DE102010010760B4 - A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network - Google Patents
A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network Download PDFInfo
- Publication number
- DE102010010760B4 DE102010010760B4 DE102010010760A DE102010010760A DE102010010760B4 DE 102010010760 B4 DE102010010760 B4 DE 102010010760B4 DE 102010010760 A DE102010010760 A DE 102010010760A DE 102010010760 A DE102010010760 A DE 102010010760A DE 102010010760 B4 DE102010010760 B4 DE 102010010760B4
- Authority
- DE
- Germany
- Prior art keywords
- key
- added
- subscriber device
- network
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Abstract
In einem drahtlosen Sensor-Aktor-Netz erfolgt die Kommunikation symmetrisch verschlüsselt, wobei eine Sicherheitsinstanz (5) den Zugang zu dem Netz verwaltet und den Schlüssel vergibt. Um mit einfachen Mitteln eine sichere Schlüsselvergabe zu gewährleisten, wird der Schlüssel über ein Bediengerät (8) angefordert, das einerseits mit dem neu hinzuzufügenden Teilnehmergerät (7) und andererseits drahtlos mit der Sicherheitsinstanz (5) kommuniziert; der Schlüssel wird verschlüsselt an das Bediengerät (8) und von dort gesichert, z. B. auf gekapseltem Übertragungsweg 9, an das hinzuzufügende Teilnehmergerät (7) übertragen.In a wireless sensor-actuator network, the communication is symmetrically encrypted, with a security authority (5) managing access to the network and handing out the key. In order to ensure a secure key allocation with simple means, the key is requested via an operating device (8), which communicates with the new subscriber device (7) to be added on the one hand and with the security instance (5) on the other hand wirelessly; the key is encrypted to the HMI device (8) and secured from there, z. B. on encapsulated transmission path 9, to be added to the subscriber device (7).
Description
Die Erfindung betrifft ein Verfahren zur Vergabe eines Schlüssels an ein einem drahtlosen Sensor-Aktor-Netz neu hinzuzufügendes Teilnehmergerät, wobei die Kommunikation in dem Netz symmetrisch verschlüsselt erfolgt und eine Sicherheitsinstanz den Zugang zu dem Netz verwaltet und den Schlüssel vergibt. Unter Sensor-Aktor-Netzen sind auch solche zu verstehen, die nur Sensoren als Teilnehmergerat enthalten.The invention relates to a method for assigning a key to a wireless sensor-actuator network newly added subscriber device, wherein the communication is symmetrically encrypted in the network and managed by a security authority access to the network and assigns the key. Sensor-actuator networks also include those which contain only sensors as a subscriber device.
Ein derartiges Verfahren ist aus der
Bei drahtlosen Sensor-Aktor-Netzen, die sehr lange und ohne Wartung laufen sollen, wird für die Kommunikation eine symmetrische Verschlüsselung eingesetzt. Der Grund dafür ist, dass die Teilnehmergeräte (Sensoren und ggf. Aktoren) uber sehr begrenzte Ressourcen verfugen und die eingesetzten Prozessoren wegen der geforderten geringen Stromaufnahme in Bezug auf die Rechenleistung leistungsschwach und langsam sind. Daher ist eine asymmetrische Verschlüsselung, die im Vergleich zur symmetrischen Verschlüsselung hoheren Rechenaufwand benotigt und deutlich langsamer ist, nicht praktikabel.For wireless sensor-actuator networks, which are designed to run for a very long time without maintenance, a symmetric encryption is used for the communication. The reason for this is that the user equipment (sensors and possibly actuators) have very limited resources and the processors used are inefficient and slow due to the required low power consumption in terms of computing power. Therefore, asymmetric encryption, which is more computationally expensive and much slower than symmetric encryption, is impractical.
Bei der symmetrischen Verschlüsselung wird ein einziger Schlüssel für die Ver- und Entschlüsselung verwendet. Daher muss der Schlüssel geheim gehalten werden und seine Verteilung an die Teilnehmergerate auf sicherem Wege erfolgen. Wenn aber ein neues Teilnehmergerät beispielsweise von Fremdpersonal in dem Netz installiert werden soll, besteht die Gefahr, dass der dazu benötigte Schlüssel missbraucht wird, indem er direkt oder zu einem späteren Zeitpunkt auf einem Stor- oder Abhörgerat programmiert wird.Symmetric encryption uses a single key for encryption and decryption. Therefore, the key must be kept secret and its distribution to the Teilnehmergerate done safely. If, however, a new subscriber device is to be installed, for example, by external personnel in the network, there is a risk that the key required for this purpose will be abused by being programmed directly or at a later time on a monitoring or interception device.
Bei dem aus der
Die
Der Erfindung liegt daher die Aufgabe zugrunde, mit einfachen Mitteln eine sichere Schlusselvergabe zu gewährleisten.The invention is therefore based on the object to ensure simple means a secure Schlüsselelgabe.
Gemäß der Erfindung wird die Aufgabe dadurch gelöst, dass bei dem Verfahren der eingangs angegebenen Art der Schlüssel über ein Bediengerät angefordert wird, das einerseits mit dem neu hinzuzufügenden Teilnehmergerät und andererseits drahtlos mit der Sicherheitsinstanz kommuniziert, und dass der Schlüssel verschlüsselt an das Bediengerät übertragen und von dort gesichert an das neu hinzuzufügende Teilnehmergerät übertragen wird.According to the invention, the object is achieved in that in the method of the type specified above, the key is requested via an operating device that communicates with the newly added subscriber device and on the other hand wirelessly with the security instance, and that the key encrypted transmitted to the operating device and secured from there to the newly added subscriber device is transmitted.
Das Bediengerät wird gegenüber der Sicherheitsinstanz durch die verschlüsselte Kommunikation autorisiert. Im einfachsten Fall kann das Bediengerät selbst und somit die es bedienende Person als vertrauenswürdig eingestuft werden. Die Berechtigungsprüfung kann dadurch erweitert werden, dass an dem Bediengerät Mittel zur Identifikationsabfrage des Benutzers und/oder Mittel zur Identifikationsabfrage des neu hinzuzufügenden Teilnehmergeräts vorgesehen werden. Die Mittel zur Identifikationsabfrage des Benutzers können beispielsweise aus einer Tastatur zur Eingabe eines PIN-Codes, einer Leseeinheit für eine Smart Card oder einem Fingerprint- oder sonstigen biometrischen Sensor bestehen. Die Mittel zur Identifikationsabfrage des neu hinzuzufügenden Teilnehmergeräts können von diesem beispielsweise eine Gerätekennung abfragen. Die Ergebnisse der Identifikationsabfragen können direkt in dem Bediengerät geprüft werden. Vorzugsweise werden sie aber an die Sicherheitsinstanz übertragen und dort geprüft, bevor von dort der Schlüssel versandt wird.The HMI device is authorized to the security instance by the encrypted communication. In the simplest case, the HMI device itself and thus the person using it can be classified as trustworthy. The authorization check can be extended by providing means for the user's identification query and / or means for identifying the new user device to be added to the operating device. The means for the identification of the user request, for example, consist of a keyboard for entering a PIN code, a reading unit for a smart card or a fingerprint or other biometric sensor. The means for identification query of the newly added subscriber device can query from this, for example, a device identifier. The results of the identification requests can be checked directly in the HMI device. Preferably, however, they are transmitted to the security authority and checked there before the key is sent from there.
Das Bediengerät kann drahtgebunden oder drahtlos, beispielsweise mittels Funk- oder Infrarotsignalen, mit dem neu hinzuzufügenden Teilnehmergerät kommunizieren, wobei zur Sicherung der Kommunikation der Übertragungsweg zwischen dem Bediengerät und dem neu hinzuzufügenden Teilnehmergerät gekapselt sein kann und/oder die Kommunikation zwischen beiden Geräten verschlüsselt erfolgt. Die Kapselung kann beispielsweise aus einem von außen unzugänglichen Steckverbinder zwischen beiden Geräten bestehen.The HMI device can be wired or wirelessly, for example by means of radio or infrared signals to communicate with the newly added user equipment, to secure the communication of the transmission path between the HMI device and the newly added User device may be encapsulated and / or the communication between both devices is encrypted. The encapsulation may for example consist of an inaccessible from the outside connector between the two devices.
Für die Kommunikation zwischen dem Bediengerät und der Sicherheitsinstanz und ggf. dem neu hinzuzufügenden Teilnehmergerät kann eine symmetrische oder asymmetrische Verschlüsselung verwendet werden.Symmetric or asymmetric encryption can be used for communication between the HMI device and the security instance and, if appropriate, the new subscriber device to be added.
Durch das erfindungsgemäße Verfahren wird sichergestellt, das der Schlüssel innerhalb des Netzes und gegenüber Zugriffen von außen geschützt verbleibt. Die Bedienperson stößt lediglich die Schlüsselvergabe an, erhält aber keinen Zugriff auf den Schlüssel.The inventive method ensures that the key remains protected within the network and against access from the outside. The operator merely initiates the key assignment, but does not get access to the key.
Zur weiteren Erläuterung der Erfindung wird im Folgenden auf die Figuren der Zeichnung Bezug genommen; im Einzelnen zeigen jeweils beispielhaft:To further explain the invention, reference will be made below to the figures of the drawing; in detail, each example shows:
Eine Bedienperson
Damit dieser Schlüssel der Bedienperson
Entsprechend der Erfindung kann die Schlüsselzuweisung an jeder beliebigen Stelle in dem Netz, insbesondere am Einbauort des neuen Teilnehmergeräts
Auf eine Eingabe seitens der Bedienperson
At the input of the operator
Nach erfolgreicher Prüfung der Autorisierungsanfrage sendet die Sicherheitsinstanz
Das Bediengerät
Das hinzuzufügende Teilnehmergerät
Das Bediengerät
Nach erfolgreicher Prüfung der Gerätekennung sendet die Sicherheitsinstanz
Das Bediengerät
Das hinzuzufügende Teilnehmergerät
Claims (8)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010010760A DE102010010760B4 (en) | 2010-03-09 | 2010-03-09 | A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network |
PCT/EP2011/053558 WO2011110603A1 (en) | 2010-03-09 | 2011-03-09 | Method for allocating a key to a subscriber terminal that is to be freshly added to a wireless sensor/actuator network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010010760A DE102010010760B4 (en) | 2010-03-09 | 2010-03-09 | A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102010010760A1 DE102010010760A1 (en) | 2011-09-15 |
DE102010010760B4 true DE102010010760B4 (en) | 2012-02-02 |
Family
ID=44202052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102010010760A Expired - Fee Related DE102010010760B4 (en) | 2010-03-09 | 2010-03-09 | A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102010010760B4 (en) |
WO (1) | WO2011110603A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8831568B2 (en) | 2011-09-27 | 2014-09-09 | Qualcomm Incorporated | Automatic configuration of a wireless device |
US9031050B2 (en) | 2012-04-17 | 2015-05-12 | Qualcomm Incorporated | Using a mobile device to enable another device to connect to a wireless network |
GB2586549B (en) | 2013-09-13 | 2021-05-26 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
WO2015169347A1 (en) * | 2014-05-06 | 2015-11-12 | Vega Grieshaber Kg | Method for encrypted data transfer in process automation technology |
GB2547501A (en) | 2016-02-16 | 2017-08-23 | Zumtobel Lighting Inc | Secure network commissioning for lighting systems |
US10313137B2 (en) | 2016-07-05 | 2019-06-04 | General Electric Company | Method for authenticating devices in a medical network |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004056089B3 (en) * | 2004-11-12 | 2006-02-02 | Universität Stuttgart | Network adapter for polling of information from automation device, uses embedded web-server for communication with client |
WO2008122906A1 (en) * | 2007-04-05 | 2008-10-16 | Koninklijke Philips Electronics N.V. | Wireless sensor network key distribution |
US20080263647A1 (en) * | 2006-07-21 | 2008-10-23 | General Electric Company | System and Method For Providing Network Device Authentication |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070248232A1 (en) * | 2006-04-10 | 2007-10-25 | Honeywell International Inc. | Cryptographic key sharing method |
US7936878B2 (en) * | 2006-04-10 | 2011-05-03 | Honeywell International Inc. | Secure wireless instrumentation network system |
-
2010
- 2010-03-09 DE DE102010010760A patent/DE102010010760B4/en not_active Expired - Fee Related
-
2011
- 2011-03-09 WO PCT/EP2011/053558 patent/WO2011110603A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004056089B3 (en) * | 2004-11-12 | 2006-02-02 | Universität Stuttgart | Network adapter for polling of information from automation device, uses embedded web-server for communication with client |
US20080263647A1 (en) * | 2006-07-21 | 2008-10-23 | General Electric Company | System and Method For Providing Network Device Authentication |
WO2008122906A1 (en) * | 2007-04-05 | 2008-10-16 | Koninklijke Philips Electronics N.V. | Wireless sensor network key distribution |
Also Published As
Publication number | Publication date |
---|---|
DE102010010760A1 (en) | 2011-09-15 |
WO2011110603A1 (en) | 2011-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102010010760B4 (en) | A method of assigning a key to a subscriber device to be newly added to a wireless sensor-actuator network | |
EP2856437B1 (en) | Method and device for control of a lock mechanism using a mobile terminal | |
WO2016128454A1 (en) | Computer-implemented method for access control | |
WO2017045789A1 (en) | Examining a consistency between reference data of a production object and data of a digital twin of the production object | |
EP3130167B1 (en) | Method for the secure access to a field device | |
EP2781058A1 (en) | Smart home appliance, smart home control unit, smart home system and method for incorporating a smart home appliance into a smart home system | |
EP3391278A1 (en) | Id token having a protected microcontroller | |
EP3266186B1 (en) | Network device and method for accessing a data network from a network component | |
DE112022000137T5 (en) | Elevator Accessory Authentication Method, System, Server and Storage Medium | |
EP3198826B1 (en) | Authentication stick | |
DE102013203436A1 (en) | Generate a key to provide permission information | |
EP3009992A1 (en) | Method and device for managing access rights | |
DE102006006804B4 (en) | Authorization of a user for an automation device | |
WO2016041843A1 (en) | Method and arrangement for authorising an action on a self-service system | |
DE102018102608A1 (en) | Method for user management of a field device | |
EP3336732A1 (en) | User authentication with a plurality of characteristics | |
EP2282281A2 (en) | Method and device assembly for authentication purposes on a service portal of a consumer service provider | |
DE102007012966A1 (en) | A method for authenticating a person to a controller and to a device | |
EP3692457A1 (en) | Method and system for providing a data-technical function by means of a data processing system of a track-bound vehicle | |
DE102014209191A1 (en) | System and method for downloading data stored on a tachograph | |
WO2016184727A1 (en) | Method for controlling access to a wireless local area network by a terminal | |
EP3391268A1 (en) | Method and system for protected communication between a mobile unit coupled to a smartphone and a server | |
DE102011117186A1 (en) | Method for controlling access to actuator or sensor in private or industrial sectors, involves verifying authority proof when information about access rights is analyzed by authorization functional unit of access control point | |
EP3900258B1 (en) | Method for guarding the integrity of a physical object | |
DE102013101846B4 (en) | access control device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |
Effective date: 20120503 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |