KR20080073315A - 키 관리 - Google Patents

Abstract

본 발명은 제1 통신 유닛(200) 및 제2 통신 유닛(300) 사이에서 통신의 암호 프로세싱을 위한 키를 생성하는 방법 및 장치에 관한 것이다. 제1 통신 유닛(200) 및 제2 통신 통신(300)은 비밀 함수에 대한 지식을 획득하도록 하는데, 상기 제1 통신 유닛은: - 값(z)을 선택하는 수단(210), - 선택된 값(z)의 함수로서 상기 비밀 함수를 계산하는 수단(220), - 계산된 비밀 함수로 데이터를 프로세싱하는 수단(230), 및 - 상기 제2 통신 유닛(240)으로 선택된 z에 관하여 프로세싱된 데이터를 전송하는 수단을 포함하며, 상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택된다.

통신 유닛, 비밀 함수, k-와이즈 독립적인 함수

Description

키 관리{KEY MANAGEMENT}

본 발명은 예컨대, 암호화 또는 무결성 보호를 위한 키 관리에 관한 것이고, 특히 키 생성에 관한 것이다.

본 발명에 의해 생성되는 예컨대, 암호화 또는 무결성 보호를 위한 키는 센서 네트워크에 적합할 수 있다. 이러한 센서 네트워크의 예는 도1에 도시된다. 또한, 센서 네트워크의 정보는 Holger Karl 및 Andreas Willing에 의한 "Protocols and Architectures for wireless sensor networks"에서 발견될 수 있다. 도1의 센서는 예컨대, 항공기에 의해 지리적으로 분배되어 네트워크를 형성한다. 센서 네트워크는 데이터를 수집 및 교환하는 수단을 포함하는 다수의 센서를 포함한다. 데이터 수집은 전형적으로 온도, 대기압, 음성, 비디오, 스틸 사진 및 진동과 같은 환경 정보의 수집을 포함한다. 수집된 데이터는 센서들 사이에서 교환될 수 있고, 전형적으로 중앙 지점에서 프로세싱되는데, 여기서 적어도 하나의 센서는 중앙 지점으로의 직접적인 연결성을 가질 필요가 있다. 그러므로 적어도 하나의 센서는 중계 수단을 포함한다. 중계 수단을 포함하는 센서는 또한 중계 센서를 나타낸다. 중계 센서는 x 모양으로 나타내지고, 비중계 센서는 도1에서 원으로 나타내진다.

중계 센서는 비중계 센서로/로부터 정보를 전송하고 수신할 수 있고, 또한 센서 네트워크의 중앙 지점과 통신할 수 있다. 예를 들어, 중계 센서는 다수의 비중계 센서로부터 측정 리포트를 수신하며, 그 자신의 측정 리포트 외에도 이러한 수신된 정보를 네트워크의 중앙 지점으로 전달한다. 중앙 지점은 셀룰러 네트워크의 기지국, 또는 리포트의 정보를 프로세싱하는 중앙 유닛으로 리포트를 전달할 수 있는 안테나가 있는 자동차일 수 있다.

센서는 일부 경우에, 도1에 도시된 바와 같이, 예컨대, 항공기로부터 떨어진 지리적인 에어리어에 랜덤으로 분배된다. 이러한 경우에, "디스커버리(discovery)" 프로토콜은 우선 중계 캐퍼빌리티(capability)를 갖는 근접한 센서 및/또는 중계 센서의 규칙을 취해야만 하는 센서를 판단하도록 동작된다. 디스커버리 프로토콜의 예는 상기 참고 Karl 및 Willing에서 보여질 수 있다. 이러한 위상은 비중계 센서가 다른 (중계 센서로 보안 접속을 생성하는 초기 보안 핸드쉐이크(security handshake)를 포함할 수 있다.

대안적으로, 센서는 중계 센서가 적절하게 구성되는 경우에, 더욱 순차적인 방식으로 분배될 수 있다. 이들의 전형적인 예는 각각의 아파트가 다수의 관련된 센서를 제공받을 수 있는 아파트 건물이고, 여기서, 적어도 하나의 센서는 예컨대, 빌딩에 관련된 중앙 지점과 통신하는 중계 센서이다.

센서 네트워크에서 통신을 위한 보안 요구 조건은 센서 애플리케이션 유형에 따르고, 중계 센서 및 비중계 센서 사이의 통신을 위한 보안 요구 조건은 전형적으로 비중계 센서로부터 전송의 단거리 특징으로 인해 센서 네트워크에서 중앙 지점 및 중계 센서 사이에 통신보다 보안이 덜 필요로 된다. 그러나, 여러 애플리케이션 은 중계 센서 및 중앙 지점 사이에서 통신이 높은 보안 방법으로 수행되기를 필요로 한다. 본 발명은 중계 센서 및 중앙 지점(예컨대, 기지국) 사이의 통신의 보호에 최상으로 적합하지만, 또한, 상술된 내부-센서 통신에 사용하는 것을 제외하지는 않는다.

보안 통신을 위한 공통적인 기술은 키를 협상하거나 생성하는 "핸드쉐이크"에 의해 통신 세션을 시작하는 것이다. 그러나, 중요한 센서 애플리케이션에서, "무선 침묵(radio silence)", 즉, 통신 파티의 존재 또는 위치를 드러내지 않는 것을 유지하기 위해서 센서로부터 데이터를 수신하는 파티에 대한 요구가 항상 있다. 센서는 또한 에너지를 보전하기 위한 시그널링의 양을 제한하기를 희망할 수 있고; 무선 인터페이스 상에서 1비트를 전송하는 것은 대략 800-1000 로컬 CPU 명령어를 실행하는데 필요한 에너지만큼을 소비한다. 또한, 청취는 전력을 소비한다. 여러 애플리케이션에서, 또한 데이터의 특정한 수신자가 예컨대, 브로드캐스트 경우에, 센서에 공지되지 않을 수 있는 경우가 있다. 결과적으로, 센서는 그 자신의 키를 생성할 필요가 있고, 또한 어떻게든 인증된 수신자에게 어느 키가 안전하고 간단한 방법으로 사용되는지를 "암시"한다는 것을 가정할 수 있다. 그러므로, 키 요소(material)에 대한 기초는 예컨대, 전개전 제조 또는 구성 동안, 시작부터 센서에 저장될 필요가 있다. 이러한 기본으로부터 새로운 키를 발생시키는 공통적인 방법은 마스터 키(K_master) 및 일부 랜덤데이터에 암호 기능을 적용하는 것이다:

K_session=f(K_master,RANDOM).

이에 관한 제1 문제점은 소형 센서가 랜덤 데이터의 충분히 양호한 소스를 가지고 있지 않을 수 있고, RANDOM은 실제로 "카운터" 값 또는 이에 유사한 것일 수 있어서, 세션 키가 명료하다는 것이다. 그러나, 이는 키의 품질을 낮춘다. 다른 방법은

K_new=f(K_old)

를 사용할 것이지만, 이는 임의의 키가 예컨대, 사용되는 알고리즘의 암호해독으로 노출된다면, 모든 미래의 키가 노출된다는 단점이 있다. 이 외에도, 상기 두 가지 방법의 공통점은 매우 높은 보안 요구 조건을 갖는 임의의 애플리케이션이 적절하지 않은/허용되지 않는 것으로서 최종 장치에서 키의 암호 생성을 간단히 막는다는 것이다. 예를 들어, f가 SHA1 해시(hash) 또는 AES 알고리즘과 같은 함수라면, 상기 방법의 보안은 펄스(false)로 생성될 수 있는 암호 가정에 따르는데, 즉, 암호는 단순히 발견적이다. 높은 요구 조건을 갖는 애플리케이션은 사실 단지 논의되는 방법으로 획득될 수 없는 키의 정확한 통계적인 분배와 같은 임의의 특성의 형식적인, 수학적 증명을 필요로 할 수 있다.

그러므로, 센서에서 키를 생성하고 필수적이지 않는 통신을 피하기를 원하는 것의 문제점으로 인해, 센서는 높은 보안 키 생성 장치에 의해 생성된 상대적으로 많은 양의 사전-설정된 키를 저장할 필요가 있을 수 있고, 이는 다음에 센서의 제약받는 환경으로 인해 문제가 있다.

그러므로, 본 발명의 목적은 높은 보안 센서에 적합한 장치 및 개선된 키 생성 방법을 제공하는 것이다. 상기 목적은 독립 청구항에 따른 장치 및 방법에 의해 성취된다.

바람직한 실시예는 종속항에 의해 한정된다.

본 발명의 기본적인 개념은 예컨대, 암호화를 위한 키를 계산하는 비밀 함수(secret fuctnio)으로서 k-와이즈 독립적인 함수(k-wise independent function)(p)를 사용하는 것이다. k-와이즈 독립적인 함수(p)로부터 k-1 통계적으로 독립적인 키를 계산할 수 있다는 것이 보여진다. 비밀 함수가 완전히 k-와이즈 독립적일 필요가 없고, 비밀 함수(p)가 또한 거의 k-와이즈 독립적일 수 있다는 것이 주의되어야만 한다. p의 사본은 통신하는 통신 유닛에 저장되거나 전달된다. 전송 통신 유닛이 통신을 위한 것일 때, 전에 사용되지 않는 값 z∈GF(2ⁿ)을 선택하고, p(z)를 계산하기 위해 선택된 z를 사용하고, 전송될 데이터를 프로세싱하기 위해 p(z)를 사용한다. 프로세싱된 데이터는 z와 함께 전송된다. 프로세싱된 데이터 및 선택된 z의 수신시, 수신기는 데이터로부터 z를 획득하고, 그 후에, 데이터를 프로세싱(예컨대, 암호화)하고 데이터를 "프로세싱 해제"(예컨대, 복호화)하는데 사용되는 동일한 키에서 도달하는 p(z)를 적용한다.

본 발명의 이점은 저장된 키의 양이 제한되며, 저장된 키로부터 새로운 키가 암호문에 좌우되지 않고 제공되며; 특히, 보안이 암호 가정에 근거를 둘 필요가 없어야만 한다.

부가적인 이점은 순방향/역방향 보안이 성취되고; 개별적인 세션 키 또는 이러한 키의 세트상에서도 성공적인 호스틸 어택(hostile attack)이 이전 또는 이후 키에 영향을 미치지 않는다는 것이다.

부가적인 이점은 본 발명에 따른 방법이 계산적으로 효율적이고 에너지 효율적이라는 것이다.

게다가, 본 발명은 신뢰받는 카운터파트(counterpart)가 어느 키가 센서를 사용하는지를 말하도록 하는 단순한 수단을 제공한다.

도1은 본 발명이 구현될 수 있는 센서 네트워크를 도시하는 도면,

도2는 본 발명에 따라 통신 유닛을 전송하고 수신하는 것을 도시하는 도면,

도3a-도3b는 본 발명에 따른 방법을 도시하는 흐름도.

본 발명은 첨부된 도면을 참조하여 아래에서 더욱 상세히 설명될 것이고, 본 발명의 바람직한 실시예가 보여진다. 그러나 본 발명은 여러 다른 형태로 구체화될 수 있고, 본원에서 설명된 실시예에 국한되는 것으로 구성되지 않아야만 하며; 오히려, 이러한 실시예는 본원이 철저하고 완전하며 당업자에게 본 발명의 범위를 완전히 전달하기 위해서 제공된다.

본 발명의 설명에서, 다음의 표시가 사용된다. S가 세트라면, #S는 사이즈를 나타내는데 사용되는데, 즉, S의 엘리먼트의 수를 나타내는데 사용된다. S가 세트 이고 g가 어떤 함수라면, g(S)는 세트{g(s)|s∈S}이다. 마지막으로 GF(2ⁿ)은 2ⁿ 엘리먼트의 한정된 필드(field)를 나타내도록 한다.

본 발명은 통신 유닛에서 보안 키를 생성하는 장치 및 방법을 고려한다. 키가 암호화 키인 경우가 설명되지만, 무결성 보호, 인증 또는 다른 보안 대상을 위한 키가 또한 본 발명에 의해 생성될 수 있다. 통신 유닛은 센서 네트워크와 관련되는 것이 바람직하고, 통신 유닛은 센서 또는 적어도 센서와 통신하도록 하는 다른 유닛에 위치될 수 있다. 통신 유닛을 포함하는 센서는 중계 센서일 수 있고, 다른 유닛은 상술된 바와 같이 중앙 지점일 수 있다. 통신 유닛은 본 발명에 따라 거의 k-와이즈 독립적인 함수의 세트로부터 초기 설정 또는 제조시 함수(p)가 제공된다. p가 어떤 통신 유닛에 제공되는지에 대한 정보가 통신 유닛의 아이덴티티와 p를 관련시킴으로써 중앙 데이터-베이스에 저장되는 것이 바람직하다.

F에서 각각의 함수가 세트(A)로부터 세트(B)로 맵핑하는 함수(F)의 세트는 K-와이즈 독립적이며, A로부터 임의의 다른 k 입력값에 대해서, k 출력값이 F로부터 함수(f)의 랜덤 선택을 통해, 균일하게 B x B x … x B(또한 항상 B^k로 나타내지는 k 사본)으로 분배된다. k-와이즈 독립적인 함수-세트를 설명하는 다른 방법은 A로부터 엘리먼트의 k-디멘셔널 벡터(k-dimentional vector)(x1,…,xk)를 취하고, F로부터 랜덤 함수(f)를 선택하며, f 구성 요소 와이즈: y=(f(x1),…,f(xk))를 적용하는 것이다.

k-와이즈 독립은 다음의 예로 설명된다: 가정 k=2, A는 정수{0,1,…,10}의 세트 및 B는 세트{0,1,…,6}. 그 후에 F는 2-와이즈 독립적인 함수의 세트이고, {0,1,…,10} 중에서 임의의 다른 x1,x2 및 {0,1,…,6}으로부터 임의의 y1,y2에 대해서, F로부터 랜덤으로 f를 선택할 때, f(x1)=y1이고 f(x2)=y2일 확률은 (B x B는 49개의 엘리먼트를 포함하기 때문에) 1/49이다.

k-와이즈 독립의 정의의 한 중요성은 랜덤으로 선택된 미지의 f에 대한 값의 쌍 (x1,f(x1)], [x2,f(x2)], … [x[k-1], f(x(k-1]]이 언급된다면, 이는 xk가 "진술된" 세트 {x1, …, x[k-1]}에 있는 한, 적어도 값(fxk)을 나타내지 않는다. 다시 말해서, f[xk]가 임의의 값(yk)을 취할 확률은 또한 1/B이다.

본 발명의 설명에서, 함수의 k-와이즈 독립적인 세트는 다항식의 k-1차로 설명된다. 그러나, 다항식의 k-1차와 다른 함수가 k-와이즈 독립적일 수 있고, 본 발명에서 사용될 수 있다는 것을 주의해야만 한다. 함수의 이러한 k-와이즈 독립적인 세트의 다른 예는 A 및 B사이의 모든 함수의 세트이며, A 및 B는 임의의 한정된 세트이다.

상술된 바와 같이, 본 발명은 암호 함수(p)가 거의 k-와이즈 독립적인 함수의 세트로부터 선택될 필요가 있다. "거의"라는 용어는 p가 k-와이즈 독립적인 함수의 세트로부터의 함수라는 것을 의미한다. d-독립이 후술된다. f가 함수(f)이도록 하면: A->B, k-와이즈 독립은 값(f(x1),…,f(xk))의 각각의 k-튜플(tuple)이 거의 균일하게 분배된다. 이는 양적인 "거리 측정"(d)을 도입하고, 얼마나 가깝게 (f(x1),…,f(xk))가 균일한 분배인지를 측정함으로써 캡쳐될 수 있다. 즉, 균일한 분배로부터 편차가 d보다 크지 않다면, 함수(F)의 세트가 k-와이즈 d-독립적이다. 이는 여러가지 방법으로 측정될 수 있다. 예를 들어, 최대 기준(max-norm)이 사용될 수 있다. 이러한 경우에, F는 모든 (y1,…,yk)에 대해서, (f(x1),…,f(xk))=(y1,…,yk)일 확률이 [(#B)^(-k)-d,(#B)^(-k)+d] 범위에 있다면, k-와이즈 d-독립적이고, f는 랜덤으로 선택된 함수이다(f∈F). 대안적으로, 전체 B^k에서 (y1,…,yk)에 걸쳐, |Pr[(f(x1),…,f(xk))=(y1,…,yk)]-(#B)^(-k)|를 합산한 것이 d보다 크지 않는 경우라면, F가 k-와이즈 독립적인 통계적인 기준을 사용할 확률이 있다. 이러한 k-와이즈 d-독립적인 함수의 예는 1992년, IEEE Symposium on Foundations of Computer Science, N. Alon, O. Goldreich, J. Hastad, R. Peralta:"Simple Constructions of Almost k-wise Independent Random Variables"에서 보여질 수 있다.

그러나, 비밀 함수(p)가 상기 예에서 d=0를 의미하는 완전히 k-와이즈 독립적인 함수의 세트로부터인 것이 바람직하다.

통신에서, 전송 통신 유닛은 z를 선택하고, p(z)를 계산한다. 계산된 p(z)는 예컨대, 데이터를 암호화하도록 전송될 데이터를 처리하기 위해서, 부가적인 프로세싱 바로 다음에 또는 그 이후에, 키 요소로서 사용된다. 프로세싱된 데이터 및 선택된 z는 적어도 하나의 수신 통신 유닛으로 전송된다. 송신기의 아이덴티티가 수신기에 의해 공지된다고 가정될 수 없다면, 송신기는 수신기가 송신기에 대응하는, 정확한 p를 검색하기 위해서 또한 그의 아이덴티티를 전송해야만 한다. z의 전송은 인증되는 것이 바람직하고, 또한 보안 방법으로 전송될 수 있지만, 보안이 요구 조건은 아니다. 특히, z 자신은 암호화될 필요가 없다. 적어도 하나의 수신 파 티는 이미 비밀 함수(p)를 알아차리며, 송신기의 아이덴티티를 사용하여 데이터로부터 이를 검색하도록 적응되며, z를 수신함으로써, 이제 p(z)를 계산할 수 있고, 암호화의 경우에, 수신된 암호화된 데이터를 복호화한다. 계산된 키(p(z))는 두 방향으로 사용될 수 있거나, 대안적으로 제1 키(p(z1))가 제1 방향으로 사용되고, 제2 키(p(z2))가 제2 방향으로 사용된다. 다른 선택은 상술된 부가적인 프로세싱이 각각의 방향에 대해서 키를 두 개로 분리하는 것이다. 게다가, 하나의 키는 하나의 전송/세션에 사용될 수 있고, 새로운 키가 주기적으로, 예컨대, 매시간 또는 매일 생성되며, 새로운 키는 소정의 수의 변환이 수행될 때, 또는 소정의 전송된 양의 데이터 이후에, 또는 통신 유닛이 새로운 키를 생성하기 위한 명령을 수신할 때 생성된다.

선택된 값(z)(여기서 z∈GF(2ⁿ))은 전송된 데이터에 포함될 수 있고, 별도의 메세지에서 전송된다.

센서는 보안을 낮출 수 있는 것의 두 배인 z를 재사용하는 것을 피하는 것이 바람직하다. 모든 오래된 z-값을 저장하지 않고 이를 성취하는 방법이 후술될 것이다.

필요로 되지는 않지만, n이 합성수라면, 예컨대, n은 n=8w의 형태인데, 여기서 매우 효율적인 한정된 필드 계산이 가능할 수 있기 때문에, 8-비트 CPU 상에서 w는 정수이다. 예컨대, De Win, Bosselaers, Vandenberghe, De Gersem 및 Vandewalle, "A fast software implementation for arithmetic operations in GF(2^n)", Lect를 참조하자. Comp. Sci.에서 Springer-Verlag, vol 1163 (1996), pp. 65-76을 주의하자. 본 발명이 원칙적으로 임의의 다른 한정된 필드에서 일반화될 수 있지만, 바이너리 필드(binary field)가 간략성을 위해서 설명에서만 고려된다. 그러나, 본 발명이 바이너리 필드에 국한되는 것이 아니라는 것을 주의해야만 한다.

통신 유닛은 비밀 함수(p)가 제공된다. p는 통신 유닛의 제조에 제공되는 것이 바람직하다. 아래의 예에서, k-와이즈 독립적인 함수(p(z))는 GF(2ⁿ)에 걸쳐 다항식의 k-1 차수가 랜덤으로 선택되는데:

p(x) = c_{k -1}x^{k -1} + c_{k -2}x^{k -2} +…+c₁x +c₀,

여기서, 각각 c_j∈GF(2ⁿ)이다. 다항식의 낮은 차수라고 강하게 말하지만, ck-1=0일 확률이 배제되지 않는다. 그러므로 이러한 p는 z에서 p를 계산함으로써, 즉 p(z)를 계산함으로써, 임의의 z∈GF(2ⁿ)를 엘리먼트 p(z)∈GF(2ⁿ)로 맵핑을 설명할 수 있다.

통신 유닛의 준비는 전형적으로 공장 환경에서 수행되기 때문에, p의 랜덤 품질이 높다고 가정될 수 있다. 여러 통신 유닛은 독립적이고 랜덤인 p(z)가 제공된다. 여기서, n은 희망하는 "보안 레벨"에 대응하는데, 예컨대, 전형적인 값일 수 있는 n=80,120 또는 128이다. 이러한 다항식이 메모리의 kn 비트를 사용함으로써 저장될 수 있다는 것을 주의하자. 값 "k"는 또한 이후에 논의되는 보안 특성을 한 정할 것이지만, k의 실제 값은 거의 n과 동일한 사이즈일 수 있어서, 단지 1kB의 메모리 소비에 이른다.

상술된 바와 같이, p의 사본은 통신하는 통신 유닛, 예컨대, 센서의 통신 유닛 및 센서와 통신하는 장치의 통신 유닛에 저장되거나 상기 통신 유닛으로 전달될 필요가 있다. 예를 들어, 센서의 통신 유닛이 통신하는 것일 때, 예컨대, 모든 이전 값을 "기억"하기 위한 요구를 피하기 위한 사전 편찬상의 순서(lexicographic order)로 z-값을 뽑음으로써, 전송될 데이터를 프로세싱, 예컨대, 암호화하기 위해 p(z)를 계산하고 사용하기 위해 선택된 z를 사용하고, 예컨대, 전송된 데이터에 선택된 z를 포함하기 전에 사용되지 않는 z∈GF(2ⁿ)를 선택한다. z가 표현을 위해 n 비트를 필요로 한다는 것을 주의하자. 수신시, 수신기는 데이터로부터 z를 획득하므로, 데이터를 프로세싱하는데 사용되는 동일한 키에 도달하는 p(z)를 적용한다. 예컨대, 1981년 Addison-Wesley, vol2, 2^nd ed, "The art of computer programming", D. Knuth에서 부가적으로 설명되는 다항식을 계산하기 위한 효율적인 방법인 소위 Horner의 규칙이라 불리는 것을 사용하여, d에 따라(in the order of d) GF(2ⁿ)에서 덧셈 및 곱셈에 의해 수행될 수 있기 때문에 p(z)의 계산은 효율적이다.

본 발명의 보안 특성은 아래에서 해석된다. 상술된 바와 같이, p(z)는 랜덤으로 선택된 p에 대해서, 다음의 특성을 갖는다:

임의의 정해진 z∈GF(2ⁿ)에 대해서, p(z)는 GF(2ⁿ)에서 완전히 균일하게 분배되고, p의 랜덤 선택을 통해 취해진, 즉, 임의의 z 및 q에 대한 확률은

Pr[p(z)=q]=2^-n.

일반적으로, 임의의(꼭 다르지는 않지만, 서브세트 T⊂GF(2ⁿ), #T=#S≤k인 다른 엘리먼트의 임의의 세트 S⊂GF(2ⁿ)에 대해서, p(S)=T라는 확률은 정확히 2^-n#S인데, 즉, p의 출력은 k-와이즈 독립적이다. 이러한 특성은 대부분의 k 키의 임의의 세트가 랜덤으로 독립적이며 완전히 선택되는 것처럼 "양호"한 것이라는 것을 의미한다. 특히, k-1 세션이 암호 해석에 의해 깨질지라도, 임의의 다른 세션을 깨는 공격을 돕지 않는다. 명확하게는, 만은 k 세션이 깨진다면, 다음 세션의 보안이 또한 손실되지만, 손상이 제한될 수 있는 방법이 아래에서 보여진다. k-1=n=100으로 선택된다면, 100 세션이 깨질 매우 가능성이 없다.

본 발명의 일 실시예에서, 암호문이 허용될 수 있는 경우에, 본 발명의 방법은 종래 암호문에 결합된다. 이는 상술된 바와 같은 부가적인 손상 제어를 제공할 것이다. 상술된 바와 같이, k 세션 키가 타협된다면, 종래 기술에 따른 상술된 방법의 보안이 손실되는데, 다항식 p가 삽입되고 재구성될 수 있기 때문이다. 예를 들어, k=2인 경우에, 다항식(이제 p(x)=ax+b의 아핀 함수(affine function))의 재구성은 방정식의 시스템을 해결함으로써 행해지는데,

y1= a z1 + b

y2= a z2 + b

여기서, a,b는 공지되지 않았고, z1,z2는 통신을 청취함으로써 획득되며, y1,y2는 타협된 키에 대응한다. 명확하게, z2와 다른 z1와 함께, 우리는 미지의 여러 방정식을 갖는 비-축중형(non-degenerate) 방정식 시스템을 가지므로, (a,b)에 대해 해결될 수 있다. 이를 판단하는 다른 방법은 포인트(z1,y1] 및 [z2,y2]를 통해 진행되는 직선 라인을 일치시켜, 이러한 라인 상에서 모든 다른 포인트를 결정하는 것이다. 일반적으로, 예컨대, k 부등식 및 k 미지수를 갖는 비-축중형 방정식 시스템은 표준 가우시안 방법 또는 다른 삽입 방법에 의해 해결될 필요가 있다.

k(그 이상의) 세션 키의 타협에 관련된 모든 리스크를 피하기를 원한다면, k-1 이상의 세션 키가 동일한 p로부터 결코 생성되지 않는 것이 일반적으로 중요하다. k-1 이상의 키가 생성될 수 있지만, 모든 키가 타협된다면, 더 이상 완전한 보안을 갖도록 보장되지 않을 것이다. 특히, k₁₁,k₁₂,…,k_{1k -1}은 제1 (랜덤) 다항식(p₁)를 사용하여 생성된다. p₁은 p₂에 의해 교체되는데, 예컨대, 일부 적합한, 단방향, 암호 함수(f), 예컨대, 단방향 해시 함수(one-way hash function)에 대해서, p₂=f(p₁)이다. 그래서 k₂₁,k₂₂,…,k_{2k -1}은 p₂ 등으로부터 생성된다. 보안 증명(security argument)는 이제 더 발견적이고/암호적이게 된다는 것을 주의하자. 그러나 "순방향" 및 "역방향 " 보안은 일부 p_j로부터 생성된 모든 k-1 키가 타협될지라도 제공된다. 역방향 보안은 센서가 물리적인 면에서 고장날지라도 유지된다.

본 발명에 따른 방법의 흐름도를 도시하는 도3 a 및 도3 b를 다시 참조하자. 본 발명은 전송 통신 유닛 및 수신 통신 유닛 사이에서 통신의 암호 프로세싱을 위한 키 생성 방법에 관한 것인데, 여기서 전송 통신 유닛 및 수신 통신 유닛은 비밀 함수에 대한 지식을 획득하도록 한다. 도3 a에 도시된 방법은 다음의 단계를 포함한다:

301. 값(z)을 선택.

302. 전송 유닛에서 선택된 값(z)의 함수로서 비밀 함수를 계산.

303. 계산된 비밀 함수로 데이터를 프로세싱.

304. 수신 통신 유닛으로 선택된 z에 관하여 프로세싱된 데이터를 전송하는데, 여기서 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택.

본 발명은 또한 전송 통신 유닛 및 수신 통신 유닛 사이에서 통신의 보안 프로세싱을 위해 키를 생성하는 방법에 관한 것이다. 전송 통신 유닛 및 수신 통신 유닛은 비밀 함수에 대한 지식을 획득하도록 한다. 방법은 도3 b의 흐름도에서 도해되며 다음의 단계를 포함한다:

305. 암호적으로 프로세싱된 데이터에 관련된 값(z)을 수신.

306. 수신 유닛에서 수신된 z의 함수로서 비밀 함수를 계산.

307. 계산된 비밀 함수로 수신된 데이터를 프로세싱하는데, 여기서 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택.

방법은 컴퓨터 프로그램 제품에 의해 구현될 수 있다. 컴퓨터 프로그램 제품은 컴퓨터가 사용 가능한 매체 상에 저장될 수 있는데, 이는 통신 유닛의 프로세싱 수단이 본 발명의 방법의 단계들의 수행을 제어하도록 하는 판독 가능한 프로그램 을 포함한다. 방법이 또한 하드웨어 또는 하드웨어 및 소프트웨어의 결합물에 의해 구현될 수 있다는 것을 주의해야만 한다.

이제 도2를 참조하면, 두 개의 통신하는 통신 유닛이 도시되는데, 여기서 전송 통신 유닛(200)은 센서에서 구현되고, 수신 통신 유닛은 기지국에 관련된 중앙 지점에서 구현된다. 또한 제1 통신 유닛이라 칭해지는 전송 통신 유닛(200)은 전송 통신 유닛 및 또한 제2 통신 유닛이라 칭해지는 수신 통신 유닛 사이에서 통신의 암호 프로세싱을 위한 키를 생성하는 수단을 포함한다. 두 개의 통신 유닛은 예컨대, 데이터베이스로부터 비밀 함수를 검색함으로써 비밀 함수에 대한 지식을 획득하도록 하거나, 비밀 함수는 제조시 통신 유닛에 저장될 수 있다. 전송 통신 유닛은 값(z)을 선택하는 수단(210), 선택된 값(z)의 함수로서 비밀 함수를 계산하는 수단(220), 계산된 비밀 함수로 데이터를 프로세싱하는 수단(230), 제2 통신 유닛으로 프로세싱된 데이터와 함께 z를 전송하는 수단(240)을 포함한다. 수신 통신 유닛은 암호적으로 프로세싱된 데이터를 갖는 값(z)을 수신하는 수단(250), 수신 유닛에서 수신된 넘버(z)의 함수로서 비밀 함수를 계산하는 수단(260), 및 계산된 비밀 함수로 수신된 데이터를 프로세싱하는 수단(270)을 포함한다. 본 발명에 따르면, 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택된다.

게다가, 본 발명은 또한 비밀 함수가 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 본 발명에 따른 통신 유닛을 사전 구성하도록 하는 사전-구성 장치를 고려한다.

본 발명은 상술된 바람직한 실시예에 국한되지 않는다. 여러 대안, 수정 및 등가물이 사용될 수 있다. 그러므로, 상기 실시예가 첨부된 청구항에 의해 한정된 본 발명의 범위를 한정하는 것으로 고려되지 않아야만 한다.

Claims (23)

1. 전송 통신 유닛 및 수신 통신 유닛 사이에서 통신의 암호 프로세싱을 위한 키를 생성하는 방법으로서, 상기 전송 통신 유닛 및 상기 수신 통신 유닛은 비밀 함수에 대한 지식을 획득하도록 하며, 상기 방법은:

   - 값(z)을 선택하는 단계(301),

   - 상기 전송 유닛에서 상기 선택된 값(z)의 함수로서 상기 비밀 함수를 계산하는 단계(302),

   - 상기 계산된 비밀 함수로 데이터를 프로세싱하는 단계(303)

   - 상기 수신 통신 유닛에 상기 선택된 z에 관하여 상기 프로세싱된 데이터를 전송하는 단계(304)를 포함하는, 키 생성 방법에 있어서,

   상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 키 생성 방법.
2. 전송 통신 유닛 및 수신 통신 유닛 사이에서 통신의 보안 프로세싱을 위해 키를 생성하는 방법으로서, 상기 전송 통신 유닛 및 상기 수신 통신 유닛은 비밀 함수에 대한 지식을 획득하도록 하는데, 상기 방법은:

   - 암호적으로 프로세싱된 데이터에 관련된 값(z)을 수신하는 단계(305),

   - 상기 수신 유닛에서 상기 수신된 z의 함수로서 비밀 함수를 계산하는 단계(306),

   - 상기 계산된 비밀 함수로 상기 수신된 데이터를 프로세싱하는 단계(307)를 포함하는, 키 생성 방법에 있어서,

   상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 키 생성 방법.
3. 제 1항 또는 제 2항에 있어서,

   상기 비밀 함수는 완전히 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 키 생성 방법.
4. 제 1항 내지 제3 항 중 어느 한 항에 있어서,

   k-와이즈 독립적인 함수의 세트는 한정된 필드에 걸쳐 규정된 다항식의 k-1차를 포함하는 것을 특징으로 하는 키 생성 방법.
5. 제 1항 내지 제 4항 중 어느 한 항에 있어서,

   - p가 많아야 k-1 키의 생성을 위해 사용될 때, 함수(p_new)로 상기 비밀 함수(p)를 교체하는 단계; 및

   - 상기 함수(p)의 암호화 프로세싱에 기초하여 p_new를 생성하는 단계를 더 포함하는 것을 특징으로 하는 키 생성 방법.
6. 제 1항 내지 제 5항 중 어느 한 항에 있어서,

   상기 p-new의 생성은 단방향 해시 함수에 기초하는 것을 특징으로 하는 키 생성 방법.
7. 제 1항, 제 3항 내지 제 6항 중 어느 한 항에 있어서,

   - p(z)를 계산하기 전에 상기 수신 통신 유닛이 정확한 비밀 함수를 검색하기 위해서 상기 전송 통신 유닛의 아이덴티티를 포함하는 단계를 더 포함하는 것을 특징으로 하는 키 생성 방법.
8. 제 2항 내지 제 6항 중 어느 한 항에 있어서,

   - p(z)를 계산하기 전에 상기 수신 통신 유닛이 정확한 비밀 함수를 검색하기 위해서 상기 전송 통신 유닛의 아이덴티티를 수신하는 단계를 더 포함하는 것을 특징으로 하는 키 생성 방법.
9. 제 1항 내지 제 8항 중 어느 한 항에 있어서,

   상기 통신 유닛은 센서 내에 위치되는 것을 특징으로 하는 키 생성 방법.
10. 제 1항 내지 제 9항 중 어느 한 항에 있어서,

    상기 통신 유닛은 센서와 통신하도록 하는 장치에 위치되는 것을 특징으로 하는 키 생성 방법.
11. 제 1항 내지 제 10항의 중 어느 한 단계를 포함하는 소프트웨어 코드 부분을 포함하는, 통신 유닛 내의 컴퓨터 내부 메모리에 직접 로드가능한 컴퓨터 프로그램 제품.
12. 통신 유닛 내에서 제 1항 내지 제 10항의 어느 한 단계 수행을 제어하도록 하는 판독 가능한 프로그램을 포함하는, 컴퓨터가 사용할 수 있는 매체 상에 저장된 컴퓨터 프로그램 제품.
13. 제1 통신 유닛(200) 및 제2 통신 유닛(300) 사이에서 통신의 암호 프로세싱을 위한 키를 생성하는 수단을 포함하는 제1 통신 유닛(200)으로서, 상기 제1 통신 유닛(200) 및 제2 통신 유닛(300)은 비밀 함수에 대한 지식을 획득하도록 하고, 상기 제1 통신 유닛은:

    - 값(z)을 선택하는 수단(210),

    - 상기 선택된 값(z)의 함수로서 상기 비밀 함수를 계산하는 수단(220),

    - 상기 계산된 비밀 함수로 데이터를 프로세싱하는 수단(230), 및

    - 상기 제2 통신 유닛으로 상기 선택된 z에 관하여 상기 프로세싱된 데이터를 전송하는 수단(240)을 포함하는, 제 1 통신 유닛에 있어서,

    상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 제1 통신 유닛.
14. 제1 통신 유닛 및 제2 통신 유닛 사이에서 통신의 보안 프로세싱을 위한 키를 생성하는 수단을 포함하는 제2 통신 유닛으로서, 상기 제1 통신 유닛 및 제2 통신 유닛은 비밀 함수에 대한 지식을 획득하도록 하고, 상기 제2 통신 유닛은:

    암호적으로 프로세싱된 데이터에 관련된 값(z)을 수신하는 수단(250),

    상기 수신 유닛에서 상기 수신된 z의 함수로서 비밀 함수를 계산하는 수단(260), 및

    상기 계산된 비밀 함수로 상기 수신된 데이터를 프로세싱하는 수단(270)을 포함하는 제2 통신 유닛에 있어서,

    상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 제2 통신 유닛.
15. 제 13항 또는 제 14항에 있엇,

    상기 비밀 함수는 완전히 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 통신 유닛.
16. 제 13항 내지 제 15항 중 어느 한 항에 있어서,

    k-와이즈 독립적인 함수의 세트는 한정된 필드에 걸쳐 규정된 다항식의 k-1차를 포함하는 것을 특징으로 하는 통신 유닛.
17. 제 13항 내지 제 16항 중 어느 한 항에 있어서,

    - p가 많아야 k-1 키의 생성을 위해 사용될 때, 함수(p_new)로 상기 비밀 함수(p)를 교체하는 수단; 및

    - 상기 함수(p)의 암호화 프로세싱에 기초하여 p_new를 생성하는 수단을 더 포함하는 것을 특징으로 하는 통신 유닛.
18. 제 13항 내지 제 17항 중 어느 한 항에 있어서,

    p_new를 생성하는 수단은 단방향 해시 함수에 기초하여 p_new를 생성하는 수단을 포함하는 것을 특징으로 하는 통신 유닛.
19. 제 13항, 제 15항 내지 제 18항에 있어서,

    p(z)를 계산하기 전에 상기 제2 통신 유닛이 정확한 비밀 함수를 검색하기 위해서 상기 제1 통신 유닛의 아이덴티티를 포함하는 수단을 포함하는 것을 특징으로 하는 통신 유닛.
20. 제 14항 내지 제 18항 중 어느 한 항에 있어서,

    - p(z)를 계산하기 전에 상기 제2 통신 유닛이 정확한 비밀 함수를 검색하기 위해서 상기 제1 통신 유닛의 아이덴티티를 수신하는 수단을 포함하는 것을 특징으로 하는 통신 유닛.
21. 제 13항 내지 제 20항 중 어느 한 항에 있어서,

    상기 통신 유닛은 센서에 위치되는 것을 특징으로 하는 통신 유닛.
22. 제 13항 내지 제 20항 중 어느 한 항에 있어서,

    상기 통신 유닛은 센서와 통신하도록 하는 장치에 위치되는 것을 특징으로 하는 통신 유닛.
23. 비밀 함수를 갖는 제 13항 및 제 14항에 따른 통신 유닛을 사전 구성하도록 하는 사전 구성 장치에 있어서,

    상기 비밀 함수는 거의 k-와이즈 독립적인 함수의 세트로부터 선택되는 것을 특징으로 하는 사전 구성 장치.

Images