DE102015219992A1

DE102015219992A1 - Method and apparatus for verifying a group key

Info

Publication number: DE102015219992A1
Application number: DE102015219992.4A
Authority: DE
Inventors: Timo Lothspeich; Christian Horst; Andreas Mueller; Thorsten SCHWEPP
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2015-10-15
Filing date: 2015-10-15
Publication date: 2017-04-20
Also published as: WO2017063998A1

Abstract

Verfahren zum Verifizieren eines Gruppenschlüssels, gekennzeichnet durch folgende Merkmale: – einem ersten Knoten (A) und einem zweiten Knoten (B) wird jeweils eine eindeutige ID zugewiesen, – der erste Knoten (A) sendet eine Nachricht an den zweiten Knoten (B) und – aufgrund der Nachricht zeigt der erste Knoten (A) oder der zweite Knoten (B) dem jeweils anderen Knoten (B, A) an, ob ein von dem ersten Knoten (A) erzeugter erster Schlüssel mit einem von dem zweiten Knoten (B) erzeugten zweiten Schlüssel übereinstimmt.A method for verifying a group key, characterized by the following features: a first node (A) and a second node (B) are each assigned a unique ID, the first node (A) sends a message to the second node (B) and On the basis of the message, the first node (A) or the second node (B) indicates to the other node (B, A) whether a first key generated by the first node (A) and one of the second node (B) matches the generated second key.

Description

Die vorliegende Erfindung betrifft Verfahren zum Verifizieren eines Gruppenschlüssels. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium. Dabei kommunizieren die beteiligten Knoten oder Teilnehmer über ein gemeinsam genutztes Übertragungsmedium. Hierbei werden logische Bitfolgen – bzw. allgemeiner: Wertfolgen – durch entsprechende Übertragungsverfahren als Signale bzw. Signalfolgen physikalisch übertragen.The present invention relates to methods for verifying a group key. The present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium. The participating nodes or subscribers communicate via a shared transmission medium. Here are logical bit sequences - or more generally: value sequences - transmitted by appropriate transmission method as signals or signal sequences physically.

Das zugrundeliegende Kommunikationssystem kann z. B. ein CAN-Bus sein. Dieser sieht eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vor, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signale bzw. Bits durchsetzt. Ein Zustand entsprechend dem rezessiven Signal stellt sich auf dem Übertragungsmedium nur ein, wenn alle beteiligten Teilnehmer ein rezessives Signal zur Übertragung vorsehen bzw. wenn alle gleichzeitig sendenden Teilnehmer einen rezessiven Signalpegel übertragen.The underlying communication system can, for. B. be a CAN bus. This provides for transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits. A state corresponding to the recessive signal adjusts itself to the transmission medium only if all participants involved provide a recessive signal for transmission or if all participants transmitting at the same time transmit a recessive signal level.

Stand der TechnikState of the art

Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst – je nach Anwendung – verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität.Secure communication between different devices is becoming more and more important in an increasingly networked world and is an essential prerequisite for the acceptance and thus the economic success of the corresponding applications in many areas of application. Depending on the application, this includes various protection goals, such as safeguarding the confidentiality of the data to be transferred, the mutual authentication of the nodes involved or the assurance of data integrity.

Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptographische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: zum einen symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, zum anderen asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit dem öffentlichen – d. h. auch einem potenziellen Angreifer möglicherweise bekannten – Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem Empfänger bekannt ist.In order to achieve these protection goals, suitable cryptographic methods are usually used, which can generally be subdivided into two different categories: on the one hand, symmetrical methods in which the sender and receiver have the same cryptographic key, and on the other asymmetrical methods in which the sender transmits them Data with the public - d. H. also known to a potential attacker - key of the recipient is encrypted, but the decryption can only be done with the associated private key, which ideally is known only to the recipient.

Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten wie z. B. Sensoren, Aktuatoren o. ä. geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie geringen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz des sogenannten „Energy Harvesting”. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht.One of the disadvantages of asymmetric methods is that they usually have a very high computational complexity. Thus, they are only conditionally for resource-constrained nodes such. As sensors, actuators o. Ä. Suitable, which usually have only a relatively low processing power and low memory and energy-efficient work, for example, due to battery operation or the use of the so-called "energy harvesting". In addition, there is often limited bandwidth available for data transmission, making the replacement of asymmetric keys with lengths of 2048 bits or even more unattractive.

Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM-Karte den entsprechenden Schlüssel zuordnen. Im Fall eines drahtlosen lokalen Netzwerks (wireless local area network, WLAN) hingegen erfolgt üblicherweise eine manuelle Eingabe der zu verwendenden Schlüssel – in der Regel durch die Eingabe eines Passwortes – bei der Einrichtung des Netzwerkes. Ein solches Schlüsselmanagement wird allerdings schnell sehr aufwändig und impraktikabel, wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen, z. B. CAN-basierten Fahrzeugnetzwerken. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel – etwa im Rahmen einer regelmäßigen Neuberechnung oder „Auffrischung” (re-keying) – oftmals überhaupt nicht bzw. nur mit sehr großem Aufwand möglich.For symmetric methods, however, it must be ensured that both the receiver and the transmitter have the same key. The associated key management generally represents a very demanding task. In the area of mobile telephony, for example, keys are inserted into a mobile telephone with the aid of SIM cards, and the associated network can then assign the unique identifier of a SIM card to the corresponding key. In the case of a wireless local area network (WLAN), on the other hand, a manual input of the keys to be used-usually by the entry of a password-usually takes place when the network is set up. However, such key management quickly becomes very cumbersome and impractical if one has a very large number of nodes, for example in a sensor network or other machine-to-machine communication systems, e.g. B. CAN-based vehicle networks. In addition, a change of the keys to be used - for example in the context of a regular recalculation or "re-keying" - often not possible at all or only with great effort.

DE 10 2012 215 326 A1 beschreibt ein Verfahren zur Erzeugung eines kryptografischen Schlüssels in einem Netzwerk mit einem ersten Netzwerkelement, einem zweiten Netzwerkelement und einem Netzwerkknoten, wobei das erste Netzwerkelement über einen ersten Übertragungskanal und das zweite Netzwerkelement über einen zweiten Übertragungskanal mit dem Netzwerkknoten kommunizieren kann. Das Verfahren umfasst aufseiten des ersten Netzwerkelements einen Schritt des Bestimmens einer ersten Kanalinformation bezüglich des ersten Übertragungskanals basierend auf einem von dem Netzwerkknoten ausgesendeten ersten Pilotsignal und einen Schritt des Ermittelns des symmetrischen kryptografischen Schlüssels unter Verwendung der ersten Kanalinformation und einer Information über eine kombinierte Kanalinformation, wobei die kombinierte Kanalinformation eine seitens des Netzwerkknotens basierend auf einem von dem ersten Netzwerkelement zu dem Netzwerknoten übertragenen zweiten Pilotsignal und einem von dem zweiten Netzwerkelement zu dem Netzwerknoten übertragenen dritten Pilotsignal bestimmte Kombination von Übertragungscharakteristiken des ersten und des zweiten Übertragungskanals repräsentiert. DE 10 2012 215 326 A1 describes a method for generating a cryptographic key in a network having a first network element, a second network element and a network node, wherein the first network element can communicate with the network node via a first transmission channel and the second network element via a second transmission channel. The method comprises, on the first network element side, a step of determining a first channel information relating to the first transmission channel based on a first pilot signal transmitted from the network node and a step of determining the symmetric cryptographic key using the first channel information and combined channel information information the combined channel information specifies a combination of: on the part of the network node based on a second pilot signal transmitted from the first network element to the network node and a third pilot signal transmitted from the second network element to the network node Transmission characteristics of the first and second transmission channel represents.

Zudem können basierend auf diesem Verfahren auch so genannte Gruppenschlüssel zwischen mehr als zwei Kommunikationsteilnehmern etabliert werden. Ein symmetrischer Schlüssel zwischen zwei Kommunikationsteilnehmern – dessen Generierung oben exemplarisch beschrieben ist – kann dabei auch als ein Spezialfall eines Gruppenschlüssels mit einer Gruppengröße von zwei Teilnehmern aufgefasst werden. Dementsprechend wird im Weiteren oftmals nur noch der Begriff „Gruppenschlüssel” verwendet, was aber eben den Fall eines Schlüsselpaars beinhaltet.In addition, so-called group keys between more than two communication participants can be established based on this method. A symmetrical key between two communication participants - the generation of which is described above by way of example - can also be understood as a special case of a group key with a group size of two subscribers. Accordingly, in the following, often only the term "group key" is used, but this includes the case of a key pair.

Offenbarung der ErfindungDisclosure of the invention

Die Erfindung stellt mehrere Verfahren zum Verifizieren eines Gruppenschlüssels, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.The invention provides a plurality of methods for verifying a group key, a corresponding device, a corresponding computer program and a corresponding storage medium according to the independent claims.

Der vorgeschlagene Ansatz fußt dabei auf folgender Erkenntnis: Erzeugen Steuergeräte unter Verwendung eines geeigneten Verfahrens ihre geheimen Schlüssel selbst, z. B. in der Werkstatt nach Austausch eines defekten Steuergerätes, so kann es sinnvoll sein, vor der Verwendung dieser Schlüssel – z. B. zur Verschlüsselung oder Authentifizierung von Nachrichten – sicherzustellen, dass die erzeugten Gruppen-Schlüssel bei allen Teilnehmern der entsprechenden Gruppe auch tatsächlich identisch, d. h. symmetrisch, sind. In der Praxis gibt es prinzipiell immer eine Restwahrscheinlichkeit, dass dies nicht der Fall ist, bspw. aufgrund von Rauschen oder sonstigen Störungen auf dem Kommunikationsmedium oder in den Kommunikationsteilnehmern.The proposed approach is based on the following finding: Generate control devices using a suitable method, their secret key itself, z. B. in the workshop after replacing a defective controller, so it may be useful before using this key -. For example, to encrypt or authenticate messages - to ensure that the generated group keys are actually identical for all subscribers of the corresponding group, i. E. H. symmetric, are. In practice, there is always a residual probability that this is not the case, for example due to noise or other disturbances on the communication medium or in the communication participants.

Ein Vorzug dieser Lösung liegt darin, dass mit dem beschriebenen Verfahren sichergestellt wird, dass alle Knoten des Netzwerks über den gemeinsamen Gruppenschlüssel kommunizieren können. Damit wird vor Beginn des aktiven Betriebs sichergestellt, dass die verwendeten kryptographischen Verfahren ordnungsgemäß eingesetzt werden können und es zu keinen unerwünschten Effekten kommt, z. B. weil ein Teilnehmer einer Gruppe die Nachricht eines anderen Teilnehmers derselben Gruppe nicht entschlüsseln oder authentifizieren kann.An advantage of this solution is that the described method ensures that all nodes of the network can communicate via the shared group key. This ensures, before the start of active operation, that the cryptographic methods used can be used properly and that there are no undesired effects, for example: B. because a participant in a group can not decrypt or authenticate the message of another participant in the same group.

Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich.The measures listed in the dependent claims advantageous refinements and improvements of the independent claim basic idea are possible.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:Embodiments of the invention are illustrated in the drawings and explained in more detail in the following description. It shows:

1 eine sternförmige sequentielle paarweise Verifikation. 1 a star-shaped sequential pairwise verification.

2 eine ringförmige sequentielle paarweise Verifikation. 2 an annular sequential pairwise verification.

3 eine gleichzeitige (one-shot) Verifikation. 3 a simultaneous (one-shot) verification.

Ausführungsformen der ErfindungEmbodiments of the invention

Die Verfahren machen es wünschenswert, dass jeder Knoten eine individuelle ID besitzt, anhand derer er eindeutig identifizierbar ist. Eine solche ID kann beispielsweise jedem Knoten vor der Einbringung in das Netzwerk zugewiesen werden.The methods make it desirable for each node to have an individual ID by which it is uniquely identifiable. For example, such an ID may be assigned to each node prior to entry into the network.

Mögliche Ansätze zur Verifikation, dass zwei Teilnehmer – z. B. ein erster Knoten A und ein zweiter Knoten B – denselben Schlüssel besitzen, können wie folgt geartet sein:
In einer ersten Ausführungsform berechnet der erste Knoten A eine Funktion f seines Schlüssels K_A und sendet den entsprechenden Wert f(K_A) an den zweiten Knoten B. Der zweite Knoten B berechnet dieselbe Funktion mit seinem Schlüssel K_B, d. h. f(K_B), und vergleicht beide Werte. In einer vorteilhaften Ausprägung handelt es sich bei der Funktion f bspw. um eine kryptographische Hash-Funktion.Possible approaches to verification that two participants - z. B. a first node A and a second node B - have the same key, may be as follows:
In a first embodiment, the first node A calculates a function f of its key K _A and sends the corresponding value f (K _A ) to the second node B. The second node B calculates the same function with its key K _B , ie f (K _B ), and compares both values. In an advantageous embodiment, the function f, for example, is a cryptographic hash function.

In einer zweiten Ausführungsform schickt der erste Knoten A eine Nachricht mit einem zum Beispiel als Bitfolge (bit string) kodierten Wert W an den zweiten Knoten B. Der zweite Knoten B nimmt W sowie seinen Schlüssel K_B als Eingangswert für eine Funktion f, d. h. er ermittelt f(W, K_B), und schickt den entsprechenden Wert zurück an den ersten Knoten A, der denselben Wert ermitteln kann.In a second embodiment, the first node A sends a message with a value W coded, for example as a bit string, to the second node B. The second node B takes W and its key K _B as the input value for a function f, ie determines f (W, K _B ) and sends the corresponding value back to the first node A, which can determine the same value.

In einer dritten Ausführungsform schickt der erste Knoten A eine Nachricht an den zweiten Knoten B, die um einen geeigneten Nachrichtenauthentifizierungscode (message authentication code) basierend auf dem Schlüssel K_A ergänzt wird. Berechnet der zweite Knoten B für die empfangene Nachricht mit seinem Schlüssel K_B denselben Nachrichtenauthentifizierungscode, so kann er von folgender Beziehung ausgehen: K_A = K_B In a third embodiment, the first node A sends a message to the second node B, which is supplemented by an appropriate message authentication code based on the key K _A. If the second node B for the received message calculates the same message authentication code with its key K _B , it can assume the following relationship: K _A = K _B

Unabhängig davon, wie der erste Knoten A und/oder der zweite Knoten B feststellen, ob ihre Schlüssel K_A und K_B identisch sind, gilt: Stimmen diese nicht überein, so wird dies dem anderen Knoten B, A auf geeignete Art und Weise angezeigt, z. B. durch Senden oder Nicht-Senden einer geeigneten Nachricht. Stimmen beide Werte überein, so kann dies ebenfalls auf geeignete Art und Weise angezeigt werden, z. B. ebenso durch Senden oder Nicht-Senden einer geeigneten Nachricht.Regardless of how the first node A and / or the second node B determine whether their keys K _A and K _{B are} identical, the following applies: Voices these do not match, this is the other node B, A displayed in a suitable manner, for. By sending or not sending an appropriate message. If both values agree, this can likewise be displayed in a suitable manner, eg. B. also by sending or not sending an appropriate message.

Basierend auf diesen Möglichkeiten zur Verifikation, ob die Schlüssel von zwei Teilnehmern – dem ersten Knoten A und dem zweiten Knoten B – identisch sind, sind nun folgende Varianten zur Verifikation der Gleichheit der Schlüssel einer größeren Gruppe von Teilnehmern vorstellbar:
Eine vierte Ausführungsform 10 für eine Gruppe mit vier Teilnehmern – einem ersten Knoten A, einem zweiten Knoten B, einem dritten Knoten C sowie einem vierten Knoten D – ist in 1 beispielhaft dargestellt. Ein beliebiger, gemäß einer Konfiguration oder gemäß eines definierten Verfahrens bestimmter erster Knoten A übernimmt hier die Master-Funktion und verifiziert der Reihe nach, dass alle anderen Teilnehmer B, C, D der Gruppe A, B, C, D denselben Schlüssel haben wie er selbst, d. h. er wendet sukzessive eines oder mehrere der oben beschriebenen Verfahren zur Verifikation der Gleichheit paarweiser Schlüssel an. Er prüft (Bezugszeichen 15) also in einem ersten Schritt 11 zunächst, dass der erste Knoten A und der zweite Knoten B denselben Schlüssel haben, dann in einem zweiten Schritt 12, dass der erste Knoten A und der dritte Knoten C denselben Schlüssel haben und schließlich in einem dritten Schritt 13, dass der erste Knoten A und der vierte Knoten D denselben Schlüssel haben. Ist dieser Test 15 in allen Fällen 11, 12, 13 erfolgreich, so ist gewährleistet, dass alle Teilnehmer A, B, C, D der Gruppe über denselben Schlüssel verfügen, also z. B. auch der zweite Knoten B und der dritte Knoten C.Based on these possibilities for verification, whether the keys of two participants - the first node A and the second node B - are identical, the following variants for verifying the equality of the keys of a larger group of participants are now conceivable:
A fourth embodiment 10 for a group with four subscribers - a first node A, a second node B, a third node C and a fourth node D - is in 1 exemplified. An arbitrary first node A determined according to a configuration or according to a defined method here assumes the master function and verifies in turn that all other users B, C, D of the group A, B, C, D have the same key as it itself, ie it successively applies one or more of the above-described methods for verifying the equality of paired keys. He checks (reference number 15 ) so in a first step 11 first, that the first node A and the second node B have the same key, then in a second step 12 in that the first node A and the third node C have the same key and finally in a third step 13 in that the first node A and the fourth node D have the same key. Is this test 15 in all cases 11 . 12 . 13 successful, it is ensured that all participants A, B, C, D of the group have the same key, so z. B. also the second node B and the third node C.

Die Umschaltung auf den neuen Gruppenschlüssel wird dann vorzugsweise durch den ersten Knoten A initiiert.Switching to the new group key is then preferably initiated by the first node A.

Im Fall von CAN-Netzwerken verwendet jeder Knoten A, B, C, D für die Schlüsselverifikation vorzugsweise einen speziellen CAN-Identifier.In the case of CAN networks, each node A, B, C, D preferably uses a special CAN identifier for the key verification.

Alternativ zu der beschriebenen sternförmigen paarweisen Verifikation 10 ist gemäß einer fünften Ausführungsform auch eine ringförmige Verifikation vorstellbar. Ein konkretes Beispiel 20 ist in 2 dargestellt. Dabei wird angenommen, dass die Knoten A, B, C, D einer Gruppe – z. B. durch explizite Konfiguration – eine logische Reihenfolge aufweisen bzw. dass jeder Knoten A, B, C, D seinen logischen Nachfolger B, C, D, A kennt, um eine logische Ringstruktur A-B-C-D aufzubauen. Ein beliebiger, gemäß einer Konfiguration oder gemäß eines definierten Verfahrens bestimmter erster Knoten A startet den Verifikationsablauf 20, indem er in einem ersten Schritt 21 zunächst verifiziert (Bezugszeichen 25), dass sein logischer Nachfolger – z. B. der zweite Knoten B – und er denselben Schlüssel besitzen. Hierfür kommen wieder die zu Beginn beschriebenen Möglichkeiten in Betracht. Ist diese Verifikation 25 erfolgreich, so macht der zweite Knoten B in einem zweiten Schritt 22 dasselbe mit seinem logischen Nachfolger – z. B. dem dritten Knoten C – und dieser in einem dritten Schritt 23 mit dem vierten Knoten D. Optional führt der letzte logische Knoten D in dieser Kette dann in einem vierten Schritt 24 auch nochmals eine paarweise Verifikation 25 mit dem ersten Knoten A durch, um den Ring A-B-C-D zu schließen.Alternatively to the described star-shaped pairwise verification 10 According to a fifth embodiment, an annular verification is also conceivable. A concrete example 20 is in 2 shown. It is assumed that the nodes A, B, C, D of a group -. For example, by explicit configuration - have a logical order or that each node A, B, C, D knows its logical successor B, C, D, A, to build a logical ring structure ABCD. Any arbitrary first node A determined according to a configuration or according to a defined method starts the verification procedure 20 by being in a first step 21 first verified (reference numeral 25 ), that its logical successor - z. B. the second node B - and he has the same key. For this purpose, again the options described at the beginning come into consideration. Is this verification 25 successful, the second node makes B in a second step 22 the same with his logical successor - z. B. the third node C - and this in a third step 23 with the fourth node D. Optionally, the last logical node D in this chain then passes in a fourth step 24 again a pairwise verification 25 with the first node A through to close the ring ABCD.

Die Umschaltung auf den neuen Gruppenschlüssel wird dann vorzugsweise durch den ersten Knoten A oder alternativ den letzten Knoten D der logischen Reihenfolge A-B-C-D initiiert. Zusätzlich kann die Umschaltung auch implizit durch die erfolgreiche paarweise Verifikation des Schlüssels zwischen dem letzten Teilnehmer D der logischen Reihenfolge A-B-C-D und Knoten A angestoßen werden.Switching to the new group key is then preferably initiated by the first node A or alternatively the last node D of the logical order A-B-C-D. In addition, the switch can also be triggered implicitly by the successful pairwise verification of the key between the last subscriber D of the logical sequence A-B-C-D and node A.

Um sicherzustellen, dass die Botschaft über alle Knoten A, B, C, D des Rings A-B-C-D gelaufen ist, kann ein Aufforderung-Antwort-Verfahren (challenge-response) verwendet werden, wobei der Wert der Aufforderung – d. h. der übertragenen Bitfolge – im Datenfeld der Botschaft nach jeder erfolgreichen Verifikation um 1 oder einen anderen wohldefinierten Wert erhöht oder verringert wird.To ensure that the message has passed through all nodes A, B, C, D of ring A-B-C-D, a challenge-response method may be used, the value of the request - d. H. the transmitted bit sequence - is increased or decreased in the data field of the message after each successful verification by 1 or any other well-defined value.

In einer sechsten Ausführungsform sendet (Bezugszeichen 33) ein beliebiger, gemäß einer Konfiguration oder gemäß eines definierten Verfahrens bestimmter erster Knoten A in einem ersten Schritt 31 eine Multicast- oder Broadcast-Nachricht M = f(K_A), die vom Schlüssel K_A des ersten Knotens A abhängt, an alle anderen Knoten B, C, D. Ein konkretes Beispiel 30 ist in 3 dargestellt. Beispielsweise könnte es sich bei M um einen beliebigen Wert handeln, der um einen mit K_A berechneten Nachrichtenauthentifizierungscode erweitert wird. Alternativ könnte M aber auch ein bekannter Wert sein, der mit Hilfe des Schlüssels K_A verschlüsselt wird. Da alle anderen Knoten B, C, D diese Nachricht empfangen können, prüft daraufhin jeder dieser Knoten B, C, D, ob die Nachricht M stimmig ist unter folgender Annahme: K_A = K_B = K_C = K_D In a sixth embodiment sends (reference number 33 ) an arbitrary first node A determined according to a configuration or according to a defined method in a first step 31 a multicast or broadcast message M = f (K _A ), which depends on the key K _{A of} the first node A, to all other nodes B, C, D. A concrete example 30 is in 3 shown. For example, M could be any value that is augmented with a message authentication _code computed with K _A. Alternatively, however, M could also be a known value, which is encrypted using the key K _A. Since all other nodes B, C, D can receive this message, then each of these nodes B, C, D checks whether the message M is consistent with the following assumption: K _A = K _B = K _C = K _D

Falls M also einen Nachrichtenauthentifizierungscode beinhaltet, prüft jeder Knoten B, C, D, ob er unter Verwendung von K_B, K_C bzw. K_D denselben Nachrichtenauthentifizierungscode berechnen würde. Das Ergebnis dieser Prüfung wird durch die Knoten B, C, D dann je nach Ausgang positiv oder negativ gegenüber Knoten A bestätigt (Bezugszeichen 34). Eine solche Bestätigung 34 kann durch Senden bzw. Nichtsenden einer bestimmten Nachricht erfolgen. Die beteiligten Knoten B, C, D können dabei synchron, d. h. gleichzeitig, oder sequentiell, d. h. gemäß einer bestimmten Reihenfolge, ihre Nachricht an den ersten Knoten A senden. Senden alle Knoten B, C, D gleichzeitig eine Nachricht an den ersten Knoten A zurück, so ist eine von allen Sendern B, C, D und dem Empfänger A akzeptierte Nachricht nur dann möglich, wenn alle Knoten B, C, D dieselbe Nachricht schicken. Hat nur ein Knoten A, B, C, D eine unterschiedliche Nachricht, so würde er selbst oder einer der anderen sendenden Knoten A, B, C, D dies detektieren können, da das effektive Bit auf dem Medium dann nicht mit dem selbst gesendeten Bit übereinstimmt. In diesem Fall könnte eine geeignete Fehlerprozedur gestartet werden.Thus, if M includes a message authentication code, each node B, C, D checks whether it would compute the same message authentication code using K _B , K _C, and K _D, respectively. The result of this test is then confirmed by the nodes B, C, D depending on the outcome positive or negative to node A (reference numeral 34 ). Such confirmation 34 can by sending or notending a specific message respectively. The participating nodes B, C, D can synchronously, ie simultaneously or sequentially, ie according to a particular order, send their message to the first node A. If all the nodes B, C, D at the same time send back a message to the first node A, a message accepted by all transmitters B, C, D and the receiver A is only possible if all the nodes B, C, D send the same message , If only one node A, B, C, D has a different message, then it itself or one of the other sending nodes A, B, C, D would be able to detect this because the effective bit on the medium would then not match the self-transmitted bit matches. In this case, an appropriate error procedure could be started.

In diesem Beispiel 30 senden alle Knoten A, B, C, D in einem zweiten Schritt 32 eine geeignete Nachricht 34 nach der Verifikation des Schlüssels zurück an den ersten Knoten A.In this example 30 send all nodes A, B, C, D in a second step 32 a suitable message 34 after verification of the key back to the first node A.

Die Umschaltung auf den neuen Gruppenschlüssel wird vorzugsweise wieder durch den ersten Knoten A oder alternativ den letzten Knoten D der logischen Reihenfolge A-B-C-D initiiert.Switching to the new group key is preferably initiated again by the first node A or alternatively the last node D of the logical sequence A-B-C-D.

Diese Verfahren 10, 15, 20, 25, 30 können beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät implementiert sein.This procedure 10 . 15 . 20 . 25 . 30 For example, they may be implemented in software or hardware or in a hybrid of software and hardware, for example, in a controller.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

DE 102012215326 A1 [0007] DE 102012215326 A1 [0007]

Claims

Verfahren (15, 25) zum Verifizieren eines Gruppenschlüssels durch einen ersten Knoten (A) und einen zweiten Knoten (B), gekennzeichnet durch folgende Merkmale: – dem ersten Knoten (A) und dem zweiten Knoten (B) wird jeweils eine eindeutige ID zugewiesen, – der erste Knoten (A) sendet eine Nachricht an den zweiten Knoten (B) und – aufgrund der Nachricht zeigt der erste Knoten (A) oder der zweite Knoten (B) dem jeweils anderen Knoten (B, A) an, ob ein von dem ersten Knoten (A) erzeugter erster Schlüssel mit einem von dem zweiten Knoten (B) erzeugten zweiten Schlüssel übereinstimmt.Procedure ( 15 . 25 for verifying a group key by a first node (A) and a second node (B), characterized by the following features: - the first node (A) and the second node (B) are each assigned a unique ID, - the first node (A) sends a message to the second node (B) and - based on the message, the first node (A) or the second node (B) indicates to the other node (B, A) whether one of the first node (B) A) generated first key coincides with a second key generated by the second node (B).

Verfahren (15, 25) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: – der erste Knoten (A) errechnet aus dem ersten Schlüssel mittels einer vorgegebenen mathematischen Funktion, insbesondere einer kryptologischen Hashfunktion, einen ersten Funktionswert, – die Nachricht umfasst den ersten Funktionswert, – der zweite Knoten (B) errechnet aus dem zweiten Schlüssel mittels der Funktion einen zweiten Funktionswert und – der zweite Knoten (B) vergleicht den ersten Funktionswert mit dem zweiten Funktionswert.Procedure ( 15 . 25 ) according to claim 1, characterized by the following features: - the first node (A) calculates from the first key by means of a predetermined mathematical function, in particular a cryptological hash function, a first function value, - the message comprises the first function value, - the second node ( B) calculates a second function value from the second key by means of the function and - the second node (B) compares the first function value with the second function value.

Verfahren (15, 25) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: – der erste Knoten (A) erzeugt eine Bitfolge, – die Nachricht umfasst die Bitfolge, – der zweite Knoten (B) errechnet aus der Bitfolge und dem zweiten Schlüssel mittels einer vorgegebenen mathematischen Funktion einen ersten Funktionswert, – der zweite Knoten (B) schickt den ersten Funktionswert an den ersten Knoten (A), – der erste Knoten (A) errechnet aus der Bitfolge und dem ersten Schlüssel mittels der Funktion einen zweiten Funktionswert und – der erste Knoten (A) vergleicht den ersten Funktionswert mit dem zweiten Funktionswert.Procedure ( 15 . 25 ) according to claim 1, characterized by the following features: - the first node (A) generates a bit sequence, - the message comprises the bit sequence, - the second node (B) calculates a first mathematical function from the bit sequence and the second key Function value, - the second node (B) sends the first function value to the first node (A), - the first node (A) calculates a second function value from the bit sequence and the first key by means of the function, and - the first node (A) compares the first function value with the second function value.

Verfahren (15, 25) nach einem der Ansprüche 1 bis 3, gekennzeichnet durch folgende Merkmale: – der erste Knoten (A) errechnet für die Nachricht mit dem ersten Schlüssel einen ersten Nachrichtenauthentifizierungscode, – der erste Knoten (A) ergänzt die Nachricht vor dem Senden um den ersten Nachrichtenauthentifizierungscode, – der zweite Knoten (B) errechnet für die empfangene Nachricht mit dem zweiten Schlüssel einen zweiten Nachrichtenauthentifizierungscode und – der zweite Knoten (B) vergleicht den ersten Nachrichtenauthentifizierungscode mit dem zweiten Nachrichtenauthentifizierungscode.Procedure ( 15 . 25 ) according to one of claims 1 to 3, characterized by the following features: - the first node (A) computes a first message authentication code for the message with the first key, - the first node (A) supplements the message by the first message authentication code before transmission The second node (B) calculates a second message authentication code for the received message with the second key and the second node (B) compares the first message authentication code with the second message authentication code.

Verfahren (10, 30) zum Verifizieren eines Gruppenschlüssels durch zumindest einen ersten Knoten (A), einen zweiten Knoten (B) und einen dritten Knoten (C), gekennzeichnet durch folgende Merkmale: – der erste Knoten (A) und der zweite Knoten (B) verifizieren (15) nach einem der Ansprüche 1 bis 4 den Gruppenschlüssel und – der erste Knoten (A) und der dritte Knoten (C) verifizieren (15) nach einem der Ansprüche 1 bis 4 den Gruppenschlüssel.Procedure ( 10 . 30 for verifying a group key by at least a first node (A), a second node (B) and a third node (C), characterized by the following features: - the first node (A) and the second node (B) verify ( 15 ) according to one of claims 1 to 4 verify the group key and - the first node (A) and the third node (C) ( 15 ) according to one of claims 1 to 4 the group key.

Verfahren (30) nach Anspruch 5, gekennzeichnet durch folgende Merkmale: – das Senden erfolgt im Wesentlichen zeitgleich über eine Mehrpunktverbindung, insbesondere Multicast oder Broadcast.Procedure ( 30 ) according to claim 5, characterized by the following features: - the transmission takes place substantially simultaneously via a multipoint connection, in particular multicast or broadcast.

Verfahren (20) zum Verifizieren eines Gruppenschlüssels durch zumindest einen ersten Knoten (A), einen zweiten Knoten (B) und einen dritten Knoten (C), gekennzeichnet durch folgende Merkmale: – der erste Knoten (A) und der zweite Knoten (B) verifizieren (25) nach einem der Ansprüche 1 bis 4 den Gruppenschlüssel und – der zweite Knoten (B) und der dritte Knoten (C) verifizieren (25) nach einem der Ansprüche 1 bis 4 den Gruppenschlüssel.Procedure ( 20 for verifying a group key by at least a first node (A), a second node (B) and a third node (C), characterized by the following features: - the first node (A) and the second node (B) verify ( 25 ) according to one of claims 1 to 4 verify the group key and - the second node (B) and the third node (C) ( 25 ) according to one of claims 1 to 4 the group key.

Computerprogramm, welches eingerichtet ist, das Verfahren (10, 15, 20, 25, 30) nach einem der Ansprüche 1 bis 7 auszuführen.Computer program, which is set up the procedure ( 10 . 15 . 20 . 25 . 30 ) according to one of claims 1 to 7.

Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.Machine-readable storage medium on which the computer program according to claim 8 is stored.

Vorrichtung (A–D), die eingerichtet ist, das Verfahren (10, 15, 20, 25, 30) nach einem der Ansprüche 1 bis 7 auszuführen.Device (A-D) that is adapted to perform the method ( 10 . 15 . 20 . 25 . 30 ) according to one of claims 1 to 7.