DE102020215004A1 - Secure communication link between systems - Google Patents

Secure communication link between systems Download PDF

Info

Publication number
DE102020215004A1
DE102020215004A1 DE102020215004.4A DE102020215004A DE102020215004A1 DE 102020215004 A1 DE102020215004 A1 DE 102020215004A1 DE 102020215004 A DE102020215004 A DE 102020215004A DE 102020215004 A1 DE102020215004 A1 DE 102020215004A1
Authority
DE
Germany
Prior art keywords
secret
time
s1eg
temporary
communication link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020215004.4A
Other languages
German (de)
Inventor
Evgeniy Dzheyn
Konstantin Keutner
Frank Maybaum
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Schweiz AG
Original Assignee
Siemens Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Schweiz AG filed Critical Siemens Schweiz AG
Priority to DE102020215004.4A priority Critical patent/DE102020215004A1/en
Publication of DE102020215004A1 publication Critical patent/DE102020215004A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren und Anordnung zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen, wobei ein erster Berechtigungsnachweis für ein erstes System von einem zweiten System bereitgestellt wird, wobei der erste Berechtigungsnachweis ein vorläufiges Einmalgeheimnis umfasst; wobei ein Einmal-Endpunkt im zweiten System für den Empfang des vom ersten System gesendeten vorläufigen Einmalgeheimnisses bereitgestellt wird; wobei eine erste (vorläufige) Kommunikationsverbindung vom ersten System zum Einmal-Endpunkt im zweiten System, basierend auf dem vorläufigen Einmalgeheimnis, aufgebaut wird; wobei ein zweiter Berechtigungsnachweis für das erste System vom zweiten System bereitgestellt wird, wobei der zweite Berechtigungsnachweis ein dauerhaftes Geheimnis umfasst, wobei das erste System das dauerhafte Geheimnis in einen sicheren Speicher des ersten Systems schreibt; wobei eine zweiten (operative) Kommunikationsverbindung vom ersten System zum zweiten System aufgebaut wird, basierend auf dem dauerhaften Geheimnis.Method and arrangement for providing a secure communication connection between two systems, wherein a first credential for a first system is provided by a second system, wherein the first credential comprises a temporary one-time secret; wherein a one-time endpoint is provided in the second system for receiving the temporary one-time secret sent from the first system; wherein a first (temporary) communication link is established from the first system to the one-time endpoint in the second system based on the temporary one-time secret; wherein a second credential is provided to the first system by the second system, the second credential comprising a persistent secret, the first system writing the persistent secret to a secure storage of the first system; wherein a second (operative) communication link is established from the first system to the second system based on the persistent secret.

Description

Die Erfindung betrifft ein Verfahren zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen Systemen.The invention relates to a method for providing a secure communication link between systems.

Der Aufbau einer sicheren Kommunikationsverbindung zwischen technischen Systemen (z.B. Controller im Feld und Server eines Gebäudeautomatisierungssystems) erfordert gewöhnlich den Austausch von Ausweisen, mit denen sich ein Teilnehmer an der Verbindung authentifizieren muss, damit der andere ihn als vertrauenswürdig akzeptiert. Digitale Ausweise können prinzipiell aber beliebig kopiert werden, deshalb beinhaltet ihre Verwendung üblicherweise „Geheimnisse“, deren Kenntnis ein Kommunikationspartner nachweist und die er im eigenen Interesse geheim hält, z.B. durch die Abspeicherung in einem sicheren, nur ihm zugänglichen Speicher.Establishing a secure communication connection between technical systems (e.g. controllers in the field and servers of a building automation system) usually requires the exchange of credentials with which one participant in the connection must authenticate himself so that the other participant accepts him as trustworthy. In principle, however, digital IDs can be copied at will, which is why their use usually contains “secrets” that a communication partner can prove they know and which they keep secret in their own interest, e.g. by storing them in a secure memory that only they can access.

Vor der erstmaligen Verwendung, also z.B. bei der Kommissionierung eines neuen Systems, muss das „Geheimnis“ zwischen beiden Kommunikationspartner geteilt werden. Bei diesem Transfer besteht das Risiko des Stehlens oder der Korrumpierung des „Geheimnisses“ durch einen Angreifer (man-in-the-middleattack).Before it is used for the first time, e.g. when commissioning a new system, the "secret" must be shared between the two communication partners. With this transfer there is a risk of stealing or corrupting the "secret" by an attacker (man-in-the-middle attack).

Üblicherweise wird zur Übertragung des „Geheimnisses“ ein nicht näher ausgeführter separater Kommunikationskanal verwendet, da der abzusichernden Kommunikationsverbindung vor der Etablierung der Beziehung (zwischen den Systemen) ja nicht vertraut werden kann.A separate communication channel, which is not detailed, is usually used to transmit the "secret", since the communication connection to be secured cannot be trusted before the relationship (between the systems) is established.

Die Aufgabe der vorliegenden Erfindung ist es ein Verfahren für einen komfortablen und sicheren Transfer eines Geheimnisses zwischen technischen Systemen bereitzustellen.The object of the present invention is to provide a method for a comfortable and secure transfer of a secret between technical systems.

Die Aufgabe wird gelöst durch ein Verfahren zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen, umfassend die folgenden Schritte:

  • Bereitstellen eines ersten Berechtigungsnachweises (z.B. erstes Credential, oder ein erstes digitales Zertifikat) für ein erstes System von einem zweiten System, wobei der erste Berechtigungsnachweis ein vorläufiges Einmalgeheimnis umfasst;
  • Bereitstellen eines Einmal-Endpunktes im zweiten System für den Empfang des vom ersten System gesendeten vorläufigen Einmalgeheimnisses;
  • Aufbauen einer ersten (vorläufigen) Kommunikationsverbindung vom ersten System zum Einmal-Endpunkt im zweiten System, basierend auf dem vorläufigen Einmalgeheimnis;
  • Bereitstellen eines zweiten Berechtigungsnachweises (z.B. zweites Credential, oder ein zweites digitales Zertifikat) für das erste System vom zweiten System, wobei der zweite Berechtigungsnachweis ein dauerhaftes Geheimnis umfasst, wobei das erste System das dauerhafte Geheimnis in einen sicheren Speicher des ersten Systems schreibt;
  • Aufbauen einer zweiten (operativen) Kommunikationsverbindung vom ersten System zum zweiten System, basierend auf dem dauerhaften Geheimnis. Beim vorläufigen Einmalgeheimnis und/oder beim dauerhaften Geheimnis kann es sich z.B. um geeignete EV-Zertifikate (Extended Validation Zertifikate) und/oder um geeignete SSL-Zertifikate (Secure Sockets Layer) und/oder um geeignete TLS-Zertifikate (Transport Layer Security) handeln. Bei den technischen Systemen handelt es sich z.B. um zwei Geräte (z.B. IoT-Geräte, d.h. IoT-fähige Geräte) die über das Internet oder über eine Cloud miteinander datentechnisch verbunden werden sollen. Es können aber auch geeignete Feldgeräte über das Internet oder über eine Cloud mit einem Regel- und Steuergerät (z.B. Controller) oder mit einem Cloud-Server (z.B. Server für eine Gebäudeautomatisierung) sicher verbunden werden. Das Verfahren bietet insbesondere Schutz gegen Man-in-the-Middle-Angriffe oder Korrumpierungsversuche von Dritten. Weiterhin bietet das Verfahren Absicherung einer Kommunikationsverbindung gegen Pharming- und Phishingangriffen. Mit Vorteil werden die Berechtigungsnachweise und die Geheimnisse von einer offiziellen vertrauenswürdigen Zertifizierungsstelle (Certification Authority) bereitgestellt. Bei den Berechtigungsnachweisen und/oder bei den Geheimnissen kann es sich z.B. um Schlüssel-Zertifikate und/oder um Signaturen handeln. Mit Vorteil ist die erste Kommunikationsverbindung nur begrenzt gültig (z.B. für eine definierte Zeitdauer). Mit Vorteil wird die erste Kommunikationsverbindung nur für die Herstellung (Inbetriebsetzung) der zweiten (operativen) Kommunikationsverbindung verwendet. Die zweite Kommunikationsverbindung wird als operative Kommunikationsverbindung zwischen den technischen Systemen verwendet. Über die zweite Kommunikationsverbindung werden z.B. Befehle und/oder Daten ausgetauscht. Bei einem Einmal-Endpunkt handelt es sich z.B. um einen Kommunikationsendpunkt, z.B. um einen Port. Ein Port wird üblicherweise mit einer Portnummer identifiziert, für eine Verwendung in den entsprechenden Netzwerkprotokollen (z.B. TCP, UDP). Für einen Einmal-Endpunkt können z.B. dynamische Ports (Dynamic Ports) verwendet werden.
The object is solved by a method for providing a secure communication link between two systems, comprising the following steps:
  • providing a first credential (eg, first credential, or a first digital certificate) to a first system from a second system, the first credential comprising a temporary one-time secret;
  • providing a one-time endpoint in the second system to receive the temporary one-time secret sent from the first system;
  • establishing a first (temporary) communication link from the first system to the one-time endpoint in the second system based on the one-time temporary secret;
  • providing a second credential (eg, second credential, or a second digital certificate) to the first system from the second system, the second credential comprising a persistent secret, the first system writing the persistent secret to a secure storage of the first system;
  • Establishing a second (operative) communication link from the first system to the second system based on the persistent secret. The provisional one-time secret and/or the permanent secret can be, for example, suitable EV certificates (Extended Validation Certificates) and/or suitable SSL certificates (Secure Sockets Layer) and/or suitable TLS certificates (Transport Layer Security). . The technical systems are, for example, two devices (eg IoT devices, ie IoT-enabled devices) which are to be connected to one another in terms of data technology via the Internet or via a cloud. However, suitable field devices can also be securely connected via the Internet or via a cloud to a regulating and control device (e.g. controller) or to a cloud server (e.g. server for building automation). In particular, the procedure offers protection against man-in-the-middle attacks or corruption attempts by third parties. The method also offers protection of a communication link against pharming and phishing attacks. Advantageously, the credentials and secrets are provided by an official trusted certification authority. The credentials and/or the secrets can be key certificates and/or signatures, for example. The first communication link is advantageously only valid for a limited period (for example for a defined period of time). Advantageously, the first communication link is used only for establishing (starting up) the second (operative) communication link. The second communication link is used as an operative communication link between the technical systems. Commands and/or data, for example, are exchanged via the second communication link. A one-time endpoint is, for example, a communication endpoint, for example a port. A port is usually identified with a port number for use in the appropriate network protocols (e.g. TCP, UDP). For example, dynamic ports can be used for a one-time endpoint.

Eine erste vorteilhafte Ausgestaltung der Erfindung liegt darin, dass das vorläufige Einmalgeheimnis ausschliesslich zum Erstellen des dauerhaften Geheimnisses verwendbar ist. Dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A first advantageous embodiment of the invention is that the temporary one-time secret can only be used to create the permanent secret. This increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass das vorläufige Einmalgeheimnis nach seiner ersten Verwendung seine Gültigkeit verliert. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A further advantageous embodiment of the invention is that the temporary one-time secret loses its validity after it has been used for the first time. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass das vorläufige Einmalgeheimnis für eine definierte Zeitdauer gültig ist. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert. Mit Vorteil ist die definierte Zeitdauer an das vorläufige Einmalgeheimnis gekoppelt oder fest zugewiesen. Mit Vorteil erfolgt diese Kopplung oder Zuweisung bei der Erstellung des vorläufigen Einmalgeheimnisses. Es ist aber auch möglich, dass die definierte Zeitdauer z.B. von einem Servicetechniker dem vorläufigen Einmalgeheimnis zugewiesen wird, z.B. basierend auf seinen Erfahrungen für die benötigte Zeit für die Einrichtung der Kommunikationsverbindung zwischen den Systemen. Bei der definierten Zeitdauer kann es sich z.B. um eine Stunde (1 h) handeln oder um eine halbe Stunde (0,5 h).A further advantageous embodiment of the invention is that the provisional one-time secret is valid for a defined period of time. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult. The defined period of time is advantageously linked to the provisional one-time secret or permanently assigned. This coupling or assignment is advantageously carried out when the provisional one-time secret is created. However, it is also possible for the defined period of time to be assigned to the temporary one-time secret, e.g. by a service technician, e.g. The defined time period can be, for example, one hour (1 h) or half an hour (0.5 h).

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass nach der Ausstellung des vorläufigen Einmalgeheimnisses ein vorher ausgestelltes dauerhaftes Geheimnis seine Gültigkeit verliert. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A further advantageous embodiment of the invention lies in the fact that after the provisional one-time secret has been issued, a previously issued permanent secret loses its validity. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass nach der Ausstellung des dauerhaften Geheimnisses ein vorher ausgestelltes vorläufiges Einmalgeheimnis seine Gültigkeit verliert. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A further advantageous embodiment of the invention lies in the fact that after the permanent secret has been issued, a previously issued provisional one-time secret loses its validity. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass mit einem für das erste System ausgestellten vorläufigen Einmalgeheimnis nur für das erste System ein dauerhaftes Geheimnis ausgestellt werden kann. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A further advantageous embodiment of the invention lies in the fact that a permanent secret can only be issued for the first system with a temporary one-time secret issued for the first system. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass nach dem Aufbauen der zweiten (operativen) Kommunikationsverbindung das vorläufige Einmalgeheimnis seine Gültigkeit verliert. Auch dies erhöht die Sicherheit der Kommunikationsverbindung zwischen den technischen Systemen. Man-in-the-Middle-Angriffe auf die Kommunikation zwischen den technischen Systemen werden vermieden bzw. erschwert.A further advantageous embodiment of the invention is that after the second (operative) communication connection has been set up, the temporary one-time secret loses its validity. This also increases the security of the communication link between the technical systems. Man-in-the-middle attacks on the communication between the technical systems are avoided or made more difficult.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt darin, dass nach dem Aufbauen der zweiten (d.h. der operativen) Kommunikationsverbindung der Einmal-Endpunkt im zweiten System eingestellt (bzw. abgebaut) wird. Der Einmal-Endpunkt kann somit nicht mehr verwendet werden. Auch dies erhöht die Sicherheit vor einer Korrumpierung der Verbindung zwischen den Systemen.A further advantageous embodiment of the invention lies in the fact that after the second (i.e. the operative) communication link has been set up, the one-time end point is set (or terminated) in the second system. The one-time endpoint can therefore no longer be used. This also increases security against corruption of the connection between the systems.

Eine weitere vorteilhafte Ausgestaltung der Erfindung liegt in einer Anordnung zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen, umfassend Mittel zur Durchführung des erfindungsgemässen Verfahrens. Mit Vorteil wird die Anordnung durch Mittel und Komponenten realisiert, die sowie so schon für die Einrichtung und den Betrieb von technischen Systemen, die über das Internet oder über eine Cloud kommunizieren, vorhanden sind.A further advantageous embodiment of the invention lies in an arrangement for providing a secure communication connection between two systems, comprising means for carrying out the method according to the invention. The arrangement is advantageously implemented using means and components that are already available for setting up and operating technical systems that communicate via the Internet or via a cloud.

Die Erfindung sowie vorteilhafte Ausführungen der vorliegenden Erfindung werden am Beispiel der nachfolgenden Figur erläutert. Dabei zeigen:

  • 1 eine beispielhafte Konfiguration für eine sichere Kommunikation zwischen zwei technischen Systemen,
  • 2 ein erstes beispielhaftes Szenario für den Transfer eines Geheimnisses zwischen zwei technischen Systemen,
  • 3 ein zweites beispielhaftes Szenario für den Transfer eines Geheimnisses zwischen zwei technischen Systemen,
  • 4 eine weitere beispielhafte Konfiguration für eine sichere Kommunikation zwischen zwei technischen Systemen, und
  • 5 ein beispielhaftes Flussdiagramm für ein Verfahren zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei technischen Systemen.
The invention and advantageous embodiments of the present invention are explained using the example of the figure below. show:
  • 1 an exemplary configuration for secure communication between two technical systems,
  • 2 a first exemplary scenario for the transfer of a secret between two technical systems,
  • 3 a second exemplary scenario for the transfer of a secret between two technical systems,
  • 4 another exemplary configuration for secure communication between two technical systems, and
  • 5 an exemplary flowchart for a method for providing a secure Communication connection between two technical systems.

1 zeigt eine beispielhafte Konfiguration für eine sichere Kommunikation zwischen zwei technischen Systemen S1 und S2. Beim System S1 kann es sich z.B. um ein IoT-Gerät (Internet of Things) handeln, das über das Netzwerk NW (z.B. Internet, Intranet, Cloud, HTTPS-Netzwerk) mit dem System S2 datentechnisch verbunden werden soll. Beim System S2 kann es sich z.B. um ein Regel- und Steuergerät (Controller) oder um einen Server handeln. Der Server kann z.B. in einer Cloud-Infrastruktur realisiert (gehosted) sein. Bei einem IoT-Gerät kann es sich z.B. um ein Internetfähiges Feldgerät (z.B. Sensor, Aktor) oder um ein Edge-Gateway handeln. Das Netzwerk NW kann unsicher sein. Deshalb soll eine sichere Kommunikationsverbindung KV1 (z.B. Tunnel) zwischen den Systemen S1 und S2 erstellt werden. Eine sichere Kommunikationsverbindung KV1 kann z.B. dadurch eingerichtet werden, dass System S1 durch die Kenntnis eines vom System S2 herausgegebenen Geheimnisses S1G (z.B. entsprechendes Zertifikat, Signatur, digitaler Schlüssel) authentifiziert ist. Mit Vorteil stellt das System S2 für die Kommunikationsverbindung KV1 (z.B. ein geeignetes Transferprotokoll) einen sicheren Endpunkt SE-S1G (Port, Kommunikationsendpunkt) bereit. Mit Vorteil wird das vom System S2 herausgegebene Geheimnis S1G im System S1 in einem sicheren Speicher SS1 hinterlegt. Mit Vorteil ist der sichere Speicher SS1 über eine starke Verschlüsselung geschützt, z.B. über AES-Verschlüsselung (Advanced Encryption Standard), mit Vorteil über AES 256. 1 shows an exemplary configuration for secure communication between two technical systems S1 and S2. The system S1 can be, for example, an IoT device (Internet of Things) that is to be connected in terms of data technology to the system S2 via the network NW (eg Internet, intranet, cloud, HTTPS network). The system S2 can be, for example, a regulating and control unit (controller) or a server. The server can be implemented (hosted) in a cloud infrastructure, for example. An IoT device can be, for example, an Internet-enabled field device (e.g. sensor, actuator) or an edge gateway. The network NW may be insecure. A secure communication connection KV1 (eg tunnel) should therefore be created between the systems S1 and S2. A secure communication link KV1 can be set up, for example, by system S1 being authenticated by knowing a secret S1G published by system S2 (eg corresponding certificate, signature, digital key). The system S2 advantageously provides a secure end point SE-S1G (port, communication end point) for the communication connection KV1 (eg a suitable transfer protocol). The secret S1G issued by the system S2 is advantageously stored in the system S1 in a secure memory SS1. The secure storage SS1 is advantageously protected by strong encryption, e.g. by AES encryption (Advanced Encryption Standard), advantageously by AES 256.

Ist eine sichere Kommunikationsverbindung KV1 zwischen den Systemen S1 und S2 aufgebaut, dann kann ein potenzieller Angreifer A diese nicht korrumpieren oder manipulieren. Eine durch ein Geheimnis S1G abgesicherte Kommunikationsverbindung KV1 bietet somit Schutz vor Angreifern A, die nicht im Besitz des Geheimnisses S1G sind. Mit Vorteil umfassen die technischen Systeme S1 und S2 entsprechend geeignete Prozessoren, Speicher und Kommunikationsmittel, sowie entsprechende Softwareprogramme.If a secure communication link KV1 is set up between the systems S1 and S2, then a potential attacker A cannot corrupt or manipulate it. A communication link KV1 secured by a secret S1G thus offers protection against attackers A who do not possess the secret S1G. The technical systems S1 and S2 advantageously include correspondingly suitable processors, memories and means of communication, as well as corresponding software programs.

Vor der erstmaligen Verwendung eines Geheimnisses S1G, muss dieses aber zwischen beiden Kommunikationspartnern S1, S2 geteilt werden. Wenn dieser Transfer nicht sicher und zuverlässig erfolgt, können Risiken bezüglich der Sicherheit der Kommunikationsverbindung KV1 entstehen.However, before a secret S1G is used for the first time, it must be shared between the two communication partners S1, S2. If this transfer does not take place securely and reliably, risks can arise with regard to the security of the communication link KV1.

2 zeigt ein erstes beispielhaftes Szenario für den Transfer eines Geheimnisses zwischen zwei technischen Systemen S1 und S2. Beim System S1 kann es sich z.B. um ein IoT-Gerät (Internet of Things) handeln, das über das Netzwerk NW (z.B. Internet, Intranet, Cloud, HTTPS-Netzwerk) mit dem System S2 datentechnisch verbunden werden soll. Beim System S2 kann es sich z.B. um ein Regel- und Steuergerät (Controller) oder um einen Server handeln. Der Server kann z.B. in einer Cloud-Infrastruktur realisiert (gehosted) sein. Bei einem IoT-Gerät kann es sich z.B. um ein Internetfähiges Feldgerät (z.B. Sensor, Aktor) oder um ein Edge-Gateway handeln. Das Netzwerk NW kann unsicher sein. Deshalb soll eine sichere Kommunikationsverbindung KV1 (z.B. Tunnel) zwischen den Systemen S1 und S2 erstellt werden. Eine sichere Kommunikationsverbindung KV1 kann z.B. dadurch eingerichtet werden, dass System S1 durch die Kenntnis eines vom System S2 herausgegebenen Geheimnisses S1G (z.B. entsprechendes Zertifikat, Signatur, digitaler Schlüssel) authentifiziert ist. Vor der erstmaligen Verwendung eines Geheimnisses S1G, muss dieses aber zwischen beiden Kommunikationspartnern S1, S2 geteilt werden. 2 shows a first exemplary scenario for the transfer of a secret between two technical systems S1 and S2. The system S1 can be, for example, an IoT device (Internet of Things) that is to be connected in terms of data technology to the system S2 via the network NW (eg Internet, intranet, cloud, HTTPS network). The system S2 can be, for example, a regulating and control unit (controller) or a server. The server can be implemented (hosted) in a cloud infrastructure, for example. An IoT device can be, for example, an Internet-enabled field device (e.g. sensor, actuator) or an edge gateway. The network NW may be insecure. A secure communication connection KV1 (eg tunnel) should therefore be created between the systems S1 and S2. A secure communication link KV1 can be set up, for example, by system S1 being authenticated by knowing a secret S1G published by system S2 (eg corresponding certificate, signature, digital key). However, before a secret S1G is used for the first time, it must be shared between the two communication partners S1, S2.

Üblicherweise wird zur Übertragung von S1G ein nicht näher ausgeführter separater Kommunikationskanal KV2 verwendet, da dem abzusichernden Kanal KV3 vor der Etablierung der Beziehung ja nicht vertraut werden kann. Beispielsweise könnte ein Servicetechniker das Geheimnis S1G (z.B. Zertifikat) auf einem Speicherstick (z.B. USB-Stick, Transportspeicher) TS transportieren, per E-Mail zugeschickt bekommen, aber auch auf S1 per (einseitig) sicherer Verbindung vom S2 herunterladen. Dabei ist selbst die zeitweise Speicherung beim Herunterladen auf einem nicht gesicherten Speicher NS1 auf dem System S1 möglicherweise problematisch, z.B. wenn ein Angreifer A Zugriff auf NS1 später bekommen kann.A separate communication channel KV2, which is not explained in any more detail, is usually used for the transmission of S1G, since the channel KV3 to be protected cannot be trusted before the relationship is established. For example, a service technician could transport the secret S1G (e.g. certificate) on a memory stick (e.g. USB stick, transport memory) TS, receive it by email, but also download it to S1 via a (one-way) secure connection from S2. Even temporary storage when downloading to a non-secured storage NS1 on the system S1 may be problematic, e.g. if an attacker A can gain access to NS1 later.

Ein Angreifer A, der in Kenntnis des Geheimnisses S1G gelangt, kann dieses ausnutzen, indem er sich mit dessen Hilfe als System S1 beim System S2 ausgeben kann und mit dessen Rechten im System S2 agiert. Dies ist besonders gefährlich, da der Verlust (bzw. die Kenntnis durch Dritte) vom Geheimnis S1G sogar unbemerkt bleiben kann. Der Angriff kann so lange durchgeführt werden, bis das Geheimnis S1G geändert wird, also auch lange nachdem die Konfiguration der Verbindung abgeschlossen wurde.An attacker A who becomes aware of the secret S1G can exploit it by using it to pretend to be system S1 on system S2 and act with its rights in system S2. This is particularly dangerous, since the loss (or knowledge by third parties) of the secret S1G can even go unnoticed. The attack can be carried out until the S1G secret is changed, which is long after the configuration of the connection has been completed.

Während der Konfiguration (Installation) der Kommunikationsverbindung KV3 könnte das Geheimnis S1G beim Transit (KV2) vom System S2 zum System S1 gefährdet sein (z.B. durch Diebstahl). Ein Angreifer A (z.B. man in the middle attacker) könnte in Besitz des Geheimnisses S1G gelangen, sich damit für System S1 ausgeben und das System S2 angreifen.During the configuration (installation) of the communication connection KV3, the secret S1G could be at risk during transit (KV2) from the system S2 to the system S1 (e.g. through theft). An attacker A (e.g. one in the middle attacker) could obtain the secret S1G, impersonate system S1 and attack system S2.

3 zeigt ein zweites beispielhaftes Szenario für den Transfer eines Geheimnisses zwischen zwei technischen Systemen S1 und S2. Beim System S1 kann es sich z.B. um ein IoT-Gerät (Internet of Things) handeln, das über das Netzwerk NW (z.B. Internet, Intranet, Cloud, HTTPS-Netzwerk) mit dem System S2 datentechnisch verbunden werden soll. Beim System S2 kann es sich z.B. um ein Regel- und Steuergerät (Controller) oder um einen Server handeln. Der Server kann z.B. in einer Cloud-Infrastruktur realisiert (gehosted) sein. Bei einem IoT-Gerät kann es sich z.B. um ein Internetfähiges Feldgerät (z.B. Sensor, Aktor) oder um ein Edge-Gateway handeln. Das Netzwerk NW kann unsicher sein. Deshalb soll eine sichere Kommunikationsverbindung KV1 (z.B. Tunnel) zwischen den Systemen S1 und S2 erstellt werden. Eine sichere Kommunikationsverbindung KV1 kann z.B. dadurch eingerichtet werden, dass System S1 durch die Kenntnis eines vom System S2 herausgegebenen Geheimnisses S1G (z.B. entsprechendes Zertifikat, Signatur, digitaler Schlüssel) authentifiziert ist. Vor der erstmaligen Verwendung eines Geheimnisses S1G, muss dieses aber zwischen beiden Kommunikationspartnern S1, S2 geteilt werden. 3 shows a second exemplary scenario for the transfer of a secret between two technical systems S1 and S2. The system S1 can, for example, be an IoT device (Internet of things) act, which is to be connected in terms of data technology to the system S2 via the network NW (e.g. Internet, intranet, cloud, HTTPS network). The system S2 can be, for example, a regulating and control unit (controller) or a server. The server can be implemented (hosted) in a cloud infrastructure, for example. An IoT device can be, for example, an Internet-enabled field device (e.g. sensor, actuator) or an edge gateway. The network NW may be insecure. A secure communication connection KV1 (eg tunnel) should therefore be created between the systems S1 and S2. A secure communication link KV1 can be set up, for example, by system S1 being authenticated by knowing a secret S1G published by system S2 (eg corresponding certificate, signature, digital key). However, before a secret S1G is used for the first time, it must be shared between the two communication partners S1, S2.

Das vorgeschlagene erfindungsgemässe Verfahren beruht auf einem vorläufigen Einmal-Geheimnis S1EG (z.B. Zertifikat), das während der Konfiguration, d.h. während der Einrichtung der Kommunikationsverbindung KV5, an Stelle des normalerweise eingesetzten Geheimnisses (S1G; 1, 2, 4) verwendet wird, und von System S2 selbst über den Einmal-Endpunkt EE-S1EG (z.B. Port) gegen das dauerhafte Geheimnis S1G ausgetauscht wird. Dabei wird nur das Geheimnis S1EG dem Risiko eines Verlustes ausgesetzt. Dessen missbräuchliche Verwendung kann gesichert bemerkt und deren Effekt vermieden werden. Der Einmal-Endpunkt EE-S1EG kann z.B. als Netzwerk-Port durch einen Servicetechniker Beim System S2 eingerichtet werden.The proposed method according to the invention is based on a temporary one-time secret S1EG (eg certificate) which, during configuration, ie during the establishment of the communication connection KV5, instead of the normally used secret (S1G; 1 , 2 , 4 ) is used, and is exchanged for the permanent secret S1G by the system S2 itself via the one-time endpoint EE-S1EG (e.g. port). Only the secret S1EG is exposed to the risk of loss. Its improper use can be noticed with certainty and its effect can be avoided. The one-time endpoint EE-S1EG can, for example, be set up as a network port by a service technician on the S2 system.

Ein Angreifer A, mit Zugriff auf das Geheimnis S1EG, kann es lediglich bis zu dem Zeitpunkt einsetzen, an dem es vom Servicetechniker legitim verwendet wird, danach ist es vorteilshafterweise nicht mehr gültig. Wenn ein Angreifer A tatsächlich S1EG verwendet und sich ein Geheimnis S1G vom System S2 ausstellen lässt, fällt dies spätestens auf, wenn der Servicetechniker das Einmal-Geheimnis S1EG selbst verwenden möchte. Der Servicetechniker wird sich dann ein neues Einmal-Geheimnis ausstellen lassen, das in diesem Fall das dem Angreifer ausgestellte dauerhafte Geheimnis entwertet und den Angreifer wieder aussperrt.An attacker A, with access to the secret S1EG, can only use it up to the point at which it is used legitimately by the service technician, after which it is advantageously no longer valid. If an attacker A actually uses S1EG and has a secret S1G issued by the system S2, this becomes apparent at the latest when the service technician wants to use the one-time secret S1EG himself. The service technician will then have a new one-time secret issued, which in this case invalidates the permanent secret issued to the attacker and locks the attacker out again.

Mit Vorteil kann ein Einmal-Geheimnis S1EG nur einmal verwendet werden. Bei einem Einmal-Geheimnis S1EG handelt es sich um ein vorläufiges Geheimnis (d.h. vorläufig gültiges Geheimnis), das nur für die Einrichtung einer sicheren Kommunikationsverbindung KV5 zum Einmal-Endpunkt EE-S1EG verwendet wird. Mit dem Einmal-Geheimnis S1EG fordert das System S1 vom System S2 ein dauerhaftes Geheimnis S1G (4) an, das dann für die operative Kommunikation verwendet wird, d.h. für die Einrichtung einer operativen Kommunikationsverbindung zwischen den Systemen S1 und S2.Advantageously, a one-time secret S1EG can only be used once. A one-time secret S1EG is a temporary secret (ie temporarily valid secret) that is only used to set up a secure communication link KV5 to the one-time endpoint EE-S1EG. With the one-time secret S1EG, the system S1 requests a permanent secret S1G from the system S2 ( 4 ) which is then used for operative communication, ie for setting up an operative communication connection between the systems S1 and S2.

Üblicherweise wird zur Übertragung des Einmal-Geheimnisses S1EG ein nicht näher ausgeführter separater Kommunikationskanal KV4 verwendet, da dem abzusichernden Kanal vor der Etablierung der Beziehung ja nicht vertraut werden kann. Beispielsweise könnte ein Servicetechniker das Einmal-Geheimnis S1EG (z.B. Zertifikat) auf einem Speicherstick (z.B. USB-Stick, Transportspeicher) TS transportieren, per E-Mail zugeschickt bekommen, aber auch auf S1 per (einseitig) sicherer Verbindung vom S2 herunterladen. Da das Einmal-Geheimnis S1EG nur eine vorläufige Gültigkeit besitzt, kann im Prinzip auch auf einem Nicht-Sicheren-Speicher NS1 im System S1 abgelegt werden. Mit Vorteil wird das Einmal-Geheimnis S1EG in einem sicheren Speicher SS1 (z.B. ein Speicher mit einer starken Verschlüsselung) im System S1 hinterlegt. Für die Konfiguration/Einrichtung einer operativen Kommunikationsverbindung wird das Einmal-Geheimnis S1EG von System S2 zum System S1 transferiert.A separate communication channel KV4, which is not detailed, is usually used to transmit the one-time secret S1EG, since the channel to be secured cannot be trusted before the relationship is established. For example, a service technician could transport the one-time secret S1EG (e.g. certificate) on a memory stick (e.g. USB stick, transport memory) TS, receive it by e-mail, but also download it to S1 via a (one-way) secure connection from S2. Since the one-time secret S1EG only has a provisional validity, it can in principle also be stored in a non-secure memory NS1 in the system S1. The one-time secret S1EG is advantageously stored in a secure memory SS1 (e.g. a memory with strong encryption) in the system S1. The one-time secret S1EG is transferred from system S2 to system S1 for the configuration/establishment of an operative communication connection.

4 zeigt eine weitere beispielhafte Konfiguration für eine sichere Kommunikation zwischen zwei technischen Systemen S1 und S2. Beim System S1 kann es sich z.B. um ein IoT-Gerät (Internet of Things) handeln, das über das Netzwerk NW (z.B. Internet, Intranet, Cloud, HTTPS-Netzwerk) mit dem System S2 datentechnisch verbunden werden soll. Beim System S2 kann es sich z.B. um ein Regel- und Steuergerät (Controller) oder um einen Server handeln. Der Server kann z.B. in einer Cloud-Infrastruktur realisiert (gehosted) sein. Bei einem IoT-Gerät kann es sich z.B. um ein Internetfähiges Feldgerät (z.B. Sensor, Aktor) oder um ein Edge-Gateway handeln. Das Netzwerk NW kann unsicher sein. 4 shows another exemplary configuration for secure communication between two technical systems S1 and S2. The system S1 can be, for example, an IoT device (Internet of Things) that is to be connected in terms of data technology to the system S2 via the network NW (eg Internet, intranet, cloud, HTTPS network). The system S2 can be, for example, a regulating and control unit (controller) or a server. The server can be implemented (hosted) in a cloud infrastructure, for example. An IoT device can be, for example, an Internet-enabled field device (e.g. sensor, actuator) or an edge gateway. The network NW may be insecure.

Das System S1 ist im Besitz des vom System S2 ausgestellten Einmal-Geheimnisses S1EG. Mit dem Einmal-Geheimnis S1EG weist sich das System S1 beim Einmal-Endpunkt EE-S1EG des Systems S2 über die vorläufige Kommunikationsverbindung KV6 aus und fordert das Geheimnis S1G vom System S2 an. Das Geheimnis S1G (z.B. Zertifikat) wird beim System S1 in einem sicheren Speicher SS1 (nicht korrumpierbaren Speicher) hinterlegt und für die operative Kommunikationsverbindung KV7 zwischen den Systemen S1 und S2 verwendet. Wenn die operative Kommunikationsverbindung KV7 (über den sicheren Endpunkt SE-S1G) eingerichtet ist, wird mir Vorteil die vorläufige Kommunikationsverbindung KV6 ungültig.The system S1 is in possession of the one-time secret S1EG issued by the system S2. The system S1 uses the one-time secret S1EG to identify itself to the one-time endpoint EE-S1EG of the system S2 via the temporary communication link KV6 and requests the secret S1G from the system S2. The secret S1G (e.g. certificate) is stored in the system S1 in a secure memory SS1 (non-corruptible memory) and is used for the operative communication link KV7 between the systems S1 and S2. If the operational communication link KV7 (via the secure endpoint SE-S1G) is set up, the temporary communication link KV6 advantageously becomes invalid.

Die Kommunikationsverbindung KV7 wird operativ (d.h. im Betrieb) für die Kommunikation zwischen den Systemen S1 und S2 verwendet. Die operative Kommunikation kann den Transfer von Daten, Befehlen, Parametern, Sensorwerten, etc. umfassen. The communication connection KV7 is used operationally (ie during operation) for the communication between the systems S1 and S2. Operational communication can include the transfer of data, commands, parameters, sensor values, etc.

Während der Konfiguration der Verbindung zwischen den Systemen S1 und S2 bietet die Verbindung nur eingeschränkte Rechte bezüglich ihrer Verwendung. Nach Versand des Geheimnisses S1G über die (vorläufige) Kommunikationsverbindung KV6 wird der Einmal-Endpunkt EE-S1EG abgebaut und somit ungültig (wertlos).During the configuration of the connection between the systems S1 and S2, the connection offers only limited rights regarding its use. After the secret S1G has been sent via the (temporary) communication link KV6, the one-time endpoint EE-S1EG is removed and is therefore invalid (worthless).

Das erfindungsgemäße Vorgehen verwendet ein von System S2 herausgegebenes Geheimnis S1G, das in einem sicheren Speicher SS1 des Systems S1 verwahrt wird und mit dem sich System S1 beim Verbindungaufbau beim System S2 am dafür vorgesehenen Endpunkt (Port, Netzwerk-Port) ausweist.The procedure according to the invention uses a secret S1G published by system S2, which is kept in a secure memory SS1 of system S1 and with which system S1 identifies itself when connecting to system S2 at the intended endpoint (port, network port).

Das erfindungsgemässe Vorgehen bietet eine besonders komfortable Möglichkeit, einen Austausch von Geheimnissen und den Betrieb der Kommunikationsverbindung so durchzuführen, dass die Angriffsfläche für einen potenziellen Angreifer minimal bleibt.The procedure according to the invention offers a particularly convenient way of exchanging secrets and operating the communication link in such a way that the attack surface for a potential attacker remains minimal.

Beispiel: Ein IOT-Gateway S1 soll mit einem System S2 in der Cloud NW verbunden werden. Das Cloud-System S2 weist sich z.B. durch ein TLS-Zertifikat aus, das von einer Authority unterschrieben ist, dem das Gateway vertraut. Somit kann das Gateway S1 eine sichere Verbindung zum Cloud-System S2 aufbauen, das Cloud-System S2 weiß aber nicht sicher, dass der Kommunikationspartner derjenige ist, für den er sich ausgibt. Dazu muss sich das Gateway S1 z.B. mit einer Kombination aus client-id und client-secret ausweisen, die nur ihm und dem Cloud-System S2 bekannt ist. Über das beschriebene Verfahren kann der Transfer dieses Geheimnisses besonders komfortabel und gleichzeitig sicher durchgeführt werden.Example: An IOT gateway S1 is to be connected to a system S2 in the cloud NW. The cloud system S2 identifies itself, for example, with a TLS certificate signed by an authority trusted by the gateway. The gateway S1 can thus set up a secure connection to the cloud system S2, but the cloud system S2 does not know for certain that the communication partner is who he claims to be. To do this, the gateway S1 must identify itself, for example, with a combination of client-id and client-secret that is only known to it and the cloud system S2. The transfer of this secret can be carried out particularly conveniently and at the same time securely using the method described.

Besonders sicher wird das Vorgehen, wenn das zu konfigurierende Kommunikationsverbindung KV7 erst dann die volle Funktionalität erhält, wenn die Konfiguration erfolgreich abgeschlossen wurde. Dann kann selbst ein Angreifer, der kurzzeitig mit Hilfe des Einmal-Geheimnisses in den Besitz eines dauerhaften Geheimnisses gelangt ist, keinen Schaden anrichten.The procedure is particularly safe if the communication connection KV7 to be configured only has full functionality when the configuration has been successfully completed. Then even an attacker who has briefly obtained a permanent secret with the help of the one-time secret cannot cause any damage.

Das erfindungsgemässe Vorgehen wird durch eine Anordnung zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen realisiert. Mit Vorteil wird die Anordnung durch Mittel und Komponenten realisiert, die sowie so schon für die Einrichtung und den Betrieb von technischen Systemen, die über das Internet oder über eine Cloud kommunizieren, vorhanden sind.The procedure according to the invention is implemented by an arrangement for providing a secure communication link between two systems. The arrangement is advantageously implemented using means and components that are already available for setting up and operating technical systems that communicate via the Internet or via a cloud.

Mit Vorteil umfasst das erfindungsgemässe Vorgehen folgende Schritte:

  1. 1. Ein Servicetechniker legt in System S2 einen Einmal-Endpunkt EE-S1EG für System S1 an und konfiguriert ihn. Ein möglicherweise bestehender sicheren Endpunkt SE-S1G für ein vorher ausgestelltes Geheimnis S1G wird mit Vorteil ungültig.
  2. 2. Der Servicetechniker lässt sich von System S2 das vorläufige Einmal-Geheimnis S1EG für System S1 ausstellen. Besonders vorteilhafte Merkmale für das Einmal-Geheimnis S1EG sind:
    1. a. Begrenzte Berechtigung - Einmal-Geheimnis S1EG berechtigt ausschließlich zum Ausstellen eines späteren dauerhaften Geheimnisses S1G.
    2. b. Einmalige Verwendung - nach der ersten Verwendung verliert es seine Gültigkeit.
    3. c. Exklusive Gültigkeit - die Ausstellung des Einmal-Geheimnisses S1EG invalidiert ein eventuell vorher ausgestelltes Geheimnis S1G für das System S1 und umgekehrt invalidiert das Geheimnis S1G ein vorher ausgestelltes Einmal-Geheimnis S1EG.
    4. d. Begrenzte Dauer - Einmal-Geheimnis S1EG gilt nur für eine definierte kurze Zeit, danach verfällt es.
    5. e. Begrenzter Scope - mit dem Einmal-Geheimnis S1EG kann nur das Geheimnis S1G für das bestimmte System S1 ausgestellt werden.
  3. 3. Der Servicetechniker versorgt System S1 mit dem Einmal-Geheimnis S1EG. Einmal-Geheimnis S1EG muss im Gegensatz zum dauerhaften Geheimnis S1G auf dem Transportweg weniger sicher behandelt werden, da es praktisch kaum ausgenutzt werden kann.
  4. 4. Das System S1 baut nun die Verbindung zu System S2 auf und weist sich mit dem Einmal-Geheimnis S1EG aus. Wie im Beispiel beschrieben kann diese Verbindung, die z.B. über das Internet (Netzwerk NW) verlaufen kann, z.B. über TLS abgesichert werden, so dass System S1 sicher sein kann, mit System S2 verbunden zu sein, und die Verbindung gegen Mitlesen abgesichert ist.
  5. 5. System S1 lässt sich von System S2 nun das dauerhafte Geheimnis S1G ausstellen und schreibt es in seinen sicheren Speicher SS1. Auf diesem Wege ist es beim erfindungsgemäßen Verfahren vollständig geschützt.
  6. 6. System S1 baut nun erneut die Verbindung zu System S2 auf und weist sich nun mit dem dauerhaften Geheimnis S1G aus. Die Konfiguration ist damit abgeschlossen und System S2 kann sicher mit System S1 kommunizieren.
  7. 7. Der Servicetechniker kann nun die Verbindung auf System S2 mit den vollen Rechten ausstatten und somit aktivieren. Hätte ein Angreifer A sich zwischenzeitlich als System S1 ausgegeben, hätte er nur mit den bis dahin eingeschränkten Rechten keinen Schaden anrichten können.
The procedure according to the invention advantageously includes the following steps:
  1. 1. A service technician creates and configures a one-time endpoint EE-S1EG for system S1 in system S2. A possibly existing secure endpoint SE-S1G for a previously issued secret S1G advantageously becomes invalid.
  2. 2. The service technician has system S2 issue the provisional one-time secret S1EG for system S1. Particularly advantageous features for the one-time secret S1EG are:
    1. a. Limited authorization - one-time secret S1EG only entitles to issue a later permanent secret S1G.
    2. b. One-time use - after the first use it loses its validity.
    3. c. Exclusive validity—the issuance of the one-time secret S1EG invalidates any previously issued secret S1G for the system S1, and vice versa, the secret S1G invalidates a previously issued one-time secret S1EG.
    4. i.e. Limited duration - One-time secret S1EG is only valid for a defined short time, after which it expires.
    5. e. Limited scope - with the one-time secret S1EG, only the secret S1G can be issued for the specific system S1.
  3. 3. The service technician supplies system S1 with the one-time secret S1EG. In contrast to the permanent secret S1G, one-time secret S1EG must be treated less securely on the transport route, since it can hardly be exploited in practice.
  4. 4. The system S1 now establishes the connection to the system S2 and identifies itself with the one-time secret S1EG. As described in the example, this connection, which can run via the Internet (network NW), for example, can be secured via TLS, for example, so that system S1 can be sure that it is connected to system S2 and the connection is protected against eavesdropping.
  5. 5. System S1 now has the permanent secret S1G issued to it by system S2 and writes it to its secure memory SS1. In this way it is completely protected in the method according to the invention.
  6. 6. System S1 now establishes the connection to system S2 again and now identifies itself with the permanent secret S1G. The configuration is now complete and system S2 can safely communicate with system S1.
  7. 7. The service technician can now provide the connection on system S2 with full rights and thus activate it. If an attacker A had posed as system S1 in the meantime, he would not have been able to cause any damage with only the previously restricted rights.

5 zeigt ein beispielhaftes Flussdiagramm für ein Verfahren zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei technischen Systemen. 5 shows an exemplary flowchart for a method for providing a secure communication link between two technical systems.

Das Verfahren umfasst die folgenden Schritte:

  • (VS1) Bereitstellen eines ersten Berechtigungsnachweises (z.B. Zertifikat, Credential) für ein erstes System (S1) von einem zweiten System (S2), wobei der erste Berechtigungsnachweis ein vorläufiges Einmalgeheimnis (SIEG) umfasst;
  • (VS2) Bereitstellen eines Einmal-Endpunktes (EE-S1EG) im zweiten System (S2) für den Empfang des vom ersten System (S1) gesendeten vorläufigen Einmalgeheimnisses (SIEG);
  • (VS3) Aufbauen einer ersten (vorläufigen) Kommunikationsverbindung vom ersten System (S1) zum Einmal-Endpunkt (EE-S1EG) im zweiten System (S2), basierend auf dem vorläufigen Einmalgeheimnis (SIEG);
  • (VS4) Bereitstellen eines zweiten Berechtigungsnachweises (z.B. Zertifikat, Credential) für das erste System (S1) vom zweiten System (S2), wobei der zweite Berechtigungsnachweis ein dauerhaftes Geheimnis (S1G) umfasst, wobei das erste System (S1) das dauerhafte Geheimnis (S1G) in einen sicheren Speicher (SS1) des ersten Systems (S1) schreibt;
  • (VS5) Aufbauen einer zweiten (operativen) Kommunikationsverbindung vom ersten System (S1) zum zweiten System (S2), basierend auf dem dauerhaften Geheimnis (S1G).
The procedure includes the following steps:
  • (VS1) providing a first credential (eg certificate, credential) for a first system (S1) from a second system (S2), the first credential comprising a temporary one-time secret (SIEG);
  • (VS2) providing a one-time endpoint (EE-S1EG) in the second system (S2) for receiving the temporary one-time secret (SIEG) sent from the first system (S1);
  • (VS3) setting up a first (temporary) communication connection from the first system (S1) to the one-time endpoint (EE-S1EG) in the second system (S2), based on the temporary one-time secret (SIEG);
  • (VS4) Providing a second credential (e.g. certificate, credential) for the first system (S1) from the second system (S2), the second credential comprising a persistent secret (S1G), the first system (S1) sharing the persistent secret ( S1G) writes to a secure memory (SS1) of the first system (S1);
  • (VS5) Establishing a second (operative) communication link from the first system (S1) to the second system (S2) based on the permanent secret (S1G).

Beim System S1 kann es sich z.B. um ein IoT-Gerät (Internet of Things) handeln, das über das Netzwerk NW (z.B. Internet, Intranet, Cloud, HTTPS-Netzwerk) mit dem System S2 datentechnisch verbunden werden soll. Beim System S2 kann es sich z.B. um ein Regel- und Steuergerät (Controller) oder um einen Server handeln. Der Server kann z.B. in einer Cloud-Infrastruktur realisiert (gehosted) sein. Bei einem IoT-Gerät kann es sich z.B. um ein Internetfähiges Feldgerät (z.B. Sensor, Aktor) oder um ein Edge-Gateway handeln. Das Netzwerk NW kann unsicher sein. Deshalb soll eine sichere Kommunikationsverbindung KV1 (z.B. Tunnel) zwischen den Systemen S1 und S2 erstellt werden.The system S1 can be, for example, an IoT device (Internet of Things), which is to be connected in terms of data technology to the system S2 via the network NW (e.g. Internet, intranet, cloud, HTTPS network). The system S2 can, for example, be a regulation and control unit (controller) or a server. The server can be implemented (hosted) in a cloud infrastructure, for example. An IoT device can be, for example, an Internet-enabled field device (e.g. sensor, actuator) or an edge gateway. The network NW may be insecure. Therefore, a secure communication connection KV1 (e.g. tunnel) should be created between the systems S1 and S2.

Mit Vorteil ist das vorläufige Einmalgeheimnis (SIEG) ausschliesslich zum Erstellen des dauerhaften Geheimnisses (S1G) verwendbar.Advantageously, the temporary one-time secret (SIEG) can only be used to create the permanent secret (S1G).

Mit Vorteil verliert das vorläufige Einmalgeheimnis (SIEG) nach seiner ersten Verwendung seine Gültigkeit.Advantageously, the provisional one-time secret (SIEG) loses its validity after its first use.

Mit Vorteil ist das vorläufige Einmalgeheimnis (SIEG) für eine definierte Zeitdauer gültig.Advantageously, the provisional one-time secret (SIEG) is valid for a defined period of time.

Eine vorteilhafte Ausgestaltung liegt darin, dass nach der Ausstellung des vorläufigen Einmalgeheimnisses (SIEG) ein vorher ausgestelltes dauerhaftes Geheimnis (S1G) seine Gültigkeit verliert.An advantageous embodiment is that after the provisional one-time secret (SIEG) has been issued, a previously issued permanent secret (S1G) loses its validity.

Eine vorteilhafte Ausgestaltung liegt darin, dass nach der Ausstellung des dauerhaften Geheimnisses (S1G) ein vorher ausgestelltes vorläufiges Einmalgeheimnis (SIEG) seine Gültigkeit verliert.An advantageous embodiment is that after the permanent secret (S1G) has been issued, a previously issued provisional one-time secret (SIEG) loses its validity.

Eine vorteilhafte Ausgestaltung liegt darin, dass mit einem für das erste System (S1) ausgestellten vorläufigen Einmalgeheimnis (SIEG) nur für das erste System (S1) ein dauerhaftes Geheimnis (S1G) ausgestellt werden kann.An advantageous embodiment is that with a temporary one-time secret (SIEG) issued for the first system (S1), a permanent secret (S1G) can only be issued for the first system (S1).

Mit Vorteil verliert nach dem Aufbauen der zweiten (operativen) Kommunikationsverbindung das vorläufige Einmalgeheimnis (SIEG) seine Gültigkeit.Advantageously, after the second (operative) communication connection has been set up, the temporary one-time secret (SIEG) loses its validity.

Mit Vorteil wird nach dem Aufbauen der zweiten (operativen) Kommunikationsverbindung der Einmal-Endpunkt (EE-S1EG) im zweiten System (S2) eingestellt (abgebaut).After the second (operative) communication connection has been set up, the one-time end point (EE-S1EG) is advantageously set (dismantled) in the second system (S2).

Mit Vorteil wird das Verfahren durch Mittel (Hardware (geeignete Prozessor-, Speicher- und Kommunikationsmittel) und Software) und Komponenten realisiert, die sowie so schon für die Einrichtung und den Betrieb von technischen Systemen, die über das Internet oder über eine Cloud kommunizieren, vorhanden sind.The method is advantageously implemented by means (hardware (suitable processor, memory and communication means) and software) and components that are already used for setting up and operating technical systems that communicate via the Internet or via a cloud, available.

Weitere VorteileAdditional advantages

  • - Das Verfahren verhindert Angriffe nach der Einrichtung der gesicherten Verbindung, da das angreifbare S1EG dann nicht mehr gilt.- The procedure prevents attacks after the secure connection has been set up, since the vulnerable S1EG then no longer applies.
  • - Das S1G wird im Erfolgsfall nirgendwo außerhalb des gesicherten Speichers SS1 abgespeichert.- If successful, the S1G is not stored anywhere outside of the secured memory SS1.
  • - Das Verfahren begrenzt die Auswirkungen erfolgreicher Angriffe vor der Einrichtung der gesicherten Verbindung, da System S2 bis dahin nur eingeschränkte Rechte für die Verbindung zulässt.- The procedure limits the effects of successful attacks before the secure connection is set up, since system S2 only allows restricted rights for the connection until then.
  • - Das Verfahren eignet sich für eine automatisierte Konfiguration ohne weitere Eingriffe des Servicetechniker, der lediglich einen Download des Einmal-Geheimnisses S1EG auf dem zu konfigurierenden System S1 anstoßen muss.The method is suitable for automated configuration without further intervention by the service technician, who only has to initiate a download of the one-time secret S1EG on the system S1 to be configured.
  • - Je nach Bedrohungspotenzial und Zeitspanne kann optional auf die anfängliche funktionale Einschränkung von SE-S1G verzichtet werden.- Depending on the threat potential and the time span, the initial functional limitation of SE-S1G can optionally be dispensed with.
  • - Das Verfahren kann auch eingesetzt werden, wenn beim Kunden vor Ort (On-Premise) keine PKI-Verschlüsselung vorliegt.- The method can also be used if there is no PKI encryption at the customer's site (on-premise).
  • - Das Verfahren kann auch eingesetzt werden, wenn beim Kunden vor Ort (On-Premise) keine Maschinenzertifikate (insbesondere bei Auslieferung von vorkonfektionierter Hardware) vorliegen.- The method can also be used if there are no machine certificates on site (on-premise) at the customer (especially when pre-assembled hardware is delivered).
  • - Das Verfahren sichert u.a. Software (Agenten) ab, die der Kunde auf seiner physikalischen Maschine (Gerät) oder auf einer VM (Virtuellen Maschine) installiert.- The procedure secures, among other things, software (agents) that the customer installs on his physical machine (device) or on a VM (virtual machine).

Ein besonders bequemes Vorgehen für das erfindungsgemässe Verfahren ergibt sich, wenn die Konfiguration der kompletten Verbindung z.B. durch einen Download von durch System S1 ausgelöst werden kann, den der Servicetechniker lediglich von System S1 aus anstoßen muss, wobei System S1 mit Hilfe der heruntergeladenen Konfiguration, die das Einmal-Geheimnis S1EG enthält, die folgenden Schritte selbständig automatisch durchführen kann. Lediglich die Aktivierung mit vollen Rechten sollte nicht automatisch erfolgen, dies muss der Servicetechniker ausführen falls erforderlich.A particularly convenient procedure for the method according to the invention results when the configuration of the complete connection can be triggered, for example, by a download from system S1, which the service technician only has to initiate from system S1, with system S1 using the downloaded configuration, the contains the one-time secret S1EG, can carry out the following steps independently and automatically. Only the activation with full rights should not take place automatically, this must be carried out by the service technician if necessary.

Verfahren und Anordnung zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen, wobei ein erster Berechtigungsnachweis für ein erstes System von einem zweiten System bereitgestellt wird, wobei der erste Berechtigungsnachweis ein vorläufiges Einmalgeheimnis umfasst; wobei ein Einmal-Endpunkt im zweiten System für den Empfang des vom ersten System gesendeten vorläufigen Einmalgeheimnisses bereitgestellt wird; wobei eine erste (vorläufige) Kommunikationsverbindung vom ersten System zum Einmal-Endpunkt im zweiten System, basierend auf dem vorläufigen Einmalgeheimnis, aufgebaut wird; wobei ein zweiter Berechtigungsnachweis für das erste System vom zweiten System bereitgestellt wird, wobei der zweite Berechtigungsnachweis ein dauerhaftes Geheimnis umfasst, wobei das erste System das dauerhafte Geheimnis in einen sicheren Speicher des ersten Systems schreibt; wobei eine zweiten (operative) Kommunikationsverbindung vom ersten System zum zweiten System aufgebaut wird, basierend auf dem dauerhaften Geheimnis.Method and arrangement for providing a secure communication connection between two systems, wherein a first credential for a first system is provided by a second system, wherein the first credential comprises a temporary one-time secret; wherein a one-time endpoint is provided in the second system for receiving the temporary one-time secret sent from the first system; wherein a first (temporary) communication link is established from the first system to the one-time endpoint in the second system based on the temporary one-time secret; wherein a second credential is provided to the first system by the second system, the second credential comprising a persistent secret, the first system writing the persistent secret to a secure storage of the first system; wherein a second (operative) communication link is established from the first system to the second system based on the persistent secret.

BezugszeichenlisteReference List

S1, S2S1, S2
Systemsystem
AA
Angreiferattacker
SS1SS1
Sicherer SpeicherSafe storage
NS1NS1
Nichtgesicherter SpeicherUnsecured Storage
TSTS
Transportspeichertransport storage
NWNW
Netzwerknetwork
S1G, S1EGS1G, S1EG
Geheimnissecret
SE-S1GSE-S1G
Sicherer EndpunktSecure Endpoint
EE-S1EGEE-S1EG
Einmal-Endpunktone-time endpoint
KV1 - KV7KV1 - KV7
Kommunikationsverbindungcommunication link
VS1 - VS5VS1 - VS5
Verfahrensschrittprocess step

Claims (10)

Verfahren zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen (S1, S2), umfassend die folgenden Schritte: (VS1) Bereitstellen eines ersten Berechtigungsnachweises für ein erstes System (S1) von einem zweiten System (S2), wobei der erste Berechtigungsnachweis ein vorläufiges Einmalgeheimnis (SIEG) umfasst; (VS2) Bereitstellen eines Einmal-Endpunktes (EE-S1EG) im zweiten System (S2) für den Empfang des vom ersten System (S1) gesendeten vorläufigen Einmalgeheimnisses (SIEG); (VS3) Aufbauen einer ersten Kommunikationsverbindung vom ersten System (S1) zum Einmal-Endpunkt (EE-S1EG) im zweiten System (S2), basierend auf dem vorläufigen Einmalgeheimnis (S1EG) ; (VS4) Bereitstellen eines zweiten Berechtigungsnachweises für das erste System (S1) vom zweiten System (S2), wobei der zweite Berechtigungsnachweis ein dauerhaftes Geheimnis (S1G) umfasst, wobei das erste System (S1) das dauerhafte Geheimnis (S1G) in einen sicheren Speicher (SS1) des ersten Systems (S1) schreibt; (VS5) Aufbauen einer zweiten Kommunikationsverbindung vom ersten System (S1) zum zweiten System (S2), basierend auf dem dauerhaften Geheimnis (S1G).Method for providing a secure communication link between two systems (S1, S2), comprising the following steps: (VS1) providing a first credential to a first system (S1) from a second system (S2), wherein the first credential comprises a temporary one-time secret (SIEG); (VS2) providing a one-time endpoint (EE-S1EG) in the second system (S2) for receiving the temporary one-time secret (SIEG) sent from the first system (S1); (VS3) setting up a first communication connection from the first system (S1) to the one-time endpoint (EE-S1EG) in the second system (S2), based on the temporary one-time secret (S1EG); (VS4) providing a second credential to the first system (S1) from the second system (S2), the second credential comprising a persistent secret (S1G), the first system (S1) storing the persistent secret (S1G) in a secure storage (SS1) of the first system (S1) writes; (VS5) establishing a second communication link from the first system (S1) to the second system (S2) based on the persistent secret (S1G). Verfahren nach Anspruch 1, wobei das vorläufige Einmalgeheimnis (SIEG) ausschliesslich zum Erstellen des dauerhaften Geheimnisses (S1G) verwendbar ist.procedure after claim 1 , whereby the temporary one-time secret (SIEG) can only be used to create the permanent secret (S1G). Verfahren nach Anspruch 1 oder 2, wobei das vorläufige Einmalgeheimnis (SIEG) nach seiner ersten Verwendung seine Gültigkeit verliert.procedure after claim 1 or 2 , whereby the provisional one-time secret (SIEG) loses its validity after its first use. Verfahren nach einem der vorstehenden Ansprüche, wobei das vorläufige Einmalgeheimnis (SIEG) für eine definierte Zeitdauer gültig ist.Method according to one of the preceding claims, wherein the temporary one-time secret (SIEG) is valid for a defined period of time. Verfahren nach einem der vorstehenden Ansprüche, wobei nach der Ausstellung des vorläufigen Einmalgeheimnisses (SIEG) ein vorher ausgestelltes dauerhaftes Geheimnis (S1G) seine Gültigkeit verliert.Method according to one of the preceding claims, in which, after the temporary one-time secret (SIEG) has been issued, a previously issued permanent secret (S1G) loses its validity. Verfahren nach einem der vorstehenden Ansprüche, wobei nach der Ausstellung des dauerhaften Geheimnisses (S1G) ein vorher ausgestelltes vorläufiges Einmalgeheimnis (SIEG) seine Gültigkeit verliert.Method according to one of the preceding claims, wherein a previously issued provisional one-time secret (SIEG) loses its validity after the permanent secret (S1G) has been issued. Verfahren nach einem der vorstehenden Ansprüche, wobei mit einem für das erste System (S1) ausgestellten vorläufigen Einmalgeheimnis (SIEG) nur für das erste System (S1) ein dauerhaftes Geheimnis (S1G) ausgestellt werden kann.Method according to one of the preceding claims, wherein a temporary one-time secret (SIEG) issued for the first system (S1) can be used to issue a permanent secret (S1G) only for the first system (S1). Verfahren nach einem der vorstehenden Ansprüche, wobei nach dem Aufbauen der zweiten Kommunikationsverbindung das vorläufige Einmalgeheimnis (SIEG) seine Gültigkeit verliert.Method according to one of the preceding claims, wherein the temporary one-time secret (SIEG) loses its validity after the second communication connection has been set up. Verfahren nach einem der vorstehenden Ansprüche, wobei nach dem Aufbauen der zweiten Kommunikationsverbindung der Einmal-Endpunkt (EE-S1EG) im zweiten System (S2) eingestellt wird.Method according to one of the preceding claims, wherein the one-time endpoint (EE-S1EG) is set in the second system (S2) after the second communication connection has been set up. Anordnung zur Bereitstellung einer sicheren Kommunikationsverbindung zwischen zwei Systemen (S1, S2), umfassend Mittel zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 9.Arrangement for providing a secure communication link between two systems (S1, S2), comprising means for performing a method according to one of Claims 1 until 9 .
DE102020215004.4A 2020-11-27 2020-11-27 Secure communication link between systems Pending DE102020215004A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020215004.4A DE102020215004A1 (en) 2020-11-27 2020-11-27 Secure communication link between systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020215004.4A DE102020215004A1 (en) 2020-11-27 2020-11-27 Secure communication link between systems

Publications (1)

Publication Number Publication Date
DE102020215004A1 true DE102020215004A1 (en) 2022-06-02

Family

ID=81585998

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020215004.4A Pending DE102020215004A1 (en) 2020-11-27 2020-11-27 Secure communication link between systems

Country Status (1)

Country Link
DE (1) DE102020215004A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100080383A1 (en) 2008-09-30 2010-04-01 Greg Vaughan Secure provisioning of a portable device using a representation of a key
US20200329021A1 (en) 2017-06-02 2020-10-15 Arris Enterprises Llc Secure key management in a high volume device deployment
EP3726798A1 (en) 2019-04-15 2020-10-21 Siemens Aktiengesellschaft Cryptographically protected provision of a digital certificate

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100080383A1 (en) 2008-09-30 2010-04-01 Greg Vaughan Secure provisioning of a portable device using a representation of a key
US20200329021A1 (en) 2017-06-02 2020-10-15 Arris Enterprises Llc Secure key management in a high volume device deployment
EP3726798A1 (en) 2019-04-15 2020-10-21 Siemens Aktiengesellschaft Cryptographically protected provision of a digital certificate

Similar Documents

Publication Publication Date Title
EP3125492B1 (en) Method and system for generating a secure communication channel for terminals
DE102016215917A1 (en) Secured processing of a credential request
EP3287925B1 (en) Computer device for transferring a certificate to a device in a system
DE102016224537B4 (en) Master Block Chain
EP3443705B1 (en) Method and assembly for establishing a secure communication between a first network device (initiator) and a second network device (responder)
EP2975570A1 (en) Method and a device for securing access to wallets containing crypto-currencies
EP3518492B1 (en) Method and system for disclosing at least one cryptographic key
EP2572494B1 (en) Method and system for secure data transmission with a vpn box
DE102017214359A1 (en) A method for safely replacing a first manufacturer's certificate already placed in a device
WO2008022606A1 (en) Method for authentication in an automation system
EP3105898B1 (en) Method for communication between secured computer systems as well as computer network infrastructure
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
DE102017212474A1 (en) Method and communication system for checking connection parameters of a cryptographically protected communication connection during connection establishment
DE102020215004A1 (en) Secure communication link between systems
DE102015223078A1 (en) Apparatus and method for adjusting authorization information of a terminal
EP3267619B1 (en) Method for producing fault prevention in a framework
DE102014109906B4 (en) A method for enabling external computer systems in a computer network infrastructure, distributed computer network with such a computer network infrastructure and computer program product
EP3739834A1 (en) Device, method and assembly for processing data
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
EP3906653B1 (en) Method for issuing a cryptographically protected authenticity certificate for a user
EP4179758B1 (en) Authentication of a communication partner on a device
DE102022208754A1 (en) Authentication procedure
EP3809661A1 (en) Method for authenticating a client device in access to an application server
DE102022208220A1 (en) Authentication procedure
DE102012209123B4 (en) Device, system and method for remote seizure and establishment of secrets in machinery to machine communication

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication