-
Die Erfindung betrifft eine Busgerät sowie ein Verfahren zum Zugriffsschutz für Busgeräte einer Linie eines Installationsbusses, insbesondere des EIB (Europäischer Installations Bus). Informationen zum Europäischen Installations Bus enthält z. B. der Prospekt ”Europäischer Installations Bus: Technische Informationen”, European Installations Bus Association (EIBA), Brüssel, 259900/66006 Wü 7/99 2.5. Eine Anzahl Busgeräte in einem Bussystem nach den Spezifikationen der EIBA sind in einer sogenannten Linie zusammengefasst. Mehrere Linien mit jeweils einem Linienkoppler bilden gegebenenfalls einen sogenannten Bereich. An einer Linie des EIB angeschlossene Busgeräte weisen häufig keinerlei Zugriffsschutz auf. Die an die Linie des EIB angeschlossenen Geräte sind beispielsweise zum Teil innerhalb eines Gebäudes und zum anderen Teil außerhalb des Gebäudes installiert. Daraus ergibt sich das Problem, dass auf einfache Weise insbesondere von einem Punkt außerhalb des Gebäudes aus unbefugt in den Installationsbus eingegriffen werden könnte. Als besonders kritisch ist hierbei die Möglichkeit anzusehen, ein an der Linie des EIB angeschlossenes Busgerät über einen unbefugten Buszugriff zu parametrieren oder zu konfigurieren.
-
Aus der
DE 196 54 837 A1 ist ein Bussystem bekannt, bei dem für den Betrieb eines Busgeräts erforderliche Parameter mittels eines Handsteuergeräts eingegeben werden können. In dem Bussystem ist vorgesehen, dass ein Empfänger einer von einem Sender übertragenen Sendung eine Quittierungsmeldung an den Sender übermittelt. Die Quittierungsmeldung enthält – ebenso wie die Sendung – eine im Bussystem eindeutige Adresse des Empfängers und eine Prüfsumme. Der Sender kann anhand der Quittierungsmeldung erkennen, ob die Sendung angekommen ist bzw. ob die Quittierungsmeldung von dem in der Sendung adressierten Empfänger stammt. Weiterhin wird erwähnt, dass ein gegen eine unbefugte Benutzung geschützter Transfer von Daten möglich ist. Ein dazu geeignetes Verfahren wird nicht genannt.
-
Aus der
US 5961646 ist bekannt, Datenpaketen ein ungültiges Symbol hinzuzufügen, anhand dessen ein Empfänger erkennen kann, dass ein empfangenes Datenpaket ungültig, d. h. nicht für ihn bestimmt ist. Ein ungültiges Symbol wird – beispielsweise anstelle der zu übertragenden Daten – hinzugefügt, wenn eine im Datenpaket angegebene Empfangsadresse nicht in einer Datenbank möglicher Quelladressen enthalten ist, d. h. wenn der Empfänger nicht als möglicher Sender von Datenpaketen bekannt ist. Ein unbefugtes Konfigurieren eines an einer Linie eines Installationsbusses angeschlossenen Busgerätes lässt sich dadurch jedoch nicht verhindern.
-
Der Erfindung liegt die Aufgabe zugrunde, eine einfach applizierbare und gleichzeitig sehr wirksame Maßnahme gegen ein unbefugtes Konfigurieren eines an einer Linie eines Installationsbusses, insbesondere des EIB, angeschlossenen Busgerätes anzugeben.
-
Diese Aufgabe wird erfindungsgemäß gelöst durch ein als Zugriffsschutzbusgerät bezeichnetes Busgerät mit den Merkmalen des Anspruchs 1. Das Zugriffsschutzbusgerät ist an eine Linie eines Installationsbusses, insbesondere des EIB, anzuschließen und schützt damit alle weiteren an derselben Linie angeschlossenen Geräte vor einer Um- oder Neukonfigurierung oder -Parametrierung. Das Zugriffsschutzbusgerät sendet als Reaktion auf jedes Telegramm, mit dem ein Busgerät eine Punkt zu Punkt Kommunikation mit einem weiteren Busgerät aufzubauen versucht, ein Nichtbestätigungstelegramm aus. Auf diese Weise kann die Punkt zu Punkt Kommunikation nicht aufgebaut werden. Jegliche Konfiguration eines Busgerätes über die Linie ist, da zu diesem Zweck eine Punkt zu Punkt Kommunikation aufgebaut werden müsste, damit verhindert. Eine sonstige Kommunikation, insbesondere eine Multicast- sowie eine Broadcast-Kommunikation, ist jedoch weiterhin möglich. Besonders vorteilhaft ist die Tatsache, dass zur Herstellung eines Zugriffsschutzes mittels des Zugriffsschutzbusgerätes keinerlei Änderungen an den zu schützenden Geräten vorzunehmen sind sowie jedes zusätzlich an der Linie installierte Gerät automatisch und sofort zugriffsgeschützt ist. Des Weiteren ist durch das Zugriffsschutzbusgerät – mit Ausnahme der Parametrierungsfunktionen – die Datenübertragungs- und -verarbeitungskapazität des Installationsbusses nicht beeinträchtigt. Das Zugriffsschutzbusgerät ist sehr einfach an den Installationsbus anschließbar; es braucht nicht für den Einsatz in einer bestimmten Linie konfiguriert zu werden.
-
Nach einer bevorzugten Weiterbildung blockiert das Zugriffsschutzgerät nicht nur den Zugriff über eine Punkt zu Punkt Kommunikation auf die übrigen Busgeräte, sondern auch einen derartigen Zugriff auf das Zugriffsschutzbusgerät selbst. Damit ist eine Aufhebung des Zugriffsschutzes nur durch ein physikalisches Abkoppeln des Zugriffsschutzbusgerätes von der Linie möglich.
-
Zur Datenübermittlung über den Installationsbus können eine Anzahl Ebenen, sogenannte Layer, genutzt werden, von denen die physikalische Ebene die niedrigste Ebene und die Anwendungsebene die höchste Ebene darstellt. Ein besonders sicherer Zugriffsschutz wird bevorzugt dadurch erreicht, dass das Nichtbestätigungstelegramm auf der der physikalischen Ebene unmittelbar übergeordneten Ebene (Layer 2), der sogenannten Verbindungsebene, vom Zugriffsschutzbusgerät ausgesandt wird.
-
Die der Erfindung zugrundeliegende Aufgabe wird weiterhin gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 4. Dieses Verfahren entspricht der Funktionalität des Zugriffsschutzbusgerätes, kann jedoch in vorteilhafterweise Weise in einen Linienkoppler integriert sein. Die mit dem gesonderten Zugriffsschutzbusgerät erzielbaren Vorteile sind in analoger Weise auch durch den Linienkoppler erreichbar. Zur Übertragung des Nichtbestätigungstelegramms wird ebenfalls bevorzugt die zweite Ebene einer Anzahl hierarchisch geordneter Ebenen zur Datenübertragung, das heißt die der physikalischen Ebene unmittelbar übergeordnete Ebene, die sogenannte Verbindungsebene, genutzt. Der Linienkoppler blockiert sämtliche Punkt zu Punkt Verbindungen in einer an diesen angeschlossenen zu schützenden Linie. Darüber hinaus blockiert der Linienkoppler vorzugsweise auch jegliche Punkt zu Punkt Verbindung aus der angeschlossenen zu schützenden Linie heraus zum Linienkoppler selbst, lässt jedoch den Aufbau einer Punkt zu Punkt Verbindung aus einer ebenfalls am Linienkoppler angeschlossenen, gegenüberliegenden Linie heraus zu. Es besteht damit eine komfortable Konfigurierungsmöglichkeit des Linienkopplers über den Installationsbus, nicht jedoch über die zu schützende Linie.
-
Nachfolgend wird ein Ausführungsbeispiel der Erfindung anhand einer Zeichnung näher erläutert. Hierin zeigen:
-
1 ausschnittsweise eine Linie eines Installationsbusses mit einem Zugriffsschutzbusgerät,
-
2 ausschnittsweise eine Linie eines Installationsbusses mit einem Linienkoppler mit Zugriffsschutzfunktion, und
-
3 schematisch zwei Busgeräte sowie ein Zugriffsschutzbusgerät mit jeweils mehreren Verarbeitungsebenen.
-
Einander entsprechende Teile, Parameter usw. sind in allen Figuren mit den gleichen Bezugszeichen versehen.
-
Die 1 zeigt ausschnittsweise eine Linie 1 eines Installationsbusses 7, der die Spezifikationen der EIBA (European Installation Bus Association) erfüllt. An die Linie 1 ist als eines von mehreren Busgeräten das Busgerät 2 mit der Adresse 1.1.1 innerhalb eines Gebäudes angeschlossen. Weiterhin wird angenommen, dass die Linie 1 teilweise auch außerhalb des Gebäudes installiert ist. Somit kann auf einfache Weise ein sogenannter Eindringling 3 durch Unbefugte an die Linie 1 angeschlossen werden. Es besteht die Möglichkeit, über den Eindringling 3 Signale an das Busgerät 2 sowie andere Geräte des Installationsbusses 7 zu senden. Besonders sicherheitskritisch ist hierbei die Möglichkeit, über die Linie 1 das Busgerät 2 neu zu parametrieren oder konfigurieren. Eine Parametrierung ist ausschließlich über eine Punkt zu Punkt Verbindung, d. h. eine Verbindung mit einem einzelnen definierten Empfänger, möglich. Von der Punkt zu Punkt Verbindung oder -kommunikation ist als sonstige Kommunikation beispielsweise eine sogenannte Multicastkommunikation sowie eine sogenannte Broadcastkommunikation zu unterscheiden. Im Fall der Multicastkommunikation spezifiziert der Absender eines Telegramms eine Funktion, wobei mehrere Empfänger möglich sind. Im Fall der Broadcastkommunikation spezifiziert der Absender keine speziellen Empfängers alle Busteilnehmer sind Empfänger und entscheiden selbständig über die Akzeptanz des ausgesandten Telegramms. Ein Beispiel einer sonstigen Kommunikation, nämlich einer Multicastkommunikation, ist das Schalten von Beleuchtungseinrichtungen.
-
Zusammenfassend ist festzustellen, dass über eine Multicastkommunikation oder über eine Broadcastkommunikation kaum ein Schaden am Installationsbus 7 bzw. an angeschlossenen Busgeräten oder Geräten 2 anrichtbar ist, während dies im Fall einer Punkt zu Punkt Kommunikation sehr viel wahrscheinlicher ist. Ein effektiver Zugriffsschutz für die Linie 1 ist daher erreichbar, indem eine Punkt zu Punkt Kommunikation unterdrückt wird.
-
Im Fall einer Punkt zu Punkt Kommunikation, in dem beispielsweise das Busgerät 2 als Empfänger eines Telegramms Tel adressiert ist, muss dieses Busgerät 2, um den Aufbau der Verbindung zu ermöglichen, eine Bestätigungsmeldung oder ein Bestätigungstelegramm ACK (englisch: acknowledge) oder eine unmittelbare Betätigungsmeldung oder unmittelbares Bestätigungstelegramm IACK (englisch: immediate acknowledge) an den Sender des Telegramms Tel zurücksenden. Im vorliegenden Ausführungsbeispiel wird eine unmittelbare Bestätigungsmeldung IACK auf Layer 2 der Kommunikationstechnik (3) ausgesandt. Im Folgenden wird der Fall einer Sendung des Telegramms Tel durch den Eindringling 3 betrachtet. Der Empfang des Telegramms Tel durch das Busgerät 2 ist nicht zu verhindern. Um einen Zugriffsschutz herzustellen, wird die Tatsache ausgenutzt, dass das Telegramm Tel an jeder Stelle der Linie 1 empfangbar ist. An einer beliebigen Stelle der Linie 1, vorzugsweise innerhalb des Gebäudes, ist ein Zugriffsschutzbusgerät 4 angeschlossen. Das Zugriffsschutzbusgerät 4 ist mit Parametrierungsdaten Par parametrierbar. Sobald das Zugriffsschutzbusgerät 4 ein Telegramm Tel empfängt, wird dieses daraufhin ausgewertet, ob dieses einer Punkt zu Punkt Kommunikation zuzurechnen ist. Ausschließlich in diesem Fall sendet das Zugriffsschutzbusgerät 4 eine Nichtbestätigungsmeldung oder Nichtbestätigungstelegramm NACK (not acknowledge) oder eine unmittelbare Nichtbestätigungsmeldung oder unmittelbares Nichtbestätigungstelegramm INACK (immediate not acknowledge), hier eine unmittelbare Nichtbestätigungsmeldung INACK auf Layer 2 der Kommunikationstechnik (3), aus. Die unmittelbare Nichtbestätigungsmeldung INACK überlagert sich auf der Linie 1 mit der durch das Busgerät 2 ausgesandten unmittelbaren Bestätigungsmeldung IACK. Eine unmittelbare Nichtbestätigungsmeldung INACK setzt sich in dem Installationsbus 7 stets gegenüber einer zeitgleichen unmittelbaren Bestätigungsmeldung IACK durch. Der Eindringling 3 erhält damit die Nachricht eines nicht gelungenen Verbindungsaufbaus. Falls das Telegramm Tel wiederholt vom Eindringling 3 abgesandt wird, ergibt sich in jedem Fall das gleiche Ergebnis. Eine Konfigurierung oder Parametrierung des Busgerätes 2 setzt aber immer eine gültige bestehende Verbindung voraus. Eine Konfigurierung oder Parametrierung durch den Eindringling 3 ist somit ausgeschlossen. Das Zugriffsschutzbusgerät 4 nutzt damit die Eigenschaften einer unmittelbaren Nichtbestätigungsmeldung INACK, welches üblicherweise ausschließlich den Zweck hat, eine gestörte Datenübertragung an den Absender zu melden, zum gezielten Zugriffsschutz.
-
Das Zugriffsschutzbusgerät 4 kann entweder so konfiguriert sein, dass es eine Punkt zu Punkt Kommunikation zu sich selbst zulässt oder so konfiguriert sein, dass auch eine solche Punkt zu Punkt Kommunikation ausgeschlossen ist. Im erstgenannten Fall ist eine komfortable Aufhebung der durch das Zugriffsschutzbusgerät 4 bereitgestellten Sicherheitsfunktion über die Linie 1 möglich. Jedoch ist das Zugriffsschutzbusgerät 4 selbst durch zusätzliche Maßnahmen vor einem unbefugten Zugriff zu schützen. Im letztgenannten Fall kann der durch das Zugriffsschutzbusgerät 4 bereitgestellte Schutz ausschließlich durch Entfernen des Zugriffsschutzbusgerätes 4 von der Linie 1 aufgehoben werden und ist damit, sofern das Zugriffsschutzbusgerät 4 für Unbefugte unzugänglich angeordnet ist, besonders effektiv.
-
In der in 2 dargestellten Konstellation ist die Funktionalität des Zugriffsschutzbusgerätes 4 in einen Linienkoppler 5 mit der Adresse 1.1.0 integriert. Die Funktionsweise unterscheidet sich nicht grundsätzlich von der in 1 dargestellten Konstellation. An den Linienkoppler 5 ist einerseits die Linie 1 angeschlossen, an der das Busgerät 2 angeschlossen ist und andererseits eine gegenüberliegende Linie 6 angeschlossen. Die Funktionalität des Linienkopplers 5 wird durch Parametrierungsdaten Par bestimmt. Ist der Linienkoppler 5 derart konfiguriert, dass dieser Parametrierungsdaten Par ausschließlich über die gegenüberliegende Linie 6 akzeptiert, so ist ein Zugriff über eine Punkt zu Punkt Kommunikation auf den Linienkoppler 5 vom Busgerät 2 sowie ggf. von einem an derselben Linie 1 angeschlossenen Eindringling 3 aus generell ausgeschlossen. Die Aufhebung des Zugriffsschutzes ist damit ausschließlich von der gegenüberliegenden Linie 6 aus möglich. Bei bestehendem Zugriffsschutz wird jede Punkt zu Punkt Kommunikation innerhalb der Linie 1 durch die Aussendung einer unmittelbaren Nichtbestätigungsmeldung INACK durch den Linienkoppler 5 unterbunden.
-
In der 3 sind schematisch zwei an einer Linie 1 eines Installationsbusses angeschlossene Busgeräte 2a, 2b sowie ein an derselben Linie 1 angeschlossenes Zugriffsschutzbusgerät 4 dargestellt. Die Verarbeitung von über die Linie 1 übertragenen Daten erfolgt auf verschiedenen hierarchisch geordneten Ebenen, sogenannten Layern, E1 bis E5. Hierbei sind
- – E1 physikalische Ebene (physical layer)
- – E2 Verbindungsebene (link layer)
- – E3 Netzwerkebene (network layer)
- – E4 Transportebene (transport layer)
- – E5 Anwendungsebene (application layer)
-
Die Konfiguration oder Parametrierung eines Busgerätes erfolgt über einen Dienst auf der Ebene E5 (Anwendungsebene) zwischen Parametriergerät und zu parametrierendem Gerät. Dazu wird zwischen den Teilnehmern eine Verbindung auf Ebene E4 Transportebene aufgebaut und während der Parametrierung aufrechterhalten. Nach erfolgreicher Parametrierung, aber auch nach Auftreten kritischer Fehler wird diese Verbindung auf der Ebene E4 wieder geschlossen. Der Konfigurationsdienst auf der Ebene E5 kann bei geschlossener Verbindung auf der Ebene E4 nicht bedient werden. Zum Aufbau einer Verbindung auf Ebene E4 ist ein erfolgreicher Versand und Empfang spezieller Services der Ebene E4 nötig. Diese Services sind zusätzlich über die Ebene E2 Verbindungsebene gegenüber Übertragungsfehlern auf dem Busmedium geschützt. Die Ebene E2 entscheidet darüber hinaus bei allen empfangenen und gesendeten Telegrammen Tel (Services) über die Gültigkeit der übertragenen Daten. Werden Telegramme nicht mit einer unmittelbaren Bestätigungsmeldung TACK bestätigt, so gilt dies für die Ebene E2 des versendenden Gerätes als Fehler. Der Status des Services (Fehler oder kein Fehler) wird von der Ebene E2 in die beteiligten Ebenen gemeldet. Die Ebene E4 erkennt auf diese Weise einen fehlerhaften Verbindungsaufbau bzw. eine fehlerhafte Verbindung und blockiert somit alle Parametrierungen oder Konfiguration der Ebene E5.
-
Der Schutzmechanismus des Zugriffsschutzbusgerätes 4 ist in folgender Weise auf der Verbindungsebene E2 realisiert: Anstelle des Busgerätes 2a ist in dem in der 3 dargestellten Fall beispielsweise der Eindringling 3 (1) denkbar. Wird von diesem Gerät auf Ebene E5 eine Konfiguration des Geräts 2b beabsichtigt, wird der darauf folgende Verbindungsaufbau auf der Ebene E4 bei beiden Teilnehmern 2a, 2b in der Weise gestört, dass durch die unmittelbaren Nichtbestätigungsmeldungen (INACK) der Ebene E2 des Zugriffsschutzgerätes 4 beide Teilnehmer 2a, 2b eine Verbindung nicht akzeptieren. Die Parametrierversuche des Eindringlings 2a werden somit ebenfalls nicht akzeptiert. Das Zugriffsschutzbusgerät 4 schützt automatisch jedes an die Linie 1 angeschlossene Busgerät vor einer Neuparametrierung oder Konfigurierung. Bei einem Anschluss eines zusätzlichen Busgerätes an der Linie 1 ist ohne Änderung am Zugriffsschutzbusgerät 4 der Zugriffsschutz sofort wirksam.