用于在網絡中求得密碼密鑰的方法和設備的制作方法
【專利摘要】本發明涉及一種用于在網絡中產生密碼密鑰的方法，其中該網絡具有第一網絡元件（102）、第二網絡元件（104）和網絡節點（106），其中第一網絡元件可經由第一傳輸信道（112）與該網絡節點通信以及第二網絡元件可經由第二傳輸信道（114）與該網絡節點通信。該方法在第一網絡元件側包括：基于由網絡節點發送的第一導頻信號確定關于第一傳輸信道的第一信道信息的步驟；以及在使用第一信道信息和關于組合信道信息的信息情況下來求得對稱密碼密鑰的步驟，其中組合信道信息代表在網絡節點側基于由第一網絡元件傳輸給網絡節點的第二導頻信號和由第二網絡元件傳輸給網絡節點的第三導頻信號而確定的、第一和第二傳輸信道（112，114）的傳輸特性的組合。
【專利說明】用于在網絡中求得密碼密鑰的方法和設備
【技術領域】
[0001]本發明涉及用于在網絡中求得密碼密鑰的方法、用于輔助在網絡中求得對稱密碼密鑰的方法、相應的設備以及相應的計算機程序產品。
【背景技術】
[0002]維護要傳輸的數據的機密性是通信安全性領域中重要的保護目標之一。為此通常使用合適的加密方法，也即相應數據不以明文傳輸，而是首先在發送器側被加密，以便然后在接收器側又被解密。僅僅可以竊聽被發送的信號的潛在攻擊者因此不能夠容易地以明文重建原始數據。
[0003]機密數據的這種加密尤其是在無線通信系統中是重要的，因為在此發射的信號無需大耗費地總是也可能被附近的潛在攻擊者接收并且竊聽。雖然如此，然而這當然常常也在有線系統中起非常重要的作用。
[0004]常規地有兩種不同的用于相應加密方法的方案。在對稱方法中，發送器(Alice(愛麗絲))和接收器(Bob (鮑勃))擁有同一密鑰。在非對稱方法中，發送器將要傳輸的數據用接收器的公共(也即對潛在攻擊者也可能是已知的)密鑰加密。但是僅僅能夠用所屬的私人密鑰進行解密，該私人密鑰理想地僅僅為接收器所已知。

【發明內容】

[0005]以此為背景，利用本發明介紹了按照獨立權利要求所述的用于在網絡中求得(Ermittlung)密碼密鑰的方法、用于輔助在網絡中求得對稱密碼密鑰的方法，此外介紹了使用該方法的設備以及最后介紹了相應計算機程序產品。有利的擴展方案從各自的從屬權利要求和后面的描述中得到。
[0006]按照當前描述的方案，在網絡中可經由網絡節點相互通信的兩個網絡元件(Alice和Bob)可以分別產生同一密鑰。由這兩個網絡元件產生的密鑰可以在接著的在兩個網絡元件之間的數據傳輸時被用于對稱的加密方法。為了產生該密鑰，這些網絡元件可以動用它們可以從網絡節點獲得的數據。尤其是，為了產生密鑰可以經由在網絡元件之間的至少一個傳輸信道來使用信息。這樣的信息可以例如涉及傳輸信道的傳輸特性。
[0007]這樣的用于在網絡中求得密碼密鑰的方法，其中該網絡具有第一網絡元件、第二網絡元件和網絡節點，其中第一網絡元件可經由第一傳輸信道與該網絡節點通信以及第二網絡元件可經由第二傳輸信道與該網絡節點通信，在第一網絡元件側包括如下步驟:
基于代表由網絡節點發送的、經由第一傳輸信道傳輸的并且由第一網絡元件接收的信號的第一導頻信號確定關于第一傳輸信道的第一信道信息；以及
在使用第一信道信息和關于組合信道信息的信息情況下來求得密碼密鑰，其中組合信道信息代表在網絡節點側基于經由第一傳輸信道由第一網絡元件傳輸給網絡節點的第二導頻信號和基于經由第二傳輸信道由第二網絡元件傳輸給網絡節點的第三導頻信號而確定的并且傳送給第一網絡元件的、第一和第二傳輸信道的傳輸特性的組合。[0008]通過執行該方法的步驟可以產生或生成密碼密鑰。網絡元件可以是通信裝置，其分別被構造用于發送數據和接收數據。例如，第一網絡元件可以被構造用于經由第一傳輸信道向網絡節點發送數據并且經由第一傳輸信道從網絡節點接收數據。相應地，第二網絡元件可以被構造用于經由第二傳輸信道向網絡節點發送數據并且經由第二傳輸信道從網絡節點接收數據。網絡節點可以被構造用于將從第一網絡元件接收的數據向第二網絡元件轉發。相應地，網絡節點可以被構造用于將從第二網絡元件接收的數據向第一網絡元件轉發。傳輸信道可以分別是有線路的或無線路的傳輸信道。這也包含光學系統，其中經由光波導例如玻璃纖維或塑料纖維傳輸。網絡元件例如可以是傳感器或執行器的一部分。網絡節點可以是用于控制網絡元件或路由器或交換器的控制裝置的部分或轉發裝置。網絡元件可以經由網絡節點相互通信。為了能夠彼此交換加密的消息，網絡元件可以分別產生相同的密碼密鑰并且將其使用于對稱的加密方法。當在兩個網絡元件側求得密鑰之后，網絡元件還可以經由網絡節點或例如經由另外的網絡節點或直接相互通信。在此，在網絡元件之間要傳輸的數據可以借助密鑰在發送器側被加密并且在接收器側被解密。這些密鑰在此于是可以被求得為使得其僅僅為這兩個網絡元件所已知。通過這種方式，當在網絡元件之間要傳輸的數據在傳輸期間通過偵聽裝置被偵聽時，所述數據于是也可以被保護以防不期望的解密。
[0009]信道信息例如可以定義所基于的傳輸信道的物理特性或者通過這種物理特性來定義。信道信息例如可以是傳輸信道的信道脈沖響應、傳輸信道衰減、傳輸信道的載頻的相移、傳輸信道的運行時間分布或延遲擴展(delay spread)或者可以表示一個或多個其他合適的特征性信道參數。導頻信號可以是適于求得經由其傳輸導頻信號的那個傳輸信道的信道信息。導頻信號例如可以代理狄拉克脈沖或階躍函數。此外例如所謂的“CAZAC序列”(恒幅零自相關(Constant Amplitude Zero Autocorrelation))適于作為導頻信號，但是原則上幾乎任意為發送器和接收器所已知的數據序列也適于作為導頻信號。各個導頻信號可以是類似的、例如相同的或者不同的。尤其是，第三導頻信號可以與第二導頻信號相同。各個導頻信號的類型在此應當通常為各自的接收器所已知，以便可以執行基于導頻的信道估計。
[0010]第二和第三導頻信號可以同時被發送或者同時到達網絡節點，使得網絡節點可以以疊加的形式接收第二和第三導頻信號。網絡節點為此可以具有用于接收第二導頻信號和第三導頻信號的接收接口。網絡節點可以被構造用于從所接收的由第二和第三導頻信號組成的疊加來確定組合的信道信息。該組合的信道信息可以由該網絡節點傳送給該第一網絡元件。
[0011]該方法可以包括在第一網絡元件側同步化地傳輸第二導頻信號的步驟。由此，可以實現第二導頻信號經由第一傳輸信道和第三導頻信號經由第二傳輸信道的同步傳輸。通過這種方式可以保證:以疊加的形式由網絡節點接收第二和第三導頻信號并且單獨的接收是不可能的。這是重要的，以便網絡節點本身不能產生相應的密鑰，由此提高了安全性。由此，該網絡節點被阻止:經由第二和第三導頻信號相互分離地求得關于第二傳輸信道的第一信道信息和第二信道信息。在提供的步驟中可以給至第一傳輸信道的接口提供第二導頻信號或者經由第一傳輸信道發送該第二導頻信號。
[0012]例如可以在同步化提供的步驟中，響應于接收到由網絡節點發送的觸發信號而提供第二導頻信號。代替地，可以在接收到該第一導頻信號之后預先確定的持續時間提供第二導頻信號。由此，也可以使網絡節點對第二和第三導頻信號的即將來臨的到達而作準備。
[0013]在求得密碼密鑰的步驟中，可以從第一信道信息和關于組合信道信息的信息來確定關于第二傳輸信道的第二信道信息。密碼密鑰可以在使用第一信道信息和第二信道信息的情況下來求得。因此可以使用關于第一網絡元件側的組合信道信息的信息來確定關于第二傳輸信道的第二信道信息，而不將第一網絡元件直接與第二傳輸信道耦合。首先，僅僅求得密碼密鑰。通過兩個網絡元件使用相同的方法，于是密鑰最終也變成對稱的，也即其可以與對稱的加密方法結合地被使用。
[0014]此外，在求得密碼密鑰的步驟中，可以基于第一信道信息和第二信道信息來確定至少一個關于第一傳輸信道和/或第二傳輸信道的信道參數。密碼密鑰可以在使用所述至少一個信道參數情況下來求得。所述至少一個信道參數因此可以被分配給第一傳輸信道或第二傳輸信道或第一和第二傳輸信道的聯合。所述至少一個信道參數可以通過第一信道信息和第二信道信息的邏輯連接(Verknilpfung)來確定。不同的信道參數可以通過第一信道信息和第二信道信息的不同邏輯連接來確定。例如可以在使用基本計算或通過卷積情況下進行邏輯連接。
[0015]在第一網絡元件側執行的步驟以相應的方式也可以在第二網絡元件側執行。在此，除了第三導頻信號的與第二導頻信號發送相協調的發送以外，可以與在第一網絡元件側執行的步驟無關地實施在第二網絡元件側執行的步驟。但是分別使用的方法當然是相同的，以便在兩側上最后也產生相同的密鑰。因此可以在第一網絡元件和第二網絡元件側上并行地實施兩種用于求得密碼密鑰的方法。
[0016]由此，該方法或在第二網絡元件側上單獨地實施的方法可以包括下面的步驟: 基于第一導頻信號或另外的第一導頻信號確定關于第二傳輸信道的第二信道信息，其
中所述另外的第一導頻信號代表由網絡節點發送的、經由第二傳輸信道傳輸并且由第二網絡元件接收的信號；并且
在使用第二信道信息和關于組合信道信息的信息情況下求得密碼密鑰。
[0017]此外，用于在網絡中求得密碼密鑰的方法可以包括用于輔助在網絡中求得對稱密碼密鑰的方法的步驟，這些步驟在網絡節點側上被實施。
[0018]用于輔助在具有第一網絡元件、第二網絡元件和網絡節點的網絡中求得對稱密碼密鑰的方法可以在網絡節點側包括如下步驟，其中第一網絡元件可經由第一傳輸信道與該網絡節點連接以及第二網絡元件可經由第二傳輸信道與該網絡節點連接:
經由第一傳輸信道將第一導頻信號發送給第一網絡元件并且經由第二傳輸信道將所述第一導頻信號或另外的第一導頻信號發送給第二網絡元件；
基于代表由第一網絡元件發送的、經由第一傳輸信道傳輸并且由該網絡節點接收的信號的第二導頻信號并且基于代表由第二網絡元件發送的、經由第二傳輸信道傳輸并且由該網絡節點接收的信號的第三導頻信號確定關于第一傳輸信道和第二傳輸信道的組合信道/[目息;以及
將關于組合信道信息的信息發送給第一網絡元件并且給第二網絡元件，以便使第一網絡元件和第二網絡元件能夠求得對稱的密碼密鑰。
[0019]這兩個第一導頻信號可以是相同的。代替地也可以使用不同的導頻信號來在第一和第二網絡元件處進行信道估計，也即第一導頻信號和另外的第一導頻信號可以彼此不同，也即例如具有不同的數據序列。
[0020]因此，可以在網絡元件和網絡節點協同作用的情況下由第一網絡元件和第二網絡元件產生對稱密鑰，它們可以被用于在網絡元件之間的加密的數據傳輸。為此，要傳輸的數據可以借助密鑰在一個網絡元件側來加密、以加密形式被發送、以加密形式由另一網絡元件接收并且借助該密鑰解密。
[0021]本發明還實現了一種或多種設備，所述一種或多種設備被構造用于在相應的裝置中執行或實施一種或多種本發明方法的步驟。通過設備形式的本發明的所述實施變型，也可以快速并且高效地解決本發明所基于的任務。
[0022]設備當前可以理解為網絡元件、網絡節點或分別其一種部分裝置。通常設備可以理解為電設備，該電設備可以接收或讀入輸入信號并且可提供或輸出輸出信號。設備可以具有接口，所述接口可以按硬件和/或按軟件構造。在按硬件構造時，接口例如可以是所謂的系統ASIC或FPGA的部分，其包含該設備的最不同的功能。但是也可能的是，這些接口是自己的集成電路或者至少部分地由分立器件構成。在按軟件構造時，所述接口可以是軟件模塊，其例如除了其他軟件模塊之外存在于微控制器上。
[0023]也有利的是，帶有程序代碼的計算機程序產品，所述程序代碼可以在機器可讀載體例如半導體存儲器、硬盤存儲器或光學存儲器上存儲并且當該程序產品在計算機或設備上實施時，被用于執行按照前述實施方式之一的方法。
[0024]所描述的方案基于對稱方法。對稱方法具有如下優點:它們不同于非對稱方法通常具有較低的計算復雜度。由此，它們也適于輕量級節點例如傳感器、執行器等等，它們通常應當僅僅擁有相對低的計算能力并且能量高效地工作，例如基于電池運行。此外，通常僅僅有限的帶寬可供使用用于數據傳輸，這使得長度直至2048比特或者如果必要還更長的非對稱密鑰的交換變得沒有吸引力。
[0025]在對稱方法的情況下，必須保證:不僅接收器而且發送器都擁有相同的密鑰。在此，所屬的密鑰管理通常是非常苛求的任務。在移動無線電的范圍中，密鑰例如借助SIM卡被引入到移動電話中和所屬網絡于是可以將相應密鑰分配給SIM卡的唯一的標志。而在無線LAN的情況下，通常進行要使用的密鑰的手動輸入，通常通過在網絡的裝置處輸入密碼。但是如果存在非常大量的節點，例如在傳感器網絡或其他機器對機器通信系統中，這種密鑰管理快速地變得非常費事并且不實用的。通過當前描述的方案，可以簡化密鑰管理。由此，例如通常用小的耗費改變要使用的密鑰變得可能。
[0026]當前描述的方案可以在以關鍵詞“物理層安全(Physical Layer Security)”已知的方案上構建，借助其可以針對對稱方法基于在所涉及的節點(Alice和Bob)之間的傳輸信道自動地產生密鑰。在此，充分利用所述傳輸信道的相互關系。這按照一種實施方式如下地進行:
兩個節點估計確定數量的信道參數，也可能在時間上來估計。
[0027]這些信道參數可以由兩個節點合適地量化。
[0028]借助合適的機制于是可以在使用公共協議情況下進行量化的信道參數的平衡。這必要時也可以經由網絡節點進行。此外可以進行驗證，借助其可以確保:兩個網絡元件實際上生成了同一密鑰。為此，例如可以關于密鑰計算并且交換合適的哈希值。這可以是必要的，因為由于測量不精確性、噪聲、干擾等等，兩個節點一般首先沒有求得相同的參數組。在此，應當構成平衡，使得可以竊聽所交換的數據的潛在攻擊者(Eve (夏娃))不能容易地由此推斷出量化的信道參數。網絡節點也應當不能夠得出相應的推論。
[0029]基于平衡的量化的信道參數，最終可以產生相應的對稱密鑰。
[0030]因為Eve以足夠大的至Alice和Bob的距離(處于所謂的相干長度的數量級，所述相干長度在常見的無線通信系統中處于幾個厘米的范圍中)看見至所述節點的分別其他(無關的)傳輸信道，因此Eve不能容易地重建同一密鑰。此外，也可以借助該方案無大耗費地規則地執行密鑰更新(Re-keying)，也即重新計算要使用的密鑰，并且不必動用復雜的、計算強化的非對稱方法。
[0031]所描述的方案因此尤其是提供了相比非對稱方法節省成本和較小的能量消耗的優點。此外，能夠實現相比(常規)對稱方法強烈簡化的密鑰管理。即使對于不喜歡技術的人員，也有簡單的可使用性(“Plug-and-Secure”)。此外,給出了可定標的安全性,也即原則上可以根據要求產生任意長度的密鑰并且給出了系統的可定標性。
[0032]當前描述的方案包括如下方法:即使在Alice和Bob之間信噪比(SNR)相對差的情況下或者如果他們根本不能直接相互通信，利用該方法能夠實現相應對稱密鑰的高效的自動化生成。這在借助位于其間的另外的節點例如中繼(在下面被稱為Max (馬克思))的情況下發生，該另外的節點對于Alice以及對于Bob具有比在Alice和Bob本身之間的SNR明顯更好的SNR。在此，在密鑰生成時，Max以合適的方式和方法來輔助Alice和Bob，而不能容易地重建密鑰本身。
[0033]如果在作為“物理層安全”而已知的方案的第一步驟中求得的、具有噪聲、測量不精確性、干擾等的信道參數不具有足夠高的相關性，則也還可以有意義地使用這種方法。在這種情況下還是可以非常快速地執行按照當前描述的方案的相應密鑰的生成，因為不需要用于平衡參數的提高的耗費并且因此該系統難以被攻擊。尤其是當在Alice和Bob之間的信噪比相對差或者在這些節點之間根本不能實現直接通信時、也即例如當在兩個節點之間的距離相對大時、在其之間有墻或其他對象時等，這也適用。
[0034]按照當前描述的方案，Alice和Bob可以首先各自己估計至Max的信道并且接著Max組合Alice和Bob的和信道，或者反過來。根據特點，估計單個特征參量或特性并且用于密鑰生成也已經是足夠的。不一定需要，估計完整的脈沖響應或者傳輸函數。這也適用于在該方案中的下面的實施。該和信道信息于是可以借助公共協議被傳輸給Alice和Bob,他們因此可以在充分利用對至Max的其自己的信道的認識情況下求得在Max和相應的另一節點之間的相應信道。因此，Alice和Bob知道在這些節點和Max之間的相應信道并且可以以合適的方式和方法將其相互組合，以便基于組合信道信息最終推導出相應的對稱密鑰。而Max以及潛在攻擊者必要時僅僅知道估計的或者借助公共協議傳輸的和信道、但是不知道至Alice和Bob的所屬單信道，從而其不能容易地重建所生成的對稱密鑰。
[0035]當前描述的方案的主要優點是基于物理信道自動化地、高效地生成對稱密碼密鑰，帶有所有先前已經簡短描述的優點，即使在所涉及的節點(Alice和Bob)之間的直接通信是不可能的或者存在比較差的SNR，其也是可能的。在此，充分利用:在實際系統中總歸經常存在為此所需的輔助節點(Max)。在具有中央化的介質訪問的通信系統情況下，例如在輪詢方法情況下，中央控制單元(例如所謂的“主機”節點)可以接管該角色，而在多跳傳輸情況下在例如ZigBee(基于IEEE 802.15.4)或者無線LAN的無線通信系統的范圍中總歸涉及的中繼站可以連同實現相應的功能性。僅僅一起獲得借助公共協議傳輸的信道信息例如和信道信息的潛在攻擊者(Eve)不能容易地推斷出所屬的單信道并且從而求得自動生成的對稱密鑰。這同樣也適用于輔助節點(Max)本身。信道信息通常不一定必須是和(Summe)，而是僅僅是各個信道參數的合適的組合。
[0036]通過所描述方法的多次應用，原則上可以實現端對端加密或者至少實現在多個鏈路上的保護。利用常規地考慮的方法，總是僅僅對于恰好一個鏈路產生對稱密鑰并且也僅僅應用在該鏈路。
[0037]與常規密鑰管理方法或非對稱方案相比，此外可以隨時無問題地執行密鑰更新，以便通過這種方式進一步提高保護程度。
【專利附圖】

【附圖說明】
[0038]下面借助附圖示例性地進一步闡述本發明。其中:
圖1示出按照本發明實施例的網絡的示意圖；
圖2示出按照本發明實施例的網絡元件的示意圖；
圖3示出按照本發明實施例的網絡節點的示意圖；以及
圖4示出按照本發明實施例的用于在網絡中求得對稱密碼密鑰的總方法的流程圖。【具體實施方式】
[0039]在本發明的優選實施例的后面的描述中，針對在不同圖中示出并且作用類似的元件使用相同或類似的參考標號，其中放棄對這些元件的重復的描述。
[0040]圖1示出按照本發明實施例的網絡的示意圖。示出帶有第一網絡元件102、第二網絡元件104和網絡節點106的網絡。第一網絡元件102也表示為Alice，第二網絡元件104也表示為Bob并且網絡節點106也表示為Max。通常，網絡元件102、104和網絡節點106通常也可以被稱為節點。
[0041]第一網絡元件102可以經由第一傳輸信道112與網絡節點106通信，因此數據可以在第一網絡元件102和網絡節點106之間經由第一傳輸信道112被傳輸。第二網絡元件104經由第二傳輸信道114與網絡節點106連接，因此數據可以在第二網絡元件104和網絡節點106之間經由第二傳輸信道112被傳輸。網絡節點106可以被構造用于將從第一網絡元件102接收的數據向第二網絡元件104轉發并且反過來。通過這種方式，網絡元件102、104可以經由網絡節點106彼此通信。
[0042]傳輸信道112、114可以實施為本身可偵聽的。例如經由傳輸信道112、114的數據傳輸可以按照公共已知的協議或者傳輸方法來進行。如果經由傳輸信道112、114不加密地傳送數據，則所述數據例如可能由另外的網絡元件或者偵聽裝置120 (也稱為Eve)偵聽并且使用。為此，偵聽裝置120可以經由第三傳輸信道122、即所謂偵聽信道與第一網絡元件102、第一傳輸信道112或者網絡節點106耦合并且附加地或代替地經由第四傳輸信道124、即所謂的偵聽信道與第二網絡元件104、第二傳輸信道114或者網絡節點106耦合。
[0043]為了能夠實現經由傳輸信道112、114和網絡節點106在網絡元件102、104之間的安全的數據傳輸，網絡元件102、104可以使用對稱加密方法。對稱加密方法基于兩個對稱、也即相同的密碼密鑰，所述兩個密碼密鑰中分別之一可以由兩個網絡元件102、104產生并且可以被用于加密要經由傳輸信道112、114傳輸的數據并且用于解密經由傳輸信道112、114傳輸的數據。
[0044]按照該實施例，網絡元件102、104分別被構造用于基于關于傳輸信道112、114的信道信息確定所述密鑰。信道信息例如可以是關于第一傳輸信道112的信道脈沖響應匕(t)和關于第二傳輸信道114的信道脈沖響應112(1:)。然而,代替信道脈沖響應hjt)，h2(t),信道信息也可以是其它合適的參數或傳輸信道112、114的特征性值。
[0045]下面借助實施例描述通過網絡元件102、104產生密鑰。
[0046]為此觀察如圖1中所示的裝置。可以是網絡的兩個節點的兩個網絡元件102、104 (Alice和Bob)想安全地傳輸數據并且為此使用合適的對稱加密方法。然而在網絡元件102、104 (Alice和Bob)之間的直接信道的SNR必要時是相對差的或者在兩個網絡元件102、104之間根本不可能有直接的通信。因此，存在在其間的網絡節點106，該網絡節點可以是輔助站(Max)并且具有對于第一網絡元件102 (Alice)以及對于第二網絡元件104(Bob)的更好的SNR。網絡節點106在實際實現中例如可以是中繼、中央控制單元而或者任意其他節點。此外在圖1中也還示出了潛在攻擊者120 (Eve)，其想偵聽在網絡元件102、104 (Alice和Bob)之間交換的數據。
[0047]在圖1中，針對每個鏈路112、114、122、124也繪制了相應的信道脈沖響應4(0，h2(t)，h3(t)，h4(t)，它們在確定的時刻完全地描述所屬的傳輸信道112、114、122、124。在下面，將本發明的實施例描述為，使得基于這些信道脈沖響應比(0，h2(t)，h3(t)，h4(t)來產生對稱密碼密鑰并且因此也必須相應地估計或者此外求得它們。但是原則上也可以設想的是，為此使用僅僅確定的、也非完整的信道信息、例如在OFDM系統的各種子載波上的相移或衰減數值或者在兩個節點之間(例如分別在網絡節點106和網絡元件102、104之間)的延遲擴展。此外，當然也可以考慮其序列，也即例如信道脈沖響應Ii1 (t)，h2 (t)，h3 (t)，h4 (t)的整個系列或者剛好其他的、必要時非完整的、例如在不同時刻的信道信息。
[0048]在此，所建議的方法按照實施例如下地起作用:
由網絡節點106 (Max)發送導頻信號，基于所述導頻信號，網絡元件102、104 (Alice和Bob)可以估計信道脈沖響應Ii1⑴和h2 (t)。
[0049]網絡元件102、104 (Alice和Bob)接著同時發送同樣合適的導頻信號。這些信號的發送在此例如可能通過由網絡節點106 (Max)對特定消息的發送而被沖擊或者隱含地在由網絡節點106 (Max)發送導頻信號之后預先定義的時間之后。因為網絡節點106 (Max)因此僅僅接收網絡元件102、104(Alice和Bob)的導頻信號的疊加，因此其僅僅能夠估計信道脈沖響應之和Ii1 (t) +h2 (t)。于是不能容易地由此求得單個信道脈沖響應Ii1 (t)和h2 (t)。
[0050]網絡節點106 (Max)借助公共協議將信道脈沖響應之和Ii1 (t) +h2 (t)發信號通知給網絡元件102、104(Alice和Bob)。關于信道脈沖響應之和Ii1 (t)+h2(t)的該信息原則上也可以由偵聽裝置120 (Eve)接收，但是由于已經提到的困難，由此推導出Mt)和匕⑴，這不是較大的問題。
[0051]因為第一網絡元件102 (Alice)知道信道脈沖響應Ii1 (t)，并且第二網絡元件104 (Bob)知道信道脈沖響應h2(t)，因此兩個網絡元件102、104 (Alice和Bob)可以從和h^O+h^t)中求得分別另外的信道脈沖響應h2(t)或4(0。[0052]網絡元件102、104(Alice和Bob)被構造用于然后以合適的方式和方法組合Ii1 (t)和112(0并且因此求得共同的信道參數組。在此情況下，原則上可以設想各種邏輯連接函數，例如兩個函數比(0和匕⑴的卷積、乘法等等。信道脈沖響應hjt) h2(t)的邏輯連接應當尤其是以如下方式來進行，即該邏輯連接的結果不能容易地從信道脈沖響應之和h!(t)+h2(t)來求得。
[0053]共同的信道參數組于是作為基礎用于借助原則上已知的策略、也即利用將通常首先還不同的信道參數組用合適的(公共)協議來平衡(Abgleich)而生成相應的對稱密碼密鑰并且接著產生真實密鑰以及對所產生的密鑰進行驗證，例如通過交換合適的哈希值，所述哈希值是基于所述密鑰計算的。因此，這兩個網絡元件102、104可以分別彼此分離地從信道脈沖響應Ii1 (t)和1!2(0的邏輯連接中分別求得信道參數組。這兩個所求得的信道參數組于是可以彼此平衡，以便在兩個網絡元件102、104中分別獲得經平衡的信道參數組，從所述經平衡的信道參數組中于是又可以由兩個網絡元件102、104彼此分離地生成密鑰。 [0054]因為潛在攻擊者120 (Eve)在至網絡節點106 (Max)的距離(該距離通常處于幾個厘米的數量級)足夠大時將對于網絡元件102、104 (Alice和Bob)的其他信道脈沖響應h3(t)、h4(t)看作是網絡元件106的并且甚至在知道和IllUHh2⑴時也不能容易地確定單信道脈沖響應Ii1 (t)和112(0，因此潛在攻擊者120 (Eve)不能自己求得由網絡元件102、104產生的密鑰。
[0055]此外，應該注意到:在稍后由網絡元件102、104 (Alice加(zu) Bob)進行數據傳輸時或者正好相反在將網絡節點106 (Max)包括在內情況下，該網絡節點必要時同樣必須為第一網絡元件102或第二網絡元件104 (Alice或Bob)估計相應的信道脈沖響應Ii1 (t),h2(t)。但是如果在密鑰生成和真實數據傳輸之間足夠地消逝了通常處于信道相干時間的數量級的時間，其中所述相干時間在無線系統情況下大多小于一秒，則信道脈沖響應在該時刻卻與先前確定的信道脈沖響應Ii1Uhh2⑴無關，因此網絡節點106 (Max)本身由此于是不能事后地推斷出生成的密鑰。
[0056]如果網絡節點106 (Max)被收買了，當然會有一般的安全性風險。但是只要通過網絡元件102、104 (Alice和Bob)進行的導頻信號發送借助網絡節點106 (Max)的特定消息被沖擊(anstoflen)，所述特定消息總是前往兩個網絡元件102、104，則尤其是在無線或基于總線的通信系統中可以確保，兩個網絡元件102、104總是實際上同時傳輸其導頻信號并且網絡節點106 (Max)因此僅僅可以估計單信道脈沖響應IllUhh2 (t)之和。對于網絡節點106 (Max)來說因此不能容易地實現:對網絡元件102、104 (Alice和Bob)冒充規則的功能方式并且因此稍后必要時截獲機密消息。但是當然不能防止的是，禁止通過網絡節點106 (Max)生成密鑰，但是這能夠由網絡元件102、104 (Alice和Bob)相應地被斷定。
[0057]所描述的方法可以在具有節點形式的網絡元件102、104的裝置中使用，這些節點動態地在包括網絡節點106在內的情況下想要產生對稱密碼密鑰并且可能受到潛在攻擊者220的威脅。在圖1中所示的函數hi (t) (i=l,…4)表示在所考察的時刻不同鏈路的各個信道脈沖響應。
[0058]該網絡可以具有其他未示出的網絡元件或者網絡節點。例如，第二網絡元件104可以經由另外的網絡節點與第三網絡元件耦合。為了在第二和第三網絡元件之間通信可以以相應方式生成所產生的密鑰。[0059]圖2示出了按照本發明實施例的網絡元件102的示意圖。在此，可以涉及圖1中所示的網絡元件之一，其在網絡中可以經由第一傳輸信道112與網絡節點通信并且此外經由第二傳輸信道與另外的網絡元件通信。
[0060]網絡元件102具有用于經由第一傳輸信道112與遠離網絡元件102地布置的網絡節點無線路地或者有線路地通信的通信接口 230。網絡元件102被構造用于經由通信接口230接收第一導頻信號并且經由通信接口 230發送第二導頻信號。此外，該網絡元件102被構造用于經由通信接口 230接收數據，所述數據包括關于有關第一傳輸信道112和第二傳輸信道的組合信道信息的信息。
[0061]網絡元件102還具有確定裝置232。該確定裝置232被構造用于使用由通信接口230接收的第一導頻信號，以便確定關于第一傳輸信道112的第一信道信息。此外，對于確定裝置232可以存在關于由網絡節點發送的第一導頻信號的特性的信息。
[0062]此外，網絡元件102具有求得裝置234。求得裝置234被構造用于使用第一信道信息和由通信接口 230接收的關于組合信道信息的信息，以便確定關于第二傳輸信道的第二信道信息。此外，求得裝置234被構造用于使用第一信道信息和第二信道信息，以便求得對稱密碼密鑰。代替地，求得裝置234可以被構造用于，直接從第一信道信息和關于組合信道Ih息的息中求得密鑰。
[0063]求得裝置234可以被構造用于，基于該信道信息和關于組合信道信息的信息來確定關于在網絡元件102和另外的網絡元件之間的傳輸信道的一個或多個信道參數并且使用所述一個或多個信道參數來求得密鑰。所述信道參數可以取決于第一傳輸信道112和第二傳輸信道的物理特性并且因此描述在網絡元件之間的傳輸信道的獨特的特征。
[0064]為了可以利用一個或者多個由該另外的網絡元件與此并行地確定的信道參數來平衡所述一個或多個信道參數，求得裝置234可以被構造用于經由通信接口 230向所述另外的網絡元件發送合適的平衡信息和/或經由通信接口 230從該另外的網絡元件接收合適的平衡息。
[0065]此外，網絡元件102具有加密裝置236。該加密裝置236被構造用于接收要向該另外的網絡元件傳輸的數據，利用由求得裝置234所求得的密鑰加密并且作為加密數據提供給通信接口 230用于發送加密數據。當網絡元件102是傳感器的部分時，要傳輸的數據例如可以是檢測的傳感器數據。
[0066]此外，網絡元件102具有解密裝置238。解密裝置238被構造用于接收由通信接口230接收的加密數據并且在使用由求得裝置234求得的密鑰的情況下進行解密并且作為解密的數據來提供用于進一步傳輸或進一步使用。
[0067]網絡元件102經由其可以經由網絡節點通信的另外的網絡元件可以相應于網絡元件102地被實施并且被構造用于求得相應的對稱密碼密鑰。
[0068]網絡元件102例如可以是傳感器或執行器。相應地，可以通過加密數據例如傳輸加密形式的測量值、傳感器值、狀態信息或控制信息。加密數據因此可以是在網絡內傳輸的有用數據。
[0069]圖3示出了按照本發明實施例的網絡節點106的示意圖。在此，可以涉及在圖1中所示的網絡節點，所述網絡節點在網絡中可以經由第一傳輸信道112與第一網絡元件通信并且經由第二傳輸信道114與第二網絡元件通信。[0070]網絡節點106具有通信接口 340用于經由第一傳輸信道112和第二傳輸信道與所述網絡元件無線路地或有線路地通信。代替地，網絡節點106也可以擁有兩個通信接口，一個針對第一傳輸信道112，并且一個針對第二傳輸信道114。網絡節點106被構造用于，經由通信接口 340發送第一導頻信號并且經由通信接口 340接收導頻信號的疊加，所述導頻信號同步化地由網絡元件發送。此外，通信接口 340被構造用于發送關于有關第一傳輸信道112和第二傳輸信道114的組合信道信息的信息。
[0071]網絡節點106此外還具有確定裝置342。該確定裝置342被構造用于使用由通信接口 340接收的、網絡元件的導頻信號的疊加，以便確定有關第一傳輸信道112和第二傳輸信道114的組合信道信息并且提供給通信接口 340用于向網絡元件傳輸。
[0072]通信接口 340此外被構造用于經由第一傳輸信道112接收由第一網絡元件接收的加密數據并且通過經由第二傳輸信道114的發送向第二網絡元件轉發。相應地，通信接口340被構造用于經由第二傳輸信道112接收由第二網絡元件接收的加密數據并且通過經由第一傳輸信道114的發送向第一網絡元件轉發。在此，加密數據分別被轉發，而無需中間接入解密。
[0073]圖4示出了按照本發明實施例的用于在網絡中求得對稱密碼密鑰的總方法的可能的流程圖。該網絡例如可以是在圖1中所示的網絡，其帶有第一網絡元件、第二網絡元件和網絡節點。該總方法可以包括兩個在網絡元件上并行實施的用于求得對稱密碼密鑰的方法的步驟和在所述網絡節點上實施的用于在網絡中輔助求得對稱密碼密鑰的方法的步驟。
[0074]在網絡節點側實施的步驟451中，由該網絡節點將至少一個導頻信號發送給網絡元件。
[0075]在第一網絡元件側實施的步驟453中，導頻信號由第一網絡元件接收并且被用于確定關于在第一網絡元件和網絡節點之間的第一傳輸信道的第一信道信息。在第二網絡元件側實施的步驟455中，導頻信號由第二網絡元件接收并且被用于確定關于在第二網絡元件和網絡節點之間的第二傳輸信道的第二信道信息。步驟453、455可以并行地實施。
[0076]在第一網絡元件側實施的步驟457中，另外的導頻信號由第一網絡元件發送。與其同步化地，在第二網絡元件側實施的步驟459中，另外的導頻信號由第二網絡元件發送。
[0077]在網絡節點側實施的步驟461中，接收另外的由網絡元件發送的導頻信號的疊加并且用于確定關于第一和第二傳輸信道的組合信道信息。在另一步驟463中，將關于組合信道信息的信息由網絡節點發送給網絡元件。
[0078]在第一網絡元件側實施的步驟465中，由第一網絡元件接收關于組合信道信息的信息并且將其與第一信道信息一起用于求得對稱密碼密鑰。以相應的方式，在第二網絡元件側實施的步驟467中，由第二網絡元件接收關于組合信道信息的信息并且將其與第二信道信息一起用于求得相應于在第一網絡元件中的對稱密碼密鑰的另外的對稱密碼密鑰。在兩個網絡元件中求得的密鑰按照該實施例是相同的。
[0079]這兩個密鑰可以在其求得之后在使用對稱加密方法情況下用于在網絡元件之間通信。在此，此外可以經過網絡節點或者經過其他傳輸信道、例如經過直接在網絡元件之間伸展的傳輸信道或者經過通過一個或多個其他網絡節點伸展的傳輸信道來進行通信。
[0080]借助前面的圖描述了用于基于物理信道112、114在包括網絡節點106在內的情況下來產生對稱密碼密鑰的方法，其中網絡節點可以是輔助站。[0081]該方法適于在無線或有線的通信系統中基于物理信道112、114自動生成對稱密碼密鑰。由此可以無需高的耗費地將對稱加密方法用于維護要傳輸的數據的機密性，這尤其是對于在機器對機器通信領域中的應用、也即例如對于在例如傳感器節點和/或執行器節點形式的不同網絡元件102、104之間的數據傳輸是感興趣的，這些網絡元件通常僅僅擁有非常有限的資源并且必要時不能以有理的耗費手動地現場被配置。
[0082]該方法可以涉及在通信系統的多個節點102、104、106之間的通信，所述節點必要時可以來自不同的制造商。為了執行所述方法的步驟，可以在不同的節點102、104、106之間根據所使用的協議交換消息和信號。
[0083]用于自動化地生成對稱密碼密鑰的所描述的方案可以被使用在大量無線和有線通信系統中。但是所描述的方案不局限于這樣的系統，而是通常可以使用在帶有至少兩個用戶和至少一個中間節點的通信系統中。所描述的方案例如可以使用在因特網的全部應用中，也即例如使用在住宅和樓宇自動化、遠程醫療中，使用在Car-to-X-系統或工業自動化技術中。
[0084]所描述的并且在圖中示出的實施例僅僅是示例性地被選擇的。不同的實施例可以完全地或者關于單個特征地相互組合。一個實施例也可以通過另一實施例的特征來補充。此外，本發明的方法步驟可以重復并且以不同于所描述的順序地被實施。如果實施例包括在第一特征和第二特征之間的“和/或”邏輯連接，則這可被讀作:該實施例按照一個實施方式具有第一特征以及第二特征并且按照另一個實施方式或者僅僅具有第一特征或者僅僅具有第二特征。
【權利要求】
1.一種用于在網絡中求得密碼密鑰的方法，其中該網絡具有第一網絡元件(102)、第二網絡元件(104)和網絡節點(106)，其中第一網絡元件能夠經由第一傳輸信道(112)與該網絡節點通信以及第二網絡元件能夠經由第二傳輸信道(114)與該網絡節點通信，其中該方法在第一網絡元件側包括下列步驟: 基于代表由網絡節點發送的、經由第一傳輸信道傳輸的并且由第一網絡元件接收的信號的第一導頻信號確定(453)關于第一傳輸信道的第一信道信息；以及 在使用第一信道信息和關于組合信道信息的信息情況下來求得(465)密碼密鑰，其中組合信道信息代表在網絡節點側基于經由第一傳輸信道由第一網絡元件傳輸給網絡節點的第二導頻信號和基于經由第二傳輸信道由第二網絡元件傳輸給網絡節點的第三導頻信號而確定的并且傳送給第一網絡元件的、第一和第二傳輸信道的傳輸特性的組合。
2.根據權利要求1所述的方法，具有在第一網絡元件(102)側同步化地傳輸(457)第二導頻信號的步驟，以便能夠實現第二導頻信號經由第一傳輸信道(112)和第三導頻信號經由第二傳輸信道(114)的同步傳輸。
3.根據權利要求2所述的方法，其中在同步化的傳輸(453)步驟中，響應于接收到由網絡節點(106)發送的觸發信號或者在接收到該第一導頻信號之后預先確定的持續時間提供第二導頻信號。
4.根據上述權利要求之一所述的方法，其中在求得(465)密碼密鑰的步驟中，從第一信道信息和關于組合信道信息的信息來確定關于第二傳輸信道(112)的第二信道信息，并且密碼密鑰在使用第一信道信息和第二信道信息的情況下來求得。
5.根據權利要求4所述的方法，其中在求得密碼密鑰的步驟中，基于第一信道信息和第二信道信息來確定關于第一傳輸信道(112)和/或第二傳輸信道(114)的至少一個信道參數，并且在使用所述至少一個信道參數的情況下求得密碼密鑰。
6.根據上述權利要求之一所述的方法，其中所述信道信息是信道脈沖響應(Ii1(t)，h2(t))。
7.根據上述權利要求之一所述的方法，該方法在第二網絡元件(104)側包括下列步驟: 基于第一導頻信號或另外的第一導頻信號確定(459)關于第二傳輸信道(114)的第二信道信息，其中所述另外的第一導頻信號代表由網絡節點(106)發送的、經由第二傳輸信道傳輸并且由第二網絡元件接收的信號；并且 在使用第二信道信息和關于組合信道信息的信息情況下求得(467)密碼密鑰。
8.根據上述權利要求之一所述的方法，該方法在網絡節點(106)側包括按照權利要求9所述的方法的下列步驟。
9.一種用于輔助在具有第一網絡元件(102)、第二網絡元件(104)和網絡節點(106)的網絡中求得對稱密碼密鑰的方法，其中第一網絡元件能夠經由第一傳輸信道(112)與該網絡節點通信以及第二網絡元件能夠經由第二傳輸信道(114)與該網絡節點通信，其中該方法在網絡節點側包括下列步驟: 經由第一傳輸信道將第一導頻信號發送(451)給第一網絡元件并且經由第二傳輸信道將該第一導頻信號或另外的第一導頻信號發送給第二網絡元件； 基于代表由第一網絡元件發送的、經由第一傳輸信道傳輸并且由該網絡節點接收的信號的第二導頻信號并且基于代表由第二網絡元件發送的、經由第二傳輸信道傳輸并且由該網絡節點接收的信號的第三導頻信號確定(461)關于第一傳輸信道和第二傳輸信道的組合信道信息；以及 將關于組合信道信息的信息發送(463)給第一網絡元件并且給第二網絡元件，以便使第一網絡元件和第二網絡元件能夠求得對稱的密碼密鑰。
10.設備(102，104，106)，其被構造用于執行按照權利要求1至9之一的至少一種方法的步驟。
11.帶有程序代碼的計算機程序產品，所述程序代碼用于在該程序產品在設備上實施時執行按照權利要求1至9之`一的至少一種方法。
【文檔編號】H04L29/06GK103685217SQ201310380696
【公開日】2014年3月26日 申請日期:2013年8月28日 優先權日:2012年8月29日
【發明者】A.米勒 申請人:羅伯特·博世有限公司