CN101523796A - 用于使用广播的随机噪声来增强无线装置的加密能力的方法和系统 - Google Patents

Abstract

秘密比特流是通过在发射/接收单元上接收无线通信信号中包含的公共随机流而开始的。该公共随机流将被采样，并且特定比特是依照公共共享密钥而被提取的。这些提取的比特被用于创建更长的秘密流。所述公共共享密钥可以使用JRNSO技术来产生，或者在通信会话之前提供给发射/接收单元。作为替换，一个发射/接收单元被假设强于任何潜在窃听者的。在这种情况下，强大的发射/接收单元可以广播和存储公共随机流。较弱的发射/接收单元则选择广播的选择随机比特，以便创建密钥。所述较弱的发射/接收单元向强大的发射/接收单元发送选定的比特数，并且强大的发射/接收单元使用该随机数来产生由较弱的发射/接收单元创建的密钥。

Description

用于使用广播的随机噪声来增强无线装置的加密能力的方法和系统

技术领域

本发明涉及无线通信。

背景技术

密码理论最新的进展展示的是在假设攻击者/窃听者的存储能力有限(虽然可能很大)的情况下，如何从可供公众访问的随机源产生信息论上的密钥。由于无线通信介质具有固有的广播特性，因此，这些进展非常适合在无线通信系统的密钥生成中使用。

一种从互易无线通信信道固有的相关中产生公共密钥的方法已然存在并且已经在一些共同未决并且共同转让的美国专利申请中公开，这些专利包括：2006年9月21日提交的美国专利申请60/826,848；2005年12月20日提交的美国专利申请60/751,803；2006年7月7日提交的美国专利申请60/819,023；2006年5月31日提交的美国专利申请11/444,558；2006年1月26日提交的美国专利申请11/339,958。这种密钥方法使用了无线节点间的唯一信道响应的独占式联合随机性(JRNSO)特性。但是，使用这种方法产生的随机性通常是低速率的，并且具有相对特定应用。

信息论上的安全性可以在假设窃听者存储器有限的情况下从随机公共(由此完全是没有秘密的)源推导得到。图1显示的是无线系统的实例，在该无线系统中，基于约束存储器的信息论密钥可被用于保护爱丽丝(Alice)与鲍勃(Bob)之间的通信不被伊夫(Eve)发现。该进程包含了两个步骤，即对随机信息流进行采样以及从采样的数据中提取“纯粹秘密”。为了全面理解这种数学计算，可以使用下列符号：

T：会话的总持续时间

α：公共流速率

β：输入随机性/密钥速率

γ：合法的各方(爱丽丝/鲍勃)对公共流进行采样的平均/缓冲速率。如果它们是以不同速率读取的，那么该值是两者的最小值。

N：在会话中可用的总数据

N＝aT                (1)

k：共享密钥的长度

k＝βT                (2)

n：爱丽丝和鲍勃可以共同采样的比特总数

n＝γT                (3)

n₀：针对逐块算法爱丽丝和鲍勃在每个块上能够采样的比特总数。由于我们在选择块长(也就是选择T)方面具有自由度，因此，在不丧失一般性的情况下，我们假设n/n₀和N/(n/n₀)是整数。

$N_0=\frac{N}{n/n_0}$ —用于逐块算法的每个块中的比特总数

b：总数据中假设能被攻击者(伊夫)存储的部分(即0<b<1)。这是在分析中使用的参数。

G：攻击者的实际存储能力。这是事情的实际状态。G与b之间的关系将会确定产生问题的限制因素。

G＝bN                 (4)

a：实施补偿参数。它是因为具有有限的块长度、未使用理论上理想的采样器等原因所导致的实施损耗。

ε：在算法进程中出错的概率(爱丽丝和鲍勃无法达到联合随机性或者没有对伊夫保密的概率)。

l：除了开始时可用的k个比特之外由爱丽丝和鲍勃产生的秘密比特的总数。

采样进程是用以确保产生随机性的关键过程。该进程是在名为会话的预定义时间间隔中进行的，并且其中每个会话都具有持续时间T。由此，会话过程中的数据可以被视为是长度为N的块。

在图2的实例中，爱丽丝和鲍勃采用了一种不为伊夫所知的方法来对公共随机流进行采样，直至会话结束。此外，在考虑了伊夫的有限存储能力的情况下，采样进程应该采用这样一种方法来进行，其中无论伊夫利用的是何种选择性存储策略，在采样过程结束时，伊夫都不可能存储所有的已采样比特。由于伊夫知道她无法存储完整的流，因此，伊夫窃听的最佳选择是有选择地采样比特，并且希望她保留的比特与爱丽丝和鲍勃采样的比特相同。爱丽丝和鲍勃并不知道伊夫的采样策略，然而也没有选择自己的采样策略，由此至少他们的某些数据有可能未被伊夫所存储。

为了实现这个目的，爱丽丝和鲍勃都必须随机采样，由此必须具有某种途径来约定如何对相同比特随机采样，由此至少在会话结束之前他们对伊夫而言是完全保密的。为了实现这个实例的目的，假设这种输入随机性只在每个会话的有限速率β上或者k比特的有限块中对爱丽丝和鲍勃可用。

此外，爱丽丝和鲍勃自身也有可能受到以下限制：他们所能存储的信息：代表其限度最小值的参数n；或者他们平均的采样频繁度：代表其平均采样速率最小值的参数γ。

由此，用于爱丽丝和鲍勃的采样过程的一个很简单的实例是如下进行的：(1)爱丽丝和鲍勃将会话拆分成n/n₀个子会话，并且在每个子会话中他们采样n₀个比特；(2)然后，共享随机比特被用于定义位置。例如，爱丽丝和鲍勃以大小为 $N_0=\frac{N}{n/n_0}$ 的N₀个比特的块划分公共随机数据的N比特的子会话。然后，爱丽丝和鲍勃使用其随机共享密钥在每个子会话中选择相同的n₀个位置。由于每个位置的索引都需要log N₀个比特，因此总共需要的比特是n₀log N₀个。由此，这个实例的第一个要求是k>n₀ log N₀。由于提取进程需要k个可用随机比特，并且这些比特不能重新用于采样，因此这个不等式实际是很严格的。

应该指出的是，虽然每一个单独子会话的大小可以小于伊夫的存储限度(也就是说，我们允许N₀<G)，但是整体限制因素N>G仍旧应该保持。此外，如果想要显示用于对流进行采样的比特，在完成会话之前，这些比特是不会显示的。

虽然上述采样方法由于其简单性和相对良好的性能而较为优越，但是在本领域中，用于约束存储模型(BSM)问题的其他采样方法同样是已知的。

如适用于图1的实例，提取是从局部信息已为对手所知的完全随机比特中选取X个的问题。已知信息将被量化成不超过Y个比特(熵)。之后的问题是提取完全对对手保密的(X-Y)个比特。

存在多种方法，所有这些方法全都需要使用一定数量的对对手保密或者显示的完全共享随机性。通常需要如下所示的提取比特的数量：

提取比特的数量＝log n+log1/ε         (5)

其中ε是提取进程中固有的差错。这里的任何示例性计算都会用到这个值；当然，实际实施可以根据实际使用的技术而改变。

尽管如此，但众所周知约束存储模型(BSM)将只执行数学运算，因此，目前需要一种用于执行BSM秘密生成的实际实施。关于上述示例，提供一种用于向爱丽丝和鲍勃提供很短的公共密钥的方法以及一种可靠的公共随机源将会是有益的。

发明内容

用于产生秘密比特流的进程是通过在发射/接收单元上接收无线通信信号中包含的公共随机流而开始的。该公共随机流将被采样，并且特定的比特是根据公共共享密钥而被提取的。所提取的比特被用于创建更长的秘密流。该公共随机流可以从对其他无线通信系统进行采样中产生，其中举例来说，该无线通信系统可以是陆地或卫星电视(TV)，陆地或卫星无线电，其他的单向、双向或联网无线电通信或传感器系统；或者作为替换，公共随机性也可以为了提供公共随机信号的目的而被广播。共享的公共保密性可以使用JRNSO技术来产生，或者可以在通信会话之前提供给发射/接收单元。

在另一个实施例中，假设一个发射/接收单元相对于任何潜在窃听者来说都具有更强大。在这种情况下，强大的发射/接收单元可以广播并存储这个无法被窃听者全部存储的公共随机流。较弱的发射/接收单元可以使用随机数生成器来选择广播的随机数，以便采样和创建密钥。在广播结束之后，较弱的发射/接收单元会将随机数发射到强大的发射/接收单元，并且所述强大的发射/接收单元使用这个随机数来产生与较弱的发射/接收单元所创建的相同的密钥。最后，BSM进程是使用该密钥执行的，以便产生秘密流。

附图说明

从以下关于优选实施例的描述中可以更详细地了解本发明，这些优选实施例是作为实例给出的，并且是结合附图而被理解的，其中：

图1显示的是通信实体和随机公共源的配置；

图2显示的是使用约束存储技术的密钥生成的示例过程；

图3显示的是为强密钥生成产生约束存储模型秘密的示例过程；

图4显示的是根据第一方案的用于共享密钥生成的间隔的必要时间的下限；

图5显示的是根据第一方案的用于共享密钥生成的最终比特率；

图6显示的是根据第二方案的用于共享密钥生成的间隔的必要时间的下限；

图7显示的是根据第二方案的用于共享密钥生成的最终比特率；

图8显示的是使用公共存储密钥的用于BSM秘密生成进程的示例过程；

图9显示的是在鲍勃比伊夫更强大的情况下的用于BSM秘密生成进程的示例过程。

具体实施方式

下文引用的术语“无线发射/接收单元(WTRU)”包括但不局限于用户设备(UE)、移动站、固定或移动签约用户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或是其他任何能在无线环境中工作的用户设备。下文引用的术语“基站”包括但不局限于节点B、站点控制器、接入点(AP)或是其他任何能在无线环境中工作的接口设备。

图3显示的是在发射/接收单元300中执行的使用JRNSO来执行BSM秘密生成以便提供公共密钥的示例进程300。这个进程可以由任何一对共享无线信道并且具有足够互易性以产生JRNSO的通信设备来执行。特别地，发射/接收单元必须与另一个发射/接收单元共享公共无线通信信道，其中该无线通信信道具有在从爱丽丝向鲍勃的方向进行观察以及从鲍勃向爱丽丝的方向进行观察的时候相关的随机动态脉冲响应(参考图1)；用于执行信道估计的装置；以及产生公共随机性的能力。关于这些发射接收单元的实例包括：(1)蜂窝网络中的WTRU和基站；(2)IEEE802.xx无线网络中的终端和接入点；(3)两个对等装置；或者(4)传感器网络中需要安全通信的一对传感器。作为替换，安全的、潜在间歇性的、有线信道同样是可以存在的，并且该信道允许低速率秘密的共享。

在图3中，在步骤310，产生秘密比特流的进程是以在附加在天线的标准调制解调器中接收的无线通信信号中包含的公共随机流为开始的。在步骤320，将对信号执行无线信道测量，以便执行JRNSO所需要的测量。在步骤325，将会使用JRNSO生成来产生公共密钥。在执行JRNSO测量的同时，在步骤330，将对公共随机流进行采样。公共随机流可以是有线或无线传输。公共随机流可以从采样其他无线通信系统的进程中产生，例如陆地或卫星电视(TV)、陆地或卫星无线电、其他的单向、双向或联网无线电通信或是传感器网络，或者作为替换，公共随机性还可以为了提供公共随机信号的目的而被广播。接下来，在步骤340将会使用JRNSO所产生的公共密钥来执行BSM进程，以便提取秘密流。

图3所示的进程可以在数学上使用三种不同的方案来显示，其中每一种方案都是用了用于公共随机流的数据速率。对所有这三种方案来说，变量的数量是依照下列参数选择来减少的：α，β，γ，ε，G全都被假设成常数；l将被最大化；T将被最小化。此外，n₀，a，b是作为控制参数使用的。所产生的随机比特的数量是如下表述的：

$l=n(1-b-a)-2\log \frac{1}{\mathrm{\&epsiv;}}---\left(6\right)$

为了确定窃听者限度(EVB)，T，发射/接收机有必要等待足够长的时间，以便超过窃听者的存储能力。由此，通过组合等式(1)和(4)可以产生：

$T\&GreaterEqual;\frac{G}{\mathrm{ab}}---\left(7\right)$

为了确定采样限度(SB)，发射/接收机有必要等待足够长的时间，以便采样所需要的数据。由此：

$T\&GreaterEqual;\frac{n}{\mathrm{\&gamma;}}---\left(8\right)$

最后，为了确定初始密钥限度(OSKB)，发射/接收机有必要等待足够长的时间，以便产生所需要的JRNSO随机性，此外它还会等待足够长的时间，以便满足BSM算法的所有需要。由此将会导致如下限度：

$T\&GreaterEqual;\frac{1}{\mathrm{\&beta;}}(3\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}\log \frac{3G\log 1/\mathrm{\&epsiv;}}{a^2\mathrm{bn}(1-b)}+\log n+\log 1/\mathrm{\&epsiv;})---\left(9\right)$

为了论证这三个公共随机性流速率方案中每一种的最终性能，在这里将会使用下列参数设置：窃听者的存储限制G＝1 x 10¹²比特；差错概率ε＝2^-20(或者大约为1 x 10^-6)；采样器相对于最优性的补偿：a＝0.1；发射/接收单元希望存储的最大比特数n＝1 x 10⁸(100Mbits)。

方案1是借助JRNSO产生的并且使用BSM方法增加的共享密钥，其中该BSM方法具有1Gbps的公共随机流，用于爱丽丝和鲍勃的信道采样速率γ＝1 x 10⁶bps(1Mbps)，以及共享密钥速率(与JRNSO等价)β＝1 x 10³bps。在图4和5中显示了方案1中的假设结果。图4显示的是在单独“一批”BSM秘密比特可用之前所需要的最小时间间隔。线条410是EVB(7)线条430是SB(8)，线条420则是OSKB(9)。其中EVB是在范围2000-10000秒(～1—3小时)中显示的。

在图5中，线条510显示的是所产生的秘密比特，这些秘密比特是以每秒若干千比特的顺序显示的，并且与(1-b)线性地成比例。由于较高的BSM比特率需要更长的成批比特，因此这其中是存在折衷的。

第二方案是借助低速率(1bps)的JRNSO产生的并且使用BSM方法增加的共享密钥，其中该BSM方法的公共随机性速率α＝1 x 10⁹bps(1Gbps)，信道采样速率γ＝1 x 10⁶bps(1Mbps)，以及共享密钥速率(与JRNSO等价)β＝1bps。在图6和7中显示了方案2的假设结果。图6显示的是在单独“一批”BSM秘密比特可用之前需要的最小时间间隔。线条620是OSKB(9)。线条630是SB(8)和EVB 610(7)-相对于限度比例(9)而言，这些值是非常低的。对b＝0.1来说，线条620是在200000秒(～60小时)开始的，并且它是随着b的增加而增加的。对b＝0.9来说，该速率是不合理的1800000秒(500小时)。如图7所示，最终得到的BSM速率是很低的(对b＝0.1来说是@45bps，并且其后还会继续降低)。因此，在低秘密比特率情况下，较为有利的是以很低的b值(也就是>高于对手的存储限度10以上)来执行操作。如果发射/接收单元将其存储量从100Mbits提升到1Gbytes(8*1019比特)，那么将会观察到更好的性能(650bps之高)。

前两种方案中的每一种都假设公共流速率α和JRNSO输出比特生成速率β是恒定的。在第三方案中，β可以单独是时变的，或者α和β都是时变的。这个第三实例实际是最为切合实际的。举例来说，如果无线装置在蜂窝网络中改变方向、速度或加速度，那么将会导致β的值改变。公共流可以作为恒定速率的随机源而存在，但是爱丽丝和鲍勃用以能够接收无差错随机信号的速率则有可能因为某些因素而改变，例如改变爱丽丝和/或鲍勃与公共流的物理源(例如执行发射的站)的距离。

图3概述的过程可以采用一种直接的方式来扩展，以便与比特率β和/或α均为时变的第三方案相适应。在第三方案中，下列五个过程中的任何一个或是其组合都可以由发射/接收单元来执行。

首先，发射/接收单元可以尝试将总的比特生成速率保持在恒定值。根据β、或β和α速率变化的程度，发射/接收单元能够通过在比最大获取的速率足够低的目标速率上工作，或者以足够的余量或其他手段来工作来保持恒定的输出秘密比特生成速率。在考虑了系统参数(包括考虑BSM参数G或b)以及其他性能需求的情况下，该余量在每一个发射/接收单元之间将必须预先约定的。

第二，发射/接收单元感测由于β和/或α的降低而导致的输出生成速率的降级变化，发射/接收单元约定较低的秘密比特生成速率。通过执行这种选择，可以在这样一种情况下工作，其中一旦切换到较低的秘密比特生成速率，那么发射/接收单元可以使用等级降低的秘密性强度来进行通信。这种方法对于那些需要等级降低的秘密性的新应用来说很有用。

第三，一旦发射/接收单元再次感测到输出生成速率的降低变化，那么发射/接收单元可以约定停止秘密比特生成进程和其他通信，直至恢复了足够强的秘密比特生成速率。当时间在传递秘密数据过程中不构成问题时，这种方法是非常有用的。

第四，一旦发射/接收单元感测到当前工作的比特生成速率低于最大限度可以获取的速率，那么发射/接收单元可以开始提高输出比特生成速率。通过存储和使用这些过剩的秘密比特，以及通过将其添加给在速率较低时产生的安全比特，爱丽丝和鲍勃能够保持在更长时间量程中测得(和/或增加)的更恒定的输出比特生成速率。爱丽丝和鲍勃也可以约定使用更长的子会话长度，以便达到系统操作仍旧可以执行来满足其需求的程度，从而对输入速率β和/或α的变化的影响进行平均。此外，它们还可以在设置子会话长度方面使用自适应策略，由此当节点感测到β和/或α的变化增大时，子会话长度都会增加，并且所述长度也会随着β和/或α的降低而减小。

最后，这四种策略中的任何一种都可以非常合适地组合在自适应算法中。但是应该指出的是，任何自适应算法都应该是由发射/接收单元在考虑了应用、上下文以及性能需求的情况下彼此预先约定的。

图8显示的是使用公共存储密钥805在发射/接收单元中所执行的用于BSM秘密的生成的示例进程800。该进程可以由在某个点上被提供了公共存储密钥的任何一对发射/接收单元来执行。这些发射接收单元的实例包括：(1)蜂窝网络中的WTRU和基站；(2)IEEE 802.xx无线网络中的终端和接入点；(3)两个对等装置；或者(4)需要安全通信的传感器网络中的一对传感器。

在图8中，在步骤810，产生秘密比特流的进程800是以接收无线通信信号中包含的公共随机流而开始的。这个公共随机流可以以有线或者无线介质传输。这个公共随机流可以通过采样其他无线通信系统来产生，其中举例来说，该无线通信系统可以是陆地或卫星电视(TV)、陆地或卫星无线电、其他的单向、双向或联网无线电通信或传感器系统，或者作为替换，该公共随机性可以为提供公共随机信号的目的而被广播。在步骤830，这个公共随机流将被采样。接着，在步骤840，使用公共存储密钥805来执行BSM进程，以便提取秘密流。在步骤850，这个秘密流将被确定。

公共存储密钥805是以与图3过程中使用的JRNSO比特相同的方式使用的。公共存储密钥805的来源包含以下各项：(1)预先存储在USIM中的秘密，该USIM只在固定时段有效，其后则必须安装新的USIM；(2)传感器具有固定寿命的安全传感器网络；(3)每一个计算机都必须具有周期性安装的新密钥的安全通信网络；(4)在WTRU位于安全区域的同时提供的密钥(也就是在用户开始某个会话之前)。

这其中的每一种情况都需要不同质量的公共存储密钥805，产生JRNSO比特的速率将不再是问题。取而代之的是，公共存储密钥的使用期限和长度将会成为限制因素。例如对USIM或安全网络的情况下，期望的是用于公共存储密钥805具有可能的最长使用期限。作为替换，如果所述密钥是在会话之前当WTRU位于安全区域的时候提供的，那么期望的是使公共存储密钥仅与WTRU落入窃听者手中的情况下的会话一样长。

如果为发射/接收单元(爱丽丝和鲍勃)提供了k₀个比特，那么窃听者对于其秘密的了解是借助如下的静态距离来定义的：

${\mathrm{\&epsiv;}}_0=2^{-k_0}---\left(10\right)$

每一个会话都会将静态距离增大ε。假设ε_MAX是爱丽丝和鲍勃愿意容忍的最大静态距离。由此，爱丽丝和鲍勃可以支持的最大会话数量是：ε_MAX/ε₀。

由于公共存储密钥最终将会用尽，因此，该设备只具有如下定义的有限寿命：

T_LIFE＝T×{ε_MAX/ε₀}                                 (11)

为了确定爱丽丝和鲍勃需要的是多大的公共存储密钥，以便为指定的ε₀保持一定的特定寿命，在这里使用了以下算法。

对每一个会话来说，爱丽丝和鲍勃确定该会话的长度以及为每个会话产生的比特数量。根据这个判定，爱丽丝和鲍勃确定执行该操作所需要的比特数量k。应该指出的是，k≤k₀。爱丽丝和鲍勃使用安全过程而将已有的k₀个比特映射成k个比特。一旦k个比特可用，爱丽丝和鲍勃将会使用这些比特来采样和提取。

所使用的变量数量是依照下列参数选择而被减少：

·下列变量是固定的：α，γ，ε＝ε_MAX，G，T_LIFE

·β不再是有意义的参数

·最大化l

·最小化T

·确定由问题参数所定义的必要的强壮秘密的大小(k₀)

·使用n₀，a，b，n作为用于此目的的控制参数。实际上，优选的是将a设置得相当低(a＝0.1)，n₀将会是隐性定义的，并且b将会是显性定义的(参见下文)，由此该问题仅由单独的参数n来控制的。

等式(10)和(11)提供的是：

$k_0\&GreaterEqual;-\log {\mathrm{\&epsiv;}}_{\mathrm{MAX}}\frac{T}{T_{\mathrm{LIFE}}}---\left(12\right)$

但是，它们还提供了：

$k_0\&GreaterEqual;k+{\mathrm{\&epsiv;}}_{\mathrm{MAX}}(\frac{T_{\mathrm{LIFE}}}{T}-1)---\left(13\right)$

其中k是单个会话所需要的比特数。关于k的下限的考虑在下面给出：

$k\&le;C_1\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}\log \frac{C_1\mathrm{\&alpha;T}}{n}\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}+\log n+\log 1/\mathrm{\&epsiv;}---\left(14\right)$

等式(12)～(14)现在提供了用于k₀的公式，其中C_l是依赖于所使用的特定采样方法的常数。在这里，所使用的是C_l＝3的优选设置，但是其它的值也是可以使用的。

接下来，通过组合(7)和(8)可以产生：

$b=\frac{\mathrm{G\&gamma;}}{\mathrm{n\&alpha;}}---\left(15\right)$

然后，用于产生的比特数的表达式是通过(6)和(15)被如下给出的：

$l=n(1-\frac{\mathrm{G\&gamma;}}{\mathrm{n\&alpha;}}-a)-2\log \frac{1}{\mathrm{\&epsiv;}}---\left(16\right)$

从(16)可以清楚了解，n必须足够大(或者b必须足够小)，以使(16)保持为正——否则将不会产生比特。这样产生了关于T的固有限度。

图9是一个可替换的实施例，在这个实施例中，发射/接收单元爱丽丝和鲍勃既没有共享任何类型的先验密钥，也不具有自主产生密钥的能力。但是，这两方之一(鲍勃)具有足够大的存储容量，以便存储随机数据流的全部会话价值。另一方(爱丽丝)则在存储方面仍然非常有限的。此外，在本实施例中，假设鲍勃的存储容量大于任何潜在的窃听者(伊夫)。另外，爱丽丝具有一种用于以任何预期速率来产生内部随机数的方法。

在步骤910，该进程是在爱丽丝902和鲍勃907以公共方式协商通信会话的开端和末端的时候开始的。然后，在步骤920，爱丽丝902使用它的随机数生成器来产生一组足够大将用于采样和提取的随机数。在会话结束之前，爱丽丝902不会传递这些数字。接下来，在步骤930，鲍勃907将会存储从随机数公共流909接收的随机数的全部会话价值。在步骤935，爱丽丝902将会根据其随机数来采样随机数，由此产生密钥。在步骤940，一旦会话结束，那么爱丽丝902将会以公共方式向鲍勃传递由爱丽丝902存储的随机数。然后，在步骤950，鲍勃将会使用随机数来提取由爱丽丝920采样的相同比特，以便产生相同的密钥。在步骤960，经过加密的通信将会使用爱丽丝902采样的密钥而在步骤960开始。由于在伊夫(未图示)有可能会了解到该随机流的时候，该会话已经结束，并且伊夫将无法采样随机流，因此该操作是安全的。

这种方法的应用与上文描述的内容是相似的。优选地，鲍勃907是集中式实体，由此具有极大存储器的成本将会得到调整，而爱丽丝902则是WTRU。对这种方法来说，其可能关注的特定设置是蜂窝系统，其中鲍勃907是基站，爱丽丝902则是WTRU。公共随机流可以从常规蜂窝通信以外的传输中得到，并且可以由小区中的基站和WTRU接收。作为替换，基站自身也可以用于产生公共随机信号，并且它会在发射了该信号之后将其存储。事实上，可使用若干个基站与存储器结合来完成这个进程，其中所述存储器是在可以访问所有基站的传输的网络中的某个位置实施。根据网络配置，该存储器可以是RNC、数据网关、例如GGSN等等。用于采样所述流的WTRU过程是以与休眠期间的小区测量以及寻呼信道检查过程相似的方式来调度的，由此可以将其对WTRU的影响减至最小。

应该指出的是，上文所述的所有实施例都是可以由两个以上的合法用户使用的。此外，其他实施例是可以在具有使用了成对密钥的两个以上的合法用户的情况下实施的。在这个实施例中，n个合法方可以产生n(n-1)/2个配对，并且每一个配对都可以根据上文所述的进程来产生他们自己的密钥。

在另一个实施例中，假设爱丽丝或鲍勃可以通过指示速率变更请求来影响公共流的随机性，而伊夫则无法执行此操作，例如所述指示是通过使用仅仅为授权用户许可的低速率上行链路侧信道来进行的。如果公共流的随机性速率可以由爱丽丝或鲍勃请求而被提升或降低，那么这种控制可以用于有用的用途，例如即使在输入速率β降低的情况下也保持恒定的输出比特率。这种方法的能力还可以在怀疑伊夫的存储能力改变的时候有用。

虽然本发明的特征和元素在优选的实施方式中以特定的结合进行了描述，但每个特征或元素可以在没有所述优选实施方式的其他特征和元素的情况下单独使用，或在与或不与本发明的其他特征和元素结合的各种情况下使用。本发明提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施，其中所述计算机程序、软件或固件是以有形的方式包含在计算机可读存储介质中的。关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM碟片和数字多功能光盘(DVD)之类的光介质。

举例来说，恰当的处理器包括：通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何一种集成电路(IC)和/或状态机。

与软件相关联的处理器可以用于实现一个射频收发机，以便在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线网络控制器(RNC)或是任何主机计算机中加以使用。WTRU可以与采用硬件和/或软件形式实施的模块结合使用，例如相机、摄像机模块、可视电话、扬声器电话、振动设备、扬声器、麦克风、电视收发机、免提耳机、键盘、蓝牙模块、调频(FM)无线单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何无线局域网(WLAN)模块。

实施例

1.一种用于在终端A与终端B之间产生秘密数据流的方法，该方法包括：

根据公共信源或随机性来向数据应用秘密性方案；以及

发射该数据。

2.如实施例1所述的方法，其中随机公共源至少部分地是由终端A或终端B产生的，并且将被发送给另一方。

3.如前述任一实施例所述的方法，其中随机公共源至少部分地是由第三方产生的，以便用于辅助密钥生成的特定目的。

4.如前述任一实施例所述的方法，其中随机公共源至少部分地是以某些其他无线系统的操作的副产品为基础的，其中所述无线系统的主要目的与A与B之间的密钥生成是无关的。

5.如实施例4所述的方法，其中所述其他无线系统是无线电系统、电视系统、或在很大范围内广播的某些其他无线信号。

6.如前述任一实施例所述的方法，其中随机公共源至少部分地基于自然噪声或是与某些其他人造现象相关联的噪声。

7.如前述任一实施例所述的方法，其中除终端A和终端B之外，还有附加用户接收数据传输。

8.如前述任一实施例所述的方法，其中根据公共源或随机性而将秘密性方案应用于数据的进程还包括以下步骤：

对随机流进行采样；以及

从经过采样的数据中提取纯粹秘密。

9.如前述任一实施例所述的方法，其中采样是在预定间隔内进行的。

10.如前述任一实施例的方法，其中终端A和终端B对不为潜在的窃听者所知的采样方案达成一致。

11.如前述任一实施例所述的方法，其中随机性是在每个会话有限比特率上对于终端A和终端B来说是可用的。

12.如前述任一实施例所述的方法，该方法还包括：终端A和终端B将会话拆分成若干个子会话，使用共享随机比特来定义用于采样的位置。

13.如前述任一实施例所述的方法，该方法还包括：定义参数T，该参数与会话的总持续时间相等。

14.如实施例13所述的方法，其中参数α等于公共流速率，该方法还包括：定义与αT相等的块长度N，其中所述块长度是会话中可用的数据量。

15.如前述任一实施例所述的方法，还包括：定义一个与输入随机性/密钥速率相等的参数β。

16.如前述任一实施例所述的方法，该方法还包括：定义与终端A和终端B可以在其上采样公共流的平均/缓冲速率相等的参数γ。

17.如实施例13～16中任一实施例所述的方法，该方法还包括：定义与共享密钥长度相等的参数k，其中参数k＝βT。

18.如实施例13～17中任一实施例所述的方法，其中参数n被定义为等于终端A和终端B可以共同采样的采样比特的总数，并且参数n＝γT。

19.如前述任一实施例所述的方法，其中参数N₀被定义为等于终端A和终端B在每个块中可以为逐块算法采样的比特的总数。

20.如前述任一实施例所述的方法，该方法还包括：将参数 $N_0=\frac{N}{n/n_0}$ 定义为用于逐块算法的N个块中的每个块所具有的比特总数。

21.如前述任一实施例所述的方法，其中参数b被定义为等于总数据中假设可以被攻击者存储的部分，并且其中0<b<1。

22.如前述任一实施例所述的方法，其中参数G被定义为与攻击者的实际存储容量相等，并且G＝bN。

23.如前述任一实施例所述的方法，其中参数α被定义未满足使用有限块长度的实施损耗的实施补偿参数。

24.如实施例23所述的方法，其中参数α＝0.1。

25.如前述任一实施例所述的方法，其中参数ε被定义为等于算法进程中的差错概率。

26.如前述任一实施例所述的方法，其中参数l等于终端A和B产生的、除开端的k个比特之外的秘密比特的总数。

27.如前述任一实施例所述的方法，该方法还包括：终端A和B将公共随机数据的N个比特会话块拆分成大小为 $N_0=\frac{N}{n/n_0}$ 个比特的N₀个块。

28.如前述任一实施例所述的方法，其中终端A和B使用其随机共享密钥而在每一个子块中选择相同的n₀位置。

29.如前述任一实施例所述的方法，其中参数N大于参数G。

30.如前述任一实施例所述的方法，其中用于提取的最小比特数量等于logn+log 1/ε。

31.如前述任一实施例所述的方法，其中终端A和B使用基于独占式联合随机性(JRNSO)进程来完全地产生秘密流。

32.如前述任一实施例所述的方法，其中终端A和B共享具有随机动态脉冲响应的公共无线信道，并且当从终端A向终端B观察以及从终端B向终端A观察时该响应是相关的，该方法还包括：估计共享信道，以及通过通信来产生公共随机性。

33.如前述任一实施例所述的方法，其中终端A和B确定会话长度，根据采样进程来采样随机公共源，它们同时为下一个会话执行基于JRNSO的进程，并且通过执行提取进程来产生所需要的比特。

34.如前述任一实施例所述的方法，其中终端A和B是共享具有足以产生基于JRNSO的秘密性的互补属性的无线信道的任何配对通信设备。

35.如前述任一实施例所述的方法，该方法还包括：产生总数为l的随机化比特，其中 $l=n(1-b-a)-2\log \frac{1}{\mathrm{\&epsiv;}}.$

36.如前述任一实施例所述的方法，其中参数 $T\&GreaterEqual;\frac{G}{\mathrm{\&alpha;b}}.$

37.如前述任一实施例所述的方法，其中参数 $T\&GreaterEqual;\frac{n}{\mathrm{\&gamma;}}.$

38.如前述任一实施例所述的方法，其中参数 $T\&GreaterEqual;\frac{1}{\mathrm{\&beta;}}(3\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}\log \frac{3G\log 1/\mathrm{\&epsiv;}}{a^2\mathrm{bn}(1-b)}+\log n+\log 1/\mathrm{\&epsiv;}).$

39.如前述任一实施例所述的方法，其中公共流速率α和JRNSO输出比特生成速率β是恒定的。

40.如前述任一实施例所述的方法，其中α和β都是时变的。

41.如前述任一实施例所述的方法，其中终端A和B能够接收无差错随机信号的速率可以根据如下因素而改变，该因素包括改变A和/或B与物理信源的距离。

42.如前述任一实施例所述的方法，其中终端A和B将总的比特生成速率保持在恒定值。

43.如前述任一实施例所述的方法，其中终端A和B是在比可以最大限度获取的速率足够低的目标速率上工作的。

44.如前述任一实施例所述的方法，该方法还包括：终端A和B感测因为β和/或α的降低而导致的输出生成速率的降级变化，以及对降低的秘密比特生成速率达成一致。

45.如前述任一实施例所述的方法，该方法还包括：一旦感测到输出生成速率的降级变化，则终端A和B约定停止秘密比特生成进程以及其他通信，直至恢复了足够强的秘密比特生成速率。

46.如前述任一实施例所述的方法，该方法还包括：一旦感测到当前运作的比特生成速率低于最大限度获取的速率，则开始增加输出比特生成速率。

47.如前述任一实施例所述的方法，该方法还包括：约定使用更长的子会话长度，以便系统操作仍旧可以执行来满足其需求的程度，从而平均输入速率β和/或α的变化效应。

48.如前述任一实施例所述的方法，其中终端A和终端B配备了固定保留的k_o个强壮的秘密比特。

49.如实施例48所述的方法，其中终端A和B可以支持的最大会话数量是ε_MAX/ε₀，其中 ${\mathrm{\&epsiv;}}_0=2^{-k_0}.$

50.如实施例49所述的方法，其中设备寿命参数被定义为 $T_{\mathrm{LIFE}}=T\&times;\{{\mathrm{\&epsiv;}}_{\mathrm{MAX}}/{\mathrm{\&epsiv;}}_0\}.$

51.如前述任一实施例所述的方法，其中终端A和B确定会话的长度以及每个会话中将要产生多少个比特。

52.如前述任一实施例所述的方法，该方法还包括：终端A和B确定所需要的比特数量k，其中k≤k₀；使用安全进程而将现有的k₀个比特映射成k个比特；以及一旦所述k个比特可用，则终端A和B使用K个可用比特来执行采样和提取进程。

53.如前述任一实施例所述的方法，其中中心终端单元内置了长的强壮的密钥。

54.如实施例58所述的方法，其中强壮的密钥在无线发射接收单元(WTRU)的存储器中存储一个时间段，此后则需要替换存储器。

55.如前述任一实施例所述的方法，其中该方法是在传感器具有固定寿命的安全传感器网络中执行的。

56.如前述任一实施例所述的方法，其中计算机被周期性提供服务，以便提供新的密钥。

57.如前述任一实施例所述的方法，其中参数 $k_0\&GreaterEqual;-\log {\mathrm{\&epsiv;}}_{\mathrm{MAX}}\frac{T}{T_{\mathrm{LIFE}}}.$

58.如前述任一实施例所述的方法，其中参数 $k_0\&GreaterEqual;k+{\mathrm{\&epsiv;}}_{\mathrm{MAX}}(\frac{T_{\mathrm{LIFE}}}{T}-1).$

59.如前述任一实施例所述的方法，其中参数 $k\&le;C_1\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}\log \frac{C_1\mathrm{\&alpha;T}}{n}\frac{\log 1/\mathrm{\&epsiv;}}{a^2(1-b)}+\log n+\log 1/\mathrm{\&epsiv;},$ 其中C_l是依赖于所使用的采样方法的常数。

60.如前述任一实施例所述的方法，其中参数 $b=\frac{\mathrm{G\&gamma;}}{\mathrm{n\&alpha;}}.$

61.如前述任一实施例所述的方法，其中密钥可以借助下列的一项或多项而被物理地加载到终端A和B中：连接器、电耦合；借助SIM卡；或是无线电广播。

62.如前述任一实施例所述的方法，其中终端A和B具有极大的存储容量。

64.如前述任一实施例所述的方法，其中终端具有用于在任何预期速率产生内部随机数的方法。

65.如前述任一实施例所述的方法，其中终端A和B以公开放式协商会话的开端和末端；终端A使用随机数生成器来产生一组足够大以用于采样和提取进程的随机数；终端B存储随机数据的全部会话价值；终端A根据其随机数来采样随机数据；以及，终端A以公开放式将其随机数传递到终端B。

66.如前述任一实施例所述的方法，其中终端A是WTRU，并且以与休眠期间的小区测量和寻呼信道检查进程相似的方式来采样所述流。

67、如前述任一实施例所述的方法，该方法还包括：附加的各方产生其自身的密钥，以便以秘密方式进行通信。

68.如前述任一实施例所述的方法，其中如果终端A与B之间的信道不是无差错的，则使用用于信道差错的纠错进程以及用于活动反方的验证来将信道转换成实际无差错的信道。

69.如前述任一实施例所述的方法，其中如果公共随机性没有被无差错地接收，则终端A和B使用附加通信来解决差错。

70.如前述任一实施例所述的方法，其中如果没有公共随机性被无差错地接收，则终端A和B使用差错本身来产生共享随机性。

71.如前述任一实施例所述的方法，其中终端A或B可以通过指示速率变更请求来影响公共流的随机性。

72.如前述任一实施例所述的方法，其中终端A和B使用随机性控制来产生密钥。

73.如前述任一实施例所述的方法，其中终端A或终端B是WTRU。

74.如前述任一实施例所述的方法，其中终端A或终端B是节点B。

75.一种被配置成执行前述任一实施例的方法的无线通信系统。

76.一种被配置成执行实施例1～77中任一实施例的方法的有线通信系统。

77.如实施例1～74中任一实施例所述的方法，其中终端A和/或终端B利用专用集成电路来执行该方法。

78.如实施例75所述的系统，其中该系统是正交频分复用(OFDM)多输出多输入(MIMO)系统。

79.一种被配置成执行实施例1～74中任一实施例的方法的数字信号处理器。

80.一种被配置成执行实施例1～74中任一实施例的方法的WTRU。

81.一种被配置成执行实施例1～74中任一实施例的方法的节点B。

82.一种被配置成执行实施例1～74中任一实施例的方法的有线网络。

Claims (25)

1.一种在发射/接收单元中实施的用于根据所接收的随机公共噪声来产生秘密数据流的方法，该方法包括：

接收随机公共噪声流；

使用短密钥来采样随机公共噪声流；

根据所述采样来提取长密钥；以及

使用用于加密的长密钥来发射加密数据。

2.根据权利要求1所述的方法，其中所述采样被执行了足够长的时段以超出攻击者的存储限度。

3.根据权利要求1所述的方法，其中所述短密钥是使用独占式联合随机性(JRNSO)进程来产生的。

4.根据权利要求3所述的方法，其中所述JRNSO进程利用了所述随机公共噪声流。

5.根据权利要求1所述的方法，其中所述短密钥存储在通用用户身份模块(USIM)上。

6.根据权利要求5所述的方法，其中当已经将整个短密钥用于采样时，所述USIM期满。

7.根据权利要求1所述的方法，其中所述短密钥被预先编程在发射/接收终端中。

8.根据权利要求1所述的方法，其中当处于安全区域时，所述短密钥被提供。

9.根据权利要求1所述的方法，其中发射加密数据包括将加密数据发射到两个以上的发射/接收单元。

10.根据权利要求1所述的方法，其中公共随机流是由蜂窝网络中的基站发射的。

11.根据权利要求1所述的方法，其中公共随机流是作为第二无线通信系统的一部分而被发射的。

12.一种用于使用公共随机噪声来发射和接收加密数据的无线发射/接收单元(WTRU)，该WTRU包括：

接收机，用于接收随机公共噪声；

处理器，用于根据短密钥来对所述随机公共噪声进行采样，以及根据所述采样来提取长密钥；以及

发射机，用于发射使用所述长密钥来加密的数据。

13.根据权利要求12所述的WTRU，其中所述接收机还被配置成接收加密数据，并且所述处理器还被配置成使用所述长密钥来解密所接收的加密数据。

14.根据权利要求12所述的WTRU，其中所述短密钥是使用独占式联合随机性(JRNSO)进程来产生的，其中所述JRNSO进程利用了所述随机公共噪声。

15.根据权利要求12所述的WTRU，其中所述短密钥存储在通用用户身份模块(USIM)上。

16.根据权利要求15所述的WTRU，其中当已经将整个短密钥用于采样时，所述USIM期满。

17.根据权利要求12所述的WTRU，其中所述随机公共噪声是从基站接收的。

18.根据权利要求12所述的WTRU，其中所述随机公共噪声是从第二种类型的无线通信系统的一部分接收的。

19.根据权利要求12所述的WTRU，其中所述短密钥是在与安全网络去相关之前经由所述安全网络提供给所述WTRU的。

20.一种在发射/接收单元中实施的用于在第一和第二发射/接收单元之间产生加密数据流的方法，其中所述第二发射/接收单元具有很大的存储容量，该方法包括：

发射公共随机噪声流；

存储所述公共随机噪声流；

从所述第一发射/接收单元接收随机数；

使用所述随机数从所存储的公共随机噪声流中产生长密钥；以及

使用所述长密钥来发射加密数据流。

21.根据权利要求20所述的方法，该方法还包括：使用所述长密钥来接收加密数据流。

22.根据权利要求20所述的方法，其中所述第二发射/接收单元是基站。

23.一种在发射/接收单元中实施的用于在第一和第二发射/接收单元之间产生加密数据流的方法，其中所述第二发射/接收单元具有很大的存储容量，该方法包括：

接收公共随机噪声流；

产生随机数；

根据所述随机数来选择性地存储来自所述公共随机噪声流的比特，以便创建长密钥；

将随机数发射到所述第二发射/接收单元；以及

使用所述长密钥来发射加密数据流。

24.根据权利要求23所述的方法，该方法还包括：使用所述长密钥来接收加密数据流。

25.根据权利要求23所述的方法，其中所述公共随机噪声流是从所述第二发射/接收单元之外的实体接收的。

Images