KR100960635B1 - 무선 통신 네트워크에서 완벽한 비밀키의 생성 - Google Patents

Abstract

무선 통신 네트워크에서 2개 또는 그 이상의 트랜스시버 사이의 완벽한 랜덤 비밀키를 생성하기 위한 방법 및 장치가 개시된다. 점-대-점 시스템에서, 트랜스시버 양자 모두는, 수신된 무선 신호에 기초하여 채널 임펄스 응답(CIR)의 추정값을 생성한다. CIR 추정은 동기화되고 에러 정정 및 검출을 포함할 수 있다. 긴 비밀키의 비트는, 비밀 증폭에 의해 완벽한 비밀 암호키가 도출되는 CIR의 추정값의 디지털 버전으로부터 생성된다.

비밀키, 암호키, 무선 통신 보안, 채널 상반성, 채널 임펄스 응답

Description

무선 통신 네트워크에서 완벽한 비밀키의 생성{GENERATION OF PERFECTLY SECRET KEYS IN WIRELESS COMMUNICATION NETWORKS}

본 발명은 무선 통신 보안 영역에 관한 것이다. 상세하게, 본 발명은 무선 채널 상반성(reciprocity)에 기초하여 비밀키를 생성하는 것에 관한 것이다.

많은 종래의 암호화 기술이 무선 통신에 적용될 수 있지만, 이 기술들은, 적법한 당사자들이 도청자(eavesdropper)에 의한 키 획득의 수학적 불가능성이 아니라 계산적 어려움에 의지하고 있다는 문제점이 있다. 도청자에게 이용 가능한 계산력이 증가할수록, 이와 같은 방법의 효과는 감소한다. 또한, 이와 같은 방법들은, 특정 추측이 옳은지를 검증하는 것은 대개 간단하다는 문제점도 있다. 따라서, 계산적 가정에 기초하기보다는 절대적(무조건적) 비밀을 제공하는 암호화 기술을 구축하는 것이 이로울 것이다. 이와 같은 기술을 제공하기 위한 한 가지 방법이 Maurer, Csiszar, 및 Ahlswede 등의 연구에 기초한 종래 기술의 논문에 잘 알려져 왔다. 그 접근방식의 간단한 설명은 다음과 같다.

색인 i로 표시된 사전설정된 시간에 독립 샘플 X_i 및 Y_i를 생성하는 2개의 랜덤 소스 X 및 Y에 대해 액세스하는 2명의 당사자, 앨리스와 밥이 있다고 가정한 다. 앨리스와 밥은 도청자 이브가 액세스하는 공개 채널을 통해 통신함으로써 "완벽한 비밀"키를 생성하길 원한다고 가정한다. 또한, 이브는 독립 샘플 Z_i를 생성하는 다른 랜덤 소스 Z에 대해서도 액세스할 수 있다. 랜덤 소스 Z는, 랜덤 소스 X와 Y에 대해 아마도 의존적이겠지만, X와 Y가 서로에 대해 교차-의존적인 것만큼 강하게 의존적이지 않다. 따라서, 직관적으로, 앨리스와 밥은 그들의 랜덤 소스의 더 강한 상호-의존성을 통해 이브에 비해 약간의 이점을 공유한다. 앨리스와 밥이 "완벽한 비밀" 랜덤키를 생성하기 위해 이런 의존성을 이용할 수 있다는 것이 실제로 보여져 왔다.

일반성을 잃지 않고, 키는 비트 시퀀스로서 정의될 수 있다. 길이 N 비트의 완벽한 비밀 랜덤 키는 N-비트 시퀀스 S이고, 이 키의 시퀀스가 무엇이 될 수 있는지에 대한 어느 누구(이 예에서는, 이브만이 있다)의 추정도 2^N개의 모든 가능한 N-비트 시퀀스들에 동일한 확률로 개연성이 분배되도록, 앨리스와 밥에 의해 공유된다.

공개 채널을 통해 행해지는 모든 통신을 V로 나타내고; 3명의 당사자들 각각이 그들이 액세스하는 랜덤 소스의 출력을 축적하는 타임 인스턴스(time instance)의 수를 n으로 하고; 결과 키의 길이를 │S│로 나타낸다. 그렇다면, 0보다 큰 임의의 ε에 대해, 우리는 충분히 큰 n에 대해 이하의 식이 성립되도록 하는 프로토콜을 추구한다:

수학식(1)

여기서 H는, 정보 이론에 관한 종래 기술의 논문으로부터 잘 알려져 있는, 랜덤 변수의 엔트로피이다. 주목할 점은, 수학식(1)은 키 생성을 위한 기본 리소스이므로, 랜덤 소스의 단일 샘플링에 정규화된다는 것이다.

수학식(1)에 의해 [│S│/n]과 동등한 것으로 간주될 수 있는

값을 비밀키 레이트(secret key rate)라 한다. 이후부터, 비밀키의 길이 및 비밀키 레이트라는 표기는, 상황에 따라 적절하게 호환될 수 있다. 즉, 특정 비밀키의 길이가 언급될 때마다, 이 특정 비밀키의 길이는 기저 랜덤 변수들의 몇몇 특정 양(n)의 관찰에 기초하여 도출된 것이라는 사실이 이해되어야 한다. 반면, 비밀키 레이트는, 그 개념이 랜덤 변수 관측마다 비밀키 비트의 평균 개수 중 하나인 것으로 언급된다.

비밀에 대한 상기 정의와, 모든 공개-키 시스템을 포함하는 대부분의 현대적인 암호 시스템이 의존하는 비밀에 대한 정의 사이에는, 결정적인 차이가 있음을 주목할 가치가 있다. 구체적으로, 현대의 암호 시스템은, 암호키를 추측하는 것이 계산 복잡도 관점에서 보면 극도로 어렵다는 사실에 의존한다. 그러나, 이런 시스템들 대부분은, 일단 올바른 추측이 생성되면, 이것이 정말 올바른 추측인지를 검증하는 일은 매우 쉽다. 사실, 이러한 상황은, 해독키는 비밀 유지하면서 암호키는 공개되는 시스템, 즉 임의의 공개키 시스템에서 분명히 그렇다는 것이 Maurer와 Wolf의 연구에서 암시되었다. 이 점을 설명하기 위해, 공개키 암호 시스템이 기초하는 이하의 간단한 예를 고려해 보자. 물론, 대부분의 실제적인 시스템은 훨씬 더 정교하다는 점을 염두에 두어야 한다.

p와 q는 2개의 큰 소수(prime number)이고, s=pq라고 하자. 2개의 큰 소수의 곱을 인수분해 하는 문제는 계산상 어려운 것으로 알려져 있다. 따라서, 통신 수신자 p와 q를 비밀리에 선택하게 하고, p와 q의 곱 s를 공개적으로 사용 가능하게 함으로써 공개-키 암호 시스템을 구성하는 것을 생각해 볼 수 있다. 여기서, s는, 만약 p와 q가 알려져 있지 않다면, 쉽게 해독할 수 없는 어떤 암호화 시스템을 위한 암호화 키로서 사용된다. 암호화된 메시지를 가로채기를 원하는 도청자는, 계산적으로 알아내기 어려운 인수 s에 대한 시도부터 시작할 것이다. 아마도 도청자는 포기하거나, 그 메시지의 비밀이 더 이상 문제가 되지 않을 만큼의 많은 시간이 흐를 것이다. 그러나 주목할 것은, 만약 도청자가 p를 추측한다면, 올바른 답을 얻었는지를 검증하는 것은 꽤 쉬울 것이라는 것이다. 일단 최종적으로 추측하여 올바른 답인지를 알게 되는 이런 능력은, "완벽한 비밀"과 계산적 비밀을 구분시킨다. 완벽한 비밀이란, 도청자가 키를 올바르게 추측할지라도, 그것이 정말 올바르게 추측한 것인지를 판단할 능력이 없음을 의미한다. 따라서 "완벽한 비밀"은, 매우 구체적인 의미로, 현대의 암호 시스템에서 일반적으로 행해지는 것 이상으로 더 강한 개념의 비밀이다.

우리의 시나리오에서 완벽한 비밀을 생성하는 그러한 프로토콜이 존재하는지는 명백하지 않다. 그럼에도 불구하고, 그러한 프로토콜의 존재, 또는 많은 상이한 프로토콜의 존재는, Ahlswede와 Csiszar의 연구, Csisar와 Narayan의 연구, 및 Maurer와 Wolf의 연구에서 확립되어 왔다. 이러한 종래 연구들은, 광범위한 가정하에서 랜덤 소스의 단일 샘플링마다 발생될 수 있는 랜덤 비트들의 수에 관한 다양한 상한 및 하한을 제공한다.

완벽한 비밀키를 생성하기 위한 프로세스는 다음과 같이 개략적으로 설명될 수 있다. 앨리스와 밥은, 먼저, 비트-스트링 시퀀스 S`를 확립하기 위해, 그들의 공동 무작위성을 이용하는 것에서부터 시작한다. 여기서 이브의 관점에서의 S`의 고유 엔트로피는│S│비트이며,│S│≤│S`│이다. 이것은, 앨리스와 밥 사이의 수회의 공개 교환을 사용하여 행해진다. 많은 경우, 한 번의 일방적 교환이면 충분하다. 교환의 정확한 본질은, 공동의-랜덤 소스(X, Y, Z)의 본질에 의존한다. 이 단계를 일반적으로 정보 조정(information reconciliation)이라 한다.

그 다음, 앨리스와 밥은, 시퀀스 S`를 완벽한 비밀 스트링 S로 변환하는 함수에 대해 공개적으로 동의하기 위해, 아마도 또 다른 세트의 공개 교환을 사용할 것이다. 전형적으로는 한 번의 교환이면 충분하다. 이를 비밀 증폭(privacy amplification)이라 한다. 대안으로서, 시스템 설계시, 이 함수는 미리-합의될 수도 있다. 이런 경우에는, 이브가 이를 인식하고 있다고 가정한다.

장점 증류(advantage distillation)라 불리는, 상기 기술한 제1 단계 전에 발생하는 추가 단계가 더 이용될 수 있으나, 본 명세서에는 적절하지 않으므로 이와 관련해서는 추가 기술하지 않는다.

특히 무선 통신 시스템에 적용될 때, 이 프로세스는 추가 사 양(specification)이 필요하다. 상호관련된 랜덤 소스들은, 이전 통신 없이 생성하기에는 연역적으로 어렵지만, 무선 채널은 이와 같은 리소스를 채널 임펄스 응답의 형태로 제공한다. 특히, 특정 통신 시스템에서는, 2명의 당사자(앨리스와 밥)는, 앨리스로부터 밥에게 및 밥으로부터 앨리스에게 통신할 때, 매우 유사한 채널 임펄스 응답(CIR)을 측정할 것이다[예를 들어, 광대역 코드 분할 다중 접속(WCDMA) 시간 분할 듀플렉스(TDD) 시스템은 이런 속성을 갖는다]. 반면, 앨리스 및 밥과 물리적으로 함께-배치되지 않은 임의의 당사자는, 앨리스 및 밥의 채널 임펄스 응답(CIR)과는 상관성이 거의 없는 채널 임펄스 응답(CIR)을 관찰할 것이다. 이 차이는 완벽한 비밀키의 생성을 위해 이용될 수 있다. 또한, CIR 측정마다 소정 개수의 완벽한 비밀 비트를 생성하는 것은 흥미로울 것이다. 주목할 것은, CIR측정은, 다소 독립적으로 되도록 시간적으로 꽤 넓게 이격되어야 한다는 것이다.

따라서, 암호화에 적용되는 최악의 경우를 가정하여, 도청자가 2개의 무선 단말기 사이에서 교환된 임의의 비트를 가로챌 수 있고, 비밀키를 도출하기 위해 2개의 단말기에 의해 사용된 알고리즘을 알고있는 상황에 직면하더라도, 상호 무선 채널로부터 그 비밀 비트 스트링을 명시적으로 추출하는 시스템을 설계할 필요가 있다.

역시, 또 다른 논쟁은, 오직 각각의 트랜스시버(transceiver) 쌍만이 본래의 고유 채널 속성을 공유하면서, 트랜스시버의 전체 네트워크가 공통의 완벽한 비밀키를 공유하도록, 2개의 트랜스시버 단말기로부터의 완벽한 비밀키의 생성을 복수의 트랜스시버까지 연장하는 것이 바람직할 수 있다는 것이다. 즉, 각각의 트랜스시버 쌍은 공통 랜덤 키를 생성하지만, 이 키들은 쌍쌍마다 상이하다. 이는, 동일한 정보가 하나 보다 많은 수신기에 브로드캐스팅될 때, 이와 같은 네트워크에서의 정보 공유를 매우 비효율적으로 만든다. 그 이유는, 메시지가 각각의 수신기에 대해 상이한 키로 암호화되고, 그 후, 상이한 메시지로서 나타나기 때문에, 각각의 수신기에 개별적으로 전달되어야만 하기 때문이다. 이와 대조적으로, 공유된 키로 암호화된 메시지는 한번에 멀티캐스팅될 수 있고, 모든 적법한 수신기는 그 한 번의 전송을 해독할 수 있다.

본 발명은, 도청자가 아무리 큰 확신이 있더라도 키를 도출하거나 추측하는 것이 수학적으로 불가능하도록, 무선 통신 네트워크 내의 복수의 단말기들 사이의 완벽한 랜덤 비밀키를 생성하기 위한 방법 및 시스템이다. 본 발명은, 점-대-점(point-to-point) 무선 채널에 내재한 고유의 무작위성(randomness)을 이용한다. 도청자가 올바른 키를 추측할 수는 있더라도, 그것이 잘못된 키인지의 여부를 구별할 방법은 없다.

한 쌍의 트랜스시버 사이에서, 리드(lead) 트랜스시버가 공유된 채널의 CIR 추정값을 도출하고, 그 CIR 추정값은 긴 비밀키를 생성하기 위해 개별적으로 처리된다. 에러 정정 코드가 생성되고, 패리티 비트(parity bit)들이 제2 트랜스시버에 전송된다. 제2 트랜스시버에서 동기화된 CIR 추정을 보장하기 위해, 선택사항으로서의 동기화 비트 스트링도 생성되어 제2 트랜스시버에 전송된다. 제2 트랜스시버는 공유된 채널의 CIR 추정값을 독립적으로 도출하고, 리드 트랜스시버에 의해 전송되어온 수신된 패리티 비트 및 동기화 코드로 CIR 추정값을 처리한다. 그 결과는, 패리티 비트 외에는 공개적으로 공유된 키를 갖지 않고, 리드 트랜스시버에서 도출된 긴 비밀키와 동일한 긴 비밀키이다. 교환된 패리티 비트에 의해 잃게 된 상관성 및 비밀을 제거하기 위해, 각각의 트랜스시버는 그 긴 비밀키를 비밀 증폭 처리(privacy amplification process)에 의해 추가 처리한다.

완벽한 비밀키 확립을 위한 이 기술은, 3개 또는 그 이상의 트랜스시버가 단일의 완벽한 비밀키를 공유하도록 일반적인 네트워크 설정에까지 확장된다.

본 발명의 더 상세한 이해는, 예로서 주어진 이하의 실시예들에 대한 설명에서 얻을 수 있으며 첨부한 도면들과 함께 이해해야 할 것이다:

도 1은 리드 트랜스시버인 트랜스시버 A에서의 비밀 처리에 대한 블럭도를 도시한 도면;

도 2는 트랜스시버 B에서의 비밀 처리에 대한 블럭도를 도시한 도면;

도 3은 시간-지연 영역에서의 동기화 문제를 도시한 도면;

도 4는 콘볼루션 코드를 사용하는 차이 벡터(difference vector) 인코딩을 도시한 도면; 및

도 5는 3-노드 네트워크의 도형 및 4-노드 네트워크의 도형을 도시한 도면이다.

본 발명의 특징과 구성 요소들이 특정한 조합으로 바람직한 실시예에 기술되 지만, 그 특징 또는 구성 요소들 각각은 단독으로(바람직한 실시예들의 다른 특징 및 구성 요소들 없이), 또는 본 발명의 다른 특징 및 구성 요소들이 있거나, 또는 없는 다양한 조합으로 사용될 수 있다.

이후부터, 트랜스시버는, 무선 송수신 유닛(WTRU), 네트워크 노드, 사용자 장비, 모바일 스테이션, 고정형 또는 모바일 가입자 유닛, 휴대용 소형 무선 호출기 또는 무선 환경에서 작동할 수 있는 임의의 다른 타입의 디바이스를 포함하지만, 이들로만 제한되는 것은 아니다. 이후부터 언급될 때, 기지국은, Node-B, 사이트 제어기, 액세스 포인트 또는 무선 환경에서의 임의의 다른 타입의 인터페이싱 디바이스를 포함하지만, 이들로만 제한되는 것은 아니다.

도 1 및 도 2는, 점-대-점 시스템(point- to-point system)에서 통신하는 2명의 적법한 당사자들을 나타내는 트랜스시버들(100 및 200)의 블럭도를 각각 도시한다. 본 발명은 트랜스시버(100)와 트랜스시버(200) 사이에서 완벽한 비밀키를 확립한다. 여기서, 트랜스시버(100)는 리드 트랜스시버로(lead transceiver)서 선택된다[즉, 트랜스시버(100)는 키 확립 프로세스에서 리드 역할을 한다]. 주목할 것은, 트랜스시버(100 및 200)는, 바람직하게, 보다 큰 통신 시스템의 서브-컴포넌트(sub-component) 및/또는 주문형 반도체(ASIC; application specific integrated circuit)라는 것이다. 도 1 및 도 2에 도시된 처리 요소들의 일부 또는 전부가, 기타의 비밀과 무관한 임무를 위해 공유될 수도 있다.

일반적으로, 암호화된 통신을 위한 완벽한 비밀을 생성하기 위해, 트랜스시버(100 및 200)는 다음과 같은 초기 진행 단계를 따른다:

1) 각각의 트랜스시버는, 특별히 설계된 신호(예, 신호음의 조합), 또는 다른 용도로 사용될 수도 있는 파일럿 시퀀스 둘 중 하나를 서로에게 상호적으로 전송한다.

2) 무선의 물리적 채널은, 물리적 환경에 따라, 자연스럽게 그 시퀀스들을 어느 정도 수정하여, 신호 페이딩 및 신호 왜곡을 발생시키지만, 채널 상반성으로 인해, 이런 수정들은 상당히 유사하다. 따라서, 비밀키를 확립하기 위해, 트랜스시버들(100 및 200)은 그들의 공유 채널의 고유한 공동 무작위성(joint randomness)을 이용한다.

3) 그 다음, 각각의 트랜스시버는 그들의 수신된 신호를 몇 가지 방식으로 이진(또는 다른 이산 형태) 시퀀스로 변환한다.

도 1에 도시된 바와 같이, 리드 트랜스시버(100)는, 채널 추정기(101), 채널 임펄스 응답(CIR) 포스트 프로세서(102), 비밀 증폭(PA; privacy amplification) 프로세서(103), 블럭 코드 인코더(104), 선택사항으로서의 싱크 코드 유닛(synch code unit)(105), 패리티 비트 및 싱크 비트(synch bit) 멀티플렉서(MUX; multiplexer)(106), 및 선택사항으로서의 취약-키 분석 프로세서(112)를 포함한다.

트랜스시버(100)에서, 채널 추정기(101)는 트랜스시버(200)로부터 수신된 무선 신호로부터 채널 임펄스 응답(CIR)을 추정하고, 그 채널 임펄스 응답(CIR)은 CIR 포스트 프로세서(102)에 의해 처리된다. CIR 포스트-프로세서의 주된 임무는, 추정된 CIR을, 이후부터 긴 비밀키(110)라 알려지는 비트-스트링으로 변환시키는 것이다. 트랜스시버(100)는, 정보 조정 프로세스의 완료시 트랜스시버(200)가 긴 비밀키(210)로서 도시된 동일한 비트 스트링을 점유할 것이라고 가정한다. 이 긴 비밀키(110 및 210)는 이하의 2가지 이유로 비밀성이 완벽하진 못하다: 1) CIR 샘플들이 잠재적으로 상관성이 있기 때문에(높은 샘플링 레이트에 대해서는 상관성이 커진다), 비트들은 독립적으로 분배되지 않는다; 2) 프로토콜의 특정 부분이 공개 통신을 요구하기 때문에, 약간의 정보가 잠재적 도청자에게 누설되었다. 비밀 증폭(PA) 프로세서(103)는 이러한 문제들을 보상해준다.

정보 조정 프로세스의 일부분으로서, 블럭 코드 인코더(104)는 트랜스시버(200)에서의 에러 정정용 패리티 비트들로 블럭 코드를 유도한다. 적어도 하나의 바람직한 실시예에서, 싱크 코드 인코더(105)는, 트랜스시버(100)와 트랜스시버(200) 사이에서 CIR 추정값들을 동기화하는데에 사용되는 코드를 생성한다. 패리티 비트들 및 싱크 코드 비트들은, 트랜스시버(200)로의 전송을 위해 MUX(106)에 의해 멀티플렉싱된다.

선택사항으로서의 취약-키 분석 프로세서(112)는, 긴 비밀키(110)를 검출하고 만약 긴 비밀키(110)가 취약한 긴 비밀키인 것으로 판정된다면 거부한다.

도 2에 도시된 바와 같이, 트랜스시버(200)는 채널 추정기(201), CIR 포스트-프로세서(202), 비밀 증폭 프로세서(203), 싱크 비트 디코더(204), 패리티 비트 디코더(209), 싱크-업(synch-up) CIR 유닛(205), 및 취약-키 분석 프로세서(212)를 포함한다.

트랜스시버(200)에서, 채널 추정기(201)는 트랜스시버(100)로부터 무선 신호를 수신하여 CIR을 추정한다. CIR 포스트 프로세서(202)는 CIR 추정값을 필터링한다. 이들 2개의 유닛은, 트랜스시버(100) 상의 대응하는 디바이스(101 및 102)와 동일한 방식으로 작동한다. CIR 포스트-프로세서(202)의 출력은 "랜덤 비밀키" 비트 스트링이다. 이상적으로, 이 스트링은, 2개의 트랜스시버 사이에 존재하는 채널 상반성에 기초하여 트랜스시버(100) 상의 긴 비밀키와 동일하다. 그러나, 실제의 CIR 추정값은 CIR 왜곡, 채널 노이즈, 및 상이한 채널 추정 시작점들 때문에 동일하지 않다; 사실 2개의 스트링은 다소 상이하다.

만약 CIR 포스트 프로세서(202)의 실제 출력이 CIR 포스트 프로세서(102)의 출력과 동일하다면, PA 프로세서(203)에 의한 비밀 증폭 및 선택사항으로서의 취약-키 분석은, 트랜스시버(100)에서의 비밀키와 동일한 완벽한 비밀키를 생성하기 위해 적용될 수 있다. PA 프로세서(203)의 본질은 PA 프로세서(103)의 것과 동일하고, WKA 프로세서(212)는 WKA 프로세서(112)와 동일하다. 그러나, CIR 포스트 프로세서(202)의 출력이 CIR 포스트 프로세서(102)의 출력과 동일하지 않기 때문에, PA 처리 및 WKA 처리는 바로 적용될 수 없다. 오히려, 트랜스시버(200)는, 그 차이를 정정하기 위해, 트랜스시버(100)에 의해 전송된 패리티 비트 및 싱크 비트들을 사용한다.

싱크 코드 인코더(105)가 구현되는 실시예에서, 싱크 비트 디코더(205) 및 패리티 비트 디코더(204)는, 수신된 신호로부터 싱크 비트 및 패리티 비트들을 디코딩한다. CIR 싱크 업 유닛(207)은 그 디코딩된 싱크 비트들을 처리하고, CIR 추정값과 트랜스시버(100)의 CIR 추정값을 동기화한다. 패리티 비트 디코더(204)는 디코딩된 패리티 비트들을 처리하고, 그 동기화된 CIR 추정값에 대한 에러 정정을 수행한다. 긴 비밀키(210)는, 트랜스시버(100)에서 존재하던 그대로 복구되었고, PA 및 WKA 처리는 적용될 수 있다. 트랜스시버(100)로부터의 수신된 무선 신호 내에 포함된 긴 비밀키(210)가, 완벽한 비밀키를 제공하기 위해 PA 프로세서(203)에 의해 처리된다. 선택사항으로서의 취약-키 분석 프로세서(212)는 취약하고 긴 비밀키들을 검출하여 거부한다.

채널 추정으로부터 완벽한 비밀키를 생성하는 것에 대한 설명이 후속된다. 트랜스시버(100 및 200) 양자 모두는, 채널 추정 유닛(101 및 201)에서 수신된 무선 신호에 기초하여 CIR의 추정값을 도출한다. 트랜스시버 양자 모두는 일종의 무선 신호의 전송을 통해 이러한 동작을 지원해야 한다. 전형적으로, 이 무선 신호는, 채널 추정을 위해 사용되고 비밀키 생성 외의 목적으로 특별히 설계된 파일럿 신호이다. 대부분 현대의 시스템은 데이터 추정의 목적으로 그 무선 신호를 포함한다. 이런 단계를 수행하기 위한 많은 방법들이 존재하고, 그 방법들 중에는, 다른 트랜스시버에서의 이러한 프로세스를 보조할 목적의 트랜스시버 양자 모두에 의한 특별한 시그널링 전송이 포함되지만, 이에 한정되는 것은 아니다. 이와 같은 시그널링의 구현은, 시간 분할 듀플렉스(TDD; Time Division Duplex)에서 사용되는 것과 같은 미드앰블(midamble), IS-95 및 FDD 시스템에서와 같은 지속적인 파일럿, 및 많은 OFDM 시스템에서와 같이, 특정 주파수의 포함된 파일럿을 사용하는 단계를 포함할 수 있다.

채널 추정 유닛들(101 및 201)의 출력은 CIR의 티지털화된 표시이다. 트랜스시버(100 및 200) 양자 모두의 표시 기술이 동일한 경우에 한해서는, CIR 추정이, 시간 영역, 주파수 영역, 및 추상적인 벡터 공간의 사용을 포함하는 많은 상이한 방법들로 생성되고 저장될 수 있다. 바람직한 실시예에서, CIR 추정기들(101 및 201)의 출력에서의 CIR추정값은, 비밀키 생성을 위한 진폭/프로파일 출력을 제공하지만, CIR 위상 정보는 무시한다. 대안으로서, 채널 추정값의 CIR 위상 정보가 이 프로세스에서 사용될 수도 있다. 그 구현에 따라, CIR에 대한 일부의 정보만이 상호적이므로 공통 비밀의 생성을 위해 적절할 수 있다.

디지털 신호로부터 CIR을 생성하는데 있어서의 공통의 문제는, A/D 변환기들의 샘플링 위상들에서의 차이로 인해 CIR 추정값들이 급격히 상이하게 나타날 수도 있다는 것이다. 만약 CIR이 시간 영역에 저장된다면, 이는 특히 논쟁거리가 된다. 만약 CIR이 주파수 영역에 저장된다면, 이는 중요한 논쟁거리는 아니다. 다른 대안적인 저장 방법들에서 문제가 되는 정도는 달라질 것이다. 이 문제를 해결하기 위한 간단한 방법은, 주어진 전송 대역폭에서 최소 레이트(즉, Nyquist 레이트)보다 훨씬 높은 레이트로 안테나에서 아날로그 신호를 샘플링하는 것이다. Nyquist 레이트의 4 내지 10배 레이트가 상당히 높은 레이트로 간주된다.

CIR 포스트-프로세서(102 및 202)는, 로우-패스 필터 및 아마도 보간 필터로 그 결과 CIR 추정값에 대한 후처리(post processing)를 수행한다. 안테나 개수와 안테나 패턴에서의 차이가 CIR 추정값을 상이하게 할 수 있기 때문에, 트랜스시버에 MIMO가 장착된 경우, 추가의 후처리가 요구될 수 있다. 이와 같은 경우, 트랜스시버들(100 및 200)은, 그들의 관찰로부터의 대칭형 CIR 추정값을 도출할 수 있도록 그들의 안테나 구성에 대한 정보를 교환해야만 할 것이다.

트랜스시버들(100 및 200) 간의 채널 상반성 때문에, 트랜스시버에서 생성된 후처리된 CIR 추정값은 매우 유사할 것으로 예상된다. 그러나, CIR 추정값들 사이의 차이는, 다음과 같은 3개의 에러 소스들 중 임의의 소스에 의해 트랜스시버(100 및 200)에 도입될 수 있다.

제1 에러 소스는, 트랜스시버들(100 및 200) 양자 모두에서의 동시 채널 추정을 가정하는 채널 상반성으로부터 유래한다. 이 동시성에서의 차이가 채널 추정값에 있어서의 약간의 차이로 귀결될 것이다.

제2 에러 소스는, 디지털화된 CIR 추정값들이 시작점(starting point)에 관해 동기화되어야 할 필요가 있을 수 있다는 것이다. 예를 들어, 만약 추정값이 시간-지연 영역에서 디지털화된다면, CIR의 중요한 부분의 시작이, 2개의 트랜스시버들(100 및 200)의 기준 제로-시간(reference zero-time)에 관해 상이한 장소에서 발생할 수 있다. 도 3에 도시된 바와 같이, 트랜스시버(100)는 기준 제로-시간으로부터 시간 지연 τ₁ 만큼 지연된 시작점을 갖지만, 트랜스시버(200)는 기준 제로-시간으로부터 시간 지연 τ₂ 만큼 지연된 시작점을 갖는다. 여기서 τ₁≠τ₂이다. 다른 예로서, 만약 CIR이 주파수 영역 표시를 사용하여 저장된다면, 저장 파라미터들을 결정하는데 있어서 상이한 시작 주파수/기준 위상이 가정될 수 있다.

제3 에러 소스는, 임의의 무선 채널에서 고유의 간섭에 의해 야기되는 에러 때문에 CIR 추정값들이 달라질 것이라는 것이다. 이 간섭은, 동일한 주파수 대역에서 동작하는 다른 디바이스들, 및/또는 수신기 노이즈, 및/또는 열적 잡음과 같은 환경 노이즈로부터 기인하는 것일 수 있다.

트랜스시버들(100 및 200)에서의 채널 추정의 동시성을 보장하는 것은, 대부분의 통신 시스템에서 현재 존재하고 있는 몇 가지의 수단을 사용함으로써 달성될 수 있다. 이와 같은 한 방법은, UMTS 시스템의 라디오 프레임 또는 슬롯 경계 및 수퍼 프레임 카운터와 같은, 특정 시스템 시간에 채널 추정 타이밍이 속박되도록 하는 것이다. 다른 방법은, 트랜스시버가 채널 추정을 지원하기 위해 방출하는 파일럿 신호에 동기화 신호를 넣는 것이다. 대안으로서, 특별한 신호의 삽입을 요구하지 않고, 이와 같은 파일럿 신호로부터 동기화 이벤트가 도출될 수 있다. 동시성을 보장하는 제3의 방법은, GPS(Global Positioning System) 위성 또는 무선 통신 시스템에 의해 사용되는 공통의 시스템 시간을 포함하여, 트랜스시버 양자 모두가 액세스하는 절대 시간 기준에 채널 추정 이벤트가 속박되도록 하는 것이다. 동시성을 보장하기 위한 제 4의 가능한 방법은, 미리-정의된 기술을 사용하여 왕복 지연을 측정하고 이 지연에 기초하여 동기화하는 것이다.

이와 같은 방법들이 사용된 후, 적은 동기화 차이가 여전히 존재할 수 있지만, 아마도, 이 차이는 너무 적어서 시스템 성능에 어떤 중요한 영향을 주지는 못 할 것이다. 남아있는 임의의 적은 나머지 수(residual number)의 불일치도, 후에 설명될 블럭 코드 및 CRC 코드와 같은, 무선 채널에서의 간섭에 기인하는 불일치들을 다루는 메커니즘과 동일한 메커니즘에 의해 처리될 수 있다.

저장된 CIR에 대한 시작점 동기화는 트랜스시버(100)에서의 시작점을 기록함으로써 처리될 수 있고, 에러-없는 전송을 보장하기 위해 고-신뢰도 코드를 사용하 여 트랜스시버(200)에 전송될 수 있다. 대안으로서, 몇몇의 잘-알려진 그런 코드(예, 콤마-없는 코드)의 패밀리로부터의 특별한 동기화 코드가 사용될 수 있다. 동기화 문제가 전형적으로 단지 몇 개의 샘플들에만 제한될 수 있기 때문에, 그런 특별한 동기화 코드로부터의 제한된 성능만이 필요하다. 싱크 비트 디코더(205) 및 CIR 싱크 업 유닛(207)과 조합하여, 싱크 코드 인코더(105)는, 저장된 CIR에 대한 시작점 동기화를 위한 이러한 해결책들을 구현한다. 디코더(205)는, 싱크 비트들이 별도의 코드를 사용하여 보내질 때, 그 싱크 비트들을 디코딩하는 한편, CIR 싱크 업 유닛(207)은, 싱크 비트들에 따라 로컬 기준에 관한 CIR의 위치를 조정한다. 대안으로서, 간섭 에러들을 정정하기 위해 사용되는 블럭 코드는, 상기 2개의 방법과 함께 이용되거나, 아래에 기술되는 것과 같이 단독으로 이용될 수도 있다. 다른 대안은, 이런 시작점 동기화 문제에 민감하지 않은 CIR 후처리 방법을 사용하는 것이다.

시작점 동기화는, 타이밍 정보를 코드화하는 것에 의존하지 않고서도 해결될 수 있다. 그런 방법 중 하나는, 트랜스시버(100 및 200)가 공통 타이밍 소스(예, GPS)에 관계된 특별한 동기화 신호를 발생시키는 것을 포함한다. 그렇게 하면, CIR 추정은 그러한 신호에 대해서 생성될 수 있다. 대안으로서, CIR이 문제가 되지 않는 영역에서 CIR을 처리함으로써 시작점 동기화를 달성할 수 있다. 그러나, 이와 같은 접근은 비밀 레이트에 대한 어느 정도의 희생을 요구한다. 예를 들어, 만약 CIR 위상 정보가 바람직한 실시예에 따라 무시된다면, 주파수 영역에서 동기화 문제는 나타나지 않는다. 채널의 간섭 레벨에 의존하여, 비밀 레이트 손실은 커지거나 최소화될 수 있다. 다른 예로서, 매우 노이즈가 많은 채널에서, 위상 정보는 대단히 신뢰할 수 없어서, 위상 정보의 무시는 최소의 비밀 레이트 손실을 야기할 수 있다는 것이다.

블럭 코드 인코더(104)는, 패리티 비트 디코더(204)에서 트랜스시버(200)에 의해 디코딩되는 패리티 비트의 형태로된 체계적인 에러 정정 코드들을 제공한다. 채널 간섭에 기인하여, 전송된 스트링과 수신된 스트링 사이에 불일치가 발생한다. 체계적인 에러 정정 코드는, 디코더(204) 출력의 코드워드가 인코더(104) 입력의 원래 메시지를 포함하는 코드이다. 여기에서, 체계적인 에러 정정 코드는, 리드 트랜스시버(100)의 송신기에 있는 인코더(104), 및 트랜스시버(200)의 수신기에 위치한 패리티 비트 디코더(204)에 의해 구현된다. 전형적으로, 블럭 코드는 시스템 설계자에 의해 미리-선택된다. 대안으로서, 블럭 코드가 어떤 실시간 기준에 기초하여 동적으로 선택될 수 있고, 그 선택은 트랜스시버(100 및 200) 사이에서 공개적으로 전달된다. 비밀 증폭이 사용되기 때문에, 블럭 코드가 공개적으로 알려진다는 사실이 비밀을 생성하기 위한 시스템의 능력을 감소시키지는 않는다.

블럭 코드 인코더(104)는 입력 비트들을 취하여, 한 세트의 패리티 체크 비트를 생성하고, 이 패리티 체크 비트들은 입력 비트 없이 전송된다. 그 다음, 패리티 비트 디코더(204)는, 채널로부터 수신된 패리티 비트들을 CIR 포스트-프로세서(202)의 출력과 결합하여, 전체의 "손상된 코드워드"를 생성하고, 긴 비밀키(210)를 디코딩한다. 패리티 비트의 처리는 디코딩 동작을 완료하고, 그 결과 CIR 포스트-프로세서(202)의 출력이 정정되어, 트랜스시버(100)에 존재할 때의 긴 비밀키(110)와 동일해진다.

본 발명에 따르면, 블럭 코드는 종래의 방식과 달리 이용된다. 트랜스시버(100)에서의 CIR 추정값은 블럭 코드에 대한 입력으로서 사용되지만, 인코더(104)에 의해 생성된 패리티 비트들만이 전송된다. 약간의 에러가 있을 수 있는 이 전송을 수신한 트랜스시버(200)는, 자신의 CIR 추정값을 코드워드의 메시지 부분으로서 취급한다. 이 메시지 부분도 역시 에러를 포함할 수 있다. 트랜스시버(200)는 이들 에러를 정정하기 위해 수신된 패리티 체크 비트를 사용한다. 만약 블럭 코드가 잘 선택된다면, 패리티 비트 디코더(204)의 출력은 트랜스시버(100)의 CIR 추정값과 동일할 가능성이 매우 높다. 따라서, 트랜스시버(100 및 200)는 동일한 스트링을 얻는데 성공하면서도, 그 일부분, 즉, 패리티 체크 비트의 전송만을 공개적으로 드러낸다.

블럭 코드를 선택함에 있어서, 어떤 블럭 코드가 사용되는지 알아낼 수 있는 능력을 지닌 잠재적 도청자가 있다고 가정한다. 따라서, 이 비밀을 유지하기 위한 시도는 없을 것이다. 블럭 코드의 본질은, 블럭 코드의 에러-정정 능력 및 인코딩/디코딩 복잡성이 설계 고려사항으로서 비중있는 경우에 한하여 중요하다. 리드-솔로몬(Reed-Solomon) 및 터보 코드를 포함하여, 임의의 체계적인 블럭 에러 정정 코드가 사용될 수 있다. 대부분의 시스템에서, CIR의 길이에 관한 합리적인 상한이 설정될 수 있기 때문에, 블럭 코드의 사이즈는 바람직하게 사전 결정된다. 그러나, 만약 이것이 행해질 수 없다면, 미리-합의된 코드의 패밀리로부터의 특정 코드가 공개 토론을 통해 선택된다. 대안으로서, 가변 에러-정정 능력을 가진 패밀리와 같 은, 블럭 코드 패밀리가 선택된다. 그 다음, 트랜스시버(100 및 200)는, 블럭 코드 패밀리로부터 어느 코드가 사용될 것인지를 채널 상태(간섭 레벨, 도플러 확산 등)에 기초하여 선택한다. 블럭 코드에 대한 합의는 공개 통신을 통해 확립된다. 선택된 블럭 코드가 비밀 보장을 위해 비밀이 유지되어야만 하는 것은 아니기 때문에, 이 합의는 시스템을 손상시키지 않는다.

결과 스트링에 남아있는 비밀은 CIR의 추정값의 초기 엔트로피와 대략 같다. 사용된 패리티 비트의 수가 적을수록, 잠재적 도청자들이 가질 수 있는 CIR 추정값에 관한 정보는 더 적다. CIR 추정값에 관한 도청자의 지식이 적다고 가정하면, 최대한의 비밀을 위해 가능한 적은 패리티 비트를 사용하는 것이 바람직하다. 한편, 트랜스시버(200)가 트랜스시버(100)에서의 디지털화된 시퀀스와 대단히 높은 확률로 거의 동일한 디지털화된 시퀀스를 얻는 것을 보장하기 위해 충분한 개수의 패리티 비트들이 요구된다. 여기서, 용인할 수 있을 만큼의 확률 임계치는 사전 결정된다. 따라서, 이런 트레이드 오프에서의 적당한 밸런스를 유지하기 위해, 특정 채널 상태를 충족하도록 코드 패밀리로부터 블럭 코드를 선택하는 능력이 구현될 수 있다. 이러한 결정 메커니즘은, 블럭 코드 인코더(104)에 대한 선택사항으로서의 부가-특징이다.

앞서 소개한 바와 같이, 블럭 코드는 디지털화된 CIR의 시작점의 동기화를 지원하기 위해 사용될 수 있다. 만약 싱크-업 메커니즘이 사용되지 않아서, 또는 불확정성을 완전히 감소시키지 않아서, 트랜스시버(200)가 정확한 시작점에 대한 확신이 없다면, 트랜스시버(200)는 시작점을, 유한한 전형적으로 작은, 가능성의 세트로 좁힐 것이다. 그 다음, 트랜스시버(200)는 그 가능한 시작점들 중 각각의 하나로 디코딩을 시도하기 위해 수신된 패리티 비트들을 사용할 수 있다. 이와 같이 함에 있어서, 트랜스시버(200)는, CIR 에러 보정기(206)에 의해 정정되는 자신의 CIR 추정값에서의 "에러"의 개수를 셀 필요가 있다. 매우 높은 확률로, 정확한 위치를 제외한 모든 위치들은 매우 많은 수의 정정으로 귀결된다; 정확한 위치는 매우 적은 개수의 정정으로 귀결될 것이다. 이런 식으로, 블럭 코드 디코딩 프로세스는 시작점 동기화 프로세스를 보조하거나 전적으로 지원할 수 있다.

양호한 에러-정정 코드를 이용하면, 양 단말기에서 동일한 키가 발생될 확률이 높아지지만, 그 프로세스가 성공하리란 보장은 없다. 만약, 그 프로세스가 실패한다면, 단말기들은 2개의 상이한 비밀 스트링을 얻게 된다. 2개의 상이한 비밀 스트링이 오직 한 개 비트만큼만 다르더라도, 통신은 더 이상 가능하지 않다. 이 문제는 몇 가지의 방법들 중 하나로 완화될 수 있다. 만약 단말기들이 해독된 메시지가 올바르지 않다는 것을 검출할 방법을 갖는다면, 키 합의의 실패는 바로 그런 방법으로 검출될 수 있다. 그러나, 이와 같은 검출 프로세스는 종종 실행할 수 없거나 통신 리소스 낭비라는 의미에서 지나치게 비용이 든다. 이런 경우, 에러-검출 코딩을 이용하는 대안적인 방법이 적용될 수 있다.

공통된 타입의 에러-검출 코딩이 CRC 코딩이다. 이것은 에러-검출 코딩에 대한 바람직한 선택으로서의 후속되는 예에서 설명된다. CRC 프로세서(108)는, 몇몇의 사전-선택된 CRC 코드에 기초하여, 긴 비밀키에 대한 CRC 체크 비트들을 계산한다. 그 다음, CRC 비트를 갖는 결과 스트링은 트랜스시버(200)에 포워딩된다.

그 다음, 트랜스시버(200)는 상기 기술한 바와 정확하게 같게 블럭 디코딩으로 진행한다. 그 디코딩에 후속하여, CRC 프로세서(208)는 동일한 CRC 코드를 사용하여 자신의 CRC 비트들을 계산하고 계산된 CRC 비트들을 트랜스시버(100)로부터 수신된 비트들과 비교한다. 만약 그 결과의 에러 정정된 스트링이 CRC 체크를 통과한다면, 성공이 선언된다. 그렇지 않다면, 트랜스시버(200)는 키 생성 실패를 선언하고, 키 생성 프로세스가 반복될 것이다.

최종적으로, 채널 상태가 양호하여 CIR들이 동일할 가능성이 매우 높을 때에는, 트랜스시버(200)의 패리티 비트 디코더(204)에서 검출되는 에러가 없는 것을 확인만함으로써, 에러 체킹을 위해 블럭 코드가 대안으로서 사용될 수 있다.

비-체계적인 에러 코드가 사용되는 대안적인 실시예로서, 후속되는 예는 신드롬(syndrome) 구현을 나타낸다. 앨리스와 밥이 2개의 상관된 2진 독립적이고 동일하게 배분된 시퀀스 Xⁿ=(x₁,...,X_n)와 Yⁿ=(Y₁,...,Y_n)를 각각 알고 있다고 가정한다. 앨리스는 Xⁿ의 정보를 밥에게 전송해줌으로써 밥이 Xⁿ을 복구하는 것을 돕는다. 주목할 점은, 밥이 상관된 시퀀스 Yⁿ에 의하여 Xⁿ에 대한 약간의 정보를 이미 알고 있기 때문에, 앨리스는 모든 Xⁿ을 밥에게 전송해줄 필요는 없다는 것이다. Slepian-Wolf 경계로서 알려진 한가지 알려진 솔루션은, 밥이 Xⁿ을 재구성할 수 있도록 하는, 앨리스로부터 밥으로의 최소 개수의 전송 비트가 nH(X│Y)임을 제시하고 있다. 여기서, H(X│Y)는 조건부 엔트로피를 나타낸다. 본 실시예에 따른 신드롬을 사용하여, Yⁿ 및 전송된 비트들에 기초하여, Xⁿ을 재구성할 뿐만 아니라, nH(X│Y) 전송 비트가 결정될 수 있다. 만약 저밀도의 패리티 체크(LDPC;low density parity check) 코드가 에러 정정을 위해 사용된다면, 이 LDPC는 전형적으로 비-체계적이기 때문에 신드롬-기반의 접근의 실시예는 중요해질 것이다.

후속되는 단순하지만 예증적인 예를 고려해보자. X³=(X₁, X₂, X₃) 및 Y³=(Y₁, Y₂, Y₃)이 (길이 n=3인) 2개의 이진 시퀀스이고, 해밍 거리(Hamming distance)는 단지 1이다. 앨리스와 밥은 X³과 Y³을 각각 관찰한다. 앨리스는 X³의 일부 정보를 전송함으로써 밥이 X³을 재구성하는 것을 돕는다. 주목할 것은, 만약 X³이 집합{000, 111}에 속하는 것을 밥이 안다면, "000"과 "111" 사이의 해밍 거리가 3이지만, X³과 Y³ 사이의 해밍 거리는 단지 1이기 때문에, 밥은 쉽게 X³을 디코딩할 수 있다. 따라서, 만약 밥의 디코더가 X=000 또는 X=111 둘 중의 하나라는 사실을 안다면, 어느 것이 해밍 거리에 있어서 더 가까운지를 검사함으로써 그 불확실성이 풀릴 수 있다. 유사하게, X³이 임의의 집합 {001, 110}, {010, 101}, 및 {100, 011}에 속한다는 것을 안다는 것은, 이들이 또한 해밍 거리 3을 가지므로 밥이 X³을 복구하는 것을 도울 수 있다. 따라서, 앨리스는 X³이 (상기 4개 집합 중에서) 어느 집합에 속하는지만 밥에게 알려주면 된다.

각각의 부분집합에 대해 해밍 거리 3을 갖는 상기의 4개의 집합은, 패리티 체크 매트릭스가

인 선형 코드 {000, 111}에 대한 잉여류(coset)라 불린다. 시퀀스 X³의 신드롬은 유효한 코드워드의 패리티 체크를 검증하고, P(X³)^t로서 정의된다. 여기서 t는 이항(transposition)을 나타낸다. 동일한 잉여류의 모든 시퀀스는 동일한 신드롬을 갖고, 상이한 잉여류의 모든 2개의 시퀀스는 상이한 신드롬을 갖는다. 따라서, 앨리스는 X³을 포함하는 잉여류를 나타내는 그녀의 X³에 대한 관찰의 신드롬을 전송만 할 수 있다.

도 1 및 도 2에 도시된 PA 프로세서(103 및 203)으로 돌아가면, 이들은, 스트링의 비트 길이가 키에 의해 제공된 비밀의 양과 대략 같아지도록 스트링을 줄이는 역할을 한다. 이들 PA 프로세서들은 유니버설 해시 함수(universal hash functions)를 사용하여 구현되며, 여기서, 사용된 특정 함수는 공개 통신을 사용하는 것에 관해 사전-합의되거나 또는 합의될 수 있다. 사용된 블럭 코드와 같은 함수는, 비밀이 유지되어야만 하는 것은 아니며, 따라서 공개 무선 채널을 사용하는 것에 관해 합의될 수 있다.

해시 함수는 차원(dimension) M의 입력 스트링을 더 작은 차원 N으로 변환하는 변환함수이고, M＞N이다:

수학식(5)

해시 함수는 딕셔너리 문제(dictionary problem)를 풀기 위해 컴퓨터 공학에서 널 리 사용된다. 딕셔너리 문제란, 주어진 아이템들(단어, 명칭, 물체, 키 등)의 세트와 그들의 연관된 속성들을, 그 아이템들을 효율적으로 연달아 찾을 수 있도록 저장하기 위한 메커니즘의 확립으로서 정의된다. 해시 함수는, 주어진 함수의 룩업 연산 시간 비용과 저장 및 룩업 메커니즘의 나이브(naive)한 구현과 같은 속성들을 포함한다.

입력 스트링이 전형적으로 균일한 분포로부터 연유하는 것이 아니기 때문에, 그리고 더 큰 차원 M으로부터 더 작은 차원 N으로의 복소 맵핑 때문에, 룩업 연산 소용 시간을 확보하는 것은 매우 어려운 일이다. 이러한 이유들로, 해시 함수의 출력에서의 상충(collision)은 드문 일은 아니다. 여기서, 상충이란 하나 보다 많은 입력 스트링이 동일한 출력값을 생성하게 되는 결과이다. 그 해시 함수의 출력에서의 상충은 이러한 해시 함수들에 대한 룩업 연산 비용 시간에 근접하기 위해, 더블 해싱(double hashing), 프로빙(probing)(선형 및 2차 방정식), 체이닝(chaining) 등과 같은 다양한 계획들이 사용된다.

본 발명의 해시 함수는, 완벽한 비밀을 획득하는데 유용한 다음과 같은 속성들을 갖는다. 첫째로, 해시 함수는, 역방향보다 순방향으로 계산하는 것이 훨씬 쉽다는 점에서 일-방향의 비가역적 함수이다. 전형적으로, 순방향으로 계산하는 데는 수초가 소요되지만, 그 역을 찾는 것은 계산적으로 불가능하다. 즉, 주어진 해시 함수 y=h(x)에 대해, 주어진 x값에 대한 y값을 얻는 것은 쉽지만, 주어진 y값에 대한 x값을 얻는 것은 계산적으로 불가능하다.

그 다음, 본 발명에 따른 해시 함수는 약한 상충 저항(weak collision resistance) 및 강한 상충 저항을 갖는다. 약한 상충 저항은 다음과 같이 정의된다. 메시지 x와 그 해시 값 y(또한 메시지 다이제스트라고도 언급된다)가 주어진다면, 또 다른 메시지 z로서 그 해시 함수들이 동일한, 즉, h(x)=h(z)인 그러한 메시지 z를 찾는 것은 계산적으로 불가능하다. 주목할 것은, 사용자는 메시지와 그 해시 값을 선택할 기회가 없지만, 동일한 해시 값을 갖는 상이한 메시지를 결정해야만 한다.

강한 상충 저항은, 2개의 상이한 메시지, 즉, x≠z이고, 그들의 해시 함수가 h(x)=h(z)인, 그러한 메시지 x와 z를 찾는 것이 계산적으로 불가능한 경우에 존재한다. 이러한 경우 사용자가 메시지들을 선택할 수 있기 때문에, 그 속성은 강한 상충 저항으로서 언급된다.

이러한 속성들은, 대부분의 표준화된 해시 함수에 의해 참조된다. 2개의 주요 표준: 안전한 해시 알고리즘(SHA; Secure hash algorithm) 패밀리 및 메시지 다이제스트 알고리즘(MD; message digest algorithm) 패밀리가 있다. 또한, 만약 암호-시스템의 잠재적 침입자가 그 시스템을 뚫기 위한 계산 리소스를 갖지 않는다면, SHA-패밀리와 MD-패밀리는 계산적으로 안전하다. 그런 암호-시스템을 깨는 것이 임의의 일반적인 어려운 문제(예, 큰 수를 인수분해 하는 것, 정수 범위의 제곱근에 대한 합성수의 모듈로 연산을 계산하는 것, 유한 그룹에 대한 이산 대수의 계산 등)를 푸는 것만큼 어려운 일이라는 점에서 유니버설 해시 함수는 매우 안전할 것이다.

본 발명에 따라, x_i≠x_j 인 각각의 키의 쌍인 x_i, x_j에 대한 상충의 수가 작도록, 유니버설 해시 함수

는 각각의 사이즈가 M비트인 키들{x}의 모집단(universe)을 각각의 사이즈가 N비트인 고정된 해시 값으로 매핑한다(여기서, N＜M). 즉,

에 대한 상충의 수는 1/2^N이다.

해시 값은, 아래의 수학식과 같은 유니버설 해시 함수를 사용하여 구한다:

수학식(6)

여기서, p는 p≥(2^M-1)인 소수;

a={1, 2,..., p-1};

b={0, 1,..., p-1} 이다.

a와 b의 선택의 범위를 고려하면, p(p-1)개의 유니버설 해시 값이 있다. 그런 함수들의 집합

는, 해시 함수의 유니버설 클래스로서 총체적으로 언급되고,

에 대한 상충의 수는 많아야

이다.

해시 값 처리의 결과는, 최종의 완벽한 비밀키는 공개적으로 교환된 비트들을 포함하지 않는다는 점에서 도청자들에 의해 가로채진 것으로 추측되는 공개 교환된 비트들은 "해시 아웃(hashed out)"되는 것이다.

주목할 것은, 엔트로피 코더(coder), 또는 Burrows-Wheeler 변환과 같은 양호한 압축 알고리즘이, 긴 비밀키(110, 210)가 서로 비 상관관계가 아닌 경우, PA 처리와 관련하여 사용될 필요가 있을 수 있다는 것이다. 특정한 경우에, 훨씬 단순한 접근으로 족할 경우(예, 오직 특정 출력 비트만을 선택하는 것), 그러한 코더의 사용은, 해시-함수-기반의 PA 처리에 대한 필요성도 제거할 수 있다.

최종적으로, 특정 경우에 주목할 것은, 예로서 LDPC 코딩과 함께 에러 정정에 관해 상기 기술한 바와 같이 비체계적인 코드-기반의 접근이 사용되는 경우, 해시-함수 기반의 PA 처리가 필요하지 않다는 것이다.

PA 단계의 이전에, 또는 PA 단계에 후속하여 취약-키 분석(WKA; weak-key analysis)단계가 시스템의 성능을 추가 향상시키기 위하여 도입될 수도 있다. 도 1 및 도 2에 도시된 바와 같이, WKA 프로세서(112, 212)는, 무작위-생성된 완벽한 비밀키가 몇몇의 외인성 정황 정보에 따라 높은 확률의 가로채어질 가능성(비록 그럴 것 같지 않지만)에 대해 시스템을 보호한다. 그런 키들의 예는 모두 1인 스트림, 모두 0인 스트림, 또는 한정된 주기 내의 시퀀스를 포함한다. 구체적인 기준은 시스템 설계에 의해 선택될 것이다.

만약 WKA가 취약 키를 검출한다면, 그 키를 거부하고 프로세스를 반복하는 것이 적절한 절차이다. 만약 블럭-코딩 프로세스 또는 PA 프로세스 중 어느 것이든, 사용될 코드/해시 함수의 실시간 통신을 수반한다면, 새로운 코드/해시-함수가 선택될 수 있고, 프로세스는 동일한 CIR과 함께 반복된다. 이것은 비밀-키 레이트를 감소시킬 것이다; 그렇지 않다면, 단말기는 새로운 CIR이 사용 가능할 때까지 기다려야만 한다. 비밀-키 레이트의 감소는 보고되어야 한다.

상기 요약된 접근의 주 특징은, 랜덤 시퀀스가 큰 블럭에서 생성된다는 것이다. CIR이 거의 모두 이전의 것과 상관되지 않을 때까지 기다려야 하기 때문에, 이 블럭들은 자주 갱신될 수 없다. 그러나, 특정 상황에서, 적은 개수의 비밀 비트들이 훨씬 더 빈번하게 갱신되는 것이 요구될 수 있다. 예를 들어, 빈번하게 한 번에 하나씩 출력 비밀 비트들을 공유하는 "블랙 박스"를 갖길 원할 수 있다. 이를 달성하기 위한 한가지 방법은, 비밀 비트의 생성된 블럭을 취하여 그것을 한 번에 하나씩 출력하는 것이다. 다른 방법은, 적은 양의 비밀 비트들을 계속해서 생성하기 위해, 상기 기술한 프로세스를 수정하는 것이다. 이것은 다음과 같이 수행될 수 있다. 도 1 및 도 2의 높은-레벨의 블럭도가 여전히 적용된다. 그러나, 채널 추정 유닛(101 및 201)은 빈번한 채널 추정값을 생성하고, CIR 포스트-프로세서(102 및 202)는, 현재의 추정값과 이전 추정값 사이의 차이 벡터를 생성한다.

차이 벡터는 많은 상이한 방법으로 생성될 수 있다. 가장 단순한 방법은, CIR의 2개의 연속되는 표시 사이의 차이를 단순하게 취하는 것이다. 그러나, 이것은 대개는 가장 효율적인 차이 벡터 생성을 위한 방법은 아니다. 더 나은 대안들로는, Kalman 예측 필터와 같은, 양호한 예측 필터로 CIR들을 지속적으로 필터링하고, 예측된 값과 실제로 관찰된 값 사이의 차이를 취하는 방법이 있다. 이러한 접근법에 대한 다양한 변형들이 사용될 수 있다.

여기서 주목할 것은, CIR들이 한 측정에서부터 다음 측정에까지 상관될 때, 차이를 취하는 것이 실용적이고, 따라서 차이를 취하는 것이 중복성을 제거한다는 것이다. 또 다른 접근은, 확실히 상관성이 없는 몇몇의 주파수에서 채널의 독립 샘플을 취한 다음, 그 추정값에 대한 선-입-선-출(FIFO) 접근법을 취하고, 키의 지속적인 갱신 및 변경을 허용하기 위해 소정 간격으로 새로운 값을 전달하는 것이다. 여기서 키의 목표는, 새로운 독립 키가 원하는 주파수에서 생성되도록 하기 위해, 주어진 시간에 걸쳐 최소한의 정보를 전송하는 것이다.

차이 벡터는 작을 것이고, 따라서 이것을 블럭 코딩하는 것은 그다지 효과적이지 않을 것이다. 그러나, 그 차이 벡터의 시퀀스를 정보 스트림으로서 간주할 수 있다. 정보 스트림의 인코딩은 콘볼루션 코드(convolution code)에 의해 효율적으로 수행되므로, 상기 기술한 바와 같은 체계적인 블럭 코드의 대용으로서 체계적인 콘볼루션 코드가 제안된다.

도 4는, 도 1에 도시된 블럭 코드 인코더(104)를 대체하는 것으로서, 리드 트랜스시버(100)에 존재하는 인코더를 도시한 블럭도이다. 차이 벡터 스트림(401)은, 하나 또는 몇 개의 병렬 패리티 스트림(403)(명료성을 위해 하나만 도시되어 있다)을 생성하는 표준 콘볼루션 인코더(402)(전형적으로, XOR 게이트를 갖는 시프트 레지스터)에 제공된다. 그런 스트림은 전형적으로, 원하는 레벨의 비밀을 유지하기 위해 전송되어야 하는 것보다 훨씬 더 많은 비트들을 포함한다. 그러나, 콘볼루션 코드의 레이트는 펑처링(puncturing)에 의해 효율적으로 제어되므로, 전송 이전에, 원하는 전송 레이트(404)에 따라, 펑처링 프로세서(405)에 의해 패리티 스트림(403)이 펑처링된다. 또한, 적용되는 펑처링의 양을 변화시킴으로써, 트랜스시버(100)는 코드의 에러-정정 성능 대 생성되는 무작위도를 효율적으로 트레이드-오프할 수 있다. 블럭 코드를 사용하는 제1 실시예에서와 같이 채널 간섭 레벨과 같은, 채널 상태에 대해 콘볼루션 코딩 레이트를 적응시키는 것은 최적화의 레벨을 제공한다.

콘볼루션 에러 코딩을 사용하는 본 실시예에 계속하여, 표준 콘볼루션 코드 디코더(예, Viterbi 디코더)가, 트랜스시버(200)의 패리티 비트 디코더(204)를 대신한다(도 2). 여기서, 체계적인 입력은 국소적으로 생성된 차이 벡터이다. 블럭 코드에서와 같이, 이 코드의 본질은 공개적으로 알려진 것으로 가정되므로 코드의 패밀리가 사용될 수 있다. 그러나, 에러 정정 수행(error correction performance)과 나머지 비밀(residual secrecy) 사이에서 매우 효율적으로 트레이드-오프하기 위해 펑처링 또는 반복이 사용될 수 있기 때문에, 블럭 코드를 이용할 필요성은 거의 없다.

2명의 당사자 사이의 CIR 상반성에 기초하여 비밀키를 생성하기 위한 필요 기술이 확립된다면, 그 다음으로, 보다 광역의 네트워크로의 확장이 고려된다. 앞서 배경기술에서 논의되었듯이, 문제는 기본적으로 다음과 같다. 적법한 당사자들이 동일한 키를 공유하는 것이 바람직하다. 그러나, 각각의 트랜스시버 쌍이 고유의 CIR을 공유하기 때문에, 바로 이러한 속성이, CIR에 기초하여 완벽한 비밀의 생성을 지원하는 것이다. 만약 각각의 트랜스시버 쌍이 단순히 자신의 고유한 CIR을 이용한다면, 각각의 쌍은 그 자신의 키로 끝날 것이다. 이것은 그런 네트워크에서 공통의 정보를 전송하는 것을 매우 비실용적으로 만드는데, 이는 상이한 키로 암호화된 동일한 메시지는 암호문의 통계적 독립 인스턴스(instance)로 귀결되기 때문이다. 무선 채널 상으로 독립적인 정보를 전송하는 것은, 그런 채널에서 동일한 정보를 브로드캐스팅하는 것보다 훨씬 덜 효율적이다. 본 발명은, 2개보다 많은 단말기의 네트워크에서 동일한 키를 생성하기 위한 몇 가지 방법을 제안한다.

일반적인 네트워크의 스패닝 트리(spanning trees)에 기초한 단순한 방법은 다음과 같다. 네트워크 노드들(트랜스시버들)은 트리에 속하게 되고, 트리에 없는 접속용 링크(CIR)는 무시된다. 몇 가지 종래의 통신 방법을 이용하여 임의의 적당한 키 길이가 확립된다. 여기서, "적당한"이란 것은, 트리에서 사용되는 각각의 링크가 적어도 이러한 크기의 비밀키를 발생하기 위해 사용될 수 있음을 의미한다.

접속된 노드들 각각의 쌍은, 트랜스시버(100 및 200)에 대해 상기 기술한 방식으로 자신의 CIR에 기초하여 임시키를 확립한다. 일단 이것이 수행되면, 트리의 루트에 있는 노드는, 자신이 가진 몇몇의 가능한 키들 중 하나를 영구키로서 선택한다. 그 다음, 모든 다른 링크들이 이 비밀키를 자식 노드(child node)들에 전달하기 위해 확립된 임시키를 사용한다. 이어서, 자식 노드들은, 그 영구키를 트리의 더 아래쪽으로 전달하기 위해, 자신들이 확립한 임시키들을 사용한다. 일단 영구키가 모든 잎 노드(leaf node)에 도달하면, 네트워크는 공통 비밀키를 공유하고, 공통 비밀 통신이 가능해진다. 그런 통신은, 키 분배를 위해 정의된 트리에 따라 발생 되어야만 하는 것은 아니다.

주목할 것은, 하나의 단말기가 키 분배를 위한 서버로서 역할하는 브로드캐스팅 시나리오는, 트리가 루트(서버 단말기) 아래에 단 하나의 레벨만을 갖는 상기 경우의 특별 케이스이다. 이 시나리오에서, 가장 짧은 임시키는 영구키가 될 수 있고, 이 특정 키를 확립하는 루트 노드 및 리프 노드는 더 이상 통신할 필요가 없다. 그 키는 그들의 임시키를 사용하여 다른 노드에 브로드캐스팅된다. 이것은 가장 단순한 트리 구성이지만, 기지국이 루트 노드로서 자연스럽게 선택되는 셀룰러 네트워크, 또는 AP가 루트 노드로서 자연스럽게 선택되는 무선 LAN과 같은, 중앙 집중형 네트워크에서 특히 적용가능하다.

본 발명에 따른 네트워크 생성에 대한 더 정교한 접근은 다음과 같다. 각각의 노드 쌍이, 생성된 다른 모든 비밀키와는 독립된 비밀키를 생성하는 네트워크를 고려해보자. 상기 비밀키를 발생한 노드 이외의 노드들은 그 키를 알지 못한다. 이 모델은 사실상 특정 케이스에서 적용가능하다. 그 한 예는, 노드들이 비밀키들을 생성하기 위해 그들의 점-대-점 채널의 고유 특성을 사용하는 무선 네트워크이다. 이와 같은 채널의 속성의 결과로서, 임의의 다른 노드(적법한 당사자들이건 그 반대자이건 간에)가 특정 쌍의 채널에 대해 가질 수 있는 지식은 전형적으로 무시할 만한 수준이고, 따라서 이 예의 모델은 여기에 직접적인 적용 가능성을 갖는다. 이 네트워크 주변에는, 단일 비밀키를 분배하는 것이 바람직하다.

도 5는 3개의 노드 네트워크(501) 및 4개의 노드 네트워크(502)를 도시하고 있다. S _kl 는, 노드 k 및 l에 의해 공유되는 비밀키를 나타내고, 이 키의 길이는│S _kl │이다. 3개의 노드 네트워크(501)와 함께 시작하여, │S₁₂│＞│S₁₃│이라고 가정하고, 다음의 전략을 고려해보자. 첫째로, 서버로서 역할하는 노드 1이 상기 기술된 브로드캐스트 접근을 사용하여, 노드 2 및 노드 3과의 공동키를 확립한다. 2개의 키들중 최소 사이즈의 키가 선택되어, 길이 │S₁₃│의 키로 귀결 선택된다. 그러나, 노드 1 및 노드 2는, 사용되지 않은 채로 남아있는 길이 │S₁₂│-│S₁₃│의 잔여 비 밀 스트링을 여전히 공유한다. │S₂₃│과 │S₁₂│-│S₁₃│과의 비교 결과에 따라, 노드 2는, 스트링 S₂₃의 일부 또는 모두를 전송하기 위해, 이 잔여 비트들을 사용할 수 있다. 가정에 의해 S₂₃은 S₁₂ 및 S₁₃으로부터 독립적이다. 따라서 이 전략을 사용하여, 네트워크는 길이│S│의 공유된 키를 생성할 수 있다:

수학식(7)

다음으로, 4개-노드 네트워크(502)를 고려해보자. 여기서 │S₁₂│＞│S₁₃│＞│S₁₄│이다. 상기 기술한 3개-노드 네트워크 전략을 사용하여, 노드 2, 노드 3 및 노드 4는, S₁₂, S₁₃, S₁₄와는 독립된 공통키 S_{{2, 3, 4}}를 공유한다. 그 다음, 노드 1은, 브로드캐스트-네트워크 접근법을 사용하여, S₁₄가 가장 짧은 스트링이기 때문에 S₁₄를 선택하여 이를 노드 2 및 노드 3에 분배한다. 노드 2는, 가능한 한 S_{{2, 3, 4}} 의 보다 많은 스트링을 노드 1에 제공하기 위해, 길이 │S₁₂│-│S₁₄│의 미사용 키 부분을 사용한다. 따라서, 네트워크는 이제, 길이 │S│의 키를 공유한다:

수학식(8)

이 접근법을 일반화하기 위해, 다음의 표기가 도입된다. 인덱스 1부터 K까지로 표시되는 k개의 노드를 갖는 네트워크를 고려해보자. 이 인덱스들의 순열 세트를 Π로 나타낸다. 주어진 점-대-점 비밀키 레이트 세트를 {S _lk }, l≠k라 하자. 전체적으 로 네트워크에 의해 달성 가능한 비밀키 레이트는 그 하한이 다음과 같이 정해진다.

수학식(9a)

여기서,

수학식(9b)

및

수학식(9c)

본 발명은, 원하는 임의의 타입의 무선 통신 시스템에서 구현될 수 있다. 예로서, 본 발명은, 임의의 타입의 802 타입 시스템으로 구현될 수 있다. 본 발명은, 주문형 반도체(ASIC; Application Specific Integrated Circuit)와 같은 집적회로, 다수의 집적 회로, LPGA(Logical Programmable gate array), 다수의 LPGA, 개별 부품들, 또는 집적 회로(들)과, LPGA(들)과 개별 부품(들)의 조합으로 구현될 수도 있다. 본 발명은, 시스템 또는 네트워크의 일부 또는 전체에서, WTRU, 기지국, 액세스 포인트, WLAN 단말기, 노드 또는 센서 구현과 같은, 소프트웨어, 하드웨어, 또는 디지털 신호 프로세서로서 구현될 수도 있다. 본 발명은, 무선 통신 시스템 또는 디바이스의 물리층(라디오 또는 디지털 베이스밴드) 또는 물리층에 있는 보안층에 적용가능하다.

Claims (60)

1. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 방법에 있어서,

   수신된 무선 신호에 기초하여 채널 임펄스 응답(CIR; channel impulse response) 추정값을 생성하기 위해 제1 무선 송수신 유닛(WTRU)에서 상기 CIR을 추정하는 단계;

   상기 CIR 추정값으로부터 비밀키를 생성하는 단계;

   CIR 동기화 코드를 제2 무선 송수신 유닛(WTRU)에 송신하는 단계;

   비밀 증폭(privacy amplification)에 의해 상기 비밀키로부터 완벽한 비밀 암호키를 생성하는 단계

   를 포함하는 완벽한 비밀 암호키를 생성하는 방법.
2. 제1항에 있어서, 상기 비밀 증폭은,

   상기 CIR 추정값으로부터 엔트로피를 추출하고 상기 제1 WTRU와 제2 WTRU 사이에서 공개적으로 교환된 임의의 비트를 제거하는 유니버설 해시 함수(universal hash function)에 따라 상기 비밀키를 맵핑(mapping)하는 단계를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
3. 제1항에 있어서, 상기 비밀 증폭은,

   버로우-휠러(Burrow-Wheeler) 변환을 사용하여 엔트로피 인코딩하는 단계를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
4. 제1항에 있어서, 상기 비밀 증폭은,

   상기 비밀키를 위한 비-체계적(non-systematic) 코드를 생성하는 단계를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
5. 삭제
6. 삭제
7. 삭제
8. 삭제
9. 제1항에 있어서,

   상기 제1 WTRU에서 신드롬 비트(syndrome bit)를 도출하는 단계; 및

   상기 신드롬 비트를 상기 제2 WTRU에 송신하는 단계

   를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
10. 삭제
11. 삭제
12. 제1항에 있어서,

    상기 제1 WTRU에서 패리티 비트(parity bit)를 갖는 블럭 에러 정정 코드를 도출하는 단계; 및

    상기 패리티 비트를 상기 제2 WTRU에 송신하는 단계

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
13. 삭제
14. 제1항에 있어서,

    채널 상태에 기초하여 코드 패밀리로부터 에러 정정 코드를 선택하는 단계

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
15. 제14항에 있어서, 상기 에러 정정 코드는 펑처링(puncturing) 패턴 또는 반복 패턴에 의해 구별되는 것인, 완벽한 비밀 암호키를 생성하는 방법.
16. 제14항에 있어서, 상기 채널 상태는 간섭 레벨을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
17. 제14항에 있어서, 상기 채널 상태는 도플러 확산을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
18. 제14항에 있어서, 상기 채널 상태는 도플러 확산 또는 이동 방향, 또는 도플러 확산과 이동 방향의 조합을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
19. 제14항에 있어서, 상기 채널 상태는 비트 에러율 또는 블럭 에러율에 기초하여 측정되는 것인, 완벽한 비밀 암호키를 생성하는 방법.
20. 삭제
21. 제1항에 있어서,

    에러 검출 비트를 도출하는 단계;

    상기 CIR 추정값에 상기 에러 검출 비트를 추가하는 단계; 및

    상기 에러 검출 비트를 포함하는 에러 정정 코드를 인코딩하는 단계

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
22. 제21항에 있어서, 상기 에러 검출 코드는 복수의 순환 중복 검사(CRC; Cyclic Redundancy Check) 비트를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
23. 삭제
24. 제1항에 있어서, 상기 수신된 무선 신호는 신호 프레임을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
25. 제1항에 있어서,

    상기 비밀키가 미리 정의된 기준에 따라 비밀을 방해하는 외인성 특징을 포함하는 경우에 상기 비밀키가 거부되도록, 취약 키 분석을 수행하는 단계를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
26. 제25항에 있어서, 상기 미리 정의된 기준은 정의된 기간 내의 반복적인 스트링을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
27. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 방법에 있어서,

    정보 스트링의 다중 채널 임펄스 응답(CIR) 추정값에 따라 정보 조정(reconciliation)을 수행하는 단계;

    예측된 값의 세트를 생성하기 위해 상기 CIR 추정값을 필터링하는 단계;

    비밀키를 생성하기 위해 현재의 추정값의 세트와 상기 예측된 값 사이의 차이 벡터를 생성하는 단계;

    상기 생성된 차이 벡터로 상기 비밀키를 계속하여 업데이트하는 단계;

    에러 정정 코드에 따라 상기 키의 에러 정정을 수행하는 단계; 및

    비밀 증폭을 수행하는 단계

    를 포함하는 완벽한 비밀 암호키를 생성하는 방법.
28. 제27항에 있어서,

    상기 차이 벡터로부터 하나 이상의 패리티 스트림을 생성하는 단계; 및

    타깃 송신 레이트에 따른 레이트로 상기 패리티 스트림 상에 펑처링 또는 반복을 수행하는 단계

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
29. 제28항에 있어서,

    채널 상태에 따라 상기 펑처링 레이트 또는 반복 레이트를 적응시키는 단계

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 방법.
30. 제29항에 있어서, 상기 채널 상태는 간섭 레벨을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
31. 제29항에 있어서, 상기 채널 상태는 도플러 확산을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
32. 제29항에 있어서, 상기 채널 상태는 도플러 확산 또는 이동 방향, 또는 도플러 확산과 이동 방향의 조합을 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
33. 제29항에 있어서, 상기 채널 상태는 비트 에러율 또는 블럭 에러율에 기초하여 측정되는 것인, 완벽한 비밀 암호키를 생성하는 방법.
34. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 방법에 있어서,

    수신된 정보 스트링의 다중 채널 임펄스 응답(CIR) 추정값에 따라 정보 조정을 수행하는 단계로서,

    상기 CIR 추정값을 샘플링하는 단계; 및

    키를 생성하기 위해 선입선출(first-in first-out)을 원칙으로 하는 샘플들을 사용하는 단계

    를 포함하는, 상기 정보 조정을 수행하는 단계; 및

    체계적인 콘볼루션 코드(systematic convolutional code)에 따라 에러 정정을 수행하는 단계;

    상기 정보 조정의 수행을 반복함으로써 상기 키를 업데이트하는 단계; 및

    비밀 증폭을 수행하는 단계

    를 포함하는 완벽한 비밀 암호키를 생성하는 방법.
35. 삭제
36. 삭제
37. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하기 위한 방법에 있어서,

    복수의 무선 송수신 유닛(WTRU)들로부터 수신된 복수의 무선 신호들 각각을 추정함으로써 복수의 채널 임펄스 응답(CIR) 추정값들을 생성하는 단계;

    각각의 비밀키가 상기 복수의 CIR 추정값들 중의 CIR 추정값에 기초하도록 복수의 비밀키들을 생성하는 단계;

    상기 복수의 WTRU들 중의 각 WTRU로 CIR 동기화 코드를 송신하는 단계;

    각각의 임시키가 상기 복수의 비밀키들 중의 비밀 키에 기초하고 상기 WTRU들 중의 WTRU와 연관되도록, 상기 비밀키들을 사용하여 복수의 임시키들을 생성하는 단계;

    상기 복수의 임시키들로부터 영구 키를 선택하는 단계; 및

    상기 각각의 임시키를 사용하여 상기 복수의 WTRU들 중의 각 WTRU로 상기 영구키를 전달하는 단계

    를 포함하는 완벽한 비밀 암호키를 생성하는 방법.
38. 제37항에 있어서, 상기 전달하는 단계는, 상기 복수의 WTRU들의 트리-그래프(tree graph)를 생성하는 단계를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.
39. 삭제
40. 삭제
41. 삭제
42. 삭제
43. 삭제
44. 삭제
45. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU)에 있어서,

    상이한 WTRU로부터 수신된 무선 신호에 기초하여 채널 임펄스 응답(CIR) 추정값을 생성하도록 구성된 채널 추정기;

    에러 정정을 위한 블럭 코드를 생성하도록 구성된 인코더;

    상기 CIR 추정값에 기초하여 비밀키를 생성하도록 구성된 포스트 프로세서(post processor); 및

    상기 비밀키로부터 완벽한 비밀 암호키를 생성하도록 구성된 비밀 증폭 프로세서

    를 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
46. 제45항에 있어서, 상기 비밀 증폭 프로세서는 유니버설 해시 함수에 따라 상기 비밀키를 맵핑하도록 구성되며, 상기 유니버설 해시 함수는, 상기 CIR 추정값으로부터 엔트로피를 추출하고, 공개 비트(public bit)들을 제거하는 것인, 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
47. 제45항에 있어서, 상기 비밀 증폭 프로세서는 버로우즈-휠러(Burrows-Wheeler) 변환을 수행하도록 구성된 엔트로피 인코더를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
48. 제45항에 있어서, 상기 CIR 추정을 위한 시작점을 판정하고, 상기 상이한 WTRU에 상기 시작점을 보고하도록 구성된 싱크로나이저(synchronizer)를 더 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
49. 삭제
50. 제48항에 있어서, 상기 싱크로나이저는 공통의 타이밍 소스를 사용하여 상기 시작점을 판정하도록 구성된 것인 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
51. 제50항에 있어서, 상기 공통의 타이밍 소스는 GPS인 것인, 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
52. 제45항에 있어서,

    에러 검출 코드에 따라 복수의 순환 중복 검사(CRC) 비트들을 계산하고 상기 CRC 비트들을 상기 CIR 추정값에 추가하도록 구성된 에러 검출 인코더

    를 더 포함하는 것인, 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
53. 제45항에 있어서, 상기 블럭 코드 인코더는 비-체계적인(non-systematic) 코드를 사용하도록 구성된 것인, 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
54. 제45항에 있어서,

    미리 정의된 기준에 따라 비밀에 영향을 미치는 외인성 특징에 기초하여 상기 비밀키를 거부하도록 구성된 취약 키 분석기를 더 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
55. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU)에 있어서,

    상이한 WTRU로부터 수신된 무선 신호에 기초하여 채널 임펄스 응답(CIR) 추정값을 생성하도록 구성된 채널 추정기;

    에러 정정을 위해 상기 상이한 WTRU로부터 수신된 패리티 비트들을 디코딩하도록 구성된 디코더;

    상기 상이한 WTRU로부터 수신된 동기화 코드에 기초하여 상기 CIR 추정값을 동기화하도록 구성된 동기화 프로세서;

    상기 CIR 추정값에 기초하여 비밀키를 생성하도록 구성된 포스트 프로세서; 및

    상기 비밀키와 유니버설 해시 함수를 사용하여 완벽한 비밀 암호키를 생성하도록 구성된 비밀 증폭 프로세서로서, 상기 유니버설 해시 함수는 상기 CIR 추정값으로부터 엔트로피를 추출하고 임의의 공개 비트들을 제거하는 것인, 상기 비밀 증폭 프로세서

    를 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
56. 삭제
57. 제55항에 있어서,

    에러 검출 코드에 따라 복수의 CRC 비트들을 계산하고, 상기 CIR 추정에 상기 CRC 비트들을 추가하도록 구성된 CRC 프로세서

    를 더 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
58. 무선 통신에 사용하기 위해 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU)에 있어서,

    수신된 무선 신호에 기초하여 채널 임펄스 응답(CIR) 추정값을 생성하도록 구성된 채널 추정기;

    에러 정정을 위한 비-체계적 블럭 코드를 생성하고, 상기 CIR 추정값으로부터 엔트로피를 추출하도록 구성된 인코더; 및

    상기 CIR 추정값에 기초하여 비밀키를 생성하도록 구성된 포스트 프로세서

    를 포함하는 완벽한 비밀 암호키를 생성하는 무선 송수신 유닛(WTRU).
59. 제37항에 있어서, 상기 CIR 동기화 코드를 송신하는 단계는,

    공통의 타이밍 소스(common timing source)에 관련된 동기화 신호를 생성하는 단계를 포함하는 것인 완벽한 비밀 암호키를 생성하는 방법.
60. 제59항에 있어서, 상기 공통의 타이밍 소스는,

    GPS를 포함하는 것인, 완벽한 비밀 암호키를 생성하는 방법.

Images