DE102009032465B4 - Sicherheit in Netzwerken - Google Patents

Sicherheit in Netzwerken Download PDF

Info

Publication number
DE102009032465B4
DE102009032465B4 DE102009032465.8A DE102009032465A DE102009032465B4 DE 102009032465 B4 DE102009032465 B4 DE 102009032465B4 DE 102009032465 A DE102009032465 A DE 102009032465A DE 102009032465 B4 DE102009032465 B4 DE 102009032465B4
Authority
DE
Germany
Prior art keywords
security
node
key
level
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102009032465.8A
Other languages
English (en)
Other versions
DE102009032465A1 (de
Inventor
Neal J. King
Dr. Bry Charles
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Publication of DE102009032465A1 publication Critical patent/DE102009032465A1/de
Application granted granted Critical
Publication of DE102009032465B4 publication Critical patent/DE102009032465B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2838Distribution of signals within a home automation network, e.g. involving splitting/multiplexing signals to/from different paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Abstract

Verfahren mit folgenden Schritten: Bereitstellen einer ersten Sicherheitsstufe für eine erste Verbindung zwischen einem ersten Knoten und einem zweiten Knoten eines Netzwerks; und Umschalten zu einer zweiten Sicherheitsstufe für die erste Verbindung, wobei die zweite Sicherheitsstufe eine höhere Sicherheit für die erste Verbindung liefert, wobei das Verfahren ferner folgende Schritte aufweist: Aufteilen eines zwischen dem ersten und zweiten Knoten ausgehandelten Schlüssels, wobei in der ersten Sicherheitsstufe ein erster Schlüssel verwendet wird, wobei der erste Schlüssel zumindest einen Abschnitt des ausgehandelten Schlüssels aufweist und wobei in der zweiten Sicherheitsstufe ein neuer Schlüssel verwendet wird, wobei der neue Schlüssel zumindest einen weiteren Abschnitt des ausgehandelten Schlüssels aufweist, wobei der neue Schlüssel eine größere Länge als der erste Schlüssel aufweist, wobei das Erzeugen des neuen Schlüssels ohne weiteres Austauschen von schlüsselbezogenen Informationen zwischen dem ersten und zweiten Knoten bereitgestellt wird.

Description

  • Ein Heimnetzwerk (home network) ist zur Verteilung von Breitband-Diensten innerhalb von Teilnehmerräumlichkeiten (customer premises) und einer Kommunikation zwischen verschiedenen Teilnehmer-Geräteeinheiten vorgesehen. Momentan werden sowohl drahtgebundene als auch drahtlose Heimnetzwerklösungen verwendet. Bei einer drahtgebundenen Lösung enthält ein Heimnetzwerk mehrere Knoten, die alle über ein drahtgebundenes Medium verbunden sind. Unterschiedliche Knoten können über unterschiedliche drahtgebundene Medien verbunden sein, wobei manche Knoten über mehr als ein Medium verbunden sein können, was beispielsweise Medien einschließt, die Bereiche eines Heimnetzwerks überbrücken, die auf unterschiedliche Medientypen aufgebaut sind. Solange jedoch eine genehmigte Kommunikation zwischen zwei Knoten möglich ist, werden dieselben als zu dem gleichen Heimnetzwerk gehörend betrachtet. Bei drahtlosen Diensten führen Stationen typischerweise eine Kommunikation mit einem Zugangsknoten (access point) durch, der einen zentralen Knoten des Netzwerks darstellt, wobei derselbe mit anderen zentralen Knoten über festgelegte Verbindungen, die typischerweise drahtgebunden sind, im allgemeinen verbunden sind. Der Zugangsknoten leitet Mitteilungen zwischen den drahtlosen Stationen und dem Rest des Netzwerks weiter. Ein Heimnetzwerk kann daher eine Kombination von drahtgebundenen und drahtlosen Netzwerken aufweisen. Solange Stationen und Knoten miteinander eine Kommunikation durchführen können werden dieselben als zu dem gleichen Heimnetzwerk gehörend betrachtet. Eines der Hauptprobleme für Heimnetzwerklösungen, sei es drahtgebunden oder drahtlos, ist die Sicherheit. Heimnetzwerke werden über ein Mehrfachnutzungsmedium (shared media) betrieben, was bedeutet, dass Heimnetzwerkvorrichtungen, die zu unterschiedlichen Personen gehören und vorgesehen sind, um in einem gegenseitig ausgeschlossenen und getrennten logischen Netzwerk betrieben zu werden, mit einem gleichen Draht verbunden sein könnten, wie es beispielsweise in dem Fall von Heimnetzwerken über Versorgungsleitungen (power lines) oder über Kabel der Fall ist, oder dieselben können einen physikalischen Zugriff zu jeweils anderen Heimnetzwerkvorrichtungen aufweisen, beispielsweise wenn drahtlose Vorrichtungen in nächster Nähe zueinander sind oder wenn ein Übersprechen zwischen Telefonleitungen und Versorgungsleitungen auftritt. Jede ungeschützte Kommunikation über das Medium kann durch jedes das Netzwerk benutzende Gerät aufgenommen werden.
  • Die Heimnetzwerkknoten können sowohl mit einer häuslichen Übergabestelle (residential gateway) zum Erhalten von Breitband-Diensten wie beispielsweise Fernsehen, Voice over IP (VoIP) und Spielen von externen Quellen, und intern mit anderen Heimnetzwerkknoten kommunizieren, um in den Teilnehmerräumlichkeiten angesiedelte Quellen digitalen Inhalts, wie beispielsweise ein digitaler Videorekorder oder eine kontinuierlich übertragende Videoanwendung eines Computers oder eine Zentral-Unterhaltungseinheit zu teilen.
  • Für all diese Kommunikationen ist es entscheidend für die Anwendung, dass der Datenstrom eine Vertraulichkeit aufweist. Selbst wenn sämtliche Personen, die ein Heimnetzwerk benutzen, zu einer gleichen Familie gehören, wird es Informationen geben, die nicht mit anderen Personen, die nicht direkt in die Kommunikation eingebunden sind, geteilt werden sollten, wobei dies noch wesentlich wichtiger wird, wenn unterschiedliche Gruppen von Personen eine Benutzung eines Heimnetzwerks an einem Ort teilen, beispielsweise wenn das Heimnetzwerk in einem Hotel oder einer Kleinbüroumgebung verwendet wird, oder wenn Besucher das Heimnetzwerk benutzen. Zusätzlich sind Netzwerke, die auf einem Mehrfachnutzungsmedium beruhen sehr oft anfällig darauf, dass Mitteilungen, die für bestimmte der Knoten des Netzwerks vorgesehen sind, physikalisch erfasst und durch ein Gerät empfangen werden, das kein zulässiges Mitglied des Netzwerks ist.
  • Aufgrund sämtlicher dieser Gründe ist eine Vertraulichkeit einer Kommunikation zwischen Knoten des Heimnetzwerks ein Schlüsselkriterium für die Verwendbarkeit des Netzwerks.
  • Genauso wichtig ist es, dass eine Kommunikation, die über das Heimnetzwerk empfangen wird, vertrauenswürdig ist. Die Inhalte von Mitteilungen sollten nicht geändert werden bzw. falls eine Änderung vorliegt, sollte diese nicht unerfasst bleiben. Das Übertragungssystem des Mediums kann Vorwärts-Fehler-Korrektur-Techniken (Vorwärts-Fehler-Korrektur = forward error correction = FEC) verwenden, um eine Fehlinterpretation aufgrund von Übertragungsfehlern zu verhindern, wobei derartige Techniken nicht entwickelt wurden um einen Schutz gegen eine willkürliche Änderung des Inhalts der Mitteilung zu bieten, was auf einer höheren Schicht der Verarbeitung erfolgen würde.
  • Herkömmlich wurden die zwei Probleme einer Sicherheit, das heißt die Vertrauenswürdigkeit und die Vertraulichkeit, auf folgende Weise zwischen kommunizierenden Knoten gelöst. Eine erste Möglichkeit stellt die Verwendung eines kryptographischen Schlüssels dar, der lediglich dem Senderknoten und dem Empfängerknoten bekannt ist. Der Sender verarbeitet die Inhalte jeder Mitteilung, um einen Verschlüsselungstext zu erstellen. Dieses kryptographische Ausgangssignal kann durch niemand verstanden werden, der nicht den Schlüssel aufweist, wobei derselbe jedoch als ein Eingangssignal zu einem Entschlüsselungsprozess durch einen Inhaber des Schlüssels verwendet werden kann, um die Verschlüsselung rückgängig zu machen und den Klartext zu erzeugen. Eine weitere Möglichkeit stellt die Verwendung von unterschiedlichen kryptographischen Prozessen für die Originalmitteilung dar, um eine Integrität der kommunizierten Mitteilung zu sichern. Dieser Prozess erzeugt ein kurzes kryptographisches Ausgangssignal, das ein Mitteilungs-Authentikations-Code (message authentication code) genannt wird. Der Mitteilungs-Authentikations-Code wird zu dem Empfänger zusammen mit dem Verschlüsselungstext gesendet. Falls der empfangene Mitteilungs-Authentikations-Code der gleiche wie der Mitteilungs-Authentikations-Code ist, der durch den Empfänger auf der Basis der empfangenen Mitteilung berechnet wird, liefert dies auf der Basis eines Authentikationsschlüssels (der der gleiche oder auch nicht der gleiche Schlüssel wie der Vertraulichkeitsschlüssel ist) eine starke Annahme, dass die empfangene Mitteilung während der Übertragung nicht geändert wurde, da die kryptographische Funktion, die zum Berechnen des Mitteilungs-Authentikations-Codes gewählt wird, es überwiegend unwahrscheinlich macht, dass ein Mitteilungstext geändert werden kann, ohne dass das Ergebnis der Mitteilungs-Authentikations-Code-Berechnung geändert wird.
  • Das Problem des Bereitstellens einer Vertraulichkeit und einer Mitteilungsintegrität reduziert sich damit auf die Frage des Bereitstellens eines Satzes von Schlüsseln für jedes Paar von Kommunikationsknoten. Um eine Sicherheit innerhalb jedes Paars sicherzustellen sollten zwei Paare nicht den gleichen Satz von Schlüsseln teilen, selbst dann nicht, wenn die zwei Paare ein gleiches Mitglied haben.
  • Die Stärke einer Verschlüsselung, die zum Sichern einer Kommunikation verwendet wird, hängt von der Länge des Schlüssels für die Entschlüsselung ab. Wenn zwei Kommunikationskanäle durch die gleiche Verschlüsselungstechnik geschützt sind, jedoch einer einen längeren Schlüssel als der andere verwendet, wird dieser besser geschützt sein. Allgemein kann gesagt werden, dass ein gutes Maß für die Schwierigkeit des Brechens der Sicherheit eines Kommunikationskanals die Anzahl von Berechnungen ist, die erforderlich sind, um den Schlüssel aufzudecken. Es wird allgemein bei einem Auswerten dieser Schwierigkeit angenommen, dass der Angreifer weiß, welche Technik und welcher Algorithmus verwendet wird, da es viele Wege für kommerziell vertriebene Geräte gibt, dies herauszufinden. Die Anzahl von Berechnungen hängt dabei exponentiell von der Länge des Schlüssels ab.
  • Innerhalb eines Heimnetzwerks kann der Fall auftreten, dass manche Kommunikationen eine größere Vertraulichkeit haben als andere. Beispielsweise kann es nicht so wichtig sein, eine kontinuierliche Videoübertragung die ein Unterhaltungsvideo zeigt, so zu schützen wie die Übertragung von vertraulichen persönlichen Informationen oder sicherheitsrelevanter Informationen, wie beispielsweise ein Passwort oder der Datenstrom eines vertraulichen Telefongesprächs. Herkömmliche Verfahren eines Schutzes für Heimnetzwerke liefern jedoch den gleichen Schutzgrad für all diese Kommunikationen.
  • Insbesondere unterscheiden herkömmliche Verfahren zum Bereitstellen einer Heimnetzwerksicherheit nicht zwischen unterschiedlichen Diensten oder Dienstanwendungen (client applications), die den gleichen Knoten verwenden. Der Knoten liefert die Übertragung und die Sicherheit als ein komplettes Paket für alle, wobei das Sicherheitssystem zwischen denselben nicht unterscheiden kann.
  • Die EP 1773078 zeigt ein Verfahren, bei dem Security Settings einer Kommunikationsstation und/oder eines mobilen Terminals adaptiert und durchgesetzt werden. Die Security Settings werden verwendet, um Rechte von Applikationen zu beschränken.
  • Die GB2411554 zeigt ein Verfahren, bei dem nach dem Senden und Empfangen von Authentikation- und Handshake-Paketen ein Request für Informationen über Sicherheitsanforderungen und eigene Sicherheitsfähigkeiten gesendet wird. Dieser Request wird unter Verwendung eines schwachen Verschlüsselungsprotokolls gesendet. Die zurückgesendeten Informationen werden empfangen und verwendet um zu entscheiden, ob eine höhere Sicherheitsstufe erforderlich ist.
  • Die JP2008-028807 offenbart ein Verfahren, bei dem ein erster Schlüssel von einer Schlüsselerzeugungseinrichtung erzeugt wird und an eine externe Verschlüsselungsmaschine gegeben wird, die daraus einen weiteren Schlüssel erzeugt. Der erste Schlüssel und der weitere Schlüssel werden zusammengefügt um einen gemeinsamen Schlüssel zu bilden.
  • Die US 2005/0257052 beschreibt einen Applikationsspeicher der eine Mehrzahl von Applikationsprogramme speichert. Jedes Applikationsprogramm ist mit einem Application Description File korreliert, welches unter anderem eine Sicherheitsstufe speichert.
  • Die US 2005/0097357 beschreibt ein System, bei dem ein sicherheits-markiertes Paket Steuerinformationen, ein Sicherheitsmarker und die ursprünglichen Paketinformationen beinhaltet.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, ein Netzwerk mit verbesserter Sicherheit zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 und 13 und einem Netzwerkkommunikationssystem gemäß Anspruch 21 gelöst.
  • Die vorliegende Erfindung schafft ein Verfahren mit einem Bereitstellen einer ersten Sicherheitsstufe für eine erste Verbindung zwischen einem ersten Knoten und einem zweiten Knoten eines Netzwerks. Ein Umschalten zu einer zweiten Sicherheitsstufe für die erste Verbindung wird durchgeführt, wobei die zweite Sicherheitsstufe eine höhere Sicherheit für die erste Verbindung liefert.
  • Die erste und zweite Sicherheitsstufe können dabei auf einer Verschlüsselungskodierung mit einem Schlüssel basieren. Das Netzwerk ist bei Ausführungsbeispielen ein Heimnetzwerk. Ferner kann bei Ausführungsbeispielen das Bereitstellen der Sicherheit bei dem ersten und zweiten Knoten in einer MAC-Schicht implementiert sein.
  • Die Sicherheitsstufen können basierend auf einer Clienteinheit oder Geräteeinheit ausgewählt werden, die die Daten über den ersten Knoten zu dem zweiten Knoten sendet.
  • Die Clienteinheit kann beispielsweise eine Clientanwendung und die Geräteeinheit kann beispielsweise ein Kommunikationsgerät sein.
  • Bei einem Ausführungsbeispiel kann das Verfahren ferner die Schritte eines Aufteilens eines zwischen dem ersten und zweiten Knoten ausgehandelten Schlüssels, wobei in der ersten Sicherheitsstufe ein erster Schlüssel verwendet wird, der zumindest einen Abschnitt des ausgehandelten Schlüssels aufweist. In der zweiten Sicherheitsstufe wird ein neuer Schlüssel verwendet, wobei der neue Schlüssel zumindest einen weiteren Abschnitt des geteilten Schlüssels aufweist. Hierbei weist der neue Schlüssel eine größere Länge als der erste Schlüssel auf.
  • Das Erzeugen des neuen Schlüssels kann bei Ausführungsbeispielen ohne weiteres Austauschen von schlüsselbezogenen Informationen zwischen dem ersten und zweiten Knoten bereitgestellt werden.
  • Das Verfahren kann ferner ein dadurch gekennzeichnet sein, dass das Umschalten von der ersten zu der zweiten Sicherheitsstufe ausgelöst wird, wenn eine neue Clienteinheit oder Geräteeinheit den ersten Knoten in Anspruch nimmt, wobei die neue Clienteinheit oder Geräteeinheit einen höheren Sicherheitsschutz als die erste Sicherheitsstufe verlangt.
  • Nachdem die neue Clienteinheit oder Geräteeinheit den ersten Knoten nicht mehr in Anspruch nimmt, kann eine Entscheidung durchgeführt werden, ob die zweite Sicherheitsstufe aufrechterhalten wird.
  • Ein Umschalten eines Sicherheitsmechanismus für die erste Verbindung zu einem Sicherheitsmechanismus, der mehr als zwei Sicherheitsstufen aufweist, kann vorgesehen sein, wobei jede der mehr als zwei Sicherheitsstufen einen unterschiedlichen Anteil eines zwischen dem ersten und zweiten Knoten ausgetauschten Schlüssels verwendet.
  • Die zweite Sicherheitsstufe kann für eine Clienteinheit oder Geräteeinheit geliefert werden, die den ersten Knoten in Anspruch nimmt, wobei das Verfahren ferner die Schritte eines Inanspruchnehmens eines dritten Knoten durch die Clienteinheit oder Geräteinheit und eines Bereitstellens einer neuen Verbindung, die zum Übertragen von Daten der Clienteinheit oder Geräteeinheit verwendet wird, wobei die neue Verbindung zwischen dem ersten Knoten und einem weiteren Knoten bereitgestellt wird. Falls die neue Verbindung, die durch die Clienteinheit oder Geräteeinheit verwendet wird, eine Sicherheitsstufe aufweist, die geringer als die zweite Sicherheitsstufe ist, kann ein automatisches Bereitstellen der zweiten Sicherheitsstufe oder einer höheren Sicherheitsstufe für die neue Verbindung erfolgen.
  • Bei Ausführungsbeispielen kann eine Sicherheitssteuerung ermöglichen, dass Daten für Clienteinheiten oder Geräteeinheiten basierend auf einer Liste von zugelassenen Kombinationen übertragen werden, wobei die Liste von zugelassenen Kombinationen anzeigt, ob eine Kombination einer Clienteinheit oder Geräteeinheit mit einem Knoten des Netzwerks zugelassen ist.
  • Der Knoten kann ein drahtloser Zugangsknoten, ein drahtloser Knoten oder eine Gerätestation sein. Ferner kann die Clienteinheit eine drahtlose Clientstation oder eine verdrahtete Clientstation und die Geräteeinheit ein drahtloses Benutzergerät oder ein verdrahtetes Benutzergerät sein.
  • Die vorliegende Erfindung schafft ferner ein Verfahren den Schritten eines Bereitstellens von mehreren Stufen einer Sicherheit für eine Kommunikation zwischen Knoten in einem Netzwerk, und eines Auswählens für eine Kommunikationsverbindung zwischen einem ersten und zweiten Knoten des Netzwerkes einer Sicherheitsstufe aus den mehreren Sicherheitsstufen zum Übertragen von ersten Daten, die durch eine Clientanwendung zu dem ersten Knoten und über den ersten Knoten zu dem zweiten Knoten übertragen werden, wobei das Auswählen der Sicherheitsstufe abhängig von der Clientanwendung ist.
  • Das Auswählen der Sicherheitsstufe kann ein Analysieren eines Identifizierers eines Datenpakets umfassen, wobei der Identifizierer die Clientanwendung anzeigt.
  • Ein Auswählen der Sicherheitsstufe auf einer MAC-Schicht, die bei dem ersten Knoten implementiert ist, wird bei Ausführungsbeispielen durchgeführt wobei das Verfahren ferner ein Analysieren auf der MAC-Schicht eines Identifizierers umfasst, der die Clientanwendung anzeigt.
  • Das Verfahren kann ferner die Schritte eines Analysierens von Kopfinformationen für ein Datenpaket, das durch eine Clienteinheit gesendet wird, die dem ersten Knoten zugeordnet ist, wobei die Kopfinformationen einen Identifizierer der Clientanwendung umfassen und eines Auswählens einer Sicherheitsstufe, die für das Datenpaket zum Übertragen zwischen dem ersten und zweiten Knoten verwendet wird, basierend auf dem Identifizierer, umfassen.
  • Bei Ausführungsbeispielen kann die Clientanwendung eine erste Clientanwendung sein, wobei das Verfahren ferner ein Auswählen für die Verbindung zwischen dem ersten und zweiten Knoten einer Sicherheitsstufe aus der Mehrzahl von Sicherheitsstufen zum Übertragen von zweiten Daten umfasst, die durch eine zweite Clientanwendung über den ersten Knoten zu dem zweiten Knoten gesendet werden, wobei das Auswählen der Sicherheitsstufe auf einer Identifizierung der zweiten Clientanwendung basiert. Das Verfahren kann dabei die Schritte eines Aushandelns eines Schlüssels zwischen dem ersten und dem zweiten Knoten und eines Auswählens eines ersten Schlüssels, der eine erste Länge aufweist für die erste Sicherheitsstufe, wobei der erste Schlüssel auf dem ausgehandelten Schlüssel basiert. Ferner wird ein Auswählen eines zweiten Schlüssels durchgeführt, der eine zweite Länge aufweist, die sich von der ersten Länge unterscheidet, für die zweite Sicherheitsstufe, wobei der zweite Schlüssel auf dem ausgehandelten Schlüssel basiert.
  • Der erste und zweite Schlüssel können dabei so ausgewählt werden, dass dieselben auf disjunkten Abschnitten des ausgehandelten Schlüssels basieren. Hierbei kann der erste und zweite Schlüssel Abschnitte des ausgehandelten Schlüssels aufweisen. Das Verfahren kann ferner ein Automatisches Umschalten von einem zweiten Sicherheitsbetriebsmodus, der eine zweite Sicherheitsstufe für eine Verbindung zwischen einem ersten Knoten und zweiten Knoten liefert auf einen ersten Sicherheitsbetriebsmodus aufweisen, der eine erste Sicherheitsstufe für die Verbindung liefert, die höher als die zweite Sicherheitsstufe ist, wobei das automatische Umschalten durchgeführt wird, wenn eine Clientanwendung, die vorhergehend Daten mit der ersten Sicherheitsstufe über eine unterschiedliche Verbindung des Netzwerks gesendet hat, den ersten oder zweiten Knoten der Verbindung in Anspruch nimmt.
  • Die Erfindung schafft ferner ein Netzwerkkommunikationssystem, wobei das Netzwerkkommunikationssystem konfiguriert ist, um mehrere Stufen einer Sicherheit für eine Kommunikationsverbindung zwischen einem ersten Knoten und einem zweiten Knoten eines Netzwerks zu liefern, wobei das System ferner konfiguriert ist, um eine erste Sicherheitsstufe der Mehrzahl von Sicherheitsstufen zum Übertragen von ersten Daten, die durch einen erste Clienteinheit oder erste Geräteeinheit über den ersten Knoten zu dem zweiten Knoten gesendet werden, auszuwählen, und wobei das System konfiguriert ist, um eine zweite Sicherheitsstufe aus der Mehrzahl von Sicherheitsstufen zum Übertragen von zweiten Daten auszuwählen, die durch eine zweite Clienteinheit oder zweite Geräteeinheit über den ersten Knoten zu dem zweiten Knoten gesendet werden, wobei sich die zweite Sicherheitsstufe von der ersten Sicherheitsstufe unterscheidet.
  • Weiterbildende Ausführungsformen der vorliegenden Erfindung sind den abhängigen Ansprüchen und der Beschreibung von bevorzugten Ausführungsbeispielen zu entnehmen.
  • Es zeigen:
  • 1 ein Diagramm eines Netzwerks gemäß einem Ausführungsbeispiel;
  • 2 ein Diagramm eines Netzwerks gemäß einem Ausführungsbeispiel;
  • 3 ein Diagramm eines Netzwerks gemäß einem Ausführungsbeispiel; und
  • 4a und 4b Ausführungsbeispiele, das einen Teilbereich eines Schlüssels zum Liefern eines Schlüssels zeigen.
  • In den unterschiedlichen Figuren können identische oder gleichartige Einheiten, Module, Vorrichtungen usw. ein gleiches Bezugszeichen aufweisen.
  • In den nachfolgenden Ausführungsbeispielen wird ein neues Konzept für die Sicherheit bei einem Netzwerk, wie beispielsweise bei einem Mehrfachnutzungsnetzwerk (shared media network), beschrieben. Das neue Sicherheitskonzept kann beispielsweise bei einem Heimnetzwerk implementiert sein.
  • Einige der Ausführungsbeispiele beruhen darauf, dass ein Verfahren zum Authentizieren (authentication) von Knoten und das Liefern von Schlüssel für eine Entschlüsselung für Knotenpaare bereits in Verwendung sind, da bereits Verfahren dafür bestehen. Bei diesen Ausführungsbeispielen kann eine Modifikation eines derartigen Verfahrens durchgeführt werden, um unterschiedliche Sicherheitsgrade für unterschiedliche Dienste zu erhalten, die über ein Heimnetzwerk geliefert werden, und einen bestimmten Sicherheitsgrad aufrechtzuerhalten, selbst wenn der verbindende drahtgebundene oder drahtlose Knoten oder Zugangsknoten im Laufe einer geschützten Kommunikation geändert wird.
  • Bei Ausführungsbeispielen wird eine erste Sicherheitsstufe für eine erste Verbindung eines Mehrfachnutzungsheimnetzwerks bereitgestellt. Die Verbindung schaltet auf eine zweite Sicherheitsstufe, die einen höheren Grad einer Sicherheit für die erste Verbindung liefert. Bei Ausführungsbeispielen kann das Umschalten auf einen höheren Sicherheitsgrad ausgelöst werden, wenn eine Einheit einen ersten Knoten in Anspruch nimmt bzw. mit diesem gekoppelt ist, um Daten auf der ersten Verbindung zu übertragen, wobei die Einheit vorhergehend Daten auf einer anderen Verbindung des Netzwerks mit der zweiten Sicherheitsstufe übertragen hat. Das Netzwerk kann selbstverständlich ein Umschalten zwischen mehr als zwei Sicherheitsstufen bei Ausführungsbeispielen liefern. Wann immer die Einheit sich von dem ersten Knoten loslöst und zu einem anderen Knoten bewegt, um ein Übertragen auf einer neuen Verbindung zu beginnen, wird die neue Verbindung zumindest die zweite Sicherheitsstufe oder eine höhere Sicherheitsstufe für die Übertragung der Daten auf der neuen Verbindung liefern. Das Umschalten wird automatisch ohne ein Benachrichtigen der Einheit geliefert. Mit anderen Worten gesagt, ist das Umschalten ein Teil eines Sicherheitsdienstes, der für die Einheiten geliefert wird, die das Mehrfachnutzungsmedium benutzen. Wenn die Einheit, die das Umschalten bei der ersten Verbindung auf die höhere zweite Sicherheitsstufe bewirkt hat, den Knoten verlässt, um auf einer anderen Verbindung zu übertragen oder über den gleichen Knoten auf einer anderen Verbindung überträgt, kann eine Entscheidung durchgeführt werden, ob die höhere Sicherheitsstufe bei der ersten Verbindung beibehalten wird oder ob die Sicherheitsstufe auf die erste Sicherheitsstufe zurückgeschaltet wird.
  • Das Umschalten auf eine höhere Stufe kann auch ausgelöst werden, wenn eine neue Clientanwendung (client application) beginnt auf der Verbindung zu übertragen. Obwohl die Daten durch ein gleiches Gerät beispielsweise einen Laptop mit WLAN (WLAN = wireless local area network = drahtloses lokales Bereichsnetzwerk) geliefert werden, kann das Verändern einer Clientanwendung beispielsweise von einer Videoanwendung auf eine Emailanwendung das Umschalten der Sicherheit auf der ersten Verbindung auslösen.
  • Bei einigen Ausführungsbeispielen können mehrere Sicherheitsstufen für Kommunikationen zwischen Knoten in einem Netzwerk geliefert werden. Eine Sicherheitsstufe wird von der Mehrzahl von Sicherheitsstufen zum Übertragen von ersten Daten ausgewählt, die durch eine Clientanweisung durch einen ersten Knoten zu einem zweiten Knoten gesendet werden, wobei das Auswählen der Sicherheitsstufe abhängig von der Clientanwendung ist, die die ersten Daten sendet. Wie es nachfolgend beschrieben wird, kann eine Liste von möglichen Kombinationen von Clientanwendungen und Knoten geliefert werden. Basierend auf dieser Liste kann für eine Clientanwendung die Verwendung eines bestimmten Knoten zum Übertragen von Daten über eine Verbindung zurückgewiesen werden.
  • Ausführungsbeispiele liefern einen höheren Grad eines Verschlüsselungsschutzes für sensitive und vertrauliche Übertragungen der als eine Erweiterung für jede Technik einer Authentikation-Und-Schlüsselverwaltung (Authentication and Key Management = AKM) angewendet werden kann. Bei Ausführungsbeispielen können die oben genannten Merkmale mit einem minimalen zusätzlichen Aufwand geliefert werden. Die neuen Verfahren zum Bereitstellen einer Sicherheit können auf eine solche Weise geliefert werden, dass eine übertragende Client-Einheit oder Geräte-Einheit (die zusammengenommen nachfolgend als Client/Gerät-Einheit bezeichnet werden) wie beispielsweise eine Clientanwendung, ein Benutzergerät oder eine drahtlose Station, die diesen zusätzlichen Schutzgrad ausnützt, sich weiterhin darauf verlassen kann, selbst wenn dieselbe den drahtgebundenen oder drahtlosen Knoten, beispielsweise einen drahtlosen Zugangsknoten, durch den dieselbe mit dem Heimnetzwerk verbunden ist, im Lauf der Übertragung wechselt. Die Übertragung wird keine Unterbrechung zusätzlich zu der Unterbrechung erhalten, die in jedem Fall vorliegen würde, um den Wechsel des Knotens oder des Zugangsknotens zu bewirken.
  • Einige Ausführungsbeispiele beziehen sich auf ein Konzept, das darauf gerichtet ist, die Autorisierung für die Verwendung eines Knotens durch ein(e) bestimmte(s) Clientanwendung, Benutzergerät oder drahtlose Station basierend auf einer Eintragung auf einer Liste von genehmigten Kombinationen durchzuführen.
  • Einige Ausführungsbeispiele beziehen sich auf ein Konzept, das auf dem Bereitstellen von zunehmenden Graden eines Verschlüsselungsschutzes basiert, die sich durch die Verwendung von zunehmenden Anteilen eines vorhergehend vereinbarten Schlüssels für die Verschlüsselung unterscheidet.
  • Alle diese Ausführungsbeispiele können unabhängig von einander angesehen werden, wobei dieselben jedoch auch miteinander kombiniert werden können, um einen Sicherheitsmechanismus für das Netzwerk zu liefern.
  • Für einen einzelnen Knoten kann eine Verbindung zu einem weiteren Knoten gleichzeitig für mehr als eine drahtlose Station oder Benutzergerät oder für mehr als eine Clientanwendung auf einem einzelnen Gerät angeboten werden. Jede dieser Einheiten befindet sich in einer logischen Umgebung auf einer höheren Protokollstufe als der Knoten. Damit der Knoten zwischen diesen unterschiedlichen Einheiten die nachfolgend als „Client/Gerät-Einheiten” (Client/Equipment) bezeichnet werden, unterscheiden können, ist es erforderlich, dass die Steuerungsebene des Sicherheitsprotokolls diese Einheiten wahrnimmt.
  • Bezug nehmend nun auf 1 weist ein Heimnetzwerk 10 eine Mehrzahl von Knoten 12, 14, 16, 18 und 20 auf. Einer der Knoten kann ein Master-Knoten sein und bestimmte zentrale Verwaltungsfunktionen beispielsweise das Steuern eines allgemeinen Zugriffs auf das Medium liefern. In 1 ist der Knoten 20 als ein Master-Knoten gezeigt. Ferner kann einer der Knoten eine Sicherheitssteuerung aufweisen, um die Steuerung für die AKM-Funktionen zu liefern, die für die Sicherheit erforderlich sind. Die anderen Knoten liefern Punkte, bei denen sich die Client/Gerät-Einheit in das Netzwerk „einklinken” bzw. mit demselben verbinden kann, beispielsweise entweder durch einen drahtgebundenen Zugang wie beispielsweise ein Kabel oder verdrilltes Drahtpaar oder andere Typen von Verdrahtungen oder durch einen drahtlosen Zugang. Dies wird in Folgendem als ein „in Anspruch nehmen” eines Knotens zum Verbinden mit dem Netzwerk bezeichnet. Das in Anspruch nehmen eines Knoten durch eine Client/Gerät-Einheit kann daher drahtgebunden oder drahtlos erfolgen und kann als das Ergebnis eines Authentikations- oder Registrierungsprozesses der Client/Gerät-Einheit mit dem Knoten aufgefasst werden, was ermöglicht, dass die Client/Gerät-Einheit eine Kommunikation unter Verwendung dieses Knotens als Zugang zu dem Netzwerk liefert. Das „in Anspruch nehmen” kann daher beispielsweise eine Verbindung (association) des Clients mit einem Zugangsknoten umfassen, wie es in den unterschiedlichen WLAN-Standards bekannt ist, oder eine drahtgebundene Kommunikation umfassen, bei der eine registrierte Client/Gerät-Einheit über ein Kabel mit dem Knoten kommuniziert usw.
  • Bei herkömmlichen Ansätzen einer Sicherheit eines Heimnetzwerks wird der tatsächliche Verschlüsselungsalgorithmus durch die Knoten angewendet. Die Client/Gerät-Einheit verwendet das System zum Übertragen von Mitteilungen zu anderen Client/Gerät-Einheiten und akzeptiert als einen Dienst das Zusichern einer Vertraulichkeit. Bei derartigen herkömmlichen Netzwerksystemen wie beispielsweise IEEE 802.11-2007 wird die Sicherheit durch die sogenannte Medium-Zugang-Steuerung-Schicht (Medium-Access-Control-Schicht = MAC-Schicht) bzw. Datalink-Schicht in der Datenebene des Kommunikationsprotokolls geliefert.
  • Es sei hierbei bemerkt, dass eine Client/Gerät-Einheit einen erhöhten Sicherheitsgrad durch ein individuelles Verschlüsseln seiner Kommunikationen vor dem übergeben dieser Nutzdaten zu der MAC-Schicht für den Transport erzeugen kann. Ein derartiger Ansatz würde jedoch die Kommunikation mit zusätzlichem Aufwand belasten. Eine Verschlüsselungsmaschine müsste innerhalb der Client/Gerät-Einheit und bei dem Partner an dem fernen Ende der Kommunikationsverbindung bei einem Knoten 14 bereitgestellt werden, wobei die Parameter einer Verschlüsselung mit dem fernen Ende ausgehandelt werden müssten. Mit anderen Worten gesagt, zwei vollständig unterschiedliche Systeme einer Sicherheit würden gleichzeitig verwendet werden.
  • Ein weiterer Ansatz zum Bereitstellen eines erhöhten Sicherheitsgrads während einer Verwendung lediglich der Einrichtungen die durch das Sicherheitssystem des Heimnetzwerks auf einer MAC-Stufe geliefert werden, könnte darin bestehen, dass der Client/Gerät-Einheit ermöglicht wird, einen Wechsel des Schlüssels für die Verschlüsselung, der durch die beiden Knoten verwendet wird, die in die Mehr-Sicherheit-Kommunikation eingebunden sind, auszulösen. Alle anderen Client/Gerät-Einheiten, die dieselbe Verbindung verwenden, werden daher einen erhöhten Schutz erhalten, da ihre Mitteilungen durch den gleichen frischen Schlüssel verschlüsselt werden. Jedes AKM-System kann diesen Ansatz verwenden, da jedes AKM-System einen Mechanismus zum Wechseln von Schlüsseln bereitstellen muss. Im Hinblick auf eine Aufrechterhaltung einer Sicherheit ist es jedoch erforderlich, dass Schlüssel für Verschlüsselungen nicht für zu viele Mitteilungen verwendet werden, da jede Mitteilung ein Material für einen Angreifer bietet, einen Versuch zum „Aufbrechen” eines Schlüssels durchzuführen. Ein neuer Schlüssel ist daher wesentlich schwieriger „aufzubrechen”, da noch kein vorher existierendes Material vorliegt, aufgrund dessen der Angreifer seinen Angriff stützen kann. Ein ernsthafter Nachteil dieses Ansatzes besteht jedoch darin, dass es einen zusätzlichen Versatz beim Einrichten des Kommunikationskanals mit höherer Sicherheit einführt. Das Authentikations-Und-Schlüsselaustausch-Protokoll (Authentikation and Key exchange-Protokoll = AKE-Protokoll) muss vor jeder Übertragung mit höherer Sicherheit durchgeführt werden. Wenn während der Kommunikation ein Wechsel des Knotens oder des Zugangsknotens durchgeführt wird, muss die AKE-Operation erneut durchgeführt werden, was einen zusätzlichen Versatz hinzufügt und selbst die Möglichkeit eines Fehlschlagens, wenn beispielsweise die Sicherheitssteuerung aus bestimmten Gründen nicht verfügbar ist.
  • Ein Ansatz zum Überwinden dieser Nachteile wird bei den nachfolgenden Ausführungsbeispielen beschrieben.
  • Die AKM-Verfahren, die bereits in Verwendung sind, werden auf eine bestimmte Weise modifiziert. Falls die Länge des Schlüssels bei den ursprünglichen Verfahren L ist, wird die Länge gemäß dem erweiterten Verfahren vergrößert, beispielsweise auf die doppelte Länge, das heißt 2L. Dies wird auf jeden Schlüssel zur Verschlüsselung angewendet, der für ein jeweiliges Paar von Knoten verwendet wird. Dies bringt keine zusätzliche Komplexität oder einen zusätzlichen Schritt eines zusätzlichen Verfahrens, sondern lediglich eine Erhöhung einer Schlüssellänge.
  • Wenn die erweiterte Stufe einer Verschlüsselung bei dem erweiterten Verfahren durchgeführt wird, wird die volle Länge des ausgehandelten Schlüssels für die Verschlüsselung verwendet. Daher wird die sensitivere Kommunikation mit einem Schlüssel einer Länge 2L geschützt.
  • Wenn die nicht-erweiterte Stufe der Verschlüsselung bei dem erweiterten Verfahren durchgeführt wird, wird lediglich die erste Hälfte des ausgehandelten Schlüssels für die Verschlüsselung verwendet. Daher bleiben „normale” Kommunikationen durch einen Schlüssel einer Länge L geschützt, was dem ursprünglichen Schutzgrad, der durch das nicht-erweiterte Verfahren geliefert wird, entspricht.
  • Ein Verlangen für eine erweiterte Sicherheit kann in dem normalen Protokoll zum Initialisieren einer Kommunikation zwischen Knoten durch einen neuen Indikator signalisiert werden, der den gewünschten Sicherheitsmode angibt. Bei einigen Ausführungsbeispielen können lediglich zwei Moden existieren. Ein normaler und ein erweiterter Modus. Bei anderen Ausführungsbeispielen können jedoch mehr Moden definiert sein und durch das Verwenden unterschiedlicher Anteile des ursprünglich ausgehandelten Schlüssels implementiert werden. Beispielsweise kann zum Definieren von vier Moden mit zunehmendem Sicherheitsgrad der Normalmodus ein Viertel der vollen Schlüssellänge verwenden, ein erster erweiterter Mode die Hälfte des vollen Schlüssels verwenden, ein zweiter erweiterter Mode drei Viertel des vollen Schlüssels verwenden und der dritte erweiterte Modus den vollen Schlüssel verwenden. Der volle Schlüssel wird zwischen den Knoten und den Diensten der Sicherheitssteuerung lange bevor die erweiterte Kommunikation verlangt wird ausgehandelt und die Länge des vollen Schlüssels ist dabei derart, dass selbst die unterste Stufe der Verschlüsselung, das heißt normal, für die Verwendung in dem Heimnetzwerk annehmbar ist.
  • Bei manchen Ausführungsbeispielen wird der volle Schlüssel für keine der Sicherheitsstufen verwendet werden sondern lediglich Anteile des Schlüssels. Wenn ein Anteil des vollen Schlüssels verwendet wird kann der Schlüssel Teile des vollen Schlüssels verwenden, so dass ein Teil, der in einem Schlüssel verwendet wird, in keinem anderen Schlüssel verwendet wird. Oder mit anderen Worten gesagt, die Schlüssel, die lediglich einen Anteil der Länge des vollen Schlüssels aufweisen, enthalten nicht-überlappende bzw. disjunkte Teile des vollen Schlüssels. Der Schlüssel, der einen Anteil des vollen Schlüssels aufweist, kann in manchen Ausführungsbeispielen einen zusammenhängenden Bereich des vollen Schlüssels umfassen. Beispielsweise kann unter Bezugnahme auf 4a bei einem Ausführungsbeispiel, welches zwei Sicherheitsstufen verwendet, das erste Drittel des vollen Schlüssels für die untere Sicherheitsstufe verwendet werden, während die letzten zwei Drittel für die Sicherheit auf einer höheren Stufe verwendet werden. In 4a zeigt der Teil, der mit „1” bezeichnet ist, den Bereich des Schlüssels an, der für die Sicherheit auf einer unteren Stufe verwendet wird, während der Teil, der mit „2” bezeichnet ist, den Bereich anzeigt, der für die Sicherheit auf einer höheren Stufe verwendet wird. Bei anderen Ausführungsbeispielen kann der Schlüssel mit einem Anteil des vollen Schlüssels aus unterschiedlichen Teilen des vollen Schlüssels bestehen. 4b zeigt ein Ausführungsbeispiel, bei dem das erste 1/6 und das dritte 1/6 für die Sicherheit mit geringerer Stufe verwendet wird, während das zweite 1/6 und das vierte bis sechste 1/6 des vollen Schlüssels für die Sicherheit auf einer höheren Stufe verwendet werden. Obwohl ein Anteil von ein 1/3 des gesamten Schlüssel für den Schlüssel auf der unteren Sicherheitsstufe und ein Anteil von 2/3 des Schlüssels für den Schlüssel der auf der höheren Sicherheitsstufe verwendet werden, sind die Teile, die für den Schlüssel verwendet werden, nicht länger zusammenhängend. Bei manchen Ausführungsbeispielen können die Teile, die zum Erstellen des Schlüssels verwendet werden, nach einer bestimmten Zeit oder wenn eine bestimmte Sicherheitsstufe wiederholt verwendet wird, gewechselt werden.
  • Der oben beschriebene Ansatz liefert unterschiedliche Grade eines Verschlüsselungsschutzes für unterschiedliche Anwendungen und Client. Wenn eine Client/Gerät-Einheit einen Knoten oder Zugangsknoten im Laufe der Kommunikation wechselt, wird gemäß Ausführungsbeispielen ein erhöhter Grad eines Schutzes durch den neuen Knoten geliefert. Dies wird andere Kommunikationen, die durch den Knoten bereitgestellt werden, beeinflussen.
  • Beispielsweise sei angenommen, dass die Client/Gerät-Einheit CE_1 den Knoten 12 für eine vertrauliche Kommunikation mit einem anderen Gerät, welches den Knoten 14 verwendet, verwendet. Mit dem oben beschriebenen Ansatz wird CE_1 bereits eine erweiterte Sicherheit beim Einrichten dieser Kommunikation verlangt haben, so dass der Knoten 12 den Schlüssel mit voller Länge für die Kommunikation mit dem Knoten 14 verwendet. Dies ist in 2 gezeigt. Es sei darauf hingewiesen, dass die Knoten 16 und 20 in 2 nicht gezeigt sind, obwohl dieselben in Ausführungsbeispielen einen Teil des Netzwerkes sein können.
  • Es wird nun angenommen, dass CE_1 von dem Knoten 12 losgelöst bzw. entkoppelt (disengaged) wird (beispielsweise durch ein Herausziehen) und daraufhin den Knoten 18 „in Anspruch nimmt”. Es wird ein Authentikationsverfahren durchgeführt, durch welches jeweils CE_1 und dem Knoten 18 versichert wird, dass eine Verbindung von CE_1 mit dem Knoten 18 erlaubt ist. Dies wird weiter unten näher erläutert. Zusätzlich wird CE_1 dem Knoten 18 anzeigen, dass es für eine Kommunikation den Knoten 14 in Anspruch nimmt, beispielsweise auf einer ersten erweiterten Stufe des Schutzes. Es ist daher erforderlich, dass der Knoten 18 zumindest die erste erweiterte Stufe liefert, in dem ein größer als normaler Anteil des vollen Schlüssels der Verschlüsselung verwendet wird. Diese Situation ist in 3 gezeigt.
  • Es kann jedoch der Fall sein, dass Client/Gerät-Einheit CE_2 bereits den Knoten 18 zum Kommunizieren mit dem Knoten 14 verwendet hat. Falls CE_2 lediglich eine normale Stufe eines Schutzes verwendet hat, wird für dasselbe eine erste erweiterte Stufe geliefert, nachdem CE_1 den Knoten in Anspruch nimmt, da der Knoten 18 mit dem Knoten 14 mit lediglich einer Sicherheitsstufe zu einer bestimmten Zeit kommunizieren kann. Die Verbindung zwischen dem Knoten 18 und dem Knoten 14 kann lediglich einen Schlüssel zu einer bestimmten Zeit verwenden. Andererseits kann es der Fall sein, dass CE_2 bereits den Schutz mit der zweiten erweiterten Stufe für eine Kommunikation mit dem Knoten 14 verwendet hat. In diesem Fall wird CE_1 ein Schutz mit der zweiten erweiterten Stufe geliefert ohne eine Veränderung in dem Verschlüsselungsverhalten des Knoten 18.
  • Unabhängig davon, ob der Knoten 18 auf einer Verbindung die Schlüssellänge, die er verwendet, verändern muss oder nicht, bleibt diese Entscheidung bei Ausführungsbeispielen für CE_1 und CE_2 unsichtbar, da die Verschlüsselung als ein Dienst für dieselben geliefert wird. Für beide wird eine befriedigende Sicherheitsstufe geliefert, vorausgesetzt, dass der Knoten 18 auf der höheren der verlangten Sicherheitsstufen arbeitet.
  • Es ist ferner zu bemerken, dass obwohl die Schlüssellänge für die Kommunikation zwischen dem Knoten 18 und dem Knoten 14 erneut ausgehandelt wird, die Schlüssellänge für jede Kommunikation zwischen dem Knoten 18 und einem anderen Knoten, wie beispielsweise dem Knoten 20, unverändert bleiben kann. Die Sicherheitsstufe ist pro Kommunikationsverbindung (Kommunikationslink), das heilt von Knoten zu Knoten definiert, und nicht pro Knoten.
  • Ebenso wäre ein Zurückfahren der Sicherheitsstufe nicht unbedingt notwendig für die Verbindung zwischen dem Knoten 12 und dem Knoten 14, wenn CE_1 den Knoten 12 verlässt, obwohl das Zurückfahren durchgeführt werden könnte, wenn kein anderes Kommunikationsgerät, das diese Verbindung nützt, eine Sicherheit auf erweiterter Stufe benötigt.
  • Unter Bezugnahme auf die oben beschriebene Authentikation zwischen CE_1 und dem Knoten 18 ist zu bemerken, dass herkömmliche Verfahren einer Heimnetzwerksicherheit nicht derartige Zuordnungen zwischen den auf einer MAC-Stufe angeordneten Knoten und der Client/Gerät-Einheit erfassen können, die generell als Anwendungs-Schicht-Einheiten zu betrachten sind. Beispielsweise werden in Netzwerken gemäß IEEE 802.11-2007 sowohl die Zugangsknoten als auch die drahtlosen Stationen als Einheiten auf einer Stufe der Knoten erkannt, jedoch nicht die Clientanwendungen, die auf den drahtlosen Stationen laufen. Clientanwendungen können beispielsweise eine Anwendung sein zum Senden und Empfangen von Emails, eine Videoanwendung, die Videodaten empfängt, um ein Video auf einem Monitor des Benutzers zu zeigen, usw. Clientanwendungen können durch Identifizierer auf unterschiedlichen Protokollschichten identifiziert werden, wie beispielsweise eine IP-Adresse oder eine Ethernet MAC-Adresse. Bei einer Datenübertragung werden diese Identifizierer in Teilen des Pakets platziert, die normalerweise durch die MAC-Datenebene des Heimnetzwerks gelesen werden. Während einer Steuerungs-Ebene-Transaktion wie es beispielsweise für einen Wechsel eines Knotens durchgeführt werden würde, stellen Ausführungsbeispiele ein MAC-Schicht-Steuerungsebene-System mit der Fähigkeit eines Lesens eines aktuellen Identifizierers der Clientanwendung bereit, wobei derselbe nachfolgend als die „Anwendungs-ID” bezeichnet wird. Die Kombination der Knoten-ID für den neuverbundenen Knoten 18 und die Anwendungs-ID für CE_1 wird daraufhin durch die Sicherungssteuerung aufgrund einer vorhergehend erstellten Liste von genehmigten Kombinationen validiert. Die Anwendungs-ID kann bei Ausführungsbeispielen in einem Kopf (Header) eines jeden gesendeten Datenpakets bereitgestellt sein. Der Kopf wird durch die MAC-Schicht des jeweiligen Knotens analysiert, der den Zugang zu dem Netzwerk liefert, wobei die Sicherheit, die für dieses Datenpaket verwendet wird, basierend auf der in dem Kopf erfassten Anwendungs-ID bestimmt wird.
  • Die Überprüfung und Freigabe von Kombinationen aus Client/Gerät-ID und Knoten-ID ermöglicht zusätzlich, dass die Sicherheitssteuerung eine Steuerung darüber liefern kann, welche Dienste von welchen Knoten geliefert werden. Eine Kombination die durch die Sicherheitssteuerung nicht erlaubt ist, wird nicht fähig sein, inhaltsvolle Informationen auszutauschen.
  • Die oben beschriebene Sicherheit kann bei manchen Ausführungsbeispielen Kommunikationen über die gleiche Verbindung mit unterschiedlichen Sicherheitsstufen ermöglichen. Mit anderen Worten gesagt, existiert nicht nur eine einzelne Sicherheitsstufe für die Kommunikation zwischen zwei Knoten sondern es existieren unterschiedliche Sicherheitsstufen für unterschiedliche Client/Gerät-Einheiten, die gegenwärtig eine bestimmte Verbindung verwenden. Es sei beispielsweise angenommen, dass die Client/Gerät-Einheit CE_1 und CE_2 beide den Knoten 18 in Anspruch nehmen, wie es in 3 gezeigt ist. Wenn die MAC-Schicht-Steuerungsebene bei den Knoten 18 und 14 die Fähigkeit eines Überprüfens der Anwendungs-ID der unterschiedlichen Anwendungen aufweist, kann eine Kommunikation über die Verbindung zwischen den Knoten 18 und 14 derart geliefert werden, dass das Client/Gerät CE_1 eine erste Sicherheitsstufe unter Verwendung beispielsweise eines Schlüssels mit einer ersten Länge verwendet, wobei für das Client/Gerät CE_2, das zu der gleichen Zeit den Knoten 18 in Anspruch nimmt, eine zweite Sicherheitsstufe unter Verwendung eines Schlüssels mit einer zweiten Länge verwendet wird.
  • Die oben beschriebenen Ausführungsbeispiele zum Bereitstellen eines Sicherheitsschutzes können in Netzwerkknoten wie beispielsweise einem drahtgebundenem Modem, einem Benutzergerät, drahtlosen Zugangsknoten usw. implementiert werden.

Claims (21)

  1. Verfahren mit folgenden Schritten: Bereitstellen einer ersten Sicherheitsstufe für eine erste Verbindung zwischen einem ersten Knoten und einem zweiten Knoten eines Netzwerks; und Umschalten zu einer zweiten Sicherheitsstufe für die erste Verbindung, wobei die zweite Sicherheitsstufe eine höhere Sicherheit für die erste Verbindung liefert, wobei das Verfahren ferner folgende Schritte aufweist: Aufteilen eines zwischen dem ersten und zweiten Knoten ausgehandelten Schlüssels, wobei in der ersten Sicherheitsstufe ein erster Schlüssel verwendet wird, wobei der erste Schlüssel zumindest einen Abschnitt des ausgehandelten Schlüssels aufweist und wobei in der zweiten Sicherheitsstufe ein neuer Schlüssel verwendet wird, wobei der neue Schlüssel zumindest einen weiteren Abschnitt des ausgehandelten Schlüssels aufweist, wobei der neue Schlüssel eine größere Länge als der erste Schlüssel aufweist, wobei das Erzeugen des neuen Schlüssels ohne weiteres Austauschen von schlüsselbezogenen Informationen zwischen dem ersten und zweiten Knoten bereitgestellt wird.
  2. Verfahren gemäß Anspruch 1, wobei die erste und zweite Sicherheitsstufe auf einer Verschlüsselungskodierung mit einem Schlüssel basiert.
  3. Verfahren gemäß Anspruch 1 oder 2, wobei das Netzwerk ein Heimnetzwerk ist.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, wobei bei dem ersten und zweiten Knoten das Bereitstellen der Sicherheit in einer MAC-Schicht implementiert ist.
  5. Verfahren gemäß einem der Ansprüche 1 bis 4, wobei die Sicherheitsstufen basierend auf einer Clienteinheit oder Geräteeinheit ausgewählt werden, die die Daten über den ersten Knoten zu dem zweiten Knoten sendet.
  6. Verfahren gemäß Anspruch 5, wobei die Clienteinheit eine Clientanwendung und die Geräteeinheit ein Kommunikationsgerät darstellt.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, wobei das Umschalten von der ersten zu der zweiten Sicherheitsstufe dadurch ausgelöst wird, dass eine neue Clienteinheit oder Geräteeinheit den ersten Knoten in Anspruch nimmt, wobei die neue Clienteinheit oder Geräteeinheit einen höheren Sicherheitsschutz als die erste Sicherheitsstufe verlangt.
  8. Verfahren gemäß Anspruch 7, wobei nachdem die neue Clienteinheit oder Geräteeinheit den ersten Knoten nicht mehr in Anspruch nimmt, eine Entscheidung durchgeführt wird, ob die zweite Sicherheitsstufe aufrechterhalten wird.
  9. Verfahren gemäß einem der Ansprüche 1 bis 8, wobei das Verfahren ferner folgende Schritte aufweist: Umschalten eines Sicherheitsmechanismus für die erste Verbindung zu einem Sicherheitsmechanismus, der mehr als zwei Sicherheitsstufen aufweist, wobei jede der mehr als zwei Sicherheitsstufen einen unterschiedlichen Anteil eines zwischen dem ersten und zweiten Knoten ausgetauschten Schlüssels verwendet.
  10. Verfahren gemäß einem der Ansprüche 1 bis 9, wobei die zweite Sicherheitsstufe für eine Clienteinheit oder Geräteeinheit geliefert wird, die den ersten Knoten in Anspruch nimmt, wobei das Verfahren ferner folgende Schritte aufweist: Inanspruchnehmen eines dritten Knoten durch die Clienteinheit oder Geräteinheit; Bereitstellen einer neuen Verbindung, die zum Übertragen von Daten der Clienteinheit oder Geräteeinheit verwendet wird, wobei die neue Verbindung zwischen dem ersten Knoten und einem weiteren Knoten bereitgestellt wird; und falls die neue Verbindung, die durch die Clienteinheit oder Geräteeinheit verwendet wird, eine Sicherheitsstufe aufweist, die geringer als die zweite Sicherheitsstufe ist, automatisches Bereitstellen der zweiten Sicherheitsstufe oder einer höheren Sicherheitsstufe für die neue Verbindung.
  11. Verfahren gemäß einem der Ansprüche 1 bis 10, wobei eine Sicherheitssteuerung ermöglicht, dass Daten für Clienteinheiten oder Geräteeinheiten basierend auf einer Liste von zugelassenen Kombinationen übertragen werden, wobei die Liste von zugelassenen Kombinationen anzeigt, ob eine Kombination einer Clienteinheit oder Geräteeinheit mit einem Knoten des Netzwerks zugelassen ist.
  12. Verfahren gemäß einem der Ansprüche 1 bis 11, wobei der Knoten ein drahtloser Zugangsknoten, ein drahtloser Knoten oder eine Gerätestation ist; und wobei die Clienteinheit eine drahtlose Clientstation oder eine verdrahtete Clientstation, und wobei die Geräteeinheit ein drahtloses Benutzergerät oder ein verdrahtetes Benutzergerät ist.
  13. Verfahren mit folgenden Schritten: Bereitstellen von mehreren Stufen einer Sicherheit für eine Kommunikation zwischen Knoten in einem Netzwerk; Auswählen für eine Kommunikationsverbindung zwischen einem ersten und zweiten Knoten des Netzwerkes einer Sicherheitsstufe aus den mehreren Sicherheitsstufen zum Übertragen von ersten Daten, die durch eine Clientanwendung zu dem ersten Knoten und über den ersten Knoten zu dem zweiten Knoten übertragen werden, wobei das Auswählen der Sicherheitsstufe abhängig von der Clientanwendung ist, wobei jede der mehreren Sicherheitsstufen einen unterschiedlichen Anteil eines zwischen dem ersten und zweiten Knoten ausgetauschten Schlüssels verwendet.
  14. Verfahren gemäß Anspruch 13, wobei das Auswählen der Sicherheitsstufe ein Analysieren eines Identifizierers eines Datenpakets umfasst, wobei der Identifizierer die Clientanwendung anzeigt.
  15. Verfahren gemäß Anspruch 14, wobei das Auswählen der Sicherheitsstufe auf einer MAC-Schicht durchgeführt wird, die bei dem ersten Knoten implementiert ist, wobei das Verfahren ferner ein Analysieren auf der MAC-Schicht eines Identifizierers umfasst, der die Clientanwendung anzeigt.
  16. Verfahren gemäß einem der Ansprüche 13 bis 15, wobei das Verfahren ferner folgende Schritte aufweist: Analysieren von Kopfinformationen für ein Datenpaket, das durch eine Clienteinheit gesendet wird, die dem ersten Knoten zugeordnet ist, wobei die Kopfinformationen einen Identifizierer der Clientanwendung umfassen; und Auswählen einer Sicherheitsstufe, die für das Datenpaket zum Übertragen zwischen dem ersten und zweiten Knoten verwendet wird, basierend auf dem Identifizierer.
  17. Verfahren gemäß einem der Ansprüche 13 bis 16, wobei die Clientanwendung eine erste Clientanwendung ist, wobei das Verfahren ferner ein Auswählen für die Verbindung zwischen dem ersten und zweiten Knoten einer Sicherheitsstufe aus der Mehrzahl von Sicherheitsstufen zum Übertragen von zweiten Daten umfasst, die durch eine zweite Clientanwendung über den ersten Knoten zu dem zweiten Knoten gesendet werden, wobei das Auswählen der Sicherheitsstufe auf einer Identifizierung der zweiten Clientanwendung basiert, wobei das Verfahren ferner folgende Schritte aufweist: Aushandeln eines Schlüssels zwischen dem ersten und dem zweiten Knoten; und Auswählen eines ersten Schlüssels, der eine erste Länge aufweist für die erste Sicherheitsstufe, wobei der erste Schlüssel auf dem ausgehandelten Schlüssel basiert; und Auswählen eines zweiten Schlüssels, der eine zweite Länge aufweist, die sich von der ersten Länge unterscheidet, für die zweite Sicherheitsstufe, wobei der zweite Schlüssel auf dem ausgehandelten Schlüssel basiert.
  18. Verfahren gemäß Anspruch 17, wobei der erste und zweite Schlüssel ausgewählt werden, so dass dieselben auf disjunkten Abschnitten des ausgehandelten Schlüssels basieren.
  19. Verfahren gemäß Anspruch 18, wobei der erste und zweite Schlüssel Abschnitte des ausgehandelten Schlüssels aufweisen.
  20. Verfahren gemäß einem der Ansprüche 13 bis 19, wobei das Verfahren ferner folgende Schritte aufweist: Automatisches Umschalten von einem zweiten Sicherheitsbetriebsmodus, der eine zweite Sicherheitsstufe für eine Verbindung zwischen einem ersten Knoten und zweiten Knoten liefert auf einen ersten Sicherheitsbetriebsmodus, der eine erste Sicherheitsstufe für die Verbindung liefert, die höher als die zweite Sicherheitsstufe ist, wobei das automatische Umschalten durchgeführt wird, wenn eine Clientanwendung, die vorhergehend Daten mit der ersten Sicherheitsstufe über eine unterschiedliche Verbindung des Netzwerks gesendet hat, den ersten oder zweiten Knoten der Verbindung in Anspruch nimmt.
  21. Netzwerkkommunikationssystem, wobei das Netzwerkkommunikationssystem konfiguriert ist, um mehrere Stufen einer Sicherheit für eine Kommunikationsverbindung zwischen einem ersten Knoten und einem zweiten Knoten eines Netzwerks zu liefern, wobei das System ferner konfiguriert ist, um eine erste Sicherheitsstufe der Mehrzahl von Sicherheitsstufen zum Übertragen von ersten Daten, die durch einen erste Clienteinheit oder erste Geräteeinheit über den ersten Knoten zu dem zweiten Knoten gesendet werden, auszuwählen, und wobei das System konfiguriert ist, um eine zweite Sicherheitsstufe aus der Mehrzahl von Sicherheitsstufen zum Übertragen von zweiten Daten auszuwählen, die durch eine zweite Clienteinheit oder zweite Geräteeinheit über den ersten Knoten zu dem zweiten Knoten gesendet werden, wobei sich die zweite Sicherheitsstufe von der ersten Sicherheitsstufe unterscheidet, wobei in der ersten Sicherheitsstufe ein erster Schlüssel verwendet wird, wobei der erste Schlüssel zumindest einem Abschnitt eines zwischen dem ersten und zweiten Knoten ausgehandelten Schlüssels aufweist und wobei in der zweiten Sicherheitsstufe ein neuer Schlüssel verwendet wird, wobei der neue Schlüssel zumindest einen weiteren Abschnitt des ausgehandelten Schlüssels aufweist, wobei der neue Schlüssel eine größere Länge als der erste Schlüssel aufweist, wobei das Erzeugen des neuen Schlüssels ohne weiteres Austauschen von schlüsselbezogenen Informationen zwischen dem ersten und zweiten Knoten bereitgestellt wird.
DE102009032465.8A 2008-07-16 2009-07-09 Sicherheit in Netzwerken Expired - Fee Related DE102009032465B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US8104908P 2008-07-16 2008-07-16
US61/081,049 2008-07-16

Publications (2)

Publication Number Publication Date
DE102009032465A1 DE102009032465A1 (de) 2010-01-28
DE102009032465B4 true DE102009032465B4 (de) 2016-10-13

Family

ID=41428942

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102009032466.6A Expired - Fee Related DE102009032466B4 (de) 2008-07-16 2009-07-09 Sicherheit in Netzwerken
DE102009032465.8A Expired - Fee Related DE102009032465B4 (de) 2008-07-16 2009-07-09 Sicherheit in Netzwerken

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE102009032466.6A Expired - Fee Related DE102009032466B4 (de) 2008-07-16 2009-07-09 Sicherheit in Netzwerken

Country Status (2)

Country Link
US (2) US8677475B2 (de)
DE (2) DE102009032466B4 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8659398B2 (en) * 2009-03-13 2014-02-25 Tyco Safety Products Canada Ltd. System and method for buffered wireless device enrollment in a security system
WO2011113873A1 (en) * 2010-03-17 2011-09-22 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for srns relocation
US8832049B2 (en) * 2010-07-09 2014-09-09 Bank Of America Corporation Monitoring communications
JP5685150B2 (ja) * 2011-06-08 2015-03-18 キヤノン株式会社 電子機器及びその制御方法
US10044683B2 (en) * 2013-07-19 2018-08-07 Sony Corporation Content transmission and reception device compatible to switch to a new encryption scheme
EP3627755A1 (de) * 2018-09-18 2020-03-25 Siemens Aktiengesellschaft Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050097357A1 (en) * 2003-10-29 2005-05-05 Smith Michael R. Method and apparatus for providing network security using security labeling
GB2411554A (en) * 2004-02-24 2005-08-31 Toshiba Res Europ Ltd Selecting encryption methods for secure transmission
US20050257052A1 (en) * 2004-04-28 2005-11-17 Ntt Docomo, Inc. Mobile station and communication control method
EP1773078A1 (de) * 2005-10-04 2007-04-11 Swisscom Mobile AG Verfahren zur Anpassung der Sicherheitseinstellungen einer Kommunikationsstation, Kommunikationsstation und Identifizierungsmodul
JP2008028807A (ja) * 2006-07-24 2008-02-07 Showa Information Systems Co Ltd 暗号化通信システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
JP3080382B2 (ja) * 1990-02-21 2000-08-28 株式会社日立製作所 暗号通信システム
US5819091A (en) 1994-12-22 1998-10-06 Arendt; James Wendell User level control of degree of client-side processing
US6223285B1 (en) * 1997-10-24 2001-04-24 Sony Corporation Of Japan Method and system for transferring information using an encryption mode indicator
CA2404550C (en) * 2001-09-21 2010-02-09 Corel Corporation System and method for web services packaging
PL370109A1 (en) * 2001-10-24 2005-05-16 The Fantastic Corporation Methods for multicasting content
BRPI0509538B1 (pt) * 2004-04-02 2019-01-15 Blackberry Ltd método, sinal digital, portadora, e primeiro sistema para estabelecer um percurso de comunicação bidirecional
US20060026680A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
US7636842B2 (en) * 2005-01-10 2009-12-22 Interdigital Technology Corporation System and method for providing variable security level in a wireless communication system
EP1848174B1 (de) * 2006-04-18 2016-11-02 BlackBerry Limited Sicherheitskontrolle in einem Kommunikationssystem
US7650390B2 (en) * 2006-06-01 2010-01-19 Roam Data Inc System and method for playing rich internet applications in remote computing devices
US7917963B2 (en) * 2006-08-09 2011-03-29 Antenna Vaultus, Inc. System for providing mobile data security
KR100770914B1 (ko) * 2006-09-11 2007-10-26 삼성전자주식회사 비접촉식 근거리통신의 피어투피어 통신 방법
US8024788B2 (en) 2007-05-31 2011-09-20 The Boeing Company Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050097357A1 (en) * 2003-10-29 2005-05-05 Smith Michael R. Method and apparatus for providing network security using security labeling
GB2411554A (en) * 2004-02-24 2005-08-31 Toshiba Res Europ Ltd Selecting encryption methods for secure transmission
US20050257052A1 (en) * 2004-04-28 2005-11-17 Ntt Docomo, Inc. Mobile station and communication control method
EP1773078A1 (de) * 2005-10-04 2007-04-11 Swisscom Mobile AG Verfahren zur Anpassung der Sicherheitseinstellungen einer Kommunikationsstation, Kommunikationsstation und Identifizierungsmodul
JP2008028807A (ja) * 2006-07-24 2008-02-07 Showa Information Systems Co Ltd 暗号化通信システム

Also Published As

Publication number Publication date
DE102009032466B4 (de) 2017-03-02
US8677475B2 (en) 2014-03-18
US20100017871A1 (en) 2010-01-21
DE102009032466A1 (de) 2010-01-28
US20100017595A1 (en) 2010-01-21
US8621599B2 (en) 2013-12-31
DE102009032465A1 (de) 2010-01-28

Similar Documents

Publication Publication Date Title
DE602005000943T2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Inhalten mit Urheberschutz
DE60317123T2 (de) Verfahren zur Sicherung von Kommunikation über ein Netzwerk
DE60037593T2 (de) Gesichertes ad hoc netzwerk sowie verfahren zu dessen betreiben
DE60124765T2 (de) Verfahren und vorrichtung zur verwaltung von sicherheitssensiblen kollaborativen transaktionen
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE102009032465B4 (de) Sicherheit in Netzwerken
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE102009037469A1 (de) Aktualisierung und Verteilung von Verschlüsselungsschlüsseln
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
EP0903027B1 (de) Verfahren zum gruppenbasierten kryptographischen schlüsselmanagement zwischen einer ersten computereinheit und gruppencomputereinheiten
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
EP1847092A1 (de) Verfahren zur aufschaltung auf verschlüsselte kommunikationsverbindungen in einem paketorientierten netzwerk
DE102006003167B3 (de) Sichere Echtzeit-Kommunikation
EP3312998B1 (de) Powerline-modul und verfahren zur kommunikation unter verwendung von powerline communication sowie entsprechende kommunikationseinheit und system
DE19518546C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N
EP3955511B1 (de) Gesicherte datenübertragung innerhalb eines qkd-netzwerkknotens
EP3669508B1 (de) Geschützte nachrichtenübertragung
DE60015942T2 (de) Kommunikationsverwaltungstabellen-Übertragungssystem, Verwaltungsvorrichtung, Verschlüssler und Kommunikationsverwaltungstabellen-Übertragungsverfahren
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee