用于在网络中生成密钥的方法以及在网络上的用户和网络

摘要

本发明涉及用于在网络中生成密钥的方法以及网络上的用户和网络。本发明以用于在网络中生成密钥的方法为出发点。在此，该网络至少具有第一用户和第二用户，该第一用户和第二用户具有彼此间受保护的通信连接；以及第三用户，应当建立至该第三用户的受保护的通信连接。第一用户和第三用户分别由第一用户和第三用户之间的传输信道的特性生成第一部分值序列。第二用户和第三用户分别由第二用户和第三用户之间的传输信道的特性生成第二部分值序列。在网络的、至少具有第一用户和第二用户但不具有第三用户的受保护的部分中，现在至少由第一用户的第一部分值序列和第二用户的第二部分值序列来确定密钥。同样也在第三用户中，至少由第一部分值序列和第二部分值序列生成密钥。

说明书

技术领域

本发明涉及用于在网络中生成机密的、密码的密钥的方法，尤其是在网络和用户之间产生共同的、机密的密钥；以及涉及网络上的用户，所述用户被设立用于执行这种方法。

背景技术

在不同的设备之间的安全通信在增长地联网的世界中变得越发重要并且在许多应用领域中是对于可接受性和因此也对于相应应用的经济成功的重要前提。这（根据应用）包括不同的保护目标，例如要传输的数据的机密的维护、参与节点的相互认证或者数据完整的确保。

为了实现这些保护目标，通常使用合适的密码的方法，其一般可以分成两种不同类型：对称方法，在其中发送器和接收器拥有相同的密码的密钥；以及非对称方法，在其中发送器利用公共的（即潜在攻击者也可能已知的）接收器密钥对要传输的数据进行加密，但是仅仅可以利用所属的私人密钥进行解密，所述私人密钥理想情况下仅仅对于合法的接收器是已知的。

非对称方法此外具有如下缺点：非对称方法通常具有非常高的计算复杂度。因此，非对称方法仅仅有条件地适于资源受限的节点例如传感器、执行器等等，这些节点通常仅仅拥有相对较小的计算能力以及小的存储器并且应当高能效地工作，例如基于电池运行或使用能量获得（Harvesting）。此外，经常仅仅可以利用有限的带宽来用于数据传输，这使得具有2048或者更多比特长度的非对称密钥的交换不具有吸引力。

而在对称方法中必须保证：不仅接收器而且发送器拥有相同的密钥。在此，所属的密钥管理一般而言是非常高要求的任务。在移动无线电领域中，密钥例如借助SIM卡置入移动电话中并且所属的网络于是可以将相应的密钥分配给SIM卡的明确的标识。而在无线LAN的情况下，通常在网络配置时进行要使用的密钥的手动输入（“预共享密钥”，通常通过输入口令来确定）。但是，当例如在传感器网络或其他机器对机器的通信系统中有很大量节点时，这种密钥管理快速地变得非常昂贵并且不可实现。此外，要使用的密钥的改变经常是根本不可能的或者仅仅以非常大的花费才能实现。

最近以来，因此在关键词“物理层安全”之下研究并且开发新型方案，借助所述新型方案可以自动基于在涉及的节点之间的传输信道产生用于对称方法的密钥。从信道参数中确定随机数或伪随机数例如可以从WO1996023376A2中得知，由信道参数产生机密密钥在WO2006081122A2中公开。

迄今，在文献中尤其是观察并且研究以下方案，在所述方案中直接在两个节点之间进行上述的密钥生成。

发明内容

本发明涉及按照独立的方法权利要求的方法以及在一个或多个网络上的用户，所述用户被设立用于执行所述方法之一。此外，本发明还涉及计算机程序，该计算机程序被设立用于执行所述方法之一。

在此，以具有至少三个用户的网络为出发点。在此，网络上的用户意味着：每个用户可以与网络的至少一个另外的用户通信。但是该通信在初始点在这些用户中的两个之间不必是受保护的通信，也即这两个用户在初始点不拥有共同的机密密钥。应当至少在所述用户之间构建这种通信。在一种变型方案中，在这两个用户之间已经存在受保护的通信连接，但是该通信连接应当被更新，也即构建更新的、受保护的连接。对此，应当在网络中生成新的、共同的机密密钥，基于该密钥可以保护该通信。

具有已经受保护的通信的网络的两个用户对此由其各自的至第三用户的传输信道的物理特性确定各一个部分值序列，例如比特序列，应当建立与该第三用户的受保护的通信（或者作为新的受保护的通信或者作为更新的受保护的通信）。在这两个受保护的用户之间、或者在具有受保护的通信的网络的区段（至少这两个受保护的用户属于该区段）中，由部分值序列生成密钥或总密钥。在此，为了从信道估计中导出密钥所需的处理步骤已经可以完全或者很大程度上在各个已经受保护的用户中进行，但是所述处理步骤也可以完全或者很大程度上被转移给一个或多个其他用户。因此，所生成的并且在所述用户之间交换的部分值序列（之后由所述部分值序列生成总密钥）可以根据实施变型方案例如在很大程度上是未加工的信道参数组或者是已经被错误校正的并且利用要连接的用户来调整的密钥。在第三用户中，同样由部分值序列生成总密钥。现在受保护的通信可以基于共同的、机密密钥来进行。

相较于非对称的方法，所介绍的策略带来硬件中的成本节省以及本身更小的能量消耗。相较于传统的对称方法，其具有强烈简化的密钥管理。该方法可以简单地使用和操作并且可以通过其在很大程度上的自动化也由没有特别的专业知识的人员来简单地执行。这种安全性是可扩展的，也即原则上可以根据要求产生任意长度的密钥。

借助所描述的方案，多个、在大多数情况下彼此无关的传输信道用作生成总密钥的基础。这在一方面是有利的，因为由此明显使得通过建模的攻击变得困难。在确定的情形中，该情形不一定是先验已知的，攻击者例如可以尝试：借助合适的模型来模拟在两个节点之间的传播条件，以便能够因此推断出所观察的信道。如果在两个节点之间的信道由于特别的情况（例如在无线信道情况下的强大的瞄准线（Line-of-Sight）组件）变得相当好地可预测，那么这尤其是可以变得关键。越多的彼此无关的传输信道用作密钥生成的基础，好的建模就越困难。在典型的办公室环境中，在该办公室环境中移动终端设备应当利用固定安装的W-LAN取得密钥，例如可能比较经常地出现：终端设备具有与接入点的直接的可视连接，但是该终端设备同时与N个接入点具有直接的可视连接的概率随着N的上升通常相当快速地下降。同时，如果潜在攻击者尝试自己测量确定的传输信道，本发明却也改进了安全性。在所描述的方案中，其中移动终端设备应当安全地与W-LAN联网，例如可以设想，攻击者直接在该终端设备想利用其来生成密钥的接入点旁。因为这不一定被操作该终端设备的使用者注意到并且因为攻击者在这种情况下可能任意近地接近该接入点，因此攻击者可能可以相当好地自己估计在该接入点和终端设备之间的传输信道。只要安全网络的如在本发明中所提出的、但是更多个通常在空间上分开的节点一起被考虑到密钥生成中，则自然明显使得攻击情形变得困难。

由于为了密钥生成总共至少三个用户参与，因此明显使得潜在攻击者截取为滥用的密钥生成所需的信息变得困难。除了用于生成密钥的机制之外，此外攻击者必须知道由部分值序列来生成总密钥的机制。该密钥生成相对于可能的攻击者的安全性因此被改进。

此外，通过使用至少两个传输信道来生成单个密钥提高了为生成安全的密钥所用参数的足够的熵的概率。这由如下事实得出：多个彼此无关的传输信道用作密钥生成的基础并且因此所有涉及的传输信道在密钥生成时刻不提供足够熵的概率随着数量的增加而减少。

在本发明的一种特别优选的变型方案中进行两个部分值序列生成的进一步的逻辑运算。在此，该网络的受保护的两个用户至少部分地同时地从广播传输或者从用户的同样的发送信号中确定至要保护的用户的相应传输信道的特性。

这导致密钥生成尤其是在为其所需的时间和能量需求方面的效率的改进。这尤其是从可能的优化的信道估计阶段中得到。如果例如（任意地）假设：每个控制序列可以确定确定的信道的信道估计值并且为了足够的密钥熵应当首先确定500个这种信道估计值，于是在“经典的”密钥生成情况下为此必须在两个节点之间传输2*500=1000个控制序列（2倍：因为必须在双方向上估计信道）。而利用本发明，例如以N=5个网络节点仅仅需要100+5*100=600个控制序列。在此，总计100个控制序列必须由Alice传输并且附加地总计由每个网络节点传输各100个控制序列。因此，利用本发明，随着参与用户数量的增长可以持续地减少用于总密钥的有效密钥生成时间。在具有非常多用户的极端情况下，所需控制序列的数量与“经典的”方案相比甚至几乎减半。所需控制序列的减少此外还导致为此所需的能量需求的减少。恰好在能量自给或电池运行的传感器或执行器中，这例如是决定性的优点。

此外，部分值序列生成的逻辑运算也导致该方法针对潜在攻击者的进一步的保护。如果应该通过读出传输来进行攻击，则攻击者现在必须读出或者模拟两个在不同信道上的同时传输。

对此代替地，该方法却也可以通过如下方式来执行：第一用户或第二用户由第三用户至第一或第二用户的单独的单传输确定至第三用户的相应的传输信道的特性。当在此也放弃刚刚描述的优点时，可以特别简单地执行该方法，尤其是也无需用户的广播功能。

部分值序列在下面的方法步骤中可以在受保护的用户之间进行交换，使得至少一个用户可以生成总密钥。迄今未参与的用户、例如中央节点也可以参加该交换，在该中央节点中可以产生总密钥。代替地，网络外部的节点例如也可以通过因特网连接由部分值序列生成总密钥并且提供给该网络。越多的用户具有所有的部分值序列，就越多的用户能够基于其建立相互之间的受保护的通信连接。自然，所用密钥的安全性随着拥有密钥的用户的数量而下降。但是，在受保护的网络中能够以以下为出发点：攻击者从用户之一读出机密密钥变得困难。

被考虑用于生成部分值序列的传输信道的特性尤其是传输的幅度特性或传输的相位特性。

附图说明

下面参照附图并且借助实施例进一步描述本发明。在此，

图1示意性示出了具有四个用户的示例性网络，

图2示意性示出了用于在网络中生成密钥的、在网络用户之间的示例性的数据通信以及

图3示意性示出了在利用广播传送的情况下用于在网络中生成密钥的、在网络用户之间的示例性的数据通信。

具体实施方式

本发明涉及用于基于在无线或有线通信系统的节点之间、也即在网络的用户之间的物理信道自动生成对称的密码的密钥的方法。因此，可以无高花费地使用对称的加密方法以用于实现不同的安全目标，这尤其是针对在机器至机器通信范围中的应用、也即例如针对在不同的传感器节点和/或执行器节点之间的数据传输是令人感兴趣的。

在此，充分利用在节点之间的所述传输信道的固有随机性和相关性。这例如可以如下面描述地进行。两个节点估计确定数量的信道参数，可能也关于时间来估计。这些信道参数由两个节点合适地量化。随后，优选地跟随用于减少噪声或错误的措施，例如通过使用错误校正码。之后，借助合适的机制进行在节点之间的量化的信道参数的调整，优选在使用公开协议的情况下。这是必需的，因为由于测量精度、噪声、干扰等等，两个节点一般首先通常没有确定相同的参数组。在此调整应当被设计成，使得可以窃听交换的数据的潜在攻击者不能由此容易地推断出量化的信道参数。对此例如可以在节点之间交换奇偶校验位。可选地，还可以执行密钥校验（例如熵估计）和密钥改进（例如通过经由哈希值形成的密钥压缩）。最后基于调整的、量化的信道参数来产生相应的对称密钥。

在此假设：潜在攻击者具有至两个节点的足够大的距离，在这两个节点中应当产生对称密钥。该距离在此应当至少处于所谓的相干长度的数量级，所述相干长度在常见的无线通信系统中处于几个厘米的范围中。因此，攻击者总是看到其他的（独立的）至这两个节点的传输信道并且不能容易地重建相同的密钥。此外，借助该方案也可以无大花费地定期地执行完全或至少部分的密钥更新，也即重新计算要使用的密钥，并且不必采用复杂的、计算强度大的非对称方法。

作为信道参数可以考虑例如由传输信道决定的相移、衰减以及由此导出的参量。接收信号强度指示器（RSSI）例如是无线缆的通信应用的接收场强的常见指示器并且可以被考虑用于此目的。为了确定信道参数，可以在节点之间传输两侧已知的控制信号序列，所述控制信号序列使得所需信道估计变得容易。

在所描述的方法中，以以下为出发点：在节点之间的传输信道具有其信道特性的足够的波动（尤其是具有足够的随机特性），以便能够由此导出合适的信道参数，所述信道参数适于作为在用户中生成密钥的基础。所述波动在此尤其是可以出现在时域和频域中以及在多天线系统中也可以出现在空间域中。但是也假设：信道特性在短的时间段上具有足够高的相关性，使得数据传输可以在两个方向上进行，相应节点尽管时间上的偏差仍然可以从所述数据传输中估计足够相同的信道特性，以便获得足够类似的信道参数，由所述信道参数可以获得相同的密钥。

此外，描述了用于在至少具有两个节点和单独的第三节点的安全网络之间生成相应密钥的方案，其中这两个节点已经可以安全地相互通信，第三节点应当连接到该安全网络上。在此，在要连接的节点中以及在本身已经安全的网络中生成共同的、对称密钥。在已经安全的网络中，在那里存在的节点中的至少两个参与所述密钥生成。由此，可以一方面相较于传统方案改进密钥生成的安全性并且同时减少针对密钥生成所需的时间。

在图1中，示出了具有网络100的用户11、12和13的受保护的部分10。在此，网络的受保护的部分10的特点在于：其用户11、12和13相互可以通过受保护的通信连接彼此进行通信。优选地是密码保护的通信连接。但是，根据攻击情形，可以指以不同强的程度的保护。因此，如果为网络的两个用户之间的通信而使用其他通信技术，例如第一和第二用户是WIFI接入点，所述WIFI接入点通过以太网无特殊安全机制（加密等等）地相互连接，那么已经可以得到一定的保护。第三用户是WIFI客户机。因此，已经能够实现针对每个无线攻击者的良好保护，通信连接因此针对这种攻击者受到保护。

在网络100中，此外还有用户1。在此，用户1仅仅在如下意义上是网络100的用户，即该用户1可以通过通信连接2、3或4与用户11、12或13进行通信。但是用户1不是网络100的安全部分10的用户，因为至其他用户11、12或13的通信连接2、3或4不受保护。用户1现在应当被连接到网络100的安全部分10上，因此其通信连接2、3和4中的至少一个、优选全部应当受到保护。如使得在网络100的安全部分10中的用户11、12和13之间的通信在准备阶段安全的方式和方法在此是无关紧要的。为此原则上考虑大量不同的（建立的）方法，此外有上面描述的物理层安全方法。也可以设想在11、12和13之间的受保护的通信的不同方式，优选地充分利用在现有技术中已知的对称或非对称方法的密码加密，但是较低程度的保护也是可以的。

于是以以下为出发点：网络的多个、也即至少两个用户已经安全地相互联网，也即通过在其中还可包含另外的用户的网络可以相互安全地进行通信。而另外的用户还不是该安全网络的组成部分，但是应当被集成到其中。为此，应当利用网络100的安全部分10的至少一个用户取得对称的加密密钥。在用户1和用户11、12或13之间的信道脉冲应答在下面被表示为或。

网络100的安全部分10的用户11、12和13可以或者无线、有线、光学、声学或者以其他方式和方法相互联网，其中不同的联网技术和方法的组合也是可以的。此外，用户11、12和13不必直接物理上相互连接，而是可以在网络100内部将数据传输中的其他用户（在图1中未被示出）置于所述用户之间。

在一个优选的实施例中，用户1例如是无线终端用户，用户11、12和13是相应的无线电接入节点（接入点/基站），其通过骨干网（例如局域网或因特网）安全地相互联网。尤其是，用户1例如可以是W-LAN终端设备，并且用户11、12和13可以是相应的W-LAN接入点。代替地，用户1例如可以是移动无线电终端设备，并且用户11、12和13可以是相应的移动无线电基站。在另一实施例中，用户1是无线终端用户，并且用户11、12和13是另外的无线终端用户，所述另外的无线终端用户借助网格网络相互联网。该网格网络在此尤其是可以例如基于传输标准IEEE802.15.4或IEEE802.11s。

然而，用户1现在不仅仅采用网络100的安全部分10的单个的、确定的用户来从处于其间的传输信道的特性中取得对称的加密密钥，即使由此至网络100的安全部分10中的安全集成已经是可能的。更确切地说，用户1利用网络100的安全部分10的至少两个用户基于相应的传输信道的信道特性生成不同的部分值序列。

例如，用户1利用用户11、12或13基于通信连接2、3或4的信道特性、也即基于信道脉冲应答或或者由其导出的参量利用“物理层安全”的已知方法生成部分值序列K₂、K₃或K₄。相应地，用户11、12或13也生成各自的部分值序列K₂、K₃或K₄。这样生成的部分值序列K₂、K₃或K₄在网络100的安全部分10内、尤其是在用户11、12和13之间进行交换。不同的部分值序列K₂、K₃或K₄被组合成总密钥K_ges。这既发生在网络100的安全部分10中、又本地地发生在用户1中。

这样在用户1和在网络100的安全部分10中生成的总密钥K_ges可以在下面用作基于对称的密码的密钥的合适的密码的方法的基础，也即例如用于在用户1和网络100的安全部分10的用户11、12或13之间交换的数据的对称加密。因此，于是在用户1和网络100的安全部分10之间的通信可以受到保护并且用户1因此可以被集成到网络的该安全部分10中。

部分值序列的生成于是在网络的安全部分的至少两个用户与要连接的用户之间进行。在一种实施方式中，为此所需的数据传输可以连续地进行。在一种优选方案中，在此在用户之间传输控制信号序列，优选两侧都已知所述控制信号序列，并且由所述控制信号序列来执行为确定信道参数或由此导出的参量所需的信道估计。

在图2中示出了网络的安全部分的用户11、12、13和要连接的用户1的情况。用户1连续地将控制信号序列201、202或203传输给用户11、12或13。基于控制信号序列201、202或203，用户11、12或13可以确定其各自的至用户1的通信连接的信道参数或由此导出的参量。同样，用户11、12或13相继地在其侧将控制信号序列204、205或206传输给用户1，用户1借助所述控制信号序列204、205或206同样可以确定其至相应的用户的通信连接的所希望的信道参数。控制信号序列的顺序自然也可以不同于图2所示地进行（例如紧接着用户1至用户11的传输，立刻进行用户11至用户1的传输等等。）。可以使用不同或相同的控制信号序列。

只要要连接的用户经由分开的传输介质（“共享介质”）与网络的安全部分的用户进行通信，也即例如经由无线传输信道或经由有线线性总线，则可以实现所描述的用于密钥生成的方法的优选的变型方案。在此，控制信号从要连接的用户不连续地传输给网络的安全部分的多个用户。更确切地说，网络的安全部分的多个或全部参与密钥生成的用户可以借助唯一的、由要连接的用户传输的控制序列同时估计在其和该要连接的用户之间的相应传输信道。

在图3中示出了在这种较窄交织情况下的该信道估计阶段的示例流程。在此，要连接到网络的安全部分上的用户1首先传输合适的控制序列301，所述控制序列基于分开的传输介质的广播特性由网络的安全部分的所有用户11、12和13接收。各个用户11、12和13因此可以基于相应的接收信号来估计其各自的至用户1的通信连接的当前信道特性并且由此确定所需的信道参数。在此，不仅可以估计相应的脉冲应答本身，而且可以估计任意的、由其导出的参数。

接着，用户11、12或13分别传输合适的控制序列304、305或306，所述控制序列之后（除了必要时其他用户之外）至少也由Alice接收。基于所述控制序列，用户1因此可以估计相应传输信道的当前信道特性。

实际上，在图3中所绘制的流程通常多次地被重复，以便由于传输信道的时间可变性而获得具有较高熵的用户中的参数组并且因此获得改进的共同密钥。通过将用户1的信号序列301广播传输给用户11、12和13，在此在每次重复时节省了多个单传输。在所描述的实施变型中，可以在多个用户中同时接收控制序列并且同时从中确定参数组，而针对相同长度或熵的参数组在密钥生成时必须在总共仅仅两个用户之间将明显更长或更多的相应的控制序列从一个用户发送给另一个用户并且通过该另一个用户来分析。所描述的方法于是在仍然安全地生成密钥的同时赢得了时间。

按照图2的纯连续的流程以及按照图3的交织的信道估计的结合也是可以的。只要用户1例如与用户11和用户12经由共同的、分开的传输介质进行通信，但是在另一方面进行与用户13的通信，则可以进行按照图3的在用户1和用户11和12之间的部分值序列的生成，而在用户1和用户13之间的部分值序列的生成完全与此无关。

在要连接的用户和网络的安全部分的用户之间的所述密钥的调整以及从初始估计的传输参数中的部分值序列的实际推导和准备原则上也如在物理层安全的传统方案中那样地进行（参见上面的阐述）。针对所生成的部分值序列在安全的网络之内的交换可设想不同的替代方案。根据在此遵循何种方案，这在安全性方面以及效率方面对系统的特性具有不同作用。

因此，网络的安全部分的已经由至要连接的用户的信道特性生成部分值序列的每个用户可以将所述部分值序列传输给网络的安全部分的每个另外的用户。因此网络的安全部分的每个用户于是拥有所有部分值序列并且可以由其生成总密钥。在该方案中，为了交换各个部分值序列产生相对多的通信。

在一种代替的实施中，网络的安全部分的所有用户将其部分值序列传输给网络的安全部分的中央用户，其中所述网络的安全部分的所有用户由至要连接的用户的信道特性生成部分值序列，所述中央用户可以来自所述用户系列本身或者可以是单独的用户（其因此本身不生成部分值序列）。该中央用户现在可以由部分值序列组合总密钥。必要时，中央用户将总密钥分配给网络的安全部分的所有的或所挑选的用户。而在该方案中，通信流量通常减少并且（首先）仅仅一个用户具有对所有部分值序列的完整认识。于是例如有利的是，最终不是所有的节点都应当知道总密钥并且所述节点仅仅用于辅助密钥生成。

另外的变换也是可以的，其中例如将部分值序列经由网络的安全部分的多个另外的用户来传输和/或仅仅将部分值序列的子集使用在用于总密钥的组合中。要连接的用户相应地必须已知后者。

针对由部分值序列生成总密钥又可以设想多种可能性。大体上，总密钥可以是部分值序列的任意函数，但是该函数对于要连接的用户以及对于在网络的安全部分中的相应用户必须是已知的。函数的有利的实现的实例包括（a）不同部分值序列的串联（Konkatenation），（b）不同部分值序列的各个位的逻辑运算，例如借助XOR函数，（c）不同部分值序列的组合（例如利用简单的串联）以及合适的哈希函数的随后的计算，等等。

总密钥不仅在网络的安全部分内部（通过在其用户之间交换信息）、而且相应地本地地通过要连接的用户来确定并且此外最后于是可以用作合适的密码方法的基础。如已经说明的，为了从信道估计中导出密钥可以需要不同的中间步骤，例如错误校正（errorcorrectioncodes-ECC，纠错码）和在不同侧（也即在要连接的用户和网络的安全部分）之间的调整，以便保证两侧最终拥有相同的密钥。这些中间步骤在所描述的方法中可以在网络的安全部分中或者通过各个用户或者通过一个或多个所挑选的用户来进行，使得在网络的安全部分的各个用户中产生的部分值序列对此可以根据实施对应于未加工的信道参数组、以及已经校正并且调整的比特序列以及中间级。

在此描述的用于生成用于保护与网络用户的通信的对称密钥的方法可以使用在多个无线的、有线的以及其他通信系统中。在此用于机器至机器通信、即用于在不同传感器、执行器等等之间的数据传输的所描述的方案尤其是令人感兴趣的，其中所述传感器、执行器等等通常仅仅拥有非常有限的资源并且可能不能以合理的花费手动地现场来配置。应用例如包括住宅和建筑物自动化、远程医疗、汽车至X系统或工业自动化。在此，特别令人感兴趣的还有在未来的具有无线电接口的最小型传感器中的使用。