-
Die vorliegende Erfindung betrifft Verfahren zur Generierung eines geheimen, kryptographischen Schlüssels in einem Netzwerk, insbesondere die Erzeugung eines gemeinsamen, geheimen Schlüssels zwischen dem Netzwerk und einem Teilnehmer, sowie Teilnehmer an einem Netzwerk, die dazu eingerichtet sind, solche Verfahren durchzuführen.
-
Stand der Technik
-
Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst – je nach Anwendung – verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität.
-
Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptographische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: Symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, sowie asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit dem öffentlichen (d.h. auch einem potenziellen Angreifer möglicherweise bekannten) Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem legitimen Empfänger bekannt ist.
-
Asymmetrische Verfahren haben unter anderem den Nachteil, dass Sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten, wie z.B. Sensoren, Aktuatoren, o.ä., geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie geringen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz von Energy Harvesting. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht.
-
Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM-Karte den entsprechenden Schlüssel zuordnen. Im Fall von Wireless LANs hingegen erfolgt üblicherweise eine manuelle Eingabe der zu verwendenden Schlüssel („Pre-Shared Keys“, in der Regel durch die Eingabe eines Passwortes festgelegt) bei der Einrichtung eines Netzwerkes. Ein solches Schlüsselmanagement wird allerdings schnell sehr aufwändig und impraktikabel wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel oftmals überhaupt nicht bzw. nur mit sehr großem Aufwand möglich.
-
Seit einiger Zeit werden daher unter dem Schlagwort „Physical Layer Security“ neuartige Ansätze untersucht und entwickelt, mit Hilfe derer Schlüssel für symmetrische Verfahren automatisch auf der Grundlage der Übertragungskanäle zwischen den involvierten Knoten erzeugt werden können. Die Ermittlung von Zufallszahlen oder Pseudozufallszahlen aus Kanalparametern ist z.B. der
WO 1996023376 A2 zu entnehmen, die Erzeugung geheimer Schlüssel aus Kanalparametern ist in der
WO 2006081122 A2 offenbart.
-
Bislang wurden in der Literatur vor allem Ansätze betrachtet und untersucht, bei denen die oben skizzierte Schlüsselgenerierung direkt zwischen zwei Knoten erfolgt.
-
Offenbarung der Erfindung
-
Die Erfindung betrifft Verfahren gemäß den unabhängigen Verfahrensansprüchen sowie Teilnehmer an einem Netzwerk bzw. Netzwerke, die dazu eingerichtet sind, eines der Verfahren durchzuführen. Des Weiteren betrifft die Erfindung ein Computerprogramm, das dazu eingerichtet ist, eines der Verfahren durchzuführen.
-
Ausgegangen wird dabei von einem Netzwerk mit mindestens drei Teilnehmern. Dabei bedeutet Teilnehmer am Netzwerk, dass jeder Teilnehmer mit mindestens einem weiteren Teilnehmer des Netzwerkes kommunizieren kann. Diese Kommunikation muss aber im Ausgangspunkt zwischen zwei der Teilnehmer keine abgesicherte Kommunikation sein, d.h. diese beiden Teilnehmer verfügen im Ausgangspunkt insbesondere nicht über einen gemeinsamen geheimen Schlüssel. Eine solche Kommunikation soll zumindest zwischen diesen aufgebaut werden. In einer Variante besteht schon eine abgesicherte Kommunikationsverbindung zwischen diesen beiden Teilnehmern, diese soll allerdings erneuert werden, also eine erneute abgesicherte Verbindung aufgebaut werden. Hierzu soll im Netzwerk ein neuer gemeinsamer, geheimer Schlüssel generiert werden, auf dessen Basis die Kommunikation abgesichert werden kann.
-
Zwei Teilnehmer des Netzwerkes mit bereits abgesicherter Kommunikation bestimmen hierzu je eine Teilwertfolge, z.B. eine Bitsequenz, aus physikalischen Eigenschaften ihres jeweiligen Übertragungskanals zu dem dritten Teilnehmer, mit dem eine abgesicherte Kommunikation aufgebaut werden soll (entweder als neue abgesicherte Kommunikation oder als erneuerte). Zwischen den zwei abgesicherten Teilnehmern, bzw. in einem Abschnitt des Netzwerks mit abgesicherter Kommunikation, dem zumindest die beiden abgesicherten Teilnehmer angehören, wird aus den Teilwertfolgen ein Schlüssel, bzw. einen Gesamtschlüssel generiert. Dabei können Verarbeitungsschritte, welche zur Ableitung eines Schlüssels aus Kanalschätzungen nötig sind, bereits ganz oder weitgehend in den einzelnen bereits abgesicherten Teilnehmern erfolgen, sie können aber auch ganz oder weitgehend an einen oder mehrere andere Teilnehmer ausgelagert werden. Somit können die generierten und zwischen diesen Teilnehmer ausgetauschten Teilwertfolgen, aus denen dann der Gesamtschlüssel erstellt wird, je nach Ausführungsvariante z.B. weitgehend rohe Kanalparametersätze oder bereits fehlerkorrigierte und mit dem anzubindenden Teilnehmer abgeglichene Schlüssel sein. In dem dritten Teilnehmer wird ebenfalls der Gesamtschlüssel aus den Teilwertfolgen generiert. Eine abgesicherte Kommunikation kann nun auf Basis des gemeinsamen, geheimen Schlüssels erfolgen.
-
Im Vergleich zu asymmetrischen Verfahren bringt die vorgestellte Vorgehensweise Kosteneinsparungen in der Hardware sowie einen geringeren Energieverbrauch mit sich. Im Vergleich zu herkömmlichen symmetrischen Verfahren weist es ein stark vereinfachtes Schlüsselmanagement auf. Das Verfahren ist einfach einsetzbar und bedienbar und durch seine weitgehende Automatisierung auch von Personen ohne besondere Fachkenntnisse einfach durchführbar. Die Sicherheit ist skalierbar, d.h. es können je nach Anforderung im Prinzip Schlüssel beliebiger Länge erzeugt werden.
-
Mit dem beschriebenen Ansatz dienen mehrere, in den meisten Fällen voneinander unabhängige Übertragungskanäle als Grundlage für die Generierung des Gesamtschlüssels. Dies ist einerseits vorteilhaft, weil dadurch Angriffe durch Modellbildung deutlich erschwert werden. In bestimmten Szenarien, die nicht unbedingt a priori bekannt sind, könnte ein Angreifer beispielsweise versuchen, die Ausbreitungsbedingungen zwischen zwei Knoten mit Hilfe eines geeigneten Modells nachzubilden, um somit Rückschlüsse auf die beobachteten Kanäle ziehen zu können. Dies könnte insbesondere dann kritisch werden, wenn der Kanal zwischen zwei Knoten aufgrund besonderer Umstände (z.B. starke Line-of-Sight-Komponente bei drahtlosen Kanälen) recht gut prädizierbar wird. Je mehr voneinander unabhängige Übertragungskanäle als Grundlage für die Schlüsselgenerierung dienen, desto schwerer wird eine gute Modellbildung. In einer typischen Büroumgebung, in der ein mobiles Endgerät mit einem fest installierten W-LAN einen Schlüssel aushandeln soll, kann es beispielsweise vergleichsweise häufig vorkommen, dass ein Endgerät eine direkte Sichtverbindung mit einem Access Point hat, aber die Wahrscheinlichkeit, dass das Endgerät mit N Access Points gleichzeitig eine direkte Sichtverbindung hat, nimmt mit steigendem N üblicherweise recht schnell ab. Gleichzeitig verbessert die Erfindung aber auch die Sicherheit, falls ein potenzieller Angreifer versucht, einen bestimmten Übertragungskanal selbst zu messen. Bei dem beschriebenen Ansatz, bei dem ein mobiles Endgerät sich sicher mit einem W-LAN vernetzen soll, wäre es beispielsweise denkbar, dass ein Angreifer direkt neben dem Access Point steht, mit dem das Endgerät einen Schlüssel generieren möchte. Da dies von dem Nutzer, der das Endgerät bedient, nicht unbedingt bemerkt wird und da der Angreifer in so einem Fall möglicherweise beliebig nahe an den Access Point herankommt, könnte er somit den Übertragungskanal zwischen dem Access Point und dem Endgerät ggf. recht gut selbst schätzen. Sofern wie in der Erfindung vorgeschlagen aber mehrere, in der Regel räumlich getrennte Knoten des sicheren Netzwerkes in die Schlüsselgenerierung mit einbezogen sind, wird so ein Angriffsszenario natürlich deutlich erschwert.
-
Durch die Beteiligung von insgesamt mindestens drei Teilnehmern zur Schlüsselgenerierung wird es potentiellen Angreifern also deutlich erschwert, die für eine missbräuchliche Schlüsselgenerierung nötigen Informationen abzugreifen. Neben den Mechanismen zur Generierung der Schlüssel müsste der Angreifer zudem auf die Mechanismen zur Erstellung des Gesamtschlüssels aus den Teilwertfolgen kennen. Die Sicherheit der Schlüsselgenerierung gegenüber möglichen Angreifern wird somit verbessert.
-
Zudem erhöht sich durch den Einsatz von mindestens zwei Übertragungskanälen zur Generierung eines einzelnen Schlüssels die Wahrscheinlichkeit einer ausreichenden Entropie der verwendeten Parameter zur Generierung eines sicheren Schlüssels. Dies ergibt sich aus der Tatsache, dass mehrere voneinander unabhängige Übertragungskanäle als Grundlage für die Schlüsselgenerierung dienen und somit die Wahrscheinlichkeit, dass alle involvierten Übertragungskanäle zum Zeitpunkt der Schlüsselgenerierung nicht genügend Entropie bieten, mit zunehmender Anzahl verringert wird.
-
In einer besonders bevorzugten Variante der Erfindung findet eine weitere Verknüpfung der beiden Teilwertfolgengenerierungen statt. Dabei ermitteln die beiden abgesicherten Teilnehmer des Netzwerks Eigenschaften des jeweiligen Übertragungskanals zum abzusichernden Teilnehmer zumindest teilweise gleichzeitig aus einer Broadcast-Übertragung bzw. aus demselben Sendesignal des Teilnehmers.
-
Die führt zu einer Verbesserung der Leistungsfähigkeit der Schlüsselgenerierung, insbesondere in Hinblick auf die dafür benötigte Zeit und den Energiebedarf. Das ergibt sich insbesondere aus der möglichen optimierten Kanalschätzphase. Nimmt man beispielsweise (willkürlich) an, dass pro Pilotsequenz ein Kanalschätzwert eines bestimmten Kanals ermittelt werden kann und man für eine ausreichende Schlüsselentropie zunächst 500 solcher Kanalschätzwerte bestimmen sollte, so müssen bei einer ‚klassischen‘ Schlüsselgenerierung zwischen zwei Knoten 2·500 = 1000 Pilotsequenzen dafür übertragen werden (Faktor 2 da der Kanal in beide Richtungen geschätzt werden muss). Mit der vorliegenden Erfindung benötigt man beispielsweise mit N = 5 Netzwerkknoten hingegen lediglich 100 + 5·100 = 600 Pilotsequenzen. 100 Pilotsequenzen müssen dabei in Summe von Alice übertragen werden und zusätzlich jeweils 100 Pilotsequenzen in Summe von jedem Netzwerkknoten. Somit lässt sich die effektive Schlüsselgenerierungszeit für den Gesamtschlüssel mit der vorliegenden Erfindung mit zunehmender Anzahl beteiligter Teilnehmer stetig reduzieren. Im Grenzfall mit sehr vielen Teilnehmern würde die Anzahl der benötigten Pilotsequenzen im Vergleich zum ‚klassischen‘ Ansatz sogar nahezu halbiert werden. Die Verringerung der benötigten Pilotsequenzen führt darüber hinaus noch zu einer Verringerung des dafür benötigten Energiebedarfs. Gerade bei energieautarken oder batteriebetriebenen Sensoren oder Aktuatoren stellt dies beispielsweise einen entscheidenden Vorteil dar.
-
Zudem führt diese Verknüpfung der Teilwertfolgengenerierung auch zu einer weiteren Absicherung des Verfahrens gegen potentielle Angreifer. Soll ein Angriff über das Auslesen von Übertragungen erfolgen, müsste der Angreifer nun zwei gleichzeitige Übertragungen über verschiedene Kanäle auslesen oder simulieren.
-
Alternativ hierzu kann das Verfahren aber auch durchgeführt werden, indem der erste Teilnehmer bzw. der zweite Teilnehmer aus separaten Einzel-Übertragungen des dritten Teilnehmers zum ersten bzw. zweiten Teilnehmer die Eigenschaften des jeweiligen Übertragungskanals zum dritten Teilnehmer ermitteln. Wenn hierbei auch auf die gerade beschriebenen Vorteile verzichtet wird, lässt sich das Verfahren besonders einfach durchführen, insbesondere auch ohne Broadcast-Funktionalität der Teilnehmer.
-
Die Teilwertfolgen können in folgenden Verfahrensschritten zwischen abgesicherten Teilnehmern ausgetauscht werden, so dass zumindest ein Teilnehmer den Gesamtschlüssel generieren kann. An dem Austausch können auch bislang unbeteiligte Teilnehmer partizipieren, z.B. ein zentraler Knoten, in dem ein Gesamtschlüssel erzeugt werden kann. Alternativ kann auch ein Netzwerk-externer Knoten, z.B. über eine Internetverbindung, den Gesamtschlüssel aus den Teilwertfolgen erstellen und dem Netzwerk zur Verfügung stellen. Je mehr Teilnehmer alle Teilwertfolgen haben, desto mehr können auf dessen Basis eine abgesicherte Kommunikationsverbindung untereinander aufbauen. Natürlich sinkt die Sicherheit des verwendeten Schlüssels mit der Anzahl der Teilnehmer, die über ihn verfügen. Allerdings kann in einem abgesicherten Netzwerk davon ausgegangen werden, dass es einem Angreifer schwer fällt einen geheimen Schlüssel aus einem der Teilnehmer auszulesen.
-
Die Eigenschaften des Übertragungskanals, die zur Teilwertfolgengenerierung herangezogen werden, sind insbesondere Amplitudeneigenschaften der Übertragung oder Phaseneigenschaften der Übertragung.
-
Zeichnungen
-
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
-
1 schematisch ein beispielhaftes Netzwerk mit vier Teilnehmern,
-
2 schematisch eine beispielhafte Datenkommunikation zwischen Teilnehmern eines Netzwerks zur Generierung eines Schlüssels im Netzwerk und
-
3 schematisch eine beispielhafte Datenkommunikation zwischen Teilnehmern eines Netzwerks zur Generierung eines Schlüssels im Netzwerk unter Ausnutzung einer Broadcast-Übermittlung.
-
Beschreibung der Ausführungsbeispiele
-
Die vorliegende Erfindung bezieht sich auf ein Verfahren zur automatischen Generierung von symmetrischen, kryptographischen Schlüsseln basierend auf physikalischen Kanälen zwischen Knoten eines drahtlosen oder drahtgebundenen Kommunikationssystems, also zwischen Teilnehmern eines Netzwerkes. Damit können ohne hohen Aufwand symmetrische Verschlüsselungsverfahren zur Realisierung verschiedener Sicherheitsziele eingesetzt werden, was insbesondere für Anwendungen im Bereich der Maschine-zu-Maschine Kommunikation, also z.B. für die Übertragung von Daten zwischen verschiedenen Sensor- und/oder Aktuatorknoten, interessant ist.
-
Dabei nutzt man die Reziprozität und die inhärente Zufälligkeit dieser Übertragungskanäle zwischen den Knoten aus. Dies kann beispielsweise ablaufen wie im Folgenden beschrieben. Zwei Knoten schätzen eine bestimmte Anzahl von Kanalparametern, evtl. auch über die Zeit. Diese Kanalparameter werden von beiden Knoten geeignet quantisiert. Vorzugsweise folgen dann Maßnahmen zur Rausch- bzw. Fehlerreduktion, z.B. durch Verwendung von fehlerkorrigierenden Codes. Mit Hilfe geeigneter Mechanismen erfolgt dann ein Abgleich der quantisierten Kanalparameter zwischen den Knoten, vorzugsweise unter Verwendung eines öffentlichen Protokolls. Dies ist notwendig, da aufgrund von Messungenauigkeiten, Rauschen, Interferenzen, etc. beide Knoten im Allgemeinen zunächst keine identischen Parametersätze ermittelt haben. Der Abgleich sollte dabei derart gestaltet sein, dass ein potenzieller Angreifer, der die ausgetauschten Daten mithören kann, davon nicht ohne Weiteres auf die quantisierten Kanalparameter schließen kann. Hierzu können beispielsweise Paritätsbits zwischen den Knoten ausgetauscht werden. Optional können noch eine Schlüsselvalidierung (z.B. eine Entropieabschätzung) und eine Schlüsselverbesserung (z.B. durch Schlüsselverdichtung über Hashwert-Bildung) durchgeführt werden. Schließlich werden auf Grundlage der abgeglichenen, quantisierten Kanalparameter entsprechende symmetrische Schlüssel erzeugt.
-
Dabei wird angenommen, dass ein potenzieller Angreifer einen genügend großen Abstand zu den beiden Knoten hat, in denen der symmetrische Schlüssel erzeugt werden soll. Der Abstand sollte dabei mindestens in der Größenordnung der so genannten Kohärenzlänge liegen, die bei den gängigen drahtlosen Kommunikationssystemen im Bereich von wenigen Zentimetern liegt. Damit sieht der Angreifer jeweils andere (unabhängige) Übertragungskanäle zu diesen beiden Knoten und kann nicht ohne Weiteres denselben Schlüssel rekonstruieren. Zudem kann mit Hilfe dieses Ansatzes auch ohne großen Aufwand regelmäßig ein vollständiges oder zumindest partielles Re-Keying durchgeführt werden, d.h. eine Neuberechnung der zu verwendenden Schlüssel, und es muss nicht auf komplexe, rechenintensive asymmetrische Verfahren zurückgegriffen werden.
-
Als Kanalparameter kommen z.B. durch den Übertragungskanal bedingte Phasenverschiebungen, Dämpfungen sowie daraus abgeleitete Größen in Frage. Der Received Signal Strength Indicator (RSSI) stellt z.B. einen gängigen Indikator für die Empfangsfeldstärke kabelloser Kommunikationsanwendungen dar und kann für diese Zwecke herangezogen werden. Zur Ermittlung der Kanalparameter können beiden Seiten bekannte Pilotsignalfolgen zwischen den Knoten übertragen werden, welche die nötigen Kanalschätzungen erleichtern.
-
Bei den beschriebenen Verfahren wird davon ausgegangen, dass die Übertragungskanäle zwischen den Knoten ausreichende Schwankungen ihrer Kanaleigenschaften aufweisen, um daraus geeignete Kanalparameter ableiten zu können, die sich als Grundlage für eine Schlüsselgenerierung in den Teilnehmer eignen (insbesondere ausreichende Zufallseigenschaften aufweisen). Diese Schwankungen können dabei insbesondere sowohl im Zeit- als auch im Frequenzbereich auftreten sowie bei Mehrantennensystemen auch im räumlichen Bereich. Es wird aber auch angenommen, dass die Kanaleigenschaften über kurze Zeitspannen eine ausreichend hohe Korrelation aufweisen, dass Datenübertragungen in beide Richtungen erfolgen können, aus denen die jeweiligen Knoten trotz zeitlichen Versatzes ausreichend gleiche Kanaleigenschaften abschätzen können, um ausreichend ähnliche Kanalparameter zu erhalten, aus denen gleiche Schlüssel erhalten werden können.
-
Im Weiteren wird ein Ansatz beschrieben zur Generierung entsprechender Schlüssel zwischen einem sicheren Netzwerk mit mindestens zwei Knoten, die bereits sicher miteinander kommunizieren können, und einem dritten, einzelnen Knoten, der an das sichere Netzwerk angebunden werden soll. Dabei werden gemeinsame, symmetrische Schlüssel in dem anzubindenden Knoten und in dem an sich schon sicheren Netzwerk generiert. In dem bereits sicheren Netzwerk sind mindestens zwei der dort vorhandenen Knoten an der Schlüsselgenerierung beteiligt. Dadurch kann einerseits die Sicherheit der Schlüsselgenerierung im Vergleich zu herkömmlichen Ansätzen verbessert und gleichzeitig die für die Schlüsselgenerierung benötigte Zeit verringert werden.
-
In 1 ist der abgesicherte Teil 10 mit Teilnehmern 11, 12 und 13 eines Netzwerks 100 gezeigt. Der abgesicherte Teil 10 des Netzwerks zeichnet sich dabei dadurch aus, dass seine Teilnehmer 11, 12 und 13 miteinander über abgesicherte Kommunikationsverbindungen miteinander kommunizieren können. Vorzugsweise handelt es sich um eine kryptographisch abgesicherte Kommunikationsverbindung. Je nach Angriffsszenario kann aber eine Absicherung in unterschiedlich starker Ausprägung gemeint sein. So kann bereits eine gewisse Absicherung gegeben sein, wenn für die Kommunikation zwischen zwei Teilnehmern des Netzwerkes eine andere Kommunikationstechnologie verwendet wird, z.B.: Ein erster und ein zweiter Teilnehmer sind WiFi-Access Points, die über Ethernet ohne besondere Sicherheitsmechanismen (Verschlüsselung, etc.) miteinander verbunden sind. Ein dritter Teilnehmer ist ein WiFi-Client. Damit wäre schon ein guter Schutz gegen jegliche drahtlose Angreifer möglich, die Kommunikationsverbindung gegen solche Angreifer somit abgesichert.
-
Im Netzwerk 100 ist darüber hinaus noch Teilnehmer 1. Teilnehmer 1 ist dabei lediglich in dem Sinne Teilnehmer des Netzwerkes 100, als er über Kommunikationsverbindungen 2, 3 bzw. 4 mit den Teilnehmern 11, 12 bzw. 13 kommunizieren kann. Teilnehmer 1 ist allerdings nicht Teilnehmer des sicheren Teils 10 des Netzwerkes 100, da die Kommunikationsverbindungen 2, 3 bzw. 4 zu den anderen Teilnehmern 11, 12 bzw. 13 nicht abgesichert sind. Teilnehmer 1 soll nun an den sicheren Teil 10 des Netzwerkes 100 angebunden werden, es sollen also zumindest eine, vorzugsweise alle, seiner Kommunikationsverbindungen 2, 3 und 4 abgesichert werden. Die Art und Weise, wie die Kommunikation zwischen den Teilnehmern 11, 12 und 13 im sicheren Teil 10 des Netzwerkes 100 im Vorfeld sicher gemacht wurde, ist dabei unerheblich. Hierfür kommen prinzipiell zahlreiche verschiedene (etablierte) Verfahren in Betracht, u.a. die oben beschriebenen Verfahren der physical layer security. Auch verschiedene Arten der abgesicherten Kommunikation zwischen 11, 12 und 13 sind denkbar, vorzugsweise kryptographische Verschlüsselung unter Ausnutzung im Stand der Technik bekannter symmetrischer oder asymmetrischer Verfahren, aber auch weniger ausgeprägte Absicherungen sind möglich.
-
Es wird also davon ausgegangen, dass mehrere, also mindestens zwei, Teilnehmer eines Netzwerkes bereits sicher miteinander vernetzt sind, also über das Netzwerk, in dem noch weitere Teilnehmer enthalten sein können, miteinander sicher kommunizieren können. Ein weiterer Teilnehmer hingegen ist noch nicht Bestandteil des sicheren Netzwerkes, aber soll in dieses integriert werden. Dafür soll mit mindestens einem Teilnehmer des sicheren Teils 10 des Netzwerkes 100 ein symmetrischer kryptographischer Schlüssel ausgehandelt werden. Die Kanalimpulsantworten zwischen Teilnehmer 1 und den Teilnehmern 11, 12 bzw. 13 werden im Folgenden als h2(t), h3(t) bzw. h4(t) bezeichnet.
-
Die Teilnehmer 11, 12 und 13 des sicheren Teils 10 des Netzwerks 100 können sowohl drahtlos, drahtgebunden, optisch, akustisch oder in sonstiger Art und Weise untereinander vernetzt sein, wobei auch Kombinationen verschiedener Vernetzungstechnologien und -verfahren möglich sind. Darüber hinaus müssen die Teilnehmer 11, 12 und 13 nicht direkt physikalisch miteinander verbunden sein, sondern es können innerhalb des Netzwerkes 100 andere (in 1 nicht dargestellte) Teilnehmer bei einer Datenübertragung dazwischenliegen.
-
In einem bevorzugten Ausführungsbeispiel ist Teilnehmer 1 beispielsweise ein drahtloser Endteilnehmer sein und Teilnehmer 11, 12 und 13 sind entsprechende Funkzugangsknoten (Access Points / Base Stations), die über ein Backbone-Netz (z.B. ein Local Area Network oder das Internet) sicher miteinander vernetzt sind. Insbesondere könnten Teilnehmer 1 z.B. ein W-LAN-Endgerät und Teilnehmer 11, 12 und 13 entsprechende W-LAN Access Points sein. Alternativ könnten Teilnehmer 1 z.B. ein Mobilfunkendgerät und Teilnehmer 11, 12 und 13 entsprechende Mobilfunkbasisstationen sein. In einem weiteren Ausführungsbeispiel ist Teilnehmer 1 ein drahtloser Endteilnehmer sein und Teilnehmer 11, 12 und 13 sind weitere drahtlose Endteilnehmer, die mit Hilfe eines Mesh-Netzwerkes untereinander vernetzt sind. Dieses Mesh-Netzwerk könnte dabei insbesondere beispielsweise auf dem Übertragungsstandard IEEE 802.15.4 oder IEEE 802.11s basieren.
-
Teilnehmer 1 handelt nun allerdings nicht lediglich unter Einbeziehung eines einzelnen, bestimmten Teilnehmers des sicheren Teils 10 des Netzwerkes 100 einen symmetrischen, kryptographischen Schlüssel aus den Eigenschaften des dazwischenliegenden Übertragungskanals aus, auch wenn schon hierdurch eine sichere Integration in den sicheren Teil 10 des Netzwerks 100 möglich wäre. Vielmehr generiert Teilnehmer 1 verschiedene Teilwertfolgen mit mindestens zwei Teilnehmern des sicheren Teils 10 des Netzwerkes 100, basierend auf den Kanaleigenschaften der jeweiligen Übertragungskanäle.
-
Beispielsweise generiert Teilnehmer 1 mit den bekannten Methoden der „Physical Layer Security eine Teilwertfolge K2, K3 bzw. K4 mit Teilnehmer 11, 12 bzw. 13 basierend auf den Kanaleigenschaften der Kommunikationsverbindung 2, 3 bzw. 4, also basierend auf den Kanalimpulsantworten h2(t), h3(t) bzw. h4(t) bzw. daraus abgeleiteten Größen. Entsprechend generieren auch die Teilnehmer 11, 12 bzw. 13 die jeweiligen Teilwertfolgen K2, K3 bzw. K4. Die so generierten Teilwertfolgen K2, K3 und K4 werden innerhalb des sicheren Teils 10 des Netzwerkes 100, insbesondere zwischen den Teilnehmern 11, 12 und 13 ausgetauscht. Die verschiedenen Teilwertfolgen K2, K3 und K4 werden zu einem Gesamtschlüssel Kges kombiniert. Dies geschieht sowohl im sicheren Teil 10 des Netzwerkes 100 als auch lokal in Teilnehmer 1.
-
Der so in Teilnehmer 1 und im sicheren Teil 10 des Netzwerkes 100 generierte Gesamtschlüssel Kges kann im Folgenden als Grundlage dienen für geeignete kryptographische Verfahren basierend auf symmetrischen, kryptographischen Schlüsseln, also z.B. für eine symmetrische Verschlüsselung von Daten die zwischen Teilnehmer 1 und einem Teilnehmer 11, 12 oder 13 des sicheren Teils 10 des Netzwerks 100 ausgetauscht werden. Damit kann also die Kommunikation zwischen Teilnehmer 1 und dem sicheren Teil 10 des Netzwerkes 100 abgesichert werden und Teilnehmer 1 somit in diesen sicheren Teil 10 des Netzwerkes integriert werden.
-
Die Generierung von Teilwertfolgen erfolgt also zwischen mindestens zwei Teilnehmern eines sicheren Teils eines Netzwerks mit einem anzubindenden Teilnehmer. Die dazu nötigen Datenübertragungen können in einer Ausführungsform sequentiell erfolgen. Im einer bevorzugten Ausprägung werden hierbei Pilotsignalfolgen zwischen den Teilnehmern übertragen, die vorzugsweise beiden Seiten bekannt sind, und aus diesen Pilotsignalfolgen die zur Ermittlung der Kanalparameter bzw. der daraus abgeleiteten Größen benötigten Kanalschätzungen durchgeführt.
-
In 2 ist der Fall des anzubindenden Teilnehmers 1 und den Teilnehmern 11, 12, 13 eines sicheren Teils des Netzwerkes gezeigt. Teilnehmer 1 überträgt sequentiell Pilotsignalfolgen 201, 202 bzw. 203 an die Teilnehmer 11, 12 bzw. 13. Auf Basis der Pilotsignalfolgen 201, 202 bzw. 203 können die Teilnehmer 11, 12 bzw. 13 Kanalparameter bzw. daraus abgeleitete Größen ihrer jeweiligen Kommunikationsverbindung zu Teilnehmer 1 ermitteln. Ebenfalls nacheinander übertragen Teilnehmer 11, 12 bzw. 13 ihrerseits Pilotsignalfolgen 204, 205 bzw. 206 an Teilnehmer 1, der anhand dieser ebenfalls die erwünschten Kanalparameter seiner Kommunikationsverbindungen zu den jeweiligen Teilnehmern bestimmen kann. Die Reihenfolge der Pilotsignalfolgen kann natürlich auch anders als in 2 gezeigt erfolgen (z.B. im Anschluss an die Übertragung Teilnehmer 1 zu Teilnehmer 11 gleich die Übertragung Teilnehmer 11 zu Teilnehmer 1 usw.). Es können unterschiedliche oder gleiche Pilotsignalfolgen verwendet werden.
-
Sofern ein anzubindender Teilnehmer über ein geteiltes Übertragungsmedium („Shared Medium“) mit den Teilnehmern eines sicheren Teils eines Netzwerks kommuniziert, also beispielsweise über einen drahtlosen Übertragungskanal oder über einen drahtgebundenen linearen Bus, kann eine bevorzugte Variante der beschriebenen Verfahren zur Schlüsselgenerierung erreicht werden. Dabei werden die Pilotsignale von dem anzubindenden Teilnehmer an die mehreren Teilnehmer des sicheren Teils des Netzwerks nicht sequentiell übertragen. Vielmehr können mehrere oder alle an der Schlüsselgenerierung beteiligten Teilnehmer des sicheren Teils des Netzwerkes anhand einer einzigen, von dem anzubindenden Teilnehmer übertragenen Pilotsequenz gleichzeitig die entsprechenden Übertragungskanäle zwischen ihnen und dem Teilnehmer schätzen.
-
Ein beispielhafter Ablauf dieser Kanalschätzphase bei einer solchen engeren Verwebung ist in 3 dargestellt. Hierbei überträgt ein an den sicheren Teil eines Netzwerks anzubindender Teilnehmer 1 zunächst eine geeignete Pilotsequenz 301, die aufgrund der Broadcast-Eigenschaft des geteilten Übertragungsmediums von allen Teilnehmern 11, 12 und 13 des sicheren Teils des Netzwerkes empfangen wird. Die einzelnen Teilnehmer 11, 12 und 13 können auf der Basis der entsprechenden Empfangssignale somit die aktuellen Kanaleigenschaften ihrer jeweiligen Kommunikationsverbindungen zu Teilnehmer 1 schätzen und daraus die benötigten Kanalparameter bestimmen. Hierbei kann sowohl die jeweilige Impulsantwort selbst geschätzt werden, als auch beliebige, daraus abgeleitete Parameter.
-
Anschließend übertragen die Teilnehmer 11, 12 bzw. 13 jeweils eine geeignete Pilotsequenz 304, 305 bzw. 306, die dann (neben gegebenenfalls anderen Teilnehmer) zumindest auch von Alice empfangen wird. Auf deren Grundlage kann Teilnehmer 1 somit die aktuellen Kanaleigenschaften des entsprechenden Übertragungskanals schätzen kann.
-
In der Praxis würde der in 3 skizzierte Ablauf gewöhnlicherweise mehrfach wiederholt, um dank der zeitlichen Variabilität des Übertragungskanals einen Parametersatz in den Teilnehmern mit höherer Entropie und damit einen besseren gemeinsamen Schlüssel zu erhalten. Durch die Broadcastübertragung der Signalfolge 301 des Teilnehmers 1 an die Teilnehmer 11, 12 und 13 werden dabei bei jeder Wiederholung mehrere Einzelübertragungen gespart. In der beschrieben Ausführungsvariante können in mehreren Teilnehmern Pilotsequenzen gleichzeitig empfangen und gleichzeitig hieraus Parametersätze bestimmt werden, während für einen Parametersatz gleicher Länge bzw. Entropie bei der Schlüsselgenerierung zwischen insgesamt nur zwei Teilnehmer eine deutlich längere oder mehrere entsprechende Pilotsequenzen von einem an den anderen Teilnehmer geschickt werden und durch diesen ausgewertet werden müssen. Das beschriebene Verfahren bringt also einen Zeitgewinn bei trotzdem sicherer Schlüsselgenerierung.
-
Auch Kombinationen des rein sequentiellen Ablaufes gemäß 2 sowie der verwobenen Kanalschätzung gemäß 3 möglich sind. Sofern Teilnehmer 1 beispielsweise mit Teilnehmer 11 und Teilnehmer 12 über ein gemeinsames, geteiltes Übertragungsmedium kommuniziert, aber die Kommunikation mit Teilnehmer 13 anderweitig erfolgt, könnte die Generierung der Teilwertfolgen zwischen Teilnehmer 1 und den Teilnehmern 11 und 12 gemäß 3 erfolgen, wohingegen die Generierung der Teilwertfolge zwischen Teilnehmer 1 und Teilnehmer 13 komplett unabhängig davon wäre.
-
Die eigentliche Ableitung und Aufbereitung der Teilwertfolge aus den initial geschätzten Übertragungsparametern sowie der Abgleich dieser Schlüssel zwischen dem anzubindenden Teilnehmer und den Teilnehmern des sicheren Teils des Netzwerks erfolgt prinzipiell wie in herkömmlichen Ansätzen der physical layer security auch (siehe Erläuterungen oben). Für den Austausch der generierten Teilwertfolge innerhalb des sicheren Netzwerkes sind verschiedene Alternativen denkbar. Je nachdem, welcher Ansatz hier verfolgt wird, hat dies unterschiedliche Auswirkungen auf die Eigenschaften des Systems in Hinblick auf Sicherheitsaspekte sowie die Leistungsfähigkeit.
-
So kann jeder Teilnehmer des sicheren Teils des Netzwerks, der aus den Kanaleigenschaften zu dem anzubindenden Teilnehmer eine Teilwertfolge generiert hat, diesen an jeden anderen Teilnehmer des sicheren Teils des Netzwerks übertragen. Somit verfügt dann jeder Teilnehmer des sicheren Teils des Netzwerkes über alle Teilwertfolgen und kann daraus den Gesamtschlüssel generieren. Bei diesem Ansatz wird relativ viel Verkehr zum Austausch der jeweiligen Teilwertfolgen erzeugt.
-
In einer alternativen Ausführung übertragen alle Teilnehmer des sicheren Teil des Netzwerks, die aus den Kanaleigenschaften zu dem anzubindenden Teilnehmer eine Teilwertfolge generiert haben, ihre Teilwertfolgen an einen zentralen Teilnehmer des sicheren Teil des Netzwerks, der aus der Reihe der Teilnehmer selbst kommen kann oder ein separater Teilnehmer sein kann (der also selbst keine Teilwertfolge generiert hat. Dieser zentrale Teilnehmer kann nun den Gesamtschlüssel aus den Teilwertfolgen kombinieren. Gegebenenfalls verteilt der zentrale Teilnehmer den Gesamtschlüssel an alle oder ausgesuchte Teilnehmer des sicheren Teils des Netzwerkes. Bei diesem Ansatz hingegen reduziert sich das Verkehrsaufkommen im Allgemeinen und (zunächst) hat nur ein Teilnehmer volle Kenntnis aller Teilwertfolgen. Dies ist z.B. dann vorteilhaft, wenn letzten Endes nicht alle Knoten den Gesamtschlüssel kennen sollen und sie nur zur Unterstützung der Schlüsselgenerierung dienen.
-
Es sind auch weitere Abwandlungen möglich, bei denen beispielsweise Teilwertfolgen über mehrere andere Teilnehmer des sicheren Teils des Netzwerkes übertragen werden und / oder nur eine Untermenge von Teilwertfolgen bei der Kombination zum Gesamtschlüssel verwendet wird. Letzteres muss dem anzubindenden Teilnehmer entsprechend bekannt sein.
-
Für die Generierung des Gesamtschlüssels aus den Teilwertfolgen ist wiederum eine Vielzahl an Möglichkeiten denkbar. Ganz allgemein kann der Gesamtschlüssel eine beliebige Funktion der Teilwertfolgen sein, die allerdings sowohl dem anzubindenden Teilnehmer als auch dem oder den entsprechenden Teilnehmer im sicheren Teil des Netzwerkes bekannt sein muss. Beispiele für vorteilhafte Realisierungen der Funktion umfassen (a) eine Konkatenation der verschiedenen Teilwertfolgen, (b) eine logische Verknüpfung der einzelnen Bits der verschiedenen Teilwertfolgen, beispielweise mit Hilfe einer XOR-Funktion, (c) ein Zusammenfügung der verschiedenen Teilwertfolgen (beispielsweise mit einer einfachen Konkatenation) und anschließende Berechnung einer geeigneten Hashfunktion, usw.
-
Der Gesamtschlüssel wird sowohl innerhalb des sicheren Teils des Netzwerkes (durch Austausch von Informationen zwischen dessen Teilnehmer) als auch entsprechend lokal durch den anzubindenden Teilnehmer ermittelt und kann im Weiteren dann schließlich als Grundlage für geeignete kryptographische Verfahren eingesetzt werden. Wie bereits angemerkt, können zur Ableitung eines Schlüssels aus Kanalschätzungen verschiedene Zwischenschritte nötig sein, z.B. Fehlerkorrekturen (error correction codes – ECC) und ein Abgleich zwischen den verschiedenen Seiten (also zwischen dem anzubindenden Teilnehmer und dem sicheren Teil des Netzwerks), um sicherzustellen, dass beide Seiten schließlich über den gleichen Schlüssel verfügen. Diese Zwischenschritte können in den beschriebenen Verfahren in dem sicheren Teils des Netzwerks entweder durch die einzelnen Teilnehmer oder durch einen oder mehrere ausgesuchte Teilnehmer erfolgen, so dass die in den einzelnen Teilnehmer des sicheren Teils des Netzwerks erzeugten Teilwertfolgen je nach Ausführung rohen Kanalparametersätzen als auch bereits korrigierten und abgeglichenen Bitsequenzen sowie Zwischenstufen hierzu entsprechen können.
-
Die hier beschriebenen Verfahren zur Generierung symmetrischer Schlüssel zur Absicherung der Kommunikation mit einem Netzwerkteilnehmer können bei einer Vielzahl von drahtlosen, drahtgebundenen und sonstigen Kommunikationssystemen eingesetzt werden kann. Besonders interessant ist der beschriebene Ansatz dabei für die Maschine-zu-Maschine-Kommunikation, also für die Übertragung von Daten zwischen verschiedenen Sensoren, Aktuatoren, etc., die im Allgemeinen nur über sehr begrenzte Ressourcen verfügen und ggf. nicht mit vertretbarem Aufwand manuell im Feld konfiguriert werden können. Anwendungen umfassen beispielsweise die Heim- und Gebäudeautomatisierung, die Telemedizin, Car-to-X-Systeme oder die industrielle Automatisierung. Besonders interessant ist dabei auch der Einsatz bei zukünftigen Kleinst-Sensoren mit Funkschnittstellen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- WO 1996023376 A2 [0006]
- WO 2006081122 A2 [0006]
-
Zitierte Nicht-Patentliteratur
-
- IEEE 802.15.4 [0035]
- IEEE 802.11s [0035]