-
Gebiet der
Erfindung
-
Diese
Erfindung bezieht sich allgemein auf sichere Kommunikationssysteme
und insbesondere auf Schlüsselverwaltungsverfahren
für sichere
Kommunikationssysteme.
-
Hintergrund
der Erfindung
-
Sichere
Kommunikationssysteme sind wohlbekannt. Polizei und öffentliches
Sicherheitspersonal beispielsweise benötigen häufig sichere Sprach- und/oder
Datenkommunikationen zwischen Mobilfunksendern und -empfängern, wie
etwa Automobilfunkgeräte
oder tragbare Handfunkgeräte
(Mobilfunkgeräte),
wie auch Festsendern und -empfängern, wie
etwa einer zentralen Dispatch-Station. Die Kommunikationspfade zwischen
den Mobilfunkgeräten und
dem Festende sind typischerweise drahtlose Verbindungen, wie etwa
Funkfrequenz(RF-: radio frequency) Kanäle. Die Kommunikationspfade
zwi schen festen Sendern und Empfängern
sind typischerweise drahtgebundene Verbindungen, wie etwa landgestützte Telefonleitungen.
Sichere Kommunikation wird ermöglicht
durch bestimmte Sender und Empfänger
(im Folgenden "Verschlüsselungsvorrichtungen"), welche einen Verschlüsselungsschlüssel, der
einen Verschlüsselungsalgorithmus
für die
Kommunikation einzigartig spezifiziert, gemeinsam nutzen. Nur Verschlüsselungsvorrichtungen,
die identische Schlüssel
haben, sind in der Lage, die Kommunikation verständlich zu reproduzieren. Jede
individuelle Verschlüsselungsvorrichtung
kann mehr als einen Schlüssel
aufweisen. Beispielsweise ist es für Überwachungs-Funkgeräte häufig wünschenswert mehrere
verschiedene Schlüssel
zu haben, um mit verschiedenen Gruppen von Benutzern, von denen jede
einen unterschiedlichen Schlüssel
hat, zu kommunizieren. Die Schlüssel
werden üblicherweise
periodisch verändert,
typischerweise wöchentlich
oder monatlich, um die Wahrscheinlichkeit zu reduzieren, dass die
Schlüssel
von unautorisierten Parteien erlangt werden.
-
Der
Prozess des Ladens von Verschlüsselungsschlüssel in
die Verschlüsselungsvorrichtungen, "Rekeying" genannt, kann auf
eine Vielzahl von Weisen durchgeführt werden. Manuelles Rekeying
ist Vorgang des physikalischen Kontaktierens zwischen einer Schlüsselausgabevorrichtung
(z. B. ein Schlüsselvariablen-Lader
oder KVL: Key Variable Loader) und einer Ziel-Verschlüsselungsvorrichtung
, um einen oder mehrere Verschlüsselungsschlüssel an
die Vorrichtung auszugeben. In den meisten Fällen wird die Schlüsselausgabevorrichtung
(z. B. KVL) von einem Sicherheitsbeamten a priori konfiguriert und dann
einer Außendienstperson übergeben,
um den Rekeying-Prozess durchzuführen.
Die Außendienstper son
stöpselt
typischerweise ein Kabel von dem KVL in die Ziel-Verschlüsselungsvorrichtung
, drückt dann
die geeigneten Knöpfe
auf dem KVL, um die Schlüssel
in den Speicher der Ziel-Verschlüsselungsvorrichtung
herunterzuladen.
-
Man
wird einsehen, dass mit einem manuellen Rekeying-Schema eine Anzahl von Sicherheits-Herausforderungen
verbunden sind. Diese Herausforderungen umfassen die Kenntnis, welche
der Verschlüsselungsvorrichtungen
verschlüsselt
werden soll, die Kenntnis, welche Schlüssel an welche Verschlüsselungsvorrichtungen
ausgegeben werden sollen und Überwachen
des Erfolges, des Fehlschlages oder der Vollständigkeit jeder individuellen
Rekeying-Operation. Diese Herausforderungen werden insbesondere
evident, wenn unterschiedliche Sätze mehrerer
Schlüssel
an mehrere Funkgeräte
ausgegeben werden sollen.
-
Aktuelle
Systeme für
manuelles Rekeying erlegen der Dienstperson eine schwere Bürde auf.
Die Dienstperson muss im Allgemeinen eine Liste von Ziel-Verschlüsselungsgeräten unterhalten,
wobei die Liste eine Kennzeichnung enthält, welche Schlüssel an
welche Vorrichtung ausgegeben werden sollen. Der Dienstperson wird
zugetraut, jede Ziel-Vorrichtung
auf der Liste zu erreichen, die korrekten Schlüssel in jede Ziel-Vorrichtung
zu laden und die Resultate zu dokumentieren. Aktuelle Schemata bestätigen im
Allgemeinen die Resultate eines Rekeyings mit einer hörbaren Ton-
oder Textmitteilung an der Verschlüsselungsvorrichtung und/oder
der Schlüsselausgabevorrichtung.
Einige Schlüsselausgabevorrichtungen
erzeugen auch ein lokales Protokoll der Rekeying-Aktivität. Das Problem
besteht jedoch darin, dass diese Mechanismen bestenfalls eine Dokumentation
der tatsächlich
von der Dienstperson durchgeführten
Rekeying- Aktivität liefern.
Sie liefern keine Dokumentation der Rekeying-Aktivität für die Ziel-Einheiten,
bei welchen die Dienstperson ein Rekeying durchführen sollte. Es gibt keinen
Mechanismus, der die Dienstperson daran hindern würde unabsichtlich
ein Rekeying bei einer bestimmten Verschlüsselungsvorrichtung durchzuführen, bei
der kein Rekeying durchgeführt
werden sollte oder der eine Dienstperson daran hindern würde, die
falschen Schlüssel
in eine bestimmte Verschlüsselungsvorrichtung
zu laden.
-
Zentralisierte
Schlüsselverwaltungssysteme, wie
etwa Durch-die-Luft-Rekeying- (OTAR-: Over-The-Air Rekeying) Systeme
führen
das Rekeying durch, in dem die verschlüsselten Schlüssel von
einer zentralisierten Schlüsselverwaltungseinrichtung
(KMF: Key Managment Facility) versendet werden. Die Schlüssel können entweder
individuell oder simultan an mehrere Verschlüsselungsvorrichtungen über einen
typischen verschlüsselten
Kommunikationskanal gesendet werden. Im Allgemeinen kann ein verschlüsseltes
System das Rekeying in kürzerer
Zeit und mit größerer Sicherheit
durchführen als
bei manuellem Rekeying. Von zentralisierten Schlüsselverwaltungssystemen ist
jedoch bekannt, dass sie eine Anzahl von Konfigurationsschritten nach
dem anfänglichen
Set Up oder nach Fehlererkennung des Systems benötigen.
-
Erstens
muss ein anfänglicher
Verschlüsselungsschlüssel zwischen
der KMF und jeder der verschiedenen Verschlüsselungseinheiten eingerichtet werden,
um sichere und drahtlose Ausgabe von Folgeverschlüsselungsschlüsseln aus
der Ferne zu ermöglichen.
Dieser Anfangsverschlüsselungsschlüssel wird üblicherweise
manuell eingerichtet, beispielsweise durch Laden des Schlüssels in
die Verschlüsselungseinheiten mit
einer manuellen Schlüsselausgabevorrichtung
(z. B. KVL). Manuelles Rekeying nach anfänglichem Set Up eines zentralisierten
Schlüsselverwaltungssystems
stellt im Allgemeinen dieselben Sicherheitsherausforderungen wie
ein weiterführendes
manuelles Rekeying-Schema.
-
Zweitens
muss eine Anzahl von Parametern, einschließlich der Quellen- und Zielvorgabe-IDs (Identifikationen)
oder Adressen identifiziert werden, um die Kommunikationsverbindung
zwischen der KMF und den verschiedenen Verschlüsselungseinheiten für nachfolgende
Rekeying-Mitteilungen
einzurichten. Bei der KMF speichert eine Datenbank die IDs für jede Verschlüsselungseinheit
und identifiziert, welche Einheiten welche Schlüssel brauchen / haben. Die
Quellen-/Ziel-IDs werden dann manuell in jede der verschiedenen
Verschlüsselungseinheiten programmiert.
In der Praxis müssen
daher mehrere Parameter für
bis zu mehrere tausend Teilnehmereinheiten identisch an unterschiedlichen
Orten eingegeben werden, typischerweise zu unterschiedlichen Zeiten
und von unterschiedlichen Personen. Es ist klar, dass dieser Schritte
eine teure, fehleranfällige und
zeitaufwendige Belastung ist.
-
Entsprechend
besteht ein Bedarf nach einem Schlüsselverwaltungssystem entweder
in einem laufenden manuellen Rekeying-Schema oder nach anfänglichen
Set Up oder Fehlerreparatur eines zentralisierten Schlüsselverwaltungssystems,
welches die dem Betreiber der Schlüsselausgabevorrichtung auferlegten
Belastung bei der Durchführung
der Rekeying-Aktivität reduziert.
Vorzugsweise verhindert das System, dass der Betreiber unabsichtlich
bei einer bestimmten Verschlüsselungsvorrichtung,
bei der kein Rekeying durchgeführt
werden sollte, ein Rekeying durchführt, verhindert, dass der Betreiber
die falschen Schlüssel
in ein bestimmtes Verschlüsselungsgerät lädt und sorgt
für automatische
Dokumentation des Erfolgs oder des Fehlschlags der Rekeying-Aktivität. Es besteht
weiter ein Bedarf danach, dass das System sowohl verschlüsselte ("schwarze Übertragung
zum Ziel") und unverschlüsselte ("rote Übertragung
zum Ziel") Modi
der Ausgabe von Rekeying-Mitteilung an Ziel-Verschlüsselungsvorrichtung unterstützt.
-
Unter
normalen Umständen
ist es mit Ausnahme des ersten an ein Ziel ausgegebenen Schlüssel wünschenswert,
Rekeying-Mitteilungen in einem verschlüsselten schwarzen Zielübermittlungs- ("schwarzen") Modus zu übertragen,
um die Sicherheit zu erhöhen.
Im schwarzen Modus sind die Mitteilungen während der Ausgabe verschlüsselt und
die Ziel-Vorrichtungen weisen üblicherweise
den/die geeigneten Verschlüsselungsschlüssel auf,
um die Mitteilungen zu verarbeiten. Es gibt jedoch einige Umstände, bei
denen es sein kann, dass die Ziel-Vorrichtung keine/n richtigen
Schlüssel
aufweist oder bei denen es sein kann, dass die KMF-Datensätze außer Synchronisation
mit den Ziel-Vorrichtungen
geraten, was eine Schlüssel-Fehlanpassung
verursacht, die dazu führt,
dass das Ausgeben der Schlüsselverwaltungsmitteilungen
fehlschlägt.
In solch einem Fall wäre
es wünschenswert,
die Fehler zu erkennen, wenn sie auftreten und die entsprechenden
Vorrichtungen zu markieren, so dass die KMF weiß, welches) Gerät e) aktualisierte
Schlüssel
benötigt/en. Dann
können
die richtigen Schlüssel
in einem roten Übertragung-zum-Ziel-Modus an die Vorrichtungen geliefert
werden.
-
Die
vorliegende Erfindung ist darauf gerichtet, die vorgenannten Bedürfnisse
zu befriedigen oder wenigstens teilweise zu befriedigen.
-
US-A-5,164,986 beschreibt
primär
einen Zentralpunkt-Schlüsselverwaltungs-Controller ("KMC"), welcher intelligentes "over-the channel"-Rekeying von Kommunikationseinheiten
durchführt.
In dem Maße,
in dem diese Referenz eine Vorrichtung lehrt, die zum Rekeying verwendet
wird, lehrt sie speziell, dass die Vorrichtung verwendet wird, um
Kommunikationseinheiten zu erreichen, die sich außerhalb
der RF-Reichweite des KMC befinden, wobei der KMC lediglich "Schlüssel" an die Vorrichtung
zum manuellen Rekeying der Kommunikationseinheiten sendet. Folglich
wird bei dem Gerät nicht
notwendigerweise sichergestellt, dass die richtigen Schlüssel an
die richtigen Ziele ausgegeben werden.
-
Kurze Beschreibung
der Zeichnungen
-
Die
vorangehenden und weiteren Vorteile der Erfindung werden beim Lesen
der folgenden detaillierten Beschreibungen und unter Bezugnahme auf
die Zeichnungen offensichtlich, in denen:
-
1 ein Diagramm ist, welches
eine mit einer Verschlüsselungsvorrichtung
verbundene Schlüsselausgabevorrichtung
gemäß einer
Ausführungsform
der vorliegenden Erfindung illustriert;
-
2 ein Blockdiagramm der
Schlüsselausgabevorrichtung
von 1 ist;
-
3 ein Flussdiagramm eines
Rekeying-Verfahrens unter Verwendung einer Schlüsselausgabevorrichtung gemäß einer
Ausführungsform
der vorliegenden Erfindung ist;
-
4 ein Diagramm ist, welches
eine mit einer Schlüsselausgabevorrichtung
verbundene Schlüsselverwaltungseinrichtung
gemäß einer
Ausführungsform
der vorliegenden Erfindung illustriert;
-
5 ein Flussdiagramm ist,
welches die Schritte eines von einer Schlüsselverwaltungseinrichtung
durchgeführten
Rekeying-Verfahrens gemäß einer
Ausführungsform
der Erfindung identifiziert;
-
6 ein Flussdiagramm ist,
welches die Schritte zur anfänglichen
Konfiguration eines zentralisierten Schlüsselverwaltungssystems gemäß einer Ausführungsform
der Erfindung identifiziert.
-
Beschreibung
einer bevorzugten Ausführungsform
-
Das
Folgende beschreibt ein Schlüsselverwaltungssystem,
welches in einem laufenden manuellen Rekeying-Schema oder nach anfänglichem
Setup oder Fehlerkorrektur eines zentralisierten Schlüsselverwaltungssystems
verwendet werden kann, das die dem Betreiber der Schlüsselausgabevorrichtung bei
der Durchführung
der Rekeying-Aktivität
aufgebürdete
Belastungen reduziert. Das System hindert den Betreiber daran, unabsichtlich
bei einer bestimmten Verschlüsselungsvorrichtung,
bei der kein Rekeying durchgeführt
werden sollte, ein Rekeying durchzuführen, hindert den Betreiber
daran, die falschen Schlüssel
in eine bestimmte Verschlüsselungsvorrichtung
zu laden und sorgt für
automatische Dokumentation des Erfolgs oder des Fehlschlags der Rekeying-Aktivität. Das System
unterstützt
sowohl verschlüsselte
("schwarze Zielübermittlungs"-) und unverschlüsselte ("rote Zielübermittlungs"-) Modi zur Ausgabe von
Rekeying-Mitteilungen an die Ziel-Verschlüsselungsvorrichtungen. Das
System sorgt für den
Set Up eines zentralisierten Schlüsselverwaltungssystems ohne
Quellen- und Ziel-IDs
in verschiedene Verschlüsselungseinheiten
manuell zu programmieren.
-
Bei
einer Ausführungsform
der vorliegenden Erfindung wird ein Schlüsselverwaltungsverfahren für ein Kommunikationssystem,
umfassend eine Schlüsselausgabevorrichtung
und eine Anzahl von Verschlüsselungsvorrichtungen,
zur Verfügung
gestellt. Ein die Ziel-Verschlüsselungsvorrichtungen identifizierender
Datensatz wird in der Schlüsselausgabevorrichtung
gespeichert, wobei die Ziel-Verschlüsselungsvorrichtungen diejenigen
Verschlüsselungsvorrichtungen
definieren, die eine oder mehrere Schlüsselverwaltungsmitteilungen
empfangen sollen. Die Schlüsselausgabevorrichtung
wird dann wirksam mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen
verbunden. Nach Verbindung mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen
bestimmt die Schlüsselausgabevorrichtung,
welche der Kandidaten-Verschlüsselungsvorrichtungen
Ziel-Verschlüsselungsvorrichtungen
sind und gibt eine oder mehrere Schlüsselverwaltungsmitteilungen
an diese Vorrichtungen aus.
-
Bei
einer anderen Ausführungsform
der vorliegenden Erfindung wird ein Schlüsselverwaltungsverfahren für ein Kommunikationssystem,
umfassend eine Schlüsselverwaltungseinrichtung
und eine Anzahl von Verschlüsselungsvorrichtungen,
zur Verfügung
gestellt. Die Schlüsselverwaltungseinrichtung zielt
darauf, dass eine oder mehrere Verschlüsselungsvorrichtungen ("Ziel-Verschlüsselungsvorrichtungen") Schlüsselverwaltungsmitteilungen
empfangen und konstruiert eine oder mehrere Schlüsselverwaltungsmitteilungen
für die
Ziel- Verschlüsselungsvorrichtungen.
Die Schlüsselverwaltungseinrichtung kommuniziert
dann einen Datensatz, der identifiziert, welche der Schlüsselverwaltungsmitteilungen
an welche der Ziel-Verschlüsselungsvorrichtungen
ausgegeben werden soll, an eine Schlüsselausgabevorrichtung. Die
in dem Datensatz identifizierten Schlüsselverwaltungsmitteilungen
werden dann von der Schlüsselverwaltungseinrichtung über die
Schlüsselausgabevorrichtung
zu denjenigen der Ziel-Verschlüsselungsvorrichtungen,
die in dem Datensatz identifiziert sind, geleitet. Bei einer Ausführungsform werden
die Schlüsselverwaltungsmitteilungen
bei der Schlüsselverwaltungseinrichtung
verschlüsselt
und die Schlüsselverwaltungseinrichtung
weist die Schlüsselausgabevorrichtung
an, die verschlüsselte Schlüsselverwaltungsmitteilung
an die ausgewählte Verschlüsselungsvorrichtung
auszugeben, d.h. in einem "schwarzen" Übertragung-zum-Ziel-Modus.
Alternativ werden eine oder mehrere Schlüsselverwaltungsmitteilungen
bei der Schlüsselverwaltungseinrichtung
verschlüsselt
und die Schlüsselverwaltungseinrichtung
weist die Schlüsselausgabeeinrichtung an,
die Mitteilungen zu entschlüsseln
und die entschlüsselte
Schlüsselverwaltungsmitteilung
an die ausgewählte
Verschlüsselungsvorrichtung
auszugeben, d.h. in einem "roten" Übertragung-zum-Ziel-Modus.
-
Bei
einer noch weiteren Ausführungsform der
vorliegenden Erfindung wird ein Verfahren zur Rückgabe von Schlüsselverwaltungsmitteilungen von
den Ziel-Verschlüsselungsvorrichtung über die Schlüsselausgabevorrichtung
an die Schlüsselverwaltungseinrichtung
zur Verfügung
gestellt. Eine Schlüsselausgabevorrichtung
versucht die Ausgabe einer oder mehrerer Schlüsselverwaltungsmitteilungen
an eine oder mehrere Ziel-Verschlüsselungsvorrichtungen. Die
Ziel-Ver schlüsselungsvorrichtung(en)
bestimmt/en die jeweiligen Ergebnisse, z. B. Erfolg oder Fehlschlag,
der versuchten Ausgabe von Schlüsselverwaltungsmitteilungen
und kommuniziert Mitteilungen an die Schlüsselausgabevorrichtung, welche
auf diese Ergebnisse hinweisen. Die Schlüsselausgabevorrichtung kommuniziert
einen Bericht, umfassend wenigstens einen Teil der entsprechenden
Mitteilungen, an eine zentralisierte Schlüsselverwaltungseinrichtung.
-
Bei
einer noch anderen Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zur anfänglichen
Konfiguration eines Kommunikationssystems, umfassend eine Schlüsselverwaltungseinrichtung,
eine Schlüsselausgabevorrichtung
und eine Anzahl von Verschlüsselungsvorrichtungen,
zur Verfügung
gestellt. Die Schlüsselverwaltungseinrichtung zielt
darauf, dass eine oder mehrere der Verschlüsselungsvorrichtungen ("Ziel-Verschlüsselungsvorrichtungen") anfängliche
Schlüsselverwaltungsmitteilungen
empfangen und konstruiert eine oder mehrere Schlüsselverwaltungsmitteilungen
für die
Ziel-Verschlüsselungsvorrichtungen.
Die Schlüsselverwaltungseinrichtung
stellt dann Adressierungsparameter für die anfänglichen Schlüsselverwaltungsmitteilungen
auf, wobei die Adressierungsparameter eine oder mehrere Ziel-Verschlüsselungsvorrichtungen, welche
die anfänglichen
Schlüsselverwaltungsmitteilungen
empfangen sollen, bezeichnen. Die anfänglichen Schlüsselverwaltungsmitteilungen
und Adressierungsparameter werden von der Schlüsselverwaltungseinrichtung
an die Schlüsselausgabevorrichtung
kommuniziert, die dann die entsprechenden der anfänglichen
Schlüsselverwaltungsmitteilungen
entsprechend den Adressierungsparametern an eine oder mehrere der
Ziel-Verschlüsselungsvorrichtungen
ausgibt. Optional hängt
die Schlüsselausgabe vorrichtung
an die anfänglichen
Schlüsselverwaltungsmitteilungen
systemweite Parameter an, welche mit Anhang versehene Mitteilungen
definieren, die an die Ziel-Verschlüsselungsvorrichtungen ausgegeben
werden. Bei einer Ausführungsform
werden die mit Anhang versehenen Mitteilungen in rotem Übertragung-zum-Ziel-Modus
an die Ziel-Vorrichtungen ausgegeben.
-
Bei
einer noch anderen Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zur Verwaltung von
Schlüssellade-Sicherheitsstufen
in einem sicheren Kommunikationssystem zur Verfügung gestellt. Das Verfahren
umfasst ein Bestimmen, mittels einer Schlüsselverwaltungseinrichtung,
das eine Ziel-Verschlüsselungsvorrichtung
nicht in der Lage ist, eine Schlüsselverwaltungsmitteilungen,
welche in "schwarzem" Übertragung-zum-Ziel-Modus versendet
wurde, zu verarbeiten. Beispielsweise kann die Bestimmung durch
die KMF, dass eine Ziel-Verschlüsselungsvorrichtung
nicht in der Lage ist, eine in "schwarzem" Übertragung-zum-Ziel-Modus versendete
Schlüsselverwaltungsmitteilungen
zu verarbeiten, aus einer a priori Kenntnis, dass die Ziel-Vorrichtung nicht über die
richtigen Schlüssel
verfügt,
resultieren oder kann aus einem fehlgeschlagenen Versuch, eine verschlüsselte Schlüsselverwaltungsmitteilung
an die Ziel-Verschlüsselungsvorrichtung
in einem "schwarzen" Übertragung-zum-Ziel-Modus auszugeben,
resultieren. Die Schlüsselverwaltungseinrichtung
konstruiert dann einen Datensatz, der die Ziel-Verschlüsselungsvorrichtung
sowie Hinweise auf einen "roten" Speichern-und-weiterleiten-Modus, der
für die
Aktualisierung der Ziel-Verschlüsselungsvorrichtung
verwendet werden soll, identifiziert. Der Datensatz wird von der
Schlüsselverwaltungseinrichtung
an eine Schlüsselausgabe vorrichtung
kommuniziert und die Schlüsselverwaltungsmitteilung
wird in einem "roten" Speichern-und-Weiterleiten-Modus von der Schlüsselausgabevorrichtung
an die Ziel-Verschlüsselungsvorrichtung
ausgegeben.
-
Wir
wenden uns nun den Zeichnungen zu und nehmen anfänglich Bezug auf 1. Dort ist eine Schlüsselausgabevorrichtung 101 gezeigt,
die mit einer Verschlüsselungsvorrichtung 103 verbunden
ist. Bei einer Ausführungsform
ist die Schlüsselausgabevorrichtung 101 ein
Schlüsselvariablen-Lader (KVL), wie
etwa ein KVL 3000, erhältlich
von Motorola, Inc., und die Verschlüsselungsvorrichtung 103 ist
ein Mobilfunkgerät,
wie etwa ein ASTRO Spectra Mobilfunkgerät, erhältlich von Motorola, Inc. Wie
in 1 dargestellt, verbindet
ein Kabel 105 die Schlüsselausgabevorrichtung 101 mit
der Verschlüsselungsvorrichtung 103,
so dass Schlüsselverwaltungsmitteilungen
von der Schlüsselausgabevorrichtung 101 an
die Verschlüsselungsvorrichtung 103 kommuniziert
werden können.
Es ist jedoch offensichtlich, dass drahtlose Kommunikationen oder
andere geeignete Mittel verwendet werden könnten, um Schlüsselverwaltungsmitteilungen
von der Schlüsselausgabevorrichtung 101 an
die Verschlüsselungsvorrichtung 103 zu
kommunizieren. Die Schlüsselverwaltungsmitteilungen
können
Rekeying-Mitteilungen umfassen, welche der Verschlüsselungsvorrichtung
einen oder mehrere Verschlüsselungsschlüssel liefern.
-
2 ist ein Blockdiagramm
der Schlüsselausgabevorrichtung 101 gemäß einer
Ausführungsform
der Erfindung. Der Bequemlichkeit halber wird die Schlüsselausgabevorrichtung 101 nachfolgend als
KVL bezeichnet. Eine KMF-Schniuttstelle 201 (z. B. Telefonleitung)
gestattet es der KVL wirksam mit einer zentralisierten Schlüsselverwaltungseinrichtung
oder KMF (nicht dargestellt) verbunden zu sein. Eine Verschlüsselungseinheit-Schnittstelle 209 (z.
B. Kabel) gestattet es der KVL mit verschiedenen Verschlüsselungseinheiten
wirksam verbunden zu sein. Bei einer Ausführungsform kommuniziert die
KMF an die KVL Schlüsselverwaltungsmitteilungen,
die an spezielle Verschlüsselungseinheiten
ausgegeben werden sollen. Beispielsweise können verschlüsselte Rekeying-Mitteilungen, die
für spezielle
Verschlüsselungseinheiten
bestimmt sind, bei der KMF erzeugt und über die KMF-Schnittstelle 201 sicher an
die KVL heruntergeladen werden. Der Bequemlichkeit halber werden
nachfolgend solche Verschlüsselungseinheiten,
für die
die KMF darauf abzielt, dass sie Mitteilungen empfangen, als "Ziel-Einheiten" bezeichnet.
-
Bei
einer bevorzugten Ausführungsform kommuniziert
die KMF an die KVL einen Datensatz, welcher die verschiedenen Ziel-Einheiten
identifiziert und identifiziert, welche Mitteilungen an die Ziel-Einheiten
ausgegeben werden sollen. Mit anderen Worten ordnet der Datensatz
jeder der Ziel-Einheiten
den Schlüsselverwaltungsmitteilungen,
welche an diese Ziel-Einheiten ausgegeben werden sollen, zu. Die Schlüsselverwaltungsmitteilungen
können
Rekeying-Mitteilungen
enthalten, in welchem Fall der Datensatz sicherstellt, dass die
richtigen Schlüssel an
die richtigen Einheiten ausgegeben werden. Der Datensatz kann auch
eine Zuordnung zwischen den Ziel-Einheiten oder einer oder mehreren
Schlüsselausgabevorrichtungen
enthalten.
-
Bei
einer Ausführungsform
kommuniziert die KMF bei einer Speichern-und-Weiterleiten-Operation eine
Anweisung an die KVL, Rekeying-Mitteilungen entweder in einem schwarzen
Speichern-und-Weiterleiten-Modus oder in einem roten Spei chern-und-Weiterleiten-Modus
auszugeben. "Schwarzes
Speichern-und-Weiterleiten" bezeichnet die Übertragung
von in dem KVL gespeicherten Rekeying-Mitteilungen an die Ziel-Einheit in einem schwarzen
(verschlüsselten) Übertragungszum-Ziel-Modus. "Rotes Speichern-und-Weiterleiten" bezeichnet die Übertragung
von in dem KVL gespeicherten Rekeying-Mitteilungen an die Ziel-Einheit in einem
roten (unverschlüsselten) Übertragung-zum-Ziel-Modus.
Bei einer OTAR-Operation werden
Rekeying-Mitteilungen an die Ziel-Vorrichtung in einem schwarzen Übertragung-zum-Ziel-Modus
kommuniziert. Bei einer Ausführungsform
unterhält
die KMF einen Datensatz von Vorrichtungen, die über OTAR- und/ oder Speichern-und-Weiterleiten-Techniken
aktualisiert werden sollen, wobei der Datensatz vorteilhafterweise
die Sicherheitsstufe der Aktualisierung, z. B. roter Übertragung-zum-Ziel-Modus oder schwarzer Übertragung-zum-Ziel-Modus, identifiziert.
Beispielsweise kann der Datensatz durch Speichern der Ziel-Vorrichtungen
in einem (nicht dargestellten) Speicher und Markieren ("flagging") derjenigen Zielvorrichtungen,
die in einem roten Übertragung-zum-Ziel-Modus aktualisiert
werden sollen, irgendwelchen Hinweisen auf die erforderliche Sicherheitsstufe
implementiert werden. Alternativ oder zusätzlich können den Ziel-Vorrichtungen zugeordnete
Mitteilungen markiert werden. Beispielsweise kann die KMF eine "Wartungserfordernis"-Markierung ("Needs Service") Einsetzen, um auf diejenigen Vorrichtungen
hinzuweisen, die eine Wartung benötigen und dadurch eine Aktualisierung
im roten Übertragung-zum-Ziel-Modus brauchen.
-
Die
Kommunikation einer "Anweisung", wie dieser Begriff
hier benutzt wird, soll verstanden werden als sowohl direkte als
auch indirekte Anweisungen umfassend. Beispielsweise umfasst bei
einer Ausführungsform
die Kommunikation einer "Anweisung" die Kommunikation
von Schlüsselverwaltungsmitteilungen
und/der eines Datensatzes, welcher Information enthält (wie
etwa "Wartungserfordernis-Markierung(en)),
durch die der KVL selbst in die Lage versetzt wird, zu bestimmen,
ob er Rekeying-Mitteilungen in einem "schwarzen" Übertragung-zum-Ziel-Modus
oder einem "roten" Übertragung-zum-Ziel-Modus ausgeben
soll. In solch einem Fall umfasst die von der KMF an den KVL kommunizierte
Information eine indirekte Anweisung, weil tatsächlich die der KVL aus der
Information eine Anordnung, Rekeying-Mitteilungen entweder in einem "schwarzen" Übertragung-zum-Ziel-Modus oder "roten" Übertragung-zum-Ziel-Modus auszugeben,
ableitet. Alternativ kann die Anweisung eine direkt von der KMF
an den KVL ausgegebene Anordnung (z. B. ausführbaren Software-Code) umfassen.
Auf ähnliche
Weise umfasst die "Ausführung" einer Anweisung
die Durchführung
einer Aktion (z. B. Ausgaben von Rekeying-Mitteilungen in "schwarzem" Zielübermittlungs-
oder "rotem" Übertragungzum-Ziel-Modus) entsprechend
einer direkten oder indirekten Anweisung, wie hier definiert. In
jedem Fall kann die Anweisung in der/den Schlüsselverwaltungsmitteilung(en),
die von der KMF ausgesendet werden, enthalten oder davon unabhängig sein.
-
Im
Speichern-und-Weiterleiten-Modus arbeitet der KVL-Prozessor 203,
um wenigstens einen Teil der von der KMF empfangen Datensatz und/oder
Anweisungen an verschiedenen Speicherplätzen in einem Speicher 205 zu
speichern. wie in 2 dargestellt,
enthält
der an den verschiedenen Speicherplätzen im Speicher 205 gespeicherte
Datensatz bei spielsweise die Ziel-Idee, ein Alias und den verschiedenen
Ziel-Einheiten zugeordnete Schlüsselverwaltungsmitteilung(en),
von denen jede dem KVL über die
KMF-Schnittstelle 201 zur Verfügung gestellt werden kann.
Die Ziel-ID umfasst bei einer Ausführungsform eine numerische
ID (z. B. Seriennummer) der verschiedenen Ziel-Einheiten. Das Alias
umfasst bei einer Ausführungsform
eine mehr "benutzerfreundliche" Identifikation der
Ziel-Einheiten wie etwa "BOB's FUNKGERÄT". Der Datensatz kann
weiter Markierungen (wie etwa "Wartungserfordernis"-Markierungen) oder
Hinweise auf diejenigen Ziel-Einheiten enthalten, die vorgesehen
sind, Schlüsselverwaltungsmitteilungen
im roten Übertragung-zum-Ziel-Modus zu empfangen.
Die Schlüsselverwaltungsmitteilungen
umfassen bei einer Ausführungsform
Rekeying-Mitteilungen,
die an die verschiedenen Ziel-Einheiten ausgegeben werden sollen.
-
Bei
einer Ausführungsform
werden die Schlüsselverwaltungsmitteilungen
(z. B. Rekeying-Mitteilungen), sei es nun, dass sie in rotem Übertragung-zum-Ziel-Modus
oder schwarzem Übertragung-zum-Ziel-Modus
ausgegeben werden sollen, in verschlüsseltem "schwarzem" Format an den KVL kommuniziert und
auch in dem Speicher in verschlüsseltem
("schwarzem) Format
gespeichert. Für
diejenigen Mitteilungen, die in rotem Übertragung-zum-Ziel-Modus ausgegeben
werden sollen, werden die verschlüsselten ("schwarzen") Schlüsselverwaltungsmitteilungen,
die an den KVL ausgegeben werden, von der Verschlüsselungseinheiten 207 entschlüsselt, was
zu entschlüsselten
("roten") Mitteilungen führt, die
an das Ziel übertragen
werden sollen. Die entschlüsselten
("roten") Mitteilungen werden
von der Verschlüsselungseinheit 207 verschlüsselt, was
zu verschlüsselten
("schwarzen") Mitteilungen führt, die
in dem Speicher 205 gespeichert werden. Wenn der KVL dann
die Mitteilungen an eine Ziel-Einheit
ausgeben soll, veranlasst der Prozessor 203, dass die verschlüsselten
("schwarzen") Mitteilungen, die
in dem Speicher 205 gespeichert sind von der Verschlüsselungseinheit 207 entschlüsselt werden,
was zu entschlüsselten
("roten") Mitteilungen für die Ausgabe
an die Ziel-Einheit führt.
Bei einer Ausführungsform
werden für
diejenigen Mitteilungen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben
werden sollen, die an den KVL ausgegebenen verschlüsselten
("schwarzen") Schlüsselverwaltungsmitteilungen
ein zweites Mal von der Verschlüsselungseinheit 20 verschlüsselt, was
zu zweifach verschlüsselten
("schwarzen") Mitteilungen führt, die in
dem Speicher 205 gespeichert werden. Vor Ausgabe der Mitteilungen
werden die zweifach verschlüsselten
("schwarzen") Mitteilungen von
der Verschlüsselungseinheit 207 entschlüsselt, was
die ursprünglichen,
verschlüsselten
("schwarzen") Mitteilungen zur Ausgabe
an die Ziel-Verschlüsselungseinheiten führt.
-
Der
Speicher 205 enthält
auch Speicherpositionen zum Speichern von über die Zielschnittstelle 209 gelieferten
Antwortmitteilungen (bezeichnet als "ANTWORT" in 2)
von den verschiedenen Ziel-Einheiten. Die Antwortmitteilungen können beispielsweise
einen Hinweis auf erfolgreiche oder erfolglose Versuche zur Übermittlung
von Schlüsselverwaltungsmitteilungen
an verschiedene Ziel-Einheiten enthalten. Bei einer Ausführungsform
sammelt der KVL die Antworten und gibt sie über die KMF-Schnittstelle an
die KMF zurück.
-
Nach
erstem Verbinden des KVL mit einer Verschlüsselungseinheit führt der
KVL einen Handshaking-Prozess mit der Einheit durch, um deren Identität zu bestimmen
und festzustellen, ob die Einheit eine Ziel-Einheit ist. Der Einfachheit
halber soll der Ausdruck "Kandidaten-Verschlüsselungseinheit" verwendet werden,
um eine Vorrichtung zu bezeichnen, deren Identität noch nicht bestätigt ist,
da von dieser noch nicht bekannt ist, ob sie eine Ziel-Einheit ist.
Bei einer Ausführungsform
erfolgt dies, in dem der Prozessor 203 zunächst die
numerische Einheits-ID der Kandidaten-Verschlüsselungseinheit bestätigt. Der Prozessor 203 vergleicht
die Identität
der Kandidaten-Verschlüsselungseinheit
mit den Identitäten
der im Speicher 205 gespeicherten Ziel-Verschlüsselungseinheiten.
Wenn die Identität
der Kandidaten-Verschlüsselungseinheit
mit irgendeiner der Identitäten
der im Speicher gespeicherten Ziel-Einheiten (z. B. Einheits-IDs) übereinstimmt,
bestimmt der Prozessor 203, dass die Kandidaten-Verschlüsselungseinheit
eine Ziel-Einheit ist. Wenn umgekehrt die Identität der Kandidaten-Verschlüsselungseinheit mit
keiner der im Speicher gespeicherten Einheits-IDs übereinstimmt,
bestimmt der Prozessor 203, dass die Kandidaten-Verschlüsselungseinheit keine
Ziel-Einheit ist.
-
Falls
für die
Kandidaten-Verschlüsselungseinheit
bestimmt wird, dass sie eine Ziel-Einheit ist, ruft der KVL-Prozessor 203 eine
oder mehrere Schlüsselverwaltungsmitteilungen,
die für
dieses Ziel bestimmt sind (z. B. zweifach verschlüsselte Schlüsselverwaltungsmitteilungen
in schwarzem Übertragung-zum-Ziel-Modus
oder einfach verschlüsselte Schlüsselverwaltungsmitteilungen
in rotem Übertragung-zum-Ziel-Modus) aus dem
Speicher ab, entschlüsselt
die Mitteilungen (was z. B. zu "schwarzen" Mitteilungen in
schwarzem Übertragung-zum-Ziel-Modus
oder "roten" Mitteilungen in rotem Übertragung-zum-Ziel-Modus
führt)
und veranlasst dann, dass die Mitteilungen an die Ziel-Einheit kommuniziert
werden. Wenn für
die Kandidaten-Verschlüsselungseinheit
bestimmt wird, dass sie keine Ziel-Einheit ist, kommuniziert der KVL-Prozessor 203 keine
Schlüsselverwaltungsmitteilungen
(z. B. Rekeying-Mitteilungen)
an diese Einheit. Die Entscheidung, ob Schlüssel/Mitteilungen in eine bestimmte Vorrichtung
geladen werden, die Entscheidung, welche Schlüssel/Mitteilungen in eine bestimmte
Vorrichtung geladen werden und die Entscheidung, welche Sicherheitsstufe
(schwarz oder rot) für
die Übertragung
zu verwenden ist, wird dem Betreiber aus der Hand genommen. Der
Prozessor 203 veranlasst bei Verbindung des KVL mit den
entsprechenden Kandidaten-Einheiten,
dass die richtigen Schlüssel
mit der richtigen Sicherheitsstufe in die richtigen Verschlüsselungsvorrichtungen
geladen werden. Entsprechend ist einem KVL-Betreiber im Außendienst
fast unmöglich
bei einer Vorrichtung, bei der kein Rekeying durchgeführt werden
sollte, ein Rekeying durchzuführen,
die falschen Schlüssel
an eine bestimmte Vorrichtung auszugeben oder Rekeying-Mitteilungen
mit einer falschen Sicherheitsstufe auszugeben.
-
Ein
Display 211 ist vorgesehen, um dem KVL-Betreiber Mitteilungen
anzuzeigen. Es ist offensichtlich, dass das Display 211 verschiedene
Formen annehmen kann, um verschiedene unterschiedliche Informationselemente
anzuzeigen. Das Display 211A repräsentiert ein Beispiel für ein Display,
welches beim ersten Verbinden des KVL mit einer der Ziel-Einheiten erscheinen
kann. Das Display 211A zeigt den Alias ("BOB's FUNKGERÄT") der Ziel-Einheit
und die ID (SN: 25692) der Ziel-Einheit. Eine Mitteilung ("1 von 5") infor miert den
Betreiber darüber, dass
BOB's FUNKGERÄT eine von
fünf Zieleinheiten ist,
die Schlüsselverwaltungsmitteilungen
erhalten sollen. Diese letztere Mitteilung hilft sicherzustellen, dass
der KVL-Betreiber jeder der Ziel-Einheiten
erreicht. Ebenfalls dargestellt sind Anweisungsfelder ("AKTUALISIEREN" und "LÖSCHEN"), welche Anweisungen identifizieren,
die von dem Betreiber durchgeführt
werden können.
Bei einer Ausführungsform
sind die Anweisungen ausführbar,
in dem der Betreiber eine geeignete Taste (z. B. eine "Aktualisieren"-Taste) auf einer
herkömmlichen
Tastatur 213 drückt.
Alternativ können
die Anweisungsfelder selbst berührungsempfindliche "Tasten" umfassen, beispielsweise
solche, die ausführbar
sind, indem der Betreiber den gewünschten Bereich z. B. "Aktualisieren" auf dem Display
berührt.
Bei einer Ausführungsform
verursacht das Ausführen
der "Aktualisieren" Anweisung durch
den Betreiber, dass der Prozessor 203 automatisch Schlüsselverwaltungsmitteilungen
an die Ziel-Einheit ausgibt, basierend auf dem in dem Speicher 205 gespeicherten
Datensatz, wie oben beschrieben.
-
Das
Display 211B repräsentiert
ein Beispiel einer Anzeige, die erscheinen könnte, nachdem eine Aktualisierung
einer Zieleinheit versucht wurde. Das Display 211B zeigt,
wie das Display 211A, den Alias ("BOB's
FUNKGERÄT") der Ziel-Einheit
sowie die ID (SN: 25692) der Ziel-Einheit. Nach Versuch einer Aktualisierung
empfängt
der KVL-Prozessor 203 eine Bestätigung von
der Ziel-Einheit, die beispielsweise anzeigt, ob die versuchte Aktualisierung
erfolgreich oder erfolglos war. Bei einer Ausführungsform ist die Bestätigung eine
Mitteilung ("ANTWORT"), die in dem Speicher 205 des
KVL gespeichert ist. Bei einer Ausführungsform veranlasst der Prozessor 203 das Display 211 dann,
eine Mitteilung anzuzeigen, welche auf den Erfolg oder Fehlschlag
der versuchten Aktualisierung hinweist. Bei dem Beispiel-Display 211B informiert
das Häkchen-Symbol
("√") den Betreiber darüber, dass
die Aktualisierung von BOB's FUNKGERÄT erfolgreich
vollendet wurde. Natürlich könnte eine
Vielzahl von anderen Mitteilungen und Symbolen als das Häkchen verwendet
werden, um den Betreiber über
das Ergebnis der versuchten Aktualisierung zu informieren. Optional
könnte
auch eine Mitteilung, die auf einen erfolglosen Versuch hinweist,
angezeigt werden, wenn der KVL mit einer Kandidaten-Einheit verbunden
ist, für
die bestimmt wird, dass sie keine Ziel-Einheit ist, oder falls die Ziel-Einheit nicht über die
geeigneten Schlüssel
verfügt,
um die Mitteilung zu decodieren.
-
Bei
einer Ausführungsform
lädt, nachdem alle
Ziele kontaktiert wurden, der KVL-Prozessor 203 gesammelte
und in dem Speicher 205 gespeicherte, detaillierte Bestätigungen über die
KMF-Schnittstelle 201 an die KMF. Die detaillierten Bestätigungen
können
eine Identifikation enthalten, welche Schlüssel an welche Einheiten ausgegeben
wurden, eine Identifikation, welche Schlüssel erfolglos ausgegeben wurden,
Fehlerzustände
und dergleichen. Die detaillierten Bestätigungen stellen daher explizite
und zuverlässige
Mittel für
eine zentralisierte Schlüsselverwaltungseinrichtung
zur Verfügung,
um Rekeying-Ergebnisse zu bestätigen.
Falls irgendeine der detaillierten Bestätigungen auf einen fehlgeschlagenen Versuch,
Schlüsselverwaltungsmitteilungen
auszugeben, hinweist, kann die KMF die Sicherheitsstufe der Übertragung
von schwarz auf rot ändern
und, soweit angemessen, die Übertragung
erneut versuchen.
-
3 ist ein Flussdiagramm,
welches ein Rekeying-Verfahren
gemäß einer
Ausführungsform der
Erfindung illustriert. In Schritt 305 speichert die Schlüsselausgabevorrichtung
(z. B. KVL) einen Datensatz von Ziel-Verschlüsselungsvorrichtungen, die eine
oder mehrere Schlüsselverwaltungsmitteilungen,
wie etwa Rekeying-Mitteilungen, empfangen sollen, der Datensatz
kann Identifikationscodes und/oder Aliases der Ziel-Verschlüsselungsvorrichtungen
und Markierungen oder andere Hinweise auf die Sicherheitsstufe,
die verwendet werden soll, um die Schlüsselverwaltungsmitteilungen
zu übertragen, wie
oben beschrieben, enthalten. Bei einer Ausführungsform wird der Datensatz
von einer Schlüsselverwaltungseinrichtung
(KMF), die entfernt von dem KVL gelegen ist, an den KVL geliefert.
In Schritt 310 wird der KVL wirksam mit einer Kandidaten-Verschlüsselungsvorrichtung
verbunden (z. B. mittels Kabel oder drahtloser Verbindung). In Schritt 315 bestimmt
die KVL, ob die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung
ist. Bei einer Ausführungsform
erfolgt dies, in dem die KVL zunächst
eine Identität
(z. B. numerische Einheits-ID) der Kandidaten-Vorrichtung bestimmt,
die Einheits-ID der Kandidaten-Vorrichtung mit den in dem Datensatz
gespeicherten Einheits-IDs der Ziel-Vorrichtungen vergleicht. Die
KVL bestimmt, dass die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung
ist, wenn die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung mit einer
Einheits-ID einer Ziel-Verschlüsselungsvorrichtung,
die in dem Datensatz identifiziert ist, übereinstimmt. Umgekehrt bestimmt
die KVL, dass die Kandidaten-Verschlüsselungsvorrichtung keine
Ziel-Verschlüsselungsvorrichtung
ist, falls die Einheits-ID der Kandidaten-Ver schlüsselungsvorrichtung
nicht mit einer in dem Datensatz gespeicherten Einheits-ID einer
Ziel-Verschlüsselungsvorrichtung übereinstimmt.
-
Falls
in Schritt 315 für
die Kandidaten-Vorrichtung von dem KVL bestimmt wird, dass sie eine Ziel-Vorrichtung
ist, gibt der KVL Schlüsselverwaltungsmitteilungen
an die Einheit aus (Schritt 320). Der KVL kann verschlüsselte ("schwarze") oder entschlüsselte ("rote") Rekeying-Mitteilungen an die Kandidaten-Vorrichtung
ausgeben, von der nun bestimmt ist, dass sie eine Ziel-Vorrichtung
ist, basierend auf Markierungen (z. B. "Wartungserfordernis"-Markierungen)
oder anderen Hinweisen auf die geeignete Sicherheitsstufe, wie zuvor
beschrieben. Die Schlüsselvorrichtung
kann eine oder mehrere Mitteilungen empfangen und jede Mitteilung
kann eine oder mehrere Rekeying-Mitteilungen
umfassen. Auch kann/können
sich die von der Ziel-Vorrichtung ausgegebene(n) Mitteilungen) von
der/den Mitteilung(en), die an andere Ziel-Vorrichtungen ausgeben wird/werden,
unterscheiden. In Schritt 330 aktualisiert die KVL den
Datensatz, beispielsweise um widerzuspiegeln, dass bei der Ziel-Vorrichtung
ein Rekeying erfolgreich oder erfolglos durchgeführt wurde.
-
Der
Prozess geht dann weiter zu Schritt 335, wo der KVL bestimmt,
ob es irgendwelche verbleibenden Ziel-Vorrichtungen gibt, die Schlüsselverwaltungsmitteilungen
erhalten sollen. Falls es keine verbleibenden Ziel-Vorrichtungen gibt,
ist der Prozess beendet (Schritt 340). Anderenfalls, wenn
es noch verbleibende Ziel-Vorrichtungen gibt, kehrt der Prozess
zu Schritt 310 zurück,
wo der KVL mit einer nächsten
Kandidaten-Vorrichtung verbunden wird usw. Optional wird, falls
es noch verbleibende Ziel- Vorrichtungen
gibt, dem Betreiber eine Mitteilung angezeigt, die darauf hinweist,
wie viele oder welche der Ziel-Vorrichtungen
verbleiben.
-
Falls
in Schritt 315 für
die Kandidaten-Vorrichtung von dem KVL bestimmt wird, dass sie keine Ziel-Vorrichtung
ist, gibt der KVL keine Schlüsselverwaltungsmitteilungen
an die Einheit aus (Schritt 320). Wenn beispielsweise von
einem Betreiber eine Ausgabe an eine Kandidaten-Vorrichtung versucht
wird, die nicht als Ziel-Vorrichtung bestimmt wurde, blockiert der
KVL solch einen Versuch bei Schritt 320. Der Prozess fährt dann
zu Schritt 335 fort, wo der KVL bestimmt, ob es irgendwelche
verbleibenden Ziel-Vorrichtungen gibt, wie zuvor beschrieben.
-
4 illustriert eine Schlüsselausgabevorrichtung 401 (z.
B. KVL), die mit einer Schlüsselverwaltungseinrichtung
(KMF) 403 verbunden ist. Bei einer Ausführungsform initiiert der KVL-Betreiber
eine Übertragung
von Schlüsselverwaltungsmitteilungen durch
Eingeben geeigneter Befehle in den KVL 401, der infolge
dessen über
ein Modem 405, Standard Telefonleitungen 407 und
das mit der KMF verbundene Modem 409 auf die KMF zugreift.
Schlüsselverwaltungsmitteilungen,
wie etwa der Datensatz von Ziel-Einheiten, Rekeying-Mitteilungen
und Anweisungen wird von der KMF 403 über das Modem 409,
Telefonleitungen 407 und das Modem 405 an den
KVL 401 geleitet. Der KVL 401 kann dann verwendet
werden, um Schlüsselverwaltungsmitteilungen
an verschiedene Verschlüsselungseinheiten
zu übertragen, wie
zuvor beschrieben. Bei einer bevorzugten Ausführungsform werden aus Sicherheitsgründen alle zwischen
der KMF 403 und der KVL 401 gesendeten Schlüsselverwaltungsmitteilungen
verschlüsselt. Man
wird einsehen, dass, wenn nahe Nachbarschaft vor liegt, der KVL 401 direkt
mit der KMF 403 mit einem Null-Modem verbunden werden kann. Das Null-Modem
ersetzt das erste Modem 409, die Telefonleitungen 407 und
das zweite Modem 405 von 4.
-
5 ist ein Flussdiagramm,
welches Schritte eines Rekeying-Verfahrens illustriert, das von
einer Schlüsselverwaltungseinrichtung
(KMF) der in 4 gezeigten
Art gemäß einer
Ausführungsform der
Erfindung durchgeführt
werden kann. In Schritt 505 bestimmt die KMF eine oder
mehrere Verschlüsselungsvorrichtungen,
die Schlüsselverwaltungsmitteilungen
erhalten sollen, wodurch Ziel-Verschlüsselungsvorrichtungen definiert
werden. In Schritt 510 konstruiert die KMF eine oder mehrere
Schlüsselverwaltungsmitteilungen
für jede
der Ziel-Verschlüsselungsvorrichtungen.
Bei einer Ausführungsform
werden die Schlüsselverwaltungsmitteilungen
an der KMF verschlüsselt,
was verschlüsselte
("schwarze") Schlüsselverwaltungsmitteilungen
definiert. In Schritt 515 konstruiert die KMF einen Datensatz,
welcher die Ziel-Verschlüsselungsvorrichtungen
identifiziert und identifiziert, welche der Schlüsselverwaltungsmitteilungen
an welche der Ziel-Verschlüsselungsvorrichtungen
ausgegeben werden sollen.
-
Bei
einer bevorzugten Ausführungsform
enthält
der Datensatz weiter einige Hinweise auf die Sicherheitsstufe mit
der Schlüsselverwaltungsmitteilungen
von dem KVL an die Ziel-Vorrichtungen ausgegeben werden sollen.
In Schritt 525 bestimmt die KMF, ob irgendwelche der Mitteilungen
in rotem Speichern-und-Weiterleiten-Modus ausgegeben werden sollen.
Ist dies der Fall, markiert die KMF diejenigen Mitteilungen, die
in rotem Speichern-und-Weiterleiten- Modus ausgegeben werden sollen,
in Schritt 530 mit irgendwelchen Hin weisen auf den roten
Speichern-und-Weiterleiten-Modus. Die KMF konstruiert, modifiziert
oder erweitert den Datensatz, wie dies auch immer der Fall sein
möge, um
diejenigen Vorrichtungen zu identifizieren, die derart für roten
Speichern-und-Weiterleiten-Modus markiert sind. Der Bequemlichkeit
halber sollen die Hinweise auf eine rote Sicherheitsstufe im Folgenden
als eine "rote" Markierung oder
eine "Wartungserfordernis"-Markierung bezeichnet
werden. Bei einer Ausführungsform
markiert die KMF unter den Folgenden Bedingungen eine Vorrichtung
mit einer roten Markierung oder einer Wartungserfordernis-Markierung,
die roten Speichern-und-Weiterleiten-Modus erforderlich macht.
- 1. Wenn die KMF zuvor versucht hatte, eine
verschlüsselte
Mitteilung an eine Ziel-Vorrichtung über OTAR oder Speichern-und-Weiterleiten (über den
KVL) zu senden und die Vorrichtung nicht in der Lage war, die Mitteilung
zu verarbeiten, weil sie nicht über
den richtigen Verschlüsselungsschlüssel verfügte.
- 2. Wenn die KMF zuvor einen auf nullsetzenden Befehl an die
Ziel-Vorrichtung gesendet hatte, der die Ziel-Vorrichtung veranlasste, alle seine Schlüssel zu
löschen.
Dies zeigt an sich der KMF an, dass die Vorrichtung nicht in der
Lage sein wird, verschlüsselte
Mitteilungen zu verschlüsseln.
- 3. Wenn eine oder mehrere Ziel-Vorrichtungen neu für die KMF-Datenbank
sind, die KMF entweder weiß oder
annimmt, dass diese Vorrichtungen noch nicht die erforderlichen Schlüssel und
andere Sicherheitsattribute aufweisen, um die verschlüsselten
Mitteilungen erfolgreich zu verarbeiten.
-
In
Schritt 535 bestimmt die KMF, ob irgendwelche Mitteilungen
in schwarzem Übertragung-zum-Ziel-Modus
ausgegeben werden sollen. Im Allgemeinen werden jegliche Mitteilungen,
die nicht für
roten Speichern-und-Weiterleiten-Modus markiert
sind in schwarzen Übertragung-zum-Ziel-Modus
ausgegeben. Dies kann über OTAR
oder über
schwarzen Speichern-und-Weiterleiten-Modus erfolgen. Bei einer Ausführungsform werden
die Mitteilungen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben
werden sollen, nicht markiert. Optional kann in Schritt 540 die
KMF eine "schwarze" Markierung für diejenigen
Mitteilungen setzen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben
werden sollen, in welchem Fall die KMF den Datensatz konstruiert, modifiziert
oder erweitert, wie dies der Fall sein möge, um zu identifizieren, welche
Vorrichtungen für schwarzen Übertragung-zum-Ziel-Modus
markiert sind. Optional können
die Mitteilungen auch markiert werden, um zwischen denjenigen Mitteilungen,
die über
OTAR ausgegeben werden sollen und denjenigen, die mittels schwarzem
Speichern-und-Weiterleiten-Modus
ausgegeben werden sollen, zu unterscheiden.
-
Als
nächstes
kommuniziert bei Schritt 545 die KMF, nachdem die KMF die
Sicherheitsstufe für die
verschiedenen Mitteilungen bestimmt, geeignete Markieren gesetzt
und den Datensatz konstruiert, modifiziert oder erweitert hat, den
Datensatz an eine Schlüsselausgabevorrichtung
(z. B. über
Telefonleitung). Bei einer bevorzugten Ausführungsform wird der Datensatz
in verschlüsseltem
("schwarzem") Format von der
KMF an die Schlüsselausgabevorrichtung
geleitet und die Schlüsselverwaltungsmitteilungen
bilden einen Teil des Datensatzes. Alternativ können die Schlüsselverwaltungsmitteilungen
separat von dem Datensatz ausgegeben werden. Der Datensatz und die
Schlüsselverwaltungsmitteilungen können danach
im Speicher der Schlüsselausgabevorrichtung,
wie zuvor beschrieben, gespeichert werden. Die Schlüsselausgabevorrichtung
interpretiert jegliche rote Markierung oder Wartungserfordernis-Markierung
als eine Anweisung, die zugeordnete(n) Schlüsselverwaltungsmitteilung(en)
in rotem Übertragung-zum-Ziel-Modus
auszugeben. Die Schlüsselausgabevorrichtung
interpretiert jede schwarze Markierung oder die Abwesenheit einer Markierung
als eine Anweisung die zugeordnete(n) Schlüsselverwaltungsmitteilung(en)
in schwarzem Speichern-und-Weiterleiten-Modus auszugeben (mit Ausnahme
des Falles, in dem die Mitteilungen für OTAR-Ausgabe markiert sind).
-
Bei
Schritt 550 empfängt
die KMF detaillierte Bestätigungen
von der Schlüsselausgabevorrichtung und
bestimmt, basierend auf den detaillierten Bestätigungen, ob die Mitteilungsübertragung(en)
erfolgreich oder erfolglos war(en). Die detaillierten Bestätigungen
enthalten von der Schlüsselausgabevorrichtung
nach dem Versuch, Schlüsselverwaltungsmitteilungen
an eine oder mehrere Ziel-Schlüsselvorrichtungen
auszugeben, gesammelte Information. Beispielsweise kommunizieren
bei einer Ausführungsform
die Ziel-Verschlüsselungsvorrichtungen
Mitteilungen an die Schlüsselausgabevorrichtungen,
die auf Resultate des Erfolgs des Fehlschlage der versuchten Ausgabe
der Schlüsselverwaltungsmitteilungen
an die Ziel-Vorrichtungen hinweisen und die Schlüsselausgabevorrichtung liefert
detaillierte Bestä tigungen
an die KMF, die wenigstens einen Teil der entsprechenden, von den
Ziel-Verschlüsselungsvorrichtungen
gesammelten Mitteilungen zurückgeben.
-
Für diejenigen
Mitteilungen, die nicht erfolgreich übertragen wurden, setzt die
KMF eine rote Flagge bei Schritt 530, so dass der nächste Versuch in
rotem Übertragung-zum-Ziel-Modus
durchgeführt wird.
Beispielsweise sei angenommen, dass in einer ersten Iteration des
Prozesses versucht wurde, eine für
ein spezielles Ziel vorgesehene Mitteilung in einem verschlüsselten
(schwarzen) Übertragung-zum-Ziel-Modus
(OTAR oder schwarzer Speichern-und-Weiterleiten-Modus) auszugeben.
Wenn die versuchte Ausgabe erfolglos war, beispielsweise weil das
vorgesehene Ziel nicht über
einen geeigneten Schlüssel
verfügte,
um die Mitteilung zu entschlüsseln,
wird dies der KMF über
die detaillierten Bestätigungen
berichtet. Nach Benachrichtigung bezüglich des erfolglosen Versuchs
stellt die KMF die Sicherheitsstufe auf rot, setzt die rote Übertragungsmarkierung
bei Schritt 530 und modifiziert den Datensatz entsprechend.
Der modifizierte Datensatz wird in Schritt 545 an den KVL
kommuniziert. Der KVL interpretiert dadurch die rote Markierung
als eine Anweisung, die Ziel-Verschlüsselungsvorrichtung in rotem
Speichern-und-Weiterleiten-Modus zu aktualisieren.
-
Für diejenigen
Mitteilungen, die erfolgreich übertragen
wurden, fährt
die KMF damit fort, in Schritt 560 jegliche der Mitteilungen
zugeordnete Markierungen zu löschen,
so dass jegliche weiteren Aktualisierungen in verschlüsseltem "schwarzem" Modus erfolgen können, gleich
ob mittels OTAR oder mittels schwarzer Speicher- und Weiterleiten-Techniken. Wenn alle
Mitteilungen erfolgreich übertragen und
die Markierungen gelöscht
sind, endet der Prozess bis zu der Zeit, da die KMF eine weitere
Iteration des Prozesses beginnt, in dem neue Ziel-Verschlüsselungsvorrichtungen
definiert werden, neue Schlüsselverwaltungsmitteilungen
konstruiert werden usw.
-
6 ist ein Flussdiagramm,
welches Schritte für
eine anfängliche
Konfiguration eines zentralisierten Schlüsselverwaltungssystems gemäß einer Ausführungsform
der Erfindung identifiziert. In Schritt 605 definiert die
KMF eine oder mehrere Ziel-Verschlüsselungsvorrichtungen, welche
anfängliche Schlüsselverwaltungsmitteilungen
erhalten sollen (z. B. Erst-Rekeying-Mitteilungen). In Schritt 610 setzt die
KMF Adressierungsparameter für
die anfänglichen
Schlüsselverwaltungsmitteilungen.
Bei einer Ausführungsform
umfassen die Adressierungsparameter eine Vorgabe-Ziel-ID derjenigen
Verschlüsselungsvorrichtungen,
für die
darauf abgezielt wird, dass sie die anfänglichen Schlüsselverwaltungsmitteilungen
erhalten. Die Vorgabe-Ziel-ID wird bei einer Ausführungsform
aus der entsprechenden Datensystem ID der Ziel-Vorrichtung abgeleitet,
wobei angenommen wird, dass dies eine existierende, leichtverfügbare ID
ist, die zwischen jeder Verschlüsselungseinheit
und der Datensystem-Infrastruktur
etabliert wurde, um allgemeine Datenwartung für diese Einheit zu ermöglichen.
Die Datensystem-ID wird beispielsweise in ASTROTM Durch-die-Luft-Rekeying-(OTAR)-Systemen, erhältlich von
Motorola, verwendet.
-
In
Schritt 615 konstruiert die KMF eine oder mehrere anfängliche
Schlüsselverwaltungsmitteilungen
(z. B. anfängliche
Rekeying-Mitteilungen) für
die Ziel-Verschlüsselungsvorrichtungen.
Bei einer Ausführungsform
umfassen die anfänglichen
Schlüsselverwaltungsmitteilungen
eine Quellen-ID der KMF und eine Ziel-ID, die gleich der Vorgabe-Ziel-ID
der entsprechenden Ziel-Einheiten ist. Bei einer Ausführungsform
werden die anfänglichen
Schlüsselverwaltungsmitteilungen
an der KMF verschlüsselt,
was verschlüsselte
("schwarze") Schlüsselverwaltungsmitteilungen
definiert, und mit einer roten Markierung oder Anweisung für rote Zielübermittlung
versehen.
-
In
Schritt 620 kommuniziert die KMF einen Datensatz mit den
anfänglichen
Schlüsselverwaltungsmitteilungen
an den KVL (z. B. mittels Telefonleitung 407). Bei einer
bevorzugten Ausführungsform identifiziert
der Datensatz die Ziel-Verschlüsselungsvorrichtungen,
die den Ziel-Vorrichtungen
zugeordneten Adressierungsparameter, identifiziert, welche der anfänglichen
Schlüsselverwaltungsmitteilungen an
welche der Ziel-Verschlüsselungsvorrichtungen ausgegeben
werden sollen und auch die Sicherheitsstufe, die für die Ausgabe
verwendet werden soll. Der Datensatz und die Schlüsselverwaltungsmitteilungen können danach
im Speicher des KVL gespeichert werden. Bei einer bevorzugten Ausführungsform hängt der
KVL in Schritt 625 den anfänglichen Schlüsselverwaltungsmitteilungen
systemweite Parameter an, welche erweiterte Mitteilungen definieren,
die in dem Speicher des KVL gespeichert werden können. Die systemweiten Parameter
können beispielsweise
Programmierungsmitteilungen an die Verschlüsselungseinheit enthalten,
welche die KMF-ID als die gültige
Quellen-ID für
Rekeying-Mitteilungen etablieren und/oder die Mitteilungsanzahlzähler etablieren.
Die systemweiten Parameter werden bei einer Ausführungsform bei dem KVL konstruiert.
Alternativ können
die systemweiten Parameter bei der KMF konstruiert und zusammen
mit den Schlüsselverwaltungsmitteilungen
und/oder dem Datensatz an den KVL weitergeleitet werden.
-
In
Schritt 630 wird der KVL wirksam mit einer Kandidaten-Verschlüsselungsvorrichtung
verbunden (z. B. mittels Kabel oder drahtloser Verbindung). In Schritt 635 bestimmt
der KVL, ob die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung
ist, d. h., ob sie eine anfängliche
Schlüsselverwaltungsmitteilung
erhalten soll. Bei einer Ausführungsform
wird dies von dem KVL durchgeführt,
in dem dieser zunächst
eine Identität
(z. B. numerische Einheits-ID) der Kandidaten-Vorrichtung bestimmt
und dann die Einheits-ID der Kandidaten-Vorrichtung mit den in dem
Datensatz gespeicherten Vorgabe-Einheits-IDs der Ziel-Vorrichtungen
vergleicht. Der KVL bestimmt, dass die Kandidaten-Verschlüsselungsvorrichtung eine
Ziel-Verschlüsselungsvorrichtung
ist, falls die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung
mit einer in dem Datensatz identifizierten Vorgabe-Einheits-ID einer
Ziel-Verschlüsselungsvorrichtung übereinstimmt.
Umgekehrt bestimmt der KVL, dass die Kandidaten-Verschlüsselungsvorrichtung
keine Ziel-Verschlüsselungsvorrichtung
ist, falls die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung
nicht mit einer in dem Datensatz identifizierten Vorgabe-Einheits-ID
einer Ziel-Verschlüsselungsvorrichtung übereinstimmt.
-
Falls
in Schritt 635 von dem KVL für die Kandidatenvorrichtung
bestimmt wurde, dass sie eine Ziel-Vorrichtung ist, gibt der KVL
die erweiterten anfänglichen
Schlüsselverwaltungsmitteilungen
(d. h. einschließlich
anfänglicher
Schlüsselverwaltungsmitteilungen
und systemweiter Parameter) an die Einheit aus (Schritt 645).
Bei einer Ausführungsform werden
die anfänglichen
Schlüsselverwaltungsmit teilungen
mit einer roten Markierung oder Zielübermittlungsanweisung versehen,
was den KVL veranlasst, die Mitteilungen zu entschlüsseln und
unverschlüsselte
("rote") Schlüsselverwaltungsmitteilungen
an das vorgesehene Ziel auszugeben. Die rote Zielübermittlungsanweisung
kann eine direkte oder indirekte Anweisung enthalten, wie unter
Bezugnahme auf 2 beschrieben.
Die Ziel-Vorrichtung kann eine oder mehrere anfängliche Schlüsselverwaltungsmitteilungen
erhalten und jede Mitteilung kann eine oder mehrere Rekeying-Mitteilungen
enthalten. Auch kann/können
sich die anfängliche(n)
Schlüsselverwaltungsmitteilung(en),
die an die Ziel-Vorrichtung ausgegeben wird/werden von der/den anfänglichen Schlüsselverwaltungsmitteilung(en)
unterscheiden, die an andere Ziel-Vorrichtungen ausgegeben wurde(n)
oder noch ausgegeben werden soll(en).
-
In
Schritt 650 sammelt der KVL Informationen von den Ziel-Vorrichtungen,
beispielsweise hinsichtlich des Erfolgs oder Fehlschlags einer versuchten
Ausgabe von Schlüsselverwaltungsmitteilungen an
die Ziel-Vorrichtungen und aktualisiert den Datensatz, beispielsweise
um wiederzuspiegeln, dass bei der Ziel-Vorrichtung ein Rekeying
erfolgreich oder erfolglos durchgeführt wurde. Optional kann der
KVL die von den Zielvorrichtungen gesammelte Information oder einen
Teil davon an die KMF in Form detaillierter Bestätigungen weiterleiten, wie
unter Bezugnahme auf 5 beschrieben
(Schritt 545).
-
In
Schritt 655 bestimmt der KVL, ob es irgendwelche verbleibenden
Ziel-Vorrichtungen gibt, die anfängliche
Schlüsselverwaltungsmitteilungen empfangen
sollen. Wenn es keine verbleibenden Ziel-Vorrichtungen gibt ist
der Prozess beendet (Schritt 660). Anderenfalls kehrt,
falls es noch verbleibende Ziel-Vorrichtungen gibt, der Prozess
zu Schritt 630 zurück,
wo der KVL mit der nächsten
Kandidaten-Vorrichtung
verbunden wird, usw. Optional wird, wenn es noch verbleibende Ziel-Vorrichtungen
gibt, dem Betreiber eine Mitteilung angezeigt, die darauf hinweist,
wie viele oder welche der Ziel-Vorrichtungen verbleiben. Bei einer
Ausführungsform
werden, nachdem die Ausgabe der Erst-Schlüsselverwaltungsmitteilungen
beendet ist, jegliche weiteren Schlüsselverwaltungsmitteilungen
bei der KMF konstruiert und an den KVL ausgegeben, wie unter Bezugnahme
auf 5 beschrieben, und
von dem KVL an die Ziel-Vorrichtungen
ausgegeben, wie unter Bezugnahme auf 3 beschrieben.
-
Wenn
in Schritt 635 von dem KVL für die Kandidaten-Vorrichtung bestimmt
wird, dass sie keine Vorrichtung ist, für die darauf abgezielt wird,
dass sie anfängliche
Schlüsselverwaltungsmitteilungen
erhält,
gibt der KVL keine erweiterten anfänglichen Schlüsselverwaltungsmitteilungen
an die Einheit aus (Schritt 640). Wenn beispielsweise von
einem Betreiber eine Ausgabe von Erst-Rekeying-Mitteilungen an eine
Kandidaten-Vorrichtung versucht wird, welche nicht als eine Ziel-Vorrichtung
bestimmt wurde, blockiert der KVL solch einen Versuch bei Schritt 640. Der
Prozess fährt
dann fort zu Schritt 655, wo der KVL bestimmt, ob es irgendwelche
verbleibenden Ziel-Vorrichtungen gibt, wie zuvor beschrieben.
-
Die
vorliegende Offenbarung identifiziert daher ein Schlüsselverwaltungssystem,
dass entweder in einem laufenden manuellen Rekeying-Schema oder
bei anfänglichem
Set Up oder Fehlerkorrektur eines zentralisierten Schlüsselverwaltungssystems anwendbar
ist, und dass die dem Betreiber der Schlüsselausgabevorrichtung bei
der Durchführung einer
Rekeying-Aktivität
auferlegte Belastung reduziert. Das System verhindert, dass der
Betreiber unabsichtlich bei einer Verschlüsselungsvorrichtung, bei der
kein Rekeying durchgeführt
werden sollte, ein Rekeying durchführt, verhindert, dass der Betreiber die
falschen Schlüssel
in eine bestimmte Verschlüsselungsvorrichtung
lädt und
sorgt für
automatische Dokumentation des Erfolgs oder des Fehlschlags einer
Rekeying-Aktivität.
Das System unterstützt
sowohl verschlüsselte
("schwarze Zielübermittlung") und unverschlüsselte ("rote Zielübermittlung") Modi zur Ausgabe
von Rekeying-Mitteilungen,
sorgt für
die Einstellung der Sicherheitsstufe von schwarzer Zielübermittlung
(mittels OTAR oder schwarzem Speichern-und-Weiterleiten) zu rotem
Speichern-und-Weiterleiten,
wo angemessen, um Vorrichtungen zu aktualisieren, die nicht in der
Lage sind, Schlüsselverwaltungsmitteilungen,
die in schwarzem Übertragung-zum-Ziel-Modus
gesendet wurden, zu verarbeiten, und unterstützt den Set Up eines zentralisierten
Schlüsselverwaltungssystems ohne
manuelles Programmieren von Quellen- und Ziel-IDs in verschiedene
Verschlüsselungseinheiten.