本发明涉及用于根据传输信道的所测量的物理特性在设备中产生秘密值序列的方法、以及被配置为执行这样的方法的计算机程序和设备。
背景技术:
为了使网络中的通信得到保障,通常使用合适的密码方法,这些密码方法总体上可以细分为两个不同的类别:对称方法,在所述对称方法中发送器和接收器具有相同的密码密钥;以及非对称方法,在所述非对称方法中发送器用接收器的公共密钥(也就是说,也可能为潜在的攻击者所知)对要传输的数据进行加密,但是解密仅能用理想地仅为合法的接收器所知的所属私有密钥来进行。
非对称方法尤其具有如下缺点:所述非对称方法一般来说具有非常高的计算复杂度。因此,所述非对称方法仅仅有条件地适用于资源有限的节点、比如传感器、促动器等等,这些节点通常仅仅具有相对小的计算能力以及小的存储器并且例如由于电池组运行或使用能量采集而应当高能效地工作。除此之外,常常仅有有限的带宽可用于数据传输,这使具有2048位或更多位的长度的非对称的密钥的交换没有吸引力。
而在对称方法中,必须保证:接收器以及发送器都具有相同的密钥。在此,所属的密钥管理总体上是一个要求非常高的任务。在移动无线电的领域中,密钥例如借助于sim卡被置入移动电话中并且所属的网络于是可以给sim卡的唯一的标志分配相应的密钥。而在无线局域网的情况下,在配置网络时通常进行要使用的密钥(“预先共享的密钥(pre-sharedkeys)”,一般来说通过输入口令来确认)的人工输入。不过,当例如在传感器网络或者其它机器对机器通信系统中具有非常大数目的节点时,这样的密钥管理很快变得非常复杂以及不切实际。除此之外,要使用的密钥的改变常常是完全不可能的或者仅在大的耗费的情况下是可能的。
因此,一段时间以来,在关键词“物理层安全(physicallayersecurity)”下研究和开发新型的方案,借助于所述方案可以基于所涉及的节点之间的传输信道自动地产生用于对称方法的密钥。由信道参数确定随机数或伪随机数例如可从wo1996023376a2中得知,由信道参数产生秘密的密钥例如在wo2006081122a2或de102012215326a1中被公开。
通常,在所涉及的设备中由传输信道特性导出的、初始的位序列是(强烈)相关的,但不相等。不过,由于对称密码学需要相等的密钥,因此密钥平衡过程是必需的。在此,可以交换并均衡关于量化的位序列的信息,其中应当向可能窃听所交换的通信的潜在的攻击者尽可能少地公开所述序列和要从其中导出的密钥。用于此的两种方案是使用cascade协议或者使用纠错方法(errorcorrectioncodes,纠错码)。
技术实现要素:
本发明涉及根据方法独立权利要求所述的方法、以及被配置为执行所述方法之一的设备。此外,本发明涉及一种计算机程序,其被配置为执行所述方法之一。
在此,出发点是可以彼此连接并且交换数据的两个设备。在所述设备中,可以由所述设备之间的(尤其是无线的)传输信道的特性来导出值并且由其来确定一种位序列。该位序列可以作为共同的秘密是尤其是用于所述设备之间的被加密的通信的密钥的基础。
现在提出,通过传感器辅助来更安全地构造所述方法。根据对所测量的信道特性具有影响的运动数据的探测和分析,可以为了密钥或者秘密产生而丢弃不合适的测量。所介绍的用于秘密或者密钥产生的方法因此相对于操纵、尤其是主动攻击而言是更加稳健的。但是在其它方面不合适的测量值、尤其是具有不足的随机性的测量值可以被识别以及丢弃。这样的测量值例如可能在重复或者可预测的运动模式的情况下出现。
应当考虑到可能对信道特性具有影响的运动。这优选地是参与的设备本身的运动或者在其环境中的运动。
附图说明
下面参考附图并按照实施例进一步描述本发明。在此:
-图1示意性地示出了示例性的所基于的通信系统的构造,
-图2示出了用于导出在两个网络成员之间共同的秘密的示例性的方法的流程,
-图3示出了用于导出在两个网络成员之间共同的秘密的示例性的方法的补充的流程。
具体实施方式
下面观察如抽象地在图1中示出的装置。在此,不同的成员1、2和3可以通过所谓的共享传输介质(“sharedmedium”(共享介质))10彼此通信。成员1、2和3现在可是具有通信装置的典型的设备,所述通信装置作为通信节点被布置在通信网络、诸如无线网络(无线传感器网络(wirelesssensornetwork)、wsn、无线体域网(wirelessbodyareanetwork)、wban等等)中。
成员中的至少两个现在想要利用所谓的基于物理层的密钥生成的方法来由共同的(尤其是无线的)通信信道的特性来提取共同的秘密。这样的方法的示例性的流程在图2中予以示意性地示出。在此,该方法包括四个块:信道测量(channelmeasurement,步骤21)、量化(quantization,步骤22)、信息均衡(informationreconciliation,信息协调,步骤23)、以及机密性增强(privacyamplification,步骤24)。在变型方案中,可以补充信号处理的另外的可选的块以及另外的计算步骤。
所观察的方法适于基于具有无线或有线的通信连接的设备之间、例如网络的成员之间的物理信道的特性来自动地生成共同的秘密、尤其是对称的密码密钥。因此,可以在没有高耗费的情况下将对称加密方法用于实现不同的安全目的,这尤其是对于机器对机器通信的领域中的应用而言、也即例如对于在不同的传感器节点和/或促动器节点之间的数据的传输而言是令人感兴趣的。
在此,充分利用设备之间的传输信道的互易性和内在的随机性。这具体而言例如可以如下面所述那样来进行。两个设备估计一定数目的信道参数、必要时还关于时间进行估计。传输信道的可用于此的可能的特性尤其是包括传输的幅度特性、传输的相位特性及其组合。因此作为信道参数,例如考虑由传输信道导致的相移、衰减以及由其导出的参量。接收信号强度指标(receivedsignalstrengthindicator),rssi)例如是针对无线通信应用的接收场强度的通用的指标,并且可以用于此目的。为了确定信道参数,可以在节点之间传输双方都已知的、使所需的信道估计简易化的导频信号序列或者试验数据或者测试数据。
在所述方法中假定:潜在的攻击者具有到两个设备的足够大的间距,在所述设备中应当产生对称的密钥。在此,该间距应当至少位于所谓的相干距离或者所谓的相干空间的量级中,所述量级例如在通用的无线通信系统的情况下位于几厘米的范围中。因此,攻击者看见到这两个设备的相应其它的(无关的)传输信道,并且不能容易地重建相同的密钥。
此外,出发点是:节点之间的传输信道具有其信道特性的足够的波动,以便能够由其导出合适的信道参数,所述信道参数适于充当在成员中的密钥生成的基础,尤其是具有足够的随机特性。在此,这些波动尤其是能够既在时域中又在频域中出现,以及在多天线系统的情况下还在空间区域中出现。但是还假定:信道特性在短时间段内具有足够高的相关性,使得数据传输可以在如下两个方向上进行:从所述方向中,相应的节点尽管在时间上偏移仍能够估计足够相同的信道特性,以便获得足够相似的信道参数,由所述信道参数可以获得相同的密钥。
所确定的信道参数由两个设备来合适地量化。然后,优选地接着进行用于例如通过使用纠错码来进行噪声或者错误减小的措施。然后,借助于合适的机制,优选地在使用公共协议的情况下在两个设备之间进行所量化的信道参数的均衡(英语中亦称keyalignement(密钥对齐)或者informationreconciliation(信息协调))。这在许多应用实例中是必需的,因为由于测量不精确性、噪声、干扰等等,两个设备一般而言首先还未确定相等的参数集。在此,该均衡应当被构造为使得可能监听所交换的数据的潜在的攻击者不能容易地从中推断出所量化的信道参数。为此,例如可以在设备之间交换奇偶校验位。
最后,还可以在设备中设置提高所导出的秘密的机密性的计算(privacyamplification(隐私增强))。
所描述的基于信道的密钥产生方法可以相对于被动的仅仅进行监听的攻击者来足够安全地构造。而主动的攻击者例如可能通过操纵通信信道来找到成功地攻击系统的方式,并且因此可以获取秘密的信息。这样的攻击在具有强烈的散射的环境中是难以执行的。
在衰落效应的情况下,可以在“小尺度”衰落效应与“大尺度”衰落效应之间进行区分。后者例如在被高大建筑物遮蔽的情况下形成,并且由此与小尺度衰落效应相比是位置依赖性更低的。其在短距离内改变,例如由于重叠的多径传播的变换的相长/相消干涉。
但是对于具有显式视线分量(line-of-sight,视线,los)的信道而言以及在以路径损耗和大尺度衰落效应为特征的信道度量的情况下,可以更简单地操纵重要的信道特性、比如接收信号强度指标(rssi)。攻击者例如可以根据一定的模式来交替地阻断和释放视线,并且因此获得关于rssi的测量结果的最小值和最大值的由此得出的时间序列的知识。
在所描述的方法中,虽然可以规定将系统参数与当前的信道统计进行适配,但是所述适配相对于这样的攻击而言仅仅是有条件地有效的。因此提出,为了检查和确认物理参数的所测量的值而引入独立的外部参考、尤其是以传感器辅助的方式识别和防御这样的操纵(以及其它安全关键场景)。
此外提出,借助于合适的传感器来探测运动并且根据所探测的运动来确定:传输信道的物理特性的所测量的值是否适用于安全和秘密的密钥或者秘密生成。所述确定所基于的原理是,参与的设备或在参与的设备的环境中的(更强的)运动应对设备之间的信道的物理特性的所测量的值具有可察觉的影响。作为用于此的传感器,例如可以考虑加速度传感器、陀螺仪、磁力计或转速传感器。但是也可以使用麦克风(关于运动时的空气噪声)、光电二极管(关于光波动)或者用于(相对或绝对)位置确定的传感器(例如在基于无线电或基于光的通信系统中)。
运动探测的目标是,识别可能已经由主动的攻击者造成的可疑的模式并且引入相应应对措施。这例如可以如图3中所示那样进行。
在步骤21中在信道估计或者测量传输信道的物理特性的值期间,在步骤31中进行传感器辅助的运动探测。在步骤32中进行分析,所述分析基于传感器数据或其变化过程以及所测量的值或其变化过程来识别异常。这可以通过比较所述变化过程、尤其是所述变化过程之间的相关性确定来进行。在步骤33中进行可信性检查、尤其是检查:所测量的值在考虑到所探测的运动的情况下是否是可信的。
如果由传感器检测到运动(所述运动由于其类型或强度应对信道特性具有可察觉的影响),则作为可信性检查可以检查:在信道特性的所测量的值中是否可以观察到相应的特性。所基于的思想是,尤其是参与的设备本身的运动提高了多径传播的信道特性的方差和(根据运动速度)改变速率。例如,设备之一的重复运动应导致所测量的信道特性中的同样重复的改变或模式。如果情况不是如此或者如果所测量的信道特性中的所识别的模式或改变与预期相差地与预定相比更远,则可能存在操纵,并且可以针对秘密产生来识别所测量的值的无效性或者不足的资格。
与此并行地,可以在步骤34中执行模式识别。在这种情况下,例如可以在所测量的值中识别非随机的模式,并且检查:所述模式是否可以由同样被探测到的运动来解释。如果传感器数据或信道测量结果包含在没有操纵的场景中不能预期的显著的模式,则同样可以推断出操纵或者至少测量结果的不足的资格。作为操纵例如可以考虑由攻击者产生的影响参与的设备的硬件特性的温度改变、也或利用诸如金属板之类的物体对传输信道的操纵。为了识别这样的操纵,也可以由设备动用参考测量。模式识别可以利用已知的模式识别方法或者信号分量分析来进行。对数据的随机性的所建立的测试也适于识别统计上的缺陷。
可替代地,也可以在步骤32-34中对可疑或不期望的运动序列进行检查。在此,尤其是不期望重复和非随机的运动序列,因为这些运动序列在所测量的值中不能被反映并且因此可以降低由其导出的位序列的随机性。
在此,尤其是可以识别如下效应:所述效应归因于由用户产生的重复或可预测的运动。信道特性的这样的伪随机改变可以与由于多径传播造成的真实的随机改变相区分。根据传感器,可以识别运动的速度和方向并且因此可以评估运动的品质。在此,属于不良的运动模式尤其是具有低的熵的重复的模式。
在一些情况下(例如在信道测量时固定的采样率的情况下)可能难以在高随机性的互易信道测量与改变基本上归因于非互易噪声的静态信道之间相区分。借助于用于对运动进行探测和分类的传感器数据,可以辅助所述区分。如果一个序列看上去像随机序列,但是传感器未记录到相应的足够的运动,则该场景以高概率为静态的。在这种情况下,信息均衡将以高概率失败并且为此必须花费不需要的资源。当在这种情况下中断用于秘密产生的过程时,这可以被避免。
步骤32至34及其顺序在此仅仅是示例性地被描述的。如果在步骤32至34中识别到所探测的运动与所测量的值之间的可疑的不可信性或者偏差或者不期望的运动序列,则在步骤35中引入应对措施。
如果在步骤32-34中探测异常等等期间,该方法已经以步骤22的量化继续进行,则应对措施例如可以是中断该步骤。可替代地或附加地,可以通过设备的执行检查的计算单元生成和发送错误消息或警告指示。另外的结果可以包含:仅仅在可疑或不期望的运动期间被测量到的值不被用于产生秘密值序列。为此,这样的值被丢弃并且仅仅剩余的值被进一步处理。可替代地,也可以在可疑情况或错误情况下立刻中断秘密值序列的完整的产生。如果存在对主动攻击的怀疑,则可以引入另外的合适的安全措施。在此,通过模式识别和与参考数据的比较,不仅能够识别攻击,而且能够对攻击进行分类。根据所怀疑的攻击的类型,于是可以引入对此合适的应对措施。
如果对所测量的值和所探测的运动的检查未得出对操纵的提示或者如果至少存在足够合适的值,则在步骤22、23和24中进行上面已经描述的措施、量化、信息均衡和机密性增强以用于结束秘密产生。
在此所述的用于生成用于使至少两个设备之间的通信得到保障的对称的密钥的方法可以用在多种无线、有线和其它通信系统中。在此,所描述的方案对于机器对机器通信而言、即对于用于不同的传感器、促动器等等之间的数据传输而言是特别令人感兴趣的,所述传感器、促动器一般而言仅仅具有非常有限的资源并且可能不能以合理成本来人工地在现场进行配置。应用例如包括家庭和建筑自动化、远程医疗、车对x系统或工业自动化。
在此,特别令人感兴趣的还有在具有无线电接口的未来的极小传感器中的使用。