DE102017122227A1 - SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM - Google Patents
SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM Download PDFInfo
- Publication number
- DE102017122227A1 DE102017122227A1 DE102017122227.8A DE102017122227A DE102017122227A1 DE 102017122227 A1 DE102017122227 A1 DE 102017122227A1 DE 102017122227 A DE102017122227 A DE 102017122227A DE 102017122227 A1 DE102017122227 A1 DE 102017122227A1
- Authority
- DE
- Germany
- Prior art keywords
- peer
- key
- application
- record
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
- G06Q20/123—Shopping for digital content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/223—Payment schemes or models based on the use of peer-to-peer networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/80—Recognising image objects characterised by unique random patterns
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Abstract
Die Anmeldung betrifft ein System (100, 200, 300, 500), umfassend mindestens eine Vorrichtung (102, 202, 302) mit mindestens einer Ausgabeeinrichtung (106, 206, 306), eingerichtet zum Ausgeben von mindestens einem Datensatz, und mit mindestens einer PUF-Einrichtung (104, 204, 304), eingerichtet zum Erzeugen mindestens eines der Vorrichtung (102, 202, 302) eindeutig zugeordneten Schlüssels, wobei der Schlüssel beim Ausgeben des Datensatzes verwendet wird, mindestens ein Peer-to-Peer-Netzwerks (110, 210, 310, 510) umfassend mindestens eine Peer-to-Peer-Anwendung (114, 214, 314, 414), und mindestens ein von der Peer-to-Peer-Anwendung (114, 214, 314, 414) zumindest gesteuertes Schlüsselregister (118, 218, 318, 418), eingerichtet zumindest zum Speichern des der Vorrichtung (102, 202, 302) eindeutig zugeordneten Schlüssels, wobei die Peer-to-Peer-Anwendung (114, 214, 314, 414) mindestens ein von mindestens einem Teil der Peer-Computer (112, 212, 312, 502, 512, 564) des Peer-to-Peer-Netzwerks (110, 210, 310, 510) ausführbares Authentizitätsmodul (116, 216, 316, 416) umfasst, und wobei das Authentizitätsmodul (116, 216, 316, 416) zum Überprüfen des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf dem Schlüsselregister (118, 218, 318, 418) nach Empfang des Datensatzes durch die Peer-to-Peer-Anwendung (114, 214, 314, 414) eingerichtet ist.The application relates to a system (100, 200, 300, 500) comprising at least one device (102, 202, 302) with at least one output device (106, 206, 306) configured to output at least one data set and at least one A PUF device (104, 204, 304) arranged to generate at least one uniquely assigned key of the device (102, 202, 302), wherein the key is used in outputting the data set, at least one peer-to-peer network (110 , 210, 310, 510) comprising at least one peer-to-peer application (114, 214, 314, 414), and at least one at least one controlled by the peer-to-peer application (114, 214, 314, 414) Key registers (118, 218, 318, 418) arranged to at least store the key uniquely assigned to the device (102, 202, 302), the peer-to-peer application (114, 214, 314, 414) comprising at least one of at least part of the peer computers (112, 212, 312, 502, 512, 564) of the peer-to-peer network and authenticity module (116, 216, 316, 416) for checking the key used in the output of the record based on the key register (118, 218, 318, 418) after receiving the record by the peer-to-peer application (114, 214, 314, 414).
Description
Die Anmeldung betrifft ein System, insbesondere ein Authentizitätssystem, mit mindestens einer Vorrichtung, umfassend mindestens eine Ausgabeeinrichtung, eingerichtet zumindest zum Ausgeben mindestens eines Datensatzes. Darüber hinaus betrifft die Anmeldung ein Verfahren, insbesondere zum Überwachen des Datenaustausches in einem anmeldungsgemäßen System, eine Vorrichtung, insbesondere für ein anmeldungsgemäßes System, und eine Peer-to-Peer-Anwendung für ein anmeldungsgemäßes System.The application relates to a system, in particular an authenticity system, with at least one device, comprising at least one output device, configured at least for outputting at least one data record. In addition, the application relates to a method, in particular for monitoring the data exchange in a system according to the application, a device, in particular for a system according to the application, and a peer-to-peer application for a system according to the application.
Sensorvorrichtungen, aber auch andere Vorrichtungen, von Kommunikationssystemen sind eingerichtet, Datensätze, umfassend erfasste Parameterwerte, an mindestens eine zentrale Instanz, insbesondere einen Server, über ein Kommunikationsnetz zu übertragen. Ein stetiges Anliegen besteht in der Sicherstellung, dass ein von einer Sensorvorrichtung durch eine Ausgabeeinrichtung ausgegebener und an den Server übertragener Datensatz nicht manipuliert wird/wurde.Sensor devices, but also other devices, of communication systems are set up to transmit data records comprising comprehensively captured parameter values to at least one central entity, in particular a server, via a communications network. A constant concern is to ensure that a record output by a sensor device through an output device and transmitted to the server is not tampered with.
Um eine Manipulation eines Datensatzes zu verhindern, ist die Verwendung von kryptographischen Schlüsseln bekannt. Insbesondere kann das Ausgeben bzw. Aussenden eines Datensatzes unter Verwendung eines kryptographischen Schlüssels erfolgen, der der Vorrichtung zugeordnet ist.To prevent manipulation of a record, the use of cryptographic keys is known. In particular, the outputting or transmission of a data record can take place using a cryptographic key which is assigned to the device.
Ein bekannte und als besonders sicher geltende Einrichtung, die als Schlüsselgenerator verwendet werden kann, ist eine sogenannte PUF-Einrichtung (Physical Unclonable Function Einrichtung). Eine PUF-Einrichtung zeichnet sich vorliegend dadurch aus, dass ein (bestimmter) Schlüssel (in Form einer Bit-Folge), auch Response genannt, abhängig von einem Eingangssignal (in Form einer Bit-Folge), auch Challenge genannt, und abhängig von den physikalischen Eigenschaften der PUF-Einrichtung, durch die PUF-Einrichtung erzeugbar ist. Da die physikalischen Eigenschaften inhärent beim Herstellungsprozess entstehen und eindeutig der hergestellten Vorrichtung zugeordnet sind, ist es nicht möglich, die Vorrichtung zu kopieren.A known and considered particularly safe device that can be used as a key generator is a so-called PUF device (Physical Unclonable Function Device). In the present case, a PUF device is characterized in that a (specific) key (in the form of a bit sequence), also called a response, is dependent on an input signal (in the form of a bit sequence), also called a challenge, and dependent on the physical properties of the PUF device, can be generated by the PUF device. Since the physical properties are inherent in the manufacturing process and are clearly associated with the fabricated device, it is not possible to duplicate the device.
Die herkömmlichen Lösungen des Standes der Technik haben jedoch verschiedene Nachteile. So ist stets eine zentrale Instanz in Form eines Servers (oder mehrerer Server) erforderlich, in welchem die Schlüssel gespeichert sind. Neben den hohen Transaktionskosten, die durch eine entsprechende Kommunikationsarchitektur entstehen, ist ein weiterer Nachteil dieser Architektur, dass die zentrale Instanz bzw. der zentrale Server Schlüsseldaten, aber auch andere sensible Daten, wie Nutzerdaten (Kontodaten, Zugangsdaten, Verbrauchsdaten, etc.), verwaltet. Ein ständiges Problem der zentralen Instanz ist, diese auf einem oder mehreren Server/n gespeicherten Daten vor einem Zugriff eines unberechtigten Dritten zu schützen. Insbesondere ist ein großer sicherheitstechnischer Aufwand erforderlich, um eine Manipulation beispielsweise der Nutzerdaten, Abrechnungsdaten, erfassten Parameterwerte etc. zu verhindern. Dies führt wiederum zu höheren Transaktionskosten.However, the conventional solutions of the prior art have several disadvantages. Thus, a central instance in the form of a server (or several servers) is always required, in which the keys are stored. In addition to the high transaction costs, which arise through a corresponding communication architecture, another disadvantage of this architecture is that the central entity or the central server key data, but also other sensitive data, such as user data (account data, access data, consumption data, etc.) manages , A constant problem of the central authority is to protect these data stored on one or more servers / n from access by an unauthorized third party. In particular, a great safety effort is required to prevent manipulation of, for example, the user data, billing data, detected parameter values, etc. This in turn leads to higher transaction costs.
Daher liegt der Anmeldung die Aufgabe zugrunde, ein System zum Ausgeben von Datensätzen bereitzustellen, welches manipulationssicher einen Datenaustausch ermöglicht.Therefore, the object of the application is to provide a system for outputting data records, which allows manipulation-proof data exchange.
Die Aufgabe wird gemäß einem ersten Aspekt der Anmeldung durch ein System, insbesondere Authentizitäts- und/oder Kommunikationssystem, gemäß dem Anspruch 1 gelöst. Das System umfasst mindestens eine Vorrichtung mit mindestens einer Ausgabeeinrichtung, eingerichtet zum Ausgeben von mindestens einem Datensatz, und mit mindestens einer PUF-Einrichtung, eingerichtet zum Erzeugen mindestens eines der Vorrichtung eindeutig zugeordneten (PUF-)Schlüssels. Der Schlüssel wird beim Ausgeben des Datensatzes verwendet. Das System umfasst mindestens ein Peer-to-Peer-Netzwerk, umfassend mindestens eine Peer-to-Peer-Anwendung. Das System umfasst mindestens ein von der Peer-to-Peer-Anwendung zumindest gesteuertes Schlüsselregister, eingerichtet zumindest zum Speichern des der Vorrichtung eindeutig zugeordneten Schlüssels. Die Peer-to-Peer-Anwendung umfasst mindestens ein von mindestens einem Teil der Peer-Computer des Peer-to-Peer-Netzwerks ausführbares Authentizitätsmodul, Das Authentizitätsmodul ist zum Überprüfen des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf dem Schlüsselregister nach Empfang des Datensatzes durch die Peer-to-Peer-Anwendung eingerichtet.The object is achieved according to a first aspect of the application by a system, in particular authenticity and / or communication system, according to
Im Gegensatz zum Stand der Technik ist anmeldungsgemäß vorgesehen, dass bei der Ausgabe eines Datensatzes durch eine Vorrichtung ein von einer PUF-Einrichtung der Vorrichtung erzeugter Schlüssel verwendet wird und ein derart ausgegebener Datensatz durch ein Authentizitätsmodul einer Peer-to-Peer-Anwendung überwacht bzw. ausgewertet wird. Insbesondere wird die Manipulationssicherheit durch die anmeldungsgemäße Kombination einer PUF-Einrichtung und das durch einen Teil (>1) der Peer-Computer im Wesentlichen gleichzeitig ausführbare Authentizitätsmodul erreicht. Indem anstelle eines zentralen Servers oder einer Plattform ein Peer-to-Peer-Netzwerk (also ein Framework), zumindest ein Teil (>1) der Peer-Computer des Peer-to-Peer-Netzwerks, zumindest die Überwachung bzw. Auswertung durchführt, wird die Sicherheit signifikant und in einfacher Weise verbessert. Bei einem anmeldungsgemäße Peer-to-Peer-Netzwerk werden hohe Sicherheitsstandards dadurch erreicht, indem vorzugsweise sämtliche Peer-Computer (Peer-Knoten bzw. Peers) des Netzwerks, zumindest eine Teilmenge der Peers des Netzwerks, die Korrektheit des verwendeten Schlüssels überwacht/en. Die Transaktionskosten können signifikant reduziert werden. Es ist keine zentrale, übergeordnete Plattform, Server, Cloud, etc. erforderlich. Nur wenn dieser Teil der Peer-Computer zu einem positiven Authentizitätsergebnis gelangt, kann die Echtheit und/oder Authentizität des Datensatzes bzw. der den Datensatz umfassenden Nachricht verifiziert werden. Auf einen zusätzlichen Kryptochip kann verzichtet werden.In contrast to the prior art, it is provided according to the application that when a data set is output by a device, a key generated by a PUF device of the device is used and a record output in this manner is monitored by an authenticity module of a peer-to-peer application. is evaluated. In particular, the manipulation security is achieved by the combination of a PUF device according to the application and the authenticity module that can be executed essentially simultaneously by a part (> 1) of the peer computer. By instead of a central server or a platform a peer-to-peer network (ie a framework), at least a part (> 1) of the peer computers of the peer-to-peer network, at least performs the monitoring or evaluation, the safety is improved significantly and in a simple way. In a peer-to-peer network according to the application, high security standards are achieved by preferably all peer computers (peer nodes or peers) of the network, at least a subset of the peers of the network, monitor the correctness of the key used. The transaction costs can be significantly reduced. There is no central, parent platform, server, cloud, etc. required. Only if this part of the peer computer reaches a positive authenticity result can the authenticity and / or authenticity of the data record or of the data record comprising the data record be verified. An additional crypto chip can be dispensed with.
Das anmeldungsgemäße System ist insbesondere ein Kommunikationssystem mit mindestens einer (ersten) Vorrichtung, die Datensätze ausgeben bzw. Datensätze aussenden kann. Hierfür weist die anmeldungsgemäße Vorrichtung mindestens eine Ausgabeeinrichtung, eingerichtet zum Ausgeben von mindestens einem Datensatz auf. Die Ausgabeeinrichtung kann beispielsweise eingerichtet sein, eine Nachricht mit dem Datensatz über ein drahtgebundenes und/oder drahtloses Kommunikationsnetzwerk zu übertragen.The system according to the application is, in particular, a communication system with at least one (first) device which can output data records or send out data records. For this purpose, the device according to the application has at least one output device configured to output at least one data record. The output device may be configured, for example, to transmit a message with the data record via a wired and / or wireless communication network.
Darüber hinaus umfasst die Vorrichtung eine sogenannte PUF-Einrichtung (Physical Unclonable Function Einrichtung). Eine PUF-Einrichtung zeichnet sich vorliegend dadurch aus, dass ein (bestimmter) Schlüssel (in Form einer Bit-Folge), auch Response genannt, abhängig von einem Eingangssignal (in Form einer Bit-Folge), auch Challenge genannt, und abhängig von den physikalischen Eigenschaften der PUF-Einrichtung, durch die PUF-Einrichtung erzeugbar ist. Der Schlüssel kann als PUF-Schlüssel bezeichnet werden. Dieser Schlüssel repräsentiert insbesondere die Identität, insbesondere die PUF-Identität, der Vorrichtung. Da die physikalischen Eigenschaften inhärent beim Herstellungsprozess entstehen und eindeutig der hergestellten Vorrichtung zugeordnet sind, ist es nicht möglich, die Vorrichtung zu kopieren. So kann durch die Challenge beispielsweise ein Chip oder eine andere Einrichtung entsprechend der Bit-Folge der Challenge konfiguriert werden. Mittels eines Messmechanismus der PUF-Einrichtung kann der durch die Konfiguration bewirkte Zustand des Chips oder der anderen Einrichtung gemessen und als Response bzw. Schlüssel (in Form einer Bit-Folge) ausgegeben werden.In addition, the device comprises a so-called PUF device (Physical Unclonable Function Device). In the present case, a PUF device is characterized in that a (specific) key (in the form of a bit sequence), also called a response, is dependent on an input signal (in the form of a bit sequence), also called a challenge, and dependent on the physical properties of the PUF device, can be generated by the PUF device. The key can be called a PUF key. In particular, this key represents the identity, in particular the PUF identity, of the device. Since the physical properties are inherent in the manufacturing process and are clearly associated with the fabricated device, it is not possible to duplicate the device. For example, the challenge may configure a chip or other device according to the challenge bit sequence. By means of a measuring mechanism of the PUF device, the state of the chip or the other device caused by the configuration can be measured and output as a response (in the form of a bit sequence).
Beispielhafte und nicht abschließende PUF-Einrichtungen umfassen nicht-elektronische PUFs (z.B. Paper PUF, CD PUF, Optical PUF, Optical Integrated PUF, RF-DNA PUF, Magnetic PUF, Acoustic PUF, u.a), analoge elektronischen PUFs (z.B. VT PUF, Power Distribution PUF, Coating PUF, LC PUF, u.a.), „delay-based intrinsic“ PUFs (z.B. Arbiter PUF, XOR Arbiter PUF, Ring Oscillator PUF, u.a.) und Speicher basierte intrinsische PUFs (z.B. SRAM PUF, Butterfly PUF, Latch PUF, Flip-flop PUF, u.a.). Exemplary and non-terminating PUF devices include non-electronic PUFs (eg, Paper PUF, CD PUF, Optical PUF, Optical Integrated PUF, RF-DNA PUF, Magnetic PUF, Acoustic PUF, etc.), analog electronic PUFs (eg, VT PUF, Power Distribution PUF, coating PUF, LC PUF, etc.), "delay-based intrinsic" PUFs (eg Arbiter PUF, XOR Arbiter PUF, Ring Oscillator PUF, etc.) and memory-based intrinsic PUFs (eg SRAM PUF, Butterfly PUF, Latch PUF, Flip-flop PUF, etc.).
Beim Ausgeben bzw. beim Versenden des Datensatzes, insbesondere bei jedem Datensatz, wird der mindestens eine erzeugte Schlüssel verwendet. Insbesondere kann der Datensatz bzw. die entsprechende Nachricht mit dem Schlüssel versehen werden. Hierunter ist insbesondere zu verstehen, dass der Datensatz als von der Vorrichtung stammend gekennzeichnet werden kann. Der Schlüssel ist aufgrund der Verwendung einer PUF-Einrichtung eindeutig der aussendenden Vorrichtung zugeordnet. Dies ermöglicht es, den Austausch einer Vorrichtung oder deren Manipulation aufgrund eines anderen Schlüssels zu detektieren und/oder „man-in-the-middle“ Angriffe zu verhindern.When issuing or sending the data record, in particular for each data record, the at least one key generated is used. In particular, the record or the corresponding message can be provided with the key. This is to be understood in particular that the data record can be identified as originating from the device. The key is uniquely associated with the sending device due to the use of a PUF device. This makes it possible to detect the exchange of a device or its manipulation due to another key and / or to prevent "man-in-the-middle" attacks.
Ferner umfasst das anmeldungsgemäße System mindestens ein Peer-to-Peer-Netzwerk mit mindestens einer Peer-to-Peer-Anwendung. Im Vergleich zu einem Client-Server-Netzwerk, bei dem ein Server einen Dienst anbietet und ein Client diesen Dienst nutzt, ist in einem Peer-to-Peer-Netzwerk diese Rollenverteilung aufgehoben. Jeder Teilnehmer des Peer-to-Peer-Netzwerks kann einen Dienst gleichermaßen nutzen und selbst anbieten. Insbesondere ist ein Peer-to-Peer-Netzwerk selbstbestimmt und/oder selbstorganisiert (ohne übergeordnete Einheit). Vorliegend weist vorzugweise jeder Rechner bzw. Peer des Peer-to-Peer-Netzwerks eine Peer-to-Peer-Anwendung auf.Furthermore, the system according to the application comprises at least one peer-to-peer network with at least one peer-to-peer application. Compared to a client-server network in which a server offers a service and a client uses this service, this role distribution is eliminated in a peer-to-peer network. Each participant in the peer-to-peer network can use a service equally and offer it themselves. In particular, a peer-to-peer network is self-determined and / or self-organized (without a higher-level unit). In the present case, preferably each computer or peer of the peer-to-peer network has a peer-to-peer application.
Mindestens ein Schlüsselregister ist anmeldungsgemäß vorgesehen. Das Schlüsselregister ist zumindest zum Speichern des von der mindestens einen PUF-Einrichtung erzeugbaren Schlüssels eingerichtet. Insbesondere kann als Schlüssel mindestens ein Challenge/Response-Paar (CPR) der mindestens einen Vorrichtung und/oder mindestens ein Parameter zum PUF-Authentication-Protokoll der mindestens einen Vorrichtung in dem Schlüsselregister gespeichert sein. Vorzugsweise kann für jede in dem Schlüsselregister registrierte Vorrichtung mit PUF-Einrichtung ein Challenge/Response-Paar, vorzugsweise eine Vielzahl von Challenge/Response-Paaren (mit unterschiedlichen Challenges und entsprechend unterschiedlichen Responses) gespeichert sein. Insbesondere kann (hierdurch) die mindestens eine (PUF-) Vorrichtungs-Identität in dem Schlüsselregister gespeichert sein. Bevorzugt kann neben der Vorrichtungs-Identität auch weitere Stamm- oder Bewegungsdaten in dem Schlüsselregister oder einem Digitalen Produktgedächtnis (in einem dezentralen Datenspeicher) gespeichert sein.At least one key register is provided according to the application. The key register is set up at least for storing the key that can be generated by the at least one PUF device. In particular, at least one challenge / response pair (CPR) of the at least one device and / or at least one parameter for the PUF authentication protocol of the at least one device can be stored in the key register as a key. Preferably, a challenge / response pair, preferably a plurality of challenge / response pairs (with different challenges and correspondingly different responses) may be stored for each PUF device registered in the key register. In particular, (thereby) the at least one (PUF) device identity may be stored in the key register. In addition to the device identity, further master or movement data may preferably be stored in the key register or in a digital product memory (in a decentralized data memory).
Das Schlüsselregister ist zumindest von der Peer-to-Peer-Anwendung steuerbar bzw. verwaltbar. Bei einer Ausführungsform ist hierunter zu verstehen, dass das Schlüsselregister als Schlüsselregistermodul von der Peer-to-Peer-Anwendung umfasst sein kann. Mit anderen Worten kann zumindest auf einem Teil der Peer-Computer das Schlüsselregistermodul gespeichert sein. Dieser Teil kann insbesondere zumindest den Teil umfassen, der auch das Authentizitätsmodul umfasst. Bei Ausführung des Authentizitätsmodul kann daher auf das Schlüsselregister (unmittelbar) zugegriffen werden. Hierdurch kann die Sicherheit weiter verbessert werden, da für eine erfolgreiche Manipulation sämtliche Schlüsselregister zumindest von diesem Teil der Peer-Computer manipuliert sein müssten.The key register is at least controllable by the peer-to-peer application. In one embodiment, it is to be understood that the key register may be included as a key register module from the peer-to-peer application. In other words, the key register module may be at least part of the peer computer be saved. In particular, this part may comprise at least the part which also comprises the authenticity module. Upon execution of the authenticity module, therefore, the key register can be accessed (immediately). As a result, the security can be further improved because for successful manipulation all key registers would have to be manipulated at least by this part of the peer computer.
Alternativ oder zusätzlich ist hierunter zu verstehen, dass die Peer-to-Peer-Anwendung ein Steuermodul aufweist, eingerichtet zum Steuern und/oder Kontrollieren des Zugriffs auf eine, insbesondere dezentralen, Datenspeicheranordnung. Vorzugsweise kann die Speicheranordnung, die eine Vielzahl von dezentralen Speichereinheiten umfassen kann, ein dezentrales Datenbanksystem (wie z.B. IPFS) oder ein dezentraler Objektspeicher (wie z.B. storj) oder eine dezentrale verteilte Datenbank (wie BigchainDB) sein, das/der/die von der Peer-to-Peer-Anwendung gesteuert wird. Beispielsweise kann die Peer-to-Peer-Anwendung ein entsprechend konfiguriertes und von einem Teil der Peer-Computer ausführbares Steuermodul umfassen.Alternatively or additionally, this is understood to mean that the peer-to-peer application has a control module configured to control and / or control access to a, in particular decentralized, data storage arrangement. Preferably, the storage device, which may include a plurality of remote storage devices, may be a distributed database system (such as IPFS) or a distributed object store (such as storj) or a distributed distributed database (such as BigchainDB) that is the peer -to-peer application is controlled. For example, the peer-to-peer application may include a suitably configured control module executable by a portion of the peer computer.
Die Peer-to-Peer-Anwendung, insbesondere ein Softwareanwendung, umfasst mindestens ein Authentizitätsmodul. Das Authentizitätsmodul ist, wenn es ausgeführt wird, eingerichtet, den beim Ausgeben eines Datensatzes verwendeten Schlüssel zu überprüfen. Der Datensatz kann beispielsweise mittelbar oder unmittelbar an die Peer-to-Peer-Anwendung übertragen werden. Beispielsweise nach einem Empfang und insbesondere vor einer weiteren Verarbeitung des Datensatzes kann die Authentizität des Datensatzes durch eine Authentizitätsüberprüfung des mindestens einen verwendeten Schlüssels basierend auf dem Schlüsselregister, also insbesondere den darin gespeicherten Schlüsseln (z.B. Challenge-Response-Paaren) durchgeführt werden. Dies kann beispielsweise die Durchführung von mindestens einer Vergleichsoperation zwischen empfangenen Schlüssel und gespeicherten Schlüsseln umfassen. Nur wenn eine Korrespondenz zwischen verwendeten Schlüssel und einem gespeicherten Schlüssel von dem Teil der Peer-Computer aufgrund der Ausführung des Authentizitätsmoduls festgestellt wird, kann ein Weiterverarbeitung des entsprechenden Datensatzes zugelassen werden. Andernfalls kann eine Weiterverarbeitung des entsprechenden Datensatzes gesperrt und dieser beispielsweise entsprechend gekennzeichnet werden. Weitere Maßnahmen, z.B. zur Überprüfung der Ursache, können veranlasst werden.The peer-to-peer application, in particular a software application, comprises at least one authenticity module. The authenticity module, when executed, is set up to check the key used in issuing a record. For example, the record may be transmitted directly or indirectly to the peer-to-peer application. For example, after a reception and in particular before further processing of the data record, the authenticity of the data record can be carried out by an authenticity check of the at least one used key based on the key register, ie in particular the keys stored therein (for example challenge-response pairs). This may include, for example, performing at least one comparison operation between received keys and stored keys. Only if a correspondence between the key used and a stored key is determined by the part of the peer computer due to the execution of the authenticity module, further processing of the corresponding data record can be permitted. Otherwise, further processing of the corresponding data record can be blocked and this can be marked accordingly, for example. Further measures, e.g. to check the cause, can be arranged.
Insbesondere ist mittels des PUF-Schlüssels die ausgebende Vorrichtung in eindeutiger Weise identifizierbar.In particular, by means of the PUF key, the issuing device can be uniquely identified.
Gemäß einer ersten Ausführungsform des anmeldungsgemäßen Systems kann die Vorrichtung als Sensorvorrichtung mit mindestens einer Sensoreinrichtung gebildet sein. Die Sensoreinrichtung kann zum Erfassen von mindestens einem Parameter eingerichtet sein. Der ausgegebene Datensatz kann insbesondere zumindest den erfassten Parameterwert umfassen. Die Sensoreinrichtung kann beispielsweise ein Messfühler zur Aufnahme eines Messwerts (z.B. Wärmemenge, Temperatur, Feuchtigkeit, Druck, Schallfeldgrößen, Helligkeit, Beschleunigung, pH-Wert, Ionenstärke, elektrochemisches Potential etc.) sein. Die erfassten Parameterwerte können von der Sensorvorrichtung durch eine Ausgabeeinrichtung in Form von mindestens einem Datensatz ausgegeben werden. Indem die PUF-Einrichtung in der Sensorvorrichtung integriert ist, kann durch Verwenden des Schlüssels eine Manipulation der ausgegebenen Parameterwerte zumindest signifikant erschwert werden.According to a first embodiment of the system according to the application, the device can be formed as a sensor device with at least one sensor device. The sensor device can be set up to detect at least one parameter. The output data set may in particular comprise at least the detected parameter value. The sensor device may be, for example, a sensor for taking a measurement (e.g., amount of heat, temperature, humidity, pressure, sound field size, brightness, acceleration, pH, ionic strength, electrochemical potential, etc.). The detected parameter values can be output by the sensor device through an output device in the form of at least one data record. By incorporating the PUF device in the sensor device, manipulating the key can at least significantly hinder manipulation of the output parameter values.
Alternativ oder zusätzlich kann die Vorrichtung als Aktorvorrichtung mit mindestens einer Aktoreinrichtung gebildet sein. Die Aktoreinrichtung kann zum Verfahren eines aktuierbaren Elements eingerichtet sein. Der ausgegebene Datensatz kann insbesondere zumindest einen Zustand der Aktoreinrichtung und/oder des aktuierbaren Elements umfassen. Unter einem Verfahren eines aktuierbaren Elements ist vorliegend insbesondere zu verstehen, dass ein Aktor insbesondere einen bereitgestellten Befehlsdatensatz (oder -signal) in mechanische Bewegung und/oder andere physikalische Größe(n) überträgt. Hierdurch kann insbesondere ein aktuierbares Element entsprechend der mechanische Bewegung und/oder einer anderen physikalischen Größe verfahren bzw. eingestellt werden. Beispielsweise Zustandsdaten über den Aktor und/oder das aktuierbare Element können von der Aktorvorrichtung durch eine Ausgabeeinrichtung in Form von mindestens einem Datensatz ausgegeben werden. Indem die PUF-Einrichtung in der Aktorvorrichtung integriert ist, kann durch Verwenden des Schlüssels eine Manipulation der ausgegebenen Datensätze zumindest signifikant erschwert werden.Alternatively or additionally, the device may be formed as an actuator device with at least one actuator device. The actuator device can be set up to move an actuatable element. In particular, the output data set may comprise at least one state of the actuator device and / or of the actuatable element. In the present case, a method of an actuatable element is to be understood in particular as meaning that an actuator transmits, in particular, a command data record (or signal) provided in mechanical motion and / or other physical variable (s). In this way, in particular, an actuatable element can be moved or adjusted in accordance with the mechanical movement and / or a different physical variable. For example, state data about the actuator and / or the actuatable element can be obtained from the actuator device by a Output device in the form of at least one record to be output. By incorporating the PUF device in the actuator device, manipulating the key can at least significantly complicate manipulation of the output data sets.
Alternativ oder zusätzlich kann die Vorrichtung als Verarbeitungsvorrichtung mit mindestens einer Verarbeitungseinrichtung gebildet sein. Die Verarbeitungseinrichtung kann zum Verarbeiten von empfangbaren Daten eingerichtet sein. Der ausgegebene Datensatz kann insbesondere zumindest die verarbeiteten Daten umfassen. Beispielsweise kann ein elektronischer Chip oder dergleichen als Verarbeitungseinrichtung vorgesehen sein. Daten, wie Datensätze, umfassend oben beschriebene Parameterwerte, die durch eine Sensoreinrichtung erfasst wurden, können von der Verarbeitungseinrichtung verarbeitet werden. Die verarbeiteten Daten können von der Verarbeitungsvorrichtung durch eine Ausgabeeinrichtung in Form von mindestens einem Datensatz ausgegeben werden. Indem die PUF-Einrichtung in der Verarbeitungsvorrichtung integriert ist, kann durch Verwenden des Schlüssels eine Manipulation der ausgegebenen Datensätze zumindest signifikant erschwert werden.Alternatively or additionally, the device may be formed as a processing device with at least one processing device. The processing device can be set up to process receivable data. In particular, the output data record may comprise at least the processed data. For example, an electronic chip or the like may be provided as a processing device. Data, such as datasets, comprising parameter values described above, which have been detected by a sensor device, can be processed by the processing device. The processed data may be output by the processing device through an output device in the form of at least one record. By incorporating the PUF device into the processing device, manipulating the key can at least significantly hinder manipulation of the output data sets.
Für den Fall, dass es sich bei den verarbeiteten Daten um erfasste Parameterwerte handelt, die zuvor mit einem ersten Schlüssel der entsprechenden Sensorvorrichtung versehen wurden, kann der Datensatz, der von der Verarbeitungsvorrichtung ausgegeben wird, mit mindestens zwei Schlüsseln, insbesondere dem zuvor empfangenen Schlüssel der Sensorvorrichtung, und dem Schlüssel der Verarbeitungsvorrichtung, versehen sein. Bei einer nachfolgenden Authentizitätsprüfung eines derartigen Datensatzes ist das Authentizitätsmodul zum Überprüfen der beiden Schlüssel eingerichtet. Nur wenn bei beiden Schlüsseln ein positives Authentizitätsergebnis festgestellt wird, kann eine Weiterverarbeitung des Datensatzes zugelassen werden. Es versteht sich, dass auch drei oder mehr weitere Vorrichtung zwischengeschaltet sein können. Mit anderen Worten kann vorzugsweise eine Vorrichtung einen mit einem Schlüssel versehenen Datensatz von einer anderen Vorrichtung empfangen. Bei Ausgeben des Datensatzes - beispielsweise um den Datensatz weiterzuleiten - kann die Vorrichtung den mit dem Schlüssel versehenden Datensatz zusätzlich mit dem eigenen Schlüssel entsprechend den vorherigen Ausführungen versehen. Bei der Überprüfung des Datensatzes werden dann beide Schlüssel, allgemein sämtliche Schlüssel eines Datensatzes, von dem Authentizitätsmodul überprüft.In the event that the processed data are captured parameter values previously provided with a first key of the corresponding sensor device, the data record output by the processing device may be associated with at least two keys, in particular the previously received key of the Sensor device, and the key of the processing device, be provided. In a subsequent authenticity check of such a record, the authenticity module is set up to check the two keys. Only if a positive authenticity result is determined for both keys, further processing of the data record can be permitted. It is understood that three or more further device can be interposed. In other words, preferably one device may receive a keyed record from another device. When outputting the data record - for example in order to forward the data record - the device can additionally provide the data record provided with the key with its own key in accordance with the previous statements. When verifying the record then both keys, generally all keys of a record, are checked by the authenticity module.
Es versteht sich, dass die verschiedenen Einrichtungen einer Vorrichtung durch eine kompakte Einheit, wie ein Chipset, gebildet sein können. Hierbei kann die Vorrichtung ein Gehäuse umfassen, das bevorzugt sämtliche Einrichtungen einer Vorrichtung umschließt. Eine Manipulation kann weiter erschwert.It is understood that the various devices of a device may be formed by a compact unit, such as a chipset. In this case, the device may comprise a housing which preferably encloses all the devices of a device. Manipulation can be further complicated.
Gemäß einer besonders bevorzugten Ausführungsform des anmeldungsgemäßen Systems kann das System mindestens ein Peer-to-Peer-Modul umfassen. Das Peer-to-Peer-Modul kann zumindest zum Übertragen des den Schlüssel verwendeten Datensatzes an die Peer-to-Peer-Anwendung eingerichtet sein. Das Peer-to-Peer-Modul ist insbesondere zum Kommunizieren mit der mindestens einen Peer-to-Peer Anwendung eingerichtet. Das Peer-to-Peer-Modul kann beispielsweise einer Vorrichtung, wie einer Sensor-, Aktor,- und/oder Verarbeitungsvorrichtung, zugeordnet sein. Auch kann es durch eine separate, mit einer anderen Vorrichtung, wie einer Sensor-, Aktor,- und/oder Verarbeitungsvorrichtung, verbindbare, Vorrichtung gebildet sein.According to a particularly preferred embodiment of the system according to the application, the system may comprise at least one peer-to-peer module. The peer-to-peer module can be set up, at least for transferring the record used to the key to the peer-to-peer application. The peer-to-peer module is set up in particular for communicating with the at least one peer-to-peer application. The peer-to-peer module may for example be associated with a device, such as a sensor, actuator, and / or processing device. Also, it may be formed by a separate device connectable to another device, such as a sensor, actuator, and / or processing device.
Beispielsweise kann eine anmeldungsgemäße Vorrichtung ein Peer-to-Peer-Modul umfassen. Beispielsweise kann das Peer-to-Peer-Modul in der mindestens einen Vorrichtung des anmeldungsgemäßen Systems integriert sein. In diesem Fall kann das Peer-to-Peer-Modul durch die Ausgabeeinrichtung der Vorrichtung gebildet sein. Besonders bevorzugt kann in diesem Fall das Peer-to-Peer-Modul die PUF-Einrichtung umfassen.For example, a device according to the application may comprise a peer-to-peer module. For example, the peer-to-peer module can be integrated in the at least one device of the system according to the application. In this case, the peer-to-peer module may be formed by the output device of the device. In this case, the peer-to-peer module may particularly preferably comprise the PUF device.
Es ist auch möglich, dass eine Kommunikationsverbindung zwischen einer Vorrichtung und einem (entfernt angeordneten) Peer-to-Peer-Modul vorgesehen ist, welches insbesondere dieser Vorrichtung zugeordnet ist. Dies bedeutet insbesondere, dass das Peer-to-Peer-Modul zumindest im Namen dieser Vorrichtung kommunizieren und/oder handeln kann. Beispielsweise kann das Peer-to-Peer-Modul teilweise durch eine separate Verarbeitungseinheit, wie beispielsweise ein mobiles Kommunikationsgerät (z. B. Mobiltelefon, mobiler Computer usw.), oder auf einer entfernten, stationären Verarbeitungseinheit (z.B. ein Rechenzentrum) gebildet sein. Im Falle einer mobilen Verarbeitungseinheit oder einer entfernt angeordneten stationären Verarbeitungseinheit kann die mindestens eine Vorrichtung einen sicheren Kommunikationskanal zur Verarbeitungseinheit (oder Mobilkommunikationseinrichtung) des Rechenzentrums aufweisen und die Verarbeitungseinheit selbst kann eine Verbindung zum Peer-to-Peer-Netzwerk bereitstellen. In einer Ausführungsform kann die entfernte Verarbeitungseinheit ein „Gateway“ zum Peer-to-Peer-Netzwerk sein. Dies bedeutet, dass die Vorrichtung über das zugeordnete Peer-to-Peer-Modul und das hierdurch gebildete Gateway sicher mit dem Peer-to-Peer-Netzwerk kommunizieren kann.It is also possible for a communication connection to be provided between a device and a (remote) peer-to-peer module, which is allocated in particular to this device. This means, in particular, that the peer-to-peer module can communicate and / or act at least in the name of this device. For example, the peer-to-peer module may be partially formed by a separate processing unit, such as a mobile communication device (eg, cellular phone, mobile computer, etc.), or on a remote, stationary processing unit (e.g., a data center). In the case of a mobile processing unit or a remote stationary processing unit, the at least one device may include a secure communication channel to the processing unit (or mobile communication device) of the data center, and the processing unit itself may provide a connection to the peer-to-peer network. In one embodiment, the remote processing unit may be a "gateway" to the peer-to-peer network. This means that the device can securely communicate with the peer-to-peer network via the associated peer-to-peer module and the gateway formed thereby.
Vorzugsweise kann die Vorrichtung mindestens eine Signierungseinrichtung umfassen. Besonders bevorzugt kann die Signierungseinrichtung (und die PUF-Einrichtung) in der Ausgabeeinrichtung der Vorrichtung integriert sein. Hierdurch wird die Manipulationssicherheit noch weiter erhöht. Die Signierungseinrichtung kann zum Signieren des ausgegebenen Datensatzes unter Verwendung des der Vorrichtung eindeutig zugeordneten Schlüssels eingerichtet sein. Unter Signieren ist insbesondere zu verstehen, dass der Datensatz mit einer auf den Schlüssel basierenden Signatur (oder Zertifikat) (insbesondere bildet der Schlüssel die Signatur) versehen wird. Hierdurch kann die Echtheit (bzw. Authentizität) der Daten bestätigt werden.Preferably, the device may comprise at least one signing device. Particularly preferably, the signing device (and the PUF device) can be integrated in the output device of the device. As a result, the security against manipulation is further increased. The signing device can be set up to sign the output data record using the key uniquely assigned to the device. Signing means, in particular, that the data record is provided with a signature (or certificate) based on the key (in particular, the key forms the signature). As a result, the authenticity (or authenticity) of the data can be confirmed.
Alternativ oder zusätzlich kann die Vorrichtung gemäß einer weiteren Ausführungsform mindestens eine Verschlüsselungseinrichtung umfassen. Besonders bevorzugt kann die Verschlüsselungseinrichtung (und/oder die PUF-Einrichtung und/oder die Signierungseinrichtung) in der Ausgabeeinrichtung der Vorrichtung integriert sein. Hierdurch wird die Manipulationssicherheit noch weiter erhöht. Die Verschlüsselungseinrichtung kann zum Verschlüsseln des ausgegebenen Datensatzes unter Verwendung des der Vorrichtung eindeutig zugeordneten Schlüssels eingerichtet sein. Wenn sowohl eine Signierungseinrichtung als auch eine Verschlüsselungseinrichtung vorgesehen ist, kann die PUF-Einrichtung vorzugsweise zwei Schlüssel (basierend auf unterschiedlichen Challenges) generieren. Ein erster Schlüssel kann dann zum Signieren und ein weiterer Schlüssel zum Verschlüsseln genutzt werden. Alternativ können auch andere Verschlüsselungskonzepte eingesetzt werden können.Alternatively or additionally, according to a further embodiment, the device may comprise at least one encryption device. Particularly preferably, the encryption device (and / or the PUF device and / or the signing device) can be integrated in the output device of the device. This will be the Manipulation security further increased. The encryption device may be configured to encrypt the output data set using the key uniquely assigned to the device. If both a signing device and an encryption device are provided, the PUF device may preferably generate two keys (based on different challenges). A first key can then be used for signing and another key for encryption. Alternatively, other encryption concepts can be used.
Alternativ oder zusätzlich kann die Vorrichtung gemäß einer weiteren Ausführungsform mindestens eine Hasheinrichtung umfassen. Die Hasheinrichtung kann in der Ausgabeneinrichtung integriert sein. Die Hasheinrichtung kann eingerichtet sein, dem mindestens einen ausgegebenen Datensatz zu hashen. Mit anderen Worten können die ausgehenden Daten gehasht werden. Deren Hash kann vorzugsweise in dem Schlüsselregister der Peer-to-Peer Anwendung abgespeichert sein. Hierdurch kann insbesondere die Integrität von übermittelten Daten bestätigt werden kann. Alternativ oder zusätzlich kann ein MAC oder HMAC Protokoll verwendet werden.Alternatively or additionally, according to a further embodiment, the device may comprise at least one grasping device. The hash device may be integrated in the output device. The hash device may be configured to hash at least one output record. In other words, the outgoing data can be hashed. Their hash may preferably be stored in the key register of the peer-to-peer application. As a result, in particular the integrity of transmitted data can be confirmed. Alternatively or additionally, a MAC or HMAC protocol may be used.
Darüber hinaus kann gemäß einer bevorzugten Ausführungsform die Peer-to-Peer-Anwendung mindestens ein Registermodul umfassen. Das Registermodul kann vorzugsweise von zumindest einem Teil der Peer-Computer des Peer-to-Peer-Netzwerks ausführbar sein. Das Registermodul kann zum Registrieren einer (neuen) Vorrichtung in dem Schlüsselregister zumindest durch Speichern des der Vorrichtung eindeutig zugeordneten Schlüssels, beispielsweise zumindest ein Challenge-Response-Paar, eingerichtet sein. Besonders bevorzugt kann die Registrierung während oder unmittelbar nach Herstellung der Vorrichtung durchgeführt werden. Neben dem mindestens einen Schlüssel können weitere, die Vorrichtung betreffende Daten registriert werden (Digitales Produktgedächtnis), wie Hersteller, Besitzer, Installationsort, Zustand, Daten über den Herstellungsprozess (z.B. eingesetzte Materialien, Maschinen etc.), Kennung etc.Moreover, according to a preferred embodiment, the peer-to-peer application may comprise at least one register module. The register module may preferably be executable by at least part of the peer-to-peer peer computers. The register module can be set up to register a (new) device in the key register at least by storing the key uniquely assigned to the device, for example at least one challenge-response pair. Particularly preferably, the registration can be carried out during or immediately after the device has been manufactured. In addition to the at least one key, further data relating to the device can be registered (digital product memory), such as manufacturer, owner, installation location, status, data on the manufacturing process (for example, materials used, machines, etc.), identifier, etc.
Das Registermodul kann konfiguriert sein, eine Registrierungsnachricht einer Vorrichtung, insbesondere eines dieser Vorrichtung zugeordneten Peer-to-Peer-Moduls zu empfangen. Die Registrierungsnachricht kann vorzugsweise zumindest den Schlüssel, insbesondere das zumindest eine (vorzugsweise mehrere) Challenge-Response-Paar, umfassen. Das Registermodul kann konfiguriert sein, zumindest den einen Schlüssel in dem Schlüsselregister zu speichern, um die Vorrichtung zu registrieren.The register module can be configured to receive a registration message from a device, in particular from a peer-to-peer module assigned to this device. The registration message may preferably comprise at least the key, in particular the at least one (preferably several) challenge-response pair. The register module may be configured to store at least the one key in the key register to register the device.
Vor der Registrierung einer Vorrichtung kann zumindest ein Teil der Peer-Computer des Peer-to-Peer-Netzwerks, insbesondere durch Ausführen des Registermoduls, überprüfen, ob die Registrierungsanforderungen (z. B. spezifische Entitätsspezifikationen oder gültige Schlüssel oder Compliance-Anforderungen), die durch das Peer-to-Peer-Netzwerk vordefiniert sind, von der Vorrichtung, die eine Registrierung anfordert, erfüllt sind. Beispielsweise kann der Schlüssel, insbesondere das mindestens eine Challenge-Response-Paar durch Durchführung eines Kommunikationstests (z.B. Austausch von Testnachrichten insbesondere in Form von Challenges) überprüft werden.Prior to registering a device, at least a portion of the peer-to-peer network peer computers, in particular by running the register module, may check to see if the registration requirements (eg, specific entity specifications or valid keys or compliance requirements) are predefined by the peer-to-peer network, are met by the device requesting registration. For example, the key, in particular the at least one challenge-response pair, can be checked by carrying out a communication test (for example exchange of test messages, in particular in the form of challenges).
Alternativ oder zusätzlich kann es notwendig sein, dass eine Vorrichtung vordefinierte, technische Spezifikationen erfüllt. Um die Überprüfung durchzuführen, können vorzugsweise weitere Daten in die Registrierungsnachricht enthalten sein. Insbesondere können die Peer-Computer des Peer-to-Peer-Netzwerks Registrierungsregeln oder Registrierungsanforderungen festlegen, die von einer Vorrichtung erfüllt werden müssen, damit diese insbesondere als eine vertrauenswürdige Vorrichtung angesehen wird. Regeln und/oder Anforderungen können individuell von den Peer-Computern eines Peer-to-Peer-Netzwerks definiert werden. Beispielsweise kann es notwendig sein, dass eine neue Vorrichtung von einer Entität empfohlen werden muss, die bereits Teilnehmer (Peer) des Peer-to-Peer-Netzwerks ist. Darüber hinaus kann es notwendig sein, dass dieser Teilnehmer einen Reputationsfaktor haben muss, der einen vordefinierten Mindestreputationsfaktor übersteigt.Alternatively or additionally, it may be necessary for a device to meet predefined, technical specifications. To perform the check, further data may preferably be included in the registration message. In particular, the peer-to-peer network peer computers may specify registration rules or registration requirements that must be met by a device in order to be considered, in particular, as a trusted device. Rules and / or requirements may be defined individually by the peer computers of a peer-to-peer network. For example, it may be necessary for a new device to be recommended by an entity that is already a peer-to-peer network peer. In addition, it may be necessary for this participant to have a reputation factor that exceeds a predefined minimum reputation factor.
Das System kann zumindest teilweise in einem Fahrzeug integriert sein. Beispielhafte und nicht abschließende Fahrzeuge sind Autos, Lastwagen, Schiffe, Schienenfahrzeuge, Flugzeuge, Fahrräder, Motorräder, Drohnen, mobile Maschinen, Boote, Flugzeuge, U-Boote, Raumfahrzeuge, Satelliten usw.The system may be at least partially integrated in a vehicle. Exemplary and non-terminating vehicles are automobiles, trucks, ships, railcars, aircraft, bicycles, motorcycles, drones, mobile machines, boats, airplanes, submarines, spacecraft, satellites, etc.
Das System kann zumindest teilweise durch das Bordnetz eines derartigen Fahrzeugs gebildet sein. Insbesondere können die in einem Fahrzeugbordnetz (oder in mehreren Fahrzeugbordnetzen) eingesetzten Sensoren, Aktoren und/oder Verarbeitungseinheiten (z.B. ECU) durch zuvor beschriebene Sensorvorrichtungen, Aktorvorrichtungen und/oder Verarbeitungsvorrichtungen gebildet sein. Hierdurch kann beispielsweise die Manipulation von Fahrzeugparameterwerten, wie Geschwindigkeitsdaten, Beschleunigungsdaten, Verbrauchsdaten etc., zumindest erschwert werden. Entsprechende Datensätze können beispielsweise für eine weitere Auswertung an die Peer-to-Peer-Anwendung und/oder eine weitere Entität übertragen werden.The system may be at least partially formed by the electrical system of such a vehicle. In particular, the sensors, actuators and / or processing units (for example ECU) used in an on-board vehicle network (or in several vehicle on-board networks) can be formed by previously described sensor devices, actuator devices and / or processing devices. In this way, for example, the manipulation of vehicle parameter values, such as speed data, acceleration data, consumption data, etc., can at least be made more difficult. Corresponding data records can, for example, be transmitted to the peer-to-peer application and / or another entity for further evaluation.
Vorzugsweise kann das Bordnetz eines Fahrzeugs selbst in Form eines internen Peer-to-Peer-Netzwerks organisiert sein (z.B. Peer-to-Peer Module in den unterschiedlichen ECUs eines Fahrzeugs oder anderen elektronischen Systemkomponenten). Dieses Peer-to-Peer-Netzwerk kann mit einem externen Peer-to-Peer-Netzwerk kommunizieren. Beide Peer-to-Peer-Netzwerke können jeweils eine zuvor beschriebene Peer-to-Peer-Anwendung, umfassend zumindest ein Authentizitätsmodul, aufweisen. Vorzugsweise kann eine Mehrzahl von Bordnetzen jeweils in Form eines anmeldungsgemäßen Peer-to-Peer-Netzwerks mit einem externen Peer-to-Peer-Netzwerk kommunizieren. Beispielsweise kann zumindest eine Vorrichtung des internen Peer-to-Peer-Netzwerks auch ein Peer-Computer des externen Peer-to-Peer-Netzwerks sein. Preferably, the on-board network of a vehicle may itself be organized in the form of an internal peer-to-peer network (eg peer-to-peer modules in the different ECUs of a vehicle or other electronic system components). This peer-to-peer network can communicate with an external peer-to-peer network. Both peer-to-peer networks can each have a previously described peer-to-peer application comprising at least one authenticity module. Preferably, a plurality of on-board networks each communicate in the form of a peer-to-peer network according to the application with an external peer-to-peer network. For example, at least one device of the internal peer-to-peer network may also be a peer computer of the external peer-to-peer network.
Darüber hinaus kann das System zumindest teilweise in einem Hausautomationssystem integriert sein. Insbesondere können die in einem Hausautomationssystem eingesetzten Sensoren, Aktoren und/oder Verarbeitungseinheiten (z.B. Hausautomationscontroller) durch zuvor beschriebene Sensorvorrichtungen, Aktorvorrichtungen und/oder Verarbeitungsvorrichtungen gebildet sein. Hierdurch kann beispielsweise die Manipulation von Hausparameterwerte, wie Temperaturdaten, Anwesenheitsdaten, Verbrauchsdaten etc., zumindest erschwert werden. Entsprechende Datensätze können beispielsweise für eine weitere Auswertung an die Peer-to-Peer-Anwendung und/oder eine weitere Entität übertragen werden.In addition, the system may be at least partially integrated in a home automation system. In particular, the sensors, actuators, and / or processing units (e.g., home automation controllers) employed in a home automation system may be constituted by previously described sensor devices, actuator devices, and / or processing devices. As a result, for example, the manipulation of house parameter values, such as temperature data, presence data, consumption data, etc., can at least be made more difficult. Corresponding data records can, for example, be transmitted to the peer-to-peer application and / or another entity for further evaluation.
Entsprechend den obigen Ausführungen zu einem Bordnetz kann auch das Hausautomationssystem bzw. -netz als Peer-to-Peer-Netzwerk organisiert und beispielsweise mit einem weiteren externen Peer-to-Peer-Netzwerk kommunizieren. According to the above remarks on a vehicle electrical system, the home automation system or network can also be organized as a peer-to-peer network and communicate, for example, with another external peer-to-peer network.
Darüber hinaus kann das System zumindest teilweise in einem Infrastrukturnetz oder deren einzelnen Komponenten integriert sein, z.B. Komponenten von Versorgungsnetzen, Überwachungsnetzen, Verkehrssteuerungsnetzen, Messnetzen (z.B. meteorologische Messnetze), Logistiknetze, Produktionsnetze, usw.Moreover, the system may be at least partially integrated in an infrastructure network or its individual components, e.g. Components of utility networks, monitoring networks, traffic management networks, measuring networks (for example meteorological monitoring networks), logistics networks, production networks, etc.
Darüber hinaus kann gemäß einer weiteren Ausführungsform das System mindestens ein Authentifizierungsgerät mit mindestens einem Authentizitätsmodul umfassen. Das Authentifizierungsgerät (z.B. Handgerät) kann insbesondere eingerichtet sein, bei einer nicht vorhandenen augenblicklichen Verbindung zu dem Peer-to-Peer-Netzwerk (beispielsweise aufgrund eines Netzwerkfehlers) des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf einem in dem Authentifizierungsgerät gespeicherten weiteren Schlüsselregister nach Empfang des Datensatzes durchzuführen. Auch in einem Offline Fall kann die Authentifizierung einer Vorrichtung mit einer PUF-Einrichtung durchgeführt werden. Vorzugsweise können bei einem Authentifizierungsgerät Obfuscating-PUF Protokolle eingesetzt werden, um die Datenmenge auf dem Authentifizierungsgerät klein zu halten.In addition, according to another embodiment, the system may include at least one authentication device with at least one authenticity module. In particular, the authentication device (eg, handset) may be configured to, in the event of a non-existent instantaneous connection to the peer-to-peer network (eg, due to a network error) of the key used in the output of the record based on a further key register stored in the authentication device Receive the record. Even in an offline case, the authentication of a device with a PUF device can be performed. Preferably, in an authentication device obfuscating PUF protocols can be used to keep the amount of data on the authentication device small.
Gemäß einer Ausführungsform des Systems gemäß der vorliegenden Anmeldung kann die Peer-to-Peer-Anwendung ein dezentrales Register, eine verteilte Ledger oder eine geteilte Datenbank sein. Das dezentrale Register kann zumindest von jedem Teilnehmer des Peer-to-Peer-Netzwerks lesbar sein. Insbesondere können sämtliche Peer-to-Peer-Module und sämtliche Peer-Computer des Peer-to-Peer-Netzwerks vorzugsweise sämtliche Informationen in der als Register gebildeten Peer-to-Peer-Anwendung (oder der von der Peer-to-Peer-Anwendung kontrollierten Speicheranordnung) lesen. Bevorzugt können auch sämtliche Peer-to-Peer-Module und sämtliche weitere Rechner bzw. Peer-Computer des Peer-to-Peer-Netzwerks Nachrichten bzw. Datensätze an die Peer-to-Peer-Anwendung senden oder in diese schreiben. In einfacher Weise können Informationen bevorzugt sämtlichen Teilnehmern des Peer-to-Peer-Netzwerks zugänglich gemacht werden. Dies erlaubt die Durchführung einer Überprüfung der in dem dezentralen Register gespeicherten Informationen, wie zuvor beschrieben Datensätze, Schlüsselregistereinträge etc. Insbesondere kann vorzugsweise jeder Peer-Computer des Peer-to-Peer-Netzwerks eingerichtet sein, eine Überprüfung einer neuen Information, insbesondere basierend auf älteren in der Peer-to-Peer-Anwendung abgespeicherten Informationen, durchzuführen.According to one embodiment of the system according to the present application, the peer-to-peer application may be a distributed register, a distributed ledger or a shared database. The decentralized register may be readable by at least each participant in the peer-to-peer network. In particular, all peer-to-peer modules and all peer-to-peer peer computers may preferentially receive all the information in the peer-to-peer application (or peer-to-peer application controlled memory arrangement) read. Preferably, all peer-to-peer modules and all other computers or peer computers of the peer-to-peer network can send messages or data records to the peer-to-peer application or write to them. In a simple way, information can preferably be made accessible to all subscribers of the peer-to-peer network. This makes it possible to carry out a check of the information stored in the decentralized register, as previously described records, key register entries, etc. In particular, each peer computer of the peer-to-peer network can be set up, a check of new information, in particular based on older ones information stored in the peer-to-peer application.
Darüber hinaus kann gemäß einer weiteren Ausführungsform des anmeldungsgemäßen Systems jeder Peer (Teilnehmer) des Peer-to-Peer-Netzwerks die Peer-to-Peer-Anwendung aufweisen. Vorzugsweise kann jeder Rechner, zumindest ein Teil der Peers, jeweils den kompletten Dateninhalt, zumindest jedoch einem Teil des Dateninhalts der Peer-to-Peer-Anwendung, insbesondere des dezentralen Registers, umfassen. Beispielsweise kann vorgesehen sein, dass nach einer positiven Verifizierung einer neuen, in die Peer-to-Peer-Anwendung geschriebenen Information diese von sämtlichen Peer-Computern, zumindest von einem Teil der Peer-Computer, abgespeichert wird. Die Manipulationssicherheit kann hierdurch weiter verbessert werden.In addition, according to a further embodiment of the system according to the application, each peer (subscriber) of the peer-to-peer network can have the peer-to-peer application. Preferably, each computer, at least part of the peers, each comprise the complete data content, but at least part of the data content of the peer-to-peer application, in particular of the decentralized register. For example, it can be provided that, after a positive verification of a new information written in the peer-to-peer application, it is stored by all peer computers, at least by a part of the peer computers. The manipulation security can be further improved thereby.
Um neue Informationen manipulationssicher zu speichern, kann die Peer-to-Peer-Anwendung Verschlüsslungsmittel und/oder Signaturmittel und/oder Verifikationsmittel, beispielsweise geeignete Hash-Funktionen, umfassen. Mindestens ein Mittel der vorgenannten Mittel kann zum Speichern von insbesondere zumindest jedem generierten Datensatz eingerichtet sein. Insbesondere kann vorgesehen sein, dass durch die Hash-Funktion eine Verknüpfung mit mindestens einer vorherigen im dezentralen Register gespeicherten Information hergestellt wird. Es können weitere Daten, wie Anfragen, Stamm-, Kontext- und/oder Transaktionsdaten einer Vorrichtung oder eines Nutzers gespeichert werden.In order to save new information in a tamper-proof manner, the peer-to-peer application may comprise encryption means and / or signature means and / or verification means, for example suitable hash functions. At least one means of the aforementioned means can be set up for storing, in particular, at least each generated data record. In particular, can be provided that the linkage with at least one previous information stored in the decentralized register is established by the hash function. Other data such as requests, root, context and / or transaction data of a device or user may be stored.
Bei einer besonders bevorzugten Ausführungsform kann die Peer-to-Peer-Anwendung eine Blockchain oder eine dezentrale Ledger sein, umfassend mindestens zwei miteinander verknüpfte Blöcke. Die Blockchain-Technologie bzw. „decentral ledger technology“ wird bereits bei der Bezahlung mittels einer Cryptowährung, wie Bitcoin, eingesetzt. Es ist erkannt worden, dass durch eine spezielle Konfiguration eine Blockchain eingerichtet werden kann, zumindest einen Datenaustausch besonders manipulationssicher zu steuern.In a particularly preferred embodiment, the peer-to-peer application may be a blockchain or a remote ledger comprising at least two blocks linked together. The blockchain technology or "decentral ledger technology" is already used when paying by means of a crypto currency, such as Bitcoin. It has been recognized that a blockchain can be set up by means of a special configuration to control at least one data exchange particularly tamper-proof.
Die Blockchain gemäß der vorliegenden Ausführungsform ist insbesondere ein dezentralisiertes, Peer-to-Peer-basiertes Register, in dem vorzugsweise eine Mehrzahl von Datensätzen und/oder Modulen und sonstigen Nachrichten von Vorrichtung/en protokolliert werden können. Eine Blockchain ist als technisches Mittel besonders geeignet, eine zentrale Instanz in einfacher und gleichzeitig sicherer Weise zu ersetzen.The blockchain according to the present embodiment is in particular a decentralized, peer-to-peer based register in which preferably a plurality of data sets and / or modules and other messages of device (s) may be logged. A blockchain as a technical means is particularly suitable for replacing a central instance in a simple and secure manner.
Wie bereits beschrieben wurde, kann die mindestens eine Peer-to-Peer-Anwendung ein dezentralisiertes Register, ein verteiltes Ledger oder eine gemeinsam genutzte Datenbank sein, die konfiguriert ist, um Daten zu speichern, z.B. die zuvor beschriebenen Datensätze, Kennung(en), Schlüssel, usw. mit bestimmten Beweisen (proofs) und/oder Signaturen. Zusätzlich zu z.B. Schlüsseln von registrierten Vorrichtungen, kann das dezentrale Register Computercode speichern, wie z.B. das Authentizitätsmodul zum Überwachen bzw. Verifizieren der Echtheit bzw. Authentizität eines Datensatzes oder ein Registermodul zum Registrieren einer Vorrichtung oder ein Steuermodul zum Steuern des Zugriffs auf eine durch das Steuermodul kontrollierte Datenspeicheranordnung.As already described, the at least one peer-to-peer application may be a decentralized register, a distributed ledger or a shared database configured to store data, e.g. the previously described records, identifier (s), keys, etc. with certain proofs and / or signatures. In addition to e.g. Keys of registered devices, the decentralized register may store computer code, e.g. the authenticity module for monitoring the authenticity of a data set or a register module for registering a device or a control module for controlling access to a data storage device controlled by the control module.
Insbesondere kann der Code durch eine Transaktion an die Adresse des Codes in dem so genannten „smart contract“ aufgerufen werden. Dieser Code kann auf der Mehrzahl von Peer-Computern des Peer-to-Peer-Netzwerks verarbeitet werden.In particular, the code can be called by a transaction to the address of the code in the so-called "smart contract". This code can be processed on the majority of peer-to-peer peer computers.
Es versteht sich, dass ein/e (smart contract-) Code- oder Verarbeitungslogik in sogenannten „Krypto-Bedingungen“ („crypto condictions“) des Interledger-Protokolls (ILP] gespeichert und ausgeführt werden kann. Dies bedeutet, dass nicht unbedingt sämtlicher Code in einem smart contract, wie Ethereum smart contract, gespeichert sein muss.It will be appreciated that a smart contract code or processing logic may be stored and executed in so-called "crypto condictions" of the interledger protocol (ILP), which means that not all of them Code must be stored in a smart contract, such as Ethereum smart contract.
In einer weiteren Ausführungsform kann der (smart contract-) Code auf einem dezentralen Berechnungsmarktplatz (z. B. Ethereum Computation Market, Trubit, Golem, Cryplets Microsoft) gespeichert und ausgeführt werden.In another embodiment, the (smart contract) code may be stored and executed on a remote computing marketplace (eg, Ethereum Computation Market, Trubit, Golem, Microsoft Cryplets).
In einer weiteren Ausführungsform können Computercodes einer externen Rechenvorrichtung, die durch die Peer-to-Peer-Anwendung gesteuert werden, Algorithmen für dezentrale kognitive Analysen, künstliche Intelligenz oder maschinelles Lernen umfassen. Analytik und Lernen können mit anderen Geräten geteilt und über die Peer-to-Peer-Anwendung gemeinsam genutzt, aggregiert und weiter analysiert werden. Zum Beispiel können diese Algorithmen angewendet werden, um einen Austauschvorgang zu optimieren.In another embodiment, computer code of an external computing device controlled by the peer-to-peer application may include distributed cognitive analysis, artificial intelligence, or machine learning algorithms. Analytics and learning can be shared with other devices and shared, aggregated, and analyzed through the peer-to-peer application. For example, these algorithms can be used to optimize an exchange process.
Ein dezentrales Register kann zumindest von einem Teil der Teilnehmer des Peer-to-Peer-Netzwerks lesbar sein. Insbesondere kann jeder Rechnerknoten (Peer-Computer) und jede registrierte Entität/Vorrichtung (mittels des jeweiligen Peer-to-Peer-Moduls) die Peer-to-Peer-Anwendung umfassen. Das dezentrale Register, zumindest der öffentliche Teil (d.h. ohne private contracts), kann zumindest von jedem Teilnehmer des Peer-to-Peer-Netzwerks gelesen werden. Insbesondere können alle Peer-to-Peer-Module und alle anderen Peer-Computer des Peer-to-Peer-Netzwerks vorzugsweise sämtliche Informationen in der Peer-to-Peer-Anwendung lesen, die als Register ausgebildet ist. Vorzugsweise ist es auch möglich, dass alle Peer-to-Peer-Module und alle anderen Peer-Computer des Peer-to-Peer-Netzwerks Nachrichten/Datensätze an die Peer-to-Peer-Anwendung senden oder empfangen können. Eine Nachricht oder Transaktion, die an einen smart contract gesendet wird, kann die Ausführung eines Codes des smart contracts (z. B. Authentizitätsmodul, Registermodul, usw.) starten, während Daten verwendet werden, die in dem smart contract gespeichert sind. Zum Beispiel kann das Empfangen eines Datensatzes die Ausführung des Authentizitätsmoduls starten, wie oben beschrieben wurde. Auch kann eine Registrierungsnachricht die Ausführung des Registermoduls starten.A decentralized register may be readable by at least part of the peer-to-peer network participants. In particular, each computer node (peer computer) and each registered entity / device (by means of the respective peer-to-peer module) may comprise the peer-to-peer application. The remote register, at least the public part (i.e., without private contracts), can be read by at least each participant in the peer-to-peer network. In particular, all peer-to-peer modules and all other peer-to-peer peer computers can preferably read all the information in the peer-to-peer application, which is designed as a register. Preferably, it is also possible that all peer-to-peer modules and all other peer-to-peer peer computers can send or receive messages / records to the peer-to-peer application. A message or transaction sent to a smart contract may start executing a code of the smart contract (eg, authenticity module, register module, etc.) while using data stored in the smart contract. For example, receiving a record may start execution of the authenticity module as described above. Also, a registration message may start the execution of the register module.
Die Peer-to-Peer-Anwendung kann auf folgenden Elementen aufgebaut werden: Peer-to-Peer-Netzwerk mit Consensus System/Protocol, Data Structure, Merkle Trees, Public Key Signatures und/oder Byzantinische Fehlertoleranz. Es kann Daten nach einem Consensus Prinzip replizieren. Es kann auditierbar und nachvollziehbar sein.The peer-to-peer application can be based on the following elements: peer-to-peer network with Consensus System / Protocol, Data Structure, Merkle Trees, Public Key Signatures and / or Byzantine Fault Tolerance. It can replicate data according to a consensus principle. It can be auditable and traceable.
Auf einfache Weise können Informationen vorzugsweise allen Teilnehmer zur Verfügung gestellt werden. Dies kann eine Überprüfung der im dezentralen Register gespeicherten Informationen oder der im dezentralen Register ausgeführten Codes ermöglichen. Besonders bevorzugt kann jeder Rechner (Peer-Computer) im Peer-to-Peer-Netzwerk konfiguriert sein, um neue Informationen zu überprüfen, insbesondere auf der Grundlage älterer Informationen, die in der Peer-to-Peer-Anwendung gespeichert sind. Zusätzlich kann das mindestens eine Authentizitätsmodul und/oder das mindestens eine Steuermodul und/oder das mindestens eine Registermodul durch mindestens einen Teil der Peers des Peer-to-Peer-Netzwerks, vorzugsweise durch alle Peers, überwacht werden. Eine Manipulation eines derartigen Moduls kann somit verhindert werden.In a simple way, information can preferably be made available to all participants. This can be a check of the information stored in the decentralized register or the codes executed in the decentralized register enable. Particularly preferably, each computer (peer computer) can be configured in the peer-to-peer network to check new information, in particular on the basis of older information stored in the peer-to-peer application. In addition, the at least one authenticity module and / or the at least one control module and / or the at least one register module can be monitored by at least part of the peers of the peer-to-peer network, preferably by all peers. Manipulation of such a module can thus be prevented.
Darüber hinaus kann zumindest ein Peer-Computer, vorzugsweise jeder Peer-Computer, jeweils den kompletten Dateninhalt umfassen, aber zumindest einen Teil des Dateninhalts der Peer-to-Peer-Anwendung, insbesondere des dezentralen Registers, umfassen. Beispielsweise kann vorgesehen sein, dass nach einer positiven Authentifizierung eines Datensatzes oder z.B. nach einer positiven Registrierung einer Vorrichtung in der Peer-to-Peer-Anwendung diese Information von allen Peer-Computern, zumindest von einem Teil der Peer-Computer, gespeichert wird. Beispielsweise können nach der nach einer erfolgreichen Registrierung einer Vorrichtung der mindestens eine (neue) Schlüssel zumindest durch einen Teil der Peer-Computer, vorzugsweise durch sämtliche Peer-Computer des Peer-to-Peer-Netzwerks, gespeichert werden. Die Manipulationssicherheit für die in der Peer-to-Peer-Anwendung gespeicherten Daten kann dadurch weiter verbessert werden. Ein Datenaustauschvorgang und/oder ein Registrierungsprozess kann sicher gesteuert werden.In addition, at least one peer computer, preferably each peer computer, each comprise the complete data content, but at least part of the data content of the peer-to-peer application, in particular the decentralized register include. For example, it may be provided that after a positive authentication of a data record or e.g. after a positive registration of a device in the peer-to-peer application, this information is stored by all peer computers, at least some of the peer computers. For example, after a successful registration of a device, the at least one (new) key can be stored at least by a part of the peer computers, preferably by all the peer computers of the peer-to-peer network. Tamper protection for the data stored in the peer-to-peer application can thus be further improved. A data exchange process and / or a registration process can be securely controlled.
Die Peer-to-Peer-Anwendung kann durch eine Directed Acyclic Graph (DAG) gebildet sein. Ein gerichteter azyklischer Graph, wie IOTA oder Tangle, bedeutet, dass Blöcke (oder Knoten des Graphen) über gerichtete Kanten miteinander gekoppelt sind. Dabei bedeutet „direct“, dass die (alle) Kanten (immer) eine gleiche Richtung in der Zeit haben. Mit anderen Worten, es ist nicht möglich, zurückzugehen. Schließlich bedeutet azyklisch, dass Schleifen nicht existieren.The peer-to-peer application may be formed by a Directed Acyclic Graph (DAG). A directed acyclic graph, such as IOTA or Tangle, means that blocks (or nodes of the graph) are coupled together via directed edges. "Direct" means that the (all) edges (always) have the same direction in time. In other words, it is not possible to go back. After all, acyclic means that loops do not exist.
In weiteren Ausführungsformen der Peer-to-Peer-Anwendung kann die Blockchain eine „permissionless“ oder „permissioned“ Blockchain sein. In einem Fall kann die Blockchain eine öffentliche, Konsortium oder private Blockchain sein.In other embodiments of the peer-to-peer application, the blockchain may be a "permissionless" or "permissioned" blockchain. In one case, the blockchain may be a public, consortium, or private blockchain.
In einer weiteren Ausführungsform können mehrere Peer-to-Peer-Netzwerke, insbesondere Blockchains, vorgesehen sein, die über Mechanismen wie „side chains“ oder smart contracts verbunden sind. Insbesondere kann hierdurch mindestens ein oben beschriebenes externes Peer-to-Peer-Netzwerk mit mindestens einem oben beschriebenen internen Peer-to-Peer-Netzwerks eines Fahrzeugs oder eines Gebäudes verbindbar sein. Ein Peer-to-Peer-Knoten bzw. Peer-Computer kann einen oder mehrere Blockchain-Client(s) ausführen.In a further embodiment, several peer-to-peer networks, in particular blockchains, can be provided, which are connected via mechanisms such as "side chains" or smart contracts. In particular, this makes it possible for at least one external peer-to-peer network described above to be connectable to at least one internal peer-to-peer network of a vehicle or a building as described above. A peer-to-peer node or peer computer can execute one or more blockchain client (s).
Die Daten der Peer-to-Peer-Anwendung können auf der „dezentralen Ledger-Technologie“ und/oder der „dezentralen Ledger-Steers (verschlüsselte) Datenspeicherung“ über das Internet und vorzugsweise im dezentralen Datenspeicher, Objektspeicher bzw. Datenbank gespeichert sein, wie z. B. ein Interplanetary File System (IPFS) oder storj oder in einer verteilten Blockchain-Datenbank (z.B. BigChainDB oder mit Cryptowerk-Funktionen gehashte Datenbank). Der Zugriff auf verschlüsselte Daten an Drittanbieter kann über ein zuvor beschriebenes Steuermodul verwaltet werden, das als ein oder mehrere smart contract(s) in der Blockchain gebildet sein kann/können.The data of the peer-to-peer application may be stored on the "decentralized Ledger technology" and / or the "decentralized Ledger-Steers (encrypted) data storage" via the Internet and preferably in the decentralized data storage, object storage or database, such as z. An interplanetary file system (IPFS) or storj, or in a distributed blockchain database (e.g., BigChainDB or a database hashed with Cryptowerk functions). Access to encrypted data to third parties may be managed via a previously described control module, which may be formed as one or more smart contracts in the blockchain.
Auch können Token aus einem Peer-to-Peer-Netzwerk eingefroren und z.B. an eine Blockchainifizierte Datenbank übertragen werden. D.h. Nutzer können ein zweites ,Wallet‘ in dieser Datenbank aufweisen. Transaktionen zwischen den Nutzern bzw. deren Wallets können als performante Datenbanktransaktionen durchgeführt werden. Nach Ablauf einer bestimmten Zeit oder der Beendigung der Gesamttransaktion kann das Ergebnis auf das ursprüngliche Peer-to-Peer-Netzwerk zurückgeschrieben werden. Als Beispiel für die Ausführung mehrerer Blockchains kann eine IoT Blockchain, wie DAT tangle, dazu benutzt werden, sicher IoT Daten zu erfassen, und diese in einem zweiten Peer-to-Peer-Netzwerk, wie z.B. BigchainDB, als Input für die Durchführung von Transaktionen zu speichern.Also, tokens from a peer-to-peer network may be frozen and e.g. be transferred to a block-authenticated database. That Users can have a second 'wallet' in this database. Transactions between the users or their wallets can be performed as high-performance database transactions. After a certain time or the completion of the entire transaction, the result can be written back to the original peer-to-peer network. As an example of the execution of multiple blockchains, an IoT blockchain, such as DAT tangle, can be used to securely capture IoT data, and store it in a second peer-to-peer network, such as a peer-to-peer network. BigchainDB, as input for the execution of transactions store.
Darüber hinaus können Daten-Feeds (data feeds) von der Peer-to-Peer-Anwendung (sogenannte „smart oracles“) bereitgestellt werden. Daten-Feeds können weitere Daten über eine Vorrichtung aus mindestens einer weiteren Quelle bereitstellen. Daten können aus vertrauenswürdigen Quellen empfangen und in der Peer-to-Peer-Anwendung gespeichert oder über die Peer-to-Peer-Anwendung auf einer dezentralen Datenspeicheranordnung gespeichert werden.In addition, data feeds may be provided by the peer-to-peer application (called smart oracles). Data feeds may provide additional data via a device from at least one other source. Data may be received from trusted sources and stored in the peer-to-peer application or stored via the peer-to-peer application on a remote data storage device.
Informationen zwischen Peer-Computern können durch ein Peer-to-Peer-Messaging-System ausgetauscht werden, Dies bedeutet, dass ein Peer-Computer eine Nachricht an einen anderen Peer-Computer senden kann, um eine Information zu übermitteln oder eine Aktion auszulösen. Nachrichten bzw. Datensätze können als Klartext, signiert, hashed, zeitgestempelt und/oder verschlüsselt werden. Dies bedeutet, dass nicht alle Daten, die zwischen Peers ausgetauscht werden, auf der Peer-to-Peer Anwendung gespeichert werden müssen.Information between peer computers can be exchanged through a peer-to-peer messaging system. This means that a peer computer can send a message to another peer computer to convey information or initiate an action. Messages or records can be plain text, signed, hashed, time stamped and / or encrypted. This means that not all data exchanged between peers must be stored on the peer-to-peer application.
In einer weiteren Ausführungsform kann das mindestens eine Peer-to-Peer-Netzwerk durch mehrere Peer-Computer und ein Peer-to-Peer-Modul gebildet sein. Ein Peer-to-Peer-Modul kann nur so konfiguriert sein, dass es mit der Vielzahl von Peer-Computern kommunizieren kann. Mit anderen Worten, das Peer-to-Peer-Modul ist kein Peer-Computer des Peer-to-Peer-Netzwerks, sondern nur ein Teilnehmer. Ein solches Peer-to-Peer-Modul umfasst nicht die Peer-to-Peer-Anwendung, sondern stellt nur ein Schnittstellenmodul, wie eine Anwendungsprogrammierschnittstelle (API), und eine dezentrale Applikation zur Kommunikation mit den Peer-Computern des Peer-to-Peer-Netzwerks bzw. mit der Peer-to-Peer-Anwendung, wie eine Blockchain oder ein smart contract einer Peer-to-Peer-Anwendung, bereit. Beispielsweise kann ein solches Peer-to-Peer-Modul entweder Klartext- oder verschlüsselte Informationen senden oder eine sichere Verbindung (z.B. Tunnel) zu einem weiteren Peer-to-Peer Modul erzeugen, um mit dem Peer-to-Peer-Modul oder dem Peer-to-Peer-Netzwerk zu kommunizieren. Dies ermöglicht eine Verringerung der erforderlichen Rechenleistung des Peer-to-Peer-Moduls. In a further embodiment, the at least one peer-to-peer network may be formed by a plurality of peer computers and a peer-to-peer module. A peer-to-peer module can only be configured to communicate with the multitude of peer computers. In other words, the peer-to-peer module is not a peer-to-peer peer, it is just a participant. Such a peer-to-peer module does not include the peer-to-peer application, but provides only an interface module, such as an application programming interface (API), and a remote application for communicating with the peer-to-peer peer computers Network or with the peer-to-peer application, such as a blockchain or a smart contract of a peer-to-peer application. For example, such a peer-to-peer module can either send plaintext or encrypted information or create a secure connection (eg tunnel) to another peer-to-peer module to communicate with the peer-to-peer module or peer -to-peer network to communicate. This allows a reduction in the required computing power of the peer-to-peer module.
In einer Ausführungsform des Peer-to-Peer-Netzwerks kann es nur einen validierenden Peer-Computer oder einen vollständigen Knoten geben, z.B. kann nur ein Knoten konfiguriert werden, um einen Validierungsprozess durchzuführen und einen oder mehrere Beobachtungs- (oder Überwachungs-) Peers. Ein Beobachtungspeer kann einige Transaktionen validieren, um eine Vertrauensstufe zu etablieren, aber er validiert nicht alle Transaktionen, die durch den validierenden Peer durchgeführt werden.In one embodiment of the peer-to-peer network, there may be only one validating peer computer or one complete node, e.g. Only one node can be configured to perform a validation process and one or more observation (or monitoring) peers. An observation spear can validate some transactions to establish a trust level, but it does not validate all transactions performed by the validating peer.
In einer weiteren Ausführungsform kann das Peer-to-Peer-Modul einer der Peer-Computer sein. In diesem Fall umfasst das Peer-to-Peer-Modul zumindest einen Teil der Peer-to-Peer-Anwendung. Insbesondere kann das Peer-to-Peer-Modul vorzugsweise den gesamten Dateninhalt der Peer-to-Peer-Anwendung umfassen oder auf die in einem anderen Peer gespeicherten Informationen zugreifen. Beispielsweise kann das Peer-to-Peer-Modul ein sogenannter „light node“ oder eine dezentrale Anwendung (DAPP) sein, die mit einem entfernten Peer (fest) verbunden ist.In another embodiment, the peer-to-peer module may be one of the peer computers. In this case, the peer-to-peer module comprises at least part of the peer-to-peer application. In particular, the peer-to-peer module may preferably comprise the entire data content of the peer-to-peer application or access the information stored in another peer. For example, the peer-to-peer module may be a so-called "light node" or a distributed application (DAPP) connected to a remote peer (fixed).
Es wird angemerkt, dass im vorliegenden Fall gemäß einer Ausführungsform das Peer-to-Peer-Modul mindestens eine API umfasst, die konfiguriert ist, um mit der Peer-to-Peer-Anwendung zu kommunizieren. Zusätzlich zu der API umfasst das Peer-to-Peer-Modul eine dezentrale Software-Anwendung, die lokale Algorithmen umfasst, die zumindest konfiguriert sind, um Datensätze, wie z.B. Messdaten, zu erzeugen und über die API an die Peer-to-Peer-Anwendung zu übertragen. Die dezentrale Anwendung „Dapp“ ist zumindest so konfiguriert, dass sie die Daten verarbeitet und überträgt.It is noted that in the present case, in one embodiment, the peer-to-peer module includes at least one API configured to communicate with the peer-to-peer application. In addition to the API, the peer-to-peer module includes a distributed software application that includes local algorithms that are at least configured to store records, such as records. Measurement data to generate and transfer via the API to the peer-to-peer application. The distributed Dapp application is at least configured to process and transmit the data.
Vorzugsweise werden die Daten signiert oder verschlüsselt oder können über einen kryptographisch gesicherten Tunnel oder eine gesicherte Internetverbindung an einen Peer oder ein weiteres Peer-to-Peer-Modul übertragen werden. In einer weiteren Ausführungsform ist auch die Peer-to-Peer-Anwendung selbst im Peer-to-Peer-Modul implementiert, d.h. das Peer-to-Peer-Modul ist ein Peer des Peer-to-Peer-Netzwerks, der die dezentrale Applikation, die API und die Peer-to-Peer-Anwendung umfasst.Preferably, the data is signed or encrypted or can be transmitted via a cryptographically secured tunnel or a secure Internet connection to a peer or another peer-to-peer module. In another embodiment, the peer-to-peer application itself is also implemented in the peer-to-peer module, i. the peer-to-peer module is a peer to the peer-to-peer network that includes the distributed application, the API, and the peer-to-peer application.
Daten und Transaktionen, die auf der Blockchain gespeichert sind, stellen keine „transaktionale Privatsphäre“ zur Verfügung. Transaktionen zwischen Pseudonymen können (oft) in Klartext auf der Blockchain gespeichert werden, In manchen Fällen werden die auf der Blockchain gespeicherten Daten verschlüsselt und die Schlüssel können über die Blockchain gehandhabt werden. Transaktionen zwischen Pseudonymen werden in Klartext auf der Blockchain gespeichert. Sichere Transaktionen oder Ausführungen von Computer-Codes können mit kryptografischen Werkzeugen, wie z. B. „zero knowledge“ (zk) Proofs oder „zk Succinct Non-interactive Arguments“ (zk-SNARK) erreicht werden. Transaktionen oder Algorithmen sind in zwei Teile unterteilt: ein Smart contract über die Blockchain und ein private contract. Ein Datenschutzbewahrungsprotokoll sorgt für die Privatsphäre der Daten und die Richtigkeit der Codeausführung (SNARK-Überprüfung erfolgt über den Smart-Vertrag auf Kette). Die private Auftragsberechnung kann durch einen Satz von Peers, OffChain-Computern oder in einer „measured launch environment“ oder einer sicheren Hardware-Enklave für die Bescheinigung und Abdichtung (sealing) durchgeführt werden, die nicht durch einen anderen Softwarecode, der auf den Geräten ausgeführt wird, manipuliert werden können. In einer alternativen Ausführungsform können sichere Multi-Party-Computing (sMPC) -Systeme für die Transaktions-Privatsphäre genutzt werden. Beispiele für Datenschutzbewahrungsprotokolle und Berechnungen sind HAWK und MIT Enigma.Data and transactions stored on the blockchain do not provide "transactional privacy." Transactions between pseudonyms can (often) be stored in plain text on the blockchain. In some cases, the data stored on the blockchain is encrypted and the keys can be handled via the blockchain. Transactions between aliases are stored in plain text on the blockchain. Secure transactions or executions of computer codes can be performed with cryptographic tools, such as. For example, "zero knowledge" (zk) proofs or "zk succinct non-interactive arguments" (zk-SNARK) can be achieved. Transactions or algorithms are divided into two parts: a smart contract via the blockchain and a private contract. A privacy protection protocol ensures the privacy of the data and the correctness of the code execution (SNARK verification is done via the smart contract on chain). The private order calculation can be performed by a set of peers, OffChain computers, or in a "measured launch environment" or a secure hardware enclave for certification and sealing that is not executed by any other software code running on the devices will be able to be manipulated. In an alternative embodiment, secure multi-party computing (sMPC) systems may be used for transaction privacy. Examples of privacy protection protocols and calculations are HAWK and MIT Enigma.
Mit „zero knowledge“ (zk Proofs) können die Parteien sehen, dass der Algorithmus in einem privaten Vertrag korrekt ausgeführt wird, aber die Eingabedaten werden nicht an die Parteien weitergegeben. Darüber hinaus kann eine selektive Privatsphäre durch die Freigabe von Schlüsseln zur Entschlüsselung von Transaktionen für Berichts- und Prüfungszwecke bereitgestellt werden.With "zero knowledge" (zk proofs) the parties can see that the algorithm is executed correctly in a private contract, but the input data is not passed on to the parties. In addition, selective privacy can be provided by releasing transaction decryption keys for reporting and auditing purposes.
Zur sicheren Bereitstellung von Codes und/oder Daten in ein Gerät kann eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environments) wie Intel SGX oder TPM oder Direct Anonymous Attestation Modul mit einem Peer-to-Peer-Modul integriert werden. In weiteren Ausführungsformen kann eine PUF-Einrichtung in einer vertrauenswürdige Ausführungsumgebung integriert sein.To securely deliver codes and / or data to a device, a trusted execution environment (Trusted Execution Environments) such as Intel SGX or TPM or Direct Anonymous Attestation module with a peer-to-peer module. In further embodiments, a PUF device may be integrated in a trusted execution environment.
Auch können weitere kryptographische Verfahren zur Herstellung einer transaktionalen Privatsphäre genutzt werden (z.B. Ring Signatures, Stealth Addresses oder Pedersen Commitments).Also, other cryptographic methods may be used to establish transactional privacy (e.g., ring signatures, stealth addresses, or pedersen commitments).
Ähnlich kann in einer weiteren Ausführungsform ein besonders großes Peer-to-Peer-Netzwerk in zwei oder mehr (physikalische oder logische oder dynamisch virtuelle) Cluster aufgeteilt werden. In einem entsprechenden Peer-to-Peer-Netzwerk kann beispielsweise eine Validierung (einer Teilmenge von Transaktionen) nur von den Mitgliedern eines Clusters durchgeführt werden (eine Teilmenge von Peers, z. B. das Aufteilen einer Blockchain zur Verbesserung der Skalierbarkeit). In einer weiteren Ausführungsform kann die Peer-to-Peer-Anwendung unter Verwendung mehrerer Blockchains gebildet werden. Diese Blockchains sind über Frameworks, wie beispielsweise „sidechains“ oder smart contracts oder Interledger Protokolle, verbunden.Similarly, in another embodiment, a particularly large peer-to-peer network may be split into two or more (physical or logical or dynamic virtual) clusters. For example, in a corresponding peer-to-peer network, validation (a subset of transactions) can only be performed by the members of a cluster (a subset of peers, eg, partitioning a blockchain to improve scalability). In another embodiment, the peer-to-peer application may be formed using multiple blockchains. These blockchains are linked via frameworks such as sidechains or smart contracts or interledger protocols.
Ein weiterer Aspekt der Anmeldung ist ein Verfahren, umfassend:
- - Ausgeben von mindestens einem Datensatz durch eine Ausgabeeinrichtung einer Vorrichtung unter Verwendung mindestens eines der Vorrichtung zugeordneten Schlüssels,
- - wobei der Schlüssel durch mindestens eine in der Vorrichtung integrierte PUF-Einrichtung erzeugt wird,
- - Bereitstellen einer Peer-to-Peer-Anwendung eines Peer-to-Peer-Netzwerks,
- - Bereitstellen eines zumindest von der Peer-to-Peer-Anwendung gesteuerten Schlüsselregisters, eingerichtet zumindest zum Speichern des der Vorrichtung eindeutig zugeordneten Schlüssels, und
- - Überprüfen des ausgegebenen und durch die Peer-to-Peer-Anwendung empfangenen Datensatzes durch Ausführen mindestens eines Authentizitätsmoduls durch mindestens einen Teil der Peer-Computer des Peer-to-Peer-Netzwerks,
- - wobei das Überprüfen das Auswerten des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf dem Schlüsselregister umfasst.
- Outputting at least one data record by an output device of a device using at least one key assigned to the device,
- the key being generated by at least one PUF device integrated in the device,
- Providing a peer-to-peer application of a peer-to-peer network,
- - Providing a controlled at least by the peer-to-peer application key register, set up at least for storing the device uniquely assigned key, and
- Checking the issued and received by the peer-to-peer application record by executing at least one authenticity module through at least part of the peer-to-peer peer computers,
- - wherein the checking comprises evaluating the key used in the output of the record based on the key register.
Das Verfahren kann insbesondere auf einem zuvor beschriebenen System durchgeführt werden. Der Überprüfungsschritt umfasst insbesondere das Verifizieren der Authentizität eines erhaltenen Datensatzes anhand des mindestens einen verwendeten Schlüssels und den gespeicherten Schlüsseln.The method can be carried out in particular on a system described above. In particular, the checking step comprises verifying the authenticity of a received data record based on the at least one key used and the stored keys.
In der vorliegend Anmeldung ist unter einem Schlüssel, der bei Ausgeben eines Datensatzes verwendet wird, ein von der ausgebenden Vorrichtung erzeugter PUF-Schlüssel zu verstehen.In the present application, a key that is used when outputting a data record is to be understood as meaning a PUF key generated by the issuing device.
Ein weiter Aspekt der Anmeldung ist eine Vorrichtung. Die Vorrichtung umfasst mindestens eine Ausgabeeinrichtung, eingerichtet zum Ausgeben von mindestens einem Datensatz. Die Vorrichtung umfasst mindestens eine PUF-Einrichtung, eingerichtet zum Erzeugen mindestens eines der Vorrichtung eindeutig zugeordneten Schlüssels. Der Schlüssel wird beim Ausgeben des Datensatzes verwendet. Die Ausgabeeinrichtung ist durch ein (zuvor beschriebenes) Peer-to-Peer-Modul gebildet, eingerichtet zumindest zum Übertragen des den Schlüssel verwendeten Datensatzes an eine Peer-to-Peer-Anwendung eines Peer-to-Peer-Netzwerks, derart, dass mindestens ein von mindestens einem Teil der Peer-Computer des Peer-to-Peer-Netzwerks ausführbares Authentizitätsmodul der Peer-to-Peer-Anwendung den bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf einem Schlüssel speichernden Schlüsselregisters überprüft.Another aspect of the application is a device. The device comprises at least one output device, configured to output at least one data record. The device comprises at least one PUF device, configured to generate at least one key uniquely assigned to the device. The key is used when outputting the record. The output device is formed by a (previously described) peer-to-peer module, configured at least for transmitting the data set used to the key to a peer-to-peer application of a peer-to-peer network such that at least one peer-to-peer authenticity module executable by at least a portion of the peer-to-peer peer computers checks the key used in the output of the record based on a key register storing the key.
Die Vorrichtung kann insbesondere in einem zuvor beschriebenen System implementiert sein. Insbesondere kann die Vorrichtung eine zuvor beschriebene Sensorvorrichtung, eine zuvor beschriebene Aktorvorrichtung und/oder eine zuvor beschriebene Verarbeitungsvorrichtung sein.The device can be implemented in particular in a system described above. In particular, the device may be a previously described sensor device, a previously described actuator device and / or a previously described processing device.
Ein noch weiterer Aspekt der Anmeldung ist eine Peer-to-Peer-Anwendung, insbesondere eine zuvor beschriebene Peer-to-Peer-Anwendung, für ein (zuvor beschriebenes) Peer-to-Peer-Netzwerk, umfassend:
- - mindestens ein von mindestens einem Teil der Peer-Computer des Peer-to-Peer-Netzwerks ausführbares Authentizitätsmodul, eingerichtet zum Überprüfen eines durch die Peer-to-Peer-Anwendung empfangenen und unter Verwendung eines durch eine PUF-Einrichtung erzeugten Schlüssels ausgegebenen Datensatzes,
- - wobei das Überprüfen ein Auswerten des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf einem von der Peer-to-Peer-Anwendung zumindest gesteuerten Schlüsselregister, eingerichtet zumindest zum Speichern des einer Vorrichtung eindeutig zugeordneten Schlüssels, umfasst.
- at least one authenticity module executable by at least a part of the peer-to-peer peer computers, configured to verify a record received by the peer-to-peer application and output using a key generated by a PUF device,
- - Wherein checking comprises evaluating the key used in the output of the record based on a peer-to-peer application at least controlled key register, set up at least for storing the device uniquely assigned a key.
Die Peer-to-Peer-Anwendung kann insbesondere ein auf einem Prozessor ausführbares Computerprogramm sein. The peer-to-peer application may, in particular, be a processor program that can be executed on a processor.
Das anmeldungsgemäße System kann beispielsweise für Software-Lizensierungsanwendungen oder anonyme Rechenanwendungen verwendet werden. Das anmeldungsgemäße System kann weiter auch für Software-Updates von Systemen und / oder deren Parametrisierung verwendet werden. Eine bevorzugte Anwendung können die Over-the-Air Updates von Systemen sein (Fahrzeuge, Gebäude, Infrastrukturnetz etc.).The system according to the application can be used, for example, for software licensing applications or anonymous computing applications. The system according to the application can also be used for software updates of systems and / or their parameterization. A preferred application may be the over-the-air updates of systems (vehicles, buildings, infrastructure network, etc.).
Ferner kann zwischen so genannten schwachen und starken PUF-Einrichtungen unterschieden werden. Eine starke PUF-Einrichtung kann sich (u.a.) von einer schwachen PUF-Einrichtung durch eine höhere Anzahl von Challenge-Response Paaren (CPR) unterscheiden. In bevorzugten Ausführungen der Anmeldung können starke PUF-Einrichtung verwendet werden.Furthermore, a distinction can be made between so-called weak and strong PUF facilities. A strong PUF facility may differ (among others) from a weak PUF facility with a higher number of challenge-response pairs (CPR). In preferred embodiments of the application, strong PUF equipment can be used.
Ferner kann eine PUF-Einrichtung mit einem Krypto-Hardware Prozessor kombiniert werden. Zum Beispiel kann diese Kombination eingerichtet sein, um aus einem schwachen Schlüssel einen stärkeren Schlüssel zu generieren, und/oder für Keyed-Hash Message Authentication Code Generierung (HMAC), um eine ausreichende Authentifizierungsfähigkeit zur Authentifizierung von Nachrichten einer Vorrichtung an einen Dritten zu etablieren (und damit Man-in-the-middle Attacken zu verhindern), und/oder zum Signieren, Hashen und / oder Verschlüsseln von Nachrichten.Furthermore, a PUF device can be combined with a crypto hardware processor. For example, this combination may be arranged to generate a stronger key from a weak key and / or Keyed-Hash Message Authentication Code Generation (HMAC) to establish sufficient authentication capability to authenticate messages from a device to a third party ( and thus to prevent man-in-the-middle attacks), and / or for signing, hashing and / or encrypting messages.
Bevorzugt kann sogenannte Hardware Entangled Cryptography angewendet werden, bei der eine PUF-Einrichtung in den Krypto-Hardware Prozessor integriert sein kann (oder umgekehrt).Preferably, so-called hardware Entangled Cryptography can be applied, in which a PUF device can be integrated into the crypto-hardware processor (or vice versa).
Auch kann eine PUF-Einrichtung auch mit einem Error-Correction Module kombiniert sein, der Varianzen in der Antwortverhalten (z.B. aufgrund von Temperaturabhängigkeiten von Bauelementen) bei CPRs korrigieren kann. Um Wiederholungen zu vermeiden, ist insbesondere vorliegend eine PUF-Einrichtung eine Einrichtung mit oder ohne Crypto-Hardware Prozessor und/oder mit oder ohne Error Correction Module.Also, a PUF device may also be combined with an error-correction module that can correct for variances in responses (e.g., due to temperature dependencies of devices) in CPRs. In particular, in order to avoid repetition, a PUF device is in particular a device with or without a crypto-hardware processor and / or with or without error correction modules.
Unter einer eine PUF-Einrichtung ist ferner eine Einrichtung zu verstehen, die eine so genannte „physical one-way“ Function darstellen, die aus einer oder vorzugsweise mehrere Challenge(s) eine oder mehrere Response/s generiert, die von den individuellen, besonderen physikalischen Eigenschaften einer Vorrichtung abhängen. Ein derartiger Mechanismus kann eingerichtet sein, um one-way Functions zu produzieren, günstig herzustellen, extrem aufwendig (oder gar unmöglich) zu duplizieren, primär nicht auf mathematischen Algorithmen basierend und tamper-resistant. Diese Funktionen können für ein Authentifizierungsprotokoll genutzt werden. Es können Funktionen eingesetzt werden, die einen großen Adressraum bzw. eine große Menge von CPRs ermöglichen. Weitere Beispiele von PUF-Einrichtungen sind Physical One-Way Functions, Physical Random Functions oder Continuous-variable Quantum Authentication of Physical Unclonable Keys. Diese Methoden können in einer PUF-Einrichtung zumindest teilweise implementiert sein und insbesondere unter dem Begriff PUF zusammengefasst werden. Des Weiteren gibt es Varianzen von PUFs, z.B. t-PUFs.A PUF device is furthermore to be understood to mean a device which represents a so-called "physical one-way" function which generates one or more responses from one or preferably several challenges, which are different from the individual, special ones depend on physical properties of a device. Such a mechanism may be arranged to produce one-way functions, to produce cheaply, to be extremely expensive (or even impossible to duplicate), primarily not based on mathematical algorithms and tamper-resistant. These functions can be used for an authentication protocol. Functions can be used that enable a large address space or a large amount of CPRs. Other examples of PUF facilities are Physical One Way Functions, Physical Random Functions or Continuously Variable Quantum Authentication of Physical Unclonable Keys. These methods can be at least partially implemented in a PUF device and in particular be summarized under the term PUF. Furthermore, there are variances of PUFs, e.g. t-PUFs.
Auch die Methode der Obfuscating PUFs, bei denen nicht eine größere Menge an CPRs auf in einem Schlüsselregister, sondern ein nur ein verhältnismäßig kleinerer Datensatz gespeichert werden muss und dafür für dieses Protokolle Rechenoperationen auf der Vorrichtung durchgeführt werden müssen, können in einer anmeldungsgemäßen PUF-Einrichtung zumindest teilweise implementiert sein. Neben der Authentifizierung können PUFs noch für Secret Key Generation und Schlüssel-Speicherung genutzt werden.Also, the method of obfuscating PUFs, in which not a larger amount of CPRs in a key register, but only a relatively smaller record must be stored and for this protocol arithmetic operations must be performed on the device, in a PUF device according to the application be at least partially implemented. In addition to authentication, PUFs can still be used for secret key generation and key storage.
Unter einer PUF-Einrichtung ist auch so genannte Physically obfuscated keys (POK) und physically obfuscated algorithms Einrichtungen zu verstehen. Schlüssel können hierbei nicht elektronisch sondern physikalisch gespeichert sein.A PUF device is also to be understood as physically obfuscated keys (POK) and physically obfuscated algorithms devices. Keys can not be stored electronically but physically.
Bei so geannten gesteuerten (controlled) PUF (CPUF)-Einrichtungen kann eine PUF-Einrichtung in Kombination mit kryptographischen Primitives verwendet werden. Auf ein solches CPUF kann insbesondere nur über einen physikalisch mit dem PUF verbundenen Algorithmus zugegriffen werden.In such controlled PUF (CPUF) devices, a PUF device can be used in combination with cryptographic primitives. In particular, such a CPUF can only be accessed via an algorithm physically linked to the PUF.
Reconfiguarbale PUF (rPUF) -Einrichtungen können so rekonfiguriert werden, dass in einem Rekonfigurationsprozess das CRP Verhalten sich zufällig und irreversibel ändert. Weitere PUF Konzepte sind Quantum Readout PUFs, SIMPL Systems und PPUFs.Reconfiguarbale PUF (rPUF) facilities can be reconfigured to change the CRP behavior randomly and irreversibly in a reconfiguration process. Other PUF concepts include Quantum Readout PUFs, SIMPL Systems and PPUFs.
Alle die oben genannten Konzepte/Einrichtungen sind in der vorliegenden Anmeldung insbesondere unter dem Begriff PUF zusammen.All of the above-mentioned concepts / devices are in the present application in particular under the term PUF together.
Die Merkmale der Systeme, Verfahren, Vorrichtungen, Peer-to-Peer Anwendungen und Computerprogramme sind frei miteinander kombinierbar. Insbesondere können Merkmale der Beschreibung und/oder der abhängigen Ansprüche, auch unter vollständiger oder teilweiser Umgehung von Merkmalen der unabhängigen Ansprüche, in Alleinstellung oder frei miteinander kombiniert eigenständig erfinderisch sein.The features of the systems, methods, devices, peer-to-peer applications and computer programs are freely combinable. In particular features of the description and / or the dependent claims, even in complete or partial circumvention of features of the independent claims, in isolation or freely combined with each other independently be inventive.
Es gibt nun eine Vielzahl von Möglichkeiten, das anmeldungsgemäße System, das anmeldungsgemäße Verfahren, die anmeldungsgemäße Vorrichtung und die anmeldungsgemäße Peer-to-Peer-Anwendung auszugestalten und weiterzuentwickeln. Hierzu sei einerseits verwiesen auf die den unabhängigen Patentansprüchen nachgeordneten Patentansprüche, andererseits auf die Beschreibung von Ausführungsbeispielen in Verbindung mit der Zeichnung. In der Zeichnung zeigt:
-
1 eine schematische Ansicht eines Ausführungsbeispiels eines Systems gemäß der vorliegenden Anmeldung, -
2 eine schematische Ansicht eines weiteren Ausführungsbeispiels eines Systems gemäß der vorliegenden Anmeldung, -
3 eine schematische Ansicht eines weiteren Ausführungsbeispiels eines Systems gemäß der vorliegenden Anmeldung, -
4 eine schematische Ansicht eines Ausführungsbeispiels einer Peer-to-Peer-Anwendung gemäß der vorliegenden Anmeldung; -
5 eine schematische Ansicht eines weiteren Ausführungsbeispiels eines Systems gemäß der vorliegenden Anmeldung; -
6 ein Diagramm eines Ausführungsbeispiels eines Verfahrens gemäß der vorliegenden Anmeldung;
-
1 a schematic view of an embodiment of a system according to the present application, -
2 a schematic view of another embodiment of a system according to the present application, -
3 a schematic view of another embodiment of a system according to the present application, -
4 a schematic view of an embodiment of a peer-to-peer application according to the present application; -
5 a schematic view of another embodiment of a system according to the present application; -
6 a diagram of an embodiment of a method according to the present application;
In den Figuren werden für gleiche Elemente gleiche Bezugszeichen verwendet.In the figures, like reference numerals are used for like elements.
Die
Die Vorrichtung
Daneben umfasst die Vorrichtung
Durch ein Challenge-Signal werden beispielsweise die elektronische Komponenten, Schaltkreise etc. entsprechend konfiguriert. Mittels eines (nicht dargestellten) Messmechanismus kann der durch die Konfiguration bewirkte Zustand der elektronischen Komponenten, Schaltkreise etc. von der PUF-Einrichtung
Dieser mindestens eine PUF-Schlüssel wird beim Ausgeben eines Datensatzes von der Ausgabeeinrichtung
Bevorzugt können die Einrichtungen
Ein wesentlicher Unterschied zu einem Stand der Technik System besteht darin, dass in dem System
Zudem sind die Peer-Computer
Die dargestellten drei Peer-Computer
Ferner ist in der
Vorliegend kann mittels der Peer-to-Peer-Anwendung
Das Schlüsselregister
Das Authentizitätsmodul
Um die Authentizität zu prüfen, ist das Authentizitätsmodul
Die
Das System
Eine erste beispielhafte Vorrichtung
Der Geschwindigkeitsmesser
Der Datensatz kann vorliegend über ein internes Kommunikationsnetz
Ferner ist beispielhaft eine Aktorvorrichtung
Auch kann die Aktorvorrichtung
Die Motorsteuerung
Ein Peer-to-Peer-Modul
Beispielsweise kann das Peer-to-Peer-Modul
In einer bevorzugten (nicht dargestellten) Ausführungsform kann das Peer-to-Peer-Modul 240 mit einer Kommunikationsvorrichtung zu einer Fahrzeug-internen oder Fahrzeug-externen Peer-to-Peer-Anwendung
Hierbei sei angemerkt, dass die Motorsteuerung
Wie ferner zu erkennen ist, ist vorliegend eine Datenspeicheranordnung
Insbesondere nach einem Empfang eines Datensatzes durch die Peer-to-Peer-Anwendung
Bei einer besonderen Variante eines Fahrzeugsystems gemäß der vorliegenden Anmeldung kann zumindest ein Teil der Vorrichtungen des Bordnetzes ein internes Peer-to-Peer-Netzwerk bilden. Dieses interne Peer-to-Peer-Netzwerk kann mit dem dargestellten externen Peer-to-Peer-Netzwerk
Die
Im vorliegenden Ausführungsbeispiel ist das System
Die beispielhaft dargestellten Vorrichtungen
In zuvor beschriebener Weise (siehe insbesondere
Darüber hinaus umfasst im vorliegenden Ausführungsbeispiel das System
Auch kann ein (nicht gezeigtes) Authentifizierungsgerät (z.B. Handgerät) mit einem weiteren Authentizitätsmodul und einem weiteren Schlüsselregister vorgesehen sein, um bei einem Netzwerkfehler die Überprüfung von ausgegebenen Datensätzen zu übernehmen. Ein solches Gerät kann mit dem Peer-to-Peer-Netzwerk verbunden sein. Benötigte CPRs oder Bitsrings können dann im On-line Fall automatisch auf dieses Authentifizierungsgerät synchronisiert werden. Diese Synchronisation kann über ein Registry auf der Peer-to-Peer-Anwendung gesteuert werden.Also, an authentication device (e.g., handset) (not shown) may be provided with another authenticity module and another key register to handle the checking of issued records in the event of a network error. Such a device may be connected to the peer-to-peer network. Required CPRs or bit rings can then be automatically synchronized to this authentication device in the on-line case. This synchronization can be controlled via a registry on the peer-to-peer application.
Nachfolgend wird bei der näheren Beschreibung des vorliegenden Ausführungsbeispiels davon ausgegangen, dass es sich bei der Peer-to-Peer-Anwendung
Die Blockchain
Die vorliegende Blockchain
In der vorliegenden Blockchain
Neben einem Authentizitätsmodul
Darüber hinaus ist vorliegend ein Registermodul
Ein Registrierungsprozess kann auch das Anlegen eines (dezentralen) Digitalen Produktgedächtnisses bewirken. Zudem können in dem Registrierungsprozess Einzel-Komponenten einem zugehörigen System (z.B. Auto, Gebäude, Netz) zugeordnet werden (z.B. Registrierung der Komponenten in einem Konfigurationsbaum). Damit kann die Identität einzelner Vorrichtungen z.B. zu der Identität eines Fahrzeuges zugordnet werden.A registration process can also cause the creation of (decentralized) Digital Product Memory. Additionally, in the registration process, individual components may be associated with an associated system (e.g., car, building, network) (e.g., registering the components in a configuration tree). Thus, the identity of individual devices e.g. be assigned to the identity of a vehicle.
Ferner kann eine Peer-to-Peer-Anwendung
Eine Anfragenachricht kann beispielsweise Kennung/en der involvierten Entität/en, mindestens ein Austauschkriterium, welches während oder nach dem Austauschvorgang erfüllt oder eingehalten werden muss, und/oder Angaben über den Dateninhalt umfassen. Es versteht sich, dass eine Anfragenachricht weniger Datenelemente oder mehr Datenelemente aufweisen kann.A request message may include, for example, identifier (s) of the entity (s) involved, at least one exchange criterion that must be fulfilled or complied with during or after the replacement process, and / or information about the data content. It is understood that a request message may have fewer data elements or more data elements.
Ferner kann/können mindestens ein Austauschkriterium, vorzugsweise mehrere Austauschkriterien, angegeben sein. Beispielsweise kann als Austauschkriterium ein Transaktionskriterium angegeben sein. Hierbei kann es sich um ein Kriterium handeln, welches von einer Entität erfüllt werden muss, um ein Datensatzaustauschvorgangsvereinbarungsmodul zu generieren. Beispielsweise kann das Transaktionskriterium eine Tokenmenge (die einem bestimmten Geldwert entsprechen kann) angeben, die eine weitere Entität für den Empfang der Daten entrichten muss.Furthermore, at least one exchange criterion, preferably several exchange criteria, can be specified. For example, a transaction criterion can be specified as exchange criterion. This may be a criterion that must be met by an entity to generate a record replacement operation agreement module. For example, the transaction criterion may specify a token amount (which may correspond to a certain monetary value) that must pay another entity to receive the data.
Es versteht sich, dass anderen Austauschkriterien festgelegt sein können. Weitere Angaben können beispielsweise ein Zeitstempel, eine Kennung der Nachricht und weitere Transaktionskriterien, wie eine Angabe über die gewünschte Datenart etc., sein.It is understood that other exchange criteria may be established. Further details can be, for example, a time stamp, an identifier of the message and further transaction criteria, such as an indication of the desired data type, etc.
Eine weitere Nachricht kann eine Annahmenachricht sein. Die Annahmenachricht kann von einem weiteren Peer-to-Peer-Modul der weiteren Entität generiert und insbesondere an die Peer-to-Peer-Anmeldung
Eine Annahmenachricht kann gleiche oder zumindest ähnliche Datenelemente wie eine zugehörige Anfragenachricht aufweisen. Zusätzlich kann die Annahmenachricht beispielsweise eine Bezugsangabe auf eine vorherige Anfrage, wie die Kennung der Anfragenachricht, umfassen.An acceptance message may have the same or at least similar data elements as an associated request message. In addition, the acceptance message may include, for example, a reference to a previous request, such as the identifier of the request message.
Auch können Anfragenachrichten und/oder Annahmenachrichten direkt zwischen den Entitäten ausgetauscht werden. Vorzugsweise über ein Peer-to-Peer-Kommunikationsprotokoll.Also, query messages and / or accept messages may be exchanged directly between the entities. Preferably via a peer-to-peer communication protocol.
Bei dem Austauschkriterium kann in einer Annahmenachricht ein geringeres/höheres Transaktionskriterium angegeben sein. Falls eine Annahmenachricht ein geringeres/höheres/anderes Transaktionskriterium oder dergleichen umfasst, kann die Annahmenachricht als Gegenangebotsnachricht bezeichnet werden. Diese kann von der ersten Entität durch eine weitere Annahmenachricht angenommen werden. Basierend hierauf kann mindestens ein Peer-to-Peer-Modul die Generierung eines Datensatzaustauschvorgangsvereinbarungsmodul durch die Peer-to-Peer-Anwendung veranlassen.In the exchange criterion, a lower / higher transaction criterion can be specified in an acceptance message. If an acceptance message includes a lower / higher / different transaction criterion or the like, the acceptance message may be referred to as a counter offer message. This can be accepted by the first entity by a further acceptance message. Based on this, at least one peer-to-peer module may cause the generation of a record replacement operation agreement module by the peer-to-peer application.
Insbesondere kann es mehrere Anfragenachrichten und/oder Annahmenachrichten geben. Jede Entität kann Vorgaben geben, nach denen mindestens ein Datensatzaustauschvorgangsvereinbarungsmodul generiert werden kann. In einem vorzugsweise automatischen, beispielsweise iterativen, Prozess kann vorzugsweise jeder Anfragenachricht eine möglichst optimal korrespondierende Annahmenachricht zugeordnet werden.In particular, there may be multiple request messages and / or acceptance messages. Each entity can specify preferences by which to generate at least one record interchange agreement module. In a preferably automatic, for example iterative, process, each request message can preferably be assigned an acceptance message which corresponds as optimally as possible.
Ein (nicht gezeigtes) Datensatzaustauschvorgangsvereinbarungsmodul kann innerhalb eines Smart Contracts in einem Block gespeichert sein.A record replacement process agreement module (not shown) may be stored within a smart contract in a block.
Ein Smart-Contract kann vorliegend Computerprogrammcode (kurz Code) umfassen. In dem Datensatzaustauschvorgangsvereinbarungsmodul kann insbesondere der Austausch von Datensätzen zwischen den zumindest zwei Entitäten vereinbart sein.A smart contract may in this case comprise computer program code (short code). In particular, the exchange of data records between the at least two entities can be agreed in the record exchange transaction agreement module.
Insbesondere ist die Peer-to-Peer-Anwendung
Vorzugsweise können zumindest die zuvor beschriebenen Nachrichten/Datensätze in einem Block
Es versteht sich, dass die zuvor genannten Module/Datensätze etc. zumindest teilweise auch miteinander kombiniert werden können. Auch versteht es sich, dass zumindest teilweise die Daten in einer zuvor beschriebenen Datenspeicheranordnung gespeichert werden können.It is understood that the aforementioned modules / data sets, etc. can be at least partially combined with each other. It is also understood that at least in part the data can be stored in a previously described data storage arrangement.
Auch kann anstelle einer linearen Blockchain ein DAG tangle oder eine Blockchain Datenbank oder ein Lightning oder State Channel Netzwerk oder eine Blockchain Integrationstechnologie, wie Interledger Protocol oder eine Kombination der genannten Peer-to-Peer Technologien, zum Einsatz kommen.Also, instead of a linear blockchain, a DAG tangle or a blockchain database or a Lightning or State Channel network or blockchain integration technology, such as Interledger Protocol or a combination of said peer-to-peer technologies, may be used.
Das stark vereinfacht dargestellte System
Vorliegend sind Peer-Computer durch Vorrichtungen
Ferner sind vorliegend insbesondere zwei unterschiedliche Arten von Peer-Computern bzw. Knotenrechnern
Auch kann vorgesehen sein, dass nur ein Teil der Peer-Computer die gesamte Peer-to-Peer-Anwendung speichert und/oder nur ein Teil der Peer-Computer die Algorithmen der (weiteren) Smart Contracts ausführt. Da mit der Validierung/Überprüfung ein erheblicher Rechenaufwand einhergehen kann, kann es aus Effizienzgründen von Vorteil sein, wenn nur ein Teil der Peer-Computer
Ebenso kann bei einer alternativen (nicht gezeigten) Ausführungsform vorgesehen sein, dass ein insbesondere großes Peer-to-Peer-Netzwerk in zwei oder mehr Cluster aufgeteilt sein kann. Bei einem entsprechenden Peer-to-Peer-Netzwerk kann beispielsweise eine Validierung nur von den Mitgliedern eines Clusters durchgeführt werden.Likewise, in an alternative embodiment (not shown) it can be provided that a particularly large peer-to-peer network can be divided into two or more clusters. For example, with a peer-to-peer network, validation can only be performed by the members of a cluster.
Weiterhin kann bei einer (nicht gezeigten) Ausführungsform vorgesehen sein, dass eine Steuervorrichtung des Anbieters, Nutzers von Flottenbetreibern, Fahrzeugherstellern, Gebäudeverwaltern oder des Netzbetreibers oder zentrale Steuerungssysteme für Austauschmodulinfrastrukturen mit dem Peer-to-Peer Netzwerk verbunden sind.Furthermore, it can be provided in an embodiment (not shown) that a control device of the provider, user of fleet operators, vehicle manufacturers, building managers or the network operator or central control systems for exchange module infrastructures are connected to the peer-to-peer network.
Die
Vor einer erstmaligen Ausgabe eines Datensatzes kann ein (nicht dargestellter) Registrierungsschritt durchgeführt werden, um die Vorrichtung in dem anmeldungsgemäßen System zu registrieren.Prior to initial output of a record, a registration step (not shown) may be performed to register the device in the system of the present invention.
In Schritt
Dann wird, insbesondere nach einem Empfang eines Datensatzes durch die Peer-to-Peer-Anwendung dieser Datensatz überprüft, insbesondere wird der ausgegebene und durch die Peer-to-Peer-Anwendung empfangene Datensatz durch Ausführen mindestens eines Authentizitätsmoduls durch mindestens einen Teil der Peer-Computer des Peer-to-Peer-Netzwerks überprüft. Das Überprüfen umfasst insbesondere das Auswerten des bei der Ausgabe des Datensatzes verwendeten Schlüssels basierend auf dem Schlüsselregister (wie zuvor beschrieben wurde).Then, especially after a record is received by the peer-to-peer application, this record is checked, in particular the record that is output and received by the peer-to-peer application is executed by executing at least one authenticity module by at least one part of the peer. Computer of the peer-to-peer network. In particular, the checking includes evaluating the key used in the output of the record based on the key register (as previously described).
Claims (11)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017122227.8A DE102017122227A1 (en) | 2017-09-26 | 2017-09-26 | SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM |
PCT/EP2018/073966 WO2019063256A1 (en) | 2017-09-26 | 2018-09-06 | System, in particular authenticity system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017122227.8A DE102017122227A1 (en) | 2017-09-26 | 2017-09-26 | SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017122227A1 true DE102017122227A1 (en) | 2019-03-28 |
Family
ID=63528771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017122227.8A Pending DE102017122227A1 (en) | 2017-09-26 | 2017-09-26 | SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102017122227A1 (en) |
WO (1) | WO2019063256A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3101991A1 (en) * | 2019-10-09 | 2021-04-16 | Pierre-Francois Casanova | Object authentication and assurance system and method |
DE102020215135A1 (en) | 2020-12-01 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Intelligent measurement counter and method for the reliable provision of measurement data in a decentralized transaction database |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110336663B (en) * | 2019-06-14 | 2021-11-30 | 东南大学 | PUFs group-to-group authentication method based on block chain technology |
US11323489B1 (en) | 2019-11-09 | 2022-05-03 | Arrowhead Center, Inc. | Scalable auditability of monitoring process using public ledgers |
EP4016916A1 (en) | 2020-12-17 | 2022-06-22 | Dr.Ing. h.c. F. Porsche Aktiengesellschaft | Method and apparatus for sharing data |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140331302A1 (en) * | 2011-12-14 | 2014-11-06 | Gemalto Sa | Method for securing an electronic document |
US20170142123A1 (en) * | 2015-11-13 | 2017-05-18 | Kabushiki Kaisha Toshiba | Data distribution apparatus, communication system, moving object, and data distribution method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9716595B1 (en) * | 2010-04-30 | 2017-07-25 | T-Central, Inc. | System and method for internet of things (IOT) security and management |
SG11201708295XA (en) * | 2015-04-06 | 2017-11-29 | Bitmark Inc | System and method for decentralized title recordation and authentication |
-
2017
- 2017-09-26 DE DE102017122227.8A patent/DE102017122227A1/en active Pending
-
2018
- 2018-09-06 WO PCT/EP2018/073966 patent/WO2019063256A1/en active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140331302A1 (en) * | 2011-12-14 | 2014-11-06 | Gemalto Sa | Method for securing an electronic document |
US20170142123A1 (en) * | 2015-11-13 | 2017-05-18 | Kabushiki Kaisha Toshiba | Data distribution apparatus, communication system, moving object, and data distribution method |
Non-Patent Citations (2)
Title |
---|
ADEPT: An IoT Practitioner Perspective, Draft Copy for Advance Review, IBM 2015, URL: http://static1.squarespace.com/static/55f73743e4b051cfcc0b02cf/55f73e5ee4b09b2bff5b2eca/55f73e72e4b09b2bff5b3267/1442266738638/IBM-ADEPT-Practictioner-Perspective-Pre-Publication-Draft-7-Jan-2015.pdf?format=original [abgerufen im Internet am 04.07.2018] * |
ZYSKIND, G. [et al.]: Decentralizing Privacy: Using Blockchain to Protect Personal Data, 2015 IEEE Security and Privacy Workshops Year: 2015, Pages: 180 – 184, URL: https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7163223 [abgerufen im Internet am 04.07.2018] * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3101991A1 (en) * | 2019-10-09 | 2021-04-16 | Pierre-Francois Casanova | Object authentication and assurance system and method |
DE102020215135A1 (en) | 2020-12-01 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Intelligent measurement counter and method for the reliable provision of measurement data in a decentralized transaction database |
Also Published As
Publication number | Publication date |
---|---|
WO2019063256A1 (en) | 2019-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102017122227A1 (en) | SYSTEM, ESPECIALLY AUTHENTICITY SYSTEM | |
DE102018216915A1 (en) | System and method for secure communications between controllers in a vehicle network | |
DE102016224537B4 (en) | Master Block Chain | |
EP3655880B1 (en) | Hardware system having a block chain | |
EP3595267B1 (en) | Method, devices and system for exchanging data between a distributed database system and devices | |
DE112013002752T5 (en) | System and method for verification of messages in broadcast and multicast networks | |
DE102015117688A1 (en) | System and method for message exchange between vehicles via a public key infrastructure | |
DE102019113026A1 (en) | AUTOMOBILE NONCE MISUSE-RESISTANT AUTHENTICATED ENCRYPTION | |
DE102014222222A1 (en) | Method for securing a network | |
EP3777088B1 (en) | Method and system for controlling a release of a resource | |
EP3763089B1 (en) | Method and control system for controlling and/or supervising of devices | |
DE102016210786A1 (en) | Component for connection to a data bus and method for implementing a cryptographic functionality in such a component | |
DE102020121533A1 (en) | TRUSTED AUTOMOTIVE AUTOMOTIVE MICROCON TROLLERS | |
DE102020205993B3 (en) | Concept for the exchange of cryptographic key information | |
EP3718263B1 (en) | Method and control system for controlling and/or supervising of devices | |
EP3105898B1 (en) | Method for communication between secured computer systems as well as computer network infrastructure | |
EP3648430B1 (en) | Hardware security module | |
EP1709764A1 (en) | Circuit arrangement and method for securing communication within communication networks | |
DE102018002466A1 (en) | Method and device for establishing a secure data transmission connection | |
DE102018102608A1 (en) | Method for user management of a field device | |
WO2022022997A1 (en) | Channel-based communication in an iot network | |
DE112021004459T5 (en) | INFORMATION VERIFICATION DEVICE, ELECTRONIC CONTROL DEVICE AND INFORMATION VERIFICATION METHOD | |
WO2019115580A1 (en) | Method for operating a decentralized storage system | |
WO2020193136A1 (en) | Intrusion detection for computer systems | |
EP3627755A1 (en) | Method for secure communication in a communication network having a plurality of units with different security levels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R083 | Amendment of/additions to inventor(s) | ||
R082 | Change of representative |
Representative=s name: COHAUSZ & FLORACK PATENT- UND RECHTSANWAELTE P, DE |
|
R163 | Identified publications notified |