DE102021125835A1 - Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb - Google Patents

Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb Download PDF

Info

Publication number
DE102021125835A1
DE102021125835A1 DE102021125835.9A DE102021125835A DE102021125835A1 DE 102021125835 A1 DE102021125835 A1 DE 102021125835A1 DE 102021125835 A DE102021125835 A DE 102021125835A DE 102021125835 A1 DE102021125835 A1 DE 102021125835A1
Authority
DE
Germany
Prior art keywords
communication
gateway
datagram
transcription
backend
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021125835.9A
Other languages
English (en)
Inventor
Markus Jung
Bernhard Siessegger
Jiye Park
Prajosh Premdas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inventronics De GmbH
Original Assignee
Osram GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Osram GmbH filed Critical Osram GmbH
Publication of DE102021125835A1 publication Critical patent/DE102021125835A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B47/00Circuit arrangements for operating light sources in general, i.e. where the type of light source is not relevant
    • H05B47/10Controlling the light source
    • H05B47/175Controlling the light source by remote control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Computernetzwerk, umfassend:ein Nicht-IP-Teilnetz mit mindestens einem Frontend-Gerät; undein IP-Teilnetz mit mindestens einem Backend-Gerät; und ein Gateway, das das Nicht-IP-Teilnetz mit dem IP-Teilnetz verbindet und die Kommunikation dazwischen übersetzt, wobei die Kommunikation zwischen dem Backend-Gerät und dem Gateway eine IP-Kommunikation ist, die auf einem IP-Sicherheitsprotokoll basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; und wobei die Kommunikation zwischen dem Gateway und dem Frontend-Gerät eine Nicht-IP-Kommunikation ist. Die Erfindung ist dadurch gekennzeichnet, dass das Gateway so konfiguriert ist, dass es einen virtuellen IP-Kommunikationsendpunkt bereitstellt, der für das Frontend bestimmt ist, wobei zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation zwischen dem Backend-Gerät und dem Frontend-Gerät das Gateway so konfiguriert ist, dass bei Empfang eines Anforderungs-Datagramms mit einem Header, der das Backend-Gerät als Quelle und den virtuellen IP-Kommunikationsendpunkt als Ziel spezifiziert, die Nicht-IP-Kommunikation angewendet wird, um eine Transkription des Anforderungs-Datagramms an das Frontend-Gerät zu übertragen; und wobei das Frontend-Gerät so konfiguriert ist, dass es ein Antwort-Datagramm erzeugt und eine Transkription des Antwort-Datagramms durch Anwenden der Nicht-IP-Kommunikation an das Gateway überträgt.

Description

  • Diese Patentanmeldung nimmt die Priorität der Dänischen Anmeldung 202070675 vom 5. Oktober 2020 in Anspruch, deren Offenbarungsgehalt hiermit durch Rückbezug aufgenommen wird.
  • Die Offenbarung bezieht sich allgemein auf ein Computernetz, das ein Nicht-IP-Teilnetz mit mindestens einem Frontend-Gerät und ein IP-Teilnetz mit mindestens einem Backend-Gerät sowie ein Gateway umfasst, das beide Teilnetze miteinander verbindet und die Datenkommunikation zwischen ihnen überträgt, wobei die IP-Kommunikation zwischen dem Backend-Gerät und dem Gateway auf einem IP-Sicherheitsprotokoll basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt, und wobei die Kommunikation zwischen dem Gateway und dem Frontend-Gerät eine Nicht-IP-Kommunikation ist. Darüber hinaus wird ein sicheres Verfahren für den Betrieb eines solchen Computernetzwerks und seiner Komponenten offengelegt.
  • Das Internet der Dinge (IoT) betrifft die Verbindung heterogener Objekte mit einem typischerweise cloudbasierten Backend-Gerät. Bei diesen Objekten kann es sich um intelligente persönliche Geräte, Automatisierungseinrichtungen mit Haushaltsgeräten und Systemen für Unterhaltung, Beleuchtung und Überwachung sowie um Fabrikmaschinen mit Sensoren und Aktoren handeln, um nur einige zu nennen. Das Backend-Gerät stellt dem Objekt (Frontend-Gerät) Daten zur Verfügung oder ermöglicht ihm den Zugriff auf Unternehmensanwendungen, die auf Cloud Computing basieren.
  • Derartige Computernetzwerke, die ein sicheres Zusammenwirken von IP-Netzwerken und Nicht-IP-Netzwerken ermöglichen, sind aus CN211180606U bekannt. Ein Beleuchtungssystem, das Tunneling und das DALI-Protokoll verwendet, ist aus US2008/0265799 , WO 2016/0075107 und WO2015/054611 sowie aus EP3525555 bekannt.
  • Die oben erwähnte Konnektivität von IoT-Systemen birgt entscheidende Sicherheitsrisiken, die innerhalb von IP-Netzen durch die Einrichtung eines sicheren Kommunikationstunnels zwischen entfernten Hosts auf der Grundlage eines IP-Sicherheitsprotokolls wie der stromorientierten Transport Layer Security (TLS), Secure Sockets Layer (SSL), Internet Protocol Security (IPsec) oder Datagram Transport Layer Security (DTLS) gemildert werden, wobei DTLS über das User Datagram Protocol (UDP) transportiert werden könnte und die Semantik des zugrundeliegenden Transports bewahrt.
  • Im Zusammenhang mit der vorliegenden Anwendung steht IP für „Internet Protocol“, das Paketstrukturen zur Verkapselung von Daten definiert, die an einen entfernten Zielhost übermittelt werden sollen, und das nach dem mehrstufigen OSI-Modell betrieben wird. Die Datenkapselung führt zu Paketen mit Headern, die IP-Adressinformationen enthalten, wobei die Pakete Datagramme auf der Ebene L3 (Netzwerkschicht) des OSI-Modells sind. Ohne die vorliegende Anwendung einzuschränken, sind die wichtigsten IP-Versionen derzeit IPv4 und IPv6.
  • Ein IP-Sicherheitsprotokoll könnte das Abhören, Abschwächen oder Fälschen der Kommunikation zwischen Hosts eines IP-Netzes oder verbundener IP-Netze verhindern. Es kann jedoch nicht ohne weitere Maßnahmen angewandt werden, wenn ein Nicht-IP-Teilnetzgerät an der Kommunikation beteiligt ist. Dies ist häufig der Fall, wenn ein einfaches Frontend-Gerät, wie z. B. ein intelligentes Beleuchtungssystem oder ein Sensor einer Werkzeugmaschine, in ein IoT-System eingebunden werden soll. Normalerweise ist ein solches einfaches Frontend-Gerät Teil eines Nicht-IP-Teilnetzes, das eine nicht-IP-basierte Kommunikation ermöglicht. Die Nicht-IP-Kommunikation könnte beispielsweise auf dem Digital Addressable Lighting Interface (DALI) oder einer Kommunikation über Zigbee, Bluetooth oder einen Feldbus, z. B. KNX, basieren. Darüber hinaus wird ein Gateway typischerweise als Brücke zwischen einem Nicht-IP-Teilnetz und einem IP-Teilnetz verwendet, insbesondere durch die Realisierung von Datenübersetzung, wie in US 8,837,485 B2 offenbart.
  • Ein möglicher Weg, die Vertrauenswürdigkeit eines Nicht-IP-Teilnetzes zu erhöhen, ist die Hop-by-Hop-Authentifizierung und die Verschlüsselung von Nachrichten, die zwischen dem Frontend-Gerät und dem Gateway ausgetauscht werden, durch Anwendung von Pre-Shared Keys. Das Protokoll für die Hop-by-Hop-Authentifizierung in Nicht-IP-Teilnetzen ist jedoch häufig herstellerspezifisch. Darüber hinaus löst der sichere Hop-by-Hop-Datentransport bis zum Gateway nicht das Problem der gebrochenen Ende-zu-Ende-Sicherheit, da Daten, die das Nicht-IP-Teilnetz verlassen, vom Gateway entschlüsselt werden müssen, bevor sie an ein Backend innerhalb eines IP-Teilnetzes gesendet werden. In diesem Szenario ist ein Frontend-Gerät eines Nicht-IP-Teilnetzes nicht in der Lage festzustellen, ob das Gateway kompromittiert wurde oder nicht.
  • Für einen ausgefeilteren Ansatz zur End-to-End-Sicherheit wurde die TLS/DTLS-Sitzungswiederaufnahme vorgeschlagen. Dies erfordert einen anfänglichen TLS/DTLS-Handshake zwischen dem IP-Teilnetz-Backend-Gerät und dem Gateway, woraufhin die Sitzungsinformationen in einem nächsten Schritt an das Non-IP-Teilnetz-Frontend-Gerät übergeben werden. Darauf aufbauend ist ein Nicht-IP-Teilnetz-Frontend-Gerät in der Lage, einen neuen Sitzungsschlüssel zu generieren. Die Vertrauenswürdigkeit des Gateways wäre jedoch immer noch ein Problem, da ein Datenpaket mit einer Wiederaufnahmeanforderung, das über das Gateway übertragen wird, die Rekonstruktion des neuen Sitzungsschlüssels aus den bekannten Informationen der vorherigen Sitzung ermöglichen würde.
  • Da das Gateway ein wesentliches Sicherheitsrisiko in gemischten IP/Nicht-IP-Netzen darstellt, wird häufig nicht standardisierte proprietäre Sicherheitssoftware eingesetzt, was zu einem Interoperabilitätsproblem führt, da ein Frontend-Gerät eines ersten Herstellers möglicherweise nicht als kompatibel mit dem Gateway eines zweiten Herstellers akzeptiert wird.
  • Ziel der vorliegenden Erfindung ist es, die oben genannten Probleme zu entschärfen und ein Computernetzwerk zu beschreiben, das in der Lage ist, eine herstellerunabhängige, sichere Ende-zu-Ende-Kommunikation zwischen einem Frontend-Gerät eines Non-IP-Teilnetzes und einem Backend-Gerät eines IP-Teilnetzes herzustellen. Weiterhin sollen interoperable Komponenten des Computernetzwerks und ein sicheres Betriebsverfahren für das Computernetzwerk offenbart werden.
  • Die Erfindung betrifft ein Computernetzwerk, das ein Non-IP-Teilnetz mit mindestens einem Frontend-Gerät und ein IP-Teilnetz mit mindestens einem Backend-Gerät sowie ein Gateway-Gerät umfasst, das das Non-IP-Teilnetz mit dem IP-Teilnetz verbindet und die Datenkommunikation dazwischen übersetzt, wobei die Kommunikation zwischen dem Backend-Gerät und dem Gateway auf einem IP-Sicherheitsprotokoll basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt, und wobei die Kommunikation zwischen dem Gateway und dem Frontend-Gerät eine Non-IP-Kommunikation ist.
  • Mit diesem Ausgangspunkt haben die Erfinder erkannt, dass zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation zwischen dem Backend-Gerät und dem Frontend-Gerät das Gateway so konfiguriert sein muss, dass es einen Verbindungsaufbau (Handshaking) realisiert, ohne das vom Backend-Gerät empfangene Anfragedatagramm zu übersetzen. Bildlich gesprochen sollte sich das Gateway während des Handshake „transparent“ verhalten. Um diese Funktionalität zu realisieren, wird das Gateway so konfiguriert, dass es einen virtuellen IP-Kommunikationsendpunkt bereitstellt, der für das Frontend-Gerät bestimmt ist. Das Backend-Gerät führt eine Zuordnungstabelle, die einen virtuellen IP-Kommunikationsendpunkt des Gateways mit dem Frontend-Gerät in Beziehung setzt, wobei bei einer bevorzugten Implementierung die Information bezüglich der Zuordnung vom Gateway beim Scannen der verfügbaren Frontend-Geräte des Non-IP-Subnetzes bereitgestellt wird.
  • Im Folgenden wird davon ausgegangen, dass das Backend-Gerät das Handshaking initiiert. Dies ist jedoch nicht zwingend erforderlich und soll die Erfindung nicht einschränken, da das Handshaking auch durch das Frontend-Gerät ausgelöst werden könnte. Darüber hinaus hängt das spezifische Handshaking-Verfahren von dem gewählten IP-Sicherheitsprotokoll ab. Was die bevorzugte Wahl von DTLS als IP-Sicherheitsprotokoll betrifft, so werden weitere Einzelheiten dazu weiter unten offengelegt. Für die vorliegende Erfindung ist es lediglich von Bedeutung, dass das Gateway so konfiguriert ist, dass es ein vom Backend-Gerät stammendes Anfragedatagramm, das an den virtuellen IP-Kommunikationsendpunkt übermittelt wird, transparent an das Frontend-Gerät übergibt. Dies wird erreicht, indem eine Transkription des Anfragedatagramms über die Nicht-IP-Kommunikation an das Frontend-Gerät übertragen wird. Das bedeutet, dass das Gateway keine Übersetzung oder Interpretation des Dateninhalts des Request-Datagramms an das Frontend-Gerät liefert, sondern es huckepack auf der Non-IP-Kommunikation überträgt.
  • Dies schließt die Möglichkeit einer zumindest teilweisen Entkapselung des Anfragedaten-Datagramms vor der Übertragung ein, um eine andere Ebene nach dem OSI-Modell zu erreichen, wofür die vorliegende Anwendung den Begriff der „Transkription des Anfragedaten-Datagramms“ verwendet. Eine Möglichkeit wäre daher, das unveränderte Anfragedatagramm über die Non-IP-Kommunikation zu übergeben, wobei in diesem Fall das Anfragedatagramm und die entsprechende Transkription desselben identisch sind. Eine weitere Möglichkeit besteht darin, dass das Gateway vor der Übergabe der Transkription des Anfragedatagramms an das Frontend-Gerät eine Entkapselung auf dem Stack durchführt. Beispielsweise könnte das Anfragedatagramm als Anforderungsrahmen empfangen werden und die Transkription davon könnte ein Anforderungspaket sein.
  • Gemäß einer Ausführungsform umfasst der virtuelle IP-Kommunikationsendpunkt eine virtuelle IP-Adresse auf der Netzwerkschicht (L3), und das Anfragedatagramm umfasst ein Anfragedatenpaket mit einem Header, der das Backend-Gerät als Quelle und die virtuelle IP-Adresse als Ziel angibt.
  • Eine mögliche Nicht-IP-Kommunikation könnte auf Zigbee, Bluetooth oder einem Feldbus wie KNX basieren, wobei verschiedene Nicht-IP-Kommunikationsprotokolle denkbar sind. Dies schließt herstellerspezifische Nicht-IP-Kommunikation ein. Darüber hinaus könnte das Gateway so konfiguriert werden, dass es unterschiedliche Non-IP-Kommunikationsprotokolle für heterogene Frontend-Geräte innerhalb eines Non-IP-Teilnetzes verwendet. Darüber hinaus könnte ein Frontend-Gerät eine benutzerdefinierte Anwendungsschicht aufweisen, die einen Satz von Befehlen für seinen Betrieb bereitstellt.
  • Eine Ausführungsform sieht vor, dass die Non-IP-Kommunikation auf dem Digital Addressable Lighting Interface (DALI) basiert. In diesem Fall wird erfindungsgemäß der Dateninhalt eines an den virtuellen IP-Kommunikationsendpunkt gerichteten Anfragedatagramms nicht vom Gateway interpretiert und übersetzt, was zu einem Satz von DALI-Befehlen für die Steuerung eines Frontends führen würde, sondern eine bloße Transkription davon wird an ein Frontend-Gerät übertragen, indem der DALI-Schreibbefehl angewendet und ein Speicherbereich des Frontend-Geräts angegeben wird, der für die Speicherung von Handshaking-Datagrammen reserviert ist, die vom Backend-Gerät stammen.
  • Ein erfindungsgemäßes Frontend-Gerät erfordert nicht notwendigerweise eine Hardware-Modifikation, was insbesondere für einfache Frontend-Geräte von Vorteil ist. Die einzige Voraussetzung für eine Ausführungsform ist, dass die Firmware so modifiziert wird, dass das Frontend-Gerät eine grundlegende Implementierung des IP-Sicherheitsprotokolls ausführen kann, die zumindest in der Lage ist, das Handshaking durchzuführen. Zu diesem Zweck ist das Frontend-Gerät gemäß einigen Aspekten so konfiguriert, dass es die Transkription des Anfragedatagramms interpretiert und ein Antwortdatagramm mit einem Header erzeugt, der den virtuellen IP-Kommunikationsendpunkt als Quelle und das Backend-Gerät als Ziel angibt. Darüber hinaus muss das Frontend-Gerät in der Lage sein, eine Transkription des Antwort-Datagramms unter Anwendung der Nicht-IP-Kommunikation an das Gateway zu übertragen. Gemäß alternativen Aspekten, die weiter unten näher erläutert werden, wird das Frontend-Gerät so einfach wie möglich gehalten, wobei das IP-Sicherheitsprotokoll nicht vollständig im Frontend-Gerät selbst implementiert sein muss. Stattdessen wird das Frontend-Gerät durch das Backend-Gerät ferngesteuert.
  • Darüber hinaus ist das Gateway so konfiguriert, dass es in der Lage ist, die Transkription des Antwortdatagramms von dem Frontend-Gerät durch Anwendung der Nicht-IP-Kommunikation zu empfangen und eine zweite Transkription des Antwortdatagramms an das Backend-Gerät durch Anwendung der IP-Kommunikation zu senden. Die zweite Transkription des Antwort-Datagramms könnte dieselbe sein wie die ursprüngliche Transkription des Antwort-Datagramms oder sie könnte eine Verkapselung des empfangenen Originals nach unten im Stapel sein.
  • Darüber hinaus könnte die zweite Transkription des Antwort-Datagramms einen modifizierten oder erweiterten Header zumindest auf einer Ebene gemäß dem OSI-Modell enthalten. Es ist auch möglich, dass es die Aufgabe des Gateways ist, die anfänglichen Header-Informationen mit dem virtuellen IP-Kommunikationsendpunkt als Quelle der zweiten Transkription des Antwort-Datagramms und dem Backend-Gerät als Ziel bereitzustellen.
  • Bei einigen Ausführungsformen wird die sichere Ende-zu-Ende-Kommunikation zwischen dem Backend-Gerät und dem Frontend-Gerät mit einer symmetrischen Verschlüsselung hergestellt, für die vorab gemeinsam genutzte Schlüssel erforderlich sind. Der Austausch dieser Schlüssel könnte bereits bei der Herstellung des Endgeräts erfolgen. Obwohl es nur ein einziges anfängliches Schlüsselpaar für die symmetrische Verschlüsselung gibt, bleibt die Sicherheit erhalten, da der eigentliche Sitzungsschlüssel bei jedem Aufbau einer neuen sicheren Sitzung geändert wird. Dies bietet zusätzliche Sicherheit im Falle einer unterbrochenen Sitzung, da nicht alle zukünftigen Sitzungen gefährdet sind.
  • Als Alternative wird die asymmetrische Verschlüsselung eingesetzt, die auf Zertifikaten basiert. Allerdings ist der Rechenaufwand dafür wesentlich höher, wobei es im Falle einer asymmetrischen Verschlüsselung günstig ist, einen Verschlüsselungschip in das Frontend-Gerät einzubauen.
  • Ist die sichere Ende-zu-Ende-Kommunikation zwischen dem Backend-Gerät und dem Frontend-Gerät erst einmal hergestellt, kann das Gateway die Kommunikation nicht abhören oder deren Inhalt verändern. Außerdem sind ein Man-in-the-Middle-Angriff (MITM) oder ein Replay-Angriff nicht mehr möglich.
  • Ein weiterer Vorteil ergibt sich aus dem Umstand, dass bei einer bevorzugten Ausführungsform keine Änderung von Hardwarekomponenten des Frontend-Gerätes und/oder des Backend-Gerätes erforderlich ist. Eine bevorzugte Ausführungsform wird dadurch erreicht, dass die Firmware insbesondere des Gateways und/oder des Frontend-Gerätes modifiziert wird, um das Huckepack der Transkriptionen der Request- und Response-Datagramme mit Non-IP-Kommunikation zu realisieren und die zusätzliche Funktionalität eines vom Frontend-Gerät implementierten Basis-IP-Sicherheitsprotokolls hinzuzufügen.
  • In einer weiteren Entwicklung werden Maßnahmen ergriffen, um die Rechenlast auf der Seite des Frontends zu verringern. Dies könnte durch eine Ausführungsform erreicht werden, bei der das Frontend-Gerät nicht selbst eine Implementierung des IP-Sicherheitsprotokolls durchführt. Stattdessen wird die Interpretation der Transkription des vom Frontend-Gerät empfangenen Anfragedaten-Datagramms vom Backend-Gerät gesteuert. Zu diesem Zweck ist das Backend-Gerät so konfiguriert, dass es zusätzliche Anfragedatagramme über das Gateway sendet, indem es Huckepack auf die Nicht-IP-Kommunikation aufbaut, die direkt ausführbare Befehle der Anwendungsschicht des Frontend-Geräts, z. B. DALI-Befehle, zur Steuerung von Aktionen des Frontend-Geräts kapselt. Auf diese Weise kann ein einfaches Frontend-Gerät ohne zusätzliche Anforderungen an den permanenten Speicher gehalten werden.
  • Für das IP-Sicherheitsprotokoll stehen Transport Layer Security (TLS), Secure Sockets Layer (SSL), Internet Protocol Security (IPsec) oder Datagram Transport Layer Security (DTLS) zur Auswahl. Von dieser Gruppe wird DTLS aus verschiedenen Gründen bevorzugt. DTLS führt zu einem geringen Netzwerkprotokoll-Overhead und einer relativ bescheidenen Implementierungsgröße. Dadurch sind die Speicheranforderungen für das Backend-Gerät, das Gateway und das Frontend-Gerät gering und der Netzverkehr kann niedrig gehalten werden. Außerdem kann DTLS über das sitzungslose User Datagram Protocol (UDP) transportiert werden. Bei einigen Aspekten stellt das Gateway daher einen virtuellen IP-Kommunikationsendpunkt bereit, der für das Frontend-Gerät bestimmt ist und einen speziellen UDP-Socket für den Empfang eines Anforderungsdatagramms in Form eines Anforderungsrahmens vom Backend-Gerät umfasst.
  • Für den Fall, dass das Nicht-IP-Subnetz eine Vielzahl von Frontend-Geräten umfasst, ist es möglich, das Gateway mit einer entsprechenden Anzahl von dedizierten UDP-Sockets zu konfigurieren und eine Zuordnungstabelle zu erstellen, die jeden dedizierten UDP-Socket mit einem der Frontend-Geräte verknüpft. Bei einer alternativen Ausführungsform wird ein einziger UDP-Socket verwendet und dessen Multiplexing auf der Grundlage eines DTLS-Erweiterungsheaders angewandt, der Adressinformationen für die Durchführung der Non-IP-Kommunikation mit einem ausgewählten der Frontend-Geräte enthält.
  • Bevorzugte Ausführungsformen werden in der folgenden Beschreibung deutlich, die sich auf die beigefügten Zeichnungen bezieht.
    • 1 ist ein Schema einer bevorzugten Ausführungsform des erfindungsgemäßen Computernetzwerks;
    • 2 veranschaulicht die Schritte zum Aufbau einer gesicherten DTLS-Kommunikation unter Verwendung eines DALI-Sets.
  • 1 zeigt schematisch eine Ausführungsform des erfindungsgemäßen Computernetzwerks (1), das ein Nicht-IP-Teilnetzwerk (2) mit Frontend-Geräten (4.1, 4.2, 4.3), die Sensoren und/oder Aktoren eines IoT-Systems sein können, und ein IP-Teilnetzwerk (3) mit einem Backend-Gerät (5), möglicherweise einer Cloud, umfasst. Ein Gateway (6) verbindet das Nicht-IP-Teilnetz (2) mit dem IP-Teilnetz (3) und übersetzt die Kommunikation dazwischen. Die Nicht-IP-Kommunikation (8.1, 8.2, 8.3) innerhalb des Nicht-IP-Teilnetzes (2) könnte auf der Digital Addressable Lighting Interface (DALI) basieren. In diesem Fall ist oder enthält das Gateway (6) einen DALI-Controller.
  • Ein IP-Sicherheitsprotokoll (9), das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt, wird angewandt, um die Sicherheit der IP-Kommunikation (7) innerhalb des IP-Teilnetzes (3) zu wahren, wobei für die vorliegende Ausführungsform Datagram Transport Layer Security (DTLS) als IP-Sicherheitsprotokoll (9) gewählt wird. Erfindungsgemäß wird die sichere Kommunikation auf die Frontend-Geräte (4.1, 4.2, 4.3) innerhalb des Nicht-IP-Subnetzes (2) ausgedehnt, indem Datagramme der DTLS-Kommunikation unter Verwendung des Protokolls der Nicht-IP-Kommunikation (8.1, 8.2, 8.3), das bei der gezeigten Ausführungsform auf Standard-DALI-Befehlen basiert, huckepack genommen werden.
  • Für die sichere Ende-zu-Ende-Kommunikation (11) zwischen jedem der Frontend-Geräte (4.1, 4.2, 4.3) und dem Backend-Gerät (5) ist es möglich, eine symmetrische Verschlüsselung auf der Basis eines Paares von Pre-Shared Keys (17, 18) anzuwenden, die innerhalb eines jeweiligen Frontend-Gerätes (4.1, 4.2, 4.3) und des Backend-Gerätes (5) ausgetauscht und gespeichert werden. Die Generierung der Pre-Shared-Keys (17, 18) könnte bei der Herstellung des Frontend-Gerätes (4.1, 4.2, 4.3) erfolgen, wobei hier eine Programmierung mittels DALI oder eine spezifische Einstellung von Nadeladaptern vorgenommen werden kann und konsekutiv das Backend-Gerät (5) bei der Installation eines Frontend-Gerätes (4.1, 4.2, 4.3) innerhalb des Non-IP-Teilnetzes (2) seinen jeweiligen Teil des Schlüsselpaares auf einem separaten Kommunikationsweg, ggf. mittels drahtloser Kommunikation, erhält.
  • Um Sicherheitsrisiken im Zusammenhang mit dem Gateway (6) zu vermeiden, ist es erfindungsgemäß erforderlich, dass das Gateway (6) während des Handshaking-Verfahrens zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation (11) zwischen einem der Frontend-Geräte (4.1, 4.2, 4.3) und dem Backend-Gerät (5) „transparent“ agiert. Das bedeutet, dass das Gateway (6) empfangene Datagramme, die als zum Aufbau einer sicheren Sitzung zwischen dem Backend-Gerät (5) und einem der Frontend-Geräte (4.1, 4.2, 4.3) gehörend identifiziert werden, nicht durch Extraktion des Dateninhalts und Generierung von DALI-Befehlen daraus übersetzt, sondern das jeweilige Datagramm zusätzlich zur DALI Non-IP Kommunikation (8.1, 8.2, 8.3) überträgt. Zu diesem Zweck stellt das Gateway (6) mindestens einen virtuellen IP-Kommunikationsendpunkt (10) zur Verfügung, wobei in der vorliegenden Ausführungsform der virtuelle IP-Kommunikationsendpunkt (10) eine virtuelle IP-Adresse (20) auf der Netzwerkschicht (L3) umfasst, die einem der Frontendgeräte (4.1, 4.2, 4.3) zugeordnet ist.
  • Da als IP-Sicherheitsprotokoll (9) DTLS verwendet wird, umfasst der virtuelle IP-Kommunikationsendpunkt (10) ferner einen dedizierten UDP-Socket (21) auf der Transportschicht (L2). Für die Zuordnung zu den Frontend-Geräten (4.1, 4.2, 4.3) könnte eine entsprechende Anzahl von dedizierten UDP-Sockets (21) (nicht dargestellt) zusammen mit einer Mapping-Tabelle (22), die die DALI-Adressdaten der Frontend-Geräte (4.1, 4.2, 4.3) enthält, verwendet werden. Alternativ wird das Gateway (6) mit einem einzigen dedizierten UDP-Socket (21) konfiguriert und ein Schema für dessen Multiplexing verwendet, das auf einem DTLS-Erweiterungsheader basiert, der Adressinformationen für die Durchführung der Non-IP-Kommunikation (8.1, 8.2, 8.3) mit einem ausgewählten der Frontend-Geräte (4.1, 4.2, 4.3) enthält.
  • Das Handshaking zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation (11) zwischen einem der Frontend-Geräte (4.1, 4.2, 4.3) und dem Backend-Gerät (5) kann den Austausch von mehreren Datagrammen über ein „transparentes“ Gateway (6) umfassen. Im Folgenden wird der Einfachheit halber exemplarisch ein vom Backend-Gerät (5) initiierter Datagramm-Austausch beschrieben.
  • Nach dem Empfang eines Anfragedatagramms mit einem Header, der das Backend-Gerät (5) als Quelle und den virtuellen IP-Kommunikationsendpunkt (10) als Ziel angibt, wird die Non-IP-Kommunikation (8.1, 8.2, 8.3) angewendet, um eine Transkription des Anfragedatagramms an das jeweilige Frontend-Gerät (4.1, 4.2, 4.3) zu übertragen.
  • In der vorliegenden Ausführungsform wird das Anfragedatagramm von einem speziellen UDP-Socket (21) in Form eines Anforderungsrahmens empfangen. Die Transkription des Anfragedatagramms könnte das unveränderte ursprüngliche Anfragedatagramm oder eine Entkapselung desselben auf dem Stapel des OSI-Modells sein, beispielsweise ein Anfragedatenpaket. Erfindungsgemäß verändert das Gateway (6) den Dateninhalt des Request-Datagramms nicht. Insbesondere werden von dem Gateway (6) keine DALI-Befehle daraus abgeleitet. Stattdessen identifiziert das Gateway (6) anhand seiner Mapping-Tabelle (22) das Frontend-Gerät (4.1, 4.2, 4.3), zu dem die sichere Ende-zu-Ende-Kommunikation (11) aufgebaut werden soll, und speichert mit einem DALI-Schreibbefehl eine vollständige Transkription des Request-Datagramms in einem ersten reservierten Speicherbereich (23) des jeweiligen Frontend-Geräts (4.1, 4.2, 4.3).
  • In der vorliegenden Ausführungsform umfasst das Frontend-Gerät (4.1, 4.2, 4.3) eine Basisimplementierung des IP-Sicherheitsprotokolls (15) DTLS für die Interpretation der Transkription des Anfragedatagramms. Daher ist es in der Lage, ein Antwort-Datagramm unter Verwendung seiner eigenen Firmware und Speicherkapazität zu erstellen. Eine Transkription des Antwort-Datagramms könnte in einem zweiten reservierten Speicherbereich (24) des Frontend-Geräts (4.1, 4.2, 4.3) gespeichert werden, und ein dritter Speicherbereich (25) wird zur Darstellung von DTLS-Statusinformationen wie „Warten auf eine DTLS-Anfrage“, „Anfrage in Bearbeitung“ und „Antwort bereit“ verwendet. Letzteres ermöglicht es, eine Abholung der Transkription des Antwort-Datagramms durch das Gateway (6) auszulösen, wobei ein DALI-Lesebefehl verwendet wird, um das Piggy-Backing auf der Grundlage der Non-IP-Kommunikation in Rückwärtsrichtung zu realisieren.
  • Sobald das Gateway (6) die Transkription des Antwort-Datagramms erhält, bereitet es eine zweite Transkription davon vor, die an das Backend-Gerät (5) übertragen wird. Die sich daraus ergebende zweite Transkription des Antwort-Datagramms behält den Datenteil des vom Frontend-Gerät (4.1, 4.2, 4.3) empfangenen Originals unverändert bei. Es ist jedoch möglich, dass die Adressbehandlung vom Gateway zusammen mit einer Verkapselung auf dem Stapel durchgeführt wird. Daher kann das Gateway eine zweite Transkription mit einem modifizierten und/oder erweiterten Header zumindest auf einer Ebene gemäß dem OSI-Modell erzeugen, die den virtuellen IP-Kommunikationsendpunkt (10) als Quelle und das Backend-Gerät (5) als Ziel enthält.
  • 2 zeigt die verschiedenen Schritte zum Aufbau einer DTLS-Kommunikation nach dem oben beschriebenen Konzept mit einem Pre-Share-Key für Feldgeräte, die eine DALI-basierte Kommunikation nutzen.
  • Wie erläutert, betrifft der erste Schritt S1 die Implementierung eines Pre-Shared Key PSK-1 im DALI-Gerät. Für die Zwecke dieses Beispiels ist jedes Gerät geeignet, das das DALI-Protokoll implementiert. Typische DALI-fähige Geräte sind z. B. LED-Treiber, intelligente Haushaltsgeräte und dergleichen. Der Pre-Shared Key wird in Schritt S2 auch dem Cloud-Backend zur Verfügung gestellt, mit dem sich das DALI-Gerät verbinden würde, wenn es in einer Installation mit einem Gateway eingesetzt wird. Bei der Bereitstellung wird ein anderer gesicherter Kommunikationskanal verwendet, um eine Kompromittierung des Pre-Shared Key zu vermeiden. Der Pre-Shared Key wird auch mit der Seriennummer des DALI-Geräts in der Cloud registriert.
  • In Schritt S3 erstellt der DALI-Controller eine Zuordnungstabelle, um DALI-Adressen (d. h. die Adressen der an den Controller angeschlossenen DALI-fähigen Geräte) mit zusätzlichen IP-Hostadressen zu verknüpfen. Das Cloud-Backend wird in Schritt S4 über die Geräte informiert. Wie hier beschrieben, ermöglicht dieser Prozess dem Cloud-Backend den Aufbau einer DTLS-Kommunikation (mit jedem DALI-Gerät), die auf IP aufsetzt.
  • In Schritt S5 wird eine sichere DTLS-Sitzung zwischen der Cloud-Backend-Lösung und dem als Gateway fungierenden DALI-Steuergerät aufgebaut. Wie oben beschrieben, wird jede Anforderung zum Aufbau einer solchen Verbindung vom DALI-Steuergerät auf eine DALI-Schreibanforderung abgebildet und an das jeweilige in der Anforderung adressierte DALI-Gerät weitergeleitet. Die Anfrage innerhalb der DALI-Nachricht wird also huckepack auf das DALI-Paket und den Rahmen gepackt.
  • Das DALI-Gerät verarbeitet die DTLS-Anfrage in Schritt S7. Zu diesem Zweck ordnet das DALI-Gerät die DTLS-Anfrage- und - Antwort-Frames auf Speicherbänke innerhalb des Geräts zu, wobei es Standard-DALI-Lese- und -Schreibbefehle verwendet. Jeder empfangene DTLS-Frame wird also in die Speicherbänke geschrieben. Drei Speicherbänke sind reserviert, eine erste für die Speicherung von DTLS-Rahmenanfragen, die eingehende DTLS-Anfragen vom DALI-Controller und -Gateway bearbeiten. Ein zweiter Speicher speichert DTLS-Antworten auf die verarbeiteten Anfragen. Schließlich wird eine dritte Speicherbank verwendet, um eine Statusanzeige mit einem einfachen Ein-Byte-Status zu liefern:
    • - Status 0: Warten auf DTLS-Anfrage;
    • - Status 1: Anfrage in Bearbeitung; und
    • - Status 2: Antwort bereit
  • Während des Handshakes und nach dessen Abschluss, der zu einer sicheren Ende-zu-Ende-Kommunikation zwischen dem Backend-Gerät (5) und einem der Frontend-Geräte (4.1, 4.2, 4.3) führt, kann das Gateway (6) nicht in den Besitz des Sitzungsschlüssels gelangen, der jedes Mal geändert wird, wenn eine neue sichere Sitzung erzeugt wird.
  • Als Alternative, die nicht gezeigt wird, wird die Anforderung, das DTLS-IP-Sicherheitsprotokoll (15) innerhalb des Frontend-Geräts (4.1, 4.2, 4.3) zu implementieren, erleichtert, was insbesondere für sehr einfache Frontend-Geräte (4.1, 4.2, 4.3) mit begrenztem persistenten Speicher von Vorteil ist. Dies wird erreicht, indem dem Backend-Gerät (5) eine zusätzliche Funktionalität hinzugefügt wird, die in diesem Fall DALI-Befehle einer Anwendungsschicht (16) des Frontend-Geräts (4.1, 4.2, 4.3) unterstützen muss. Dies ermöglicht es, die Aktionen des Frontend-Gerätes (4.1, 4.2, 4.3) zur Abwicklung des Handshakes aus der Ferne zu steuern, da das Backend-Gerät (5) in der Lage ist, Steuerdatagramme, die direkt ausführbare DALI-Befehle kapseln, an das Frontend-Gerät (4.1, 4.2, 4.3) zu senden. Das Gateway (6) wiederum ist so konfiguriert, dass es unter Anwendung der Non-IP-Kommunikation (8.1, 8.2, 8.3) eine Transkription des Steuerdatagramms an das Frontendgerät (4.1, 4.2, 4.3) sendet.
  • Außerdem könnte die oben beschriebene symmetrische Verschlüsselung durch eine asymmetrische Verschlüsselung ersetzt werden. Der Rechenaufwand für die Handhabung der vorgeschriebenen Zertifikate führt jedoch zu einer bevorzugten Ausführungsform, bei der ein Verschlüsselungschip (19) hinzugefügt wird, wie für das Frontend-Gerät (4.2) gezeigt.
  • Bezugszeichenliste
    • 1
    Computernetzwerk
    2
    Nicht-IP-Teilnetz
    3
    IP-Teilnetz
    4.1, 4.2, 4.3
    Frontend-Gerät
    5
    Backend-Gerät
    6
    Gateway
    7
    IP-Kommunikation
    8.1, 8.2, 8.3
    Nicht-IP-Kommunikation
    9
    IP-Sicherheitsprotokoll
    10
    virtueller IP-Kommunikationsendpunkt
    11
    sichere Ende-zu-Ende-Kommunikation
    15
    Implementierung des IP-Sicherheitsprotokolls
    16
    Anwendungsschicht
    17
    Pre-Shared Key
    18
    gemeinsamer Vorab-Schlüssel
    19
    Verschlüsselungschip
    20
    virtuelle IP-Adresse
    21
    dedizierter UDP-Socket
    22
    Mapping-Tabelle
    23
    erster reservierter Speicherbereich
    24
    zweiter reservierter Speicherbereich
    25
    dritter reservierter Speicherbereich
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • CN 211180606 U [0004]
    • US 20080265799 A [0004]
    • WO 20160075107 A [0004]
    • WO 2015/054611 [0004]
    • EP 3525555 A [0004]
    • US 8837485 B2 [0007]

Claims (18)

  1. Computernetz, umfassend: ein Non-IP-Teilnetz (2) mit mindestens einem Frontend-Gerät (4.1, 4.2, 4.3); und ein IP-Teilnetz (3) mit mindestens einem Backend-Gerät (5); und ein Gateway (6), das das Nicht-IP-Teilnetz (2) mit dem IP-Teilnetz (3) verbindet und die Kommunikation dazwischen überträgt, wobei die Kommunikation zwischen dem Backend-Gerät (5) und dem Gateway (6) eine IP-Kommunikation (7) ist, die auf einem IP-Sicherheitsprotokoll (9) basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; und wobei die Kommunikation zwischen dem Gateway (6) und dem Frontend-Gerät (4.1, 4.2, 4.3) eine Nicht-IP-Kommunikation (8.1, 8.2, 8.3) ist; wobei das Gateway (6) so konfiguriert ist, dass es einen virtuellen IP-Kommunikationsendpunkt (10) bereitstellt, der für das Frontend-Gerät (4.1, 4.2, 4.3) bestimmt ist, wobei zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation (11) zwischen dem Backend-Gerät (5) und dem Frontend-Gerät (4.1, 4.2, 4. 3) das Gateway (6) so konfiguriert ist, dass bei Empfang eines Anfragedatagramms mit einem Header, der die Backend-Gerät (5) als Quelle und den virtuellen IP-Kommunikationsendpunkt (10) als Ziel angibt, die Nicht-IP-Kommunikation (8.1, 8.2, 8.3) angewendet wird, um eine Transkription des Anfragedatagramms an die Frontend-Gerät (4.1, 4.2, 4.3) zu übertragen; und wobei das Frontend-Gerät (4.1, 4.2, 4.3) so konfiguriert ist, dass sie ein Antwort-Datagramm erzeugt und eine Transkription des Antwort-Datagramms an das Gateway (6) überträgt, indem sie die Non-IP-Kommunikation (8.1, 8.2, 8.3) anwendet wobei das Frontend-Gerät (4.1, 4.2, 4.3) so konfiguriert ist, dass sie eine Implementierung des IP-Sicherheitsprotokolls (15) ausführt, so dass das Frontend-Gerät (4.1, 4.2, 4.3) in der Lage ist, die Transkription des Anfragedaten-Datagramms zu interpretieren.
  2. Computernetzwerk nach Anspruch 1, dadurch gekennzeichnet, dass das Frontend-Gerät (4.1, 4.2, 4.3) so konfiguriert ist, dass es einen Header des Antwort-Datagramms erzeugt, der den virtuellen IP-Kommunikationsendpunkt (10) als Quelle und das Backend-Gerät (5) als Ziel angibt.
  3. Computernetzwerk nach Anspruch 1, dadurch gekennzeichnet, dass das Backend-Gerät (5) so konfiguriert ist, dass die Interpretation der Transkription des Anfragedatagramms, das von dem Frontend-Gerät (4.1, 4.2, 4. 3) empfangenen Transkription des Anfragedatagramms von dem Backend-Gerät (5) durch Senden mindestens eines Steuerdatagramms, das Befehle einer Anwendungsschicht (16) des Frontend-Geräts (4.1, 4.2, 4.3) einkapselt, gesteuert wird, wobei das Gateway (6) so konfiguriert ist, dass es eine Transkription des Steuerdatagramms an das Frontend-Gerät (4.1, 4.2, 4.3) unter Anwendung der Non-IP-Kommunikation (8.1, 8.2, 8.3) sendet.
  4. Computernetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Gateway (6) so konfiguriert ist, dass es die Transkription des Antwort-Datagramms empfängt, die über die Nicht-IP-Kommunikation (8.1, 8.2, 8.3) von dem Frontend-Gerät (4.1, 4.2, 4.3) gesendet wird, und dass es eine zweite Transkription des Antwort-Datagramms durch Anwendung der IP-Kommunikation (7) an das Backend-Gerät (5) sendet.
  5. Computernetzwerk nach Anspruch 4, dadurch gekennzeichnet, dass die zweite Transkription des Antwortdatagramms einen modifizierten und/oder erweiterten Header zumindest auf einer Ebene gemäß dem OSI-Modell bereitstellt, der den virtuellen IP-Kommunikationsendpunkt (10) als Quelle der zweiten Transkription des Antwortdatagramms einbezieht.
  6. Computernetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Frontend-Gerät (4.1, 4.2, 4.3) und das Backend-Gerät (5) so konfiguriert sind, dass die sichere Ende-zu-Ende-Kommunikation (11) zwischen ihnen eine symmetrische Verschlüsselung auf der Grundlage von Pre-Shared-Keys (17, 18) anwendet.
  7. Computernetzwerk nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Frontend-Gerät (4.1, 4.2, 4.3) und das Backend-Gerät (6) so konfiguriert sind, dass die sichere Ende-zu-Ende-Kommunikation (11) zwischen ihnen eine asymmetrische Verschlüsselung anwendet, wobei das Frontend-Gerät (4.1, 4.2, 4.3) einen Verschlüsselungschip (19) umfasst.
  8. Computernetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der virtuelle IP-Kommunikationsendpunkt (10) eine virtuelle IP-Adresse (20) auf der Netzwerkschicht (L3) umfasst und das Anfragedatagramm ein Anfragedatenpaket mit einem Header umfasst, der das Backend-Gerät (5) als Quelle und die virtuelle IP-Adresse (20) als Ziel angibt.
  9. Computernetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Non-IP-Kommunikation (8.1, 8.2, 8.3) auf Digital Addressable Lighting Interface (DALI) basiert.
  10. Computernetzwerk nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass als IP-Sicherheitsprotokoll (9) Datagram Transport Layer Security (DTLS) eingesetzt wird.
  11. Computernetzwerk nach Anspruch 10, dadurch gekennzeichnet, dass das Gateway (6) den virtuellen IP-Kommunikationsendpunkt (10), der dem Frontend-Gerät (4.1, 4.2, 4.3) zugeordnet ist, mit einem zugeordneten UDP-Socket (21) versieht.
  12. Computernetzwerk nach Anspruch 11, dadurch gekennzeichnet, dass das Nicht-IP-Subnetzwerk eine Vielzahl von Frontend-Geräten (4.1, 4.2, 4.3) umfasst und das Gateway (6) mit einer entsprechenden Anzahl von dedizierten UDP-Sockets (21) und einer Mapping-Tabelle (22) konfiguriert ist, die jeden dedizierten UDP-Socket (21) mit einem der Frontend-Geräte (4.1, 4.2, 4.3) in Beziehung setzt.
  13. Computernetzwerk nach Anspruch 11, dadurch gekennzeichnet, dass das Non-IP-Subnetzwerk (2) eine Vielzahl von Frontend-Geräten (4.1, 4.2, 4.3) umfasst und das Gateway (6) mit einem einzigen dedizierten UDP-Socket (21) und einem Schema für dessen Multiplexing auf der Grundlage eines DTLS-Erweiterungsheaders konfiguriert ist, das Adressinformationen für die Durchführung der Non-IP-Kommunikation (8.1, 8.2, 8.3) mit einem ausgewählten der Frontend-Geräte (4.1, 4.2, 4.3) bereitstellt.
  14. Gateway für ein Computernetzwerk; wobei das Gateway (6) so konfiguriert ist, dass es mit einem Backend-Gerät (5) innerhalb eines IP-Subnetzes (2) kommuniziert, indem es eine IP-Kommunikation (7) anwendet, die auf einem IP-Sicherheitsprotokoll (9) basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; und wobei das Gateway (6) so konfiguriert ist, dass es mit einem Frontend-Gerät (4.1, 4.2, 4.3) innerhalb eines Nicht-IP-Teilnetzes (2) kommuniziert, indem es eine Nicht-IP-Kommunikation (8.1, 8.2, 8.3) anwendet; dadurch gekennzeichnet, dass das Gateway (6) so konfiguriert ist, dass es einen virtuellen IP-Kommunikationsendpunkt (10) bereitstellt, der für das Frontend-Gerät (4.1, 4.2, 4.3) bestimmt ist, wobei zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation (11) zwischen dem Backend-Gerät (5) und dem Frontend-Gerät (4.1, 4.2, 4. 3) das Gateway (6) so konfiguriert ist, dass beim Empfang eines Anfragedatagramms mit einem Header, der das Backend-Gerät (5) als Quelle und den virtuellen IP-Kommunikationsendpunkt (10) als Ziel angibt, die Nicht-IP-Kommunikation (8.1, 8.2, 8.3) einschließlich des IP Sicherheitsprotokoll (15) angewendet wird, um eine Transkription des Anfragedatagramms an das Frontend-Gerät (4.1, 4.2, 4.3) zu übertragen, derart, dass das Frontend-Gerät (4.1, 4.2, 4.3) in der Lage ist, die Transkription des Anfragedaten-Datagramms zu interpretieren.
  15. Frontend-Gerät für ein Computernetzwerk; wobei das Frontend-Gerät (4.1, 4.2, 4.3) so konfiguriert ist, dass sie mit einem Gateway (6) innerhalb eines Nicht-IP-Teilnetzes (2) kommuniziert, indem eine Nicht-IP-Kommunikation (8.1, 8.2, 8.3) angewendet wird; und wobei das Gateway (6) so konfiguriert ist, dass es mit einem Backend-Gerät (5) innerhalb eines IP-Teilnetzes (3) kommuniziert, indem es eine IP-Kommunikation (7) anwendet, die auf einem IP-Sicherheitsprotokoll (9) basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; und dadurch gekennzeichnet, dass das Frontend-Gerät (4.1, 4.2, 4.3) so konfiguriert ist, dass sie eine Implementierung des IP-Sicherheitsprotokolls (15) ausführt, so dass das Frontend-Gerät (4.1, 4.2, 4.3) in der Lage ist, eine Transkription eines vom Gateway (6) gesendeten Anfragedaten-Datagramms durch Anwendung von Nicht-IP-Kommunikation (8.1, 8.2, 8.3) zu interpretieren.
  16. Backend-Gerät für ein Computernetzwerk; wobei das Backend-Gerät (5) so konfiguriert ist, dass es mit einem Gateway (6) innerhalb eines IP-Subnetzes (3) kommuniziert, indem es eine IP-Kommunikation (7) anwendet, die auf einem IP-Sicherheitsprotokoll (9) basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; wobei das Gateway (6) so konfiguriert ist, dass es mit einem Frontend-Gerät (4.1, 4.2, 4.3) innerhalb eines Nicht-IP-Teilnetzes (2) kommuniziert, indem es eine Nicht-IP-Kommunikation (8.1, 8.2, 8.3) anwendet; dadurch gekennzeichnet, dass das Backend-Gerät (5) so konfiguriert ist, dass sie eine sichere Ende-zu-Ende-Kommunikation (11) mit dem Frontend-Gerät (4.1, 4.2, 4.3) herstellt, die durch Übertragen eines Anforderungs-Datagramms an einen virtuellen IP-Kommunikations-Endpunkt (10) des Gateways (6) eingeleitet wird, wobei eine Transkription des Anforderungs-Datagramms durch Anwenden der Nicht-IP-Kommunikation (8.1, 8.2, 8.3) an das Frontend-Gerät (4.1, 4.2, 4.3) übertragen wird; wobei das Backend-Gerät (5) so konfiguriert ist, dass sie das Frontend-Gerät (4.1, 4.2, 4.3) so steuert, dass sie bei Empfang der Transkription des Anforderungs-Datagramms ein Antwort-Datagramm vorbereitet, indem sie unter Anwendung der Non-IP-Kommunikation (8.1, 8.2, 8.3) mindestens ein Steuer-Datagramm überträgt, das einen Befehl einer Anwendungsschicht (16) des Frontend-Geräts (4.1, 4.2, 4.3) einkapselt.
  17. Verfahren zum Betrieb eines Rechnernetzes, bestehend aus: ein Non-IP-Teilnetz (2) mit mindestens einem Frontend-Gerät (4.1, 4.2, 4.3); und ein IP-Teilnetz (3) mit mindestens einem Backend-Gerät (5); und ein Gateway (6), das das Nicht-IP-Teilnetz (2) mit dem IP-Teilnetz (3) verbindet und die Kommunikation dazwischen überträgt, wobei die Kommunikation zwischen dem Backend-Gerät (5) und dem Gateway (6) eine IP-Kommunikation (7) ist, die auf einem IP-Sicherheitsprotokoll (9) basiert, das Mittel zur Authentifizierung und/oder Verschlüsselung bereitstellt; und wobei die Kommunikation zwischen dem Gateway (6) und dem Frontend-Gerät (4.1, 4.2, 4.3) eine Nicht-IP-Kommunikation (8.1, 8.2, 8.3) ist; gekennzeichnet durch die Verfahrensschritte Übertragen eines Anfragedatagramms zum Aufbau einer sicheren Ende-zu-Ende-Kommunikation (11) zwischen dem Backend-Gerät (5) und dem Frontend-Gerät (4.1, 4.2, 4.3) von dem Backend-Gerät (5) zu einem virtuellen IP-Kommunikationsendpunkt (10), der von dem Gateway (6) bereitgestellt wird, wobei der virtuelle IP-Kommunikationsendpunkt (10) dem Frontend-Gerät (4.1, 4.2, 4.3) zugeordnet ist; und Übertragen einer Transkription des Anfragedatagramms von dem Gateway (6) an das Frontend-Gerät (4.1, 4.2, 4.3) durch Anwenden der Nicht-IP-Kommunikation (8.1, 8.2, 8.3); Ausführen einer Implementierung eines IP-Sicherheitsprotokolls (15), so dass das Frontend-Gerät (4.1, 4.2, 4.3) in der Lage ist, die Transkription des Anfragedaten-Datagramms zu interpretieren; und Erzeugen eines Antwort-Datagramms durch das Frontend-Gerät (4.1, 4.2, 4.3); und Übertragen einer Transkription des Antwort-Datagramms von dem Frontend-Gerät (4.1, 4.2, 4.3) an das Gateway (6) durch Anwendung der Non-IP-Kommunikation (8.1, 8.2, 8.3); und Übertragen einer zweiten Transkription des Antwort-Datagramms vom Gateway (6) an das Backend-Gerät (5) durch Anwenden der IP-Kommunikation (7).
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die zweite Transkription des Antwortdatagramms einen Header auf mindestens einer Ebene gemäß dem OSI-Modell bereitstellt, der den virtuellen IP-Kommunikationsendpunkt (10) als Quelle der zweiten Transkription des Antwortdatagramms einbezieht.
DE102021125835.9A 2020-10-05 2021-10-05 Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb Pending DE102021125835A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DKPA202070675 2020-10-05
DKPA202070675A DK202070675A1 (en) 2020-10-05 2020-10-05 Computer network with an ip subnetwork and a non-ip subnetwork and backend device, gateway, frontend device therefore and procedure for operation thereof

Publications (1)

Publication Number Publication Date
DE102021125835A1 true DE102021125835A1 (de) 2022-04-07

Family

ID=80738263

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021125835.9A Pending DE102021125835A1 (de) 2020-10-05 2021-10-05 Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb

Country Status (3)

Country Link
US (1) US20220109659A1 (de)
DE (1) DE102021125835A1 (de)
DK (1) DK202070675A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4340328A1 (de) * 2022-09-19 2024-03-20 Helvar Oy Ab Verfahren und vorrichtung zur verbindung von verbindungen zwischen adressierbaren gebäudeautomatisierungsnetzwerken

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080265799A1 (en) 2007-04-20 2008-10-30 Sibert W Olin Illumination control network
US8837485B2 (en) 2012-06-26 2014-09-16 Cisco Technology, Inc. Enabling communication of non-IP device in an IP-based infrastructure
WO2015054611A1 (en) 2013-10-10 2015-04-16 Digital Lumens Incorporated Methods, systems, and apparatus for intelligent lighting
WO2016075107A1 (en) 2014-11-10 2016-05-19 Schreder Method for the operation and expansion of a network of lights
EP3525555A2 (de) 2018-02-13 2019-08-14 Tridonic GmbH & Co. KG Inbetriebnahme von intelligenten beleuchtungssystemen
CN211180606U (zh) 2020-01-14 2020-08-04 深圳市风云实业有限公司 一种提供ip网络和非ip网络安全互通的网关设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3064857B1 (fr) * 2017-04-04 2020-07-03 Commissariat A L'energie Atomique Et Aux Energies Alternatives Communication securisee de bout en bout pour capteur mobile dans un reseau iot
KR101866977B1 (ko) * 2017-12-27 2018-06-14 부산대학교 산학협력단 LoRa 통신 기반 대화형 원격장치 관리 시스템 및 방법
FR3076422B1 (fr) * 2017-12-29 2020-09-25 Commissariat Energie Atomique Methode d'echange de cles authentifie par chaine de blocs
FR3087311B1 (fr) * 2018-10-16 2020-09-18 Idemia Identity & Security France Procede de communication d’un objet avec un reseau d’objets connectes pour signaler qu’un clone se fait potentiellement passer pour l’objet dans le reseau
US20210067956A1 (en) * 2019-08-30 2021-03-04 U-Blox Ag Methods and apparatus for end-to-end secure communications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080265799A1 (en) 2007-04-20 2008-10-30 Sibert W Olin Illumination control network
US8837485B2 (en) 2012-06-26 2014-09-16 Cisco Technology, Inc. Enabling communication of non-IP device in an IP-based infrastructure
WO2015054611A1 (en) 2013-10-10 2015-04-16 Digital Lumens Incorporated Methods, systems, and apparatus for intelligent lighting
WO2016075107A1 (en) 2014-11-10 2016-05-19 Schreder Method for the operation and expansion of a network of lights
EP3525555A2 (de) 2018-02-13 2019-08-14 Tridonic GmbH & Co. KG Inbetriebnahme von intelligenten beleuchtungssystemen
CN211180606U (zh) 2020-01-14 2020-08-04 深圳市风云实业有限公司 一种提供ip网络和非ip网络安全互通的网关设备

Also Published As

Publication number Publication date
DK202070675A1 (en) 2022-04-08
US20220109659A1 (en) 2022-04-07

Similar Documents

Publication Publication Date Title
DE602004008692T2 (de) Drahtloses lokales Netzwerksystem mit der Möglichkeit zur Unterstützung von mobilen Hosts und ein entsprechendes Betriebsverfahren
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
EP3210358B1 (de) Telekommunikationsanordnung und verfahren zum traversieren einer application-layer-gateway-firewall beim aufbau einer rtc-kommunikationsverbindung zwischen einem rtc-client und einem rtc-server
DE60320042T2 (de) Verfahren und system zur zentralen zuweisung von adressen und portnummern
EP2494759B1 (de) Verfahren und vorrichtung zum sicheren übertragen von daten
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
WO2017092879A1 (de) Verfahren zur industriellen kommunikation über tsn
DE60024237T2 (de) Verfahren und system zur netzwerkadressübersetzung mit sicherheitseigenschaften
DE10392494T5 (de) Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche
DE112004000040T5 (de) Verfahren und System für das Erzeugen von IP-Adressen von Zugangsterminals und das Senden von Nachrichten für die Erzeugung von IP-Adressen in einem IP-System
DE102017127903A1 (de) Anbindungsvorrichtung für einen Datenaustausch zwischen einem Feldbusnetzwerk und einer Cloud
DE102021125835A1 (de) Rechnernetzwerk mit einem ip-subnetz und einem nicht-ipsubnetz und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
DE102023203519A1 (de) Sitzungsbasierter direkter Fernarbeitsspeicherzugriff
WO2008152023A2 (de) Ressourcenzugriff unter vermittlung durch ein sicherheitsmodul
DE10164919B4 (de) Verfahren zum Vermitteln von Daten zwischen einem lokalen Netzwerk und einem externen Gerät und Router dafür
DE102013014682A1 (de) Einrichten einer Kommunikation
EP3520351B1 (de) Vorrichtung und verfahren zur durchgängigen und medienübergreifenden übertragung von kommunikationsprotokollen ohne protokollumsetzung
EP1266493A1 (de) Verfahren und anordnung zum übertragen eines datenpakets von einer ersten vermittlungseinheit an eine zweite vermittlungseinheit in einem datennetz
DE60318753T2 (de) Endgerätemobilität mit netzübergang zwischen ipv4 und ipv6
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
DE102021125836A1 (de) Computernetzwerk für sichere ip-zu-nicht-ip-kommunikation und backend-gerät, gateway, frontend-gerät dafür und verfahren zu dessen betrieb
EP1753207B1 (de) Autokonfiguration in einem ATM-Netz
DE102021109193B4 (de) Verfahren und systeme zur netzwerkadressen-übersetzung ( nat) unter verwendung eines meet-in-the-middle-proxys

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: INVENTRONICS GMBH, DE

Free format text: FORMER OWNER: OSRAM GMBH, 80807 MUENCHEN, DE

R082 Change of representative
R081 Change of applicant/patentee

Owner name: INVENTRONICS GMBH, DE

Free format text: FORMER OWNER: OPTOTRONIC GMBH, 85748 GARCHING, DE