WO2013110253A1 - Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung - Google Patents

Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung Download PDF

Info

Publication number
WO2013110253A1
WO2013110253A1 PCT/DE2012/100398 DE2012100398W WO2013110253A1 WO 2013110253 A1 WO2013110253 A1 WO 2013110253A1 DE 2012100398 W DE2012100398 W DE 2012100398W WO 2013110253 A1 WO2013110253 A1 WO 2013110253A1
Authority
WO
WIPO (PCT)
Prior art keywords
connection
mobile devices
identification step
encrypted
exchanged
Prior art date
Application number
PCT/DE2012/100398
Other languages
English (en)
French (fr)
Inventor
Alexandra WINKLER-TEUFEL
Original Assignee
Appbyyou Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/EP2011/006560 external-priority patent/WO2013091672A1/de
Application filed by Appbyyou Gmbh filed Critical Appbyyou Gmbh
Priority to EP12826617.8A priority Critical patent/EP3245586A1/de
Priority to US14/367,384 priority patent/US20150052361A1/en
Publication of WO2013110253A1 publication Critical patent/WO2013110253A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Definitions

  • the present invention relates to a method for establishing an encrypted communication connection between two mobile devices.
  • the basic principle of any encryption is to process a message in such a way that, in contrast to a plaintext transmission, it remains unreadable for the recipient without suitable decryption means.
  • Encryption methods as such have been known for a very long time, and first encryption methods have already been attributed to Julius Caesar. This encrypted military news by carrying out a shift of the individual letters in the alphabet, which the receiver carried out in the opposite direction to get back to plain text. Since in this case the question of how many letters a displacement had taken was not the focus of attention, since a repetition of the method had the clear text at most after the 25th attempt, the actual protection of the message was to keep the procedure secret , Only because of the fact that unwanted receivers knew nothing about the encryption, it could work.
  • the present invention is based on the object to provide a method for establishing an encrypted communication connection between two mobile devices, which opens the possibility to ensure the most secure encryption of a peer-to-peer connection and at the same time map the problem of key exchange to a procedure that is as easy to handle as possible.
  • a direct data exchange to take place between the two mobile devices communicating with one another in a unique identification step, which can be carried out, for example, during a one-time meeting of the users of these mobile devices.
  • a common key is exchanged so that the realization of a symmetric encryption method is enabled.
  • an unencrypted communication connection is then first set up, with which the call participants can be identified. After an identification of the respective mobile device communicating with the other party has taken place and it has been determined that a unique identification step has taken place with this mobile device, a second communication connection is set up and the data part of the subsequently transmitted messages is encrypted with the shared key exchanged in the one-time identification step ,
  • the key code is known only to these two mobile devices, after a mutual identification it is thus possible to switch immediately to an encrypted communication connection, while the unencrypted communication connection which was used to establish the communication can then be ended again , It is also possible for peer-to-peer connections to enable secure communication, since a transmission of the key code at the beginning of the communication neither directly nor indirectly takes place.
  • the one-time identification step can take place via a wired transmission, near-field communication or via a short-range radio link.
  • the near field communication can be configured such that a mobile device generates a key code, for example in a random process, codes this key code into a two-dimensional barcode and displays it on its display, while subsequently the second mobile device scans the display of the first mobile device with its optical sensor, thus capturing the two-dimensional barcode and also obtaining the key code by decrypting the two-dimensional barcode.
  • device-related information such as unique hardware addresses and the like, can be exchanged in this identification, so that the communication possibilities are not only linked to the ownership of the key code but also to a specific mobile device.
  • it may be provided to process the two hardware addresses of the mobile devices in the common key code.
  • an unencrypted communication connection in particular a telephone connection can be established by simply calling the second mobile device, an unscrambled data connection through the Internet at an already known Internet address, or an Internet connection with the intermediary of a mediating server. In the latter case, the registration with the respective server may be required prior to establishing the appropriate connection.
  • the unencrypted communication connection is a telephone connection, it is necessary to exchange the required Internet addresses of the mobile devices for the peer-to-peer connection to be subsequently set up, so that addressing of the messages can usefully also take place.
  • the address data is either the mobile devices known directly or were passed on to the server at logon and are then provided by the server.
  • the security can be increased by the fact that one of the mobile devices forms a central node of a star-shaped communication network as the central device, while the other mobile device is connected as a peripheral device.
  • the central device can execute a program product as a native application which, after identification in the one-time identification step, generates an Internet application and makes it available for execution on the peripheral device on an Internet server.
  • this Internet application in this case already the access information and the hardware information of the second mobile device, which is used by the execution of the Internet application as a peripheral node in the star-shaped communication network, so that the Internet application can only be executed by the associated mobile device.
  • the central node can in turn be used as a switching node between a plurality of peripheral nodes in order to improve the possibilities of communication within the communication network.
  • it is intended to superpose several star-shaped communication networks in such a way that virtually every participating mobile device acts as a central device in its own star-shaped communication network.
  • FIG. 1 shows two mobile devices during a one-time identification step in a schematic representation, two mobile devices during an unencrypted communication connection in three alternative ways in a schematic representation,
  • Figure 3 shows two mobile devices during the finally encrypted communication connection in a schematic representation, as well
  • Figure 4 is a schematic representation of a coded, encrypted
  • FIG. 1 shows a first mobile device 1 and a second mobile device 2, which establish a near-field communication 3 for carrying out a first, one-time identification step for setting up an encrypted communication connection.
  • the objective of this approach is ultimately the construction of later, encrypted direct connections between the two mobile devices 1 and 2, in particular via an Internet connection, be.
  • this first one-time identification step between the mobile devices 1 and 2 access codes for mutual identification and a common key codes for establishing a symmetric encryption are exchanged, wherein the exchange can take place via a wired direct connection.
  • FIG. 2 shows the structure of the encrypted communication connection, with the conventional structure of an unencrypted communication connection initially being at the beginning of such an encrypted communication connection.
  • a connection can be established either as a server connection 4, as an unencrypted direct connection 5 or as a telephone connection 6.
  • server connection 4 both the first mobile device 1 and the second mobile device 2 will log on to a server, whereupon the server in each case forwards the address data of the mobile devices 1 and 2 to the respective other subscriber, so that subsequently the desired encrypted direct connection 7 is established can be.
  • the address location is already clear, since such a direct connection 5 can be established only at known addresses.
  • the third possibility which is to be referred to here, consists in the establishment of a telephone connection 6, for example in the form of a GSM or UMTS connection, via which the Internet addresses of the mobile devices 1 and 2 are subsequently also exchanged.
  • this first handshake access information is exchanged, which allow mutual identification of the mobile devices 1 and 2.
  • FIG. 3 shows the two mobile devices 1 and 2 after the construction of the finally desired, encrypted direct connection 7, which takes place after a mutual identification with the previously exchanged access data and using the initially exchanged key code 8.
  • Such an encrypted direct connection 7 can be used as a data connection for the transmission of files, but it is also easily possible to use such an encrypted direct connection 7 for voice-over-IP connections, for example.
  • Figure 4 shows a possible example of the coding of a message used in the invention 9.
  • Such a message 9 consists of a header 10, a pointer 1 1 and a data part with encrypted data 12, wherein the data by superimposing the key code 8, which has been changed in the one-time identification step have been changed.
  • the pointer 1 1 points to a location of the key code 8, for example, by the pointer 1 1 is a two-digit number, which points to the location of the key code 8. Beginning with this point, a number of the key code 8 is successively superimposed on the encrypted data 12 in each position, starting again from the beginning when the end of the key code 8 is reached. Due to the knowledge of the key code 8 on both sides and the transmission of the pointer 1 1, the message 9 can be decrypted again on the opposite side and thus accessed on the unencrypted messages.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten wird vorgeschlagen, die hierfür erforderlichen Identifikationsdaten und Schlüssel in einem einmaligen Identifikationsschritt auszutauschen und im Zuge des Aufbaus der eigentlichen Kommunikationsverbindung zunächst eine unverschlüsselte Verbindung zur gegenseitigen Identifizierung und daraufhin eine mit den zunächst ausgetauschten Schlüsseln verschlüsselte Verbindung aufzubauen.

Description

VERFAHREN UM AUFBAU EINER VERSCHLÜSSELTEN VERBINDUNG ZWISCHEN ZWEI KOMMUNIKA IONSGERÄTEN NACH VORHERIGEM SCHLÜSSELAUSTAUSCH ÜBER EINE KURZSTRECKENVERBINDUNG
Die vorliegende Erfindung betrifft ein Verfahren zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten.
Grundprinzip einer jeden Verschlüsselung ist es, eine Nachricht so zu bearbeiten, dass diese im Gegensatz zu einer Klartext-Übermittlung für den Empfänger ohne geeignete Entschlüsselungsmittel unlesbar bleibt. Verschlüsselungsverfahren als solche sind hierbei bereits seit sehr langer Zeit bekannt, erste Verschlüsselungs- verfahren werden bereits Julius Cäsar zugeschrieben. Dieser verschlüsselte militärische Nachrichten dadurch, dass eine Verschiebung der einzelnen Buchstaben im Alphabet durchgeführt wurde, welche der Empfänger in umgekehrter Richtung durchführte um wieder zum Klartext zu gelangen. Nachdem in diesem Falle die Frage, um wie viele Buchstaben eine Verschiebung stattgefunden hatte, nicht im Vordergrund stand, da durch eine Wiederholung des Verfahrens maximal nach dem 25. Versuch der Klartext vorlag, bestand der eigentliche Schutz der Nachricht darin, das Verfahren geheim zu halten. Lediglich aufgrund des Umstandes, dass ungewünschte Empfänger nichts über die Verschlüsselung wussten, konnte sie funktionieren.
In heutiger Zeit verhält es sich diesbezüglich anders, nachdem Informationen über verschiedene Verschlüsselungsverfahren überall frei verfügbar sind, so dass das einfache Cäsar-Verfahren mittlerweile zu den unsichersten Verfahren zählt. Vielmehr in den Vordergrund gerückt ist die Verwendung geeigneter Schlüssel, mit denen die Verschlüsselung durchgeführt wird. Die Verwendung geheimer Schlüssel sorgt dafür, dass je nach Umfang dieses Schlüssels eine Entschlüsselung nahezu unmöglich wird. Aufgrund dieses Umstandes verlagert sich die Entschlüs- selungsproblematik für einen Abhörenden weg vom Verständnis des Verschlüsselungsverfahren hin zu der Beschaffung von Informationen über den Schlüssel selbst. Auch hier kennt die Geschichte ein bekanntes Beispiel. Das Verschlüsselungssystem„Enigma", das die Deutschen im Zweiten Weltkrieg einsetzen, konnte erst durch die Erbeutung von Codebüchern und einem Verschlüsselungsapparat entschlüsselt werden, da in den Codebüchern für jeden Tag separate, einzelne Codes angegeben waren. Die Verwendung und Verteilung derartiger Codebücher muss jedoch als einerseits extrem aufwändig, andererseits wie die Geschichte zeigt auch als anfällig angesehen werden.
Insbesondere in heutigen Zeiten, da Kommunikationsverbindungen im Wesentlichen über das Internet gebildet werden, stellt eine geeignete Verschlüsselung vertraulicher Daten den Anwender vor einige Herausforderungen. Es sind Verfahren bekannt, beispielsweise der sogenannte Diffie-Hellman-Schlüsselaustausch, bei denen der gemeinsame Schlüssel durch für den Abhörenden nicht umkehrbare Rechenoperationen ermittelt wird und die damit als weitgehend sichere Möglichkeiten zum Austausch von Schlüsseln über unsichere Kanäle gelten. Im speziellen genannten Fall besteht jedoch immer noch die Möglichkeit, durch einen so genannten Man-in-the-middle-Angriff die Nachrichten zu entschlüsseln, indem vorgetäuscht wird, dass eine direkte Verbindung besteht, während tatsächlich beide Kommunikationspartner mit einem zentralen, und damit abhörfähigen, Knoten kommunizieren.
Insbesondere bei einer Kommunikation im Internet, etwa bei Peer-to-Peer- Verbindungen wie beispielsweise einer Voice-over-IP-Verbindung, besteht die Gefahr, dass der dortige Server als abhörfähiger Knoten missbraucht wird. Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zu Grunde, ein Verfahren zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten zu schaffen, welches die Möglichkeit eröffnet, eine möglichst sichere Verschlüsselung einer Peer-to-Peer-Verbindung zu gewährleisten und gleichzeitig das Problem des Schlüsselaustauschs auf ein möglichst einfach handhabbares Verfahren abzubilden.
Gelöst wird dieses Problem durch ein Verfahren zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten gemäß den Merkmalen des Anspruchs 1 . Weitere, sinnvolle Ausgestaltungen eines derartigen Verfahrens können den Unteransprüchen entnommen werden.
Erfindungsgemäß ist hierfür vorgesehen, dass in einem einmaligen Identifikations- schritt zunächst ein direkter Datenaustausch zwischen den beiden miteinander kommunizierenden Mobilgeräten stattfindet, was beispielsweise bei einem einmaligen Treffen der Nutzer dieser Mobilgeräte durchgeführt werden kann. Im Rahmen des Datenaustauschs bei diesem einmaligen Identifikationsschritt wird ein gemeinsamer Schlüssel ausgetauscht, so dass die Realisierung eines symmetri- sehen Verschlüsselungsverfahrens ermöglicht wird.
Zum Aufbau einer verschlüsselten Kommunikationsverbindung wird dann zunächst eine unverschlüsselte Kommunikationsverbindung aufgebaut, mit der die Gesprächsteilnehmer identifiziert werden können. Nachdem eine Identifizierung des jeweils auf der Gegenseite kommunizierenden Mobilgeräts stattgefunden hat und festgestellt wurde, dass mit diesem Mobilgerät ein einmaliger Identifikationsschritt stattgefunden hat, wird eine zweite Kommunikationsverbindung aufgebaut und der Datenteil der nachfolgend übersandten Nachrichten mit dem in dem einmaligen Identifikationsschritt ausgetauschten gemeinsamen Schlüssel verschlüs- seit.
Nachdem aufgrund der einmaligen Identifikation der beiden Mobilgeräte der Schlüsselcode lediglich diesen beiden Mobilgeräten bekannt ist, kann nach einer gegenseitigen Identifikation somit sogleich in eine verschlüsselte Kommunikati- onsverbindung gewechselt werden, während dann die unverschlüsselte Kommunikationsverbindung, welche zum Aufbau der Kommunikation diente, wieder beendet werden kann. Es ist hierdurch auch möglich, bei Peer-to-Peer- Verbindungen eine sichere Kommunikation zu ermöglichen, da eine Übertragung des Schlüsselcodes eingangs der Kommunikation weder direkt noch indirekt stattfindet.
Zur Vereinfachung des einmaligen Identifikationsschrittes zwischen den beiden Mobilgeräten und zur Erhöhung der insoweit zu wahrenden Sicherheit kann der einmalige Identifikationsschritt über eine kabelgebundene Übertragung, mittels Nahfeldkommunikation oder über eine Funkverbindung mit kurzer Reichweite erfolgen. In jedem Fall ist es hierbei erforderlich, auszuschließen, dass Dritte die Übertragung mitverfolgen können. Insbesondere kann die Nahfeldkommunikation derart ausgestaltet sein, dass ein Mobilgerät einen Schlüsselcode erstellt, beispielsweise in einem Zufallsverfahren, diesen Schlüsselcode in einen zweidimensionalen Barcode kodiert und diesen auf seinem Display wiedergibt, während anschließend das zweite Mobilgerät mit seinem optischen Sensor das Display des ersten Mobilgerätes scannt, so den zweidimensionalen Barcode erfasst und durch Entschlüsselung des zweidimensionalen Barcodes ebenfalls den Schlüsselcode erhält. Gleichzeitig können bei dieser Identifikation auch gerätegebundene Informationen, wie beispielsweise eindeutige Hardwareadressen und dergleichen, ausgetauscht werden, so dass die Kommunikationsmöglichkeiten nicht nur auf den Besitz des Schlüsselcodes, sondern auch an ein bestimmtes Mobilgerät ge- bunden sind. Insbesondere kann es vorgesehen sein, die beiden Hardwareadressen der Mobilgeräte in dem gemeinsamen Schlüsselcode zu verarbeiten.
Insoweit ist es notwendig, neben dem Schlüsselcode auch Identifikationsdaten wie beispielsweise einen Zugriffscode zur gegenseitigen Identifizierung mit zu übertra- gen, so dass bei dem Initiieren der ersten, unverschlüsselten Kommunikationsverbindung eine gegenseitige Identifikation ermöglicht wird.
Als unverschlüsselte Kommunikationsverbindung kann insbesondere eine Telefonverbindung durch einfaches Anrufen des zweiten Mobilgerätes, eine unver- schlüsselte Datenverbindung durch das Internet bei bereits bekannter Internetadresse oder eine Internetverbindung unter Zwischenschaltung eines vermittelnden Servers aufgebaut werden. Im letzteren Fall kann die Anmeldung bei dem jeweiligen Server vor Aufbau der entsprechenden Verbindung erforderlich sein. Soweit es sich bei der unverschlüsselten Kommunikationsverbindung um eine Telefonverbindung handelt, ist es erforderlich, für die anschließend aufzubauende Peer-to-Peer-Verbindung die erforderlichen Internetadressen der Mobilgeräte auszutauschen, so dass eine Adressierung der Nachrichten sinnvollerweise auch erfolgen kann. Im Falle einer direkten Kommunikation durch das Internet oder bei einer Zwischenschaltung des vermittelnden Servers sind die Adressdaten entweder den Mobilgeräten direkt bekannt oder wurden bei der Anmeldung an den Server weitergegeben und werden dann von dem Server bereitgestellt.
In konkreter Ausgestaltung kann die Sicherheit dadurch erhöht werden, dass jeweils eines der Mobilgeräte als Zentralgerät einen Zentralknoten eines sternförmigen Kommunikationsnetzes bildet, während das andere Mobilgerät als Peripher- gerät angeschlossen wird. Das Zentralgerät kann in diesem Fall ein Programm- produkt als native Applikation ausführen, welches nach einer Identifizierung in dem einmaligen Identifikationsschritt eine Internetapplikation generiert und diese für eine Ausführung auf dem Peripheriegerät auf einem Internetserver bereitstellt. In diese Internetapplikation ist in diesem Falle bereits die Zugriffsinformation und die Hardwareinformation des zweiten Mobilgerätes, welches durch die Ausführung der Internetapplikation als Peripherknoten in dem sternförmigen Kommunikationsnetz eingesetzt wird, eingeflossen, so dass die Internetapplikation lediglich von dem mit ihr verknüpften Mobilgerät ausgeführt werden kann. Insoweit ist auch vorgesehen, eine eigene, eindeutig identifizierbare Internetapplikation für jedes als Peripherknoten dem sternförmigen Kommunikationsnetz hinzuzufügende Mobilge- rät einzurichten. In einem derartigen, sternförmigen Kommunikationsnetz kann dann der Zentralknoten seinerseits als Vermittlungsknoten zwischen mehreren Peripherknoten eingesetzt werden, um die Möglichkeiten der Kommunikation innerhalb des Kommunikationsnetzes zu verbessern. Im Übrigen ist jedoch vorgesehen, mehrere sternförmige Kommunikationsnetze so zu überlagern, dass prak- tisch jedes teilnehmende Mobilgerät als Zentralgerät in seinem eigenen sternförmigen Kommunikationsnetz fungiert. Die vorstehend beschriebene Erfindung wird im Folgenden anhand eines Ausführungsbeispiels näher erläutert.
Es zeigen
Figur 1 zwei Mobilgeräte während eines einmaligen Identifikationsschrittes in einer schematischen Darstellung, zwei Mobilgeräte während einer unverschlüsselten Kommunikationsverbindung auf drei alternativen Wegen in schematischer Darstellung,
Figur 3 zwei Mobilgeräte während der schließlich verschlüsselten Kommunikationsverbindung in einer schematischen Darstellung, sowie
Figur 4 eine schematische Darstellung einer codierten, verschlüsselten
Nachricht.
Figur 1 zeigt ein erstes Mobilgerät 1 sowie ein zweites Mobilgerät 2, welche zur Durchführung eines ersten, einmaligen Identifikationsschrittes zum Aufbau einer verschlüsselten Kommunikationsverbindung eine Nahfeldkommunikation 3 aufbauen. Zielsetzung dieses Vorgehens soll letztendlich der Aufbau späterer, verschlüsselter Direktverbindungen zwischen den beiden Mobilgeräten 1 und 2, insbesondere über eine Internetverbindung, sein. Hierzu ist es erforderlich, einen Schlüsselcode 8 gemeinsam auf beiden Mobilgeräten 1 und 2 vorzuhalten, mit dem die Verschlüsselung der von dem ersten Mobilgerät 1 an das zweite Mobilgerät 2 und umgekehrt zu übersendenden Nachrichten 9 durchgeführt werden kann. Im Rahmen dieses ersten einmaligen Identifikationsschrittes werden zwischen den Mobilgeräten 1 und 2 Zugriffscodes zur gegenseitigen Identifizierung sowie ein gemeinsamer Schlüsselcodes zum Aufbau einer symmetrischen Verschlüsselung ausgetauscht, wobei der Austausch über eine kabelgebundene Direktverbindung stattfinden kann. Alternativ ist im Rahmen der Nahfeldkommunikation 3 die Möglichkeit gegeben, dass zunächst etwa drahtlos die Hardwareadresse des einen Mobilgerätes 1 oder 2 an das andere Mobilgerät 2 oder 1 übertragen wird und schließlich der eigentliche Schlüsselcode in einen zweidimensionalen Barcode kodiert, am Display dargestellt und von dem jeweils anderen Mobilgerät 2, 1 von dessen optischem Sensor abgescannt und entschlüsselt wird.
Figur 2 zeigt den Aufbau der verschlüsselten Kommunikationsverbindung, wobei am Anfang einer derartigen verschlüsselten Kommunikationsverbindung zunächst der herkömmliche Aufbau einer unverschlüsselten Kommunikationsverbindung steht. Zwischen dem ersten Mobilgerät 1 und dem zweiten Mobilgerät 2 kann eine derartige Verbindung entweder als Serververbindung 4, als unverschlüsselte Direktverbindung 5 oder als Telefonverbindung 6 aufgebaut werden. Auch weitere Möglichkeiten stehen hierfür offen. Im Falle einer Serververbindung 4 wird sich sowohl das erste Mobilgerät 1 als auch das zweite Mobilgerät 2 an einen Server anmelden, woraufhin der Server jeweils die Adressdaten der Mobilgeräte 1 und 2 an den jeweils anderen Teilnehmer weitergibt, so dass anschließend die gewünschte verschlüsselte Direktverbindung 7 aufgebaut werden kann. Im Falle der unverschlüsselten Direktverbindung 5 durch das Internet ist die Adresslage bereits klar, da eine derartige Direktverbindung 5 lediglich bei bekannten Adressen aufgebaut werden kann. Die dritte Möglichkeit, welche hier in Bezug genommen wer- den soll, besteht in dem Aufbau einer Telefonverbindung 6, beispielsweise in Form einer GSM- oder UMTS-Verbindung, über die dann anschließend ebenfalls die Internetadressen der Mobilgeräte 1 und 2 ausgetauscht werden. Ergänzend werden in diesem erstem Handshake Zugriffsinformationen ausgetauscht, welche eine gegenseitige Identifikation der Mobilgeräte 1 und 2 zulassen.
Figur 3 zeigt die beiden Mobilgeräte 1 und 2 nach dem Aufbau der letztendlich gewünschten, verschlüsselten Direktverbindung 7, welche nach einer gegenseitigen Identifizierung mit den zuvor ausgetauschten Zugriffsdaten und unter Verwendung des initial ausgetauschten Schlüsselcodes 8 erfolgt. Eine derartige ver- schlüsselte Direktverbindung 7 kann als Datenverbindung zur Übertragung von Dateien verwendet werden, jedoch ist es ohne Weiteres auch möglich, eine derartige verschlüsselte Direktverbindung 7 etwa für Voice-over-IP-Verbindungen zu nutzen. Figur 4 zeigt ein mögliches Beispiel der Kodierung einer im Rahmen der Erfindung genutzten Nachricht 9. Eine derartige Nachricht 9 besteht aus einem Header 10, aus einem Zeiger 1 1 und einem Datenteil mit verschlüsselten Daten 12, wobei die Daten durch Überlagerung des Schlüsselcodes 8, welcher bei dem einmaligen Identifikationsschritt ausgetauscht worden ist, verändert worden sind. Der Zeiger 1 1 zeigt hierbei auf eine Stelle des Schlüsselcodes 8, indem beispielsweise der Zeiger 1 1 eine zweistellige Zahl ist, welche auf die Stelle des Schlüsselcodes 8 hinweist. Beginnend mit dieser Stelle wird den verschlüsselten Daten 12 in jeder Position eine Zahl des Schlüsselcodes 8 sukzessive überlagert, wobei bei Erreichen des Endes des Schlüsselcodes 8 wieder von vorne begonnen wird. Auf Grund der Kenntnis des Schlüsselcodes 8 auf beiden Seiten sowie der Übermittlung des Zeigers 1 1 kann auf der Gegenseite die Nachricht 9 wieder entschlüsselt werden und damit auf die unverschlüsselten Nachrichten zugegriffen werden.
Vorstehend beschrieben ist somit ein Verfahren zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten unter Nutzung einer Peer-to-Peer-Direktverbindung im Internet, wobei aufgrund einer ersten, einmaligen Identifikation zwischen den beteiligten Mobilgeräten eine sichere und vertrau- enswürdige Übermittlung eines Schlüsselcodes erfolgt, so dass eine abhörsichere Übermittlung von Nachrichten durchgeführt werden kann.
BEZUGSZE ICH EN LISTE erstes Mobilgerät
zweites Mobilgerät
Nahfeldkommunikation
Serververbindung
unverschlüsselte Direktverbindung
Telefonverbindung
verschlüsselte Direktverbindung
Schlüsselcode
Nachricht
Header
Zeiger
verschlüsselte Daten

Claims

P A T E N T A N S P R Ü C H E
Verfahren zum Aufbau einer verschlüsselten Kommunikationsverbindung zwischen zwei Mobilgeräten (1 , 2), bei dem in einem einmaligen Identifikationsschritt ein Datenaustausch zwischen den beiden Mobilgeräten (1 , 2) stattfindet und bei jedem Aufbau einer Kommunikationsverbindung zunächst eine unverschlüsselte Kommunikationsverbindung aufgebaut wird und die Mobilgeräte (1 , 2) nach gegenseitiger Identifizierung aufgrund der in dem einmaligen Identifikationsschritt ausgetauschten Daten zu einer verschlüsselten Kommunikationsverbindung zum Austausch verschlüsselter Daten wechseln, deren Verschlüsselung mithilfe eines in dem einmaligen Identifikationsschritt ausgetauschten Schlüsselcodes (8) erfolgt.
Verfahren gemäß Anspruch 1 , dadurch gekennzeichnet, dass der Datenaustausch innerhalb des einmaligen Identifikationsschritts eine kabelgebundene Übertragung über eine Direktverbindung, eine Nahfeldkommunikation (3) oder eine Funkverbindung mit kurzer Reichweite vorsieht.
Verfahren gemäß einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass im Rahmen des einmaligen Identifikationsschritts wenigstens ein Zugriffscode zur gegenseitigen Identifizierung der Mobilgeräte (1 , 2) und ein Schlüsselcode (8) zur Verschlüsselung der zwischen den Mobilgeräten (1 , 2) auszutauschenden Daten ausgetauscht werden.
Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass als unverschlüsselte Kommunikationsverbindung eine Telefonverbindung (6), eine unverschlüsselte Direktverbindung (5) durch das Internet oder eine Internetverbindung unter Zwischenschaltung eines vermittelnden Servers (4) aufgebaut wird.
5. Verfahren gemäß Anspruch 4, dadurch gekennzeichnet, dass es sich bei der unverschlüsselten Kommunikationsverbindung um eine Telefonverbin- dung (6) handelt, in deren Rahmen die für den Aufbau der verschlüsselten Kommunikationsverbindung erforderlichen Adressen der Mobilgeräte (1 , 2) ausgetauscht werden.
Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eines der Mobilgeräte (1 , 2) als Zentralgerät einen Zentralknoten eines sternförmigen Kommunikationsnetzes repräsentiert, während das andere Mobilgerät (2, 1 ) als Periphergerät einen Peripherknoten dieses Kommunikationsnetzes darstellt, wobei das Zentralgerät ein Programmprodukt als native Applikation ausführt, welches nach dem einmaligen Identifikationsschritt unter Einbindung der im Rahmen des einmaligen Identifikationsschritts ausgetauschten Daten eine Internetapplikation zur ausschließlichen Kommunikation mit dem Zentralknoten generiert und, zur Ausführung auf dem Periphergerät, auf einem Internetserver bereitstellt.
Verfahren gemäß Anspruch 6, dadurch gekennzeichnet, dass das Programmprodukt für jeden hinzuzufügenden Peripherknoten eine eigene, eindeutig identifizierbare Internetapplikation generiert.
Verfahren gemäß einem der Ansprüche 6 oder 7, dadurch gekennzeichnet, dass die Ausführbarkeit jeder für einen Peripherknoten generierten Internetapplikation an eine eindeutige Hardwareadresse des Periphergeräts geknüpft wird.
Verfahren gemäß Anspruch 8, dadurch gekennzeichnet, dass die eindeutige Hardwareadresse im Rahmen des einmaligen Identifikationsschritts zwischen dem Zentralgerät und dem Periphergerät ausgetauscht wird.
Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Zentralknoten als Vermittlungsknoten zwischen mehreren Peripherknoten eingesetzt werden kann.
PCT/DE2012/100398 2011-12-23 2012-12-21 Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung WO2013110253A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP12826617.8A EP3245586A1 (de) 2011-12-23 2012-12-21 Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung
US14/367,384 US20150052361A1 (en) 2011-12-23 2012-12-21 Method for setting up an encrypted connection between two communication appliances following prior key interchange via a shorthaul connection

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EPPCT/EP2011/006560 2011-12-23
PCT/EP2011/006560 WO2013091672A1 (de) 2011-12-23 2011-12-23 Verfahren zur erzeugung von ausführbarem code
DE102012111834 2012-12-05
DE102012111834.5 2012-12-05

Publications (1)

Publication Number Publication Date
WO2013110253A1 true WO2013110253A1 (de) 2013-08-01

Family

ID=47749590

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2012/100398 WO2013110253A1 (de) 2011-12-23 2012-12-21 Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung

Country Status (3)

Country Link
US (1) US20150052361A1 (de)
EP (1) EP3245586A1 (de)
WO (1) WO2013110253A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104252870A (zh) * 2014-02-10 2014-12-31 宋少鹏 一种体感控制播放器的方法及播放器
CN105025471A (zh) * 2014-04-21 2015-11-04 中兴通讯股份有限公司 被叫终端、主叫终端、语音通信方法及系统
EP3001597A1 (de) * 2014-09-29 2016-03-30 Appbyyou GmbH Verfahren zur Verschlüsselung von Daten
EP3677271A1 (de) 2013-03-13 2020-07-08 University Of Miami Verfahren zur isolation und reinigung von mikrovesikeln aus zellkulturüberständen und biologischen flüssigkeiten

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9363259B2 (en) * 2013-05-23 2016-06-07 Symantec Corporation Performing client authentication using onetime values recovered from barcode graphics
US20160374051A1 (en) * 2013-07-09 2016-12-22 Kyocera Corporation Mobile communication system and user terminal
EP4096057A3 (de) * 2013-08-06 2022-12-21 Bedrock Automation Platforms Inc. Intelligentes energiesystem
US20150156207A1 (en) * 2013-12-02 2015-06-04 Institute For Information Industry Network service system and network service utilizing method thereof
US20160087949A1 (en) * 2014-09-24 2016-03-24 Intel Corporation Establishing secure digital relationship using symbology
US9772863B2 (en) * 2014-10-15 2017-09-26 Dell Products, L.P. Methods for copying information handling system configuration settings
GB2564430C (en) * 2017-07-07 2021-02-17 Gurulogic Microsystems Oy Data communication system and method
US10686844B2 (en) 2018-01-17 2020-06-16 International Business Machines Corporation Trusted group identification code
US11658820B2 (en) * 2020-10-05 2023-05-23 Vmware, Inc. Workflow for enabling data-in-transit in a distributed system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1274194A1 (de) * 2001-07-05 2003-01-08 Kabushiki Kaisha Toshiba Verfahren und Vorrichtung für drahtlose Danenkommunikation unter Nutzung einer Verschlüsselungseinheit
US7065070B1 (en) * 2000-07-21 2006-06-20 Chang Ifay F Method and system for establishing a voice communication service for business transactions and commerce applications
EP1940115A2 (de) * 2006-12-27 2008-07-02 Intel Corporation Verfahren zum Austausch starker Verschlüsselungsschlüssel zwischen Vorrichtung mit alternativen Eingabeverfahren in WPAN-Vorrichtungen
WO2009066212A1 (en) * 2007-11-21 2009-05-28 Nxp B.V. Device and method for near field communications using audio transducers
EP2306692A1 (de) * 2009-10-02 2011-04-06 Research In Motion Limited Verfahren und Vorrichtungen zur Erleichterung der Bluetooth-Paarbildung mithilfe einer Kamera als Strichcodelesegerät

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1473899A1 (de) * 2003-04-28 2004-11-03 Telefonaktiebolaget LM Ericsson (publ) Sicherheit in einem Netzwerk
ES2373489T3 (es) * 2008-09-17 2012-02-06 Gmv Soluciones Globales Internet S.A. Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.
US8751794B2 (en) * 2011-12-28 2014-06-10 Pitney Bowes Inc. System and method for secure nework login

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7065070B1 (en) * 2000-07-21 2006-06-20 Chang Ifay F Method and system for establishing a voice communication service for business transactions and commerce applications
EP1274194A1 (de) * 2001-07-05 2003-01-08 Kabushiki Kaisha Toshiba Verfahren und Vorrichtung für drahtlose Danenkommunikation unter Nutzung einer Verschlüsselungseinheit
EP1940115A2 (de) * 2006-12-27 2008-07-02 Intel Corporation Verfahren zum Austausch starker Verschlüsselungsschlüssel zwischen Vorrichtung mit alternativen Eingabeverfahren in WPAN-Vorrichtungen
WO2009066212A1 (en) * 2007-11-21 2009-05-28 Nxp B.V. Device and method for near field communications using audio transducers
EP2306692A1 (de) * 2009-10-02 2011-04-06 Research In Motion Limited Verfahren und Vorrichtungen zur Erleichterung der Bluetooth-Paarbildung mithilfe einer Kamera als Strichcodelesegerät

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3677271A1 (de) 2013-03-13 2020-07-08 University Of Miami Verfahren zur isolation und reinigung von mikrovesikeln aus zellkulturüberständen und biologischen flüssigkeiten
EP4218774A1 (de) 2013-03-13 2023-08-02 University Of Miami Verfahren zur isolierung und reinigung von mikrovesikeln aus zellkulturüberständen und biologischen flüssigkeiten
CN104252870A (zh) * 2014-02-10 2014-12-31 宋少鹏 一种体感控制播放器的方法及播放器
CN104252870B (zh) * 2014-02-10 2016-10-26 宋少鹏 一种体感控制播放器的方法及播放器
CN105025471A (zh) * 2014-04-21 2015-11-04 中兴通讯股份有限公司 被叫终端、主叫终端、语音通信方法及系统
EP3001597A1 (de) * 2014-09-29 2016-03-30 Appbyyou GmbH Verfahren zur Verschlüsselung von Daten

Also Published As

Publication number Publication date
US20150052361A1 (en) 2015-02-19
EP3245586A1 (de) 2017-11-22

Similar Documents

Publication Publication Date Title
EP3245586A1 (de) Verfahren zum aufbau einer verschlüsselten verbindung zwischen zwei kommunikationsgeräten nach vorherigem schlüsselaustausch über eine kurzstreckenverbindung
EP2929648B1 (de) Verfahren zum aufbau einer sicheren verbindung zwischen clients
DE60017292T2 (de) Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE102014208975A1 (de) Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk
DE112012005564T5 (de) Sichere Peer-Ermittlung und Authentifizierung unter Verwendung eines gemeinsamen Geheimnisses
EP2014010B1 (de) Verfahren, vorrichtungen und computerprogrammprodukt zum ver- und entschlüsseln von mediendaten
DE102014011687B3 (de) Kommunikationssystem mit PKI-Schlüsselpaar für mobiles Endgerät
DE102013225016A1 (de) Verfahren zum Zugriff auf einen Datenspeicher eines Cloud-Computersystems mit Hilfe eines modifizierten Domain Name Systems (DNS)
DE102006027639B4 (de) Verfahren zur Etablierung eines geheimen Schlüssels
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
DE102006036165B3 (de) Verfahren zur Etablierung eines geheimen Schlüssels zwischen zwei Knoten in einem Kommunikationsnetzwerk
EP2685682A2 (de) Verfarhen und System zur sicheren Nachrichtenübertragung
DE102013016338A1 (de) Verfahren, Vorrichtungen und System zur Authentisierung gegenüber einem Server
WO2013110254A1 (de) Verfahren zum aufbau eines sternförmigen kommunikationsnetzes bestehend aus einem zentralknoten und peripherknoten durch eine vom zentralknoten bereitgestellte web applikation basierend auf hardware identifiern
EP2528364B1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Identifikationskennung eines elektronischen Endgeräts
DE102013106121A1 (de) Verfahren zur Verschlüsselung von Daten
DE102006009725A1 (de) Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels
EP2828744B1 (de) Verfahren zum aufbau eines sternförmigen kommunikationsnetzes bestehend aus einem zentralknoten und peripherknoten durch eine vom zentralknoten bereitgestellte web applikation basierend auf hardware identifiern
EP3001597B1 (de) Verfahren zur Verschlüsselung von Daten
AT518297B1 (de) Verfahren zum Austausch von verschlüsselten Nachrichten
DE102014201846A1 (de) Verfahren zur sicheren Übertragung von Zeichen
DE102013007202A1 (de) Verfahren zum Aufbauen einer Schlüsselinfrastruktur
EP2768184A1 (de) Verschlüsselungsverfahren für e-mails
DE102011015967B4 (de) Verfahren zur Entschlüsselung von digitalen Daten

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12826617

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 1120120054474

Country of ref document: DE

WWE Wipo information: entry into national phase

Ref document number: 14367384

Country of ref document: US

REEP Request for entry into the european phase

Ref document number: 2012826617

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2012826617

Country of ref document: EP