[go: up one dir, main page]

DE102023134816A1 - Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu - Google Patents

Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu Download PDF

Info

Publication number
DE102023134816A1
DE102023134816A1 DE102023134816.7A DE102023134816A DE102023134816A1 DE 102023134816 A1 DE102023134816 A1 DE 102023134816A1 DE 102023134816 A DE102023134816 A DE 102023134816A DE 102023134816 A1 DE102023134816 A1 DE 102023134816A1
Authority
DE
Germany
Prior art keywords
terminal
terminal device
management unit
key
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023134816.7A
Other languages
English (en)
Inventor
Markus Battermann
Heiko Thole
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EQ 3 HOLDING GmbH
EQ-3 HOLDING GmbH
Original Assignee
EQ 3 HOLDING GmbH
EQ-3 HOLDING GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EQ 3 HOLDING GmbH, EQ-3 HOLDING GmbH filed Critical EQ 3 HOLDING GmbH
Priority to DE102023134816.7A priority Critical patent/DE102023134816A1/de
Publication of DE102023134816A1 publication Critical patent/DE102023134816A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung offenbart ein Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten (D) mit einem Netzwerkschlüssel (NetKey). Zum Austausch des Netzwerkschlüssels (NetKey) wird ein gemeinsamer geheimer Schlüssel (K) vereinbart. Hierzu werden geräteindividuelle Daten eines eineindeutigen Zertifikates (ZertD) für das Endgerät (D) an eine Endgeräte-Verwaltungseinheit (S) übermittelt. Das eineindeutige Zertifikat (ZertD) für das Endgerät (D) wird anhand der übertragenen geräteindividuellen Daten und anhand bekannten statischen Daten mit einer Zertifikat-Generierungs-Routine durch die Endgeräte-Verwaltungseinheit (S) bestimmt. Nach Überprüfung der Gültigkeit des bestimmten Zertifikates (ZertD) und Authentifizieren des Endgerätes (D) wird gemeinsamer geheimer Schlüssel (K) für das zugelassene Endgerät (D) und die Endgeräte-Verwaltungseinheit (S) mit Daten des bestimmten und als gültig erkannten Zertifikats (ZertD) berechnet. Der Netzwerkschlüssel (NetKey) wird mit dem berechneten gemeinsamen geheimen Schlüssel (K) verschlüsselt an das Endgerät (D) übertragen. Das Endgerät (D) kann sodann mit einem ihm bekannten geräteindividuellen geheimen Geräteschlüssel (PrivKeyD) und von der Endgeräte-Verwaltungseinheit (S) empfangenen Daten (PubKeyS) den gemeinsamen geheimen Schlüssel (K) berechnet und den empfangenen verschlüsselten Netzwerkschlüssel (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) entschlüsseln.

Description

  • Die Erfindung betrifft ein Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät, wobei die Endgeräte eine Kommunikationseinheit zur Datenkommunikation haben und zur Kommunikation mit dem Zugriffsgerät eingerichtet sind, und wobei das Endgerät und das Zugriffsgerät zur Verschlüsselung und Entschlüsselung von verschlüsselt übertragenen Daten mit einem Netzwerkschlüssel eingerichtet sind. Das Endgerät und das Zugriffsgerät vereinbaren einen gemeinsamen geheimen Schlüssel für die verschlüsselte Kommunikation.
  • Die Erfindung betrifft weiterhin eine Kommunikationseinrichtung mit einem Zugriffsgerät und einer Vielzahl von Endgeräten, die zur verschlüsselten Kommunikation mit dem Zugriffsgerät ausgebildet sind, wobei eine Endgeräte-Registrierungseinheit mit dem Zugriffsgerät gekoppelt und zur Registrierung von Endgeräten und verschlüsselten Übermittlung eines geheimen Netzwerkschlüssels an die registrierten Endgeräte eingerichtet ist.
  • Für die verschlüsselte Kommunikation zwischen Komponenten einer Kommunikationseinrichtung mit verteilt angeordneten Endgeräten und einem Zugriffsgerät wird ein Kommunikationsschlüssel benötigt. Dieser muss beim Anlernen neuer Komponenten diesen auf einem sicheren Weg mitgeteilt werden. Dies kann z. B. durch Zuhilfenahme einer zentralen Schlüsselverwaltungseinheit, d. h. eines Keyservers, oder durch Benutzereingabe eines geräteindividuellen, vorher vergebenen Schlüssels erfolgen.
  • WO 2021/141685 A1 beschreibt ein Verfahren zur Verbesserung der Sicherheit der Kommunikation zwischen Instanzen von Clients und Servern, das gleichzeitig die Rotation von Serverzertifikaten (z. B. X.509-Zertifikate) ermöglicht. Es erfolgt ein Aktualisieren einer Client-Liste von Serverzertifikaten (z. B. einen Zertifikat-Fingerabdruck), ohne eine Client- und/oder Serveranwendung neu zu konfigurieren oder neu zu installieren, ohne ein Starten einer neuen Sitzung (z. B. einer Hypertext Transfer Protocol Secure (HTTPS)-Sitzung) oder ohne ein Bereitstellen von neuem Code. Eine Client-Zertifikatsliste kann damit passiv oder aktiv aktualisiert werden, um es einem Client zu ermöglichen, die Identität einer Serverinstanz auf nicht-invasive Weise zu überprüfen, was die Sicherheit vor Man-in-the-Middle-Angriffen erhöht.
  • US 10,992,656 B2 offenbart Beispiele für ein verteiltes Profil- und Schlüsselmanagement. So kann ein Verwaltungsdienst ein teilweise bestücktes Geräteprofil generieren und das teilweise bestückte Geräteprofil einer Clientanwendung bereitstellen, die auf einem Clientgerät ausführbar ist. Die Clientanwendung kann einen Berechtigungsnachweis generieren und den Berechtigungsnachweis in das teilweise ausgefüllte Geräteprofil einfügen, um ein vollständig ausgefülltes Geräteprofil zu generieren. Die Anmeldeinformationen können mit mindestens einer anderen Clientanwendung auf dem Clientgerät geteilt werden. Der Verwaltungsdienst kann das vollständig ausgefüllte Geräteprofil verwenden, um mehrere Profile zu generieren, die auf einer einzigen Anmeldeinformation basieren, beispielsweise einem einzelnen X.509-Sicherheitszertifikat. Damit werden Konfigurationen ausgetauscht, zusammengestellt und als Ganzes übertragen.
  • EP 3 451 218 B1 offenbart ein Verfahren zur nachträglichen Generierung eines Gerätezertifikats zur Verifizierung eines elektronischen Geräts gemäß einer Public-Key-Infrastruktur, ohne dass ein öffentlicher Schlüssel übertragen wird. Das Verfahren umfasst das Erhalten eines ersten Schlüssels, der ein symmetrischer Schlüssel ist und dem Gerät zugeordnet ist, an einer Zertifikatserzeugungsvorrichtung. Aus dem ersten Schlüssel wird ein zweiter Schlüssel für das elektronische Gerät abgeleitet. Das Gerätezertifikat für die Public-Key-Infrastruktur wird generiert, wobei der zweite Schlüssel als öffentlicher Schlüssel fungiert, der dem Gerätezertifikat zugeordnet ist. In entsprechender Weise kann vom elektronischen Gerät auf Basis eines gemeinsamen ersten, symmetrischen Schlüssels ein privater Schlüssel für die Public-Key-Infrastruktur generiert werden. Dieser Ansatz ermöglicht es, die Herstellungskosten für die Herstellung eines elektronischen Geräts zu senken und gleichzeitig die Verwendung einer Public-Key-Infrastruktur zur Bescheinigung der Eigenschaften des Geräts zu ermöglichen.
  • EP 3 451 222 A1 beschreibt ein Verfahren zur Zertifikatserstellung nach der Herstellung für ein elektronisches Gerät, bei dem ein öffentlicher Schlüssel vom elektronischen Gerät erhalten und das Gerät in einer Vertrauenskette angemeldet wird, die von einer Public-Key-Infrastruktur bereitgestellt wird, in der ein untergeordnetes Zertifikat von einem Beglaubiger, der einem übergeordneten Zertifikat in der Kette zugeordnet ist, als gültig bestätigt. Die Registrierung umfasst das Erzeugen eines Zertifikats des elektronischen Geräts für die Vertrauenskette unter Verwendung des vom elektronischen Gerät erhaltenen öffentlichen Schlüssels. Die Registrierung erfolgt an einem vom elektronischen Gerät getrennten Registrierungsgerät. Das elektronische Gerätezertifikat ist ein abgeleitetes Zertifikat des Registrierungsgerätezertifikats, das dem Registrierungsgerät zugeordnet ist.
  • Sofern eine Kommunikation mit einem Keyserver nicht gewünscht oder nicht möglich ist (z. B., weil das System keine Verbindung zum Internet hat) und Benutzereingaben nicht praktikabel sind (z. B., weil es sich um ein großes System handelt) besteht noch die Möglichkeit den Kommunikationsschlüssel mit einem asymmetrischen Verschlüsselungsverfahren zu verschlüsseln. Dazu kann z. B. das Diffie-Hellmann mit elliptischen Kurven (ECDH) Verfahren genutzt werden.
  • Für den Schlüsseltausch per ECDH werden X.509-Zertifikate verwendet und zwischen den Komponenten ausgetauscht. Diese beinhalten u. a. einen öffentlichen Schlüssel (Public-Key) und eine Signatur (auch Zertifikat genannt).
  • Die Zertifikate haben eine Größe von mehr als 300 Byte. Die Übertragung derart großer Daten macht, insbesondere bei Berücksichtigung der möglichen Größe verteilter Systeme, gerade bei einer Funkkommunikation im Sub-GHz-Frequenzbereich Probleme.
  • Da die Daten verschlüsselt übertragen werden müssen, muss der für die Verschlüsselung notwendige Kommunikationsschlüssel sicher von der Management-Software an die Komponenten übertragen werden. Eine Anbindung an einen Keyserver ist nicht gewünscht und technisch oft auch nicht möglich, da es beim Aufbau einer Kommunikationseinrichtung, wie z. B. eines Lagerverwaltungssystems oder einer Gebäudeautomatisierungseinrichtung, oftmals noch keine Verbindung zum Internet gibt. Des Weiteren ist es nicht erwünscht oder besser gesagt, insbesondere bei größeren Systemen wenig praktikabel, dass der Benutzer für alle Komponenten individuelle Geräteschlüssel (Keys) für die Endgeräte in eine Schlüsselverwaltungssoftware (Management-Software) eingibt.
  • Aufgabe der vorliegenden Erfindung ist es, ein verbessertes Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät und eine diesbezügliche Kommunikationseinrichtung zu schaffen, bei der die Registrierung der Geräteschlüssel in dem Zugriffsgerät und die gesicherte Übertragung eines Netzwerkschlüssels von dem Zugriffsgerät an die Endgeräte mit einer reduzierten Anzahl der zu übertragenen Daten erfolgt und ohne Notwendigkeit einer Handhabung von Registrierungsdaten, die den zu registrierenden Endgeräten z. B. mit QR-Codes mitgegeben und direkt in dem Zugriffsgerät auf einem anderen Weg als der verschlüsselte Kommunikationsweg eingegeben werden.
  • Die Aufgabe wird durch das Verfahren mit den Merkmalen des Anspruchs 1, die Kommunikationseinrichtung mit den Merkmalen des Anspruchs 10 sowie das Zugriffseinheit mit den Merkmalen des Anspruchs 15 und das Endgerät mit den Merkmalen des Anspruchs 16 gelöst. Vorteilhafte Ausführungsformen sind in den Unteransprüchen beschrieben.
  • Für ein gattungsgemäßes Verfahren werden die folgenden Schritte vorgeschlagen:
    • - Übertragen von geräteindividuellen Daten eines eineindeutigen Zertifikates für das Endgerät an das Zugriffsgerät, wobei die geräteindividuellen Daten das Endgerät eineindeutig charakterisieren;
    • - Bestimmen des eineindeutigen Zertifikates für das Endgerät anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät und einer Endgeräte-Verwaltungseinheit bekannten statischen Daten mit einer Zertifikat-Generierung Routine durch die mit dem Zugriffsgerät gekoppelten Endgeräte-Verwaltungseinheit;
    • - Überprüfen der Gültigkeit des bestimmten Zertifikates für das Endgerät durch die Endgeräte-Verwaltungseinheit und Authentifizieren des Endgerätes als ein für die Kommunikation mit dem Zugriffsgerät zugelassenes Endgerät, sofern das Zertifikat als gültig erkannt wurde;
    • - Berechnen eines gemeinsamen geheimen Schlüssels für das zugelassene Endgerät und die Endgeräte-Verwaltungseinheit mit Daten des bestimmten und als gültig erkannten Zertifikats durch die Endgeräte-Verwaltungseinheit;
    • - Verschlüsseln des Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel durch die Endgeräte-Verwaltungseinheit; und
    • - Übertragen des verschlüsselten Netzwerkschlüssels von dem Zugriffsgerät an das Endgerät, wobei das Endgerät mit einem ihm bekannten geräteindividuellen geheimen Geräteschlüssel und mit von der Endgeräte-Verwaltungseinheit empfangenen Daten den gemeinsamen geheimen Schlüssel berechnet und den empfangenen verschlüsselten Netzwerkschlüssel mit dem berechneten gemeinsamen geheimen Schlüssel entschlüsselt.
  • Es wird dabei ausgenutzt, dass in der Produktion der Endgeräte von einer Software die benötigten geräteindividuellen geheimen Geräteschlüssel (Private-Keys) der Endgeräte sowie die zugehörigen Zertifikate erstellt, signiert und in die Endgeräte programmiert werden. Da diese Zertifikate immer auf dieselbe Art und Weise erstellt werden, unterscheiden sie sich nur in einigen geräteindividuellen Teilen, d. h. in geräteindividuellen (variablen) Daten. Dazu gehören die Seriennummer, der öffentliche Geräteschlüssel (Public-Key) sowie die Signatur. Der Rest des Zertifikates ist für einen Herausgeber des Zertifikats oder zumindest für eine Produktionsserie statisch und kann damit einmalig an eine für die Registrierung einer Produktionsserie von Endgeräten zuständigen Zugriffsgerät, bzw. eine damit gekoppelte Endgeräte-Verwaltungseinheit übertragen werden, ohne dass die statischen Daten des Zertifikates für jedes Endgerät neu an das Zugriffsgerät bzw. die Endgeräte-Verwaltungseinheit mit übertragen werden.
  • Die Endgeräte-Verwaltungseinheit ist nach Empfang der geräteindividuellen Daten des Zertifikates durch das Endgerät in der Lage zusammen mit den bekannten statischen Daten des Zertifikates, das vollständige geräteindividuelle Zertifikat des Endgerätes zu ermitteln, indem die geräteindividuellen Daten nach dem der Endgeräte-Verwaltungseinheit bekannten Aufbauschema für das Zertifikat mit den bekannten statischen Daten zusammengefügt werden.
  • Das zur Authentifizierung und Nutzung eines öffentlichen asymmetrischen Schlüssels erforderliche Zertifikat muss damit nicht vollständig übertragen werden. Zudem muss das Endgerät nicht manuell oder auf einem anderen Kommunikationsweg bspw. durch QR-Codes an der Endgeräte-Verwaltungseinheit registriert werden. Die Registrierung und die damit verbundene Freigabe und Übersendung des geheimen Netzwerkschlüssels erfolgt nach der Zertifikatsprüfung mit Hilfe der darin enthaltenen geräteindividuellen Daten des Endgerätes.
  • Als geräteindividuelle Daten des Endgerätes können beispielsweise eine eineindeutige Geräteinformation und eine eineindeutige Geräteidentifikation übertragen werden.
  • Die eineindeutige Geräteinformation kann ein öffentlicher Geräteschlüssel und/oder eine Gerätesignatur sein.
  • Die eineindeutige Geräteidentifikation kann eine Seriennummer des Endgerätes sein.
  • Statische Daten zur Erzeugung des eineindeutigen Zertifikates können beispielsweise eine Herstellerkennung, eine Versionskennung, eine Länderkennung, eine Herstellungsortskennung und/oder Gültigkeitszeiträume sein.
  • Vorteilhaft ist ein Erzeugen des Geräteschlüssels zur verschlüsselten Kommunikation in Form eines asymmetrischen Schlüssels, insbesondere eines privaten geheimen Schlüssels eines Paares von privatem und öffentlichem Schlüssel.
  • Das Erzeugen des asymmetrischen Schlüssels kann mittels elliptischer Kurven mit dem Elliptische-Kurven-Diffie-Hellman-Schlüsselvereinbarungsprotokoll (ECDH) erfolgen.
  • Es kann ein Verschlüsseln des Netzwerkschlüssels mit einem symmetrischen Blockchiffrieralgorithmus (AES) durch Verschlüsseln von Blöcken des Netzwerkschlüssels mit dem Geräteschlüssel durchgeführt werden.
  • Eine zur Ausführung des o.g. Verfahren eingerichtete Kommunikationseinrichtung weist ein Zugriffsgerät und eine Vielzahl von Endgeräten auf, die zur verschlüsselten Kommunikation mit dem Zugriffsgerät ausgebildet sind. Das Zugriffsgerät ist mit einer Endgeräte-Verwaltungseinheit gekoppelt, die zur Registrierung von Endgeräten und zur verschlüsselten Übermittlung eines geheimen Netzwerkschlüssels an die registrierten Endgeräte eingerichtet ist. Diese Endgeräte-Verwaltungseinheit kann als elektronisches Gerät, bspw. als mit einer Schlüsselverwaltungssoftware eingerichteter Computer bzw. Keyserver ausgebildet sein. Die mit dem Zugriffsgerät gekoppelte Endgeräte-Verwaltungseinheit kann auch als Computerprogramm ausgeführt sein, das auf einem mit einer Datenkommunikationseinheit direkt oder indirekt verbundenen Datenverarbeitungseinheit abläuft und dabei die o.g. Verfahrensschritte ausführt oder zumindest auslöst und steuert.
  • Es wird vorgeschlagen, dass die Endgeräte zur Übertragung von geräteindividuellen Daten, die das Endgerät eineindeutig charakterisieren, an die Endgeräte-Verwaltungseinheit, zum Berechnen des gemeinsamen geheimen Schlüssels mit einem dem Endgerät bekannten geräteindividuellen geheimen Geräteschlüssel und mit weiteren Daten und zum Entschlüsseln des jeweils empfangenen verschlüsselten Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel eingerichtet sind. Die weiteren Daten können Daten der Endgeräte-Verwaltungseinheit, wie insb. ein öffentlicher Geräteschlüssel der Endgeräte-Verwaltungseinheit und/oder andere oder weitere Daten des Zertifikats der Endgeräte-Verwaltungseinheit und/oder Daten des Zertifikats des Endgerätes sein.
  • Die Endgeräte-Verwaltungseinheit ist eingerichtet:
    1. a) zur Bestimmung eines eineindeutigen Zertifikates für das zu registrierende Endgerät anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät und der Endgeräte-Verwaltungseinheit bekannten statischen Daten mit einer Zertifikat-Generierung Routine,
    2. b) zur Überprüfung der Gültigkeit des berechneten Zertifikates für das Endgerät und zur Registrierung des Endgerätes als für die Kommunikation mit dem Zugriffsgerät zugelassenes Endgerät, sofern das Zertifikat als gültig erkannt wurde,
    3. c) zum Berechnen eines gemeinsamen geheimen Schlüssels für das zugelassene Endgerät und die Endgeräte-Verwaltungseinheit mit Daten des bestimmten und als gültig erkannten Zertifikats durch die Endgeräte-Verwaltungseinheit,
    4. d) zum Verschlüsseln des Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel und
    5. e) zur Steuerung einer Übertragung des verschlüsselten Netzwerkschlüssels über das Zugriffsgerät an das Endgerät eingerichtet ist.
  • Durch dieses Zusammenspiel kann ein datenreduzierter Zertifikataustausch, eine sichere und einfache Authentifizierung und Registrierung von Endgeräten bei der Endgeräte-Verwaltungseinheit sowie eine sichere Übertragung des verschlüsselten Netzwerkschlüssels an die authentifizierten Endgeräte erfolgen.
  • Die Kommunikationseinrichtung kann mindestens ein Zugriffsgerät, d. h. einen Zugriffspunkt, haben, der über den geheimen Netzwerkschlüssel verfügt und zur verschlüsselten Kommunikation mit der Endgeräte-Verwaltungseinheit und zur Kommunikation mit den Endgeräten und Weiterleiten von Daten zwischen dem Verteilergerät und den Endgeräten eingerichtet ist.
  • Die Endgeräte und das Zugriffsgerät können jeweils Transceiver haben und zur drahtgebundenen oder drahtlosen Kommunikation eingerichtet sein.
  • Das Zugriffsgerät kann beispielsweise eine Basisstation, ein Access-Point oder ein Repeater eines Kommunikationssystems, bspw. einer Lagerhaltungseinrichtung oder einer Gebäudeautomatisierungseinrichtung sein.
  • Das Zugriffsgerät kann optional auch ein bei der Endgeräte-Verwaltungseinheit registriertes Endgerät sein, über das die Kommunikation des zu registrierenden Endgerätes mit der Endgeräte-Verwaltungseinheit abgewickelt wird. Dieses als Zugriffsgerät dienende Endgerät kann dabei z. B. als Router wirken.
  • Nach dem initialen Schlüsseltausch können mehrere registrierte Endgeräte auch direkt miteinander kommunizieren. Dies gilt auch dann, wenn ein zusätzliches Zugriffsgerät vorhanden ist, wie z. B. ein Access-Point (Zugriffspunkt), ein Repeater oder eine Systemzentrale. Die Kommunikation der Teilnehmer der Kommunikationseinrichtung untereinander wird durch den Austausch des gemeinsamen geheimen Netzwerkschlüssels an die registrierten Teilnehmer möglich.
  • Die Endgeräte-Verwaltungseinheit kann als Computerprogramm-Funktionalität in einem Computer implementiert sein, der drahtgebunden oder drahtlos mit dem mindestens einen Zugriffsgerät gekoppelt ist. Die Endgeräte-Verwaltungseinheit kann aber auch in ein Zugriffsgerät, wie insb. eine Basisstation, integriert sein.
  • Die Endgeräte-Verwaltungseinheit ist zur Authentifizierung von Endgeräten und verschlüsselten Übermittlung eines geheimen Netzwerkschlüssels an die registrierten Endgeräte eingerichtet. Die Endgeräte-Verwaltungseinheit ist hierzu eingerichtet:
    1. a) zur Bestimmung des eineindeutigen Zertifikates für das zu registrierende Endgerät anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät und dem Zugriffsgerät bekannten statischen Daten mit einer Zertifikat-Generierung Routine,
    2. b) zur Überprüfung der Gültigkeit des berechneten Zertifikates für das Endgerät und zur Registrierung des Endgerätes als für die Kommunikation mit dem Zugriffsgerät zugelassenes Endgerät, sofern das Zertifikat als gültig erkannt wurde,
    3. c) zur Berechnung eines gemeinsamen geheimen Schlüssels für das zugelassene Endgerät und die Endgeräte-Verwaltungseinheit mit Daten des bestimmten und als gültig erkannten Zertifikats durch die Endgeräte-Verwaltungseinheit,
    4. d) zum Verschlüsseln des Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel und
    5. e) zur Steuerung einer Übertragung des verschlüsselten Netzwerkschlüssels über das Zugriffsgerät an das Endgerät.
  • Das Endgerät ist zur Übertragung von geräteindividuellen Daten eines eineindeutigen Zertifikats für das Endgerät an die Endgeräte-Verwaltungseinheit eingerichtet, wobei die geräteindividuellen Daten das Endgerät eineindeutig charakterisieren. Das Endgerät kann zum Berechnen des gemeinsamen geheimen Schlüssels mit einem dem Endgerät bekannten geräteindividuellen geheimen Geräteschlüssel und mit Daten der Endgeräte-Verwaltungseinheit und zum Entschlüsseln des jeweils empfangenen verschlüsselten Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel eingerichtet sein.
  • Das Endgerät ist somit zum Empfangen eines verschlüsselten Netzwerkschlüssels von der Endgeräte-Verwaltungseinheit und zur Entschlüsselung des empfangenen verschlüsselten Netzwerkschlüssels mit dem berechneten gemeinsamen geheimen Schlüssel eingerichtet. Dabei können individuelle geheime Geräteschlüssel des Endgerätes und der Endgeräte-Verwaltungseinheit zur Ver- und Entschlüsselung des Netzwerkschlüssels genutzt werden, die jeweils nur dem Endgerät bzw. der Endgeräte-Verwaltungseinheit bekannt sind.
  • Hierzu kann ein Schlüsselaustausch nach dem Diffie-Hellman-Verfahren, vorzugsweise mit Hilfe elliptischer Kurven nach dem ECDH-Verfahren (Elliptic-Curve-Diffie-Hellmann), durchgeführt werden. Durch den bidirektionalen Austausch der jeweiligen öffentlichen Schlüssel zwischen dem Endgerät und der Endgeräte-Verwaltungseinheit können mit Hilfe der jeweiligen geheimen (nicht ausgetauschten) privaten Schlüssel und beiden Kommunikationspartnern bekannten Parametern, z. B. Kenngrößen einer vereinbarten elliptischen Kurve, sowie der ausgetauschten öffentlichen Schlüssel denselben gemeinsamen Schlüssel für die Verschlüsselung und Entschlüsselung des Netzwerkschlüssels berechnen. Da die geheimen Geräteschlüssel nicht bekannt sind und auch nicht kommuniziert werden, ist es einem die Kommunikation abhörenden Angreifers auf Basis der ausgetauschten Daten nicht möglich, den gemeinsamen Schlüssel abzuleiten.
  • Die Erfindung wird nachfolgend anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen:
    • 1 - Blockdiagramm einer Kommunikationseinrichtung mit einer Zugriffseinheit, Verteilergeräten und einer Anzahl von Endgeräten;
    • 2 - Kommunikationsdiagramm des Ablaufs für den Schlüsseltausch zwischen Zugriffseinheit und zu registrierenden Endgerät.
  • 1 zeigt ein Blockdiagramm einer Kommunikationseinrichtung 1 mit mindestens einem Zugriffsgerät A, einer mit dem Zugriffsgerät A gekoppelten Endgeräte-Verwaltungseinheit S und einer Anzahl von Endgeräten D.
  • Die Endgeräte D weisen eine Datenverarbeitungseinheit 2, wie z. B. einen Mikroprozessor oder Mikrocontroller, einen Datenspeicher 3 und einen Transceiver 4 für die Datenkommunikation auf.
  • Die Zugriffsgeräte A weisen ebenso Transceiver 5a, 5b und eine Signalverarbeitungseinheit 6 auf, die zumindest zum Weiterleiten von einem der Transceiver 5a, 5b empfangenen Daten an ein über einen Kommunikationskanal K1 gekoppeltes Endgerät D oder an die Endgeräte-Verwaltungseinheit S auf.
  • Die Endgeräte-Verwaltungseinheit S kann in ein Zugriffsgerät A integriert sein oder mit den Zugriffsgeräten A drahtgebunden oder drahtlos über einen Kommunikationskanal K2 gekoppelt sein. Hierzu haben die Zugriffsgeräte A jeweils einen Transceiver 5b, dessen Funktionalität alternativ auch durch einen einzigen Transceiver 5a für beide Kommunikationskanäle K1, K2 realisiert werden kann.
  • Die Endgeräte-Verwaltungseinheit S hat einen Transmitter 7 zur drahtgebundenen oder drahtlosen Kommunikation mit den Zugriffsgeräten A. Der Transmitter 7 ist mit einer Datenverarbeitungseinheit 8 verbunden. Die Datenverarbeitungseinheit 8 ist mit einem Datenspeicher 9 gekoppelt.
  • Die Datenverarbeitungseinheiten 2, 6, 8 wirken vorzugsweise mit einem Computerprogramm zusammen, das Programmcodemittel hat, die bei der Ausführung des Computerprogramms die jeweilige Datenverarbeitungseinheit und die daran angeschlossenen Datenspeicher 3, 9 bzw. Transmitter 4, 5a, 5b, 7 veranlassen, das erfindungsgemäße Verfahren auszuführen.
  • Insbesondere die Logik der Endgeräte D und der Endgeräte-Verwaltungseinheit S, die zur Authentifizierung, Registrierung und zum geschützten Austausch eines geheimen Netzwerkschlüssels ausgebildet ist, wird im Folgenden erläutert.
  • In der Produktion werden bspw. von einer Software die benötigten geräteindividuellen Daten, insbesondere geheime Geräteschlüssel PrivKeyD, sowie in Kombination mit für die Kommunikationseinrichtung einheitlich vorgegebenen statischen Daten die zugehörigen Zertifikate erstellt, signiert und in die Geräte programmiert. Da die Zertifikate immer auf dieselbe Art und Weise erstellt werden, unterscheiden sie sich nur in einigen Teilen, nämlich in den geräteindividuellen Daten. Dazu gehören beispielsweise eine Seriennummer, ein öffentlicher Geräteschlüssel PubKey sowie eine Signatur für das gesamte Zertifikat ZertifikatD.
  • Zertifikate können beispielsweise wie folgt aufgebaut sein:
Certificate:
   Data:
      Version: 1 (0x0)
      Serial Number: 1 (0x1)
   Signature Algorithm: ecdsa-with-SHA256
      Issuer: C=DE, ST=Germany, L=Leer, O=eQ-3, CN=SP-CA
      Validity
      Not Before: Sep 4 00:00:00 2022 GMT
      Not After : Aug 22 00:00:00 2122 GMT
      A Subject: CN=EEE1234567
      Subject Public Key Info:
         Public Key Algorithm: id-ecPublicKey
            Public-Key: (256 bit)
            pub:
            B 04:51:52:be:a7:95:d7:19:a1:11:01:2f:c7:db:bd:
            B 6a:f4:b5:da:57:12:b8:13:87:da:aa:75:80:e8:f6:
            B f1:3f:4d:1e:15:67:ee:b7:c6:73:7e:6a:16:2c:25:
            B eb:a2:47:1d:b7:e6:56:b2:54:ac:08:6d:c4:87:54:
            B 99:b6:d9:99:99
         ASN1 OID: prime256v1
         NIST CURVE: P-256
   Signature Algorithm: ecdsa-with-SHA256
   C 30:46:02:21:00:85:c7:78:8e:1f:39:42:3e:d7:e4:70:f4:51:
   C dc:6c:2f:46:22:b3:51:61:dd:36:0c:a4:58:91:ed:10:5b:87:
   C 41:02:21:00:ff:1b:9a:02:96:7d:62:3b:59:d2:6a:0e:1d:75:
   C 20:2c:e0:fa:22:ab:70:ac:62:36:7f:86:c5:d1:67:09:4c:f1
  • Die unterstrichenen Elemente, die in der ersten Spalte mit A, B und C bezeichnet sind, sind je Zertifikat individuell. Es handelt sich dabei um geräteindividuelle Daten.
  • Unter den mit A bezeichneten geräteindividuellen Daten handelt es sich um eine Seriennummer für das Endgerät D. Unter den mit B bezeichneten geräteindividuellen Daten handelt es sich um den öffentlichen Geräteschlüssel PubKeyD des Endgerätes. Die mit C bezeichneten geräteindividuellen Daten des Endgerätes D sind die Signatur SigD für das aus geräteindividuellen (dynamischen) Daten und statischen Daten zusammengesetzten Zertifikat ZertD des Endgerätes D.
  • Weiterhin umfasst das Zertifikat ZertD statische Daten, wie z. B. eine Versionsnummer, eine Seriennummer, die Spezifizierung des Signaturalgorithmus, Daten über den Herausgeber des Zertifikats, die eine Länderkennung (C=DE = Deutschland; ST=Germany), eine Ortskennung (L=Stadt), eine Herstellerfirma (O= Firmenkürzel) und einen Gemeinsamen Namen (Common Name), der die Domain bezeichnet, auf dem ein Zertifikat installiert ist (CA = Zertifizierungsstelle).
  • Als statische Daten können auch Informationen zu dem öffentlichen Geräteschlüssel, insb. die Bitlänge der Blockcodierung, ein Objektidentifizierer eines Objektes, bspw. nach dem ASN.1-Standard, und die ausgewählte elliptische Kurve NIST CURVE als vorgegebener Parameter für die Berechnung des gemeinsamen geheimen Schlüssels K in dem Zertifikat enthalten sein.
  • Als statische Daten kann ein Gültigkeitszeitraum VALIDITY für alle Komponenten der Kommunikationseinheit 1 festgelegt werden. Dieser kann sich über einen sehr langen Zeitraum erstrecken und so festgelegt werden, dass keine Zertifikatserneuerung über die zu erwartende Lebensdauer der Kommunikationseinrichtung mehr notwendig ist. Es kann aber auch ein begrenzter Gültigkeitszeitraum festgelegt werden, so dass alle Teilnehmer ihre Zertifikate bis zum Ablauf erneuern müssen.
  • Der aus geräteindividuellen Daten und statischen Daten zusammengesetzte Aufbau der Zertifikate ZertD wird genutzt, um zur Registrierung eines Endgerätes D nicht das ganze Zertifikat ZertD zu übertragen, sondern nur die geräteindividuellen Daten, wie bspw. die Seriennummer, der jeweilige öffentliche Geräteschlüssel PubKeyD, PubKeyS und die Signatur SigD. Damit kann das Zertifikat ZertD zur Authentifizierung des Endgerätes D geprüft und von der Endgeräte-Verwaltungseinheit S und dem zu registrierenden Endgerät D jeweils ein gemeinsamer geheimer Schlüssel K generiert werden, um damit einen Netzwerkschlüssel NetKey zu verschlüsseln und gesichert von der Endgeräte-Verwaltungseinheit S an das zu registrierende Endgerät D zu übertragen.
  • Die Komponente, die die geräteindividuellen Daten empfängt, kann aus den variablen und aus den ihr bekannten statischen Daten dann das Zertifikat selbst erstellen und beispielsweise mit Hilfe des ECDH-Verfahrens einen asymmetrischen Schlüssel berechnen, der als gemeinsamer geheimer Schlüssel von dem Endgerät D und der Endgeräte-Verwaltungseinheit S zur verschlüsselten Kommunikation genutzt wird.
  • Da die Zertifikate in den Endgeräten D von der Software in der Produktion signiert wurden, kann des Weiteren durch Überprüfung der Signatur die Authentizität der Endgeräte D überprüft werden.
  • Eine Anbindung der Endgeräte D an einen Schlüsselserver oder die Eingabe von gerätespezifischen Schlüsseln durch einen Benutzer ist nicht erforderlich. Auf Schlüsselserver sowie auf die Eingabe von lokalen Schlüsseln kann verzichtet werden.
  • 2 zeigt ein Kommunikationsdiagramm des Ablaufs für den Schlüsseltausch zwischen der Endgeräte-Verwaltungseinheit S und dem zu registrierenden Endgerät D über das zwischengeschaltete Zugriffsgerät A.
  • Die Endgeräte D verfügen über jeweils ein geräteindividuelles Zertifikat ZertD, welches geräteindividuelle Daten umfassend einen öffentlichen Geräteschlüssel PubKeyD, eine Signatur für das Zertifikat ZertD sowie ggf. weitere geräteindividuellen Daten, wie z. B. eine eineindeutige Geräteidentifikation (z. B. Seriennummer) umfasst. Das geräteindividuelle Zertifikat hat weiterhin statische Daten, wie z. B. eine Herstelleridentifikation, ein Gültigkeitszeitraum, eine Länderkennung und dergleichen, welche für alle Endgeräte D oder eine zugelassene Gruppe von Endgeräten D der Kommunikationseinheit 1 einheitlich ist.
  • Weiterhin haben die Endgeräte D jeweils einen geräteindividuellen geheimen Geräteschlüssel PrivKeyD, der nicht nach Außen kommuniziert wird und im Endgerät D für an das Endgerät D angeschlossene Teilnehmer unzugänglich abgespeichert ist.
  • Die Endgeräte sind mit mindestens einem Zugriffsgerät A1, A2 kommunizierend verbunden, welche ihrerseits mit einer Endgeräte-Verwaltungseinheit S gekoppelt sind. Die Endgeräte-Verwaltungseinheit S und die registrierten Zugriffsgeräte A1, A2, welche für die Kommunikation zugelassen sind, verfügen über einen geheimen Netzwerkschlüssel NetKey, der zur Verschlüsselung der in der Kommunikationseinheit 1 ausgetauschten Daten genutzt wird.
  • Die Endgeräte-Verwaltungseinheit S hat ihrerseits ein Zertifikat ZertS, einen geheimen Geräteschlüssel PrivKeyS und einen öffentlichen Geräteschlüssel PubKeyS.
  • Zum Start der Anbindung eines Endgerätes D an die Kommunikationseinheit 1 wird zunächst im Schritt REG geprüft, ob das Endgerät D bereits registriert ist und über den öffentlichen Schlüssel PubKeyS der Endgeräte-Verwaltungseinheit S und die Systemadresse verfügt. Falls noch keine Registrierung erfolgt ist, wird eine Multi- oder Broadcast-Abfrage mit einer allgemeinen Systemadresse (z. B. @0x000000) ausgesendet. Der Empfang dieser Abfrage in den Zugriffsgeräten A1, A2 führt zu einem Ereignis-Signal an die Endgeräte-Verwaltungseinheit S. Die Endgeräte-Verwaltungseinheit S überträgt im Singlecast eine Systeminformation SysInfo umfassend den öffentlichen Schlüssel PubKeyS der Endgeräte-Verwaltungseinheit S an das Zugriffsgerät A1, welches die beste Verbindungsqualität (score) zum Endgerät D aufweist. Diese Systeminformation SysInfo wird in einem Datenpaket, oder wie dargestellt aufgeteilt auf mehrere Datenpakete, im Singelcast, Multicast oder Broadcast an das Endgerät D übertragen.
  • Mit dem Sendestatus wird von dem Zugriffsgerät A1 an die Endgeräte-Verwaltungseinheit S signalisiert, dass die Systeminformation SysInfo vollständig übertragen wurde. Im Falle eines Datenverlustes eines oder mehrerer Datenpakete können diese wiederholt übertragen werden.
  • Sodann sendet das Endgerät eine Abfrage mit der erhaltenen Systemadresse @SysAdr. Die Abfrage umfasst eine Information über das Endgerät und eine Anfrage, bei der Endgeräte-Verwaltungseinheit S angelernt (registriert) zu werden (AssoRequest). Dies führt zu einem Ereignis, welches mit der Geräteinformation an die Endgeräte-Verwaltungseinheit S übertragen wird.
  • Die Endgeräte-Verwaltungseinheit S sendet sodann eine Zertifikatabfrage über das Zugriffsgerät A1 an das zu registrierende Endgerät D. Dieses überträgt sodann die geräteindividuellen Daten ihres Zertifikates ZertD, welche zumindest den öffentlichen Geräteschlüssel PubKeyD und die Signatur SignaturD des Endgerätes D umfassen. Diese geräteindividuellen Daten werden in Datenpaketen solange übertragen (REP), bis alle geräteindividuellen Daten des Endgerätes D bei der Endgeräte-Verwaltungseinheit S angekommen sind.
  • Sodann wird von der Endgeräte-Verwaltungseinheit S das Zertifikat ZertD des Endgerätes D geprüft, um das Endgerät D zu authentifizieren und als zur Einbindung in die Kommunikationseinheit 1 berechtigtes Endgerät D zu registrieren.
  • Ab diesem Systemzustand ist das Endgerät D bei der Kommunikationseinheit 1 bekannt und die weitere Kommunikation ist verschlüsselt, wenn bereits ein gemeinsamer geheimer Schlüssel festgelegt wurde.
  • Ansonsten erfolgt eine im Multi- oder Broadcast von dem Endgerät D an die Zugriffsgeräte A1, A2 ausgesendete Abfrage mit der Systemadresse @SysAdr und der Anfrage angelernt zu werden (AssoRequest). Dies führt zu einem an die Endgeräte-Verwaltungseinheit S weitergeleitetes Ereignis mit dem Befehl an das Zugriffsgerät A1 mit dem besten Empfang, das Endgerät hinzuzufügen. Dieser Befehl wird von dem Zugriffsgerät A1 bestätigt ACK. Sodan wird ein Befehl AssoCMD mit dem verschlüsselten Netzwerkschlüssel CrypNetKey von der Endgeräte-Verwaltungseinheit S über das Zugriffsgerät A1 an das Endgerät D übertragen. Dies kann wiederum in einem oder mehreren Datenpaketen erfolgen.
  • Optional können die Zugriffsgeräte A2 mit schlechterer Übertragungsqualität durch einen Befehl von der Endgeräte-Verwaltungseinheit S abgekoppelt werden (Ereignis = Entferne Gerät), was dann von dem abgekoppelten Zugriffsgeräte A2 an die Endgeräte-Verwaltungseinheit S bestätigt (ACK) wird.
  • Der vollständige Empfang des verschlüsselten Netzwerkschlüssels CrypNetKey wird von dem Endgerät D über das Zugriffsgerät A1 an die Endgeräte-Verwaltungseinheit S bestätigt (AssoCMD). Zudem wird als Ereignis von dem Endgerät D eine Antwort AssoRESP auf die Registrierung über das Zugriffsgerät A1 an die Endgeräte-Verwaltungseinheit S gesendet. Dies führt zu einer Betätigung AssoCONF der abgeschlossenen Registrierung einschließlich der Generierung eines gemeinsamen Schlüssels, der zur verschlüsselten Übertragung des Netzwerkschlüssels NetKey genutzt wird.
  • Die Generierung des gemeinsamen geheimen Schlüssels K gelingt durch den Austausch der öffentlichen Schlüssel PubKeyD des Endgerätes D und PubKeyS der Endgeräte-Verwaltungseinheit S sowie der jeweils im Endgerät D und der Endgeräte-Verwaltungseinheit S vorhandenen geheimen Geräteschlüssel PrivKeyD und PrivKeyS sowie von Parametern, die entweder allen Teilnehmern der Kommunikationseinrichtung 1 bekannt sind oder Teil der statischen Daten der Zertifikate ZertD der Endgeräte D sowie ggf. auch des Zertifikates ZertS der Endgeräte-Verwaltungseinheit S sind.
  • Damit kann das Zertifikat ZertD des zu registrierenden Endgerätes D mit reduziertem Datenvolumen an die Endgeräte-Verwaltungseinheit S übertragen werden, indem nur die geräteindividuellen Daten des Zertifikates ZertD übermittelt werden. Das gesamte Zertifikat ZertD wird aus den geräteindividuellen Daten und den statischen Daten, welche der Endgeräte-Verwaltungseinheit S für alle zugelassen Endgeräte D bekannt sind und die für alle zugelassenen Endgeräte D einer Gruppe gleich sind, nach einem bekannten Schema wieder zusammengesetzt und anhand der empfangenen Signatur SigD geprüft. Die Signatur SigD ist nur für das korrekt zusammengesetzte Zertifikat ZertD gültig, wobei die Gültigkeit der Signatur SigD für das Zertifikat ZertD mit den gängigen Verfahren geprüft werden kann.
  • Gleichermaßen kann zusammen mit dem an das Endgerät D übertragenen öffentlichen Geräteschlüssel PubKeyS auch noch die weiteren geräteindividuellen Daten des Zertifikates ZertS der Endgeräte-Verwaltungseinheit S an das Endgerät D übertragen werden. Damit kann optional auch eine Überprüfung der Gültigkeit des öffentlichen Schlüssels PubKeyS der Endgeräte-Verwaltungseinheit S durch das Endgerät D durchgeführt werden.
  • Der gemeinsame geheime Schlüssel K, der zwischen der Endgeräte-Verwaltungseinheit S und dem Endgerät D zur verschlüsselten Übertragung des Netzwerkschlüssels NetKey vereinbart wird, kann aus den jeweiligen geheimen Geräteschlüsseln PrivKeyD und PrivKeyS und den untereinander ausgetauschten öffentlichen Geräteschlüsseln PubKeyD und PubKeyS und bekannten Parametern beispielsweise mit einem asymmetrischen Schlüsselaustauschverfahren berechnet werden.
  • Die beiden Kommunikationspartner Endgerät D und Endgeräte-Verwaltungseinheit S wollen über ein unsicheres Medium, etwa eine Kabel- oder Funkverbindung, verschlüsselt kommunizieren und hierzu ein symmetrisches Verschlüsselungsverfahren mit Hilfe des gemeinsam bekannten geheimen Netzwerkschlüssels NetKey einsetzen. Für den sicheren Austausch des Netzwerkschlüssels NetKey wird jedoch zunächst ein gemeinsamer geheimer Schlüssel K benötigt. Das Diffie-Hellmann-Verfahren ermöglicht die Berechnung eines geheimen Schlüssels K in der Endgeräte-Verwaltungseinheit S und dem Endgerät D, ohne dass Dritte diesen geheimen Schlüssel K erfahren können.
  • Hierzu werden zunächst öffentlich Parameter, wie eine große Primzahl p und eine natürliche Zahl g, die kleiner als die Primzahl p ist festgelegt.
  • Nun erzeugen die Endgeräte-Verwaltungseinheit S und das Endgerät D jeweils eine geheimzuhaltende Zufallszahl, d. h. den privaten Geräteschlüssel PrivKeyD, PrivKeyS, der alternativ auch bei der Herstellung der Installation festgelegt und geheim implementiert sein kann. Diese geheimen Geräteschlüssel PrivKeyD, PrivKeyS werden nicht übertragen und bleiben damit Dritten unbekannt.
  • Die Endgeräte-Verwaltungseinheit S berechnet mit ihrem geheimen Geräteschlüssel PrivKeyS den öffentlichen Geräteschlüssel PubKeyS und schickt diesen an das Endgerät D. Dies kann beispielsweise nach der Formel PubKeyS = gPrivKeyS mod p durchgeführt werden.
  • Das Endgerät D berechnet mit ihrem geheimen Geräteschlüssel PrivKeyD den öffentlichen Geräteschlüssel PubKeyD und schickt diesen an die Endgeräte-Verwaltungseinheit S. Dies kann beispielsweise nach der Formel PubKeyD = gPrivKeyD mod p durchgeführt werden.
  • Die Endgeräte-Verwaltungseinheit S erhält den öffentlichen Geräteschlüssel PubKeyD des Endgerätes D und berechnet mit ihrem privaten Geräteschlüssel PrivKeyS und dem öffentlichen Geräteschlüssel PubKeyD des Endgerätes D eine Zahl K1. Dies kann beispielsweise mit der Formel K1 = PubKeyDPrivKeyS mod p erfolgen.
  • Das Endgerät D erhält den öffentlichen Geräteschlüssel PubKeyS der Endgeräte-Verwaltungseinheit S und berechnet mit ihrem privaten Geräteschlüssel PrivKeyD und dem öffentlichen Geräteschlüssel PubKeyS der Endgeräte-Verwaltungseinheit S eine Zahl K2. Dies kann beispielsweise mit der Formel K2 = PubKeySPrivKeyD mod p erfolgen.
  • Diese Zahlen K1 und K2 sind aufgrund eines kommutativen Zusammenhangs in der Rechenvorschrift gleich und entsprechend dem gemeinsamen geheimen Schlüssel K.
  • Anstelle der einfachen Parameter p und g können auch komplexere Parameter vereinbart werden, wie bspw. elliptische Kurven. Dies wird bei demselben oben skizzierten Grundprinzip des Austauschs nur der öffentlichen Geräteschlüssel PubKeyD, PubKeyS und der Parameter für die vereinbarten elliptischen Kurven mit dem Elliptic-Curve-Diffie-Hellmann-Verfahren ECDH verwirklicht.
  • Somit wird zunächst ein asymmetrisches Schlüsselaustauschverfahren mit öffentlichen Geräteschlüsseln PubKeyD, PubKeyS genutzt, um einen symmetrischen Schlüssel K auszuhandeln, der zur verschlüsselten Übertragung des nur den registrierten Kommunikationsteilnehmern der Kommunikationseinheit 1 bekannten Netzwerkschlüssels NetKey genutzt wird. Anschließend kann die weitere Kommunikation verschlüsselt nur noch mit Hilfe des symmetrischen Netzwerkschlüssels NetKey durchgeführt werden. Hierzu kann beispielsweise das AES-CCM Verfahren genutzt werden, welches den Advanced-Encryption-Standard AES um einen Betriebsmodus für Blockchiffren erweitert, der sowohl die Vertraulichkeit, als auch Integrität garantiert.
  • Die Authentifizierung der zu registrierenden Endgeräte bzw. der miteinander zu verknüpfenden Endgeräte D und Endgeräte-Verwaltungseinheit S erfolgt mit Hilfe signierter Zertifikate, die nicht vollständig, sondern nur mit ihren geräteindividuellen (dynamischen) Daten an den Kommunikationspartner übertragen werden. Der Empfänger der geräteindividuellen Daten kann das Zertifikat dann mit dem ihm bekannten statischen Daten zusammenfügen und anhand der erhaltenen Signatur die Gültigkeit des zusammengefügten Zertifikats prüfen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2021/141685 A1 [0004]
    • US 10,992,656 B2 [0005]
    • EP 3 451 218 B1 [0006]
    • EP 3 451 222 A1 [0007]

    Claims (16)

    1. Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten (D) mit einem Zugriffsgerät (A), wobei die Endgeräte (D) eine Kommunikationseinheit (1) zur Datenkommunikation haben und zur Kommunikation mit dem Zugriffsgerät (A) eingerichtet sind, wobei das Endgerät (D) und das Zugriffsgerät (A) zur Verschlüsselung und Entschlüsselung von verschlüsselt übertragenen Daten mit einem Netzwerkschlüssel (NetKey) eingerichtet sind und wobei das Endgerät (D) und das Zugriffsgerät (A) einen gemeinsamen geheimen Schlüssel (K) für die verschlüsselte Kommunikation vereinbaren, gekennzeichnet durch - Übertragen von geräteindividuellen Daten eines eineindeutigen Zertifikates (ZertD) für das Endgerät (D) an das Zugriffsgerät (A), wobei die geräteindividuellen Daten das Endgerät (D) eineindeutig charakterisieren; - Bestimmen des eineindeutigen Zertifikates (ZertD) für das Endgerät (D) anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät (D) und einer Endgeräte-Verwaltungseinheit (S) bekannten statischen Daten mit einer Zertifikat-Generierung Routine durch die mit dem Zugriffsgerät (A) gekoppelten Endgeräte-Verwaltungseinheit (S); - Überprüfen der Gültigkeit des bestimmten Zertifikates (ZertD) für das Endgerät (D) durch die Endgeräte-Verwaltungseinheit (S) und Authentifizieren des Endgerätes (D) als ein für die Kommunikation mit dem Zugriffsgerät (A) zugelassenes Endgerät (D), sofern das Zertifikat (ZertD) als gültig erkannt wurde; - Berechnen eines gemeinsamen geheimen Schlüssels (K) für das zugelassene Endgerät (D) und die Endgeräte-Verwaltungseinheit (S) mit Daten des bestimmten und als gültig erkannten Zertifikats (ZertD) durch die Endgeräte-Verwaltungseinheit (S); - Verschlüsseln des Netzwerkschlüssels (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) durch die Endgeräte-Verwaltungseinheit (S); und - Übertragen des verschlüsselten Netzwerkschlüssels (NetKey) von dem Zugriffsgerät (A) an das Endgerät (D), wobei das Endgerät (D) mit einem ihm bekannten geräteindividuellen geheimen Geräteschlüssel (PrivKeyD) und von der Endgeräte-Verwaltungseinheit (S) empfangenen Daten (PubKeyS) den gemeinsamen geheimen Schlüssel (K) berechnet und den empfangenen verschlüsselten Netzwerkschlüssel (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) entschlüsselt.
    2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als geräteindividuelle Daten des Zertifikates (ZertD) des Endgerätes (D) eine eineindeutige Geräteinformation und eine eineindeutige Geräteidentifikation übertragen wird.
    3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die eineindeutige Geräteinformation ein öffentlicher Geräteschlüssel (PubKeyD) und/oder eine Gerätesignatur (SigD) ist.
    4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die eineindeutige Geräteidentifikation eine Seriennummer des Endgerätes (D) ist.
    5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass statische Daten zur Erzeugung des eineindeutigen Zertifikates (ZertD) eine Herstellerkennung, eine Versionskennung, eine Länderkennung, eine Herstellungsortskennung und/oder Gültigkeitszeiträume sind.
    6. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch Erzeugen des gemeinsamen geheimen Schlüssels (K) zur verschlüsselten Kommunikation mittels asymmetrischer Verschlüsselung, insbesondere jeweils mit Paaren von privatem und öffentlichem Geräteschlüssel (PrivKeyD, PubKeyS; PrivKeyS, PubKeyD).
    7. Verfahren nach Anspruch 6, gekennzeichnet durch Erzeugen des gemeinsamen geheimen Schlüssels (K) mittels elliptischer Kurven mit dem Elliptische-Kurven-Diffie-Hellman-Schlüsselvereinbarungsprotokoll (ECDH).
    8. Verfahren nach Anspruch 6 oder 7, gekennzeichnet durch Erzeugen des gemeinsamen geheimen Schlüssels (K) durch die Endgeräte-Verwaltungseinheit (S) mit dem privaten geheimen Schlüssel (PrivKeyS) der Endgeräte-Verwaltungseinheit (S) und dem öffentlichen Schlüssel (PubKeyD) des registrierten Endgerätes (D) und Berechnen des gemeinsamen geheimen Schlüssels (K) durch das registrierte Endgerät (D) mit dem privaten geheimen Schlüssel (PrivKeyD) des Endgerätes (D) und dem öffentlichen Schlüssel (PubKeyS) der Endgeräte-Verwaltungseinheit (S).
    9. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch Verschlüsseln des Netzwerkschlüssels (NetKey) mit einem symmetrischen Blockchiffrieralgorithmus (AES) durch Verschlüsseln von Blöcken des Netzwerkschlüssels (NetKey) mit dem Geräteschlüssel.
    10. Kommunikationseinrichtung mit einem Zugriffsgerät (A) und einer Vielzahl von Endgeräten (D), die zur verschlüsselten Kommunikation mit dem Zugriffsgerät (A) ausgebildet sind, wobei eine Endgeräte-Verwaltungseinheit (S) mit dem Zugriffsgerät (A) gekoppelt ist, die zur Registrierung von Endgeräten (D) und zur verschlüsselten Übermittlung eines geheimen Netzwerkschlüssels (NetKey) an die registrierten Endgeräte (D) eingerichtet ist, dadurch gekennzeichnet, - dass die Endgeräte (D) zur Übertragung von geräteindividuellen Daten eines eineindeutigen Zertifikats (ZertD) für das Endgerät (D) an die Endgeräte-Verwaltungseinheit (S) eingerichtet sind, wobei die geräteindividuellen Daten das Endgerät (D) eineindeutig charakterisieren, - dass die Endgeräte-Verwaltungseinheit (S) a) zur Bestimmung des eineindeutigen Zertifikates (ZertD) für das zu registrierende Endgerät (D) anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät (D) und der Endgeräte-Verwaltungseinheit (S) bekannten statischen Daten mit einer Zertifikat-Generierung Routine, b) zur Überprüfung der Gültigkeit des berechneten Zertifikates (ZertD) für das Endgerät (D) und zur Registrierung des Endgerätes (D) als für die Kommunikation mit dem Zugriffsgerät (A) zugelassenes Endgerät (D), sofern das Zertifikat (ZertD) als gültig erkannt wurde, c) zum Berechnen eines gemeinsamen geheimen Schlüssels (K) für das zugelassene Endgerät (D) und die Endgeräte-Verwaltungseinheit (S) mit Daten des bestimmten und als gültig erkannten Zertifikats (ZertD) durch die Endgeräte-Verwaltungseinheit (S), d) zum Verschlüsseln des Netzwerkschlüssels (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) und e) zur Steuerung einer Übertragung des verschlüsselten Netzwerkschlüssels (NetKey) über das Zugriffsgerät (A) an das Endgerät (D) eingerichtet ist, und - dass die Endgeräte (D) zum Berechnen des gemeinsamen geheimen Schlüssels (K) mit einem dem Endgerät (D) bekannten geräteindividuellen geheimen Geräteschlüssel (PrivKeyD) und mit von der Endgeräte-Verwaltungseinheit (S) empfangenen Daten (PubKeyS) und zum Entschlüsseln des jeweils empfangenen verschlüsselten Netzwerkschlüssels (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) eingerichtet sind.
    11. Kommunikationseinrichtung nach Anspruch 10, dadurch gekennzeichnet, dass die Kommunikationseinrichtung mindestens ein Zugriffsgerät (A) hat, das über den geheimen Netzwerkschlüssel (NetKey) verfügt und zur verschlüsselten Kommunikation mit den Endgeräten (D) und mit der Endgeräte-Verwaltungseinheit (S) und zum Weiterleiten von Daten zwischen der Endgeräte-Verwaltungseinheit (S) und den Endgeräten (D) eingerichtet ist.
    12. Kommunikationseinrichtung nach Anspruch 10, dadurch gekennzeichnet, dass die Endgeräte-Verwaltungseinheit (S) in einem Zugriffsgerät (A) implementiert ist, wobei das Zugriffsgerät (A) über den geheimen Netzwerkschlüssel (NetKey) verfügt und zur verschlüsselten Kommunikation mit den Endgeräten (D) eingerichtet ist.
    13. Kommunikationseinrichtung nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass die Endgeräte (D) und das Zugriffsgerät (A) jeweils Transceiver (4, 5a, 5b) haben und zur drahtgebundenen Kommunikation oder zur drahtlosen Funkkommunikation eingerichtet sind.
    14. Kommunikationseinrichtung nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet, dass das Zugriffsgerät (A) ein bei der Endgeräte-Verwaltungseinheit (S) registriertes Endgerät (D) ist.
    15. Endgeräte-Verwaltungseinheit (S) für eine Kommunikationseinrichtung nach einem der Ansprüche 10 bis 14, wobei die der Endgeräte-Verwaltungseinheit (S) zur Authentifizierung von Endgeräten (D) und verschlüsselten Übermittlung eines geheimen Netzwerkschlüssels (NetKey) an die registrierten Endgeräte (D) eingerichtet ist, dadurch gekennzeichnet, dass die Endgeräte-Verwaltungseinheit (S) a) zur Bestimmung des eineindeutigen Zertifikates (ZertD) für das zu registrierende Endgerät (D) anhand der übertragenen geräteindividuellen Daten und anhand von dem Endgerät (D) und dem Zugriffsgerät (A) bekannten statischen Daten mit einer Zertifikat-Generierung Routine, b) zur Überprüfung der Gültigkeit des berechneten Zertifikates (ZertD) für das Endgerät (D) und zur Registrierung des Endgerätes (D) als für die Kommunikation mit dem Zugriffsgerät (A) zugelassenes Endgerät (D), sofern das Zertifikat (ZertD) als gültig erkannt wurde, c) zur Berechnung eines gemeinsamen geheimen Schlüssels (K) für das zugelassene Endgerät (D) und die Endgeräte-Verwaltungseinheit (S) mit Daten des bestimmten und als gültig erkannten Zertifikats (ZertD) durch die Endgeräte-Verwaltungseinheit (S), d) zum Verschlüsseln des Netzwerkschlüssels (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) und e) zur Steuerung einer Übertragung des verschlüsselten Netzwerkschlüssels (NetKey) über das Zugriffsgerät (A) an das Endgerät (D) eingerichtet ist.
    16. Endgerät (D) für eine Kommunikationseinrichtung nach einem der Ansprüche 10 bis 14, wobei das Endgerät (D) zur Übertragung von geräteindividuellen Daten eines eineindeutigen Zertifikats (ZertD) für das Endgerät (D) an die Endgeräte-Verwaltungseinheit (S) eingerichtet ist, wobei die geräteindividuellen Daten das Endgerät (D) eineindeutig charakterisieren, und zum Berechnen des gemeinsamen geheimen Schlüssels (K) mit einem dem Endgerät (D) bekannten geräteindividuellen geheimen Geräteschlüssel (PrivKeyD) und mit von der Endgeräte-Verwaltungseinheit (S) empfangenen Daten (PubKeyS) und zum Entschlüsseln des jeweils empfangenen verschlüsselten Netzwerkschlüssels (NetKey) mit dem berechneten gemeinsamen geheimen Schlüssel (K) eingerichtet ist.
    DE102023134816.7A 2023-12-12 2023-12-12 Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu Pending DE102023134816A1 (de)

    Priority Applications (1)

    Application Number Priority Date Filing Date Title
    DE102023134816.7A DE102023134816A1 (de) 2023-12-12 2023-12-12 Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu

    Applications Claiming Priority (1)

    Application Number Priority Date Filing Date Title
    DE102023134816.7A DE102023134816A1 (de) 2023-12-12 2023-12-12 Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu

    Publications (1)

    Publication Number Publication Date
    DE102023134816A1 true DE102023134816A1 (de) 2025-06-12

    Family

    ID=95783153

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    DE102023134816.7A Pending DE102023134816A1 (de) 2023-12-12 2023-12-12 Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu

    Country Status (1)

    Country Link
    DE (1) DE102023134816A1 (de)

    Citations (3)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US20160248738A1 (en) 2015-02-19 2016-08-25 Nxp B.V. Method and system for facilitating network joining
    EP3451222A1 (de) 2017-09-01 2019-03-06 Trustonic Limited Generierung von zertifikaten nach der herstellung
    US20190074981A1 (en) 2017-09-01 2019-03-07 Trustonic Limited Post-manufacture generation of device certificate and private key for public key infrastructure

    Patent Citations (4)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US20160248738A1 (en) 2015-02-19 2016-08-25 Nxp B.V. Method and system for facilitating network joining
    EP3451222A1 (de) 2017-09-01 2019-03-06 Trustonic Limited Generierung von zertifikaten nach der herstellung
    US20190074981A1 (en) 2017-09-01 2019-03-07 Trustonic Limited Post-manufacture generation of device certificate and private key for public key infrastructure
    EP3451218B1 (de) 2017-09-01 2021-03-31 Trustonic Limited Generierung von vorrichtungszertifikaten und privaten schlüsseln für infrastrukturen mit öffentlichem schlüssel nach der herstellung

    Non-Patent Citations (1)

    * Cited by examiner, † Cited by third party
    Title
    Wikipedia-Eintrag zu „Diffie-Hellman-Schlüsselaustausch". 08.12.2023. URL: http://web.archive.org/web/20231208220919/https://de.wikipedia.org/wiki/Diffie- Hellman-Schl%C3%BCsselaustausch (geladen aus dem Internet am 22.10.2024)

    Similar Documents

    Publication Publication Date Title
    DE102013225742B4 (de) Verfahren und system für eine geschützte und autorisierte kommunikation zwischen einem fahrzeug und drahtlosen kommunikationsgeräten oder schlüsselanhängern
    DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
    DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
    EP2499775B1 (de) Vorrichtung und verfahren zum absichern eines aushandelns von mindestens einem kryptographischen schlüssel zwischen geräten
    EP1308017B1 (de) Verfahren zur schlüsselvereinbarung für eine kryptographisch gesicherte punkt-zu-multipunkt verbindung
    DE112020006159T5 (de) Protokoll zur gegenseitigen authentifizierung für systeme mit kommunikationsverbindungen mit niedrigem durchsatz und vorrichtungen zum durchführen desselben
    DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
    DE102015220228B4 (de) Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät
    DE102009051383A1 (de) Verfahren und Vorrichtung zum sicheren Übertragen von Daten
    DE112016002319T5 (de) Verfahren und vorrichtung zur initialzertifikatregistrierung in einem drahtlosen kommunikationssystem
    EP2593897B1 (de) Verfahren zur zertifikats-basierten authentisierung
    WO2008074621A1 (de) Verfahren und server zum bereitstellen einer geschützten datenverbindung
    EP3220575B1 (de) Verfahren zur herstellung einer sicheren kommunikation zwischen einem client und einem server
    DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
    DE102017211267A1 (de) Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem
    WO2021249761A1 (de) Vorbereiten einer steuervorrichtung zur sicheren kommunikation
    EP3935808B1 (de) Kryptographisch geschütztes bereitstellen eines digitalen zertifikats
    EP3244360A1 (de) Verfahren zur registrierung von geräten, insbesondere von zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten bei einem server eines systems, welches mehrere derartige geräte umfasst
    DE102023134816A1 (de) Verfahren zur verschlüsselten Kommunikation von elektronischen Endgeräten mit einem Zugriffsgerät sowie Kommunikationseinrichtung, Endgeräte-Verwaltungseinheit und Endgerät hierzu
    DE602004009932T2 (de) Netzwerkgerät, System und Verfahren zur Authentifizierung
    DE102023115048B4 (de) Verfahren zum aufbau einer dezentralen datenkommunikationsstruktur innerhalb eines systems mit einer mehrzahl von komponenten
    DE102024001629B3 (de) Verfahren zur sicheren Ausstattung von Systemen mit einem individuellen Zertifikat
    DE102019106667A1 (de) Verfahren zum Authentifizieren eines Computersystems
    DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
    WO2010127806A1 (de) Verfahren zur mitbenutzung drahtloser zugangspunkte zu einem kommunikationsnetzwerk

    Legal Events

    Date Code Title Description
    R012 Request for examination validly filed
    R016 Response to examination communication