DE10036052B4 - Method and device for securing data connections against unauthorized intervention - Google Patents
Method and device for securing data connections against unauthorized intervention Download PDFInfo
- Publication number
- DE10036052B4 DE10036052B4 DE2000136052 DE10036052A DE10036052B4 DE 10036052 B4 DE10036052 B4 DE 10036052B4 DE 2000136052 DE2000136052 DE 2000136052 DE 10036052 A DE10036052 A DE 10036052A DE 10036052 B4 DE10036052 B4 DE 10036052B4
- Authority
- DE
- Germany
- Prior art keywords
- partner
- random
- identifier
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Verfahren zur Sicherung von im steten Datenaustausch befindlichen Geräten eines Datenübertragungsnetzes ohne überwachte Punkt-zu-Punkt-Verbindung zwischen zwei Netzteilnehmern (A,B), dadurch gekennzeichnet, daß bei jeder Datenübertragung von einem Netzpartner (A) zum jeweils anderen Netzpartner (B) eine sich bei jedem Übertragungsvorgang ändernde Partnerzufallskennung (ZKAn,) übermittelt wird und der andere Netzpartner (B) den Empfang der Daten nicht mit der soeben empfangenen Partnerzufallskennung, sondern mit der im Schritt davor empfangenen Partnerzufallskennung (ZKAn-1) quittiert, derart, daß bei Fehlen der zum Quittieren notwendigen Zufallskennung oder der Benutzung der aktuellen und nicht der vorletzten Zufallskennung ein Fehler und/oder eine Manipulation im Netz feststellbar ist.Method for securing devices in a data transmission network in constant data exchange without a monitored point-to-point connection between two network participants (A, B), characterized in that one for each data transmission from one network partner (A) to the other network partner (B) changing partner random identifier (ZKA n ,) with each transmission process and the other network partner (B) acknowledges the receipt of the data not with the partner random identifier just received, but with the partner random identifier (ZKA n-1 ) received in the previous step, such that in the absence of the random identifier required for acknowledgment or the use of the current and not the penultimate random identifier, an error and / or manipulation in the network can be determined.
Description
Die Erfindung richtet sich auf ein Verfahren zur Sicherung von im steten Datenaustausch befindlichen Geräten eines Datenübertragungsnetzes ohne überwachte Punkt-zu-Punkt-Verbindung zwischen zwei Netzteilnehmern (A,B), sowie auf eine Einrichtung zur Durchführung des Verfahrens.The Invention is directed to a method for securing in constant Data exchange devices a data transmission network without monitored Point-to-point connection between two network nodes (A, B), as well to an implementation facility of the procedure.
Es gibt eine Fülle von Einsatzfällen, bei denen sich Datenverarbeitungsgeräte im steten Austausch über Netze befinden, insbesondere bei überregional arbeitenden Firmen, Banken, Forschungsinstituten od. dgl.It gives an abundance of applications, where data processing devices are in constant exchange via networks are located, especially at national level working companies, banks, research institutes or the like
In sogenannten IP-Netzen oder ATM-Netzen oder ähnlichen Netzen, ist es nicht möglich, eine überwachte Punkt-zu-Punkt-Verbindung zur Verfügung zu stellen. Bei diesen überwachten Netzen wird eine Punkt-zu-Punkt-Verbindung auf der Anwendungsschicht (OSI-Schicht 4-7) erzeugt, wobei hier für die Teilnehmer die Möglichkeit gegeben sein soll, einen Ausfall oder eine Sabotage zu erkennen.In so-called IP networks or ATM networks or similar networks, it is not possible, a monitored Point-to-point connection to disposal to deliver. Monitored at these Networking becomes a point-to-point connection on the application layer (OSI layer 4-7), with the possibility for the participants should be given to detect a failure or sabotage.
Bei einem Ausfall, der erkannt werden muß, ist eine weitere störungsfreie Übertragung der Daten nicht mehr gewährleistet, bei Sabotage kann es sich um einen gezielten Angriff gegen einen Teilnehmer handeln oder gegen die untere OSI- Schicht 1-3 z.B. durch Austausch eines Teilnehmers und Ersatz durch einen anderen mit gleicher IP-Adresse, wobei die Sicherung so gewährleistet sein muß, daß Daten gegen Zugriff durch unbefugte Dritte geschützt sind.at a failure that must be recognized is another interference-free transmission the data is no longer guaranteed, Sabotage can be a targeted attack against you Act participants or against the lower OSI layers 1-3 e.g. by exchanging one Participant and replacement by another with the same IP address, thus ensuring the backup have to be, that data are protected against access by unauthorized third parties.
Um diesem Ziel, d.h. dem Erkennen von Netzausfällen oder einer Sabotage, mit einfachen Mitteln gerecht zu werden, sieht die Erfindung vor, daß bei jeder Datenübertragung von einem Netzpartner (A) zum jeweils anderen Netzpartner (B) eine sich bei jedem Übertragungsvorgang ändernde Partnerzufallskennung (ZKAn) übermittelt wird und der andere Netzpartner (B) den Empfang der Daten nicht mit der soeben empfangenen Partnerzufallskennung, sondern mit der im Schritt davor empfangenen Partnerzufallskennung (ZKAn-1) quittiert, derart, daß bei Fehlen der zum Quittieren notwendigen Zufallskennung oder der Benutzung der aktuellen und nicht der vorletzten Zufallskennung ein Fehler und/oder eine Manipulation im Netz feststellbar ist.In order to achieve this goal, ie the detection of network failures or sabotage, with simple means, the invention provides that with each data transmission from one network partner (A) to the other network partner (B), a partner random identifier that changes with each transmission process ( ZKA n ) is transmitted and the other network partner (B) acknowledges the receipt of the data not with the partner random identifier just received, but with the partner random identifier (ZKA n-1 ) received in the previous step, such that in the absence of the random identifier required for acknowledgment or an error and / or manipulation in the network can be determined using the current and not the penultimate random identifier.
Mit der Erfindung ist es möglich, bei einem Datenaustausch (bei Polling) einem Datenpaket eine Zufallskennung hinzuzufügen, wobei das datenabsendende Gerät dabei jeweils ein neue Zufallskennung vergibt, der Empfänger des Datenpaketes aber den Empfang mit dem aus dem zuvor erfolgten Datenübermittlungsschritt quittiert. Mit der Quittierung wird vom Empfänger dem Sender gleichzeitig eine neue Zufallskennung übermittelt, die er beim übernächsten Schritt dann zur Quittierung wieder zur Verfügung hat.With the invention it is possible a random identifier for a data packet when exchanging data (with polling) add, being the data sending device assigns a new random identifier, the recipient of the Data packet but the reception with the data transmission step from the previous acknowledged. With the acknowledgment, the receiver becomes the sender at the same time transmitted a new random identifier, which he took at the next but one step then available again for acknowledgment.
Werden beispielsweise beim Senden von Daten unbefugt Datenverarbeitungsgeräte ausgetauscht, verfügen diese ggf. über die Möglichkeit, mit dem Datenempfänger zu kommunizieren, allerdings verfügen sie bei Neuanschluß nicht über die zum ordnungsgemäßen Quittieren notwendige Kenntnis der aus dem vorangegangenen Datenübertragungsschritt übermittelten Zufallskennung, so daß ein solches Gerät im Prinzip nur in der Lage ist, mit der aktuellen Zufallskennung den Dateneingang zu quittieren. Dies würde aber vom System sofort als Fehler erkannt. Fehlt eine Quittierung insgesamt ermittelt die Zufallskennung auch hier sofort einen Fehler.Become for example, data processing devices exchanged without authorization when sending data, feature this if necessary via the possibility, with the data recipient to communicate, but they do not have the for correct acknowledgment necessary knowledge of the data transmitted from the previous data transmission step Random identifier so that a such device in principle is only able to use the current random identifier acknowledge the data input. The system would do this immediately recognized as an error. If there is no acknowledgment overall, the Random identification also immediately caused an error.
An
dieser Stelle sei bemerkt, daß es
eine Reihe von Lösungen
gibt, die allerdings eine Verschlüsselung bei Kennungsdaten zwischen
zwei Teilnehmern zum Inhalt haben. So handelt die
In
der
Ein Hinweis darauf, daß sicher die Erkennung eines Teilnehmers erfolgen kann zur Verhinderung des Austausches von aktiven Geräten im System, zeigen diese Literaturstellen nicht. On Indicating that for sure the detection of a participant can be done to prevent the Exchange of active devices in the system, these references do not show.
Weitere Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen, wobei eine Möglichkeit bei Neustarten des Verfahrens darin besteht, daß beim erstmaligen Neuanlauf der Systemsicherung dem Partner, z.B. eine Überwachungszentrale (B), vom Partner (A) eine Startzufallskennung (ZKA0) übermittelt und diese Startzufallskennung vom Partner (B) unter Beifügung einer von dort stammenden Startzufallskennung (ZKB0) quittiert wird.Further refinements of the invention result from the subclaims, with one possibility when the method is restarted is that when the system backup is restarted for the first time, the partner, for example a monitoring center (B), is sent a random start identifier (ZKA 0 ) by the partner (A) and transmits this Random start identifier is acknowledged by partner (B) with the addition of a random start identifier (ZKB 0 ) from there.
Eine etwas abgewandelte, den Neustart eines Überwachungsverfahrens betreffende Verfahrensweise besteht nach Ausge staltung der Erfindung darin, daß beim erstmaligen Neuanlauf der Systemsicherung vom Partner (A) dem anderen Partner (B), z.B. einer Übertragungszentrale, eine Startzufallskennung (ZKA0) übermittelt und der Eingang quittiert wird und das nachfolgend vom Partner (B) dem anderen Partner (A) eine Startzufallskennung (ZKB0) übermittelt und der Eingang quittiert wird, wobei beim folgenden Datenaustausch eine neue Zufallskennung, z.B. ZKA1, mit übermittelt und vom anderen Partner (B) der Eingang mit der zuvor erhaltenen Zufallskennung (ZKA0) quittiert wird.A somewhat modified one, the restart According to the embodiment of the invention, the procedure relating to the monitoring process consists in that when the system backup is restarted for the first time from partner (A) to other partner (B), for example a transmission center, a random start identifier (ZKA 0 ) is transmitted and the receipt is acknowledged and subsequently by Partner (B) transmits a random start identifier (ZKB 0 ) to the other partner (A) and the receipt is acknowledged, with a new random identifier, e.g. ZKA 1 , also being transmitted during the subsequent data exchange and the receipt with the previously received one from the other partner (B) Random identifier (ZKA 0 ) is acknowledged.
Eine Anlage zur Durchführung des Verfahrens zeichnet sich erfindungsgemäß aus durch ein Datenverbindungsnetz und wenigstens zwei über das Datenverbindungsnetz miteinander in Kommunikation stehender Datenübertragungsgeräte, wobei jedes der beiden Datenübertragungsgeräte mit einer Einrichtung zur Abgabe einer sich bei jedem Übertragungsvorgang ändernden, dem jeweiligen Gerät zuordenbaren Zufallskennung ausgestattet ist, wobei jedes Datenverarbeitungsgerät mit einer Einrichtung zur Erkennung der jeweiligen mit übermittelten Zufallskennungen und zur Abgabe eines Warnhinweises bei Fehlern ausgerüstet ist.A Plant for implementation According to the invention, the method is characterized by a data connection network and at least two about that Data connection network of data transmission devices in communication with each other, each of the two data transmission devices with one device for the delivery of a changing with each transmission process, the respective device assignable random identifier, each data processing device with a Device for recognizing the respective with transmitted random identifiers and is equipped to issue a warning in the event of errors.
Weitere Merkmale, Einzelheiten und Vorteile der Erfindung ergeben sich aufgrund der nachfolgenden Beschreibung sowie anhand der Zeichnung. Diese zeigt in allen Figuren Ablauf pläne nach dem erfindungsgemäßen Datenaustausch, und zwar inFurther Features, details and advantages of the invention result from the following description and the drawing. This shows schedule in all figures after the data exchange according to the invention, namely in
In den grafischen Darstellungen bedeutetIn the graphic representations means
- ÜZTS
- Übertragungszentrale transmission center
- ÜGLEL
- Übertragungsgerät transmission equipment
- ZKZK
- Zufallskennung random ID
- ZKÜZa, ZKÜBb ZKÜZ a , ZKÜB b
- Aktuelle Zufallskennung für die folgende Übertragung current Random identifier for the next transfer
- ZKÜZa-1, ZKÜBb-1 ZKÜZ a-1 , ZKÜB b-1
- Alte Zufallskennung zur Datenlegitimation Old Random identifier for data legitimation
Bezug
nehmend beispielsweise aus
Nunmehr verfügt sowohl die Überwachungszentrale als auch das Übertragungsgerät über eine jeweils vom Partner stammende Zufallskennung.Now has both the surveillance center as well as the transmission device each Random identifier from the partner.
Werden
nun Daten Übertragen
(
Werden
keine Nutzdaten ausgetauscht, fällt das
System in die hier mit "Ruhephase" bezeichnete Verfahrensweise,
bei spielsweise gemäß
Dieser Zeitintervall TP kann beispielsweise nach der VDE 0833/Teil 3 gewählt werden (Überwachungszeit variabel, jedoch geringer ≤ 30 sek.).This time interval T P can be selected, for example, according to VDE 0833 / Part 3 (monitoring time variable, but less than ≤ 30 seconds).
Zur
Fehlererkennung:
Hier ergeben sich unterschiedliche Möglichkeiten, z.B.
nach
There are different possibilities here, e.g. after
Werden der Übertragungszentrale nun weiterhin Daten über mittelt ohne die richtigen Zufallskennungen, werden diese von dort abgelehnt, da es sich beispielsweise um Daten aus vorangegangenen Übertragungen handeln kann, die noch im Netz verfügbar sind. Nach der vorbestimmten Pollingzeit läuft dann wiederum diese Leitungsüberwachung ohne Verwendung von Nutzdaten an. Wird nun beim Polling vom Übertragungsgerät der Übertragungszentrale wiederum eine falsche Kennung übermittelt, kann die Übertragungszentrale eine Sabotage beim Überwachungsgerät bzw. beim entsprechenden Teilnehmer feststellen.Become the transmission center now continue to transmit data without the correct random identifiers, they are rejected from there, since it is, for example, data from previous transmissions can trade that are still available on the net. According to the predetermined Polling time then runs again this line monitoring without using user data. Now when polling from the transmission device of the transmission center again transmitted an incorrect identifier, can the transmission center a sabotage at the monitoring device or at determine the relevant participant.
Eine
Variante der Fehlererkennung ist in
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2000136052 DE10036052B4 (en) | 2000-07-25 | 2000-07-25 | Method and device for securing data connections against unauthorized intervention |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2000136052 DE10036052B4 (en) | 2000-07-25 | 2000-07-25 | Method and device for securing data connections against unauthorized intervention |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10036052A1 DE10036052A1 (en) | 2002-02-14 |
DE10036052B4 true DE10036052B4 (en) | 2004-11-25 |
Family
ID=7650060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2000136052 Expired - Fee Related DE10036052B4 (en) | 2000-07-25 | 2000-07-25 | Method and device for securing data connections against unauthorized intervention |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10036052B4 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3018945C2 (en) * | 1979-05-21 | 1985-11-07 | Atalla Corp., San Jose, Calif. | Method and device for checking the admissibility of a connection between data transmission network participants |
DE3619566C2 (en) * | 1986-06-11 | 1989-07-13 | Omikron-Systemhaus Gesellschft Fuer Informations- Und Kommunikationssysteme Mbh, 5000 Koeln, De | |
JPH0795218A (en) * | 1993-09-22 | 1995-04-07 | Tohoku Electric Power Co Inc | Data transmitting device and method |
US5500888A (en) * | 1991-03-05 | 1996-03-19 | National Semiconductor Corporation | Cordless telephone security code initiation and prevention system |
-
2000
- 2000-07-25 DE DE2000136052 patent/DE10036052B4/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3018945C2 (en) * | 1979-05-21 | 1985-11-07 | Atalla Corp., San Jose, Calif. | Method and device for checking the admissibility of a connection between data transmission network participants |
DE3619566C2 (en) * | 1986-06-11 | 1989-07-13 | Omikron-Systemhaus Gesellschft Fuer Informations- Und Kommunikationssysteme Mbh, 5000 Koeln, De | |
US5500888A (en) * | 1991-03-05 | 1996-03-19 | National Semiconductor Corporation | Cordless telephone security code initiation and prevention system |
JPH0795218A (en) * | 1993-09-22 | 1995-04-07 | Tohoku Electric Power Co Inc | Data transmitting device and method |
Non-Patent Citations (1)
Title |
---|
Encrypted data transmission with dynamic key renewal, in: IBM Technical Disclosure Bulletin, Vol. 35, No. 3, August 1992, S. 62-63 * |
Also Published As
Publication number | Publication date |
---|---|
DE10036052A1 (en) | 2002-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1326469B1 (en) | Method and device for checking the authenticity of a service provider in a communications network | |
EP3295645B1 (en) | Method and arrangement for decoupled transmission of data between networks | |
DE102018213898B4 (en) | Monitoring a network connection for eavesdropping | |
DE19652256A1 (en) | Procedure for securing data transmission | |
EP0570338B1 (en) | Method and apparatus for monitoring access and access protection in communication networks | |
DE68912085T2 (en) | System for real-time message exchange between stations connected on a ring line, in particular between stations of a telecommunications switching system. | |
EP3412018A1 (en) | Method for exchanging messages between security-relevant devices | |
DE3036804A1 (en) | SECURITY SYSTEM TO PREVENT UNAUTHORIZED MANIPULATIONS IN ELECTRONIC TEXT TRANSFER IN NEWS NETWORKS | |
DE19711767A1 (en) | Network termination device | |
DE10036052B4 (en) | Method and device for securing data connections against unauthorized intervention | |
EP1261905A2 (en) | Method for synchronizing computer clocks in networks used for information transmission, device for carrying out said method and data packet suitable for the synchronization of computer clocks | |
DE3328834C2 (en) | ||
DE19960959C2 (en) | Device for tamper-proof data exchange in a motor vehicle | |
WO2003030395A2 (en) | Method for managing and operating communication networks through energy supply networks | |
WO2018234039A1 (en) | Method and device for transmitting a message in a safety-relevant facility | |
EP1399818B1 (en) | Method and device for communicating in a fault-tolerant distributed computer system | |
DE10201649B4 (en) | Arrangement for monitoring components in a communications network | |
EP1226706B1 (en) | Method and system for monitoring speech and/or data network connections irrespective of location by acommissioning agency | |
LU501035B1 (en) | Method and system for securing the exchange of data in a network system for industrial controls | |
DE2335430A1 (en) | Technique for transmission system checking - within telephone network environment involves transmission of known binary word | |
DE3417421A1 (en) | Method for preventing misuse in telecommunications networks, in particular mobile radio networks | |
DE19504076C2 (en) | Remote maintenance procedures | |
EP1446934B1 (en) | Method for establishing a telecommunication link and a telecommunication network | |
EP4099616A1 (en) | Method for integrating a new component in a network, register component, and installation | |
WO2007147795A1 (en) | System and method for data transmission to a secure network, particularly a network for rail traffic with a high level of security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |