本发明专利技术涉及一种用于连接到数据总线的部件和用于在该部件中实现加密功能的方法。用于连接到数据总线(25)的部件(20,30)实现至少一个加密功能,以及所述方法用于在该部件(20,30)中实现加密功能。所述加密功能的实现基于与所述部件(20,30)的能力匹配的规定的加密函数、方法和协议的选集,其中,对于相应地使用的加密密钥,定义最小长度。
【技术实现步骤摘要】
连接到数据总线的部件和在该部件中实现加密功能的方法
本专利技术涉及一种实现至少一个加密功能的用于连接到数据总线的部件以及用于在该部件中实现加密功能的方法。
技术介绍
存在多个公开文献,提出了使用加密函数的建议,例如由欧盟网络和信息安全机构(EuropeanUnionAgencyforNetworkandInformationSecurity[1])、欧洲密码学卓越网络(EuropeanNetworkofExcellenceforCryptology[2])和BSI[3]。然而,大多数文献不是按照特定工业部门定制的。虽然给出了关于安全函数和密钥长度的说明,但是其不统一并且留下了解释余地。此外,一部分预先给定的函数的数量非常大,这使得外行难以进行选择。在现今具有各种彼此联网的部件的系统中,例如在具有多个控制设备的机动车中,使用不同质量的一系列加密函数。这些函数部分在直接由系统的制造商指定的部件中使用,但是部分也由部件的供应商根据自己的判断开发了保护方法,而经常未与系统的制造商进行详细协调。因此,其结果是,必须对系统的不同的部件和函数针对其加密功能进行检查,这造成了大量的时间开销。文献DE102010004786A1公开了一种用于在车辆架构中实现安全应用的计算机辅助开发环境。为开发者提供多个安全模块,开发者可以在不详细了解各个模块的情况下根据需要选择安全模块,部分还可以进行调整。安全模块尤其涉及内部和外部实体之间的通信、实体的认证、安全策略的查询和管理、可靠的存储、对操控的识别以及加密服务的提供。但是这种方法不解决对由供应商根据自己的判断开发的保护方法进行检查的问题。
技术实现思路
因此,本专利技术要解决的技术问题是,提供一种用于连接到数据总线的部件,其以减少的开发开销实现至少一个加密功能。上述技术问题通过具有本专利技术的特征的部件来解决。本专利技术要解决的另一个技术问题是,展示一种用于在用于连接到数据总线的部件中实现加密功能的解决方案,其避免上面提到的缺点。上述技术问题通过具有根据本专利技术的特征的方法来解决。还给出了本专利技术的优选构造。根据本专利技术的一个方面,用于连接到数据总线的部件实现至少一个加密功能,其中,所述加密功能的实现基于与所述部件的能力匹配的规定的加密函数、方法和协议的选集,以及其中,对于相应地使用的加密密钥,定义最小长度。根据本专利技术的另一方面,用于在用于连接到数据总线的部件中实现加密功能的方法包括步骤:-从与所述部件的能力匹配的规定的加密函数、方法和协议的选集中,选择至少一个加密函数、加密方法或者加密协议;-针对用于所选择的加密函数、所选择的加密方法或者所选择的加密协议的加密密钥,确定最小长度;以及-使用所选择的加密函数、所选择的加密方法或者所选择的加密协议,至少利用所确定的最小长度的加密密钥,实现所述加密功能。由于规定的加密函数、方法和协议的选集,可使用的函数的数量是有限的,从而提供可通观的数量的变形方案。这种限制对于部件的所有开发者是友好的。由此形成一般高的保护水平,同时可以容易地对其进行验证。此外,该选集允许将加密函数、方法和协议匹配于部件的应用范围的要求。例如,部件可以是机动车的控制设备。在这种情况下,加密函数、方法和协议减少到还可以在车辆中真正应用的加密函数、方法和协议。在此,依据部件的可能性确定可供选择的函数。这不仅适用于函数本身,而且适用于同样对处理性能有影响的密钥长度。例如,依据为部件提供的存储器(ROM或者RAM)、计算能力或者允许的计算时间,从开放的函数的列表中进行最终选择。根据本专利技术的一个方面,规定的加密函数、方法和协议的选集是关于以下范围中的一个或更多个规定的:对称块密码、流密码、非对称算法、哈希算法、加密方法、签名、密钥导出、认证、识别、密钥交换和随机数生成器。这些范围是加密功能的必要的基础,从而一般的应用情况能够被该规定的选集覆盖。根据本专利技术的一个方面,所实现的加密功能是签名,其签名长度依据数据总线的传输容量来选择。在选择的签名方法的情况下,一一试过所有可能的签名是唯一的攻击可能性。如果数据总线具有有限的传输容量,则在签名长度较短的情况下,也保证足够的保护,因为数据总线每单位时间内仅允许有限数量的伪造尝试。较短的签名长度降低了对部件能力的要求。根据本专利技术的一方面,两个或更多个根据本专利技术的部件在系统中经由数据总线彼此连接。系统例如可以是车辆、特别是机动车。附图说明本专利技术的其它特征结合附图根据下面的描述和所附的权利要求变得清楚。图1示意性地示出了用于在用于连接到数据总线的部件中实现加密功能的方法;图2示出了实现至少一个加密功能的用于连接到数据总线的部件的第一实施例;图3示出了实现至少一个加密功能的用于连接到数据总线的部件的第二实施例;图4示出了部件密钥根据主密钥的导出;图5示出了多个密钥根据部件密钥的导出;图6图示了具有双侧询问-响应认证的安全通信;以及图7示出了熵从用于随机数生成器的初始化的预加载密钥中的提取。具体实施方式为了更好地理解本专利技术的原理,下面根据附图详细说明本专利技术的实施方式。应当理解,本专利技术不局限于这些实施方式,也可以对所描述的特征进行组合或者修改,而不脱离在所附权利要求中限定的本专利技术的保护范围。图1示意性地示出了用于在用于连接到数据总线的部件中实现加密功能的方法。在第一步骤中,从与部件的能力匹配的规定的加密函数、方法和协议的选集中,选择10至少一个加密函数、加密方法或者加密协议。优选规定的加密函数、方法和协议的选集是关于以下范围中的一个或更多个规定的:对称块密码、流密码、非对称算法、哈希算法、加密方法、签名、密钥导出、认证、识别、密钥交换和随机数生成器。对于加密功能是签名的情况,可以依据数据总线的传输容量确定其签名长度。此外,确定11用于所选择的加密函数、所选择的加密方法或者所选择的加密协议的加密密钥的最小长度。最后,使用至少具有所确定的最小长度的加密密钥的所选择的加密函数、所选择的加密方法或者所选择的加密协议,实现12加密功能。图2示出了实现至少一个加密功能的用于连接到数据总线25的部件20的第一实施方式的简化的示意性图示。为此目的,部件20例如使用加密模块21。加密功能通过加密模块21的实现基于与部件20的能力匹配的规定的加密函数、方法和协议的选集,其中,对于相应地使用的加密密钥定义最小长度。优选规定的加密函数、方法和协议的选集是关于以下范围中的一个或更多个规定的:对称块密码、流密码、非对称算法、哈希算法、加密方法、签名、密钥导出、认证、识别、密钥交换和随机数生成器。当加密功能是签名时,可以与数据总线的传输容量有关地确定其签名长度。例如由函数模块22提供从该选集中选择的实际可使用的函数、方法和协议。但是其也可以在加密模块21本身中实现。部件20具有用于连接到数据总线25的接口24。部件20可以经由数据总线25连接到其它部件。由加密模块21处理的数据可以经由接口24提供。此外,其可以存储在部件20的存储器23中。加密模块21以及函数模块22可以作为专用硬件、例如作为集成电路来实现。但是当然也可以将其部分或完全组合或者作为在合适的处理器上运行的软件来实现。图3示出了实现至少一个加密功能的用于连接到数据总线25的部件30的第二实施方式的简化的示意性图示。部件30具有本文档来自技高网...
【技术保护点】
一种用于连接到数据总线(25)的部件(20,30),其中,所述部件实现至少一个加密功能,其特征在于,所述加密功能的实现基于与所述部件(20,30)的能力匹配的规定的加密函数、方法和协议的选集,其中,对于相应地使用的加密密钥,定义最小长度。
【技术特征摘要】
2016.02.18 DE 102016001848.8;2016.06.16 DE 10201621.一种用于连接到数据总线(25)的部件(20,30),其中,所述部件实现至少一个加密功能,其特征在于,所述加密功能的实现基于与所述部件(20,30)的能力匹配的规定的加密函数、方法和协议的选集,其中,对于相应地使用的加密密钥,定义最小长度。2.根据权利要求1所述的部件(20,30),其中,规定的加密函数、方法和协议的选集是关于以下范围中的一个或更多个规定的:对称块密码、流密码、非对称算法、哈希算法、加密方法、签名、密钥导出、认证、识别、密钥交换和随机数生成器。3.根据权利要求1或2所述的部件(20,30),其中,所实现的加密功能是签名,其签名长度依据数据总线(25)的传输容量来选择。4.根据权利要求1至3中任一项所述的部件(20,30),其中,所述部件(20,30)是机动车的控制设备。5.一种用于在用于连接到数据总线(25)的部件(20,30)中实现加密功能的方法,其特征在于,所述方法包括步骤:-...
【专利技术属性】
技术研发人员:A查奇,
申请(专利权)人:大众汽车有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。