CN109155732A - 用于在第一网络设备（起始器）和第二网络设备（应答器）之间建立安全通信的方法和布置 - Google Patents

Abstract

本发明涉及一种用于在通信网络内的第一网络设备(起始器)与第二网络设备(应答器)之间建立安全通信的方法以及一种适用于此方法的网络设备的布置，其特征在于，在产生作为共享密钥用于安全通信的密码之前，使用对称加密***分别针对第一和第二网络设备执行单独的认证/鉴定，在此对称加密***中，两个网络设备分别使用同样的密码作为用于加密和解密数据组的密钥。

Description

用于在第一网络设备(起始器)和第二网络设备(应答器)之间 建立安全通信的方法和布置

技术领域

本发明涉及一种用于通信网络内在第一网络设备(起始器)与第二网络设备(应答器)之间的安全通信的方法以及一种适用于此的网络设备布置、尤其构造为嵌入式***的网络设备之间布置。

背景技术

在下文中以及在权利要求书中，网络设备表示，既可自主地、又可由用户触发地通过至少一个网络与其他设备通信的设备，包括借助运行时***而具有对至少一个网络的入口、并且通过此网络既可自主地、又可由用户触发地与其他设备通信的软件组件。

已知在特定的情况下应在网络设备之间安全地执行通信，例如从而保证通信的完整性、保密性和/或可用性。

通信的完整性例如由于伪造通信内容的、或者第三方为了其利益更改、抑制和/或添加通信内容的主动攻击造成的干扰性影响而受到损害。

例如当由于疏忽而使通信内容传输到假冒收信人或者入侵者能够获得通信内容时，通信的保密性则受到损害。

例如当由于疏忽或者有意地通过不计划或不期望与其进行通信的网络设备占用了通信资源、使得过少的资源留给与计划或期望的网络设备进行通信，则损害了可用性。资源可例如为存储器空间或计算速度，其中，尤其嵌入式***在其资源方面有限。

因此，构造为嵌入式***的网络设备在技术情境中表示接入(嵌入)的网络设备，其因此典型地承受十分受限的边界条件并仅占有严重减少的资源。

为了通信的安全性，存在多种现有技术。通常，通信成员在建立连接时彼此证明其身份并对彼此认证，也就是说，它们递交允许通过各自另外的通信成员进行身份校验的信息，其中，因此其同样检验其他通信成员是否能够通过认证数据证实预先设定的身份，也就是说，执行鉴定。此外，在认证/鉴定之前、期间或之后，通信成员通常生成临时共享密码并将此种密码用于消息的安全防护。临时共享密码用于认证/鉴定和/或用于在认证/鉴定之后交换的消息的加密。

在此，作为通信成员的网络设备通常既可以使用借助本身的密码的其本身的身份、也可以替代地或补充地使用用户的身份在用户触发的情况下与用户的密码一同用于认真/鉴定。

IETF(Internet Engineering Task Force)标准例如描述一种方法(C.Kaufmann,P.Hoffmann,Y,Nir和P.Eronen所著的“RFC 5996互联网密钥交换协议第2版(RFC5996Internet Key Exchange Protocol Version 2)”；The Internet Engineering TaskForce(IETF)，2010)，此方法缩写为IKEv2。参见示出了用于根据IKEv2的通信建立的基本示意图的附图3，在此方法中，在建立通信时，两个作为通信成员的网络设备首先借助所谓的迪菲-赫尔曼密钥交换(Diffie-Hellmann-Schlüsselaustausch)生成名称为SKEYSEED的第一临时共享秘钥。在此，其中一个在图3中标识为起始器的网络设备发起通信，并且另一个在图3中称作应答器的网络设备对此发起做出答复。

然后，通过通信成员相互发送关于为迪菲-赫尔曼密钥交换所交换的消息的签名AUTH-I、AUTH-R，借助属于身份的长期的密钥PrivKey-I、PrivKey-R对SKEYSEED进行认证，其中，签名借助长期的密钥生成并由相应的另一个通信成员借助检验准则CERT-I、CERT-R验证、即认证。在此以及接下来，两个通信成员分别由SKEYSEED推导出第二临时共享秘钥，其作为多个加密密钥的组合使用(例如SK_d，SK_ai，SK_ar，SK_ei，SK_er，SK_pi，SK_pr)，这些加密密钥中的一些用于认证/鉴定，一些用于对特定的其他消息加密。为各种通信方向使用不同的密钥。接着，可选地由每个通信成员从第二共享密码的一部分SK_d推导出第三临时共享密码(称作KEYMAT；在图3中由于清晰性而未示出)，其显示为多个加密密钥的组合(例如名称为SK2_ei，SK2_ai，SK2_er和SK2_ar的密钥的组合)。第二和第三临时共享秘钥的推导根据在通信开始建立时所约定的算法进行。

下面列出在图3中包含的附图标记的总览。

i: 起始器选择的随机数的密码；

M1： 第一消息，包含：

KEi： 由起始器生成的密钥交换数据，

Ni： 由起始器选择的一次性使用的随机数；

r： 由应答器选择的随机数的密码；

M2： 第二消息，包含：

KEr： 由应答器生成的密钥交换数据，

Nr： 由起始器选择的一次性使用的随机数；

SKEYSEED： 第一临时共享密码-用于计算第二临时共享密码的数值，包含：多个密码/密钥，包含：

SK_d： 用于其他密钥的推导的加密密钥，

SK_ai： 用于认证/鉴定通过起始器发送的消息的加密密钥，

SK_ar： 用于认证/鉴定通过应答器发送的消息的加密密钥，

SK_ei： 用于加密通过起始器发送的消息的加密密钥，

SK_er： 用于加密通过应答器发送的消息的加密密钥，

SK_pi： 用于初始化起始器使用的伪随机数生成器的加密密钥，

SK_pr： 用于初始化应答器使用的伪随机数生成器的加密密钥，

PrivKey_I: 起始器的私人密钥(长期密码)；

CERT-I： 用于起始器身份的证书-包含起始器的开放密钥；

PrivKey_R: 应答器的私人密钥(长期密码)；

CERT-R： 用于应答器身份的证书-包含应答器的开放密钥；

M3： 第三消息；

IDi： 起始器的身份；

AUTH-I： 起始器借助其对自身进行认证的数据；

M4： 第四消息；

IDr： 应答器的身份；

AUTH-R： 应答器借助其对自身进行认证的数据。

在此，长期密码称为长期，因为其通常用于多个连接的建立并不常更换，而临时密码仅短期使用，例如不长于用于一次通信关系。例如，相应的之前提及的IETF标准详细解释了在不同的通信协议中，生成的临时密码仅允许用于特定的时长和特定量的数据，之后则必须使用新的临时密码。

但是，根据IKEv2的通信建立的开始针对在那进行的迪菲-赫尔曼密钥交换需要例如指数运算等大的整数计算，其存储通常分别需要比适配在常见处理器的寄存器中的明显更多的字节。因此，在连接建立的开始时，对于IKEv2强制性地需要主存储器和计算时间方面的相对更高的资源，此资源尤其在嵌入式***中为紧缺的。此外，对于实时***(也就是说，用于直接控制和执行过程的***，其中，必须在事先明确定义的时间间隔内可靠地得出相应的结果)，对计算时间的需求是存在问题的，因为在此通常需要短的反应时间。工业控制装置通常为具有有限资源和短的反应时间的嵌入式实时***。

尤其在具有非常少的资源的小型嵌入式***中尤其不利的是，同样在通信建立刚开始时、当尚未得知任何身份时，进行对资源要求很高的迪菲-赫尔曼密钥交换。这必须在能够根据后续交换的网络设备的身份确定是否期望、或计划与相应的另一网络设备建立连接之前执行。虽然，根据IKEv2原则的延迟的身份交换实现了借助已经存在的共享临时密钥加密并从而在一定程度上保密地传递身份的可能性。但是，在资源十分紧缺的情况下，以下缺点更加突出，即，可能无意或有意地促使任何网络设备都开始建立通信，并因此尤其可能在嵌入式设备上造成大量资源占用，而不对此进行授权或不能为此轻易地区分不期望的网络设备。

在专利文件DE 10 2012 220 990 B3中公开了一种方法和布置，其中，两个网络设备借助多个步骤生成用于安全通信的第三共享密码KE，KA。参见示出了根据DE 10 2012220 990 B3的通信建立的基本示意图的附图4，在此，事先在两个网络设备中都存储了第一共享密码GS以及第一算法以及第二算法。然后，为了构建两个网络设备之间的安全通信，其中一个网络设备“起始器”在第一消息M1中将例如为其序列号的第一数据SD发送给另一网络设备“应答器”。接着，两个网络设备由第一数据SD在使用第一共享密码GS和第一算法的条件下生成第二密码PS。接着，另一网络设备在第二消息M2中将例如为随机数的第二数据R发送给其中一个网络设备。由此，两个网络设备在使用第二共享密码PS和第二算法的条件下计算出第三共享密码KE，KA。第三共享密码KE，KA然后用于确保后续通信的安全，例如用于其认证/鉴定和/或加密。

在下列清单中列举了附图4中包含的附图标记的总览。

SD： 第一数据；

M1： 第一消息；

GS： 第一共享密码；

R： 第二数据；

M2： 第二消息；

PS： 第二共享密码；

KE，KA： 第三共享密码。

因此，网络设备的认证/鉴定在通过使用正确的第三共享密码KE，KA而暗示了安全的通信时才产生。因为，两个网络设备不知道第一共享密码GS，所以，在与算法的性能相关的概率下不会产生第三共享密码KE，KA，而是网络设备作为对此的结果具有不同的数值。由此导致，后续交换的并且借助第三共享密码KE，KA的一个变体保证的消息仅能借助第三共享密码的此变体认证和/或解码，并借助此将其签名和/或加密。如果没有第三共享密码，则也不存在根据通信协议的安全的通信，可能甚至不会存在其他通信的可能性。

此外，在此方法中至少十分复杂的是，当实际产生了不同的第三共享密码时，区分两种故障情况。因此涉及，此不同的第三共享密码是否由于混淆产生，或者，为其计算而交换的消息在传递时是例如由于干扰等而疏忽地、还是例如通过第三方而有意地被更改。

例如，如果在与网络设备建立连接时疏忽地提及了错误的生产单元，而这些生产单元的构造及参数与在批量机械制造中常见的相同，则可能容易产生混淆。在此，网络设备可能仅通过实现储存的第一共享密码区分。

此外，在此方法中不利的是，必须由两个网络设备首先进行完方法的所有步骤，然后才能根据不一致的第三密码确定错误。因此，在建立连接的期间，资源用于所有步骤和算法，而相应地不能提供给其他连接的建立。

作为其他现有技术，如在1.2版本解释的(例如在T.Dierks和E.Rescorla所著的“RFC 5246安全传输层(TLS)协议1.2版本”；The Internet Engineering Task Force,2008),缩写为TLS协议或TLS的所谓的安全传输层协议(Transport Layer SecurityProtocol)概括地说明了两种用于相互认证/或鉴定的不同方法。

在这两种用于相互认证/鉴定的TLS方法中，在两个在此称作客户端和服务器的通信成员中实现储存不对称的密钥对，其分别由订制的私人密钥，即参见图5和6中用于客户端的Pc和用于服务器的Ps，以及与其匹配的、在身份中的开放密钥，参见图5和6中的用于客户端的证书Cc或用于服务器的证书Cs，其中，证书也称为相应的身份。

在此方法的第一种中，参见示出了不使用迪菲-赫尔曼的根据TLS的通信建立的基本示意图的图5，通信成员首先交换由其生成的随机数Rc或Rs(客户端的Rc和服务器的Rs)以及包含呈证书Cc和Cs形式的附属的开放密钥的身份。发起此连接的通信成员，即客户端，借助非对称的签名AuthC对事先交换的数据Rc，Rs，Cs进行认证，哪些由其借助其私人密钥产生，哪些由另一通信成员，即服务器，借助与此非对称签名AuthC一同传输的开放密钥Cc检验(鉴定)。此外，客户端由其他随机数值生成第一共享密码(“预主密码(premastersecret)”)，在图5中其缩写为pms，客户端将此第一共享密码作为在图5中称作Epms的加密的数值传输给另一通信成员。借助开放密钥从服务器的证书Cs实现从pms到Epms的加密。因此，暗示服务器的身份得到了认证/鉴定，因为只有其才能以其私人密钥Ps解码pms的正确数值并随后确定图5中缩写为ms的正确的第二共享密码“主密码(master secret)”。因为，两个通信成员接着彼此无关地从pms和在之前的通信期间交换的随机数Rc和Rs的组合借助在之前的通信中协定的算法生成第二共享密码ms。客户端和服务器从ms推导出第三共享密码，其用作用于认证/鉴定的加密密钥(cwMk，swMk，cwk，swk，cwl，swl)和/或后续通信的加密的组合。在此认证/鉴定和/或加密中以及在第三共享密码的推导中同样使用开始在交换身份时协定的算法。

在下列清单中列举了图5中包含的附图标记的总览。

Ps： 服务器的私人密钥；

Pc： 客户端的私人密钥；

M1： 第一消息；

Rc： 客户端产生的随机数；

M2： 第二消息；

Rs： 服务器产生的随机数；

Cs： 服务器的证书；

pms： 第一共享密码；

M3： 第三消息；

Cc： 客户端的证书；

Epms： 加密的第一共享密码；

AuthC： 借助其认证客户端的数据；

VDc： 通过客户端发送的校验数据；

ms： 第二共享密码；

M4： 第四消息；

VDs： 通过服务器发送的校验数据；

cwMk： (客户端写MAC密钥(client write MAC key))-第三共享密码的组成部分；

swMk： (服务器写MAC密钥(server write MAC key))-第三共享密码的组成部分；

cwk： (客户端写密钥(client write key))-第三共享密码的组成部分；

swk： (服务器写密钥(server write key))-第三共享密码的组成部分；

cwl： (客户端写初始向量(client write initialization vector))-第三共享密码的组成部分；

swl： (服务器写初始向量(server write initialization vector))-第三共享密码的组成部分；

然而，在根据TLS的此方法中有利的是，在方法开始时交换身份，之后才消耗显著的计算时间和资源。因此能够以少量的资源投入拒绝由于疏忽而受到误导的通信成员。

但是，在根据TLS的此方法中对防护作用不利的尤其是，第一共享密码pms真的是一个密码仅与客户端的可靠性相关。因为，只有客户端确定pms的值。因此，此方法仅还偶尔应用。

图6示出了借助迪菲-赫尔曼根据TLS的通信建立的基本示意图，在此，客户端和服务器同样交换随机数Rc和Rs以及证书Cs和Cc。与证书Cs一同地，服务器也传递其由其之前生成并完全保密的数值pYs推导出的、用于迪菲-赫尔曼密钥交换的数值Ys。为了传递，其还为推导出的数值Ys补充签名。Ys与签名的组合在图6中标识为SYs。服务器借助其私人密钥Ps建立签名。此签名由客户端借助证书Cs校验，从而由此认证/鉴定服务器相对于客户端的身份，并且使客户端具有经过认证的数值Ys。同样，客户端生成仅对其已知的数值pYc并由其产生用于迪菲-赫尔曼交换的第二数值Yc。此外，其由pYc和Ys直接导出第一共享密码pms。客户端与其证书Cc一同不加密地将数值Yc传递给服务器，以及关于所有之前交换的消息的签名AuthC。客户端借助其私人密钥Pc建立此签名，服务器借助证书Cc检验此签名。在接收到Yc之后，服务器也由pYs和Yc的组合生成第一共享密码pms。客户端和服务器都由pms结合之前交换的随机数Rc和Rs计算出第二共享密码ms并由其导出第三共享密码，此第三共享密码用作用于认证/鉴定和/或对后续通信加密的加密密钥(cwMk，swMk，cwk，swk，cwl，swl)的组合。在根据迪菲-赫尔曼的密钥协定中，在生成第一、第二和第三共享密码时以及在后续使用加密密钥时都使用在通信建立期间由客户端和服务器协定的算法。

在下面的列表中列举了图6中包含的附图标记的总览。

Ps： 服务器的私人密钥；

Pc： 客户端的私人密钥；

M1： 第一消息；

Rc： 由客户端产生的随机数；

pYs： 用于迪菲-赫尔曼密钥交换的服务器的保密初始值；

Ys： 为迪菲-赫尔曼密钥交换推导出的服务器的开放初始值；

M2： 第二消息；

Rs： 由服务器产生的随机数；

Cs： 服务器的证书；

SYs： 为迪菲-赫尔曼密钥交换而结合服务器的签名推导出的服务器的开放初始值；

pYc： 用于迪菲-赫尔曼密钥交换的客户端的保密初始值；

M3： 第三消息；

Cc： 客户端的证书；

AuthC： 客户端借助其进行认证的数据；

VDc： 通过客户端发送的校验数据；

Yc： 为迪菲-赫尔曼密钥交换推导出的客户端的开放初始值；

pms： 第一共享密码；

ms： 第二共享密码；

M4： 第四消息；

VDs： 通过服务器发送的校验数据；

cwMk： (客户端写MAC密钥(client write MAC key))-第三共享密码的组成部分；

swMk： (服务器写MAC密钥(server write MAC key))-第三共享密码的组成部分；

cwk： (客户端写密钥(client write key))-第三共享密码的组成部分；

swk： (服务器写密钥(server write key))-第三共享密码的组成部分；

cwl： (客户端写初始向量(client write initialization vector))-第三共享密码的组成部分；

swl： (服务器写初始向量(server write initialization vector))-第三共享密码的组成部分；

在根据TLS的此第二方法中不利的是，为了生成数值SYs,也就是说，为了开始迪菲-赫尔曼交换并且为了建立对Ys的签名，服务器仍旧在不知道客户端身份的情况下就使用非对称加密，其中，其因此使用对于嵌入式设备已经关键的主存储器和计算消耗的资源。在有意或无意地受误导而建立连接时，此种资源消耗同样产生并可能难以阻止。

此外，根据TLS的这两种方法的缺点还在于，为了在此两种情况下进行认证/鉴定，需要非对称加密以及由此产生的大整数的计算操作，即尤其占用存储器和计算时间。

在P.Eronen和H.Tschofenig所著的“RFC 4279用于安全传输层(TLS)的预共享密钥密码套件(Pre-Shared Key Ciphersuites for Transport Layer Secuirity)”,TheInternet Engineering Task Force中，除了前述TLS方法以外还说明了三种其他的TLS变体，其也促使通信成员的相互认证/鉴定。其中两种方法中仍旧使用非对称加密，而在“RFC 4279用于安全传输层(TLS)的预共享密钥密码套件”中称为“PSK密钥交换算法”、并且在示出了根据具有PSK的TLS的通信建立的基本示意图的图7中称为“具有PSK的TLS”的方法，其特征仅在于对称性加密，手段是使第一共享密码为事先存储在两个通信成员处的数值。

在此参考图7，在“具有PSK的TLS”方法的开头，客户端和服务器具体地交换随机数Rc和Rs以及作为服务器身份指示的身份IDh以及作为客户端身份的IDc。然后，二者使用之前已经存储在其中的共享密码PSK以产生第二共享密码(预主密码)pms。它们使用第二共享密码以由随机数Rc和Rs产生第三共享密码(主密码)ms。由第三共享密码ms又由客户端以及服务器产生作为用于对后续通信的认证/鉴定和/或加密的加密密钥(cwMk，swMk,cwk，swk，cwl，swl)的组合的第四共享密码。在此认证/鉴定和/或加密中或者在第二、第三和第四共享密码的推导中使用开始在交换随机数时协定的算法。

在下面的列表中列举了图7中包含的附图标记的总览。

PSK： 事先存储的第一共享密码；

M1： 第一消息；

Rc： 由客户端产生的随机数；

M2： 第二消息；

Rs： 由服务器产生的随机数；

IDh： 服务器身份的指示；

pms： 第二共享密码；

ms： 第三共享密码；

M3： 第三消息；

VDc： 通过客户端发送的校验数据；

IDc： 客户端身份的指示；

M4： 第四消息；

VDs： 通过服务器发送的校验数据；

cwMk: (客户端写MAC密钥(client write MAC key))-第四共享密码的组成部分；

swMk： (服务器写MAC密钥(server write MAC key))-第四共享密码的组成部分；

cwk： (客户端写密钥(client write key))-第四共享密码的组成部分；

swk： (服务器写密钥(server write key))-第四共享密码的组成部分；

cwl： (客户端写初始向量(client write initialization vector))-第四共享密码的组成部分；

swl： (服务器写初始向量(server write initialization vector))-第四共享密码的组成部分。

此“具有PSK的TLS”方法的缺点在于，尽管执行了通信设备的识别，但是，未进行明确的认证/鉴定。如果一方仅伪装或混淆其身份、但不知道拥有的共享密码，最终则产生用于后续通信的认证/鉴定和/或加密的不同的密钥。因此，在此方法中，之后对两种错误情况的区分也是复杂的，如同在根据专利文献DE 10 2012 220 990 B3的方法中显示出的那样：如果产生了两个不同的共享密码，那么，这是否由于混淆造成，以及为其计算交换的消息在传递中是由于例如干扰等疏忽还是由于例如第三方而有意地更改，是存在争议的。

在“OPC统一架构第2部分：安全模型(OPC Unified Architecture Part 2:Security Model)”,2009,“OPC统一架构第4部分：服务(OPC Unified Architecture Part4:Services)”,2009，以及“OPC统一架构第6部分：映射(OPC Unified Architecture Part6:Mappings)”，2009中，OPC组织对OPC统一架构(OPC UA)说明了一种方法，其中，两个通信成员，即客户端和服务器，相互认证，从而最终借助共享密钥安全地通信。

参见示出了根据OPC UA的安全连接的建立的基本示意图的图8，在此，客户端在准备阶段或者在通信开始时已经具有关于服务器证书Cs的认知，此证书包含服务器的身份和开放密钥。在通信开始之前，客户端和服务器分别具有非对称密钥对，即相应的订制私人密钥以及证书中与其匹配的开放密钥，以及对应的证书，由此它们能够证明其身份。

在认证过程/鉴定过程的第一消息MI中，客户端将包含其身份和其公开密钥的证书Cc、连同数值Nc和签名AuthC发送给服务器。客户端在使用其对应于证书Cc的私人密钥Pc的条件下产生作为关于至少包含证书Cc和数值Nc的消息MI的关键部分的数字签名的签名AuthC。在发送消息MI之前，客户端使用由证书Cs得到的服务器开放密钥加密部分消息，至少加密数值Nc和签名AuthC，从而替代数值Nc而实际传递其加密值eNc，替代签名AuthC而实际传送其加密值eAuthC。服务器借助其对应于证书Cs的私人密钥Ps对消息MI进行解密，并借助由此证书Cc得到的开放密钥检验签名AuthC。与证书Cc的检验一同,服务器得到关于客户端身份的可靠认知以及关于秘密随机数Nc的认知。

类似地，服务器在第二消息M2中将数值Ns与签名AuthS一同发送给客户端。服务器产生作为关于消息M2的关键部分的数字签名的签名AuthS，至少包含数值Ns和校验和或证书Cs的其他类型的相关值。在发送消息M2之前，服务器借助由证书Cc得出的客户端的开放密钥解密部分消息，至少数值Ns。客户端借助其私人密钥Pc解密消息M2并借助由证书Cs得出的开放密钥检验签名AuthS。与证书Cs的检验一同,客户端也获得关于服务器身份的可靠认知以及关于秘密随机数Ns的认知。

在交换消息MI和M2之后，客户端和服务器分别由交换的秘密随机数Nc和Ns推导出共享密码G。此共享密码作为多个加密密钥的组合使用，从而认证/鉴定后续的通信或者认证/鉴定和加密后续的通信。在推到中使用的算法以及用于后续对通信的认证/鉴定或加密的算法在消息MI和M2的交换期间确定。

在下面的列表中列举了图8中包含的附图标记的总览。

Ps： 服务器的私人密钥；

Pc： 客户端的私人密钥；

Cs： 服务器的证书；

Nc： 由客户端产生的随机数；

AuthC： 通过客户端产生的签名；

M1： 第一消息；

Cc： 客户端的证书；

eNc： Nc的加密值；

eAuthC： AuthC的加密值；

Ns： 由服务器产生的随机数；

AuthS： 通过服务器产生的签名；

M2： 第二消息；

eNs： Ns的加密值；

eAuthS： AuthS的加密值；

G： 共享密码。

发明内容

本发明的目的在于，实现在两个网络设备之间安全通信的相对于前述现有技术更加改善的建立，其需要少量的资源投入并尤其也实现了在建立期间的不同错误情况的简单、区分的识别。

根据本发明的解决方案通过具有独立权利要求特征的一种方法、一种计算机程序产品以及一种布置给出。优选的扩展方案为从属权利要求的主题。

因此，本发明提出一种用于在通信网络中的第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法，其中，在使用对称加密***的条件下，在产生作为用于安全通信的共享密钥的密码之前针对第一和第二网络设备分别执行单独的认证/鉴定。因此，通过对称加密***，两个网络设备分别使用同样的密码作为密钥用于数据组的加密和解密。

由此，还提出了一种计算机程序产品，其促使此种方法的执行，以及一种尤其适用于执行此方法的、在通信网络中具有第一网络设备和第二网络设备的布置。

由此，主要的优点在于，

-根据本发明的解决方案基于事先约定分享的密码并由此不需要像否则在非对称加密或加密***中所需的那样大量的计算投入，

-根据本发明的解决方案提前允许检验是否能够确认通信成员预先设定的身份，从而在此，在通信建立无意或有意违规的情况下能够更快地再次释放占用的资源，

-由于分别单独的认证/鉴定而能够以简单的方式区分可能的错误情况，其中，最终提供秘密的并在通信成员之间分享的用于后续通信的安全性的密钥，并且，

-在连接的建立成功地结束时为安全的通信保证了两方都能够计算获得同一分享的密钥。

因此，在优选的实施中，本发明尤其适用于具有少量资源的嵌入式***，尤其适用于实施为具有有限的资源和短的反应时间的嵌入式实时***的工业控制装置。

附图说明

由下面参考附图对优选实施例进行的说明中更加清楚地说明本发明的前述以及其他特性、特征和优点，在附图中示出了：

图1示出了用于根据本发明的安全通信的建立的基本流程图；

图2示出了具有在通信网络中的第一和第二网络设备的根据本发明的布置的示例的示意图；

图3示出了根据IKEv2用于建立通信的现有技术的基本流程图；

图4示出了根据DE 10 2012 220 990 B3的用于建立通信的现有技术的基本流程图；

图5示出了根据不使用迪菲-赫尔曼法的TLS的用于建立通信的现有技术的基本流程图；

图6示出了根据使用迪菲-赫尔曼法的TLS的用于建立通信的现有技术的基本流程图；

图7示出了根据具有PSK的TLS的用于建立通信的现有技术的基本流程图；

并且

图8示出了根据OPC UA的用于建立安全连接的现有技术的基本流程图。

具体实施方式

下文尤其参照图1，其示出了在本发明范围内用于建立安全通信的优选流程的基本示意图。

在此，图1详细地示出了用于在通信网络中的图1中称为客户端或起始器的第一网络设备与图1中称为服务器或应答器的第二网络设备之间建立安全通信的一种优选实施形式，其中在此，出于清晰性考虑没有进一步示出通信网络。如由图1可见，在此，在使用对称加密***或对称加密技术的条件下，针对第一和第二网络设备分别执行单独的认证/鉴定，并且在产生待作为共享密钥Pw用于安全通信的密码G之前执行，其中，在对称加密***/对称加密技术中，两个网络设备分别使用同样的密码作为用于加密和解密数据组的密钥。

由此，本发明将借助事先使用对称加密算法分享的密码进行的认证/鉴定与在推导用于后续通信的安全性的分享密钥之前进行的单独的认证/鉴定步骤相结合。否则，单独的认证/鉴定步骤仅由借助非对称加密技术的认证/鉴定已知。此单独的步骤在使用非对称算法时是必须的，因为在现有技术中，在进行非对称认证之后借助对称方法保证后续通信的安全。与此不同，在现有技术中，如开头所述地，在对称方法中不使用此单独的步骤。

在根据图1所示的优选实施形式说明在本发明范围内涉及在两个网络设备之间建立安全通信的一些有利的设计方案之前，其中，其中一个下文也称作客户端或起始器的网络设备触发此建立，并且下文中也称作服务器或应答器的、期望与其进行通信的另一网络设备对建立的愿望进行应答，首先在下面的列表中列出图1中包含的附图标记的基本总览。

Pw： 事先分享的密码或事先已知的共享密码；

M1： 第一消息；

IDi： 客户端身份；

Ni： 由客户端新产生的随机数；

Pi： 客户端的可选参数组；

M2： 第二消息；

IDr： 服务器身份；

Nr： 由服务器新产生的随机数；

Pr： 服务器的可选参数组；

M3： 第三消息；

AuthI： 由客户端针对其认证借助对称加密算法产生的签名；

AuthI′： 由服务器出于检验目的推算的用于与针对客户端认证的AuthI相比较的签名；

M4： 第四消息；

AuthR： 由服务器针对其认证借助对称加密算法产生的签名；

AuthR′： 由客户端出于检验目的推算的用于与针对服务器认证的AuthR相比较的签名；

G： 第二分享密码或第二共享密码，具有下列组成部分：

SK2_ai： “Secret key for authenticating messages sent by the initiator”；用于认证由客户端发送的消息的加密密钥；

SK2_ar： “Secret key for authenticating messages sent by theresponder”；用于认证由服务器发送的消息的加密密钥；

SK2_ei： “Secret key for encrypting messages sentby the initiator”；用于加密由客户端发送的消息的加密密钥；

SK2_er： “Secret key for encrypting messages sent by the responder”；用于加密由服务器发送的消息的加密密钥。

由此，基于图1，在一种有利的设计方案中规定，在第一网络设备(在图1中称作客户端或起始器)上首先产生含有至少一个随机数Ni的数据组，并接着将此数据组与第一网络设备的身份标志IDi一同在第一消息M1中从第一网络设备发送到第二网络设备。从而第一网络设备由此触发与第二网络设备的安全通信的建立。原则上，可以首先由第一网络设备例如从内部保存的能够或允许与其在通信网络内部执行安全通信的可能的网络设备清单中选择第二网络设备。

在接收到第一消息M1之后，可接着在第二网络设备(在图1中称为服务器或应答器)上产生同样包含至少一个随机数Nr的数据组，并且随后与第二网络设备的身份标志IDr一同在第二消息M2中从第二网络设备发送到第一网络设备。从而第二网络设备由此对第一网络设备建立安全通信的期望做出反应。

优点在于，随着触发已经通知了第二网络设备第一网络设备的身份，从而也为第二网络设备提供了决定到底是否能够或允许与第一网络设备在通信网络内部执行安全通信的可能性。因此，在一种有利的扩展方案中进一步规定，在接收到第一消息M1之后，首先由第二网络设备执行对由第一网络设备传送的身份标志IDi的检验，并且基于此检验的结果由第二网络设备决定到底是否将第二消息M2如前所述地从第二网络设备发送到第一网络设备，或者，是否在得知第一网络设备的身份之后就已经中断此建立。如果第二网络设备同意建立，那么，第一网络设备则也由此借助由第二网络设备发送的第二消息M2获得第二网络设备的身份。这又实现了能够提前由第一网络设备方判断由第二网络设备发送的身份也实际与第一网络设备期望与其建立安全通信的网络设备一致。因此，在一种有利的扩展方案中规定，在接收到第二消息M2之后，首先由第一网络设备执行对由第二网络设备传送的身份标志IDr的检验，并且基于此检验的结果由第一网络设备决定到底是否继续或中断此建立。

因此，还有利的是，在此时间点就已经能够在两方都提前地识别建立安全通信的询问或者对此的反应是否为误传的，而无需加密操作。在此，含有随机数Ni或Nr的数据组的产生不需要加密操作并因此不需要大量的资源占用。由此，为了使此数据组在必要时也能够在之后用于后续的认证/鉴定，此产生能够以有利的方式提前就已经执行，而无需为此进行单独的消息交换。

如果继续进行此建立，那么，本发明则规定，在获得第二消息M2之后，在第一网络设备上产生包含第一签名AuthI的数据组，此数据组之后在第三消息M3中从第一网络设备发送到第二网络设备。因此在第二网络设备处对第一网络设备进行认证。在此，第一签名AuthI的产生通过实施第一算法、使用第一密码Pw以及由第一消息M1的第一消息部分和第二消息M2的第二消息部分组成的待发送的数据实现。

此外，在第二网络设备上产生包含第二签名AuthI′的数据组，即也通过实施第一算法、并且使用第一密码Pw以及由与产生包含第一签名“AuthI”的数据组时相同的第一消息M1的第一消息部分及相同的第二消息M2的第二消息部分组成的待发送的数据实现。随后，第二网络设备在获得第三消息M3之后可执行对第一网络设备的鉴定。为此，在第二网络设备上将由第一网络设备产生的、包含第一签名AuthI的数据组与由第二网络设备产生的、包含第二签名AuthI′的数据组相比较。

由此，两个网络设备能够使用对称加密算法产生签名AuthI或AuthI′，因为二者为此分别配置第一、即共享密码Pw，并且待签名的数据由消息M1和M2的相同的消息部分组成。

因此，通过对第一网络设备身份的单独认证/鉴定，使得第二网络设备能够再次决定是否与第一网络设备继续进行安全通信的建立。在一种有利的扩展方案中，因此进一步规定，由第二网络设备参照第一签名AuthI与第二签名AuthI′的比较结果决定是否继续进行安全通信的建立或者在此位置处中断此方法。

如果继续进行建立，本发明则规定，接着在第二网络设备上产生包含第三签名AuthR的数据组，并且将其在第四消息M4中从第二网络设备发送到第一网络设备。第二网络设备因此在第一网络设备处进行认证。在此，第三签名的产生有利地通过在使用第一密码Pw和由第一消息M1的第三消息部分与第二消息M2的第四消息部分组成的待签名的数据的条件下实施第二算法实现，其中，第三消息部分为第一消息部分以外的另一消息部分，和/或第四消息部分为第二消息部分以外的另一消息部分。

此外，在第一网络设备上产生包含第四签名AuthR′的数据组，并且通过在使用第一密码Pw和与第三签名AuthR相应地由相同的第一消息M1的第三消息部分以及相同的第二消息M2的第四消息部分组成的待签名的数据的条件下实施第二算法产生，如同在第三签名AuthR的产生那样。由此，第一网络设备能够在收到第四消息M4之后执行对第二网络设备的认证。为此，在第一网络设备上将由第二网络设备产生的、包含第三签名AuthR的数据组与由第一网络设备产生的、包含第四签名AuthR′的数据组相比较。

因此，通过对第二网络设备身份的单独认证/鉴定，又使得第一网络设备能够决定是否与第二网络设备继续进行安全通信的构建。在一种有利的扩展方案中，因此又进一步设定，由第一网络设备根据第三签名AuthR与第四签名AuthR′的比较结果决定进一步进行安全通信的建立或者在此位置中断此方法。

如果继续进行建立，本发明则规定，接着可以在第一网络设备上和在第二网络设备上分别产生第二密码G，并且分别通过执行第三算法并且在使用第一密码Pw和至少一个之前在第一网络设备上和/或在第二网络设备上产生的数据组的条件下产生，此数据组即

-至少包含随机数Ni的数据组，

-至少包含随机数Nr的数据组，

-包含第一签名AuthI的数据组，

-包含第二签名AuthI′的数据组，

-包含第三签名AuthR的数据组，和/或

-包含第四签名AuthR′的数据组。

在此，第二密码G可优选为多个加密密钥的组合，尤其为前述基于图1说明的加密密钥SK2_ai，SK2_ar，SK2_ei和SK2_er的组合。

值得注意的是，在第二设备上进行的由第一网络设备产生的包含第一签名AuthI的数据组与由第二网络设备产生的包含第二签名AuthI′的数据组的比较结果为正时就已经开始在第二网络设备上产生第二密码G。

接着，此第二共享密码G通过第一网络设备和第二网络设备用作用于第一网络设备和第二网络设备之间安全通信的共享密钥，尤其用于在此交流的数据组的签名和/或加密。

在实际实施中，在第一和第二网络设备上为了第二密码G的相应产生分别仅动用产生的各自具有相同数据的数据组。因此尤其规定，在第一和第二网络设备上分别使用其中至少一个包含随机数Ni，Nr的数据组，和/或有利地关于第一网络设备使用其中至少一个包含第一签名AuthI、第三签名AuthR或第四签名AuthR′的数据组，以及有利地关于第二网络设备使用其中至少一个包含第一签名AuthI、第二签名AuthI′或者第三签名AuthR的数据组。

在一种有利的设计方案中，还可以在本发明的范围内将第一密码Pw长期地保存在第一网络设备上以及第二网络设备上，或者通过输入界面输入。如果输入密码Pw，则其在此可以用于一次性使用、即分别在安全通信的建立重新启动之前进行设置，或者用于多次使用、即用于可靠通信建立的多次启动。在此，为了此第一密码Pw的相应使用，能够以有利的方式在两个网络设备上或者直接使用第一密码Pw，或者在两个网络设备上使用基于第一密码Pw、但以相同的方式推导的数值。

但是，替代地，也可在两个网络设备其中之一上存储或者通过输入界面输入第一密码Pw，并且在两个网络设备的另一个上存储或输入基于第一密码Pw推导的数值，其中，在此情况下，在将第一密码Pw用于两个网络设备时，使用基于第一密码Pw的、以相同方式推导的数值。

因此，在两个网络设备上总是使用相同的密码Pw或者相同的、但由密码Pw推导的数值。此数值的推导在此可因此根据实施形式在相应的此网络设备上或者替代地在将此数值输入网络设备中之前进行。

在使用以相同的方式推导的数值的情况下，为此使用的相同的推导方法可因此根据特殊的实际实施情况有利地分别在网络设备上执行，或者在引入网络设备之前为网络设备执行。

如图1中可见，此外优选设置，第一消息M1额外地包含参数组Pi，和/或第二消息M2额外地包含参数组Pr。根据特定的构造，在此，可能有利的是，参数组Pi包含第一算法、第二算法、第三算法、用于推导基于第一密码Pw的数值的准则、用于产生签名的数据部分的标识和/或第二网络设备的身份标识。

在相应的方式中，参数组Pr也可根据特定的构造包含第一算法、第二算法、第三算法、用于推导基于第一密码Pw的数值的准则和/或用于产生签名的相应数据部分的标识。

如由图1中还可见，第一消息M1的第一和/或第三消息部分优选在不使用包含在此消息中的随机数Ni的条件下构成。

补充地或替代地，第二消息M2的第二和/或第四消息部分优选在不使用包含在此消息中的随机数Nr的条件下构成。

此外，本发明还提供了以下可能性，在实际实施中能够为下列情况也执行前述用于建立安全通信的步骤，即，在第一网络设备和第二网络设备之间已经存在通信关系，并且应补充地保证已经存在的通信关系的安全性。

图2十分简化地示出了用于执行根据本发明的方法的、具有在通信网络中的第一和第二网络设备的布置的一个示例的示意图。其中详细地示出具有在出于清晰性原因未进一步示出的通信网络中的称作客户端的第一网络设备和称作服务器的第二网络设备的示例性布置。在第一网络设备和第二网络设备之间可已经存在通过点虚线双箭头表示的不安全的通信连接。

在第一网络设备上示出了第一处理工具V1、第一通信工具K1和第一安全通信工具sK1,并且在第二网络设备上示出了第二处理工具V2、第二通信工具K2和第二安全通信工具sK2。因此，不安全的通信连接尤其通过通信工具K1和K2实现。尤其处理工具V1，V2和安全通信工具sK1，sK2可包含硬件组件和/或软件组件。在一种硬件技术的实施方案中，相应的工具可完全地或部分地构造为设备或设备的一部分，例如构造为计算机或微处理器。在一种软件技术的实施方案中，相应的工具可完全地或部分地构造为计算机程序产品、构造为功能、程序、程序代码或者可实施的主体。尤其为了执行根据本发明的方法，处理工具V1和V2、通信工具K1和K2以及安全通信工具sK1和sK2有利地、如下所述地构建。

首先，第一处理工具V1设置用于产生包含至少一个随机数Ni的数据组，并且第一通信工具K1设置用于从第一网络设备到第二网络设备发送含有此数据组以及第一网络设备的至少一个身份标识IDi的第一消息。

第二处理工具V2设置用于产生含有至少一个随机数Nr的数据组，并且第二通信工具K2设置用于从第二网络设备到第一网络设备发送含有此数据组以及第二网络设备的至少一个身份标识IDr的第二消息。

此外，通信工具K1和K2也有利地设置为适用于接收通过通信工具K2或K1发送的消息。

此外，第一处理工具V1设置用于实施、并且在使用第一密码Pw和待签名的数据的条件下实施第一算法A1，从而生成包含第一签名AuthI的数据组，其中，第一处理工具V1设置用于由第一消息M1的第一消息部分以及第二消息M2的第二消息部分组成此待签名的数据。此外，第一通信工具K1还用于将包含产生的此数据组的第三消息M3从第一网络设备发送到第二网络设备。

此外，第二处理工具V2还设置用于在使用第一密码Pw以及待签名的数据的条件下实施第一算法A1，从而生成包含第二签名AuthI′的第二签名的数据组，其中，第二处理工具V2设置由与第一处理工具V1产生包含第一签名AuthI的数据组时相同的第一消息M1的第一消息部分以及相同的第二消息M2的第二消息部分组成此待签名的数据组。第二处理工具V2还设置用于将由第一网络设备产生的包含第一签名AuthI的数据组与在第二网络设备上产生的包含第二签名AuthI′的数据组相比较。

此外，第二处理工具V2设置用于在使用第一密码Pw和待签名的数据的条件下执行第二算法A2，从而产生包含第三签名AuthR的数据组，其中，第二处理工具V2设置用于由第一消息M1的第三消息部分和第二消息M2的第四消息部分组成此待签名的数据，其中，第三消息部分为第一消息部分以外的另一消息部分，和/或第四消息部分为第二消息部分以外的另一消息部分，并且其中，第二通信工具K2还设置用于将包含产生的此数据组的第四消息M4从第二网络设备发送到第一网络设备。

第一处理工具V1也设置用于在第一网络设备上在使用第一密码Pw和待签名的数据的条件下执行第二算法A2，从而产生包含第四签名AuthR′的数据组，其中，第一处理工具V1还设置用于与第三签名AuthR相应地由与第二处理工具V2在产生包含第三签名AuthR的数据组时相同的消息M1的第三消息部分以及相同的消息M2的第四消息部分组成此待签名的数据，并且其中，第一处理工具V1设置用于将由第二网络设备产生的包含第三签名AuthR的数据组与由第一网络设备产生的包含第四签名AuthR′的数据组相比较。

第一处理工具V1和第二处理工具V2还都设置用于在使用第一密码Pw和包含随机数Ni、随机数Nr、第一签名AuthI、第二签名AuthI′、第三签名AuthR或者第四签名AuthR′的数据组的至少其中之一的条件下实施第三算法A3，从而相应地产生第二共享密码G。

最后，第一和第二安全通信工具sK1和sK2设置用于将第二共享密码G用作用于在第一网络设备和第二网络设备之间安全通信的共享密钥，也就是说，尤其用于认证/鉴定和/或用于加密和解密数据组以执行安全通信。在实际实施中，相应保证安全的数据组的发送和接收可以根据设备也通过安全通信工具sK1和sK2或者再次通过通信工具K1和K2进行。

如前所述，由此，在实际实施中，通信工具K1和K2也设置适用于接收通过通信工具K2或K1发送的消息，也就是说，尤其通信工具K1至少用于接收消息M2和M4，并且通信工具K2至少用于接收消息M1和M3。

在根据图2的布置中，还示出了存储器，纯粹出于阐述原因，其分别划分为两个存储器区域S1a和S 1b或S2a和S2b，并且尤其处理工具V1或V2能够访问它们。

在此，可例如在客户端的存储器区域S1a中长期地存储和/或通过输入界面Es输入第一密码Pw、身份标识IDi和IDr以及第一、第二和第三算法A1,A2和A3。

但是，根据特殊的构造也可例如将第一算法、第二算法、第三算法、用于推导基于第一密码Pw的数值的准则和/或用于产生签名的相应消息部分的身份标识从服务器发送到客户端，然后再例如保存在存储器区域S1a中。

在服务器的存储器区域S2a中也可以例如持续地保存和/或通过输入界面Es输入第一密码Pw、身份标识IDr以及第一、第二和第三算法A1,A2和A3。

但是，根据特殊的构造，也可例如将第一算法、第二算法、第三算法、用于推导基于第一密码Pw的数值的准则、用于产生签名的相应消息部分的身份标识和/或第二网络设备的身份标识从客户端发送到服务器，然后再例如保存在存储器区域S1a中。

在客户端或服务器的存储器区域S 1b和S2b中可以例如根据相应的需求保存随机数Ni和Nr、第二密码G以及签名AuthI、AuthR和AuthR′,或者随机数Ni和Nr、第二密码G以及AuthI、AuthI′和AuthR。

身份标识Idi也可以储存或保存在服务器的存储区域S2a或S2b中，至少在根据下文中还将描述的其他实施例中、处理工具V2应该能够在必要时动用此身份标识的情况下。

因此，再次尤其参照图1，在本发明尤其有利的实施例中，为了建立安全的通信，下文中也称作(用于安全通信的)连接建立，在此连接建立之前，两个网络设备、即起始器和应答器处已经通知共享的密码Pw。

例如当在一个网络设备上存在输入单元或输入界面并且用户能够直接在连接建立之前为网络设备输入密码Pw时，可尤其在每次连接建立之前进行此通知。如果例如网络设备为在运行时没有用户在现场的现场应用中的嵌入式***，Pw的通知则也为多次或所有后续的连接建立进行一次。在后者的示例中，密码Pw例如也可包含在网络设备或具有此网络设备的装置的配置中。

因此，尤其可以在两个网络设备上事先存储密码Pw，或者可以在第二网络设备上事先存储密码Pw并通过用户在每次连接建立之前在第一网络设备上输入密码Pw，或者可以在第二网络设备上事先存储密码并且在客户端上通过用户事先输入密码Pw以供随后的数次连接建立使用。

首先，在图1中以附图标记1表示的连接建立的步骤中，客户端产生消息M1并将其发送到服务器。消息M1包含客户端的身份IDi、由客户端新产生的随机数Ni以及可选的参数组Pi。参数组Pi可指定应该在连接建立期间由网络设备用于认证/鉴定的算法。Pi可例如指定应该在连接建立完成后用于保护其他通信的算法。有利的是，客户端在参数组Pi中指定接受的或期望的服务器身份。因为，那么服务器则可以在处理M1时决定对其来说此连接建立是否真的为期望的还是误导的。如果服务器本身具有不同的身份，例如具有不同的用于与不同的客户端组通信的身份或者为每个由其提供的服务分别具有一个身份，那么，此接收的或期望的身份的指定则尤为有利。

然后，在图1中以附图标记2表示的步骤中，服务器处理接收的消息M1并决定其是否同意与客户端的前述身份IDi的连接建立。在此有利的是，不需要加密操作，从而在此位置处识别用于连接建立的误导的询问。

如果服务器同意此连接建立，那么，在图1中以附图标记3表示的步骤中，其则以消息M2回复客户端，此消息M2包含服务器的身份IDr、由其产生的随机数Nr和可选的参数组Pr。参数组Pr可例如例如作为对客户端为此目的在Pi中建议的多个算法的反应而指定由服务器在连接建立期间选择的用于认证/鉴定的算法。Pr也可例如作为对客户端为此目的在Pi中建议的多个算法的反应而指定在连接建立结束后应用于保护其他通信的算法的组合。

在图1中以附图标记4表示的步骤中，客户端产生消息M3并将其发送到服务器。消息M3包含借助对称性加密算法产生的签名AuthI，其中，共享密码Pw作为用于产生签名的密钥，并且签名的数据例如由不具有随机数Ni的消息M1以及整个消息M2组成。为此的可能的算法为例如借助HMAC-MD5的消息认证，例如在下列文献中说明的：

H.Krawczyk，M.Bellare和R.Canetti所著的“RFC2104-HMAC；用于消息认证的密钥散列法(Keyed-Hashing for Message Authentication)”,Internet Engineering TaskForce(IETF),1997。如前所述，在将对称签名用于嵌入式***时，主要的优点尤其在于，相比于非对称方法其需要更少的资源(计算时间和处理存储器)。

在图1中以附图标记5表示的步骤中，服务器将消息M3中的签名AuthI与其本身新计算的签名AuthI′相比较。由此，服务器得知客户端是否具有同样的密码Pw。

接着，在图1中以附图标记6表示的步骤中，服务器在签名AuthI的检验结果为正时在消息M4中同样将由其产生的签名AuthR发送给客户端。在此，签名AuthR同样以对称加密算法产生，其中，同样将共享密码Pw用作签名密钥。在此，签名的数据为例如整个消息M1与不带有随机数Nr的消息M2的组合。

关于签名AuthI和AuthR的有利的替代变体可例如为：

a)AuthI＝M1和M2的签名并且使用Pw，并且

AuthR＝M1和M2的签名，但不具有Nr并且使用Pw；

b)AuthI＝M1和M2的签名，但不具有Nr并且使用Pw，并且

AuthR＝M1和M2的签名并且使用Pw；

c)AuthI＝M1和M2的签名并且使用Pw，并且

AuthR＝不具有Ni的M1以及M2的签名并且使用Pw；

d)AuthI＝不具有Ni的M1以及M2的签名并且使用Pw，并且

AuthR＝M1和M2的签名并且使用Pw。

在本发明的尤其有利的实施中，关键的是，数值AuthI和AuthR不相等。否则，如果入侵者能够伪造交换的消息，其则也能够执行很简单的攻击。因为，为了计算AuthR，其不再需要密码Pw，而只简单地将AuthI的数值在消息M4中用作AuthR的数值。对入侵者来说，尤其无需得知Pw即可以确定由其选择的用于消息M1和M3的内容，使得服务器识别不到伪造。

在图1中以附图标记7表示的步骤中，服务器和客户端在使用第一密码Pw的条件下由签名AuthI和AuthR推导出第二密码G，其尤其为例如通过签名和/或加密/解密用于保证后续通信安全的多个加密密钥SK2_ai，SK2_ar，SK2_ei，SK2_er的组合。为此，服务器和客户端使用之前协定的对称算法，例如HMAC-MD5，其中，Pw用作密钥并且签名AuthI和AuthR用作数据。

替代签名AuthI和AuthR，在图1中以附图标记7表示的步骤中也可例如仅使用随机数Ni和Nr作为变量。

但是指出，通过使用对两个通信设备存在的至少一个相同的签名，通过产生或通过接收的，则也实现了对消息M1和M2的签名的组成部分的加密安全保证，例如对身份IDi和IDr的和/或可选的参数Pi和Pr的。相反，这在仅使用数值Ni和Nr时省略。此外，必须在网络设备或包含此网络设备的装置上强制地为数值Ni和Nr保留工作存储器，从而其在实施算法A3时可用。与此不同，由于直接在其之前进行的比较，签名其中之一很可能在此时间点仍旧处于工作存储器中。

因此，关于第二密码的可能的变量可例如为：

a)G＝使用Pw，Ni，Nr实施A3；

b)G＝使用Pw，AuthI，AuthR实施A3；

c)G＝使用Pw，Ni，AuthR实施A3；

d)G＝使用Pw，AuthI，Nr实施A3；

其中，在第一签名与第二签名的比较结果为正时，在必要时、即在校验相同签名的存在时，替代AuthI可在第二网络设备上使用AuthI′,并且在必要时、即在校验相同签名存在时，替代AuthR可以在第一网络设备上使用AuthR′。

在服务器处成功发送消息M4之后或者说在客户端处成功接收到消息M4之后，网络设备才开始借助其使用第二共享密码G产生的对称密钥保证后续安全通信的安全。在此有利的是，如果通过服务器检验签名AuthI的结果为负时，服务器还可以向客户端以明文发送带有原因说明的回复。

因为根据本发明，识别和认证/鉴定在分开的步骤中进行或引入，所以，借助交换消息M1和M2的识别、借助交换消息M3和M4的认证/鉴定能够非常简单地区分通过不匹配的身份引起的或者否则通过不相同的密码Pw引起的错误情况。

在包含发送、接收和处理消息M3或M4的单独的认证/鉴定中有利的是，通过AuthR和AuthI的相应检验，客户端和服务器确定其具有相同的Pw和相同的Ni和Nr的数值。由此，其为对通信的后续安全保证使用G的相同数值，并因此不对后续通信(例如其签名)的检验中的错误得出不完善的认证/鉴定，而总是得出是传输错误或伪造。由此能够区分这些错误。

如前所述，在使用方法之前在第一和第二网络设备之间尚未存在通信关系不是前提。追加地通过使用此方法能够根据本发明地保证已经存在的通信关系的安全。

如前所示，如果在整个(用于安全通信的)连接建立期间，网络设备在使用第一密码时替代Pw而使用由Pw导出的数值，例如借助HMAC(keyed-hash message authenticationcode)函数或者密钥导出函数(Key-Derivation-Function)由Pw产生的数值，例如借助已经提及的HMAC-MD5或者在RSA实验室的“PKCS#5v2.0：基于口令的加密标准(Password-BasedCryptography Standard)”，1999中说明的函数PBKDF2(Password-Based Key DerivationFunction 2),那么，关于第一密码Pw则还存在有利的变体。

在推导中能够以有利的方式引入为期望的通信协议订制的特征。当在网络设备中应将同一密码用于不同的通信协议中时，这提高了安全性。如果在第一网络设备中存在更大的资源，例如快速的运算器，并且用户输入密码Pw，并且在第二网络设备上仅存储借助PBKDF2推导出的数值，那么使用PBKDF2则尤其有利，因为这样在资源贫瘠的第二网络设备上则积压明显更少的计算工作，但是通过复制借助PBKDF2由Pw推导出的数值不能重新获得Pw。

由此，在本发明的范围内，网络设备能够在使用第一密码Pw时替代Pw也使用由Pw推导出的数值，其中，在推导Pw时有利地与常数结合，其中，此常数例如确定在连接建立后使用的通信协议。因此，当同样的两个网络设备使用不同的协议通信并且为每个协议都分别根据所述方法建立一个安全连接，这则尤其有利。那么，可以替代Pw而为每个通信协议推导出并使用不同的密码。由此，猜中用于各个通信协议的密码则对于入侵者来说更加困难了。

替代地，在本发明的范围内，为了建立用于安全通信的连接，也可例如在一个网络设备上不储存密码Pw本身，而是储存尤其推导出的数值，例如针对Pw使用密钥导出函数后产生的数值。在另一网络设备上则相反，保存或者在每次连接建立之前新输入密码Pw，并且在每次应用前重新计算并使用推导的数值。因此，当由中央位置应当借助同一密码Pw访问许多不同的网络设备或者包含网络设备的装置、并且Pw的推导分别涉及一个网络身份和/或装置身份时，这则尤其有利。因为那么对于“窃取”此网络设备或包含此网络设备的装置并获取密码Pw的推导的入侵者来说，基本不可能替代中央设备访问其他装置，因为由密码Pw的推导不能确定密码本身，或者至少仅在很高投入的情况下才能做到。

Claims (11)

1.用于在通信网络内的第一网络设备(起始器)与第二网络设备(应答器)之间建立安全通信的方法，其特征在于，在产生作为共享密钥用于安全通信的密码之前，使用对称加密***分别针对第一和第二网络设备执行单独的认证/鉴定，在此对称加密***中，两个网络设备分别使用同样的密码作为用于加密和解密数据组的密钥。

2.根据权利要求1所述的方法，包含下列步骤：

a)在所述第一网络设备上产生包含至少一个随机数(Ni)的数据组，并将包含所述第一网络设备的身份标识(IDi)和产生的所述数据组的第一消息(M1)从所述第一网络设备发送到所述第二网络设备；

b)在所述第二网络设备上产生包含至少一个随机数(Nr)的数据组，并且将包含所述第二网络设备的身份标识(IDr)和产生的所述数据组的第二消息(M2)从所述第二网络设备发送到所述第一网络设备；

c)在所述第一网络设备上产生包含第一签名(AuthI)的数据组，并且在使用第一密码(Pw)和由所述第一消息(M1)的第一消息部分与所述第二消息(M2)的第二消息部分组成的待签名的数据的条件下通过实施第一算法(A1)产生，

并且

将包含产生的所述数据组的第三消息(M3)从所述第一网络设备发送到所述第二网络设备；

d)在所述第二网络设备上产生包含第二签名(AuthI′)的数据组，并且在使用所述第一密码(Pw)和由与在产生包含所述第一签名(AuthI)的数据组时相同的所述第一消息(M1)的第一消息部分与相同的所述第二消息(M2)的第二消息部分组成的待签名的数据的条件下通过实施所述第一算法(A1)产生，并且将由所述第一网络设备产生的包含所述第一签名(AuthI)的数据组与由所述第二网络设备产生的包含所述第二签名(AuthI′)的数据组相比较；

e)在所述第二网络设备上产生包含第三签名(AuthR)的数据组，并且在使用所述第一密码(Pw)和由所述第一消息(M1)的第三消息部分与所述第二消息(M2)的第四消息部分组成的待签名的数据的条件下通过实施第二算法(A2)产生，其中，所述第三消息部分为不同于所述第一消息部分的另一消息部分，和/或所述第四消息部分为不同于所述第二消息部分的另一消息部分，并且将包含产生的所述数据组的第四消息(M4)从所述第二网络设备发送到所述第一网络设备；

f)在所述第一网络设备上产生包含第四签名(AuthR′)的数据组，并且在使用所述第一密码(Pw)和与所述第三签名(AuthR)相应的、由与产生所述第三签名(AuthR)时相同的所述消息(M1)的第三消息部分与相同的所述消息(M2)的第四消息部分组成的待签名的数据的条件下通过实施第二算法(A2)产生，并且

将由所述第二网络设备产生的包含所述第三签名(AuthR)的数据组与由所述第一网络设备产生的包含所述第四签名(AuthR′)的数据组相比较；

g)在所述第一网络设备上和在所述第二网络设备上分别产生第二密码(G)，并且在使用所述第一密码(Pw)和在前述步骤a)，b)，c)，d)，e)，f)中产生的至少一个数据组的条件下通过实施第三算法(A3)产生；

h)使用通过所述第一网络设备和所述第二网络设备产生的第二共享密码(G)作为用于在所述第一网络设备和所述第二网络设备之间的安全通信的共享密钥。

3.根据权利要求2所述的方法，其中，在步骤g)中，在所述第一网络设备和第二网络设备上仅分别使用相应具有相同的数据的产生的数据组，尤其分别使用包含至少一个随机数(Ni,Nr)的数据组中的至少一个，和/或使用包含第一、第三或第四签名的数据组中的至少一个，以及使用包含第一、第二或第三签名的数据组中的至少一个。

4.根据权利要求2或3所述的方法，其特征在于，

-在步骤a)之后，由所述第二网络设备首先执行对从所述第一网络设备传送的身份标识(IDi)的检验，并且基于所述检验的结果由所述第二网络设备决定开始步骤b)或者在步骤a)之后中断此方法，

-在步骤b)之后，由所述第一网络设备首先执行对从所述第二网络设备传送的身份标识(IDr)的检验，并且基于所述检验的结果由所述第一网络设备决定开始步骤c)或者在步骤b)之后中断此方法，

-在步骤d)之后，由所述第二网络设备根据所述第一签名与所述第二签名的比较结果决定开始步骤e)或者在步骤d)之后中断此方法，和/或

-在步骤f)之后，由所述第一网络设备根据所述第三签名与所述第四签名的比较结果决定开始步骤g)或者在步骤f)之后中断此方法。

5.根据前述权利要求2至4中任一项所述的方法，其特征在于，

分别在每次实施步骤a)之前或者为步骤a)的多次实施，将所述第一密码(Pw)存储在或者通过输入界面输入到所述第一网络设备以及所述第二网络设备上，其中，在两个网络设备上使用第一密码(Pw)时，或者直接使用所述第一密码(Pw)，或者使用以相同的方式由所述第一密码(Pw)推导出的数值，方式尤其是为了或者通过两个网络设备分别执行相同的推导方法。

6.根据前述权利要求2至4中任一项所述的方法，其特征在于，

分别在每次执行步骤a)之前或者为了步骤a)的多次实施，在两个网络设备其中之一上储存或通过输入界面输入第一密码(Pw)，并且在两个网络设备中的另一个上储存或通过输入界面输入基于所述第一密码(Pw)推导出的数值，其中，在两个网络设备上使用所述第一密码(Pw)时，使用基于所述第一密码(Pw)以相同的方式推导出的数值。

7.根据前述权利要求2至6中任一项所述的方法，其特征在于，

-所述第一消息(M1)额外地包含参数组(Pi)，所述参数组包括所述第一算法(A1)、所述第二算法(A2)、所述第三算法(A3)、用于推导基于所述第一密码(Pw)的数值的准则、用于产生签名的相应消息部分的标识和/或所述第二网络设备的身份标识，

和/或

-所述第二消息(M2)额外地包含参数组(Pr)，所述参数组包括所述第一算法(A1)、所述第二算法(A2)、所述第三算法(A3)、用于产生签名的相应消息部分的标识和/或用于推导基于所述第一密码(Pw)的数值的准则。

8.根据前述权利要求2至7中任一项所述的方法，其特征在于，在不使用包含在所述第一消息(M1)中的随机数(Ni)的条件下构成所述第一消息(M1)的第一消息部分或第三消息部分，

和/或

在不使用包含在所述第二消息中的随机数(Nr)的条件下构成所述第二消息(M2)的第二消息部分或第四消息部分。

9.根据前述权利要求2至8中任一项所述的方法，其特征在于，在所述第一网络设备和第二网络设备之间已经存在通信关系时，执行步骤a)至h)，从而追加地保证已经存在的所述通信关系的安全。

10.计算机程序产品，所述计算机程序产品推动根据前述权利要求中任一项所述的方法的执行。

11.具有在通信网络内的第一网络设备和第二网络设备的布置，所述布置尤其用于执行前述权利要求1至9中任一项所述的方法，其中，在所述第一网络设备上设置第一处理工具(V1)、第一通信工具(K1)和第一安全通信工具(sK1)，并且在所述第二网络设备上设置第二处理工具(V2)、第二通信工具(K2)和第二安全通信工具(sK2)；

其特征在于，

a)所述第一处理工具(V1)构造用于产生包含至少一个随机数(Ni)的数据组，并且所述第一通信工具(K1)构造用于将包含所述第一网络设备的身份标识(IDi)和由所述第一网络设备产生的所述数据组的第一消息(M1)从所述第一网络设备发送到所述第二网络设备；

b)所述第二处理工具(V2)构造用于产生包含至少一个随机数(Nr)的数据组，并且所述第二通信工具(K2)构造用于将包含所述第二网络设备的身份标识(IDr)和由所述第二网络设备产生的所述数据组的第二消息(M2)从所述第二网络设备发送到所述第一网络设备；

c)所述第一处理工具(V1)还构造用于在所述第一网络设备上实施第一算法(A1)以产生包含第一签名(AuthI)的数据组，并且在使用第一密码(Pw)和待签名的数据的条件下产生，其中，所述第一处理工具(V1)构造用于由所述第一消息(M1)的第一消息部分和所述第二消息(M2)的第二消息部分组成所述待签名的数据，并且其中，所述第一通信工具(K1)还构造用于将包含产生的所述数据组的第三消息(M3)从所述第一网络设备发送到所述第二网络设备；

d)所述第二处理工具(V2)还构造用于在所述第二网络设备上实施第一算法(A1)以产生包含第二签名(AuthI′)的数据组，并且在使用第一密码(Pw)和待签名的数据的条件下产生，其中，所述第二处理工具(V2)构造用于由与所述第一处理工具(V1)在产生含有第一签名(AuthI)的数据组时相同的所述第一消息(M1)的第一消息部分和相同的所述第二消息(M2)的第二消息部分组成所述待签名的数据，并且其中，所述第二处理工具(V2)构造用于将由所述第一网络设备产生的包含所述第一签名(AuthI)的数据组与由所述第二网络设备产生的包含所述第二签名(AuthI′)的数据组相比较；

e)所述第二处理工具(V2)还构造用于实施第二算法(A2)以产生包含第三签名(AuthR)的数据组，并且在使用所述第一密码(Pw)和待签名的数据的条件下产生，其中，所述第二处理工具(V2)构造用于由所述第一消息(M1)的第三消息部分与所述第二消息(M2)的第四消息部分组成所述待签名的数据，其中，所述第三消息部分为不同于所述第一消息部分的另一消息部分，和/或所述第四消息部分为不同于所述第二消息部分的另一消息部分，并且其中，所述第二通信工具(K2)还构造用于将包含产生的所述数据组的第四消息(M4)从所述第二网络设备发送到所述第一网络设备；

f)所述第一处理工具(V1)还构造用于在所述第一网络设备上实施第二算法(A2)以产生包含第四签名(AuthR′)的数据组，并且在使用所述第一密码(Pw)和待签名的数据的条件下产生，其中，所述第一处理工具(V1)构造用于与所述第三签名(AuthR)相应地、由与所述第二处理工具(V2)在产生包含所述第三签名(AuthR)的数据组时相同的所述第一消息(M1)的第三消息部分与相同的所述第二消息(M2)的第四消息部分组成的所述待签名的数据，并且其中，所述第一处理工具(V1)构造用于将由所述第二网络设备产生的包含所述第三签名(AuthR)的数据组与由所述第一网络设备产生的包含所述第四签名(AuthR′)的数据组相比较；

g)所述第一处理工具(V1)和所述第二处理工具(V2)还构造用于实施第三算法(A3),在使用所述第一密码(Pw)和包含所述随机数(Ni)、所述随机数(Nr)、所述第一签名(AuthI)、所述第二签名(AuthI′)、所述第三签名(AuthR)或者所述第四签名(AuthR′)的数据组的至少其中之一的条件下产生第二共享密码(G)；

h)所述第一安全通信工具(sK1)和所述第二安全通信工具(sK2)构造用于使用所述第二共享密码(G)作为用于在所述第一网络设备和所述第二网络设备之间的安全通信的共享密钥。