DE102006003167B3 - Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model - Google Patents
Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model Download PDFInfo
- Publication number
- DE102006003167B3 DE102006003167B3 DE200610003167 DE102006003167A DE102006003167B3 DE 102006003167 B3 DE102006003167 B3 DE 102006003167B3 DE 200610003167 DE200610003167 DE 200610003167 DE 102006003167 A DE102006003167 A DE 102006003167A DE 102006003167 B3 DE102006003167 B3 DE 102006003167B3
- Authority
- DE
- Germany
- Prior art keywords
- real
- time communication
- key material
- data
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
Die Erfindung betrifft ein Verfahren zum Sichern einer Echtzeit-Kommunikation zwischen Teilnehmern in einem informationsverarbeitenden System, insbesondere einem Automatisierungssystem, gegen sicherheitsrelevante Angriffe.The The invention relates to a method for securing real-time communication between participants in an information processing system, in particular an automation system, against safety-relevant Attacks.
Weiterhin betrifft die Erfindung ein sicheres Echtzeit-Kommunikationssystem, die Verwendung eines solchen Kommunikationssystems, ein Verfahren zum Steuern einer Anlage mit mehreren untereinander in Echtzeit kommunizierenden Funktionseinheiten sowie ein Computerprogrammprodukt.Farther the invention relates to a secure real-time communication system, the use of such a communication system, a method to control a plant with several in real time communicating functional units and a computer program product.
Stand der TechnikState of technology
In der Automatisierungstechnik dringen Ethernet- und IP-Kommunikation zunehmend bis in die Automatisierungszellen, d.h. bis auf Feldbus-Ebene vor. Damit werden die für andere Netzwerk-Ebenen bekannten Sicherheitsbedrohungen durch gezielte Angriffe über Netzwerkverbindungen auch für die Feldebene relevant. Derartige Angriffe umfassen beispielsweise das Verfälschen übertragener Daten, das Einspeisen gefälschter Daten, das Wiederholen bereits gesendeter Daten (Replay-Attacke) sowie das Abhören von Daten. Andererseits unterliegt insbesondere in der Automatisierungstechnik die Kommunikation zwischen einzelnen Teilnehmern eines Kommunikationsnetzes strengen Echtzeit-Anforderungen. Aus dem Stand der Technik bekannte Geräte zur Sicherung von Netzwerk-Bereichen gegen die vorstehend aufgeführten Angriffe, wie Software basierte Firewalls oder IPSec-Router, sind für die Automatisierungstechnik an sich nur bedingt und für eine Echtzeit Kommunikation in der Automatisierungstechnik nicht geeignet, da es im Zuge ihrer Verwendung bei der Übertragung von Datenströmen (mit einer Vielzahl von Datenpaketen) zu inakzeptabel langen und darüber hinaus nicht deterministischen Paket-Durchlaufzeiten kommt.In Automation technology is penetrating Ethernet and IP communication increasingly into the automation cells, i. down to fieldbus level in front. This will be the for other network levels well-known security threats through targeted Attacks over Network connections also for the field level relevant. Such attacks include, for example corrupting transmitted Data, feeding fake Data, the repetition of already sent data (replay attack) and the monitor of data. On the other hand, especially in automation technology subject Communication between individual subscribers of a communication network strict real-time requirements. From the prior art known devices for securing of network areas against the attacks listed above, Such as software based firewalls or IPSec routers, are for automation technology in itself only conditionally and for Real-time communication in automation technology is not suitable as it is in the course of their use in transmission of data streams (with a variety of data packets) too unacceptably long and about that In addition, non-deterministic packet transit times come.
Aus dem Stand der Technik bekannte Sicherheits-Mittel für Netzwerk-Kommunikation setzen regelmäßig auf der dritten Ebene oder noch höheren Ebenen des OSI-Models (Open Systems Interconnection Reference Model) auf, sodass – wie gesagt – eine Echtzeit-Fähigkeit, insbesondere für den Einsatz in der Automatisierungstechnik, wie zur Anlagensteuerung oder dergleichen, nicht gegeben ist.Out known in the art security means for network communication set up regularly the third level or even higher levels of the Open Systems Interconnection Reference Model (OSI) model, so - how said - one Real-time capability, especially for the use in automation technology, as for plant control or the like, is not given.
Beispielsweise
offenbart die US 2002/0042270 A1 ein Funk-Kommunikationssystem, welches auf der
zweiten Ebene des OSI-Models
aufsetzt und eine verschlüsselte
Kommunikation bereitstellt. Die WO 02/23853 A2 offenbart ein Hardware implementiertes
Verfahren, um zeitkritische Operationen auf einer MAC-Ebene durchzuführen. Die
WO 03/009521 A1 beschreibt ein System, welches auf der zweiten Ebene
des OSI-Models basierend eine Datenquellen-Adressen-Änderung
vornimmt, über welche
die Sicherheit einer Datenquelle gekennzeichnet werden kann. Die
Patentschrift
Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren anzugeben, mit dem die Echtzeit fähige Absicherung von Datenübertragungen in Kommunikationsnetzen erreichbar ist.Of the The invention is based on the object of specifying a method with the real-time capable hedge of data transmissions can be reached in communication networks.
Weiterhin liegt der Erfindung die Aufgabe zu Grunde, ein sicheres Echtzeit-Kommunikationssystem anzugeben, mit dem das erfindungsgemäße Verfahren unter Vermeidung der vorstehend aufgeführten Nachteile des Standes der Technik durchführbar ist. Darüber hinaus liegt der Erfindung die Aufgabe zu Grunde, ein Verfahren zum Steuern einer Anlage mit mehreren, untereinander in Echtzeit kommunizierenden Funktionseinheiten anzugeben, das ebenfalls eine Absicherung der Echtzeit-Kommunikation zwischen den Funktionseinheiten ermöglicht.Farther the invention is based on the object, a secure real-time communication system specify, with the inventive method while avoiding those listed above Disadvantages of the prior art is feasible. Furthermore The invention is based on the object, a method for controlling a system with several communicating with each other in real time Specify functional units, which is also a hedge of Real-time communication between the functional units.
Die Aufgabe wird einerseits gelöst durch ein Verfahren zum Sichern einer Echtzeit-Kommunikation zwischen Teilnehmern in einem informationsverarbeitenden System, insbesondere einem Automatisierungssystem, gegen sicherheitsrelevante Angriffe, bei denen die Sicherung durch wenigstens einen Sicherungs-Mittels auf Verbindungsebene, d.h. Layer 2 des OSI-Models erfolgt. In diesem Zusammenhang umfasst die Bezeichnung „Siche rungs-Mittel" insbesondere softwaretechnisch ausgebildete Mittel in Form von Protokollen, Algorithmen, Prozeduren oder dergleichen. Bei dem informationsverarbeitenden System kann es sich beispielsweise um ein Computernetz handeln.The Task is solved on the one hand by a method for securing a real-time communication between Participants in an information processing system, in particular an automation system against security-related attacks which are the backups by at least one connection-level security means, i.e. Layer 2 of the OSI model takes place. In this context includes the term "hedging means" in particular software technology trained resources in the form of protocols, algorithms, procedures or similar. In the information processing system can it may be, for example, a computer network.
Die Aufgabe wird weiterhin durch ein sicheres Echtzeit-Kommunikationssystem gelöst, welches aufweist: eine Anzahl von Teilnehmern, die ein Echtzeit-Kommunikationsnetz bilden, wobei mindestens zwei Teilnehmer die Endknoten einer Kommunikationsstrecke bilden, und wenigstens ein Sicherungs-Mittel, das zum Sichern der Echtzeit-Kommunikation zwischen den Endknoten ausgebildet ist, wobei das Sicherungs-Mittel auf einer Verbindungsebene, d.h. Layer 2 des OSI-Models, des Kommunikationsnetzes wirksam ist.The Task will continue through a secure real-time communication system solved, which comprises: a number of subscribers providing a real-time communication network form, wherein at least two participants the end nodes of a communication link form and at least one backup means for securing the Real-time communication is formed between the end nodes, wherein the backup means at a link level, i. Layer 2 of the OSI models, the communication network is effective.
Die Aufgabe wird auch gelöst durch ein Verfahren zum Steuern einer Anlage mit mehreren Funktionseinheiten, wobei die Funktionseinheiten untereinander in Echtzeit kommunizieren und ein informationsverarbeitendes System bilden, wobei zum Absichern der Echtzeit-Kommunikation zwischen den Funktionseinheiten ein erfindungsgemäßes Verfahren zum Sichern der Echtzeit-Kommunikation zum Einsatz kommt.The object is also achieved by a method for controlling a system with multiple radio tion units, wherein the functional units communicate with each other in real time and form an information-processing system, wherein an inventive method for securing the real-time communication is used to secure the real-time communication between the functional units.
Schließlich wird die Aufgabe auch gelöst durch ein Computerprogrammprodukt mit Programmcode-Sequenzen zur Verwendung mit einem Echtzeit-Kommunikationssystem mit mehreren Teilnehmern, wobei die Programmcode-Sequenzen zur Durchführung eines erfindungsgemäßen Verfahrens zum Sichern einer Echtzeit-Kommunikation ausgebildet sind.Finally will the task also solved by a computer program product having program code sequences for use with a real-time communication system with multiple subscribers, wherein the program code sequences for carrying out a method according to the invention for Securing a real-time communication are formed.
Auf diese Weise ist es nunmehr erfindungsgemäß möglich, vorbekannte Verfahren für die Echtzeit-Kommunikation auf OSI-Ebene 2, wie das von der Anmelderin im Rahmen von PROFINET IO standardisierte, auf Ethernet basierende "Isochronous Real Time"-Verfahren (IRT) gegen sicherheitsrelevante Angriffe abzusichern.On This way, it is now possible according to the invention, prior art methods for the Real-time communication at OSI level 2, as standardized by the applicant within the framework of PROFINET IO, Ethernet based "Isochronous Real Time "method (IRT) against security-related attacks.
Nach einer Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass wenigstens eines der folgenden Sicherungs-Mittel zum Sichern der Echtzeit-Kommunikation eingesetzt wird:
- a) Message Authentication Codes (MAC), insbesondere auf einer kryptographischen Hash-Funktion basierende MACs (HMACs), d.h. Mittel zur Sicherung der Datenintegrität und zur Authentifizierung. Hierbei können insbesondere HMAC-SHA, HMAC-MD5 oder vergleichbare Mittel zum Einsatz kommen, die dem Fachmann an sich bekannt sind.
- b) Datenverschlüsselungs-Algorithmen, insbesondere DES, 3DES, AES, ECC oder dergleichen. Um häufige Schlüsselwechsel zu vermeiden, ist es insbesondere sinnvoll, starke Verschlüsselungsalgorithmen, wie zum Beispiel AES oder ECC, zu verwenden. Die Verschlüsselung ist erfindungsgemäß optional, d.h. ein Daten-Telegramm kann auch unverschlüsselt (nur über MAC gesichert) übertragen werden.
- c) Mittel (wie z.B. Sequenzzähler) zur Vermeidung von Replay-Attacken.
- a) Message Authentication Codes (MAC), in particular on a cryptographic hash function based MACs (HMACs), ie means for securing data integrity and authentication. In particular, HMAC-SHA, HMAC-MD5 or comparable agents which are known per se to the person skilled in the art can be used.
- b) Data encryption algorithms, in particular DES, 3DES, AES, ECC or the like. In order to avoid frequent key changes, it is particularly useful to use strong encryption algorithms, such as AES or ECC. According to the invention, the encryption is optional, ie a data telegram can also be transmitted unencrypted (only secured via MAC).
- c) means (such as sequence counter) to avoid replay attacks.
Im Zuge einer entsprechenden Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems ist dementsprechend vorgesehen, dass das wenigstens eine Sicherungs-Mittel aus der folgenden Menge von Sicherungs-Mitteln ausgewählt ist:
- a) Message Authentication Codes (MAC), insbesondere auf einer kryptographischen Hash-Funktion basierende MACs (HMACs);
- b) Datenverschlüsselungs-Algorithmen, insbesondere DES, 3DES, AES, ECC;
- c) Mittel (wie z.B. Sequenzzähler) zur Vermeidung von Replay-Attacken.
- a) Message Authentication Codes (MAC), in particular on a cryptographic hash function based MACs (HMACs);
- b) data encryption algorithms, in particular DES, 3DES, AES, ECC;
- c) means (such as sequence counter) to avoid replay attacks.
Die Realisierung der auf einen Kommunikations-Datenstrom anzuwendenden Sicherheits-Algorithmen (Sicherungs-Mittel) zur Sicherung der Kommunikation, beispielsweise in einem IRT-Teilnehmer (IRT-Producer bzw. IRT-Consumer), erfolgt erfindungsgemäß durch Sicherung von Kommunikationsstrecken zwischen Endteilnehmern (Endknoten). Bekannte Security-Gateways, wie zum Beispiel IPSec-Router, sind aus den weiter oben bereits genannten Gründen im Echtzeit-Bereich nicht sinnvoll einsetzbar. Daher sieht eine Weiterbildung des erfindungsgemäßen Verfahrens vor, dass die Sicherungs-Mittel direkt auf den Endteilnehmern zu sichernder Kommunikationsstrecken implementiert sind und von diesen auf einen Kommunikations-Datenstrom angewendet werden. Dementsprechend ist im Rahmen einer weiteren Ausgestaltung des erfindungsgemäßen Echtzeit-Kommunikationssystems vorgesehen, dass die Sicherungs-Mittel wenigstens auf den Endknoten einer Kommunikationsstrecke direkt implementiert sind und dass die Endknoten zum Anwenden der Sicherungs-Mittel auf einen zu sichernden Kommunikations-Datenstrom ausgebildet sind.The Realization of applying to a communication stream Security algorithms (security means) for securing the communication, for example in an IRT participant (IRT producer or IRT consumer), according to the invention by securing communication links between end users (end nodes). Well-known security gateways, such as IPSec routers, are already out of the above mentioned reasons not useful in the real-time domain. Therefore, one sees Further development of the method according to the invention Before that, the backup funds go directly to the end users too secure communication links are implemented and of these to a communication stream be applied. Accordingly, in the context of another Design of the real-time communication system according to the invention provided, in that the securing means are at least at the end node of a communication link are implemented directly and that the end nodes to apply the Backup means are formed on a secure communication data stream.
Grundsätzlich können dabei auch weiterleitende Knoten mit in die Sicherung des Kommunikations-Datenstroms einbezogen werden. Hierfür ist in Weiterbildung des erfindungsgemäßen Verfahrens vorgesehen, dass die Sicherungs-Mittel auch auf weiterleitenden Knoten des informationsverarbeitenden Systems implementiert werden und dass die weiterleitenden Knoten eine zu sichernde Kommunikationsstrecke zwischen Endteilnehmern terminieren und nach Anwendung der Sicherungs-Mittel auf dem Kommunikations-Datenstrom wieder neu aufbauen. Eine dementsprechende Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems sieht vor, dass die Sicherungs-Mittel auf weiterleitenden Knoten des Kommunikationsnetzes implementiert sind und dass die weiterleitenden Knoten zum Terminieren einer Kommunikationsstrecke zwischen Endknoten, zum Anwenden der Sicherungs-Mittel auf einen zu sichernden Datenstrom und zum erneuten Aufbauen der Kommunikationsstrecke ausgebildet sind. Gegenüber einer Implementierung der Sicherungs-Mittel nur auf den Endteilnehmern einer Kommunikationsstrecke erfordert der letztgenannte Ansatz jedoch einen höheren Aufwand bei der Verteilung und Verwaltung von benötigtem Schlüsselmaterial, worauf weiter unten noch detailliert eingegangen wird.Basically you can do that also forwarding nodes with in the backup of the communication data stream be included. Therefor is provided in development of the method according to the invention, that the backup means also on forwarding nodes of the information processing Systems are implemented and that the forwarding nodes a communication link to be secured between end users and after application of the backup resources on the communication stream Rebuild again. A corresponding development of the real-time communication system according to the invention sees before that the backup means on forwarding nodes of the communication network are implemented and that the forwarding nodes for scheduling a communication link between end nodes, for applying the Backup means to a data stream to be backed up and to renew Building the communication path are formed. Opposite one Implementation of the backup funds only on the end users However, a communication route requires the latter approach a higher one Effort in the distribution and management of key material needed, which will be discussed in detail below.
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass Sicherheitsinformationen für die Sicherungs-Mittel als Teil von Nutzdaten eines Datenrahmens übertragen werden. In diesem Kontext zeichnet sich eine bevorzugte Weiterbildung des erfindungsgemäßen Echtzeit-Kommunika tionssystems dadurch aus, dass die Teilnehmer zum Übertragen von Datenrahmen ausgebildet sind, die in einem Nutzdaten-Feld zusätzlich für die Sicherungs-Mittel benötigte Sicherheitsinformationen enthalten. Auf diese Weise ist es insbesondere möglich, den äußeren Aufbau vorbekannter, standardisierter Datenrahmen aus Kompatibilitätsgründen beizubehalten. Durch die eingefügten Sicherheitsinformationen verringert sich die übertragbare Nutzdatenmenge pro Datenrahmen nur geringfügig, sodass mit diesem Ansatz keine ernsthaften Nachteile verbunden sind. In Weiterbildung dieses Ansatzes können die Nutzdaten entweder unverschlüsselt oder – zur Erhöhung der Absicherung – alternativ auch verschlüsselt übertragen werden.A preferred embodiment of the method according to the invention provides that security information for the backup means is transmitted as part of payload data of a data frame the. In this context, a preferred development of the real-time communication system according to the invention is characterized in that the subscribers are designed to transmit data frames which additionally contain security information required for the backup means in a payload data field. In this way, it is possible in particular to maintain the external structure of previously known, standardized data frames for reasons of compatibility. The added security information reduces the amount of usable payload per data frame only slightly, so there are no serious drawbacks to this approach. In development of this approach, the user data either unencrypted or - to increase the security - alternatively encrypted.
Nach einer äußerst bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass für die gesicherte Echtzeit-Kommunikation benötigtes Schlüsselmaterial in einer separaten Einrichtung erzeugt und verwaltet und durch ein sicheres Übertragungsverfahren auf die einzelnen Teilnehmer übertragen wird. Dabei kann es sich bei dem sicheren Übertragungsverfahren um ein Offline- oder ein Online-Übertragungsverfahren handeln. Ein bevorzugtes Beispiel für ein sicheres Online-Übertragungsverfahren ist HTTPs. Eine entsprechende Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems sieht vor, dass dieses eine separate Einrichtung aufweist, die zum Erzeugen und Verwalten von Schlüsselmaterial und zum Übertragen des Schlüsselmaterials an die Teilnehmer des Kommunikationsnetzes ausgebildet ist.To a very preferred Further development of the method according to the invention is provided for that the secure real-time communication needed key material in a separate facility generated and managed and by a secure transmission method on the transferred to individual participants becomes. It may be in the secure transmission method to a Offline or online transfer act. A preferred example of a secure online transmission method is HTTPs. A corresponding development of the real-time communication system according to the invention provides that this has a separate device, the Create and manage key material and to transfer the key material is formed to the participants of the communication network.
Nach einer Weiterbildung des erfindungsgemäßen Verfahrens ist in diesem Zusammenhang vorgesehen, dass das zur Berechnung/Verifizierung des MAC und/oder zur Verschlüsselung/Entschlüsselung der Nutzdaten benötigte Schlüsselmaterial auf den Teilnehmern hinterlegt ist und dass eine Auswahl des zu verwendenden Schlüsselmaterials anhand einer Identifikationsbezeichnung eines Datenrahmens (einer Frame-ID) erfolgt. Entsprechend sieht eine analoge Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems vor, dass die Teilnehmer jeweils mindestens eine Speichereinrichtung aufweisen, auf der Schlüsselmaterial zum Berechnen/Verifizieren des MAC und/oder für ein Verschlüsseln/Entschlüsseln der Nutzdaten hinterlegt ist. Dabei kann insbesondere weiterhin vorgesehen sein, dass zu verwendendes Schlüsselmaterial anhand einer Identifikationsbezeichnung eines Datenrahmens auswählbar ist. Auf diese Weise lässt sich das zu verwendende Schlüsselmaterial eindeutig einem oder mehreren bestimmten Datenrahmen zuordnen.To a development of the method according to the invention is in this Context provided that the calculation / verification of the MAC and / or for encryption / decryption of the User data needed key material is deposited on the participants and that a selection of the using key material based on an identification name of a data frame (a Frame ID). Accordingly sees an analog training the real-time communication system according to the invention before that the participants each have at least one memory device on the key material for calculating / verifying the MAC and / or for encrypting / decrypting the User data is stored. In this case, in particular can continue to be provided be that key material to use is selectable based on an identification name of a data frame. That way the key material to use clearly assign to one or more specific data frames.
Wenn eine Mehrzahl von Teilnehmern über das passende zu verwendende Schlüsselmaterial verfügt, kann in Weiterbildung des erfindungsgemäßen Verfahrens vorgesehen sein, dass die entsprechende Mehrzahl von Teilnehmern gemeinsam an der gesicherten Echtzeit-Kommunikation teilnimmt, sodass auch die Absicherung von Broadcast-Messages möglich ist.If a plurality of participants about the suitable key material to use be provided in development of the method according to the invention, that the corresponding plurality of participants work together on the Secured real-time communication participates, so that the hedge of broadcast messages possible is.
Die einzelnen Kommunikationsteilnehmer speichern somit das zu verwendende Schlüsselmaterial, erzeugen es aber nicht selbst. Das Erzeugen und Verwalten des Schlüsselmaterials obliegt allein der separaten Einrichtung. Nach einer Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Erzeugen und Verwalten des Schlüsselmaterials durch die separate Einrichtung wenigstens eine der folgenden Maßnahmen beinhaltet:
- – Erzeugen kryptographisch sicherer Zufallszahlen;
- – Zuordnen des Schlüsselmaterials zu wenigstens einem Datenrahmen;
- – Zusammenfassen des Schlüsselmaterials zu geeigneten Tabellen für die einzelnen Teilnehmer.
- Generating cryptographically secure random numbers;
- Assigning the key material to at least one data frame;
- - Summarize the key material to appropriate tables for each participant.
Gemäß einer entsprechenden Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems ist demnach vorgesehen, dass die separate Einrichtung für das Erzeugen und Verwalten von Schlüsselmaterial zum Ausführen wenigstens einer der folgenden Maßnahmen ausgebildet ist:
- – Erzeugen kryptographisch sicherer Zufallszahlen;
- – Zuordnen des Schlüsselmaterials zu wenigstens einem Datenrahmen;
- – Zusammenfassen des Schlüsselmaterials zu geeigneten Tabellen für die einzelnen Teilnehmer.
- Generating cryptographically secure random numbers;
- Assigning the key material to at least one data frame;
- - Summarize the key material to appropriate tables for each participant.
Zusätzlich zu der weiter oben beschriebenen Nutzung vorbekannter, standardisierter Formate für den Aufbau zu übertragender Datenrahmen kann im Zuge einer äußerst bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens vorgesehen sein, dass für die gesicherte Echtzeit-Kommunikation ein ausgezeichnetes Datenfeld innerhalb eines Datenrahmens definiert ist und dass nach Maßgabe eines Wertes für dieses Datenfeld Protokollfelder des Datenrahmens außerhalb der Nutzdaten mit gesichert werden. Beispielsweise ist es so durch entsprechende Anordnung des MAC-Feldes innerhalb eines derart definierten Datenrahmens möglich, zusätzlich zu den eigentlichen Nutzdaten auch weitere innerhalb des Datenrahmens vor dem MAC-Feld angeordnete Protokollfelder ebenfalls abzusichern.In addition to the previously described use of previously known, standardized Formats for the Construction to be transferred Data frame may be in the course of a highly preferred Further development of the method according to the invention be provided for that the secured real-time communication an excellent data field is defined within a data frame and that according to a value for this Data field log fields of the data frame outside the user data to be backed up with. For example, it is so by appropriate arrangement of the MAC field within such a defined data frame possible, in addition to the actual payload also more within the data frame before protect the MAC field as well.
Im Rahmen des bereits erwähnten IRT-Verfahrens wird die Echtzeit-Kommunikation zwischen Teilnehmern eines Kommunikationsnetzes durch eine separate Einrichtung geplant, welche alle für die Echtzeit-Kommunikation relevanten Parameter bestimmt und in Form von Parametersätzen an alle beteiligten Knoten übermittelt. In diesem Kontext sieht eine besonders vorteilhafte Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems vor, dass die separate Einrichtung zusätzlich zum Bestimmen aller für die Echtzeit-Kommunikation an sich erforderlichen Parameter und zum Übermitteln der Parameter an die Teilnehmer auch zum Erzeugen und Verwalten von Schlüsselmaterial ausgebildet ist. Mit anderen Worten: Die Projektierung der Echtzeit-Kommunikation erfolgt wie bei IRT nach Maßgabe einer zentralen Projektierungseinrichtung, die jedoch zusätzlich auch zum Erzeugen und Verwalten der zur Kommunikations-Absicherung benötigten Sicherheitsparameter und des entsprechenden Schlüsselmaterials ausgebildet ist. Auf diese Weise ist keine separate Sicherheitsprojektierung erforderlich, sodass der Anwender des Kommunikationsnetzes die nach gesuchte Übertragungsabsicherung ohne zusätzlichen Projektierungsaufwand erhält. Weiterhin ist auf diese Weise keine Schlüsselerzeugung in den jeweiligen Kommunikationsteilnehmern erforderlich. Dadurch werden dort keine kryptographisch sicheren Zufallszahlengeneratoren benötigt, was zu einer entsprechend reduzierten Systemkomplexität und den damit verbunden Kostenvorteilen führt. Die Datenhaltung des Schlüsselmaterials in der separaten Einrichtung vereinfacht zudem den Austausch von Geräten (Teilnehmern) des Kommunikationsnetzes.In the context of the already mentioned IRT method, the real-time communication between subscribers of a communication network is planned by a separate device which determines all parameters relevant for the real-time communication and transmits them in the form of parameter sets to all participating nodes. In this context looks a particularly advantageous development of the real-time communication system according to the invention that the separate device is also designed to generate and manage key material in addition to determining all necessary for the real-time communication parameters and for transmitting the parameters to the participants. In other words, as in the case of IRT, the configuration of the real-time communication takes place in accordance with a centralized planning device, which however is additionally designed to generate and manage the security parameters required for communication security and the corresponding key material. In this way, no separate security configuration is required, so that the user of the communication network receives the transmission protection required without additional configuration effort. Furthermore, no key generation in the respective communication participants is required in this way. As a result, there are no cryptographically secure random number generators needed, which leads to a correspondingly reduced system complexity and the associated cost advantages. The data storage of the key material in the separate device also simplifies the exchange of devices (participants) of the communication network.
Da gerade im Echtzeitbetrieb, insbesondere bei der Echtzeit-Steuerung von Anlagen, ein hoher Datendurchsatz mit einer minimalen Latenzzeit gefordert ist, sieht eine bevorzugte Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems vor, dass die Sicherungs-Mittel in Hardware-Form auf einem ASIC (application specific integrated circuit – anwendungsspezifischer integrierter Schaltkreis) oder einem reprogrammierbaren Bauteil ausgebildet sind. Da heutzutage übliche Implementierungen von Echtzeit-Kommunikationslösungen (insbesondere auf Ethernet-Basis) ohnehin regelmäßig spezielle ASICs verwenden, sieht eine bevorzugte Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems weiter vor, dass die Sicherungs-Mittel in demselben ASIC implementiert sind, der auch für die Echtzeit-Kommunikation an sich zuständig ist, wodurch sich wiederum entsprechende Kostenvorteile ergeben.There especially in real-time operation, especially in the real-time control of plants, a high data throughput with a minimum latency required is sees a preferred development of the real-time communication system according to the invention Before that, the backup funds in hardware form on an ASIC (application specific integrated circuit - application specific integrated circuit) or a reprogrammable component are formed. Because today's implementations of real-time communication solutions (in particular Ethernet-based) anyway regularly use special ASICs, sees a preferred development of the real-time communication system according to the invention further, that the backup means are implemented in the same ASIC, which also for the real-time communication in itself is responsible, which in turn result in corresponding cost advantages.
Allerdings ist alternativ oder zusätzlich auch möglich, die Sicherungs-Mittel zumindest teilweise in Software-Form auszubilden, wobei eine solche Lösung gewisse Vorteile in Bezug auf Flexibilität und Änderbarkeit des Systems hat. Allerdings sind im Zuge einer derartigen Ausgestaltung besonders leistungsfähige Datenverarbeitungs-Plattformen erforderlich, um in einem derartigen System die Echtzeit-Bedingungen einhalten zu können.Indeed is alternative or in addition also possible, to form the backup funds at least partially in software form, being such a solution has certain advantages in terms of flexibility and changeability of the system. However, in the course of such an embodiment, special powerful Data processing platforms required to be in such a System to be able to meet the real-time conditions.
In Folge der zyklischen Echtzeit-Kommunikation ergibt sich ein hohes Datenaufkommen. Hierbei gilt, dass sich ein ggf. zur Verschlüsselung von (Nutz-) Daten verwendeter Schlüssel umso leichter brechen lässt, je höher das Datenaufkommen ist. Deshalb ist neben der bereits erwähnten Verwendung starker kryptographischer Algorithmen verbunden mit großen Schlüssellängen auch ein regelmäßiger Schlüsselwechsel erforderlich. Demgemäß ist nach einer Weiterbildung des erfindungsgemäßen Verfahrens vorgesehen, dass regelmäßig ein Wechsel des zu verwendenden Schlüsselmaterials erfolgt. Dabei kann weiterhin vorgesehen sein, dass ein Wechsel des Schlüsselmaterials durch die Teilnehmer automatisch erfolgt, wenn wenigstens eine vorgegebene Randbedingung erfüllt ist, insbesondere wenn eine übertragene Datenmenge einen vorgegebenen Grenzwert überschreitet. Eine analoge Weiterbildung des erfindungsgemäßen Echtzeit-Kommunikationssystems sieht vor, dass durch einen Teilnehmer bei Erfüllung eines vorbestimmten Kriteriums, wie einer übertragenen Datenmenge oder den Ablauf einer Vorgabezeit, ein Wechsel des zu verwendenden Schlüsselmaterials durchführbar und/oder bei wenigstens einem anderen Teilnehmer veranlassbar ist.In Result of cyclic real-time communication results in a high Data traffic. In this case, one is possibly for encryption break the key used by (useful) data more easily leaves, The higher the data volume is. That is why in addition to the already mentioned use strong cryptographic algorithms associated with large key lengths, too a regular key change required. Accordingly, after a development of the method according to the invention, that regularly Change of the key material to be used he follows. It can also be provided that a change of the key material done automatically by the participants if at least one predetermined Boundary condition fulfilled is, especially if a transferred Amount of data exceeds a predetermined limit. An analogue Further development of the real-time communication system according to the invention provides that by a participant upon fulfillment of a predetermined criterion, such as a transferred one Amount of data or the expiration of a default time, a change of to using key material feasible and / or can be initiated by at least one other participant.
Gemäß einer Ausgestaltung der vorliegenden Erfindung enthält jeder Teilnehmer des Kommunikationsnetzes von der separaten Einrichtung ausreichend viele Schlüsselsätze, um bei Durchführung der vorstehend beschriebenen, regelmäßigen (regulären) Schlüsselwechsel einen definierten Zeitraum, zum Beispiel ein vorbestimmtes Wartungsintervall, überbrücken zu können. Darüber hinaus sieht eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens vor, dass durch die separate Einrichtung ein Synchronisierungsereignis zum Auslösen eines (nicht regulären) Wechsels des Schlüsselmaterials erzeugt wird. Eine entsprechende Weiterentwicklung des erfindungsgemäßen Echtzeit-Kommunikationssystems sieht vor, dass ein Wechsel des zu verwendenden Schlüsselmaterials für einen Teilnehmer durch Übertragen eines Synchronisierungsereignisses durch die separate Einrichtung auslösbar ist. Dabei kann die separate Einrichtung parallel zu einer laufenden Echtzeit-Kommunikation (Produktiv-Kommunikation) neues Schlüsselmaterial auf die Kommunikationsteilnehmer laden und gegebe nenfalls das Synchronisierungsereignis zum Schlüsselwechsel auslösen. Wenn das geladene Schlüsselmaterial lediglich für die weiter oben beschriebenen regulären Schlüsselwechsel vorgesehen ist, entfällt das Auslösen des Synchronisierungsereignisses. Mit anderen Worten: Im Normalfall wird das Synchronisierungsereignis nicht durch die separate Einrichtung übertragen, sondern durch die beteiligten Geräte (Kommunikationsteilnehmer) selbst gebildet. Dies geschieht dann, wenn – wie gesagt – bestimmte Randbedingungen erfüllt sind, zum Beispiel wenn die übertragene Datenmenge größer ist als ein von der separaten Einrichtung vorgegebener Grenzwert.According to one Embodiment of the present invention includes each participant of the communication network from the separate facility enough key sets to when carrying out the described above, regular (regular) key changes a defined period of time, for example a predetermined maintenance interval, to bridge can. About that In addition, a preferred embodiment of the method according to the invention provides suggest that by the separate device a synchronization event to trigger one (not regular) Change of key material generated becomes. A corresponding further development of the real-time communication system according to the invention provides that a change of key material to be used for one Participant by transferring a synchronization event by the separate device triggered is. The separate device can be parallel to a running one Real-time communication (productive communication) new key material load the communication participants and, if appropriate, the synchronization event for the key change trigger. If the loaded key material only for the the regular key change described above is provided, deleted the triggering of the synchronization event. In other words: normally the synchronization event is not transmitted by the separate device, but by the participating devices (communication participants) self-educated. This happens when - as I said - certain Boundary conditions met are, for example if the transferred Amount of data is greater as a predetermined by the separate device limit.
Das Synchronisierungsereignis kann in Weiterbildung des erfindungsgemäßen Verfahrens im letztgenannten Fall als gesetztes Steuerflag innerhalb eines Datenrahmens übertragen werden.The Synchronization event can in the further development of the method according to the invention in the latter case as a set control flag within a Transmitted data frame become.
Auf diese Weise ergeben sich die weiteren Vorteile, dass Schlüsselwechsel ohne Unterbrechung der Produktiv-Kommunikation durchführbar sind. Zudem sind Schlüsselwechsel in den einzelnen Kommunikationsgeräten (Kommunikationsteilnehmern) einfach in Hardware realisierbar und erfordern keine komplexen Protokolle.On this way, there are the other benefits that key change without interruption of the productive communication are feasible. In addition, key changes in the individual communication devices (communication participants) easy to implement in hardware and do not require complex protocols.
Nach dem Vorstehenden liegt eine bevorzugte Verwendung des erfindungsgemäßen Echtzeit-Kommunikationssystems auf dem Gebiet der Automatisierungstechnik, insbesondere auf Feldbus-Ebene, zur Steuerung einer Anlage mit mehreren Funktionseinheiten.To The foregoing is a preferred use of the real-time communication system according to the invention in the field of automation technology, in particular at the fieldbus level, for control a plant with several functional units.
Weitere Eigenschaften und Vorteile der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen anhand der Zeichnungen. Es zeigen:Further Features and advantages of the present invention will become apparent from the following description of exemplary embodiments with reference to FIG Drawings. Show it:
Die
Für die Echtzeit-Kommunikation
zwischen den einzelnen Teilnehmern
Obwohl
dies aus Gründen
der Übersichtlichkeit
nur für
den Teilnehmer
Die
vorstehend beschriebenen Speichereinrichtungen
Das
sichere Echtzeit-Kommunikationssystem
Im
Betrieb der Anlage
Eine
bevorzugte Ausführungsform
der vorliegenden Erfindung besteht nun darin, dass in der zentralen
Projektierungseinrichtung
Im
Rahmen der vorliegenden Erfindung wird die Echtzeit-Kommunikation auf
dem in der
Mittels
der Verschlüsselungseinheit
Durch
die weiterhin in den Sicherheitseinrichtungen
Wie
bereits gesagt, können
die vorstehend erläuterten
Sicherungs-Mittel im Rahmen der vorliegenden Erfindung entweder
einzeln oder in beliebigen Kombinationen zum Sichern der Echtzeit-Kommunikation
verwendet werden. Das dabei gegebenenfalls zum Einsatz kommende
Schlüsselmaterial ist
in den Speichereinrichtungen
Die
Funktionseinheiten
Nach
dem Ausführungsbeispiel
der
Nach
den obigen Ausführungen
erfordert das Verfahren zum Absichern einer Echtzeit-Kommunikation
zwischen den Kommunikationsteilnehmern
Die
Ein
nachfolgendes Feld F4 bezeichnet den Ethertype. In einem nachfolgenden
Feld F5 ist die so genannte Frame-ID (Identifikationsbezeichnung
des Datenrahmens DR) angegeben. Die nachfolgenden Felder F6, F7,
F8 entsprechen dem Nutzdaten-Feld DF des originären IRT-Frames. Dabei enthält das Feld
F6 nach dem Ausführungsbeispiel
der
Die im Feld F6 enthaltenen Sicherheits-Informationen umfassen dabei unter anderem den Sequenzzähler bzw. dessen Wert in Form eines Sitzungs-Tokens zur Verhinderung von Replay-Attacken sowie diverse Steuerflags, die zum Beispiel einen Schlüsselwechsel (siehe unten) vor dem nächsten Datenrahmen oder die Verschlüsselung des eigentlichen Nutzdaten-Inhalts anzeigen.The Security information contained in field F6 includes this including the sequence counter or its value in the form of a session token for prevention of replay attacks as well as various tax flags, which, for example, a key change (see below) before the next Data frame or encryption show the actual user data content.
Die
Auswahl des anzuwendenden Schlüsselmaterials
im Teilnehmer (Speichereinrichtungen
Zur
Berechnung und zur Verifizierung des MAC (Feld F8) sowie gegebenenfalls
für die
Verschlüsselung
und Entschlüsselung der
Nutzdaten im Feld F7 wird ein so genannter Kryptokontext basierend
auf dem durch die separate Einrichtung
Die
Durch
die gemäß den
Aufgrund
des weiter oben eingehend beschriebenen gleichzeitigen Ablegens
mehrerer Schlüsselsätze S1–S3 (
In
Folge der zyklischen Echtzeit-Kommunikation ergibt sich in dem anhand
der
Somit lässt sich in vorteilhafter Weise ein Schlüsselwechsel zur verbesserten Absicherung der Echtzeit-Kommunikation ohne Unterbrechung der Produktiv-Kommunikation durchführen. Weiterhin sind zwischen den einzelnen Kommunikationsteilnehmern keine aufwendigen Protokolle zum Schlüsselwechsel erforderlich. Damit ist der Schlüsselwechsel im jeweiligen Kommunikationsgerät (Teilnehmer) einfach in Hardware realisierbar, was zu einer reduzierten Komplexität der jeweiligen Teilnehmer und entsprechenden Kostenvorteilen führt.Consequently let yourself advantageously a key change for improved protection of real-time communication without interruption perform the productive communication. Furthermore, between the individual communication participants no elaborate protocols for the key change required. This is the key change in the respective communication device (Participants) easily realized in hardware, resulting in a reduced complexity the respective participant and corresponding cost advantages leads.
Die
Das
Verfahren startet in Schritt
Durch die besonderen, vorstehend beschriebenen Merkmale der vorliegenden Erfindung ist die Echtzeit-Kommunikation in vorteilhafter Weise gegen Angriffe geschützt. Insbesondere aufgrund der beschriebenen zentralen Schlüsselverwaltung sind keine komplexen Protokolle für einen Schlüsselwechsel in den Teilnehmern erforderlich. Der Schlüsselwechsel ist damit in dem jeweiligen ASIC einfach realisierbar. Aufgrund der bevorzugten Realisierung der beschriebenen Security-Mittel in Hardware ergibt sich gegenüber vorbekannten, unsicheren Echtzeit-Kommunikationsverfahren/-systemen nur eine geringfügige Erhöhung der Durchlauf zeit von Datenpaketen. Weiterhin müssen im Zuge einer Realisierung des sicheren Echtzeit-Kommunikationssystems solche Teilnehmer, die nicht an der gesicherten Kommunikation teilnehmen (echte IRT-Durchleiteknoten), technisch gegenüber vorbekannten Echtzeit-Kommunikationssystemen nicht verändert werden, was entsprechende Kos tenvorteile mit sich bringt. Darüber hinaus können – wie oben beschrieben – auch Broadcast-Messages gesichert werden.By the particular features of the present invention described above Invention is the real-time communication in an advantageous manner protected against attacks. In particular, due to the described central key management are not complex protocols for a key change in required for the participants. The key change is thus in the respective ASIC easily realized. Due to the preferred realization the described security means in hardware results in relation to previously known, Insecure real-time communication methods / systems only a slight increase in the Passage time of data packets. Furthermore, in the course of a realization of the secure real-time communication system such subscribers who not participate in secured communication (real IRT pass-through nodes), technically opposite previously known real-time communication systems are not changed, which brings corresponding cost advantages. Furthermore can - as above described - too Broadcast messages are backed up.
Claims (35)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610003167 DE102006003167B3 (en) | 2006-01-23 | 2006-01-23 | Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610003167 DE102006003167B3 (en) | 2006-01-23 | 2006-01-23 | Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102006003167B3 true DE102006003167B3 (en) | 2007-08-23 |
Family
ID=38289054
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200610003167 Expired - Fee Related DE102006003167B3 (en) | 2006-01-23 | 2006-01-23 | Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102006003167B3 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012016857A1 (en) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Method and system for transmitting control data in a manner that is secured against manipulation |
DE102010048588A1 (en) * | 2010-10-18 | 2012-04-19 | Phoenix Contact Gmbh & Co. Kg | Method and device for configuring network subscribers |
EP2464059A1 (en) * | 2010-11-19 | 2012-06-13 | Siemens Aktiengesellschaft | Switch-network nodes for a communication network with integrated safety components |
DE102014212038A1 (en) * | 2014-06-24 | 2015-12-24 | Qsc Ag | Network system with end-to-end encryption |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002023853A2 (en) * | 2000-09-15 | 2002-03-21 | Atheros Communications, Inc. | Hardware mac |
US20020042270A1 (en) * | 2000-10-07 | 2002-04-11 | Lg Electronic Inc. | Radio communication system and method having a radio link control layer |
WO2003009521A1 (en) * | 2001-07-17 | 2003-01-30 | Yottayotta, Inc. | Network security devices and methods |
KR20040029767A (en) * | 2002-10-02 | 2004-04-08 | 삼성전자주식회사 | Transmitting method for authentication and privacy security on tree structure network |
DE10314721A1 (en) * | 2003-03-31 | 2004-11-11 | Endress + Hauser Gmbh + Co. Kg | Secure data transmission over field bus for process automation technology involves encoding data in field device and transferring key over field bus to field device |
-
2006
- 2006-01-23 DE DE200610003167 patent/DE102006003167B3/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002023853A2 (en) * | 2000-09-15 | 2002-03-21 | Atheros Communications, Inc. | Hardware mac |
US20020042270A1 (en) * | 2000-10-07 | 2002-04-11 | Lg Electronic Inc. | Radio communication system and method having a radio link control layer |
WO2003009521A1 (en) * | 2001-07-17 | 2003-01-30 | Yottayotta, Inc. | Network security devices and methods |
KR20040029767A (en) * | 2002-10-02 | 2004-04-08 | 삼성전자주식회사 | Transmitting method for authentication and privacy security on tree structure network |
DE10314721A1 (en) * | 2003-03-31 | 2004-11-11 | Endress + Hauser Gmbh + Co. Kg | Secure data transmission over field bus for process automation technology involves encoding data in field device and transferring key over field bus to field device |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012016857A1 (en) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Method and system for transmitting control data in a manner that is secured against manipulation |
US9252956B2 (en) | 2010-08-03 | 2016-02-02 | Siemens Aktiengesellschaft | Method and system for transmitting control data in a manner that is secured against manipulation |
DE102010048588A1 (en) * | 2010-10-18 | 2012-04-19 | Phoenix Contact Gmbh & Co. Kg | Method and device for configuring network subscribers |
US9178760B2 (en) | 2010-10-18 | 2015-11-03 | Phoenix Contact Gmbh & Co. Kg | Method and apparatus for configuring network nodes |
EP2464059A1 (en) * | 2010-11-19 | 2012-06-13 | Siemens Aktiengesellschaft | Switch-network nodes for a communication network with integrated safety components |
DE102014212038A1 (en) * | 2014-06-24 | 2015-12-24 | Qsc Ag | Network system with end-to-end encryption |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60124765T2 (en) | METHOD AND DEVICE FOR ADMINISTERING SAFETY-SENSITIVE COLLABORATIVE TRANSACTIONS | |
EP1886460B1 (en) | Method for the encrypted transmission of synchronization messages | |
EP3518492B1 (en) | Method and system for disclosing at least one cryptographic key | |
DE102020003739A1 (en) | Procedure for the distribution and negotiation of key material | |
DE102006003167B3 (en) | Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model | |
DE102009032465A1 (en) | Security in networks | |
EP1847092A1 (en) | Method for locking-on to encrypted communication connections in a packet-oriented network | |
EP2989743B1 (en) | Method and system for protected group communication with transmitter authentication | |
EP4099611B1 (en) | Generation of quantum secure keys in a network | |
EP2685696A1 (en) | Method for the reliable operation of grids, in particular of wind farm or other extended networks | |
DE102006036165B3 (en) | Method for establishing a secret key between two nodes in a communication network | |
EP3298721A1 (en) | Method for generating a secret or a key in a network | |
EP4014424B1 (en) | Method for processing telegrams in an automation network, automation network, master subscriber and slave subscriber | |
WO2014206451A1 (en) | Method and device for secure transmission of signal data in a system | |
EP1496666A1 (en) | Tunnel proxy for protecting data access | |
DE102019114305A1 (en) | Data transfer method, data structure, automation network and unlocker | |
DE102021129979B3 (en) | Method and system for the anonymous transmission of digital data | |
EP3955511B1 (en) | Secure data transmission within a qkd network node | |
EP2830277A1 (en) | Method and system for tamper-proof transmission of data packets | |
DE102016205126A1 (en) | Security-relevant communication device | |
DE10115600A1 (en) | Method and arrangement for data communication in a cryptographic system with several instances | |
DE102016207642A1 (en) | Method and apparatus for authenticating a data stream | |
DE10141396A1 (en) | Method for generating an asymmetric cryptographic group key | |
DE102019121929A1 (en) | Network distributors, automation networks and methods for data transmission in an automation network | |
WO2017064067A1 (en) | Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20110802 |