用于在網(wǎng)絡中生成密鑰的方法以及在網(wǎng)絡上的用戶和網(wǎng)絡的制作方法
【技術領域】
[0001] 本發(fā)明涉及用于在網(wǎng)絡中生成機密的����、密碼的密鑰的方法��,尤其是在網(wǎng)絡和用戶 之間產(chǎn)生共同的�����、機密的密鑰�;以及涉及網(wǎng)絡上的用戶����,所述用戶被設立用于執(zhí)行這種方 法。
【背景技術】
[0002] 在不同的設備之間的安全通信在增長地聯(lián)網(wǎng)的世界中變得越發(fā)重要并且在許多 應用領域中是對于可接受性和因此也對于相應應用的經(jīng)濟成功的重要前提����。這(根據(jù)應用) 包括不同的保護目標�,例如要傳輸?shù)臄?shù)據(jù)的機密的維護���、參與節(jié)點的相互認證或者數(shù)據(jù)完 整的確保���。
[0003] 為了實現(xiàn)這些保護目標,通常使用合適的密碼的方法����,其一般可以分成兩種不同 類型:對稱方法,在其中發(fā)送器和接收器擁有相同的密碼的密鑰����;以及非對稱方法,在其中 發(fā)送器利用公共的(即潛在攻擊者也可能已知的)接收器密鑰對要傳輸?shù)臄?shù)據(jù)進行加密��,但 是僅僅可以利用所屬的私人密鑰進行解密�,所述私人密鑰理想情況下僅僅對于合法的接收 器是已知的。
[0004] 非對稱方法此外具有如下缺點:非對稱方法通常具有非常高的計算復雜度��。因此����, 非對稱方法僅僅有條件地適于資源受限的節(jié)點例如傳感器、執(zhí)行器等等,這些節(jié)點通常僅 僅擁有相對較小的計算能力以及小的存儲器并且應當高能效地工作��,例如基于電池運行或 使用能量獲得(Harvesting)�����。此外��,經(jīng)常僅僅可以利用有限的帶寬來用于數(shù)據(jù)傳輸�����,這使得 具有2048或者更多比特長度的非對稱密鑰的交換不具有吸引力��。
[0005] 而在對稱方法中必須保證:不僅接收器而且發(fā)送器擁有相同的密鑰���。在此�,所屬的 密鑰管理一般而言是非常高要求的任務��。在移動無線電領域中����,密鑰例如借助SIM卡置入 移動電話中并且所屬的網(wǎng)絡于是可以將相應的密鑰分配給SIM卡的明確的標識����。而在無線 LAN的情況下�,通常在網(wǎng)絡配置時進行要使用的密鑰的手動輸入("預共享密鑰"���,通常通過 輸入口令來確定)��。但是�����,當例如在傳感器網(wǎng)絡或其他機器對機器的通信系統(tǒng)中有很大量節(jié) 點時�����,這種密鑰管理快速地變得非常昂貴并且不可實現(xiàn)����。此外�,要使用的密鑰的改變經(jīng)常是 根本不可能的或者僅僅以非常大的花費才能實現(xiàn)。
[0006] 最近以來���,因此在關鍵詞"物理層安全"之下研究并且開發(fā)新型方案��,借助所述新 型方案可以自動基于在涉及的節(jié)點之間的傳輸信道產(chǎn)生用于對稱方法的密鑰��。從信道參數(shù) 中確定隨機數(shù)或偽隨機數(shù)例如可以從W0 1996023376A2中得知����,由信道參數(shù)產(chǎn)生機密密鑰 在TO2006081122A2 中公開。
[0007] 迄今�����,在文獻中尤其是觀察并且研究以下方案�,在所述方案中直接在兩個節(jié)點之 間進行上述的密鑰生成。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明涉及按照獨立的方法權利要求的方法以及在一個或多個網(wǎng)絡上的用戶�,所 述用戶被設立用于執(zhí)行所述方法之一。此外����,本發(fā)明還涉及計算機程序,該計算機程序被設 立用于執(zhí)行所述方法之一����。
[0009] 在此,以具有至少三個用戶的網(wǎng)絡為出發(fā)點��。在此�����,網(wǎng)絡上的用戶意味著:每個用 戶可以與網(wǎng)絡的至少一個另外的用戶通信�。但是該通信在初始點在這些用戶中的兩個之間 不必是受保護的通信,也即這兩個用戶在初始點不擁有共同的機密密鑰�����。應當至少在所述 用戶之間構(gòu)建這種通信�����。在一種變型方案中����,在這兩個用戶之間已經(jīng)存在受保護的通信連 接,但是該通信連接應當被更新�����,也即構(gòu)建更新的����、受保護的連接。對此����,應當在網(wǎng)絡中生成 新的�、共同的機密密鑰��,基于該密鑰可以保護該通信���。
[0010] 具有已經(jīng)受保護的通信的網(wǎng)絡的兩個用戶對此由其各自的至第三用戶的傳輸信 道的物理特性確定各一個部分值序列�,例如比特序列�����,應當建立與該第三用戶的受保護的 通信(或者作為新的受保護的通信或者作為更新的受保護的通信)�����。在這兩個受保護的用戶 之間�、或者在具有受保護的通信的網(wǎng)絡的區(qū)段(至少這兩個受保護的用戶屬于該區(qū)段)中, 由部分值序列生成密鑰或總密鑰����。在此,為了從信道估計中導出密鑰所需的處理步驟已經(jīng) 可以完全或者很大程度上在各個已經(jīng)受保護的用戶中進行���,但是所述處理步驟也可以完全 或者很大程度上被轉(zhuǎn)移給一個或多個其他用戶���。因此�,所生成的并且在所述用戶之間交換 的部分值序列(之后由所述部分值序列生成總密鑰)可以根據(jù)實施變型方案例如在很大程 度上是未加工的信道參數(shù)組或者是已經(jīng)被錯誤校正的并且利用要連接的用戶來調(diào)整的密 鑰��。在第三用戶中�,同樣由部分值序列生成總密鑰?���,F(xiàn)在受保護的通信可以基于共同的、機 密密鑰來進行����。
[0011] 相較于非對稱的方法,所介紹的策略帶來硬件中的成本節(jié)省以及本身更小的能量 消耗�。相較于傳統(tǒng)的對稱方法,其具有強烈簡化的密鑰管理�����。該方法可以簡單地使用和操 作并且可以通過其在很大程度上的自動化也由沒有特別的專業(yè)知識的人員來簡單地執(zhí)行����。 這種安全性是可擴展的,也即原則上可以根據(jù)要求產(chǎn)生任意長度的密鑰���。
[0012] 借助所描述的方案��,多個���、在大多數(shù)情況下彼此無關的傳輸信道用作生成總密鑰 的基礎��。這在一方面是有利的��,因為由此明顯使得通過建模的攻擊變得困難����。在確定的情 形中�����,該情形不一定是先驗已知的���,攻擊者例如可以嘗試:借助合適的模型來模擬在兩個節(jié) 點之間的傳播條件����,以便能夠因此推斷出所觀察的信道�。如果在兩個節(jié)點之間的信道由于 特別的情況(例如在無線信道情況下的強大的目苗準線(Line-0f-Sight)組件)變得相當好地 可預測,那么這尤其是可以變得關鍵��。越多的彼此無關的傳輸信道用作密鑰生成的基礎�,好 的建模就越困難��。在典型的辦公室環(huán)境中��,在該辦公室環(huán)境中移動終端設備應當利用固定 安裝的W-LAN取得密鑰��,例如可能比較經(jīng)常地出現(xiàn):終端設備具有與接入點的直接的可視 連接,但是該終端設備同時與N個接入點具有直接的可視連接的概率隨著N的上升通常相 當快速地下降�。同時,如果潛在攻擊者嘗試自己測量確定的傳輸信道�����,本發(fā)明卻也改進了安 全性����。在所描述的方案中,其中移動終端設備應當安全地與W-LAN聯(lián)網(wǎng)�����,例如可以設想���,攻 擊者直接在該終端設備想利用其來生成密鑰的接入點旁�����。因為這不一定被操作該終端設備 的使用者注意到并且因為攻擊者在這種情況下可能任意近地接近該接入點��,因此攻擊者可 能可以相當好地自己估計在該接入點和終端設備之間的傳輸信道����。只要安全網(wǎng)絡的如在本 發(fā)明中所提出的、但是更多個通常在空間上分開的節(jié)點一起被考慮到密鑰生成中���,則自然 明顯使得攻擊情形變得困難��。
[0013] 由于為了密鑰生成總共至少三個用戶參與�,因此明顯使得潛在攻擊者截取為濫用 的密鑰生成所需的信息變得困難��。除了用于生成密鑰的機制之外��,此外攻擊者必須知道由 部分值序列來生成總密鑰的機制�����。該密鑰生成相對于可能的攻擊者的安全性因此被改進���。
[0014] 此外����,通過使用至少兩個傳輸信道來生成單個密鑰提高了為生成安全的密鑰所用 參數(shù)的足夠的熵的概率。這由如下事實得出:多個彼此無關的傳輸信道用作密鑰生成的基 礎并且因此所有涉及的傳輸信道在密鑰生成時刻不提供足夠熵的概率隨著數(shù)量的增加而 減少���。
[0015] 在本發(fā)明的一種特別優(yōu)選的變型方案中進行兩個部分值序列生成的進一步的邏 輯運算���。在此,該網(wǎng)絡的受保護的兩個用戶至少部分地同時地從廣播傳輸或者從用戶的同 樣的發(fā)送信號中確定至要保護的用戶的相應傳輸信道的特性�。
[0016] 這導致密鑰生成尤其是在為其所需的時間和能量需求方面的效率的改進。這尤 其是從可能的優(yōu)化的信道估計階段中得到�����。如果例如(任意地)假設:每個控制序列可以 確定確定的信道的信道估計值并且為了足夠的密鑰熵應當首先確定500個這種信道估計 值�,于是在"經(jīng)典的"密鑰生成情況下為此必須在兩個節(jié)點之