CN107836095A - 用于在网络中产生秘密或秘钥的方法 - Google Patents
用于在网络中产生秘密或秘钥的方法 Download PDFInfo
- Publication number
- CN107836095A CN107836095A CN201680042599.2A CN201680042599A CN107836095A CN 107836095 A CN107836095 A CN 107836095A CN 201680042599 A CN201680042599 A CN 201680042599A CN 107836095 A CN107836095 A CN 107836095A
- Authority
- CN
- China
- Prior art keywords
- participant
- value sequence
- verification
- sequence
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0875—Generation of secret information including derivation or calculation of cryptographic keys or passwords based on channel impulse response [CIR]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Abstract
提出一种用于在网络(20)中生成秘密或秘钥的方法。在此,所述网络(20)具有至少一个第一参与者(21)和至少一个第二参与者(22),所述网络具有在所述至少一个第一参与者(21)和所述至少一个第二参与者(22)之间的共同的传输信道(30)。所述第一参与者(21)能够将至少一个第一值(1)和至少一个第二值(0)提供到所述传输信道(30)上,并且所述第二参与者(22)能够将所述至少一个第一值(1)和所述至少一个第二值(0)提供到所述传输信道(30)上,其中所述第一参与者(21)引起第一参与者值序列并且所述第二参与者(22)引起第二参与者值序列用于在所述传输信道(30)上的相互在很大程度上同步的传输,并且其中,所述第一参与者(21)基于关于所述第一参与者值序列的信息以及基于由所述第一参与者值序列与所述第二参与者值序列在所述传输信道上的叠加得出的叠加值序列,并且所述第二参与者(22)基于关于所述第二参与者值序列的信息以及基于由所述第一参与者值序列与所述第二参与者值序列在所述传输信道上的叠加得出的叠加值序列分别生成一个共同的秘密或共同的密钥。至少所述第一参与者(21)或所述第二参与者(22)根据得出的叠加值序列确定校验值序列,并且将所述校验值序列提供到所述传输信道(30)上。
Description
技术领域
本发明涉及一种用于在网络中产生秘密的、加密秘钥的方法,尤其在所述网络的两个参与者中产生共同的秘密秘钥。点到点(Punkt-zu-Punkt)连接通常也属于网络,并且因此在此同样借助术语来编址。在此,这两个参与者通过共同使用的传输介质来通信。在此,逻辑比特序列(或者一般的值序列)通过相应的传输方法作为信号或信号序列来物理传输。所基于的通信系统例如可以是CAN总线。CAN总线设置显性比特的和隐性比特的或相应显性的信号和隐性的信号的传输,其中,网络参与者的显性的信号或比特相对于隐性的信号或比特得以实现。仅仅当所参与的所有参与者设置隐性的信号用于传输或者仅仅当同时进行发送的所有参与者传输隐性的信号电平的时候,才在传输介质上设定相应于隐性的信号的状态。
背景技术
在不同设备之间的安全的通信在越来越多地联网的世界中变得越来越重要并且在许多应用领域中是相应的应用的可接受的并且也是经济上成功的重要前提。这视应用而定包括不同的保护目的,例如待传输的数据的机密性的维护,所参与的节点的相互认证或数据完整性的保证。
为了达到这些保护目的,通常使用合适的加密方法,所述加密方法一般可以划分成两个不同的类别:一个类别是对称方法,其中,发送方和接收方拥有相同的加密秘钥,另一个是不对称方法,其中,发送方以接收方的公共的(也即对于潜在的攻击者可能已知的)秘钥对要传输的数据进行加密,但解密仅仅能够借助所属的私人密钥实现,所述私人密钥理想地仅仅对于接收方是已知的。
不对称的方法尤其具有以下缺点,他们通常具有非常高的计算复杂性。因此,他们仅仅受限地适合用于资源有限的节点,例如传感器、执行器,等等,所述节点通常仅仅拥有相对低的计算功率以及小的存储器并且应高能效地工作,例如基于电池运行或能量收集(Energy Harvesting)的应用。此外,通常仅仅有限的带宽可供使用用于数据传输,这使得具有2048Bit或还更长的长度的不对称的密钥的交换无吸引力。
而在对称的方法中必须确保:不仅接收方而且发送方拥有相同的秘钥。在此,所属的秘钥管理一般是要求非常高的任务。在移动无线电领域中,秘钥例如借助SIM卡引入到移动电话中并且所属的网络然后可以给IM卡的唯一的标识分配相应的秘钥。而在无线局域网的情况下,通常在建立网络时实现待使用的密钥的手动输入(通常通过密码的输入)。然而,当具有非常大数目的节点时、例如在传感器网络或其他的机器到机器通信系统中、例如也在基于CAN的车辆网络中,这样的密钥管理快速地变得非常耗费并且不实用。此外,待使用的秘钥的变化经常完全不可能或仅仅以非常大的耗费才可能。
例如在DE 102009002396 A1和102009045133 A1中公开了用于例如在机动车中借助通用的加密方法保护传感器数据以防纂改的方法和交易认证的保证。
此外,一些时间以来,在关键字“物理层安全性”下研究和开发了新型的方案,借助所述方案能够自动地基于在所涉及的节点之间的传输信道的物理特性来产生针对对称方法的秘钥。在此,充分利用传输信道的相互关系和固有的随机性。然而,尤其在有线连接的或光学的系统中,该方案经常仅仅有条件地适用,因为相应的信道通常仅仅具有非常有限的时间可变性,并且攻击者例如可以借助模型形成(Modellbildung)相对好地得出关于在发送方和接收方之间的信道参数的结论。这样的用于在分布式系统中基于所连接的单元的信道特性的经保护的通信的方法例如在未在先公开的申请DE 10 2014 208975 A1以及DE10 2014 209042 A1中描述。
用于在控制器区域网络(CAN)中和在CAN-FD中进行校验和计算的方法在DE 102011 080476 A1中可得出。
非在先公开的DE 10 2015 207220 A1公开了一种用于借助于在两个通信参与者之间的公开的讨论来产生共同秘密或秘密的、对称的秘钥的方法。
发明内容
用于生成秘密或加密的密钥的方法不需要手动干预,并且因此能够实现在两个节点之间的安全的通信关系的或通信连接的自动化结构。此外,所述方法具有非常低的复杂性、尤其在所需要的硬件设计方面,例如在所需的存储器资源和计算功率方面,并且所述方法伴随低的能量需求和时间需求。此外,所述方法提供在非常小的错误概率的情况下同时非常高的密钥生成率。
在此,所述方法从以下出发:参与者在网络中通过通信信道相互通信。在此,参与者尤其借助物理信号在传输信道上传输逻辑值序列(如果涉及二进制逻辑电路,比特序列)。即使发生信号的在传输信道上、即在物理级(physikalischen Ebene)上的可能的叠加,仍在说明书中在下面优先考虑逻辑级。因此考虑所传输的逻辑值序列以及逻辑值序列的逻辑叠加。
网络的参与者因此能够提供第一信号(所述第一信号例如分配给逻辑比特“1”)和第二信号(所述第二信号例如分配给逻辑比特“0”)到通信信道上,并且探测通信信道上的得出的信号。如果现在两个参与者(在很大程度上)同时地传输各一个信号序列,则参与者可以探测到通信信道上的由所述信号序列产生的叠加。在通信信道上的由两个(独立的)信号的(很大程度上)同时的传输所产生的有效的信号然后又可以分配给一个(或多个)确定的逻辑值(或值)。
在此,所述传输必须在如此大程度上同步,使得实现在传输介质上一个信号序列的各个信号的叠加,尤其使得相应于第一参与者的第n个逻辑值或比特的信号与相应于第二参与者的第n个逻辑值或比特的信号至少部分地叠加。该叠加应当分别对于此是充分地长的,使得参与者能够检测叠加或求取相应的叠加值。
在此,所述叠加可以通过仲裁机制或通过物理的信号叠加来确定。借助仲裁机制例如指以下情况,一个节点要施加隐性的电平,但在总线上探测到显性的电平并且因此放弃传输。在这种情况下不发生两个信号的叠加,而是在传输信道上仅仅可以看到显性的信号。
于是参与者可以从所述叠加的得出的值序列和各自的值序列生成秘钥,所述秘钥相对于局外的攻击者是秘密的。其原因是,局外的攻击者——其例如可以窃听附在共同使用的传输介质上的有效的总信号——仅仅看见值序列的叠加,但不具有关于参与者的各个值序列的信息。因此,参与者具有更多信息,所述参与者可以利用所述信息来生成秘密的秘钥以防攻击者。
在用于借助公开的讨论在充分利用PHY层特性的情况下生成共同的秘密或对称的加密秘钥的方法的范围中,现在应确保,所述方法不导致校验值错误或校验和错误(例如在循环冗余校验的范围内),只要所使用的消息格式规定相应的校验值的或校验和的传输。对此,所参与的网络参与者的至少一个网络参与者在共同的通信信道上传输校验值序列——然而所述网络参与者不是基于由参与者传输的信息(或值序列)而是基于在连接的通信信道上探测的叠加值序列生成所述校验值序列。这尤其有助于:提高秘钥设立方法相对于现今已经可用的标准部件(硬件/软件,例如CAN控制器)的兼容性。
除了避免了校验值序列错误或校验和错误,借助所述方法能够实现检查:所探测的或所提取的、用于待生成的秘钥的原始信息在所涉及的参与者中(具有高的概率地)是否相同,从而必要时可以节省用于单独的检查的附加开销。该检查尤其可以通过以下方式来实现,即将在通信信道上的所探测的校验值序列与自身求取的校验值序列进行比较。
校验值序列优选地直接在叠加值序列之后传输,如果进行传输的参与者对于此有能力。否则可以在一种替代的构型中,也以与叠加值序列的预先确定的间距地传输校验值序列。该变型方案具有以下优点:参与者具有更多的时间用于计算校验值序列,并且因此存在对参与者的构型的较低要求并且所述方法是较不容易出错的。
为了不允许共同的秘钥的减弱,(对于攻击者也可见的)校验值序列应当优选地不考虑用于共同的秘钥的生成。
特别有利地,所述方法可以应用在以下网络中:在所述网络中具有显性的值(物理上:显性的信号)和隐形的值(物理上:隐性的信号),当仅仅一个参与者在传输信道上施加显性的信号时该信号才得以实现,仅仅当两个或所有参与者传输隐性的值时,才在传输信道上得出隐形的值。基于借此清楚地预给定的叠加规则,这样的网络的参与者可以从得出的叠加序列特别简单地导出信息用于密钥生成。
由参与者很大程度上同时提供到传输信道上的参与者值序列事先在相应的参与者自身中借助随机发生器或伪随机发生器来产生。因为得出的叠加序列在传输信道上可能对于潜在的攻击者是可接近的,所以对于稍后的通信的安全性特别有利的是,当参与者的各个值序列在参与者中局部地以及随机地或至少伪随机地被产生的时候,对于攻击者尽可能难以推断出参与者的各个值序列。
所描述的方法能够特别好地在CAN总线系统、TTCAN总线系统或CAN-FD-总线系统中实现。在此,通过显性的总线电平抑制隐性的总线电平。参与者的值或信号的叠加因此遵循确定的规则,参与者可以利用所述规则来从经叠加的值或信号和由参与者传输的值或信号中导出信息。所述方法也良好地适用于另外的通信系统如LIN和I2C。
但可替代地,所述方法例如也可以应用在具有开关键控-振幅键控(On-Off-Keying-Amplitudenumtastung)的网络中。在此,同样确定叠加,其方式是,对于参与者“传输”和“无传输”可作为信号来选择,并且当所述参与者中的一个或两个进行传输时,叠加信号相应于信号“传输”,并且当两个参与者不传输时,叠加信号相应于“无传输”信号。
在网络中对于两个参与者描述了所述方法,然而也可以已经通过网络参与者从自身的信号序列以及从所述自身的信号与第二参与者的信号序列的叠加导出秘密的密钥。网络或网络的参与者设立用于此,其方式是,他们具有用于实施相应的方法的步骤的电子的存储器资源和计算资源。在这样的参与者的存储介质上或在网络的分布式的存储器资源上也可以存储有计算机程序,使得对于此设立,当在参与者中或在网络中执行相应的方法时实施所述方法的所有步骤。
附图说明
下面参考附图并根据实施例更详细地描述本发明。在此:
图1示意性地示出示例性的所基于的通信系统的结构,
图2示意性地示出线性的总线作为所基于的通信系统的示例,
图3示意性地示出网络的两个参与者的示例性的信号序列,以及在参与者之间的传输信道上的得出的叠加值序列,
图4示意性地示出用于在网络的两个参与者之间的密钥生成的示例性方法的流程,
图5示出所谓的基础帧格式中的CAN数据电报,以及
图6示出在所探测的和所计算的校验值序列之间的比较的示例性流程。
具体实施方式
本发明涉及用于生成在通信系统的两个节点(网络的参与者)之间的共同的秘密或(秘密的)对称的加密秘钥的方法,所述节点通过共同使用的介质(网络的传输信道)相互通信。在此,加密秘钥的生成或协商基于所述两个参与者之间的公共的数据交换,其中,对于可能的窃听的第三方作为攻击者仍然不能够实现或仅仅能够非常困难地实现:推断出所生成的秘钥。因此,借助本发明可能的是,在网络的两个不同的参与者之间完全自动化地并且安全地设立相应的对称的加密秘钥,以便然后基于此来实现确定的安全功能,例如数据加密。如还详细地描述的那样,对此首先设立共同的秘密,所述秘密可以被考虑用于密钥生成。但这样的共同的秘密也可以基本上出于其他目的而作为严格意义上的加密秘钥来使用,例如作为一次性密码本(One-Time-Pad)。
本发明适合用于有线的或无线的以及光学的多个网络或通信系统,尤其也适合用于这样的网络或通信系统:在所述网络或通信系统中,不同的参与者通过线性的总线相互通信并且借助逐比特的总线-仲裁来实现对该总线的介质访问。该原理例如是广泛传播的CAN总线的基础。本发明的可能的应用领域与此相应地尤其也包括基于CAN的车辆网络以及自动化技术中的基于CAN的网络。
本发明描述了一种方案,借助所述方案能够生成网络中的或尤其网络的两个节点之间的自动化地对称的加密秘钥。在此,所述生成在充分利用相应的传输层的特性的情况下来实现。但不同于“物理层安全性”的通用的方案地,对此不分析处理传输信道的物理参数、如传输强度等等。相反,对此具有在所参与的节点之间的公共的数据交换,所述数据交换由于通信系统的特性和/或所使用的调制方法而对于可能的偷听的攻击者而言不能够实现对由此协商的秘钥的推断或充分的推断。
下面考虑一种如在图1中抽象地示出的装置。在此,不同的参与者2、3和4可以通过所谓的共享传输介质(“shared medium”)相互通信。在本发明的一种有利的表现形式中,所共享传输介质相应于线性的总线(有线的或光学的)30,如其示例性地在图2中示出的那样。图2中的网络20由刚好作为共享传输介质(例如作为有线的传输信道)的所述线性的总线30、参与者或节点21、22和23以及(可选的)总线终点31和32组成。
下面,对于不同的节点21、22和23之间的通信假设:所述通信特点在于线性的值和隐性的值的区分。在该示例中,作为可能的值假设比特“0”和“1”。在此,显性的比特(例如逻辑比特‘0’)可以几乎抑制或覆盖同时传输的隐性的比特(例如逻辑比特‘1’)。
这样的传输方法的一个示例是所谓的开关键控(开关键控-振幅键控:On-Off-Keying-Amplitudenumtastung),其中,准确地区分两个传输状态:在第一种情况中(值‘开’或“0”)例如以简单的载波信号形式传输信号,在另一种情况中(值‘关’或“1”)不传输信号。在此,状态‘开’是显性的,而状态‘关’是隐性的。
相应的通信系统——其支持线性比特和隐性比特的区分——的另一个示例是基于逐比特的总线-仲裁的(有线的或光学的)系统,如其例如在CAN总线中应用的那样。在此基本思想同样在于,当例如两个节点同时要传输信号并且所述一个节点传输‘1’,与此相反第二节点发送‘0’时,‘0’“获胜”(即显性的比特),也即在总线上能够测得的信号电平相应于逻辑‘0’。在CAN中,该机制尤其用于可能的冲突的解决。在此,优先传输较高优先级的消息(也即,具有较早的显性的信号电平的消息),其方式是,每个节点在其CAN标识符的传输时逐比特地同时监视在总线上的信号电平。只要该节点自身传输隐性的比特,但在总线上探测到显性的比特,则相应的节点中断其传输尝试以便有利于较高优先权的消息(具有较早的显性的比特)。
显性比特和隐形比特的区分允许:将共享传输介质理解为一种类型的二进制算子(binären Operator),该二进制算子将不同的输入比特(=所有同时传输的比特)借助逻辑与-函数(UND-Funktion)相互连接。
在图3中例如示出,参与者1(T1)如何准备好比特序列0,1,1,0,1用于通过传输信道的在时刻t0和t5之间的发送。参与者2(T2)准备好比特序列0,1,0,1,1用于通过传输信道的在时刻t0和t5之间的发送。借助通信系统的在上面描述的特性和在假设在该示例中比特电平“0”是显性比特的情况下,在总线(B)上可以看到比特序列0,1,0,0,1。仅仅在时刻t1和t2之间以及在t4和t5之间,不仅参与者1(Tl)而且参与者2(T2)设置隐性比特“1”,从而仅仅在此,逻辑与-连接导致在总线(B)上的比特电平“1”。
在充分利用通信系统的传输方法的这些特性的情况下,现在可以实现在相应网络的两个参与者之间的密钥生成,其方式是,参与者在传输介质上探测到所述两个参与者的比特序列的叠加,并且由该信息连同关于自身发送的比特序列的信息产生共同的(对称的)秘密的密钥。
下面根据图4阐述一种示例性的特别优选的实现方案。
用于生成对称的秘钥对的过程在步骤41中由在该示例中两个所参与的节点(参与者1和参与者2)中的一个来开始。这例如可以通过发送专门的消息或专门的消息头来实现。
不仅参与者1而且参与者2在步骤42中首先局部地(也即在内部并且彼此无关地)生成一个比特序列。优选地,该比特序列是作为所述方法的结果所期望的共同秘钥的至少两倍长、尤其至少三倍长。该比特序列优选地分别作为随机的比特序列或伪随机的比特序列、例如借助合适的随机数发生器或伪随机数发生器来产生。
长度20比特的局部的比特序列的示例:
﹒参与者1的所产生的比特序列:
ST1 = 01001101110010110010
﹒参与者2的所产生的比特序列:
ST2 = 10010001101101001011
在步骤43中,参与者1和参与者2相互(在很大程度上)同步地通过共享传输介质(在使用具有显性比特和隐形比特的传输方法的情况下,如先前已经阐述的那样)传输其分别产生的比特序列。在此,可设想用于同步相应的传输的不同可能性。因此,例如要么参与者1要么参与者2可以首先发送合适的同步消息到分别另一节点上,并且在该消息的完整的传输的确定的持续时间之后才接着开始实际的比特序列的传输。但恰恰也可以设想,由所述两个节点之一传输仅仅一个合适的消息头(例如由仲裁域和控制域组成的CAN头),并且在所属的有效载荷-阶段期间,两个节点然后同时(在很大程度上)同步地传送他们的所生成的比特序列。在所述方法的一种变型方案中,参与者的在步骤42中生成的比特序列在步骤43中也可以分布到多个消息上地被传输,例如当这使得需要相应消息的(最大)尺寸的时候。在该变型方案中,又(在很大程度上)同步地实现另一参与者的分布到相应地多的、相应地大的消息的传输。
在共享传输介质上,所述两个比特序列然后叠加,其中,基于具有显性比特和隐形比特的区分的系统的之前所要求的特性,参与者1和参与者2的各个比特产生叠加,在所提到的示例中实际上是与-连接。因此,在传输信道上得出相应的叠加,窃听的第三参与者可能探测到所述叠加。
上面的局部的比特序列的一个叠加比特序列的示例:
﹒传输信道上的有效的比特序列:
Seff= ST1 AND ST2 ( ST1 与ST2 )= 00000001100000000010
不仅参与者1而且参与者2在步骤43的、他们的比特序列的传输期间在并行的步骤44中探测到在共享传输介质上的有效的(经叠加的)比特序列Seff。对于CAN总线的示例,原本也在传统的系统中在仲裁阶段期间使得这通常。
对于具有‘开关键控’的系统(无线的、有线的或光学的),这相应地同样是可能的。在此情况下尤其有利于实际的可实现性的是,在这样的系统中状态‘开’是显性的并且状态‘关’是隐性的(如先前已经描述的那样)。因此,只要一个节点自身已经发送了显性的比特,那么该节点在未测量的情况下也知道“共享介质”上的有效状态是显性的。如果与此相反一个节点发送隐性比特,则该节点首先不容易地认识共享传输介质上的状态,但该节点在这种情况下通过合适的测量确定,该状态看起来如何。因为该节点自身在这种情况下不发送什么,所以所谓的自干扰也没有问题,此外在无线系统的情况下,所述自干扰特别将会使得需要耗费的回波补偿。
在下一步骤45中,不仅参与者1而且参与者2同样又(在很大程度上)同步地传输其初始的比特序列ST1和ST2,但这次不使初始的比特序列反转。在此,相应的传输的同步又可以恰恰通过该方式来实现,如上面描述的那样。在共享的通信介质上然后又将这两个序列相互与-连接。参与者1和2又求取在共享传输介质上的有效的、经叠加的比特序列Seff。
上述比特序列的示例是:
﹒参与者1的经反转的比特序列:
ST1' = 10110010001101001101
﹒参与者2的经反转的比特序列:
ST2' = 01101110010010110100
﹒信道上的有效的经叠加的比特序列
Seff' = ST1' AND ST2' (ST1' 与 ST2' )= 00100010000000000100
不仅参与者1而且参与者2在传输他们的现在经反转的比特序列期间然后又求取在共享传输介质上的有效的、经叠加的比特序列。因此,在该时刻两个节点(参与者1和参与者2)以及可能的攻击者(例如参与者3)认识有效的、经叠加的比特序列Seff和Seff',其中所述攻击者窃听在共享传输介质上的通信。但与攻击者或第三参与者不同,参与者1还认识其初始产生的局部的比特序列ST1,参与者2还认识其初始产生的局部的比特序列ST2。但参与者1又不认识参与者2的初始产生的局部的比特序列,参与者2不认识参与者1的初始产生的局部的比特序列。叠加比特序列的探测又在步骤46中的传输期间实现。
对于这些示例性的实施变型方案替代地,参与者1和参与者2也可以直接与其原始的局部比特序列同时地或者直接在其原始的局部比特序列之后发送其经反转的局部的比特序列,也即步骤45和46与步骤43和44一起进行。在此,原始的和经反转的比特序列可以在消息中、但也可以在不同于部分比特序列的单独的消息中传送。
在步骤47中,参与者1和参与者2现在分别局部地(即在内部)将有效的、经叠加的比特序列(Seff和Seff')连接,尤其借助逻辑或函数将有效的、经叠加的比特序列(Seff和Seff')连接。
针对上面的比特序列的示例:
Sges = Seff OR Seff'(Seff 或 Seff') = 00100011100000000110
在由或连接得出的比特序列(Sges)中的各个比特现在说明:ST1和ST2的相应的比特是相同的还是不同的。如果在Sges内的第n比特例如是‘0‘,则这意味着,在ST1内的第n比特相对于ST2内的相应的比特反转。同样适用的是,如果在Sges内的第n比特是‘1‘,则在SAlice和SBob内的相应的比特相同。
参与者1和参与者2接着在步骤48中基于由或-连接得到的比特序列Sges在其原始的初始的比特序列ST1和ST2中删除在两个序列中相同的所有比特。因此,这导致相应地缩短的比特序列。
针对上面的比特序列的示例:
参与者1的缩短的比特序列:
ST1,v = 01011100101100
参与者2的缩短的比特序列:
ST2,v = 10100011010011
所得出的缩短的比特序列ST1,v和ST2,v现在恰恰相互反转。因此,这两个参与者之一可以通过他的缩短的比特序列来精确地求取以下缩短的比特序列:如该缩短的比特序列在其他的参与者中已经存在的那样。
以如此程度共同地存在的、缩短的比特序列现在由参与者1和参与者2在步骤49中分别局部地以合适的方式来预处理,以便生成所期望的长度N的实际所期望的秘钥。在此情况下,也又具有如何能够实现该预处理的多种可能性。一种可能性是,从共同存在的、缩短的比特序列中选择N个比特,其中,必须清晰定义,应取哪N个比特,例如其方式是,简单地始终选择该序列的前N个比特。同样可能的是,通过共同存在的、缩短的比特序列计算哈希函数,其提供长度N的哈希值。总的来说,预处理可以借助每个任意的线性的和非线性的函数实现,该函数在应用到共同存在的、缩短的比特序列上的情况下返回长度N个比特的比特序列。由共同存在的、缩短的比特序列进行秘钥产生的机制优选相同地存在于两个参与者1和2中并且相应地通过相同的方式来执行。
接着密钥生成地,必要时还可以检验,由参与者1和2生成的秘钥实际上相同。为此,例如可以通过所生成的秘钥计算校验和,并且在参与者1和2之间交换校验和。如果两个校验和不相同,则例如是公开地失败的。在这种情况下可以重复所描述的方法用于密钥生成。
在用于密钥生成的方法的一种优选的变型方案中,可以在不同的运行过程中也首先产生整个系列的所得出的在参与者1和2中分别存在的、缩短的比特序列,然后在由所述比特序列导出实际的秘钥之前将所述比特序列组合成一个唯一的大的序列。这必要时也可以自适应地进行。如果在所描述的程序的一次运行过程之后例如共同的、缩短的比特序列的长度例如应小于所期望的秘钥长度N,则可以通过重新的运行过程例如在实际的秘钥导出之前生成另外的比特。
所生成的、对称的密钥对现在最后可以由参与者1和参与者2结合所设立的(对称的)加密的方法,例如用于数据加密的暗号(Chiffren)来使用。
可能的攻击者(例如参与者3)可能窃听参与者1和参与者2之间的公共的数据传输并且因此如描述的那样获得有效的、经叠加的比特序列(Seff和Seff')的认识。然而,攻击者因此然后仅仅知道,在参与者1和2的局部生成的比特序列中的哪些比特是相同的以及哪些是不同的。在相同的比特的情况下,攻击者此外甚至还可以确定,是涉及‘1’还是‘0’。但对于得出的、缩短的比特序列的(和因此用于密钥生成的基础的)完全认识,攻击者还缺乏关于不相同的比特的信息。为了使对于攻击者而言可能的攻击进一步变得困难,在一种优选的变型方案中附加地移除在参与者1和2的原始的、局部地产生的比特序列中相同的比特值。因此,参与者3仅仅具有完全不用于密钥生成的信息。虽然参与者3知道,相应地缩短的比特序列来源于在参与者1和参与者2的局部的比特序列之间不同的比特。但参与者3不知道,参与者1和参与者2分别发送了哪些比特。
除了关于经叠加的总比特序列的信息,参与者1和参与者2还具有关于分别由他们发送的、局部地生成的比特序列的信息。由相对于跟随仅仅公共的数据传输的参与者3的信息优势导致以下事实:尽管公共的数据传输作为基础,在参与者1和2中生成的密钥仍保持秘密的。
在许多通用的通信系统(例如CAN)中,待传输的消息设有校验和、或者校验值序列(例如循环冗余校验和(CRC)),借助所述校验和或校验值序列,消息的一个或多个接收方可以探测到传输中的可能的错误。在这样的消息帧的典型的结构中,给实际的消息添上、尤其附加相应的校验和或校验值序列。一般地,得出校验和或校验值序列作为待保护的比特的函数。校验和或校验值序列因此保护实际的消息的一部分或完全的实际的消息,其中,校验和域或用于校验值序列的域自身同样可以一同包括在校验和的或校验值序列的确定中,但不是必须的。
特别对于CAN的情况,在图5中示出所谓的基础帧格式的数据电报。在此情况下,校验和域或校验值序列域(循环冗余校验和或CRC)具有15个比特的长度并且保护CAN帧的以下部分:该部分从‘Start of Frame:帧的开始’-比特延伸直至‘Data Field:数据域’的最后一个比特。特别对于循环冗余校验的情况,校验和或校验值序列(CRC)基本上相应于待保护的比特序列与特殊的、预给定的发生器多项式的多项式除法的余数。在(标准)CAN(版本2.0)的情况下,该发生器多项式如下规定:
G(x) = x15 + x14 + x10 + x8 + x7+ x4 + x3 + 1
因此可取得的汉明距离(Hamming-Distanz)是h = 6,从而可以安全地探测到最大5比特差错。
如果现在要使用所提出的方法之一用于生成通信系统的两个参与者之间的共同的、秘密的秘钥,其中设有校验和保护或校验值保护,则在使用标准-消息类型的情况下可能发生相应的校验和错误或校验值错误,在CAN的情况下例如发生“CRC错误”。这然后可能导致,由所涉及的参与者丢弃相应的消息或者由这些参与者或其他的参与者发送特殊的错误消息(“Error Frames:错误帧”)。尤其出于兼容性原因应避免:对于标准-消息类型替代地或附加地引入特殊的新的消息类型。
在应用所描述的密钥生成方法的情况下的潜在的校验和错误或校验值错误归因于,在这些方法中,在第一参与者和第二参与者在步骤43中同时传输的情况下在共同使用的传输介质上的有效的比特或信号电平与两个参与者相关,例如在假设具有隐性比特‘1’和显性比特‘0’的通信系统的情况下,在逻辑级上相应于参与者的两个单个消息的与连接。因为在这种情况下,两个校验和或校验值序列(例如CRC)的逻辑与连接不与基于这些校验和或校验值序列的比特序列的逻辑与-连接的正确的校验和或校验值序列相应,而在共同使用的传输介质上的有效的消息的校验和域的或校验值序列的域的检查将会定期地失败。这又在确定的通信系统中在使用标准-硬件或标准-软件的情况下可能有问题,例如尤其出于以下原因:
1)不仅参与者2而且参与者2可以视通信系统而定地、基于有错误的校验和或校验值序列必要时丢弃有效的信息,而不分析处理内容,所述有效的信息由在共同使用的传输介质上的、分别发送的单个消息的叠加构造。这然后将会使根据所述方法的密钥设立不可能。这种情况尤其在以下情况下是关键的,如果参与者使用标准部件并且立刻由硬件或低级别软件丢弃具有有错误的校验和或校验值序列的帧,而不进行到连接在后的软件部件或硬件部件上的内容的转发和分析处理,所述软件部件或硬件部件必要时实施所描述的用于密钥生成的方法的实际功能性(例如在纯软件解决方案的情况下)。
2)不直接参与秘钥设立的其他参与者也可能探测到,无效的帧通过共同使用的传输介质来传输(在具有无效的校验和或者校验值序列的帧的意义上),并且视通信系统而定地因此向所有参与者发送特殊的错误消息,以便向其他参与者显示该错误消息并且必要时中断另外的消息(消息部分)的传输。这种情况因此当参与者1和2具有特殊的硬件部件或软件部件而其他参与者具有特殊的硬件部件或软件部件的时候自身才会是重要的,其中所述硬件部件或软件部件在秘钥设立的情况下也能应付在共同使用的传输介质上的有效的消息的校验和的或校验值序列的破坏。在这种情况下,不能或仅仅非常受限制地能够有意义地使用所描述的用于密钥生成的方法。
为了避免这点,但仍然最大程度地与已经可用的收发器和控制器兼容,在下面提出一种方案,该方案扩展所描述的方法,使得防止校验和错误和校验值错误并且因此提高秘钥设立方法与现今已经可用的系统和标准部件(例如CAN)的兼容性。此外,该扩展也可以同时用于,确保用于待生成的秘钥的原始信息在所涉及的参与者中以高的概率相同,从而可以节省用于单独的检查的附加的开销。
提出,参与者1和参与者2不单独地对于局部产生的和传输的比特序列计算(和传输)校验和或者校验值序列,而是首先同步地传输实际的比特序列并且求取在共同使用的传输介质上的在此设定的有效的信号电平(=有效比特)。这反正必须在步骤44的范围内进行。接着,两个参与者对于得出的有效的比特序列求取对于所述比特序列适合的校验和或校验值序列,并且然后又同时在一个预给定的域中传输所述校验和或校验值序列。在CAN(见图5)的情况下,例如借助‘数据域’可以同时传输局部生成的(并且在一般情况下不同的)比特序列,并且然后在直接连接到所述比特序列上的CRC-域中动态地传输校验和或校验值序列,参与者1和参与者2分别基于所述校验和或校验值序列有效地求取附在CAN总线上的比特序列。在进一步的描述中,使用术语校验和作为用于校验值序列的示例。
示例:
参与者1的随机的、初始的比特序列:
011010110110101
参与者2的随机的、初始的比特序列:
010100001111011
假设:校验和由2个比特组成,其中,第一比特相应于比特序列的所有奇数位的奇偶校验(即比特1,3,5,...),第二比特相应于比特序列的所有偶数位的奇偶校验(即比特2,4,6,...)。
因此,对于上面的数字示例,作为用于参与者的局部的比特序列的局部的校验和,得到:
参与者1的比特序列的校验和:01
参与者2的比特序列的校验和:11
如果这些校验和分别简单地通过参与者来附加到所属的随机的比特序列上,则得到以下消息(校验和比特是分别加下划线的):
参与者1的比特序列,包括校验和在内:
01101011011010101
参与者2的比特序列,包括校验和在内:
01010000111101111
在各个消息的逻辑与连接的情况下,在传输介质上的有效的比特序列于是看起来如下:
01000000011000101
有效的校验和比特在此又加下划线了。如果与此相反对于有效的比特序列(在无校验和的情况下)单独地求取正确的校验和,则将得到序列‘00’,这明显完全不等于加下划线的值‘01’。如先前描述的那样,这将导致:丢弃在传输介质上的有效的比特序列和/或一些参与者基于受破坏的校验和来发送特殊的错误消息。
借助所提出的用于校验和计算的方法,参与者1和参与者2与此相反首先确定或探测传输信道上的有效的比特序列(即上面的消息的纯信息部分,无加下划线的校验比特)。然后,所述参与者对于有效的比特序列分别求取正确的校验和并且将所述校验和直接附加到有效的比特序列(即消息的信息部分)上。在这种情况下因此得到:
参与者1的实际发送的比特序列,包括校验和(加了下划线)在内:
01101011011010100
参与者2的实际发送的比特序列,包括校验和(加了下划线)在内:
01010000111101100
在介质上的有效的比特序列,包括校验和(加了下划线)在内:
01000000011000100
因此只要使所述校验和涉及相应的单个消息,参与者1和2的单个消息的校验和首先在发送时显得是错误的。但对于此,得到用于在共同使用的传输介质上有效地构造的消息的正确的校验和作为在传输介质上的校验和的叠加,从而该校验和没有被参与者丢弃,并且也不生成错误消息。
借助该途径,参与者1和2的实际上发送的消息(包括校验和在内)不再必然相互反转,因为经反转的比特序列的校验和不是强制地相应于未经反转的比特序列的反转校验和。
在步骤44中,根据上述方法不仅参与者1而且参与者2分别求取在共同使用的传输介质上的有效的比特序列。在此求取的值然后是用于实际的对称的加密秘钥的产生的基础。如果参与者1和2探测到不同的有效的比特序列(例如基于量化错误或传输错误),则实际的对称的秘钥的连接在后的导出通常也失败,因为所基于的原始信息是不同的。因此,在实际的系统中应有利地检查,这样的错误是否出现并且因此所导出的秘钥是否实际上对称。这可以由所提出的用于校验和产生的方法同样在一定程度内达到。
为此,两个参与者检查,附加到真正的局部的比特序列上的所发送的校验和是否与在信道上有效地构造的校验和一致。这也就是说,如果参与者1例如基于在共同的传输介质上有效构造的信息比特序列来确定校验和‘01’,并且直接接着该信息-比特序列地传输该校验和,则也应有效地在传输介质上构造该校验和。这尤其当参与者1在一个或多个位上传输隐性的比特而Bob在所述位中的至少一个位上传输显性的比特或反之的时候不是这种情况。
如果该条件不满足,则这以高的概率表示,参与者1和参与者2已经探测到不同的信息比特序列(因为校验和的错误计算或错误传输或与消息相比通常相当短的有效的校验和的错误探测是较不可能的错误源)。在这种情况下,应当要么中断或者重新开始秘钥设立过程,要么附加地还连接所谓的“Information Reconciliation:信息重调解”阶段,借助该阶段必要时可以纠正存在的错误。相应的“信息重调解”协议的一个示例是由量子密码学已知的CASCADE-协议。
如果相反上述条件满足,则这隐含:Alice和Bob已经以高的概率探测到相同的信息-比特序列。但在一般情况下,该概率绝不是100%,因为始终存在剩余概率,即尽管在信息-比特序列中的可能的比特差错仍得到该校验和。但该剩余错误概率可以视系统设计而定地在大多数情况下变得可忽略地小。
在校验和保护的经改动的第二实施方式中,所参与的参与者1和2中的仅仅一个在所使用的消息帧的为此设置的一部分中传输用于在信道上有效地构造的比特序列的校验和。为了确定,所参与的参与者中的哪一个应做这个,不同的选项又是可能的。因此,这参与者例如可能始终是以下参与者:该参与者已经发起或未发起密钥设立或者这可能被预先配置。
如果仅仅校验和的传输限于一个参与者,但两个参与者1和2确定或计算校验和,则对于确定的传输系统可以进一步减小先前描述的剩余错误概率:参与者1和参与者2已经探测到不同的信息-比特序列但这不能够通过校验和确定。如果例如两个参与者在CAN总线上传输连接到实际的信息部分上的有效的校验和,则他们仅仅能够确定,当他们自身传输隐性的比特的时候另一参与者是否在确定的位上(an einer bestimmte Stelle)传输不同于他自身的其他校验和比特。与此相反,借助所描述的改动,所述参与者之一发送由该参与者求取的校验和,而另一参与者能够完全探测到该校验和并且然后将该校验和与由所述另一参与者局部地求取的(但未传输的)校验和进行比较。如果两者不一致,则在这种情况下第二参与者必须开始相应的错误处理,因为第一参与者在这种情况下首先不具有自身探测可能的错误的可能性。
在一些通信系统中或者借助一些硬件部件或软件部件可能的是,参与者不能够基于在共同使用的传输介质上有效地构造的信息比特序列来足够快速地求取校验和,以便直接接着所述信息比特序列传输该校验和。对此可能的原因尤其是在参与者中的处理延迟时间。因此,存在以下可能性:如在下面的第三实施例中那样改动根据本发明的方法,使得校验和所基于的有效的信息比特序列的传播和校验和的传输之间设置一个时间间隔,以便增加对于校验和计算可供使用的时间。
在同步传输参与者1和2的局部产生的、随机的信息-比特序列之后,对此优选地可以再传输两个参与者的一对附加的比特,所述附加的比特例如事先通过合适的方式来确定(例如可以简单地始终使用固定的比特序列)。在此,这些附加比特必须与实际的信息-比特序列不同地在两个参与者的很大程度上同步的传输中相同。待插入的附加比特取决于用于求取校验和所需的附加时间。
如先前那样,现在两个参与者始终求取有效地在信道上构造的信息-比特序列。因为连接到信息-比特序列上的首先待传输的附加比特对于两个参与者而言是已知的,所以两个参与者在传输实际的信息-比特序列之后已经认识校验和应基于的完整的消息,(即由信息比特和附加比特组成)并且因此可以已经以用于该完整的消息的校验和的计算开始,而还传输附加比特。
接着附加比特的传输地,然后应当结束校验和的计算,从而校验和可以由两个参与者或所述参与者之一(相应于第一实施例或第二实施例)直接传输。
该实施例的一个缺点在于,借助附加比特生成附加的开销。但对于此,同样如描述的那样,可以减少对所涉及的参与者的信号处理的延迟时间要求。
对于在密钥生成或密钥设立范围内的进一步处理,不再进一步考虑校验和,而是事先在接收侧简单地丢弃或裁剪校验和。
所提出的方法是一种用于在充分利用比特传输层的特性的情况下生成两个节点之间的对称的加密秘钥的方案。该方案尤其适合于有线的和光学的通信系统,只要所述系统支持‘开关键控’或逐比特的总线-仲裁(例如CAN、TTCAN、CAN-FD、LIN、I2C)。但在无线的(基于无线电的)通信系统中,优选在具有在发送方和接收方和可能的直接视线连接之间的非常短的距离的无线的(基于无线电的)通信系统中,可以使用该方案。
基本上,能够实现显性比特和隐形比特(如上所述)的区分的所有通信系统适合于应用。因此,在此描述的方法可以应用在多个无线的、有线的和光学的通信系统中。在此,所描述的方案对于机器到机器通信、即对于通常仅仅具有非常有限的资源并且必要时不能够借助合理的耗费来手动地在现场配置的不同的传感器、执行器等之间的数据的传输是特别感兴趣的。
例如在家居与建筑物自动化、远程医疗、Car-to-X系统或工业自动化技术中具有另外的应用可能性。在将来的具有无线电接口的最小-传感器中以及在CAN总线、也即车辆联网或自动化技术的所有应用领域中的应用是特别感兴趣的。
如先前描述的那样,可以通过网络参与者使用校验和或校验值序列,以便检查:在传输信道上是否已经探测到相同的信息-比特序列(这是用于安全地设立共同的加密秘密的前提)。然而在此不确保,所参与的两个网络参与者在每个场景中同样地能够识别单独地确定的校验值与从传输信道回读的校验值的偏差。尤其可能发生:所参与的网络参与者之一识别偏差,而另一个相反不识别。因此,对于这种情况,提出相应的错误处理的开始。
在图6中示出一种用于基于值序列-叠加来生成秘密以及用于基于所探测的校验值序列来检查所探测的值序列-叠加的方法的示例性总流程。
在第一步骤61中开始所述方法。在第二步骤62中实现用于设立加密秘密的步骤、尤其实现值序列的通过所述两个网络参与者的(在很大程度上)同步的叠加,以及如先前描述的那样通过校验值序列对传输的保护。在第三步骤63中,通过所参与的网络参与者中的至少一个来探测在传输信道上得出的校验值序列。在第四步骤64中,将所探测的校验值序列与自身计算的(和必要时传输的)校验值序列进行比较并且在一致性方面进行检查。
如果所探测的校验值序列与自身计算的校验值序列一致,则从步骤64分支到步骤65中,并且在没有识别到错误的情况下结束用于根据校验值检查叠加值序列的方法。尽管如此在这种情况下可能发生错误处理,如果也即其他网络参与者探测到偏差并且相应地触发错误处理。
如果所探测的校验值序列与自身计算的校验值序列不一致,则从步骤64分支到步骤66。在步骤66中,进行检查的网络参与者发送错误消息,网络参与者尤其通知同样参与的第二网络参与者。
如果两个网络参与者探测到偏差,则两者可以发送相应的消息(按顺序地或必要时叠加地)或者也可以发送仅仅以下节点发送相应的消息:该节点首先发送所述消息。
视配置而定,所述方法然后可以从步骤66分支到步骤65中并且因此结束或者分支到步骤67中。步骤67相应于等待时间,在所述等待时间之后通过到步骤61上的分支又可以开始所述方法。
下面应详细阐明步骤66、相应的通信伙伴的通知。通过告知所探测的校验值与所计算的校验值的不一致性,两个通信伙伴具有相同的认识水平并且尤其可以放弃所设立的(主观想象地)共同的秘密或加密秘钥的使用。
在此情况下,通过校验值序列的检查已经确定了不一致性的那个网络参与者具有用于告知第二通信参与者的不同可能性。
在优选的第一构型中,进行检查的网络参与者对此发送信号(通过相同的通信系统或不同的物理传输路径)。例如,进行检查的网络参与者可以直接在识别偏差之后开始发送物理信号,该物理信号由所参与的通信伙伴(第二网络参与者)相应地识别并且对偏差进行信令化。物理信号的识别可以基于:通过物理信号有意识地破坏所使用的通信协议的详细的帧格式。在CAN网络中,可以对此例如发送错误帧(Error Frame)。
替代地,进行检查的网络参与者也(又通过也用于同步地传输值序列的传输信道或其他的通信系统)发送专用的消息给第二网络参与者。该消息可以包括由进行检查的网络参与者计算的校验值和/或由该网络参与者在传输信道上接收或探测的校验值。同样可能的是,发送函数例如哈希-函数的结果(X),所述函数取决于所述一个或多个校验值:X =f(CRC计算,CRC接收)。如果一同传输关于所计算的和/或所探测的校验值序列的信息,则对于通信伙伴可能的是,检查由两个网络参与者计算的校验值序列是否实际上有区别。如果不是,则第二网络参与者可以致力于,不管通过第一网络参与者引起的否定的检查仍使用所设立的秘密。(如果所探测的和所计算的校验值序列的通过第一网络参与者的比较或第一网络参与者对所传输的校验值序列的探测是有错误的,则可能发生这种情况)。
所述告知也可以作为消息的一部分以及必要时通过所设置的信号、消息或消息的一部分的有针对性的不传输来实现。也可以通过进行检查的网络参与者在确定的时间到期之后发起自动的重新开始(Restart)。
在另一种替代的构型中,进行检查的网络参与者可以充分利用根据所使用的通信协议设置的通信确认用于告知第二网络参与者。进行检查的网络参与者可以例如放弃:发送确认(Acknowlegment),或者传输否定的确认(Negative Acknowledgment)并且因此告知,校验值序列的比较或检查是否定的。在CAN网络的情况下,进行检查的网络参与者例如可以放弃:发送显性的确认-比特。然而,所述方法仅仅当在网络中不存在另外的有源的CAN节点的时候才安全地引起所期望的成功。
视所使用的通信系统的特性而定地,可能有利的是,要么直接在认识到偏差之后发送对于所述告知使用的信号或对此使用的消息,要么合适地推迟所述发送。该推迟尤其可以直至下一比特时间的开始地实现。可替代地,也可以设置直至校验值序列的完整接收之后的推迟。因此,网络参与者可以在另一步骤中检查,所计算的校验值序列是否实际上有区别或者可能在校验值传输期间已经发生了传输错误。
Claims (19)
1.一种用于在网络(20)中生成秘密或秘钥的方法,其中,所述网络(20)具有至少一个第一参与者(21)和至少一个第二参与者(22),所述网络具有在所述至少一个第一参与者(21)和所述至少一个第二参与者(22)之间的共同的传输信道(30),其中,所述第一参与者(21)能够将至少一个第一值(1)和至少一个第二值(0)提供到所述传输信道(30)上,并且所述第二参与者(22)能够将所述至少一个第一值(1)和所述至少一个第二值(0)提供到所述传输信道(30)上,其中,所述第一参与者(21)引起第一参与者值序列并且所述第二参与者(22)引起第二参与者值序列用于在所述传输信道(30)上的相互在很大程度上同步的传输,并且其中,所述第一参与者(21)基于关于所述第一参与者值序列的信息以及基于由在所述传输信道(30)上所述第一参与者值序列与所述第二参与者值序列的叠加得出的叠加值序列并且所述第二参与者(22)基于关于所述第二参与者值序列的信息以及基于由在所述传输信道(30)上所述第一参与者值序列与所述第二参与者值序列的叠加得出的叠加值序列分别生成一个共同的秘密或共同的密钥,其特征在于,至少所述第一参与者(21)或所述第二参与者(22)根据得出的叠加值序列确定校验值序列,并且将所述校验值序列提供到所述传输信道(30)上。
2.根据权利要求1所述的方法,其中,在所述叠加值序列之后传输所述校验值序列。
3.根据权利要求2所述的方法,其中,直接接着所述叠加值序列传输所述校验值序列。
4.根据权利要求2所述的方法,其中,与所述校验值序列以与所述叠加值序列的一定间距传输。
5.根据权利要求4所述的方法,其中,所述第一参与者(21)和所述第二参与者(22)在所述叠加值序列和所述校验值序列之间传输确定的附加值序列,其中,在确定所述校验值序列的情况下考虑所述附加值序列。
6.根据以上权利要求中任一项所述的方法,其中,所述第一参与者(21)和所述第二参与者(22)确定所述校验值序列,并且将所述校验值序列提供到所述传输信道上,并且其中,所述第一参与者(21)或所述第二参与者(22)或不仅所述第一参与者(21)而且所述第二参与者(22)根据自身传输的校验值序列关于以下方面来检查相应的校验值序列的所得出的叠加:所述第一参与者(21)的校验值序列与所述第二参与者(22)的校验值序列是否一致。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一参与者(21)或所述第二参与者(22)检查,所探测的所传输的校验值序列与自身计算的校验值序列是否一致,并且在缺乏的一致性的情况下分别通知其他的参与者(21,22)关于缺乏的一致性、尤其关于信号或消息或消息的一部分。
8.根据权利要求1至3中任一项所述的方法,其中,所述第一参与者(21)和所述第二参与者(22)中的仅仅一个确定的参与者将所述校验值序列提供到所述传输信道(30)上。
9.根据权利要求4所述的方法,其中,所述确定的参与者是发起密钥生成的那个参与者或者是通过配置预先确定的参与者。
10.根据权利要求1所述的方法,其特征在于,如果不仅所述第一参与者(21)而且所述第二参与者(22)引起所述第一值(1)的通过所述传输信道(30)的传输,则在所述传输信道上设定相应于所述第一值(1)的状态,并且,如果所述第一参与者(21)或所述第二参与者(22)或者如果不仅所述第一参与者(21)而且所述第二参与者(22)引起所述第二值(0)的通过所述传输信道(30)的传输,则设定相应于所述第二值(0)的状态。
11.根据以上权利要求中任一项所述的方法,其特征在于,局部地、尤其借助随机发生器或伪随机发生器在所述第一参与者(21)中产生所述第一参与者值序列,并且在所述第二参与者(22)中产生所述第二参与者值序列。
12.根据以上权利要求中任一项所述的方法,其特征在于,所述网络(20)是CAN总线系统、TTCAN总线系统、CAN-FD总线系统、LIN总线系统或I2C总线系统,所述第一值(1)是隐性的总线电平并且所述第二值(0)是显性的总线电平。
13.根据权利要求1至11中任一项所述的方法,其特征在于,在所述网络(20)中设置开关键控-振幅键控用于所述数据传输。
14.根据以上权利要求中任一项所述的方法,其特征在于,不考虑所述校验值序列用于生成所述共同秘密的或所述共同秘钥。
15.一种用于在网络(20)的第一参与者(21)中生成秘钥的方法,其中,所述第一参与者(21)被设立用于,通过传输信道(30)从所述网络(20)的至少一个第二参与者(22)接收信息以及向所述第二参与者(22)传输信息,其中,所述第一参与者(21)被设立用于,将至少一个第一值(1)和至少一个第二值(0)提供到所述传输信道(30)上,并且能够在所述传输信道(30)上探测所述至少一个第一值(1)和所述至少一个第二值(0),其中,所述第一参与者(21)引起第一参与者值序列,用于与第二参与者值序列的通过所述第二参与者(22)在所述传输信道(30)上的传输在很大程度上同步的传输,并且所述第一参与者(21)基于关于所述第一参与者值序列以及基于叠加值序列生成秘密或秘钥,所述叠加值序列在所述传输信道(30)上由所述第一参与者值序列和所述第二参与者值序列的叠加得出,其特征在于,至少所述第一参与者(21)根据所得出的叠加值序列确定校验值序列并且将所述校验值序列提供到所述传输信道(30)上。
16.一种网络(20),所述网络具有至少一个第一参与者(21)和至少一个第二参与者(22)并且具有传输信道(30),所述第一参与者(21)可以通过所述传输信道与所述第二参与者(22)通信,其特征在于,所述网络(20)包括以下装置:所述装置用于执行根据权利要求1至15中任一项所述的方法的所有步骤。
17.一种设备,所述设备被设立用于,作为网络(20)上的参与者执行根据权利要求15所述的方法的所有步骤。
18.一种计算机程序,所述计算机程序被设立用于,执行根据权利要求1至15中任一项所述的方法之一的所有步骤。
19.一种机器可读的存储介质,所述存储介质具有存储在其上的根据权利要求18所述的计算机程序。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015209518 | 2015-05-22 | ||
| DE102015209518.5 | 2015-05-22 | ||
| DE102015220038.8 | 2015-10-15 | ||
| DE102015220038.8A DE102015220038A1 (de) | 2015-05-22 | 2015-10-15 | Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk |
| PCT/EP2016/059725 WO2016188707A1 (de) | 2015-05-22 | 2016-05-02 | Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107836095A true CN107836095A (zh) | 2018-03-23 |
| CN107836095B CN107836095B (zh) | 2021-08-31 |
Family
ID=57231312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680042599.2A Active CN107836095B (zh) | 2015-05-22 | 2016-05-02 | 用于在网络中产生秘密或密钥的方法 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP3298722A1 (zh) |
| CN (1) | CN107836095B (zh) |
| DE (1) | DE102015220038A1 (zh) |
| WO (1) | WO2016188707A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417506A (zh) * | 2018-04-27 | 2019-11-05 | 英飞凌科技股份有限公司 | 收发机,具有收发机的系统,和信号 |
| CN110730067A (zh) * | 2019-09-06 | 2020-01-24 | 深圳开源互联网安全技术有限公司 | 密钥生成方法、装置、计算机可读存储介质及终端设备 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3326322B1 (en) | 2015-07-17 | 2019-12-18 | Robert Bosch GmbH | Method and system for secure key generation over an insecure shared communication medium |
| DE102015219993B4 (de) | 2015-10-15 | 2023-11-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erzeugen eines gemeinsamen Geheimnisses vorgegebener Länge |
| DE102015219997B4 (de) | 2015-10-15 | 2023-08-10 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Erzeugung eines gemeinsamen Geheimnisses |
| GB2578408B (en) | 2017-08-29 | 2022-04-20 | Bosch Gmbh Robert | Methods and systems for linear key agreement with forward secrecy using an insecure shared communication medium |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006081306A2 (en) * | 2005-01-27 | 2006-08-03 | Interdigital Technology Corporation | Generation of perfectly secret keys in wireless communication networks |
| CN101273572A (zh) * | 2005-10-03 | 2008-09-24 | 诺基亚公司 | 用于在网络实体之间对数据协商进行认证的系统、方法和计算机程序产品 |
| US20120106737A1 (en) * | 2010-10-29 | 2012-05-03 | Futurewei Technologies, Inc. | System and Method for Securing Wireless Communications |
| CN102457380A (zh) * | 2010-10-15 | 2012-05-16 | 英飞凌科技股份有限公司 | 具有安全而有效的签名的数据发送器 |
| CN102916806A (zh) * | 2011-08-05 | 2013-02-06 | 塞莱斯系统集成公司 | 密码密钥分配系统 |
| CN103685217A (zh) * | 2012-08-29 | 2014-03-26 | 罗伯特·博世有限公司 | 用于在网络中求得密码密钥的方法和设备 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104010299A (zh) * | 2014-05-21 | 2014-08-27 | 中国人民解放军信息工程大学 | 基于物理层安全的移动通信会话私密性增强方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102009002396A1 (de) | 2009-04-15 | 2010-10-21 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu |
| DE102009045133A1 (de) | 2009-09-29 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu |
| DE102011080476A1 (de) | 2011-08-05 | 2013-02-07 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Verbesserung der Datenübertragungssicherheit in einer seriellen Datenübertragung mit flexibler Nachrichtengröße |
| RU2685982C2 (ru) | 2014-04-28 | 2019-04-23 | Роберт Бош Гмбх | Способ генерирования секретного криптографического ключа в сети |
| DE102014208975A1 (de) | 2014-05-13 | 2015-11-19 | Robert Bosch Gmbh | Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk |
| DE102014209042A1 (de) | 2014-05-13 | 2015-11-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erzeugen eines geheimen Schlüssels |
-
2015
- 2015-10-15 DE DE102015220038.8A patent/DE102015220038A1/de active Pending
-
2016
- 2016-05-02 CN CN201680042599.2A patent/CN107836095B/zh active Active
- 2016-05-02 EP EP16721133.3A patent/EP3298722A1/de not_active Withdrawn
- 2016-05-02 WO PCT/EP2016/059725 patent/WO2016188707A1/de unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006081306A2 (en) * | 2005-01-27 | 2006-08-03 | Interdigital Technology Corporation | Generation of perfectly secret keys in wireless communication networks |
| CN101273572A (zh) * | 2005-10-03 | 2008-09-24 | 诺基亚公司 | 用于在网络实体之间对数据协商进行认证的系统、方法和计算机程序产品 |
| CN102457380A (zh) * | 2010-10-15 | 2012-05-16 | 英飞凌科技股份有限公司 | 具有安全而有效的签名的数据发送器 |
| US20120106737A1 (en) * | 2010-10-29 | 2012-05-03 | Futurewei Technologies, Inc. | System and Method for Securing Wireless Communications |
| CN102916806A (zh) * | 2011-08-05 | 2013-02-06 | 塞莱斯系统集成公司 | 密码密钥分配系统 |
| CN103685217A (zh) * | 2012-08-29 | 2014-03-26 | 罗伯特·博世有限公司 | 用于在网络中求得密码密钥的方法和设备 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104010299A (zh) * | 2014-05-21 | 2014-08-27 | 中国人民解放军信息工程大学 | 基于物理层安全的移动通信会话私密性增强方法 |
Non-Patent Citations (1)
| Title |
|---|
| ISO 11898-1: "《Road vehicles—Controller area network(CAN)— Part 1:Data link layer and physical signalling》", 《INTERNATIONAL STANDARD》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417506A (zh) * | 2018-04-27 | 2019-11-05 | 英飞凌科技股份有限公司 | 收发机,具有收发机的系统,和信号 |
| CN110730067A (zh) * | 2019-09-06 | 2020-01-24 | 深圳开源互联网安全技术有限公司 | 密钥生成方法、装置、计算机可读存储介质及终端设备 |
| CN110730067B (zh) * | 2019-09-06 | 2021-10-19 | 深圳开源互联网安全技术有限公司 | 密钥生成方法、装置、计算机可读存储介质及终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016188707A1 (de) | 2016-12-01 |
| EP3298722A1 (de) | 2018-03-28 |
| CN107836095B (zh) | 2021-08-31 |
| DE102015220038A1 (de) | 2016-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6378365B2 (ja) | ネットワークで秘密または鍵を生成する方法 | |
| CN107836095A (zh) | 用于在网络中产生秘密或秘钥的方法 | |
| CN103685217B (zh) | 用于在网络中求得密码密钥的方法和设备 | |
| CN102130915B (zh) | 基于时钟的重发保护 | |
| US8447036B2 (en) | Multi-party key agreement method using bilinear map and system therefor | |
| JP5877623B2 (ja) | 送信端末、受信端末および情報配信システム | |
| CN103701700B (zh) | 一种通信网络中的节点发现方法及系统 | |
| CN105187200A (zh) | 用于在网络中生成密钥的方法以及在网络上的用户和网络 | |
| US10560286B2 (en) | Gateway device and control method for the same | |
| RU2018129320A (ru) | Защищенная и устойчивая к разрывам связь для подводных необитаемых аппаратов | |
| CN100393034C (zh) | 一种应用于组播通信系统中的源认证方法 | |
| CN112753203B (zh) | 一种安全通信方法及装置 | |
| RU2445746C2 (ru) | Способ и система защищенного от манипулирования формирования криптографического ключа | |
| CN101166132A (zh) | 非法终端估计系统、非法终端估计装置以及通信终端装置 | |
| CN111726346A (zh) | 数据安全传输方法、装置及系统 | |
| EP1090478A1 (en) | A method for preventing key share attacks | |
| Pirayesh et al. | A PLS-HECC-based device authentication and key agreement scheme for smart home networks | |
| US20170359178A1 (en) | Network communication method having function of recovering terminal session | |
| CN107453863A (zh) | 用于在网络中生成秘密或密钥的方法 | |
| US10841085B2 (en) | Method for generating a secret or a key in a network | |
| KR101517909B1 (ko) | 유헬스케어 무선 센서 네트워크를 위한 상호 인증 방법 | |
| CN108141359A (zh) | 用于产生共同的秘密的方法和设备 | |
| CN108141358A (zh) | 用于在电路装置中产生密钥的方法 | |
| CN107395339A (zh) | 用于在网络中生成秘密或密钥的方法 | |
| Kumar et al. | A security model for intelligent vehicles and smart traffic infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |