-
Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem, mit einem Security-Gateway zur Datenübertragung zwischen einem öffentlichen Netzwerk und einem sicheren Netzwerk.
-
Für das Übertragen von sicherheitsrelevanten Daten definiert die Norm EN 50159:2010 drei Kategorien von Übertragungsnetzen, nämlich geschlossene, sichere Netzwerke, offene Netzwerke mit vernachlässigbarem Sicherheitsrisiko und öffentliche Netzwerke mit erheblichem Sicherheitsrisiko. Unter Sicherheitsrisiko ist dabei insbesondere die Wahrscheinlichkeit eines nicht autorisierten Zugriffes von Systemen oder Personen auf das Netzwerk zu verstehen.
-
Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese Anwendung beschränkt ist. Vielmehr ist eine Nutzung bei verschiedenen sicherheitsrelevanten Systemen, beispielsweise bei industriellen Fertigungsprozessen oder bei Kraftwerksystemen, möglich.
-
Die zur Kategorie drei gehörenden öffentlichen Netzwerke werden im Bahnumfeld immer bedeutsamer, da die Bahnbetreiber zunehmend Dienste verschiedener Netzwerke verwenden. Sobald jedoch signaltechnisch sichere Netzwerke über ein öffentliches Netzwerk miteinander gekoppelt sind oder in irgendeiner Form über Koppelrechner an öffentlichen Netzen angeschlossen sind, besteht die Gefahr von unautorisiertem Zugriff auf die signaltechnisch sicheren Netzwerke, in denen sicherheitsrelevante Daten übertragen werden. Um dieses Risiko für die signaltechnische Sicherheit so gering wie möglich zu halten, fordert die oben genannte Norm EN 50159:2010 Gegenmaßnahmen auf der Grundlage kryptografischer Methoden, wodurch die Datenintegrität sichergestellt und/oder unautorisierter Zugriff auf das sichere Netzwerk verhindert wird. Die durch die Norm vorgegebenen Maßnahmen sind Voraussetzung für die Abnahme und Zulassung des Gesamtsystems durch nationale Zulassungsbehörden.
-
Wenn ein öffentlich zugängliches Netzwerk unmittelbar an ein Netzwerk zur Übertragung signaltechnisch sicherer Daten grenzt, sind bisher besondere Firewalls oder Security-Gateways zur Datenverschlüsselung eingesetzt worden. Grundsätzlich gibt es zwei unterschiedliche Arten von Security-Funktionen, nämlich Zugriffsschutz und Schutz der Datenintegrität, so dass signaltechnisch sichere Daten nicht unerkannt manipuliert werden können. Für beide Security-Funktionen gibt es im freien Markt kaum kommerzielle Produkte, die bahntechnisch zulassungsfähig wären. Außerdem sind gemäß der oben genannten Norm EN 50159:2010 zusätzliche Maßnahmen notwendig, um sicherzustellen, dass die verwendeten Gateways bei Ausfall ihrer kryptografischen Funktionen unmittelbar identifiziert werden können. Diese Erkennbarkeit ist problematisch, da durch Ausfall der kryptografischen Funktionen die Kommunikation als solche nicht beeinträchtigt wird. Das defekte Security-Gateway kann dann immer noch als Übertragungsdraht arbeiten. Daraus resultiert ein ungeschützter Zustand, bei dem ein unautorisierter Zugriff oder Datenmanipulation möglich ist, so dass letztlich die erforderliche signaltechnische Sicherheit nicht mehr gegeben ist.
-
Der Erfindung liegt die Aufgabe zugrunde, ein sicherheitsrelevantes System mit einem Security-Gateway gattungsgemäßer Art anzugeben, bei dem ein Ausfall der kryptografischen Funktionalität des Security-Gateways unmittelbar erkennbar ist.
-
Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass ein Security-Gateway-Supervisor vorgesehen ist, der das Security-Gateway überbrückt, die eingehenden und ausgehenden Daten des Security-Gateways rückwirkungsfrei abgreift und Mittel zum Vergleich der abgegriffenen Daten des Security-Gateways aufweist.
-
Der Security-Gateway-Supervisor ist in der Lage, beliebige Security-Gateways für beide Arten von Security-Funktionen, nämlich Netzwerk-Zugangsschutz und Integritätsschutz zu überwachen, da in jedem Fall die eingehenden und ausgehenden Daten des Security-Gateways verglichen werden. Dazu ist der Security-Gateway-Supervisor auf der sicheren und der unsicheren Netzwerkseite über rückwirkungsfreie Kanäle angeschlossen, welche alle eingehenden Daten abgreifen. Der Security-Gateway-Supervisor vergleicht die Daten der unsicheren Seite mit den kryptografisch aufbereiteten Ausgangs-Daten zum sicheren Netzwerk – und umgekehrt. Auf diese Weise wird die von der Norm EN 50159:2010 geforderte unabhängige und manipulationssichere Ausfallüberwachung des Security-Gateways realisiert, so dass das Eisenbahnsicherungssystem auch bei Anschluss an öffentliche Netze zulassungsfähig wird. Dabei können auch auf dem freien Markt zugekaufte Security-Gateways eingesetzt werden, deren Ausfallsicherheit gering oder nicht bekannt ist, oder die über keine eingebaute Ausfalloffenbarung verfügen. Darüber hinaus kann das behördliche Zulassungsverfahren vereinfacht werden, da nur der Security-Gateway-Supervisor zugelassen werden muss und von der Zulassung der deutlich komplexeren Security-Gateways abgesehen werden kann.
-
Der Security-Gateway-Supervisor kann auf einem herkömmlichen Rechner implementiert sein und muss nicht speziell für Eisenbahnsicherungssysteme konzipiert sein. Mit dem Security-Gateway-Supervisor werden die bekannten Parameter der Daten, die zwischen öffentlichen und sicheren Netzwerken ausgetauscht werden dürfen, überwacht. Das Security-Gateway, welches diese Daten mit kryptografischen Methoden gegen unerlaubte Manipulationen schützen soll, benötigt die Kenntnis dieser Parameter nicht. Letztlich ergibt sich der Vorteil, dass mit der Kenntnis der Kommunikationseigenschaften der sicheren Netzwerke eine vergleichsweise einfache Ausfalloffenbarung realisierbar ist. Es ist lediglich erforderlich, eingehende und ausgehende Daten des Security-Gateways miteinander zu vergleichen.
-
Gemäß Anspruch 2 ist vorgesehen, dass die Daten rückwirkungsfrei eingangsseitig und ausgangsseitig des Security-Gateways abgegriffen werden, insbesondere mittels Ethernet-TAPs. Wenn auf beiden Seiten des Security-Gateways Ethernet zur Datenübertragung an den Security-Gateway-Supervisor verwendet wird, erfolgt der Datenabgriff absolut rückwirkungsfrei. Aufgrund der Rückwirkungsfreiheit ist eine Manipulation des Security-Gateway-Supervisors ausgeschlossen.
-
Eine besonders bevorzugte Ausführungsform ist gemäß Anspruch 3 dadurch gekennzeichnet, dass die Vergleichsmittel zum Vergleich von Hash-Werten der eingehenden und ausgehenden Daten des Security-Gateways ausgebildet sind. Auf diese Weise wird die Performance des Security-Gateway-Supervisors erheblich verbessert. Da die Überwachung der eingehenden und der ausgehenden Daten des Security-Gateways hohe Rechenleistung erfordert und der Speicherbedarf mit dem Überwachungszeitraum massiv ansteigt, ist das Berechnen und Vergleichen von Hash-Werten der Eingangs- und Ausgangsdaten sehr vorteilhaft, um Rechnerkapazität einzusparen. Unter Daten sind hier auch Datenpakete subsummiert. Beliebig große Datenpakete werden mittels einer Hash-Funktion auf einen Hash-Wert abgebildet, der nur eine geringe Anzahl von Bites umfasst. Diese Hash-Werte, die nicht größer sind als der Adressraum des verfügbaren Arbeitsspeichers des Security-Gateway-Supervisors, können direkt zur Adressierung und zum Vergleich in einem Hash-Werte-Speicher verwendet werden. Hierdurch entfällt der zeitliche Aufwand, nach identischen Hash-Werten zwischen Eingang und Ausgang des Security-Gateways zu suchen. Der Security-Gateway-Supervisor kann direkt den Hash-Wert verwenden, um auf Speicherzellen zuzugreifen, in denen zum Beispiel der Zeitstempel abgelegt ist, wann Informationen beziehungsweise Daten zuletzt an einem Eingang des Security-Gateway-Supervisors detektiert worden sind. Führt ein Datenpaket auf der unsicheren Netzwerkseite innerhalb einer bestimmten, sehr kurzen Zeit zum gleichen Hash-Wert wie auf der sicheren Netzwerkseite, dann ist dies ein Indikator dafür, dass keine kryptografische Verschlüsselung auf dieses Datenpaket angewendet worden ist. Das bedeutet, dass die Security-Funktion des Security-Gateways ausgefallen ist, wodurch eine Ausfalloffenbarung mit entsprechenden Sicherheitsreaktionen initiiert wird.
-
Auch ein Teilausfall kryptografischer Funktionen des Security-Gateways kann erkannt werden, da der Überwachungszeitraum zwischen Eingang und Ausgang der Datenpakete, das heißt der Durchlaufzeitraum über das Security-Gateway, nur so groß sein muss, wie der Überwachungszeitraum sicherer Datenpakete. Ein Safety-Protokoll erkennt die Veralterung von Daten. Ein Fehlerfall, bei dem die Durchlaufzeit der Datenpakete größer ist als der Überwachungszeitraum, kann auf diese Weise offenbart werden und wie der Totalausfall des Security-Gateways eine Sicherheitsreaktion initiieren.
-
Außerdem kann der Security-Gateway-Supervisor das Nutzen von geheimen Hintertüren – Backdoors – entdecken, da dann Datenpakete in das sichere Netzwerk eingeschleust werden sollen, die nicht den Regeln von erlaubten Datenpaketen entsprechen.
-
Gemäß Anspruch 4 ist vorgesehen, dass der Security-Gateway-Supervisor Fehleroffenbarungsfunktionalität derart aufweist, dass bei von dem Security-Gateway an einen falschen Bestimmungsort adressierten Daten eine Alarmfunktion ausgelöst wird. Schwerwiegende Folgen durch einen unautorisierten Zugriff auf nicht vorgesehene Bestimmungsorte, das heißt Rechner, innerhalb des Eisenbahnsicherungssystems werden somit sicher verhindert.
-
Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:
-
1 Basisfunktionen eines Security-Gateways zwischen einem öffentlichen und einem sicheren Netzwerk,
-
2 eine Architektur zur Übertragung sicherheitsrelevanter Daten über ein öffentliches Netzwerk,
-
3 ein Security-Gateway mit Ethernet-Anschluss und
-
4 bis 6 Sicherheitsfunktionen eines Security-Gateway-Supervisors.
-
1 veranschaulicht den prinzipiellen Aufbau eines Eisenbahnsicherungssystems, welches über ein Security-Gateway 1 mit einem öffentlichen Netz 2 verbunden ist. Das Eisenbahnsicherungssystem besteht im Wesentlichen aus einem Verkehrssteuerungsnetzwerk 3 zur Vorgabe von Fahrplan- und anderen übergeordneten Daten an mindestens ein Stellwerk 4, welches Feldelemente 5, beispielsweise Weichen, Signale und Bahnübergänge, ansteuert. Das Security-Gateway 1 verhindert, dass nicht erlaubte Daten 6 und 7, zum Beispiel ein böswilliger Angriff, von dem öffentlichen Netzwerk 2 in das Eisenbahnsicherungssystem übertragen werden. Um die Sicherheit weiter zu erhöhen, wird das Security-Gateway 1 von einem Security-Gateway-Supervisor 8 überwacht.
-
2 zeigt eine Netzwerk-Architektur, bei der Daten zwischen zwei sicheren Netzwerken 9 und 10, beispielsweise Eisenbahnsicherungssystemen, über das öffentliche Netzwerk 2 mittels eines Sicherheitstunnels 11 ausgetauscht werden. Die sicheren Netzwerke 9 und 10 sind dabei jeweils an der Schnittstelle zu dem öffentlichen Netzwerk 2 mit einem Security-Gateway 1 inklusive Security-Gateway-Supervisor 8 verbunden, wodurch der Sicherheitstunnel 11 gebildet wird.
-
3 zeigt eine Beschaltung des Security-Gateways 1 auf der Basis von Ethernet-Datenkanälen 12 und 13 mit Eingangsports Rx und Ausgangsports Tx, welche an dem Security-Gateway 1 und dem Security-Gateway-Supervisor 8 angeschlossen sind. Der Security-Gateway-Supervisor 8 überbrückt das Security-Gateway 1, wobei die Daten der Ethernet-Kanäle 12 und 13 sowohl eingangsseitig als auch ausgangsseitig des Security-Gateways 1 über Ethernet-TAPs 14 und 15 rückwirkungsfrei abgegriffen und an die Eingangsports Rx des Security-Gateway-Supervisors 8 übertragen werden. Der Security-Gateway-Supervisor 8 vergleicht die eingehenden und ausgehenden Daten des Security-Gateways 1, um Manipulationsfreiheit und Integrität der übertragenden Daten festzustellen, wodurch die korrekte Funktionsweise des Security-Gateways 1 überwacht wird. Verschiedene Funktionszustände des Security-Gateways 1 veranschaulichen die 4, 5 und 6.
-
4 zeigt einen fehlerfreien Funktionszustand des Security-Gateways 1. Es ist ersichtlich, dass die von dem öffentlichen Netzwerk 2 an ein sicheres Netzwerk 16 über das Security-Gateway 1 zu übertragenden Daten beziehungsweise Datenpakete 17 und die Daten beziehungsweise Datenpakete 18 auf der Seite des sicheren Netzwerkes 16 mittels des Security-Gateway-Supervisors 8 jeweils einer Hash-Funktion 19 und 20 zugeführt und als Hash-Werte 21 und 22 auf einem Vergleicher 23 gespeichert werden. Der Vergleicher 23 stellt fest, ob sich die Hash-Werte 21 und 22 innerhalb eines Durchlaufzeitraums des Security-Gateways 2 wie erwartet geändert haben. Wenn das der Fall ist, wie bei dem Funktionszustand in 4 vorausgesetzt, ist sichergestellt, dass das Security-Gateway 1 die Verschlüsselung durchführt und nicht ausgefallen ist. Die Ausfallüberwachung ist erforderlich, da auch bei einem ausgefallenen Security-Gateway 1 der Datenstrom nicht unterbrochen wird, so dass unzulässig manipulierte Daten das sichere Netzwerk 16 unter Umständen in gefährlicher Weise beeinträchtigen könnten. Durch die Anwendung der Hash-Funktionen 19 und 20 kann auch ein sehr großer Datenstrom innerhalb kürzester Zeit überwacht werden, so dass im Fehlerfall sofort eine Alarmreaktion ausgelöst werden kann.
-
5 veranschaulicht einen Fehlerzustand, bei dem der Vergleicher 23 feststellt, dass die Hash-Werte innerhalb der Durchlaufzeit nicht zusammenpassen. Auf diese Weise wird eine Fehlfunktion des Security-Gateways 1 offenbart.
-
6 veranschaulicht einen Fehlerzustand, bei dem das Security-Gateway 1 verschlüsselte Datenpakete 18a an einen Bestimmungsort 23 innerhalb des sicheren Netzwerkes 16 adressiert, der nicht vorgesehen ist. Auch in diesem Fall stellt der Security-Gateway-Supervisor 8 den Fehler fest. Dazu ist ein Register 24 mit Bestimmungsort spezifischen Datencharakteristika vorgesehen. Falls der adressierte Bestimmungsort 23 Datencharakteristika fordert, die der an den Bestimmungsort 23 adressierte Datenstrom nicht aufweist, liegt ein Fehler des Security-Gateways 1 vor und der Security-Gateway-Supervisor 8 löst eine Alarmfunktion aus. Auch unauthorisierte Datenmanipulationen auf der Seite des öffentlichen Netzwerkes, beispielsweise über Backdoor, können mittels des Security-Gateway-Supervisors 8 auf diese Weise erkannt werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm EN 50159:2010 [0002]
- Norm EN 50159:2010 [0004]
- Norm EN 50159:2010 [0005]
- Norm EN 50159:2010 [0008]