1〜第9の実施形態のうち少なくとも1つと組み合わせられ得る第10の実施形態によれば、暗号秘密鍵は、前の暗号秘密鍵で安全に取得した後の暗号秘密鍵の送信に基づいて生成され、前の暗号秘密鍵及び後の暗号秘密鍵は、交換されるべきメッセージの数を用いることにより送信される。第10の実施形態の有利な変更において、暗号秘密鍵は、1よりも多い伝送チャンネル上に送信され、これにより、鍵交換の安全性を更に強化する。
【0026】
第1〜第10の実施形態のうち少なくとも1つと組み合わせられ得る第11の実施形態によれば、本装置は、暗号秘密鍵の複数のビットを連結して複数のグループにし、各グループをサンプル符号のセットと比較し、最も密接にマッチングするサンプル符号に従ってグループを分類し、予め決められた閾値よりも高い信頼性で分類され得ないグループを拒絶するように構成され得る。これにより、ノイズによりもたらされた少数のビットエラーが回避され、共有秘密鍵が、共有データセットから良好に抽出され得る。
【0027】
本発明のこれら及び他の態様は、後述される実施形態から明らかになり、この実施形態を参照して説明されるだろう。
【図面の簡単な説明】
【0028】
【図1】第1の実施形態によるRSSIベースの乱数生成の信号図を示す。
【図2】異なる送信側で受信された典型的なRSSI値を示す概略図を示す。
【図3】第2の実施形態による後の組み合わせを伴う複数の鍵の伝送の信号図を示す。
【図4】第3の実施形態による、1よりも多いチャンネル上での前の鍵で安全に取得された鍵の伝送の信号図を示す。
【図5】本実施形態が実装され得る鍵分配システムのテレビ(TV)デバイスの概略的なブロック図を示す。
【図6】本実施形態が実装され得る鍵分配システムの遠隔制御デバイスの概略的なブロック図を示す。
【図7】第4の実施形態によるRSSIベースの乱数生成システムの双方の送信側でのハードウェア実装の概略的なブロック図を示す。
【図8】第5の実施形態によるRSSIベースの乱数生成システムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図9】第5の実施形態によるRSSIベースの乱数生成システムのTV側での鍵分配手順のフローチャートを示す。
【図10】第6の実施形態による複数鍵組み合わせシステムの遠隔制御側でのハードウェア実装の概略的なブロック図を示す。
【図11】第6の実施形態による複数鍵組み合わせシステムのTV側でのハードウェア実装の概略的なブロック図を示す。
【図12】第7の実施形態による複数鍵組み合わせシステムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図13】第7の実施形態による複数鍵組み合わせシステムのTV側での鍵分配手順のフローチャートを示す。
【図14】第8の実施形態による安全な複数チャンネルの複数鍵伝送システムの遠隔制御側でのハードウェア実装の概略的なブロック図を示す。
【図15】第8の実施形態による安全な複数チャンネルの複数鍵伝送システムのTV側でのハードウェア実装の概略的なブロック図を示す。
【図16】第9の実施形態による安全な複数チャンネルの複数鍵伝送システムの遠隔制御側での鍵分配手順のフローチャートを示す。
【図17】第9の実施形態による安全な複数チャンネルの複数鍵伝送システムのTV側での鍵分配手順のフローチャートを示す。
【発明を実施するための形態】
【0029】
以下、本発明の種々の実施形態が、遠隔制御デバイスとTVデバイスとの間の鍵分配に基づいて述べられる。
【0030】
本実施形態は、参加ノードの一方又は双方に、転送されるメッセージ数を変えることを許可するための2つの最初に述べたアプローチ(及び/又はこれらの変形)のいずれか又は双方の変更に向けられる。しかしながら、本発明は、これらのアプローチに限定されるものではなく、如何なる鍵分配メカニズムにも適用され得る。
【0031】
一実施例として、小さなソーラーパネルから給電されるTV遠隔制御は、例えば最大5のメッセージが鍵確立の間に交換されることを許可し得る。これは、標準的なデバイスよりも低いセキュリティを与えるが、電力が使い果たされる前に交換が完了することを可能にするだろう。
【0032】
他の実施例として、安全な関係を確立するTV及びデジタル多用途ディスク(DVD)プレーヤは、電力効率があまり重要ではなく、セキュリティ侵害に対する妨害がより重要であるので、例えば1000のメッセージを交換し得る。
【0033】
無線プロトコルに基づく実施形態は、転送されるメッセージの数Nに対する有効値の範囲を規定し得る。Nの典型的な値は、0から1000の範囲である。
【0034】
前記のRSSIベースの第1のアプローチに関して、設定N=0は、"共有秘密鍵"がゼロであることをもたらすだろう。128ビットの鍵を運ぶためにこの共有秘密鍵を使用することは、暗号化されていない鍵を送るのと同等であるだろう。
【0035】
XORベースの第2のアプローチに関して、設定N=1も、暗号化されていない鍵を送るのと機能的に同等であるだろう。
【0036】
第1の実施形態は、RSSIベースの共有秘密鍵の生成を用いた実施形態に向けられる。
【0037】
図1は、第1の実施形態のRSSIベースの鍵確立メカニズムの信号図を示している。第1のノード又はデバイスA(例えば遠隔制御)は、第2のノード又はデバイスB(例えばTV)との通信を開始する。各デバイスは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行することを許可される。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスAのボタンを押し、その逆もまた同様である。第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送り、第3のステップにおいて、第1のデバイスAは、ペイロードを含まないテストRSSIメッセージT_rssiを送る。第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信した受信テストRSSIメッセージT_rssiのRSSIを記録し、確認応答Ackを送る。第5のステップにおいて、第2のデバイスBは、ペイロードを含まないテストRSSIメッセージT_rssiを送る。第6のステップにおいて、第1のデバイスAは、受信テストRSSIメッセージT_rssiのRSSIを記録し、確認応答Ackを送る。そして、短遅延Dの後、各ノードがN個のメッセージを送受信するまで、第3から第6までのステップが繰り返される。
【0038】
予め決められた閾値Tよりも高いデータは"1"として分類され、その閾値Tよりも低いデータは"0"として分類される。そして、"限界(marginal)"RSSIデータが識別され、限界ビットのビットフィールドが生成される。第7のステップにおいて、第1のデバイスAは、限界ビットのビットフィールドを含む限界データメッセージMRを構成及び送信する。第8のステップにおいて、第2のデバイスBは、確認応答Ackを送る。そして、第9のステップにおいて、第2のデバイスBは、限界ビットのビットフィールドを含む限界データメッセージMRを構成及び送信する。最後の第10のステップにおいて、第1のデバイスAは、確認応答Ackを送る。
【0039】
さて、双方のデバイスA及びBは、例えば論理ORの組み合わせにより、限界ビットの2つのビットフィールドを組み合わせ、全てのRSSIサンプルを考慮した限界が、いずれかのデバイスにより拒絶される。残りの非限界ビットは、共有秘密鍵に連結される。オプション的に、この共有秘密鍵は、第1のデバイスAから第2のデバイスBに乱数を送るために用いられ得る。鍵は、他の鍵交換アルゴリズムにより確認され得る。
【0040】
メッセージが予想通りに受信されない場合には、送信端末は、タイムアウトになり、そのプロセスを中断し、ユーザは後にリトライしなければならない。
【0041】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表1】
確認応答メッセージAckのフォーマット
【表2】
テストRSSIメッセージT_rssiのフォーマット
【表3】
限界ビットメッセージのフォーマット
【表4】
【0042】
短遅延Dの後、双方のデバイスA及びBは、RSSI値のセットをもつ。これら2つのセットは相関されるが、概して、以下に示されるように同一ではない。
【0043】
図2は、異なる送信側、例えばデバイスA及びBで受信した典型的なRSSI値を示す概略図を示す。各RSSIサンプルは、(閾値Tよりも高い場合には)"1"及び(閾値Tよりも低い場合には)"0"として分類される。限界領域MRにおけるサンプルは、"限界"としてフラグ付けされる。これらのフラグ付けされたRSSIサンプルは、ハッチングが掛けられた円として示され、その一方で、黒色の円は、第2のデバイスBで受信したRSSIサンプルを示し、白色の円は、第1のデバイスAで受信したRSSIサンプルを示す。プロトコルは、デバイスA及びBのいずれかにより限界としてフラグ付けされた全てのサンプルを拒絶する。図2の前記の例において、双方のデバイスA及びデバイスBは、全ての非拒絶サンプルに同意し、値"0b110"の共有秘密鍵をもつ。
【0044】
種々の他のアルゴリズムが2つの相関されたデータセットから共有秘密鍵を抽出するために用いられ得ることが留意されるべきである。前記のものは、直接的な例として与えられる。
【0045】
1つの他の例は、信号バリエーション(例えば1=強くなる、0=弱くなる)の使用である。幾つかのアルゴリズムは、例えば高い、上部の、低い、底部のレベルの間に3つの閾値ラインをもつことにより、交換された各メッセージから1つよりも多いデータビットを抽出することができる。適用され得る他のアルゴリズムは、複数のビットのグループへの連結、及び、サンプル"シンボル"のセットをもつ各グループの比較をもたらす。グループは、最も密接にマッチするサンプルシンボルに応じて分類され得る。何れかの側で限界分類をもつグループ(即ち予め決められた閾値よりも高い信頼で分類され得ないグループ)は、ビット分類に対する同様の手法で双方の側により拒絶される。これは、ノイズによりもたらされた少数のビットエラーを回避することを支援し、共有データセットからの共有秘密鍵のより効率的な抽出を可能にする。
【0046】
これら及び他のアルゴリズムは、同一の手法において、交換されるメッセージの数Nを変える能力から恩恵を受けるだろう。
【0047】
図3は、第2の実施形態の後の組み合わせ(例えばXOR)による複数鍵の伝送の信号図を示している。第2の実施形態において、第1のデバイスA(例えば遠隔制御デバイス)は、第2のデバイス(例えばTV)との通信を開始する。各デバイスは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行するのを許可される。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスA上のボタンを押し、又は、その逆も同様である。
【0048】
第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送る。第3のステップにおいて、第1のデバイスAは、128ビットの乱数を生成し、その数を含む鍵素材メッセージKMを構成し、オプション的に削減された送信電力を用いて、鍵素材メッセージKMを第2のデバイスに送る。第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信したメッセージ中の乱数を記録し、確認応答Ackを送る。第3及び第4のステップは、第1のデバイスAがN個のメッセージを送るまで繰り返される。
【0049】
そして、双方のデバイスA及びBは、論理XORの態様で、数"0"を、順次送受信される各乱数と組み合わせる。それ故、2つのデバイスA及びBは共有秘密鍵を共有する。その後、取得した鍵は、他の鍵交換アルゴリズムにより確認され得る。
【0050】
デバイスは、所与のフレームに対する確認応答Ackを受信しない場合には、その後、例えばメディアアクセス制御(MAC)プロトコルに従ってリトライし得る。任意のフレームの全てのリトライが失敗した場合には、送信機は、そのプロセスを中断し、受信機は、最終的にはタイムアウトになり、そのプロセスを中断する。そして、ユーザは後にリトライし得る。
【0051】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表5】
確認応答メッセージAckのフォーマット
【表6】
鍵素材メッセージKMのフォーマット
【表7】
【0052】
第2の実施形態の前記手順は、開始鍵が暗号化されずに送られ、この後に次の鍵が前の鍵により保護されて送られるように変更されてもよい。これは、固定された回数又は可変回数繰り返される。この場合もやはり、任意の単一のメッセージを見逃す攻撃者は、最終的な鍵をもたないだろう。
【0053】
更なる変更として、チャンネルは、別個の鍵の伝送間において変更されてもよい。これは、攻撃者が簡素な無線スヌープデバイスしか備えない場合には、これらが典型的には単一のチャンネルで動作するので、攻撃者が全ての必要な鍵を取得するのをより困難にさせる。
【0054】
図4は、第3の実施形態の、1つよりも多いチャンネル上における前の鍵で保護された鍵の伝送の信号図を示している。この場合もやはり、第1のデバイスA(例えば遠隔制御)は、第2のデバイスB(例えばTV)との通信を開始する。デバイスA及びBのそれぞれは、幾つかのユーザインタラクションを通じて鍵交換プロトコルを実行することを許可され得る。例えば、ユーザは、第2のデバイスB上のボタンを押し、その後に第1のデバイスA上のボタンを押し、又は、その逆も同様である。
【0055】
第1のステップにおいて、第1のデバイスAは、交換するメッセージの数Nの指示を含む開始メッセージINIを送る。そして、第2のステップにおいて、第2のデバイスBは、確認応答Ackを送る。第3のステップにおいて、第1のデバイスAは、128ビットのランダム鍵knを生成し、新たなチャンネルをランダムに選択し、その鍵knと新たなチャンネルの番号ch1とを含む鍵輸送メッセージKMを構成し、オプション的に削減された送信電力を用いて、このメッセージを第2のデバイスBに送る。そして、第1のデバイスAは、確認応答Ackを待ち、新たなチャンネルに切り替える。
【0056】
第4のステップにおいて、第2のデバイスBは、第1のデバイスAから受信したメッセージ中の鍵を記録し、確認応答Ackを送り、新たなチャンネルに切り替える。第5のステップにおいて、第1のデバイスAは、他の128ビットのランダム鍵を生成し、他の新たなチャンネルを選択し、その鍵と新たなチャンネルの番号ch2とを含む鍵輸送メッセージKMを構成し、これを前に輸送された鍵を用いて保護し、オプション的に削減された送信電力を用いて、このメッセージを第2のデバイスBに送る。そして、第1のデバイスAは、確認応答Ackを待ち、新たなチャンネルに切り替える。
【0057】
第6のステップにおいて、第2のデバイスBは、確認応答Ackを送り、その後、受信したコマンドが適切に保護されたかどうかを確認する。適切に保護されたものである場合には、その後、第2のデバイスBは、メッセージからセキュリティを取り除き、そして、そのメッセージから新たな鍵を抽出し、これを記録する。そして、第2のデバイスBは、新たなチャンネルに切り替える。
【0058】
第5及び第6のステップは、第1のデバイスAがN個の鍵輸送メッセージを送るまで繰り返される。現在の鍵は、他の鍵交換アルゴリズムにより確認され、他の通信のために用いられる。デバイスが所与のフレームに対する確認応答Ackを受信しない場合には、その後、デバイスは、MACプロトコルに従ってこれをリトライし得る。任意のフレームの全てのリトライが失敗した場合には、送信機は、そのプロセスを中断し、受信機は、最終的にはタイムアウトになり、そのプロセスを中断する。そして、ユーザは後にリトライし得る。
【0059】
前記のメッセージ交換に関するとり得るフレームフォーマットは、以下のように構成され得る。
開始メッセージINIのフォーマット
【表8】
確認応答メッセージAckのフォーマット
【表9】
鍵輸送メッセージKMのフォーマット
【表10】
【0060】
他の実施形態のバリエーションが可能である。例えば、チャンネルは、連続チャンネル又は擬似ランダムシーケンスのような幾つかの予め設けられたスケジュールに従って変更されてもよい。
【0061】
更に、鍵の確認は、2つのデバイスA及びB間の鍵で保護されたメッセージを送り、他方からのメッセージが正しく保護されたという受信を確認することにより実行され得る。
【0062】
図5は、本発明の実施形態が実行され得る鍵分配システムのTVデバイスの概略的なブロック図を示している。TVデバイスは、スクリーン又はディスプレイ(例えば、液晶ディスプレイ(LCD)等)10、ディスプレイドライバ11、制御ボタンを備えたフロントパネルキーパッド12、他のオーディオ及びビデオ入力14、チューナ15、電源16、揮発性メモリ(例えば、ランダムアクセスメモリ(RAM))17、不揮発性メモリ(例えばフラッシュメモリ)18、中央処理ユニット(CPU)19、及び、アンテナ21が接続された送受信機20を有する。これらの部品の間の接続は通信ライン(例えばシステムバス)13により実現される。
【0063】
動作において、メディアデータは、チューナ15及び他のオーディオ/ビデオ入力14を介して入力される。メディアデータは、ディスプレイドライバ11を介してディスプレイ10に出力される。ディスプレイ10とディスプレイドライバ11との間のインタフェースは、TVの制御及び設定のために用いられ得る。CPU19は、制御ソフトウェアを実行し、本発明の実施形態のメカニズムを提供する。送受信機20は、例えばIEEE 802.15.4 MACプロトコルを実行し得る。これは、IEEE 802.15.4 PHYレイヤプロトコルを実行してもよい。フロントパネルキーパッド12は、本実施形態においては鍵確立の開始と呼ばれるボタンをもち得る。メモリ17及び18は、制御ソフトウェアを格納するため、及び、IEEE 802.15.4スタックを実行するために用いられ得る。
【0064】
図6は、本発明の実施形態が実行され得る鍵分配システムの遠隔制御デバイスの概略的なブロック図を示している。
【0065】
遠隔制御デバイスは、制御ボタンを備えたキーパッド22、電源24、揮発性メモリ(例えばランダムアクセスメモリ(RAM))25、不揮発性メモリ(例えばフラッシュメモリ)26、中央処理ユニット(CPU)27、及び、アンテナ29が接続された送受信機28を有する。これらの部品間の接続は、通信ライン(例えばシステムバス)23により実現される。
【0066】
キーパッド22は、ユーザが押し得るボタンを表す。これは、本発明の実施形態において述べられた、鍵確立を開始するためのボタンを含み得る。CPU27は、制御ソフトウェアを実行し、本発明の実施形態のメカニズムを提供し得る。送受信機28は、IEEE 802.15.4 MACプロトコルを実行し得る。これは、IEEE 802.15.4 PHYレイヤプロトコルを実行してもよい。メモリ25及び26は、制御ソフトウェアを格納するため、及び、IEEE 802.15.4スタックを実行するために用いられ得る。
【0067】
図7は、第4の実施形態のRSSIベースの乱数生成システムの双方の送信側でのハードウェア実装の概略的なブロック図を示している。図7に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)33は、カウンタ(C)30及びメモリ(MEM)31にアクセスでき、開始ボタン(IB)32により制御され得る。制御論理33は、許可された繰り返し数Nの出力値をメモリ31に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ30を制御する。カウンタ30のカウント値とメモリ31に格納された数Nの値との比較に基づいて、制御論理33は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理33は、RSSI分類回路又はブロック(RSSI−C)34、及び、RSSI分類ブロック34からの情報を受信する鍵生成回路又はブロック(KG)35を制御する。入力/出力信号は、送受信機(TRX)36及びアンテナ38を介して受信/送信される。送受信機36からRSSIサンプルを受信したRSSI測定回路又はブロック(RSSI−M)37は、これらを測定し、測定結果をRSSI分類ブロック34に転送する。送受信機により受信したRSSIサンプルは、図1及び図2と組み合わせて前述された手順と同様の測定結果を分類するRSSI分類ブロック34で予め決められた閾値Tと比較される。N個のRSSIサンプルの分類に基づいて、鍵生成ブロック35は共有秘密鍵を生成する。
【0068】
図8は、第5の実施形態のRSSIベースの鍵確立システムの遠隔制御側での鍵分配手順のフローチャートを示している。図8の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0069】
ステップS100において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS101において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS102において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ103において、遠隔制御デバイスは、テストRSSI(例えば図1の"T_rssi")メッセージを、制御されたTVに送り、確認応答を待つ。そして、ステップS104において、遠隔制御デバイスは、制御されたTVからのテストRSSIメッセージを待つ。その後、ステップS105において、遠隔制御デバイスは、受信したRSSIサンプルを記録し、確認応答を送る。ステップS106における短遅延の後、遠隔制御デバイスは、ステップ107において、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの数Nが依然として受信されてない場合には、本手順は、次のテストRSSIメッセージを送るためにステップS103に戻る。そうでなければ、メッセージの数Nが受信された場合には、ステップS108において、記録されたRSSIサンプル又は値が分類され、限界ビットが識別される。そして、ステップS109において、限界データメッセージが制御TVに送られ、これの確認応答が待たれる。後のステップS110において、遠隔制御デバイスは、制御されたTVからの限界データメッセージを待ち、その受信の後に確認応答を送る。ステップS111において、限界ビットフィールドがOR結合され、全ての限界ビットが拒絶される。追加的に、残りの非限界ビットが共有秘密鍵を形成するために連結される。ステップS112において、ランダム鍵が生成され、共有秘密鍵を用いることにより保護され、制御されたTVに送られる。ステップS113において、遠隔制御デバイスは、幾つかのメッセージを生成し、ランダム鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS114において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS115において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを送るためにステップS102に戻る。そうでなければ、ステップS115において、セキュリティがOKであることが決定された場合には、ステップS116において、鍵確立が終了することが結論付けられる。
【0070】
図9は、第5の実施形態のRSSIベースの鍵確立システムのTV側での鍵分配手順のフローチャートを示している。図9の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0071】
ステップS200において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS201において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待ち、その受信後に確認応答を送る。ステップS202において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS203において、TVデバイスは、テストRSSIメッセージを待ち、その受信後にRSSI値を記録し、確認応答を待つ。ステップS204において、TVデバイスは、テストRSSIメッセージを遠隔制御デバイスに送り、確認応答を待つ。そして、ステップS205において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの信号数Nが依然として受信されていない場合には、本手順は、次のテストRSSIメッセージを待つためにステップS203に戻る。そうでなければ、メッセージの数Nが受信された場合には、ステップS206において、記録されたRSSIサンプル又は値が分類され、限界ビットが識別される。そして、ステップS207において、TVデバイスは、遠隔制御デバイスにより送られた限界データメッセージを待ち、その受信後に確認応答を送る。後のステップS208において、TVデバイスは、限界データメッセージを遠隔制御デバイスに送り、確認応答を待つ。ステップS209において、限界ビットフィールドがOR結合され、全ての限界ビットが拒絶される。追加的に、残りの非限界ビットが共有秘密鍵を形成するために連結される。ステップS210において、TVデバイスは、共有秘密鍵で保護された遠隔制御からのメッセージを待ち、セキュリティを取り除き、運ばれた鍵を記録する。ステップS211において、TVデバイスは、記録された鍵で保護された遠隔制御デバイスからのメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS212において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを待つためにステップS201に戻る。そうでなければ、ステップS212において、セキュリティがOKであることが決定された場合には、TVデバイスは、ステップS213において、幾つかのメッセージを生成し、記録された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップ214において、鍵確立が終了することが結論付けられる。
【0072】
図10は、第6の実施形態の複数鍵組み合わせシステムの遠隔制御側でのハードウェア実装の概略的なブロック図を示している。図10に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)43は、カウンタ(C)40及びメモリ(MEM)41にアクセスでき、開始ボタン(IB)42により制御され得る。制御論理43は、許可された繰り返し数Nの出力値をメモリ41に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ40を制御する。カウンタ40のカウント値とメモリ41に格納された数Nの値との比較に基づいて、制御論理43は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理43は、乱数生成回路又はブロック(RNG)44、素材を入力するための鍵ストレージ又は鍵メモリ(KMEM)45、及び、鍵生成のためのXOR組み合わせ回路又はブロック47を制御する。入力/出力信号は、送受信機(TRX)46及びアンテナ48を介して受信/送信される。乱数生成ブロック44は、乱数を生成し、これらを、制御されたTVデバイスへの送信のための送受信機46に供給する。生成され信号化された乱数は、鍵メモリ45にメモリされるか又は記録され、共有秘密鍵を生成するためにXOR組み合わせブロック47でXOR結合される。
【0073】
図11は、第6の実施形態の複数鍵組み合わせシステムのTV側でのハードウェア実装の概略的なブロック図を示している。図11に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)53は、カウンタ(C)50及びメモリ(MEM)51にアクセスでき、開始ボタン(IB)52により制御され得る。制御論理53は、許可された繰り返し数Nの受信値をメモリ51に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ50を制御する。カウンタ50のカウント値とメモリ51に格納された数Nの値との比較に基づいて、制御論理53は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理53は、素材を入力するための鍵ストレージ又は鍵メモリ(KMEM)55、及び、鍵生成のためのXOR組み合わせ回路又はブロック57を制御する。入力/出力信号は、送受信機(TRX)56及びアンテナ58を介して受信/送信される。遠隔制御デバイスから送受信機56により受信した乱数は、鍵メモリ55にメモリされるか又は記録され、共有秘密鍵を生成するためにXOR組み合わせブロック47でXOR結合される。
【0074】
図12は、第7の実施形態の複数鍵組み合わせシステムの遠隔制御側での鍵分配手順のフローチャートを示している。図12の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0075】
ステップS300において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS301において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS302において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ303において、遠隔制御デバイスは、128ビットの乱数を生成し、ステップ304において、鍵素材メッセージにおけるこれを、制御されたTVに送り、確認応答を待つ。そして、ステップS305において、遠隔制御デバイスは、メッセージの信号数Nが送信されたかどうかを確認する。メッセージの数Nが依然として送信されてない場合には、本手順は、新たな乱数を生成するためにステップS303に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS306において、共有秘密鍵を形成するために、送信された乱数がXOR結合される。そして、ステップS307において、遠隔制御デバイスは、幾つかのメッセージを生成し、生成された鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS308において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS309において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを送るためにステップS302に戻る。そうでなければ、ステップS309において、セキュリティがOKであることが決定された場合には、ステップS310において、鍵確立が終了することが結論付けられる。
【0076】
図13は、第7の実施形態の複数鍵組み合わせシステムのTV側での鍵分配手順のフローチャートを示している。図13の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0077】
ステップS400において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS401において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待つ。ステップS402において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS403において、TVデバイスは、遠隔制御デバイスからの鍵素材メッセージを待ち、その受信後に確認応答を送る。そして、ステップS404において、TVデバイスは、遠隔制御デバイスから受信した128ビットの乱数を記録する。ステップS405において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの信号数Nが依然として送信されていない場合には、本手順は、新たな鍵素材メッセージを待つためにステップS403に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS406において、共有秘密鍵を形成するために、受信した乱数がXOR結合される。ステップS407において、TVデバイスは、生成された鍵で保護された遠隔制御デバイスからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS408において、セキュリティがOKではないことが決定された場合には、本手順は、新たな開始メッセージを待つためにステップS401に戻る。そうでなければ、ステップS408において、セキュリティがOKであることが決定された場合には、TVデバイスは、ステップS409において、幾つかのメッセージを生成し、生成された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップS410において、鍵確立が終了することが結論付けられる。
【0078】
図14は、第8の実施形態の保護された複数チャンネル複数鍵伝送システムの遠隔制御側でのハードウェア実装の概略的なブロック図を示している。図14に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)73は、カウンタ(C)70及びメモリ(MEM)71にアクセスでき、開始ボタン(IB)72により制御され得る。制御論理73は、許可された繰り返し数Nの送信値をメモリ71に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ70を制御する。カウンタ70のカウント値とメモリ71に格納された数Nの値との比較に基づいて、制御論理73は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理73は、乱数生成回路又はブロック(RNG)74、及び、ワーキング鍵のためのワーキング鍵ストレージ又はワーキング鍵メモリ(WKMEM)75を制御する。入力/出力信号は、送受信機(TRX)76及びアンテナ78を介して受信/送信される。乱数生成ブロック74は、乱数を生成し、これらを、制御されたTVデバイスへの送信のための送受信機76に供給する。生成され信号化された乱数は、共有秘密鍵を生成するためにワーキング鍵メモリ75にメモリされるか又は記録される。追加的に、制御論理73は、出力/入力信号を送信/受信するために送受信機76により用いられたチャンネルを制御するチャンネル変更回路又はブロック77を制御する。
【0079】
図15は、第8の実施形態の保護された複数チャンネル複数鍵伝送システムのTV側でのハードウェア実装の概略的なブロック図を示している。図15に示されたブロックは、回路基板上に設けられるか又は単一若しくは複数のチップデバイス上に一体化されたモジュールに実装された別個のハードウェア回路として実装され得る。ソフトウェア制御されたCPUとして又は別個の論理回路として実現され得る制御論理(CTRL)83は、カウンタ(C)80及びメモリ(MEM)81にアクセスでき、開始ボタン(IB)82により制御され得る。制御論理83は、許可された繰り返し数Nの受信値をメモリ81に格納し、鍵確立の間において受信又は送信したメッセージの数をカウントするようにカウンタ80を制御する。カウンタ80のカウント値とメモリ81に格納された数Nの値との比較に基づいて、制御論理83は、許可された繰り返し数に達したかどうかを決定し得る。更に、制御論理83は、ワーキング鍵のための鍵ストレージ又は鍵メモリ(WKMEM)85を制御する。入力/出力信号は、送受信機(TRX)86及びアンテナ88を介して受信/送信される。遠隔制御デバイスから送受信機86により受信した乱数又は鍵は、共有秘密鍵を生成するためにワーキング鍵メモリ85にメモリされるか又は記録される。追加的に、制御論理83は、出力/入力信号を送信/受信するために送受信機86により用いられたチャンネルを制御するチャンネル変更回路又はブロック87を制御する。
【0080】
図16は、第9の実施形態の保護された複数チャンネル複数鍵伝送システムの遠隔制御側での鍵分配手順のフローチャートを示している。図16の手順は、例えば図6のCPU27を制御するソフトウェアルーチンとして実行され得る。
【0081】
ステップS500において、鍵確立のための開始ボタンが遠隔制御デバイス上で押される。そして、ステップS501において、暗号鍵又は秘密鍵を生成するために用いられる繰り返し数又はメッセージの数Nの値が選択される。これは、暗号化されるべきデータのタイプ(例えば保護された伝送の特定のアプリケーション)、又は、個別のユーザ、製造者若しくはオペレータの設定に基づいて実現され得る。ステップS502において、数Nの選択された値を含む開始メッセージが、遠隔制御デバイスにより制御されるべきTVに送られ、遠隔制御デバイスは、TVからの確認応答を待つ。後のステップ503において、遠隔制御デバイスは、128ビットの乱数を生成し、ステップ504において、ランダムチャンネル番号を生成する。そして、ステップS505において、遠隔制御デバイスは、ワーキング鍵で保護された鍵輸送メッセージを、制御されたTVに送り、確認応答を待つ。次のステップS506において、遠隔制御デバイスは、前で選択された新たなチャンネルに変更する。ステップS507において、遠隔制御デバイスは、ワーキング鍵を、受信した乱数の値又はパターンに設定し、その後、ステップS508において、メッセージの信号数Nが送信されたかどうかを確認する。メッセージの数Nが依然として送信されてない場合には、本手順は、新たな乱数を生成するためにステップS503に戻る。そうでなければ、メッセージの数Nが送信された場合には、ワーキング鍵がこのTVと共有されるように、ステップS509においてワーキング鍵が格納される。ステップS510において、遠隔制御デバイスは、幾つかのメッセージを生成し、格納された鍵を用いてこれを保護し、制御されたTVにこれを送る。そして、ステップS511において、遠隔制御デバイスは、制御されたTVからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS512において、セキュリティがOKではないと決定された場合には、本手順は、新たな開始メッセージを送るためにステップS502に戻る。そうでなければ、ステップS512において、セキュリティがOKであると決定された場合には、ステップS513において、鍵確立が終了することが結論付けられる。
【0082】
図17は、第9の実施形態の保護された複数チャンネル複数鍵伝送システムのTV側での鍵分配手順のフローチャートを示している。図17の手順は、例えば図5のCPU19を制御するソフトウェアルーチンとして実行され得る。
【0083】
ステップS600において、鍵確立のための開始ボタンがTVデバイスで押される。そして、ステップS601において、TVデバイスは、遠隔制御デバイスからの開始メッセージを待つ。ステップS602において、鍵生成のための繰り返し数を設定するために、繰り返し数又はメッセージの数Nの受信値が記録される。後のステップS603において、TVデバイスは、遠隔制御デバイスからの鍵輸送メッセージを待ち、その受信後に確認応答を送り、受信したメッセージからセキュリティを取り除く。そして、ステップS604において、TVデバイスは、受信したメッセージから取り出された128ビットの乱数を記録し、ステップS605において、TVデバイスは、受信したメッセージから取り出されたチャンネル番号を記録する。ステップS606において、TVデバイスは、遠隔制御デバイスから信号伝送される新たなチャンネルに変更し、ステップS607において、ワーキング鍵を、送信された乱数の値に設定する。ステップS608において、TVデバイスは、メッセージの信号数Nが受信されたかどうかを確認する。メッセージの数Nが依然として送信されていない場合には、本手順は、新たな鍵輸送メッセージを待つためにステップS603に戻る。そうでなければ、メッセージの数Nが送信された場合には、ステップS609において、ワーキング鍵がこの遠隔制御デバイスと共有されるように、ワーキング鍵が格納される。ステップS610において、TVデバイスは、格納された鍵で保護された遠隔制御デバイスからの安全なメッセージを待ち、この受信したメッセージのセキュリティがOKであるかどうかを確認する。ステップS611において、セキュリティがOKではないと決定された場合には、本手順は、新たな開始メッセージを待つためにステップS601に戻る。そうでなければ、ステップS611において、セキュリティがOKであると決定された場合には、TVデバイスは、ステップS612において、幾つかのメッセージを生成し、格納された鍵を用いてこれを保護し、これを遠隔制御デバイスに送る。そして、ステップS613において、鍵確立が終了することが結論付けられる。
【0084】
要約すると、暗号秘密鍵を生成している間に交換されるべきメッセージの数が繰り返し数の設定値に基づいて変えられ得るように繰り返し数の値が個別に設定される、暗号秘密鍵分配を実行するための装置及び方法が述べられた。
【0085】
本発明は、前記の実施形態に限定されるものではなく、遠隔制御デバイスとTVデバイスとの間だけではなく、ネットワークにおけるデバイス間の安全な輸送メカニズムを提供するために、任意のタイプのアプリケーションにおける任意の鍵分配スキームに対して用いられ得ることに留意されたい。鍵の管理は、簡素で透明的に維持され得る。それ故、消費者体験に対する影響を最小にする。
【0086】
前記RSSIベースの実施形態のLQIベースの変更実施例において、例えば繰り返し数Nの提案された信号伝送に続く無線又は無線周波数(RF)リンクで交換されるダミーパケットから、同一の鍵が双方のデバイス上に生成されてもよい。(最低限のデータの)肯定応答パケットがデバイス間で交換され、リンク品質が各パケット交換に対して測定される。経時的なLQIの変化から鍵が生成されてもよい。リンク品質の経時的な変化は、少なくとも1つのノードの移動により、又は、2つのデバイス間の物理的環境を変えることにより、"強化"され得る。
【0087】
開示された実施形態に対するバリエーションは、図面、開示及び特許請求の範囲の研究から、当業者により理解され達成され得る。請求項において、"有する"という用語は、他の要素又はステップを除外するものではなく、単数表記は、複数の要素又はステップを除外するものではない。単一のプロセッサ又は他のユニットが、図7〜17の機能及び請求項に記載された幾つかのアイテムを充足してもよい。特定の手段が相互に異なる従属請求項に記載されるという単なる事実は、これらの手段の組み合わせが有利に用いられ得ないことを示すものではない。請求項に記載された方法に係る特徴を実行するようにプロセッサを制御するために用いられるコンピュータプログラムは、他のハードウェアと一緒に又はその部分として供給される光学格納媒体又はソリッドステート媒体のような適切な媒体に格納/分配されてもよく、インターネット又は他の有線若しくは無線通信システムを介するような他の形式で分配されてもよい。請求項における如何なる参照符号も、その範囲を限定するものとして考慮されるべきではない。
【特許請求の範囲】
【請求項1】
暗号秘密鍵を用いてデータを安全に送信又は受信するための装置であって、
繰り返し数を設定するための設定機能を与える設定ユニットと、
前記繰り返し数に基づいて、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数を制御する鍵生成コントローラとを有する、装置。
【請求項2】
前記設定ユニットは、鍵確立の開始に応答して前記繰り返し数を生成又は供給する、請求項1に記載の装置。
【請求項3】
前記設定ユニットは、当該装置での入力動作に基づいて前記繰り返し数を生成する、請求項1に記載の装置。
【請求項4】
前記設定ユニットは、前記データのタイプに基づいて前記繰り返し数を生成する、請求項1に記載の装置。
【請求項5】
前記設定ユニットは、前記繰り返し数を他の送信側から受信する、請求項1に記載の装置。
【請求項6】
当該装置は、前記繰り返し数を他の送信側に送信する送信部を有する、請求項1に記載の装置。
【請求項7】
繰り返し値を格納するメモリを更に有する、請求項1に記載の装置。
【請求項8】
前記暗号秘密鍵を生成している間に交換されるべきメッセージの数をカウントするカウンタを更に有する、請求項1に記載の装置。
【請求項9】
当該装置は、交換されるべきメッセージの数から得られたランダムに生成された数の組み合わせに基づいて、前記暗号秘密鍵を生成する、請求項1に記載の装置。
【請求項10】
前記組み合わせは、排他的ORの組み合わせである、請求項9に記載の装置。
【請求項11】
暗号秘密鍵を用いて暗号化データを送信又は受信するための方法であって、
繰り返し数を設定するための設定機能を与えるステップと、
前記繰り返し数に基づいて、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数を制御するステップとを有する、方法。
【請求項12】
暗号秘密鍵を分配するためのシステムであって、
前記繰り返し数を送信する、請求項1に記載の装置をもつ少なくとも1つの第1のデバイスと、
送信された繰り返し数を受信し、受信した繰り返し数に基づいて前記暗号秘密鍵を生成する少なくとも1つの第2のデバイスとを有する、システム。
【請求項13】
コンピュータデバイスを実行するときに請求項11に記載の方法のステップをもたらすコード手段を有する、コンピュータプログラム。
【請求項1】
暗号秘密鍵を用いてデータを安全に送信又は受信するための装置であって、
繰り返し数を設定するための設定機能を与える設定ユニットと、
前記繰り返し数に基づいて、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数を制御する鍵生成コントローラとを有する、装置。
【請求項2】
前記設定ユニットは、鍵確立の開始に応答して前記繰り返し数を生成又は供給する、請求項1に記載の装置。
【請求項3】
前記設定ユニットは、当該装置での入力動作に基づいて前記繰り返し数を生成する、請求項1に記載の装置。
【請求項4】
前記設定ユニットは、前記データのタイプに基づいて前記繰り返し数を生成する、請求項1に記載の装置。
【請求項5】
前記設定ユニットは、前記繰り返し数を他の送信側から受信する、請求項1に記載の装置。
【請求項6】
当該装置は、前記繰り返し数を他の送信側に送信する送信部を有する、請求項1に記載の装置。
【請求項7】
繰り返し値を格納するメモリを更に有する、請求項1に記載の装置。
【請求項8】
前記暗号秘密鍵を生成している間に交換されるべきメッセージの数をカウントするカウンタを更に有する、請求項1に記載の装置。
【請求項9】
当該装置は、交換されるべきメッセージの数から得られたランダムに生成された数の組み合わせに基づいて、前記暗号秘密鍵を生成する、請求項1に記載の装置。
【請求項10】
前記組み合わせは、排他的ORの組み合わせである、請求項9に記載の装置。
【請求項11】
暗号秘密鍵を用いて暗号化データを送信又は受信するための方法であって、
繰り返し数を設定するための設定機能を与えるステップと、
前記繰り返し数に基づいて、前記暗号秘密鍵を生成している間に交換されるべきメッセージの数を制御するステップとを有する、方法。
【請求項12】
暗号秘密鍵を分配するためのシステムであって、
前記繰り返し数を送信する、請求項1に記載の装置をもつ少なくとも1つの第1のデバイスと、
送信された繰り返し数を受信し、受信した繰り返し数に基づいて前記暗号秘密鍵を生成する少なくとも1つの第2のデバイスとを有する、システム。
【請求項13】
コンピュータデバイスを実行するときに請求項11に記載の方法のステップをもたらすコード手段を有する、コンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公表番号】特表2011−530924(P2011−530924A)
【公表日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2011−522576(P2011−522576)
【出願日】平成21年8月6日(2009.8.6)
【国際出願番号】PCT/IB2009/053427
【国際公開番号】WO2010/018493
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成21年8月6日(2009.8.6)
【国際出願番号】PCT/IB2009/053427
【国際公開番号】WO2010/018493
【国際公開日】平成22年2月18日(2010.2.18)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]