DE60013151T2 - Verfahren zur schlüsselverwaltung für sichere kommunikationssysteme - Google Patents

Verfahren zur schlüsselverwaltung für sichere kommunikationssysteme Download PDF

Info

Publication number
DE60013151T2
DE60013151T2 DE60013151T DE60013151T DE60013151T2 DE 60013151 T2 DE60013151 T2 DE 60013151T2 DE 60013151 T DE60013151 T DE 60013151T DE 60013151 T DE60013151 T DE 60013151T DE 60013151 T2 DE60013151 T2 DE 60013151T2
Authority
DE
Germany
Prior art keywords
key management
destination
key
messages
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60013151T
Other languages
English (en)
Other versions
DE60013151D1 (de
Inventor
F. Walter ANDERSON
Stanley Knapczyk
Larry Murrill
Mark Gonsalves
F. Patrick FORMAN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Application granted granted Critical
Publication of DE60013151D1 publication Critical patent/DE60013151D1/de
Publication of DE60013151T2 publication Critical patent/DE60013151T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephone Function (AREA)

Description

  • Gebiet der Erfindung
  • Diese Erfindung bezieht sich allgemein auf sichere Kommunikationssysteme und insbesondere auf Schlüsselverwaltungsverfahren für sichere Kommunikationssysteme.
  • Hintergrund der Erfindung
  • Sichere Kommunikationssysteme sind wohlbekannt. Polizei und öffentliches Sicherheitspersonal beispielsweise benötigen häufig sichere Sprach- und/oder Datenkommunikationen zwischen Mobilfunksendern und -empfängern, wie etwa Automobilfunkgeräte oder tragbare Handfunkgeräte (Mobilfunkgeräte), wie auch Festsendern und -empfängern, wie etwa einer zentralen Dispatch-Station. Die Kommunikationspfade zwischen den Mobilfunkgeräten und dem Festende sind typischerweise drahtlose Verbindungen, wie etwa Funkfrequenz(RF-: radio frequency) Kanäle. Die Kommunikationspfade zwi schen festen Sendern und Empfängern sind typischerweise drahtgebundene Verbindungen, wie etwa landgestützte Telefonleitungen. Sichere Kommunikation wird ermöglicht durch bestimmte Sender und Empfänger (im Folgenden "Verschlüsselungsvorrichtungen"), welche einen Verschlüsselungsschlüssel, der einen Verschlüsselungsalgorithmus für die Kommunikation einzigartig spezifiziert, gemeinsam nutzen. Nur Verschlüsselungsvorrichtungen, die identische Schlüssel haben, sind in der Lage, die Kommunikation verständlich zu reproduzieren. Jede individuelle Verschlüsselungsvorrichtung kann mehr als einen Schlüssel aufweisen. Beispielsweise ist es für Überwachungs-Funkgeräte häufig wünschenswert mehrere verschiedene Schlüssel zu haben, um mit verschiedenen Gruppen von Benutzern, von denen jede einen unterschiedlichen Schlüssel hat, zu kommunizieren. Die Schlüssel werden üblicherweise periodisch verändert, typischerweise wöchentlich oder monatlich, um die Wahrscheinlichkeit zu reduzieren, dass die Schlüssel von unautorisierten Parteien erlangt werden.
  • Der Prozess des Ladens von Verschlüsselungsschlüssel in die Verschlüsselungsvorrichtungen, "Rekeying" genannt, kann auf eine Vielzahl von Weisen durchgeführt werden. Manuelles Rekeying ist Vorgang des physikalischen Kontaktierens zwischen einer Schlüsselausgabevorrichtung (z. B. ein Schlüsselvariablen-Lader oder KVL: Key Variable Loader) und einer Ziel-Verschlüsselungsvorrichtung , um einen oder mehrere Verschlüsselungsschlüssel an die Vorrichtung auszugeben. In den meisten Fällen wird die Schlüsselausgabevorrichtung (z. B. KVL) von einem Sicherheitsbeamten a priori konfiguriert und dann einer Außendienstperson übergeben, um den Rekeying-Prozess durchzuführen. Die Außendienstper son stöpselt typischerweise ein Kabel von dem KVL in die Ziel-Verschlüsselungsvorrichtung , drückt dann die geeigneten Knöpfe auf dem KVL, um die Schlüssel in den Speicher der Ziel-Verschlüsselungsvorrichtung herunterzuladen.
  • Man wird einsehen, dass mit einem manuellen Rekeying-Schema eine Anzahl von Sicherheits-Herausforderungen verbunden sind. Diese Herausforderungen umfassen die Kenntnis, welche der Verschlüsselungsvorrichtungen verschlüsselt werden soll, die Kenntnis, welche Schlüssel an welche Verschlüsselungsvorrichtungen ausgegeben werden sollen und Überwachen des Erfolges, des Fehlschlages oder der Vollständigkeit jeder individuellen Rekeying-Operation. Diese Herausforderungen werden insbesondere evident, wenn unterschiedliche Sätze mehrerer Schlüssel an mehrere Funkgeräte ausgegeben werden sollen.
  • Aktuelle Systeme für manuelles Rekeying erlegen der Dienstperson eine schwere Bürde auf. Die Dienstperson muss im Allgemeinen eine Liste von Ziel-Verschlüsselungsgeräten unterhalten, wobei die Liste eine Kennzeichnung enthält, welche Schlüssel an welche Vorrichtung ausgegeben werden sollen. Der Dienstperson wird zugetraut, jede Ziel-Vorrichtung auf der Liste zu erreichen, die korrekten Schlüssel in jede Ziel-Vorrichtung zu laden und die Resultate zu dokumentieren. Aktuelle Schemata bestätigen im Allgemeinen die Resultate eines Rekeyings mit einer hörbaren Ton- oder Textmitteilung an der Verschlüsselungsvorrichtung und/oder der Schlüsselausgabevorrichtung. Einige Schlüsselausgabevorrichtungen erzeugen auch ein lokales Protokoll der Rekeying-Aktivität. Das Problem besteht jedoch darin, dass diese Mechanismen bestenfalls eine Dokumentation der tatsächlich von der Dienstperson durchgeführten Rekeying- Aktivität liefern. Sie liefern keine Dokumentation der Rekeying-Aktivität für die Ziel-Einheiten, bei welchen die Dienstperson ein Rekeying durchführen sollte. Es gibt keinen Mechanismus, der die Dienstperson daran hindern würde unabsichtlich ein Rekeying bei einer bestimmten Verschlüsselungsvorrichtung durchzuführen, bei der kein Rekeying durchgeführt werden sollte oder der eine Dienstperson daran hindern würde, die falschen Schlüssel in eine bestimmte Verschlüsselungsvorrichtung zu laden.
  • Zentralisierte Schlüsselverwaltungssysteme, wie etwa Durch-die-Luft-Rekeying- (OTAR-: Over-The-Air Rekeying) Systeme führen das Rekeying durch, in dem die verschlüsselten Schlüssel von einer zentralisierten Schlüsselverwaltungseinrichtung (KMF: Key Managment Facility) versendet werden. Die Schlüssel können entweder individuell oder simultan an mehrere Verschlüsselungsvorrichtungen über einen typischen verschlüsselten Kommunikationskanal gesendet werden. Im Allgemeinen kann ein verschlüsseltes System das Rekeying in kürzerer Zeit und mit größerer Sicherheit durchführen als bei manuellem Rekeying. Von zentralisierten Schlüsselverwaltungssystemen ist jedoch bekannt, dass sie eine Anzahl von Konfigurationsschritten nach dem anfänglichen Set Up oder nach Fehlererkennung des Systems benötigen.
  • Erstens muss ein anfänglicher Verschlüsselungsschlüssel zwischen der KMF und jeder der verschiedenen Verschlüsselungseinheiten eingerichtet werden, um sichere und drahtlose Ausgabe von Folgeverschlüsselungsschlüsseln aus der Ferne zu ermöglichen. Dieser Anfangsverschlüsselungsschlüssel wird üblicherweise manuell eingerichtet, beispielsweise durch Laden des Schlüssels in die Verschlüsselungseinheiten mit einer manuellen Schlüsselausgabevorrichtung (z. B. KVL). Manuelles Rekeying nach anfänglichem Set Up eines zentralisierten Schlüsselverwaltungssystems stellt im Allgemeinen dieselben Sicherheitsherausforderungen wie ein weiterführendes manuelles Rekeying-Schema.
  • Zweitens muss eine Anzahl von Parametern, einschließlich der Quellen- und Zielvorgabe-IDs (Identifikationen) oder Adressen identifiziert werden, um die Kommunikationsverbindung zwischen der KMF und den verschiedenen Verschlüsselungseinheiten für nachfolgende Rekeying-Mitteilungen einzurichten. Bei der KMF speichert eine Datenbank die IDs für jede Verschlüsselungseinheit und identifiziert, welche Einheiten welche Schlüssel brauchen / haben. Die Quellen-/Ziel-IDs werden dann manuell in jede der verschiedenen Verschlüsselungseinheiten programmiert. In der Praxis müssen daher mehrere Parameter für bis zu mehrere tausend Teilnehmereinheiten identisch an unterschiedlichen Orten eingegeben werden, typischerweise zu unterschiedlichen Zeiten und von unterschiedlichen Personen. Es ist klar, dass dieser Schritte eine teure, fehleranfällige und zeitaufwendige Belastung ist.
  • Entsprechend besteht ein Bedarf nach einem Schlüsselverwaltungssystem entweder in einem laufenden manuellen Rekeying-Schema oder nach anfänglichen Set Up oder Fehlerreparatur eines zentralisierten Schlüsselverwaltungssystems, welches die dem Betreiber der Schlüsselausgabevorrichtung auferlegten Belastung bei der Durchführung der Rekeying-Aktivität reduziert. Vorzugsweise verhindert das System, dass der Betreiber unabsichtlich bei einer bestimmten Verschlüsselungsvorrichtung, bei der kein Rekeying durchgeführt werden sollte, ein Rekeying durchführt, verhindert, dass der Betreiber die falschen Schlüssel in ein bestimmtes Verschlüsselungsgerät lädt und sorgt für automatische Dokumentation des Erfolgs oder des Fehlschlags der Rekeying-Aktivität. Es besteht weiter ein Bedarf danach, dass das System sowohl verschlüsselte ("schwarze Übertragung zum Ziel") und unverschlüsselte ("rote Übertragung zum Ziel") Modi der Ausgabe von Rekeying-Mitteilung an Ziel-Verschlüsselungsvorrichtung unterstützt.
  • Unter normalen Umständen ist es mit Ausnahme des ersten an ein Ziel ausgegebenen Schlüssel wünschenswert, Rekeying-Mitteilungen in einem verschlüsselten schwarzen Zielübermittlungs- ("schwarzen") Modus zu übertragen, um die Sicherheit zu erhöhen. Im schwarzen Modus sind die Mitteilungen während der Ausgabe verschlüsselt und die Ziel-Vorrichtungen weisen üblicherweise den/die geeigneten Verschlüsselungsschlüssel auf, um die Mitteilungen zu verarbeiten. Es gibt jedoch einige Umstände, bei denen es sein kann, dass die Ziel-Vorrichtung keine/n richtigen Schlüssel aufweist oder bei denen es sein kann, dass die KMF-Datensätze außer Synchronisation mit den Ziel-Vorrichtungen geraten, was eine Schlüssel-Fehlanpassung verursacht, die dazu führt, dass das Ausgeben der Schlüsselverwaltungsmitteilungen fehlschlägt. In solch einem Fall wäre es wünschenswert, die Fehler zu erkennen, wenn sie auftreten und die entsprechenden Vorrichtungen zu markieren, so dass die KMF weiß, welches) Gerät e) aktualisierte Schlüssel benötigt/en. Dann können die richtigen Schlüssel in einem roten Übertragung-zum-Ziel-Modus an die Vorrichtungen geliefert werden.
  • Die vorliegende Erfindung ist darauf gerichtet, die vorgenannten Bedürfnisse zu befriedigen oder wenigstens teilweise zu befriedigen.
  • US-A-5,164,986 beschreibt primär einen Zentralpunkt-Schlüsselverwaltungs-Controller ("KMC"), welcher intelligentes "over-the channel"-Rekeying von Kommunikationseinheiten durchführt. In dem Maße, in dem diese Referenz eine Vorrichtung lehrt, die zum Rekeying verwendet wird, lehrt sie speziell, dass die Vorrichtung verwendet wird, um Kommunikationseinheiten zu erreichen, die sich außerhalb der RF-Reichweite des KMC befinden, wobei der KMC lediglich "Schlüssel" an die Vorrichtung zum manuellen Rekeying der Kommunikationseinheiten sendet. Folglich wird bei dem Gerät nicht notwendigerweise sichergestellt, dass die richtigen Schlüssel an die richtigen Ziele ausgegeben werden.
  • Kurze Beschreibung der Zeichnungen
  • Die vorangehenden und weiteren Vorteile der Erfindung werden beim Lesen der folgenden detaillierten Beschreibungen und unter Bezugnahme auf die Zeichnungen offensichtlich, in denen:
  • 1 ein Diagramm ist, welches eine mit einer Verschlüsselungsvorrichtung verbundene Schlüsselausgabevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung illustriert;
  • 2 ein Blockdiagramm der Schlüsselausgabevorrichtung von 1 ist;
  • 3 ein Flussdiagramm eines Rekeying-Verfahrens unter Verwendung einer Schlüsselausgabevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung ist;
  • 4 ein Diagramm ist, welches eine mit einer Schlüsselausgabevorrichtung verbundene Schlüsselverwaltungseinrichtung gemäß einer Ausführungsform der vorliegenden Erfindung illustriert;
  • 5 ein Flussdiagramm ist, welches die Schritte eines von einer Schlüsselverwaltungseinrichtung durchgeführten Rekeying-Verfahrens gemäß einer Ausführungsform der Erfindung identifiziert;
  • 6 ein Flussdiagramm ist, welches die Schritte zur anfänglichen Konfiguration eines zentralisierten Schlüsselverwaltungssystems gemäß einer Ausführungsform der Erfindung identifiziert.
  • Beschreibung einer bevorzugten Ausführungsform
  • Das Folgende beschreibt ein Schlüsselverwaltungssystem, welches in einem laufenden manuellen Rekeying-Schema oder nach anfänglichem Setup oder Fehlerkorrektur eines zentralisierten Schlüsselverwaltungssystems verwendet werden kann, das die dem Betreiber der Schlüsselausgabevorrichtung bei der Durchführung der Rekeying-Aktivität aufgebürdete Belastungen reduziert. Das System hindert den Betreiber daran, unabsichtlich bei einer bestimmten Verschlüsselungsvorrichtung, bei der kein Rekeying durchgeführt werden sollte, ein Rekeying durchzuführen, hindert den Betreiber daran, die falschen Schlüssel in eine bestimmte Verschlüsselungsvorrichtung zu laden und sorgt für automatische Dokumentation des Erfolgs oder des Fehlschlags der Rekeying-Aktivität. Das System unterstützt sowohl verschlüsselte ("schwarze Zielübermittlungs"-) und unverschlüsselte ("rote Zielübermittlungs"-) Modi zur Ausgabe von Rekeying-Mitteilungen an die Ziel-Verschlüsselungsvorrichtungen. Das System sorgt für den Set Up eines zentralisierten Schlüsselverwaltungssystems ohne Quellen- und Ziel-IDs in verschiedene Verschlüsselungseinheiten manuell zu programmieren.
  • Bei einer Ausführungsform der vorliegenden Erfindung wird ein Schlüsselverwaltungsverfahren für ein Kommunikationssystem, umfassend eine Schlüsselausgabevorrichtung und eine Anzahl von Verschlüsselungsvorrichtungen, zur Verfügung gestellt. Ein die Ziel-Verschlüsselungsvorrichtungen identifizierender Datensatz wird in der Schlüsselausgabevorrichtung gespeichert, wobei die Ziel-Verschlüsselungsvorrichtungen diejenigen Verschlüsselungsvorrichtungen definieren, die eine oder mehrere Schlüsselverwaltungsmitteilungen empfangen sollen. Die Schlüsselausgabevorrichtung wird dann wirksam mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen verbunden. Nach Verbindung mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen bestimmt die Schlüsselausgabevorrichtung, welche der Kandidaten-Verschlüsselungsvorrichtungen Ziel-Verschlüsselungsvorrichtungen sind und gibt eine oder mehrere Schlüsselverwaltungsmitteilungen an diese Vorrichtungen aus.
  • Bei einer anderen Ausführungsform der vorliegenden Erfindung wird ein Schlüsselverwaltungsverfahren für ein Kommunikationssystem, umfassend eine Schlüsselverwaltungseinrichtung und eine Anzahl von Verschlüsselungsvorrichtungen, zur Verfügung gestellt. Die Schlüsselverwaltungseinrichtung zielt darauf, dass eine oder mehrere Verschlüsselungsvorrichtungen ("Ziel-Verschlüsselungsvorrichtungen") Schlüsselverwaltungsmitteilungen empfangen und konstruiert eine oder mehrere Schlüsselverwaltungsmitteilungen für die Ziel- Verschlüsselungsvorrichtungen. Die Schlüsselverwaltungseinrichtung kommuniziert dann einen Datensatz, der identifiziert, welche der Schlüsselverwaltungsmitteilungen an welche der Ziel-Verschlüsselungsvorrichtungen ausgegeben werden soll, an eine Schlüsselausgabevorrichtung. Die in dem Datensatz identifizierten Schlüsselverwaltungsmitteilungen werden dann von der Schlüsselverwaltungseinrichtung über die Schlüsselausgabevorrichtung zu denjenigen der Ziel-Verschlüsselungsvorrichtungen, die in dem Datensatz identifiziert sind, geleitet. Bei einer Ausführungsform werden die Schlüsselverwaltungsmitteilungen bei der Schlüsselverwaltungseinrichtung verschlüsselt und die Schlüsselverwaltungseinrichtung weist die Schlüsselausgabevorrichtung an, die verschlüsselte Schlüsselverwaltungsmitteilung an die ausgewählte Verschlüsselungsvorrichtung auszugeben, d.h. in einem "schwarzen" Übertragung-zum-Ziel-Modus. Alternativ werden eine oder mehrere Schlüsselverwaltungsmitteilungen bei der Schlüsselverwaltungseinrichtung verschlüsselt und die Schlüsselverwaltungseinrichtung weist die Schlüsselausgabeeinrichtung an, die Mitteilungen zu entschlüsseln und die entschlüsselte Schlüsselverwaltungsmitteilung an die ausgewählte Verschlüsselungsvorrichtung auszugeben, d.h. in einem "roten" Übertragung-zum-Ziel-Modus.
  • Bei einer noch weiteren Ausführungsform der vorliegenden Erfindung wird ein Verfahren zur Rückgabe von Schlüsselverwaltungsmitteilungen von den Ziel-Verschlüsselungsvorrichtung über die Schlüsselausgabevorrichtung an die Schlüsselverwaltungseinrichtung zur Verfügung gestellt. Eine Schlüsselausgabevorrichtung versucht die Ausgabe einer oder mehrerer Schlüsselverwaltungsmitteilungen an eine oder mehrere Ziel-Verschlüsselungsvorrichtungen. Die Ziel-Ver schlüsselungsvorrichtung(en) bestimmt/en die jeweiligen Ergebnisse, z. B. Erfolg oder Fehlschlag, der versuchten Ausgabe von Schlüsselverwaltungsmitteilungen und kommuniziert Mitteilungen an die Schlüsselausgabevorrichtung, welche auf diese Ergebnisse hinweisen. Die Schlüsselausgabevorrichtung kommuniziert einen Bericht, umfassend wenigstens einen Teil der entsprechenden Mitteilungen, an eine zentralisierte Schlüsselverwaltungseinrichtung.
  • Bei einer noch anderen Ausführungsform der vorliegenden Erfindung wird ein Verfahren zur anfänglichen Konfiguration eines Kommunikationssystems, umfassend eine Schlüsselverwaltungseinrichtung, eine Schlüsselausgabevorrichtung und eine Anzahl von Verschlüsselungsvorrichtungen, zur Verfügung gestellt. Die Schlüsselverwaltungseinrichtung zielt darauf, dass eine oder mehrere der Verschlüsselungsvorrichtungen ("Ziel-Verschlüsselungsvorrichtungen") anfängliche Schlüsselverwaltungsmitteilungen empfangen und konstruiert eine oder mehrere Schlüsselverwaltungsmitteilungen für die Ziel-Verschlüsselungsvorrichtungen. Die Schlüsselverwaltungseinrichtung stellt dann Adressierungsparameter für die anfänglichen Schlüsselverwaltungsmitteilungen auf, wobei die Adressierungsparameter eine oder mehrere Ziel-Verschlüsselungsvorrichtungen, welche die anfänglichen Schlüsselverwaltungsmitteilungen empfangen sollen, bezeichnen. Die anfänglichen Schlüsselverwaltungsmitteilungen und Adressierungsparameter werden von der Schlüsselverwaltungseinrichtung an die Schlüsselausgabevorrichtung kommuniziert, die dann die entsprechenden der anfänglichen Schlüsselverwaltungsmitteilungen entsprechend den Adressierungsparametern an eine oder mehrere der Ziel-Verschlüsselungsvorrichtungen ausgibt. Optional hängt die Schlüsselausgabe vorrichtung an die anfänglichen Schlüsselverwaltungsmitteilungen systemweite Parameter an, welche mit Anhang versehene Mitteilungen definieren, die an die Ziel-Verschlüsselungsvorrichtungen ausgegeben werden. Bei einer Ausführungsform werden die mit Anhang versehenen Mitteilungen in rotem Übertragung-zum-Ziel-Modus an die Ziel-Vorrichtungen ausgegeben.
  • Bei einer noch anderen Ausführungsform der vorliegenden Erfindung wird ein Verfahren zur Verwaltung von Schlüssellade-Sicherheitsstufen in einem sicheren Kommunikationssystem zur Verfügung gestellt. Das Verfahren umfasst ein Bestimmen, mittels einer Schlüsselverwaltungseinrichtung, das eine Ziel-Verschlüsselungsvorrichtung nicht in der Lage ist, eine Schlüsselverwaltungsmitteilungen, welche in "schwarzem" Übertragung-zum-Ziel-Modus versendet wurde, zu verarbeiten. Beispielsweise kann die Bestimmung durch die KMF, dass eine Ziel-Verschlüsselungsvorrichtung nicht in der Lage ist, eine in "schwarzem" Übertragung-zum-Ziel-Modus versendete Schlüsselverwaltungsmitteilungen zu verarbeiten, aus einer a priori Kenntnis, dass die Ziel-Vorrichtung nicht über die richtigen Schlüssel verfügt, resultieren oder kann aus einem fehlgeschlagenen Versuch, eine verschlüsselte Schlüsselverwaltungsmitteilung an die Ziel-Verschlüsselungsvorrichtung in einem "schwarzen" Übertragung-zum-Ziel-Modus auszugeben, resultieren. Die Schlüsselverwaltungseinrichtung konstruiert dann einen Datensatz, der die Ziel-Verschlüsselungsvorrichtung sowie Hinweise auf einen "roten" Speichern-und-weiterleiten-Modus, der für die Aktualisierung der Ziel-Verschlüsselungsvorrichtung verwendet werden soll, identifiziert. Der Datensatz wird von der Schlüsselverwaltungseinrichtung an eine Schlüsselausgabe vorrichtung kommuniziert und die Schlüsselverwaltungsmitteilung wird in einem "roten" Speichern-und-Weiterleiten-Modus von der Schlüsselausgabevorrichtung an die Ziel-Verschlüsselungsvorrichtung ausgegeben.
  • Wir wenden uns nun den Zeichnungen zu und nehmen anfänglich Bezug auf 1. Dort ist eine Schlüsselausgabevorrichtung 101 gezeigt, die mit einer Verschlüsselungsvorrichtung 103 verbunden ist. Bei einer Ausführungsform ist die Schlüsselausgabevorrichtung 101 ein Schlüsselvariablen-Lader (KVL), wie etwa ein KVL 3000, erhältlich von Motorola, Inc., und die Verschlüsselungsvorrichtung 103 ist ein Mobilfunkgerät, wie etwa ein ASTRO Spectra Mobilfunkgerät, erhältlich von Motorola, Inc. Wie in 1 dargestellt, verbindet ein Kabel 105 die Schlüsselausgabevorrichtung 101 mit der Verschlüsselungsvorrichtung 103, so dass Schlüsselverwaltungsmitteilungen von der Schlüsselausgabevorrichtung 101 an die Verschlüsselungsvorrichtung 103 kommuniziert werden können. Es ist jedoch offensichtlich, dass drahtlose Kommunikationen oder andere geeignete Mittel verwendet werden könnten, um Schlüsselverwaltungsmitteilungen von der Schlüsselausgabevorrichtung 101 an die Verschlüsselungsvorrichtung 103 zu kommunizieren. Die Schlüsselverwaltungsmitteilungen können Rekeying-Mitteilungen umfassen, welche der Verschlüsselungsvorrichtung einen oder mehrere Verschlüsselungsschlüssel liefern.
  • 2 ist ein Blockdiagramm der Schlüsselausgabevorrichtung 101 gemäß einer Ausführungsform der Erfindung. Der Bequemlichkeit halber wird die Schlüsselausgabevorrichtung 101 nachfolgend als KVL bezeichnet. Eine KMF-Schniuttstelle 201 (z. B. Telefonleitung) gestattet es der KVL wirksam mit einer zentralisierten Schlüsselverwaltungseinrichtung oder KMF (nicht dargestellt) verbunden zu sein. Eine Verschlüsselungseinheit-Schnittstelle 209 (z. B. Kabel) gestattet es der KVL mit verschiedenen Verschlüsselungseinheiten wirksam verbunden zu sein. Bei einer Ausführungsform kommuniziert die KMF an die KVL Schlüsselverwaltungsmitteilungen, die an spezielle Verschlüsselungseinheiten ausgegeben werden sollen. Beispielsweise können verschlüsselte Rekeying-Mitteilungen, die für spezielle Verschlüsselungseinheiten bestimmt sind, bei der KMF erzeugt und über die KMF-Schnittstelle 201 sicher an die KVL heruntergeladen werden. Der Bequemlichkeit halber werden nachfolgend solche Verschlüsselungseinheiten, für die die KMF darauf abzielt, dass sie Mitteilungen empfangen, als "Ziel-Einheiten" bezeichnet.
  • Bei einer bevorzugten Ausführungsform kommuniziert die KMF an die KVL einen Datensatz, welcher die verschiedenen Ziel-Einheiten identifiziert und identifiziert, welche Mitteilungen an die Ziel-Einheiten ausgegeben werden sollen. Mit anderen Worten ordnet der Datensatz jeder der Ziel-Einheiten den Schlüsselverwaltungsmitteilungen, welche an diese Ziel-Einheiten ausgegeben werden sollen, zu. Die Schlüsselverwaltungsmitteilungen können Rekeying-Mitteilungen enthalten, in welchem Fall der Datensatz sicherstellt, dass die richtigen Schlüssel an die richtigen Einheiten ausgegeben werden. Der Datensatz kann auch eine Zuordnung zwischen den Ziel-Einheiten oder einer oder mehreren Schlüsselausgabevorrichtungen enthalten.
  • Bei einer Ausführungsform kommuniziert die KMF bei einer Speichern-und-Weiterleiten-Operation eine Anweisung an die KVL, Rekeying-Mitteilungen entweder in einem schwarzen Speichern-und-Weiterleiten-Modus oder in einem roten Spei chern-und-Weiterleiten-Modus auszugeben. "Schwarzes Speichern-und-Weiterleiten" bezeichnet die Übertragung von in dem KVL gespeicherten Rekeying-Mitteilungen an die Ziel-Einheit in einem schwarzen (verschlüsselten) Übertragungszum-Ziel-Modus. "Rotes Speichern-und-Weiterleiten" bezeichnet die Übertragung von in dem KVL gespeicherten Rekeying-Mitteilungen an die Ziel-Einheit in einem roten (unverschlüsselten) Übertragung-zum-Ziel-Modus. Bei einer OTAR-Operation werden Rekeying-Mitteilungen an die Ziel-Vorrichtung in einem schwarzen Übertragung-zum-Ziel-Modus kommuniziert. Bei einer Ausführungsform unterhält die KMF einen Datensatz von Vorrichtungen, die über OTAR- und/ oder Speichern-und-Weiterleiten-Techniken aktualisiert werden sollen, wobei der Datensatz vorteilhafterweise die Sicherheitsstufe der Aktualisierung, z. B. roter Übertragung-zum-Ziel-Modus oder schwarzer Übertragung-zum-Ziel-Modus, identifiziert. Beispielsweise kann der Datensatz durch Speichern der Ziel-Vorrichtungen in einem (nicht dargestellten) Speicher und Markieren ("flagging") derjenigen Zielvorrichtungen, die in einem roten Übertragung-zum-Ziel-Modus aktualisiert werden sollen, irgendwelchen Hinweisen auf die erforderliche Sicherheitsstufe implementiert werden. Alternativ oder zusätzlich können den Ziel-Vorrichtungen zugeordnete Mitteilungen markiert werden. Beispielsweise kann die KMF eine "Wartungserfordernis"-Markierung ("Needs Service") Einsetzen, um auf diejenigen Vorrichtungen hinzuweisen, die eine Wartung benötigen und dadurch eine Aktualisierung im roten Übertragung-zum-Ziel-Modus brauchen.
  • Die Kommunikation einer "Anweisung", wie dieser Begriff hier benutzt wird, soll verstanden werden als sowohl direkte als auch indirekte Anweisungen umfassend. Beispielsweise umfasst bei einer Ausführungsform die Kommunikation einer "Anweisung" die Kommunikation von Schlüsselverwaltungsmitteilungen und/der eines Datensatzes, welcher Information enthält (wie etwa "Wartungserfordernis-Markierung(en)), durch die der KVL selbst in die Lage versetzt wird, zu bestimmen, ob er Rekeying-Mitteilungen in einem "schwarzen" Übertragung-zum-Ziel-Modus oder einem "roten" Übertragung-zum-Ziel-Modus ausgeben soll. In solch einem Fall umfasst die von der KMF an den KVL kommunizierte Information eine indirekte Anweisung, weil tatsächlich die der KVL aus der Information eine Anordnung, Rekeying-Mitteilungen entweder in einem "schwarzen" Übertragung-zum-Ziel-Modus oder "roten" Übertragung-zum-Ziel-Modus auszugeben, ableitet. Alternativ kann die Anweisung eine direkt von der KMF an den KVL ausgegebene Anordnung (z. B. ausführbaren Software-Code) umfassen. Auf ähnliche Weise umfasst die "Ausführung" einer Anweisung die Durchführung einer Aktion (z. B. Ausgaben von Rekeying-Mitteilungen in "schwarzem" Zielübermittlungs- oder "rotem" Übertragungzum-Ziel-Modus) entsprechend einer direkten oder indirekten Anweisung, wie hier definiert. In jedem Fall kann die Anweisung in der/den Schlüsselverwaltungsmitteilung(en), die von der KMF ausgesendet werden, enthalten oder davon unabhängig sein.
  • Im Speichern-und-Weiterleiten-Modus arbeitet der KVL-Prozessor 203, um wenigstens einen Teil der von der KMF empfangen Datensatz und/oder Anweisungen an verschiedenen Speicherplätzen in einem Speicher 205 zu speichern. wie in 2 dargestellt, enthält der an den verschiedenen Speicherplätzen im Speicher 205 gespeicherte Datensatz bei spielsweise die Ziel-Idee, ein Alias und den verschiedenen Ziel-Einheiten zugeordnete Schlüsselverwaltungsmitteilung(en), von denen jede dem KVL über die KMF-Schnittstelle 201 zur Verfügung gestellt werden kann. Die Ziel-ID umfasst bei einer Ausführungsform eine numerische ID (z. B. Seriennummer) der verschiedenen Ziel-Einheiten. Das Alias umfasst bei einer Ausführungsform eine mehr "benutzerfreundliche" Identifikation der Ziel-Einheiten wie etwa "BOB's FUNKGERÄT". Der Datensatz kann weiter Markierungen (wie etwa "Wartungserfordernis"-Markierungen) oder Hinweise auf diejenigen Ziel-Einheiten enthalten, die vorgesehen sind, Schlüsselverwaltungsmitteilungen im roten Übertragung-zum-Ziel-Modus zu empfangen. Die Schlüsselverwaltungsmitteilungen umfassen bei einer Ausführungsform Rekeying-Mitteilungen, die an die verschiedenen Ziel-Einheiten ausgegeben werden sollen.
  • Bei einer Ausführungsform werden die Schlüsselverwaltungsmitteilungen (z. B. Rekeying-Mitteilungen), sei es nun, dass sie in rotem Übertragung-zum-Ziel-Modus oder schwarzem Übertragung-zum-Ziel-Modus ausgegeben werden sollen, in verschlüsseltem "schwarzem" Format an den KVL kommuniziert und auch in dem Speicher in verschlüsseltem ("schwarzem) Format gespeichert. Für diejenigen Mitteilungen, die in rotem Übertragung-zum-Ziel-Modus ausgegeben werden sollen, werden die verschlüsselten ("schwarzen") Schlüsselverwaltungsmitteilungen, die an den KVL ausgegeben werden, von der Verschlüsselungseinheiten 207 entschlüsselt, was zu entschlüsselten ("roten") Mitteilungen führt, die an das Ziel übertragen werden sollen. Die entschlüsselten ("roten") Mitteilungen werden von der Verschlüsselungseinheit 207 verschlüsselt, was zu verschlüsselten ("schwarzen") Mitteilungen führt, die in dem Speicher 205 gespeichert werden. Wenn der KVL dann die Mitteilungen an eine Ziel-Einheit ausgeben soll, veranlasst der Prozessor 203, dass die verschlüsselten ("schwarzen") Mitteilungen, die in dem Speicher 205 gespeichert sind von der Verschlüsselungseinheit 207 entschlüsselt werden, was zu entschlüsselten ("roten") Mitteilungen für die Ausgabe an die Ziel-Einheit führt. Bei einer Ausführungsform werden für diejenigen Mitteilungen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben werden sollen, die an den KVL ausgegebenen verschlüsselten ("schwarzen") Schlüsselverwaltungsmitteilungen ein zweites Mal von der Verschlüsselungseinheit 20 verschlüsselt, was zu zweifach verschlüsselten ("schwarzen") Mitteilungen führt, die in dem Speicher 205 gespeichert werden. Vor Ausgabe der Mitteilungen werden die zweifach verschlüsselten ("schwarzen") Mitteilungen von der Verschlüsselungseinheit 207 entschlüsselt, was die ursprünglichen, verschlüsselten ("schwarzen") Mitteilungen zur Ausgabe an die Ziel-Verschlüsselungseinheiten führt.
  • Der Speicher 205 enthält auch Speicherpositionen zum Speichern von über die Zielschnittstelle 209 gelieferten Antwortmitteilungen (bezeichnet als "ANTWORT" in 2) von den verschiedenen Ziel-Einheiten. Die Antwortmitteilungen können beispielsweise einen Hinweis auf erfolgreiche oder erfolglose Versuche zur Übermittlung von Schlüsselverwaltungsmitteilungen an verschiedene Ziel-Einheiten enthalten. Bei einer Ausführungsform sammelt der KVL die Antworten und gibt sie über die KMF-Schnittstelle an die KMF zurück.
  • Nach erstem Verbinden des KVL mit einer Verschlüsselungseinheit führt der KVL einen Handshaking-Prozess mit der Einheit durch, um deren Identität zu bestimmen und festzustellen, ob die Einheit eine Ziel-Einheit ist. Der Einfachheit halber soll der Ausdruck "Kandidaten-Verschlüsselungseinheit" verwendet werden, um eine Vorrichtung zu bezeichnen, deren Identität noch nicht bestätigt ist, da von dieser noch nicht bekannt ist, ob sie eine Ziel-Einheit ist. Bei einer Ausführungsform erfolgt dies, in dem der Prozessor 203 zunächst die numerische Einheits-ID der Kandidaten-Verschlüsselungseinheit bestätigt. Der Prozessor 203 vergleicht die Identität der Kandidaten-Verschlüsselungseinheit mit den Identitäten der im Speicher 205 gespeicherten Ziel-Verschlüsselungseinheiten. Wenn die Identität der Kandidaten-Verschlüsselungseinheit mit irgendeiner der Identitäten der im Speicher gespeicherten Ziel-Einheiten (z. B. Einheits-IDs) übereinstimmt, bestimmt der Prozessor 203, dass die Kandidaten-Verschlüsselungseinheit eine Ziel-Einheit ist. Wenn umgekehrt die Identität der Kandidaten-Verschlüsselungseinheit mit keiner der im Speicher gespeicherten Einheits-IDs übereinstimmt, bestimmt der Prozessor 203, dass die Kandidaten-Verschlüsselungseinheit keine Ziel-Einheit ist.
  • Falls für die Kandidaten-Verschlüsselungseinheit bestimmt wird, dass sie eine Ziel-Einheit ist, ruft der KVL-Prozessor 203 eine oder mehrere Schlüsselverwaltungsmitteilungen, die für dieses Ziel bestimmt sind (z. B. zweifach verschlüsselte Schlüsselverwaltungsmitteilungen in schwarzem Übertragung-zum-Ziel-Modus oder einfach verschlüsselte Schlüsselverwaltungsmitteilungen in rotem Übertragung-zum-Ziel-Modus) aus dem Speicher ab, entschlüsselt die Mitteilungen (was z. B. zu "schwarzen" Mitteilungen in schwarzem Übertragung-zum-Ziel-Modus oder "roten" Mitteilungen in rotem Übertragung-zum-Ziel-Modus führt) und veranlasst dann, dass die Mitteilungen an die Ziel-Einheit kommuniziert werden. Wenn für die Kandidaten-Verschlüsselungseinheit bestimmt wird, dass sie keine Ziel-Einheit ist, kommuniziert der KVL-Prozessor 203 keine Schlüsselverwaltungsmitteilungen (z. B. Rekeying-Mitteilungen) an diese Einheit. Die Entscheidung, ob Schlüssel/Mitteilungen in eine bestimmte Vorrichtung geladen werden, die Entscheidung, welche Schlüssel/Mitteilungen in eine bestimmte Vorrichtung geladen werden und die Entscheidung, welche Sicherheitsstufe (schwarz oder rot) für die Übertragung zu verwenden ist, wird dem Betreiber aus der Hand genommen. Der Prozessor 203 veranlasst bei Verbindung des KVL mit den entsprechenden Kandidaten-Einheiten, dass die richtigen Schlüssel mit der richtigen Sicherheitsstufe in die richtigen Verschlüsselungsvorrichtungen geladen werden. Entsprechend ist einem KVL-Betreiber im Außendienst fast unmöglich bei einer Vorrichtung, bei der kein Rekeying durchgeführt werden sollte, ein Rekeying durchzuführen, die falschen Schlüssel an eine bestimmte Vorrichtung auszugeben oder Rekeying-Mitteilungen mit einer falschen Sicherheitsstufe auszugeben.
  • Ein Display 211 ist vorgesehen, um dem KVL-Betreiber Mitteilungen anzuzeigen. Es ist offensichtlich, dass das Display 211 verschiedene Formen annehmen kann, um verschiedene unterschiedliche Informationselemente anzuzeigen. Das Display 211A repräsentiert ein Beispiel für ein Display, welches beim ersten Verbinden des KVL mit einer der Ziel-Einheiten erscheinen kann. Das Display 211A zeigt den Alias ("BOB's FUNKGERÄT") der Ziel-Einheit und die ID (SN: 25692) der Ziel-Einheit. Eine Mitteilung ("1 von 5") infor miert den Betreiber darüber, dass BOB's FUNKGERÄT eine von fünf Zieleinheiten ist, die Schlüsselverwaltungsmitteilungen erhalten sollen. Diese letztere Mitteilung hilft sicherzustellen, dass der KVL-Betreiber jeder der Ziel-Einheiten erreicht. Ebenfalls dargestellt sind Anweisungsfelder ("AKTUALISIEREN" und "LÖSCHEN"), welche Anweisungen identifizieren, die von dem Betreiber durchgeführt werden können. Bei einer Ausführungsform sind die Anweisungen ausführbar, in dem der Betreiber eine geeignete Taste (z. B. eine "Aktualisieren"-Taste) auf einer herkömmlichen Tastatur 213 drückt. Alternativ können die Anweisungsfelder selbst berührungsempfindliche "Tasten" umfassen, beispielsweise solche, die ausführbar sind, indem der Betreiber den gewünschten Bereich z. B. "Aktualisieren" auf dem Display berührt. Bei einer Ausführungsform verursacht das Ausführen der "Aktualisieren" Anweisung durch den Betreiber, dass der Prozessor 203 automatisch Schlüsselverwaltungsmitteilungen an die Ziel-Einheit ausgibt, basierend auf dem in dem Speicher 205 gespeicherten Datensatz, wie oben beschrieben.
  • Das Display 211B repräsentiert ein Beispiel einer Anzeige, die erscheinen könnte, nachdem eine Aktualisierung einer Zieleinheit versucht wurde. Das Display 211B zeigt, wie das Display 211A, den Alias ("BOB's FUNKGERÄT") der Ziel-Einheit sowie die ID (SN: 25692) der Ziel-Einheit. Nach Versuch einer Aktualisierung empfängt der KVL-Prozessor 203 eine Bestätigung von der Ziel-Einheit, die beispielsweise anzeigt, ob die versuchte Aktualisierung erfolgreich oder erfolglos war. Bei einer Ausführungsform ist die Bestätigung eine Mitteilung ("ANTWORT"), die in dem Speicher 205 des KVL gespeichert ist. Bei einer Ausführungsform veranlasst der Prozessor 203 das Display 211 dann, eine Mitteilung anzuzeigen, welche auf den Erfolg oder Fehlschlag der versuchten Aktualisierung hinweist. Bei dem Beispiel-Display 211B informiert das Häkchen-Symbol ("√") den Betreiber darüber, dass die Aktualisierung von BOB's FUNKGERÄT erfolgreich vollendet wurde. Natürlich könnte eine Vielzahl von anderen Mitteilungen und Symbolen als das Häkchen verwendet werden, um den Betreiber über das Ergebnis der versuchten Aktualisierung zu informieren. Optional könnte auch eine Mitteilung, die auf einen erfolglosen Versuch hinweist, angezeigt werden, wenn der KVL mit einer Kandidaten-Einheit verbunden ist, für die bestimmt wird, dass sie keine Ziel-Einheit ist, oder falls die Ziel-Einheit nicht über die geeigneten Schlüssel verfügt, um die Mitteilung zu decodieren.
  • Bei einer Ausführungsform lädt, nachdem alle Ziele kontaktiert wurden, der KVL-Prozessor 203 gesammelte und in dem Speicher 205 gespeicherte, detaillierte Bestätigungen über die KMF-Schnittstelle 201 an die KMF. Die detaillierten Bestätigungen können eine Identifikation enthalten, welche Schlüssel an welche Einheiten ausgegeben wurden, eine Identifikation, welche Schlüssel erfolglos ausgegeben wurden, Fehlerzustände und dergleichen. Die detaillierten Bestätigungen stellen daher explizite und zuverlässige Mittel für eine zentralisierte Schlüsselverwaltungseinrichtung zur Verfügung, um Rekeying-Ergebnisse zu bestätigen. Falls irgendeine der detaillierten Bestätigungen auf einen fehlgeschlagenen Versuch, Schlüsselverwaltungsmitteilungen auszugeben, hinweist, kann die KMF die Sicherheitsstufe der Übertragung von schwarz auf rot ändern und, soweit angemessen, die Übertragung erneut versuchen.
  • 3 ist ein Flussdiagramm, welches ein Rekeying-Verfahren gemäß einer Ausführungsform der Erfindung illustriert. In Schritt 305 speichert die Schlüsselausgabevorrichtung (z. B. KVL) einen Datensatz von Ziel-Verschlüsselungsvorrichtungen, die eine oder mehrere Schlüsselverwaltungsmitteilungen, wie etwa Rekeying-Mitteilungen, empfangen sollen, der Datensatz kann Identifikationscodes und/oder Aliases der Ziel-Verschlüsselungsvorrichtungen und Markierungen oder andere Hinweise auf die Sicherheitsstufe, die verwendet werden soll, um die Schlüsselverwaltungsmitteilungen zu übertragen, wie oben beschrieben, enthalten. Bei einer Ausführungsform wird der Datensatz von einer Schlüsselverwaltungseinrichtung (KMF), die entfernt von dem KVL gelegen ist, an den KVL geliefert. In Schritt 310 wird der KVL wirksam mit einer Kandidaten-Verschlüsselungsvorrichtung verbunden (z. B. mittels Kabel oder drahtloser Verbindung). In Schritt 315 bestimmt die KVL, ob die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung ist. Bei einer Ausführungsform erfolgt dies, in dem die KVL zunächst eine Identität (z. B. numerische Einheits-ID) der Kandidaten-Vorrichtung bestimmt, die Einheits-ID der Kandidaten-Vorrichtung mit den in dem Datensatz gespeicherten Einheits-IDs der Ziel-Vorrichtungen vergleicht. Die KVL bestimmt, dass die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung ist, wenn die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung mit einer Einheits-ID einer Ziel-Verschlüsselungsvorrichtung, die in dem Datensatz identifiziert ist, übereinstimmt. Umgekehrt bestimmt die KVL, dass die Kandidaten-Verschlüsselungsvorrichtung keine Ziel-Verschlüsselungsvorrichtung ist, falls die Einheits-ID der Kandidaten-Ver schlüsselungsvorrichtung nicht mit einer in dem Datensatz gespeicherten Einheits-ID einer Ziel-Verschlüsselungsvorrichtung übereinstimmt.
  • Falls in Schritt 315 für die Kandidaten-Vorrichtung von dem KVL bestimmt wird, dass sie eine Ziel-Vorrichtung ist, gibt der KVL Schlüsselverwaltungsmitteilungen an die Einheit aus (Schritt 320). Der KVL kann verschlüsselte ("schwarze") oder entschlüsselte ("rote") Rekeying-Mitteilungen an die Kandidaten-Vorrichtung ausgeben, von der nun bestimmt ist, dass sie eine Ziel-Vorrichtung ist, basierend auf Markierungen (z. B. "Wartungserfordernis"-Markierungen) oder anderen Hinweisen auf die geeignete Sicherheitsstufe, wie zuvor beschrieben. Die Schlüsselvorrichtung kann eine oder mehrere Mitteilungen empfangen und jede Mitteilung kann eine oder mehrere Rekeying-Mitteilungen umfassen. Auch kann/können sich die von der Ziel-Vorrichtung ausgegebene(n) Mitteilungen) von der/den Mitteilung(en), die an andere Ziel-Vorrichtungen ausgeben wird/werden, unterscheiden. In Schritt 330 aktualisiert die KVL den Datensatz, beispielsweise um widerzuspiegeln, dass bei der Ziel-Vorrichtung ein Rekeying erfolgreich oder erfolglos durchgeführt wurde.
  • Der Prozess geht dann weiter zu Schritt 335, wo der KVL bestimmt, ob es irgendwelche verbleibenden Ziel-Vorrichtungen gibt, die Schlüsselverwaltungsmitteilungen erhalten sollen. Falls es keine verbleibenden Ziel-Vorrichtungen gibt, ist der Prozess beendet (Schritt 340). Anderenfalls, wenn es noch verbleibende Ziel-Vorrichtungen gibt, kehrt der Prozess zu Schritt 310 zurück, wo der KVL mit einer nächsten Kandidaten-Vorrichtung verbunden wird usw. Optional wird, falls es noch verbleibende Ziel- Vorrichtungen gibt, dem Betreiber eine Mitteilung angezeigt, die darauf hinweist, wie viele oder welche der Ziel-Vorrichtungen verbleiben.
  • Falls in Schritt 315 für die Kandidaten-Vorrichtung von dem KVL bestimmt wird, dass sie keine Ziel-Vorrichtung ist, gibt der KVL keine Schlüsselverwaltungsmitteilungen an die Einheit aus (Schritt 320). Wenn beispielsweise von einem Betreiber eine Ausgabe an eine Kandidaten-Vorrichtung versucht wird, die nicht als Ziel-Vorrichtung bestimmt wurde, blockiert der KVL solch einen Versuch bei Schritt 320. Der Prozess fährt dann zu Schritt 335 fort, wo der KVL bestimmt, ob es irgendwelche verbleibenden Ziel-Vorrichtungen gibt, wie zuvor beschrieben.
  • 4 illustriert eine Schlüsselausgabevorrichtung 401 (z. B. KVL), die mit einer Schlüsselverwaltungseinrichtung (KMF) 403 verbunden ist. Bei einer Ausführungsform initiiert der KVL-Betreiber eine Übertragung von Schlüsselverwaltungsmitteilungen durch Eingeben geeigneter Befehle in den KVL 401, der infolge dessen über ein Modem 405, Standard Telefonleitungen 407 und das mit der KMF verbundene Modem 409 auf die KMF zugreift. Schlüsselverwaltungsmitteilungen, wie etwa der Datensatz von Ziel-Einheiten, Rekeying-Mitteilungen und Anweisungen wird von der KMF 403 über das Modem 409, Telefonleitungen 407 und das Modem 405 an den KVL 401 geleitet. Der KVL 401 kann dann verwendet werden, um Schlüsselverwaltungsmitteilungen an verschiedene Verschlüsselungseinheiten zu übertragen, wie zuvor beschrieben. Bei einer bevorzugten Ausführungsform werden aus Sicherheitsgründen alle zwischen der KMF 403 und der KVL 401 gesendeten Schlüsselverwaltungsmitteilungen verschlüsselt. Man wird einsehen, dass, wenn nahe Nachbarschaft vor liegt, der KVL 401 direkt mit der KMF 403 mit einem Null-Modem verbunden werden kann. Das Null-Modem ersetzt das erste Modem 409, die Telefonleitungen 407 und das zweite Modem 405 von 4.
  • 5 ist ein Flussdiagramm, welches Schritte eines Rekeying-Verfahrens illustriert, das von einer Schlüsselverwaltungseinrichtung (KMF) der in 4 gezeigten Art gemäß einer Ausführungsform der Erfindung durchgeführt werden kann. In Schritt 505 bestimmt die KMF eine oder mehrere Verschlüsselungsvorrichtungen, die Schlüsselverwaltungsmitteilungen erhalten sollen, wodurch Ziel-Verschlüsselungsvorrichtungen definiert werden. In Schritt 510 konstruiert die KMF eine oder mehrere Schlüsselverwaltungsmitteilungen für jede der Ziel-Verschlüsselungsvorrichtungen. Bei einer Ausführungsform werden die Schlüsselverwaltungsmitteilungen an der KMF verschlüsselt, was verschlüsselte ("schwarze") Schlüsselverwaltungsmitteilungen definiert. In Schritt 515 konstruiert die KMF einen Datensatz, welcher die Ziel-Verschlüsselungsvorrichtungen identifiziert und identifiziert, welche der Schlüsselverwaltungsmitteilungen an welche der Ziel-Verschlüsselungsvorrichtungen ausgegeben werden sollen.
  • Bei einer bevorzugten Ausführungsform enthält der Datensatz weiter einige Hinweise auf die Sicherheitsstufe mit der Schlüsselverwaltungsmitteilungen von dem KVL an die Ziel-Vorrichtungen ausgegeben werden sollen. In Schritt 525 bestimmt die KMF, ob irgendwelche der Mitteilungen in rotem Speichern-und-Weiterleiten-Modus ausgegeben werden sollen. Ist dies der Fall, markiert die KMF diejenigen Mitteilungen, die in rotem Speichern-und-Weiterleiten- Modus ausgegeben werden sollen, in Schritt 530 mit irgendwelchen Hin weisen auf den roten Speichern-und-Weiterleiten-Modus. Die KMF konstruiert, modifiziert oder erweitert den Datensatz, wie dies auch immer der Fall sein möge, um diejenigen Vorrichtungen zu identifizieren, die derart für roten Speichern-und-Weiterleiten-Modus markiert sind. Der Bequemlichkeit halber sollen die Hinweise auf eine rote Sicherheitsstufe im Folgenden als eine "rote" Markierung oder eine "Wartungserfordernis"-Markierung bezeichnet werden. Bei einer Ausführungsform markiert die KMF unter den Folgenden Bedingungen eine Vorrichtung mit einer roten Markierung oder einer Wartungserfordernis-Markierung, die roten Speichern-und-Weiterleiten-Modus erforderlich macht.
    • 1. Wenn die KMF zuvor versucht hatte, eine verschlüsselte Mitteilung an eine Ziel-Vorrichtung über OTAR oder Speichern-und-Weiterleiten (über den KVL) zu senden und die Vorrichtung nicht in der Lage war, die Mitteilung zu verarbeiten, weil sie nicht über den richtigen Verschlüsselungsschlüssel verfügte.
    • 2. Wenn die KMF zuvor einen auf nullsetzenden Befehl an die Ziel-Vorrichtung gesendet hatte, der die Ziel-Vorrichtung veranlasste, alle seine Schlüssel zu löschen. Dies zeigt an sich der KMF an, dass die Vorrichtung nicht in der Lage sein wird, verschlüsselte Mitteilungen zu verschlüsseln.
    • 3. Wenn eine oder mehrere Ziel-Vorrichtungen neu für die KMF-Datenbank sind, die KMF entweder weiß oder annimmt, dass diese Vorrichtungen noch nicht die erforderlichen Schlüssel und andere Sicherheitsattribute aufweisen, um die verschlüsselten Mitteilungen erfolgreich zu verarbeiten.
  • In Schritt 535 bestimmt die KMF, ob irgendwelche Mitteilungen in schwarzem Übertragung-zum-Ziel-Modus ausgegeben werden sollen. Im Allgemeinen werden jegliche Mitteilungen, die nicht für roten Speichern-und-Weiterleiten-Modus markiert sind in schwarzen Übertragung-zum-Ziel-Modus ausgegeben. Dies kann über OTAR oder über schwarzen Speichern-und-Weiterleiten-Modus erfolgen. Bei einer Ausführungsform werden die Mitteilungen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben werden sollen, nicht markiert. Optional kann in Schritt 540 die KMF eine "schwarze" Markierung für diejenigen Mitteilungen setzen, die in schwarzem Übertragung-zum-Ziel-Modus ausgegeben werden sollen, in welchem Fall die KMF den Datensatz konstruiert, modifiziert oder erweitert, wie dies der Fall sein möge, um zu identifizieren, welche Vorrichtungen für schwarzen Übertragung-zum-Ziel-Modus markiert sind. Optional können die Mitteilungen auch markiert werden, um zwischen denjenigen Mitteilungen, die über OTAR ausgegeben werden sollen und denjenigen, die mittels schwarzem Speichern-und-Weiterleiten-Modus ausgegeben werden sollen, zu unterscheiden.
  • Als nächstes kommuniziert bei Schritt 545 die KMF, nachdem die KMF die Sicherheitsstufe für die verschiedenen Mitteilungen bestimmt, geeignete Markieren gesetzt und den Datensatz konstruiert, modifiziert oder erweitert hat, den Datensatz an eine Schlüsselausgabevorrichtung (z. B. über Telefonleitung). Bei einer bevorzugten Ausführungsform wird der Datensatz in verschlüsseltem ("schwarzem") Format von der KMF an die Schlüsselausgabevorrichtung geleitet und die Schlüsselverwaltungsmitteilungen bilden einen Teil des Datensatzes. Alternativ können die Schlüsselverwaltungsmitteilungen separat von dem Datensatz ausgegeben werden. Der Datensatz und die Schlüsselverwaltungsmitteilungen können danach im Speicher der Schlüsselausgabevorrichtung, wie zuvor beschrieben, gespeichert werden. Die Schlüsselausgabevorrichtung interpretiert jegliche rote Markierung oder Wartungserfordernis-Markierung als eine Anweisung, die zugeordnete(n) Schlüsselverwaltungsmitteilung(en) in rotem Übertragung-zum-Ziel-Modus auszugeben. Die Schlüsselausgabevorrichtung interpretiert jede schwarze Markierung oder die Abwesenheit einer Markierung als eine Anweisung die zugeordnete(n) Schlüsselverwaltungsmitteilung(en) in schwarzem Speichern-und-Weiterleiten-Modus auszugeben (mit Ausnahme des Falles, in dem die Mitteilungen für OTAR-Ausgabe markiert sind).
  • Bei Schritt 550 empfängt die KMF detaillierte Bestätigungen von der Schlüsselausgabevorrichtung und bestimmt, basierend auf den detaillierten Bestätigungen, ob die Mitteilungsübertragung(en) erfolgreich oder erfolglos war(en). Die detaillierten Bestätigungen enthalten von der Schlüsselausgabevorrichtung nach dem Versuch, Schlüsselverwaltungsmitteilungen an eine oder mehrere Ziel-Schlüsselvorrichtungen auszugeben, gesammelte Information. Beispielsweise kommunizieren bei einer Ausführungsform die Ziel-Verschlüsselungsvorrichtungen Mitteilungen an die Schlüsselausgabevorrichtungen, die auf Resultate des Erfolgs des Fehlschlage der versuchten Ausgabe der Schlüsselverwaltungsmitteilungen an die Ziel-Vorrichtungen hinweisen und die Schlüsselausgabevorrichtung liefert detaillierte Bestä tigungen an die KMF, die wenigstens einen Teil der entsprechenden, von den Ziel-Verschlüsselungsvorrichtungen gesammelten Mitteilungen zurückgeben.
  • Für diejenigen Mitteilungen, die nicht erfolgreich übertragen wurden, setzt die KMF eine rote Flagge bei Schritt 530, so dass der nächste Versuch in rotem Übertragung-zum-Ziel-Modus durchgeführt wird. Beispielsweise sei angenommen, dass in einer ersten Iteration des Prozesses versucht wurde, eine für ein spezielles Ziel vorgesehene Mitteilung in einem verschlüsselten (schwarzen) Übertragung-zum-Ziel-Modus (OTAR oder schwarzer Speichern-und-Weiterleiten-Modus) auszugeben. Wenn die versuchte Ausgabe erfolglos war, beispielsweise weil das vorgesehene Ziel nicht über einen geeigneten Schlüssel verfügte, um die Mitteilung zu entschlüsseln, wird dies der KMF über die detaillierten Bestätigungen berichtet. Nach Benachrichtigung bezüglich des erfolglosen Versuchs stellt die KMF die Sicherheitsstufe auf rot, setzt die rote Übertragungsmarkierung bei Schritt 530 und modifiziert den Datensatz entsprechend. Der modifizierte Datensatz wird in Schritt 545 an den KVL kommuniziert. Der KVL interpretiert dadurch die rote Markierung als eine Anweisung, die Ziel-Verschlüsselungsvorrichtung in rotem Speichern-und-Weiterleiten-Modus zu aktualisieren.
  • Für diejenigen Mitteilungen, die erfolgreich übertragen wurden, fährt die KMF damit fort, in Schritt 560 jegliche der Mitteilungen zugeordnete Markierungen zu löschen, so dass jegliche weiteren Aktualisierungen in verschlüsseltem "schwarzem" Modus erfolgen können, gleich ob mittels OTAR oder mittels schwarzer Speicher- und Weiterleiten-Techniken. Wenn alle Mitteilungen erfolgreich übertragen und die Markierungen gelöscht sind, endet der Prozess bis zu der Zeit, da die KMF eine weitere Iteration des Prozesses beginnt, in dem neue Ziel-Verschlüsselungsvorrichtungen definiert werden, neue Schlüsselverwaltungsmitteilungen konstruiert werden usw.
  • 6 ist ein Flussdiagramm, welches Schritte für eine anfängliche Konfiguration eines zentralisierten Schlüsselverwaltungssystems gemäß einer Ausführungsform der Erfindung identifiziert. In Schritt 605 definiert die KMF eine oder mehrere Ziel-Verschlüsselungsvorrichtungen, welche anfängliche Schlüsselverwaltungsmitteilungen erhalten sollen (z. B. Erst-Rekeying-Mitteilungen). In Schritt 610 setzt die KMF Adressierungsparameter für die anfänglichen Schlüsselverwaltungsmitteilungen. Bei einer Ausführungsform umfassen die Adressierungsparameter eine Vorgabe-Ziel-ID derjenigen Verschlüsselungsvorrichtungen, für die darauf abgezielt wird, dass sie die anfänglichen Schlüsselverwaltungsmitteilungen erhalten. Die Vorgabe-Ziel-ID wird bei einer Ausführungsform aus der entsprechenden Datensystem ID der Ziel-Vorrichtung abgeleitet, wobei angenommen wird, dass dies eine existierende, leichtverfügbare ID ist, die zwischen jeder Verschlüsselungseinheit und der Datensystem-Infrastruktur etabliert wurde, um allgemeine Datenwartung für diese Einheit zu ermöglichen. Die Datensystem-ID wird beispielsweise in ASTROTM Durch-die-Luft-Rekeying-(OTAR)-Systemen, erhältlich von Motorola, verwendet.
  • In Schritt 615 konstruiert die KMF eine oder mehrere anfängliche Schlüsselverwaltungsmitteilungen (z. B. anfängliche Rekeying-Mitteilungen) für die Ziel-Verschlüsselungsvorrichtungen. Bei einer Ausführungsform umfassen die anfänglichen Schlüsselverwaltungsmitteilungen eine Quellen-ID der KMF und eine Ziel-ID, die gleich der Vorgabe-Ziel-ID der entsprechenden Ziel-Einheiten ist. Bei einer Ausführungsform werden die anfänglichen Schlüsselverwaltungsmitteilungen an der KMF verschlüsselt, was verschlüsselte ("schwarze") Schlüsselverwaltungsmitteilungen definiert, und mit einer roten Markierung oder Anweisung für rote Zielübermittlung versehen.
  • In Schritt 620 kommuniziert die KMF einen Datensatz mit den anfänglichen Schlüsselverwaltungsmitteilungen an den KVL (z. B. mittels Telefonleitung 407). Bei einer bevorzugten Ausführungsform identifiziert der Datensatz die Ziel-Verschlüsselungsvorrichtungen, die den Ziel-Vorrichtungen zugeordneten Adressierungsparameter, identifiziert, welche der anfänglichen Schlüsselverwaltungsmitteilungen an welche der Ziel-Verschlüsselungsvorrichtungen ausgegeben werden sollen und auch die Sicherheitsstufe, die für die Ausgabe verwendet werden soll. Der Datensatz und die Schlüsselverwaltungsmitteilungen können danach im Speicher des KVL gespeichert werden. Bei einer bevorzugten Ausführungsform hängt der KVL in Schritt 625 den anfänglichen Schlüsselverwaltungsmitteilungen systemweite Parameter an, welche erweiterte Mitteilungen definieren, die in dem Speicher des KVL gespeichert werden können. Die systemweiten Parameter können beispielsweise Programmierungsmitteilungen an die Verschlüsselungseinheit enthalten, welche die KMF-ID als die gültige Quellen-ID für Rekeying-Mitteilungen etablieren und/oder die Mitteilungsanzahlzähler etablieren. Die systemweiten Parameter werden bei einer Ausführungsform bei dem KVL konstruiert. Alternativ können die systemweiten Parameter bei der KMF konstruiert und zusammen mit den Schlüsselverwaltungsmitteilungen und/oder dem Datensatz an den KVL weitergeleitet werden.
  • In Schritt 630 wird der KVL wirksam mit einer Kandidaten-Verschlüsselungsvorrichtung verbunden (z. B. mittels Kabel oder drahtloser Verbindung). In Schritt 635 bestimmt der KVL, ob die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung ist, d. h., ob sie eine anfängliche Schlüsselverwaltungsmitteilung erhalten soll. Bei einer Ausführungsform wird dies von dem KVL durchgeführt, in dem dieser zunächst eine Identität (z. B. numerische Einheits-ID) der Kandidaten-Vorrichtung bestimmt und dann die Einheits-ID der Kandidaten-Vorrichtung mit den in dem Datensatz gespeicherten Vorgabe-Einheits-IDs der Ziel-Vorrichtungen vergleicht. Der KVL bestimmt, dass die Kandidaten-Verschlüsselungsvorrichtung eine Ziel-Verschlüsselungsvorrichtung ist, falls die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung mit einer in dem Datensatz identifizierten Vorgabe-Einheits-ID einer Ziel-Verschlüsselungsvorrichtung übereinstimmt. Umgekehrt bestimmt der KVL, dass die Kandidaten-Verschlüsselungsvorrichtung keine Ziel-Verschlüsselungsvorrichtung ist, falls die Einheits-ID der Kandidaten-Verschlüsselungsvorrichtung nicht mit einer in dem Datensatz identifizierten Vorgabe-Einheits-ID einer Ziel-Verschlüsselungsvorrichtung übereinstimmt.
  • Falls in Schritt 635 von dem KVL für die Kandidatenvorrichtung bestimmt wurde, dass sie eine Ziel-Vorrichtung ist, gibt der KVL die erweiterten anfänglichen Schlüsselverwaltungsmitteilungen (d. h. einschließlich anfänglicher Schlüsselverwaltungsmitteilungen und systemweiter Parameter) an die Einheit aus (Schritt 645). Bei einer Ausführungsform werden die anfänglichen Schlüsselverwaltungsmit teilungen mit einer roten Markierung oder Zielübermittlungsanweisung versehen, was den KVL veranlasst, die Mitteilungen zu entschlüsseln und unverschlüsselte ("rote") Schlüsselverwaltungsmitteilungen an das vorgesehene Ziel auszugeben. Die rote Zielübermittlungsanweisung kann eine direkte oder indirekte Anweisung enthalten, wie unter Bezugnahme auf 2 beschrieben. Die Ziel-Vorrichtung kann eine oder mehrere anfängliche Schlüsselverwaltungsmitteilungen erhalten und jede Mitteilung kann eine oder mehrere Rekeying-Mitteilungen enthalten. Auch kann/können sich die anfängliche(n) Schlüsselverwaltungsmitteilung(en), die an die Ziel-Vorrichtung ausgegeben wird/werden von der/den anfänglichen Schlüsselverwaltungsmitteilung(en) unterscheiden, die an andere Ziel-Vorrichtungen ausgegeben wurde(n) oder noch ausgegeben werden soll(en).
  • In Schritt 650 sammelt der KVL Informationen von den Ziel-Vorrichtungen, beispielsweise hinsichtlich des Erfolgs oder Fehlschlags einer versuchten Ausgabe von Schlüsselverwaltungsmitteilungen an die Ziel-Vorrichtungen und aktualisiert den Datensatz, beispielsweise um wiederzuspiegeln, dass bei der Ziel-Vorrichtung ein Rekeying erfolgreich oder erfolglos durchgeführt wurde. Optional kann der KVL die von den Zielvorrichtungen gesammelte Information oder einen Teil davon an die KMF in Form detaillierter Bestätigungen weiterleiten, wie unter Bezugnahme auf 5 beschrieben (Schritt 545).
  • In Schritt 655 bestimmt der KVL, ob es irgendwelche verbleibenden Ziel-Vorrichtungen gibt, die anfängliche Schlüsselverwaltungsmitteilungen empfangen sollen. Wenn es keine verbleibenden Ziel-Vorrichtungen gibt ist der Prozess beendet (Schritt 660). Anderenfalls kehrt, falls es noch verbleibende Ziel-Vorrichtungen gibt, der Prozess zu Schritt 630 zurück, wo der KVL mit der nächsten Kandidaten-Vorrichtung verbunden wird, usw. Optional wird, wenn es noch verbleibende Ziel-Vorrichtungen gibt, dem Betreiber eine Mitteilung angezeigt, die darauf hinweist, wie viele oder welche der Ziel-Vorrichtungen verbleiben. Bei einer Ausführungsform werden, nachdem die Ausgabe der Erst-Schlüsselverwaltungsmitteilungen beendet ist, jegliche weiteren Schlüsselverwaltungsmitteilungen bei der KMF konstruiert und an den KVL ausgegeben, wie unter Bezugnahme auf 5 beschrieben, und von dem KVL an die Ziel-Vorrichtungen ausgegeben, wie unter Bezugnahme auf 3 beschrieben.
  • Wenn in Schritt 635 von dem KVL für die Kandidaten-Vorrichtung bestimmt wird, dass sie keine Vorrichtung ist, für die darauf abgezielt wird, dass sie anfängliche Schlüsselverwaltungsmitteilungen erhält, gibt der KVL keine erweiterten anfänglichen Schlüsselverwaltungsmitteilungen an die Einheit aus (Schritt 640). Wenn beispielsweise von einem Betreiber eine Ausgabe von Erst-Rekeying-Mitteilungen an eine Kandidaten-Vorrichtung versucht wird, welche nicht als eine Ziel-Vorrichtung bestimmt wurde, blockiert der KVL solch einen Versuch bei Schritt 640. Der Prozess fährt dann fort zu Schritt 655, wo der KVL bestimmt, ob es irgendwelche verbleibenden Ziel-Vorrichtungen gibt, wie zuvor beschrieben.
  • Die vorliegende Offenbarung identifiziert daher ein Schlüsselverwaltungssystem, dass entweder in einem laufenden manuellen Rekeying-Schema oder bei anfänglichem Set Up oder Fehlerkorrektur eines zentralisierten Schlüsselverwaltungssystems anwendbar ist, und dass die dem Betreiber der Schlüsselausgabevorrichtung bei der Durchführung einer Rekeying-Aktivität auferlegte Belastung reduziert. Das System verhindert, dass der Betreiber unabsichtlich bei einer Verschlüsselungsvorrichtung, bei der kein Rekeying durchgeführt werden sollte, ein Rekeying durchführt, verhindert, dass der Betreiber die falschen Schlüssel in eine bestimmte Verschlüsselungsvorrichtung lädt und sorgt für automatische Dokumentation des Erfolgs oder des Fehlschlags einer Rekeying-Aktivität. Das System unterstützt sowohl verschlüsselte ("schwarze Zielübermittlung") und unverschlüsselte ("rote Zielübermittlung") Modi zur Ausgabe von Rekeying-Mitteilungen, sorgt für die Einstellung der Sicherheitsstufe von schwarzer Zielübermittlung (mittels OTAR oder schwarzem Speichern-und-Weiterleiten) zu rotem Speichern-und-Weiterleiten, wo angemessen, um Vorrichtungen zu aktualisieren, die nicht in der Lage sind, Schlüsselverwaltungsmitteilungen, die in schwarzem Übertragung-zum-Ziel-Modus gesendet wurden, zu verarbeiten, und unterstützt den Set Up eines zentralisierten Schlüsselverwaltungssystems ohne manuelles Programmieren von Quellen- und Ziel-IDs in verschiedene Verschlüsselungseinheiten.

Claims (6)

  1. Schlüsselverwaltungsverfahren, welches in einem Kommunikationssystem, umfassend eine Schlüsselverwaltungseinrichtung (403) eine Schlüsselausgabevorrichtung (101, 401) und eine Anzahl von Verschlüsselungsvorrichtungen (103) durchzuführen ist, wobei das Verfahren die Schritte umfasst wirksam Verbinden (310) der Schlüsselausgabevorrichtung mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen; Bestimmen, welche der Kandidaten-Verschlüsselungsvorrichtungen, Ziel-Verschlüsselungsvorrichtungen sind; und Ausgeben, von der Schlüsselausgabevorrichtung, eines oder mehrerer Schlüssel an diejenigen Kandidaten-Verschlüsselungsvorrichtungen, für welche bestimmt wurde, dass sie Ziel-Verschlüsselungsvorrichtungen sind; und durch die Schritte gekennzeichnet ist: Empfangen (über 201), mittels der Schlüsselausgabevorrichtung von der Schlüsselverwaltungseinrichtung, einer oder mehrerer Schlüsselverwaltungsmitteilungen, umfassend einen Hinweis auf entsprechende Ziel-Verschlüsselungsvorrichtungen, welche eine oder mehrere Schlüsselverwaltungsmitteilungen erhalten sollen; Bestimmen (315), mittels der Schlüsselausgabevorrichtung beim Verbinden mit einer oder mehreren Kandidaten-Verschlüsselungsvorrichtungen, welche der Kandidaten-Verschlüsselungsvorrichtungen Ziel-Verschlüsselungsvorrichtungen für die Schlüsselverwaltungsmitteilungen sind; und Ausgeben (325), von der Schlüsselausgabevorrichtung, einer oder mehrerer der Schlüsselverwaltungsmitteilungen an die Kandidaten-Verschlüsselungsvorrichtungen, für die von der Schlüsselausgabevorrichtung bestimmt wurde, dass sie Ziel-Verschlüsselungsvorrichtungen für die Schlüsselverwaltungsmitteilungen sind.
  2. Verfahren nach Anspruch 1 und weiter umfassend den Schritt des Anzeigens (mittels 211A), durch die Schlüsselausgabevorrichtung bei einer erfolgreichen Ausgabe einer Schlüsselverwaltungsmitteilung an eine Ziel-Verschlüsselungsvorrichtung, einer Mitteilung, welche auf die erfolgreiche Ausgabe der Schlüsselverwaltungsmitteilung an die Ziel-Verschlüsselungsvorrichtung hinweist.
  3. Verfahren nach Anspruch 1 oder Anspruch 2 und weiter umfassend den Schritt des Anzeigens, durch die Schlüsselausgabevorrichtung bei einer erfolglosen Ausgabe einer Schlüsselverwaltungsmitteilung an eine Ziel-Verschlüsselungsvorrichtung, einer Mitteilung, welche auf die erfolglose Ausgabe einer Schlüsselverwaltungsmitteilung an die Ziel-Verschlüsselungsvorrichtung hinweist.
  4. Verfahren gemäß einem der vorangehenden Ansprüche und wobei die Schlüsselausgabevorrichtung ein Schlüsselvariablen-Lader (101) umfasst.
  5. Verfahren nach einem der vorangehenden Ansprüche und wobei der Schritt des Empfangens einer oder mehrerer Schlüsselverwaltungsmitteilungen ein Empfangen (620) einer verschlüsselten Schlüsselverwaltungsmitteilung, welche in einem "roten" Übertragung-zum-Ziel-Modus ausgegeben werden soll, umfasst, wobei das Verfahren umfasst: Entschlüsseln der verschlüsselten Schlüsselverwaltungsmitteilung, was eine unverschlüsselte Schlüsselverwaltungsmitteilung ergibt, welche einen Zielbestimmungsidentifikator enthält; und Ausgeben der unverschlüsselten Schlüsselverwaltungsmitteilung an eine Zielkommunikationsvorrichtung, welche dem Zielbestimmungsidentifikator entspricht.
  6. Verfahren nach einem der vorangehenden Ansprüche und wobei der Schritt des Empfangens einer oder mehrerer Schlüsselverwaltungsmitteilungen ein Empfangen (620) einer verschlüsselten Schlüsselverwaltungsmitteilung, die in einem "schwarzen" Übertragung-zum-Ziel-Modus ausgegeben werden soll, umfasst, wobei das Verfahren umfasst: Bestimmen eines der verschlüsselten Schlüsselverwaltungsmitteilung zugeordneten Zielbestimmungsidentifikators; und Ausgeben der verschlüsselten Schlüsselverwaltungsmitteilung an eine Zielkommunikationsvorrichtung, welche dem Zielbestimmungsidentifikator entspricht.
DE60013151T 1999-08-31 2000-08-25 Verfahren zur schlüsselverwaltung für sichere kommunikationssysteme Expired - Lifetime DE60013151T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US38754699A 1999-08-31 1999-08-31
US387546 1999-08-31
US58784500A 2000-06-06 2000-06-06
US587845 2000-06-06
PCT/US2000/023397 WO2001017160A1 (en) 1999-08-31 2000-08-25 Key management methods for secure communication systems

Publications (2)

Publication Number Publication Date
DE60013151D1 DE60013151D1 (de) 2004-09-23
DE60013151T2 true DE60013151T2 (de) 2005-01-20

Family

ID=27011924

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60013151T Expired - Lifetime DE60013151T2 (de) 1999-08-31 2000-08-25 Verfahren zur schlüsselverwaltung für sichere kommunikationssysteme

Country Status (6)

Country Link
EP (1) EP1214811B1 (de)
AT (1) ATE274266T1 (de)
AU (1) AU767180B2 (de)
DE (1) DE60013151T2 (de)
ES (1) ES2222922T3 (de)
WO (1) WO2001017160A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007062160A1 (de) * 2007-12-21 2009-06-25 Hella Kgaa Hueck & Co. Verfahren zum Aktualisieren von Programmen und/oder Programmierungsdaten in Steuergeräten von Kraftfahrzeugen

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MXPA02003988A (es) * 1999-10-22 2002-12-13 Motorola Inc Protocolo de comunicaciones para sistemas de comunicaciones secretos.
US7225161B2 (en) 2001-12-21 2007-05-29 Schlumberger Omnes, Inc. Method and system for initializing a key management system
US7251635B2 (en) * 2002-02-25 2007-07-31 Schlumberger Omnes, Inc. Method and apparatus for managing a key management system
DE10305730B4 (de) * 2003-02-12 2005-04-07 Deutsche Post Ag Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
FR2901938A1 (fr) * 2006-06-06 2007-12-07 Thales Sa Procede et dispositif de transmission de donnees en clair a travers une ressource cryptographique sans canal clair
CN115589289B (zh) * 2022-09-29 2023-06-23 北京神州安付科技股份有限公司 一种服务器密码机业务处理方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4613901A (en) * 1983-05-27 1986-09-23 M/A-Com Linkabit, Inc. Signal encryption and distribution system for controlling scrambling and selective remote descrambling of television signals
US5404403A (en) * 1990-09-17 1995-04-04 Motorola, Inc. Key management in encryption systems
US5093860A (en) * 1990-09-27 1992-03-03 Motorola, Inc. Key management system
US5164986A (en) * 1991-02-27 1992-11-17 Motorola, Inc. Formation of rekey messages in a communication system
US5471532A (en) * 1994-02-15 1995-11-28 Motorola, Inc. Method of rekeying roaming communication units
US5586185A (en) * 1994-03-15 1996-12-17 Mita Industrial Co., Ltd. Communications system capable of communicating encrypted information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007062160A1 (de) * 2007-12-21 2009-06-25 Hella Kgaa Hueck & Co. Verfahren zum Aktualisieren von Programmen und/oder Programmierungsdaten in Steuergeräten von Kraftfahrzeugen

Also Published As

Publication number Publication date
AU7333200A (en) 2001-03-26
ATE274266T1 (de) 2004-09-15
EP1214811A1 (de) 2002-06-19
ES2222922T3 (es) 2005-02-16
EP1214811B1 (de) 2004-08-18
EP1214811A4 (de) 2003-01-08
DE60013151D1 (de) 2004-09-23
WO2001017160A1 (en) 2001-03-08
AU767180B2 (en) 2003-11-06

Similar Documents

Publication Publication Date Title
DE102006030767B4 (de) Verfahren, Transponder und System zum sicheren Datenaustausch
AT506344B1 (de) Verfahren und vorrichtung zur steuerung der zutrittskontrolle
DE60026872T2 (de) Informationsübertragungssystem und verfahren
DE69518199T2 (de) Sicheres Datenübertragungsverfahren
DE60001290T2 (de) Rückgewinnung eines Geheimschlüssels oder einer anderen geheimen Information
EP2528362B1 (de) Wechsel von subskriptionsdaten in einem identifizierungsmodul
EP1336937A1 (de) Zutrittskontrollsystem, Zutrittskontrollverfahren und dafur geeignete Vorrichtungen
DE4423209C2 (de) Verfahren zum Durchführen einer Punkt-zu-Punkt-Kommunikation bei abhörsicheren Kommunikationssystemen
DE69528818T2 (de) Verfahren zur automatischen zuweisung einer verschlüsselungsinformation zu einer gruppe von funkgeräten
EP2289016B1 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
EP0811739B1 (de) Vorrichtung und Verfahren zur Prüfung der Nutzungsberechtigung für Zugangskontrolleinrichtungen, insbesondere Schliesseinrichtungen für Fahrzeuge
DE102014007329A1 (de) Einrichtung und Verfahren zum Absichern von Baken
DE112014004322T5 (de) System und Verfahren zum Initialisieren und Steuern von Schlössern
DE60013151T2 (de) Verfahren zur schlüsselverwaltung für sichere kommunikationssysteme
DE60203041T2 (de) Verfahren und vorrichtung zum beglaubigen einer transaktion
EP2528363A2 (de) Wechsel der Subskription in einem Identifizierungsmodul
DE69610868T2 (de) Funkrufeinheit
EP3567555B1 (de) Verfahren zum bedienen eines zugangssystems
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP3941099A1 (de) Übertragung von verschlüsselten nachrichten in einem funksystem
DE102018209690A1 (de) Verfahren zum Einrichten eines Kommunikationskanals zwischen einem Datengerät und einem Endgerät eines Benutzers
EP1751904B1 (de) Verfahren und vorrichtung zur ansteuerung eines mobilfunkendgerätes, insbesondere in einem drahtlos-modul oder -terminal, mit rückübertragung von verwendeten steuerbefehlen
DE112022005189T5 (de) Kommunikationssystem, Lizenzmanagementsystem, mobiles Endgerät, Kommunikationsverfahren, Kommunikationsprogramm für ein mobiles Endgerät und Steuervorrichtung
EP1610516B1 (de) Verfahren und Vorrichtungen zur Verbreitung einer Nachricht über ein Broadcast-Netz
EP2933769A1 (de) Transaktionsverfahren

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1214811

Country of ref document: EP

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH