-
Die Erfindung bezieht sich auf ein Kommunikationssystem, mit dem Informationen, insbesondere eine Sprachkommunikation, verschiedener Sicherheitsklassifikationen getrennt nach Sicherheitsklassifikation übertragen werden können. Insoweit eignet sich das Kommunikationssystem für die Militärkommunikation, da Informationen unterschiedlicher Sicherheitsklassifikation nicht vermischt werden können.
-
Die digitale Militärkommunikation stellt immer höhere Anforderungen an die IT-Sicherheit, die berücksichtigt werden müssen. Ein wichtiges Augenmerk liegt hierbei auf der Kommunikation zwischen Teilnehmern in verschiedenen Sicherheitsdomänen, also dem Austausch von Informationen unterschiedlicher Sicherheitsklassifikationen. Generell gilt, dass Informationen aus höheren Sicherheitsdomänen (also höher klassifizierte Informationen) nicht in darunterliegende Sicherheitsdomänen (also Domänen, die keine Berechtigung haben, die höher klassifizierten Informationen zu erhalten) abfließen dürfen. Dies lässt sich am einfachsten realisieren, in dem die Kommunikationsnetze der verschiedenen Sicherheitsdomänen physikalisch strikt voneinander getrennt sind und diese Netze nicht miteinander verbunden sind. Es werden also für jede Sicherheitsdomäne eigene Leitungen mit eigenen Switches etc. verlegt.
-
Bei einer physikalischen Trennung der Sicherheitsdomänen ist der Hardwarebedarf und damit auch der Platzbedarf sehr groß und somit nur schwer umsetzbar. Insbesondere auf einem Unterwasserfahrzeug ist der Platz jedoch limitiert, so dass jede Einsparung willkommen ist.
-
Die Aufgabe der vorliegenden Erfindung besteht deshalb darin, ein verbessertes Konzept für digitale Kommunikationssysteme zu schaffen.
-
Die Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausführungsformen sind der Gegenstand der abhängigen Patentansprüche.
-
Ausführungsbeispiele zeigen ein Kommunikationssystem zur Übertragung von Informationen N unterschiedlicher Sicherheitsklassifikationen über eine gemeinsame Leitung. In anderen Worten liegen Informationen vor, die in eine Anzahl von N unterschiedlichen Sicherheitsklassifikationen klassifiziert, also eingruppiert, sind und über die gemeinsame Leitung gesendet werden. Als gemeinsame Leitung wird hier eine physikalische Leitung, insbesondere ein Netzwerkkabel, verstanden. Prinzipiell kann als gemeinsame Leitung auch ein Übertragungskanal einer kabellosen Kommunikation verstanden werden. Für die Militärkommunikation sind diese jedoch (noch) nicht zugelassen. Hierüber können die Informationen mittels einem paketbasierenden Protokoll, beispielsweise IP (Internet Protocol), insbesondere TCP/IP (TCP: Transmission Control Protocol) oder UDP/IP (UDP: User Datagram Protocol) versendet werden. Die Teilnehmer können jeweils eine oder mehrere eindeutige Adressen, insbesondere IP Adressen aufweisen. Die N unterschiedlichen Sicherheitsklassifikationen können sich an den NATO und nationalen Geheimhaltungsgraden orientieren. Beispiele für Sicherheitsklassifikationen sind die Klassifizierung „Streng Geheim“, „Geheim“, „VS-Vertraulich“, „VS-Nur für den Dienstgebrauch“. Informationen mit diesen Sicherheitsklassifikationen werden auch als eingestufte Informationen bezeichnet. Ferner sind auch Sicherheitsklassifikationen für nicht eingestufte Informationen möglich, beispielsweise „nicht klassifiziert“ und „öffentlich“. Andere Sicherheitsklassifikationen sind möglich.
-
Das Kommunikationssystem umfasst einen ersten und einen zweiten Teilnehmer. Der erste Teilnehmer ist ausgebildet, dem zweiten Teilnehmer eine Information einer ersten Sicherheitsklassifikation der N Sicherheitsklassifikationen, insbesondere eine eingestufte Information, zu senden. Zwischen dem ersten und dem zweiten Teilnehmer ist eine virtuelle Verbindung über die Leitung herstellbar, wobei die virtuelle Verbindung mittels eines Tunnels gesichert ist, so dass die Information den Tunnel nicht verlassen kann, bevor die Information den zweiten Teilnehmer erreicht hat. Da die Information bereits durch den Tunnel gesichert ist, kann die Information unverschlüsselt oder auch verschlüsselt durch den Tunnel gesendet werden. Insbesondere ist diese (durch den Tunnel gesicherte) virtuelle Verbindung nur für den Austausch von Informationen der ersten Sicherheitsklassifikation eingerichtet.
-
Der erste und der zweite Teilnehmer können in Ausführungsbeispielen prinzipiell mittels einer eigenen Leitung verbunden sein. Bevorzugt, um Leitungen einzusparen, weist das Kommunikationssystem jedoch (zwischen dem ersten und dem zweiten Teilnehmer) eine Vermittlungsstelle auf, beispielsweise eine Vermittlungsstelle gemeinsam für die virtuellen Verbindungen oder eine Vermittlungsstelle pro virtueller Verbindung. Die Vermittlungsstelle kann auch als VPN-Vermittlungsstelle bzw. Tunnel-Vermittlungsstelle bezeichnet werden. Bei der Vermittlungsstelle handelt es sich explizit nicht um das Routing, wie die Information zu einem Teilnehmer gesendet wird.
-
Sowohl der erste als auch der zweite Teilnehmer können nun mit jeweils einer Leitung mit der Vermittlungsstelle verbunden sein. Über diese Leitung kann die virtuelle Verbindung aufgebaut sein. Die Vermittlungsstelle kann den Aufbau des Tunnels, beispielsweise durch Verifikation der Teilnehmer z.B. mittels eines Zertifikates, ermöglichen. Ohne Vermittlungsstelle kann das Zertifikat auch direkt zwischen den Teilnehmern ausgetauscht werden. Es ist auch möglich, die Vermittlungsstelle verteilt auszuführen, so dass jeder Teilnehmer mit einer separaten Vermittlungsstelle mittels der jeweiligen Leitung verbunden ist. Zwischen den separaten Vermittlungsstellen wird der Tunnel jedoch fortgeführt, so dass die Informationen den Tunnel nicht verlassen. Als virtuelle Verbindung wird z.B. ein VLAN (Virtual Local Area Network) angesehen. Als Tunnel wird beispielsweise ein VPN (Virtual Private Network / virtuelles privates Netzwerk) aufgebaut. Der Begriff Vermittlungsstelle bezieht sich auf die Zusammenführung der Teilnehmer mit ihren (VPN) Tunneln. Als Vermittlungsstelle kann z.B. eine Firewall verwendet werden. Die Firewall sorgt insoweit dafür, dass bestimmte VPN Tunnel in das gleiche Netzwerk zugreifen dürfen. Hierfür kann die Firewall einen integrierten VPN Server aufweisen.
-
Der erste Teilnehmer weist eine Recheneinheit auf, die ausgebildet ist, die Sicherheitsklassifikation der Information zu ermitteln und die Information an den zweiten Teilnehmer zu senden. Wenn der wenn der zweite Teilnehmer berechtigt ist, Informationen der entsprechenden, beispielsweise ersten, Sicherheitsklassifikation zu empfangen, kann derselbe auch die gesendete Information empfangen (eine Ausnahme wird nachfolgend beschrieben). Um die Information zu klassifizieren kann der erste Teilnehmer einen Wahlschalter aufweisen, mittels dessen die Sicherheitsklassifikation der Information durch einen Nutzer des ersten Teilnehmers einstellbar ist. Insbesondere wenn die Information eine Sprachkommunikation aufweist, kann nur der Nutzer vorbestimmen, welcher Sicherheitsklassifikation die Information unterliegt. Die Einstellung der Sicherheitsklassifikation kann der Nutzer dann mittels des Wahlschalters vornehmen. Die Recheneinheit ist ausgebildet, eine Position des Wahlschalters zu ermitteln, um die Sicherheitsklassifikation der Information zu erhalten. Um die Information mit der ersten Sicherheitsklassifikation zu senden, stellt der Nutzer den Wahlschalter demnach auf eine Position, die die erste Sicherheitsklassifikation anzeigt.
-
Die Berechtigung zum Empfang der Information der ersten Sicherheitsklassifikation kann an dem zweiten Teilnehmer voreingestellt sein. Typischerweise sind die Teilnehmer an eine bestimme Funktion der Nutzer gekoppelt. So wird ein Teilnehmer, der dem Kapitän zugeordnet ist, für den Empfang von Informationen jeglicher Sicherheitsklassifikation freigeschaltet (berechtigt) sein, der Koch wird aber möglicherweise keinerlei eingestufte Information empfangen können. Dieser weist daher nur die Berechtigung zum Empfang von nicht eingestuften Informationen auf. Entsprechend der Berechtigung können gemäß nachfolgend beschriebener Ausführungsbeispiele Verbindungen zwischen dem ersten und dem zweiten Teilnehmer aufgebaut sein. Ist, ebenfalls gemäß nachfolgend beschriebener Ausführungsbeispiele, die Vermittlungsstelle zwischen dem ersten und dem zweiten Teilnehmer angeordnet, erkennt diese an dem Vorhandensein einer Verbindung für die entsprechende Sicherheitsklassifikation einer Information, ob der zweite Teilnehmer berechtigt ist, diese Information zu empfangen. Andernfalls verwirft die Vermittlungsstelle die Information. Der erste Teilnehmer nimmt dann keine Prüfung vor, ob der zweite Teilnehmer berechtigt ist, die Information zu empfangen. Andere Ausgestaltungen, bei denen der erste Teilnehmer vor dem Senden der Information an den zweiten Teilnehmer prüft, ob der zweite Teilnehmer die Berechtigung zum Empfang einer Information mit der entsprechenden Sicherheitsklassifikation hat, sind ebenfalls möglich.
-
Vorteilhafterweise ist es möglich, dass der erste Teilnehmer dem zweiten Teilnehmer oder einem weiteren Teilnehmer eine weitere Information einer zweiten Sicherheitsklassifikation der N Sicherheitsklassifikationen zusenden kann. Hierzu kann ausgehend von dem ersten Teilnehmer die gleiche Leitung verwendet werden. Es wird allerdings eine separate virtuelle Verbindung für Informationen der zweiten Sicherheitsklassifikation verwendet, die mit einem weiteren (eigenen) Tunnel gesichert ist. Abhängig von der Sicherheitsklassifikation der Informationen wählt die Recheneinheit die (erste) virtuelle Verbindung für Informationen der ersten Sicherheitsklassifikation und die (zweite) separate virtuelle Verbindung für Informationen der zweiten Sicherheitsklassifikation, um die entsprechenden Informationen zu senden. Somit wird pro Sicherheitsklassifikation, mit der ein Teilnehmer Informationen senden kann, eine eigene (bzw. separate) virtuelle Verbindung verwendet, die jeweils mittels eines Tunnels gesichert ist.
-
Idee ist es, die vormals physikalisch separierten Kommunikationskanäle für jede Sicherheitsklassifikation virtuell auf ein bekanntes, paketbasiertes Kommunikationssystem zu überführen. Hierzu werden die vormals physikalischen Kommunikationskanäle mittels virtueller Verbindungen (beispielsweise VLAN) abgebildet. Zum Schutz gegen das Abgreifen von Informationen durch Unbefugte werden die virtuellen Verbindungen jeweils mittels eines Tunnels (beispielsweise VPN) gesichert. Dies gilt unabhängig von der Sicherheitsklassifikation der Informationen. Pro verwendeter Sicherheitsklassifikation wird eine eigene virtuelle Verbindung hergestellt, über die ausschließlich Informationen gesendet werden, die dieser Sicherheitsklassifikation entsprechen. Dies hat den Vorteil, dass die Informationen durch den Tunnel während des Sendevorgangs nicht die virtuelle Verbindung verlassen können und somit streng von Informationen anderer Sicherheitsklassifikationen getrennt sind. Durch die Teilnehmer, namentlich die entsprechende Recheneinheit, ist sichergestellt, dass die Informationen entsprechend der Sicherheitsklassifikation über die der Sicherheitsklassifikation zugeordnete Verbindung bzw. durch den zugeordneten Tunnel, gesendet werden.
-
Ferner ist sichergestellt, dass die vom Nutzer gewählte Sicherheitsdomäne unter keinen Umständen verlassen werden darf. Zusätzlich ist sichergestellt, dass die Empfänger-Geräte auch nur die Informationen aus Sicherheitsdomänen empfangen, für die das Gerät konfiguriert wurde. So darf ein Gerät, welches für die Sicherheitsdomäne „Geheim“ konfiguriert wurde, z.B. nie die Informationen aus „Streng Geheim“ empfangen.
-
In Ausführungsbeispielen umfasst die Information eine Sprachkommunikation. Die Sprachkommunikation erfolgt live, d.h. in Echtzeit. Beispielsweise wird die Sprachkommunikation mittels VolP (voice over internet protocol) übertragen. Die Datenpakete sind somit nicht prädizierbar, was besondere Herausforderungen an die Klassifizierung der Informationen stellt. Bei netzwerktechnisch miteinander verbundenen Sicherheitsdomänen müssen Domänenübergänge (Crossing Domain Mechanism, CDM) den geforderten hohen Bedarf an IT-Sicherheit erfüllen. Dies lässt sich möglicherweise für eine Maschine-zu-Maschine-Kommunikation realisieren, da eine Definition der zu erwartenden Datenpakete und deren Inhalt festgelegt werden kann. Für die digitale Audio-Kommunikation ist dies jedoch nicht möglich. Die Kommunikation muss annähernd in Echtzeit, d.h. live, ablaufen, um die Kommunikation (d.h. ein Gespräch) zu ermöglichen. Andernfalls wären Reaktionen eines Gegenübers auf das Gesagte nicht möglich. Zusätzlich kann das gesprochene Wort nicht automatisiert ausgewertet und klassifiziert werden, jedenfalls nicht in der gebotenen Kürze der Zeit, um eine Kommunikation zu ermöglichen.
-
Im Bereich der digitalen Audio-Kommunikation sind daher weitergehende Herausforderungen zu lösen. Es ist, wie oben bereits beschrieben, sicherzustellen, dass die Sicherheitsdomäne, die für eine Sicherheitsklassifikation verwendet wird, von den Informationen nicht verlassen wird. Eine Sicherheitsdomäne kann durch einen IP-Adressbereich definiert sein. D.h., pro Sicherheitsklassifikation bzw. pro virtueller Verbindung kann ein Teilnehmer eine IP-Adresse aufweisen. D.h., in Ausführungsbeispielen weist das Kommunikationssystem N unterschiedliche Adressbereiche auf, so dass jeweils einer Sicherheitsklassifikation ein Adressbereich zugwiesen ist. Der erste Teilnehmer ist ausgebildet, die Information an die Adresse des zweiten Teilnehmers zu senden, die in dem Adressbereich der ersten Sicherheitsklassifikation liegt.
-
Ferner ist der Anwender der einzige, der entscheiden kann, welche Sicherheitsklassifikation die digitale Audiokommunikation, die er anstrebt, aufweisen muss. Insoweit kann nur der Anwender mittels des oben bezeichneten Wahlschalters die Sicherheitsklassifikation der Audio-Kommunikation einstellen.
-
In Ausführungsbeispielen ist als weiterer Schutzmechanismus eine Sprechtaste für den ersten Teilnehmer, insbesondere jeden sendenden Teilnehmer, vorgesehen. Die Recheneinheit des entsprechenden Teilnehmers ist ausgebildet, das Senden jeglicher Informationen zu unterbinden, wenn die Sprechtaste die Abwesenheit einer Betätigung aufweist. Somit wird verhindert, dass Informationen, insbesondere die Audio-Kommunikation, ohne Zutun des Nutzers den ersten Teilnehmer verlassen. Es ist demnach eine aktive Betätigung des Nutzers erforderlich, um kommunizieren zu können. Dies erhöht die Sicherheit der Informationen.
-
In Ausführungsbeispielen weist der zweite Teilnehmer, d.h. der Empfänger, eine Sprechtaste und einen Wahlschalter auf. Die Sprechtaste und der Wahlschalter können zum Senden von Informationen durch den zweiten Teilnehmer die gleiche Funktion aufweisen, die oben jeweils für den ersten Teilnehmer beschrieben ist. Für den Empfang der Information der ersten Sicherheitsklassifikation ist die Recheneinheit des zweiten Teilnehmers nun ausgebildet, die empfangene Information nur dann zu verarbeiten (beispielsweise für die Ausgabe auf ein Headset oder einen Lautsprecher im Falle einer Audio-Kommunikation), wenn die Sprechtaste die Abwesenheit einer Betätigung aufweist oder bei betätigter Sprechtaste der Wahlschalter des zweiten Teilnehmers zumindest derart eingestellt ist, dass der zweite Teilnehmer berechtigt ist, Informationen mit zumindest der ersten Sicherheitsklassifikation zu senden. Das Verarbeiten der Information umfasst beispielsweise die Signalverarbeitung der Information (insbesondere der Sprachinformation) für die Ausgabe und das Ausgeben der Information selbst.
-
D.h., obwohl der zweite Teilnehmer die Berechtigung zum Empfang der Information besitzt, wird diese unter bestimmten Voraussetzungen trotzdem nicht in dem zweiten Teilnehmer verarbeitet und somit auch nicht ausgegeben. Die Voraussetzungen sind, dass der Wahlschalter eine Einstellung aufweist, mit der Informationen einer höheren Sicherheitsklassifikation gesendet werden können, als der Sicherheitsklassifikation, die die empfangene Information aufweist. Andernfalls wäre es möglich, dass die Information intern in dem zweiten Teilnehmer oder extern über das sendende Mikrofon in eine andere, niedrigere Sicherheitsdomäne überspricht. Das externe Übersprechen wird durch die verhinderte Ausgabe der Information unterbunden. Das interne Übersprechen dadurch, dass die Information in dem zweiten Teilnehmer nicht verarbeitet wird. Das Übersprechen wird durch die beschriebene Abfrage der Betätigung der Sprechtaste vermieden.
-
Bei Verwendung des Wahlschalters des zweiten Teilnehmers kann es nun vorkommen, dass der zweite Teilnehmer nach Erhalt der Information eine weitere Information der ersten Sicherheitsklassifikation nicht an den ersten Teilnehmer zurücksenden kann. So ist es möglich, dass die erste Sicherheitsklassifikation, mit der die Information gesendet wird, höher ist, als die Einstellung des Wahlschalters des zweiten Teilnehmers. Der zweite Teilnehmer kann die Information der ersten Sicherheitsklassifikation dann zwar empfangen (solange die Sprechtaste nicht gedrückt ist), nicht jedoch Informationen mit der ersten Sicherheitsklassifikation an den ersten Teilnehmern zurücksenden, da die Einstellung des Wahlschalters den zweiten Teilnehmer hierzu nicht berechtigt. Entsprechend wäre zunächst die Schalterstellung des Wahlschalters auf die erste Sicherheitsklassifikation zu ändern.
-
In Ausführungsbeispielen weist das Kommunikationssystem nunmehr die bereits eingeführte Vermittlungsstelle auf. Die Recheneinheit des ersten Teilnehmers und die Recheneinheit des zweiten Teilnehmers sind jeweils ausgebildet, die virtuelle Verbindung zur Übertragung der Information der ersten Sicherheitsklassifikation über die Leitung zu der Vermittlungsstelle herzustellen, wobei die virtuelle Verbindung durchgehend mittels des Tunnels gesichert ist. Optional ist die Vermittlungsstelle ferner ausgebildet, eine virtuelle Verbindung zu einer beliebigen Anzahl weiterer Teilnehmer herzustellen, um eine Kommunikation zwischen den Teilnehmern in Abhängigkeit der Sicherheitsklassifikationen zu ermöglichen.
-
In Ausführungsbeispielen ist der erste Teilnehmer berechtigt, Informationen zu senden, die in einer der N Sicherheitsklassifikationen klassifiziert ist. Der zweite Teilnehmer ist jedoch berechtigt, nur Informationen zu empfangen, die in einer von M Sicherheitsklassifikationen klassifiziert sind, wobei M<N. M ist hierbei typischerweise eine echte Teilmenge von N. Zwischen dem ersten und dem zweiten Teilnehmer sind M virtuelle Verbindungen über die Leitung herstellbar bzw. im Betrieb vorteilhafterweise dauerhaft hergestellt, wobei die M virtuellen Verbindungen jeweils mittels eines Tunnels gesichert sind und wobei die M virtuellen Verbindungen jeweils einer Sicherheitsklassifikation der M Sicherheitsklassifikationen zugeordnet ist. Die Recheneinheit ist ausgebildet, die Information der ersten Sicherheitsklassifikation durch den Tunnel zu senden, dessen virtuelle Verbindung der ersten Sicherheitsklassifikation zugeordnet ist. Liegt die erste Sicherheitsklassifikation nicht innerhalb der M Sicherheitsklassifikationen, kann der zweite Teilnehmer die Information nicht empfangen, da dieser für diese Sicherheitsklassifikation keine virtuelle Verbindung aufweist.
-
Um dies zu realisieren, kann bereits im ersten Teilnehmer, also dem Sender, pro Einstellung des Wahlschalters eine Auswahl von Teilnehmern hinterlegt sein, denen dieser (in der entsprechenden Einstellung des Wahlschalters) Informationen senden kann. D.h., es kann bereits durch diese (insbesondere statische aber manuell änderbare) Voreinstellung verhindert werden, dass die Informationen an einen Teilnehmer gesendet werden, der nicht zum Empfang berechtigt ist. In Ausführungsbeispielen mit der Vermittlungsstelle weist der erste Teilnehmer zwar N virtuelle Verbindungen zu der Vermittlungsstelle auf, der zweite Teilnehmer jedoch nur M Verbindungen, so dass effektiv zwischen dem ersten und dem zweiten Teilnehmer nur M virtuelle Verbindungen bestehen. Wird trotz der möglichen Voreinstellung in dem ersten Teilnehmer eine Information an den zweiten Teilnehmer gesendet, die eine Sicherheitsklassifikation aufweist, für dessen Empfang der zweite Teilnehmer nicht berechtigt ist, verwirft die Vermittlungsstelle die Information. Die Vermittlungsstelle kann die Information auch gar nicht an den zweiten Teilnehmer senden, weil ihr hierfür die entsprechende Verbindung zu dem zweiten Teilnehmer fehlt. In anderen Worten ist die Vermittlungsstelle in Ausführungsbeispielen ausgebildet ist, die gesendete Information und/oder eine gesendete weitere Information zu empfangen und an den zweiten Teilnehmer weiterzuleiten, wenn der zweite Teilnehmer berechtigt ist, Informationen der ersten Sicherheitsklassifikation und/oder einer weiteren Sicherheitsklassifikation zu empfangen.
-
In Ausführungsbeispielen ist der erste und der zweite Teilnehmer; insbesondere gemäß Ausführungsbeispielen auch weitere Teilnehmer, gleichartig aufgebaut. Die Recheneinheiten des ersten und des zweiten Teilnehmers bzw. auch der weiteren Teilnehmer ermöglicht einen bidirektionalen Austausch von Informationen, insbesondere eine bidirektionale Audio-Kommunikation, durch den (jeweiligen) Tunnel zwischen den Teilnehmern. Dass die weiteren Teilnehmer gleichartig aufgebaut sind, heißt beispielsweise, dass die Recheneinheiten identisch sind, dass die Teilnehmer jeweils den Sprechtaster aufweisen und/oder dass die Teilnehmer jeweils den Wahlschalter aufweisen. Jedoch können einige Teilnehmer so konfiguriert sein, dass sie Informationen bestimmter Sicherheitsklassifikationen nicht empfangen können. Mittels des Wahlschalters können diese Sicherheitsklassifikationen demnach auch nicht zum Senden ausgewählt werden.
-
In Ausführungsbeispielen weist das Kommunikationssystem eine Mehrzahl von Teilnehmern auf. Einer dieser Teilnehmer umfasst neben der Recheneinheit ein Konferenzmodul. Das Konferenzmodul ist ausgebildet, eine Konferenz zwischen Teilnehmern gleicher Sicherheitsklassifikation aufzubauen und eine eingehende Sprachinformation eines Konferenzteilnehmers an die weiteren Konferenzteilnehmer zu senden. D.h., es wird bevorzugt mittels der Verbindungsstelle eine virtuelle Verbindung von jedem aktiven Teilnehmer (dieser kann hören bzw. sprechen) der Konferenz zu dem Teilnehmer mit dem Konferenzmodul hergestellt und mittels jeweils eines Tunnels gesichert. Der Teilnehmer mit dem Konferenzmodul vermittelt typischerweise nur die Daten und weist selbst keine Sprechstellenfunktionalität auf, umfasst also keine Funktionalität zur Ein-/Ausgabe der Information, insbesondere der Sprache. Die Recheneinheit ist jedoch die gleiche wie bei den anderen Teilnehmern, um den Sicherheitsanforderungen zu genügen.
-
Analog ist ein Verfahren zur Übertragung von Informationen N unterschiedlicher Sicherheitsklassifikationen über eine gemeinsame Leitung mit folgenden Schritten gezeigt: Herstellen einer virtuellen Verbindung über die Leitung zwischen einem ersten Teilnehmer und einem zweiten Teilnehmer, um dem zweiten Teilnehmer eine Information einer ersten Sicherheitsklassifikation der N Sicherheitsklassifikationen, insbesondere eine eingestufte Information, zu senden; Sichern der virtuellen Verbindung mittels eines Tunnels, so dass die Information den Tunnel nicht verlassen kann, bevor die Information den zweiten Teilnehmer erreicht hat; Ermitteln der Sicherheitsklassifikation der Information; Senden der Information an den zweiten Teilnehmer; Empfangen der Information mittels des zweiten Teilnehmers, wenn der zweite Teilnehmer berechtigt ist, Informationen der ersten Sicherheitsklassifikation zu empfangen.
-
Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen:
- 1: eine schematische Blockdarstellung eines Kommunikationssystems, wobei 1a und 1b jeweils Ausführungsbeispiele des Kommunikationssystems zeigen;
- 2: ein schematisches Ablaufdiagramm einer Recheneinheit von Teilnehmern des Kommunikationssystems, wobei 2a das Ablaufdiagramm zum Senden einer Information und 2b das Ablaufdiagramm zum Empfang einer Information zeigt.
-
Bevor nachfolgend Ausführungsbeispiele der vorliegenden Erfindung im Detail anhand der Zeichnungen näher erläutert werden, wird darauf hingewiesen, dass identische, funktionsgleiche oder gleichwirkende Elemente, Objekte und/oder Strukturen in den unterschiedlichen Figuren mit den gleichen Bezugszeichen versehen sind, so dass die in unterschiedlichen Ausführungsbeispielen dargestellte Beschreibung dieser Elemente untereinander austauschbar ist bzw. aufeinander angewendet werden kann.
-
1a zeigt eine schematische Blockdarstellung eines Kommunikationssystems 20 zur Übertragung von Informationen N unterschiedlicher Sicherheitsklassifikationen über eine gemeinsame Leitung 22. Das Kommunikationssystem 20 weist einen ersten Teilnehmer 24a und einen zweiten Teilnehmer 24b auf. Der erste Teilnehmer 24a kann dem zweiten Teilnehmer 24b eine Information 26a über die Leitung 22 senden. Hierzu wird über die Leitung 22 eine virtuelle Verbindung (aus Gründen der Übersichtlichkeit nicht dargestellt) hergestellt und mittels eines Tunnels 28a gesichert. Durch die Sicherung mittels des Tunnels 28a kann die Information 26a die virtuelle Verbindung nicht verlassen, bevor die Information 26a den zweiten Teilnehmer 24b erreicht hat. Der Aufbau der virtuellen Verbindung und/oder die Sicherung des Tunnels kann durch eine Recheneinheit 30 erfolgen. Vorteilhafterweise erfolgt dies jedoch nur einmal während der Initialisierung des Kommunikationssystems 20, danach bleibt sowohl die virtuelle Verbindung als auch der Tunnel zumindest für einen vorbestimmten Zeitraum, beispielsweise einen Tag, aktiv, bevor das Kommunikationssystem 20 erneut initialisiert wird. Der vorbestimmte Zeitraum kann von der Dauer der Gültigkeit eines Zertifikats für den Tunnel abhängen.
-
Die Recheneinheit 30 ermittelt ferner die Sicherheitsklassifikation der Information. Die Sicherheitsklassifikation der zu sendenden Information kann von einem Nutzer des ersten Teilnehmers mittels eines Wahlschalters 32 eingestellt werden. Der zweite Teilnehmer 24b weist ferner eine (typischerweise voreingestellte) Berechtigung zum Empfang von Informationen bis zu einer bestimmten Sicherheitsklassifikation auf. Wenn der erste Teilnehmer 24a Informationen mit N unterschiedlichen Sicherheitsklassifikationen versenden kann, kann es sein, dass der zweite Teilnehmer nur Informationen aus M dieser Sicherheitsklassifikationen empfangen kann (M<N).
-
Als weitere Sicherungsvorkehrung kann der erste Teilnehmer eine Sprechtaste 34 aufweisen. Der Nutzer des ersten Teilnehmers kann dann nur Informationen senden, wenn dieser die Sprechtaste 34 betätigt hat. Andernfalls wird die Recheneinheit 30 jegliche zu sendende Information verwerfen.
-
Der zweite Teilnehmer 24b kann gleichartig zu dem ersten Teilnehmer 24a aufgebaut sein. Insoweit weist der zweite Teilnehmer ebenfalls eine Recheneinheit 30', sowie optional einen Wahlschalter 32' und/oder eine Sprechtaste 34' auf. Die Recheneinheiten 30, 30' des ersten und des zweiten Teilnehmers können dann einen bidirektionalen Austausch von Informationen 26a, 26a' der ersten Sicherheitsklassifikation, insbesondere eine bidirektionale Audio-Kommunikation, durch den Tunnel 28a ermöglichen.
-
Ferner kann über die Leitung 22 eine weitere virtuelle Verbindung (ebenfalls nicht gezeigt) zwischen dem ersten und dem zweiten Teilnehmer 24a, 24b aufgebaut werden, die mit einem weiteren Tunnel 28b gesichert ist. Durch diesen Tunnel können Informationen 26b, 26b' einer zweiten Sicherheitsklassifikation (die von der ersten Sicherheitsklassifikation verschiedenen ist) zwischen dem ersten und dem zweiten Teilnehmer ausgetauscht werden. Jeder Sicherheitsklassifikation ist dann ein eigener Tunnel zugewiesen. Eine entsprechende Erweiterung auf eine größere Anzahl von Sicherheitsklassifikationen ist möglich.
-
1b ist eine etwas vereinfachte Darstellung von 1a, wobei jedoch zwischen den Teilnehmern 24a, 24b eine Vermittlungsstelle 36 angeordnet ist. Optional ist ein dritter Teilnehmer 24c gezeigt, der mit der Vermittlungsstelle 36 verbunden ist. Weitere Teilnehmer sind möglich. Die Teilnehmer 24 sind jeweils mit einer eigenen Leitung 22a, 22b, 22c mit der Vermittlungsstelle 36 verbunden. Über diese Leitungen können jeweilige, mittels Tunneln 28 gesicherte virtuelle Verbindungen zwischen den Teilnehmern und der Vermittlungsstelle 36 aufgebaut werden. Für den ersten Teilnehmer 24a sind beispielhaft N Tunnel gezeigt, für den zweiten Teilnehmer 24b sind beispielhaft M Tunnel gezeigt. Über die Vermittlungsstelle 36 gelangen die Informationen dann zu ihrem vorbestimmten Ziel (Empfänger). Pro Sicherheitsklassifikation kann eine eigene, durch einen Tunnel 28 gesicherte, virtuelle Verbindung aufgebaut werden. Dieser Tunnel wird dann ausschließlich für Informationen benutzt, die der zugeordneten Sicherheitsklassifikation entsprechen.
-
In anderen Worten, unter Verwendung von Sprachkommunikation als Information, initiiert im Hintergrund jedes Kommunikationsgerät 24a, 24b, 24c (auch als Teilnehmer bezeichnet) eine Anzahl von N VPN-Verbindungen 28 (auch als Tunnel bezeichnet) zu einer Firewall 36 (auch als Vermittlungsstelle bezeichnet). Für jede auf dem Gerät 24a, 24b, 24c konfigurierte Sicherheitsdomäne wird ein eigener VPN-Tunnel 28 aufgebaut. Die über den VPN-Tunnel bereitgestellten Netzwerke sind dann voneinander entkoppelt. Innerhalb der bereitgestellten Netzwerke können die Teilnehmer 24a, 24b, 24c miteinander kommunizieren. Jedes Kommunikationsgerät enthält die Recheneinheit 30. Diese Recheneinheit realisiert die genannten VPN Verbindungen. Dadurch wird sichergestellt, dass nur Geräte 24a, 24b, 24c miteinander kommunizieren können, wenn sie mindestens über eine gemeinsam konfigurierte Sicherheitsdomäne verfügen. Zusätzlich blockiert diese Recheneinheit standardmäßig sämtliche ausgehende Sprachkommunikation. Somit wird sichergestellt, dass z.B. Softwarefehler nicht dazu führen können, dass Informationen 26 abfließen, ohne dass der Anwender dies durch Drücken der Sprechtaste explizit initiiert hat.
-
Über einen Wahlschalter kann der Anwender die zu verwendende Sicherheitsdomäne für die folgende Übertragung von Informationen 26 einstellen, denn nur der Anwender weiß, welche Einstufung die zu übertragende Information 26 hat. Die Stellung des Wahlschalters wird regelmäßig durch die Recheneinheit abgefragt. Somit weiß die Recheneinheit immer, welche Sicherheitsdomäne durch den Anwender ausgewählt wurde. Die Einstufung der Information wird über den vom Anwender konfigurierten Wahlschalter festgelegt, somit kann auch vom einem Gerät, welches sich in einer höheren Sicherheitsdomäne z.B. „streng geheim“ befindet, eine Information mit einer niedrigeren Einstufung z.B. „öffentlich“ versendet werden, da ja für jede konfigurierte Sicherheitsdomäne eine abgesicherte VPN-Verbindung verfügbar ist.
-
Wird vom Anwender durch Drücken der Sprechtaste signalisiert, dass Informationen übertragen werden sollen, so erlaubt die Recheneinheit die Übertragung der Sprache nur für das Netzwerk in dem VPN, welches mit der Schalterstellung verknüpft ist. Steht die Schalterstellung auf „streng geheim“, so wird auch nur in dem VPN „streng geheim“ das Senden der Informationen ermöglicht. Es wird verhindert, dass die Informationen in andere Sicherheitsdomänen abfließen. Sobald die Sprechtaste nicht mehr gedrückt wird, unterbindet die Recheneinheit wieder sämtlichen ausgehenden Datenverkehr.
-
Bezugnehmend auf Sprachkommunikation als Information kann folgendes Szenario auftreten, wobei die Teilnehmer zur Kommunikation auch als Sprechstelle bezeichnet werden. Der erste Teilnehmer 24a befindet sich in einer höherwertig eingestuften Sicherheitsdomäne. Der zweite Teilnehmer 24b befindet sich in einer niedriger eingestuften Sicherheitsdomäne. Der erste und der zweite Teilnehmer weisen jeweils Mikrofon und Lautsprecher, beispielsweise in Form eines Headsets auf. Die Sprechtaste 34 kann in dem Teilnehmer enthalten sein oder als externer Taster außerhalb des Teilnehmers verbaut sein. Zwischen Headset und Teilnehmer können analoge Audiosignale übertragen werden.
-
Der Nutzer des ersten Teilnehmers wählt mit dem Wahlschalter 32 die Sicherheitsdomäne seines Gesprächs vorab aus. Die Recheneinheit 30 kann die analogen Daten in einen digitalen Datenstrom umwandeln. Standardmäßig wird ein ausgehender Datenstrom (Sendevorgang an den zweiten Teilnehmer 24b) nicht durchgelassen. Ein eingehender Datenstrom wird standardmäßig auf das Headset oder eine andere Lautsprecher/Mikrofonanordnung ausgegeben. Die Recheneinheit baut für alle konfigurierten Sicherheitsdomänen einen separaten VPN Tunnel zur Vermittlungsstelle 36 auf. Gemäß Konfiguration der Vermittlungsstelle 36 können die Recheneinheiten bzw. die Teilnehmer standardmäßig z.B. über TCP oder UDP nur in Verwendung der VPN Tunnel 28 miteinander kommunizieren.
-
Die Recheneinheiten verfügen je über eine Schnittstelle für die Sprechtasten. Über diese Schnittstelle können verschiedene Sprechtasten-Quellen angeschlossen werden (z.B. Hardware-Taster, Software-Taster). Die Recheneinheiten werten das an der Sprechtasten Schnittstelle anliegende Signal entsprechend aus. Die Recheneinheiten verfügen ferner über eine Sicherheitsschnittstelle. Über diese Sicherheitsschnittstelle können verschiedene Auswahlmöglichkeiten angeschlossen werden (z.B. in Form eines Hardware-Wahlschalters oder eines Software-Wahlschalters). Die Recheneinheiten werten das an der Sicherheitsschnittstelle anliegende Signal entsprechend aus.
-
2a zeigt ein schematisches Flussdiagramm der Sicherheitsfunktion der Recheneinheit gemäß Ausführungsbeispielen zum Senden von Informationen. Die Recheneinheit weist z.B. einen Paketfilter mit definierten Paketfilterregeln für das Senden von Informationen auf. Standardmäßig wird ausgehender Datenverkehr mittels des Paketfilters blockiert (vgl. Box 40). Somit wird sichergestellt, dass zu keiner Zeit (Audio-) Daten unbewusst abfließen können. Die blockierenden Paketfilterregeln werden nur unter bestimmten Bedingungen deaktiviert. Erstens ist die Sprechtaste zu betätigen (Box. 42). Zweitens ist der Wahlschalter so einzustellen, dass die ausgewählte Sicherheitsklassifikation nicht die maximale Sicherheitsklassifikation des Empfängers überschreitet (s. Box 44). Die Aufzählung (ersten, zweitens) gibt hier nicht die Reihenfolge der Schritte wider sondern ist rein auf das Vorhandensein derselben gemünzt. Typischerweise wird zuerst der Wahlschalter entsprechend eingestellt bevor die Sprechtaste gedrückt wird. Sind diese Bedingungen gegeben, so werden die Paketfilterregeln deaktiviert und die Informationen können gesendet werden (s. Box 46). Sobald eine dieser Bedingungen nicht mehr gegeben ist, werden die Paketfilterregeln sofort wieder aktiviert.
-
2b zeigt ein schematisches Flussdiagramm der Sicherheitsfunktion der Recheneinheit zum Empfangen von Informationen. Auch für den Empfang von Informationen (s. Box. 48) weist die Recheneinheit z.B. einen Paketfilter mit definierten Paketfilterregeln auf. Standardmäßig sind die Paketfilterregeln nicht aktiv, d.h. die eingehenden Informationen werden verarbeitet und an den Nutzer ausgegeben (s. Box 56). Für den Fall, dass der Nutzer die Sprechtaste betätigt (s. Box. 50), werden eingehende höherwertigere (s. Box. 52) Informationen (z.B. VolP Daten) nicht verarbeitet, insbesondere nicht ausgegeben (s. Box. 54). D.h. die Recheneinheit blockiert die eingehenden VolP Daten. Dies verhindert ein Übersprechen von höherwertigen Daten in niedrigere Kommunikationsnetze.
-
So wird ein situationsbedingtes Zulassen und Verwerfen von Audiodaten in Abhängigkeit von verschiedenen Faktoren ermöglicht, die dazu führen, dass höher eingestufte Daten nicht in Kommunikationsnetze gelangen können, die niedriger eingestuft sind. Alle angebundenen Kommunikationsnetze werden vorteilhafterweise mit den identischen Sicherheitsvorkehrungen geschützt. Somit ist es nicht notwendig, dass dem System bekannt ist, in welchem Kommunikationsnetz welche Sicherheitsdomäne konfiguriert ist. Dies wird allein durch die Nutzer sichergestellt, die zum einen die Kommunikationslinien (virtuelle Verbindungen) konfigurieren und zum anderen, bevor der Funkspruch abgesetzt wird, die Sicherheitsdomäne definieren.
-
Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar.
-
Die oben beschriebenen Ausführungsbeispiele stellen lediglich eine Veranschaulichung der Prinzipien der vorliegenden Erfindung dar. Es versteht sich, dass Modifikationen und Variationen der hierin beschriebenen Anordnungen und Einzelheiten anderen Fachleuten einleuchten werden. Deshalb ist beabsichtigt, dass die Erfindung lediglich durch den Schutzumfang der nachstehenden Patentansprüche und nicht durch die spezifischen Einzelheiten, die anhand der Beschreibung und der Erläuterung der Ausführungsbeispiele hierin präsentiert wurden, beschränkt sei.
-
Bezugszeichenliste
-
- 20
- Kommunikationssystem
- 22
- Leitung
- 24
- Teilnehmer
- 26
- Information
- 28
- Tunnel
- 30
- Recheneinheit
- 32
- Wahlschalter
- 34
- Sprechtaste
- 36
- Vermittlungsstelle
- 40ff
- Boxen des Flussdiagramms