数据网络中的网络节点的通信的制作方法

本发明涉及一种用于在数据网络中的网络节点和通信伙伴之间建立通信连接的方法，所述网络节点经由无线接口从通信伙伴接收至少一个消息，并且所述消息添加了验证数据。

背景技术：

近来各种不同的设备配备了无线连接、如通过无线电连接实现无线连接的可能性。为了减轻用户设置数据网络的通常繁琐的工作，这些设备通常可自动与其它兼容设备建立通信连接，使得一旦这些设备工作并且处于相互的接收范围内，这些设备中的一些就形成ad-hoc(自组织)网络。来自用户区域的这种网络的示例是智能手机例如通过已知的蓝牙标准自动连接到车辆的音频系统，以便例如将音频系统用作机动车免提通话系统。在被称为“物联网”的开发过程中，这种能力扩展到日常使用的其它物体，使得例如家用物品、智能手机、高保真音响设备、房屋设备、传感器、例如用于空调的控制设备和类似设备能够彼此通信，而用户不必意识到这点。

虽然这可为用户带来巨大的好处，但例如黑客攻击形式的滥用可能性随着扩展的网络而大大增加。物联网(iot)与无线通信相结合的风险在于攻击者可通过使用伪造身份与技术系统进行通信并且可能由此获得对数据的未授权访问、或激活功能、或进行未经授权的更改(安全漏洞)。因此在自动建立数据通信之前，每个设备都必须确保通信伙伴是可信任的。

在本发明公开的范围中，这种可信任性的确定或检查概括称为“验证”。验证过程例如可包括检查通信伙伴是否是同一系统的一部分。在上述示例中该系统例如可包括一辆车中的所有通信伙伴，在此必须排除车辆之外或相邻车辆内的设备被连接到ad-hoc网络中。目前验证大多“手动”进行，其方式例如为：在车辆系统和智能手机之间的连接建立之前请求智能手机的用户输入车辆显示器上显示的代码。

安全考虑也是在工业领域和具有增加的安全要求的系统领域中使用自动通信设备可能存在问题的原因。因此，在此也必须由用户定义各个设备之间的数据通信授权。在更高的安全要求下也可加密地建立连接，在此尤其是加密密钥的交换易于受到攻击。

通过使工业应用中的测量设备、如测试台中的测量设备能够通过ad-hoc建立的无线通信彼此连接并交换数据(必要时独立于测量数据向自动化系统的实际传输)，可实现附加特征并为用户带来附加利益。除了上面提到的安全考虑之外，必须确保设备实际上用于同一测试台，因为无线通信也可跨空间边界进行并且因此到达非关联设备(如安装在相邻房间中的另一试验台上的设备)。还必须确保通信伙伴可以信任，即它确实是有效测量设备，并且它不是由未授权的、位于同一房间或相邻房间中的和/或隐藏设备伪装的。如果测试台被租给不同公司，使得竞争对手可在相邻房间同时进行测试，则这些安全预防措施可能特别重要。即使在无线传感器网络(在该无线传感器网络中测量数据无线地传输到自动化系统)中也会出现这个问题。因此当前必须手动、例如由测试台技术人员配置设备与特定测试台或测试件的关联性。这例如可通过输入序列号或公开其它特征来完成或者也可包括其它不完全自动化的动作。通过该手动过程可认为在该过程中输入人员也已经检查了设备的真实性，在此也存在安全风险。该过程目前不能完全自动化并且事后不可检查真实性说明中的错误。

与上述安全问题相关的另一种应用情况是前面提到的、分布在车辆中的(无线)协作系统(控制设备、传感器等)的联网，无论是结合用于测试目的的移动测量系统还是用于批量生产的车辆。

技术实现要素：

本发明的任务在于更安全且同时更简单地建立ad-hoc网络的连接，在此尤其是应避免上述现有技术的缺点。

根据本发明，所述和其它任务通过开头所提类型的方法来解决，其中验证数据包括发射器测量数据图像，该发射器测量数据图像表示由通信伙伴在先前的记录周期中获取的测量数据，网络节点通过基于网络节点已知的和/或由通信伙伴向网络节点传送的相关性将在接收到的验证数据中包含的发射器测量数据图像与接收器测量数据图像比较来验证通信伙伴，所述接收器测量数据图像独立于发射器测量数据图像被创建并且存储在网络节点的数据存储器中。这允许网络节点自动检测并验证通信伙伴，而无需额外的手动交互。参与设备在此具有共同的同步时间信息，这例如可通过接收无线电时钟信号或通过本地无线发送的时间戳来确保。根据本发明可区分通信伙伴是否仅伪装属于相同的测量环境还是它实际存在。

根据本发明的方法例如可用于车辆中。该方法例如可检测用户的智能手机是否在车辆中并且随车行驶。仅在“随车行驶”的情况下(例如通过蓝牙)建立可信连接。更大环境中的应用、例如用于识别并且可靠认证通过v2v(c2c)通信的车辆以及将自身车辆与周围环境关联也可使用根据本发明的方法。

接收器测量数据图像例如可由网络节点作为自身采集测量数据的代表而创建，这要求网络节点具有测量数据采集装置，例如当网络节点是测量设备时。但接收器测量数据图像也可以是由网络节点创建的测量数据图像，其基于已经被归类为可信第三方获得的测量数据生成。这种情况例如可以是：网络节点是接收和存储多个测量设备的测量数据的自动化系统。

根据本发明网络节点和通信伙伴可以是测量环境中的彼此独立的测量设备或自动化系统。这例如允许参与测试台测量的单个制造商的所有设备能够在ad-hoc网络中彼此通信并且根据不同的设备组合提供附加功能。通过基于测量过程的验证，确保实际仅将在相同测试台上工作的设备关联在一起。当其它测量设备(如来自第三方制造商)连接到测试系统中或者使用不支持这种ad-hoc网络结构的自动化系统时，也可在相应设备之间建立通信。

根据本发明网络节点可以有利的方式基于发射器测量数据图像创建用于与通信伙伴进行加密通信的加密密钥。在此网络节点可使用由通信伙伴传送的发射器测量数据图像的数据。

另一方面，如果网络节点使用存储的测量数据来创建加密密钥，则可避免传输加密信息。因此，网络节点可以有利地基于接收器测量数据图像创建用于与通信伙伴进行加密通信的加密密钥。例如网络节点可确定在接收器测量数据图像中的与发射器测量数据图像相对应的时间周期并且基于接收器测量数据图像的时延的时间周期创建加密密钥。通信伙伴基于发射器测量数据图像的同样的时延的时间周期来创建加密密钥。因此，加密数据传输仅在发射器测量数据图像和接收器测量数据图像彼此相对应、即基于在同一测试台上的测量产生时才进行，且在此不必通过数据网络传输加密密钥的数据库。

术语“加密密钥”在本发明的范围中概括用于加密密钥，与它是用于加密还是解密消息无关并且与它涉及对称还是非对称的加密方法无关。

可基于网络节点和通信伙伴之间已知的相关性来计算接收器测量数据图像和发射器测量数据图像之间的差异。该相关性例如可以是时间延迟或正放大或负放大，其可简单地计算出。但如果已知网络节点和通信伙伴的属性，则也可考虑更复杂的相关性。可选地，使用网络节点和通信伙伴的系统的参数也可用于确定相关性。在测试台的情况下例如可考虑测试件和/或测功机的功率数据和/或材料数据。相关性例如可通过系统结构产生。例如在变速器中驱动转速与输出转速通过传动比相关。

在一种有利实施方式中，网络节点可在验证通信伙伴之后基于所述相关性创建至少一个虚拟网络节点。当例如可从第一测量值和第二测量值计算出第三测量值时，网络节点(其例如测量第一测量值)可利用与通信伙伴(其例如测量第二测量值)的通信来实时接收通信伙伴的测量数据、由此计算第三测量值并将第三测量值提供给自动化系统。自动化系统可在自身的通道中进一步处理第三测量值的数据，仿佛虚拟网络节点是真正的测量设备。如果网络节点是自动化系统，则其也可基于通信伙伴或多个通信伙伴的一个或多个测量值创建第三测量值。

在一种优选实施方式中，数据网络可以是ad-hoc网络。ad-hoc网络是指在不通过用户配置的情况下由参与设备(或网络节点和通信伙伴)——一旦这些设备位于其无线接口的作用范围内——自动建立的数据网络。与此不同，也可通过用户进行的定义以传统方式建立数据网络。根据本发明的方法可提供附加的安全级别。

另一方面本发明涉及一种网络节点，其包括至少一个测量值换算器、至少一个无线接口、至少一个处理器单元和至少一个数据存储器，在网络节点中实现可由网络节点执行的程序逻辑，并且所述网络节点在执行程序逻辑时实施上述根据本发明的方法。网络节点在此可以是适合于建立ad-hoc网络的任何设备。测量值换算器可以是传感器或其它生成测量数据的单元。对于移动应用，测量值换算器例如可以是用于确定位置坐标、尤其是用于确定地理坐标的传感器、如gps芯片。

有利的是，网络节点可以是用于测量环境的测量设备。在本发明的范围中“测量环境”是指为测试任务和/或分析任务和/或控制任务定义的区域、如移动或位置固定的实验室、移动或位置固定的测试台、飞机、陆地车辆和/或船只或概括来说不动产或地形区域。

在另一种有利实施方式中网络节点可以是用于发动机测试台的测量设备或自动化系统。

附图说明

下面参考图1至4详细阐述本发明，附图示例性、示意性且非限制性地示出本发明的有利实施方式。附图如下：

图1示出使用根据本发明的方法的ad-hoc网络的示意图；

图2示出实施根据本发明的方法的发动机测试台的示意图；

图3示出测量信号和由其导出的测量数据图像的图解比较；并且

图4示出多个测量信号的图解比较。

具体实施方式

图1示意性示出测量环境13，其中设置有多个测量设备11，它们可分别通过无线接口3彼此交换数据。每个测量设备11具有测量值换算器2、数据存储器5和处理器单元4。时间信号发生器15向所有测量设备11提供一致的时间信息，使得测量设备11可根据需要为存储在数据存储器5中的数据设置相对应的时间信息。时间信号发生器15可本地无线地发送时间戳。作为替代方案，可为测量设备11的同步而使用无线电时钟信号。

为清楚起见，下面尤其是参考在测试台环境中根据本发明的方法和装置的实施，但技术人员能够毫无问题地将本文公开的教导也应用于其它应用情况。应用情况尤其是指这样的系统，其中多个设备能够建立并使用ad-hoc网络。

在图1中三个测量设备11设置在测量环境13的区域中，这些测量设备分别通过测量值换算器2生成测量数据7并将测量数据存储在数据存储器5中和/或通过任意数据连接发送到自动化系统。测量数据可通过无线接口3或通过其它(图1中未示出的)数据连接进行传输。

另外，测量设备11能够相互通信并且因此建立ad-hoc网络。该ad-hoc网络(图1中作为数据网络6示意性示出)例如可包括测量环境13中的一个制造商的所有设备，它们的程序逻辑支持根据本发明的方法。不支持ad-hoc网络的旧测量设备11或不应参与ad-hoc网络的其它制造商的部件仍可纳入到测量环境13中，但在建立ad-hoc网络时不予考虑。

下面针对网络节点1描述两个测量设备11之间的连接建立，所述网络节点与通信伙伴10建立通信连接。网络节点1和通信伙伴10在所示情况下都是测量环境13的测量设备11。

在本说明书的范围中，术语“网络节点”和“通信伙伴”仅用于说明的清楚性和设备的可辨别性并且不具有功能差异。根据观察方式ad-hoc网络中的每个设备可被看作是网络节点1或通信伙伴10。尝试证实自身为可信设备的设备在本说明书的范围中被称为通信伙伴10，并且验证通信伙伴10的设备被称为网络节点1。

所有测量设备11连续地将由其测量值换算器2记录的测量数据7的测量数据图像存储在其数据存储器中，下面将通信伙伴的测量数据图像称为发射器测量数据图像8并将网络节点1的测量数据图像称为接收器测量数据图像8'。测量数据图像因此表示测量数据的分布并且可在可定义的时间段(如最后一小时)内存储在数据存储器5中。

测量设备11可通过已知协议连续识别其它位于无线电作用范围内的设备并且基于已知算法决定是否应与找到的设备建立连接。

在所示情况下，通信伙伴10尝试与网络节点1建立连接。为了向网络节点1证实自身为可信设备，通信伙伴10通过无线接口3发送消息m，该消息被网络节点1接收。在消息m中包含验证数据9，该验证数据是发射器测量数据图像8的局部区域，该区域通过当前时间(如测量的最后2秒)定义和/或可借助注明时间来标识。消息m还可包含通常的包数据信息以及例如关于通信伙伴10的信息。时间段也可基于测量过程中的特定典型“事件”来确定、如负载变化，其必然以可比较的方式影响两个测量设备11的测量数据7的分布。

网络节点1从关于通信伙伴10的信息获得在接收到的发射器测量数据图像8与存储在其数据存储器中的接收器测量数据图像8'之间的相关性。该相关性被用于发射器测量数据图像8，以便确定接收器测量数据图像8'中的相应区域(或反之亦然)并比较这两个测量数据图像。如果两个测量数据图像匹配，则证明通信伙伴10与网络节点1位于相同的测量环境13中并且因此可被视为是可信的。因此可在该肯定验证之后建立与通信伙伴10的连接以便进行进一步的数据交换。网络节点1当然也可类似的方式向通信伙伴10证实自己是可信设备。

可想到，攻击者截获这种数据交换并再次使用传输的测量数据图像以伪装假身份(重放攻击)。可通过例如允许特定时间周期的测量数据图像仅被使用一次，即被传输一次之后不再被在网络中的节点接受第二次来防止这种情况。另一种措施是网络节点在握手过程中首先要求一个特定的、过去的时间周期(通信伙伴必须提供针对该时间周期的数据)，并且对于每次新的交换而言该时间周期是新的(例如随机的)。

必要时连接可以已知方式进行加密，以防止通信被截获。必要时可基于测量数据图像8实现加密密钥。由于已经借助在验证数据9中被传输的测量数据图像的区段确定了测量数据图像相关，因此可基于测量数据图像的另一(未传输的)时间范围创建加密密钥，其中，网络节点1基于接收器测量数据图像8'创建加密密钥并且通信伙伴10基于发射器测量数据图像8创建加密密钥。这种在双方生成相同代码而该代码不必在两个通信伙伴之间传输的可能性能实现非常安全的加密机制。

在建立安全连接时还必须考虑到这种一开始需要的测量数据交换不能已经导致攻击，例如通过在此仍采取不信任行动，即仅提供尽可能小的功能子集——类似于防火墙中的“最大保护”设置。本地可用数据的比较也必须为(可信/不可信)决定提供充分的基础，例如通过在足够长的时间上使用足够可变且不可预测的测量信号。确保通信伙伴尚未被损害也很重要。这种情况例如可以是正常授权的本地现有系统已经被黑客攻击并且因此攻击者不仅知道而且已经控制这些仅本地可用的信息。如果满足这些前提，则可实现非常高的安全标准。

图1中示出另一测量设备11'，其位于测量环境之外，但仍处于数据网络6的无线电作用范围内。所述另一测量设备11'例如可以是设置在相邻房间中的另一测试台上的设备。但也可以是隐藏设备，其尝试对数据网络6进行黑客攻击。但在这两种情况下网络节点1在所述另一测量设备11'尝试建立连接时都不会验证它，因为其测量数据分布相应于另一测量环境并且因此测量数据图像8也不匹配。

图2示出根据本发明的方法在发动机测试台14上的实现。在发动机测试台14上设置测试件16、如内燃机或电动机(其必要时与传动系连接)，该测试件与测功机17连接。在该测试系统中以传统方式设置多个测量设备11a-11d，其测量由自动化系统12评估。自动化系统12也调节用于测试件16和测功机17的规定值。

测量设备11a-11d在特定时间(如几个小时)内周期性地从其测量值换算器(或传感器)获取数据并将这些数据作为时间序列(具有同步时间信息，见上文)存储在其内部数据存储器5中。为了节省存储空间，可进行有效数据减少。例如可检测特定变化(测量值中的侧面，“事件”)并且可仅存储该事件的简要描述。

由于测试台上的不同测量设备11a-11d观察同一测试系统，因此它们必然已经检测到时间相关的事件或其对相应测量参数的影响。在一般情况下可认为，这些测量设备以特定距离彼此位置靠近地以可比较的方式在可比较的时间检测特定的物理过程。

例如在发动机起动时测功机测量识别到转速和扭矩的变化，废气测量识别到nox的增加，燃料消耗测量识别到每单位时间燃料量的变化，并且气缸上的温度测量识别到(可能延迟的)温度上升。这些相关性或者已经基于相应测量传感器的属性已知或者可针对测试台确定。

每个测量设备11a-11d将此类“事件”存储在内部存储器中。在存在特定数量的这类事件之后能够以特定概率认为：在考虑物理条件(定义的延迟时间，物理量的关系等)的情况下如果特征细节(时间、持续时间、形状......)匹配，这些是相同的事件并且因此观察的是同一测试件。观察时间越长，参与设备收集的“共同历史”就越多并且在匹配情况下就越确定它们是同一测试台上的测量设备。

为了相对于另一设备验证、即“证实”一个设备，该共同知识可作为关联性的证据被提交，如上所述。

如果该知识未以纯文本形式、而是密钥加密地向外发出，则只能推断在设备中存在该知识，然而该知识不能被第三方重新调整。因此不能或很难在没有实际共同测量的情况下进行伪造。因此，除了“测量设备在同一测试件上”的信息之外，还可检测“测量设备实际是真实的测量设备”。

基于两个或多个测量设备11的测量数据7的组合，在某些情况下可实时计算第三测量值。这允许产生“虚拟测量设备”，如图2所示的虚拟测量设备11e，其测量数据7基于两个测量设备11a和11b的测量产生。

作为实践示例测量设备11a例如可测量供应给测试件16的燃料量并且测量设备11b可测量供应的空气量。据此，可通过已知关系确定废气量的值。因此，当两个测量设备11a和11b在ad-hoc网络中彼此通信时，该废气量的值可作为虚拟测量设备11e的测量数据7提供给自动化系统12。如果自动化系统12也连接到ad-hoc网络中，则虚拟测量设备也可由自动化系统12创建。其它测量设备11c和11d也可连接到ad-hoc网络中或可以是旧设备或其它制造商的设备，它们可完全正常使用。

图3示例性示出由测量设备11记录的测量数据7与基于测量数据7创建的测量数据图像8之间的关系。在所示情况下，测量数据图像8具有比测量数据7低的数据密度，例如通过使用较低的采样率或通过使用其它无损或有损的数据压缩方法。但数据密度选择得足够高，以便也能够在测量数据图像8中识别影响测量数据7分布的特定事件。事件例如可借助正和/或负峰值和/或侧面区域的斜率来识别。从测量数据图像8中选择的区域(在初始时间t1和结束时间t2之间)可用作验证数据9。因此验证数据9相应于特定时间范围(规定时间范围)内的测量数据图像8。

但也可以其它方式创建验证数据9，例如特定时间范围内的每两个峰值之间的距离可用作数据序列以创建验证数据9。在此情况下验证数据9也相应于测量数据图像8。但验证数据也可基于测量数据图像8的其它特征、如斜率曲线、零点等。在任何情况下验证数据分别包含测量数据图像8的至少一部分数据。验证数据9也可加密。

必要时也可基于从测量数据图像8确定的数据序列生成上面结合图1的说明提到的加密密钥。

图4示出三个测量数据图像8、8'和8”的分布，它们可由传感器网络的三个测量设备11生成。三个测量设备11在图4中被称为节点s1、s2和s3。测量数据图像8、8'和8”可以是(如图3中所解释的)基于相应测量数据7创建的、具有减小的数据率(datarate)的数据曲线或其可相应于测量数据7。

在所示示例中，节点s1和s2测量相同的过程，即它们两个的观察相关。因此，s1和s2的测量数据7的分布匹配，在此s2相对于s1以偏移δt在时间上延迟。但在这两个测量数据分布之间也可存在任何其它可识别的相关性，例如仅“轻微的”相关性，其例如在发动机中的不同位置上测量振动时产生。

节点s3测量另一过程，因此与s1和s2没有相关性。

如果现在节点s1想与节点s2建立通信(例如通过如上所述发送消息m)，则其可通过将测量数据图像8的一个区段添加到该消息m中来证实其合法性。所述区段构成图4中所示的验证数据9。

基于s1和s2之间的相关性，s2在其自身的测量数据图像8'记录中找到区段9'，其相应于接收到的验证数据9。在图4的显示中接收器测量数据图像8'仅相对于接收器测量数据图像8时移，在其它方面数据分布是一致的。但也可能存在更复杂的相关性，s2可从中推断s1在相同的过程上测量并且因此不仅位置靠近，而且也是可信任的。

接下来例如建立加密的、可信任的通信。对过程历史的部分的认识用作身份证明。因此可代替如在可信网站(https)中使用的其它机制、如证书。这具有不需要复杂(通常需要用户干预)的证书管理的优点。

必要时节点s2也可反向向s1发送(另一周期的)数据，以便也向s1确认s2是合法的通信伙伴。

附图标记列表

1网络节点

2测量值换算器

3无线接口

4处理器单元

5数据存储器

6数据网络

7测量数据

8发射器测量数据图像

8'接收器测量数据图像

9验证数据

10通信伙伴

11测量设备

12自动化系统

13测量环境

14发动机测试台

15时间信号发生器

16测试件

17测功机