本发明专利技术涉及降低密码密钥的存储需求。本发明专利技术涉及一种用于用户(N)通过多个协议(P1,P2)与通信系统中的至少一个另外的用户(M1,M2)通信的方法,所述协议(P1,P2)使用至少两种彼此不同的证书格式,其中用户(N)为了通过具有不同证书格式的协议(P1,P2)进行通信而使用以相应证书格式的不同证书(C1,C2),其中所述不同的证书(C1,C2)基于共同的公钥(K1)以及其中用户(N)为不同的证书(C1,C2)准备好共同的所属的私钥(S1);以及涉及一种用于为用户(N)提供这样的证书(C1,C2)以用于通过多个这样的协议(P1,P2)与通信系统中的至少一个另外的用户(M1,M2)进行通信的方法。
【技术实现步骤摘要】
本专利技术涉及一种用于为通信系统中的用户提供证书用以通过多个协议进行通信的方法以及一种用于在使用多个协议的情况下使用户进行通信的方法。
技术介绍
通信网络中增加的服务和设备连接提高了对安全通信的要求。在此,保密性和真实性通常通过非对称(“公钥”)加密方法来保证。在此,通信网络中的每个用户都拥有:公钥,所述公钥被提供给通信网络中的通信伙伴、即其它用户;以及私钥,所述私钥由该用户保密。公钥被中央认证实体签名,以便确认通信网络的用户的权限。在此,经签名的公钥被称为证书。证书除了公钥以外可以附加地包含同样被签名的属性(例如拥有者的名称或特性)。由于通信网络的安全性基于私钥的保密性,因此私钥大多被存储在硬件安全模块(HSM)中。许多通信网络存储用户的个人信息,并且还转交这些个人信息。在此例如可以涉及确切的停留地点或其它敏感数据。一般而言,公知示例是个人辅助系统、CarfCar或Car2X系统以及物事互联网与服务互联网(来自英语“Internet of Things and Services”的简称1TS)。用于在通信期间保护用户隐私的常见行动是所谓的假名通信。在此,替代于证书和所属私钥的固定对,由每个使用者使用更大数目的证书(假名)和定期变换的相应私钥。由于其不同的要求和条件,一些服务使用特定协议和特定格式,以便存储证书和私钥。这样的特定于协议的证书格式例如是Car2Car通信中的ETSI TS 103 097。在此,不能将以特定格式的具有公钥的证书转换成以另一格式的具有相同公钥的证书。因此,证书不能越过使用不同证书格式的不同协议来使用。假名通信本身已经需要大数目的证书和所属的私钥,所述证书和私钥必须被存储。如果现在也仍必须使用不同的协议,只要证书格式不兼容,那样该数目仍进一步提高。在此,尤其是这些被存储在诸如HSM的安全存储器中的高数目的私钥提高了这样的安全存储器的成本。因此值得期望的是,使得能够在对安全存储器的小需求的情况下在通信网络中通过多个协议进行安全通信。
技术实现思路
根据本专利技术,建议具有独立权利要求的特征的方法。有利的扩展方案是从属权利要求以及下面的描述的主题。专利技术优点 根据本专利技术的第一方法用于用户在通信系统中通过多个协议与至少一个另外的用户通信,所述协议使用至少两种彼此不同的证书格式。在此,该用户为了通过具有不同证书格式的协议进行通信而使用相应证书格式的不同证书。这些不同的证书基于共同的公钥。在此,用户为不同的证书准备好共同的所属私钥。因此,可以为这些证书中的每个使用相同的私钥,例如用于对消息进行解密或签名。针对具有不同证书格式的证书,不再需要单独的私钥。由此,可以显著减小对于私钥所需的安全存储器。例如,在两种不同证书格式的情况下对于私钥所需的存储空间已经减少到一半。用户优选地通过分别使用不同证书格式的协议与另外的不同用户通信。因此,用户也可以与例如由于不同安全要求或其它要求而依赖于特定协议的另外的不同用户通信。根据本专利技术的第二方法用于为通信系统中的用户提供证书,以便使得能够通过使用至少两种彼此不同的证书格式的多个协议进行通信。在此,首先生成公钥和所属的私钥。此外,为了提供第一证书对公钥进行签名,也就是说,签发第一证书。接着,生成、即提供与第一证书格式不同的一种或多种第二证书格式的一个或多个第二证书,为此分别对公钥进行签名。也就是说,一个或多个第二证书基于同一公钥。通过这种方式,不同证书格式的证书对用户可用,所述证书可以被用于通过不同协议进行通信,而同时基于同一公钥。因此,可以为这些证书中的每个使用同一私钥,例如用于对消息进行解密或签名。针对具有不同证书格式的证书,不再需要单独的私钥。由此,可以显著减小对于私钥所需的安全存储器。例如,在两种不同证书格式的情况下对于私钥所需的存储空间已经减少到一半。对此,在此还应当注意,根据本专利技术的方法不仅仅可以用于一个公钥和所属的私钥,而是尤其是在使用开头提到的假名通信时可以用于多个公钥和所属私钥。由此生成的证书的数目越高,则使存储空间节省就越明显。公钥优选地由一个认证实体而或者由不同的认证实体签名,尤其是在用户已经对此进行了要求以后。根据所需的安全度(所述安全度也可能与所使用的协议以及要利用所述协议通信的通信伙伴有关),可以通过使用不同的认证实体来附加地提高安全性。用户有利地借助于从该认证实体获得的第一证书相对于相同的或其它认证实体被授权(s i ch autor i s i eren ),用于提供所述一个或多个第二证书,所述第二证书因此以与所获得的证书不同的证书格式存在。在此,用户针对用于借助于第一证书获得所述一个或多个第二证书的权限向签发方、即相应认证实体证实。这包含关于对所属私钥的拥有的证据,例如通过相应签名。此外,该权限可以根据原始证书的属性来实现。同样,所述一个或多个第二证书的属性可以根据第一证书的属性来证明、例如用相同的值来证明。由于并不总是从开始就知道需要何种证书格式的证书,因此可以后来在需要时签发以另外的证书格式的证书。特别有利的是两个根据本专利技术的方法的组合,也就是说,向用户提供具有对于多个协议不同的证书格式和共同的私钥的证书,并且该用户借助于这些证书与通信系统中的至少一个另外的用户通信。私钥有利地由该用户存储在安全存储器中。由此,对私钥的访问时间对用户而言保持得短,因为私钥在那里是未经加密地存储的。可替代地,私钥由用户以经加密的形式存储,尤其是存储在不安全的存储器中,并且在需要时被加载到安全存储器中并且在那里被解密。在这种情况下,对安全存储器的需求以及加载和解密过程的数目可以被减小,因为在安全存储器中必须同时存在较小数目的私钥。有利的是,公钥和所属的私钥借助于在所述多个协议中的每个中使用的密码方法来生成。由此可以确保:可以没有问题地对于相应的协议使用相应证书格式的证书。该密码方法优选地基于椭圆曲线、例如基于NIST P256。由此可以特别高效地生成大数目的公钥和所属的私钥。但是也可以使用诸如RSA的其它密码方法。在所述多个协议包括下列协议至少之一时,应用根据本专利技术的方法是有利的:ETSI ITS-G5 (或直接短程通信(Direct Short-Range Communicat1n),在欧洲利用根据ETSI EN 302 665 和 ETSI TS 103 097 的消息)、DSRC (在北美利用根据 IEEE 1609.2 的消息)、!1111^、1'1^、01'1^、IPSec和对于1TS特定的协议、尤其是Alljoyn。例如,在Car2X通信中,将ETSI ITS-G5 (在欧洲)或DSRC (在北美)用于车辆彼此的通信,并且将协议HTTPS(或IPSec)用于车辆与服务提供商的通信。在此,ETSI TS 103 097为Car2X通信规定自己的证书格式,而HTTPS使用常用的X.509格式。在物事互联网与服务互联网(1TS)中,例如使用诸如AllJoyn的特定于1TS的协议以及IPSec。根据本专利技术的计算单元、例如机动车辆中的通信单元尤其是以编程技术被设立为执行根据本专利技术的方法。以软件形式实施该方法也是有利的,因为这尤其是在进行执行的控制设备还用于另外的任务并且因此总归存在时导致特别小的成本。用于提供计算机程序的合本文档来自技高网...
【技术保护点】
用于用户(N)通过多个协议(P1,P2)与通信系统中的至少一个另外的用户(M1,M2)通信的方法,所述协议(P1,P2)使用至少两种彼此不同的证书格式,其中用户(N)为了通过具有不同证书格式的协议(P1,P2)进行通信而使用以相应证书格式的不同证书(C1,C2),其中所述不同的证书(C1,C2)基于共同的公钥(K1),以及其中用户(N)为不同的证书(C1,C2)准备好共同的所属的私钥(S1)。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:D费尔斯特,J齐布施卡,J肖克罗拉希,H勒尔,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。