用于在网络中生成密钥的方法以及在网络上的用户和网络的制作方法

用于在网络中生成密钥的方法以及在网络上的用户和网络的制作方法
【技术领域】
[0001] 本发明涉及用于在网络中生成机密的、密码的密钥的方法，尤其是在网络和用户 之间产生共同的、机密的密钥；以及涉及网络上的用户，所述用户被设立用于执行这种方 法。
【背景技术】
[0002] 在不同的设备之间的安全通信在增长地联网的世界中变得越发重要并且在许多 应用领域中是对于可接受性和因此也对于相应应用的经济成功的重要前提。这(根据应用） 包括不同的保护目标，例如要传输的数据的机密的维护、参与节点的相互认证或者数据完 整的确保。
[0003] 为了实现这些保护目标，通常使用合适的密码的方法，其一般可以分成两种不同 类型：对称方法，在其中发送器和接收器拥有相同的密码的密钥；以及非对称方法，在其中 发送器利用公共的（即潜在攻击者也可能已知的）接收器密钥对要传输的数据进行加密，但 是仅仅可以利用所属的私人密钥进行解密，所述私人密钥理想情况下仅仅对于合法的接收 器是已知的。
[0004] 非对称方法此外具有如下缺点：非对称方法通常具有非常高的计算复杂度。因此， 非对称方法仅仅有条件地适于资源受限的节点例如传感器、执行器等等，这些节点通常仅 仅拥有相对较小的计算能力以及小的存储器并且应当高能效地工作，例如基于电池运行或 使用能量获得（Harvesting)。此外，经常仅仅可以利用有限的带宽来用于数据传输，这使得 具有2048或者更多比特长度的非对称密钥的交换不具有吸引力。
[0005] 而在对称方法中必须保证：不仅接收器而且发送器拥有相同的密钥。在此，所属的 密钥管理一般而言是非常高要求的任务。在移动无线电领域中，密钥例如借助SIM卡置入 移动电话中并且所属的网络于是可以将相应的密钥分配给SIM卡的明确的标识。而在无线 LAN的情况下，通常在网络配置时进行要使用的密钥的手动输入("预共享密钥"，通常通过 输入口令来确定)。但是，当例如在传感器网络或其他机器对机器的通信系统中有很大量节 点时，这种密钥管理快速地变得非常昂贵并且不可实现。此外，要使用的密钥的改变经常是 根本不可能的或者仅仅以非常大的花费才能实现。
[0006] 最近以来，因此在关键词"物理层安全"之下研究并且开发新型方案，借助所述新 型方案可以自动基于在涉及的节点之间的传输信道产生用于对称方法的密钥。从信道参数 中确定随机数或伪随机数例如可以从W0 1996023376A2中得知，由信道参数产生机密密钥 在TO2006081122A2 中公开。
[0007] 迄今，在文献中尤其是观察并且研究以下方案，在所述方案中直接在两个节点之 间进行上述的密钥生成。

【发明内容】

[0008] 本发明涉及按照独立的方法权利要求的方法以及在一个或多个网络上的用户，所 述用户被设立用于执行所述方法之一。此外，本发明还涉及计算机程序，该计算机程序被设 立用于执行所述方法之一。
[0009] 在此，以具有至少三个用户的网络为出发点。在此，网络上的用户意味着：每个用 户可以与网络的至少一个另外的用户通信。但是该通信在初始点在这些用户中的两个之间 不必是受保护的通信，也即这两个用户在初始点不拥有共同的机密密钥。应当至少在所述 用户之间构建这种通信。在一种变型方案中，在这两个用户之间已经存在受保护的通信连 接，但是该通信连接应当被更新，也即构建更新的、受保护的连接。对此，应当在网络中生成 新的、共同的机密密钥，基于该密钥可以保护该通信。
[0010] 具有已经受保护的通信的网络的两个用户对此由其各自的至第三用户的传输信 道的物理特性确定各一个部分值序列，例如比特序列，应当建立与该第三用户的受保护的 通信(或者作为新的受保护的通信或者作为更新的受保护的通信)。在这两个受保护的用户 之间、或者在具有受保护的通信的网络的区段(至少这两个受保护的用户属于该区段）中， 由部分值序列生成密钥或总密钥。在此，为了从信道估计中导出密钥所需的处理步骤已经 可以完全或者很大程度上在各个已经受保护的用户中进行，但是所述处理步骤也可以完全 或者很大程度上被转移给一个或多个其他用户。因此，所生成的并且在所述用户之间交换 的部分值序列（之后由所述部分值序列生成总密钥）可以根据实施变型方案例如在很大程 度上是未加工的信道参数组或者是已经被错误校正的并且利用要连接的用户来调整的密 钥。在第三用户中，同样由部分值序列生成总密钥。现在受保护的通信可以基于共同的、机 密密钥来进行。
[0011] 相较于非对称的方法，所介绍的策略带来硬件中的成本节省以及本身更小的能量 消耗。相较于传统的对称方法，其具有强烈简化的密钥管理。该方法可以简单地使用和操 作并且可以通过其在很大程度上的自动化也由没有特别的专业知识的人员来简单地执行。 这种安全性是可扩展的，也即原则上可以根据要求产生任意长度的密钥。
[0012] 借助所描述的方案，多个、在大多数情况下彼此无关的传输信道用作生成总密钥 的基础。这在一方面是有利的，因为由此明显使得通过建模的攻击变得困难。在确定的情 形中，该情形不一定是先验已知的，攻击者例如可以尝试：借助合适的模型来模拟在两个节 点之间的传播条件，以便能够因此推断出所观察的信道。如果在两个节点之间的信道由于 特别的情况(例如在无线信道情况下的强大的目苗准线（Line-0f-Sight)组件)变得相当好地 可预测，那么这尤其是可以变得关键。越多的彼此无关的传输信道用作密钥生成的基础，好 的建模就越困难。在典型的办公室环境中，在该办公室环境中移动终端设备应当利用固定 安装的W-LAN取得密钥，例如可能比较经常地出现：终端设备具有与接入点的直接的可视 连接，但是该终端设备同时与N个接入点具有直接的可视连接的概率随着N的上升通常相 当快速地下降。同时，如果潜在攻击者尝试自己测量确定的传输信道，本发明却也改进了安 全性。在所描述的方案中，其中移动终端设备应当安全地与W-LAN联网，例如可以设想，攻 击者直接在该终端设备想利用其来生成密钥的接入点旁。因为这不一定被操作该终端设备 的使用者注意到并且因为攻击者在这种情况下可能任意近地接近该接入点，因此攻击者可 能可以相当好地自己估计在该接入点和终端设备之间的传输信道。只要安全网络的如在本 发明中所提出的、但是更多个通常在空间上分开的节点一起被考虑到密钥生成中，则自然 明显使得攻击情形变得困难。
[0013] 由于为了密钥生成总共至少三个用户参与，因此明显使得潜在攻击者截取为滥用 的密钥生成所需的信息变得困难。除了用于生成密钥的机制之外，此外攻击者必须知道由 部分值序列来生成总密钥的机制。该密钥生成相对于可能的攻击者的安全性因此被改进。
[0014] 此外，通过使用至少两个传输信道来生成单个密钥提高了为生成安全的密钥所用 参数的足够的熵的概率。这由如下事实得出：多个彼此无关的传输信道用作密钥生成的基 础并且因此所有涉及的传输信道在密钥生成时刻不提供足够熵的概率随着数量的增加而 减少。
[0015] 在本发明的一种特别优选的变型方案中进行两个部分值序列生成的进一步的逻 辑运算。在此，该网络的受保护的两个用户至少部分地同时地从广播传输或者从用户的同 样的发送信号中确定至要保护的用户的相应传输信道的特性。
[0016] 这导致密钥生成尤其是在为其所需的时间和能量需求方面的效率的改进。这尤 其是从可能的优化的信道估计阶段中得到。如果例如(任意地）假设：每个控制序列可以 确定确定的信道的信道估计值并且为了足够的密钥熵应当首先确定500个这种信道估计 值，于是在"经典的"密钥生成情况下为此必须在两个节点之