JP2016512005A - 共有鍵を導出するよう構成されたネットワークデバイス - Google Patents

共有鍵を導出するよう構成されたネットワークデバイス Download PDF

Info

Publication number
JP2016512005A
JP2016512005A JP2015559575A JP2015559575A JP2016512005A JP 2016512005 A JP2016512005 A JP 2016512005A JP 2015559575 A JP2015559575 A JP 2015559575A JP 2015559575 A JP2015559575 A JP 2015559575A JP 2016512005 A JP2016512005 A JP 2016512005A
Authority
JP
Japan
Prior art keywords
polynomial
key
network device
coefficient
identification number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015559575A
Other languages
English (en)
Other versions
JP2016512005A5 (ja
JP6328152B2 (ja
Inventor
モーション オスカー ガルシア
モーション オスカー ガルシア
サンディープ シャンカラン クマル
サンディープ シャンカラン クマル
ルドヴィクス マリヌス ジェラルダス マリア トルフィツェン
ルドヴィクス マリヌス ジェラルダス マリア トルフィツェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2016512005A publication Critical patent/JP2016512005A/ja
Publication of JP2016512005A5 publication Critical patent/JP2016512005A5/ja
Application granted granted Critical
Publication of JP6328152B2 publication Critical patent/JP6328152B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Complex Calculations (AREA)

Abstract

第2のネットワークデバイス120と共有される鍵長bビットの共有暗号鍵を、多項式及び第2のネットワークデバイスの識別番号から決定するよう構成されたネットワークデバイス110が提供される。リダクションアルゴリズムを使用して、第2のネットワークデバイスの識別番号において多項式が評価され、モジュロ公開モジュラス及びモジュロ鍵モジュラスによるリダクションが行われる。リダクションアルゴリズムは、多項式の項にわたる繰り返しを含む。少なくとも、多項式の特定の項と関連付けられた繰り返しは、第1及び第2の乗算を含む。第1の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の最下部との間であり、係数の最下部は、特定の項の係数の鍵長最下位ビットによって形成される。第2の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の更なる部分との間であり、係数の更なる部分は、特定の項の係数の鍵長最下位ビットとは異なるビットによって形成され、更なる部分及び最下部は、合わせて、多項式の特定の項の係数より厳密に少ないビットを形成する。

Description

本発明は、第2のネットワークデバイスと共有される鍵長ビットの共有暗号鍵を、多項式及び第2のネットワークデバイスの識別番号から決定するよう構成された第1のネットワークデバイスに関する。第1のネットワークデバイスは、多項式を識別番号に適用するよう構成された多項式操作デバイスを含む。
複数のネットワークデバイスを含む通信ネットワークにおいて、かかるネットワークデバイスのペア間に安全な接続を確立することは課題である。これを達成する方法の一つが、C. Blundo, A. De Santis, A. Herzberg, S. Kutten, U. Vaccaro and M. Yung, “Perfectly-Secure Key distribution for Dynamic Conferences”, Springer Lecture Notes in Mathematics, Vol. 740, pp. 471-486, 1993(「Blundo」と呼ぶ)に開示されている。
この方法は、p個の元を含む有限体F内の係数を有する対称二変数多項式f(x,y)(pは素数又は素数のべき乗)を生成する中央権限(ネットワーク権限又は信頼できる第3者機関(Trusted Third Party; TTP)とも呼ばれる)を仮定する。各デバイスはF内の識別番号を有し、TTPからローカル鍵材料を受け取る。識別子ηのデバイスのローカル鍵材料は、多項式f(η,y)の係数である。
デバイスηがデバイスη’と通信したい場合、デバイスηは鍵材料を用いて鍵K(η,η’)=f(η,η’)を生成する。fは対称式なので、同じ鍵が生成される。
本願と同じ出願人による特許出願“KEY SHARING DEVICE AND SYSTEM FOR CONFIGURATION THEREOF”には、改良された、鍵共有のためにネットワークデバイスを構成する方法が与えられている。(参照により本明細書に組み込まれる)この特許出願の出願番号は61/740488、出願日は2012年12月21日であり、以下、「構成出願」と呼ぶ。
複数のネットワークデバイスの集合において、各々が固有の識別番号及びローカル鍵材料を有する。ローカル材料は、多くの場合は二変数多項式である秘密多項式から導出される。「構成出願」では、特定の攻撃に対してより高い耐性を得るために秘密多項式がどのように選択され得るかが説明されている。かかる攻撃の具体例は、複数のネットワークデバイスが秘密多項式を復元しようとする共謀攻撃である。
ネットワークデバイスは共有鍵を確立するためにいくらかの作業をしなければならない。例えば、それらのために秘密二変数多項式から得られた一変数多項式をそれぞれ受け取ったネットワークデバイスのペアを考える。2つのネットワークデバイスが両者間の暗号鍵を確立することが必要な場合、両者は他方のデバイスの識別番号を取得し、それを各自のローカル鍵材料と組み合わせて共有鍵を取得する。
共有鍵を導出する方法の1つは、各ネットワークデバイスが他のネットワークデバイスの識別番号を自身の一変数多項式に代入し、代入の結果モジュロ公開モジュラスによりリダクションし、そしてモジュロ鍵モジュラスによりリダクションすることである。鍵モジュラスは2のべき乗であり、指数は少なくとも鍵長である。
したがって、共有鍵の取得のための最初のステップにおいて、ネットワークデバイスは多項式評価を実行し、その後特定の時点で2つのリダクションを実行しなければならない可能性がある。
共有鍵を取得するのにより少ないリソース、例えば時間及び/又はストレージリソースを要する、共有暗号鍵を決定するよう構成された改良ネットワークデバイスを有することは有益であろう。
第2のネットワークデバイスと共有される鍵長(b)ビットの共有暗号鍵を、多項式及び第2のネットワークデバイスの識別番号から決定するよう構成された第1のネットワークデバイスが提供される。多項式は複数の項を有し、各項が異なる次数及び係数に関連付けられる。第1のネットワークデバイスは電子ストレージ、受信機、多項式操作デバイス、及び鍵導出デバイスを含む。
電子ストレージは、第1のネットワークデバイスのローカル鍵材料を保存するよう構成され、ローカル鍵材料は、第1のネットワークデバイスによって後に評価される多項式の表現を含む。
受信機は、第1のネットワークデバイスとは異なる第2のネットワークデバイスの識別番号を取得するよう構成される。
多項式操作デバイスは、リダクションアルゴリズムに従って多項式を識別番号に適用するよう構成される。
鍵導出デバイスは、リダクション結果から共有鍵を導出するよう構成される。
リダクションアルゴリズムは、多項式の項にわたる繰り返しを含む。少なくとも1つの繰り返しは、第1の乗算及び第2の乗算を含む。当該少なくとも1つの繰り返しは、多項式の特定の項に関連付けられる。
第1の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の最下部との間であり、係数の最下部は、特定の項の係数の鍵長最下位ビットによって形成される。
第2の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の更なる部分との間であり、係数の更なる部分は、特定の項の係数の鍵長最下位ビットとは異なるビットによって形成され、更なる部分及び最下部は、合わせて、多項式の特定の項の係数より厳密に少ないビットを形成する。
第1及び第2のネットワークデバイスはモバイルデバイス、例えば携帯電話、コンピュータ等であり得る。特定の好適な実施形態では、ネットワークデバイスは照明デバイス、例えばランプである。共有鍵は、照明の状態に関する情報を通信するために、及び/又は、照明に例えば点灯若しくは消灯等の動作コマンドを伝送するために使用され得る。通信は共有鍵を用いて暗号化され得る。
安全な通信を要する、大規模な可能性がある照明ネットワークにおける鍵の確立に加えて、本発明は、デバイスペア間の安全な通信を要するあらゆる種類の通信ネットワークに適用され得る。
ネットワークデバイスは、電子通信手段及び計算手段を備える電子デバイスであり得る。ネットワークデバイスは、例えばRFIDタグ形式で任意の非電子物体に取り付けられ得る。例えば、当該方法は「モノのインターネット」に適し得る。例えば、物体、特に低コストの物体は、物体が通信するための、例えば識別されるための無線タグを備えてもよい。かかる物体は、コンピュータ等の電子手段を介してインベントリに入れられてもよい。盗難された又は故障したアイテムを容易に追跡及び発見することができる。特に有望なアプリケーションの1つは、共有鍵を決定するよう構成されたネットワークデバイスを備える照明である。かかる照明は安全に自身の状態を通信し、かかる照明は安全に制御、例えば点灯/消灯され得る。ネットワークデバイスは、それぞれが識別番号を送受信するための及び電子ステータスメッセージを送信するための電子通信機を含み、また、それぞれが本発明に係る方法に従い共有鍵を導出するよう構成された集積回路を含む複数のネットワークデバイスの1つであり得る。
一実施形態では、本発明の方法はIPSec、(D)TLS、HIP、又はZigBee等のセキュリティプロトコルのための暗号化方法として使用され得る。特に、これらのプロトコルのうちの1つを使用するデバイスは識別子に関連付けられる。第1のデバイスと通信しようとしている第2のデバイスは、その識別子に基づき、第1のデバイスと共通のペアワイズ鍵を生成でき、このペアワイズ鍵(又は例えば鍵導出関数によってこれから導出された鍵)は、事前共有鍵に基づく上記プロトコルの一方法に使用され得る。特に、本発明において規定されるデバイスの識別子は、ZigBeeショートアドレス、IPアドレス、又はホストID等のネットワークアドレスであり得る。また、識別子はデバイスのIEEEアドレスでもよいし、又はデバイスが製造中にIEEEアドレスに関連付けられたローカル鍵材料を受信するようデバイスに関連付けられたプロプリエタリビット列でもよい。
共有鍵の導出は多数のアプリケーションに利用され得る。典型的には、共有鍵は暗号対称鍵である。対称鍵は機密性のために使用されてもよく、例えば、送信メッセージ又は受信メッセージが対称鍵によって暗号化されてもよい。両方の識別番号、及び2つのローカル鍵材料のうちの1つを利用できる(又はルート鍵材料を利用できる)デバイスのみが通信を解読できる。対称鍵は認証のために使用されてもよく、例えば、送信又は受信メッセージが対称鍵を用いて認証されてもよい。このようにすることで、メッセージの発信源を確認できる。両方の識別番号、及び2つのローカル鍵材料のうちの1つを利用できる(又はルート鍵材料を利用できる)デバイスのみが認証メッセージを作成できる。
ネットワークデバイスは、ネットワーク権限、例えばTTPによる鍵共有のために構成されてもよい。ネットワーク権限は必要な材料、例えばルート鍵材料を他のソースから取得してもよいが、自らこれを生成してもよい。例えば、公開モジュラスが生成され得る。ネットワーク権限が「構成出願」に記載される方法のうちの1つを使用する場合、公開モジュラスがシステムパラメータであって受信されたとしても、秘密モジュラスは生成され得る。
一実施形態では、公開モジュラスNは2(a+2)b−1≦N≦2(a+2)b−1を満たすよう選択され、ここで、a(又はα)はローカル鍵材料に対応する多項式の次数を表し、bは鍵長を表す。例えば、一実施形態ではN=2(a+2)b−1である。後者の選択の場合のモジュロ演算は特に効率的に実行され得る。固定の公開モジュラスを有することは、それがネットワークデバイスに伝送される必要がなく、例えばネットワークデバイスのシステムソフトウェアに組み込まれ得るという利点を有する。
鍵長(b)ビットは、セキュリティ要件及び利用可能なリソースに基づき選択され得る。通常のセキュリティのためには128ビットで十分であり、高いセキュリティのためには256以上のビットが可能であり、低いセキュリティのためには80、場合によっては64が可能である。ネットワークデバイスの識別番号は、2の鍵長乗未満である。
ネットワークデバイスごとに、ローカル鍵材料に対応する多項式がネットワーク権限によって生成された。典型的には、多項式は一変数であり、二変数ルート多項式から導出される。ルート多項式が例えばkの変数を有する多変数の場合、ネットワークデバイスは、kのデバイス間で共有される鍵を導出するためにk−1の異なる識別番号を受け取らなければならない。受け取られたk−1の異なる識別番号は、ネットワークデバイス内に表される多項式の変数に代入される。k=2の場合は2つのデバイス間の鍵共有に相当する。
興味深いことに、多項式の評価のためのネットワークデバイス内の多項式の表現には損失があってもよく(lossy)、すなわち、表現される情報が少なすぎるために表現から多項式が復元できなくてもよい。例えば、多項式の少なくとも1つの係数に関して、ビット群、例えば「中央のワード」、すなわち最上位及び最下位ではないワードが除外、すなわち表現内に含められなくてもよい。例えば、多項式の定数項については、最下位ワードのみを記録するだけでよい。ワードの長さは鍵長ビットである。例えば、ローカル多項式の生成後、ネットワーク権限は以下のステップを実行し得る。第2の乗算に使用される更なる部分、例えば最上部、及び第1の乗算に使用される最下部を係数ごとに選択する。少なくとも1つの係数に関して、更なる部分及び最下部は、対応する項の係数よりも厳密に少ないビットを有する。更なる部分及び最下部は係数ごとにローカル鍵材料内に含められる。好ましくは、係数の中央部、すなわち最上部と最下部との間はローカル鍵材料内に含まれない。ローカル鍵材料はネットワークデバイスに保存される。
第2のネットワークデバイスの識別番号は電子及びデジタル形式で、例えばバイナリビット列として受信され得る。第2のネットワークデバイスの識別番号は、第1のネットワークデバイスの識別番号とは異なる。
多項式操作デバイスは、リダクションアルゴリズムに従って多項式を識別番号に適用するよう構成される。リダクションアルゴリズムは、第2のネットワークデバイスの識別番号を多項式に代入し、代入の結果をモジュロ公開モジュラス及びモジュロ鍵モジュラスによってリダクションした結果に対応するリダクション結果を取得するよう構成される。ここで、鍵モジュラスは2のべき乗であり、指数は少なくとも鍵長である。
一実施形態では、公開モジュラスは2のべき乗(2(a+2)b)+オフセットであり、指数は鍵長の倍数であり、オフセットの絶対値は2の鍵長乗未満であり、多項式の各係数は公開モジュラス未満である。特に好適には、−1のオフセットである。この場合、(後述されるように)モジュラN演算は加算にリダクションされる。
興味深いことに、一実施形態では、各繰り返しは第1及び第2の乗算を有する。第1の乗算は、受信された識別番号と、その項の係数の最下位bビットワードとの間であり、すなわち、第1の乗算のサイズは一定である。第2の乗算は、受信された識別番号と、係数の更なる部分との間である。更なる部分のサイズは項の次数と共に増加し、好ましくは単調増加し、より好ましくは狭義単調増加する。例えば、サイズは、次数+エラー制御項に等しいワード数であり得る。したがって、第2の乗算のサイズは次数と共に減少する。更なる部分のサイズが次数と共に狭義単調増加することにより、サイズはリダクション結果の影響が大きい場合にのみ大きく、影響が小さい場合には小さくなり、結果として、計算リソースの大幅な削減が達成される。
発明者は、最終結果、すなわちリダクション結果に寄与するのは特に係数の最上部及び最下部であるという洞察を得た。係数において、リダクション結果に影響を及ばさない又はまれにしか及ぼさないために不要な中央のワードによって、これらの2つの部分は分離される。一実施形態では、最下部及び更なる部分、すなわち最上部は結合される。例えば、多項式の係数のうちの少なくとも1つは予備処理された形式で表現され、予備処理された形式において、特定の項の係数の最下部及び更なる部分は互いに隣接して単一のビット列によって表現され、リダクションアルゴリズムは、第1及び第2の乗算を合わせて実行するための識別番号と単一のビット列との間の単一の乗算を含む。
係数は、2の鍵長の倍数乗を掛け、その後リダクションモジュロ公開モジュラスを行うことにより、予備処理された形式で効率的に取得され得る。
各々が識別番号と識別番号に対して生成されたローカル鍵材料とを有する複数のネットワークデバイスのうちの任意の2つのネットワークデバイスのペアが、少ないリソースで共有鍵の交渉をすることができる。2つのネットワークデバイスは秘密に保たれる必要がない各自の識別番号を交換して、多項式計算を実行するだけでよい。要求される計算の種類は大きな計算リソースを要さず、これは、この方法が低コスト高ボリューム型のアプリケーションに適することを意味する。
ローカル鍵材料が対称多項式から取得された場合、これは、ネットワークデバイスのペアの両方のネットワークデバイスが同じ共有鍵を取得することを可能にする。ローカル鍵材料に難読化数が加えられた場合、ローカル鍵材料とルート鍵材料との間の関係が乱される。
一実施形態では、対称二変数多項式はネットワーク権限によって生成される。例えば、対称二変数多項式はランダムな対称二変数多項式であり得る。例えば、乱数生成部を使用して係数を乱数として選択してもよい。
一実施形態では、共有鍵の複数のLSBが除去され、除去されるビット数は、例えば1、2以上、4以上、8以上、16以上、32以上、又は64以上であり得る。より多くのLSBを除去することにより、異なる鍵を有する可能性は低くなり、特に、任意の所望の閾値まで下げられ得る。共有鍵が等しくなる可能性は数学的関係に基づいて計算されてもよいし、実験により決定されてもよい。
多項式操作デバイスは、コンピュータ、例えば集積回路上で動作するソフトウェア内に実装され得る。多項式操作デバイスは、非常に効率的にハードウェア内に実装され得る。組み合わせも可能である。例えば、多項式操作デバイスは多項式を表現する係数のアレイを操作することによって実現されてもよい。
生成されたローカル鍵材料をネットワークデバイスにおいて電子保存することは、生成されたローカル鍵材料を例えば有線接続又は無線接続を用いてネットワークデバイスに電子的に送信して、生成されたローカル鍵材料をネットワークデバイスに保存することによって実行されてもよい。これは製造中又はインストール中、例えば、ネットワークデバイス内の集積回路のテスト中に実行されてもよい。テスト機器はネットワーク権限を含んでもよいし、又はネットワーク権限に接続されてもよい。また、これは、デバイスが動作ネットワークに参加成功後に起こってもよい(すなわち、ネットワークアクセス又はブートストラッピング後)。特に、ローカル鍵材料は動作ネットワークパラメータの一部として配信されてもよい。
第1のネットワークデバイスのローカル鍵材料を電子形式で取得することは、ネットワークデバイスを鍵共有のために構成するためのシステム、例えばネットワーク権限デバイスからローカル鍵材料を電子的に受け取ることによって実行され得る。また、ローカル鍵材料の取得は、ローカルストレージ、例えばフラッシュメモリ等のメモリからローカル鍵材料を引き出すことによって実行され得る。
第2のネットワークデバイスの識別番号を取得することは、識別番号を第2のネットワークデバイスから受信することによって、例えば第2のネットワークデバイスから直接又は無線で受信することによって実行され得る。
公開モジュラス及び鍵モジュラスはネットワークデバイス内に保存され得る。また、これらはネットワーク権限から受信されてもよい。また、これらはネットワークデバイスのソフトウェア内に暗示されてもよい。例えば、一実施形態では鍵モジュラスは2のべき乗である。リダクションモジュロかかる鍵モジュラスは、鍵長LSB以外の全てのビットを破棄することによって実行され得る。まず、代入の結果にリダクションモジュロ公開モジュラスが行われ、その後、更にリダクションモジュロ鍵モジュラスされる。
必須ではないが、公開モジュラス及び鍵モジュラスは互いに素でもよい。これは、公開モジュラスを奇数とし、鍵モジュラスを2のべき乗とすることによって達成され得る。いずれにせよ、リダクションモジュロ公開モジュラスが省略され得るので、鍵モジュラスが公開モジュラスを割ることは避けられる。
一実施形態では、第1のネットワークデバイスはそのデバイスの識別番号に関連付けられた複数の(n)ローカル鍵材料を受信する。この第1のデバイスと第2のデバイスとの間で生成される鍵は、第2のデバイスの識別番号を用いて複数の(n)第1のデバイスのローカル鍵材料のそれぞれを評価することによって得られる複数の(n)鍵の組み合わせ(例えば、連結)として得られる。これは方法の並列使用を可能にする。
ルート鍵材料として非対称二変数多項式を使用すること、すなわちf(x,y)!=f(y,x)は、第1のグループのデバイス及び第2のグループのデバイスが、それぞれ、デバイス上に保存されるローカル鍵材料KMであるKM(Id,y)及びKM(x,iD)を受信する等、2つのデバイスグループの作成を可能にする。同じグループに属する2つのデバイスは共通鍵を生成することはできないが、異なるグループ内のデバイスは可能である。Blundoも参照されたい。
ネットワークデバイスの識別番号は、デバイスに関連付けられた情報を含むビット列の一方向関数として計算され得る。一方向関数はSHA2又はSHA3等の暗号ハッシュ関数であり得る。一方向関数の結果は、識別子のサイズに適合するよう切り捨てられてもよい。あるいは、一方向関数のサイズは最大識別子サイズより小さい。
本発明の一側面は、鍵共有のためにネットワークデバイスを構成するためのシステムと、少なくとも2つの第1のネットワークデバイスとを含む鍵共有システムに関する。ネットワークデバイスを構成するためのシステムは、多変数ルート多項式、例えば二変数多項式からローカル多項式、例えば一変数多項式を導出する。ローカル多項式から、多項式の表現が導出される。単純な実施形態では、多項式の表現は、例えば項の次数によってソートされた多項式の係数のデジタルリストである。しかし、高度な実施形態では、表現において、係数の一部が除外される。
一実施形態では、鍵共有のためにネットワークデバイスを構成するためのシステムは、公開モジュラス、及び整数係数を有する対称多変数多項式を電子形式で取得するための鍵材料取得部と、少なくとも2つの第1のネットワークデバイスのうちのネットワークデバイスのためのローカル鍵材料を生成するための生成部であって、ネットワークデバイスの識別番号を電子形式で取得するための、及び生成されたローカル鍵材料をネットワークデバイスに電子保存するためのネットワークデバイスマネージャーと、識別番号を多変数多項式に代入することにより、多変数多項式から多項式を決定するための多項式操作デバイスとを含む、生成部とを含む。
また、ネットワークデバイスを構成するためのシステムは予備処理を実行し、例えば一実施形態では、ネットワークデバイスを構成するためのシステムの生成部は、決定された多項式の係数に2の鍵長の倍数乗を掛け、リダクションモジュロ公開モジュラスを行うことにより、1つ以上の係数を予備処理された形式で取得するよう構成される。
この予備処理はネットワークデバイスによって、例えば多項式操作デバイスによって行われてもよい。
一実施形態では、鍵共有のためにネットワークデバイスを構成するためのシステムは、
秘密モジュラス、公開モジュラス、及び整数係数を有する対称二変数多項式を電子形式で取得するための鍵材料取得部であって、公開モジュラスのバイナリ表現と秘密モジュラスのバイナリ表現とは少なくとも鍵長(b)連続ビットにおいて同じである、鍵材料取得部と、
少なくとも2つの第1のネットワークデバイスのうちのネットワークデバイスのためのローカル鍵材料を生成するための生成部であって
ネットワークデバイスの識別番号(A)を電子形式で取得するための、及び生成されたローカル鍵材料をネットワークデバイスに電子保存するためのネットワークデバイスマネージャーと、
識別番号を二変数多項式に代入し、代入の結果をモジュロ秘密モジュラスによってリダクションすることにより二変数多項式から一変数多項式を決定するための多項式操作デバイスとを含む、生成部とを含む。
本発明の一側面は、ネットワークデバイスを構成するための当該システムに関する。
鍵導出デバイスは、鍵モジュラスを法としたリダクションモジュロの結果から共有鍵を導出するよう構成されたコンピュータとして、例えば集積回路、実行ソフトウェア、ハードウェア、又はこれらの組み合わせ等として実装され得る。
鍵モジュラスを法としたリダクションモジュロの結果から共有鍵を導出するステップは、鍵導出関数、例えば、OMA DRM Specification of the Open Mobile Alliance (OMA-TS-DRM-DRM-V2_0_2-20080723-A, section 7.1.2 KDF)に規定される関数KDF等の関数の適用を含み得る。共有鍵の導出は、1つ以上の最下位ビットを(鍵導出関数を適用する前に)破棄することを含み得る。共有鍵の導出は、(鍵導出関数を適用する前に)整数を加算、減算、又は連結させることを含み得る。
それぞれが識別番号及び対応するローカル鍵材料を有する複数のネットワークデバイスは、合わせて、ネットワークデバイスのペア間の安全な通信、例えば機密及び/又は認証通信のために構成された通信ネットワークを形成してもよい。
鍵生成はIDベースであり、デバイスペア間でペアワイズ鍵を生成することを可能にする。第1のデバイスAは、ローカル鍵材料及び識別番号から鍵を導出するアルゴリズムに依拠し得る。
Song Guo、Victor Leung、及びZhuzhong Qianによる論文“A Permutation-Based Multi-Polynomial Scheme for Pairwise Key Establishment in Sensor Networks”を参照する。
本発明の一側面は、第2のネットワークデバイスと共有される鍵長(b)ビットの共有暗号鍵を、多項式及び第2のネットワークデバイスの識別番号から決定する方法に関する。
本発明に係る方法は、コンピュータ実行方法としてコンピュータ上に、専用ハードウェアとして、又は両者の組み合わせとして実装されてもよい。本発明に係る方法のための実行可能コードがコンピュータプログラム製品上に記憶されてもよい。コンピュータプログラム製品の例は、記憶装置、光学記憶装置、集積回路、サーバ、オンラインソフトウェア等を含む。好ましくは、コンピュータプログラム製品は、当該プログラム製品がコンピュータ上で実行されるとき本発明に係る方法を実行するためのコンピュータ読み取り可能媒体上に記憶される非一時的プログラムコード手段を含む。
好ましい一実施形態では、コンピュータプログラムは、コンピュータ上で実行されたとき、本発明に係る方法のステップを全て実行可能なコンピュータプログラムコード手段を含む。好ましくは、コンピュータプログラムはコンピュータ読み取り可能媒体に組み込まれる。
第2のネットワークデバイスと共有される鍵長(b)ビットの共有暗号鍵を、多項式及び第2のネットワークデバイスの識別番号から決定するよう構成されたネットワークデバイスが提供される。リダクションアルゴリズムを使用して、第2のネットワークデバイスの識別番号において多項式が評価され、モジュロ公開モジュラス及びモジュロ鍵モジュラスによるリダクションが行われる。リダクションアルゴリズムは、多項式の項にわたる繰り返しを含む。多項式の特定の項に関連付けられた、繰り返しのうちの少なくとも1つは、第1及び第2の乗算を含む。第1の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の最下部との間であり、係数の最下部は、特定の項の係数の鍵長最下位ビットによって形成される。第2の乗算は、識別番号と、多項式の表現から取得された特定の項の係数の更なる部分との間であり、係数の更なる部分は、特定の項の係数の鍵長最下位ビットとは異なるビットによって形成され、更なる部分及び最下部は、合わせて、多項式の特定の項の係数より厳密に少ないビットを形成する。
本発明の上記及び他の側面は、後述される実施形態を参照して説明され、明らかになるであろう。
図1a及び図1bは、通信ネットワークを示す概略的なブロック図である。 図2は、共有鍵の生成を示す概略的なフローチャートである。 図3は、共有鍵の生成を示す概略的なシーケンス図である。 図4a−図4fは、様々なリダクションアルゴリズムを表す。 図5は、共有鍵の生成を示す他の概略的なフローチャートである。
異なる図において同じ参照符号を有するアイテムは、同じ構造的特徴及び同じ機能を有する、又は同じ信号であることに留意されたい。かかるアイテムの機能及び/又は構造が既に説明されている場合、発明を実施するための形態においてそれらを繰り返し説明する必要はない。
本発明は多様な実施形態を取り得るが、図面及び本明細書では、1つ又は複数の特定の実施形態が詳細に図示及び記載される。本開示は本発明の原理の例示として考えられるべきであり、本発明を図示及び記載される特定の実施形態に限定するものではないことを理解されたい。
図1aは、セットアップフェーズ中の通信ネットワーク100を図示する概略的なブロック図である。図1aはネットワーク権限160を示す。図1aは、更に、複数のネットワークデバイスを示し、第1のネットワークデバイス110及び第2のネットワークデバイス120が示されている。
ネットワークデバイスは登録フェーズ及び使用フェーズを有する。登録フェーズでは、関与しているネットワークデバイスに識別番号及びローカル鍵材料が供給される。ローカル鍵材料はネットワーク権限160によって供給される。
ネットワーク権限160は、例えば電子サーバの形態で実装され、例えば製造中にデバイスに直接結合され得る。ネットワーク権限160は、例えばインターネットを介して後にローカル鍵材料を供給し得る。
使用フェーズ中、2つ(以上)のネットワークデバイスが他のネットワークデバイスの公開識別番号を要求し、それを各自のローカル鍵材料と組み合わせることにより、共有鍵を確立し得る。
「構成出願」は、ネットワーク権限160がローカル鍵材料をどのように導出し得るかの詳細な説明を提供する。一実施形態では、ネットワーク権限は、秘密モジュラス(p)、公開モジュラス(N)、及び整数係数を有する二変数多項式(f)を電子形式で取得するステップであって、公開モジュラスのバイナリ表現及び秘密モジュラスのバイナリ表現は、少なくとも鍵長(b)の連続ビットにおいて同じである、ステップと、ネットワークデバイスのローカル鍵材料を生成するステップであって、ネットワークデバイスの識別番号(A)を電子形式で取得するステップと、多項式操作デバイスを使用して、二変数多項式に識別番号を代入し、代入の結果にリダクションモジュロ秘密モジュラス(秘密モジュラスを法とする計算)を行うことにより二変数多項式から一変数多項式を決定するステップとを含む、ステップと、生成されたローカル鍵材料をネットワークデバイスに電子保存するステップとを含む方法を実行する。
言い換えれば、ネットワーク権限は二変数多項式から開始し、ネットワークデバイスの識別番号を代入することによりそれを一変数多項式に変換し得る。リダクション及び係数等を特定の方法で選ぶことで、このプロセスのセキュリティを向上させることができる。最終的に、特定のネットワークデバイスに保存される、当該ネットワークデバイスのための特定の一変数多項式が得られる。
他の実施形態では、ネットワークデバイスのためのローカル鍵材料を生成するステップは、難読化数を生成するステップと、多項式操作デバイスを使用して難読化数を一変数多項式の係数に加えて難読化された一変数多項式を得るステップとを含み、生成されたローカル鍵材料は難読化された一変数多項式を含む。
一変数多項式から共有鍵を生成するために、ネットワークデバイスは、他のネットワークデバイスの外部識別番号を取得し、他のネットワークデバイスにローカル識別番号を送信し、外部識別番号を難読化された一変数多項式モジュロ公開モジュラスに代入し、モジュロ鍵モジュラスによってリダクションし得る。公開モジュラス及び鍵モジュラスは登録フェーズ中に又は前に合わせて選択され、参加する全てのネットワークデバイスに関して同じである。鍵モジュラスは所望の鍵のサイズに依存し、典型的には2の鍵長乗である。リダクション結果モジュロ鍵モジュラスから、共有鍵が導出され得る。鍵の導出は、鍵のビット間のエントロピーを広げ及び/又は集約させるための鍵導出ステップ、例えば暗号ハッシュの適用を含み得る。
不都合なことに、二変数多項式の選択方法に起因して、共有鍵が完全に同一ではない可能性がある。これは、例えばアドホックネットワークの場合、一部のネットワークデバイスが直接通信できなくても問題がない可能性があり、同様に、低コスト又は低セキュリティアプリケーションの場合、ある程度の失敗率は許容可能であり得るため、許容され得る。等しい鍵を得る確率は、鍵等化プロセスを使用することによって高められ得る。多くの場合に又は常に同じ結果を与えるリダクションアルゴリズムをいくつか説明する。実際には、共有鍵の決定が低い確率で失敗し得るという事実に基づき、常に完全に同一な結果を与えないが、高確率で与えるアルゴリズムが使用され得ることが特に好適である。
ネットワーク権限は、2つ(二変数)より多くの変数、例えば3、4、又はそれ以上の変数を有する多変数多項式を使用し得ることに留意されたい。この場合、共有鍵を導出するのに、複数のネットワークノードが自身の識別番号を供給しなければならない。ネットワーク権限は非対称多項式を使用し得ることに留意されたい。この場合、ネットワークデバイスは複数のグループに分割され、各グループの少なくとも1つのメンバーが自身の識別番号を供給しなければ共有鍵を導出することはできない。
例えば、ネットワーク権限は、係数KM (i=0,...,α)を含む
Figure 2016512005
 の形式の鍵材料のセットをデバイスAのために生成し得る。Aは、
Figure 2016512005
(N=2(α+2)b−1)を実行することにより、識別子ηを有する他のデバイスBとの共通鍵を生成することができる。この多項式の評価は、小さい組み込みプロセッサ上で効率的に実行されなければならない。パラメータ、ルート鍵材料、及びローカル鍵材料の選択方法の例については、「構成出願」の17〜25頁を特に参照されたい。
効率的な多項式評価法の1つは、いわゆるホーナー法であるが、この方法は更に著しく最適化され得る。多項式評価は、128ビットより大きいサイズを有する大きい数の係数を用いて実行される。したがって、共通鍵KABの評価は、大きな数の中間記憶のためにあまり多くのメモリを要することなく行われなければならない。更に、多項式はモジュロN上で評価され、高コストの除算を行うことなく実施されるべきである。本発明は、組み込みマイクロプロセッサ上で、最小のメモリ(フラッシュ及びRAM)を使用しながら高速で多項式評価を実行するための最適化を提供する。
Nの特に良好な選択は、2(a+2)b付近である。多項式の次数及び鍵長に関するNのサイズは、システムを攻撃から保護することを助ける。Nが2のべき乗に近いため、モジュロ演算は加算、及び場合によっては(1又は−1でなければ)小さなオフセットとの乗算によって表現され得る。一部の最適化、例えば、最も高い次数及び最も低い次数の繰り返しをループ外に出すこと、Nごとのワード等はNに依存しない。
図1bは、複数のネットワークデバイスを含む通信ネットワーク100を図示する概略的なブロック図であり、第1のネットワークデバイス110及び第2のネットワークデバイス120が示されている。第1のネットワークデバイス110について説明する。第2のネットワークデバイス120は同様であるか、又は同じ原理に則って動作し得る。
ネットワークデバイス110は、第2のネットワークデバイス120と有線又は無線で電子形式、例えばデジタル形式のメッセージを送受信するための送信機及び受信機を兼ね備える送受信機130を含む。更に、送受信機130は、例えばネットワーク権限160又は他の信頼できる第3者機関からローカル鍵材料を受信するためにも使用され得る。送受信機130を介して、図1bでは第2のネットワークデバイス120である他のネットワークデバイスの識別番号が受信される。
送受信機は送信機及び受信機の組み合わせである。ローカルに共有鍵を導出するには受信機のみが必要であることに留意されたい。共有鍵が第1のデバイス及び第2のデバイスにおいておおよそ同時に導出されなければならない場合、送信機を適宜使用して識別番号が送信され得る。
ネットワークデバイス110は、ローカル鍵材料ストレージ144を備える。ローカル鍵材料ストレージ144は、ローカル鍵材料を保存するためのローカルメモリ、例えばフラッシュメモリ等の不揮発性メモリとして実装され得る。また、ローカル鍵材料ストレージ144は、例えば送受信機130を介して例えばネットワーク権限160からローカル鍵材料を取得するよう構成されてもよい。ローカル鍵材料ストレージ144は、多項式操作デバイスに必要なパラメータを供給するよう構成される。ローカル鍵材料ストレージ144によって保存されるローカル鍵材料は、後に第1のネットワークデバイスによって評価される多項式の表現を含む。例えば、多項式の表現は、例えば次数によってソートされた多項式の係数のリストであり得る。しかし、多項式の表現は様々な方法で最適化され、実際には、係数の一部は最終結果に対して非常に小さい影響を有する。共有鍵の決定は、最終結果に対して大きな影響を及ぼさないであろうこれらの計算を省くことによって最適化される。これにより、計算を最適化し得るだけでなく、係数の使用されない部分を保存しないことにより、表現のストレージも最適化され得る。
ネットワークデバイス110は、リダクションアルゴリズムに従って外部識別番号に多項式を適用してリダクション結果を取得するよう構成された多項式操作デバイス142を含む。リダクションアルゴリズムは、難読化された一変数多項式に第2のネットワークデバイスの識別番号を代入し、その結果に対して2つのリダクション、すなわちまず代入の結果モジュロ公開モジュラス、次にモジュロ鍵モジュラスによるリダクションを実行した場合に得られるであろう結果に対応する、すなわち近似するリダクション結果を与えるよう構成される。リダクション結果は他方のアルゴリズムの結果に近似するという点で対応する。
多くの場合、リダクション結果は、第2のネットワークデバイスの識別番号をローカル鍵材料に対応する多項式に代入し、その結果に対して2つのリダクション、すなわちモジュロ公開モジュラス及びモジュロ鍵モジュラスを実行した結果に等しくなる。残念ながら、両者は異なる場合がある。両者が異なる場合、通常、差異は1つの又は少数の最下位ビットに限られる。2つの値が1%未満、より好ましくないが10%未満の確率で異なることが好ましい。
難読化された多項式又は2つの秘密モジュラスから導出された多項式の使用は、同様に、異なるデバイス上で取得されたリダクション結果がまれに異なり得るという特性を有することに留意されたい(「構成出願」を参照)。このため、システムは既にこの事実に対処する準備、例えば鍵等化又は他の解決策を備えているので、追加でまれに更なる差異がリダクション結果に導入されることは、大した追加の負担ではないと考えられる。
ネットワークデバイス110は、リダクションモジュロ鍵モジュラスの結果から共有鍵を導出するための鍵導出デバイス146を含む。例えば、鍵導出デバイス146は1つ以上の最下位ビットを除去し得る。また、鍵導出デバイス146は鍵導出関数を適用し得る。更なる処理を行うことなく、第2のリダクションの結果を使用することも可能である。
ネットワークデバイス110は、オプションの鍵等化部(イコライザー)148を含む。第1のネットワークデバイスで導出された共有鍵と第2のネットワークで(第1のネットワークデバイスの識別番号に基づいて)導出された鍵が等しくない可能性があることに留意されたい。これが望ましくないと考えられる場合、続いて鍵等化プロトコルが実行され得る。
ネットワークデバイス110は、共有鍵を暗号アプリケーションに使用するよう構成された暗号要素150を含む。例えば、暗号要素150は、第1のネットワークデバイスのメッセージ、例えばステータスメッセージを第2のネットワークデバイスに送信する前に、共有鍵を用いてメッセージを暗号化又は認証し得る。例えば、暗号要素150は、第2のネットワークデバイスから受信されたメッセージを解読又はその真正性を検証し得る。
典型的には、デバイス110及び120は、それぞれ、デバイス110及び120に保存される適切なソフトウェアを実行するマイクロプロセッサ(図示無し)を含み、例えば、ソフトウェアは対応するメモリ、例えばRAM又はフラッシュメモリ等の不揮発性メモリ(図示無し)にダウンロード及び保存され得る。
図2は、共有鍵200の生成方法を示す概略的なフローチャートである。方法は、他のネットワークデバイスの外部識別番号を取得するステップ210、ローカル識別番号を他のネットワークデバイスに送信するステップ220、多項式及び受信された識別番号に対してリダクションアルゴリズムを実行するステップ230、共有鍵を導出するステップ250、他のネットワークデバイスに鍵確認メッセージを送信するステップ260、鍵が確認されたか否かを決定するステップ270、及び暗号アプリケーション280を含む。ステップ270において鍵が確認されない場合、方法は新しい鍵を導出するステップ250において継続する。例えば、ステップ250は、鍵が確認されない度に1つの追加の最下位ビットを除去し得る。
図4a−図4fを用いて説明されるように、リダクションアルゴリズムには様々な選択肢が存在する。リダクションアルゴリズムの実行は、多項式操作デバイスによってなされ得る。これは、以下で説明されるアルゴリズムに係るソフトウェアを有するマイクロプロセッサ上で実行され得る。
ステップ250、260、及び270は、合わせて、鍵等化プロトコルを形成する。例えば、ステップ260において、ナンス、及びステップ250で導出された共有鍵によるナンスの暗号化が第2のデバイスに送信され得る。ステップ260において、第2のデバイスからメッセージが受信される。受信されたメッセージは、単純に受信された鍵確認メッセージが鍵が異なることを示した旨を表し得る。また、受信メッセージは鍵確認メッセージを含んでもよい。後者の場合、第1のネットワークデバイスは鍵確認メッセージを検証し、鍵が等しいか否かを確認する。鍵が等しくない場合、例えばLSBを消去することにより新たな鍵が導出される。
当業者にとって明らかなように、当該方法は多様に実行可能である。例えば、ステップの順番は変更され、一部のステップは並列に実行され得る。また、ステップ間に他の方法ステップが挿入されてもよい。挿入されるステップは本明細書が開示するような方法の改良に相当してもよいし、方法とは無関係でもよい。例えば、ステップ210及び220は、少なくとも部分的に並列に実行され得る。また、所与のステップが完全に終了する前に次のステップが開始されてもよい。
図3は、2つのネットワークデバイスA及びBによる共有鍵の生成中の両デバイス間の可能なメッセージシーケンスを概略的な形式で示す。時間は下方向に進む。ステップ310において、ネットワークデバイスAは自身の識別番号をデバイスBに送信する。ステップ320において、デバイスBは自身の識別番号、並びに、識別番号A及び自身のローカル鍵材料に基づいて導出した共有鍵(K1)についての鍵確認メッセージを送信する。ステップ330において、デバイスAは両者が同じ鍵を生成しなかったことを発見した。デバイスAは1つのLSBを消去し(例えば、整数割る2)、鍵K2を得た。ステップ330において、デバイスAは新たな鍵確認メッセージを送信する。このようにして、A及びBは、ステップ350で同じ鍵にたどり着くまで鍵確認メッセージ340を交換する。ステップ350において、デバイスAは鍵確認メッセージをデバイスBに送信する。デバイスBは、両者が同じ鍵にたどり着いたことを検証できた。ステップ360において、デバイスBはその確認を送信し、これは認証メッセージ又は鍵確認メッセージ等であり得る。ステップ370において、デバイスAは同じになった共有鍵を用いて(例えば、AESを用いて)暗号化された及び/又は(例えば、HMACを用いて)認証されたメッセージM1を送信する。
以下のアルゴリズムはこのアプローチ、すなわち、デバイスA及びBによって実行される相互鍵合意及びセッション鍵導出のためのプロトコルの可能な実装形態を与える。
Figure 2016512005

プロトコルは、本明細書に開示されるような鍵共有アルゴリズムを用いて生成されたビット列の複数のビットを除去し、認証ハンドシェイク、例えばチャレンジレスポンスを実行する。認証ハンドシェイクは鍵確認メッセージを含み得る。成功しない場合、更にいくつかのビットが除去され、ハンドシェイクが成功するまで又は鍵が短くなり過ぎるまで繰り返される。プロトコルは多様に変更され、例えば、プロトコルの実行を監視している傍受者がAとBとの間で共有される共通鍵の長さについて如何なる情報も得られないよう、反復に応じて可変のビット数を除去することによって、又は常に一定数のステップを要求することによって変更され得る。このアプローチは、共有鍵が可能な限り長いことを保証するという利点を有するが、共通鍵に関する合意のために複数の交換を要するという潜在的なデメリットを有する。一方、ほとんどのアプリケーションではこれは大きな問題とならない。ほとんどのデバイスペアにおいて鍵は等しくなる又は数ビットしか違わず、比較的多数の異なる最下位ビットに至るのは少数のデバイスペアのみだからである。これは生成される鍵の特性による。
例えば「構成出願」に記載されるように、両デバイスが同じ鍵に到達するための他の方法が存在する。
図4a−図4fを通じて、以下の規定が用いられる。結果のリダクションを実行するネットワークデバイスは第1のネットワークデバイスであり、自身の識別番号を供給するネットワークデバイスは第2のネットワークデバイスである。bは鍵長を示し、α(文章中ではaとも記される)は多項式の次数を示し、KMη,jは第1のネットワークデバイスに対応する多項式の次数jの項に対応する係数を示し、ηは第1のネットワークデバイスの識別番号であり、η’は第2のネットワークデバイスの識別番号であり、Nは公開モジュラスである。<...>という表記は、括弧内の数モジュロcのモジュロリダクションを示す。>>cという表記は、cビットの右シフト、すなわち、2によって割り、次の整数に切り捨てることを示す。
Input、Output、for、end for、returnらの語は、コンピュータアルゴリズムの分野において標準的である。
例では、好適な公開モジュラスN=2(α+2)b−1が使用される。この特定のモジュラスは、特に速くエレガントなリダクションを可能にする。特に、公開モジュラスが2のべき乗(2(a+2)b)−(正の)オフセットであり、指数が鍵長の倍数で、オフセットの絶対値が2の鍵長乗未満の場合、アルゴリズムは異なるモジュラスに対して採用され得る。オフセットが1より大きい場合、例えば3の場合、最上部が一度ではなくオフセット回、最下部に加えられる。オフセットが引かれるのではなく足される場合、最上部が最下部に加えられる。
一例として、α=2及びb=128を取ることができる。より高いセキュリティのためにはより大きい値、例えばα=4又は6が使用され得る。
図4aは、リダクション結果を得る方法をいわゆる疑似コードの形式で示す。
第3行及び第5行は、係数KMη,jによって与えられる多項式の項にわたる繰り返しを示す。各繰り返しにおいて、中間値「key」に新たな係数が掛けられる。この鍵
Figure 2016512005
の評価の実施形態は、いわゆるホーナー法を使用する。
図4bのアルゴリズムは図4aのそれと類似するが、使用されるモジュラスの特定の形式を利用する。Nが特別な形式N=2(α+2)b−1であることを利用することにより、temp ← <key×η+KMのステップが最適化される。したがって、R=key×ηとすると、Rは2つの部分R=R(α+2)b+Rに分割され、ここで、RはRの2(α+2)b最下位ビット(lsb)であり、RはRの残りのMSBである。これに基づき、<2(α+2)b=1なので、<R>=<R(α+2)b+R=R+Rと計算することできる。正確には、<R+Rであり、R+Rが大き過ぎない場合、すなわちN未満の場合、これはR+Rと等しい。より正確には、リダクションモジュロNをもう一度行ってもよく、これは近似を与える。しかし、RはNと比べると非常に小さいので、二度目のリダクションを行わないことによって誤差が導入される可能性は低い。あるいは、(同じ仕組みで)ステップ7の後にモジュロNリダクションを行い、その後にステップ8を適用してもよい。
N=2(α+2)b−オフセットの場合、同様の最適化が得られる。ここで、オフセットはNに比べて小さく、例えば0より大きいが鍵モジュラス(2)未満である。
図4cは不要な計算を回避する。最終結果に影響を及ぼさない又はまれにしか及ぼさない中間計算を実行しないことにより、図4a及び図4bのリダクションアルゴリズムのパフォーマンスが向上され得る。図4cでは、最初と最後の繰り返しがより少ない計算を要することが利用される。また、この設計では、実行により少ない計算を要する次式R=key×η’+KM、よって<R=<Rj,1×2(α+2)b+Rj,0≒Rj,1+Rj,0を使用してモジュロNリダクションが排除される。
この最適化は、η≦2−1且つKM≦2(α+2)b−1という事実を利用する。(key×η’+KM_)≦2(α+3)b−2<2(α+3)b−1なので、演算key ← <key×η’+KMは効率的に実行され得る。
したがって、keyはkey=R(α+2)b+Rとして表され得る(R≦2−1)。Nによるリダクションは同様に単純な加算であるが、常にbビットを有する。
図4a、図4b、及び図4cのアルゴリズムは、合わせて係数全体よりも小さい部分を形成する係数の更なる部分及び最下部による第1及び第2の乗算において識別番号が使用される、すなわち、多項式の一部が使用されないという特徴を有さない。リダクションアルゴリズム4a〜4cは、アルゴリズム4d〜4fとの比較のために含められた。
図4dはデータ保存要求を低減する。鍵の生成時、多項式係数の全てのビットが必要とされない。このアルゴリズムは使用されるビットのみを保存するだけでよい。また、このアプローチは必要な計算回数の減少をもたらす。MSBという表記は、c最上位ワードを示す。LSBという表記は、c最下位ワードを示す。ワードの幅は鍵長(b)ビットである。
図4dは、第3行及び第10行において、多項式の項KMηにわたる繰り返しを示す。この特定の実施形態では、各繰り返しは多項式の特定の項に関連付けられ、すなわち、繰り返しは順に次数α−1から1と関連付けられる。次数α及び0に対応する繰り返しは、ループ外で実行される。
第5行は、識別番号(η’)と、多項式の表現から得られた特定の項の係数の最下部との間の第1の乗算を示す。係数の最下部は、特定の項の係数の鍵長最下位ビットによって形成される。
第4行は、識別番号と、多項式の表現から得られた特定の項の係数の更なる部分との間の第2の乗算を示す。係数の更なる部分は、特定の項の係数の鍵長最下位ビットとは異なるビットによって形成される。
ほとんどの繰り返しに関して、更なる部分と最下部とは合わせて多項式の特定の項の係数よりも厳密に少ないビットを形成することに留意されたい。実際には、それらは多項式の特定の項の係数よりも少ないワードを有する。使用されない係数は、保存される必要もない。
各繰り返しにおいて、最下部はちょうど(鍵長ビットの)1ワードであることに留意されたい。しかし、更なる部分のビット数はループ内で減少し、すなわち次数と共に減少する。
更なる部分のワード数は、次数(j)+エラー制御数(red)である。ここでは、エラー制御数として1が選択される。エラー制御数は、リダクションアルゴリズムの結果が図4aのアルゴリズムの結果と正確に同じになる確率を決定する。第1のネットワークデバイスと第2のネットワークデバイスとの間で異なる結果が得られる確率を下げるために、エラー制御数が例えば2に上げられてもよい。より大きい値も可能だが、確率はエラー制御数と共に指数関数的に低くなる。
このアルゴリズムは、乗算されるKM×η’の全ての部分が鍵の最終結果に寄与するわけではないという事実を更に利用する。一部は(桁上げのため)非常に小さい影響を及ぼすが、図2及び図3において説明されたように、これらの誤差は共有鍵の生成中に補正され得る。
図4dのアルゴリズムと同様に、図4eはデータ保存要求の低減を試みる。この設計は、図4dのアルゴリズムが要さないいくらかの追加ビットを保存しなければならないが、より少ない中間計算を必要とし、よって実行がより速くなるので好適である。
第4行において更なる部分が取得され、第5行において第2の乗算が示されている。第6行において、前回の繰り返しでkeyに導入された最下部との第1の乗算が実行される。第5行において、第2の乗算が実行される。
図4dの最適化は、各繰り返しにおいてKMから使用されているビットの量を記録しなければならず、追加のポインタ管理を要する。図4eのアルゴリズムはメモリ管理の要求を低減する。この最適化は、メモリ及びクロックサイクル数に関して、より効率的である。
図4fは、係数に対する予備計算ステップを要する他のリダクションアルゴリズムを示す。このアルゴリズムは低いデータ保存要求を有し、且つ図4eのアルゴリズムよりも速い。鍵材料シェアは次のようにして生成される。
Figure 2016512005
このように、各KM’は特別な形式を有し、MSB及びLSBを選択する命令がスキップされ得るため、このアプローチはより速くなる。この場合、第2のネットワークデバイスη’と鍵を生成しようとするネットワークデバイスηは、次のようにして鍵を計算し得る。
Figure 2016512005
この変換は、特定の項KMの係数の最下部及び更なる部分が、KM’では互いに隣接し、単一のビット列によって表されるという効果を有する。通常、最下部と最上部とは複数の中間ワードによって互いに分離され、次数が低い程この中間部分は大きい。変換により、第1及び第2の乗算は単一のステップで実行され得る。
図4fで使用される係数はこのように変換されている。結果として、第3行の乗算は第1及び第2の乗算を同時に行う。好ましくは、変換はTTPによって行われ、ネットワークデバイスはこれらの変換された係数をローカル鍵材料ストレージ内に保存することに留意されたい。
下の表は、後半のリダクションアルゴリズムの相対的優位性を示す。アルゴリズムはフラッシュにおいて実行され、動的メモリとしてRAMが使用された。実行時間はCPUサイクルで測定された。テストランに使用された構成はα=6、b=32、及び32−bit CPU(ARM Cortex−M)である。図4a及び図4bのアルゴリズムは、以下に与えられる例と比べて劣る。
Figure 2016512005
図5は、多項式及び第2のネットワークデバイスの識別番号から第2のネットワークデバイスと共有される鍵長(b)ビットの共有暗号鍵を決定するための方法をフローチャート形式で再び示す。多項式は複数の項を有し、各項は異なる次数及び係数に関連付けられる。
ステップ510において、ローカル鍵材料が第1のネットワークデバイスのための電子形式で保存される。ローカル鍵材料は、後に第1のネットワークデバイスによって評価される多項式の表現を含む。ステップ520において、第1のネットワークデバイスとは異なる第2のネットワークデバイスの識別番号が取得される。ステップ530において、リダクションアルゴリズムに従って多項式が識別番号に適用され、リダクション結果が得られる。ステップ540において、例えばKDF等の鍵導出アルゴリズムにより、リダクション結果から共有鍵が導出される。加えて、鍵等化アルゴリズムが実行されてもよい。ステップ530はリダクションアルゴリズムを含み、これは、ステップ522、524、及び526への破線矢印によって示されている。
ステップ522において、多項式の項にわたる繰り返しが開始され、少なくとも1つの繰り返しが多項式の特定の項と関連付けられる。ステップ524において、識別番号と、多項式の表現から取得された特定の項の係数の最下部との間の第1の乗算が実行される。係数の最下部は、特定の項の係数の鍵長最下位ビットによって形成される。
ステップ526において、識別番号と、多項式の表現から取得された特定の項の係数の更なる部分との間の第2の乗算が実行される。係数の更なる部分は、特定の項の係数の鍵長最下位ビットとは異なるビットによって形成され、更なる部分及び最下部は、合わせて、多項式の特定の項の係数よりも厳密に少ないビットを形成する。
当業者にとって明らかなように、方法を実行する多数の異なる態様が可能である。例えば、ステップの順番が変更され、又は一部のステップが並列に実行されてもよい。また、ステップ間に他の方法ステップが挿入されてもよい。挿入されるステップは本明細書が開示するような方法の改良に相当してもよいし、方法とは無関係でもよい。例えば、更なる部分及び最下部が隣接する数を作成することにより、ステップ524及び526が合わせて実行されてもよい。また、所与のステップが完全に終了する前に次のステップが開始されてもよい。
本発明に係る方法は、プロセッサシステムに方法500を実行させるための命令を含むソフトウェアを用いて実行され得る。ソフトウェアは、システムの特定のサブエンティティによって実行されるステップのみを含んでもよい。ソフトウェアはハードディスク、フロッピー(登録商標)、メモリ等の適切な記憶媒体内に記憶され得る。ソフトウェアは有線若しくは無線による信号として、又はインターネット等のデータネットワークを用いて送信され得る。ソフトウェアはダウンロード及び/又はサーバ上での遠隔使用により利用可能でもよい。
本発明は、本発明を実行するよう適合されたコンピュータプログラム、特にキャリア上の又はキャリア内のコンピュータプログラムまで及ぶ。プログラムは、ソースコード、オブジェクトコード、部分的にコンパイルされた形式等のソースコード及びオブジェクトコードの中間コードの形式、又は本発明に係る方法の実装形態に適した任意の他の形式を取り得る。コンピュータプログラム製品に関する一実施形態は、上記方法のうちの少なくとも1つの方法の処理ステップのそれぞれに対応するコンピュータ実行可能な命令を含む。これらの命令はサブルーチンに細分化されてもよいし、更に/又は静的に又は動的にリンクされ得る1つ以上のファイル内に保存されてもよい。コンピュータプログラム製品に関する他の実施形態は、上記システム及び/又は製品のうちの少なくとも1つの手段のそれぞれに対応するコンピュータ実行可能な命令を含む。
上記実施形態は本発明を限定ではなく説明するものであり、当業者は多数の他の実施形態を設計できることに留意されたい。
請求項において、括弧内の如何なる参照符号も請求項を限定すると解されるべきではない。動詞「備える(又は含む若しくは有する等)」及びその活用形は請求項内に記載されている以外の要素又はステップの存在を除外しない。要素は複数を除外しない。本発明は、複数の異なる要素を備えるハードウェアによって、及び、適切にプログラミングされたコンピュータによって実施され得る。複数の手段を列挙する装置クレームにおいて、手段のいくつかは同一のアイテム又はハードウェアによって具現化されてもよい。単にいくつかの手段が互いに異なる独立請求項に記載されているからといって、これらの手段の組み合わせを好適に使用することができないとは限らない。
図1a、図1b、及び図2の参照番号のリスト
100 通信ネットワーク
110 第1のネットワークデバイス
120 第2のネットワークデバイス
130 送受信機
142 多項式操作デバイス
144 ローカル鍵材料ストレージ
146 鍵導出デバイス
148 鍵等化部
150 暗号要素
160 ネットワーク権限
210 他のネットワークデバイスの外部識別番号を取得
220 他のネットワークデバイスにローカル識別番号を送信
230 リダクションアルゴリズムを実行
250 共有鍵を導出
260 他のネットワークデバイスに鍵確認メッセージを送信
270 鍵が確認されたか?
275 No
280 暗号アプリケーション

Claims (15)

  1. 第2のネットワークデバイスと共有される鍵長ビットの共有暗号鍵を、多項式及び前記第2のネットワークデバイスの識別番号から決定する第1のネットワークデバイスであって、前記多項式は複数の項を有し、各項は異なる次数及び係数と関連付けられ、前記第1のネットワークデバイスは、
    前記第1のネットワークデバイスによる前記多項式の評価において使用される前記多項式の表現を含む前記第1のネットワークデバイスのローカル鍵材料を保存するための電子ストレージと、
    前記第1のネットワークデバイスとは異なる前記第2のネットワークデバイスの前記識別番号を取得するための受信機と、
    リダクションアルゴリズムに従って前記多項式を前記識別番号に適用する多項式操作デバイスと、
    リダクション結果から前記共有鍵を導出するための鍵導出デバイスと
    を含み、
    前記リダクションアルゴリズムは、前記多項式の項にわたる繰り返しを含み、前記多項式の特定の項に関連付けられた少なくとも1つの繰り返しは、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の係数の最下部との間の第1の乗算であって、前記係数の前記最下部は、前記特定の項の前記係数の鍵長最下位ビットによって形成される、第1の乗算と、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の前記係数の更なる部分との間の第2の乗算であって、前記係数の前記更なる部分は、前記特定の項の前記係数の前記鍵長最下位ビットとは異なるビットによって形成され、前記更なる部分及び前記最下部は、合わせて、前記多項式の前記特定の項の前記係数より厳密に少ないビットを形成する、第2の乗算とを含む、第1のネットワークデバイス。
  2. 公開モジュラスが2のべき乗+オフセットであり、前記オフセットは好ましくは−1であり、指数は前記鍵長の倍数であり、前記オフセットの絶対値は2の前記鍵長乗未満であり、前記多項式の各係数は前記公開モジュラス未満である、請求項1に記載の第1のネットワークデバイス。
  3. 鍵モジュラスが2の前記鍵長乗に等しく、前記識別番号は前記鍵モジュラス未満である、請求項1又は2に記載の第1のネットワークデバイス。
  4. 前記多項式の項にわたる前記繰り返しの各繰り返しが、前記多項式の項のうちの特定の1つと関連付けられ、各繰り返しは、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の係数の最下部との間の第1の乗算であって、前記係数の前記最下部は、前記特定の項の前記係数の鍵長最下位ビットによって形成される、第1の乗算と、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の前記係数の更なる部分との間の第2の乗算であって、前記係数の前記更なる部分は、前記特定の項の前記係数の前記鍵長最下位ビットとは異なるビットによって形成される、第2の乗算とを含む、請求項1乃至3のいずれか一項に記載の第1のネットワークデバイス。
  5. 前記特定の項の前記係数の前記更なる部分は、前記特定の項の前記係数の最上部であり、前記係数の前記最上部は、前記特定の項の前記係数の複数の最上位ビットによって形成される、請求項4に記載の第1のネットワークデバイス。
  6. 前記更なる部分のビット数は、前記鍵長の倍数である、請求項4又は5に記載の第1のネットワークデバイス。
  7. 前記更なる部分のビット数は、前記特定の項の次数の減少と共に減少する、請求項4乃至6のいずれか一項に記載の第1のネットワークデバイス。
  8. 前記更なる部分のビット数は、前記鍵長の倍数であり、前記倍数は、前記項の次数+エラー制御数に等しい、請求項7に記載の第1のネットワークデバイス。
  9. 前記エラー制御数は1又は2に等しい、請求項8に記載の第1のネットワークデバイス。
  10. 前記多項式の係数のうちの少なくとも1つは予備処理された形式で表現され、前記予備処理された形式において、特定の項の係数の前記最下部及び前記更なる部分は互いに隣接して単一のビット列によって表現され、前記リダクションアルゴリズムは、前記第1及び第2の乗算を合わせて実行するための前記識別番号と前記単一のビット列との間の単一の乗算を含む、請求項1乃至9のいずれか一項に記載の第1のネットワークデバイス。
  11. 鍵共有のためにネットワークデバイスを構成するためのシステム、及び請求項1乃至10のいずれか一項に記載の第1のネットワークデバイスを少なくとも2つ含む鍵共有システムであって、鍵共有のためにネットワークデバイスを構成するための前記システムは、
    公開モジュラス、及び整数係数を有する対称多変数多項式を電子形式で取得するための鍵材料取得部と、
    前記少なくとも2つの第1のネットワークデバイスのうちのネットワークデバイスのためのローカル鍵材料を生成するための生成部であって、
    前記ネットワークデバイスの識別番号を電子形式で取得するための、及び生成された前記ローカル鍵材料を前記ネットワークデバイスに電子保存するためのネットワークデバイスマネージャーと、
    前記識別番号を前記多変数多項式に代入することにより、前記二変数多項式から多項式を決定するための多項式操作デバイスとを含む、生成部とを含む、鍵共有システム。
  12. ネットワークデバイスを構成するための前記システムの前記生成部は、前記決定された多項式の係数に2の前記鍵長の倍数乗を掛け、リダクションモジュロ前記公開モジュラスを行うことにより、1つ以上の係数を予備処理された形式で取得する、請求項11に記載の鍵共有システム。
  13. 第2のネットワークデバイスと共有される鍵長ビットの共有暗号鍵を、多項式及び前記第2のネットワークデバイスの識別番号から決定する方法であって、前記多項式は複数の項を有し、各項は異なる次数及び係数と関連付けられ、前記方法は、
    前記第1のネットワークデバイスによる前記多項式の評価において使用される多項式の表現を含む、前記第1のネットワークデバイスのローカル鍵材料を電子形式で保存するステップと、
    前記第1のネットワークデバイスとは異なる前記第2のネットワークデバイスの識別番号を取得するステップと、
    リダクションアルゴリズムに従って前記多項式を前記識別番号に適用してリダクション結果を取得するステップと、
    前記リダクション結果から前記共有鍵を導出するステップと
    を含み、
    前記リダクションアルゴリズムは、前記多項式の項にわたる繰り返しを含み、前記多項式の特定の項に関連付けられた少なくとも1つの繰り返しは、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の係数の最下部との間の第1の乗算であって、前記係数の前記最下部は、前記特定の項の前記係数の鍵長最下位ビットによって形成される、第1の乗算と、
    前記識別番号と、前記多項式の前記表現から取得された前記特定の項の前記係数の更なる部分との間の第2の乗算であって、前記係数の前記更なる部分は、前記特定の項の前記係数の前記鍵長最下位ビットとは異なるビットによって形成され、前記更なる部分及び前記最下部は、合わせて、前記多項式の前記特定の項の前記係数より厳密に少ないビットを形成する、第2の乗算とを含む、方法。
  14. コンピュータ上で実行されたとき、請求項13のステップを全て実行可能なコンピュータプログラムコード手段を含むコンピュータプログラム。
  15. コンピュータ読み取り可能媒体に取り込まれた請求項14に記載のコンピュータプログラム。
JP2015559575A 2013-02-28 2014-02-11 共有鍵を導出するよう構成されたネットワークデバイス Expired - Fee Related JP6328152B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201361770503P 2013-02-28 2013-02-28
US61/770,503 2013-02-28
PCT/IB2014/058891 WO2014132155A1 (en) 2013-02-28 2014-02-11 Network device configured to derive a shared key

Publications (3)

Publication Number Publication Date
JP2016512005A true JP2016512005A (ja) 2016-04-21
JP2016512005A5 JP2016512005A5 (ja) 2018-02-15
JP6328152B2 JP6328152B2 (ja) 2018-05-23

Family

ID=50190511

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015559575A Expired - Fee Related JP6328152B2 (ja) 2013-02-28 2014-02-11 共有鍵を導出するよう構成されたネットワークデバイス

Country Status (6)

Country Link
US (1) US9923720B2 (ja)
EP (1) EP2962420B1 (ja)
JP (1) JP6328152B2 (ja)
CN (1) CN105027492B (ja)
BR (1) BR112015020422A2 (ja)
WO (1) WO2014132155A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020507243A (ja) * 2017-01-05 2020-03-05 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. ネットワークデバイス及び信頼できるサードパーティデバイス

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2016104608A (ru) * 2013-07-12 2017-08-18 Конинклейке Филипс Н.В. Система для совместного использования криптографического ключа
NL2013520B1 (en) * 2014-09-24 2016-09-29 Koninklijke Philips Nv Public-key encryption system.
US9331989B2 (en) * 2014-10-06 2016-05-03 Micron Technology, Inc. Secure shared key sharing systems and methods
CN105933115B (zh) * 2016-06-24 2019-02-05 合肥工业大学 一种基于超素数的rfid安全认证方法
JP6849860B2 (ja) * 2017-10-17 2021-03-31 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 格子暗号法のために構成可能な装置
US11263328B2 (en) * 2018-09-13 2022-03-01 Vmware, Inc. Encrypted log aggregation
US11128454B2 (en) 2019-05-30 2021-09-21 Bong Mann Kim Quantum safe cryptography and advanced encryption and key exchange (AEKE) method for symmetric key encryption/exchange

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009542118A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 階層的な決定論的ペアワイズキーの事前配布方式
JP2010532126A (ja) * 2007-07-04 2010-09-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ トラストセンターリンクキーを初期化するネットワーク及び方法
JP2012503399A (ja) * 2008-09-19 2012-02-02 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ネットワークにおけるセキュア通信に関する方法、通信デバイス、ネットワーク及びコンピュータプログラム
WO2013174554A1 (en) * 2012-05-21 2013-11-28 Koninklijke Philips N.V. Key sharing device and system for configuration thereof

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007006144A1 (en) * 2005-07-11 2007-01-18 D-Wave Systems Inc. Systems, methods and apparatus for factoring numbers
US7991152B2 (en) * 2007-03-28 2011-08-02 Intel Corporation Speeding up Galois Counter Mode (GCM) computations
US8144864B2 (en) * 2007-12-28 2012-03-27 Intel Corporation Method for speeding up the computations for characteristic 2 elliptic curve cryptographic systems
US8340280B2 (en) * 2008-06-13 2012-12-25 Intel Corporation Using a single instruction multiple data (SIMD) instruction to speed up galois counter mode (GCM) computations
JP5564053B2 (ja) * 2008-10-20 2014-07-30 コーニンクレッカ フィリップス エヌ ヴェ 暗号鍵を生成する方法、ネットワーク及びコンピュータプログラム
US9077520B2 (en) 2009-03-19 2015-07-07 Koninklijke Philips N.V. Method for secure communication in a network, a communication device, a network and a computer program therefor
US8515058B1 (en) * 2009-11-10 2013-08-20 The Board Of Trustees Of The Leland Stanford Junior University Bootstrappable homomorphic encryption method, computer program and apparatus
US8861716B2 (en) * 2010-03-30 2014-10-14 International Business Machines Corporation Efficient homomorphic encryption scheme for bilinear forms
US8565435B2 (en) * 2010-08-16 2013-10-22 International Business Machines Corporation Efficient implementation of fully homomorphic encryption
US20130326315A1 (en) 2011-01-18 2013-12-05 Universitat Zurich Evaluation of polynomials over finite fields and decoding of cyclic codes
RU2636109C2 (ru) 2012-12-21 2017-11-20 Конинклейке Филипс Н.В. Использующее общий ключ сетевое устройство и его конфигурирование
RU2016104608A (ru) * 2013-07-12 2017-08-18 Конинклейке Филипс Н.В. Система для совместного использования криптографического ключа

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009542118A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 階層的な決定論的ペアワイズキーの事前配布方式
JP2010532126A (ja) * 2007-07-04 2010-09-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ トラストセンターリンクキーを初期化するネットワーク及び方法
JP2012503399A (ja) * 2008-09-19 2012-02-02 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ネットワークにおけるセキュア通信に関する方法、通信デバイス、ネットワーク及びコンピュータプログラム
WO2013174554A1 (en) * 2012-05-21 2013-11-28 Koninklijke Philips N.V. Key sharing device and system for configuration thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
OSCAR GARCIA-MORCHON, ET AL.: "Towards fully collusion-resistant ID-based establishment of pairwise keys", CRYPTOLOGY EPRINT ARCHIVE: REPORT 2012/618, vol. Version: 20121101:172837, JPN6018007865, 1 November 2012 (2012-11-01) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020507243A (ja) * 2017-01-05 2020-03-05 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. ネットワークデバイス及び信頼できるサードパーティデバイス
JP7059282B2 (ja) 2017-01-05 2022-04-25 コーニンクレッカ フィリップス エヌ ヴェ ネットワークデバイス及び信頼できるサードパーティデバイス
JP7059282B6 (ja) 2017-01-05 2022-06-03 コーニンクレッカ フィリップス エヌ ヴェ ネットワークデバイス及び信頼できるサードパーティデバイス

Also Published As

Publication number Publication date
BR112015020422A2 (pt) 2017-07-18
US20150381365A1 (en) 2015-12-31
EP2962420B1 (en) 2018-08-08
US9923720B2 (en) 2018-03-20
EP2962420A1 (en) 2016-01-06
JP6328152B2 (ja) 2018-05-23
WO2014132155A1 (en) 2014-09-04
CN105027492B (zh) 2019-05-07
CN105027492A (zh) 2015-11-04

Similar Documents

Publication Publication Date Title
JP5755391B2 (ja) 鍵共有デバイス、及び鍵共有デバイスを構成するためのシステム
JP6328152B2 (ja) 共有鍵を導出するよう構成されたネットワークデバイス
JP6190470B2 (ja) 鍵共有ネットワークデバイス及びその構成
JP7019730B2 (ja) キー交換デバイス及び方法
EP3189618B1 (en) Cryptographic system arranged for key sharing
JP6067932B2 (ja) 鍵共有デバイス及び方法
EP3161993A1 (en) Device for determining a shared key
EP3590224A1 (en) Elliptic curve isogeny based key agreement protocol
US20160156470A1 (en) System for sharing a cryptographic key
US20160301526A1 (en) System for sharing a cryptographic key
CN113726517A (zh) 一种信息共享方法及装置
WO2017025597A1 (en) Key sharing device and method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171228

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20171228

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180417

R150 Certificate of patent or registration of utility model

Ref document number: 6328152

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees