EP3603012A1 - Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung - Google Patents

Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung

Info

Publication number
EP3603012A1
EP3603012A1 EP18727176.2A EP18727176A EP3603012A1 EP 3603012 A1 EP3603012 A1 EP 3603012A1 EP 18727176 A EP18727176 A EP 18727176A EP 3603012 A1 EP3603012 A1 EP 3603012A1
Authority
EP
European Patent Office
Prior art keywords
communication
communication device
data
function
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP18727176.2A
Other languages
English (en)
French (fr)
Inventor
Kai Fischer
Daniela FRIEDRICH
Markus Heintel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3603012A1 publication Critical patent/EP3603012A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Definitions

  • the present invention relates to a method nikationsan extract a communication, a network element and a Kommunikati ⁇ ons worn for protecting a communication between at least a first communication device and at least a second communication device within a preferably real-time communication network, and in particular in the field of industrial production and / or Automation, wherein the communication network has at least one network element, are passed over the zugehö ⁇ r communication for communication, and an associated computer ⁇ program (product).
  • safety refers mainly to the security, confidentiality and / or integrity of data so ⁇ as their transfer and security, confidentiality and / or integrity in accessing relevant data.
  • the authentication in data transfers or data access belongs the term "security”.
  • Under a cryptographic functionality is generally understood, for example, a function for encryption, to protect the confidentiality, integrity protection and / or authentication of data (eg user data, control data, configuration data or administrative data).
  • the cryptographic protection functionality since ⁇ include, for example at one or more of the following set ⁇ led functionalities:
  • the enumerated cryptographic functionalities can in each case be carried out again with other / further methods or combinations of these methods.
  • the data interface can be designed and set up as a serial or parallel data interface.
  • the communication between the components is not limited to a point-to-point (peer) communication. Group communication, broadcast messages or publish / subscribe communication patterns are also conceivable.
  • Communication (end) facilities may include field devices, industrial controllers, industrial PCs, handheld computer systems, pocket PC devices, mobile phones, smart phones,
  • Tablets and other communication devices that can handle computer-aided processing, processors and other electronic computing devices.
  • a measure to protect industrial components and machines is to divide them into different zones according to their trustworthiness and their protection requirements (zone model). There will usually be no more within such a zone
  • the zones are usually so decor with dark ⁇ tet that the communication between the components takes place within the zone and only conditionally possible to communicate with components au ⁇ ßer Halb its own zone.
  • the halt or the nodes or components within the Zo ⁇ ne are protected and there are dedicated transfer points to other zones.
  • Such cell protection concepts are no longer suitable because communication is increasingly being conducted across the zone boundaries.
  • Such transition points ⁇ often delay the data flow and thus affect the real-time behavior.
  • the components should be more flexible in such scenarios. Thus, static / physical solutions are no longer practicable.
  • TLS Transport Layer Security
  • IPSec in ⁇ ternet Protocol Security
  • Transport layer and IPSec (on plane or layer 3 Ver ⁇ mediate layer) of the communication technology ver Liste- th OSI reference model or a similar network models, such as TCP / IP stack defined.
  • Level 4 protocols tend to be ineligible for group communication.
  • Logical communication paths are not yet protected by cryptographic measures.
  • a logical Kommunikati ⁇ onsweg between communication (end) facilities can be realized by an identifier in data packets.
  • Ethernet-based protocols are used at level 2 of the OSI reference model.
  • the so-called backup ⁇ layer (Layer 2) provides generally for an error-free DA Transmission and possibly for a data flow control on Sen ⁇ der- and receiver side.
  • MACSec which 802. IX is be ⁇ wrote in IEEE standard 802.1AE or IEEE is working on level 2 and allows standard ⁇ default only a point-to-point security / encryption. To secure a group communication, all the individual point-to-point connections between the network elements would have to be configured. If MACSEC for
  • the invention claims a method for protecting a communication between at least a first communication device and at least a second communication device within a communications network, insbeson ⁇ particular in the environment of an industrial manufacturing and / or automation mation, wherein the communication network comprises at least one network element are routed through the communication zugehö ⁇ membered data, comprising the steps of: - protecting the data by means of a first cryptic tographischen protection function, which are transmitted from at least a first communication device to at least one second communication device .
  • Communication device are passed to the at least second communication device and containing the data, - Providing a verification function by the at least one network element, which checks the authenticity and / or integrity of the messages based on the second protection function,
  • the invention is not limited to point-to-point communication within the group, but can also be a
  • the advantage of the invention lies in the detection and defense against attacks in which an unauthorized attacker wants to gain access to works or devices.
  • Network elements can monitor the authenticity and / or integrity of messages.
  • a further advantage of the invention lies in the fact that the invention is not limited to an initially explained zone, but can optionally be used over several transition points.
  • a development of the invention provides that the second protective function encloses the first protective function and is cryptographically independent of the first protective function.
  • a further development of the invention provides that, in order to continue the communication, the messages which contain data which remain protected by means of the first protective function are conducted protected by the second protective function to the at least second communication device.
  • a development of the invention provides that the communication between the mentioned communication devices takes place via a virtually logically formed communication network.
  • a development of the invention provides that a communication protocol on level 2 of the OSI reference model or comparable network model used in communication technology is used for communication between the communication devices.
  • a development of the invention envisages that is set for communication between the communication devices, a communication protocol on level 3, also network layer ge ⁇ Nannt, the OSI reference model used in the communication technology or equivalent network model ⁇ is.
  • a development of the invention provides that the first protective function uses a first key, in particular a first group key.
  • a development of the invention provides that the second protective function uses a second key, in particular a second group key.
  • a development of the invention provides that the first key is derived from the second key.
  • a development of the invention provides that in the
  • Key derivation function is a belonging to the communication facilities secret, in particular a group secret ⁇ nis received.
  • a development of the invention provides that the data (D) can be supplemented with further data (D x ) before the provision of the second cryptographic protection function. These additional or other data may then by authorized network elements on the communication modifi ed ⁇ or added and are protected by the second protective function.
  • a further aspect of the invention provides a communication ⁇ arrangement for protecting a communication between at least a first communication device and at least a second communication device within a communications network before, especially in the environment of a converted ⁇ len manufacturing and / or automation, wherein the communication network comprises at least one network element, are routed through the data associated with communication, comprising:
  • Means for protecting the data using a first cryptographic protection function which are transmitted from at least a first Kommunikati ⁇ ons worn to at least one second communication device,
  • Means for providing a second cryptographic protection function which messages protects between a communication device and a network element, which are conducted via the at least one network element of the ers ⁇ th communication device for the at least second communication device and which contain the data
  • a development of the invention provides that the data (D) can be supplemented with further data (D x ) before the provision of the second cryptographic protection function. These additional or other data may then by authorized network elements on the communication modifi ed ⁇ or added and are protected by the second protective function.
  • a further aspect of the invention provides a network element suitable for supporting a protected communication between at least a first communication device and at least one second communication device within a communications network before, in particular in order ⁇ field of industrial production and / or automation, wherein via the network element to communicate data associated with to be directed, comprising:
  • Means for reading cryptographically protected data from cryptographically protected messages which are routed via the network element from the first communication device to the at least second communication device,
  • a development of the invention provides that the data (D) can be supplemented with further data (D x ) before the provision of the second cryptographic protection function. These additional or other data may then through our authorized network elements on the communication modifi ed ⁇ or added and are protected by the second protective function.
  • a further aspect of the invention provides a communication device for protecting a communication with at least one other communication device within a communications network before, especially in the environment of a indust ⁇ -material manufacturing and / or automation, wherein the communication network comprises at least one network element, via the associated communication Data can be routed, comprising:
  • Means for protecting the data by means of a first cryptographic protection function which are transmitted from the communication device to at least one second communication device,
  • Network element protected via the network elements are conducted to the at least second Kommunikati ⁇ ons founded and include Since ⁇ th, wherein, depending thentizticians- from a result of Au and / or integrity check of the protected messages, at a continuation of the communication, the data to be protected by the first protection function , remain protected until their receipt by the at least second communication device by means of the first protective function.
  • a development of the invention provides that the data (D) can be supplemented with further data (D x ) before the provision of the second cryptographic protective function. These additional or other data may then by authorized network elements on the communication modifi ed ⁇ or added and are protected by the second protective function.
  • the assembly device and network element may entspre ⁇ accordingly Removing of the embodiments / developments of the above-mentioned process or be further formed.
  • the above-mentioned units or means can be used in
  • Another aspect of the invention may be a computer program or a computer program product with at least one Compu ⁇ terprogramm with means for carrying out the method and its referred embodiments when the computer program (product) and the at least one computer program divides comparable within the communication apparatus according to above described type is carried out for execution.
  • the above devices, arrangements and, where appropriate, the computer program (product) can be developed or developed substantially analogously to the method and its embodiments or further developments.
  • FIGS. 1 and 2 show the procedure according to the invention for checking the authenticity and / or integrity of a logical communication connection between two communication devices, the messages containing the data being routed via one or more network elements.
  • Figures 1 and 2 each show an attack scenario in ⁇ nerrenz a communication network, for example a mentioned virtual logical network (VLN), in which an attacker A tries an attack on a network element NE of possible multiple network elements of a communications network.
  • VLN virtual logical network
  • the attacker A wants to disrupt the communication between the communication devices PLC1 and PLC2.
  • These communication devices can be ICS components (Industrial Control System).
  • the network element NE checks the authentication information, for example MAC, to determine whether they are messages from an authenticated group subscriber of the communication network. If this is not the case, eg because the attacker feeds in messages without being able to generate the correct authentication information.
  • NEN the affected data packets are discarded and not forwarded by the network element.
  • the data is protected twice on the end-to-end or on the point-to-point transport path (dashed and rectangular rectangle).
  • MAC Message Authentication Code
  • HMAC Home MAC
  • OMAC Open Mobile communications
  • CBC-MAC CBC-MAC
  • K_D_VLNx is used for confidentiality protection
  • Step 1 The data D (solid rectangle) to be sent is provided with a first protection function, e.g. protected by a group key K_D_VLNx from a first communication device PLC1 (confidentiality / authenticity / integrity protection). It arises
  • K_D_VLNx is only the regular group members of the communication network VLNx and not the network elements e.g. NE known.
  • Step 2 The data packet ⁇ [D]> is replaced by a second one
  • additional data D x can be modified or supplemented by authorized network elements, eg PLC1, on the communication path, and by the second
  • Step 3 The network element NE receives the data packet ⁇ [D]>> and extracts or reads the authentication information of the second protection function from the message.
  • the outer protection can be removed.
  • the outer protection is not usually removed, but remains as well as the protection of the data obtained by the first protection function.
  • Step 4 Second protection check to see if the message is authentic or integer. This means that the dashed box is checked, which either contains only D and can also contain D x .
  • Step 5 If the message is not authentic / integer, the data packets are discarded, thus stopping the communication.
  • Step 6 If the message is authentic, then received in step 3 message ⁇ [D]>> or ⁇ D X ⁇ D>> (dashed-rectangle rectangle) over the Kommunikati ⁇ onsnetz to the second communication device PLC2 (continue ). This protects the data in the dashed rectangle until it reaches the receiver. If the external protection has been removed in step 3, the message is again protected with a second cryptographic protection function, whereby the same authentication key K_NE_VLNx is usefully used for protection.
  • step 7 The communication device PLC2 receives the data packet ⁇ [D]>> or ⁇ D X ⁇ D>> (dashed rectangle) and checks and removes the K_NE_VLNx authenticity / integrity protected part of the data packet.
  • step 8 By decoding the data and checking the first protection function with K_D_VLNx, the communication device PLC 2 receives the actual (useful) data (solid rectangle) and can be sure that the message containing the data comes from a group member.
  • the network elements NE for example, check the capacity Authenti ⁇ / integrity of the data packets before the data packets by they are forwarded.
  • the network element NE can not read the data of the message itself or no data
  • An advantageous embodiment of the invention is that, in addition to the data of the communication device within the spliced rectangle, additional data needed for the network infrastructure elements
  • K_D_VLNx is transmitted via a key derivation function e.g. KDF (S_G,
  • K_NE_VLNx K_NE_VLNx depending on K_NE_VLNx.
  • the secret S_D is distributed once initially to the communication facilities of the regular group members. S_D does not necessarily have to be selected VLNx specific or group-specific, because a common S_D can be used for all VLNx / groups without the property of a group-specific one
  • K_D_VLNx lose.
  • the diversity of the K_D_VLNx arises from the distribution of the group-specific K_NE_VLNx to the authorized group members.
  • K_D_VLNx loses.
  • the diversity of the K_D_VLNx arises from the distribution of the group-specific K_NE_VLNx to the authorized group members.
  • Processor or bound to specific execution schemes can be performed by software, firmware, microcode, hardware, Prozes ⁇ sensors, integrated circuits, etc. in stand-alone mode or in any combination.
  • Various processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc.
  • the instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and then via Network access.
  • processor central signal processing
  • Control unit or “data evaluation means” as here USAGE ⁇ det, processing means includes in the broad sense, that is, for example, servers, general purpose processors, Gardnerluxo ⁇ ren, digital signal processors, application specific inte ⁇ grated circuits (ASICs), programmable logic circuits, such as FPGAs, discrete analog or digital circuits and be ⁇ undesirables combinations thereof, and any other processing means known in the art or developed in the future.
  • Processors can be one or more Devices or devices or units exist. If a processor consists of several devices, these can be designed or configured for the parallel or sequential processing or execution of instructions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Dabei weist das Kommunikationsnetz mindestens ein Netzwerkelement (NE) auf, über das zur Kommunikation zugehörige Daten geleitet werden. Das Verfahren weist folgende Schritte auf: - Schützen der Daten (D) mittels einer ersten kryptographischen Schutzfunktion, welche von mindestens einer ersten Kommunikationseinrichtung (PLC1) zu wenigstens einer zweiten Kommunikationseinrichtung (PLC2) übertragen werden, - Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrichten zwischen einer Kommunikationseinrichtung und einem Netzwerkelement schützt, die via des mindestens einen Netzwerkelements von der ersten Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden und die die Daten beinhalten, - Bereitstellen einer Überprüfungsfunktion durch das mindestens eine Netzwerkelement, welche anhand der zweiten Schutzfunktion die Authentizität und/oder Integrität der Nachrichten überprüft, - Fortsetzung (6) oder Anhalten (5) der Kommunikation abhängig vom Ergebnis der Überprüfung (4) durch die Überprüfungsfunktion, - wobei bei Fortsetzung der Kommunikation die Daten bis zu deren Empfang durch die mindestens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.

Description

Beschreibung
Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industri¬ ellen Fertigung und/oder Automatisierung
Die vorliegende Erfindung betrifft ein Verfahren, eine Kommu- nikationsanordnung, ein Netzwerkelement und eine Kommunikati¬ onseinrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung innerhalb eines vorzugsweise echtzeitfähigen Kommunikationsnetzwerkes, insbeson- dere im Umfeld einer industriellen Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkelement aufweist, über das zur Kommunikation zugehö¬ rige Daten geleitet werden, sowie ein zugehöriges Computer¬ programm (-produkt) .
Hintergrund der Erfindung
In modernen Automatisierungsanlagen werden zur Steuerung von Fertigungsprozessen oder einzelnen Produktionsschritten IT- Systeme eingesetzt. Damit in einer solchen Anlage Feldgeräte wie Sensoren und Stellglieder (Aktoren) mit einem Automatisierungsgerät kommunizieren können, wird als Kommunikations¬ bussystem unter anderem ein sogenannter Feldbus eingesetzt, welcher eher ein Protokoll auf Ebenen 2 ist. Für die Kommuni- kation gibt es normierte Protokolle z.B. IEC 61158. Es gibt echtzeitfähige Ethernet-basierte Feldbusse, die z.B. in der Norm IEC 61784-2 zusammengestellt sind. Häufig verwendete echtzeitfähige Feldbusse sind Profibus und Profinet, Ethercat sowie Modbus. Es gibt auf der Anwendungsebene (Ebene 7) wei- tere Protokolle Z.B. OPC-UA, S7, http etc.
Die Sicherheit industrieller Feldbusprotokolle ist wesentlich für eine industrielle Fertigungsumgebung. Der ( kryptographi- sehe) Schutz von mit einander kommunizierenden Komponenten wie Werken bzw. Geräten spielt eine zunehmend wichtigere Rol¬ le, um einen sicheren Betrieb gewährleisten zu können. Durch kryptographische Schutzfunktionen können Ziele wie Integri- tät, Vertraulichkeit oder Authentizität der Komponenten er¬ reicht werden. Dadurch werden absichtliche, zielgerichtete Angriffe abgewehrt.
Der Begriff „Sicherheit" bezieht sich im Wesentlichen auf die Sicherheit, Vertraulichkeit und/oder Integrität von Daten so¬ wie deren Übertragung und auch Sicherheit, Vertraulichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen beziehungsweise beim Datenzugriff gehört unter anderem zum Begriff „Si- cherheit". Unter einer kryptografischen Funktionalität wird allgemein beispielsweise eine Funktion zur Verschlüsselung, zum Schutz der Vertraulichkeit, zum Integritätsschutz und/oder zur Authentifikation von Daten (z.B. Nutzerdaten, Steuerdaten, Konfigurationsdaten oder administrative Daten) verstanden. Die kryptografische Schutzfunktionalität kann da¬ bei beispielsweise eine oder mehrere der nachfolgend aufge¬ führten Funktionalitäten umfassen:
Schlüsselspeicherung
- System- und/oder Nutzer-Authentifizierung
Attestierung
Verschlüsselung (mit Schlüssel bzw. Gruppenschlüssel) Entschlüsselung
Berechnen einer kryptografischen Prüfsumme (z.B. Signa- tur)
Prüfen einer kryptografischen Prüfsumme (z.B. Signatur)
SchlüsselVereinbarung
Schlüsselerzeugung
Erzeugen von Zufallszahlen (z.B. Seed-Generierung) - Lizenzierung
Unterstützung von systemischen Überwachungsfunktionen (z.B. Tamper-Schutz , Systemintegrität, SIEM)
Überwachen oder Überwachung von Daten Validierung von Daten
Filterung von Daten
Die aufgezählten kryptografischen Funktionalitäten können da- bei jeweils wieder mit anderen/weiteren Verfahren oder Kombinationen dieser Verfahren ausgeführt sein.
Eine Datenschnittstelle zur Datenübertragung bzw. Kommunika¬ tion zwischen den genannten Komponenten, d.h. Kommunikations- einrichtungen und Netzwerkelementen kann beispielsweise eine drahtgebundene oder drahtlose Schnittstelle (z.B. Mobilfunk¬ schnittstelle (GSM, UMTS, LTE, 5G o.a.), eine WLAN-, eine Bluetooth- , ZigBee- (insbesondere eingesetzt in der Haus¬ technik) oder eine NFC-Schnittstelle (NFC: Near Field Commu- nication) ) sein. Dabei kann die Datenschnittstelle als eine serielle oder parallele Datenschnittstelle ausgebildet und eingerichtet sein. Die Kommunikation zwischen den Komponenten ist nicht auf eine Punkt-zu-Punkt (Peer) -Kommunikation limitiert. Es sind auch Gruppenkommunikation, Broadcast- Nachrichten oder Publish/Subscribe Kommunikationsmuster denkbar .
Kommunikations (end) einrichtungen können Feldgeräte, industrielle Steuerungen, industrielle PCs, Handheld-Computer- Systeme, Pocket-PC-Geräte, Mobilfunkgeräte, Smartphones,
Tablets und andere Kommunikationsgeräte, die rechnergestützt Daten verarbeiten können, Prozessoren und andere elektronische Geräte zur Datenverarbeitung sein. Eine Maßnahme, um industrielle Komponenten und Maschinen zu schützen, ist, sie entsprechend ihrer Vertrauenswürdigkeit und ihres Schutzbedarfes in verschiedene Zonen einzuteilen (Zonenmodell) . Es werden innerhalb einer solchen Zone in der Regel keine weiteren
Schutzmaßnahmen eingesetzt. Die Zonen sind meist so gestal¬ tet, dass die Kommunikation zwischen den Komponenten innerhalb der Zone stattfindet und nur bedingt mit Komponenten au¬ ßerhalb der eigenen Zone kommuniziert werden kann. Der In- halt bzw. die Knotenpunkte bzw. Komponenten innerhalb der Zo¬ ne sind geschützt und es gibt dedizierte Übergabepunkte zu anderen Zonen. Im Zuge von zukünftigen Industrie 4. O-Szenarien sind solche Zellenschutzkonzepte nicht mehr geeignet, da zunehmend über die Zonengrenzen hinweg kommuniziert wird. Solche Übergangs¬ punkte verzögern oft den Datenfluss und beeinflussen somit das Echtzeitverhalten . Zudem sollen in solchen Szenarien die Komponenten flexibler einsetzbar sein. Damit sind statisch/physikalisch orientierte Lösungen nicht mehr praktikabel .
In herkömmlichen IT-Netzwerken werden als Sicherheitsproto- kolle häufig TLS (Transport Layer Security) bzw. IPSec (In¬ ternet Protokoll Security) eingesetzt. TLS ist - wie die Langbezeichnung schon besagt - auf Ebene 4 (Layer 4 bzw.
Transportschicht) und IPSec auf Ebene bzw. Schicht 3 (Ver¬ mittlungsschicht) des in der Kommunikationstechnik verwende- ten OSI-Referenzmodells oder einem ähnlichen Netzwerkmodelle wie z.B. TCP/IP-Stack definiert. Ebene-4-Protokolle sind eher nicht für eine Gruppenkommunikation geeignet.
Im Zusammenhang mit TLS schlagen D. Naylor et. al . „Multi- Context TLS (mcTLS) : Enabling Secure In-Netzwork
Functionality in TLS", SIGCOMM '15, August 17 - 21, 2015, London, UK, eine Erweiterung in Form eines Multi-Kontext-TLS (mcTLS) vor, das eine sogenannte Middlebox, auch Proxy oder in-path-Dienst genannt, unterstützt, die in eine End— zu—End— Verbindung zwischengeschoben werden kann. Diese Middlebox wird mittels des mcTLS abgesichert. Letztendlich müssen sich die Netzwerkelemente dann auch authentifizieren und sind dann Teilnehmer einer Gruppe, das wie nachstehend erläutert, nicht gewünscht ist.
Aus US 9,348,049 B2 ist ein Verfahren bzw. eine Vorrichtung zum sicheren Übertragen von Daten bekannt. Hierzu wird ein Session Konzept, welches auf Anwendungsebene kryptographische Verfahren verwendet, beschrieben. Während in herkömmlichen Verfahren Punkt-zu-Punkt-Verbindungen lediglich auf Transportebene ausreichend gesichert werden können, können damit Integritätsschutz und Vertraulichkeitsschutz von Daten auch auf Anwendungsebene implementiert werden.
Logische Kommunikationswege werden bisher nicht durch kryp- tographische Maßnahmen geschützt. Ein logischer Kommunikati¬ onsweg zwischen Kommunikations (end) einrichtungen kann durch einen Identifier in Datenpaketen realisiert werden.
Zukünftig können solche logischen Kommunikationswege aber na¬ heliegend mit Ansätzen wie Gruppenschlüssel und GDOI (RFC 6407) geschützt werden. Auch hier besteht das Problem, dass die Netzwerkelemente, die nicht Bestandteil der Gruppe des logischen Kommunikationsweges sind bzw. auch nicht sein sol¬ len, nicht überprüfen können, ob die Nachricht von einem regulären Mitglied der Gruppe gesendet wurde. Dadurch entsteht ein sogenannter Denial-of-Service-Angriffsvektor am Netzwerk- element, das die Endteilnehmer bzw. Kommunikationseinrichtungen durch eine Nachrichtenflut von der Kommunikation im (Kommunikations ) Netzwerk ausschließen kann. Bei Verwendung dieser Art der Segmentierung in der Automatisierungsumgebung ist dies nicht akzeptabel, denn die Verfügbarkeit steht bei den Betreibern an erster Stelle. Aus diesem Grund wurde die VLN (virtuelle logische Netzwerke) Architektur konzipiert, bei der Gruppen von Teilnehmern, die über dasselbe physikalische Netzwerk kommunizieren, virtuell separiert werden. Diese VLN- Gruppen können naheliegend mit Ansätzen wie Gruppenschlüssel und GDOI (RFC 6407) geschützt werden mit dem Nachteil, dass sich die Netzwerkelemente durch Kenntnis der Schlüssel wie Kommunikationseinrichtung verhalten können. Dieser Ansatz wurde mit einem Mechanismus erweitert, bei welchem diese Art von Angriff nicht mehr möglich ist.
Mögliche Ethernetbasierte Protokolle kommen auf Ebene 2 des OSI-Referenzmodells zum Einsatz. Die sogenannte Sicherungs¬ schicht (Layer 2) sorgt in der Regel für eine fehlerfreie Da- tenübertragung und ggf. für eine Datenflusskontrolle auf Sen¬ der- und Empfängerseite. Es werden üblicherweise die Nach¬ richten- bzw. Datenströme in Blöcke (auch Frames/Rahmen genannt) unterteilt. Mit Hilfe von Prüfsummen kann lediglich eine fehlerhafte Datenübertragung erkannt werden. Ein Schutz gegen aktive Manipulation besteht nicht. Die aktuellen
Feldbus-Protokolle kennen keine Sicherheitsmaßnahmen, außer denen des oben genannten Zonenmodells. MACSEC, welches im IEEE-Standard 802.1AE bzw. IEEE 802. IX be¬ schrieben ist, arbeitet auf Ebene 2 und ermöglicht standard¬ mäßig nur eine Punkt-zu-Punkt-Sicherheit/Verschlüsselung . Um eine Gruppenkommunikation zu sichern, müssten alle einzelnen Punkt-zu-Punkt Verbindungen zwischen den Netzwerkelementen konfiguriert werden. Falls MACSEC für
Gruppenkommunikation erweitert werden soll, kann dies mit einer spezifischen VLN-Zone auf Ebene 2 verglichen werden. Allerdings können mit diesem Ansatz nicht mehrere unabhängige VLNs realisiert werden. Zudem wären die Netzwerkelemente Mit- glied der Gruppe und unterliegen ebenfalls der oben genannten Problemstellung .
Es ist Aufgabe der Erfindung, Sicherheits- bzw. Schutzmaßnahmen für die Kommunikation zwischen zumindest zwei Kommunika- tionsendeinrichtungen, welche über mindestens ein Netzwerkelement geführt wird, zu verbessern.
Darstellung der Erfindung Diese Aufgabe wird durch die unabhängigen Patentansprüche ge¬ löst. Vorteilhafte Weiterbildungen sind Gegenstand der abhän¬ gigen Ansprüche.
Die Erfindung beansprucht ein Verfahren zum Schutz einer Kom- munikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes, insbeson¬ dere im Umfeld einer industriellen Fertigung und/oder Automa- tisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkelement aufweist, über das zur Kommunikation zugehö¬ rige Daten geleitet werden, aufweisend folgende Schritte: - Schützen der Daten mittels einer ersten kryp- tographischen Schutzfunktion, welche von mindestens einer ersten Kommunikationseinrichtung zu wenigstens einer zweiten Kommunikationseinrichtung übertragen werden,
Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrichten zwischen einer Kommunikationseinrichtung und einem Netzwerkelement schützt, die via des mindes- tens einen Netzwerkelements von der ersten
Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden und die die Daten beinhalten, - Bereitstellen einer Überprüfungsfunktion durch das mindestens eine Netzwerkelement, welche anhand der zweiten Schutzfunktion die Authentizität und/oder Integrität der Nachrichten überprüft ,
Fortsetzung oder Anhalten der Kommunikation abhängig vom Ergebnis der Überprüfung durch die Überprüfungsfunktion,
wobei bei Fortsetzung der Kommunikation die Daten bis zu deren Empfang durch die mindestens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.
Die Erfindung ist nicht auf eine Punkt-zu-Punkt Kommunikation innerhalb der Gruppe beschränkt, sondern kann auch eine
Punkt-zu -Mehrpunkt- Kommunikation (Broadcast) bedienen. Es ist auch denkbar, das mehrere Prüfungsstellen im Kommunikationsnetz angeordnet sind, die jeweils die Authentizitäts- bzw. Integritätsprüfung für einen Teilbereich des Kommunikationsnetzes übernehmen und ggf. von einer weiteren übergeordneten Stelle koordiniert werden.
Der Vorteil der Erfindung liegt in der Erkennung und Abwehr von Angriffen, bei denen ein unberechtigter Angreifer Zugriff auf Werke bzw. Geräte erlangen will. Durch eine zusätzliche vorzugsweise unabhängige Authentifizierungsebene auf den
Netzwerkelementen kann die Authentizität und/oder Integrität von Nachrichten überwacht werden.
Ein weiterer Vorteil der Erfindung liegt darin, dass die Er- findung nicht auf eine eingangs erläuterte Zone begrenzt ist, sondern ggf. über mehrere Übergangspunkte hinweg eingesetzt werden kann.
Eine Weiterbildung der Erfindung sieht vor, dass die zweite Schutzfunktion die erste Schutzfunktion umschließt und von der ersten Schutzfunktion kryptographisch unabhängig ist.
Eine Weiterbildung der Erfindung sieht vor, dass zur Fortsetzung der Kommunikation die Nachrichten, die mittels der ers- ten Schutzfunktion geschützt bleibende Daten beinhalten, mittels der zweiten Schutzfunktion geschützt zur wenigstens zweiten Kommunikationseinrichtung geleitet werden.
Eine Weiterbildung der Erfindung sieht vor, dass die Kommuni- kation zwischen den genannten Kommunikationseinrichtungen über ein virtuell logisch ausgebildetes Kommunikationsnetzwerk erfolgt.
Eine Weiterbildung der Erfindung sieht vor, dass zur Kommunikation zwischen den Kommunikationseinrichtungen ein Kommuni- kationsprotokoll auf Ebene 2 des in der Kommunikationstechnik verwendeten OSI-Referenzmodells oder vergleichbaren Netzwerkmodells eingesetzt wird. Eine Weiterbildung der Erfindung sieht vor, dass zur Kommunikation zwischen den Kommunikationseinrichtungen ein Kommunikationsprotokoll auf Ebene 3, auch Vermittlungsschicht ge¬ nannt, des in der Kommunikationstechnik verwendeten OSI- Referenzmodells oder vergleichbaren Netzwerkmodells einge¬ setzt wird.
Demnach sind Kommunikationsprotokolle unterhalb der Ebene 4, insbesondere geeignet für ein echtzeitfähiges Kommunikations- netz, bevorzugt.
Eine Weiterbildung der Erfindung sieht vor, dass die erste Schutzfunktion einen ersten Schlüssel, insbesondere einen erster Gruppenschlüssel verwendet.
Eine Weiterbildung der Erfindung sieht vor, dass die zweite Schutzfunktion einen zweiten Schlüssel, insbesondere einen zweiten Gruppenschlüssel verwendet. Eine Weiterbildung der Erfindung sieht vor, dass der erste Schlüssel von dem zweiten Schlüssel abgeleitet wird.
Eine Weiterbildung der Erfindung sieht vor, dass in die
Schlüsselableitungsfunktion ein zu den Kommunikationseinrich- tungen zugehöriges Geheimnis, insbesondere ein Gruppengeheim¬ nis, eingeht.
Eine Weiterbildung der Erfindung sieht vor, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zweiten kryptographischen Schutzfunktion ergänzt werden können. Diese zusätzlichen bzw. weiteren Daten können dann durch autorisierte Netzwerkelemente auf dem Kommunikationsweg modifi¬ ziert oder ergänzt werden und durch die zweite Schutzfunktion geschützt werden.
Somit werden auf Netzwerkelement-Ebene die Daten geschützt in Nachrichten übertragen. Ein weiterer Aspekt der Erfindung sieht eine Kommunikations¬ anordnung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes vor, insbesondere im Umfeld einer industriel¬ len Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkelement aufweist, über das zur Kommunikation zugehörige Daten geleitet werden, aufweisend :
Mittel zum Schützen der Daten mittels einer ersten kryptographischen Schutzfunktion, welche von mindestens einer ersten Kommunikati¬ onseinrichtung zu wenigstens einer zweiten Kommunikationseinrichtung übertragen werden,
Mittel zum Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrichten zwischen einer Kommunikationseinrichtung und einem Netzwerkelement schützt, die via des mindestens einen Netzwerkelements von der ers¬ ten Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden und die die Daten beinhalten,
Mittel zum Bereitstellen einer Überprüfungsfunktion, welche dazu ausgelegt ist, anhand der zweiten Schutzfunktion die Authentizität und/oder Integrität der Nachrichten zu überprüfen,
Mittel zum Fortsetzen oder Anhalten der Kommunikation abhängig vom Ergebnis der Überprüfung durch die Überprüfungsfunktion, wobei bei Fortsetzung der Kommunikation die Daten bis zu deren Empfang durch die mindestens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben. Eine Weiterbildung der Erfindung sieht vor, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zweiten kryptographischen Schutzfunktion ergänzt werden können. Diese zusätzlichen bzw. weiteren Daten können dann durch autorisierte Netzwerkelemente auf dem Kommunikationsweg modifi¬ ziert oder ergänzt werden und durch die zweite Schutzfunktion geschützt werden.
Ein weiterer Aspekt der Erfindung sieht ein Netzwerkelement geeignet zur Unterstützung einer geschützten Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einem zweiter Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes vor, insbesondere im Um¬ feld einer industriellen Fertigung und/oder Automatisierung, wobei über das Netzwerkelement zur Kommunikation zugehörige Daten geleitet werden, aufweisend:
Mittel zum Auslesen von kryptographisch geschützten Daten aus kryptographisch geschützten Nachrichten, die via des Netzwerkelements von der ersten Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden,
Mittel zum Bereitstellen einer Überprüfungsfunktion, welche dazu ausgelegt sind, die Au¬ thentizität und/oder Integrität der ausgelese¬ nen Nachrichten zu überprüfen,
Mittel zum Fortsetzen oder Anhalten der Kommunikation abhängig vom Ergebnis der Überprüfung durch die Überprüfungsfunktion, wobei bei Fortsetzung der Kommunikation die ausgelesenen Daten, welche vor Ankunft beim Netzwerkelement mittels einer ersten Schutz¬ funktion kryptographisch geschützt worden sind, bis zu deren Empfang durch die mindes¬ tens zweite Kommunikationseinrichtung mittels der Schutzfunktion geschützt bleiben, und
Mittel zum Bereitstellen einer zweiten kryp- tographischen Schutzfunktion, welche bei Fortsetzung der Kommunikation Nachrichten, die vom Netzwerkelement zur mindestens zweiten Kommu¬ nikationseinrichtung übertragen werden und die die Daten beinhalten, schützt.
Eine Weiterbildung der Erfindung sieht vor, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zweiten kryptographischen Schutzfunktion ergänzt werden können. Diese zusätzlichen bzw. weiteren Daten können dann durch au- torisierte Netzwerkelemente auf dem Kommunikationsweg modifi¬ ziert oder ergänzt werden und durch die zweite Schutzfunktion geschützt werden.
Ein weiterer Aspekt der Erfindung sieht eine Kommunikations- einrichtung zum Schutz einer Kommunikation mit wenigstens einer weiteren Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes vor, insbesondere im Umfeld einer indust¬ riellen Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkelement aufweist, über das zur Kommunikation zugehörige Daten geleitet werden können, aufweisend:
Mittel zum Schützen der Daten mittels einer ersten kryptographischen Schutzfunktion, wel- che von der Kommunikationseinrichtung zu wenigstens einer zweiten Kommunikationseinrichtung übertragen werden,
Mittel zum Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrich- ten der Kommunikationseinrichtung und einem
Netzwerkelement schützt, die via des Netzwerk- elements zur wenigstens zweiten Kommunikati¬ onseinrichtung geleitet werden und die die Da¬ ten beinhalten, wobei abhängig von einem Ergebnis einer Au- thentizitäts- und/oder Integritätsüberprüfung der geschützten Nachrichten, bei einer Fortsetzung der Kommunikation die Daten, die durch die erste Schutzfunktion geschützt sind, bis zu deren Empfang durch die mindestens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.
Eine Weiterbildung der Erfindung sieht vor, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zwei- ten kryptographischen Schutzfunktion ergänzt werden können. Diese zusätzlichen bzw. weiteren Daten können dann durch autorisierte Netzwerkelemente auf dem Kommunikationsweg modifi¬ ziert oder ergänzt werden und durch die zweite Schutzfunktion geschützt werden.
Die Anordnung, Einrichtung und Netzwerkelement kann entspre¬ chend der Ausführungsformen/Weiterbildungen zum oben genannten Verfahren aus- bzw. weitergebildet sein. Die vorstehend genannten Einheiten bzw. Mittel können in
Software, Firmware und/oder Hardware implementiert sein. Die können als eine Art Funktionseinheiten verstanden werden, die auch in Ihrer Funktion in beliebiger Kombination ein eine einzige Einheit integriert sein können.
Ein weiterer Aspekt der Erfindung kann ein Computerprogramm bzw. ein Computerprogrammprodukt mit mindestens einem Compu¬ terprogramm mit Mitteln zur Durchführung des Verfahrens und dessen genannte Ausgestaltungen sein, wenn das Computerprogramm (produkt) bzw. das mindestens eine Computerprogramm ver- teilt innerhalb der Kommunikationsanordnung nach oben beschriebener Art zur Ausführung gebracht wird. Obige Einrichtungen, Anordnungen und gegebenenfalls das Computerprogramm (produkt) können im Wesentlichen analog wie das Verfahren und dessen Ausgestaltungen bzw. Weiterbildungen entsprechend aus- bzw. weitergebildet werden.
Ausführungsbeispiel (e) :
Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfin- dung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen in Verbindung mit den Zeichnungen.
Dabei zeigen die Figur 1 und 2 das erfindungsgemäße Vorgehen zur Authenti- zitäts- und/oder Integritätsprüfung für eine logische Kommunikationsverbindung zwischen zwei Kommunikationseinrichtungen, wobei die Daten enthaltenen Nachrichten über ein oder mehrere Netzelemente ge- leitet werden.
Die Figuren 1 und 2 zeigen jeweils ein Angriffsszenario in¬ nerhalb eines Kommunikationsnetzwerkes z.B. eines eingangs genannten virtuellen logischen Netzwerkes (VLN) , bei welchem ein Angreifer A einen Angriff an einem Netzwerkelement NE von möglichen mehreren Netzwerkelementen eines Kommunikationsnetzes versucht. Durch das Einspeisen von Nachrichten am Netzwerkelement NE möchte der Angreifer A die Kommunikation zwischen den Kommunikationseinrichtungen PLC1 und PLC2 stören. Diese Kommunikationseinrichtungen können ICS-Komponenten (In- dustrial Control System) sein. Bei allen, am Netzwerkelementen ankommenden, doppelt Authentizitäts-/ Integritäts¬ geschützten Nachrichten überprüft das Netzwerkelement NE den Authentifizierungsinformation z.B. MAC, um festzustellen, ob es sich um Nachrichten von einem authentifizierten Gruppenteilnehmer des Kommunikationsnetzes handelt. Ist dies nicht der Fall, z.B. weil der Angreifer Nachrichten einspeist, ohne die richtige Authentifizierungsinformation generieren zu kön- nen, werden die betroffenen Datenpakete ausgesondert und vom Netzwerkelement nicht weiterleitet.
In der Figur 1 und 2 stehen die nach links/rechts zeigenden Guillemets (<,>) für Nachrichten, die Authentitäts-/ Integri- täts-geschützt sind und die eckigen Klammer ([,]) für Daten (- pakete) , die Vertraulichkeits-geschützt sein können.
Die Daten sind auf dem Ende-zu-Ende bzw. auf dem Punkt-zu- Punkt Transportweg zweimal geschützt (gestricheltes und gepünkteltes Rechteck) .
Um die Nachrichten bzw. die Daten zu schützen, besitzen die Gruppenteilnehmer mit ihren Kommunikationseinrichtungen PLCl, PLC2, etc., aber auch die Netzwerkelemente einen speziellen Authentifizierungsschlüssel . Um diese Authentifizierungsin- formation bereitzustellen, gibt es mehrere Möglichkeiten, wie beispielsweise MAC (Message Authentication Code) , HMAC, OMAC oder CBC-MAC.
Aus diesem Grund gibt es zwei spezifische VLN-Schlüssel (K = Key) , um die Kommunikation innerhalb eines bestimmten VLNs zu schützen. K_D_VLNx wird zum Vertraulichkeitsschutz und
Authentizität-/ Integritätsschutz zwischen den Kommunikati- onseinrichtungen PLCl, PLCl verwendet. Da die Netzwerkelemente keine regulären Gruppenmitglieder im VLN sind, benötigen die Netzwerkelemente diesen Schlüssel nicht. Er ist den End¬ bzw. Gruppenteilnehmern vorbehalten. Ein zweiter Schlüssel K_NE_VLNx wird zum Schutz der Authentizität/Integrität der geschützten Nachricht verwendet und wird sowohl von den Kom¬ munikationseinrichtungen als auch den Netzwerkelementen im Kommunikationsnetz benötigt.
Im Folgenden wird mit den Schritten 1 bis 8 das Szenario beim Senden eines Daten-Pakets in einem VLN näher gemäß Figur 1 erläutert. Das Szenario gilt analog auch für Figur 2, wobei zusätzliche Daten Dx durch autorisierte Netzwerkelemente z.B. NE auf dem Kommunikationsweg modifiziert oder ergänzt werden und durch die zweite Schutzfunktion geschützt werden.
Schritt 1: Die zu schickenden Daten D (durchgezogenes Recht- eck) werden mit einer ersten Schutzfunktion, z.B. durch Anwendung eines Gruppenschlüssels K_D_VLNx von einer ersten Kommunikationseinrichtung PLC1 geschützt (Vertraulichkeits-/ Authentizitäts-/ Integritätsschutz) . Es entsteht das
Datenpaket <[D]> (gepünkteltes Rechteck). Der Schlüssel
K_D_VLNx ist nur den regulären Gruppenmitgliedern des Kommunikationsnetzwerkes VLNx und nicht den Netzwerkelementen z.B. NE bekannt.
Schritt 2: Das Datenpaket <[D]> wird durch eine zweite
Schutzfunktion z.B. mit dem Authentifizierungsschlüssel
K_NE_VLNx Authentizitäts-/Integritäts-geschützt . Es entsteht das Datenpaket < <[D]> >, welches losgeschickt
wird (gestricheltes-gepünkteltes Rechteck) . Der Schlüssel K_NE_VLNx ist sowohl den Kommunikationseinrichtungen der re- gulären Gruppenmitglieder als auch den Netzwerkelementen bekannt .
Wie in Figur 2 dargestellt, können zusätzliche Daten Dx durch autorisierte Netzwerkelemente z.B. PLC1 auf dem Kommunikati- onsweg modifiziert oder ergänzt werden und durch die zweite
Schutzfunktion geschützt werden. In der Figur 2 ist dies beispielhaft durch den gestrichelt-gepünktelten Kasten angedeutet, der <DX <D> > enthält. Es ist auch möglich, dass die zu¬ sätzlichen Daten Dx erst durch das Netzelement NE ergänzt werden. Ebenso ist es denkbar, dass die zusätzlichen Daten Dx wieder durch NE bzw. PLC2 wieder entfernt werden.
Schritt 3: Das Netzwerkelement NE erhält das Datenpaket < <[D]> > und extrahiert bzw. liest die Authentifizierungsin- formation der zweiten Schutzfunktion aus der Nachricht aus.
Dabei kann optional der äußere Schutz entfernt werden. Jedoch wird der äußere Schutz in der Regel nicht entfernt, sondern bleibt wie auch der Schutz der Daten durch die erste Schutzfunktion erhalten.
Schritt 4: Überprüfung anhand der zweiten Schutzfunktion, ob die Nachricht authentisch bzw. integer ist. D.h. bildhaft, dass das gestrichelte Kästchen überprüft wird, das entweder nur D enthält und auch Dx enthalten kann.
Schritt 5: Falls die Nachricht nicht authentisch/integer ist, werden die Datenpakete verworfen und so die Kommunikation angehalten .
Schritt 6: Wenn die Nachricht authentisch ist, dann wird die in Schritt 3 empfangene Nachricht < <[D]> > bzw. <DX <D> > (gestricheltes-gepünkteltes Rechteck) über das Kommunikati¬ onsnetz zur zweiten Kommunikationseinrichtung PLC2 (weiter) geleitet . Damit bleiben die Daten im gestrichelten Rechteck solange geschützt, bis sie beim Empfänger eintreffen. Sofern in Schritt 3 der äußere Schutz entfernt wurde, wird die Nachricht erneut mit einer zweiten kryptographischen Schutzfunktion geschützt, wobei sinnvollerweise derselbe Authenti- fizierungsschlüssel K_NE_VLNx zum Schutz verwendet wird.
In Schritt 7: Die Kommunikationseinrichtung PLC2 empfängt das Datenpaket < <[D]> > bzw. <DX <D> > (gestricheltes- gepünkteltes Rechteck) und überprüft sowie entfernt den durch K_NE_VLNx Authentizitäts-/Integritäts-geschützten Teil des Datenpakets . Schritt 8: Durch Entschlüsselung der Daten und Überprüfung der ersten Schutzfunktion mit K_D_VLNx erhält die Kommunikationseinrichtung PLC 2 die eigentlichen (Nutz-) Daten (durchgezogenes Rechteck) und kann sich sicher ein, dass die die Daten enthaltene Nachricht von einem Gruppenteilnehmer stammt.
Demnach überprüfen die Netzwerkelemente z.B. NE die Authenti¬ zität/Integrität der Datenpakete, bevor die Datenpakete durch sie weitergeleitet werden. Das Netzelement NE kann die Daten der Nachricht selbst nicht lesen bzw. keine Daten
(gepünkteltes Rechteck) generieren, denn diese sind mit
K_D_VLNx kryptographisch geschützt.
Eine vorteilhafte Ausführungsform der Erfindung besteht darin, dass neben den Daten der Kommunikationseinrichtung innerhalb des gepünktelten Rechtecks, zusätzliche Daten, die für die Netzwerkinfrastrukturelemente benötigt
(Lesezugriff) bzw. geändert bzw. ergänzt werden, innerhalb des gestrichelten Rechtecks aber außerhalb des gepünktelten Rechtecks eingebettet werden können und somit auf Netzwerk¬ element-Ebene während der Übertragung der Daten/Nachricht ge¬ schützt werden können.
In einer weiteren Ausführungsform der Erfindung wird K_D_VLNx über eine Schlüsselableitungsfunktion z.B. KDF(S_D,
K_NE_VLNx) abhängig von K_NE_VLNx bestimmt. Das Geheimnis S_D wird einmalig initial an die Kommunikationseinrichtungen der regulären Gruppenmitglieder verteilt. S_D muss nicht notwendig VLNx spezifisch bzw. gruppenspezifisch gewählt werden, denn ein gemeinsames S_D kann für alle VLNx/Gruppen verwendet werden, ohne die Eigenschaft eines gruppenspezifischen
Schlüssels z.B. K_D_VLNx zu verlieren. Die Diversität der K_D_VLNx entsteht durch die Verteilung der gruppenspezifischen K_NE_VLNx an die autorisierten Gruppen-Mitglieder. Bei der Verteilung der Gruppenschlüssel muss dann
nicht mehr zwischen Kommunikationseinrichtungen und den Netzelementen unterschieden (d.h. nur K_NE_VLNx wird übertragen) werden. Dadurch wird das Schlüsselmanagement vereinfacht.
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge- schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen . Die Implementierung der vorstehend beschriebenen Prozesse oder Verfahrensabläufe kann anhand von Instruktionen erfol¬ gen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als com- puterlesbare Speicher bezeichnet) vorliegen. Computerlesbare Speicher sind beispielsweise flüchtige Speicher wie Caches, Puffer oder RAM sowie nichtflüchtige Speicher wie Wechselda¬ tenträger, Festplatten, usw. Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions¬ satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten
Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes¬ soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver- schiedenste Verarbeitungsstrategien zum Einsatz kommen, beispielsweise serielle Verarbeitung durch einen einzelnen Prozessor oder Multiprocessing oder Multitasking oder Parallelverarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem entfernten System abzulegen und darauf via Netzwerk zuzugreifen.
Der Begriff "Prozessor", "zentrale Signalverarbeitung",
"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen¬ det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso¬ ren, digitale Signalprozessoren, anwendungsspezifische inte¬ grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und be¬ liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Besteht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausführung von Instruktionen ausgelegt bzw. konfiguriert sein.

Claims

Patentansprüche
1. Verfahren zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und we- nigstens einer zweiten Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes, insbesondere im Umfeld ei¬ ner industriellen Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkele¬ ment (NE) aufweist, über das zur Kommunikation zugehörige Daten geleitet werden, aufweisend folgende Schritte:
Schützen der Daten (D) mittels einer ersten kryptographischen Schutzfunktion, welche von mindestens einer ersten Kommunikationseinrich- tung (PLC1) zu wenigstens einer zweiten Kommu¬ nikationseinrichtung (PLC2) übertragen werden, Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrichten zwischen einer Kommunikationseinrichtung und einem Netzwerkelement schützt, die via des mindes¬ tens einen Netzwerkelements von der ersten Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden und die die Daten beinhalten,
- Bereitstellen einer Überprüfungsfunktion durch das mindestens eine Netzwerkelement, welche anhand der zweiten Schutzfunktion die Authentizität und/oder Integrität der Nachrichten überprüft ,
- Fortsetzung (6) oder Anhalten (5) der Kommunikation abhängig vom Ergebnis der Überprüfung (4) durch die Überprüfungsfunktion,
wobei bei Fortsetzung der Kommunikation die Daten bis zu deren Empfang durch die mindes- tens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.
2. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die zweite Schutzfunktion die erste Schutzfunktion umschließt.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Fortsetzung der Kommunikation die Nachrichten, die mittels der ersten Schutzfunktion geschützt bleibenden Daten beinhalten, mittels der zweiten Schutzfunktion geschützt zur wenigstens zweiten Kommunikationseinrichtung geleitet werden.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikation zwischen den genannten Kommunikationseinrichtungen über ein virtu- eil logisch ausgebildetes Kommunikationsnetzwerk erfolgt.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Kommunikation zwischen den Kommunikationseinrichtungen ein Kommunikationsproto- koll auf Ebene 2 des in der Kommunikationstechnik verwendeten OSI-Referenzmodells oder vergleichbaren Netzwerkmo¬ dells eingesetzt wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Kommunikation zwischen den Kommunikationseinrichtungen ein Kommunikationsprotokoll auf Ebene 3, auch Vermittlungsschicht genannt, des in der Kommunikationstechnik verwendeten OSI-Referenzmodells oder vergleichbaren Netzwerkmodells eingesetzt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Schutzfunktion ei¬ nen ersten Schlüssel, insbesondere ein erster Gruppenschlüssel verwendet.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Schutzfunktion ei- nen zweiten Schlüssel, insbesondere ein zweiter Gruppenschlüssel verwendet.
9. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass der erste Schlüssel von dem zweiten Schlüssel abgeleitet wird.
10. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass in die Schlüsselableitungsfunktion ein zu den Kommunikationseinrichtungen zugehöriges Geheimnis, insbesondere ein Gruppengeheimnis, eingeht.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zweiten kryptogra- phischen Schutzfunktion ergänzt werden können.
12. Kommunikationsanordnung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes, insbe¬ sondere im Umfeld einer industriellen Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindestens ein Netzwerkelement (NE) aufweist, über das zur Kom¬ munikation zugehörige Daten geleitet werden, aufweisend:
Mittel zum Schützen der Daten mittels einer ersten kryptographischen Schutzfunktion, welche von mindestens einer ersten Kommunikati¬ onseinrichtung zu wenigstens einer zweiten Kommunikationseinrichtung übertragen werden, Mittel zum Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrichten zwischen einer Kommunikationseinrichtung und einem Netzwerkelement schützt, die via des mindestens einen Netzwerkelements von der ers¬ ten Kommunikationseinrichtung (PLC1) zur wenigstens zweiten Kommunikationseinrichtung (PLC2) geleitet werden und die die Daten beinhalten,
Mittel zum Bereitstellen einer Überprüfungsfunktion, welche dazu ausgelegt ist, anhand der zweiten Schutzfunktion die Authentizität und/oder Integrität der Nachrichten zu überprüfen,
Mittel zum Fortsetzen (6) oder Anhalten (5) der Kommunikation abhängig vom Ergebnis der Überprüfung (4) durch die Überprüfungsfunkti¬ on,
wobei bei Fortsetzung der Kommunikation die Daten bis zu deren Empfang durch die mindestens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.
13. Netzwerkelement geeignet zur Unterstützung einer geschützten Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung innerhalb eines Kommunikations¬ netzwerkes, insbesondere im Umfeld einer industriellen Fertigung und/oder Automatisierung, wobei über das Netzwerkelement zur Kommunikation zugehörige Daten geleitet werden, aufweisend:
Mittel zum Auslesen von kryptographisch geschützten Daten aus kryptographisch geschützten Nachrichten, die via des Netzwerkelements von der ersten Kommunikationseinrichtung zur wenigstens zweiten Kommunikationseinrichtung geleitet werden,
Mittel zum Bereitstellen einer Überprüfungsfunktion, welche dazu ausgelegt sind, die Au¬ thentizität und/oder Integrität der ausgelese¬ nen Nachrichten zu überprüfen,
Mittel zum Fortsetzen oder Anhalten der Kommunikation abhängig vom Ergebnis der Überprüfung durch die Überprüfungsfunktion, wobei bei Fortsetzung der Kommunikation die ausgelesenen Daten, welche vor Ankunft beim Netzwerkelement mittels einer ersten Schutz¬ funktion kryptographisch geschützt worden sind, bis zu deren Empfang durch die mindes¬ tens zweite Kommunikationseinrichtung mittels der Schutzfunktion geschützt bleiben, und Mittel zum Bereitstellen einer zweiten kryp- tographischen Schutzfunktion, welche bei Fort- Setzung der Kommunikation Nachrichten, die vom
Netzwerkelement zur mindestens zweiten Kommu¬ nikationseinrichtung übertragen werden und die die Daten beinhalten, schützt.
14. Netzwerkelement nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Daten (D) mit weiteren Daten (Dx) vor der Bereitstellung der zweiten kryptogra- phischen Schutzfunktion ergänzt.
15. Kommunikationseinrichtung zum Schutz einer Kommunikation mit wenigstens einer weiteren Kommunikationseinrichtung innerhalb eines Kommunikationsnetzwerkes, insbe¬ sondere im Umfeld einer industriellen Fertigung und/oder Automatisierung, wobei das Kommunikationsnetzwerk mindes- tens ein Netzwerkelement (NE) aufweist, über das zur Kom¬ munikation zugehörige Daten geleitet werden können, aufweisend :
Mittel zum Schützen der Daten mittels einer ersten kryptographischen Schutzfunktion, wel- che von der Kommunikationseinrichtung zu wenigstens einer zweiten Kommunikationseinrichtung (PLC2) übertragen werden,
Mittel zum Bereitstellen einer zweiten kryptographischen Schutzfunktion, welche Nachrich- ten der Kommunikationseinrichtung und einem
Netzwerkelement schützt, die via des Netzwerk¬ elements zur wenigstens zweiten Kommunikati- onseinrichtung geleitet werden und die die Da¬ ten beinhalten,
wobei abhängig von einem Ergebnis einer Au- thentizitäts- und/oder Integritätsüberprüfung (4) der geschützten Nachrichten, bei einer Fortsetzung (6) der Kommunikation die Daten, die durch die erste Schutzfunktion geschützt sind, bis zu deren Empfang durch die mindes¬ tens zweite Kommunikationseinrichtung mittels der ersten Schutzfunktion geschützt bleiben.
16. Kommunikationseinrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die zweite Schutz¬ funktion die erste Schutzfunktion umschließt.
17. Kommunikationseinrichtung nach einem der vorhergehenden Ansprüche 15 oder 16, dadurch gekennzeichnet, dass zur Fortsetzung der Kommunikation die Nachrichten, die mittels der ersten Schutzfunktion geschützt bleibenden Da- ten beinhalten, mittels der zweiten Schutzfunktion geschützt zur wenigstens zweiten Kommunikationseinrichtung weiterleitbar sind.
18. Computerprogrammprodukt mit mindestens einem Compu¬ terprogramm, das Mittel zur Durchführung des Verfahrens nach einem der vorstehenden Verfahrensansprüche aufweist, wenn das mindestens ein Computerprogramm verteilt innerhalb der Kommunikationsanordnung nach einem der vorstehenden Anordnungsansprüche zur Ausführung gebracht wird.
EP18727176.2A 2017-05-23 2018-05-09 Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung Withdrawn EP3603012A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017208735.8A DE102017208735A1 (de) 2017-05-23 2017-05-23 Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
PCT/EP2018/061970 WO2018215209A1 (de) 2017-05-23 2018-05-09 Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung

Publications (1)

Publication Number Publication Date
EP3603012A1 true EP3603012A1 (de) 2020-02-05

Family

ID=62245233

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18727176.2A Withdrawn EP3603012A1 (de) 2017-05-23 2018-05-09 Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung

Country Status (5)

Country Link
US (1) US11336657B2 (de)
EP (1) EP3603012A1 (de)
CN (1) CN110679129B (de)
DE (1) DE102017208735A1 (de)
WO (1) WO2018215209A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
EP4211872A1 (de) 2020-09-07 2023-07-19 Hirschmann Automation and Control GmbH Verfahren zum betreiben eines netzwerks

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7188180B2 (en) * 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US7389529B1 (en) 2003-05-30 2008-06-17 Cisco Technology, Inc. Method and apparatus for generating and using nested encapsulation data
US8127366B2 (en) * 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
DE102005027232A1 (de) * 2005-06-13 2006-12-14 Siemens Ag Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
US8607051B2 (en) 2006-04-11 2013-12-10 Qualcomm Incorporated Method and apparatus for binding multiple authentications
US8776166B1 (en) * 2006-07-17 2014-07-08 Juniper Networks, Inc. Plug-in based policy evaluation
WO2010003713A1 (en) * 2008-06-16 2010-01-14 Telefonaktiebolaget Lm Ericsson (Publ) Sending media data via an intermediate node
DE102009051383A1 (de) 2009-10-30 2011-05-12 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum sicheren Übertragen von Daten
DE102009051201B4 (de) * 2009-10-29 2012-12-20 Siemens Aktiengesellschaft Authentifikation und Datenintegritätschutz eines Tokens
DE102010043102A1 (de) * 2010-10-29 2012-05-03 Siemens Aktiengesellschaft Verfahren zur manipulationsgesicherten Schlüsselverwaltung
US8935533B2 (en) * 2011-12-20 2015-01-13 Alcatel Lucent Method and apparatus for a scalable and secure transport protocol for sensor data collection
US9348049B2 (en) 2012-01-05 2016-05-24 Cgg Services Sa Simultaneous joint estimation of the P-P and P-S residual statics
US9961095B2 (en) 2013-03-14 2018-05-01 Fidelis Cybersecurity, Inc. System and method for extracting and preserving metadata for analyzing network communications
US9374340B2 (en) 2014-04-21 2016-06-21 Cisco Technology, Inc. Nested independent virtual private networks with shared rekey and consistency services
CN104539573B (zh) * 2014-10-30 2018-07-27 北京科技大学 一种基于嵌入式系统的工业安全网关的通信方法及装置
US10362011B2 (en) * 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture

Also Published As

Publication number Publication date
WO2018215209A1 (de) 2018-11-29
US11336657B2 (en) 2022-05-17
CN110679129B (zh) 2022-10-21
DE102017208735A1 (de) 2018-11-29
US20210218752A1 (en) 2021-07-15
CN110679129A (zh) 2020-01-10

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
WO2019063256A1 (de) System, insbesondere authentizitätssystem
DE102015200279A1 (de) Einwegübertragungseinrichtung, Vorrichtung undVerfahren zum rückwirkungsfreien Erfassen von Daten
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP3603012A1 (de) Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung
EP3759958A1 (de) Verfahren, vorrichtungen und computerprogrammprodukt zur überwachung einer verschlüsselten verbindung in einem netzwerk
EP2656580A1 (de) Verfahren und kommunikationseinrichtung zum kryptographischen schützen einer feldgerät-datenkommunikation
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
DE102012210327A1 (de) Verfahren zum Übertragen von Nachrichten in einem Kommunikationssystem, insbesondere eines Fahrzeugs
WO2013174578A1 (de) Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE102016208451A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
EP4283925B1 (de) Verfahren zur gesicherten übermittlung zeitkritischer daten innerhalb eines kommunikationssystems und kommunikationssystem
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
DE102020204059A1 (de) Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
WO2014206451A1 (de) Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
WO2017148559A1 (de) Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
EP3713187A1 (de) Verfahren zur übertragung von datenpaketen
DE102020124909A1 (de) Verfahren zur Erlangung eines Notfall-Gerätezugriffs bei Feldgeräten

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20191023

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20201120

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20230624