DE102017202239A1 - Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes - Google Patents

Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes Download PDF

Info

Publication number
DE102017202239A1
DE102017202239A1 DE102017202239.6A DE102017202239A DE102017202239A1 DE 102017202239 A1 DE102017202239 A1 DE 102017202239A1 DE 102017202239 A DE102017202239 A DE 102017202239A DE 102017202239 A1 DE102017202239 A1 DE 102017202239A1
Authority
DE
Germany
Prior art keywords
bit sequence
node
connection module
gateway
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017202239.6A
Other languages
English (en)
Inventor
Benjamin Hettwer
Rene GUILLAUME
Arthur Mutter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017202239.6A priority Critical patent/DE102017202239A1/de
Priority to CN201810145478.1A priority patent/CN108429617B/zh
Publication of DE102017202239A1 publication Critical patent/DE102017202239A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

Verfahren (40, 60) zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten (A) und einem zweiten Knoten (B) eines Rechnernetzes mittels eines Gateways (G) des Rechnernetzes, gekennzeichnet durch folgende Merkmale:- eine Nachricht wird vom ersten Knoten (A) über ein erstes Segment (11) des Rechnernetzes an das Gateway (G) übertragen (29, 42),- anhand der Nachricht wird ein Anschlussmodul (18) des Gateways (G) konfiguriert (30, 43),- die Nachricht wird vom Gateway (G) über ein zweites Segment (12) des Rechnernetzes an den zweiten Knoten (B) weitergeleitet (31, 44),- durch den ersten Knoten (A) und das Anschlussmodul (18) wird, indem das Anschlussmodul (18) eine zufällige erste Bitfolge sendet, mittels einer Arbitrierung des ersten Segmentes (11) eine geheime zweite Bitfolge vereinbart (32, 45),- durch den zweiten Knoten (B) und das Anschlussmodul (18) wird, indem das Anschlussmodul (18) eine dritte Bitfolge sendet, mittels einer Arbitrierung des zweiten Segmentes (12) eine geheime vierte Bitfolge vereinbart (35, 48),- der Schlüssel wird vom ersten Knoten (A) und zweiten Knoten (B) mittels des Gateways (G) aus der zweiten Bitfolge und der vierten Bitfolge gewonnen (36, 37, 38, 50, 51, 52, 53, 54).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
  • Stand der Technik
  • In Steuerungs- und Regelungstechnik hinlänglich bekannt ist das gemäß ISO 11898-2 zur Anwendung in Straßenfahrzeugen standardisierte Controllerbereichsnetzwerk (controller area network, CAN). CAN basiert auf einem nachrichtenorientierten Protokoll, bei welchem jede Nachricht durch eine eindeutige Kennung (identifier, ID) bezeichnet wird. Jedes an ein CAN angeschlossene Steuergerät prüft anhand dieser ID selbständig die Relevanz der über den gemeinsamen Bus übertragenen Nachrichten und entscheidet über deren Verwertung.
  • Zum Betrieb des Steuergerätes im CAN dient ein Sendeempfänger (transceiver) auf der Bitübertragungsschicht (physical layer, PHY), der von einem Kommunikationscontroller auf der Sicherungsschicht (data link layer) angesteuert wird. Letzterer wiederum kann unmittelbar in einem Mikrocontroller (µC) integriert sein, dessen Software die Telegrammrahmen (frames) der Nachrichten auf der Anwendungsschicht (application layer) verarbeitet.
  • In DE 10 2015 207 220 A1 wird ein Verfahren zur Generierung eines Geheimnisses oder Schlüssels in einem Netzwerk, insbesondere einem CAN, vorgestellt. Hierbei weist das Netzwerk mindestens einen ersten und einen zweiten Teilnehmer und einen Übertragungskanal zwischen mindestens dem ersten und dem zweiten Teilnehmer auf. Der erste und der zweite Teilnehmer können jeweils mindestens einen ersten Wert und einen zweiten Wert auf den Übertragungskanal geben. Der erste Teilnehmer bzw. der zweite Teilnehmer veranlassen eine erste Teilnehmerwertfolge bzw. eine zweite Teilnehmerwertfolge zur zueinander weitgehend synchronen Übertragung auf den Übertragungskanal. Auf Basis von Informationen über die erste Teilnehmerwertfolge bzw. die zweite Teilnehmerwertfolge sowie auf Basis einer aus einer Überlagerung der ersten Teilnehmerwertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal resultierenden Überlagerungswertfolge generieren der erste Teilnehmer bzw. der zweite Teilnehmer ein gemeinsames Geheimnis oder einen gemeinsamen Schlüssel. Nachfolgend wird dieses Verfahren als PnS bezeichnet.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.
  • Das herkömmlich zur Schlüsselvereinbarung in einem gemeinsamen Netzsegment verwendete PnS-Verfahren dient in diesem Zusammenhang allgemeiner dazu, eine Bitfolge zu gewinnen, aus welcher die teilnehmenden Knoten zumindest mittelbar ein gemeinsames Geheimnis (shared secret) ableiten können. Dabei wird auf geschickte Weise die Medienzugriffssteuerung (media access control, MAC) des Rechnernetzes genutzt: Hierzu senden die beiden Knoten nach obigem Schema zeitgleich jeweils eine Wertfolge, die der jeweilige Knoten durch Verkettung einer - bestimmten oder zufälligen - Bitfolge mit deren Einerkomplement bestimmt. (Im Folgenden wird auf diesen Vorgang vereinfachend als „Senden der Bitfolge“ Bezug genommen, ohne im Einzelfall ausdrücklich das ebenfalls zu übertragende Komplement der jeweiligen Bitfolge zu erwähnen.)
  • Das Ergebnis der gemäß PnS vorgesehenen „Überlagerung“ definiert sich dabei durch das verwendete MAC-Protokoll, da der synchrone und somit konkurrierende Schreibzugriff der Knoten auf das gemeinsam genutzte Übertragungsmedium des sie verbindenden Netzsegments eine Arbitration durch die Medienzugriffssteuerung erfordert. Sowohl PnS als auch der hier vorgestellte, auf PnS fußende Ansatz erweisen sich somit als geeignet für Feldbusse, die einen Mehrfachzugriff mit Trägerprüfung (carrier sense multiple access, CSMA) vorsehen, insbesondere für das auf einem CSMA/CR-Arbiter basierende CAN-System. Es versteht sich jedoch, dass ein erfindungsgemäßes Verfahren in entsprechender Weise auf andere Vielfachzugriffsmedien anwendbar ist, ohne den Rahmen der Erfindung zu verlassen.
  • Der nachfolgend dargelegten Lösung liegt dabei die Erkenntnis zugrunde, dass PnS vorrangig zur Schlüsselgenerierung zwischen zwei Kommunikationspartnern dient, die direkten Zugang zu einem gemeinsamen Bussegment haben. Sollen jedoch zwei Kommunikationspartner einen Schlüssel aushandeln, die mit unterschiedlichen Bussegmenten verbunden sind oder deren Bussegmente durch eine andere Kommunikationstechnologie (z. B. „Backbone“, Automotive Ethernet) verbunden sind, so sind diese Bussegmente in der Regel über Vermittlungsstellen (Gateways) verknüpft. Da die Kommunikationspartner keinen direkten Zugriff auf ein gemeinsames Bussegment haben, ist eine unmittelbare Anwendung des PnS-Verfahrens somit nicht ohne weiteres möglich. Aus verschiedenen Gründen (z. B. Effizienz, Kompatibilität oder Leistungsfähigkeit der Knoten) kann es trotzdem wünschenswert sein, ein gemeinsames symmetrisches Geheimnis zu etablieren.
  • Mit einer Ausführungsform der beschriebenen Erfindung wird daher ermöglicht, dass Kommunikationspartner, welche keinen direkten Zugriff auf ein gemeinsames Bussegment haben und insofern nicht unmittelbar das PnS-Verfahren anwenden können, ein gemeinsames Geheimnis etablieren können, ohne die notwendige Rechenleistung für ein asymmetrisches Schlüsseletablierungsverfahren aufbringen zu müssen. Hierzu wird eine gewöhnliche Vermittlungsstelle derart um ein zur Durchführung des PnS-Verfahrens eingerichtetes Modul - im Folgenden stets: „Anschlussmodul“ - erweitert, dass sie keine Kenntnis von dem ausgehandelten Geheimnis erhält und auch keine Möglichkeit der Einflussnahme auf das erzeugte Geheimnis hat, jedoch weiterhin als Vermittlungsstelle fungiert.
  • Je nach Realisierung kann so auch ohne Verschlüsselungsmechanismus verhindert werden, dass die Vermittlungsstelle die vermittelten Datenpakete mitliest und verarbeitet. Der beschriebene Mechanismus wird in die Vermittlungsstelle und damit in bekannte Architekturen integriert, was die Handhabung erleichtert und nötige Anpassungen des Gesamtsystems reduziert. Durch die Realisierung in Hardware wird die Komplexität eines Angriffs stark erhöht. Die Schutzwirkung ist unabhängig vom Betriebsmodus der Vermittlungsstelle. Zudem muss nicht darauf vertraut werden, dass die Vermittlungsstelle das Geheimnis tatsächlich aus seinem Speicher entfernt, da sie zu keinem Zeitpunkt Kenntnis vom Geheimnis erlangt.
  • Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass das Anschlussmodul die im Rahmen von PnS benötigten zufälligen Bitfolgen mittels eines internen Zufallszahlengenerators erzeugt. Dies hat den Vorteil, dass ausschließlich das Anschlussmodul Zugriff auf die Zufallszahlen hat.
  • Gemäß einem weiteren Aspekt kann vorgesehen sein, dass das Anschlussmodul in den Transceiver des Gateways integriert ist. Fordert der erste Knoten durch Setzen eines entsprechenden Statusindikators (Flags) in der Initialisierungsnachricht nun eine durchgehende (end to end) Vermittlung ohne Einbeziehung des Gateway-Mikrocontrollers an, so kann diese Nachricht seitens des Gateways durch das Anschlussmodul selbst empfangen und ausgewertet werden. Das Anschlussmodul vermag sich auf diese Weise selbsttätig zu konfigurieren, wenn es den Statusindikator erkennt, und trennt während der anschließenden Durchführung des PnS-Verfahrens den Mikrocontroller des Gateways zumindest vom betreffenden Segment des Rechnernetzes. Diese Variante bietet sich insbesondere für solche Fälle an, in denen kein Hardwaresicherheitsmodul (HSM) zur Verfügung steht und das Anschlussmodul über keinen eigenen Zufallszahlengenerator verfügt.
  • Gemäß einem weiteren Aspekt kann vorgesehen sein, dass das Anschlussmodul in den Mikrocontroller selbst integriert ist. Es kann so von mehreren Netzwerkcontroller-Modulen im Zeitmultiplex-Verfahren verwendet werden, d. h., eine Schlüssel-Etablierung ist unabhängig davon möglich, an welchen über das Gateway angeschlossenen CAN-Bus die sicher zu verbindenden Knoten angeschlossen sind.
  • Figurenliste
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
    • 1 das Systemmodell eines möglichen Kommunikationsszenarios.
    • 2 einen Mikrocontroller mit mehreren Netzwerkcontrollern und einem Anschlussmodul.
    • 3 einen gemäß einer ersten Variante modifizierten Transceiver.
    • 4 ein Sequenzdiagramm der ersten Variante.
    • 5 einen gemäß einer zweiten Variante modifizierten Transceiver.
    • 6 ein Sequenzdiagramm der zweiten Variante.
  • Ausführungsformen der Erfindung
  • Man betrachte die folgende Ausgangssituation: Ein erster Knoten (A) und ein zweiter Knoten (B) wollen ein gemeinsames symmetrisches Geheimnis etablieren (1). Da sie an unterschiedliche CAN-Segmente (11, 12) angeschlossen sind, können sie nur über ein Gateway (G) miteinander kommunizieren. Letzteres ist potentiell nicht vertrauenswürdig und soll deshalb keine Kenntnis vom symmetrischen Schlüssel erlangen.
  • 2 zeigt beispielhaft einen Mikrocontroller mit Anschlussmodul (18) und mehreren Netzwerkcontrollern (15, 16, 17), die über eine geeignete Hostschnittstelle (13) miteinander und jeweils durch einen Transceiver (22) mit den verdrillten Adern (23, 24) des entsprechenden CAN-Segmentes verbunden sind. Das Anschlussmodul (18) ist hier unmittelbar in den Mikrocontroller integriert und seinerseits über Multiplexer (19), Demultiplexer (20) sowie Und-Gatter (21) mit den Netzwerkcontrollern (15, 16, 17) verbunden.
  • Welche der im Folgenden dargestellten Varianten für eine Realisierung ausgewählt wird, hängt u. a. davon ab, welche Eigenschaften und welche Anforderungen die bestehende Systemarchitektur mit sich bringt. In der Regel sollte verhindert werden, dass die CPU (und somit mögliche Schadsoftware) Zugriff auf die ausgehandelten Geheimnisse oder die hierzu genutzten Zufallszahlen erlangt. Unter letzterem Gesichtspunkt ist wünschenswert, dass das Anschlussmodul (18) über einen eigenen Zufallszahlengenerator verfügt. Alternativ mag ein Hardwaresicherheitsmodul verfügbar sein, welche über eine sichere, von der CPU nicht „einsehbare“ Schnittstelle (14) mit dem Anschlussmodul (18) kommunizieren kann. Dann kann der Zufallszahlengenerator des Hardwaresicherheitsmodules genutzt und die erzeugte Zufallszahl dem Anschlussmodul (18) bereitgestellt werden. In der nun anhand der 3 beleuchteten Variante hingegen muss mangels Hardwaresicherheitsmodul jedoch die CPU (25) selbst die Zufallszahlen bereitstellen und hätte so die Möglichkeit, aus der Überlagerung der im Rahmen der Schlüsselerzeugung ausgetauschten Nachrichten das Geheimnis zu berechnen. Erfindungsgemäß wird daher verhindert, dass die CPU (25) das aus diesem Nachrichtenaustausch resultierende Überlagerungssignal empfangen kann. Trotz Kenntnis der Zufallszahlen kann die CPU (25) das Geheimnis so nicht berechnen.
  • Das Gateway (G) wird hierzu mit einem abbildungsgemäß modifizierten Transceiver (22) ausgestattet, der die Verbindungsstelle zwischen den beiden Bussegmenten und dem eigentlichen Mikrocontroller (55) des Gateways (G) darstellt. Der modifizierte Transceiver (22) wiederum ist mit besagtem Anschlussmodul (18) ausgestattet, das durch entsprechende Und-Gatter (21) parallel mit den On-Chip-Netzwerkcontrollern (15, 16, 17) des Gateways (G) um den Zugriff auf die Bussegmente konkurriert. Des Weiteren gibt es mindestens einen als Multiplexer (19) ausgeführten Schalter, mit dem das Anschlussmodul (18) den entsprechenden Anschluss zumindest des abbildungsgemäß linken On-Chip-Netzwerkcontrollers (15) zeitweise vom Bus trennen kann, um den Controller (15) am Empfangen der überlagerten Schlüsselgenerierungsnachricht zu hindern. Um einen möglichen Fehlerfall zu verhindern, kann der Controller (15) mit einem hochpriorisierten „Dummy“-Frame am Senden weiterer Nachrichten gehindert werden. Eine eigene Nachricht kann der Netzwerkcontroller (15) auf dem Gateway (G) währenddessen nicht senden, weil der Sendeknoten standardgemäß die Übertragung einer solchen Nachricht am Empfangsanschluss überwachen und im vorliegenden Fall somit einen Fehler detektieren würde.
  • Der Protokollablauf stellt sich nun wie folgt dar (4):
    1. 1. Der erste Knoten (A) signalisiert mit einer Nachricht, dass er einen Schlüssel mit dem zweiten Knoten (B) etablieren möchte (29). In der Nachricht setzt er ein definiertes Flag, das dem Gateway (G) signalisiert, dass der finale Schlüssel nur erstem Knoten (A) und zweitem Knoten (B) bekannt sein soll. Außerdem legt der erste Knoten (A) eine Sitzungs-ID fest, die zum Schlüsselaustausch benutzt werden soll.
    2. 2. Das Gateway (G) erhält die Nachricht vom ersten Knoten (A) auf dem ersten Segment (11) und leitet sie unverändert über das zweite Segment (12) an den zweiten Knoten (B) weiter (31). Danach sendet es über eine serielle Peripherieschnittstelle (serial peripheral interface, SPI 26) die Zufalls-Bitfolge RGW an das Anschlussmodul (18). Dieses erkennt das Flag selbständig und konfiguriert sich dementsprechend (30). Dies gilt unter der Annahme, dass das Anschlussmodul (18) den Frame-Inhalt parsen und auswerten kann und die notwendigen Einstellungen im Anschlussmodul (18) initial konfiguriert wurden.
    3. 3. Der erste Knoten (A) und das Anschlussmodul (18) im Transceiver (22) des Gateways (G) führen einen PnS-Schlüsselaustausch durch (32). Dabei wird der Empfangsanschluss des abbildungsgemäß linken Netzwerkcontrollers (15) durch den Multiplexer (19) im Transceiver (22) wie oben beschrieben vom ersten Segment (11) getrennt.
    4. 4. Der erste Knoten (A) und das Anschlussmodul (18) berechnen das Zwischenergebnis KI (33, 34). Da das Anschlussmodul (18) anhand des besagten Flags erkennt, dass ein durchgehender Schlüsselaustausch durchzuführen ist, hindert es das Gateway (G) daran, über die serielle Peripherieschnittstelle (26) den Zwischenschlüssel KI abzurufen. Der Zwischenschlüssel KI sollte mindestens eine Größe von 4n haben, wobei n die Wortbreite des zwischen erstem Knoten (A) und zweitem Knoten (B) zu vereinbarenden Schlüssels ist.
    5. 5. Das Anschlussmodul (18) des Gateways (G) und der zweite Knoten (B) führen ebenfalls einen PnS-Schlüsselaustausch durch (35). Dabei verwendet das Anschlussmodul (18) des Gateways (G) den Zwischenschlüssel KI als Eingabe, d. h. anstelle der im Rahmen von PnS üblicherweise verwendeten Zufallszahl, während der zweite Knoten (B) in herkömmlicher Weise eine individuelle Zufallszahl RB verwendet. Der effektive Frame auf dem zweiten Segment (12) wird vom Gateway (G) unverändert auf das erste Segment (11) weitergeleitet (replay 36).
    6. 6. Erster Knoten (A) und zweiter Knoten (B) extrahieren das gemeinsame Geheimnis KAB (37, 38).
    7. 7. Das Anschlussmodul (18) löscht alle Zwischenergebnisse aus seinen Registern (39).
  • In einer Variante ist ein Hardwaresicherheitsmodul (41) im Gateway (G) vorhanden, welches gleichsam als zusätzlicher Vertrauensanker dient (5). Es erzeugt die Zufallsfolgen RGW und überträgt diese über eine speziell gesicherte Schnittstelle (14) unter Umgehung der CPU (25) zum Anschlussmodul (18) im Transceiver (22). Im folgenden Beispiel wird zudem die zwischen erstem Knoten (A) und Anschlussmodul (18) vereinbarte geheime Bitfolge nicht in obigem Wortsinn als „Zwischenschlüssel“ für die Vereinbarung einer entsprechenden Bitfolge zwischen Anschlussmodul (18) und zweitem Knoten (B) verwendet; vielmehr werden zur Vereinbarung der Geheimnisse voneinander unabhängige Zufallszahlen erzeugt.
  • Der Protokollablauf stellt sich nun wie folgt dar (6):
    1. 1. Der erste Knoten (A) sendet (42) einen Initialisierungsframe an das Gateway (G). Dieser wird unverändert an den zweiten Knoten (B) weitergeleitet (44).
    2. 2. Das Anschlussmodul (18) des Gateways (G) generiert KA,GW (45, 46, 47) mit dem ersten Knoten (A) und KB,GW (48, 49, 50) mit dem zweiten Knoten (B). Das Anschlussmodul (18) erhält die Zufallsfolgen RGW jeweils vom Hardwaresicherheitsmodul (41), ohne dass die CPU (25) darauf Zugriff hat.
    3. 3. Das Anschlussmodul (18) des Gateways (G) berechnet X = KA,GW ⊕ KB,GW (50). Das Gateway (G) liest X aus dem Anschlussmodul (18) aus und versendet es an ersten Knoten (A) und zweiten Knoten (B). Alternativ schickt das Anschlussmodul (18) die Nachrichten selbst (51, 52).
    4. 4. Erster Knoten (A) und zweiter Knoten (B) können anhand von X das Geheimnis des jeweils anderen gemäß KB,GW = KA,GW ⊕ X bzw. KA,GW = KB,GW ⊕ X berechnen (53, 54).
    5. 5. Erster Knoten (A) und zweiter Knoten (B) verwenden die beiden Geheimnisse KA,GW und KB,GW als Eingabe für eine Schlüsselableitfunktion (key derivation function) KDF und erhalten das gemeinsame Geheimnis gemäß der Vorschrift KA,B = KDF(KA,GW || KB,GW).
    6. 6. Das Anschlussmodul (18) löscht alle Zwischenergebnisse aus seinen Registern.
  • Alternativ kann z. B. die kontravalente Verknüpfung (XOR) auch im Hardwaresicherheitsmodul (41) durchgeführt werden, wenn das Anschlussmodul (18) dem Hardwaresicherheitsmodul (41) die erforderlichen Daten per serieller Peripherieschnittstelle (26) zur Verfügung stellt.
  • Es versteht sich, dass die oben beschriebenen Ausführungsformen sich im Rahmen der Erfindung auf unterschiedliche Weise kombinieren lassen. Insbesondere mag der vorgesehene Einbauort des Anschlussmodules - Mikrocontroller wie in 2 oder Transceiver wie in den 3 und 5 - mit verschiedenen Teilverfahren zur Schlüsselvereinbarung mit dem zweiten Knoten - unter Verwendung des ersten Schlüssels wie in 4 oder einer unabhängigen Zufallszahl wie in 6 - verknüpft werden. Bei jeder der resultierenden Varianten wiederum können die im Rahmen des Verfahrens zu erzeugenden Zufallszahlen von CPU (vgl. 3), Hardwaresicherheitsmodul (vgl. 5) oder Anschlussmodul selbst (nicht zeichnerisch dargestellt) erzeugt werden.
  • Folgende Tabelle veranschaulicht diese Kombinationsmöglichkeiten:
    Nr . Ort des Anschlussmodule s Einsehbarke it der Zufallszahle n Grundlage der zweiten Schlüsselvereinbaru ng
    1 Transceiver auch CPU erster Schlüssel
    2 Transceiver auch CPU weitere Zufallszahl
    3 Transceiver nur HSM erster Schlüssel
    4 Transceiver nur HSM weitere Zufallszahl
    5 Transceiver nur PnS-Modul erster Schlüssel
    6 Transceiver nur PnS-Modul weitere Zufallszahl
    7 Mikrocontroller auch CPU erster Schlüssel
    8 Mikrocontroller auch CPU weitere Zufallszahl
    9 Mikrocontroller nur HSM erster Schlüssel
    10 Mikrocontroller nur HSM weitere Zufallszahl
    11 Mikrocontroller nur PnS-Modul erster Schlüssel
    12 Mikrocontroller nur PnS-Modul weitere Zufallszahl
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102015207220 A1 [0004]

Claims (10)

  1. Verfahren (40, 60) zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten (A) und einem zweiten Knoten (B) eines Rechnernetzes mittels eines Gateways (G) des Rechnernetzes, gekennzeichnet durch folgende Merkmale: - eine Nachricht wird vom ersten Knoten (A) über ein erstes Segment (11) des Rechnernetzes an das Gateway (G) übertragen (29, 42), - anhand der Nachricht wird ein Anschlussmodul (18) des Gateways (G) konfiguriert (30, 43), - die Nachricht wird vom Gateway (G) über ein zweites Segment (12) des Rechnernetzes an den zweiten Knoten (B) weitergeleitet (31, 44), - durch den ersten Knoten (A) und das Anschlussmodul (18) wird, indem das Anschlussmodul (18) eine zufällige erste Bitfolge sendet, mittels einer Arbitrierung des ersten Segmentes (11) eine geheime zweite Bitfolge vereinbart (32, 45), - durch den zweiten Knoten (B) und das Anschlussmodul (18) wird, indem das Anschlussmodul (18) eine dritte Bitfolge sendet, mittels einer Arbitrierung des zweiten Segmentes (12) eine geheime vierte Bitfolge vereinbart (35, 48), - der Schlüssel wird vom ersten Knoten (A) und zweiten Knoten (B) mittels des Gateways (G) aus der zweiten Bitfolge und der vierten Bitfolge gewonnen (36, 37, 38, 50, 51, 52, 53, 54).
  2. Verfahren (40, 60) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: - vor dem Übertragen (29, 42) der ersten Nachricht setzt der erste Knoten (A) einen Statusindikator in der Nachricht, - die Nachricht wird seitens des Gateways (G) durch das Anschlussmodul (18) empfangen und ausgewertet, - das Anschlussmodul (18) konfiguriert sich selbsttätig (30, 43), wenn es den Statusindikator erkennt, und - während des Vereinbarens (32, 45) der zweiten Bitfolge trennt das Anschlussmodul (18) einen Mikrocontroller (55) des Gateways (G) zumindest vom ersten Segment (11).
  3. Verfahren (40, 60) nach Anspruch 1 oder 2, gekennzeichnet durch folgendes Merkmal: - ein Hardwaresicherheitsmodul (41) des Gateways (G) erzeugt die erste Bitfolge und - die erste Bitfolge wird über eine interne Schnittstelle (14) des Gateways (G) an das Anschlussmodul (18) übertragen.
  4. Verfahren (40, 60) nach Anspruch 1 oder 2, gekennzeichnet durch folgendes Merkmal: - das Anschlussmodul (18) erzeugt die erste Bitfolge, vorzugsweise mittels eines internen Zufallszahlengenerators.
  5. Verfahren (40, 60) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale: - das Anschlussmodul (18) verwendet die zweite Bitfolge als dritte Bitfolge und - der Schlüssel wird gewonnen, indem das Gateway (G) eine aus der Arbitrierung in dem zweiten Segment (12) resultierende fünfte Bitfolge in das erste Segment (11) weiterleitet (36).
  6. Verfahren (40, 60) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale: - die dritte Bitfolge ist ebenfalls zufällig, - das Anschlussmodul (18) verknüpft die zweite Bitfolge und die vierte Bitfolge kontravalent zu einer fünften Bitfolge (50), - die fünfte Bitfolge wird an den ersten Knoten (A) und den zweiten Knoten (B) übertragen (51, 52), - der erste Knoten (A) verknüpft die zweite Bitfolge und die fünfte Bitfolge kontravalent zu der vierten Bitfolge (53), - der zweite Knoten (B) verknüpft die vierte Bitfolge und die fünfte Bitfolge kontravalent zu der zweiten Bitfolge (54) und - der erste Knoten (A) und der zweite Knoten (B) leiten jeweils lokal den Schlüssel aus der zweiten Bitfolge und der vierten Bitfolge ab.
  7. Verfahren (40, 60) nach einem der Ansprüche 1 bis 6, gekennzeichnet durch folgendes Merkmal: - das Anschlussmodul (18) löscht nach dem Gewinnen des Schlüssels (36, 37, 38, 50, 51, 52, 53, 54) zumindest die erste, zweite, dritte und vierte Bitfolge aus internen Registern (39).
  8. Computerprogramm, welches eingerichtet ist, das Verfahren (40, 60) nach einem der Ansprüche 1 bis 7 auszuführen.
  9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
  10. Vorrichtung (A, B, G), die eingerichtet ist, das Verfahren (40, 60) nach einem der Ansprüche 1 bis 7 auszuführen.
DE102017202239.6A 2017-02-13 2017-02-13 Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes Pending DE102017202239A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017202239.6A DE102017202239A1 (de) 2017-02-13 2017-02-13 Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
CN201810145478.1A CN108429617B (zh) 2017-02-13 2018-02-12 在第一节点和第二节点之间约定共享密钥的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017202239.6A DE102017202239A1 (de) 2017-02-13 2017-02-13 Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes

Publications (1)

Publication Number Publication Date
DE102017202239A1 true DE102017202239A1 (de) 2018-08-16

Family

ID=62982554

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017202239.6A Pending DE102017202239A1 (de) 2017-02-13 2017-02-13 Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes

Country Status (2)

Country Link
CN (1) CN108429617B (de)
DE (1) DE102017202239A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019202232A1 (de) * 2019-02-19 2020-08-20 Robert Bosch Gmbh Verfahren und Vorrichtung zum Kommunizieren zwischen einem ersten Steuergerät und einem zweiten Steuergerät
CN110730067B (zh) * 2019-09-06 2021-10-19 深圳开源互联网安全技术有限公司 密钥生成方法、装置、计算机可读存储介质及终端设备

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7369537B1 (en) * 2001-07-18 2008-05-06 Global Ip Solutions, Inc. Adaptive Voice-over-Internet-Protocol (VoIP) testing and selecting transport including 3-way proxy, client-to-client, UDP, TCP, SSL, and recipient-connect methods
US7236597B2 (en) * 2002-12-20 2007-06-26 Bbn Technologies Corp. Key transport in quantum cryptographic networks
JP3875225B2 (ja) * 2003-10-09 2007-01-31 日本電信電話株式会社 通信制御システム、通信制御方法および通信制御プログラム
JP2008205625A (ja) * 2007-02-16 2008-09-04 Toshiba Corp 無線通信システムとその通信制御方法および通信システム
US8467532B2 (en) * 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
CN102790966A (zh) * 2011-05-19 2012-11-21 北京思龙腾越信息科技有限公司 无线传感器网络节点与网关的多线程通信方法
CN106233661B (zh) * 2014-04-28 2019-11-05 罗伯特·博世有限公司 用于在网络中生成秘密或密钥的方法
DE102014208975A1 (de) * 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk
CN105827397B (zh) * 2015-01-08 2019-10-18 阿里巴巴集团控股有限公司 基于可信中继的量子密钥分发系统、方法及装置
EP3326323B1 (de) * 2015-07-17 2021-05-12 Robert Bosch GmbH Verfahren und system für die authentifizierung gemeinsamer schlüssel und nachrichten über ein unsicheres gemeinsames kommunikationsmedium

Also Published As

Publication number Publication date
CN108429617B (zh) 2023-11-10
CN108429617A (zh) 2018-08-21

Similar Documents

Publication Publication Date Title
DE60317296T2 (de) Sicherheitsprozessorspiegelung
DE19823666B4 (de) Verschlüsselungs-Kommunikationssystem
DE102013202064A1 (de) Verfahren und Vorrichtung zum Verbinden eines Diagnosegeräts mit einem Steuergerät in einem Kraftfahrzeug
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
DE102017212809B3 (de) Verfahren zur Überprüfung des Datentransports über eine zwischen zwei ersten Schnittstelleneinheiten realisierte erste Kommunikationsverbindung zwischen zwei Datenverarbeitungseinrichtungen und Kraftfahrzeug
DE102018202996A1 (de) Verfahren zum Durchführen einer Diagnose
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE102017202239A1 (de) Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
DE102019005608A1 (de) Transportschichtauthentizität und Sicherheit für Automobilkommunikation
WO2018219767A1 (de) Verfahren zur kommunikation zwischen einem mikrocontroller und einem transceiver baustein, mikrocontroller und transceiver baustein
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102014212443A1 (de) Verringerung des Speicherbedarfs für kryptographische Schlüssel
EP3607437B1 (de) Verfahren zum konfigurieren zumindest eines geräts eines schienenfahrzeugs in einem netzwerk, computerprogramm und computerlesbares speichermedium
DE102022107431B3 (de) Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
DE102018003539A1 (de) Autonome Sicherheit in Drahtlosnetzwerken mit mehreren Betreibern oder Zugangspunkten
DE102015220008A1 (de) Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit wenigstens zwei Übertragungskanälen
EP2830277B1 (de) Verfahren und system zur manipulationssicheren übertragung von datenpaketen
DE102017202052A1 (de) Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
DE102017202602A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes an einem Bus
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
WO2017064124A1 (de) Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
DE102010039782A1 (de) Verfahren zur Durchführung einer Kommunikation
DE10115600A1 (de) Verfahren und Anordnung zur Datenkommunikation in einem kryptographischen System mit mehreren Instanzen
DE102019004790A1 (de) Authentizität und Sicherheit auf der Sicherungsschicht für Fahrzeugkommunikationssystem
DE102015219999A1 (de) Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit mindestens zwei an ein Übertragungsmedium angeschlossenen Teilnehmern

Legal Events

Date Code Title Description
R012 Request for examination validly filed