【技术实现步骤摘要】
【国外来华专利技术】用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置
本专利技术涉及一种用于通信网络内在第一网络设备(起始器)与第二网络设备(应答器)之间的安全通信的方法以及一种适用于此的网络设备布置、尤其构造为嵌入式系统的网络设备之间布置。
技术介绍
在下文中以及在权利要求书中,网络设备表示,既可自主地、又可由用户触发地通过至少一个网络与其他设备通信的设备,包括借助运行时系统而具有对至少一个网络的入口、并且通过此网络既可自主地、又可由用户触发地与其他设备通信的软件组件。已知在特定的情况下应在网络设备之间安全地执行通信,例如从而保证通信的完整性、保密性和/或可用性。通信的完整性例如由于伪造通信内容的、或者第三方为了其利益更改、抑制和/或添加通信内容的主动攻击造成的干扰性影响而受到损害。例如当由于疏忽而使通信内容传输到假冒收信人或者入侵者能够获得通信内容时,通信的保密性则受到损害。例如当由于疏忽或者有意地通过不计划或不期望与其进行通信的网络设备占用了通信资源、使得过少的资源留给与计划或期望的网络设备进行通信,则损害了可用性。资源可例如为存储器空间或计算速度,其中,尤其嵌入式系统在其资源方面有限。因此,构造为嵌入式系统的网络设备在技术情境中表示接入(嵌入)的网络设备,其因此典型地承受十分受限的边界条件并仅占有严重减少的资源。为了通信的安全性,存在多种现有技术。通常,通信成员在建立连接时彼此证明其身份并对彼此认证,也就是说,它们递交允许通过各自另外的通信成员进行身份校验的信息,其中,因此其同样检验其他通信成员是否能够通过认证数据证实预先设定的身份,也 ...
【技术保护点】
1.用于在通信网络内的第一网络设备(起始器)与第二网络设备(应答器)之间建立安全通信的方法,其特征在于,在产生作为共享密钥用于安全通信的密码之前,使用对称加密系统分别针对第一和第二网络设备执行单独的认证/鉴定,在此对称加密系统中,两个网络设备分别使用同样的密码作为用于加密和解密数据组的密钥。
【技术特征摘要】
【国外来华专利技术】2016.04.11 LU LU930241.用于在通信网络内的第一网络设备(起始器)与第二网络设备(应答器)之间建立安全通信的方法,其特征在于,在产生作为共享密钥用于安全通信的密码之前,使用对称加密系统分别针对第一和第二网络设备执行单独的认证/鉴定,在此对称加密系统中,两个网络设备分别使用同样的密码作为用于加密和解密数据组的密钥。2.根据权利要求1所述的方法,包含下列步骤:a)在所述第一网络设备上产生包含至少一个随机数(Ni)的数据组,并将包含所述第一网络设备的身份标识(IDi)和产生的所述数据组的第一消息(M1)从所述第一网络设备发送到所述第二网络设备;b)在所述第二网络设备上产生包含至少一个随机数(Nr)的数据组,并且将包含所述第二网络设备的身份标识(IDr)和产生的所述数据组的第二消息(M2)从所述第二网络设备发送到所述第一网络设备;c)在所述第一网络设备上产生包含第一签名(AuthI)的数据组,并且在使用第一密码(Pw)和由所述第一消息(M1)的第一消息部分与所述第二消息(M2)的第二消息部分组成的待签名的数据的条件下通过实施第一算法(A1)产生,并且将包含产生的所述数据组的第三消息(M3)从所述第一网络设备发送到所述第二网络设备;d)在所述第二网络设备上产生包含第二签名(AuthI′)的数据组,并且在使用所述第一密码(Pw)和由与在产生包含所述第一签名(AuthI)的数据组时相同的所述第一消息(M1)的第一消息部分与相同的所述第二消息(M2)的第二消息部分组成的待签名的数据的条件下通过实施所述第一算法(A1)产生,并且将由所述第一网络设备产生的包含所述第一签名(AuthI)的数据组与由所述第二网络设备产生的包含所述第二签名(AuthI′)的数据组相比较;e)在所述第二网络设备上产生包含第三签名(AuthR)的数据组,并且在使用所述第一密码(Pw)和由所述第一消息(M1)的第三消息部分与所述第二消息(M2)的第四消息部分组成的待签名的数据的条件下通过实施第二算法(A2)产生,其中,所述第三消息部分为不同于所述第一消息部分的另一消息部分,和/或所述第四消息部分为不同于所述第二消息部分的另一消息部分,并且将包含产生的所述数据组的第四消息(M4)从所述第二网络设备发送到所述第一网络设备;f)在所述第一网络设备上产生包含第四签名(AuthR′)的数据组,并且在使用所述第一密码(Pw)和与所述第三签名(AuthR)相应的、由与产生所述第三签名(AuthR)时相同的所述消息(M1)的第三消息部分与相同的所述消息(M2)的第四消息部分组成的待签名的数据的条件下通过实施第二算法(A2)产生,并且将由所述第二网络设备产生的包含所述第三签名(AuthR)的数据组与由所述第一网络设备产生的包含所述第四签名(AuthR′)的数据组相比较;g)在所述第一网络设备上和在所述第二网络设备上分别产生第二密码(G),并且在使用所述第一密码(Pw)和在前述步骤a),b),c),d),e),f)中产生的至少一个数据组的条件下通过实施第三算法(A3)产生;h)使用通过所述第一网络设备和所述第二网络设备产生的第二共享密码(G)作为用于在所述第一网络设备和所述第二网络设备之间的安全通信的共享密钥。3.根据权利要求2所述的方法,其中,在步骤g)中,在所述第一网络设备和第二网络设备上仅分别使用相应具有相同的数据的产生的数据组,尤其分别使用包含至少一个随机数(Ni,Nr)的数据组中的至少一个,和/或使用包含第一、第三或第四签名的数据组中的至少一个,以及使用包含第一、第二或第三签名的数据组中的至少一个。4.根据权利要求2或3所述的方法,其特征在于,-在步骤a)之后,由所述第二网络设备首先执行对从所述第一网络设备传送的身份标识(IDi)的检验,并且基于所述检验的结果由所述第二网络设备决定开始步骤b)或者在步骤a)之后中断此方法,-在步骤b)之后,由所述第一网络设备首先执行对从所述第二网络设备传送的身份标识(IDr)的检验,并且基于所述检验的结果由所述第一网络设备决定开始步骤c)或者在步骤b)之后中断此方法,-在步骤d)之后,由所述第二网络设备根据所述第一签名与所述第二签名的比较结果决定开始步骤e)或者在步骤d)之后中断此方法,和/或-在步骤f)之后,由所述第一网络设备根据所述第三签名与所述第四签名的比较结果决定开始步骤g)或者在步骤f)之后中断此方法。5.根据前述权利要求2至4中任一项所述的方法,其特征在于,分别在每次实施步骤a)之前或者为步骤a)的多次实施,将所述第一密码(Pw)存储在或者通过输入界面输入到所述第一网络设备以及所述第二网络设备上,其中,在两个网络设备上使用第一密码(Pw)时,或者直接使用所述第一密码(Pw),或者使用以相同的方式由所述第一密码(Pw)推导出的数值,方式尤其是为了或者通过两个网络设备分别执行相同的推导方法。6.根据前述权利要求2至4中任一项所述的方法,其特征在于,分别在每次执行步骤a)之前或者为了步骤a)的多次实施,在两个网络设备其中之一上储存或通过输入界面输入第一密码(Pw),并且在两个网络设备中的另一个上储存或通过输入界面输入基于所述第一密码(Pw)推导出的数值,其中,在两个网络设备上使用所述第一密码(Pw)时,使用基于所述第一密码(Pw)以相同的方式推导出的数值。7.根据前述权利要求2至6中任一...
【专利技术属性】
技术研发人员:托尔斯滕·福德,
申请(专利权)人:菲尼克斯电气公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。