用于生成密码密钥的方法和装置与流程

本发明涉及一种用于生成密码密钥的方法。除此之外，本发明涉及相应的装置、相应的计算机程序以及相应的存储介质。

背景技术：

对称密码系统是如下密码系统：在该密码系统中，与非对称密码系统不同，所有涉及的（合法的）用户都使用相同的密钥。将同一密钥用于数据的加密和解密、计算和检验消息认证码等等导致，在每次加密交换之前，首先必须分配密钥本身。然而由于整个方法的安全性依赖于对密钥的保密，因此常规方案大多规定通过安全信道的密钥交换。这尤其是可以通过手动地将密钥引入到相应用户中来进行，例如通过输入口令，然后可以从该口令中导出实际密钥。

而通过不安全信道的密钥交换对于本领域技术人员而言仍旧是在密码学中作为“密钥分配问题”已知的挑战。现有技术为了解决该密钥分配问题而提供诸如已知的diffie-hellman密钥交换或所谓的混合加密方法之类的方案，这些方案使得能够通过包括非对称协议来进行对称密钥的交换。

然而最近越来越多地讨论将密钥建立的问题从osi参考模型的应用层转移到其比特传输层（物理层（physicallayer），phy）的密码系统。这样的方案例如应用于仍然新兴的信息物理系统专业领域，信息物理系统的特色是主要使用无线的以及因此固有地不安全的通信信道。

de102014208975公开了一种用于在网络中产生密钥的方法。在此，该网络至少具有彼此具有受保护的通信连接的第一用户和第二用户，以及具有第三用户，应建立到第三用户的受保护的通信连接。第一用户和第三用户分别根据第一用户与第三用户之间的传输信道的特性产生第一子值序列。第二用户和第三用户分别根据第二用户与第三用户之间的传输信道的特性产生第二子值序列。在该网络的至少具有第一和第二用户、但不具有第三用户的受保护的部分中，现在根据至少第一用户的第一子值序列和第二用户的第二子值序列确定密钥。该密钥同样也在第三用户中根据至少第一子值序列和第二子值序列被产生。

在de102014208974中介绍了一种用于确定关于第一设备到至少一个第二设备的距离的信息的方法。在此，关于距离的信息根据第一值与第二值之间的相关性来确定，所述第一值由第一设备根据第一设备与第三设备之间的无线传输信道的物理特性被确定，以及所述第二值由第二设备根据第二设备与第三设备之间的无线传输信道的物理特性被确定。

技术实现要素：

本发明提供根据独立权利要求所述的用于生成密码密钥的方法、相应的装置、相应的计算机程序以及相应的存储介质。

在此情况下，所提出的方法基于以下方案：

两个合法方a和b将训练序列发送给中继器。该中继器发射接收信号的加权和，并且紧接着自身发出训练序列，a和b可以利用该训练序列测量其到中继器的信道。未参与方仅仅接收信道测量的和，并且不能从中推断出各个被加数。然而a和b可以从所述和中确定分别另一信道，因为a和b已测量了其到中继器的信道。单信道被用作用于密钥产生的原始材料。

在第一实施方式中，a和b在同步阶段之后同时发出相同的训练序列以用于信道估计。中继器接收两个信号的叠加，并且因此可以仅仅估计两个信道脉冲响应的和，然而不知道被加数。

在第二实施方式中，a和b依次发送其训练序列，并且中继器形成各个测量结果的加权和并且发射该加权和。由于中继器可以区分到a和b的信道，因此中继器可以将所述信道以加权的方式进行叠加，使得a和b可以以尽可能好的信噪比（signal-to-noiseratio，snr）确定分别相互的信道。

所提出的方法的优点在于其特别适合于简单的中继器，所述中继器仅仅以时移并且放大的方式再次发射所接收的高频信号，而不从中产生密钥（amplifyandforward（放大和转发））。该方案尤其是允许两个合法方在静态场景下的密钥产生。

该方法允许：a和b都不必为了密钥产生而被移动，就是说，例如可以已经位置固定地被安装。如果中继器被移动，则因此也可以在a与b之间的完全静态的信道的情况下产生密钥。

在a与b之间的非静态的信道的情况下，密钥产生速率可以通过该方法来提高，使得在较短时间内产生固定长度的密钥。替代地，由此可以相对于没有中继器的常规方法提高密钥质量。相对于已知中继方法，根据本发明的方法造成更少耗费，因为不必在中继器中设置密钥产生逻辑，而是直接处理高频信号（hf信号）。因此，中继器可以更小地且更低成本地来制造以及更低成本地来开发。

此外，利用该方法可以除了点对点密钥之外在a、b和中继器之间建立组密钥。

该方法与a和b是否处于相互的无线电作用半径内无关地起作用，并且因此可以直接彼此通信，或者仅能通过中继器彼此通信。

除此之外，在第一实施方式中，中继器不获得关于密钥的信息，如果中继器仅仅使用接收天线，则中继器可能将所述信息（故意地或无意地）泄漏给攻击者。此外，该方法在该实施方式中对于如下攻击是鲁棒的：在所述攻击的情况下，被破解的中继器将其接收信号以利用时变序列调制的方式再次发射。

第二实施方式附加地具有如下优点：中继器可以通过选择权重正面地影响在a和b处和信号的测量snr，并且因此同样可以优化密钥产生速率或剩余错误率。该实施方式相对于第一实施方式具有如下优点：其不以发送时刻的精确同步为前提，并且其同时防止如下攻击：在所述攻击的情况下攻击者知道到中继器的两个信道的接收功率的比例。此外，上述设备中的任何一个都不需要能够双工运行（gegenbetrieb）（全双工通信（full-duplexcommunication））。

两种实施方式的一种变型方案允许：和信号实际上在没有进一步干扰的情况下从中继器被传输给a和b。

在另一实施方式中，所导出的密钥保持不为中继器所知。因此，中继器应当仅仅以如下方式是值得信任的，即该中继器不（同时）使用多个天线。此外，该实施方式提供免受如下主动攻击者的攻击的保护：所述主动攻击者使用中继器，该中继器将其接收信号以利用时变序列调制的方式再次发射。

通过在从属权利要求中所列举的措施，在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。

附图说明

本发明的实施例在附图中予以示出并且在随后的描述中予以进一步解释。

图1示出根据本发明的方法的活动图。

图2示出本发明的第一实施方式。

图3示出本发明的第二实施方式。

具体实施方式

图1示意性地简化地图解根据本发明的方法（10）的基本流程：第一节点在第一信道上将第一信号发送给中继器（动作11）；第二节点在第二信道上将第二信号发送给该中继器（动作12）；第一节点在第一信道上从该中继器接收（动作13）第三信号以及第一信号与第二信号的和信号；第二节点在第二信道上从该中继器接收第三信号和该和信号（动作14）；第一节点根据第三信号和该和信号确定密钥（动作15）；以及第二节点根据第三信号和该和信号确定密钥（动作16）。该行为的目标是，第一节点和第二节点在使用可能静态的直接连接的情况下借助于中继器产生保持不为第三方所知的密码密钥。

为了阐明第一实施方式，图2示出如下场景：在该场景中，中继器（r）接收由第一节点（a）以及由第二节点（b）相同地发送的第一和第二信号（随后依据其根据本发明的功能被称为“训练序列”）并且紧接着可能以放大的方式发出。信道必须如下来表示：第一信道（har）将第一节点（a）与中继器（r）彼此连接，第二信道（hbr）将第二节点（b）与中继器（r）彼此连接，并且第三信道（hab）将第一和第二节点（b）彼此连接，其中假设所述信道是随机的。基于通常已知的训练序列，（通过与训练序列相关）接收信号与信道估计值之间的换算是微不足道的。因此，h以代表信道或接收信号的方式被使用。

当第三信道（hab）不改变（即是静态的）时，有问题的状况在常规密钥产生中出现，因为于是在信道中似乎仅仅“包含”了唯一的测量结果的随机性，根据该随机性可能产生密钥。每个另外的测量在这种情况下都不是随机地与第一测量无关的事件，使得另外的测量结果的熵不能有助于所获得的密钥的密码强度。

适合于克服该问题的方法（10）可以（不同于根据图1的图示）被划分成四个步骤：

1.第一节点（a）和第二节点（b）（以及由于公共无线电传输还未参与的第三方）从中继器（r）获悉到中继器（r）的信道测量的（可选地被加权的）和信号αhar+βbr。该信道测量可能在通过第一信道(har)或第二信道（hbr）的hf传输的范围内受到干扰。在这一点上适宜的是，在不同实施方式之间进行区分。

在根据图2的第一实施方式中，第一节点（a）和第二节点（b）在相同载波频率上选择其发送时刻，使得其相同的训练序列同时并且因此叠加地在中继器（r）中被接收。根据系统的实现形式（ausprägung）和各个参与方的能力，系统的不同变型方案是可能的：

a.中继器（r）在相同的分集信道中、即以可忽略的延迟并且因此基本上在相同时刻在相同频率上以相同空间角通过（多个）相同天线并且以相同波偏振发送所接收的和信号。为此，不仅中继器（r）而且第一节点（a）和第二节点（b）都应当是有全双工能力的。如果第一节点（a）和第二节点（b）处于相互的作用半径中，则信道（hab）应当是静态的，因此方法（10）起作用。如果它们处于相互的作用半径之外，则信道也可以是时变的。

b.中继器（r）在第一测量的信道相干时间和信道相干带宽之内、但是在其他分集信道上，也就是说，在接收测量信号之后在其他载波频率上、（在具有不同主瓣方向的发送和接收天线或多天线系统的情况下）以其他空间角、以其他波偏振或者先前的可能性的组合发送所接收的和信号以及训练序列。训练序列和所接收的测量信号也可以在分开的分集信道上被发送，只要两个发送过程在信道相干时间以及信道相干带宽之内进行。因此，直接连接的测量可以通过第三信道（hab）与和信道的测量分开。如果第一节点（a）和第二节点（b）是有全双工能力的并且第三信道（hab）不是静态的，则该测量与另外的方法（10）无关地同样被用于密钥产生，由此提高密钥产生速率。

在第二实施方式中，第一节点（a）和第二节点（b）依次、但是在信道相干时间之内分别将训练序列发送给中继器（r），其中第一节点（a）的训练序列可以与第二节点（b）的那个训练序列完全区分开，而不偏离本发明的范围。中继器（r）存储所接收的测量信号，将所述测量信号以可能被加权的方式相加并且发射和信号。由于第一节点（a）、第二节点（b）和中继器（r）不在相同分集信道中发送，因此在第一节点（a）、第二节点（b）和中继器（r）都有全双工能力时不产生优点，并且如果第三信道不是静态的，第三信道（hab）在任何情况下都可以被用于密钥产生。

在可应用于两种实施方式的变型方案中，中继器（r）将和信号数字化，并且将该和信号数字地通过标准传输方法公开地传输给第一节点（a）和第二节点（b）。代替和信号，也可以数字地传输利用数字信号处理所处理的和信号。中继器（r）尤其是可以例如通过与训练序列相关来直接计算和信道。

在可应用于两种实施方式的另一变型方案中，中继器（r）在知道（多个）训练序列的情况下确定单信道（实施方式2）或其和（实施方式1），并且将其例如数字地通过标准传输方法公开地传输给第一节点（a）和第二节点（b）。

2.中继器（r）发出训练序列，第一节点（a）和第二节点（b）利用该训练序列测量其到中继器（r）的相应信道。

3.第一节点（a）和第二节点（b）根据在先前步骤的信号确定分别迄今未知的第二信道（hbr）或第一信道（har）。

4.两个单信道共同地或分开地被用作用于产生成对密钥的原始材料。

方法（10）在第一实施方式中以首先常规的同步阶段开始，在该同步阶段中第一节点（a）和第二节点（b）被精确地同步到（接收机的）大约一个信号采样周期上（在根据ieee802.11n的wlan的情况下这对应于在40mhz带宽的情况下大约25ns的精确性）并且在该同步阶段期间规定共同的发送时刻。如果第一信道（har）与第二信道（hbr）之间的传播时间差显著不同，则该效应也针对发送时刻被考虑。紧接着，双方发出相同的训练序列，中继器（r）可以利用所述训练序列测量到双方的信道。两个信号同时到达中继器（r）并且在那里在天线处叠加。如果（如下面所假定的那样）为了简化的图示而将每个信道与该信道自己的信道系数相提并论，则中继器（r）因此测量和har+hbr。中继器（r）以可能放大的方式再次发出接收信号，并且紧接着（顺序可以是任意的）在第一测量的信道相干时间之内同样发送训练序列，该训练序列不必与第一节点（a）和第二节点（b）的那些训练序列相同。由于第一节点（a）和第二节点（b）利用由中继器（r）所发送的训练序列来测量第一信道（har）或第二信道（hbr），因此它们可以根据和信号计算分别另一信道，而攻击者不能从和信号中推断出被加数。

传输的模型不仅针对上面以数字b所列举的、所有参与方仅仅需要能够交替运行（半双工通信（halfduplexcommunication））的变型方案而且针对随后描述的第二实施方式如下来构成：由于不确定的载波相位，第一节点（a）作为和信号接收：

并且从由中继器（r）发送的训练序列接收：

。

类似地，第二节点（b）接收：

并且从由中继器（r）发送的训练序列接收：

。

所有信道系数由于同相传输和正交传输而被假定为具有任意分布的复值，其中相应接收机噪声在本实施方案的范围内为简单起见必须被忽略。在此，或表示相应信道系数的平均值，并且har或hbr表示其零平均值分量。

下面，假设

以及

是信道的方差，其中表示期望值运算符。所有测量信号都由于缺乏相位基准而具有一定的相位不确定性。中继器（r）和每个设备中的相应的接收硬件附加地可以利用因子或对所述信号进行加权。在当前的实施例中，与训练序列同时传输具有几千赫兹的失调的基准载波，所述基准载波被用作所有测量的相位基准，使得通过关于所述基准的校正，相位不确定性对于测量而言变得无效。在不限制一般性的情况下，在此情况下必须假定信道的频率平坦性。针对频率选择性信道，上面所描述的乘法可以通过卷积来代替，并且可能可以在频域中的傅里叶变换的情况下来观察。在这种情况下，可以以常规方式例如在正交频分复用方法（orthogonalfrequency-divisionmultiplexing，ofdm）中使用副载波作为相位基准，使得针对其余副载波，关于该基准，再一次适用。

为了从接收信号中获得的估计值，第一节点（a）经过多次测量估计平均值：

以及方差：

以及

。

因此，中继器信道值的估计值可以分别彼此分开地被确定为：

以及

。

第二节点（b）相应地进行处理。

现在，和可以作为输入测量值被用于共同的密钥产生方法或者用于两种彼此分开地工作的密钥产生方法。

该方法（10）对于中继器（r）的有错误的行为是特别鲁邦的。这样，主动攻击者可能破解（kompromittieren）中继器（r），使得该中继器将时变项与接收信号相加（时间上恒定的项无助于密钥产生并且因此是不相关的），或者与时变因子相乘（时不变因子同样是不相关的）。但是在这种情况下第一节点（a）和第二节点（b）将确定不同的测量值和。这些测量值又将产生彼此不同的密钥，这将在密钥产生的以后的步骤中被发现。因此，中继器（r）不能以未被察觉的方式有害地影响该信号，并且方法（10）对于对中继器（r）的主动攻击是鲁邦的。

在根据图3的第二实施方式中，中继器（r）依次分别接收第一节点（a）和第二节点（b）的不一定相同的训练序列，并且紧接着发出所得到的和信号。为此，中继器（r）必须暂存接收信号，这适宜地以数字信号处理的方式进行。

在该实施方式中，在粗略的同步阶段（在该同步阶段中第一节点（a）和第二节点（b）协调其发送时刻并且协商方法参数）之后，双方依次、但是在信道相干时间之内发出训练序列，中继器（r）可以利用该训练序列测量到双方的信道：中继器（r）测量har,1或har,2，并且再次在第一测量的信道相干时间和信道相干带宽之内发出hf信号的叠加。如果被选择了，则附加地α和β以公开地已知的方式存在。由于第一节点（a）和第二节点（b）不必同时发送，不需要发送时刻的如在第一实施方式的情况下那么精确的同步。紧接着（顺序可以是任意的）中继器（r）在第一测量的信道相干时间和信道相干带宽之内发出训练序列。由于第一节点（a）和第二节点（b）利用由中继器（r）发送的训练序列基于互易性测量信道系数或，因此第一节点（a）和第二节点（b）可以根据所接收的和信号借助于被公布的因子α和β来计算分别另一信道，而攻击者不能从和信号中推断出被加数。

传输的模型在与在第一实施方式的情况下相同的假定下如下来构成：由于不确定的载波相位，第一节点（a）作为和信号接收：

并且从由中继器（r）发送的训练序列接收：

。

类似地，第二节点（b）接收：

并且从由中继器（r）发送的训练序列接收：

。

第一节点（a）通过按照关联的计算获得，其中如在第一实施方式的情况下那样精确地被确定。所确定的估计值和然后作为输入值被用于共同的密钥产生方法或用于两种彼此分开地工作的密钥产生方法。

在一种适宜的设计方案中，中继器（r）将因子α和β选择为使得两个信道具有相同的（长时间）方差。以这种方式，假设的攻击者的优势被抵消，该攻击者知道第一信道（har）的接收功率与第二信道（hbr）的接收功率的比例。如下极端情况必须被视为解释性示例：第一节点（a）的训练序列与第二节点（b）的训练序列相比将以大很多的接收功率被接收，例如因为第一节点（a）被定位为与第二节点（b）相比更接近中继器（r）。于是，在没有平衡因子的情况下，和将被第一被加数占优，并且攻击者可能将该和用作用于确定的合适的估计值，以便攻击方法（10）。

此外，当第一节点（a）发送其训练序列时，如果第一节点（a）和第二节点（b）处于直接的无线电作用半径内，则第二节点（b）可以估计第三信道（hab）。类似地，第一节点（a）在第二节点（b）发送时进行处理，使得如果第一信道（har）不是静态的并且因此可用于密钥产生，则可以附加地将第三信道（hab）用于密钥产生。通过所述措施，密钥产生速率可以再次被提高。

替代地，可以在该第二实施方式的所有变型方案中根据为第一节点（a）、第二节点（b）和中继器（r）所知的第一信道（har）、第二信道（hbr）或第三信道（hab）生成对于这些方而言共同的组密钥。

在适合于两种实施方式的修改方案中，中继器（r）将接收信号中的至少一个数字化，并且将其以上面所示出的方式叠加，并且发送训练序列。紧接着，中继器（r）使用已知的标准数据传输方法，以便将数字化的和信号以及值α和β实际上无损地传输给第一节点（a）和第二节点（b）。所发出的训练序列可以形成该数据传输的一部分。替代地，该传输也可以明显地在信道相干时间和信道相干带宽之外进行。由此，第一节点（a）和第二节点（b）通过测量获得值或，以及通过实际上无错误的数据传输获得现在不受干扰的和信号，并且可以如上面所描述的那样进行处理。在这种情况下，第一节点（a）和第二节点（b）接收相同的数字化的值作为和：

因此第一节点（a）和第二节点（b）在上面所作出的假定下通过从和中简单地减去自己的测量来获得相互的信道。

在另一实施方式中，中继器也可以根据接收信号估计（和）信道，并且利用该信道代替接收信号如上面所描述的那样进行处理。