MX2007009064A

MX2007009064A - Generacion de claves perfectamente secretas en redes de comunicacion inalambrica.

Info

Publication number: MX2007009064A
Application number: MX2007009064A
Authority: MX
Inventors: Gregory S Sternberg; Guodong Zhang; Prabhakar R Chitrapu; Alexander Reznik; Alain Charles Louis Briancon; Yogendra C Shah; Akinlolu Oloruntosi Kumoluyi; Chunxuan Ye
Original assignee: Interdigital Tech Corp
Priority date: 2005-01-27
Filing date: 2006-01-26
Publication date: 2007-10-02
Also published as: NO20074354L; KR20110126727A; CN102223230B; WO2006081306A3; US8238551B2; US20120281834A1; CN102223230A; TW200635316A; TW201347496A; KR100960635B1; JP5330465B2; TWI507004B; CA2596172A1; CN101507173A; CN101288260A; US20070177729A1; EP1842316A2; TW200723820A; KR20070097133A; WO2006081306A2

Abstract

Un metodo y aparato se usa para generar una clave aleatoria perfectamente secreta entre dos o mas transceptores en una red de comunicacion inalambrica. En un sistema de punto a punto, ambos transceptores producen un estimado de la respuesta de impulso de canal (CIR) en base a la radiosenal recibida. La estimacion de CIR se sincroniza y puede incluir la correccion y deteccion de errores. Una clave secreta larga de bits se genera a partir de una version digitalizada del estimado de CIR, a partir de la cual se deriva una clave de encriptacion perfectamente secreta por amplificacion de privacidad.

Description

GENERACIÓN DE CLAVES PERFECTAMENTE SECRETAS EN REDES DE COMUNICACIÓN INALÁMBRICA Campo de la Invención La invención se refiere al área de seguridad en comunicaciones inalámbricas. De manera especifica, la invención se refiere a la generación de claves secretas basadas en la reciprocidad de canales inalámbricos.

Antecedentes de la Invención Aunque muchas de las técnicas criptográficas tradicionales pueden ser aplicables a comunicaciones inalámbricas, estas técnicas padecen del problema que las partes legitimas dependen de la dificultad computacional para obtener una clave por un curioso, como lo opuesto a su imposibilidad matemática. Conforme se incrementa la potencia computacional disponible para el curioso, disminuye la efectividad de estos métodos. Adicionalmente, estos métodos padecen de un problema que es usualmente una materia simple edificar si es correcta una suposición particular. De esta manera, seria ventajoso construir una técnica criptográfica que proporcione confidencia absoluta (incondicional), en lugar de una basada en suposiciones computacionales. Un método para hacerlo ha sido bien conocido en la literatura de la técnica anterior en base al trabajo de Maurer, Csiszar y Ahls ede y otros. Una breve descripción del planteamiento sigue a continuación. Suponer que dos partes, Alicia y Roberto, tienen acceso a dos fuentes de aleatoriedad, X e Y, que generan muestras de independientes Xi e Yi, en momentos predeterminados indexados por i. Suponer que Alicia y Roberto desean generar una clave "perfectamente secreta" al comunicarse sobre un canal público al cual tiene acceso un curioso, Eva. Además, Eva también puede tener acceso a otra fuente de aleatoridad, Z, que generan muestras independientes Z . La fuente aleatoria Z es presumiblemente dependiente de las fuentes aleatorias X e Y, pero no tan fuertemente como X e Y son dependientes entre si de forma cruzada. De esta manera, intuitivamente, Alicia y Roberto comparten alguna ventaja con respecto a Eva a través de la inter-dependencia más fuerte de sus fuentes aleatorias. En realidad, se ha mostrado que Alicia y Roberto pueden aprovechar esta dependencia para generar una clave aleatoria "perfectamente secreta". Sin pérdida de generalidad, se pueden definir las claves como secuencias de bit. Una clave aleatoria perfectamente secreta de longitud N-bit es una secuencia S de N-bits, compartida por Alicia y Roberto, tal que la estimación de cualquiera (en el presente caso solo esta Eva) acerca de esta secuencia clave se puede distribuir de manera apenas equiprobable sobre todas las posibles secuencias de N-bit, de las cuales hay 2N. Se deja que V denote toda la comunicación que toma lugar sobre el canal público; n es el número de veces que tienen acceso a los casos sobre los cuales cada una de las tres partes acumula la salida de las fuentes aleatorias; |S| es la longitud de la clave resultante. Entonces para cualquier e > 0, se busca un protocolo tal que para n suficientemente grande, se mantenga la siguiente relación: -H(S \ V,Z) > r^- e Ecuación 1 n n donde H es la entropía de una variable aleatoria, bien conocida de la literatura de la técnica anterior en la teoria de información. Se señala que la Ecuación 1 se normaliza a un muestreo individual de las fuentes aleatorias puesto que éste es el recurso básico para la generación de claves . La cantidad — H(S \ V, Z) , que por la ecuación 1 se n puede pensar equivalentemente como [|S|/r¡], se llama la proporción de clave secreta. Posteriormente, la noción de longitud de clave secreta y la proporción de clave secreta son indistintas, como sea apropiado por el contexto.

Específicamente, cuando quiera que se note una longitud de una clave secreta particular, se va a entender que esto se deriva en base a la observación de alguna cantidad especifica ( n) de las variables aleatorias subyacentes. Entre tanto, se nota una proporción de clave secreta, la noción es uno del número promedio de bits de clave secreta por observación de variable aleatoria. Se señala que hay una diferencia critica entre la definición anterior de confidencia y una en la que dependen los sistemas más modernos de criptografía, incluyendo todos los sistemas de clave pública. Específicamente, los sistemas modernos de criptografía dependen del hecho que puede ser extremadamente difícil desde un punto de vista de complejidad computacional, adivinar la clave criptográfica. Sin embargo, en la mayoría de estos sistemas, una vez que se produce la suposición correcta, es muy fácil verificar que esto es en realidad la suposición correcta. De hecho, el trabajo de Maurer y Wolf implica que esto debe ser asi para cualquier sistema de clave pública, es decir, uno donde la clave de encriptación se haga pública, en tanto que se mantenga secreta la clave de desencriptación. Para ilustrar el punto, considerar el siguiente ejemplo simple del cual se debe basar un sistema criptográfico de clave pública, en tanto que se mantiene en mente que son mucho más sofisticados la mayoría de los sistemas prácticos. Se deja que p y q sean dos números primos grandes y se deja que s=pq. Se conoce que el problema de factorizar un producto de dos números primos grandes es computacionalmente difícil. De esta manera, uno puede visualizar que se puede construir un sistema de criptografía de clave pública al hacer que el destino de la comunicación elija p y q en secreto y haga su producto s públicamente disponible, que entonces se usa como una clave de encriptación para algún sistema de encriptación que no se pueda desencriptar fácilmente a menos que se conozcan p y q. Un curioso quien desea interceptar un mensaje encriptado iniciará probablemente al intentar factorizar s, que se conoce que es computacionalmente difícil. De manera presumible, el curioso ya sea abandonará o pasará mucho tiempo en el que la confidencia del mensaje no será por más tiempo una cuestión. Se señala, sin embargo, que si el curioso adivina p, será bastante fácil verificar que tiene la respuesta correcta. Esta capacidad de conocer la respuesta correcta una vez que se sugiera finalmente, es lo que separa la confidencia computacional de "confidencia perfecta". Confidencia perfecta significa que aun si el curioso sugiere correctamente la clave, no tendrá la capacidad de determinar que en realidad lo ha hecho. De esta manera, la "confidencia secreta" es, en un sentido muy especifico, una fuerte noción de confidencia de lo que está prevalente en los sistemas modernos de criptografía. No es obvio que deba existir un protocolo que genere la confidencia secreta en el presente escenario. Sin embargo de su existencia, o la existencia de muchos protocolos diferentes, se han establecido los trabajos de Ahlswede y Csiszar, Csiszar y Narayan y Maurer y Wolf. Estos trabajos anteriores también dan varios limites superiores e inferiores del número de bits aleatorios que se pueden generar por muestreo individual de las fuentes aleatorias bajo un intervalo amplio de suposiciones. El proceso de generar una clave perfectamente secreta entonces se puede resumir como sigue. Alicia y Roberto inician primero al utilizar su aleatoriedad de unión para establecer una secuencia S' de cadena de bit de cuya entropía inherente del punto de vista de Eva es |S| bits con |S|<|S' |. Esto se hace usando algún número de intercambios públicos entre Alicia y Roberto. En muchos casos, es suficiente un intercambio unilateral individual. La naturaleza exacta del intercambio depende de la naturaleza de las fuentes conjuntamente aleatorias ( X, Y, Z) . Este paso se llama usualmente reconciliación de información. Entonces, Alicia y Roberto usan posiblemente otro conjunto de intercambios públicos, un intercambio individual es típicamente suficiente, para arreglar públicamente una función que transforma la secuencia S' en una cadena S perfectamente secreta. Esto se llama típicamente amplificación de privacidad. De manera alternativa, esta función se pre-arregla durante el diseño del sistema. En este caso, se asume que Eva está conciente de esto. Un paso adicional que se presenta antes del primer paso descrito anteriormente llamado destilación de ventaja se puede utilizar de forma adicional, sin embargo, no es pertinente aqui, además no se describe nada con respecto a esto. Como se aplica específicamente a un sistema de comunicación inalámbrica, el proceso necesita especificación adicional. En tanto que las fuentes aleatorias correlacionadas son a priori difíciles de producir sin comunicación anterior, el canal inalámbrico proporciona este recurso en la forma de la respuesta de impulso de canal. Específicamente, en ciertos sistemas de comunicación, dos partes comunicadoras (Alicia y Roberto) medirán respuestas de impulso de canal muy similares cuando se comuniquen de Alicia hacia Roberto o de Roberto hacia Alicia (por ejemplo, Sistemas Dúplex por División de Tiempo (TDD) de Acceso Múltiple por División de Código de Banda Amplia (WCDMA) tienen esta propiedad) . Por otra parte, cualquier parte no co-localizada físicamente con Alicia y Roberto es probable que observe la respuesta de impulso de canal (CIR) que tiene muy poca correlación con aquella de Alicia y Roberto. La diferencia se puede aprovechar para la generación de claves perfectamente secretas. También, seria de interés generar algún número de bits perfectamente secretos por medición de CIR. Se señala que las mediciones de CIR tienen que estar separadas de una manera bastante amplia en el tiempo para hacer más o menos independientes. De esta manera, existe la necesidad de diseñar un sistema que extraiga explícitamente la cadena de bits secretos de un canal reciproco inalámbrico, en tanto que afronte el reto que bajo la suposición del peor caso aplicado en criptografía, un curioso puede interceptar algún bit intercambiado entre dos terminales inalámbricas, y esté conciente del algoritmo usado por las dos terminales para derivar una clave secreta. Aun otra cuestión es que se puede desear extender la generación de una clave perfectamente secreta desde dos terminales transceptoras a una pluralidad de transceptores, tal que la red completa de transceptores comparta una clave común perfectamente secreta, en tanto que sólo cada par comparta las propiedades de canal inherentemente únicas. Es decir, cada par de transceptores genera una clave aleatoria común, pero estas claves son diferentes de par a par. Esto hace bastante ineficiente el compartir información en esta red cuando la misma información se va a difundir a más de un receptor. La razón es que el mensaje se encripta con una clave diferente para cada receptor y aparece posteriormente como un mensaje diferente y de esta manera se debe comunicar de manera separada a cada receptor. En contraste, se debe multidifundir un mensaje encriptado con una clave compartida una vez y todos los receptores legítimos son capaces de descencriptar la transmisión individual.

Breve Descripción de la Invención Esta invención es un método y sistema para generar una clave aleatoria perfectamente secreta entre una pluralidad de terminales en una red de comunicación inalámbrica, tal que sea matemáticamente imposible que un curioso derive o adivine la clave usada con cualquier cantidad de certidumbre. La invención utiliza la aleatoridad única que es inherente en los canales inalámbricos de punto a punto. Un curioso puede adivinar la clave correcta, pero no tiene manera de distinguirla de las claves erróneas. Entre un par de transceptores, un transceptor guia deriva un estimado de CIR del canal compartido, que entonces se procesa discretamente para producir una clave secreta larga. Se genera un código de corrección de error y los bits de paridad se transmiten al segundo transceptor. Una cadena opcional de bits de sincronización también se genera y se transmite al segundo transceptor, para asegurar la estimación sincronizada de CIR en el segundo transceptor. El segundo transceptor deriva independientemente en su estimación de CIR del canal compartido y procesa su estimación o estimado de CIR con los bits de paridad recibidos y los códigos de sincronización enviados por el transceptor guia. El resultado es una clave secreta larga idéntica como aquella derivada en el transceptor guia, sin tener que compartir públicamente la clave excepto por los bits de paridad. Para remover la correlación y pérdida de confidencia por los bits de paridad intercambiados, cada transceptor procesa adicionalmente su clave secreta larga por un proceso de amplificación de privacidad. Esta técnica para el establecimiento de claves perfectamente secretas también se extiende a un escenario de red general para tres o más transceptores que comparten una clave individual perfectamente secreta.

Breve Descripción de las Figuras Se puede tener un entendimiento más detallado de la invención a partir de la siguiente descripción de una modalidad preferida, dada a manera de ejemplo, y se va a entender en unión con las figuras anexas, en donde: La Figura 1 muestra un diagrama de bloques del procesamiento de confidencia en el transceptor A, el transceptor guia; La Figura 2 muestra un diagrama de bloques del procesamiento de confidencia en el transceptor B; La Figura 3 muestra una ilustración del problema de sincronización en el dominio de retrazo de tiempo; La Figura 4 muestra un vector de diferencia que codifica usando un código convolucional; La Figura 5 muestra un diagrama de una red de tres nodos y un diagrama de una red de cuatro nodos.

Descripción Detallada de las Modalidades Preferidas Aunque las caracteristicas y elementos de la presente invención se describen en las modalidades preferidas en combinaciones particulares, cada característica o elemento se puede usar solo (sin las otras caracteristicas y elementos de las modalidades preferidas) o en varias combinaciones con o sin otras caracteristicas y elementos de la presente invención. Posteriormente, un transceptor incluye pero no se limita a una unidad de transmisión/recepción inalámbrica (WTRU) , nodo de red, equipo de usuario, estación móvil, unidad suscriptora fija o móvil, radiolocalizador, cualquier otro tipo de dispositivo capaz de operar en un ambiente inalámbrico. Cuando se refiere más adelante en la presente, una estación base incluye pero no se limita a un nodo B, controlador de sitio, punto de acceso o cualquier otro tipo de dispositivo de interconexión en un ambiente inalámbrico. Las Figuras 1 y 2 muestran diagramas de bloque de transceptores 100 y 200, respectivamente, que representan dos partes legitimas que se comunican en un sistema de punto a punto. La presente invención establece una clave perfectamente secreta entre dos transceptores 100 y 200, donde el transceptor 100 se selecciona para ser el transceptor guia (es decir, el transceptor 100 toma la guia en el proceso de establecimiento de claves) . Se señala que los transceptores 100 y 200 son de manera preferente subcomponentes de un sistema de comunicación más grande y/o circuitos integrados específicos de la aplicación (ASIC) . Algunos o todos los elementos de procesamiento mostrados en las Figuras 1 y 2 se pueden compartir para otras tareas no relacionadas a la confidencia. En términos generales, los transceptores 100 y 200 siguen los siguientes pasos iniciales de procedimiento para generar una clave perfecta para comunicaciones encriptadas: 1) Cada transceptor transmite mutuamente entre si ya sea una señal especialmente diseñada (por ejemplo, un peine de tonos) o una secuencia piloto que también se puede usar para otros propósitos. 2) El canal fisico inalámbrico modifica de modo natural las secuencias algo de acuerdo al ambiente fisico, creando desvanecimiento y distorsiones de señal, pero debido a la reciprocidad de canal estas modificaciones son altamente similares. Por consiguiente, los transceptores 100 y 200 utilizan la aleatoriedad de unión inherente a su canal compartido para establecer claves secretas. 3) Cada transceptor entonces transforma su señal recibida en secuencias binarias (o alguna otra forma discreta) de alguna manera. Como se muestra en la Figura 1, el transceptor guia 100 comprende un estimador 101 de canal, un posprocesador 102 de respuesta de impulso de canal (CIR) , un procesador 103 de amplificación de confidencia (PA), un codificador 104 de código de bloque, una unidad 105 de código de sincronización opcional, un multiplexor (MUX) 106 de bits de paridad y bits de sincronización, y un procesador 112 de análisis de clave débil opcional. En el transceptor 100, el estimador 101 de canal estima una respuesta de impulso de canal (CIR) de una radioseñal recibida del transceptor 200, que entonces se procesa por el pos-procesador 102 de CIR. La tarea primaria del pos-procesador de CIR es convertir la CIR estimada en una cadena de bits conocida posteriormente en la presente como la clave secreta larga 110. El transceptor 100 asume que en la terminación del proceso de reconciliación de información, el transceptor 200 estará en posición de la misma cadena de bits, mostrada como la clave secreta larga 210. Esta clave secreta larga 110, 210 no es perfectamente secreta por las siguientes dos razones: 1) debido a que las muestras de CIR se correlacionan potencialmente (altamente correlacionadas para altas velocidades de muestreo) , los bits no están distribuidos de forma independiente; 2) debido a que ciertas partes del protocolo requieren comunicaciones públicas, algo de la información se ha filtrado a un curioso potencial. El procesador (103) de amplificación de privacidad (PA) compensa estos problemas. Como parte del proceso de reconciliación de información, el codificador 104 del código de bloque deriva un código de bloque con bits de paridad para la corrección de error en el transceptor 200. En al menos una modalidad preferida, el codificador 105 de código se sincronización produce un código usado para sincronizar los estimados de CIR entre el transceptor 100 y 200. Los bits de paridad y los bits del código de sincronización se multiplexan por el MUX 106 para la transmisión al transceptor 200. Un procesador 112 de análisis de clave débil opcional detecta y rechaza la clave secreta larga 110 y se determina que es una clave secreta larga débil. Como se muestra en la Figura 2 el transceptor 200 comprende un estimador 201 de canal, un post-procesador 202 de CIR, un procesador 203 de amplificación de privacidad, un descodificador 204 de bits de sincronización, un descodificador 209 de bits de paridad, una unidad 205 de CIR de sincronización ascendente y un procesador 212 de análisis de clave débil. En el transceptor 200, el estimador 201 de canal recibe la radioseñal del transceptor 100 y estima la CIR. El pos-procesador 202 de CIR filtra los estimados de CIR. Estas dos unidades operan de una manera idéntica a los dispositivos correspondientes 101 y 102 en el transceptor 100. La salida del post-procesador 202 de CIR es una cadena de bit de la "clave secreta aleatoria". De manera ideal, esta cadena es idéntica a la clave secreta larga en el transceptor 100 en base a la reciprocidad del canal que existen entre los dos transceptores. Sin embargo, los estimados reales de CIR no son idénticos debido a la distorsión de CIR, ruido de canal, y diferentes puntos de inicio de estimación de canal; las dos cadenas son en realidad algo diferentes. Si la salida real del post-procesador 202 de CIR fue idéntica a aquella del post-procesador 102 de CIR, entonces la amplificación de privacidad por el procesador 203 de PA y el análisis de clave débil opcional se puede aplicar para generar una clave perfectamente secreta idéntica a aquella del transceptor 100. La naturaleza del procesador 203 de PA es la misma como aquella del procesador 103 de PA y el procesador 212 de WKA es la misma como el procesador 112 de WKA. Sin embargo, debido a que la salida del post-procesador 202 de CIR no es la misma como aquella del post-procesador 102 de CIR, no se puede aplicar directamente a esto el procesamiento de PA y el procesamiento de WKA. En cambio, el transceptor 200 usa los bits de paridad y de sincronización transmitidos por el transceptor 100 para corregir las diferencias. En una modalidad donde se implementa el codificador 105 de código de sincronización, el descodificador 205 de bits de sincronización y el descodificador 204 de bits de paridad descodifican los bits de sincronización y los bits de paridad de la señal recibida. La unidad 207 de sincronización ascendente de CIR procesa los bits descodificados de sincronización y sincroniza el estimado de CIR con el estimado de CIR del transceptor 100. El descodificador 204 de bits de paridad procesa los bits de paridad descodificados y realiza la corrección de errores en los estimados sincronizados de CIR. La clave secreta larga 210 ahora se ha recuperado como existe en el transceptor 100 y se puede aplicar el procesamiento de PA y WKA. La clave larga secreta 210 incrustada dentro de la radioseñal recibida del transceptor 100 se procesa por un procesador 203 de PA para proporcionar la clave perfectamente secreta. El procesador 212 de análisis de clave débil opcional detecta y rechaza claves secretas largas débiles. Ahora sigue una descripción de la generación de la clave perfectamente secreta de la estimación de canal. Ambos transceptores 100 y 200 derivan un estimado de la CIR en base a la radioseñal recibida en las unidades 101 y 201 de estimación de canal. Ambos transceptores deben soportar esta operación a través de la transmisión de alguna clase de una radioseñal. Típicamente, esta es una señal piloto específicamente diseñada, usada para la estimación de canal, para propósitos diferentes de la generación de la clave secreta. La mayoría de los sistemas modernos la incrustan para el propósito de estimación de datos. Hay varios métodos para realizar este método, incluyendo, pero no limitado a, la transmisión de señalización especial por ambos transceptores para los propósitos de ayudar a este proceso en el otro transceptor. La implementación de esta señalización puede incluir, usando un bloque intermedio, tal como se usa en la División Dúplex por Tiempo (TDD) , un piloto continuo tal como en los sistemas IS-95 y FDD, pilotos incrustados a ciertas frecuencias, tal como en muchos sistemas de OFDM. La salida de las unidades 101 y 201 de estimación de canal es una representación digitalizada de la CIR. Los estimados de CIR se pueden producir y almacenar de varias maneras diferentes, incluyendo el dominio de tiempo, dominio de frecuencia y el uso de un espacio de vector abstracto, en tanto que sea idéntica la técnica de representación en ambos transceptores 100 y 200. En la modalidad preferida, los estimados de CIR a la salida de los estimadores 101, 201 de CIR proporciona una salida de amplitud/perfil para la generación de la clave secreta, en tanto que ignora la información de la fase de CIR. De manera alternativa, la información de la fase de CIR de la estimación de canal también se puede usar en el proceso. Dependiendo de la implementación, solo la información parcial acerca de la CIR puede ser reciproca y por lo tanto adecuada para la generación de la confidencia común. Un problema común en la producción de la CIR de una señal digital es que las diferencias en la fase de muestreo de los convertidores de A/D puede dar por resultado estimaciones o estimados de CIR que parezcan drásticamente diferentes. Esto es particularmente una cuestión si la CIR se almacena en el dominio de tiempo. No es una cuestión significativa si la CIR se almacena en el dominio de frecuencia. Variará el grado al cual este sea un problema con otros métodos alternativos de almacenamiento. Un método simple para afrontar este problema es muestrear la señal análoga a la antena a una velocidad que es significativamente mayor que la velocidad minima (es decir, la velocidad de Nyquist) dado el ancho de banda de transmisión. La velocidad a la cual es un factor de 4 a 10 veces la velocidad de Nyquist puede ser considerada ya significativamente mayor. Los post-procesadores 102 y 202 de CIR realizan el pos-procesamiento en el estimado resultante de CIR con un filtro pasabajos y posiblemente un filtro de interpolación. Se puede requerir post-procesamiento adicional en el caso donde los transceptores estén equipados con MIMO, puesto que las diferencias en el número de antenas y patrones de antena puede provocar que difieran los estimados de CIR. En estos casos, los transceptores 100 y 200 pueden tener que intercambiar información a cerca de sus configuraciones de antena que entonces les permitirla derivar estimaciones o estimados simétricos de CIR de sus observaciones. Debido a la reciprocidad de canal entre los transceptores 100 y 200, los estimados de CIR postprocesados, producidos en los transceptores se espera que sean muy similares. Sin embargo, las diferencias entre los estimados de CIR se pueden introducir en los transceptores 100 y 200 por cualquiera de las siguientes tres fuentes de error. Una primera fuente de error resulta de la reciprocidad de canal que presume estimación simultánea de canal en ambos transceptores 100 y 200. Las diferencias en esta simultaneidad darán por resultado alguna diferencia en los estimados de canal. Una segunda fuente de error es que los estimados digitalizados de CIR pueden necesitar ser sincronizados con respecto al punto de inicio. Por ejemplo, si el estimado se digitaliza en el dominio de retrazo de tiempo, el inicio de la porción significativa de la CIR puede presentarse en un lugar diferente con respecto al tiempo cero de referencia en los dos transceptores 100 y 200. Como se muestra en la Figura 3, el transceptor 100 tiene un punto de inicio con retrazo tx de tiempo del tiempo cero de referencia, en tanto que el transceptor 200 tiene un punto de inicio con retrazo t2 de tiempo del tiempo cero de referencia, donde ti diferente de t2. Como otro ejemplo, si la CIR se almacena usando representación de dominio de frecuencia, se puede asumir una diferente fase de frecuencia/referencia de inicio al determinar los parámetros de almacenamiento. Una tercera fuente de error es que los estimados de CIR diferirán debido a los errores provocados por la interferencia inherente en cualquier canal inalámbrico. Esta interferencia puede ser debida a otros dispositivos que operan en la misma banda de frecuencia y/o al ruido del receptor, y/o ruido ambiental, tal como ambiente térmico. El aseguramiento de la simultaneidad en la estimación de canal en los transceptores 100 y 200 se puede lograr al usar varios medios que actualmente existen en la mayoría de los sistemas de comunicación. Estos medios van a tener la sincronización de la estimación de canal unida a un tiempo especifico de sistema, tal como un radio-cuadro o limite de intervalo y el contador de super-cuadro en un sistema de UMTS. Otro medio es al incrustar una señal de sincronización en la piloto que los transmisores emiten para soportar la estimación de canal. De manera alternativa, se puede derivar un evento de sincronización de esta señal piloto sin requerir la incrustación de una señal especial. Una tercera manera para asegurar la simultaneidad es el tener los eventos de estimación de canal unidos a una referencia de tiempo absoluta a la cual tienen acceso ambos receptores, incluyendo los satélites del sistema de posicionamiento global (GPS) o un tiempo común de sistema usado por los sistemas de comunicación inalámbrica. Un cuarto medio posible para asegurar la simultaneidad es medir el retrazo de viaje redondo usando técnicas predefinidas y entonces desviar la sincronización en este retrazo. En tanto que aún puede existir una pequeña diferencia de sincronización después de que se usen estos métodos, estos son, con toda probabilidad, demasiado pequeños para tener algún impacto significativo en el empeño del sistema. Cualquier número residual pequeño de discrepancias que permanezca se puede tratar con los mismos mecanismos que afrontan las discrepancias debido a la interferencia en el canal inalámbrico, tal como códigos de bloque y códigos de CRC, que se describirán posteriormente. La sincronización de punto de inicio para la CIR almacenada se puede manejar al registrar el punto de inicio en el transceptor 100 y transmitirlo en el transceptor 200 usando un código de amplia conflabilidad para asegurar transmisión libre de errores. De manera alternativa, se puede usar un código de sincronización especial de varias familias bien conocidas de estos códigos (por e emplo, códigos libres de coma) . Puesto que el problema de sincronización se limita típicamente a solo unas pocas muestras, solo es necesario un desempeño limitado de este código de sincronización especial. El codificador 105 de códigos de sincronización en combinación con el descodificador 205 de bits de sincronización y la unidad 207 de sincronización ascendente de CIR implementan estas soluciones para la sincronización del punto de inicio para la CIR almacenada. El descodificador 205 descodifica los bits de sincronización cuando se envian usando un código separado, en tanto que la unidad 207 de sincronización ascendente de CIR ajusta la posición de la CIR con relación a una referencia local de acuerdo con los bits de sincronización. De manera alternativa, el código de bloque usado para corregir los errores de interferencia se puede utilizar en unión con los dos métodos anteriores o de forma exclusiva, como se describe mas adelante. Aun otra alternativa es usar un método de post-procesamiento de CIR que no es sensible a este problema de sincronización de punto de inicio.

La sincronización de punto de inicio también se puede afrontar sin recurrir a la codificación de la información de sincronización. Este método incluye el hacer que los transceptores 100 y 200 generen una señal de sincronización especial relacionada a una fuente común de sincronización (por ejemplo GPS), y la estimación de CIR se puede hacer con respecto a esta señal. De manera alternativa, la sincronización de punto de inicio se puede lograr al procesar la CIR en un dominio donde no es una cuestión. Sin embargo, este planteamiento requiere sacrificar alguna proporción de confidencia. Por ejemplo, con la condición que se ignore la información de fase de CIR de acuerdo a la modalidad preferida, no se presenta el problema de sincronización en el dominio de frecuencia. Dependiendo del nivel de interferencia del canal, la pérdida de la proporción de confidencia puede ser grande o minima. Como otro ejemplo, en un canal muy ruidoso, la información de fase puede ser altamente inconfiable, ignorándola de esta manera causarla pérdida minima de la proporción de confidencia. El codificador 104 de código de bloque proporciona códigos de corrección de error sistemático, en la forma de bits de paridad, descodificados por el transceptor 200 en el descodificador 204 de bit, donde las discrepancias entre las cadenas transmitidas y las cadenas recibidas se presentan debido a la interferencia del canal. Un código de corrección de errores sistemáticos es uno en el cual la palabra código de la salida del descodificador 204 contiene el mensaje original de la entrada del codificador 104. Aqui, el código de corrección de error sistemático se implementa por el codificador 104 que reside en el transmisor del transceptor guia 100, y el descodificador 204 de bits de paridad localizado en el receptor del transceptor 200. Típicamente, se pre-selecciona un código de bloque por diseñadores del sistema. De manera alternativa, se puede seleccionar dinámicamente en base a algunos criterios de tiempo real, la selección se comunica públicamente entre los transceptores 100 y 200. Debido a que se usa la amplificación de privacidad, el hecho que el código de bloques se conozca públicamente no reduce la capacidad del sistema para generar confidencia. El codificador 104 de código de bloque toma los bits de entrada y genera un conjunto de bits de verificación de paridad, que se van a transmitir sin los bits de entrada. El descodificador 204 de bits de paridad entonces combina los bits de paridad recibidos del canal con la salida del post-procesador 204 de CIR para producir una "palabra código corrompida" completa y descodifica la clave secreta larga 210. El procesamiento de los bits de paridad termina la operación de descodificación que da por resultado la salida del post-procesador 202 de CIR que se corrige de modo que ahora es idéntica a la clave secreta larga 110 conforme existe en el transceptor 100. De acuerdo a la presente invención, el código de bloque se utiliza de una manera no convencional. El estimado de CIR en el transceptor 100 se usa como la entrada a los códigos de bloque, sin embargo sólo se transmiten los bits de paridad generados por el codificador 104. El transceptor 200, habiendo recibido esta transmisión, posiblemente con algunos errores, entonces trata su propio estimado de CIR como la parte de mensaje de la palabra código, que también puede contener errores, y usa los bits de verificación de paridad recibidos para corregir estos errores. Con la condición de que se elija bien el código de bloque, la salida del descodificador 204 de bit de paridad es idéntica al estimado de CIR del transceptor 100 con muy alta probabilidad. De esta manera, los transceptores 100 y 200 se han sucedido en la obtención de la misma cadena, en tanto que revelan públicamente solo alguna porción de la misma, es decir, la transmisión de los bits de verificación de paridad. Al seleccionar el código de bloque, se asume que un curioso potencial tiene la capacidad de encontrar qué código de bloque se usa, de esta manera no hay intento para mantener este secreto. La naturaleza del código de bloque sólo es importante con respecto a la capacidad de corrección de errores y se debe ponderar la complejidad de codificación/descodificación como consideraciones de diseño. Se puede usar cualquier código de corrección de error de bloque sistemático, incluyendo códigos de Reed-Solomon y turbo. El tamaño del código de bloque se predetermina de manera preferente puesto que en la mayoría de los sistemas, se puede colocar un limite superior razonable en la longitud de la CIR. Sin embargo, si esto no se puede hacer, se selecciona un código especifico de una familia pre-acordada de códigos usando análisis público. De manera alternativa, se selecciona una familia de códigos de bloque, por ejemplo, una familia que tiene una capacidad variable de corrección de errores. De la familia de códigos de bloque, los transceptores 100, 200 entonces seleccionan que código usar en base a las condiciones del canal (niveles de interferencia, propagación Doppler, etc.). Se establece el acuerdo en el código de bloque mediante comunicación pública. Puesto que el código de bloque seleccionado no tiene que ser mantenido secreto para asegurar la confidencia, este no compromete al sistema. La confidencia que resta en las cadenas resultantes es bastante equivalente a la entropía inicial de los estimados de CIR, menos el número de bits de paridad usado, menos la información que un curioso potencial puede tener con respecto a los estimados de CIR. Asumiendo que es pequeño el conocimiento de un curioso con respecto a los estimados de CIR, es deseable usar tan pocos bits de paridad como sea posible para la confidencia máxima. Por otra parte, se requiere un número suficiente de bits de paridad para asegurar que el transceptor 200 termine con una secuencia digitalizada cercanamente idéntica a aquella en el transceptor 100 con una muy alta probabilidad, donde se predetermina el umbral aceptable de probabilidad. De esta manera, la capacidad para seleccionar un código de bloque de una familia de códigos para cumplir una condición particular de canal se puede implementar para mantener el balance apropiado en esta transacción. Este mecanismo para hacer decisiones es una característica opcional adicional al codificador 104 de código de bloque. Como se introduce anteriormente, también se pueden usar los códigos de bloque para soportar la sincronización del punto de inicio de la CIR digitalizada. Si el transceptor 200 no está certero acerca del punto exacto de inicio ya sea debido a que no se usa mecanismo de sincronización ascendente o debido a que no reduce completamente la incertidumbre, tendrá que expresar esto a un punto finito, típicamente, pequeño, conjunto de posibilidades. Entonces puede usar los bits de paridad recibidos para intentar la descodificación con cada uno de los posibles puntos de inicio. Al hacer esto asi, necesita contar el número de "errores" en su propio estimado de CIR que se corrigen por el corrector 206 de errores de CIR. Con la probabilidad muy alta, todas las posiciones pero la correcta darán por resultado un número muy alto de correcciones; en tanto que la correcta da por resultado un número muy bajo de correcciones. De esta manera, el proceso de descodificación del código de bloque puede ayudar o soportar completamente el proceso de sincronización del punto de inicio. Aunque la utilización de un buen código de corrección de errores da por resultado una alta probabilidad que se genere la misma clave en ambas terminales, el proceso no se garantiza que sea exitoso. Si el procedimiento falla, las terminales finalizarán con dos diferentes cadenas secretas. Aun si estas difieren por sólo un bit único, no es posible por más tiempo la comunicación. Este problema se puede mitigar en una de varias maneras. Si las terminales tienen una manera para detectar que es incorrecto un mensaje desencriptado, entonces se puede detectar la falla del acuerdo de clave de esta manera. Sin embargo, este proceso de detección frecuentemente es ya sea no factible o demasiado costoso en el sentido de recursos desperdiciados de comunicación. En este caso, 'se puede aplicar un método alternativo, que utilice la codificación de detección de errores . Un tipo común de la codificación de detección de errores es la codificación de CRC, que se describe en el siguiente ejemplo como la elección preferida para la codificación de detección de errores. El procesador 108 de CRC computa los bit de verificación de CRC para la clave secreta larga en base a algún código pre-seleccionado de CRC. La cadena resultante con los bit de CRC entonces se envia al transceptor 200. El transceptor 200 entonces prosigue con la descodificación de bloque exactamente como se describe anteriormente. Después de la descodificación, el procesador 208 de CRC computa sus propios bits de CRC usando el mismo código de CRC y los compara a los bits recibidos del transceptor 100. Si la cadena resultante corregida de errores pasa la verificación de CRC, se declara el éxito. De otro modo, el transceptor 200 declara falla de la generación de la clave y se repetirá el proceso de generación de claves . Finalmente, cuando las condiciones del canal son buenas de modo que las CIR son altamente probables que sean idénticas, el código de bloque se puede usar de manera alternativa para la verificación de errores, simplemente al asegurar que el descodificador 204 de bit de paridad en el transceptor 200 no se han detectado errores.

Como una modalidad alternativa, donde se utiliza un código de error no sistemático, el siguiente ejemplo ilustra una implementación de síndrome. Suponer que Alicia y Roberto conocen dos secuencias correlacionadas, binarias, independientes e idénticamente distribuidas Xn= (Xi, ... , Xn) e Yn= (Yi, ... , Yn) , respectivamente. Alicia ayuda a Roberto a recuperar Xn al transmitir información de Xn a Roberto. Se señala que Alicia no necesita transmitir todo de Xn a Roberto, puesto que Roberto ha conocido ya alguna información de Xn, por medio de la secuencia correlacionada Yn. Una solución conocida, conocida como la unión Slepian-Wolf, sugiere que el número minimo de bits de transmisión desde Alicia a Roberto, que permite a Roberto reconstruir Xn, es nH(X|Y), con H(X|Y) que denota la entropía condicional. Usando los síndromes de acuerdo a la presente modalidad, los bits de transmisión nH(X|Y) se pueden determinar, asi como reconstruir Xn, en base a Yn y los bits transmitidos. Una modalidad donde el planteamiento basado en síndromes será importante es si se usan los códigos de verificación de paridad de baja densidad (LDPC) para la corrección de errores, puesto que los códigos de LDPC son típicamente no sistemáticos. Considerar el siguiente ejemplo solo ejemplo ilustrativo. Dejar que LetX3=(Xi, X2, X3) y Y3= (Ylf Y2, Y3) sean dos secuencias binarias (de longitud de n=3), con la distancia de Hamming no más de una. Alicia y Roberto observan respectivamente X3 y Y3. Alicia ayuda a Roberto a reconstruir X3 al transmitir información parcial de X3. Se señala que si Roberto conoce que X3 corresponde al conjunto {000, 111}, puede descodificar fácilmente X3 puesto que la distancia de Hamming entre X3 e Y3 no es más de uno, en tanto que la distancia de Hamming entre "000" y "111" es tres. De esta manera, si el descodificador de Roberto conoce que ya sea X=000 ó X=lll, se resuelve la incertidumbre al verificar para cual es más cerca la distancia de Hamming. De manera similar, el conocimiento que X3 corresponde a cualquiera de los conjuntos {001,110}, {010,101} y {100,011} puede ayudar a Roberto a recuperar X3, puesto que estos tienen también una distancia de Hamming de tres. Puesto que Alicia necesita solo informar a Roberto a que conjunto corresponde X3 (de entre los cuatro conjuntos anteriores). Los cuatro conjuntos anteriores, que tienen la distancia de Hamming de tres para sus subconjuntos respectivos, se llaman co-conjuntos para el código lineal {000,111} con la matriz de verificación de paridad P = pof El síndrome de una secuencia de X3 verifica las verificaciones de paridad de las palabras código válidas y se define como P(X3)fc, donde t denota la transposición. Se conoce que todas las secuencias en el mismo co-conjunto tienen el mismo síndrome, y cada dos secuencias en diferentes co-conjuntos tienen diferentes síndromes. Por lo tanto, Alicia solo puede transmitir el síndrome de sus observaciones X3, que indica el co-conjunto que contiene X3. Regresando ahora a los procesadores 103, 203 de PA mostrados en las Figuras 1 y 2, es confiable reducir las cadenas de modo que la longitud de las cadenas en bits sea aproximadamente equivalente a la cantidad de confidencia proporcionada por la clave. Estos se implementan usando las funciones del código universal de comprobación donde se puede ya sea pre-acordar la función especifica usada o se acuerda al usar la comunicación pública. La función, tal como el código de bloque usado, no tiene que ser mantenida secreta y por lo tanto se puede acordar al usar el canal inalámbrico público. Las funciones del código de comprobación son funciones de transformación que toman cadenas de entrada de dimensión M, a una dimensión más pequeña N; donde M > N; F : {0,1}M =>{0,1}N Ecuación (5) Las funciones del código de comprobación se usan comúnmente en la ciencia de computadoras para solucionar el problema de diccionario. El problema de diccionario se define como el establecimiento de un mecanismo para almacenar un conjunto determinado de partículas (palabras, nombres, objetos, claves, etc.), y sus atributos asociados, tal que los artículos se busquen subsecuentemente de forma eficiente. Las funciones del código de comprobación incluyen atributos tal como un costo del tiempo operacional de búsqueda de un conjunto determinado e implementaciones sencillas del mecanismo de almacenamiento y búsqueda. La obtención de un tiempo de costo de operación de búsqueda es una tarea muy difícil debido a que las cadenas de entrada no son típicamente de una distribución uniforme y debido a la correlación compleja de una dimensión más grande M, a una dimensión más pequeña N. Por estas razones, no son raras las colisiones en las salidas de las funciones del código de comprobación, donde una colisión es el resultado de tener más de una cadena de entrada que produce el mismo valor de salida. Se usan varios esquemas, tal como doble código de comprobación, sondeo (lineal y cuadrático), encadenado, etc., para acercarse al tiempo del costo de operación de búsqueda para estas funciones del código de comprobación. La función de código de comprobación de la presente invención posee las siguientes propiedades que son útiles en el logro del secreto perfecto. Primeramente, la función de código de comprobación es unidireccionalmente irreversible ya que es significativamente más fácil computar en la dirección hacia adelante que en la dirección inversa. Típicamente, toma segundos computar en la dirección hacia adelante, en tanto que es computacionalmente imposible encontrar lo inverso. Es decir, para una función determinada de código de comprobación y = h (x) , es fácil obtener un valor y para un valor x determinado, pero es computacionalmente imposible obtener un valor x para un valor y determinado. Entonces, la función de código de comprobación de acuerdo a la presente invención tiene una resistencia de colisión débil y una resistencia de colisión fuerte. Una resistencia de colisión débil se define como sigue. Dado un mensaje x, y su valor de código de comprobación (también referido como digestión de mensajes) y, es computacionalmente imposible encontrar otro mensaje z, tal que sus funciones de código de comprobación sean equivalentes, es decir., h (x) =h (z) . Se señala que los usuarios no tienen la lección de seleccionar el mensaje y su valor de código de comprobación pero debe determinar un mensaje diferente con el mismo valor de código de comprobación . Una resistencia de colisión fuerte existe donde es computacionalmente imposible encontrar dos diferentes mensajes, x z, con x ? z, tal que sus funciones de código de comprobación son equivalentes, es decir, h (x) = h (z) . Puesto que el usuario puede seleccionar los mensajes en este caso, la propiedad se refiere como resistencia de colisión fuerte. Estas propiedades se refieren para la mayoría de las funciones estandarizadas de código de comprobación. Hay dos normas principales: familia de algoritmos seguros de código de comprobación (SHA) y la familia de algoritmos de digestión de mensajes (MD) . Además, la familia SHA y la familia MD son computacionalmente seguras si un atacante potencial del cripto-sistema no tiene los recursos computacionales para romperla. La función universal de código de comprobación es probablemente segura en el sentido que el esfuerzo para romper este cripto-sistema es tan difícil como solucionar cualquier problema difícil genérico (por ejemplo, factorización de números grandes, cálculo de raices cuadradas en el campo de números enteros modulados compuestos, cálculo de algoritmos discretos en un grupo finito, etc. ) . De acuerdo con la presente invención, una función universal de código de comprobación g?a,b) (•*) correlaciona un universo de claves {x}, cada uno de M bits de tamaño, a valores fijos de código de comprobación, cada uno de N bits de tamaño, donde N<M, tal que para cada par de claves, xi r Xj, con Xi?Xj , el número de colisiones es pequeña. Es decir, el número de colisiones para el cual g (x?) = g (*j) igual 1/2N. Los valores de código de comprobación se derivan usando una función universal de código de comprobación, tal como la siguiente ecuación: g(arb) (x) = ( (ax+b) mod p)mod 2N Ecuación (6) donde : p es un número primo tal que p = (2M - 1) ; a = {1,2, ...,p-l} b = {0,1, ...,p-l}. Considerando el intervalo de elecciones de a y b, . donde p(p-l) valores universales de código de comprobación. El código de estas funciones G = { gía#bj (x) } , se refieren colectivamente como la clase universal de funciones de código de comprobación y el número de colisiones para el cual G ( x? ) = G ( Xj ) es a lo mucho |G|/2N. El resultado del procesamiento del valor de código de comprobación es que los bits públicamente intercambiados que se asumen se han interceptado por un curioso, se han "comprobado" en la clave secreta perfecta final no incluyen bits que se intercambiaron públicamente. Se señala que un identificador de entropía, o un buen algoritmo de compresión tal como la transformada de Burrows-Wheeler, puede necesitar ser usado en unión con el procesamiento de PA cuando no esté no correlacionada la clave secreta larga 110,210. En ciertos casos, el uso de este codificador también puede remover la necesidad de un procesamiento de PA basado en la función de código de comprobación como un planteamiento mucho más simple para hacer (por ejemplo, seleccionar solo ciertos bits de salida) . Finalmente, se señala que en ciertos casos, el procesamiento de PA basado en la función de código de comprobación no es necesario donde se usa un planteamiento basado en el código no sistemático, como se describe anteriormente con respecto a la corrección de errores, con la codificación de LDPC como un ejemplo. Ya sea antes o después del paso de PA, se puede introducir un paso de análisis de clave débil (WKA) para mejorar adicionalmente el desempeño del sistema. Como se muestra en las Figuras 1 y 2, el procesador 112, 212 de WKA protege al sistema contra la posibilidad (a pesar de que es improbable) que la clave perfectamente secreta aleatoriamente generada, tenga una alta probabilidad de intercepción de acuerdo con alguna información contextual extrínseca. Los ejemplos de estas claves incluyen una corriente de todos los ls, todos los 0S o una secuencia dentro de un periodo definido. El criterio especifico se seleccionarla por el diseño del sistema. Si WKA detecta una clave débil, el procesamiento apropiado es rechazar la clave y repetir el proceso. Si ya sea el proceso de codificación de bloque o el proceso de PA comprende comunicación en tiempo real de la función de código/código de comprobación que se va a usar, se puede seleccionar un nuevo código/función de código de comprobación y el proceso se repite con la misma CIR. Esto reducirá la proporción de clave secreta. De otro modo las terminales tienen que esperar hasta que este disponible una nueva CIR. La reducción de la proporción de clave secreta se debe reportar. Una característica principal del planteamiento resumido anteriormente es el hecho que se generan secuencias aleatorias en bloques grandes. Estos bloques no se pueden actualizar frecuentemente debido a que se tendría que esperar hasta que la CIR esté casi completamente no correlacionada con la anterior. Sin embargo, en ciertas situaciones se desean actualizaciones mucho más frecuentes de un pequeño número de bits secretos. Por ejemplo, se puede desear tener una "caja negra" que comparta los bits secretos de salida en un momento en una base frecuente. Una manera para lograr esto es tomar el bloque generado de los bits secretos y transferirlos en un momento. Otra manera es modificar el proceso descrito anteriormente a fin de generar de forma continua una pequeña cantidad de bits secretos. Esto se puede hacer como sigue. Los diagramas de bloque de alto nivel en las Figuras 1 y 2 aún aplican. Sin embargo, la unidad 101, 201 de estimación de canal ahora produce estimaciones frecuentes del canal y el post-procesador 102, 202 de CIR genera un vector de diferencia entre el estimado actual y el anterior.

El vector de diferencia se puede generar de varias maneras diferentes. Lo más simple es tomar simplemente la diferencia entre las dos representaciones consecutivas de la CIR. Sin embargo, esto usualmente no es el método más efectivo para hacer esto. Las mejores alternativas incluyen filtración continua de la CIR con un buen filtro de predicción, tal como un filtro de predicción Kalman, y tomando la diferencia de entre el valor previsto y el realmente observado. Se pueden usar otras variaciones en estos planteamientos. Se señala aqui que el tomar las diferencias es práctico cuando las CIR se correlacionan de una medición a la siguiente y por lo tanto la toma de la diferencia remueve la redundancia. Otro planteamiento seria tomar muestras independientes del canal a alguna diferencia lo que asegure carencia de correlación y entonces tomar un planteamiento de primero en entrar y primero en salir (FIFO) a los estimados y luego comunicar los nuevos valores en algún intervalo para permitir la actualización y cambio continuo de la clave. El objetivo clave aqui es transmitir minima información durante un tiempo determinado para permitir que se genere una nueva clave independiente a una frecuencia deseada. El vector de diferencia probablemente va hacer pequeño y de esta manera la codificación en bloque de esto no debe ser muy efectiva. Sin embargo, se puede ver la secuencia de los vectores de diferencia como una corriente de información. Se realiza la codificación de corrientes de información de forma efectiva por códigos convolucionales y por lo tanto se propone un código convolucional sistemático como un reemplazo para el código de bloques sistemático como se describe anteriormente. La Figura 4 muestra un diagrama de bloques de este codificador, que reside en el transceptor guia 100, reemplazando el codificador 104 de código de bloque mostrado en la Figura 1. Se proporciona una corriente 401 de vector de diferencia a un codificador 402 convolucional normal (típicamente un registro de cambio con compuertas XOR) que genera una o varias corrientes 403 de paridad paralelas (se muestra una por simplicidad) . Estas corrientes contienen típicamente muchos más bits que los que se deben transmitir para mantener el nivel deseado de confidencia. Sin embargo, conforme la proporción del código convolucional se controla de forma efectiva por perforación, las corrientes 403 de paridad se perforan por un procesador 405 de perforación de acuerdo a una velocidad 404 deseada de transmisión, antes de la transmisión. Además, al variar la cantidad de perforación aplicada, el transceptor 100 puede intercambiar efectivamente la capacidad de corrección de error del código versus la cantidad de aleatoriedad que se genera. Como con la primera modalidad que usa códigos de bloque, la adaptación de la proporción de codificación convolucional a una condición del canal, tal como los niveles de interferencia del canal, se proporciona un nivel de optimización. Continuando con esta modalidad que usa codificación de error convolucional, un descodificador normal de código convolucional (por ejemplo, un descodificador Viterbi) se sustituye por el descodificador 204 de bit de paridad en el transceptor 200 (Figura 2), donde la entrada sistemática es el vector de diferencia localmente generado, como con los códigos de bloque, la naturaleza del código se asume que se conoce públicamente y por lo tanto se puede usar una familia de códigos. Sin embargo, puesto que se puede usar la perforación o repetición para intercambiar muy efectivamente entre el desempeño de corrección de error y la confidencia residual, hay poca necesidad de utilizar esto. Habiendo utilizado la técnica necesaria para generar una clave secreta en base a la reciprocidad de CIR entre dos partes, se considera entonces la extensión de esto a una red más amplia. Como se analiza anteriormente en los antecedentes, el problema es básicamente como sigue. Es deseable con todo que las partes legitimas compartan la misma clave. Sin embargo, conforme cada par de transceptores comparte una CIR única, es precisamente esta propiedad lo que soporta la generación de la confidencia perfecta en base a la CIR. Si cada par de transceptores utiliza simplemente su propia CIR única, entonces cada par probablemente va a finalizar con su propia clave. Esto hace a la transmisión de información común en esta red altamente impráctico puesto que el mismo mensaje encriptado con diferentes claves da por resultado casos estadísticamente independientes del texto cifrado. La transmisión de información independiente sobre el canal inalámbrico es significativamente menos eficiente que la difusión de la misma de la misma información en este canal. Ahora se proponen varios métodos para generar la misma clave en una red de más de dos terminales. Un método simple basado en árboles de extensión en redes generales es como sigue. Los nodos de red (transceptores) se forman en un árbol y se ignoran los enlaces (CIR) para las conexiones que no están en un árbol. Cualquier longitud de clave factible se establece mediante algún método de comunicación anterior, donde factible significa que cada enlace que se usa en el árbol se puede usar para generar una clave secreta de al menos este tamaño. Cada par de nodos conectados establece una clave temporal en base a su propia CIR de la manera descrita anteriormente para los transceptores 100 y 200. Una vez que esto se hace, el nodo en la raiz del árbol selecciona una de las posiblemente varias claves que tiene como la clave permanente. Entonces usa la clave temporal establecida para todos los otros enlaces para comunicar esta clave secreta a los nodos hija. Los nodos hija, a su vez, usan las claves temporales que han establecido para comunicar la clave permanente hacia abajo del árbol y asi sucesivamente. Una vez que la clave permanente alcanza todos los nodos de hoja, la red comparte una clave secreta común y se establece la comunicación secreta común. Esta comunicación no tiene que tomar lugar de acuerdo al árbol definido para la distribución de la clave. Se señala que un escenario de radiodifusión en el cual una terminal única actúa como un servidor para la distribución de claves es un caso especial del caso anterior donde el árbol tiene sólo un nivel por abajo de la raiz (la terminal de servidor) . En este escenario, la clave temporal más corta se puede hacer una clave permanente y la raiz y el nodo de la hoja que establece esta clave particular no necesitan por más tiempo comunicarse. La clave se radiodifunde a otros nodos usando estas claves temporales. En tanto que esta es la configuración de árbol más simple, es altamente aplicable en redes centralizadas, tal como redes celulares, donde la estación base es una elección natural del nodo raiz o LAN inalámbrica donde el AP es una elección natural de un nodo raiz. Ahora sigue un planteamiento más sofisticado para la generación en red de acuerdo con la presente invención. Considerar una red donde cada par de nodos genera una clave secreta que es independiente de todas las otras claves secretas generadas. Los nodos diferentes del par generador no tienen tan poco conocimiento de la clave. Este modelo es de hecho aplicable en ciertos casos. Un ejemplo es una red inalámbrica donde los nodos usan las caracteristicas únicas de sus canales de punto a punto para generar claves secretas. Como consecuencia de las propiedades de estos canales, el conocimiento que cualquier otro nodo (ya sea una parte legitima o un adversario) puede tener acerca de un canal y un par particular es típicamente insignificante y de esta manera el modelo de este ejemplo tiene aplicabilidad directa aqui. Es deseable distribuir una clave secreta individual alrededor de esta red. La Figura 5 muestra una red 501 de tres nodos y una red 502 de cuatro nodos. Dejar que Skl represente la clave secreta compartida por los nodos k y 1 , con | Ski I que es la longitud de esta clave. Iniciando con la red 501 de tres nodos, asumir que I Sí21 > I Si31 y considerar la siguiente estrategia. Primero, el nodo 1, que actúa como el servidor, establece una clave unión con los nodos 2 y 3 usando el planteamiento de difusión descrito anteriormente. La clave de tamaño minimo de las dos claves se selecciona dando por resultado una clave de longitud entre I Si3 I . Sin embargo, los nodos 1 y 2 son aun comparten una cadena secreta restante de longitud I Si21 - I S?31 que permanece sin usar. Dependiendo de como I S231 compare I S?2 I - I Su 1 , y el nodo 2 puede usar estos bits restantes para transmitir algo o toda la cadena S23, que es independiente de Si2 y S?3 por su posición. De esta manera, usando esta estrategia, la red puede generar una clave compartida de longitud |S|: I S| = min [ | Si2 | , | Si3| + I S231 ] Ecuación 7 Entonces, considerar la red 502 de cuatro nodos, donde I Si2 I > I Su \ > I S?41. Usando la estrategia de red de tres nodos descrita anteriormente, los nodos 2, 3 y 4 comparten una clave común S¡2,3?4) que es independiente de S?2 S? , S?4. Entonces el nodo 1 distribuye la cadena Si4 a los nodos 2 y 3 usando el planteamiento de red de difusión, eligiendo Si4 debido a que es la cadena más corta. Entonces, el nodo 2 usa la porción de clave sin usar de longitud | 5i21 - 1 S? 1 para proporcionar el nodo 1 con tanto de S{2,3,4) como sea posible. De esta manera, la red ahora comparte una clave de longitud |S| : |S| = min [ | Si21 , | S?4 + S(2,3,4)|] Ecuación 8 Para generalizar este planteamiento, se introduce la siguiente notación. Considerar una red con k nodos indexados 1 hasta K y dejar que Yl denote el conjunto de permutaciones en estos Índices. Dado un conjunto de proporciones de clave secreta de punto a punto {S?k}, l?R, la proporción de clave secreta lograble por la red como una totalidad es menor unida por max Lk (p) Ecuación 9a peü donde Lk (p) =min [max I Sp(i)p(k), (min I Sp(?)7.(k) |) + Lk_? (p) J l=/< l=/<k Ecuación 9b y L2 (p) = | Sp(?)p(2) | Ecuación 9c La presente invención se puede implementar en cualquier tipo de sistema de comunicación inalámbrica, como se desee. A manera de ejemplo, la presente invención se puede implementar en cualquier tipo de sistema de tipo 802. La presente invención también se puede implementar en un circuito integrado, tal como un circuito integrado especifico de la aplicación (ASIC) , múltiples circuitos integrados, arreglo de compuerta lógica programable (LPGA) , múltiples LPGA, componentes discretos, o una combinación de circuitos integrados, LPGA, y componentes discretos. La presente invención también se puede implementar como software, hardware o un procesador de señales digitales como una WTRU, estación base, punto de acceso, terminal de WLAN, implementación de nodo o sensor, o como un sistema o red completa. La presente invención es aplicable a una capa fisica (banda base digital o radioeléctrica) o una capa de seguridad en la capa fisica de un dispositivo o sistema de comunicación inalámbrica.

Claims

REIVINDICACIONES 1. Método para generar una clave de encriptación perfectamente secreta para comunicación inalámbrica entre un primer transceptor y un segundo transceptor, que comprende: estimar en cada transceptor una respuesta de impulso de canal (CIR) en base a una radioseñal recibida de acuerdo a una representación de CIR común a cada transceptor; generar una clave secreta larga de una versión digitalizada del estimado de CIR; sincronizar un punto de inicio para la estimación del estimado de CIR en el primer transceptor y el segundo transceptor; y generar una clave de encriptación perfectamente secreta de la clave secreta larga por amplificación de privacidad.
2. Método según la reivindicación 1, en donde la amplificación de privacidad incluye: correlacionar la clave secreta larga de acuerdo a una función de código universal de comprobación que extrae la entropía del estimado de CIR y remueve cualquier bits públicamente intercambiado entre el primer transceptor y el segundo transceptor.
3. Método según la reivindicación 1, en el cual la amplificación de privacidad incluye: codificación de entropía usando una Transformada de Burrows-Wheeler .
4. Método según la reivindicación 1, en el cual la amplificación de privacidad incluye: generar un código no sistemático para la clave secreta larga.
5. Método según la reivindicación 1, en el cual la sincronización incluye: registrar un punto de inicio usado por el primer transceptor para estimar el estimado de CIR; y codificar el punto de inicio para la transmisión al segundo transceptor.
6. Método según la reivindicación 1, en el cual la sincronización es de acuerdo a un código de sincronización codificado en el primer transceptor y descodificado en el segundo transceptor.
7. Método según la reivindicación 1, que comprende además; sincronizar un punto de inicio para la estimación del estimado de CIR en el primer transceptor y el segundo transceptor por generación de una señal de sincronización relacionada a una fuente común de sincronización.
8. Método según la reivindicación 7, en donde la fuente de sincronización común incluye GPS o un tiempo común del sistema de un sistema de comunicación en el cual residen en el primer transceptor y el segundo transceptor.
9. Método según la reivindicación 1, que comprende además: derivar los bits de síndrome para el código de corrección de error en el primer transceptor; transmitir los bits de síndrome del código de corrección de error al segundo transceptor; y corregir el estimado de CIR derivado en el segundo transceptor usando los bits recibidos de síndrome.
10. Método según la reivindicación 9, en donde el código de corrección de error es no sistemático.
11. Método según la reivindicación 9, en donde el código de corrección de error se basa en los códigos de verificación de paridad de baja densidad (LDPC).
12. Método según la reivindicación 1, que comprende además: derivar un código de corrección de error de bloque que tiene bits de paridad en el primer transceptor; transmitir los bits de paridad del código de corrección de error al segundo transceptor; y corregir el estimado de CIR derivado en el segundo transceptor usando los bits de paridad recibidos.
13. Método según la reivindicación 12, en donde el código de corrección de error es sistemático.
14. Método según la reivindicación 12, que comprende además: seleccionar un código de corrección de error de una familia de códigos en base a una o más condiciones de canal; y establecer el acuerdo del código seleccionado por comunicación pública entre el primer transceptor y el segundo transceptor.
15. Método según la reivindicación 14, en donde los códigos de corrección de error se diferencian por medio de un patrón de perforación o repetición.
16. Método según la reivindicación 14, en donde las condiciones del canal incluyen el nivel de interferencia.
17. Método según la reivindicación 14, en donde las condiciones del canal incluyen propagación Doppler.
18. Método según la reivindicación 14, en donde las condiciones del canal incluyen propagación Doppler o una dirección de viaje o una combinación de los mismos.
19. Método según la reivindicación 14, en donde las condiciones del canal se miden por la proporción de error de bit o la proporción de error de bloque en el receptor.
20. Método según la reivindicación 12, que comprende además: contar los errores del estimado de CIR derivado en el segundo transceptor en tanto que se usan los bits de paridad; y sincronizar un punto de inicio para la estimación de CIR en base al estimado de CIR que tiene los menores errores contados.
21. Método según la reivindicación 12, que comprende además: derivar los bits de detección de error en cada transceptor de acuerdo a un código comúnmente seleccionado; anexar los bits de corrección de error al estimado de CIR derivado por el primer transceptor; y codificar el código de corrección de error que incluye los bits de detección de error.
22. Método según la reivindicación 21, en donde el código de corrección de error comprende una pluralidad de bits de verificación de redundancia cíclica (CRC) .
23. Método según la reivindicación 1, en donde la radioseñal recibida incluye una señal piloto.
24. Método según la reivindicación 1, en donde la radioseñal recibida incluye una secuencia de entrenamiento dentro de un cuadro de señal de comunicación.
25. Método según la reivindicación 1, que comprende además: realizar un análisis de clave débil, tal que la clave secreta larga se rechaza si posee caracteristicas extrínsecas que impiden la confidencia de acuerdo a los criterios predefinidos.
26. Método según la reivindicación 25, en donde los criterios predefinidos incluyen una cadena repetitiva de todos unos o todos ceros dentro de un periodo definido.
27. Método para generar una clave de encriptación perfectamente secreta entre un primer transceptor y un segundo transceptor durante una comunicación inalámbrica, que comprende : realizar la reconciliación de información de acuerdo a múltiples estimados de la respuesta de impulso de canal (CIR) comunes de una cadena de información; filtrar los estimados de CIR para producir un conjunto previsto de valores; generar un vector de diferencia entre un conjunto actual de estimados y los valores previstos para producir una clave secreta; actualizar continuamente la clave secreta con los vectores de diferencia generados; realizar la corrección de error de la clave de acuerdo a un código de corrección de error; y realizar la amplificación de privacidad.
28. Método según la reivindicación 27, que comprende además: generar al menos una corriente de paridad del vector de diferencia; realizar la perforación o repetición de la corriente de paridad a la velocidad de acuerdo a una velocidad deseada de transmisión.
29. Método según la reivindicación 28, que comprende además: adaptar la velocidad de perforación o la velocidad de repetición de acuerdo a una o más condiciones de canal.
30. Método según la reivindicación 29, en donde las condiciones de canal incluyen nivel de interferencia.
31. Método según la reivindicación 29, en donde las condiciones de canal incluyen propagación Doppler.
32. Método según la reivindicación 29, en donde las condiciones de canal incluyen propagación Doppler o una dirección de viaje o una combinación de los mismos.
33. Método según la reivindicación 29, en donde las condiciones del canal se miden por la proporción de error de bit o la proporción de error de bloques en el receptor.
34. Método para generar una clave de encriptación perfectamente secreta entre un primer transceptor y un segundo transceptor durante una comunicación inalámbrica, que comprende: realizar la reconciliación de información de acuerdo a múltiples estimados comunes de la respuesta de impulso de canal (CIR) de una cadena de información recibida, que incluye: muestrear los estimados de CIR; y usar las muestras en una base de primero en entrar y primero en salir para generar una clave; realizar la corrección de error de la clave de acuerdo a un código convolucional sistemático; actualizar la clave al repetir la realización de la reconciliación de información; y realizar la amplificación de privacidad.
35. Método para generar una clave de encriptación perfectamente secreta para comunicación inalámbrica entre un primer transceptor y un segundo transceptor, que comprende: estimar en cada transceptor una respuesta de impulso de canal (CIR) en base a una radioseñal recibida de acuerdo a una representación de CIR común a cada transceptor; generar una clave secreta larga de una versión digitalizada del estimado de CIR; sincronizar un punto de inicio para la estimación del estimado de CIR en el primer transceptor y el segundo transceptor; y usar un código de bloque no sistemático para la corrección de error de la clave secreta larga.
36. Método según la reivindicación 35, en el cual el código de bloque es un código de LDPC.
37. Método para generar una clave de encriptación perfectamente secreta entre una red de una pluralidad de transceptores durante una comunicación inalámbrica, que comprende: establecer una clave temporal respectiva entre cada par de transceptores, que comprende: estimar en cada transceptor una respuesta de impulso de canal (CIR) en base a una radioseñal recibida de acuerdo a una representación de CIR común a cada transceptor; generar una clave secreta larga de bits de una versión digitalizada del estimado de CIR; sincronizar un punto de inicio para la estimación del estimado de CIR en el primer transceptor y el segundo transceptor; y generar la clave temporal de la clave secreta larga por amplificación de privacidad; seleccionar una clave temporal como una clave permanente; comunicar la clave permanente a cada transceptor en tanto que se usa la clave temporal respectiva.
38. Método según la reivindicación 37, en donde la comunicación se realiza al conectar los nodos de una red en una configuración de gráfica de árbol para los propósitos de distribución de claves.
39. Método según la reivindicación 38, en donde el árbol contiene sólo dos niveles, con el nodo de raiz que difunde la clave permanente a todos los nodos de hoja usando las claves temporales respectivas.
40. Método según la reivindicación 39, en donde la clave permanente es la clave más corta de las claves temporales y no necesita ser difundida al nodo con el cual se estableció.
41. Método según la reivindicación 39, donde el nodo de raiz es una estación base en una red celular y los nodos de hoja son unidades de transmisión/recepción inalámbrica .
42. Método según la reivindicación 39, donde el nodo de raiz es un punto de acceso en una WLAN y los nodos de hoja son nodos de red.
43. Método según la reivindicación 37, en el primer transceptor, el segundo transceptor y el tercer transceptor establece la clave de encriptación perfectamente secreta durante una comunicación inalámbrica, que comprende además: establecer una primera clave de unión Si2 entre el primer transceptor y el segundo transceptor y una segunda clave de unión S?3 entre el primer transceptor y el segundo transceptor; comparar una clave temporal S2 entre el segundo transceptor y el tercer transceptor a una diferencia entre las claves de unión; y generar una clave compartida con una longitud igual al minimo de cualquiera de la longitud en bit de Si2 ó S?3+S23.
44. Método según la reivindicación 43, que comprende además: compartir la clave compartida con un cuarto transceptor al usar una porción no usada de una tercera clave de unión entre el cuarto transceptor y cualquiera del primero hasta el tercer transceptor, tal que la tercera clave de unión es de una longitud que es más corta que todas las claves de unión.
45. Transceptor para generar una clave de encriptación perfectamente secreta en una comunicación inalámbrica como un transceptor guia con otro transceptor, que comprende: un estimador de canal configurado para estimar una respuesta de impulso de canal (CIR) en base a una radioseñal recibida; un codificador configurado para generar un código de bloque para la corrección de error; un post-procesador para producir una versión digitalizada del estimado de CIR como una clave secreta larga; y un procesador de amplificación de privacidad configurado para generar una clave de encriptación perfectamente secreta de la clave secreta larga por amplificación de privacidad.
46. Transceptor según la reivindicación 45, en el cual el procesador de amplificación de privacidad se configura adicionalmente para correlacionar la clave secreta larga de acuerdo a una función de código universal de comprobación que extrae la entropía del estimado de CIR y remueve cualquier bits públicamente intercambiado entre el transceptor guia y otro transceptor.
47. Transceptor según la reivindicación 45, en el cual el procesador de amplificación de privacidad comprende un codificador de entropía que realiza una Transformada de Burrows-Wheeler .
48. Transceptor según la reivindicación 45, que comprende además: un sincronizador configurado para sincronizar un punto de inicio común para la estimación de CIR en el transceptor guia con la estimación de CIR en el otro transceptor al registrar un punto de inicio usado por el transceptor guia para la estimación de CIR y para codificar el punto de inicio para la transmisión al otro transceptor .
49. Transceptor según la reivindicación 45, que comprende además: un sincronizador configurado para sincronizar un punto común de inicio para la estimación de CIR en el transceptor guia y en el segundo transceptor de acuerdo a un código de sincronización codificado en el transceptor guia y descodificado en el otro transceptor.
50. Transceptor según la reivindicación 45, que comprende además: un sincronizador configurado para sincronizar un punto común de inicio para la estimación de CIR en el transceptor guia y en el otro transceptor por generación de una señal de sincronización relacionada a una fuente común de sincronización.
51. Transceptor según la reivindicación 50, en donde la fuente común de sincronización es GPS.
52. Transceptor según la reivindicación 45, que comprende además: un codificador de correlación de error configurado para computar bits de verificación de redundancia cíclica (CRC) de acuerdo a un código de detección de error y para anexar los bits de CRC a la estimación de CIR antes de la corrección de error por el codificador.
53. Transceptor según la reivindicación 45, en el cual el codificador de código de bloque usa un código no sistemático.
54. Transceptor según la reivindicación 45, que comprende además: un analizador de clave débil configurado para rechazar la clave secreta larga si posee caracteristicas extrínsecas que impiden la confidencia de acuerdo a criterios predefinidos.
55. Transceptor para generar una clave de encriptación perfectamente secreta en una comunicación inalámbrica con un transceptor guia, que comprende: un estimador de canal configurado para estimar una respuesta de impulso de canal (CIR) en base a una radioseñal recibida; un decodificador configurado para descodificar los bits de paridad recibidos del transceptor guia para la corrección de error y para la sincronización de la estimación de CIR con una estimación de CIR correlacionada por el transceptor guia; un post-procesador para producir una versión digitalizada de la estimación de CIR por el transceptor con una clave secreta larga; y un procesador de amplificación de privacidad configurado para generar una clave de encriptación perfectamente secreta al correlacionar la clave secreta larga de acuerdo a una función de código universal de comprobación que extrae la entropía del estimado de CIR y remueve cualquier bits públicamente intercambiado entre el transceptor guia y otro transceptor.
56. Transceptor según la reivindicación 55, que comprende además: contar errores durante la estimación de CIR en tanto que se usan los bits de paridad; y sincronizar un punto de inicio para la estimación de CIR en base al estimado de CIR que tiene los menores errores contados.
57. Transceptor según la reivindicación 55, que comprende además: un procesador de CRC configurado para computar los bits de CRC de acuerdo a un código de corrección de error usado por el transceptor guia y anexar los bits de CRC a la estimación de CIR antes de la corrección de error por el descodificador.
58. Transceptor para generar una clave de encriptación perfectamente secreta en una comunicación inalámbrica como un transceptor guia con otro transceptor, que comprende: un estimador de canal configurado para estimar una respuesta de impulso de canal (CIR) en base a una radioseñal recibida; un codificador configurado para generar un código de bloque no sistemático para corrección de error y para extraer la entropía del estimado de CIR; y un post-procesador para producir una versión digitalizada del estimado de CIR como una clave secreta larga.