【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种根据权利要求1的前序部分详细定义类型的一种在信息技术系统的至少一个系统组件中实现和使用加密材料的方法。
技术介绍
1、实现和使用加密材料的方法主要涉及这样一个事实,即在装有加密材料的信息技术系统的系统组件的生命周期的不同阶段,必须使用与相应系统组件或系统组件的子模块的当前安全级别相对应的加密材料。这尤其适用于车辆的carit安全领域,但并非完全如此。
2、现代车辆和其他系统的特点是越来越多的联网。车辆不仅连接到一般可访问的系统,如互联网,而且还连接到由车辆制造商或oem操作的专用系统,例如制造商自己的应用程序和制造商自己的服务器,通常也称为后端服务器。这些都是由制造商专门为自己的车队开发、销售和运营的。所有这些加在一起也被称为车辆生态系统。
3、在实践中,这样一个车辆生态系统中的各个系统组件之间的各种通信关系产生了大量新的接口和应用程序,所有这些接口和应用程序都必须通过适当的密码方法,如机制、协议等来保护。这些基本上从现有技术中已知的密码方法需要各种加密材料,例如非对称密钥对、对称密钥、证书、随机数、哈希值等。所有这些加密材料都是相互协调的,并且通常在车辆生态系统中的所有参与系统组件中被引入,并且必须由其使用,以便在其启动之前交换加密材料,甚至在运行期间也是如此。例如,加密材料的提供,即所谓的供应/配置,是在制造过程中进行的,但也可以在系统组件的操作期间进行。系统组件特别包括安装在车辆中的控制设备,但也包括其他组件,例如安装在车辆中的应用程序、智能手机上可用的oem应用程序、车辆外部设备
4、为了可靠地防止对受保护通信的干扰,必须区分开发阶段使用的加密材料和生产阶段使用的加密材料,即成品的实际使用。开发阶段的加密材料,以下也称为测试加密材料。在开发阶段,只要是机密加密材料,就只能使用此类测试加密材料。生产加密材料,特别是机密生产加密材料,必须在系统组件的整个生命周期中防止未经授权的访问。在理想情况下,应通过遵守特定的安全流程和在各自的开发部门和生产设施中使用特定的保护机制来确保这种保护。然而,在开发阶段,这通常是不够的,因为信息技术系统的各种组成部分通常没有或尚未在这一开发阶段实施或实现。
5、例如,所需的加密材料的安全生成还不能完全实施或测试。在某些情况下,尚未确保将加密材料从生成服务器(即所谓的加密材料服务器)安全地传输到系统制造商,例如供应商。将加密材料安全地引入系统组件尚未实施或尚未最终实施。此系统组件中加密材料的安全存储可能尚未实施,因为例如,目标系统尚未安装硬件安全模块(hardwaresecurity module;hsm),尽管这将在稍后阶段安装。在某些情况下,系统中加密材料的安全使用尚未实施,例如,因为测试和调试所需的开发接口是可用的,这些接口具有对整个系统的读写访问,因此特别允许在开发阶段访问安装的加密材料。然而,其在开发过程中必然存在,并且通常对参与开发过程的所有人员和/或公司开放。
6、因此,这意味着无法确保在开发阶段使用的加密材料不会被篡改或读取。然而,这种测试加密材料的结构和形式与后来使用的生产性加密材料相同。因此,其也适用于后期操作,即相应系统组件的生产阶段。因此,特别重要的是,测试加密材料在生产系统中不被滥用,而测试加密材料的安全性相对较差,因此极有可能被损坏。当生产加密材料到达处于开发阶段的系统组件时,情况就更加严重了。这种具有非常高的保护要求的材料也可以被篡改或全部或部分读取。因此,其不再是机密,不能使用。如果错误没有被注意到或被故意掩盖,则稍后进入生产阶段的系统组件将失去保护。
7、在实践中,安全法规和指导方针由在各个阶段处理系统组件的人员实施。因此,不能排除错误、疏忽和蓄意篡改的可能性。因此,原则上总是存在这样一种风险,即测试加密材料将留在已经切换到生产阶段的系统组件中,或者生产加密材料将部署在仍处于开发阶段的系统组件上。由于许多开放的接口等,在开发阶段故意或意外使用的任何加密材料都极有可能被损坏。这些危险最终导致安全风险增加。这是现有方法的一个严重缺点。
8、一种用于安全使用加密材料的方法已经从de 10 2020 003 072 b3中已知。联网系统的几个系统组件都配备了加密材料。加密材料具有标记,该标记将加密材料标记为开发或生产材料。各个系统组件具有一个二进制状态标志,该标志指示相应的系统组件在其生命周期阶段是处于开发阶段还是处于生产阶段。然后,将加密材料的标记与相应系统组件的二进制状态标志进行比较。如果标记和标志一致,例如,如果加密材料被标记为开发材料,并且系统组件处于开发阶段,则相应的加密材料由系统组件使用。但是,如果标记和二进制状态标志不一致,则采取保险措施。对加密材料的标记和二进制状态标志之间的一致性的检查是在加密材料的各自使用之前进行的,或者是对系统组件中的整个加密材料进行一次检查。例如,可以在启动系统组件时或在提供加密材料时进行一致性检查。作为保险措施,可以发出警告消息、取消或阻止加密材料的提供和/或根据需要删除已经引入到系统组件中的加密材料。
9、然而,缺点是,为了区分是否允许在系统组件上使用加密材料,只区分相应系统组件的两个生命周期阶段和加密材料的两个不同属性(测试或生产)。在实际使用中,仅仅区分两组是不够的,因为不同的加密材料和系统组件安全使用加密材料的条件差别太大。例如,如果机密直接在硬件安全模块中生成和保存,并且从不离开,那么在开发阶段就可以安全地使用加密材料。然而,这方面的先决条件是,硬件安全模块在开发阶段不具有或使用允许读取机密的特殊诊断接口。另一方面,包含在软件中的机密是程序代码的一部分,因此可以通过各种接口相对容易地读取或重建。在系统组件的后期生产阶段安全地使用这样的机密是不可能的。
技术实现思路
1、本专利技术的目的在于给出一种在信息技术系统的至少一个系统组件中实现和使用加密材料的改进方法,其允许在不同的系统组件中特别灵活地安全地实现和使用不同方式的加密材料,同时确保在系统组件本身或至少一个子模块以不安全模式操作的情况下,系统组件或至少子模块使用适合于不安全操作的加密材料,在系统组件本身或至少一个子模块以安全模式操作的情况下,系统组件或至少子模块使用适合于安全操作的加密材料。
2、根据本专利技术,该目的通过一种在具有权利要求1的特征的信息技术系统的至少一个系统组件中实现和使用加密材料的方法来实现。有利的设计方案和改进方案在从属权利要求中给出。
3、在用于在上述类型的信息技术系统的至少一个系统组件中实现和使用加密材料的方法中,加密材料具有根据本专利技术由至少一个条件、至少一个角色和/或至少一个目标组件身份形成的附加数据。
4、本专利技术的方法允许在最多样化的系统组件和/或其子模块中特别灵活地安全地实现和使用加密材料。因此,不同的系统组件,如控制设备、云服务器、移动设备上运行的应用程序、车辆或外部设备,需要在不同的时间点使用各种加密材料,如对称或非对称密钥、证书、随机数、哈希值等。因此,要使用加密材料的特本文档来自技高网...
【技术保护点】
1.一种在信息技术系统(IT-S)的至少一个系统组件(SK)中实现和使用加密材料(KM)以执行至少一个操作的方法,其中,至少在第一时刻检查由至少一个变量(VAR)描述的系统组件(SK)的状态,用附加数据补充所述加密材料(KM),其中,所述附加数据描述所述系统组件(SK)的可能状态,当所述加密材料(KM)的附加数据至少包括系统组件(SK)在第一时刻所具有的状态时,由所述系统组件(SK)使用所述加密材料(KM),
2.根据权利要求1所述的方法,其特征在于,所述加密材料(KM)包括至少一个目标组件特定的角色(ROLEKM*)。
3.根据权利要求1或2所述的方法,其特征在于,所有条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov)由所述系统组件(SK)的外部创建者定义,并且由在所述系统组件(SK)的环境中运行的至少一个评估者进行评估,其中,所述创建者和所述评估者共同确定所述创建者在定义中可以使用哪些变量(VAR)。
4.根据权利要求1至3中任一项所述的方法,其特征在于,至少一个变量(
5.根据权利要求1至4中任一项所述的方法,其特征在于,至少一个条件(BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov)被定义为目标组件特定的和/或操作特定的。
6.根据权利要求5所述的方法,其特征在于,对于目标组件特定和/或操作特定的条件(BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov),在不同的目标组件上和/或在不同的操作中使用至少一个不同的变量(VAR)。
7.根据权利要求3至6中任一项所述的方法,其特征在于,所述评估者通过评估函数检查条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov),其中,至少两个不同的评估者使用不同的评估函数,特别是操作特定的评估函数。
8.根据权利要求1至7中任一项所述的方法,其特征在于,至少一个条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov)以可机器处理的定义语言来定义,其中,使用可由解释器解释的可执行语言或以下形式逻辑之一:
9.根据权利要求8所述的方法,其特征在于,至少两个条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov)是用不同的定义语言制定的,特别是两个目标组件特定的条件(BEDKMType(skid),BEDKMType(skid),Prov)。
10.根据权利要求8或9中任一项所述的方法,其特征在于,所述加密材料(KM)包括至少两个条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov),并且必须满足所有条件(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov),以便由所述系统组件(SK)使用所述加密材料(KM)。
11.根据权利要求5或10中任一项所述的方法,其特征在于,如果在所述系统组件(SK)上要使用其目标组件特定的条件(BEDKMType(skid),BEDKMType(skid),Prov)不包括相应系统组件(SK)的类别的加密材料(KM),如果通过使用所述加密材料(KM)执行不由操作特定的条件(BEDKMProv,BEDKMType(skid),Prov)包括的操作,或者如果所述评估者无法获取检查状态所需的变量(VAR),则评估者(BED,BEDKM*,BEDKMProv,BEDKMType(skid),BEDKMType(skid),Prov)默认为所述条件提供以下响应:
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述加密材料(KM)所包含的所有附加数据被加密保护以防止破坏,特别是使用至少一个数字签名和/或对称完整性保护机制。
13.根据权利要求12所述的方法,其特征在于,至少两个不同的行为者获得对所述加密材料(KM)进行数字签名的授权,其中,所有被授权签名的行为者获得分配给他们的单独私钥,包括相关联的单独页证书和相关联的证书链。
14.根据权利要求1至13中任一项所述的方法,其特征在于,车辆生态系统被用作所述信息技术系统(IT-S)。
...【技术特征摘要】
【国外来华专利技术】
1.一种在信息技术系统(it-s)的至少一个系统组件(sk)中实现和使用加密材料(km)以执行至少一个操作的方法,其中,至少在第一时刻检查由至少一个变量(var)描述的系统组件(sk)的状态,用附加数据补充所述加密材料(km),其中,所述附加数据描述所述系统组件(sk)的可能状态,当所述加密材料(km)的附加数据至少包括系统组件(sk)在第一时刻所具有的状态时,由所述系统组件(sk)使用所述加密材料(km),
2.根据权利要求1所述的方法,其特征在于,所述加密材料(km)包括至少一个目标组件特定的角色(rolekm*)。
3.根据权利要求1或2所述的方法,其特征在于,所有条件(bed,bedkm*,bedkmprov,bedkmtype(skid),bedkmtype(skid),prov)由所述系统组件(sk)的外部创建者定义,并且由在所述系统组件(sk)的环境中运行的至少一个评估者进行评估,其中,所述创建者和所述评估者共同确定所述创建者在定义中可以使用哪些变量(var)。
4.根据权利要求1至3中任一项所述的方法,其特征在于,至少一个变量(var)具有以下值范围之一:
5.根据权利要求1至4中任一项所述的方法,其特征在于,至少一个条件(bedkmprov,bedkmtype(skid),bedkmtype(skid),prov)被定义为目标组件特定的和/或操作特定的。
6.根据权利要求5所述的方法,其特征在于,对于目标组件特定和/或操作特定的条件(bedkmprov,bedkmtype(skid),bedkmtype(skid),prov),在不同的目标组件上和/或在不同的操作中使用至少一个不同的变量(var)。
7.根据权利要求3至6中任一项所述的方法,其特征在于,所述评估者通过评估函数检查条件(bed,bedkm*,bedkmprov,bedkmtype(skid),bedkmtype(skid),prov),其中,至少两个不同的评估者使用不同的评估函数,特别是操作特定的评估函数。
8.根据权利要求1至7中任一项所述的方法,其特征在于,至少一个条件(bed,bedkm*,bedkmprov,bedkmtype(skid),bedkmtype(...
【专利技术属性】
技术研发人员:V·弗里森,V·巴甫洛维奇,
申请(专利权)人:梅赛德斯奔驰集团股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。