JP2018516019A - ネットワークにおいて秘密又は鍵を生成するための方法 - Google Patents

ネットワークにおいて秘密又は鍵を生成するための方法 Download PDF

Info

Publication number
JP2018516019A
JP2018516019A JP2017560802A JP2017560802A JP2018516019A JP 2018516019 A JP2018516019 A JP 2018516019A JP 2017560802 A JP2017560802 A JP 2017560802A JP 2017560802 A JP2017560802 A JP 2017560802A JP 2018516019 A JP2018516019 A JP 2018516019A
Authority
JP
Japan
Prior art keywords
value
subscriber
subscriber unit
sequence
transmission channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2017560802A
Other languages
English (en)
Inventor
ロートシュパイヒ ティモ
ロートシュパイヒ ティモ
ミュラー アンドレアス
ミュラー アンドレアス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2018516019A publication Critical patent/JP2018516019A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワークにおいて秘密又は鍵を生成するための方法が提案される。ネットワークは、少なくとも、第1の加入者装置及び第2の加入者装置を、少なくとも第1の加入者装置と第2の加入者装置との間の共通の伝送チャネルと共に有している。第1の加入者装置は、少なくとも、第1の値及び第2の値を伝送チャネルに出力することができ、第1の加入者装置は、第1の加入者装置数値列を、第2の加入者装置は、第2の加入者装置数値列を、伝送チャネルにおいて相互に十分に同期して伝送し、第1の加入者装置は、第1の加入者装置数値列に関する情報に基づいて、及び、第1の加入者装置数値列と第2の加入者装置数値列との重畳の結果として生じた、伝送チャネルにおける重畳数値列に基づいて、第2の加入者装置は、第2の加入者装置数値列に関する情報に基づいて、及び、第1の加入者装置数値列と第2の加入者装置数値列との重畳の結果として生じた、伝送チャネルにおける重畳数値列に基づいて、それぞれ、共通の秘密又は共通の鍵を生成する。特定の間隔で又は検出された重畳数値列に依存して、少なくとも、第1の加入者装置が、第1の加入者装置数値列以外に、少なくとも1つの補充値を伝送チャネルに出力するか、又は、第2の加入者装置が、第2の加入者装置数値列以外に、少なくとも1つの補充値を伝送チャネルに出力し、それによって、伝送チャネルにおいてエッジ切替ないし値切替を行う。

Description

本発明は、ネットワークにおいて秘密ないし秘密暗号鍵を生成するための方法に関し、特にネットワークの2つの加入者装置に対して共通秘密鍵を生成するための方法に関する。ポイント・ツー・ポイント接続も、一般的に、ネットワークに含まれるので、本明細書ではこの概念も同様に議論の対象とする。ネットワークでは、2つの加入者装置が、共通して利用される伝送媒体を介して通信を行う。その場合、論理ビット列(ないしより一般的には:数値列)が、相応の伝送方法によって、信号ないし信号列として物理的に伝送される。基礎を成す通信システムは、例えばCANバスであってよい。この通信システムでは、ドミナントビット及びリセッシブビットないし相応のドミナント信号及びリセッシブ信号の伝送が予定されており、この場合、ネットワークの加入者装置のドミナント信号ないしドミナントビットは、リセッシブ信号ないしリセッシブビットに対して優勢である。リセッシブ信号に対応する状態は、伝送媒体において、関与するすべての加入者装置がリセッシブ信号の伝送を予定しているか、又は、同時に送信を行うすべての加入者装置がリセッシブな信号レベルを伝送する場合にのみ生じる。
従来技術
種々の装置間の安全な通信は、ネットワーク化が益々進んでいる世界において一層重要になっており、また多くの適用分野において、アクセプタンスにとっての本質的な前提を表しており、したがって、対応する用途の経済上の成果を表している。このことは、用途に応じて、種々の保護目的を含んでおり、例えば伝送すべきデータの機密の保持、関与するノードの相互的な認証又はデータの完全性の保証を含んでいる。
この保護目的を達成するために、通常の場合、適切な暗号方式が使用される。それらの暗号方式を、一般的に2つの異なるカテゴリに分類することができる:一方は、送信器及び受信器が同一の共通鍵を有している対称方式であり、他方は、送信器が伝送すべきデータを受信器の公開鍵(即ち潜在的な攻撃者にも場合によっては知られる鍵)を用いて暗号化するが、しかしながら、復号化は、理想的には受信器しか知らない、所属の秘密鍵でしか行えない非対称方式である。
特に非対称方式は、通常の場合、計算複雑性が非常に高いという欠点を有している。したがって、それらの非対称方式は、リソースが限定されているノード、例えばセンサ、アクチュエータ等には制限的にしか適していない。そのようなリソースが限定されているノードは、通常の場合、比較的低い計算能力及び容量の少ないメモリしか有しておらず、例えばバッテリ運転又は環境発電(エナジーハーベスティング)の使用に基づいてエネルギ効率良く動作すべきものである。さらにデータ伝送のために制限的な帯域幅しか提供されないことが多く、このことが、2,048ビット以上の長さを有する非対称鍵の交換の関心を低くしている。
これに対して対称方式においては、受信器も送信器も同一の鍵を有していることが保証されていなければならない。この場合、付随する鍵管理は、一般的に非常に要求の多いタスクを表している。移動無線の分野では、鍵が例えばSIMカードを用いて携帯電話に導入され、またその場合、所属のネットワークは、SIMカードの一義的な識別子に、相応の鍵を対応付けることができる。これに対して無線LANの場合には、通常の場合、使用すべき鍵の手動の入力(通常はパスワードの入力)がネットワークの装置において行われる。もっともそのような鍵管理は、例えばセンサネットワーク又はその他のマシン・ツー・マシン通信システムにおいて、例えばやはりCANベースの車両ネットワークにおいて、非常に多数のノードが存在する場合には、即座に非常に煩雑かつ非現実的になる。さらに、使用すべき鍵を何度も変更することは、そもそも不可能であるか、又は、非常に大きな手間を伴うことでしか実現されない。
現行の暗号方式を用いる、例えば自動車ネットワークにおける、不正操作に対するセンサデータの保護方法及びトランザクション認証の保証は、例えば独国特許出願公開第102009002396号明細書(DE102009002396A1)及び独国特許出願公開第102009045133号明細書(DE102009045133A1)において公開されている。
また数年来、「物理層セキュリティ」というキーワードのもとで、新手のアプローチが研究及び開発されており、それらのアプローチによって、対称方式のための鍵を、内在しているノード間の伝送チャネルの物理的な特性を基礎として、自動的に生成することができる。その際、それらの伝送チャネルの相互性及び内在的なランダム性が利用される。もっとも、特に有線式又は光学式のシステムでは、このアプローチは、制限的にしか適していないことが多い。何故ならば、相応のチャネルは通常の場合、非常に時限的な変動性しか有しておらず、攻撃者は例えばモデル形成によって、比較的容易に、送信器と受信器との間のチャネルパラメータを推測することができる。接続されているユニットのチャネル特性を基礎とする、分散型システム内の保護された通信のためのこのような方法は、例えば、事前公開されていない特許明細書である独国特許出願公開第102014208975号明細書(DE102014208975A1)及び独特特許出願公開第102014209042号明細書(DE102014209042A1)に記載されている。
コントローラ・エリア・ネットワーク(CAN:Controller Area Network)及びCAN−FDにおけるビットスタッフィングのための方法は、例えば独国特許出願公開第102011080476号明細書(DE102011080476A1)において見て取れる。
事前公開されていない独国特許出願公開第102015207220号明細書(DE102015207220A1)には、2つの通信加入者装置間の公開されたディスカッションによって、共通の秘密ないし秘密対称鍵を生成するための方法が公開されている。
独国特許出願公開第102009002396号明細書 独国特許出願公開第102009045133号明細書 独国特許出願公開第102014208975号明細書 独特特許出願公開第102014209042号明細書 独国特許出願公開第102011080476号明細書 独国特許出願公開第102015207220号明細書
発明の開示
独立請求項に記載の、秘密ないし暗号鍵を生成するための方法は、手動による干渉を一切必要とせず、したがって、2つのノード間の安全な通信関係ないし通信コネクションの自動化された確立を実現する。さらに本方法は、特に、必要とされるハードウェア設計に関して、例えば所要メモリリソース及び計算能力に関して複雑性が非常に低く、それに伴い所要エネルギも低く、かつ、所要時間も短い。さらに本方法は、非常に高い鍵生成率を提供すると同時に、非常に低い誤り率も提供する。
この場合、本方法は、ネットワーク内の加入者装置が通信チャネルを介して相互に通信を行うことを前提とする。その際、加入者装置は、特に論理的な数値列(バイナリのロジックの場合にはビット列)を、物理的な信号を用いて伝送チャネルにおいて伝送する。信号によって、伝送チャネルにおいて、即ち物理的なレベルにおいて、場合によっては重畳が行われる場合であっても、以下の本明細書においては、優先的に論理的なレベルを考察する。したがって、伝送される論理的な数値列及びそれらの数値列の論理的な重畳が考察される。
したがって、ネットワークの加入者装置は、第1の信号(例えば論理ビット「1」に対応付けられている)及び第2の信号(例えば論理ビット「0」に対応付けられている)を通信チャネルに供給することができ、結果として生じた信号を通信チャネルにおいて検出することができる。ここで2つの加入者装置が(十分)同時にそれぞれ信号列を伝送する場合、加入者装置はそれらの信号列から生じた重畳を通信チャネルにおいて検出することができる。2つの(独立した)信号の(十分に)同時の伝送の結果として生じた、通信チャネルにおける実際の信号を、ここでもまた(1つ又は複数の)特定の論理的な(1つ又は複数の)値に対応付けることができる。
この際、信号列の個々の信号の重畳が伝送媒体において行われ、特に、第1の加入者装置のn番目の論理値ないし論理ビットに応じた信号が、第2の加入者装置のn番目の論理値ないし論理ビットに応じた信号と少なくとも部分的に重畳する場合には、伝送が十分に同期されていなければならない。この重畳はその都度、加入者装置が重畳を検出できるか、又は、相応の重畳値を求めることができるには十分な長さであることが望ましい。
この場合、重畳を調停メカニズム又は物理的な信号重畳によって特定することができる。調停メカニズムとは、例えば、一方のノードがリセッシブレベルを生じさせようとしているが、しかしながら、バスにおいてはドミナントレベルを検出し、したがって、伝送を見送る場合を指している。この場合、2つの信号の物理的な重畳は行われず、伝送チャネルにおいてはドミナント信号だけが見て取れる。
重畳の結果として生じた数値列及び固有の数値列から、加入者装置は、部外者である攻撃者に対して秘密である鍵を生成することができる。その根拠は、例えば共通して利用される伝送媒体に供給される実際のすべての信号を盗聴する可能性がある、部外者である攻撃者が、数値列の重畳だけは見られるが、しかしながら、加入者装置の個々の数値列に関する情報は取得できないということにある。これによって、加入者装置は、攻撃者に対して秘密の鍵を生成するために利用することができる情報をより多く有している。
上述の方法が特定のシステムにおいて、例えばCANにおいて、付加的な措置を講じることなく使用される場合には、同じビットないし同じ信号レベルの比較的長いシーケンスが共通して利用される伝送媒体(例えばCANバス)に現れることになる可能性がある。これによってやはり、ビットスタッフィングエラー及び/又は同期損失がもたらされる可能性があり、このことは場合によっては、別のノードに対して、特別なエラーメッセージ(「エラー・フレーム」)を送信し、プロセスを中断することを指示する。これを回避するために、しかしながら、それにもかかわらず、今日既に使用されているトランシーバ及びコントローラと十分に互換性があるようにするために、鍵生成のための上述の方法を、ビットスタッフィングエラー及び/又は同期損失が阻止され、したがって、この鍵確立方法の、既に今日使用されている標準的なコンポーネントとの互換性を高めるように拡張することが提案される。
このために、鍵生成に関与する加入者装置が、自身の加入者装置数値列以外に、即ちこの加入者装置数値列に付加的に、少なくとも1つの補充値を共通の伝送チャネルに出力し、その結果、エッジ切替ないし値切替(例えば、バイナリシステムでは0から1又は1から0へのビット切替)を生じさせることが提案される。これを、加入者装置のうちの一方によってのみ行うことができる。しかしながら、1つの好適な構成においては、2つの加入者装置によって、補充値が十分に同期して伝送チャネルに出力され、その結果、補充値の重畳信号からエッジ切替ないし値切替が生じる。
この際、補充値は、所定の間隔で(即ち特に、数値列の個々の数値の所定の個数後に)、又は、検出された重畳数値列に依存して伝送チャネルに出力される。
1つの好適な構成においては、所定の個数の同じ値を有する伝送数値列を加入者装置がそれぞれ検出した場合には、加入者装置は補充値を伝送チャネルに出力する。この場合、補充値は、特に、検出された同じ値を反転したものである。スタッフビットないし補充値は、一般的に通信プロトコルのオーバーヘッドを高め、したがって、鍵確立の効率を低下させるので、有利には、そのような補充値は、数値の繰り返しが実際に所定数を上回った場合にのみ行われる。このことが、本発明では重畳列に基づいて検出される。
これに関して、加入者装置がそのような状態にある場合には、補充値を、重畳数値列において同じ値を複数回検出した直後に、伝送チャネルに出力することができる。このヴァリエーションにおいては、検出すべき個数を、同じ値の許容最大数と同数にセットすることができるので、補充値は実際には、必要となった場合にのみ挿入される。そうでない場合には、補充値を、数値の繰り返しの回数を検出するために、所定の間隔で挿入することもでき、この場合、その回数は相応に、最大数よりも低くなるように選択されるべきである。これによって、確かに、より高いオーバーヘッドが生じるが、もっとも本方法は、(特に加入者装置のためのハードウェア要求に関して)要求が低く、より信頼性の高いものになると考えられる。
加入者装置によって常に固定の予め定められた間隔で複数の補充値が挿入され、特に伝送チャネルにおいて所定の個数の値が検出された後に複数の補充値が挿入されるが、それらの補充値が同一の値である必要はない代替的な実施の形態は、より簡単に実施することができ、したがって、既存の通信システム及び加入者装置のハードウェアと特に互換性がある。この場合には、特に、既に値切替ないしエッジ切替を含んでいる2つの補充値が挿入される(例えば、2つの加入者装置によってビット列01が挿入されるか、又は、2つの加入者装置によってビット列10が挿入される)。
特に有利には、本方法を、1つの加入者装置だけがドミナント値を伝送チャネルに供給する場合には優勢となるドミナント値(物理的:ドミナント信号)と、2つの加入者装置ないしすべての加入者装置がリセッシブ値を伝送する場合にのみ伝送チャネルに生じるリセッシブ値(物理的:リセッシブ信号)と、が存在するネットワークにおいて使用することができる。これによって明確に設定される重畳規則に基づいて、そのようなネットワークの加入者装置は、結果として生じた重畳列から、非常に簡単に、鍵生成のための情報を導出することができる。選択的に、加入者装置のうちの少なくとも一方からのリセッシブ値の伝送を、数値列のその個所では何も伝送されないか、又は、少なくとも2つの考えられる値のうちの1つとして伝送されないことに置き換えることもできる。
加入者装置によって十分に同時に伝送チャネルに出力される加入者装置数値列は、予め各加入者装置自体において、乱数発生器又は擬似乱数発生器を用いて生成される。結果として生じた重畳列は、伝送チャネルにおいて、潜在的な攻撃者に入手される可能性があるので、攻撃者が加入者装置の個々の数値列を推測することが可能な限り困難であれば、即ち個々の数値列が加入者装置において局所的に、また、ランダムに又は少なくとも擬似ランダムに生成されるのであれば、後続の通信の安全性にとって特に有利である。
上述の方法は、CANバスシステム、TTCANバスシステム又はCAN−FDバスシステムにおいて、特に良好に使用することができる。この場合、リセッシブバスレベルが、ドミナントバスレベルによって排除される。したがって、加入者装置の値ないし信号レベルの重畳は、加入者装置が重畳された値ないし信号及び加入者装置から伝送される値ないし信号から情報を導出するために利用することができる所定の規則に従う。LIN及びI2Cのような別の通信システムについても、本方法は良好に適している。
しかしながら、代替的に、本方法は、例えばオンオフ変調/振幅偏移変調を用いるネットワークにおいても使用することができる。ここでもまた、加入者装置には信号として「伝送する」及び「伝送しない」が選択に供され、2つの加入者装置のうちの一方又は両方が伝送を行う場合には、伝送信号が信号「伝送する」に対応することによって、また、2つの加入者装置のいずれも伝送を行わない場合に、伝送信号が信号「伝送しない」に対応することによって、重畳が規定される。
本方法を、ネットワーク内の2つの加入者装置について説明したが、既にネットワークの1つの加入者装置によって、固有の信号列と、その信号列の、第2の加入者装置の信号列との重畳と、から秘密鍵が導出されることも考えられる。このために、ネットワーク、又は、ネットワークの加入者装置は、それらが相応の方法のステップを実行する計算リソース及びメモリリソースを有しているように構成されている。そのような加入者装置の記憶媒体においては、又は、ネットワークの分散メモリリソースにおいては、加入者装置又はネットワークにおいて実行されると、相応の方法のすべてのステップを実行するように構成されているコンピュータプログラムも格納することができる。
以下では、添付の図面を参照しながら、複数の実施例に基づいて、本発明を詳細に説明する。
基礎を成す例示的な通信システムの構造を概略的に示す。 基礎を成す通信システムの一例としての線形のバスを概略的に示す。 ネットワークの2つの加入者装置の例示的な信号列、及び、加入者装置間の伝送チャネルにおける、結果として生じた重畳数値列を示す。 ネットワークの2つの加入者装置間での鍵生成のための例示的な方法の経過を概略的に示す。
実施例の詳細な説明
本発明は、共通して利用される媒体(ネットワークの伝送チャネル)を介して相互に通信を行う、通信システムの2つのノード(ネットワークの加入者装置)間の共通の秘密ないし(秘密)対称暗号鍵を生成するための方法に関する。この際、暗号鍵の生成ないしネゴシエーションは、2つの加入者装置間の公開されたデータ交換を基礎としており、しかしながら、それにもかかわらず、攻撃者として盗聴する可能性がある第三者にとって、生成された鍵を推測することは不可能であるか、又は、極めて困難である。したがって、本発明によって、ネットワークの2つの異なる加入者装置間で、完全に自動的に、確実に対応する対称暗号鍵を確立することができ、それに基づいて、特定のセキュリティ機能を、例えばデータ暗号化を実現することができる。さらに詳細に説明するように、このために先ず、鍵生成に使用することができる共通の秘密が確立される。しかしながら、基本的には、そのような共通の秘密を、暗号鍵とは異なる目的のために、より狭義の意味において例えばワンタイムパッドとして利用することもできる。
本発明は、有線式又は無線式、及び、光学式の多数のネットワークないし通信システムに適しており、特に種々の加入者装置が線形のバスを介して相互に通信を行い、またこのバスへのメディアアクセスがビット毎のバス調停によって行われるネットワークないし通信システムにも適している。この原理は、例えば、広く普及しているCANバスの基礎を表している。それに応じて、本発明の考えられる使用分野には、特にCANベースの車両ネットワーク及びオートメーション技術におけるCANベースのネットワークも含まれる。
本発明は、ネットワークにおいて、又は、特にネットワークの2つのノード間で、自動的に対称暗号鍵を生成することができるアプローチを説明する。この生成は、相応のトランスポート層の特性を利用して行われる。しかしながら、これに関して、「物理層セキュリティ」の現行のアプローチにおける評価とは異なり、伝送チャネルの物理的なパラメータ、例えば伝送電力等は評価されない。むしろ、そのために、関与するノード間での公開されたデータ交換が行われているが、このデータ交換は、通信システム及び/又は使用される変調方法の特性によって、盗聴する可能性がある攻撃者に、そのデータ交換からネゴシエートされた鍵を推測させないか、又は、十分に推測させない。
以下では、図1に抽象的に示されているような配置構成を考察する。この配置構成において、種々の加入者装置2、3及び4は、いわゆる共有伝送媒体(「shared medium」)10を介して相互に通信を行うことができる。本発明の1つの有利な実現形態においては、この共有伝送媒体は、図2に例示的に示されているような(有線式又は光学式の)線形のバス30に対応する。図2におけるネットワーク20は、まさにそのような共有伝送媒体(例えば有線式の伝送チャネル)としての線形のバス30と、加入者装置ないしノード21、22及び23と、(オプションとしての)バス端子31及び32と、から構成されている。
以下では、種々のノード21、22及び23間で行われる通信に関して、その通信がドミナント値及びリセッシブ値の区別によって特徴付けられていることを前提とする。この例では、考えられる値として、ビット「0」及びビット「1」を想定する。この場合、ドミナントビット(例えば論理ビット「0」)は、同時に伝送されるリセッシブビット(例えば論理ビット「1」)を、いわば排除ないし上書きすることができる。
そのような伝送方法の一例は、いわゆるオンオフ変調(オンオフ変調/振幅偏移変調)であり、この伝送方法では、2つの伝送状態だけが区別される。つまり、一方の伝送状態(値「オン」ないし「0」)では、信号が例えば簡単な搬送信号の形態で伝送され、他方の伝送状態(値「オフ」ないし「1」)では、信号が伝送されない。この場合、状態「オン」はドミナントであり、それに対し状態「オフ」は、リセッシブである。
ドミナントビット及びリセッシブビットのこの区別をサポートする相応の通信システムに関する別の例は、例えばCANバスにおいて使用されているようなビット毎のバス調停を基礎とする(有線式又は光学式の)システムである。このシステムにおける基本的な着想の本質もまた、例えば2つのノードが同時に信号を伝送しようとしており、かつ、一方のノードが「1」を伝送し、それに対して他方のノードが「0」を送信する場合には「0」が勝者となる(即ちドミナントビットが勝者となる)ということ、つまりバスにおいて測定することができる信号レベルが論理的に「0」に相当するということである。特にCANでは、このメカニズムが起こり得る衝突を解消するために利用される。このメカニズムにおいては、各ノードが自身のCAN識別子を伝送する際にビット毎に、バスにおける信号レベルを同時に監視することによって、より優先順位の高いメッセージ(即ちより早期のドミナント信号レベルを有しているメッセージ)が優先的に伝送される。ノード自体はリセッシブビットを伝送しているが、しかしながら、バスにおいてドミナントビットが検出された場合には、対応するノードは、(より早期のドミナントビットを有している)より優先順位の高いメッセージのために、自身の伝送の試みを中断する。
ドミナントビット及びリセッシブビットの区別によって、共有伝送媒体を、種々の入力ビット(=同時に伝送されるすべてのビット)を論理的なAND関数によって相互に結合する、一種のバイナリ演算子と解することができる。
図3には、加入者装置1(T1)が、伝送チャネルを介して時点t0から時点t5までの間に送信を行うために、ビット列0、1、1、0、1をどのように準備するかが示されている。加入者装置2(T2)は、伝送チャネルを介して時点t0から時点t5までの間に送信を行うために、ビット列0、1、0、1、1を準備する。通信システムの上述の特性によって、また、この例ではビットレベル「0」がドミナントビットであることを前提として、バス(B)においては、ビット列0、1、0、0、1が見て取れることになる。時点t1とt2との間、及び、時点t4とt5との間においてのみ、加入者装置1(T1)も加入者装置2(T2)も、リセッシブビット「1」を予定しているので、その時点間においてのみ、論理的なAND結合が行われた結果、バス(B)において「1」のビットレベルが生じる。
通信システムの伝送方法のこの特性を利用して、2つの加入者装置のビット列の重畳をそれらの加入者装置が伝送媒体において検出し、この情報から、自身が送信したビット列に関する情報と合わせて、共通の(対称的な)秘密鍵を生成することによって、相応のネットワークの2つの加入者装置間で鍵生成を行うことができる。
特に好適な一実現例を、以下では図4に基づいて説明する。
対称的な鍵ペアを生成するためのプロセスは、ステップ41において、この例では関与する2つのノード(加入者装置1及び加入者装置2)のうちの一方によって開始される。これを、例えば、特別なメッセージないし特別なメッセージヘッダの送信によって行うことができる。
加入者装置1も加入者装置2も、ステップ42において、先ず局所的に(即ち内部的に相互に独立して)ビットシーケンスを生成する。特に、このビット列は、本方法の結果としての所望の共通鍵の長さよりも少なくとも2倍、特に少なくとも3倍の長さである。ビット列は、特に、ランダムビット列として、又は、擬似ランダムビット列として、例えば適切な乱数発生器又は擬似乱数発生器を用いて、その都度生成される。
20ビットの長さの局所的なビット列の例:
・生成された加入者装置1のビットシーケンス:
T1=01001101110010110010
・生成された加入者装置2のビットシーケンス:
T2=10010001101101001011
ステップ43においては、加入者装置1及び加入者装置2が、相互に(十分に)同期して、その都度生成した自身のビットシーケンスを、共有伝送媒体を介して(上記において既に説明したような、ドミナントビット及びリセッシブビットを用いる伝送方法を使用して)伝送する。その際、相応の伝送を同期するための種々の可能性が考えられる。つまり例えば、加入者装置1又は加入者装置2が先ず、適切な同期メッセージをそれぞれの他方のノードに送信し、そのメッセージの完全な伝送に続く所定の期間後に、本来のビットシーケンスの伝送を開始することが考えられる。しかしながら、同様に、2つのノードのうちの一方によって、適切なメッセージヘッダ(例えば、調停フィールド及び制御フィールドから成るCANヘッダ)のみが伝送され、所属のペイロードフェーズの間に、2つのノードが同時に、生成した自身のビットシーケンスを(十分に)同期して伝送することも考えられる。例えば、相応のメッセージの(最大限の)大きさが必要になる場合には、本方法の1つのヴァリエーションにおいて、ステップ42において生成された加入者装置のビットシーケンスを、ステップ43において、複数のメッセージに分割して伝送することができる。このヴァリエーションにおいても、他方の加入者装置の、相応数の相応の大きさのメッセージに分割されたビットシーケンスの伝送は、ここでもまた(十分に)同期して行われる。
共有伝送媒体においては、2つのビットシーケンスが重畳され、この際、ドミナントビット及びリセッシブビットの区別を用いる、事前に要求されたシステムの特性に基づいて、加入者装置1及び加入者装置2の個々のビットが重畳され、前述の例では事実上のAND結合が行われる。これによって、伝送チャネルにおいては相応の重畳が生じ、この重畳されたビットを、例えば盗聴する第3の加入者装置が検出する可能性がある。
上述の局所的なビット列の重畳ビット列の例:
・伝送チャネルにおける実際のビットシーケンス:
eff=ST1 AND ST2=00000001100000000010
加入者装置1も加入者装置2も、ステップ43において自身のビットシーケンスを伝送している間に、並行して行われるステップ44において、実際の(重畳された)ビットシーケンスSeffを共有伝送媒体において検出する。CANバスの例では、このことは、慣例のシステムにおいても、調停フェーズの間に一般的にいずれにせよ行われている。
このことは、「オンオフ変調」を用いる(無線式、有線式又は光学式の)システムに対しても相応に実現される。ここでは特に、実際の実現性にとって、(上記において既に説明したように)そのようなシステムにおいて状態「オン」がドミナントであり、状態「オフ」がリセッシブであることは有益である。したがって、ノードは、測定を行わなくても、ノード自体がドミナントビットを送信している限り、「共有媒体」における実際の状態がドミナントであることを知っている。これに対して、ノードがリセッシブビットを送信した場合には、ノードは、共有伝送媒体における状態を知ることは、差し当たり容易ではないが、もっともこの場合には、ノードは適切な測定によって、共有伝送媒体における状態がどのようであるかを特定することができる。この場合、ノード自体は送信を行わないので、したがって、いわゆる自己干渉を伴う問題も存在しない。そのような自己干渉は特に、無線式のシステムにおいては、ノード自体が送信を行う場合、煩雑なエコー補償が必要になる。
後続のステップ45においては、加入者装置1も加入者装置2も、ここでもまた(十分に)同期して自身の開始ビットシーケンスST1及びST2を伝送するが、もっともここでは反転したビットシーケンスを伝送する。相応の伝送の同期を、上記において説明したように、やはり全く同じやり方で実現することができる。共有通信媒体においては、2つのシーケンスがやはり相互にAND結合される。加入者装置1及び加入者装置2は、ここでもまた、共有伝送媒体における実際の重畳されたビットシーケンスSeffを求める。
上記のビット列の例:
・反転された加入者装置1のビットシーケンス:
T1’=10110010001101001101
・反転された加入者装置2のビットシーケンス:
T2’=01101110010010110100
・チャネルにおける実際の重畳されたビットシーケンス:
eff’=ST1’ AND ST2’=00100010000000000100
ここでもまた加入者装置1及び加入者装置2は、反転された自身のビットシーケンスの伝送中に、共有伝送媒体における、実際の重畳されたビットシーケンスを求める。したがって、この時点において、2つのノード(加入者装置1及び加入者装置2)、また場合によっては存在する、共有伝送媒体において通信を盗聴する攻撃者(例えば加入者装置3)は、実際の重畳されたビットシーケンスSeff及びSeff’を知っている。しかしながら、攻撃者ないし第3の加入者装置とは異なり、加入者装置1は、自身が最初に生成した局所的なビットシーケンスST1も知っており、また加入者装置2は、自身が最初に生成した局所的なビットシーケンスST2も知っている。しかしながら、反対に、加入者装置1は、加入者装置2が最初に生成した局所的なビットシーケンスを知らず、また加入者装置2は、加入者装置1が最初に生成した局所的なビットシーケンスを知らない。重畳ビット列の検出は、ここでもまた、ステップ46における伝送中に行われる。
この実施例のヴァリエーションの代わりに、加入者装置1及び加入者装置2は、自身の反転された局所的なビット列を、自身の本来の局所的なビット列と共に直接的に送信することができるか、又は、自身の本来の局所的なビット列の送信直後に送信することができる。即ち、ステップ45及びステップ46が、ステップ43及びステップ44と共に行われる。この場合、本来のビット列及び反転されたビット列を1つのメッセージにおいて伝送することができるが、しかしながら、部分ビット列として別個のメッセージにおいて伝送することもできる。
ステップ47においては、加入者装置1及び加入者装置2が、それぞれ局所的に(即ち内部的に)、実際の重畳されたビット列(Seff及びSeff’)を、特に論理的なOR関数を用いて結合する。
上記のビット列の例:
ges=Seff OR Seff’=00100011100000000110
OR結合の結果生じるビット列(Sges)における個々のビットは、ここで、ST1及びST2の相応のビットが同一であるか、又は、異なるかを表している。Sges内のn番目のビットが例えば「0」である場合、このことは、ST1内のn番目のビットが、ST2内の対応するビットの反転されたビットであることを意味している。同様に、Sges内のn番目のビットが「1」である場合には、SAlice内の対応するビット及びSBob内の対応するビットは同一である。
それに続くステップ48においては、加入者装置1及び加入者装置2が、OR結合から得られたビットシーケンスSgesに基づいて、それら加入者装置1及び加入者装置2の本来の初期ビットシーケンスST1及びST2から、2つのシーケンスにおいて同一であるすべてのビットを消去する。したがって、これによって相応に短縮されたビットシーケンスが得られる。
上記のビット列の例:
・短縮された加入者装置1のビットシーケンス:
T1,V=01011100101100
・短縮された加入者装置2のビットシーケンス:
T2,V=10100011010011
結果として生じた、短縮されたビットシーケンスST1,V及びST2,Vは、ここではまさに相互に反転されている。したがって、2つの加入者装置のうちの一方は、自身の短縮されたビットシーケンスの反転によって、他方の加入者装置において既に存在しているビットシーケンスと全く同一の短縮されたビットシーケンスを求めることができる。
そのような共通して存在する、短縮されたビットシーケンスが、ステップ49において、加入者装置1及び加入者装置2のそれぞれによって、局所的に適切なやり方で処理され、所望の長さNの本来所望される鍵が生成される。ここでもまた、どのようにその処理を行うことができるかについて、多数の可能性が存在する。1つの可能性は、共通して存在する、短縮されたビットシーケンスからのNビットの選択であるが、この場合には、どのNビットが取られるべきを明確に規定しなければならず、例えば、単純にシーケンスの最初のNビットが常に選択されることによって、選択が行われる。同様に、共通して存在する、短縮されたビットシーケンスに関する、長さNのハッシュ値を提供するハッシュ関数の算出も考えられる。極めて一般的に、共通して存在する、短縮されたビットシーケンスに適用すると、長さNビットのビットシーケンスを返す、あらゆる任意の線形関数及び非線形関数を用いて処理を行うことができる。共通して存在する、短縮されたビットシーケンスから鍵を生成するメカニズムは、特に、2つの加入者装置1及び加入者装置2において同一であり、したがって、同じやり方で実施される。
鍵生成に続いて、必要に応じて、加入者装置1及び加入者装置2によって生成された鍵が実際に同一であるかをさらに検証することができる。このために、例えば、生成された鍵に関するチェックサムを算出し、そのチェックサムを加入者装置1と加入者装置2との間で交換することが考えられる。2つのチェックサムが同一でない場合には、何らかの失敗があったことが明らかになる。この場合、鍵生成のための上述の方法が繰り返されることになる。
鍵生成のための方法の上述の1つの好適なヴァリエーションにおいては、複数回の実行において、加入者装置1及び加入者装置2のもとにそれぞれ存在する、結果として生じた短縮された多数のビットシーケンスを生成することもでき、それらのビットシーケンスから本来の鍵が導出される前に、それらのビットシーケンスが単一の大きいシーケンスに組み合わされる。このことを、必要に応じて、適応的に行うこともできる。上述のプロシージャを1回行った後に、例えば共通の短縮されたビットシーケンスの長さが、例えば、所望の鍵長さNよりも短い場合には、新たな実行によって、例えばさらなるビットを本来の鍵導出の前に生成することができる。
生成された対称的な鍵ペアを、最終的に、加入者装置1及び加入者装置2によって、確立された(対称的な)暗号方式と組み合わせて、例えばデータ暗号化のための数字と組み合わせて使用することができる。
特に論理的なOR関数を用いた、2つの重畳部分数値列の結合の目的は、通信を監視する受動的な攻撃者も、その監視に基づいて容易に求めることができるビットの消去を行えるようにするということである。これについての代替案では、それらのビットを維持するが、しかしながら、そのために、先ず所望のビットよりも遙かに多くのビットを生成し(つまり例えば、128ビットの秘密又は鍵が所望される場合には、先ず300ビットを生成し)、それらのビットを最終的に、例えばハッシュ関数等を用いて、所望の長さに短縮することも考えられる。
考えられる攻撃者(例えば加入者装置3)が、加入者装置1と加入者装置2との間の公開されたデータ伝送を盗聴する可能性があり、したがって、上述したように、実際の重畳されたビット列(Seff及びSeff’)を知ることができる可能性がある。もっとも、これによっても攻撃者は、局所的に生成された加入者装置1のビットシーケンス及び局所的に生成された加入者装置2のビットシーケンスにおいて、どのビットが同一であり、どのビットが同一でないかしか分からない。さらに攻撃者が、同一のビットにおいて、そのビットが「1」であるのか「0」であるのかを確認できる可能性もある。しかしながら、結果として生じた、短縮されたビット列(したがって、鍵生成の基礎)を完全に知るために、攻撃者は、同一でないビットに関する情報を得ることができない。攻撃者が考えられる攻撃を行うことをさらに困難にするために、1つの好適なヴァリエーションにおいては、局所的に生成された加入者装置1の本来のビット列及び局所的に生成された加入者装置2の本来のビット列における同一のビット値が付加的に消去される。これによって、加入者装置3は、鍵生成にもはや使用されない情報しか入手できない。加入者装置3は、確かに、相応に短縮されたビット列が、加入者装置1の局所的なビット列と加入者装置2の局所的なビット列との間で異なるビットから明らかになることを知っている。しかしながら、加入者装置1及び加入者装置2がそれぞれどのビットを送信したかは知らない。
加入者装置1及び加入者装置2は、重畳された総ビット列に関する情報に加えて、さらにそれらの加入者装置1及び加入者装置2から送信された、局所的に生成されたビット列に関する情報も有している。公開されたデータ伝送しか追跡できない加入者装置3に対する情報の優位性から、加入者装置1及び加入者装置2において生成された鍵は、データ伝送が公開されているにもかかわらず、基礎として秘密のままであるという事実に至る。
鍵生成のための上述の方法によって、加入者装置1及び加入者装置2が同時に伝送を行った際に、同一のビット又は信号レベルの比較的長いシーケンスが実際に伝送チャネルにおいて現れる場合がある。このことは、2つの加入者装置が先ず相互に独立してランダムなビットシーケンスを生成するが、しかしながら、チャネルにおいては、その都度、それらのビットシーケンスの1つの重畳しか実際に現れないことに原因がある。これは例えば、ドミナントビット0及びリセッシブビット1を想定して、AND結合によって組み合わされたビットシーケンスの場合であると考えられる。2つの加入者装置は、それぞれ他方の加入者装置のランダムに生成されたビットシーケンスを知らないので、差し当たり、実際のビットシーケンスが、連続する同一のビットを含んでいるほぼ任意の長さのサブシーケンスを有していることが常に起こり得る。このことはやはり、標準的なハードウェア及び標準的なソフトウェアが使用されている特定の通信システムにおいて問題になる可能性がある。この問題を以下では、CANを例にして模範的に詳細に説明する。
CANプロトコルでは、同値のビットがN=5回連続した場合に、相補的な値を有するいわゆる「スタッフビット」を、本来伝送すべきビットシーケンスに挿入されなければならないことが規定されている。スタッフビットは、受信器において自動的に再び除去される。即ち、それらの「スタッフビット」は、情報ビットではなく、以下の背後関係を有している:
1)同値のビットがN=5回以上連続しているビット列は、制御の目的で(例えば「エンド・オブ・フレーム」指示又は「エラー・フレーム」として)使用され、したがって、そのようなシーケンスが本来の情報部分において現れることが保証されなければならない。
2)CANは、CANメッセージを伝送するために、非ゼロ復帰(NRZ:Non−Return−to−Zero)コーディングを使用する。但し、これは、異なるノードにおいて完全には同期されていないクロックに起因する同期損失を助長し、したがって、ハードウェアに対する要求(例えば局部発振器に対する要求)を低く維持できるようにするために、CANメッセージの伝送中ないし受信中に、時間的な事後同期を実施しなければならない。「スタッフビット」の挿入によって、遅くとも、同値のビットがN=5回連続した後に、エッジ切替が行われ、このエッジの切替をそのような事後同期のために使用することができる。
CANにおける「ビットスタッフ規則」違反があった場合、この違反を発見したすべての加入者装置は、即座に「エラー・フラグ」(=ドミナントビットが6回以上連続する)を伝送し、それによって、プロセスを中断することを試みる。このことはやはり、上記において簡単に概略を述べた方法を用いる、対称暗号鍵の確立の成功を妨げる。
したがって、以下では、上述の方法の拡張形態を紹介する。それらの拡張形態によって、ビットスタッフィングエラーを回避することができ、その結果、例えばCANの場合に、そのようなエラーに起因する「エラー・フラグ」がその他のノードから送信されることはなくなる。またそれと同時に、通信システムの加入者装置による規則的で時間的な事後同期が実現され、したがって、同期エラーの確率を低減できることを保証することができる。通信システムの種類及びタイプに応じて、両方の態様が重要になるか、又は、それらのうちの一方のみが重要になると考えられる。
適切な「スタッフビット」の挿入によって、連続するN個以上のビットが同一の値を有することが回避されるべきである。もっとも、このことは個々の加入者装置に関する伝送規則によって、その他の加入者装置に依存せずに行うことはできない。何故ならば、上述の方法においては、重畳数値列の相応のエッジ切替ないし値切替が重要になるからである。このために、種々の可能性が提案される。
第1の好適な構成においては、第1の加入者装置及び第2の加入者装置が、鍵生成のための上述の方法において、ステップ43におけるランダムなビットシーケンスの同期伝送中に、いずれにせよ、それに並行して行われるステップ44において、実際の信号レベル(ないし実際のビットシーケンス)を共通して利用される伝送媒体において常に検出することが利用される。ここでノードが、伝送媒体における実際のビット値がN回連続して同一であることを確認すると、2つのノードは次のビットとして、N回連続して現れた実際のビットを反転したスタッフビットを送信する。したがって、従来のビットスタッフィングとの決定的な相異は、スタッフビットを挿入しなければならないかの判定が、根本的に固有のメッセージないしビット列に依存するのではなく、共通して利用される伝送媒体における実際のビット列にのみ依存するということである。同一のことが、送信されるべきスタッフビットの値についても当てはまる。
例:
加入者装置1のランダムな初期(局所的に生成された)ビット列:
011010110110101
加入者装置2のランダムな初期(局所的に生成された)ビット列:
010100001111011
スタッフビットを含まない個々のシーケンスを論理的なAND結合した際の伝送媒体における実際のビットシーケンス:
010000000110001
したがって、(例えばCANの場合のように)N=5では、伝送媒体における実際のビット値「0」が7回連続して現れているので、スタッフィングエラーが存在することになる。
これに対して、第1の実施例による、上記において提案したアプローチを用いれば、以下のビットシーケンスが実際に伝送媒体において現れることになる:
010000000110001
この場合、消去されるビットは、加入者装置1及び加入者装置2が共通の伝送媒体においてビット「0」を5回検出した後に、加入者装置1によっても加入者装置2によっても挿入及び送信された、付加的に挿入されたスタッフビットである。したがって、実際に送信されるAlice及びBobのビットシーケンスは、この例では以下のようになる:
実際に送信される加入者装置1のビット列:
011010110110101
実際に送信される加入者装置2のビット列:
010100001111011
即ち、上述のランダムに局所的に生成された、加入者装置1及び加入者装置2の初期ビット列と比較すると、相応のスタッフビット(ここでは:1)が8番目の位置に挿入されている。
第2の好適な構成においては、多くの通信システムでは、ビットの検出も後続のビットの伝送の準備も、実現形態によってはある程度の時間を要し、したがって、十分高速な反応が状況によっては不可能なことから、同一のビットがN回連続するシーケンスを伝送媒体において検出した直後に(上記において述べたように)スタッフビットを挿入することが、加入者装置にとって場合によっては(例えば、廉価で単純なハードウェアの使用に起因して)困難になることが考慮される。そのようなケースでは、第1の実施例のアプローチを以下のように適合させることができる。即ち、連続するN−M(1≦M≦N−2)個の同一の実際のビットを、共通して利用される伝送媒体において既に検出した後に、スタッフビットの挿入が準備されるが、しかしながら、このスタッフビットは、連続する(少なくとも)N−M個の同一のビットのシーケンスの最初のビットの検出からカウントし始めてN個のビットが伝送された後に初めて実際に送信されるように、第1の実施例のアプローチを適合させることができる。
1つの特にロバストなヴァリエーションにおいては、この準備されたスタッフビット自体が、N−M個の同一のビット後かつスタッフビットの伝送前に、(実際の)ビット切替が共通の伝送媒体において行われたときに送信されるので、したがって、スタッフィングエラーは本来的に存在しない(何故ならばこの場合には、スタッフビットがなくとも、N個以上の同一のビットはもはや伝送媒体に現れないからである)。これによって、(スタッフィングエラーが生じない)有効なビットシーケンスも得られるが、もっともこの場合には、(ここでは本来的に必要ない)スタッフビットに起因して、より大きいオーバーヘッドを伴う。
例(N=5、M=2):
先ず、最初に生成された加入者装置1及び加入者装置2のビットシーケンスが、第1の実施の形態のヴァリエーションについての例におけるビットシーケンスと同じであることを前提とする。即ち:
加入者装置1のランダムな初期(局所的に生成された)ビット列:
011010110110101
加入者装置2のランダムな初期(局所的に生成された)ビット列:
010100001111011
スタッフビットを含まない個々のシーケンスを論理的なAND結合した際の伝送媒体における実際のビットシーケンス:
010000000110001
しかしながら、伝送時に、AliceもBobも、5個のビットを伝送した後、連続するN−M=3個の同一のビットが共通して利用される伝送媒体において形成されていることを検出し、続いて8番目の位置における(値「1」を有する)スタッフビットの挿入が準備される。
したがって、Alice及びBobから実際に伝送されるビットシーケンスは(上記と同様に)以下のようになる:
実際に送信される加入者装置1のビット列:
011010110110101
実際に送信される加入者装置2のビット列:
010100001111011
これによって、実際に伝送媒体に現れるビット列は以下のようになる:
010000000110001
消去されるビットは、この場合においてもやはり、加入者装置1及び加入者装置2が共通の伝送媒体において、5個のビットに続いて、ビット「0」を3回検出した後に、加入者装置1によっても加入者装置2によっても挿入及び送信された、付加的に挿入されたスタッフビットである。したがって、ここでもまた、ビットスタッフィングエラーはもはや発生せず(但し、N=5)、上述の例における結果と全く同じ結果が得られることになる。もっとも加入者装置1も加入者装置2も、スタッフビットの挿入ないし伝送を準備するためにより多くの時間を要することになる。
第3の好適な実施例による、スタッフィングエラー及び/又は同期損失を回避するための方法は、本来の情報ビットに依存しない、即ち加入者装置のビット列に依存せずかつ検出された重畳ビット列に依存しない、ビット切替ないしエッジ切替の周期的な強制である。この周期的な強制を、加入者装置1も加入者装置2も、K個(但し、K<N)の情報ビット(=本来的にランダムに生成されたビット)の伝送後に常に2つのスタッフビットを挿入し、それら2つのスタッフビットによって重畳時にビット切替ないしエッジ切替が行われるように構成することができる。CANのような特定の通信システムにおいては、このために、2つのスタッフビットが既にビット切替を含むことができ、例えばビット列「01」又は「10」を含むことができるので、重畳の結果、同様にビット列「01」又は「10」が得られる。これら2つの考えられるケースのいずれのビット列が挿入されるかは、加入者装置1も加入者装置2も常に同一のビット列を挿入することが保証されている限り、この例において重要なことではない。
この実施の形態のヴァリエーションは、比較的高いオーバーヘッドを生じさせるが、もっとも非常にロバストでコストを掛けずに実現することができ、また、既存の標準的なコンポーネントを用いても特に良好に実施することができる。
例(N=5、K=4):
先ず、最初に生成された加入者装置1及び加入者装置2のビットシーケンスが、第1及び第2の実施の形態のヴァリエーションについての例におけるビットシーケンスと同じであることを前提とする。即ち:
加入者装置1のランダムな初期(局所的に生成された)ビット列:
011010110110101
加入者装置2のランダムな初期(局所的に生成された)ビット列:
010100001111011
スタッフビットを含まない個々のシーケンスを論理的なAND結合した際の伝送媒体における実際のビットシーケンス:
010000000110001
もっともここでは、K=4個のビット後に、加入者装置1によっても加入者装置2によっても、情報ビットに依存せずに、ビット列「01」が常に挿入される。したがって、実際に伝送されることになる加入者装置1及び加入者装置2のビットシーケンスは以下のようになる:
実際に伝送されることになる加入者装置1のビット列:
011001101101011001101
実際に伝送されることになる加入者装置2のビット列:
010101000001111101011
したがって、共通の伝送媒体においては以下の実際のビット列が生じる:
010001000001011001001
したがって、この場合においても、スタッフィングエラーは発生しない(但し、N=5)。
上述のアプローチのいずれが使用されるかに関係なく、スタッフビット自体は、特に、受信器側において破棄される。それらのスタッフビットは特に、対称暗号鍵の生成のための基礎として一緒に使用されず、それによって、鍵生成時に非ランダムな構造が考慮されることによる鍵の脆弱化が阻止される。
本方法の上述の実施の形態を、代替的な構成では、補充値(スタッフビット)が2つの加入者装置から共通の伝送媒体に出力されるのではなく、2つの加入者装置のうちの一方だけから補充値が生成及び出力されるように変更することができる。この方法は、加入者装置がこの数値列を介して相互に事後同期することができるという利点を有している。この代替形態に関して、特に、加入者装置のうちの一方が、補充値の伝送について特定される。その加入者装置は、例えば、鍵生成を開始する加入者装置であってもよいし、(例えばコンフィギュレーションによって)事前に特定された加入者装置であってもよい。他方の加入者装置は、補充値を検出し、その補充値に基づいて、例えば同期情報を取得することができる。特に、少なくとも1つの補充値に基づいて、その加入者装置のクロックの、別の加入者装置のクロックに対して起こり得る時間的なずれを検出することができ、また求められたこのずれに基づいて、その加入者装置のクロックの事後同期を行うことができる。
紹介した上記の方法は、ビットトランスポート層の特性を利用して2つのノード間で対称暗号鍵を生成するためのアプローチを表している。このアプローチは、有線式の通信システム及び光学式の通信システムが「オンオフ変調」ないしビット毎のバス調停をサポートする限りは(例えばCAN、TTCAN、CAN−FD、LIN、I2C)、それらの通信システムに特に適している。しかしながら、無線式の(無線ベースの)通信システムにおいても、特に、送信器と受信器との間の距離が非常に短い通信システムにおいても、また場合によっては直接的な見通し内伝播においても、このアプローチを使用することができる。
基本的に、ドミナントビット及びリセッシブビットの区別を(上記において説明したように)実現するあらゆる通信システムが使用に適している。したがって、本明細書で説明した方法を、無線式、有線式及び光学式の多数の通信システムに使用することができる。上述のアプローチは、マシン・ツー・マシン通信にとって、即ち一般的には非常に制限的なリソースしか有しておらず、また場合によっては、活動領域における手動でのコンフィギュレーションを、是認できる手間では実現できない種々のセンサ、アクチュエータ等の間でのデータの伝送にとって特に興味深いものである。
別の使用可能性は、例えばホームオートメーション及びビルオートメーション、遠隔医療、カー・ツー・エックス(Car−to−X)システム又は工業オートメーション技術に存在している。また、無線インタフェースを備えた将来の小型センサにおける使用、CANバスのすべての適用分野、即ち特に車両ネットワーク化又はオートメーション技術における使用も特に興味深いものである。

Claims (21)

  1. ネットワーク(20)において秘密又は鍵を生成するための方法であって、
    前記ネットワーク(30)は、少なくとも、第1の加入者装置(21)及び第2の加入者装置(22)を、少なくとも当該第1の加入者装置(21)と当該第2の加入者装置(22)との間の共通の伝送チャネル(30)と共に有しており、
    前記第1の加入者装置(21)は、少なくとも、第1の値(1)及び第2の値(0)を前記伝送チャネル(30)に出力することができ、前記第2の加入者装置(22)は、少なくとも、前記第1の値(1)及び前記第2の値(0)を前記伝送チャネル(30)に出力することができ、
    前記第1の加入者装置(21)は、第1の加入者装置数値列を、前記第2の加入者装置(22)は、第2の加入者装置数値列を、前記伝送チャネル(30)において相互に十分に同期して伝送し、
    前記第1の加入者装置(21)は、前記第1の加入者装置数値列に関する情報に基づいて、及び、前記第1の加入者装置数値列と前記第2の加入者装置数値列との重畳の結果として生じた、前記伝送チャネル(30)における重畳数値列に基づいて、前記第2の加入者装置(22)は、前記第2の加入者装置数値列に関する情報に基づいて、及び、前記第1の加入者装置数値列と前記第2の加入者装置数値列との重畳の結果として生じた、前記伝送チャネル(30)における重畳数値列に基づいて、それぞれ、共通の秘密又は共通の鍵を生成する、方法において、
    特定の間隔で又は検出された重畳数値列に依存して、少なくとも、前記第1の加入者装置(21)が、前記第1の加入者装置数値列以外に、少なくとも1つの補充値を前記伝送チャネル(30)に出力するか、又は、前記第2の加入者装置(22)が、前記第2の加入者装置数値列以外に、少なくとも1つの補充値を前記伝送チャネル(30)に出力し、それによって、前記伝送チャネル(30)においてエッジ切替ないし値切替を行うことを特徴とする、方法。
  2. 前記第1の加入者装置(21)及び前記第2の加入者装置(22)のうちの一方の加入者装置だけが、前記補充値を前記伝送チャネル(30)に出力し、
    前記第1の加入者装置(21)及び前記第2の加入者装置(22)の他方の加入者装置が、前記補充値を検出する、請求項1に記載の方法。
  3. 前記他方の加入者装置が、前記検出された補充値に基づいて同期情報を求める、請求項2に記載の方法。
  4. 前記第1の加入者装置(21)が、前記第1の加入者装置数値列以外に、少なくとも1つの第1の補充値を前記伝送チャネルに出力し、前記第2の加入者装置(22)が、これに十分に同期して、前記第2の加入者装置数値列以外に、少なくとも1つの第2の補充値を前記伝送チャネルに出力し、その結果、前記少なくとも1つの第1の補充値と前記少なくとも1つの第2の補充値との重畳によって、前記伝送チャネルにおいてエッジ切替ないし値切替を行う、請求項1に記載の方法。
  5. 少なくとも、前記第1の加入者装置(21)又は前記第2の加入者装置(22)が、同一の値を所定の個数だけ含んでいる重畳数値列を検出した場合には、少なくとも、前記第1の加入者装置(21)又は前記第2の加入者装置(22)が、前記補充値を前記伝送チャネル(33)に出力する、請求項1から4までのいずれか1項に記載の方法。
  6. 同一の値を所定の個数だけ含んでいる重畳数値列を検出すると即座に、前記補充値を直接的に次の値として前記伝送チャネル(30)に出力する、請求項5に記載の方法。
  7. 同一の値を所定の個数だけ含んでいる重畳数値列を検出した後に、前記補充値を、数値の所定の個数分だけ遅延させて前記伝送チャネル(30)に出力する、請求項5に記載の方法。
  8. 前記補充値は、前記検出された同一の値を反転したものである、請求項5から7までのいずれか1項に記載の方法。
  9. 前記補充値を、固定の所定の間隔で、特に前記チャネルに出力された前記加入者装置数値列の数値の所定の個数後に、前記伝送チャネル(30)に出力する、請求項7に記載の方法。
  10. 少なくとも2つの補充値を前記伝送チャネル(30)に出力する、請求項1から9までのいずれか1項に記載の方法。
  11. 前記2つの補充値は、値切替を含む、請求項10に記載の方法。
  12. 前記第1の加入者装置(21)も前記第2の加入者装置(22)も、前記伝送チャネル(30)を介して前記第1の値(0)を伝送する場合には、前記伝送チャネル(30)に前記第1の値(0)に対応する状態が生じ、前記第1の加入者装置(21)若しくは前記第2の加入者装置(22)、又は、第1の加入者装置(21)及び前記第2の加入者装置(22)の両方が、前記伝送チャネル(30)を介して前記第2の値を伝送する場合には、前記伝送チャネル(30)に前記第2の値(1)に対応する状態が生じる、請求項1から11までのいずれか1項に記載の方法。
  13. 前記第1の加入者装置数値列を、前記第1の加入者装置(21)において、前記第2の加入者装置数値列を、前記第2の加入者装置(22)において、局所的に、特に乱数発生器又は擬似乱数発生器を用いて生成する、請求項1から12までのいずれか1項に記載の方法。
  14. 前記少なくとも1つの第1の補充値及び前記少なくとも1つの第2の補充値を、前記共通の秘密又は前記共通の鍵の生成に使用しない、請求項1から13までのいずれか1項に記載の方法。
  15. ネットワーク(20)の第1の加入者装置(21)において秘密又は鍵を生成するための方法であって、
    前記第1の加入者装置(21)は、伝送チャネル(30)を介して、前記ネットワーク(20)の少なくとも1つの第2の加入者装置(22)から情報を受信し、前記第2の加入者装置(22)に情報を伝送するように構成されており、
    前記第1の加入者装置(21)は、少なくとも、第1の値及び第2の値を前記伝送チャネル(30)に出力し、当該第1の値及び当該第2の値を前記伝送チャネル(30)において検出できるように構成されており、
    前記第1の加入者装置(21)は、第1の加入者装置数値列を、前記第2の加入者装置(22)による前記伝送チャネル(30)における第2の加入者装置数値列の伝送に十分に同期して伝送し、
    前記第1の加入者装置(21)は、前記第1の加入者装置数値列に関する情報に基づいて、及び、前記第1の加入者装置数値列と前記第2の加入者装置数値列との重畳の結果として前記伝送チャネル(30)において生じた重畳数値列に基づいて、秘密又は鍵を生成する、方法において、
    特定の間隔で又は検出された重畳数値列に依存して、前記第1の加入者装置(21)が、前記第1の加入者装置数値列以外に、少なくとも1つの補充値を前記伝送チャネル(30)に出力し、それによって、前記伝送チャネルにおいてエッジ切替ないし値切替を行うことを特徴とする、方法。
  16. 前記ネットワーク(20)は、CANバスシステム、TTCANバスシステム、CAN−FDバスシステム、LINバスシステム、又は、I2Cバスシステムであり、
    前記第1の値(1)は、リセッシブバスレベルであり、
    前記第2の値(0)は、ドミナントバスレベルである、請求項1から15までのいずれか1項に記載の方法。
  17. 前記ネットワーク(20)において、データ伝送のためのオンオフ変調/振幅偏移変調が予定されている、請求項1から15までのいずれか1項に記載の方法。
  18. 少なくとも、第1の加入者装置(21)と、第2の加入者装置(22)と、当該第1の加入者装置(21)が当該第2の加入者装置(22)と通信することができる伝送チャネル(30)と、を含んでいるネットワーク(20)において、
    当該ネットワーク(20)は、請求項1から17までのいずれか1項に記載の方法のすべてのステップを実施する手段を含んでいることを特徴とする、ネットワーク(20)。
  19. ネットワーク(20)における加入者装置(21)として、請求項15に記載の方法のすべてのステップを実施するように構成されている装置。
  20. 請求項1から17までのいずれか1項に記載の方法のうちの1つのすべてのステップを実施するために構成されているコンピュータプログラム。
  21. 請求項20に記載のコンピュータプログラムが記憶されている機械読み出し可能な記憶媒体。
JP2017560802A 2015-05-22 2016-04-13 ネットワークにおいて秘密又は鍵を生成するための方法 Withdrawn JP2018516019A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102015209496.0A DE102015209496A1 (de) 2015-05-22 2015-05-22 Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE102015209496.0 2015-05-22
PCT/EP2016/058103 WO2016188667A1 (de) 2015-05-22 2016-04-13 Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk

Publications (1)

Publication Number Publication Date
JP2018516019A true JP2018516019A (ja) 2018-06-14

Family

ID=55754267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017560802A Withdrawn JP2018516019A (ja) 2015-05-22 2016-04-13 ネットワークにおいて秘密又は鍵を生成するための方法

Country Status (7)

Country Link
US (1) US10841085B2 (ja)
EP (1) EP3298721A1 (ja)
JP (1) JP2018516019A (ja)
KR (1) KR20180009753A (ja)
CN (1) CN107624229B (ja)
DE (1) DE102015209496A1 (ja)
WO (1) WO2016188667A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112018003506T5 (de) * 2017-08-29 2020-04-02 Robert Bosch Gmbh Verfahren und Systeme zur linearen Schlüsselvereinbarung mit Forward Secrecy unter Verwendung eines unsicheren gemeinsam genutzten Kommunikationsmediums
CN110730067B (zh) * 2019-09-06 2021-10-19 深圳开源互联网安全技术有限公司 密钥生成方法、装置、计算机可读存储介质及终端设备

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050195975A1 (en) * 2003-01-21 2005-09-08 Kevin Kawakita Digital media distribution cryptography using media ticket smart cards
KR20070101097A (ko) * 2006-04-10 2007-10-16 삼성전자주식회사 전송 프레임을 생성하는 방법 및 장치 및 전송 프레임을처리하는 방법 및 장치
CN101287277B (zh) * 2007-04-13 2012-07-25 华为技术有限公司 一种为无线个域网中的用户终端提供业务的方法及系统
US20090103726A1 (en) * 2007-10-18 2009-04-23 Nabeel Ahmed Dual-mode variable key length cryptography system
DE102009002396A1 (de) 2009-04-15 2010-10-21 Robert Bosch Gmbh Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu
DE102009045133A1 (de) 2009-09-29 2011-03-31 Robert Bosch Gmbh Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu
CN101873212B (zh) * 2010-06-09 2012-04-18 中国农业大学 门限秘密信息分配、还原装置及方法
FR2970130B1 (fr) * 2011-01-03 2013-08-30 Centre Nat Etd Spatiales Procede de decodage et decodeur
DE102011080476A1 (de) 2011-08-05 2013-02-07 Robert Bosch Gmbh Verfahren und Vorrichtung zur Verbesserung der Datenübertragungssicherheit in einer seriellen Datenübertragung mit flexibler Nachrichtengröße
DE102012215326A1 (de) * 2012-08-29 2014-03-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk
US10027476B2 (en) 2014-04-28 2018-07-17 Robert Bosch Gmbh Method for generating a secret or a key in a network
DE102014209042A1 (de) 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erzeugen eines geheimen Schlüssels
DE102014208975A1 (de) * 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk
DE102015207763A1 (de) * 2015-04-28 2016-11-03 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erzeugen eines einem ersten Knoten und einem zweiten Knoten gemeinsamen geheimen kryptografischen Schlüssels mittels mindestens eines Helferknotens

Also Published As

Publication number Publication date
US20180123786A1 (en) 2018-05-03
DE102015209496A1 (de) 2016-11-24
WO2016188667A1 (de) 2016-12-01
EP3298721A1 (de) 2018-03-28
CN107624229B (zh) 2021-03-30
KR20180009753A (ko) 2018-01-29
CN107624229A (zh) 2018-01-23
US10841085B2 (en) 2020-11-17

Similar Documents

Publication Publication Date Title
KR102312565B1 (ko) 네트워크에서 비밀 또는 키 생성 방법
US11606341B2 (en) Apparatus for use in a can system
KR101740957B1 (ko) 차량용 데이터의 인증 및 획득 방법
TWI454112B (zh) 通信網路金鑰管理
US9917692B2 (en) Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program
Mueller et al. Plug-and-secure communication for CAN
CN107836095B (zh) 用于在网络中产生秘密或密钥的方法
JP5766780B2 (ja) デバイス間暗号通信方法及びこれを用いたデータ通信方法
JP6903223B2 (ja) 非セキュアな共有通信媒体を使用する前方秘匿性を備えた線形鍵合意のための方法及びシステム
Püllen et al. Using implicit certification to efficiently establish authenticated group keys for in-vehicle networks
CN117201014A (zh) 一种密钥更新方法及相关装置
US10841085B2 (en) Method for generating a secret or a key in a network
CN113383530B (zh) 用于在网络中传输数据的方法、计算机可读存储介质和系统
CN107453863A (zh) 用于在网络中生成秘密或密钥的方法
CN108141359B (zh) 用于产生共同的秘密的方法和设备
KR20100092768A (ko) 무선 네트워크 통신 시스템에서 데이터 통신 보안을 위한 맥 프로토콜 제공 방법
CN108141358B (zh) 用于在电路装置中产生密钥的方法
CN107395339A (zh) 用于在网络中生成秘密或密钥的方法
Wieczorek et al. Towards secure fieldbus communication
CN108141361B (zh) 用于建立共同机密的方法和设备
JP3886131B2 (ja) 通信装置
GB2410656A (en) Secure delivery of encryption key by splitting it amongst messages from many sources to hinder interception
CN118784230A (zh) 融合量子密钥的数字钥匙交互方法、装置、设备及介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180109

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171121

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20180720