DE202019102269U1 - Sicheres Kommunikationsmodul - Google Patents

Sicheres Kommunikationsmodul Download PDF

Info

Publication number
DE202019102269U1
DE202019102269U1 DE202019102269.8U DE202019102269U DE202019102269U1 DE 202019102269 U1 DE202019102269 U1 DE 202019102269U1 DE 202019102269 U DE202019102269 U DE 202019102269U DE 202019102269 U1 DE202019102269 U1 DE 202019102269U1
Authority
DE
Germany
Prior art keywords
chip
pin
communication module
secure communication
master chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202019102269.8U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oxti Corp
Original Assignee
Oxti Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oxti Corp filed Critical Oxti Corp
Priority to DE202019102269.8U priority Critical patent/DE202019102269U1/de
Publication of DE202019102269U1 publication Critical patent/DE202019102269U1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Ein sicheres Kommunikationsmodul, umfassend: einen Master-Chip, einen Verschlüsselungschip und einen Kommunikationschip; wobei der MOSI-Pin des Master-Chips mit dem MOSI-Pin des Verschlüsselungschips verbunden ist, wobei der MISO-Pin des Master-Chips mit dem MISO-Pin des Verschlüsselungschips verbunden ist, wobei der CLK-Pin des Master-Chips mit dem CLK-Pin des Verschlüsselungschips verbunden ist, wobei der CS-Pin des Master-Chips mit dem CS-Pin des Verschlüsselungschips verbunden ist, wobei der AUX_ANT-Pin und der MAIN_ANT-Pin des Master-Chips mit dem Kommunikationschip verbunden sind.

Description

  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft das technische Gebiet des Internets der Dinge und insbesondere ein sicheres Kommunikationsmodul.
  • Stand der Technik
  • Kommunikationsmodule werden weit verbreitet in Bereichen wie Fahrzeugüberwachung, Fernsteuerung, Telemetrie, kleine drahtlose Netzwerke, drahtlose Zählerablesung, Zugangskontrollsysteme, Community-Paging, industrielle Datenerfassungssysteme, Wireless-Tag, Identifikation, Brandschutzsysteme, drahtlose Fernbedienungssysteme, Bio-Signalerfassung, hydrometeorologische Überwachung, Robotersteuerung, digitales Audio, digitale Bildübertragung, intelligentes Zuhause und intelligente Haushaltsgeräte verwendet. In der aktuellen Intemet-der-Dinge-Branche erfolgt die Vernetzung über das öffentliche Internet. Die über das Kommunikationsmodul mitgeteilten Daten werden im Klartext (ohne Verschlüsselung) übertragen. Kommunikationsinhalte sind extrem leicht zu knacken, durch gefälschte Befehle angreifbar und anfällig für böswilliges Abfangen von Paketen. Insbesondere sind einige sicherheitstechnische Geräte leicht zu knacken und anfällig für Raubkopiererei, was dann zum Verlust des Eigentums des Benutzers führt.
  • Aufgabe der Erfindung
  • Gemäß einer Ausführungsart der vorliegenden Erfindung wird ein sicheres Kommunikationsmodul bereitgestellt, umfassend einen Master-Chip, einen Verschlüsselungschip, einen SIM-Kartensteckplatz und einen Kommunikationschip;
    wobei der SIM-Kartensteckplatz zur Aufnahme der SIM-Karte dient;
    wobei der MOSI-Pin des Master-Chips über den SPI-Bus mit dem MOSI-Pin des Verschlüsselungschips verbunden ist; wobei der MISO-Pin des Master-Chips über den SPI-Bus mit dem MISO-Pin des Verschlüsselungschips verbunden ist; wobei der CLK-Pin des Master-Chips über den SPI-Bus mit dem CLK-Pin des Verschlüsselungschips verbunden ist; wobei der CS-Pin des Master-Chips über den SPI-Bus mit dem CS-Pin des Verschlüsselungschips verbunden ist;
    wobei der DATA-Pin des Master-Chips über den ISO 7816-Bus mit dem DATA-Pin des SIM-Kartensteckplatzes verbunden ist; wobei der CLK-Pin des Master-Chips über den ISO 7816-Bus mit dem CLK-Pin des SIM-Kartensteckplatzes verbunden ist; wobei der RST-Pin des Master-Chips über den ISO 7816-Bus mit dem RST-Pin des SIM-Kartensteckplatzes verbunden ist;
    wobei der AUX_ANT-Pin und der MAIN_ANT-Pin des Master-Chips mit dem Kommunikationschip verbunden sind.
  • Figurenliste
    • 1 zeigt ein schematisches Blockdiagramm, das zeigt, wie die Hardware des ersten Ausführungsbeispiels des erfindungsgemäßen sicheren Kommunikationsmoduls verbunden ist;
    • 2 zeigt ein schematisches Blockdiagramm des ersten Ausführungsbeispiels des erfindungsgemäßen sicheren Kommunikationsmoduls (einschließlich eines ersten elektronischen Geräts);
    • 2A zeigt ein schematisches Blockdiagramm des ersten Ausführungsbeispiels des erfindungsgemäßen sicheren Kommunikationsmoduls (einschließlich eines ersten elektronischen Geräts und eines zweiten elektronischen Geräts);
    • 3 zeigt ein schematisches Blockdiagramm des zweiten Ausführungsbeispiels des erfindungsgemäßen sicheren Kommunikationsmoduls.
  • Detaillierte Beschreibung der bevorzugten Ausführungsbeispiele
  • Es wird auf die 1 und 2 Bezug genommen, die schematische Blockdiagramme darstellen, die zeigen, wie die Hardware des ersten Ausführungsbeispiels des erfindungsgemäßen sicheren Kommunikationsmoduls verbunden ist. Das sichere Kommunikationsmodul 10 umfasst einen Master-Chip 110, einen Verschlüsselungschip 120, einen Kommunikationschip 130 und einen SIM-Kartensteckplatz 140.
  • Der Verschlüsselungschip 120, der Kommunikationschip 130 und der SIM-Kartensteckplatz 140 sind alle mit dem Master-Chip 110 verbunden.
  • Der Master-Chip 110 kann über SPI-Bus (Serial Peripheral Interface), I2C (Inter-Integrated Circuit) -Bus, GPIO (engl.: General Purpose Input/Output; dt.: Allzweckeingabe/-ausgabe) usw. mit dem Verschlüsselungschip 120 verbunden sein, wobei der Master-Chip 110 über ISO 7816-Bus mit dem SIM-Kartensteckplatz 140 verbunden ist, wobei der SIM-Kartensteckplatz 140 über einen Kontakt mit einer im SIM-Kartensteckplatz 140 angeordneten SIM-Karte verbunden ist, um dadurch die Verbindung des Master-Chips 110 mit der SIM-Karte zu ermöglichen. Ferner ist der Master-Chip 110 mit dem Kommunikationschip 130 verbunden.
  • Es wird ein SPI-Bus als Beispiel genommen, in dem der SPI-Bus für die Hardwarekommunikation verwendet wird, wobei jede SPI-Leitung jeweils mit einem Pin des Master-Chips 110 korrespondiert, wobei der MOSI (Eingang) -Pin des Master-Chips 110 über den SPI-Bus mit dem MOSI (Ausgang) -Pin des Verschlüsselungschips 120 verbunden ist, wobei der MISO-Pin des Master-Chips 110 über den SPI-Bus mit dem MISO-Pin des Verschlüsselungschips 120 verbunden ist, wobei der CLK (Clock) -Pin des Master-Chips über den SPI-Bus mit dem CLK-Pin des Verschlüsselungschips 120 verbunden ist, wobei der CS (Chip Select) -Pin des Master-Chips 110 über den SPI-Bus mit dem CS-Pin des Verschlüsselungschips 120 verbunden ist.
  • Insbesondere stellen der SPI_MOSI und der SPI_MISO dem Master-Chip 110 und dem Verschlüsselungschip 120 zum Datenaustausch einen Kanal bereit, wobei die übertragenen Daten in der Regel durch hohe bzw. niedrige Strompegel dargestellt werden, wobei der Master-Chip 110 dem Verschlüsselungschip 120 über den SPI_CLK-Kanal ein Taktsignal bereitstellt, wobei der Master-Chip 110 dem Verschlüsselungschip 120 über den SPI_CS-Kanal ein Chipauswahlsignal bereitstellt.
  • Der ISO 7816-Bus ist ein Bus für den Master-Chip 110, über den die Daten auf der SIM-Karte gelesen werden können, wobei jeder ISO 7816-Bus jeweils mit einem Pin des Master-Chips 110 korrespondiert, wobei der DATA (Daten) -Pin des Master-Chips 110 über den ISO 7816-Bus mit dem DATA-Pin des SIM-Kartensteckplatzes 140 verbunden ist, wobei der CLK (Clock) -Pin des Master-Chips 110 über den ISO 7816-Bus mit dem CLK-Pin des SIM-Kartensteckplatzes 140 verbunden ist, wobei der RST (Reset) -Pin des Master-Chips 110 über den ISO 7816-Bus mit dem RST-Pin des SIM-Kartensteckplatzes 140 verbunden ist.
  • Insbesondere stellt der Master-Chip 110 der SIM-Karte über den 7816_RST-Kanal ein Reset-Signal bereit, wobei der Master-Chip 110 der SIM-Karte über den 7816_CLK-Kanal ein Taktsignal bereitstellt, wobei der Master-Chip 110 der SIM-Karte über den 7816_DATA-Kanal ein Datensignal bereitstellt, wobei das Datensignal in der Regel durch einen hohen bzw. niedrigen Strompegel dargestellt wird.
  • Der AUX_ANT-Pin und der MAIN_ANT-Pin des Master-Chips 110 sind mit dem Kommunikationschip 130 verbunden.
  • Das sichere Kommunikationsmodul 10 kann mittels einer drahtlosen Kommunikationsmethode mit einem CAS (engl.: Cryptographic Authentication Server, dt.: kryptografischer Authentifizierungsserver) verbunden sein. Bei der Übertragung von Daten zwischen den sicheren Kommunikationsmodulen kann ein sicheres Kommunikationsmodul Kommunikationsdaten an den CAS übertragen, wobei die Kommunikationsdaten vom CAS an ein anderes sicheres Kommunikationsmodul übertragen werden. Oder es kann ein sicheres Kommunikationsmodul direkt mit einem anderen sicheren Kommunikationsmodul kommunizieren, wobei mittels eines Schlüsselaustausch-Algorithmus bei einem sicheren Kommunikationsmodul ein Lizenzschlüssel und bei einem anderen Kommunikationsmodul ein anderer Lizenzschlüssel erzeugt werden kann. Während der Kommunikation verschlüsselt ein sicheres Kommunikationsmodul mittels eines Lizenzschlüssels die übertragenen Kommunikationsdaten, wobei die verschlüsselten Kommunikationsdaten an ein anderes sicheres Kommunikationsmodul gesendet werden, wobei das sichere Kommunikationsmodul mittels eines Lizenzschlüssels die Kommunikationsdaten zur Weiterverarbeitung entschlüsselt.
  • Der SIM-Kartensteckplatz 140 dient zur Aufnahme der SIM-Karte, wobei die SIM-Karte über einen Kontakt mit dem Master-Chip 110 verbunden ist, wobei der Master-Chip 110 nach dem Einschalten die SIM-Karte so steuert, dass eine DFÜ-Verbindung über den Kommunikationschip 130 aufgebaut wird, um somit die Verbindung des sicheren Kommunikationsmoduls 10 mit dem Netzwerk herzustellen.
  • Nachdem die SIM-Karte erfolgreich mit dem Netzwerk verbunden wurde, können Daten zwischen dem sicheren Kommunikationsmodul 10 und der CAS-Seite gesendet und empfangen werden.
  • Der Verschlüsselungschip 120 dient zur Speicherung eines Sicherheitszertifikats, wobei das Sicherheitszertifikat zur Erreichung der Sicherheitszertifizierung des sicheren Kommunikationsmoduls 10 und der CAS-Seite dient, um die Eindeutigkeit und die Nachweisbarkeit der Identität des sicheren Kommunikationsmoduls 10 sicherzustellen.
  • Hierbei dient die CAS-Seite zur gegenseitigen Identitätsauthentifizierung zwischen ihr und dem sicheren Kommunikationsmodul 10 und zur Erzeugung eines Sitzungsschlüssels (Session Key).
  • Der Verschlüsselungschip 120 dient ferner zur Erzeugung eines einmaligen Sitzungsschlüssels.
  • Ferner erzeugt der Verschlüsselungschip 120 über einen echten Zufallszahlengenerator eine Zufallszahl, wobei ein asymmetrischer Schlüssel in Abhängigkeit von der Zufallszahl erzeugt wird, wobei der asymmetrische Schlüssel einen öffentlichen Lizenzschlüssel und einen privaten, geheimen Schlüssel umfasst. Es sei daraufhingewiesen, dass der Zufallszahlengenerator auch ein Pseudozufallszahlengenerator sein kann, jedoch ist die Erfindung nicht darauf beschränkt.
  • Der Master-Chip 110 sendet die Zufallszahl, die vom Verschlüsselungschip 120 mittels eines Zufallszahlengenerators erzeugt wurde, über den Kommunikationschip 130 an die CAS-Seite, wobei die CAS-Seite die erhaltene Zufallszahl mittels des öffentlichen Schlüssels des Verschlüsselungschips 120 verschlüsselt und zurück zur Seite des Verschlüsselungschips 120 sendet. Der Verschlüsselungschip 120 decodiert die Zufallszahl mittels des privaten Schlüssels des Verschlüsselungschips 120, anschließend wird diese Zufallszahl mit der vorherigen Zufallszahl, die an die CAS-Seite gesendet wurde, verglichen. Wenn die beiden identisch sind, ist die interaktive Authentifizierung abgeschlossen.
  • Der Kommunikationschip 130 dient zur Datenübertragung zwischen dem Master-Chip 110 und der CAS-Seite.
  • Im vorliegenden Ausführungsbeispiel kann der Kommunikationschip 130 ein drahtloser Kommunikationschip sein. In einigen anderen Ausführungsbeispielen kann das sichere Kommunikationsmodul 10 ferner eine UART-Schnittstelle, die zum Kommunizieren mit einem externen Gerät über den UART-Bus dient, umfassen, wobei das externe Gerät ein Intemet-der-Dinge-Gerät mit hohen Sicherheitsanforderungen wie beispielsweise eine intelligente Sperre sein kann.
  • Ferner ist der Kommunikationschip 130 mit dem LoRa-Netzwerk eines Mobilfunknetzes, eines WiFi-Netzwerks, eines NB-IoT-Netzwerks oder eines LPWAN (Low Power Wide Area Network) verbunden.
  • Wenn der Kommunikationschip 130 über ein Mobilfunknetz verbunden ist, kann der Kommunikationschip 130 insbesondere ein verdrahteter Kommunikationschip sein.
  • Im vorliegenden Ausrührungsbeispiel kann das Mobilfunknetz ein TD-LTE-, FDD-LTE-, TD-SCDMA-, WCDMA-, CDMA-, CDMA2000-, GSM-Netz sein. In einigen anderen Ausführungsbeispielen kann das Mobilfunknetz ferner ein aufkommendes Mobilfunknetz sein, das mit der Entwicklung des Mobilfunknetzes entstanden ist, wie z. B. 5G-Netzwerk.
  • Der Master-Chip 110 dient zum Auslesen des Sicherheitszertifikats und des asymmetrischen Schlüssels, die im Verschlüsselungschip 120 gespeichert sind, zum Verschlüsseln des Sicherheitszertifikats entsprechend dem öffentlichen Lizenzschlüssel des asymmetrischen Schlüssels und zum Senden des verschlüsselten Sicherheitszertifikats an die CAS-Seite, wobei das verschlüsselte Sicherheitszertifikat die CAS-Seite mit dem eigenen privaten, geheimen Schlüssel entschlüsselt und dann das entschlüsselte Sicherheitszertifikat überprüft, um festzustellen, ob das Sicherheitszertifikat gültig ist. Wenn das Sicherheitszertifikat gültig ist, gilt das sichere Kommunikationsmodul 10 als gültiges Gerät. Wenn das Sicherheitszertifikat ungültig ist, gilt das sichere Kommunikationsmodul 10 als ungültiges Gerät und es findet keine anschließende Datenübertragung statt.
  • Wenn das vom Master-Chip 110 gesendete Sicherheitszertifikat gültig ist, verschlüsselt die CAS-Seite das gespeicherte CAS-Sicherheitszertifikat über den generierten öffentlichen Lizenzschlüssel und sendet das verschlüsselte CAS-Sicherheitszertifikat an den Master-Chip 110. Der Master-Chip 110 empfängt das verschlüsselte CAS-Sicherheitszertifikat über den Kommunikationschip 130 und entschlüsselt dann das verschlüsselte CAS-Sicherheitszertifikat mittels des privaten, geheimen Schlüssels des asymmetrischen Schlüssels, um ein entschlüsseltes CAS-Sicherheitszertifikat zu erhalten. Hierbei unterscheidet sich der öffentliche Lizenzschlüssel des durch den Verschlüsselungschip 120 generierten asymmetrischen Schlüssels vom öffentlichen Lizenzschlüssel des durch die CAS-Seite generierten asymmetrischen Schlüssels, wobei sich der private, geheime Schlüssel des durch den Verschlüsselungschip 120 generierten asymmetrischen Schlüssels vom privaten, geheimen Schlüssel des durch die CAS-Seite generierten asymmetrischen Schlüssels unterscheidet.
  • Der Master-Chip 110 überprüft das entschlüsselte CAS-Sicherheitszertifikat. Wenn das CAS-Sicherheitszertifikat ungültig ist, wird festgestellt, dass die CAS-Seite ungültig ist und es findet keine anschließende Datenübertragung statt. Wenn das CAS-Sicherheitszertifikat gültig ist, wird festgestellt, dass die CAS-Seite gültig ist, sodass eine anschließende Datenübertragung möglich ist.
  • Nach Abschluss der Authentifizierung generiert die CAS-Seite einen neuen Sitzungsschlüssel und verschlüsselt den Sitzungsschlüssel asymmetrisch mittels eines öffentlichen Lizenzschlüssels und sendet dann den Sitzungsschlüssel an ein zugelassenes elektronisches Gerät von Drittanbietern, sodass das zugelassene elektronische Geräte von Drittanbietern und das sichere Kommunikationsmodul 10 die durch symmetrische Verschlüsselung erhaltenen Chiffretexte übertragen können, um die Sicherheit der Informationsübertragung zu erhöhen.
  • Oder es kann das sichere Kommunikationsmodul 10 nach Abschluss der Authentifizierung weiter mit der CAS-Seite verhandeln, um einen Sitzungsschlüssel mittels eines Schlüsselaustausch-Algorithmus zu erzeugen. Es sei daraufhingewiesen, dass beim Erzeugen des Sitzungsschlüssels alle zwischen dem sicheren Kommunikationsmodul 10 und der CAS-Seite gesendeten und empfangenen Daten vorab asymmetrisch verschlüsselt und dann übertragen werden, um die Datensicherheit zu erhöhen.
  • Bei jeder Kommunikation ist der asymmetrisch verschlüsselte Sitzungsschlüssel, der von der CAS-Seite an den Master-Chip 110 gesendet wird, jedes Mal anders, um sicherzustellen, dass der Sitzungsschlüssel für jede Übertragung zufällig und eindeutig ist, und zu verhindern, dass Hacker durch Algorithmen Sitzungsschlüssel knacken.
  • Ferner erzeugt der CAS den Sitzungsschlüssel mittels einer Zufallszahl, die von einem Zufallszahlengenerator erzeugt wird.
  • Insbesondere führt der CAS eine Reihe von arithmetischen und logischen Operationen, die vom Zufallszahlengenerator erzeugt werden, aus, um einen Sitzungsschlüsselstrom zu erhalten. Durch den Zufallszahlengenerator kann garantiert werden, dass die bei verschiedenen Malen erzeugten Zufallszahlen unterschiedlich und somit die Sitzungsschlüssel, die durch Durchführen von arithmetischen und logischen Operationen an den Zufallszahlen erhalten werden, ebenfalls unterschiedlich sind.
  • Um die Sicherheit der Kommunikation zu gewährleisten, verhandelt das sichere Kommunikationsmodul 10 bei jeder Kommunikation mit der CAS-Seite, um einen Sitzungsschlüssel mittels eines Schlüsselaustausch-Algorithmus zu erzeugen. Die bei verschiedenen Malen mittels des Schlüsselaustausch-Algorithmus erzeugten Sitzungsschlüssel sind unterschiedlich. Durch die Verwendung eines einmaligen Sitzungsschlüssels bei einer Kommunikation können die Sicherheit und die Rechtzeitigkeit der Kommunikation garantiert werden, um zu verhindern, dass Hacker durch die Methode der Wahrscheinlichkeitskombinationen großer Datenvolumen, wie z. B. Paketüberwachung oder Abfangen von Paketen, Lizenzschlüssel knacken.
  • Bei jeder Kommunikation erzeugen der Verschlüsselungschip 120 und die CAS-Seite beide mittels desselben Schlüsselaustausch-Algorithmus auf einer gemeinsamen Basis jeweils einen Sitzungsschlüssel, wobei entsprechend dazu der Verschlüsselungschip 120 gemäß dem obigen Prozess einen Sitzungsschlüssel generiert, wobei entsprechend dazu die CAS-Seite gemäß dem obigen Prozess ebenfalls einen Sitzungsschlüssel generiert, wobei sich der Sitzungsschlüssel des Verschlüsselungschips 120 vom Sitzungsschlüssel der CAS-Seite unterscheidet. Der Master-Chip 110 verschlüsselt oder entschlüsselt die übertragenen Kommunikationsdaten mittels des im Verschlüsselungschip 120 gelesenen Sitzungsschlüssels.
  • Wenn beispielsweise bei einer Kommunikation der Master-Chip 110 die Kommunikationsdaten an die CAS-Seite sendet, verschlüsselt der Master-Chip 110 die zu sendenden Kommunikationsdaten mittels des durch den Verschlüsselungschip 120 erzeugten Sitzungsschlüssels und sendet die verschlüsselten Kommunikationsdaten an die CAS-Seite, wobei die CAS-Seite die verschlüsselten Kommunikationsdaten mittels des generierten Sitzungsschlüssels entschlüsselt und eine nachfolgende Verarbeitung der entschlüsselten Kommunikationsdaten durchführt. Nachdem die CAS-Seite die verschlüsselten Kommunikationsdaten an den Master-Chip 110 gesendet hat, entschlüsselt der Master-Chip 110 die verschlüsselten Kommunikationsdaten mittels des durch den Verschlüsselungschip 120 erzeugten Sitzungsschlüssels und führt eine nachfolgende Verarbeitung der entschlüsselten Kommunikationsdaten durch. Auf diese Weise wird der Arbeitsablauf des sicheren Kommunikationsmoduls 10 optimiert, sodass der gesamte Authentifizierungs- und Schlüsselaustauschprozess genauer und effizienter ist.
  • Bei der nächsten Kommunikation verschlüsseln das sichere Kommunikationsmodul 10 und die CAS-Seite die übertragenen Daten mittels eines anderen, unterschiedlichen Sitzungsschlüssels. Wenn ein Hacker das verschlüsselte Datenpaket abfängt, aber noch nicht geschafft hat, den Sitzungsschlüssel zu knacken, ist der Datenübertragungsvorgang zwischen dem sicheren Kommunikationsmodul 10 und der CAS-Seite bereits abgeschlossen und der in diesem Übertragungsvorgang verwendete Sitzungsschlüssel schon abgelaufen. Bei der nächsten Kommunikation wird der aktuelle Sitzungsschlüssel, der zwischen dem sicheren Kommunikationsmodul 10 und der CAS-Seite verwendet wird, wieder gegen einen neuen Sitzungsschlüssel ausgetauscht, der sich vom in der vorherigen Kommunikation verwendeten Sitzungsschlüssel unterscheidet.
  • Im vorliegenden Ausführungsbeispiel kann der Master-Chip 110 das TCP/UDP-Protokoll, das HTTP-Protokoll, das CoAP-Protokoll, das LWM2M-Protokoll, das MQTT-Protokoll usw. unterstützen. In einigen anderen Ausführungsbeispielen kann der Master-Chip 110 mit der Entwicklung von Kommunikationstechnologien auch einige neu entwickelte Transportprotokolle unterstützen, um die Kommunikationsfunktionen zu erfüllen.
  • Ferner kann der Master-Chip 110 insbesondere ein SIM7600C-Chip, ein ME3630-Chip oder ein SIM7500-Serien-Chip sein. Der SIM7600C-Chip ist ein SMT-Modul, das Frequenzbänder wie LTE-TDD/LTE-FDD/HSPA+/TD-SCDMA und GSM/GPRS/EDGE sowie LTE CAT4 (Downstream-Geschwindigkeit von 150 Mbit/s) unterstützt. Seine Leistung ist stabil, sein Erscheinungsbild ist klein und sein Preis-Leistungsverhältnis ist gut, sodass durch ihn die Übertragung von SMS und Dateninformationen mit geringem Stromverbrauch realisiert werden kann. Mit einer Chipgröße von 30 x 30 x 2,9 mm kann der SIM7600C für verschiedene kompakte Produkte verwendet werden, um die unterschiedlichen Bedürfnisse der Kunden zu erfüllen.
  • Der SIM7500-Serien-Chip kann ein SIM7500CE, ein SIM7500X oder dergleichen sein. Der SIM7600C-Chip, der ME3630-Chip oder der SIM7500-Serien-Chip können alle im Bereich Internet der Dinge eingesetzt werden.
  • Im vorliegenden Ausführungsbeispiel kann der Verschlüsselungschip 120 einen ECC-Verschlüsselungsalgorithmus, einen RSA-Verschlüsselungsalgorithmus, einen SM1-Verschlüsselungsalgorithmus, einen SM2-Verschlüsselungsalgorithmus, einen SM3-Verschlüsselungsalgorithmus, einen SM4-Verschlüsselungsalgorithmus, einen DES-Verschlüsselungsalgorithmus, einen AES-Verschlüsselungsalgorithmus und einen SHA-Verschlüsselungsalgorithmus unterstützen. In einigen anderen Ausführungsbeispielen kann der Verschlüsselungschip 120 ferner andere asymmetrische Verschlüsselungsalgorithmen oder symmetrische Verschlüsselungsalgorithmen, wie beispielsweise elliptische Algorithmen, unterstützen.
  • Insbesondere unterstützt der Verschlüsselungschip 120 den SM2-Algorithmus. Der SM2-Algorithmus ist ein besonders starker kryptographischer Algorithmus und umkehrbar. Mit den derzeitigen technischen Mitteln kann dieser nicht geknackt werden. Somit können die Sicherheit und die Nachweisbarkeit der Authentifizierung und Datenübertragung des sicheren Kommunikationsmoduls 10 und der CAS-Seite garantiert werden. Gleichzeitig weisen die Sitzungsschlüssel des sicheren Kommunikationsmoduls 10 und der CAS-Seite das Merkmal auf, dass bei einer Kommunikation ein einmaliger Sitzungsschlüssel verwendet wird, wodurch die Sicherheit und hohe Effizienz der Kommunikation sichergestellt werden.
  • Ferner kann der Verschlüsselungschip 120 ein CIU98320-Chip oder ein Infineon 97-Serien-Chip sein. Der Stromverbrauch des CIU98320-Chips liegt unter 160 µA/MHz. Sowohl der CIU98320-Chip als auch der Infineon 97-Serien-Chip unterstützen einen SM1/SM2/SM3/SM4-Algorithmus, einen RSA-Algorithmus, einen ECC (Elliptic Curve Cryptography) -Algorithmus, einen SHA (Secure Hash Algorithm) -Algorithmus, einen DES (Data Encryption Standard) -Algorithmus und einen AES (Advanced Encryption Standard) -Algorithmus. Der Infineon 97-Serien-Chip kann ein SLE97-Chip, ein SLM97-Chip oder SLI97-Chip sein.
  • Der SIM-Kartensteckplatz 140 dient zur Aufnahme der SIM-Karte, wobei die SIM-Karte mit dem Master-Chip 110 verbunden ist, wobei der Master-Chip 110 nach dem Einschalten die SIM-Karte so steuert, dass eine DFÜ-Verbindung über den Kommunikationschip 130 aufgebaut wird, um somit eine Netzwerkverbindung zwischen dem sicheren Kommunikationsmodul 10 und der CAS-Seite zu errichten.
  • Es wird nun auf die 2 und 2A Bezug genommen. Im vorliegenden Ausrührungsbeispiel ist der Master-Chip 110 kommunikativ mit einem ersten elektronischen Gerät 2 verbunden. Das erste elektronische Gerät 2 ist ein mitnehmbares oder tragbares intelligentes elektronisches Gerät, das eine Netzwerkverbindungsfunktion (beispielsweise 4G oder höher, WiFi, Bluetooth) aufweist, wie z. B. ein intelligentes Armband, eine intelligente Uhr oder eine elektronische Karte. Das erste elektronische Gerät 2 kann zwischen ihm und dem sicheren Kommunikationsmodul 10 eine Authentifizierung oder Autorisierung bereitstellen. Darüber hinaus kann die Erfindung ferner ein zweites elektronisches Gerät 3 umfassen, wie z. B. ein Smartphone, ein Tablet-Computer oder einen Personal Computer (PC), sodass das erste elektronische Gerät 2 über eine Kommunikationsverbindung (z. B. USB-Verbindung oder Bluetooth (BT) Verbindung) mit dem zweiten elektronischen Gerät 3 verbunden werden kann. Durch die im zweiten elektronischen Gerät 3 installierte APP-Software kann das zweite elektronische Gerät 3 kommunikativ mit dem Master-Chip 110 verbunden sein. Eine Authentifizierung oder Autorisierung mit dem sicheren Kommunikationsmodul 10 kann ebenfalls bereitgestellt werden.
  • Wenn ferner im vorliegenden Ausrührungsbeispiel ein kryptografischer Algorithmus von Drittanbietern legal in das Sicherheitszertifikat aufgenommen wird, wird der öffentliche Schlüssel von Drittanbietern an den CAS übermittelt, wobei der CAS den öffentlichen Schlüssel von Drittanbietern mittels eines CAS-Schlüssels signiert. Es handelt sich somit um ein Sicherheitszertifikat von Drittanbietern.
  • 3 zeigt ein schematisches Blockdiagramm des zweiten Ausführungsbeispiels eines anderen erfindungsgemäßen sicheren Kommunikationsmoduls 10.
  • Das sichere Kommunikationsmodul 10 umfasst den Master-Chip 110, den Verschlüsselungschip 120, den Kommunikationschip 130, den SIM-Kartensteckplatz 140 und ein Netzteil 150.
  • Der Verschlüsselungschip 120 und der Kommunikationschip 130 sind beide mit dem Master-Chip 110 verbunden.
  • Der Verschlüsselungschip 120 dient zur Speicherung des Sicherheitszertifikats und zur Erzeugung asymmetrischer Schlüssel.
  • Der Master-Chip 110 dient zum asymmetrischen Verschlüsseln des Sicherheitszertifikats gemäß dem asymmetrischen Schlüssel. Die Authentifizierung des sicheren Kommunikationsmoduls 10 und der CAS-Seite wird gemäß dem asymmetrisch verschlüsselten Sicherheitszertifikat durchgeführt.
  • Ferner wird der Master-Chip 110 verwendet, um nach Abschluss der Zertifizierung bei jeder Kommunikation den von der CAS-Seite gesendeten asymmetrisch verschlüsselten Sitzungsschlüssel zu empfangen und die Kommunikationsdaten nach dem Sitzungsschlüssel zu verschlüsseln bzw. entschlüsseln.
  • Der Kommunikationschip 130 dient zur Datenübertragung zwischen dem Master-Chip 110 und der CAS-Seite.
  • Das Netzteil 150 dient dazu, den Master-Chip 110, den Verschlüsselungschip 120, den Kommunikationschip 130 und den SIM-Kartensteckplatz 140 des sicheren Kommunikationsmoduls 10 mit elektrischer Energie zu versorgen.
  • Insbesondere kann das Netzteil 150 eine Ladeschnittstelle 151 und eine AC/DC-Wandlerschaltung 152 umfassen, wobei die Ladeschnittstelle 151 zum Empfangen und zum Übertragen externer elektrischer Energie dient, wobei die AC/DC-Wandlerschaltung 152 dazu dient, die von der Ladeschnittstelle 151 empfangene elektrische Energie in vom sicheren Kommunikationsmodul 10 benötigte Gleichstromleistung umzuwandeln, um zu erreichen, dass alle Chips des sicheren Kommunikationsmoduls 10 mit stabiler Gleichstromversorgung versorgt werden.
  • Zusätzlich zu dem oben beschriebenen drahtlosen Verbindungsverfahren kann das sichere Kommunikationsmodul 10 ferner insbesondere eine UART-Schnittstelle umfassen, die dazu dient, eine drahtgebundene Verbindung zwischen dem sicheren Kommunikationsmodul 10 und einem externen Gerät (z. B. intelligente Sperre) herzustellen, um somit die Übertragungsrate und die Sicherheit zu erhöhen.
  • Ferner kann das sichere Kommunikationsmodul 10 eine Debug-Schnittstelle umfassen, die zum Debuggen des sicheren Kommunikationsmoduls 10 dient, um bei allen Modulen des sicheren Kommunikationsmoduls 10 einen normalen Betrieb zu gewährleisten.
  • Durch das im vorliegenden Ausrührungsbeispiel bereitgestellte erfindungsgemäße sichere Kommunikationsmodul 10 wird die gegenseitige Identitätsauthentifizierung zwischen einem externen Gerät im Internet der Dinge (z. B. mobiles Terminal und intelligente Sperre) und der CAS-Seite und die Verschlüsselung und Entschlüsselung von Kommunikationsdaten durchgeführt. Durch Verwendung der durch asymmetrische Verschlüsselung erfolgten Authentifizierung werden die Eindeutigkeit und die Nachweisbarkeit der Identitätsauthentifizierung sichergestellt. Durch Verhandeln des asymmetrischen Schlüssels mit dem Sitzungsschlüssel wird der Sitzungsschlüssel rechtzeitig bereitgestellt und ist dabei sicher, um zu vermeiden, dass der Sitzungsschlüssel und die Kommunikationsdaten im Klartext übertragen werden, und um somit die Sicherheit der Kommunikationsdaten zu garantieren.

Claims (6)

  1. Ein sicheres Kommunikationsmodul, umfassend: einen Master-Chip, einen Verschlüsselungschip und einen Kommunikationschip; wobei der MOSI-Pin des Master-Chips mit dem MOSI-Pin des Verschlüsselungschips verbunden ist, wobei der MISO-Pin des Master-Chips mit dem MISO-Pin des Verschlüsselungschips verbunden ist, wobei der CLK-Pin des Master-Chips mit dem CLK-Pin des Verschlüsselungschips verbunden ist, wobei der CS-Pin des Master-Chips mit dem CS-Pin des Verschlüsselungschips verbunden ist, wobei der AUX_ANT-Pin und der MAIN_ANT-Pin des Master-Chips mit dem Kommunikationschip verbunden sind.
  2. Sicheres Kommunikationsmodul nach Anspruch 1, wobei dieses ferner ein Netzteil umfasst, wobei das Netzteil dazu dient, den Master-Chip, den Verschlüsselungschip und den Kommunikationschip des sicheren Kommunikationsmoduls mit elektrischer Energie zu versorgen.
  3. Sicheres Kommunikationsmodul nach Anspruch 2, bei dem das Netzteil eine Ladeschnittstelle und eine AC/DC-Wandlerschaltung aufweist, wobei die Ladeschnittstelle zum Empfangen und zum Übertragen externer elektrischer Energie dient, wobei die AC/DC-Wandlerschaltung dazu dient, die von der Ladeschnittstelle empfangene elektrische Energie in vom Master-Chip, Verschlüsselungschip und Kommunikationschip des sicheren Kommunikationsmoduls benötigte Gleichstromleistung umzuwandeln.
  4. Sicheres Kommunikationsmodul nach Anspruch 1, bei dem der Master-Chip kommunikativ mit einem ersten elektronischen Gerät verbunden ist.
  5. Sicheres Kommunikationsmodul nach Anspruch 4, wobei dieses ferner ein zweites elektronisches Gerät umfasst, wobei das erste elektronische Gerät über eine Kommunikationsverbindung mit dem zweiten elektronischen Gerät verbunden ist, wobei das zweite elektronische Gerät kommunikativ mit dem Master-Chip verbunden ist.
  6. Sicheres Kommunikationsmodul nach Anspruch 1, wobei dieses ferner einen SIM-Kartensteckplatz umfasst, wobei der SIM-Kartensteckplatz zur Aufnahme der SIM-Karte dient, wobei der DATA-Pin des Master-Chips über den ISO 7816-Bus mit dem DATA-Pin des SIM-Kartensteckplatzes verbunden ist; wobei der CLK-Pin des Master-Chips über den ISO 7816-Bus mit dem CLK-Pin des SIM-Kartensteckplatzes verbunden ist; wobei der RST-Pin des Master-Chips über den ISO 7816-Bus mit dem RST-Pin des SIM-Kartensteckplatzes verbunden ist.
DE202019102269.8U 2019-04-23 2019-04-23 Sicheres Kommunikationsmodul Active DE202019102269U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202019102269.8U DE202019102269U1 (de) 2019-04-23 2019-04-23 Sicheres Kommunikationsmodul

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202019102269.8U DE202019102269U1 (de) 2019-04-23 2019-04-23 Sicheres Kommunikationsmodul

Publications (1)

Publication Number Publication Date
DE202019102269U1 true DE202019102269U1 (de) 2019-04-30

Family

ID=66548086

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202019102269.8U Active DE202019102269U1 (de) 2019-04-23 2019-04-23 Sicheres Kommunikationsmodul

Country Status (1)

Country Link
DE (1) DE202019102269U1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866989A (zh) * 2019-11-28 2021-05-28 北京亚华意诺斯新能源科技有限公司 一种基于窄带物联网的通信设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866989A (zh) * 2019-11-28 2021-05-28 北京亚华意诺斯新能源科技有限公司 一种基于窄带物联网的通信设备

Similar Documents

Publication Publication Date Title
CN110995642B (zh) 使用预共享密钥提供安全连接
DE102009024604B4 (de) Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
DE60308971T2 (de) Verfahren und Vorrichtung für sichere Datenkommunikationsverbindungen
DE60316222T2 (de) Chipkarte und Methode zur kryptographischen Kommunikation zwischen Chipkarten
EP2912595B1 (de) Verfahren zur erzeugung eines soft-tokens, computerprogrammprodukt und dienst-computersystem
CN109862103B (zh) 基于区块链的文件数据安全共享方法和装置
EP3246839B1 (de) Zugangskontrolle mit einem mobilfunkgerät
WO2015082123A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
CA3178204A1 (en) Secure messaging between cryptographic hardware modules
DE102014106727A1 (de) Verfahren zum Senden/Empfangen einer Nachricht mittels einer verschlüsselten drahtlosen Verbindung
CN111614670A (zh) 加密文件的发送方法及装置、存储介质
CN208675215U (zh) 安全通信模块
CN107707562A (zh) 一种非对称动态令牌加、解密算法的方法、装置
DE602005000716T2 (de) Sicherung einer Kommunikationsverbindung zwischen Geräten.
DE202019102269U1 (de) Sicheres Kommunikationsmodul
CN105516210A (zh) 终端安全接入认证的系统及方法
CN210515295U (zh) 一种基于安全芯片的安全认证系统与信息处理装置
CN109088731B (zh) 一种物联网云端通信方法及其装置
CN106878985A (zh) 一种终端页面的统一跳转方法、装置及终端
CN106899541A (zh) 一种电力采集设备的安全费率控制方法
CN202918498U (zh) 一种sim卡卡套、移动终端及数字签名认证系统
CN111404670A (zh) 一种密钥生成方法、ue及网络设备
CN110875902A (zh) 通信方法、装置及系统
AU2019100407A4 (en) Secure communication device
CN109547398B (zh) 基于智能卡和终端应用的认证方法及装置

Legal Events

Date Code Title Description
R207 Utility model specification
R150 Utility model maintained after payment of first maintenance fee after three years