用于产生机密密钥的装置和方法
【技术领域】
[0001] 本发明涉及根据专利权利要求1的前序部分的方法。本发明此外还涉及被设立用 于执行这种方法的装置、相应的计算机程序以及具有这种程序的机器可读的存储介质。
【背景技术】
[0002] 对称密码系统是如下密码系统,在该密码系统中与非对称密码系统不同,所有涉 及的(合法)用户使用相同密钥。为了计算和检验消息认证码等等而使用同一密钥进行加密 和解密数据带来:在每个加密的交换之前首先必须分配密钥本身。但是因为整个方法的安 全性与密钥的保密相关,所以传统的方案通常设计经由安全的信道进行密钥交换。这尤其 是可以通过手动地将密钥引入到各个用户中来进行,例如通过输入口令,从所述口令中于 是可以推导出实际的密钥。
[0003] 而通过非安全信道的密钥交换对于技术人员来说还总是挑战,其在密码学中作为 "密钥分配问题"而已知。为了解决该密钥分配问题,现有技术提供了如已知的迪菲-赫尔 曼-密钥交换或所谓的混合加密方法的方案,所述方案能够通过采用非对称协议实现对称 密钥的交换。
[0004] 但是在不远的过去,越来越多地讨论到密码系统,所述密码系统将OSI参考模型 的应用层的密钥建立问题转移到其比特传输层(物理层,PHY)上。这种方案例如被应用到 网络(cyber)物理系统的还新近的技术领域,所述网络物理系统的特点是对无线以及因此 固有的不安全通信信道的按照重点的利用。
[0005] 相应的方法设计:每个参与方从连接其的信道的物理特性导出密钥,使得这样生 成的密钥一致,从而无需传送密钥的具体部分。US 7942324 Bl示例性地公开了这种方法。
[0006] 这种方案的弱点有根据地在于:基本上仅仅一个唯一的通信信道用作产生机密密 钥的基础,该通信信道连接两个通信伙伴。这种策略隐含基于模型或基于侦听的攻击的风 险。
【发明内容】
[0007] 本发明以具有权利要求1的特征的方法、具有权利要求8的特征的装置、具有权利 要求9的特征的计算机程序以及具有权利要求10的特征的存储介质为出发点。
[0008] 该解决方案的优点在于,在密钥产生过程中有利地采用计算机网的多个节点。在 此,本发明利用在参与的节点中的一些之间的已经建立的可靠的连接,以便一方面减少不 同攻击的成功概率并且另一方面提高要产生的密钥的熵或在更短的时间内产生具有确定 熵的密钥。
[0009] 在该上下文中,与拓扑无关地将不同的电子系统如传感器、执行器、代理以及其 他无线或有线节点的每种联合理解为计算机网,其能够实现在各个节点之间的通信。所 提及的概念在此明确地理解为极不同的无线局部网、如无线局域网(WLAN)、无线个人域网 (WPAN)或无线体域网(WBAN),但也为移动Ad-hoc-网(移动ad-hoc网络,MANet)和其他相 互结合的网。
[0010] 本发明的其他有利的扩展方案在从属权利要求中说明。因此,根据专利权利要求 2的改进方案允许使用传输路径的可能的时间变化来进一步提高熵。按照权利要求3的变 型方案以特别的程度从与计算机网连接的节点的累加的计算能力中获益。权利要求4的主 题是如下方法:该方法将关于由加入的节点所使用的信号序列的安全性关键的认识限制到 唯一一个另外的节点上。权利要求5和6又向技术人员坦白说出借助传统计算机硬件的特 别有利的实现。
【附图说明】
[0011] 本发明的实施例在附图中示出并且在下面被进一步描述。
[0012] 图1示出了在根据本发明的方法的初始状态中的计算机网的框图。
[0013] 图2示出了该方法的第一阶段的框图。
[0014] 图3示出了该方法的第二阶段的框图。
[0015] 图4示出了该方法的第三阶段的框图。
【具体实施方式】
[0016] 图1以示意性简化方式描绘了根据本发明的方法的基本应用情形。观察的出发点 在此是计算机网10,其包括多个已经以安全方式相互连接的节点14。连接这些节点14的 云12表示如下情况:除了标记表示的节点14之外可以有任意多个另外的节点参与计算机 网10,所述另外的节点例如能够在计算机网10内部实现节点14的直接连接。
[0017] 因此,节点14例如可以是无线接入点(wireless access points,AP),所述无线 接入点借助总的骨干12提供至因特网10的接入。在另一实施方式中,计算机网10可以是 WBAN或其他无线传感器网(wireless sensor network,WSN),其下协议层相应于标准IEEE 802. 15. 4,而路由和应用接口满足上级工业标准如ZigBee。似乎考虑使用针对相互结合的 网优化的协议,如使用还在设计阶段的IEEE 802. Ils,其路由功能(在对应于OSI模型的考 虑方式情况下)有利地集成到媒体存取控制(media access control,MAC)层中。易于理解 的,计算机网10同时可以基于所述方案的组合或另外的方案,而不偏离本发明的范围。
[0018] 作为应用根据本发明的方法的重要前提,在此要以计算机网10的各个节点14的 时钟时间设定的很大程度的同步性为出发点。适于足够同步化的网络协议例如是技术人员 信任的按照IEEE 1588和IEC 61588的精确时间协议(PTP),其在局域限制的计算机网10 中能够保证在纳秒或微秒范围中的精度。
[0019] 还未被集成到安全的计算机网10中的、仍然通过共同使用的传输信道对于计算 机网10的节点14可到达的、加入的设备在图1的下边缘上描绘。为了阐明所述设备在计 算机网10的拓扑关系中所设定的角色,在下面在图论字义上将其抽象为节点16。在技术 上,针对所讨论的例子的目的,该设备可以为移动设备,也即基于其大小或其重量而可以无 更大身体负荷地被携带并且因此可以移动地使用的终端设备。尤其是考虑传统的移动计算 机或者相应的手持设备(handheld)如同不同类型和形式的可在使用者身体上穿戴的计算 机系统(可穿戴)。最后,在智能家居基础设施的范围中可联网的家用设备、照明装置或键盘 也可以满足节点16的角色。
[0020] 在计算机网10的三个节点14和加入的节点16之间的点划连接线在图1中象征 性地表示在相应节点14和加入的节点16之间设置的拓扑连接。一方面计算机网10的节 点14的相应发送和接收单元以及另一方面加入的节点16的共同作用就此而言(尽管节点 16还未被接纳到计算机网10中)已经在该初始状态中建立了没有专门被保险的、在计算机 网10的节点14和加入的节点16之间的信道。
[0021] 由于通过干扰、屏蔽、多路径广播或多普勒效应引起的双侧接收场强的波动,该传 输路径在电子技术意义上被表征为衰减信道并且按照图示地通过复数的信道系数&( t )、h2 (t)ShN (t)来表示,其中N代表参与的节点14的数。同时要注意:代替信道系数Ill (t), 可以在本发明方法的范围中考虑用于生成密钥的相应连接的大量其他的物理特性。
[0022] 在图2中图示的所讨论方法的第一阶段中,现在(仅仅在图1中简略绘制的)计算 机网10的节点14在时间上同步地分别将第一信号P 1 (t)、p2 (t)SpN (t)发送给加入的 节点16。在此,在计算机网10的参与的节点14之间完全可以涉及不同的信号P1 (t)。也 不需要加入的节点16认识各个信号P1 (t)。
[0023] 不管怎么样,在下面以在信号理论意义上的基本上线性的系统为出发点,使得可 以应用物理叠加原理。因此,由计算机网10的节点14发送的第一信号P 1 (t)近似相加地 与由加入的节点接收的第二信号叠加。如果此外简化地以相加的噪声nA (t)为出发点,则 通过加入的节点16接收的第二信号u (t)因此满足如下等式:
[0024] 在根据本发明的方法的第二阶段(示意性地在按照图3的框图中示出)中,加入的 节点16在其侧发送第三信号p A (t)给计算机网10的节点14。所述节点14基于已经提到 的现象接收分别相应于第三信号PA (t)的根据下面的等式的第四信号71 (t),其中下标i 表示涉及的节点14,并且Iii (t)表示由该节点接收的噪声:
[0025] 在此同样展示多个可选的扩展方案,而不脱离本发明范围。基本上,在此,计算机 网10的节点14确定对应于相应的第四信号 yi (t)的第五信号20,该第五信号在对应于图 4的视图的根据本发明的方法的第三阶段中被发送给另外的节点18。不同的变型方案(按 照所述变型方案第五信号20的确定可以在此基于第四信号 yi (t))以及针对为该另外的 节点18负责的进