EP4062615A1 - Method for secure data communication in a computer network - Google Patents

Method for secure data communication in a computer network

Info

Publication number
EP4062615A1
EP4062615A1 EP20807450.0A EP20807450A EP4062615A1 EP 4062615 A1 EP4062615 A1 EP 4062615A1 EP 20807450 A EP20807450 A EP 20807450A EP 4062615 A1 EP4062615 A1 EP 4062615A1
Authority
EP
European Patent Office
Prior art keywords
computer
data
data connection
key
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20807450.0A
Other languages
German (de)
French (fr)
Inventor
Claudio COLOMBANO
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inventio AG
Original Assignee
Inventio AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inventio AG filed Critical Inventio AG
Publication of EP4062615A1 publication Critical patent/EP4062615A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3423Control system configuration, i.e. lay-out
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3446Data transmission or communication within the control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Definitions

  • the present invention relates to a method for communicating data in a computer network and to a computer network configured to carry out this method, in particular in a passenger transport system.
  • Computers which are often referred to as computers, are used in a wide variety of applications for processing data. In a wide range of applications, computers must be able to exchange data with other computers. For this purpose, several computers are connected to a computer network via data connections.
  • the authenticity of computers participating in the data communication is usually checked in advance.
  • the computers that strive for data communication can exchange authentication data.
  • a previously created list can be used, for example, to check whether the authenticated computers are authorized to communicate with one another.
  • data communication between computers is also encrypted.
  • data to be communicated is encrypted by a sending computer using previously specified encryption data before they are transmitted to a receiving computer, and then decrypted again by the receiving computer using correlating encryption data.
  • the sending computer can encrypt the data to be transmitted with a public key of the receiving computer so that the latter can then decrypt the received data again with its private key, which is to be kept secret and which correlates with the public key. Because both computers use correlating encryption data, the authenticity or authorization of the communicating computers is also checked indirectly.
  • the authentication data can also be made for the authentication data to have a time-limited validity. However, this may require that after this validity has expired, new authentication data must be transmitted to the computers, which in turn may require a data connection between the computers and the authority computer.
  • a need for a method for communicating data in a computer network with which at least some of the deficits mentioned at the outset, as they occur in the conventional operation of computer networks, can be overcome.
  • a method for communicating data in a computer network which can be implemented easily and / or with little hardware expenditure and which nevertheless allows a high level of security in data communication.
  • a computer network that is configured to carry out or control such a method.
  • a passenger transport system that is equipped with such a computer network.
  • a method for communicating data in a computer network between a first computer and a second computer, in particular in a passenger transport system is proposed.
  • the first computer and the second computer are accommodated together in a room protected against unauthorized access.
  • the first computer and the second computer are also connected to one another via a first and a second data connection.
  • the second data connection runs exclusively within the protected area.
  • the second data connection only allows data to be transmitted between the first computer and the second computer.
  • the method comprises at least the following method steps, preferably in the specified order:
  • a computer network with a first computer and a second computer in particular in a passenger transport system, is proposed.
  • the first computer and the second computer are accommodated together in a room protected against unauthorized access.
  • the first computer and the second computer are connected to one another via a first and a second data connection.
  • the second data connection runs exclusively within the protected area.
  • the second data connection only allows data to be transmitted between the first computer and the second computer.
  • the computer network is configured to carry out or control the method according to an embodiment of the first aspect of the invention.
  • a passenger transportation system in particular an elevator system, with a computer network according to an embodiment of the second aspect of the invention is proposed, the protected space being a machine room of the passenger transportation system.
  • computers must be reliably and securely connected to one another via a data network in a wide variety of technical applications communicate, ie exchange data, can.
  • it must be ensured that individual computers only communicate with certain other computers, but do not transmit data to computers that are not authorized for this purpose and / or accept data from computers that are not authorized for this purpose.
  • computers must be able to authenticate, ie a computer must be able to reliably determine the identity of another computer coming into question as a communication partner and, on the basis of the identified identity, determine whether data exchange with this computer is permissible.
  • a first computer and a second computer can be part of a computer network made up of a large number of computers.
  • the first computer can, for example, be a host computer or server computer and the second computer can be a client computer from a plurality of client computers included in the computer network. All these computers can be connected to one another via one or more data connections, i.e. in principle they can be able to exchange data with one another via wired or wireless interfaces.
  • the first computer can exchange data reliably and discretely with the second computer, it must be ensured that no other computer on the computer network can eavesdrop on the data communication between the first and the second computer and that no other computer can intercept the first computer other than the second computer can output.
  • the second computer can authenticate itself to the first computer so that the first computer can be certain of the identity of the second computer and can then determine, based on the identity established in this way, whether there is data communication with the second computer is permissible, ie whether the second computer is authorized to exchange data with the first computer.
  • a prerequisite for the functioning of the method presented here is that the first computer and the second computer are accommodated together in a room protected against unauthorized access, i.e. are in the immediate vicinity of one another.
  • a room can be understood as a physically delimited area, to which normally only persons authorized for this have access.
  • a room can, for example, be a volume in a building or structure surrounded by walls or other physical boundaries, to which access is only possible via one or more lockable doors or the like.
  • a person In order to get into the protected space through such a door, a person must be authorized beforehand, for example by being in possession of a key suitable for unlocking the door.
  • the room protected against unauthorized access can be, for example, a machine room of the passenger transport system.
  • Such a machine room can typically be locked and thus secured against unauthorized access.
  • both a drive machine and a controller used to control this drive machine are accommodated in a machine room.
  • this control usually has a computer that can be viewed as the first computer or host computer.
  • This first computer can communicate with a large number of other computers, which in certain cases can be viewed here as second computers or client computers. Some of these computers can be located within the Machine room are located, other computers can be arranged outside the machine room.
  • a computer can be viewed, for example, which should be able to communicate with the first computer for maintenance purposes or for troubleshooting and for this purpose should be able to exchange data with the first computer.
  • the second computer can be permanently installed in the protected space.
  • the second computer can be temporarily brought into the protected space, for example by a maintenance technician temporarily bringing a maintenance device controlled by the second computer into the machine room.
  • the first and the second computer should be connected to one another both via a first data connection and via a second data connection. Via each of the two data connections, data can be exchanged between the two computers from the first computer to the second computer and / or from the second computer to the first computer.
  • a data connection can be established by wire, i.e. data can be transmitted between the two computers via devices and / or cables connecting the computers.
  • a data connection can be established wirelessly, i.e. data can be transmitted between the two computers via radio, for example.
  • authentication data should first be generated by the first computer, by means of which the second computer can authenticate itself on the first computer.
  • the authentication data contain at least one key to be kept secret.
  • the key to be kept secret is transmitted from the first computer to the second computer via the second data connection.
  • the key to be kept secret can, for example, be part of a key pair made up of a public key and a private key correlating with it. In particular, the key to be kept secret can be the private key of such a key pair.
  • the first computer does not send the key of this authentication data, which is to be kept secret, to the second computer via the first data connection, but rather via the second data connection.
  • the first computer can be sure that the secret key of the authentication data has been sent to a computer that is located within the protected area.
  • the first computer can therefore assume that the second computer receiving the key to be kept secret is authorized to exchange data with the first computer, since otherwise it would not have been allowed to enter the protected area.
  • the first computer can also assume that the secret key can only be known to a second computer that is authorized for communication with the first computer.
  • encrypted data communication is established between the first and the second computer, the authentication data being used at least for the authentication of the second computer by the first computer. .
  • this data communication is not established via the second data connection, but via the first data connection, via which the first computer is also connected to other computers and which generally has different data transmission properties than the second data connection.
  • the first computer can thus check the authenticity of the second computer within the framework of the encrypted data communication established.
  • the method described and the computer network specially designed for this purpose can ensure that data communication required for certain applications can only be established from the first computer with computers that are authorized for this purpose and that are located within the protected area.
  • the data communication protected in this way can be set up with very simple hardware means.
  • the first data connection is configured for data communication at a higher data transmission rate than the second data connection.
  • the first data connection can be designed to transmit data at a higher transmission rate than the second data connection.
  • the first data connection can thus be designed for a larger bandwidth than the second data connection.
  • the data transmission rate to be established via the first data connection can be more than twice as high, preferably more than ten times as high, as that of the second data connection. While the first data connection can thus be designed for a high data throughput, the second data connection can be established with technically simpler means, since it only needs to enable a low transmission rate.
  • the first data connection is also accessible to subscribers in the computer network who are located outside the protected area.
  • the first data connection can be configured in such a way that it can also be used to communicate with the first computer via computers that are not located within the protected space, but are external to it.
  • the first data connection can be part of a local network (LAN - local area network), a wide network (WAN - wide area network) or even a global data network such as the Internet, via which a large number of computers inside and outside the protected space can communicate with each other.
  • the first data connection can be an Ethernet connection.
  • Ethernet connections are a long-established and largely standardized option for data transmission between several computers.
  • Ethernet connections use software in the form of protocols, etc., and hardware in the form of cables, distributors, network cards, etc., which are specified for wired data networks and which are originally for local area networks (LAN). They enable data to be exchanged between the devices connected in a local network using data frames. Transmission rates of up to 400 gigabit / s are currently possible.
  • a data network established with Ethernet connections typically extends over a building, but Ethernet variants over fiber optics can have a range of up to 70 km.
  • the second data connection can only allow data to be transmitted between the first computer and the second computer.
  • the second data connection can thus differ from the first data connection, which in principle can allow data to be transmitted between the first computer and a large number of other computers.
  • the second data connection can thus ensure that only data can be exchanged via it between the first and the second computer, but not with other computers.
  • the second data connection can be a wired data connection.
  • Such a wired data connection can use one or more cables which run between the first and the second computer and via which these two computers can exclusively exchange data.
  • a wired data connection can be established in a technically simple manner by, for example, plugging a data cable with its plugs into one of the computers at opposite ends.
  • the data cable establishing the data connection can be used shielded so that data transmitted via the data cable cannot be intercepted from outside.
  • the data transmission takes place via such a wired data connection exclusively between the two first and second computers arranged in the protected space and can neither be manipulated nor eavesdropped from outside the protected space.
  • the second data connection can be a serial data connection.
  • a serial data connection enables data to be transmitted sequentially between communication partners, for example in the form of individual bits.
  • Such a serial data connection can be established with very simple technical means, for example with a single wire or cable, which can optionally be shielded.
  • the second data connection can be a unidirectional data connection.
  • a unidirectional data connection which is sometimes also referred to as a monodirectional data connection, can be understood to mean a data connection which allows data transmission only in one direction, but not in the opposite direction.
  • a cable can typically not only transmit data unidirectionally
  • the interfaces to be provided on the first and second computers, which are connected to the cable and which are part of the data connection can very well be designed for such unidirectional data communication.
  • the interface provided on the first computer can only be configured to send data but not receive it, whereas the interface provided on the second computer can only be configured to receive data, but not to send it.
  • a particularly confidential data transmission can be established.
  • only a transmission of data from the first computer to the second computer can be made possible via the second data connection.
  • the key to be kept secret is formed by a key for symmetrical data encryption, the key being stored on the first computer as well as on the second computer.
  • the data communication to be established between the first and the second computer is symmetrical encryption
  • the key to be kept secret is formed by a private key of the second computer.
  • a public key corresponding to the private key is generated by the first computer.
  • the authentication data include at least the private key and the public key.
  • authentication data can include a key pair with a private and a public key, the private key being transmitted from the first computer to the second computer via the second data connection
  • the public key is stored on the first computer in a list of authorized keys. In other words, it becomes public
  • the key of the second computer is stored on the first computer in such a way that it can be recognized as trustworthy at a later point in time
  • the public key which is part of a key pair serving as authentication data and which is generated by the first computer itself and then stored, is stored as trustworthy, so that when encrypted data communication is established later for the first computer it can be seen that the associated Communication partner computer is trustworthy, ie authorized.
  • the public key is signed by the first computer and this signed key, together with the private key, forms the authentication data.
  • the signed key can also be transmitted to the second computer.
  • the signed key is also referred to as a certificate or can form a certificate.
  • the second computer can set up an encrypted connection between the second computer and the first computer using Transport Layer Security or also using Secure Sockets Layer, the first computer being able to check the authenticity of the second computer.
  • the second computer can dispense with checking the authenticity of the first computer. However, this could be done optionally.
  • FIG. 1 shows a passenger transport system in the form of an elevator system with a computer network according to an embodiment of the present invention.
  • FIG. 1 shows a passenger transport system 1 in the form of an elevator system 3.
  • an elevator car 7 is displaced vertically by a drive machine 9.
  • the drive machine 9 is controlled by an elevator control 11.
  • the elevator control 11 has a first computer 13 or is controlled by it.
  • the first computer is part of a computer network 15 in which several computers 19, 21, 23 can communicate with the first computer 13 via a first data connection 17.
  • Computers 19 can be accommodated within a machine room 25 in which the controller 11 and the first computer 13 are also located.
  • Other computers 21, 23 can be located outside this machine room 25.
  • the first data connection 17 can be an Ethernet connection and can enable high data transmission rates of, for example, a few kilobits per second through a few megabits per second up to a few gigabits per second.
  • the second computer 27 can, for example, be part of a maintenance tool that is brought along and / or operated by a technician 31 in order to configure the controller 11.
  • the second computer 27 is located within the machine room 25. Since this machine room 25 can only be entered by people through a lockable door 33, it can be viewed as a room 35 protected against unauthorized access.
  • the second computer 27 is connected to the first computer 13 via the first data connection 17 and can use this to exchange data with the first computer 13 at a high data transmission rate.
  • the second computer 27 is on the other hand connected to the first computer 13 via a second data connection 29.
  • This second data connection 29 runs exclusively within the engine room 25. It is preferably designed as a wired data connection and is used exclusively to transmit data between the first computer 13 and the second computer 27.
  • the second data connection 29 is designed as a serial and unidirectional data connection that it only enables data to be transmitted from the first computer 13 in one direction to the second computer 27, but not in the opposite direction.
  • the two computers can assume different roles or perform different tasks.
  • the first computer 13 can, for example, control the controller 11 of the elevator system 3 and thereby be responsible for correct and safe operation of the elevator system 3.
  • the second computer 27 can be a client computer that should be able to interact with the controller 11.
  • Such a client computer can, for example, display and / or modify status information and can be used for maintenance or troubleshooting of an elevator installation 3.
  • Client computer and host computer ie first computer 13 and second computer 27, are all connected to the same local network, that is, can use the common first data connection 17 communicate with each other.
  • This network is used as a connection with a wide bandwidth and shared by all computers in order to form a LAN for the elevator system 3.
  • the client computer, ie the second computer 27, is located together with the first computer 13 within the protected space 35, ie in close proximity to the first computer 13 with which it is to interact.
  • the protected space 35 that is to say the engine room 25 in the example mentioned, is regarded as trustworthy.
  • this room 35 has sufficient physical barriers, such as the lockable door 33, to prevent unauthorized entry.
  • the network can also be accessed by other computers 19, 21, 23 that are not necessarily in the vicinity of the first computer 13, ie by other computers 19, 21, 23 that are not located within the protected space 35 become.
  • the data exchange must be secure. This means that only authorized client computers are allowed to communicate with the server via the local network.
  • a wide area network (WAN) such as the Internet may be available to interact with members of the local area network.
  • the local network i.e.
  • the first data connection 17 should not be allowed to be used to exchange data to be kept secret, such as authentication data or encryption data to be used accordingly, in order to rule out the possibility that this could be read by an attacker eavesdropping on the data traffic.
  • data to be kept secret such as authentication data or encryption data to be used accordingly
  • Conventionally, such assumptions or problems are solved by gradually defining data to be kept secret, for example in the form of software keys or certificates, which identify the client computer and are recognized as authentic by the host computer.
  • this can present the following logistical challenges:
  • Data to be kept secret such as keys or certificates
  • keys or certificates can be generated as different at the time of manufacture of a computer or an assembly by accessing a certified authority computer that is responsible for generating such keys and certificates. While this is possible, it introduces complex additional infrastructure into a manufacturing chain.
  • Keys and certificates can have a kind of expiry date, i.e. have a limited validity in order to reduce the risks of security gaps that are not limited in time.
  • Generating and installing new keys and certificates, for example at periodic intervals, can, however, lead to increased logistics costs, for example if no Internet connection is available and a visit on site is required to install such keys and certificates.
  • a parallel connection can be established between the second computer 27 serving as the client computer and the first computer 13 serving as the server computer, which connection can be assumed to be reliable.
  • the second data connection 29 can be used, for example, in the form of a short serial cable with a physical unidirectional transmission capability from the server computer to the client computer for a secure exchange of data to be kept secret.
  • the cable establishing the second data connection 29 can connect the client computer to the server computer, since these are assumed to be arranged in spatial proximity to one another.
  • the cable can also be assumed to be secured against physical access, since it is located in the protected space 35 and is therefore not easily accessible for eavesdropping or eavesdropping.
  • a configuration in which the cable only enables unidirectional data transmission can help to make it even more difficult to carry out an eavesdropping attack.
  • the first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer.
  • the authentication data contain a key of the second computer 27 to be kept secret and a public key of the second computer 27.
  • the first computer 13 stores the public key, for example in a list of authorized keys. This list can be used later to authenticate a client computer such as the second computer 27.
  • the list can be formed, for example, by a file, a database or also by a directory structure and files.
  • the first computer 13 can also sign the public key of the authentication data with its own private key.
  • the signed, public key of the authentication data is also referred to as the certificate in the following.
  • the first computer 13 sends the key of the authentication data to be kept secret to the second computer 27 via the serial, preferably unidirectional cables 29, for example with a standard serial protocol such as RS232.
  • the public key of the authentication data or the certificate can also be transmitted to the second computer, this transmission being able to take place either via the first data connection 17 or via the second data connection 29.
  • the second computer 27 can store it, for example in a permanent data memory. Likewise, the public key of the authentication data or the certificate can be saved if this or this has been transmitted to the second computer 27.
  • the second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated data communication with the first computer via the local network, that is to say via the first data connection 17.
  • the first computer 13 can authenticate the second computer 27, since the first computer 13 has the public key corresponding to the private key of the authentication data in the list of authorized keys. Alternatively, the first computer 13 can check the signature of the certificate.
  • the data connection between the first computer 13 and the second computer 27 is also encrypted.
  • a known encryption method such as, for example, Transport Layer Security or Secure Sockets Layer, can be used for this purpose.
  • the first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer.
  • the authentication data contain a key that is to be kept secret.
  • the first computer 13 stores the key to be kept secret, for example in a list of authorized keys to be kept secret. This list can later be used to authenticate the second computer 27.
  • the first computer 13 sends the key to be kept secret to the second computer 27 via the serial, preferably unidirectional cable which forms the second data connection 29.
  • serial preferably unidirectional cable which forms the second data connection 29.
  • a standard serial protocol such as RS232 can be used for this.
  • the second computer 27 can store it, for example in a permanent data memory.
  • the second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated as well as secure data communication with the first computer 13 via the local network, that is to say via the first data connection 17.
  • the first computer 13 can authenticate the second computer, since only the first computer 13 and the second computer know the secret key.

Abstract

A method is described for communicating data in a computer network (15) between a first computer (13) and a second computer (27), more particularly in a passenger transport system (1), and a computer network (15) configured to carry out this method. The first computer (13) and the second computer (27) are accommodated together in a room (35) protected against unauthorised access. The first computer (13) and the second computer (27) are connected to one another by a first and a second data connection (17, 29). The second data connection (29) runs only within the protected room (35) and permits only a transfer of data between the first computer (13) and the second computer (27). The method comprises at least the following steps: Generating, by the first computer (13), authentication data and transferring the authentication data from the first computer (13) to the second computer (27) via the second data connection (29). (Fig. 1)

Description

VERFAHREN ZUM SICHEREN DATENKOMMUNIKATION IN EINEM RECHNERNETZWERK PROCEDURE FOR SECURE DATA COMMUNICATION IN A COMPUTER NETWORK
Beschreibung description
Die vorliegende Erfindung betrifft ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk sowie ein zur Durchführung dieses Verfahrens konfiguriertes Rechnemetzwerk, insbesondere in einer Personentransportanlage. The present invention relates to a method for communicating data in a computer network and to a computer network configured to carry out this method, in particular in a passenger transport system.
Rechner, welche oft auch als Computer bezeichnet werden, werden in verschiedensten Anwendungen zur Verarbeitung von Daten eingesetzt. In vielfältigen Anwendungen müssen Rechner Daten mit anderen Rechnern austauschen können. Hierzu werden mehrere Rechner über Datenverbindungen zu einem Rechnemetzwerk zusammengeschlossen. Computers, which are often referred to as computers, are used in a wide variety of applications for processing data. In a wide range of applications, computers must be able to exchange data with other computers. For this purpose, several computers are connected to a computer network via data connections.
Bei vielen Anwendungsfällen muss sichergestellt sein, dass Daten ausschließlich zwischen Rechnern ausgetauscht werden, die zu einem solchen Datenaustausch autorisiert sind. Rechner, die zu einem solchen Datenaustausch nicht autorisiert sind, sollen keine Daten mit anderen Rechnern des Rechnemetzwerkes austauschen können oder einen Datenaustausch zwischen autorisierten Rechnern abhören können. In many applications it must be ensured that data is only exchanged between computers that are authorized for such a data exchange. Computers that are not authorized for such a data exchange should not be able to exchange data with other computers in the computer network or intercept a data exchange between authorized computers.
Zu diesem Zweck wird bei der Kommunikation von Daten in einem Rechnemetzwerk meist vorab eine Authentizität von an der Datenkommunikation teilnehmenden Rechnern überprüft. Hierzu können die Rechner, die eine Datenkommunikation anstreben, Authentifiziemngsdaten austauschen. Nach dem Prüfen der Authentizität der kommunizierenden Rechner kann beispielsweise mithilfe einer zuvor angelegten Liste überprüft werden, ob die authentifizierten Rechner autorisiert sind, miteinander zu kommunizieren. For this purpose, when data is communicated in a computer network, the authenticity of computers participating in the data communication is usually checked in advance. For this purpose, the computers that strive for data communication can exchange authentication data. After checking the authenticity of the communicating computers, a previously created list can be used, for example, to check whether the authenticated computers are authorized to communicate with one another.
In manchen Fällen wird eine Datenkommunikation zwischen Rechnern auch verschlüsselt durchgeführt. D.h., zu kommunizierende Daten werden unter Einsatz von zuvor festgelegten Verschlüsselungsdaten von einem sendenden Rechner verschlüsselt, bevor sie an einen empfangenden Rechner übermittelt werden, und anschließend von dem empfangenden Rechner unter Einsatz korrelierender Verschlüsselungsdaten wieder entschlüsselt. Beispielsweise kann der sendende Rechner die zu übermittelnden Daten mit einem öffentlichen Schlüssel des empfangenden Rechners verschlüsseln, sodass letzterer die empfangenen Daten anschließend mit seinem privaten, geheim zu haltenden Schlüssel, der mit dem öffentlichen Schlüssel korreliert, wieder entschlüsseln kann. Dadurch, dass beide Rechner korrelierende Verschlüsselungsdaten verwenden, wird indirekt auch die Authentizität bzw. die Autorisierung der kommunizierenden Rechner überprüft. In some cases, data communication between computers is also encrypted. In other words, data to be communicated is encrypted by a sending computer using previously specified encryption data before they are transmitted to a receiving computer, and then decrypted again by the receiving computer using correlating encryption data. For example, the sending computer can encrypt the data to be transmitted with a public key of the receiving computer so that the latter can then decrypt the received data again with its private key, which is to be kept secret and which correlates with the public key. Because both computers use correlating encryption data, the authenticity or authorization of the communicating computers is also checked indirectly.
Bei der beschriebenen Art der Kommunikation von Daten zwischen Rechnern eines Rechnemetzwerks muss sichergestellt sein, dass Authentifizierungsdaten bzw. Verschlüsselungsdaten zwischen den Rechnern vorab ausgetauscht bzw. bekannt gemacht wurden. Dabei muss auch sichergestellt sein, dass diese Authentifizierungsdaten bzw. Verschlüsselungsdaten ausschließlich den beteiligten Rechnern bekannt werden, aber nicht von anderen Rechnern mitgelesen, abgehört oder in anderer Weise ermittelt werden können. In the described type of communication of data between computers in a computer network, it must be ensured that authentication data or encryption data have been exchanged or made known between the computers in advance. It must also be ensured that these authentication data or encryption data are only known to the computers involved, but cannot be read, intercepted or otherwise determined by other computers.
Um den genannten Anforderungen gerecht werden zu können, muss herkömmlich bei Rechnemetzwerken ein erheblicher Aufwand betrieben werden, um einerseits sicherstellen zu können, dass autorisierte Rechner geeignet Authentifizierungsdaten austauschen können und dann in eine Datenkommunikation miteinander eintreten können, um andererseits jedoch auch ausschließen zu können, dass unautorisierte Rechner von sich aus Authentifizierungsdaten ermitteln oder abhören können, um dann unberechtigt in eine Datenkommunikation eintreten zu können. In order to be able to meet the requirements mentioned, a considerable effort has to be made conventionally with computer networks in order to be able to ensure on the one hand that authorized computers can appropriately exchange authentication data and can then enter into data communication with one another, but on the other hand to be able to exclude that unauthorized computers can determine or listen to authentication data on their own in order to then be able to enter into data communication without authorization.
Bei herkömmlichen Ansätzen wird beispielsweise davon ausgegangen, dass alle Authentifiziemngsdaten von Teilnehmern eines Rechnemetzwerks untereinander verschieden und ausreichend komplex sind, sodass sie nicht zufällig oder durch gezieltes umgekehrtes Entwickeln (reverse engineering) ermittelt werden können. Authentifiziemngsdaten können dabei für jeden Rechner bereits bei dessen Herstellung ermittelt und in dem Rechner abgespeichert werden. Allerdings kann dies erfordern, dass es einen Zugang zu einem zertifizierten Autoritätsrechner gibt, der für die Generierung solcher Authentifiziemngsdaten verantwortlich ist. Hierfür kann zusätzliche komplexe Infrastruktur benötigt werden. Außerdem kann ein Risiko bestehen, dass der zertifizierte Autoritätsrechner beispielsweise durch Datenlecks abgehört wird, sodass unautorisierte Dritte Zugang zu Authentifizierungsdaten erlangen können. Datenlecks können dabei schwierig zu erkennen und/oder zu beheben sein. Insbesondere können Datenlecks dazu führen, dass für eine Vielzahl von Rechnern bereits früher erstellte Authentifizierungs daten aufwendig durch neue Authentifizierungsdaten ersetzt werden müssen. Zur Steigerung der Datensicherheit kann ferner vorgesehen sein, dass die Authentifizierungs daten eine zeitlich begrenzte Gültigkeit aufweisen. Dies kann jedoch erfordern, dass nach Ablauf dieser Gültigkeit neue Authentifizierungsdaten an die Rechner übermittelt werden müssen, was wiederum eine Datenverbindung zwischen den Rechnern und dem Autoritätsrechner erforderlich machen kann. In conventional approaches, it is assumed, for example, that all authentication data of participants in a computer network are different from one another and sufficiently complex that they cannot be determined randomly or through targeted reverse engineering. Authentication data can be determined for each computer when it is produced and stored in the computer. However, this may require access to a certified authority computer that is responsible for generating such authentication data. This can be additional complex Infrastructure are needed. In addition, there can be a risk that the certified authority computer is eavesdropped, for example through data leaks, so that unauthorized third parties can gain access to authentication data. Data leaks can be difficult to detect and / or fix. In particular, data leaks can mean that authentication data that have already been created for a large number of computers have to be replaced by new authentication data, which is a costly process. In order to increase data security, provision can also be made for the authentication data to have a time-limited validity. However, this may require that after this validity has expired, new authentication data must be transmitted to the computers, which in turn may require a data connection between the computers and the authority computer.
Es kann unter anderem ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, mit welchem zumindest einige der eingangs genannten Defizite, wie sie beim herkömmlichen Betreiben von Rechnemetzwerken auftreten, überwunden werden können. Insbesondere kann ein Bedarf an einem Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk bestehen, welches einfach und/oder mit geringem Hardwareaufwand zu implementieren ist und welches trotzdem eine hohe Sicherheit bei der Datenkommunikation erlaubt. Ferner kann ein Bedarf an einem Rechnemetzwerk bestehen, dass zum Ausführen bzw. Steuern eines solchen Verfahrens konfiguriert ist. Schließlich kann ein Bedarf an einer Personentransportanlage bestehen, die mit einem solchen Rechnemetzwerk ausgestattet ist. Among other things, there may be a need for a method for communicating data in a computer network with which at least some of the deficits mentioned at the outset, as they occur in the conventional operation of computer networks, can be overcome. In particular, there may be a need for a method for communicating data in a computer network which can be implemented easily and / or with little hardware expenditure and which nevertheless allows a high level of security in data communication. Furthermore, there may be a need for a computer network that is configured to carry out or control such a method. Finally, there may be a need for a passenger transport system that is equipped with such a computer network.
Einem solchen Bedarf kann durch den Gegenstand gemäß einem der unabhängigen Ansprüche entsprochen werden. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen sowie der nachfolgenden Beschreibung definiert. Such a need can be met by the subject matter according to one of the independent claims. Advantageous embodiments are defined in the dependent claims and the description below.
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk zwischen einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind dabei gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind ferner über eine erste und eine zweite Datenverbindung miteinander verbunden. Dabei verläuft die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Verfahren umfasst zumindest die folgenden Verfahrensschritte, vorzugsweise in der angegebenen Reihenfolge: According to a first aspect of the invention, a method for communicating data in a computer network between a first computer and a second computer, in particular in a passenger transport system, is proposed. The first computer and the second computer are accommodated together in a room protected against unauthorized access. The first computer and the second computer are also connected to one another via a first and a second data connection. The second data connection runs exclusively within the protected area. Furthermore, the second data connection only allows data to be transmitted between the first computer and the second computer. The method comprises at least the following method steps, preferably in the specified order:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner, wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung; und Generation of authentication data by the first computer, these authentication data containing at least one key to be kept secret; Transmission of the key to be kept secret from the first computer to the second computer via the second data connection; and
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung und Prüfen der Authentizität des zweiten Rechners durch den ersten Rechner basierend auf den Authentifizierungsdaten. Establishing an encrypted data communication for transmitting data via the first data connection and checking the authenticity of the second computer by the first computer based on the authentication data.
Gemäß einem zweiten Aspekt der Erfindung wird ein Rechnemetzwerk mit einem ersten Rechner und einem zweiten Rechner, insbesondere in einer Personentransportanlage, vorgeschlagen. Der erste Rechner und der zweite Rechner sind gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen. Der erste Rechner und der zweite Rechner sind über eine erste und eine zweite Datenverbindung miteinander verbunden. Die zweite Datenverbindung verläuft ausschließlich innerhalb des geschützten Raums. Weiter lässt die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zu. Das Rechnemetzwerk ist dazu konfiguriert, das Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern. According to a second aspect of the invention, a computer network with a first computer and a second computer, in particular in a passenger transport system, is proposed. The first computer and the second computer are accommodated together in a room protected against unauthorized access. The first computer and the second computer are connected to one another via a first and a second data connection. The second data connection runs exclusively within the protected area. Furthermore, the second data connection only allows data to be transmitted between the first computer and the second computer. The computer network is configured to carry out or control the method according to an embodiment of the first aspect of the invention.
Gemäß einem dritten Aspekt der Erfindung wird eine Personentransportanlage, insbesondere eine Aufzuganlage, mit einem Rechnemetzwerk gemäß einer Ausführungsform des zweiten Aspekts der Erfindung vorgeschlagen, wobei der geschützte Raum ein Maschinenraum der Personentransportanlage ist. According to a third aspect of the invention, a passenger transportation system, in particular an elevator system, with a computer network according to an embodiment of the second aspect of the invention is proposed, the protected space being a machine room of the passenger transportation system.
Mögliche Merkmale und Vorteile von Ausführungsformen der Erfindung können unter anderem und ohne die Erfindung einzuschränken als auf nachfolgend beschriebenen Ideen und Erkenntnissen beruhend angesehen werden. Possible features and advantages of embodiments of the invention can be viewed, inter alia and without restricting the invention, as being based on the ideas and findings described below.
Wie einleitend bereits angemerkt, müssen bei verschiedensten technischen Anwendungen mehrere Rechner über ein Datennetzwerk zuverlässig und sicher miteinander kommunizieren, d.h. Daten austauschen, können. In vielen Fällen muss dabei sichergestellt sein, dass einzelne Rechner nur mit bestimmten anderen Rechnern kommunizieren, nicht aber Daten an hierfür nicht autorisierte Rechner übermitteln und/oder von hierfür nicht autorisierten Rechner annehmen. Hierzu müssen sich Rechner authentifizieren können, d.h. ein Rechner muss die Identität eines als Kommunikationspartner infrage kommenden anderen Rechners zuverlässig ermitteln können und anhand der ermittelten Identität feststellen können, ob ein Datenaustausch mit diesem Rechner zulässig ist. As already mentioned in the introduction, several computers must be reliably and securely connected to one another via a data network in a wide variety of technical applications communicate, ie exchange data, can. In many cases, it must be ensured that individual computers only communicate with certain other computers, but do not transmit data to computers that are not authorized for this purpose and / or accept data from computers that are not authorized for this purpose. For this purpose, computers must be able to authenticate, ie a computer must be able to reliably determine the identity of another computer coming into question as a communication partner and, on the basis of the identified identity, determine whether data exchange with this computer is permissible.
Ein erster Rechner und ein zweiter Rechner können in diesem Zusammenhang Teil eines Rechnemetzwerks aus einer Vielzahl von Rechnern sein. Der erste Rechner kann beispielsweise ein Host-Rechner oder Server-Rechner sein und der zweite Rechner kann ein Client-Rechner aus einer Mehrzahl von in dem Rechnemetzwerk aufgenommenen Client-Rechnern sein. Alle diese Rechner können über eine oder mehrere Daten verbindungen miteinander verbunden sein, d.h., prinzipiell in der Lage sein, über drahtgebundene oder drahtlose Schnittstellen Daten miteinander austauschen zu können. In this context, a first computer and a second computer can be part of a computer network made up of a large number of computers. The first computer can, for example, be a host computer or server computer and the second computer can be a client computer from a plurality of client computers included in the computer network. All these computers can be connected to one another via one or more data connections, i.e. in principle they can be able to exchange data with one another via wired or wireless interfaces.
Damit der erste Rechner zuverlässig und diskret Daten mit dem zweiten Rechner austauschen kann, muss sichergestellt werden können, dass kein anderer Rechner aus dem Rechnemetzwerk die Datenkommunikation zwischen dem ersten und dem zweiten Rechner abhören kann und sich auch kein anderer Rechner gegenüber dem ersten Rechner als der zweite Rechner ausgeben kann. So that the first computer can exchange data reliably and discretely with the second computer, it must be ensured that no other computer on the computer network can eavesdrop on the data communication between the first and the second computer and that no other computer can intercept the first computer other than the second computer can output.
Hierzu muss im Regelfall sichergestellt sein, dass der zweite Rechner sich gegenüber dem ersten Rechner authentifizieren kann, sodass sich der erste Rechner der Identität des zweiten Rechners gewiss sein kann und dann basierend auf der derart festgestellten Identität ermitteln kann, ob eine Datenkommunikation mit dem zweiten Rechner zulässig ist, d.h. ob der zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist. To this end, it must generally be ensured that the second computer can authenticate itself to the first computer so that the first computer can be certain of the identity of the second computer and can then determine, based on the identity established in this way, whether there is data communication with the second computer is permissible, ie whether the second computer is authorized to exchange data with the first computer.
Um den genannten Anforderungen zumindest in bestimmten Anwendungsfällen gerecht werden zu können, werden hierin ein speziell ausgestaltetes Verfahren zum Kommunizieren von Daten über ein Datennetzwerk zwischen einem ersten Rechner und einen zweiten Rechner sowie ein zur Durchführung dieses Verfahrens ausgestaltetes Rechnemetzwerk vorgestellt. In order to be able to meet the requirements mentioned at least in certain application cases, a specially designed method for communicating data via a data network between a first computer and a second computer and a computer network designed to carry out this method are presented.
Eine Voraussetzung, für das Funktionieren des hierin vorgestellten Verfahrens ist dabei, dass der erste Rechner und der zweite Rechner gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum aufgenommen sind, d.h. sich in unmittelbarer Nähe zueinander befinden. Unter einem solchen Raum kann ein physikalisch abgegrenzter Bereich verstanden werden, zudem im Normalfall ausschließlich hierfür autorisierte Personen Zutritt haben. Ein solcher Raum kann beispielsweise ein von Wänden oder sonstigen physikalischen Abgrenzungen umgebenes Volumen in einem Gebäude oder Bauwerk sein, zu dem ausschließlich über eine oder mehrere verriegelbare Türen oder Ähnliches Zutritt besteht. Um durch eine solche Tür in den geschützten Raum zu gelangen, muss sich dabei eine Person zuvor autorisieren, beispielsweise indem sie im Besitz eines zum Entriegeln der Tür geeigneten Schlüssels ist. Es kann somit mit sehr hoher Wahrscheinlichkeit davon ausgegangen werden, dass ausschließlich hierzu autorisierte Personen Zutritt zu den im Innern des geschützten Raums aufgenommenen ersten und zweiten Rechnern erlangen können. Eine solche Person kann beispielsweise ein Techniker sein, der mit der Installation, Konfiguration oder Wartung dieser Rechner beauftragt ist. A prerequisite for the functioning of the method presented here is that the first computer and the second computer are accommodated together in a room protected against unauthorized access, i.e. are in the immediate vicinity of one another. Such a room can be understood as a physically delimited area, to which normally only persons authorized for this have access. Such a room can, for example, be a volume in a building or structure surrounded by walls or other physical boundaries, to which access is only possible via one or more lockable doors or the like. In order to get into the protected space through such a door, a person must be authorized beforehand, for example by being in possession of a key suitable for unlocking the door. It can thus be assumed with a very high degree of probability that only persons authorized for this purpose can gain access to the first and second computers accommodated in the interior of the protected space. Such a person can, for example, be a technician who is tasked with installing, configuring or maintaining these computers.
Im konkreten Anwendungsfall, bei dem der erste und der zweite Rechner Teil eines Rechnemetzwerks einer Personentransportanlage wie beispielsweise einer Aufzuganlage, einer Fahrtreppe oder eines Fahrsteigs sind, kann der gegen unautorisierten Zutritt geschützte Raum beispielsweise ein Maschinenraum der Personentransportanlage sein. In the specific application in which the first and second computers are part of a computer network of a passenger transport system such as an elevator system, an escalator or a moving walk, the room protected against unauthorized access can be, for example, a machine room of the passenger transport system.
Ein solcher Maschinenraum ist dabei typischerweise verschließbar und somit gegen unbefügten Zutritt gesichert. In einem Maschinenraum sind typischerweise sowohl eine Antriebsmaschine als auch eine zum Steuern dieser Antriebsmaschine eingesetzte Steuerung aufgenommen. In modernen Personentransportanlagen verfügt diese Steuerung meist über einen Rechner, der hierin als erster Rechner oder Host-Rechner angesehen werden kann. Dieser erste Rechner kann mit einer Vielzahl anderer Rechner, die hierin in bestimmten Fällen als zweite Rechner oder Client-Rechner angesehen werden können, kommunizieren müssen. Manche dieser Rechner können sich innerhalb des Maschinenraums befinden, andere Rechner können außerhalb des Maschinenraums angeordnet sein. Such a machine room can typically be locked and thus secured against unauthorized access. Typically, both a drive machine and a controller used to control this drive machine are accommodated in a machine room. In modern passenger transport systems, this control usually has a computer that can be viewed as the first computer or host computer. This first computer can communicate with a large number of other computers, which in certain cases can be viewed here as second computers or client computers. Some of these computers can be located within the Machine room are located, other computers can be arranged outside the machine room.
Als Beispiel eines zweiten Rechners, der innerhalb des Maschinenraums angeordnet ist, kann beispielsweise ein Rechner angesehen werden, der zu Wartungszwecken oder zur Fehlerbehebung mit dem ersten Rechner kommunizieren können soll und hierzu Daten mit dem ersten Rechner austauschen können soll. Der zweite Rechner kann dabei fest in dem geschützten Raum installiert sein. Alternativ kann der zweite Rechner temporär in den geschützten Raum eingebracht sein, beispielsweise indem ein Wartungstechniker ein durch den zweiten Rechner gesteuertes Wartungsgerät temporär in den Maschinenraum mitbringt. As an example of a second computer that is arranged within the machine room, a computer can be viewed, for example, which should be able to communicate with the first computer for maintenance purposes or for troubleshooting and for this purpose should be able to exchange data with the first computer. The second computer can be permanently installed in the protected space. Alternatively, the second computer can be temporarily brought into the protected space, for example by a maintenance technician temporarily bringing a maintenance device controlled by the second computer into the machine room.
Der erste und der zweite Rechner sollen sowohl über eine erste Datenverbindung als auch über eine zweite Datenverbindung miteinander verbunden sein. Über jede der beiden Datenverbindungen können zwischen den beiden Rechnern Daten vom ersten Rechner zum zweiten Rechner und/oder vom zweiten Rechner zum ersten Rechner ausgetauscht werden. The first and the second computer should be connected to one another both via a first data connection and via a second data connection. Via each of the two data connections, data can be exchanged between the two computers from the first computer to the second computer and / or from the second computer to the first computer.
Jede der beiden Datenverbindungen kann dabei auf unterschiedliche Weise physikalisch ausgebildet sein. Eine Datenverbindung kann hierbei drahtgebunden aufgebaut sein, d.h., Daten können zwischen den beiden Rechnern über die Rechner verbindende Geräte und/oder Kabel übertragen werden. Alternativ kann eine Datenverbindung drahtlos aufgebaut sein, d.h. Daten können beispielsweise zwischen den beiden Rechnern über Funk übertragen werden. Each of the two data connections can be designed physically in different ways. A data connection can be established by wire, i.e. data can be transmitted between the two computers via devices and / or cables connecting the computers. Alternatively, a data connection can be established wirelessly, i.e. data can be transmitted between the two computers via radio, for example.
Dabei ist wesentlich, dass die zweite Datenverbindung ausschließlich innerhalb des geschützten Raums verläuft. Anders ausgedrückt soll die zweite Datenverbindung ausschließlich implementiert werden können, wenn sich sowohl der erste Rechner als auch der zweite Rechner innerhalb des geschützten Raums befinden. Mit nochmals anderen Worten soll die zweite Datenverbindung weder von außerhalb des geschützten Raums etabliert werden können noch von außerhalb des geschützten Raums abgehört werden können. Bei dem hierin vorgeschlagenen Kommunikationsverfahren sollen dann zuerst Authentifizierungsdaten durch den ersten Rechner erzeugt werden, mittels welchen sich der zweite Rechner am ersten Rechner authentisieren kann. Die Authentifizierungsdaten enthalten zumindest einen geheim zu haltenden Schlüssel. Der geheim zu haltende Schlüssel wird von dem ersten Rechner an den zweiten Rechner über die zweite Datenverbindung übermittelt. Der geheim zu haltende Schlüssel kann beispielsweise Teil eines Schlüsselpaares aus einem öffentlichen Schlüssel und einem mit diesem korrelierenden privaten Schlüssels sein. Insbesondere kann der geheim zu haltende Schlüssel der private Schlüssel eines solchen Schlüsselpaares sein. It is essential that the second data connection runs exclusively within the protected area. In other words, the second data connection should only be able to be implemented when both the first computer and the second computer are located within the protected area. In yet other words, the second data connection should neither be able to be established from outside the protected area nor can it be eavesdropped from outside the protected area. In the communication method proposed here, authentication data should first be generated by the first computer, by means of which the second computer can authenticate itself on the first computer. The authentication data contain at least one key to be kept secret. The key to be kept secret is transmitted from the first computer to the second computer via the second data connection. The key to be kept secret can, for example, be part of a key pair made up of a public key and a private key correlating with it. In particular, the key to be kept secret can be the private key of such a key pair.
Den geheim zu haltenden Schlüssel dieser Authentifizierungsdaten schickt der erste Rechner jedoch nicht über die erste Datenverbindung, sondern über die zweite Datenverbindung an den zweiten Rechner. Auf diese Weise kann der erste Rechner sicher sein, dass der geheime Schlüssel der Authentifizierungsdaten an einen Rechner geschickt wurden, der sich innerhalb des geschützten Raums befindet. Somit kann der erste Rechner davon ausgehen, dass der den geheim zu haltenden Schlüssel empfangende zweite Rechner für einen Datenaustausch mit dem ersten Rechner autorisiert ist, da er ansonsten nicht in den geschützten Raum hätte gelangen dürfen. Weiter kann der erste Rechner davon ausgehen, dass der geheime Schlüssel nur einem zweiten Rechner bekannt sein kann, der für die Kommunikation mit dem ersten Rechner autorisiert ist. However, the first computer does not send the key of this authentication data, which is to be kept secret, to the second computer via the first data connection, but rather via the second data connection. In this way, the first computer can be sure that the secret key of the authentication data has been sent to a computer that is located within the protected area. The first computer can therefore assume that the second computer receiving the key to be kept secret is authorized to exchange data with the first computer, since otherwise it would not have been allowed to enter the protected area. The first computer can also assume that the secret key can only be known to a second computer that is authorized for communication with the first computer.
Nachdem der zweite Rechner zumindest den geheim zu haltenden Schlüssel empfangen hat, wird zwischen dem ersten und dem zweiten Rechner eine verschlüsselte Datenkommunikation aufgebaut, wobei die Authentifizierungsdaten zumindest für die Authentifizierung des zweiten Rechners durch den ersten Rechner verwendet werden. . After the second computer has received at least the key to be kept secret, encrypted data communication is established between the first and the second computer, the authentication data being used at least for the authentication of the second computer by the first computer. .
Dabei wird diese Datenkommunikation jedoch nicht über die zweite Datenverbindung, sondern über die erste Datenverbindung, über die der erste Rechner auch mit anderen Rechnern verbunden ist und die im Allgemeinen andere Datenübertragungseigenschaften aufweist als die zweite Datenverbindung, aufgebaut. However, this data communication is not established via the second data connection, but via the first data connection, via which the first computer is also connected to other computers and which generally has different data transmission properties than the second data connection.
Der erste Rechner kann somit im Rahmen der aufgebauten verschlüsselten Datenkommunikation die Authentizität des zweiten Rechners prüfen. Durch das beschriebene Verfahren und das hierzu speziell ausgestaltete Rechnemetzwerk kann sichergestellt werden, dass eine für bestimmte Anwendungsfälle notwendige Datenkommunikation von dem ersten Rechner nur mit hierzu autorisierten Rechnern, die sich innerhalb des geschützten Raumes befinden, aufgebaut werden kann. Dabei kann die derart geschützte Datenkommunikation mit sehr einfachen Hardware-Mitteln aufgebaut werden. The first computer can thus check the authenticity of the second computer within the framework of the encrypted data communication established. The method described and the computer network specially designed for this purpose can ensure that data communication required for certain applications can only be established from the first computer with computers that are authorized for this purpose and that are located within the protected area. The data communication protected in this way can be set up with very simple hardware means.
Gemäß einer Ausführungsform ist die erste Datenverbindung für eine Daten kommunikation mit einer höheren Datenübertragungsrate konfiguriert als die zweite Datenverbindung . According to one embodiment, the first data connection is configured for data communication at a higher data transmission rate than the second data connection.
Anders ausgedrückt kann die erste Datenverbindung aufgrund ihrer physikalischen Ausgestaltung und/oder der für diese eingesetzten Hardware und Software dazu ausgelegt sein, Daten mit einer höheren Übertragungsrate zu übertragen als die zweite Datenverbindung. Die erste Datenverbindung kann somit für eine größere Bandbreite ausgelegt sein als die zweite Datenverbindung. Beispielsweise kann die über die erste Datenverbindung zu etablierende Datenübertragungsrate mehr als doppelt so groß, vorzugweise mehr als zehnfach so groß, sein wie diejenige der zweiten Datenverbindung. Während die erste Datenverbindung somit für einen hohen Datendurchsatz ausgelegt sein kann, kann die zweite Datenverbindung mit technisch einfacheren Mitteln etabliert werden, da sie lediglich eine geringe Übertragungsrate zu ermöglichen braucht. In other words, due to its physical configuration and / or the hardware and software used for it, the first data connection can be designed to transmit data at a higher transmission rate than the second data connection. The first data connection can thus be designed for a larger bandwidth than the second data connection. For example, the data transmission rate to be established via the first data connection can be more than twice as high, preferably more than ten times as high, as that of the second data connection. While the first data connection can thus be designed for a high data throughput, the second data connection can be established with technically simpler means, since it only needs to enable a low transmission rate.
Gemäß einer Ausführungsform ist die erste Datenverbindung auch für Teilnehmer des Rechnemetzwerks, die sich außerhalb des geschützten Raums befinden, zugänglich. According to one embodiment, the first data connection is also accessible to subscribers in the computer network who are located outside the protected area.
Mit anderen Worten kann die erste Datenverbindung derart ausgestaltet sein, dass über sie auch Rechner mit dem ersten Rechner kommunizieren können, die nicht innerhalb des geschützten Raums angeordnet sind, sondern sich extern zu diesem befinden. Beispielsweise kann die erste Datenverbindung Teil eines lokalen Netzwerks (LAN - local area network), eines weiten Netzwerks (WAN - wide area network) oder eines sogar globalen Datennetzwerks wie zum Beispiel dem Internet sein, über die jeweils eine Vielzahl von Rechnern innerhalb und außerhalb des geschützten Raumes miteinander kommunizieren können. Gemäß einer Ausführungsform kann die erste Datenverbindung eine Ethemetverbindung sein. In other words, the first data connection can be configured in such a way that it can also be used to communicate with the first computer via computers that are not located within the protected space, but are external to it. For example, the first data connection can be part of a local network (LAN - local area network), a wide network (WAN - wide area network) or even a global data network such as the Internet, via which a large number of computers inside and outside the protected space can communicate with each other. According to one embodiment, the first data connection can be an Ethernet connection.
Ethemetverbindungen stellen eine seit langem etablierte und weitgehend standardisierte Möglichkeit zur Datenübermittlung zwischen mehreren Rechnern dar. Ethemet verbindungen setzen Software in Form von Protokollen usw. sowie Hardware in Form von Kabeln, Verteilern, Netzwerkkarten usw. ein, welche für kabelgebundene Datennetze spezifiziert sind und welche ursprünglich für lokale Datennetze (LAN - local area network) konzipiert wurden. Sie ermöglichen einen Datenaustausch mithilfe von Datenframes zwischen den in einem lokalen Netz angeschlossenen Geräten. Derzeit sind Übertragungsraten von bis zu 400 Gigabit/s möglich. In seiner ursprünglichen Form erstreckt sich ein mit Ethemetverbindungen etabliertes Datennetzwerk typischerweise über ein Gebäude, Ethemet-Varianten über Glasfaser können jedoch eine Reichweite von bis zu 70 km aufweisen. Ethernet connections are a long-established and largely standardized option for data transmission between several computers. Ethernet connections use software in the form of protocols, etc., and hardware in the form of cables, distributors, network cards, etc., which are specified for wired data networks and which are originally for local area networks (LAN). They enable data to be exchanged between the devices connected in a local network using data frames. Transmission rates of up to 400 gigabit / s are currently possible. In its original form, a data network established with Ethernet connections typically extends over a building, but Ethernet variants over fiber optics can have a range of up to 70 km.
Gemäß einer Ausführungsform kann die zweite Datenverbindung ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner und dem zweiten Rechner zulassen. According to one embodiment, the second data connection can only allow data to be transmitted between the first computer and the second computer.
Damit kann sich die zweite Datenverbindung von der ersten Datenverbindung unterscheiden, die gmndsätzlich eine Übermittlung von Daten zwischen dem ersten Rechner und einer Vielzahl anderer Rechner zulassen kann. Die zweite Datenverbindung kann damit sicherstellen, dass über sie ausschließlich Daten zwischen dem ersten und dem zweiten Rechner, nicht aber mit anderen Rechnern, ausgetauscht werden können. The second data connection can thus differ from the first data connection, which in principle can allow data to be transmitted between the first computer and a large number of other computers. The second data connection can thus ensure that only data can be exchanged via it between the first and the second computer, but not with other computers.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine drahtgebundene Datenverbindung sein. According to one embodiment, the second data connection can be a wired data connection.
Eine solche drahtgebundene Datenverbindung kann ein oder mehrere Kabel verwenden, welche zwischen dem ersten und dem zweiten Rechner verlaufen und über welche diese beiden Rechner exklusiv Daten austauschen können. Eine drahtgebundene Daten verbindung lässt sich einerseits technisch einfach etablieren, indem beispielsweise ein Datenkabel mit seinen Steckern an entgegengesetzten Enden in jeweils einen der Rechner eingesteckt wird. Dabei kann das die Datenverbindung etablierende Datenkabel abgeschirmt sein, sodass über das Datenkabel übermittelte Daten nicht von außen her abgehört werden können. Somit erfolgt die Datenübertragung über eine solche drahtgebundene Datenverbindung exklusiv zwischen den beiden in dem geschützten Raum angeordneten ersten und zweiten Rechnern und kann von außerhalb des geschützten Raums weder manipuliert noch abgehört werden. Such a wired data connection can use one or more cables which run between the first and the second computer and via which these two computers can exclusively exchange data. On the one hand, a wired data connection can be established in a technically simple manner by, for example, plugging a data cable with its plugs into one of the computers at opposite ends. The data cable establishing the data connection can be used shielded so that data transmitted via the data cable cannot be intercepted from outside. Thus, the data transmission takes place via such a wired data connection exclusively between the two first and second computers arranged in the protected space and can neither be manipulated nor eavesdropped from outside the protected space.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine serielle Datenverbindung sein. According to one embodiment, the second data connection can be a serial data connection.
Eine serielle Datenverbindung ermöglicht, Daten beispielsweise in Form einzelner Bits sequenziell zwischen Kommunikationspartnem zu übertragen. Eine solche serielle Datenverbindung kann mit sehr einfachen technischen Mitteln etabliert werden, beispielsweise mit einem einzelnen Draht oder Kabel, welche gegebenenfalls geschirmt sein können. A serial data connection enables data to be transmitted sequentially between communication partners, for example in the form of individual bits. Such a serial data connection can be established with very simple technical means, for example with a single wire or cable, which can optionally be shielded.
Gemäß einer Ausführungsform kann die zweite Datenverbindung eine unidirektionale Datenverbindung sein. According to one embodiment, the second data connection can be a unidirectional data connection.
Unter einer unidirektionalen Datenverbindung, welche manchmal auch als monodirektionale Datenverbindung bezeichnet wird, kann dabei eine Datenverbindung verstanden werden, welche eine Datenübertragung ausschließlich in einer Richtung zulässt, nicht aber in der entgegengesetzten Richtung. Während ein Kabel typischerweise Daten nicht nur unidirektional übertragen kann, können die an dem ersten und dem zweiten Rechner vorzusehenden Schnittstellen, die mit dem Kabel verbunden werden, und die Teil der Datenverbindung sind, sehr wohl für eine solche unidirektionale Datenkommunikation ausgelegt sein. Hierzu kann beispielsweise die an dem ersten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein, Daten zu senden, aber nicht zu empfangen, wohingegen die an dem zweiten Rechner vorgesehene Schnittstelle lediglich dazu ausgestaltet sein kann, Daten zu empfangen, nicht aber zu senden. Mithilfe einer solchen unidirektionalen Datenverbindung kann eine besonders vertrauliche Datenübermittlung etabliert werden. Insbesondere kann gemäß einer konkretisierten Ausführungsform über die zweite Datenverbindung ausschließlich eine Übermittlung von Daten von dem ersten Rechner zu dem zweiten Rechner ermöglicht sein. A unidirectional data connection, which is sometimes also referred to as a monodirectional data connection, can be understood to mean a data connection which allows data transmission only in one direction, but not in the opposite direction. While a cable can typically not only transmit data unidirectionally, the interfaces to be provided on the first and second computers, which are connected to the cable and which are part of the data connection, can very well be designed for such unidirectional data communication. For this purpose, for example, the interface provided on the first computer can only be configured to send data but not receive it, whereas the interface provided on the second computer can only be configured to receive data, but not to send it. With the help of such a unidirectional data connection, a particularly confidential data transmission can be established. In particular, according to a specific embodiment, only a transmission of data from the first computer to the second computer can be made possible via the second data connection.
Indem für die zweite Datenverbindung zwischen dem ersten Rechner und dem zweiten Rechner eine solche unidirektionale Datenverbindung eingesetzt wird, kann sichergestellt werden, dass von dem ersten Rechner zwar geheim zu haltende Daten wie zum Beispiel die Authentifizierungsdaten an den zweiten Rechner geschickt werden können, in umgekehrter Richtung aber weder der zweite Rechner noch irgendein anderer Rechner Daten an den ersten Rechner übermitteln kann. Hierdurch kann eine Sicherheit der Datenkommunikation verbessert werden und insbesondere ein Risiko von Manipulationen an dem ersten Rechner verringert werden. By using such a unidirectional data connection for the second data connection between the first computer and the second computer, it can be ensured that data that are to be kept secret, such as authentication data, can be sent from the first computer to the second computer in the opposite direction but neither the second computer nor any other computer can transmit data to the first computer. This makes it possible to improve the security of the data communication and, in particular, to reduce the risk of manipulation on the first computer.
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet, wobei der Schlüssel auf dem ersten Rechner wie auch auf dem zweiten Rechner gespeichert wird. According to one embodiment, the key to be kept secret is formed by a key for symmetrical data encryption, the key being stored on the first computer as well as on the second computer.
Anders ausgedrückt ist die zwischen dem ersten und dem zweiten Rechner aufzubauende Datenkommunikation gemäss dieser Ausführungsform eine symmetrische Verschlüsselung In other words, according to this embodiment, the data communication to be established between the first and the second computer is symmetrical encryption
Gemäß einer Ausführungsform ist der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners ausgebildet. Beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner wird ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner erstellt. Die Authentifizierungsdaten umfassen in diesem Fall zumindest den privaten Schlüssel und den öffentlichen Schlüssel. According to one embodiment, the key to be kept secret is formed by a private key of the second computer. When the authentication data is generated by the first computer, a public key corresponding to the private key is generated by the first computer. In this case, the authentication data include at least the private key and the public key.
Mit anderen Worten können Authentifizierungsdaten ein Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel umfassen, wobei der private Schlüssel über die zweite Datenverbindung vom ersten Rechner an den zweiten Rechner übertragen wird In other words, authentication data can include a key pair with a private and a public key, the private key being transmitted from the first computer to the second computer via the second data connection
Gemäß einer Ausführungsform wird der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert. Mit anderen Worten wird der öffentliche Schlüssel des zweiten Rechners auf dem ersten Rechner derart gespeichert, dass er zu einem späteren Zeitpunkt als vertrauenswürdig erkennbar ist According to one embodiment, the public key is stored on the first computer in a list of authorized keys. In other words, it becomes public The key of the second computer is stored on the first computer in such a way that it can be recognized as trustworthy at a later point in time
Anders ausgedrückt wird der öffentliche Schlüssel, der Teil eines als Authentifizierungsdaten dienenden Schlüsselpaares ist und der von dem ersten Rechner selbst erzeugt und dann abgespeichert wird, als vertrauenswürdig gespeichert, sodass bei einer späteren Etablierung einer verschlüsselten Datenkommunikation für den ersten Rechner ersichtlich ist, dass der zugehörige Kommunikationspartner-Rechner vertrauenswürdig, d.h. autorisiert, ist. In other words, the public key, which is part of a key pair serving as authentication data and which is generated by the first computer itself and then stored, is stored as trustworthy, so that when encrypted data communication is established later for the first computer it can be seen that the associated Communication partner computer is trustworthy, ie authorized.
Gemäß einer Ausführungsform wird der öffentliche Schlüssel durch den ersten Rechner signiert und dieser signierte Schlüssel bildet zusammen mit dem privaten Schlüssel die Authentifizierungsdaten. Der signierte Schlüssel kann ebenfalls an den zweiten Rechner übermittelt werden. Der signierte Schlüssel wird auch als Zertifikat bezeichnet beziehungsweise kann ein Zertifikat bilden. According to one embodiment, the public key is signed by the first computer and this signed key, together with the private key, forms the authentication data. The signed key can also be transmitted to the second computer. The signed key is also referred to as a certificate or can form a certificate.
Somit kann beispielsweise der zweite Rechner eine verschlüsselte Verbindung zwischen dem zweiten Rechner und dem ersten Rechner mittels Transport Layer Security oder auch mittels Secure Sockets Layer aufbauen, wobei der erste Rechner die Authentizität des zweiten Rechner prüfen kann. Der zweite Rechner kann auf das prüfen der Authentizität des ersten Rechners verzichten. Dies könnte jedoch optional durchgeführt werden. Thus, for example, the second computer can set up an encrypted connection between the second computer and the first computer using Transport Layer Security or also using Secure Sockets Layer, the first computer being able to check the authenticity of the second computer. The second computer can dispense with checking the authenticity of the first computer. However, this could be done optionally.
Es wird daraufhingewiesen, dass einige der möglichen Merkmale und Vorteile der Erfindung hierin mit Bezug auf unterschiedliche Ausführungsformen einerseits eines Kommunikationsverfahrens und andererseits eines zur Ausführung dieses Verfahrens konzipierten Rechnemetzwerks beschrieben sind. Ein Fachmann erkennt, dass die Merkmale in geeigneter Weise übertragen, kombiniert, angepasst oder ausgetauscht werden können, um zu weiteren Ausführungsformen der Erfindung zu gelangen. It is pointed out that some of the possible features and advantages of the invention are described herein with reference to different embodiments, on the one hand, of a communication method and, on the other hand, of a computer network designed to carry out this method. A person skilled in the art recognizes that the features can be transferred, combined, adapted or exchanged in a suitable manner in order to arrive at further embodiments of the invention.
Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügte Zeichnung beschrieben, wobei weder die Zeichnung noch die Beschreibung als die Erfindung einschränkend auszulegen sind. Fig. 1 zeigt eine Personentransportanlage in Form einer Aufzuganlage mit einem Rechnemetzwerk gemäß einer Ausführungsform der vorliegenden Erfindung. Embodiments of the invention are described below with reference to the accompanying drawing, neither the drawing nor the description being to be construed as restricting the invention. 1 shows a passenger transport system in the form of an elevator system with a computer network according to an embodiment of the present invention.
Die Figur ist lediglich schematisch und nicht maßstabsgetreu. Gleiche Bezugszeichen bezeichnen gleiche oder gleichwirkende Merkmale. The figure is only schematic and not true to scale. Identical reference symbols denote identical or identically acting features.
Fig. 1 zeigt eine Personentransportanlage 1 in Form einer Aufzuganlage 3. Innerhalb eines Aufzugschachts 5 wird dabei eine Aufzugkabine 7 von einer Antriebsmaschine 9 vertikal verlagert. Die Antriebsmaschine 9 wird von einer Aufzugsteuerung 11 gesteuert. Die Aufzugsteuerung 11 verfügt dabei über einen ersten Rechner 13 bzw. wird von diesem gesteuert. 1 shows a passenger transport system 1 in the form of an elevator system 3. Within an elevator shaft 5, an elevator car 7 is displaced vertically by a drive machine 9. The drive machine 9 is controlled by an elevator control 11. The elevator control 11 has a first computer 13 or is controlled by it.
Der erste Rechner ist Teil eines Rechnemetzwerks 15, in dem mehrere Rechner 19, 21, 23 über eine erste Datenverbindung 17 mit dem ersten Rechner 13 kommunizieren können. Rechner 19 können sich dabei innerhalb eines Maschinenraums 25, in dem sich auch die Steuerung 11 und der erste Rechner 13 befinden, aufgenommen sein. Andere Rechner 21, 23 können sich außerhalb dieses Maschinenraums 25 befinden. The first computer is part of a computer network 15 in which several computers 19, 21, 23 can communicate with the first computer 13 via a first data connection 17. Computers 19 can be accommodated within a machine room 25 in which the controller 11 and the first computer 13 are also located. Other computers 21, 23 can be located outside this machine room 25.
Die erste Datenverbindung 17 kann eine Ethemetverbindung sein und kann hohe Daten übertragungsraten von beispielsweise einigen Kilobit pro Sekunde über einige Megabit pro Sekunde bis hin zu einigen Gigabit pro Sekunde ermöglichen. The first data connection 17 can be an Ethernet connection and can enable high data transmission rates of, for example, a few kilobits per second through a few megabits per second up to a few gigabits per second.
Beispielsweise um Konfigurationsmaßnahmen oder Wartungsmaßnahmen an der Personentransportanlage 1, insbesondere an deren Steuerung 11 durchführen zu können, kann es notwendig sein, einen zweiten Rechner 27 mit dem ersten Rechner 13 Daten austauschen zu lassen. Der zweite Rechner 27 kann beispielsweise Teil eines Wartungswerkzeugs sein, welches von einem Techniker 31 mitgebracht und/oder bedient wird, um die Steuerung 11 zu konfigurieren. Der zweite Rechner 27 befindet sich dabei innerhalb des Maschinenraums 25. Da dieser Maschinenraum 25 von Personen ausschließlich durch eine verriegelbare Tür 33 betreten werden kann, kann er als gegen unautorisierten Zutritt geschützter Raum 35 angesehen werden. Der zweite Rechner 27 ist dabei einerseits mit dem ersten Rechner 13 über die erste Datenverbindung 17 verbunden und kann über diese Daten mit einer hohen Datenübertragungsrate mit dem ersten Rechner 13 austauschen. For example, in order to be able to carry out configuration measures or maintenance measures on the passenger transport system 1, in particular on its controller 11, it may be necessary to have a second computer 27 exchange data with the first computer 13. The second computer 27 can, for example, be part of a maintenance tool that is brought along and / or operated by a technician 31 in order to configure the controller 11. The second computer 27 is located within the machine room 25. Since this machine room 25 can only be entered by people through a lockable door 33, it can be viewed as a room 35 protected against unauthorized access. The second computer 27 is connected to the first computer 13 via the first data connection 17 and can use this to exchange data with the first computer 13 at a high data transmission rate.
Ergänzend ist der zweite Rechner 27 andererseits mit dem ersten Rechner 13 auch über eine zweite Datenverbindung 29 verbunden. Diese zweite Datenverbindung 29 verläuft dabei ausschließlich innerhalb des Maschinenraums 25. Sie ist vorzugsweise als drahtgebundene Datenverbindung ausgestaltet und dient ausschließlich einer Übermittlung von Daten zwischen dem ersten Rechner 13 und dem zweiten Rechner 27. Die zweite Datenverbindung 29 ist dabei als serielle und unidirektionale Datenverbindung derart ausgestaltet, dass sie lediglich eine Übermittlung von Daten von dem ersten Rechner 13 in einer Richtung hin zu dem zweiten Rechner 27, nicht aber in entgegengesetzter Richtung, ermöglicht. In addition, the second computer 27 is on the other hand connected to the first computer 13 via a second data connection 29. This second data connection 29 runs exclusively within the engine room 25. It is preferably designed as a wired data connection and is used exclusively to transmit data between the first computer 13 and the second computer 27. The second data connection 29 is designed as a serial and unidirectional data connection that it only enables data to be transmitted from the first computer 13 in one direction to the second computer 27, but not in the opposite direction.
Mit dem hierin beschriebenen Rechnemetzwerk 15 und dem damit durchzuführenden Kommunikationsverfahren kann ein Ansatz beschrieben werden, um einen Datenaustausch und insbesondere eine Handhabung von Authentifizierungsdaten und/oder Verschlüsselungsdaten zwischen zwei Rechnern 13, 27, die sich in nächster Nähe zueinander und gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum 35 befinden, sicher und einfach zu gestalten. With the computer network 15 described here and the communication method to be carried out with it, an approach can be described for data exchange and, in particular, handling of authentication data and / or encryption data between two computers 13, 27 that are in close proximity to each other and jointly in an unauthorized access protected space 35, safe and easy to design.
Die beiden Rechner können hierbei unterschiedliche Rollen annehmen bzw. Aufgaben erfüllen. Der erste Rechner 13 kann als Server bzw. Host-Rechner beispielsweise die Steuerung 11 der Aufzuganlage 3 steuern und dadurch für einen korrekten und sicheren Betrieb der Aufzuganlage 3 verantwortlich sein. Der zweite Rechner 27 kann ein Client- Rechner sein, der mit der Steuerung 11 interagieren können soll. Ein solcher Client- Rechner kann beispielsweise Statusinformationen anzeigen und/oder modifizieren und kann zur Wartung oder Fehlerbehebung einer Aufzuganlage 3 eingesetzt werden. The two computers can assume different roles or perform different tasks. As a server or host computer, the first computer 13 can, for example, control the controller 11 of the elevator system 3 and thereby be responsible for correct and safe operation of the elevator system 3. The second computer 27 can be a client computer that should be able to interact with the controller 11. Such a client computer can, for example, display and / or modify status information and can be used for maintenance or troubleshooting of an elevator installation 3.
Es muss sichergestellt sein, dass ausschließlich authentifizierten Client-Rechnern erlaubt ist, mit dem Server bzw. Host-Rechner zu interagieren und Daten auszutauschen, um hierdurch eine Sicherheit der Aufzuganlage 3 zu gewährleisten. Der hierin vorgeschlagene Ansatz versucht, die Aufgabe der Steuerung 11 bzw. von deren erstem Rechner 13, den als Client-Rechner wirkenden zweiten Rechner 27 in dem geschützten Raum 35 zu authentifizieren, zu vereinfachen. Mit anderen Worten soll gewährleistet sein, dass der Client-Rechner autorisiert ist, eine Datenkommunikation mit der Steuerung 11 bzw. dem ersten Rechner 13 durchzuführen. It must be ensured that only authenticated client computers are allowed to interact with the server or host computer and to exchange data in order to ensure the safety of the elevator system 3. The approach proposed here attempts to simplify the task of the controller 11, or of its first computer 13, of authenticating the second computer 27 acting as a client computer in the protected space 35. In other words, it should be ensured that the client computer is authorized to carry out data communication with the controller 11 or the first computer 13.
Dabei basiert der beschriebene Ansatz unter anderem und insbesondere auf folgenden Annahmen: i) Client-Rechner und Host-Rechner, d.h. der erste Rechner 13 und zweite Rechner 27, sind alle mit demselben lokalen Netzwerk verbunden, das heißt, können über die gemeinsame erste Datenverbindung 17 miteinander kommunizieren. Dieses Netzwerk wird als Verbindung mit breiter Bandbreite eingesetzt und von allen Rechnern geteilt, um ein LAN der Aufzuganlage 3 zu bilden. ii) Der Client-Rechner, d.h. der zweite Rechner 27, befindet sich zusammen mit dem ersten Rechner 13 innerhalb des geschützten Raums 35, d.h. in nächster Nähe zu dem ersten Rechner 13, mit dem er interagieren soll. iii) Der geschützte Raum 35, d.h. im genannten Beispiel der Maschinenraum 25, wird als vertrauenswürdig angesehen. Es wird angenommen, dass dieser Raum 35 über ausreichende physikalische Barrieren wie beispielsweise die verriegelbare Tür 33 verfügt, um unautorisierten Zutritt zu verhindern. iv) Auf das Netzwerk kann auch durch andere Rechner 19, 21, 23, die sich nicht notwendigerweise in der Nähe des ersten Rechners 13 befinden, d.h. durch andere Rechner 19, 21, 23, die nicht innerhalb des geschützten Raums 35 angeordnet sind, zugegriffen werden. v) Der Datenaustausch muss gesichert erfolgen. D.h. ausschließlich autorisierte Client- Rechner dürfen über das lokale Netzwerk mit dem Server kommunizieren. vi) Ein Weitverkehrsnetzwerk (WAN -wide area network) wie beispielsweise das Internet kann verfügbar sein, um mit den Mitgliedern des lokalen Netzwerks interagieren zu können. vii) Das lokale Netzwerk, das heißt die erste Datenverbindung 17, sollte nicht verwendet werden dürfen, um geheim zu haltende Daten wie die Authentifizierungsdaten oder entsprechend einzusetzende Verschlüsselungsdaten auszutauschen, um die Möglichkeit auszuschließen, dass diese von einem den Datenverkehr belauschenden Angreifer mitgelesen werden. Herkömmlich werden solche Annahmen bzw. Probleme gelöst, indem geheim zu haltende Daten schrittweise beispielsweise in Form von Softwareschlüsseln oder Zertifikaten definiert werden, die den Client-Rechner identifizieren und von dem Host- Rechner als authentisch erkannt werden. Dies kann jedoch die folgenden logistischen Herausforderungen mit sich bringen: The approach described is based inter alia and in particular on the following assumptions: i) Client computer and host computer, ie first computer 13 and second computer 27, are all connected to the same local network, that is, can use the common first data connection 17 communicate with each other. This network is used as a connection with a wide bandwidth and shared by all computers in order to form a LAN for the elevator system 3. ii) The client computer, ie the second computer 27, is located together with the first computer 13 within the protected space 35, ie in close proximity to the first computer 13 with which it is to interact. iii) The protected space 35, that is to say the engine room 25 in the example mentioned, is regarded as trustworthy. It is believed that this room 35 has sufficient physical barriers, such as the lockable door 33, to prevent unauthorized entry. iv) The network can also be accessed by other computers 19, 21, 23 that are not necessarily in the vicinity of the first computer 13, ie by other computers 19, 21, 23 that are not located within the protected space 35 become. v) The data exchange must be secure. This means that only authorized client computers are allowed to communicate with the server via the local network. vi) A wide area network (WAN) such as the Internet may be available to interact with members of the local area network. vii) The local network, i.e. the first data connection 17, should not be allowed to be used to exchange data to be kept secret, such as authentication data or encryption data to be used accordingly, in order to rule out the possibility that this could be read by an attacker eavesdropping on the data traffic. Conventionally, such assumptions or problems are solved by gradually defining data to be kept secret, for example in the form of software keys or certificates, which identify the client computer and are recognized as authentic by the host computer. However, this can present the following logistical challenges:
I) Alle geheim zu haltenden Daten müssen unterschiedlich sein. Trifft dies nicht zu, kann ein Reverse-Engineering des Schlüssels oder des Zertifikats eines Client-Rechners in einfacher Weise ermöglichen, geheim zu haltende Daten zu duplizieren oder zu klonen und diese dann in gefälschten Client-Rechnern zu installieren, die von allen Kontrollern in dem Netzwerk akzeptiert werden. I) All data to be kept secret must be different. If this is not the case, reverse engineering of the key or the certificate of a client computer can easily make it possible to duplicate or clone data to be kept secret and then to install this in fake client computers that are controlled by all controllers in the Network are accepted.
II) Geheim zu haltende Daten wie Schlüssel oder Zertifikate können zum Zeitpunkt einer Herstellung eines Rechners oder einer Baugruppe als unterschiedlich erzeugt werden, indem auf einen zertifizierten Autoritätsrechner, der für die Erzeugung solcher Schlüssel und Zertifikate verantwortlich ist, zugegriffen wird. Dies ist zwar möglich, führt aber eine komplexe zusätzliche Infrastruktur in eine Herstellungskette ein. II) Data to be kept secret, such as keys or certificates, can be generated as different at the time of manufacture of a computer or an assembly by accessing a certified authority computer that is responsible for generating such keys and certificates. While this is possible, it introduces complex additional infrastructure into a manufacturing chain.
III) Die Mechanismen, die von dem Autoritätsrechner, der die geheim zu haltenden Daten generiert, verwendet werden, können Datenlecks aufweisen. Dies kann zu der Möglichkeit führen, illegale, wenngleich authentifizierte Schlüssel oder Zertifikate nach Belieben erzeugen zu können. III) The mechanisms used by the authority computer that generates the data to be kept secret can have data leaks. This can lead to the possibility of being able to generate illegal, albeit authenticated, keys or certificates at will.
IV) Solche Datenlecks können schwierig zu detektieren und zu korrigieren sein. Letzteres kann einen komplexen Vorgang erfordern, um geheim zu haltende Daten in einem gesamten Netzwerk als ungültig zu erklären bzw. durch neue Daten zu ersetzen. IV) Such data leaks can be difficult to detect and correct. The latter can require a complex process in order to declare data to be kept secret in an entire network as invalid or to replace it with new data.
V) Schlüssel und Zertifikate können eine Art Verfallsdatum aufweisen, d.h. eine begrenzte Gültigkeit besitzen, um die Risiken zeitlich unbegrenzter Sicherheitslücken zu reduzieren. Ein Erzeugen und Installieren neuer Schlüssel und Zertifikate beispielsweise in periodischen Intervallen kann jedoch zu erhöhten Logistikkosten führen, beispielsweise, wenn keine Intemetverbindung verfügbar ist und ein Besuch vor Ort erforderlich ist, um solche Schlüssel und Zertifikate zu installieren. V) Keys and certificates can have a kind of expiry date, i.e. have a limited validity in order to reduce the risks of security gaps that are not limited in time. Generating and installing new keys and certificates, for example at periodic intervals, can, however, lead to increased logistics costs, for example if no Internet connection is available and a visit on site is required to install such keys and certificates.
Mit dem hierin vorgeschlagenen Ansatz kann eine parallele Verbindung zwischen dem als Client-Rechner dienenden zweiten Rechner 27 und dem als Server-Rechner dienenden ersten Rechner 13 etabliert werden, die als verlässlich angenommen werden kann. Dabei kann die zweite Datenverbindung 29 beispielsweise in Form eines kurzen seriellen Kabels mit einer physikalischen unidirektionalen Übertragungsfähigkeit von dem Server- Rechner zu dem Client-Rechner für einen sicheren Austausch von geheim zu haltenden Daten eingesetzt werden. With the approach proposed here, a parallel connection can be established between the second computer 27 serving as the client computer and the first computer 13 serving as the server computer, which connection can be assumed to be reliable. The second data connection 29 can be used, for example, in the form of a short serial cable with a physical unidirectional transmission capability from the server computer to the client computer for a secure exchange of data to be kept secret.
Aus offensichtlichen Gründen kann das die zweite Datenverbindung 29 etablierende Kabel den Client-Rechner mit dem Server-Rechner verbinden, da diese als in räumlicher Nähe zueinander angeordnet angenommen werden. Das Kabel kann auch als gegen physischen Zugriff gesichert angenommen werden, da es sich in dem geschützten Raum 35 befindet und daher nicht leicht zugänglich ist für Mithör- oder Lauschangriffe. Eine Ausgestaltung, bei der das Kabel nur eine unidirektionale Datenübermittlung ermöglicht, kann helfen, eine Durchführung eines Lauschangriffs weiter zu erschweren. For obvious reasons, the cable establishing the second data connection 29 can connect the client computer to the server computer, since these are assumed to be arranged in spatial proximity to one another. The cable can also be assumed to be secured against physical access, since it is located in the protected space 35 and is therefore not easily accessible for eavesdropping or eavesdropping. A configuration in which the cable only enables unidirectional data transmission can help to make it even more difficult to carry out an eavesdropping attack.
Eine mögliche Sequenz zur Durchführung einer Ausführungsform des hierin vorgeschlagenen Kommunikationsverfahrens kann wie folgt aussehen: A possible sequence for carrying out an embodiment of the communication method proposed herein can be as follows:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel des zweiten Rechners 27 und einen öffentlichen Schlüssel des zweiten Rechners 27. 1) The first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer. The authentication data contain a key of the second computer 27 to be kept secret and a public key of the second computer 27.
2) Der erste Rechner 13 speichert den öffentlichen Schlüssel beispielsweise in einer Liste autorisierter Schlüssel. Diese Liste kann später verwendet werden, um einen Client- Rechner wie den zweiten Rechner 27 zu authentifizieren. Die Liste kann beispielsweise durch eine Datei, eine Datenbank oder auch durch eine Verzeichnisstruktur und Dateien ausgebildet sein. 2) The first computer 13 stores the public key, for example in a list of authorized keys. This list can be used later to authenticate a client computer such as the second computer 27. The list can be formed, for example, by a file, a database or also by a directory structure and files.
Alternativ oder zusätzlich kann der erste Rechner 13 den öffentlichen Schlüssel der Authentifizierungsdaten auch mit einem eigenen privaten Schlüssel signieren. Der signierte, öffentliche Schlüssel der Authentifizierungsdaten wird im Folgenden auch als Zertifikat bezeichnet. As an alternative or in addition, the first computer 13 can also sign the public key of the authentication data with its own private key. The signed, public key of the authentication data is also referred to as the certificate in the following.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel der Authentifizierungsdaten an den zweiten Rechner 27 über das serielle, vorzugsweisen unidirektionale Kabel 29 beispielsweise mit einem Standard-Serien-Protokoll wie zum Beispiel RS232. Der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat kann ebenfalls an den zweiten Rechner übertragen werden, wobei diese Übertragung entweder über die erste Datenverbindung 17 oder über die zweiten Datenverbindung 29 erfolgen kann. 3) The first computer 13 sends the key of the authentication data to be kept secret to the second computer 27 via the serial, preferably unidirectional cables 29, for example with a standard serial protocol such as RS232. The public key of the authentication data or the certificate can also be transmitted to the second computer, this transmission being able to take place either via the first data connection 17 or via the second data connection 29.
4) Nachdem der geheim zu haltende Schlüssel der Authentifizierungsdaten über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher. Ebenso kann der öffentliche Schlüssel der Authentifizierungsdaten beziehungsweise das Zertifikat abgespeichert werden, falls dieser bzw. dieses an den zweiten Rechner 27 übermittelt wurde. 4) After the key of the authentication data to be kept secret has been transmitted via the second data connection 29, the second computer 27 can store it, for example in a permanent data memory. Likewise, the public key of the authentication data or the certificate can be saved if this or this has been transmitted to the second computer 27.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte Datenkommunikation mit dem ersten Rechner über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen. 5) The second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated data communication with the first computer via the local network, that is to say via the first data connection 17.
6) Der erste Rechner 13 kann den zweiten Rechner 27 authentifizieren, da der erste Rechner 13 den zum privaten Schlüssel der Authentifizierungsdaten korrespondierenden öffentlichen Schlüssel in der Liste der autorisieren Schlüssel hat. Alternative kann der erste Rechner 13 die Signatur des Zertifikates überprüfen. 6) The first computer 13 can authenticate the second computer 27, since the first computer 13 has the public key corresponding to the private key of the authentication data in the list of authorized keys. Alternatively, the first computer 13 can check the signature of the certificate.
Weiter wird die Datenverbindung zwischen dem ersten Rechner 13 und dem zweiten Rechner 27 verschlüsselt. Hierzu kann ein bekanntes Verschlüsselungsverfahren angewendet werden, wie beispielsweise Transport Layer Security oder Secure Sockets Layer. The data connection between the first computer 13 and the second computer 27 is also encrypted. A known encryption method, such as, for example, Transport Layer Security or Secure Sockets Layer, can be used for this purpose.
Eine weitere mögliche Ausführungsform einer Sequenz zur Durchführung des hierin vorgeschlagenen Kommunikationsverfahrens bei Verwendung eines symmetrischen Schlüssels kann wie folgt aussehen: Another possible embodiment of a sequence for carrying out the communication method proposed herein when using a symmetric key can be as follows:
1) Der erste Rechner 13 erzeugt Authentifizierungsdaten, mittels welchen sich der zweite Rechner 27 am ersten Rechner Authentifizieren kann. Die Authentifizierungsdaten enthalten einen geheim zu haltenden Schlüssel. 2) Der erste Rechner 13 speichert den geheim zu haltenden Schlüssel beispielsweise in einer Liste autorisierter, geheim zu haltender Schlüssel. Diese Liste kann später verwendet werden, um den zweiten Rechner 27 zu authentifizieren. 1) The first computer 13 generates authentication data by means of which the second computer 27 can authenticate itself on the first computer. The authentication data contain a key that is to be kept secret. 2) The first computer 13 stores the key to be kept secret, for example in a list of authorized keys to be kept secret. This list can later be used to authenticate the second computer 27.
3) Der erste Rechner 13 sendet den geheim zu haltenden Schlüssel an den zweiten Rechner 27 über das serielle, vorzugsweise unidirektionale Kabel, welches die zweiten Datenverbindung 29 bildet. Beispielsweise kann hierzu ein Standard-Serien-Protokoll wie zum Beispiel RS232 verwendet werden. 3) The first computer 13 sends the key to be kept secret to the second computer 27 via the serial, preferably unidirectional cable which forms the second data connection 29. For example, a standard serial protocol such as RS232 can be used for this.
4) Nachdem der geheim zu haltende Schlüssel über die zweite Datenverbindung 29 übermittelt wurde, kann der zweite Rechner 27 diesen abspeichem, beispielsweise in einem dauerhaften Datenspeicher. 4) After the key to be kept secret has been transmitted via the second data connection 29, the second computer 27 can store it, for example in a permanent data memory.
5) Der zweite Rechner 27 kann dann diesen geheim zu haltenden Schlüssel verwenden, um eine authentifizierte wie auch gesicherte Datenkommunikation mit dem ersten Rechner 13 über das lokale Netzwerk, das heißt über die erste Datenverbindung 17, herzustellen. 5) The second computer 27 can then use this key, which is to be kept secret, in order to establish authenticated as well as secure data communication with the first computer 13 via the local network, that is to say via the first data connection 17.
6) Der erste Rechner 13 kann den zweiten Rechner authentifizieren, da nur der erste Rechner 13 und der zweite Rechner den geheimen Schlüssel kennen. 6) The first computer 13 can authenticate the second computer, since only the first computer 13 and the second computer know the secret key.
Abschließend ist daraufhinzuweisen, dass Begriffe wie „aufweisend“, „umfassend“, etc. keine anderen Elemente oder Schritte ausschließen und Begriffe wie „eine“ oder „ein“ keine Vielzahl ausschließen. Ferner sei daraufhingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen. Finally, it should be pointed out that terms such as “having”, “comprising”, etc. do not exclude any other elements or steps and that terms such as “a” or “an” do not exclude a plurality. It should also be pointed out that features or steps that have been described with reference to one of the above exemplary embodiments can also be used in combination with other features or steps of other exemplary embodiments described above. Reference signs in the claims are not to be regarded as a restriction.

Claims

Patentansprüche Claims
1. Verfahren zum Kommunizieren von Daten in einem Rechnemetzwerk (15) zwischen einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite Datenverbindung (17, 29) miteinander verbunden sind, und wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, wobei das Verfahren umfasst: 1. A method for communicating data in a computer network (15) between a first computer (13) and a second computer (27), in particular in a passenger transport system (1), the first computer (13) and the second computer (27) are accommodated together in a room (35) protected against unauthorized access, the first computer (13) and the second computer (27) being connected to one another via a first and a second data connection (17, 29), and the second data connection ( 29) runs exclusively within the protected space (35) and the second data connection (29) only allows data to be transmitted between the first computer (13) and the second computer (27), the method comprising:
Erzeugen von Authentifizierungsdaten durch den ersten Rechner (13), wobei diese Authentifizierungsdaten zumindest einen geheim zu haltenden Schlüssel enthalten; Übermitteln des geheim zu haltenden Schlüssels von dem ersten Rechner (13) an den zweiten Rechner (27) über die zweite Datenverbindung (29); Generation of authentication data by the first computer (13), these authentication data containing at least one key to be kept secret; Transmission of the key to be kept secret from the first computer (13) to the second computer (27) via the second data connection (29);
Aufbau einer verschlüsselten Datenkommunikation zum Übertragen von Daten über die erste Datenverbindung (17) und Prüfen der Authentizität des zweiten Rechners (27) durch den ersten Rechner (13) basierend auf den Authentifizierungsdaten. Establishing an encrypted data communication for transmitting data via the first data connection (17) and checking the authenticity of the second computer (27) by the first computer (13) based on the authentication data.
2. Verfahren nach Anspruch 1, wobei die erste Datenverbindung (17) für eine Datenkommunikation mit einer höheren Datenübertragungsrate konfiguriert ist als die zweite Datenverbindung (29). 2. The method of claim 1, wherein the first data connection (17) is configured for data communication with a higher data transmission rate than the second data connection (29).
3. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) auch für Teilnehmer des Rechnemetzwerks (15), die sich außerhalb des geschützten Raums (35) befinden, zugänglich ist. 3. The method according to any one of the preceding claims, wherein the first data connection (17) is also accessible to subscribers in the computer network (15) who are located outside the protected space (35).
4. Verfahren nach einem der vorangehenden Ansprüche, wobei die erste Datenverbindung (17) eine Ethemetverbindung ist. 4. The method according to any one of the preceding claims, wherein the first data connection (17) is an Ethernet connection.
5. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine drahtgebundene Datenverbindung ist. 5. The method according to any one of the preceding claims, wherein the second data connection (29) is a wired data connection.
6. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine serielle Datenverbindung ist. 6. The method according to any one of the preceding claims, wherein the second data connection (29) is a serial data connection.
7. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweite Datenverbindung (29) eine unidirektionale Datenverbindung ist. 7. The method according to any one of the preceding claims, wherein the second data connection (29) is a unidirectional data connection.
8. Verfahren nach Anspruch 7, wobei über die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten von dem ersten Rechner (13) zu dem zweiten Rechner (27) möglich ist. 8. The method according to claim 7, wherein only a transmission of data from the first computer (13) to the second computer (27) is possible via the second data connection (29).
9. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen Schlüssel für eine symmetrische Datenverschlüsselung ausgebildet ist, wobei der Schlüssel auf dem ersten Rechner (13) wie auch auf dem zweiten Rechner (27) gespeichert werden. 9. The method according to any one of the preceding claims, wherein the key to be kept secret is formed by a key for symmetrical data encryption, the key being stored on the first computer (13) as well as on the second computer (27).
10. Verfahren nach einem der vorangehenden Ansprüche, wobei der geheim zu haltende Schlüssel durch einen privaten Schlüssel des zweiten Rechners (27) ausgebildet ist und wobei beim Erzeugen der Authentifizierungsdaten durch den ersten Rechner ein zum privaten Schlüssel korrespondierender öffentlicher Schlüssel durch den ersten Rechner (13) erstellt wird, und wobei die Authentifizierungsdaten zumindest den privaten Schlüssel und den öffentlichen Schlüssel umfassen. 10. The method according to any one of the preceding claims, wherein the key to be kept secret is formed by a private key of the second computer (27) and wherein when generating the authentication data by the first computer, a public key corresponding to the private key by the first computer (13 ) is created, and wherein the authentication data include at least the private key and the public key.
11. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel auf dem ersten Rechner in einer Liste autorisierter Schlüssel gespeichert wird. 11. The method of claim 10, wherein the public key is stored on the first computer in a list of authorized keys.
12. Verfahren nach Anspruch 10, wobei der öffentliche Schlüssel durch den ersten Rechner signiert wird und dieser signierte Schlüssel zusammen mit dem privaten Schlüssel die Authentifizierungsdaten bildet. 12. The method according to claim 10, wherein the public key is signed by the first computer and this signed key forms the authentication data together with the private key.
13. Rechnemetzwerk (15) mit einem ersten Rechner (13) und einem zweiten Rechner (27), insbesondere in einer Personentransportanlage (1), wobei der erste Rechner (13) und der zweite Rechner (27) gemeinsam in einem gegen unautorisierten Zutritt geschützten Raum (35) aufgenommen sind, wobei der erste Rechner (13) und der zweite Rechner (27) über eine erste und eine zweite13. Computer network (15) with a first computer (13) and a second computer (27), in particular in a passenger transport system (1), the first computer (13) and the second computer (27) being jointly protected against unauthorized access Room (35) are included, the first computer (13) and the second computer (27) having a first and a second
Datenverbindung (17, 29) miteinander verbunden sind, wobei die zweite Datenverbindung (29) ausschließlich innerhalb des geschützten Raums (35) verläuft und die zweite Datenverbindung (29) ausschließlich eine Übermittlung von Daten zwischen dem ersten Rechner (13) und dem zweiten Rechner (27) zulässt, und wobei das Rechnemetzwerk (15) dazu konfiguriert ist, das Verfahren gemäß einem derData connection (17, 29) are connected to one another, the second data connection (29) running exclusively within the protected space (35) and the second data connection (29) exclusively transmitting data between the first computer (13) and the second computer ( 27), and wherein the computer network (15) is configured to carry out the method according to one of
Ansprüche 1 bis 12 auszuführen oder zu steuern. Execute or control claims 1 to 12.
14. Personentransportanlage (1), insbesondere Aufzuganlage (3), mit einem Rechnemetzwerk (15) gemäß Anspmch 13, wobei der geschützte Raum (35) ein Maschinenraum (25) der Personentransportanlage (1) ist. 14. Passenger transport system (1), in particular elevator system (3), with a computer network (15) according to claim 13, the protected space (35) being a machine room (25) of the passenger transport system (1).
EP20807450.0A 2019-11-21 2020-11-20 Method for secure data communication in a computer network Pending EP4062615A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19210773 2019-11-21
PCT/EP2020/082870 WO2021099561A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network

Publications (1)

Publication Number Publication Date
EP4062615A1 true EP4062615A1 (en) 2022-09-28

Family

ID=68653422

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20807450.0A Pending EP4062615A1 (en) 2019-11-21 2020-11-20 Method for secure data communication in a computer network

Country Status (6)

Country Link
US (1) US20220407848A1 (en)
EP (1) EP4062615A1 (en)
CN (1) CN114747178A (en)
AU (1) AU2020385641A1 (en)
BR (1) BR112022009812A2 (en)
WO (1) WO2021099561A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7151941B2 (en) * 2020-06-19 2022-10-12 三菱電機ビルソリューションズ株式会社 Elevator control device, elevator monitoring system and elevator monitoring method

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE366010T1 (en) * 2002-09-17 2007-07-15 Errikos Pitsos METHOD AND DEVICE FOR PROVIDING A LIST OF PUBLIC KEYS IN A PUBLIC KEY SYSTEM
GB2472491B (en) * 2009-02-06 2013-09-18 Thales Holdings Uk Plc System and method for multilevel secure object management
US9241016B2 (en) * 2013-03-05 2016-01-19 Cisco Technology, Inc. System and associated methodology for detecting same-room presence using ultrasound as an out-of-band channel
EP3318003B1 (en) * 2015-06-30 2022-03-23 Visa International Service Association Confidential authentication and provisioning
CN108476205B (en) * 2015-12-21 2019-12-03 皇家飞利浦有限公司 Registrar device, configurator device and method thereof
WO2017167771A1 (en) * 2016-03-29 2017-10-05 Koninklijke Philips N.V. Handshake protocols for identity-based key material and certificates
LU93024B1 (en) * 2016-04-11 2017-11-08 Phoenix Contact Gmbh & Co Kg Intellectual Property Licenses & Standards Method and arrangement for establishing secure communication between a first network device (initiator) and a second network device (responder)
US10875741B2 (en) * 2017-09-29 2020-12-29 Otis Elevator Company Elevator request authorization system for a third party

Also Published As

Publication number Publication date
BR112022009812A2 (en) 2022-08-09
US20220407848A1 (en) 2022-12-22
CN114747178A (en) 2022-07-12
AU2020385641A1 (en) 2022-06-16
WO2021099561A1 (en) 2021-05-27

Similar Documents

Publication Publication Date Title
DE60119857T2 (en) Method and device for executing secure transactions
EP2567501B1 (en) Method for cryptographic protection of an application
WO2005112459A1 (en) Method for the authentication of sensor data and corresponding sensor
EP1563638B1 (en) Communication system using quantum cryptography and comprising switching stations
DE102009059893A1 (en) Apparatus and method for securing a negotiation of at least one cryptographic key between devices
EP3582033B1 (en) Method for securely operating a field device
DE60319514T2 (en) METHOD AND ARRANGEMENT FOR ACCESS CONTROL
DE102016222523A1 (en) Method and device for transmitting data in a topic-based publish-subscribe system
EP2272199B1 (en) Distributed data memory unit
DE102015200279A1 (en) Single-use transmission device, device and method for non-reactive data acquisition
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
EP4062615A1 (en) Method for secure data communication in a computer network
DE10200681B4 (en) Temporary access authorization to access automation equipment
EP2388972A1 (en) Connection system for the protected establishment of a network connection
EP3266186A1 (en) Network device and method for accessing a data network from a network component
EP4054143A1 (en) Authentification of a device in a communication network of an automation system
EP3151503B1 (en) Method and system for authenticating a surrounding web application with an embedded web application
EP3596709A1 (en) Method for access control
EP3734478A1 (en) Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider
WO2016041843A1 (en) Method and arrangement for authorising an action on a self-service system
EP4099611B1 (en) Generation of quantum secure keys in a network
DE102018102608A1 (en) Method for user management of a field device
DE102019109341B4 (en) Procedure for the secure exchange of encrypted messages
EP2618226A1 (en) Industrial automation system and method for its production
EP3907927A1 (en) Provision of quantum secure key for network nodes not interconnected by quantum channel

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20220412

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)