[发明专利]用于在网络中安全通信的方法、及其通信设备、网络和计算机程序

权利要求书

1.一种用于使在网络（1）中的第一节点（N1）与第二节点（N2）之间的通信安全的方法，该网络进一步包括设有根密钥材料的管理设备（2），该方法包括以下步骤：

- 该管理设备基于根密钥材料生成包括多个子单元的第一节点密钥材料部分，并且第一节点密钥材料部分被设置用于生成第一完整密钥；

- 该管理设备选择第一密钥材料部分的子单元的子组，所选的子单元的数量小于或等于第一密钥材料部分的子单元的总数，并且所选的子单元形成第一节点部分密钥材料部分或对称密钥生成引擎，

- 第一节点基于第一节点对称密钥生成引擎并且基于第二节点的标识符生成用于使与第二节点的通信安全的第一密钥。

2.权利要求1的方法，其中根密钥材料包括多个数学函数。

3.权利要求2的方法，其中对称密钥生成引擎的性能和安全性由多个秘密或公开设计定义，该设计包括根数学函数的数量、数学函数的复杂度、密钥材料部分的生成在其上发生的数学结构或根密钥材料的参数。

4.权利要求2的方法，其中数学函数是多项式。

5.权利要求4的方法，进一步包括下列步骤：

- 管理设备基于多项式根密钥材料且基于第一节点的标识符生成在多个多项式部分形式下的第一节点密钥材料部分，每个多项式部分系数被划分成各子单元，且所述子单元包括第一节点密钥材料部分，

- 管理设备选择形成第一对称密钥生成引擎的第一多项式系数的一组子单元，第一节点对称密钥生成引擎的所选的子单元对应于第一节点密钥材料部分的所选的子单元，

- 第一节点基于第一节点对称密钥生成引擎且基于第一节点的标识符生成用于使与第二节点的通信安全的部分密钥。

6.权利要求4和5的方法，其中根密钥材料是在所选择的多个有限域上的多项式，其中进行所述选择以使得：

- 管理设备从在不同有限域上进行运算的根多项式生成用于第一设备的多项式部分；

- 管理设备能够将所述多项式部分划分成各子单元并且将它们组合以形成对称密钥生成引擎；

- 包括对称密钥生成引擎的子单元被组合，从而使得根密钥材料的恢复更困难；

- 第一设备能够使用其对称密钥生成引擎、第二设备的标识符生成关于第二设备的密钥；

- 密钥生成所需的运算在所述域之外。

7.权利要求2和3的方法，其中数学函数的复杂度可被调整以在SKGE安全性与计算需求之间提供折衷。

8.权利要求4和5的方法，其中数学函数的复杂度是指多项式的次数和/或有限域的大小。

9.权利要求1和4的方法，其中，从根数学函数生成用于第一设备的密钥材料部分包括在单个数学结构（比如域、环、向量空间或群）或其组合上运算。

10.权利要求9的方法，其中在给定第一设备的对称密钥生成引擎和第二设备的标识符的情况下生成第一设备之间的密钥所需的运算是在共同的数学结构上进行的。

11.权利要求3或4的方法，其中管理设备生成第一节点密钥材料部分或第二节点密钥材料部分的步骤包括求分别对应于第一节点的标识符或第二节点的标识符的点处对称双变量多项式的值。

12.一种在进一步包括节点的网络中的设有根密钥材料的管理设备，该管理设备包括：

- 用于在接收到节点的标识符时基于根密钥材料生成节点密钥材料部分的装置，每个密钥材料部分被划分成各子单元;

- 用于选择第一密钥材料部分的子单元的子组的装置，所选的子单元的数量小于或等于该密钥材料部分的子单元的总数以形成适于生成第一密钥的对称密钥生成引擎或节点部分密钥材料部分；以及

- 用于将节点对称密钥生成引擎分配给节点的装置。

13.一种包括通信设备和根据权利要求12的管理设备的网络，该通信设备设有标识符，并且包括：

- 用于将其标识符传输到管理设备的装置，

- 用于从管理设备接收节点对称密钥生成引擎的装置,

- 用于接收另一个节点的标识符的装置，以及

- 用于基于所接收的节点对称-密钥生成引擎和所接收的该另一个节点的标识符而生成用于与该另一个节点通信的密钥的装置。