KR20110086080A

KR20110086080A - 암호화 키를 생성하는 방법, 이를 위한 네트워크 및 컴퓨터 프로그램

Info

Publication number: KR20110086080A
Application number: KR1020117011340A
Authority: KR
Inventors: 모큰 오스카 가르시아; 보제나 에르드만
Original assignee: 코닌클리케 필립스 일렉트로닉스 엔.브이.
Priority date: 2008-10-20
Filing date: 2009-10-08
Publication date: 2011-07-27
Also published as: EP2351287B1; TW201023589A; TWI495319B; US8495373B2; WO2010046799A3; JP5564053B2; JP2012506191A; US20110206201A1; CN102187615A; CN102187615B; EP2351287A2; WO2010046799A2; KR101594553B1

Abstract

본 발명은 통신 네트워크용 보안 시스템에 관한 것이다. 더 자세하게, 본 발명은 네트워크(1)에서 보안 통신을 위해 제 1 노드(D1) 및 제 2 노드(D2) 사이의 공유 키를 생성하기 위한 방법으로서, 상기 제 1 노드는 루트 키잉 자료에 기초하여 제 1 노드 키잉 자료 공유를 저장하는, 공유 키를 생성하기 위한 방법에 있어서: a) 상기 제 1 노드가 상기 제 2 노드의 식별자를 수신하는 단계; b) 상기 제 1 노드가 상기 제 2 노드의 식별자에 있는 상기 제 1 노드 키잉 자료 공유를 평가하여 공유된 키를 생성하는 단계를 포함하고, 상기 제 1 노드 키잉 자료 공유는 유한 필드(F_q)에 대한 다항식-기반 키잉 자료이고, 상기 단계 b)는: b1) 제 1 노드가 Homer의 규칙을 적용하여 제 1 노드 키잉 자료를 단항식들의 결합의 형태로 인수분해하는 단계, b2) 제 1 노드가 F_q의 서브-필드에서 계수들을 갖는 차수 r-1의 다항식을 미리 결정된 지점에서 평가함으로써 각각의 단항식 연산의 결과들을 계산하는 단계를 포함한다. 본 발명은 또한 이의 네트워크 및 컴퓨터 프로그램에 관한 것이다.

Description

암호화 키를 생성하는 방법, 이를 위한 네트워크 및 컴퓨터 프로그램{METHOD OF GENERATING A CRYPTOGRAPHIC KEY, NETWORK AND COMPUTER PROGRAM THEREFOR}

본 발명은 통신 네트워크들을 위한 보안 시스템들에 관한 것이다.

더 자세하게, 본 발명은 네트워크 내의 상이한 노드들 사이의 보안 통신을 위한 암호화 키를 생성하기 위한 방법에 관한 것이다.

본 발명은 예를 들어, 의료용 액추에이터(actuator) 및 센서 네트워크들 또는 홈 어플라이언스 네트워크(appliance network)와 같은 무선 네트워크들에 관한 것이다.

유사한 종류의 네트워크에 대한 일부 종래의 보안 시스템들은 알파-보안(alpha-secure)으로 칭해지는 키잉 자료 공유(keying material share) 분배 방식들에 기초하고, 이 방식에서 네트워크에 속하는 노드에는 암호화된 기성(ready-made) 키가 직접 제공되지 않지만, 노드로 하여금 보안 통신을 위해 네트워크의 다른 노드와 공유되어 있는 키를 계산하도록 하는 노드-특정 키잉 자료가 제공된다. 이 노드-특정 정보는 네트워크의 관리 디바이스에 포함되는 루트 키잉 자료(root keying material)로부터 도출되는 키잉 자료 공유이다. 루트 키잉 자료는 알파 노드들보다 캡처(capture)가 적고, 따라서 알파 키잉-자료 공유들보다 결합의 수가 적으므로 루트 키잉 자료에 대해 어떠한 것도 드러내지 않는 그러한 자료이다. 결과적으로, 그와 같은 시스템들은 알파가 충분히 크게 선택되면, 공격 하에서도 양호한 회복력(resiliency)을 제공한다. 부가적인 비상관(uncorrelation) 기술들은 노드들에 분배되는 키잉 자료 공유들을 비상관하고, 따라서 공격자들이 키 생성 프로세스에 간섭하지 않고는 기초적인 루트 키잉 자료에 대한 정보를 획득하지 못하도록 함으로써 시스템 보안을 더욱 강화시키는데 이용될 수 있다.

알파-보안 시스템들은 가벼운 디지털 인증에 의해서 키 분포, 브로드캐스팅 정보 및 엔티티(entity)에 의해 반송되는 키잉 자료 공유들에 대한 암호화 링크 정보를 포함하는 상이한 보안 기능들을 인에이블한다.

루트 키잉 자료는 예를 들어 차수가 알파인 대칭 2변수 다항식이고, 노드의 키잉 자료 공유는 이 노드의 식별자에 대응하는 지점에서 이 2변수 다항식을 평가함(evaluate)으로써 획득된다.

일반적으로, 넓은 유한 필드(finite field)들에 대한 다항식들이 이용되는데, 이는 다항식들의 계수들이 넓은 소수 유한 필드들에 포함됨으로써, 계산을 실행하는데 높은 요건들을 필요로 한다는 것을 의미한다. 그러나, 무선 센서 네트워크들 또는 유사한 다른 네트워크들에 포함되는 디바이스들은 계산 및 통신 자원들에 있어서 일반적으로 자원 제한적이다. 따라서, 종래의 방법들은 그와 같은 네트워크들에 충분히 적응되지 않는다.

키 세그멘테이션(key segmentation)을 실행하는 대안의 해법들이 또한 제안되었다. 이 해법들은 키잉 자료를 나타내는 다항식을 형성하도록 연속되는 여러 서브-다항식들을 이용하는데에 있다. 그러나, 이 세그멘테이션은, 심지어 계산 연산들의 수를 줄일지라도, 자원-요건들, 즉 메모리 크기에 있어서의 문제를 해결하는데 도움이 되지 않는다.

생성 다항식-기반 인증서들을 위해 알파-보안 시스템을 이용함으로써 이의 효율적인 구현에 부가적인 도전과제들이 발생한다. 아이덴티티(identity) 세그멘테이션 기술들이 적용될 수 있다: 그러나, 두 가능한 구성들 사이에는 중요한 트레이드-오프(trade-off)가 존재한다. 첫 번째 구성은 큰 수의 짧은 세그먼트(segment)의 이용에 기초한다. 두 번째 구성은 서너 개의 큰 세그먼트들을 이용한다. 첫 번째 구성이 높은 메모리 요건들을 요구하지만, 두 번째 구성은 세그먼트 크기가 더 길기 때문에 더 높은 계산 요건들을 요구한다.

본 발명의 목적은 상술한 결점들을 극복하는 보안 시스템을 제공하는 것이다.

본 발명의 다른 목적은 통신 네트워크에서 암호화 키의 효율적인 생성을 위한 방법을 제공하는 것이다.

본 발명의 또 다른 목적은 키 동의 및 다항식-기반 인증서들에 이용되는 알파-보안 시스템들에서 메모리 및 계산 요건들 이 둘 모두를 최소화하면서도 암호화 키를 생성하기 위한 방법을 제공하는 것이다.

본 발명의 또 다른 목적은 예를 들어, 다항식-기반 인증서 방식들에서 공격하에 있어도 증가한 회복력을 갖는 암호화 키를 생성하기 위한 방법을 제공하는 것이다.

이를 위해, 본 발명은 네트워크에서 보안 통신을 위해 제 1 노드 및 제 2 노드 사이의 공유 키를 생성하기 위한 방법을 제공하고, 상기 제 1 노드는 루트 키잉 자료에 기초하여 제 1 노드 키잉 자료 공유를 저장한다.

상기 방법은 다음의 단계들:

제 1 노드가 제 2 노드의 식별자를 수신하는데에 있는 단계 a);

제 1 노드가 제 2 노드의 식별자에 있는 제 1 노드 키잉 자료 공유를 평가하여 공유된 키를 생성하는 데에 있는 단계 b)를 포함하고, 제 1 노드 키잉 자료 공유는 유한 필드(F_q)에 대한 다항식-기반 키잉 자료이다.

본 발명의 현재의 규정에 따라 상기 평가하는 단계는:

상기 필드 F_q 상의 가약 다항식 modulo 상기 F_q의 서브-필드에서 계수들을 갖는 차수 r의 기약 다항식의 형태(under the form of a reduced polynomial over the field F_q modulo an irreducible polynomial of degree r with coefficients in a sub-field of F_q)로 제 1 노드가 제 1 노드 키잉 자료를 인수분해 하는 서브-단계 b1)으로서, 상기 가약 다항식은 상기 제 2 노드의 식별자에서 제 1 노드 키잉 자료를 평가하는 단계가 예를 들어, 상기 제 2 노드의 식별자에서 상기 필드 F_q 상의 다항식들이 쌍들, 예를 들어 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 단계를 포함하도록 구성되는, 제 1 노드 키잉 자료를 인수분해하는 서브-단계 b1),

b2) 미리 결정된 지점에서 F_q의 서브-필드에서 계수들을 갖는 차수 r-1의 다항식 modulo F_q의 서브-필드에서 차수 r의 기약 다항식을 평가함으로써 상기 제 1 노드(D1)가 각각의 단항 연산의 결과를 계산하는 단계로서, 상기 계수 다항식은 상기 미리 결정된 지점에서 상기 F_q의 서브-필드 상의 다항식들, 예를 들어 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 단계에 대응하는 계수 다항식을 평가하도록 구성되는, 각각의 단항 연산의 결과를 계산하는 단계를 포함한다.

결과적으로, 제 1 알파-보안 키잉 자료를 평가하는 것은, 기존 방법들과는 달리, 유한 필드(F_q)에 대해 실행되지 않고, 서브-필드에 대해 실행된다. 그와 같은 특징은 즉 상기 방법이 모듈러(modular) 승산(multiplication)들 및 가산(addition)들을 실행하게 될 때, 상기 방법을 실행하기 위한 계산 요건들을 감소시키는 것이 가능하게 한다.

예시적인 실시예에서, 제 1 노드 키잉 자료는 F_q의 서브-필드에서 계수들을 갖는 가약 다항식뿐만 아니라 차수 알파의 다항식에 기초하고, 알파는 예를 들어 r - 1과 동일하다.

추가 실시예에 따르면, 상기 시스템은 키가 연속하는 t개의 서브-키 세그먼트들로 계산되도록 시스템이 구성된 이후에 키 생성을 가능하게 한다. 각각의 서브-키 세그먼트는 차수 알파의 상이한 키잉 자료 세그먼트의 키잉 자료로부터 생성된다.

더욱이, 예시적인 실시예에서, 유한 필드를 규정하는 정수 q는 p^r과 동일하고 여기서 p는 소수이고 r-1은 다항식들로 해석될 때의 제 1 노드의 키잉 자료의 단항식들의 차수이다. 이와 같은 실시예에서, 연산들은 Z_p에서 계수들을 갖는 차수 r-1의 다항식들의 세트 modulo f(x), 즉 정수들의 세트 modulo p에 대응하는, Z_p[x]/f(x)에서 실행된다. 그와 같은 필드는 매우 작으므로, 계산의 효율성이 매우 증가하고, 암호화 요소들을 저장하는데 필요한 비트들의 수가 rlog(p)로 제한된다.

다른 예시적인 실시예에서, 키 세그멘테이션이 이용되고, 이는 루트 키잉 자료 및 제 1 노드 키잉 자료 공유가 여러 키잉 자료 세그먼트들을 포함하는 것을 의미한다. 그러므로, 상기 방법의 서브-단계 b)는 본 실시예에서, 키 세그먼트들을 생성하기 위해 각각의 키잉 자료 공유 세그먼트에 대해 실행되고, 상기 방법은 키 세그먼트들을 결합하여 최종 공유 키를 생성하는 단계를 더 포함한다.

그와 같은 실시예는 너무 많은 추가 자원들을 요구하지 않고도 더 긴 키를 생성하는 것을 가능하게 한다. 실제로, 매우 복잡한 연산이 아닌, 여러 키 세그먼트들의 연속에 의해서만, 계산이 최소가 되는 더 긴 공유 키를 획득하고 다시 시스템의 회복력을 증가시키는 것이 가능하다.

또 다른 예시적인 실시예에서, 상기 방법은 루트 키잉 자료를 포함하는 관리 디바이스, 예를 들어 보안 방식으로 루트 키잉 자료를 계산하고 저장하는 신뢰 센터(trust center)를 포함하는 네트워크에서 구현된다. 그러므로 제 1 노드 키잉 자료 공유는 루트 키잉 자료 및 제 1 노드의 식별자에 기초하여 관리 디바이스에 의해 생성되고, 제 1 노드로 송신된다. 관리 디바이스는 예를 들어, 매우 안전한 신뢰 센터이고, 이는 루트 키잉 자료에 대한 양호한 보호를 제공하는 장점을 갖는다.

본 발명은 또한 네트워크의 제 1 노드 및 제 2 노드를 나타내는 두 개의 통신 엔티티(entity)들을 포함하는 통신 네트워크에 관한 것이다.

제 1 노드는 제 1 노드 키잉 자료 공유를 저장하기 위한 메모리, 공유 키를 생성하기 위해 제 2 노드의 식별자에 있는 제 1 노드 키잉 자료 공유를 평가하기 위한 수단을 포함한다.

상기 평가 수단은 다음 수단들 중 적어도 일부를 포함한다:

- t개의 키 세그먼트들을 예를 들어 연속해서 계산하기 위한 수단,

- 각각의 키잉 자료 세그먼트로부터 키 세그먼트를 생성하기 위한 수단으로서, 상기 수단은 제 1 노드 키잉 자료를 인수분해, 즉 F_q의 서브필드 상의 차수 r-1의 가약 다항식의 형태로 제 1 노드의 키잉 자료 세그먼트의 각각의 단항식을 인수분해하는 것을 포함한다. 제 2 노드의 식별자에서의 제 1 노드 키잉 자료를 평가하는 것은 계수들이 F_q의 서브-필드 상에 있는 차수 r-1의 다항식들 modulo F_q의 서브-필드에서 원소들을 갖는 차수 r의 기약 다항식으로 해석되는 단항식들을 반복적으로 평가하고 결합하는 것에 대응한다. 그리고

- 미리 결정된 지점에서 필드 F_q 상의 차수 r-1의 계수 다항식 modulo F_q의 서브-필드 상의 차수 r-1의 기약 다항식을 평가함으로써 각각의 단항식 연산의 결과를 계산하기 위한 수단으로, 상기 계수 다항식은 상기 계수 다항식 평가가 F_q의 서브-필드 상의 단항식들 modulo 기약 다항식을 반복적으로 평가하고 결합하는 것에 대응하도록 구성된다.

본 발명에서, 단항식은 하나의 차수 1의 계수, 및 하나의 차수 0의 계수를 포함한다.

본 발명은 또한 본 발명에 따른 방법을 구현하기 위한 컴퓨터 프로그램에 관한 것이다.

본 발명의 상기 및 다른 양태들은 이후에 설명되는 실시예들을 참조하여 명확해질 것이고 분명해질 것이다.

도 1은 본 발명의 제 1 실시예가 구현되는 네트워크의 예를 도시한 도면.
도 2는 본 발명에 따른 방법의 제 2 실시예의 연산 시퀀스를 도시한 블록도.

본 발명은 이제 첨부 도면들을 참조하여 예를 통해, 더욱 상세하게 설명될 것이다.

본 발명은 보안 통신을 위해 두 노드들 사이에 공유 키를 생성하기 위한 방법에 관한 것이다.

도 1은 본 발명에 따른 방법의 제 1 실시예가 구현되는 네트워크를 도시한다.

이 네트워크(1)는 네트워크의 노드들을 나타내는 두 개의 통신 엔티티들(D1 및 D2)을 포함하고, 관리 디바이스(2)를 더 포함한다.

그와 같은 네트워크(1)의 예는 다음과 같다:

- 무선 의료 네트워크, 여기서 엔티티들(D1 및 D2)은 의료 센서들 및 의료 액추에이터들과 같은 의료용 디바이스이다,

- 가정용 어플라이언스 네트워크, 여기서 엔티티들(D1 및 D2)은 TV, DVD 재생기, 오디오 시스템과 같은 어플라이언스들이다,

- 조명 네트워크, 여기서 엔티티들(D1 및 D2)은 건물에서의 조명 장비들이다,

- 전자 네트워크, 여기서 엔티티들(D1 및 D2)은 개인용 휴대 정보 단말기(personal digital assistant), 모바일 전화기, 컴퓨터, 전자 차량 장비와 같은 전자 장비이다.

관리 디바이스(2)는 하나의 실시예에서 신뢰 센터이다. 다른 실시예에서, 네트워크는 이용자에 속하는 개인 통신망(personal area network)이다. 이 경우에서, D1, D2 및 관리 디바이스(2)는 이용자에 속한다. 관리 디바이스는 예를 들어 암호화 자료를 생성하기 위한 수단, 예를 들어 SIM 카드, 그리고 암호화 자료를 D1 및 D2로 송신하기 위한 수단을 포함하는 모바일 전화기 또는 휴대 정보 단말기이다.

이전에 제공되는 예들을 고려하면, 본 발명에서 처리되는 네트워크들은 민감성 데이터를 처리할 수 있으므로, 상기 데이터가 네트워크의 디바이스들 사이에서 교환될 때 고 레벨의 보안을 요구하는 것으로 나타날 수 있다. 한편, 신체 센서들과 같은 디바이스들은 매우 자원 제한적이다. 그러므로 본 발명은 데이터를 안전하게 교환하도록 디바이스들(D1 및 D2)에 대한 공유 키를 생성하거나 인증 다항식-기반 인증서들을 생성하여, 이 디바이스들에서 이용 가능한 자원들의 제한된 양을 고려하는 방법을 제공한다.

네트워크들의 구성을 담당하는 관리 디바이스는 루트 키잉 자료를 저장한다. 본 실시예에서, 상기 방법은 알파-보안 시스템과 함께 이용됨으로써, 루트 키잉 자료는 유한 필드(F_q)에 대한 다변수 다항식이 되고, 이는 다변수 다항식의 모든 계수들이 이 필드에 속한다는 것을 의미한다. 본 실시예에서, q는 p^r과 같고, p는 소수이며 r은 1보다 분명히 더 큰 정수이다. 그러므로, 다변수 다항식의 계수들 및 식별자들은 F_p 내의 원소들을 갖는 차수 r-1의 다항식들로 해석될 수 있다. q = p^r을 이용하는 것은 미세 파라미터 구성을 허용하는데, 왜냐하면 상이한 p값들을 선택함으로써 r은 변경하고 시스템을 상이한 아키텍처들에 적응시킴으로써 상이한 세그먼트 크기들을 용이하게 적응시키는 것이 가능하기 때문이다.

F_q는 원소들의 수와 대응하고, p를 특징으로 하는 차수 q = p^r의 유한 필드이다. 차수 p^r의 유일한 필드가 존재하고, 이는 Z_p의 카피, 즉, 0 및 p-1 사이의 모든 정수들의 세트를 포함한다. 그러므로 Z_p는 F_q의 서브-필드로 간주될 수 있다. 유한 필드들은 F_q에 속하는 두 원소들이 가산 또는 승산 modulo q가 될 수 있는 그러한 필드들이다.

그러므로 루트 키잉 자료에 기초하여 생성될 수 있는 키들의 수는 q의 값에 좌우된다. 본 발명에서 이용될 수 있는 q의 특정한 값들은 예를 들어 2⁸, 2¹⁶, 2³², 2⁶⁴, 2¹²⁸, (2⁸+1)⁴, 및 (2¹⁶+1)²이다. 더 일반적으로, q에 대한 특정 관련 값들은 q=2^r이고, 여기서 r은 관리 디바이스가 상이한 필드 크기를 선택함으로써 길이 r 비트들의 세그먼트들을 용이하게 구성할 수 있고 키 생성 알고리즘이 r 파라미터에 따라 작은 수정들만을 필요로 하므로 정수이다.

네트워크 구성의 단계 동안, 각각의 디바이스에는 디바이스의 루트 자료 및 암호 식별자에 기초하여, 관리 디바이스에 의해 생성되는, 키잉 자료 공유가 제공된다. 루트 키잉 자료가 다변수 다항식, 예를 들어 2변수 다항식인 경우, 특정 디바이스에 대한 키잉 자료 공유의 생성은 디바이스의 식별자에서 이 다항식을 평가하는 것에 대응하여, 디바이스 내에 저장되는 일변수 다항식을 획득한다. 일단 디바이스가 구성되면, 이는 네트워크 내에서 이용된다. 디바이스들(D1 및 D2)이 통신하고자 하면, 디바이스들은 각각의 디바이스가 다른 디바이스의 식별자들 내의 자기 자신의 키잉 자료 공유를 평가함으로써 공통 공유 키에 동의한다.

공유 키를 생성하는 이 프로세스는 이제 도 2에 도시된 블록도를 참조하여, 예에 대해 상술될 것이다.

이 예에서 선택되는 특정한 파라미터들은 다음과 같다:

- q = 2³², 및

- 네 키 세그먼트들이 이용되는데, 이는 루트 키잉 자료가 연속하는 네 키잉 자료 세그먼트들에 대응하고, 이들의 각각은 2변수 다항식이라는 것을 의미한다.

여기서 파라미터들 p = 2, r = 32, 및 동일한 길이의 네 세그먼트들은 주어진 네트워크에서 메모리 및 계산 요건들을 최적화하도록 생성된다.

시작 시에, 관리 디바이스는 루트 키잉 자료

G(y,z) = g₁(y,z)∥g₂(y,z))∥g₃(y,z)∥g₄(y,z), 여기서

및 a_ij = a_ji∀{i,j}이다. 따라서, 루트 키잉 자료의 각각의 세그먼트는 대칭이고, 이는 두 디바이스들 사이의 공유 키에 대한 생성을 가능하게 한다.

구성 단계(CONFIG) 동안, 식별자 ID를 가지는 디바이스에는 다음과 같이 관리 디바이스에 의해 생성되는 키잉 자료 공유 G(ID, z)가 제공된다:

G(ID,z) = g₁(y=ID,z)∥g₂(y=ID,z)∥g₃(y=ID,z)∥g₄(ID,z).

디바이스가 식별자 ID를 가지는 다른 디바이스와 통신할 필요가 있을 때, KEY_GEN에서,

G(ID,z=ID') = g₁(y=ID,z=ID') ∥ g₂(y=ID,z=ID') ∥ g₃(y=ID,z=ID') ∥ g₄(ID,z=ID')

의 값을 계산함으로써 공유 키를 생성할 필요가 있다.

각각의 세그먼트가 별개로 구해지고, 그 후에 모든 세그먼트들은 프로세스의 종료 시에 연속하게 되어 최종 공유키를 획득한다.

g_k가 유한 필드 F_q 상의 다항식이고 여기서 q= p^r = 2³²이므로, 이는 상기 단항식이 다항식 f(x) modulo Z_p에서 계수들을 갖는 31 차수의 다항식들로 표현될 수 있음을 의미하고, 여기서 f(x)는 다음과 같이 F_q의 서브-필드 Z_p에 대한 차수 r = 32의 기약 다항식이다.

상기 예에서, λ는 31의 예시적인 값을 취하지만 이는 임의의 다른 값을 취할 수 있다. 시스템의 관리 디바이스가 구성 파라미터들의 다른 세트를 선택하는 경우, 이 표현식은 예를 들어 새로운 r 값으로 용이하게 적응될 수 있다.

q³²인 경우 가능한 f(x)의 값은 예를 들어 x³² + x⁷ + x³ + x² + 1이다. 더 일반적으로, 더욱 효과적인 구현예가 가능하도록 f(x)는 바람직하게도 단지 영이 아닌 낮은 차수 계수들만을 가지도록 선택된다.

그와 같은 다항식은 긴 계산 시간을 요구하므로, 그와 같은 평가의 속도를 향상하는데에 인수분해 방법이 이용된다. 다항식들에 대한 공지되어 있는 인수분해 방법은 Horner의 규칙이고, 이 규칙은 다항식을 단항식 형태들의 결합으로 표현한다. 본 실시예에서, 이 Horner의 규칙이 적용된다. 그러나, 본 발명은 이 방법으로 제한되지 않고, 임의의 다른 다항식 인수분해의 방법들에 의해 구현될 수 있다.

그러므로, 도 2에 도시된 블록도의 HORNER I 단계에서, Horner의 규칙이 g_k _-ID(z)에 적용되어 이를 인수분해하여 단항식들의 결합을 획득한다. 단항식들을 평가하는 것은 덜 복잡하므로, 자원들 측면에서 확장된 다항식을 평가하는 것보다 비용이 들지 않는다. 이 인수분해는 다음과 같이 기록될 수 있는데, 여기서 람다 값은 여기서 31과 같으나, 임의의 다른 값을 취할 수 있다:

컴퓨터 알고리즘의 측면에서, HORNER I 단계는:

로 표현될 수 있다.

상술한 바와 같이, g_k _- _ID는 F_p _^r = F_2^32에 대한 다항식이고, 이는 모든 계수들(b_i)이 이 무한 필드에 속하는 것을 의미한다. F_2^32에서의 각각의 원소는 다항식 기반으로 요소 C[x]로 표현될 수 있고, 여기서 C[x]는 Z_p=Z₂ 내에 계수를 갖는 모든 다항식들의 세트 modulo f(x)를 나타내는 Z_p[x]/f(x)에 속한다.

C[x] = c₃₁x³¹+c₃₀x³⁰+...+c_wx^w+...+c₂x²+c₁x+c₀==[c₃₁c₃₀...cw...c₂c₁c₀].

그러므로, 다시 주 다항식 공유의 평가의 속도를 증가시키기 위해서, 본 발명의 이 실시예는 제 2 인수분해 프로세스가 HORNER I에 각각의 계수(b_i)에 적용되는 그러한 실시예이다. 그러므로, 단계 HORNER II에서, 키잉 자료 공유 세그먼트를 평가하기 위한 각각의 계수(b_i)는 Z₂[x]/f(x)로 표현된다.

그러므로, 단계들 HORNER I 및 HORNER II 이 둘 모두를 포함하는 일반적 알고리즘은:

으로 표현될 수 있다.

함수 "CalculateKey"는 지점 ID'에서 계수들(b_lambda, b_lambda _-1,...,b₀)을 갖는 주 다항식의 평가를 실행한다. 이 평가는 서브-필드(Z_p)에 속하는 두 원소들(a 및 b)의 승산을 실행하는 함수 "MultiplyElementsGF"를 이용할 것을 요구한다.

도 2의 블록도는 그와 같은 알고리즘의 연산 시퀀스를 도시하고, 여기서 HORNER II를 돌아서 복귀하는 화살표는 "와일(while)" 루프 내에서의 전개를 나타내고 HORNER I 및 HORNER II를 돌아서 복귀하는 화살표는 "포(for)" 루프 내에서의 전개를 나타낸다. 이 계층 구조는 계층 2-레벨-방식으로 연산들을 분배함으로써 다항식 기반 시스템들의 효율적인 평가 및 수행을 가능하게 한다. 고 레벨에서 HORNER I을 이용함으로써 평가가 최적화되는 주 다항식의 평가를 발견한다. 필드의 특정 형태로 인해, HORNER I과의 결합으로 제 2 레벨에서 시스템들 더 최적화한다. 이를 위해 각각의 승산에서 HORNER I과 상호 작용하는 HORNER II를 추가한다.

따라서, 키잉 자료 공유 세그먼트의 평가는 아주 단순하므로 적은 자원들을 요구하는 본 발명의 대표적인 실시예들에서는 Z₂[x]/f(x)에서의 대수 연산들로 감소되었다:

- Z₂[x]/f(x)에서의 두 원소들의 가산은 양 원소들의 XOR로 규정된다

C[x]+C'[x]=[c₃₁c₃₀...c_w...c₂c₁c₀]XOR[c'₃₁c'₃₀...c'_w...c'₂c'₁c'₀]

- Z₂[x]/f(x)에서의 두 원소들의 승산은, 통상적으로 modulo f[x]로 규정된다.

C[x]*C'[x]=(c₃₁x³¹+...+c_wx^w+...+c₁x+c₀)*(c'₃₁x³¹+...+c'_wx^w+...+c'₁x+c'₀)(modf(x))

예를 들어, 필드 F_2^8에 대한 단항식을 가정하자: P(y) = 64y + 225.

a₁ = 53 및 a₀ = 173은 F_2^8에 속하는 정수이고, 이는 이것들이 2에서 평가된, Z₂[x]/f(x)에서 다항식들로 기록될 수 있음을 의미한다.

본 경우에서, a₁ = 53 = a₁(w=2)이고 a₁(w)= w⁶ + w⁴ + w² + 1이므로, a₁은 또한 a₁ = 01010101으로 표현될 수 있다.

유사하게, a₀ = 173 = a₀(w=2)이고, 여기서 a₀(w)= w⁷ + w⁵ + w³ + w² + 1이므로, a₀은 또한 a₀ = 10101101로 표현될 수 있다.

그러므로, y = ID = 10101111에서 다항식을 평가하고자 하면, 상기 계산은 [01010101]*[10101111]XOR[01010101](mod f(x))에 대응하고, 이는 상당히 단순한 계산이고, 적은 자원들을 요구한다.

예시적인 실시예에서, 인수분해된 다항식들, 또는 감소한 다항식들의 각각의 승산은 차수 r-1의 두 다항식들을 구한 것을 인수분해함으로써 더 인수분해되거나 감소된다. 그와 같은 인수분해는 최대 r-1회의 반복들 및 최대 r-1의 감소들을 요구한다.

전형적으로 HORNER I 및 HORNER II에서, 두 레벨의 인수분해는 r개의 약분들의 알파 배보다 적게 다변수 다항식 기반 알파-보안시스템에서 패리와이즈 키(pariwise key)를 계산하는 것을 가능하게 한다.

일단 각각의 키잉 자료 공유 세그먼트가 평가되면, 모든 상기 세그먼트들은 CONCAT에서 연속하게 되어서, 해시 함수를 적용함으로써 디바이스(ID) 및 디바이스(ID') 사이의 최종 공유 키가 생성된다. 이 예에서, 최종 공유 키는 상이한 세그먼트들의 연속에 의해 획득된다. 그러나, 다른 실시예들에서, 이는 키 세그먼트들의 대수 또는 논리 결합들과 같은 다른 결합들에 의해 획득될 수 있다.

본 발명은 또한 네트워크 내에 있는 디바이스를 인증하는 것을 가능하게 하는 네트워크 내의 디바이스의 암호화 식별자 ID를 생성하는데 이용되는 알파-보안 디지털 서명들과 함께 이용될 수 있음이 주목되어야 한다. 그와 같은 방법은 디바이스, 또는 엔티티에 속하고 디바이스 또는 엔티티의 디지털 아이덴티티를 나타내는 파라미터들의 세트에 기초한다. 그리고나서 핑거프린트에 대응하는 식별자 ID는 디지털 아이덴티티의 파라미터들을 해싱(hashing)함으로써 생성된다. 엔티티 및 ID의 키잉 자료 공유에 기초하는 관리 디바이스는 엔티티의 디지털 아이덴티티가 인증되는지를 결정할 수 있다.

이 디지털 서명 방법의 변형예에서, 식별자 ID는 여러 식별자들로 세그멘테이션되는, 즉 Hash(Digital Identity) = ID = ID₁∥ID₂∥...∥ID_t이다.

NWK_Size 노드들을 수용하고 t 세그먼트들을 가지며 각각의 세그먼트의 길이가 b' 비트들(b' = log(q')=log(F_q'의 크기))인 알파-보안 디지털 서명들을 이용하는 네트워크에서, 공격자는 확률:

을 갖는 네트워크에서 세그먼트들 및 서브-식별자들을 재조합함으로써 k 충돌들을 갖는 위조된 아이덴티티를 생성할 수 있다.

이는 위조된 식별자가 네트워크에서 발견될 수 있는 k 서브-식별자들을 포함한다는 것을 의미한다. 상기 식에서의 상기 확률은:

으로 규정되는 p₁에 좌우된다.

그러므로, 더 큰 b'가 이용되는 경우, 즉, 더 긴 세그먼트들이 이용되는 경우 이 확률을 줄일 수 있다.

b'의 이러한 이 확대는 차수 q = p^r을 이용함으로써 가능해지는데 왜냐하면 그와 같은 경우, 상술한 바와 같이, 각각의 세그먼트가 다항식 기반으로 Zp[x]/f(x)의 원소로 표현될 수 있기 때문이다. 그러므로, ID에서의 키잉 자료 공유 세그먼트를 평가는 필드 Z_p[x]/f(x)에서의 연산들에 대해 감소될 수 있다. 이로 인해 모듈러 연산들을 요구하지 않고도 더 긴 세그먼트들을 구현하는 것이 가능하다. 따라서, 더 긴 세그먼트의 이용은 증가된 인증 회복력을 가능하게 한다. 최종적으로, 동일한 인증성 보안 레벨을 달성하는데 더 적은 세그먼트들이 필요하므로 메모리가 더 적게 필요하다.

상술한 바로부터, 본 발명의 여러 장점들이 개시되었다. 무엇보다도, 상기 방법은 메모리 자원들의 이용을 최적화하는 것을 가능하게 한다. 실제로, 본 발명은 모든 계수들이 크기 2^r의 유한 필드에 속하는 키잉 자료를 수행한다. 이는 모든 계수들이 정확하게 r 비트들에 저장될 수 있으므로, 다항식-기반 알파-보안 시스템들에서 메모리가 소비되지 않음을 의미한다.

더욱이, 유한 필드들(F_p _^r)은 Z_p와 같은 더욱 작은 필드들의 확장들이고, 본 발명은 더욱 작은 필드에서 모든 계산을 실행하는 것이 가능하게 됨으로써, 계산 속도를 증가시키며, 디바이스의 계산 요건들을 제한한다. 더 정확하게, 본 발명에 따른 방법은:

- 더 긴 세그먼트들이 효율적으로 구현될 수 있으므로, 알파-보안 디지털 서명들에서, 16비트들의 세그먼트들이 이용될 때와 유사한 보안 레벨을 달성하기 위해 메모리 요건들을 감소시키고,

- 32비트 세그먼트들을 이용하여 키 생성을 위한 계산 요건들을 감소시키는 동안, 32 비트들의 세그먼트들을 갖는 디지털 서명 방법의 구현을 인에이블(enable)한다.

게다가, 본 발명에 따른 컴퓨터 프로그램은 키 생성의 알고리즘을 구현하는데 이전에 이용되었던 방법들에서 필요했던 것보다 더 적은 코드 메모리를 요구한다.

본 명세서 및 청구항들에서 요소 앞의 단어 "a" 또는 "an"은 그와 같은 요소들의 복수의 존재를 배제하지 않는다. 더욱이, 단어 "comprising"은 기재된 것과는 다른 요소들 또는 단계들의 존재를 배제하지 않는다.

본 명세서를 판독함으로써, 다른 변형예들이 당업자에게는 명백할 것이다. 그와 같은 수정들은 본원에서 이미 서술된 특징들 대신 또는 특징들을 제외하고 이용될 수 있는 보안 통신 분양에서 이미 공지되어 있는 다른 특징들을 포함할 수 있다.

1 : 네트워크 D1, D2 : 통신 엔티티 2 : 관리 디바이스

Claims

네트워크(1)에서 보안 통신을 위해 제 1 노드(D1) 및 제 2 노드(D2) 사이의 공유 키를 생성하기 위한 방법으로서, 상기 제 1 노드는 루트 키잉 자료에 기초하여 제 1 노드 키잉 자료 공유를 저장하는, 공유 키를 생성하기 위한 방법에 있어서:
a) 상기 제 1 노드(D1)가 상기 제 2 노드의 식별자를 수신하는 단계;
b) 상기 제 1 노드(D1)가 상기 제 2 노드의 식별자에 있는 상기 제 1 노드 키잉 자료 공유를 평가하여 공유된 키를 생성하는 단계를 포함하고,
상기 제 1 노드 키잉 자료 공유는 유한 필드(F_q)에 대한 다항식-기반 키잉 자료이고, 상기 단계 b)는:
b1) 상기 필드 F_q 상의 가약 다항식 modulo 상기 F_q의 서브-필드에서 계수들을 갖는 차수 r의 기약 다항식의 형태(under the form of a reduced polynomial over the field F_q modulo an irreducible polynomial of degree r with coefficients in a sub-field of F_q)로 상기 제 1 노드(D1)가 제 1 노드 키잉 자료를 인수분해하는 단계로서, 상기 가약 다항식은 상기 제 2 노드의 식별자에서 제 1 노드 키잉 자료를 평가하는 단계가 예를 들어, 상기 제 2 노드의 식별자에서 상기 필드 F_q 상의 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 단계를 포함하도록 구성되는, 상기 제 1 노드 키잉 자료를 인수분해하는 단계,
b2) 미리 결정된 지점에서 F_q의 서브-필드에서 계수들을 갖는 차수 r-1의 다항식 modulo F_q의 서브-필드에서 차수 r의 기약 다항식을 평가함으로써 상기 제 1 노드(D1)가 각각의 단항 연산의 결과를 계산하는 단계로서, 상기 계수 다항식은 상기 미리 결정된 지점에서 상기 F_q의 서브-필드 상의 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 단계에 대응하는 계수 다항식을 평가하도록 구성되는, 상기 각각의 단항 연산의 결과를 계산하는 단계를 포함하는, 공유 키를 생성하기 위한 방법.
제 1 항에 있어서, q는 소수의 멱(prime power) p^r이고 여기서 p는 소수인, 공유 키를 생성하기 위한 방법.
제 2 항에 있어서, 상기 F_q의 서브-필드는 모든 정수들의 세트 modulo p에 대응하는 서브-필드 Z_p인, 공유 키를 생성하기 위한 방법.
제 1 항에 있어서, 단계 b1)의 인수분해는 Horner의 규칙의 적용에 대응하는, 공유 키를 생성하기 위한 방법.
제 1 항에 있어서, 낮은 차수의 계수들 및 상기 차수 r의 기약 다항식의 계수만이 영(0)과 상이한, 공유 키를 생성하기 위한 방법.
제 1 항에 있어서, 상기 네트워크는 루트 키잉 자료를 포함하는 관리 디바이스를 더 포함하고, 상기 방법은 상기 루트 키잉 자료 및 상기 제 1 노드의 식별자에 기초하여 상기 제 1 노드 키잉 자료를 생성하는 단계 및 상기 제 1 노드로 송신하는 예비 단계를 더 포함하는, 공유 키를 생성하기 위한 방법.
제 1 항에 있어서, 상기 루트 키잉 자료 및 상기 제 1 노드 키잉 자료 공유는 여러 세그먼트들을 포함하고, 단계 b)는 키 세그먼트들을 생성하기 위해 각각의 제 1 노드 키잉 자료 공유 세그먼트들에 대해 실행되고, 상기 방법은:
c) 공유 키를 획득하기 위해 상기 키 세그먼트들을 결합하는 단계를 더 포함하는, 공유 키를 생성하기 위한 방법.
제 8 항에 있어서, 단계 c)에서 키 세그먼트들을 결합하는 단계는 연속으로 또는 논리적 결합들에 의해 실행되는, 공유 키를 생성하기 위한 방법.
네트워크의 제 1 노드 및 제 2 노드를 나타내는 두 개의 통신 엔티티(entity)들을 포함하는 통신 네트워크에 있어서:
상기 제 1 노드는:
제 1 노드 키잉 자료 공유를 저장하기 위한 메모리,
공유 키를 생성하기 위해 제 2 노드의 식별자에 있는 상기 제 1 노드 키잉 자료 공유를 평가하기 위한 수단을 포함하고, 상기 수단은:
- 상기 필드 F_q 상의 가약 다항식 modulo F_q의 서브-필드 상의 차수 r의 기약 다항식의 형태로 상기 제 1 노드 키잉 자료를 인수분해하기 위한 수단으로서, 상기 가약 다항식은 상기 제 2 노드의 식별자에서 제 1 노드 키잉 자료를 평가하는 것이 상기 필드 F_q 상의 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 것과 대응하도록 구성되는, 상기 제 1 노드 키잉 자료를 인수분해하기 위한 수단,
- 미리 결정된 지점에서 상기 필드 F_q 상의 차수 r-1의 계수 다항식 modulo F_q의 서브-필드 상의 차수 r의 기약 다항식을 평가함으로써 각각의 단항 연산의 결과를 계산하기 위한 수단으로서, 상기 계수 다항식은 상기 계수 다항식을 평가하는 것이 상기 F_q의 서브-필드 상의 단항식들 modulo 상기 기약 다항식을 반복적으로 평가하고 결합하는 것에 대응하도록 구성되는, 상기 각각의 단항 연산의 결과를 계산하기 위한 수단을 포함하는, 통신 네트워크.
제 10 항에 있어서,
- 루트 키잉 자료,
- 상기 루트 키잉 자료 및 상기 제 1 노드의 식별자에 기초하여, 제 1 노드 키잉 자료 공유를 생성하기 위한 수단, 및
- 상기 제 1 노드 키잉 자료 공유를 상기 제 1 노드에 전송하는 전송기를 포함하는 관리 디바이스를 더 포함하는, 통신 네트워크.
제 1 항에 따른 방법을 구현하기 위한 컴퓨터 프로그램.