-
Die
vorliegende Erfindung betrifft ein Netzwerksicherheitssystem zum Überwachen
von sicherheitsrelevanten Aktivitäten auf einer mobilen Netzwerkplattform,
mit:
einem mobilen Netzwerk, das auf der mobilen Netzwerkplattform
sitzt, wobei das mobile Netzwerk eine Vielzahl von Zugangspunkten
für Nutzer
beinhaltet, und wobei jeder Nutzerzugangspunkt durch eine Netzwerksadresse
definiert wird,
einem System zum Detektieren von Einbrüchen, das mit
dem mobilen Netzwerk verbunden ist und auf der mobilen Netzwerkplattform
sitzt, wobei das System zum Detektieren von Einbrüchen dazu
verwendet werden kann, ein sicherheitsrelevantes Einbruchsereignis
zu detektieren, das mit einem ersten Nutzerzugangspunkt aus der
Vielzahl der Nutzerzugangspunkte verbunden ist,
einem mobilen
Sicherheitsmanager, der auf der mobilen Netzwerkplattform sitzt,
wobei der mobile Sicherheitsmanager dazu ausgebildet ist, das sicherheitsrelevante
Einbruchsereignis von dem System zum Detektieren von Einbrüchen zu
empfangen, und wobei der mobile Sicherheitsmanager so betrieben werden
kann, dass er in Reaktion auf das sicherheitsrelevante Einbruchsereignis
einen Sicherheitsreaktionsbefehl ausgibt, und
einem Sicherheitsreaktionsaktor,
der auf der mobilen Netzwerkplattform sitzt, wobei der Sicherheitsreaktionsaktor
dazu ausgebildet ist, den Sicherheitsreaktionsbefehl von dem Sicherheitsmanager
zu empfangen, und wobei der Sicherheitsreaktionsaktor so betrieben
werden kann, dass er in Reaktion auf den Sicherheitsreaktionsbefehl
Sicherheitsreaktionsmaßnahmen
ausführt,
wobei
der Sicherheitsreaktionsbefehl an den ersten Nutzerzugangspunkt
gerichtet ist.
-
Die
Erfindung betrifft des Weiteren ein Verfahren zum Überwachen
von sicherheitsrelevanten Aktivitäten, die mit einem Netzwerk
verbunden sind, das auf einer mobilen Netzwerkplattform sitzt, mit den
Schritten:
Bereitstellen einer Vielzahl von Nutzerzugangspunkten
zu dem Netzwerk, wobei jeder der Nutzerzugangspunkte durch eine
Netzwerkadresse definiert ist,
Detektieren eines sicherheitsrelevanten
Einbruchsereignisses, dessen Herkunft mit einem aus der Vielzahl
der Nutzerzugangspunkte verbunden ist, und
Durchführen einer
Sicherheitsreaktionsaktivität
in Reaktion auf das detektierte Sicherheitseinbruchsereignis mit
Hilfe eines Sicherheitsreaktionsaktors, der auf der mobilen Netzwerkplattform
sitzt,
wobei der Sicherheitsreaktionsbefehl an den ersten Nutzerzugangspunkt
gerichtet ist.
-
So
ein System und so ein Verfahren sind aus WO 99/57625 bekannt.
-
Die
vorliegende Erfindung betrifft ganz allgemein eine Netzwerksicherheitsarchitektur
zum Überwachen
von sicherheitsrelevanten Aktivitäten auf einer mobilen Netzwerkplattform,
und sie bezieht sich etwas genauer auf eine Sicherheitsarchitektur
für eine
mobile Plattform, die dazu dient, Sicherheitsreaktionsaktivitäten an einem
bestimmten Nutzerzugangspunkt mit einer erzwungenen Netzwerkadresse
zu richten.
-
Breitbandige
Daten- und Videodienstleistungen, von denen unsere Gesellschaft
und unsere Wirtschaft zunehmend abhängen, sind bislang im Allgemeinen
nicht ohne weiteres für
Anwender zugänglich,
die sich an Bord von mobilen Netzwerkplattformen, wie etwa Flugzeugen,
Schiffen, Zügen,
Automobilen, etc. befinden. Obwohl die Technologie vorhanden ist,
um solche Dienstleistungen für
die meisten Arten von mobilen Netzwerkplattformen zur Verfügung zu
stellen, sind bisherige Lösungen
im Allgemeinen sehr teuer und sie besitzen nur geringe Datenraten
und/oder sind nur für
sehr begrenzte Marktsegmente verfügbar.
-
Die
eingangs genannte WO 99/57625 offenbart ein Verfahren und ein System,
die ein sicherheitsbezogenes Computersystem beinhalten, das in der
Lage ist, Softwareagenten auf einem oder mehreren Knoten eines Computernetzwerkes
zu verteilen und zu überwachen.
Wenn ein Einbruch detektiert wird, kann das sicherheitsbezogene
Computersystem automatisch Gegenmaßnahmen einleiten, die sowohl
defensive Gegenmaßnahmen
als auch offensive Gegenmaßnahmen
beinhalten. Das Computersystem beinhaltet außerdem einen Monitor, der von einem
menschlichen Administrator des Systems überwacht wird. Ein bestimmtes
Ausführungsbeispiel bezieht
sich auf ein Netzwerk mit Netzwerkkomponenten, die auf einer Vielzahl
von Fahrzeugen verteilt sind. Die Netzwerkkomponenten auf der Vielzahl
der Fahrzeuge stehen miteinander in Kommunikation. Dieses bekannte
Sicherheitssystem ist allerdings weder darauf ausgelegt noch dazu
vorgesehen, Daten- und Videodienstleistungen für Dutzende oder sogar Hunderte
von Passagieren auf einer mobilen Plattform in sicherer Art und
Weise bereitzustellen.
-
Eine
Veröffentlichung
der Firma Security Assurance Company mit dem Titel „An Introduction
to Intrusion Detection Assessment for System and Network Security
Management" [Eine
Einführung
in die Einschätzung
von Einbruchserkennungen für
System- und Netzwerksicherheitsmanagement]
gibt einen allgemeinen Überblick über Sicherheitsthemen bei
Computernetzwerken. Es werden insbesondere Einbruchsdetektionssysteme
und entsprechende Funktionen diskutiert. Des Weiteren werden Reaktionen
auf Missbrauch oder Angriffe diskutiert. Eine typische Reaktion
besteht darin, Maßnahmen
zu ergreifen, die die Umgebung des angegriffenen Systems verändern. Eine
solche Gegenmaßnahme
gegen die vermeintliche Quelle eines Angriffs kann jedoch tatsächlich einen
unschuldigen Teilnehmer treffen, dessen IP-Adresse für den Angriff
gefälscht
wurde.
-
Angesichts
dessen ist es eine Aufgabe der vorliegenden Erfindung, ein System
und ein Verfahren zur Verfügung
zu stellen, die es einer Vielzahl von Passagieren einer mobilen
Plattform ermöglichen, sich
mit einem Netzwerk auf der mobilen Plattform zu verbinden, wobei
das Risiko von Sicherheitsereignissen reduziert ist.
-
Gemäß einem
Aspekt der Erfindung wird diese Aufgabe durch ein System und ein
Verfahren der eingangs genannten Art gelöst, wobei der Sicherheitsreaktionsaktor
dazu verwendet werden kann, die Netzwerkadresse für jeden
aus der Vielzahl der Nutzerzugangspunkte zu erzwingen, wobei die
Netzwerkadresse einem gegebenen Nutzerzugangspunkt dynamisch zugewiesen
wird, wenn sich eine Rechnereinheit mit dem gegebenen Nutzerzugangspunkt in
Datenkommunikation befindet.
-
Die
verschiedenen Vorteile der vorliegenden Erfindung werden für die einschlägigen Fachleute
auf diesem Gebiet erkennbar, wenn man die nachfolgende Beschreibung
und die beigefügten
Ansprüche liest
und außerdem
die nachfolgenden Zeichnungen hinzuzieht, in denen:
-
1 ein
Blockschaltbild ist, das eine Netzwerksicherheitsarchitektur für eine mobile
Netzwerkplattform nach der vorliegenden Erfindung zeigt,
-
2A und 2B Zustandsmaschinendiagramme
sind, die eine Sicherheitstaktik für einen vorgegebenen Nutzerzugangspunkt
auf der mobilen Netzwerkplattform gemäß der vorliegenden Erfindung
darstellt,
-
3 ein
Diagramm einer beispielhaften Datenstruktur zur Umsetzung der Sicherheitstaktik
der vorliegenden Erfindung ist,
-
4 ein
Diagramm ist, das die hauptsächlichen
Softwarekomponenten der gesamten Netzwerksicherheitsarchitektur
der vorliegenden Erfindung zeigt, und
-
5 ein
Diagramm ist, das die funktionalen Softwaremodule zeigt, die dazu
verwendet werden, eine Sicherheitsreaktion nach der vorliegenden
Erfindung zu einem bestimmten Nutzerzugangspunkt auf der mobilen
Netzwerkplattform zu richten.
-
1 zeigt
eine Netzwerksicherheitsarchitektur 10 zum Überwachen
von sicherheitsrelevanten Aktivitäten bei einer unbeaufsichtigten
mobilen Netzwerkplattform 12. Der wesentliche Zweck der
Netzwerksicherheitsarchitektur 10 besteht darin, sicherheitsrelevante
Ereignisse, die mit der mobilen Netzwerkplattform 12 in
Beziehung stehen, zu überwachen,
aufzuzeichnen, zu melden und darauf zu reagieren. In einem bevorzugten
Ausführungsbeispiel basiert
eine mobile Netzwerkplattform, die sich in einem Flugzeug befindet,
auf der Netzwerksicherheitsarchitektur 10. Die mobile Netzwerkplattform 12 ist
ihrerseits über
eine oder mehrere drahtlose Kommunikationsverbindungen 14 mit
einem terrestrischen Kommunikationssystem 16 verbunden,
das ein terrestrisches Netzwerksicherheitsmanagementsystem 18 beinhaltet.
Auch wenn die nachfolgende Beschreibung in Bezug auf eine Anwendung
in einem Flugzeug erfolgt, versteht es sich von selbst, dass die Netzwerksicherheitsarchitektur
in ihrer breiten Anwendung auch auf mobile Netzwerkplattformen anwendbar
ist, die in Reisebussen, Kreuzfahrtschiffen u.a. implementiert sind.
-
Es
ist vorgesehen, dass die mobile Netzwerkplattform 12 den
Passagieren im Flugzeug ein Paket von breitbandigen bidirektionalen
Daten- und Videokommunikationsdienstleistungen zur Verfügung stellt.
Die Infrastruktur ermöglicht
es, Informationen zu und von dem Flugzeug zu übertragen, und zwar bei hinreichend
hohen Datenraten, um eine Vielzahl von Dienstleis tungen zu unterstützen. Um dies
zu erreichen, besteht die mobile Netzwerkplattform 12 im
Wesentlichen aus vier Subsystemen: einem Antennensubsystem 22,
einem Empfangs- und Sendesubsystem (RTS, Receive and Transmit Subsystem) 24,
einem Steuersubsystem 26 und einem Verteilersubsystem 28 für den Passagierbereich.
Jedes dieser vier Subsysteme wird nachfolgend weiter beschrieben.
-
Das
Antennensubsystem 22 stellt eine bidirektionale, breitbandige
Datenübertragungsmöglichkeit
und die Fähigkeit
zum direkten Empfang von ausgestrahlten Fernsehsignalen in dem Flugzeug
zur Verfügung.
Auch wenn die Erfindung darauf nicht beschränkt ist, ist das Antennensubsystem 22 im
Allgemeinen so konstruiert, dass es diese Verbindungsmöglichkeiten
unter normalen Reisebedingungen des Flugzeugs (begrenzte Roll- und
Neigungswinkel) zur Verfügung
stellt. Die Verbindung mit dem Flugzeug wird in der Regel über einen
Satelliten im K-Band eines festen Satellitendiensteanbieters (FSS,
Fixed Satellite Service) realisiert, über Satelliten eines Rundfunksatellitendiensteanbieters
(BSS, Broadcast Satellite Service) und/oder über einen Satelliten für einen
direkten rundfunkartigen Fernsehservice (DBS, Direct Broadcast Television
Service).
-
Zur
Vereinfachung der Darstellung bezieht sich die weitere Beschreibung
auf eine Vorgehensweise, die mit Rundfunksignalen eines Satelliten
im Ku-Band verbunden ist. Das Antennensubsystem 22 kann
Rundfunksignale des Satelliten im Ku-Band empfangen und/oder absenden.
Das Antennensystem 22 mischt ein hereinkommendes Signal
vom Ku-Band herunter, verstärkt
es und gibt ein Signal im L-Band an das Empfangs- und Sendesubsystem RTS 24 aus.
Das Antennensystem kann außerdem eine
breitbandige Down link-Übertragung
zur Verfügung
stellen. In diesem Fall empfängt
das Antennensystem 22 ein Datensignal im L-Band von einem
Modem an Bord des Flugzeuges, mischt dieses Signal hoch, verstärkt es und
sendet es anschließend
als ein Signal im Ku-Band zu ausgewählten Satellitentranspondern.
-
Das
Empfangs- und Sendesubsystem (RTS) 24 arbeitet sowohl im
Empfangsmodus als auch im Sendemodus. Im Empfangsmodus kann das
RTS 24 rundfunkmäßige Videosignale,
rundfunkmäßige Audiosignale
und/oder IP-Daten empfangen, die in einem Träger im L-Band eingebettet sind. Das RTS 24 demoduliert,
entspreizt und dekodiert die empfangenen Signale und leitet sie
an das Verteilersubsystem 28 für den Passagierraum weiter.
Im Sendemodus sendet das RTS 24 IP-Daten, die auf ein Signal
im L-Band moduliert wurden. Das RTS 24 kodiert, spreizt
und moduliert das Signal mit den IP-Daten, die es von dem Verteilersubsystem 28 für den Passagierraum
erhält.
-
Das
Steuersubsystem 26 steuert den Betrieb der mobilen Sicherheitsplattform 12 und
jedes ihrer vier Subsysteme. Insbesondere ist das Steuersubsystem 26 dafür verantwortlich,
sicherheitsrelevante Einbruchsaktivitäten zu detektieren und in Übereinstimmung
mit einer Sicherheitstaktik, wie sie weiter unten noch ausführlicher
beschrieben wird, auf detektierte sicherheitsrelevante Einbrüche zu reagieren.
Dementsprechend beinhaltet das Steuersubsystem 26 ein Einbruchsdetektionssystem 32 und
einen Sicherheitsmanager 34 an Bord des Flugzeuges.
-
Das
Verteilersubsystem für
den Passagierraum (CDS, Cabin Distribution Subsystem) 28 stellt den
Passagieren des Flugzeuges über
einen Netzwerkzugang eine Vielzahl von Nutzerzugangs punkten zur
Verfügung.
In einem bevorzugten Ausführungsbeispiel
kann das Verteilersystem für
den Passagierraum entweder aus einer Reihe von Ethernet-Switches
gemäß 802.3
oder einer Reihe von drahtlosen Zugangspunkten gemäß 802.11X
bestehen. Es sei darauf hingewiesen, dass der derzeitige Standard
802.11B nur eine gemeinsame Vertraulichkeit zwischen allen Nutzern
eines drahtlosen Zugangspunktes ermöglicht und dementsprechend nicht
geeignet ist, um das gewünschte
Maß an
privater Kommunikation in dem Passagierbereich zu ermöglichen.
Dagegen werden drahtlose Standards der nächsten Generation, wie zum
Beispiel 802.11X (wobei „X" eine Revision von
802.11 jenseits von „B" bezeichnet) eine „kanalisierte" Verschlüsselung
bzw. eine Verschlüsselung
auf der Ebene der einzelnen Nutzer unterstützen. Es ist vorgesehen, dass
solche drahtlosen Standards innerhalb des Schutzbereichs der vorliegenden
Erfindung liegen.
-
Jeder
Nutzerzugangspunkt besitzt vorzugsweise die Eigenschaften eines
verwalteten Switches der Ebene 3. Erstens muss jeder Nutzerzugangspunkt
eine Verknüpfung
einer IP-Adresse und einer MAC-Adresse mit einem bestimmten Anschluss
erzwingen. Dieses Erfordernis gilt sowohl für drahtgebundene wie auch für drahtlose
Einrichtungen im Passagierbereich. Ein zweites Erfordernis für jeden Nutzerzugangspunkt
besteht darin, dass er einen Befehl zum Verschließen bzw.
Verriegeln seines Zugangsanschlusses akzeptiert. Für den Fall
eines drahtlosen Zugangsgerätes
steht ein Kommunikationskanal auf einer bestimmten Frequenz, einem
bestimmten Zeitschlitz oder entsprechender Untereinheiten für den physischen
Zugangsanschluss. Ein drittes Erfordernis für jeden Nutzerzugangspunkt
besteht darin, das Anzapfen bzw. Mithören von Passagieren bzw. das
Empfangen von Ethernet-Paketen, die nicht direkt an sie adressiert
sind, zu verhindern. Bei einem artgebundenen Verteilersystem für den Passagierbereich
kann man dies realisieren, indem man eine geschaltete Ethernet-Architektur
(switched Ethernet architecture) verwendet. Bei einem drahtlosen
Verteilersystem für
den Passagierbereich kann man dieses erreichen, indem man für jeden
einzelnen Nutzer eine spezielle „Kanalverschlüsselung" („channel
level encryption")
verwendet.
-
Die
Auslegung einer Sicherheitstaktik ist das grundlegendste Element
der Netzwerksicherheitsarchitektur 10. Es ist vorgesehen,
dass die Sicherheitstaktik unter Berücksichtigung der folgenden
Rahmenbedingungen gestaltet wird. Erstens sollte die Sicherheitstaktik
unterschiedliche sicherheitsrelevante Einbruchsereignisse mit unterschiedlichen
Reaktionen beantworten. Es sollte berücksichtigt werden, dass der
Grad bzw. die Stärke
der Reaktion von der Gefahr der detektierten Aktivität abhängt. Zweitens muss
die automatisierte Reaktionstaktik jederzeit durchgesetzt werden
können
(abgesehen von bewussten übergeordneten
Eingriffen), und zwar unabhängig
davon, ob eine Kommunikation vom Flugzeug zu Bodenstationen verfügbar ist
oder nicht. Wenn die automatischen Reaktionen während bestimmter Zeitdauern
der Verwendung außer
Kraft gesetzt sind, kann es sein, dass die Verbindung abbricht,
bevor ein Sicherheitsadministrator die Chance hatte, eine Maßnahme zu
ergreifen, wobei das System in diesem Fall zu der automatisierten
Taktik zurückkehrt, die
vor der Übersteuerung
in Kraft war. Der Administrator kann die Reaktion zurücknehmen,
wenn dies gewünscht
ist. Drittens muss der Taktikmechanismus zwischen automatischen
Reaktionen des Sicherheitsmanagers an Bord des Flugzeuges und manuellen
Befehlen vermitteln, die von vom Boden gestützten Sicherheitsadministratoren
empfangen werden. Wenn das automati sierte System fälschlicherweise einen
Netzwerkzugang eines Passagiers blockiert und der Administrator
am Boden diese Maßnahme übersteuert,
muss der sicherheitsrelevante Taktikmechanismus über diese Maßnahme Bescheid
wissen und er darf nicht versuchen, diese Blockierung zu erzwingen.
-
Zustandsmaschinen
sind eine sehr flexible und gleichzeitig intuitiv erfassbare Möglichkeit,
um komplexe Verhaltensweisen zu modellieren. Daher wurden hier Zustandsmaschinen
ausgewählt,
um die Sicherheitstaktiken der vorliegenden Erfindung darzustellen.
Die 2A und 2B zeigen
die grundlegenden Zustandsmaschinen, die die Sicherheitstaktik modellieren,
die mit einem Nutzerzugangspunkt auf der mobilen Netzwerkplattform
verbunden ist.
-
In 2A kann
sich jeder Nutzerzugangspunkt in einem von drei definierten Zuständen befinden.
Als voreingestelltem Zustand (default) beginnen alle Nutzerzugangspunkte
in einem normalen Zustand 42. Ein beliebiges sicherheitsrelevantes
Einbruchsereignis führt
für den
betroffen Nutzerzugangspunkt zu dem Übergang entweder in einen verdächtigen
Zustand 44 oder einen abgekoppelten Zustand 46.
Jeder Übergang
erfolgt in der Form „Ereignis/Reaktion", wobei Ereignisse
die von außen
kommenden Trigger- bzw. Auslösesignale
sind, die den Übergang
des Zustandes hervorrufen, und wobei Reaktionen die nach außen gerichteten
Maßnahmen sind,
die das System auslöst,
wenn es den Übergang vollzieht.
Zum Beispiel wird ein Ereignis 48 mit niedriger oder mittlerer
Priorität
in einem normalen Zustand dazu führen,
dass das System das Ereignis aufzeichnet bzw. protokolliert und/oder
versucht, dem Passagier, der an diesem Nutzerzugangspunkt angeschlossen
ist, eine Warnung zukommen zu lassen.
-
Der
Nutzerzugangspunkt geht dann in den verdächtigen Status über, wie
dies in 2A gezeigt ist.
-
Modelle
mit Zustandsmaschinen lassen sich dahingehend erweitern, dass man
manuelle Eingriffe einführt.
Spezielle manuelle Steuerbefehle ermöglichen es einem bodengestützten Sicherheitsadministrator,
einen Nutzerzugangspunkt vom Boden aus ausdrücklich zu deaktivieren oder
zu aktivieren. Indem man einen Zustand hinzufügt, der angibt, dass ein Nutzerzugangspunkt
unter manueller Steuerung steht, lässt sich erreichen, dass die
automatischen Reaktionen die manuellen Steuerbefehle, die von dem
Sicherheitsadministrator empfangen wurden, nicht überschreibt.
Es ist daher angedacht, dass jede Zustandsmaschine einen Zustand 50 zur
Verfügung stellt,
der eine Deaktivierung der automatischen Reaktion anzeigt, wie dies
in 2B dargestellt ist. Übergänge zu und von dem Zustand
mit deaktivierter automatischer Reaktion werden von einem am Boden
befindlichen Sicherheitsadministrator bewirkt. Während des Zustandes mit deaktivierter
automatischer Reaktion kann der Administrator jede beliebige Sicherheitsreaktion
aus einer Vielzahl von verschiedenen vordefinierten Sicherheitsreaktionen
initiieren. Falls die Verbindung zwischen dem Administrator und
dem Flugzeug verloren geht, kehrt das Modell der Zustandsmaschine
in den normalen Zustand oder den vorhergehenden Zustand zurück, und
zwar abhängig
von den Konfigurationseinstellungen.
-
Modelle
mit Zustandsmaschinen werden außerdem
eingesetzt, um jeden Server und jede andere Computereinheit zu repräsentieren,
die auf der mobilen Sicherheitsplattform aufsitzt. Auf diese Weise kann
ein Server, der angegriffen wird, anders reagieren als ein Nutzerzugangspunkt.
Es ist außerdem
angedacht, dass jede der Zustandsmaschinen mit dem anderen über eine
künstliche
Erzeugung eines Ereignisses verbunden werden kann, so dass ein Nutzerzugangspunkt
eine andere Sicherheitstaktik anwenden kann, die gegenüber verdächtigem
Verhalten weniger tolerant ist, wenn ein Server angegriffen ist.
-
Jede
Zustandsmaschine kann mit einer Datenstruktur 51 dargestellt
werden, wie sie in 3 gezeigt ist. Die Datenstruktur
beinhaltet einen aktuellen Status 52, ein mögliches
sicherheitsrelevantes Ereignis 54, einen resultierenden
Zustand 56 und eine mögliche
Reaktion 58. Auf diese Weise kann jeder Zustand mit jedem
möglichen
Ereignis verknüpft werden,
um einen resultierenden Zustand und eine Liste mit möglichen
Maßnahmen
zu erzeugen. Mögliche
Ereignisse können
ein sicherheitsrelevantes Einbruchsereignis mit einer hohen Priorität, ein sicherheitsrelevantes
Einbruchsereignis mit einer mittleren Priorität, ein sicherheitsrelevantes
Einbruchsereignis mit einer niedrigen Priorität, ein Rücksetzereignis, ein Ereignis
mit einem Zeitablauf, ein Ereignis mit einer Kommunikation zum Flugzeug,
ein Ereignis mit einer Kommunikation zum Boden und ein oder mehrere
angepasste Ereignisse zum Unterstützen der manuellen Steuerung
durch den Sicherheitsadministrator beinhalten (aber sie sind hierauf nicht
beschränkt).
Mögliche
Reaktionen können
das Setzen eines Zeitgliedes, das Installieren eines Filters, das
Zurücksetzen
eines Filters, das Alarmieren an einem Steuerpult, das Alarmieren
des am Boden sitzenden Sicherheitsadministrators, das Abkoppeln des
Nutzerzugangspunktes, das Ausgeben einer Warnung an den Passagier
und ein oder mehrere vordefinierte angepasste Reaktionen beinhalten
(ohne jedoch darauf beschränkt
zu sein). Ein Fachmann auf diesem Gebiet wird aufgrund dieser Erläuterungen
ohne weiteres erkennen, wie er einen Sicherheitsmechanismus gemäß der vorliegenden
Erfindung implementieren kann.
-
Die
gesamte Netzwerksicherheitsarchitektur 10 kann man logisch
in fünf
wesentliche Bestandteile unterteilen, wie sie in 4 dargestellt
sind. Die fünf wesentlichen
Bestandteile sind die Durchsetzung 62 der Taktik im Flugzeug,
die Luft-Boden-Kommunikation 64,
terrestrische Steuer- und Datenspeicher 66, terrestrische Überwachung
und manuelle Steuerung 68 sowie die terrestrische Editierung
und Zuordnung 70 der Taktik. Jede dieser logischen Komponenten
ist auf ihrem physikalischen Ort innerhalb der Netzwerksicherheitsarchitektur 10,
wie sie in 4 gezeigt ist, abgebildet.
-
Die
Komponente 62 zur Durchsetzung der Taktik im Flugzeug wird
durch den Sicherheitsmanager 34 im Flugzeug zur Verfügung gestellt.
Die wesentlichen Verantwortlichkeiten des Sicherheitsmanagers im
Flugzeug beinhalten die Verwaltung und Überwachung der Sensoren zur
Einbruchsdetektion, die Überwachung
anderer Ereignisquellen im Flugzeug, die Reaktion auf Sicherheitsereignisse
in Übereinstimmung
mit der anwendbaren Sicherheitstaktik, die Überwachung der Sensoren zur
Einbruchsdetektion im Flugzeug, die Konfigurierung der statischen Filter
für den
Netzwerkverkehr an den Nutzerzugangspunkten, die Ausführung von
manuellen Übersteuerungsbefehlen
von dem bodengestützten
Netzwerksicherheitsmanagementsystem, die Installation von neuen
Sicherheitstaktiken, die von dem bodengestützten Netzwerksicherheitsmanagementsystem empfangen
wurden sowie der Bericht über
Ereignisse und den interessierenden Status an das bodengestützte Sicherheitsmanagementsystem,
wobei diese Verantwortlichkeiten hierauf jedoch nicht beschränkt sind.
Wie für
einen Fachmann auf diesem Gebiet leicht nachvollziehbar ist, besteht
der Sicherheitsmanager 34 im Flugzeug aus einem oder mehreren
Softwareanwendungen, die auf einem oder mehreren Servern in jedem
Flugzeug ablaufen. Eine Konfiguration mit redundanten Sicherheitsmanagern
im Flugzeug ermöglicht
eine Weiterführung
des Betriebs auch bei einem Ausfall von Hardware oder Software.
-
Die
terrestrische Komponente 66 mit dem Steuer- und Datenspeicher
wird von dem terrestrischen Netzwerksicherheitsmanagementsystem 16 bereitgestellt.
Die Steuerfunktionen des Steuer- und Datenspeichers
beinhalten die Speicherung aller Ereignisdaten in einem dauerhaften
Speicher, die Nachverfolgung der gewünschten und zuletzt bekannten
Konfigurationen für
jedes Flugzeug, die Unterstützung
von mehreren Sicherheitsmanagementkonsolen mit mehreren Fenstern,
die Benachrichtigung von geöffneten
Konsolenfenstern über
jedwede Datenänderungen,
die die Fensterinhalte betreffen, die Bereitstellung einer Schnittstelle
zum manuellen Überschreiben
innerhalb der Sicherheitstaktik, das Anbieten einer Berichtsschnittstelle
zum Ansehen von gespeicherten Daten sowie das Steuern des Zugriffs
auf alle gespeicherten Daten (wobei diese Funktionen nicht hierauf
beschränkt
sind). Diese Komponente kann unter Verwendung von Java-basierten
Anwendungen realisiert werden, die auf einem oder mehreren terrestrischen
Server sitzen, welche das Netzwerksicherheitsmanagementsystem 16 bilden.
-
Die
Komponente 64 zur Luft-Boden-Kommunikation ist für die Kommunikation
zwischen dem Sicherheitsmanager im Flugzeug und dem terrestrischen
Server verantwortlich. Dementsprechend ist diese Komponente auf
diese zwei physikalischen Orte verteilt. Die Funktionen der Luft-Boden-Kommunikation
beinhalten die Bereitstellung von nicht-blockierenden Kommunikationen,
die Wiederholung von Übertragungen
bis eine zuverlässige
Auslieferung geschafft wurde, das Aneinanderreihen von Nachrichten
während
Zeiträumen,
in denen keine Verbindung besteht, die Behandlung der Authentifizierung einer
Kommunikationssitzung, die Anwendung von Kontrollmaßnahmen
zur Überprüfung der
unversehrten Verschlüsselung,
um einen Schutz gegen Manipulationen und Wiederholungen zu bieten,
die Eliminierung von redundanten oder überkommenen Nachrichten im
Rahmen einer Optimierung, sofern dies möglich ist, die Ausnutzung der
verfügbaren
Bandbreite in Übereinstimmung
mit der Priorisierung der Nachrichten, die Minimierung des Bandbreitenbedarfs
sowie die Auslieferung von Aktualisierungen der Sicherheitstaktik
an die Flugzeuge (wobei diese Funktionen hierauf nicht beschränkt sind).
Eine logische Auftrennung der Kommunikationskomponenten hilft dabei,
den Aufbau des Sicherheitsmanagers im Flugzeug sowie die terrestrischen
Server vor einer unnötigen
Komplexität
zu schützen,
die aus sporadischen Verbindungen entstehen können.
-
Die
Komponente 68 zur terrestrischen Überwachung und manuellen Steuerung
sowie die Komponente 70 zur terrestrischen Editierung der
Taktik und deren Zuweisung sitzen ebenfalls in dem terrestrischen
Netzwerksicherheitsmanagementsystem 16. Die Funktionen
der Komponente der Überwachung
zur manuellen Steuerung beinhalten die Überwachung der Zustände und
Aktivitäten
einer Gruppe von Flugzeugen und die Auswahl eines individuellen Flugzeuges
zur näheren
Untersuchung, die Überwachung
der Zustände
und Aktivitäten
eines einzelnen Flugzeuges und Auswählen eines bestimmten Servers
oder einer bestimmten Passagierverbindung für eine nähere Untersuchung, die Überwachung
der Zustände
und Aktivitäten
eines einzelnen Servers im Flugzeug, die manu elle Steuerung eines
einzelnen Servers im Flugzeug, die Überwachung der Zustände und
Aktivitäten
einer einzelnen Passagierverbindung im Flugzeug sowie die manuelle
Steuerung einer einzelnen Passagierverbindung im Flugzeug (wobei
diese Funktionen hierauf nicht beschränkt sind).
-
Zusätzlich zu
der Überwachung
und manuellen Steuerung sitzen auf dem terrestrischen Netzwerksicherheitsmanagementsystem
auch Dienste zum Editieren der Dateien mit der Sicherheitstaktik und
zum Verteilen von Aktualisierungen der Sicherheitstaktik. Die Funktionen
der Taktikeditierung und -anwendung beinhalten das Editieren von
Dateien mit Sensorkonfigurationen, das Auslesen von Dateiaktualisierungen
mit Signaturen von Einbruchsdetektionen von der anwendbaren Website
eines Anbieters, das Editieren von Zustandsmaschinen und Parametern
für die
Reaktionstaktik, das Editieren von statischen Sicherheitseinstellungen,
das Zusammenfügen
von Sensordateien, Signaturdateien, Reaktionstaktiken und statischen
Reaktionen zu speziellen Sicherheitstaktiken, das Bewerkstelligen
einer Versionskontrolle über
die Aktualisierungen der Sicherheitstaktik, das Durchsehen der Flugzeuge
in dem System nach bekannter Taktik und gewünschter Taktik sowie das Verteilen
einer neuen Taktik an eine ausgewählte Gruppe von Flugzeugen
(wobei diese Funktionen nicht hierauf beschränkt sind). Das Editieren der
Sicherheitstaktik ist nicht als eine täglich routinemäßig durchzuführende Maßnahme vorgesehen.
Aus diesem Grund werden die Funktionen zum Editieren der Taktik
und zum Anwenden der Benutzerschnittstelle, die auf den terrestrischen
Servern läuft,
als eine separate und von den anderen Funktionen logisch verschiedene
Komponente behandelt.
-
Jede
dieser Komponenten kann man unter Verwendung einer Java-basierten
Benutzerschnittstelle realisieren, die auf einem oder mehreren der terrestrischen
Server läuft.
Die Benutzerschnittstelle beinhaltet des Weiteren eine Anzahl von
Fenstern, die von einem menschlichen Sicherheitsadministrator für das Netzwerk überwacht
werden können.
-
Mit
Bezugnahme auf 5 kann man die Netzwerksicherheitsarchitektur
nach der vorliegenden Erfindung so betreiben, dass sie eine Sicherheitsreaktion
zu einem bestimmten Nutzerzugangspunkt auf der mobilen Netzwerkplattform
richtet. Um dies zu erreichen, interagiert das Steuersubsystem 26 mit
einem Sicherheitsreaktionsaktor 72, der in jedem Zugangsgerät 74 im
Passagierbereich sitzt. Der Sicherheitsreaktionsaktor 72 steht
seinerseits mit einem oder mehreren Nutzerzugangspunkten 76 in Verbindung,
die mit dem Zugangsgerät 74 des
Passagierbereichs verknüpft
sind. Der Sicherheitsreaktionsaktor 72 kann ein beliebiger
einfacher Mechanismus sein, der dazu verwendet wird, Anforderungen von
dem Sicherheitsmanager 34 im Flugzeug zum Verriegeln des
Nutzeranschlusses zu empfangen, was wiederum dazu führt, dass
der Anschluss den Zugriff des angeschlossenen Nutzers unterbindet. Diese
Kommandos können
unter Verwendung des Simple Network Management Protocol (einfachen Netzwerkmanagementprotokolls)
realisiert werden. Es ist angedacht, dass das Verteilersystem für den Passagierbereich
aus einem oder mehreren Zugangsgeräten 74 für den Passagierbereich
besteht, wie dies in 5 gezeigt ist. Ein Zugangsgerät für den Passagierbereich
kann als gefalteter Ethernet-Anschluss (switched Ethernet port)
oder als ein drahtloser Zugangspunkt realisiert sein, und zwar unter
Verwendung von allgemein erhältlichen RJ45-Steckern.
-
Etwas
genauer ist der Sicherheitsreaktionsaktor 72 ein als Software
realisiertes Modul, das den Zugriff eines Passagiers zu dem System
vermittelt. Wenn ein Passagier ein Computergerät 78 an einem der
Nutzerzugriffspunkte 76, die von dem Verteilersystem 28 des
Passagierbereichs zur Verfügung
gestellt werden, anschließt,
initiiert der Sicherheitsreaktionsaktor 72 eine Sitzung
mit dem Steuersubsystem 26. Mit der Initiierung einer Sitzung
ordnet der Adressmanager 80 der Passagierverbindung eine IP-Adresse
zu. Der Adressmanager 80 ist eine Software- oder Firmwarefunktion,
die eine eindeutige IP-Adresse zuordnet. Es ist angedacht, dass
die IP-Adresse nur für
die Verwendung an Bord zur Verfügung
steht oder dass es sich um eine vermittelbare IP-Adresse für einen
Zugang außerhalb
des Flugzeuges handelt.
-
Der
Sicherheitsreaktionsaktor 72 zeichnet die Zuordnung zwischen
der IP-Adresse, die der Verbindung des Passagiers zugeordnet ist,
und dem physikalischen Anschluss, an dem die Computereinheit des
Passagiers an das Verteilersystem 28 im Passagierbereich
angeschlossen ist, auf. Datenpakete werden über den Sicherheitsreaktionsaktor 72 zu
und von einem Nutzerzugangspunkt 76 durchgeleitet. Man
kann den Sicherheitsreaktionsaktor 72 darüber hinaus
auch so betreiben, dass er Datenpakete, die eine zugewiesene IP-Adresse
haben, zu dem Nutzerzugangspunkt mit der entsprechenden Quellenadresse
durchlässt
sowie Datenpakete fallen lässt,
die für
den vorgesehenen Nutzerzugangspunkt nicht die zugeordnete IP-Adresse
besitzen. Der Sicherheitsreaktionsaktor 72 beendet eine
Sitzung, wenn ein Passagier seine Computereinheit von dem Verteilersystem 28 des
Passagierbereichs trennt.
-
Das
Kontrollsubsystem 26 beinhaltet des Weiteren ein Subsystem 82 zum
Detektieren von Einbrüchen.
Das Subsystem 82 zum Detektieren von Einbrüchen kann
man so betreiben, dass es sicherheitsrelevante Einbruchsaktivitäten erkennt,
die auf oder in Bezug auf die mobile Netzwerkplattform auftreten
können.
Um dies zu erreichen, untersucht das Subsystem 82 zur Detektion
von Einbrüchen
alle Datenpakete, die in eine Computereinheit gelangen, auf der
das Subsystem 82 aufgespielt ist, und es versendet ein
sicherheitsrelevantes Einbruchsereignis an den Sicherheitsmanager 34 im
Flugzeug, wenn es eine sicherheitsrelevante Einbruchsaktivität erkennt. Es
ist angedacht, dass das sicherheitsrelevante Einbruchsereignis eine
oder mehrere IP-Adressen einschließt, wobei jede IP-Rdresse mit
einer Netzwerkverbindung korreliert, die mit dem sicherheitsrelevanten
Einbruchsereignis zusammenhängt.
Wie einfach man auf diesem Gebiet ohne weiteres erkennen wird, kann
man das Subsystem 82 zur Detektion von Einbrüchen implementieren,
indem man eines von mehreren kommerziell erhältlichen Softwareprodukten verwendet.
-
Der
Sicherheitsmanager 34 im Flugzeug ist dafür verantwortlich,
die sicherheitsrelevante Taktik auf der mobilen Netzwerkplattform
zu erzwingen. Da die Kommunikation mit dem Flugzeug sporadisch sein
kann, muss der Sicherheitsmanager 34 im Flugzeug die Fähigkeit
besitzen, eigenständig
zu agieren, wenn er auf ein sicherheitsrelevantes Einbruchsereignis
reagiert. Wenn ein sicherheitsrelevantes Einbruchsereignis detektiert
wird, reagiert der Sicherheitsmanager 34 im Flugzeug in
geeigneter Weise in Übereinstimmung
mit einer anpassbaren Sicherheitstaktik. Dementsprechend ist der
Sicherheitsmanager 34 im Flugzeug dazu ausgebildet, sicherheitsrelevante
Einbruchsereig nisse von jedem der Subsysteme zur Detektion von Einbrüchen zu
empfangen, und er ist in der Lage, eine sicherheitsrelevante Reaktion
umzusetzen. Beispielhafte Reaktionen können Warnungen an einen oder
mehrere Passagiere in dem Flugzeug beinhalten, die Alarmierung des
am Boden sitzenden Sicherheitsadministrators und/oder die Trennung
des Netzwerkzugangs für
einen Passagier.
-
Von
besonderem Interesse ist, dass der Sicherheitsmanager im Flugzeug
in Verbindung mit dem Sicherheitsreaktionsaktor in der Lage ist,
sicherheitsrelevante Reaktionen an einen bestimmten Nutzerzugangspunkt
zu richten. Der Sicherheitsmanager im Flugzeug kann beispielsweise
einen Befehl zum Deaktivieren eines Anschlusses an den Sicherheitsreaktionsaktor
ausgeben. Der Befehl zum Deaktivieren des Anschlusses beinhaltet
eine IP-Adresse für den vorgesehenen
benutzten Zugangspunkt. Sobald der Sicherheitsreaktionsaktor den
Deaktivierungsbefehl empfängt,
akzeptiert er keine Datenpakete vom physischen Anschluss mehr, die
mit der IP-Adresse verbunden sind. Man kann einen vergleichbaren
Mechanismus verwenden, um einen zuvor deaktivierten Nutzerzugangspunkt
wieder zu aktivieren. Ein Fachmann auf diesem Gebiet wird ohne weiteres
erkennen, dass andere sicherheitsrelevante Reaktionsbefehle auf ähnliche
Weise über
den Sicherheitsreaktionsaktor an einen bestimmten Nutzerzugangspunkt
gerichtet werden können.
-
Die
vorangehende Diskussion offenbart und beschreibt bevorzugte Ausführungsbeispiele
der Erfindung. Ein Fachmann auf diesem Gebiet wird aus dieser Diskussion
und aus den beigefügten
Zeichnungen und Ansprüchen
ohne weiteres erkennen, dass Änderungen
und Abwandlungen an der Erfindung vorgenommen werden können, ohne
den Schutzbereich der Erfindung, wie er in den nachfolgenden Ansprüchen definiert
ist, zu verlassen.