PatentDe  


Dokumentenidentifikation DE102006027639A1 20.12.2007
Titel Verfahren zur Etablierung eines geheimen Schlüssels
Anmelder NEC Europe Ltd., 69115 Heidelberg, DE
Erfinder Armknecht, Frederik, 67547 Worms, DE;
Westhoff, Dirk, 69493 Hirschberg, DE
Vertreter Ullrich & Naumann, 69115 Heidelberg
DE-Anmeldedatum 13.06.2006
DE-Aktenzeichen 102006027639
Offenlegungstag 20.12.2007
Veröffentlichungstag im Patentblatt 20.12.2007
IPC-Hauptklasse H04L 9/08(2006.01)A, F, I, 20060613, B, H, DE
Zusammenfassung Ein Verfahren zur Etablierung eines geheimen Schlüssels für eine Datenübertragung zwischen Kommunikationspartnern in einem Netzwerk, insbesondere in einem Personal Area Network (PAN) oder in einem Body Area Netzwork (BAN), wobei ein oder mehrere leistungsschwache Kommunikationspartner (B) im Vergleich zu einem starken, vorzugsweise zentralen, Kommunikationspartner (A) des Netzwerks verminderte Leistungsressourcen aufweisen, ist gekennzeichnet durch folgende Schritte:
Der starke Kommunikationspartner (A) sendet eine Vielzahl von Datenpaaren, die jeweils einen möglichen Schlüssel (Ki) sowie eine Identifizierung (IDi) umfassen, verheimlicht an den leistungsschwachen Kommunikationspartner (B),
der schwache Kommunikationspartner (B) wählt aus der Vielzahl der Datenpaare ein Datenpaar zufällig aus, deckt die Verheimlichung des Datenpaares auf und sendet die entsprechende Identifizierung (IDj) an den starken Kommunikationspartner (A) zurück,
der starke Kommunikationspartner (A) rekonstruiert aus der empfangenen Identifizierung (IDj) den zugehörigen Schlüssel (Kj), der sodann als geheimer Schlüssel für die Datenübertragung zwischen dem starken und dem schwachen Kommunikationspartner verwendet wird.

Beschreibung[de]

Die Erfindung betrifft ein Verfahren zur Etablierung eines geheimen Schlüssels für eine Datenübertragung zwischen Kommunikationspartnern in einem Netzwerk, insbesondere in einem Personal Area Network (PAN) oder in einem Body Area Network (BAN), wobei ein oder mehrere leistungsschwache Kommunikationspartner im Vergleich zu einem starken, vorzugsweise zentralen Kommunikationspartner des Netzwerks verminderte Leistungsressourcen aufweisen.

Verfahren der hier in Rede stehenden Art sind seit einiger Zeit aus der Praxis bekannt und kommen insbesondere in asymmetrischen drahtlosen Netzwerken zum Einsatz, in denen die Ressourcen der miteinander kommunizierenden Netzwerkkomponenten stark unterschiedlich verteilt sind. Derartige ungleich verteilte Leistungsressourcen treten beispielsweise in drahtlosen Personal Area Networks (PAN) auf, die im Allgemeinen zur Ad Hoc-Vernetzung von Kleingeräten verwendet werden. Im Konkreten kann es sich dabei beispielsweise um die Vernetzung von PDAs, Druckern, Notebooks und/oder mobilen Telefonen handeln. In derartigen Netzwerken lassen sich typischerweise Entfernungen im Bereich von wenigen Metern überbrücken. Innerhalb des Netzwerks sind im Allgemeinen Point-to-Point, gegebenenfalls auch Point-to-Multipoint-Verbindungen realisiert.

Bei einem Body Area Network (BAN) liegen die Verhältnisse ganz ähnlich. Bei dieser Art von Netzwerk kommunizieren in der Regel am Körper getragene Kommunikationspartner, häufig in Form von miniaturisierten Sensoren ausgeführt, drahtlos mit einer zentralen Komponente, die gegebenenfalls auch am Körper getragen werden kann und ggf. als Schnittstelle für einen externen Zugriff fungiert.

Charakteristisch für die hier in Rede stehende Art von Netzwerken ist jedenfalls, dass die Netzwerke Kommunikationspartner umfassen, die im Hinblick auf ihre Leistungsfähigkeit – Energieressourcen, Speicherkapazität, Rechenkapazität, etc. – stark unterschiedlich ausgeführt sind. Als problematisch erweisen sich die schwachen Kommunikationspartner, d.h. diejenigen Komponenten des Netzwerks, die über eine extrem geringe Leistungsfähigkeit verfügen, im Hinblick auf die Sicherheit der Datenübertragung innerhalb des Netzwerks. Oftmals liegen die Verhältnisse so, dass die Rechenleistung und/oder die Speicherkapazität der schwächeren Kommunikationspartner nicht ausreichend bemessen sind, um die für ein hinreichendes Maß an Sicherheit bei der Datenübertragung notwendigen Rechenoperationen durchzuführen. Diese Problematik wird beispielsweise ganz besonders deutlich, wenn man die eingangs erwähnten BANs betrachtet, bei denen zum Teil äußerst sensitive biometrische Patientendaten von in extremer Miniaturbauform ausgeführten Biosensoren sicher an eine – wie auch immer ausgeführte – Basisstation übertragen werden müssen.

In der Vergangenheit wurden für den Schlüsselaustausch zwischen den Kommunikationspartnern bekannte Verfahren eingesetzt, wie beispielsweise Diffie-Hellmann-Verfahren, insbesondere Diffie-Hellmann auf elliptischen Kurven, oder RSA-Verfahren, wobei versucht wurde, die Verfahren so anzupassen, dass für den schwächeren Kommunikationspartner möglichst wenig Rechenaufwand anfällt. So ist beispielsweise versucht worden, das RSA-Verfahren mit einem niedrigen öffentlichen Exponenten durchzuführen. Durch diese Maßnahme kann zwar der auf Seiten des schwachen Kommunikationspartners anfallende Rechenaufwand reduziert werden. Angesichts des Umstandes, dass es sich bei dem Basiswert des Exponenten in der Praxis aber um einen Wert mit einer Größe im Bereich von 1.000 Bit handeln muss, ist der Aufwand trotz der genannten Anpassung für den schwachen Kommunikationspartner oftmals noch immer zu aufwendig. Die für den Schlüsselaustausch und eine effiziente Verschlüsselung benötigte Speicherkapazität, Rechenleistung und Energie lassen sich auf Seiten des schwachen Partners nicht unter eine bestimmte – häufig zu hohe – Schwelle senken.

Jüngst sind Arbeiten veröffentlicht worden (C. Castellucia, G. Avoine, „Noisy Tags: A pretty good key exchange protocol for RFID Tags", in Lecture Notes in Computer Science, Vol. 3928/2006, Springer Berlin/Heidelberg), die sich mit Schlüsselaustauschprotokollen für die Kommunikation zwischen RFID-Tags (Radio Frequency IDentification) als schwachen Kommunikationspartnern und einem Auslesegerät als starkem Kommunikationspartner beschäftigen. Darin werden zum einen Möglichkeiten für den Austausch eines geheimen Schlüssels genannt, die an bestimmte physikalische Voraussetzungen gebunden sind, wie zum Beispiel einen physikalischen Kontakt zwischen den Kommunikationspartnern. Alternativ ist es möglich, den Austausch in einer physikalisch geschützten Umgebung durchzuführen, beispielsweise innerhalb eines Faradaykäfigs. Je nach Anwendung lassen sich diese physikalischen Voraussetzungen in der Praxis jedoch oftmals nicht realisieren. Zur Umgehung dieser Problematik wird in der genannten Arbeit ein Verfahren vorgeschlagen, bei dem spezielle Geräte innerhalb des Netzwerks eingesetzt werden, die eine zufällige Geräuschfolge über den öffentlichen Kanal senden. Die Sicherheit des Schlüsselaustauschs zwischen zwei Kommunikationspartnern beruht bei diesem Verfahren darauf, dass ein Lauscher nicht in der Lage ist, den über denselben Kanal gesendeten Schlüssel aus den Geräuschen herauszufiltern.

Der vorliegenden Erfindung liegt nunmehr die Aufgabe zugrunde, ein Verfahren zur Etablierung eines geheimen Schlüssels der eingangs genannten Art anzugeben, bei dem ohne die Notwendigkeit zusätzlicher spezifischer Geräte und mit möglichst niedrigem Aufwand für den schwächeren Kommunikationspartner ein hohes Maß an Sicherheit erreicht ist.

Erfindungsgemäß ist die voranstehende Aufgabe durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Danach umfasst das Verfahren die folgenden Schritte:

der starke Kommunikationspartner sendet eine Vielzahl von Datenpaaren, die jeweils einen möglichen Schlüssel sowie eine Identifizierung umfassen, verheimlicht an den leistungsschwachen Kommunikationspartner,

der schwache Kommunikationspartner wählt aus der Vielzahl der Datenpaare ein Datenpaar zufällig aus, deckt die Verheimlichung des Datenpaares auf und sendet die entsprechende Identifizierung an den starken Kommunikationspartner zurück,

der starke Kommunikationspartner rekonstruiert aus der empfangenen Identifizierung den zugehörigen Schlüssel, der sodann als geheimer Schlüssel für die Datenübertragung zwischen dem starken und dem schwachen Kommunikationspartner verwendet wird.

In erfindungsgemäßer Weise ist zunächst erkannt worden, dass die Datenübertragung innerhalb eines Netzwerks, bei dem extrem leistungsschwache Komponenten involviert sind, im Hinblick auf Sicherheitsfragen spezielle Probleme aufwirft, die mit klassischen Schlüsselaustauschprotokollen nicht zufrieden stellend gelöst werden können. Zur Lösung dieser speziellen Probleme wird erfindungsgemäß die Anwendung eines Protokolls vorgeschlagen, das eine Mischung aus Kryptographie (Verschlüsseln von Daten) und Steganographie (Unsichtbarmachen von Daten) darstellt. Da im Rahmen des erfindungsgemäßen Verfahrens der schwache Kommunikationspartner nur eine Verheimlichung aufdecken und einen Sende-/Empfangsvorgang absolvieren muss, ist das Verfahren besonders für asymmetrische Architekturen besonders geeignet. Durch geeignetes Anpassen der Parameter ist es möglich, den im Rahmen des Schlüsselaustausches anfallenden Arbeitsaufwand für den schwächeren Kommunikationspartner ohne Einbuße an Sicherheit beliebig klein zu halten.

Die Übermittlung der Datenpaare von A – starker Kommunikationspartner – an B – schwacher Kommunikationspartner – sowie die Übermittlung einer Identifizierung von B an A kann über einen öffentlichen Kanal erfolgen, da die gesendeten Daten für einen Angreifer für sich gesehen, d.h. ohne dass der Angreifer weiteren (erheblichen) Aufwand betreibt, wertlos sind. Insofern ist das erfindungsgemäße Verfahren insbesondere zum Einsatz in Szenarien geeignet, in denen ein gewisses Sicherheitsniveau lediglich für einen begrenzten Zeitraum erreicht sein muss. Unter der Annahme, dass das relative Leistungsverhältnis zwischen einem Angreifer und dem schwachen Kommunikationspartner bekannt ist, liefert das erfindungsgemäße Verfahren ein exakt bestimmbares Sicherheitsniveau.

Das erfindungsgemäße Verfahren zeichnet sich zudem durch eine äußerste Robustheit gegen Unsicherheiten auf dem drahtlosen Kanal aus, da Nachrichtenverluste für die Funktionsweise des Protokolls unschädlich sind und zudem das Sicherheitsniveau nicht tangieren. Schließlich liegt ein besonderer Vorteil des erfindungsgemäßen Verfahrens darin begründet, dass im Vorfeld des Schlüsselaustausches keine Festlegung irgendwelcher gemeinsamer Kenntnisse/Geheimnisse erforderlich ist und dass für den Schlüsselaustausch insbesondere keine zusätzlichen Komponenten benötigt werden.

Im Rahmen einer vorteilhaften Ausgestaltung wird die Verheimlichung der Datenpaare erreicht, indem der starke Kommunikationspartner eine Verschlüsselung der Datenpaare vornimmt und die Datenpaare verschlüsselt an den schwachen Kommunikationspartner sendet. In besonders vorteilhafter Weise handelt es sich bei der Verschlüsselung um eine leicht aufzulösende Verschlüsselung. Hierdurch kann der Rechenaufwand weiter reduziert werden, und zwar sowohl auf Seiten des starken Kommunikationspartners im Hinblick auf die Verschlüsselung, als auch auf Seiten des schwachen Kommunikationspartners im Hinblick auf die Entschlüsselung. Dass ein Lauscher die leichte Verschlüsselung bei der Übertragung der Datenpaare über einen öffentlichen Kanal leicht brechen kann, ist insofern unerheblich, als er trotz Entschlüsselung keinen Informationsgewinn erhält, da er nicht weiß, welchen Schlüssel der schwache Kommunikationspartner aus der Vielzahl der gesendeten Schlüssel auswählt. Sollte sich die gewählte Verschlüsselung dennoch als zu schwach erweisen, bspw. in Anbetracht eines extrem leistungsstarken Angreifers, so kann sie auf einfache Weise durch eine stärkere Verschlüsselung ausgetauscht werden.

Im Hinblick auf einen flexiblen Einsatz des Verfahrens kann vorgesehen sein, dass die Länge der Schlüssel, mit denen der starke Kommunikationspartner die Datenpaare verschlüsselt, entsprechend der jeweiligen Sicherheitsanforderung und/oder der jeweiligen Leistungsfähigkeit des schwachen Kommunikationspartners festgelegt werden. So könnten beispielsweise kurze Schlüssel für den Fall festgelegt werden, dass es sich bei dem schwachen Kommunikationspartner um RFIDs, d.h. um extreme Low-end-Geräte handelt und dass gleichzeitig eine zeitlich limitierte Sicherheit ausreichend ist. Im Konkreten könnte beispielsweise eine RC5-Verschlüsselung gewählt werden, wobei sich in einer Vielzahl möglicher Anwendungsfälle eine RC5-Verschlüsselung mit einer Schlüssellänge zwischen 16 und 64 Bits als geeignet erweisen dürfte.

Zur Sicherstellung einer korrekten Entschlüsselung der Datenpaare durch den schwachen Kommunikationspartner kann vorgesehen sein, dass die Datenpaare jeweils um einen charakteristischen Bitstring erweitert werden. Dieser Bitstring („Padding") ist so beschaffen, dass er es dem schwachen Kommunikationspartner ermöglicht, den richtigen Klartext von falschen Klartexten zu unterscheiden. Hierzu müssten allerdings entweder größere Klartext-Böcke verwendet werden, was den Sendeaufwand für den starken Kommunikationspartner erhöht, oder die Schlüsselgröße müsste reduziert werden, was zu einer Reduzierung des Sicherheitsniveaus führen würde.

Zur Umgehung dieser Nachteil wird im Rahmen einer besonders bevorzugten Ausführungsform der Klartext der Datenpaare (IDi||Ki) jeweils mit dem zur Verschlüsselung des Datenpaares verwendeten Schlüssel ki verlinkt. Die Verlinkung kann dabei bspw. derart vorgenommen werden, dass der zur Verschlüsselung der Datenpaare verwendete Schlüssel ki aus einer vorgebbaren Anzahl von Bits des Schlüssels Ki generiert wird. Mit anderen Worten kann der starke Kommunikationspartner zur Bildung des Schlüssels ki anstelle eines zufälligen Wertes n Bits des Schlüssels Ki verwenden. Im Konkreten kann es sich bspw. jeweils um die letzten n Bits von Ki ∊ {0, 1}N handeln. Falls Ki = (K0, ..., KN-1), definiert der starke Kommunikationspartner dementsprechend ki := (KN-n, ..., KN-1) und berechnet – unter Anwendung einer Blockchiffrierung ϵk – Ci := ϵki(IDi||Ki) = ϵ(KN-n, ..., KN-1)(IDi||Ki). Die Unterscheidung zwischen einem falschen und dem korrekten Klartext besteht dann darin, zu prüfen, ob die letzten n Bits von ϵki –1(Ci) gleich ki ist. Unter der Annahme, dass diese Bedingung im Allgemeinen mit einer Wahrscheinlichkeit von 2–n zutrifft, kann man davon ausgehen, dass diese Prüfung eine eindeutige Identifizierung des korrekten Klartextes ermöglicht.

Im Hinblick auf eine weitere Erhöhung der Flexibilität kann vorgesehen sein, dass die Anzahl der seitens des starken Kommunikationspartners zu sendenden Datenpaare entsprechend der jeweiligen Sicherheitsanforderungen festgelegt wird. Je mehr Datenpaare gesendet werden, desto mehr potentielle Schlüssel existieren, und für einen Lauscher erhöht sich der Aufwand, den er betreiben muss, um den tatsächlich ausgewählten Schlüssel herauszufinden, ganz erheblich.

In weiter vorteilhafter Weise sendet der starke Kommunikationspartner vor dem Versenden des ersten Datenpaares eine Nachricht, mit der dem schwachen Kommunikationspartner der Beginn des Sendevorgangs der Datenpaare angezeigt wird. Zusätzlich könnte die Nachricht eine Information bezüglich der voraussichtlichen Dauer des Sendevorgangs umfassen. Für den schwachen Kommunikationspartner bietet diese Vorgehensweise den ganz erheblichen Vorteil, dass er nicht dauerhaft empfangsbereit sein muss und nicht alle gesendeten Datenpaare empfangen muss. Im Extremfall kann es sogar ausreichend sein, wenn sich der schwache Kommunikationspartner während der Dauer des Sendevorgangs nur kurzzeitig in einem empfangsbereiten Zustand befindet und dabei nur ein einziges Datenpaar der Vielzahl von gesendeten Datenpaaren empfängt. Auf diese Weise werden die limitierten Ressourcen des schwachen Kommunikationspartners nur minimal in Anspruch genommen. Es muss in diesem Zusammenhang lediglich sichergestellt sein, dass ein Lauscher keine Kenntnisse bezüglich des tatsächlichen Empfangs auf Seiten des schwachen Kommunikationspartners erlangen kann.

Im Hinblick auf einen möglichst effektiven Datenaustausch innerhalb des Netzwerks kann vorgesehen sein, dass der starke Kommunikationspartner nach Art einer sternförmigen Kommunikation mit mehreren schwachen Kommunikationspartnern gleichzeitig Daten austaucht. Als besonders effizient hat es sich dabei erwiesen, dass die Vielzahl von Datenpaaren von dem starken Kommunikationspartner einmal gesendet wird, und zwar derart, dass sie von jedem der schwachen Kommunikationspartner empfangen werden können. Wie oben beschrieben wählt jeder der schwachen Kommunikationspartner jeweils zufällig eines der Datenpaare aus der Vielzahl von Datenpaaren aus, so dass für die Kommunikation zwischen dem starken Kommunikationspartner und jedem der schwachen Kommunikationspartner jeweils ein individueller Schlüssel etabliert wird. Auch wenn es unwahrscheinlich ist, ist dabei natürlich nicht ausgeschlossen, dass mehrere der schwachen Kommunikationspartner zufällig dasselbe Datenpaar auswählen.

In einer bevorzugten Ausführungsform wird als starker Kommunikationspartner innerhalb des Netzwerks ein Notebook, ein PDA oder ein Mobiltelefon eingesetzt. Denkbar sind allerdings auch andere Geräte, wobei lediglich sichergestellt sein sollte, dass das Gerät über ausreichend Leistungsressourcen, d.h. Rechenleistung, Speicherkapazität, etc. verfügt, um den im Rahmen des Schlüsselaustausches nahezu ausschließlich auf seiner Seite anfallenden Rechenaufwand mit einer hinreichenden Geschwindigkeit erledigen zu können.

Der Art des schwachen Kommunikationspartners sind prinzipiell keine Grenzen gesetzt. Als besonders vorteilhaft erweist sich beispielsweise der Einsatz von Sensorknoten und/oder von RFID-Transpondern, d.h. allgemein der Einsatz von Geräten mit derart beschränkten Leistungsressourcen, dass sich herkömmliche Schlüsselaustauschprotokolle als nicht durchführbar erweisen. Als Prozessoren können bspw. sogar Mica Motes mit lediglich 4 MHz eingesetzt werden. Prinzipiell muss im Hinblick auf die gerätetechnische Ausführung der schwachen Kommunikationspartner lediglich sichergestellt sein, dass diese die von dem starken Kommunikationspartner gesendeten Datenpaare empfangen und entschlüsseln können und eine Nachricht – umfassend die Identifizierung entsprechend dem ausgewählten Datenpaar – an den starken Kommunikationspartner zurücksenden können.

Es sei an dieser Stelle angemerkt, dass das beschriebene Verfahren selbstverständlich auch dann angewendet werden kann, wenn der „schwache" Kommunikationspartner über dieselben oder zumindest ähnliche Leistungsressourcen verfügt wie der „starke" Kommunikationspartner. Allerdings treten die besonderen Vorteile des Verfahrens umso deutlicher zu Tage, je schwächer der schwache Partner tatsächlich ist.

Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die dem Patentanspruch 1 nachgeordneten Patentansprüche und andererseits auf die nachfolgende Erläuterung bevorzugter Ausführungsbeispiele der Erfindung anhand der Zeichnung zu verweisen. In Verbindung mit der Erläuterung der bevorzugten Ausführungsbeispiele der Erfindung anhand der Zeichnung werden auch im Allgemeinen bevorzugte Ausgestaltungen und Weiterbildungen der Lehre erläutert. In der Zeichnung zeigen

1 in einer schematischen Darstellung die Funktionsweise des erfindungsgemäßen Verfahrens und

2 in einer schematischen Darstellung ein Anwendungsszenario des erfindungsgemäßen Verfahrens.

1 zeigt – schematisch – ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens anhand eines drahtlosen Personal Area Networks (W-PAN). Aus Gründen der Übersichtlichkeit sind lediglich zwei Komponenten des W-PANs dargestellt, wobei es sich um einen starken Kommunikationspartner A und einen schwachen Kommunikationspartner B handelt. Der starke Kommunikationspartner A ist in dem dargestellten Ausführungsbeispiel als Notebook mit handelsüblicher CPU und Speicherkapazität ausgeführt. Der schwache Kommunikationspartner B ist als RFID-Transponder ausgeführt, wobei es sich ebenso gut um ein anderes Gerät mit ähnlich eingeschränkten Leistungsressourcen handeln könnte.

Zur sicheren Datenübertragung zwischen den Kommunikationspartnern A und B wird im Vorfeld der Datenübertragung ein geheimer Schlüssel etabliert, mit dem die zu übertragenden Daten verschlüsselt werden. Dazu sendet Kommunikationspartner A zunächst eine Vielzahl von Datenpaaren an Kommunikationspartner B. In dem dargestellten Ausführungsbeispiel werden insgesamt N Datenpaare gesendet, wobei jedes Datenpaar eine Nonce, hier als Identifizierung ID bezeichnet, sowie einen möglichen geheimen Schlüssel K umfasst. Die Datenpaare werden von A verschlüsselt übertragen, wobei zur Verschlüsselung eine schwache Blockchiffrierung verwendet wird. Im Konkreten handelt es sich hier um eine AES-Verschlüsselung (Advanced Encryption Standard) mit einer Schlüssellänge von bspw. 16 Bits.

Kommunikationspartner B wählt aus den chiffrierten Texten zufällig einen chiffrierten Text aus. Dabei ist es unerheblich, ob B tatsächlich alle von A gesendeten Texte 1, ..., N oder nur einen Teil davon empfangen hat. Insoweit erweist sich das erfindungsgemäße Verfahren zum einen als äußerst robust gegenüber Datenverlusten auf dem drahtlosen Kanal. Zum anderen ermöglicht es dem schwachen Kommunikationspartner B, Energie einzusparen, da B im Extremfall nur für den Empfang eines einzigen Datenpaares empfangsbereit sein muss. In dem Ausführungsbeispiel gemäß 1 hat B das j-te Datenpaar (IDj, Kj) aus der Vielzahl von gesendeten Datenpaaren ausgewählt. B bricht die Verschlüsselung des Datenpaares auf, was mit äußerst geringem Rechenaufwand möglich ist, da es sich wie oben ausgeführt um eine schwache Verschlüsselung handelt.

In einem nächsten Schritt sendet B die Nonce IDj zurück an A. Kommunikationspartner A kennt die Datenpaare, die er verschlüsselt hat, und ist dementsprechend in der Lage, aus dem empfangenen Wert IDj den entsprechenden Wert Kj zu rekonstruieren. Der Wert Kj dient sodann als gemeinsamer geheimer Schlüssel für die Datenübertragung zwischen den Kommunikationspartnern A und B.

Ein Lauscher (Eavesdropper) E, welcher die übermittelte Nonce IDj abhört, hat keine Chance, IDj einem Datenpaar oder einem Schlüssel zuzuordnen, da die Nonce ID und der Schlüssel K in keiner Beziehung zueinander stehen. Die einzige Möglichkeit für E, den verwendeten Schlüssel herauszufinden, besteht darin, die von B an A gesendete Nonce IDj sowie die von A gesendeten Datenpaare abzuhören, sehr viele der Datenpaare zu entschlüsseln und dabei zufällig auf den zu IDj gehörenden Schlüssel Kj zu stoßen. Die Sicherheit des erfindungsgemäßen Verfahrens liegt dementsprechend nicht in zahlentheoretischen Annahmen begründet, sondern beruht auf dem Umstand, dass ein feindlicher Lauscher eine Vielzahl von chiffrierten Texten betrachten muss, bevor er denjenigen findet, den B zufällig ausgewählt hat.

2 zeigt – schematisch – ein konkretes Anwendungsbeispiel des erfindungsgemäßen Verfahrens in einem drahtlosen Body Area Network (W-BAN). Im Konkreten handelt es sich um eine Anwendung auf dem Gebiet des so genannten E-Health bzw. der Telemedizin. Im Teil a) von 2 ist ein Patient P dargestellt, der eine Vielzahl von Biosensoren trägt. Die Biosensoren erfüllen unterschiedlichste Aufgaben und dienen beispielsweise zur Überwachung des Herzschlags, des Blutdrucks, des Blutzuckers, etc. Die Biosensoren sind im Hinblick auf ihre Leistungsfähigkeit als ultra leichtgewichtige Geräte ausgeführt (RFD – Reduced Functioning Device) und stellen – entsprechend der Notation in dem zuvor erläuterten Ausführungsbeispiel – die schwachen Kommunikationspartner B des W-BANs dar. Die von den Biosensoren getasteten Daten werden an eine zentrale Komponente des Netzwerks gesendet, bei der es sich – entsprechend der in dem zuvor erläuterten Beispiel gewählten Notation – um den starken Kommunikationspartner A des Netzwerks handelt. In dem Ausführungsbeispiel gemäß 2a) ist der starke Kommunikationspartner A als Kontrollknoten in Form einer Uhr ausgebildet, die vom Patienten P am Handgelenk getragen wird. Über den Kontrollknoten kann bspw. ein Alarm ausgegeben werden, falls einer der Sensoren Messwerte außerhalb eines im Vorfeld als zulässig definierten Messbereichs detektiert.

Zur sicheren Übertragung der biometrischen Sensordaten an A wird das erfindungsgemäße Verfahren wie folgt angewandt: A sendet eine Vielzahl von Datenpaaren (IDi, Ki) verschlüsselt aus, wobei die Sendeleistung derart gewählt wird, dass die Datenpaare in einem Umkreis von ein bis zwei Meter von den Biosensoren B empfangen werden können. Jeder der Biosensoren B wählt zufällig ein Datenpaar aus, entschlüsselt es und sendet die entsprechende ID zurück an A. A rekonstruiert den zu der ID gehörenden Schlüssel K, und der Schlüssel K dient sodann als gemeinsamer Schlüssel für die Datenübertragung zwischen A und dem jeweiligen Biosensor B.

Während das in 2a) gezeigte Ausführungsbeispiel eher zur kontinuierlichen Überwachung von Patienten dient, bspw. bei einem stationären Aufenthalt in einem Krankenhaus, kann das in 2b) dargestellte Ausführungsbeispiel besonders vorteilhaft bspw. bei einem Verkehrsunfall eingesetzt werden. Der wesentliche Unterschied zwischen den beiden Ausführungsformen besteht hier darin, dass der starke Kommunikationspartner A nicht dem Patienten P selbst zugeordnet ist, sondern vielmehr von einem Notarzt NA mit sich geführt wird. Bei dem starken Kommunikationspartner A handelt es sich in diesem Fall um ein leistungsstarkes Gerät (FFD – Full Functioning Device), wie beispielsweise einem Laptop mit einem 2 GHz-Prozessor. Wie in 2b) dargestellt, bildet der Laptop A des Notarztes NA zusammen mit den Biosensoren B des Patienten P ein W-BAN. Bevor der Notarzt NA die getasteten Daten der Biosensoren B ausliest, findet zwischen dem Laptop A und jedem der Biosensoren B in erfindungsgemäßer Weise ein Schlüsselaustausch statt, wie in Zusammenhang mit 2a) erläutert.

Den Einsatzmöglichkeiten des erfindungsgemäßen Verfahrens sind prinzipiell keine Grenzen gesetzt. Besonders vorteilhaft ist jedoch der Einsatz in Szenarien, in denen Sicherheit nur für eine begrenzte Zeitdauer benötigt wird. So bietet sich insbesondere ein Einsatz bei Großveranstaltungen, wie Konzerten oder Fußballspielen an. Dabei können an dem Veranstaltungsort, d.h. bspw. im Konzertsaal oder im Stadion, Sensorknoten verteilt sein, die nach verdächtigem Material (beispielsweise Sprengstoff) suchen könnten. Im Konkreten könnte ein Security-Team mit PDAs als starkem Kommunikationspartner die Veranstaltung überwachen, indem im Vorfeld mit den Sensorknoten entsprechend dem erfindungsgemäßen Verfahren geheime Schlüssel ausgetauscht werden. Auf diese Weise lässt sich während der Dauer des Konzertes bzw. des Spieles, d.h. temporär, eine hinreichend hohe Sicherheit realisieren, so dass die Integrität der gesendeten Daten in dem relevanten Zeitfenster gesichert ist.

Hinsichtlich weiterer vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens wird zur Vermeidung von Wiederholungen auf den allgemeinen Teil der Beschreibung sowie auf die beigefügten Patentansprüche verwiesen.

Schließlich sei ausdrücklich darauf hingewiesen, dass die voranstehend beschriebenen Ausführungsbeispiele lediglich zur Erörterung der beanspruchten Lehre dienen, diese jedoch nicht auf das Ausführungsbeispiel einschränken.


Anspruch[de]
Verfahren zur Etablierung eines geheimen Schlüssels für eine Datenübertragung zwischen Kommunikationspartnern in einem Netzwerk, insbesondere in einem Personal Area Network (PAN) oder in einem Body Area Network (BAN), wobei ein oder mehrere leistungsschwache Kommunikationspartner (B) im Vergleich zu einem starken, vorzugsweise zentralen Kommunikationspartner (A) des Netzwerks verminderte Leistungsressourcen aufweisen,

gekennzeichnet durch die folgenden Schritte:

der starke Kommunikationspartner (A) sendet eine Vielzahl von Datenpaaren, die jeweils einen möglichen Schlüssel (Ki) sowie eine Identifizierung (IDi) umfassen, verheimlicht an den leistungsschwachen Kommunikationspartner (B),

der schwache Kommunikationspartner (B) wählt aus der Vielzahl der Datenpaare ein Datenpaar zufällig aus, deckt die Verheimlichung des Datenpaares auf und sendet die entsprechende Identifizierung (IDj) an den starken Kommunikationspartner (A) zurück,

der starke Kommunikationspartner (A) rekonstruiert aus der empfangenen Identifizierung (IDj) den zugehörigen Schlüssel (Kj), der sodann als geheimer Schlüssel für die Datenübertragung zwischen dem starken und dem schwachen Kommunikationspartner verwendet wird.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Verheimlichung der Datenpaare durch eine Verschlüsselung seitens des starken Kommunikationspartner (A) erreicht wird. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der starke Kommunikationspartner (A) die Datenpaare mit einer leicht aufzulösenden Verschlüsselung an den schwachen Kommunikationspartner (B) sendet. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die Verschlüsselung der Datenpaare, wenn sie sich als zu schwach erweist, durch eine stärkere Verschlüsselung ausgetauscht wird. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass die Länge der Schlüssel (ki), mit denen der starke Kommunikationspartner (A) die Datenpaare verschlüsselt, entsprechend der jeweiligen Sicherheitsanforderungen und/oder der jeweiligen Leistungsfähigkeit des schwachen Kommunikationspartners (B) festgelegt wird. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass für die Verschlüsselung der Datenpaare eine RC5-Verschlüsselung verwendet wird. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass die Datenpaare im Hinblick auf eine korrekte Entschlüsselung durch den schwachen Kommunikationspartner (B) jeweils um einen charakteristischen Bitstring erweitert werden. Verfahren nach einem der Ansprüche 2 bis 7, dadurch gekennzeichnet, dass der Klartext der Datenpaare im Hinblick auf eine korrekte Entschlüsselung der Datenpaare durch den schwachen Kommunikationspartner (B) jeweils mit dem zur Verschlüsselung des Datenpaares verwendeten Schlüssel (ki) verlinkt wird. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Verlinkung derart vorgenommen wird, dass der zur Verschlüsselung der Datenpaare verwendete Schlüssel (ki) aus einer vorgebbaren Anzahl von Bits des Schlüssels (Ki) generiert wird. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Anzahl der seitens des starken Kommunikationspartners (A) zu sendenden Datenpaare entsprechend der jeweiligen Sicherheitsanforderungen festgelegt wird. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass der starke Kommunikationspartner (A) vor dem Versenden des ersten Datenpaares eine Nachricht sendet, mit der dem schwachen Kommunikationspartner (B) der Beginn des Sendevorgangs der Datenpaare angezeigt wird. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die Nachricht eine Information bezüglich der voraussichtlichen Dauer des Sendevorgangs umfasst. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass der schwache Kommunikationspartner (B) die Information dahingehend nutzt, sich während der Dauer des Sendevorgangs nur für eine kurze Zeit in einen empfangsbereiten Modus zu schalten. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass der starke Kommunikationspartner (A) nach Art einer sternförmigen Kommunikation mit mehreren schwachen Kommunikationspartnern (B) gleichzeitig Daten austauscht. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Vielzahl der von dem starken Kommunikationspartner (A) ausgesendeten Datenpaare von jedem der schwachen Kommunikationspartnern (B) empfangen wird, wobei jeder der schwachen Kommunikationspartner (B) jeweils ein Datenpaar auswählt. Verfahren nach einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass als starker Kommunikationspartner (A) innerhalb des Netzwerks ein Notebook, ein PDA oder ein Mobiltelefon eingesetzt wird. Verfahren nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass als schwache Kommunikationspartner (B) Sensorknoten und/oder RFID-Transponder (Radio Frequency IDentification) eingesetzt werden.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com