DE102010011656A1 - Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten - Google Patents

Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten Download PDF

Info

Publication number
DE102010011656A1
DE102010011656A1 DE102010011656A DE102010011656A DE102010011656A1 DE 102010011656 A1 DE102010011656 A1 DE 102010011656A1 DE 102010011656 A DE102010011656 A DE 102010011656A DE 102010011656 A DE102010011656 A DE 102010011656A DE 102010011656 A1 DE102010011656 A1 DE 102010011656A1
Authority
DE
Germany
Prior art keywords
network
post
session key
data
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102010011656A
Other languages
English (en)
Other versions
DE102010011656B4 (de
Inventor
Dr. Falk Rainer
Dr. Hof Hans-Joachim
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102010011656A priority Critical patent/DE102010011656B4/de
Publication of DE102010011656A1 publication Critical patent/DE102010011656A1/de
Application granted granted Critical
Publication of DE102010011656B4 publication Critical patent/DE102010011656B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten, wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens gegenüber einem zweiten Netzwerkknoten ein Sitzungsschlüssel (SK) und mindestens ein zugehöriger POST-Sitzungsschlüssel (POST-SK) bereitgestellt werden, wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel (SK) kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten übertragen werden, und wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten übertragen werden, mhisch verschlüsselt werden.

Description

  • Die Erfindung betrifft ein Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten und insbesondere ein Verfahren, welches das Einschleusen von Daten in ein drahtloses Netzwerk durch unberechtigte Teilnehmer verhindert
  • Netzwerke weisen Netzwerkknoten auf, die über drahtlose oder drahtgebundene Datenverbindungen miteinander Daten austauschen bzw. kommunizieren. In einem drahtlosen Netzwerk meldet sich ein Knoten bei dem Netzwerk an, um damit verbunden zu werden und eine Kommunikationssitzung bzw. Kommunikationssession aufzubauen. Zum Aufbau der Kommunikationssitzung können zwischen dem Knoten und dem Netzwerk Daten, insbesondere Nutzdaten, übertragen werden. Der Netzwerkknoten, der sich bei dem Netzwerk anmeldet, wird bei dem Aufbau der Kommunikationssitzung authentisiert. Falls der Netzwerkknoten akzeptiert wird, werden für eine Session bzw. Sitzung zugehörige kryptographische Sitzungsschlüssel eingerichtet. Diese Sitzungsschlüssel werden zum kryptographischen Schutz von Daten und Nachrichten, die während der Kommunikationssitzung ausgetauscht werden, verwendet.
  • Bei herkömmlichen Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten steht ein Sitzungsschlüssel für eine Kommunikationssitzung erst nach Aufbau der Kommunikationssitzung zur Verfügung. Wenn sich ein Knoten bei dem Netzwerk anmeldet, können die dabei übertragenen Daten nicht mit einem Sitzungsschlüssel kryptographisch geschützt werden, da zu diesem Zeitpunkt noch kein Sitzungsschlüssel eingerichtet ist. Die von dem anzumeldenden Netzwerkknoten stammenden Anmeldedaten werden herkömmlicherweise von einem Empfangsknoten des Netzwerkes an einen Authentisierungsserver bzw. einen Security Management Netzwerkknoten weitergeleitet.
  • Ein weiteres Beispiel für eine ungeschützte Datenübertragung sind WLAN Tags, die ohne sich bei einem Netzwerk anzumelden eine Statusmeldung übertragen, um lokalisierbar zu sein (sogenanntes Asset Tracking). Diese Statusmeldungen, welche von den WLAN Tags stammen, werden ähnlich wie Anmeldenachrichten an einen Tracking Server kryptographisch ungeschützt übertragen, da ohne eine aufgebaute Session bzw. Sitzung kein Sitzungsschlüssel eingerichtet und vorhanden ist. Ein Empfangsknoten des Netzwerkes kann daher derartige Daten bzw. Nachrichten auch nicht kryptographisch überprüfen. Der Empfangsknoten ist insbesondere nicht in der Lage zu überprüfen, ob die empfangenen Nachrichten bzw. Daten von einem berechtigten Knoten stammen oder nicht.
  • Es ist daher einem unberechtigten Dritten möglich, Daten an den Empfangsknoten zu übertragen, die dort bearbeitet bzw. von dort weitergeleitet werden. Es ist deshalb für unberechtigte Dritte möglich, sogenannte Denial of Service-Angriffe auf das Netzwerk zu führen. Dies ist beispielsweise bei batteriegespeisten Netzwerkknoten eines Multihop-Sensor-Netzwerkes oder bei einem Multihop-WLAN-Mesh-Netzwerk kritisch, da dort ungeprüfte Nachrichten über mehrere Hops hinweg durch das Netzwerk geleitet werden. Der dabei herbeigeführte Energieverbrauch kann dazu führen, dass die elektrische Ladung der in den Netzwerkknoten vorgesehenen Batterie aufgebraucht und so die Netzwerkknoten ihre Energieversorgung verlieren. Auch wird beim Weiterleiten von ungeprüften Nachrichten über mehrere Hops hinweg Übertragungskapazität belegt.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zu schaffen, die das missbräuchliche Einspeisen und Weiterleiten von Daten ohne aufgebaute Kommunikationssitzung verhindern.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
  • Die Erfindung schafft ein Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten, wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens gegenüber einem zweiten Netzwerkknoten ein Sitzungsschlüssel und mindestens ein zugehöriger POST-Sitzungsschlüssel bereitgestellt werden, wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten übertragen werden, und wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten übertragen werden, mit dem POST-Sitzungsschlüssel kryptographisch verschlüsselt werden.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens können sich die beiden Netzwerkknoten während der Datenübertragungssitzung in einem Sitzungszustand befinden, in dem Zustandsvariablen der Datenübertragung durch die Netzwerkknoten verwaltet werden.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wechseln die beiden Netzwerkknoten nach Beendigung der Datenübertragungssitzung von dem Sitzungszustand in einen IDLE-Zustand, in dem der Speicherplatz für die Zustandsvariablen der Datenübertragung freigegeben wird.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die Datenübertragungssitzung durch eine Terminate-Nachricht oder eine Disassociate-Nachricht beendet, die von mindestens einem der beiden Netzwerkknoten zu dem anderen Netzwerkknoten übertragen wird.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Datenübertragung zwischen den beiden Netzwerkknoten über eine drahtlose Schnittstelle.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der POST-Sitzungsschlüssel bis zu einem nächsten Authentifizierungsvorgang zur Authentifizierung des ersten Netzwerkknotens gegenüber dem zweiten Netzwerkknoten gültig.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens leitet der zweite Netzwerkknoten eine von dem ersten Netzwerkknoten empfangene Authentifizierungsnachricht an einen Server weiter, der den Sitzungsschlüssel und den zugehörigen POST-Sitzungsschlüssel an den zweiten Netzwerkknoten überträgt, welcher den Sitzungsschlüssel und den POST-Sitzungsschlüssel dem ersten Netzwerkknoten zur Verschlüsselung von Daten bereitstellt.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens generiert der Server den Sitzungsschlüssel und den zugehörigen POST-Sitzungsschlüssel.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird der POST-Sitzungsschlüssel von dem Sitzungsschlüssel mittels einer Schlüsselableitungsfunktion abgeleitet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird der Server durch einen AAA-Server oder einen Security-Management-Server gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden zusätzlich zu dem POST-Sitzungsschlüssel Informationsdaten übertragen, die angeben, unter welchen Bedingungen der POST-Sitzungsschlüssel durch einen oder beide Netzwerkknoten zur Verschlüsselung von Daten benutzt wird.
  • Die Erfindung schafft ferner ein Netzwerk mit den in Patentanspruch 12 angegebenen Merkmalen.
  • Die Erfindung schafft ein Netzwerk mit mindestens zwei Netzwerkknoten, wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens gegenüber einem zweiten Netzwerkknoten ein Sitzungsschlüssel und mindestens ein zugehöriger POST-Sitzungsschlüssel bereitgestellt werden,
    wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten des Netzwerkes übertragen werden und
    wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten des Netzwerkes übertragen werden, mit dem POST-Sitzungsschlüssel kryptographisch verschlüsselt werden.
  • Bei einer Ausführungsform des erfindungsgemäßen Netzwerkes handelt sich bei dem Netzwerk um ein drahtloses Netzwerk, insbesondere ein Sensornetzwerk, ein WLAN-Netzwerk oder um ein Mobilfunknetzwerk.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Netzwerkes ist das Netzwerk ein drahtgebundenes Netzwerk, insbesondere ein Ethernet-Netzwerk.
  • Bei einer Ausführungsform des erfindungsgemäßen Netzwerkes ist der erste Netzwerkknoten ein mobiler Netzwerkknoten.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Netzwerkes ist der erste Netzwerkknoten ein stationärer Netzwerkknoten.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Netzwerkes ist der zweite Netzwerkknoten ein Zugangsnetzwerkknoten eines Zugangsnetzwerkes.
  • Die Erfindung schafft ferner ein Programm mit Programmbefehlen zur Durchführung eines Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten, wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens gegenüber einem zweiten Netzwerkknoten ein Sitzungsschlüssel und mindestens ein zugehöriger POST-Sitzungsschlüssel bereitgestellt werden, wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten übertragen werden, und wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten übertragen werden, mit dem POST-Sitzungsschlüssel kryptographisch verschlüsselt werden.
  • Die Erfindung schafft ferner einen Datenträger, der ein derartiges Programm speichert.
  • Im Weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Netzwerkes unter Bezugnahme auf die beigefügten Figuren beschrieben.
  • Es zeigen:
  • 1 ein Blockschaltbild eines Sensor-Netzwerkknotens für ein Sensornetzwerk als Beispiel für ein Netzwerk, bei dem das erfindungsgemäße Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten eingesetzt werden kann;
  • 2 ein schematisches Diagramm zur Darstellung eines Beispiels für ein Sensor-Netzwerk, bei dem das erfindungsgemäße Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten eingesetzt werden kann;
  • 3 ein Signaldiagramm zur Erläuterung der von dem erfindungsgemäßen Verfahren gelösten technischen Aufgabe;
  • 4 ein Signaldiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten;
  • 5 ein Signaldiagramm zur Darstellung der herkömmlichen Vorgehensweise zur Kommunikation eines Netzwerkknotens mit einem WLAN-Zugangspunkt;
  • 6 ein Signaldiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen einem Netzwerkknoten und einem WLAN-Zugangspunkt;
  • 7 ein Signaldiagramm zur Darstellung der Datenübertragung zwischen Netzwerkknoten und einem herkömmlichen Wireless HART-Netzwerk;
  • 8 ein Signaldiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten und einem Wireless HART-Netzwerk.
  • Wie man aus 1 erkennen kann, weist der dort dargestellte Netzwerkknoten 1 mehrere Einheiten auf. Bei dem Netzwerkknoten 1 handelt es sich in dem dargestellten Beispiel um einen Sensorknoten für eindrahtloses Sensornetzwerk. Der Netzwerkknoten verfügt in dem dargestellten Beispiel über eine Eingabe/Ausgabeeinheit 2 zum Anschluss von Sensoren oder Aktoren 3-1, 3-2. Die Ein-/Ausgabeeinheit 2 des Sensorknotens 1 ist mit einem Mikroprozessor bzw. einer CPU 4 verbunden. Bei dem dargestellten Beispiel hat die CPU 4 Zugriff auf einen Flash-Speicher 5 und einen RAM-Speicher 6. Die CPU 4 ist mit einem Funkmodul 7 bzw. einem Transceiver verbunden. Dieser kann über eine Sende- und Empfangsantenne 8 und über eine drahtlose Schnittstelle mit einem anderen Netzwerkknoten Daten austauschen bzw. mit diesem Netzwerkknoten kommunizieren. Der Netzwerkknoten 1 verfügt über eine eigene Stromversorgung 9 beispielsweise eine Batterie. 1 zeigt ein Beispiel für einen Netzwerkknoten, bei dem es sich in dem dargestellten Beispiel um einen mobilen Netzwerkknoten handelt, der über eine drahtlose Schnittstelle mit weiteren Netzwerkknoten kommunizieren kann.
  • 2 zeigt ein Diagramm zur Darstellung eines Beispiels für ein Netzwerk, bei dem das erfindungsgemäße Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten eingesetzt werden kann. Bei dem dargestellten Ausführungsbeispiel handelt es sich um ein Sensornetzwerk, welches mehrere Sensornetzwerkknoten 1-1, 1-2, 1-3, 1-4 aufweist. Diese Sensornetzwerkknoten 1-i können zum Beispiel wie in 1 dargestellt aufgebaut sein. Das in 2 dargestellt Sensornetzwerk enthält ferner einen Gatewayknoten 1-5, über den das Sensornetzwerk mit einem Infrastrukturnetzwerk, beispielsweise dem Internet verbunden sein kann. Das Gateway 1-5 kann einen Security-Managementknoten enthalten oder mit einem separaten Security-Managementknoten verbunden sein. Wie in 2 dargestellt, können die Sensornetzwerkknoten 1-i über einen oder mehrere Hops mit dem Gatewayknoten 1-5 kommunizieren.
  • 3 zeigt ein Signaldiagramm zur Darstellung einer der herkömmlichen Vorgehensweise bei einer Netzwerkanmeldung eines Netzwerkknotens in einem Netzwerk, beispielsweise bei dem in 2 dargestellten Sensornetzwerk. Ein Netzwerkknoten, welcher sich bei dem Netzwerk anmelden möchte, JN (joining node) sendet eine Nachricht „authenticate” an einen anderen bereits angemeldeten Netzwerkknoten NN (Network Node), der diese Authentifizierungsnachricht entweder direkt oder über weitere Zwischenknoten FN (Further Nodes) an einen Authentisierungsserver AS bzw. Sicherheitsmanagementknoten SM weiterleitet. Kann sich der anmeldende Netzwerkknoten JN dort erfolgreich authentifizieren, überträgt der Authentisierungsserver AS bzw. der Sicherheitsmanagementknoten SM eine Nachricht „Accept” an den Netzwerkknoten NN, der die Anmeldung des Knotens JN akzeptiert, wobei der Authentisierungsserver AS bzw. der Sicherheitsmanagementknoten SM zusätzlich einen Sitzungsschlüssel SK überträgt. Der Netzwerkknoten NN leitet diese Nachricht zusammen mit dem Sitzungsschlüssel SK an den anzumeldenden Knoten JN weiter, wie in 3 dargestellt ist. Die weitere Kommunikation zwischen dem Knoten NN und dem Knoten JN kann mit dem Sitzungsschlüssel SK kryptographisch geschützt bzw. verschlüsselt erfolgen. Die Sitzung wird beendet, sobald der Knoten JN eine „Terminate”-Nachricht zur Beendigung der Sitzung an den Knoten NN überträgt, wie in 3 dargestellt ist. Während der Datenübertragungssitzung zwischen dem angemeldeten JN und dem Knoten NN werden die Daten mit dem von dem Server AS bereitgestellten Sitzungsschlüssel SK verschlüsselt übertragen. Bei dieser herkömmlichen Vorgehensweise, wie sie in 3 dargestellt ist, werden allerdings die Authentifizierungsnachricht „Authenticate” und die Bewilligungsnachricht „Accept” sowie alle nachfolgenden Authentifizierungs- und Bewirkungsnachrichten ungeschützt übertragen, wodurch die Sicherheit gegenüber Angriffen vermindert wird, insbesondere wenn diese Nachrichten über Zwischenknoten FN weitergeleitet werden.
  • 4 zeigt ein Signaldiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten beispielsweise zwischen den Netzwerkknoten des in 2 dargestellten Sensornetzwerkes.
  • Wie in 4 dargestellt, überträgt ein Netzwerkknoten JN, der sich bei dem Netzwerk anmelden möchte, zunächst eine Authentifizierungsnachricht „Authenticate” an einen bereits bei dem Netzwerk angemeldeten Netzwerkknoten NN, welcher diese Authentifizierungsnachricht „Authenticate entweder direkt oder über Zwischenknoten FN an den Authentisierungsserver bzw. Security Managementknoten SM weiterleitet. Nach einer erfolgten erfolgreichen Authentifizierung des Netzwerkknotens JN gegenüber dem zweiten Netzwerkknoten NN bzw. gegenüber dem Authentisierungsserver AS bzw. dem Security Managementknoten SM werden, wie in 4 dargestellt, ein Sitzungsschlüssel SK und mindestens ein zugehöriger POST-Sitzungsschlüssel POST-SK durch den Authentisierungsserver bzw. durch den Security Management-Netzwerkknoten SM bereitgestellt. Bei einer Ausführungsform generiert der Authentisierungsserver bzw. der Security Managementserver den Sitzungsschlüssel SK und den zugehörigen POST-Sitzungsschlüssel POST-SK. Bei einer möglichen Ausführungsform wird der POST-Sitzungsschlüssel POST-SK und der Sitzungsschlüssel SK mittels einer Schlüsselableitungsfunktion KDF (Key Derivation Function) abgeleitet. Beispielsweise kann der POST-Sitzungsschlüssel POST-SK mittels einer Schlüsselableitungsfunktion KDF aus dem Sitzungsschlüssel SK abgeleitet werden. Alternativ kann auch der Sitzungsschlüssel SK mittels einer Schlüsselableitungsfunktion KDF aus einem generierten POST-Sitzungsschlüssel POST-SK abgeleitet werden. Bei einer möglichen Ausführungsform hängt der Sitzungsschlüssel SK für eine Sitzung bzw. Session von dem Sitzungsschlüssel SK ab, der in der vorangehenden Sitzung verwendet wurde. Bei einer weiteren Ausführungsform wird der POST-Sitzungsschlüssel (pseudo-)zufällig generiert. Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens wird der POST-Sitzungsschlüssel durch den zweiten Netzwerkknoten generiert.
  • Für einen POST-Sitzungsschlüssel POST-SK kann in dem Sensornetzwerk jeweils für zwei Knoten ein individueller Schlüsselwert generiert und bereitgestellt werden. In einer möglichen alternativen Ausführungsform kann für den den POST-Sitzungsschlüssel POST-SK mehreren oder allen Sensorknoten eines Sensornetzwerks der gleiche Wert bereitgestellt werden.
  • In einer Variante kann ein Joining Node gleichzeitig über mehrere aufgebaute Sitzungen verfügen, d. h. zu mehreren Nachbarknoten. Er kann einen POST-Sitzungsschlüssel dabei nur dann verwenden, wenn keine Sitzung aufgebaut ist, d. h. mit keinem Knoten eine aufgebaute Sitzung besteht.
  • In einer weiteren Variante kann ein Joining Node einen POST-Sitzungsschlüssel auch für die Kommunikation zu einem weiteren Nachbarknoten verwenden, soweit mit diesem keine Sitzung aufgebaut ist.
  • Bei einer möglichen Ausführungsform weisen der Sitzungsschlüssel SK und der POST-Sitzungsschlüssel POST-SK eine unterschiedliche Schlüssellänge auf. Bei einer Ausführungsform ist der Sitzungsschlüssel SK länger als der POST-Sitzungsschlüssel POST-SK. Bei einer möglichen Ausführungsform weist der Sitzungsschlüssel SK z. B. eine Bitlänge von 128 Bit oder 256 Bit auf. Bei einer Ausführungsform weist der POST-Sitzungsschlüssel POST-SK z. B. eine Bitlänge von 56 Bit oder 32 Bit auf.
  • Der Sitzungsschlüssel SK kann verwendet werden, um die übertragenen Daten während der Sitzung gemäß einem ersten Verschlüsselungsverfahren kryptographisch zu schützen. Beispielsweise wird dadurch sowohl die Vertraulichkeit wie auch die Integrität von übertragenen Daten geschützt, z. B. mittels einer AES-CCM-Verschlüsselung. Dagegen kann der POST-Sitzungsschlüssel POST-SK verwendet werden, um die übertragenen Daten nach Beendigung der Sitzung gemäß einem zweiten Verschlüsselungsverfahren kryptographisch zu schützen. Beispielsweise wird dadurch die Integrität von Daten geschützt, z. B. mittels einer AES-CBC-MAC-Prüfsumme oder einer HMAC-SHA1-Prüfsumme.
  • Wie in 4 dargestellt, wird die Bewilligungsnachricht „Accept” sowie die beiden bereitgestellten Schlüssel, das heißt der Sitzungsschlüssel SK und der POST-Sitzungsschlüssel POST-SK an den Netzwerkknoten NN übertragen und dort beispielsweise über eine drahtlose Schnittstelle an den sich anmeldenden Netzwerkknoten JN weitergeleitet. Bei einer nachfolgenden Datenübertragungssitzung zwischen dem Knoten JN und dem anderen Netzwerkknoten NN werden die Daten kryptographisch verschlüsselt mit Hilfe des Sitzungsschlüssels SK. Nach Beendigung der Sitzung, das heißt nachdem der erste Netzwerkknoten JN eine Beendigungsnachricht „Terminate” an den zweiten Netzwerkknoten NN übertragen hat, werden weitere Daten oder Nachrichten mit dem POST-Sitzungsschlüssel POST-SK kryptographisch verschlüsselt übertragen. Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten JN, NN übertragen werden, werden somit mit dem POST-Sitzungsschlüssel POST-SK kryptographisch vor Angriffen geschützt.
  • Wie man aus dem Beispiel in 4 erkennen kann, dient der Sitzungsschlüssel SK vor allem zum kryptographischen Schutz der Nutzdaten, die während der Datenübertragungssitzung zwischen den beiden Netzwerkknoten JN, NN ausgetauscht werden. Demgegenüber dient der zugehörige POST-Sitzungsschlüssel POST-SK vor allem dem Schutz des Netzwerkmanagements, beispielsweise bei einer nachfolgenden weiteren Authentifizierung und daher vor allem auch dem kryptographischen Schutz von weiteren übertragenen Anmeldedaten. Der POST Sitzungsschlüssel POST-SK kann insbesondere verwendet werden, um eine kryptographische Prüfsumme (Message Integrity Code, MIC) einer Nachricht zu berechnen bzw. zu prüfen. Weiterhin kann der POST-Sitzungsschlüssel zur Verschlüsselung von Daten während einer Netzwerk-Discovery oder bei einem Netzwerk-Monitoring eingesetzt werden. Da der Sitzungsschlüssel SK und der POST-Sitzungsschlüssel POST-SK unterschiedliche Bitlängen aufweisen können, kann je nach Anforderung die zur Verfügung stehende Bandbreite insbesondere bei einer drahtlosen Schnittstelle, optimal ausgenutzt werden. Der POST-Sitzungsschlüssel POST-SK kann für den Schutz von Datenframes oder Nachrichten, die über eine Funkschnittstelle ohne aufgebaute Session bzw. Sitzung zu einem direkten Nachbarknoten übertragen werden, eingesetzt werden. In einem Multihop-Netzwerk kann der eingerichtete Sitzungsschlüssel und der zugehörige POST-Sitzungsschlüssel POST-SK ebenfalls zum Schutz der Nachrichtenübertragung verwendet werden.
  • In einer möglichen Ausführungsform können zusätzlich zu dem POST-Sitzungsschlüssel POST-SK Informationsdaten übertragen, die angeben, unter welchen Bedingungen der POST-Sitzungsschlüssel POST-SK durch einen der beiden Netzwerkknoten JN, NN zur Verschlüsselung von Daten benutzt wird. Diese Informationsdaten können beispielsweise Angaben zu Nachbaradressen oder Netzwerknamen enthalten.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens befinden sich die beiden Netzwerkknoten JN, NN während der Datenübertragungssitzung bzw. Session in einem Sitzungszustand, in dem Zustandsvariablen der Datenübertragung durch die beiden Netzwerkknoten verwaltet werden. In dem in 4 dargestellten Beispiel befinden sich die beiden Netzwerkknoten JN, NN in dem Zeitraum zwischen dem Empfang der Bewilligungsnachricht „Accept” durch den anmeldenden Netzwerkknoten JN und der Übertragung der Sitzungsbeendigungsnachricht „Terminate” in einem derartigen Sitzungszustand.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wechseln die beiden Netzwerkknoten JN, NN nach Beendigung der Datenübertragungssitzung von dem Sitzungszustand in einen IDLE-Zustand, in dem der Speicherplatz für die Zustandsvariablen der Datenübertragung freigegeben wird.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens ist der POST-Sitzungsschlüssel POST-SK bis zu einem nächsten Authentifizierungsvorgang zur Authentifizierung des ersten Netzwerkknotens JN gegenüber dem zweiten Netzwerkknoten NN gültig. Der POST-Sitzungsschlüssel POST-SK kann zur Verschlüsselung von Nachrichten verwendet werden, die der Netzwerkknoten, ohne dass er sich in einer Sitzung befindet, sendet. Daher ist es auch möglich, dass ein direkter Nachbarknoten überprüfen kann, ob Daten von einem dieser Knoten gesendet wurden, der früher schon einmal mit dem Netzwerk verbunden war, ohne dass eine Sitzung bzw. Session aufgebaut ist. Bei einer möglichen Ausführungsform werden in Abhängigkeit davon, ob der andere Netzwerkknoten nachweisbar schon einmal mit dem Netzwerk verbunden bzw. dort angemeldet war, die sitzungslos übertragenen Daten bzw. Nachrichten behandelt. Diese Überprüfung, ob ein Knoten bereits mit dem Netzwerk verbunden bzw. dort angemeldet war, kann durch den Empfangsknoten, beispielsweise den Knoten NW, selbst erfolgen, bevor er die Daten weiterleitet, beispielsweise an einen Authentifizierungsserver AS.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Behandlung von sitzungslos bzw. sessionlos übertragenen Daten entsprechend einer bestimmten Policy zur Behandlung derartiger Daten.
  • Eine Policy, wie einzelne Klassen von sitzungslos übertragenen Daten zu behandeln sind, kann bei dem jeweiligen Knoten fest eingerichtet sein. Alternativ kann eine derartige Behandlungs-Policy auch adaptiv abhängig von einer aktuellen Datenübertragungslast des Knotens bzw. des Netzwerkes sowie eines Batteriestatus des Empfangsknotens oder eines Typs des Empfangsknotens angepasst werden. Beispielsweise kann eine Policy darin bestehen, dass bei einer starken Belastung des Netzwerkknotens oder bei einem batteriebetriebenen Netzwerkknoten nur sitzungslos übertragene Daten bzw. Nachrichten akzeptiert werden, die mit einem gültigen POST-Sitzungsschlüssel POST-SK kryptographisch geschützt sind.
  • 5 zeigt ein Signaldiagramm zur Darstellung der herkömmlichen Vorgehensweise bei der Kommunikation innerhalb eines WLAN-Netzwerkes. Eine Station STA bzw. eine WLAN-Station, das heißt ein mobiler Netzwerkknoten führt zunächst ein IEEE 802.11 Linksetup mit einem Zugangspunkt bzw. Access Point AP des Netzwerkes durch. Anschließend authentifiziert sich der Netzwerkknoten STA in einem EAP-Authentifizierungsvorgang gegenüber dem AAA-Server als dem Authentifizierungsserver. Die Kommunikation zwischen dem Zugangsknoten bzw. dem Access Point AP und dem AAA-Server kann über ein Radius oder Diameter-Protokoll erfolgen. Nach erfolgreicher Authentifizierung des Knotens bzw. der WLAN-Station STA wird ein Master-Sitzungsschlüssel MSK(Master Session Key) an den Zugangsknoten AP als Teil der EAP Success-Nachricht gesendet. Dieser Master-Sitzungsschlüssel MSK kann für den nachfolgenden 802.11 Vierwege Handshake 4WHS zwischen der WLAN-Station STA und dem Zugangsknoten AP gemäß dem 802.11-Standard verwendet werden. Die Kommunikation zwischen dem Zugangsknoten AP und dem Authentisierungsserver kann direkt erfolgen oder über einen oder mehrere AAA-Proxy Server, welche die AAA-Nachrichten zwischen dem Zugangsknoten und dem Authentisierungsserver routen.
  • 6 zeigt ein Signaldiagramm zur Darstellung eines Ausführungsbeispieles des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten bei einem WLAN-Netzwerk. Wie in 6 dargestellt, stellt der AAA-Server bzw. der Authentisierungsserver AS nach erfolgreicher Authentifizierung der sich anmeldenden WLAN Station STA nicht nur einen Sitzungsschlüssel SK bzw. Master Sitzungsschlüssel MSK bereit, sondern zusätzlich einen zugehörigen POST-Sitzungsschlüssel POST-SK. Nach Beendigung der Sitzung bzw. Verbindung zwischen der WLAN-Station STA und dem Zugangsknoten AP kann die weitere Kommunikation mit Hilfe des bereitgestellten POST-Sitzungsschlüssel POST-SK kryptographisch geschützt werden. Die Datenübertragungssitzung kann durch eine Terminate- oder eine Dissassociate-Nachricht, die von mindestens einem der beiden Netzwerkknoten STA, AP zu dem anderen Netzwerkknoten übertragen wird, beendet werden. Nach Beendigung der Datenübertragungssitzung erfolgt eine Verschlüsselung der Daten bzw. Nachrichten, die zwischen dem Knoten STA und AP ausgetauscht werden, mittels des bereitgestellten POST-Sitzungsschlüssel POST-SK.
  • 7 zeigt ein Signaldiagramm zur Darstellung der herkömmlichen Vorgehensweise bei der Datenübertragung an einem Wireless HART Netzwerk. Der sich anmeldende Netzwerkknoten N ist bei der Darstellung in 7 im Gegensatz zu den anderen Figuren auf der rechten Seite dargestellt. Wie in 7 zu sehen, wird die Datenübertragungsstrecke zwischen dem ersten Netzwerkknoten bei einem bereits angemeldeten Netzwerkknoten B des Netzwerkes mit Hilfe eines Sitzungsschlüssels K-NET kryptographisch geschützt bis die Datenübertragungssitzung beendet ist.
  • 8 zeigt ein Signaldiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten eines Wireless HART-Netzwerkes.
  • Wie aus 8 zu erkennen, erhält der sich anmeldende Netzwerken N von dem Security Managementknoten SM nicht nur einen Sitzungsschlüssel K-NET, sondern zusätzlich auch einen POST-Sitzungsschlüssel POST-SK. Nach Beendigung der Sitzung (Line Termination) wird dieser bereitgestellte POST-Sitzungsschlüssel zum Schutz der Datenübertragung zwischen dem angemeldeten Netzwerkknoten N und dem Netzwerkknoten B des HART-Netzwerkes eingesetzt.
  • Bei dem erfindungsgemäßen Verfahren werden Daten, wie die voran gezeigten Ausführungsbeispiele belegen, auch ohne eine aufgebaute Datenübertragungssitzung kryptographisch geschützt übertragen werden. Insbesondere wird das Netzwerk vor Daten geschützt, die von Außenstehenden unbefugt eingeschleust werden. Es ist somit eine feingranulare Behandlung des Datenverkehrs ohne Security-Session möglich.
  • Durch das erfindungsgemäße Verfahren werden Denial of Service-Angriffe auf das Netzwerk, insbesondere auf ein Sensornetzwerk deutlich erschwert.
  • Das erfindungsgemäße Verfahren eignet sich sowohl für drahtlose als auch für drahtgebundene Netzwerke. Die drahtlosen Netzwerke können Sensornetzwerke, WLAN-Netzwerke und Mobilfunknetzwerke umfassen. Bei Sensornetzwerken kann es sich um Single-Hop-, aber auch um Multi-Hop-Sensornetzwerke handeln. Ein Beispiel für ein Single-Hop-Sensornetzwerk ist etwa ein Bluetooth-Sensornetzwerk. Ein Multi-Hop-Netzwerk kann beispielsweise ein Bluetooth- oder ein ZigBee-Sensornetzwerk sein. Die drahtlosen WLAN-Netzwerke können insbesondere auch Mesh-Netzwerke umfassen. Das erfindungsgemäße Verfahren eignet sich auch für Mobilfunknetzwerke, wie beispielsweise WIMAX, UMTS oder LTE. Es wird insbesondere eine missbräuchliche Weiterleitung und Bearbeitung von Datenframes verhindert, die über eine Schnittstelle, insbesondere eine drahtlose Schnittstelle, von einem Knoten empfangen werden, mit dem aktuell keine kryptographisch geschützte Datenübertragungssitzung (Session) aufgebaut ist. Bei Daten, die durch einen Empfangsknoten empfangen werden und die nicht mit dem POST-Sitzungsschlüssel POST-SK verschlüsselt sind, kann eine unterschiedliche Behandlung erfolgen. Die Daten können beispielsweise blockiert werden. Weiterhin kann die Bearbeitung der Datenframes bzw. Daten mit unterschiedlicher Priorität erfolgen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEEE 802.11 [0056]
    • 802.11-Standard [0056]

Claims (16)

  1. Verfahren zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten (1), wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens (1-i) gegenüber einem zweiten Netzwerkknoten (1-i) ein Sitzungsschlüssel (SK) und mindestens ein zugehöriger POST-Sitzungsschlüssel (POST-SK) bereitgestellt werden, wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel (SK) kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten (1-i, 1-j) übertragen werden, und wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten (1-i, 1-j) übertragen werden, mit dem POST-Sitzungsschlüssel (POST-SK) kryptographisch verschlüsselt werden.
  2. Verfahren nach Anspruch 1, wobei die beiden Netzwerkknoten (1-i, 1-j) sich während der Datenübertragungssitzung in einem Sitzungszustand befinden, in dem Zustandsvariablen der Datenübertragung durch die Netzwerkknoten verwaltet werden.
  3. Verfahren nach Ansprüchen 1 oder 2, wobei die beiden Netzwerkknoten (1-i, 1-j) nach Beendigung der Datenübertragungssitzung von dem Sitzungszustand in einen IDLE-Zustand wechseln, in dem der Speicherplatz für die Zustandvariablen der Datenübertragung freigegeben wird.
  4. Verfahren nach Ansprüchen 1–3, wobei die Datenübertragungssitzung durch eine Terminate-Nachricht oder eine Disassociate-Nachricht, die von mindestens einem der beiden Netzwerkknoten (1-i) zu dem anderen Netzwerkknoten (1-j) übertragen wird, beendet wird.
  5. Verfahren nach Ansprüchen 1–4, wobei die Datenübertragung zwischen den beiden Netzwerkknoten (1-i, 1-j) über eine drahtlose Schnittstelle erfolgt.
  6. Verfahren nach Ansprüchen 1–5, wobei der POST-Sitzungsschlüssel (POST-SK) bis zu einem nächsten Authentifizierungsvorgang zur Authentifizierung des ersten Netzwerkknotens (1-i) gegenüber dem zweiten Netzwerkknoten (1-j) gültig ist.
  7. Verfahren nach Anspruch 1–6, wobei der zweite Netzwerkknoten (1-i, 1-j) eine von dem ersten Netzwerkknoten empfangene Authentifizierungsnachricht an einen Server (AS) weiterleitet, der den Sitzungsschlüssel (SK) und den zugehörigen POST-Sitzungsschlüssel (POST-SK) an den zweiten Netzwerkknoten (1-j) überträgt, welcher den Sitzungsschlüssel (SK) und den POST-Sitzungsschlüssel (POST-SK) dem ersten Netzwerkknoten (1-i) zur Verschlüsselung von Daten bereitstellt.
  8. Verfahren nach Anspruch 7, wobei der Server (AS) den Sitzungsschlüssel (SK) und den zugehörigen POST-Sitzungsschlüssel (POST-SK) generiert.
  9. Verfahren nach Anspruch 8, wobei der POST-Sitzungsschlüssel (POST-SK) von dem Sitzungsschlüssel (SK) mittels einer Schlüsselableitungsfunktion (KDF) abgeleitet wird.
  10. Verfahren nach Ansprüchen 7–9, wobei der Server (AS) durch einen AAA-Server oder einen Security-Management-Server (SM) gebildet wird.
  11. Verfahren nach Ansprüchen 7–10, wobei zusätzlich zu dem POST-Sitzungsschlüssel (POST-SK) Informationsdaten übertragen werden, die angeben, unter welchen Bedingungen der POST-Sitzungsschlüssel (POST-SK) durch einen oder beide Netzwerkknoten zur Verschlüsselung von Daten benutzt wird.
  12. Netzwerk mit mindestens zwei Netzwerkknoten, wobei nach einer erfolgten Authentifizierung eines ersten Netzwerkknotens (1-i) gegenüber einem zweiten Netzwerkknoten (1-j) ein Sitzungsschlüssel (SK) und mindestens ein zugehöriger POST-Sitzungsschlüssel (POST-SK) bereitgestellt werden, wobei Daten in einer nachfolgenden Datenübertragungssitzung mit dem Sitzungsschlüssel (SK) kryptographisch verschlüsselt zwischen den beiden Netzwerkknoten (1-i, 1-j) des Netzwerkes übertragen werden und wobei Daten, die nach Beendigung der Datenübertragungssitzung zwischen den beiden Netzwerkknoten (1-i, 1-j) des Netzwerkes übertragen werden, mit dem POST-Sitzungsschlüssel (POST-SK) kryptographisch verschlüsselt werden.
  13. Netzwerk nach Anspruch 12, wobei das Netzwerk ein drahtloses Netzwerk, insbesondere ein Sensornetzwerk, ein WLAN-Netzwerk oder ein Mobilfunknetzwerk ist, oder ein drahtgebundenes Netzwerk, insbesondere ein Ethernet-Netzwerk, ist.
  14. Netzwerk nach Ansprüchen 12 oder 13, wobei der erste Netzwerkknoten (1-i) ein mobiler oder stationärer Netzwerkknoten ist und wobei der zweite Netzwerkknoten (1-j) ein Zugangsnetzwerkknoten (AP) eines Zugangsnetzwerkes ist.
  15. Programm mit Programmbefehlen zur Durchführung des Verfahrens zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten nach Ansprüchen 1–11.
  16. Datenträger, der das Programm nach Anspruch 15 speichert.
DE102010011656A 2010-03-17 2010-03-17 Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten Expired - Fee Related DE102010011656B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010011656A DE102010011656B4 (de) 2010-03-17 2010-03-17 Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010011656A DE102010011656B4 (de) 2010-03-17 2010-03-17 Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten

Publications (2)

Publication Number Publication Date
DE102010011656A1 true DE102010011656A1 (de) 2011-09-22
DE102010011656B4 DE102010011656B4 (de) 2012-12-20

Family

ID=44585232

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010011656A Expired - Fee Related DE102010011656B4 (de) 2010-03-17 2010-03-17 Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten

Country Status (1)

Country Link
DE (1) DE102010011656B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015169347A1 (de) * 2014-05-06 2015-11-12 Vega Grieshaber Kg Verfahren zur verschlüsselten datenübertragung in der prozessautomatisierungstechnik
EP3518489A1 (de) * 2018-01-26 2019-07-31 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
802.11-Standard
IEEE 802.11

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015169347A1 (de) * 2014-05-06 2015-11-12 Vega Grieshaber Kg Verfahren zur verschlüsselten datenübertragung in der prozessautomatisierungstechnik
EP3518489A1 (de) * 2018-01-26 2019-07-31 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
EP3518492A1 (de) * 2018-01-26 2019-07-31 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
WO2019145207A1 (de) * 2018-01-26 2019-08-01 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
US11177952B2 (en) 2018-01-26 2021-11-16 Siemens Aktiengesellschaft Method and system for disclosing at least one cryptographic key

Also Published As

Publication number Publication date
DE102010011656B4 (de) 2012-12-20

Similar Documents

Publication Publication Date Title
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP2052487B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
EP2324595B1 (de) Verfahren zur datenübertragung zwischen netzwerkknoten
DE112006002200B4 (de) Gerät für die drahtlose Kommunikation und Verfahren zum Schützen rundgesendeter Verwaltungssteuernachrichten in drahtlosen Netzwerken
CA2602581C (en) Secure switching system for networks and method for secure switching
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
EP2030404A1 (de) Verfahren und system zum bereitstellen eines mesh-schlüssels
DE102005027232A1 (de) Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP3759958B1 (de) Verfahren, vorrichtung und computerprogrammprodukt zur überwachung einer verschlüsselten verbindung in einem netzwerk
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
WO2007025857A1 (de) Verfahren und anordnung zum übertragen von daten in einem ein mehrsprungverfahren nutzenden kommunikationssystem
EP4199564A1 (de) Quantensichere übertragung von daten über mobilfunknetz
DE102013215577A1 (de) Verfahren und System zur geschützten Gruppenkommunikation mit Sender-Authentisierung
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
WO2019201571A1 (de) Bereitstellung von sicherheitskonfigurationsdaten einer zugangsverbindung
DE102011102489A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Indentifikationskennung eines elektronischen Endgeräts
DE102014212038A1 (de) Netzwerksystem mit Ende-zu-Ende Verschlüsselung
EP2536101B1 (de) Verfahren zum Aufbau einer verschlüsselten Verbindung, Netzvermittlungseinheit und Telekommunikationssystem
DE102018207515A1 (de) Verfahren und Zugangsvorrichtung zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs
DE102019105571A1 (de) Sichere eap-aka-authentifizierung über ein proxy
DE102009019864A1 (de) Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20121002