本发明专利技术涉及一种用于保障在第一终端设备(101)与网络(103)的接入点之间的连接的方法,其中,在辅助设备(104)与所述网络(103)的接入点之间搭建第一安全连接(3),经由所述第一安全连接交换或者建立第一安全信息。在所述第一终端设备(101)与所述辅助设备(104)之间通过基于通道的密钥生成搭建第二安全连接(2),经由所述第二安全连接交换所述第一安全信息。所述第一终端设备(101)和所述网络(103)的接入点借助于所述第一安全信息搭建第三安全连接(4)。
【技术实现步骤摘要】
用于保障在终端设备与网络的接入点之间的连接的方法
本专利技术提出一种用于保障在终端设备与网络的接入点之间的连接的方法以及一种为此而设置的计算机程序。
技术介绍
在信息技术(IT)安全意义上的数据保护主要需要完整性、机密性和可信性,这通过使用加密方法在利用加密密钥的情况能够实现。在现今的系统中,所有数据通常都利用加密密钥来保护,加密密钥的长度对应于数据的最大保护需求。特别是对于经常能够在物联网中找到的、资源有限的网络参与方来说,使用对称加密方法是有意义的,因为这些对称加密方法需要少量的计算资源。在这里出现借助于所谓的物理层安全(PhysicalLayerSecurity)的密钥生成或者基于通道的密钥生成,即基于通信通道的物理特性的对称加密密钥的生成。DE102017202940A1公开了这样一种方法,在该方法中还设置基于补充的测量来刷新密钥。此外,为了也实现网络参与方之间的验证,能够动用传感器支持的验证方法。DE102014208965A1公开了这样一种基于传感器的验证方法。在这里,通过第二网络参与方验证网络中的第一网络参与方。在此,第二网络参与方将关于物理激励、尤其是关于信号顺序或者运动次序的第一信息发送到与所述第二网络参与方安全连接的第三网络参与方处。此外,所述第二网络参与方还对应于所述物理激励求取预期数据,接收来自所述第一网络参与方的第一数据,并且将所述第一数据与所述预期数据进行比较。根据该比较,所述第二网络参与方执行第一网络参与方的验证。
技术实现思路
已知用于基于通道的密钥生成的方法,在所述方法中,在两个具有共同的无线传递通道的网络参与方之间在每个网络参与方中,根据这个传递通道的物理特性生成相同的密钥,并且在这两个网络参与方之间,基于所生成的密钥进行安全通信。但是,在实践中常常也期望在一个网络参与方与另一个、未直接无线连接的网络参与方之间制造安全连接,例如,从终端设备(例如智能手机)或者物联网的设备到网络的接入点(例如互联网的接入点)。这样一种情况下,可能不能够仅在基于通道的密钥生成的基础上实现这种安全连接,例如当未装备接入其中的接入点时。现在,提出一种用于保障第一终端设备与网络的、尤其是互联网的接入点(例如无线网络(Wi-Fi)接入点或者智能家居服务器(Smart-Home-Server))之间的连接的方法。在此,在辅助设备与所述接入点之间搭建第一安全连接,经由所述第一安全连接交换或者建立第一安全信息、尤其是密钥信息。在所述第一终端设备与所述辅助设备之间通过基于通道的密钥生成搭建第二安全连接,经由所述第二安全连接交换所述第一安全信息。所述第一终端设备和所述接入点借助于所述第一安全信息搭建第三安全连接。因此,可能的是,在使用该基于通道的密钥生成的方法的情况下,在第一终端设备(例如传感器或者物联网中的另一设备)与例如互联网接入点之间制造安全连接。在此,所述保障能够包括通过在所述终端设备与互联网服务器之间的加密以及验证的端到端保障。所述网络的接入点在此不必支持基于通道的密钥生成,即对此能够动用标准组件。通过标准保障机制与基于通道的密钥生成的链接提供特别安全的方法。对于其中使用基于通道的密钥生成的保障步骤而言,实现这样一种保障的优点。对称加密比非对称加密需要更少的计算资源。但是,通过基于通道的密钥生成取消了复杂的密钥分配和密钥管理,该密钥分配和密钥管理通常在对称方法中是需要的。此外,还能够实现更高的安全性,该更高的安全性通过自动的密钥更新或者密钥刷新还能够被进一步提高。此外,该方法还对用户特别友好,并且也能够在没有复杂的用户接口(例如显示屏)的情况下简单地执行。在一种优选的构型方案中,在所述辅助设备中通过基于传感器的验证来验证该第一终端设备。由此能够进一步保障所述方法,而不丢失用户友好性或者需要复杂的用户接口。所述方法在提供密钥用以在终端设备与另外的设备之间进行保障和该密钥交换的时间走向方面是灵活的。所述辅助设备平行地或者相继地具有与所述终端设备和与所述接入点的安全连接,并且因此能够对两者都提供所需要的相同的密钥,而不管这个密钥是在所述辅助设备中、在所述终端设备或者接入点中生成的还是在这些设备中的两个设备之间建立的。所说明的方法首先适合于具有有限的用户接口的、资源有限的终端设备(例如物联网中的传感器)。因此,这些方法能够以对于用户而言简单的方式搭建尽管如此仍特别安全的、例如与互联网接入点或者与广域网(WAN)接入点的连接。为此,用户能够操作例如简单可供使用的辅助设备(例如智能手机或者平板电脑)。例如当用户想要将无用户接口或者具有减少的用户接口的传感器与本地Wi-Fi网络或者与智能家居服务器连接时,所述方法是适合的。在这样一种情景中,所述方法有助于:建立与该网络的接入点的安全连接以及在此在可能的能够使用的接入点中验证这个接入点。附图说明在下文中,参照所附附图并且根据实施例更详细地说明本专利技术。在此,图1示意性地示出示例性的网络的一部分。具体实施方式术语“物理层安全”指基于共同的通信通道的物理特性在网络参与方中产生对称的加密密钥。在此,利用所述设备之间的传递通道的交互性(Reziprozität)和固有随机性(inhärenteZufälligkeit)。这能够例如以下文所述的方式进行。两个设备估计一定数量的通道参数、可能在时间上。该传递通道的、为此目的而能够考虑的可能的特性主要包括传递的振幅特性、传递的相位特性及其组合。因此,例如由于所述传递通道引起的相位移动、衰减以及由此导出的参量考虑作为通道参数。接收信号强度指示器(ReceivedSignalStrengthIndicator,RSSI)例如是用于无线通信应用的接收场强的常用指示器,并且能够考虑用于这个目的。为了求取所述通道参数,双方都能够在节点之间传递已知的导频信号顺序,该导频信号顺序使得所需要的通道估计变得容易。所求取的通道参数被两个设备以适合的方式量化。优选地,随后采取用于减小噪声或者减少误差的措施,例如通过使用校正误差的代码。借助于适合的机制,优选在使用公共协议的情况下,进行所述设备之间的经量化的通道参数的比较(在英语中也被称为“KeyAlignement(密钥对齐)”或者“InformationReconciliation(信息协调)”)。这在很多应用情况下是必需的,因为由于测量不准确性、噪声、干扰等等,两个设备通常最初都未求取出相同的参数组。在此,应该这样设计所述比较,使得潜在的、能够窃听所交换的数据的攻击者不能够轻易地由此推断出所述经量化的通道参数。为此,例如能够在所述设备之间交换经量化的值的综合征(Syndrom)。可选地,还能够执行密钥校验(例如熵估计)和密钥改善(例如经由哈希值-形成的密钥压缩)。最后,基于经比较的、经量化的通道参数产生对应的对称的(即在两个设备中相同的)密钥。在所说明的方法中假设,潜在的攻击者与其中应该生成对称的密钥的两个设备具有足够大的间距。在此,所述间距应该至少在所谓的通道相干长度的量级上,该通道相干长度例如在常用的无线通信系统中处在若干厘米的范围中。因此,攻击者看到分别通向这两个设备的另外的(独立的)传递通道,并且不能够轻易地重建相同的密钥。此外还以下述内容为出发点,在所述节点之间的传递通道具有其通本文档来自技高网...
【技术保护点】
1.用于保障第一终端设备(101)与网络(103)的接入点之间的连接的方法,其特征在于,在辅助设备(104)与网络(103)的接入点之间搭建第一安全连接(3),经由所述第一安全连接交换或者建立第一安全信息;在所述第一终端设备(101)与所述辅助设备(104)之间通过基于通道的密钥生成来搭建第二安全连接(2),经由所述第二安全连接交换所述第一安全信息;并且,所述第一终端设备(101)和所述网络(103)的接入点借助于所述第一安全信息搭建第三安全连接(4)。
【技术特征摘要】
2017.11.08 DE 102017219809.51.用于保障第一终端设备(101)与网络(103)的接入点之间的连接的方法,其特征在于,在辅助设备(104)与网络(103)的接入点之间搭建第一安全连接(3),经由所述第一安全连接交换或者建立第一安全信息;在所述第一终端设备(101)与所述辅助设备(104)之间通过基于通道的密钥生成来搭建第二安全连接(2),经由所述第二安全连接交换所述第一安全信息;并且,所述第一终端设备(101)和所述网络(103)的接入点借助于所述第一安全信息搭建第三安全连接(4)。2.根据权利要求1所述的方法,其特征在于,根据所述第一安全信息经由所述第三安全连接(4)来加密在所述第一终端设备(101)与所述网络(103)的接入点之间的通信。3.根据上述权利要求中任一项所述的方法,其特征在于,根据所述第一安全信息在所述第一终端设备(101)与所述网络(...
【专利技术属性】
技术研发人员:A米勒,S路德维希,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。